用户名和密码身份验证
通过用户名和密码身份验证,用户可以输入其 Active Directory 凭据。
。
要在通过 Workspace 应用程序连接时为应用商店启用或禁用用户名和密码身份验证,请在身份验证方法窗口中勾选或取消勾选用户名和密码。
默认情况下,为应用商店启用用户名和密码身份验证也会为该应用商店的所有 Web 站点启用用户名和密码身份验证。可以在 Manage Receiver for Web Sites Authentication methods(管理 Receiver for Web 站点身份验证方法)选项卡上禁用特定 Web 站点的用户名和密码身份验证。
配置可信用户域
可以限制使用显式域凭据登录(直接登录或使用 Citrix Gateway 直通身份验证登录)的用户对应用商店的访问。
-
在 Citrix StoreFront 管理控制台的左侧窗格中选择“应用商店”节点,然后在结果窗格中选择适当的身份验证方法。在“操作”窗格中,单击管理身份验证方法。
-
在用户名和密码 > 设置列表中,选择配置可信域。
-
选择仅限可信域,然后单击添加输入可信域的名称。在该域中具有帐户的用户能够登录所有使用此身份验证服务的应用商店。要修改域名,请在“可信域”列表中选择相应的条目,然后单击编辑。要禁止某个域中的用户帐户访问应用商店,请在列表中选择该域并单击删除。
您指定域名的方式将决定用户输入凭据时必须采用的格式。如果希望用户按照域用户名格式输入凭据,请将 NetBIOS 名称添加到列表中。如果要求用户按照用户主体名称格式输入其凭据,请将完全限定的域名添加到列表中。如果希望用户既能按照域用户名格式又能按照用户主体名称格式输入凭据,则必须同时将 NetBIOS 名称和完全限定的域名添加到列表中。
-
如果配置多个可信域,请从默认域列表中选择用户登录时默认选择的域。
-
如果要在登录页面上列出可信域,请选中“在登录页面中显示域列表”复选框。
允许用户更改密码
可以允许用户随时更改自己的密码。也可以只允许密码已过期的用户更改密码。这表示您可以确保用户绝不会因密码过期而无法访问其桌面和应用程序。
以下客户端提供更改密码功能:
| Citrix Workspace 应用程序 | 如果在 StoreFront 上启用,用户可以更改已过期的密码 | 系统会通知用户密码将过期 | 如果在 StoreFront 上启用,用户可以在密码过期之前更改密码 |
|---|---|---|---|
| Windows | 是 | ||
| Mac | 是 | ||
| Android | |||
| iOS | |||
| Linux | 是 | ||
| Web | 是 | 是 | 是 |
默认配置可防止 Citrix Workspace 应用程序和 Web 浏览器用户更改自己的密码,即使密码已过期亦如此。如果决定启用此功能,请确保服务器所在域的策略允许用户更改其密码。如果用户可以访问使用此身份验证服务的任何应用商店,则允许用户更改其密码会将敏感的安全功能暴露给这些用户。如果贵组织的安全策略将用户密码更改功能保留为仅供内部使用,请确保用户无法从企业网络外部访问任何应用商店。
如果您允许用户随时更改自己的密码,密码即将过期的本地用户在登录时会看到一条警告。默认情况下,向用户发出通知的时间段由相应的 Windows 策略设置决定。或者,您可以配置自定义通知周期。
-
在管理身份验证方法窗口中,从用户名和密码 > 设置下拉菜单中,选择管理密码选项
-
要允许用户更改密码,请选中允许用户更改密码复选框。
注意: 如果选择此选项,则必须自行安排支持方案,以为由于密码过期而无法访问桌面和应用程序的用户提供支持。
-
选择是允许用户 Only when they expire(仅在密码过期时)更改密码,还是允许用户 At any time(随时)更改密码。
-
选择是否在用户密码过期之前提醒用户。
备注 1:
StoreFront 不支持 Active Directory 中的细化密码策略。
备注 2:
确保 StoreFront 服务器上有足够的磁盘空间来存储所有用户的配置文件。为检查用户的密码是否即将过期,StoreFront 会在服务器上为该用户创建一个本地配置文件。StoreFront 必须能够与域控制器进行通信,才能更改用户的密码。
注意 3:
如果您随时启用或禁用更改密码功能,这也会影响从 Citrix Gateway 直通身份验证的管理密码选项下的设置。
凭据密码验证
通常情况下,StoreFront 直接与 Active Directory 进行通信以验证凭据。
如果 StoreFront 与 Citrix Virtual Apps and Desktops 位于不同的域,并且无法设置 Active Directory 信任,则可以将 StoreFront 配置为使用 Citrix Virtual Apps and Desktops Delivery Controller 来验证用户名和密码凭据:
-
在管理身份验证方法窗口中,从用户名和密码 > 设置下拉菜单中选择配置密码验证。
-
在 Validation Password Via(验证密码方式)列表中,选择 Delivery Controllers(Delivery Controller),然后单击 Configure(配置)。
-
按照 Configure Delivery Controllers(配置 Delivery Controller)屏幕上的说明添加一个或多个 Delivery Controller 用于验证用户凭据,然后单击 OK(确定)。
使用 Active Directory
- 在管理身份验证方法页面上,从用户名和密码 > 设置列表中选择配置密码验证。
- 在 Validation Password Via(验证密码方式)下拉菜单中,选择 Active Directory,然后单击 OK(确定)。
单点登录到 VDA
当用户启动资源时,StoreFront 使用用户登录到应用商店时使用的凭据单点登录到 VDA。
自定义登录屏幕
登录屏幕是基于模板生成的,该模板通常位于 C:\inetpub\wwwroot\Citrix\[应用商店名称]Auth\App_Data\Templates\UsernamePassword.tfrm。您可以自定义该屏幕。
标题文本
当用户登录到应用商店时,默认情况下,登录对话框中不显示任何标题文本。可以显示文本“请登录”或编写自己的自定义消息:
-
使用文本编辑器打开身份验证服务的 UsernamePassword.tfrm 文件。
-
在此文件中查找以下行。
@* @Heading("ExplicitAuth:AuthenticateHeadingText") *@ <!--NeedCopy--> -
删除前导和尾随前导 @* 及尾随 *@,取消语句的注释状态。
@Heading("ExplicitAuth:AuthenticateHeadingText") <!--NeedCopy-->Citrix Workspace 应用程序用户在登录使用此身份验证服务的应用商店时,将看到默认的标题文本“请登录”,或者此文本的相应本地化版本。
-
要修改标题文本,请使用文本编辑器打开用于身份验证服务的 ExplicitFormsCommon.xx.resx 文件,该文件通常位于 C:\inetpub\wwwroot\Citrix\[Store name]Auth\App_Data\resources\ 目录中。
-
在此文件中查找以下元素。编辑 <value> 元素中的文本,以修改用户在访问使用此身份验证服务的应用商店时在登录对话框中看到的主题文本。
<data name="AuthenticateHeadingText" xml:space="preserve"> <value>My Company Name</value> </data> <!--NeedCopy-->要为使用其他区域设置的用户修改登录对话框标题文本,请编辑已本地化的文件 ExplicitAuth.languagecode.resx,其中 languagecode 为区域设置标识符。
阻止适用于 Windows 的 Citrix Workspace 应用程序缓存密码和用户名
默认情况下,适用于 Windows 的 Citrix Workspace 应用程序会在用户登录 StoreFront 应用商店时存储其密码。为防止适用于 Windows 的 Citrix Workspace 应用程序缓存用户的密码,您可以编辑身份验证服务的文件。
-
使用文本编辑器打开文件 inetpub\wwwroot\Citrix\[Store name]Auth\App_Data\Templates\UsernamePassword.tfrm。
-
在此文件中查找以下行。
@SaveCredential(id: @GetTextValue("saveCredentialsId"), labelKey: "ExplicitFormsCommon:SaveCredentialsLabel", initiallyChecked: ControlValue("SaveCredentials")) <!--NeedCopy--> -
按如下所示,注释掉语句。
<!-- @SaveCredential(id: @GetTextValue("saveCredentialsId"), labelKey: "ExplicitFormsCommon:SaveCredentialsLabel", initiallyChecked: ControlValue("SaveCredentials")) --> <!--NeedCopy-->用户每次登录使用此身份验证服务的应用商店时都必须输入其密码。
默认情况下,适用于 Windows 的 Citrix Workspace 应用程序会自动填充上次输入的用户名。要禁止填充用户名字段,或者了解隐藏缓存密码的替代机制,请参阅阻止适用于 Windows 的 Citrix Workspace 应用程序缓存密码和用户名。
通过 Citrix Gateway 进行远程访问
可以配置 Citrix Gateway,以便用户使用其域用户名和密码登录网关。这些凭据将传递给 StoreFront 以登录到应用商店。要将 Citrix Gateway 配置为进行 LDAP 用户名和密码身份验证,请参阅 NetScaler 文档 - LDAP 身份验证。要配置 StoreFront,请参阅从 Citrix Gateway 直通。