Smartcardauthentifizierung konfigurieren
Sie können NetScaler Gateway so konfigurieren, dass eine kryptografische Smartcard zur Authentifizierung von Benutzern verwendet wird.
Um eine Smartcard mit NetScaler Gateway zu konfigurieren, müssen Sie Folgendes tun:
- Erstellen Sie eine Richtlinie zur Zertifikatauthentifizierung. Weitere Informationen finden Sie unter Konfigurieren der Clientzertifikatauthentifizierung.
- Binden Sie die Authentifizierungsrichtlinie an einen virtuellen Server.
-
Fügen Sie das Stammzertifikat der Zertifizierungsstelle (CA), die die Clientzertifikate ausstellt, zu NetScaler Gateway hinzu. Weitere Informationen finden Sie unter To install a root certificate on NetScaler Gateway.
Wichtig: Wenn Sie das Stammzertifikat für die Smartcard-Authentifizierung zum virtuellen Server hinzufügen, müssen Sie das Zertifikat aus der Liste CA-Zertifikat auswählen auswählen.
Nachdem Sie das Clientzertifikat erstellt haben, können Sie das als Flash bezeichnete Zertifikat auf die Smartcard schreiben. Wenn Sie diesen Schritt abgeschlossen haben, können Sie die Smartcard testen.
Wenn Sie das Webinterface für die Smartcard-Passthrough-Authentifizierung konfigurieren und eine der folgenden Bedingungen erfüllt ist, schlägt die einmalige Anmeldung am Webinterface fehl:
- Wenn Sie die Domäne stattdessen auf der Registerkarte Veröffentlichte Anwendungen als
mydomain
.com festlegenmydomain
. - Wenn Sie den Domänennamen nicht auf der Registerkarte Veröffentlichte Anwendungen festlegen und den Befehl
wi-sso-split-upn
ausführen, setzen Sie den Wert auf 1. In diesem Fall enthält der userPrincipalName den Domainnamen “mydomain
.com. “
Sie können die Smartcard-Authentifizierung verwenden, um den Anmeldevorgang für Ihre Benutzer zu rationalisieren und gleichzeitig die Sicherheit des Benutzerzugriffs auf Ihre Infrastruktur zu verbessern. Der Zugriff auf das interne Unternehmensnetzwerk wird durch zertifikatbasierte Zwei-Faktor-Authentifizierung über die Public-Key-Infrastruktur geschützt. Private Schlüssel werden über die Hardware geschützt und verlassen nie die Smartcard. Die Benutzer können auf ihre Desktops und Anwendungen von unterschiedlichen Geräten des Unternehmens aus bequem mit Smartcard und PIN zugreifen.
Sie können Smartcards für die Benutzerauthentifizierung über StoreFront bei von Citrix Virtual Apps and Desktops bereitgestellten Desktops und Anwendungen verwenden. Smartcard-Benutzer, die sich bei StoreFront anmelden, können auch auf Anwendungen zugreifen, die von NetScaler Endpoint Management bereitgestellt werden. Benutzer müssen sich jedoch erneut authentifizieren, um auf Endpoint Management-Webanwendungen zuzugreifen, die Clientzertifikatauthentifizierung verwenden.
Weitere Informationen finden Sie unter Konfigurieren der Smartcard-Authentifizierung in der StoreFront-Dokumentation.
Konfigurieren der Smartcard-Authentifizierung mit sicheren ICA-Verbindungen
Benutzer, die sich mithilfe einer Smartcard mit auf NetScaler Gateway konfigurierter Single Sign-On anmelden und eine sichere ICA-Verbindung herstellen, erhalten möglicherweise zweimal Aufforderungen zur Eingabe ihrer persönlichen Identifikationsnummer (PIN).
- Beim Anmelden und beim Versuch, eine veröffentlichte Ressource zu starten. Diese Situation tritt auf, wenn der Webbrowser und die Citrix Workspace-App denselben virtuellen Server verwenden, der für die Verwendung von Clientzertifikaten konfiguriert ist.
- Die Citrix Workspace-App teilt keinen Prozess oder eine Secure Sockets Layer (SSL) -Verbindung mit dem Webbrowser. Wenn die ICA-Verbindung den SSL-Handshake mit NetScaler Gateway abschließt, ist das Clientzertifikat daher ein zweites Mal erforderlich.
Um zu verhindern, dass Benutzer die zweite PIN-Eingabeaufforderung erhalten, müssen Sie zwei Einstellungen ändern:
- Die Clientauthentifizierung auf dem virtuellen VPN-Server muss deaktiviert sein.
- SSL-Neuverhandlungen müssen aktiviert sein.
Binden Sie nach dem Konfigurieren des virtuellen Servers einen oder mehrere STA-Server an den virtuellen Server, wie unter Konfigurieren der NetScaler Gateway-Einstellungen im Webinterface 5.3beschrieben.
Möglicherweise möchten Sie auch die Smartcard-Authentifizierung testen.
Deaktivieren der Clientauthentifizierung:
- Erweitern Sie im Konfigurationsprogramm auf der Registerkarte Konfiguration im Navigationsbereich NetScaler Gateway und klicken Sie dann auf Virtuelle Server.
- Wählen Sie im Hauptdetailbereich den entsprechenden virtuellen Server aus, und klicken Sie dann auf Bearbeiten.
- Klicken Sie im Bereich Erweiterte Optionen auf SSL-Parameter.
- Deaktivieren Sie das Kontrollkästchen Clientauthentifizierung.
- Klicken Sie auf Fertig.
So aktivieren Sie die SSL-Neuverhandlung:
- Navigieren Sie mithilfe des Konfigurationsdienstprogramms auf der Registerkarte Konfiguration zu Traffic Management, und klicken Sie dann auf SSL.
- Klicken Sie im Hauptbereich auf Erweiterte SSL-Einstellungen ändern.
- Wählen Sie im Menü SSL-Neuverhandlung verweigern die Option NEIN aus.
So testen Sie die Smartcard-Authentifizierung:
- Verbinden Sie die Smartcard mit dem Benutzergerät.
- Öffnen Sie Ihren Webbrowser und melden Sie sich bei NetScaler Gateway an.