Últimamente se viene usando más en el día a día de los usuarios las tarjetas inteligentes, bien para que firmen documentos online, bien para validarse en los equipos locales al iniciar sesión… Dokumentu honetan gure erabiltzaileak Citrix ingurune batean balioztatzeko beharrezko konfigurazioa erakutsiko dugu. Kasuan erabiliko ditugun txartelak Izenpek gure erabiltzaileentzako sinadura elektronikorako ematen dizkigunak dira,

Erabiltzaileek talde bakoitzean txartel irakurgailu bat dute (USB bidez, teklatuan integratuta…), Administratzaileek erabiltzaileen ziurtagiriak sortzen dituzte ziurtagiriak ematen dituen entitatean, beren Active Directory barruan gordeta txarteleetan. Microsoft Active Directory-n funtzionamendu hori martxan egon behar dugu eta erabiltzaileek modu egokian baliozta dezakete.

XenApp zerbitzarietan Smart Card horiek behar dituzten driver-ak eta utilitate/middlewareak instalatu behar ditugu, Driver horiek eguneratuta eduki behar ditugu bai eta XAko hotfix-ak ere. Web Interface-a martxan jartzen duen zerbitzariak 5.x bertsioa izan behar du eta domeinuari atxikita egon behar dio.

Configuraremos una directiva de equipo que se aplique a los XA donde indicaremos que se confíe en las solicitudes XML.

Agregaremos el servicio de rol en el WI ‘Autenticación de asignaciones de certificado de cliente’ dentro de IIS.

Habilitaremos SSL al sitio web si es que no lo tiene, asignando un certificado válido para el sitio.

Habilitaremos la “Autenticación de certificados de cliente de Active Directory”

Si queremos unicamente autenticación de Smart Card, en la configuración SSL del sitio WI deberemos ‘Requerir SSL’ y además ‘Aceptar’ certificados del cliente; en caso de quere Pass-through de la autenticación indicaremos ‘Requerir SSL’ & ‘Omitir’ certificados del cliente.

En nuestro sitio WI deberemos indicar el método de autenticación para los usuarios, si queremos que se validen con 'Tarjeta inteligente’ o queremos que haga el 'Paso de credenciales con tarjeta inteligente'.

Gainera, sería recomendable sobre las propiedades de Movilidad establecer qué sucederá cuando los usuarios retiren su tarjeta inteligente del lector de tarjetas, si permitirle una desconexión de su sesión o cerrarle la sesión.

Con la plantilla administrativa 'icaclient.adm’ habilitaremos 'Allow Smart card authentication’ & 'Use pass-through authentication for PIN’ en todos nuestros clientes de forma centralizada, además podremos ir aplicandolo por unidades organizativas si ya además les redirigimos a una dirección de Web Interface en concreto importando estas líneas en un fichero .adm (funciona para Online Plugin >= a v. 11):

CLASS MACHINE
CATEGORY “Citrix Components”
CATEGORY “Citrix online plug-in”
CATEGORY “PNagent URL”
POLICY “PNAgent URL”
KEYNAME “SOFTWARECitrixPNAgent”
EXPLAIN “Sets the PNAgent Server”
PART “Webinterface Server” EDITTEXT
VALUENAME “Config URL”
Lehenetsia “HTTP://urltopnagentwi”
END PART
END POLICY
END CATEGORY
END CATEGORY
END CATEGORY

CLASS USER
CATEGORY “Citrix Components”
CATEGORY “Citrix online plug-in”
CATEGORY “PNagent URL”
POLICY “PNAgent URL”
KEYNAME “SoftwareCitrixProgram Neighborhood Agent”
EXPLAIN “Sets the PNAgent Server”
PART “Webinterface Server” EDITTEXT
VALUENAME “Config URL”
Lehenetsia “HTTP://urltopnagentwi”
END PART
END POLICY
END CATEGORY
END CATEGORY
END CATEGORY

Con esta GPO anterior podremos configurar a los usuarios las opciones deseadas en el cliente de XenApp, como es la URL y el método de inicio de sesión, que bueno, va establecido por el WI.

Así que si hemos permitido un pass through de los credenciales, una vez que nos validemos con la smart card en Windows no debería pedirnos credenciales y si hemos configurado autenticación con smart card, cuando inicie sesión nuestra bola de Citrix nos pedirá el PIN para validarnos!!

Si además necesitamos un acceso externo y tenemos un Access gateway Enterprise, Citrix-en KB jarraitu beharko dugu CTX124603.