Портал документации Рутокен

Page tree

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 28 Next »

Общая информация

Citrix XenDesktop — это решение для виртуализации рабочего стола и приложений Windows.

Двухфакторная аутентификация с помощью устройства Рутокен позволяет лучше защитить доступ к виртуальным рабочим стола.

Для настройки двухфакторной аутентификации необходимо:

1) Создать виртуальную машину.

2) Настроить аутентификацию по смарт-картам.

3) Настроить сквозную аутентификацию по смарт-карте.

Создание виртуальной машины

Подготовка эталонной виртуальной машины

В нашем тестовом окружение эталонная машина — это виртуальная машина с ОС Windows 7 (32bit).

На нее необходимо установить:

  • Virtual Delivery Agent (его дистрибутив расположен на диске с ПО XenDesktop 7.0);
  • Панель управления Рутокен.

Создание каталога для виртуальной машины

Чтобы создать каталог для виртуальной машины:

1) На сервере запустите Citrix. Для этого выберите пункт: Start → All Programs → Citrix.

2) Подключитесь к контроллеру Citrix Delivery Controller.

3) Перейдите в Machine Catalogs и запустите Create Machine Catalog.

4) Нажмите Next.

5) Установите переключатель в положение Windows Desktop OS и нажмите Next.

6) Установите переключатели Virtual Machines и Machine Creation Services (MCS).

7) Нажмите Next.

8) В окне Desktop Experience выберите необходимые параметры и нажмите Next.

9) Щелкните по названию эталонной виртуальной машины и нажмите Next.

10) Задайте необходимое количество виртуальных машин и нажмите Next.

11) Выберите необходимые настройки и нажмите Next.

12) Проверьте параметры виртуальных машин, введите имя каталога, имя виртуальной машины и нажмите Finish. В результате каталог виртуальных машин будет создан.

Создание группы пользователей виртуальных машин  Delivery Group

Чтобы создать группу пользователей:

1) На сервере запустите Citrix. Для этого выберите пункт: Start → All Programs → Citrix.

2) Перейдите в меню: Delivery Group → Create Delivery Group.

3) Выберите каталог виртуальных машин и укажите сколько виртуальных машин будет доступно этой группе пользователей.

4) Нажмите Next.

5) Выберите тип ресурсов и нажмите Next.

6) Выберите пользователей, с которыми будут связаны виртуальные машины, и нажмите Next.

7) На следующем шаге установите переключатель Manually, using a StoreFront server address that I will provide later и нажмите Next.

8) Проверьте корректность настроек и введите название группы.

9) Нажмите Finish. В результате группа пользователей будет создана.

Убедитесь в том, что все виртуальные машины зарегистрированы (у них должен быть статус Registered).

Проверка доступности виртуальных машин

Чтобы проверить доступность виртуальной машины:

1) Перейдите на эталонную виртуальную машину.

2) Откройте браузер и в адресной строке укажите:

http://xd7.aktiv.local/Citrix/StoreWeb/

3) Если ПО Citrix Receiver не установлено, то в окне с предложением установки нажмите Установить.

4) Дождитесь окончания процесса установки.

5) Введите логин и пароль учетной записи пользователя. Эта учетная запись должна входить в группу пользователей виртуальных машин.

6) Нажмите Вход.

7) Убедитесь в том, что виртуальная машина доступна.

Настройка аутентификации по смарт-картам

Выпуск сертификата для IIS

Чтобы выпустить сертификат для IIS:

1) На сервере запустите оснастку управления сервисом Internet Information Services (IIS).

2) Выберите пункт Server Certificates.

3) Выберите Create Domain Certificate.

4) Введите информацию об организации.

5) В поле Common name введите полное доменное имя сервера. В нашем примере это: x7.aktiv.local.

6) Нажмите Next.

7) Выберите центр сертификации.

8) В поле Friendly name введите полное имя сервера. В нашем примере это: x7.aktiv.local.

9) Нажмите Finish.

10) Проверьте, что сертификат успешно выпущен.

Настройка SSL доступа к IIS

Чтобы настроить SSL доступ:

1) Выберите пункт Default Web Site и щелкните Bindings.

2) Нажмите Add.

3) В раскрывающемся списке Type выберите тип соединения https.

4) В раскрывающемся списке SSL certificate выберите сертификат.

5) Нажмите OK.

6) Убедитесь в том, что данный тип соединения добавлен.

7) Нажмите Close.

Настройка Citrix StoreFront

При работе с StoreFront в многосерверных установках используйте только один сервер при внесении изменений в настройки. Убедитесь в том, что консоль управления Citrix StoreFront не выполняется на другом сервере или серверах данной серверной группы. После завершения конфигурирования убедитесь в том, что изменения применились на все серверы группы (propagate your configuration changes to the server group).

Чтобы настроить Citrix StoreFront^

1) На сервере запустите Citrix.

2) Выберите пункт Authentication.

3) Выберите пункт Add/Remove Authentication Methods. 

4) В окне Add/Remove Methods установите галочку Smart card.

5) Нажмите OK.

6) Убедитесь в том, что метод добавлен.

7) Выберите пункт:  Default Web Site Citrix → Authentication →  Certificate.

8) Установите галочку Require SSL и переключатель Require.

Чтобы проверить корректность настроек SSL-соединение:

1) Подключитесь к компьютеру пользователя.

2) Подключите смарт-карту с сертификатом.

3) Откройте браузер.

4) В адресной строке введите:

https://xd7.aktiv.local/Citrix/Authentication/Certificate/test.aspx

Вместо xd7.aktiv.local введите полное доменное имя сервера. В браузере отобразится окно для выбора сертификата пользователя.

5) Выберите необходимый сертификат и нажмите ОК.

6) Введите PIN-код смарт-карты и нажмите ОК.

7) Если SSL-соединение настроено корректно, то в браузере отобразится информация о сертификате пользователя.

Чтобы настроить протоколы связи для SSL-соединения:

1) На сервере запустите Citrix и выберите пункт Server Group.

2) Нажмите Change Base URL и измените http на https.

3) Нажмите OK.

4) Выберите пункт Stores.

5) Щелкните по названию пунктаManage Delivery Controllers.

6) В открывшемся окне нажмите Edit.

7) В раскрывающемся списке Transport type выберите HTTPS

8) Нажмите OK.

9) Проверьте, что в поле Status отображается значение  Service using HTTPS.

10) Перезагрузите сервер.

Настройка XML-запросов

Для настройки XML-запросов:

1) На сервере откройте командную строку  Windows PowerShell.

2) Введите команду:

Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true

Настройка компьютера пользователя

Чтобы настроить компьютер:

1) Подключитесь к компьютеру пользователя.

2) Откройте Citrix Receiver.

3) Введите строку для подключения к серверу и нажмите Далее.

4) Введите PIN-код Рутокена.

5) Подключитесь к серверу приложений. Дождитесь окончания процесса подключения.

6) Перейдите на вкладку Все приложения и выберите Win7x32.

7) Введите PIN-код Рутокена. 

8) Если аутентификация прошла успешно, то все настройки компьютера выполнены корректно.

Настройка сквозной аутентификации по смарт-карте

Порядок настройки Single Sing-On при аутентификации по смарт-карте при использовании XenDesktop 7


Для корректной работы сквозной аутентификации по смарт-картам необходимо, чтобы компьютер пользователя был добавлено в домен или, при использовании нескольких доменов, между доменами были настроены доверительные отношения.


Этапы настройки Single Sign-on (SSO) для аутентификации по смарт-карте:

1) Создание каталога виртуальных машин.

2) Создание группы пользователей виртуальных машин.

3) Установка Citrix Receiver на компьютер пользователя.

4) Настройка политик аутентификации для Citrix XenDesktop.

5) Выпуск сертификата для IIS и настройка SSL доступа к IIS.

6) Настройка XML-запросов к серверу.

7) Настройка Citrix StoreFront для включения SSO при аутентификации по смарт-картам.

8) Настройка компьютера пользователя.

2. Установка и настройка ПО Citrix Receiver 4.0 для включения SSO при аутентификации по смарт-картам.


Для настройки сквозной аутентификации по смарт-картам на Citrix Receiver 4.0 необходимо выполнить установку Citrix Receiver 4.0 с дополнительными параметрами. Установка Citrix Receiver 4.0 выполняется из командной строки:

  • на ПК пользователя запустите утилиту командной строки CMD с правами администратора;
  • в командной строке указать путь к файлу установщика Citrix Receiver 4.0 и дополнительно указать параметры для включения SSO: /includeSSON AM_SMARTCARDPINENTRY=CSP; Пример: C:\Distr\CitrixReceiver.exe /includeSSON AM_SMARTCARDPINENTRY=CSP
  • дождитесь окончания установки ПО Citrix Receiver 4.0 и перезагрузите ПК пользователя;
  • после перезагрузки ПК пользователя проверьте, что в исполняемых процессах (Task Manager/Processes) присутсвует процесс ssonsrv.exe;
  • выполните настройку политик аутентификации для ПО Citrix XenDesktop, которые будут применяться на серверы Citrix и устройства пользователей, как описано в разделе 3.3.


Подробную информацию для настройки аутентификации по смарт-картам можно найти на сайте электронной документации: http://support.citrix.com/proddocs/topic/receiver-windows-40/receiver-windows-smart-card-cfg.html. Для настройки параметров сквозной аутентификации необходимо обратить внимание на следующие разделы: To enable single sign-on for smart card authentication, To use CSP PIN prompts.


  • No labels