Produktdokumentation
XenMobile
服务器10
PDF anzeigen

Authentifizierung mit Domäne bzw. mit Domäne und Sicherheitstoken

January 5, 2022
Beitrag von:
C C

XenMobile unterstützt die domänenbasierte Authentifizierung unter Verwendung eines oder mehrerer Lightweight Directory Access Protocol-konformer Verzeichnisse. Sie können in XenMobile eine Verbindung mit einem oder mehreren Verzeichnissen konfigurieren und mit der LDAP-Konfiguration Gruppen, Benutzerkonten und zugehörige Eigenschaften importieren.

LDAP ist ein herstellerneutrales Open-Source-Anwendungsprotokoll zur Verwaltung eines verteilten Verzeichnisinformationsdiensts über ein Internet Protocol-Netzwerk. Verzeichnisinformationsdienste werden verwendet, um Informationen zu Benutzern, Systemen, Netzwerken, Diensten und Anwendungen über das Netzwerk zu teilen.

LDAP wird häufig zur Bereitstellung von Single Sign-On (SSO) für Benutzer eingesetzt, bei dem ein Kennwort (pro Benutzer) für mehrere Dienste verwendet wird. Mit Single Sign-On melden sich die Benutzer einmal bei der Unternehmenswebsite an und erhalten so authentifizierten Zugriff auf das Unternehmensintranet.

Ein Client beginnt eine LDAP-Sitzung durch Herstellen einer Verbindung mit einem LDAP-Server (dem Directory System Agent, DSA). Der Client sendet eine Vorgangsanforderung an den Server, der die entsprechende Authentifizierung zurückgibt.

Wichtig:

Der Authentifizierungsmodus kann nicht von Domänenauthentifizierung in einen anderen Authentifizierungsmodus geändert werden, nachdem Benutzer die Geräte bei XenMobile registriert haben.

Konfigurieren von LDAP-Verbindungen in XenMobile

  1. Klicken Sie in der XenMobile-Konsole auf das Zahnradsymbol rechts oben. Die SeiteEinstellungenwird angezeigt.

  2. Klicken Sie unter服务器aufLDAP. Die SeiteLDAPwird angezeigt. Auf dieser Seite können Sie LDAP-konforme Verzeichnisse hinzufügen, bearbeiten und löschen (siehe Anweisungen im vorliegenden Artikel).

    LDAP-Konfigurationsbildschirm

Hinzufügen von LDAP-kompatiblen Verzeichnissen

  1. Klicken Sie auf der SeiteLDAPaufHinzufügen. Die SeiteLDAP hinzufügenwird angezeigt.

    LDAP-Konfigurationsbildschirm

  2. Konfigurieren Sie folgende Einstellungen:

    • Verzeichnistyp:Klicken Sie in der Liste auf den Verzeichnistyp. Die Standardeinstellung istMicrosoft Active Directory.
    • Primärer Server:Geben Sie den für LDAP verwendeten primären Server an. Sie können die IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) eingeben.
    • Sekundärer Server:Geben Sie optional die IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) für den sekundären Server (sofern konfiguriert) ein. Dieser Server ist ein Failoverserver und wird verwendet, wenn der primäre Server nicht erreichbar ist.
    • Port:Geben Sie die Portnummer des LDAP-Servers ein. Die Standardeinstellung für unsichere LDAP-Verbindungen ist389. Verwenden Sie Port636für sichere LDAP-Verbindungen,3268für unsichere Microsoft-LDAP-Verbindungen oder3269für sichere Microsoft-LDAP-Verbindungen.
    • Domänenname:Geben Sie den Domänennamen ein.
    • Basis-DN für Benutzer:Geben Sie den Speicherort von Benutzern in Active Directory über einen eindeutigen Bezeichner ein. Syntaxbeispiele:ou=users,dc=exampleoderdc=com.
    • Basis-DN für Gruppen:Geben Sie den Speicherort von Gruppen in Active Directory ein. Beispiel:cn=users, dc=domain, dc=net, wobeicn=usersfür den Containernamen der Gruppen unddcfür die Domänenkomponente von Active Directory steht.
    • Benutzer-ID:Geben Sie die dem Active Directory-Konto zugeordnete Benutzer-ID ein.
    • Kennwort:Geben Sie das dem Benutzer zugeordnete Kennwort ein.
    • Domänenalias:Geben Sie ein Alias für den Domänennamen ein. Wenn Sie die Einstellung für denDomänenaliasnach der Registrierung ändern, müssen sich Benutzer neu registrieren.
    • XenMobile-Sperrlimit:Geben Sie eine Zahl zwischen0und999für die Anzahl zulässiger fehlgeschlagener Anmeldeversuche ein. Wenn Sie0festlegen, wird der Benutzer nie aufgrund fehlgeschlagener Anmeldeversuche aus XenMobile ausgesperrt.
    • XenMobile-Sperrzeitraum:Geben Sie eine Zahl zwischen0und99999für den Zeitraum in Minuten ein, den ein Benutzer nach einer Überschreitung des Sperrlimits abwarten muss. Der Wert0bedeutet, dass Benutzer nicht gezwungen sind, nach einer Sperrung zu warten.
    • TCP-Port für globalen Katalog:Geben Sie die TCP-Portnummer des Servers für den globalen Katalog ein. Die Standard-TCP-Portnummer ist3268. Verwenden Sie für SSL-Verbindungen die Portnummer3269.
    • Stammkontext für globalen Katalog:Geben Sie optional den Stammkontext für den globalen Katalog ein, der eine Suche im globalen Katalog von Active Directory ermöglicht. Diese Suchfunktion existiert zusätzlich zu der Standard-LDAP-Suche und ermöglicht die Suche in jeder Domäne ohne Angabe des Domänennamens.
    • Benutzersuche nach:Klicken Sie in der Liste aufuserPrincipalNameodersAMAccountName. Der Standardwert istuserPrincipalName. Wenn Sie die EinstellungBenutzersuche nachnach der Registrierung ändern, müssen sich Benutzer neu registrieren.
    • Sichere Verbindung verwenden:Wählen Sie aus, ob sichere Verbindungen verwendet werden sollen. Die Standardeinstellung istNEIN.

  3. Klicken Sie aufSpeichern.

Bearbeiten LDAP-kompatibler Verzeichnisse

  1. Wählen Sie in der TabelleLDAPdas zu bearbeitende Verzeichnis aus.

    Wenn Sie das Kontrollkästchen neben einem Verzeichnis aktivieren, wird das Menü mit den Optionen oberhalb der LDAP-Liste angezeigt. Wenn Sie an eine andere Stelle in der Liste klicken, wird das Menü mit den Optionen rechts daneben angezeigt.

  2. Klicken Sie aufEdit. Die SeiteLDAP bearbeitenwird angezeigt.

    LDAP-Konfigurationsbildschirm

  3. Ändern Sie nach Bedarf die folgenden Informationen:

    • Verzeichnistyp:Klicken Sie in der Liste auf den Verzeichnistyp.
    • Primärer Server:Geben Sie den für LDAP verwendeten primären Server an. Sie können die IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) eingeben.
    • Sekundärer Server:Geben Sie optional die IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) für den sekundären Server (sofern konfiguriert) ein.
    • Port:Geben Sie die Portnummer des LDAP-Servers ein. Die Standardeinstellung für unsichere LDAP-Verbindungen ist389. Verwenden Sie Port636für sichere LDAP-Verbindungen,3268für unsichere Microsoft-LDAP-Verbindungen oder3269für sichere Microsoft-LDAP-Verbindungen.
    • Domänenname:Sie können dieses Feld nicht ändern.
    • Basis-DN für Benutzer:Geben Sie den Speicherort von Benutzern in Active Directory über einen eindeutigen Bezeichner ein. Syntaxbeispiele:ou=users,dc=exampleoderdc=com.
    • Basis-DN für Gruppen:Geben Sie den Gruppen-Basis-DN-Namen gemäß dem Mustercn=groupnameein. Beispielsweisecn=users, dc=servername, dc=net, wobeicn=usersder Gruppenname ist.DNundservernamesind der Name des Servers, auf dem Active Directory ausgeführt wird.
    • Benutzer-ID:Geben Sie die dem Active Directory-Konto zugeordnete Benutzer-ID ein.
    • Kennwort:Geben Sie das dem Benutzer zugeordnete Kennwort ein.
    • Domänenalias:Geben Sie ein Alias für den Domänennamen ein. Wenn Sie die Einstellung für denDomänenaliasnach der Registrierung ändern, müssen sich Benutzer neu registrieren.
    • XenMobile-Sperrlimit:Geben Sie eine Zahl zwischen0und999für die Anzahl zulässiger fehlgeschlagener Anmeldeversuche ein. Wenn Sie0festlegen, wird der Benutzer nie aufgrund fehlgeschlagener Anmeldeversuche aus XenMobile ausgesperrt.
    • XenMobile-Sperrzeitraum:Geben Sie eine Zahl zwischen0und99999für den Zeitraum in Minuten ein, den ein Benutzer nach einer Überschreitung des Sperrlimits abwarten muss. Der Wert0bedeutet, dass Benutzer nicht gezwungen sind, nach einer Sperrung zu warten.
    • TCP-Port für globalen Katalog:Geben Sie die TCP-Portnummer des Servers für den globalen Katalog ein. Die Standard-TCP-Portnummer ist3268. Verwenden Sie für SSL-Verbindungen die Portnummer3269.
    • Stammkontext für globalen Katalog:Geben Sie optional den Stammkontext für den globalen Katalog ein, der eine Suche im globalen Katalog von Active Directory ermöglicht. Diese Suchfunktion existiert zusätzlich zu der Standard-LDAP-Suche und ermöglicht die Suche in jeder Domäne ohne Angabe des Domänennamens.
    • Benutzersuche nach:Klicken Sie in der Liste aufuserPrincipalNameodersAMAccountName. Wenn Sie die EinstellungBenutzersuche nachnach der Registrierung ändern, müssen sich Benutzer neu registrieren.
    • Sichere Verbindung verwenden:Wählen Sie aus, ob sichere Verbindungen verwendet werden sollen.

  4. Klicken Sie aufSpeichern, um die Änderungen zu speichern, oder aufAbbrechen, um die Eigenschaft beizubehalten.

Löschen LDAP-kompatibler Verzeichnisse

  1. Wählen Sie in der TabelleLDAPdas zu löschende Verzeichnis aus.

    Sie können mehrere zu löschende Eigenschaften auswählen, indem Sie die Kontrollkästchen daneben aktivieren.

  2. Klicken Sie aufLöschen. Ein Bestätigungsdialogfeld wird angezeigt. Klicken Sie noch einmal auf删除.

Konfigurieren der Authentifizierung für mehrere Domänen

Informationen zum Konfigurieren von XenMobile Server zur Verwendung mehrerer Domänensuffixe in einer LDAP-Konfiguration finden Sie in der Dokumentation zur Citrix Endpoint Management unterKonfigurieren der Authentifizierung für mehrere Domänen. Das Verfahren ist bei der On-Premises-Version von XenMobile Server und der Endpoint Management-Cloudversion identisch.

Konfigurieren der Authentifizierung mit Domäne und Sicherheitstoken

Sie können XenMobile konfigurieren, sodass Benutzer sich mit ihren LDAP-Anmeldeinformationen und einem Einmalkennwort authentifizieren müssen. Dabei wird das RADIUS-Protokoll verwendet.

Die optimale Benutzerfreundlichkeit erreichen Sie, wenn Sie diese Konfiguration mit der Citrix-PIN und der Active Directory-Kennwortzwischenspeicherung kombinieren. Die Benutzer müssen dann ihre LDAP-Benutzernamen und -Kennwörter nicht wiederholt eingeben. Die Benutzer geben Benutzernamen und Kennwörter für die Registrierung sowie bei Kennwortablauf und Kontosperrung ein.

Konfigurieren von LDAP-Einstellungen

Wenn Sie LDAP für die Authentifizierung verwenden möchten, müssen Sie ein SSL-Zertifikat von einer Zertifizierungsstelle in XenMobile installieren. Weitere Informationen finden Sie unterHochladen von Zertifikaten in XenMobile.

  1. Klicken Sie inEinstellungenaufLDAP.

  2. Wählen SieMicrosoft Active Directoryund klicken Sie aufBearbeiten.

    LDAP-Konfigurationsbildschirm

  3. Überprüfen Sie, ob der Port auf636für sichere LDAP-Verbindungen oder auf3269für sichere Microsoft LDAP-Verbindungen festgelegt ist.

  4. Legen SieSichere Verbindung verwendenaufJafest.

    LDAP-Konfigurationsbildschirm

Konfigurieren von Citrix Gateway-Einstellungen

毛死folgenden Schritte将angenommen, dass年代ie XenMobile bereits eine Citrix Gateway-Instanz hinzugefügt haben. Anweisungen zum Hinzufügen einer Instanz von Citrix Gateway finden Sie unterHinzufügen einer neuen Citrix Gateway-Instanz.

  1. Klicken unterEinstellungenaufCitrix Gateway.

  2. Wählen Sie dasCitrix Gatewayund klicken Sie aufBearbeiten.

  3. Wählen Sie unterAnmeldetypdie OptionDomäne und Sicherheitstoken.

    Citrix Gateway-Konfigurationsbildschirm

Aktivieren der Citrix-PIN und der Zwischenspeicherung von Benutzerkennwörtern

Um die Citrix-PIN und die Zwischenspeicherung von Benutzerkennwörtern zu aktivieren, gehen Sie zuEinstellungen > Clienteigenschaftenund aktivieren Sie die KontrollkästchenEnable Citrix-PIN AuthenticationundEnable User Password Caching. Weitere Informationen finden Sie unterClienteigenschaften.

Konfigurieren von Citrix Gateway für die Authentifizierung mit Domäne und Sicherheitstoken

Konfigurieren Sie Citrix Gateway-Sitzungsprofile und Richtlinien für die virtuellen Server, die mit XenMobile verwendet werden. Weitere Informationen finden Sie in der Dokumentation zu Citrix Gateway.

Authentifizierung mit Domäne bzw. mit Domäne und Sicherheitstoken
January 5, 2022
Beitrag von:
C C
January 5, 2022
Beitrag von:
C C

In diesem Artikel

Feedback zur Site | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung
© 1999-Cloud Software Group, Inc. All rights reserved.