Citrix シングルサインオン/パススルー認証設定方法

当ページのリンクには広告が含まれています。

こんにちは、Citrix製品のシステムエンジニア歴10年 ばにゃです。

本記事では、Citrix XenApp / XenDesktop 環境で、Citrix Receiver よりシングルサインオン / パススルー認証を行うための設定方法について解説します。

デフォルトではパススルー認証は無効となっているため、以下3箇所で設定変更が必要となります。

  1. Citrix Receiver をインストールするクライアント端末
  2. StoreFrontサーバー
  3. DeliveryControllerサーバー
目次

前提となる環境

本記事では、以下のような環境を例として記載します。この環境で私自身が実機動作確認済みの手順となります。

環境
  • Citrix XenApp 7.x
  • Citrix XenDesktop 7.x
  • Citrix StoreFront 2.x
  • Citrix StoreFront 3.x
  • Citrix Receiver 3.x
  • Citrix Receiver 4.x

Citrix Receiver 設定

シングルサインオン有効化

Citrix Receiverインストール時に、シングルサインオン機能を有効にします。

このシングルサインオン機能は、Citrix Receiver インストール時に有効にしていなかった場合、あとから有効にすることができません。Citrix Receiver インストール時に無効にしてしまった場合は再インストールが必要となります。

以下にGUIとコマンド、2つの手順について記載します。どちらの手順も、インストール完了後にクライアント端末を再起動する必要があります。

GUIでのインストール方法

Citrix Receiver インストールウィザードの「シングルサインオンの有効化」で「シングルサインオンを有効にする」にチェックをいれて Citrix Receiver をインストールします。

sso_001

コマンドでのインストール方法

/includeSSON ENABLE_SSON=Yes オプションを付けて Citrix Receiver をインストールします。

CitrixReceiver.exe /includeSSON ENABLE_SSON=Yes

グループポリシーの設定

Citrix Receverをインストールしたクライアント端末に対して、パススルー認証を行うためのグループポリシーを適用します。

  1. Citrix Receiverをインストールした端末より、以下のファイルを取得します。
%ProgramFiles(x86)%\Citrix\ICA Client\Configuration\receiver.admx
%ProgramFiles(x86)%\Citrix\ICA Client\Configuration\CitrixBase.admx
%ProgramFiles(x86)%\Citrix\ICA Client\Configuration\ja-JP\receiver.adml
%ProgramFiles(x86)%\Citrix\ICA Client\Configuration\ja-JP\CitrixBase.adml
  1. 取得したadmxファイルをフォルダ(A)、admlファイルをフォルダ(B)に格納します。

ドメインのグループポリシーで設定する場合

  • C:\Windows\Sysvol\domain\Policies\PolicyDefinitions
  • C:\Windows\Sysvol\domain\Policies\PolicyDefinitions\ja-JP

ローカルグループポリシーで設定する場合

  • C:\Windows\PolicyDefinitions
  • C:\Windows\PolicyDefinitions\ja-JP
  1. グループポリシーエディターより以下の設定を行います。

コンピュータの構成
 管理用テンプレート
  Citrix Receiver
   ユーザー認証
    ローカルユーザー名とパスワード:有効
    オプション
    ■ パススルー認証を有効にします
    ■ すべてのICA接続にパススルー認証を許可します
    □ Novell Directory Server 資格情報を使用します

  1. 以下のコマンドを実行します。
gpupdate /force

IEのセキュリティ設定

Internet Explorerで以下の設定を行います。

  1. ファイル名を指定して実行より「inetcpl.cpl」を実行し「インターネットのプロパティ」画面を開きます。
  2. 「セキュリティ」タブより「信頼済みサイト」を選択し「サイト」をクリックします。
    sso_002
  3. 「このWebサイトをゾーンに追加する」よりStoreFrontのURLを入力し「追加」をクリックします。
    sso_003
  4. 「閉じる」をクリックし「信頼済みサイト」画面を閉じます。
    sso_004
  5. 「セキュリティ」タブより「信頼済みサイト」を選択し「レベルのカスタマイズ」をクリックします。
    sso_005
  6. 「ユーザー認証」-「ログオン」設定で「現在のユーザー名とパスワードで自動的にログオンする」を選択し「OK」をクリックします。
    sso_006
  7. 警告が表示された場合は「はい」をクリックします。
    sso_007
  8. 「インターネットのプロパティ」画面より「OK」をクリックして画面を閉じます。
    sso_008

StoreFront 設定

ドメインパススルー有効化

StoreFrontサイトの認証方法でドメインパススルーを有効にします。

  1. StoreFrontの管理コンソールを開き、StoreFrontサイトの「認証方法の管理」をクリックします。
  2. 「ドメインパススルー」にチェックを入れ「OK」をクリックします。
    sso_009

ドメインパススルー認証のみ有効にしたい場合は「ユーザー名とパスワード」のチェックを外します。この場合、パススルー認証に失敗した際に手動でユーザー名/パスワードを入力してStoreFrontにログオンすることができなくなります。

DeliveryController 設定

XML信頼設定を有効化

XML信頼設定を有効にします。

  1. Citrix Studioを起動し、Citrix Studio上からPowerShellを起動します。
  2. 以下のコマンドを実行します。
Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $True

以上でパススルー認証の設定は完了です。

設定のチェック方法

Citrix 構成チェッカー

Citrix Receiverのバージョンが4.5以降の場合、Citrix構成チェッカーを使用して、パススルー認証設定に問題がないかどうかを確認することが可能です。Citrix構成チェッカーについては以下を参照してください。

ssonsvr.exeプロセスの起動状態

Citrix Receiver インストール時にシングルサインオン機能を有効にしている場合は、ssonsvr.exe プロセスが起動します。

Citrix Receiverをインストールした端末でプロセスの一覧を確認し、ssonsvr.exe プロセスが起動していれば、シングルサインオン機能が有効になっていると判断可能です。

参考情報

Citrixドキュメント

パススルー認証についてCitrixの以下ドキュメントも参考にしてください。

関連書籍

Citrix関連の数少ない書籍です。Xenapp、XenDesktopの基本知識を身につけるのに最適です。

にほんブログ村 IT技術ブログへ
にほんブログ村

よかったらシェアしてね!

この記事を書いた人

ばにゃ ばにゃ システムエンジニア

国内大手SIer勤務、SE15年以上やっています。これまでの経験を元にIT技術情報やIT資格試験、たまに投資/資産形成やSE界隈の話について記事にしていきます。

コメント

コメントする

CAPTCHA


目次