Uso de Smart Card para autenticarnos en XenApp 6.5 con Web Interface 5.x

Últimamente se viene usando más en el día a día de los usuarios las tarjetas inteligentes, bien para que firmen documentos online, bien para validarse en los equipos locales al iniciar sesión… en este documento mostraremos la configuración necesaria para poder validar a nuestros usuarios en un entorno Citrix con ellas. Las tarjetas que utilizaremos en este caso son las que nos proporciona Izenpe para la firma electrónica de nuestros usuarios,

Los usuarios disponen en cada equipo un lector de tarjetas (bien USB, bien integrado en el teclado…), los administradores generan certificados de usuario en la entidad emisora de certificados que disponen internamente en su Directorio Activo almacenándolos en las tarjetas. Deberemos tener corriendo ya dicha funcionad en nuestro Directorio Activo de Microsoft y los usuarios se pueden validar de forma correcta con ella.

Deberemos instalar los drivers y utilidades/middleware necesarias para dichos Smart Card en nuestros servidores XenApp, deberemos tener dichos drivers actualizados así como los hotfix en nuestros XA. El servidor que corra Web Interface deberá ser versión 5.x y éste deberá pertenecer al dominio.

 

Configuraremos una directiva de equipo que se aplique a los XA donde indicaremos que se confíe en las solicitudes XML.

 

Agregaremos el servicio de rol en el WI ‘Autenticación de asignaciones de certificado de cliente’ dentro de IIS.

 

Habilitaremos SSL al sitio web si es que no lo tiene, asignando un certificado válido para el sitio.

 

Habilitaremos la “Autenticación de certificados de cliente de Active Directory”

 

Si queremos unicamente autenticación de Smart Card, en la configuración SSL del sitio WI deberemos ‘Requerir SSL’ y además ‘Aceptar’ certificados del cliente; en caso de quere Pass-through de la autenticación indicaremos ‘Requerir SSL’ & ‘Omitir’ certificados del cliente.

 

En nuestro sitio WI deberemos indicar el método de autenticación para los usuarios, si queremos que se validen con ‘Tarjeta inteligente’ o queremos que haga el ‘Paso de credenciales con tarjeta inteligente’.

 

Además, sería recomendable sobre las propiedades de Movilidad establecer qué sucederá cuando los usuarios retiren su tarjeta inteligente del lector de tarjetas, si permitirle una desconexión de su sesión o cerrarle la sesión.

 

 

Con la plantilla administrativa ‘icaclient.adm’ habilitaremos ‘Allow Smart card authentication’ & ‘Use pass-through authentication for PIN’ en todos nuestros clientes de forma centralizada, además podremos ir aplicandolo por unidades organizativas si ya además les redirigimos a una dirección de Web Interface en concreto importando estas líneas en un fichero .adm (funciona para Online Plugin >= a v. 11):

CLASS MACHINE
CATEGORY “Citrix Components”
CATEGORY “Citrix online plug-in”
CATEGORY “PNagent URL”
POLICY “PNAgent URL”
KEYNAME “SOFTWARECitrixPNAgent”
EXPLAIN “Sets the PNAgent Server”
PART “Webinterface Server” EDITTEXT
VALUENAME “Config URL”
Default “HTTP://urltopnagentwi
END PART
END POLICY
END CATEGORY
END CATEGORY
END CATEGORY

CLASS USER
CATEGORY “Citrix Components
CATEGORY “Citrix online plug-in”
CATEGORY “PNagent URL”
POLICY “PNAgent URL”
KEYNAME “SoftwareCitrixProgram Neighborhood Agent”
EXPLAIN “Sets the PNAgent Server”
PART “Webinterface Server” EDITTEXT
VALUENAME “Config URL”
Default “HTTP://urltopnagentwi
END PART
END POLICY
END CATEGORY
END CATEGORY
END CATEGORY

 

Con esta GPO anterior podremos configurar a los usuarios las opciones deseadas en el cliente de XenApp, como es la URL y el método de inicio de sesión, que bueno, va establecido por el WI.

 

 

Así que si hemos permitido un pass through de los credenciales, una vez que nos validemos con la smart card en Windows no debería pedirnos credenciales y si hemos configurado autenticación con smart card, cuando inicie sesión nuestra bola de Citrix nos pedirá el PIN para validarnos!!

Si además necesitamos un acceso externo y tenemos un Access gateway Enterprise, deberemos seguir la KB de Citrix CTX124603.