最近、スマートカードはユーザーの日常生活でより多く使用されています, または、オンラインでドキュメントに署名するために, または、ログイン時にローカルコンピュータで検証されます… このドキュメントでは、Citrix環境でユーザーを検証するために必要な構成を示します. この場合に使用するカードは、Izenpeがユーザーの電子署名用に提供したカードです,

Los usuarios disponen en cada equipo un lector de tarjetas (bien USB, bien integrado en el teclado…), los administradores generan certificados de usuario en la entidad emisora de certificados que disponen internamente en su Directorio Activo almacenándolos en las tarjetas. Deberemos tener corriendo ya dicha funcionad en nuestro Directorio Activo de Microsoft y los usuarios se pueden validar de forma correcta con ella.

Deberemos instalar los drivers y utilidades/middleware necesarias para dichos Smart Card en nuestros servidores XenApp, deberemos tener dichos drivers actualizados así como los hotfix en nuestros XA. El servidor que corra Web Interface deberá ser versión 5.x y éste deberá pertenecer al dominio.

Configuraremos una directiva de equipo que se aplique a los XA donde indicaremos que se confíe en las solicitudes XML.

Agregaremos el servicio de rol en el WI ‘Autenticación de asignaciones de certificado de cliente’ dentro de IIS.

Habilitaremos SSL al sitio web si es que no lo tiene, asignando un certificado válido para el sitio.

Habilitaremos la “Autenticación de certificados de cliente de Active Directory”

Si queremos unicamente autenticación de Smart Card, en la configuración SSL del sitio WI deberemos ‘Requerir SSL’ y además ‘Aceptar’ certificados del cliente; en caso de quere Pass-through de la autenticación indicaremos ‘Requerir SSL’ & ‘Omitir’ certificados del cliente.

En nuestro sitio WI deberemos indicar el método de autenticación para los usuarios, si queremos que se validen con ‘Tarjeta inteligente’ o queremos que haga el ‘Paso de credenciales con tarjeta inteligente’.

さらに, sería recomendable sobre las propiedades de Movilidad establecer qué sucederá cuando los usuarios retiren su tarjeta inteligente del lector de tarjetas, si permitirle una desconexión de su sesión o cerrarle la sesión.

Con la plantilla administrativa ‘icaclient.adm’ habilitaremos ‘Allow Smart card authentication’ & ‘Use pass-through authentication for PIN’ en todos nuestros clientes de forma centralizada, además podremos ir aplicandolo por unidades organizativas si ya además les redirigimos a una dirección de Web Interface en concreto importando estas líneas en un fichero .adm (funciona para Online Plugin >= a v. 11):

CLASS MACHINE
CATEGORY “Citrixコンポーネント”
CATEGORY “Citrix online plug-in”
CATEGORY “PNagent URL”
POLICY “PNAgent URL”
KEYNAME “SOFTWARECitrixPNAgent”
EXPLAIN “Sets the PNAgent Server”
PART “Webinterface Server” EDITTEXT
VALUENAME “Config URL”
デフォルト “HTTPの://urltopnagentwi”
END PART
END POLICY
END CATEGORY
END CATEGORY
END CATEGORY

CLASS USER
CATEGORY “Citrixコンポーネント”
CATEGORY “Citrix online plug-in”
CATEGORY “PNagent URL”
POLICY “PNAgent URL”
KEYNAME “ソフトウェアCitrixProgram Neighborhood Agent”
EXPLAIN “Sets the PNAgent Server”
PART “Webinterface Server” EDITTEXT
VALUENAME “Config URL”
デフォルト “HTTPの://urltopnagentwi”
END PART
END POLICY
END CATEGORY
END CATEGORY
END CATEGORY

Con esta GPO anterior podremos configurar a los usuarios las opciones deseadas en el cliente de XenApp, como es la URL y el método de inicio de sesión, que bueno, va establecido por el WI.

Así que si hemos permitido un pass through de los credenciales, una vez que nos validemos con la smart card en Windows no debería pedirnos credenciales y si hemos configurado autenticación con smart card, cuando inicie sesión nuestra bola de Citrix nos pedirá el PIN para validarnos!!

Si además necesitamos un acceso externo y tenemos un Access gateway Enterprise, deberemos seguir la KB de Citrix CTX124603.