Guide de l'administrateur de l'interface Web. Citrix Web Interface 4.6 Citrix Presentation Server 4.5 avec Feature Pack 1

Transcription

1 Guide de l'administrateur de l'interface Web Citrix Web Interface 4.6 Citrix Presentation Server 4.5 avec Feature Pack 1

2 Avis de copyright et de marque déposée Avant d utiliser le produit décrit dans ce guide, vous devez préalablement accepter l accord de licence de l utilisateur final. Des copies de l accord de licence de l utilisateur final se trouvent dans le répertoire racine du CD-ROM Citrix Presentation Server et dans le répertoire racine du CD-ROM des composants. Les informations contenues dans ce document peuvent faire l objet de modifications sans préavis. Sauf mention contraire, les sociétés, noms et données utilisés dans les exemples sont fictifs. Aucune partie de ce document ne peut être reproduite ou transmise, sous quelque forme, par quelque moyen, électronique ou mécanique, et pour quelque motif que ce soit, sans l autorisation expresse et écrite de Citrix Systems, Inc. Copyright Citrix Systems, Inc. Tous droits réservés. Citrix, ICA (Independent Computing Architecture), NetScaler et Program Neighborhood sont des marques déposées ; Citrix Presentation Server, Citrix Access Essentials, Citrix Access Gateway, Citrix Password Manager, Citrix Application Firewall, Citrix Application Gateway, Citrix Streaming Profiler, Citrix Streaming Client, Citrix Streaming Service, Citrix EdgeSight, Citrix WANScaler, Citrix SmoothRoaming, Citrix Authorized Learning Center, Citrix Subscription Advantage, Citrix Support Services, Citrix Solutions Network et SpeedScreen sont des marques de Citrix Systems, Inc. aux États-Unis et dans d'autres pays. RSA Encryption RSA Security, Inc. Tous droits réservés. Ce produit contient le logiciel développé par The Apache Software Foundation ( Reconnaissances de marques Adobe, Acrobat et PostScript sont des marques de fabrique, de commerce ou de service ou des marques déposées de Adobe Systems, Inc. aux États-Unis et/ou dans d'autres pays. Apache est une marque déposée ou une marque de fabrique, de commerce ou de service d Apache Software Foundation aux États-Unis et/ou dans d autres pays. Apple, LaserWriter, Mac, Macintosh, Mac OS, Power Mac et Safari sont des marques déposées ou des marques de fabrique, de commerce ou de service de Apple Computer, Inc. BEA WebLogic est une marque déposée de BEA Systems, Inc. aux États-Unis et dans d autres pays. IBM WebSphere est une marque déposée de IBM Corporation aux États-Unis et dans d autres pays. Java, Sun et SunOS sont des marques de fabrique, de commerce ou de service ou des marques déposées de Sun Microsystems, Inc. aux États-Unis et dans d'autres pays. Solaris est une marque déposée de Sun Microsystems, Inc. Sun Microsystems, Inc. n'a pas testé ou approuvé ce produit. JavaServer Pages et Sun Java System Application Server sont des marques déposées ou des marques de fabrique, de commerce ou de service de Sun Microsystems Corporation aux États-Unis et/ou dans d autres pays. Microsoft, MS-DOS, Windows, Win32, Outlook, ActiveX et Active Directory sont des marques déposées ou des marques de fabrique, de commerce ou de service de Microsoft Corporation aux États-Unis et/ou dans d'autres pays. Mozilla et Firefox sont des marques déposées de la Mozilla Foundation. Netscape et Netscape Navigator sont des marques déposées de Netscape Communications Corporation aux États-Unis et dans d'autres pays. Novell Directory Services, NDS et NetWare sont des marques déposées de Novell, Inc. aux États-Unis et dans d autres pays. Novell Client est une marque de fabrique, de commerce ou de service de Novell, Inc. Red Hat Enterprise Linux est une marque déposée de Red Hat, Inc. aux États-Unis et dans d autres pays. SafeWord est une marque déposée de Secure Computing Corporation aux États-unis et dans d'autres pays. UNIX est une marque déposée de The Open Group aux États-unis et dans d'autres pays. Toutes les autres marques et marques déposées sont la propriété de leurs détenteurs respectifs. Code du document : 4 juin 2007 (GM)

3 TABLE DES MATIÈRES Table des matières Chapitre 1 Chapitre 2 Introduction Présentation Utilisation de ce guide Obtenir des informations complémentaires et de l'aide Accès à la documentation Conventions utilisées dans la documentation Obtention de support et d'assistance Introduction à l'interface Web Fonctionnalités de l'interface Web Sites Sites Services de l'agent Program Neighborhood Sites Participant invité de Conferencing Manager Fonctions de gestion Fonctionnalités d accès aux applications Fonctions de sécurité Fonctions de déploiement de clients Nouveautés de cette version Composants de l'interface Web Batteries de serveurs Serveur Web Machine cliente Fonctionnement de l'interface Web Étape suivante Déploiement de l'interface Web Présentation Configuration requise Configurations du serveur Versions de Citrix Presentation Server prises en charge Access Management Console Configurations logicielles supplémentaires requises

4 4 Guide de l'administrateur de l'interface Web Configuration générale requise Configuration requise pour le serveur Web Sur plates-formes Windows Sur plates-formes UNIX Configuration requise pour l'utilisateur Configuration requise pour accéder aux applications livrées en streaming.31 Configuration requise pour les autres machines clientes Configuration requise pour la machine cliente Citrix Presentation Server Installation de l'interface Web Présentation de l'installation Considérations relatives à la sécurité Installation de l'interface Web sur les plates-formes Windows Installation de l'interface Web sur les plates-formes Windows 64 bits Installation de l'interface Web sur les plates-formes UNIX Configuration de la stratégie de sécurité sur les serveurs Sun Java System Application Servers Installation à l'aide de la ligne de commande Utilisation des packs de langue Suppression des packs de langue Déploiement de langues pour les utilisateurs Mise à niveau d'une installation existante Étape suivante Résolution des problèmes liés à l'installation de l'interface Web Utilisation de l'option Réparer Désactivation des messages d'erreur Désinstallation de l'interface Web Désinstallation de l'interface Web sur les plates-formes Windows Désinstallation de l'interface Web sur les plates-formes UNIX Chapitre 3 Démarrage de l'interface Web Présentation Choix de la méthode de configuration Access Management Console Fichiers de configuration Choix de l'emplacement de stockage de la configuration de votre site Utilisation de la configuration centralisée Configuration de sites au moyen de la console Obtention de l'aide Démarrage de la console Access Management Console Configuration et exécution du processus de découverte

5 Table des matières 5 Mise à niveau des sites existants Mise à niveau des sites configurés de manière centralisée Mise à niveau de groupes de sites Suppression des sites mal configurés Création de sites Création de sites sur des serveurs Web Windows Création de sites sur des serveurs Web UNIX Spécification de la source de configuration d'un site Importation et exportation de fichiers de configuration Définition des paramètres d'authentification Définition des paramètres de configuration initiale d'un site Définition des types d'applications disponibles pour les utilisateurs Configuration de l'accès des utilisateurs au site Accès direct à un site Accès à un site avec Advanced Access Control Utilisation des tâches de site Utilisation des tâches de site local Gestion des sources de configuration Réparation et désinstallation de sites Groupage de sites Rendre l'interface Web accessible aux utilisateurs Définition de la page Ouverture de session comme page par défaut sur IIS...66 Étape suivante Chapitre 4 Gestion des serveurs et des batteries Présentation Gestion de batteries de serveurs Considérations sur le changement de mot de passe Configuration des paramètres des serveurs Configuration de la tolérance de panne Activation de l'équilibrage de charge entre les serveurs Configuration de paramètres pour tous les serveurs Définition des paramètres de serveur avancés Activation du regroupement de sockets Activation de la redirection de contenu Configuration des communications avec le service XML Gestion des paramètres de serveur Configuration des paramètres de communication du serveur Définition des adresses URL de secours de l'agent Program Neighborhood..76 Configuration de la redirection de site

6 6 Guide de l'administrateur de l'interface Web Chapitre 5 Configuration de l'authentification pour l'interface Web Présentation Méthodes d'authentification Recommandations relatives à l'authentification Configuration de l'authentification Configuration des paramètres de restriction de domaine Configuration du type d'authentification Activation de l'authentification explicite Configuration des paramètres de mot de passe Activation de l'authentification à deux facteurs Configuration du libre-service de compte Activation de l'authentification par invite Configuration des paramètres de mot de passe Activation de l'authentification unique Configuration requise pour l'authentification unique Étape 1 : installation des clients pour Windows Étape 2 : activation de l'authentification unique pour les clients Étape 3 : activation de l'authentification unique à l'aide de la console Activation de l'authentification par carte à puce Configuration requise pour la prise en charge des cartes à puce Étape 1 : installation des clients pour Windows Étape 2 : activation de l'authentification unique pour les clients Étape 3 : activation du mappeur du service d'annuaire Windows Étape 4 : activation de l'authentification par carte à puce à l'aide de la console Exemple : activation de l'authentification par carte à puce Configuration de l'authentification à deux facteurs Activation de l'authentification SafeWord de Secure Computing sur IIS Configuration requise pour SafeWord Activation de l'authentification SafeWord à l'aide de la console Activation de l'authentification RSA SecurID 6.0 sur IIS Configuration requise pour SecurID Ajout d un serveur exécutant l'interface Web en tant qu'agent Host Copie du fichier sdconf.rec Activation de l'authentification RSA SecurID à l'aide de la console Considérations sur la clé de Registre du nœud secret Prise en charge de domaines multiples RSA SecurID Activation de l'intégration de mots de passe Windows RSA SecurID Activation de l'authentification à deux facteurs sous UNIX

7 Table des matières 7 Activation de RADIUS avec SafeWord Activation de RADIUS avec RSA SecurID Ajout de l'interface Web et des serveurs RADIUS en tant qu'agent Hosts Création d'un secret partagé pour RADIUS Activation de l'authentification à deux facteurs RADIUS à l'aide de la console Utilisation du mode RADIUS Challenge Utilisation de messages de challenge personnalisés Chapitre 6 Chapitre 7 Gestion des clients Présentation Gestion du déploiement du client Types de clients distants Citrix Streaming Client Installation du client par le Web Copie des fichiers d'installation d'un client sur le serveur Web Configuration du déploiement client et des légendes d'installation Déploiement du logiciel de connexion au Bureau à distance Configuration requise pour la connexion au Bureau à distance Déploiement du client pour Java Personnalisation du déploiement du client pour Java Compatibilité avec les serveurs Web de langue asiatique Configuration du contrôle de la session de streaming Configuration de l'agent Program Neighborhood Utilisation de la console Access Management Console pour la configuration Utilisation des fichiers de configuration Gestion des fichiers de configuration des clients Gestion de l'accès client sécurisé Modification des paramètres DMZ Modification des réglages de passerelle Modification des traductions d'adresse Affichage des réglages d'accès client sécurisé Modification des paramètres du proxy côté client Personnalisation de l'expérience utilisateur Présentation Personnalisation de l'affichage pour les utilisateurs Gestion des préférences de session cliente

8 8 Guide de l'administrateur de l'interface Web Configuration du contrôle de l'espace de travail Configuration requise pour cette fonctionnalité Restrictions Configuration du contrôle de l'espace de travail avec des méthodes d'authentification intégrée Activation du contrôle de l'espace de travail Modification des options de session Gestion des raccourcis vers les applications Utilisation des options d'actualisation des applications Chapitre 8 Configuration de la sécurité de l'interface Web Présentation Introduction à la sécurité de l'interface Web Protocoles de sécurité et solutions de sécurité Citrix Security Solutions Secure Sockets Layer Transport Layer Security (TLS) Relais SSL Citrix Cryptage ICA Access Gateway Secure Gateway Sécurisation des communications de l'interface Web Sécurisation de l'agent Program Neighborhood avec SSL Exemple Communications entre machine cliente et Interface Web Problèmes de sécurité Recommandations Utilisation de serveurs et navigateurs Web recourant à SSL/TLS N'activez pas l'authentification unique Communications entre l'interface Web et Presentation Server Problèmes de sécurité Recommandations Utilisation du Relais SSL Citrix Activation de l'interface Web sur le serveur exécutant Presentation Server Utilisation du protocole HTTPS Communications entre la session cliente et Presentation Server Problèmes de sécurité Recommandations Utilisation du protocole SSL/TLS ou du cryptage ICA Utiliser Secure Gateway

9 Table des matières 9 Contrôle de la journalisation des diagnostics Considérations générales relatives à la sécurité Vérification de la configuration de votre serveur Modification du message de bienvenue Annexe A Annexe B Configuration de sites à l'aide du fichier de configuration Paramètres WebInterface.conf Considérations relatives à l'agent Program Neighborhood Contenu du fichier Config.xml Réglages dans le fichier WebInterface.conf Exemples Configuration des communications avec Presentation Server Configuration des communications du Relais SSL Citrix Configuration de la prise en charge de Secure Gateway Réglages dans le fichier Bootstrap.conf Configuration de la prise en charge d'adfs pour l'interface Web Présentation Qu'est-ce qu'adfs? Terminologie ADFS Fonctionnement des sites ADFS intégrés Configuration logicielle requise pour ADFS Avant la création de sites ADFS Création de relations entre les domaines Configuration de la délégation pour les serveurs au sein de votre déploiement Configuration des serveurs pour la délégation contrainte Configuration d'une durée limite d'accès aux ressources Création de comptes fantômes Création de sites ADFS intégrés Configuration de votre site en tant qu'application ADFS Test de votre déploiement Déconnexion des sites ADFS intégrés Index

10 10 Guide de l'administrateur de l'interface Web

11 CHAPITRE 1 Introduction Présentation Bienvenue sur l'interface Web. Ce chapitre vous présente la documentation et l'interface Web. Il comporte les sections suivantes : Utilisation de ce guide Introduction à l'interface Web Nouveautés de cette version Utilisation de ce guide Le Guide de l'administrateur de l Interface Web s'adresse aux administrateurs Citrix et aux administrateurs Web chargés de l'installation, de la configuration et de la gestion des sites, des services de l'agent Program Neighborhood et Participant invité de Conferencing Manager. Ce guide pratique décrit la marche à suivre pour configurer rapidement l'interface Web. Ce chapitre présente la documentation et l'interface Web, et décrit les nouveautés de cette version. Les chapitres suivants décrivent les procédures de déploiement et de configuration de l'interface Web. Ce guide suppose une connaissance de Citrix Presentation Server pour Windows ou de Citrix Presentation Server pour UNIX. Obtenir des informations complémentaires et de l'aide Cette section décrit comment obtenir des informations complémentaires sur l'interface Web et comment entrer en contact avec Citrix.

12 12 Guide de l'administrateur de l'interface Web Accès à la documentation Ce guide fait partie de la documentation Citrix Presentation Server. Cette documentation comprend des guides qui correspondent aux différentes fonctionnalités de Presentation Server. Pour accéder à l'ensemble de la documentation disponible sur le Web, consultez le fichier Read_Me_First.html. Cette documentation est également disponible sur le centre de connaissances à l'adresse La documentation en ligne est fournie au format Adobe Portable Document Format (PDF). Pour afficher, imprimer la documentation PDF et effectuer des recherches dans celle-ci, Adobe Reader doit être installé (versions prises en charge : avec la fonction Rechercher dans plusieurs documents et les versions 6.0, 7.0 et 8.0). Les informations relatives aux problèmes connus sont détaillées dans le fichier Lisez-moi qui accompagne le produit. Ce fichier est également disponible sur le Web. Consultez le fichier Read_Me_First.html pour accéder au fichier Lisez-moi du produit. Pour obtenir des informations concernant la terminologie en rapport avec Presentation Server, référez-vous au Glossaire de Citrix Presentation Server, disponible dans le centre de connaissances à l'adresse suivante : De plus amples informations concernant la documentation Citrix, de même que la démarche à suivre pour obtenir des informations complémentaires et de l'assistance, sont incluses dans le Guide de démarrage de Citrix Presentation Server, disponible dans le centre de connaissances à l'adresse suivante : Pour nous faire part de vos commentaires concernant la documentation, rendezvous sur Pour accéder au formulaire de commentaires, cliquez sur le lien Submit Documentation Feedback.

13 Chapitre 1 Introduction 13 Conventions utilisées dans la documentation La documentation de Presentation Server emploie les conventions typographiques suivantes pour les menus, les commandes, les touches de clavier et les rubriques de l'interface du programme : Convention Gras Italique %SystemRoot% Espacement fixe Signification Commandes, nom des rubriques d'interface à savoir menus, zones de texte, boutons radio et zones de saisie. Espaces réservés pour les informations ou les paramètres que vous fournissez. Par exemple, nomdefichier dans une procédure signifie que vous saisissez le nom réel du fichier. L'italique est également utilisé pour les nouveaux termes, le titre des livres et les variables. Répertoire du système Windows, qui peut être WTSRV, WINNT, WINDOWS ou tout autre nom que vous avez spécifié lorsque vous installez Windows. Exemple de texte d'un fichier texte. { accolades } Série d'éléments, dont l'un est requis dans les instructions de commande. Par exemple, { oui non } signifie que vous devez saisir oui ou non. Ne saisissez pas les accolades. [ crochets ] Éléments optionnels dans les instructions de commande. Par exemple, [/ping] signifie que vous pouvez saisir /ping avec la commande. Ne saisissez pas les crochets. (barre verticale) Séparateur entre les éléments à l'intérieur d'accolades ou de crochets dans les instructions de commande. Par exemple, { /hold /release /delete } signifie que vous devez saisir /hold ou /release ou /delete. (points de suspension) Vous pouvez répéter l'élément ou les éléments précédent(s) dans les instructions de commande. Par exemple, / route :nomdemachine[, ] signifie que vous pouvez saisir des noms de machine supplémentaires séparés par des virgules. Conventions des lignes de commande UNIX Presentation Server pour les systèmes d'exploitation UNIX ainsi que certains autres composants s'exécutant sur des plates-formes UNIX possèdent des interfaces de lignes de commande. Si vous ne connaissez pas bien les lignes de commande UNIX, veuillez noter que : le choix de la casse est important dans les commandes UNIX ; l'espacement dans la ligne de commande est important et doit être parfaitement conforme à ce qui est stipulé dans l'instruction.

14 14 Guide de l'administrateur de l'interface Web Obtention de support et d'assistance Citrix fournit une assistance technique essentiellement via le réseau Citrix Solutions Network (CSN). Nos partenaires CSN sont formés et agréés pour fournir un niveau élevé d'assistance à notre clientèle. Contactez votre fournisseur pour le premier niveau d'assistance ou recherchez votre partenaire CSN le plus proche à l'adresse En plus du programme CSN, Citrix offre de nombreux outils Web d'assistance technique en libre service comprenant : le centre de connaissances Citrix (Knowledge Center), un outil interactif qui contient des milliers de solutions techniques pour l'assistance de votre environnement Citrix ; des forums d'assistance dans lesquels vous pouvez prendre part à des discussions techniques et rechercher des résolutions précédemment publiées par d'autres membres du forum ; des logiciels à télécharger permettant d'accéder aux derniers service packs, corrections à chaud et utilitaires ; des clients à télécharger depuis : Une autre source d'assistance, Citrix Preferred Support Services, fournit toute une gamme d'options vous permettant de personnaliser le niveau et le type d'assistance pour les produits Citrix de votre entreprise. Introduction à l'interface Web L'Interface Web fournit aux utilisateurs un accès aux applications et au contenu de Presentation Server grâce à un navigateur Web standard ou via l'agent Program Neighborhood. Il permet également aux utilisateurs invités d'assister aux conférences de Conferencing Manager. L'Interface Web utilise les technologies Java et.net exécutées sur un serveur Web pour créer, de manière dynamique, une représentation HTML des batteries de serveurs pour les sites. Toutes les applications publiées dans la ou les batterie(s) que vous avez mis à disposition sont proposées aux utilisateurs. Vous pouvez créer des sites Web autonomes donnant accès à des applications ou des sites Web qui peuvent être intégrés au portail de votre entreprise. Par ailleurs, l'interface Web vous permet de configurer des paramètres pour les utilisateurs qui accèdent aux applications via l'agent Program Neighborhood, et de créer des sites pour les utilisateurs invités qui ouvrent des sessions sur Conferencing Manager.

15 Chapitre 1 Introduction 15 Vous pouvez configurer les sites de l'interface Web créés sur les plates-formes Windows et UNIX à l'aide de la console Access Management Console. La console Access Management Console peut uniquement être installée sur les plates-formes Windows. Pour plus d'informations sur l'utilisation de cet outil, veuillez consulter la section «Configuration de sites au moyen de la console», page 48. Vous pouvez également modifier le fichier de configuration (WebInterface.conf) afin de gérer et administrer les sites Interface Web. Pour des informations complémentaires, veuillez consulter la section «Configuration de sites à l'aide du fichier de configuration», page 157. Par ailleurs, vous pouvez personnaliser et développer les sites. La documentation relative au kit de développement de l'interface Web explique comment configurer des sites à l'aide de ces méthodes. Fonctionnalités de l'interface Web Cette section contient des informations sur les fonctionnalités de l'interface Web. Pour de plus amples informations concernant les spécifications logicielles de certaines fonctionnalités de l'interface Web, reportez vous à la section «Configurations logicielles supplémentaires requises», page 27. Sites L'Interface Web propose des fonctionnalités permettant de créer et de gérer des sites. Les utilisateurs accèdent à des applications et à des contenus à distance et en streaming à l'aide d'un navigateur Web et d'un client. Sites Services de l'agent Program Neighborhood L'Agent Program Neighborhood Citrix est un client flexible et facile à configurer. En utilisant l'agent Program Neighborhood en liaison avec l'interface Web, vous pouvez intégrer des ressources publiées aux bureaux des utilisateurs. Les utilisateurs accèdent aux applications, aux bureaux et au contenu, à distance et en streaming, en cliquant sur des icônes situées sur leur bureau, dans le menu Démarrer, dans la zone de notification (ou une combinaison des trois). Vous pouvez déterminer les éventuelles options de configuration auxquelles les utilisateurs peuvent accéder pour les modifier, par exemple, les paramètres audio, d'affichage ou d'ouverture de session.

16 16 Guide de l'administrateur de l'interface Web Sites Participant invité de Conferencing Manager L'Interface Web fournit aux participants invités un accès aux conférences Conferencing Manager via un navigateur Web standard. Un participant invité est une personne qui est invitée à participer à une conférence et qui ne dispose pas d'un compte de domaine Windows ou ne souhaite pas en utiliser un. Ces participants invités accèdent à la conférence via l'interface Web et utilisent une version verrouillée de l'application publiée Conferencing Manager. Ils sont soumis aux restrictions ci-dessous : Ils ne peuvent pas créer ou démarrer des conférences. Ils ne peuvent pas lancer des applications lors d'une conférence. Pour plus d'informations sur Conferencing Manager, consultez le Guide de l'administrateur Citrix Conferencing Manager. Fonctions de gestion Console Access Management Console. Vous pouvez utiliser la console Access Management Console pour effectuer rapidement et facilement les tâches administratives quotidiennes. Par exemple, vous pouvez utiliser la console pour définir les paramètres que les utilisateurs peuvent sélectionner et pour configurer l'authentification des utilisateurs de l'interface Web. Votre configuration devient effective lorsque vous effectuez des modifications au moyen de la console. Prise en charge de plusieurs batteries de serveurs. Vous pouvez configurer plusieurs batteries de serveurs et permettre aux utilisateurs de visualiser les applications qui leur sont disponibles depuis toutes les batteries. Vous pouvez configurer chacune des batteries de serveurs au moyen de la tâche Gérer les batteries de serveurs. Pour des informations complémentaires, veuillez consulter la section «Configuration des communications avec Presentation Server», page 179. Compatibilité avec les technologies Web les plus répandues. L'API de l'interface Web est accessible à partir de ASP.NET de Microsoft et de JavaServer Pages de Sun Microsystems. Fonctionnalités d accès aux applications Prise en charge des serveurs sur des plates-formes UNIX. La prise en charge des batteries Presentation Server pour UNIX permet à l'interface Web d'afficher et de lancer des applications s'exécutant sur des plates-formes UNIX, sur les machines clientes de vos utilisateurs.

17 Chapitre 1 Introduction 17 Serveurs de sauvegarde. Vous pouvez configurer des serveurs de sauvegarde pour garantir aux utilisateurs l'accès à leurs applications, même en cas de défaillance d'un serveur. Prise en charge de Novell Directory Services (NDS). L'Interface Web permet une prise en charge de l'authentification NDS. Lorsque cette fonctionnalité est activée, la page d'ouverture de session de l'interface Web contient un champ de contexte. Vous pouvez également configurer l'interface Web de façon à permettre aux utilisateurs de rechercher leur nom d'utilisateur dans l'arborescence afin de déterminer dans quel contexte ils se situent. Prise en charge d Active Directory et des noms UPN (nom d utilisateur principal). Tous les composants de l'interface Web sont compatibles avec Microsoft Active Directory. Les utilisateurs qui visitent les sites peuvent ouvrir une session sur les batteries de serveurs faisant partie d'un déploiement Active Directory et accéder de manière transparente aux applications publiées. Les pages d'ouverture de session sont compatibles avec l'utilisation des noms UPN par Active Directory. Utilisateurs anonymes. Cette fonctionnalité permet aux utilisateurs d'ouvrir une session sur les sites à l'aide d'un compte anonyme. Lancement de contenu publié. L'Interface Web prend en charge les fonctionnalités de publication de contenu de Presentation Server. Fonctions de sécurité Prise en charge de SSL (Secure Socket Layer) / TLS (Transport Layer Security). L'Interface Web prend en charge SSL pour la sécurisation des communications entre le serveur exécutant l'interface Web et les batteries de serveurs. La mise en oeuvre de SSL sur votre serveur Web avec des navigateurs Web prenant en charge SSL permet d assurer la sécurité des flux de données sur votre réseau. L'Interface Web utilise le protocole de sécurité Schannel de Microsoft sur les plates-formes Windows pour les sites. Ce protocole utilise la méthode validée de cryptographie FIPS 140, qui est la norme requise par certaines organisations. Pour des informations complémentaires à propos de la validation de la méthode FIPS 140, consultez le site Web du National Institute of Standards and Technology (NIST) sur

18 18 Guide de l'administrateur de l'interface Web Prise en charge de Citrix Access Gateway. Access Gateway est un boîtier VPN (virtual private network) SSL (Secure Socket Layer) universel qui, lorsqu'il est utilisé avec l'interface Web, garantit un accès unique et sécurisé à toute ressource d'informations (données et voix). Access Gateway regroupe les meilleures fonctionnalités de Internet Protocol Security (IPSec) et du VPN SSL, en évitant la mise en oeuvre et la gestion lourdes et coûteuses ; il fonctionne à travers tous les pare-feu et prend en charge toutes les applications et tous les protocoles. Prise en charge de Secure Gateway. Secure Gateway, avec l'interface Web, offre un point d'accès unique, sécurisé et crypté aux serveurs sur vos réseaux d'entreprise internes via Internet. Secure Gateway simplifie la gestion des certificats, un certificat de serveur étant uniquement requis sur le serveur Secure Gateway, plutôt que sur chaque serveur de la batterie de serveurs. Tickets. Cette fonctionnalité renforce la sécurité de l'authentification. L'Interface Web obtient des tickets qui authentifient les utilisateurs auprès des applications publiées. Les tickets possèdent une date d expiration configurable et sont valides pour une seule ouverture de session. Après utilisation ou après expiration, un ticket est invalide et ne peut pas être utilisé pour accéder à des applications. L utilisation des tickets élimine l inclusion explicite des informations d identification dans les fichiers.ica utilisés par l'interface Web pour lancer les applications. Fonctions de déploiement de clients Installation des clients par le Web. Vous pouvez utiliser l'interface Web pour déployer les clients pour Windows sur n'importe quelle machine équipée d'un navigateur Web. Lorsqu'un utilisateur visite un site, le code d'installation des clients détecte le type de machine et de navigateur Web, et invite l utilisateur à installer le client approprié. Prise en charge de l'agent Program Neighborhood. L'Agent Program Neighborhood Citrix permet aux utilisateurs d accéder directement aux applications de Presentation Server à partir de leur bureau Windows, sans avoir recours à un navigateur Web. L interface utilisateur de l Agent Program Neighborhood peut également être «verrouillée» pour éviter toute erreur de configuration par l utilisateur. Prise en charge de Citrix Streaming Client. Citrix Streaming Client permet aux utilisateurs de livrer des applications en streaming sur leur bureau et de les ouvrir localement. Vous pouvez soit installer le client de streaming avec l'agent Program Neighborhood afin de fournir la totalité des fonctionnalités de streaming d'application Citrix, soit n'installer que le client de streaming sur le bureau de l'utilisateur afin que celui-ci puisse accéder à des applications publiées grâce à un navigateur Web utilisant un site.

19 Nouveautés de cette version Chapitre 1 Introduction 19 L'Interface Web propose, dans cette version, les nouvelles fonctionnalités et améliorations suivantes : Processus de détection et de déploiement de client. Les restrictions de sécurité renforcées rencontrées dans les systèmes d'exploitation et navigateurs Web de dernière génération peuvent complexifier le téléchargement et le déploiement de clients Citrix. À cet égard, l'interface Web dispose d'un nouveau processus de détection et de déploiement de client dont la tâche consiste à détecter les clients susceptibles d'être déployés dans l'environnement des utilisateurs puis à les guider au travers de la procédure de déploiement, qui peut inclure le cas échéant, la reconfiguration de leur navigateur Web. Ce processus permet de garantir une expérience de lancement optimale pour les utilisateurs lorsqu'ils accèdent à leurs applications et à du contenu, et ce, même à partir des environnements les plus sécurisés. Les sites Interface Web et Participant invité de Conferencing Manager bénéficient du nouveau processus de détection et de déploiement de client. Reconnexion à l'aide du contrôle de l'espace de travail. Le contrôle de l'espace de travail permet de se reconnecter à des applications précédemment déconnectées ou à des applications en cours de livraison à l'utilisateur sur une autre machine cliente. En fonction des paramètres de sécurité, Internet Explorer 7.0 peut bloquer le téléchargement des fichiers si ce dernier n'est pas directement initié par l'utilisateur, c'est pourquoi les tentatives de reconnexion à des applications à l'aide du client natif peuvent être bloquées. La méthode utilisée par l'interface Web pour lancer et se reconnecter à des applications a été améliorée pour remédier à ce problème. Dans les situations dans lesquelles il n'est toujours pas possible de se reconnecter, les utilisateurs sont désormais invités à reconfigurer les paramètres de sécurité d'internet Explorer à l'aide du nouveau processus de détection et de déploiement de client. Lancement d'adresses URL persistantes. La fonctionnalité d'adresse URL persistante de l'interface Web permet aux utilisateurs de lancer des applications publiées directement depuis des adresses URL, il n'est donc pas nécessaire de parcourir la liste des applications Interface Web. Tout comme pour le contrôle de l'espace de travail, certains paramètres de sécurité peuvent obliger Internet Explorer 7.0 à bloquer le lancement de telles applications. Si le lancement de certaines applications est bloqué, les utilisateurs doivent cliquer sur le lien qui leur est présenté, de la même façon que les applications sont lancées depuis la liste des applications.

20 20 Guide de l'administrateur de l'interface Web Modification du mot de passe à l'aide de l'agent Program Neighborhood. Les utilisateurs des sites Services de l'agent Program Neighborhood de l'interface Web qui ouvrent une session à l'agent Citrix Program Neighborhood à l'aide d'informations d'identification de domaine explicites ont la possibilité de modifier leur mot de passe Windows quand ce dernier expire. Ils peuvent modifier leur mot de passe que l'ordinateur appartienne ou non au domaine auprès duquel ils tentent de s'authentifier. Cela signifie que vous pouvez déployer l'agent Program Neighborhood de façon à ce que les bureaux clients soient dans des groupes de travail tout en permettant aux utilisateurs de modifier leur mot de passe en s'authentifiant sur le domaine dans lequel les applications sont publiées. Composants de l'interface Web Un déploiement de l'interface Web implique l interaction de trois composants réseau : une ou plusieurs batteries de serveurs ; un serveur Web ; une machine cliente avec un navigateur Web et un client Citrix Presentation Server ou Citrix Streaming Client. Batteries de serveurs Une batterie de serveurs est un groupe de serveurs exécutant Presentation Server géré comme une seule entité. Une batterie de serveurs se compose de plusieurs serveurs fonctionnant ensemble pour mettre des applications à la disposition des utilisateurs du client Citrix Presentation Server. L une des fonctions standard importantes d une batterie de serveurs est la publication d applications. Il s'agit d'une tâche administrative permettant aux administrateurs de mettre des applications spécifiques hébergées par la batterie de serveurs à la disposition des utilisateurs. Lorsqu un administrateur publie une application à l'intention d'un groupe d utilisateurs, cette application devient un objet disponible auquel les clients peuvent se connecter et initier des sessions clientes. L'utilisation de l'interface Web permet aux utilisateurs d ouvrir une session dans une batterie de serveurs et de recevoir une liste personnalisée des applications publiées pour leur nom d'utilisateur. Cette liste d'applications est appelée série d applications.

21 Chapitre 1 Introduction 21 Le serveur exécutant l'interface Web fonctionne comme une interface pour la connexion à une ou plusieurs batteries de serveurs. Le serveur exécutant l'interface Web interroge les batteries de serveurs pour obtenir les informations concernant les séries d applications puis formate les résultats dans des pages HTML que les utilisateurs peuvent visualiser à l aide de leur navigateur Web. Le serveur exécutant l'interface Web communique avec les batteries de serveurs via le service XML Citrix exécuté sur un ou plusieurs serveurs. Le service XML Citrix est un composant de Presentation Server qui fournit des informations sur des applications publiées aux clients et aux serveurs exécutant l'interface Web au moyen des protocoles TCP/IP et HTTP. Ce service constitue le point de contact entre la batterie de serveurs et le serveur exécutant l'interface Web. Le service XML Citrix est installé avec Presentation Server pour Windows et Presentation Server pour UNIX. Serveur Web Le serveur Web héberge l'interface Web. L'Interface Web fournit les prestations suivantes : authentification des utilisateurs auprès d une ou plusieurs batteries de serveurs ; récupération d'informations sur les applications (y compris, une liste des applications auxquelles les utilisateurs ont accès). Machine cliente Une machine cliente est un dispositif informatique capable d exécuter un client Citrix Presentation Server et un navigateur Web. Une machine cliente peut être, entre autres choses, un PC de bureau ou un ordinateur réseau. Sur une telle machine, le navigateur et le client servent respectivement de système de visualisation et de moteur. Le navigateur permet aux utilisateurs de visualiser des séries d applications (créées par des scripts côté-serveur sur le serveur exécutant l'interface Web), tandis que le client agit comme moteur de lancement des applications publiées. L'Interface Web permet un déploiement client par le Web. Le déploiement des clients par le Web est une méthode de déploiement des clients à partir d un site Web. Lorsqu'un utilisateur visite un site créé avec l'interface Web, le processus Web de détection et de déploiement des clients détecte la machine et invite l utilisateur à installer le client approprié. Si la machine cliente est une machine Windows, le processus de détection et de déploiement des clients peut également détecter la présence ou l'absence de client installé et ne solliciter l utilisateur que si nécessaire. Pour plus d informations, veuillez consulter la section «Configuration du déploiement client et des légendes d'installation», page 110.

22 22 Guide de l'administrateur de l'interface Web L'Interface Web prend en charge de nombreuses combinaisons de navigateurs et de clients. Pour obtenir la liste complète des combinaisons de navigateurs et de clients pris en charge, consultez la section «Configuration requise pour la machine cliente Citrix Presentation Server», page 32. Fonctionnement de l'interface Web Le diagramme suivant décrit une interaction typique entre les batteries de serveurs, un serveur exécutant l'interface Web et une machine cliente. Le diagramme illustre un exemple d'interaction d'interface Web typique. Le navigateur installé sur la machine cliente envoie des informations au serveur Web, lequel communique avec la batterie de serveurs afin de permettre aux utilisateurs d'accéder à leurs applications. Les utilisateurs de machines clientes utilisent un navigateur Web pour s'authentifier à l'interface Web. Le serveur Web lit les informations d'identification des utilisateurs et les communique au Service XML Citrix sur les serveurs de la batterie de serveurs. Le serveur désigné sert d intermédiaire entre le serveur Web et les autres serveurs de la batterie. Le Service XML Citrix du serveur désigné récupère ensuite une liste des applications depuis les serveurs auxquelles les utilisateurs peuvent accéder. Ces applications forment la série d applications de l utilisateur. Le service XML Citrix récupère cette série d'applications à partir du système IMA (Independent Management Architecture).

23 Chapitre 1 Introduction 23 Étape suivante Dans une batterie exécutant Presentation Server pour UNIX, le service XML Citrix du serveur désigné utilise les informations rassemblées à partir de l'explorateur ICA pour déterminer à quelles applications l utilisateur peut accéder. Le service XML Citrix transmet alors les informations relatives à la série d applications de l utilisateur à l'interface Web exécutées sur le serveur. L'utilisateur clique sur une icône d'application dans la page HTML. Le service XML Citrix est contacté pour localiser le serveur le moins occupé de la batterie. Il identifie l'adresse du serveur le moins occupé et renvoie son adresse à l'interface Web. L'Interface Web génère un fichier.ica personnalisé et l'envoie au navigateur Web. Le navigateur Web reçoit le fichier, puis le transmet à la machine cliente. Le client reçoit le fichier et démarre une session cliente avec un serveur en fonction des informations de connexion du fichier. Pour obtenir plus d'informations concernant le système nécessaire, des instructions d installation de l'interface Web et de configuration du serveur exécutant l'interface Web, consultez la section «Déploiement de l'interface Web», page 25.

24 24 Guide de l'administrateur de l'interface Web

25 CHAPITRE 2 Déploiement de l'interface Web Présentation Ce chapitre décrit l'installation de l'interface Web sur votre serveur et la configuration du serveur exécutant l'interface Web. Il comporte les sections suivantes : Configuration requise Installation de l'interface Web Configuration requise Résolution des problèmes liés à l'installation de l'interface Web Désinstallation de l'interface Web La section suivante décrit les configurations du serveur, du serveur Web et de la machine cliente requises pour l'interface Web.

26 26 Guide de l'administrateur de l'interface Web Configurations du serveur Pour exécuter l'interface Web, vos serveurs doivent disposer des éléments cidessous. Versions de Citrix Presentation Server prises en charge L'Interface Web requiert l une des plates-formes suivantes : Citrix Presentation Server 4.5 avec Feature Pack 1 pour Windows Server 2003 ; Citrix Presentation Server 4.5 avec Feature Pack 1 pour Windows Server 2003 x64 Editions ; Citrix Presentation Server 4.5 pour Windows Server 2003 ; Citrix Presentation Server 4.5 pour Windows Server 2003 x64 Editions ; Citrix Presentation Server 4.0 pour Windows Server 2003 ; Citrix Presentation Server 4.0 pour Windows Server 2003 x64 Editions ; Citrix Presentation Server 4.0 pour Windows 2000 Server ; Citrix MetaFrame Presentation Server 3.0 pour Windows Server 2003 ; Citrix MetaFrame Presentation Server 3.0 pour Windows 2000 Server ; Citrix MetaFrame Presentation Server pour systèmes d'exploitation UNIX ; Citrix MetaFrame XP pour Windows, Service Pack 3 pour Windows Server 2003 ; Citrix MetaFrame XP pour Windows, Service Pack 3 pour Windows Server 2000 ; Citrix MetaFrame XP pour Windows, Service Pack 2 pour Windows NT Server 4.0, Terminal Server Edition ; Citrix MetaFrame pour Systèmes d'exploitation UNIX version 1.2. L'Interface Web fonctionne avec ces versions de Presentation Server sur toutes les plates-formes prises en charge. Pour obtenir une liste des plates-formes prises en charge, veuillez consulter la documentation serveur appropriée. Citrix vous conseille d installer la dernière version du service pack sur votre système.

27 Chapitre 2 Déploiement de l'interface Web 27 Access Management Console Pour gérer l'interface Web sur Windows, vous devez installer la console Access Management Console. Pour plus d'informations sur l'installation de la console, veuillez consulter le Guide de l'administrateur Citrix Presentation Server. Configurations logicielles supplémentaires requises Sans les Feature Releases, certaines nouvelles fonctionnalités ne sont pas disponibles. Par exemple, pour utiliser la fonction améliorée de publication de contenu avec l'interface Web, il vous faut installer MetaFrame XP pour Windows, Service Pack 2 et une licence Feature Release 2 sur tous les serveurs de la batterie. Le tableau suivant récapitule les configurations logicielles supplémentaires requises pour les fonctionnalités clés de l'interface Web. Fonctionnalité de l'interface Web Prise en charge de Windows Vista et Internet Explorer 7.0 Modification du mot de passe avec l'agent Program Neighborhood Prise en charge des applications en streaming Configurations logicielles requises Citrix Presentation Server 4.5 avec Feature Pack 1 Clients Citrix Presentation Server 10.1 pour Windows Citrix Presentation Server 4.5 avec Feature Pack 1 Agent Citrix Program Neighborhood 10.1 Citrix Presentation Server 4.5 Citrix Streaming Client 1.0 Agent Citrix Program Neighborhood 10.0 Prise en charge d'adfs Citrix Presentation Server 4.5 Clients Citrix MetaFrame Presentation Server pour Windows 32 bits, version 9.0 Prise en charge de la stratégie de contrôle d'accès Citrix Presentation Server 4.5 Advanced Access Control pour Citrix Access Gateway Clients Citrix MetaFrame Presentation Server pour Windows 32 bits, version 9.0 Libre-service de compte Citrix Password Manager 4.0 Fiabilité de session Citrix Presentation Server 4.0 Clients Citrix MetaFrame Presentation Server pour Windows 32 bits, version 9.0 Contrôle de l'espace de travail Connexion au Bureau à distance Citrix MetaFrame Presentation Server 3.0 Client Citrix MetaFrame Presentation Server pour Windows 32 bits, version 8.0 Citrix MetaFrame Presentation Server 3.0

28 28 Guide de l'administrateur de l'interface Web Fonctionnalité de l'interface Web Configurations logicielles requises Authentification NDS Citrix MetaFrame Presentation Server 3.0 Citrix MetaFrame XP, Feature Release 1 Client Citrix ICA pour Windows 32 bits 6.20 Adressage DNS Citrix MetaFrame Presentation Server 3.0 Citrix MetaFrame XP, Feature Release 1 Citrix MetaFrame pour UNIX 1.2 Client Citrix ICA pour Windows 32 bits 6.20 Prise en charge des cartes à puce Fonctions améliorées de publication de contenu Prise en charge du parefeu côté serveur Prise en charge du parefeu côté client Citrix MetaFrame Presentation Server 3.0 Citrix MetaFrame XP, Feature Release 2 Client Citrix ICA pour Windows 32 bits 6.30 Citrix MetaFrame Presentation Server 3.0 Citrix MetaFrame XP, Feature Release 2 Client Citrix ICA pour Windows 32 bits 6.20 Citrix MetaFrame Presentation Server 3.0 Citrix MetaFrame XP 1.0 pour Windows Citrix MetaFrame pour UNIX 1.2 Pour SOCKS : Client Citrix ICA pour Windows 32 bits 6.0 Pour proxy sécurisé : Client Citrix ICA pour Windows 32 bits 6.30 Équilibrage de charge Citrix MetaFrame Presentation Server 3.0 Citrix MetaFrame XP 1.0 pour Windows Citrix MetaFrame pour UNIX 1.2 Modification du mot de passe par l'utilisateur Citrix MetaFrame Presentation Server 3.0 Citrix MetaFrame XP, Feature Release 2 Authentification unique Citrix MetaFrame Presentation Server 3.0 Citrix MetaFrame XP, Feature Release 2 Client Program Neighborhood pour Windows 32/Agent Citrix Program Neighborhood 6.20 Prise en charge de Secure Gateway Citrix MetaFrame Presentation Server 3.0 Citrix MetaFrame XP 1.0 pour Windows Citrix MetaFrame pour UNIX 1.2 Client Citrix ICA pour Windows 32 bits Configuration générale requise Les serveurs doivent appartenir à une batterie de serveurs. Les serveurs de la batterie doivent posséder des applications publiées. Pour plus d'informations sur l'appartenance à une batterie de serveurs et la publication d'applications dans une batterie de serveurs, veuillez consulter le Guide de l'administrateur Presentation Server.

29 Chapitre 2 Déploiement de l'interface Web 29 Presentation Server pour serveurs UNIX doit également avoir des applications publiées. En outre, ces applications doivent être configurées en vue de leur utilisation avec l'interface Web. Pour plus de détails sur l installation du service XML Citrix pour UNIX et sur la configuration des applications publiées en vue de leur utilisation avec l'interface Web, veuillez consulter le Guide de l'administration Citrix Presentation Server pour UNIX. Configuration requise pour le serveur Web Vous avez besoin d'une copie des clients Citrix Presentation Server sur votre serveur afin de pouvoir assurer l'installation des clients par le Web. Veuillez consulter les sections «Configuration requise pour la machine cliente Citrix Presentation Server», page 32 pour plus d informations sur les versions des clients prises en charge et «Copie des fichiers d'installation d'un client sur le serveur Web», page 109 pour plus d'informations sur la copie des clients sur le serveur exécutant l'interface Web. Sur plates-formes Windows Vous pouvez utiliser l'interface Web sur les serveurs et plates-formes Windows suivants : Système d exploitation Serveur Web Logiciel Windows Server 2003 Internet Information Services 6.0.NET Framework 2.0 ou version supérieure Visual J#.NET 2.0 ASP.NET 2.0 Windows Server 2003 x64 Editions Internet Information Services 6.0 en mode 32 bits.net Framework 2.0 ou version supérieure Visual J#.NET 2.0 ASP.NET 2.0 Windows Server 2003 R2 Internet Information Services 6.0.NET Framework 2.0 ou version supérieure Visual J#.NET 2.0 ASP.NET 2.0 Windows Server 2003 R2 x64 Editions Internet Information Services 6.0 en mode 32 bits.net Framework 2.0 ou version supérieure Visual J#.NET 2.0 ASP.NET 2.0

30 30 Guide de l'administrateur de l'interface Web Sur les systèmes Windows Server 2003, vous devez configurer votre serveur afin d'ajouter le rôle de serveur d'application et d'installer IIS et ASP.NET (souscomposant de IIS). Si IIS n'est pas installé lorsque vous installez.net Framework, vous devez l'installer et réinstaller Framework, ou installer IIS et exécuter la commande aspnet_regiis.exe -i dans le répertoire WINDOWS\Microsoft.NET\Framework\Version. Remarque Les fichiers redistribuables.net Framework et J# sont inclus dans le dossier \Support du CD-ROM Serveur. Sur plates-formes UNIX Vous pouvez utiliser l'interface Web avec les configurations UNIX suivantes : Système d exploitation Serveur JDK Moteur de servlet Red Hat Enterprise Linux AS 3.0 Apache 2.x Sun 1,5.x Tomcat 5.5.x WebSphere Application Server WebSphere WebSphere Solaris 10 WebLogic Server 9.0 WebLogic WebLogic Sun Java System Application Server Platform Edition 8.1 Sun 1.4.x Sun Java System Application Server

31 Chapitre 2 Déploiement de l'interface Web 31 Configuration requise pour l'utilisateur Pour pouvoir ouvrir une session sur l'interface Web, les utilisateurs doivent associer les navigateurs aux systèmes d'exploitation appropriés et pris en charge, tel que décrit ci-dessous : Navigateur Internet Explorer 7.0 (mode 32 bits) Internet Explorer 6.x (mode 32 bits) Mozilla Firefox 2.0 Safari 2.0 Système d exploitation Windows Vista éditions 32 bits Windows Vista éditions 64 bits Windows XP Windows XP Professional x64 Edition Windows Server 2003, Service Pack 2 Windows XP Windows XP Professional x64 Edition Windows Server 2003, Service Pack 2 Windows Fundamentals for Legacy PCs Windows Vista éditions 32 bits Windows XP Windows XP Professional x64 Edition Windows Server 2003, Service Pack 2 Red Hat Enterprise Linux WS 3.0 Mac OS X Mac OS X Mozilla 1.x Solaris 10 Configuration requise pour accéder aux applications livrées en streaming Les combinaisons navigateur-système d'exploitation prises en charge pour permettre aux utilisateurs d'accéder aux applications livrées en streaming sont les suivantes : Navigateur Internet Explorer 7.0 (mode 32 bits) Système d exploitation Windows Vista éditions 32 bits Windows Vista éditions 64 bits Windows XP Windows XP Professional x64 Edition Windows Server 2003, Service Pack 2

32 32 Guide de l'administrateur de l'interface Web Navigateur Internet Explorer 6.x (mode 32 bits) Mozilla Firefox 2.0 Système d exploitation Windows XP Windows XP Professional x64 Edition Windows Server 2003, Service Pack 2 Windows Fundamentals for Legacy PCs Windows Vista éditions 32 bits Windows XP Windows XP Professional x64 Edition Windows Server 2003, Service Pack 2 Configuration requise pour les autres machines clientes Vous pouvez accéder à l'interface Web avec les configurations de terminaux Windows et assistants personnels suivantes : Machine Système d exploitation Navigateur HP ipaq hx2410 Windows Mobile 2003 Second Edition Pocket Internet Explorer HP ipaq rx1950 Windows Mobile 2005 Pocket Internet Explorer HP t5510 WinCE.NET 4.2 Internet Explorer 6.0 Symbian Nokia E61/E70 Symbian Nokia Navigateur Symbian WYSE 3125se WinCE.NET 4.2 Internet Explorer 6.0 WYSE V30 WinCE 5.0 Internet Explorer 6.0 WYSE V90 Windows XPe, Service Pack 1 Internet Explorer 6.0 Configuration requise pour la machine cliente Citrix Presentation Server Pour pouvoir fonctionner avec l'interface Web, vos machines clientes doivent disposer d un client et d un navigateur Web pris en charge. Tous les clients fournis sur le CD-ROM des composants sont compatibles avec l'interface Web. Le CD-ROM des composants est fourni avec Citrix Presentation Server ; vous pouvez aussi télécharger des clients gratuitement à partir du site Web de Citrix. Nous vous conseillons de déployer les derniers clients auprès de vos utilisateurs afin qu'ils puissent tirer parti des fonctionnalités les plus récentes. Chaque client offre des fonctionnalités différentes. Pour des informations complémentaires sur les fonctionnalités prises en charge, reportez-vous au Guide de l'administrateur de ce client particulier.

33 Chapitre 2 Déploiement de l'interface Web 33 Installation de l'interface Web Cette section décrit la procédure d'installation de l'interface Web sur votre serveur. Elle comprend une présentation de la procédure d'installation, ainsi que des instructions permettant d'installer l'interface Web sur chaque plate-forme prise en charge. Présentation de l'installation Pour installer l'interface Web, utilisez le CD-ROM Citrix Presentation Server. Si vous installez l'interface Web sur des plates-formes Windows exécutées en japonais, chinois simplifié, chinois traditionnel ou coréen, n'utilisez pas de nom d'utilisateur contenant des caractères à plusieurs octets lors de l'ouverture de session. Pour plus d'informations sur l'installation de la console Access Management Console, veuillez consulter le Guide de l'administrateur Citrix Presentation Server. Vous pouvez installer l'interface Web sur les plates-formes suivantes : Microsoft Internet Information Services (IIS) ; Tomcat, Sun Java System Application Server, WebLogic et WebSphere pour UNIX. Pour plus d informations sur l installation de l'interface Web, veuillez consulter les sections «Installation de l'interface Web sur les plates-formes Windows», page 35 et «Installation de l'interface Web sur les plates-formes UNIX», page 37.

34 34 Guide de l'administrateur de l'interface Web Considérations relatives à la sécurité Citrix vous conseille de suivre, comme pour tout serveur Windows, les instructions standard de Microsoft pour la configuration de votre serveur Windows. Affichage du port utilisé par le service XML Citrix Lors de la création du site Interface Web (Windows) ou de la génération du fichier.war (UNIX), vous êtes invité à indiquer le numéro de port sur lequel le service XML Citrix s'exécute. Le service Citrix XML constitue le lien de communication entre la batterie de serveurs et le serveur exécutant l'interface Web. Cette section explique comment afficher le numéro de port sur lequel le service XML Citrix s'exécute. Pour afficher le port utilisé par le service XML Citrix sur les plates-formes Windows 1. Sur le serveur d'une batterie, ouvrez la console Access Management Console. 2. Dans le panneau gauche, sélectionnez le nom du serveur. 3. Dans le menu Action, cliquez sur Propriétés. 4. Sélectionnez Service XML pour afficher le port utilisé. Lors de l'installation de Presentation Server, si vous avez sélectionné l'option de partage du port TCP/IP d IIS (Internet Information Services) avec le service XML, la console Access Management Console affiche Le service XML pour ce serveur utilise le même port que IIS comme étant le port utilisé. Dans ce cas, pour déterminer le port du Service XML Citrix, vous devez déterminer le port utilisé par le service d'administration IIS. Par défaut, le service d'administration utilise le port 80. Pour afficher le port utilisé par le service XML Citrix sur les plates-formes UNIX. Sur Presentation Server pour serveurs UNIX, tapez ctxnfusesrv -l à l'invite de commandes pour afficher les informations sur le port. Remarque Vous pouvez, si nécessaire, modifier le port utilisé sur le serveur. Pour plus d'informations, veuillez consulter le Guide de l'administrateur Citrix Presentation Server approprié.

35 Chapitre 2 Déploiement de l'interface Web 35 Installation de l'interface Web sur les platesformes Windows Avant d'installer l'interface Web, vous devez configurer votre serveur pour ajouter le rôle de serveur d'application et installer IIS et ASP.NET. Si vous mettez à niveau une version précédente de l'interface Web, le programme d'installation vous invite à sauvegarder vos sites existants avant de les mettre à niveau. Remarque Sous IIS 6.0, exécutant Windows Server 2003, chaque site est attribué à un regroupement d'applications. La configuration du regroupement d'applications contient un paramètre déterminant le nombre maximal de processus d'exécution. Si vous changez la valeur par défaut de 1, il se peut que vous ne puissiez plus exécuter l'interface Web. Pour installer l'interface Web 1. Ouvrez une session en tant qu'administrateur. Si vous installez l'interface Web à partir du CD-ROM du produit, insérez le CD-ROM dans le lecteur optique du serveur Web. Si vous avez obtenu l'interface Web à partir d'un site de téléchargement, copiez le fichier WebInterface.exe sur votre serveur Web. Cliquez deux fois sur ce fichier. 2. Sélectionnez la langue de votre choix dans la liste. La langue du système d'exploitation que vous utilisez est détectée et affichée par défaut. Cliquez sur Suivant. 3. Dans la page Bienvenue, cliquez sur Suivant. 4. Dans la page Contrat de licence, sélectionnez J'accepte les termes du contrat de licence, puis cliquez sur Suivant. 5. Dans la page Composants communs, sélectionnez un emplacement pour l'installation des composants communs de l'interface Web (par défaut : C:\Program Files\Citrix\Web Interface). Cliquez sur Suivant. 6. Sur la page Clients, sélectionnez Installer les clients à partir du CD- ROM des composants. Cliquez sur Parcourir pour rechercher les fichiers d'installation des clients, dans l'image du CD-ROM ou du CD-ROM des composants.

36 36 Guide de l'administrateur de l'interface Web Le programme d'installation copie le contenu du répertoire \Clients du CD- ROM dans le répertoire Web Interface\Clients ; il s'agit généralement du répertoire C:\Program Files\Citrix\Web Interface\Version\Clients. Tous les sites Web créés par le processus d'installation supposent que le serveur Web contient les fichiers des clients dans cette structure de répertoires. Si vous ne souhaitez pas copier les clients sur le serveur Web lors de l'installation de l'interface Web, sélectionnez Ne pas installer les clients à partir du CD-ROM des composants. Vous pouvez copier les clients sur le serveur ultérieurement. 7. Cliquez sur Suivant pour poursuivre l'installation. 8. Une fois l'installation terminée, cliquez sur Terminer. 9. Ouvrez la console Access Management Console pour commencer à créer et à configurer vos sites. Après avoir installé l'interface Web, vous pouvez commencer à gérer vos sites en configurant et en exécutant le processus de découverte. Pour des informations complémentaires, veuillez consulter la section «Configuration et exécution du processus de découverte», page 48. Installation de l'interface Web sur les plates-formes Windows 64 bits Sur les versions 64 bits de Windows, l'installation de l'interface Web permet la prise en charge de l'extension Web 32 bits dans IIS et désactive la prise en charge de l'extension 64 bits. Pour éviter ce problème, si vous installez l'interface Web sur la version 64 bits d'un système d'exploitation Windows, vous devez installer l'interface Web avant tout autre logiciel Citrix, y compris Citrix Presentation Server et la console Citrix License Management Console. Cet ordre d'installation doit être respecté car il permet aux produits de s'adapter à la prise en charge 32 bits dans IIS. Si vous installez ces produits dans un ordre incorrect, il est possible lors de l'accès au serveur Web que des messages d'erreur tels que «Service non disponible» s'affichent. Sur les systèmes d'exploitation Windows 64 bits, il est possible que l'interface Web ne soit pas compatible avec d'autres logiciels nécessitant des filtres ISAPI 64 bits, tels que le composant Windows Proxy RPC sur HTTP. Vous devez désinstaller Proxy RPC sur HTTP avant d'installer l'interface Web. Pour désinstaller Proxy RPC sur HTTP 1. À partir du menu Démarrer de Windows, cliquez sur Panneau de configuration > Ajout/suppression de programmes. 2. Sélectionnez Ajouter ou supprimer des composants Windows. 3. Sélectionnez Services de mise en réseau puis cliquez sur Détails.

37 Chapitre 2 Déploiement de l'interface Web Sélectionnez la case Proxy RPC sur HTTP et cliquez sur OK. 5. Cliquez sur Suivant pour désinstaller Proxy RPC sur HTTP, puis redémarrez votre ordinateur. Installation de l'interface Web sur les platesformes UNIX Cette section décrit comment installer l'interface Web sur Tomcat. Pour plus d'informations sur d'autres plates-formes UNIX, veuillez consulter la documentation de chaque plate-forme ainsi que la documentation qui accompagne l'outil d'administration de la plate-forme en question. Remarque Si vous installez l'interface Web sur WebSphere, un message d'avertissement concernant la sécurité de l'application s'affiche, indiquant qu'un problème s'est produit avec le contenu du fichier was.policy. Il s'agit d'un fichier de stratégie créé par WebSphere si vous sélectionnez Enforce Java 2 Security sous Security > Global Security. Assurez-vous de modifier le fichier was.policy en accord avec la stratégie de sécurité de WebSphere Java 2, sinon, il se peut que l'interface Web ne fonctionne pas correctement. Ce fichier de stratégie est situé dans WEBSPHERE_HOME/AppServer/installedApps/nom-du-nœud/ nom-du-fichier-war.ear/meta-inf. Pour fonctionner sur des plates-formes UNIX, l'interface Web nécessite un moteur de servlet. Pour prendre en charge l'interface Web, le serveur Web Apache exige un moteur de servlet supplémentaire, comme Tomcat (notez que Tomcat peut être utilisé comme serveur Web autonome ou comme moteur de servlet). Pour installer l'interface Web sur Red Hat Linux (Enterprise ou Fedora), assurezvous que le pack sharutils est également installé car il est nécessaire pour l'utilitaire uudecode. Pour installer l'interface Web sur Tomcat 1. Copiez le fichier WebInterface.sh.gz disponible dans le répertoire de l'interface Web du CD-ROM des composants vers un emplacement temporaire. 2. Dans un shell UNIX, accédez au répertoire dans lequel le fichier d'installation a été téléchargé. Entrez gunzip WebInterface.sh.gz pour décompresser ce fichier. 3. Entrez sh WebInterface.sh pour exécuter le programme d'installation. 4. Appuyez sur Entrée pour lire le contrat de licence. 5. Appuyez sur Q pour fermer le contrat de licence.

38 38 Guide de l'administrateur de l'interface Web 6. Entrez Oui pour accepter les termes du contrat de licence. 7. Sélectionnez un type de site dans la liste affichée. 8. Spécifiez les paramètres de configuration initiale pour le site en répondant aux questions qui s'affichent à l'écran. 9. Un récapitulatif apparaît. Sélectionnez Oui si les informations affichées sont correctes. Le fichier.war est créé et les clients sont copiés à partir du CD-ROM, le cas échéant. 10. Suivez les instructions à l'écran afin de terminer l'installation du fichier.war. Configuration de la stratégie de sécurité sur les serveurs Sun Java System Application Servers Avant de pouvoir créer des sites configurés pour autoriser le libre-service de compte ou des sites Participant invité de Conferencing Manager sur Sun Java System Application Server, vous devez configurer manuellement la stratégie de sécurité du serveur. Pour configurer la stratégie de sécurité sur les serveurs Sun Java System Application Servers 1. Déployez le fichier.war du site sur le serveur. 2. Arrêtez le serveur. 3. Modifiez le fichier Server.policy qui se trouve dans le répertoire «Config» du domaine de déploiement. Par exemple, si Sun Java System Application Server est installé sous Racine SunJavaApplicationServer/AppServer et que le site est déployé dans domain1, le fichier se trouve dans Racine SunJavaApplicationServer/AppServer/domains/domain1/config. 4. Ajoutez les entrées de configuration suivantes avant tout bloc générique : grant codebase "file:${com.sun.aas.instanceroot}/applications/ j2ee-modules/nomfichierwar/-" { permission java.lang.runtimepermission "getclassloader"; permission java.lang.runtimepermission "createclassloader"; permission java.util.propertypermission "java.protocol.handler.pkgs", "read, write"; }; NomFichierWAR est la première partie du nom de fichier du fichier.war de votre site, par exemple CMGuest.

39 Chapitre 2 Déploiement de l'interface Web Modifiez le fichier.xml du dispositif de lancement dans Racine SunJavaApplicationServer/ApplicationServer/lib pour ajouter javax.wsdl à la liste des valeurs pour l'élément sysproperty key="com.sun.enterprise.overrideablejavaxpackages". 6. Démarrez le serveur. Installation à l'aide de la ligne de commande Vous pouvez lancer des tâches de gestion de sites et d'installation sans surveillance grâce à des scripts de ligne de commande. Pour plus d'informations sur l'utilisation de la ligne de commande avec l'interface Web, consultez le Centre de connaissances sur le site Utilisation des packs de langue Les packs de langue contiennent toutes les informations requises pour la localisation des sites dans une langue particulière (allemand, anglais, espagnol, français ou japonais), et notamment : les fichiers de ressources des sites ; l'aide en ligne ; toutes les icônes et images localisées. Après l'installation, il est possible d'ajouter des packs de langue dans le répertoire Fichiers communs de Windows ; pour ce faire, il suffit de copier l'arborescence ou de décompresser le fichier.zip à cet emplacement. Pour choisir une langue pour un site particulier, vous pouvez copier le pack de langue à l'emplacement du site et le modifier. Le site en question utilise ensuite le pack de langue ainsi modifié alors que les autres sites continuent à utiliser les valeurs par défaut. Remarque Pour afficher les messages d'erreur Windows dans la langue appropriée, vous devez installer le pack de langue approprié pour Microsoft.NET Framework. Sous UNIX, vous pouvez installer des packs de langue supplémentaires ; pour ce faire, il vous faut les déplacer dans le répertoire approprié du site, et les extraire s'ils sont fournis dans des formats compressés (.zip par exemple).

40 40 Guide de l'administrateur de l'interface Web Le pack de langue anglaise est utilisé par défaut ; il doit toujours être présent sur votre serveur. Remarque Les packs de langue sont spécifiques à la version de l'interface Web avec laquelle ils ont été fournis, ils ne peuvent donc pas être utilisés avec des versions antérieures ou ultérieures. Pour plus d'informations sur l'utilisation des packs de langue, reportez-vous au kit de développement de l'interface Web. Suppression des packs de langue Certains clients, tels que les machines Windows CE, ne peuvent pas afficher certaines langues (le japonais, par exemple). Dans ce cas, la liste de sélection de la langue figurant dans l'interface utilisateur affiche des carrés à la place des langues indisponibles. Pour éviter ce problème, vous pouvez supprimer une langue sur tous les sites ou sur certains d'entre eux seulement. Pour les sites qui se trouvent sur la plate-forme Windows, supprimez le fichier CodeLangue.lang (par exemple, ja.lang) dans les fichiers communs. Ce fichier se trouve généralement dans le répertoire C:\Program Files\Citrix\Web Interface\Version\languages. Vous supprimerez ainsi la langue de tous les sites du serveur. Si vous souhaitez activer cette langue pour un site particulier, déplacez le fichier.lang vers le dossier «languages» correspondant à ce site. Pour les sites qui se trouvent sur la plate-forme UNIX, après avoir créé un fichier.war, ouvrez-le à l'aide d'un outil approprié, supprimez le fichier.lang et conditionnez-le à nouveau. Vous supprimez ainsi la langue des sites déployés à partir de ce fichier.war. Déploiement de langues pour les utilisateurs Lorsque les utilisateurs ouvrent une session, le système détecte la langue envoyée par le navigateur. L'écran est affiché dans cette langue ou, si la langue de l'utilisateur n'est pas détectée ou identifiée, dans la langue par défaut du site. Les utilisateurs peuvent sélectionner une langue parmi celles disponibles (si plusieurs packs de langue sont disponibles) ; l'écran d'ouverture de session se recharge alors dans la langue sélectionnée. Si le site est en mode Kiosque, la langue du navigateur de l'utilisateur est détectée à chaque nouvelle session. Si les utilisateurs ne visualisent pas normalement l'écran d'ouverture de session (au cours d'une authentification silencieuse, par exemple), ils peuvent sélectionner une langue dans la page Préférences de présentation.

41 Chapitre 2 Déploiement de l'interface Web 41 Étape suivante Assurez-vous que les utilisateurs disposent d'une version correcte du Client Citrix Presentation Server, adaptée à la langue choisie. Lorsqu'un utilisateur lance une application au moyen d'un client incorporé, l'interface Web exécute l'une des opérations suivantes : lancement de la langue de l'utilisateur (si disponible sur le client) ; lancement de la langue par défaut du site (si disponible sur le client) ; affichage d'un message d'erreur indiquant qu'aucun client n'est disponible sur le serveur. (ce message concerne également les clients Web) Mise à niveau d'une installation existante Vous pouvez mettre à niveau la version 4.0 ou ultérieure de l'interface Web vers la dernière version, en installant l'interface Web à partir du CD-ROM ou des fichiers de téléchargement disponibles sur Internet. Vous ne pouvez pas passer à une version antérieure de l'interface Web. Une fois l'interface Web installée, vous devez permettre aux utilisateurs d'y accéder. Pour ce faire, vous devez créer et configurer des sites à l'aide de la console Access Management Console ou modifier le fichier de configuration WebInterface.conf directement. Par ailleurs, il peut être nécessaire de configurer l'interface Web en fonction des autres composants présents dans votre installation ou bien de personnaliser ou développer les fonctionnalités de l'interface Web. Pour plus d'informations sur la configuration de l'interface Web pour Access Gateway ou Secure Gateway à l'aide de la console Access Management Console, veuillez consulter la section «Configuration de la prise en charge de Secure Gateway», page 180. Pour plus d'informations sur la configuration de l'interface Web à l'aide de la console ou du fichier WebInterface.conf, consultez la section «Configuration de sites au moyen de la console», page 48 ou «Configuration de sites à l'aide du fichier de configuration», page 157. Pour plus d'informations sur la configuration de l'interface Web pour l'utilisation d'adfs, veuillez consulter la section «Configuration de la prise en charge d'adfs pour l'interface Web», page 183.

42 42 Guide de l'administrateur de l'interface Web Pour des informations complémentaires sur la sécurité, veuillez consulter la section «Configuration de la sécurité de l'interface Web», page 139. Pour développer et personnaliser les fonctionnalités de l'interface Web, reportez-vous au kit de développement de l'interface Web. Résolution des problèmes liés à l'installation de l'interface Web Cette section décrit l'utilisation de l'option Réparer disponible sur les platesformes Windows, qui permet de résoudre les problèmes liés à l'installation de l'interface Web. Elle présente également les mesures à prendre si l'option Réparer n'est pas disponible ou ne permet pas de résoudre le problème. Elle contient également des informations sur la désactivation des messages d'erreur. Utilisation de l'option Réparer Si vous rencontrez des difficultés avec l'installation de votre Interface Web, essayez d utiliser l option Réparer pour résoudre le problème. L'option Réparer réinstalle les fichiers communs, mais elle ne répare ou ne remplace pas les sites existants. Pour exécuter l option Réparer à partir du fichier.exe 1. Cliquez deux fois sur le fichier WebInterface.exe. 2. Sélectionnez Réparer, puis cliquez sur Suivant. 3. Suivez les instructions à l'écran. Remarque Si l'option Réparer ne permet pas de résoudre le problème, ou si cette option n'est pas disponible (par exemple, sur les plates-formes UNIX), essayez de désinstaller puis de réinstaller l'interface Web. Pour plus d'informations, consultez la section «Désinstallation de l'interface Web», page 43. Vous devez reconstituer tous vos sites après la réinstallation de l'interface Web.

43 Chapitre 2 Déploiement de l'interface Web 43 Désactivation des messages d'erreur Sur les plates-formes Windows, vous pouvez désactiver les messages d'erreur fournis avec l'interface Web et afficher vos propres messages d'erreur. Pour ce faire, modifiez le fichier web.config qui se trouve dans le répertoire racine du site. Remplacez la ligne suivante : <customerrors mode="on" defaultredirect="html/servererror.html" /> par : <customerrors mode="off" defaultredirect="html/servererror.html" /> Désinstallation de l'interface Web Lorsque vous désinstallez l'interface Web, tous les fichiers de l'interface Web sont supprimés, y compris le répertoire \Clients. Par conséquent, si vous souhaitez conserver des fichiers de l'interface Web, copiez-les dans un autre emplacement avant de désinstaller l'interface Web. Dans certains cas, il est possible que la désinstallation de l'interface Web échoue pour l'une des raisons suivantes : le programme de désinstallation dispose d un accès insuffisant au Registre ; IIS a été supprimé du système après l installation de l'interface Web. Désinstallation de l'interface Web sur les platesformes Windows Pour désinstaller l'interface Web sur les plates-formes Windows 1. Utilisez l'option Ajout/Suppression de programmes disponible depuis Démarrer > Paramètres > Panneau de configuration. 2. Suivez les instructions à l'écran. Désinstallation de l'interface Web sur les platesformes UNIX Si votre serveur Web est doté d'un outil vous permettant de désinstaller des applications Web, suivez la procédure recommandée afin de désinstaller l'interface Web. Vous pouvez également désinstaller l'interface Web manuellement.

44 44 Guide de l'administrateur de l'interface Web Pour désinstaller l'interface Web de Tomcat 1. Recherchez le répertoire dans lequel vous aviez copié le fichier.war. 2. Arrêtez votre serveur Web. 3. Tapez rm NomFichierWAR. Il peut également s'avérer nécessaire de supprimer les répertoires dans lesquels le fichier.war a été développé. Le nom du répertoire est en principe identique au nom du fichier.war. Par exemple, le contenu du fichier Citrix.war est copié dans un répertoire Citrix. Remarque Lorsque vous désinstallez l'interface Web, certains fichiers peuvent rester sur le serveur. Pour de plus amples informations sur les fichiers restants, veuillez consulter le fichier Lisez-moi de Citrix Presentation Server.

45 CHAPITRE 3 Démarrage de l'interface Web Présentation Ce chapitre explique comment configurer l'interface Web à l'aide de la console Access Management Console ou du fichier de configuration de l'interface Web. Il comporte les sections suivantes : Choix de la méthode de configuration Choix de l'emplacement de stockage de la configuration de votre site Configuration de sites au moyen de la console Configuration et exécution du processus de découverte Mise à niveau des sites existants Création de sites Définition des paramètres de configuration initiale d'un site Utilisation des tâches de site Rendre l'interface Web accessible aux utilisateurs Choix de la méthode de configuration Vous pouvez configurer et personnaliser l'interface Web en utilisant soit la console Access Management Console soit les fichiers de configuration. Access Management Console La console Access Management Console vous permet d'effectuer rapidement et facilement les tâches d'administration quotidiennes. Par exemple, vous pouvez utiliser la console pour définir les paramètres que les utilisateurs peuvent sélectionner et pour configurer l'authentification des utilisateurs de l'interface Web. Votre configuration devient effective lorsque vous effectuez des modifications à l'aide de la console.

46 46 Guide de l'administrateur de l'interface Web Vous pouvez configurer les sites créés sous les plates-formes Windows et UNIX à l'aide de la console Access Management Console. Vous pouvez installer la console Access Management Console sur les machines qui exécutent : Windows Server 2003, Service Pack 1 ; Windows Server 2003 R2 ; Windows XP Professional, Service Pack 2 ; Windows 2000 Professional, Service Pack 4. Remarque Vous devez également vous assurer que.net Framework 2.0 ou une version ultérieure est installé. Pour plus d informations sur la configuration de l Interface Web à l aide de la console, consultez la section «Configuration de sites au moyen de la console», page 48 ainsi que l'aide en ligne de la console. Fichiers de configuration Vous pouvez utiliser les fichiers de configuration suivants : Fichier WebInterface.conf. Le fichier WebInterface.conf vous permettant de modifier un grand nombre des propriétés de l'interface Web est disponible à la fois sur les plates-formes Windows et UNIX. Servez-vous en pour effectuer les tâches d'administration quotidiennes et personnaliser de nombreux autres paramètres. Modifiez les valeurs dans le fichier WebInterface.conf et sauvegardez le fichier mis à jour pour appliquer les modifications. Remarque Il est possible, sur les plates-formes UNIX, que vous ayez besoin d'arrêter et de redémarrer le serveur exécutant l'interface Web pour que les modifications soient prises en compte. Pour plus d'informations sur la configuration de l'interface Web à l'aide du fichier WebInterface.conf, veuillez consulter la section «Configuration de sites à l'aide du fichier de configuration», page 157. Fichier de configuration de l'agent Program Neighborhood. Vous pouvez configurer l'agent Program Neighborhood à l'aide du fichier config.xml situé sur le serveur exécutant l'interface Web.

47 Chapitre 3 Démarrage de l'interface Web 47 Choix de l'emplacement de stockage de la configuration de votre site L'Interface Web permet une prise en charge du stockage de la configuration de site à deux emplacements : Fichiers locaux. Si vous utilisez des fichiers locaux, la configuration de site est stockée dans un fichier sur le serveur exécutant l'interface Web. Si vous utilisez la console Access Management Console pour la gestion de site, vous devez installer la console sur le serveur exécutant l'interface Web. Dans ce guide, les sites qui stockent leurs données de configuration dans des fichiers locaux sous forme de sites configurés localement sont appelés sites configurés localement. Remarque Sur les plates-formes UNIX, vous gérez les sites configurés localement en modifiant le fichier WebInterface.conf. Serveur(s) exécutant le Service de configuration. Le Service de configuration fournit un mécanisme de récupération et de persistance des données de configuration de site. Si vous utilisez le Service de configuration, la configuration de site est stockée à un emplacement centralisé sur le serveur d'une batterie exécutant Presentation Server. L'utilisation de la configuration centralisée vous permet de configurer un site depuis n'importe quel serveur de batterie exécutant la console Access Management Console. Cela vous permet également de regrouper les sites et de les configurer comme une seule entité. Dans ce guide, les sites utilisant cet emplacement de configuration sont appelés des sites utilisant la configuration centralisée. Utilisation de la configuration centralisée Pour stocker la configuration de site dans un emplacement centralisé, vous devez ouvrir une session sur l'ordinateur exécutant la console Access Management Console en tant qu'administrateur Citrix ayant reçu la permission de modifier les sites Interface Web configurés de façon centralisée. Contrairement aux administrateurs complets, qui eux disposent de ce privilège par défaut, vous devez pour les administrateurs personnalisés utiliser la tâche Modifier les propriétés d'administrateur dans la console Access Management Console. Pour plus d'informations concernant la modification des privilèges administrateur, veuillez consulter le Guide de l'administrateur Citrix Presentation Server.

48 48 Guide de l'administrateur de l'interface Web Configuration de sites au moyen de la console Grâce à la console Access Management Console, vous pouvez créer et configurer des sites, Services de l'agent Program Neighborhood et Participant invité de Conferencing Manager. Elle permet également de manipuler rapidement et facilement un grand nombre de paramètres. Lorsque vous utilisez la console, certains paramètres de l'interface Web peuvent être désactivés si leur valeur ne s'applique pas à la configuration actuelle et si la valeur par défaut des paramètres de WebInterface.conf correspondants est rétablie. Citrix recommande de sauvegarder régulièrement les fichiers WebInterface.conf et config.xml de vos sites. Obtention de l'aide Vous pouvez afficher l'aide de la console Access Management Console en cliquant sur Aide > Rubriques d'aide ou en cliquant le bouton Aide qui se trouve sur la barre d'outils. Vous pouvez également accéder à l'aide en ligne en appuyant sur F1 ou en cliquant avec le bouton droit de la souris sur un nœud de l'arborescence et en sélectionnant Aide. Démarrage de la console Access Management Console Exécutez la console depuis Tous les programmes > Citrix > Consoles de gestion > Access Management Console. Pour plus d'informations sur la console Access Management Console, veuillez consulter le Guide de l'administrateur Citrix Presentation Server. Configuration et exécution du processus de découverte Pour administrer l'interface Web au moyen de la console Access Management Console, vous devez exécuter la tâche de découverte sur la console. L'exécution de la découverte établit des connexions à vos batteries de serveurs. Lorsque vous ouvrez la console pour la première fois, vous êtes invité à démarrer le processus de découverte : sélection des composants de votre choix, configuration du processus de découverte et recherche des éléments à gérer. L'assistant Configurer et exécuter la découverte vous permet de : préciser dans quels produits vous souhaitez que le processus de découverte recherche de nouveaux éléments ; indiquer si vous souhaitez récupérer la configuration centralisée des sites installés sur votre ordinateur ;

49 Chapitre 3 Démarrage de l'interface Web 49 modifier les détails des serveurs exécutant le Service de configuration ; préciser les détails des batteries exécutant Presentation Server. Exécutez ensuite le processus de découverte seulement si vous souhaitez découvrir un nouveau produit ou si des éléments ont été ajoutés ou supprimés dans votre déploiement. Remarque Après avoir installé la dernière version de l'interface Web, les versions antérieures de la console Access Management Console ne découvrent plus les sites configurés de manière centralisée. Pour éviter ce problème, mettez à jour toutes les installations de console puis exécutez le processus de découverte pour découvrir les sites créés précédemment. Pour configurer et exécuter le processus de découverte 1. À partir du menu Démarrer, cliquez sur Tous les programmes > Citrix > Consoles de gestion > Access Management Console. 2. Dans la page Bienvenue de l'assistant Configurer et exécuter la découverte, cliquez sur Suivant. Si cette page ne s'affiche pas automatiquement, cliquez sur Configurer et exécuter la découverte. 3. Sur la page Sélectionner les produits ou les composants, veillez à ce que la case Interface Web soit sélectionnée et cliquez sur Suivant. 4. Dans la page Serveurs de configuration, choisissez l'une des options suivantes : Cliquez sur Contacter les serveurs suivants exécutant le service de configuration si vous souhaitez créer des sites dont la configuration sera stockée dans un emplacement centralisé sur des serveurs exécutant le service de configuration. Cliquez ensuite sur Ajouter et entrez le nom d'un serveur. Cliquez sur Ne pas contacter les serveurs exécutant le service de configuration si vous souhaitez créer des sites dont la configuration sera stockée dans des fichiers locaux ou si les serveurs exécutant le Service de configuration sont derrière un pare-feu. Remarque Si cette option est sélectionnée, seules les tâches du site local sont disponibles.

50 50 Guide de l'administrateur de l'interface Web 5. Cliquez sur Suivant. 6. Sur la page Afficher la découverte, cliquez sur Suivant. 7. Si l'assistant Configurer et exécuter la découverte ne se ferme pas automatiquement, cliquez sur Terminer. Après avoir exécuté le processus de découverte pour la connexion à une batterie de serveurs, vous pouvez utiliser la console Access Management Console pour créer des sites. Remarque Vous pouvez créer des sites uniquement à l'aide de la console Access Management Console installée sur le serveur exécutant l'interface Web. Pour exécuter la découverte à distance de sites configurés de manière centralisée, vous devez utiliser une instance de la console Access Management Console installée sur un ordinateur membre du même domaine ou groupe de travail contenant le Service de configuration. Une fois le processus de découverte terminé, les sites existants sont affichés audessous du nœud Interface Web dans l'arborescence de la console ; vous êtes alors prêt à créer des sites et à administrer les sites existants. Mise à niveau des sites existants Si vous mettez à niveau une version précédente de votre installation, l'interface Web permet une prise en charge de la mise à niveau des sites existants : Sites configurés localement. Lors de l'installation, le processus d'installation de l'interface Web met automatiquement à niveau la dernière version des sites configurés localement. Une fois le processus de découverte exécuté, les sites sont immédiatement disponibles. Sites configurés de manière centralisée. La mise à niveau des sites configurés de manière centralisée se déroule en deux étapes : Lors de l'installation, le processus d'installation de l'interface Web met à niveau les fichiers de chaque site configuré de façon centralisée.

51 Chapitre 3 Démarrage de l'interface Web 51 Après avoir exécuté le processus de découverte, vous devez mettre à niveau les informations de configuration des sites configurés de manière centralisée en utilisant la tâche Mettre la configuration à niveau. Important Les sites configurés de manière centralisée sont inopérants jusqu'à ce que vous ayez terminé la mise à niveau à l'aide de la tâche Mettre la configuration à niveau. En effet, les informations de configuration de ces sites ne sont pas disponibles lorsque l'interface Web les demande. Mise à niveau des sites configurés de manière centralisée Lors de l'installation, l'interface Web remplace les fichiers des sites configurés de manière centralisée déjà existants par les versions les plus récentes et contacte le serveur de configuration centrale pour enregistrer à nouveau chaque site à la dernière version. À la fin du processus d'installation, le Service de configuration contient deux versions des sites configurés de manière centralisée : une version ancienne du site existant avec une configuration valide et la dernière version du site qui ne possède aucune configuration. Outre la mise à niveau des sites configurés de manière centralisée vers la dernière version, l'interface Web prend également en charge la mise à niveau vers une version supérieure qui n'est pas la version la plus récente disponible. Ce cas de figure peut se produire, par exemple, si vous mettez à niveau un site configuré de manière centralisée vers la version 4.5 de l'interface Web, mais que vous utilisez la version 4.6 de la console Access Management Console pour gérer le processus de configuration et de mise à niveau. Pour terminer la mise à niveau des sites configurés de manière centralisée, exécutez la tâche Mettre la configuration à niveau. Vous pouvez mettre à niveau tous les sites, groupes de sites ou sites individuels. Pour mettre à niveau tous les sites configurés de manière centralisée 1. Dans le volet gauche de la console, sélectionnez Interface Web. 2. Cliquez sur Mettre la configuration à niveau. 3. Sélectionnez les sites ou groupes de sites que vous souhaitez mettre à niveau, puis cliquez sur Mettre à niveau. 4. Cliquez sur Oui pour confirmer que vous souhaitez mettre à niveau les sites ou groupes sélectionnés.

52 52 Guide de l'administrateur de l'interface Web Pour mettre à niveau des sites individuels ou des groupes de sites 1. Dans le volet gauche de la console, sélectionnez le site ou le groupe. 2. Cliquez sur Mettre la configuration à niveau. 3. Cliquez sur Mettre à niveau. 4. Cliquez sur Oui pour confirmer que vous souhaitez mettre à niveau les sites ou groupes sélectionnés. Mise à niveau de groupes de sites Pour les sites regroupés dans la console Access Management Console, une seule configuration est stockée avec le Service de configuration et appliquée à tous les sites du groupe. Vous ne pouvez mettre la configuration d'un groupe à niveau que si le numéro de version de destination est le même pour tous les sites mis à niveau au sein du groupe. Les sites d'un groupe peuvent exister sur plusieurs serveurs. Après l'installation, l'une des situations suivantes peut se produire : Tous les sites d'un groupe ont leurs fichiers mis à niveau. Si les fichiers de tous les sites d'un groupe sont mis à niveau lors de l'installation, vous pouvez mettre à niveau la configuration du groupe après avoir exécuté le processus de découverte. Un message d'alerte de site ou de groupe mis à jour s'affiche sur la console et la tâche Mettre la configuration à niveau est disponible pour le nœud du groupe. Certains sites d'un groupe ont leurs fichiers mis à niveau. Si les fichiers de certains sites d'un groupe sont mis à niveau lors de l'installation, un message d'alerte Site/groupe mal configuré s'affiche au niveau de la console. Les sites dont les fichiers sont mis à niveau sont inopérants jusqu'à ce que vous terminiez la mise à niveau, les informations de configuration pour ces sites n'étant pas disponibles lorsque l'interface Web les demande. Les sites dont les fichiers ne sont pas mis à niveau lors de l'installation fonctionnent normalement. Vous pouvez terminer le processus de mise à niveau de la manière suivante : en exécutant le programme d'installation de l'interface Web et en mettant à niveau les fichiers des sites restants ; en supprimant du groupe les sites dont les fichiers ne sont pas mis à niveau.

53 Chapitre 3 Démarrage de l'interface Web 53 Suppression des sites mal configurés Si plus de deux versions enregistrées existent pour un site configuré au niveau central, un message d'alerte Site/groupe mal configuré s'affiche sur la console. Exécutez la tâche Nettoyer la configuration pour supprimer les versions des sites indésirables. Un site est considéré comme mal configuré lorsque : il est enregistré sous une version plus récente que celle connue dans la console Access Management Console ; il est mis à niveau vers une certaine version, puis remis à niveau vers une version ultérieure sans avoir terminé la première mise à niveau en exécutant la console Access Management Console. Trois versions de ce site sont enregistrées avec le serveur de configuration centralisée ; il est enregistré avec plusieurs batteries, suite à la modification manuelle de ses fichiers de configuration. Pour supprimer des sites mal configurés 1. Cliquez sur Nettoyer la configuration. 2. Sélectionnez Sites mal configurés dans la liste Affichage. 3. Sélectionnez les versions des sites que vous souhaitez supprimer, puis cliquez sur Supprimer. 4. Cliquez sur Oui pour confirmer que vous souhaitez supprimer les sites ou groupes sélectionnés. Création de sites Après avoir exécuté le processus de découverte, vous pouvez créer des sites afin de fournir aux utilisateurs un accès aux applications publiées à l'aide d'un navigateur Web ou de l'agent Program Neighborhood et permettre aux utilisateurs invités d'assister aux conférences Conferencing Manager. Création de sites sur des serveurs Web Windows Utilisez la tâche Créer un site pour créer l'un des sites suivants : Access platform. Pour les utilisateurs qui accèdent aux applications à l'aide de l'interface Web ; Services de l'agent Program Neighborhood. Pour les utilisateurs qui accèdent aux applications à l'aide de l'agent Program Neighborhood ; Participant invité de Conferencing Manager. Pour les utilisateurs qui ouvrent des sessions de conférences en qualité de participants invités.

54 54 Guide de l'administrateur de l'interface Web Utilisez cette tâche pour indiquer l'emplacement de IIS dans lequel le site est hébergé, l'adresse URL d'application des modifications, la source de configuration et les paramètres d'authentification du site. Vous pouvez mettre à jour ces options plus tard à l'aide de Tâches du site local. Pour pouvoir créer des sites, vous devez être un administrateur local sur le système exécutant la console Access Management Console. Remarque Si vous utilisez une configuration centralisée, il vous est impossible d'indiquer des serveurs de configuration provenant de plusieurs batteries. Vous ne pouvez obtenir la configuration de site qu'à partir de serveurs provenant de la même batterie. Cependant, différents sites peuvent utiliser des serveurs de plusieurs batteries. Pour créer un site 1. Cliquez sur Interface Web dans l'arborescence de la console. 2. Cliquez sur Créer un site. 3. Sélectionnez le type de site à créer. 4. Suivez les instructions affichées à l'écran pour créer le site. 5. Cliquez sur Terminer. Création de sites sur des serveurs Web UNIX Sous UNIX, un script de pré-installation est exécuté avant la création d'un site. Ce script génère un fichier.war personnalisé pour le site qu'il faut ensuite installer (en plaçant ce fichier à un emplacement adéquat pour le moteur de servlet). Il requiert l'utilitaire uudecode et Java. Vous pouvez modifier des sites en éditant le contenu du fichier.war décompressé, ou en supprimer en effaçant le fichier.war. Spécification de la source de configuration d'un site Vous pouvez stocker la configuration dans des fichiers locaux ou à un emplacement de configuration centralisée sur un serveur exécutant le Service de configuration. En général, il s'agit du serveur exécutant également le Service XML Citrix. Vous pouvez modifier la source de configuration d'un site. Si vous passez à une configuration locale, la configuration existante est récupérée à partir de l'emplacement de la configuration centralisée et ajoutée au nouveau fichier local en conséquence.

55 Chapitre 3 Démarrage de l'interface Web 55 Pour plus d'informations sur la spécification des sources de configuration de site dans la console Access Management Console, veuillez consulter la section «Utilisation des tâches de site local», page 64. Vous pouvez également importer des fichiers de configuration existants afin de les utiliser avec un site sélectionné et exporter des fichiers de configuration à utiliser avec d'autres sites. Pour des informations complémentaires, veuillez consulter la section «Importation et exportation de fichiers de configuration», page 55. Sous UNIX, le script de pré-installation ne peut pas créer de sites à l'aide des fichiers de configuration locaux basés sur des configurations de site existantes. Sous Windows, si vous sélectionnez la configuration centralisée lors de l'installation d'un site, celui-ci est automatiquement enregistré auprès du Service de configuration après l'installation. Sous UNIX, le site est enregistré au cours du premier chargement de page, une fois qu'il a été déployé dans un moteur de servlet. Importation et exportation de fichiers de configuration Vous pouvez importer des fichiers de configuration existants afin de les utiliser avec un site sélectionné et exporter des fichiers de configuration à utiliser avec d'autres sites. Pour ce faire, utilisez les tâches Importer la configuration et Exporter la configuration. Définition des paramètres d'authentification Lors de la création d'un site, vous pouvez spécifier si les utilisateurs accèdent à ce site à l'aide d'une authentification intégrée, d Advanced Access Control ou d ADFS. Sélectionner ADFS permet au partenaire ressource d'un déploiement ADFS d'utiliser Presentation Server. Cela permet aux administrateurs de fournir aux utilisateurs un accès aux publications publiées sur le partenaire ressource.

56 56 Guide de l'administrateur de l'interface Web Si vous envisagez de créer des sites ADFS incorporés, vous devez tenir compte de ce qui suit : La prise en charge d'adfs n'est pas disponible sur les plates-formes UNIX ; Les sites ADFS incorporés prennent en charge l'authentification à l'aide d'adfs uniquement. D'autres méthodes d'authentification ne sont pas prises en charge ; Après la création d'un site ADFS incorporé, vous ne pouvez pas configurer le site pour utiliser l'authentification incorporée ou Advanced Access Control à la place d'adfs ; Le déploiement d'applications livrées en streaming dans un environnement ADFS n'est pas pris en charge. Pour des informations complémentaires, veuillez consulter la section «Configuration de la prise en charge d'adfs pour l'interface Web», page 183. Définition des paramètres de configuration initiale d'un site Après avoir créé un site, vous pouvez définir les paramètres de configuration initiale en cochant la case Configurer ce site maintenant sur la page finale de l'assistant Créer un site. Utilisez cet assistant pour configurer la communication avec une ou plusieurs batteries de serveurs, définissez les types d'applications disponibles pour les utilisateurs et configurez l'accès des utilisateurs à un site. Si vous créez un site Participant invité de Conferencing Manager, utilisez cette tâche pour définir l'adresse URL du Service de conférence externe. Remarque Vous pouvez également exécuter à tout moment la tâche Spécifier la configuration Initiale dans la console pour les sites configurés de manière centralisée. Pour plus d'informations sur la configuration de la communication avec les batteries de serveurs, veuillez consulter le Chapitre 4, «Gestion des serveurs et des batteries.»

57 Chapitre 3 Démarrage de l'interface Web 57 Définition des types d'applications disponibles pour les utilisateurs L'Interface Web offre aux utilisateurs un accès aux applications et au contenu grâce à un navigateur Web standard ou à l'aide de l'agent Program Neighborhood. L'intégration à la fonction de streaming d'application Citrix permet aux utilisateurs de livrer des applications en streaming sur leur bureau et de les lancer localement. Vous pouvez attribuer aux utilisateurs les accès suivants aux applications : Sur le bureau distant. Les utilisateurs accèdent aux applications publiées installées sur un serveur distant. Livrées en streaming. Les utilisateurs livrent en streaming des applications sur leurs bureaux et les lancent localement. Livrées en streaming en mode double. Les utilisateurs livrent en streaming des applications sur leurs bureaux et les lancent localement ou les activent en mode virtuel depuis Presentation Server. Si les applications livrées en streaming ne sont pas disponibles, des versions distantes sont lancées. Vous pouvez à tout moment mettre à jour ces paramètres à l'aide de la tâche Gérer les types d'applications. Configuration de l'accès des utilisateurs au site Les utilisateurs peuvent directement accéder à un site, à l'aide de l'adresse URL de l'interface Web ou d'advanced Access Control. Accès direct à un site Si un utilisateur accède directement à un site, vous pouvez activer la prise en charge de l'adresse URL d'application publiée. Cette fonctionnalité permet aux utilisateurs de créer des liens persistants vers les applications publiées accessibles par l'interface Web. Ces liens peuvent être ajoutés à la liste de raccourcis de l'utilisateur ou à son bureau. Vous pouvez activer la prise en charge de l'adresse URL d'application publiée en cochant la case Autoriser le démarrage des applications à l'aide des signets. Accès à un site avec Advanced Access Control L'utilisation d'advanced Access Control en tant que méthode d'accès contrôle l'accès des utilisateurs aux ressources par l'utilisation de filtres et de stratégies de contrôle d'accès. Ceci permet l'utilisation de l'analyse de point de terminaison comme condition d'accès aux applications, accompagnée d'autres facteurs.

58 58 Guide de l'administrateur de l'interface Web Par défaut, l'authentification unique est activée pour les utilisateurs qui accèdent à l'interface Web à l'aide d'advanced Access Control. Les utilisateurs ouvrent une session à l'aide d'advanced Access Control et ne doivent pas s'authentifier à nouveau sur l'interface Web pour accéder à leurs applications. Pour accroître la sécurité, vous pouvez désactiver l'authentification unique en cochant la case Inviter les utilisateurs à entrer les mots de passe avant d'afficher la liste d'applications. Vous pouvez à tout moment mettre à jour ces paramètres à l'aide de la tâche Gérer la méthode d'accès. Remarque La prise en charge d'advanced Access Control n'est pas disponible sur les plates-formes UNIX. Déploiement recommandé pour Advanced Access Control Le déploiement recommandé pour l'utilisation d'advanced Access Control avec l'interface Web est illustré ci-dessous. Ce diagramme illustre le déploiement recommandé pour l'utilisation d'advanced Access Control avec l'interface Web

59 Chapitre 3 Démarrage de l'interface Web 59 Dans ce déploiement, Presentation Server, l'interface Web et Advanced Access Control sont tous installés sur les serveurs dans le réseau interne. Access Gateway est installé dans la zone démilitarisée (DMZ). Lorsque vous installez Advanced Access Control, un exemple de l'agent d'ouverture de session est également installé. L'Agent d'ouverture de session fournit l'interface utilisateur pour l'ouverture de session sur un serveur de votre batterie de serveurs. Lorsque des utilisateurs ouvrent une session, ils sont identifiés par Access Gateway et dirigés vers les ressources soumises aux stratégies d'accès configurées dans Advanced Access Control. Mise à disposition des ressources auprès des utilisateurs Grâce à Advanced Access Control, les utilisateurs ouvrent une session sur un point d'ouverture de session pour accéder à leurs ressources. Pour rendre les ressources accessibles aux utilisateurs, configurez un point d'ouverture de session pour fournir un accès à un site. Advanced Access Control fournit plusieurs méthodes d'intégration des sites créés avec l'interface Web, parmi lesquels : Site incorporé dans la page de navigation par défaut. Lorsque la page de navigation est sélectionnée comme page d'accueil par défaut, un site est affiché à côté des partages de fichiers, des centres d'accès et des applications Web. Remarque Cette option est disponible seulement si vous exécutez Citrix Access Gateway 4.2 avec Advanced Access Control. Site configuré comme page d'accueil par défaut pour un point d'ouverture de session. Après avoir ouvert leur session, le site Access Platform est présenté aux utilisateurs. Remarque Cette option est disponible uniquement si vous exécutez Access Gateway Enterprise 4.0 avec la correction à chaud Access Gateway Enterprise AAC400W001 appliquée ou Citrix Access Gateway 4.2 avec Advanced Access Control ou version supérieure.

60 60 Guide de l'administrateur de l'interface Web Pour intégrer un site Procédez comme suit dans Advanced Access Control. 1. Configurez Presentation Server pour communiquer avec Advanced Access Control. 2. Créez une ressource Web pour le site avec les paramètres suivants : Sélectionnez Interface Web Citrix 4.2 ou version ultérieure comme type d'application. Cochez la case Publier à l'attention des utilisateurs dans leur liste de ressources. 3. Définissez les paramètres de stratégie appropriés pour la ressource Web référençant le site. 4. Fournissez l'accès au site de l'une des manières suivantes : Affichez le site en tant que page d'accueil par défaut. Configurez un point d'ouverture de session pour afficher l'application avec la priorité d'affichage la plus haute en tant que page d'accueil. Configurez ensuite le site comme application avec la priorité la plus haute. Intégrez un site dans la page de navigation. Configurez un point d'ouverture de session pour afficher la page de navigation en tant que page d'accueil. Le site est intégré sous la forme d'un repère dans la page de navigation. Remarque La page de navigation fournie par Advanced Access Control ne pouvant afficher qu'un seul site (ressources Web configurées avec le type d'application Interface Web 4.2 ou version ultérieure), vous ne devez configurer qu'une seule ressource Web de ce type. Pour plus d'informations sur cette procédure, veuillez consulter le Guide de l'administrateur Citrix Access Gateway édition Advanced. Procédez comme suit pour l'interface Web. 1. Sélectionnez À l'aide d'advanced Access Control lorsque vous définissez une méthode d'accès au site. 2. Entrez l'url du service d'authentification Advanced Access Control dans le champ URL du service d'authentification.

61 Chapitre 3 Démarrage de l'interface Web 61 Dans l'interface Web et Advanced Access Control, assurez-vous que les paramètres de contrôle de l'espace de travail et d'expiration de session sont correctement configurés. Coordination des paramètres de l'interface Web et d'advanced Access Control Certains paramètres de Presentation Server sont disponibles pour la configuration dans l'interface Web et Advanced Access Control. Cependant, parce qu'un site intégré à Advanced Access Control peut être référencé par plusieurs points d'ouverture de session, il est possible qu'un point d'ouverture de session intègre un site dans sa page de navigation par défaut pendant qu'un autre point d'ouverture de session affiche ce site comme sa page d'accueil par défaut. Cela peut provoquer des conflits avec certains paramètres d'applications publiées. Pour vous assurer que vos paramètres fonctionnent comme prévu, veuillez suivre les instructions ci-dessous. Contrôle de l'espace de travail. Désactivez tous les paramètres de contrôle de l'espace de travail Advanced Access Control pour tous les points d'ouverture de session qui possèdent un site comme page d'accueil. Cela garantit l'utilisation des paramètres configurés dans l'interface Web. Tous les autres points d'ouverture de session peuvent posséder un contrôle de l'espace de travail configuré de la manière souhaitée. Temporisation de session. Assurez-vous que tous les points d'ouverture de session utilisent les mêmes paramètres que le site. Utilisation des tâches de site Pour configurer des sites, sélectionnez le site sous le nœud Interface Web sur la console Access Management Console et utilisez les tâches disponibles dans le volet des tâches. Vous pouvez également cliquer avec le bouton droit de la souris sur le nom d'un site et sélectionner des tâches dans le menu contextuel. Les tâches disponibles pour chaque type de site figurent dans le volet des tâches. L'exécution des tâches se fait au moyen d'assistants ou d'options dans des boîtes de dialogue. Pour exécuter une tâche, cliquez sur son nom dans le volet des tâches ou cliquez avec le bouton droit de la souris sur le site à configurer et sélectionnez une tâche dans le menu affiché.

62 62 Guide de l'administrateur de l'interface Web Certaines tâches ne sont disponibles que pour certains types de sites et configurations. Le tableau ci-dessous dresse la liste des tâches ainsi que leur disponibilité. Tâche Sites Sites exécutant uniquement des applications livrées en streaming Sites Services de l'agent Program Neighborhood Services de l'agent Program Neighborhood exécutant uniquement des applications livrées en streaming Sites Participant invité de Conferencing Manager Sites ADFS incorporés Modifier l'affichage Modifier les options de session Nettoyer la configuration Configurer les méthodes d'authentification Contrôler la journalisation des diagnostics Personnaliser l'affichage pour l'utilisateur Modifier le proxy côté client Exporter la configuration Exporter la configuration du client Importer la configuration Tâches du site local Gérer la méthode d'accès Gérer l'actualisation des applications

63 Chapitre 3 Démarrage de l'interface Web 63 Tâche Sites Sites exécutant uniquement des applications livrées en streaming Sites Services de l'agent Program Neighborhood Services de l'agent Program Neighborhood exécutant uniquement des applications livrées en streaming Sites Participant invité de Conferencing Manager Sites ADFS incorporés Gérer les raccourcis vers les applications Gérer les types d'applications Gérer le déploiement du client Gérer l'accès client sécurisé Gérer les batteries de serveurs Gérer les réglages du serveur Gérer les préférences de session Gérer le groupage de sites Contrôler l'espace de travail Modifier l'adresse URL d'application des modifications Mettre la configuration à niveau

64 64 Guide de l'administrateur de l'interface Web Utilisation des tâches de site local Utilisez Tâches du site local pour spécifier l'emplacement de la configuration des sites, le mode d'hébergement des sites par IIS et pour réparer ou désinstaller les sites. Ces tâches sont disponibles uniquement lorsque la console est exécutée sur le serveur exécutant l'interface Web. Vous pouvez modifier les informations saisies lors de la création du site et ajouter des serveurs pour le stockage de la configuration centralisée du site. Gestion des sources de configuration La tâche Gérer la source de configuration vous permet de spécifier si les sites utilisent ou non une configuration locale (la configuration du site est conservée sur la machine locale) ou une configuration centralisée (la configuration du site est conservée sur un serveur distant exécutant Presentation Server). La configuration existante du site est copiée vers la nouvelle source de configuration. Si vous utilisez un pare-feu entre le serveur exécutant l'interface Web et le serveur exécutant Presentation Server, suivez la procédure ci-dessous pour modifier la source de configuration d'un site d'une configuration locale à une configuration centralisée. Pour utiliser une configuration centralisée pour les sites séparés de Presentation Server par un pare-feu 1. Exécutez la console Access Management Console sur le serveur exécutant l'interface Web. 2. Utilisez la tâche Exporter la configuration et enregistrez la configuration dans un fichier. 3. Utilisez la tâche Gérer la source de configuration pour activer la configuration centralisée. Cliquez sur Oui si un avertissement s'affiche. 4. Exécutez la console Access Management Console sur le serveur exécutant Presentation Server et utilisez la tâche Importer la configuration pour importer la configuration enregistrée.

65 Chapitre 3 Démarrage de l'interface Web 65 Réparation et désinstallation de sites Vous pouvez utiliser les tâches Réparer le site et Désinstaller le site pour réparer et supprimer des sites. La désinstallation d'un site entraîne sa suppression complète du système ; vous n'êtes alors plus en mesure d'exécuter des tâches sur ce site. Important Si vous exécutez la tâche Réparer le site alors que des images et des scripts personnalisés ont été créés pour le site, ces fichiers personnalisés sont supprimés. Ils sont également supprimés si vous utilisez la tâche Gérer l'hébergement IIS. Avant d'utiliser l'une de ces tâches, Citrix vous recommande donc de sauvegarder tous les fichiers que vous avez créés. Groupage de sites Utilisez l'ensemble des tâches Gérer le groupage de sites pour regrouper des sites de façon à ce qu'ils partagent la même configuration et puissent être utilisés pour l'équilibrage de charge sur votre réseau. À l'aide de cette tâche, vous pouvez regrouper des sites qui utilisent une source de configuration centralisée. Pour créer un groupe de sites, utilisez la tâche Créer un groupe de sites. Entrez le nom du groupe, puis sélectionnez les sites à placer dans ce groupe. Les sites doivent utiliser la même source de configuration, la même technologie (par exemple, Windows ou UNIX), être du même type (par exemple, ) et de la même version pour pouvoir être inclus dans un groupe. Cette tâche n'est pas affichée pour les sites configurés localement. Utilisez la tâche Ajouter des sites au groupe pour ajouter un site à un groupe existant. Une fois que vous avez ajouté un site à un groupe, vous ne pouvez effectuer aucune tâche de site local sur ce site et sa configuration est supprimée. Pour utiliser des tâches de site local, vous devez supprimer le site du groupe au moyen de la tâche Supprimer des sites du groupe ; c'est la configuration du groupe qui est alors utilisée pour ce site. Par ailleurs, vous pouvez utiliser la tâche Séparer pour retirer tous les sites du groupe. Rendre l'interface Web accessible aux utilisateurs Une fois l'interface Web installée et configurée, communiquez l'adresse URL de la page d'ouverture de session à vos utilisateurs. Si ces derniers souhaitent ajouter cette page aux Favoris de leurs navigateurs, Citrix conseille d'utiliser le signet sans indiquer de page particulière (telle que login.aspx).

66 66 Guide de l'administrateur de l'interface Web Étape suivante Sur les serveurs Web UNIX, le chemin d'accès au site (portion de l'adresse URL située après le nom d'hôte et le numéro de port) est déterminé par le moteur de servlet. Si vous installez le fichier.war dans le moteur de servlet, vous pouvez modifier ce chemin. En règle générale, la valeur par défaut est /NomFichierWAR où NomFichierWAR est la première partie du nom de fichier du fichier.war de votre site. Pour WebLogic, un fichier XML séparé doit être créé pour modifier ce chemin. Des exemples de fichiers XML accompagnés de notes d'utilisation sont générés avec le fichier.war. Ils se trouvent habituellement dans le répertoire à partir duquel vous exécutez un script de pré-installation UNIX. Définition de la page Ouverture de session comme page par défaut sur IIS Vous pouvez définir la page d'ouverture de session de l'interface Web comme la page par défaut pour les utilisateurs du serveur Web, afin que l'url soit Pour ce faire, sélectionnez la case Définir comme page par défaut du site IIS dans la tâche Créer un site. Pour plus d'informations sur le déploiement des clients Citrix Presentation Server pour les utilisateurs de l'interface Web, veuillez consulter la section «Gestion du déploiement du client», page 107. Pour des informations complémentaires sur la sécurité, veuillez consulter la section «Configuration de la sécurité de l'interface Web», page 139.

67 CHAPITRE 4 Gestion des serveurs et des batteries Présentation Ce chapitre décrit comment configurer l'interface Web pour communiquer avec vos batteries de serveurs. Il décrit également comment configurer et gérer les paramètres des serveurs et activer l'équilibrage de charge entre les sites. Il comporte les sections suivantes : Gestion de batteries de serveurs Gestion des paramètres de serveur Gestion de batteries de serveurs Grâce à la tâche Gérer les batteries de serveurs, vous pouvez configurer l'interface Web pour qu'elle communique avec une ou plusieurs batteries. Les utilisateurs doivent disposer d'un compte leur permettant de s'authentifier auprès de chaque batterie indiquée dans cette tâche. Sous Windows, si les batteries se trouvent dans des domaines différents, vous devez activer une approbation bidirectionnelle entre ces domaines. Dans le cas d'une batterie sous UNIX, chaque utilisateur doit disposer du même nom d'utilisateur et mot de passe pour toutes les batteries dans le déploiement. Si le nom d'utilisateur et le mot de passe ne peuvent pas être authentifiés auprès de toutes les batteries définies, les utilisateurs reçoivent un message d'erreur indiquant que leurs informations d'identification ne sont pas valides.

68 68 Guide de l'administrateur de l'interface Web La fonction de prise en charge de plusieurs batteries de serveurs s effectue en toute transparence pour les utilisateurs, car ils ne sont pas informés que leur série d applications est un regroupement de plusieurs batteries de serveurs. L'affichage des applications provenant de plusieurs batteries de serveurs est similaire à celui d'une batterie unique (les dossiers s'affichent en premier, suivis par les icônes des applications). Par conséquent, les applications portant le même nom dans plusieurs batteries de serveurs s'affichent arbitrairement dans la série d'applications de l'utilisateur. Citrix vous conseille donc de vérifier que chaque nom d application est unique dans les batteries de serveurs, en publiant, par exemple, des applications dans des dossiers portant des noms différents. Remarque Avant l'affichage des applications, l'interface Web reçoit des données d'application provenant de toutes les batteries de serveurs, et chaque batterie est contactée dans l'ordre où elle figure dans les configurations. Une batterie de serveurs répondant lentement aura donc des conséquences sur la réactivité générale, lors de l obtention de séries d applications. Considérations sur le changement de mot de passe S'il existe des différences parmi vos batteries de serveurs, des problèmes supplémentaires peuvent empêcher les utilisateurs de changer de mot de passe. Par exemple : La stratégie de domaine peut empêcher les utilisateurs de modifier leur mot de passe. Lorsque Presentation Server pour UNIX et Presentation Server pour Windows sont regroupés sur un site unique, seul le mot de passe Windows peut être modifié. Dans ces cas-là, Citrix vous conseille de désactiver le changement de mot de passe par l utilisateur. Si vous regroupez plusieurs batteries, assurez-vous également que la première batterie répertoriée dans la configuration exécute Citrix MetaFrameXP, Service Pack 2 ou une version ultérieure.

69 Chapitre 4 Gestion des serveurs et des batteries 69 Si nécessaire, vous pouvez activer le changement de mot de passe dans un déploiement mixte de batteries de serveurs. L'Interface Web contacte les batteries de serveurs dans l ordre dans lequel elles sont définies, jusqu à ce qu une batterie de serveurs signale que le mot de passe a été modifié avec succès. Le processus est alors interrompu. Cela vous permet de spécifier la batterie de serveurs d où la demande de changement de mot de passe est émise. Pour conserver la cohérence entre les mots de passe des utilisateurs, utilisez des mécanismes de réplication de mots de passe appropriés entre les batteries de serveurs. Si la requête de changement de mot de passe échoue, la batterie de serveurs suivante de la séquence envoie la requête de changement de mot de passe. Configuration des paramètres des serveurs Les paramètres des serveurs sont configurés pour chaque batterie de serveurs. Pour afficher et configurer les paramètres des batteries de serveurs, sélectionnez la tâche Gérer les batteries de serveurs. Cette tâche vous permet de créer et de modifier des noms de batteries, ainsi que d'indiquer l'ordre dans lequel les serveurs exécutant le service Citrix XML sont utilisés pour l'équilibrage de charge. Vous pouvez également configurer les paramètres d'une batterie donnée, tels que les ports de serveurs XML et SSL ainsi que les types de transport. Pour ajouter une batterie de serveurs 1. Cliquez sur Gérer les batteries de serveurs. 2. Cliquez sur Ajouter. 3. Dans le champ Nom de batterie, entrez un nom pour la batterie de serveurs. 4. Dans la zone Serveurs, cliquez sur Ajouter pour spécifier un nom de serveur. Pour modifier un nom de serveur, sélectionnez-le dans la liste et cliquez sur Modifier. Pour supprimer un nom de serveur, sélectionnez-le et cliquez sur Supprimer. 5. Si vous définissez plusieurs noms de serveurs, sélectionnez un nom dans la liste, puis cliquez sur Déplacer vers le haut ou Déplacer vers le bas pour les placer dans l'ordre approprié pour le basculement. 6. Cliquez sur OK pour terminer l'ajout de la batterie.

70 70 Guide de l'administrateur de l'interface Web Configuration de la tolérance de panne L'Interface Web offre une tolérance de panne entre les serveurs exécutant le service XML Citrix. Si une erreur se produit lors la communication avec un serveur, le serveur défaillant est ignoré pour une période déterminée et les communications se poursuivent avec les serveurs restants de la liste Serveurs. Par défaut, un serveur défaillant est ignoré pendant une heure. Pour configurer la tolérance de panne 1. Cliquez sur Gérer les batteries de serveurs. 2. Cliquez sur Ajouter pour ajouter une batterie ou sur Modifier pour configurer une batterie existante. 3. Dans la liste Serveurs, placez les serveurs par ordre de priorité. Sélectionnez un nom dans la liste et cliquez sur Déplacer vers le haut ou Déplacer vers le bas pour les placer dans l'ordre approprié. 4. Pour modifier la durée pendant laquelle un serveur défaillant est ignoré, renseignez le champ Ignorer tout serveur en échec pour. Remarque Si un serveur exécutant le service XML Citrix est défaillant, l'interface Web ne tente plus de communiquer avec ce serveur jusqu'à ce que le délai indiqué dans le champ Ignorer tout serveur en échec pour se soit écoulé. Si aucun des serveurs de la liste ne répond, l'interface Web effectue une nouvelle tentative sur les serveurs toutes les 10 secondes. Activation de l'équilibrage de charge entre les serveurs Vous pouvez activer l'équilibrage de charge entre les serveurs exécutant le service XML Citrix. La mise en œuvre de l'équilibrage de la charge permet de répartir équitablement les connexions entre ces serveurs, de façon à éviter leur surcharge. Par défaut, cette fonction est activée. En cas d erreur de communication avec un serveur, toutes les communications suivantes sont réparties entre les serveurs restants de la liste. Le serveur défaillant est ignoré pour une période de temps donnée (par défaut, une heure), mais vous pouvez modifier ce paramètre en renseignant la zone Ignorer tout serveur en échec pour.

71 Chapitre 4 Gestion des serveurs et des batteries 71 Pour activer l'équilibrage de charge 1. Cliquez sur Gérer les batteries de serveurs. 2. Cliquez sur Ajouter pour ajouter une batterie ou sur Modifier pour configurer une batterie existante. 3. Dans la liste Serveurs, ajoutez les serveurs à utiliser pour l'équilibrage de charge. Pour plus d'informations sur l'ajout de serveurs, consultez la section «Configuration des paramètres des serveurs», page Sélectionnez l'option Utiliser la liste de serveurs pour l'équilibrage de charge. 5. Pour modifier la durée pendant laquelle un serveur défaillant est ignoré, renseignez le champ Ignorer tout serveur en échec pour. Configuration de paramètres pour tous les serveurs Vous pouvez utiliser la tâche Gérer les batteries de serveurs pour définir le port TCP/IP utilisé par le service XML Citrix et le protocole utilisé pour transférer les données de l'interface Web entre le serveur Web et le serveur exécutant Presentation Server pour les serveurs indiqués dans la liste Serveurs. Le service XML Citrix est un composant de Presentation Server qui agit comme point de contact entre la batterie de serveurs et le serveur exécutant l'interface Web. Par défaut, le numéro de port correspond à la valeur entrée lors de la création d'un site. Ce numéro de port doit correspondre au numéro de port utilisé par le service XML Citrix. Par ailleurs, vous pouvez indiquer la durée d'expiration du ticket généré par le serveur. Les tickets offrent des fonctions de sécurité de l'authentification renforcées pour les ouvertures de session explicites en supprimant les informations d'identification des utilisateurs dans les fichiers.ica envoyés du serveur Web aux machines clientes. Par défaut, chaque ticket de l'interface Web a une durée d'expiration de 200 secondes. Vous pouvez modifier la durée de vie du ticket si vous le souhaitez, par exemple, adapter ce délai aux performances de votre réseau, car les tickets ayant expiré ne permettent pas d'authentifier un utilisateur auprès de la batterie de serveurs. Si vous modifiez l adresse ou les adresses IP d un serveur exécutant le service XML Citrix, les tickets ne fonctionnent que si vous redémarrez le serveur. Après toute modification de ce type, veillez par conséquent à redémarrer le serveur.

72 72 Guide de l'administrateur de l'interface Web Pour définir des paramètres pour tous les serveurs 1. Cliquez sur Gérer les batteries de serveurs. 2. Cliquez sur Ajouter pour ajouter une batterie ou sur Modifier pour configurer une batterie existante. 3. Dans la zone Paramètres de communication, entrez le numéro de port dans le champ Port du service XML. 4. Dans la liste Type de transport, sélectionnez l'une des options ci-dessous : HTTP. Permet d'envoyer des données via une connexion HTTP standard. Utilisez cette option si vous avez pris d'autres mesures pour la sécurité de ce lien. HTTPS. Permet d'envoyer des données via une connexion HTTP sécurisée à l'aide du protocole SSL (Secure Socket Layer) ou TLS (Transport Layer Security). Assurez-vous que le service XML Citrix est configuré pour partager son port avec IIS et qu'iis est configuré pour prendre en charge HTTPS. Relais SSL. Permet de transmettre des données via une connexion sécurisée qui utilise le Relais SSL Citrix sur un serveur exécutant Presentation Server pour effectuer l'authentification de l hôte et le cryptage de données. 5. Si vous utilisez le Relais SSL, spécifiez le port TCP du Relais SSL Citrix dans le champ Port du relais SSL (le port par défaut est le port 443). L'Interface Web utilise les certificats racine pour l'authentification d'un serveur Relais SSL Citrix. Assurez-vous que tous les serveurs exécutant le Relais SSL Citrix sont configurés pour écouter sur le même numéro de port. Remarque Si vous utilisez le Relais SSL ou le protocole HTTPS, assurez-vous que les noms de serveurs que vous spécifiez correspondent aux noms indiqués sur le certificat de l'ordinateur exécutant Presentation Server. 6. Pour configurer les tickets, cliquez sur Paramètres des tickets. 7. Entrez la durée de vie des tickets pour les clients distants dans les champs Durée de vie de ticket ICA. 8. Entrez la durée de vie des tickets pour le Citrix Streaming Client dans les cases Durée de vie du ticket de streaming. 9. Cliquez sur OK pour enregistrer vos paramètres.

73 Chapitre 4 Gestion des serveurs et des batteries 73 Définition des paramètres de serveur avancés L'utilisation de la boîte de dialogue Paramètres de batterie avancés permet d'activer le regroupement de sockets et la redirection de contenu, de spécifier la durée de temporisation du service XML Citrix ainsi que le nombre de tentatives pour contacter le service XML avant de considérer que la connexion a échoué. Activation du regroupement de sockets Lorsque la fonction de regroupement de sockets est activée, l'interface Web conserve un groupe de sockets, au lieu de créer une socket chaque fois qu'elle en a besoin et de la renvoyer au système d'exploitation dès que la connexion est fermée. L'activation de cette fonction permet d'améliorer les performances, et plus particulièrement pour les connexions SSL. Le regroupement de sockets ne doit pas être utilisé lorsque l'interface Web est configurée pour utiliser un ou plusieurs serveurs Presentation Server pour UNIX. Remarque Le regroupement de sockets n'est pas disponible pour les sites configurés pour utiliser l'authentification par ADFS. Pour activer le regroupement de sockets 1. Dans la boîte de dialogue Gérer les batteries de serveurs, cliquez sur Avancé. 2. Dans la zone Regroupement de sockets, cochez la case Activer le regroupement de sockets. Activation de la redirection de contenu Vous pouvez utiliser le paramètre Activer la redirection de contenu pour activer et désactiver la redirection de contenu du client vers le serveur, pour les sites Services de l'agent Program Neighborhood individuels. Ce paramètre annule tous les paramètres de redirection de contenu configurés pour Presentation Server. Lorsque vous activez la redirection de contenu du client vers le serveur, les utilisateurs exécutant l'agent Program Neighborhood ouvrent le contenu publié et les fichiers locaux avec des applications publiées sur les serveurs. Par exemple, un utilisateur de l'agent Program Neighborhood qui reçoit une pièce jointe dans un logiciel de courrier électronique exécuté localement ouvre la pièce jointe dans une application publiée. Lorsque vous désactivez la redirection de contenu, les utilisateurs ouvrent le contenu publié et les fichiers locaux avec des applications installées localement.

74 74 Guide de l'administrateur de l'interface Web Par défaut, la redirection de contenu est activée du client vers le serveur pour les sites Services de l'agent Program Neighborhood. La configuration de la redirection de contenu du client vers le serveur s'effectue en associant les applications publiées à des types de fichiers. Pour plus d'informations sur l'association à des types de fichiers, veuillez consulter le Guide de l'administrateur Citrix Presentation Server. Pour activer ou désactiver la redirection de contenu 1. Dans la boîte de dialogue Gérer les batteries de serveurs, cliquez sur Avancé. 2. Dans la zone Redirection de contenu, procédez de l'une des manières suivantes : Pour activer la redirection de contenu, activez la case à cocher Activer la redirection de contenu. Ou Pour désactiver la redirection de contenu, désactivez la case à cocher Activer la redirection de contenu. Configuration des communications avec le service XML Par défaut, la communication avec le Service XML Citrix doit être établie en moins d'une minute et elle est considéré comme ayant échoué au bout de cinq tentatives. Vous pouvez modifier ces paramètres en changeant les valeurs par défaut. Pour configurer les communications avec le service XML 1. Dans la boîte de dialogue Gérer les batteries de serveurs, cliquez sur Avancé. 2. Pour configurer le délai avant expiration du service XML Citrix, entrez les valeurs appropriées dans les cases Expiration du délai de la socket. 3. Pour spécifier le nombre de tentatives de communication avec le service XML Citrix avant qu'elle ne soit considérée comme ayant échoué et qu'elle ne soit ignorée, entrez la valeur dans le champ Tentatives de communication avec le service XML.

75 Chapitre 4 Gestion des serveurs et des batteries 75 Gestion des paramètres de serveur Utilisez la tâche Gérer les réglages du serveur pour configurer le mode de communication de l'agent Program Neighborhood avec un site et spécifier si, en cas d'échec, les utilisateurs sont redirigés ou non vers des sites similaires. Configuration des paramètres de communication du serveur Utilisez les paramètres de communication du serveur pour : Activer la communication SSL/TLS. Les fonctions d'ouverture de session par carte à puce et de communications SSL/TLS sécurisées entre le client et le serveur exécutant l'interface Web ne sont pas activées par défaut. Vous pouvez activer la communication SSL/TLS à partir de cette boîte de dialogue ; les adresses URL devront alors appliquer automatiquement le protocole HTTPS. En outre, vous devez activer SSL sur le serveur exécutant Presentation Server. Autoriser l'utilisateur à personnaliser l'adresse URL du serveur. L'adresse URL du serveur pointe sur le fichier de configuration approprié pour l'agent Program Neighborhood. Le chemin par défaut est déterminé en fonction de l'adresse du serveur entrée par l'utilisateur lors de l'installation. Vous pouvez autoriser l'utilisateur à modifier l'adresse URL du serveur, ce qui active l'option Adresse URL du serveur dans l'onglet Serveur de la boîte de dialogue Propriétés de l'agent Program Neighborhood. Configurer l'actualisation automatique. Vous pouvez définir la fréquence à laquelle le client doit actualiser ses paramètres de configuration.

76 76 Guide de l'administrateur de l'interface Web Pour configurer les paramètres de communication du serveur 1. Cliquez sur Gérer les réglages du serveur. 2. Si vous souhaitez utiliser une communication sécurisée entre l'agent Program Neighborhood et un site, sélectionnez Utiliser SSL/TLS pour les communications entre les clients et ce site. 3. Pour autoriser l'utilisateur à personnaliser l'adresse URL du serveur qui pointe vers le fichier de configuration approprié pour l'agent Program Neighborhood, sélectionnez Autoriser l'utilisateur à personnaliser l'adresse URL du serveur. 4. Pour configurer la fréquence à laquelle l'agent Program Neighborhood actualise ses paramètres de configuration, sélectionnez Programmer une actualisation automatique chaque et entrez la période d'actualisation en heures, jours, semaines ou mois. Définition des adresses URL de secours de l'agent Program Neighborhood Vous pouvez spécifier des serveurs de secours pour l'agent Program Neighborhood à contacter si le serveur de l'interface Web principal n'est pas disponible. Utilisez les paramètres Secours disponibles dans la boîte de dialogue Gérer les réglages du serveur afin de spécifier les adresses URL des serveurs de secours. Dans l'éventualité d'un échec serveur, les utilisateurs sont automatiquement connectés au serveur auxiliaire spécifié préalablement dans la liste Adresses URL de secours. Si le serveur échoue, l'agent Program Neighborhood tente de contacter le serveur suivant dans la liste. Important Toutes les adresses URL de secours doivent pointer vers des sites qui sont du même type que le site principal spécifié. Par exemple, si le site principal est un site Interface Web pour Windows, chaque site de secours spécifié doit également être un site Interface Web pour Windows. Pour spécifier des adresses URL de secours 1. Cliquez sur Gérer les réglages du serveur. 2. Cliquez sur Secours. 3. Cliquez sur Ajouter.

77 Chapitre 4 Gestion des serveurs et des batteries Entrez l'adresse URL du site sur lequel les utilisateurs sont connectés dans le champ Adresse URL de secours. Remarque Vous pouvez définir un maximum de cinq adresses URL de secours par site. 5. Cliquez sur OK. 6. Si vous spécifiez plusieurs adresses URL de secours, sélectionnez une adresse URL dans la liste, puis cliquez sur Déplacer vers le haut ou Déplacer vers le bas pour les placer dans l'ordre approprié pour le basculement. Configuration de la redirection de site Utilisez les paramètres Redirection pour définir le moment où les utilisateurs sont redirigés vers un site différent. Par exemple, vous créez un nouveau site pour votre DRH et souhaitez rediriger tous les utilisateurs de l'ancien site vers le nouveau site sans qu'ils aient à entrer l'adresse URL manuellement. Vous pouvez définir les détails du nouveau site dans la boîte de dialogue Redirection de site. Les utilisateurs sont redirigés vers le nouveau site immédiatement ou au moment où ils démarrent l'agent Program Neighborhood à nouveau. Pour configurer la redirection de site 1. Cliquez sur Gérer les réglages du serveur. 2. Cliquez sur Redirection. 3. Sélectionnez l'une des options suivantes : Si vous ne voulez pas configurer la redirection du site, sélectionnez Ne pas rediriger. Si vous voulez immédiatement rediriger les utilisateurs vers un site similaire, sélectionnez Rediriger immédiatement. Si vous voulez rediriger les utilisateurs vers un site similaire lors du prochain lancement du client, sélectionnez Rediriger lors du prochain démarrage d'agent Program Neighborhood. 4. Entrez l'adresse URL du site de remplacement dans le champ Adresse URL de redirection. 5. Cliquez sur OK.

78 78 Guide de l'administrateur de l'interface Web

79 CHAPITRE 5 Configuration de l'authentification pour l'interface Web Présentation Ce chapitre décrit les méthodes d'authentification disponibles pour les utilisateurs de l'interface Web. Il explique également comment configurer l'authentification entre l'interface Web, Presentation Server et l'agent Program Neighborhood. Remarque Ce chapitre s'applique aux sites Services de l'agent Program Neighborhood et uniquement. Ce chapitre contient les sections suivantes : Méthodes d'authentification Configuration de l'authentification Configuration de l'authentification à deux facteurs Méthodes d'authentification L'authentification s'effectue lorsqu'un utilisateur accède à des applications. Si l'authentification réussit, la série d'applications de l'utilisateur s'affiche.

80 80 Guide de l'administrateur de l'interface Web Vous pouvez configurer les méthodes d'authentification suivantes pour l'interface Web : Explicite (sites ) ou Invite (sites Services de l'agent Program Neighborhood). Pour ouvrir une session, les utilisateurs doivent fournir un nom d'utilisateur et un mot de passe. Les noms UPN (noms d'utilisateurs principaux), l'authentification de domaine Microsoft et NDS (Novell Directory Service) sont disponibles. Dans le cas des sites Access Platform, l'authentification RSA SecurID et l'authentification SafeWord sont également disponibles. Remarque L'authentification Novell n'est pas disponible sur les platesformes UNIX. Authentification unique. Les utilisateurs peuvent s'authentifier à l'aide des informations d'identification qu'ils ont fournies en ouvrant une session sur leur bureau Windows. Les utilisateurs n'ont pas à entrer ces informations à nouveau. De plus, leur série d'applications s'affiche automatiquement. Vous pouvez également utiliser l'authentification Kerberos pour la connexion aux serveurs. Si vous spécifiez l'option d'authentification Kerberos et si celle-ci échoue, l'authentification unique échoue également et les utilisateurs ne peuvent pas ouvrir de session. Pour plus d'informations concernant Kerberos, veuillez consulter le Guide de l'administrateur Citrix Presentation Server. Authentification unique avec carte à puce. Les utilisateurs peuvent s'authentifier en insérant une carte à puce dans un lecteur de carte à puce connecté à la machine cliente. Lorsque vous ouvrez une session, l'agent Program Neighborhood vous invite à entrer un code secret. Une fois la session ouverte, vous pouvez accéder à votre série d'applications publiées et à leur contenu sans avoir à réouvrir de session. Les utilisateurs qui se connectent à des sites ne sont pas invités à entrer un code secret. Si vous configurez un site Services de l'agent Program Neighborhood, vous pouvez utiliser l'authentification Kerberos pour la connexion aux serveurs. Si vous spécifiez l'option d'authentification Kerberos et si celle-ci échoue, l'authentification unique échoue également et les utilisateurs ne peuvent pas ouvrir de session. Pour plus d'informations concernant Kerberos, veuillez consulter le Guide de l'administrateur Citrix Presentation Server.

81 Chapitre 5 Configuration de l'authentification pour l'interface Web 81 Carte à puce. Les utilisateurs peuvent s'authentifier au moyen d'une carte à puce. L'utilisateur est invité à entrer un code secret. Remarque Les méthodes d'authentification unique, d'authentification unique avec carte à puce et d'authentification par carte à puce ne sont pas disponibles sur les plates-formes UNIX. Attention Les utilisateurs anonymes de l'interface Web peuvent obtenir des tickets Secure Gateway, même s'ils n'ont pas été authentifiés par l'interface Web. Or, Secure Gateway utilise l'interface Web pour émettre des tickets uniquement pour les utilisateurs authentifiés, ce qui, en matière de sécurité, compromet l un des avantages que constitue l'utilisation de Secure Gateway dans votre installation. Anonyme. Les utilisateurs anonymes peuvent ouvrir une session sans fournir de nom d'utilisateur ni de mot de passe et lancer des applications publiées à leur intention sur le serveur. Recommandations relatives à l'authentification Veillez à ce que les utilisateurs ouvrent des sessions de façon cohérente sur leurs stations de travail et sur l'interface Web, que ce soit de façon explicite (avec un nom d'utilisateur et un mot de passe) ou à l'aide de cartes à puce. Dans tous les cas, n'utilisez jamais les deux méthodes à la fois. Par exemple, si un utilisateur ouvre une session sur le bureau Windows à l aide d une carte à puce, puis une autre session sur l'interface Web à l aide de la méthode explicite, les informations d identification fournies par le client risquent d être incorrectes. Dans ce cas, le client peut indiquer son code secret au lieu du nom d'utilisateur et du mot de passe. Si vous modifiez les méthodes d authentification auprès de l'interface Web, il est possible que les utilisateurs existants reçoivent des messages d erreurs. Ils devront fermer et redémarrer tous les navigateurs utilisés pour accéder à l'interface Web.

82 82 Guide de l'administrateur de l'interface Web Configuration de l'authentification Utilisez la tâche Configurer les méthodes d'authentification pour configurer les différentes méthodes d'authentification des utilisateurs sur Presentation Server et sur l'agent Program Neighborhood. Configuration des paramètres de restriction de domaine Utilisez la page Restriction de domaine pour restreindre l'accès des utilisateurs à des sites depuis des domaines spécifiques. Pour configurer les paramètres de restriction de domaine 1. Cliquez sur Configurer les méthodes d'authentification. 2. Cliquez sur Propriétés. 3. Sélectionnez Restriction de domaine. 4. Indiquez si vous souhaitez restreindre ou non l'accès des utilisateurs à des domaines sélectionnés. Choisissez parmi les modes suivants : Si vous ne souhaitez pas restreindre l'accès en fonction des domaines, sélectionnez Autoriser tous les domaines. Si vous souhaitez restreindre l'accès des utilisateurs à des domaines sélectionnés, sélectionnez Restreindre les domaines aux domaines suivants. 5. Cliquez sur Ajouter. 6. Entrez le nom des domaines que vous souhaitez ajouter à la liste de restriction de domaine dans la boîte de dialogue Ajouter un domaine d'ouverture de session. Remarque Pour restreindre l'accès à des utilisateurs provenant de domaines spécifiques, vous devez entrer les mêmes noms de domaine dans les listes de restrictions de domaine et Restriction UPN. Pour des informations complémentaires, veuillez consulter la section «Configuration du type d'authentification», page Cliquez sur OK.

83 Chapitre 5 Configuration de l'authentification pour l'interface Web 83 Configuration du type d'authentification Si vous utilisez l'authentification explicite ou par invite, utilisez la page Type d'authentification pour indiquer si les utilisateurs doivent s'authentifier à l'aide de Windows ou de NDS. Pour configurer le type d'authentification 1. Cliquez sur Configurer les méthodes d'authentification. 2. Cliquez sur Propriétés. 3. Sélectionnez Type d'authentification. 4. Sélectionnez le type d authentification que les utilisateurs explicites doivent utiliser : Si vous souhaitez utiliser l'authentification de domaine Microsoft, sélectionnez Windows ou NIS (UNIX). Voir la section «Pour utiliser l'authentification de domaine», page 83. Si vous souhaitez utiliser l'authentification NDS (Novell Directory Service), sélectionnez NDS. Voir la section «Pour utiliser l'authentification NDS», page 85. Pour utiliser l'authentification de domaine 1. Indiquez le format des informations d'identification pour l'ouverture des sessions des utilisateurs. Sélectionnez l'une des options suivantes : Pour permettre aux utilisateurs d'entrer leurs informations d'ouverture de session, que ce soit sous la forme d'un nom UPN ou d'un nom d'utilisateur de domaine, sélectionnez Nom d'utilisateur de domaine et UPN. Pour indiquer aux utilisateurs qu'ils doivent entrer leurs informations d'ouverture de session sous la forme d'un nom d'utilisateur de domaine uniquement, sélectionnez Nom d'utilisateur de domaine uniquement. Pour indiquer aux utilisateurs qu'ils doivent entrer leurs informations d'ouverture de session sous la forme d'un nom UPN, sélectionnez UPN uniquement. 2. Cliquez sur Paramètres.

84 84 Guide de l'administrateur de l'interface Web 3. Dans la zone Affichage de domaines, configurez les paramètres suivants : affichage ou masquage du champ Domaine sur la page d'ouverture de session ; pré-remplissage du champ Domaine avec une liste de domaines dans laquelle les utilisateurs font un choix ou saisie manuelle d'une valeur par l'utilisateur dans le champ Domaine ; Remarque Si, lors d'une ouverture de session, un utilisateur reçoit un message d'erreur «Vous devez spécifier au moins un domaine», cela peut signifier qu'un champ de domaine est vide. Pour résoudre ce problème, sélectionnez Masquer le champ de domaine. Si votre batterie contient uniquement des serveurs exécutant Presentation Server pour UNIX, sélectionnez Pré-rempli dans la liste déroulante Liste de domaines et ajoutez UNIX comme nom de domaine. domaines que vous souhaitez voir apparaître dans le champ Domaine sur la page d'ouverture de session. 4. Dans la zone Restriction UPN, configurez les paramètres suivants : acceptation ou non de tous les suffixes UPN (Noms d'utilisateurs principaux). Par défaut, tous les suffixes UPN sont autorisés ; sélection des suffixes UPN à accepter. Remarque Pour restreindre l'accès à des utilisateurs provenant de domaines spécifiques, vous devez entrer les mêmes noms de domaine dans les listes de restrictions de domaine et Restriction UPN. Pour des informations complémentaires, veuillez consulter la section «Configuration des paramètres de restriction de domaine», page 82.

85 Chapitre 5 Configuration de l'authentification pour l'interface Web 85 Pour utiliser l'authentification NDS 1. Entrez un nom dans le champ Arborescence par défaut. 2. Configurez une restriction de contexte ou une authentification sans contexte. Remarque Par défaut, edirectory ne fournit pas d'accès de connexion anonyme à l'attribut cn, nécessaire à l'ouverture de session sans contexte. Pour plus d'informations sur la reconfiguration de edirectory, veuillez consulter le site 3. Si vous souhaitez que le client utilise les informations d'identification Windows de l'utilisateur avec l'authentification unique, sélectionnez Utiliser les informations d'identification Windows. Activation de l'authentification explicite Si l'authentification explicite est activée, les utilisateurs doivent disposer d'un compte utilisateur et fournir les informations d'identification appropriées pour ouvrir une session. Vous pouvez modifier les paramètres d'authentification explicite à l'aide de la console. Vous pouvez, par exemple, indiquer si les utilisateurs sont autorisés à modifier leur mot de passe dans une session. Remarque L'authentification explicite est disponible pour les sites Access Platform uniquement. Pour activer l'authentification explicite 1. Cliquez sur Configurer les méthodes d'authentification. 2. Cochez la case Explicite. 3. Cliquez sur Propriétés pour configurer d'autres paramètres d'authentification explicite.

86 86 Guide de l'administrateur de l'interface Web Configuration des paramètres de mot de passe Utilisez la page Paramètres de mot de passe pour configurer les options de changement de mot de passe et d'expiration du mot de passe des utilisateurs. Pour configurer les paramètres de mot de passe 1. Sélectionnez Paramètres de mot de passe. 2. Si vous souhaitez que les utilisateurs puissent changer leur mot de passe d ouverture de session au cours d une session sur l'interface Web, cochez la case Autoriser les utilisateurs à changer de mot de passe. 3. Pour indiquer à quel moment les utilisateurs peuvent changer leur mot de passe, sélectionnez l'une des options suivantes : Pour permettre aux utilisateurs de changer leur mot de passe lorsque celui-ci arrive à expiration, sélectionnez Seulement lors de l'expiration. Avec cette option, si un utilisateur ne parvient pas à ouvrir une session sur l'interface Web parce que son mot de passe a expiré, il est automatique redirigé vers la boîte de dialogue de changement du mot de passe. Une fois le changement de mot de passe effectué, une session est automatiquement ouverte dans l'interface Web avec le nouveau mot de passe. Pour permettre aux utilisateurs de changer de mot de passe aussi souvent qu'ils le souhaitent dans l'interface Web, sélectionnez À tout moment. Lorsque vous activez cette option, l'icône de changement de mot de passe s'affiche sur les pages des utilisateurs. Lorsque les utilisateurs cliquent sur cette icône, une boîte de dialogue leur permettant d entrer un nouveau mot de passe s'affiche. 4. Pour configurer un message de rappel prévenant les utilisateurs avant que leur mot de passe n'expire, sélectionnez l'une des options suivantes : Si vous ne souhaitez pas prévenir les utilisateurs avant que leur mot de passe expire, sélectionnez Ne pas effectuer de rappel. Pour utiliser vos paramètres de rappel de la stratégie Windows actuels, sélectionnez Utiliser des paramètres de rappel depuis la stratégie de groupe Active Directory. Pour rappeler aux utilisateurs que leur mot de passe expirera dans un nombre de jour défini, sélectionnez Utiliser un paramètre de rappel personnalisé. Spécifiez le nombre de jours, semaines ou années dans les cases Rappeler à l'utilisateur avant expiration.

87 Chapitre 5 Configuration de l'authentification pour l'interface Web 87 Activation de l'authentification à deux facteurs Utilisez la page Authentification à deux facteurs pour activer l'authentification à deux facteurs pour les utilisateurs, si nécessaire. Pour activer l'authentification à deux facteurs 1. Sélectionnez Authentification à deux facteurs. 2. Sélectionnez le type d'authentification à deux facteurs que vous souhaitez utiliser dans la liste Paramètre à deux facteurs. Pour des informations complémentaires sur la configuration de l'authentification SafeWord, consultez la section «Configuration de l'authentification à deux facteurs», page 97. Pour des informations complémentaires sur la configuration de l'authentification RSA SecurID, consultez la section «Activation de l'authentification RSA SecurID 6.0 sur IIS», page 99. Configuration du libre-service de compte L'intégration à la fonctionnalité de libre-service de compte disponible sur Citrix Password Manager permet aux utilisateurs de réinitialiser leur mot de passe réseau et de déverrouiller leur compte en répondant à une série de simples questions de sécurité. Important Lors de l'installation de Password Manager, vous indiquez quels utilisateurs sont autorisés à réinitialiser leur mot de passe et à déverrouiller leur compte. Si vous activez ces fonctionnalités sur l'interface Web, il se peut que les utilisateurs ne soient toujours pas autorisés à effectuer ces tâches du fait des paramètres que vous configurez sur Password Manager. Seuls les utilisateurs qui accèdent à l'interface Web via des connexions HTTPS disposent du libre-service de compte. Si un utilisateur tente d'accéder à l'interface Web à l'aide d'une connexion HTTP, le libre-service de compte n'est pas disponible. L'utilisateur doit redémarrer son navigateur et accéder à l'interface Web au moyen d'une connexion HTTPS.

88 88 Guide de l'administrateur de l'interface Web Avant de configurer le libre-service de compte pour un site, vous devez vous assurer que : le site est configuré pour utiliser l'authentification Windows explicite ; le site est configuré pour fournir aux utilisateurs un accès direct. Le libreservice de compte n'est pas disponible pour les sites accessibles à l'aide d'advanced Access Control ; le site est configuré pour n'utiliser qu'un service Password Manager. Si l'interface Web est configurée pour utiliser plusieurs batteries contenant des domaines identiques ou approuvés, Password Manager doit être configuré de façon à accepter les informations d'identification de tous ces domaines ; le site est configuré pour permettre aux utilisateurs de changer leur mot de passe à n'importe quel moment, dans le cas où vous activez la fonctionnalité de réinitialisation du mot de passe ; si les utilisateurs se connectent à l'interface Web via Access Gateway, les informations recueillies durant le processus de libre-service de compte peuvent être envoyées d'access Gateway vers l'interface Web en clair. Pour éviter ce problème, vous devez configurer Access Gateway de façon à utiliser HTTPS lors des connexions à l'interface Web. Pour de plus amples informations, veuillez consulter le Guide de l'administrateur Citrix Access Gateway édition Advanced. Pour configurer le libre-service de compte 1. Sélectionnez Libre-service de compte. 2. Indiquez si vous souhaitez ou non que les utilisateurs puissent réinitialiser leur mot de passe ou déverrouiller leur compte. 3. Entrez l'adresse URL de Password Manager dans le champ Adresse URL du service Password Manager.

89 Chapitre 5 Configuration de l'authentification pour l'interface Web 89 Activation de l'authentification par invite Si l'authentification par invite est activée, les utilisateurs doivent disposer d'un compte utilisateur et fournir les informations d'identification appropriées pour ouvrir une session. Remarque L'authentification par invite est disponible uniquement pour les sites Services de l'agent Program Neighborhood. Pour activer l'authentification par invite 1. Cliquez sur Configurer les méthodes d'authentification. 2. Cochez la case Invite. 3. Cliquez sur Propriétés pour configurer d'autres paramètres d'authentification par invite. Configuration des paramètres de mot de passe Utilisez la page Paramètres de mot de passe pour indiquer si les utilisateurs sont autorisés à enregistrer leur mot de passe et pour configurer les options de modification de mot de passe mises à la disposition des utilisateurs. Pour configurer les paramètres de mot de passe 1. Sélectionnez Paramètres de mot de passe. 2. Pour permettre aux utilisateurs d'enregistrer leur mot de passe, sélectionnez l'option Autoriser l'enregistrement du mot de passe. 3. Si vous souhaitez que les utilisateurs puissent changer leur mot de passe lorsque ce dernier expire, sélectionnez la case Autoriser l utilisateur à changer de mot de passe lorsqu'il expire en contactant. 4. Spécifiez le chemin par lequel la demande de modification de mot de passe est acheminée en choisissant l'une des options suivantes : Si vous souhaitez autoriser les utilisateurs de l'agent Program Neighborhood à modifier leur mot de passe en se connectant directement au contrôleur de domaine, sélectionnez le contrôleur de domaine directement. Il s'agit de l'option la plus sécurisée, car la requête de modification du mot de passe, au lieu de passer par l'interface Web et Presentation Server, est acheminée directement depuis l'agent Program Neighborhood vers le contrôleur de domaine.

90 90 Guide de l'administrateur de l'interface Web Si vous préférez autoriser les utilisateurs de l'agent Program Neighborhood à modifier leur mot de passe en se connectant directement au contrôleur de domaine, mais que vous souhaitez également autoriser les connexions via l'interface Web et Presentation Server lorsque la méthode de connexion préférée échoue, sélectionnez le contrôleur de domaine directement, avec retour vers Presentation Server. Si vous souhaitez autoriser les utilisateurs de l'agent Program Neighborhood à modifier leur mot de passe en se connectant au contrôleur de domaine par l'intermédiaire de l'interface Web et Presentation Server, sélectionnez Presentation Server. Cette option garantit la mise à niveau des mots de passe de l'interface Web et Presentation Server lorsqu'ils sont modifiés par les utilisateurs. Toutefois, cette option est potentiellement moins sûre car le nouveau mot de passe est routé par un plus grand nombre de connexions réseau. Activation de l'authentification unique Grâce à la console, vous pouvez activer l'authentification unique pour les utilisateurs qui ouvrent une session sur leur bureau à l'aide de leur nom d'utilisateur, de leur mot de passe et des informations d'identification de domaine. Cette fonction leur permet de s'authentifier à l'aide des informations d'identification qu'ils ont fournies en ouvrant une session sur leur bureau Windows. Les utilisateurs n'ont pas à entrer ces informations à nouveau. De plus, leurs applications s'affichent automatiquement. La section suivante décrit la configuration requise pour l'authentification par carte à puce et explique la procédure à suivre pour activer la prise en charge de ce type d'authentification. Configuration requise pour l'authentification unique Pour utiliser la fonctionnalité d'authentification unique, vos serveurs doivent exécuter MetaFrame Presentation Server, Feature Release 2 ou version ultérieure, l'interface Web doit être exécutée sur IIS sous Windows Server 2003 et les utilisateurs doivent exécuter Internet Explorer version 6.0 ou ultérieure. Attention Si les serveurs exécutent des versions antérieures à MetaFrame Presentation Server, Feature Release 2, les utilisateurs peuvent visualiser toutes les applications lorsqu'ils utilisent l'authentification unique.

91 Chapitre 5 Configuration de l'authentification pour l'interface Web 91 Si les utilisateurs utilisent des clients antérieurs à la version 6.30 et si le cryptage ICA (SecureICA) est activé, l'authentification unique ne fonctionne pas. Pour utiliser l'authentification unique avec le cryptage ICA, vous devez utiliser les clients les plus récents et le serveur doit exécuter MetaFrame Presentation Server, Feature Release 2 ou version ultérieure. Attention Lorsqu'un utilisateur sélectionne une application, un fichier est envoyé au navigateur. Ce fichier peut contenir un paramètre ordonnant au client d'envoyer les informations d'identification du poste de travail de l'utilisateur au serveur. Par défaut, le client ne reconnaît pas ce paramètre ; néanmoins, si la fonctionnalité d'authentification unique est activée sur les clients pour Windows, il y a un risque qu'un agresseur envoie à l'utilisateur un fichier entraînant le détournement des informations d'identification de l'utilisateur vers un faux serveur ou un serveur non autorisé. C'est pourquoi vous ne devez utiliser l'authentification unique que dans des environnements sécurisés et approuvés. Étape 1 : installation des clients pour Windows Vous devez installer les clients pour Windows sur les machines clientes de vos utilisateurs en utilisant un compte d'administrateur. L'authentification unique est disponible uniquement sur les clients pour Windows, disponibles sur le CD-ROM des composants. Pour des raisons de sécurité, le client Web ne contient pas cette fonctionnalité. Cela signifie que vous ne pouvez pas utiliser d'installation du client par le Web pour déployer des clients contenant cette fonction auprès de vos utilisateurs. Étape 2 : activation de l'authentification unique pour les clients Une fois l'installation terminée, vous devez activer l'authentification unique sur tous les clients utilisant la stratégie de groupe. L'activation de l'authentification unique pour les clients se déroule en deux étapes. Vous devez tout d'abord ajouter le modèle icaclient à l'éditeur d'objet de stratégie de groupe. Ceci fait, utilisez ce modèle pour activer l'authentification unique sur tous les clients. Pour ajouter le modèle icaclient à l'éditeur d'objet de stratégie de groupe 1. Ouvrez le composant logiciel enfichable MMC Éditeur d'objet Stratégie de groupe. 2. Sélectionnez l'objet de stratégie de groupe que vous souhaitez modifier. 3. Cliquez avec le bouton droit de la souris sur le dossier Modèles d'administration et sélectionnez Ajout/Suppression de modèles.

92 92 Guide de l'administrateur de l'interface Web 4. Cliquez sur Ajouter et recherchez le modèle icaclient sur le CD des composants. 5. Cliquez sur Ouvrir pour ajouter le modèle et cliquez sur Fermer. Pour activer l'authentification unique pour tous les clients 1. Ouvrez le composant logiciel enfichable MMC Éditeur d'objet Stratégie de groupe. 2. Sélectionnez l'objet de stratégie de groupe que vous souhaitez modifier. 3. Dans l'arborescence de la console, développez le dossier Modèles administratifs. 4. Sélectionnez Composants Citrix > Presentation Server > Authentification de l'utilisateur du client. 5. Sélectionnez Nom de l'utilisateur et mot de passe locaux. 6. Dans le menu Action, cliquez sur Propriétés. 7. Cliquez sur l'onglet Paramètres. 8. Dans la zone Nom de l'utilisateur et mot de passe locaux, sélectionnez Activé. 9. Cochez la case Activer l'authentification unique et cliquez sur OK. Étape 3 : activation de l'authentification unique à l'aide de la console Utilisez la console Access Management Console pour activer l'authentification unique. Lorsque cette fonction est activée, les utilisateurs n'ont pas besoin d'entrer à nouveau leurs informations d'identification et leurs applications s'affichent automatiquement. Par ailleurs, vous pouvez activer Kerberos avec l'authentification unique pour les sites et Services de l'agent Program Neighborhood. Pour les sites Services de l'agent Program Neighborhood, vous pouvez également spécifier Kerberos pour l'authentification unique avec carte à puce. Pour activer l'authentification unique 1. Cliquez sur Configurer les méthodes d'authentification. 2. Cochez la case Authentification unique. 3. Sélectionnez Propriétés.

93 Chapitre 5 Configuration de l'authentification pour l'interface Web Sélectionnez Authentification Kerberos. 5. Si vous souhaitez activer l'authentification Kerberos pour les sites Access Platform, cochez la case Utiliser l'authentification Kerberos pour se connecter aux serveurs. Activation de l'authentification par carte à puce La section suivante décrit la configuration requise pour les cartes à puce et explique la procédure à suivre pour activer la prise en charge de ces cartes. Pour un exemple de configuration de l'authentification par carte à puce dans l'interface Web, consultez la section «Exemple : activation de l'authentification par carte à puce», page 96. Configuration requise pour la prise en charge des cartes à puce Pour utiliser l'authentification par carte à puce, l'interface Web doit être exécutée sur IIS et les utilisateurs doivent exécuter Internet Explorer 6.0 ou systèmes Windows ultérieurs. La prise en charge des cartes à puce n'est pas disponible sur les plates-formes UNIX. Le protocole SSL (Secure Socket Layer) doit être activé sur le serveur Web. Comme ce protocole est le mécanisme sous-jacent à la technologie des cartes à puce, il doit être utilisé entre le navigateur et le serveur Web. Pour des informations complémentaires, reportez-vous à la documentation du serveur Web. Si vous souhaitez activer la prise en charge de la carte à puce (avec ou sans autre méthode d'authentification), vous devez configurer la page d'ouverture de session pour qu'elle soit uniquement accessible via des connexions HTTPS. Si le protocole HTTP standard est utilisé ou si le protocole HTTPS est mal configuré, tous les utilisateurs reçoivent un message d'erreur et ne peuvent pas ouvrir de session. Pour éviter ce problème, publiez la totalité de l'adresse URL HTTPS pour tous les utilisateurs, par exemple : Pour plus d'informations sur la configuration requise sur la machine cliente et la configuration requise sur le serveur pour la prise en charge des cartes à puce, veuillez consulter le Guide de l'administrateur des clients pour Windows et le Guide de l'administrateur Citrix Presentation Server.

94 94 Guide de l'administrateur de l'interface Web Étape 1 : installation des clients pour Windows Vous devez installer les clients pour Windows sur les machines clientes de vos utilisateurs en utilisant un compte d'administrateur. La fonctionnalité d'authentification unique est disponible uniquement sur les clients pour Windows présents sur le CD-ROM des composants. Pour des raisons de sécurité, le client Web ne contient pas cette fonctionnalité. Cela signifie que vous ne pouvez pas utiliser d'installation du client par le Web pour déployer des clients contenant cette fonction auprès de vos utilisateurs. Étape 2 : activation de l'authentification unique pour les clients Une fois l'installation terminée, vous devez activer l'authentification unique sur tous les clients utilisant la stratégie de groupe. L'activation de l'authentification unique pour les clients se déroule en deux étapes. Vous devez tout d'abord ajouter le modèle icaclient à l'éditeur d'objet de stratégie de groupe. Ceci fait, utilisez ce modèle pour activer l'authentification unique sur tous les clients. Pour ajouter le modèle icaclient à l'éditeur d'objet de stratégie de groupe 1. Ouvrez le composant logiciel enfichable MMC Éditeur d'objet Stratégie de groupe. 2. Sélectionnez l'objet de stratégie de groupe que vous souhaitez modifier. 3. Cliquez avec le bouton droit de la souris sur le dossier Modèles d'administration et sélectionnez Ajout/Suppression de modèles. 4. Cliquez sur Ajouter et recherchez le modèle icaclient sur le CD des composants. 5. Cliquez sur Ouvrir pour ajouter le modèle et cliquez sur Fermer. Pour activer l'authentification unique pour tous les clients 1. Ouvrez le composant logiciel enfichable MMC Éditeur d'objet Stratégie de groupe. 2. Sélectionnez l'objet de stratégie de groupe que vous souhaitez modifier. 3. Dans l'arborescence de la console, développez le dossier Modèles administratifs. 4. Sélectionnez Composants Citrix > Presentation Server > Authentification de l'utilisateur du client. 5. Sélectionnez Nom de l'utilisateur et mot de passe locaux. 6. Dans le menu Action, cliquez sur Propriétés.

95 Chapitre 5 Configuration de l'authentification pour l'interface Web Cliquez sur l'onglet Paramètres. 8. Dans la zone Nom de l'utilisateur et mot de passe locaux, sélectionnez Activé. 9. Cochez la case Activer l'authentification unique et cliquez sur OK. Étape 3 : activation du mappeur du service d'annuaire Windows Assurez-vous que le mappeur du service d'annuaire Windows est activé sur le serveur exécutant l'interface Web. L'authentification pour l'interface Web utilise des comptes de domaine Windows ; il s'agit, en d'autres termes, d'une identification par nom d'utilisateur et mot de passe. Les certificats sont toutefois enregistrés sur des cartes à puce. Le mappeur du service d'annuaire utilise Windows Active Directory pour mapper un certificat avec un compte de domaine Windows. Pour activer le mappeur du service d'annuaire Windows sur IIS Ouvrez Internet Information Services (IIS) Manager sur le serveur exécutant l'interface Web. 2. Cliquez avec le bouton droit de la souris sur le répertoire Sites Web situé sous le serveur exécutant l'interface Web et cliquez sur Propriétés. 3. Dans la section Communications sécurisées de l'onglet Sécurité du répertoire, sélectionnez Activer le mappeur du service d'annuaire Windows. 4. Pour activer le mappeur du service d'annuaire, cliquez sur OK. Étape 4 : activation de l'authentification par carte à puce à l'aide de la console Vous devez configurer l'interface Web pour activer l'authentification par carte à puce (afin que les utilisateurs puissent accéder à l'interface Web et afficher leurs séries d'applications) et sur le serveur (afin que les utilisateurs puissent lancer des applications dans une session cliente à l'aide de l'interface Web).

96 96 Guide de l'administrateur de l'interface Web Pour activer l'authentification par carte à puce à l'aide de la console 1. Cliquez sur Configurer les méthodes d'authentification. 2. Procédez de l'une des manières suivantes : Si vous voulez activer l'authentification par carte à puce pour un site, cochez la case Carte à puce et cliquez sur OK pour fermer la boîte de dialogue Configurer les méthodes d'authentification. Si vous voulez activer l'authentification par carte à puce pour un site Services de l'agent Program Neighborhood, cochez la case Carte à puce. 3. Cliquez sur Propriétés. 4. Sélectionnez Itinérance. 5. Pour configurer le comportement de l'interface Web lorsqu'une carte est retirée, sélectionnez la case Activer l'itinérance et choisissez l'une des options suivantes : Pour déconnecter la session d'un utilisateur lorsque la carte à puce est retirée, sélectionnez Déconnecter les sessions lors du retrait. Pour fermer la session d'un utilisateur lorsque la carte à puce est retirée, sélectionnez Fermer les sessions lors du retrait. Exemple : activation de l'authentification par carte à puce Cet exemple illustre les étapes à suivre pour permettre à un utilisateur d'ouvrir une session sur l'interface Web et de lancer des applications à l'aide d'une carte à puce. Vous souhaitez activer l'authentification par carte à puce pour un utilisateur. L'utilisateur utilise une machine cliente Windows 2000 avec Service Pack 4. Un lecteur de carte à puce est connecté à cette machine cliente et la prise en charge des cartes à puce est configurée sur le serveur. À l'heure actuelle, l'interface Web est configurée de façon à permettre uniquement une authentification explicite à l'aide d'un nom d'utilisateur et d'un mot de passe.

97 Chapitre 5 Configuration de l'authentification pour l'interface Web 97 Pour activer l authentification par carte à puce 1. Utilisez le CD-ROM des composants pour installer les clients pour Windows sur la machine cliente de l'utilisateur. L'installation du client est effectuée à l'aide d'un compte d'administrateur. Lors de l'installation des clients pour Windows, répondez par Oui à l'invitation «Désirez-vous activer et utiliser automatiquement le nom d'utilisateur et le mot de passe locaux pour les sessions Citrix ouvertes à partir de ce client?» 2. Activez l'authentification unique pour tous les clients utilisant la stratégie de groupe. Pour des informations complémentaires, veuillez consulter la section «Étape 2 : activation de l'authentification unique pour les clients», page Assurez-vous que le mappeur du service d annuaire Windows est activé. Pour des informations complémentaires, veuillez consulter la section «Étape 3 : activation du mappeur du service d'annuaire Windows», page Utilisez la tâche Configurer les méthodes d'authentification pour activer l'authentification par carte à puce. Cela signifie que lorsque l'utilisateur sélectionne l'option Carte à puce dans la page d'ouverture de session, il lui suffit d'entrer son code PIN pour ouvrir une session (à condition d'avoir ouvert une session sur son bureau Windows à l'aide de sa carte à puce). Remarque Si vous ne souhaitez pas que l'utilisateur soit obligé de réentrer son code secret lorsqu'il ouvre une session sur l'interface Web, sélectionnez Authentification unique avec carte à puce. Configuration de l'authentification à deux facteurs Vous pouvez configurer les méthodes d'authentification à deux facteurs suivantes pour les sites : SafeWord pour Citrix. Technologie d'authentification à deux facteurs qui utilise des codes alphanumériques générés par les jetons SafeWord et (facultativement) des codes PIN pour créer un mot de passe. Avant de pouvoir accéder aux applications du serveur, les utilisateurs doivent saisir les informations d'identification de leur domaine et leurs PASSCODES SafeWord dans la page d'ouverture de session.

98 98 Guide de l'administrateur de l'interface Web RSA SecurID. Méthode d authentification à deux facteurs qui utilise des nombres générés par les jetons RSA SecurID (tokencodes) et des codes PIN pour créer un PASSCODE. Avant de pouvoir accéder aux applications du serveur, les utilisateurs doivent saisir leurs noms d utilisateurs, leurs domaines, leurs mots de passe et leurs PASSCODES RSA SecurID dans la page d'ouverture de session. Lors de la création d utilisateurs sur ACE/ Server, les noms d'ouverture de session des utilisateurs doivent être les mêmes que leurs noms d utilisateurs de domaine. Remarque Lors de l'utilisation de l'authentification RSA SecurID, le système peut générer et afficher un nouveau code secret pour l'utilisateur. Ce code secret s'affiche pendant 10 secondes ou jusqu'à ce que l'utilisateur clique sur OK ou Annuler, afin de s'assurer que le code secret ne peut pas être vu par d'autres personnes. Cette fonctionnalité n'est pas disponible sur les ordinateurs de poche. Activation de l'authentification SafeWord de Secure Computing sur IIS La section suivante décrit l'activation de la prise en charge de SafeWord de Secure Computing. Le port de serveur SafeWord par défaut est 5031 et il est configurable. Le serveur exécutant l'interface Web ne doit pas obligatoirement appartenir au domaine Active Directory auquel est intégré SafeWord. Configuration requise pour SafeWord Pour utiliser l'authentification SafeWord avec l'interface Web pour Windows : Vous devez vous procurer la dernière version de l'agent SafeWord de Secure Computing. Si la prise en charge de l'authentification UPN est requise, appliquez les dernières mises à jour automatiques pour l'agent SafeWord, l'interface Web et le serveur SafeWord. Vous devez vous assurer que l'interface Web est installée avant d'installer l'agent SafeWord pour l'interface Web. Vous devez vous assurer que l'agent SafeWord pour l'interface Web est installé sur le serveur exécutant l'interface Web. Pour plus d'informations sur la configuration de votre produit SafeWord, veuillez consulter le site :

99 Chapitre 5 Configuration de l'authentification pour l'interface Web 99 Activation de l'authentification SafeWord à l'aide de la console Vous devez configurer l'interface Web pour activer l'authentification SafeWord de sorte que les utilisateurs puissent avoir accès à leur série d'applications et l'afficher. Pour ce faire, utilisez la tâche Configurer les méthodes d'authentification. Activation de l'authentification RSA SecurID 6.0 sur IIS Les sections suivantes décrivent l'activation de la prise en charge de RSA SecurID. Configuration requise pour SecurID Pour utiliser l'authentification SecurID avec l'interface Web pour Windows : RSA ACE/Agent pour Windows 6.0 doit être installé sur le serveur exécutant l'interface Web. L'Interface Web doit être installée après l'installation d'ace/agent. Ajout d un serveur exécutant l'interface Web en tant qu'agent Host Vous devez créer un Agent Host pour le serveur exécutant l'interface Web dans la base de données RSA ACE/Server, afin que RSA ACE/Server reconnaisse et accepte les requêtes d authentification provenant du serveur exécutant l'interface Web. Lors de la création d'un Agent Host, sélectionnez Net OS Agent dans la liste déroulante Agent type. Copie du fichier sdconf.rec Localisez le fichier sdconf.rec sur RSA ACE/Server (ou si nécessaire, créez-le) et copiez-le dans le répertoire %SystemRoot%\System32 sur le serveur exécutant l'interface Web. Ce fichier fournit au serveur toutes les informations nécessaires à la connexion à RSA ACE/Server. Activation de l'authentification RSA SecurID à l'aide de la console Vous devez configurer l'interface Web pour activer l'authentification RSA SecurID de sorte que les utilisateurs puissent avoir accès à leurs applications et les afficher. Pour ce faire, utilisez la tâche Configurer les méthodes d'authentification.

100 100 Guide de l'administrateur de l'interface Web Considérations sur la clé de Registre du nœud secret Le nœud secret est utilisé pour assurer une communication sécurisée entre le serveur exécutant l'interface Web et RSA ACE/Server. Le nœud secret peut ne plus être synchronisé entre ces deux serveurs dans les cas suivants : le serveur exécutant l'interface Web est réinstallé ; le serveur RSA est réinstallé ; l'enregistrement de l'agent Host pour le serveur exécutant l'interface Web est supprimé, puis ajouté à nouveau ; la clé de Registre du nœud secret est supprimée du serveur exécutant l'interface Web ; la case Node Secret Created n'est pas cochée dans la boîte de dialogue Edit Agent Host du serveur RSA. Si le nœud secret du serveur exécutant l'interface Web et celui de RSA ACE/ Server ne correspondent pas, RSA SecurID échouera. Vous devez réinitialiser le nœud secret sur le serveur exécutant l'interface Web et RSA ACE/Server. Attention L'utilisation incorrecte de l Éditeur du Registre peut provoquer de sérieux problèmes qui peuvent nécessiter la réinstallation de votre système d exploitation. Citrix ne peut pas garantir que les problèmes résultant d une utilisation incorrecte de l Éditeur du Registre puissent être résolus. Vous utilisez l Éditeur du Registre à vos risques et périls. Pour réinitialiser le nœud secret sur le serveur exécutant l'interface Web 1. Dans le Registre du système, recherchez : HKEY_LOCAL_MACHINE\SOFTWARE\SDTI\ACECLIENT 2. Supprimez la clé NodeSecret. Remarque La réinstallation de l'interface Web ne supprime pas la clé du nœud secret. Si l entrée Agent Host demeure inchangée sur le serveur RSA, le nœud secret peut être réutilisé.

101 Chapitre 5 Configuration de l'authentification pour l'interface Web 101 Prise en charge de domaines multiples RSA SecurID Si vous possédez des comptes utilisateurs qui partagent le même nom d'utilisateur, mais existent dans différents domaines Windows, vous devez les identifier dans la base de données RSA ACE/Server à l'aide d'une ouverture de session par défaut sous la forme DOMAINE\nomd'utilisateur (plutôt qu'avec un nomd'utilisateur uniquement), et configurer l'interface Web afin qu'elle envoie le domaine et le nom d'utilisateur à ACE/Server, en utilisant la tâche Configurer les méthodes d'authentification. Activation de l'intégration de mots de passe Windows RSA SecurID 6.0 L'Interface Web prend en charge la fonctionnalité d'intégration de mot de passe Windows qui est disponible avec RSA SecurID 6.0. Lorsque cette fonctionnalité est activée, les utilisateurs de l'interface Web peuvent ouvrir une session et lancer des applications avec leur PASSCODE SecurID. Les utilisateurs doivent uniquement fournir un mot de passe Windows la première fois qu'ils ouvrent une session sur l'interface Web ou lorsque leur mot de passe doit être changé. Pour utiliser l'intégration de mot de passe Windows SecurID 6.0 avec l'interface Web pour Windows : Le client d'authentification local RSA ACE/Agent pour Windows 6.0 doit être installé sur le serveur exécutant l'interface Web (les administrateurs doivent ouvrir une session sur l'interface Web à l'aide des informations d'identification de l'administrateur du serveur local). L'Interface Web doit être installée après l'installation d'ace/agent. Le service RSA Authentication Agent Offline Local doit être exécuté sur le serveur exécutant l'interface Web. L'Agent Host du serveur exécutant l'interface Web dans la base de données RSA ACE/Server 6.0 doit être configuré pour activer la fonctionnalité d'intégration de mot de passe Windows. Les paramètres système de la base de données doivent être configurés pour activer la fonctionnalité d'intégration de mot de passe Windows au niveau du système.

102 102 Guide de l'administrateur de l'interface Web Activation de l'authentification à deux facteurs sous UNIX Les sections suivantes décrivent l'activation de la prise en charge de SafeWord de Secure Computing et de RSA SecurID sous UNIX. Dans le cas de sites UNIX, l'interface Web utilise le protocole d'authentification RADIUS (Remote Authentication Dial In User Service), par opposition au logiciel d'agent propriétaire qui doit être installé pour les sites Windows. SafeWord et SecurID peuvent, tous deux, être installés et configurés pour être présentés en tant que serveur RADIUS. Activation de RADIUS avec SafeWord Lors de l'installation du logiciel serveur SafeWord, choisissez d'installer l'agent IAS RADIUS. Suivez les instructions à l'écran concernant l'installation du ou des client(s) RADIUS avec le composant logiciel enfichable Windows IAS. Un nouveau client RADIUS doit être configuré pour chaque serveur exécutant l'interface Web qui authentifie les utilisateurs sur le serveur SafeWord. Chaque client RADIUS créé doit être fourni avec les éléments suivants : le nom de domaine complet ou l'adresse IP du serveur exécutant l'interface Web à laquelle le client RADIUS est associé ; un secret, qui est connu du serveur associé exécutant l'interface Web. Pour des informations complémentaires, veuillez consulter la section «Création d'un secret partagé pour RADIUS», page 103 ; le type de client doit être défini sur RADIUS standard ; l'option Request must contain the Message Authenticator attribute doit être sélectionnée pour améliorer la sécurité. Activation de RADIUS avec RSA SecurID RADIUS est activé sur ACE/Server à l'aide de l'outil de gestion de configuration de SecurID 6.0. Pour plus d'informations sur l'utilisation de cet outil, consultez la documentation RSA fournie avec le logiciel SecurID.

103 Chapitre 5 Configuration de l'authentification pour l'interface Web 103 Ajout de l'interface Web et des serveurs RADIUS en tant qu'agent Hosts En assumant que l'ace/server qui authentifie les utilisateurs agit également comme serveur RADIUS, vous devez créer un Agent Host pour le serveur RADIUS local s'exécutant dans la base de données RSA ACE/Server. Lors de la création d'un Agent Host, indiquez le nom et l'adresse IP du serveur local et sélectionnez Net OS Agent dans la liste Agent type. Le serveur local doit être assigné en tant que serveur intérimaire. Par ailleurs, vous devez créer un Agent Host pour chaque serveur exécutant l'interface Web dans la base de données RSA ACE/Server afin que RSA ACE/ Server reconnaisse et accepte les requêtes d authentification provenant du serveur exécutant l'interface Web en passant par le serveur RADIUS. Lors de la création de cet Agent Host, sélectionnez Communication Server dans la liste Agent type, puis définissez la clé de cryptage sur la valeur du secret partagé avec l'interface Web. Création d'un secret partagé pour RADIUS Le protocole RADIUS nécessite l'utilisation d'un secret partagé, contenant des données connues uniquement du client RADIUS (c'est-à-dire de l'interface Web) et du serveur RADIUS auprès duquel il s'authentifie. L'Interface Web stocke ce secret dans un fichier texte sur le système de fichiers local. L'emplacement de ce fichier est indiqué par le fichier web.xml dans le paramètre radius_secret_path stocké sur le serveur UNIX. Pour créer le secret partagé, créez un fichier texte nommé radius_secret.txt contenant une chaîne quelconque. Déplacez ce fichier vers l'emplacement indiqué dans le fichier web.xml ; assurez-vous qu'il est verrouillé et qu'il ne peut être accessible qu'aux utilisateurs ou processus appropriés. Activation de l'authentification à deux facteurs RADIUS à l'aide de la console Vous devez activer l'authentification à deux facteurs sur l'interface Web de sorte que les utilisateurs puissent avoir accès à leur série d'applications et l'afficher. Pour ce faire, utilisez la tâche Configurer les méthodes d'authentification. Pour les sites UNIX, en plus d'activer l'authentification à deux facteurs, vous pouvez indiquer une ou plusieurs adresses de serveurs RADIUS (et facultativement des ports), l'équilibrage de charge ou le comportement du basculement des serveurs et le délai d'expiration de la réponse.

104 104 Guide de l'administrateur de l'interface Web Utilisation du mode RADIUS Challenge Par défaut, un serveur RADIUS SecurID est en mode RADIUS Challenge. Dans ce mode : l'interface Web affiche un écran de challenge générique comportant un message, une zone de mot de passe HTML, ainsi que les boutons OK et Annuler ; les messages de challenge ne sont pas localisés par l'interface Web. Ils sont dans la même langue que les messages de challenge sur le serveur RADIUS SecurID. Si les utilisateurs ne donnent pas de réponse (par exemple, s'ils cliquent sur Annuler), ils sont redirigés vers la page d'ouverture de session. Citrix recommande que ce mode soit uniquement utilisé si des composants ou des produits logiciels autres que l'interface Web utilisent également le serveur RADIUS pour l'authentification. Utilisation de messages de challenge personnalisés Vous pouvez configurer des messages de challenge personnalisés pour le serveur RADIUS SecurID. Lorsque vous utilisez des messages personnalisés connus de l'interface Web, cette dernière peut présenter des pages d'interface identiques à celles affichées par l'interface Web pour Windows et ces pages sont localisées. Cette fonctionnalité nécessite des modifications de la configuration du serveur RADIUS et doit être implantée uniquement si le serveur RADIUS est utilisé exclusivement pour authentifier les utilisateurs de l'interface Web. Vous pouvez modifier les messages de challenge en lançant l'utilitaire de configuration RADIUS RSA. Pour plus d'informations sur l'utilisation de cet outil, consultez la documentation RSA fournie avec le logiciel SecurID. Pour afficher les mêmes messages à l'intention des utilisateurs qui accèdent à des sites sur Windows et sur des serveurs UNIX, il est nécessaire de mettre à jour les challenges ci-dessous. Teneur du message Paquet Valeur mise à jour L'utilisateur veut-il un code secret système? L'utilisateur est-il prêt à recevoir un code secret système? L'utilisateur est-il satisfait du code secret système? Nouveau code secret numérique de longueur fixe Challenge Challenge Challenge Challenge CHANGE_PIN_EITHER SYSTEM_PIN_READY CHANGE_PIN_SYSTEM_[%s] CHANGE_PIN_USER

105 Chapitre 5 Configuration de l'authentification pour l'interface Web 105 Teneur du message Paquet Valeur mise à jour Nouveau code secret alphanumérique de longueur fixe Nouveau code secret numérique de longueur variable Nouveau code secret alphanumérique de longueur variable Challenge Challenge Challenge CHANGE_PIN_USER CHANGE_PIN_USER CHANGE_PIN_USER Nouveau code secret accepté Challenge SUCCESS Entrer Oui ou Non Challenge FAILURE Nouveau code d'authentifieur requis Challenge NEXT_TOKENCODE

106 106 Guide de l'administrateur de l'interface Web

107 CHAPITRE 6 Gestion des clients Présentation Ce chapitre fournit des informations sur le déploiement et l'utilisation des clients Citrix Presentation Server et de Citrix Streaming Client à l'aide de l'interface Web. Il explique également comment créer un accès client sécurisé. Il comporte les sections suivantes : Gestion du déploiement du client Configuration de l'agent Program Neighborhood Gestion de l'accès client sécurisé Modification des paramètres du proxy côté client Gestion du déploiement du client Pour accéder à des applications ou ouvrir des sessions de conférences, les utilisateurs doivent disposer d'un navigateur Web pris en charge, d'un Client Citrix Presentation Server et d'un Client Citrix Streaming ou d'un logiciel de connexion au Bureau à distance. Utilisez la fonction Gérer le déploiement du client afin de préciser quels clients sont proposés aux utilisateurs pour le téléchargement et l'installation. Vous pouvez également utiliser cette tâche pour spécifier avec quels clients les utilisateurs peuvent lancer les applications.

108 108 Guide de l'administrateur de l'interface Web Vous pouvez effectuer les opérations suivantes. Configurer le déploiement des clients par le Web Spécifier les clients que l'interface Web permet aux utilisateurs d'installer Préciser avec quels clients les utilisateurs peuvent lancer les applications Permettre aux utilisateurs de sélectionner le mode de lancement de leurs applications Spécifier les composants compris dans le Client pour Java ou permettre aux utilisateurs de sélectionner les composants dont ils ont besoin Types de clients distants Les clients suivants sont disponibles pour lancer les applications distantes : Client natif. Les utilisateurs installent le client Web. Les fenêtres transparentes sont prises en charge ; les applications sont lancées dans des fenêtres de bureau redimensionnables. Si les utilisateurs accèdent aux applications par le biais d'un ordinateur de poche, vous devez activer le client natif. Client incorporé natif (ActiveX ou module externe Netscape). Les utilisateurs téléchargent et déploient ce client à l'aide du processus de détection et de déploiement de client. Les fenêtres transparentes ne sont pas prises en charge ; les applications sont lancées dans une fenêtre de navigateur. Client pour Java. Les utilisateurs téléchargent le Client pour Java lorsque l'application est lancée. Ce client prend en charge les fenêtres transparentes ; les applications sont lancées dans des fenêtres de bureau redimensionnables. Logiciel de connexion au Bureau à distance incorporé. Les utilisateurs téléchargent et déploient le logiciel de connexion au Bureau à distance à l'aide du processus de détection et de déploiement de client. Les fenêtres transparentes ne sont pas prises en charge ; les applications sont lancées dans des fenêtres de navigateur incorporées. Remarque Le client incorporé natif, le client pour Java et le logiciel de connexion au Bureau à distance incorporé ne sont pas pris en charge sur les assistants numériques personnels exécutant Windows CE.

109 Chapitre 6 Gestion des clients 109 Citrix Streaming Client Citrix Streaming Client permet aux utilisateurs de livrer des applications en streaming sur leur bureau et de les ouvrir localement. Citrix Streaming Client : fonctionne comme un service sur la station de travail de l'utilisateur afin d'appeler des applications que l'utilisateur sélectionne à l'aide de l'agent Program Neighborhood ou d'un navigateur Web ; recherche la cible correcte du pack pour la station de travail de l'utilisateur, crée un environnement isolé sur la station de travail de l'utilisateur et livre en streaming les fichiers nécessaires à l'exécution de l'application sur le bureau de l'utilisateur. Vous pouvez installer le Citrix Streaming Client avec l'agent Program Neighborhood afin de fournir la totalité des fonctionnalités de streaming des applications ou seul sur le bureau de l'utilisateur afin que celui-ci puisse accéder à des applications publiées grâce à un navigateur Web utilisant un site Access Platform. Pour plus d'informations sur la publication d'applications livrées en streaming, veuillez consulter le Guide de l'administrateur Citrix Presentation Server. Pour plus d'informations sur la fonctionnalité de streaming d'application, veuillez consulter le Guide Streaming d'application Citrix. Installation du client par le Web Pour utiliser l'interface Web, les utilisateurs doivent posséder un navigateur Web pris en charge, un Client Citrix Presentation Server et un Citrix Streaming Client (pour accéder aux applications livrées en streaming). Copie des fichiers d'installation d'un client sur le serveur Web Pour installer un client par le Web, le serveur Web doit contenir les fichiers d'installation du client. Le programme d'installation de l'interface Web vous invite à fournir le CD-ROM des composants ou son image. Le programme d'installation copie le contenu du répertoire \Clients du CD-ROM vers un répertoire appelé \Clients dans le répertoire racine des fichiers communs (par exemple, C:\Program Files\Citrix\Web Interface\Version\Clients). Si vous n'avez pas copié les fichiers d installation des clients sur le serveur Web lors de l'installation de l'interface Web, assurez-vous de les copier sur le serveur Web avant d'installer des clients par le Web.

110 110 Guide de l'administrateur de l'interface Web Pour copier les fichiers des clients sur le serveur Web 1. Recherchez le répertoire \Clients dans lequel l'interface Web est installée ; par exemple, C:\Program Files\Citrix\Web Interface\Version\Clients. 2. Insérez le CD-ROM des composants dans le lecteur optique du serveur Web ou parcourez le réseau pour rechercher une image partagée de ce CD-ROM. 3. Envoyez les répertoires vers le répertoire \Clients du CD. Copiez le contenu du répertoire \Clients sur le CD vers le répertoire \Clients sur le serveur exécutant l'interface Web. Assurez-vous de copier uniquement le contenu du répertoire et non le répertoire \Clients lui-même. Configuration du déploiement client et des légendes d'installation L'Interface Web dispose d'un processus de détection et de déploiement de client dont la tâche consiste à détecter les clients susceptibles d'être déployés dans l'environnement des utilisateurs puis à les guider au travers de la procédure de déploiement, qui peut inclure le cas échéant, la reconfiguration de leur navigateur Web. Vous pouvez permettre aux utilisateurs de lancer le processus de détection et de déploiement de client de trois façons : Vous pouvez configurer l'exécution automatique du processus de détection lorsque les utilisateurs accèdent à un site Interface Web. Si un utilisateur ouvre une session à l'interface Web et qu'il ne dispose pas du client approprié, le processus de déploiement de client démarre automatiquement. Ce dernier identifie le client approprié et le déploie de façon à ce que l'utilisateur puisse accéder à ses applications. Vous pouvez ajouter une icône de barre d'outils à votre liste d'applications afin de démarrer le processus de détection de client manuellement. Vous pouvez mettre des légendes d'installation à la disposition des utilisateurs. Il s'agit de liens qui sont présentés aux utilisateurs dans la zone Centre de messages de l'interface utilisateur. Il leur suffit de cliquer sur ces liens pour démarrer le processus de détection et de déploiement de client.

111 Chapitre 6 Gestion des clients 111 Lorsqu'un utilisateur se connecte à un site Interface Web, le processus de détection et de déploiement de client vérifie la présence d'un logiciel client sur l'ordinateur de l'utilisateur. Si des utilisateurs ne disposant pas du logiciel client approprié ouvrent une session à un site Interface Web configuré pour détecter et déployer automatiquement des clients, le processus démarre automatiquement et guide les utilisateurs au travers de la procédure d'identification et de déploiement d'un client adéquat leur permettant d'accéder à leurs applications, et le cas échéant, de reconfigurer leurs navigateurs Web. Les utilisateurs qui se connectent à de tels sites peuvent également accéder au processus de détection et de déploiement de client à tout moment en cliquant sur l'icône de barre d'outils qui se trouve sur la liste des applications. Les liens qui s'affichent dans la zone Centre de messages de l'interface utilisateur permettent également aux utilisateurs d'accéder au processus de déploiement de client. Il leur suffit de cliquer sur ces liens pour démarrer le processus de détection et de déploiement de client. Ces liens sont appelés légendes d'installation. Par exemple : Cette capture d'écran montre un exemple de légende d'installation qui peut apparaître dans la page d'ouverture de session de l'utilisateur Les légendes d'installation peuvent non seulement être mises à la disposition des utilisateurs qui ne disposent pas d'un client approprié, mais elles peuvent également être utilisées pour leur permettre d'accéder au processus de déploiement de client afin de mettre leurs clients à niveau au profit d'une version plus récente ou d'un autre type de client offrant davantage de fonctionnalités. Vous pouvez utiliser la tâche Gérer le déploiement du client afin de spécifier dans quelles conditions les utilisateurs peuvent accéder au processus de détection et de déploiement de client.

112 112 Guide de l'administrateur de l'interface Web Pour configurer les légendes d'installation et de déploiement des clients 1. Cliquez sur Gérer le déploiement du client. 2. Cliquez sur Détection de client. 3. Si vous souhaitez que le processus de détection et de déploiement de client démarre automatiquement lorsque des utilisateurs qui ne disposent pas d'un client approprié ouvrent une session à l'interface Web, sélectionnez la case Exécuter la détection de client à l'ouverture de session. Lorsque vous sélectionnez cette option, une icône de barre d'outils est ajoutée à la liste des applications de l'utilisateur, ce qui lui permet de lancer le processus de détection de client manuellement. Remarque Pour désactiver le processus de détection et de déploiement de client, décochez la case Exécuter la détection de client à l'ouverture de session et sélectionnez l'option Jamais dans la section Afficher la notification de détection de client. 4. Indiquez quand les légendes d'installation sont présentées aux utilisateurs en choisissant l'une des options suivantes : Pour informer l'utilisateur qu'aucun client approprié n'a été détecté ou qu'un client plus adéquat est disponible, sélectionnez Chaque fois qu'un client est requis. Il s'agit de l'option par défaut. Pour informer l'utilisateur uniquement lorsqu'aucun client approprié n'a été détecté, sélectionnez Uniquement quand les applications ne peuvent pas être lancées. Si vous ne souhaitez pas afficher de légendes d'installation, sélectionnez Jamais. Remarque Le comportement de la page d'ouverture de session diffère légèrement dans le sens où les légendes d'installation sont affichées uniquement pour les clients distants, et ce, à condition qu'aucun client ne soit détecté. C'est pourquoi les paramètres Chaque fois qu'un client est requis et Uniquement quand les applications ne peuvent pas être lancées pour les légendes d'installation sont identiques sur la page d'ouverture de session.

113 Chapitre 6 Gestion des clients 113 Déploiement du logiciel de connexion au Bureau à distance La fonction de connexion au Bureau à distance est disponible sur les systèmes Windows 32 bits avec Internet Explorer 6.0 ou ultérieur. Configuration requise pour la connexion au Bureau à distance Si vous configurez un site Participant invité de Conferencing Manager pour que les utilisateurs se connectent au moyen du logiciel de connexion au Bureau à distance, veillez à utiliser un nombre de couleurs inférieur ou égal à 256 pour créer les conférences. Dans le cas contraire, les utilisateurs se connectant à l'aide du logiciel de connexion au Bureau à distance reçoivent un message d'erreur et ne peuvent pas ouvrir de session. Si Internet Explorer ne place pas le site Interface Web dans la zone Intranet local ou Sites de confiance, il affiche un message d'erreur et renvoie l'utilisateur à l'aide pour plus d'informations. Dans ce cas, Citrix recommande de demander aux utilisateurs de procéder comme suit. Pour ajouter le site Interface Web à la zone Sites de confiance dans Internet Explorer 1. Depuis le menu Outils d'internet Explorer, sélectionnez Options Internet. 2. Cliquez sur l'onglet Sécurité. 3. Sélectionnez Sites de confiance et cliquez sur Sites. 4. Si nécessaire, entrez l'adresse URL du serveur Interface Web dans la case Ajouter ce site Web à la zone ; par exemple, 5. Si l'accès au site Interface Web s'effectue par le biais d'une connexion HTTP, la case Exiger un serveur sécurisé ( pour tous les sites de cette zone ne doit pas être sélectionnée. 6. Cliquez sur Ajouter pour ajouter le site Interface Web à votre liste de sites Web de confiance. Pour ajouter le site Interface Web à la zone Intranet local dans Internet Explorer 1. Depuis le menu Outils d'internet Explorer, sélectionnez Options Internet. 2. Cliquez sur l'onglet Sécurité. 3. Sélectionnez Intranet local et cliquez sur Sites. 4. Cliquez sur Avancé.

114 114 Guide de l'administrateur de l'interface Web 5. Si nécessaire, entrez l'adresse URL du serveur Interface Web dans la case Ajouter ce site Web à la zone ; par exemple, 6. Si l'accès au site Interface Web s'effectue par le biais d'une connexion HTTP, la case Exiger un serveur sécurisé ( pour tous les sites de cette zone ne doit pas être sélectionnée. 7. Cliquez sur Ajouter pour ajouter le site Interface Web à votre liste de sites intranet. Déploiement du client pour Java Si vous déployez des clients sur un réseau à bande passante réduite ou si vous ne connaissez pas la plate-forme de vos utilisateurs, envisagez d'utiliser le client pour Java. Le client Java est un applet multi-plateforme qui peut être déployé par le serveur exécutant l'interface Web sur n'importe quel navigateur Web compatible Java. Personnalisation du déploiement du client pour Java Vous pouvez configurer les composants compris dans le déploiement du Client pour Java. La taille du téléchargement du Client pour Java est déterminée par les packs compris dans le téléchargement. Moins le nombre de packs sélectionné est important, plus la taille du téléchargement est réduite (jusqu'à 540 Ko). Pour limiter la taille du téléchargement pour les utilisateurs disposant de connexions à faible bande passante, vous pouvez déployer uniquement un ensemble minimal de composants. Vous avez également la possibilité de permettre aux utilisateurs de contrôler les composants requis. Remarque Certains composants que vous rendez disponibles dans le Client pour Java peuvent exiger une configuration supplémentaire sur la machine cliente ou le serveur. Pour plus d'informations sur le client pour Java et ses composants, veuillez consulter le Guide de l'administrateur du Client pour Java.

115 Chapitre 6 Gestion des clients 115 Le tableau suivant recense les options disponibles : Pack Audio Presse-papiers Écho local du texte SSL/TLS Cryptage Mappage de lecteurs clients Mappage d'imprimantes Interface utilisateur de configuration Description Permet aux applications s'exécutant sur le serveur de lire les sons par l'intermédiaire d'un dispositif sonore installé sur la machine cliente. Vous pouvez contrôler la quantité de bande passante utilisée par le mappage audio du client sur le serveur. Pour plus de détails, veuillez consulter le Guide de l'administrateur Citrix Presentation Server. Permet aux utilisateurs de copier du texte et des graphiques entre les applications sur le serveur et les applications qui s'exécutent localement sur la machine cliente. Accélère l affichage du texte saisi sur la machine cliente. Assure la sécurité des communications à l'aide des protocoles SSL (Secure Socket Layer) et TLS (Transport Layer Security). SSL/TLS offre des fonctions d'authentification du serveur, de cryptage du flux de données et de vérification de l'intégrité des messages. Assure un cryptage élevé qui améliore la confidentialité des connexions clientes. Permet aux utilisateurs d'accéder à leurs lecteurs locaux à partir d'une session cliente. Lorsque les utilisateurs se connectent au serveur, leurs lecteurs clients (lecteurs de disquettes, réseau et optiques, par exemple) sont automatiquement montés. Les utilisateurs peuvent accéder à leurs fichiers stockés localement, s'en servir au cours de leurs sessions clientes, puis les enregistrer de nouveau sur un lecteur local ou sur un lecteur du serveur. Pour activer ce paramètre, les utilisateurs doivent aussi configurer le mappage de lecteurs clients dans la boîte de dialogue Paramètres du client pour Java. Pour plus d'informations, reportez-vous au Guide de l'administrateur du Client pour Java. Permet aux utilisateurs d'imprimer sur leurs imprimantes locales ou réseau à partir d'une session cliente. Active la boîte de dialogue Paramètres du client pour Java. Cette boîte de dialogue permet aux utilisateurs de configurer le Client pour Java. Utilisation de certificats racine privés avec le Client pour Java, version 9.x Si vous avez configuré un service Secure Gateway ou Relais SSL Citrix avec un certificat de serveur provenant d'une autorité de certification privée (si vous délivrez par exemple vos propres certificats à l'aide des Services de certificats Microsoft), vous devez importer le certificat racine dans le stock de clés Java de chaque machine cliente. Pour plus d'informations, reportez-vous au Guide de l'administrateur du Client pour Java.

116 116 Guide de l'administrateur de l'interface Web Utilisation de certificats racine privés avec le Client pour Java, version 8.x Pour utiliser des certificats racine privés avec la version 8.x du client, sélectionnez l'option Utiliser un certificat racine privé. Dans le champ Nom du fichier de certificat, entrez le nom du fichier de certificat. Le certificat doit se trouver dans le même répertoire sur le serveur Web que les packs Client Java (par exemple, Clients\icajava dans le répertoire des fichiers communs sur IIS). Important Cette option ne vérifie pas que le certificat racine est délivré via une connexion sécurisée. Le certificat racine pouvant être transmis sur un lien HTTP non crypté, il pourrait être vulnérable aux attaques. Citrix vous conseille de configurer le serveur Web pour utiliser des connexions HTTPS. Déploiement du Client pour Java à l'aide de l'interface Web avec des certificats SSL/TLS personnalisés Suivez la procédure ci-dessous pour configurer l'interface Web afin qu'elle utilise un certificat racine SSL personnalisé unique avec la version 8.x du Client pour Java. Le certificat est mis à disposition du Client pour Java en tant que fichier individuel dans le répertoire codebase du client sur le serveur Web. Il est possible que cela pose des problèmes pour les fichiers.cer car IIS les envoie en utilisant du texte MIME et le fichier peut s'altérer lors du transport (les terminaisons des lignes sont, par exemple, modifiées). De plus, certaines machines virtuelles Java (JVM), telles que IBM JVM sous OS/2, ne récupèrent pas les certificats spécifiés en tant que fichiers individuels. Citrix vous conseille de rassembler les certificats racine dans un fichier d'archive unique pour fournir plusieurs certificats. Cette procédure est documentée dans le Guide de l'administrateur du Client pour Java. La procédure suivante décrit comment configurer des certificats personnalisés à l'aide de l'interface Web et du Client pour Java. Pour configurer les certificats personnalisés 1. Contactez votre autorité de certification afin d'obtenir les certificats racine correspondant aux certificats de serveur utilisés sur les serveurs. 2. Dans un éditeur de texte, recherchez et ouvrez le fichier appembedclient.js. Généralement, le fichier se trouve dans C:\Inetpub\wwwroot\Citrix\SiteName\site\clientscripts\. 3. Localisez la ligne du code JavaScript qui écrit la première balise HTML <applet>.

117 Chapitre 6 Gestion des clients Avant cette ligne, spécifiez les certificats SSL/TLS devant être utilisés par le Client pour Java. Les paramètres suivants sont requis (compris entre commentaires JavaScript) : SSLNoCACerts. Nombre de certificats spécifiés dans l'archive cliente. SSLCACert0, SSLCACert1...SSLCACertn. Noms des certificats racine à utiliser lors de la validation du nom du certificat de serveur. Le nombre de certificats racine que vous spécifiez doit correspondre au nombre indiqué dans le paramètre SSLNoCACerts. Si vous possédez par exemple trois certificats racine dont les noms de fichier sont A.crt, B.crt et C.cer, insérez les lignes suivantes : document.write( <param name="sslnocacerts" value="3"> ); document.write( <param name="sslcacert0" value="a.crt"> ); document.write( <param name="sslcacert1" value="b.crt"> ); document.write( <param name="sslcacert2" value="c.cer"> ); 5. Si vous souhaitez déployer le client dans Microsoft Internet Explorer avec la machine virtuelle Java de Microsoft, compactez les certificats dans un fichier.cab. Pour plus d'informations, reportez-vous au Guide de l'administrateur du Client pour Java. 6. Localisez la ligne du code JavaScript qui écrit le paramètre cabinets. Ajoutez le nom du fichier d'archive créé à l'étape 5. Si, par exemple, vous avez appelé votre archive MyCerts.cab, modifiez ce qui suit : document.write( <param name="cabinets" value=" +Cabs+ "> ); par : document.write( <param name="cabinets" value=" +Cabs+,MyCerts.cab"> ); 7. Copiez votre fichier d'archives vers le répertoire sur le serveur Web qui contient les fichiers du client pour Java ; par exemple, C:\Program Files\Citrix\Web Interface\Version\Clients\icajava. 8. Enregistrez le fichier appembedclient.js. 9. Sur la machine cliente, lancez le navigateur Web et connectez-vous au serveur exécutant l'interface Web. Toutes les sessions du Client pour Java incorporées à des serveurs sécurisés fonctionnent de façon transparente à l aide de SSL.

118 118 Guide de l'administrateur de l'interface Web Compatibilité avec les serveurs Web de langue asiatique Les fichiers ICA sont des fichiers texte contenant des paramètres et des instructions de lancement d'applications publiées. Vous pouvez configurer l'interface Web de façon à générer des fichiers.ica dans Unicode et augmenter ainsi le nombre de caractères des langues non européennes reconnues par les clients distants. Cette fonction est disponible uniquement avec les clients MetaFrame Presentation Server 3.0 et versions ultérieures ; les versions précédentes ne prennent pas en charge les fichiers.ica Unicode. Pour vérifier que les fichiers ICA sont au format Unicode 1. Cliquez sur Gérer le déploiement du client. 2. Sélectionnez Prise en charge de version. 3. Cliquez sur Prise en charge de la version 8 ou ultérieure des clients. Configuration du contrôle de la session de streaming Vous pouvez utiliser la tâche Gestion du déploiement du client pour configurer l'interface Web, afin de fournir les informations concernant les sessions utilisateur à l'administrateur Citrix. L'Interface Web fournit ces informations au moyen d'une adresse URL de session utilisée pour communiquer avec Citrix Streaming Client. Dans la plupart des cas, cette adresse URL est détectée automatiquement. Cependant, il se peut qu'elle doive être définie manuellement (par exemple, si un proxy côté client est utilisé). Vous pouvez utiliser la console Access Management Console pour visualiser les informations de session. Vous pouvez visualiser les informations de toutes les sessions utilisateur dans plusieurs batteries, des applications publiées spécifiques, des sessions se connectant à un serveur spécifique ou les sessions et les applications d'un utilisateur spécifique. Pour configurer le contrôle de la session de livraison en streaming 1. Cliquez sur Gérer le déploiement du client. 2. Sélectionnez Client de streaming.

119 Chapitre 6 Gestion des clients Sélectionnez le mode de communication de l'interface Web avec Citrix Streaming Client. Choisissez parmi les modes suivants : pour détecter automatiquement l'adresse URL de session utilisée pour communiquer avec le client, sélectionnez Détecter automatiquement l'adresse URL de session ; pour définir une adresse URL de session, sélectionnez Spécifier l'adresse URL de session et entrez les détails de l'adresse URL. Configuration de l'agent Program Neighborhood L'Agent Program Neighborhood permet aux utilisateurs d accéder aux applications distantes et livrées en streaming directement à partir du bureau Windows, sans l aide d un navigateur Web. Vous pouvez configurer à distance la création de liens vers les applications distantes à partir du menu Démarrer, sur le bureau Windows ou dans la zone de notification de Windows. L interface utilisateur de l Agent Program Neighborhood peut également être «verrouillée» pour éviter toute erreur de configuration par l utilisateur. Vous pouvez utiliser la console Access Management Console ou le fichier config.xml pour configurer l'agent Program Neighborhood. Utilisation de la console Access Management Console pour la configuration L'Agent Program Neighborhood est configuré avec des options de présentation par défaut, des méthodes d authentification et des options de connexion au serveur. La console Access Management Console permet de changer les paramètres par défaut afin d'empêcher les utilisateurs de modifier certaines options. Pour plus d'informations sur l'utilisation de la console, veuillez consulter la section «Configuration de sites au moyen de la console», page 48. Utilisation des fichiers de configuration Vous pouvez également configurer l'agent Program Neighborhood en utilisant les fichiers config.xml et InterfaceWeb.conf. Généralement, ces fichiers sont situés dans le répertoire C:\Inetpub\wwwroot\Citrix\PNAgent\conf\ sur le serveur exécutant l'interface Web.

120 120 Guide de l'administrateur de l'interface Web Gestion des fichiers de configuration des clients Les options de l'agent Program Neighborhood configurées avec la console sont stockées dans un fichier de configuration sur le serveur exécutant l'interface Web (pour des sites utilisant une configuration locale) ou sur un serveur dans la batterie exécutant le service de Configuration (pour des sites utilisant une configuration centralisée). Généralement, il s'agit également du serveur exécutant le service XML Citrix. Ce fichier de configuration détermine la gamme des paramètres qui apparaissent sous la forme d'options dans la boîte de dialogue Propriétés de l'agent Program Neighborhood des utilisateurs. Les utilisateurs peuvent effectuer une sélection parmi les options disponibles afin de définir leurs préférences pour les sessions ICA, et notamment : le mode d'ouverture de session, la taille de l'écran, la qualité audio et l'emplacement des liens vers les ressources publiées. Pour des sites configurés en local, un fichier de configuration par défaut (config.xml) contenant les paramètres par défaut est installé ; il est utilisable tel quel dans la plupart des environnements réseau. Le fichier config.xml est stocké dans le répertoire \conf pour le site. Utilisez la tâche Exporter la configuration du client afin de sauvegarder une copie du fichier config.xml sélectionné à un emplacement différent. Gestion de l'accès client sécurisé Si vous utilisez Access Gateway, Secure Gateway ou un pare-feu dans votre déploiement, vous pouvez utiliser les tâches Gérer l'accès client sécurisé pour configurer l'interface Web afin d'y inclure les paramètres appropriés. Vous pouvez, par exemple, configurer l'interface Web de façon à fournir une adresse secondaire, si le serveur est configuré avec une telle adresse et que le pare-feu est configuré pour la traduction d'adresse réseau. Cette section explique comment utiliser les tâches Gérer l'accès client sécurisé pour modifier les réglages de la zone démilitarisée (DMZ), configurer les réglages de passerelle, modifier les traductions d'adresse et afficher vos réglages dans le volet de détails. Remarque Les sections suivantes sont uniquement applicables aux sites et Participant invité de Conferencing Manager.

121 Chapitre 6 Gestion des clients 121 Modification des paramètres DMZ Vous pouvez configurer les adresses, les masques et les méthodes d'accès associés aux clients grâce à la tâche Modifier les réglages DMZ. L'ordre d'affichage des entrées dans le tableau des adresses clientes correspond à l'ordre dans lequel les règles sont appliquées. Si aucune des règles ne s'applique, la règle par défaut est utilisée. Pour ajouter ou modifier une route cliente 1. Cliquez sur Modifier les réglages DMZ. 2. Cliquez sur Ajouter pour ajouter une nouvelle route cliente ou sur Modifier pour modifier une route cliente existante. 3. Entrez l'adresse réseau et le masque de sous-réseau identifiant le réseau client. 4. Sélectionnez une méthode d'accès à partir de l'une des options suivantes : Sélectionnez Directe pour communiquer l'adresse actuelle du serveur au client. Il s'agit de l'option par défaut. Sélectionnez Secondaire pour communiquer l'adresse secondaire du serveur au client. Le serveur doit être configuré avec une adresse secondaire et le pare-feu doit être configuré pour une traduction d'adresse réseau. Sélectionnez Traduite pour que l'adresse communiquée au client soit déterminée par les mappages de traduction d'adresse définis dans l'interface Web. Sélectionnez Passerelle directe pour communiquer l'adresse actuelle du serveur au serveur passerelle. Sélectionnez Passerelle secondaire pour communiquer l'adresse secondaire du serveur au serveur passerelle. Le serveur exécutant Presentation Server doit être configuré avec une adresse secondaire et le pare-feu doit être configuré pour une traduction d'adresse réseau. Sélectionnez Passerelle traduite pour que l'adresse communiquée au serveur passerelle soit déterminée par les mappages de traduction d'adresse définis dans l'interface Web. 5. Cliquez sur OK pour enregistrer vos paramètres.

122 122 Guide de l'administrateur de l'interface Web Modification des réglages de passerelle Si vous utilisez Access Gateway ou Secure Gateway dans votre déploiement, vous devez configurer l'interface Web pour la prise en charge de passerelle. Pour ce faire, utilisez la tâche Modifier les réglages de passerelle. Pour modifier les réglages de passerelle 1. Cliquez sur Modifier les réglages de passerelle. 2. Spécifiez le nom de domaine complet (FQDN) du serveur passerelle que les clients doivent utiliser dans la boîte Adresse (FQDN). Il doit correspondre aux informations du certificat installé sur le serveur passerelle. 3. Spécifiez le numéro de port du serveur passerelle que les clients doivent utiliser dans le champ Port. Le numéro de port par défaut est Pour utiliser la fiabilité de session, sélectionnez l'option Activer la fiabilité de session. 5. Dans la zone Secure Ticket Authorities, cliquez sur Ajouter pour spécifier l'adresse URL d'un Secure Ticket Authority que l'interface Web peut utiliser. Le Secure Ticket Authority s'affiche dans la liste des Adresses URL Secure Ticket Authority. Les serveurs Secure Ticket Authorities sont fournis avec le service XML Citrix, par exemple sous Scripts/CtxSta.dll. Vous pouvez spécifier plusieurs Secure Ticket Authority pour la tolérance de panne. Citrix vous conseille néanmoins de ne pas utiliser d équilibreur de charge externe dans ce but. Vous pouvez spécifier jusqu'à 256 Secure Ticket Authorities dans cette liste. 6. Pour classer les Secure Ticket Authorities par ordre de priorité, sélectionnez une adresse URL de Secure Ticket Authority, puis cliquez sur Déplacer vers le haut ou Déplacer vers le bas. Pour supprimer une adresse URL de Secure Ticket Authority, sélectionnez-la dans la liste, puis cliquez sur Supprimer. 7. Indiquez si vous souhaitez activer l'équilibrage de charge entre les Secure Ticket Authorities au moyen de l'option Utiliser pour l'équilibrage de charge. La mise en œuvre de l'équilibrage de la charge permet de répartir équitablement les connexions entre les serveurs, de façon à éviter leur surcharge. En cas d erreur de communication avec un serveur, toutes les communications suivantes sont réparties entre les serveurs restants de la liste. 8. L'Interface Web assure une tolérance de panne parmi les serveurs figurant dans la liste Adresses URL Secure Ticket Authority. Si une erreur se produit pendant la communication avec un serveur, le serveur défaillant est ignoré pour la période spécifiée dans la zone Ignorer tout serveur en échec pour.

123 Chapitre 6 Gestion des clients 123 Modification des traductions d'adresse À l'aide de la tâche Modifier les traductions d'adresse, vous pouvez faire correspondre l'adresse du serveur exécutant Presentation Server à l'adresse et au port traduits par le pare-feu interne. Les utilisateurs peuvent alors lancer des applications via Secure Gateway, si l'adresse et le port du serveur sont traduits au niveau du pare-feu interne. Vous pouvez utiliser l'interface Web pour définir les correspondances des adresses IP internes avec les adresses et ports IP externes. Si, par exemple, votre serveur n'est pas configuré avec une adresse secondaire, vous pouvez configurer l'interface Web de façon à en fournir une. Pour configurer la traduction d'adresse du pare-feu interne 1. Cliquez sur Modifier les traductions d'adresse. 2. Cliquez sur Ajouter pour créer une traduction d'adresse ou sur Modifier pour modifier une traduction d'adresse existante. 3. Sous Type d'accès, choisissez l'une des options suivantes : Si vous souhaitez que le client utilise l'adresse traduite pour se connecter au serveur, sélectionnez Traduction de route cliente. Si vous souhaitez que le serveur passerelle utilise l'adresse traduite pour se connecter au serveur, sélectionnez Traduction de route de passerelle. Si vous souhaitez que le client et le serveur passerelle utilisent l'adresse traduite pour se connecter au serveur, sélectionnez Traduction de route cliente et de passerelle. 4. Dans le champ Adresse IP interne, entrez l'adresse IP normale (interne) du serveur. 5. Dans le champ Port interne, saisissez le numéro de port du serveur. 6. Dans le champ Adresse externe, entrez l'adresse IP (externe) traduite ou le nom d'hôte que les clients doivent utiliser pour se connecter au serveur. 7. Dans le champ Port externe, saisissez le numéro de port du serveur. 8. Cliquez sur OK. La correspondance s'affiche dans le tableau des traductions d'adresse. 9. Pour supprimer une correspondance, sélectionnez-la dans le tableau des traductions d'adresse, puis cliquez sur Supprimer.

124 124 Guide de l'administrateur de l'interface Web Affichage des réglages d'accès client sécurisé Utilisez la tâche Afficher les paramètres pour afficher tous les réglages d'accès sécurisé du client qui sont actuellement configurés pour le site. Vous pouvez visualiser les différentes configurations pour chaque tâche d'accès client sécurisé au moyen du menu Affichage. Vous pouvez cliquer sur le lien affiché pour lancer les pages associées à cette tâche. Modification des paramètres du proxy côté client Si vous utilisez un serveur proxy du côté client de l installation Interface Web, vous pouvez configurer si les clients doivent ou non communiquer avec le serveur exécutant Presentation server par l'intermédiaire du serveur proxy. Pour ce faire, utilisez la tâche Modifier le proxy côté client. Un serveur proxy placé du côté client d'une installation Interface Web offre les avantages suivants en matière de sécurité : Masquage des informations, grâce auquel les noms système situés à l'intérieur du pare-feu ne sont pas divulgués aux systèmes situés en dehors du pare-feu par l'intermédiaire de DNS (Domain Name System) Multiplexage de différentes connexions TCP via une seule connexion L'utilisation de la console Access Management Console vous permet de définir des règles proxy par défaut pour les clients. Cependant, vous pouvez aussi configurer des exceptions à ce comportement pour des clients individuels. Pour configurer des exceptions, associez l'adresse IP externe du serveur proxy à un paramètre proxy de l'interface Web. Vous pouvez aussi spécifier que le comportement du proxy doit être contrôlé par le client. Par exemple, pour utiliser la fonction Secure Proxy dans Presentation Server, configurez l'interface Web de façon à utiliser les paramètres proxy spécifiés sur le client et configurez le client pour utiliser Secure Proxy. Pour plus d'informations sur l'utilisation des clients pour contrôler le comportement du proxy, veuillez consulter le Guide de l'administrateur approprié. Pour configurer les paramètres par défaut du proxy 1. Cliquez sur Modifier le proxy côté client. 2. Cliquez sur Ajouter pour créer un mappage ou sur Modifier pour modifier un mappage existant. 3. Dans le champ Adresse IP, entrez l'adresse externe du proxy. 4. Dans le champ Masque de sous-réseau, entrez le masque de sous-réseau.

125 Chapitre 6 Gestion des clients Dans la liste Proxy, sélectionnez l'une des options suivantes : Pour que le client détecte automatiquement le proxy Web en fonction de la configuration du navigateur du client, sélectionnez Réglage du navigateur de l'utilisateur. Pour que le client détecte automatiquement le proxy Web à l'aide du protocole de découverte automatique du proxy Web (WPAD), sélectionnez Détection automatique du proxy Web. Pour utiliser les paramètres clients configurés par l'utilisateur, sélectionnez Défini par le client. Pour utiliser un serveur proxy SOCKS, sélectionnez SOCKS. Si vous choisissez cette option, vous devez entrer l'adresse du serveur proxy dans le champ Adresse proxy et le numéro de port dans le champ Port proxy. L adresse proxy peut être une adresse IP ou un nom DNS. Pour utiliser un serveur proxy sécurisé, sélectionnez Sécurisé (HTTPS). Si vous choisissez cette option, vous devez entrer l'adresse du serveur proxy dans le champ Adresse proxy et le numéro de port dans le champ Port proxy. L adresse proxy peut être une adresse IP ou un nom DNS. Si vous ne souhaitez pas utiliser de proxy, sélectionnez Aucun. 6. Cliquez sur OK. Le mappage est ajouté à la liste Mappage. 7. Vous pouvez contrôler l'ordre d'application de plusieurs mappages. Sélectionnez un mappage et cliquez sur Déplacer vers le haut ou Déplacer vers le bas pour classer les mappages par ordre de priorité. Pour supprimer un mappage, sélectionnez-le et cliquez sur Supprimer.

126 126 Guide de l'administrateur de l'interface Web

127 CHAPITRE 7 Personnalisation de l'expérience utilisateur Présentation Ce chapitre explique comment personnaliser l'affichage de l'interface Web pour les utilisateurs. Ce chapitre contient les sections suivantes : Personnalisation de l'affichage pour les utilisateurs Gestion des préférences de session cliente Configuration du contrôle de l'espace de travail Modification des options de session Gestion des raccourcis vers les applications Utilisation des options d'actualisation des applications

128 128 Guide de l'administrateur de l'interface Web Personnalisation de l'affichage pour les utilisateurs Vous pouvez personnaliser l'affichage de l'interface utilisateur si vous souhaitez, par exemple, que le site reflète l'identité de l'entreprise. Utilisez la tâche Personnaliser l'affichage pour l'utilisateur afin de personnaliser les éléments ci-dessous. Configuration. Vous pouvez personnaliser la configuration globale de l'écran des utilisateurs ou autoriser les utilisateurs à personnaliser la configuration. Vous pouvez sélectionner l'une des options de configuration d'écran suivantes : Automatique, Plein écran ou Compacte. Une interface utilisateur compacte peut par exemple s'avérer utile pour les utilisateurs qui accèdent à leurs applications sur des ordinateurs de poche. Cette interface ne contient ni le message de bienvenue ni les zones du Centre de messages ; elle n'affiche pas non plus les légendes d'installation du client. En outre, les messages apparaissent au-dessus de la page principale. Mettez en forme le nombre de colonnes d'icônes d'application affichées et laissez les utilisateurs personnaliser ces paramètres. Apparence. Vous pouvez personnaliser la disposition de l'écran des utilisateurs en affichant des en-têtes et bas de page, des couleurs de marque, des images d'en-tête et des logos. Par ailleurs, vous pouvez créer un lien hypertexte pour les logos. Contenu. Définissez votre message de bienvenue et le texte de bas de page. Spécifiez les langues supplémentaires. Les graphiques affichés dans ces pages d'options se mettent à jour lorsque vous effectuez vos modifications et sont pris en compte dans la page principale Personnaliser l'affichage pour l'utilisateur.

129 Chapitre 7 Personnalisation de l'expérience utilisateur 129 Gestion des préférences de session cliente Utilisez la tâche Gérer les préférences de session pour indiquer les paramètres que les utilisateurs peuvent régler. Vous pouvez également utiliser cette tâche pour spécifier au bout de combien de temps les sessions de l'interface Web des utilisateurs inactifs sont fermées et si l'interface Web doit effacer le nom du client. Remarque Cette tâche n'est pas disponible pour les sites configurés pour exécuter uniquement des applications livrées en streaming. Pour les sites, vous pouvez décider si les utilisateurs sont autorisés à modifier les options suivantes : contrôle de la bande passante ; nombre de couleurs ; qualité audio ; mappage d'imprimantes ; taille de fenêtre ; paramètres de synchronisation des ordinateurs de poche ; les combinaisons de touches Windows ; le mode Kiosque. Vous pouvez également spécifier les options suivantes : affichage ou masquage du bouton Réglages pour les utilisateurs sur la page Applications ; durée pendant laquelle la session d'un utilisateur peut restée inactive avant d'être fermée ; effacement ou mémorisation du nom du client dans l'interface Web. Important Si vous souhaitez utiliser la fonction de contrôle de l'espace de travail avec les versions 8.x et 9.x des clients, vous devez activer le paramètre L'Interface Web devrait remplacer le nom du client ICA.

130 130 Guide de l'administrateur de l'interface Web Le contrôle de la bande passante permet aux utilisateurs de sélectionner les paramètres de session en fonction de leur bande passante de connexion. Ces options apparaissent dans la page d'ouverture de session sous Options avancées dans la liste Vitesse de connexion. Le contrôle de la bande passante permet de gérer le nombre de couleurs, la qualité audio et le mappage d'imprimantes. Pour activer cette fonction, vous devez également sélectionner Autoriser les utilisateurs à personnaliser le mappage d'imprimante dans la tâche Gérer les préférences de session. Par ailleurs, vous pouvez utiliser des fichiers.ica de substitution pour définir d'autres paramètres ICA de contrôle de la bande passante : Nom du fichier bandwidth_ high.ica bandwidth_ medium_high.ica bandwidth_ medium.ica bandwidth_low.ica default.ica Description Contient les paramètres ICA de substitution pour les connexions à haut débit. Contient les paramètres ICA de substitution pour les connexions à haut/moyen débit. Contient les paramètres ICA de substitution pour les connexions à moyen débit. Contient les paramètres ICA de substitution pour les connexions à bas débit. Contient les paramètres ICA de substitution utilisés si aucune bande passante n'est sélectionnée. Pour un site, les fichiers de substitution.ica sont situés dans le dossier \conf, généralement dans C:\Inetpub\wwwroot\Citrix\NomduSite\conf. En cas d'utilisation du Client pour Java, le contrôle de la bande passante détermine si des packs de mappage d'imprimantes et de mappage audio sont téléchargés. En cas d'utilisation du logiciel de connexion au Bureau à distance, la qualité audio est activée ou désactivée et aucun contrôle de qualité ultérieur n'est fourni. Une bande passante faible est recommandée pour les connexions WAN sans fil. Remarque Si le logiciel de connexion au Bureau à distance est utilisé avec le contrôle de la bande passante, l'interface Web indique les paramètres appropriés à la bande passante sélectionnée. Toutefois, le comportement réel dépend de la version du logiciel de connexion au Bureau à distance, des serveurs Terminal Server et de la configuration des serveurs. Par défaut, les utilisateurs peuvent régler la taille de la fenêtre des sessions.

131 Chapitre 7 Personnalisation de l'expérience utilisateur 131 Dans le cas de sites Participant invité de Conferencing Manager, vous pouvez configurer : les combinaisons de touches Windows ; le mode Kiosque. Le mode Kiosque convient parfaitement lorsque les machines clientes sont des terminaux publics utilisés par une grande variété d'utilisateurs. Lorsque le mode Kiosque est activé, les paramètres utilisateur ne sont pas stockés ; ils sont conservés uniquement pendant la durée de la session. Si vous empêchez les utilisateurs de régler un paramètre, celui-ci ne s'affiche pas dans l'interface utilisateur et les paramètres de Presentation Server spécifiés pour l'application publiée sont utilisés. Configuration du contrôle de l'espace de travail Utilisez la tâche Contrôler l'espace de travail pour permettre aux utilisateurs de déconnecter rapidement toutes les applications en cours, de se reconnecter aux applications déconnectées et fermer les sessions de toutes les applications en cours d'exécution. Cela leur permet de naviguer entre les machines clientes et d'accéder à toutes leurs applications (déconnectées uniquement ou déconnectées et actives) lorsqu'ils ouvrent une session ou manuellement à tout moment. Le personnel hospitalier peut, par exemple, avoir besoin de se déplacer entre plusieurs stations de travail et d'accéder à la même série d'applications à chaque ouverture de session de Presentation Server. Configuration requise pour cette fonctionnalité La configuration requise et les recommandations et fonctionnalités suivantes s'appliquent à la fonction de contrôle de l'espace de travail : Pour utiliser le contrôle de l'espace de travail avec les versions 8.x et 9.x des clients, vous devez activer le paramètre L'Interface Web devrait remplacer le nom du client ICA dans la tâche Gérer les préférences de session. Il s'agit de l'option par défaut. Si l'interface Web détecte une tentative d'accès depuis une session cliente, la fonction de contrôle de l'espace de travail est désactivée.

132 132 Guide de l'administrateur de l'interface Web En fonction des paramètres de sécurité, Internet Explorer 7.0 peut bloquer le téléchargement des fichiers si ce dernier n'est pas directement initié par l'utilisateur, c'est pourquoi les tentatives de reconnexion à des applications à l'aide du client natif peuvent être bloquées. Dans les situations dans lesquelles la reconnexion est impossible, un message d'erreur s'affiche dans la zone Centre de messages de l'interface utilisateur et invite les utilisateurs à reconfigurer leurs paramètres de sécurité Internet Explorer. Le délai de chaque session expire après une période d'inactivité (généralement de 20 minutes). Lorsque la session HTTP expire, la page d'ouverture de session s'affiche. Toutes les applications lancées ou reconnectées au cours de cette session ne sont toutefois pas déconnectées. Les utilisateurs doivent se déconnecter manuellement, fermer la session ou bien ouvrir une nouvelle session sur l'interface Web et utiliser les boutons Fermeture de session ou se déconnecter. Les applications publiées en vue d'une utilisation anonyme se finalisent lorsque les utilisateurs anonymes et authentifiés se déconnectent, à condition que le service XML Citrix soit configuré de façon à approuver les informations d'identification de l'interface Web. Les utilisateurs ne peuvent donc pas se reconnecter à une application anonyme après s'être déconnectés. Pour utiliser l'authentification unique, une carte à puce ou une carte à puce avec authentification unique, vous devez établir une relation d'approbation entre le serveur exécutant l'interface Web et le Service XML Citrix. Pour des informations complémentaires, veuillez consulter la section «Configuration du contrôle de l'espace de travail avec des méthodes d'authentification intégrée», page 133. Si les informations d'identification simplifiée du client ne sont pas activées, les utilisateurs de carte à puce sont invités à entrer leur code secret à chaque nouvelle session (après reconnexion). Ce problème ne se pose pas avec l'authentification unique ou les cartes à puce avec authentification unique car ces options permettent d'activer l'authentification unique des informations d'identification du client

133 Chapitre 7 Personnalisation de l'expérience utilisateur 133 Restrictions Le contrôle de l'espace de travail n'est pas disponible pour les sites configurés pour exécuter des applications livrées en streaming. Si vous configurez un site pour le streaming en mode double, le contrôle de l'espace de travail fonctionne uniquement pour les applications distantes. Vous ne pouvez pas utiliser le contrôle de l'espace de travail avec le client pour Win32 avant la version 8 ou avec le logiciel de connexion au Bureau à distance. En outre, cette fonctionnalité n'est disponible qu'avec des serveurs exécutant la version 3.0 de MetaFrame Presentation Server ou une version ultérieure. Configuration du contrôle de l'espace de travail avec des méthodes d'authentification intégrée Si les utilisateurs ouvrent une session à l'aide d'une authentification unique, d'une carte à puce ou d'une carte à puce à authentification unique, vous devez établir une relation d'approbation entre le serveur exécutant l'interface Web et tout autre serveur de la batterie exécutant le Service XML Citrix en contact avec l'interface Web. Le Service Citrix XML communique des informations sur les applications publiées entre l'interface Web et les serveurs exécutant Presentation Server. Sans une telle relation, les commandes Se déconnecter, Se reconnecter et Fermeture de session ne fonctionnent pas pour les utilisateurs qui ouvrent une session à l'aide d'une carte à puce ou de l'authentification unique. Vous n'avez pas à établir de relation d'approbation si vos utilisateurs sont authentifiés par la batterie de serveurs, c'est-à-dire s'ils n'ouvrent pas de session à l'aide des méthodes d'authentification unique ou d'une carte à puce. Pour établir une relation d'approbation 1. Dans la console Access Management Console, sélectionnez le serveur exécutant Presentation Server, dans le panneau gauche. 2. Depuis le menu Action, cliquez sur Modifier les propriétés de serveur > Modifier toutes les propriétés. 3. Depuis la liste Propriétés, sélectionnez Service XML. 4. Cochez la case Faire confiance aux requêtes envoyées au service XML.

134 134 Guide de l'administrateur de l'interface Web Si vous configurez un serveur afin qu'il approuve les requêtes envoyées au service XML, vous devez prendre en compte les facteurs suivants : Lorsque vous établissez une relation d'approbation, vous dépendez du serveur de l'interface Web pour l'authentification de l'utilisateur. Pour éviter tout risque relatif à la sécurité, utilisez IPSec, des pare-feu ou toute technologie garantissant que seuls les services approuvés communiquent avec le service XML. Si vous n'utilisez ni IPSec ni pare-feu ni toute autre technologie de sécurité pour l'établissement de la relation de confiance, n'importe quelle machine réseau peut provoquer la déconnexion ou la finalisation des sessions clientes. La relation d'approbation n'est pas nécessaire si les sites sont configurés pour une authentification explicite uniquement. Activez la relation d'approbation uniquement sur les serveurs contactés directement par l'interface Web. Ces serveurs sont répertoriés dans la boîte de dialogue Gérer les batteries de serveurs. Configurez IPSec, les pare-feu ou toute autre technologie que vous utilisez pour la sécurisation de l'environnement afin de limiter l'accès au service XML Citrix uniquement aux serveurs de l'interface Web. Si, par exemple, le service XML Citrix partage un port avec IIS (Internet Information Services) de Microsoft, vous pouvez utiliser la fonctionnalité de restriction des adresses IP d'iis pour restreindre l'accès au service XML Citrix. Activation du contrôle de l'espace de travail Pour activer le contrôle de l'espace de travail, utilisez la tâche Contrôler l'espace de travail. Utilisez la boîte de dialogue pour : activer la reconnexion automatique lorsque les utilisateurs ouvrent une session pour permettre à ces derniers de se reconnecter aux applications déconnectées ou aux applications déconnectées et actives ; activer le bouton Se reconnecter afin de permettre aux utilisateurs de se reconnecter aux applications déconnectées ou aux applications à la fois déconnectées et actives ; permettre aux utilisateurs de fermer à la fois la session de l'interface Web et les sessions actives ou uniquement celle de l'interface Web.

135 Chapitre 7 Personnalisation de l'expérience utilisateur 135 Pour activer la reconnexion automatique lors de l'ouverture d'une session par les utilisateurs 1. Sélectionnez l'option Reconnexion automatique aux sessions après ouverture de session par l'utilisateur. 2. Sélectionnez l'une des options suivantes : pour reconnecter automatiquement les sessions déconnectées et actives, sélectionnez Toutes les sessions ; pour reconnecter automatiquement les sessions déconnectées uniquement, sélectionnez Sessions déconnectées uniquement. 3. Pour permettre aux utilisateurs de sélectionner ces options dans l'interface utilisateur, cochez la case Autoriser l'utilisateur à personnaliser ces réglages. Pour activer l'option Se reconnecter 1. Sélectionnez l'option Reconnexion automatique aux sessions après ouverture de session par l'utilisateur. 2. Sélectionnez l'une des options suivantes : pour configurer le bouton Se reconnecter afin de reconnecter les utilisateurs aux sessions déconnectées et actives à la fois, sélectionnez Toutes les sessions ; pour configurer le bouton Se reconnecter afin de reconnecter les utilisateurs aux sessions déconnectées uniquement, sélectionnez Sessions déconnectées uniquement. 3. Pour permettre aux utilisateurs de sélectionner ces options dans l'interface utilisateur, cochez la case Autoriser l'utilisateur à personnaliser ces réglages. Pour configurer le comportement de la fermeture de session 1. Pour fermer les sessions de l'interface Web et toutes les sessions actives des utilisateurs, sélectionnez Fermer toutes les sessions lorsque l'utilisateur ferme sa session sur l'interface Web dans la section Fermer les sessions. 2. Pour permettre aux utilisateurs de sélectionner ces options dans l'interface utilisateur, cochez la case Autoriser l'utilisateur à personnaliser ces réglages.

136 136 Guide de l'administrateur de l'interface Web Modification des options de session Pour les sites Services de l'agent Program Neighborhood, vous pouvez utiliser la tâche Modifier les options de session afin de configurer les paramètres suivants des sessions utilisateur : Tailles de fenêtre. Utilisez ces options pour sélectionner les tailles de fenêtre disponibles pour les sessions ICA et pour définir des tailles personnalisées en pixels ou en pourcentage par rapport à la taille de l'écran. Couleur. Les options activées dans cette section peuvent être sélectionnées par les utilisateurs. Combinaisons de touches Windows. Utilisez ces options pour activer les fonctions des combinaisons de touches Windows que les utilisateurs peuvent sélectionner. Les combinaisons de touches Windows n'affectent pas les connexions transparentes. Vous pouvez fournir des options dans la page Préférences de connexion de l'utilisateur pour les modes suivants : Sur le bureau local. Les combinaisons de touches ne s'appliquent qu'au bureau local ; elles ne sont pas transmises aux sessions ICA. Sur le bureau distant. Les combinaisons de touches s'appliquent au bureau distant dans la session ICA. Sur les bureaux plein écran uniquement. Les combinaisons de touches s'appliquent au bureau distant dans la session ICA uniquement lorsqu'il est en mode plein écran. Audio. Les options activées dans cette section peuvent être sélectionnées par les utilisateurs. Options de contrôle de l'espace de travail. Utilisez ces options pour configurer les paramètres de contrôle de l'espace de travail. Pour des informations complémentaires, veuillez consulter la section «Configuration du contrôle de l'espace de travail», page 131. Remarque Cette tâche n'est pas disponible pour les sites configurés pour exécuter uniquement des applications livrées en streaming.

137 Chapitre 7 Personnalisation de l'expérience utilisateur 137 Gestion des raccourcis vers les applications Vous pouvez utiliser la tâche Gérer les raccourcis vers les applications pour indiquer la façon dont l'agent Program Neighborhood affiche les raccourcis vers des applications publiées. Vous pouvez créer les types de raccourcis ci-dessous. Menu Démarrer. Vous pouvez utiliser les paramètres figurant dans la boîte de dialogue Gérer les raccourcis vers les applications, les paramètres définis lors de la publication d'applications dans Presentation Server ou bien utiliser ces deux types de paramètres. Vous pouvez également indiquer si des raccourcis peuvent être affichés dans le menu Démarrer et de quelle façon, ainsi qu'autoriser les utilisateurs à définir ce paramètre. Par ailleurs, vous pouvez créer des raccourcis dans le menu Programmes, créer un sous-menu supplémentaire et/ou autoriser les utilisateurs à indiquer un nom de sous-menu. Bureau. Vous pouvez utiliser les paramètres figurant dans la boîte de dialogue Gérer les raccourcis vers les applications, les paramètres définis lors de la publication d'applications dans Presentation Server ou bien utiliser ces deux types de paramètres. Vous pouvez également indiquer si des raccourcis peuvent être affichés sur le bureau et de quelle façon, et autoriser les utilisateurs à définir ce paramètre. Par ailleurs, vous pouvez utiliser un nom de dossier personnalisé, autoriser les utilisateurs à sélectionner un nom et/ou utiliser une adresse URL personnalisée pour les icônes. Zone de notification. Vous pouvez afficher des applications dans la zone de notification et/ou autoriser les utilisateurs à choisir le mode d'affichage des applications. La tâche Gérer les raccourcis vers les applications vous permet également de supprimer des raccourcis. Vous pouvez indiquer le moment auquel supprimer les raccourcis (à la fermeture de l'agent Program Neighborhood ou lorsque les utilisateurs ferment une session de l'agent Program Neighborhood) ainsi que les raccourcis à supprimer (raccourcis Program Neighborhood, ou raccourcis Program Neighborhood et créés par les utilisateurs). Si vous sélectionnez les raccourcis Program Neighborhood et ceux créés par les utilisateurs, vous pouvez également définir la profondeur de recherche dans les dossiers afin d'améliorer les performances.

138 138 Guide de l'administrateur de l'interface Web Utilisation des options d'actualisation des applications Utilisez la tâche Gérer l'actualisation des applications pour indiquer le moment auquel la liste des ressources publiées des utilisateurs doit être actualisée et si ces derniers peuvent personnaliser ces paramètres. Vous pouvez ainsi décider que l'actualisation doit avoir lieu au moment du démarrage de l'agent Program Neighborhood ou du lancement des applications, et indiquer la fréquence d'actualisation de la liste.

139 CHAPITRE 8 Configuration de la sécurité de l'interface Web Présentation Ce chapitre fournit des informations concernant la mise en œuvre de la sécurité de vos données dans un environnement Interface Web. Il comporte les sections suivantes : Introduction à la sécurité de l'interface Web Sécurisation des communications de l'interface Web Sécurisation de l'agent Program Neighborhood avec SSL Communications entre l'interface Web et Presentation Server Communications entre la session cliente et Presentation Server Considérations générales relatives à la sécurité

140 140 Guide de l'administrateur de l'interface Web Introduction à la sécurité de l'interface Web Un plan de sécurité exhaustif doit aborder la protection de vos données à chaque étape du processus de mise à disposition des applications. Ce chapitre décrit les problèmes et fournit des recommandations pour chacune des étapes suivantes de communication de l'interface Web. Communications entre la machine cliente et le serveur exécutant l'interface Web. Explique les problèmes associés au transfert des données de l'interface Web entre les navigateurs et les serveurs, et suggère des stratégies pour la protection des données en transit et des données sauvegardées sur les machines clientes. Communications entre le serveur exécutant l'interface Web et Presentation Server. Décrit comment sécuriser les informations d'authentification et les informations sur les applications publiées échangées entre le serveur exécutant l'interface Web et la batterie de serveurs. Communications entre la session cliente et le serveur. Explique quels sont les problèmes associés à l'échange des informations de la session cliente entre les clients et les serveurs et présente les implémentations des fonctionnalités de sécurité de l'interface Web et de Presentation Server qui protègent de telles données. Ce diagramme illustre l'interaction entre la machine cliente, le serveur exécutant Presentation Server et le serveur exécutant l'interface Web

141 Chapitre 8 Configuration de la sécurité de l'interface Web 141 Protocoles de sécurité et solutions de sécurité Citrix Security Solutions Cette section présente certains des protocoles de sécurité et des solutions Citrix que vous pouvez utiliser pour sécuriser le déploiement de votre Interface Web. Elle apporte des éléments d'information sur les protocoles de sécurité SSL et TLS, le Relais SSL Citrix, Secure Gateway et le cryptage ICA. Elle indique également où trouver des sources d'informations complémentaires sur ces différentes technologies. Secure Sockets Layer Le protocole SSL (Secure Socket Layer) offre la possibilité de sécuriser les communications de données sur les réseaux. SSL offre des fonctions d'authentification du serveur, de cryptage du flux de données et de contrôle de l'intégrité des messages. La cryptographie lui permet de coder les messages, d'authentifier leur identité et de veiller à l'intégrité de leur contenu. Ces fonctions protègent des risques tels que l'écoute clandestine, les erreurs d'acheminement et la manipulation des données. SSL utilise des certificats de clé publique, émis par des autorités de certification, comme preuve d'identité. Pour plus d'informations sur SSL, la cryptographie et les certificats, veuillez consulter le Guide de l'administrateur Citrix Presentation Server, le Guide de l administrateur du Relais SSL Citrix pour UNIX et le Guide de l'administrateur de Secure Gateway. Transport Layer Security (TLS) TLS (Transport Layer Security) est la dernière version normalisée du protocole SSL. L'IETF (Internet Engineering Taskforce) l'a renommé TLS en prenant en charge le développement du protocole SSL en tant que norme ouverte. Comme SSL, TLS offre des fonctions d'authentification du serveur, de cryptage du flux de données et de contrôle de l'intégrité des messages. TLS version 1.0 est pris en charge par MetaFrame Presentation Server, Feature Release 2 et les versions supérieures. Les différences techniques entre SSL 3.0 et TLS 1.0 étant mineures, les certificats de serveur que vous utilisez pour SSL dans votre installation fonctionnent également pour TLS.

142 142 Guide de l'administrateur de l'interface Web Certaines organisations, y compris les organisations gouvernementales américaines, exigent d'utiliser le protocole TLS pour sécuriser les communications de données. Ces organisations peuvent également exiger l utilisation d une cryptographie validée, telle que FIPS 140. FIPS (Federal Information Processing Standard) est une norme de cryptographie. Remarque Sur les plates-formes UNIX, la taille maximale de clé de certificat SSL/TLS prise en charge par l'interface Web est de bits. Relais SSL Citrix Le Relais SSL Citrix est un composant de Presentation Server qui utilise SSL pour garantir la sécurité des communications entre les serveurs exécutant l'interface Web et les batteries de serveurs. Le Relais SSL Citrix permet l authentification des serveurs, le cryptage des données et l intégrité des messages pour les connexions TCP/IP. Le Relais SSL est fourni par le service XTE Citrix. Le Relais SSL Citrix sert d intermédiaire dans les communications entre le serveur exécutant l'interface Web et le Service XML Citrix. Lorsque vous utilisez le Relais SSL Citrix, le serveur Web contrôle d abord son identité en vérifiant son certificat de serveur au moyen d une liste d autorités de certification approuvées. Après cette authentification, le serveur Web et le Relais SSL Citrix négocient une méthode de cryptage pour la session. Le serveur Web transmet ensuite toutes les requêtes d information sous forme cryptée au Relais SSL Citrix. Le Relais SSL Citrix décrypte les requêtes et les transmet au Service XML Citrix. Lorsqu il renvoie les informations au serveur Web, le serveur les transmet via le serveur du Relais SSL Citrix qui crypte les données et les transmet au serveur Web pour décryptage. L intégrité des messages est contrôlée pour chaque communication afin de vérifier que les données n ont pas été modifiées lors du transit. Pour plus d'informations sur le Relais SSL Citrix, veuillez consulter le Guide de l'administrateur Citrix Presentation Server ou le Guide de l'administrateur du Relais SSL Citrix pour UNIX. Cryptage ICA Le cryptage ICA permet de crypter les informations échangées entre un serveur et un client. Il est ainsi plus difficile pour les utilisateurs non autorisés d'interpréter une transmission cryptée.

143 Chapitre 8 Configuration de la sécurité de l'interface Web 143 Le cryptage ICA préserve la confidentialité des informations en cas d'écoute clandestine. Cependant, d'autres dangers menacent la sécurité, et l'utilisation du cryptage ne représente qu'un aspect d'une stratégie globale de sécurité. Contrairement à SSL/TLS, le cryptage ICA ne permet pas l'authentification du serveur. Par conséquent, les informations pourraient théoriquement être interceptées sur le réseau et redirigées vers un faux serveur. Par ailleurs, le cryptage ICA n'assure pas de contrôle de l'intégrité. Le cryptage ICA n'est pas disponible pour les serveurs Presentation Server pour UNIX. Access Gateway Vous pouvez utiliser Access Gateway avec l'interface Web et Secure Ticket Authority (STA) pour fournir l'authentification, l'autorisation et la redirection vers des ressources publiées hébergées sur le serveur exécutant Presentation Server. Access Gateway est un dispositif universel de réseau privé virtuel (VPN) du SSL qui garantit un accès unique et sécurisé à toute ressource d'informations (données et voix). Access Gateway crypte et prend en charge toutes les applications et les protocoles configurés. Access Gateway fournit aux clients distants un accès sécurisé transparent aux applications autorisées et aux ressources du réseau, leur permettant de travailler avec des fichiers sur des lecteurs réseau, des s, des sites intranet et des applications, comme s'ils travaillaient à l'intérieur du pare-feu de leur organisation. Ce diagramme explique les méthodes utilisées par Secure Gateway pour sécuriser les communications entre les clients compatibles SSL/TLS et les serveurs Pour plus d'informations sur Secure Gateway, veuillez consulter le Guide de l'administrateur de Secure Gateway. Pour plus d'informations sur la configuration de l'interface Web pour la prise en charge de Secure Gateway à l'aide de la console Access Management Console, veuillez consulter la section «Modification des réglages de passerelle», page 122.

144 144 Guide de l'administrateur de l'interface Web Secure Gateway Vous pouvez utiliser Secure Gateway avec l'interface Web pour fournir un point d'accès Internet unique, sécurisé et crypté aux serveurs des réseaux d'entreprise internes. En cryptant le trafic ICA, Secure Gateway joue le rôle d'une passerelle Internet sécurisée entre les clients compatibles SSL/TLS et les serveurs. La partie Internet du trafic entre les machines clientes et le serveur Secure Gateway est cryptée à l aide du protocole SSL/TLS. Secure Gateway simplifie aussi la gestion des certificats : un seul certificat est requis sur le serveur Secure Gateway et non pas sur chaque serveur de la batterie. Ce diagramme explique les méthodes utilisées par Secure Gateway pour sécuriser les communications entre les clients équipés du protocole SSL/TLS et les serveurs Pour plus d'informations sur Secure Gateway, consultez le Guide de l'administrateur de Secure Gateway. Pour plus d'informations sur la configuration de l'interface Web pour la prise en charge de Secure Gateway à l'aide de la console Access Management Console, veuillez consulter la section «Modification des réglages de passerelle», page 122. Sécurisation des communications de l'interface Web Avec l'interface Web, vous pouvez sécuriser les communications entre clients et serveurs de la façon suivante : Demandez aux utilisateurs de se connecter aux pages de l'interface Web via une connexion HTTPS (HTTP sécurisée). Pour pouvoir établir une connexion HTTP sécurisée, un certificat SSL doit être installé dans Internet Information Services. Configurez l'interface Web pour qu elle utilise le Relais SSL Citrix pour le cryptage entre le serveur exécutant l'interface Web et les serveurs exécutant Presentation Server.

145 Chapitre 8 Configuration de la sécurité de l'interface Web 145 Sécurisation de l'agent Program Neighborhood avec SSL Pour utiliser SSL afin de sécuriser les communications entre l Agent Program Neighborhood et le serveur exécutant l'interface Web, modifiez toutes les URL dans le fichier Config.xml pour qu elles utilisent le protocole HTTPS. Pour sécuriser les connexions entre l Agent Program Neighborhood et l'interface Web à l aide de SSL, suivez les instructions de la section «Gestion de l'accès client sécurisé», page 120 afin de configurer l'interface Web pour qu elle utilise SSL. Vérifiez le champ Activer les protocoles SSL et TLS sur la page Options du client de la boîte de dialogue Application propriétés dans la console Presentation Server. Exemple Si la ligne spécifiant Request/Resource/Location est <Location> <SERVER_AND_PATH>/launch.<FILE_FORMAT></Location>, changez-la par <Location> </Location>. Communications entre machine cliente et Interface Web Les communications entre les clients Citrix Presentation Server et le serveur exécutant l'interface Web consistent en un échange de différents types de données. Lorsque les utilisateurs procèdent à leur identification, parcourent les applications et sélectionnent l'exécution d'une de ces applications, le navigateur et le serveur Web se transmettent les informations d identification des utilisateurs, les listes de séries d applications et les fichiers d initialisation de session. Plus précisément, les données échangées incluent les éléments suivants. Données de formulaire HTML. Lors de l ouverture de session de l utilisateur, les sites de l'interface Web utilisent un formulaire HTML standard pour transmettre les informations d identification des utilisateurs du navigateur Web au serveur Web. Le formulaire Interface Web transmet le nom de l'utilisateur et les informations d'identification sous forme de texte clair. Pages HTML et cookies de session. Une fois entrées dans la page d'ouverture de session, les informations d'identification de l'utilisateur sont stockées sur le serveur Web et protégées par un cookie de session. Les pages HTML transmises du serveur Web au navigateur contiennent les séries d applications. Ces pages listent les applications disponibles pour l utilisateur.

146 146 Guide de l'administrateur de l'interface Web Fichiers ICA. Lorsque l utilisateur sélectionne une application, le serveur Web transmet un fichier.ica pour cette application au navigateur. Le fichier.ica contient un ticket qui peut être utilisé pour ouvrir une session sur le serveur. Remarque Les fichiers ICA ne comprennent pas de ticket pour l'authentification unique ou par carte à puce. Problèmes de sécurité Des agresseurs peuvent exploiter les données de l'interface Web alors qu elles transitent sur le réseau entre le serveur Web et le navigateur, et lorsqu elles sont écrites sur la machine cliente. Un agresseur peut intercepter les données d ouverture de session, le cookie de session et les pages HTML en transit entre le serveur Web et le navigateur Web. Bien que le cookie de session utilisé par l'interface Web soit transitoire et disparaisse lorsque l utilisateur ferme le navigateur Web, un agresseur ayant accès au navigateur Web de la machine cliente peut le récupérer et, le cas échéant, utiliser les informations d identification. Bien que le fichier.ica ne contienne pas les informations d identification de l utilisateur, il comporte un ticket à usage unique, dont la validité expire, par défaut, au bout de 200 secondes. Il se peut qu'un agresseur utilise le fichier.ica intercepté pour se connecter au serveur avant que l utilisateur autorisé n utilise le ticket et établisse la connexion. Si les utilisateurs Internet Explorer qui se connectent à un serveur Web au moyen d'une connexion HTTPS ont sélectionné l'option empêchant la mise en cache des pages cryptées, le fichier.ica est enregistré en texte clair dans le dossier Temporary Internet Files. Un agresseur qui aurait accès au cache Internet Explorer d'un utilisateur pourrait récupérer le fichier.ica afin d'obtenir les informations réseau. Si l'authentification unique est activée sur le client, un agresseur peut envoyer à l'utilisateur un fichier.ica qui provoque le détournement de ses informations d identification vers un serveur non autorisé ou un faux serveur. Cela est dû au fait que le client capture les informations d'identification d'un utilisateur lors de la session d'ouverture sur la machine cliente et les renvoie vers un serveur quelconque (si le fichier.ica contient le paramètre approprié).

147 Chapitre 8 Configuration de la sécurité de l'interface Web 147 Recommandations Les recommandations suivantes combinent des pratiques de sécurité standard de l industrie et des méthodes Citrix pour la protection des données transitant entre les machines clientes et le serveur Web, et des données écrites sur les machines clientes. Utilisation de serveurs et navigateurs Web recourant à SSL/TLS La sécurisation des communications entre le serveur Web et le navigateur Web de l'interface Web commence par la mise en place de serveurs Web et de navigateurs Web sécurisés. La sécurité de nombreux serveurs Web repose sur la technologie SSL/TLS. Dans une transaction typique entre serveur Web et navigateur Web, le navigateur Web vérifie d abord l identité du serveur Web en comparant son certificat de serveur à une liste d autorités de certification approuvées. Après vérification, le navigateur Web crypte les requêtes de page de l utilisateur puis décrypte les documents renvoyés par le serveur Web. À la fin de chaque transaction, des contrôles d intégrité de message TLS (Transport Layer Security) ou SSL (Secure Sockets Layer) vérifient que les données n ont pas été modifiées lors du transit. Dans un déploiement de l'interface Web, l authentification SSL/TLS et le cryptage créent une connexion sécurisée permettant à l utilisateur de transmettre ses informations d identification entrées dans la page d'ouverture de session. Les données transmises à partir du serveur Web (cookie contenant les informations d identification, fichiers.ica et pages HTML de liste d applications compris) sont toutes sécurisées. Pour mettre en œuvre la technologie SSL/TLS sur votre réseau, vous devez posséder un serveur Web et un navigateur Web compatibles SSL/TLS. L'utilisation de ces produits s'effectue en toute transparence pour l'interface Web. Il n est pas nécessaire de configurer les serveurs Web et les navigateurs pour l'interface Web. Pour plus de détails sur la configuration du serveur Web pour la prise en charge de la technologie SSL/TLS, veuillez consulter la documentation du serveur Web. Important De nombreux serveurs Web compatibles SSL/TLS utilisent le port TCP/IP 443 pour les communications HTTP. Par défaut, le Relais SSL Citrix utilise également ce port. Si votre serveur Web est également un serveur exécutant le Relais SSL Citrix, assurez-vous que le serveur Web ou le Relais SSL Citrix est configuré pour utiliser un autre port.

148 148 Guide de l'administrateur de l'interface Web N'activez pas l'authentification unique Pour empêcher tout détournement des informations d'identification des utilisateurs vers un serveur non autorisé ou un faux serveur, n'activez pas l'authentification unique dans une installation sécurisée. N'utilisez cette fonction que dans un environnement réduit et approuvé. Communications entre l'interface Web et Presentation Server Les communications entre l'interface Web et le serveur exécutant Presentation Server impliquent les éléments suivants : le transfert de données de configuration entre l'interface Web et le Service de configuration (pour les sites utilisant une configuration centralisée) ; le transfert des informations d'identification et des informations sur les séries d'application de l'utilisateur entre l'interface Web et le Service XML Citrix sur la batterie de serveurs. Dans une session standard, l'interface Web transfère des informations d identification au Service XML Citrix pour l'authentification de l'utilisateur et le Service XML Citrix renvoie des informations sur les séries d applications. Le serveur et la batterie échangent les informations à l'aide d'une connexion TCP/IP et du protocole XML Citrix. Problèmes de sécurité À l exception des mots de passe, qui sont transmis masqués, le protocole XML de l'interface Web et le Service de configuration n effectuent aucun cryptage des données. Les données sont donc transmises en clair. Les communications sont vulnérables aux attaques suivantes : Un agresseur peut intercepter le trafic XML et s emparer des informations sur les séries d applications et des tickets. Un agresseur ayant la capacité de désactiver le masquage peut également obtenir les informations d identification des utilisateurs. Un agresseur peut se faire passer pour le serveur et intercepter les requêtes d authentification. Un agresseur peut intercepter des données de configuration qui peuvent contenir des informations confidentielles.

149 Chapitre 8 Configuration de la sécurité de l'interface Web 149 Recommandations Citrix recommande d'implémenter l'une des mesures de sécurité suivantes pour sécuriser le trafic XML et les données de configuration échangées entre le serveur exécutant l'interface Web et la batterie de serveurs : Utilisez le Relais SSL Citrix comme intermédiaire de sécurité entre le serveur Web exécutant l'interface Web et la batterie de serveurs. Le Relais SSL Citrix procède à l'authentification de l'hôte et au cryptage des données. Dans les déploiements ne prenant pas en charge l exécution du Relais SSL Citrix, exécutez l'interface Web sur le serveur exécutant Presentation Server. Utilisez le protocole HTTPS pour envoyer les données de l'interface Web via une connexion HTTP sécurisée à l'aide de SSL si Microsoft Internet Information Services (IIS) est installé sur le serveur exécutant l'interface Web à d'autres fins. Utilisation du Relais SSL Citrix Le Relais SSL Citrix est un composant par défaut de Presentation Server. Côté serveur, vous devez installer un certificat de serveur sur le serveur Relais SSL Citrix et vérifier la configuration de ce dernier. Pour des informations complémentaires sur l installation d un certificat de serveur et la configuration du Relais SSL Citrix sur des serveurs, veuillez consulter le Guide de l administrateur Citrix Presentation Server. Vous pouvez également consulter l aide d application de l Outil de configuration du Relais SSL Citrix. Pour les serveurs Presentation Server pour UNIX, veuillez consulter le Guide de l'administrateur du Relais SSL Citrix pour UNIX. Lors de la configuration du Relais SSL Citrix, assurez-vous que le serveur Relais SSL Citrix autorise la transmission des données SSL aux serveurs dont le service XML Citrix sera utilisé comme point de contact. Par défaut, le Relais SSL Citrix ne transmet les données qu au serveur sur lequel il est installé. Vous pouvez toutefois le configurer pour diriger les données vers d autres serveurs. Si votre Relais SSL Citrix est situé sur un serveur différent de celui sur lequel vous voulez envoyer les données Interface Web, assurez-vous que le serveur sur lequel vous voulez envoyer les données Interface Web figure dans la liste de serveurs du Relais SSL Citrix. Vous pouvez configurer l'interface Web pour qu'elle utilise le Relais SSL Citrix à l'aide de la console Access Management Console ou du fichier WebInterface.conf. Pour plus d'informations sur l'utilisation de la console, veuillez consulter la section «Gestion de batteries de serveurs», page 67.

150 150 Guide de l'administrateur de l'interface Web Pour configurer l'interface Web afin d'utiliser le Relais SSL Citrix à l'aide de WebInterface.conf 1. Ouvrez le fichier WebInterface.conf. 2. Remplacez la valeur SSLRelayPort dans le paramètre Farmn par le numéro de port du Relais SSL Citrix sur le serveur. 3. Remplacez la valeur du paramètre Transport dans le paramètre Farmn par SSL. Ajout de certificats au serveur exécutant l'interface Web Sur les plates-formes UNIX, l'interface Web intègre la prise en charge native des autorités de certification suivantes : VeriSign, Inc., Baltimore Technologies, Pour assurer la prise en charge d'autres autorités de certification, vous devez ajouter le certificat racine de l'autorité de certification au serveur exécutant l'interface Web. Pour ajouter un nouveau certificat racine au serveur exécutant l'interface Web Copiez le certificat racine dans votre serveur Web. Sous Windows, le certificat est copié à l aide du composant logiciel enfichable Gestionnaire de certificat de MMC (Microsoft Management Console). Sous UNIX, copiez le certificat dans le répertoire./cacerts. Pour plus d'informations sur les certificats, veuillez consulter le chapitre d'installation du Guide de l'administrateur Citrix Presentation Server. Pour les serveurs Presentation Server pour UNIX, veuillez consulter le Guide de l'administrateur du Relais SSL Citrix pour UNIX. Activation de l'interface Web sur le serveur exécutant Presentation Server Pour les déploiements ne permettant pas l utilisation du Relais SSL Citrix, il est possible d éliminer le risque d une attaque réseau en exécutant un serveur Web sur le serveur qui fournit les données de l'interface Web. L hébergement des sites de l'interface Web sur un tel serveur Web permet de diriger toutes les requêtes de l'interface Web vers le Service XML Citrix et le Service de configuration de l hôte local et d éliminer ainsi la transmission des données de l'interface Web sur le réseau.

151 Chapitre 8 Configuration de la sécurité de l'interface Web 151 Cependant, il convient de comparer les avantages de l élimination de la transmission réseau aux risques d exploitation du serveur Web. Remarque Sur les systèmes exécutant Presentation Server, le programme d installation vous permet de forcer le Service XML Citrix à partager le port TCP/IP d Internet Information Services plutôt que d'utiliser un port dédié. Si vous activez le partage du port, le Service XML Citrix et le serveur Web utilisent le même port par défaut. Vous pouvez au moins placer votre serveur Web et le serveur exécutant Presentation Server derrière un pare-feu afin de ne pas exposer les communications entre ces serveurs aux utilisateurs d Internet. Dans ce scénario, les machines clientes doivent être capables de communiquer via le pare-feu avec le serveur Web et le serveur exécutant Presentation Server. Le pare-feu doit permettre le trafic HTTP (généralement via le port http 80 ou 443 si un serveur Web sécurisé est utilisé) pour les communications entre la machine cliente et le serveur Web. Pour les communications entre le client et le serveur, le pare-feu doit autoriser le trafic ICA entrant sur les ports 1494 et Pour plus de détails sur l'utilisation du protocole ICA avec des pare-feu réseau, consultez la documentation du serveur. Pour plus de détails sur l'utilisation de l'interface Web avec la traduction d'adresse réseau, reportez-vous au kit de développement de l'interface Web. Utilisation du protocole HTTPS Vous pouvez utiliser le protocole HTTPS pour sécuriser les données de l'interface Web échangées entre le serveur Web et le serveur exécutant Presentation Server. HTTPS utilise le protocole SSL/TLS pour assurer un cryptage fort des données. Le serveur Web établit une connexion HTTPS à IIS qui s'exécute sur le serveur exécutant Presentation Server. Cette opération exige le partage du port IIS sur le serveur exécutant Presentation Server et l'exécution d'iis sur le serveur exécutant Presentation Server pour que le protocole SSL soit activé. Le nom de serveur que vous spécifiez (à l'aide de la console ou dans le paramètre Batterie dans WebInterface.conf) doit être un nom DNS complet correspondant au nom du certificat de serveur SSL IIS. Le Service XML Citrix est disponible dans Pour plus d'informations sur la configuration de l'interface Web pour l'utilisation du protocole HTTPS à l'aide de la console Access Management Console, veuillez consulter la section «Gestion de l'accès client sécurisé», page 120.

152 152 Guide de l'administrateur de l'interface Web Pour configurer l'interface Web afin d'utiliser le protocole HTTPS à l'aide du fichier WebInterface.conf 1. Ouvrez le fichier WebInterface.conf. 2. Remplacez la valeur du paramètre Transport dans le paramètre Farm n par HTTPS. Communications entre la session cliente et Presentation Server Les communications de l'interface Web entre les machines clientes et les serveurs impliquent la transmission de plusieurs types de données de session cliente, notamment des requêtes d initialisation et des informations de session cliente. Requêtes d initialisation. La première étape permettant d'établir une session cliente, appelée initialisation, exige que le client fasse la requête d'une session cliente et fournisse une liste de paramètres de configuration de session. Ces paramètres contrôlent divers aspects de la session cliente, comme l'utilisateur devant ouvrir une session, la taille de la fenêtre à tracer et le programme à exécuter au cours de la session. Informations de session cliente. Après l'initialisation de la session cliente, les informations sont transmises entre le client et le serveur par un certain nombre de couches virtuelles ; par exemple les entrées souris (du client au serveur) et les mises à jour graphiques (du serveur au client). Problèmes de sécurité Pour capturer et interpréter les communications réseau entre le client et le serveur, un agresseur doit être capable de déchiffrer le protocole client binaire. Un agresseur connaissant les détails du protocole client binaire peut : intercepter les informations de requête d initialisation envoyées depuis le client, notamment les informations d identification de l utilisateur ; intercepter les informations de session cliente, y compris le texte et les clics de souris entrés par les utilisateurs ainsi que les mises à jour d affichage envoyées depuis le serveur.

153 Chapitre 8 Configuration de la sécurité de l'interface Web 153 Recommandations Utilisation du protocole SSL/TLS ou du cryptage ICA Citrix vous conseille d utiliser SSL/TLS ou le cryptage ICA pour assurer la sécurité du trafic entre vos clients et vos serveurs. Les deux méthodes prennent en charge le cryptage 128 bits du flux de données entre le client et le serveur, mais SSL/TLS prend également en charge la vérification de l'identité du serveur. La prise en charge de SSL est comprise dans Citrix MetaFrame XP Feature Release 1 et version ultérieure, et Citrix MetaFrame pour UNIX Feature Release 1 et version ultérieure. La prise en charge de SSL/TLS est comprise dans Citrix MetaFrame XP Feature Release 2 et version ultérieure. La prise en charge du cryptage ICA est comprise dans Citrix MetaFrame 1.8 Feature Release 1 et version ultérieure et Citrix MetaFrame Presentation Server et version ultérieure. Pour obtenir une liste des clients prenant en charge chaque méthode, consultez la documentation de vos clients ou le site de téléchargement Citrix. Pour plus d'informations sur le cryptage ICA, veuillez consulter le Guide de l'administrateur Citrix Presentation Server. Utiliser Secure Gateway Vous pouvez utiliser Secure Gateway pour assurer la sécurité du trafic Internet entre vos clients et les serveurs. Secure Gateway joue le rôle d'une passerelle Internet sécurisée entre les clients compatibles SSL/TLS et les serveurs. Pour plus d'informations sur Secure Gateway, consultez le Guide de l'administrateur de Secure Gateway pour MetaFrame. Pour plus d'informations sur la configuration de l'interface Web pour la prise en charge de Secure Gateway à l'aide de la console Access Management Console, veuillez consulter la section «Configuration de la prise en charge de Secure Gateway», page 180. Contrôle de la journalisation des diagnostics Utilisez la tâche Contrôler la journalisation des diagnostics pour accroître la sécurité du système en matière de journalisation des erreurs. Vous pouvez empêcher que les événements en double soient journalisés à plusieurs reprises, et définir le nombre d'événements en double qui sont journalisés ainsi que la fréquence de leur journalisation.

154 154 Guide de l'administrateur de l'interface Web Cette tâche vous permet également d'indiquer l'adresse URL de redirection des erreurs. Si vous spécifiez une adresse URL de page d'erreur personnalisée, vous devez gérer tous les identificateurs d'erreur avec cette adresse URL et envoyer des messages d'erreur à vos utilisateurs. En outre, cette adresse URL de page d'erreur remplacera la page de fermeture de session des utilisateurs même si ces derniers ont fermé leur session sans qu'aucune erreur ne se produise. Considérations générales relatives à la sécurité Vous devriez également prendre connaissance des considérations générales de sécurité suivantes lors de la configuration de votre serveur. Vérification de la configuration de votre serveur Pour la configuration du serveur Windows, Citrix vous conseille de suivre les directives standard de Microsoft, comme avec tout autre serveur Windows. Vérifiez toujours que tous les composants sont à jour avec tous les derniers correctifs logiciels. Pour plus d'informations et pour consulter les dernières recommandations de téléchargement, consultez le site Web de Microsoft à l adresse suivante : Modification du message de bienvenue Il est possible que vous souhaitiez modifier le message par défaut «Bienvenue» affiché sur la page d'ouverture de session de l'interface Web. Vous pouvez modifier ce texte en modifiant le fichier common_strings.properties. Pour modifier le message par défaut «Bienvenue» 1. Ouvrez le fichier common_strings.properties. Ce fichier se trouve par défaut dans C:\Program Files\Citrix\Web Interface\Version\languages. 2. Remplacez la ligne suivante : Bienvenue=Bienvenue par : Bienvenue=<texte personnalisé> Remarque Entrez un espace après le signe {=} si vous ne voulez pas afficher le message «Bienvenue» sur la page d'ouverture de session.

155 Chapitre 8 Configuration de la sécurité de l'interface Web Enregistrez le fichier common_strings.properties. 4. Répétez la même procédure pour les fichiers suivants : common_strings_de.properties common_strings_es.properties common_strings_fr.properties common_strings_ja.properties 5. Redémarrez le serveur Web pour appliquer les modifications.

156 156 Guide de l'administrateur de l'interface Web

157 ANNEXE A Configuration de sites à l'aide du fichier de configuration Les sites configurés au niveau local comprennent un fichier de configuration appelé WebInterface.conf contenant les données de configuration d'un site. Servez-vous en pour effectuer les tâches d'administration quotidiennes et personnaliser d'autres paramètres pour le site. Vous pouvez, par exemple, utiliser WebInterface.conf pour spécifier les paramètres que les utilisateurs peuvent régler dans la page de réglages ou configurer l'authentification des utilisateurs de l'interface Web. Les sites configurés au niveau central stockent ces données sur le serveur exécutant le service XML Citrix. Vous pouvez toutefois exporter ces données vers un fichier à l'aide de la tâche Exporter la configuration et modifier le fichier manuellement.. Remarque Si vous entrez une valeur de paramètre incorrecte lors de la modification d'un fichier de configuration puis que vous utilisez la console Access Management Console, la console remplace cette valeur incorrecte par la valeur par défaut lorsque le fichier est enregistré (pour les sites configurés au niveau local) ou importé (pour les sites configurés au niveau central). Le fichier WebInterface.conf est disponible dans le répertoire de configuration de site de toutes les plates-formes. Sous Windows, l'emplacement est C:\Inetpub\wwwroot\Citrix\AccessPlatform\conf Sous les systèmes UNIX, l'emplacement est./usr/local/tomcat/webapps/citrix/accessplatform/web-inf

158 158 Guide de l'administrateur de l'interface Web Vous pouvez remplacer certaines valeurs de WebInterface.conf pour certaines pages dans vos scripts de serveur Web. Pour plus d'informations sur les scripts de serveur Web, reportez-vous au kit de développement de l'interface Web. Remarque Il est possible, sur les plates-formes UNIX, que vous ayez besoin d'arrêter et de redémarrer le serveur exécutant l'interface Web pour que les modifications apportées à WebInterface.conf soient prises en compte. De plus, assurez-vous que vous enregistrez vos modifications au format UTF-8. Paramètres WebInterface.conf Le tableau ci-dessous indique les paramètres pouvant figurer dans WebInterface.conf (par ordre alphabétique). Les valeurs par défaut apparaissent en gras. Si un paramètre n'est pas spécifié dans WebInterface.conf, c'est sa valeur par défaut qui est utilisée. Paramètre Description Valeurs Types de sites AccountSelfService Url Indique l'url du service Password Manager. Adresse URL valide avec HTTPS. AdditionalExplicit Authentication Définit l'authentification explicite à deux facteurs que vous devez réaliser conjointement avec SAM (Secure Access Manager), ADS (Active Directory Services) ou NDS (Novell Directory Services). Remplace le paramètre désapprouvé de EnableSecurIDWithExplicit Authentication. None SecurID SafeWord RADIUS AddressResolution Type Indique quel type d'adresse utiliser dans le fichier de lancement.ica. Ipv4-port ipv4 dns dns-port Services de l'agent Program Neighborhood Conferencing Manager AGEPromptPassword Indique si les utilisateurs sont invités ou non à entrer de nouveau leurs mots de passe en ouvrant une session depuis la page d'ouverture de session d'advanced Access Control. Off On AGEWebServiceUrl Spécifie l'adresse URL du service d'authentification d'advanced Access Control. Adresse URL valide

159 Annexe A Configuration de sites à l'aide du fichier de configuration 159 Paramètre Description Valeurs Types de sites AllowBandwidth Selection Indique si les utilisateurs peuvent ou ne peuvent pas fournir à Presentation Server le type de connexion entre leur navigateur Web et Presentation Server leur permettant d'optimiser les paramètres ICA. Off On AllowCustomizeApp Columns Indique si les utilisateurs sont ou ne sont pas autorisés à choisir le nombre de colonnes. On Off AllowCustomize ApplicationAccess Method Indique si les utilisateurs peuvent choisir ou non le mode distant ou le mode streaming comme méthode privilégiée d'accès aux applications. Off On AllowCustomize Audio Indique si les utilisateurs sont ou ne sont pas autorisés à régler la qualité audio des sessions ICA. Off On AllowCustomizeClient PrinterMapping Indique si les utilisateurs sont ou ne sont pas autorisés à activer/désactiver le mappage d'imprimantes clientes. Off On AllowCustomize Clients Indique si les utilisateurs sont autorisés à modifier le client utilisé pour le lancement de l'application. Off On Conferencing Manager AllowCustomizeJava ClientPackages Indique si les utilisateurs sont autorisés ou non à modifier les packs Client pour Java téléchargés. Off On AllowCustomize Layout Indique si les utilisateurs sont ou ne sont pas autorisés à sélectionner l'interface utilisateur de leur choix. Off On AllowCustomize Logoff Indique si les utilisateurs peuvent ou ne peuvent pas remplacer le comportement affiché par la fonctionnalité de contrôle de l'espace de travail lorsqu'ils ferment une session de Presentation Server. On Off AllowCustomize ReconnectAtLogin Indique si les utilisateurs sont ou ne sont pas autorisés à remplacer le comportement de la fonctionnalité de contrôle de l'espace de travail à l'ouverture d'une session. On Off

160 160 Guide de l'administrateur de l'interface Web Paramètre Description Valeurs Types de sites AllowCustomize ReconnectButton Indique si les utilisateurs peuvent remplacer le comportement de la fonction de contrôle de l'espace de travail lorsqu'ils utilisent le bouton Se reconnecter. On Off AllowCustomize Settings Indique si les utilisateurs peuvent ou ne peuvent pas personnaliser leurs sessions Interface Web. On Off AllowCustomize TransparentKey Passthrough Indique si les utilisateurs sont ou ne sont pas autorisés à sélectionner l'authentification par combinaison de touches. Off On AllowCustomize VirtualCOMPort Emulation Indique si les utilisateurs sont ou ne sont pas autorisés à activer/désactiver la synchronisation des ordinateurs de poche. On Off AllowCustomizeWin Color Indique si les utilisateurs sont ou ne sont pas autorisés à modifier la profondeur de couleurs des sessions ICA. Off On AllowCustomizeWin Size Indique si les utilisateurs sont ou ne sont pas autorisés à modifier la taille de fenêtre des sessions ICA. On Off AllowUserAccount Unlock Indique si les utilisateurs peuvent ou ne peuvent pas déverrouiller leur compte à l'aide de l'option Libre-service de compte. Off On AllowUserPassword Change Définit sous quelles conditions les utilisateurs peuvent modifier leur mot de passe. Never Expired-Only Always Services de l'agent Program Neighborhood AllowUserPassword Reset Indique si les utilisateurs peuvent ou ne peuvent pas réinitialiser leur mot de passe à l'aide de l'option Libre-service de compte. Off On AlternateAddress Indique si l'adresse secondaire de serveur doit ou ne doit pas être renvoyée dans le fichier.ica. Off Mapped On Conferencing Manager AppColumns Spécifie le nombre de colonnes d'icônes d'application dans la liste des applications. Entier entre 0 et 300 (3)

161 Annexe A Configuration de sites à l'aide du fichier de configuration 161 Paramètre Description Valeurs Types de sites ApplicationAccess Methods Indique si les utilisateurs peuvent accéder aux applications à l'aide d'un client distant, du Citrix Streaming Client, ou des deux. Distant, streaming Services de l'agent Program Neighborhood Authentication Methods Définit les méthodes d'ouverture de session autorisées. Il s'agit d'une liste, avec des virgules comme séparateurs, qui peut comporter n'importe quelle valeur parmi celles spécifiées, dans n'importe quel ordre. Explicit, Anonymous, CertificateSingleSign On, Certificate, SingleSignOn AGEPassthrough Federated Services de l'agent Program Neighborhood BrandingColor Indique la couleur des lignes et des barres dans les zones d'entête et de bas de page. Nombre hexadécimal d'une couleur nom d'une couleur Conferencing Manager BypassFailedRadius ServerDuration Spécifie le laps de temps s'écoulant avant qu'un serveur RADIUS défaillant puisse être réutilisé. Chiffre en minutes (60) BypassFailedSTA Duration Spécifie le laps de temps s'écoulant avant qu un serveur Secure Ticket Authority défaillant puisse être réutilisé. Chiffre en minutes (60) Services de l'agent Program Neighborhood Conferencing Manager ClientAddressMap Partie de la configuration du pare-feu côté serveur. Liste de paires adresse cliente/type d'adresse. L'adresse cliente peut être une adresse partielle ou une adresse et un masque de sous-réseau, tandis que le type d'adresse peut avoir l'une des valeurs suivantes : Normal, Alternate, Translated, SG, SGAlternate et SGTranslated. L'utilisation d'un astérisque (*) à la place d'une adresse ou d'un sous-réseau indique la valeur par défaut de tous les clients non spécifiés. <SubnetAddress>/ <SubnetMask> *, Normal Alternate Translated SG SGTranslated SGAlternate, Conferencing Manager

162 162 Guide de l'administrateur de l'interface Web Paramètre Description Valeurs Types de sites ClientProxy Option de pare-feu côté client. Indique une liste d'adresses et de masques sous-réseau du client et de paramètres proxy associés. L'adresse du client dans le fichier ICA renvoyé est déterminée par ces paramètres. Chaque entrée comprend trois champs. Le premier peut être une adresse et un masque de sous-réseau. L'utilisation du signe (*) indique la valeur par défaut de tous les clients non spécifiés. Le deuxième est l'un des six types de proxy. La valeur du troisième champ (adresse du proxy) dans chaque série de trois est ignorée si le deuxième champ (type de proxy) ne contient pas un type de proxy explicite (SOCKS ou Secure), mais elle doit toujours être présente ; la valeur par défaut de ce champ est le signe moins (-). <ClientAddress> <SubnetAddress>/ <SubnetMask> *, Auto WpadAuto Client None SOCKS Secure, - <ProxyAddress> <ProxyAddress>: <ProxyPort>, Conferencing Manager CompanyHomePage Spécifie l'adresse URL à utiliser comme lien hypertexte pour le logo de l'entreprise si la valeur du paramètre CompanyLogo est définie. Adresse URL valide Conferencing Manager CompanyLogo Spécifie l'adresse URL de l'image du logo de l'entreprise. Adresse URL valide Conferencing Manager CredentialFormat Indique les formats des informations d'identification pour les ouvertures de session explicites Windows et NIS. All UPN DomainUsername Services de l'agent Program Neighborhood CSG_EnableSession Reliability Indique si la fiabilité de session doit être utilisée ou pas via Secure Gateway ou Access Gateway. Off On Conferencing Manager CSG_Server Indique l'adresse de Secure Gateway ou Access Gateway. Aucune. Adresse du serveur sous forme de nom de domaine complet Conferencing Manager CSG_ServerPort Indique le port Secure Gateway ou Access Gateway. Aucune. Port du serveur. Conferencing Manager

163 Annexe A Configuration de sites à l'aide du fichier de configuration 163 Paramètre Description Valeurs Types de sites CSG_STA_URL<n> Indique l'adresse URL du serveur fournissant la fonction Secure Ticket Authority. Aucune. Adresse URL vers un STA Conferencing Manager DefaultApplication AccessMethod Indique si un client distant ou Citrix Streaming Client est utilisé ou non pour accéder aux applications par défaut. Distant Streaming DefaultCustomText Locale Indique la langue par défaut à utiliser pour le texte personnalisé. Celle-ci doit être la même que celle indiquée pour les paramètres <lang_code> dans le WelcomeMessage <lang_code> et le FooterText <lang_code>. Aucune. en fr de es ja ou tout autre identificateur de langue pris en charge Conferencing Manager DisplayFooter Indique s'il faut afficher ou pas le bas de page défini dans footer.inc. On Off Conferencing Manager DisplayHeader Indique s'il faut afficher ou pas l'en-tête défini dans header.inc. On Off Conferencing Manager DisplayMainBoxTitle BarBgImage Indique s'il faut utiliser une image d'arrière-plan ou une simple couleur d'arrière-plan pour la barre de titre de fenêtre principale. On Off Conferencing Manager DisplaySiteLogo Indique si le logo d'identification du site est affiché ou pas. On Off Conferencing Manager DomainSelection Indique les noms de domaines répertoriés dans la page Ouverture de session de l'authentification explicite. Liste des noms de domaines NetBIOS DuplicateLogInterval Indique la période pendant laquelle les entrées de journal DuplicateLogLimit feront l'objet d'une surveillance. Délai en secondes (60) Services de l'agent Program Neighborhood Conferencing Manager DuplicateLogLimit Indique le nombre d'entrées de journal en double autorisées pour la période DuplicateLogInterval. Entier supérieur à 0 (10) Services de l'agent Program Neighborhood Conferencing Manager

164 164 Guide de l'administrateur de l'interface Web Paramètre Description Valeurs Types de sites EnableFileType Association Indique si l'association de type de fichier est activée ou désactivée pour un site. Si la valeur est Off, la redirection du contenu n'est pas disponible pour le site. On Off Services de l'agent Program Neighborhood EnableKerberosTo MPS Indique si l'authentification Kerberos est activée ou désactivée. Off On EnableLegacyICA ClientSupport Indique si les clients plus anciens de Citrix Presentation Server ne pouvant pas lire les fichiers.ica UTF-8 sont pris en charge. Si vous réglez cette option sur off, le serveur produit des fichiers.ica encodés UTF-8. On Off Services de l'agent Program Neighborhood Conferencing Manager EnableLogoff Applications Indique si la fonction de contrôle de l'espace de travail se déconnecte des applications actives lorsque les utilisateurs ferment leur session sur Presentation Server. On Off EnablePassthrough URLs Indique si les utilisateurs peuvent ou non créer des liens persistants vers les applications publiées accessibles en utilisant l'interface Web. Off On EnableRadiusServer LoadBalancing Indique si l'équilibrage de charge en mode accès direct entre des sessions exécutées sur plusieurs serveurs RADIUS est autorisé ou non. Le basculement entre les serveurs se produit dans tous les cas, quelle que soit la valeur de ce paramètre. On Off EnableSTALoad Balancing Indique si l'équilibrage de charge entre les requêtes envoyées à plusieurs serveurs STA Secure Gateway est autorisé ou non. On Off Services de l'agent Program Neighborhood Conferencing Manager EnableVirtualCOM PortEmulation Indique s'il faut activer ou pas la synchronisation des ordinateurs de poche via des connexions par câble USB. Off On

165 Annexe A Configuration de sites à l'aide du fichier de configuration 165 Paramètre Description Valeurs Types de sites EnableWizardAuto Mode Indique si le processus de détection et de déploiement de client est exécuté en mode automatique ou non. On Off Conferencing Manager EnableWorkspace Control Indique si les utilisateurs de Presentation Server ont accès à la fonction de contrôle de l'espace de travail. On Off ErrorFallbackURL Définit l'adresse URL vers laquelle l'interface Web doit se rediriger en cas d'erreur. Quatre paramètres de chaîne de requête sont acceptés : NFuse_MessageType NFuse_MessageKey NFuse_MessageArgs NFuse_LogEventID Adresse URL valide Farm<n> Indique toutes les informations relatives à une batterie. Adresse du service XML [,XML service address,.] [,Name:<nom>] [,XMLPort:<port>] [,Transport:<HTTP HTTPS SSL>] [,SSLRelayPort: <port>] [,BypassDuration: <durée>] [,LoadBalance: <on off>] [,ECSUrlURL>] [,TicketTimeToLive: <secondes (200)>] [,RADETicketTime ToLive:<secondes (200)>] Services de l'agent Program Neighborhood Conferencing Manager FooterText_<langcode> Indique que le texte de bas de page localisé s'affiche dans la zone de bas de page de toutes les pages. lang-code est en, fr, de, es, ja ou tout autre code de langue pris en charge. Aucune. Texte en clair plus un nombre quelconque de balises <br> de nouvelle ligne HTML Conferencing Manager HeadingImage Indique l'adresse URL de l'image à afficher comme entête de l'interface Web. Adresse URL valide Conferencing Manager HideDomainField Indique l'affichage et le masquage du champ de domaine dans la page Ouverture de session. Off On

166 166 Guide de l'administrateur de l'interface Web Paramètre Description Valeurs Types de sites HpUxUnixClient Indique les légendes et les liens d'installation de la plate-forme associée. Il est possible de personnaliser les textes et adresses des liens en suivant le format Caption&URL, pour lequel Caption représente le texte affiché sur la page et URL l'adresse URL du client. L'adresse URL est liée au bouton Télécharger qui se trouve sur la page Télécharger le logiciel client du processus de détection et de téléchargement du client. «Par défaut.» Légende et liens Conferencing Manager IbmAixClient Indique les légendes et les liens d'installation de la plate-forme associée. Il est possible de personnaliser les textes et adresses des liens en suivant le format Caption&URL, pour lequel Caption représente le texte affiché sur la page et URL l'adresse URL du client. L'adresse URL est liée au bouton Télécharger qui se trouve sur la page Télécharger le logiciel client du processus de détection et de téléchargement du client. «Par défaut.» Légende et liens Conferencing Manager IcaClientVersion Indique le numéro de version du Client (à partir du répertoire \Clients du CD des composants). Ce numéro est utilisé pour déterminer si une version plus récente du client natif est installée sur les ordinateurs des utilisateurs. Dernière version du client Conferencing Manager IcaWebClientClassID Indique l'identificateur de classe du client ActiveX. 238f6f83-b8b4-11cf a024541ee3 Conferencing Manager IgnoreClientProvided ClientAddress Indique si l'adresse du client fournie par le client est ignorée. Off On Services de l'agent Program Neighborhood Conferencing Manager

167 Annexe A Configuration de sites à l'aide du fichier de configuration 167 Paramètre Description Valeurs Types de sites InternalServer AddressMap Liste de paires d'adresses normales et traduites. L'adresse normale identifie l'adresse du serveur Secure Gateway et l'adresse traduite est celle à renvoyer au client Citrix Presentation Server. NormalAddress = TranslatedAddress, Services de l'agent Program Neighborhood Conferencing Manager JavaClientPackages Indique par défaut les packs Client pour Java à télécharger. Liste comportant des virgules comme séparateurs, suivant un ordre arbitraire. ConfigUI, PrinterMapping, SecureICA, Audio, ClientDriveMapping, ClipBoard, SSL, Thinwire1, ZeroLatency Conferencing Manager JavaClientRoot Certificate Indique le nom de fichier d'un certificat racine privé pour le client pour Java. Le certificat doit se trouver dans le même répertoire que les packs Client pour Java. Aucune. Nom de fichier valide Conferencing Manager KioskMode Indique si les paramètres utilisateur doivent être persistants ou uniquement valables pendant toute la durée de la session. Lorsque le mode Kiosque est activé, les paramètres utilisateur ne persistent pas d'une session à l'autre. Off On Conferencing Manager LaunchClients Définit les clients que l'utilisateur est autorisé à sélectionner. Va de pair avec AllowCustomizeClients. Ica-Local, Ica-Java, Ica-Embedded, Rdp-Embedded Conferencing Manager LinuxClient Indique les légendes et les liens d'installation de la plate-forme associée. Il est possible de personnaliser les textes et adresses des liens en suivant le format Caption&URL, pour lequel Caption représente le texte affiché sur la page et URL l'adresse URL du client. L'adresse URL est liée au bouton Télécharger qui se trouve sur la page Télécharger le logiciel client du processus de détection et de téléchargement du client. «Par défaut.» Légende et liens Conferencing Manager

168 168 Guide de l'administrateur de l'interface Web Paramètre Description Valeurs Types de sites LoginDomains Indique les noms de domaines utilisés pour la restriction d'accès. Liste des noms de domaines NetBIOS Services de l'agent Program Neighborhood LoginType Spécifie la page d'ouverture de session qui s'affiche. Peut être basé sur un domaine ou NDS. Default NDS Services de l'agent Program Neighborhood LogoffFederation Service Indique si les sessions des utilisateurs sont toutes fermées ou fermées uniquement sur les sites à partir d'adfs lorsque le bouton de fermeture de session est utilisé dans un site ADFS intégré. On Off MacClient Indique les légendes et les liens d'installation de la plate-forme associée. Il est possible de personnaliser les textes et adresses des liens en suivant le format Caption&URL, pour lequel Caption représente le texte affiché sur la page et URL l'adresse URL du client. L'adresse URL est liée au bouton Télécharger qui se trouve sur la page Télécharger le logiciel client du processus de détection et de téléchargement du client. «Par défaut.» Légende et liens Conferencing Manager MainBoxTitleBarBg Color Indique la couleur d'arrièreplan de la barre de titre de la fenêtre principale. Nom ou nombre hexadécimal d'une couleur Conferencing Manager MainBoxTitleBarBg Image Indique l'adresse URL vers l'image d'arrière-plan de la barre de titre de la fenêtre principale. Adresse URL valide Conferencing Manager MainBoxTitleFont Color Indique la couleur de police de la barre de titre de la fenêtre principale. Nom ou nombre hexadécimal d'une couleur Conferencing Manager MessageHeadingBg Color Définit la couleur d'arrière-plan pour les en-têtes de la zone d'accueil et du Centre de messages. Nom ou nombre hexadécimal d'une couleur Conferencing Manager

169 Annexe A Configuration de sites à l'aide du fichier de configuration 169 Paramètre Description Valeurs Types de sites MessageHeadingFont Color Définit la couleur de police pour les en-têtes de la zone d'accueil et du Centre de messages. Nom ou nombre hexadécimal d'une couleur Conferencing Manager NDSContextLookup LoadBalancing Indique s'il faut équilibrer ou pas la charge des serveurs LDAP configurés. On Off Services de l'agent Program Neighborhood NDSContextLookup Servers Indique les serveurs LDAP à utiliser. Si le port de serveur n'est pas indiqué, il est déduit du protocole : Idap pour le port LDAP par défaut (389), ou Idaps pour le LDAP par défaut sur un port SSL (636). Un maximum de 512 serveurs est pris en charge. Si ce paramètre est vide ou absent, la fonctionnalité d'ouverture de session hors contexte est désactivée. Aucune. ldap://[:] ldaps://[:],. Services de l'agent Program Neighborhood NDSTreeName Spécifie l arborescence NDS à utiliser en cas d'authentification NDS. Aucune. Arborescence NDS. Services de l'agent Program Neighborhood OtherClient Indique les légendes et les liens d'installation de la plate-forme associée. Il est possible de personnaliser les textes et adresses des liens en suivant le format Caption&URL, pour lequel Caption représente le texte affiché sur la page et URL l'adresse URL du client. L'adresse URL est liée au bouton Télécharger qui se trouve sur la page Télécharger le logiciel client du processus de détection et de téléchargement du client. «Par défaut.» Légende et liens Conferencing Manager OverlayAutologon CredsWithTicket Indique qu'un ticket d'ouverture de session doit être dupliqué dans une entrée de ticket d'ouverture de session ou placé dans une entrée de ticket de fichier de lancement.ica séparé. On Off

170 170 Guide de l'administrateur de l'interface Web Paramètre Description Valeurs Types de sites OverrideIca Clientname Indique si un identificateur généré par l'interface Web doit être transmis dans l'entrée de nom de client d'un fichier de lancement.ica. On Off PasswordExpiry WarningPeriod Indique la durée, en nombre de jours, pendant laquelle les utilisateurs seront invités à changer de mot de passe avant expiration de ce dernier. Entier entre 0 et 999 (14) PNAChangePassword Method Définit comment le client Agent Program Neighborhood traite les requêtes de modification de mot de passe des utilisateurs. Si l'option Directes est sélectionnée, le client modifie le mot de passe en communiquant directement avec le contrôleur de domaine. Directes avec retour indique que le client tente dans un premier temps de contacter le contrôleur de domaine, et en cas d'échec, utilise les Services de l'agent Program Neighborhood. L'option Proxy indique que le client modifie les mots de passe en contactant le site Service de l'agent Program Neighborhood. Directes Directes avec retour Proxy Services de l'agent Program Neighborhood PooledSockets Indique si le regroupement de sockets doit ou non être utilisé. Off On Services de l'agent Program Neighborhood Conferencing Manager RADEClientClassID Indique l'identificateur de classe du Citrix Streaming Client. 4384F3C5-4A9E- 4E81-9AAE- 4251C RADEClientVersion Indique le numéro de version du Client (à partir du répertoire \Clients du CD des composants). Ce dernier est utilisé pour déterminer si une version plus récente du Citrix Streaming Client est installée sur les ordinateurs des utilisateurs. Dernière version du client Conferencing Manager

171 Annexe A Configuration de sites à l'aide du fichier de configuration 171 Paramètre Description Valeurs Types de sites RADESessionURL Indique l'adresse URL d'une page de session RADE. Si ce paramètre est réglé sur automatique, l'adresse URL est genérée automatiquement. Automatique. Adresse URL valide Services de l'agent Program Neighborhood RadiusRequest Timeout Indique la valeur du délai d'attente à appliquer lorsqu'une réponse est attendue du serveur RADIUS de la session. Délai en secondes (30) RadiusServers Liste délimitée par des virgules contenant les serveurs RADIUS et éventuellement les ports d'écoute correspondants. Les serveurs peuvent être spécifiés à l'aide d'adresses IP ou de noms ; le serveur et le port de chaque élément sont séparés par le signe deuxpoints. Si le port est omis, le serveur utilise par défaut le numéro1812. Vous pouvez configurer un maximum de 512 serveurs RADIUS. server[:port][, ] RdpWebClient Indique le nom de fichier du logiciel de connexion au Bureau à distance utilisé pour les lancements via un client incorporé et le déploiement automatique de ce client. msrdp.cab Conferencing Manager RdpWebClientClassID Indique l'identificateur de classe du client ActiveX de connexion au Bureau à distance fourni avec Windows Server c efbb00b-d6aaba6d3850 Conferencing Manager

172 172 Guide de l'administrateur de l'interface Web Paramètre Description Valeurs Types de sites RDPWebClient Version ReconnectAtLogin ReconnectButton RequestICAClient SecureChannel RequestedHighColor Icônes RequireLaunch Reference RestrictDomains Indique le numéro de version du logiciel de connexion au Bureau à distance fourni avec Windows Server Indique si le contrôle de l'espace de travail doit se reconnecter aux applications à l'ouverture de session et, si tel est le cas, s'il doit se reconnecter à toutes les applications ou uniquement aux applications déconnectées. Indique si le contrôle de l'espace de travail doit se reconnecter aux applications lorsque les utilisateurs cliquent sur le bouton Reconnecter et, si tel est le cas, s'ils doivent se reconnecter à toutes les applications ou uniquement aux applications déconnectées. Détermine les paramètres TLS. Indique si les icônes de couleurs 32 bits sont requises par le service XML, et si tel est le cas, dresse la liste des tailles d'icônes en pixels. Si ce paramètre est réglé sur Aucune, seules les icônes 32 x 32 4 bits sont requises. Le réglage par défaut varie en fonction du type de site et de sa configuration. Indique si l'utilisation de références de lancement est imposée. Indique si le paramètre LoginDomains est utilisé afin de limiter l'accès de l'utilisateur. 5,2,3790,0 Conferencing Manager DisconnectedAnd Active Disconnected None DisconnectedAnd Active Disconnected None Detect-AnyCiphers, TLS-GovCiphers, SSL-AnyCiphers Aucune. Liste séparée par des virgules des tailles d'icônes comprenant certaines, voire toutes les valeurs autorisées suivantes : Off On Off On Services de l'agent Program Neighborhood Conferencing Manager Services de l'agent Program Neighborhood Conferencing Manager Services de l'agent Program Neighborhood Conferencing Manager Services de l'agent Program Neighborhood

173 Annexe A Configuration de sites à l'aide du fichier de configuration 173 Paramètre Description Valeurs Types de sites RetryCount Indique le nombre de tentatives d'envoi de la requête au service XML avant que le service ne soit considéré comme défaillant. Entier supérieur à 0 (5) Services de l'agent Program Neighborhood Conferencing Manager ScoUnixClient Indique les légendes et les liens d'installation de la plate-forme associée. Il est possible de personnaliser les textes et adresses des liens en suivant le format Caption&URL, pour lequel Caption représente le texte affiché sur la page et URL l'adresse URL du client. L'adresse URL est liée au bouton Télécharger qui se trouve sur la page Télécharger le logiciel client du processus de détection et de téléchargement du client. «Par défaut.» Légende et liens Conferencing Manager SearchContextList Liste optionnelle de noms de contexte séparés par des virgules à utiliser avec l'authentification NDS. Aucune. Liste de noms de contexte séparés par des virgules. ServerAddressMap Partie de la prise en charge du pare-feu côté serveur. Liste de paires d'adresses normales et traduites. L'adresse normale identifie l'adresse du serveur et l'adresse traduite doit être renvoyée au client. NormalAddress, TranslatedAddress, Conferencing Manager SgiUnixClient Indique les légendes et les liens d'installation de la plate-forme associée. Il est possible de personnaliser les textes et adresses des liens en suivant le format Caption&URL, pour lequel Caption représente le texte affiché sur la page et URL l'adresse URL du client. L'adresse URL est liée au bouton Télécharger qui se trouve sur la page Télécharger le logiciel client du processus de détection et de téléchargement du client. «Par défaut.» Légende et liens Conferencing Manager

174 174 Guide de l'administrateur de l'interface Web Paramètre Description Valeurs Types de sites ShowClientInstall Caption Contrôle l'affichage des légendes d'installation. La valeur Auto indique que les légendes d'installation sont affichées si aucun client n'est installé ou qu'un client plus performant est disponible. Si la valeur est réglée sur Silencieux, les légendes d'installation sont affichées uniquement si les utilisateurs ne disposent pas de client. Le comportement de la page d'ouverture de session diffère légèrement dans le sens où les légendes sont affichées uniquement pour les clients distants, et ce, à condition qu'aucun client ne soit détecté. C'est pourquoi il n'existe aucune différence entre les réglages Auto et Silencieux de la page d'ouverture de session. Auto Silencieux Off Conferencing Manager ShowPasswordExpiry Warning Indique si les utilisateurs sont invités à changer leur mot de passe avant que ce dernier n'expire et détermine la durée de la période d'avertissement. Never WindowsPolicy Custom SolarisUnixClient Indique les légendes et les liens d'installation de la plate-forme associée. Il est possible de personnaliser les textes et adresses des liens en suivant le format Caption&URL, pour lequel Caption représente le texte affiché sur la page et URL l'adresse URL du client. L'adresse URL est liée au bouton Télécharger qui se trouve sur la page Télécharger le logiciel client du processus de détection et de téléchargement du client. «Par défaut.» Légende et liens Conferencing Manager Timeout Indique la valeur du délai d'attente à appliquer lors des communications avec le service XML. Délai en secondes (60) Services de l'agent Program Neighborhood Conferencing Manager

175 Annexe A Configuration de sites à l'aide du fichier de configuration 175 Paramètre Description Valeurs Types de sites TransparentKey Passthrough Indique le mode d'authentification unique par combinaisons de touches Windows. Local Remote FullScreenOnly Conferencing Manager Tru64Client Indique les légendes et les liens d'installation de la plate-forme associée. Il est possible de personnaliser les textes et adresses des liens en suivant le format Caption&URL, pour lequel Caption représente le texte affiché sur la page et URL l'adresse URL du client. L'adresse URL est liée au bouton Télécharger qui se trouve sur la page Télécharger le logiciel client du processus de détection et de téléchargement du client. «Par défaut.» Légende et liens Conferencing Manager TwoFactorPassword Integration Indique si l'intégration du mot de passe doit être activée ou pas à l'aide de RSA SecurID 6 ou version ultérieure. Off On TwoFactorUseFully QualifiedUserNames Indique si les noms d'utilisateur entièrement qualifiés doivent être transmis ou non au serveur d'authentification lors de l'authentification à deux facteurs. Off On UPNSuffixes Définit une liste de suffixes permettant de restreindre l'authentification UPN à l'authentification explicite. Liste de suffixes UPN Services de l'agent Program Neighborhood UserInterfaceLayout Indique s'il faut utiliser ou non l'interface utilisateur compacte. Automatique Normale Compacte Conferencing Manager WebSessionTimeout Indique la valeur du délai d'expiration des sessions inactives du navigateur. Chiffre en minutes (25) Conferencing Manager WelcomeMessage_ <lang-code> Définit le texte localisé du message de bienvenue à afficher dans la zone d'accueil de la page d'ouverture de session et de la liste d'applications. La valeur langcode est en, fr, de, es, ja ou tout autre code de langue pris en charge. Aucune. Texte au format HTML Conferencing Manager

176 176 Guide de l'administrateur de l'interface Web Paramètre Description Valeurs Types de sites Win16Client Indique les légendes et les liens d'installation de la plate-forme associée. Il est possible de personnaliser les textes et adresses des liens en suivant le format Caption&URL, pour lequel Caption représente le texte affiché sur la page et URL l'adresse URL du client. L'adresse URL est liée au bouton Télécharger qui se trouve sur la page Télécharger le logiciel client du processus de détection et de téléchargement du client. «Par défaut.» Légende et liens Conferencing Manager Win32Client Indique les légendes et les liens d'installation de la plate-forme associée. Il est possible de personnaliser les textes et adresses des liens en suivant le format Caption&URL, pour lequel Caption représente le texte affiché sur la page et URL l'adresse URL du client. L'adresse URL est liée au bouton Télécharger qui se trouve sur la page Télécharger le logiciel client du processus de détection et de téléchargement du client. «Par défaut.» Légende et liens Conferencing Manager

177 Annexe A Configuration de sites à l'aide du fichier de configuration 177 Considérations relatives à l'agent Program Neighborhood Des réglages de paramètres spécifiques de WebInterface.conf affectent la validation des requêtes de l'agent Program Neighborhood. Citrix vous conseille d'utiliser, dans WebInterface.conf, des paramètres en accord avec les paramètres du fichier config.xml dans l'agent Program Neighborhood. Contenu du fichier Config.xml Le fichier config.xml contient des paramètres répartis en catégories différentes. Vous pouvez modifier les paramètres des catégories suivantes : FolderDisplay. Indique l emplacement d affichage des icônes de l application (dans le menu Démarrer, sur le bureau Windows ou dans la zone de notification). D autres paramètres permettent de spécifier un dossier donné dans le menu Démarrer et l icône à utiliser sur le bureau Windows. Cela correspond aux options de l'onglet Affichage d'application de la boîte de dialogue de propriétés de l'agent Program Neighborhood. DesktopIntegration. Indique s'il faut ajouter des raccourcis vers le menu Démarrer, le bureau ou les zones de notification. ConfigurationFile. Indique une adresse URL différente pour le fichier config.xml. pour le client à utiliser ultérieurement. Cela permet de déplacer plus facilement les utilisateurs vers un autre serveur exécutant l'interface Web. Request. Indique l emplacement où le client doit demander les données relatives aux applications publiées et la fréquence d actualisation des informations. Failover. Indique une liste d'adresses URL de serveur de sauvegarde à contacter si le serveur principal est indisponible. Logon. Indique la méthode d ouverture de session à utiliser. UserInterface. Indique si certains groupes d options présentées aux utilisateurs dans le cadre de l interface de l Agent Program Neighborhood doivent être affichés ou masqués. ReconnectOptions. Indique si les utilisateurs ont accès à la fonctionnalité de contrôle de l'espace de travail. FileCleanup. Indique si les raccourcis sont supprimés ou non lorsque des utilisateurs ferment une session Agent Program Neighborhood.

178 178 Guide de l'administrateur de l'interface Web ICA_Options. Indique les options d'affichage et de son pour les connexions clientes. Cela correspond aux options de l onglet Options de session de la boîte de dialogue de propriétés de l'agent Program Neighborhood. AppAccess. Indique les types d'applications disponibles auprès des utilisateurs. Pour plus d'informations sur l'utilisation du fichier config.xml, veuillez consulter le Guide de l'administrateur des clients pour Windows. Réglages dans le fichier WebInterface.conf Les paramètres de WebInterface.conf répertoriés dans le tableau suivant doivent être en accord avec ceux du fichier config.xml. Le tableau explique les paramètres affectant les réglages de l'agent Program Neighborhood et les réglages recommandés. Paramètre AuthenticationMethods LoginType NDSTreeName Réglage recommandé Utilisez la même méthode d'authentification que celle configurée dans le fichier WebInterface.conf. L'authentification échouera si cette méthode n'est pas la même que dans le fichier config.xml. NDS doit être activé dans config.xml. DefaultTree dans la section Logon de config.xml doit contenir le même paramètre. Pour configurer l'interface Web lors de l'utilisation de l'agent Program Neighborhood 1. Ouvrez le fichier WebInterface.conf. 2. Situez les paramètres suivants : AuthenticationMethods LoginType NDSTreeName 3. Modifiez les réglages pour ces paramètres comme décrit dans le tableau cidessus. 4. Redémarrez le serveur exécutant l'interface Web pour appliquer les modifications. Pour plus d'informations sur les paramètres du fichier WebInterface.conf, veuillez consulter la section «Configuration de sites à l'aide du fichier de configuration», page 157.

179 Annexe A Configuration de sites à l'aide du fichier de configuration 179 Exemples Cette section fournit des exemples standard de configuration de l'interface Web en utilisant le fichier WebInterface.conf. Configuration des communications avec Presentation Server Dans cet exemple, vous souhaitez définir le nom d'un serveur supplémentaire exécutant le service XML Citrix. Le service XML constitue le lien de communication entre la batterie de serveurs et le serveur exécutant l'interface Web. Les communications s'effectuent actuellement avec un serveur dénommé «marx», mais vous souhaitez ajouter le serveur «engels», en cas de défaillance de marx. Pour ce faire : 1. Recherchez la ligne suivante dans le fichier WebInterface.conf : Farm1=marx,Name:Farm1,XMLPort:80,Transport:HTTP, SSLRelayPort:443, 2. Modifiez cette ligne pour inclure le serveur supplémentaire, comme suit : Farm1=marx,engels,Name:Farm1,XMLPort:80,Transport:HTTP, SSLRelayPort:443, Configuration des communications du Relais SSL Citrix Dans cet exemple, vous souhaitez sécuriser les communications entre le serveur Web et le serveur exécutant Presentation Server, par le biais du protocole SSL (Secure Socket Layer). Le Relais SSL Citrix est installé sur un serveur exécutant Presentation Server dont l adresse est de type nom de domaine complet (marx.company-name.com). Le Relais SSL Citrix est à l'écoute des connexions sur le port TCP 443.

180 180 Guide de l'administrateur de l'interface Web Les communications s'effectuent actuellement avec le serveur marx, mais vous souhaitez le remplacer par Pour ce faire : 1. Ouvrez le fichier WebInterface.conf et recherchez la ligne suivante : Farm1=marx,Name:Farm1,XMLPort:80,Transport:HTTP, SSLRelayPort: Définissez le transport sur SSL, comme indiqué ci-dessous : Farm1=hegel.company-name.com,Name:Farm1,XMLPort:80, Transport:SSL,SSLRelayPort:443 Remarque Le nom de serveur spécifié doit correspondre au nom figurant sur le certificat du serveur. Configuration de la prise en charge de Secure Gateway Dans cet exemple, vous souhaitez définir un serveur Secure Gateway appelé «csg1.citrix.com» sur lequel les clients Citrix Presentation Server utilisent le port 443, à l aide des deux adresses Secure Ticket Authority suivantes : Ajoutez les lignes suivantes dans le fichier WebInterface.conf : AlternateAddress=Mapped CSG_STA_URL1= CSG_STA_URL2= CSG_Server=csg1.citrix.com CSG_ServerPort=443 ClientAddressMap=*,SG (pour activer Secure Gateway pour tous les utilisateurs)

181 Annexe A Configuration de sites à l'aide du fichier de configuration 181 Réglages dans le fichier Bootstrap.conf Les réglages présents dans le fichier bootstrap.conf sont répertoriés dans le tableau suivant. Paramètre Description Valeurs Types de sites Configuration Location Indique l'emplacement à partir duquel l'interface Web doit charger la configuration. ConfigSvr est le nom DNS ou une adresse IP du proxy de configuration. Chemin d'accès au fichier de configuration dans l'application Web [ConfigSvrDef] ConfigSvrDef = ConfigSvr [;ConfigSvr]* [,Port:<port>] [,Transport:<HTTP HTTPS SSL>] [,SSLRelayPort:<port>] Services de l'agent Program Neighborhood Conferencing Manager Configuration SourceType Indique le type de configuration utilisé par le site. Local ConfigurationService Services de l'agent Program Neighborhood Conferencing Manager DefaultLocale Indique la langue par défaut à utiliser si un navigateur demande une langue non prise en charge. en fr de es ja ou tout autre identificateur de langue pris en charge Services de l'agent Program Neighborhood Conferencing Manager SiteIDRoot Chaîne servant de base à l'identification unique d'un site. Sous Windows, ce paramètre sert directement d'identificateur de site lors de la communication avec le Service de Configuration. Sous UNIX, les informations runtime sont ajoutées afin de former l'identificateur de site. Numéro aléatoire généré par le programme d'installation Services de l'agent Program Neighborhood Conferencing Manager SiteName Indique le nom du site qui apparaît dans la console Access Management Console. Le réglage par défaut utilise l'adresse URL du site. Chaîne valide Services de l'agent Program Neighborhood Conferencing Manager

182 182 Guide de l'administrateur de l'interface Web

183 ANNEXE B Configuration de la prise en charge d'adfs pour l'interface Web Présentation La prise en charge d'adfs pour l'interface Web permet au partenaire ressource d'un déploiement ADFS d'utiliser Presentation Server. Les administrateurs peuvent créer des sites ADFS pour fournir aux utilisateurs un accès aux applications publiées sur le partenaire ressource. Important ADFS exige que les communications entre le client, le serveur Web et les serveurs de fédération soient sécurisées. Les utilisateurs de l'interface Web doivent utiliser HTTPS/SSL pour accéder au site. Qu'est-ce qu'adfs? ADFS (Active Directory Federation Services) est une fonctionnalité de Microsoft Windows Server 2003 R2 Enterprise Edition. ADFS fournit une technologie d'ouverture de session permettant d'authentifier un utilisateur sur plusieurs applications Web lors d'une seule session. ADFS étend les infrastructures Active Directory existantes pour fournir l'accès aux ressources proposées par des partenaires approuvés sur l'internet. Ces partenaires approuvés peuvent inclure des tiers externes ou d'autres départements de votre organisation. Pour que deux organisations établissent des relations d'approbation ADFS, ADFS doit être déployé dans les deux organisations. Leurs relations d'approbation ADFS sont explicites, à sens unique et non-transitives. Dans une relation d'approbation, le tiers hébergeant les comptes utilisateur est le partenaire de compte et le tiers hébergeant les applications auxquelles les utilisateurs ont accès est le partenaire de ressource.

184 184 Guide de l'administrateur de l'interface Web L'utilisation d'adfs exige un serveur de fédération pour chaque partenaire. Pour davantage de sécurité, vous pouvez implanter ces serveurs de fédération à l'intérieur du réseau approuvé de chaque organisation et déployer les proxys de serveur de fédération. Un proxy de serveur de fédération transmet les requêtes de fédération provenant de l'extérieur de l'organisation vers votre serveur de fédération. Terminologie ADFS Le tableau suivant regroupe les termes de base utilisés dans la description d'adfs. Terme Partenaire de compte Serveur de fédération Proxy de serveur de fédération Service de fédération Proxy de service de fédération Partenaire de ressource Compte fantôme Définition Organisation cliente souhaitant utiliser les applications Web depuis le partenaire de ressource. Le partenaire de compte fournit les identités (comptes utilisateur). Les serveurs de fédération hébergent le composant d'adfs appelé Service de fédération, qui contrôle l'accès vers vos systèmes en fonction d'une identification, d'une authentification et d'une autorisation par l'approbation de fédération. Les serveurs de fédération authentifient les requêtes provenant des partenaires approuvés en fonction des informations d'identification des partenaires. Les représentations des informations d'identification sont échangées sous forme de jetons de sécurité. Les proxys de serveur de fédération hébergent le composant proxy du service de fédération d'adfs. Vous pouvez déployer les proxys de serveurs de fédération dans la zone démilitarisée (DMZ) afin de transférer les requêtes vers les serveurs de fédération dont l'accès est impossible depuis Internet. Service dans Windows Server 2003 R2 qui utilise Active Directory pour fournir des jetons en réponse aux requêtes émanant des partenaires approuvés. Les proxys de Service de fédération collectent les informations d'identification des utilisateurs dans les clients du navigateur et les applications Web, puis les transmettent au Service de fédération. Organisation qui rend disponible sur Internet les services ou les applications Web. Les comptes fantômes sont créés dans Active Directory sur le partenaire de ressource. Ils reflètent les comptes utilisateur existants sur le partenaire de compte. N'activez pas les comptes fantômes pour une ouverture de session interactive, car il ne sont jamais utilisé dans ce but.

185 Annexe B Configuration de la prise en charge d'adfs pour l'interface Web 185 Fonctionnement des sites ADFS intégrés Les événements suivants se produisent lorsqu'un utilisateur sur un partenaire de compte accède à une application Web publiée sur un partenaire de ressource : 1. Un utilisateur ouvrant la page d'accueil de l'interface Web sur un partenaire de ressource est redirigé vers la page d'authentification du partenaire de compte. 2. Le partenaire de compte authentifie l'utilisateur et renvoie un jeton de sécurité vers le partenaire de ressource. 3. Sur le partenaire de ressource, ADFS valide le jeton de sécurité, le transforme en une identité Windows (représentant un compte fantôme) et redirige l'utilisateur vers la page d'ouverture de session de l'interface Web. 4. L'Interface Web affiche la page contenant la liste d'applications à l'intention de l'utilisateur. Le diagramme illustre les événements se produisant lorsqu'un utilisateur tente d'accéder à une liste d'applications 5. L'utilisateur lance une application en cliquant sur un lien hypertexte sur la page. L'Interface Web contacte le Service XML Citrix pour demander le lancement. Remarque Pour rendre les applications accessibles aux utilisateurs ADFS, vous devez publier les applications sur le serveur du partenaire de ressource pour un ou plusieurs comptes fantômes.

186 186 Guide de l'administrateur de l'interface Web 6. Le Service XML Citrix génère les données de l'interface SSPI (Security Support Provider Interface) et les transmet à l'ordinateur exécutant Presentation Server. 7. Le serveur utilise les données de l'interface SSPI pour authentifier l'utilisateur, puis stocke un jeton d'ouverture de session pour une authentification ultérieure. 8. Le serveur génère un ticket de lancement pour représenter exclusivement le jeton d'ouverture de session stocké, puis transmet ce ticket au Service XML Citrix. 9. Le Service XML Citrix renvoie le ticket de lancement vers l'interface Web. 10. L'Interface Web crée un fichier.ica contenant le ticket de lancement et le transmet au navigateur de l'utilisateur. 11. La machine cliente ouvre le fichier.ica et tente d'établir une connexion ICA avec le serveur. 12. Le client envoie le ticket de lancement à Presentation Server. 13. Le serveur reçoit le ticket de lancement, le fait correspondre au jeton d'ouverture de session généré précédemment, puis utilise ce jeton d'ouverture de session pour connecter l'utilisateur à une session ICA sur le serveur. La session ICA s'exécute sous l'identité du compte fantôme. Le diagramme illustre les événements se produisant lorsqu'un utilisateur clique sur un lien de la liste d'applications

187 Annexe B Configuration de la prise en charge d'adfs pour l'interface Web 187 Selon les paramètres configurés pour un site, lorsque des utilisateurs ferment une session, ils sont déconnectés depuis : L'Interface Web Ou L'Interface Web et ADFS Si l'utilisateur est déconnecté depuis l'interface Web et ADFS, il est déconnecté de toutes les applications Web ADFS. Configuration logicielle requise pour ADFS Vous devez installer et configurer les logiciels suivants dans votre environnement : Microsoft Windows Server 2003 R2 pour les serveurs Web et les serveurs de fédération ; Microsoft Active Directory Federation Services (ADFS) sur les partenaires de compte et de ressource. Avant la création de sites ADFS Avant de créer un site ADFS, vous devez effectuer les opérations suivantes. Si vous passez outre à l'une de ces opérations, vous ne pourrez pas créer de site. Synchronisez les horloges sur le serveur de fédération du partenaire de compte et le serveur de fédération du partenaire de ressource à cinq minutes près l'une par rapport à l'autre. Dans le cas contraire, les jetons de sécurité générés par le partenaire de compte peuvent ne pas être acceptés par le partenaire de ressource, les jetons pouvant apparaître comme ayant expiré. Afin d'éviter ce problème, les deux organisations doivent synchroniser leurs serveurs avec le même serveur de temps Internet. Pour des informations complémentaires, veuillez consulter la section «Création de relations entre les domaines», page 189. Assurez-vous que le serveur Web et le serveur de fédération de ressource ont accès aux Listes de Révocation de Certificats (LRC) de l'autorité de Certification. ADFS pourrait échouer si les serveurs ne peuvent pas confirmer qu'un certificat n'est pas révoqué. Pour des informations complémentaires, veuillez consulter la section «Création de relations entre les domaines», page 189.

188 188 Guide de l'administrateur de l'interface Web Assurez-vous que tous les serveurs au sein de votre déploiement sont sécurisés pour la délégation. Pour des informations complémentaires, veuillez consulter la section «Configuration de la délégation pour les serveurs au sein de votre déploiement», page 192. Créez des comptes fantômes dans le domaine du partenaire de ressource pour chaque utilisateur externe pouvant s'authentifier sur l'interface Web via ADFS. Pour des informations complémentaires, veuillez consulter la section «Création de comptes fantômes», page 196. Installez Citrix Presentation Server 4.5 ou version supérieure, en vous assurant que le service XML Citrix est configuré pour partager son port avec IIS et qu'iis est configuré pour prendre en charge HTTPS. Important Le présent guide ne fournit aucune information sur l'installation d'adfs. Avant d'essayer de créer un site ADFS, vérifiez qu'une installation ADFS est en état de fonctionnement, et qu'elle contient des utilisateurs de comptes externes capables d'accéder aux applications Web activées par ADFS dans un partenaire de ressource. Établissez une relation d'approbation entre le serveur exécutant l'interface Web et tout autre serveur dans la batterie exécutant le Service XML Citrix contacté par l'interface Web. Pour des informations complémentaires, veuillez consulter la section «Pour établir une relation d'approbation», page 133.

189 Annexe B Configuration de la prise en charge d'adfs pour l'interface Web 189 Création de relations entre les domaines Le déploiement documenté dans cette annexe est constitué de deux domaines (dans leurs propres forêts), l'une pour le partenaire de compte et l'autre pour le partenaire de ressource. Remarque séparés. Les composants requis ne doivent pas être sur des ordinateurs Pour créer des relations entre les domaines 1. Assurez-vous d'être en possession des composants suivants. Le partenaire de compte requiert : Contrôleur de domaines Serveur de fédération* Machines clientes Le partenaire de ressource requiert : Contrôleur de domaines Serveur de fédération* Serveur Web Un ou plusieurs serveurs pour une batterie exécutant Presentation Server Les composants marqués par un astérisque (*) doivent être présents sur les ordinateurs exécutant Windows Server 2003 R2 et ils doivent avoir les composants Active Directory Federation Services installés. 2. Procurez-vous des certificats de serveur séparés pour le serveur Web et les deux serveurs de fédération. Les certificats doivent être signés par une entité approuvée appelée Autorité de Certification (AC). Le certificat de serveur identifie un ordinateur spécifique ; vous devez donc connaître le nom de domaine complet (FQDN) de chaque serveur, par exemple, cpsserver1.mydomain.com.

190 190 Guide de l'administrateur de l'interface Web Installez le certificat du serveur Web dans Internet Information Services (IIS) afin d'activer le site Web IIS par défaut pour le trafic SSL. Installez les certificats de serveur de fédération à l'aide du composant logiciel enfichable Gestionnaire de certificat de MMC (Microsoft Management Console). Pour plus d'informations, veuillez consulter le Guide pas à pas de la console Microsoft Management Console à l'adresse 3. Afin de vous assurer que le serveur de fédération du partenaire de ressource approuve le serveur de fédération du partenaire de compte, installez le certificat racine du serveur de fédération du partenaire de compte dans la zone Autorités de certification approuvées du serveur de fédération du partenaire de ressource. 4. Afin de vous assurer que le serveur Web approuve le serveur de fédération du partenaire de ressource, installez le certificat racine du serveur de fédération du partenaire de ressource dans la zone Autorités de certification approuvées du serveur Web. Important Le serveur Web et le serveur de fédération de ressource doivent avoir accès aux Listes de Révocation de Certificats (LRC) de l'autorité de Certification (AC). Le serveur de fédération de ressource doit avoir accès à l'autorité de Certification du partenaire de compte et le serveur Web doit avoir accès à l'autorité de Certification du partenaire de ressource. ADFS pourrait échouer si les serveurs ne peuvent pas confirmer qu'un certificat n'est pas révoqué. 5. Sur le serveur de fédération du partenaire de ressource, ouvrez le composant logiciel enfichable MMC Services de fédération Active Directory. 6. Dans le panneau gauche, sélectionnez Service de fédération > Stratégie d'approbation > Organisations partenaires > Partenaires de compte, puis sélectionnez le nom du partenaire de compte. 7. Dans le menu Action, cliquez sur Propriétés. 8. Sur l'onglet Comptes ressource, sélectionnez Des comptes ressource existent pour tous les utilisateurs, puis cliquez sur OK.

191 Annexe B Configuration de la prise en charge d'adfs pour l'interface Web À l'aide du même serveur de temps Internet, synchronisez les horloges sur le serveur de fédération du partenaire de compte et le serveur de fédération du partenaire de ressource à cinq minutes près l'une par rapport à l'autre. Dans le cas contraire, les jetons de sécurité générés par le partenaire de compte peuvent ne pas être acceptés par le partenaire de ressource, les jetons pouvant apparaître comme ayant expiré. Les partenaires de compte et de ressource peuvent être situés dans des fuseaux horaires différents, mais ils doivent être correctement synchronisés. Par exemple, le partenaire de compte est à New York et il est défini sur 16h00, heure de la côte est américaine (EST). Le partenaire de ressource en Californie doit être défini entre 12h55 et 13h05, heure normale du Pacifique (PST). (Il y a trois heures de différence entre les zones EST et PST). 10. Sur le serveur Web, ouvrez le composant logiciel enfichable Gestionnaire des services Internet (IIS) de MMC. 11. Dans le panneau gauche, sélectionnez Sites Web. 12. Dans le menu Action, cliquez sur Propriétés. 13. Dans l'onglet Agent Web ADFS, entrez l'adresse URL pour le serveur de fédération du partenaire de ressource dans la case URL du service de fédération. 14. Cliquez sur OK.

192 192 Guide de l'administrateur de l'interface Web Configuration de la délégation pour les serveurs au sein de votre déploiement Assurez-vous que tous les serveurs au sein de votre déploiement sont sécurisés pour la délégation. Pour ce faire, vous devez effectuer les tâches suivantes. Les procédures à suivre pour chaque tâche sont incluses dans cette section. Vous assurer que le niveau fonctionnel du domaine du partenaire de ressource est correct. Approuver le serveur exécutant l'interface Web pour la délégation. Approuver le serveur exécutant le service XML Citrix pour la délégation. Déterminer quelles ressources sont accessibles depuis le serveur exécutant Presentation Server. Important Pour effectuer les procédures dans cette section, ouvrez une session en tant qu'administrateur dans le contrôleur de domaine du partenaire de ressource, puis utilisez le composant logiciel enfichable MMC Utilisateurs et ordinateurs Active Directory. Pour s'assurer que le domaine du partenaire de ressource est au niveau fonctionnel de Windows Server 2003 Remarque Pour augmenter le niveau du domaine, tous les contrôleurs de domaine au sein du domaine doivent exécuter Windows Server Dans le composant logiciel enfichable MMC Utilisateurs et ordinateurs Active Directory, sélectionnez le nom du domaine. 2. Dans le menu Action, cliquez sur Propriétés. 3. Si le domaine n'est pas au niveau fonctionnel de Windows Server 2003, sélectionnez le nom du domaine, puis sélectionnez Augmenter le niveau fonctionnel du domaine. Pour approuver le serveur exécutant l'interface Web pour la délégation 1. Dans le menu Affichage du composant logiciel enfichable MMC Utilisateurs et ordinateurs Active Directory, activez Fonctionnalités avancées. 2. Dans le dossier Ordinateurs sous le nom de domaine, sélectionnez le serveur exécutant l'interface Web.

193 Annexe B Configuration de la prise en charge d'adfs pour l'interface Web Dans le menu Action, cliquez sur Propriétés. 4. Sur l'onglet Délégation, cliquez sur Approuver cet ordinateur pour la délégation vers les services spécifiés uniquement et Utiliser n'importe quel protocole d'authentification, puis cliquez sur Ajouter. 5. Sur l'écran Ajouter des services, cliquez sur Utilisateurs ou ordinateurs. 6. Sur l'écran Sélectionnez utilisateurs ou ordinateurs, tapez le nom du serveur exécutant le service XML Citrix dans la zone de texte Entrez le nom de l'objet à sélectionner, puis cliquez sur OK. 7. Sélectionnez le type de service http dans la liste et cliquez sur OK. 8. Sur l'onglet Délégation, vérifiez que le type de service http pour le serveur exécutant Presentation Server apparaît bien dans la liste Services pour lesquels ce compte peut présenter des informations d'identification déléguées, puis cliquez sur OK. Remarque Répétez le processus pour chaque serveur de la batterie exécutant le service XML Citrix que l'interface Web doit contacter. Pour approuver le serveur exécutant le service XML Citrix pour la délégation 1. Dans le dossier Ordinateurs sous le composant logiciel enfichable MMC Utilisateurs et ordinateurs Active Directory, sélectionnez le nom du serveur exécutant le service XML que l'interface Web doit contacter. 2. Dans le menu Action, cliquez sur Propriétés. 3. Sur l'onglet Délégation, cliquez sur Approuver cet ordinateur pour la délégation vers les services spécifiés uniquement et Utiliser Kerberos uniquement, puis cliquez sur Ajouter. 4. Sur l'écran Ajouter des services, cliquez sur Utilisateurs ou ordinateurs. 5. Sur l'écran Sélectionnez utilisateurs ou ordinateurs, tapez le nom du serveur exécutant le service XML dans la zone de texte Entrez le nom de l'objet à sélectionner, puis cliquez sur OK. 6. Sélectionnez le type de service HOST dans la liste et cliquez sur OK.

194 194 Guide de l'administrateur de l'interface Web 7. Sur l'onglet Délégation, vérifiez que le type de service HOST pour le serveur exécutant le service XML apparaît bien dans la liste Ce compte peut présenter des informations d'identification déléguées à ces services, puis cliquez sur OK. 8. Pour une batterie multiserveurs, répétez les étapes 3 à 7 pour chaque serveur exécutant Presentation Server. Remarque Répétez le processus pour chaque serveur de la batterie exécutant le service XML Citrix que l'interface Web doit contacter. Pour déterminer quelles ressources sont accessibles depuis le serveur exécutant Presentation Server 1. Dans le dossier Ordinateurs sous le composant logiciel enfichable MMC Utilisateurs et ordinateurs Active Directory, sélectionnez le nom du serveur exécutant Presentation Server. 2. Dans le menu Action, cliquez sur Propriétés. 3. Sur l'onglet Délégation, cliquez sur Approuver cet ordinateur pour la délégation vers les services spécifiés uniquement et Utiliser Kerberos uniquement, puis cliquez sur Ajouter. 4. Sur l'écran Ajouter des services, cliquez sur Utilisateurs ou ordinateurs. 5. Sur l'écran de sélection Utilisateurs ou ordinateurs, tapez le nom du contrôleur de domaine du partenaire de ressource dans la zone de texte Entrez le nom de l'objet à sélectionner, puis cliquez sur OK. 6. Dans la liste, sélectionnez les types de service cifs et ldap pour le vérificateur de domaine du partenaire de ressource et cliquez sur OK. Remarque Si vous avez deux possibilités de service ldap, sélectionnez celui qui correspond au FQDN de votre contrôleur de domaine. 7. Sur l'onglet Délégation, vérifiez que les services cifs et ldap du contrôleur de domaine du partenaire de ressource apparaissent dans la liste Services pour lesquels ce compte peut présenter des informations d'identification déléguées, puis cliquez sur OK. Remarque Si vous utilisez des batteries multiserveurs, répétez cette procédure pour chaque serveur exécutant Presentation Server.

195 Annexe B Configuration de la prise en charge d'adfs pour l'interface Web 195 Configuration des serveurs pour la délégation contrainte Pour des raisons de sécurité, vous devez configurer tous les serveurs exécutant Presentation Server pour la délégation contrainte. Pour fournir aux utilisateurs un accès aux ressources sur ces serveurs, vous devez ajouter les services appropriés à la liste Services à l'aide du composant logiciel enfichable MMC Utilisateurs et ordinateurs Active Directory. Par exemple, pour permettre aux utilisateurs de s'authentifier auprès d'un serveur Web sur l'hôte foo, ajoutez le service http pour le serveur foo et pour permettre aux utilisateurs de s'authentifier auprès d'un serveur SQL sur l'hôte bar, ajoutez le service MSSQLSvc pour le serveur bar. Pour des informations détaillées, reportez-vous au document technique Service Principal Names and Delegation disponible dans la base de connaissances (Knowledge Base) Citrix. Attention L'utilisation incorrecte de l Éditeur du Registre peut provoquer de sérieux problèmes qui peuvent nécessiter la réinstallation de votre système d exploitation. Citrix ne peut pas garantir que les problèmes résultant d une utilisation incorrecte de l Éditeur du Registre puissent être résolus. Vous utilisez l Éditeur du Registre à vos risques et périls. Configuration d'une durée limite d'accès aux ressources Par défaut, les utilisateurs ADFS ont accès aux ressources sur un réseau pendant 15 minutes. Vous pouvez augmenter cette durée en modifiant l'entrée de registre suivante sur le serveur exécutant le service XML : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\ Kerberos\Parameters\S4UTicketLifetime Cette valeur spécifie le nombre de minutes pendant lesquelles les utilisateurs ont accès aux ressources une fois une session ouverte. La stratégie de sécurité de domaine régit la valeur maximale que vous pouvez définir pour le paramètre S4ULifetime. Si vous définissez pour ce paramètre une valeur supérieure à celle spécifiée pour le paramètre au niveau du domaine, la valeur définie pour ce dernier est prioritaire. Pour configurer une durée limite d'accès aux ressources au niveau du domaine 1. Connectez-vous au contrôleur de domaine en tant qu'administrateur de domaine. 2. Dans le menu Démarrer, cliquez sur Tous les programmes > Outils d'administration > Stratégie de sécurité du domaine.

196 196 Guide de l'administrateur de l'interface Web 3. Dans l'arborescence de la console, développez Stratégies de comptes. 4. Sélectionnez Stratégie Kerberos. 5. Dans le volet de détails, cliquez sur Durée de vie maximale du ticket de service. 6. Dans le menu Actions, cliquez sur Propriétés. 7. Saisissez une valeur (en minutes) dans le champ Le ticket expire dans :. 8. Cliquez sur OK. 9. Fermez la boîte de dialogue Stratégie de sécurité du domaine. Si vous ne souhaitez pas configurer de durée limite pour l'accès aux ressources, sélectionnez Utiliser tout protocole d'authentification lorsque vous spécifiez les ressources accessibles depuis le serveur exécutant Presentation Server. Si vous sélectionnez cette option, la valeur spécifiée pour le paramètre S4UTicketLifetime sera ignorée, quelle qu'elle soit. Pour plus d'informations, consultez le site Web de Microsoft à l'adresse : Création de comptes fantômes Pour lancer des applications, Presentation Server requiert des comptes Windows authentiques. C'est pourquoi vous devez créer manuellement un compte fantôme dans le domaine du partenaire de ressource pour chaque utilisateur externe qui s'authentifie auprès de l'interface Web via ADFS. Remarque Si vous disposez de plusieurs utilisateurs dans le domaine du partenaire de compte qui accèderont aux applications dans le domaine du partenaire de ressource, vous pouvez utilisez un produit tiers d'approvisionnement de compte afin de permettre une création rapide de comptes utilisateur fantômes dans Active Directory. Pour créer des comptes fantômes, effectuez les tâches suivantes en tant qu'administrateur sur le contrôleur de domaine pour le domaine du partenaire de ressource. Les procédures à suivre pour chaque tâche sont incluses dans cette section. Ajoutez des suffixes de nom d'utilisateur principal (UPN) pour tous les partenaires de compte externes. Définissez l'utilisateur du compte fantôme.

197 Annexe B Configuration de la prise en charge d'adfs pour l'interface Web 197 Pour ajouter les suffixes UPN 1. Ouvrez le composant logiciel enfichable MMC Domaines et approbations Active Directory. 2. Dans le panneau gauche, sélectionnez Domaines et approbations Active Directory. 3. Dans le menu Action, cliquez sur Propriétés. 4. Ajoutez un suffixe UPN pour chaque partenaire de compte externe. Par exemple, si le domaine Active Directory du partenaire de compte est adatum.com, ajoutez adatum.com en tant que suffixe UPN. 5. Cliquez sur OK. Pour définir l'utilisateur du compte fantôme 1. Ouvrez le composant logiciel enfichable MMC Utilisateurs et ordinateurs Active Directory. 2. Dans le panneau gauche, sélectionnez le nom du domaine. 3. Dans le menu Action, cliquez sur Utilisateurs > Nouvel utilisateur. 4. Entrez le prénom de l'utilisateur, ses initiales ainsi que son nom dans les zones de texte correspondantes. 5. Dans la zone de texte Nom de connexion de l'utilisateur, tapez le nom de compte. Assurez-vous que ce nom corresponde au nom sur le partenaire de compte. 6. Dans la liste déroulante, choisissez le suffixe UPN externe, puis cliquez sur Suivant. 7. Dans les zones de texte Mot de passe et Confirmer le mot de passe, entrez un mot de passe qui corresponde à votre stratégie de mot de passe. Ce mot de passe n'est jamais utilisé car l'utilisateur s'authentifie via ADFS. 8. Effacez la zone de texte L'utilisateur doit changer de mot de passe à la prochaine ouverture de session. 9. Cochez les cases L'utilisateur ne peut pas changer de mot de passe et Pas de limite d'expiration du mot de passe. 10. Cliquez sur Suivant, puis cliquez sur Terminer.

198 198 Guide de l'administrateur de l'interface Web Création de sites ADFS intégrés Exécutez la tâche Créer un site dans la console Access Management Console et configurez le site pour l'utilisation d'adfs pour l'authentification. Remarque Le déploiement d'applications livrées en streaming dans un environnement ADFS n'est pas pris en charge. Pour créer un site ADFS intégré 1. Cliquez sur Créer un site. 2. Sélectionnez Site. 3. Sur la page Spécifier l'emplacement IIS, entrez les paramètres requis, puis cliquez sur Suivant. 4. Sur la page Source de configuration, entrez les paramètres requis, puis cliquez sur Suivant. 5. Sélectionnez Utiliser l'intégration ADFS Microsoft, entrez les paramètres requis, puis cliquez sur Suivant. 6. Confirmez les paramètres pour le nouveau site et cliquez sur Suivant. 7. Cliquez sur Terminer pour créer le site. Configuration de votre site en tant qu'application ADFS Après avoir créé votre site, vous devez le configurer en tant qu'application ADFS afin qu'il puisse être reconnu par le serveur de fédération. Pour configurer votre site en tant qu'application ADFS 1. Ouvrez le composant logiciel enfichable MMC Services de fédération Active Directory sur le serveur de fédération du partenaire de ressource. 2. Dans le panneau gauche, sélectionnez Service de fédération > Stratégie d'approbation > Mon organisation > Applications. 3. Dans le menu Action, cliquez sur Nouveau > Applications. 4. Cliquez sur Application compatible avec les revendications, puis cliquez sur Suivant. 5. Dans la zone de texte Nom affiché, tapez Interface Web Citrix.

199 Annexe B Configuration de la prise en charge d'adfs pour l'interface Web Dans la zone de texte Adresse URL de l'application, tapez l'adresse URL de votre site d'interface Web, puis cliquez sur Suivant. Important Assurez-vous que vous utilisez HTTPS et le FQDN de votre serveur Web. 7. Selon la configuration d'adfs (généralement PKI), sélectionnez Infrastructure de clé publique ou Compte de service de domaine, puis cliquez sur Suivant. 8. Cliquez sur Nom d'utilisateur principal (UPN), puis cliquez sur Suivant. 9. Cochez la case Activer cette application et cliquez sur Suivant. 10. Cliquez sur Terminer.

200 200 Guide de l'administrateur de l'interface Web Test de votre déploiement Après avoir configuré votre site en tant qu'application ADFS, testez votre déploiement afin de vous assurer que tout fonctionne correctement entre le partenaire de compte et le partenaire de ressource. Pour tester le déploiement ADFS de l'interface Web 1. Ouvrez une session sur votre machine cliente sur le partenaire de compte. 2. Ouvrez un navigateur Web et tapez l'url FQDN du site de l'interface Web que vous avez créé précédemment. La liste d'applications de l'interface Web s'affiche. Remarque Si vous n'avez pas configuré ADFS pour l'authentification intégrée, vous pouvez être invité à entrer vos informations d'identification ou à insérer une carte à puce. 3. Si vous n'avez pas installé le Client Citrix Presentation Server, faites-le à présent. Pour plus d'informations, veuillez consulter le Guide de l'administrateur du client pour Windows. Remarque Le client pour Java et le logiciel de connexion au Bureau à distance ne sont pas pris en charge sur les sites ADFS intégrés. 4. Cliquez sur une application pour la lancer. Déconnexion des sites ADFS intégrés Utilisez la tâche Configurer la méthode d'authentification pour indiquer si les utilisateurs cliquant sur les boutons Fermeture de session ou Se déconnecter se déconnectent à partir de : l'interface Web uniquement l'interface Web et ADFS Federation Service Si vous spécifiez que les utilisateurs se déconnectent depuis l'interface Web uniquement, ils sont redirigés vers la page de fermeture de session de l'interface Web. Si vous spécifiez que les utilisateurs se déconnectent depuis l'interface Web et ADFS Federation Service, ils sont redirigés vers la page de fermeture de session du service de fédération et ils sont déconnectés de toutes les applications Web ADFS.

201 Annexe B Configuration de la prise en charge d'adfs pour l'interface Web 201 Pour indiquer depuis quels services un utilisateur est déconnecté 1. Cliquez sur Configurer la méthode d'authentification. 2. Pour indiquer qu'un utilisateur se déconnecte à partir de l'interface Web et du service de fédération ADFS, cochez la case Effectuer une déconnexion globale. 3. Pour indiquer qu'un utilisateur se déconnecte à partir de l'interface Web uniquement, décochez la case Effectuer une déconnexion globale. Remarque Les utilisateurs qui s'authentifient à l'aide d'adfs ne peuvent pas déverrouiller leur session Presentation Server car ils ne connaissent pas leur mot de passe. Pour déverrouiller des sessions, les utilisateurs doivent fermer leur session à l'interface Web, puis rouvrir une session à l'aide de l'authentification ADFS. Ils peuvent ensuite relancer leurs applications. Lorsqu'ils procèdent de la sorte, la session précédente se déverrouille et la nouvelle fenêtre de lancement se ferme.

202 202 Guide de l'administrateur de l'interface Web

203 Index 203 Index A Accès client sécurisé Gestion 120 Access Gateway À propos de 18 Configuration de l'interface Web 122 Présentation 143 Prise en charge 18 Access Management Console 16, 45 À propos de 45 Au moyen de 48 Démarrage 48 Activation Authentification à deux facteurs 87 Authentification par invite 89 Authentification unique 90 Contrôle de l'espace de travail 134 Redirection de contenu 73 Regroupement de sockets 73 Active Directory Federation Services, voir ADFS Actualisation automatique Configuration 75 ADFS 187 Configurations logicielles requises 187 Présentation 183 Terminologie 184 Adresse URL du serveur Personnalisation 75 Adresses URL de secours Définition 76 Adresses URL d'application publiée Prise en charge 57 Advanced Access Control Déploiement avec l'interface Web 58 Intégration des sites 59 Mise à disposition des ressources auprès des utilisateurs 59 Affichage Paramètres d'accès client sécurisé 124 Affichage de l'écran Personnalisation 128 Affichage pour les utilisateurs Personnalisation 128 Agent Program Neighborhood Configuration 46, 119 Config.xml 119 Paramètres de configuration 177 Sécurisation 145 Aide Affichage 48 Aide contextuelle 48 Aide en ligne 48 Ajout Batteries de serveurs 69 Sites dans un groupe 65 Traductions d'adresse 123 Alertes 20 Applications transmises en continu Configuration requise 31 Authentification À deux facteurs 97 Anonyme 81 Carte à puce 81 Explicite 80, 85 Invite 80 Méthodes 79 Recommandations 81 Unique 80, 90 Unique avec carte à puce 80 Authentification à deux facteurs 97 Activation 87 Authentification anonyme 81 Considérations relatives à la sécurité 81 Authentification de domaine Microsoft 83 Authentification explicite 80 Activation 85 Configuration des paramètres de mot de passe 86 Authentification par carte à puce 81 Configuration requise 93

204 204 Guide de l'administrateur de l'interface Web Authentification par invite 80 Activation 89 Configuration des paramètres de mot de passe 89 Authentification unique 80 Activation 90 Authentification Windows 83 Autres machines clientes Configuration requise 32 B Batteries de serveurs Ajout 69 Considérations sur le changement de mot de passe 68 Définition de paramètres pour tous les serveurs 72 Gestion 67 Rôle dans l'interface Web 20 Suppression 69 bootstrap.conf Paramètres 181 C Carte à puce Exemple de configuration 96 CD des composants 32 Certificats racine privés 115 Citrix Presentation Server Configurations requises pour UNIX 29 Citrix Presentation Server pour UNIX Affichage du port utilisé par le service XML 34 Citrix Presentation Server pour Windows Affichage du port utilisé par le service XML 34 Citrix Streaming Client 109 Client pour Java Déploiement des composants 114 Présentation 114 Utilisation de certificats racine privés 115 Clients Déploiement avec des certificats personnalisés 116 Installation par le Web 109 Personnalisation des utilisateurs 129 Clients distants Client natif 108 Client natif incorporé 108 Client pour Java 108 Logiciel de connexion au Bureau à distance 108 Types 108 Clients pour Windows Configuration pour carte à puce 94 Configuration pour l'authentification unique 91 Communication SSL/TLS Configuration 75 Comptes fantômes 184 Configuration À l'aide de WebInterface.conf 46 Actualisation automatique 75 Communication SSL/TLS 75 Communications avec le service XML Citrix 74 Contrôle de l'espace de travail 131 Délégation contrainte 195 Déverrouillage de compte 87 Libre service de compte 87 Paramètres de mot de passe 86, 89 Paramètres de restriction de domaine 82 Redirection de site 77 Réinitialisation du mot de passe 87 Tolérance de panne 122 Type d'authentification 83 Utilisation de la console Access Management Console 16, 45 Configuration de l'écran Personnalisation 128 Configuration de site 54 Central 54 Local 54 Configuration et exécution du processus de découverte 48 Configuration requise ADFS 187 Authentification par carte à puce 93 Connexion au Bureau à distance 113 Contrôle de l'espace de travail 131 IIS (Internet Information Services) 29 Machine cliente 32 Serveur Web 29 Configuration requise pour l'utilisateur 31 Config.xml 46 À propos de 119 Connexion au Bureau à distance Configuration requise 113 Et la zone Sites de confiance 113 Considérations générales relatives à la sécurité 154 Contenu de l'écran Personnalisation 128 Contrôle Journalisation des diagnostics 153 Contrôle de la bande passante 130

205 Index 205 Contrôle de l'espace de travail Activation 134 Comportement de la fermeture de session 135 Configuration 131 Configuration requise 131 Option Se reconnecter 135 Présentation 131 Reconnecter 19 Reconnexion automatique 135 Utilisation avec authentification intégrée 133 Cookies 145 Création Relations de domaines 189 Création de sites 53 Cryptage ICA 153 Présentation 142 D Découverte Configuration 48 Exécution 48 Définition Adresses URL de secours 76 Paramètres de configuration initiale 56 Paramètres de serveur avancés 73 Paramètres d'authentification 55 Paramètres pour tous les serveurs 72 Types d'applications 57 Délai avant expiration Des tickets 71 Délégation contrainte Configuration 195 Déploiement Interface Web et Advanced Access Control 58 Packs de langue pour les utilisateurs 40 Déploiement du client Gestion 107, 111 Désactivation Messages d'erreur 43 Redirection de contenu 74 Désinstallation 43 Désinstallation de sites 65 Détection et déploiement de client 19 Déverrouillage de compte Configuration 87 Documentation Envoi de commentaires 14 Documentation Citrix 12 Domaines Création de relations entre 189 Niveau fonctionnel correct 192 E Équilibrage de charge Entre les Secure Ticket Authorities 122 Requêtes XML 70 Exportation Fichiers de configuration 55 F Fédération Proxy de serveur 184 Proxy de Service 184 Serveur 184 Service 184 Fichiers clients Copie sur le serveur 109 Fichiers de configuration Exportation 55 Importation 55 Fichiers de configuration des clients Gestion 120 Fichiers ICA 146 Fichiers ICA Unicode 118 G Gestion Accès client sécurisé 120 Batteries de serveurs 67 Déploiement du client 107, 111 Fichiers de configuration des clients 120 Options d'actualisation des applications 138 Paramètres de serveur 75 Préférences de session cliente 129 Raccourcis vers les applications 137 Sources de configuration 64 Groupage Sites 65 H Horloges de serveur Synchronisation 187 HTTP 72 HTTPS 72, 151

206 206 Guide de l'administrateur de l'interface Web I IIS (Internet Information Services) Configuration requise 29 Importation Fichiers de configuration 55 Initialisation 152 Installation À l'aide de la ligne de commande 39 Considérations relatives à la sécurité 34 Présentation 33 Sous UNIX 37 Sous Windows 35 Sur Windows 64 bits 36 Installation des clients par le Web 21 Copie des clients sur le serveur 109 Interface Web Configuration avec l'agent Program Neighborhood 178 Déploiement 185 Déploiement avec Advanced Access Control 58 Désinstallation 43 Exécution sur un serveur 150 Fonctionnalités 15 Fonctionnement 22 Installation 33 Introduction 14 Mise à disposition auprès des utilisateurs 65 Présentation 22 Prise en charge d'adfs 185 Sécurité 139 J Journalisation des diagnostics Contrôle 153 L Lancement d'adresses URL persistantes 19 Légendes d'installation 111 Libre service de compte Configuration 87 Réinitialisation du mot de passe 87 Libre-service de compte Déverrouillage de compte 87 Ligne de commande 39 M Machines clientes Configuration requise 32 Rôle dans l'interface Web 21 Sécurité 145, 152 Mappage Traductions d'adresse 123 Mappeur du service d annuaire Windows 95 Messages d'erreur Désactivation 43 Mise à niveau Groupes de sites 52 Installation existante 41 Sites configurés de manière centralisée Sites configurés localement. 50 Sites existants 50 Mise à niveau de sites 20 Modification Options de session 136 Paramètres DMZ 121 Paramètres du proxy côté client 124 Réglages de passerelle 122 Modification du mot de passe de l'agent Program Neighborhood 20 N NDS Authentification 83 Prise en charge 17 Niveau fonctionnel pour le domaine du partenaire de ressource 192 Nom d'utilisateur principal Voir UPN Nouvelles fonctionnalités 19 Alertes 20 Détection et déploiement de client 19 Modification du mot de passe avec l'agent Program Neighborhood 20 Prise en charge d'adresse URL persistante 19 Reconnexion à l'aide du contrôle de l'espace de travail 19 Novell Directory Services Voir NDS O Options de session Modification 136 Options d'actualisation des applications Gestion 138

207 Index 207 P Packs de langue 39 Déploiement pour les utilisateurs 40 Suppression 40 Page d'ouverture de session Définition de la page par défaut sur IIS 66 Paramètres de configuration initiale Définition 56 Paramètres de mot de passe Configuration 86, 89 Paramètres de restriction de domaine Configuration 82 Paramètres de serveur Avancés 73 Gestion 75 Paramètres DMZ Modification 121 Paramètres du proxy côté client Modification 124 Paramètres d'accès client sécurisé Affichage 124 Paramètres d'authentification ADFS 55 Advanced Access Control 55 Définition 55 Incorporée 55 Pare-feu Traduction d'adresse 120 Partenaire de compte Partenaire de ressource Partenaires Compte Ressource 184 Personnalisation Adresse URL du serveur 75 Affichage de l'écran 128 Affichage pour les utilisateurs 128 Configuration de l'écran 128 Contenu de l'écran 128 Plates-formes UNIX Installation 37 Plates-formes Windows Installation 35 Installation sur des versions 64 bits 36 Préférences de session cliente Gestion 129 Présentation ADFS 183 Installation de l'interface Web 33 Prise en charge traditionnelle 118 Proxy Serveur de fédération 184 Service de fédération 184 Publication de contenu 17 Publication d'applications 20 Publication d applications 20 R Raccourcis vers les applications Gestion 137 Redirection de contenu Activation 73 Désactivation 74 Redirection de site Configuration 77 Réglages de passerelle Modification 122 Regroupement de sockets Activation 73 Réinitialisation du mot de passe Configuration 87 Relais SSL Citrix 72 Configuration de l'interface Web 179 Présentation 142 Voir aussi SSL Réparation de sites 65 Réparer, option 42 Résolution des problèmes Installation 42 RSA SecurID PASSCODES 98 Tokencodes 98 S Secure Gateway À propos de 18 Configuration de l'interface Web 122 Entre les clients et Presentation Server 153 Exemple de configuration 180 Présentation 144 Prise en charge 18 Secure Sockets Layer Voir SSL SecureICA Voir Cryptage ICA Sécurisation de l'interface Web 144

208 208 Guide de l'administrateur de l'interface Web Sécurité 139 Access Gateway Configuration de l'interface Web 122 Communication réseau 145, 148 Client et serveur 152 Communications client vers serveur 144 Configuration du Relais SSL Citrix 149 Considérations générales 154 Et authentification anonyme 81 Lors de l'installation de l'interface Web 34 Présentation de Access Gateway 143 Présentation de Secure Gateway 144 Présentation du cryptage ICA 142 Présentation du Relais SSL Citrix 142 Présentation SSL 141 Présentation TLS 141 Protocoles et solutions Citrix 141 Secure Gateway Configuration de l'interface Web 122 Entre les clients et Presentation Server 153 SSL Ajout de certificats 150 Entre le serveur Web et le navigateur Web 147 Entre les clients et Presentation Server 153 TLS Entre le serveur Web et le navigateur Web 147 Entre les clients et Presentation Server 153 Séries d applications 20 Serveur Web Configuration requise 29 Serveurs Configuration des communications 179 Considérations relatives à la sécurité 152 Fédération 184 Rôle dans l'interface Web 21 Sécurité 147 Synchronisation des horloges 187, 191 Service Fédération 184 Service XML Citrix Affichage du port 34 Configuration de la tolérance de panne 70 Configuration des communications 74, 179 Configuration du port TCP/IP 71 Rôle dans l'interface Web 21 Sessions Voir Sessions clientes Sites Accès à l'aide d'advanced Access Control 57 Accès direct 57 ADFS incorporés 56 Ajout à un groupe 65 Configuration au moyen de la console Access Management Console 48 Configuration de l'accès des utilisateurs 57 Création 53 Création sous UNIX 54 Définition des paramètres de configuration initiale 56 Définition des paramètres d'authentification 55 Définition des types d'application 57 Désinstallation 65 Groupage 65 Réparation 65 Spécification de la source de configuration 54 Suppression d'un groupe 65 Sites 15 Sites configurés de manière centralisée Mise à niveau Sites configurés localement. Mise à niveau 50 Sites mal configurés Suppression 53 Sites Participant invité de Conferencing Manager 16 Sites Services de l'agent Program Neighborhood 15 Source de configuration Gestion 64 SSL Ajout de certificats 150 Configuration du Relais SSL Citrix 149 Entre les clients et Presentation Server 153 Présentation 141 Prise en charge Serveurs Web sécurisés 147 Taille de clé de certificat 142 Suppression Batteries de serveurs 69 Packs de langue 40 Sites d'un groupe 65 Sites mal configurés 53 Synchronisation Horloges de serveur 187, 191

209 Index 209 T Tâches de site Au moyen de 61 Disponibles pour des types de sites 62 Local 64 Tâches de site local 64 Taille de clé de certificat 142 Terminaux Windows 32 Terminologie ADFS 184 Tickets 146 À propos de 18 Configuration du délai avant expiration des tickets 71 TLS Entre les clients et Presentation Server 153 Présentation 141 Serveurs Web sécurisés 147 Taille de clé de certificat 142 Tolérance de panne Configuration 70, 122 Traductions d'adresse Ajout 123 Mappage 123 Type d'authentification Configuration 83 Types de sites Tâches disponibles 62 Types d'applications Définition 57 Distant 57 Livrées en streaming 57 Livrées en streaming en mode double 57 U Unique avec carte à puce 80 UPN Authentification 83 Prise en charge Restriction de suffixes 83 W WebInterface.conf À propos de 46 Configuration de l'interface Web avec 157 Paramètres 158

210 210 Guide de l'administrateur de l'interface Web