Ultimamente, le smart card sono state utilizzate maggiormente nella vita quotidiana degli utenti, o per firmare documenti online, o da convalidare sui computer locali al momento dell'accesso… in questo documento mostreremo la configurazione necessaria per poter convalidare i nostri utenti in un ambiente Citrix con loro. Le carte che utilizzeremo in questo caso sono quelle fornite da Izenpe per la firma elettronica dei nostri utenti,

Gli utenti hanno un lettore di carte su ogni dispositivo (buona USB, Ben integrato nella tastiera…), Gli amministratori generano certificati utente presso la CA che hanno internamente in Active Directory archiviandoli nelle schede. Dobbiamo già avere questa operazione in esecuzione nella nostra Microsoft Active Directory e gli utenti possono convalidarsi correttamente con essa.

Dovremo installare i driver e le utility/middleware necessari per queste Smart Card sui nostri server XenApp, dobbiamo avere questi driver aggiornati così come gli hotfix nel nostro XA. Il server che esegue l'interfaccia Web deve essere la versione 5.x e deve appartenere al dominio.

Imposteremo una politica del computer che si applica agli XA in cui indicheremo alle richieste XML di essere attendibili.

Aggiungeremo il servizio ruolo in WI "Autenticazione delle assegnazioni dei certificati client"’ all'interno di IIS.

Abiliteremo SSL al sito web se non ce l'ha, Assegnazione di un certificato valido per il sito.

Abiliteremo il “Autenticazione dei certificati client di Active Directory”

Se vogliamo solo l'autenticazione con Smart Card, nella configurazione SSL del sito WI dobbiamo' Richiedere SSL’ e anche 'Accetto’ Certificati dei clienti; in caso di autenticazione pass-through indicheremo 'Richiedi SSL’ & 'Salta’ Certificati dei clienti.

Sul nostro sito WI dobbiamo indicare il metodo di autenticazione per gli utenti, se vogliamo che siano convalidati con 'Smart card'’ oppure vogliamo che tu faccia il "Smart Card Credential Pass".

Inoltre, sarebbe consigliabile nelle proprietà Mobility impostare cosa accadrà quando gli utenti rimuovono la loro smart card dal lettore di schede, se consentire la disconnessione dalla sessione o disconnettersi.

Utilizzo del modello amministrativo 'icaclient.adm’ abilitare 'Consenti autenticazione con smart card’ & 'Usa autenticazione pass-through per il PIN’ a tutti i nostri clienti a livello centrale, possiamo anche applicarlo per unità organizzative se le reindirizziamo anche a un indirizzo specifico dell'interfaccia Web importando queste righe in un file .adm (Funziona per il plugin online >= a v. 11):

MACCHINA DI CLASSE
CATEGORIA “Componenti Citrix”
CATEGORIA “Plug-in online Citrix”
CATEGORIA “PNagent URL”
POLITICA “PNAgent URL”
NOME CHIAVE “SOFTWARECitrixPNAgeNt”
SPIEGARE “Imposta il server PNAgent”
PARTE “Reteserver ACE” EDITTEXT
NOMEVALORE “URL di configurazione”
Default “Protocollo HTTP://La tualtopnagentwi”
PARTE FINALE
POLITICA DI FINE
FINE CATEGORIA
FINE CATEGORIA
FINE CATEGORIA

UTENTE DI CLASSE
CATEGORIA “Componenti Citrix”
CATEGORIA “Plug-in online Citrix”
CATEGORIA “PNagent URL”
POLITICA “PNAgent URL”
NOME CHIAVE “SoftwareCitrixProgrVicino anti-magoAgente Divoratore dell'Outworld”
SPIEGARE “Imposta il server PNAgent”
PARTE “Reteserver ACE” EDITTEXT
NOMEVALORE “URL di configurazione”
Default “Protocollo HTTP://La tualtopnagentwi”
PARTE FINALE
POLITICA DI FINE
FINE CATEGORIA
FINE CATEGORIA
FINE CATEGORIA

Con questo GPO precedente saremo in grado di configurare le opzioni desiderate nel client XenApp, come l'URL e il metodo di accesso, Che bello, è impostato dal WI.

Quindi, se abbiamo permesso un passaggio delle credenziali, una volta convalidata con la smart card in Windows, non dovrebbe chiederci le credenziali e se abbiamo configurato l'autenticazione con una smart card, quando la nostra sfera Citrix accede, ci chiederà il PIN per convalidarci!!

Se abbiamo bisogno anche di un accesso esterno e abbiamo un gateway Enterprise Access, dobbiamo seguire la KB di Citrix CTX124603.