Publié le
25 juin 2024
Configurer Citrix Federated Authentication Service (FAS) avec WinHorizon et Evertrust Horizon exige une attention aux détails et le respect de prérequis et d'étapes procédurales spécifiques. Ce guide propose un processus complet, étape par étape, pour assurer une intégration fluide et faciliter un environnement d'authentification sécurisé et efficace au sein de votre domaine Active Directory (AD).
Avant de commencer, cette configuration nécessite quelques prérequis, à savoir :
Procédure de configuration
Note : l'installation de Citrix FAS doit être effectuée avec un compte Enterprise Administrator dans le domaine désigné
1. Installez Citrix FAS : installez le package MSI Citrix FAS (FederatedAuthenticationService_XX_XX_XXX_x64.msi)
2. Lancez la console d'administration : lancez la console d'administration Citrix FAS en tant qu'Enterprise Administrator
3. Connectez-vous à un serveur distant (Optionnel) : si le serveur Citrix FAS est installé sur une autre machine, cliquez sur « Connect to another server » et saisissez le FQDN de la machine (qui doit être dans le même domaine).
4. Déployez les modèles de certificat :
Dans la section « Deploy certificate templates », cliquez sur « Deploy » puis sur « OK »
Cela déploiera les modèles de certificat Microsoft suivants dans la forêt AD actuelle
- Citrix_RegistrationAuthority_ManualAuthorization
- Citrix_RegistrationAuthority
- Citrix_SmartcardLogon
5. Vérifiez le déploiement des modèles : utilisez l'utilitaire « certtmpl.msc » pour vous assurer que les modèles ont bien été déployés. Modifiez le modèle Citrix_RegistrationAuthority_ManualAuthorization en décochant la case « CA manager approval » dans l'onglet « Issuance Requirements ».
6. Configurez WinHorizon :
Sur la machine WinHorizon, démarrez « Evertrust WinHorizon Configurator » en tant qu'Enterprise Admin
Cliquez sur le bouton « Templates », ajoutez les trois modèles Citrix de l'étape 4, puis enregistrez
Configuration de Horizon
7. Connectez-vous à la console Horizon : accédez à la console web d'administration Horizon, naviguez dans le menu « Configuration », puis dans « Protocols » > « WCCE » > « Profiles », et créez trois profils WCCE avec les configurations indiquées.
Envie de mettre en pratique ces bonnes pratiques PKI ?
Bénéficiez des conseils de nos experts pour déployer des solutions PKI sécurisées au sein de votre organisation.
Demander de l'aideNom du profil (exemple) | Cas d'usage du profil |
|---|---|
stream_citrix_e_agent | Émettre le certificat d'agent d'enrôlement initial |
stream_citrix_ra | Émettre les certificats pour le Citrix FAS Registration Authority |
stream_citrix_sc_logon | Émettre les certificats pour SmartCard Logon |
8. Déclarez la forêt WCCE : dans le menu Configuration de Horizon, allez dans « Protocols » > « WCCE » > « Forests » et déclarez une nouvelle forêt WCCE en utilisant le FQDN de votre forêt AD (et non le nom NETBIOS)
9. Créez les mappings WCCE : après avoir déclaré la forêt, créez trois mappings WCCE en cliquant sur le bouton + à côté du nom de la forêt. Aucune spécification d'EOBO CA n'est nécessaire.
Les mappings doivent être les suivants :
Nom du modèle Microsoft | Mode d'enrôlement | Profil WCCE (exemple) |
|---|---|---|
Citrix_RegistrationAuthority_ManualAuthorization | Entity | stream_citrix_e_agent |
Citrix_SmartcardLogon | Enroll On Behalf Of | stream_citrix_sc_logon |
Citrix_RegistrationAuthority | Enroll On Behalf Of | stream_citrix_ra |
Inutile de spécifier une EOBO CA à l'invite.
Bien que les noms de profil WCCE puissent varier pour votre configuration, le nom du modèle Microsoft doit être exactement identique à celui du tableau ci-dessus, car ils ont été créés automatiquement par Citrix FAS précédemment.
Les mappings de la forêt devraient finalement ressembler à ceci :
10. Autorisez le service :
Dans la section « Authorize this service », cliquez sur « Authorize »
Sélectionnez la CA WinHorizon dans le menu déroulant et cliquez sur « OK »
Cela émettra une requête de certificat dans Horizon, qui devrait être automatiquement approuvée, émettant un certificat sur votre PKI sous-jacente.
Dans le menu déroulant, sélectionnez la CA WinHorizon et cliquez sur « OK ». Cela devrait émettre une requête de certificat dans Horizon qui sera automatiquement approuvée, et donc émettre immédiatement un certificat sur votre PKI sous-jacente.
11. Modifiez le modèle de certificat : à l'aide de l'utilitaire « certtmpl.msc », modifiez le modèle Citrix_RegistrationAuthority_ManualAuthorization en cochant la case « CA manager approval » dans l'onglet « Issuance Requirements ».
12. Créez une règle d'autorisation : dans la section « Create a rule », cliquez sur « Create » et nommez la règle « default »
13. Configurez le registre : sur le serveur Citrix FAS, exécutez regedit et naviguez jusqu'à l'emplacement de la clé de registre indiquée pour garantir la précision de la configuration
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\Authentication\UserCredentialService\Addresses
Vous devez créer manuellement toute clé manquante dans le chemin susmentionné, le cas échéant, et créer la valeur suivante :
Nom de la valeur | Type de valeur | Valeur |
|---|---|---|
Address1 | REG_SZ | <FQDN du serveur Citrix FAS> (exemple : citrixfas.example.local) |
Enfin, pour vérifier que la configuration est réussie, vous pouvez réaliser les deux étapes suivantes.
14. Créez la liste d'utilisateurs : créez un fichier nommé `users_list.csv` avec le contenu indiqué.
type: embedded-entry-inline id: 7riv0ssqgNJjFHstzFk60s
15. Exécutez le script PowerShell :
Ouvrez une instance PowerShell en tant qu'administrateur, naviguez jusqu'au chemin où le fichier CSV est enregistré, puis exécutez le script fourni.
Les certificats enrôlés devraient désormais être visibles dans Horizon et sur votre PKI.
type: embedded-entry-inline id: 54ppHIIKFBBD5At4MD3XPj
En suivant ce guide de configuration détaillé, vous assurez une intégration robuste de Citrix FAS avec WinHorizon et Evertrust Horizon, renforçant la sécurité et l'efficacité de votre infrastructure d'authentification. Le respect des prérequis et des étapes procédurales spécifiés garantit une mise en œuvre fluide, facilitant une expérience utilisateur sans accroc au sein de votre domaine Active Directory.
