Mit dieser Richtlinie steuern Sie, wie der Client Kerberos zum Authentifizieren der Benutzer bei der Remoteanwendung oder dem Remotedesktop verwendet.
Bei Aktivierung der Richtlinie kann der Client Benutzer mit dem Kerberos-Protokoll authentifizieren. Kerberos ist eine vom Domänencontroller autorisierte Authentifizierungstransaktion, die die Übermittlung von echten Benutzeranmeldeinformationen an den Server vermeidet.
Bei Deaktivierung erfolgt keine Kerberos-Authentifizierung.
Problembehandlung:
Die Maschine, auf der der Client ausgeführt wird, und der Server, auf dem die Remoteanwendung ausgeführt wird, müssen in Domänen sein, zwischen denen eine Vertrauensbeziehung besteht. Der Domänencontroller muss wissen, dass der Citrix XenApp-Server eine vollständige Benutzeranmeldung (interaktive Anmeldung) mit Kerberos ausführt. Dies kann mit der Einstellung 'Trust for Delegated Authentication' auf dem Domänencontroller konfiguriert werden.
Bei einer Verbindung über das Webinterface muss der Webinterface-Server wissen, dass der Client für die Verbindung Kerberos-Authentifizierung verwendet. Dies ist nötig, weil der Webinterface-Server standardmäßig eine IP-Adresse für den Zielserver verwendet, Kerberos-Authentifizierung jedoch einen vollqualifizierten Domänennamen erfordert.
Die Client- und Servermaschinen müssen beide korrekt registrierte DNS-Einträge haben. Dies ist erforderlich, weil Endpunkte sich während der Verbindung gegenseitig authentifizieren.
Registry Hive | HKEY_CURRENT_USER |
Registry Path | Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Logon\Kerberos |
Value Name | SSPIEnabled |
Value Type | REG_SZ |
Enabled Value | true,false |
Disabled Value | false |
Registry Path | Value Name | Value Type | Value |
---|---|---|---|
Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Logon\Local Credentials | SSOnUserSetting | REG_SZ | true,false |
Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Logon\Local Credentials | EnableSSOnThruICAFile | REG_SZ | true |