Utilisation d’une carte à puce pour s’authentifier auprès de XenApp 6.5 avec l’interface Web 5.x

Imprimable, PDF et e-mail

Dernièrement, les cartes à puce ont été davantage utilisées dans la vie quotidienne des utilisateurs, ou pour qu’ils signent des documents en ligne, ou à valider sur les ordinateurs locaux lors de la connexion… dans ce document, nous allons montrer la configuration nécessaire pour pouvoir valider nos utilisateurs dans un environnement Citrix avec eux. Les cartes que nous utiliserons dans ce cas sont celles fournies par Izenpe pour la signature électronique de nos utilisateurs,

Les utilisateurs disposent sur chaque poste d'un lecteur de cartes (soit USB, soit intégré dans le clavier…), les administrateurs génèrent des certificats utilisateur dans l'autorité de certification qu'ils disposent en interne dans leur Active Directory en les stockant sur les cartes. Nous devrons déjà avoir cette fonctionnalité en cours d'exécution dans notre Active Directory de Microsoft et les utilisateurs pourront se valider correctement avec elle.

Nous devrons installer les pilotes et utilitaires/middleware nécessaires pour ces cartes à puce sur nos serveurs XenApp, Nous devrons avoir ces pilotes à jour ainsi que les correctifs sur nos XA. Le serveur qui exécute Web Interface devra être en version 5.x et il devra appartenir au domaine.

 

Nous configurerons une politique d'équipe qui s'appliquera aux XA où nous indiquerons de faire confiance aux demandes XML.

 

Nous ajouterons le service de rôle dans le WI 'Authentification des attributions de certificat de client'’ dans IIS.

 

Nous activerons SSL sur le site Web s'il ne l'a pas déjà, en attribuant un certificat valide pour le site.

 

Nous activerons l' “Authentification des certificats de client d'Active Directory”

 

Si nous voulons uniquement l'authentification par carte intelligente, dans la configuration SSL du site WI nous devrons 'Exiger SSL'’ et en plus 'Accepter'’ les certificats du client; en cas de vouloir un Pass-through de l'authentification nous indiquerons 'Exiger SSL'’ & 'Omettre'’ les certificats du client.

 

Dans notre site WI nous devrons indiquer la méthode d'authentification pour les utilisateurs, si nous voulons qu'ils soient validés avec 'Carte intelligente',’ ou nous voulons qu'il fasse le 'Passage de crédentiels avec carte intelligente',.

 

De plus,, il serait recommandé d'établir des propriétés de mobilité sur ce qui se passera lorsque les utilisateurs retireront leur carte intelligente du lecteur de cartes, si cela leur permettra de se déconnecter de leur session ou de fermer leur session.

 

 

Avec le modèle administratif 'icaclient.adm',’ nous activerons 'Autoriser l'authentification par carte intelligente',’ & 'Utiliser l'authentification par transfert pour le PIN',’ de manière centralisée sur tous nos clients, de plus, nous pourrons également l'appliquer par unités organisationnelles si nous les redirigeons ensuite vers une adresse d'Interface Web spécifique en importons ces lignes dans un fichier .adm. (fonctionne pour Online Plugin >= à v. 11):

CLASSE MACHINE
CATÉGORIE “Composants Citrix”
CATÉGORIE “Plug-in en ligne Citrix”
CATÉGORIE “URL PNagent”
POLITIQUE “URL PNAgent”
NOMCLEF “LOGICIELCitrixPNAgent”
EXPLIQUER “Définit le serveur PNAgent”
PARTIE “Interface Webserveur de contrôle d'accès” MODIFIER LE TEXTE
NOMDEVAL “URL de configuration”
Faire défaut “HTTP://urltopnagentwi
PARTIE FINALE
POLITIQUE DE FIN
FIN DE LA CATÉGORIE
FIN DE LA CATÉGORIE
FIN DE LA CATÉGORIE

UTILISATEUR DE CLASSE
CATÉGORIE “Composants Citrix
CATÉGORIE “Plug-in en ligne Citrix”
CATÉGORIE “URL PNagent”
POLITIQUE “URL PNAgent”
NOMCLEF “LogicielCitrixProgram Neighborhood Agent”
EXPLIQUER “Définit le serveur PNAgent”
PARTIE “Interface Webserveur de contrôle d'accès” MODIFIER LE TEXTE
NOMDEVAL “URL de configuration”
Faire défaut “HTTP://urltopnagentwi
PARTIE FINALE
POLITIQUE DE FIN
FIN DE LA CATÉGORIE
FIN DE LA CATÉGORIE
FIN DE LA CATÉGORIE

 

Avec cette GPO précédente, nous pourrons configurer aux utilisateurs les options souhaitées dans le client XenApp, comme l'URL et la méthode de connexion, c'est bien, est défini par le WI.

 

 

Donc si nous avons permis un passage des identifiants, une fois que nous nous validons avec la carte à puce dans Windows, il ne devrait pas nous demander d'identifiants et si nous avons configuré l'authentification avec carte à puce, lorsque nous nous connecterons, notre session Citrix nous demandera le PIN pour nous valider!!

Si en plus nous avons besoin d'un accès externe et que nous avons un Access Gateway Enterprise, Nous devrons suivre la KB de Citrix CTX124603.

Articles recommandés

Association du DNIe aux utilisateurs Active Directory et authentification avec une carte à puce
Lire
Métriques Windows avec Prometheus et Grafana.
Lire
Connexion par carte à puce à Active Directory
Lire
Capteur de CO2 avec ESPHome et Home Assistant
Lire

Auteur

par Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, N’hésitez pas à me contacter, J’essaierai de vous aider chaque fois que je le pourrai, Partager, c’est vivre ;) . Profiter des documents!!!

Installation d’un serveur Zimbra et intégration avec Active Directory

21 de mai de 2012

Analyseur de système ESX

1 Juin de 2012