-
-
-
配置客户端证书和 LDAP 双重身份验证
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
配置客户端证书和 LDAP 双重身份验证
您可以使用带有 LDAP 身份验证和授权的安全客户端证书,例如将智能卡身份验证与 LDAP 结合使用。用户登录,然后从客户端证书中提取用户名。客户端证书是身份验证的主要形式,LDAP 是辅助形式。客户端证书身份验证必须优先于 LDAP 身份验证策略。设置策略的优先级时,为客户端证书身份验证策略分配的数字小于分配给 LDAP 身份验证策略的编号。
要使用客户端证书,必须在运行 Active Directory 的同一台计算机上运行企业证书颁发机构 (CA),例如 Windows Server 2008 中的证书服务。您可以使用 CA 创建客户端证书。
要使用具有 LDAP 身份验证和授权的客户端证书,它必须是使用安全套接字层 (SSL) 的安全证书。要将安全客户端证书用于 LDAP,请在用户设备上安装客户端证书,然后在 Citrix Gateway 上安装相应的根证书。
在配置客户端证书之前,请执行以下操作:
- 创建虚拟服务器。
- 为 LDAP 服务器创建 LDAP 身份验证策略。
- 将 LDAP 策略的表达式设置为 True 值。
使用 LDAP 配置客户端证书身份验证
- 在配置实用程序中的配置选项卡上,展开 Citrix Gateway > 策略\ > 身份验证。
- 在导航窗格中的“身份验证”下,单击“证书”。
- 在详细信息窗格中,单击“Add”(添加)。
- 在名称中,键入策略的名称。
- 在“身份验证类型”中,选择 Cert。
- 在“服务器”旁边,单击“新建”。
- 在名称中,键入服务器的名称,然后单击创建。
- 在“创建身份验证服务器”对话框的“名称”中,键入服务器的名称。
- 在双因素旁边,选择开。
- 在“用户名”字段中,选择“主题:CN”,然后单击“创建”。
- 在创建身份验证策略对话框的命名表达式旁边,选择 True 值,单击添加表达式,单击创建,然后单击关闭。
创建证书身份验证策略后,将策略绑定到虚拟服务器。绑定证书身份验证策略后,将 LDAP 身份验证策略绑定到虚拟服务器。
重要:在将 LDAP 身份验证策略绑定到虚拟服务器之前,将证书身份验证策略绑定到虚拟服务器。
在 Citrix Gateway 上安装根证书
创建证书身份验证策略后,从 CA 下载并安装 Base64 格式的根证书,然后将其保存在计算机上。然后,您可以将根证书上载到 Citrix Gateway。
- 在配置实用程序的配置选项卡的导航窗格中,展开 SSL,然后单击证书。
- 在详细信息窗格中,单击“安装”。
- 在证书-密钥对名称中,键入证书的名称。
- 在“证书文件名”中,单击“浏览”,然后在菜单中选择“设备”或“本地”。
- 导航到根证书,单击打开,然后单击安装。
将根证书添加到虚拟服务器
在 Citrix Gateway 上安装根证书后,将证书添加到虚拟服务器的证书存储中。
重要:将根证书添加到虚拟服务器进行智能卡身份验证时,必须从“选择 CA 证书”菜单中选择 证书,如下图所示。
-
在配置实用程序的“配置”选项卡上,在导航窗格中展开 Citrix Gateway ,然后单击“虚拟服务器”。
-
在详细信息窗格中,选择虚拟服务器,然后单击“打开”。
-
在“证书”选项卡的“可用”下,选择证书,在“添加”旁边,在菜单中单击“作为 CA”,然后单击“确定”。
-
重复步骤 2。
-
在证书选项卡上,单击 SSL 参数。
-
在其他下,选择客户端身份验证。
-
在其他下的客户端证书旁边,选择可选,然后单击确定两次。
-
配置客户端证书后,通过使用 Citrix Gateway 插件登录 Citrix Gateway 来测试身份验证。如果安装了多个证书,则会收到提示,要求您选择正确的证书。选择证书后,将出现登录屏幕,其中包含从证书中获取的信息填充的用户名。键入密码,然后单击“登录”。
如果在登录屏幕的“用户名”字段中看不到正确的用户名,请检查 LDAP 目录中的用户帐户和组。在 Citrix Gateway 上定义的组必须与 LDAP 目录中定义的组相同。在 Active Directory 中,在域根级别配置组。如果创建的 Active Directory 组不在域根级别,则可能会导致客户端证书读取错误。
如果用户和组不在域根级别,Citrix Gateway 登录页面将显示在 Active Directory 中配置的用户名。例如,在 Active Directory 中,您有一个名为 Users 的文件夹,证书上写着 cn=Users。在登录页面的“用户名”中,将显示“用户”一词。
如果不想将组和用户帐户移动到根域级别,则在 Citrix Gateway 上配置证书身份验证服务器时,请将“用户名字段”和“组名称”字段留空。
共享
共享
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.