Webinterface-Administratorhandbuch

Transcription

Die anderen Handbücher in dieser Dokumentationssammlung
finden Sie im Document Center.
Webinterface für MetaFrame Presentation Server
Citrix® MetaFrame® Presentation Server 4.0
Die Verwendung des in diesem Handbuch beschriebenen Produkts unterliegt der Annahme der Endbenutzerlizenzvereinbarung.
Eine Kopie der Endbenutzerlizenzvereinbarung finden Sie jeweils im Stammverzeichnis der MetaFrame Presentation ServerCD-ROM und der Komponenten-CD-ROM.
Copyright und Marken
Die in diesen Unterlagen enthaltenen Angaben und Daten können ohne vorherige Ankündigung geändert werden. Die in den
Beispielen verwendeten Firmen, sonstigen Namen und Daten sind frei erfunden, sofern nichts anderes angegeben ist. Ohne
ausdrückliche schriftliche Erlaubnis von Citrix Systems, Inc. darf kein Teil dieser Unterlagen für irgendwelche Zwecke vervielfältigt oder übertragen werden, unabhängig davon, auf welche Art und Weise oder mit welchen Mitteln, weder elektronisch
noch mechanisch. Ausgenommen davon ist das einmalige Ausdrucken des Dokuments für den persönlichen Gebrauch.
Copyright © 2001-2005 Citrix Systems, Inc. Alle Rechte vorbehalten.
Citrix, ICA (Independent Computing Architecture), NFuse, Citrix Solutions Network, MetaFrame, MetaFrame XP, Program
Neighborhood und SpeedScreen sind eingetragene Marken oder Marken von Citrix Systems, Inc. in den USA und anderen
Ländern.
RSA Encryption © 1996-1997 RSA Security, Inc. Alle Rechte vorbehalten.
Marken
Adobe, Acrobat und PostScript sind Marken oder eingetragene Marken von Adobe Systems Incorporated in den USA und/oder
anderen Ländern.
Apple, LaserWriter, Mac, Macintosh, Mac OS und Power Mac sind eingetragene Marken oder Marken von
Apple Computer Inc.
Java, Sun und SunOS sind Marken oder eingetragene Marken von Sun Microsystems, Inc. in den USA und anderen Ländern.
Solaris ist eine eingetragene Marke von Sun Microsystems, Inc. Sun Microsystems, Inc. hat dieses Produkt weder getestet noch
genehmigt.
Microsoft, MS-DOS, Windows, Windows NT, Win32, Outlook, ActiveX und Active Directory sind eingetragene Marken oder
Marken der Microsoft Corp. in den USA und/oder anderen Ländern.
Novell Directory Services, NDS und NetWare sind eingetragene Marken von Novell, Inc. in den USA und anderen Ländern.
Novell Client ist eine Marke von Novell, Inc.
SafeWord ist eine Marke der Secure Computing Corporation, eingetragen in den USA und anderen Ländern.
UNIX ist eine eingetragene Marke von The Open Group.
Apache ist entweder eine eingetragene Marke oder eine Marke von Apache Software Foundation in den USA und/oder anderen
Ländern.
JavaServer Pages und Sun ONE Application Server sind entweder eingetragene Marken oder Marken der Sun Microsystems
Corporation in den USA und/oder anderen Ländern.
Dieses Produkt verwendet XML Parser for Java Edition von IBM, © 1999, 2000 IBM Corporation.
Alle anderen Marken und eingetragenen Marken sind das Eigentum der jeweiligen Besitzer.
Dokumentcode: 3. März 2005, 10:09 (KM)
Gehe zu Document Center
Inhalt
3
Inhalt
Kapitel 1
Einführung
Übersicht. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Hinweise zur Benutzung dieses Handbuchs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Weitere Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Zugreifen auf die Dokumentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Einführung in das Webinterface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Webinterface-Funktionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
MetaFrame Presentation Server-Sites . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Program Neighborhood Agent-Dienste-Sites. . . . . . . . . . . . . . . . . . . . . . 13
MetaFrame Conferencing Manager-Gastteilnehmersites. . . . . . . . . . . . . 13
Verwaltungsfunktionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Funktionen für den Anwendungszugriff . . . . . . . . . . . . . . . . . . . . . . . . . 14
Sicherheitsfunktionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Funktionen zur Clientbereitstellung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Neue Funktionen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Access Suite Console-Verwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Installationsfunktionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Funktionen für Benutzer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Authentifizierungs- und Sicherheitsfunktionen . . . . . . . . . . . . . . . . . . . . 18
Verbesserte Fehlerbehandlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Verwaltungsfunktionen für Sites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Webinterface-Komponenten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Serverfarmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Webserver. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Clientgeräte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Funktionsweise des Webinterface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Nächste Schritte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Kapitel 2
Bereitstellen des Webinterface
Übersicht. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Systemanforderungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Serveranforderungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Unterstützte Versionen von MetaFrame Presentation Server . . . . . . . . . 24
Access Suite Console . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
4
Zusätzliche Softwareanforderungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Allgemeine Konfigurationsanforderungen. . . . . . . . . . . . . . . . . . . . . . . . 27
Anforderungen für Webserver . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Windows-Plattformen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
UNIX-Plattformen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
Benutzeranforderungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
Personal Digital Assistants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
Anforderungen für MetaFrame Presentation Server-Clientgeräte. . . . . . . . . . . 31
Installieren des Webinterface. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Installationsübersicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Installieren des Webinterface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Aktualisieren einer bestehenden Installation . . . . . . . . . . . . . . . . . . . . . . 32
Sicherheitsüberlegungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Leistungsaspekte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
Installieren des Webinterface auf Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Installieren des Webinterface auf UNIX-Plattformen . . . . . . . . . . . . . . . . . . . . 36
Verwenden von MetaFrame Conferencing Manager unter UNIX . . . . . . 37
Verwenden der Befehlszeile zur Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Verwenden von Sprachpaketen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
Entfernen von Sprachpaketen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
Bereitstellen von Sprachen für Benutzer . . . . . . . . . . . . . . . . . . . . . . . . . 40
Nächste Schritte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Durchführen und Konfigurieren der Discovery . . . . . . . . . . . . . . . . . . . . . . . . . 41
Erstellen von Sites. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Erstellen von Sites auf UNIX-Webservern . . . . . . . . . . . . . . . . . . . . . . . 43
Angeben der Sitekonfiguration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
Verwenden von Sitetasks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
Problembehandlung bei der Installation des Webinterface. . . . . . . . . . . . . . . . . . . 45
Verwenden der Option „Reparieren“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Deinstallieren des Webinterface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
Deinstallieren des Webinterface auf Microsoft IIS . . . . . . . . . . . . . . . . . . . . . . 46
Deinstallieren des Webinterface auf UNIX-Plattformen. . . . . . . . . . . . . . . . . . 46
Kapitel 3
Konfigurieren des Webinterface
Übersicht. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
Auswählen einer Konfigurationsmethode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
Konfigurieren von Sites mit der Access Suite Console. . . . . . . . . . . . . . . . . . . . . . 50
Inhalt
5
Aufrufen der Hilfe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
Erste Schritte mit der Access Suite Console . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Durchführen der Discovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Erstellen von Sites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
Ausführen von Tasks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Verwalten von Serverfarmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
Konfigurieren von Servereinstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . 55
Konfigurieren von Einstellungen für alle Server . . . . . . . . . . . . . . . . . . . 57
Festlegen erweiterter Servereinstellungen . . . . . . . . . . . . . . . . . . . . . . . . 59
Konfigurieren der Authentifizierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Authentifizierungsmethoden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Empfehlungen für die Authentifizierung . . . . . . . . . . . . . . . . . . . . . . . . . 61
Aktivieren der Smartcard-Authentifizierung . . . . . . . . . . . . . . . . . . . . . . 62
Aktivieren der Passthrough-Authentifizierung. . . . . . . . . . . . . . . . . . . . . 66
Aktivieren der Authentifizierungsmethoden „Explizit“ oder
„Zugriff bestätigen“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
Zwei-Faktor-Authentifizierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
Aktivieren von Secure Computing SafeWord auf IIS . . . . . . . . . . . . . . . . . . . . 70
Anforderungen für SafeWord. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
Anforderungen für den SafeWord Agent für das Webinterface. . . . . . . . 70
Aktivieren der SafeWord-Authentifizierung mit der Konsole . . . . . . . . . 71
Aktivieren der Authentifizierung mit RSA SecurID 6.0 auf IIS . . . . . . . . . . . . 71
SecurID-Anforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
Hinzufügen des Webinterface-Servers als Agent Host . . . . . . . . . . . . . . 71
Kopieren der Datei sdconf.rec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
Aktivieren der RSA SecurID-Authentifizierung mit der Konsole . . . . . . 71
Überlegungen zum Node Secret-Registrierungsschlüssel . . . . . . . . . . . . 72
Unterstützung mehrerer Domänen mit RSA SecurID . . . . . . . . . . . . . . . 73
Aktivieren der RSA SecurID 6.0-Windows-Kennwortintegration . . . . . 73
Aktivieren der Zwei-Faktor-Authentifizierung für UNIX. . . . . . . . . . . . . . . . . 73
Aktivieren von RADIUS mit SafeWord. . . . . . . . . . . . . . . . . . . . . . . . . . 74
Aktivieren von RADIUS mit RSA SecurID. . . . . . . . . . . . . . . . . . . . . . . 74
Hinzufügen der Webinterface- und RADIUS-Server als Agent Hosts . . 74
Erstellen eines gemeinsamen geheimen Schlüssels für RADIUS . . . . . . 75
Aktivieren der RADIUS-Zwei-Faktor-Authentifizierung mit der
Konsole . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
Verwenden des RADIUS-Challengemodus . . . . . . . . . . . . . . . . . . . . . . . 75
6
Verwenden von benutzerdefinierten Challengemeldungen . . . . . . . . . . . 76
Ändern von Sitzungsoptionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
Verwalten von Anwendungsverknüpfungen . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
Verwalten von Servereinstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
Anpassen der Darstellung für Benutzer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
Verwalten des sicheren Clientzugriffs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
Bearbeiten der DMZ-Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
Bearbeiten der Secure Gateway-Einstellungen . . . . . . . . . . . . . . . . . . . . 82
Bearbeiten von Adressübersetzungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
Anzeigen der sicheren Clientzugriffseinstellungen . . . . . . . . . . . . . . . . . 84
Verwalten der Clientbereitstellung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
Anforderungen für Remotedesktopverbindungen . . . . . . . . . . . . . . . . . . 86
Konfigurieren von Installationsmeldungen . . . . . . . . . . . . . . . . . . . . . . . 89
Kompatibilität mit Webservern mit asiatischen Sprachen . . . . . . . . . . . . 90
Anpassen der Bereitstellung des Clients für Java. . . . . . . . . . . . . . . . . . . 90
Bearbeiten von clientseitigen Proxyeinstellungen . . . . . . . . . . . . . . . . . . . . . . . 94
Verwalten von Einstellungen für Clientverbindungen. . . . . . . . . . . . . . . . . . . . 96
Verwalten von Clientkonfigurationsdateien. . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
Verwenden von Optionen zur Anwendungsaktualisierung . . . . . . . . . . . . . . . . 99
Konfigurieren von Workspace Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
Funktionsanforderungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
Konfigurieren von Workspace Control mit integrierten
Authentifizierungsmethoden. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
Aktivieren von Workspace Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
Steuern der Diagnoseprotokollierung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
Load Balancing für Sites. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
Verwenden von Tasks für lokale Sites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
Verwalten von Konfigurationsquellen . . . . . . . . . . . . . . . . . . . . . . . . . . 104
Reparieren und Deinstallieren von Sites . . . . . . . . . . . . . . . . . . . . . . . . 104
Importieren und Exportieren von Konfigurationsdateien . . . . . . . . . . . . . . . . 105
Konfigurieren des Webinterface mit der Konfigurationsdatei . . . . . . . . . . . . . . . 105
Überlegungen zu Program Neighborhood Agent. . . . . . . . . . . . . . . . . . . . . . . 120
Beispiele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
Konfigurieren der Kommunikation mit MetaFrame Presentation
Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
Konfigurieren der Citrix SSL-Relay-Kommunikation. . . . . . . . . . . . . . 122
Konfigurieren der Secure Gateway-Unterstützung . . . . . . . . . . . . . . . . 122
Deaktivieren von Fehlermeldungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
Inhalt
7
Bereitstellen des Webinterface für die Benutzer . . . . . . . . . . . . . . . . . . . . . . . . . . 123
Festlegen der Anmeldeseite als Standardwebseite auf IIS. . . . . . . . . . . . . . . . 123
Nächste Schritte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
Kapitel 4
MetaFrame Presentation Server Clients und das Webinterface
Übersicht. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
Webbasierte Clientinstallation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
Kopieren der Installationsdateien für Clients auf den Webserver . . . . . . . . . . 126
Konfigurieren von webbasierten Clientinstallationen . . . . . . . . . . . . . . . . . . . 127
Installationsdateien für den Client für Win32 . . . . . . . . . . . . . . . . . . . . 127
Konfigurieren von Installationsmeldungen . . . . . . . . . . . . . . . . . . . . . . 128
Übersicht über den Client für Java. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
Übersicht über Program Neighborhood Agent . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
Nächste Schritte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
Kapitel 5
Konfigurieren der Webinterface-Sicherheit
Übersicht. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
Einführung in die Webinterface-Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
Sicherheitsprotokolle und Citrix Sicherheitslösungen. . . . . . . . . . . . . . . . . . . 133
SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
TLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
Citrix SSL-Relay . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
ICA-Verschlüsselung (Citrix SecureICA) . . . . . . . . . . . . . . . . . . . . . . . 134
Secure Gateway . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
Sichern der Webinterface-Kommunikation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
Sichern von Program Neighborhood Agent mit SSL . . . . . . . . . . . . . . . . . . . . . . 136
Beispiel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
Kommunikation zwischen dem Clientgerät und dem Webinterface-Server . . . . 137
Risiken. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
Empfehlungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
Implementieren SSL/TLS-aktivierter Webserver und Webbrowser . . . 138
Deaktivieren der Passthrough-Authentifizierung . . . . . . . . . . . . . . . . . . 139
Kommunikation zwischen dem Webinterface-Server und MetaFrame Presentation
Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
Risiken. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
Empfehlungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
Verwenden des Citrix SSL-Relays. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
Aktivieren des Webinterface-Servers auf dem MetaFrame-Server . . . . 142
8
Verwenden des HTTPS-Protokolls . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142
Kommunikation zwischen der Clientsitzung und MetaFrame
Presentation Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
Risiken. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
Empfehlungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
Verwenden von SSL/TLS- oder ICA-Verschlüsselung . . . . . . . . . . . . . 144
Verwenden von Secure Gateway . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
Allgemeine Sicherheitsüberlegungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
Kapitel 6
Verwenden von Program Neighborhood Agent
Übersicht. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
Verwenden von Program Neighborhood Agent . . . . . . . . . . . . . . . . . . . . . . . . . . 146
Konfigurieren des Webinterface mit der Access Suite Console . . . . . . . . . . . . . . 146
Verwenden der Datei Config.xml . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
Konfigurieren des Webinterface mit Program Neighborhood Agent . . . . . . . . . . 147
Sichern von Program Neighborhood Agent mit SSL . . . . . . . . . . . . . . . . . . . . . . 148
Beispiel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151
KAPITEL 1
Einführung
Übersicht
Willkommen beim Webinterface für MetaFrame Presentation Server. In diesem
Kapitel finden Sie eine Einführung in die Dokumentation und in das Webinterface.
Unter anderem werden folgende Themen behandelt:
•
Hinweise zur Benutzung dieses Handbuchs
•
Einführung in das Webinterface
•
Neue Funktionen
10
Hinweise zur Benutzung dieses Handbuchs
Das Webinterface-Administratorhandbuch wendet sich an MetaFrameAdministratoren und -Webmaster, die für das Installieren, Konfigurieren und
Verwalten von Sites für MetaFrame Presentation Server, Program Neighborhood
Agent und MetaFrame Conferencing Manager-Gastteilnehmer verantwortlich sind.
Dieses Handbuch stellt eine aufgabenorientierte Anleitung dar, mit der Sie das
Webinterface schnell und problemlos einrichten. In diesem Kapitel finden Sie eine
Einführung in die Dokumentation und in das Webinterface sowie eine Erläuterung
der in dieser Version enthaltenen neuen Funktionen. In den folgenden Kapiteln wird
erläutert, wie Sie das Webinterface bereitstellen und konfigurieren.
In diesem Handbuch werden Kenntnisse über MetaFrame Presentation Server für
Windows oder Citrix MetaFrame Presentation Server für UNIX vorausgesetzt.
Weitere Informationen
Das Webinterface umfasst die folgende Dokumentation:
•
Das Webinterface-Administratorhandbuch (dieses Dokument) gibt eine Übersicht über die Installation und Konfiguration des Webinterface-Servers, der
MetaFrame Presentation Server-Clientgeräte und der Sicherheit. Sie können auf
dieses Handbuch über das Document Center auf der MetaFrame Presentation
Server-CD-ROM und im Bereich Support der Citrix Website
(http://www.citrix.com) zugreifen.
•
Onlinehilfe für die Access Suite Console: Drücken Sie zum Zugreifen auf das
Hilfesystem auf F1 oder klicken Sie mit der rechten Maustaste auf einen Knoten
in der Konsolenstruktur und wählen Sie im Kontextmenü Hilfe aus.
•
Im Handbuch Customizing the Web Interface wird die Anpassung des
Webinterface erläutert. Dieses Handbuch finden Sie im Bereich Support auf
der Citrix Website (http://www.citrix.com).
•
Die MetaFrame Presentation Server-Readme-Datei enthält die neuesten
Informationen und Korrekturen zur Dokumentation sowie eine Liste bekannter
Probleme. Diese Datei finden Sie im Document Center auf der MetaFrame
Presentation Server-CD-ROM.
Kapitel 1 Einführung
11
Zugreifen auf die Dokumentation
Dieses Administratorhandbuch ist Teil der MetaFrame Presentation ServerDokumentation. Dazu gehören Onlinehandbücher, die die verschiedenen Funktionen von MetaFrame Presentation Server behandeln. Die Onlinedokumentation
liegt in Form von PDF-Dateien (Adobe Portable Document Format) vor.
Über das Document Center können Sie auf alle Onlinehandbücher zugreifen. Das
Document Center bietet einen zentralen Zugriffspunkt auf die gesamte Dokumentation und ermöglicht ein direktes Aufrufen des gewünschten Abschnitts. Das
Document Center enthält Folgendes:
•
Eine Liste häufig vorkommender Aufgaben und einen Link zum
entsprechenden Abschnitt der Dokumentation.
•
Eine Suchfunktion, die alle PDF-Handbücher abdeckt. Dies ist hilfreich, wenn
Sie eine Reihe verschiedener Handbücher konsultieren müssen.
•
Querverweise zwischen den einzelnen Dokumenten. Sie können über die Links
zu anderen Handbüchern und zum Document Center beliebig oft zwischen
einzelnen Dokumenten wechseln.
Wichtig: Damit Sie die PDF-Dokumentation anzeigen, durchsuchen und drucken
können, benötigen Sie Adobe Acrobat Reader 5.0.5 oder höher mit Acrobat Search.
Adobe Acrobat Reader steht zum kostenlosen Download auf der Website von
Adobe Systems unter http://www.adobe.com/ zur Verfügung.
Wenn Sie das Document Center nicht nutzen möchten, um auf die Handbücher
zuzugreifen, können Sie die PDF-Dateien auch über den Windows-Explorer
aufrufen. Wenn Sie gedruckte Dokumentation bevorzugen, können Sie die
Handbücher von Acrobat Reader aus ausdrucken.
Weitere Informationen zur Citrix Dokumentation und Hinweise dazu, wie Sie
weitere Informationen und Support erhalten, finden Sie im Handbuch
Schnelleinstieg für MetaFrame Presentation Server.
12
Einführung in das Webinterface
Mit dem Webinterface können Benutzer über einen Standardwebbrowser oder
Program Neighborhood Agent auf MetaFrame Presentation Server-Anwendungen
und -Inhalte zugreifen. Darüber hinaus können Sie MetaFrame Conferencing
Manager-Sites für die Gastteilnehmeranmeldung konfigurieren.
Das Webinterface setzt Java- und .NET-Technologie ein, die auf einem Webserver
ausgeführt wird und dynamisch HTML-basierte Darstellungen von Serverfarmen
für MetaFrame Presentation Server-Sites erstellt. Benutzer sehen genau die
Anwendungen in der Serverfarm bzw. den Serverfarmen, die Sie bereitgestellt
haben. Sie können eigenständige Websites für den Zugriff auf Anwendungen
erstellen sowie Websites, die Sie in Ihr Unternehmensportal integrieren können. Mit
dem Webinterface können Sie außerdem Einstellungen für Benutzer konfigurieren,
die mit Program Neighborhood Agent auf Anwendungen zugreifen. Darüber hinaus
können Sie Sites für Benutzer erstellen, die sich als Gast bei MetaFrame
Conferencing Manager anmelden.
Auf Windows-Plattformen kann das Webinterface mit der Access Suite Console
konfiguriert werden. Weitere Informationen zum Verwenden dieses Tools finden
Sie unter „Konfigurieren von Sites mit der Access Suite Console“ auf Seite 50.
Sie können außerdem die Konfigurationsdatei (WebInterface.conf) bearbeiten, um
MetaFrame Presentation Server-Sites zu erstellen und zu verwalten. Weitere
Informationen finden Sie unter „Konfigurieren des Webinterface mit der
Konfigurationsdatei“ auf Seite 105.
Darüber hinaus können Sie MetaFrame Presentation Server-Sites anpassen und
erweitern. Im Handbuch Customizing the Web Interface wird das Konfigurieren von
Sites mit diesen Verfahren erläutert.
Webinterface-Funktionen
In diesem Abschnitt werden die Funktionen des Webinterface erläutert. Weitere
Informationen zu den MetaFrame Presentation Server- und Clientversionen, die
für bestimmte Webinterface-Funktionen erforderlich sind, finden Sie unter
„Versionsanforderungen für MetaFrame Presentation Server und Clients“
auf Seite 25.
MetaFrame Presentation Server-Sites
Das Webinterface bietet Funktionen zum Erstellen und Verwalten von MetaFrame
Presentation Server-Sites. Die Benutzer greifen über einen Webbrowser auf
Anwendungen und Inhalte zu.
13
Program Neighborhood Agent-Dienste-Sites
Program Neighborhood Agent ist ein Client, der flexibel und einfach zu konfigurieren ist. Mit Program Neighborhood Agent in Verbindung mit dem Webinterface
können Sie veröffentlichte Ressourcen in Benutzer-Desktops integrieren. Benutzer
greifen über Symbole auf dem Desktop, im Startmenü, im Infobereich oder über
eine Kombination dieser Elemente auf Remoteanwendungen, Desktops und Inhalte
zu. Sie können die Konfigurationseinstellungen festlegen, auf die Benutzer
zugreifen können und die sie ändern können, wie zum Beispiel Audio-,
Darstellungs- und Anmeldungseinstellungen.
MetaFrame Conferencing Manager-Gastteilnehmersites
Das Webinterface stellt für Gastteilnehmer den Zugriff auf MetaFrame
Conferencing Manager-Konferenzen über einen Standardwebbrowser bereit. Ein
Gastteilnehmer ist eine Person, die zur Teilnahme an einer Konferenz eingeladen
wurde und die keinen NT-Domänennamen hat oder diesen nicht verwenden
möchte. Gastteilnehmer greifen über das Webinterface auf die Konferenz zu und
verwenden eine gesperrte Version der veröffentlichten MetaFrame Conferencing
Manager-Anwendung. Dabei unterliegen sie folgenden Einschränkungen:
•
Gastteilnehmer können keine Konferenzen erstellen oder starten.
•
Gastteilnehmer können in einer Konferenz keine Anwendungen starten.
Weitere Informationen zu MetaFrame Conferencing Manager finden Sie im
MetaFrame Conferencing Manager-Administratorhandbuch.
Verwaltungsfunktionen
Unterstützung für mehrere Serverfarmen: Sie können mehrere Serverfarmen
konfigurieren und Benutzern die in allen Farmen veröffentlichten Anwendungen
anzeigen. Mit dem Task Serverfarmen verwalten können Sie jede Serverfarm
einzeln verwalten. Weitere Informationen finden Sie unter „Konfigurieren der
Kommunikation mit MetaFrame Presentation Server“ auf Seite 121.
Vollständige administrative Kontrolle über die Anwendungsbereitstellung: Das
webserverseitige Skripting ermöglicht die Konfiguration aller Clientoptionen für
MetaFrame Presentation Server in serverseitigen Skripts und ICA-Dateien.
Integration mit bekannten Webtechnologien: Sie können mit ASP.NET von
Microsoft und JavaServer Pages von Sun Microsystems auf die Webinterface-API
zugreifen.
NDS-Unterstützung (Novell Directory Services): Die Webinterface-Seite Anmelden
für NDS enthält ein Kontextfeld, mit dem Benutzer ihren Benutzernamen in der
Struktur suchen und den Kontext ermitteln können, in dem sie sich befinden.
14
Unterstützung für Active Directory und UPN (User Principal Name): Alle
Webinterface-Komponenten sind mit Microsoft Active Directory kompatibel.
Benutzer, die MetaFrame Presentation Server-Sites öffnen, können sich an Serverfarmen anmelden, die Teil einer Active Directory-Bereitstellung sind, und die
veröffentlichten Anwendungen problemlos verwenden. Die Anmeldeseiten sind
mit der Verwendung von UPNs (User Principal Names) von Active Directory
kompatibel.
Funktionen für den Anwendungszugriff
Unterstützung für Server unter UNIX-Betriebssystemen: Die Unterstützung für
MetaFrame Presentation Server für UNIX-Serverfarmen ermöglicht dem
Webinterface das Anzeigen und Starten von UNIX-Anwendungen auf
Clientgeräten.
Backup-Server: Das Konfigurieren von Backup-Servern stellt sicher, dass
Benutzer bei einem Serverausfall weiterhin auf die Anwendungen zugreifen
können.
Anonyme Benutzer: Mit dieser Funktion können sich Benutzer anonym an
MetaFrame Presentation Server-Sites anmelden.
Starten von veröffentlichten Inhalten: Das Webinterface unterstützt die Funktionen
von MetaFrame Presentation Server zum Veröffentlichen von Inhalten.
Sicherheitsfunktionen
SSL (Secure Sockets Layer)/TLS-Unterstützung: Das Webinterface unterstützt SSL
für das Sichern der Kommunikation zwischen dem Webinterface-Server und den
Serverfarmen. Das Implementieren von SSL auf dem Webserver und die
Verwendung von Webbrowsern, die SSL unterstützen, gewährleisten eine sichere
Datenübertragung im Netzwerk. Das Webinterface verwendet für MetaFrame
Presentation Server-Sites auf Windows-Plattformen das SChannel-Sicherheitsprotokoll von Microsoft. Dieses Protokoll verwendet Kryptografie, die FIPS 140
(einem von einigen Unternehmen geforderten Standard) entspricht. Weitere
Informationen zur FIPS 140-Zertifizierung finden Sie auf der Website des NIST
(National Institute of Standards and Technology) (http://csrc.nist.gov/cryptval/).
Unterstützung für Secure Gateway für MetaFrame Presentation Server: Secure
Gateway stellt zusammen mit dem Webinterface einen einzelnen, sicheren und
verschlüsselten Zugangspunkt über das Internet zu Servern in internen Unternehmensnetzwerken bereit. Secure Gateway vereinfacht die Zertifikatverwaltung,
da nur der Secure Gateway-Server und nicht jeder Server in der Serverfarm ein
Serverzertifikat benötigt.
15
Ticketing: Diese Funktion bietet erhöhte Sicherheit bei der Authentifizierung. Das
Webinterface erhält Tickets, mit denen Benutzer bei veröffentlichten Anwendungen
authentifiziert werden. Tickets besitzen eine konfigurierbare Gültigkeitsdauer und
gelten nur für eine einzige Anmeldung. Nach Benutzung oder Ablauf ist das Ticket
ungültig und kann nicht mehr für den Zugriff auf Anwendungen verwendet werden.
Durch die Verwendung von Ticketing müssen Anmeldeinformationen nicht explizit
in den ICA-Dateien enthalten sein, mit denen das Webinterface Anwendungen
startet.
Funktionen zur Clientbereitstellung
Webbasierte Clientinstallation: Das Webinterface ermöglicht die Bereitstellung des
Clients für Win32 auf jedem Gerät mit einem Webbrowser. Wenn der Benutzer
eines Clientgeräts eine MetaFrame Presentation Server-Site öffnet, erkennt der
Clientinstallationscode das Gerät sowie den Webbrowsertyp und fordert den
Benutzer zur Installation eines entsprechenden Clients auf.
Unterstützung von Program Neighborhood Agent: Mit Program Neighborhood
Agent können Benutzer direkt vom Windows-Desktop ohne einen Webbrowser auf
MetaFrame Presentation Server-Anwendungen zugreifen. Sie können remote
konfigurieren, dass Links zu Remoteanwendungen im Startmenü, auf dem
Windows-Desktop oder im Windows-Infobereich erstellt werden. Die Oberfläche
von Program Neighborhood Agent kann auch „gesperrt“ werden, um eine falsche
Konfiguration von Seiten der Benutzer zu verhindern.
Neue Funktionen
Das Webinterface enthält die folgenden neuen Funktionen und Verbesserungen:
Access Suite Console-Verwaltung
Sie können mit der Access Suite Console sowohl ASP- als auch JSP-Sites erstellen
und konfigurieren.
Webinterface-Verwaltung: Webinterface-Verwaltungstasks sind jetzt in der Access
Suite Console enthalten. Zum Verwalten und Konfigurieren von Sites installieren
Sie die Access Suite Console und das Webinterface. Anschließend verwenden Sie
das Webinterface in der Konsole, um Sites zu erstellen.
Weitere Informationen über erste Schritte mit der Access Suite Console finden Sie
im MetaFrame Presentation Server-Administratorhandbuch.
Program Neighborhood Agent-Verwaltung: Verwaltungsaufgaben für Program
Neighborhood Agent sind jetzt in der Access Suite Console enthalten. Verwenden
Sie nach dem Erstellen einer Program Neighborhood Agent-Dienste-Site die Tasks
zum Konfigurieren und Verwalten der Site.
16
MetaFrame Conferencing Manager-Gastteilnehmerverwaltung: Benutzer können als
Gastteilnehmer an Conferencing Manager-Konferenzen teilnehmen und sich dabei
zum Beispiel mit ihren E-Mail-Adressen anmelden. Mit der Access Suite Console
können Sie Conferencing Manager-Sites für Gastteilnehmer erstellen und
konfigurieren.
Installationsfunktionen
Unterstützung mehrerer Websites: Das Webinterface stellte bisher die Installation
einer Webinterface-Site und einer Program Neighborhood Agent-Dienste-Site auf
jedem Windows-Server zur Verfügung. Mit der Access Suite Console können Sie
nun mehrere Sites installieren und müssen weitere Sites nicht manuell erstellen.
Befehlszeilenoptionen von Installationsprogrammen: Windows- und UNIXInstallationen können von der Befehlszeile aus ausgeführt werden und ermöglichen
so automatisches Installieren, Warten und Ausführen von Tasks für lokale Sites.
Funktionen für Benutzer
Mehrsprachige Benutzeroberfläche: Es gibt jetzt eine einzige Version des
Webinterface, die alle Sprache enthält. Die Darstellung kann je nach Benutzer- und
Administratorwünschen dynamisch geändert werden.
Durch Sprachpakete werden mehrere Sprachen unterstützt. Mit einem Sprachpaket
können Sie Sites einschließlich der Ressourcendateien und lokalisierter Bilder in
einer bestimmten Sprache anzeigen. Für Englisch, Französisch, Deutsch, Spanisch
und Japanisch sind Sprachpakete bei der Installation des Webinterface verfügbar.
Darüber hinaus können einer vorhandenen Site jederzeit Sprachpakete hinzugefügt
werden. Die Sprachpakete werden zentral gespeichert, sodass alle Sites auf sie
zugreifen können.
Wenn Benutzer einer MetaFrame Presentation Server- oder einer Conferencing
Manager-Site zum ersten Mal die Seite Anmelden öffnen, wird die bevorzugte
Benutzersprache über die vom Browser gesendeten Informationen ermittelt und die
Seite wird in der entsprechenden Sprache angezeigt. Darüber hinaus können
Benutzer eine Sprache auswählen; die Seite wird dann automatisch erneut in dieser
Sprache geladen.
Erweiterte Benutzeroptionen und neue Einstellungen: Die Seite Anmelden bietet
jetzt im Bereich Erweiterte Optionen zusätzliche Optionen: Workspace Control,
Clientauswahl, Sprachauswahl und Bandbreitensteuerung.
17
Außerdem enthält die Seite Einstellungen Optionen für Präsentationseinstellungen
(Sprache, Layout, Anwendungslistendarstellung, Spalten und Authentifizierung),
Clienteinstellungen, Verbindungseinstellungen (Fenstergröße und -farbe, Druckerzuordnung oder PDA-Synchronisierung, Windows-Tastenkombinationen, Bandbreitensteuerung und Audioqualität) und Workspace Control. Jeder Bereich wird in
einem eigenen Bildschirm angezeigt.
Bandbreitensteuerung: Im Webinterface können Benutzer jetzt Einstellungen
basierend auf ihrer Verbindungsbandbreite auswählen (z. B. Farbe des Fensters,
Audioqualität und Clientdruckerzuordnung). Diese Optionen sind in den
Bildschirmen Anmelden und Einstellungen verfügbar.
Anpassen der Benutzeroberfläche: Sie können die Darstellung der Benutzeroberfläche anpassen, wenn die Site beispielsweise entsprechend den Unternehmensstandards gestaltet werden soll. Sie können das gesamte Layout, Brandinginformationen, Anwendungsfenster und den Willkommensbereich anpassen.
Kompakte Benutzeroberfläche: Für Benutzer, die auf ihre Anwendungen auf einem
PDA zugreifen, oder zur Integration von Unternehmenswebsites von Drittanbietern
kann eine kompakte Benutzeroberfläche sinnvoll sein. Diese Oberfläche enthält
keinen Willkommens- und Message Center-Bereich und zeigt keine Clientinstallationsoptionen an. Außerdem werden Meldungen über der Hauptseite
angezeigt.
Kioskmodus: Dieser Modus eignet sich optimal, wenn es sich bei den Clientgeräten um öffentliche Terminals handelt, die von verschiedenen Benutzern
verwendet werden. Bei aktiviertem Kioskmodus werden Benutzereinstellungen
nicht gespeichert und nur für die Dauer der Sitzung beibehalten.
Windows-Tastenkombinationen: Das Webinterface und Program Neighborhood
Agent unterstützen jetzt den Passthrough für eine Reihe von Windows-Tastenkombinationen an Remotedesktops, die ICA-Sitzungen ausführen.
USB-Synchronisierung für PocketPC: MetaFrame Presentation Server unterstützt
die PDA-Synchronisierung über direkte USB-Verbindungen. Webinterface- und
Program Neighborhood Agent-Administratoren können diese Funktion aktivieren
und deaktivieren.
Automatisches Starten des Clients für Java: Wenn der lokale oder native eingebettete Client auf dem Clientgerät nicht verfügbar ist, können Sie den Client für
Java automatisch auf Clients für Win32-Plattformen bereitstellen.
18
Authentifizierungs- und Sicherheitsfunktionen
Radius-2-Faktor-Authentifizierung für UNIX: Unter UNIX ist jetzt RADIUSAuthentifizierung mit RSA SecurID- und SafeWord-Servern verfügbar.
Kerberos-Authentifizierung: Im Webinterface können Sie KerberosAuthentifizierung mit Passthrough-Authentifizierung verwenden. In Program
Neighborhood Agent können Sie Kerberos-Authentifizierung sowohl mit
Passthrough-Authentifizierung als auch mit Passthrough mit SmartcardAuthentifizierung verwenden.
NDS-Kontextsuche über LDAP: Voraussetzung für die NDS-Kontextsuchfunktion
war bisher die Installation des NDS-Clients auf dem Webinterface-System und dem
Computer, der auf den NDS-Server zugreift. Jetzt wird die Kontextsuche über
LDAP ausgeführt, sodass der NDS-Client auf dem Webinterface-System nicht
mehr erforderlich ist.
Verbesserte Fehlerbehandlung
Fehlerprotokollierung: Das Webinterface bietet eine Protokollierungsfunktion zur
verbesserten Problembehandlung und -diagnose. Zusätzlich zu Berichten über
Benutzeroberflächenfehler werden auch genaue Beschreibungen von Fehlern des
zugrunde liegenden Systems im Windows-Ereignisprotokoll für IIS und in den
Servlet-Engine-Protokolldateien für JSP mit Bezeichnern erfasst. Die Protokollbezeichner für Systemfehler können den Benutzern zusammen mit den Fehlermeldungen angezeigt werden, sodass sie an Administratoren für die
Problembehandlung weitergeleitet werden können.
Gesperrte Umgebungen: Wenn clientseitiges JavaScript und Cookies im
Webbrowser deaktiviert sind, wird eine Seite angezeigt, die angibt, dass diese
Funktionen zum Verwenden des Webinterface aktiviert werden müssen.
19
Verwaltungsfunktionen für Sites
Zentrale Konfiguration: Die Konfiguration für Sites kann auf Remoteservern
gespeichert werden, sodass statt einer lokalen eine zentrale Konfiguration
verwendet wird. Sie können beim Erstellen von Sites und danach beim Verwenden
von Sitetasks die zum Speichern der Konfigurationen verwendeten Server angeben.
Tasks für lokale Sites: Mit den Tasks für lokale Sites können Sie Konfigurationsquellen verwalten, das Hosting der Sites durch IIS (Internet-Informationsdienste)
festlegen und Sites reparieren oder deinstallieren. Sie können bestimmen, ob die
Site eine zentrale Konfiguration oder eine lokale Konfigurationsdatei verwendet,
und Sie können die Server zum Abrufen der Konfigurationsdateien angeben.
Sites für Load Balancing gruppieren: Sie können Sites mit zentraler Konfiguration
gruppieren. Die Sites haben somit eine gemeinsame Konfiguration und können mit
Load Balancing-Programmen von Drittanbietern für den Lastausgleich verwendet
werden.
Webinterface-Komponenten
Eine Webinterface-Bereitstellung umfasst drei Netzwerkkomponenten:
•
Eine oder mehrere Serverfarmen
•
Einen Webserver
•
Ein Clientgerät mit einem Webbrowser und einem MetaFrame Presentation
Server-Client
Serverfarmen
Eine Serverfarm ist eine Gruppe von Servern, die eine Verwaltungseinheit darstellt.
Eine Serverfarm besteht aus mehreren Servern, die zusammenarbeiten, um
MetaFrame Presentation Server-Clientbenutzern Anwendungen bereitzustellen.
Eine wichtige Funktion von Serverfarmen ist das Veröffentlichen von
Anwendungen. Mit diesem Verwaltungstask können Administratoren bestimmte
Anwendungen in der Serverfarm für Benutzer freigeben. Wenn eine Anwendung
von einem Administrator für eine Gruppe von Benutzern veröffentlicht wird, steht
die Anwendung in Form eines Objekts zur Verfügung, zu dem die Clients eine
Verbindung herstellen und Clientsitzungen starten können.
20
Mit der Program Neighborhood-Clientoberfläche wird die clientseitige
Konfiguration automatisiert. Administratoren bzw. Clientbenutzer brauchen nicht
mehr das gesamte Netzwerk nach veröffentlichten Anwendungen zu durchsuchen.
Mit Program Neighborhood wird den Benutzern nach der Anmeldung an der
Serverfarm eine benutzerspezifische Liste aller Anwendungen angezeigt, die für
den Benutzernamen veröffentlicht sind. Diese Anwendungsliste wird als
Anwendungsgruppe bezeichnet.
Der Server, auf dem das Webinterface ausgeführt wird, bildet eine Program
Neighborhood-Oberfläche, über die eine Verbindung zu den Serverfarmen
hergestellt wird. Der Webinterface-Server fragt die Serverfarmen nach den
Informationen zur Anwendungsgruppe ab und gibt die Ergebnisse in Form von
HTML-Seiten aus, die Benutzer in einem Webbrowser anzeigen können.
Der Webinterface-Server kommuniziert mit den Serverfarmen über den Citrix
XML-Dienst, der auf mindestens einem Server ausgeführt wird. Der Citrix XMLDienst ist eine MetaFrame-Komponente, die Clients und Webinterface-Servern
über TCP/IP und HTTP Informationen zu veröffentlichten Anwendungen zur
Verfügung stellt. Dieser Dienst stellt den Kontaktpunkt zwischen der Serverfarm
und dem Webinterface-Server dar. Der Citrix XML-Dienst wird mit MetaFrame
Presentation Server für Windows und MetaFrame Presentation Server für UNIXBetriebssysteme installiert.
Webserver
Auf dem Webserver befinden sich die Webinterface-Klassen und die webserverseitigen Skripts. Die folgenden Dienste werden von den Webinterface-Klassen zur
Verfügung gestellt:
•
Authentifizieren von Benutzern bei einer oder mehreren Serverfarmen
•
Abrufen von Anwendungsinformationen, einschließlich einer Liste der
Anwendungen, auf die ein Benutzer zugreifen kann
Die Webinterface-Klassen werden bei der Installation auf den Webserver kopiert.
Das Installationsprogramm fügt auch Webseiten und Konfigurationsdateien hinzu.
Clientgeräte
Im Kontext des Webinterface bezeichnet Clientgerät ein beliebiges Computinggerät, auf dem ein MetaFrame Presentation Server-Client und ein Webbrowser
ausgeführt werden können. Clientgeräte sind u. a. Desktop-PCs und Netzwerkcomputer.
21
Bei der Zusammenarbeit des Webbrowsers und des Clients auf dem Clientgerät
übernimmt der Webbrowser die Rolle des Viewers und der Client die Rolle der
Engine. Der Webbrowser zeigt den Benutzern die Anwendungsgruppen an, die mit
serverseitigen Skripts auf dem Webinterface-Server erstellt wurden, und der Client
dient als Engine zum Starten der veröffentlichten Anwendungen.
Das Webinterface bietet webbasierte Clientinstallation. Die webbasierte Clientinstallation ist ein Verfahren zum Bereitstellen von Clients von einer Website aus.
Wenn ein Benutzer eine mit dem Webinterface erstellte Website öffnet, erkennt der
webbasierte Clientinstallationscode das Gerät und der Webbrowser fordert den
Benutzer zur Installation eines entsprechenden Clients auf. Bei Windows-Geräten
kann die webbasierte Clientinstallation auch erkennen, ob ein installierter Client
vorhanden ist. Dem Benutzer wird in diesem Fall nur dann eine Installationsaufforderung angezeigt, wenn dies erforderlich ist. Weitere Informationen finden
Sie unter „Automatisches Bereitstellen von Clients“ auf Seite 87 .
Das Webinterface unterstützt eine Vielzahl von Kombinationen aus Webbrowsern
und Clients. Sie finden eine vollständige Liste der Kombinationsmöglichkeiten
unter „Anforderungen für MetaFrame Presentation Server-Clientgeräte“
auf Seite 31.
Funktionsweise des Webinterface
In dieser Darstellung ist das Zusammenspiel zwischen den Serverfarmen, einem
Webinterface-Server und einem Clientgerät dargestellt.
Diese Darstellung zeigt die Interaktion der einzelnen Komponenten mit dem
Webinterface. Der Browser auf dem Clientgerät sendet Informationen an den
Webserver, der mit der Serverfarm kommuniziert, damit Benutzer auf ihre Anwendungen
zugreifen können.
1. Der Benutzer eines Clientgeräts zeigt in einem Webbrowser die Seite
Anmelden an und gibt die Anmeldeinformationen ein.
2. Der Webserver liest die Informationen des Benutzers und verwendet die
Webinterface-Klassen, um diese Informationen an den Citrix XML-Dienst auf
Servern in der Serverfarm zu übergeben. Der angegebene Server dient als
Vermittler zwischen dem Webserver und den Servern.
22
3. Der Citrix XML-Dienst auf dem angegebenen Server ruft dann die Liste der
Anwendungen von den Servern ab, auf die der Benutzer zugreifen kann. Diese
Anwendungen stellen die dem Benutzer zugängliche Anwendungsgruppe dar.
Der Citrix XML-Dienst ruft die Anwendungsgruppe vom IMA-System
(Independent Management Architecture) bzw. vom Program NeighborhoodDienst ab.
In einer Serverfarm mit MetaFrame Presentation Server für UNIX ermittelt der
Citrix XML-Dienst auf dem angegebenen Server die Anwendungen, auf die der
Benutzer zugreifen kann, anhand der Informationen, die vom ICA-Browser und
der lokalen Webinterface-Konfigurationsdatei gesammelt wurden.
Der Citrix XML-Dienst übergibt dann die Anwendungsgruppen-Informationen
des Benutzers an die auf dem Server ausgeführten Webinterface-Klassen.
4. Der nächste Verfahrensschritt wird vom Benutzer durch das Klicken auf einen
Hyperlink auf der HTML-Seite gestartet.
5. Der Citrix XML-Dienst sucht den am geringsten ausgelasteten Server in der
Farm. Dann fordert der XML-Dienst ein Ticket von diesem Server an, das den
Anmeldeinformationen des Benutzers entspricht. Anschließend gibt der XMLDienst die Adresse des am geringsten ausgelasteten Servers und das Ticket für
das Webinterface aus.
6. Die Klassen beenden die Analyse der Vorlagendatei und senden eine benutzerdefinierte Datei an den Webbrowser.
7. Der Webbrowser empfängt die Datei und übergibt sie an das Clientgerät.
8. Der Client empfängt die Datei und startet eine Clientsitzung auf einem Server,
die auf den in der Datei enthaltenen Verbindungsinformationen basiert.
Nächste Schritte
Weitere Informationen zu den Systemanforderungen, zur Installation des
Webinterface und der Konfiguration des Webinterface-Servers finden Sie unter
„Bereitstellen des Webinterface“ auf Seite 23.
KAPITEL 2
Bereitstellen des Webinterface
Übersicht
In diesem Kapitel wird die Installation des Webinterface auf dem Server und die
Konfiguration des Servers zum Ausführen des Webinterface erläutert. Unter
anderem werden folgende Themen behandelt:
•
Systemanforderungen
•
Installieren des Webinterface
•
Nächste Schritte
•
Installieren des Webinterface auf UNIX-Plattformen
•
Problembehandlung bei der Installation des Webinterface
•
Deinstallieren des Webinterface
24
Systemanforderungen
Im folgenden Abschnitt werden die Anforderungen für den Server, den Webserver
und die Clientgeräte für das Webinterface beschrieben.
Serveranforderungen
Um das Webinterface ausführen zu können, müssen Server die folgenden
Anforderungen erfüllen.
Unterstützte Versionen von MetaFrame Presentation Server
Das Webinterface erfordert eine der folgenden Plattformen:
•
Citrix MetaFrame Presentation Server 4.0 für Windows Server 2003
•
Citrix MetaFrame Presentation Server 4.0 für Windows 2000 Server
•
Citrix MetaFrame Presentation Server 3.0 für Windows Server 2003
•
Citrix MetaFrame Presentation Server 3.0 für Windows 2000 Server
•
Citrix MetaFrame Presentation Server für UNIX-Betriebssysteme
•
MetaFrame XP für Windows, Service Pack 2 für Terminal Services Edition
•
MetaFrame XP für Windows, Service Pack 3 für Windows 2000 Server
•
MetaFrame XP für Windows, Service Pack 3 für Windows Server 2003
•
MetaFrame für UNIX-Betriebssysteme Version 1.1, Feature Release 1
•
MetaFrame Anwendungsserver für Windows Version 1.8, Feature Release 1
und Service Pack 3
Das Webinterface kann mit diesen Versionen von MetaFrame Presentation Server
auf allen unterstützten Plattformen eingesetzt werden. Sie finden eine Liste der
unterstützten Plattformen in der Dokumentation zu MetaFrame Presentation Server.
Citrix empfiehlt außerdem die Installation des neuesten Service Packs.
Access Suite Console
Zum Verwalten des Webinterface unter Windows muss die Installation der Access
Suite Console vor der Installation des Webinterface vorgenommen werden.
Informationen zum Installieren der Konsole finden Sie im MetaFrame Presentation
Server-Administratorhandbuch.
Kapitel 2 Bereitstellen des Webinterface
25
Zusätzliche Softwareanforderungen
Ohne Feature Releases stehen einige neue Funktionen nicht zur Verfügung.
Beispiel: Für das Verwenden der Funktion zum erweiterten Veröffentlichen von
Inhalten mit dem Webinterface muss MetaFrame XP für Windows, Service Pack 2
und eine Feature Release 2-Lizenz auf allen Servern in der Serverfarm
installiert sein.
Versionsanforderungen für MetaFrame Presentation Server und Clients
In der nachfolgenden Tabelle sind die MetaFrame Presentation Server- und
Clientversionen zusammengefasst, die für wichtige Webinterface-Funktionen
benötigt werden.
WebinterfaceFunktion
Anforderungen für
MetaFrame Presentation
Server
Clientanforderungen
Sitzungszuverlässigkeit
Server 4.0
9.0
Workspace Control
Server ab Version 3.0
8.0
Remotedesktopverbindung
Nicht zutreffend
Ticketing
MetaFrame 1.8 Feature
Release 1
MetaFrame XP 1.0
MetaFrame für UNIX 1.1
Feature Release 1
ab 6.0
NDS-Authentifizierung
MetaFrame XP Feature
Release 1
ab 6.20
DNS-Adressauflösung
Release 1
Feature Release 1
ab 6.20
26
Anforderungen für
Server
Clientanforderungen
SmartcardUnterstützung
Release 2
ab 6.30
Erweitertes
Veröffentlichen von
Inhalten
Release 2
ab 6.20
Serverseitige FirewallUnterstützung
Release 1
MetaFrame XP 1.0
Nicht zutreffend
Clientseitige FirewallUnterstützung
Nicht zutreffend
ab 6.0 für SOCKS
ab 6.30 für Secure Proxy
Load Balancing
Release 1
MetaFrame XP 1.0
Nicht zutreffend
Benutzerseitige
Kennwortänderung
Release 2
Nicht zutreffend
Automatischer
Download des Win32Webclients
Nicht zutreffend
Bereitstellung durch Webinterface
Anforderungen für
Server
Clientanforderungen
PassthroughAuthentifizierung
Release 2
Vollversion des Program
Neighborhood-Clients für Win32/
Program Neighborhood Agent ab
Version 6.20
Eingebettete Clients
Nicht zutreffend
Bereitstellung durch Webinterface
Unterstützung für
Secure Gateway
Release 1
MetaFrame XP 1.0
Feature Release 1
ab 6.20.986
27
Allgemeine Konfigurationsanforderungen
Server müssen Mitglied einer Serverfarm sein. Auf den Servern in der Farm
müssen Anwendungen veröffentlicht sein. Wenn MetaFrame 1.8 für Windows auf
den Servern ausgeführt wird, müssen Sie außerdem sicherstellen, dass die
Anwendungen unter dem Verwaltungsbereich der Serverfarm veröffentlicht sind.
Weitere Informationen zur Mitgliedschaft in Serverfarmen und zum Veröffentlichen
von Anwendungen in einer Serverfarm finden Sie im MetaFrame Presentation
Hinweis: Wenn Sie das Webinterface in einer MetaFrame 1.8 für WindowsUmgebung einsetzen, müssen Sie in der Datei WebInterface.conf den Parameter
AddressResolutionType von ipv4-port zu ipv4 ändern.
Auch auf Servern mit MetaFrame Presentation Server für UNIX müssen
Anwendungen veröffentlicht sein. Darüber hinaus müssen diese Anwendungen für
die Verwendung mit dem Webinterface konfiguriert sein. Weitere Informationen
zum Installieren des Citrix XML-Dienstes für UNIX und zum Konfigurieren
veröffentlichter Anwendungen zur Verwendung mit dem Webinterface finden Sie
im MetaFrame Presentation Server für UNIX-Administratorhandbuch.
28
Anforderungen für Webserver
Für die webbasierte Clientinstallation muss eine Kopie der MetaFrame Presentation
Server-Clients auf dem Server vorhanden sein. Weitere Informationen zu den
unterstützten Clientversionen finden Sie unter „Anforderungen für MetaFrame
Presentation Server-Clientgeräte“ auf Seite 31. Weitere Informationen zum
Kopieren der Clients auf den Server, auf dem das Webinterface ausgeführt wird,
finden Sie unter „Kopieren der Installationsdateien für Clients auf den Webserver“
auf Seite 126.
Windows-Plattformen
Das Webinterface kann mit den folgenden Windows-Plattformen und Servern
verwendet werden:
•
Internet Information Services 6.0 unter Windows Server 2003
•
Internet Information Services 5.0 unter Windows 2000 mit Service Pack 4
Vor der Installation des Webinterface muss die folgende Software installiert
werden:
•
.NET Framework 1.1 mit Service Pack 1 (nur Windows 2000-Systeme)
•
Visual J# .NET 1.1
•
ASP.NET
Auf Windows 2000-Systemen wird ASP.NET mit .NET Framework installiert,
wenn zuvor IIS installiert wurde. Wurde IIS nicht installiert, installieren Sie IIS und
installieren Sie Framework erneut, oder installieren Sie IIS und führen Sie im
Verzeichnis WINNT\Microsoft.NET\Framework\v1.1.4322 den Befehl
aspnet_regiis -i aus.
Hinweis: Wenn Sie bei der Verwendung des Webinterface auf Windows 2000Systemen eine interne Fehlermeldung erhalten, ist die Konfiguration der .NETKonten möglicherweise fehlerhaft. Deinstallieren Sie in diesem Fall das
Webinterface, Visual J# .NET sowie alle Versionen von .NET Framework vom
Server und installieren Sie die Software erneut.
Auf Windows Server 2003-Systemen wird ASP.NET installiert, wenn Sie IIS
während der Installation von Windows Server 2003 aktiviert haben. Anderenfalls
müssen Sie IIS installieren und ASP.NET, eine Unterkomponente von IIS,
auswählen.
Die verteilbaren Dateien von .NET Framework und J# sind im Ordner „Support“
der MetaFrame Presentation Server CD-ROM enthalten.
29
Wenn der Server eine statisch konfigurierte IP-Adresse verwendet, müssen Sie das
primäre DNS-Suffix oder einen vollqualifizierten Domänennamen für den Server
festlegen. In Windows 2000 wird diese Einstellung in Netzwerkumgebung/
Eigenschaften von LAN-Verbindung/Eigenschaften von Internetprotokoll
(TCP/IP) vorgenommen.
ACHTUNG: Eine unsachgemäße Verwendung des Registrierungseditors kann
schwerwiegende Probleme verursachen und ein erneutes Installieren des Betriebssystems erfordern. Citrix übernimmt keine Garantie dafür, dass Probleme, die auf
eine unsachgemäße Verwendung des Registrierungseditors zurückzuführen sind,
behoben werden können. Verwenden Sie den Registrierungseditor auf eigene
Verantwortung.
Bei einer korrekten Konfiguration muss ein gültiges DNS-Suffix in den Wertdaten
des folgenden Registrierungsschlüssels vorhanden sein:
Schlüssel: HKLM\System\currentControlset\services\tcpip\parameters
Wert: Domain
UNIX-Plattformen
Sie können das Webinterface mit den folgenden UNIX-Konfigurationen
verwenden:
Betriebssystem
Server
JDK
Servlet-Engine
Red Hat
Enterprise Edition
Apache 2.x
Sun 1.4.x
Tomcat 5.x
Red Hat
Enterprise Edition
WebSphere Application
Server 5.1
WebSphere
WebSphere
Solaris 9
Sun ONE 8
Sun 1.4.x
Sun ONE
Solaris 9
WebLogic Server 8.x
WebLogic
WebLogic
30
Benutzeranforderungen
Die folgenden Browser-/Betriebssystem-Kombinationen werden für die
Anmeldung am Webinterface unterstützt:
Browser
Betriebssystem
Internet Explorer ab
Version 6.0
Windows XP, Windows 2000 mit Service Pack 4
Internet Explorer ab
Version 6.0
Windows 2000 mit Service Pack 4
Safari ab Version 1.0
Mac OS X
Mozilla ab Version 1.0
Red Hat Enterprise Edition
Pocket IE 2003
Pocket PC 2003
Personal Digital Assistants
Sie können das Webinterface mit den folgenden Konfigurationen für Windowsbasierte Terminals und Personal Digital Assistants (PDAs) ausführen:
Gerät
Betriebssystem
Browser
Dell Axim
Pocket PC 2003
Internet Explorer 6.0
Wyse 3125SE
WinCE 4.1
Wyse 3125SE
WinCE 4.2
HP iPaq H5550
Pocket PC 2003
Pocket Internet Explorer 2003
HPT 5510
WinCE 4.2
31
Anforderungen für MetaFrame Presentation ServerClientgeräte
Für das Zusammenspiel mit dem Webinterface müssen ein unterstützter Client und
Webbrowser auf den Clientgeräten installiert sein. Alle auf der KomponentenCD-ROM enthaltenen Clients sind mit dem Webinterface kompatibel. Sie finden
die Komponenten-CD-ROM im Medienpaket von MetaFrame Presentation Server.
Die Clients stehen auch auf der Citrix Website zum kostenlosen Download zur
Verfügung.
Citrix empfiehlt die Bereitstellung der neuesten Clients, damit die Benutzer die
neuesten Funktionen nutzen können. Jeder Client bietet andere Funktionen und
Merkmale. Weitere Informationen zu den unterstützten Clientfunktionen finden Sie
jeweils im Administratorhandbuch des entsprechenden Clients.
In diesem Abschnitt wird die Installation des Webinterface auf dem Server erläutert.
Sie finden eine Übersicht über die Installation und Anweisungen zur Installation
des Webinterface auf verschiedenen Servern.
Installationsübersicht
Sie können das Webinterface von der MetaFrame Presentation Server-CD-ROM
installieren.
Vor der Installation des Webinterface muss die Installation der Access Suite
Console erfolgen. Für Windows-Plattformen müssen darüber hinaus Microsoft
Internet-Informationsdienste (IIS) und ASP.NET installiert sein.
Wenn Sie das Webinterface auf Windows-Plattformen mit den Sprachen Japanisch,
Traditionelles Chinesisch, Vereinfachtes Chinesisch oder Koreanisch installieren,
dürfen Sie für die Anmeldung an Windows keinen Benutzernamen mit DoppelbyteZeichen verwenden.
Informationen zum Installieren der Access Suite Console finden Sie im MetaFrame
Presentation Server-Administratorhandbuch.
32
Installationsprogramme stehen für die folgenden Komponenten zur Verfügung:
•
Microsoft Internet Information Services (IIS)
•
Tomcat, Sun ONE und WebSphere für UNIX-Plattformen
Weitere Informationen zur Installation des Webinterface finden Sie unter
„Leistungsaspekte“ auf Seite 33 und „Installieren des Webinterface auf UNIXPlattformen“ auf Seite 36.
Aktualisieren einer bestehenden Installation
Sie können von NFuse ab Version 1.7 auf die neueste Version des Webinterface
aktualisieren, indem Sie das Webinterface entweder von der CD-ROM installieren
oder die entsprechenden Dateien aus dem Web downloaden.
Wenn Sie von einer älteren Version des Webinterface aktualisieren, die mit
MetaFrame Presentation Server installiert wurde, wird das Webinterface vom
System entfernt und es wird keine Sicherungskopie der Konfigurationsdateien
erstellt. Citrix empfiehlt, diese Version des Webinterface vor der Installation von
MetaFrame Presentation Server zu aktualisieren.
Sie können das Webinterface für MetaFrame Presentation Server 4.0 nicht auf eine
frühere Version von Webinterface zurückstufen.
Sicherheitsüberlegungen
Citrix empfiehlt, dass Sie genauso wie bei jedem Windows-basierten Server die
Microsoft-Standardrichtlinien für die Konfiguration des Windows-Servers
einhalten.
Anzeigen der Citrix XML-Dienst-Portzuordnung
Beim Erstellen der Webinterface-Site (Windows) oder der WAR-Datei (UNIX)
werden Sie aufgefordert, die Nummer des Ports anzugeben, auf dem der Citrix
XML-Dienst ausgeführt wird. Der Citrix XML-Dienst ist die Kommunikationsverbindung zwischen der Serverfarm und dem Server, auf dem das Webinterface
ausgeführt wird. In diesem Abschnitt wird erläutert, wie Sie die Nummer des Ports
anzeigen, auf dem der Citrix XML-Dienst ausgeführt wird.
33
So zeigen Sie den vom Citrix XML-Dienst verwendeten Port an:
•
Öffnen Sie auf Servern die Managementkonsole für MetaFrame Presentation
Server. Klicken Sie auf der linken Seite der Konsole mit der rechten Maustaste
auf den Server und wählen Sie Eigenschaften. Markieren Sie im
Eigenschaften-Dialogfeld den Eintrag MetaFrame-Einstellungen. Der
zugewiesene Port ist auf der rechten Seite angegeben.
Wenn Sie während der Installation von MetaFrame Presentation Server die
Option zum Freigeben des TCP/IP-Ports der Internet-Informationsdienste für
den XML-Dienst auswählen, wird in der Presentation Server Console Ebenfalls
verwendet von IIS angezeigt, da der Port verwendet wird. Um in diesem Fall
den Port für den Citrix XML-Dienst zu bestimmen, müssen Sie den Port
suchen, der vom WWW-Dienst von Internet-Informationsdienste verwendet
wird. Der WWW-Dienst verwendet standardmäßig Port 80.
•
Auf MetaFrame 1.8-Servern ist der Port im folgenden Registrierungsschlüssel
angegeben:
HKLM\SYSTEM\CurrentControlSet\Services\CtxHttp\TcpPort
•
Geben Sie im MetaFrame Presentation Server für UNIX-Server in einer
Befehlszeileneingabeaufforderung ctxnfusesrv -l ein, um die Portinformationen
anzuzeigen.
Hinweis: Falls erforderlich, können Sie den auf dem Server verwendeten Port
ändern. Weitere Informationen finden Sie im entsprechenden MetaFrame
Leistungsaspekte
Wenn Sie das Webinterface für eine Vielzahl an Benutzern bereitstellen, kann eine
Anpassung von System- und Serverparametern erforderlich sein, um die Skalierbarkeit für die Benutzer zu verbessern.
ACHTUNG: Eine unsachgemäße Verwendung des Registrierungseditors kann
Verantwortung.
34
Sie können zum Beispiel unter Windows in der Registrierung den folgenden Wert
erhöhen:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\
Parameters\MaxUserPort
Dieser Schlüssel bestimmt die höchste Portnummer, die TCP zuordnen kann, wenn
eine Anwendung einen verfügbaren Benutzerport vom System anfordert. Bei einer
großen Anzahl an gleichzeitig angemeldeten Benutzern können Sie den Standardwert 5000 erhöhen. Sie können außerdem im .NET Framework den Wert für
maxWorkerThreads und maxIoThreads erhöhen.
Auf Apache oder Tomcat können Sie die verfügbaren Parameter in httpd.conf
(Apache) oder server.xml (Tomcat) anpassen. Citrix empfiehlt sicherzustellen, dass
die Java-Heapgröße auf Tomcat bei Bedarf für eine große Benutzeranzahl ausreicht.
Sie können die Heapgröße erhöhen, indem Sie beim Start den Parameter
Xmx<size> an Java übergeben. Auf Tomcat nehmen Sie hierzu im Skript
catalina.sh die Einstellung für die Variable JAVA_OPTS vor oder ändern diese
entsprechend.
Installieren des Webinterface auf Windows
Sie müssen die Access Suite Console vor dem Webinterface installieren. Die
Installation der Access Suite Console erfolgt von der MetaFrame Presentation
Server-CD-ROM. Weitere Informationen finden Sie im MetaFrame Presentation
Wenn Sie eine Aktualisierung von einer früheren Version des Webinterface aus
vornehmen, fordert das Installationsprogramm Sie zum Sichern Ihrer Sites auf.
Vorhandene Sites werden aktualisiert.
Hinweis: Bei IIS 6.0 unter Windows Server 2003 wird jede Site einem
Anwendungspool zugeordnet. Die Konfiguration des Anwendungspools enthält
eine Höchstanzahl von Arbeiterprozessen. Wenn Sie den Standardwert „1“ ändern,
können Sie das Webinterface unter Umständen nicht ausführen.
35
So installieren Sie das Webinterface:
1. Melden Sie sich als Administrator an.
2. Wenn Sie das Webinterface von der MetaFrame Presentation Server-CD-ROM
installieren, legen Sie die CD-ROM in das CD-ROM-Laufwerk des Webservers
ein.
Wenn Sie die Webdownload-Datei des Webinterface verwenden, kopieren Sie
die Datei WebInterface.exe auf den Webserver. Doppelklicken Sie dann auf die
Datei.
3. Wählen Sie eine Sprache aus der Liste aus. Als Standardauswahl wird die aus
dem Betriebssystem ermittelte Sprache angezeigt. Klicken Sie auf Weiter.
4. Klicken Sie auf der Willkommensseite auf Weiter.
5. Wählen Sie auf der Seite Lizenzvereinbarung die Option Ich stimme der
Lizenzvereinbarung zu und klicken Sie auf Weiter.
6. Geben Sie auf der Seite Gemeinsame Komponenten einen Speicherort für die
gemeinsamen Komponenten des Webinterface an. (Standardmäßig wird dieser
Pfad angegeben: C:\Programme\Citrix\Web Interface.) Klicken Sie auf Weiter.
7. Wählen Sie auf der Seite Clients die Option Clients von der KomponentenCD-ROM installieren aus. Klicken Sie auf Durchsuchen, um die
Komponenten-CD-ROM oder das CD-Image nach Client-Setupdateien zu
durchsuchen.
Das Setup kopiert den Inhalt des Verzeichnisses ICAWEB der CD in das
Verzeichnis C:\Programme\Citrix\Web Interface\4.0\ICAWEB, das im Stammverzeichnis des Webservers erstellt wird. Für alle während der Installation
erstellten Websites wird angenommen, dass der Webserver die Clientdateien in
dieser Verzeichnisstruktur enthält.
Wenn Sie die Clients nicht während der Webinterface-Installation auf den
Webserver kopieren möchten, können Sie sie auch später auf den Server
kopieren. Wählen Sie hierzu die Option Clients nicht von der KomponentenCD-ROM installieren.
8. Klicken Sie auf Weiter, um mit der Installation fortzufahren.
9. Wenn die Installation abgeschlossen ist, klicken Sie auf Fertig stellen.
10. Um mit dem Erstellen und Konfigurieren der Sites zu beginnen, öffnen Sie die
Access Suite Console.
Nach dem Installieren des Webinterface können Sie die Discovery konfigurieren
und durchführen, um mit dem Verwalten der Sites zu beginnen. Weitere
Informationen finden Sie unter „Durchführen und Konfigurieren der Discovery“
auf Seite 41.
36
Installieren des Webinterface auf UNIX-Plattformen
In diesem Abschnitt wird die Installation des Webinterface auf Tomcat erläutert.
Informationen zu anderen UNIX-Plattformen finden Sie in der Dokumentation
zur jeweiligen Plattform und in der Dokumentation zum Verwaltungstool der
Plattform.
Hinweis: Wenn Sie das Webinterface unter WebSphere installieren, wird eine
Anwendungssicherheitswarnung angezeigt, die auf ein Problem mit dem Inhalt der
Datei was.policy hinweist. Hierbei handelt es sich um eine von WebSphere erstellte
Richtliniendatei, wenn Sie unter Security > Global Security die Option Enforce
Java 2 Security auswählen. Stellen Sie sicher, dass Sie die Datei was.policy
entsprechend der WebSphere Java 1-Sicherheitsrichtlinie modifizieren. Andernfalls
funktioniert das Webinterface eventuell nicht ordnungsgemäß. Diese Richtliniendatei wird in folgendem Ordner gespeichert: WEBSPHERE_HOME/AppServer/
installedApps/<Knotenname>/<Name der WAR-Datei>.ear/META-INF.
Das Webinterface benötigt auf UNIX-Plattformen eine Servlet-Engine. Der
Apache-Webserver benötigt für die Webinterface-Unterstützung eine zusätzliche
Servlet-Engine (z. B. Tomcat). Tomcat kann als eigenständiger Webserver oder als
Servlet-Engine verwendet werden.
Wenn Sie das Webinterface unter Red Hat (Enterprise oder Fedora) installieren,
stellen Sie sicher, dass auch das sharutils-Paket installiert ist, das für das Dienstprogramm uudecode erforderlich ist.
So installieren Sie das Webinterface auf Tomcat:
1. Kopieren Sie die Datei WebInterface.sh.gz aus dem Verzeichnis „Web
Interface“ auf der Komponenten-CD-ROM an einen temporären Speicherort.
2. Wechseln Sie in einer UNIX-Shell in das Downloadverzeichnis, das die
Installationsdatei enthält. Um die Datei zu entpacken, geben Sie Folgendes ein:
gunzip WebInterface.sh.gz
3. Um das Installationsprogramm auszuführen, geben Sie Folgendes ein:
sh WebInterface.sh
4. Drücken Sie zum Lesen des Endbenutzerlizenzvereinbarung die Eingabetaste.
5. Geben Sie Ja ein, um die Lizenzvereinbarung zu akzeptieren.
6. Wählen Sie einen Sitetyp aus der Liste aus.
37
7. Geben Sie an, ob Sie eine lokale Konfiguration (zum Beispiel
WebInterface.conf) oder die zentrale Konfiguration (den Konfigurationsdienst)
verwenden möchten.
Wenn Sie die lokale Datei auswählen, geben Sie den Namen des Servers ein, der
die Anwendungsinformationen enthält. Der XML-Dienst muss auf diesem
Server installiert sein und ausgeführt werden. Wählen Sie ein XMLDienstprotokoll aus der Liste aus und geben Sie die Portnummer an, die der
XML-Dienst abhört.
Wenn Sie Konfigurationsdienst auswählen, geben Sie den Konfigurationsdienstserver (Name oder IP-Adresse) und die XML-Portnummer für den
Konfigurationsdienst ein. Sie können mehrere Kombinationen von
Konfigurationsdiensten und Ports eingeben.
8. Wenn Sie eine MetaFrame Conferencing Manager-Gastteilnehmersite erstellen,
geben Sie den Speicherort und die Portnummer für den externen Konferenzserver (ECS) ein. Klicken Sie auf Ja oder Nein, um anzugeben, ob der Server
über SSL gesichert ist.
9. Wenn Sie eine Site für MetaFrame Presentation Server oder MetaFrame
Conferencing Manager erstellen, bietet das Installationsprogramm an, die
Clientdateien von der CD-ROM in die WAR-Datei zu kopieren.
10. Geben Sie zum Erstellen der WAR-Datei den Pfad und einen Namen ein.
11. Eine Zusammenfassung wird angezeigt. Klicken Sie auf Ja, wenn die
angezeigten Informationen richtig sind.
12. Die WAR-Datei wird erstellt und die Clients werden falls erforderlich von der
CD-ROM kopiert.
13. Folgen Sie den Anweisungen auf dem Bildschirm, um die Installation der
WAR-Datei abzuschließen.
Verwenden von MetaFrame Conferencing Manager unter UNIX
Bevor Sie Anmeldungssites für MetaFrame Conferencing Manager-Gastteilnehmer
auf Sun ONE erstellen können, müssen Sie die Sicherheitsrichtlinie auf dem Server
manuell konfigurieren. Dies erfolgt nach dem Bereitstellen der WAR-Datei für
Conferencing Manager-Gastteilnehmer.
38
So konfigurieren Sie die Sicherheitsrichtlinie auf Sun ONE:
1. Stellen Sie die WAR-Datei von Conferencing Manager auf Sun ONE bereit.
2. Beenden Sie den Sun ONE-Server.
3. Bearbeiten Sie die Datei server.policy im bereitgestellten Domänenkonfigurationsverzeichnis. Wenn Sun ONE beispielsweise in <SunOne root>/AppServer
installiert ist und die Gastteilnehmer-Anmeldungssite von MetaFrame
Conferencing Manager in domain1 bereitgestellt wird, befindet sich die Datei
unter <SunOne root>/AppServer/domains/domain1/config.
<SunOne root> ist das Verzeichnis oberster Ebene, in dem Sun Java Application
Server installiert ist.
4. Fügen Sie die folgende Konfiguration vor allen allgemeinen Berechtigungsblöcken hinzu:
grant codeBase "file:<SunOne root>/AppServer/domains/domain1/
applications/j2ee-modules/MCMGuest/WEB-INF/lib/-" {
permission java.lang.RuntimePermission "getClassLoader";
permission java.lang.RuntimePermission "createClassLoader";
permission java.net.SocketPermission "*", "connect,accept,resolve";
permission java.io.FilePermission "<>", "read,write,delete";
};
5. Starten Sie den Sun ONE-Server.
Verwenden der Befehlszeile zur Installation
Durch Befehlszeilenskripts können Sie unbeaufsichtigte Installationen und Siteverwaltung ausführen. WebInterface.exe (die Installationsdatei für Windows) kann
eine Befehlszeile nicht direkt akzeptieren. Verwenden Sie zum Übergeben einer
Befehlszeile an diese Datei die folgende Umgebungsvariable:
WI_COMMAND_LINE=<Befehlszeilenzeichenfolge>
In der <Befehlszeilenzeichenfolge> wird der umgekehrte Schrägstrich (\) zum
Vermeiden von Leerzeichen in Pfaden verwendet. Wenn Sie den umgekehrten
Schrägstrich verwenden möchten (zum Beispiel in einem Pfad), geben Sie \\ ein
oder schließen Sie den Pfad in doppelte Anführungszeichen ein („\“). Um doppelte
Anführungszeichen zu verwenden, geben Sie \“ ein.
Weitere Informationen über die Verwendung der Befehlszeile mit dem
Webinterface finden Sie in der Knowledge Base unter http://support.citrix.com.
39
Verwenden von Sprachpaketen
Sprachpakete enthalten alle erforderlichen Informationen zum Lokalisieren von
Sites für eine bestimmte Sprache (Deutsch, Englisch, Spanisch, Französisch und
Japanisch). Sie enthalten folgende Komponenten:
•
Ressourcendateien für Sites
•
Ressourcendateien für das Windows-Installationsprogramm
•
Ressourcendateien zur Verwaltung von Sites
•
Onlinehilfe
•
Ressourcendateien für das UNIX-Vorinstallationsskript
•
Alle lokalisierten Symbole und Bilder
Nach der Installation können Sie dem Windows-Verzeichnis „Gemeinsame
Dateien“ Sprachpakete hinzufügen, indem Sie die Struktur kopieren oder die ZIPDatei in diesem Verzeichnis entpacken. Um die Sprache für eine bestimmte Site
anzupassen, kopieren Sie das Sprachpaket an den Speicherort der Site und ändern
Sie es. Die Site verwendet anschließend das geänderte Sprachpaket, während
andere Sites weiter auf das Standardpaket zugreifen.
Unter UNIX können Sie weitere Sprachpakete installieren, indem Sie sie in das
entsprechende Verzeichnis auf der Site verschieben. Wenn Pakete beispielsweise
als ZIP-Dateien vorliegen, extrahieren Sie sie.
Das Installationsprogramm verwendet standardmäßig die Sprache des Betriebssystems, auf dem es ausgeführt wird, unabhängig von der Sprache der InstallationsCD-ROM. Wenn Sie beispielsweise die Installation auf einem französischen
Betriebssystem mit einer deutschen Installations-CD-ROM ausführen, wird das
Installationsprogramm auf Französisch angezeigt. Während der Installation kann
die Standardsprache geändert werden. Diese Sprache wird dann als Standardsprache für die Sites verwendet, die Sie erstellen.
Das englische Sprachpaket muss als Standardsprache immer auf dem Server
vorhanden sein.
Entfernen von Sprachpaketen
Einige Clients, wie beispielsweise WinCE-Geräte, können bestimmte Sprachen
nicht anzeigen (zum Beispiel Japanisch). In diesem Fall werden in der Dropdownliste zum Auswählen der Sprache in der Benutzeroberfläche für nicht verfügbare
Sprachen Quadrate angezeigt.
Wenn Sie diese Anzeige vermeiden möchten, können Sie eine Sprache für alle oder
für bestimmte Sites entfernen.
40
Bei ASPX-Sites entfernen Sie <Sprachcode>.lang (zum Beispiel ja.lang) aus den
gemeinsamen Dateien; normalerweise im Ordner C:\Programme\Citrix\
Web Interface\4.0\languages. Die Sprache wird hiermit aus allen Sites auf dem
Server entfernt. Wenn Sie diese Sprache für eine bestimmte Site aktivieren
möchten, verschieben Sie die LANG-Datei in das Sprachenverzeichnis der Site.
Bei JSP-Sites öffnen Sie die WAR-Datei nach ihrer Erstellung mit einem
entsprechenden Tool, entfernen die LANG-Datei und packen die WAR-Datei
erneut. Die Sprache wird hiermit aus allen Sites entfernt, die von dieser WAR-Datei
bereitgestellt werden.
Bereitstellen von Sprachen für Benutzer
Beim Anmelden eines Benutzers wird die vom Browser übermittelte Sprache
erkannt. Die Seite wird in dieser Sprache angezeigt. Wenn die Sprache des
Benutzers nicht ermittelt oder nicht erkannt wird, wird die Standardsprache der Site
verwendet. Benutzer können eine der verfügbaren Sprachen auswählen (wenn mehr
als ein Sprachpaket installiert wurde). Die Seite Anmelden wird anschließend in
der ausgewählten Sprache neu geladen. Wenn der Kioskmodus für die Site
eingestellt ist, wird die Browsersprache des Benutzers in jeder neuen Sitzung
ermittelt. Wenn Benutzer die Seite Anmelden normalerweise nicht anzeigen (zum
Beispiel bei transparenter Authentifizierung), können sie eine Sprache auf der Seite
Präsentationseinstellungen auswählen.
Stellen Sie sicher, dass den Benutzern die richtige MetaFrame Presentation ServerClientversion für ihre ausgewählte Sprache zur Verfügung steht. Wenn Benutzer
einen eingebetteten Client zum Starten einer Anwendung verwenden, führt das
Webinterface einen der folgenden Schritte aus:
•
Beim Starten wird der eingebettete Client in der bevorzugten Sprache des
Benutzers verwendet (wenn diese auf dem Server verfügbar ist).
•
Beim Starten wird der eingebettete Client in der Standardsprache der Site
verwendet (wenn diese auf dem Server verfügbar ist).
•
Beim Starten wird der erste auf dem Server gefundene eingebettete Client
verwendet.
•
Dem Benutzer wird eine Fehlermeldung angezeigt, dass keine Clients auf dem
Server verfügbar sind. Diese Meldung wird ebenfalls für Webclients angezeigt.
41
Nächste Schritte
Nach der Installation müssen Sie den Benutzern das Webinterface bereitstellen.
Hierzu verwenden Sie entweder die Access Suite Console, um Sites zu erstellen
und zu konfigurieren, oder Sie bearbeiten direkt die Konfigurationsdatei
WebInterface.conf.
Darüber hinaus müssen Sie das Webinterface ggf. konfigurieren. Dies hängt von
den anderen installierten MetaFrame-Komponenten ab. Sie können die Funktionen
des Webinterface auch anpassen oder erweitern.
•
Weitere Informationen zur Konfiguration des Webinterface für Secure Gateway
mit der Access Suite Console finden Sie unter „Konfigurieren der Secure
Gateway-Unterstützung“ auf Seite 122.
•
Informationen zur Konfiguration des Webinterface mit der Konsole oder mit
der Datei WebInterface.conf finden Sie unter „Konfigurieren von Sites mit der
Access Suite Console“ auf Seite 50 oder „Konfigurieren des Webinterface mit
der Konfigurationsdatei“ auf Seite 105.
•
Informationen zu den Sicherheitsüberlegungen finden Sie unter „Konfigurieren
der Webinterface-Sicherheit“ auf Seite 131.
•
Weitere Informationen zur Erweiterung und Anpassung der WebinterfaceFunktionalität finden Sie im Handbuch Customizing the Web Interface.
Durchführen und Konfigurieren der Discovery
Zum Verwalten des Webinterface mit der Access Suite Console müssen Sie in der
Konsole die Discovery durchführen. Beim ersten Öffnen der Konsole werden Sie
automatisch zum Starten des Discoveryvorgangs aufgefordert und durch die
entsprechenden Schritte geführt: Auswählen der gewünschten Komponenten,
Konfigurieren des Discoveryvorgangs und Ermitteln der Objekte, die zu verwalten
sind. Führen Sie den Discovery-Vorgang danach nur dann durch, wenn Sie eine
Komponente erkennen möchten oder wenn Sie Elemente aus der Bereitstellung
entfernen oder ihr hinzufügen möchten.
So führen Sie die Discovery durch:
1. Starten Sie die Access Suite Console vom Menü Start aus: Start >
Programme > Citrix > MetaFrame Presentation Server > Access Suite
Console für Presentation Server.
2. Klicken Sie auf der Seite Discovery konfigurieren und durchführen auf Ja.
Wenn diese Seite nicht automatisch angezeigt wird, klicken Sie auf den Task
Discovery konfigurieren und durchführen.
3. Klicken Sie auf Weiter.
42
4. Klicken Sie auf der Seite Konfigurationsserver auf Hinzufügen, um einen
Namen eines Konfigurationsservers einzugeben, oder wählen Sie die Option
Keine Webinterface-Konfigurationsserver kontaktieren, wenn Sie nur Tasks
für lokale Sites verwenden möchten.
5. Es wird eine Zusammenfassung der Konfigurationsinformationen angezeigt.
Wenn die Informationen korrekt sind, klicken Sie auf Weiter. Klicken Sie
andernfalls auf Zurück, um die Angaben zu ändern oder einen weiteren Server
hinzuzufügen.
6. Auf der Seite Discoverystatus wird die Anzahl erkannter Elemente angezeigt.
Klicken Sie auf Fertig stellen, um die Seite zu schließen und die Access Suite
Console zu verwenden.
Nach dem Durchführen der Discovery zum Verbinden mit einer Serverfarm können
Sie Sites mit der Access Suite Console erstellen.
Erstellen von Sites
Klicken Sie zum Erstellen neuer Sites in der Konsolenstruktur auf den Knoten
Webinterface und anschließend auf den Task Site erstellen. Sie können eine der
folgenden Sites hinzufügen:
•
MetaFrame Presentation Server: für Benutzer, die mit dem Webinterface auf
veröffentlichte Anwendungen zugreifen.
•
Program Neighborhood Agent-Dienste: für Benutzer, die mit Program
Neighborhood Agent auf veröffentlichte Anwendungen zugreifen.
•
Conferencing Manager-Gastteilnehmer: für Benutzer, die sich bei
Gastteilnehmerkonferenzen anmelden.
Sie können mit diesem Task verschiedene Informationen für die Site angeben: die
IIS-Site, die URL zum Übernehmen von Änderungen und die Konfigurationsquelle. Diese Optionen können später über Tasks für lokale Sites aktualisiert
werden. Zur Erstellung von lokalen Sites müssen Sie ein lokaler Administrator auf
dem System sein, auf dem die Access Suite Console ausgeführt wird.
Hinweis: Wenn Sie die zentrale Konfiguration verwenden, können Sie keine
Server von mehreren Farmen angeben. Die Sitekonfiguration kann nur von Servern
derselben Farm abgerufen werden.
43
Beim Erstellen oder Bearbeiten von Sites wird eine Bootstrapkonfigurationsdatei
aktualisiert. Sie enthält die Konfigurationsquelle, die Standardsprache und bei der
Installation erstellte Bezeichner der Sites (vom Konfigurationsdienst verwendet).
Der Sitebezeichner hat das Format <Hostname>:<IIS-Sitenummer>:
<Sitepfad>:<Numerische ID>. Dabei gilt Folgendes:
•
<Hostname> ist der Hostname des Servers.
•
<IIS-Sitenummer> ist die Nummer der IIS-Site.
•
<Sitepfad> ist der Pfad (in der IIS-Metabasis, unter der Site) der Site.
•
<Numerische ID> ist eine zufällige 128-Bit-ID.
In diesen Zeichenfolgen wird ein umgekehrter Schrägstrich (\) als Escape-Zeichen
verwendet.
Bei UNIX-Webservern werden <Hostname> und <Sitepfad> dynamisch generiert,
daher enthält das Feld SiteIDRoot nur die <numerische ID>. Der <Sitepfad> ist die
empfohlene Identifikation der Site, die von der Servlet-Engine abgerufen wird, und
kann abhängig von der Servlet-Engine variieren.
Erstellen von Sites auf UNIX-Webservern
Unter UNIX wird vor dem Erstellen der jeweiligen Site ein Vorinstallationsskript
ausgeführt. Das Skript erstellt eine angepasste WAR-Datei für die Site, die
anschließend installiert wird. (Normalerweise wird hierzu die WAR-Datei am
korrekten Ort für die Servlet-Engine gespeichert.) Für das Skript sind uudecode und
Java erforderlich.
Sites werden durch Bearbeiten der Inhalte der entpackten WAR-Datei geändert und
können durch Löschen der WAR-Datei entfernt werden.
ACHTUNG: Wenn mehrere Program Neighborhood Agent-Dienste-Sites mit
mehreren Clientkonfigurationen eingerichtet sind, enthält die Datei
WebInterface.conf alle clientspezifischen Einstellungen. Folgende Einstellungen
gehören hierzu: Authentifizierungseinstellungen, Größe der Clientsitzungen,
Clientressourcen und Workspace Control. Dies führt dazu, dass die Program
Neighborhood Agent-Dienste-Site nur die Verbindung von zwei Einstellungen
erzwingen kann. Wenn zwei verschiedene Program Neighborhood AgentKonfigurationsdateien mit zwei verschiedenen Sicherheitskonfigurationen (z. B.
intern und extern) vorhanden sind, ist ein externer Client in der Lage, eine beliebige
Aktion auf dem internen Client auszuführen.
44
Angeben der Sitekonfiguration
Die Konfiguration kann in lokalen Konfigurationsdateien oder an einem zentralen
Konfigurationsspeicherort (dem Konfigurationsdienst) gespeichert werden. Bei der
zentralen Konfiguration geben Sie beim Erstellen von Sites eine oder mehrere
Kombinationen von Host und Port an, um den Konfigurationsdienst zu
identifizieren. Bei der lokalen Konfiguration können Sie eine bestehende lokale
Konfiguration kopieren oder einen XML-Dienst/externen Konferenzdienst (für
MetaFrame Conferencing Manager) zum Abrufen von Farminformationen
angeben.
Sie können eine Site bearbeiten, um die Konfigurationsquelle zu ändern. Wenn Sie
zu einer lokalen Konfiguration wechseln, wird die vorhandene Konfiguration vom
zentralen Konfigurationsspeicherort abgerufen und die neue lokale Datei
entsprechend mit dieser Konfiguration aktualisiert.
Weitere Informationen zum Angeben der Sitekonfiguration in der Access Suite
Console finden Sie unter „Verwenden von Tasks für lokale Sites“ auf Seite 104.
Das Vorinstallationsskript unter UNIX kann keine Sites mit lokalen Konfigurationsdateien auf der Basis vorhandener Sitekonfigurationen erstellen.
Wenn unter Windows beim Installieren einer Site die zentrale Konfiguration ausgewählt wird, wird die Site nach der Installation automatisch beim Konfigurationsdienst registriert. Unter UNIX wird die Site beim ersten Laden einer Seite
registriert, nachdem sie in einer Servlet-Engine bereitgestellt wurde.
Verwenden von Sitetasks
Um mit dem Konfigurieren von Sites zu beginnen, wählen Sie in der Access Suite
Console im Webinterface-Knoten die Site aus und verwenden Sie die Tasks im
Taskbereich. Sie können auch mit der rechten Maustaste auf einen Sitenamen
klicken und Tasks aus dem Kontextmenü auswählen.
Teilen Sie nach der Konfiguration des Webinterface den Benutzern die URL der
Seite Anmelden mit. Weitere Informationen finden Sie unter „Bereitstellen des
Webinterface für die Benutzer“ auf Seite 123.
45
Problembehandlung bei der Installation des Webinterface
In diesem Abschnitt wird die Verwendung der Option Reparieren auf WindowsPlattformen erläutert, mit der Probleme der Webinterface-Installation behoben
werden können. Außerdem finden Sie Anweisungen zur Vorgehensweise, wenn die
Option Reparieren nicht verfügbar ist oder das Problem nicht behoben wird.
Verwenden der Option „Reparieren“
Sollten Probleme bei der Webinterface-Installation auftreten, versuchen Sie das
Problem mit der Option Reparieren zu beheben. Die Option Reparieren installiert
gemeinsame Dateien neu. Die Skripts oder die Datei WebInterface.conf werden
nicht ersetzt.
Auf Windows-Plattformen können Sie eines der folgenden Verfahren verwenden.
So führen Sie die Option „Reparieren“ von der Systemsteuerung aus:
1. Wählen Sie in der Systemsteuerung Software.
2. Klicken Sie im Dialogfeld Software auf Webinterface für MetaFrame
Presentation Server.
3. Klicken Sie auf Ändern.
4. Folgen Sie den auf dem Bildschirm angezeigten Anweisungen.
So führen Sie die Option „Reparieren“ von der EXE-Datei aus:
1. Doppelklicken Sie auf die Datei WebInterface.exe.
2. Wählen Sie Reparieren und klicken Sie auf Weiter.
Hinweis: Wenn das Problem nicht mit der Option Reparieren behoben wird oder
die Option nicht zur Verfügung steht (z. B. auf UNIX-Plattformen), deinstallieren
und installieren Sie das Webinterface neu. Weitere Informationen finden Sie unter
„Deinstallieren des Webinterface“ auf Seite 46. Nach der erneuten Installation des
Webinterface müssen Sie Anpassungen an der Datei WebInterface.conf erneut
vornehmen.
46
Deinstallieren des Webinterface
Bei der Webinterface-Deinstallation werden alle Webinterface-Dateien entfernt,
einschließlich des Verzeichnisses ICAWEB und der Webinterface-Backupdateien.
Kopieren Sie Webinterface-Dateien, die Sie behalten möchten, vor der
Deinstallation des Webinterface in ein anderes Verzeichnis.
In gewissen Situationen kann die Deinstallation des Webinterface fehlschlagen.
Mögliche Ursachen:
•
Unzureichender Registrierungszugriff für das Deinstallationsprogramm
•
IIS wurde nach der Webinterface-Installation vom System entfernt
Deinstallieren des Webinterface auf Microsoft IIS
So deinstallieren Sie das Webinterface auf Microsoft IIS:
1. Verwenden Sie die Option Software, auf die Sie über Start > Einstellungen >
Systemsteuerung zugreifen.
Deinstallieren des Webinterface auf UNIX-Plattformen
So deinstallieren Sie das Webinterface auf Tomcat:
1. Wechseln Sie in das Verzeichnis, in das Sie ursprünglich die WAR-Datei kopiert
haben.
2. Beenden Sie den Webserver.
3. Geben Sie rm <Name der WAR-Datei> ein.
4. Sie müssen ggf. die Verzeichnisse löschen, in die die WAR-Datei extrahiert
wurde. Normalerweise hat dieses Verzeichnis denselben Namen wie die WARDatei. Beispiel: Der Inhalt der Datei Citrix.war wird in das Verzeichnis „Citrix“
extrahiert.
KAPITEL 3
Konfigurieren des Webinterface
Übersicht
In diesem Kapitel wird die Konfiguration und Anpassung des Webinterface mit der
Access Suite Console und der Webinterface-Konfigurationsdatei erläutert. Unter
anderem werden folgende Themen behandelt:
•
Auswählen einer Konfigurationsmethode
•
Konfigurieren von Sites mit der Access Suite Console
•
Konfigurieren des Webinterface mit der Konfigurationsdatei
•
Bereitstellen des Webinterface für die Benutzer
48
Auswählen einer Konfigurationsmethode
In diesem Abschnitt wird beschrieben, wie Sie die am besten für Ihre
Anforderungen geeignete Konfigurationsmethode für das Webinterface ermitteln.
Für die Konfiguration und Anpassung des Webinterface stehen die folgenden
Methoden zur Verfügung:
Access Suite Console: Mit der Access Suite Console können Sie tägliche
Verwaltungsaufgaben schnell und einfach ausführen. Sie können mit der Konsole
beispielsweise die Einstellungen festlegen, die Benutzer auswählen können, oder
die Benutzerauthentifizierung beim Webinterface konfigurieren. Die Konfiguration
wird sofort wirksam, wenn Sie mit der Konsole Änderungen vornehmen.
Sie können die Access Suite Console auf Computern mit den folgenden Betriebssystemen installieren:
•
Alle Betriebssysteme aus den Windows 2000 Server- oder Windows
Server 2003-Familien
•
Windows XP Professional
•
Windows 2000 Professional
Informationen zur Konfiguration des Webinterface mit der Konsole finden Sie
unter „Konfigurieren von Sites mit der Access Suite Console“ auf Seite 50 und in
der Onlinehilfe der Access Suite Console.
Webinterface-Konfigurationsdatei: Mit der Datei WebInterface.conf können Sie
viele Webinterface-Eigenschaften ändern. Die Datei steht unter Windows und
UNIX zur Verfügung. Mithilfe dieser Datei können Sie gängige Verwaltungsaufgaben ausführen und zahlreiche Einstellungen anpassen. Sie ändern einfach die
Werte in der Datei WebInterface.conf und beenden und starten den Webserver neu,
um die Änderungen zu übernehmen. Weitere Informationen zur WebinterfaceKonfiguration mit der Datei WebInterface.conf finden Sie unter „Konfigurieren des
Webinterface mit der Konfigurationsdatei“ auf Seite 105.
Kapitel 3 Konfigurieren des Webinterface
49
Program Neighborhood Agent-Konfigurationsdatei: Sie können Program
Neighborhood Agent mit der Datei Config.xml konfigurieren, die sich auf dem
Webinterface-Server befindet.
Die Datei Config.xml enthält zahlreiche Parameter, die in die folgenden Kategorien
unterteilt sind:
•
FolderDisplay: Gibt an, wo Anwendungssymbole angezeigt werden: im
Startmenü, auf dem Windows-Desktop oder im Infobereich. Sie können auch
mit zusätzlichen Parametern einen bestimmten Ordner im Startmenü und die auf
dem Windows-Desktop zu verwendeten Symbole angeben. Diese Parameter
entsprechen den Optionen im Dialogfeld Program Neighborhood Agent Eigenschaften auf der Registerkarte Anwendungsanzeige.
•
DesktopIntegration: Bearbeiten Sie diesen Parameter nicht.
•
ConfigurationFile: Ermöglicht die Angabe einer anderen URL für die Datei
Config.xml des zukünftig verwendeten Clients. Dies vereinfacht ein Verlagern
der Benutzer auf einen anderen Webinterface-Server.
•
Request: Gibt an, von welcher Stelle der Client die Informationen zu
veröffentlichten Anwendungen anfordert und wie oft die Informationen
aktualisiert werden.
•
Logon: Gibt die verwendete Anmeldemethode an.
•
UserInterface: Gibt an, ob für den Benutzer bestimmte Optionen in der
Program Neighborhood Agent-Oberfläche ein- oder ausgeblendet werden.
•
FileCleanup: Bearbeiten Sie diesen Parameter nicht.
•
ICA_Options: Gibt die Audio- und Videooptionen für die Clientverbindungen
an. Dieser Parameter entspricht den Optionen im Dialogfeld Program
Neighborhood Agent - Eigenschaften auf der Registerkarte ICA-Optionen.
Webserverskripts und Java-Servlets: Mit der Anwendungsprogrammierschnittstelle
(API) des Webinterface können Sie die Webinterface-Site umfassend anpassen. Sie
können mit ASP.NET oder JavaServer Pages Webserverskripts für MetaFrame
Presentation Server-Sites erstellen. Weitere Informationen finden Sie im Handbuch
Customizing the Web Interface.
50
Konfigurieren von Sites mit der Access Suite Console
Die Webinterface-Verwaltungsfunktionen sind jetzt in der Access Suite Console
verfügbar. Mit der Konsole können Sie Sites für MetaFrame Presentation Server
und Program Neighborhood Agent sowie für MetaFrame Conferencing ManagerGastteilnehmer erstellen und konfigurieren. Viele der Einstellungen sind mit der
Konsole schnell und einfach zu ändern.
In dieser Abbildung sehen Sie die Access Suite Console.
Bei Verwendung der Konsole werden ggf. einige Einstellungen des Webinterface
deaktiviert, wenn deren Werte für die aktuelle Konfiguration nicht relevant sind.
Die entsprechenden Einstellungen in der Datei WebInterface.conf werden auf die
Standardwerte zurückgesetzt. Citrix empfiehlt das regelmäßige Erstellen einer
Sicherungskopie der Datei WebInterface.conf.
Aufrufen der Hilfe
Zum Anzeigen der Onlinehilfe für das Webinterface können Sie F1 drücken oder
mit der rechten Maustaste auf einen Knoten in der Konsolenstruktur klicken und
Hilfe auswählen.
51
Erste Schritte mit der Access Suite Console
Um die Access Suite Console zu starten, wählen Sie Start > Programme >
Citrix > MetaFrame Presentation Server > Access Suite Console für Presentation Server.
Weitere Informationen über die Access Suite Console finden Sie im MetaFrame
Durchführen der Discovery
Bevor Sie die bereitgestellten Objekte mit der Konsole verwalten können, müssen
Sie die Discovery durchführen, um Verbindungen zu den Serverfarmen herzustellen. Beim ersten Öffnen der Konsole werden Sie automatisch zum Starten des
Discoveryvorgangs aufgefordert und durch die entsprechenden Schritte geführt:
Auswählen der gewünschten Komponenten, Konfigurieren des Discoveryvorgangs
und Ermitteln der Objekte, die zu verwalten sind.
Mit dem Assistenten Discovery konfigurieren und durchführen legen Sie die
Komponenten fest, die Sie nach neuen Objekten durchsuchen möchten, und geben
an, ob eine Remotekonfiguration für die Sites auf dem Computer abzurufen ist. Sie
bearbeiten Konfigurationsserver und geben MetaFrame Presentation ServerFarmen an. Anschließend führen Sie den Discoveryvorgang durch, um eine
Komponente zu erkennen oder wenn Objekte aus der Bereitstellung entfernt oder
dieser hinzugefügt wurden. Klicken Sie im Taskbereich auf Discovery
durchführen.
52
Nach Abschluss des Discoveryvorgangs werden die vorhandenen Sites unter dem
Knoten Webinterface in der Konsolenstruktur angezeigt. Sie können nun neue
Sites erstellen und vorhandene Sites verwalten. Beispiel:
In dieser Abbildung sehen Sie die Access Suite Console mit bereits erstellten Sites.
Erstellen von Sites
Mit dem Task Site erstellen können Sie die folgenden Typen von Sites erstellen:
•
MetaFrame Presentation Server: für Benutzer, die über einen Webbrowser
(das Webinterface) auf veröffentlichte Anwendungen zugreifen.
•
Program Neighborhood Agent-Dienste: für Benutzer, die mit Program
Neighborhood Agent auf veröffentlichte Anwendungen zugreifen.
•
Conferencing Manager-Gastteilnehmer: für Gastteilnehmer, die sich an
Conferencing Manager-Konferenzen anmelden.
Der Assistent Site erstellen führt Sie durch die Erstellung einer dieser Sites. Sie
können den IIS-Speicherort angeben, auf dem die Site gehostet wird, und festlegen,
ob es sich um die Standardsite in der IIS-Site handelt. Sie können die URL für
Änderungen festlegen sowie einen Speicherort, von dem die Site die zugehörige
Konfiguration abruft, und Serverfarmen hinzufügen. Nach Beendigung dieses
Tasks wird die neue Site in der Konsolenstruktur angezeigt.
53
Klicken Sie in der Konsolenstruktur auf die Site, um sie zu verwalten. Im Task- und
im Detailfenster werden Sitetasks, Informationen und Warnmeldungen angezeigt.
Wenn der Konfigurationsserver nicht verfügbar ist und keine Verbindung zu diesem
hergestellt werden kann, werden keine Sitetasks in der Konsole angezeigt.
Ausführen von Tasks
Im Taskbereich werden die Tasks angezeigt, die für die einzelnen Typen von Sites
verfügbar sind. Tasks können auf zwei Arten ausgeführt werden: über Assistenten
oder durch das Festlegen von Optionen in Dialogfeldern. Um einen Task auszuführen, klicken Sie im Taskbereich auf einen Tasknamen, oder klicken Sie mit der
rechten Maustaste auf die Site, die Sie konfigurieren möchten, und wählen Sie im
angezeigten Menü einen Task aus.
Einige Tasks sind nur für bestimmte Typen von Sites verfügbar. Die entsprechenden
Informationen dazu werden jeweils am Anfang der folgenden Abschnitte
angegeben.
54
Verwalten von Serverfarmen
Hinweis: Der folgende Abschnitt gilt für die Sitetypen MetaFrame Presentation
Server, Program Neighborhood Agent-Dienste und Conferencing ManagerGastteilnehmer.
Mit dem Task Serverfarmen verwalten können Sie das Webinterface für die
Kommunikation mit einer oder mehreren Farmen konfigurieren. Benutzer müssen
über ein Konto zur Authentifizierung bei jeder Farm, die für diesen Task festgelegt
ist, verfügen. Wenn sich Farmen in verschiedenen Domänen befinden, muss unter
Windows eine bidirektionale Vertrauensstellung zwischen diesen Domänen
aktiviert werden. Bei einer Farm unter UNIX muss jeder Benutzer über einen
Benutzernamen und ein Kennwort verfügen, der bzw. das mit der Windows-Farm
übereinstimmt. Können Benutzername und Kennwort nicht von einer der
angegebenen Farmen authentifiziert werden, wird dem Benutzer eine Fehlermeldung über ungültige Anmeldeinformationen angezeigt.
Die Funktion zum Verwenden mehrerer Serverfarmen ist für die Benutzer nicht
erkennbar, da sie nicht darauf hingewiesen werden, dass die Anwendungsgruppe
eine Aggregation von mehreren Serverfarmen ist. Anwendungen aus mehreren
Serverfarmen werden genauso wie die einer einzigen Farm dargestellt. Zuerst
werden die Ordner und dann die Anwendungssymbole angezeigt. Aus diesem
Grund werden Anwendungen desselben Namens aus verschiedenen Serverfarmen
an beliebiger Stelle in der Anwendungsgruppe des Benutzers angezeigt. Deshalb
empfiehlt Citrix, dass Sie eindeutige Anwendungsnamen in allen Serverfarmen
sicherstellen, z. B. durch Veröffentlichen von Anwendungen in Ordnern mit
anderen Namen.
Hinweis: Das Webinterface fragt vor der Anzeige der Anwendungen
Anwendungsdaten von allen Serverfarmen ab. Jede Serverfarm wird in der Reihenfolge kontaktiert, in der sie in der Konfiguration aufgeführt ist. Aus diesem Grund
wirkt sich eine langsam reagierende Serverfarm auf die gesamte Reaktionsfähigkeit
aus, wenn Anwendungsgruppen abgerufen werden.
55
Überlegungen zur Kennwortänderung
Sollten Unterschiede zwischen den Serverfarmen bestehen, können Benutzer ihre
Kennwörter möglicherweise aufgrund von weiteren Problemen nicht ändern.
Beispiel:
•
Die Domänenrichtlinie verhindert das Ändern von Kennwörtern durch
Benutzer.
•
Bei einer Aggregation mehrerer Farmen muss die erste Farm, die in der
Konfiguration aufgelistet ist, MetaFrame XP mit Service Pack 2 oder höher
ausführen.
•
Bei einer Aggregation von MetaFrame Presentation Server für UNIX und
MetaFrame Presentation Server für Windows durch eine einzelne Site kann nur
das Windows-Kennwort geändert werden.
Citrix empfiehlt, in diesen Situationen die Kennwortänderung durch Benutzer zu
deaktivieren.
Bei Bedarf kann die Kennwortänderung in einer gemischten Serverfarmbereitstellung aktiviert werden. Das Webinterface kontaktiert die Serverfarmen in der
definierten Reihenfolge, bis eine Serverfarm meldet, dass das Kennwort ordnungsgemäß geändert wurde. An dieser Stelle wird das Verfahren angehalten. Sie können
dann die Serverfarm angeben, an die die Anfrage zum Ändern des Kennworts
ausgegeben wird. Verwenden Sie jedoch geeignete Kennwortreplikationsmethoden
zwischen den Serverfarmen, um konsistente Benutzerkennwörter sicherzustellen.
Wenn die Kennwortänderungsanfrage fehlschlägt, wird sie an die nächste Serverfarm in der Reihenfolge ausgestellt.
Konfigurieren von Servereinstellungen
Servereinstellungen werden für jede einzelne Serverfarm konfiguriert. Wählen Sie
den Task Serverfarmen verwalten aus, um Einstellungen für Serverfarmen
anzuzeigen und zu konfigurieren. Mit diesem Task können Sie Serverfarmnamen
erstellen und bearbeiten sowie die Reihenfolge festlegen, in der sie für Load
Balancing verwendet werden. Sie können auch einzelne Farmeinstellungen
konfigurieren, wie beispielsweise XML- und SSL-Serverports und den Transporttyp. Außerdem können Sie Ticketing aktivieren.
So fügen Sie Serverfarmen hinzu:
1. Klicken Sie auf den Task Serverfarmen verwalten.
2. Klicken Sie auf Hinzufügen. Klicken Sie im Serverbereich auf Hinzufügen,
um einen Servernamen zu erstellen.
56
3. Markieren Sie bei der Angabe mehrerer Serverfarmnamen einen Namen in der
Liste und klicken Sie auf Nach oben oder Nach unten, um die Namen in der
entsprechenden Failover-Reihenfolge zu sortieren. Wenn Sie einen Servernamen ändern möchten, klicken Sie auf Bearbeiten. Wenn Sie einen Servernamen entfernen möchten, markieren Sie den Namen in der Liste und klicken
Sie auf Entfernen.
4. Geben Sie in Farmname einen Namen für die Serverfarm ein.
5. Klicken Sie auf OK, um das Hinzufügen der Farm abzuschließen.
Konfigurieren der Fehlertoleranz
Das Webinterface bietet eine Fehlertoleranz für die Server, auf denen der Citrix
XML-Dienst ausgeführt wird. Wenn die Kommunikation mit einem Server unterbrochen wird, wird der ausgefallene Server für eine bestimmte Dauer umgangen.
Die Kommunikation wird mit den restlichen Servern in der Liste Server
fortgesetzt.
Standardmäßig wird ein ausgefallener Server für 1 Stunde umgangen.
So konfigurieren Sie die Fehlertoleranz:
2. Wenn Sie eine Farm hinzufügen, klicken Sie auf Hinzufügen. Wenn Sie eine
bestehende Farm konfigurieren, klicken Sie auf Bearbeiten.
3. Ordnen Sie die Server in der Liste Server der Priorität nach. Markieren Sie
einen Namen in der Liste und klicken Sie auf Nach oben oder Nach unten, um
die Server in die gewünschte Reihenfolge zu verschieben.
4. In dem Feld Ausgefallene Server umgehen können Sie die Zeitspanne ändern,
die ein ausgefallener Server umgangen wird.
Hinweis: Wenn ein Server ausfällt, auf dem der Citrix XML-Dienst ausgeführt
wird, versucht das Webinterface erst nach Ablauf der in Ausgefallene Server
umgehen angegebenen Dauer mit dem ausgefallenen Server zu kommunizieren.
Wenn keiner der Server in der Liste antwortet, versucht das Webinterface alle
10 Sekunden erneut, mit den Servern zu kommunizieren.
Aktivieren von Load Balancing zwischen Servern
Sie können Load Balancing zwischen Servern aktivieren, auf denen der Citrix
XML-Dienst ausgeführt wird. Wenn Sie Load Balancing aktivieren, werden die
Verbindungen gleichmäßig auf die Server verteilt, sodass kein Server überlastet
wird. Load Balancing ist standardmäßig aktiviert.
57
Wenn ein Kommunikationsproblem mit einem Server auftritt, wird die
Kommunikationslast zwischen den restlichen Servern in der Liste ausgeglichen.
Der ausgefallene Server wird für eine bestimmte Dauer (standardmäßig 1 Stunde)
umgangen. Sie können diesen Wert in Ausgefallene Server umgehen ändern.
Weitere Informationen finden Sie unter „Konfigurieren der Fehlertoleranz“
auf Seite 56 .
So aktivieren Sie Load Balancing:
3. Fügen Sie der Liste Server die Server für Load Balancing hinzu. Informationen
zum Hinzufügen von Servern finden Sie unter „Konfigurieren von
Servereinstellungen“ auf Seite 55.
4. Aktivieren Sie Serverliste für Load Balancing verwenden.
5. In dem Feld Ausgefallene Server umgehen können Sie die Zeitspanne ändern,
die ein ausgefallener Server umgangen wird.
Konfigurieren von Einstellungen für alle Server
Mit dem Task Serverfarmen verwalten können Sie für die Server in der Liste
Server den TCP/IP-Port für den Citrix XML-Dienst festlegen sowie das
verwendete Protokoll für die Übermittlung von Webinterfacedaten zwischen dem
Webserver und dem Server, der MetaFrame Presentation Server ausführt. Der Citrix
XML-Dienst ist eine Komponente von MetaFrame, die als Kontaktpunkt zwischen
der Serverfarm und dem Webinterface-Server dient. Standardmäßig wird die bei der
Erstellung der Site angegebene Portnummer verwendet. Diese Portnummer muss
der vom Citrix XML-Dienst verwendeten Portnummer entsprechen.
Sie können außerdem die Gültigkeitsdauer für das vom Server erstellte Ticket
angeben. Tickets erhöhen die Authentifizierungssicherheit für explizite
Anmeldung, da die vom Webserver an die Clientgeräte übermittelten ICA-Dateien
keine Anmeldeinformationen der Benutzer enthalten.
Jedes Webinterface-Ticket hat standardmäßig eine Gültigkeitsdauer von
200 Sekunden. Sie können die Gültigkeitsdauer ändern, zum Beispiel um sie der
Netzwerkleistung anzupassen, da ein Benutzer mit ungültigen Tickets nicht
ordnungsgemäß bei der Serverfarm authentifiziert werden kann. Wenn Sie die IPAdresse (bzw. Adressen) eines Servers ändern, der den Citrix XML-Dienst
ausführt, funktioniert Ticketing erst nach dem Neustart des Servers. Vergessen Sie
nach dem Ändern der IP-Adressen eines Servers nicht, den Computer neu zu
starten.
58
So geben Sie Einstellungen für alle Server an:
3. Geben Sie im Bereich Einstellungen für alle Server in Port für XML-Dienst
die Portnummer ein.
4. Wählen Sie in der Liste Transporttyp eine der folgenden Optionen aus:
•
HTTP: Wählen Sie dieses Protokoll für die Übermittlung von Daten über
eine HTTP-Standardverbindung. Verwenden Sie diese Option, wenn Sie
bereits andere Vorkehrungen zum Sichern dieser Verbindung getroffen
haben.
•
HTTPS: Wählen Sie dieses Protokoll für die Übermittlung von Daten über
eine sichere HTTP-Verbindung mit SSL (Secure Sockets Layer) oder TLS
(Transport Layer Security). Der Citrix XML-Dienst muss den Port für IIS
freigegeben haben und IIS muss HTTPS unterstützen.
•
SSL-Relay: Wählen Sie dieses Protokoll für die Übermittlung von Daten
über eine sichere Verbindung, bei der die Hostauthentifizierung und Datenverschlüsselung über das Citrix SSL-Relay erfolgt, das auf einem Server mit
MetaFrame Presentation Server ausgeführt wird.
5. Geben Sie bei Verwendung der Option SSL-Relay den TCP-Port des Citrix
SSL-Relays in Port für SSL-Server ein (der Standardport ist 443). Das
Webinterface authentifiziert einen Citrix SSL-Relay-Server mit Stammzertifikaten. Stellen Sie sicher, dass alle Server, auf denen das Citrix SSL-Relay
ausgeführt wird, dieselbe Portnummer abhören.
Hinweis: Bei Verwendung von SSL-Relay oder HTTPS müssen die
angegebenen Servernamen mit den Namen auf dem Zertifikat des Servers, auf
dem MetaFrame ausgeführt wird, übereinstimmen.
6. Wenn Sie Ticketing verwenden möchten, aktivieren Sie die Option Tickets für
ICA-Authentifizierung aktivieren.
7. Um die Gültigkeitsdauer von Tickets zu ändern, geben Sie einen Wert in
Gültigkeitsdauer von MetaFrame-Tickets ein.
8. Klicken Sie auf OK, um die Änderungen zu bestätigen.
59
Festlegen erweiterter Servereinstellungen
Auf der Seite Serverfarmen verwalten können Sie unter Erweitert erweiterte
Servereinstellungen vornehmen. Sie können Socketpooling aktivieren, ein Zeitlimit
für den Citrix XML-Dienst festlegen und die Anzahl der Versuche vor dem
Fehlschlagen des XML-Dienstes angeben.
Bei Aktivierung von Socketpooling verwaltet das Webinterface einen Socketpool
anstatt Sockets jedes Mal neu zu erstellen. Beim Trennen der Verbindung gibt das
Webinterface die Sockets an das Betriebssystem zurück. Das Aktivieren von
Socketpooling verbessert die Leistung, besonders für SSL-Verbindungen.
Hinweis: In Ausnahmesituationen kann Socketpooling die Stabilität
beeinträchtigen und muss deaktiviert werden. Das Deaktivieren von Socketpooling
verbessert die Zuverlässigkeit, kann allerdings die Leistung mindern.
Socketpooling sollte nicht verwendet werden, wenn das Webinterface so
konfiguriert ist, dass MetaFrame für UNIX-Server verwendet werden.
So aktivieren Sie Socketpooling und XML-Dienstkommunikation:
1. Wenn Sie Socketpooling verwenden möchten, aktivieren Sie die Option
Socketpooling aktivieren.
2. Wenn Sie das Zeitlimit für den Citrix XML-Dienst konfigurieren möchten,
geben Sie einen Wert in Sockettimeout ein.
3. Wenn Sie die Anzahl der Versuche vor dem Fehlschlagen des Dienstes festlegen
möchten (während dieser Versuche wird der Dienst übergangen), geben Sie
einen Wert in Anzahl der Versuche, bevor ein XML-Dienst fehlschlägt ein.
60
Konfigurieren der Authentifizierung
Server und Program Neighborhood Agent-Dienste.
Mit dem Task Authentifizierungsmethoden konfigurieren konfigurieren Sie die
Methoden, mit denen Benutzer bei MetaFrame Presentation Server und Program
Neighborhood Agent authentifiziert werden können.
Authentifizierungsmethoden
Eine Authentifizierung erfolgt, wenn ein Benutzer auf Anwendungen zugreift.
Nach einer erfolgreichen Authentifizierung wird die Anwendungsgruppe des
Benutzers angezeigt. Sie können die folgenden Authentifizierungsmethoden
konfigurieren:
•
Explizit (MetaFrame Presentation Server-Sites) oder Zugriff bestätigen
(Program Neighborhood Agent-Dienste-Sites): Benutzer müssen sich bei IIS
mit einem Benutzernamen und einem Kennwort anmelden. Zur Authentifizierung können UPN (User Principal Name), domänenbasierte Authentifizierung
von Microsoft und NDS (Novell Directory Service) verwendet werden. Für
MetaFrame Presentation Server-Sites stehen auch RSA SecurID und SafeWord
zur Authentifizierung zur Verfügung.
•
Passthrough: Benutzer können mit den Anmeldeinformationen authentifiziert
werden, die bei der Anmeldung auf IIS am Windows-Desktop eingegeben
wurden. Sie müssen diese Angaben nicht erneut eingeben und ihre
Anwendungsgruppe wird automatisch angezeigt. Zur Verbindung mit Servern
kann außerdem Kerberos-Authentifizierung verwendet werden. Wenn Sie die
Kerberos-Authentifizierung festlegen und diese Methode fehlschlägt, schlägt
die Passthrough-Authentifizierung ebenfalls fehl und es können sich keine
Benutzer anmelden. Weitere Informationen zu Kerberos finden Sie im
MetaFrame Presentation Server-Administratorhandbuch.
•
Passthrough mit Smartcard: Benutzer können bei IIS authentifiziert werden,
indem sie eine Smartcard in ein entsprechendes Lesegerät einlegen, das an das
Clientgerät angeschlossen ist. Ist die Authentifizierung mit Passthrough
aktiviert, wird der Benutzer nicht zur Eingabe einer PIN-Nummer aufgefordert.
Wenn Sie eine Program Neighborhood Agent-Dienste-Site konfigurieren,
können Sie zur Verbindung mit Servern Kerberos-Authentifizierung
verwenden. Wenn Sie die Kerberos-Authentifizierung festlegen und diese
Methode fehlschlägt, schlägt die Passthrough-Authentifizierung ebenfalls fehl
und es können sich keine Benutzer anmelden. Weitere Informationen zu
Kerberos finden Sie im MetaFrame Presentation ServerAdministratorhandbuch.
61
•
Smartcard: Benutzer können sich mit einer Smartcard bei IIS authentifizieren
und werden dabei zur Eingabe einer PIN aufgefordert.
•
Anonym: Benutzer können sich ohne Eingabe von Benutzernamen und
Kennwort anmelden und die Anwendungen starten, die auf dem Server für
anonyme Benutzer veröffentlicht wurden.
Hinweis: Citrix empfiehlt, die Anmeldung für anonyme Benutzer nicht zu
aktivieren, wenn Sie MetaFrame 1.8 mit Feature Release 1 verwenden. Ist diese
Option in dieser MetaFrame-Version aktiviert, können Benutzer explizit
veröffentlichte Anwendungen anzeigen.
ACHTUNG: Anonyme Webinterface-Benutzer können Secure GatewayTickets erhalten, obwohl sie nicht beim Webinterface authentifiziert wurden. Da
Secure Gateway davon ausgeht, dass das Webinterface nur authentifizierten
Benutzern Tickets ausstellt, wird die Sicherheit von Secure Gateway an dieser
Stelle gefährdet.
Empfehlungen für die Authentifizierung
Stellen Sie sicher, dass die Benutzeranmeldung an den Arbeitsstationen und dem
Webinterface konsistent erfolgt, entweder explizit (mit einem Benutzernamen und
einem Kennwort) oder mit Smartcards, jedoch nicht mit beiden Methoden.
Beispiel: Wenn sich Benutzer beim Windows-Desktop mit einer Smartcard
anmelden und dann für das Webinterface die explizite Authentifizierung wählen,
können die vom Client übergebenen Anmeldeinformationen ggf. falsch sein. In
dieser Situation übergibt der Client ggf. die PIN-Nummer und nicht den Benutzernamen und das Kennwort.
Wenn Sie die Webinterface-Authentifizierungsmethoden ändern, werden
bestehenden Benutzern ggf. Fehlermeldungen angezeigt. Benutzer müssen für den
Zugriff auf das Webinterface den Browser beenden und neu öffnen.
62
Aktivieren der Smartcard-Authentifizierung
Smartcards sind Plastikkarten in der Größe einer Kreditkarte, in die ComputerChips eingebettet sind. Smartcards können nur Speicher, Speicher mit Sicherheitslogik oder Speicher mit CPU-Funktionen enthalten. Mit Smartcards kann die
Kommunikation über ein Netzwerk gesichert und die Authentifizierung zwischen
Clients und Servern ausgeführt werden.
Der Benutzer legt die Smartcard in einen Smartcardleser ein, der an das Clientgerät
angeschlossen ist, und gibt dann eine PIN-Nummer ein. Ist die Authentifizierungsmethode Smartcard mit Passthrough aktiviert, werden Benutzer aufgefordert, eine
PIN-Nummer einzugeben, wenn sie sich am Clientgerät anmelden. Bei allen
folgenden Anmeldungen (und beim Starten von Anwendungen) werden sie nicht
erneut dazu aufgefordert, die PIN-Nummer einzugeben.
Im folgenden Abschnitt werden die Anforderungen für Smartcards und die Schritte
erläutert, die für die Aktivierung der Smartcard-Unterstützung erforderlich sind.
Ein Konfigurationsbeispiel für Smartcard-Authentifizierung im Webinterface
finden Sie unter „Beispiel: Aktivieren der Smartcard-Authentifizierung“
auf Seite 65.
Anforderungen für Smartcards
Damit die Smartcard-Authentifizierung verwendet werden kann, muss das
Webinterface auf IIS ausgeführt werden und Benutzer müssen Internet Explorer (ab
Version 5.5) auf einem 32-Bit-Windows-System ausführen. Smartcards werden
nicht unter UNIX unterstützt.
Auf dem Webserver muss SSL (Secure Sockets Layer) aktiviert sein. Da die
Smartcard-Technologie auf SSL aufbaut, muss SSL zwischen dem Browser und
dem Webserver verwendet werden. Weitere Informationen hierzu finden Sie in der
Webserver-Dokumentation.
Wenn Sie die Smartcard-Authentifizierung aktivieren möchten (mit oder ohne
anderen Authentifizierungsmethoden), müssen Sie die Seite Anmelden
konfigurieren, sodass auf diese nur über HTTPS-Verbindungen zugegriffen werden
kann. Bei Verwendung von HTTP oder falsch konfiguriertem HTTPS erhalten
Benutzer eine Fehlermeldung und können sich nicht anmelden. Veröffentlichen Sie
eine vollständige HTTPS-URL für alle Benutzer, um dieses Problem zu vermeiden,
wie beispielsweise: https://www.IhrUnternehmen.com:449/Citrix/MetaFrame.
Weitere Informationen zu den Anforderungen des Clientgeräts und des Servers für
die Unterstützung von Smartcards finden Sie im Client für 32-Bit-WindowsAdministratorhandbuch und im MetaFrame-Administratorhandbuch.
63
Schritt 1: Installieren der Vollversion des Clients für Win32
Sie müssen die Vollversion des Clients für Win32 auf den Clientgeräten der
Benutzer unter Verwendung eines Administratorkontos installieren. Die
Passthrough-Authentifizierungsfunktion ist nur in der Vollversion des Clients für
Win32 verfügbar, der sich auf der Komponenten-CD-ROM befindet. Aus Sicherheitsgründen ist diese Funktion in den zum Download angebotenen Clients für
Win32 nicht enthalten. Aus diesem Grund können Sie Benutzern mit der webbasierten Clientinstallation keine Clients bereitstellen, die diese Funktion enthalten.
Schritt 2: Bearbeiten der Datei Appsrv.ini
Wenn Sie die Passthrough-Authentifizierung aktivieren möchten, damit der
Benutzer die PIN-Nummer nicht so oft eingeben muss, müssen Sie die Datei
Appsrv.ini bearbeiten. Diese Datei ist im Benutzerprofil gespeichert. Wenn ein
Benutzerprofil beispielsweise lokal gespeichert ist, befindet es sich unter
folgendem Verzeichnispfad:
C:\Dokumente und Einstellungen\<Benutzer>\Anwendungsdaten\ICAClient.
(Hinweis: Der Ordner „Anwendungsdaten“ ist verborgen.)
Fügen Sie im Abschnitt [WFClient] die folgenden Einträge hinzu:
EnableSSOnThruICAFile=On
SSOnUserSetting=On
Hinweis: Das Aktivieren der Authentifizierung mit Passthrough stellt ein
Sicherheitsrisiko dar. Weitere Informationen finden Sie unter ACHTUNG unter
„Passthrough-Anforderungen“ auf Seite 66.
Schritt 3: Aktivieren des Verzeichnisdienst-Zuordnungsprogramms von
Windows
Das Verzeichnisdienst-Zuordnungsprogramm von Windows muss auf dem
Webinterface-Server aktiviert sein.
Bei der Webinterface-Authentifizierung werden Windows-Domänenkonten
verwendet, d. h. die Anmeldeinformationen (Benutzername und Kennwort).
Zertifikate werden jedoch auf Smartcards gespeichert. Das VerzeichnisdienstZuordnungsprogramm verwendet Windows Active Directory, um ein Zertifikat
einem Windows-Domänenkonto zuzuordnen.
64
So aktivieren Sie das Verzeichnisdienst-Zuordnungsprogramm von Windows
auf IIS 5.0:
1. Öffnen Sie auf dem Webinterface-Server in der Managementkonsole für
MetaFrame Presentation Server die Internet-Informationsdienste.
2. Klicken Sie mit der rechten Maustaste auf das Verzeichnis für Websites (unter
dem Server, auf dem das Webinterface ausgeführt wird) und klicken Sie auf
Eigenschaften.
3. Auf der Registerkarte Internet-Informationsdienste muss der Eintrag WWWDienst im Abschnitt Haupteigenschaften angezeigt sein. Klicken Sie auf
Bearbeiten.
4. Aktivieren Sie auf der Registerkarte Verzeichnissicherheit die Option
Verzeichnisdienst-Zuordnungsprogramm von Windows aktivieren.
5. Klicken Sie auf OK, um das Verzeichnisdienst-Zuordnungsprogramm zu
aktivieren.
So aktivieren Sie das Verzeichnisdienst-Zuordnungsprogramm von Windows
auf IIS 6.0:
1. Öffnen Sie auf dem Server, auf dem das Webinterface ausgeführt wird, in der
Managementkonsole für MetaFrame Presentation Server das Snap-In-Tool für
Internet-Informationsdienste.
2. Klicken Sie mit der rechten Maustaste auf das Verzeichnis für Websites (unter
dem Server, auf dem das Webinterface ausgeführt wird) und klicken Sie auf
Eigenschaften.
3. Aktivieren Sie auf der Registerkarte Verzeichnissicherheit im Abschnitt
Sichere Kommunikation die Option Windows-Verzeichnisdienstzuordnung
aktivieren.
4. Klicken Sie auf OK, um das Verzeichnisdienst-Zuordnungsprogramm zu
aktivieren.
Schritt 4: Aktivieren der Smartcard-Authentifizierung mit der Konsole
Sie müssen die Smartcard-Authentifizierung im Webinterface (damit Benutzer auf
das Webinterface zugreifen und Anwendungsgruppen anzeigen können) und auf
dem Server konfigurieren (damit Benutzer mit dem Webinterface Anwendungen in
einer Clientsitzung starten können). Verwenden Sie hierzu den Task
Authentifizierungsmethoden konfigurieren.
65
Beispiel: Aktivieren der Smartcard-Authentifizierung
Dieses Beispiel erläutert die nötigen Schritte, damit sich Benutzer mit einer
Smartcard beim Webinterface anmelden und Anwendungen starten können.
Sie möchten die Smartcard-Authentifizierung für einen Benutzer aktivieren. Der
Benutzer verwendet ein Clientgerät unter Windows 2000 mit Service Pack 4. An
das Clientgerät ist ein Smartcardleser angeschlossen und auf dem Server ist
Smartcard-Unterstützung konfiguriert. Das Webinterface lässt im Augenblick nur
explizite Authentifizierung mit Benutzername und Kennwort zu.
So aktivieren Sie die Smartcard-Authentifizierung:
1. Installieren Sie die Vollversion des Clients für Win32 von der KomponentenCD-ROM auf dem Clientgerät des Benutzers. Die Installation auf dem Client
wird mit einem Administratorkonto ausgeführt. Beantworten Sie die während
der Installation des Clients für Win32 angezeigte Meldung „Möchten Sie Ihre
lokalen Benutzerinformationen für Citrix Sitzungen mit diesem Client
aktivieren und automatisch verwenden?“ mit Ja.
2. Bearbeiten Sie im Benutzerprofil die Datei Appsrv.ini. Sie finden die Datei im
Ordner
C:\Dokumente und Einstellungen\Benutzer\Anwendungsdaten\ICAClient.
SSOnUserSetting=On
3. Das Verzeichnisdienst-Zuordnungsprogramm von Windows muss aktiviert sein.
Weitere Informationen finden Sie unter „Schritt 3: Aktivieren des
Verzeichnisdienst-Zuordnungsprogramms von Windows“ auf Seite 63.
4. Aktivieren Sie die Smartcard-Authentifizierung in der Access Suite Console mit
dem Task Authentifizierungsmethoden konfigurieren. Wenn der Benutzer
auf der Seite Anmelden Smartcard auswählt, ist für die Anmeldung nur die
Eingabe der PIN-Nummer erforderlich. Voraussetzung dafür ist, dass seine
Anmeldung am Windows-Desktop mit der Smartcard erfolgte.
Hinweis: Damit der Benutzer die PIN-Nummer nicht erneut eingeben muss,
wenn er sich am Webinterface anmeldet, aktivieren Sie Passthrough mit
Smartcard.
66
Aktivieren der Passthrough-Authentifizierung
Für Benutzer, die sich mit ihrem Benutzernamen, ihrem Kennwort und ihrer
Domäne an ihrem Desktop anmelden, können Sie unter Verwendung der Konsole
Passthrough-Authentifizierung aktivieren. Mit dieser Funktion können Benutzer
mit den Anmeldeinformationen authentifiziert werden, die bei der Anmeldung am
Windows-Desktop eingegeben wurden. Sie müssen diese Informationen nicht
erneut eingeben und ihre Anwendungsgruppe wird automatisch angezeigt.
Im folgenden Abschnitt werden die Anforderungen für Passthrough und die
Schritte erläutert, die für die Aktivierung der Passthrough-Unterstützung
erforderlich sind.
Passthrough-Anforderungen
Damit Sie die Passthrough-Authentifizierung verwenden können, müssen die
Server MetaFrame Presentation Server mit Feature Release 2 oder höher ausführen,
das Webinterface muss auf IIS unter Windows 2000 mit Service Pack 4 oder
Windows Server 2003 ausgeführt werden und die Benutzer müssen Internet
Explorer ab Version 5.5 verwenden.
ACHTUNG: Wird auf den Servern eine frühere Version als MetaFrame
Presentation Server mit Feature Release 2 ausgeführt, werden für die Benutzer bei
aktiviertem Passthrough möglicherweise alle Anwendungen angezeigt.
Wenn Benutzer ältere Clientversionen als 6.30 verwenden und die ICAVerschlüsselung (SecureICA) aktiviert ist, funktioniert Passthrough nicht. Damit
Sie Passthrough mit ICA-Verschlüsselung verwenden können, müssen die neuesten
Clients verwendet werden. Außerdem muss auf dem Server MetaFrame
Presentation Server mit Feature Release 2 oder höher ausgeführt werden.
ACHTUNG: Wenn ein Benutzer eine Anwendung wählt, wird eine Datei an den
Browser übermittelt. Die Datei kann eine Anweisung für den Client enthalten, die
Anmeldeinformationen der Benutzer-Arbeitsstationen an den Server zu
übermitteln. Der Client ignoriert diese Einstellung standardmäßig. Ist jedoch
Passthrough auf dem MetaFrame Presentation Server Client für Win32 aktiviert,
könnte ein Angreifer dem Benutzer eine Datei übermitteln, die die Anmeldeinformationen des Benutzers an einen nicht autorisierten oder falschen Server
weiterleitet. Verwenden Sie Passthrough daher nur in sicheren, vertrauenswürdigen
Umgebungen.
67
Schritt 1: Installieren der Vollversion des Clients für Win32
Sie müssen die Vollversion des Clients für Win32 auf den Clientgeräten der
Benutzer unter Verwendung eines Administratorkontos installieren. Passthrough ist
nur in dieser Vollversion verfügbar, die sich auf der Komponenten-CD-ROM
befindet. Aus Sicherheitsgründen ist diese Funktion in den zum Download
angebotenen Clients für Win32 nicht enthalten. Aus diesem Grund können Sie
Benutzern mit der webbasierten Clientinstallation keine Clients bereitstellen, die
diese Funktion enthalten.
Beantworten Sie die während der Installation des Clients für Win32 angezeigte
Meldung „Möchten Sie Ihre lokalen Benutzerinformationen für Citrix Sitzungen
mit diesem Client aktivieren und automatisch verwenden?“ mit Ja. Die
Passthrough-Authentifizierung wird aktiviert. Benutzer des Clientgeräts können
diese Funktion erst nutzen, wenn sie aktiviert wurde.
Hinweis: Wenn Sie Passthrough nicht während der Installation des Clients für
Win32 aktivieren, können Sie dies zu einem späteren Zeitpunkt tun. Weitere
Informationen zur Aktivierung finden Sie im Client für 32-Bit-WindowsAdministratorhandbuch.
Schritt 2: Bearbeiten der Datei Appsrv.ini
Um Passthrough zu aktivieren, müssen Sie außerdem die Datei Appsrv.ini
bearbeiten. Diese Datei ist in den Benutzerprofilen gespeichert. Beispiel: Ist ein
Benutzerprofil lokal gespeichert, befindet sich die Datei im folgenden Ordner:
C:\Dokumente und Einstellungen\Benutzer\Anwendungsdaten\ICAClient.
(Hinweis: Der Ordner „Anwendungsdaten“ ist verborgen.)
SSOnUserSetting=On
Schritt 3: Aktivieren von Passthrough mit der Konsole
Zum Aktivieren der Passthrough-Authentifizierung müssen Sie die Access Suite
Console verwenden. Ist diese Funktion aktiviert, müssen Benutzer die Anmeldeinformationen nicht erneut eingeben und die Anwendungsgruppe wird automatisch
angezeigt.
Aktivieren Sie die Passthrough-Authentifizierung mit dem Task
Authentifizierungsmethoden konfigurieren. Sie können für MetaFrame
Presentation Server-Sites außerdem Kerberos mit Passthrough-Authentifizierung
aktivieren. Für Program Neighborhood Agent-Dienste-Sites können Sie auch
Kerberos für Passthrough mit Smartcard-Authentifizierung festlegen.
68
Aktivieren der Authentifizierungsmethoden „Explizit“ oder
„Zugriff bestätigen“
Wenn als Authentifizierung Explizit oder Zugriff bestätigen aktiviert ist, müssen
Benutzer über ein Benutzerkonto verfügen und bei der Anmeldung einen Benutzernamen, ein Kennwort und eine Domäne eingeben.
Sie können die Einstellungen für die explizite Authentifizierung mit der Konsole
ändern. Sie können es Benutzern z. B. ermöglichen, das Anmeldekennwort in einer
Sitzung zu ändern.
So aktivieren Sie die Authentifizierungsmethoden „Explizit“ oder „Zugriff
bestätigen“:
1. Klicken Sie auf den Task Authentifizierungsmethoden konfigurieren.
2. Aktivieren Sie Explizit oder Zugriff bestätigen, damit Benutzer beim
Anmelden einen Benutzernamen und ein Kennwort angeben müssen.
3. Wenn Sie eine MetaFrame Presentation Server-Site konfigurieren, können Sie
aus der Liste 2-Faktor-Authentifizierung erzwingen entweder RSA SecurID
oder SafeWord auswählen. Weitere Informationen zum Konfigurieren der
SafeWord-Authentifizierung finden Sie unter „Zwei-Faktor-Authentifizierung“
auf Seite 69. Weitere Informationen zum Konfigurieren der RSA SecurIDAuthentifizierung finden Sie unter „Aktivieren der Authentifizierung mit RSA
SecurID 6.0 auf IIS“ auf Seite 71.
4. Wenn Sie eine MetaFrame Presentation Server-Site konfigurieren, legen Sie
unter Benutzer können Kennwort ändern fest, ob Benutzer das Anmeldekennwort in einer Webinterface-Sitzung ändern können:
•
Wählen Sie Nie, wenn Benutzer ihr Kennwort nicht ändern dürfen.
•
Wählen Sie Nur bei Ablauf, wenn Benutzer das Anmeldekennwort nur
ändern können, wenn es abgelaufen ist. Bei Auswahl dieser Option wird
dem Benutzer das Dialogfeld zum Ändern des Kennworts angezeigt, wenn
die Anmeldung am Webinterface aufgrund eines abgelaufenen Kennworts
fehlgeschlagen ist. Nach dem Ändern des Kennworts wird der Benutzer
automatisch mit dem neuen Kennwort beim Webinterface angemeldet.
•
Wählen Sie Immer, wenn Benutzer das Kennwort beliebig oft im
Webinterface ändern können. Bei Auswahl dieser Option wird das Symbol
zum Ändern des Kennworts auf den Benutzerseiten angezeigt. Wenn
Benutzer auf dieses Symbol klicken, können sie im angezeigten Dialogfeld
ein neues Kennwort eingeben.
Wenn Sie eine Program Neighborhood Agent-Dienste-Site konfigurieren, legen
Sie unter Benutzer können Kennwort speichern fest, ob Benutzer das
Anmeldekennwort speichern können.
69
5. Wählen Sie den von expliziten Benutzern verwendeten Authentifizierungstyp:
•
Wählen Sie Windows oder NIS (UNIX), um die domänenbasierte
Authentifizierung von Microsoft festzulegen. Sie können festlegen, ob Sie
die Eingabe von beliebigen Domänen im Benutzerfeld Domäne zulassen,
oder Sie geben die zulässigen Domänen an. Sie können außerdem die
zulässigen Suffixe der UPNs (User Principal Names) festlegen.
Standardmäßig sind alle UPN-Suffixe zugelassen.
Hinweis: Wenn Benutzer bei der Anmeldung eine Fehlermeldung über falsche
Anmeldeinformationen erhalten, kann die Ursache ein leeres Domänenfeld
sein. Aktivieren Sie die Option Domänenfeld bei Anmeldung ausblenden, um
dieses Problem zu beheben. Bei einer gemischten Farmumgebung fügen Sie
UNIX als Domänenname hinzu, der in der Liste Domänen das erste Element
sein muss.
•
Aktivieren Sie NDS, um NDS-Authentifizierung (Novell Directory
Services) festzulegen, und geben Sie im Feld Name von Standardstruktur
einen Namen ein. Sie können anschließend die Kontexteinschränkung oder
kontextlose Authentifizierung konfigurieren.
Zwei-Faktor-Authentifizierung
Für MetaFrame Presentation Server können Sie die folgenden Zwei-FaktorAuthentifizierungsmethoden konfigurieren:
•
Secure Computing SafeWord für Citrix: Eine aus zwei Faktoren bestehende
Authentifizierungsmethode, bei der mit alphanumerischen Codes, die von
SafeWord-Tokens und (optional) PIN-Nummern erzeugt werden, ein Passcode
erstellt wird. Benutzer geben die Domäneninformationen und SafeWordPasscodes auf der Seite Anmelden ein und können dann auf Anwendungen auf
dem Server zugreifen.
•
RSA SecurID: Eine aus zwei Faktoren bestehende Authentifizierungsmethode.
Hierbei wird ein PASSCODE verwendet, der sich aus von RSA SecurID-Tokens
generierten Nummern (Tokencodes) und PIN-Nummern zusammensetzt.
Benutzer geben die Benutzernamen, Domänen und RSA SecurIDPASSCODES auf der Seite Anmelden ein und können dann auf Anwendungen
auf dem Server zugreifen. Beim Erstellen von Benutzern auf dem ACE/Server
müssen die Anmeldenamen mit den Domänenbenutzernamen übereinstimmen.
70
Hinweis: Wenn Sie RSA SecurID-Authentifizierung verwenden, kann vom
System eine neue PIN-Nummer für den Benutzer erstellt und angezeigt werden.
Diese PIN-Nummer wird für 10 Sekunden angezeigt oder bis der Bentzer auf OK
oder Abbrechen klickt. Dies soll sicherstellen, dass die PIN-Nummer nicht von
anderen Personen eingesehen werden kann. Diese Funktion steht nicht für PDAs
zur Verfügung.
Aus Sicherheitsgründen können sich Benutzer nicht über Program Neighborhood
Agent anmelden, wenn das Webinterface RSA SecurID- oder Secure Computing
SafeWord-Authentifizierung verwendet.
Aktivieren von Secure Computing SafeWord auf IIS
Im folgenden Abschnitt wird beschrieben, wie Sie Secure Computing SafeWord
aktivieren. Standardmäßig verwendet der SafeWord-Server Port 5031. Diese
Einstellung kann aber angepasst werden. Der Webinterface-Server muss nicht zur
Active Directory-Domäne gehören, in die SafeWord integriert ist.
Anforderungen für SafeWord
So verwenden Sie SafeWord-Authentifizierung mit dem Webinterface für IIS:
•
Der SafeWord Agent für das Webinterface muss auf dem Server installiert
werden, auf dem das Webinterface ausgeführt wird.
•
Das Webinterface muss vor dem SafeWord Agent für das Webinterface
installiert werden.
Anforderungen für den SafeWord Agent für das Webinterface
Wenn Sie das Webinterface für MetaFrame XP Version 2.0 oder früher und
SafeWord für Citrix 1.1 verwenden, können Sie ein Upgrade auf das Webinterface
für MetaFrame Presentation Server Version 4.0 durchführen.
Wenn Sie eine frühere Version des Webinterface verwenden, in die SafeWord nicht
integriert ist, müssen Sie eine aktualisierte Version des SafeWord Agents für das
Webinterface von Secure Computing anfordern.
Informationen zum Konfigurieren von SafeWord finden Sie unter
http://www.securecomputing.com.
71
Aktivieren der SafeWord-Authentifizierung mit der Konsole
Sie müssen die SafeWord-Authentifizierung im Webinterface (damit Benutzer auf
das Webinterface zugreifen und Anwendungsgruppen anzeigen können) und auf
dem Server konfigurieren (damit Benutzer mit dem Webinterface Anwendungen in
Aktivieren der Authentifizierung mit RSA SecurID 6.0
auf IIS
Im folgenden Abschnitt wird beschrieben, wie Sie RSA SecurID aktivieren.
SecurID-Anforderungen
So verwenden Sie SecurID-Authentifizierung mit dem Webinterface für IIS:
•
Der RSA ACE/Agent für Windows 6.0 muss auf dem Server installiert sein, auf
dem das Webinterface ausgeführt wird.
•
Das Webinterface muss nach der Installation von ACE/Agent installiert werden.
Hinzufügen des Webinterface-Servers als Agent Host
Sie müssen in der RSA ACE/Server-Datenbank einen Agent Host für den Server
erstellen, auf dem das Webinterface ausgeführt wird, damit der RSA ACE/Server
dessen Authentifizierungsanfragen erkennt und akzeptiert. Wählen Sie beim
Erstellen eines Agent Hosts in der Liste Net OS Agent aus.
Kopieren der Datei sdconf.rec
Suchen Sie die Datei sdconf.rec auf dem RSA ACE/Server und kopieren Sie sie in
das Verzeichnis „Windows\System32“ oder „WINNT\System 32“ auf dem Server,
auf dem das Webinterface ausgeführt wird. Ist die Datei nicht vorhanden, müssen
Sie sie erstellen. Diese Datei enthält die Informationen, die der Webinterface-Server
für das Herstellen einer Verbindung zum RSA ACE/Server benötigt.
Aktivieren der RSA SecurID-Authentifizierung mit der Konsole
Sie müssen die RSA SecurID-Authentifizierung im Webinterface (damit Benutzer
auf das Webinterface zugreifen und Anwendungsgruppen anzeigen können) und
auf dem Server konfigurieren (damit Benutzer mit dem Webinterface Anwendungen in einer Clientsitzung starten können). Verwenden Sie hierzu den Task
72
Überlegungen zum Node Secret-Registrierungsschlüssel
Das Node Secret wird verwendet, um eine sichere Kommunikation zwischen dem
Webinterface-Server und dem RSA ACE/Server herzustellen.
Das Node Secret zwischen den beiden Servern kann in den folgenden Situationen
abweichen:
•
Wenn das Betriebssystem des Webinterface-Servers neu installiert wird.
•
Wenn der Agent Host-Eintrag für den Server, auf dem das Webinterface
ausgeführt wird, gelöscht und erneut hinzugefügt wurde.
•
Wenn das Kontrollkästchen Sent Node Secret im Dialogfeld Edit Agent Host
auf dem RSA-Server deaktiviert ist.
•
Wenn der RSA Server neu installiert wird.
•
Wenn der Node Secret-Registrierungsschlüssel auf dem Server, auf dem das
Webinterface ausgeführt wird, gelöscht worden ist.
Wenn das Node Secret auf dem Webinterface-Server und dem RSA ACE/Server
nicht übereinstimmt, schlägt RSA SecurID fehl. Sie müssen das Node Secret auf
dem Webinterface-Server und dem RSA ACE/Server zurücksetzen.
Wichtig: Eine unsachgemäße Verwendung des Registrierungseditors kann
Verantwortung.
So setzen Sie das Node Secret auf dem Webinterface-Server zurück:
1. Wechseln Sie in der Systemregistrierung zu folgendem Eintrag:
HKEY_LOCAL_MACHINE\SOFTWARE\SDTI\ACECLIENT
2. Löschen Sie den Node Secret-Schlüssel.
Hinweis: Wenn Sie das Webinterface neu installieren, wird der Node SecretSchlüssel nicht gelöscht. Wenn der Agent Host-Eintrag auf dem RSA-Server nicht
geändert wird, kann das Node Secret erneut verwendet werden.
73
Unterstützung mehrerer Domänen mit RSA SecurID
Wenn Sie Benutzerkonten mit identischen Namen in verschiedenen WindowsDomänen haben, müssen Sie diese in der RSA ACE/Server-Datenbank mit einer
Standardanmeldung nach folgendem Muster identifizieren:
<DOMÄNE>\<Benutzername> (nicht nur <Benutzername>). Außerdem müssen
Sie das Webinterface so konfigurieren, dass Domäne und Benutzername an den
ACE/Server gesendet werden. Verwenden Sie hierzu den Assistenten für
Authentifizierungsmethoden in der Access Suite Console.
Aktivieren der RSA SecurID 6.0-Windows-Kennwortintegration
Das Webinterface für IIS unterstützt die Windows-Kennwortintegration, die mit
RSA SecurID 6.0 erhältlich ist. Wenn diese Funktion aktiviert ist, können sich
Webinterface-Benutzer mit ihrem SecurID-PASSCODE anmelden und Anwendungen starten. Benutzer müssen nur bei der ersten Anmeldung am Webinterface einen
Windows-PASSCODE eingeben oder wenn ihr Kennwort geändert werden muss.
So verwenden Sie SecurID 6.0-Windows-Kennwortintegration mit dem
Webinterface für IIS:
•
Der RSA/ACE/Agent Local Authentication Client für Windows 6.0 muss auf
dem Server, auf dem das Webinterface ausgeführt wird, installiert sein
(Administratoren müssen sich am Webinterface mit lokalen
Administratorrechten anmelden).
•
Das Webinterface muss nach der Installation von ACE/Agent installiert werden.
•
Der RSA Authentication Agent Offline Local-Dienst muss auf dem
Webinterface-Server ausgeführt werden.
•
Der Agent Host für den Server in der RSA ACE/Server-Datenbank, auf dem das
Webinterface ausgeführt wird, muss für die Aktivierung der WindowsKennwortintegration konfiguriert sein.
•
Die Datenbanksystemparameter müssen so konfiguriert sein, um die WindowsKennwortintegration auf Systemebene zu ermöglichen
Aktivieren der Zwei-Faktor-Authentifizierung für UNIX
Die folgenden Abschnitte erläutern, wie Sie Secure Computing SafeWord und
RSA SecurID unter UNIX aktivieren.
Für JSP-Sites (UNIX) verwendet das Webinterface das RADIUS-Protokoll
(Remote Authentication Dial In User Service) und nicht die herstellerspezifische
Agentsoftware, die für IIS-Sites installiert sein muss. SafeWord und SecurID
können als RADIUS-Server installiert und konfiguriert werden.
74
Aktivieren von RADIUS mit SafeWord
Wählen Sie bei der Installation von SafeWord-Serversoftware den IAS RADIUS
Agent.
Führen Sie die Anweisungen auf dem Bildschirm für die Installation der RADIUSClients mit dem Windows IAS-Snap-In aus. Für jeden Webinterface-Server, der
Benutzer über den SafeWord-Server authentifiziert, muss ein neuer RADIUSClient konfiguriert werden.
Jeder RADIUS-Server muss über folgende Informationen verfügen:
•
Den vollqualifizierten Namen oder die IP-Adresse des Webinterface-Servers,
mit dem der Client verknüpft ist.
•
Einen geheimen Schlüssel, der dem verknüpften Webinterface-Server bekannt
ist. Weitere Informationen finden Sie unter „Erstellen eines gemeinsamen
geheimen Schlüssels für RADIUS“ auf Seite 75.
•
Der Clienttyp sollte auf RADIUS standard gesetzt sein.
•
Die Option Request must contain the Message Authenticator attribute muss
aktiviert sein, um zusätzliche Sicherheit zu bieten.
Aktivieren von RADIUS mit RSA SecurID
RADIUS wird auf dem ACE/Server mit dem SecurID 6.0 Configuration
Mnagement Tool aktiviert. Weitere Informationen über dieses Tool finden Sie in der
mitgelieferten RSA-Dokumentation der SecurID-Software.
Hinzufügen der Webinterface- und RADIUS-Server als Agent
Hosts
Wenn Sie den ACE/Server, der Benutzer authentifiziert, auch als RADIUS-Server
verwenden möchten, müssen Sie einen Agent Host für den lokalen RADIUS-Server
erstellen, der in der RSA ACE/Server-Datenbank ausgeführt wird. Geben Sie bei
der Erstellung des Agent Hosts als Namen und IP-Adresse die Daten des lokalen
Servers an und wählen Sie in der Liste Agent type die Option Net OS Agent aus.
Der lokale Server muss als der aktive Server eingerichtet werden.
Zusätzlich müssen Sie in der RSA ACE/Server-Datenbank einen Agent Host für
jeden Server erstellen, auf dem das Webinterface ausgeführt wird, damit der RSA
ACE/Server dessen Authentifizierungsanfragen über den RADIUS-Server erkennt
und akzeptiert. Wählen Sie bei der Erstellung dieses Agent Hosts in der Liste
Agent type die Option Communication Server und geben Sie als Verschlüsselungsschlüssel den geheimen Schlüssel ein, der mit dem Webinterface gemeinsam
verwendet wird. Weitere Informationen finden Sie unter „Erstellen eines
gemeinsamen geheimen Schlüssels für RADIUS“ auf Seite 75.
75
Erstellen eines gemeinsamen geheimen Schlüssels für RADIUS
Für das RADIUS-Protokoll ist ein gemeinsamer geheimer Schlüssel erforderlich.
Dieser Schlüssel ist dem RADIUS-Client (d. h. dem Webinterface) und dem
RADIUS-Server, bei dem sich der Client authentifiziert, bekannt. Das Webinterface
speichert diesen geheimen Schlüssel in einer Textdatei im lokalen Dateisystem. Der
Speicherort für diese Datei wird in der auf dem UNIX-Server gespeicherten Datei
web.xml im Parameter radius_secret_path angegeben. Um den gemeinsamen
geheimen Schlüssel zu erstellen, erstellen Sie die Textdatei radius_secret.txt, die
eine beliebige Zeichenfolge enthält. Verschieben Sie die Textdatei in den in der
Datei web.xml angegebenen Speicherort und stellen Sie sicher, dass sie gesperrt ist
und nur Benutzer oder Prozesse mit entsprechenden Berechtigungen darauf
zugreifen können.
Aktivieren der RADIUS-Zwei-Faktor-Authentifizierung mit der
Konsole
Sie müssen die Zwei-Faktor-Authentifizierung im Webinterface (damit Benutzer
auf das Webinterface zugreifen und Anwendungsgruppen anzeigen können) und
auf dem Server aktivieren (damit Benutzer mit dem Webinterface Anwendungen in
Authentifizierungsmethoden konfigurieren in der Access Suite Console. Für
JSP-Sites (UNIX) können Sie zusätzlich zum Aktivieren der Zwei-FaktorAuthentifizierung eine oder mehrere RADIUS-Serveradressen (optional auch
Ports), Load Balancing und Failover-Verhalten der Server sowie ein Zeitlimit für
die Antwort angeben.
Verwenden des RADIUS-Challengemodus
Der SecurID-RADIUS-Server ist standardmäßig im RADIUS-Challengemodus. In
diesem Modus gilt für Meldungen Folgendes:
•
Das Webinterface zeigt eine generische Challengeseite an, zusammen mit einer
Meldung, einem Feld für ein HTML-Kennwort sowie den Schaltflächen OK
und Abbrechen.
•
Challengemeldungen werden vom Webinterface nicht lokalisiert; sie werden in
der Sprache angezeigt, die auf dem SecurID-RADIUS-Server für
Challengemeldungen eingestellt ist.
Übermitteln Benutzer keine Antwort (zum Beispiel wenn sie auf Abbrechen
klicken), werden sie zur Seite Anmelden zurückgeleitet.
Citrix empfiehlt, diesen Modus nur zu verwenden, wenn auch andere Softwarekomponenten oder -produkte als das Webinterface den RADIUS-Server zur
Authentifizierung verwenden.
76
Verwenden von benutzerdefinierten Challengemeldungen
Sie können für den SecurID-RADIUS-Server benutzerdefinierte Challengemeldungen erstellen. Wenn Sie benutzerdefinierte Meldungen verwenden, die dem
Webinterface bekannt sind, können dem Benutzer identische Seiten wie im
Webinterface für IIS angezeigt werden. Diese Seiten können lokalisiert werden.
Diese Funktion erfordert Änderungen an der RADIUS-Serverkonfiguration.
Implementieren Sie sie nur dann, wenn der RADIUS-Server ausschließlich zur
Authentifizierung von Webinterface-Benutzern dient.
Zum Ändern von Challengemeldungen starten Sie das RSA RADIUS-Konfigurationsprogramm. Weitere Informationen zum Verwenden dieses Tools finden Sie in
der mitgelieferten RSA-Dokumentation der SecurID-Software. Wenn Sie
Benutzern beim Zugriff auf Sites auf IIS- und UNIX-Servern dieselben Meldungen
anzeigen möchten, müssen die folgenden Challenges aktualisiert werden:
Meldung
Paket
Aktualisierter Wert
Does User Want a System PIN
Challenge
CHANGE_PIN_EITHER
Is User Ready To Get System PIN
Challenge
SYSTEM_PIN_READY
Is User Satisfied With System PIN
Challenge
CHANGE_PIN_SYSTEM_[%s]
New Numeric PIN of Fixed Length
Challenge
CHANGE_PIN_USER
New Alphanumeric PIN of Fixed Length
Challenge
CHANGE_PIN_USER
New Numeric PIN of Variable Length
Challenge
CHANGE_PIN_USER
New Alphanumeric PIN of Variable Length
Challenge
CHANGE_PIN_USER
New PIN Accepted
Challenge
SUCCESS
Enter Yes or No
Challenge
FAILURE
Next Token Code Required
Challenge
NEXT_TOKENCODE
77
Ändern von Sitzungsoptionen
Hinweis: Der folgende Abschnitt gilt nur für den Sitetyp Program Neighborhood
Agent-Dienste.
Mit dem Task Sitzungsoptionen ändern können Sie die folgenden Einstellungen
für Benutzersitzungen ändern:
•
Fenstergrößen: Mit diesen Optionen wählen Sie die für ICA-Sitzungen
verfügbaren Fenstergrößen aus und geben benutzerdefinierte Größen in Pixeln
oder Prozentwerten der Bildschirmgröße an.
•
Farbe: Die in diesem Bereich aktivierten Optionen stehen dem Benutzer zur
Auswahl zur Verfügung.
•
Windows-Tastenkombinationen: Mit diesen Optionen aktivieren Sie die Ziele
der Windows-Tastenkombinationen, die Benutzer auswählen können. Die
Windows-Tastenkombinationen betreffen keine Seamlessverbindungen. Für die
folgenden Modi können Sie Optionen für die Verbindungseinstellungen der
Benutzer bereitstellen:
•
Auf lokalem Desktop: Tastenkombinationen gelten nur für den lokalen
Desktop. Sie werden nicht an die ICA-Sitzungen übergeben.
•
Auf Remotedesktop: Tastenkombinationen gelten für den Remotedesktop
in der ICA-Sitzung.
•
Nur auf Desktops im Vollbildmodus: Tastenkombinationen gelten für den
Remotedesktop in der ICA-Sitzung nur im Vollbildmodus.
•
Audio: Die in diesem Bereich aktivierten Optionen stehen dem Benutzer zur
Auswahl zur Verfügung.
•
Workspace Control: Mit diesen Optionen können Sie Workspace ControlEinstellungen konfigurieren. Weitere Informationen zu Workspace Control
finden Sie unter „Konfigurieren von Workspace Control“ auf Seite 99.
78
Verwalten von Anwendungsverknüpfungen
Agent-Dienste.
Mit dem Task Anwendungsverknüpfungen verwalten können Sie festlegen, wie
Program Neighborhood Agent Verknüpfungen für veröffentlichte Anwendungen
anzeigt.
Sie können die folgenden Verknüpfungstypen erstellen:
•
Startmenüverknüpfungen: Sie können die auf der Seite Anwendungsverknüpfungen verwalten angegebenen Einstellungen verwenden. Sie können
auch die Einstellungen verwenden, die bei der MetaFrame Presentation ServerAnwendungsveröffentlichung festgelegt wurden. Außerdem ist es möglich, eine
Kombination beider Einstellungen zu verwenden. Zusätzlich können Sie
definieren, ob und wie Verknüpfungen im Startmenü angezeigt werden, und das
Ändern dieser Einstellung durch Benutzer zulassen. Sie können auch
Verknüpfungen im Menü Programme sowie zusätzliche Untermenüs erstellen
und/oder das Festlegen von Namen für Untermenüs durch Benutzer zulassen.
•
Desktop: Sie können die auf der Seite Anwendungsverknüpfungen
verwalten angegebenen Einstellungen verwenden. Sie können auch die
Einstellungen verwenden, die bei der MetaFrame Presentation ServerAnwendungsveröffentlichung festgelegt wurden. Außerdem ist es möglich, eine
Kombination beider Einstellungen zu verwenden. Zusätzlich können Sie
definieren, ob und wie Verknüpfungen auf dem Desktop angezeigt werden, und
das Ändern dieser Einstellung durch Benutzer zulassen. Sie können darüber
hinaus einen benutzerdefinierten Ordnernamen verwenden, das Auswählen
eines Namens durch Benutzer zulassen und/oder eine benutzerdefinierte URL
für Symbole verwenden.
•
Infobereich: Sie können Anwendungen im Infobereich anzeigen und/oder
zulassen, dass Benutzer festlegen, wie Anwendungen angezeigt werden.
Auch das Entfernen von Verknüpfungen wird über den Task Anwendungsverknüpfungen verwalten ausgeführt. Sie können festlegen, zu welchem Zeitpunkt Verknüpfungen entfernt werden (beim Beenden von Program Neighborhood
Agent oder beim Abmelden der Benutzer von Program Neighborhood Agent) und
welche Verknüpfungen entfernt werden (nur Program NeighborhoodVerknüpfungen oder auch vom Benutzer erstellte Verknüpfungen). Wenn Program
Neighborhood-Verknüpfungen und die vom Benutzer erstellten Verknüpfungen
entfernt werden, können Sie zur Verbesserung der Leistung die Ordnersuchtiefe
bestimmen.
79
Verwalten von Servereinstellungen
Agent-Dienste.
Mit dem Task Servereinstellungen verwalten aktivieren Sie folgende
Einstellungen:
•
SSL/TLS für Kommunikation zwischen Clients und dieser Site verwenden:
Anmeldung mit Smartcard und sichere SSL/TLS-Kommunikation zwischen
Client und Webinterface-Server sind standardmäßig nicht aktiviert. Sie können
die SSL/TLS-Kommunikation auf dieser Seite aktivieren und URLs zwingen,
das HTTPS-Protokoll automatisch anzuwenden. Sie müssen außerdem auf dem
Server, auf dem MetaFrame Presentation Server ausgeführt wird, SSL
aktivieren.
•
Benutzer können die Server-URL anpassen: Die Server-URL verweist für
Program Neighborhood Agent auf die korrekte Konfigurationsdatei. Der
Standardpfad wird auf der Grundlage der Serveradresse bestimmt, die vom
Benutzer bei der Installation des Agent eingegeben wurde. Sie können die
Änderung der Server-URL durch Benutzer zulassen. Dadurch wird im Dialogfeld Eigenschaften auf der Registerkarte Server die Option Server-URL
aktiviert.
•
Automatische Aktualisierung: Legen Sie fest, wie häufig der Client seine
Konfigurationseinstellungen aktualisiert.
•
Konfigurationsumleitung: Legen Sie den Zeitpunkt fest, zu dem Benutzer an
einen anderen Server weitergeleitet werden: beim Herstellen der Verbindung
oder einer geplanten Clientaktualisierung.
Anpassen der Darstellung für Benutzer
Server und Conferencing Manager-Gastteilnehmer
Sie können die Darstellung der Benutzeroberfläche anpassen, wenn die Site
beispielsweise entsprechend den Unternehmensstandards gestaltet werden soll.
80
Mit dem Task Darstellung für Benutzer anpassen können Sie folgende Elemente
anpassen:
•
Gesamtlayout: Legen Sie ein benutzerdefiniertes allgemeines Bildschirmlayout fest oder lassen Sie die Anpassung durch Benutzer zu. Sie können als
Layout eine automatische, kompakte oder volle Anzeige auswählen. Für
Benutzer, die auf ihre Anwendungen auf einem PDA zugreifen, kann z. B. eine
kompakte Benutzeroberfläche sinnvoll sein. Diese Oberfläche enthält keinen
Willkommens- und Message Center-Bereich und zeigt keine Clientinstallationsoptionen an. Außerdem werden Meldungen über der Hauptseite angezeigt.
•
Branding: Gestalten Sie die Benutzeransicht ganz individuell, indem Sie Kopfund Fußzeilen, Brandingfarben, Kopfzeilenbilder und Logos anzeigen. Sie
können außerdem einen Hyperlink für Logos erstellen.
•
Anwendungsfenster: Legen Sie Farbe, Textfarbe und Bilder der Titelleiste und
die Anzahl der Spalten mit Anwendungssymbolen fest und lassen Sie
Änderungen an diesen Einstellungen durch Benutzer zu.
•
Willkommensbereich: Legen Sie Hintergrundfarbe und Textfarbe für die
Titelleiste, Sprache und Text der Willkommensmeldung und ggf. weitere
Sprachen fest.
Die Grafiken auf diesen Optionsseiten werden während der Änderung aktualisiert
und auf der Hauptseite Darstellung für Benutzer anpassen übernommen.
Verwalten des sicheren Clientzugriffs
Server und MetaFrame Conferencing Manager.
Wenn Sie in der MetaFrame Presentation Server-Bereitstellung eine Firewall oder
Secure Gateway verwenden, können Sie mit dem Task Sicheren Clientzugriff
verwalten die entsprechenden Einstellungen im Webinterface konfigurieren. Sie
können das Webinterface beispielsweise zum Bereitstellen einer alternativen
Adresse konfigurieren, wenn der Server mit einer alternativen Adresse und die
Firewall für die Netzwerkadressübersetzung konfiguriert ist.
In diesem Abschnitt wird erläutert, wie Sie mit dem Task Sicheren Clientzugriff
verwalten DMZ- und Secure Gateway-Einstellungen konfigurieren, Adressübersetzungen bearbeiten und die Einstellungen im Detailbereich anzeigen.
81
Bearbeiten der DMZ-Einstellungen
Mit dem Task DMZ-Einstellungen bearbeiten können Sie Clientadressen,
Masken und Zugriffsmethoden konfigurieren. Die Reihenfolge der angewendeten
Regeln entspricht der angezeigten Eintragsreihenfolge der Clientadressentabellen.
Zum Beispiel wird zuerst die für alle Clientcomputer angegebene Zugriffsmethode
festgelegt. Die weitere Reihenfolge richtet sich dann nach den Regeln in der
Tabelle.
So fügen Sie eine Clientroute hinzu oder bearbeiten sie:
1. Klicken Sie im Dialogfeld DMZ-Einstellungen bearbeiten auf Hinzufügen,
um eine neue Clientroute hinzuzufügen, oder auf Bearbeiten, um eine
vorhandene Route zu bearbeiten.
2. Geben Sie die Netzwerkadresse und die Subnetzmaske des Clientnetzwerkes
ein.
3. Wählen Sie eine der folgenden Zugriffsmethoden aus:
•
Direkt: Die eigentliche IP-Adresse des Servers wird an den Client
übergeben. Dies ist die Standardeinstellung.
•
Alternative Adresse: Die alternative Adresse wird an den Client
übergeben. Der Server muss mit einer alternativen Adresse und die Firewall
muss für die Netzwerkadressübersetzung konfiguriert sein.
•
Übersetzt: Die an den Client übergebene Adresse wird durch die im
Webinterface festgelegten Zuordnungen für die Adressübersetzung
festgelegt.
•
Secure Gateway: direkt
•
Secure Gateway: alternative Adresse
•
Secure Gateway: übersetzte Adresse
4. Klicken Sie auf OK, um die Änderungen abzuschließen.
82
Bearbeiten der Secure Gateway-Einstellungen
Wenn Sie Secure Gateway mit MetaFrame Presentation Server verwenden,
müssen Sie das Webinterface für die Unterstützung von Secure Gateway
konfigurieren. Verwenden Sie hierzu den Task Secure Gateway-Einstellungen
bearbeiten.
Secure Gateway ist ein sicheres Internetgateway zwischen SSL/TLS-aktivierten
Clients und Servern. Die Datenübertragungen über das Internet zwischen den
Clientgeräten und dem Secure Gateway-Server werden mit SSL/TLS verschlüsselt.
Benutzer können remote auf Informationen zugreifen, ohne die Sicherheit zu
gefährden. Secure Gateway vereinfacht auch die Zertifikatverwaltung, da nur der
Secure Gateway-Server und nicht jeder Server in der Serverfarm ein Serverzertifikat benötigt.
Secure Gateway verschlüsselt und authentifiziert alle Verbindungen transparent, um
Abhören und Datenmanipulation zu verhindern.
•
Secure Gateway stellt Remotebenutzern und Telearbeitern eine einfache,
preisgünstige und sichere Methode für den sicheren und benutzerfreundlichen
Zugriff auf Serverfarmen über das Internet bereit.
•
Secure Gateway stellt mit bestehenden Citrix Technologien und der
vorhandenen Sicherheitsinfrastruktur eine clientspezifische Sicherheitsschicht
bereit, mit der die Kommunikation zwischen Citrix Clients und Servern im
Netzwerk gesichert wird.
•
Secure Gateway stellt zusammen mit dem Webinterface einen einzelnen,
sicheren und verschlüsselten Zugangspunkt über das Internet zu Servern in
internen Unternehmensnetzwerken bereit. Büromitarbeiter können von jedem
weltweiten Standort, von jedem Gerät und zu jeder Zeit remote auf Unternehmensinformationen zugreifen, ohne die Netzwerksicherheit zu gefährden.
Mit Secure Gateway-Ticketing (STA) wird Secure Gateway darüber informiert,
dass ein Benutzer authentifiziert wurde und auf die Serverfarm zugreifen kann.
Tickets werden vom Secure Ticket Authority-Server erstellt und verifiziert. Wenn
ein Benutzer eine Anwendung auswählt, übermittelt das Webinterface die Adresse
des Servers, auf dem die Anwendung ausgeführt wird, an die Secure Ticket
Authority und erhält ein Ticket. Secure Gateway tauscht dieses Ticket später
gegen die Adresse des Servers ein. Tickets erhöhen die Sicherheit, da interne
Netzwerkadressen der Server verborgen sind.
Ein Konfigurationsbeispiel für die Secure Gateway-Unterstützung finden Sie unter
„Bearbeiten von Adressübersetzungen“ auf Seite 84. Weitere Informationen zu
Secure Gateway finden Sie im Secure Gateway für MetaFrameAdministratorhandbuch.
83
So bearbeiten Sie Secure Gateway-Einstellungen:
1. Geben Sie im Dialogfeld Secure Gateway-Einstellungen bearbeiten im Feld
Secure Gateway-Adresse (FQDN) den vollqualifizierten Domänennamen
(FQDN) des Secure Gateway-Servers an, den Clients verwenden müssen. Diese
Eingabe muss mit dem Wert auf dem Zertifikat übereinstimmen, das auf dem
Secure Gateway-Server installiert ist.
2. Geben Sie im Feld Secure Gateway-Port die Portnummer auf dem Secure
Gateway-Server an, den Clients verwenden müssen. Der Standardport ist 443.
3. Wenn Sie Sitzungszuverlässigkeit aktivieren möchten, wählen Sie die Option
Sitzungszuverlässigkeit über Secure Gateway 3.0 aktivieren aus.
4. Klicken Sie im Bereich Secure Ticket Authorities auf Hinzufügen, um die
URL einer Secure Ticket Authority hinzuzufügen, die das Webinterface
verwenden kann. Die Secure Ticket Authority wird in der Liste Secure Ticket
Authority-URLs angezeigt. Secure Ticket Authorities gehören zum XMLDienst, zum Beispiel in http://mfsrv01/Scripts/CtxSta.dll. Sie werden im
Allgemeinen für die Fehlertoleranz verwendet. Citrix rät davon ab, für diesen
Zweck ein externes Lastausgleichsprogramm zu verwenden. Sie können in
dieser Liste maximal 256 Secure Ticket Authorities angeben.
5. Wenn Sie die Secure Ticket Authorities der Priorität nach ordnen möchten,
markieren Sie eine Secure Ticket Authority-URL und klicken Sie auf Nach
oben oder Nach unten. Wenn Sie eine Secure Ticket Authority-URL entfernen
möchten, markieren Sie den Eintrag in der Liste und klicken Sie auf Entfernen.
6. Aktivieren Sie ggf. mit der Option Für Load Balancing verwenden Load
Balancing zwischen den Secure Ticket Authorities. Wenn Sie Load Balancing
aktivieren, werden die Verbindungen gleichmäßig auf die Server verteilt, sodass
kein Server überlastet wird. Wenn ein Kommunikationsproblem mit einem
Server auftritt, wird die Kommunikationslast zwischen den restlichen Servern
in der Liste ausgeglichen.
7. Das Webinterface bietet Fehlertoleranz für die in der Secure Ticket AuthorityListe enthaltenen Server. Wenn bei der Kommunikation mit einem Server ein
Fehler auftritt, wird der ausgefallene Server für die Dauer umgangen, die im
Feld Ausgefallene Server umgehen festgelegt ist.
8. Klicken Sie auf OK, um die Änderungen abzuschließen.
84
Bearbeiten von Adressübersetzungen
Mit dem Task Adressübersetzungen bearbeiten können Sie die Serveradresse der
Adresse und dem Port zuordnen, die von der internen Firewall übersetzt wurden.
Benutzer können Anwendungen starten, wenn Adresse und Port des Servers an der
internen Firewall übersetzt werden.
Sie können mit dem Webinterface Zuordnungen von internen IP-Adressen zu
externen IP-Adressen und Ports definieren. Wenn der Server beispielsweise nicht
mit einer alternativen Adresse konfiguriert ist, kann das Webinterface zum Bereitstellen einer alternativen Adresse konfiguriert werden.
So konfigurieren Sie die interne Firewalladressübersetzung:
1. Klicken Sie auf der Seite Adressübersetzungen bearbeiten auf Hinzufügen,
um eine Adressübersetzung hinzuzufügen, oder auf Bearbeiten, um eine
vorhandene Adressübersetzung zu bearbeiten.
2. Wählen Sie im Bereich Zugriffstyp eine der folgenden Optionen aus:
Clientrouteübersetzung, Secure Gateway-Route-Übersetzung oder Beide
Zugriffstypen.
3. Geben Sie im Feld Interne IP-Adresse die normale (interne) IP-Adresse des
Servers ein.
4. Geben Sie im Feld Interner Port die Portnummer des Servers ein.
5. Geben Sie in Externe Adresse die übersetzte (externe) IP-Adresse oder den
Hostnamen ein, über die bzw. den Clients eine Verbindung zum Server
herstellen müssen.
6. Geben Sie in Externer Port die Portnummer des Servers ein.
7. Klicken Sie auf OK. Die Zuordnung wird in der Tabelle mit
Adressübersetzungen angezeigt.
8. Wenn Sie eine Zuordnung entfernen möchten, markieren Sie die Zuordnung in
der Tabelle mit Adressübersetzungen und klicken Sie dann auf Entfernen.
Anzeigen der sicheren Clientzugriffseinstellungen
Sie können mit dem Task Einstellungen anzeigen alle Einstellungen für den
sicheren Clientzugriff anzeigen, die zurzeit für die Site konfiguriert sind.
Mit dem Dropdownmenü Ansicht zeigen Sie die verschiedenen Konfigurationen
für den jeweiligen sicheren Clientzugriffstask an. Durch Klicken auf den
angezeigten Link können Sie die Seiten laden, die mit dem Task verknüpft sind.
85
Verwalten der Clientbereitstellung
Server und MetaFrame Conferencing Manager-Gastteilnehmer.
Für den Zugriff auf Anwendungen oder zum Anmelden bei Konferenzen benötigen
Benutzer einen unterstützten Webbrowser und einen MetaFrame Presentation
Server Client oder Software für Remotedesktopverbindungen. Geben Sie mit dem
Task Clientbereitstellung verwalten an, welche Clients bereitgestellt werden. Nur
mit den hier angegebenen Clients können Benutzer Anwendungen starten.
Die folgenden Optionen stehen zur Verfügung:
•
Konfigurieren der webbasierten Clientinstallation: Mit dieser Funktion können
die entsprechenden Clients auf den Benutzergeräten mit Installationsmeldungen
schnell bereitgestellt werden. Installationsmeldungen sind Links, die Benutzern
angezeigt werden, die einen Client benötigen. Benutzer klicken zur Installation
des Clients auf dem Clientgerät auf einen solchen Link.
•
Konfigurieren des Webinterface für die automatische Bereitstellung der
kleineren Webclient-Installation oder der Vollversion des Clients für Win32 für
Windows-Benutzer, die über Internet Explorer auf Anwendungen zugreifen.
•
Konfigurieren des Webinterface zum Bereitstellen der Software für
Remotedesktopverbindungen.
•
Einrichten, dass Benutzer entscheiden können, wie Anwendungen gestartet
werden.
•
Festlegen der in der Bereitstellung des Java-Clients enthaltenen Komponenten
oder Zulassen, dass Benutzer die gewünschten Komponenten auswählen
können.
Clienteinstellungen
Die folgenden Clients stehen zum Starten von Anwendungen zur Verfügung:
•
Lokaler Client: Die Vollversion des Clients (einschließlich der SeamlessFenster-Unterstützung) wird automatisch für Benutzer bereitgestellt.
Anwendungen werden in Desktop-Fenstern gestartet, deren Größe geändert
werden kann. Wenn Benutzer über einen PDA auf Anwendungen zugreifen,
müssen Sie den lokalen Client aktivieren.
•
Nativer eingebetteter Client (ActiveX oder Netscape-Plug-In): Benutzer
downloaden und installieren diesen Client, wenn Anwendungen gestartet
werden. Seamless-Fenster werden nicht unterstützt und die Anwendungen
werden in einem Fenster mit fester Größe gestartet.
86
•
Client für Java: Der Client für Java wird automatisch für Benutzer
bereitgestellt. Dieser Client unterstützt Seamless-Fenster und Anwendungen
werden in Desktop-Fenstern gestartet, deren Größe geändert werden kann.
•
Eingebettete Remotedesktopverbindung: Die Software für Remotedesktopverbindungen wird automatisch für Benutzer bereitgestellt. Seamless-Fenster
werden nicht unterstützt und die Anwendungen werden in einem Fenster mit
fester Größe gestartet.
Sie müssen einen Standardclient angeben. Wählen Sie dazu einen Client aus und
klicken Sie im Assistenten Clientbereitstellung verwalten auf die Schaltfläche
Als Standard definieren.
Hinweis: Der native eingebettete Client und die eingebettete Software für die
Remotedesktopverbindung werden auf Personal Digital Assistants (PDAs) unter
Pocket PC nicht unterstützt.
Anforderungen für Remotedesktopverbindungen
Diese Funktion ist auf 32-Bit-Windows-Systemen mit Internet Explorer ab Version
5.5 verfügbar. Wenn Sie eine MetaFrame Conferencing Manager-Gastteilnehmersite konfigurieren und Benutzer für die Verbindung eine Remotedesktopsoftware
verwenden, müssen Sie sicherstellen, dass Konferenzen mit einer Farbtiefe von
höchstens 256 erstellt werden. Andernfalls können diese Benutzer sich nicht
anmelden und erhalten eine Fehlermeldung.
Wird die Webinterface-Site vom Browser des Clients nicht im Intranet oder der
Zone Vertrauenswürdige Sites abgelegt, wird eine Fehlermeldung angezeigt und
der Benutzer wird auf die Informationen in der Onlinehilfe verwiesen. In diesem
Fall wird die folgende Vorgehensweise empfohlen.
So fügen Sie den Webinterface-Server der Zone „Vertrauenswürdige Sites“
hinzu:
1. Öffnen Sie im Internet Explorer das Menü Extras.
2. Wählen Sie Internetoptionen.
3. Öffnen Sie die Registerkarte Sicherheit.
4. Klicken Sie auf Vertrauenswürdige Sites.
87
5. Klicken Sie auf Sites.
6. Geben Sie in Diese Website zur Zone hinzufügen den Namen des
Webinterface-Servers (z. B. http://Servername) ein.
7. Klicken Sie auf Hinzufügen, um den Server der Liste Websites hinzuzufügen.
8. Klicken Sie zweimal auf OK, um das Dialogfeld Internetoptionen zu
schließen.
Automatisches Bereitstellen von Clients
Sie können den Client für Java automatisch bereitstellen, wenn Benutzer beispielsweise den lokalen Client nicht auf ihrem Computer installiert haben.
So aktivieren Sie den automatischen Fallback auf den Client für Java:
1. Wählen Sie im Assistenten Clientbereitstellung verwalten die Option
Lokaler Client und/oder Nativer eingebetteter Client aus.
2. Wählen Sie Client für Java und klicken Sie auf Weiter.
3. Wählen Sie auf der Seite Clienteinstellungen angeben die Option
Automatisches Fallback auf Client für Java aus.
4. Setzen Sie den Assistenten fort und klicken Sie schließlich auf Fertig stellen,
um die Änderungen zu übernehmen.
Hinweis: Der Client für Java muss für Benutzer bereitgestellt werden, die mit
einem Safari-Webbrowser eine Verbindung herstellen.
Sie können den Webclient außerdem automatisch für Benutzer bereitstellen, die
Internet Explorer ausführen.
Wenn diese Funktion aktiviert ist und Benutzer auf das Webinterface zugreifen,
werden das Clientgerät und der Webbrowser der Benutzer erkannt. Wenn die
Benutzer unter Windows arbeiten und kein Client installiert bzw. der installierte
Client nicht aktuell ist, versucht das Webinterface den angegebenen Client auf dem
Clientgerät der Benutzer automatisch zu installieren. Benutzer installieren den
Client, indem Sie in der angezeigten Meldung auf Ja klicken.
Sie können die minimale Webclient-Installationsdatei (wficac.cab) bereitstellen.
Dieser Client installiert nicht alle Komponenten (z. B. Program Neighborhood) und
ist daher kleiner und einfacher zu downloaden und evtl. für Benutzer mit Verbindungen mit niedriger Bandbreite geeignet. Die folgenden Funktionen sind mit dem
minimalen Webclient nicht verfügbar:
88
•
SecureICA (RC5)-Verschlüsselung
•
Universeller Druckertreiber
•
SpeedScreen-Latenzreduktion
•
Clientaudiozuordnung
•
Radmausunterstützung
•
Unterstützung mehrerer Monitore
•
Benutzer-zu-Benutzer-Spiegelung
•
Inhaltsumleitung
•
Unterstützung von Novell Directory Services
•
Erweiterte Parameterübertragung
•
Zuordnung von Client-COM-Ports
•
Verschieben und Skalieren
•
Zeitzonenunterstützung pro Benutzer
•
Unterstützung anderer Protokolle als TCP/IP
•
Single Sign-On
Weitere Informationen zu den in den Webclients verfügbaren Funktionen finden Sie
im Client für 32-Bit-Windows-Administratorhandbuch.
Wenn Sie die Downloadoption für den Webclient aktivieren möchten, wählen Sie
im Task Clientbereitstellung verwalten die Option Webclient automatisch bei
Anmeldung aktualisieren aus.
Hinweis: Für die automatische Installation des Webclients auf WindowsArbeitsstationen muss der Benutzer über Administratorrechte auf dem Clientgerät
verfügen oder das ActiveX-Steuerelement muss in ActiveDirectory registriert sein.
Weitere Informationen finden Sie auf der Microsoft Support-Website.
89
Konfigurieren von Installationsmeldungen
Sie können die entsprechenden Clients auf den Geräten der Benutzer bereitstellen
und installieren. Wenn Sie den lokalen oder den Client für Java bereitstellen,
erkennt das Webinterface das Clientgerät und den Webbrowser des Benutzers und
zeigt ggf. einen Link zum Download der entsprechenden Clientinstallationsdatei
an. Der Benutzer klickt auf diesen Link, um den Client auf seinem Clientgerät zu
installieren. Diese Links werden Installationsmeldungen genannt. Beispiel:
Die Abbildung zeigt eine Beispielinstallationsmeldung, die auf der Benutzeranmeldeseite
möglicherweise angezeigt wird.
Hinweis: Für das Verwenden der webbasierten Clientinstallation müssen die
Installationsdateien auf dem Webserver gespeichert sein. Weitere Informationen zur
webbasierten Clientinstallation finden Sie unter „MetaFrame Presentation Server
Clients und das Webinterface“ auf Seite 125.
Sie können eine der folgenden Einstellungen verwenden:
•
Automatisch: Die Installationsmeldung wird angezeigt, wenn auf dem
Benutzercomputer kein geeigneter Client installiert ist. Dies ist die
Standardeinstellung; sie gilt nur für den Client für Win32.
•
Ja: Die Installationsmeldung wird auf allen Plattformen angezeigt.
•
Nein: Die Installationsmeldung wird nie angezeigt.
Sie müssen die Datei WebInterface.conf bearbeiten, um die den Benutzern durch
Installationsmeldungen angebotenen Clients zu konfigurieren. Weitere Informationen finden Sie unter „Konfigurieren von webbasierten Clientinstallationen“
auf Seite 127 und „Konfigurieren des Webinterface mit der Konfigurationsdatei“
auf Seite 105.
90
Kompatibilität mit Webservern mit asiatischen Sprachen
Sie können das Webinterface konfigurieren, um ICA-Dateien in Unicode zu
erstellen, wodurch die Anzahl von nichteuropäischen Zeichen erhöht wird, die von
Clients erkannt werden. ICA-Dateien sind Textdateien, die Parameter und
Anweisungen zum Starten von veröffentlichten Anwendungen enthalten. Diese
Funktion setzt Clients ab MetaFrame Presentation Server 3.0 oder höher voraus;
frühere Versionen der Clients unterstützen Unicode-ICA-Dateien nicht.
Aktivieren Sie die Option Clients ab Version 8 unterstützen, um sicherzustellen,
dass die ICA-Dateien in Unicode sind.
Anpassen der Bereitstellung des Clients für Java
Sie können die Komponenten konfigurieren, die bei der Bereitstellung des Clients
für Java enthalten sind.
Die Größe der Downloaddatei für den Client für Java hängt von den enthaltenen
Paketen ab. Je weniger Pakete Sie wählen, desto kleiner ist der Download (unter
Umständen nur 540 KB). Wenn Sie die Größe des Downloads für Benutzer, die
langsame Verbindungen verwenden, einschränken möchten, können Sie nur das
Minimum der Komponenten bereitstellen. Sie können Benutzern auch die
Kontrolle über die gewünschten Komponenten geben.
Hinweis: Einige Komponenten des Clients für Java erfordern weitere
Konfigurationsschritte auf dem Clientgerät oder dem Server.
Weitere Informationen zum Client für Java und den Komponenten finden Sie im
Client für Java-Administratorhandbuch.
In der folgenden Tabelle werden die verfügbaren Optionen erläutert:
Paket
Beschreibung
Audio
Auf dem Server ausgeführte Anwendungen können Audiodateien über
ein auf dem Clientgerät installiertes Audiogerät wiedergeben. Sie
können die von der Clientaudiozuordnung auf dem Server verwendete
Bandbreite steuern. Weitere Informationen finden Sie im MetaFrame
Zwischenablage
Benutzer können Text und Grafiken zwischen serverbasierten
Anwendungen und lokal auf dem Clientgerät ausgeführten
Anwendungen kopieren.
Lokales Textecho
Die Anzeige der Texteingabe auf dem Clientgerät wird beschleunigt.
SSL/TLS
Die Kommunikation wird mit SSL (Secure Sockets Layer) und TLS
(Transport Layer Security) gesichert. SSL/TLS bietet Serverauthentifizierung, Verschlüsselung des Datenstroms und Prüfung der Nachrichtenintegrität.
Verschlüsselung
Hohe Verschlüsselung für eine erhöhte Sicherheit der
Clientverbindungen.
Clientlaufwerkszuordnung
Benutzer können in einer Clientsitzung auf die lokalen Laufwerke
zugreifen. Wenn Benutzer eine Verbindung zum Server herstellen,
werden die Clientlaufwerke automatisch zugeordnet (z. B. Disketten-,
Netzwerk- und CD-ROM-Laufwerke). Benutzer greifen auf lokal
gespeicherte Dateien zu, bearbeiten sie in den Clientsitzungen und
speichern sie wieder auf einem lokalen Laufwerk oder einem Laufwerk
auf dem Server.
Zum Aktivieren dieser Einstellung muss im Dialogfeld Einstellungen
für Client für Java die Clientlaufwerkszuordnung konfiguriert sein.
Weitere Informationen finden Sie im Client für JavaAdministratorhandbuch.
Druckerzuordnung
Benutzer können auf den lokalen oder Netzwerkdruckern in einer
Clientsitzung drucken.
KonfigurationsBenutzeroberfläche
Diese Funktion aktiviert das Dialogfeld Einstellungen für Client für
Java. In diesem Dialogfeld können Benutzer den Client für Java
konfigurieren.
91
92
Verwenden von privaten Stammzertifikaten mit dem Client für Java,
Version 9.x
Wenn Sie Secure Gateway oder den Citrix SSL-Relaydienst mit einem Serverzertifikat konfiguriert haben, das Sie von einer privaten Zertifizierungsstelle
erworben haben (z. B. wenn Sie eigene Zertifikate mit den Zertifikatsdiensten von
Microsoft ausstellen), müssen Sie das Stammzertifikat in den Java-Schlüsselspeicher jedes Clientcomputers importieren. Weitere Informationen finden Sie im
Client für Java-Administratorhandbuch.
Verwenden von privaten Stammzertifikaten mit dem Client für Java,
Version 8.x
Um private Stammzertifikate mit der Clientversion 8.0 zu verwenden, wählen Sie
die Option Privates Stammzertifikat verwenden aus. Geben Sie den Dateinamen
des Zertifikats in Dateiname von Zertifikat ein. Das Zertifikat muss sich auf dem
Webserver in demselben Ordner wie die Java-Client-Paketdateien befinden
(z. B. ICAWEB\icajava unter Gemeinsame Dateien auf dem IIS-Server).
Wichtig: Bei dieser Option wird nicht überprüft, ob das Stammzertifikat über eine
sichere Verbindung bereitgestellt wird. Da das Stammzertifikat unter Umständen
über eine nicht verschlüsselte HTTP-Verbindung übertragen wurde, sind Angriffe
auf das Zertifikat möglich. Citrix empfiehlt, den Webserver für die Verwendung
von HTTPS-Verbindungen zu konfigurieren.
Bereitstellen des Clients für Java mit dem Webinterface und
benutzerdefinierten SSL/TLS-Zertifikaten
Im folgenden Verfahren wird beschrieben, wie Sie das Webinterface zum
Verwenden eines einzelnen benutzerdefinierten SSL-Stammzertifikats
konfigurieren, wenn Sie den Client für Java, Version 8.x, verwenden.
Das Zertifikat wird dem Java-Client als einzelne Datei im Codebase-Verzeichnis
des Clients für Java auf dem Webserver bereitgestellt. Dies kann Probleme bei
CER-Dateien verursachen, da IIS diese als MIME-Text überträgt und die Datei bei
der Übertragung beschädigt werden kann (z. B. geänderte Zeilenenden). Außerdem
rufen einige JVMs (Java Virtual Machines), wie z. B. IBM JVM unter OS/2, als
individuelle Dateien angegebene Zertifikate nicht ab.
Citrix empfiehlt das Verpacken von benutzerdefinierten Stammzertifikaten in einer
Archivdatei, mit der mehrere Zertifikate bereitgestellt werden. Dieses Verfahren
wird im Client für Java-Administratorhandbuch beschrieben.
Im folgenden Abschnitt wird die Konfiguration von benutzerdefinierten
Zertifikaten mit dem Webinterface und dem Client für Java beschrieben.
93
So konfigurieren Sie benutzerdefinierte Zertifikate:
1. Erwerben Sie von der Zertifizierungsstelle die Stammzertifikate, die den auf
den Servern verwendeten Serverzertifikaten entsprechen.
2. Öffnen Sie die Datei appembed.inc in einem Texteditor. Diese Datei befindet
sich standardmäßig im folgenden Verzeichnis:
C:\Inetpub\Wwwroot\Citrix\MetaFrame\site\include.
3. Suchen Sie den Abschnitt zwischen den HTML-Tags <applet> und </applet>.
4. Geben Sie vor dem Tag </applet> die SSL/TLS-Zertifikate an, die der Client für
Java verwenden soll. Verwenden Sie die folgenden Parameter:
•
SSLNoCACerts: Die Anzahl der im Clientarchiv angegebenen Zertifikate.
•
SSLCACert0, SSLCert1...SSLCert<n>: Die Namen der Stammzertifikate, die für die Echtheitsprüfung des Serverzertifikatsnamens
verwendet werden sollen. Die von Ihnen angegebene Anzahl der Stammzertifikate muss der im Parameter SSLNoCACerts angegebenen Anzahl
entsprechen.
Beispiel: Wenn Sie drei benutzerdefinierte Stammzertifikate mit den Dateinamen A.crt, B.crt und C.cer verwenden, fügen Sie die folgenden Zeilen hinzu:
<param name="SSLNoCACerts" value="3">
<param name="SSLCACert0" value="A.crt">
<param name="SSLCACert1" value="B.crt">
<param name="SSLCACert2" value="C.cer">
5. Suchen Sie den Codebase-Parameter und notieren Sie den in dieser Zeile
angegebenen Pfad. <%=langCode%> ist der Name des Ordners der Sprache,
mit der Sie arbeiten. Diese Zeile darf nicht geändert werden.
94
6. Wenn Sie den Client in Microsoft Internet Explorer mit Microsoft JVM
bereitstellen, verpacken Sie die Zertifikate in einer CAB-Datei. Weitere
Informationen finden Sie im Client für Java-Administratorhandbuch.
7. Suchen Sie den Parameter cabinets. Fügen Sie den Namen des in Schritt 6
erstellten Archivs hinzu. Beispiel: Wenn Sie das Archiv MeineZertifikate.cab
genannt haben, ändern Sie die folgenden Einträge:
<param name=cabinets value="<%=jicaCabFiles%>">
zu
<param name=cabinets value="<%=jicaCabFiles%>MeineZertifikate.cab">
8. Kopieren Sie die Archivdatei in das im Codebase-Attribut angegebene
Verzeichnis, dessen Pfad Sie in Schritt 5 notiert haben. Der Standardpfad lautet:
C:\Inetpub\Wwwroot\Citrix\ICAWEB\en\icajava
9. Speichern Sie die Datei appembed.inc.
10. Starten Sie auf dem Clientgerät den Webbrowser und stellen Sie eine
Verbindung zum Webinterface-Server her. Alle eingebetteten JavaClientsitzungen auf gesicherten Servern funktionieren transparent mit SSL.
Bearbeiten von clientseitigen Proxyeinstellungen
Server, Program Neighborhood Agent und Conferencing Manager-Gastteilnehmer.
Wenn Sie einen Proxyserver auf der Clientseite des Webinterface verwenden,
können Sie festlegen, ob Clients mit dem Server über einen Proxyserver kommunizieren müssen. Nehmen Sie diese Einstellung mit dem Task Clientseitigen Proxy
bearbeiten vor.
Ein Proxyserver, der sich auf der Clientseite des Webinterface befindet, bietet die
folgenden Sicherheitsvorteile:
•
Verbergen von Informationen. Innerhalb der Firewall verwendete Systemnamen
werden nicht an Systeme außerhalb der Firewall über DNS bekannt gegeben.
•
Weiterleiten (Channeling) verschiedener TCP-Verbindungen über eine
Verbindung.
Mit der Access Suite Console können Sie Proxystandardregeln für Clients
festlegen. Sie können auch Ausnahmen für einzelne Clients konfigurieren. Zum
Konfigurieren von Ausnahmen ordnen Sie die externe IP-Adresse des Proxyservers
der internen Adresse und dem Port des Proxyservers zu.
95
Das Proxyverhalten kann auch vom Client gesteuert werden. Beispiel: Sie möchten
die Funktion für die Verwendung eines sicheren Proxy (Secure Proxy) in
MetaFrame Presentation Server verwenden. Konfigurieren Sie das Webinterface für
die Verwendung der vom Client angegebenen Proxyeinstellungen und den Client
für Secure Proxy. Weitere Informationen über das Steuern des Proxyverhaltens mit
Clients finden Sie im entsprechenden MetaFrame Presentation Server ClientAdministratorhandbuch.
So konfigurieren Sie Proxystandardeinstellungen:
1. Klicken Sie auf den Task Clientseitigen Proxy bearbeiten.
2. Zum Erstellen einer neuen Zuordnung, klicken Sie auf Hinzufügen. Zum
Bearbeiten einer vorhandenen Zuordnung, klicken Sie auf Bearbeiten.
3. Geben Sie die externe Proxyadresse im Feld IP-Adresse ein.
4. Geben Sie die Subnetzmaske im Feld Subnetzmaske an.
5. Wählen Sie aus der Dropdownliste Proxy eine der folgenden Optionen aus:
•
Automatische Suche: Der Client erkennt den Webproxy automatisch
basierend auf der Browserkonfiguration des Clients.
•
Clienteinstellung verwenden: Die vom Benutzer für den Client
konfigurierten Einstellungen.
•
Kein Proxy: Es wird kein Proxy verwendet.
•
SOCKS: Bei Auswahl dieser Option müssen Sie im Feld Proxyadresse die
Adresse des Proxyservers und im Feld Proxyport die Portnummer
eingeben. Die Proxyadresse kann eine IP-Adresse oder ein DNS-Name sein.
•
Sicher (HTTPS): Bei Auswahl dieser Option müssen Sie im Feld
Proxyadresse die Adresse des Proxyservers und im Feld Proxyport die
Portnummer eingeben. Die Proxyadresse kann eine IP-Adresse oder ein
DNS-Name sein.
6. Klicken Sie auf OK. Die Zuordnung wird der Liste Zuordnung hinzugefügt.
7. Sie können die Reihenfolge festlegen, in der die Zuordnungen angewendet
werden. Wählen Sie eine Zuordnung aus und klicken Sie auf Nach oben oder
Nach unten, um die Zuordnungen der Priorität nach zu ordnen. Wenn Sie eine
Zuordnung entfernen möchten, markieren Sie diese und klicken Sie auf
Entfernen.
96
Verwalten von Einstellungen für Clientverbindungen
Server und MetaFrame Conferencing Manager-Gastteilnehmer.
Mit dem Task Einstellungen für Clientverbindungen verwalten können Sie die
Einstellungen festlegen, die die Benutzer anpassen können.
Für MetaFrame Presentation Server-Sites können Sie folgende Optionen aktivieren
und angeben, dass Benutzer diese anpassen können:
•
Bandbreitensteuerung
•
Farbtiefe
•
Audioqualität
•
Druckerzuordnung
•
Fenstergröße
•
PDA-Synchronisierungseinstellungen
•
Windows-Tastenkombinationen
•
Kioskmodus
97
Mit der Bandbreitensteuerung können Benutzer Sitzungseinstellungen auf der
Grundlage ihrer Verbindungsbandbreite auswählen. Die verfügbaren Optionen
werden auf der Seite Anmelden unter Erweiterte Optionen in der Dropdownliste
Verbindungsgeschwindigkeit angezeigt. Mit der Bandbreitensteuerung können
Farbtiefe, Audio und Druckerzuordnung gesteuert werden. Um diese Funktion zu
aktivieren, müssen Sie im Task Einstellungen für Clientverbindungen verwalten
auch die Option Benutzer können Druckerzuordnung anpassen auswählen. Sie
können außerdem ICA-Dateien zum Ändern anderer ICA-Einstellungen zur Bandbreitensteuerung verwenden:
Dateiname
Beschreibung
bandwidth_ high.ica
Enthält die ICA-Einstellungen zum Ändern von Verbindungen mit
hoher Bandbreite.
bandwidth_
medium_high.ica
mittelhoher Bandbreite.
bandwidth_ medium.ica
mittlerer Bandbreite.
bandwidth_low.ica
niedriger Bandbreite.
default.ica
Enthält die ICA-Einstellungen zum Ändern der Einstellungen, wenn
keine Bandbreite ausgewählt ist.
Bei Verwendung des Clients für Java bestimmt die Bandbreitensteuerung, ob
Pakete für Audio und Druckerzuordnung gedownloadet werden. Bei einer Remotedesktopverbindung wird die Audioqualität ein- oder ausgeschaltet; eine weitere
Steuerung der Qualität findet nicht statt. Für drahtlose WAN-Verbindungen wird
eine niedrige Bandbreite empfohlen.
Hinweis: Wird die Remotedesktopverbindung zusammen mit der Bandbreitensteuerung verwendet, legt das Webinterface die geeigneten Parameter für die
ausgewählte Bandbreite fest. Das tatsächliche Verhalten richtet sich aber immer
nach der Version der Remotedesktopsoftware, den Terminalservern und der
Serverkonfiguration.
Benutzer können standardmäßig die Fenstergröße von Clientsitzungen anpassen.
Für MetaFrame Conferencing Manager-Gastteilnehmersites können Sie folgende
Einstellungen konfigurieren:
•
Windows-Tastenkombinationen
•
Kioskmodus
98
Der Kioskmodus eignet sich optimal, wenn es sich bei den Clientgeräten um öffentliche Terminals handelt, die von verschiedenen Benutzern verwendet werden. Bei
aktiviertem Kioskmodus werden Benutzereinstellungen nicht gespeichert und nur
für die Dauer der Sitzung beibehalten.
Wenn Benutzer eine Einstellung nicht anpassen können, wird die Einstellung nicht
in der Benutzeroberfläche angezeigt. Es werden die Einstellungen verwendet, die
für die veröffentlichte Anwendung in der Managementkonsole für MetaFrame
Presentation Server festgelegt wurden.
Verwalten von Clientkonfigurationsdateien
Agent.
Die Program Neighborhood Agent-Optionen, die mit der Konsole konfiguriert
werden, werden auf dem Webinterface-Server in einer Konfigurationsdatei
gespeichert. Die Konfigurationsdatei steuert den Umfang der Parameter, die für den
Benutzer als Optionen im Dialogfeld Eigenschaften angezeigt werden. Mit den
verfügbaren Optionen können Benutzer ihre Einstellungen für ICA-Sitzungen festlegen; u. a. Anmeldemodus, Bildschirmgröße, Audioqualität und die Speicherorte
von Links für veröffentlichte Ressourcen.
Die installierte Standardkonfigurationsdatei Config.xml enthält Standardeinstellungen und kann in den meisten Netzwerkumgebungen ohne Änderungen
direkt verwendet werden. Sie können die Datei jedoch bearbeiten oder mit der
Konsole mehrere Konfigurationsdateien erstellen, die an Ihre Anforderungen
angepasst sind. Auf diese Weise können Sie eine bestimmte Option für Benutzer
schnell hinzufügen oder entfernen und die Anzeige für die Benutzer zentral steuern.
Die Datei Config.xml wird im Ordner der Site unter \conf\clientconfigs gespeichert.
In demselben Ordner wie die Standardkonfigurationsdatei werden auch BackupKonfigurationsdateien und neue Konfigurationsdateien gespeichert, die Sie mit der
Access Suite Console erstellen.
Um allen Anforderungen Ihrer Organisation zu entsprechen, können Sie mehrere
Konfigurationsdateien erstellen. Einstellungen, die Sie in einer einzelnen
Konfigurationsdatei speichern, gelten für alle Benutzer, die diese Datei verwenden.
Wenn Sie eine neue Konfigurationsdatei erstellen, müssen die Benutzer die ServerURL in Program Neighborhood Agent in die neue Datei ändern. Verwenden Sie
hierzu den Task Clientkonfigurationsdatei erstellen. In der Konsolenstruktur wird
unter der bestehenden Datei Config.xml die Datei Config.xml angezeigt, die mit
den Tasks im Taskbereich bearbeitet werden kann.
Erstellen Sie mit dem Task Clientkonfiguration kopieren eine Kopie der
ausgewählten Datei Config.xml.
99
Speichern Sie mit dem Task Clientkonfiguration exportieren eine Kopie der
ausgewählten Datei Config.xml an einem anderen Ort (z. B. einem Dateiordner).
Mit dem Task Clientkonfiguration löschen entfernen Sie die ausgewählte Clientkonfiguration von der Site.
Verwenden von Optionen zur Anwendungsaktualisierung
Agent.
Geben Sie mit dem Task Anwendungsaktualisierung verwalten an, wann die
Liste der Benutzer mit veröffentlichten Ressourcen aktualisiert wird und ob
Benutzer diese Einstellung ändern können. Sie können die Aktualisierung beim
Start von Program Neighborhood Agent oder beim Starten von Anwendungen
aktivieren und die Aktualisierungshäufigkeit angeben.
Konfigurieren von Workspace Control
Hinweis: Der folgende Abschnitt gilt nur für den Sitetyp MetaFrame Presentation
Server.
Mit dem Task Workspace Control verwalten können Sie Einstellungen
konfigurieren, damit Benutzer schnell alle ausgeführten Anwendungen trennen,
getrennte Anwendungen wiederverbinden und sich von allen ausgeführten
Anwendungen abmelden können. Benutzer können so zwischen verschiedenen
Clientgeräten wechseln und auf alle installierten Anwendungen zugreifen (nur auf
getrennte oder auf getrennte und aktive Anwendungen) und zwar entweder direkt
bei der Anmeldung oder jederzeit manuell. Beispiel: Angestellte eines Krankenhauses müssen evtl. verschiedene Arbeitsstationen verwenden und auf dieselbe
Anwendungsgruppe zugreifen, wenn sie sich an MetaFrame Presentation Server
anmelden.
Hinweis: Sie können Workspace Control nicht mit dem ICA-Client für
Windows CE mit früheren Versionen des Clients für Win32 als Version 8 und nicht
mit der Software für Remotedesktopverbindungen verwenden. Außerdem ist diese
Funktion nur auf Servern verfügbar, die MetaFrame Presentation Server ab
Version 3.0 ausführen.
100
Funktionsanforderungen
Die folgenden Anforderungen und Empfehlungen gelten für die Funktion
Workspace Control:
•
Erkennt das Webinterface, dass von einer Clientsitzung darauf zugegriffen wird,
wird die Funktion Workspace Control deaktiviert.
•
Damit Sie Single Sign-On, Smartcards oder Smartcards mit Single Sign-On
verwenden können, müssen Sie eine Vertrauensstellung zwischen dem
Webinterface-Server und dem Citrix XML-Dienst herstellen. Weitere
Informationen finden Sie unter „Konfigurieren von Workspace Control mit
integrierten Authentifizierungsmethoden“ auf Seite 100.
•
Anwendungen, die für anonyme Benutzer veröffentlicht wurden, werden
beendet, wenn sowohl anonyme als auch authentifizierte Benutzer die
Verbindung trennen, wenn der Citrix XML-Dienst so eingestellt ist, dass er den
Webinterface-Anmeldeinformationen vertraut. Benutzer können daher die
Verbindung zu anonymen Anwendungen nicht wiederherstellen, falls diese
getrennt wurde.
•
Ist Passthrough für Client-Anmeldeinformationen nicht aktiviert, werden
Smartcard-Benutzer aufgefordert, für jede erneut verbundene Sitzung ihre PINNummer einzugeben. Bei Single Sign-On bzw. Smartcard mit Single Sign-On
stellt dies kein Problem dar, da bei diesen Optionen Passthrough für ClientAnmeldeinformationen aktiviert ist.
•
Eine Sitzung wird nach einem gewissen Inaktivitätszeitraum beendet
(Standardwert ist 20 Minuten). Wird die HTTP-Sitzung beendet, wird die Seite
Anmelden angezeigt. In dieser Sitzung gestartete oder erneut verbundene
Anwendungen werden jedoch nicht getrennt. Die Benutzer müssen die
Trennung manuell ausführen oder sich ab- und wieder am Webinterface
anmelden und die Schaltfläche Abmelden verwenden oder die Verbindung
trennen.
Konfigurieren von Workspace Control mit integrierten
Authentifizierungsmethoden
Wenn sich Benutzer mit den Authentifizierungsmethoden Smartcard, Passthrough
mit Smartcard oder Passthrough anmelden, müssen Sie eine Vertrauensstellung
zwischen dem Webinterface-Server und anderen Servern in der Farm herstellen, auf
denen das Webinterface auf veröffentlichte Anwendungen zugreift. Besteht diese
Vertrauensstellung nicht, schlagen die Befehle Trennen, Wiederverbinden und
Abmelden für Benutzer fehl, die sich mit Smartcard oder Passthrough anmelden.
101
Es ist keine Vertrauensstellung erforderlich, wenn die Benutzer von dem Server
authentifiziert werden, auf dem ihre Anwendungen ausgeführt werden, also wenn
sich Benutzer nicht mit den Authentifizierungsmethoden Smartcard oder
Passthrough anmelden.
Um die Vertrauensstellung in der Presentation Server Console herzustellen, öffnen
Sie die Eigenschaften des Servers, auf dem MetaFrame Presentation Server
ausgeführt wird, markieren Sie im linken Bereich XML-Dienst und aktivieren Sie
An XML-Dienst gesendeten Anfragen vertrauen. Der Citrix XML-Dienst sendet
Informationen über veröffentlichte Anwendungen vom Webinterface an die Server,
auf denen MetaFrame Presentation Server ausgeführt wird, und umgekehrt.
Beachten Sie Folgendes, wenn Sie einen Server so konfigurieren, dass Anforderungen, die an den XML-Dienst gesendet werden, vertraut werden soll:
•
Wenn Sie die Vertrauensstellung herstellen, müssen Sie sich darauf verlassen,
dass der Webinterface-Server den Benutzer authentifiziert. Verwenden Sie zur
Vermeidung von Sicherheitsrisiken IPSec, Firewalls oder andere Verfahren, die
sicherstellen, dass nur vertrauenswürdige Dienste mit dem XML-Dienst
kommunizieren. Wenn Sie die Vertrauensstellung ohne solche Vorkehrungen
erstellen, kann ein beliebiges Netzwerkgerät Clientsitzungen trennen oder
beenden. Wenn Sites nur für die explizite Authentifizierung konfiguriert sind,
ist keine Vertrauensstellung erforderlich.
•
Aktivieren Sie die Vertrauensstellung nur auf Servern, auf die das Webinterface
direkt zugreift. Diese Server sind auf der Seite Serverfarmen verwalten
aufgelistet.
•
Konfigurieren Sie IPSec, Firewalls oder andere Sicherheitsvorkehrungen, um
den Zugriff auf den Citrix XML-Dienst auf Webinterface-Server zu
beschränken. Beispiel: Wenn der Citrix XML-Dienst einen Port mit Microsoft
Internet Information Services (IIS) gemeinsam verwendet, können Sie die IPAdresseinschränkungsfunktion in IIS verwenden, um den Zugriff auf den Citrix
XML-Dienst einzuschränken.
Aktivieren von Workspace Control
Aktivieren Sie Workspace Control mit dem Task Workspace Control verwalten.
Auf dieser Seite können Sie folgende Einstellungen vornehmen:
•
Aktivieren der automatischen Wiederverbindung bei Anmeldung der Benutzer,
damit Benutzer getrennte Anwendungen oder getrennte und aktive
Anwendungen wiederverbinden können.
•
Aktivieren der Schaltfläche Wiederverbinden, damit Benutzer getrennte
Anwendungen oder getrennte und aktive Anwendungen wiederverbinden
können.
102
•
Zulassen, dass sich Benutzer vom Webinterface und den aktiven Sitzungen oder
nur vom Webinterface abmelden.
So aktivieren Sie die automatische Wiederverbindung bei Anmeldung der
Benutzer:
1. Aktivieren Sie die Option Automatische Wiederverbindung von Sitzungen
nach Benutzeranmeldung.
•
Um sowohl getrennte als auch aktive Sitzungen automatisch
wiederzuverbinden, wählen Sie Alle Sitzungen.
•
Um nur getrennte Sitzungen automatisch wiederzuverbinden, wählen Sie
Nur getrennte Sitzungen.
2. Aktivieren Sie die Option Benutzerseitig anpassbar, damit Benutzer diese
Optionen in der Benutzeroberfläche auswählen können.
So aktivieren Sie die Option „Wiederverbinden“:
1. Aktivieren Sie die Option Automatische Wiederverbindung von Sitzungen
nach Benutzeranmeldung.
•
Um den Befehl Wiederverbinden so zu konfigurieren, dass sowohl
getrennte als auch aktive Sitzungen automatisch wiederverbunden werden,
wählen Sie Alle Sitzungen.
•
Um den Befehl Wiederverbinden so zu konfigurieren, dass nur getrennte
Sitzungen automatisch wiederverbunden werden, wählen Sie Nur
getrennte Sitzungen.
So konfigurieren Sie das Abmeldeverhalten:
1. Um Benutzer vom Webinterface und allen aktiven Sitzungen abzumelden,
aktivieren Sie im Bereich Abmelden die Option Alle Sitzungen bei Abmelden
des Benutzers vom Webinterface abmelden.
103
Steuern der Diagnoseprotokollierung
Mit dem Task Diagnoseprotokollierung steuern können Sie die Systemsicherheit
für die Fehlerprotokollierung erhöhen. Sie können ein wiederholtes Protokollieren
von doppelten Ereignissen unterdrücken oder deren Anzahl und Protokollierungshäufigkeit konfigurieren.
Mit diesem Task können Sie auch die Weiterleitungs-URL bei Fehlern angeben.
Wenn Sie eine benutzerdefinierte Fehlerrückgabe-URL verwenden, müssen Sie alle
Fehler-IDs mit dieser URL verarbeiten und Fehlermeldungen für die Benutzer
anzeigen. Die Fehlerrückgabe-URL ersetzt außerdem die Seite Abmelden für den
Benutzer, auch wenn Benutzer sich erfolgreich ohne Fehler abgemeldet haben.
Load Balancing für Sites
Mit dem Task Load Balancing für Sites können Sie Sites gruppieren, sodass diese
über eine gemeinsame Konfiguration verfügen und für Load Balancing verwendet
werden können. Mit diesem Task können Sites mit zentraler Konfiguration
gruppiert werden. Für lokale Sites wird der Task nicht angezeigt.
Mit dem Task Sitegruppe erstellen können Sie eine Gruppe von Sites erstellen.
Geben Sie einen Namen für die Gruppe ein und wählen Sie anschließend die Sites
für die Gruppe aus. Sites in einer Gruppe müssen dieselbe Konfigurationsquelle
und dasselbe Betriebssystem (z. B. Windows oder UNIX) verwenden. Typ (z. B.
MetaFrame Presentation Server) und Version müssen ebenfalls übereinstimmen.
Wenn eine Site einer Gruppe hinzugefügt wurde, können Sie für diese keine Tasks
für lokale Sites mehr ausführen, außerdem wird ihre Konfiguration entfernt. Wenn
Sie Tasks für lokale Sites ausführen möchten, müssen Sie die Site mit dem Task
Sites aus Gruppe entfernen aus der Gruppe entfernen. Dann wird die Gruppenkonfiguration für die Site verwendet. Sie können auch mit dem Task Gruppierung
aufheben alle Sites aus der Gruppe entfernen.
104
Verwenden von Tasks für lokale Sites
Geben Sie mit Tasks für lokale Sites den Konfigurationsort für Sites und das IISHosting der Sites an. Diese Tasks sind nur auf dem Computer verfügbar, auf dem
das Webinterface installiert ist. Sie können die Angaben ändern, die Sie beim
Erstellen der Site eingegeben haben, und Server zur zentralen Konfiguration der
Site hinzufügen.
Verwalten von Konfigurationsquellen
Mit dem Task Konfigurationsquellen verwalten können Sie festlegen, ob die Site
eine lokale Konfiguration (Sitekonfiguration wird auf dem lokalen Computer
gespeichert) oder eine zentrale Konfiguration (Sitekonfiguration wird auf dem
Remoteserver, auf dem MetaFrame Presentation Server ausgeführt wird,
gespeichert) verwendet.
Wenn Sie eine Firewall zwischen dem Webinterface-Server und dem Server, auf
dem MetaFrame Presentation Server ausgeführt wird, verwenden, führen Sie die
folgenden Schritte aus, um eine zentrale Konfiguration für lokale Sites zu
verwenden.
So verwenden Sie eine zentrale Konfiguration für lokale Sites, die sich hinter
Firewalls befinden:
1. Verwenden Sie den Task Konfiguration exportieren und speichern Sie die
Konfiguration in einer Datei.
2. Verwenden Sie den Task Konfigurationsquelle verwalten, um die zentrale
Konfiguration zu aktivieren. Klicken Sie auf Ja, wenn eine Warnung angezeigt
wird.
3. Starten Sie die Access Suite Console auf dem Server, auf dem MetaFrame
Presentation Server ausgeführt wird, und importieren Sie mit dem Task
Konfiguration importieren die gespeicherte Konfiguration.
Reparieren und Deinstallieren von Sites
Mit den Tasks Site reparieren und Site deinstallieren können Sie Sites reparieren
und entfernen. Beim Deinstallieren einer Site wird diese vollständig aus dem
System entfernt und Sie können keine Tasks mehr für die Site verwenden.
105
Wichtig: Mit dem Task Site reparieren werden benutzerdefinierte Skripts und
Bilder entfernt, sofern solche vorhanden sind. Benutzerdefinierte Dateien werden
auch durch den Task IIS-Hosting verwalten entfernt. Citrix empfiehlt, alle
erstellen Dateien vor dem Ausführen eines dieser Tasks zu sichern.
Importieren und Exportieren von Konfigurationsdateien
Sie können bestehende Konfigurationsdateien zur Verwendung mit einer
ausgewählten Site importieren und Sie können Konfigurationsdateien exportieren,
um sie mit anderen Sites zu verwenden. Verwenden Sie hierzu die Tasks
Konfiguration importieren und Konfiguration exportieren.
Konfigurieren des Webinterface mit der Konfigurationsdatei
Das Webinterface enthält die Konfigurationssdatei WebInterface.conf, in der Sie
einige Eigenschaften lokal konfigurierter MetaFrame Presentation Server-Sites
ändern können. Mithilfe dieser Datei können Sie gängige Verwaltungsaufgaben
ausführen und zahlreiche Einstellungen anpassen. Sie können beispielsweise mit
der Datei WebInterface.conf die Einstellungen festlegen, die Benutzer auf der Seite
Einstellungen anpassen können, oder die Benutzerauthentifizierung beim
Webinterface konfigurieren.
Die Datei WebInterface.conf wird auf allen Plattformen im Softwareverzeichnis
gespeichert. Unter Windows lautet der Ordner normalerweise
C:\Inetpub\wwwroot\Citrix\MetaFrame\conf, unter UNIX beispielsweise
/usr/local/tomcat/webapps/Citrix/WEB-INF.
Sie können einige Werte in der Datei WebInterface.conf für individuelle Seiten in
den Webserverskripts ändern. Weitere Informationen zu Webserverskripts finden
Sie im Handbuch Customizing the Web Interface.
Wichtig: Änderungen an der Datei WebInterface.conf treten unter UNIX erst nach
dem Herunterfahren und Neustart des Webinterface-Servers in Kraft. Sie müssen
außerdem darauf achten, Ihre Änderungen in UTF8-Codierung zu speichern.
106
In der folgenden Tabelle sind die in der Datei WebInterface.conf ggf. enthaltenen
Parameter aufgeführt (in alphabetischer Reihenfolge). Ist ein Parameter nicht in der
Datei WebInterface.conf angegeben, wird der Standardwert verwendet.
Parameter
Beschreibung
Werte
Sitetyp
AdditionalExplicit
Authentication
Definiert die explizite Zwei-FaktorAuthentifizierung, die zusätzlich zu
SAM, ADS oder NDS ausgeführt
werden muss. Dieser Wert ersetzt
die Einstellung
EnableSecurIDWithExplicit
Authentication
None, SecurID,
SafeWord, RADIUS
Server
AddressResolution
Type
Gibt den zu verwendenden
Adresstyp für das Tag
NFuse_AppServerAddress in der
Datei Template.ica an.
Ipv4-port, ipv4, dns,
dns-port
Server
Program Neighborhood
Agent-Dienste
MetaFrame Conferencing
Manager
AllowBandwidth
Selection
Gibt an, ob Benutzer zum
Optimieren der ICA-Einstellungen
den Typ der Verbindung zwischen
dem Webbrowser und MetaFrame
Presentation Server in MetaFrame
Presentation Server festlegen
können.
Off, On
Server
AllowCustomizeApp
Columns
Gibt an, ob Benutzer die Anzahl der
Spalten festlegen können.
On, Off
Server
AllowCustomize
Audio
Gibt an, ob Benutzer die
Audioqualität für ICA-Sitzungen
anpassen können.
Off, On
Server
AllowCustomizeClient
PrinterMapping
Clientdruckerzuordnung aktivieren/
deaktivieren können.
Off, On
Server
AllowCustomize
Clients
Gibt an, ob Benutzer ändern
können, welcher Client zum Starten
der Anwendung verwendet wird.
Off, On
Server
Manager
AllowCustomizeJava
ClientPackages
Gibt an, ob die Benutzer die
Downloadpakete des Clients für
Java ändern können.
Off, On
Server
AllowCustomize
Layout
Gibt an, ob Benutzer die zu
verwendende Benutzeroberfläche
auswählen können.
Off, On
Server
Parameter
Beschreibung
Werte
Sitetyp
AllowCustomize
Logoff
Gibt an, ob Benutzer das Verhalten
von Workspace Control ändern
können, wenn sich Benutzer bei
MetaFrame Presentation Server
abmelden.
On, Off
Server
AllowCustomize
ReconnectAtLogin
Gibt an, ob MetaFrame Presentation
Server-Benutzer das Verhalten von
Workspace Control beim Anmelden
ändern können.
On, Off
Server
AllowCustomize
ReconnectButton
Gibt an, ob MetaFrame Presentation
Server-Benutzer das Verhalten von
Workspace Control beim Klicken auf
Wiederverbinden ändern können.
On, Off
Server
AllowCustomize
Settings
Gibt an, ob Benutzer auf den
Bildschirm Einstellungen zugreifen
und Änderungen vornehmen
können.
On, Off
Server
AllowCustomize
TransparentKey
Passthrough
Gibt an, ob Benutzer das
Passthroughverhalten für
Tastenkombinationen auswählen
können.
Off, On
Server
AllowCustomizeVirtua
lCOMPortEmulation
Gibt an, ob Benutzer die PDASynchronisierung aktivieren/
deaktivieren können.
On, Off
Server
AllowCustomizeWin
Color
Gibt an, ob Benutzer die Farbtiefe
für ICA-Sitzungen ändern können.
Off, On
Server
AllowCustomizeWin
Size
Fenstergröße für ICA-Sitzungen
ändern können.
On, Off
Server
AllowUserPassword
Change
Gibt an, unter welchen Bedingungen
Benutzer ihr Kennwort ändern
können.
Never, Expired-only,
Always
Server
AlternateAddress
Gibt an, ob die alternative
MetaFrame Presentation ServerAdresse in der ICA-Datei
zurückgegeben wird.
Off, Mapped, On
Server
Agent-Dienste
Manager
AppColumns
Die Anzahl der Spalten mit
Anwendungssymbolen auf der Seite
Anwendungen.
Ganzzahl 1 - 300 (3)
Server
107
108
Parameter
Beschreibung
Werte
Sitetyp
Authentication
Methods
Definiert die zulässigen
Anmeldungsmethoden. Eine
kommagetrennte Liste, die jeden der
angegebenen Werte in beliebiger
Reihenfolge enthalten kann.
Explicit, Anonymous,
CertificateSingleSign
On, Certificate,
SingleSignOn
Server
Agent-Dienste
AutoDeployWebClient
Gibt an, ob der ICA-ActiveX-Client
für Benutzer ohne Client oder mit
veraltetem Client gedownloadet
werden soll.
Off, On
Server
AutoFallbackToJava
Client
Gibt an, ob der Client für Java zum
Starten von Anwendungen
verwendet wird, wenn auf Win32Plattformen kein nativer Client
erkannt wird.
Off, On
Server
Manager
BrandingColor
Gibt die Farbe für Linien und Leisten
in den Kopf- und Fußbereichen an.
Hexadezimale
Farbnummer oder
Farbname
Server
Manager
BypassFailedRadius
ServerDuration
Dauer bis zum nächsten Versuch,
einen RADIUS-Server nach einem
Fehlschlagen erneut zu verwenden.
Dauer in Sekunden
(600)
Server
BypassFailedSTA
Duration
Dauer bis zum nächsten Versuch,
einen STA-Server erneut zu
verwenden.
Dauer in Sekunden
(3600)
Server
Agent-Dienste
Manager
ClientAddressMap
Teil der serverseitigen
Firewallkonfiguration. Eine Liste mit
Clientadressen und Paaren von
Adresstypen. Die erste kann eine
Teiladresse oder Subnetzadresse
und Maske sein , die zweite kann
folgende Werte enthalten: Normal,
Alternate, Translated, SG,
SGAlternate, SGTranslated. Ein *
anstelle einer Clientadresse oder
eines Subnetzes gibt für alle
ansonsten nicht festgelegten Clients
die Standardeinstellung an.
<Clientaddresse>|<
Subnetzadresse>/
<Subnetzmaske>|*,
Normal|Alternate|Tra
nslated|SG|SGTrans
lated|SGAlternate…
Server
Agent-Dienste
Manager
Parameter
Beschreibung
Werte
Sitetyp
ClientProxy
Clientseitige Firewalloption. Gibt
eine Liste von Clientsubnetzadressen und -masken oder Adresspräfixen und entsprechenden Proxyeinstellungen an. Die Clientadresse
in der ausgegebenen Datei wird
durch diese Einstellungen bestimmt.
Ein * anstelle einer Clientadresse
oder eines Subnetzes gibt für alle
ansonsten nicht festgelegten Clients
die Standardeinstellung an. Der
Wert des dritten Feldes (Proxyadresse) in jedem Satz, standardmäßig das Minuszeichen (-), muss
immer vorhanden sein, wird aber
ignoriert, wenn nicht das zweite Feld
(Proxytyp) ein expliziter Proxytyp
(SOCKS oder Secure) ist.
<Clientadresse>|<S
ubnetzadresse>/
<Subnetzmaske>|*,
Auto|Client|None|SO
CKS|Secure,
|<Proxyadresse>|<P
roxyadresse>:<Prox
yport>…
Server
Agent-Dienste
Manager
CompanyHomePage
Gibt die Hyperlink-URL für das
Unternehmenslogo an, wenn
CompanyLogo festgelegt wurde.
Eine gültige URL
Server
Manager
CompanyLogo
Eine URL für das
Unternehmenslogobild.
Eine gültige URL
Server
Manager
Configuration
Location
Gibt an, von wo das Webinterface
die Konfiguration laden soll.
Pfad der Konfigurationsdatei in der
Webanwendung |
kommagetrennte
Liste von
Serveradresse:Port,
wobei
Serveradresse ein
DNS-Name oder
eine IP-Adresse ist.
Server
Agent-Dienste
Manager
ConfigurationSource
Type
Konfigurationstyp, der von der Site
verwendet wird.
Datei |
ConfigurationService
Server
Agent-Dienste
Manager
109
110
Parameter
Beschreibung
Werte
Sitetyp
CSG_Server
Gibt die Secure Gateway-Adresse
an.
Kein Wert.
Serveradresse als
FQDN.
Server
Agent-Dienste
Manager
CSG_ServerPort
Gibt den Secure Gateway-Port an.
Kein Wert.
Serverport.
Server
Agent-Dienste
Manager
CSG_STA_URL<n>
Server, der die Funktion Secure
Ticketing Authority bereitstellt.
Kein Wert. Eine URL
zu einer STA.
Server
Agent-Dienste
Manager
DefaultClient
Gibt an, ob alle zum Download
verfügbaren Clients angezeigt
werden, wenn die Plattform nicht
automatisch ermittelt wird. Nur
relevant, wenn Installationsmeldungen angezeigt werden.
On, Off
Server
Manager
DefaultLocale
Die verwendete Standardsprache,
wenn ein Browser eine nicht
unterstützte Sprache anfordert.
en | fr | de | es | ja |
Bezeichner aller
anderen
unterstützten
Sprachen
Server
Agent-Dienste
Manager
DefaultWelcome
MessageLocale
Gebietsschema der Standardwillkommensmeldung, die auf den
Seiten Anmelden und Anwendungen im Willkommensbereich
angezeigt wird. Dieser Wert muss
mit der Angabe <lang-code> in einer
der definierten Einstellungen für
WelcomeMessage_<lang-code>
übereinstimmen, z. B. en.
Kein Wert. en | fr | de
| es | ja | Bezeichner
aller anderen
unterstützten
Sprachen
Server
Manager
Parameter
Beschreibung
Werte
Sitetyp
DisplayFooter
Gibt an, ob die in der Datei footer.inc
definierte Fußzeile angezeigt wird.
On, Off
Server
Manager
DisplayHeader
Gibt an, ob die in der Datei
header.inc definierte Kopfzeile
angezeigt wird.
On, Off
Server
Manager
DisplayMainBoxTitle
BarBgImage
Gibt an, ob für die Titelleiste des
Hauptdialogfelds ein Hintergrundbild
oder eine einfache Hintergrundfarbe
verwendet wird.
On, Off
Server
Manager
DuplicateLogInterval
Gibt an, für welche Dauer
Protokolleinträge des
DuplicateLogLimit überwacht
werden.
Dauer in Sekunden
(60)
Server
Agent-Dienste
Manager
DuplicateLogLimit
Gibt an, wie viele doppelte
Protokolleinträge während der
Dauer von DuplicateLogInterval
zulässig sind.
Ganzzahl größer als
0 (10)
Server
Agent-Dienste
Manager
EnableKerberosTo
MPS
Gibt an, ob die KerberosAuthentifizierung aktiviert wird.
Off, On
Server
EnableLegacyICA
ClientSupport
Gibt an, ob ältere MetaFrame
Presentation Server-Clients, die
UTF-8 ICA-Dateien nicht lesen
können, unterstützt werden. Wird
der Wert Off gewählt, erstellt
ICA-Dateien in UTF-8-Codierung.
On, Off
Server
Agent-Dienste
Manager
EnableLogoff
Applications
Gibt an, ob Workspace Control
aktive Anwendungen abmeldet,
wenn der Benutzer sich bei
abmeldet.
On, Off
Server
111
112
Parameter
Beschreibung
Werte
Sitetyp
EnableRadiusServer
LoadBalancing
Bei On kann Load Balancing mit
zufälligem Zugriff für Sitzungen auf
mehreren RADIUS-Servern
ausgeführt werden. Unabhängig von
dem ausgewählten Wert findet
immer noch Failover zwischen den
Servern statt.
On, Off
Server
EnableSTALoad
Balancing
Bei On kann Load Balancing für
Anforderungen an mehrere Secure
Gateway-STA-Server ausgeführt
werden.
On, Off
Server
Agent-Dienste
Manager
EnableVirtualCOM
PortEmulation
Gibt an, ob die PDASynchronisierung über eine direkte
USB-Verbindung aktiviert wird.
On, Off
Server
EnableWorkspace
Control
Gibt an, ob Workspace Control für
MetaFrame Presentation ServerBenutzer verfügbar ist.
On, Off
Server
ErrorCallbackURL
Gibt eine URL für das Webinterface
zum Weiterleiten bei einem Fehler
an. Verwendet vier
Abfragezeichenfolgen-Parameter:
NFuse_MessageType
NFuse_MessageKey
NFuse_MessageArgs
NFuse_LogEventID
Eine gültige URL
Server
Parameter
Beschreibung
Werte
Sitetyp
Farm<n>
Gibt alle Informationen zu einer
Farm an.
Adresse des XMLDienstes [,XML
service address,...]
[,Name:<Name>]
[,XMLPort:<Port>]
[,Transport:<HTTP|
HTTPS|SSL>]
[,SSLRelayPort:
<Port>]
[,BypassDuration:
<Dauer>]
[,LoadBalance:
<on|off>]
[,ECSUrlURL>]
[,AuthenticationTicke
ts:<on|off>]
[TicketTimeToLive:
<Sekunden (200)>]
Server
Agent-Dienste
Manager
HeadingImage
Gibt die URL für das Bild an, das als
Überschrift des Webinterface
angezeigt wird.
Eine gültige URL
Server
Manager
HideDomainField
Steuert, ob auf der Seite Anmelden
das Feld Domäne angezeigt wird.
Off, On
Server
HpUxUnixClient
Gibt Downloadmeldung und Links
für die zugeordnete Plattform an.
Default. Meldung
und Links.
Server
Manager
IbmAixClient
Default. Meldung
und Links.
Server
Manager
ICAWebClient
Der Dateiname des Clients für
Win32, der zum nativen
eingebetteten Starten und
automatischen Bereitstellen des
Webclients verwendet wird.
wficat.cab
Server
Manager
IcaWebClientClassID
Klassen-ID des ActiveX-Clients.
238f6f83-b8b4-11cf8771-00a024541ee3
Server
Manager
113
114
Parameter
Beschreibung
Werte
Sitetyp
ICAWebClientVersion
Versionsnummer des Clients (von
der Client-CD-ROM). Wird mit
autoWebClientDownload
verwendet.
Neueste
Clientversion
Server
Manager
IgnoreClientProvided
ClientAddress
Bei On wird die vom Client
bereitgestellte Clientadresse
ignoriert.
Off, On
Server
Agent-Dienste
Manager
InternalServer
AddressMap
Eine Liste mit Paaren, die je eine
normale und eine übersetzte
Adresse enthalten. Die normale
Adresse bestimmt die Secure
Gateway-Serveradresse und die
übersetzte Adresse ist die, die an
den MetaFrame Presentation
Server-Client ausgegeben wird.
NormaleAdresse =
ÜbersetzteAdresse,
…
Server
Agent-Dienste
Manager
JavaClient
Default. Meldung
und Links.
Server
Manager
JavaClientPackages
Der Standardsatz der Downloadpakete für den Client für Java.
Besteht aus einer kommagetrennten
Liste in beliebiger Reihenfolge.
ConfigUI,
PrinterMapping,
SecureICA, Audio,
ClientDriveMapping,
ClipBoard, SSL,
Thinwire1,
ZeroLatency
W
MCMI
JavaClientRoot
Certificate
Dateiname des privaten
Stammzertifikats des Clients für
Java. Das Zertifikat muss sich in
demselben Ordner wie die Client für
Java-Pakete befinden.
Kein Wert. Ein
gültiger Dateiname.
Server
Manager
KioskMode
Steuert, ob Benutzereinstellungen
beibehalten werden oder nur für die
Sitzung bestehen. Bei aktiviertem
Kioskmodus werden Benutzereinstellungen nach jeder Sitzung
zurückgesetzt.
Off, On
Server
Manager
Parameter
Beschreibung
Werte
Sitetyp
LaunchClients
Legt fest, welche Clients der
Benutzer auswählen kann. Wird
zusammen mit
AllowCustomizeClients
verwendet.
Ica-Local, Ica-Java,
Ica-Embedded, RdpEmbedded
Server
Manager
LaunchMethod
Client, der bevorzugt zum Starten
von Anwendungen verwendet wird.
Ica-Local, Ica-Java,
Ica-Embedded, RdpEmbedded
Server
Manager
LinuxClient
Default. Meldung
und Links.
Server
Manager
LoginDomains
Domänennamen, die zu Anzeigebzw. Einschränkungszwecken für
explizite Authentifizierung
verwendet werden sollen.
Liste von NetBIOSDomänennamen
Server
Agent-Dienste
LoginType
Gibt an, welche Anmeldeseite
angezeigt wird. Möglich sind
entweder domänenbasiert oder
NDS.
Default. NDS
Server
Agent-Dienste
MacClient
Default. Meldung
und Links.
Server
Manager
MainBoxTitleBarBg
Color
Gibt die Hintergrundfarbe für die
Titelleiste des Hauptdialogfeldes an.
Hexadezimale
Farbnummer oder
Farbname
Server
Manager
MainBoxTitleBarBg
Image
Gibt die URL für das Hintergrundbild
der Titelleiste des Hauptdialogfeldes
an.
Eine gültige URL
Server
Manager
MainBoxTitleFont
Color
Gibt die Schriftfarbe für die
Titelleiste des Hauptdialogfeldes an.
Hexadezimale
Farbnummer oder
Farbname
Server
Manager
115
116
Parameter
Beschreibung
Werte
Sitetyp
MessageHeadingBg
Color
Gibt die Hintergrundfarbe für die
Überschriften von Willkommensbereich und Message Center an.
Hexadezimale
Farbnummer oder
Farbname
Server
Manager
MessageHeadingFont
Color
Gibt die Schriftfarbe für die Überschriften von Willkommensbereich
und Message Center an.
Hexadezimale
Farbnummer oder
Farbname
Server
Manager
NDSTreeName
Gibt bei NDS-Authentifizierung die
zu verwendende NDS-Struktur an.
Kein Wert. NDSStruktur.
Server
Agent-Dienste
OtherClient
Gibt Downloadmeldungen und Links
für nicht erkannte Clientplattformen
an.
Default. Meldung
und Links.
Server
Manager
OverrideClientInstall
Caption
Gibt eine benutzerspezifische
Meldung an, die zusammen mit den
Download-Links für die Clients
angezeigt wird.
Kein Wert.
Benutzerdefinierter
Meldungstext.
Server
Manager
PooledSockets
Gibt die Verwendung von
Socketpooling an.
Off, On
Server
Agent-Dienste
Manager
RadiusRequest
Timeout
Gibt das Zeitlimit für die Wartedauer
für eine Antwort vom RADIUSServer der Sitzung an.
Zeitlimit in Sekunden
(30)
Server
RadiusServers
Eine kommagetrennte Liste von
RADIUS-Servern und optional den
von diesen abgehörten Ports.
Server können durch IPs oder
Namen angegeben werden. Server
und Port für jedes Element sind
durch einen Doppelpunkt getrennt.
Wird der Port nicht angegeben,
verwendet MetaFrame Presentation
Server den RADIUS-Standard, Port
1812. Es können maximal 512
RADIUS-Server konfiguriert werden.
Server[:Port][,…]
Server
Parameter
Beschreibung
Werte
Sitetyp
RdpWebClient
Dateiname der Software für
Remotedesktopverbindungen zum
eingebetteten Starten und automatischen Bereitstellen des Clients.
msrdp.cab
Server
Manager
RdpWebClientClassID
Klassen-ID des Remotedesktopverbindungs-ActiveX-Clients, der im
Lieferumfang von Windows Server
2003 enthalten ist.
7584c670-22744efb-b00bd6aaba6d3850
Server
Manager
RDPWebClient
Version
Versionsnummer der Software für
Remotedesktopverbindungen, die
im Lieferumfang von Windows
Server 2003 enthalten ist.
5,2,3790,0
Server
Manager
ReconnectAtLogin
Gibt an, ob Workspace Control beim
Anmelden erneut eine Verbindung
zu Anwendungen herstellen soll,
und falls ja, ob die Verbindung zu
allen oder nur zu getrennten
Anwendungen wiederhergestellt
werden soll.
DisconnectedAndAc
tive, Disconnected,
None
Server
Agent-Dienste
ReconnectButton
Gibt an, ob Workspace Control
erneut eine Verbindung zu
Anwendungen herstellen soll, wenn
MetaFrame Presentation ServerBenutzer auf Wiederverbinden
klicken, und falls ja, ob die
Verbindung zu allen oder nur zu
getrennten Anwendungen
wiederhergestellt werden soll.
DisconnectedAndAc
tive, Disconnected,
None
Server
RequestICAClient
SecureChannel
Steuert TLS-Einstellungen.
Detect-AnyCiphers,
TLS-GovCiphers,
SSL-AnyCiphers
Server
Agent-Dienste
Manager
RestrictDomains
Bestimmt, ob LoginDomains als
Einschränkungs- oder Anzeigeliste
für die explizite Authentifizierung
behandelt werden soll.
Off, On
Server
Agent-Dienste
117
118
Parameter
Beschreibung
Werte
Sitetyp
RetryCount
Gibt an, wie oft eine
fehlgeschlagene Anforderung des
XML-Dienstes wiederholt wird,
bevor angenommen wird, dass der
Dienst nicht erreichbar ist.
Ganzzahl größer als
0 (5)
Server
Agent-Dienste
Manager
ScoUnixClient
Default. Meldung
und Links.
Server
Manager
SearchContextList
Eine optionale, kommagetrennte
Liste von Kontextnamen zur
Verwendung bei der NDSAuthentifizierung.
Kein Wert.
Kommagetrennte
Liste von
Kontextnamen.
Server
Agent-Dienste
ServerAddressMap
Teil der serverseitigen Firewallunterstützung. Eine Liste mit Paaren, die
je eine normale und eine übersetzte
Adresse enthalten. Die normale
Adresse bezeichnet die Serveradresse und die übersetzte Adresse
wird an den Client zurückgegeben.
NormaleAdresse,
ÜbersetzteAdresse,
…
Server
Agent-Dienste
Manager
SgiUnixClient
Default. Meldung
und Links.
Server
Manager
ShowClientInstall
Caption
Steuert die Anzeige der Downloadmeldungen. Auto gibt an, dass die
Downloadmeldung angezeigt wird,
wenn auf dem Benutzercomputer
kein Client installiert ist und die automatische Webinstallation deaktiviert
ist. Auf anderen Plattformen wird die
Installationsmeldung immer
angezeigt. Hebt
ForceClientInstallCaption auf.
Auto, Off, On
Server
Manager
Parameter
Beschreibung
Werte
Sitetyp
SiteIDRoot
Eine Zeichenfolge als Grundlage
eines eindeutigen Sitebezeichners.
Unter Windows wird SiteIDRoot bei
der Kommunikation mit dem
Konfigurationsdienst direkt als
Sitebezeichner verwendet. Unter
UNIX wird zu SiteIDRoot
Laufzeitinformation hinzugefügt, um
den Sitebezeichner für den
Konfigurationsdienst zu erstellen.
Eine zufällige, vom
Installationsprogramm erstellte
Zahl.
Server
Agent-Dienste
Manager
SolarisUnixClient
Default. Meldung
und Links.
Server
Manager
Timeout
Gibt das Zeitlimit an, das bei der
Kommunikation mit dem XMLDienst verwendet werden soll.
Zeitlimit in Sekunden
(60)
Server
Agent-Dienste
Manager
TransparentKey
Passthrough
Gibt den Passthroughmodus für
Windows-Tastenkombinationen an.
Local,Remote,FullSc
reenOnly
Server
Manager
Tru64Client
Default. Meldung
und Links.
Server
Manager
UPNSuffixes
Begrenzt UPN-Authentifizierung auf
diese Suffixe für die explizite
Authentifizierung.
Liste von UPNSuffixen.
Server
Agent-Dienste
UserInterfaceLayout
Gibt an, ob die kompakte
Benutzeroberfläche verwendet
werden soll.
Auto | Normal |
Compact
Server
Manager
119
120
Parameter
Beschreibung
Werte
Sitetyp
WelcomeMessage_
<lang-code>
Lokalisierte Willkommensmeldung,
die auf den Seiten Anmelden und
Anwendungen im
Willkommensbereich angezeigt
wird. <lang-code> ist en, fr, de, es,
ja oder ein beliebiger anderer
Standardsprachencode.
Kein Wert. HTMLformatierter Text.
Server
Manager
Win16Client
Default. Meldung
und Links.
Server
Manager
Win32Client
Default. Meldung
und Links.
Server
Manager
Überlegungen zu Program Neighborhood Agent
Bestimmte Einstellungen in der Datei WebInterface.conf wirken sich auf die
Überprüfung der Anfragen von Program Neighborhood Agent aus. Citrix
empfiehlt, dass die Einstellungen in der Datei WebInterface.conf mit den Einstellungen der Datei Config.xml in Program Neighborhood Agent übereinstimmen.
In diesem Abschnitt wird die Konfiguration der Einstellungen in der Datei
WebInterface.conf mit Program Neighborhood Agent erläutert.
So konfigurieren Sie das Webinterface bei Verwendung von Program
Neighborhood Agent:
1. Öffnen Sie die Datei WebInterface.conf.
2. Suchen Sie die folgenden Parameter:
•
AuthenticationMethods
•
ForceLoginDomain
•
LoginType
•
NDSTreeName
121
Die folgende Tabelle erläutert die Parameter (in alphabetischer Reihenfolge),
die Werte, die sich auf die Einstellungen von Program Neighborhood Agent
auswirken, und die empfohlenen Einstellungen:
Parameter
Wert
Empfohlene Einstellung
Nicht
zutreffend
Verwenden Sie dieselbe Authentifizierungsmethode, die
im Webinterface konfiguriert wurde. Die
Authentifizierung schlägt fehl, wenn sich diese Methode
von der in Config.xml unterscheidet.
ForceLoginDomain
Nicht
zutreffend
Dieses Feld verhindert, dass sich Benutzer von
Program Neighborhood Agent mit einer anderen
Domäne authentifizieren können.
LoginType
NDS
NDS muss in der Datei Config.xml aktiviert sein.
NDSTreeName
Nicht
zutreffend
Der Parameter DefaultTree im Abschnitt Logon der
Datei Config.xml muss dieselbe Einstellung haben.
3. Starten Sie den Webinterface-Server neu, um die Änderungen zu übernehmen.
Beispiele
Dieser Abschnitt enthält typische Beispiele für die Konfiguration des Webinterface
mit der Datei WebInterface.conf.
Konfigurieren der Kommunikation mit MetaFrame Presentation
Server
In diesem Beispiel soll der Name eines zusätzlichen Servers angegeben werden, auf
dem der Citrix XML-Dienst ausgeführt wird. Der Citrix XML-Dienst ist die Kommunikationsverbindung zwischen der Serverfarm und dem Webinterface-Server.
Die Kommunikation erfolgt zurzeit mit einem „Server1“ genannten Server. Sie
möchten den Server „Server2“ für den Fall hinzufügen, dass „Server1“ ausfällt.
Gehen Sie hierzu folgendermaßen vor:
1. Suchen Sie in der Datei WebInterface.conf folgende Zeile:
SessionField.NFuse_Farm1=
2. Schließen Sie in dieser Zeile den zusätzlichen Server folgendermaßen ein:
SessionField.NFuse_Farm1=Server1,Server2
3. Starten Sie den Webserver neu, um die Änderungen zu übernehmen.
122
Konfigurieren der Citrix SSL-Relay-Kommunikation
In diesem Beispiel möchten Sie die Kommunikation zwischen dem Webserver und
dem MetaFrame-Server mit SSL (Secure Sockets Layer) sichern. Das Citrix SSLRelay wird auf einem MetaFrame-Server installiert, der den vollqualifizierten
Domänennamen www.firmenname.com hat. Das Citrix SSL-Relay hört den TCPPort 443 ab.
Die Kommunikation erfolgt zurzeit mit dem Server „Server1“, Sie möchten jedoch
„Server1“ durch „www.firmenname.com“ ersetzen. Gehen Sie hierzu
folgendermaßen vor:
1. Öffnen Sie die Datei WebInterface.conf und suchen Sie die folgenden Zeilen:
SessionField.NFuse_Farm1=www.firmenname.com, Name:Server1,
Transport:SSL, SSLRelayPort:443
Hinweis: Der angegebene Servername muss dem Namen auf dem
Serverzertifikat entsprechen.
Konfigurieren der Secure Gateway-Unterstützung
In diesem Beispiel soll ein Secure Gateway-Server mit dem Namen csg1.citrix.com
angegeben werden, auf dem die MetaFrame Presentation Server Clients den
Port 443 verwenden. Folgende Secure Ticket Authority-Adressen werden
verwendet:
•
http://server1.citrix.com/scripts/CtxSta.dll
•
http://server2.citrix.com/scripts/CtxSta.dll
Fügen Sie der Datei WebInterface.conf die folgenden Zeilen hinzu:
SessionField.NFuse_CSG_STA_URL1=http://server1.citrix.com/
scripts/CtxSta.dll
SessionField.NFuse_CSG_STA_URL2=http://server2.citrix.com/
scripts/CtxSta.dll
SessionField.NFuse_CSG_Server=csg1.citrix.com
SessionField.NFuse_CSG_ServerPort=443
ClientAddressMap=*,CSG (Secure Gateway-Aktivierung für alle Benutzer)
Starten Sie den Webserver neu, um die Änderungen zu übernehmen.
123
Deaktivieren von Fehlermeldungen
Unter Windows können Sie die im Webinterface enthaltene anpassbare Fehlermeldung deaktivieren, um informativere Fehlermeldungen anzuzeigen. Bearbeiten
Sie dazu die Datei web.config, die sich im Stammordner der Site befindet. Ändern
Sie die folgende Zeile:
<customErrors mode="On" defaultRedirect="html/serverError.html" />
zu
<customErrors mode="Off" defaultRedirect="html/serverError.html" />
Bereitstellen des Webinterface für die Benutzer
Nach dem Installieren und Konfigurieren des Webinterface teilen Sie den
Benutzern die URL der Seite Anmelden mit. Wenn Benutzer die Seite in ihren
Browsern mit einem Lesezeichen versehen möchten, sollte das Lesezeichen auf den
folgenden Wert eingestellt werden: http://<Servername>/<Sitepfad>. Verzichten
Sie auf die Angabe einer bestimmten Seite wie z. B. login.aspx.
Auf UNIX-Webservern wird der Pfad der Site (der Teil der URL nach dem Hostnamen und der Portnummer) durch die Servlet-Engine bestimmt. Sie können den
Pfad beim Installieren der WAR-Datei in der Servlet-Engine ändern. Der Standard
ist normalerweise /<Name der WAR-Datei>, wobei der Dateiname
WARFileName.war ist. Für WebLogic muss eine separate XML-Datei erstellt
werden, um den Pfad zu ändern. XML-Beispieldateien mit Verwendungshinweisen
werden mit der WAR-Datei in /Citrix/<Name der WAR-Datei> erstellt.
Festlegen der Anmeldeseite als Standardwebseite auf IIS
Sie können die Seite Anmelden während der Installation des Webinterface als
Standardseite für Benutzer festlegen. Die URL lautet in diesem Fall
http://<Servername>/. Aktivieren Sie hierfür im Task Site erstellen die Option Als
Standardseite für die IIS-Site definieren.
Nächste Schritte
•
Weitere Informationen zur Bereitstellung von MetaFrame Presentation Server
Clients für Webinterface-Benutzer oder zur Konfiguration des Clients für
Macintosh finden Sie unter „MetaFrame Presentation Server Clients und das
Webinterface“ auf Seite 125.
•
Weitere Informationen zu Sicherheitsüberlegungen finden Sie in Kapitel 5 unter
“Konfigurieren der Webinterface-Sicherheit“ auf Seite 131.
124
KAPITEL 4
Clients und das Webinterface
Übersicht
Dieses Kapitel enthält Informationen zur Bereitstellung und Verwendung der
MetaFrame Presentation Server Clients mit dem Webinterface. Es wird
beschrieben, wie Sie Benutzern Clients mit der webbasierten Clientinstallation
bereitstellen. Außerdem finden Sie weitere Informationen zum Client für Java.
Unter anderem werden folgende Themen behandelt:
•
Webbasierte Clientinstallation
•
Übersicht über den Client für Java
•
Übersicht über Program Neighborhood Agent
126
Webbasierte Clientinstallation
Für die Verwendung des Webinterface müssen Benutzer einen unterstützten
Webbrowser und einen MetaFrame Presentation Server Client einsetzen.
Wenn sich Benutzer an einer Webinterface-Site anmelden, prüft die webbasierte
Clientinstallation, ob die Clientsoftware auf dem Gerät des Benutzers vorhanden
ist. Wird die Clientsoftware nicht auf dem Gerät erkannt, bietet die webbasierte
Clientinstallation die entsprechende Clientsoftware zum Download und zur
Installation an. Die dem Benutzer dargestellten Links werden
Installationsmeldungen genannt.
Im Folgenden wird eine typische Installationsmeldung gezeigt:
Die Abbildung zeigt eine Beispielinstallationsmeldung, die auf der Benutzeranmeldeseite
angezeigt werden kann.
Kopieren der Installationsdateien für Clients auf den
Webserver
Um die webbasierte Clientinstallation verwenden zu können, müssen die
Installationsdateien auf dem Webserver gespeichert sein.
Während der Webinterface-Installation werden Sie vom Setupprogramm zum
Einlegen der Komponenten-CD-ROM oder zur Angabe des CD-Image-Speicherorts aufgefordert. Das Setupprogramm kopiert den Inhalt des Verzeichnisses
ICAWEB der CD in das Verzeichnis \ICAWEB im Stammverzeichnis der gemeinsamen Dateien (zum Beispiel C:\Programme\Citrix\Web Interface\4.0\ICAWEB).
Im Verzeichnis \ICAWEB werden die Clients nach Sprache und Plattform
angeordnet (zum Beispiel ICAWEB\en\ica32). Eine Ausnahme stellt der Client für
Java dar; er befindet sich im Verzeichnis ICAWEB\icajava.
Wenn Sie die Installationsdateien für die Clients während der WebinterfaceInstallation nicht auf den Webserver kopiert haben, müssen Sie die Dateien auf den
Webserver kopieren, bevor Sie die webbasierte Clientinstallation einrichten.
Kapitel 4 MetaFrame Presentation Server Clients und das Webinterface
127
So kopieren Sie die Clientdateien auf den Webserver:
1. Stellen Sie fest, wo sich das Installationsverzeichnis ICAWEB des Webinterface
befindet, beispielsweise C:\Programme\Citrix\Web Interface\4.0\ICAWEB.
2. Legen Sie die Komponenten-CD-ROM in das CD-ROM-Laufwerk des
Webservers ein oder suchen Sie im Netzwerk ein freigegebenes Image der
Komponenten-CD.
3. Wechseln Sie in das Verzeichnis \ICAWEB der CD. Kopieren Sie den Inhalt
vom Verzeichnis \ICAWEB der CD in das Verzeichnis \ICAWEB des
Webinterface-Servers. Stellen Sie dabei sicher, dass Sie den Inhalt des
Verzeichnisses und nicht das Verzeichnis \ICAWEB selbst kopieren.
Konfigurieren von webbasierten Clientinstallationen
In diesem Abschnitt wird beschrieben, wie Sie die den Benutzern angezeigten
Installationsmeldungen und den Client für Win32, der den Windows-Clientgeräten
angeboten wird, konfigurieren. Sie erfahren, wie Sie diese Vorgänge mit der Datei
WebInterface.conf ausführen.
Hinweis: Weitere Informationen zur Konfiguration der webbasierten Clientinstallation mit der Access Suite Console finden Sie unter „Automatisches
Bereitstellen von Clients“ auf Seite 87.
Installationsdateien für den Client für Win32
Standardmäßig bietet die webbasierte Clientinstallation 32-Bit-Windows-Clientgeräten die Installationsdatei für den Webclient an. Sie können diese Einstellung
jedoch so ändern, dass der Program Neighborhood-Client oder Program
Neighborhood Agent angeboten wird.
Im Anschluss finden Sie eine Beschreibung der Unterschiede zwischen diesen
Installationsdateien:
•
Installationsdatei des Webclients (ica32t.exe): Diese Version installiert den
Webclient für Benutzer.
•
Installationsdatei des Program Neighborhood-Clients (ica32.exe):) Mit
dieser Datei werden alle Komponenten des Clients für Win32 einschließlich der
Program Neighborhood-Benutzeroberfläche installiert. Wenn die Benutzer die
gesamte Funktionalität des Clients für Win32 benötigen, müssen Sie das Archiv
Ica32.exe bzw. Ica32.msi installieren.
128
•
Installationsdatei von Program Neighborhood Agent (Ica32a.exe): Mit
dieser Datei werden alle Komponenten des Clients für Win32 einschließlich der
Program Neighborhood Agent-Benutzeroberfläche installiert. Sie können mit
der Datei Ica32a.exe oder Ica32a.msi den Benutzerzugriff auf veröffentlichte,
für das Webinterface aktivierte Anwendungen direkt vom Windows-Desktop,
Startmenü oder Windows-Infobereich ermöglichen.
So konfigurieren Sie das Webinterface für das Bereitstellen eines anderen
Clients für Win32:
2. Bearbeiten Sie den Parameter Win32Client. Beispiel:
Win32Client=Click here for the Client&/Citrix/ICAWEB/
en/ica32/ica32.exe
Konfigurieren von Installationsmeldungen
Sie können das Anzeigen von Installationsmeldungen und den in den Meldungen
angezeigten Text konfigurieren. Bearbeiten Sie die Parameter
ShowClientInstallCaption und OverrideClientInstallCaption in der Datei
WebInterface.conf.
Hinweis: Weitere Informationen zur Konfiguration von Installationsmeldungen
mit der Konsole finden Sie unter „Automatisches Bereitstellen von Clients“ auf
Seite 87.
Der Parameter ShowClientInstallCaption legt fest, ob den Benutzern Meldungen
für die webbasierte Clientinstallation angezeigt werden. Es stehen drei Optionen
zur Verfügung:
•
auto: Wenn auf einer Windows-Plattform nicht der entsprechende Client
installiert ist, wird dem Benutzer eine Installationsmeldung angezeigt. Auf
anderen Plattformen wird die Installationsmeldung immer angezeigt. Dies ist
die Standardeinstellung.
•
on: Die Installationsmeldung wird auf allen Plattformen angezeigt.
•
off: Die Installationsmeldung wird nie angezeigt.
Kapitel 4 MetaFrame Presentation Server Clients und das Webinterface
129
Der Parameter OverrideClientInstallCaption gibt eine benutzerdefinierte
Meldung an, die zusammen mit den Download-Links für die Clients angezeigt
wird. Der Parameter ist standardmäßig durch ein Nummernzeichen (#) am Zeilenanfang als Kommentar gekennzeichnet, sodass die Standardmeldungen verwendet
werden. Die Standardmeldung ist clientplattformspezifisch und lautet ungefähr
folgendermaßen:
„Wenn Sie den neuesten MetaFrame Presentation Server Client (ActiveX) für
32-Bit-Windows verwenden möchten, können Sie ihn installieren.
Wählen Sie das Symbol unten, um den Client zu installieren.“
So zeigen Sie eine benutzerdefinierte Meldung mit den Download-Links an:
2. Bearbeiten Sie den Parameter OverrideClientInstallCaption. Beispiel:
OverrideClientInstallCaption=Bitte installieren Sie
einen Client. Die folgenden Clients stehen zur
Verfügung:
Übersicht über den Client für Java
Wenn Sie Clients über Netzwerke mit geringer Bandbreite bereitstellen oder die
von Benutzern verwendete Plattform nicht kennen, sollten Sie den Client für Java in
Erwägung ziehen. Der Client für Java ist ein plattformübergreifendes Applet, das
der Webinterface-Server jedem Java-kompatiblen Webbrowser bereitstellen kann.
Mit dem Webinterface kann der Client für Java als kleiner Download konfiguriert
werden (unter Umständen nur 540 KB), indem Sie nicht benötigte Komponenten
entfernen. Sie können das Webinterface auch so konfigurieren, dass Benutzer die
gewünschten Komponenten des Client für Java selbst wählen können. Weitere
Informationen zur Konfiguration der im bereitgestellten Client für Java enthaltenen
Komponenten mit der Access Suite Console finden Sie unter „Anpassen der
Bereitstellung des Clients für Java“ auf Seite 90.
Der Client für Java ist für den Download und das Ausführen ohne lokale
Speicherung der Dateien optimiert, wenn es nicht wünschenswert oder möglich ist,
einen Client auf dem Clientgerät zu installieren.
Sie können den Client für Java auch unabhängig vom Webinterface bereitstellen.
Weitere Informationen finden Sie im Client für Java-Administratorhandbuch.
Der Benutzer kann Clienteinstellungen über eine grafische Benutzeroberfläche
ändern, wenn der Client für Java im Appletmodus ausgeführt wird. Weitere
Informationen finden Sie im Client für Java-Administratorhandbuch.
130
Übersicht über Program Neighborhood Agent
Mit Program Neighborhood Agent können Sie veröffentlichte Inhalte in BenutzerDesktops integrieren. Mit Program Neighborhood Agent greifen Benutzer über
Symbole auf dem Windows-Desktop, im Startmenü oder im Windows-Infobereich
oder einer Kombination dieser Elemente auf veröffentlichte Anwendungen zu.
Program Neighborhood Agent wird im Hintergrund ausgeführt. Das Programm hat
außer einem Kontextmenü im Infobereich keine Benutzeroberfläche. Das Arbeiten
mit Remoteanwendungen erfolgt daher genauso wie bei lokalen Anwendungen.
Die Datenübertragung zwischen Client und Server erfolgt über das standardmäßige
HTTP-Protokoll oder über das HTTPS-Protokoll. Dies vereinfacht den Einsatz von
Program Neighborhood Agent mit Firewalls, die Port 80 verwenden.
Sie können die Konfigurationseinstellungen von Program Neighborhood Agent
bearbeiten, um die Clients im Netzwerk dynamisch zu verwalten und zu steuern.
Beispiel: Sie können das Ändern bestimmter Einstellungen von Seiten der Benutzer
verhindern und bestimmte Program Neigborhood Agent-Einstellungen auf den
Clientgeräten aktivieren. Sie steuern die Eigenschaften für Program Neighborhood
Agent mit zwei Methoden:
•
Mit der Access Suite Console
•
Mit der Konfigurationsdatei Config.xml
Die Konsole stellt ein Tool zum Anzeigen und Ändern der aktuellen Einstellungen
bereit. Parameter und Werte der Datei Config.xml werden auf der Oberfläche
angezeigt. Sie ändern diese Einstellungen durch Auswahl von Optionen und
Eingabe von Werten in die Felder.
Weitere Informationen zur Konfiguration von Program Neighborhood Agent mit
der Konsole finden Sie unter „Konfigurieren von Sites mit der Access Suite
Console“ auf Seite 50. Ausführliche Informationen zur Installation und
Konfiguration von Program Neighborhood Agent finden Sie im Client für 32-BitWindows-Administratorhandbuch.
Nächste Schritte
Weitere Informationen zu Sicherheitsüberlegungen finden Sie in Kapitel 5 unter
„Konfigurieren der Webinterface-Sicherheit“ auf Seite 131.
KAPITEL 5
Konfigurieren der WebinterfaceSicherheit
Übersicht
Dieses Kapitel enthält Informationen zum Sichern von Daten in einer WebinterfaceUmgebung. Unter anderem werden folgende Themen behandelt:
•
Einführung in die Webinterface-Sicherheit
•
Sichern der Webinterface-Kommunikation
•
Sichern von Program Neighborhood Agent mit SSL
•
Kommunikation zwischen dem Webinterface-Server und MetaFrame
Presentation Server
•
Kommunikation zwischen der Clientsitzung und MetaFrame Presentation
Server
•
Allgemeine Sicherheitsüberlegungen
132
Einführung in die Webinterface-Sicherheit
Ein umfassender Sicherheitsplan muss den Schutz von Daten an allen Punkten im
Anwendungsbereitstellungsprozess berücksichtigen. Dieses Kapitel enthält eine
Beschreibung der Sicherheitsrisiken für das Webinterface und Empfehlungen für
die folgenden Kommunikationsverbindungen:
•
Kommunikation zwischen dem Clientgerät und dem Webinterface-Server:
Erläutert Risiken, die mit dem Übertragen von Webinterface-Daten zwischen
Browsern und Servern verbunden sind, und schlägt Strategien zum Sichern der
Daten vor, wenn diese übertragen und auf Clientgeräte geschrieben werden.
•
Kommunikation zwischen dem Webinterface-Server und MetaFrame
Presentation Server: Beschreibt das Sichern der Authentifizierung und der
Informationen zu veröffentlichten Anwendungen, die zwischen dem
Webinterface-Server und der MetaFrame-Farm ausgetauscht werden.
•
Kommunikation zwischen der Clientsitzung und MetaFrame Presentation
Server: Erläutert Risiken, die mit dem Übertragen von Clientsitzungsinformationen zwischen Clients und Servern verbunden sind, und beschreibt die
Implementierung der Webinterface- und MetaFrame-Sicherheitsfunktionen zum
Schutz dieser Daten.
In dieser Darstellung wird die Interaktion zwischen dem Server, auf dem MetaFrame
Presentation Server ausgeführt wird, und dem Webinterface-Server erläutert.
Kapitel 5 Konfigurieren der Webinterface-Sicherheit
133
Sicherheitsprotokolle und Citrix Sicherheitslösungen
In diesem Abschnitt werden einige der Sicherheitsprotokolle und der Citrix
Lösungen beschrieben, mit denen die Webinterface-Bereitstellung gesichert werden
kann. Der Abschnitt enthält einführende Informationen zu den SSL- und TLSSicherheitsprotokollen, Citrix SSL-Relay, Secure Gateway und der ICA-Verschlüsselung. Außerdem erhalten Sie Verweise zu weiteren Informationen über diese
Technologien.
SSL
Das SSL-Protokoll (Secure Sockets Layer) sichert die Datenkommunikation in
Netzwerken. SSL bietet Serverauthentifizierung, Verschlüsselung des Datenstroms
und Prüfung der Nachrichtenintegrität.
SSL verschlüsselt Nachrichten mit Kryptografie, authentifiziert die Identität und
gewährleistet die Integrität der Inhalte. Dies schützt vor Abhören, falschem
Weiterleiten und Datenmanipulation. SSL prüft die Identität mit Zertifikaten, die
öffentliche Schlüssel enthalten und von Zertifizierungsstellen ausgegeben werden.
Weitere Informationen zu SSL, Kryptografie und Zertifikaten finden Sie im
MetaFrame Presentation Server-Administratorhandbuch, im Citrix SSL-Relay für
UNIX-Administratorhandbuch und im Secure Gateway-Administratorhandbuch.
TLS
TLS (Transport Layer Security) ist die neueste, standardisierte Version des SSLProtokolls. Die Organisation IETF (Internet Engineering Taskforce) hat das Protokoll nach der Übernahme der Verantwortung für die Entwicklung von SSL als einen
offenen Standard in TLS umbenannt. TLS bietet wie SSL Serverauthentifizierung,
Verschlüsselung des Datenstroms und Prüfung der Nachrichtenintegrität.
Unterstützung für TLS Version 1.0 ist in Feature Release 2 von MetaFrame
Presentation Server enthalten. Da zwischen SSL Version 3.0 und TLS Version 1.0
nur geringfügige technische Unterschiede bestehen, können die Serverzertifikate,
die Sie für SSL in Ihrer Installation verwenden, auch für TLS eingesetzt werden.
Einige Organisationen, u. a. Behörden der US-Regierung, verlangen den Einsatz
von TLS zur Sicherung der Datenkommunikation. Diese Organisationen verlangen
ggf. auch die Verwendung überprüfter Kryptografie, wie z. B. FIPS 140. FIPS
(Federal Information Processing Standard) ist ein Kryptografiestandard.
Hinweis: Auf UNIX-Plattformen unterstützt das Webinterface SSL- bzw. TLSZertifikatschlüssel von maximal 2048 Bit.
134
Citrix SSL-Relay
Das Citrix SSL-Relay ist eine Komponente von MetaFrame Presentation Server,
die SSL zum Sichern der Kommunikation zwischen Webinterface-Servern und
Serverfarmen verwendet. Das Citrix SSL-Relay stellt Serverauthentifizierung,
Datenverschlüsselung und Nachrichtenintegrität für TCP/IP-Verbindungen zur
Verfügung. Das SSL-Relay wird durch den Citrix XTE-Dienst bereitgestellt.
Das Citrix SSL-Relay vermittelt die Kommunikation zwischen dem WebinterfaceServer und dem Citrix XML-Dienst. Bei Verwendung des Citrix SSL-Relays überprüft der Webserver zuerst die Identität des Citrix SSL-Relays, indem das Serverzertifikat des Relays mit einer Liste der vertrauenswürdigen Zertifizierungsstellen
verglichen wird.
Nach dieser Authentifizierung handeln der Webserver und das Citrix SSL-Relay
eine Verschlüsselungsmethode für die Sitzung aus. Der Webserver sendet dann alle
Informationsanfragen in verschlüsselter Form an das Citrix SSL-Relay. Das Citrix
SSL-Relay entschlüsselt die Anfragen und übergibt sie an den Citrix XML-Dienst.
Bei der Rückgabe der Informationen an den Webserver sendet der Server alle
Informationen über den Citrix SSL-Relay-Server, der die Daten verschlüsselt und
an den Webserver zur Entschlüsselung weiterleitet. Nachrichtenintegritätsprüfungen stellen sicher, dass die Kommunikation nicht manipuliert wurde.
Weitere Informationen zum Citrix SSL-Relay finden Sie im MetaFrame
Presentation Server-Administratorhandbuch oder im Citrix SSL-Relay für UNIXAdministratorhandbuch.
ICA-Verschlüsselung (Citrix SecureICA)
Mit der ICA-Verschlüsselung (Citrix SecureICA) können die zwischen einem
Server und einem Client übermittelten Informationen verschlüsselt werden. Für
unbefugte Benutzer ist es daher schwierig, eine verschlüsselte Übertragung zu
interpretieren.
ICA-Verschlüsselung sichert Vertraulichkeit und schützt vor einem möglichen
Abhören. Es bestehen jedoch weitere Sicherheitsrisiken und die Verwendung von
Verschlüsselung ist nur ein Aspekt einer umfassenden Sicherheitsrichtlinie. Im
Gegensatz zu SSL/TLS wird bei ICA-Verschlüsselung der Server nicht authentifiziert. Informationen könnten theoretisch im Netzwerk abgefangen und an einen
falschen Server weitergeleitet werden. Bei ICA-Verschlüsselung wird auch die
Integrität nicht überprüft.
ICA-Verschlüsselung steht nicht auf Servern mit MetaFrame Presentation Server
für UNIX zur Verfügung.
135
Secure Gateway
Secure Gateway stellt zusammen mit dem Webinterface einen einzigen sicheren,
verschlüsselten Zugangspunkt über das Internet zu Servern in internen
Unternehmensnetzwerken bereit.
Secure Gateway ist ein sicheres Internetgateway zwischen SSL/TLS-aktivierten
Clients und Servern. Die Datenübertragungen über das Internet zwischen den
Clientgeräten und dem Secure Gateway-Server werden mit SSL/TLS verschlüsselt.
Dies ermöglicht es dem Benutzer, ohne Gefährdung der Sicherheit remote auf
Informationen zuzugreifen. Secure Gateway vereinfacht auch die Zertifikatverwaltung, da nur der Secure Gateway-Server und nicht jeder Server in der Serverfarm ein Serverzertifikat benötigt.
In dieser Abbildung wird dargestellt, wie Secure Gateway die Kommunikation zwischen
SSL/TLS-aktivierten Clients und Servern sichert.
Weitere Informationen zu Secure Gateway finden Sie im Secure GatewayAdministratorhandbuch. Weitere Informationen zur Konfiguration des
Webinterface für Secure Gateway mit der Access Suite Console finden Sie unter
„Bearbeiten der Secure Gateway-Einstellungen“ auf Seite 82.
Sichern der Webinterface-Kommunikation
Bei der Verwendung des Webinterface können Sie die Kommunikation zwischen
Client und Server folgendermaßen sichern:
•
Weisen Sie Benutzer an, eine Verbindung zu Webinterface-Seiten mit HTTPS
(sicheres HTTP) herzustellen. Ein SSL-Zertifikat muss in IIS (InternetInformationsdienste) installiert sein, um eine sichere HTTP-Verbindung zu
ermöglichen.
•
Konfigurieren Sie Webinterface-Ticketing, um die direkte Kommunikation
zwischen den Clients und den Servern weiter zu sichern.
•
Konfigurieren Sie das Webinterface für die Verwendung des Citrix SSL-Relays
für die Verschlüsselung zwischen dem Webinterface-Server und den Servern.
136
Tipp: Sperren Sie Port 1494 und öffnen Sie Port 2598, um sicherzustellen, dass
nur ICA-Verbindungen, die SSL (normalerweise Port 443) verwenden, an der
Firewall zugelassen werden.
Wenn Sie die Kommunikation zwischen Program Neighborhood Agent und dem
Webinterface-Server mit SSL sichern möchten, legen Sie für die URLs in den
folgenden Parametern in der Datei Config.xml die Verwendung von HTTPS fest.
Möglicherweise sind nicht alle Parameter in Ihrer Version der Datei angegeben.
•
FolderDisplay/DesktopDisplay/Icon/Location
•
ConfigurationFile/Location
•
Request/Enumeration/Location
•
Request/Resource/Location
Wenn Sie die Verbindung zwischen Program Neighborhood Agent und dem Server
mit SSL sichern möchten, folgen Sie den unter „Verwalten des sicheren
Clientzugriffs“ auf Seite 80 angeführten Anweisungen zur Konfiguration des
Webinterface für SSL. Aktivieren Sie SSL aktivieren auf der Registerkarte
ICA-Clientoptionen im Dialogfeld für Anwendungseigenschaften in der
Managementkonsole.
Beispiel
Wenn die Zeile Request/Resource/Location <Location>http://
server3.eng.citrix.com/Citrix/PNAgent/launch.aspx</Location> lautet, ändern Sie
diese zu <Location>https://server3.eng.citrix.com/Citrix/PNAgent/launch.aspx
</Location>.
137
Kommunikation zwischen dem Clientgerät und dem
Webinterface-Server
Bei der Kommunikation zwischen MetaFrame Presentation Server-Clientgeräten
und dem Server, auf dem das Webinterface ausgeführt wird, werden verschiedene
Datentypen übergeben. Wenn sich der Benutzer identifiziert, nach Anwendungen
sucht und dann eine Anwendung für die Ausführung auswählt, tauschen der
Webbrowser und der Webserver Anmeldeinformationen, Anwendungsgruppenlisten und Dateien für die Sitzungsinitialisierung aus. Die folgenden Daten werden
im Rahmen dieser Übertragungen auf dem Netzwerk weitergeleitet:
•
HTML-Formulardaten: Webinterface-Sites übertragen die Anmeldeinformationen des Benutzers zum Anmeldezeitpunkt mithilfe eines HTML-Standardformulars vom Webbrowser an den Webserver. Das Webinterface-Formular
übergibt den Namen und die Anmeldeinformationen des Benutzers im Klartext.
•
HTML-Seiten und Sitzungscookies: Wenn der Benutzer Anmeldeinformationen auf der Seite Anmeldung eingegeben hat, werden die Anmeldeinformationen auf dem Webserver gespeichert und von einem Sitzungscookie
geschützt. Die HTML-Seiten, die vom Webserver an den Browser gesendet
werden, enthalten Anwendungsgruppen. Diese Seiten führen die Anwendungen
auf, die für den Benutzer verfügbar sind.
•
ICA-Dateien: Wenn der Benutzer eine Anwendung auswählt, sendet der
Webserver eine ICA-Datei für diese Anwendung an den Browser. Die ICADatei enthält ein Ticket, das für die Anmeldung am Server verwendet werden
kann (außer bei Smartcard-Authentifizierung). ICA-Dateien enthalten keine
Tickets zur Passthrough-Authentifizierung.
Risiken
Angreifer können Webinterface-Daten abfangen, wenn diese im Netzwerk
zwischen dem Webserver und dem Browser übertragen oder auf das Clientgerät
geschrieben werden:
•
Ein Angreifer kann Anmeldedaten, das Sitzungscookie und HTML-Seiten
abfangen, die zwischen dem Webserver und dem Webbrowser übermittelt
werden.
•
Zwar ist das vom Webinterface verwendete Sitzungscookie temporär und wird
entfernt, wenn der Benutzer den Webbrowser schließt; ein Angreifer mit Zugriff
auf den Webbrowser des Clientgeräts kann das Cookie jedoch abrufen und
möglicherweise die Anmeldeinformationen verwenden.
138
•
Die ICA-Datei enthält zwar keine Anmeldeinformationen aber ein Einmalticket, das standardmäßig nach 200 Sekunden ungültig wird. Ein Angreifer kann
theoretisch mit der abgefangenen ICA-Datei eine Verbindung zum Server
herstellen, bevor der autorisierte Benutzer mit dem Ticket eine Verbindung
herstellt.
•
Wenn Single Sign-On aktiviert ist, könnte ein Angreifer dem Benutzer eine
ICA-Datei übermitteln, die die Anmeldeinformationen des Benutzers an einen
nicht autorisierten oder falschen Server weiterleitet.
Empfehlungen
Die folgenden Empfehlungen kombinieren Sicherheitspraktiken gemäß dem
Industriestandard und von Citrix zur Verfügung gestellte Sicherheitsmaßnahmen,
um die Daten zu schützen, die zwischen Clientgeräten und dem Webserver
übertragen werden, sowie die Daten, die auf Clientgeräte geschrieben werden.
Implementieren SSL/TLS-aktivierter Webserver und Webbrowser
Das Sichern der Webserver-zu-Webbrowser-Komponente der WebinterfaceKommunikation beginnt mit dem Implementieren sicherer Webserver und
Webbrowser. Viele sichere Webserver verwenden die SSL/TLS-Technologie zum
Sichern des Webverkehrs.
In einer typischen Webserver-zu-Webbrowser-Transaktion überprüft der
Webbrowser zuerst die Identität des Webservers, indem er das Zertifikat des Webservers mit einer Liste der vertrauenswürdigen Zertifizierungsstellen vergleicht.
Nach dieser Überprüfung verschlüsselt der Webbrowser Seitenanfragen des Benutzers und entschlüsselt dann die Dokumente, die vom Webserver zurückgegeben
werden. Am Ende der Transaktion stellen TLS- oder SSL-Nachrichtenintegritätsprüfungen sicher, dass die Daten bei der Übertragung nicht manipuliert wurden.
In einer Webinterface-Bereitstellung wird durch Authentifizierung und
Verschlüsselung mit SSL/TLS eine sichere Verbindung hergestellt, über die der
Benutzer Anmeldeinformationen übergeben kann, die auf der Seite Anmelden
eingegeben werden. Daten, die vom Webserver gesendet werden, einschließlich des
Cookies mit den Anmeldeinformationen, der ICA-Dateien und der HTMLAnwedungslistenseiten, sind gleichfalls sicher.
Zur Implementierung der SSL/TLS-Technologie im Netzwerk sind ein
SSL/TLS-aktivierter Webserver und SSL/TLS-aktivierte Webbrowser erforderlich.
Die Verwendung dieser Produkte ist für das Webinterface transparent. Webserver
oder Webbrowser müssen nicht für das Webinterface konfiguriert werden. Weitere
Informationen zur Konfiguration des Webservers für die Unterstützung von
SSL/TLS finden Sie in der Webserverdokumentation.
139
Wichtig: Viele SSL/TLS-aktivierte Webserver verwenden den TCP/IP-Port 443
für die HTTP-Kommunikation. Standardmäßig verwendet das Citrix SSL-Relay
ebenfalls diesen Port. Wenn der Webserver gleichzeitig ein Server ist, auf dem das
Citrix SSL-Relay ausgeführt wird, stellen Sie sicher, dass der Webserver oder das
Citrix SSL-Relay einen anderen Port verwendet.
Deaktivieren der Passthrough-Authentifizierung
Passthrough-Authentifizierung darf in einer sicheren Installation nicht aktiviert
werden, um ein mögliches Weiterleiten der Anmeldeinformationen der Benutzer an
einen nicht autorisierten oder falschen Server zu verhindern. Aktivieren Sie diese
Funktion nur in einem kleinen, vertrauenswürdigen Umfeld.
Kommunikation zwischen dem Webinterface-Server und
Bei der Kommunikation zwischen dem Server und dem Webinterface-Server in
einer Webinterface-Bereitstellung werden Anmeldeinformationen der Benutzer und
Anwendungsgruppeninformationen zwischen den Webinterface-Klassen auf dem
Server und dem Citrix XML-Dienst in der MetaFrame-Farm übergeben.
In einer typischen Webinterface-Sitzung übergeben die Klassen für die Benutzerauthentifizierung Anmeldeinformationen an den Citrix XML-Dienst und der Citrix
XML-Dienst gibt Anwendungsgruppeninformationen zurück. Der Server und die
MetaFrame-Farm übergeben die Informationen mit einer TCP/IP-Verbindung und
dem Citrix XML-Protokoll.
Risiken
Das Webinterface-XML-Protokoll verwendet Klartext für den Austausch aller
Daten mit Ausnahme von Kennwörtern, die in schwach verschlüsselter Form
übergeben werden. Die XML-Kommunikation bietet folgende Schwachstellen:
•
Ein Angreifer kann den XML-Verkehr abfangen und auf diese Weise
Anwendungsgruppeninformationen und Tickets erhalten. Ein Angreifer mit der
Fähigkeit, die schwache Verschlüsselung aufzulösen, kann außerdem
Anmeldeinformationen erhalten.
•
Ein Angreifer kann die Identität des Servers annehmen und Authentifizierungsanfragen abfangen.
140
Empfehlungen
Citrix empfiehlt die Implementierung einer der folgenden Sicherheitsmaßnahmen
zum Sichern der XML-Datenübertragungen zwischen dem Webserver und der
Serverfarm:
•
Verwenden Sie das Citrix SSL-Relay als Sicherheitsbarriere zwischen dem
Webserver und der Serverfarm. Das Citrix SSL-Relay führt die
Hostauthentifizierung und Datenverschlüsselung aus.
•
Führen Sie in Bereitstellungen, die das Ausführen des Citrix SSL-Relays nicht
unterstützen, den Webinterface-Server auf dem Server aus, auf dem MetaFrame
Presentation Server ausgeführt wird.
•
Verwenden Sie das HTTPS-Protokoll für das Übermitteln von WebinterfaceDaten über eine sichere HTTP-Verbindung mit SSL, wenn IIS für einen anderen
Zweck auf dem Server installiert ist.
Verwenden des Citrix SSL-Relays
Das Citrix SSL-Relay ist eine Standardkomponente von MetaFrame Presentation
Server. Auf MetaFrame 1.8-Servern müssen Sie Citrix MetaFrame 1.8 Service Pack
2 oder höher installieren, um das Citrix SSL-Relay verwenden zu können. Auf
MetaFrame 1.1 für UNIX müssen Sie Feature Release 1 oder höher für das
Verwenden des Citrix SSL-Relays installieren. Zusätzlich muss eine Lizenz für
Feature Release 1 auf allen Servern mit MetaFrame 1.8 oder MetaFrame
Presentation Server für UNIX installiert und aktiviert sein.
Auf der Serverseite müssen Sie ein Serverzertifikat auf dem Citrix SSL-RelayServer installieren und die Konfiguration des Citrix SSL-Relay-Servers überprüfen.
Weitere Informationen zum Installieren von Serverzertifikaten und Konfigurieren
des Citrix SSL-Relays auf Servern finden Sie im MetaFrame Presentation ServerAdministratorhandbuch. Sie finden zusätzliche Informationen in der Onlinehilfe für
das Citrix SSL-Relay-Konfigurationstool. Informationen zu Servern mit
MetaFrame Presentation Server für UNIX finden Sie im Citrix SSL-Relay für
UNIX-Administratorhandbuch.
Stellen Sie bei der Konfiguration des Citrix SSL-Relays sicher, dass der Citrix SSLRelay-Server die Weiterleitung von SSL-Datenübertragungen an die Server zulässt,
die Sie als Kontaktpunkt für den Citrix XML-Dienst verwenden. Standardmäßig
leitet das Citrix SSL-Relay den Datenverkehr nur an den Server weiter, auf dem das
Relay installiert ist. Das Citrix SSL-Relay kann jedoch für das Weiterleiten von
Datenverkehr an andere Server konfiguriert werden. Wenn das Citrix SSL-Relay
auf einem Gerät installiert ist, an das Sie keine Webinterface-Daten senden
möchten, vergewissern Sie sich, dass der Server, an den Sie Webinterface-Daten
weiterleiten möchten, in der Serverliste des Citrix SSL-Relays aufgeführt ist.
141
Sie können das Webinterface für die Verwendung des Citrix SSL-Relays mit der
Access Suite Console oder der Datei WebInterface.conf konfigurieren. Weitere
Informationen zur Verwendung der Konsole finden Sie unter „Verwalten von
Serverfarmen“ auf Seite 54.
So konfigurieren Sie das Webinterface für die Verwendung des Citrix SSLRelays mit der Datei WebInterface.conf:
2. Ändern Sie die Einstellung SSLRelayPort im Parameter Farm<n> zur
Portnummer des Citrix SSL-Relays auf dem Server.
3. Ändern Sie den Wert der Einstellung Transport im Parameter Farm<n> zu
SSL.
Tipp: Ein Beispiel dafür, wie Sie das Webinterface für die Verwendung des Citrix
SSL-Relays mit der Datei WebInterface.conf konfigurieren, finden Sie unter
„Konfigurieren der Citrix SSL-Relay-Kommunikation“ auf Seite 122.
Hinzufügen von Zertifikaten auf dem Webinterface-Server
Unter UNIX enthält das Webinterface systemeigene Unterstützung für die
folgenden Zertifizierungsstellen:
•
VeriSign, Inc., http://www.verisign.com
•
Baltimore Technologies, http://www.baltimore.com
Wenn Sie Unterstützung für andere Zertifizierungsstellen hinzufügen möchten,
müssen Sie dem Webinterface-Server das Stammzertifikat der betreffenden
Zertifizierungsstelle hinzufügen.
So fügen Sie dem Webinterface-Server ein neues Stammzertifikat hinzu:
1. Kopieren Sie das Stammzertifikat auf den Webserver.
•
Unter Windows wird das Zertifikat mit dem Snap-In Zertifikate der
Microsoft Management Console (MMC) kopiert.
•
Kopieren Sie das Zertifikat auf UNIX-Geräten in das Verzeichnis ./cacerts.
Informationen zu Zertifikaten finden Sie im Installationskapitel im MetaFrame
Presentation Server-Administratorhandbuch. Informationen zu Servern mit
MetaFrame Presentation Server für UNIX finden Sie im Citrix SSL-Relay für
UNIX-Administratorhandbuch.
142
Aktivieren des Webinterface-Servers auf dem MetaFrame-Server
In Bereitstellungen, die das Ausführen des Citrix SSL-Relays nicht unterstützen,
kann ein Netzwerkangriff verhindert werden, indem ein Webserver auf dem Server
ausgeführt wird, der die Webinterface-Daten zur Verfügung stellt. Wenn Sie die
Webinterface-Sites auf einem solchen Webserver hosten, werden alle WebinterfaceAnfragen an den Citrix XML-Dienst auf dem lokalen Host geroutet; auf diese
Weise entfällt die Übertragung von Webinterface-Daten über das Netzwerk.
Die Vorteile, die sich aus dem Wegfall der Netzwerkübertragung ergeben, müssen
gegen das Risiko von Angriffen auf den Webserver abgewogen werden.
Hinweis: Bei der Installation von MetaFrame Presentation Server-Systemen
können Sie erzwingen, dass der Citrix XML-Dienst denselben TCP/IP-Port wie IIS
verwendet. Wenn Sie diese Portfreigabe aktivieren, verwenden der Citrix XMLDienst und der Webserver standardmäßig denselben Port.
Als Mindestsicherung können Sie sowohl den Webserver als auch den MetaFrameServer hinter einer Firewall einrichten, damit die Kommunikation zwischen den
Servern nicht im Internet offenbart wird. In diesem Szenario müssen die Clientgeräte in der Lage sein, durch die Firewall mit dem Webserver und dem
MetaFrame-Server zu kommunizieren. Die Firewall muss HTTP-Datenübertragungen für die Kommunikation zwischen Clientgerät und Webserver zulassen
(meist über den HTTP-Standardport 80 oder 443, wenn ein sicherer Webserver
verwendet wird). Für die Kommunikation zwischen Clients und Servern muss die
Firewall eingehende ICA-Datenübertragungen an den Ports 1494 und 2598
zulassen. Weitere Informationen zur Verwendung von ICA mit Netzwerkfirewalls
finden Sie in der Serverdokumentation.
Weitere Informationen zur Verwendung des Webinterface mit der Netzwerkadressübersetzung finden Sie im Handbuch Customizing the Web Interface.
Verwenden des HTTPS-Protokolls
Sie können mit dem HTTPS-Protokoll die zwischen dem Webserver und dem
MetaFrame-Server übergebenen Webinterface-Daten sichern. HTTPS bietet mit
SSL/TLS starke Verschlüsselung der Daten.
Der Webserver stellt eine HTTPS-Verbindung zu IIS auf dem MetaFrame-Server
her. Hierfür ist die IIS-Portfreigabe auf dem MetaFrame-Server und das Aktivieren
von SSL für den auf dem MetaFrame-Server ausgeführten IIS erforderlich. Der
Servername, den Sie mit der Konsole oder in der Datei WebInterface.conf im
Parameter Farm festlegen, muss ein vollqualifizierter DNS-Name sein, der dem
Namen auf dem SSL-Serverzertifikat von IIS entspricht. Die Adresse des Citrix
XML-Dienstes lautet:
https://<Servername>/scripts/wpnbr.dll.
143
Weitere Informationen zur Konfiguration des Webinterface für die Verwendung des
HTTPS-Protokolls mit der Access Suite Console finden Sie unter „Verwalten des
sicheren Clientzugriffs“ auf Seite 80.
So konfigurieren Sie das Webinterface für die Verwendung von HTTPS mit
der Datei WebInterface.conf:
2. Ändern Sie den Wert der Einstellung Transport im Parameter Farm<n> zu
HTTPS.
Kommunikation zwischen der Clientsitzung und MetaFrame
Presentation Server
Bei der Webinterface-Kommunikation zwischen Clientgeräten und Servern werden
verschiedene Typen von Clientsitzungsdaten übergeben, einschließlich
Initialisierungsanfragen und Clientsitzungsinformationen.
•
Initialisierungsanfragen: In der ersten Phase beim Herstellen einer Clientsitzung, die Initialisierung genannt wird, fordert der Client eine Clientsitzung an
und übergibt eine Liste der Konfigurationsparameter für die Sitzung. Diese
Parameter steuern zahlreiche Aspekte der Clientsitzung, u. a. welcher Benutzer
angemeldet wird, die Größe des angezeigten Fensters und das in der Sitzung
ausgeführte Programm.
•
Clientsitzungsinformationen: Nach der Clientsitzungsinitialisierung übergibt
der Client Tastatur- und Mauseingaben des Benutzers als grafische
Aktualisierungen des Benutzerclients an den Server.
Risiken
Um die Netzwerkkommunikation zwischen dem Client und dem Server abzufangen
und zu interpretieren, muss ein Angreifer in der Lage sein, das binäre Clientprotokoll zu entschlüsseln. Ein Angreifer, der das binäre Clientprotokoll kennt,
kann folgende Informationen abfangen:
•
Informationen zu den Initialisierungsanforderungen, die vom Client gesendet
werden, einschließlich der Anmeldeinformationen
•
Clientsitzungsinformationen, einschließlich des vom Benutzer eingegebenen
Texts und der vom Benutzer eingegebenen Mausklicks, sowie Bildschirmaktualisierungen, die vom Server gesendet werden
144
Empfehlungen
Verwenden von SSL/TLS- oder ICA-Verschlüsselung
Citrix empfiehlt die Implementierung von SSL/TLS- oder ICA-Verschlüsselung
zum Sichern der Datenübertragungen zwischen den Clients und den Servern. Beide
Verfahren unterstützen die Verschlüsselung des Datenstroms zwischen dem Client
und dem Server mit 128 Bit. SSL/TLS unterstützt außerdem die Überprüfung der
Identität des Servers.
Unterstützung für SSL ist in Feature Release 1 für MetaFrame XP oder höher und
Feature Release 1 für MetaFrame für UNIX oder höher enthalten.
SSL/TLS wird von Feature Release 2 für MetaFrame XP oder höher unterstützt.
Unterstützung für ICA-Verschlüsselung ist in Feature Release 1 für MetaFrame 1.8
und MetaFrame Presentation Server oder höher enthalten.
Informationen darüber, welche Clients welche Verfahren unterstützen, finden Sie in
der Clientdokumentation oder auf der Citrix Download-Website. Weitere
Informationen zur ICA-Verschlüsselung finden Sie im MetaFrame Presentation
Verwenden von Secure Gateway
Mit Secure Gateway können Sie die Datenübertragung über das Internet zwischen
den Clients und den Servern sichern. Secure Gateway ist ein sicheres Internetgateway zwischen SSL/TLS-aktivierten Clients und Servern.
Weitere Informationen zu Secure Gateway finden Sie im Secure GatewayAdministratorhandbuch. Weitere Informationen zur Konfiguration des
Webinterface für Secure Gateway mit der Access Suite Console finden Sie unter
„Konfigurieren der Secure Gateway-Unterstützung“ auf Seite 122.
Allgemeine Sicherheitsüberlegungen
Citrix empfiehlt, dass Sie genauso wie bei jedem Windows-basierten Server die
Microsoft Standardrichtlinien für die Konfiguration des Windows-Servers
einhalten.
Stellen Sie sicher, dass für alle Komponenten immer die neuesten Patches installiert
sind. Weitere Details und die neuesten Download-Empfehlungen finden Sie auf der
Microsoft-Website unter http://support.microsoft.com.
KAPITEL 6
Verwenden von Program
Neighborhood Agent
Übersicht
In diesem Kapitel wird Program Neighborhood Agent und die Konfiguration dieser
Funktion mit der Datei Config.xml erläutert. Unter anderem werden folgende
Themen behandelt:
•
•
Konfigurieren des Webinterface mit der Access Suite Console
•
Verwenden der Datei Config.xml
•
Konfigurieren des Webinterface mit Program Neighborhood Agent
•
146
Mithilfe von Program Neighborhood Agent können Benutzer auf veröffentlichte
Anwendungen direkt vom Windows-Desktop ohne einen Webbrowser zugreifen.
Sie können remote konfigurieren, dass Links zu veröffentlichten Anwendungen im
Startmenü, auf dem Windows-Desktop oder im Windows-Infobereich erstellt
werden. Die Oberfläche von Program Neighborhood Agent kann auch „gesperrt“
werden, um eine falsche Konfiguration von Seiten der Benutzer zu verhindern. Sie
können Program Neighborhood Agent sowohl mit der Access Suite Console als
auch mit der Datei Config.xml konfigurieren.
Aus Sicherheitsgründen können sich Benutzer nicht über Program Neighborhood
Agent anmelden, wenn das Webinterface RSASecurID-Authentifizierung
verwendet.
Konfigurieren des Webinterface mit der Access Suite Console
Program Neighborhood Agent ist mit standardmäßigen Präsentationseinstellungen,
Authentifizierungsmethoden und Serververbindungsoptionen konfiguriert. Mit der
Access Suite Console können die Standardeinstellungen so eingestellt werden, dass
Benutzer bestimmte Optionen nicht ändern können.
Mit der Konsole können Sie mehrere Konfigurationsdateien erstellen, die in
demselben Verzeichnis auf dem Webinterface-Server gespeichert werden. Sie
können Konfigurationsdateien erstellen und löschen und Werte von einer
bestimmten Konfigurationsdatei laden oder in einer bestimmten Konfigurationsdatei speichern. Die Konsole zeigt an, welche Konfigurationsdatei jeweils zurzeit
geladen ist. Die Standardkonfigurationsdatei ist Config.xml.
Weitere Informationen zur Verwendung der Konsole finden Sie unter
„Konfigurieren von Sites mit der Access Suite Console“ auf Seite 50.
Verwenden der Datei Config.xml
Sie können Program Neighborhood Agent auch mit der Datei Config.xml
konfigurieren, die sich im Verzeichnis wwwroot\Citrix\PNAgent auf dem
Webinterface-Server befindet.
Die Datei Config.xml enthält zahlreiche Parameter, die in acht Kategorien
unterteilt sind:
Kapitel 6 Verwenden von Program Neighborhood Agent
147
•
FolderDisplay: Gibt an, wo Anwendungssymbole angezeigt werden: im
Startmenü, auf dem Windows-Desktop oder im Infobereich. Sie können auch
mit zusätzlichen Parametern einen bestimmten Ordner im Startmenü und die auf
dem Windows-Desktop zu verwendeten Symbole angeben. Diese Parameter
entsprechen den Optionen auf der Registerkarte Anwendungsanzeige im
Dialogfeld Program Neigborhood Agent - Eigenschaften.
•
DesktopIntegration: Bearbeiten Sie diesen Parameter nicht.
•
ConfigurationFile: Ermöglicht die Angabe einer anderen URL für die Datei
Config.xml des zukünftig verwendeten Clients. Dies vereinfacht ein Verlagern
der Benutzer auf einen anderen Webinterface-Server.
•
Request: Gibt an, von welcher Stelle der Client die Informationen zu
veröffentlichten Anwendungen anfordert und wie oft die Informationen
aktualisiert werden.
•
Logon: Gibt die verwendete Anmeldemethode an.
•
UserInterface: Gibt an, ob für den Benutzer bestimmte Optionen in der
Program Neighborhood Agent-Oberfläche ein- oder ausgeblendet werden.
•
FileCleanup: Bearbeiten Sie diesen Parameter nicht.
•
ICA_Options: Gibt die Audio- und Videooptionen für die Clientverbindungen
an. Dieser Parameter entspricht den Optionen auf der Registerkarte ICAOptionen im Dialogfeld Program Neighborhood Agent - Eigenschaften.
Weitere Informationen zum Verwenden der Datei Config.xml finden Sie im
Client für 32-Bit-Windows-Administratorhandbuch.
Konfigurieren des Webinterface mit Program Neighborhood
Agent
Bestimmte Einstellungen in der Datei WebInterface.conf wirken sich auf die
Überprüfung der Anfragen von Program Neighborhood Agent aus. Citrix
empfiehlt, dass die Einstellungen in der Datei WebInterface.conf mit den
Einstellungen der Datei Config.xml in Program Neighborhood Agent
übereinstimmen.
In diesem Abschnitt wird die Konfiguration der Einstellungen in der Datei
WebInterface.conf mit Program Neighborhood Agent erläutert.
So konfigurieren Sie das Webinterface bei Verwendung von Program
Neighborhood Agent:
2. Suchen Sie die folgenden Parameter:
148
•
•
ForceLoginDomain
•
LoginType
•
NDSTreeName
Die folgende Tabelle erläutert die Parameter (in alphabetischer Reihenfolge),
die Werte, die sich auf die Einstellungen von Program Neighborhood Agent
auswirken, und die empfohlenen Einstellungen:
Parameter
Wert
Empfohlene Einstellung
Nicht
zutreffend
Verwenden Sie dieselbe Authentifizierungsmethode, die
im Webinterface konfiguriert wurde. Die
Authentifizierung schlägt fehl, wenn sich diese Methode
von der in Config.xml unterscheidet.
ForceLoginDomain
Nicht
zutreffend
Dieses Feld verhindert, dass sich Benutzer von
Program Neighborhood Agent mit einer anderen
Domäne authentifizieren können.
LoginType
NDS
NDS muss in der Datei Config.xml aktiviert sein.
NDSTreeName
Nicht
zutreffend
Der Parameter DefaultTree im Abschnitt Logon der
Datei Config.xml muss dieselbe Einstellung haben.
3. Starten Sie den Webinterface-Server neu, um die Änderungen zu übernehmen.
Weitere Informationen zu den Einstellungen in der Datei Config.xml finden Sie im
Client für 32-Bit-Windows-Administratorhandbuch. Weitere Informationen zu den
Einstellungen in der Datei WebInterface.conf finden Sie unter „Konfigurieren des
Webinterface mit der Konfigurationsdatei“ auf Seite 105.
Wenn Sie die Kommunikation zwischen Program Neighborhood Agent und dem
Webinterface-Server mit SSL sichern möchten, legen Sie für die URLs in den
folgenden Parametern in der Datei Config.xml die Verwendung von HTTPS fest.
Möglicherweise sind nicht alle Parameter in Ihrer Version der Datei angegeben.
•
FolderDisplay/DesktopDisplay/Icon/Location
•
ConfigurationFile/Location
•
Request/Enumeration/Location
•
Request/Resource/Location
Kapitel 6 Verwenden von Program Neighborhood Agent
149
Wenn Sie die Verbindung zwischen Program Neighborhood Agent und dem Server
mit SSL sichern möchten, folgen Sie den unter „Verwalten des sicheren
Clientzugriffs“ auf Seite 80 angeführten Anweisungen zur Konfiguration des
Webinterface für SSL. Aktivieren Sie SSL aktivieren auf der Registerkarte
ICA-Clientoptionen im Dialogfeld für Anwendungseigenschaften in der
Managementkonsole.
Beispiel
Wenn die Zeile Request/Resource/Location <Location>http://
server3.eng.citrix.com/Citrix/PNAgent/launch.aspx</Location> lautet, ändern Sie
diese zu <Location>https://server3.eng.citrix.com/Citrix/PNAgent/launch.aspx
</Location>.
150
151
Index
A
C
Access Suite Console 48
Erste Schritte 51
Informationen 48
Verwenden 50
Acrobat Reader
Anforderungen 11
Adressübersetzung
Bearbeiten 84
Konfigurieren 80
Zuordnung 84
Aktualisieren 32
Anmeldeseite
Festlegen als Standard 123
Anonyme Authentifizierung 61
Sicherheitsüberlegungen 61
Anwendungsaktualisierung
Optionen 99
Anwendungsgruppen 20
Anwendungsverknüpfungen
Verwalten 78
Anwendungsveröffentlichung 19
Appsrv.ini-Datei
Bearbeitung für Passthrough 67
Bearbeitung zur Unterstützung von Smartcards 63
Authentifizierung
Anonym 61
Empfehlungen 61
Explizit 60, 68
Konfigurieren 60
Methoden 60
Passthrough 60, 66
Passthrough mit Smartcard 60
Smartcard 61
Zugriff bestätigen 60, 68
Zwei-Faktor 69
Citrix SSL-Relay
Konfigurieren des Webinterface 58, 122
siehe auch SSL
Übersicht 134
Citrix XML-Dienst
Anzeigen der Portzuordnung 32
Konfigurieren der Fehlertoleranz 56
Konfigurieren der Kommunikation 121
Rolle im Webinterface 20
TCP/IP-Portkonfiguration 57
Client für Java
Bereitstellung von Komponenten 90
Übersicht 129
Verwenden von privaten Stammzertifikaten 92
Client für Win32
Automatisches Bereitstellen 87
Installationsdateien 127
Konfiguration für Passthrough 67
Konfiguration zur Unterstützung von Smartcards 63
Program Neighborhood Agent 130
Clientbereitstellung
Verwalten 85
Clientdateien
Kopieren auf den Server 126
Clientgeräte
Anforderungen 31
Sicherheit 137, 143
Clientinstallation 89
Clientkonfigurationsdateien
Verwalten 98
Clients
Anpassen durch den Benutzer 96
Bereitstellen mit benutzerdefinierten Zertifikaten 92
Downloadeinstellungen 89
Installieren 89
Clientseitige Proxyeinstellungen
Bearbeiten 94
Config.xml 49, 130
Informationen 146
Cookies 137
B
Bandbreitensteuerung 97
Befehlszeile 38
Benutzeranforderungen 30
152
D
I
Darstellung für den Benutzer
Anpassen 79
Deinstallieren 46
Deinstallieren von Sites 104
Dell Axim
Anforderungen 30
Diagnoseprotokollierung
Steuern 103
Discovery 51
DMZ-Einstellungen
Bearbeiten 81
Dokumentation
Andere Quellen 10
Domänenbasierte Authentifizierung von Microsoft 69
Durchführen der Discovery 41, 51
Durchführen und Konfigurieren von Discovery 41, 51
ICA-Dateien 137
ICA-Dateien in Unicode 90
ICA-Verschlüsselung 134, 144
Inhaltsveröffentlichung 14
Initialisierung 143
Installationsmeldungen 89, 126, 128
Installieren
Befehlszeile verwenden 38
Übersicht 31
UNIX-Plattformen 36
Windows 34
Internet-Informationsdienste
Anforderungen 28
E
JavaServer Pages 49
Einstellungen für Clientverbindungen
Verwalten 96
Erstellen von Sites 42, 52
Erweiterte Servereinstellungen 59
Explizite Authentifizierung 60
K
F
Fehlermeldungen
Deaktivieren 123
Fehlertoleranz
Konfigurieren 56, 83
Firewall
Konfigurieren der Adressübersetzung 80
G
Gültigkeitsdauer
Tickets 57
H
Hilfe
Anzeigen 50
HTTP 58
HTTPS 58
HTTPS-Protokoll 142
J
Kennwort
Ändern durch Benutzer 68
Klassen 20
Komponenten-CD-ROM 31
Konfigurationsdateien
Exportieren 105
Importieren 105
Konfigurieren
Verwenden der Access Suite Console 48
Kontextsensitive Hilfe 50
L
Legacy-Unterstützung 90
Leistungsaspekte 33
Load Balancing
XML-Anforderungen 56
Zwischen Secure Ticket Authorities 83
Load Balancing für Sites 103
Index
M
R
MetaFrame Conferencing Manager
Konfigurieren unter UNIX 37
MetaFrame Conferencing Manager-Gastteilnehmersites
13
UNIX-Konfigurationsanforderungen 27
MetaFrame Presentation Server für UNIX
Ermitteln der Ports für den Citrix XML-Dienst 33
MetaFrame Presentation Server-Sites 12
Readme-Datei 10
Remotedesktopverbindung
Anforderungen 86
Zone „Vertrauenswürdige Sites“ 86
Reparieren von Sites 104
Reparieren, Option 45
RSA SecurID
Authentifizierung 68
PASSCODES 69
Tokencodes 69
N
NDS
Authentifizierung 25, 69
Unterstützung 13
Netzwerkadressübersetzung 80
Novell Directory Services
siehe NDS
O
Onlinehilfe 50
P
Passthrough
Konfigurieren 66
Passthrough mit Smartcard 60
Passthrough-Authentifizierung 60
Personal Digital Assistants
Anforderungen 30
Unterstützte Konfigurationen 30
Private Stammzertifikate 92
Problembehandlung
Installieren 45
Program Neighborhood Agent 130
Config.xml 146
Informationen 130
Konfiguration 49
Konfigurationseinstellungen 120
Konfigurieren 146
Sichern 136, 148
Program Neighborhood Agent-Dienste-Sites 13
S
Safari
Anforderungen 30
SafeWord
Secure Gateway
Informationen 135
Konfigurationsbeispiel 122
Konfigurieren des Webinterface 82
Ticketing 82
Zwischen Clients und MetaFrame Presentation
Server 144
Secure Sockets Layer
siehe SSL
Secure Ticket Authority 82
SecureICA
siehe ICA-Verschlüsselung
Server
Konfigurieren der Kommunikation 121
Sicherheit 138
Skripts 49
Servereinstellungen
Erweiterte festlegen 59
Verwalten 79
Serverfarmen
Angeben von Einstellungen für alle Server 58
Entfernen 56
Erstellen 55
Überlegungen zur Kennwortänderung 55
Verwalten 54
Sichere Clientzugriffseinstellungen
Anzeigen 84
Sicherer Clientzugriff 80
153
154
Sicherheit 131
Allgemeine Überlegungen 144
Anonyme Authentifizierung 61
Citrix SSL-Relay
ICA-Verschlüsselung 134
Installieren des Webinterface 32
Kommunikation zwischen Client und Server 135
Konfigurieren des Citrix SSL-Relays 140
Netzwerkkommunikation 137, 139
Client und Server 143
Protokolle und Citrix Lösungen 133
Secure Gateway 135
Server 144
SSL
Hinzufügen von Zertifikaten 141
Webserver und Webbrowser 138
Server 144
TLS
Übersicht 133
Webserver und Webbrowser 138
Server 144
Sichern des Webinterface 135
Sitekonfiguration 44
Sites
Angeben der Konfiguration 44
Deinstallieren 104
Erstellen 42, 52
Erstellen unter UNIX 43
Konfiguration mit der Access Suite Console 50
Load Balancing 103
Reparieren 104
Sitetasks
Lokale Verwendung 104
Verwenden 44
Sitetyp 52
Sitzungen
siehe Clientsitzungen
Sitzungsoptionen
Ändern 77
Smartcard
Aktivieren 62
Anforderungen 62
Informationen 61
Konfigurationsbeispiel 65
Socketpooling
Aktivieren 59
Sprachpakete 39
SSL
Hinzufügen von Zertifikaten 141
Konfigurieren des Citrix SSL-Relays 140
Secure Gateway 82
Sichere Webserver 138
siehe Citrix SSL-Relay
Übersicht 133
Unterstützung
Zertifikatschlüssellänge 133
Server 144
Systemanforderungen 24–31
Clientgeräte 31
Webserver 28
T
Tasks
Ausführen 53
Tasks für lokale Sites 104
Ticketing 15, 137
Konfigurieren der Gültigkeitsdauer von Tickets 57
Secure Gateway 82
TLS
Secure Gateway 82
Sichere Webserver 138
Übersicht 133
Server 144
U
UNIX-Plattformen
Installieren 36
UPN
Einschränken von Suffixen 69
Unterstützung
User Principal Name
siehe UPN
V
Veröffentlichen von Anwendungen 19
Veröffentlichen von Inhalten 14
Verzeichnisdienst-Zuordnungsprogramm von Windows
63
W
Webbasierte Clientinstallation 21
Kopieren von Clients auf den Server 126
Webclient
Bereitstellen 87
Webinterface
Ausführen auf einem Server 142
Bereitstellen für Benutzer 123
Einführung 12
Funktionen 12
Funktionsweise 21
Konfigurieren 48, 122
Konfigurieren mit Program Neighborhood Agent 147
Übersicht 21
WebInterface.conf
Informationen 48
Parameter 106
Webserver
Anforderungen 28
Windows-Authentifizierung 69
Windows-basierte Terminals 30
Windows-Plattformen
Installieren 34
Workspace Control
Abmeldeverhalten 102
Aktivieren 101
Anforderungen 100
Automatische Wiederverbindung 102
Informationen 99
Integrierte Authentifizierung 100
Wiederverbindungsoption 102
Z
Zugriff bestätigen für Authentifizierung 60
Zwei-Faktor-Authentifizierung 69
Index
155

Webinterface-Administratorhandbuch

Transcription

Similar documents

Webinterface-Administratorhandbuch

Ein Einführungskurs

ecke turmstraße - Aktives Stadtzentrum Turmstraße

Literaturbericht Nr. 4 - Die Luftverteidigung der DDR bis 1990

LANDesk® Inventory Manager 9

Citrix Receiver für Windows 3.0

Receiver für Java 10

markenpräsentation pullman deutschland - pullman

Online Plug-in für Windows 12.1