Configure autenticação de domínio ou de domínio de segurança
O XenMobile dá suporte a autenticação baseada em domínio com relação a um ou mais diretórios que estão em conformidade com o protocolo LDAP. Você pode configurar uma conexão no XenMobile para um ou mais diretórios e depois usar a configuração de LDAP para importar grupos, contas de usuários e propriedades correlatas.
O LDAP é um protocolo de aplicativo neutro quanto ao fornecedor e de software livre para acesso e manutenção de serviços de informações de diretório distribuído sobre uma rede Protocolo IP. Os serviços de informações de diretório são usados para compartilhar informações sobre os usuários, os sistemas, as redes, os serviços e os aplicativos disponíveis em toda a rede.
Um uso comum do LDAP é fornecer logon único (SSO, Single Sign-on) para usuários, em que uma única senha (por usuário) é compartilhada entre vários serviços. O logon único permite que um usuário faça logon uma vez em um site da empresa, para acesso autenticado à intranet corporativa.
Um cliente inicia uma sessão do LDAP conectando-se a um servidor LDAP, chamado de Directory System Agent (DSA). O cliente envia uma solicitação de operação para o servidor, e o servidor responde com a autenticação adequada.
Importante:
O XenMobile não dá suporte à alteração do modo de autenticação, de autenticação de domínio para um modo de autenticação diferente, depois que os usuários registram dispositivos no XenMobile.
Para adicionar conexões LDAP no XenMobile
-
No console XenMobile, clique no ícone de engrenagem no canto superior direito do console. A página Configurações é exibida.
-
Em Servidor, clique em LDAP. A página LDAP é exibida. Você pode adicionar, editar ou excluir diretórios compatíveis com LDAP, conforme descrito neste artigo.
Para adicionar um diretório compatível com LDAP
-
Na página LDAP, clique em Adicionar. A página Adicionar LDAP é exibida.
-
Defina estas configurações:
- Tipo de diretório: na lista, clique no tipo de diretório adequado. O padrão é Microsoft Active Directory.
- Servidor primário: digite o servidor primário usado para o LDAP; você pode inserir o endereço IP ou o nome de domínio totalmente qualificado (FQDN).
- Servidor secundário: opcionalmente, se um servidor secundário tiver sido configurado, digite o endereço IP ou o FQDN do servidor secundário. Esse servidor é um failover usado se o servidor primário não pode ser acessado.
- Porta: digite o número da porta usada pelo servidor LDAP. Por padrão, o número da porta é definido como 389 para conexões LDAP não seguras. Use o número de porta 636 para conexões LDAP seguras, 3268 para conexões LDAP não seguras da Microsoft ou 3269 para conexões LDAP seguras da Microsoft.
- Nome de domínio: digite o nome de domínio.
-
DN base de usuário: digite a localização dos usuários no Active Directory por meio de um identificador exclusivo. Exemplos de sintaxe incluem:
ou=users
,dc=example
oudc=com
. -
DN base de grupo: digite a localização dos grupos no Active Directory. Por exemplo,
cn=users, dc=domain, dc=net
, ondecn=users
representa o nome do contêiner dos grupos edc
representa o componente de domínio do Active Directory. - ID do usuário: digite o ID de usuário associado à conta do Active Directory.
- Senha: digite a senha associada ao usuário.
- Alias de domínio: digite um alias para o nome de domínio. Se você alterar a configuração do Alias de domínio após o registro, os usuários deverão se registrar novamente.
- Limite de bloqueio do XenMobile: digite um número entre 0 e 999 para ser o número de tentativas de login com falha. Um valor 0 significa que o XenMobile nunca bloqueia o usuário com base em tentativas de login com falha.
- Tempo de bloqueio do XenMobile: digite um número entre 0 e 99999 para representar o número de minutos que um usuário deve esperar depois de ultrapassar o limite de bloqueio. Um valor 0 significa que o usuário não é forçado a esperar após um bloqueio.
- Porta TCP do catálogo global: digite o número da porta TCP do servidor do Catálogo Global. Por padrão, o número da porta TCP é definido como 3268; para conexões SSL, use o número de porta 3269.
- Contexto raiz do catálogo global: opcionalmente, digite o valor do Contexto Raiz Global usado para ativar uma pesquisa do catálogo global no Active Directory. Essa pesquisa é adicional à pesquisa LDAP padrão, em qualquer domínio, sem a necessidade de especificar o nome de domínio real.
- Pesquisa de usuário por: na lista, clique em userPrincipalName ou sAMAccountName. O padrão é userPrincipalName. Se você alterar a configuração de Pesquisa de usuário por após o registro, os usuários deverão se registrar novamente.
- Usar conexão segura: selecione se devem ou não ser usadas conexões seguras. O padrão é NÃO.
-
Clique em Salvar.
Para editar um diretório compatível com LDAP
-
Na tabela LDAP, selecione o diretório a editar.
Quando você marca a caixa de seleção ao lado de um diretório, o menu de opções é exibido acima da lista LDAP. Clique em qualquer outro lugar na lista e o menu de opções é exibido no lado direito da listagem.
-
Clique em Edit. A página Editar LDAP é exibida.
-
Altere as seguintes informações conforme apropriado:
- Tipo de diretório: na lista, clique no tipo de diretório adequado.
- Servidor primário: digite o servidor primário usado para o LDAP; você pode inserir o endereço IP ou o nome de domínio totalmente qualificado (FQDN).
- Servidor secundário: opcionalmente, digite o endereço IP ou o FQDN do servidor secundário (se um tiver sido configurado).
- Porta: digite o número da porta usada pelo servidor LDAP. Por padrão, o número da porta é definido como 389 para conexões LDAP não seguras. Use o número de porta 636 para conexões LDAP seguras, 3268 para conexões LDAP não seguras da Microsoft ou 3269 para conexões LDAP seguras da Microsoft.
- Nome de domínio: você não pode alterar esse campo.
-
DN base de usuário: digite a localização dos usuários no Active Directory por meio de um identificador exclusivo. Exemplos de sintaxe incluem:
ou=users
,dc=example
oudc=com
. -
DN base de grupo: digite o nome de grupo DN base de grupo especificado como
cn=groupname
. Por exemplo,cn=users, dc=servername, dc=net
, ondecn=users
é o nome do grupo.DN
eservername
representam o nome do servidor que executa o Active Directory. - ID do usuário: digite o ID de usuário associado à conta do Active Directory.
- Senha: digite a senha associada ao usuário.
- Alias de domínio: digite um alias para o nome de domínio. Se você alterar a configuração do Alias de domínio após o registro, os usuários deverão se registrar novamente.
- Limite de bloqueio do XenMobile: digite um número entre 0 e 999 para ser o número de tentativas de login com falha. Um valor 0 significa que o XenMobile nunca bloqueia o usuário com base em tentativas de login com falha.
- Tempo de bloqueio do XenMobile: digite um número entre 0 e 99999 para representar o número de minutos que um usuário deve esperar depois de ultrapassar o limite de bloqueio. Um valor 0 significa que o usuário não é forçado a esperar após um bloqueio.
- Porta TCP do catálogo global: digite o número da porta TCP do servidor do Catálogo Global. Por padrão, o número da porta TCP é definido como 3268; para conexões SSL, use o número de porta 3269.
- Contexto raiz do catálogo global: opcionalmente, digite o valor do Contexto Raiz Global usado para ativar uma pesquisa do catálogo global no Active Directory. Essa pesquisa é adicional à pesquisa LDAP padrão, em qualquer domínio, sem a necessidade de especificar o nome de domínio real.
- Pesquisa de usuário por: na lista, clique em userPrincipalName ou sAMAccountName. Se você alterar a configuração de Pesquisa de usuário por após o registro, os usuários deverão se registrar novamente.
- Usar conexão segura: selecione se devem ou não ser usadas conexões seguras.
-
Clique em Salvar para salvar suas alterações ou em Cancelar para deixar a propriedade inalterada.
Para excluir um diretório compatível com LDAP
-
Na tabela LDAP, selecione o diretório que você desejar excluir.
Você pode selecionar mais de uma propriedade para excluir marcando a caixa de seleção ao lado de cada propriedade.
-
Clique em Excluir. Uma caixa de diálogo de confirmação é exibida. Clique em Excluir novamente.
Configurar a autenticação para vários domínios
Para configurar o XenMobile Server para usar vários sufixos de domínio em uma configuração LDAP, consulte o procedimento na documentação do Citrix Endpoint Management, Configurar a autenticação para vários domínios. As etapas são as mesmas na versão local do XenMobile Server e na versão na nuvem do Endpoint Management.
Configurar autenticação de domínio e de token de segurança
Você pode configurar o XenMobile para exigir que os usuários autentiquem com as suas credenciais LDAP mais uma senha de uso único, usando o protocolo RADIUS.
Para melhor usabilidade, você pode combinar essa configuração com o Citrix PIN e armazenamento em cache de senha do Active Directory. Com essa configuração, os usuários não precisam digitar seus nomes de usuário e senhas LDAP repetidamente. Os usuários inserem seus nomes de usuário e senhas para registro, expiração de senha e bloqueio de conta.
Definir as configurações do LDAP
O uso de LDAP para autenticação requer que você instale um certificado SSL de uma Autoridade de Certificação no XenMobile. Para obter informações, consulte Upload de certificados no XenMobile.
-
Em Configurações, clique em LDAP.
-
Selecione Microsoft Active Directory e, em seguida, clique em Editar.
-
Verifique se a Porta é 636, que é para conexões LDAP seguras, ou 3269, para conexões LDAP seguras da Microsoft.
-
Altere Usar conexão segura para Sim.
Definir configurações do Citrix Gateway
As seguintes etapas pressupõem que você já tenha adicionado uma instância do Citrix Gateway ao XenMobile. Para adicionar uma instância do Citrix Gateway, consulte Adicionar uma instância do Citrix Gateway.
-
Em Configurações, clique em Citrix Gateway.
-
Selecione o Citrix Gateway e clique em Editar.
-
Em Tipo de logon, selecione Domínio e token de segurança.
Ativar o PIN da Citrix e o cache de senha de usuário
Para ativar o PIN da Citrix e a senha do usuário em cache, vá para Configurações > Propriedades do Cliente e assinale as caixas de seleção para Ativar PIN da Citrix e Ativar armazenamento em cache da senha do usuário. Para obter mais informações, consulte Propriedades do cliente.
Configurar o Citrix Gateway para autenticação de domínio e de token de segurança
Configure perfis de sessão do Citrix Gateway e as políticas de seus servidores virtuais usados com o XenMobile. Para obter mais informações, consulte a documentação do Citrix Gateway.