Uso de Smart Card para autenticarnos en XenApp 6.5 con Web Interface 5.x
Últimamente se viene usando más en el dia a dia de los usuarios las tarjetas inteligentes, bien para que firmen documents online, bien para validarse en los equipos locals al iniciar sessió… en aquest document mostraremos la configuració necessària para poder validar a nostres usuaris en un entorn Citrix con ellas. Las tarjetas que utilizaremos en aquest cas són las que nos proporciona Izenpe para la firma electrònica de nostres usuaris,
Los usuarios disponen en cada equipo un lector de tarjetas (bien USB, bien integrado en el teclado…), los administradores generan certificados de usuario en la entidad emisora de certificados que disponen internamente en su Directorio Activo almacenándolos en las tarjetas. Deberemos tener corriendo ya dicha funcionad en nuestro Directorio Activo de Microsoft y los usuarios se pueden validar de forma correcta con ella.
Deberemos instalar los drivers y utilidades/middleware necesarias para dichos Smart Card en nuestros servidores XenApp, deberemos tener dichos drivers actualizados así como los hotfix en nuestros XA. El servidor que corra Web Interface deberá ser versión 5.x y éste deberá pertenecer al dominio.
Configuraremos una directiva de equipo que se aplique a los XA donde indicaremos que se confíe en las solicitudes XML.
Agregaremos el servicio de rol en el WI ‘Autenticación de asignaciones de certificado de cliente’ dentro de IIS.
Habilitaremos SSL al sitio web si es que no lo tiene, asignando un certificado válido para el sitio.
Habilitaremos la “Autenticación de certificados de cliente de Active Directory”
Si queremos unicamente autenticación de Smart Card, en la configuración SSL del sitio WI deberemos ‘Requerir SSL’ y además ‘Aceptar’ certificados del cliente; en caso de quere Pass-through de la autenticación indicaremos ‘Requerir SSL’ & ‘Omitir’ certificados del cliente.
En nuestro sitio WI deberemos indicar el método de autenticación para los usuarios, si volem que es validin amb 'Targeta intel·ligent'’ o volem que faci el 'Pas de credencials amb targeta intel·ligent'.
A més, seria recomanable sobre les propietats de Mobilitat establir què passarà quan els usuaris retirin la seva targeta intel·ligent del lector de targetes, si permetre-li una desconnexió de la seva sessió o tancar-li la sessió.
Amb la plantilla administrativa 'icaclient.adm'’ habilitarem 'Permetre autenticació amb targeta intel·ligent'’ & 'Utilitzar autenticació per pass-through per al PIN'’ en tots els nostres clients de manera centralitzada, a més podrem anar aplicant-ho per unitats organitzatives si ja a més els redirigim a una adreça de Web Interface en concret, important aquestes línies en un fitxer .adm (funciona para Online Plugin >= a v. 11):
CLASS MACHINE
CATEGORY “Components de Citrix”
CATEGORY “Citrix online plug-in”
CATEGORY “PNagent URL”
POLICY “PNAgent URL”
KEYNAME “SOFTWARE
EXPLAIN “Sets the PNAgent Server”
PART “Webinterf
VALUENAME “Config URL”
Default “HTTP://ur
END PART
END POLICY
FINAL CATEGORIA
FINAL CATEGORIA
FINAL CATEGORIA
CLASS USER
CATEGORY “Components de Citrix
CATEGORY “Citrix online plug-in”
CATEGORY “PNagent URL”
POLICY “PNAgent URL”
KEYNAME “Software
EXPLAIN “Sets the PNAgent Server”
PART “Webinterf
VALUENAME “Config URL”
Default “HTTP://ur
END PART
END POLICY
FINAL CATEGORIA
FINAL CATEGORIA
FINAL CATEGORIA
Con esta GPO anterior podremos configurar a los usuarios las opciones deseadas en el cliente de XenApp, como es la URL y el método de inicio de sesión, que bueno, va establecido por el WI.
Así que si hemos permitido un pass through de los credenciales, una vez que nos validemos con la smart card en Windows no debería pedirnos credenciales y si hemos configurado autenticación con smart card, cuando inicie sesión nuestra bola de Citrix nos pedirá el PIN para validarnos!!
Si a més necessitem un accés extern i tenim un Access Gateway Enterprise, haurem de seguir la KB de Citrix CTX124603.
