SingleSignOn (SSON) war mit dem Citrix Webinterface gängige Praxis. Leider änderte sich dies mit Storefront. Dass dies doch möglich ist, möchte ich hier zeigen.

Die Konfiguration ist in vier Schritten unterteilt.

  1. Desktop Delivery Controller anpassen
  2. Citrix Receiver auf dem Client installieren und konfigurieren
  3. Gruppenrichtlinien konfigurieren
  4. Storefront konfigurieren

Desktop Delivery Controller anpassen

Der Desktop Delivery Controller(n) muss XML-Anfragen vertrauen. Dies wird in der Powershell auf allen vorhandenen DDC’s konfiguriert.

Dazu folgende Befehle auf dem jeweiligem DDC ausführen:

ASNP citrix*
Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true

 Mit einem weiteren Powershell-Befehl können wir die korrekte Ausführung überprüfen. Unter TrusRequestsSentToTheXmlServicePort muss der Wert „True“ stehen.

Get-Brokersite
 
Bild1
 
 

Die DDC’s sind soweit fertig.

Installation des Receivers

Im nächsten Schritt installieren wir den Citrix-Receiver auf dem Client-Computer. Damit SSON funktioniert muss die Installation mit einem Parameter ausgeführt werden. Weitere Infos zu den Parametern finden Sie in den EDocs.

http://support.citrix.com/proddocs/topic/receiver-windows-40/receiver-windows-cfg-command-line-40.html

Die Installation kann via Softwareverteilung, Gruppenrichtlinien oder manuell in der CMD geschehen.

Der erste Befehl reicht für die Installation aus, wenn der Store via Gruppenrichtlinie verteilt wird. Dies ist Sinnvoll wenn mehrere Stores im Unternehmen angesprochen werden sollen.

CitrixReceiver.exe /includeSSON /ENABLE_SSON=Yes /silent

Wenn nur ein Store angesprochen werden soll, kann dies mit in die Befehlszeile integriert werden.

CitrixReceiver.exe /includeSSON /ENABLE_SSON=Yes /silent STORE0=“Storename;https://StorefrontServername.FQDN/Citrix/Storename/discovery;on;Storename“
 
 

Konfiguration der Gruppenrichtlinien / Internetexplorer

Die URL des StorefrontServers muß in die Liste der „Vertrauenswürdige Sites“ des InternetExplorers auf dem Client-Computer.

Bild2

Weiter muss in der Zone „Vertrauenswürdige Site“ der Wert „Benutzerauthentifizierung angepasst werden. Hier muss „Automatische Anmeldung mit aktuellem Benutzername und Kennwort“ ausgewählt sein. Dies kann manuell, oder via Gruppenrichtlinie gemacht werden.

Bild3

Jetzt müssen wir noch dafür sorgen dass die CitrixReceiver die korrekten Einstellungen bekommen. Dazu besorgen wir uns die icaclient.adm. Die icaclient.adm ist in der CitrixReveiver-Installation enthalten und unter „C:\Program Files (x86)\Citrix\ICA Client\Configuration“ zu finden. Diese einfach mit dem Gruppenrichtlinieneditor importieren.

Folgende Punkte konfigurieren:

Computerkonfiguration – Richtlinien- Administrative Vorlagen – Klassische administrative Vorlage (ADM)- Citrix Components – Citrix Receiver – User authentication – Local user name and password
  • Enable pass-trough authentication
  • Allow pass-trough authentication for all ICA connections

Bild4

Und unter:

Computerkonfiguration – Richtlinien- Administrative Vorlagen – Klassische administrative Vorlage (ADM)- Citrix Components – Citrix Receiver – User authentication – Web Interface authentication ticket
  • Legacy ticket handling
  • Web Interface 4.5 and above

Bild5

Wenn wie oben beschrieben die Stores nicht direkt mit der Befehlszeile, sondern in einer Gruppenrichtlinie  konfiguriert werden sollen, muss dies hier angepasst werden.

Computerkonfiguration – Richtlinien- Administrative Vorlagen – Klassische administrative Vorlage (ADM)- Citrix Components – Citrix Receiver – Storefront
  • Storefront Accounts List

Bild6

Einstellungen im Storefront

Last but not Least, die Einstellung im Storefront damit dieser eine Domain Pass-through Authentifizierung macht. Dies wird an zwei Stellen konfiguriert.

Unter Authentifizierung auf „Methoden hinzufügen/ entfernen“ klicken und die „Domänen-Passthrough-Authentifizierung“ einschalten.
 
Bild7
 
Weiter unter „Receiver für Web“ auf Authentifizierung auswählen“ klicken und „Domänen-Passthrough-Authentifizierung“ einschalten.Bild8

 Fertig

 
Jetzt ist alles konfiguriert. Es sollte geprüft werden ob die Gruppenrichtlinien auf den betreffenden Maschinen angewandt worden sind. Nun steht einem ersten Test nichts im Wege.Einfach auf „Anmelden“ klicken. Diese Frage taucht nur bei der ersten Anmeldung auf.Bild9So das war es, SSON ist nun implementiert. Zögert nicht bei Fragen ein Kommentar zu hinterlassen.

An dieser Stelle möchte ich gerne an den Blog von Jens Löcke verweisen:

www.jens-loecke.com

Quellen:

Ich möchte hier auf die englischsprachige Version verweisen. http://www.lukecjdavis.com/