Citrix XenApp XenDesktop & Etc

Citrix製品についてあれやこれやと

ReceiverとSSOとXML

2017年01月29日 | XenAppのこと

ドメイン環境でReceiverを利用してSSOを実装する場合、StoreFrontへ認証の方式として「シングルサインオン」を
追加すると思います。当然Receiverには/IncludeSSONの引数をつけてインストールする必要がありますが。

 *最新のReceiverでは、ドメインに参加している端末で管理者権限のあるアカウントでインストールすると
  GUIでSSOの利用を選択できます。

これで条件が整ったと思ってWindowsにログインしてもSSOが効きません。この段階でちょくちょくと問い合わせを
受けます。

デフォルトの設定ではStoreFrontとDDC間の通信をHTTPSで実装している場合にだけSSOが有効になります。
HTTPでもSSOを利用したい場合には、サイトでの管理者権限のあるアカウントでPowerShellを起動し
asnp citrix.*
Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $True
と実行します。デフォルトではこの値が$Falseに設定されています。

ナレッジやドキュメントをよく読むと情報が公開されているのですが、デフォルト設定は$Trueで設定して
おいてほしいものです。

ちなみに、Receiverを導入した後URLを登録するのですが、こちらもデフォルトはHTTPSしか登録できません。
引数にALLOWADDSTORE=Aの追加もお忘れなく。

これでOKかと思いきや一筋縄ではいきません。
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Citrix\AuthManagerへConnectionSecurityModeを作成し
Anyを追加しないとこれもうまくいきません。
最近は少なくなりつつありますが32BitではHKEY_LOCAL_MACHINE\SOFTWARE\Citrix\AuthManagerです。

あと、それ以外にも次のキーも追加してください。
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Logon\Local Credentials]
"SSOnUserSetting"="true,false"
"EnableSSOnThruICAFile"="true"
"UseLocalUserAndPassword"="true,false"
"LegacyLocalUserNameAndPassword"="true"
"SSOnCredentialType"="Any,NT,NDS"

HTTPSでStoreFrontを構築できていればこんな手間は必要ないのですが・・・。
XenAppやXenDesktop環境を構築してSSOを利用する際、これらの設定でハマっている人をよく見かけますので
ご注意を。

ちなみに、このレジストリですが書き込んでる先のキーからもわかるようにグループポリシーで設定
できるレジストリです。SSOの必須要件としてドメインに参加している必要があるので当然といえば
当然なんですが。
クライアント端末への適用が必要となるのでOUの構成を見直す必要があるかと思いますが、ある程度
自由にOUやGPO等を操作できる環境であればポリシーでの適用も検討してください。
インストーラー作成の手間が省けますから。



コメントを投稿

ブログ作成者から承認されるまでコメントは反映されません。