Webinterface-Administratorhandbuch

Transcription

Die anderen Handbücher in dieser Dokumentationssammlung
finden Sie im Document Center
Webinterface für MetaFrame Presentation Server
Citrix® MetaFrame® Presentation Server 3.0
Die Verwendung des in diesem Handbuch beschriebenen Produkts unterliegt der Annahme der Endbenutzerlizenzvereinbarung.
Eine Kopie der Lizenzvereinbarung finden Sie jeweils im Stammverzeichnis der MetaFrame Presentation Server-CD-ROM und
der Komponenten-CD-ROM.
Copyright und Marken
Die in diesen Unterlagen enthaltenen Angaben und Daten können ohne vorherige Ankündigung geändert werden. Die in den
Beispielen verwendeten Firmen, sonstigen Namen und Daten sind frei erfunden, sofern nichts anderes angegeben ist. Ohne
ausdrückliche schriftliche Erlaubnis von Citrix Systems, Inc. darf kein Teil dieser Unterlagen für irgendwelche Zwecke
vervielfältigt oder übertragen werden, unabhängig davon, auf welche Art und Weise oder mit welchen Mitteln, weder elektronisch noch mechanisch. Ausgenommen davon ist das einmalige Ausdrucken des Dokuments für den persönlichen Gebrauch.
Copyright © 2004 Citrix Systems, Inc. Alle Rechte vorbehalten.
Citrix®, ICA (Independent Computing Architecture)®, NFuse®, Citrix Solutions Network™, MetaFrame®,
MetaFrame XP™, Program Neighborhood® und SpeedScreen™ sind eingetragene Marken oder Marken von Citrix Systems,
Inc. in den USA und anderen Ländern.
RSA Encryption © 1996-1997 RSA Security, Inc. Alle Rechte vorbehalten.
Marken
Adobe, Acrobat und PostScript sind Marken oder eingetragene Marken von Adobe Systems Incorporated in den USA und/oder
anderen Ländern.
Apple, LaserWriter, Mac, Macintosh, Mac OS und Power Mac sind eingetragene Marken oder Marken von
Apple Computer Inc.
Java, Sun und SunOS sind Marken oder eingetragene Marken von Sun Microsystems, Inc. in den USA und anderen Ländern.
Solaris ist eine eingetragene Marke von Sun Microsystems, Inc. Sun Microsystems, Inc. hat dieses Produkt weder getestet noch
genehmigt.
Microsoft, MS-DOS, Windows, Windows NT, Win32, Outlook, ActiveX und Active Directory sind eingetragene Marken oder
Marken der Microsoft Corp. in den USA und/oder anderen Ländern.
Netscape und Netscape Navigator sind eingetragene Marken der Netscape Communications Corp. in den USA und anderen
Ländern.
Novell Directory Services, NDS und NetWare sind eingetragene Marken von Novell, Inc. in den USA und anderen Ländern.
Novell Client ist eine Marke von Novell, Inc.
SafeWord ist eine Marke der Secure Computing Corporation, eingetragen in den USA und anderen Ländern.
UNIX ist eine eingetragene Marke von The Open Group.
Apache ist entweder eine eingetragene Marke oder eine Marke von Apache Software Foundation in den USA und/oder anderen
Ländern.
JavaServer Pages und Sun ONE Application Server sind entweder eingetragene Marken oder Marken der Sun Microsystems
Corporation in den USA und/oder anderen Ländern.
Dieses Produkt verwendet XML Parser for Java Edition von IBM, © 1999, 2000 IBM Corporation.
Alle anderen Marken und eingetragenen Marken sind das Eigentum der jeweiligen Besitzer.
Letzte Aktualisierung: 8. März 2004 (uh)
Gehe zu Document Center
Inhalt
3
Inhalt
Kapitel 1
Einführung
Übersicht. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Hinweise zur Benutzung dieses Handbuchs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Weitere Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Zugreifen auf die Dokumentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Einführung in das Webinterface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Webinterface-Funktionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Verwaltungsfunktionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Funktionen für den Anwendungszugriff . . . . . . . . . . . . . . . . . . . . . . . . . 13
Sicherheitsfunktionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Funktionen zur Clientbereitstellung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Neue Funktionen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Zusätzliche Plattformen für Clientgeräte . . . . . . . . . . . . . . . . . . . . . . . . . 15
Verwaltungsfunktionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Funktionen für den Anwendungszugriff . . . . . . . . . . . . . . . . . . . . . . . . . 15
Benutzerfunktionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Installationsfunktionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Sicherheitsfunktionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Webinterface-Komponenten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Serverfarmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Webserver. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
MetaFrame Presentation Server-Clientgerät . . . . . . . . . . . . . . . . . . . . . . 18
Funktionsweise des Webinterface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Nächste Schritte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
4
Kapitel 2
Bereitstellen des Webinterface
Übersicht. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Systemanforderungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Serveranforderungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Unterstützte MetaFrame-Versionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Zusätzliche Softwareanforderungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Allgemeine Konfigurationsanforderungen. . . . . . . . . . . . . . . . . . . . . . . . 26
Anforderungen für Webserver . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Windows-Plattformen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
UNIX-Plattformen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Benutzeranforderungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Personal Digital Assistants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
Anforderungen für MetaFrame Presentation Server-Clientgeräte. . . . . . . . . . . 29
Installieren des Webinterface. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
Installationsübersicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
Installieren des Webinterface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
Aktualisieren einer bestehenden Installation . . . . . . . . . . . . . . . . . . . . . . 30
Installationsort der Komponenten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Sicherheitsüberlegungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Installieren des Webinterface auf Microsoft IIS . . . . . . . . . . . . . . . . . . . . . . . . 32
Installieren des Webinterface auf UNIX-Plattformen . . . . . . . . . . . . . . . . . . . . 34
Nächste Schritte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Problembehandlung bei der Installation des Webinterface. . . . . . . . . . . . . . . . . . . 35
Verwenden der Option „Reparieren“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Deinstallieren des Webinterface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Deinstallieren des Webinterface auf Microsoft IIS . . . . . . . . . . . . . . . . . . . . . . 36
Deinstallieren des Webinterface auf UNIX-Plattformen. . . . . . . . . . . . . . . . . . 37
Kapitel 3
Inhalt
5
Konfigurieren des Webinterface
Übersicht. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
Auswählen einer Konfigurationsmethode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
Konfigurieren des Webinterface mit der Konsole. . . . . . . . . . . . . . . . . . . . . . . . . . 41
Zugreifen auf die Konsole . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Speichern, Übernehmen und Ignorieren von Änderungen . . . . . . . . . . . . 42
Aufrufen der Hilfe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
Konfigurieren der Authentifizierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
Authentifizierungsmethoden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
AuthentifizierungEmpfehlungen für die Authentifizierung . . . . . . . . . . . 45
Aktivieren der anonymen Benutzeranmeldung . . . . . . . . . . . . . . . . . . . . 45
Aktivieren der Smartcard-Authentifizierung . . . . . . . . . . . . . . . . . . . . . . 46
Aktivieren von Single Sign-On . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Aktivieren der expliziten Authentifizierung. . . . . . . . . . . . . . . . . . . . . . . 53
Aktivieren der Authentifizierung mit Secure Computing SafeWord . . . . 55
Aktivieren der Authentifizierung mit RSA SecurID . . . . . . . . . . . . . . . . 56
Konfigurieren der Ticketgültigkeitsdauer . . . . . . . . . . . . . . . . . . . . . . . . 58
Konfigurieren von Workspace Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
Anforderungen für Workspace Control . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Konfigurieren von Workspace Control mit integrierten
Authentifizierungsmethoden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Aktivieren von Workspace Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
Konfigurieren der Kommunikation mit MetaFrame Presentation Server . . . . . 63
Verwalten von Serverfarmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
Konfigurieren von Servereinstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . 65
Konfigurieren der Fehlertoleranz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
Aktivieren von Load Balancing zwischen Servern . . . . . . . . . . . . . . . . . 67
Angeben des TCP/IP-Ports für die XML-Kommunikation . . . . . . . . . . . 67
Angeben des Transportprotokolls. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
Konfigurieren der Adressübersetzung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
Adressübersetzungstypen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
Angeben des Standardverhaltens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
Konfigurieren spezieller Einstellungen für die Adressübersetzung . . . . 71
Definieren von Zuordnungen für die Adressübersetzung . . . . . . . . . . . . 72
Beispiele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Konfigurieren der Secure Gateway-Unterstützung . . . . . . . . . . . . . . . . . . . . . . 78
Beispiel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
6
Konfigurieren von clientseitigen Proxyeinstellungen . . . . . . . . . . . . . . . . . . . . 82
Beispiel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
Konfigurieren der Clientbereitstellung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
Anforderungen für Remotedesktopverbindungen . . . . . . . . . . . . . . . . . . 87
Einstellungen zum Starten von Anwendungen. . . . . . . . . . . . . . . . . . . . . 89
Anpassen der Bereitstellung des Clients für Java. . . . . . . . . . . . . . . . . . . 92
Bereitstellen des Clients für Java mit dem Webinterface und
benutzerdefinierten SSL/TLS-Zertifikaten. . . . . . . . . . . . . . . . . . . . . . . . 94
Konfigurieren von Installationsmeldungen . . . . . . . . . . . . . . . . . . . . . . . 96
Kompatibilität mit Webservern mit asiatischen Sprachen . . . . . . . . . . . . 97
Benutzerseitiges Konfigurieren von Webinterface-Einstellungen . . . . . . . . . . 97
Konfigurieren des Webinterface mit der Konfigurationsdatei . . . . . . . . . . . . . . . . 98
Beispiele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
Konfigurieren der Kommunikation mit MetaFrame
Presentation Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
Konfigurieren der Citrix SSL-Relay-Kommunikation. . . . . . . . . . . . . . 119
Konfigurieren der Secure Gateway-Unterstützung . . . . . . . . . . . . . . . . 120
Deaktivieren von Fehlermeldungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
Bereitstellen des Webinterface für die Benutzer . . . . . . . . . . . . . . . . . . . . . . . . . . 120
Festlegen der Anmeldeseite als Standardwebseite auf IIS. . . . . . . . . . . . . . . . 121
Nächste Schritte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
Kapitel 4
MetaFrame Presentation Server Clients und das Webinterface
Übersicht. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
Webbasierte Clientinstallation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
Kopieren der Installationsdateien für Clients auf den Webserver . . . . . . . . . . 124
Konfigurieren von webbasierten Clientinstallationen . . . . . . . . . . . . . . . . . . . 125
Installationsdateien für den Client für Win32 . . . . . . . . . . . . . . . . . . . . 125
Konfigurieren von Installationsmeldungen . . . . . . . . . . . . . . . . . . . . . . 126
Übersicht über den Client für Java. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
Übersicht über Program Neighborhood-Agent . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
Nächste Schritte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
Kapitel 5
Inhalt
7
Konfigurieren der Webinterface-Sicherheit
Übersicht. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
Einführung in die Webinterface-Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
Sicherheitsprotokolle und Citrix Sicherheitslösungen. . . . . . . . . . . . . . . . . . . 131
SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
TLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
Citrix SSL-Relay . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
ICA-Verschlüsselung (Citrix SecureICA) . . . . . . . . . . . . . . . . . . . . . . . 132
Secure Gateway . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
Sichern der Webinterface-Kommunikation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
Kommunikation zwischen dem Clientgerät und dem Webinterface-Server . . . . 134
Risiken. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
Empfehlungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
Implementieren SSL/TLS-aktivierter Webserver und Webbrowser . . . 136
Deaktivieren von Single Sign-On. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
Kommunikation zwischen dem Webinterface-Server und MetaFrame
Presentation Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
Risiken. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
Empfehlungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
Verwenden des Citrix SSL-Relays. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
Aktivieren des Webinterface-Servers auf dem MetaFrame-Server . . . . 139
Verwenden des HTTPS-Protokolls . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
Kommunikation zwischen der Clientsitzung und MetaFrame
Presentation Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
Risiken. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
Empfehlungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142
Verwenden von SSL/TLS- oder ICA-Verschlüsselung . . . . . . . . . . . . . 142
Verwenden von Secure Gateway . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142
Allgemeine Sicherheitsüberlegungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142
8
Kapitel 6
Verwenden von Program Neighborhood-Agent
Übersicht. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
Verwenden von Program Neighborhood-Agent . . . . . . . . . . . . . . . . . . . . . . . . . . 144
Verwenden der Program Neighborhood Agent Console. . . . . . . . . . . . . . . . . . . . 144
Verwenden der Datei Config.xml . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
Konfigurieren des Webinterface mit Program Neighborhood-Agent. . . . . . . . . . 145
Sichern von Program Neighborhood-Agent mit SSL . . . . . . . . . . . . . . . . . . . . . . 147
Beispiel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
KAPITEL 1
Einführung
Übersicht
Willkommen beim Webinterface für MetaFrame Presentation Server. In diesem
Kapitel finden Sie eine Einführung in die Dokumentation und in das Webinterface.
Unter anderem werden folgende Themen behandelt:
•
Hinweise zur Benutzung dieses Handbuchs
•
Einführung in das Webinterface
•
Neue Funktionen
10
Hinweise zur Benutzung dieses Handbuchs
Das Webinterface-Administratorhandbuch wendet sich an MetaFrame-Administratoren und -Webmaster, die für das Installieren, Konfigurieren und Verwalten des
Webinterface verantwortlich sind.
Dieses Handbuch stellt eine aufgabenorientierte Anleitung dar, mit der Sie das
Webinterface schnell und problemlos einrichten. In diesem Kapitel finden Sie eine
Einführung in die Dokumentation und in das Webinterface sowie eine Erläuterung
der in dieser Version enthaltenen neuen Funktionen. In den anderen Kapiteln
werden das Bereitstellen und Konfigurieren des Webinterface in MetaFrame
Presentation Server erläutert.
In diesem Handbuch werden Kenntnisse über MetaFrame Presentation Server für
Windows oder Citrix MetaFrame Presentation Server für UNIX vorausgesetzt.
Weitere Informationen
Das Webinterface umfasst die folgende Dokumentation:
•
Das Webinterface-Administratorhandbuch (dieses Dokument) gibt eine Übersicht über die Installation und Konfiguration des Webinterface-Servers, der
MetaFrame Presentation Server-Clientgeräte und der Sicherheit. Sie können auf
dieses Handbuch über das Document Center auf der MetaFrame Presentation
Server-CD-ROM und im Bereich Support der Citrix Website
(http://www.citrix.com) zugreifen.
•
Onlinehilfe für die Webinterface Console. Klicken Sie zum Zugriff auf das
Hilfesystem auf die Schaltfläche Hilfe, die auf allen Seiten vorhanden ist. Die
Hilfe wird in einem neuen Browserfenster angezeigt.
•
Im Handbuch Customizing the Web Interface wird die Anpassung des
Webinterface erläutert. Dieses Handbuch finden Sie im Bereich Support auf
der Citrix Website (http://www.citrix.com).
•
Die MetaFrame Presentation Server-Readme-Datei enthält die neuesten Informationen und Korrekturen zur Dokumentation sowie eine Liste bekannter
Probleme. Diese Datei finden Sie im Document Center auf der MetaFrame
Presentation Server-CD-ROM.
Kapitel 1 Einführung
11
Zugreifen auf die Dokumentation
Dieses Administratorhandbuch ist Teil der MetaFrame Presentation ServerDokumentation. Dazu gehören Onlinehandbücher, die die verschiedenen Funktionen von MetaFrame Presentation Server behandeln. Die Onlinedokumentation
liegt in Form von PDF-Dateien (Adobe Portable Document Format) vor.
Über das Document Center können Sie auf alle Onlinehandbücher zugreifen. Das
Document Center bietet einen zentralen Zugriffspunkt auf die gesamte Dokumentation und ermöglicht ein direktes Aufrufen des gewünschten Abschnitts. Das
Document Center enthält Folgendes:
•
Eine Liste häufig vorkommender Aufgaben und ein Link zum entsprechenden
Abschnitt der Dokumentation.
•
Eine Suchfunktion, die alle PDF-Handbücher abdeckt. Dies ist hilfreich, wenn
Sie eine Reihe verschiedener Handbücher konsultieren müssen.
•
Querverweise zwischen den einzelnen Dokumenten. Sie können über die Links
zu anderen Handbüchern und zum Document Center beliebig oft zwischen einzelnen Dokumenten wechseln.
Wichtig: Damit Sie die PDF-Dokumentation anzeigen, durchsuchen und drucken
können, benötigen Sie Adobe Acrobat Reader 5.0.5 oder höher mit Acrobat Search.
Adobe Acrobat Reader steht zum kostenlosen Download auf der Website von
Adobe Systems (http://www.adobe.com) zur Verfügung.
Wenn Sie das Document Center nicht nutzen möchten, um auf die Handbücher
zuzugreifen, können Sie die PDF-Dateien über den Windows-Explorer aufrufen.
Wenn Sie gedruckte Dokumentation bevorzugen, können Sie die Handbücher von
Acrobat Reader aus ausdrucken.
Weitere Informationen zur Citrix Dokumentation und Hinweise dazu, wie Sie
weitere Informationen und Support erhalten, finden Sie im Handbuch
Schnelleinstieg für MetaFrame Presentation Server.
Einführung in das Webinterface
Das Webinterface ist ein System zur Bereitstellung von Anwendungen, mit dem
Benutzer über einen Standardwebbrowser auf MetaFrame-Anwendungen zugreifen
können.
Das Webinterface setzt Java- und .NET-Technologie ein, die auf einem Webserver
ausgeführt wird und dynamisch HTML-basierte Darstellungen von Serverfarmen
für die Benutzer erstellt. Dabei werden jedem Benutzer genau die Anwendungen
bereitgestellt, die in der Serverfarm für ihn veröffentlicht wurden.
12
Das Webinterface bietet eine zentralisierte Anwendungsverwaltung und komplette
Kontrolle über die Anwendungsbereitstellung. Sie können eigenständige Websites
für den Zugriff auf Anwendungen erstellen sowie Websites, die Sie in Ihr Unternehmensportal integrieren können.
Das Webinterface kann problemlos mit der Webinterface Console konfiguriert
werden, einer benutzerfreundlichen grafischen Oberfläche, die auf WindowsPlattformen zur Verfügung steht. Sie können außerdem durch Bearbeiten der
Konfigurationsdatei (WebInterface.conf) viele Webinterface-Eigenschaften ändern.
Weitere Informationen zu diesen Tools finden Sie unter „Konfigurieren des
Webinterface mit der Konsole“ auf Seite 41 und „Konfigurieren des Webinterface
mit der Konfigurationsdatei“ auf Seite 98.
Das Webinterface stellt auch zahlreiche Methoden für die Anpassung und Erweiterung der Funktionen bereit. Sie können mit ASP.NET oder JavaServer Pages
Webserverskripts erstellen, mit denen die Webinterface-Klassen manipuliert
werden. Zusätzlich können Sie eigene Java-Servlets mit den Webinterface-Klassen
erstellen. Im Handbuch Customizing the Web Interface wird die Anpassung des
Webinterface mit diesen Verfahren erläutert.
Webinterface-Funktionen
In diesem Abschnitt werden die Funktionen des Webinterface erläutert.
Weitere Informationen zu den MetaFrame Presentation Server- und Clientversionen, die für bestimmte Webinterface-Funktionen erforderlich sind, finden
Sie unter „Versionsanforderungen für MetaFrame Presentation Server und Clients“
auf Seite 25.
Hinweis: Wenn die Serverfarm im Interoperabilitätsmodus ausgeführt wird,
stehen ggf. einige Webinterface-Funktionen, die seit Version 1.51 von NFuse
eingeführt wurden, nicht zur Verfügung.
Verwaltungsfunktionen
Unterstützung für mehrere Serverfarmen: Sie können mehrere Serverfarmen konfigurieren und Benutzern die von allen Farmen bereitgestellten Anwendungen anzeigen. Sie erstellen mehrere Serverfarmen auf der Seite MetaFrame-Serverfarmen
verwalten und konfigurieren dann jede Serverfarm einzeln. Weitere Informationen
finden Sie unter „Konfigurieren der Kommunikation mit MetaFrame
Presentation Server“ auf Seite 119.
Vollständige administrative Kontrolle über die Anwendungsbereitstellung: Das webserverseitige Skripting ermöglicht die Konfiguration aller Optionen für MetaFrame
Presentation Server Clients in serverseitigen Skripts und ICA-Dateien.
13
Integration mit bekannten Webtechnologien: Sie können unter Verwendung von
Webserverskripts (z. B. Active Server Pages von Microsoft ASP.NET und
JavaServer Pages von Sun Microsystems) auf die Webinterface-Klassen zugreifen.
NDS-Unterstützung (Novell Directory Services): Die Webinterface-Seite
Anmeldung für NDS enthält ein Kontextfeld, mit dem Benutzer den Benutzernamen in der Struktur suchen und den Kontext ermitteln können, in dem sie sich
befinden. Die NDS-Authentifizierung wird nur auf Windows Internet Information
Services (IIS)/ASPX/ASP.NET unterstützt.
ISAPI-Erweiterung (Internet Server Application Program Interface): Der Citrix
XML-Dienst enthält eine ISAPI-Erweiterung, die als Plug-In für IIS verwendet
werden kann. Dadurch kann IIS Anfragen des Webinterface bearbeiten und Webinterface-Webseiten über einen freigegebenen TCP/IP-Port zur Verfügung stellen.
Sie müssen dem Citrix XML-Dienst keinen eigenen Port mehr zuweisen. Dies ist
besonders in Umgebungen von Vorteil, in denen keine zusätzlichen
TCP/IP-Ports auf dem Firewall geöffnet werden können.
Unterstützung für Active Directory und UPN (User Principal Name): Alle
Webinterface-Komponenten sind mit Microsoft Active Directory kompatibel.
Benutzer, die Webinterface-Seiten öffnen, können sich an Serverfarmen anmelden,
die Teil einer Active Directory-Bereitstellung sind, und die veröffentlichten
Anwendungen problemlos verwenden. Die Anmeldeseiten der Webinterface-Sites
sind mit der Verwendung von UPNs (User Principal Names) von Active Directory
kompatibel.
Funktionen für den Anwendungszugriff
Unterstützung für Server unter UNIX-Betriebssystemen: Die Unterstützung für
MetaFrame Presentation Server für UNIX-Serverfarmen ermöglicht dem Webinterface das Anzeigen und Starten von UNIX-Anwendungen auf Clientgeräten.
Backup-Server: Das Konfigurieren von Backup-Servern stellt sicher, dass Benutzer bei einem Serverausfall weiterhin auf die Anwendungen zugreifen können.
Anonyme Benutzer: Mit dieser Funktion können sich Benutzer anonym anmelden.
Starten von veröffentlichten Inhalten: Das Webinterface unterstützt die Funktionen
von MetaFrame Presentation Server zum Veröffentlichen von Inhalten.
Hilfelinks: Onlinehilfe für Benutzer steht auf allen Webinterface-Seiten zur
Verfügung.
14
Sicherheitsfunktionen
TLS/SSL-Unterstützung (Secure Sockets Layer): Das Webinterface unterstützt SSL
für das Sichern der Kommunikation zwischen dem Webinterface-Server und den
Serverfarmen. SSL-Unterstützung wird durch Erweiterung der WebinterfaceKlassen zur Verfügung gestellt und erfordert die Verwendung des Citrix SSLRelays in der Serverfarm. Das Implementieren von SSL auf dem Webserver und die
Verwendung von Webbrowsern, die SSL unterstützen, gewährleisten eine sichere
Datenübertragung im Netzwerk.
Unterstützung für Secure Gateway für MetaFrame Presentation Server:
Secure Gateway stellt zusammen mit dem Webinterface einen einzelnen, sicheren
und verschlüsselten Zugangspunkt über das Internet zu Servern in internen Unternehmensnetzwerken bereit. Secure Gateway vereinfacht die Zertifikatverwaltung,
da nur der Secure Gateway-Server und nicht jeder Server in der Serverfarm ein
Serverzertifikat benötigt.
Ticketing: Diese Funktion bietet erhöhte Sicherheit bei der Authentifizierung. Das
Webinterface erstellt Tickets, mit denen Benutzer bei veröffentlichten Anwendungen authentifiziert werden. Tickets besitzen eine konfigurierbare Gültigkeitsdauer und gelten nur für eine einzige Anmeldung. Nach Benutzung oder Ablauf ist
das Ticket ungültig und kann nicht für den Zugriff auf Anwendungen verwendet
werden. Durch die Verwendung von Ticketing müssen Anmeldeinformationen
nicht explizit in den ICA-Dateien enthalten sein, mit denen das Webinterface
Anwendungen startet.
Webinterface-Konfiguration und Program Neighborhood-Agent: Bestimmte
Webinterface-Konfigurationsparameter wirken sich auf die Prüfung der Program
Neighborhood-Agent-Anfragen aus, um zusätzliche Sicherheit zu bieten. Weitere
Informationen finden Sie unter „Konfigurieren des Webinterface mit Program
Neighborhood-Agent“ auf Seite 145.
Sicherheitsprotokolle: Das Webinterface verwendet das SChannel-Sicherheitsprotokoll von Microsoft auf Windows-Plattformen. Dieses Protokoll verwendet
Kryptografie, die FIPS 140 (einem von einigen Unternehmen geforderten Standard)
entspricht. Weitere Informationen zur FIPS 140-Zertifizierung finden Sie auf der
Website des NIST (National Institute of Standards and Technology)
(http://csrc.nist.gov/cryptval/).
15
Funktionen zur Clientbereitstellung
Webbasierte Clientinstallation: Das Webinterface ermöglicht die Bereitstellung von
Clients auf jedem Gerät mit einem Webbrowser. Wenn der Benutzer eines Clientgeräts eine Webinterface-Site besucht, erkennt der Clientinstallationscode das Gerät
sowie den Webbrowsertyp und fordert den Benutzer zur Installation eines entsprechenden Clients auf.
Unterstützung von Program Neighborhood-Agent: Mit Program NeighborhoodAgent können Benutzer auf Webinterface-Anwendungen direkt vom WindowsDesktop ohne einen Webbrowser zugreifen. Sie können remote konfigurieren, dass
Links zu veröffentlichten Anwendungen im Startmenü, auf dem Windows-Desktop
oder in der Windows-Taskleiste erstellt werden. Die Oberfläche von Program
Neighborhood-Agent kann auch „gesperrt“ werden, um eine falsche Konfiguration
von Seiten der Benutzer zu verhindern.
Neue Funktionen
Das Webinterface enthält die folgenden neuen Funktionen:
Zusätzliche Plattformen für Clientgeräte
Sie können das Webinterface jetzt auf bestimmten Windows-basierten Terminals
und Personal Digital Assistants (PDAs) ausführen. Weitere Informationen finden
Sie unter „Personal Digital Assistants“ auf Seite 29.
Verwaltungsfunktionen
Webclientversion und Klassen-ID: Sie können die Softwareversion des Webclients und der Remotedesktopverbindung sowie die Klassen-ID des ActiveXSteuerelements angeben. Weitere Informationen finden Sie unter „Automatisches
Bereitstellen von Clients“ auf Seite 88.
Funktionen für den Anwendungszugriff
Remotedesktopverbindung: Sie können mit Remotedesktopverbindungen und
dem Webinterface auf MetaFrame Presentation Server-Anwendungen zugreifen.
Diese Funktion ist auf 32-Bit-Windows-Systemen mit Internet Explorer 5.5 oder
höher verfügbar. Weitere Informationen finden Sie unter „Konfigurieren der
Clientbereitstellung“ auf Seite 85.
16
Workspace Control: Mit dieser Funktion können Benutzer schnell alle ausgeführten
Anwendungen trennen, getrennte Anwendungen wiederverbinden und sich von
allen ausgeführten Anwendungen abmelden. Benutzer können zwischen verschiedenen Clientgeräten wechseln und auf alle installierten Anwendungen zugreifen
(nur auf getrennte oder auf getrennte und aktive Anwendungen) und zwar entweder
direkt bei der Anmeldung oder jederzeit manuell. Weitere Informationen finden Sie
unter „Aktivieren von Workspace Control“ auf Seite 61.
Secure Computing: Sie können die SafeWord-Authentifizierung mit dem Webinterface verwenden. Benutzer geben auf der Seite Anmeldung einen Benutzernamen, ein Kennwort (von SafeWord für Citrix MetaFrame-Tokens erstellt) und
einen Passcode ein. Weitere Informationen finden Sie unter „Aktivieren der
expliziten Authentifizierung“ auf Seite 53.
Benutzerfunktionen
Unicode-UTF-8-ICA-Dateien: Sie können das Webinterface konfigurieren, um ICADateien in Unicode zu erstellen, was die Anzahl von nichteuropäischen Zeichen erhöht, die von Clients erkannt werden. ICA-Dateien sind Textdateien, die Parameter
und Anweisungen zum Starten von veröffentlichten Anwendungen enthalten. Weitere Informationen finden Sie unter „Konfigurieren von Installationsmeldungen“ auf
Seite 96.
Installationsfunktionen
Installieren des Webinterface auf Internet Information Services-Sites: Internet
Information Services (IIS) kann mehrere Websites bedienen. Websites werden
anhand der Ports und/oder IP-Adressen unterschieden (wenn der Server mehrere
IP-Adressen hat), die sie auf eingehende HTTP-Anforderungen abhören.
IIS-Administratoren können benannte Websites über das IIS-Administration-SnapIn hinzufügen und entfernen.
Sind mehrere IIS-Websites vorhanden, können Sie die Website auswählen, auf der
das Webinterface installiert werden soll. Weitere Informationen finden Sie unter
„Installieren des Webinterface auf Microsoft IIS“ auf Seite 32.
17
Sicherheitsfunktionen
Erweiterte Unterstützung von Secure Gateway: Der Bereich Serverseitige FirewallEinstellungen in der Webinterface Console wird jetzt DMZ-Einstellungen
genannt. Dieser Bereich enthält zwei Abschnitte: Netzwerkadressübersetzung
und Secure Gateway-Unterstützung. Weitere Informationen finden Sie unter
„Konfigurieren der Secure Gateway-Unterstützung“ auf Seite 78.
Subnetzmasken für die Firewall-Adressübersetzung: Sie können eine Subnetzadresse und -maske angeben. Wenn sich Benutzer anmelden, wird so sichergestellt,
dass der Client mit einer Subnetzadresse, die der angegebenen Adresse entspricht,
die zugeordnete Übersetzungsoption verwendet. Weitere Informationen finden
Sie unter „Konfigurieren spezieller Einstellungen für die Adressübersetzung“ auf
Seite 71.
Webinterface-Komponenten
Eine Webinterface-Bereitstellung umfasst drei Netzwerkkomponenten:
•
Eine oder mehrere Serverfarmen
•
Einen Webserver
•
Ein Clientgerät mit einem Webbrowser und einem MetaFrame Presentation
Server Client
Serverfarmen
Eine Serverfarm ist eine Gruppe von Servern, die eine Verwaltungseinheit darstellt.
Eine Serverfarm besteht aus mehreren Servern, die zusammenarbeiten, um
MetaFrame Presentation Server-Clientbenutzern Anwendungen bereitzustellen.
Eine wichtige Funktion von Serverfarmen ist das Veröffentlichen von Anwendungen. Mit dieser Administrationsaufgabe können MetaFrame-Administratoren
bestimmte Anwendungen in der Serverfarm für Benutzer freigeben. Wenn eine
Anwendung von einem MetaFrame-Administrator für eine ganze Gruppe von
Benutzern veröffentlicht wird, steht die Anwendung in Form eines Objekts zur Verfügung, zu dem die Clients eine Verbindung herstellen und Clientsitzungen starten
können.
Mit der Program Neighborhood-Clientoberfläche wird die clientseitige Konfiguration automatisiert. Administratoren bzw. Clientbenutzer brauchen nicht mehr das
gesamte Netzwerk nach veröffentlichten Anwendungen zu durchsuchen. Mit
Program Neighborhood wird den Benutzern nach der Anmeldung an der Serverfarm eine benutzerspezifische Liste aller Anwendungen angezeigt, die für den
Benutzernamen veröffentlicht sind. Diese Anwendungsliste wird als Anwendungsgruppe bezeichnet.
18
Der Server, auf dem das Webinterface ausgeführt wird, bildet eine Program
Neighborhood-Oberfläche, über die eine Verbindung zu den Serverfarmen hergestellt wird. Der Webinterface-Server fragt die Serverfarmen nach den Informationen zur Anwendungsgruppe ab und gibt die Ergebnisse in Form von HTMLSeiten aus, die Benutzer in einem Webbrowser anzeigen können.
Der Webinterface-Server kommuniziert mit den Serverfarmen über den Citrix
XML-Dienst, der auf Servern ausgeführt wird. Der Citrix XML-Dienst ist eine
MetaFrame-Komponente, die Clients und Webinterface-Servern über TCP/IP und
HTTP Informationen zu veröffentlichten Anwendungen zur Verfügung stellt.
Dieser Dienst stellt den Kontaktpunkt zwischen der Serverfarm und dem Webinterface-Server dar. Der Citrix XML-Dienst wird mit MetaFrame Presentation Server
für Windows und MetaFrame Presentation Server für UNIX-Betriebssysteme
installiert.
Webserver
Auf dem Webserver befinden sich die Webinterface-Klassen und die webserverseitigen Skripts. Die folgenden Dienste werden von den Webinterface-Klassen zur
Verfügung gestellt:
•
Authentifizieren von Benutzern bei einer Serverfarm oder mehreren Farmen
•
Abrufen von Anwendungsinformationen, einschließlich einer Liste der Anwendungen, auf die ein Benutzer zugreifen kann
•
Ändern der Anwendungseigenschaften von Seiten des Administrators für die
einzelnen Benutzer
Die Webinterface-Klassen werden bei der Installation auf den Webserver kopiert.
Das Installationsprogramm fügt auch Webseiten und Konfigurationsdateien hinzu.
MetaFrame Presentation Server-Clientgerät
Im Kontext des Webinterface bezeichnet MetaFrame Presentation Server-Clientgerät ein beliebiges Computinggerät, auf dem ein Client und ein Webbrowser ausgeführt werden können. Clientgeräte sind u. a. Desktop-PCs und Netzwerkcomputer.
Bei der Zusammenarbeit des Webbrowsers und des Clients auf dem Clientgerät
übernimmt der Webbrowser die Rolle des Viewers und der Client die Rolle der
Engine. Der Webbrowser zeigt den Benutzern die Anwendungsgruppen an, die mit
serverseitigen Skripts auf dem Webinterface-Server erstellt wurden, und der Client
dient als Engine zum Starten der veröffentlichten Anwendungen.
19
Das Webinterface bietet webbasierte Clientinstallation. Die webbasierte Clientinstallation ist ein Verfahren zum Bereitstellen von Clients von einer Website aus.
Wenn ein Benutzer eine mit dem Webinterface erstellte Website besucht, erkennt
der Code für die webbasierte Clientinstallation das Gerät, und der Webbrowser
fordert den Benutzer zur Installation eines entsprechenden Clients auf. Bei 16-Bitund 32-Bit-Windows-Geräten kann die webbasierte Clientinstallation auch erkennen, ob ein installierter Client vorhanden ist, und dem Benutzer nur dann eine
Installationsaufforderung anzeigen, wenn dies erforderlich ist. Weitere Informationen finden Sie unter „Automatisches Bereitstellen von Clients“ auf Seite 88.
Das Webinterface unterstützt eine Vielzahl von Kombinationen aus Webbrowsern und Clients. Sie finden eine vollständige Liste der Kombinationsmöglichkeiten unter „Anforderungen für MetaFrame Presentation Server-Clientgeräte“ auf
Seite 29.
Funktionsweise des Webinterface
In dieser Darstellung ist das Zusammenspiel zwischen den Serverfarmen, einem
Webinterface-Server und einem Clientgerät für MetaFrame Presentation Server
dargestellt.
Diese Darstellung zeigt die Interaktion mit dem Webinterface. Der Webbrowser auf dem
Clientgerät sendet Informationen an den Webserver, der mit der Serverfarm kommuniziert, damit Benutzer auf ihre Anwendungen zugreifen können.
1. Ein Clientbenutzer zeigt mithilfe eines Webbrowsers die Anmeldeseite an und
gibt die Anmeldeinformationen ein. Die Anmeldeinformationen werden als
HTTP-Standardanfrage über den HTTP-Port übermittelt.
2. Der Webserver liest die Informationen des Benutzers und verwendet die Webinterface-Klassen, um diese Informationen an den Citrix XML-Dienst auf
Servern in der Serverfarm zu übergeben. Der angegebene Server dient als Vermittler zwischen dem Webserver und den Servern.
20
3. Der Citrix XML-Dienst auf dem angegebenen Server ruft dann die Liste der
Anwendungen von den Servern ab, auf die der Benutzer zugreifen kann. Diese
Anwendungen stellen die dem Benutzer zugängliche Anwendungsgruppe dar.
Der Citrix XML-Dienst ruft die Anwendungsgruppe vom IMA-System
(Independent Management Architecture) bzw. vom Program NeighborhoodDienst ab.
In einer Serverfarm mit MetaFrame Presentation Server für UNIX ermittelt der
Citrix XML-Dienst auf dem angegebenen Server die Anwendungen, auf die der
Benutzer zugreifen kann, anhand der Informationen, die vom ICA-Browser und
der lokalen Webinterface-Konfigurationsdatei gesammelt wurden.
Der Citrix XML-Dienst übergibt dann die Anwendungsgruppen-Informationen
des Benutzers an die auf dem Server ausgeführten Webinterface-Klassen.
4. Der Server erstellt mithilfe der Webinterface-Klassen eine HTML-Seite mit
Links zu den Anwendungen, die sich in der Anwendungsgruppe des jeweiligen
Benutzers befinden. Das Webinterface erstellt ICA-Dateien dynamisch aus
einer Vorlage. ICA-Dateien sind Textdateien mit Parametern, die ICASitzungseigenschaften konfigurieren, z. B. die in der Sitzung auszuführende
Anwendung, die Adresse des Servers, der die Anwendung ausführt, und die
Eigenschaften des Fensters, in dem die Anwendung angezeigt wird. ICADateien sind INI-Dateien mit der Erweiterung .ica.
Diese Darstellung ist eine Fortsetzung der vorherigen Beispieldarstellung. Wenn eine
Anwendung ausgewählt ist, sendet der Webbrowser auf dem Clientgerät eine Anfrage
an den Webserver. Der XML-Dienst ermittelt einen Server und fordert ein Ticket an.
Diese Informationen werden dann an das Webinterface zurückgegeben.
5. Der nächste Verfahrensschritt wird von dem Benutzer durch das Klicken auf
einen Hyperlink auf der HTML-Seite gestartet. Der Webbrowser sendet daraufhin eine Anfrage an den Webserver, um die ICA-Datei für die gewählte Anwendung abzurufen.
Der Webserver leitet die Anfrage an die Webinterface-Klassen weiter, die die
Datei template.ica abrufen. Die Vorlagendatei enthält Ersatztags. Die Klassen
ersetzen die Ersatztags in der Datei template.ica durch Informationen, die für
den Benutzer und die gewünschte Anwendung spezifisch sind.
21
6. Der Citrix XML-Dienst sucht den am geringsten ausgelasteten Server in der
Farm. Der XML-Dienst fordert ein Ticket von dem am geringsten ausgelasteten
Server an, der den Anmeldeinformationen des Benutzers entspricht. Der XMLDienst gibt die Adresse des am geringsten ausgelasteten Servers an und das
Ticket für das Webinterface aus.
7. Die Klassen beenden die Analyse der Vorlagendatei und senden eine benutzerdefinierte Datei an den Webbrowser.
8. Der Webbrowser empfängt die Datei und übergibt sie an das Clientgerät.
9. Der Client empfängt die Datei und startet eine Clientsitzung auf einem Server,
die auf den in der Datei enthaltenen Verbindungsinformationen basiert.
Nächste Schritte
Weitere Informationen zu den Systemanforderungen, zur Installation des Webinterface und der Konfiguration der Webinterface-Server finden Sie unter „Bereitstellen
des Webinterface“ auf Seite 23.
KAPITEL 2
Bereitstellen des Webinterface
Übersicht
In diesem Kapitel wird die Installation des Webinterface auf dem Server und die
Konfiguration des Servers zum Ausführen des Webinterface erläutert. Unter
anderem werden folgende Themen behandelt:
•
Systemanforderungen
•
Installieren des Webinterface auf Microsoft IIS
•
Installieren des Webinterface auf UNIX-Plattformen
•
Problembehandlung bei der Installation des Webinterface
•
Deinstallieren des Webinterface
24
Systemanforderungen
Im folgenden Abschnitt werden die Anforderungen für den Server, den Webserver
und die Clientgeräte für das Webinterface beschrieben.
Serveranforderungen
Um das Webinterface ausführen zu können, müssen Server die folgenden Anforderungen erfüllen.
Unterstützte MetaFrame-Versionen
Das Webinterface erfordert eine der folgenden Citrix Plattformen:
•
Citrix MetaFrame Presentation Server 3.0 für Windows Server 2003
•
Citrix MetaFrame Presentation Server 3.0 für Windows 2000 Server
•
Citrix MetaFrame Presentation Server für UNIX-Betriebssysteme
•
MetaFrame XP für Windows, Service Pack 2 für Terminal Services Edition
•
MetaFrame XP für Windows, Service Pack 3 für Windows 2000 Server
•
MetaFrame XP für Windows, Service Pack 3 für Windows Server 2003
•
MetaFrame für UNIX-Betriebssysteme Version 1.1, Feature Release 1
•
MetaFrame Anwendungsserver für Windows Version 1.8, Feature Release 1
und Service Pack 3
Das Webinterface kann mit diesen Versionen von MetaFrame Presentation Server
auf allen unterstützten Plattformen eingesetzt werden. Sie finden eine Liste der
unterstützten Plattformen in der Dokumentation zu MetaFrame Presentation Server.
Citrix empfiehlt außerdem die Installation des neuesten Service Packs.
Zusätzliche Softwareanforderungen
Der Citrix XML-Dienst muss auf allen Servern in der Farm installiert und für
denselben TCP-Port konfiguriert sein, damit Ticketing unterstützt werden kann.
Ohne Feature Releases stehen einige neue Funktionen nicht zur Verfügung.
Beispiel: Für das Verwenden der Funktion zum erweiterten Veröffentlichen von
Inhalten mit dem Webinterface muss Service Pack 2 und eine Feature Release 2Lizenz auf allen Servern in der Serverfarm installiert sein.
Kapitel 2 Bereitstellen des Webinterface
25
Versionsanforderungen für MetaFrame Presentation Server und Clients
In der nachfolgenden Tabelle sind die MetaFrame Presentation Server- und Clientversionen zusammengefasst, die für wichtige Webinterface-Funktionen benötigt
werden.
Webinterface-Funktion
Anforderungen für MetaFrame
Presentation Server
Clientanforderungen
Workspace Control
MetaFrame Presentation Server
8.0
Remotedesktopverbindung
Nicht zutreffend
Ticketing
MetaFrame 1.8 Feature Release 1
MetaFrame XP 1.0
MetaFrame für UNIX 1.1 Feature
Release 1
ab 6.0
NDS-Authentifizierung
MetaFrame XP Feature Release 1
ab 6.20
DNS-Adressauflösung
Release 1
ab 6.20
Smartcard-Unterstützung
ab 6.30
Erweitertes Veröffentlichen
von Inhalten
ab 6.20
Serverseitige FirewallUnterstützung
MetaFrame XP 1.0
MetaFrame für UNIX 1.1
Nicht zutreffend
Clientseitige FirewallUnterstützung
Nicht zutreffend
ab 6.0 für SOCKS
ab 6.30 für Secure Proxy
Load Balancing
MetaFrame XP 1.0
MetaFrame für UNIX 1.1
Nicht zutreffend
Benutzerseitige
Kennwortänderung
Nicht zutreffend
Automatischer Download
des Win32-Webclients
Nicht zutreffend
Bereitstellung durch
Webinterface
26
Webinterface-Funktion
Anforderungen für MetaFrame
Presentation Server
Clientanforderungen
Single Sign-On
Vollversion des Program
Neighborhood-Clients für
Win32/Program
Neighborhood-Agent ab
Version 6.20
Eingebettete Clients
Nicht zutreffend
Bereitstellung durch Webinterface
Unterstützung für Secure
Gateway
MetaFrame XP 1.0
Release 1
ab 6.20.986
Allgemeine Konfigurationsanforderungen
Server müssen Mitglied einer Serverfarm sein. Auf den Servern in der Farm
müssen Anwendungen veröffentlicht sein. Wenn MetaFrame 1.8 für Windows auf
den Servern ausgeführt wird, müssen Sie außerdem sicherstellen, dass die Anwendungen unter dem Verwaltungsbereich der Serverfarm veröffentlicht sind. Weitere
Informationen zur Mitgliedschaft in Serverfarmen und zum Veröffentlichen von
Anwendungen in einer Serverfarm finden Sie im MetaFrame Presentation ServerAdministratorhandbuch.
Hinweis: Wenn Sie das Webinterface in einer MetaFrame 1.8 für WindowsUmgebung einsetzen, müssen Sie den Parameter AddressResolutionType von
ipv4-port zu ipv4 ändern.
Auch auf Servern mit MetaFrame Presentation Server für UNIX müssen Anwendungen veröffentlicht sein. Darüber hinaus müssen diese Anwendungen für die Verwendung mit dem Webinterface konfiguriert sein. Weitere Informationen zum
Installieren des Citrix XML-Dienstes für UNIX und zum Konfigurieren veröffentlichter Anwendungen für die Verwendung mit dem Webinterface finden Sie im
MetaFrame Presentation Server für UNIX-Administratorhandbuch.
Anforderungen für Webserver
Für die webbasierte Clientinstallation muss eine Kopie der MetaFrame Presentation
Server-Clients auf dem Server vorhanden sein. Weitere Informationen zu den
unterstützten Clientversionen finden Sie unter „Anforderungen für MetaFrame
Presentation Server-Clientgeräte“ auf Seite 29. Weitere Informationen zum
Kopieren der Clients auf den Webinterface-Server finden Sie unter „Kopieren der
Installationsdateien für Clients auf den Webserver“ auf Seite 124.
27
Windows-Plattformen
Das Webinterface kann mit den folgenden Windows-Plattformen und Servern verwendet werden:
•
Internet Information Services 6.0 unter Windows Server 2003
•
Internet Information Services 5.0 unter Windows 2000 mit Service Pack 4
Vor der Installation des Webinterface muss die folgende Software installiert
werden:
•
.NET Framework 1.1 (nur Windows 2000-Systeme)
•
Visual J# .NET 1.1
•
ASP.NET
Auf Windows 2000-Systemen ist ASP.NET mit .NET Framework installiert, wenn
zuvor IIS installiert wurde. Wurde IIS nicht installiert, installieren Sie IIS und
installieren Sie Framework erneut, oder installieren Sie IIS und führen Sie den
Befehl aspnet_regiis -i im Verzeichnis WINNT\Microsoft.NET\
Framework\v1.1.4432 aus.
Hinweis: Wenn Sie bei der Verwendung des Webinterface auf Windows 2000Systemen eine interne Fehlermeldung erhalten, ist die Konfiguration der .NETKonten möglicherweise fehlerhaft. Deinstallieren Sie in diesem Fall das
Webinterface, Visual J# .NET sowie alle Versionen von .NET Framework vom
Server und installieren Sie die Software erneut.
Auf Windows Server 2003-Systemen wird ASP.NET installiert, wenn Sie IIS
während der Installation von Windows Server 2003 aktiviert haben. Anderenfalls
müssen Sie IIS installieren und ASP.NET, eine Unterkomponente von IIS, auswählen.
Die verteilbaren Dateien von .NET Framework und J# sind im Ordner „Support“
der MetaFrame Presentation Server CD-ROM enthalten.
Wenn der Server eine statisch konfigurierte IP-Adresse verwendet, müssen Sie das
primäre DNS-Suffix oder einen vollqualifizierten Domänennamen für den Server
festlegen. In Windows 2000 wird diese Einstellung in Netzwerkumgebung/
Eigenschaften von LAN-Verbindung/Eigenschaften von Internetprotokoll
(TCP/IP) vorgenommen.
ACHTUNG: Eine unsachgemäße Verwendung des Registrierungseditors kann
schwerwiegende Probleme verursachen und ein erneutes Installieren des Betriebssystems erfordern. Citrix übernimmt keine Garantie dafür, dass Probleme, die auf eine
unsachgemäße Verwendung des Registrierungseditors zurückzuführen sind, behoben
werden können. Verwenden Sie den Registrierungseditor auf eigene Verantwortung.
28
Bei einer korrekten Konfiguration muss ein gültiges DNS-Suffix in den Wertdaten
des folgenden Registrierungsschlüssels vorhanden sein:
Schlüssel: HKLM\System\currentControlset\services\tcpip\parameters
Wert: Domain
UNIX-Plattformen
Sie können das Webinterface mit den folgenden UNIX-Konfigurationen verwenden:
Betriebssystem
Webserver
JDK
Servlet-Engine
Red Hat 8.x
Apache 1.3.x
Sun 1.4.x
Tomcat 4.1.x
Solaris 9
Sun ONE 7.0
Sun 1.4.x
Sun ONE 7.02
Red Hat 9.x
Apache 2.x
Sun 1.4.x
Tomcat 4.1.x
Red Hat 9.x
Mit WebSphere
ausgeliefert
Mit WebSphere
ausgeliefert
WebSphere 5
Benutzeranforderungen
Die folgenden Browser-/Betriebssystem-Kombinationen werden für die Anmeldung am Webinterface unterstützt:
Browser
Betriebssystem
Internet Explorer ab
Version 5.5
Windows XP, Windows 2000, CE .NET
Netscape ab Version 7
Windows 2000, Linux, Solaris
Safari ab Version 1.0
Mac OS X
Internet Explorer 5.21
Mac OS X
Pocket IE 2002
Pocket PC 2002
Pocket IE 2003
Pocket PC 2003
Hinweis: Dropdownmenüs (z. B. zum Anzeigen von Optionen für die Fenstergröße im Dialogfeld Einstellungen) funktionieren mit Netscape 7 möglicherweise
nicht einwandfrei. Um diesen Fehler zu beheben, empfiehlt Citrix, auf Netscape 7.1
zu aktualisieren.
29
Personal Digital Assistants
Sie können das Webinterface mit den folgenden Konfigurationen für Windowsbasierte Terminals und Personal Digital Assistants (PDAs) ausführen:
Gerät
Betriebssystem
Browser
WinTerm
WinCE 2.12
Wyse 3125SE
WinCE 4.0
iPaq 3850
Pocket PC 2002
Pocket Internet Explorer
HP iPaq 5550
Pocket PC 2003 (Prem)
Internet Explorer 6
Dell Axim
Pocket PC 2002
Internet Explorer 6
Anforderungen für MetaFrame Presentation ServerClientgeräte
Für das Zusammenspiel mit dem Webinterface müssen ein unterstützter Client
und Webbrowser auf den Clientgeräten installiert sein. Alle auf der KomponentenCD-ROM enthaltenen Clients sind mit dem Webinterface kompatibel. Sie finden
die Komponenten-CD-ROM im Medienpaket von MetaFrame Presentation Server.
Die Clients stehen auch auf der Citrix Website zum kostenlosen Download zur
Verfügung.
Wichtig: Die MetaFrame Presentation Server Client-CD-ROM, die die
Solaris-Version von MetaFrame für UNIX-Betriebssysteme 1.1 enthält, ist
nicht mit dem Webinterface kompatibel. Benutzer dieser Systeme müssen
vor der Webinterface-Bereitstellung die aktuellen Clients von der Citrix Website
(http://www.citrix.com/download) downloaden.
Die folgende Tabelle listet die Mindestversionen von MetaFrame Presentation
Server Clients für unterstützte Browser auf.
Client
Version
Unterstützte Browser
Win32
ab Version 6.1.963
Internet Explorer ab Version 5.5
Netscape Navigator ab Version 7
Macintosh
ab Version 6.0.66
Internet Explorer ab Version 5.5
UNIX für Solaris/SPARC
ab Version 6.0.915
Red Hat Linux
ab 6.3
30
Citrix empfiehlt die Bereitstellung der neuesten Clients, damit die Benutzer die
neuesten Funktionen nutzen können. Jeder Client bietet andere Funktionen und
Merkmale. Weitere Informationen zu den unterstützten Clientfunktionen finden Sie
jeweils im Administratorhandbuch des entsprechenden Clients.
Installieren des Webinterface
In diesem Abschnitt wird die Installation des Webinterface auf dem Server erläutert. Sie finden eine Übersicht über die Installation und Anweisungen zur Installation des Webinterface auf verschiedenen Servern.
Installationsübersicht
Das Webinterface wird nicht mehr mit MetaFrame Presentation Server installiert.
Sie können das Webinterface von der MetaFrame Presentation Server-CD-ROM
installieren.
Vor der Installation des Webinterface auf Windows-Plattformen müssen Sie IIS
(Microsoft Internet Information Services) und ASP.NET installieren.
Installieren des Webinterface
Installationsprogramme stehen für die folgenden Webserver zur Verfügung:
•
Microsoft Internet Information Services (IIS)
•
Tomcat, Sun ONE und WebSphere für UNIX-Plattformen
Weitere Informationen zur Installation des Webinterface finden Sie unter
„Installieren des Webinterface auf Microsoft IIS“ auf Seite 32 und „Installieren des
Webinterface auf UNIX-Plattformen“ auf Seite 34.
Aktualisieren einer bestehenden Installation
Sie können auf die neueste Version des Webinterface aktualisieren, indem Sie das
Webinterface entweder von CD-ROM installieren oder die entsprechenden Dateien
aus dem Web downloaden.
Wenn Sie von einer älteren Version des Webinterface aktualisieren, die mit
MetaFrame Presentation Server installiert wurde, wird das Webinterface vom
System entfernt und es wird keine Sicherungskopie der Konfigurationsdateien
erstellt. Citrix empfiehlt, diese Version des Webinterface vor der Installation von
MetaFrame Presentation Server zu aktualisieren.
31
Installationsort der Komponenten
Bei der Installation des Webinterface werden Dateien im Dokumentenstammverzeichnis des Webservers installiert. Das Verzeichnis hängt vom Installationsort
des Webservers ab. Für Windows lautet das Verzeichnis normalerweise:
C:\Inetpub\wwwroot. Auf UNIX-Systemen ist das Verzeichnis möglicherweise
/usr/local/webapps.
Die Software- und Konfigurationskomponenten des Webinterface werden in
diesem Verzeichnis gespeichert, u. a.:
•
Die Dateien WebInterface.txt und WIAdmin.txt
•
Die Datei WebInterface.conf
•
Die ICA-Vorlagen (ICA-Dateien)
Sicherheitsüberlegungen
Citrix empfiehlt, dass Sie genauso wie bei jedem Windows-basierten Server die
Microsoft Standardrichtlinien für die Konfiguration des Windows-Servers einhalten. Insbesondere sollten Sie darauf achten, dass Sie bei der Installation des
Servers nicht das FAT-Dateisystem (File Allocation Table) verwenden, da bei
diesem Dateisystem außer Administratoren möglicherweise auch andere Benutzer
die Webinterface Console ausführen können. Beim Zugriff auf die Konsole auf
einem FAT-Dateisystem findet keine Authentifizierung statt.
Anzeigen der Citrix XML-Dienst-Portzuordnung
Während der Webinterface-Installation müssen Sie die Nummer des Ports angeben,
auf dem der Citrix XML-Dienst ausgeführt wird. Der Citrix XML-Dienst ist die
Kommunikationsverbindung zwischen der Serverfarm und dem Server, auf dem
das Webinterface ausgeführt wird. In diesem Abschnitt wird erläutert, wie Sie die
Nummer des Ports anzeigen, auf dem der Citrix XML-Dienst ausgeführt wird.
So zeigen Sie den vom Citrix XML-Dienst verwendeten Port an:
•
Öffnen Sie auf Servern die Managementkonsole für MetaFrame Presentation
Server. Klicken Sie auf der linken Seite der Konsole mit der rechten Maustaste
auf den Server und wählen Sie Eigenschaften. Markieren Sie im Eigenschaften-Dialogfeld den Eintrag MetaFrame-Einstellungen. Der zugewiesene
Port ist auf der rechten Seite angegeben.
Wenn Sie während der Installation von MetaFrame Presentation Server die
Option wählen, den TCP/IP-Port von IIS für das Webinterface freizugeben,
wird in der Presentation Server Console Ebenfalls verwendet von IIS angezeigt, da der Port verwendet wird. Um in diesem Fall den Port für den
Citrix XML-Dienst zu bestimmen, müssen Sie den Port suchen, der vom
WWW-Dienst von IIS verwendet wird. Der WWW-Dienst verwendet standardmäßig Port 80.
32
•
Auf MetaFrame 1.8-Servern ist der Port im folgenden Registrierungsschlüssel
angegeben:
HKLM\SYSTEM\CurrentControlSet\Services\CtxHttp\TcpPort
•
Geben Sie auf MetaFrame Presentation Server für UNIX-Servern
ctxnfusesrv -l ein, um die Portinformationen anzuzeigen.
Hinweis: Sie können den auf dem Server verwendeten Port ggf. ändern. Weitere
Informationen finden Sie im entsprechenden MetaFrame Presentation ServerAdministratorhandbuch.
Installieren des Webinterface auf Microsoft IIS
So installieren Sie das Webinterface auf Microsoft IIS:
1. Melden Sie sich als Administrator an.
2. Legen Sie die CD-ROM in das CD-ROM-Laufwerk des Webservers ein, wenn
Sie das Webinterface von der MetaFrame Presentation Server-CD-ROM installieren.
Wenn Sie die Webdownload-Datei des Webinterface verwenden, kopieren Sie
die Datei WebInterface-IIS.msi auf den Webserver. Doppelklicken Sie dann auf
die Datei.
3. Wählen Sie im Dialogfeld Lizenzvereinbarung die Option Ich stimme der
Lizenzvereinbarung zu und klicken Sie auf Weiter.
4. Sie werden dazu aufgefordert, die folgenden Informationen anzugeben:
•
Servereinstellungen: Sie müssen im Feld Name die Server in der Farm
angeben, die als Kontaktpunkte zwischen der Serverfarm und dem Webserver fungieren. Es können Servernamen, IP-Adressen oder vollqualifizierte DNS-Namen angegeben werden. Sie können den Namen eines
beliebigen Servers in der Farm angeben. Sie müssen im Feld Port den
TCP/IP-Port angeben, auf dem die angegebenen Server den Citrix XMLDienst ausführen. Wenn Sie diese Portnummer nicht kennen, können Sie sie
ermitteln, indem Sie die Portinformationen des Servers überprüfen. Weitere
Informationen zu diesem Thema finden Sie unter „Anzeigen der Citrix
XML-Dienst-Portzuordnung“ auf Seite 31. Klicken Sie auf Weiter.
33
•
MetaFrame Presentation Server Clients: Um die Clients zu installieren,
wählen Sie Clients von der Komponenten-CD-ROM installieren.
Klicken Sie auf Durchsuchen, um die Komponenten-CD-ROM oder das
CD-Image nach Client-Setupdateien zu durchsuchen. Das Setup kopiert den
Inhalt des Verzeichnisses ICAWEB der CD in ein Verzeichnis /Citrix/
ICAWEB, das im Stammverzeichnis des Webservers erstellt wird. Für alle
während der Installation erstellten Websites wird angenommen, dass der
Webserver die Clientdateien in dieser Verzeichnisstruktur enthält. Wenn Sie
die Clients nicht während der Webinterface-Installation auf den Webserver
kopieren möchten, können Sie sie auch später auf den Server kopieren.
Wählen Sie hierzu die Option Clients nicht von der KomponentenCD-ROM installieren. Sie müssen auf jeden Fall die erforderliche Verzeichnisstruktur erstellen. Beispiel: Für eine Installation in Englisch lautet
das Verzeichnis: <Webroot>/Citrix/ICAWEB/en/<Clientplattform>.
Klicken Sie auf Weiter.
•
Standardwebseite: Auf IIS-Webservern ist die Standard-URL der Seite
Anmeldung: http://<Servername>/Citrix/MetaFrame, wobei <Servername>
der Name des Webinterface-Servers ist. Sie können die Seite Anmeldung
als Standardseite für Benutzer während der Installation des Webinterface
festlegen. Die URL lautet in diesem Fall http://<Servername>/. Wählen Sie
hierzu die Option Standardseite der Site auf das Webinterface einstellen.
Klicken Sie auf Weiter.
5. Klicken Sie auf Weiter, um die Installation zu starten.
6. Klicken Sie auf Fertig stellen, um die Installation abzuschließen.
ACHTUNG: Wenn Sie MSI 1.x verwenden und während der Installation über die
Befehlszeilenoption Details in einer Protokolldatei aufzeichnen oder die Registrierung so eingestellt ist, dass bei Softwareinstallationen in eine Protokolldatei
geschrieben wird, wird das Kennwort für das Konto in Klartext in der Protokolldatei
aufgezeichnet. Stellen Sie sicher, dass Sie das Kennwort aus der Datei löschen, wenn
Sie die Protokolldatei verteilen. Citrix empfiehlt, die Version MSI 2.0 zu verwenden,
um dieses Problem zu vermeiden. Wenn Sie die verwendete MSI-Version prüfen
möchten, geben Sie an einer Eingabeaufforderung msiexec ein.
34
Installieren des Webinterface auf UNIX-Plattformen
In diesem Abschnitt wird die Installation des Webinterface auf Tomcat erläutert.
Informationen zu anderen UNIX-Plattformen erhalten Sie in der Dokumentation
zur jeweiligen Plattform und in der Dokumentation zum Verwaltungstool der
Plattform.
Das Webinterface benötigt auf UNIX-Plattformen eine Servlet-Engine. Der
Apache-Webserver benötigt für die Webinterface-Unterstützung eine zusätzliche
Servlet-Engine (z. B. Tomcat). Tomcat kann als eigenständiger Webserver oder als
Servlet-Engine verwendet werden.
So installieren Sie das Webinterface auf Tomcat:
1. Melden Sie sich als „root“ an dem Server an, auf dem Sie das Webinterface
installieren möchten.
2. Kopieren Sie die Datei WebInterface.war von der MetaFrame Presentation
Server-CD-ROM in das Softwareverzeichnis, in dem Tomcat installiert ist. Zum
Beispiel: /usr/local/jakarta-tomcat-4.1.27/webapps.
3. Benennen Sie die WAR-Datei in den Ordnernamen um, der bei der Benutzeranmeldung am Webinterface verwendet wird. Beispiel: Wenn Sie die WARDatei in Citrix.war umbenennen, geben Benutzer zur Anmeldung am Webinterface http://<Servername>/Citrix ein. Bei dieser Adresse wird die Groß- und
Kleinschreibung berücksichtigt.
4. Starten Sie Tomcat neu.
5. Gehen Sie auf das Verzeichnis, in dem das Webinterface installiert ist. Geben
Sie sh postInstall.sh ein, um das Skript post install auszuführen.
6. Geben Sie das Basisverzeichnis des Servers ein, von dem Sie die Anwendungsinformationen abrufen.
7. Geben Sie den Namen des Servers ein, von dem Sie die Anwendungsinformationen abrufen.
8. Geben Sie die XML-Portnummer ein.
9. Geben Sie Yes oder No für die Installation der MetaFrame Presentation Server
Clients ein.
10. Beenden und starten Sie Tomcat neu.
35
Nächste Schritte
Nach der Installation können Sie das Webinterface den Benutzern bereitstellen.
Sie müssen das Webinterface ggf. konfigurieren. Dies hängt von den anderen installierten MetaFrame-Komponenten ab. Sie können die Funktionen des Webinterface
auch anpassen oder erweitern.
•
Weitere Informationen zur Konfiguration des Webinterface für Secure Gateway
mit der Webinterface Console finden Sie unter „Konfigurieren der Secure
Gateway-Unterstützung“ auf Seite 78.
•
Informationen zur Konfiguration des Webinterface mit der Webinterface
Console oder mit der Datei WebInterface.conf finden Sie unter „Konfigurieren
des Webinterface mit der Konsole“ auf Seite 41 oder „Konfigurieren des
Webinterface mit der Konfigurationsdatei“ auf Seite 98.
•
Weitere Informationen zu den Sicherheitsüberlegungen finden Sie unter
„Konfigurieren der Webinterface-Sicherheit“ auf Seite 129.
•
Weitere Informationen zur Erweiterung und Anpassung der WebinterfaceFunktionalität finden Sie im Handbuch Customizing the Web Interface.
Teilen Sie nach der Konfiguration des Webinterface den Benutzern die URL der
Seite Anmeldung mit. Weitere Informationen finden Sie unter „Bereitstellen des
Webinterface für die Benutzer“ auf Seite 120.
Problembehandlung bei der Installation des Webinterface
In diesem Abschnitt wird die Verwendung der Option Reparieren auf WindowsPlattformen erläutert, mit der Probleme der Webinterface-Installation behoben
werden können. Außerdem finden Sie Anweisungen zur Vorgehensweise, wenn die
Option Reparieren nicht verfügbar ist oder das Problem nicht behoben wird.
Verwenden der Option „Reparieren“
Sollten Probleme bei der Webinterface-Installation auftreten, versuchen Sie das
Problem mit der Option Reparieren zu beheben. Die Option Reparieren ersetzt
fehlende Dateien. Die Skripts oder die Datei WebInterface.conf werden nicht
ersetzt.
Auf Windows-Plattformen können Sie eines der folgenden Verfahren verwenden.
So führen Sie die Option „Reparieren“ von der Systemsteuerung aus:
1. Wählen Sie in der Systemsteuerung Software.
2. Klicken Sie im Dialogfeld Software auf Webinterface für MetaFrame
Presentation Server.
36
3. Klicken Sie auf Ändern.
4. Folgen Sie den auf dem Bildschirm angezeigten Anweisungen.
Sie können die Option Reparieren auch durch Klicken auf die MSI-Datei für das
Webinterface ausführen.
So führen Sie die Option „Reparieren“ von der MSI-Datei aus:
1. Doppelklicken Sie auf die Datei WebInterface-IIS.msi. Das Dialogfeld
Webinterface für MetaFrame Presentation Server Setup wird angezeigt.
2. Wählen Sie Reparieren und klicken Sie auf Weiter.
Hinweis: Wenn das Problem nicht mit der Option Reparieren behoben wird oder
die Option nicht zur Verfügung steht (z. B. auf UNIX-Plattformen), deinstallieren
und installieren Sie das Webinterface neu. Weitere Informationen finden Sie unter
„Deinstallieren des Webinterface“ auf Seite 36. Nach der erneuten Installation des
Webinterface müssen Sie Anpassungen an der Datei WebInterface.conf wieder vornehmen.
Deinstallieren des Webinterface
Bei der Webinterface-Deinstallation werden alle Webinterface-Dateien entfernt,
einschließlich des Verzeichnisses ICAWEB und der Webinterface-Backupdateien.
Kopieren Sie Webinterface-Dateien, die Sie behalten möchten, vor der Deinstallation des Webinterface in ein anderes Verzeichnis.
In gewissen Situationen kann die Deinstallation des Webinterface fehlschlagen.
Mögliche Ursachen sind:
•
Unzureichender Registrierungszugriff für das Deinstallationsprogramm
•
IIS wurde nach der Webinterface-Installation vom System entfernt
Deinstallieren des Webinterface auf Microsoft IIS
So deinstallieren Sie das Webinterface auf Microsoft IIS:
1. Verwenden Sie die Option Software, auf die Sie über Start > Einstellungen >
Systemsteuerung zugreifen.
37
Deinstallieren des Webinterface auf UNIX-Plattformen
So deinstallieren Sie das Webinterface auf Tomcat:
1. Öffnen Sie das Verzeichnis, in das Sie die WAR-Datei kopiert haben.
2. Beenden Sie den Webserver.
3. Geben Sie rm -rf <Name der WAR-Datei> ein.
4. Sie müssen ggf. die Verzeichnisse löschen, in die die WAR-Datei extrahiert
wurde. Normalerweise hat das Verzeichnis denselben Namen wie die WARDatei. Beispiel: Der Inhalt der Datei Citrix.war wird in das Verzeichnis „Citrix“
extrahiert.
KAPITEL 3
Konfigurieren des Webinterface
Übersicht
In diesem Kapitel wird die Konfiguration und Anpassung des Webinterface mit der
Webinterface Console (der grafischen Benutzeroberfläche) und der WebinterfaceKonfigurationsdatei erläutert. Unter anderem werden folgende Themen behandelt:
•
Auswählen einer Konfigurationsmethode
•
Konfigurieren des Webinterface mit der Konsole
•
Konfigurieren des Webinterface mit der Konfigurationsdatei
•
Bereitstellen des Webinterface für die Benutzer
40
Auswählen einer Konfigurationsmethode
In diesem Abschnitt wird beschrieben, wie Sie die am besten für Ihre Anforderungen geeignete Konfigurationsmethode für das Webinterface ermitteln.
Für die Konfiguration und Anpassung des Webinterface stehen die folgenden
Methoden zur Verfügung:
Die Webinterface Console: Mithilfe dieser webbasierten grafischen Benutzeroberfläche können Sie tägliche Verwaltungsaufgaben schnell und einfach ausführen. Sie
können z. B. mit der Webinterface Console die Einstellungen festlegen, die Benutzer auf der Seite Einstellungen anpassen können oder die Benutzerauthentifizierung beim Webinterface konfigurieren. Wenn Sie Änderungen mit der Konsole
vorgenommen haben, speichern und übernehmen Sie diese Einstellungen, damit die
Konfiguration wirksam wird. Die Konsole steht nur auf Windows IIS-Geräten zur
Verfügung und erfordert Internet Explorer ab Version 5.5. Informationen zur Konfiguration des Webinterface mit der Konsole finden Sie unter „Konfigurieren des
Webinterface mit der Konsole“ auf Seite 41 und in der Onlinehilfe der Webinterface
Console.
Webinterface-Konfigurationsdatei: Mit der Datei WebInterface.conf können Sie
viele Webinterface-Eigenschaften ändern. Die Datei steht unter Windows und
UNIX zur Verfügung. Mithilfe dieser Datei können Sie gängige Verwaltungsaufgaben ausführen und zahlreiche Einstellungen anpassen. Sie ändern einfach die
Werte in der Datei WebInterface.conf und beenden und starten den Webserver neu,
um die Änderungen zu übernehmen. Weitere Informationen zur WebinterfaceKonfiguration mit der Datei WebInterface.conf finden Sie unter „Konfigurieren des
Webserverskripts und Java-Servlets: Mit der Anwendungsprogrammierschnittstelle
(API) des Webinterface können Sie die Webinterface-Site umfassend anpassen. Sie
können mit ASP.NET oder JavaServer Pages Webserverskripts erstellen, mit denen
die Webinterface-Klassen manipuliert werden. Weitere Informationen finden Sie im
Handbuch Customizing the Web Interface.
Kapitel 3 Konfigurieren des Webinterface
41
Konfigurieren des Webinterface mit der Konsole
Das Verwaltungstool wird jetzt als Webinterface Console bzw. nur als Konsole
bezeichnet. Die Webinterface Console ist eine grafische Benutzeroberfläche zum
Verwalten und Konfigurieren des Webinterface. Mit der Konsole können Sie viele
Einstellungen in der Datei WebInterface.conf schnell und einfach bearbeiten.
Die Webinterface Console steht nur auf Windows IIS-Geräten zur Verfügung und
erfordert Internet Explorer ab Version 5.5. Sie können die Konsole evtl. nicht über
einen HTTP-Proxyserver oder einen Firewall verwenden.
Bei Verwendung der Konsole werden einige Einstellungen ggf. deaktiviert, wenn
die Werte nicht für die aktuelle Konfiguration relevant sind. Die entsprechenden
Einstellungen in der Datei WebInterface.conf werden auf die Standardwerte
zurückgesetzt. Citrix empfiehlt das regelmäßige Erstellen einer Sicherungskopie
der Datei WebInterface.conf.
Hinweis: Wird in der rechten Fensterhälfte die vertikale Bildlaufleiste nicht angezeigt, falls diese benötigt wird, aktualisieren Sie das Browserfenster bzw. ändern
Sie dessen Größe.
Zugreifen auf die Konsole
Damit Sie die Webinterface Console verwenden können, müssen Sie ein Administrator auf dem lokalen Server sein, d. h., Sie müssen zur Gruppe der Administratoren gehören.
Beim Zugriff auf die Webinterface Console authentifiziert IIS die Anmeldeinformationen automatisch mit einer Funktion von Internet Explorer und IIS. Wenn
Sie ohne ein gültiges Administratorkonto auf den Windows-Desktop zugegriffen
haben, werden Sie zur Eingabe gültiger Anmeldeinformationen aufgefordert.
So greifen Sie auf die Webinterface Console zu:
Geben Sie im Webbrowser http://<Servername>/Citrix/MetaFrame/WIAdmin
ein, wobei <Servername> der Name des Webinterface-Servers ist.
42
Bei der Anmeldung wird eine Seite angezeigt, die der nachfolgenden ähnelt:
Diese Abbildung zeigt die Seite, die angezeigt wird, wenn Sie sich am Webinterface
anmelden.
Diese Seite zeigt eine typische Webinterface-Bereitstellung mit vielen der möglichen Komponenten. Die Grafik ist ein Imagemap, d. h., Sie können auf die einzelnen in der Grafik abgebildeten Komponenten klicken, um das entsprechende
Konfigurationsdialogfeld aufzurufen. Verwenden Sie diese Grafik bzw. die im
linken Bereich der Seite angezeigten Links, um zwischen den Seiten der Konsole
zu wechseln.
Speichern, Übernehmen und Ignorieren von Änderungen
Wenn Sie Änderungen mit der Webinterface Console vorgenommen haben, klicken
Sie auf Speichern, um die Einstellungen zu speichern. Klicken Sie auf Abbrechen,
um die seit der letzten Speicherung vorgenommenen Änderungen zu ignorieren.
Klicken Sie auf Änderungen übernehmen, um die Änderungen zu übernehmen.
Die Konfiguration wird neu geladen, damit die Einstellungen gültig werden. Eine
Meldung bestätigt, dass die Änderungen übernommen wurden. Klicken Sie auf
OK, um die Meldung zu schließen.
Hinweis: Klicken Sie vor dem Wechseln auf eine andere Seite in der Webinterface
Console auf Speichern, um die Änderungen zu speichern. Anderenfalls werden die
Änderungen nicht übernommen.
43
Aufrufen der Hilfe
Sie können kontextsensitive Onlinehilfe für die Webinterface Console aufrufen,
indem Sie auf Hilfe klicken. Die Hilfe wird in einem eigenen Browserfenster
angezeigt.
Außerdem finden Sie überall auf der Webinterface Console QuickInfos. Zeigen Sie
mit der Maus auf Schaltflächen und Menütitel, um eine kurze Beschreibung der
Funktionen anzuzeigen.
Konfigurieren der Authentifizierung
Auf der Seite Authentifizierung konfigurieren Sie die Methoden, mit denen
Benutzer beim Webinterface authentifiziert werden und auf ihre Anwendungen auf
den Servern zugreifen können.
Diese Abbildung zeigt die Seite, die angezeigt wird, wenn Sie auf den Link
Authentifizierung klicken.
44
Authentifizierungsmethoden
Wenn ein Benutzer über die Seite Anmeldung für MetaFrame Presentation Server
auf Anwendungen zugreift, wird er beim Webinterface authentifiziert. Nach einer
ordnungsgemäßen Authentifizierung zeigt das Webinterface die Anwendungsgruppe des Benutzers an. Sie können die folgenden Authentifizierungsmethoden
konfigurieren:
•
Anonyme Anmeldung: Anonyme Benutzer können auf das Webinterface
zugreifen, ohne einen Benutzernamen und ein Kennwort einzugeben und
Anwendungen starten, die auf dem Server für anonyme Benutzer veröffentlicht
wurden.
•
Smartcard mit Single Sign-On: Benutzer können beim Webinterface authentifiziert werden, indem sie eine Smartcard in ein entsprechendes Lesegerät einlegen, das an das Clientgerät angeschlossen ist. Ist die Authentifizierung mit
Single Sign-On aktiviert, wird der Benutzer nicht zur Eingabe einer PINNummer aufgefordert.
•
Smartcard: Benutzer können beim Webinterface über eine Smartcard authentifiziert werden. Der Benutzer wird zur Eingabe einer PIN-Nummer aufgefordert.
•
Single Sign-On: Mit dieser Funktion können Benutzer auch beim Webinterface
mit den Anmeldeinformationen authentifiziert werden, die bei der Anmeldung
am Windows-Desktop eingegeben wurden. Sie müssen diese Angaben nicht
erneut auf der Seite Anmeldung eingeben und ihre Anwendungsgruppe wird
automatisch angezeigt.
•
Explizite Anmeldung: Benutzer müssen sich am Webinterface mit einem
Benutzernamen und einem Kennwort anmelden. Für die Authentifizierung
können UPN (User Principal Name), domänenbasierte Authentifizierung von
Microsoft, NDS (Novell Directory Service), RSA SecurID und SafeWord verwendet werden.
45
Empfehlungen für die Authentifizierung
Citrix empfiehlt, dass Sie Benutzern nur die Verwendung der benötigten Authentifizierungsmethode ermöglichen. Benutzer können sich mit einer der verfügbaren
Methoden beim Webinterface authentifizieren. Wenn Sie z. B. Smartcard-Authentifizierung, anonyme Anmeldung und explizite Authentifizierung zulassen, können
Benutzer eine dieser Authentifizierungsmethoden wählen.
Wenn der Client des Benutzers installiert und darauf Single Sign-On aktiviert ist,
sollten Sie keine unterschiedlichen Authentifizierungsmethoden verwenden. Stellen
Sie sicher, dass die Benutzeranmeldung an den Arbeitsstationen und dem Webinterface konsistent erfolgt, entweder explizit (mit einem Benutzernamen und
einem Kennwort) oder mit Smartcards, jedoch nicht mit beiden Methoden. Beispiel: Wenn sich Benutzer beim Windows-Desktop mit einer Smartcard anmelden
und dann für das Webinterface die explizite Authentifizierung wählen, können die
vom Client übergebenen Anmeldeinformationen ggf. falsch sein. In dieser Situation
übergibt der Client ggf. die PIN-Nummer und nicht den Benutzernamen und das
Kennwort.
Wenn Sie die Webinterface-Authentifizierungsmethoden ändern, werden bestehenden Benutzern ggf. Fehlermeldungen angezeigt. Benutzer müssen für den Zugriff
auf das Webinterface den Browser beenden und neu öffnen.
Aktivieren der anonymen Benutzeranmeldung
Über die Konsole können Sie anonymen Benutzern die Anmeldung am Webinterface ermöglichen. Ist die anonyme Anmeldung aktiviert, können sich Benutzer mit
der auf der Seite Anmeldung verfügbaren Option Anonymer Benutzer (siehe
unten) am Webinterface anmelden. Anonyme Benutzer müssen weder einen Benutzernamen noch ein Kennwort eingeben.
Anonyme Benutzer können auf Anwendungen zugreifen, die in MetaFrame
Presentation Server zur anonymen Verwendung veröffentlicht wurden. Weitere
Informationen zur Veröffentlichung von Anwendungen für anonyme Benutzer
finden Sie im MetaFrame Presentation Server-Administratorhandbuch.
46
Hinweis: Citrix empfiehlt, die Anmeldung für anonyme Benutzer nicht zu aktivieren, wenn Sie MetaFrame 1.8 mit Feature Release 1 verwenden. Ist diese Option
in dieser MetaFrame-Version aktiviert, können Benutzer explizit veröffentlichte
Anwendungen anzeigen.
.
Diese Abbildung zeigt die Option Anonymer Benutzer, die evtl. angezeigt wird, wenn
sich ein Benutzer am Webinterface anmeldet.
ACHTUNG: Anonyme Webinterface-Benutzer können Secure Gateway-Tickets
erhalten, obwohl sie nicht beim Webinterface authentifiziert wurden. Da Secure
Gateway davon ausgeht, dass das Webinterface nur authentifizierten Benutzern
Tickets ausstellt, wird die Sicherheit von Secure Gateway an dieser Stelle gefährdet.
So aktivieren Sie den anonymen Benutzerzugriff auf das Webinterface:
1. Zeigen Sie die Seite Authentifizierung an.
2. Aktivieren Sie Anonyme Anmeldung, um anonymen Benutzern den Zugriff
auf das Webinterface zu ermöglichen.
Aktivieren der Smartcard-Authentifizierung
Smartcards sind Plastikkarten in der Größe einer Kreditkarte, in die ComputerChips eingebettet sind. Smartcards können nur Speicher, Speicher mit Sicherheitslogik oder Speicher mit CPU-Funktionen enthalten. Mit Smartcards kann die
Kommunikation über ein Netzwerk gesichert und die Authentifizierung zwischen
Clients und Servern ausgeführt werden.
Benutzer können beim Webinterface mit Smartcards authentifiziert werden. Der
Benutzer legt die Smartcard in einen Smartcardleser ein, der an das Clientgerät
angeschlossen ist, und gibt dann eine PIN-Nummer ein. Ist die Authentifizierung
mit Smartcard und Single Sign-On aktiviert, werden Benutzer aufgefordert, eine
PIN-Nummer einzugeben, wenn sie sich am Clientgerät anmelden. Bei allen weiteren Anmeldungen (am Webinterface und beim Starten von Anwendungen)
werden sie nicht erneut aufgefordert, die PIN-Nummer einzugeben.
47
Im folgenden Abschnitt werden die Anforderungen für Smartcards und
die Schritte erläutert, die für die Aktivierung der Smartcard-Unterstützung
erforderlich sind. Ein Konfigurationsbeispiel der Smartcard-Authentifizierung
im Webinterface finden Sie unter „Beispiel: Aktivieren der SmartcardAuthentifizierung“ auf Seite 50.
Anforderungen für Smartcards
Damit die Smartcard-Authentifizierung verwendet werden kann, muss das Webinterface auf IIS ausgeführt werden und Benutzer müssen Internet Explorer
(ab Version 5.5) auf einem 32-Bit-Windows-System ausführen. Smartcards werden
nicht unter UNIX unterstützt.
Auf dem Webserver muss SSL (Secure Sockets Layer) aktiviert sein. Da die Smartcard-Technologie auf SSL aufbaut, muss SSL zwischen dem Browser und dem
Webserver verwendet werden. Weitere Informationen hierzu finden Sie in der Webserver-Dokumentation.
Citrix empfiehlt, dass Sie bei Aktivierung der Smartcard-Authentifizierung für
Benutzer die Seite Anmeldung nur für HTTPS-Verbindungen konfigurieren. Wenn
Sie die Smartcard-Authentifizierung aktivieren und IIS für HTTPS-Datenübertragungen nicht Port 443 verwendet, wird Smartcard-Benutzern, die mit einfachem
HTTP auf das Webinterface zugreifen, eine Fehlermeldung angezeigt. Veröffentlichen Sie die komplette HTTPS-URL für alle Smartcard-Benutzer, um dieses
Problem zu vermeiden. Beispiel: https://www.IhreFirma.de:449/Citrix/MetaFrame.
Weitere Informationen zu den Anforderungen des Clientgeräts und des Servers für
die Unterstützung von Smartcards finden Sie im Client für 32-Bit-WindowsAdministratorhandbuch und im MetaFrame-Administratorhandbuch.
Schritt 1: Installieren der Vollversion des Clients für Win32
Sie müssen unter Verwendung eines Administratorkontos die Vollversion des
Clients für Win32 auf den Clientgeräten der Benutzer installieren. Die Funktion
Single Sign-On ist nur in der Vollversion des Clients für Win32 verfügbar, der sich
auf der Komponenten-CD-ROM befindet. Aus Sicherheitsgründen ist diese Funktion in den zum Download angebotenen Clients für Win32 nicht enthalten. Aus
diesem Grund können Sie Benutzern mit der webbasierten Clientinstallation keine
Clients bereitstellen, die diese Funktion enthalten.
48
Schritt 2: Bearbeiten der Datei Appsrv.ini
Wenn Sie Authentifizierung mit Single Sign-On aktivieren möchten, damit der
Benutzer die PIN-Nummer nicht so oft eingeben muss, müssen Sie die Datei
Appsrv.ini bearbeiten. Diese Datei ist im Benutzerprofil gespeichert. Beispiel: Ist
ein Benutzerprofil lokal gespeichert, befindet sich die Datei im folgenden Verzeichnis:
C:\Dokumente und Einstellungen\<Benutzer>\Anwendungsdaten\ICAClient.
(Hinweis: Der Ordner „Anwendungsdaten“ ist versteckt.)
Fügen Sie im Abschnitt [WFClient] die folgenden Einträge hinzu:
EnableSSOnThruICAFile=On
SSOnUserSetting=On
Hinweis: Das Aktivieren der Authentifizierung mit Single Sign-On stellt ein
Sicherheitsrisiko dar. Weitere Informationen finden Sie unter ACHTUNG unter
„Anforderungen für Single Sign-On“ auf Seite 51.
Schritt 3: Aktivieren des Verzeichnisdienst-Zuordnungsprogramms
von Windows
Das Verzeichnisdienst-Zuordnungsprogramm von Windows muss auf dem Webinterface-Server aktiviert sein.
Bei der Webinterface-Authentifizierung werden Windows-Domänenkonten verwendet, d. h. die Anmeldeinformationen (Benutzername und Kennwort). Zertifikate werden jedoch auf Smartcards gespeichert. Das VerzeichnisdienstZuordnungsprogramm verwendet Windows Active Directory, um ein Zertifikat
einem Windows-Domänenkonto zuzuordnen.
So aktivieren Sie das Verzeichnisdienst-Zuordnungsprogramm von Windows
auf IIS 5.0:
1. Öffnen Sie auf dem Server, auf dem das Webinterface ausgeführt wird, in der
Managementkonsole für MetaFrame Presentation Server das Snap-In-Tool für
Internet-Informationsdienste.
2. Klicken Sie mit der rechten Maustaste auf das Verzeichnis für Websites (unter
dem Server, auf dem das Webinterface ausgeführt wird), und klicken Sie auf
Eigenschaften.
49
3. Auf der Registerkarte Internet-Informationsdienste muss der Eintrag
WWW-Dienst im Abschnitt Haupteigenschaften angezeigt sein. Klicken Sie
auf Bearbeiten.
4. Aktivieren Sie auf der Registerkarte Verzeichnissicherheit die Option
Verzeichnisdienst-Zuordnungsprogramm von Windows aktivieren.
5. Klicken Sie auf OK, um das Verzeichnisdienst-Zuordnungsprogramm zu
aktivieren.
So aktivieren Sie das Verzeichnisdienst-Zuordnungsprogramm von Windows
auf IIS 6.0:
1. Öffnen Sie auf dem Server, auf dem das Webinterface ausgeführt wird, in der
Managementkonsole für MetaFrame Presentation Server das Snap-In-Tool für
Internet-Informationsdienste.
2. Klicken Sie mit der rechten Maustaste auf das Verzeichnis für Websites (unter
dem Server, auf dem das Webinterface ausgeführt wird), und klicken Sie auf
Eigenschaften.
3. Aktivieren Sie auf der Registerkarte Verzeichnissicherheit im Abschnitt
Sichere Kommunikation die Option Windows-Verzeichnisdienstzuordnung
aktivieren.
4. Klicken Sie auf OK, um das Verzeichnisdienst-Zuordnungsprogramm zu
aktivieren.
Schritt 4: Aktivieren der Smartcard-Authentifizierung mit der Konsole
Sie müssen die Smartcard-Authentifizierung im Webinterface (damit Benutzer auf
das Webinterface zugreifen und die Anwendungsgruppe anzeigen können) und auf
dem Server konfigurieren (damit Benutzer mit dem Webinterface Anwendungen in
einer Clientsitzung starten können).
So aktivieren Sie die Smartcard-Authentifizierung:
2. Aktivieren Sie Smartcard, damit Benutzer mit einer Smartcard beim Webinterface authentifiziert werden können.
Um die Single Sign-On-Authentifizierung mit der PIN-Nummer des Benutzers zu
konfigurieren, aktivieren Sie Smartcard mit Single Sign-On.
50
Beispiel: Aktivieren der Smartcard-Authentifizierung
Dieses Beispiel erläutert die auszuführenden Schritte, damit sich Benutzer mit einer
Smartcard beim Webinterface anmelden und Anwendungen starten können.
Sie möchten die Smartcard-Authentifizierung für einen Benutzer aktivieren. Der
Benutzer verwendet ein Clientgerät mit Windows 2000 und Service Pack 4. Ein
Smartcardleser ist an das Clientgerät angeschlossen und der Server unterstützt
Smartcards. Das Webinterface lässt im Augenblick nur explizite Authentifizierung
mit Benutzername und Kennwort zu.
So aktivieren Sie die Smartcard-Authentifizierung:
1. Installieren Sie die Vollversion des Clients für Win32 von der KomponentenCD-ROM auf dem Clientgerät des Benutzers. Die Installation auf dem Client
wird mit einem Administratorkonto ausgeführt. Beantworten Sie die während
der Installation des Clients für Win32 angezeigte Meldung „Möchten Sie Ihre
lokalen Benutzerinformationen für Citrix Sitzungen mit diesem Client aktivieren und automatisch verwenden?“ mit Ja.
2. Bearbeiten Sie die im Profil des Benutzers gespeicherte Datei Appsrv.ini.
Die Datei befindet sich im Ordner
C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\ICAClient
SSOnUserSetting=On
3. Das Verzeichnisdienst-Zuordnungsprogramm von Windows muss aktiviert sein.
Weitere Informationen finden Sie unter „Schritt 3: Aktivieren des Verzeichnisdienst-Zuordnungsprogramms von Windows“ auf Seite 48.
4. Konfigurieren Sie die Smartcard-Authentifizierung mit der Webinterface
Console. Aktivieren Sie auf der Seite Authentifizierung die Option Smartcard.
Wenn der Benutzer auf der Seite Anmeldung die Option Smartcard auswählt, ist
für die Anmeldung nur die Eingabe der PIN-Nummer erforderlich. Voraussetzung
dafür ist, dass die Anmeldung am Windows-Desktop mit der Smartcard erfolgte.
Hinweis: Damit der Benutzer die PIN-Nummer nicht erneut eingeben muss,
wenn er sich am Webinterface anmeldet, aktivieren Sie Smartcard mit Single
Sign-On.
5. Klicken Sie auf Speichern, um die Änderungen zu speichern, und dann auf
Änderungen übernehmen.
51
Aktivieren von Single Sign-On
Sie können die Funktion Single Sign-On mit der Webinterface Console aktivieren.
Mit dieser Funktion können Benutzer auch beim Webinterface mit den Anmeldeinformationen authentifiziert werden, die bei der Anmeldung am WindowsDesktop eingegeben wurden. Benutzer müssen diese Angaben nicht erneut auf der
Seite Anmeldung eingeben. Die Anwendungsgruppe der Benutzer wird automatisch angezeigt.
Im folgenden Abschnitt werden die Anforderungen für Single Sign-On und die
Schritte erläutert, die für die Aktivierung von Single Sign-On-Unterstützung erforderlich sind.
Anforderungen für Single Sign-On
Damit Sie die Funktion Single Sign-On verwenden können, müssen die Server
MetaFrame Presentation Server mit Feature Release 2 oder höher ausführen, das
Webinterface muss auf IIS unter Windows 2000 mit Service Pack 4 oder Windows
Server 2003 ausgeführt werden und die Benutzer müssen Internet Explorer ab
Version 5.5 verwenden.
ACHTUNG: Wird auf den Servern eine frühere Version als MetaFrame
Presentation Server mit Feature Release 2 ausgeführt, sehen Benutzer evtl. alle
Anwendungen, wenn Single Sign-On aktiviert ist.
Wenn Benutzer ältere Clientversionen als 6.30 verwenden und die ICAVerschlüsselung (SecureICA) aktiviert ist, funktioniert Single Sign-On nicht.
Damit Sie Single Sign-On mit ICA-Verschlüsselung verwenden können, müssen
die neuesten Clients verwendet werden. Außerdem muss auf dem Server
MetaFrame Presentation Server mit Feature Release 2 oder höher ausgeführt
werden.
ACHTUNG: Wenn ein Benutzer eine Anwendung wählt, wird eine Datei an den
Browser übermittelt. Die Datei kann eine Anweisung für den Client enthalten, die
Anmeldeinformationen der Benutzer-Arbeitsstationen an den Server zu übermitteln.
Der Client ignoriert diese Einstellung standardmäßig. Ist jedoch Single Sign-On auf
dem MetaFrame Presentation Server Client für Win32 aktiviert, könnte ein Angreifer
dem Benutzer eine Datei übermitteln, die die Anmeldeinformationen des Benutzers
an einen nicht autorisierten oder falschen Server weiterleitet. Verwenden Sie Single
Sign-On daher nur in sicheren, vertrauenswürdigen Umgebungen.
52
Schritt 1: Installieren der Vollversion des Clients für Win32
Sie müssen die Vollversion des Clients für Win32 auf den Clientgeräten der Benutzer unter Verwendung eines Administratorkontos installieren. Die Funktion Single
Sign-On ist nur in der Vollversion des Clients für Win32 verfügbar, der sich auf der
Komponenten-CD-ROM befindet. Aus Sicherheitsgründen ist diese Funktion in
den zum Download angebotenen Clients für Win32 nicht enthalten. Aus diesem
Grund können Sie Benutzern mit der webbasierten Clientinstallation keine Clients
bereitstellen, die diese Funktion enthalten.
Beantworten Sie die während der Installation des Clients für Win32 angezeigte
Meldung „Möchten Sie Ihre lokalen Benutzerinformationen für Citrix Sitzungen
mit diesem Client aktivieren und automatisch verwenden?“ mit Ja. Die Funktion
Single Sign-On wird aktiviert. Benutzer des Clientgeräts können diese Funktion
erst nutzen, wenn sie aktiviert wurde.
Hinweis: Wenn Sie Single Sign-On nicht während der Installation des Clients für
Win32 aktivieren, können Sie dies zu einem späteren Zeitpunkt tun. Weitere Informationen zum Aktivieren von Single Sign-On finden Sie im Client für 32-BitWindows-Administratorhandbuch.
Schritt 2: Bearbeiten der Datei Appsrv.ini
Sie müssen außerdem die Datei Appsrv.ini bearbeiten, um Single Sign-On zu aktivieren. Diese Datei ist in den Benutzerprofilen gespeichert. Beispiel: Ist ein Benutzerprofil lokal gespeichert, befindet sich die Datei im folgenden Verzeichnis:
C:\Dokumente und Einstellungen\Benutzer\Anwendungsdaten\ICAClient.
(Hinweis: Der Ordner „Anwendungsdaten“ ist versteckt.)
SSOnUserSetting=On
Schritt 3: Aktivieren von Single Sign-On mit der Konsole
Sie müssen das Webinterface konfigurieren, um die Authentifizierung mit Single
Sign-On zu aktivieren. Ist diese Funktion aktiviert, müssen Benutzer die Anmeldeinformationen nicht erneut auf der Seite Anmeldung eingeben, und die Anwendungsgruppe wird automatisch angezeigt.
So ermöglichen Sie die Authentifizierung mit Single Sign-On:
2. Aktivieren Sie die Option Single Sign-On, damit Benutzer mit den WindowsDesktop-Anmeldeinformationen beim Webinterface authentifiziert werden
können.
53
Aktivieren der expliziten Authentifizierung
Wenn explizite Authentifizierung aktiviert ist, müssen Benutzer ein Benutzerkonto
haben und bei der Anmeldung einen Benutzernamen, ein Kennwort und eine
Domäne eingeben.
Sie können die Einstellungen für die explizite Authentifizierung mit der Webinterface Console ändern. Sie können z. B. Benutzern ermöglichen, das Anmeldekennwort in einer Webinterface-Sitzung zu ändern.
So aktivieren Sie die explizite Anmeldung am Webinterface:
2. Aktivieren Sie Explizite Anmeldung, damit Benutzer bei der WebinterfaceAnmeldung einen Benutzernamen und ein Kennwort eingeben müssen.
3. Wählen Sie den von expliziten Benutzern verwendeten Authentifizierungstyp:
•
Wählen Sie Windows-Authentifizierung verwenden, um die domänenbasierte Authentifizierung von Microsoft festzulegen. Damit die Domänenliste während der Anmeldung nicht angezeigt wird, aktivieren Sie
Domänenfeld nicht im Anmeldeformular anzeigen. Um eine Domäne
hinzuzufügen, geben Sie den Namen in das Feld Anmeldedomäne ein und
klicken Sie auf Hinzufügen. Die Domäne wird in der Liste Anmeldedomänen angezeigt. Markieren Sie bei der Angabe mehrerer Domänen
einen Eintrag in der Liste und klicken Sie auf Auf und Ab, um die Einträge
in der entsprechenden Reihenfolge zu sortieren. Die Domänen werden auf
der Seite Anmeldung in der angegebenen Reihenfolge angezeigt. Wenn Sie
eine Domäne entfernen möchten, markieren Sie die Domäne in der Liste
Anmeldedomänen und klicken Sie auf Entfernen. Um die Benutzer zu
zwingen, sich nur mit den angegebenen Domänennamen anzumelden, aktivieren Sie Anmeldung auf Domänen in der Liste oben einschränken.
•
Um einzuschränken, welche UPN-Suffixe (User Principal Names) akzeptiert werden, geben Sie ein Suffix in das Feld UPN-Suffix ein und klicken
Sie auf Hinzufügen. Das Suffix wird in der Liste Zugelassene UPNSuffixe angezeigt. Standardmäßig sind alle UPN-Suffixe zugelassen.
Markieren Sie bei der Angabe mehrerer Suffixe einen Eintrag in der Liste
und klicken Sie auf Auf bzw. Ab, um die Einträge in der entsprechenden
Reihenfolge zu sortieren. Wenn Sie ein Suffix entfernen möchten, markieren
Sie den entsprechenden Eintrag in der Liste Zugelassene UPN-Suffixe, und
klicken Sie auf Entfernen.
54
•
Aktivieren Sie NDS-Authentifizierung verwenden, um NDS-Authentifizierung (Novell Directory Services) festzulegen. Geben Sie in Mit
Strukturname eine NDS-Struktur und in Kontextname einen Kontextnamen ein und klicken Sie auf Hinzufügen. Der Kontextname wird in der
Kontextliste angezeigt. Markieren Sie bei der Angabe mehrerer Kontextnamen einen Namen in der Liste und klicken Sie auf Auf und Ab, um die
Namen in der entsprechenden Reihenfolge zu sortieren. Die Kontextnamen
werden auf dem NDS-Server in der von Ihnen angegebenen Reihenfolge
gesucht. Wenn Sie einen Kontextnamen entfernen möchten, markieren Sie
den Namen in der Kontextliste und klicken Sie dann auf Entfernen.
Hinweis: NDS-Authentifizierung wird nur auf IIS unterstützt, da die Kontextsuche von nativen Win32 Novell NetWare Client-DLLs ausgeführt werden
muss. Außerdem muss der NDS-Client auf dem Server installiert sein, auf dem
das Webinterface ausgeführt wird.
•
Aktivieren Sie 2-Faktor-Authentifizierung erzwingen, um entweder
SafeWord oder RSA SecurID als Authentifizierungsmethode anzugeben.
Weitere Informationen zum Konfigurieren der SafeWord-Authentifizierung
finden Sie unter „Aktivieren der Authentifizierung mit Secure Computing
SafeWord“ auf Seite 55. Weitere Informationen zum Konfigurieren der RSA
SecurID-Authentifizierung finden Sie unter „Aktivieren der
Authentifizierung mit RSA SecurID“ auf Seite 56.
4. Legen Sie unter Benutzer können Kennwort ändern fest, ob Benutzer das
Anmeldekennwort in einer Webinterface-Sitzung ändern können:
•
Wählen Sie Nur bei Ablauf, wenn Benutzer das Anmeldekennwort nur
ändern können, wenn es abgelaufen ist. Bei Auswahl dieser Option wird
dem Benutzer das Dialogfeld zum Ändern des Kennworts angezeigt, wenn
die Anmeldung am Webinterface aufgrund eines abgelaufenen Kennworts
fehlgeschlagen ist. Nach dem Ändern des Kennworts wird der Benutzer
automatisch mit dem neuen Kennwort beim Webinterface angemeldet.
•
Wählen Sie Immer, wenn Benutzer das Kennwort beliebig oft im Webinterface ändern können. Bei Auswahl dieser Option wird das Symbol zum
Ändern des Kennworts auf den Benutzerseiten angezeigt. Wenn Benutzer
auf dieses Symbol klicken, können sie im angezeigten Dialogfeld ein neues
Kennwort eingeben.
Informationen zum Konfigurieren von Ticketing, eine Funktion, die erweiterte
Authentifizierungssicherheit für explizite Anmeldung bietet, finden Sie unter
„Konfigurieren der Ticketgültigkeitsdauer“ auf Seite 58.
55
Aktivieren der Authentifizierung mit Secure Computing SafeWord
Secure Computing SafeWord ist eine aus zwei Faktoren bestehende Authentifizierungsmethode, bei der mithilfe von alphanumerischen Codes, die von SafeWordTokens und (optional) PIN-Nummern erzeugt wurden, ein Passcode erstellt wird.
Benutzer geben die Domäneninformationen und SafeWord-Passcodes auf der Seite
Anmeldung ein und können dann auf Anwendungen auf dem Server zugreifen.
Der Standardport ist 5031 und kann auf dem SafeWord-Server konfiguriert werden.
Der Webinterface-Server muss nicht zur Active Directory-Domäne gehören, in die
SafeWord integriert ist.
Hinweis: Aus Sicherheitsgründen können sich Benutzer nicht über Program
Neigborhood-Agent anmelden, wenn das Webinterface SafeWord-Authentifizierung verwendet.
Anforderungen für SafeWord
So verwenden Sie die SafeWord-Authentifizierung:
•
Das Webinterface muss vor dem SafeWord Agent für das Webinterface installiert werden.
•
Das Webinterface muss auf IIS ausgeführt werden.
•
Der SafeWord Agent für das Webinterface muss auf dem Server installiert
werden, auf dem das Webinterface ausgeführt wird.
Anforderungen für den SafeWord Agent für das Webinterface
Wenn Sie das Webinterface für MetaFrame XP Version 2.0 oder früher und
SafeWord for Citrix 1.1 verwenden, können Sie ein Upgrade auf das Webinterface
für MetaFrame Presentation Server Version 3.0 durchführen.
Wenn Sie eine frühere Version des Webinterface verwenden, in die SafeWord nicht
integriert ist, müssen Sie eine aktualisierte Version des SafeWord Agents für das
Webinterface von Secure Computing anfordern.
Informationen zum Konfigurieren von SafeWord finden Sie unter
http://www.securecomputing.com.
So aktivieren Sie die SafeWord-Authentifizierung in der Webinterface Console:
2. Aktivieren Sie im Abschnitt Einstellungen für explizite Anmeldung die
Option 2-Faktor-Authentifizierung erzwingen.
3. Wählen Sie SafeWord.
56
Aktivieren der Authentifizierung mit RSA SecurID
RSA SecurID ist eine aus zwei Faktoren bestehende Authentifizierungsmethode.
Hierbei wird ein PASSCODE verwendet, der sich aus von RSA SecurID-Tokens
generierten Nummern (Tokencodes) und PIN-Nummern zusammensetzt. Benutzer
geben die Benutzernamen, Domänen und RSA SecurID-PASSCODES auf der
Seite Anmeldung ein und können dann auf Anwendungen auf dem Server zugreifen. Beim Erstellen von Benutzern auf dem ACE/Server müssen die Anmeldenamen mit den Domänenbenutzernamen übereinstimmen.
Für RSA SecurID-Authentifizierung muss das Webinterface auf IIS ausgeführt
werden. Aus Sicherheitsgründen können sich Benutzer nicht über Program
Neigborhood-Agent anmelden, wenn das Webinterface RSA SecurID-Authentifizierung verwendet.
Im nachfolgenden Abschnitt wird das Verfahren erläutert, mit dem Sie die RSA
SecurID-Unterstützung aktivieren.
Wichtig: Sie müssen vor der Webinterface-Installation das Installationsprogramm
für den RSA ACE/Agent for Windows ab Version 5 ausführen. Aktivieren Sie
während der Installation Common Shared Files und User Documentation und
stellen Sie sicher, dass die Komponenten installiert sind. Der RSA ACE/Agent steht
zum Download auf der RSA-Website bereit: http://www.rsasecurity.com/.
Hinzufügen des Webinterface-Servers als Agent Host
Sie müssen einen Agent Host für den Webinterface-Server in der RSA ACE/ServerDatenbank erstellen, damit der RSA ACE/Server Authentifizierungsanfragen vom
Webinterface-Server erkennt und akzeptiert. Wählen Sie beim Erstellen eines
Agent Host in der Dropdownliste Net OS Agent.
Kopieren der Datei sdconf.rec
Suchen Sie die Datei sdconf.rec auf dem RSA ACE/Server und kopieren Sie sie in
das Verzeichnis „Windows\System32“ oder „WINNT\System 32“ auf dem Server,
auf dem das Webinterface ausgeführt wird. Diese Datei enthält die Informationen,
die der Webinterface-Server für das Herstellen einer Verbindung zum RSA ACE/
Server benötigt.
57
Aktivieren der RSA SecurID-Authentifizierung mit der Konsole
Sie müssen die RSA SecurID-Authentifizierung im Webinterface (damit Benutzer
auf das Webinterface zugreifen und die Anwendungsgruppe anzeigen können) und
auf dem Server konfigurieren (damit Benutzer mit dem Webinterface Anwendungen in einer Clientsitzung starten können).
So aktivieren Sie die RSA SecurID-Authentifizierung:
2. Aktivieren Sie 2-Faktor-Authentifizierung erzwingen.
3. Wählen Sie RSA SecurID.
Überlegungen zum Node Secret-Registrierungsschlüssel
Das Node Secret wird verwendet, um eine sichere Kommunikation zwischen dem
Webinterface-Server und dem RSA ACE/Server herzustellen.
Das Node Secret zwischen den beiden Servern kann in den folgenden Situationen
abweichen:
•
Wenn das Betriebssystem des Webinterface-Servers neu installiert wird.
•
Wenn der Agent Host-Eintrag für den Server, auf dem das Webinterface ausgeführt wird, gelöscht und erneut hinzugefügt wurde.
•
Wenn das Kontrollkästchen Sent Node Secret im Dialogfeld Edit Agent Host
auf dem RSA-Server deaktiviert ist.
•
Wenn der RSA Server neu installiert wird.
•
Wenn der Node Secret-Registrierungsschlüssel auf dem Server, auf dem das
Webinterface ausgeführt wird, gelöscht worden ist.
Wenn das Node Secret auf dem Webinterface-Server und dem RSA ACE/Server
nicht übereinstimmt, schlägt RSA SecurID fehl. Sie müssen das Node Secret auf
dem Webinterface-Server und dem RSA ACE/Server zurücksetzen.
Wichtig: Eine unsachgemäße Verwendung des Registrierungseditors kann
schwerwiegende Probleme verursachen und ein erneutes Installieren des Betriebssystems erfordern. Citrix übernimmt keine Garantie dafür, dass Probleme, die auf
eine unsachgemäße Verwendung des Registrierungseditors zurückzuführen sind,
behoben werden können. Verwenden Sie den Registrierungseditor auf eigene Verantwortung.
58
So setzen Sie das Node Secret auf dem Webinterface-Server zurück:
1. Gehen Sie in der Systemregistrierung auf:
HKEY_LOCAL_MACHINE\SOFTWARE\SDTI\ACECLIENT
2. Löschen Sie den Node Secret-Schlüssel.
Hinweis: Wenn Sie das Webinterface neu installieren, wird der Node SecretSchlüssel nicht gelöscht. Wenn der Agent Host-Eintrag auf dem RSA-Server nicht
geändert ist, kann das Node Secret erneut verwendet werden.
Konfigurieren der Ticketgültigkeitsdauer
Auf der Seite Authentifizierung können Sie angeben, wann das vom Server
erstellte Ticket ungültig wird. Tickets erhöhen die Authentifizierungssicherheit für
explizite Anmeldung, da die vom Webserver an die Clientgeräte übermittelten ICADateien keine Anmeldeinformationen der Benutzer enthalten.
Jedes Webinterface-Ticket hat standardmäßig eine Gültigkeitsdauer von
200 Sekunden. Dieser Wert ist jedoch konfigurierbar. Beispiel: Sie möchten diese
Einstellung der Netzwerkleistung anpassen, da ein Benutzer mit ungültigen Tickets
nicht ordnungsgemäß bei der Serverfarm authentifiziert werden kann.
Wenn Sie die IP-Adresse (bzw. Adressen) eines Servers ändern, der den Citrix
XML-Dienst ausführt, funktioniert Ticketing erst nach dem Neustart des Servers.
Vergessen Sie nach dem Ändern der IP-Adressen eines Servers nicht, den Rechner
neu zu starten.
So konfigurieren Sie die Gültigkeitsdauer der Tickets:
2. Um die Gültigkeitsdauer von Tickets zu ändern, geben Sie einen Wert in
Sekunden in Gültigkeitsdauer von MetaFrame-Tickets ein.
59
Konfigurieren von Workspace Control
Auf der Seite Workspace Control können Sie Einstellungen konfigurieren, damit
Benutzer schnell alle ausgeführten Anwendungen trennen, getrennte Anwendungen
wiederverbinden und sich von allen ausgeführten Anwendungen abmelden können.
Benutzer können so zwischen verschiedenen Clientgeräten wechseln und auf alle
installierten Anwendungen zugreifen (nur auf getrennte oder auf getrennte und
aktive Anwendungen) und zwar entweder direkt bei der Anmeldung oder jederzeit
manuell. Beispiel: Angestellte eines Krankenhauses müssen evtl. verschiedene
Arbeitsstationen verwenden und auf dieselbe Anwendungsgruppe zugreifen, wenn
sie sich an MetaFrame Presentation Server anmelden.
Diese Abbildung zeigt die Seite, die angezeigt wird, wenn Sie auf den Link Workspace
Control klicken.
Hinweis: Sie können Workspace Control nicht mit dem ICA-Client für Windows
CE, der Software für Remotedesktopverbindungen und früheren Versionen des
Clients für Win32 verwenden. Außerdem ist diese Funktion nur auf Servern verfügbar, die MetaFrame Presentation Server Version 3.0 ausführen.
60
Anforderungen für Workspace Control
Die folgenden Anforderungen und Empfehlungen gelten für die Funktion
Workspace Control:
•
Erkennt das Webinterface, dass von einer Clientsitzung darauf zugegriffen wird,
wird die Funktion Workspace Control deaktiviert.
•
Damit Sie Single Sign-On, Smartcards oder Smartcards mit Single Sign-On verwenden können, müssen Sie eine Vertrauensstellung zwischen dem Webinterface-Server und dem Citrix XML-Dienst herstellen. Weitere Informationen
finden Sie unter „Konfigurieren von Workspace Control mit integrierten
Authentifizierungsmethoden“ auf Seite 60.
•
Anwendungen, die für anonyme Benutzer veröffentlicht wurden, werden
beendet, wenn sowohl anonyme als auch authentifizierte Benutzer die Verbindung trennen, wenn der Citrix XML-Dienst so eingestellt ist, dass er den Webinterface-Anmeldeinformationen vertraut. Benutzer können daher die
Verbindung zu anonymen Anwendungen nicht wiederherstellen, falls diese
getrennt wurde.
•
Ist Passthrough für Client-Anmeldeinformationen nicht aktiviert, werden
Smartcard-Benutzer aufgefordert, für jede erneut verbundene Sitzung ihre PINNummer einzugeben. Bei Single Sign-On bzw. Smartcard mit Single Sign-On
stellt dies kein Problem dar, da bei diesen Optionen Passthrough für ClientAnmeldeinformationen aktiviert ist.
•
Eine Sitzung wird nach einem gewissen Inaktivitätszeitraum beendet (Standardwert ist 20 Minuten). Wird die HTTP-Sitzung beendet, wird die Seite
Anmeldung angezeigt. In dieser Sitzung gestartete oder erneut verbundene
Anwendungen werden jedoch nicht getrennt. Die Benutzer müssen die Trennung manuell ausführen oder sich ab- und wieder am Webinterface anmelden
und die Schaltfläche Abmelden verwenden oder die Verbindung trennen.
Konfigurieren von Workspace Control mit integrierten
Authentifizierungsmethoden
Wenn sich Benutzer mit Single Sign-On, Smartcards oder Smartcards mit Single
Sign-On anmelden, müssen Sie eine Vertrauensstellung zwischen dem Webinterface-Server und anderen Servern in der Farm herstellen, auf denen das Webinterface auf veröffentlichte Anwendungen zugreift. Besteht diese Vertrauensstellung
nicht, schlagen die Befehle „Trennen“, „Wiederverbinden“ und „Abmelden“ für
Benutzer fehl, die sich mit Smartcard oder Single Sign-On anmelden.
Es ist keine Vertrauensstellung erforderlich, wenn die Benutzer von dem Server
authentifiziert werden, auf dem ihre Anwendungen ausgeführt werden, also wenn
sich Benutzer nicht mit den Authentifizierungsmethoden Smartcard oder Single
Sign-On anmelden.
61
Um die Vertrauensstellung in der Presentation Server Console herzustellen, öffnen
Sie die Eigenschaften des Servers, auf dem MetaFrame Presentation Server ausgeführt wird, markieren Sie auf der linken Seite auf Workspace Control und aktivieren Sie An XML-Dienst gesendeten Anfragen vertrauen. Der Citrix XMLDienst sendet Informationen über veröffentlichte Anwendungen vom Webinterface
an die Server, auf denen MetaFrame Presentation Server ausgeführt wird, und
umgekehrt.
Beachten Sie Folgendes, wenn Sie einen Server so konfigurieren, dass Anforderungen, die an den XML-Dienst gesendet werden, vertraut werden sollen:
•
Die Vertrauensstellung ist nur erforderlich, wenn Sie Workspace Control implementieren möchten und die Benutzer sich mithilfe von Smartcard oder Single
Sign-On anmelden.
•
Aktivieren Sie die Vertrauensstellung nur auf Servern, auf die das Webinterface
direkt zugreift. Diese Server werden in der Liste Gewählte Farm und der Seite
MetaFrame-Serverfarmen verwalten aufgeführt.
•
Wenn Sie die Vertrauensstellung herstellen, müssen Sie sich darauf verlassen,
dass der Webinterface-Server den Benutzer authentifiziert. Verwenden Sie zur
Vermeidung von Sicherheitsrisiken IPSec, Firewalls oder andere Verfahren, die
sicherstellen, dass nur vertrauenswürdige Dienste mit dem XML-Dienst kommunizieren. Wenn Sie die Vertrauensstellung ohne solche Vorkehrungen erstellen, kann ein beliebiges Netzwerkgerät Clientsitzungen trennen oder beenden.
•
Konfigurieren Sie IPSec, Firewalls oder andere Sicherheitsvorkehrungen, um
den Zugriff auf den Citrix XML-Dienst auf Webinterface-Server zu beschränken. Beispiel: Wenn der Citrix XML-Dienst einen Port mit Microsoft Internet
Information Services (IIS) gemeinsam verwendet, können Sie die IP-Adresseinschränkungsfunktion in IIS verwenden, um den Zugriff auf den Citrix XMLDienst einzuschränken.
Aktivieren von Workspace Control
Um Workspace Control zu aktivieren, wählen Sie auf der Seite Workspace
Control die Option Workspace Control aktivieren.
Auf der Seite Workspace Control haben Sie folgende Möglichkeiten:
•
Aktivieren der automatischen Wiederverbindung bei Anmeldung der Benutzer,
damit Benutzer getrennte Anwendungen oder getrennte und aktive Anwendungen wiederverbinden können.
•
Aktivieren der Schaltfläche Wiederverbinden, damit Benutzer getrennte
Anwendungen oder getrennte und aktive Anwendungen wiederverbinden
können.
•
Zulassen, dass sich Benutzer vom Webinterface und den aktiven Sitzungen oder
nur vom Webinterface abmelden.
62
So aktivieren Sie die automatische Wiederverbindung bei Anmeldung der
Benutzer:
1. Aktivieren Sie Automatische Wiederverbindung bei Anmeldung aktivieren.
•
Um sowohl getrennte als auch aktive Sitzungen automatisch wiederzuverbinden, wählen Sie Aktive und getrennte Sitzungen.
•
Um nur getrennte Sitzungen automatisch wiederzuverbinden, wählen Sie
Nur getrennte Sitzungen.
2. Aktivieren Sie die Option Benutzer können diese Einstellungen überschreiben,
damit Benutzer diese Optionen auf der Seite Einstellungen wählen können.
So aktivieren Sie die Funktion „Wiederverbinden“:
1. Aktivieren Sie Automatische Wiederverbindung mit der Schaltfläche
'Wiederverbinden' aktivieren.
•
Um den Befehl Wiederverbinden so zu konfigurieren, dass sowohl
getrennte als auch aktive Sitzungen automatisch wiederverbunden werden,
wählen Sie Aktive und getrennte Sitzungen.
•
Um den Befehl Wiederverbinden so zu konfigurieren, dass nur getrennte
Sitzungen automatisch wiederverbunden werden, wählen Sie Nur
getrennte Sitzungen.
2. Aktivieren Sie die Option Benutzer können diese Einstellungen überschreiben,
damit Benutzer diese Optionen auf der Seite Einstellungen wählen können.
So konfigurieren Sie das Abmeldeverhalten:
1. Im Abschnitt Abmeldeverhalten haben Sie folgende Möglichkeiten:
•
Um Benutzer vom Webinterface und allen aktiven Sitzungen abzumelden,
wählen Sie Vom Webinterface und von aktiven Sitzungen abmelden.
•
Um Benutzer nur vom Webinterface abzumelden, wählen Sie Nur vom
Webinterface abmelden.
2. Aktivieren Sie Benutzer können Abmeldeverhalten anpassen, damit Benutzer diese Optionen auf der Seite Einstellungen wählen können.
63
Presentation Server
Mit der Webinterface Console können Sie das Webinterface für die Kommunikation mit einer oder mehreren MetaFrame-Serverfarmen konfigurieren. Die Funktion zum Verwenden mehrerer Serverfarmen ist für die Benutzer nicht erkennbar,
da sie nicht darauf hingewiesen werden, dass die Anwendungsgruppe eine Aggregation von mehreren Serverfarmen ist. Anwendungen aus mehreren Serverfarmen
werden genauso wie die einer Farm dargestellt. Zuerst werden die Ordner und dann
die Anwendungssymbole angezeigt. Aus diesem Grund werden Anwendungen aus
verschiedenen Serverfarmen, die denselben Namen haben, an beliebiger Stelle in
der Anwendungsgruppe angezeigt. Deshalb empfiehlt Citrix, dass Sie eindeutige
Anwendungsnamen in allen Serverfarmen sicherstellen, z. B. durch Veröffentlichen
von Anwendungen in Ordnern mit anderen Namen.
Hinweis: Das Webinterface fragt vor der Anzeige der Anwendungen Anwendungsdaten von allen Serverfarmen ab. Jede Serverfarm wird in der Reihenfolge
kontaktiert, in der sie in der Konfigurationsdatei aufgeführt ist. Aus diesem Grund
wirkt sich eine langsam reagierende Serverfarm auf die gesamte Reaktionsfähigkeit
aus, wenn Anwendungsgruppen abgerufen werden.
Überlegungen zur Kennwortänderung
Sollten Unterschiede zwischen den Serverfarmen bestehen, müssen Sie weitere
Punkte berücksichtigen, bevor Sie Benutzern ermöglichen, das Kennwort zu
ändern. Beispiel:
•
Die Domänen sind untereinander nicht vertrauenswürdig.
•
Manche Farmen unterstützen die Kennwortänderung nicht.
•
Sowohl MetaFrame Presentation Server für UNIX als auch MetaFrame
Presentation Server für Windows ist auf den Servern der Farm installiert.
Citrix empfiehlt in diesen Situationen eine Deaktivierung der Kennwortänderung.
Bei Bedarf kann die Kennwortänderung in einer gemischten Serverfarmbereitstellung aktiviert werden. Das Webinterface kontaktiert die Serverfarmen in der
definierten Reihenfolge, bis eine Serverfarm meldet, dass das Kennwort ordnungsgemäß geändert wurde. An dieser Stelle wird das Verfahren angehalten. Sie können
dann die Serverfarm angeben, an die die Anfrage zum Ändern des Kennworts ausgegeben wird. Verwenden Sie jedoch geeignete Kennwortreplikationsmethoden
zwischen den Serverfarmen, um konsistente Benutzerkennwörter sicherzustellen.
Wenn die Kennwortänderungsanfrage fehlschlägt, wird sie an die nächste Serverfarm in der Reihenfolge ausgestellt.
64
Verwalten von Serverfarmen
Servereinstellungen werden für jede einzelne Serverfarm konfiguriert. Wenn Sie
Serverfarmeinstellungen anzeigen und konfigurieren möchten, markieren Sie eine
Serverfarm in der Dropdownliste Gewählte Farm und klicken Sie auf die entsprechenden Links unter Servereinstellungen.
Auf der Seite MetaFrame-Serverfarmen verwalten können Sie mehrere Serverfarmnamen erstellen und die Reihenfolge angeben, in der sie für Load Balancing
und die Fehlertoleranz verwendet werden. Anschließend konfigurieren Sie die Einstellungen für jede Serverfarm.
Diese Abbildung zeigt die Seite, die angezeigt wird, wenn Sie auf den Link Farmen
verwalten klicken.
So erstellen Sie Serverfarmen:
1. Klicken Sie auf den Link Farmen verwalten, um die Seite MetaFrameServerfarmen verwalten anzuzeigen.
2. Geben Sie in Farmname einen Namen für die Serverfarm ein.
3. Klicken Sie auf Hinzufügen. Der Name der Serverfarm wird in der Liste
MetaFrame-Serverfarmen angezeigt.
4. Markieren Sie bei der Angabe mehrerer Serverfarmnamen einen Namen in der
Liste und klicken Sie auf Auf und Ab, um die Namen in der entsprechenden
Reihenfolge zu sortieren. Wenn Sie einen Serverfarmnamen entfernen möchten,
markieren Sie den Namen in der Liste MetaFrame-Serverfarmen und klicken
Sie auf Entfernen.
65
Konfigurieren von Servereinstellungen
Auf der Seite MetaFrame-Server können Sie die Namen der Server angeben, auf
denen der Citrix XML-Dienst ausgeführt wird. Der Citrix XML-Dienst ist eine
Komponente von MetaFrame, die als Kontaktpunkt zwischen der Serverfarm und
dem Webinterface-Server dient.
MetaFrame-Server klicken.
Standardmäßig wird der während der Webinterface-Installation eingegebene
Servername in der Liste Serveradressen angezeigt.
So fügen Sie der Liste einen Server hinzu:
1. Zeigen Sie die Seite MetaFrame-Server an.
2. Geben Sie den Namen des Servers in das Feld Serveradresse ein. Sie können
einen Windows NT-Servernamen, eine IP-Adresse oder einen DNS-Namen
angeben.
Hinweis: Wenn Sie Transporttyp auf SSL-Relay oder HTTPS einstellen,
müssen Sie prüfen, ob die Serveradresse dem Servernamen entspricht, der
auf dem Zertifikat für den Server angegeben wurde, auf dem MetaFrame ausgeführt wird.
3. Klicken Sie auf Hinzufügen. Der Servername wird am Ende der Liste
Serveradressen hinzugefügt.
66
4. Wiederholen Sie diese Schritte, wenn Sie weitere Servernamen angeben möchten. Markieren Sie einen Servernamen in der Liste Serveradressen und verschieben Sie die Server mithilfe der Schaltflächen Auf und Ab in die
gewünschte Reihenfolge. Die Reihenfolge ist für die Fehlertoleranz wichtig.
Weitere Informationen finden Sie unter „Konfigurieren der Fehlertoleranz“ auf
Seite 66. Wenn Sie einen Servernamen entfernen möchten, markieren Sie den
Namen und klicken Sie auf Entfernen.
Konfigurieren der Fehlertoleranz
Das Webinterface bietet für die Server, auf denen der Citrix XML-Dienst ausgeführt wird, Fehlertoleranz. Wenn eine Kommunikationsunterbrechung mit einem
Server auftritt, wird der ausgefallene Server für eine bestimmte Dauer umgangen.
Die Kommunikation wird mit den restlichen in der Liste Serveradressen aufgeführten Servern fortgesetzt.
Ein ausgefallener Server wird standardmäßig für 60 Minuten umgangen. Sie
können diesen Wert jedoch auf der Seite MetaFrame-Server ändern.
So konfigurieren Sie die Fehlertoleranz:
2. Ordnen Sie die Server in der Liste Serveradressen der Priorität nach. Markieren Sie einen Servernamen in der Liste und verschieben Sie die Server mit
den Schaltflächen Auf und Ab in die gewünschte Reihenfolge.
3. Deaktivieren Sie Serverliste für Load Balancing verwenden.
4. Geben Sie die Anzahl der Minuten in Alle ausgefallenen Server ... Minuten
umgehen ein, wenn Sie die Dauer ändern möchten, für die ein Server umgangen wird.
Hinweis: Wenn ein Server ausfällt, auf dem der Citrix XML-Dienst ausgeführt
wird, versucht das Webinterface erst nach dem Ablauf der in Alle ausgefallenen
Server ... Minuten umgehen angegebenen Dauer mit dem ausgefallenen Server zu
kommunizieren. Wenn keiner der Server in der Liste antwortet, versucht das Webinterface alle 10 Sekunden erneut, mit den Servern zu kommunizieren.
67
Aktivieren von Load Balancing zwischen Servern
Sie können Load Balancing zwischen Servern aktivieren, auf denen der Citrix
XML-Dienst ausgeführt wird. Wenn Sie Load Balancing aktivieren, werden die
Verbindungen gleichmäßig auf die Server verteilt, so dass kein Server überlastet
wird. Load Balancing ist standardmäßig aktiviert.
Wenn ein Kommunikationsproblem mit einem Server auftritt, wird die Kommunikationslast zwischen den restlichen Servern in der Liste ausgeglichen. Der ausgefallene Server wird für eine bestimmte Dauer (standardmäßig 60 Minuten) umgangen.
Sie können diesen Wert in Alle ausgefallenen Server ... Minuten umgehen
ändern. Weitere Informationen finden Sie unter „Konfigurieren der Fehlertoleranz“
auf Seite 66.
So aktivieren Sie Load Balancing:
2. Fügen Sie der Liste Serveradressen die Server hinzu, deren Last ausgeglichen
werden soll. Weitere Informationen zum Hinzufügen von Servern finden Sie
unter „Konfigurieren der Kommunikation mit MetaFrame Presentation Server“
auf Seite 63. Die Reihenfolge ist für die Fehlertoleranz wichtig. Für Load
Balancing spielt sie keine Rolle.
3. Aktivieren Sie Serverliste für Load Balancing verwenden.
Angeben des TCP/IP-Ports für die XML-Kommunikation
Sie können den TCP/IP-Port angeben, der vom Citrix XML-Dienst auf den Servern
verwendet wird, die in der Liste Serveradressen aufgeführt sind. Standardmäßig
wird die während der Webinterface-Installation angegebene Portnummer verwendet. Diese Portnummer muss der vom Citrix XML-Dienst verwendeten Portnummer entsprechen.
Für alle Server in der Farm muss der Citrix XML-Dienst für diesen Port konfiguriert sein.
So geben Sie den TCP/IP-Port an:
2. Geben Sie die Portnummer in Port für XML-Dienst ein.
68
Angeben des Transportprotokolls
Sie können das Protokoll angeben, mit dem Webinterface-Daten zwischen dem
Webserver und dem MetaFrame-Server übertragen werden. Wählen Sie eine der
folgenden Optionen:
•
HTTP: Wählen Sie dieses Protokoll für die Übermittlung von Daten über eine
HTTP-Standardverbindung. Verwenden Sie diese Option, wenn Sie bereits
andere Vorkehrungen zum Sichern dieser Verbindung getroffen haben.
•
HTTPS: Wählen Sie dieses Protokoll für die Übermittlung von Daten über eine
sichere HTTP-Verbindung mit SSL (Secure Sockets Layer) oder TLS (Transport Layer Security). Der Citrix XML-Dienst muss den Port für IIS freigegeben
haben und IIS muss HTTPS unterstützen.
•
SSL-Relay: Wählen Sie dieses Protokoll für die Übermittlung von Daten über
eine sichere Verbindung, bei der die Hostauthentifizierung und Datenverschlüsselung über das Citrix SSL-Relay erfolgt, das auf einem Server mit MetaFrame
Presentation Server ausgeführt wird.
Tipp: Weitere Informationen zum Sichern der Kommunikation mit dem
Citrix SSL-Relay und HTTPS finden Sie unter „Konfigurieren der WebinterfaceSicherheit“ auf Seite 129.
So geben Sie ein Transportprotokoll an:
2. Wählen Sie im Abschnitt Transporttyp die Option HTTP, HTTPS oder
SSL-Relay.
3. Geben Sie bei Verwendung des SSL-Relays den TCP-Port des Citrix SSLRelays in Port für SSL-Server an (der Standardport ist 443). Das Webinterface
authentifiziert einen Citrix SSL-Relay-Server mit Stammzertifikaten. Stellen
Sie sicher, dass alle Server, auf denen das Citrix SSL-Relay ausgeführt wird,
dieselbe Portnummer abhören.
Hinweis: Bei der Verwendung von SSL-Relay oder HTTPS müssen die angegebenen Servernamen mit den Namen auf dem Zertifikat des Servers, auf dem
MetaFrame ausgeführt wird, übereinstimmen.
69
Konfigurieren der Adressübersetzung
Wenn Sie einen Firewall in der MetaFrame Presentation Server-Installation verwenden, können Sie auf der Seite Einstellungen für Netzwerkadressübersetzung
im Bereich DMZ-Einstellungen das Webinterface so konfigurieren, dass die entsprechende IP-Adresse in die ICA-Dateien eingefügt wird, abhängig von der Konfiguration des Firewalls und der Server. Sie können das Webinterface beispielsweise
zum Bereitstellen einer alternativen Adresse konfigurieren, wenn der Server mit
einer alternativen Adresse und der Firewall für die Netzwerkadressübersetzung
konfiguriert ist.
Netzwerkadressübersetzung klicken.
In diesem Abschnitt wird die Konfiguration der Adressübersetzung auf der
Seite Einstellungen für Netzwerkadressübersetzung im Abschnitt DMZEinstellungen erläutert. Außerdem finden Sie typische Beispiele, die diese Funktion verdeutlichen.
70
Adressübersetzungstypen
Die folgenden Adressierungstypen können im Webinterface konfiguriert werden:
•
Normale Adresse: Die eigentliche IP-Adresse des Servers wird an den Client
übergeben. Dies ist die Standardeinstellung.
•
Netzwerkadressübersetzung: Einige Firewalls konvertieren private (interne)
IP-Adressen mit der IP-Adressübersetzung in öffentliche (externe) IP-Adressen.
Wenn Sie einen Firewall mit aktivierter Netzwerkadressübersetzung verwenden
und die Server diese Funktion unterstützen, müssen Sie das Webinterface konfigurieren, um die entsprechende IP-Adresse bereitzustellen (abhängig davon, ob
Clients innerhalb oder außerhalb des Firewalls eine Verbindung herstellen).
Wenn ein externer Benutzer über den Firewall eine Verbindung zum
MetaFrame Presentation Server herstellt, verwendet das Webinterface die
externe IP-Adresse. Wenn ein interner Benutzer über den Firewall eine Verbindung herstellt, verwendet das Webinterface die interne IP-Adresse.
•
Portadressübersetzung: Sie können Zuordnungen von internen MetaFrameIP-Adressen zu externen IP-Adressen und Ports definieren. Mit dieser Funktion
können Sie Datenübertragungen über eine einzige externe IP-Adresse an interne
Server weiterleiten. Sie können mit dieser Funktion beispielsweise nur eine IPAdresse mit mehreren Ports bekannt geben. Der Firewall leitet, abhängig von
der vom Client angegebenen Portnummer, Verbindungen an den entsprechenden Server weiter.
•
Secure Gateway: Mit dieser Funktion stellen Clientsitzungen eine Verbindung
über Secure Gateway her.
Angeben des Standardverhaltens
Sie können im Abschnitt Standardeinstellung für Adressübersetzung das
Standardverhalten festlegen (z. B. den Typ der vom Webinterface unterstützten
Adressübersetzung). Die Standardeinstellung enthält Clients in Subnetzen, die nicht
individuell konfiguriert wurden.
Beispiel: Wenn die Netzwerkadressübersetzung auf dem Firewall aktiviert ist,
können Sie als Standardeinstellung die Verwendung einer alternativen Adresse festlegen. Sie können auch Ausnahmen zum Standardverhalten mit den Optionen
Spezielle Einstellungen für Adressübersetzung konfigurieren.
Weitere Beispiele für die Konfiguration von Standardeinstellungen finden Sie unter
„Beispiele“ auf Seite 73.
Hinweis: Wenn Sie Citrix MetaFrame Version 1.8 mit dem ICA-Standardport
verwenden, werden Serveradressen ohne eine Portnummer zurückgegeben. Diese
Adressen müssen daher in den Firewall-Adresszuordnungen ohne Portnummer
angegeben werden.
71
So konfigurieren Sie serverseitige Firewall-Standardeinstellungen:
1. Zeigen Sie die Seite Einstellungen für Netzwerkadressübersetzung an.
2. Wählen Sie in Standardeinstellung für Adressübersetzung eine der folgenden Optionen:
•
Normale Adresse: Die eigentliche IP-Adresse des Servers wird an den
Client übergeben. Dies ist die Standardeinstellung.
•
Alternative Adresse: Die alternative Adresse wird an den Client übergeben. Der Server muss mit einer alternativen Adresse und der Firewall
muss für die Netzwerkadressübersetzung konfiguriert sein.
•
Übersetzte Adresse: Die an den Client übergebene Adresse wird durch die
im Webinterface festgelegten Zuordnungen für die Adressübersetzung festgelegt. Die Aktivierung dieser Option erfordert das Definieren von Zuordnungen in Zuordnung für Übersetzung von MetaFrame-Serveradressen.
Weitere Informationen finden Sie unter „Definieren von Zuordnungen für die
Adressübersetzung“ auf Seite 72.
•
Secure Gateway-Server: Konfigurieren der Secure Gateway-Unterstützung. Bei Auswahl dieser Option müssen Sie Einstellungen im Abschnitt
Secure Gateway-Unterstützung festlegen. Weitere Informationen finden
Sie unter „Konfigurieren der Secure Gateway-Unterstützung“ auf Seite 78.
Konfigurieren spezieller Einstellungen für die Adressübersetzung
Sie können eine Subnetzadresse und -maske angeben. Wenn sich Benutzer anmelden, wird so sichergestellt, dass der Client mit einer Subnetzadresse, die der angegebenen Adresse entspricht, die zugeordnete Übersetzungsoption verwendet.
Beispiel: Wenn die Netzwerkadressübersetzung auf dem Firewall aktiviert ist und
standardmäßig die alternative Adresse verwendet wird, können Sie die normale
Adresse für Benutzer eines bestimmten internen Subnetzes festlegen.
Weitere Konfigurationsbeispiele von Ausnahmen zu den Standardeinstellungen
finden Sie unter „Beispiele“ auf Seite 73.
So konfigurieren Sie spezielle Einstellungen für die Adressübersetzung:
2. Geben Sie im Abschnitt Spezielle Einstellungen für Adressübersetzung die
Client-IP-Adresse im Feld Adresse ein.
3. Geben Sie die Subnetzmaske im Feld Maske an. Wird dieser Wert nicht angegeben, verwendet das Webinterface automatisch die Adresse 255.255.255.255.
Dabei wird die Einstellung auf die spezielle Client-IP-Adresse angewendet, die
mit der Subnetzadresse identisch ist.
72
4. Wählen Sie eine der folgenden Optionen:
•
Normale Adresse: Die eigentliche IP-Adresse des Servers wird an den
Client übergeben. Dies ist die Standardeinstellung.
•
Alternative Adresse: Die alternative Adresse wird an den Client übergeben. Der Server muss mit einer alternativen Adresse und der Firewall muss
für die Netzwerkadressübersetzung konfiguriert sein.
•
Übersetzte Adresse: Die an den Client übergebene Adresse wird durch die
im Webinterface festgelegten Zuordnungen für die Adressübersetzung festgelegt. Die Aktivierung dieser Option erfordert das Definieren von Zuordnungen im Abschnitt Zuordnung für Übersetzung von MetaFrameServeradressen. Weitere Informationen finden Sie unter „Definieren von
Zuordnungen für die Adressübersetzung“ auf Seite 72.
•
Secure Gateway-Server: Konfigurieren der Secure Gateway-Unterstützung. Wählen Sie Mit normaler Adresse, Mit alternativer Adresse oder
Mit übersetzter Adresse. Wenn Sie die Option Secure Gateway Server
aktivieren, müssen Sie auf der Seite Secure Gateway-Unterstützung Einstellungen festlegen. Weitere Informationen finden Sie unter „Konfigurieren
der Secure Gateway-Unterstützung“ auf Seite 78.
5. Klicken Sie auf Hinzufügen. Die Einstellung wird in der Liste
Einstellungszuordnung angezeigt.
6. Wenn Sie mehrere Einstellungen konfigurieren, können Sie die Reihenfolge
steuern, in der die Einstellungen angewendet werden. Markieren Sie die Einstellung und klicken Sie auf Auf und Ab, um die Einstellungen der Priorität nach
zu ordnen. Wenn Sie eine Einstellung entfernen möchten, markieren Sie die
Einstellung und klicken Sie auf Entfernen.
Definieren von Zuordnungen für die Adressübersetzung
Sie können im Webinterface im Abschnitt Zuordnung für Übersetzung von
MetaFrame-Serveradressen Zuordnungen von internen IP-Adressen zu externen
IP-Adressen und Ports definieren. Wenn der Server beispielsweise nicht mit einer
alternativen Adresse konfiguriert ist, kann das Webinterface zum Bereitstellen einer
alternativen Adresse konfiguriert werden.
Weitere Konfigurationsbeispiele von Zuordnungen für die Adressübersetzung
finden Sie unter „Beispiele“ auf Seite 73.
2. Stellen Sie sicher, dass Übersetzte Adresse in Standardeinstellung für
Adressübersetzung oder Spezielle Einstellungen für Adressübersetzung
konfiguriert ist.
73
3. Geben Sie in Serveradresse die normale (interne) IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) des Servers ein.
Hinweis: Der Wert von AddressResolutionType in der Datei
WebInterface.conf legt fest, ob die normale Serveradresse ein vollqualifizierter
Domänenname (FQDN) oder eine IP-Adresse sein muss. Wenn der Wert
AddressResolutionType auf DNS-port oder DNS gesetzt ist, müssen alle
normalen Adressen vollqualifizierte Domänennamen sein. Wenn
AddressResolutionType auf IPv4-port oder IPv4 gesetzt ist, müssen alle
normalen Adressen IP-Adressen sein.
4. Geben Sie in Serverport die Portnummer des Servers ein. Der Standardport
ist 1494.
5. Geben Sie in Übersetzte Adresse die übersetzte (externe) IP-Adresse oder den
vollqualifizierten Domänennamen ein, über die bzw. den Clients eine Verbindung zum Server herstellen müssen.
6. Geben Sie in Übersetzter Port die Portnummer des Servers ein. Der Standardport ist 1494.
7. Klicken Sie auf Hinzufügen. Die Zuordnung wird in der Liste
Übersetzungszuordnung angezeigt.
8. Wenn Sie die Reihenfolge ändern möchten, in der mehrere Zuordnungen
angewendet werden, markieren Sie eine Zuordnung und klicken Sie auf Auf
und Ab, um die Zuordnungen der Priorität nach zu ordnen. Wenn Sie eine
Zuordnung entfernen möchten, markieren Sie die Zuordnung in der Liste
Übersetzungszuordnung und klicken Sie dann auf Entfernen.
Beispiele
In diesem Abschnitt finden Sie Beispiele typischer Szenarien, in denen die Konfiguration der Adressübersetzung mit der Webinterface Console erläutert wird.
Beispiel 1: Konfigurieren der Netzwerkadressübersetzung
In diesem Beispiel ist die Netzwerkadressübersetzung (NAT) auf dem Firewall aktiviert. Sie konfigurieren das Webinterface so, dass die entsprechende Adresse für
Benutzer innerhalb und außerhalb des Firewalls in den ICA-Dateien
enthalten ist.
74
MetaFrame Presentation Server und das Webinterface werden bereitgestellt und
geben Benutzern Zugriff auf Anwendungen, die auf einem Server im Hauptgeschäftssitz ausgeführt werden. Dieser Server und die Benutzer im Hauptgeschäftssitz befinden sich im Subnetz 192.168. Es gibt außerdem Benutzer in einer
Geschäftsstelle im Subnetz 1.2, die auch auf diese Anwendungen zugreifen
müssen. Die registrierte externe IP-Adresse des Servers lautet 123.23.2.8.
Beispiel für die Konfiguration der Netzwerkadressübersetzung. Mit dem Webinterface
können Benutzer auf Anwendungen zugreifen, die auf einem Server ausgeführt werden,
der sich im Hauptgeschäftssitz inner- oder außerhalb des Firewalls befinden kann.
Lösung 1: Alternative Adressierung ist auf dem Server konfiguriert
Der Firewall im Hauptgeschäftssitz konvertiert mit der Netzwerkadressübersetzung
externe Adressen in interne Adressen. Der Server ist mit einer alternativen Adresse
konfiguriert.
Legen Sie als Standardeinstellung die Verwendung einer alternativen Adresse fest,
und konfigurieren Sie Ausnahmen für Clients innerhalb des Firewalls. Gehen Sie
folgendermaßen vor:
2. Wählen Sie in Standardeinstellung für Adressübersetzung die Option
Alternative Adresse. Die externe Adresse des Servers wird jetzt standardmäßig zurückgegeben.
3. Geben Sie in Spezielle Einstellungen für Adressübersetzung im Feld
Adresse 192.168.0.0 ein. Geben Sie in Maske 255.255.0.0 ein.
4. Wählen Sie Normale Adresse.
75
5. Klicken Sie auf Hinzufügen. In der Liste Einstellungszuordnung wird
192.168 = Normal angezeigt. An Clients, die eine Verbindung über das Subnetz
192.168 herstellen, wird eine interne Adresse ausgegeben.
6. Klicken Sie auf Speichern, um die Änderungen zu speichern.
7. Klicken Sie auf Änderungen übernehmen.
Lösung 2: Alternative Adressierung ist nicht auf dem Server konfiguriert
Wenn der Server nicht mit einer alternativen Adresse konfiguriert ist, können Sie
im Webinterface Zuordnungen für die Adressübersetzung konfigurieren, damit die
entsprechende Adresse in ICA-Dateien enthalten ist. Gehen Sie hierfür folgendermaßen vor:
Übersetzte Adresse.
Adresse 192.168.0.0 ein. Geben Sie in Maske 255.255.0.0 ein.
4. Aktivieren Sie Normale Adresse.
192.168.0.0 = Normal angezeigt. An Clients, die eine Verbindung über das
Subnetz 192.168.0.0 herstellen, wird eine interne Adresse ausgegeben.
6. Geben Sie in Zuordnung für Übersetzung von MetaFrame-Serveradressen
192.168.10.1:1494 in Serveradresse ein.
7. Geben Sie in Übersetzte Adresse 123.23.2.8:1494 ein.
8. Klicken Sie auf Hinzufügen. In der Liste Übersetzungszuordnung wird
192.168.10.1:1494 = 123.23.2.8:1494 angezeigt. Für Clients, die eine Verbindung über das Subnetz 123.23 herstellen, verwendet das Webinterface die übersetzte Adresse.
76
Beispiel 2: Konfigurieren der Portadressübersetzung
In diesem Beispiel ist die Portadressübersetzung auf dem Firewall aktiviert. Der
Administrator konfiguriert das Webinterface so, dass die entsprechende Adresse für
Benutzer innerhalb und außerhalb des Firewalls in ICA-Dateien enthalten ist.
Beispiel für die Konfiguration der Netzwerkadressübersetzung. Die Portadressübersetzung ist am Firewall aktiviert und Benutzer inner- und außerhalb des Firewalls
können auf ihre Anwendungen zugreifen.
geben Benutzern Zugriff auf Anwendungen, die auf zwei Servern ausgeführt
werden. Die Server und die Benutzer im Hauptgeschäftssitz verwenden das
Subnetz 192.168 innerhalb des Firewalls. Die Serveradressen lauten 192.168.10.1
und 192.168.10.2. Beide Server verwenden den Standardport 1494. Die registrierte
externe IP-Adresse ist 123.23.2.1. Es gibt außerdem Benutzer in einer Geschäftsstelle im Subnetz 1.2, die auch auf diese Anwendungen zugreifen müssen.
77
Legen Sie die Verwendung der Zuordnungen für die Adressübersetzung folgendermaßen als Standardeinstellung fest, und konfigurieren Sie Ausnahmen für Clients,
die innerhalb des Firewalls eine Verbindung herstellen:
Übersetzte Adresse.
Adresse 192.168 ein. Geben Sie in Maske 255.255.0.0 ein.
4. Wählen Sie Normale Adresse.
192.168 = Normal angezeigt. An Clients, die eine Verbindung über das Subnetz
192.168 herstellen, wird eine interne Adresse ausgegeben.
6. Geben Sie in Zuordnung für Übersetzung von MetaFrame-Serveradressen
192.168.10.1 in Serveradresse ein.
7. Geben Sie in Übersetzte Adresse den Wert 123.23.2.1 ein.
8. Geben Sie in Übersetzter Port den Wert 1001 ein.
192.168.10.1:1494 = 123.23.2.1:1001 angezeigt.
10. Geben Sie in Serveradresse den Wert 192.168.10.2 ein.
11. Geben Sie in Übersetzte Adresse den Wert 123.23.2.1 ein.
12. Geben Sie in Übersetzter Port den Wert 1002 ein.
192.168.10.2:1494 = 123.23.2.1:1002 angezeigt. Für Clients, die eine Verbindung über das Subnetz 1.2 herstellen, verwendet das Webinterface die übersetzte Adresse.
78
Konfigurieren der Secure Gateway-Unterstützung
Wenn Sie Secure Gateway mit MetaFrame Presentation Server verwenden,
müssen Sie das Webinterface für die Unterstützung von Secure Gateway konfigurieren. In diesem Abschnitt wird die Konfiguration der Secure Gateway-Unterstützung mit der Webinterface Console erläutert. Konfigurieren Sie Secure Gateway
auf der Seite Secure Gateway-Unterstützung.
Secure Gateway-Unterstützung klicken.
Secure Gateway ist ein sicheres Internetgateway zwischen SSL/TLS-aktivierten
Clients und Servern. Die Datenübertragungen über das Internet zwischen den
Clientgeräten und dem Secure Gateway-Server werden mit SSL/TLS verschlüsselt.
Benutzer können remote auf Informationen zugreifen, ohne die Sicherheit zu
gefährden. Secure Gateway vereinfacht auch die Zertifikatverwaltung, da nur der
Secure Gateway-Server und nicht jeder Server in der Serverfarm ein Serverzertifikat benötigt.
Secure Gateway verschlüsselt und authentifiziert alle Verbindungen transparent,
um Abhören und Datenmanipulation zu verhindern.
•
Secure Gateway stellt Remotebenutzern und Telearbeitern eine einfache,
preisgünstige und sichere Methode für den sicheren und erweiterten Zugriff auf
Serverfarmen über das Internet bereit.
•
79
Secure Gateway stellt mit bestehenden Citrix Technologien und der vorhandenen Sicherheitsinfrastruktur eine clientspezifische Sicherheitsschicht bereit,
mit der die Kommunikation zwischen Citrix Clients und Servern im Netzwerk
gesichert wird.
•
Secure Gateway stellt zusammen mit dem Webinterface einen einzelnen,
sicheren und verschlüsselten Zugangspunkt über das Internet zu Servern in
internen Unternehmensnetzwerken bereit. Büromitarbeiter können von jedem
weltweiten Standort, von jedem Gerät und zu jeder Zeit remote auf Unternehmensinformationen zugreifen, ohne die Netzwerksicherheit zu gefährden.
Mit Secure Gateway-Ticketing wird Secure Gateway darüber informiert,
dass ein Benutzer authentifiziert wurde und auf die Serverfarm zugreifen kann.
Tickets werden vom Secure Ticket Authority-Server erstellt und verifiziert. Wenn
ein Benutzer eine Anwendung auswählt, übermittelt das Webinterface
die Adresse des Servers, auf dem die Anwendung ausgeführt wird, an die
Secure Ticket Authority und erhält ein Ticket. Secure Gateway tauscht dieses
Ticket später gegen die Adresse des Servers ein. Tickets erhöhen die Sicherheit,
da interne Netzwerkadressen der Server verborgen sind.
Ein Konfigurationsbeispiel für die Secure Gateway-Unterstützung finden Sie unter
„Beispiel“ auf Seite 81. Weitere Informationen zu Secure Gateway finden Sie im
Secure Gateway für MetaFrame-Administratorhandbuch.
So konfigurieren Sie das Webinterface für Secure Gateway-Unterstützung:
2. Wählen Sie entweder im Abschnitt Standardeinstellung für
Adressübersetzung oder Spezielle Einstellungen für Adressübersetzung
die Option Secure Gateway-Server, abhängig davon, ob Sie die Standardeinstellung oder spezielle Einstellungen konfigurieren möchten.
3. Wählen Sie die Option Mit normaler Adresse, Mit alternativer Adresse oder
Mit übersetzter Adresse. Wenn die Netzwerkadressübersetzung auf dem Firewall zwischen dem Secure Gateway-Server und dem Server aktiviert ist,
wählen Sie Mit alternativer Adresse. Ist die Portadressübersetzung aktiviert,
aktivieren Sie Mit übersetzter Adresse.
4. Wenn Sie eine Einstellung in Spezielle Einstellungen für Adressübersetzung
konfigurieren, klicken Sie auf Hinzufügen, um diesen Wert in der Liste
Einstellungszuordnung anzuzeigen.
5. Klicken Sie auf Speichern.
6. Zeigen Sie die Seite Secure Gateway-Unterstützung an.
80
7. Geben Sie im Abschnitt Secure Gateway-Server im Feld Adresse den vollqualifizierten Domänennamen (FQDN) des Secure Gateway-Servers an, den
Clients verwenden müssen. Diese Eingabe muss mit dem Wert auf dem Zertifikat übereinstimmen, das auf dem Secure Gateway-Server installiert ist.
8. Geben Sie in Port die Portnummer auf dem Secure Gateway-Server an, den
Clients verwenden müssen. Der Standardport ist 443.
9. Geben Sie in URL den DNS-Namen oder die IP-Adresse einer Secure Ticket
Authority ein, die das Webinterface verwenden kann.
10. Klicken Sie auf Hinzufügen. Die Secure Ticket Authority wird in der
Secure Ticket Authority-Liste angezeigt. Secure Ticket Authorities werden
im Allgemeinen für die Fehlertoleranz verwendet. Citrix empfiehlt, dass Sie
für diesen Zweck kein externes Lastenausgleichsprogramm verwenden. Sie
können in dieser Liste maximal 256 Secure Ticket Authorities angeben.
11. Wenn Sie die Secure Ticket Authorities der Priorität nach ordnen möchten,
markieren Sie eine Secure Ticket Authority und klicken Sie auf Auf bzw. Ab.
Wenn Sie eine Secure Ticket Authority entfernen möchten, markieren Sie den
Eintrag in der Secure Ticket Authority-Liste und klicken Sie auf Entfernen.
12. Aktivieren Sie ggf. Load Balancing zwischen den Secure Ticket Authorities mit
Secure Ticket Authority-Liste für Load Balancing verwenden. Wenn Sie
Load Balancing aktivieren, werden die Verbindungen gleichmäßig auf die
Server verteilt, so dass kein Server überlastet wird. Wenn ein Kommunikationsproblem mit einem Server auftritt, wird die Kommunikationslast zwischen den
restlichen Servern in der Liste ausgeglichen.
Hinweis: Das Webinterface bietet Fehlertoleranz für die in der Secure
Ticket Authority-Liste enthaltenen Server. Wenn bei der Kommunikation mit
einem Server ein Fehler auftritt, wird der ausgefallene Server für die Dauer
umgangen, die auf der Seite MetaFrame-Server in Alle ausgefallenen
Server ... Minuten umgehen angegeben ist. Weitere Informationen finden Sie
unter „Konfigurieren der Fehlertoleranz“ auf Seite 66.
Konfigurieren von Secure Gateway mit interner Firewall-Adressübersetzung
Sie können die Serveradresse der Adresse und dem Port zuordnen, die von dem
internen Firewall übersetzt wurden. Benutzer können Anwendungen über
Secure Gateway starten, wenn Adresse und Port des Servers am internen Firewall
übersetzt werden.
Wenn Sie die Optionen Adressübersetzungszuordnung des internen
Firewalls verwenden möchten, aktivieren Sie auf der Seite Einstellungen für
Netzwerkadressübersetzung die Option Secure Gateway-Server mit der Option
Mit übersetzter Adresse im Abschnitt für die Standard- oder spezifischen Einstellungen für die Adressübersetzung.
81
So konfigurieren Sie Secure Gateway mit interner Firewall-Adressübersetzung:
2. Geben Sie im Abschnitt Adressübersetzungszuordnung des internen
Firewalls in Serveradresse die normale (interne) IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) des Servers ein.
3. Geben Sie in Serverport die Portnummer des Servers ein. Der Standardport
ist 1494.
4. Geben Sie in Übersetzte Adresse die übersetzte (externe) IP-Adresse oder den
vollqualifizierten Domänennamen ein, über die bzw. den Clients eine Verbindung zum Server herstellen müssen.
5. Geben Sie in Übersetzter Port die Portnummer des Servers ein. Der Standardport ist 1494.
6. Klicken Sie auf Hinzufügen. Die Zuordnung wird in der Liste
Übersetzungszuordnung angezeigt.
7. Wenn Sie die Reihenfolge ändern möchten, in der mehrere Zuordnungen
angewendet werden, markieren Sie eine Zuordnung und klicken Sie auf Auf
und Ab, um die Zuordnungen der Priorität nach zu ordnen. Wenn Sie eine
Zuordnung entfernen möchten, markieren Sie die Zuordnung in der Liste
Übersetzungszuordnung und klicken Sie dann auf Entfernen.
Beispiel
Dieser Abschnitt enthält ein Konfigurationsbeispiel für die Secure Gateway-Unterstützung mit der Webinterface Console.
In diesem Beispiel möchten Sie den Secure Gateway-Server „csg1.citrix.com“
angeben, auf dem die Clients den Port 443 verwenden.
Folgende Secure Ticket Authority-Adresse wird verwendet:
http://server1.citrix.com/scripts/CtxSta.dll.
Ein Beispiel für die Konfiguration des Webinterface mit Secure Gateway. Der
Secure Gateway-Server und die Secure Ticket Authority-Adresse sind konfiguriert und
Benutzer können über die Secure Gateway-Unterstützung mit dem Webinterface auf
ihre Anwendungen zugreifen.
82
So konfigurieren Sie das Webinterface für Secure Gateway-Unterstützung:
Secure Gateway-Server.
4. Geben Sie in Adresse (FQDN) „csg1.citrix.com“ ein. Dies ist der Name des
Servers auf dem Zertifikat.
5. Geben Sie in URL „http://server1.citrix.com“ ein und klicken Sie auf
Hinzufügen.
6. Aktivieren Sie Secure Ticket Authority-Liste für Load Balancing
verwenden, um die Verbindungslast zwischen den Secure Ticket AuthorityServern auszugleichen.
Konfigurieren von clientseitigen Proxyeinstellungen
Wenn Sie einen Proxyserver auf der Clientseite des Webinterface verwenden,
können Sie festlegen, ob Clients mit dem Server über einen Proxyserver kommunizieren müssen. Nehmen Sie diese Einstellung auf der Seite Clientseitige
Proxyeinstellungen vor.
Diese Abbildung zeigt die Seite, die angezeigt wird, wenn Sie auf den Link Clientseitige
Proxyeinstellungen klicken.
83
Ein Proxyserver, der sich auf der Clientseite des Webinterface befindet, bietet die
folgenden Sicherheitsvorteile:
•
Verbergen von Informationen. Innerhalb des Firewalls verwendete Systemnamen werden nicht an Systeme außerhalb des Firewalls über DNS bekannt
gegeben.
•
Weiterleiten (Channeling) verschiedener TCP-Verbindungen über eine
Verbindung.
Mit der Webinterface Console können Sie Proxystandardregeln für Clients festlegen. Sie können auch Ausnahmen für einzelne Clients konfigurieren. Wenn Sie
Ausnahmen konfigurieren möchten, ordnen Sie Clientadressen eine bestimmte
Proxyserveradresse und Subnetzmaske zu.
Das Proxyverhalten kann auch vom Client gesteuert werden. Beispiel: Sie möchten
die Funktion für die Verwendung eines sicheren Proxy (Secure Proxy) in
MetaFrame Presentation Server verwenden. Konfigurieren Sie das Webinterface
für die Verwendung der vom Client angegebenen Proxyeinstellungen und den
Client für Secure Proxy. Weitere Informationen über das Steuern des Proxyverhaltens mit Clients finden Sie im entsprechenden MetaFrame Presentation
Server Client-Administratorhandbuch.
So konfigurieren Sie Proxystandardeinstellungen:
1. Zeigen Sie die Seite Clientseitige Proxyeinstellungen an.
2. Wählen Sie in Standardproxyeinstellung eine der folgenden Optionen:
•
Automatisch: Der Client erkennt den Webproxy automatisch basierend auf
der Browserkonfiguration des Clients.
•
Client: Die vom Benutzer für den Client konfigurierten Einstellungen.
•
Kein Proxy: Kein Proxy wird verwendet.
•
Explizite Zuordnung verwenden: Diese Option gibt den verwendeten
Proxyserver an. Ist diese Option aktiviert, müssen Sie die Adresse des
Proxyservers in Proxyadresse und die Portnummer in Proxyport eingeben
sowie unter Proxytyp den Proxytyp (SOCKS-Proxy oder Secure
Proxy(HTTPS)) wählen. Die Proxyadresse kann eine IP-Adresse oder ein
DNS-Name sein. Der Proxyport ist standardmäßig 1080.
84
So konfigurieren Sie Einstellungen für einzelne Proxyserver:
2. Geben Sie unter Spezielle Proxyeinstellungen in Adresse die Client-Subnetzadresse ein.
Hinweis: Wenn Webbrowser über einen Proxyserver oder einen Firewall eine
Verbindung zum Webinterface herstellen und die IP-Adresse des Clients verborgen ist, muss Adresse die Clientadresse aus der Sicht des Webinterface enthalten. Beispiel: Wenn ein Webbrowser eine Verbindung über einen Proxy
herstellt, muss Adresse die externe Adresse des Proxyservers enthalten. Dies
gilt nicht für Benutzer von Program Neigborhood-Agent.
3. Geben Sie in Maske eine Subnetzmaske ein. Wird dieser Wert nicht angegeben,
verwendet das Webinterface automatisch den Wert 255.255.255.255. Dabei
wird die Einstellung auf die spezielle Client-IP-Adresse angewendet, die der der
Subnetzadresse entspricht.
4. Wählen Sie in Optionen eine der folgenden Einstellungen:
•
Automatisch: Der Client erkennt den Webproxy automatisch basierend auf
der Browserkonfiguration des Clients.
•
Client: Die vom Benutzer für den Client konfigurierten Einstellungen.
•
Kein Proxy: Kein Proxy wird verwendet.
•
Explizite Zuordnung verwenden: Diese Option gibt den verwendeten
Proxyserver an. Ist diese Option aktiviert, müssen Sie die Adresse des
Proxyservers in Proxyadresse und die Portnummer in Proxyport eingeben
sowie unter Proxytyp den Proxytyp (SOCKS-Proxy oder HTTPS-Proxy)
wählen. Die Proxyadresse kann eine IP-Adresse oder ein DNS-Name sein.
Der Proxyport ist standardmäßig 1080.
5. Klicken Sie auf Hinzufügen. Die Zuordnung wird in der Liste Zuordnung
angezeigt.
6. Sie können die Reihenfolge festlegen, in der die Zuordnungen angewendet
werden. Markieren Sie eine Zuordnung und klicken Sie auf Auf und Ab, um die
Zuordnungen der Priorität nach zu ordnen. Wenn Sie eine Zuordnung entfernen
möchten, markieren Sie die Zuordnung in der Liste Zuordnung und klicken Sie
dann auf Entfernen.
85
Beispiel
In diesem Beispiel ist die Proxykommunikation für einen Benutzer in einer
Geschäftsstelle konfiguriert.
geben Benutzern Zugriff auf Anwendungen, die auf einem Server im Hauptgeschäftssitz ausgeführt werden. Außerdem benötigt ein Benutzer in einer Geschäftsstelle Zugriff auf diese Anwendungen. In dieser Geschäftsstelle wird die
Clientkommunikation über den Proxyserver weitergeleitet. Der Webbrowser des
Benutzers stellt Verbindungen über einen Proxy über die Adresse 123.23.2.1 her.
Der Proxy stellt dann eine Verbindung zum Server her.
Konfigurieren Sie das Webinterface, um der entsprechenden Clientadresse die
Adresse des Proxyservers zuzuordnen. Gehen Sie folgendermaßen vor:
2. Wählen Sie in Standardproxyeinstellung die Option Kein Proxy.
3. Geben Sie unter Spezielle Proxyeinstellungen in Adresse die externe Adresse
des Proxyservers aus der Sicht des Webinterface ein (204.23.45.1). Die externe
Adresse wird verwendet, da der Webbrowser Verbindungen über einen Proxyserver herstellt, der die IP-Adresse des Clients verbirgt.
4. Wählen Sie in Optionen die Option Explizite Zuordnung verwenden.
5. Geben Sie in Proxyadresse die Adresse des Proxyservers aus der Sicht des
Clients (123.23.2.1) ein.
6. Klicken Sie auf Hinzufügen. Die Zuordnung wird in der Liste Zuordnung
angezeigt.
Konfigurieren der Clientbereitstellung
Für die Verwendung des Webinterface müssen Benutzer einen unterstützten
Webbrowser und einen MetaFrame Presentation Server Client oder Software für
Remotedesktopverbindungen einsetzen. Eine der Methoden, mit der Clients den
Benutzern bereitgestellt werden können, ist die webbasierte Clientinstallation des
Webinterface.
86
Auf der Seite Einstellungen für Clientbereitstellung können Sie die Bereitstellung der Clients mit dem Webinterface konfigurieren.
Clientbereitstellung klicken.
Die folgenden Optionen stehen zur Verfügung:
•
Konfigurieren der webbasierten Clientinstallation: Die entsprechenden Clients
können auf den Benutzergeräten mit Installationsmeldungen schnell bereitgestellt werden. Installationsmeldungen sind Links, die Benutzern dargestellt
werden, die einen Client benötigen. Benutzer klicken zur Installation des
Clients auf dem Clientgerät auf einen Link.
•
Konfigurieren des Webinterface für die automatische Bereitstellung der kleineren Webclient-Installation oder der Vollversion des Clients für Win32 für
Windows-Benutzer.
•
Konfigurieren des Webinterface zum Bereitstellen der Software für Remotedesktopverbindungen.
•
Einrichten, dass Benutzer entscheiden können, wie Anwendungen gestartet
werden.
•
Festlegen der in der Bereitstellung des Java-Clients enthaltenen Komponenten
oder Auswählen der gewünschten Komponenten durch die Benutzer.
87
Anforderungen für Remotedesktopverbindungen
Diese Funktion ist auf 32-Bit-Windows-Systemen mit Internet Explorer ab
Version 5.5 verfügbar.
Wird die Webinterface-Site vom Browser des Clients nicht im Intranet oder der
Zone „Vertrauenswürdige Sites“ abgelegt, wird eine Fehlermeldung angezeigt und
der Benutzer wird auf die Informationen in der Onlinehilfe verwiesen. In diesem
Fall wird folgende Vorgehensweise empfohlen:
So fügen Sie den Webinterface-Server der Zone „Vertrauenswürdige Sites“
hinzu:
1. Öffnen Sie im Internet Explorer das Menü Extras.
2. Wählen Sie Internetoptionen.
3. Öffnen Sie die Registerkarte Sicherheit.
4. Klicken Sie auf Vertrauenswürdige Sites.
5. Klicken Sie auf Sites.
6. Geben Sie in Diese Website zur Zone hinzufügen den Namen des
Webinterface-Severs (z. B. http://Servername) ein.
7. Klicken Sie auf Hinzufügen, um den Server der Liste Websites hinzuzufügen.
8. Klicken Sie zweimal auf OK, um das Dialogfeld Internetoptionen zu
schließen.
88
Automatisches Bereitstellen von Clients
Sie können das Webinterface konfigurieren, um den Webclient automatisch für
Benutzer bereitzustellen, die Internet Explorer ausführen.
Wenn diese Funktion aktiviert ist und Benutzer auf das Webinterface zugreifen,
werden das Clientgerät und der Webbrowser der Benutzer erkannt. Wenn die
Benutzer unter Windows arbeiten und kein Client installiert bzw. der installierte
Client nicht aktuell ist, versucht das Webinterface den angegebenen Client auf dem
Clientgerät der Benutzer automatisch zu installieren. Benutzer installieren den
Client, indem Sie in der angezeigten Meldung auf Ja klicken.
Sie können die minimale Webclient-Installationsdatei (wficac.cab) bereitstellen.
Dieser Client installiert nicht alle Komponenten (z. B. Program Neighborhood) und
ist daher kleiner und einfacher zu downloaden und evtl. für Benutzer mit Verbindungen mit niedriger Bandbreite geeignet. Die folgenden Funktionen sind mit dem
minimalen Webclient nicht verfügbar:
•
SecureICA (RC5)-Verschlüsselung
•
Universeller Druckertreiber
•
SpeedScreen-Latenzreduktion
•
Clientaudiozuordnung
•
Radmausunterstützung
•
Unterstützung mehrerer Monitore
•
Benutzer-zu-Benutzer-Spiegelung
•
Inhaltsumleitung
•
Unterstützung von Novell Directory Services
•
Erweiterte Parameterübertragung
•
Zuordnung von Client-COM-Ports
•
Verschieben und Skalieren
•
Zeitzonenunterstützung pro Benutzer
•
Unterstützung anderer Protokolle als TCP/IP
•
Single Sign-On
Weitere Informationen zu den in den Webclients verfügbaren Funktionen finden Sie
im Client für 32-Bit-Windows-Administratorhandbuch.
89
So aktivieren Sie die Downloadfunktion für den Webclient:
1. Zeigen Sie die Seite Einstellungen für Clientbereitstellung an.
2. Wählen Sie im Abschnitt Starteinstellungen die Option Lokaler Client.
3. Aktivieren Sie im Abschnitt Einstellungen für Webclient die Option
Webclient bei Anmeldung automatisch bereitstellen.
Hinweis: Für die automatische Installation des Webclients auf Windows-Arbeitsstationen muss der Benutzer über Administratorrechte auf dem Clientgerät verfügen, oder das ActiveX-Steuerelement muss in ActiveDirectory registriert sein.
Weitere Informationen finden Sie auf der Microsoft Support-Website.
Einstellungen zum Starten von Anwendungen
Auf der Seite Einstellungen für Clientbereitstellung im Abschnitt
Starteinstellungen können Sie festlegen, welche Clients zum Starten von
Anwendungen verwendet werden. Sie können Benutzern auch ermöglichen, auf
der Seite Einstellungen festzulegen, wie die Anwendungen gestartet werden.
Hinweis: Der Client für Java wird immer für Benutzer bereitgestellt, die mit einem
Safari-Webbrowser eine Verbindung herstellen.
Dieser Abschnitt enthält Informationen über das Starten von Clients und eine kurze
Beschreibung der einzelnen Clients.
Clienteinstellungen
Die folgenden Clients stehen zum Starten von Anwendungen zur Verfügung:
•
Lokaler Client: Die Vollversion des Clients für Win32 (einschließlich der
Seamless-Fenster-Unterstützung) wird automatisch für Benutzer bereitgestellt.
Anwendungen werden in Desktop-Fenstern gestartet, deren Größe geändert
werden kann.
•
Nativer eingebetteter Client (ActiveX oder Netscape-Plug-In): Benutzer
downloaden und installieren diesen Client, wenn Anwendungen gestartet
werden. Seamless-Fenster werden nicht unterstützt und die Anwendungen
werden in einem Fenster mit fester Größe gestartet.
90
•
Client für Java: Der Client für Java wird automatisch für Benutzer bereitgestellt. Dieser Client unterstützt Seamless-Fenster und Anwendungen werden in
Desktop-Fenstern gestartet, deren Größe geändert werden kann.
•
Eingebettete Software für Remotedesktopverbindungen: Die Software für
die Remotedesktopverbindung wird automatisch für Benutzer bereitgestellt.
Seamless-Fenster werden nicht unterstützt und die Anwendungen werden in
einem Fenster mit fester Größe gestartet.
Hinweis: Der native eingebettete Client und die eingebettete Software für die
Remotedesktopverbindung werden auf WYSE-Terminalgeräten unter WinCE 2.12
und Personal Digital Assistants (PDAs) unter Pocket PC nicht unterstützt. Damit
Sie diese Clients auf WYSE-Terminalgeräten unter WinCE 4.1 verwenden können,
müssen Sie Hotfix 3 (Build 486.7.1) installieren.
So konfigurieren Sie die Clientbereitstellung:
2. Im Abschnitt Client, mit dem Anwendungen standardmäßig gestartet
werden können Sie die folgenden Einstellungen wählen: Lokaler Client,
Nativer eingebetteter Client (ActiveX oder Netscape-Plug-In), Client für
Java oder Software für eingebettete Remotedesktopverbindungen.
3. Damit Benutzer entscheiden können, wie ihre Anwendungen gestartet werden,
aktivieren Sie Benutzer können Client auswählen und aktivieren Sie eine
oder alle der folgenden Optionen: Lokaler Client, Nativer eingebetteter
Client (ActiveX oder Netscape-Plug-In), Client für Java oder Software für
eingebettete Remotedesktopverbindungen.
Die verfügbaren Optionen hängen von der Option ab, die im Abschnitt Client,
mit dem Anwendungen standardmäßig gestartet werden gewählt wurde.
Sollen Anwendungen beispielsweise standardmäßig mit dem lokalen Client
gestartet werden, dürfen Sie im Abschnitt Client, mit dem Anwendungen
standardmäßig gestartet werden die Option Lokaler Client nicht
deaktivieren.
91
Konfigurieren der Einstellungen für den Webclient
Sie können den Benutzern entweder die Vollversion oder die minimale Version des
Webclients bereitstellen.
So konfigurieren Sie die Einstellungen für den Webclient:
2. Im Abschnitt Einstellungen für Webclient haben Sie folgende Möglichkeiten:
•
Geben Sie in Dateiname den Dateinamen des bereitzustellenden Webclients
ein. Um die komplette Version des Webclients bereitzustellen, geben Sie in
Dateiname wficat.cab ein (Standardeinstellung). Um die Minimalversion
bereitzustellen, geben Sie wficac.cab ein. Stellen Sie sicher, dass der Webserver die angegebene Version der Installationsdatei für den Webclient enthält. Weitere Informationen zur Minimalversion des Clients finden Sie unter
„Automatisches Bereitstellen von Clients“ auf Seite 88.
•
Geben Sie in Version einen Wert ein. In diesem Feld werden Kommas und
nicht Dezimalpunkte als Trennzeichen verwendet.
•
Geben Sie in Klassen-ID einen Wert ein.
Die Felder Version und Klassen-ID sind beispielsweise sinnvoll, um neue
Versionen aktualisierter ActiveX-Steuerelemente zu kennzeichnen. Außerdem
müssen Sie diese Versionen evtl. beim Aktualisieren angeben.
Konfigurieren der Einstellungen für Remotedesktopverbindungen
Verwenden Sie diese Software nur auf 32-Bit-Windows-Systemen mit Internet
Explorer ab Version 5.5.
So aktivieren Sie die Funktion „Remotedesktopverbindung“:
2. Geben Sie im Abschnitt ActiveX-Einstellungen für
Remotedesktopverbindungen in Dateiname einen Dateinamen ein
(Standardeinstellung ist msrdp.cab).
3. Falls erforderlich, können Sie Folgendes angeben:
•
Geben Sie in Version einen Wert ein. In diesem Feld werden Kommas und
nicht Dezimalpunkte als Trennzeichen verwendet.
•
Geben Sie in Klassen-ID einen Wert ein.
Diese Felder sind beispielsweise sinnvoll, um neue Versionen aktualisierter
ActiveX-Steuerelemente zu kennzeichnen. Außerdem müssen Sie diese Versionen evtl. beim Aktualisieren angeben.
92
Anpassen der Bereitstellung des Clients für Java
Sie können im Webinterface die Komponenten konfigurieren, die bei der Bereitstellung des Clients für Java enthalten sein sollen.
Die Größe der Downloaddatei für den Client für Java hängt von den enthaltenen
Paketen ab. Je weniger Pakete Sie wählen, desto kleiner ist der Download (unter
Umständen nur 300 KB). Wenn Sie die Größe des Downloads für Benutzer einschränken möchten, die langsame Verbindungen verwenden, können Sie nur das
Minimum der Komponenten bereitstellen. Sie können Benutzern auch die Kontrolle über die gewünschten Komponenten geben.
Hinweis: Einige Komponenten des Clients für Java erfordern weitere Konfigurationsschritte auf dem Clientgerät oder dem Server.
Weitere Informationen zum Client für Java und den Komponenten finden Sie unter
„Übersicht über den Client für Java“ auf Seite 127 und im Client für Java-Administratorhandbuch.
So konfigurieren Sie die Bereitstellung des Clients für Java:
2. Wählen Sie im Abschnitt Einstellungen für Client für Java die Pakete, die in
der bereitgestellten Datei enthalten sein sollen. In der folgenden Tabelle werden
die verfügbaren Optionen erläutert:
Paket
Beschreibung
Audio
Auf dem Server ausgeführte Anwendungen können Audiodateien über
ein auf dem Clientgerät installiertes Audiogerät wiedergeben. Sie
können die von der Clientaudiozuordnung auf dem Server verwendete
Bandbreite steuern. Weitere Informationen finden Sie im MetaFrame
Presentation Server-Administratorhandbuch.
Zwischenablage
Benutzer können Text und Grafiken zwischen serverbasierten Anwendungen und lokal auf dem Clientgerät ausgeführten Anwendungen
kopieren.
Lokales Textecho
Die Anzeige der Texteingabe auf dem Clientgerät wird beschleunigt.
SSL/TLS
Die Kommunikation wird mit SSL (Secure Sockets Layer) und
TLS (Transport Layer Security) gesichert. SSL/TLS bietet Serverauthentifizierung, Verschlüsselung des Datenstroms und
Prüfung der Nachrichtenintegrität.
Verschlüsselung
Hohe Verschlüsselung für eine erhöhte Sicherheit der Clientverbindungen.
Paket
Beschreibung
Clientlaufwerkszuordnung
Benutzer können in einer Clientsitzung auf die lokalen Laufwerke
zugreifen. Wenn Benutzer eine Verbindung zum Server herstellen,
werden die Clientlaufwerke automatisch zugeordnet (z. B. Disketten-,
Netzwerk- und CD-ROM-Laufwerke). Benutzer greifen auf lokal gespeicherte Dateien zu, bearbeiten sie in den Clientsitzungen und speichern
sie wieder auf einem lokalen Laufwerk oder einem Laufwerk auf dem
Server.
Zum Aktivieren dieser Einstellung muss im Dialogfeld Einstellungen
für Client für Java die Clientlaufwerkszuordnung konfiguriert sein.
Weitere Informationen finden Sie im Client für Java-Administratorhandbuch.
Druckerzuordnung
Benutzer können auf den lokalen oder Netzwerkdruckern in einer Clientsitzung drucken.
KonfigurationsBenutzeroberfläche
Diese Funktion aktiviert das Dialogfeld Einstellungen für Client für
Java. In diesem Dialogfeld können Benutzer den Client für Java konfigurieren.
93
3. Wenn Sie den Benutzern überlassen möchten, welche Java-Client-Pakete aktiviert werden sollen, aktivieren Sie Benutzer können Pakete wählen. Ist diese
Option aktiviert, können Benutzer über die Seite Einstellungen einige der oben
in der Liste aufgeführten Pakete steuern.
4. Wenn Sie Secure Gateway oder den Citrix SSL-Relaydienst mit einem Serverzertifikat konfiguriert haben, das Sie von einer privaten Zertifizierungsstelle
erworben haben (z. B. wenn Sie eigene Zertifikate mit den Zertifikatsdiensten
von Microsoft ausstellen), aktivieren Sie Privates Stammzertifikat verwenden. Geben Sie den Dateinamen des Zertifikats in Dateiname von
Zertifikat ein. Das Zertifikat muss sich in demselben Verzeichnis auf dem
Webserver wie die Java-Client-Paketdateien befinden (z. B. /Citrix/ICAWEB/
en/icajava auf IIS).
Wichtig: Bei dieser Option wird nicht überprüft, ob das Stammzertifikat über
eine sichere Verbindung bereitgestellt wird. Da das Stammzertifikat unter
Umständen über eine nicht verschlüsselte HTTP-Verbindung übertragen wurde,
sind Angriffe auf das Zertifikat möglich. Citrix empfiehlt die Konfiguration des
Webservers für HTTPS-Verbindungen.
Sie können diese Pakete und andere Eigenschaften des Clients für Java konfigurieren. Weitere Informationen finden Sie im Client für Java-Administratorhandbuch.
94
Bereitstellen des Clients für Java mit dem Webinterface und
benutzerdefinierten SSL/TLS-Zertifikaten
Sie können das Webinterface für die Verwendung eines benutzerdefinierten SSLStammzertifikats konfigurieren. Das Zertifikat wird dem Java-Client als einzelne
Datei im Codebase-Verzeichnis des Clients für Java auf dem Webserver bereitgestellt. Dies kann Probleme bei CER-Dateien verursachen, da IIS diese als MIMEText überträgt und die Datei bei der Übertragung beschädigt werden kann (z. B.
geänderte Zeilenenden). Außerdem rufen einige JVMs (Java Virtual Machines),
wie z. B. IBM JVM unter OS/2, als individuelle Dateien angegebene Zertifikate
nicht ab.
Citrix empfiehlt das Verpacken von benutzerdefinierten Stammzertifikaten in einer
Archivdatei, mit der mehrere Zertifikate bereitgestellt werden. Dieses Verfahren
wird im Client für Java-Administratorhandbuch beschrieben.
Im folgenden Abschnitt wird die Konfiguration von benutzerdefinierten Zertifikaten mit dem Webinterface und dem Client für Java beschrieben.
So konfigurieren Sie benutzerdefnierte Zertifikate:
1. Erwerben Sie von der Zertifizierungsstelle die Stammzertikate, die den auf den
Servern verwendeten Serverzertifikaten entsprechen.
2. Öffnen Sie die Datei appembed.inc in einem Texteditor. Diese Datei befindet
sich standardmäßig im folgenden Verzeichnis: C:\Inetpub\Wwwroot\
Citrix\MetaFrame\site\include.
3. Suchen Sie den Abschnitt zwischen den HTML-Tags <applet> und </applet>.
4. Geben Sie vor dem Tag </applet> die SSL/TLS-Zertifikate an, die der Client für
Java verwenden soll. Verwenden Sie die folgenden Parameter:
•
SSLNoCACerts: Die Anzahl der im Clientarchiv angegebenen Zertifikate.
•
SSLCACert0, SSLCert1...SSLCert<n>: Die Namen der Stammzertifikate, die für die Echtheitsprüfung des Serverzertifikatsnamens verwendet
werden. Die von Ihnen angegebene Anzahl der Stammzertifikate muss der
im Parameter SSLNoCACerts angegebenen Anzahl entsprechen.
Beispiel: Wenn Sie drei benutzerdefinierte Stammzertifikate mit den Dateinamen A.crt, B.crt und C.cer verwenden, fügen Sie die folgenden Zeilen hinzu:
<param name="SSLNoCACerts" value="3">
<param name="SSLCACert0" value="A.crt">
<param name="SSLCACert1" value="B.crt">
<param name="SSLCACert2" value="C.cer">
95
5. Suchen Sie den Codebase-Parameter und notieren Sie den in der Zeile angegebenen Pfad. <%=langCode%> ist der Name des Ordners der Sprache, mit der
Sie arbeiten. Diese Zeile darf nicht geändert werden.
6. Wenn Sie den Client in Microsoft Internet Explorer mit der standardmäßigen
JVM (jview) bereitstellen, verpacken Sie die Zertifikate in einer CAB-Datei.
7. Suchen Sie den Parameter cabinets. Fügen Sie den Namen des in Schritt 6
erstellten Archivs hinzu. Beispiel: Wenn Sie das Archiv MeineZertifikate.cab
genannt haben, ändern Sie die folgenden Einträge:
<param name=cabinets value="<%=jicaCabFiles%>">
zu
<param name=cabinets value="<%=jicaCabFiles%>MeineZertifikate.cab">
8. Kopieren Sie die Archivdatei auf das im Codebase-Attribut angegebene Verzeichnis, dessen Pfad Sie in Schritt 5 notiert haben. Der Standardpfad lautet:
C:\Inetpub\Wwwroot\Citrix\ICAWEB\en\icajava
9. Wenn Sie den Client nicht in Microsoft JVMs bereitstellen, verpacken Sie die
Zertifikate in einer JAR-Datei. Weitere Informationen finden Sie im Client für
Java-Administratorhandbuch.
10. Suchen Sie den Parameter archive. Fügen Sie den Namen des in Schritt 9
erstellten Archivs hinzu. Beispiel: Wenn Sie das Archiv MeineZertifikate.jar
genannt haben, ändern Sie die folgenden Einträge:
archive="<%=jicaPackages%>"
zu
archive="<%=jicaPackages%>MeineZertifikate.jar"
wobei MeineZertifikate.jar der Name der vorher erstellten JAR-Datei ist.
11. Kopieren Sie die Archivdatei auf das im Codebase-Attribut angegebene
Verzeichnis, dessen Pfad Sie in Schritt 5 notiert haben. Der Standardpfad lautet:
C:\Inetpub\Wwwroot\Citrix\ICAWEB\en\icajava
12. Speichern Sie die Datei appembed.inc.
13. Starten Sie auf dem Clientgerät den Webbrowser und stellen Sie eine Verbindung zum Webinterface-Server her. Alle eingebetteten Java-Clientsitzungen auf
gesicherten Servern funktionieren transparent mit SSL.
96
Konfigurieren von Installationsmeldungen
Sie können die entsprechenden Clients auf den Geräten der Benutzer bereitstellen
und installieren. Wenn Sie den lokalen oder den Client für Java bereitstellen,
erkennt das Webinterface das Clientgerät und den Webbrowser des Benutzers und
zeigt ggf. einen Link zum Download der entsprechenden Clientinstallationsdatei
an. Der Benutzer klickt auf diesen Link, um den Client auf seinem Clientgerät zu
installieren. Diese Links werden Installationsmeldungen genannt. Beispiel:
Die Abbildung zeigt ein Beispiel für eine Installationsmeldung, die evtl. auf der Seite
„Anmeldung“ des Benutzers angezeigt wird.
Hinweis: Für das Verwenden der webbasierten Clientinstallation müssen die
Installationsdateien auf dem Webserver gespeichert sein. Weitere Informationen zur
webbasierten Clientinstallation finden Sie unter „MetaFrame Presentation Server
Clients und das Webinterface“ auf Seite 123.
So konfigurieren Sie Installationsmeldungen für die webbasierte Clientinstallation:
2. Wählen Sie unter Meldung für Installation von Client anzeigen eine der folgenden Einstellungen:
•
Automatisch: Wenn unter Windows kein entsprechender Client installiert
ist, wird die Installationsmeldung angezeigt. Auf anderen Plattformen wird
die Installationsmeldung immer angezeigt. Dies ist die Standardeinstellung.
•
Ja: Die Installationsmeldung wird auf allen Plattformen angezeigt.
•
Nein: Die Installationsmeldung wird nie angezeigt.
Sie müssen die Datei WebInterface.conf bearbeiten, um die von Installationsmeldungen den Benutzern angebotenen Clients zu konfigurieren. Weitere Informationen finden Sie unter „Konfigurieren von webbasierten Clientinstallationen“ auf
Seite 125 und „Konfigurieren des Webinterface mit der Konfigurationsdatei“ auf
Seite 98.
97
Kompatibilität mit Webservern mit asiatischen Sprachen
Sie können das Webinterface konfigurieren, um ICA-Dateien in Unicode zu
erstellen, wodurch die Anzahl von nichteuropäischen Zeichen erhöht wird, die von
Clients erkannt werden. ICA-Dateien sind Textdateien, die Parameter und Anweisungen zum Starten von veröffentlichten Anwendungen enthalten. Dies funktioniert
nur mit MetaFrame Presentation Server Clients; frühere Versionen der Clients
unterstützen Unicode-ICA-Dateien nicht.
So aktivieren Sie Unicode-ICA-Dateien:
2. Deaktivieren Sie im Abschnitt Legacy-Unterstützung die Option
Unterstützung für Legacy-ICA-Clients aktivieren.
Benutzerseitiges Konfigurieren von WebinterfaceEinstellungen
Sie können auf der Seite Clientanpassung die Einstellungen festlegen, die Benutzer auf der Seite Einstellungen anpassen können.
Clientanpassung klicken.
98
Legen Sie fest, ob Benutzer die folgenden Einstellungen anpassen können:
•
Fenstergröße
•
Farbtiefe
•
Audioqualität
Benutzer können standardmäßig die Fenstergröße von Clientsitzungen anpassen.
Wenn Benutzer eine Einstellung nicht anpassen können, wird die Einstellung
nicht auf der Seite Einstellungen in der Benutzerdarstellung angezeigt, und
die für die veröffentlichte Anwendung in der Managementkonsole für MetaFrame
Presentation Server festgelegten Einstellungen werden verwendet.
So geben Sie die Einstellungen an, die Benutzer anpassen können:
1. Zeigen Sie die Seite Clientanpassung an.
2. Damit Benutzer die Fenstergröße anpassen können, aktivieren Sie
Fenstergröße.
3. Damit Benutzer die Farbtiefe anpassen können, aktivieren Sie Fensterfarben.
4. Damit Benutzer die Audioqualität anpassen können, aktivieren Sie
Audioqualität.
Konfigurieren des Webinterface mit der Konfigurationsdatei
Das Webinterface enthält die Konfigurationssdatei WebInterface.conf, in der Sie
einige Webinterface-Eigenschaften ändern können. Mithilfe dieser Datei können
Sie gängige Verwaltungsaufgaben ausführen und zahlreiche Einstellungen
anpassen. Sie können beispielsweise mit der Datei WebInterface.conf die Einstellungen festlegen, die Benutzer auf der Seite Einstellungen anpassen können,
oder die Benutzerauthentifizierung beim Webinterface konfigurieren.
Die Datei WebInterface.conf ist auf allen Plattformen im Softwareverzeichnis
gespeichert. Unter Windows lautet das Verzeichnis normalerweise
„C:\Inetpub\wwwroot\Citrix\MetaFrame\conf“, unter UNIX beispielsweise
„/usr/local/tomcat/webapps/Citrix/WEB-INF“.
Die Einstellungen in WebInterface.conf gelten global. Alle vom Webinterface
erstellten Webseiten berücksichtigen die Werte in der Datei. Änderungen der Datei
WebInterface.conf wirken sich daher auf alle vom Webinterface bereitgestellten
Webseiten aus. Sie können jedoch einige Werte in der Datei WebInterface.conf für
individuelle Seiten in den Webserverskripts überschreiben. Weitere Informationen
zu Webserverskripts finden Sie im Handbuch Customizing the Web Interface.
99
Wichtig: Änderungen an der Datei WebInterface.conf treten erst nach dem
Beenden und Neustart des Webinterface-Servers in Kraft. Bei dem Neustart des IISAdmin-Dienstes werden die abhängigen Dienste nicht automatisch neu gestartet,
sondern müssen manuell gestartet werden. Sie können auch in der Webinterface
Console auf der Übersichtsseite auf Änderungen übernehmen klicken.
Die folgende Tabelle führt die in der Datei WebInterface.conf ggf. enthaltenen
Parameter auf (in alphabetischer Reihenfolge). Ist ein Parameter nicht in der
Datei WebIntface.conf angegeben, wird der Standardwert verwendet. Die Spalte
Installiert gibt an, ob der Parameter nach einer Neuinstallation des Webinterface
vorhanden ist.
Sie können in der Datei WebInterface.conf Zeilen verbinden, indem Sie einen
umgekehrten Schrägstrich (\) einfügen oder mit dem Nummernzeichen (#) Zeilen
ausblenden (z. B. für Kommentare).
Parameter
Standardwert
Beschreibung
Installiert
AdditionalExplicit
Authentication
None
Definiert die explizite 2-Faktor-Authentifizierung, die zusätzlich zu
Secure Access Manager, Active Directory Services oder Novell
Directory Services ausgeführt werden muss. Gültige Werte sind
None, SecurID und SafeWord. Dieser Wert ersetzt die Einstellung
EnableSecurIDWithExplicitAuthentication.
Ja
Address
ResolutionType
ipv4-port
Gibt die zu verwendende Adresse für das Tag
NFuse_AppServerAddress in der Datei Template.ica an. Mögliche
Werte sind Ipv4, Ipv4-port, dns und dns-port. Citrix empfiehlt eine
Verwendung der Adressauflösung mit ipv4-port oder dns-port.
Hinweis: Die Werte dns und dns-port erfordern DNS-Adressauflösung, die nur in MetaFrame XP mit Feature Release 1 verfügbar ist.
Weitere Informationen zur DNS-Adressauflösung finden Sie im Citrix
MetaFrame-Administratorhandbuch für MetaFrame XP für Windows.
Ja
AllowCustomize
Audio
off
Gibt an, ob Benutzer die Farbtiefe für Clientsitzungen auf der Seite
Einstellungen ändern können. Weitere Informationen finden Sie
unter AllowCustomizeSettings. Mögliche Werte sind off und on.
Ja
AllowCustomize
Clients
off
Gibt an, ob Benutzer ändern können, welcher Client zum Starten der
Anwendung verwendet wird. Mögliche Werte sind off und on.
Ja
AllowCustomize
JavaClient
Packages
off
Gibt an, ob Benutzer bestimmen können, welche Client für JavaPakete aktiviert werden. Mögliche Werte sind off und on.
Ja
AllowCustomize
Logoff
on
Gibt an, ob Benutzer das Verhalten von Workspace Control ändern
können, wenn sich Benutzer vom Webinterface abmelden. Mögliche
Werte sind off und on.
Ja
100
Parameter
Standardwert
Beschreibung
Installiert
AllowCustomize
ReconnectAtLogin
on
können, wenn sich Benutzer am Webinterface anmelden. Mögliche
Werte sind off und on.
Ja
AllowCustomize
ReconnectButton
on
können, wenn die Schaltfläche Wiederverbinden verwendet wird.
Mögliche Werte sind off und on.
Ja
AllowCustomize
Settings
on
Gibt an, ob Benutzer auf die Seite Einstellungen zugreifen können.
Mögliche Werte sind off und on.
Benutzer können die Einstellung für die Parameter unter
AllowCustomize (z. B. AllowCustomizeWinSize) auf der Seite
Einstellungen ändern, wenn der Wert auf on eingestellt ist. Ist der
Wert auf off eingestellt, wird die Einstellung nicht auf der Seite
Einstellungen angezeigt. Als Standardwert für die veröffentlichte
Anwendung werden dann die in der Managementkonsole für
MetaFrame Presentation Server angegebenen Einstellungen verwendet.
Benutzerdefinierte Einstellungen werden als Cookies auf dem
Clientgerät gespeichert. Abhängig vom eingesetzten Betriebssystem
und Webbrowser sind diese Cookies benutzerspezifisch, oder alle
Benutzer haben dieselben Einstellungen. Angepasste Einstellungen,
die von anonymen Benutzern vorgenommen wurden, werden nicht
auf dem Clientgerät gespeichert.
Ja
AllowCustomize
WinColor
off
Gibt an, ob Benutzer die Farbtiefe für Clientsitzungen auf der Seite
Einstellungen ändern können. Mögliche Werte sind off und on.
Weitere Informationen finden Sie unter AllowCustomizeSettings.
Ja
AllowCustomize
WinSize
on
Gibt an, ob Benutzer die Fenstergröße für Clientsitzungen auf der
Seite Einstellungen ändern können. Mögliche Werte sind off und
on. Weitere Informationen finden Sie unter AllowCustomize
Settings.
Ja
101
Parameter
Standardwert
Beschreibung
Installiert
AllowUser
PasswordChange
never
Gibt an, ob Benutzer das Anmeldekennwort in einer WebinterfaceSitzung ändern können. Die folgenden Optionen stehen zur
Verfügung:
never: Benutzer können das Anmeldekennwort nicht im Webinterface ändern.
always: Benutzer können das Kennwort beliebig oft im Webinterface
ändern. Bei Aktivierung dieser Option wird das Symbol Kennwort
ändern auf den Benutzerseiten angezeigt. Wenn Benutzer auf das
Symbol klicken, wird die Seite Kennwort ändern angezeigt, und die
Benutzer können ein neues Kennwort eingeben.
expired-only: Benutzer können das Kennwort nur ändern, wenn die
Gültigkeitsdauer des Kennworts abgelaufen ist. Wenn die Anmeldung am Webinterface aufgrund eines abgelaufenen Kennworts
fehlgeschlagen ist, wird dem Benutzer das Dialogfeld zum Ändern
des Kennworts angezeigt. Nach dem Ändern des Kennworts wird
der Benutzer automatisch mit dem neuen Kennwort beim Webinterface angemeldet.
Ja
AlternateAddress
off
Gibt an, ob die Adresse des angegebenen Servers in den Dateien,
die zum Starten von Clientsitzungen an Clientgeräte gesendet
werden, durch die alternative Adresse ersetzt wird. Die folgenden
Optionen stehen zur Verfügung:
on: Die externe Adresse der Server ist in den vom Webinterface
erstellten ICA-Dateien enthalten.
off: Die alternative Adresse wird nicht übersetzt.
mapped: Die Adresse hängt von den Zuordnungen ab, die im
Parameter ClientAddressMap festgelegt sind.
Die externe Adresse der Server wird mit dem Befehl ALTADDR konfiguriert. Weitere Informationen finden Sie in der Beschreibung des
Befehls ALTADDR in Anhang A des MetaFrame Presentation
Server-Administratorhandbuchs oder in der Beschreibung des
Befehls ctxalt im Citrix MetaFrame Presentation Server für UNIXAdministratorhandbuch.
Ja
102
Parameter
Standardwert
Beschreibung
Installiert
Authentication
Methods
Explicit
Gibt die Benutzerauthentifizierungsmethoden beim Webinterface an.
Die Authentifizierung beim Webinterface erfolgt beim erstmaligen
Anmelden über die Seite Anmeldung oder mit einer anderen
Authentifizierungsmethode. Die folgenden Optionen stehen zur Verfügung:
Anonymous: Benutzer können sich beim Webinterface mit der
auf der Benutzeranmeldeseite angezeigten Option Anonymer
Benutzer anmelden. Anonyme Benutzer müssen keinen Benutzernamen und kein Kennwort eingeben und können auf die Anwendungen zugreifen, die der Administrator für anonyme Benutzer
veröffentlicht hat.
Certificate: Benutzer können beim Webinterface mit einer Smartcard authentifiziert werden, die in einen an das Clientgerät angeschlossenen Smartcardleser eingeführt wird. Mit Smartcards
müssen sich Benutzer nicht mehrere Anmeldemethoden, BenutzerIDs und Kennwörter merken. Diese Funktion steht nur unter
Windows/IIS zur Verfügung. Benutzer müssen Internet Explorer, ab
Version 5.5, unter Windows 2000 mit Service Pack 3 oder höher
ausführen.
Ja
CertificateSingleSignOn: Benutzer können mit Single Sign-On
authentifiziert werden.
Single Sign-On: Die Funktion Single Sign-On wird aktiviert. Mit
dieser Funktion können Benutzer auch beim Webinterface mit den
Anmeldeinformationen authentifiziert werden, die bei der Anmeldung
am Windows-Desktop eingegeben wurden. Benutzer müssen diese
Angaben nicht erneut auf der Webinterface-Seite Anmeldung eingeben. Die Anwendungsgruppe der Benutzer wird automatisch
angezeigt. Für diese Funktion muss das Webinterface auf IIS ausgeführt werden, und Benutzer müssen Internet Explorer (ab Version
5.5) unter Windows 2000 mit Service Pack 4 ausführen.
Explicit: Benutzer benötigen ein Benutzerkonto und müssen einen
Benutzernamen und ein Kennwort für die Anmeldung am Webinterface eingeben.
Wenn Sie mehrere Authentifizierungsmethoden angeben möchten,
verwenden Sie Kommas als Trennzeichen in der Liste. Beispiel:
Explicit,Anonymous.
AutoDeployWeb
Client
off
Gibt an, ob automatisch ein Client für Benutzer bereitgestellt wird,
die keinen Client installiert oder nicht die aktuellste Clientversion
haben. Die folgenden Optionen stehen zur Verfügung:
off: Es wird kein Client installiert.
on: Es wird versucht, einen Client zu installieren.
Stellen Sie sicher, dass MetaFrame Presentation Server Clients im
Ordner wwwroot\Citrix\ICAWEB gespeichert sind.
Ja
103
Parameter
Standardwert
Beschreibung
Installiert
BypassFailedServer
Duration
60
Gibt die Zeit an, nach der ein ausgefallener Secure Ticket AuthorityServer wieder verwendet wird. Geben Sie die Dauer für einen ausgefallenen Server mit der Einstellung BypassFarm im Sitzungsfeld
NFuse_Farm an.
Ja
Konfiguriert das Webinterface für die Übergabe der entsprechenden
IP-Adresse, abhängig von der Clientadresse. Beispiel: Wenn die
Netzwerkadressübersetzung auf dem Firewall aktiviert ist, können
Sie festlegen, dass Clients außerhalb des Firewalls eine alternative
Adresse übergeben wird. Außerdem müssen Sie den Parameter
AlternateAddress festlegen, um die Clientadresszuordnung zu
aktivieren.
ClientAddressMap besteht aus Folgendem:
<Clientadresse>,<Adresstyp>,... wobei Folgendes gilt:
Clientadresse ist die IP-Adresse oder Subnetzadresse und -maske
des Clients. Als Platzhalter verwendete Sternchen (z. B.
10.*.128.12.) werden nicht unterstützt. Sie können jedoch ein einzelnes Sternchen verwenden, um den Standardwert für nicht angegebene Clients zu kennzeichnen.
Die folgenden Optionen sind für Addresstyp möglich:
Normal: Die eigentliche Adresse des Servers.
Alternate: Die alternative Adresse wird angegeben. Der Server
muss mit einer alternativen Adresse und der Firewall muss für die
Netzwerkadressübersetzung konfiguriert sein.
Translated: Mit dem Feld ServerAddressMap wird die entsprechende IP-Adresse ermittelt.
SG: Eingehende Verbindungen werden mit Secure Gateway
gesichert.
SGAlternate: Die alternative Adresse wird mit Secure Gateway
verwendet.
SGTranslated: Die übersetzte Adresse wird mit Secure Gateway
verwendet.
Nein
ClientAddressMap
104
Parameter
Standardwert
ClientProxy
DefaultClient
on
Beschreibung
Installiert
Gibt eine Liste von Client-Subnetzadressen, -masken und den entsprechenden Proxyeinstellungen an. Die Clientadresse in der ausgegebenen Datei wird durch diese Einstellungen bestimmt. Als
Platzhalter verwendete Sternchen (z. B. 10.*.128.12.) werden nicht
unterstützt. Sie können jedoch ein einzelnes Sternchen verwenden,
um den Standardwert für nicht angegebene Clients zu kennzeichnen.
ClientProxy besteht aus Folgendem:
<Clientadresse>,<Proxytyp>, <Proxyadresse>, ... wobei Folgendes
gilt:
Clientadresse ist die Subnetzadresse und -maske des Clients.
Die folgenden Optionen sind für Proxytyp möglich:
Auto: Der Client erkennt automatisch den Proxy mithilfe der Webbrowsereinstellungen des Clients.
Client: Der Client verwendet die Standardproxyeinstellungen.
None: Kein Proxy wird verwendet.
SOCKS: Der im Feld Proxyadresse angegebene SOCKS-Proxyserver wird verwendet.
Secure: Der im Feld Proxyadresse angegebene HTTPS-Proxyserver wird verwendet.
Proxyadresse ist der Hostname oder die IP-Adresse des Proxyservers, mit optional nachgestelltem „:“ und der Portnummer, z. B.
Server oder Server:8080.
Dieses Feld ist schreibgeschützt, wenn Proxytyp auf SOCKS oder
Secure eingestellt ist. Das Feld muss jedoch einen Wert enthalten.
Der Standardwert für diesen Zweck ist das Minuszeichen (-).
Nein
Gibt an, ob in der Installationsmeldung alle für den Download verfügbaren MetaFrame Presentation Server Clients angezeigt werden,
wenn das Webinterface nicht das Clientgerät und den Webbrowser
des Benutzers erkennen kann. Diese Einstellung wird nur verwendet, wenn ShowClientInstallCaption auf on oder auto eingestellt
ist. Die folgenden Optionen stehen zur Verfügung:
on: Nur der Standardclient wird in der Installationsmeldung angezeigt.
off: Alle zum Download verfügbaren Clients werden in der Installationsmeldung angezeigt.
Beispiel: Windows: Wenn DefaultClient auf on eingestellt ist, wird
der Program Neighborhood-Client angeboten (ica32.exe). Wenn
DefaultClient auf off eingestellt ist, werden alle folgenden ICAClients angeboten: der Client für Win32 und der Program
Neighborhood-Client.
Nein
105
Parameter
Standardwert
Beschreibung
Installiert
DisablePNAgent
LocalConfigCheck
off
Diese Einstellung gilt nur für Program Neighborhood-Agent. Die Einstellung off schränkt den Typ der XML-Anfragen ein, die der
Program Neigborhood-Agent an das Webinterface senden kann.
Dies verhindert die unbefugte Verwendung der Benutzeroberfläche.
off: Diese Option aktiviert diese Prüfung.
on: Diese Option deaktiviert diese Prüfung. Citrix empfiehlt die
Verwendung dieser Option nur, wenn Sicherheit kein Problem darstellt und die minimale Leistungseinbuße dieser Prüfung nicht
akzeptabel ist.
Nein
DisablePNAgent
StrictLaunchCheck
off
Diese Einstellung gilt nur für Program Neighborhood-Agent. Bei der
Einstellung off führt das Webinterface zusätzliche Berechtigungsprüfungen durch, wenn eine Anwendung von Program NeigborhoodAgent gestartet wird.
off: Diese Option aktiviert diese Prüfung. Citrix empfiehlt die Verwendung dieser Einstellung.
on: Diese Option deaktiviert diese Prüfung.
Nein
DisableStrict
LaunchCheck
off
Diese Einstellung gilt für Anwendungsstarts ohne Program
Neigborhood-Agent. Bei der Einstellung off führt das Webinterface
zusätzliche Berechtigungsprüfungen durch, wenn eine Anwendung
gestartet wird.
off: Diese Option aktiviert diese Prüfung. Citrix empfiehlt die Verwendung dieser Einstellung.
on: Diese Option deaktiviert diese Prüfung.
Nein
EnableLegacyICA
ClientSupport
on
Gibt an, ob ältere MetaFrame Presentation Server Clients, die UTF-8
ICA-Dateien nicht lesen können, unterstützt werden. Ist der Wert off
gewählt, erstellt das Webinterface ICA-Dateien in der UTF-8Codierung.
Ja
EnableLogoff
Applications
on
Gibt an, ob Workspace Control aktive Anmeldungen abmeldet, wenn
sich Benutzer vom Webinterface abmelden.
Ja
EnableServer
LoadBalancing
on
Ist diese Option aktiviert, ist Load Balancing für mehrere Server in
einer vorbestimmten Reihenfolge möglich. Geben Sie den Wert no
an, um diese Funktion zu deaktivieren.
Ja
EnableSTALoad
Balancing
on
Aktivieren von Load Balancing zwischen Secure Ticket AuthorityServern. Wenn Sie Load Balancing aktivieren, werden die Verbindungen gleichmäßig auf die Server verteilt, so dass kein Server
überlastet wird. Wenn ein Kommunikationsproblem mit einem Server
auftritt, wird die Kommunikationslast zwischen den restlichen
Servern in der Liste ausgeglichen. Deaktivieren Sie mit der Option
off den Lastenausgleich zwischen Secure Ticket Authority-Servern.
Ja
106
Parameter
Standardwert
Beschreibung
Installiert
EnableWorkspace
Control
on
Gibt an, ob Workspace Control für Webinterface-Benutzer
verfügbar ist.
Ja
HideDomainField
off
Bestimmt, ob das Feld Domäne auf der Seite Anmeldung angezeigt
wird. Es wird der Wert off angenommen, falls LoginDomains nicht
vorhanden oder leer ist. Mögliche Werte sind on oder off.
HpUxUnixClient
default
Gibt Meldungen und Links für HP-UX-Clientplattformen an. Weitere
Informationen zum Festlegen von benutzerdefinierten Links finden
Sie in der Beschreibung von Win32Client.
Ja
IbmAixClient
default
Gibt Meldungen und Links für IBM-AIX-Clientplattformen an. Weitere
Ja
ICAWebClient
wficat.cab
Der Dateiname des Webclients, der zum nativen eingebetteten
Starten und automatischen Bereitstellen des Webclients verwendet
wird. Weitere Informationen zu Webclients und deren Einschränkungen finden Sie unter „Automatisches Bereitstellen von Clients“
auf Seite 88.
Ja
ICAWebClient
Version
Neueste Clientversion
Gibt die Version des Webclients an.
Ja
ICAWebClient
ClassID
238f6f83-b8b411cf-877100a024541ee3
Gibt die Klassen-ID des Clients für ActiveX an.
Ja
IgnoreClient
Provided
ClientAddress
off
Gibt an, ob die vom Client bereitgestellte Clientadresse (falls
gesetzt) ignoriert wird. Mögliche Werte sind off und on.
Ja
InternalServer
AddressMap
Normale
Adresse =
Übersetzte
Adresse, …
Eine Liste mit Paaren, die je eine normale und eine übersetzte
Adresse enthalten. Die normale Adresse bestimmt die
Secure Gateway-Serveradresse und die übersetzte Adresse, die an
den MetaFrame Presentation Server Client ausgegeben wird.
Ja
JavaClient
default
Gibt Downloadmeldung und Links für die zugeordnete Plattform an.
Ja
Parameter
Standardwert
Beschreibung
JavaClient
Packages
PrinterMapping, SSL
Gibt die in der Bereitstellung des Clients für Java enthaltenen Pakete
an. Beispiel: Wenn Sie die Größe der Bereitstellung des Clients für
Java für Benutzer mit Verbindungen mit geringer Bandbreite verringern möchten, können Sie das Webinterface so konfigurieren, dass
nur ein Minimum der Komponenten bereitgestellt wird. Wenn Sie
mehrere Pakete angeben möchten, verwenden Sie Kommas als
Trennzeichen in der Liste. Beispiel: Audio,ClientDriveMapping,
Clipboard. Die folgenden Pakete stehen zur Verfügung:
Audio: Auf dem Server ausgeführte Anwendungen können Audiodateien auf einem auf dem Clientgerät installierten Audiogerät
wiedergeben.
ClientDriveMapping: Benutzer können in einer Clientsitzung auf die
lokalen Laufwerke zugreifen. Zum Aktivieren dieser Einstellung
muss im Dialogfeld Einstellungen für Client für Java die Clientlaufwerkszuordnung konfiguriert sein.
Clipboard: Benutzer können Text und Grafiken zwischen serverbasierten Anwendungen und lokal auf dem Clientgerät ausgeführten
Anwendungen kopieren.
PrinterMapping: Benutzer können auf den lokalen oder Netzwerkdruckern in einer Clientsitzung drucken.
SecureICA: Hohe Verschlüsselung für eine bessere Sicherung von
Clientverbindungen.
Thinwire1: Benutzer können Verbindungen zu MetaFrame für
Windows-Servern vor MetaFrame XP (z. B. MetaFrame 1.8 und
MetaFrame 1.0) und vor Feature Release 1 für MetaFrame für
UNIX-Betriebssysteme herstellen.
ZeroLatency: Die Anzeige der Texteingabe auf dem Clientgerät wird
beschleunigt.
SSL: Die Kommunikation wird mit SSL (Secure Sockets Layer) und
TLS (Transport Layer Security) gesichert.
Weitere Informationen zu diesen Funktionen finden Sie im Client für
Java-Administratorhandbuch.
LaunchClients
Ica-Local,
Ica-Java,
Ica-Embedded
Legt fest, welche Clients der Benutzer auswählen kann. Dieser
Parameter wird zusammen mit AllowCustomizeClients verwendet.
Mögliche Werte sind: Ica-Local, Ica-Java, Ica-Embedded und
Rdp-Embedded.
Ja
LaunchMethod
Ica-Local
Gibt den bevorzugten Client zum Starten von Anwendungen an.
Mögliche Werte sind: Ica-Local, Ica-Java, Ica-Embedded und
Rdp-Embedded.
Ja
LinuxClient
default
Gibt Meldungen und Links für Linux-Clientplattformen an. Weitere
Ja
107
Installiert
108
Parameter
Standardwert
Beschreibung
Installiert
LoginDomains
Nicht zutreffend
Gibt die Domänennamen zu Anzeige- bzw. Einschränkungszwecken
an. Der Wert ist eine Liste von NetBIOS-Domänennamen.
LoginType
default
Gibt die domänenbasierte Authentifizierung von Microsoft, NDSAuthentifizierung oder UNIX-basierte Authentifizierung an. Die
folgenden Optionen stehen zur Verfügung:
default: Verwendung der domänenbasierten Authentifizierung von
Microsoft oder der UNIX-basierten Authentifizierung.
nds: Verwendung der NDS-Authentifizierung. Für NDS-Authentifizierung müssen Sie mit dem Parameter NDSTreeName eine NDSStruktur angeben. NDS-Authentifizierung wird nur auf Windows IIS
unterstützt, da die Kontextsuche von nativen Win32 Novell NetWareClient-DLLs ausgeführt werden muss.
Diese Einstellung wirkt sich nicht auf die Authentifizierungsmethode
aus, die für die Program Neighborhood-Agent-Clients verwendet
wird. Sie müssen die Authentifizierungsmethode für die Program
Neigborhood-Agent-Clients mit der Konsole oder in der Datei Config.xml ändern. Weitere Informationen zur Bearbeitung der Datei
Config.xml finden Sie im Client für 32-Bit-Windows-Administratorhandbuch.
Ja
MacClient
default
Gibt Meldungen und Links für den ICA-Client für Macintosh-Plattformen an. Weitere Informationen zum Festlegen von benutzerdefinierten Links finden Sie in der Beschreibung von Win32Client.
Ja
NDSTreeName
Nicht zutreffend
Gibt die NDS-Struktur an, die zur Authentifizierung von Benutzern
mit der NDS-Authentifizierung verwendet wird. Der Parameter ist
standardmäßig durch ein Nummernzeichen (#) am Zeilenanfang als
Kommentar gekennzeichnet.
Nein
OtherClient
default
Gibt Meldungen und Links für nicht erkannte Clientplattformen an.
Standardmäßig wird eine Meldung angezeigt, die den Benutzer
informiert, dass die Clientplattform nicht unterstützt wird. Weitere
Ja
OverrideClient
InstallCaption
Nicht zutreffend
Gibt eine benutzerspezifische Meldung an, die zusammen mit den
Download-Links für die MetaFrame Presentation Server Clients
angezeigt wird. Der Parameter ist standardmäßig durch ein Nummernzeichen (#) am Zeilenanfang als Kommentar gekennzeichnet
und die Standardmeldungen werden verwendet. Die Standardmeldung ist clientplattformspezifisch. Beispiel:
„Der Citrix Client (ActiveX) für 32-Bit-Windows ist nicht auf dem
System installiert. Um die Anwendungen starten zu können,
müssen Sie den ICA-Client installieren.
Wählen Sie das Symbol weiter unten, um den Client zu
installieren.
Nein
109
Parameter
Standardwert
Beschreibung
Installiert
PNAgentMax
RequestBytes
8360
Eine Zahl, in Bytes, die die maximale Größe der XML-Anfrage für die
Anwendungsaufzählung von Program Neigborhood angibt.
Nein
PooledSockets
off
Gibt die Verwendung von Socket-Pooling an. Bei Aktivierung von
Socket-Pooling verwaltet das Webinterface einen Socket-Pool
anstatt Sockets jedes Mal neu zu erstellen. Beim Trennen der Verbindung gibt das Webinterface die Sockets an das Betriebssystem
zurück. Das Aktivieren von Socket-Pooling steigert die Leistung.
Socket-Pooling sollte nicht verwendet werden, wenn das Webinterface so konfiguriert ist, dass MetaFrame für UNIX-Server verwendet
werden. Die folgenden Optionen stehen zur Verfügung:
on: Aktivieren von Socket-Pooling für eine gesteigerte Leistung.
off: Deaktivieren von Socket-Pooling.
Nein
RDPWebClient
msrdp.cab
Dateiname des Clients zum eingebetteten Starten und automatischen Bereitstellen von Remotedesktopverbindungen.
Ja
RDPWebClient
Version
5,2,3790,0
Versionsnummer der Software für Remotedesktopverbindungen, die
im Lieferumfang von Windows Server 2003 enthalten ist.
Ja
RDPWebClient
ClassID
7584c6702274-4efbb00bd6aaba6d3850
Klassen-ID der Remotedesktopverbindungs-ActiveX-Software, die
im Lieferumfang von Windows Server 2003 enthalten ist.
Ja
ReconnectAt
Login
Disconnected
And
Active
Gibt an, ob Workspace Control beim Anmelden erneut eine Verbindung zu Anwendungen herstellen soll, und falls ja, ob die Verbindung zu getrennten und aktiven oder nur zu getrennten
Anwendungen wiederhergestellt werden soll. Mögliche Werte sind:
DisconnectedAndActive, Disconnected und None.
Ja
ReconnectButton
Disconnected
And
Active
Gibt an, ob Workspace Control beim Anmelden erneut eine Verbindung zu Anwendungen herstellen soll, wenn der WebinterfaceBenutzer auf die Schaltfläche Wiederverbinden klickt, und falls ja,
ob die Verbindung zu getrennten und aktiven oder nur zu getrennten
Anwendungen wiederhergestellt werden soll. Mögliche Werte sind:
DisconnectedAndActive, Disconnected und None.
Ja
110
Parameter
Standardwert
Beschreibung
Installiert
RequestICAClient
SecureChannel
Detect-Any
Ciphers
Gibt Einstellungen für SSL (Secure Sockets Layer), TLS (Transport
Layer Security) und Verschlüsselungssammlungen an, wenn ClientDatenübertragungen mit Citrix SSL-Relay oder Secure Gateway
gesichert werden. Einige MetaFrame Presentation Server Clients
unterstützen für das Sichern der Datenübertragungen zu Servern
sowohl TLS als auch SSL. Mit dieser Einstellung verwenden die
Clients TLS vorrangig vor SSL. Hinweis: Das Webinterface erzwingt
keine Verwendung von TLS. Die folgenden Optionen stehen zur
Verfügung:
Detect-AnyCiphers: Clients können TLS und SSL mit einer beliebigen Verschlüsselungssammlung verwenden.
TLS-GovCiphers: Clients verwenden TLS mit RegierungsVerschlüsselungssammlungen.
SSL-AnyCiphers: Clients verwenden SSL mit jeder Verschlüsselungssammlung.
Ja
RestrictDomains
On
Bestimmt, ob LoginDomains als Einschränkungs- oder Anzeigeliste
behandelt wird. Dieser Wert wird ignoriert, falls LoginDomains nicht
vorhanden oder leer ist.
Nein
RetryCount
5
Gibt an, wie oft eine fehlgeschlagene Anforderung des MetaFrame
XML-Dienstes wiederholt wird, bevor angenommen wird, dass der
Dienst nicht erreichbar ist.
Nein
ScoUnixClient
default
Gibt Meldungen und Links für SCO UNIX-Clientplattformen an.
Weitere Informationen zum Festlegen von benutzerdefinierten Links
finden Sie in der Beschreibung von Win32Client.
Ja
SearchContext
List
Nicht zutreffend
Konfiguriert die Kontextsuche für die NDS-Authentifizierung. Wenn
Sie als Wert eine kommagetrennte Liste der Kontextnamen angeben, wird die Kontextsuche für Benutzer nur in dieser Liste der Kontexte ausgeführt. Wenn Sie diesen Parameter nicht angeben, wird
die Kontextsuche für Benutzer in allen Kontexten in der NDSStruktur ausgeführt. Der Parameter ist standardmäßig durch ein
Nummernzeichen (#) am Zeilenanfang als Kommentar gekennzeichnet.
Nein
Parameter
Standardwert
ServerAddress
Map
SessionField
Locations
SessionField.NFuse
_AppCommandLine
PNAgent,
Script,
Template,
Properties,
URL, Post,
Cookie
111
Beschreibung
Installiert
Konfiguriert das Webinterface für die Übergabe der entsprechenden
IP-Adresse, abhängig von den angegebenen Zuordnungen.
Damit Sie diese Option verwenden können, müssen Sie in
ClientAddressMap einen oder mehrere Clients mit der Option
Translated konfigurieren.
ServerAddressMap besteht aus Folgendem: <Normale
Adresse>,<ÜbersetzteAdresse>, wobei Folgendes gilt:
NormaleAdresse ist die eigentliche Adresse des Servers. Dies kann
eine IP-Adresse oder ein vollqualifizierter Domänenname mit oder
ohne Portnummer sein. Der Parameter AddressResolutionType
legt fest, ob die normale Serveradresse ein vollqualifizierter Domänenname oder eine IP-Adresse sein muss. Wenn der Wert
AddressResolutionType auf DNS-port oder DNS gesetzt ist,
müssen alle normalen Adressen vollqualifizierte Domänennamen
sein. Wenn AddressResolutionType auf IPv4-port oder IPv4
gesetzt ist, müssen alle normalen Adressen IP-Adressen sein. Wenn
Sie keine Portnummer angeben, wird standardmäßig Port 1494 verwendet.
ÜbersetzteAdresse ist die übersetzte (externe) IP-Adresse, die
Clients für eine Verbindung zum Server verwenden müssen. Dies
kann eine IP-Adresse oder ein vollqualifizierter Domänenname mit
oder ohne Portnummer sein. Wenn Sie keine Portnummer angeben,
wird standardmäßig Port 1494 verwendet.
Nein
Gibt an, wo die Sitzungsfelder gesetzt werden können. Wenn ein
Feld in mehreren Verzeichnissen gesetzt ist, hat der Speicherplatz
Vorrang, der zuerst in der Liste aufgeführt ist.
PNAgent: Sitzungsfeld, das in den Skriptdateien von Program
Neighborhood-Agent oder in der Datei Template.ica angegeben
wird.
Script: Sitzungsfeld, das in einer Webseite mit der Methode
setSessionField() von einem TemplateParser angegeben wird.
Template: Sitzungsfeld, das über das Sitzungsfeld
[NFuse_SetSessionField] in der Vorlagendatei angegeben wird.
Properties: Sitzungsfeld, das in der Datei WebInterface.conf festgelegt ist.
URL: Sitzungsfeld, das mit der Methode Get in einem HTMLFormular angegeben wird.
Post: Sitzungsfeld, das mit der Methode Post in einem HTMLFormular angegeben wird.
Cookie: Sitzungsfeld, das in einem Cookie angegeben wird.
Ja
Dieses Tag wird durch Befehlszeilenparameter ersetzt, wenn Inhalte
(z. B. der Pfad zur Datei, die den Inhalt enthält) gestartet werden.
Nein
112
Parameter
Standardwert
Beschreibung
Installiert
Der Anzeigename oder externe Name von Anwendungen. Beispielsweise können diese Namen in einer Anwendungsliste angezeigt
werden.
Nein
Gibt ein Exemplar einer veröffentlichten Anwendung an.
Nein
SessionField.NFuse
_AppName und
NFuse_AppName
UrlEncoded
Der interne Name der Anwendung. Auch Anwendungsname oder
Anwendungs-ID genannt. Interne Namen sind eindeutig und werden
in ICA-Dateien genutzt, um anzugeben, welche Anwendung gestartet werden soll.
Nein
SessionField.NFuse_
AppServerAddress
Die Adresse des Servers, auf dem die veröffentlichte Anwendung
gehostet wird. Das Format der Adresse wird vom Parameter
AddressResolutionType angegeben.
Nein
Der Wert für address:port, der mit dem Citrix Gateway Protocol
(CGP) verwendet werden soll.
Nein
Dieses Tag wird durch DisableCtrlAltDel=Off oder nichts ersetzt,
abhängig vom verwendeten Authentifizierungstyp. Diese Zeichenfolge verhindert das Umgehen der ersten Seite Anmeldung des
Servers.
Nein
Der vom Webinterface erzeugte Clientname. Der Clientname ist
WI_Zahl, wobei Zahl aus 15 zufälligen ASCII-Zeichen besteht.
Dieser Name wird in der Managementkonsole für MetaFrame
Presentation Server angezeigt.
Nein
SessionField.NFuse
_AppFriendlyName
und
NFuse_AppFriendly
NameUrlEncoded
SessionField.NFuse
_Application
SessionField.NFuse
_CGPAddress
Anwendungsname
Address:port
SessionField.NFuse
_ClientLogon
SessionField.NFuse
_ClientName
WI_Zahl
Entfällt.
SessionField.NFuse
_CSG_Address
Translation
SessionField.NFuse
_CSG_Server
Nicht zutreffend
Mit diesem Feld konfigurieren Sie Secure Gateway-Unterstützung.
Dieser Wert gibt den vollqualifizierten Domänennamen (FQDN) des
Secure Gateway-Servers an, den die MetaFrame Presentation
Server Clients verwenden müssen. Dieser Name muss mit dem
Namen des Servers auf dem Zertifikat übereinstimmen.
Nein
SessionField.NFuse
_CSG_ServerPort
Nicht zutreffend
Dieser Wert gibt die Portnummer auf dem Gateway-Server an, den
MetaFrame Presentation Server Clients verwenden müssen.
Nein
SessionField.NFuse
_CSG_STA_URLn
Nicht zutreffend
Dieser Wert gibt die Adresse von maximal
256 Secure Ticket Authorities an, die das Webinterface verwenden
kann, wobei n eine Zahl von 1 bis 256 ist. Am Anfang jeder URL
muss http:// stehen. Beispiel: http://servername/scripts/CtxSTA.dll.
Nein
Parameter
Standardwert
113
Beschreibung
Installiert
SessionField.NFuse
_DNSAddress
Gibt die DNS-Adresse des aufgelösten Servers mit ausgeglichener
Last der Anwendung an.
Nein
SessionField.NFuse
_DNSAddress_Port
Gibt den Wert für DNS-Adresse:Port des aufgelösten Servers mit
ausgeglichener Last der Anwendung an.
Nein
SessionField.NFuse
_DNSAddress
Alternate
Gibt die alternative DNS-Adresse des aufgelösten Servers mit ausgeglichener Last der Anwendung an.
Nein
SessionField.NFuse
_DNSAddress
Alternate_Port
Gibt den alternativen Wert für DNS-Adresse:Port des aufgelösten
Servers mit ausgeglichener Last der Anwendung an.
Nein
SessionField.NFuse
_Domain und
NFuse_DomainUrl
Encoded
Gibt die Anmeldedomäne des Benutzers an.
Nein
SessionField.NFuse
_DomainType
Gibt den Typ der Anmeldedomäne des Benutzers an. Mögliche
Werte sind: NT, NDS und UNIX.
Nein
SessionField.NFuse
_EncryptionLevel
Gibt eine Zeichenfolge an, die den Verschlüsselungsgrad darstellt,
der für die referenzierte Anwendung verwendet werden soll. Mögliche Werte sind: basic, rc5-login, rc5-40, rc5-56, rc5-128
und SSL.
Nein
114
Parameter
Standardwert
SessionField.NFuse
_Farmn
Beschreibung
Installiert
Dieser Wert gibt die Serverinformationen für maximal
512 Serverfarmen an, wobei n die Nummer jeder Serverfarm ist.
Dieser Parameter verwendet die folgenden Werte:
SessionField.NFuse_Farmn=XML Service [ ,XMLService …]
[,Name:<Name>] [,XMLPort:Port] [,Transport:<Transport>]
[,SSLRelayPort:<Port>] [,BypassDuration: <Dauer>]
[,LoadBalance:<on|off>]
Mögliche Werte sind:
XML Service: Der XML-Dienst ist die Kommunikationsverbindung
zwischen der Serverfarm und dem Webserver. Der Standardwert ist
der Servername, der während der Webinterface-Installation eingegeben wurde. Der Servername kann ein Windows NT-Servername,
eine IP-Adresse oder ein DNS-Name sein. Wenn Sie mehrere
Server angeben, verwenden Sie Kommas als Trennzeichen in der
Liste. Beispiel: Server1,Server2, Server3.
Name: Der eindeutige Name der Serverfarm.
XMLPort: Der TCP/IP-Port, den der Citrix XML-Dienst auf den angegebenen Servern verwendet. Standardmäßig ist die Portnummer
eingestellt, die bei der Installation der Webservererweiterung eingegeben wurde. Diese Portnummer muss der vom Citrix XML-Dienst
verwendeten Portnummer entsprechen. Für alle Server in der Farm
muss der Citrix XML-Dienst für diesen Port konfiguriert sein.
Transport: Das Protokoll, mit dem Webinterface-Daten zwischen
dem Webserver und dem Server übertragen werden. Gültige Werte
sind HTTP, HTTPS und SSL. Der Standardwert ist HTTP.
SSLRelayPort: Verwenden Sie diese Option, um Daten über eine
sichere Verbindung zu senden, die einen Server verwendet, auf dem
zwecks Hostauthentifizierung und Datenverschlüsselung Citrix SSLRelay ausgeführt wird. Der Standardwert ist 443.
BypassDuration: Wenn eine Kommunikationsunterbrechung mit
einem Server auftritt, wird der ausgefallene Server für die angegebene Dauer vom Webinterface umgangen. Die Kommunikation wird
mit den restlichen in der Liste aufgeführten Servern fortgesetzt. Der
Standardwert ist 60.
LoadBalance: Diese Option aktiviert Load Balancing zwischen Servern, auf denen der Citrix XML-Dienst ausgeführt wird. Wenn Sie
Load Balancing aktivieren, werden die Verbindungen gleichmäßig
auf die Server verteilt, so dass kein Server überlastet wird. Der Standardwert ist on.
Ja
SessionField.NFuse
_HostId
Nicht zutreffend
Dies ist die Host-ID, die vom XML-Dienst in der Response
ReconnectSessionData-Meldung ausgegeben wird.
Nein
SessionField.NFuse
_HostIdType
Nicht zutreffend
Dies ist der Typ der Host-ID, die vom XML-Dienst in der ResponseReconnectSessionData-Meldung ausgegeben wird.
Nein
Parameter
Standardwert
115
Beschreibung
Installiert
SessionField.NFuse
_IcaAudio
Gibt die Audioinformationen der Clientsitzung zum Einfügen in ICADateien an.
Nein
SessionField.NFuse
_IcaAudioType
Gibt die Audioqualität des MetaFrame Presentation Server Clients
für die referenzierte Anwendung an. Mögliche Werte sind:
audiodefault, audiooff, audiolow, audiomedium und audiohigh.
Nein
SessionField.NFuse
_IcaEncryption
Gibt die Verschlüsselungsinformationen der Clientsitzung zum Einfügen in ICA-Dateien an.
Nein
SessionField.NFuse
_IcaWindow
Gibt die Fensterinformationen der Clientsitzung zum Einfügen in
ICA-Dateien an.
Nein
SessionField.NFuse
_IfSessionField und
NFuse_IfSession
Field
Der Text zwischen diesen Tags wird nur verarbeitet und weitergeleitet, wenn das angegebene Sitzungsfeld derzeit auf den angegebenen Wert eingestellt ist. Beispiel:
<[NFuse_IfSessionField sessionField=X value=Y]>
Zu verarbeitender Code
<[/NFuse_IfSessionField]>
Nein
SessionField.NFuse
_IPv4Address
Gibt die IP-Adresse des Servers an, auf dem die veröffentlichte
Anwendung gehostet wird.
Nein
SessionField.NFuse
_IPv4Address_Port
Gibt die IP-Adresse und den Port des Servers an, auf dem die veröffentlichte Anwendung gehostet wird.
Nein
SessionField.NFuse
_IPv4Address
Alternate
Gibt die alternative IP-Adresse des Servers an, auf dem die veröffentlichte Anwendung gehostet wird.
Nein
SessionField.NFuse
_IPv4Address
Alternate_Port
Gibt die alternative IP-Adresse und den Port des Servers an, auf
dem die veröffentlichte Anwendung gehostet wird.
Nein
SessionField.NFuse
_LanguageCode
Der Sprachencode besteht aus zwei Buchstaben. Mögliche Werte
sind: en, ja, de, fr, oder es.
Nein
SessionField.NFuse
_LogonMode
Gibt an, welcher Authentifizierungstyp bei der Anmeldung verwendet
wird. Mögliche Werte sind: Anonymous, Explicit, Certificate,
SingleSignOn und CertificateSingleSignOn.
Nein
SessionField.NFuse
_Password und
NFuse_Password
UrlEncoded
Das Kennwort des Benutzers.
Nein
SessionField.NFuse
_Password
Scrambled
Gibt eine codierte Form des Werts des Sitzungsfelds
NFuse_Password an. Der MetaFrame Presentation Server Client
erwartet, dass die verwendete Codierung in ICA-Dateien steht.
Wenn Sie dieses Tag verwenden, ohne vorher NFuse_Password
festzulegen, wird ein Fehler ausgegeben.
Nein
116
Parameter
Beschreibung
Installiert
SessionField.NFuse
_ProxySettings
Bestimmt, wie der Client Proxys verwendet.
Nein
SessionField.NFuse
_SessionId
Dies ist die ID einer bestimmten Sitzung, die vom XML-Dienst in der
ResponseReconnectSessionData-Meldung ausgegeben wird.
Nein
SessionField.NFuse
_SessionSharing
Key
Gibt Farbtiefe, Verschlüsselung, Audioqualität, Domänenname,
Benutzername und Farmname des Clients an. Sind diese Informationen für verschiedene Sitzungen auf demselben Clientgerät identisch, versucht der Client, die Sitzung freizugeben.
Nein
SessionField.NFuse
_SetSessionField
Legt ein Sitzungsfeld aus einer Vorlagendatei fest.
Nein
SessionField.NFuse
_SoundType
Gibt eine Zeichenfolge an, die den Grad der Audiounterstützung für
die referenzierte Anwendung darstellt. Mögliche Werte sind: none
und basic.
Nein
Gibt den Namen der standardmäßigen ICA-Vorlagendatei an. Mögliche Werte sind: template.ica oder guest_template.ica.
Nein
SessionField.NFuse
_TemplatesDir
Gibt das Verzeichnis an, in dem ein TemplateParser-Objekt nach
einer Vorlagendatei sucht, die im Sitzungsfeld NFuse_Template
gesetzt wurde.
Nein
SessionField.NFuse
_TemplatesEncoding
Die anzugebende Codierung. Dieser Parameter bestimmt nicht die
tatsächliche Codierung, die zur Ausgabe der Datei genutzt wird.
Nein
SessionField.NFuse
_Ticket
Gibt das Authentifizierungsticket zum Einfügen in ICA-Dateien an.
Das TemplateParser-Objekt ersetzt dieses Tag durch alle erforderlichen Anmeldeinformationen.
Nein
SessionField.NFuse
_TicketLower
Gibt die letzten 16 Zeichen eines Authentifizierungstickets mit vorgestelltem umgekehrten Schrägstrich an. Kann verwendet werden, um
ein Ticket in eine ICA-Datei einzufügen, die einen statischen Benutzernamen bzw. einen von einem anderen Webinterface-Tag angegebenen Benutzernamen enthält.
Nein
Gibt die Gültigkeitsdauer eines Authentifizierungstickets (in Sekunden) an. Ein Ticket, das älter als die angegebene Dauer ist, kann
einen Benutzer nicht ordnungsgemäß bei der Serverfarm authentifizieren.
Nein
Gibt die ersten 14 Zeichen eines Authentifizierungstickets an. Wird
verwendet, um Kennwortinformationen in einer ICA-Datei zu ersetzen. Kann verwendet werden, um ein Ticket in eine ICA-Datei einzufügen, die einen statischen Benutzernamen bzw. einen von einem
anderen Webinterface-Tag angegebenen Benutzernamen enthält.
Nein
SessionField.NFuse
_Template
SessionField.NFuse
_TicketTimeToLive
SessionField.NFuse
_TicketUpper
Standardwert
template.ica
oder
guest_template
.ica
200
Parameter
117
Beschreibung
Installiert
SessionField.NFuse
_Transport
Reconnect
Das Tag für die Einstellung TransportReconnectEnabled=Off/On in
der ICA-Datei. Wird Secure Gateway verwendet, ist der Wert off.
Nein
SessionField.NFuse
_User und
NFuse_UserUrl
Encoded
Der Benutzername.
Nein
SessionField.NFuse
_VideoType
Gibt eine Zeichenfolge an, die den Grad der Videounterstützung darstellt, der für die referenzierte Anwendung verwendet werden soll.
Mögliche Werte sind: none und basic.
Nein
SessionField.NFuse
_WindowColors
Gibt die Anzahl der Farben an, die im Clientsitzungsfenster verwendet wird, um die referenzierte Anwendung anzuzeigen. Mögliche
Werte sind:
0 die Standardfensterfarben
1 16 Farben
2 256 Farben
4 High Color
8 True Color
Nein
SessionField.NFuse
_WindowHeight
Gibt die Höhe des Clientsitzungsfensters für die referenzierte
Anwendung in Pixeln an. Dieser Wert muss eine Ganzzahl größer
als Null sein.
Nein
Gibt an, wie viel Prozent des Desktops des Clientgeräts das Clientsitzungsfenster einnehmen soll. Dieser Wert muss eine Ganzzahl
von 0 bis 100 sein.
Nein
SessionField.NFuse
_WindowType
Gibt den Typ des Clientsitzungsfensters für die referenzierte Anwendung an. Mögliche Werte sind: default, percent, pixels, seamless
und fullscreen.
Nein
SessionField.NFuse
_WindowWidth
Gibt die Breite des Clientsitzungsfensters für die referenzierte
Anwendung in Pixeln an. Dieser Wert muss eine Ganzzahl größer
als Null sein.
Nein
Gibt Meldungen und Links für SGI auf UNIX-Plattformen an. Weitere
Ja
SessionField.NFuse
_WindowScale
SgiUnixClient
Standardwert
0
default
118
Parameter
Standardwert
Beschreibung
Installiert
ShowClientInstall
Caption
auto
Gibt an, ob Meldungen für die webbasierte MetaFrame Presentation
Server Client-Installation angezeigt werden. Die folgenden Optionen
stehen zur Verfügung:
auto: Wenn auf einer Windows-Plattform nicht der entsprechende
Client installiert ist, wird dem Benutzer eine Installationsmeldung
angezeigt. Auf anderen Plattformen wird die Installationsmeldung
immer angezeigt. Dies ist die Standardeinstellung.
on: Die Installationsmeldung wird auf allen Plattformen angezeigt.
off: Die Installationsmeldung wird nie angezeigt.
Weitere Informationen zum Anpassen der Meldungen für die
Clientinstallation und der Download-Links finden Sie in der Beschreibung von Win32Client.
Ja
SolarisUnixClient
default
Gibt Meldungen und Links für Solaris-Plattformen an. Weitere Informationen zum Festlegen von benutzerdefinierten Links finden Sie in
der Beschreibung von Win32Client.
Ja
Timeout
60
Gibt das Zeitlimit in Sekunden an, das bei der Kommunikation mit
dem XML-Dienst verwendet werden soll.
Ja
Tru64Client
default
Gibt Meldungen und Links für Tru64 UNIX-Plattformen an. Weitere
Ja
Gibt die Sitzungsfelder an, die nach Users, URL, Post oder Cookie
gesetzt werden können.
Ja
Unrestricted
SessionFields
UPNSuffixes
Nicht zutreffend
Gibt an, dass die UPN-Authentifizierung auf die Suffixe in diesem
Parameter beschränkt sind.
Version
3.0
Dieses Feld darf nicht geändert werden.
Ja
Win16Client
default
Gibt Meldungen und Links für Windows-Clientplattformen (16 Bit) an.
Weitere Informationen zum Festlegen von benutzerdefinierten Links
finden Sie in der Beschreibung von Win32Client.
Ja
Win32Client
default
Gibt Meldungen und Links für Windows-Clientplattformen (32 Bit) an.
Ist der Wert auf default eingestellt, werden Links für die standardmäßigen MetaFrame Presentation Server Clients für diese Plattform
auf der Seite Anmeldung angezeigt. Die Links verweisen auf den im
Verzeichnis wwwroot\Citrix\ICAWEB gespeicherten Webclient.
Sie können Meldungen und Links in diesem Format anpassen:
Meldung1&url,Meldung2&url2,... usw., wobei Meldung der Anzeigetext und URL die URL für den Client ist. Die Meldung wird im
Message Center der Webinterface-Seite Anmeldung als Hyperlink
zur angegebenen URL dargestellt.
Ja
119
Beispiele
Dieser Abschnitt enthält typische Beispiele für die Konfiguration des Webinterface
mit der Datei WebInterface.conf.
Presentation Server
In diesem Beispiel soll der Name eines zusätzlichen Servers angegeben werden, auf
dem der Citrix XML-Dienst ausgeführt wird. Der Citrix XML-Dienst ist die Kommunikationsverbindung zwischen der Serverfarm und dem Webinterface-Server.
Die Kommunikation erfolgt zurzeit mit einem „Server1“ genannten Server. Sie
möchten den Server „Server2“ für den Fall hinzufügen, dass „Server1“ ausfällt.
Gehen Sie hierzu folgendermaßen vor:
1. Suchen Sie in der Datei WebInterface.conf folgende Zeile:
SessionField.NFuse_Farm1=
2. Schließen Sie in dieser Zeile den zusätzlichen Server folgendermaßen ein:
SessionField.NFuse_Farm1=Server1,Server2
3. Starten Sie den Webserver neu, um die Änderungen zu übernehmen.
Konfigurieren der Citrix SSL-Relay-Kommunikation
In diesem Beispiel möchten Sie die Kommunikation zwischen dem Webserver und
dem MetaFrame-Server mit SSL (Secure Sockets Layer) sichern. Das Citrix SSLRelay wird auf einem MetaFrame-Server installiert, der den vollqualifizierten
Domänennamen www.firmenname.com hat. Das Citrix SSL-Relay hört den TCPPort 443 ab.
Die Kommunikation erfolgt zurzeit mit dem Server „Server1“, Sie möchten jedoch
„Server1“ durch „www.firmenname.com“ ersetzen. Gehen Sie hierzu folgendermaßen vor:
1. Öffnen Sie die Datei WebInterface.conf und suchen Sie die folgenden Zeilen:
SessionField.NFuse_Farm1=www.firmenname.com, Name:Server1,
Transport:SSL, SSLRelayPort:443
Hinweis: Der angegebene Servername muss dem Namen auf dem Serverzertifikat entsprechen.
120
Konfigurieren der Secure Gateway-Unterstützung
In diesem Beispiel soll ein Secure Gateway-Server mit dem Namen csg1.citrix.com
angegeben werden, auf dem die MetaFrame Presentation Server Clients den Port
443 verwenden. Folgende Secure Ticket Authority-Adressen werden verwendet:
•
http://server1.citrix.com/scripts/CtxSta.dll
•
http://server2.citrix.com/scripts/CtxSta.dll
Fügen Sie der Datei WebInterface.conf folgende sechs Zeilen hinzu:
SessionField.NFuse_CSG_STA_URL1=http://server1.citrix.com/
scripts/CtxSta.dll
SessionField.NFuse_CSG_STA_URL2=http://server2.citrix.com/
scripts/CtxSta.dll
SessionField.NFuse_CSG_Server=csg1.citrix.com
SessionField.NFuse_CSG_ServerPort=443
ClientAddressMap=*,CSG (Secure Gateway-Aktivierung für alle Benutzer)
Starten Sie den Webserver neu, um die Änderungen zu übernehmen.
Deaktivieren von Fehlermeldungen
Unter Windows können Sie die im Webinterface enthaltene benutzerdefinierte
Fehlermeldung deaktivieren, um informativere Fehlermeldungen anzuzeigen. Bearbeiten Sie dazu die Datei web.config, die sich im folgenden Ordner befindet:
C:\Inetpub\wwwroot\Citrix\MetaFrame\WIAdmin. Ändern Sie die folgende Zeile:
<customErrors mode="On" defaultRedirect="html/serverError.html" />
in:
<customErrors mode="Off" defaultRedirect="html/serverError.html" />
Bereitstellen des Webinterface für die Benutzer
Nach dem Installieren und Konfigurieren des Webinterface teilen Sie einfach den
Benutzern die URL der Seite Anmeldung mit. Wenn Benutzer die Seite
Anmeldung mit einem Lesezeichen versehen möchten, sollte das Lesezeichen auf
den folgenden Wert eingestellt werden: http://<Servername>/Citrix/MetaFrame.
Weitere Informationen zur Konfiguration von URLs für Anmeldeseiten auf
UNIX-Webservern finden Sie unter „Installieren des Webinterface auf UNIXPlattformen“ auf Seite 34.
121
Festlegen der Anmeldeseite als Standardwebseite auf IIS
Auf IIS-Webservern ist die Standard-URL der Seite Anmeldung:
http://<Servername>/Citrix/MetaFrame
wobei <Servername> der Name des Webinterface-Servers ist.
Sie können die Seite Anmeldung als Standardseite für Benutzer während der
Installation des Webinterface festlegen. Die URL lautet in diesem Fall
„http://<Servername>/“.
So geben Sie das Webinterface als Standardzieladresse des IIS-Webservers an:
1. Wählen Sie hierzu bei der Installation im Fenster Standardwebseite die Option
Standardseite der Site auf das Webinterface einstellen.
2. Klicken Sie auf Weiter.
Nächste Schritte
•
Weitere Informationen zur Bereitstellung von MetaFrame Presentation Server
Clients für Webinterface-Benutzer oder zur Konfiguration des Clients für
Macintosh finden Sie unter „MetaFrame Presentation Server Clients und das
Webinterface“ auf Seite 123.
•
Weitere Informationen zu den Sicherheitsüberlegungen finden Sie in Kapitel 5
unter „Konfigurieren der Webinterface-Sicherheit“ auf Seite 129.
KAPITEL 4
Clients und das Webinterface
Übersicht
Dieses Kapitel enthält Informationen zur Bereitstellung und Verwendung der
MetaFrame Presentation Server Clients mit dem Webinterface. Es wird beschrieben, wie Sie Benutzern Clients mit der webbasierten Clientinstallation bereitstellen.
Außerdem finden Sie weitere Informationen zum Client für Java. Unter anderem
werden folgende Themen behandelt:
•
Webbasierte Clientinstallation
•
Übersicht über den Client für Java
•
Übersicht über Program Neighborhood-Agent
124
Webbasierte Clientinstallation
Für die Verwendung des Webinterface müssen Benutzer einen unterstützten Webbrowser und einen MetaFrame Presentation Server Client einsetzen.
Wenn sich Benutzer an einer Webinterface-Site anmelden, prüft die webbasierte
Clientinstallation, ob auf dem Gerät des Benutzers die Clientsoftware vorhanden
ist. Wird die Clientsoftware nicht auf dem Gerät erkannt, bietet die webbasierte
Clientinstallation die entsprechende Clientsoftware zum Download und zur Installation an. Die dem Benutzer dargestellten Links werden Installationsmeldungen
genannt.
Im Folgenden wird eine typische Installationsmeldung gezeigt:
Die Abbildung zeigt eine Beispielinstallationsmeldung, die auf der Benutzeranmeldeseite
möglicherweise angezeigt wird.
Kopieren der Installationsdateien für Clients auf den
Webserver
Für das Verwenden der webbasierten Clientinstallation müssen die Installationsdateien auf dem Webserver gespeichert sein.
Während der Webinterface-Installation werden Sie vom Setupprogramm zum Einlegen der Komponenten-CD-ROM oder zur Angabe des CD-Image-Speicherorts
aufgefordert. Das Setup kopiert den Inhalt des Verzeichnisses ICAWEB der CD in
das Verzeichnis /Citrix/ICAWEB, das im Web Publishing-Stammverzeichnis des
Webservers erstellt wird. Alle eingeschlossenen Websites gehen davon aus, dass die
Clientdateien auf dem Webserver in der vom Setupprogramm des Webinterface
erstellten Verzeichnisstruktur gespeichert sind:
<Webroot>/Citrix/ICAWEB/<Sprache>/<Plattform>.
Dabei ist <Webroot> das Web Publishing-Stammverzeichnis des Webservers,
<Sprache> die Sprachversion des Clients, den Sie bereitstellen möchten (en für
Englisch, de für Deutsch, fr für Französisch, es für Spanisch oder ja für Japanisch)
und <Plattform> das Betriebssystem (ica16, ica32, icajava, icamac, icaunix und
icawince).
Kapitel 4 MetaFrame Presentation Server Clients und das Webinterface
125
Beispiel: In einer Installation der englischen Webinterface-Version auf einem typischen IIS-Webserver befindet sich der Client für Win32 im folgenden Verzeichnis:
C:\Inetpub\WWWRoot\Citrix\ICAWEB\en\ICA32.
Wenn Sie die Installationsdateien für die Clients während der Webinterface-Installation nicht auf den Webserver kopiert haben, müssen Sie die Dateien auf den
Webserver kopieren, bevor Sie die webbasierte Clientinstallation einrichten.
So kopieren Sie die Clientdateien auf den Webserver:
1. Erstellen Sie im Web Publishing-Stammverzeichnis (normalerweise
C:\Inetpub\WWWRoot) des Webservers das Verzeichnis \Citrix\ICAWEB.
2. Legen Sie die Komponenten-CD-ROM in das CD-ROM-Laufwerk des Webservers ein oder suchen Sie im Netzwerk ein freigegebenes Image der Komponenten-CD.
3. Wechseln Sie in das Verzeichnis ICAWEB der CD. Kopieren Sie den Inhalt
vom Verzeichnis ICAWEB der CD in das Verzeichnis /Citrix/ICAWEB des Servers. Stellen Sie sicher, dass Sie den Inhalt des Verzeichnisses und nicht das
Verzeichnis ICAWEB selbst kopieren.
Konfigurieren von webbasierten Clientinstallationen
In diesem Abschnitt wird beschrieben, wie Sie die den Benutzern angezeigten
Installationsmeldungen und den Client für Win32, der den Windows-Clientgeräten
angeboten wird, konfigurieren. Sie erfahren, wie Sie diese Vorgänge mit der Datei
WebInterface.conf ausführen.
Hinweis: Weitere Informationen zur Konfiguration der webbasierten Clientinstallation mit der Webinterface Console finden Sie unter „Automatisches Bereitstellen
von Clients“ auf Seite 88.
Installationsdateien für den Client für Win32
Standardmäßig bietet die webbasierte Clientinstallation 32-Bit-Windows-Clientgeräten die Installationsdatei für den Webclient an. Sie können diese Einstellung
jedoch so ändern, dass der Program Neighborhood-Client oder Program
Neighborhood-Agent angeboten wird.
Im Anschluss finden Sie eine Beschreibung der Unterschiede zwischen diesen
Installationsdateien:
•
Installationsdatei des Webclients (ica32t.exe): Diese Version installiert den
Webclient für Benutzer.
126
•
Installationsdatei des Program Neighborhood-Clients (ica32.exe): Mit
dieser Datei werden alle Komponenten des Clients für Win32 einschließlich der
Program Neighborhood-Benutzeroberfläche installiert. Wenn die Benutzer die
gesamte Funktionalität des Clients für Win32 benötigen, müssen Sie das Archiv
Ica32.exe bzw. Ica32.msi installieren.
•
Installationsdatei von Program Neighborhood-Agent (Ica32a.exe): Mit
dieser Datei werden alle Komponenten des Clients für Win32 einschließlich der
Program Neighborhood-Agent-Benutzeroberfläche installiert. Sie können mit
der Datei Ica32a.exe oder Ica32a.msi den Benutzerzugriff auf veröffentlichte
Webinterface-aktivierte Anwendungen direkt vom Windows-Desktop, Startmenü oder von der Windows-Taskleiste ermöglichen.
So konfigurieren Sie das Webinterface für das Bereitstellen eines anderen
Clients für Win32:
1. Öffnen Sie die Datei WebInterface.conf.
2. Bearbeiten Sie den Parameter Win32Client. Beispiel:
Win32Client=Click here for the Client&/Citrix/ICAWEB/
en/ica32/ica32.exe
Konfigurieren von Installationsmeldungen
Sie können das Anzeigen von Installationsmeldungen und den in den
Meldungen angezeigten Text konfigurieren. Bearbeiten Sie die Parameter
ShowClientInstallCaption und OverrideClientInstallCaption in der Datei
WebInterface.conf.
Hinweis: Weitere Informationen zur Konfiguration von Installationsmeldungen
mit der Webinterface Console finden Sie unter „Automatisches Bereitstellen von
Clients“ auf Seite 88.
Der Parameter ShowClientInstallCaption legt fest, ob den Benutzern Meldungen
für die webbasierte Clientinstallation angezeigt werden. Es stehen drei Optionen
zur Verfügung:
•
auto: Wenn auf einer Windows-Plattform nicht der entsprechende Client installiert ist, wird dem Benutzer eine Installationsmeldung angezeigt. Auf anderen
Plattformen wird die Installationsmeldung immer angezeigt. Dies ist die Standardeinstellung.
•
on: Die Installationsmeldung wird auf allen Plattformen angezeigt.
•
off: Die Installationsmeldung wird nie angezeigt.
Kapitel 4 MetaFrame Presentation Server Clients und das Webinterface
127
Der Parameter OverrideClientInstallCaption gibt eine benutzerdefinierte
Meldung an, die zusammen mit den Download-Links für die Clients angezeigt
wird. Der Parameter ist standardmäßig durch ein Nummernzeichen (#) am Zeilenanfang als Kommentar gekennzeichnet und die Standardmeldungen werden verwendet. Die Standardmeldung ist clientplattformspezifisch und lautet ungefähr
folgendermaßen:
„Der Client (ActiveX) für 32-Bit-Windows ist nicht auf dem System installiert.
Um die Anwendungen starten zu können, müssen Sie den Client installieren.
Wählen Sie das Symbol weiter unten, um den Client zu installieren.“
So zeigen Sie eine benutzerdefinierte Meldung mit den Download-Links an:
2. Bearbeiten Sie den Parameter OverrideClientInstallCaption. Beispiel:
OverrideClientInstallCaption=Bitte installieren Sie
einen Client. Die folgenden Clients stehen zur Verfügung:
Übersicht über den Client für Java
Wenn Sie Clients über Netzwerke mit geringer Bandbreite bereitstellen oder die
von Benutzern verwendete Plattform nicht kennen, sollten Sie den Client für Java in
Erwägung ziehen. Der Client für Java ist ein plattformübergreifendes Applet, das
der Webinterface-Server jedem Java-kompatiblen Webbrowser bereitstellen kann.
Mit dem Webinterface kann der Client für Java als kleiner Download konfiguriert
werden (unter Umständen nur 300 KB), indem Sie nicht benötigte Komponenten
entfernen. Sie können das Webinterface auch so konfigurieren, dass Benutzer die
gewünschten Komponenten von Client für Java selbst wählen können. Weitere
Informationen zur Konfiguration der im bereitgestellten Client für Java enthaltenen
Komponenten mit der Webinterface Console finden Sie unter „Anpassen der
Bereitstellung des Clients für Java“ auf Seite 92.
Der Client für Java ist für den Download und das Ausführen ohne lokale Speicherung der Dateien optimiert, wenn es nicht wünschenswert oder möglich ist, einen
Client auf dem Clientgerät zu installieren.
Sie können den Client für Java auch unabhängig vom Webinterface bereitstellen.
Der Benutzer kann Clienteinstellungen mit einer grafischen Benutzeroberfläche
ändern, wenn der Client für Java im Appletmodus ausgeführt wird. Weitere Informationen finden Sie im Client für Java-Administratorhandbuch.
128
Übersicht über Program Neighborhood-Agent
Mit Program Neighborhood-Agent können Sie veröffentlichte Inhalte in BenutzerDesktops integrieren. Mit Program Neighborhood-Agent greifen Benutzer über
Symbole auf dem Windows-Desktop, im Startmenü oder in der WindowsTaskleiste oder einer Kombination dieser Elemente auf veröffentlichte Anwendungen zu.
Program Neighborhood-Agent wird im Hintergrund ausgeführt. Das Programm hat
außer einem Kontextmenü in der Taskleiste keine Benutzeroberfläche. Das Arbeiten mit Remoteanwendungen erfolgt daher genauso wie bei lokalen Anwendungen.
Die Datenübertragung zwischen Client und Server erfolgt über das standardmäßige
HTTP-Protokoll oder über das HTTPS-Protokoll. Dies vereinfacht den Einsatz von
Program Neighborhood-Agent mit Firewalls, die Port 80 verwenden.
Sie können die Konfigurationseinstellungen von Program Neighborhood-Agent
bearbeiten, um die Clients im Netzwerk dynamisch zu verwalten und zu steuern.
Beispiel: Sie können das Ändern bestimmter Einstellungen von Seiten der Benutzer
verhindern und bestimmte Program Neigborhood-Agent-Einstellungen auf den
Clientgeräten aktivieren. Sie steuern die Eigenschaften für Program NeighborhoodAgent mit zwei Methoden:
•
Verwenden der Program Neighborhood-Konsole
•
Mit der Konfigurationsdatei Config.xml
Die Konsole stellt eine benutzerfreundliche grafische Benutzeroberfläche für das
Anzeigen und das Ändern der aktuellen Einstellungen bereit. Parameter und Werte
der Datei Config.xml werden auf der Oberfläche angezeigt. Sie ändern diese Einstellungen durch Auswahl der Optionen und Eingabe der Werte in die Felder.
Die Konsole und die Datei Config.xml werden während der Webinterface-Installation auf den Server kopiert, auf dem das Webinterface ausgeführt wird.
Allgemeine Informationen zur Konfiguration von Program Neighborhood-Agent
finden Sie unter „Verwenden von Program Neighborhood-Agent“ auf Seite 144.
Ausführliche Informationen zur Installation und Konfiguration von Program
Neighborhood-Agent finden Sie im Client für 32-Bit-Windows-Administratorhandbuch.
Nächste Schritte
Weitere Informationen zu den Sicherheitsüberlegungen finden Sie in Kapitel 5
unter „Konfigurieren der Webinterface-Sicherheit“ auf Seite 129.
KAPITEL 5
Konfigurieren der WebinterfaceSicherheit
Übersicht
Dieses Kapitel enthält Informationen zum Sichern der Daten in einer WebinterfaceUmgebung. Unter anderem werden folgende Themen behandelt:
•
Einführung in die Webinterface-Sicherheit
•
Sichern der Webinterface-Kommunikation
•
Kommunikation zwischen dem Clientgerät und dem Webinterface-Server
•
Presentation Server
•
Presentation Server
•
Allgemeine Sicherheitsüberlegungen
130
Einführung in die Webinterface-Sicherheit
Ein umfassender Sicherheitsplan muss den Schutz von Daten an allen Punkten im
Anwendungsbereitstellungsprozess berücksichtigen. Dieses Kapitel enthält eine
Beschreibung der Sicherheitsrisiken für das Webinterface und Empfehlungen für
die folgenden Kommunikationsverbindungen:
•
Kommunikation zwischen dem Clientgerät und dem Webinterface-Server:
Erläutert Risiken, die mit dem Übertragen von Webinterface-Daten zwischen
Browsern und Servern verbunden sind, und schlägt Strategien zum Sichern der
Daten vor, wenn diese übertragen und auf Clientgeräte geschrieben werden.
•
Presentation Server: Beschreibt das Sichern der Authentifizierung und der
Informationen zu veröffentlichten Anwendungen, die zwischen dem Webinterface-Server und der MetaFrame-Farm ausgetauscht werden.
•
Kommunikation zwischen der Clientsitzung und MetaFrame Presentation
Server: Erläutert Risiken, die mit dem Übertragen von Clientsitzungsinformationen zwischen Clients und Servern verbunden sind, und beschreibt die
Implementierung der Webinterface- und MetaFrame-Sicherheitsfunktionen zum
Schutz dieser Daten.
In dieser Darstellung wird die Interaktion zwischen dem Server, auf dem MetaFrame
Presentation Server ausgeführt wird, und dem Webinterface-Server erläutert.
Kapitel 5 Konfigurieren der Webinterface-Sicherheit
131
Sicherheitsprotokolle und Citrix Sicherheitslösungen
In diesem Abschnitt werden einige der Sicherheitsprotokolle und der Citrix
Lösungen beschrieben, mit denen die Webinterface-Bereitstellung gesichert werden
kann. Der Abschnitt enthält einführende Informationen zu den SSL- und TLSSicherheitsprotokollen, Citrix SSL-Relay, Secure Gateway und der ICAVerschlüsselung. Außerdem erhalten Sie Verweise zu weiteren Informationen über
diese Technologien.
SSL
Das SSL-Protokoll (Secure Sockets Layer) sichert die Datenkommunikation in
Netzwerken. SSL bietet Serverauthentifizierung, Verschlüsselung des Datenstroms
und Prüfung der Nachrichtenintegrität.
SSL verschlüsselt Nachrichten mit Kryptografie, authentifiziert die Identität und
gewährleistet die Integrität der Inhalte. Dies schützt vor Abhören, falschem Weiterleiten und Datenmanipulation. SSL prüft die Identität mit Zertifikaten, die öffentliche Schlüssel enthalten und von Zertifizierungsstellen ausgegeben sind.
Weitere Informationen zu SSL, Kryptografie und Zertifikaten finden Sie im
MetaFrame Presentation Server-Administratorhandbuch, im Citrix SSL-Relay für
UNIX-Administratorhandbuch und im Secure Gateway-Administratorhandbuch.
TLS
TLS (Transport Layer Security) ist die neueste, standardisierte Version des SSLProtokolls. Die Organisation IETF (Internet Engineering Taskforce) hat das Protokoll in TLS umbenannt, als diese die Verantwortung für die Entwicklung von SSL
als einen offenen Standard übernahm. TLS bietet wie SSL Serverauthentifizierung,
Verschlüsselung des Datenstroms und Prüfung der Nachrichtenintegrität.
Unterstützung für TLS Version 1.0 ist in Feature Release 2 von MetaFrame
Presentation Server enthalten. Da zwischen SSL Version 3.0 und TLS Version 1.0
nur geringfügige technische Unterschiede bestehen, können die Serverzertifikate,
die Sie für SSL in Ihrer Installation verwenden, auch für TLS eingesetzt werden.
Einige Organisationen, u. a. Behörden der US-Regierung, verlangen den Einsatz
von TLS für die Sicherung der Datenkommunikation. Diese Organisationen verlangen ggf. auch die Verwendung überprüfter Kryptografie, wie z. B. FIPS 140.
FIPS (Federal Information Processing Standard) ist ein Kryptografiestandard.
Hinweis: Auf UNIX-Plattformen unterstützt das Webinterface SSL- bzw. TLSZertifikatschlüssel von maximal 2048 Bit.
132
Citrix SSL-Relay
Das Citrix SSL-Relay ist eine Komponente von MetaFrame Presentation Server,
die SSL zum Sichern der Kommunikation zwischen Webinterface-Servern und
Serverfarmen verwendet wird. Das Citrix SSL-Relay stellt Serverauthentifizierung,
Datenverschlüsselung und Nachrichtenintegrität für TCP/IP-Verbindungen zur Verfügung.
Das Citrix SSL-Relay vermittelt die Kommunikation zwischen dem WebinterfaceServer und dem Citrix XML-Dienst. Bei Verwendung des Citrix SSL-Relays überprüft der Webserver zuerst die Identität des Citrix SSL-Relays, indem das Serverzertifikat des Relays mit einer Liste der vertrauenswürdigen Zertifizierungsstellen
verglichen wird.
Nach dieser Authentifizierung handeln der Webserver und das Citrix SSL-Relay
eine Verschlüsselungsmethode für die Sitzung aus. Der Webserver sendet dann alle
Informationsanfragen in verschlüsselter Form an das Citrix SSL-Relay. Das Citrix
SSL-Relay entschlüsselt die Anfragen und übergibt sie an den Citrix XML-Dienst.
Bei der Rückgabe der Informationen an den Webserver sendet der Server alle Informationen über den Citrix SSL-Relay-Server, der die Daten verschlüsselt und an den
Webserver zur Entschlüsselung weiterleitet. Nachrichtenintegritätsprüfungen
bestätigen, dass die Kommunikation nicht manipuliert wurde.
Weitere Informationen zum Citrix SSL-Relay finden Sie im MetaFrame
Presentation Server-Administratorhandbuch oder im Citrix SSL-Relay für
UNIX-Administratorhandbuch.
ICA-Verschlüsselung (Citrix SecureICA)
Mit der ICA-Verschlüsselung (Citrix SecureICA) können die zwischen einem
Server und einem Client übermittelten Informationen verschlüsselt werden. Für
unbefugte Benutzer ist es daher schwierig, eine verschlüsselte Übertragung zu
interpretieren.
ICA-Verschlüsselung sichert Vertraulichkeit und schützt vor einem möglichen
Abhören. Es bestehen jedoch weitere Sicherheitsrisiken, und die Verwendung von
Verschlüsselung ist nur ein Aspekt einer umfassenden Sicherheitsrichtlinie. Im
Gegensatz zu SSL/TLS wird bei ICA-Verschlüsselung der Server nicht authentifiziert. Informationen könnten theoretisch im Netzwerk abgefangen und an einen
falschen Server weitergeleitet werden. ICA-Verschlüsselung prüft auch nicht die
Integrität.
ICA-Verschlüsselung steht nicht auf Servern mit MetaFrame Presentation Server
für UNIX zur Verfügung.
133
Secure Gateway
Secure Gateway stellt zusammen mit dem Webinterface einen einzigen sicheren,
verschlüsselten Zugangspunkt über das Internet zu Servern in internen Unternehmensnetzwerken bereit.
Secure Gateway ist ein sicheres Internetgateway zwischen SSL/TLS-aktivierten
Clients und Servern. Die Datenübertragungen über das Internet zwischen den
Clientgeräten und dem Secure Gateway-Server werden mit SSL/TLS verschlüsselt.
Dies ermöglicht dem Benutzer, ohne Gefährdung der Sicherheit remote auf Informationen zuzugreifen. Secure Gateway vereinfacht auch die Zertifikatverwaltung,
da nur der Secure Gateway-Server und nicht jeder Server in der Serverfarm ein
Serverzertifikat benötigt.
In dieser Abbildung wird dargestellt, wie Secure Gateway die Kommunikation zwischen
SSL/TLS-aktivierten Clients und Servern sichert.
Weitere Informationen zu Secure Gateway finden Sie im Secure GatewayAdministratorhandbuch. Weitere Informationen zur Konfiguration des
Webinterface für Secure Gateway mit der Webinterface Console finden Sie unter
„Konfigurieren der Secure Gateway-Unterstützung“ auf Seite 78.
Sichern der Webinterface-Kommunikation
Bei der Verwendung des Webinterface können Sie die Kommunikation zwischen
Client und Server folgendermaßen sichern:
•
Weisen Sie Benutzer an, eine Verbindung zu Webinterface-Seiten mit HTTPS
(sicheres HTTP) herzustellen. Ein SSL-Zertifikat muss in IIS (Internet Information Services) installiert sein, um eine sichere HTTP-Verbindung zu ermöglichen.
•
Konfigurieren Sie Webinterface-Ticketing, um die direkte Kommunikation
zwischen den Clients und den Servern weiter zu sichern.
•
Konfigurieren Sie das Webinterface für die Verwendung des Citrix SSL-Relays
für die Verschlüsselung zwischen dem Webinterface-Server und den Servern.
134
Wichtig: Eine unsachgemäße Verwendung des Registrierungseditors kann
schwerwiegende Probleme verursachen und ein erneutes Installieren des Betriebssystems erfordern. Citrix übernimmt keine Garantie dafür, dass Probleme, die auf
eine unsachgemäße Verwendung des Registrierungseditors zurückzuführen sind,
behoben werden können. Verwenden Sie den Registrierungseditor auf eigene Verantwortung.
Wenn Sie das Citrix SSL-Relay auf einem Server mit einer statischen IP-Adresse
konfigurieren, stellen Sie den folgenden Registrierungsschlüssel auf den vollqualifizierten Domänennamen des Servers ein:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
Tcpip\Parameters\Domain
Tipp: Blockieren Sie den Port 1494, um sicherzustellen, dass nur ICAVerbindungen, die SSL (normalerweise Port 443) verwenden, am Firewall
zugelassen werden.
Kommunikation zwischen dem Clientgerät und dem
Webinterface-Server
Bei der Kommunikation zwischen MetaFrame Presentation Server-Clientgeräten
und dem Server, auf dem das Webinterface ausgeführt wird, werden verschiedene
Datentypen übergeben. Wenn sich der Benutzer identifiziert, nach Anwendungen
sucht und dann eine Anwendung für die Ausführung auswählt, tauschen der Webbrowser und der Webserver Anmeldeinformationen, Anwendungsgruppenlisten
und Dateien für die Sitzungsinitialisierung aus. Die folgenden Daten werden im
Rahmen dieser Übertragungen auf dem Netzwerk weitergeleitet:
•
HTML-Formulardaten: Webinterface-Sites übertragen die Anmeldeinformationen des Benutzers zum Anmeldezeitpunkt mithilfe eines HTML-Standardformulars vom Webbrowser an den Webserver. Das Webinterface-Formular
übergibt den Namen und die Anmeldeinformationen des Benutzers im Klartext.
135
•
HTML-Seiten und Sitzungscookies: Wenn der Benutzer Anmeldeinformationen auf der Seite Anmeldung eingegeben hat, werden die Anmeldeinformationen auf dem Webserver gespeichert und von einem Sitzungscookie
geschützt. Die HTML-Seiten, die vom Webserver an den Browser gesendet
werden, enthalten Anwendungsgruppen. Diese Seiten führen die Anwendungen
auf, die für den Benutzer verfügbar sind.
•
ICA-Dateien: Wenn der Benutzer eine Anwendung auswählt, sendet der Webserver eine ICA-Datei für diese Anwendung an den Browser. Die ICA-Datei
enthält ein Ticket, das für die Anmeldung am Server verwendet werden kann
(außer bei Smartcard-Authentifizierung).
Risiken
Angreifer können Webinterface-Daten abfangen, wenn diese im Netzwerk zwischen dem Webserver und dem Browser übertragen oder auf das Clientgerät
geschrieben werden:
•
Ein Angreifer kann Anmeldedaten, das Sitzungscookie und HTML-Seiten
abfangen, die zwischen dem Webserver und dem Webbrowser übermittelt
werden.
•
Zwar ist das vom Webinterface verwendete Sitzungscookie temporär und wird
entfernt, wenn der Benutzer den Webbrowser schließt. Ein Angreifer mit
Zugriff auf den Webbrowser des Clientgeräts kann das Cookie jedoch abrufen
und die Anmeldeinformationen verwenden.
•
Die ICA-Datei enthält zwar keine Anmeldeinformationen aber ein Einmalticket, das standardmäßig nach 200 Sekunden ungültig wird. Ein Angreifer kann
theoretisch mit der abgefangenen ICA-Datei eine Verbindung zum Server herstellen, bevor der autorisierte Benutzer mit dem Ticket eine Verbindung herstellt.
•
Wenn Single Sign-On aktiviert ist, könnte ein Angreifer dem Benutzer eine
ICA-Datei übermitteln, die die Anmeldeinformationen des Benutzers an einen
nicht autorisierten oder falschen Server weiterleitet.
Empfehlungen
Die folgenden Empfehlungen kombinieren Sicherheitspraktiken gemäß dem Industriestandard und von Citrix zur Verfügung gestellte Sicherheitsmaßnahmen, um die
Daten zu schützen, die zwischen Clientgeräten und dem Webserver übertragen
werden, sowie die Daten, die auf Clientgeräte geschrieben werden.
136
Implementieren SSL/TLS-aktivierter Webserver und Webbrowser
Das Sichern der Webserver-zu-Webbrowser-Komponente der WebinterfaceKommunikation beginnt mit dem Implementieren sicherer Webserver und Webbrowser. Viele sichere Webserver verwenden die SSL/TLS-Technologie zum
Sichern des Webverkehrs.
In einer typischen Webserver-zu-Webbrowser-Transaktion überprüft der Webbrowser zuerst die Identität des Webservers, indem er das Zertifikat des Webservers
mit einer Liste der vertrauenswürdigen Zertifizierungsstellen vergleicht. Nach
dieser Überprüfung verschlüsselt der Webbrowser Seitenanfragen des Benutzers
und entschlüsselt dann die Dokumente, die vom Webserver zurückgegeben werden.
Am Ende der Transaktion stellen TLS- oder SSL-Nachrichtenintegritätsprüfungen
sicher, dass die Daten bei der Übertragung nicht manipuliert wurden.
In einer Webinterface-Bereitstellung wird durch Authentifizierung und Verschlüsselung mit SSL/TLS eine sichere Verbindung hergestellt, über die der Benutzer
Anmeldeinformationen übergeben kann, die auf der Seite Anmeldung eingegeben
werden. Daten, die vom Webserver gesendet werden, einschließlich des Cookies
mit den Anmeldeinformationen, der ICA-Dateien und der HTML-Anwendungslistenseiten, sind gleichfalls sicher.
Für die Implementierung der SSL/TLS-Technologie im Netzwerk sind ein
SSL/TLS-aktivierter Webserver und SSL/TLS-aktivierte Webbrowser erforderlich.
Die Verwendung dieser Produkte ist für das Webinterface transparent. Webserver
oder Webbrowser müssen nicht für das Webinterface konfiguriert werden. Weitere
Informationen zur Konfiguration des Webservers für die Unterstützung von SSL/
TLS finden Sie in der Webserverdokumentation.
Wichtig: Viele SSL/TLS-aktivierte Webserver verwenden den TCP/IP-Port 443
für die HTTP-Kommunikation. Standardmäßig verwendet das Citrix SSL-Relay
diesen Port ebenfalls. Wenn der Webserver ebenfalls ein Server ist, auf dem das
Citrix SSL-Relay ausgeführt wird, stellen Sie sicher, dass der Webserver oder das
Citrix SSL-Relay einen anderen Port verwendet.
Deaktivieren von Single Sign-On
Single Sign-On sollte in einer sicheren Installation nicht aktiviert werden, um ein
mögliches Weiterleiten der Anmeldeinformationen der Benutzer an einen nicht
autorisierten oder falschen Server zu verhindern. Aktivieren Sie diese Funktion nur
in einem kleinen, vertrauenswürdigen Umfeld.
137
Kommunikation zwischen dem Webinterface-Server und
Bei der Kommunikation zwischen dem Server und dem Webinterface-Server in
einer Webinterface-Bereitstellung werden Anmeldeinformationen der Benutzer und
Anwendungsgruppeninformationen zwischen den Webinterface-Klassen auf dem
Server und dem Citrix XML-Dienst in der MetaFrame-Farm übergeben.
In einer typischen Webinterface-Sitzung übergeben die Klassen Anmeldeinformationen an den Citrix XML-Dienst für die Benutzerauthentifizierung, und der
Citrix XML-Dienst gibt Anwendungsgruppeninformationen zurück. Der Server
und die MetaFrame-Farm übergeben die Informationen mit einer TCP/IPVerbindung und dem Citrix XML-Protokoll.
Risiken
Das Webinterface-XML-Protokoll verwendet Klartext für den Austausch aller
Daten mit Ausnahme von Kennwörtern, die in schwach verschlüsselter Form übergeben werden. Die XML-Kommunikation kann den folgenden Angriffen unterliegen:
•
Ein Angreifer kann den XML-Verkehr abfangen und auf diese Weise Anwendungsgruppeninformationen und Tickets erhalten. Ein Angreifer mit der Fähigkeit, die schwache Verschlüsselung aufzulösen, kann außerdem
Anmeldeinformationen erhalten.
•
Ein Angreifer kann die Identität des Servers annehmen und Authentifizierungsanfragen abfangen.
Empfehlungen
Citrix empfiehlt die Implementierung einer der folgenden Sicherheitsmaßnahmen
zum Sichern der XML-Datenübertragungen zwischen dem Webserver und der
Serverfarm:
•
Verwenden Sie das Citrix SSL-Relay als Sicherheitsbarriere zwischen dem
Webserver und der Serverfarm. Das Citrix SSL-Relay führt die Hostauthentifizierung und die Datenverschlüsselung aus.
•
Führen Sie den Webinterface-Server auf dem MetaFrame-Server in Bereitstellungen aus, die das Ausführen des Citrix SSL-Relays nicht unterstützen.
•
Verwenden Sie das HTTPS-Protokoll für das Übermitteln von WebinterfaceDaten über eine sichere HTTP-Verbindung mit SSL, wenn IIS für einen anderen
Zweck auf dem Server installiert ist.
138
Verwenden des Citrix SSL-Relays
Das Citrix SSL-Relay ist eine Standardkomponente von MetaFrame Presentation
Server. Auf MetaFrame 1.8-Servern müssen Sie Citrix MetaFrame 1.8 Service Pack
2 oder höher installieren, damit Sie das Citrix SSL-Relay verwenden können. Auf
MetaFrame 1.1 für UNIX müssen Sie Feature Release 1 oder höher für das Verwenden des Citrix SSL-Relays installieren. Zusätzlich muss eine Lizenz für
Feature Release 1 auf allen Servern mit MetaFrame 1.8 oder MetaFrame
Presentation Server für UNIX installiert und aktiviert sein.
Auf der Seite der Server müssen Sie ein Serverzertifikat auf dem Citrix SSL-RelayServer installieren und die Konfiguration des Citrix SSL-Relay-Servers überprüfen.
Weitere Informationen zum Installieren von Serverzertifikaten und Konfigurieren
des Citrix SSL-Relays auf Servern finden Sie im MetaFrame Presentation ServerAdministratorhandbuch. Sie finden zusätzliche Informationen in der Onlinehilfe für
das Citrix SSL-Relay-Konfigurationstool. Informationen zu Servern mit
MetaFrame Presentation Server für UNIX finden Sie im Citrix SSL-Relay für
Stellen Sie bei der Konfiguration des Citrix SSL-Relays sicher, dass der Citrix SSLRelay-Server die Weiterleitung von SSL-Datenübertragungen an die Server zulässt,
die Sie als Kontaktpunkt für den Citrix XML-Dienst verwenden. Standardmäßig
leitet das Citrix SSL-Relay den Datenverkehr nur an den Server weiter, auf dem das
Relay installiert ist. Das Citrix SSL-Relay kann jedoch für das Weiterleiten von
Datenverkehr an andere Server konfiguriert werden. Wenn das Citrix SSL-Relay
auf einem Gerät installiert ist, an das Sie keine Webinterface-Daten senden möchten, vergewissern Sie sich, dass der Server, an den Sie Webinterface-Daten weiterleiten möchten, in der Serverliste des Citrix SSL-Relays aufgeführt ist.
Sie können das Webinterface für das Citrix SSL-Relay mit der Webinterface
Console oder der Datei WebInterface.conf konfigurieren. Weitere Informationen
zur Verwendung der Konsole finden Sie unter „Konfigurieren der Kommunikation
mit MetaFrame Presentation Server“ auf Seite 63.
So konfigurieren Sie das Webinterface für das Citrix SSL-Relay mit der Datei
WebInterface.conf:
2. Ändern Sie die Einstellung RelayServerPort im Parameter SessionField.
NFuse_Farm<n>zur Portnummer des Citrix SSL-Relays auf dem Server.
3. Ändern Sie den Wert der Einstellung Transport im Parameter SessionField.
NFuse_Farm<n> zu SSL.
139
Tipp: Ein Beispiel, wie Sie das Webinterface für die Verwendung des Citrix SSLRelays mit der Datei WebInterface.conf konfigurieren, finden Sie unter
„Konfigurieren der Citrix SSL-Relay-Kommunikation“ auf Seite 119.
Hinzufügen von Zertifikaten auf dem Webinterface-Server
Unter UNIX enthält das Webinterface systemeigene Unterstützung für die folgenden Zertifizierungsstellen:
•
VeriSign, Inc., http://www.verisign.com
•
Baltimore Technologies, http://www.baltimore.com
Wenn Sie die Unterstützung für andere Zertifizierungsstellen hinzufügen möchten,
müssen Sie dem Webinterface-Server das Stammzertifikat der betreffenden Zertifizierungsstelle hinzufügen.
So fügen Sie dem Webinterface-Server ein neues Stammzertifikat hinzu:
1. Stellen Sie sicher, dass das Stammzertifikat im DER-Format vorliegt.
2. Kopieren Sie das Stammzertifikat auf den Webserver.
Unter Windows wird das Zertifikat mit dem Zertifikat-Snap-In der Microsoft
Management Console (MMC) kopiert.
Kopieren Sie das Zertifikat auf UNIX-Geräten in das Verzeichnis ./cacerts.
Informationen zu Zertifikaten finden Sie im Installationskapitel im MetaFrame
Presentation Server-Administratorhandbuch. Informationen zu Servern mit
MetaFrame Presentation Server für UNIX finden Sie im Citrix SSL-Relay für
Aktivieren des Webinterface-Servers auf dem MetaFrame-Server
In Bereitstellungen, die das Ausführen des Citrix SSL-Relays nicht unterstützen,
kann die Möglichkeit eines Netzwerkangriffs ausgeräumt werden, indem ein Webserver auf dem Server ausgeführt wird, der die Webinterface-Daten zur Verfügung
stellt. Wenn Sie die Webinterface-Sites auf einem solchen Webserver hosten,
werden alle Webinterface-Anfragen an den Citrix XML-Dienst auf dem lokalen
Host geroutet; auf diese Weise entfällt die Übertragung von Webinterface-Daten
über das Netzwerk.
Die Vorteile, die sich daraus ergeben, dass die Übertragung im Netzwerk entfällt,
müssen gegen das Risiko von Angriffen auf den Webserver abgewogen werden.
Wenn die Farm aus mehreren Servern besteht, werden Anmeldeinformationen
weiterhin im Klartext zwischen den Servern übergeben, wenn das Webinterface ein
MetaFrame-Ticket erhält.
140
Stellen Sie in diesem Bereitstellungsszenario sicher, dass der Webserver und der
Citrix XML-Dienst verschiedene TCP/IP-Ports verwenden. Wenn Sie einen
anderen als den Standardport für den Citrix XML-Dienst verwenden, müssen Sie
die Webseiten so anpassen, dass der lokale Host an einem anderen Port als dem
Standardport kontaktiert wird.
Hinweis: Bei der Installation von MetaFrame Presentation Server-Systemen
können Sie erzwingen, dass der Citrix XML-Dienst denselben TCP/IP-Port wie IIS
verwendet. Wenn Sie diese Portfreigabe aktivieren, verwenden der Citrix XMLDienst und der Webserver standardmäßig denselben Port.
Als Mindestsicherung können Sie sowohl den Webserver als auch den MetaFrameServer hinter einem Firewall einrichten, damit die Kommunikation zwischen den
beiden Servern offenen Internetverbindungen verborgen bleibt. In diesem Szenario
müssen die Clientgeräte in der Lage sein, über den Firewall mit dem Webserver und
dem MetaFrame-Server zu kommunizieren. Der Firewall muss HTTP-Datenübertragungen für die Kommunikation zwischen Clientgerät und Webserver
zulassen (meist über den HTTP-Standardport 80 oder 443, wenn ein sicherer Webserver verwendet wird). Für die Kommunikation zwischen Clients und Servern
muss der Firewall eingehende ICA-Datenübertragungen an Port 1494 und ausgehende Datenübertragungen an einem dynamisch erstellten Port über
Portnummer 1023 zulassen. Weitere Informationen zur Verwendung von ICA mit
Netzwerkfirewalls finden Sie in der Serverdokumentation.
Weitere Informationen zur Verwendung des Webinterface mit der Netzwerkadressübersetzung finden Sie im Handbuch Customizing the Web Interface.
Verwenden des HTTPS-Protokolls
Sie können mit dem HTTPS-Protokoll die zwischen dem Webserver und dem
MetaFrame-Server übergebenen Webinterface-Daten sichern. HTTPS bietet mit
SSL/TLS starke Verschlüsselung der Daten.
Der Webserver stellt eine HTTPS-Verbindung zu IIS auf dem MetaFrame-Server
her. Hierfür ist die IIS-Portfreigabe auf dem MetaFrame-Server und das Aktivieren
von SSL für den auf dem MetaFrame-Server ausgeführten IIS erforderlich.
Der Servername, den Sie mit der Webinterface Console oder im Parameter
SessionField.NFuse_farm in der Datei WebInterface.conf angeben, muss ein
vollqualifizierter DNS-Name sein, der dem Namen auf dem SSL-Serverzertifikat
von IIS entspricht. Die Adresse des Citrix XML-Dienstes lautet:
https://<Servername>/scripts/wpnbr.dll.
Weitere Informationen zur Konfiguration des Webinterface für das HTTPSProtokoll mit der Webinterface Console finden Sie unter „Angeben des
Transportprotokolls“ auf Seite 68.
141
So konfigurieren Sie das Webinterface für HTTPS mit der Datei
WebInterface.conf:
2. Ändern Sie SessionField.NFuse_Transport zu HTTPS.
Presentation Server
Bei der Webinterface-Kommunikation zwischen Clientgeräten und Servern werden
verschiedene Typen von Clientsitzungsdaten übergeben, einschließlich Initialisierungsanfragen und Clientsitzungsinformationen.
•
Initialisierungsanfragen: In der ersten Phase beim Herstellen einer Clientsitzung, die Initialisierung genannt wird, fordert der Client eine Clientsitzung an
und übergibt eine Liste der Konfigurationsparameter für die Sitzung. Diese
Parameter steuern zahlreiche Aspekte der Clientsitzung, u. a. welcher Benutzer
angemeldet wird, die Größe des angezeigten Fensters und das in der Sitzung
ausgeführte Programm.
•
Clientsitzungsinformationen: Nach der Clientsitzungsinitialisierung übergibt
der Client Tastatur- und Mauseingaben des Benutzers als grafische Aktualisierungen des Benutzerclients an den Server.
Risiken
Um die Netzwerkkommunikation zwischen dem Client und dem Server abzufangen
und zu interpretieren, muss ein Angreifer in der Lage sein, das binäre Clientprotokoll zu entschlüsseln. Ein Angreifer, der das binäre Clientprotokoll kennt, kann
folgende Informationen abfangen:
•
Informationen zu den Initialisierungsanforderungen, die vom Client gesendet
werden, einschließlich der Anmeldeinformationen
•
Clientsitzungsinformationen, einschließlich des vom Benutzer eingegebenen
Texts und der vom Benutzer eingegebenen Mausklicks, sowie Bildschirmaktualisierungen, die vom Server gesendet werden
142
Empfehlungen
Verwenden von SSL/TLS- oder ICA-Verschlüsselung
Citrix empfiehlt die Implementierung der SSL/TLS- oder ICA-Verschlüsselung
zum Sichern der Datenübertragungen zwischen den Clients und den Servern. Beide
Verfahren unterstützen die Verschlüsselung des Datenstroms zwischen dem Client
und dem Server mit 128 Bit. SSL/TLS unterstützt außerdem die Überprüfung der
Identität des Servers.
Unterstützung für SSL ist in Feature Release 1 für MetaFrame XP oder höher und
Feature Release 1 für MetaFrame für UNIX oder höher enthalten.
SSL/TLS wird von Feature Release 2 für MetaFrame XP oder höher unterstützt.
Unterstützung für ICA-Verschlüsselung ist in Feature Release 1 für MetaFrame 1.8
und MetaFrame Presentation Server oder höher enthalten.
Eine Liste der Clients, die beide Verfahren unterstützen, finden Sie in der Clientdokumentation oder auf der Citrix Download-Website. Weitere Informationen zur
ICA-Verschlüsselung finden Sie im MetaFrame Presentation Server-Administratorhandbuch.
Verwenden von Secure Gateway
Mit Secure Gateway können Sie die Datenübertragung über das Internet zwischen
den Clients und den Servern sichern. Secure Gateway ist ein sicheres Internetgateway zwischen SSL/TLS-aktivierten Clients und Servern.
Weitere Informationen zu Secure Gateway finden Sie im Secure GatewayAdministratorhandbuch. Weitere Informationen zur Konfiguration des Webinterface für Secure Gateway mit der Webinterface Console finden Sie unter „Konfigurieren der Secure Gateway-Unterstützung“ auf Seite 78.
Allgemeine Sicherheitsüberlegungen
Citrix empfiehlt, dass Sie genauso wie bei jedem Windows-basierten Server die
Microsoft Standardrichtlinien für die Konfiguration des Windows-Servers einhalten. Insbesondere sollten Sie bei der Installation des Servers darauf achten, dass
Sie nicht das FAT-Dateisystem (File Allocation Table) verwenden, da bei diesem
Dateisystem außer Administratoren möglicherweise auch andere Benutzer die
Webinterface Console ausführen können.
Stellen Sie sicher, dass für alle Komponenten immer die neuesten Patches installiert
sind. Weitere Details und die neuesten Download-Empfehlungen finden Sie auf der
Microsoft Website http://support.microsoft.com.
KAPITEL 6
Verwenden von
Program Neighborhood-Agent
Übersicht
In diesem Kapitel wird Program Neighborhood-Agent und die Konfiguration dieser
Funktion mit der Datei Config.xml erläutert. Unter anderem werden folgende
Themen behandelt:
•
•
Verwenden der Program Neighborhood Agent Console
•
Verwenden der Datei Config.xml
•
Konfigurieren des Webinterface mit Program Neighborhood-Agent
•
Sichern von Program Neighborhood-Agent mit SSL
144
Mithilfe von Program Neighborhood-Agent können Benutzer auf veröffentlichte
Anwendungen direkt vom Windows-Desktop ohne einen Webbrowser zugreifen.
Sie können remote konfigurieren, dass Links zu veröffentlichten Anwendungen im
Startmenü, auf dem Windows-Desktop oder in der Windows-Taskleiste erstellt
werden. Die Oberfläche von Program Neighborhood-Agent kann auch „gesperrt“
werden, um eine falsche Konfiguration von Seiten der Benutzer zu verhindern. Sie
können Program Neighborhood-Agent sowohl mit der Program Neighborhood
Agent Console als auch mit der Datei Config.xml konfigurieren.
Für die Verwendung von Program Neighborhood-Agent muss sich die Datei
Config.xml im Verzeichnis /Citrix/PNAgent auf dem Webinterface-Server
befinden.
Aus Sicherheitsgründen können sich Benutzer nicht über Program NeighborhoodAgent anmelden, wenn das Webinterface RSASecurID-Authentifizierung
verwendet.
Verwenden der Program Neighborhood Agent Console
Program Neighborhood-Agent ist mit standardmäßigen Darstellungsoptionen,
Authentifizierungsmethoden und Serververbindungsoptionen konfiguriert. Die
Konsole ist eine grafische Benutzeroberfläche, mit der die Standardeinstellungen so
eingestellt werden können, dass Benutzer bestimmte Optionen nicht ändern
können.
Mit der Konsole können Sie mehrere Konfigurationsdateien erstellen, die in demselben Verzeichnis auf dem Webinterface-Server gespeichert werden. Sie können
Konfigurationsdateien erstellen und löschen und Werte von einer bestimmten
Konfigurationsdatei laden oder in einer bestimmten Konfigurationsdatei speichern.
Die Konsole zeigt an, welche Konfigurationsdatei jeweils zurzeit geladen ist. Die
Standardkonfigurationsdatei ist Config.xml.
Weitere Informationen zum Verwenden der Konsole finden Sie im Client für
32-Bit-Windows-Administratorhandbuch.
Kapitel 6 Verwenden von Program Neighborhood-Agent
145
Verwenden der Datei Config.xml
Sie können Program Neighborhood-Agent auch mit der Datei Config.xml konfigurieren, die sich im Verzeichnis wwwroot\Citrix\PNAgent auf dem WebinterfaceServer befindet.
Die Datei Config.xml enthält zahlreiche Parameter, die in acht Kategorien
unterteilt sind:
•
FolderDisplay: Gibt an, wo Anwendungssymbole angezeigt werden: im Startmenü, auf dem Windows-Desktop oder in der Taskleiste. Sie können auch mit
zusätzlichen Parametern einen bestimmten Ordner im Startmenü und die auf
dem Windows-Desktop zu verwendeten Symbole angeben. Diese Parameter
entsprechen den Optionen auf der Registerkarte Anwendungsanzeige im Dialogfeld Program Neigborhood-Agent - Eigenschaften.
•
DesktopIntegration: Bearbeiten Sie diesen Parameter nicht.
•
ConfigurationFile: Ermöglicht die Angabe einer anderen URL für die Datei
Config.xml des zukünftig verwendeten Clients. Dies vereinfacht ein Verlagern
der Benutzer auf einen anderen Webinterface-Server.
•
Request: Gibt an, von welcher Stelle der Client die Informationen zu veröffentlichten Anwendungen anfordert und wie oft die Informationen aktualisiert werden.
•
Logon: Gibt die verwendete Anmeldemethode an.
•
UserInterface: Gibt an, ob für den Benutzer bestimmte Optionen in der Program
Neighborhood-Agent-Oberfläche ein- oder ausgeblendet werden.
•
FileCleanup: Bearbeiten Sie diesen Parameter nicht.
•
ICA_Options: Gibt die Audio- und Videooptionen für die Clientverbindungen
an. Dieser Parameter entspricht den Optionen auf der Registerkarte ICAOptionen im Dialogfeld Program Neighborhood-Agent - Eigenschaften.
Weitere Informationen zum Verwenden der Datei Config.xml finden Sie im Client
für 32-Bit-Windows-Administratorhandbuch.
Konfigurieren des Webinterface mit Program
Neighborhood-Agent
Bestimmte Einstellungen in der Datei WebInterface.conf wirken sich auf die
Überprüfung der Anfragen von Program Neighborhood-Agent aus. Citrix empfiehlt, dass die Einstellungen in der Datei WebInterface.conf mit den Einstellungen der Datei Config.xml in Program Neighborhood-Agent übereinstimmen.
In diesem Abschnitt wird die Konfiguration der Einstellungen in der Datei
WebInterface.conf mit Program Neighborhood-Agent erläutert.
146
So konfigurieren Sie das Webinterface bei Verwendung von Program
Neighborhood-Agent:
2. Suchen Sie die folgenden Parameter:
•
AuthenticationMethods
•
ForceLoginDomain
•
LoginType
•
NDSTreeName
Die folgende Tabelle erläutert die Parameter (in alphabetischer Reihenfolge),
die Werte, die sich auf die Einstellungen von Program Neighborhood-Agent
auswirken, und die empfohlenen Einstellungen:
Parameter
Wert
Empfohlene Einstellung
AuthenticationMethods
Nicht
zutreffend
Verwenden Sie dieselbe Authentifizierungsmethode, die im Webinterface konfiguriert wurde.
Die Authentifizierung schlägt fehl, wenn sich diese
Methode in Config.xml unterscheidet.
ForceLoginDomain
Nicht
zutreffend
Dieses Feld verhindert, dass sich Benutzer von
Program Neighborhood-Agent mit einer anderen
Domäne authentifizieren können.
LoginType
NDS
NDS muss in der Datei Config.xml aktiviert sein.
NDSTreeName
Nicht
zutreffend
Der Parameter DefaultTree im Abschnitt Logon der
Datei Config.xml muss dieselbe Einstellung haben.
3. Starten Sie den Webinterface-Server neu, um die Änderungen zu übernehmen.
Weitere Informationen zu den Einstellungen in der Datei Config.xml finden Sie im
Client für 32-Bit-Windows-Administratorhandbuch. Weitere Informationen zu den
Einstellungen in der Datei WebInterface.conf finden Sie unter „Konfigurieren des
Kapitel 6 Verwenden von Program Neighborhood-Agent
147
Sichern von Program Neighborhood-Agent mit SSL
Wenn Sie die Kommunikation zwischen Program Neighborhood-Agent und dem
Webinterface-Server mit SSL sichern möchten, legen Sie für die URLs in den folgenden Parametern in der Datei Config.xml die Verwendung von HTTPS fest.
Möglicherweise sind nicht alle Parameter in der Dateiversion angegeben.
•
FolderDisplay/DesktopDisplay/Icon/Location
•
ConfigurationFile/Location
•
Request/Enumeration/Location
•
Request/Resource/Location
Wenn Sie die Verbindung zwischen Program Neighborhood-Agent und dem Server
mit SSL sichern möchten, folgen Sie den unter „Angeben des Transportprotokolls“
auf Seite 68 angeführten Anweisungen zur Konfiguration des Webinterface für
SSL. Aktivieren Sie SSL aktivieren auf der Registerkarte ICA-Clientoptionen im
Dialogfeld für Anwendungseigenschaften in der Managementkonsole.
Beispiel
Wenn die Zeile Request/Resource/Location <Location>http://server3.eng.
citrix.com/Citrix/PNAgent/launch.aspx</Location> lautet, ändern Sie diese in
<Location>https://server3.eng.citrix.com/Citrix/PNAgent/launch.aspx
</Location>.
149
Index
A
Acrobat Reader
Anforderungen 11
Adressübersetzung
Angeben des Standardverhaltens 70
Konfigurationsbeispiele 73
Konfigurieren 69, 103
Konfigurieren spezifischer Einstellungen 71
Secure Gateway 79
Subnetzadressen 71
Subnetzmasken 71
Zuordnen 72
Aktualisieren 30
Alternative Adresse
Konfigurieren 71–72, 101
Anmeldeseite 44–45
Festlegen des Standards 121
Anonyme Authentifizierung 45
Info 44
Sicherheitsüberlegungen 46
Anwendungsgruppen 17
Anwendungsveröffentlichung 17
appsrv.ini-Datei
Bearbeiten für Single Sign-On 52
Bearbeiten für Smartcard-Unterstützung 48
ASP.NET 12
Authentifizierung
Konfigurieren 43
Automatische Bereitstellung des Webclients
Konfigurieren 102
B
Benutzeranforderungen 28
C
Citrix SSL-Relay
Konfigurieren des Webinterface 68, 119
siehe auch SSL
Übersicht 132
Citrix XML-Dienst
Anzeigen der Portzuordnung 31
Für UNIX-Betriebssystem 24
Konfigurieren der Fehlertoleranz 66
Konfigurieren der Kommunikation 65, 119
Rolle im Webinterface 18
TCP/IP-Portkonfiguration 67
Client für Java
Bereitstellen 92
Bereitstellen der Komponenten 92, 107
Pakete 92
Übersicht 127
Client für Win32
Automatisches Bereitstellen 88
Installationsdateien 125
Konfigurieren für Smartcard-Unterstützung 47
Konfigurieren von Single Sign-On 52
Program Neighborhood-Agent 128
Webclient
Automatische Bereitstellung 102
Clientbereitstellung
siehe webbasierte Clientinstallation
Clientdateien
Kopieren auf den Server 124
Clientgeräte
Anforderungen 29
Sicherheit 134, 141
Clientinstallation 96
Clients
Benutzeranpassung 97
Bereitstellen 85
Bereitstellen mit benutzerdefinierten Zertifikaten 94
Download-Einstellungen 96
Installation 96
Clientseitige Proxyeinstellungen
Konfigurieren 82
Konfigurieren einzelner Proxy 84
Konfigurieren spezifischer Einstellungen 84
Standardeinstellung 83
Clientsitzungen
Benutzereinstellungen 100
Config.xml 128
Info 145
Cookies 135
150
D
I
Deinstallieren 36
Dell Axim
Anforderungen 29
DMZ-Einstellungen 69
Dokumentation
Andere Quellen 10
Domänenbasierte Authentifizierung
von Microsoft 53, 108
ICA-Dateien 20, 135
ICA-Java-Client
siehe Client für Java
ICA-Verschlüsselung 132, 142
Inhaltsveröffentlichung 13
Initialisierung 141
Installationsmeldungen 96, 104, 118, 124, 126
Überschreiben 108
Installieren
IIS 32
Übersicht 30
UNIX-Plattformen 34
Internet Explorer
Unterstützte Versionen 29
Internet Server Application Program Interface
siehe ISAPI
Internet-Informationsdienste
Anforderungen 27
iPaq
Anforderungen 29
ISAPI
Unterstützung
E
Explizite Authentifizierung
Info 44
F
Fehlermeldungen
Deaktivieren 120
Fehlertoleranz
File Allocation Table (FAT) 142
Firewall
Konfigurieren der Adressübersetzung 69, 103
G
Gültigkeitsdauer
Tickets 58
J
JavaServer Pages 12, 40
H
K
Hilfe
Anzeigen 43
HTTP 68
HTTPS 68
HTTPS-Protokoll 140
Kennwort
Benutzerseitiges Ändern 54, 101
Klassen 18, 20
Komponenten-CD-ROM 29
Kontextname 54
Kontextsensitive Hilfe 43
L
Legacy-Unterstützung 97
Load Balancing
XML-Anfragen 67
Zwischen Secure Ticket Authorities 80, 105
M
UNIX-Konfigurationsanforderungen 26
MetaFrame Presentation Server für UNIX
Ermitteln der Ports für den Citrix XML-Dienst 32
N
NDS
Authentifizierung 25, 54, 108
Unterstützung 13
Netscape Navigator
Unterstützte Versionen 29
Netzwerkadressübersetzung 69–70, 103
Konfigurationsbeispiele 73
Secure Gateway 79
Node Secret
RSA SecurID 57
Normale Adresse 70
Konfigurieren 71–72
Novell Directory Services
siehe NDS
O
Onlinehilfe 43
P
Personal Digital Assistants
Anforderungen 29
Unterstützte Konfigurationen 29
Pocket IE
Anforderungen 28
Pocket PC
Anforderungen 28–29
Portadressübersetzung 70
Konfigurationsbeispiel 76
Problembehandlung
Installation 35
Index
Program Neighborhood-Agent 128
Config.xml 145
Info 128
Konfigurieren 144
Konsole 144
Sichern 147
Protokoll
Transport 68
Proxyserver
Q
QuickInfo
Anzeigen 43
R
Readme-Datei 10
Red Hat
Anforderungen 28
Remotedesktopverbindung
Anforderungen 87
Angeben der Klassen-IDs 91
Angeben der Versionen 91
Konfigurieren von Einstellungen 91
Zone „Vertrauenswürdige Sites“ 87
Reparieren, Option 35
RSA SecurID
Aktivieren der Authentifizierung 56
Aktivieren mit der Konsole 57
Authentifizierung 54
Node Secret-Überlegungen 57
PASSCODES 56
Tokencodes 56
151
152
S
Safari
Anforderungen 28
SafeWord
Anforderungen 55
Anforderungen für den Agent für
das Webinterface 55
Secure Gateway
Info 133
Konfigurationsbeispiel 81, 120
Konfigurieren des Webinterface 71–72, 78
Ticketing 79
Zwischen Clients und MetaFrame
Presentation Server 142
Secure Sockets Layer
siehe SSL
Secure Ticket Authority 79, 112
SecureICA
siehe ICA-Verschlüsselung
Server
Anforderungen 27
Konfigurieren der Kommunikation 65, 119
Sicherheit 136
Skripts 40
Serverfarmen
Entfernen 64
Erstellen 64
Überlegungen zur Kennwortänderung 63
Verwalten 64
Sicherheit 129
Allgemeine Überlegungen 142
Anonyme Authentifizierung 46
Citrix SSL-Relay
ICA-Verschlüsselung 132
Installieren des Webinterface 31
Kommunikation zwischen Client und Server 133
Konfigurieren des Citrix SSL-Relays 138
Netzwerkkommunikation 134, 137
Client und Server 141
Protokolle und Citrix Lösungen 131
Secure Gateway 133
Konfigurieren des Webinterface 78
SSL
Hinzufügen von Zertifikaten 139
Webserver und Webbrowser 136
TLS
Übersicht 131
Webserver und Webbrowser 136
Sichern des Webinterface 133
Single Sign-On
Info 44
Konfigurieren 51
Smartcardunterstützung 49
Sitzungen
siehe Clientsitzungen
Smartcard
Anforderungen 47
Info 44
Konfigurieren von Single Sign-On 49
Socket-Pooling 109
Solaris
Anforderungen 28
SSL
Hinzufügen von Zertifikaten 139
Konfigurieren des Citrix SSL-Relays 138
Secure Gateway 78
Sichere Webserver 136
siehe Citrix SSL-Relay
Übersicht 131
Unterstützung
Verschlüsselungssammlungen 110
Zertifikatschlüssellänge 131
Stammzertifikate
Hinzufügen 139
Standardadressübersetzung: 70
Subnetzadressen 71
Subnetzmasken 71
Systemanforderungen 24–30
Clientgerät 29
Server 27
Index
T
W
Ticketing 14, 135
Konfigurieren der Ticketgültigkeitsdauer 58, 116
Secure Gateway 79
TLS
Secure Gateway 78
Sichere Webserver 136
Übersicht 131
Verschlüsselungssammlungen 110
Tomcat
Anforderungen 28
Transportprotokoll 68
Web Interface Console
Info 40–41
Webbasierte Clientinstallation 19
Kopieren von Clients auf den Server 124
Webclient
Angeben der Klassen-IDs 91
Angeben der Versionen 91
Bereitstellen 88
Konfigurieren 91
Webinterface
Ausführen auf einem Server 139
Benutzereinstellungen 100
Bereitstellen für Benutzer 120
Einführung 11
Funktionen 12
Funktionsweise 19
Konfigurieren mit Program
Neighborhood-Agent 145
Übersicht 19
WebInterface.conf
Info 40
Konfigurieren des Webinterface 98
Parameter 99
WebSphere
Anforderungen 28
Win CE
Anforderungen 29
Windows-Authentifizierung 53
Windows-basierte Terminals 29
WinTerm
Anforderungen 29
Workspace Control
Abmeldeverhalten 62
Aktivieren 61
Anforderungen 60
Automatische Wiederverbindung 62
Info 59
Integrierte Authentifizierung 60
Wiederverbinden, Option 62
Wyse
Anforderungen 29
U
Übernehmen von Änderungen 42
Übersetzte Adresse
Konfigurieren 71–72, 111
Unicode-ICA-Dateien 97
UNIX-Plattformen
Installieren 34
UPN
Einschränken von Suffixen 53
Unterstützung
User Principal Name
siehe UPN
V
Veröffentlichen von Anwendungen 17
Veröffentlichen von Inhalten 13
Verschlüsselungssammlung
Konfigurieren von Einstellungen 110
Verzeichnisdienst-Zuordnungsprogramm
von Windows 48
Z
153

Webinterface-Administratorhandbuch

Transcription

Similar documents

Webinterface-Administratorhandbuch

Benutzeranleitung WL

Sichere Internetanbindung von Schulen

LANDesk® Inventory Manager 9

Citrix ICA-Client Administratorhandbuch