Authentification Kerberos
Pris en charge sur : Toutes les plates-formes Citrix Workspace prises en charge
Description
Utilisez cette stratégie pour contrôler la façon dont le client utilise Kerberos pour authentifier l'utilisateur auprès de l'application ou du bureau distant. Lorsqu'elle est activée, cette stratégie permet au client d'authentifier l'utilisateur qui utilise le procotole Kerberos. Kerberos est une transaction d'authentification autorisée par le contrôleur de domaine qui évite le besoin de transmettre les informations d'identification de l'utilisateur au serveur. Lorsqu'elle est désactivée, le client ne réalisera pas d'authentification Kerberos. Dépannage : La machine exécutant le client et le serveur exécutant l'application distante doivent résider dans des domaines disposant d'une relation d'approbation. Le contrôleur de domaine doit savoir que le serveur Citrix XenApp va réaliser une ouverture de session à l'aide du nom d'utilisateur complet (ouverture de session interactive) à l'aide de Kerberos. Vous pouvez configurer ceci à l'aide des paramètres « Faire confiance à l'authentification déléguée » sur le contrôleur de domaine. Lors de la connexion à l'aide de l'Interface Web, le serveur Interface Web doit savoir que le client va se connecter à l'aide de l'authentification Kerberos. Cela est nécessaire car le serveur Interface Web utilise par défaut une adresse IP pour le serveur de destination alors que l'authentification Kerberos requiert un nom de domaine complet. Les machines client et serveur doivent avoir enregistré correctement les entrées DNS. Cela est nécessaire car les points de terminaison s'authentifieront l'un l'autre durant la connexion.
Registre
Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Logon\Kerberos Nom de valeur : SSPIEnabled
Activé : SSPIEnabled = true,false
Désactivé : SSPIEnabled = false
Cette stratégie définit plusieurs valeurs de registre :
SSOnUserSetting Local Credentials SSOnUserSetting = true,false EnableSSOnThruICAFile Local Credentials EnableSSOnThruICAFile = true REG Builder
BETAConfigurez l'état et les éléments pour générer les sorties .reg, PowerShell, Intune et SCCM.
Ces exports reproduisent l'effet registre de la stratégie. Modifier le registre directement n'équivaut pas à appliquer la GPO via la console (pas de gpupdate, pas de suivi centralisé). Testez avant la production ; HKLM nécessite des droits administrateur.
Fichier .reg
Windows Registry Editor Version 5.00
; Exported from gporais.com
; Policy: Authentification Kerberos
; State: Enabled
; Supported on: Toutes les plates-formes Citrix Workspace prises en charge
[HKEY_CURRENT_USER\Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Logon\Kerberos]
"SSPIEnabled"="true,false"
[HKEY_CURRENT_USER\Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Logon\Local Credentials]
"SSOnUserSetting"="true,false"
"EnableSSOnThruICAFile"="true" PowerShell
# Exported from gporais.com
# Policy: Authentification Kerberos
# State: Enabled
# Supported on: Toutes les plates-formes Citrix Workspace prises en charge
$path = 'HKCU:\Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Logon\Kerberos'
New-Item -Path $path -Force | Out-Null
Set-ItemProperty -Path $path -Name 'SSPIEnabled' -Value 'true,false' -Type String
$path = 'HKCU:\Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Logon\Local Credentials'
New-Item -Path $path -Force | Out-Null
Set-ItemProperty -Path $path -Name 'SSOnUserSetting' -Value 'true,false' -Type String
Set-ItemProperty -Path $path -Name 'EnableSSOnThruICAFile' -Value 'true' -Type String Intune XML
Aucune correspondance directe Policy CSP / OMA-URI pour cette stratégie. Utilisez l'onglet Intune Remediation, ou importez l'ADMX dans Intune. Intune Remediation
# === Detection script ===
# Exported from gporais.com
# Policy: Authentification Kerberos
# State: Enabled
# Supported on: Toutes les plates-formes Citrix Workspace prises en charge
function Test-RegistryValue {
param(
[Parameter(Mandatory = $true)][string]$Path,
[Parameter(Mandatory = $true)][string]$Name,
[object]$Expected,
[ValidateSet('String', 'DWord', 'MultiString')][string]$Kind = 'String',
[switch]$Absent
)
try {
$item = Get-ItemProperty -LiteralPath $Path -Name $Name -ErrorAction Stop
} catch {
return $Absent.IsPresent
}
if ($Absent.IsPresent) { return $false }
$actual = $item.$Name
if ($Kind -eq 'DWord') { return ([int64]$actual) -eq ([int64]$Expected) }
if ($Kind -eq 'MultiString') {
$actualValues = @($actual)
$expectedValues = @($Expected)
if ($actualValues.Count -ne $expectedValues.Count) { return $false }
for ($i = 0; $i -lt $expectedValues.Count; $i++) {
if ([string]$actualValues[$i] -ne [string]$expectedValues[$i]) { return $false }
}
return $true
}
return [string]$actual -eq [string]$Expected
}
$checks = @(
(Test-RegistryValue -Path 'HKCU:\Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Logon\Kerberos' -Name 'SSPIEnabled' -Expected 'true,false' -Kind String)
(Test-RegistryValue -Path 'HKCU:\Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Logon\Local Credentials' -Name 'SSOnUserSetting' -Expected 'true,false' -Kind String)
(Test-RegistryValue -Path 'HKCU:\Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Logon\Local Credentials' -Name 'EnableSSOnThruICAFile' -Expected 'true' -Kind String)
)
if ($checks -notcontains $false) {
Write-Output 'Compliant'
exit 0
}
Write-Output 'Non-compliant'
exit 1
# === Remediation script ===
# Exported from gporais.com
# Policy: Authentification Kerberos
# State: Enabled
# Supported on: Toutes les plates-formes Citrix Workspace prises en charge
$path = 'HKCU:\Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Logon\Kerberos'
New-Item -Path $path -Force | Out-Null
Set-ItemProperty -Path $path -Name 'SSPIEnabled' -Value 'true,false' -Type String
$path = 'HKCU:\Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Logon\Local Credentials'
New-Item -Path $path -Force | Out-Null
Set-ItemProperty -Path $path -Name 'SSOnUserSetting' -Value 'true,false' -Type String
Set-ItemProperty -Path $path -Name 'EnableSSOnThruICAFile' -Value 'true' -Type String SCCM CI
# Exported from gporais.com
# Policy: Authentification Kerberos
# State: Enabled
# Supported on: Toutes les plates-formes Citrix Workspace prises en charge
# SCCM Configuration Item guidance:
# Create a Configuration Item of type "Setting: Script".
# Discovery script: use the Detection script below.
# Remediation script: use the Remediation script below.
# Compliance rule: the Discovery script output equals 'Compliant'.
# === Detection script ===
# Exported from gporais.com
# Policy: Authentification Kerberos
# State: Enabled
# Supported on: Toutes les plates-formes Citrix Workspace prises en charge
function Test-RegistryValue {
param(
[Parameter(Mandatory = $true)][string]$Path,
[Parameter(Mandatory = $true)][string]$Name,
[object]$Expected,
[ValidateSet('String', 'DWord', 'MultiString')][string]$Kind = 'String',
[switch]$Absent
)
try {
$item = Get-ItemProperty -LiteralPath $Path -Name $Name -ErrorAction Stop
} catch {
return $Absent.IsPresent
}
if ($Absent.IsPresent) { return $false }
$actual = $item.$Name
if ($Kind -eq 'DWord') { return ([int64]$actual) -eq ([int64]$Expected) }
if ($Kind -eq 'MultiString') {
$actualValues = @($actual)
$expectedValues = @($Expected)
if ($actualValues.Count -ne $expectedValues.Count) { return $false }
for ($i = 0; $i -lt $expectedValues.Count; $i++) {
if ([string]$actualValues[$i] -ne [string]$expectedValues[$i]) { return $false }
}
return $true
}
return [string]$actual -eq [string]$Expected
}
$checks = @(
(Test-RegistryValue -Path 'HKCU:\Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Logon\Kerberos' -Name 'SSPIEnabled' -Expected 'true,false' -Kind String)
(Test-RegistryValue -Path 'HKCU:\Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Logon\Local Credentials' -Name 'SSOnUserSetting' -Expected 'true,false' -Kind String)
(Test-RegistryValue -Path 'HKCU:\Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Logon\Local Credentials' -Name 'EnableSSOnThruICAFile' -Expected 'true' -Kind String)
)
if ($checks -notcontains $false) {
Write-Output 'Compliant'
exit 0
}
Write-Output 'Non-compliant'
exit 1
# === Remediation script ===
# Exported from gporais.com
# Policy: Authentification Kerberos
# State: Enabled
# Supported on: Toutes les plates-formes Citrix Workspace prises en charge
$path = 'HKCU:\Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Logon\Kerberos'
New-Item -Path $path -Force | Out-Null
Set-ItemProperty -Path $path -Name 'SSPIEnabled' -Value 'true,false' -Type String
$path = 'HKCU:\Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Logon\Local Credentials'
New-Item -Path $path -Force | Out-Null
Set-ItemProperty -Path $path -Name 'SSOnUserSetting' -Value 'true,false' -Type String
Set-ItemProperty -Path $path -Name 'EnableSSOnThruICAFile' -Value 'true' -Type String