配置智能卡身份验证
您可以将 NetScaler Gateway 配置为使用加密智能卡对用户进行身份验证。
要使用 NetScaler Gateway 配置智能卡,您需要执行以下操作:
创建客户端证书后,您可以将称为闪存的证书写入智能卡。完成该步骤后,您可以测试智能卡。
如果为智能卡直通身份验证配置 Web Interface,如果存在以下任一情况,单点登录 Web Interface 将失败:
- 如果改为将“已发布的应用程序”选项卡上的域设置为
mydomain.com 而非 mydomain。
- 如果未在“已发布的应用程序”选项卡上设置域名,并且如果运行将值设置为 1 的命令
wi-sso-split-upn。在这种情况下,用户主名称包含域名“mydomain.com”。
您可以使用智能卡身份验证来简化用户的登录过程,同时还可以增强用户访问基础架构的安全性。对内部企业网络的访问受基于证书的使用公钥基础结构的双重身份验证所保护。私钥受硬件控制保护,离不开智能卡。使用智能卡和 PIN,用户可以方便地从一系列的企业设备访问其桌面和应用程序。
可以使用智能卡实现 StoreFront 对用户的身份验证,以访问 Citrix Virtual Apps and Desktops 提供的桌面和应用程序。登录 StoreFront 的智能卡用户还可以访问 NetScaler Endpoint Management 提供的应用程序。但是,用户必须再次进行身份验证,才能访问使用客户端证书身份验证的 Endpoint Management
有关更多信息,请参阅 StoreFront 文档中的 配置智能卡身份验证 。
使用安全 ICA 连接配置智能卡身份验证
使用 NetScaler Gateway 上配置了单点登录的智能卡登录并建立安全 ICA 连接的用户可能会收到两次提示输入其个人标识号 (PIN) 的提示。
- 登录时和尝试启动已发布资源时。如果 Web 浏览器和 Citrix Workspace 应用程序使用的虚拟服务器配置为使用客户端证书,则会出现这种情况。
- Citrix Workspace 应用程序不会与 Web 浏览器共享进程或安全套接字层 (SSL) 连接。因此,当 ICA 连接完成与 NetScaler Gateway 的 SSL 握手时,第二次需要客户端证书。
要防止用户收到第二个 PIN 提示,您必须更改两个设置:
- 必须禁用 VPN 虚拟服务器上的客户端身份验证。
- 必须启用 SSL 重新协商。
配置虚拟服务器后,将一个或多个 STA 服务器绑定到虚拟服务器,如在 Web Interface 5.3 中配置 NetScaler Gateway 设置中所述。
您可能还想测试智能卡身份验证。
要禁用客户端身份验证:
- 在配置实用程序的“配置”选项卡的导航窗格中,展开 NetScaler Gateway,然后单击“虚拟服务器”。
- 在主详细信息窗格中选择相关的虚拟服务器,然后单击编辑。
- 在“高级选项”窗格中,单击“SSL 参数”。
- 清除“客户端身份验证”复选框。
- 单击 Done(完成)。
要启用 SSL 重新协商:
- 使用配置实用程序,从“配置”选项卡中导航到“流量管理”,然后单击“SSL”。
- 在主面板中,单击更改高级 SSL 设置。
- 从“拒绝 SSL 重新协商”菜单中,选择“否”。
要测试智能卡身份验证:
- 将智能卡连接到用户设备。
- 打开 Web 浏览器并登录 NetScaler Gateway。
本内容的正式版本为英文版。部分 Cloud Software Group 文档内容采用了机器翻译,仅供您参考。Cloud Software Group 无法控制机器翻译的内容,这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性,或者您的 Cloud Software Group 产品或服务沿用了任何机器翻译的内容,我们均不作任何明示或暗示的保证,并且适用的最终用户许可协议或服务条款或者与 Cloud Software Group 签订的任何其他协议(产品或服务与已进行机器翻译的任何文档保持一致)下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题,Cloud Software Group 不承担任何责任。
DIESER DIENST KANN ÜBERSETZUNGEN ENTHALTEN, DIE VON GOOGLE BEREITGESTELLT WERDEN. GOOGLE LEHNT JEDE AUSDRÜCKLICHE ODER STILLSCHWEIGENDE GEWÄHRLEISTUNG IN BEZUG AUF DIE ÜBERSETZUNGEN AB, EINSCHLIESSLICH JEGLICHER GEWÄHRLEISTUNG DER GENAUIGKEIT, ZUVERLÄSSIGKEIT UND JEGLICHER STILLSCHWEIGENDEN GEWÄHRLEISTUNG DER MARKTGÄNGIGKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK UND DER NICHTVERLETZUNG VON RECHTEN DRITTER.
CE SERVICE PEUT CONTENIR DES TRADUCTIONS FOURNIES PAR GOOGLE. GOOGLE EXCLUT TOUTE GARANTIE RELATIVE AUX TRADUCTIONS, EXPRESSE OU IMPLICITE, Y COMPRIS TOUTE GARANTIE D'EXACTITUDE, DE FIABILITÉ ET TOUTE GARANTIE IMPLICITE DE QUALITÉ MARCHANDE, D'ADÉQUATION À UN USAGE PARTICULIER ET D'ABSENCE DE CONTREFAÇON.
ESTE SERVICIO PUEDE CONTENER TRADUCCIONES CON TECNOLOGÍA DE GOOGLE. GOOGLE RENUNCIA A TODAS LAS GARANTÍAS RELACIONADAS CON LAS TRADUCCIONES, TANTO IMPLÍCITAS COMO EXPLÍCITAS, INCLUIDAS LAS GARANTÍAS DE EXACTITUD, FIABILIDAD Y OTRAS GARANTÍAS IMPLÍCITAS DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN EN PARTICULAR Y AUSENCIA DE INFRACCIÓN DE DERECHOS.
本服务可能包含由 Google 提供技术支持的翻译。Google 对这些翻译内容不做任何明示或暗示的保证,包括对准确性、可靠性的任何保证以及对适销性、特定用途的适用性和非侵权性的任何暗示保证。
このサービスには、Google が提供する翻訳が含まれている可能性があります。Google は翻訳について、明示的か黙示的かを問わず、精度と信頼性に関するあらゆる保証、および商品性、特定目的への適合性、第三者の権利を侵害しないことに関するあらゆる黙示的保証を含め、一切保証しません。
ESTE SERVIÇO PODE CONTER TRADUÇÕES FORNECIDAS PELO GOOGLE. O GOOGLE SE EXIME DE TODAS AS GARANTIAS RELACIONADAS COM AS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER GARANTIA DE PRECISÃO, CONFIABILIDADE E QUALQUER GARANTIA IMPLÍCITA DE COMERCIALIZAÇÃO, ADEQUAÇÃO A UM PROPÓSITO ESPECÍFICO E NÃO INFRAÇÃO.
