January 7, 2019
[ストア設定の構成]>[Kerberos委任] タスクを使って、StoreFrontでDelivery Controllerの認証に単⼀ドメ
インKerberos制約付き委任を使⽤するかどうかを指定します。
重要:複数サーバーによる展開環境では、複数のサーバー上で同時にサーバーグループの構成を変更しないでくださ い。展開内のほかのサーバー上でCitrix StoreFront管理コンソールを同時に実⾏していないことを確認してくださ い。変更が完了したら、構成の変更をサーバーグループに反映させて、展開内のほかのサーバーを更新します。
1. Windowsの[スタート]画⾯または[アプリ]画⾯で、[Citrix StoreFront]タイルをクリックします。
2. Citrix StoreFront管理コンソールの左ペインで[ストア]ノードを選択して、結果ペインでストアを選択し
ます。[操作]ペインで、[ストア設定の構成] をクリックし、[Kerberos委任]をクリックします。
3.[Delivery Controllerでの認証にKerberos委任]を有効または無効にして、Kerberos制約付き委任を有
効または無効にします。
委任⽤のStoreFrontサーバーの構成
StoreFrontがXenAppと同じマシンにインストールされていない場合は、次の⼿順に従います。
1. ドメインコントローラーで、MMCの[Active Directoryユーザーとコンピューター]スナップインを開きま す。
2.[表⽰]メニューで[詳細]を選択します。
3. コンソールツリーで、ドメイン名の下の[Computers]から、StoreFrontサーバーを選択します。
4.[操作]ペインの[プロパティ]を選択します。
5.[委任]タブで、[指定されたサービスへの委任でのみこのユーザーを信頼する]、[任意の認証プロトコルを使 う]の順にクリックし、[追加]をクリックします。
6.[サービスの追加]ダイアログボックスで、[ユーザーまたはコンピューター]をクリックします。
7.[ユーザーまたはコンピューターの選択]ダイアログボックスの[選択するオブジェクト名を⼊⼒してくださ い]ボックスに、Citrix XML Service(XenApp)サーバーの名前を⼊⼒し、[OK]をクリックします。
8. ⼀覧からHTTPサービスタイプを選択し、[OK]をクリックします。
9. 変更を適⽤し、ダイアログボックスを閉じます。
委任⽤のXenAppサーバーの構成
各XenAppサーバーでのActive Directoryの信頼済み委任を構成します。
1. ドメインコントローラーで、MMCの [Active Directoryユーザーとコンピューター] スナップインを開き ます。
2. コンソールツリーで、ドメイン名の下の[Computers]から、StoreFrontが接続するCitrix XML Service
(XenApp)のサーバーを選択します。
3.[操作] ペインの [プロパティ] を選択します。
4.[委任]タブで、[指定されたサービスへの委任でのみこのユーザーを信頼する]、[任意の認証プロトコルを 使う] の順にクリックし、[追加] をクリックします。
5.[サービスの追加]ダイアログボックスで、[ユーザーまたはコンピューター] をクリックします。
6.[ユーザーまたはコンピューターの選択] ダイアログボックスの [選択するオブジェクト名を⼊⼒してくださ い] ボックスに、Citrix XML Service(XenApp)サーバーの名前を⼊⼒し、[OK] をクリックします。
7. ⼀覧からHOSTサービスタイプを選択して、[OK]、[追加] の順にクリックします。
8.[ユーザーまたはコンピューターの選択] ダイアログボックスの [選択するオブジェクト名を⼊⼒してくださ い] ボックスにドメインコントローラーの名前を⼊⼒し、[OK] をクリックします。
9. ⼀覧からcifsおよびldapサービスタイプを選択し、[OK] をクリックします。注:ldapサービスが2つ
ある場合は、使⽤するドメインコントローラーの完全修飾ドメイン名(Fully Qualified Domain Name: FQDN)に⼀致する⽅を選択してください。
10. 変更を適⽤し、ダイアログボックスを閉じます。
重要な注意事項
Kerberos制約付き委任を使⽤するかどうかを判断するときは、以下の点に注意してください。
• 主な注意事項:
– Kerberos制約付き委任を使⽤しない状態でパススルー認証(スマートカードPINのパススルー認証)
を⾏わない限り、ssonsvr.exeは必要ありません。
• StoreFrontとCitrix Receiver for Webのドメインパススルー:
– クライアントでは、ssonsvr.exeは必要ありません。
– Citrix icaclient.admテンプレートの[Local username and password]は、ssonsvr.exe機能を
制御する任意のものに対して設定できます。
– icaclient.admテンプレートの[Kerberos]設定が必要です。
– Internet Explorerの[信頼済みサイト]⼀覧にStoreFrontのFQDNを追加します。Internet Explorer
の信頼済みゾーンのセキュリティ設定の[Use local username]チェックボックスをオンにします。
– クライアントはドメイン内に配置する必要があります。
– StoreFrontサーバーで[ドメインパススルー]認証⽅法を有効にし、Citrix Receiver for Webでも
有効にします。
• StoreFront、Citrix Receiver for Web、およびPINプロンプトによるスマートカード認証:
– クライアントでは、ssonsvr.exeは必要ありません。
– スマートカード認証は構成済みです。
– Citrix icaclient.admテンプレートの[Local username and password]は、ssonsvr.exe機能を
制御する任意のものに対して設定できます。
– icaclient.admテンプレートの[Kerberos]設定が必要です。
– StoreFrontサーバーで[スマートカード]認証⽅法を有効にし、Citrix Receiver for Webでも有効
にします。
– スマートカード認証が選択されるようにするには、Internet ExplorerのStoreFrontサイトゾーンの
セキュリティ設定で[Use local username]チェックボックスをオフにします。
– クライアントはドメイン内に配置する必要があります。
• NetScaler Gateway、StoreFront、Citrix Receiver for Web、およびPINプロンプトによるスマートカー ド認証:
– クライアントでは、ssonsvr.exeは必要ありません。
– スマートカード認証は構成済みです。
– Citrix icaclient.admテンプレートの[Local username and password]は、ssonsvr.exe機能を
制御する任意のものに対して設定できます。
– icaclient.admテンプレートの[Kerberos]設定が必要です。
– StoreFrontサ ー バ ー で [NetScaler Gatewayか ら の パ ス ス ル ー] 認 証 ⽅ 法 を 有 効 に し、Citrix Receiver for Webでも有効にします。
– スマートカード認証が選択されるようにするには、Internet ExplorerのStoreFrontサイトゾーンの
セキュリティ設定で[Use local username]チェックボックスをオフにします。
– クライアントはドメイン内に配置する必要があります。
– NetScaler Gatewayのスマートカード認証を構成し、追加の仮想サーバーを構成します。この認証不
要なNetScaler Gateway仮想サーバー経由でICAトラフィックがStoreFront HDXでルーティング
されるように構成します。
• Citrix Receiver for Windows(AuthManager)、PINプロンプトによるスマートカード認証、および
StoreFront:
– クライアントでは、ssonsvr.exeは必要ありません。
– Citrix icaclient.admテンプレートの[Local username and password]は、ssonsvr.exe機能を
制御する任意のものに対して設定できます。
– icaclient.admテンプレートの[Kerberos]設定が必要です。
– クライアントはドメイン内に配置する必要があります。
– StoreFrontサーバーで[スマートカード]認証⽅法を有効にします。
• Citrix Receiver for Windows(AuthManager)、KerberosおよびStoreFront: – クライアントでは、ssonsvr.exeは必要ありません。
– Citrix icaclient.admテンプレートの[Local username and password]は、ssonsvr.exe機能を
制御する任意のものに対して設定できます。
– icaclient.admテンプレートの[Kerberos]設定が必要です。
– Internet Explorerの信頼済みゾーンのセキュリティ設定の[Use local username]チェックボック
スをオンにします。
– クライアントはドメイン内に配置する必要があります。
– StoreFrontサーバーで[ドメインパススルー]認証⽅法を有効にします。
– 次のレジストリキーが設定されていることを確認します。
注意:
レジストリエディターの使⽤を誤ると、深刻な問題が発⽣する可能性があり、Windowsの再イン
ストールが必要になる場合もあります。レジストリエディターの誤⽤による障害に対して、Citrix
では⼀切責任を負いません。レジストリエディターは、お客様の責任と判断の範囲でご使⽤くださ い。また、レジストリファイルのバックアップを作成してから、レジストリを編集してください。
32ビットマシンの場合:HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\AuthManagerProtocols\integratedwindows
名前:SSONCheckEnabled
種類:REG_SZ
値:true or false
64ビットマシンの場合:HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Citrix\AuthManagerProtocols\integratedwindows
名前:SSONCheckEnabled
種類:REG_SZ
値:trueまたはfalse
スマートカード認証の構成
January 7, 2019
このトピックでは、⼀般的なStoreFront展開環境のすべてのコンポーネントでスマートカード認証を設定するため の概要について説明します。詳細と構成⼿順については、各製品のドキュメントを参照してください。
『Citrix環境のためのスマートカードの構成』では、Citrix環境でスマートカードを使⽤する場合に、特定の種類のス マートカードが使⽤されるように構成する⽅法について説明しています。同様の⼿順がほかのベンダーのスマートカ ードにも適⽤されます。
前提条件
• StoreFrontサーバーを展開するMicrosoft Active Directoryドメインか、そのドメインと直接の双⽅向の 信頼関係が設定されているドメインのいずれかにすべてのユーザーアカウントが属していることを確認しま す。
• スマートカードパススルー認証を有効にする場合は、スマートカードリーダーの種類、ミドルウェアの種類と 構成、およびミドルウェアのPINのキャッシュポリシーでパススルー認証が許可されることを確認します。
• ユーザーのデスクトップやアプリケーションを提供する、Virtual Delivery Agentが動作する仮想マシンや 物理マシンに、スマートカードのベンダーが提供するミドルウェアをインストールします。XenDesktop環
境でスマートカードを使⽤する⽅法については、「スマートカードによる認証セキュリティ」を参照してくだ さい。
• 事前に公開キーインフラストラクチャが正しく構成されていることを確認します。アカウントマッピングのた めの証明書がActive Directory環境に対して正しく構成されており、ユーザー証明書の検証を正しく実⾏で きることを確認します。
NetScaler Gatewayの構成
• NetScaler Gatewayアプライアンスに、証明機関からの署名⼊りサーバー証明書をインストールします。詳
しくは、「Installing and Managing Certificates」を参照してください。
• NetScaler Gatewayアプライアンスに、スマートカードユーザーの証明書を発⾏した証明機関のルート証明
書をインストールします。詳しくは、「To install a root certificate on NetScaler Gateway」を参照して
ください。
• クライアント証明書認証⽤の仮想サーバーを作成して構成します。証明書認証ポリシーを作成し、証明書のユ ーザー名抽出オプションとして「SubjectAltName:PrincipalName」を指定します。さらに、このポリシー