– Jan's Cloud – online Gedankenstütze ;)

31. März 2015

XenApp / XenDesktop Single Sign On Citrix Receiver (for Web) – Konfiguration per Gruppenrichtlinien

Zur Konfiguration für XenApp / XenDesktop Single Sign On wird ein aktueller Citrix Receiver (http://www.citrix.com/go/receiver.html?posit=glnav) sowie eine konfigurierte XenApp 7.x Farm benötigt.

CitrixReceiver /silent /includeSSON

CitrixReceiver /silent /includeSSON

 

Den Receiver nach dem Download mit den Parametern „CitrixReceiver.exe /silent /includeSSON“ (Als Administrator) installieren und den Client neu starten.

 

Citrix ssonsvr.exe*32

Citrix ssonsvr.exe*32

 

Nach erfolgten Reboot im Taskmanager prüfen, ob der Prozess „ssonsvr.exe*32“ gestartet wurde (http://support.citrix.com/article/CTX118628)

Ggfs. NetworkProviderOrder prüfen:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order
Im REG_SZ Wert „ProviderOrder“ PnSson an erster Stelle auflisten.

 

 

*UPDATE 16.07.2015*

Ab der Receiver Version 4.3 befinden sich unter „C:\Program Files (x86)\Citrix\ICA Client\Configuration“ admx Templates sowie die dazu gehörigen Language Files adml. Diese einfach in den Policy Definitions Ordner kopieren und mit der gpmc.msc (Gruppenrichtlinienverwaltung) sowie der Konfiguration von XenApp / XenDesktop Single Sign On weitermachen.

*UPDATE 16.07.2015*

*UPDATE 25.08.2015*

Im deutschen ADML File für den HdxFlash-Client gibt es einen Fehler: http://dertest.org/2015/08/citrix-receiver-4-3-admx-templates-fehler-im-deutschen-adml-file/

*UPDATE 25.08.2015*

An einem Arbeitsplatz / Server die Gruppenrichtlinienverwaltung (gpmc.msc) starten und von einem Arbeitsplatz, auf dem der Citrix Receiver bereits installiert ist, das „icaclient.adm“ Template aus „C:\Program Files (x86)\Citrix\ICA Client\Configuration“ zu einem GPO hinzufügen, welches auf Computer Objekte wirkt. Dadurch ergibt sich die Möglichkeit den Receiver per GPO zu konfigurieren (Computerkonfigurartion -> Richtlinien -> Administrative Vorlagen -> Klassische administrative Vorlagen (ADM) -> Citrix Components).

Citrix Storefront Konfiguration per GPO

Citrix Storefront Konfiguration per GPO

 

<KONTO> -> Kontoname
<URL-ZUM-STORE> -> https://storefront.domain.tld/Citrix/Store/discovery
<BESCHREIBUNG> -> Beschreibung 😉

 

 

Citrix ICA SSO erlauben

Citrix ICA SSO erlauben

 

 

Alle Einstellungen außer „Smart Card Authentication“ entsprechen konfigurieren (Smart Card Auth aktivieren, sofern Smart Cards genutzt werden).

„Local user name and password“ -> „Enable pass-through authentication“ und „Allow pass-through authentication for all ICA connections“ anhaken.

 

 

Citrix ICA SSO erlauben2

Citrix ICA SSO erlauben2

 

 

„Web Interface authentication ticket“ -> Beide Optionen aktivieren.

 

 

 

 

Internet Explorer Intranet Sites

Internet Explorer Intranet Sites

 

 

Damit sich der Internet Explorer und / oder der Citrix Receiver erfolgreich per SSO anmelden kann, muss der Internet Explorer noch entsprechen konfiguriert werden. Dazu entweder händisch die URL des Storefront Servers „https://storefront.domain.tld“ in die „Lokalen Intranet Seiten“ packen. Oder komfortabler per GPO verwalten.

 

 

 

 

 

Internet Explorer Liste der Site zu Zonenzuweisung

Internet Explorer Liste der Site zu Zonenzuweisung

 

 

Die passenden GPOs dazu finden sich unter Computerkonfiguration / Benutzerkonfigration -> Administrative Vorlagen -> Windows-Komponenten -> Internet Explorer -> Internetsystemsteuerung -> Sicherheitsseite

Wertname -> Die URL (* wird als Wildcard akzeptiert)
Wert -> 1: Intranet Site; 2: Vertrauenswürdige Seite

 

 

 

Storefront SSO Passthrough

Storefront SSO Passthrough

 

 

Zum Schluss muss am Storefront noch „Domain Passthrough“ als Authentifizierungsmöglichkeit aktiviert werden und dem Single Sign On steht nichts mehr im Weg.

 

 

 

Storefront SSO Passthrough2

Storefront SSO Passthrough2

2 Comments »

  1. Grüße,

    schönes How to. Vielen Dank dafür.

    Bei mir kommt allerdings an jedem Client der Fehler, dass ich einen Smartcardleser nutzen soll. Ist im Store aber nicht als Methode eingestellt. Die Pass-through Authentifizierung scheitert da dran.

    Ist der Fehler bekannt ?

    Verschiedene Receiver Version getestet, im Moment die aktuellste : 4.2.100.14

    Danke.

    Kommentar by Goemon — 16. Mai 2015 @ 12:45

  2. Hi,
    hast du in den GPOs Smart Card Auth aktiviert ggfs. dort mal deaktivieren anstelle von nicht konfiguriert? Gibt es an den Clients Smart Cards?
    Du hast weder in der Authentifizierung für den Store die SCs aktiviert noch unter der Receiver für Web Konfig?

    Kommentar by Jan Mischo — 17. Mai 2015 @ 14:22

RSS feed for comments on this post. TrackBack URL

Leave a comment

Powered by WordPress