Authentification domaine ou domaine + jeton de sécurité
Citrix Endpoint Management prend en charge l’authentification basée sur domaine auprès d’un ou plusieurs annuaires, qui sont compatibles avec le protocole LDAP (Lightweight Directory Access Protocol). Vous configurez une connexion dans Citrix Endpoint Management à un ou plusieurs répertoires. Citrix Endpoint Management utilise la configuration LDAP pour importer des groupes, des comptes d’utilisateurs et des propriétés associées.
Important :
Citrix Endpoint Management ne prend pas en charge le passage du mode d’authentification, d’un type de domaine d’authentification à un autre mode d’authentification, une fois que les utilisateurs ont inscrit des appareils dans Citrix Endpoint Management. Par exemple, vous ne pouvez pas modifier le mode d’authentification de Authentification de domaine à Domaine + Certificat une fois que les utilisateurs se sont inscrits.
À propos de LDAP
LDAP est un protocole applicatif indépendant open source qui permet d’accéder et de gérer les services d’informations d’annuaire distribués sur un réseau IP (Internet Protocol). Les services d’informations d’annuaire sont utilisés pour partager des informations sur les utilisateurs, les systèmes, les réseaux, les services et les applications disponibles sur le réseau.
LDAP est couramment utilisé pour fournir une authentification unique (SSO) aux utilisateurs, avec laquelle un seul mot de passe (par utilisateur) est partagé entre plusieurs services. L’authentification unique permet à un utilisateur de se connecter une seule fois au site Web d’une entreprise, pour un accès authentifié à l’intranet de l’entreprise.
Un client démarre une session LDAP en se connectant à un serveur LDAP, appelé DSA (Agent système d’annuaire). Le client envoie une demande d’opération au serveur et le serveur répond avec l’authentification appropriée.
Pour ajouter ou modifier des connexions LDAP dans Citrix Endpoint Management
Vous configurez généralement des connexions LDAP lors de l’intégration à Citrix Endpoint Management, comme décrit à la section Pour configurer LDAP. Si vous avez procédé à l’intégration avant que les écrans affichés dans cette section ne soient disponibles, utilisez les informations de cette section pour ajouter des connexions LDAP.
-
Dans la console Citrix Endpoint Management, accédez à Paramètres > LDAP.
-
Sous Serveur, cliquez sur LDAP. La page LDAP s’affiche.
-
Sur la page LDAP, cliquez sur Ajouter ou Modifier. La page Ajouter un LDAP ou Modifier un LDAP s’affiche.
-
Pour configurer ces paramètres :
- Type d’annuaire : dans la liste déroulante, cliquez sur le type d’annuaire approprié. La valeur par défaut est Microsoft Active Directory.
- Serveur principal : entrez le serveur principal utilisé pour LDAP ; vous pouvez entrer l’adresse IP ou le nom de domaine complet (FQDN).
- Serveur secondaire : éventuellement, si un serveur secondaire a été configuré, entrez l’adresse IP ou le nom de domaine complet du serveur secondaire. Ce serveur est un serveur de basculement utilisé au cas où le serveur principal ne peut pas être contacté.
- Port : entrez le numéro du port utilisé par le serveur LDAP. Par défaut, le numéro de port est défini sur 389 pour les connexions LDAP non sécurisées. Utilisez le numéro de port 636 pour les connexions LDAP sécurisées, 3268 pour les connexions LDAP non sécurisées Microsoft, ou 3269 pour les connexions LDAP sécurisées Microsoft.
- Nom de domaine : entrez le nom du domaine.
-
Nom unique de l’utilisateur de base : entrez l’emplacement des utilisateurs dans Active Directory à l’aide d’un identificateur unique. Exemples de syntaxe :
ou=users
,dc=example
oudc=com
. -
Nom unique du groupe de base : entrez l’emplacement des groupes dans Active Directory. Par exemple,
cn=users, dc=domain, dc=net
oùcn=users
représente le nom de conteneur des groupes etdc
représente le composant de domaine d’Active Directory. - ID utilisateur : entrez l’ID de l’utilisateur associé au compte Active Directory.
- Mot de passe : entrez le mot de passe associé à l’utilisateur.
- Alias de domaine : entrez un alias pour le nom de domaine. Si vous modifiez le paramètre Alias de domaine après l’inscription, les utilisateurs doivent s’inscrire à nouveau.
-
Limite de verrouillage de Citrix Endpoint Management : entrez un nombre compris entre 0 et 999 pour le nombre d’échecs de tentatives d’ouverture de session. Si ce champ est défini sur 0, Citrix Endpoint Management ne verrouillera jamais l’utilisateur quel que soit le nombre de tentatives d’ouverture de session infructueuses. La valeur par défaut est 0.
Envisagez de définir cette limite de verrouillage sur une valeur inférieure à votre stratégie de verrouillage LDAP. Cela permet d’éviter le verrouillage des utilisateurs si Citrix Endpoint Management ne parvient pas à s’authentifier auprès du serveur LDAP. Par exemple, si la stratégie de verrouillage LDAP est définie sur 5 tentatives, configurez cette limite de verrouillage sur 4 ou moins.
- Durée de verrouillage de Citrix Endpoint Management : entrez un nombre compris entre 0 et 99 999 représentant le nombre de minutes pendant lesquelles un utilisateur doit patienter après avoir dépassé la limite de verrouillage. Une valeur de 0 signifie que l’utilisateur n’est pas forcé d’attendre après un verrouillage. La valeur par défaut est 1.
- Port TCP du catalogue global : entrez le numéro de port TCP du serveur du catalogue global. Par défaut, le numéro de port TCP est défini sur 3268 ; pour les connexions SSL, utilisez le numéro de port 3269.
- Base de recherche du catalogue global : si vous le souhaitez, entrez la valeur de base de recherche globale utilisée pour activer une recherche du catalogue global dans Active Directory. Cette recherche est en supplément de la recherche LDAP standard, dans tout domaine sans avoir à spécifier le nom de domaine.
-
Recherche utilisateur par : sélectionnez le format du nom d’utilisateur ou de l’ID utilisateur utilisé par Citrix Endpoint Management pour rechercher des utilisateurs dans ce répertoire. Les utilisateurs saisissent leur nom d’utilisateur ou leur ID d’utilisateur dans ce format lors de leur inscription. Si vous modifiez le paramètre Rechercher utilisateurs par après l’inscription, les utilisateurs doivent s’inscrire à nouveau.
Si vous choisissez UserPrincipalName, les utilisateurs saisissent un nom d’utilisateur principal (UPN) dans le format suivant :
*username*@*domain*
Si vous choisissez SamAccountName, les utilisateurs saisissent un nom SAM (Secure Account Manager) dans l’un des formats suivants :
*username*@*domain*
*domain\username*
- Utiliser une connexion sécurisée : indiquez si des connexions sécurisées doivent être utilisées. La valeur par défaut est Non.
-
Cliquez sur Enregistrer.
Pour supprimer un annuaire compatible LDAP
-
Dans le tableau LDAP, sélectionnez l’annuaire que vous souhaitez supprimer.
Vous pouvez sélectionner plusieurs propriétés à supprimer en sélectionnant la case à cocher en regard de chaque propriété.
-
Cliquez sur Delete. Une boîte de dialogue de confirmation s’affiche. Cliquez à nouveau sur Supprimer.
Configurer l’authentification domaine + jeton de sécurité
Vous pouvez configurer Citrix Endpoint Management de manière à obliger les utilisateurs à s’authentifier avec leurs informations d’identification LDAP plus un mot de passe à usage unique, à l’aide du protocole RADIUS.
Pour une utilisabilité optimale, vous pouvez combiner cette configuration avec le code PIN Citrix et la mise en cache du mot de passe Active Directory. Avec cette configuration, les utilisateurs n’ont pas à entrer leurs noms d’utilisateur et mots de passe LDAP à plusieurs reprises. Les utilisateurs doivent entrer leurs noms et mots de passe lors de l’inscription, de l’expiration du mot de passe et du verrouillage du compte.
Configurer les paramètres LDAP
L’utilisation de LDAP pour l’authentification nécessite que vous installiez un certificat SSL d’une autorité de certification sur Citrix Endpoint Management. Pour de plus amples informations, consultez la section Charger des certificats.
-
Dans Paramètres, cliquez sur LDAP.
-
Sélectionnez Microsoft Active Directory et cliquez sur Modifier.
-
Vérifiez que le port Port est 636 pour les connexions LDAP sécurisées ou 3269 pour les connexions LDAP sécurisées Microsoft.
-
Changez Utiliser une connexion sécurisée sur Oui.
Configurer les paramètres de NetScaler Gateway
Les étapes suivantes supposent que vous avez déjà ajouté une instance NetScaler Gateway à Citrix Endpoint Management. Pour ajouter une instance de NetScaler Gateway, consultez NetScaler Gateway et Citrix Endpoint Management.
-
Dans Paramètres, cliquez sur NetScaler Gateway.
-
Sélectionnez le NetScaler Gateway et cliquez sur Modifier.
-
Depuis Type d’ouverture de session, sélectionnez Domaine et jeton de sécurité.
Activer le code PIN Citrix et la mise en cache du mot de passe de l’utilisateur
Pour activer le code PIN Citrix et la mise en cache du mot de passe de l’utilisateur, accédez à Paramètres > Propriétés du client et sélectionnez ces cases : Activer l’authentification par code PIN Citrix et Activer la mise en cache du mot de passe de l’utilisateur. Pour de plus amples informations, consultez la section Propriétés du client.
Configurer NetScaler Gateway pour l’authentification par jeton de sécurité et domaine
Configurez des profils de sessions NetScaler Gateway et des stratégies pour les serveurs virtuels que vous utilisez avec Citrix Endpoint Management. Pour de plus amples informations, consultez la documentation de NetScaler Gateway.