Met dit beleid kunt u bepalen hoe de client Kerberos gebruikt om de gebruiker te verifiëren voor de externe toepassing of het externe bureaublad.
Wanneer dit beleid is ingeschakeld, kan de client gebruikers verifiëren met behulp van het Kerberos-protocol. Kerberos is een door de domeincontroller geautoriseerde verificatietransactie die voorkomt dat de echte aanmeldingsgegevens van gebruikers naar de server moeten worden verzonden.
Wanneer dit beleid is uitgeschakeld, zal de client geen Kerberos-verificatie uitvoeren.
Problemen oplossen:
De machine waarop de client wordt uitgevoerd en de server waarop de externe toepassing wordt uitgevoerd, moeten zich in domeinen bevinden die een vertrouwensrelatie hebben. De domeincontroller moet weten dat de Citrix XenApp-server een volledige gebruikersaanmelding (interactieve aanmelding) met behulp van Kerberos uitvoert. Dit wordt geconfigureerd via de instellingen "Vertrouwen voor gedelegeerde verificatie" op de domeincontroller.
Wanneer verbinding gemaakt wordt via de webinterface moet de webinterfaceserver weten dat de client verbinding maakt via Kerberos-verificatie. Dit is nodig omdat de webinterfaceserver standaard een IP-adres voor de doelserver gebruikt, terwijl Kerberos-verificatie een volledig gekwalificeerde domeinnaam vereist.
Zowel client- als servermachines moeten correct geregistreerde DNS-vermeldingen hebben. Dit is nodig omdat de eindpunten elkaar verifiëren bij het verbinding maken.
Registry Hive | HKEY_CURRENT_USER |
Registry Path | Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Logon\Kerberos |
Value Name | SSPIEnabled |
Value Type | REG_SZ |
Enabled Value | true,false |
Disabled Value | false |
Registry Path | Value Name | Value Type | Value |
---|---|---|---|
Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Logon\Local Credentials | SSOnUserSetting | REG_SZ | true,false |
Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Logon\Local Credentials | EnableSSOnThruICAFile | REG_SZ | true |