使用此策略可控制客户端如何使用 Kerberos 对远程应用程序或桌面验证用户的身份。
启用时,此策略将允许客户端使用 Kerberos 协议验证用户的身份。Kerberos 是域控制器授权的身份验证事务,不需要将真实的用户凭据数据传输到服务器。
禁用时,客户端将不尝试进行 Kerberos 身份验证。
故障排除:
运行客户端的计算机和运行远程应用程序的服务器必须位于具有信任关系的域中。 域控制器必须意识到 Citrix XenApp 服务器将使用 Kerberos 执行完整用户登录(交互式登录)。 此策略使用域控制器上的"信任委派身份验证设置"进行配置。
使用 Web Interface 进行连接时,Web Interface 服务器必须意识到客户端将使用 Kerberos 身份验证进行连接。这是必要的,因为默认情况下,Web Interface 服务器使用目标服务器的 IP 地址,而 Kerberos 身份验证需要完全限定的域名。
客户端和服务器计算机都必须具有正确的已注册 DNS 条目。这是必要的,因为端点将在连接过程中相互进行身份验证。
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Logon\Kerberos |
| Value Name | SSPIEnabled |
| Value Type | REG_SZ |
| Enabled Value | true,false |
| Disabled Value | false |
| Registry Path | Value Name | Value Type | Value |
|---|---|---|---|
| Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Logon\Local Credentials | SSOnUserSetting | REG_SZ | true,false |
| Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Logon\Local Credentials | EnableSSOnThruICAFile | REG_SZ | true |
| Software\Citrix\ICA Client | SSPIEnabled | REG_DWORD | 1 |