域或域加安全令牌身份验证
XenMobile支持对一个或多个(与轻型目录访问协议(LDAP)兼容的)目录执行基于域的身份验证。您可以在XenMobile中配置与一个或多个目录的连接,然后使用LDAP配置导入组,用户帐户和相关属性。
LDAP是一个独立于供应商的开源应用程序协议,用于通过互联网协议(IP)网络访问和维护分布式目录信息服务。目录信息服务用于共享通过网络可用的用户、系统、网络、服务和应用程序信息。
Ldap的常见用处是为用户提供单点登录(sso),即每个用户在多项服务之间共享一个密码。通过单点登录,用户登录一次公司Web站点,可对公司内网进行经过身份验证访问。
客户端通过连接到LDAP服务器(称为目录系统代理程序(目录系统代理,DSA))启动LDAP会话。然后,客户端向服务器发送操作请求,服务器通过相应的身份验证进行响应。
重要:
用户在XenMobile中注册设备后,XenMobile不支持将身份验证模式从域身份验证更改为其他身份验证模式。
在XenMobile中添加LDAP连接
在XenMobile控制台中,单击控制台右上角的齿轮图标。此时将显示设置页面。
在服务器下方,单击LDAP。此时将显示LDAP页面。可以添加,编辑或删除ldap兼容目录,如本文中所述。
添加ldap兼容目录
在LDAP页面上,单击添加。此时将显示添加ldap页面。
配置以下设置:
- 目录类型:在列表中,单击相应的目录类型。默认值为微软活动目录。
- 主服务器:键入用于ldap的主服务器;可以输入IP地址或完全限定的域名(fqdn)
- 辅助服务器:(可选)如果配置了辅助服务器,请输入辅助服务器的IP地址或fqdn。此服务器是故障转移服务器,在无法访问主服务器时使用。
- 端口:键入ldap服务器使用的端口号。默认情况下,对于不安全的ldap连接,端口号设置为389。对安全的ldap连接使用端口号636,对微软不安全LDAP连接使用3268,或者对微软安全LDAP连接使用3269。
- 域名:键入域名。
- 用户基础dn:通过唯一标识符在活动目录中键入用户的位置。语法示例包括:
ou =用户、dc =例子或dc = com。 - 组基础dn:在活动目录中键入组的位置。例如
Cn =users, dc=domain, dc=net,其中cn =用户表示组的容器名称,直流表示活动目录的域组件。 - 用户id:键入与Active Directory帐户关联的用户ID。
- 密码:键入与用户关联的密码。
- 域别名:键入域名的别名。如果在注册后更改域别名设置,用户必须重新注册。
- XenMobile锁定限制:键入0到999之间的数字,表示失败登录尝试次数。值为0表示XenMobile从不根据失败登录尝试次数锁定用户。
- XenMobile锁定时间:键入0到99999之间的数字,表示用户超过锁定限制后必须等待的分钟数。值为0表示不强制用户在锁定后等待。
- 全局目录TCP端口:键入全局目录服务器的TCP端口号。默认情况下,tcp端口号设置为3268;对于SSL连接,使用端口号3269。
- 全局目录根上下文:(可选)键入用于在活动目录中启用全局目录搜索的全局根上下文值。此搜索是除标准ldap搜索之外的方法,可在任何域中使用,无需指定实际的域名。
- 用户搜索依据:在此列表中,单击userPrincipalName或sAMAccountName。默认值为userPrincipalName。如果在注册后通过设置更改用户搜索,用户必须重新注册。
- 使用安全连接:选择是否使用安全连接。默认值为否。
单击保存。
编辑ldap兼容目录
在LDAP表中,选择要编辑的目录。
选中某个目录旁边的复选框时,选项菜单将显示在ldap列表上方。单击列表中的其他任意位置,选项菜单将显示在列表右侧。
单击编辑。此时将显示编辑ldap页面。
适当更改以下信息:
- 目录类型:在列表中,单击相应的目录类型。
- 主服务器:键入用于ldap的主服务器;可以输入IP地址或完全限定的域名(fqdn)
- 辅助服务器:(可选)键入辅助服务器的IP地址或fqdn(如果配置了辅助服务器)。
- 端口:键入ldap服务器使用的端口号。默认情况下,对于不安全的ldap连接,端口号设置为389。对安全的ldap连接使用端口号636,对微软不安全LDAP连接使用3268,或者对微软安全LDAP连接使用3269。
- 域名:无法更改此字段。
- 用户基础dn:通过唯一标识符在活动目录中键入用户的位置。语法示例包括:
ou =用户、dc =例子或dc = com。 - 组基础dn:键入组基础dn组名称,以
cn = groupname的形式指定。例如,Cn =users, dc=servername, dc=net,其中cn =用户为组名称。DN和servername表示运行活动目录的服务器的名称。 - 用户id:键入与Active Directory帐户关联的用户ID。
- 密码:键入与用户关联的密码。
- 域别名:键入域名的别名。如果在注册后更改域别名设置,用户必须重新注册。
- XenMobile锁定限制:键入0到999之间的数字,表示失败登录尝试次数。值为0表示XenMobile从不根据失败登录尝试次数锁定用户。
- XenMobile锁定时间:键入0到99999之间的数字,表示用户超过锁定限制后必须等待的分钟数。值为0表示不强制用户在锁定后等待。
- 全局目录TCP端口:键入全局目录服务器的TCP端口号。默认情况下,tcp端口号设置为3268;对于SSL连接,使用端口号3269。
- 全局目录根上下文:(可选)键入用于在活动目录中启用全局目录搜索的全局根上下文值。此搜索是除标准ldap搜索之外的方法,可在任何域中使用,无需指定实际的域名。
- 用户搜索依据:在此列表中,单击userPrincipalName或sAMAccountName。如果在注册后通过设置更改用户搜索,用户必须重新注册。
- 使用安全连接:选择是否使用安全连接。
单击保存以保存您所做更改,或单击取消保留属性不变。
删除ldap兼容目录
在LDAP表中,选择要删除的目录。
可以通过选中每个属性旁边的复选框,选择多个要删除的属性。
单击删除。此时将显示确认对话框。再次单击删除。
为多个域配置身份验证
要将XenMobile Server配置为在LDAP配置中使用多个域后缀,请参阅Citrix Endpoint Management文档为多个域配置身份验证中的过程。这些步骤在本地版本的XenMobile服务器和终端管理云版本中相同。
配置域加安全令牌身份验证
可以将XenMobile配置为要求用户通过半径协议使用其LDAP凭据以及一次性密码进行身份验证。
要实现最佳可用性,可以将此配置与Citrix销和Active Directory密码缓存组合在一起。采用该配置时,用户不需要重复输入其ldap用户名和密码。用户在注册、密码过期和帐户锁定时输入用户名和密码。
配置ldap设置
使用LDAP进行身份验证要求您在XenMobile上安装证书颁发机构颁发的SSL证书。有关信息,请参阅在XenMobile中上载证书。
在设置中,单击LDAP。
选择微软活动目录,然后单击编辑。
确认“端口”为636(用于安全ldap连接)还是3269(用于Microsoft安全LDAP连接)。
将使用安全连接更改为是。
配置Citrix Gateway设置
以下步骤假定您已向XenMobile中添加Citrix Gateway实例。要添加Citrix Gateway实例,请参阅添加Citrix Gateway实例。
在设置中,单击Citrix网关。
选择Citrix网关,然后单击编辑。
在登录类型中,选择域和安全令牌。
启用Citrix PIN和用户密码缓存
要启用Citrix PIN和用户密码缓存,请转至设置 > 客户端属性,然后选中这些复选框:启用Citrix PIN身份验证和启用用户密码缓存。有关详细信息,请参阅客户端属性。
配置Citrix Gateway以进行域和安全令牌身份验证
为与XenMobile配合使用的虚拟服务器配置Citrix网关会话配置文件和策略。有关信息,请参阅Citrix Gateway文档。