Bonjour Citrixiens et Citrixienes en herbe,

Ce post va vous décrire une manière d’activer le Single Sign On utilisateur pour une ferme de serveur Citrix XenApp 7.5. Pour cet article, nous nous sommes servis d’un Citrix Receiver 4.1, d’un serveur Citrix StoreFront 2.5 et d’une serveur Citrix XenApp 7.5.

Plusieurs étapes sont nécessaires pour que ça fonctionne correctement, dans ce scénario, on commence à traiter la partie "utilisateur". Et par la suite, la partie serveur sur les DDC et StoreFront.

 

I – Gestion du client Citrix Receiver

En préambule, il faut désinstaller toute version existante de client Citrix Receiver sur le poste de travail. Ce dernier est un peu territorial, et vous êtes quasi sûr à 100% d’avoir des dysfonctionnements s’il vous reste des éléments de versions antérieures.

Il faut procéder par étape :

  • Désinstallation du client Citrix Receiver via l’ajout/suppression de programmes Windows (ou le cleaner de citrix)
  • Suppression du dossier c:\program files\citrix
  • Suppression des clés de registre : HKLM/HKCU/Software/Citrix
  • Installation du nouveau client Citrix Recevier

 

II – Configuration du SSO

a) Normalement et nominativement, le SSO est fait pour fonctionner en HTTPS, il existe toutefois un moyen de le faire fonctionner en http comme je vais vous le montrer dans l’exemple ci-dessous.

Lors de l’installation du client Citrix Receiver, vous devez activer le mode SSO, avec le paramètre IncludeSSON, comme suit :

CitrixReceiver.exe /includeSSON /ENABLE_SSON=Yes /silent
STORE0="Store;http://VotreServeur/Citrix/Store/discovery;on"

Ensuite passez trois clés de registre pour autoriser votre client Citrix Receiver à stocker les informations de connexions et autoriser l’accès en htpp au lieu d’https.

"HKLM\SOFTWARE\Wow6432Node\Citrix\AuthManager"
"ConnectionSecurityMode = A"

et

"HKLM\SOFTWARE\Wow6432Node\Citrix\Dazzle"
"AllowSavePwd= A"
"AllowAddStore = A"

 

b)

Il existe une Stratégie Citrix qui permet d’activer le stockage des informations de session:
C:\Program Files (x86)\Citrix\ICA Client\Configuration\icaclient.adm.

Quand vous double-cliquez sur l’option Local user name and password, cochez les options "Enable pass-through authentication" et "Allow pass-through authentification for all ICA connections".
Quand vous double-cliquez sur l’option Web Interface authentification ticket, cochez les options "Legacy ticket handling" et "Web Interface 4.5 and above"
Note : Si vous passez par des proxy, il est préférable de l’ajouter dans les "trusted sites".

 

III – Configuration de Citrix StoreFront 2.5

Il vous faut allez modifier les méthodes d’authentification de vos Stores définis dans Citrix StoreFront 2.5. Dans mon exemple, j’autorise le Pass-trough et désélectionne le "user name and password" pour une authentification unique.

Allez dans Authentification dans la console du StoreFront 2.5 et dans "Add/Remove Methods" sur la droite.
Allez maintenant dans la section "receiver for web" et sélectionner votre store, sur la droite vous aurez "Choose Authentification Methods". Désélectionnez une nouvelle fois "User name … " et valider par OK.

 

IV – Configuration du Contrôleur DDC XenApp 7.5

Au niveau de vos DDC, il faut modifier la clé "TrustRequestsSentToTheXmlServicePort" et la passer en $true.

Pour ce faire, utilisez la séquence de commande powershell suivante sur vos DDC :

asnp citrix*


Set-BrokerSite – TrustRequestsSentToTheXmlServicePort $true

 

Pour vérifier si c’est bon, tapez la commande suivante :
Get-BrokerSite |select TrustRequestSentToTheXmlServicePort

Le résultat obtenu doit être : TrustRequestSentToTheXmlServicePort : True

 

 

V – Est ce que tout fonctionne maintenant ?

Vous avez deux façon de tester vos manipulations:

Ouvrez une session locale sur une machine et cliquez sur votre icône "Citrix Receiver", vous devriez normalement être connecté automatiquement comme ci-contre
Ou alors ouvrez une page web directement sur le site Citrix StoreFront à l’URL suivante :
"http://Serveur/Citrix/Storefront/
DomainPassthroughAuth/test.aspx
"

 

N’hésitez pas à partager ou commenter l’information.

Steeve Delmotte
Immajg Consult : contact