こんにちは、Citrix製品のシステムエンジニア歴10年 ばにゃです。
本記事では、Citrix XenApp / XenDesktop 環境で、Citrix Receiver よりシングルサインオン / パススルー認証を行うための設定方法について解説します。
デフォルトではパススルー認証は無効となっているため、以下3箇所で設定変更が必要となります。
- Citrix Receiver をインストールするクライアント端末
- StoreFrontサーバー
- DeliveryControllerサーバー
前提となる環境
本記事では、以下のような環境を例として記載します。この環境で私自身が実機動作確認済みの手順となります。
- Citrix XenApp 7.x
- Citrix XenDesktop 7.x
- Citrix StoreFront 2.x
- Citrix StoreFront 3.x
- Citrix Receiver 3.x
- Citrix Receiver 4.x
Citrix Receiver 設定
シングルサインオン有効化
Citrix Receiverインストール時に、シングルサインオン機能を有効にします。
このシングルサインオン機能は、Citrix Receiver インストール時に有効にしていなかった場合、あとから有効にすることができません。Citrix Receiver インストール時に無効にしてしまった場合は再インストールが必要となります。
以下にGUIとコマンド、2つの手順について記載します。どちらの手順も、インストール完了後にクライアント端末を再起動する必要があります。
GUIでのインストール方法
Citrix Receiver インストールウィザードの「シングルサインオンの有効化」で「シングルサインオンを有効にする」にチェックをいれて Citrix Receiver をインストールします。
コマンドでのインストール方法
/includeSSON ENABLE_SSON=Yes オプションを付けて Citrix Receiver をインストールします。
CitrixReceiver.exe /includeSSON ENABLE_SSON=Yesグループポリシーの設定
Citrix Receverをインストールしたクライアント端末に対して、パススルー認証を行うためのグループポリシーを適用します。
- Citrix Receiverをインストールした端末より、以下のファイルを取得します。
%ProgramFiles(x86)%\Citrix\ICA Client\Configuration\receiver.admx
%ProgramFiles(x86)%\Citrix\ICA Client\Configuration\CitrixBase.admx
%ProgramFiles(x86)%\Citrix\ICA Client\Configuration\ja-JP\receiver.adml
%ProgramFiles(x86)%\Citrix\ICA Client\Configuration\ja-JP\CitrixBase.adml- 取得したadmxファイルをフォルダ(A)、admlファイルをフォルダ(B)に格納します。
ドメインのグループポリシーで設定する場合
- C:\Windows\Sysvol\domain\Policies\PolicyDefinitions
- C:\Windows\Sysvol\domain\Policies\PolicyDefinitions\ja-JP
ローカルグループポリシーで設定する場合
- C:\Windows\PolicyDefinitions
- C:\Windows\PolicyDefinitions\ja-JP
- グループポリシーエディターより以下の設定を行います。
コンピュータの構成
管理用テンプレート
Citrix Receiver
ユーザー認証
ローカルユーザー名とパスワード:有効
オプション
■ パススルー認証を有効にします
■ すべてのICA接続にパススルー認証を許可します
□ Novell Directory Server 資格情報を使用します
- 以下のコマンドを実行します。
gpupdate /forceIEのセキュリティ設定
Internet Explorerで以下の設定を行います。
- ファイル名を指定して実行より「inetcpl.cpl」を実行し「インターネットのプロパティ」画面を開きます。
- 「セキュリティ」タブより「信頼済みサイト」を選択し「サイト」をクリックします。
- 「このWebサイトをゾーンに追加する」よりStoreFrontのURLを入力し「追加」をクリックします。
- 「閉じる」をクリックし「信頼済みサイト」画面を閉じます。
- 「セキュリティ」タブより「信頼済みサイト」を選択し「レベルのカスタマイズ」をクリックします。
- 「ユーザー認証」-「ログオン」設定で「現在のユーザー名とパスワードで自動的にログオンする」を選択し「OK」をクリックします。
- 警告が表示された場合は「はい」をクリックします。
- 「インターネットのプロパティ」画面より「OK」をクリックして画面を閉じます。
StoreFront 設定
ドメインパススルー有効化
StoreFrontサイトの認証方法でドメインパススルーを有効にします。
- StoreFrontの管理コンソールを開き、StoreFrontサイトの「認証方法の管理」をクリックします。
- 「ドメインパススルー」にチェックを入れ「OK」をクリックします。
ドメインパススルー認証のみ有効にしたい場合は「ユーザー名とパスワード」のチェックを外します。この場合、パススルー認証に失敗した際に手動でユーザー名/パスワードを入力してStoreFrontにログオンすることができなくなります。
DeliveryController 設定
XML信頼設定を有効化
XML信頼設定を有効にします。
- Citrix Studioを起動し、Citrix Studio上からPowerShellを起動します。
- 以下のコマンドを実行します。
Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $True以上でパススルー認証の設定は完了です。
設定のチェック方法
Citrix 構成チェッカー
Citrix Receiverのバージョンが4.5以降の場合、Citrix構成チェッカーを使用して、パススルー認証設定に問題がないかどうかを確認することが可能です。Citrix構成チェッカーについては以下を参照してください。
ssonsvr.exeプロセスの起動状態
Citrix Receiver インストール時にシングルサインオン機能を有効にしている場合は、ssonsvr.exe プロセスが起動します。
Citrix Receiverをインストールした端末でプロセスの一覧を確認し、ssonsvr.exe プロセスが起動していれば、シングルサインオン機能が有効になっていると判断可能です。
参考情報
Citrixドキュメント
パススルー認証についてCitrixの以下ドキュメントも参考にしてください。
関連書籍
Citrix関連の数少ない書籍です。Xenapp、XenDesktopの基本知識を身につけるのに最適です。
コメント