Publicado el
Junio 24, 2024
Configurar el Servicio de Autenticación Federada de Citrix (FAS) con WinHorizon y Evertrust Horizon requiere atención al detalle y cumplimiento de requisitos previos específicos y pasos procedimentales. Esta guía ofrece un proceso integral, paso a paso, para garantizar una integración sin problemas, facilitando un entorno de autenticación seguro y eficiente dentro de su dominio de Active Directory (AD).
Antes de comenzar, esta configuración requiere algunos prerrequisitos, a saber:
Requisitos previos
Procedimiento de configuración
Nota: La instalación de Citrix FAS debe realizarse utilizando una cuenta de Administrador Empresarial dentro del dominio designado
1. Instalar Citrix FAS: Instalar el paquete MSI de Citrix FAS (FederatedAuthenticationService_XX_XX_XXX_x64.msi)
2. Ejecutar Consola de Administración: Inicie la consola de administración de Citrix FAS como un Administrador Enterprise
3. Conectar al servidor remoto (Opcional): Si el servidor Citrix FAS está instalado en una máquina diferente, haga clic "Conectar a otro servidor" e ingrese el FQDN de la máquina (debe estar en el mismo dominio).
Consola de administración
4. Desplegar plantillas de certificado:
En la “Desplegar plantillas de certificado” sección, haga clic “Desplegar” y luego “Aceptar”
Esto desplegará los siguientes plantillas de certificado de Microsoft en el bosque AD actual
- Citrix_RegistrationAuthority_ManualAuthorization
- Citrix_RegistrationAuthority
- Citrix_SmartcardLogon
Interfaz de implementación
5. Verificar despliegue de plantilla: Use la “certtmpl.msc” utilidad para asegurar que las plantillas se hayan desplegado. Modifique la plantilla Citrix_RegistrationAuthority_ManualAuthorization desmarcando la casilla “Aprobación del administrador de CA” en la pestaña ”Requisitos de emisión”.
Consola de plantillas de certificado
6. Configurar WinHorizon:
En la máquina WinHorizon, inicie el “EVERTRUST WinHorizon Configurator” como Administrador Enterprise
Haga clic en el botón “Templates”, agregue los tres plantillas Citrix del paso 4 y guarde
Configurando Horizon
7. Inicie sesión en la consola de Horizon: Acceda a la consola de administración web de Horizon, navegue a la “Configuración” menú, luego a “Protocolos” > “WCCE” > “Perfiles”, y cree tres perfiles WCCE con las configuraciones especificadas.
¿Desea implementar estas prácticas PKI?
Obtenga orientación experta para implementar soluciones PKI seguras para su organización.
Obtener ayuda experta| Nombre del perfil (ejemplo) | Caso de uso del perfil |
|---|---|
| stream_citrix_e_agent | Emitir el certificado inicial del agente de inscripción |
| stream_citrix_ra | Emitir certificados para la Autoridad de Registro Citrix FAS |
| stream_citrix_sc_logon | Emitir certificados para inicio de sesión con SmartCard |
8. Declarar bosque WCCE: En el menú de Configuración de Horizon, vaya a “Protocolos” > “WCCE” > “Bosques” y declare un nuevo bosque WCCE usando el FQDN de su bosque AD (no el nombre NETBIOS)
Menú de configuración
9. Crear asignaciones WCCE: Después de declarar el bosque, cree tres asignaciones WCCE haciendo clic en el botón + junto al nombre del bosque’s. No es necesario especificar EOBO CA.
Configuración del bosque
Las asignaciones deben ser como sigue:
| Nombre de plantilla de Microsoft | Modo de inscripción | Perfil WCCE (ejemplo) |
|---|---|---|
| Citrix_RegistrationAuthority_ManualAuthorization | Entidad | stream_citrix_e_agent |
| Citrix_SmartcardLogon | Inscribirse en nombre de | stream_citrix_sc_logon |
| Citrix_RegistrationAuthority | Inscribirse en nombre de | stream_citrix_ra |
No es necesario especificar ningún EOBO CA cuando se solicite.
Aunque los nombres de perfil WCCE pueden cambiar para su configuración, el nombre de la plantilla de Microsoft debe ser exactamente el mismo que en la tabla anterior, ya que fueron creados automáticamente por Citrix FAS previamente.
Los mapeos del bosque’ deberían verse así eventualmente:
Mapeo del bosque
10. Autorizar servicio:
En la “Authorize this service” sección, haga clic “Authorize”
Seleccione la CA WinHorizon del menú desplegable y haga clic “OK”
Esto generará una solicitud de certificado en Horizon, que debería aprobarse automáticamente, emitiendo un certificado en su PKI subyacente.
Consola Citrix FAS
Desde el menú desplegable, seleccione la CA de WinHorizon y haga clic “OK”. Esto debería generar una solicitud de certificado en Horizon que debería aprobarse automáticamente, por lo que se emitirá un certificado inmediatamente en su PKI subyacente.
11. Modificar plantilla de certificado: Usando el “certtmpl.msc” utilidad, modifique la Citrix_RegistrationAuthority_ManualAuthorization plantilla marcando la “aprobación del administrador de CA” casilla de verificación en la “Requisitos de emisión” pestaña.
Utilidad certtmpl.msc
12. Crear regla de autorización: En el “Crear una regla” sección, haga clic “Crear” y nombre la regla “default"
Consola de administración de FAS
13. Configurar el Registro: En el servidor Citrix FAS, ejecute regedit y navegue a la ubicación de la clave del registro especificada para garantizar la precisión de la configuración
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\Authentication\UserCredentialService\Addresses
Debe crear manualmente cualquier clave que falte en la ruta antes mencionada, en caso de que falte alguna, y crear el siguiente valor:
| Nombre del valor | Tipo de valor | Valor |
|---|---|---|
| Address1 | REG_SZ | <FQDN of the Citrix FAS server> (example: citrixfas.example.local) |
Finalmente, para comprobar que la configuración se ha realizado con éxito, es posible que desee ejecutar los dos pasos siguientes.
14. Crear lista de usuarios: Crear un archivo llamado `users_list.csv` con el contenido especificado.
"UserPrincipalName" "[email protected]" "[email protected]"
15. Ejecutar script de PowerShell:
Abra una instancia de PowerShell como administrador, navegue a la ruta donde se guardó el archivo CSV y ejecute el script proporcionado.
Los certificados inscritos ahora deberían ser visibles en Horizon y en su PKI.
# Agregar los Snap-ins de PowerShell de Citrix Add-PSSnapin Citrix.A* # Nombre del archivo CSV $csv = "users_list.csv" # Regla predeterminada creada en la consola de administración $rule = "default" # Importar los usuarios del archivo CSV $users = Import-Csv -Encoding utf8 $csv # Recorrer cada usuario en el archivo CSV foreach ($user in $users) { # Obtener el servidor FAS para el usuario $server = Get-FasServerForUser -UserPrincipalNames $user.UserPrincipalName # Verificar si el servidor principal no es nulo y crear un certificado si ($server.Server -ne $NULL) { New-FasUserCertificate -Address $server.Server -UserPrincipalName $user.UserPrincipalName -CertificateDefinition $rule } # Verificar si el servidor de respaldo no es nulo y crear un certificado si ($server.Failover -ne $NULL) { New-FasUserCertificate -Address $server.Failover -UserPrincipalName $user.UserPrincipalName -CertificateDefinition $rule } }
Al seguir esta guía de configuración detallada, garantiza una integración robusta de Citrix FAS con WinHorizon y Evertrust Horizon, mejorando la seguridad y eficiencia de su infraestructura de autenticación. Cumplir con los prerrequisitos especificados y los pasos procedimentales garantiza una implementación fluida, facilitando una experiencia de usuario sin interrupciones dentro de su dominio de Active Directory.
