Guide de l'administrateur de l'interface Web Vous pouvez accéder à d'autres guides dans le Centre de documentation

Guide de l'administrateur de l'interface Web Vous pouvez accéder à d'autres guides dans le Centre de documentation Interface Web 4.5 Citrix Citrix Access Suite

Avis de copyright et de marque déposée Avant d utiliser le produit décrit dans ce guide, vous devez préalablement accepter le contrat de licence de l utilisateur final. Veuillez noter que des copies du contrat de licence de l utilisateur final se trouvent dans le répertoire racine du CD-ROM Citrix Presentation Server et dans le répertoire racine du CD-ROM des composants. Les informations contenues dans ce document peuvent faire l objet de modifications sans préavis. Sauf mention contraire, les sociétés, noms et données utilisés dans les exemples sont fictifs. Aucune partie de ce document ne peut être reproduite ou transmise, sous quelque forme, par quelque moyen, électronique ou mécanique, et pour quelque motif que ce soit, sans l autorisation expresse et écrite de Citrix Systems, Inc. Copyright 2001-2006 Citrix Systems, Inc. Tous droits réservés. Access Suite, Citrix, ICA (Independent Computing Architecture), Citrix Solutions Network, MetaFrame, MetaFrame XP, Presentation Server, Program Neighborhood et SpeedScreen sont des marques déposées ou des marques commerciales de Citrix Systems, Inc. aux États-Unis et dans d'autres pays. RSA Encryption 1996-1997 RSA Security Inc. Tous droits réservés. Reconnaissances de marques Adobe, Acrobat et PostScript sont des marques de fabrique, de commerce ou de service ou des marques déposées de Adobe Systems Incorporated aux États-Unis et/ou dans d'autres pays. Apple, LaserWriter, Mac, Macintosh, Mac OS et Power Mac sont des marques déposées ou des marques de fabrique, de commerce ou de service de Apple Computer Inc. Java, Sun et SunOS sont des marques de fabrique, de commerce ou de service ou des marques déposées de Sun Microsystems, Inc. aux États-Unis et dans d'autres pays. Solaris est une marque déposée de Sun Microsystems, Inc. Sun Microsystems, Inc n'a pas testé ou approuvé ce produit. Microsoft, MS-DOS, Windows, Windows NT, Win32, Outlook, ActiveX et Active Directory sont soit des marques déposées ou des marques de fabrique, de commerce ou de service de Microsoft Corp. aux États-Unis et/ou dans d'autres pays. Mozilla et Firefox sont des marques déposées de la Mozilla Foundation. Netscape et Netscape Navigator sont des marques déposées de Netscape Communications Corp. aux États-Unis et dans d'autres pays. Novell Directory Services, NDS et NetWare sont des marques déposées de Novell, Inc. aux États-Unis et dans d autres pays. Novell Client est une marque de fabrique, de commerce ou de service de Novell, Inc. SafeWord est une marque déposée de Secure Computing Corporation, aux États-unis et dans d'autres pays. UNIX est une marque déposée de The Open Group. Apache est soit une marque déposée soit une marque commerciale d Apache Software Foundation aux États-Unis et/ou dans d autres pays. JavaServer Pages et Sun ONE Application Server sont soit des marques déposées soit des marques commerciales de Sun Microsystems Corporation aux États-Unis et/ou dans d autres pays. Ce produit contient le logiciel développé par The Apache Software Foundation (http://www.apache.org/). Ce produit contient l'analyseur syntaxique XML Parser for Java Edition d IBM, 1999, 2000 IBM Corporation. Toutes les autres marques et marques déposées sont la propriété de leurs détenteurs respectifs. Code du document : 24 octobre 2006 (ER)

Centre de documentation TABLE DES MATIÈRES Table des matières Chapitre 1 Chapitre 2 Introduction Présentation........................................................11 Utilisation de ce guide...............................................11 Obtenir des informations complémentaires et de l'aide......................11 Accéder à la documentation produit...............................12 Conventions utilisées dans la documentation........................14 Obtention de support et d'assistance...............................15 Introduction à l'interface Web.........................................15 Fonctionnalités de l'interface Web...................................16 Sites..........................................16 Sites Services de l'agent Program Neighborhood....................16 Sites Participant invité de Conferencing Manager....................17 Fonctions de gestion............................................17 Fonctionnalités d accès aux applications...........................18 Fonctions de sécurité...........................................19 Fonctions de déploiement de clients...............................19 Nouveautés de cette version...........................................20 Prise en charge des nouvelles fonctionnalités de Presentation Server.............................................22 Composants de l'interface Web......................................23 Batteries de serveurs...........................................23 Serveur Web..................................................24 Machine cliente...............................................24 Fonctionnement de l'interface Web..................................25 Étape suivante......................................................26 Déploiement de l'interface Web Présentation........................................................27 Configuration requise................................................28 Configurations du serveur..........................................28 Versions de Citrix Presentation Server prises en charge................28

4 Guide de l administration de l Interface Web Centre de documentation Access Management Console....................................29 Configurations logicielles supplémentaires requises..................29 Configuration générale requise...................................30 Configuration requise pour le serveur Web............................31 Sur plates-formes Windows......................................31 Sur plates-formes UNIX........................................32 Configuration requise pour l'utilisateur................................32 Configuration requise pour accéder aux applications livrées en streaming............................................33 Configuration requise pour les ordinateurs de poche..................33 Configuration requise pour la machine cliente Citrix Presentation Server..........................................33 Installation de l'interface Web.........................................34 Présentation de l'installation........................................34 Considérations relatives à la sécurité...............................35 Installation de l'interface Web sur les plates-formes Windows.............36 Installation de l'interface Web sur les plates-formes UNIX................37 Configuration de Security Policy sur les serveurs Sun Java System Application Servers.................................39 Installation à l'aide de la ligne de commande...........................40 Utilisation des packs de langue......................................40 Suppression des packs de langue..................................41 Déploiement de langues pour les utilisateurs........................41 Mise à niveau d'une installation existante..............................42 Étape suivante......................................................42 Résolution des problèmes liés à l'installation de l'interface Web..............43 Utilisation de l'option Réparer.......................................43 Désactivation des messages d'erreur..................................43 Désinstallation de l'interface Web......................................44 Désinstallation de l'interface Web sur les plates-formes Windows..........44 Désinstallation de l'interface Web sur les plates-formes UNIX.............44 Fichiers restants après désinstallation.................................44 Chapitre 3 Démarrage de l'interface Web Présentation........................................................45 Choix de la méthode de configuration...................................46 Access Management Console.......................................46 Fichiers de configuration...........................................46 Choix de l'emplacement de stockage de la configuration de votre site..........47

Centre de documentation Table des matières 5 Configuration de sites au moyen de la console............................48 Obtention de l'aide................................................48 Démarrage de la console Access Management Console..................48 Configuration et exécution du processus de découverte.....................48 Mise à niveau des sites existants.......................................50 Mise à niveau des sites configurés de manière centralisée.................51 Mise à niveau de groupes de sites.................................51 Suppression des sites mal configurés.................................52 Création de sites....................................................53 Création de sites sur des serveurs Web Windows.......................53 Création de sites sur des serveurs Web UNIX..........................54 Spécification de la Source de Configuration d'un Site....................54 Importation et exportation de fichiers de configuration................54 Définition des paramètres d'authentification...........................55 Définition des paramètres de configuration initiale d'un site..................55 Définition des types d'applications disponibles pour les utilisateurs.........56 Configuration de l'accès des utilisateurs au site.........................56 Accès direct à un site...........................................56 Accès à un site avec Advanced Access Control......................56 Utilisation des tâches de site...........................................60 Utilisation des tâches de site local....................................62 Gestion des sources de configuration..............................62 Réparation et désinstallation de sites...............................63 Groupage de sites...................................................63 Rendre l'interface Web accessible aux utilisateurs.........................64 Définition de la page Ouverture de session comme page par défaut sur IIS.................................................64 Étape suivante......................................................65 Chapitre 4 Gestion des serveurs et des batteries Présentation........................................................67 Gestion de batteries de serveurs........................................67 Considérations sur le changement de mot de passe......................68 Configuration des paramètres des serveurs.............................69 Configuration de la tolérance de panne.............................69 Activation de l'équilibrage de charge entre les serveurs................70 Configuration de paramètres pour tous les serveurs......................71 Définition des paramètres de serveur avancés..........................72 Activation du regroupement de sockets.............................72 Activation de la redirection de contenu.............................73

6 Guide de l administration de l Interface Web Centre de documentation Configuration des communications avec le service XML..............74 Gestion des paramètres de serveur......................................74 Configuration des paramètres de communication du serveur..............75 Définition des adresses URL de secours de l'agent Program Neighborhood...................................76 Configuration de la redirection de site................................77 Chapitre 5 Configuration de l'authentification pour l'interface Web Présentation........................................................79 Méthodes d'authentification...........................................79 Recommandations relatives à l'authentification.........................81 Configuration de l'authentification......................................81 Configuration des paramètres de restriction de domaine...............81 Configuration du type d'authentification............................82 Activation de l'authentification explicite.................................84 Configuration des paramètres de mot de passe..........................85 Activation de l'authentification à deux facteurs.........................86 Configuration du libre service de compte..............................86 Activation de l'authentification par invite................................87 Configuration des paramètres de mot de passe..........................88 Activation de l'authentification unique...................................88 Configuration requise pour l'authentification unique.....................88 Étape 1 : installation des clients pour Windows.........................89 Étape 2 : activation de l'authentification unique sur le client...............89 Étape 3 : activation de l'authentification unique à l'aide de la console.......91 Activation de l'authentification par carte à puce...........................91 Configuration requise pour la prise en charge des cartes à puce............92 Étape 1 : installation des clients pour Windows.........................92 Étape 2 : activation de l'authentification unique sur le client...............93 Étape 3 : activation du mappeur du service d'annuaire Windows...........94 Étape 4 : activation de l'authentification par carte à puce à l'aide de la console..............................................95 Exemple : activation de l'authentification par carte à puce................95 Configuration de l'authentification à deux facteurs.........................96 Activation de l'authentification SafeWord de Secure Computing sur IIS.....97 Configuration requise pour SafeWord..............................97 Activation de l'authentification SafeWord à l'aide de la console.........98 Activation de l'authentification RSA SecurID 6.0 sur IIS.................98 Configuration requise pour SecurID...............................98 Ajout d un serveur exécutant l'interface Web en tant qu'agent Host......98

Centre de documentation Table des matières 7 Copie du fichier sdconf.rec......................................98 Activation de l'authentification RSA SecurID à l'aide de la console......98 Considérations sur la clé de Registre du nœud secret..................99 Prise en charge de domaines multiples RSA SecurID................100 Activation de l'intégration de mots de passe Windows RSA SecurID 6.0.............................................100 Activation de l'authentification à deux facteurs sous UNIX..............101 Activation de RADIUS avec SafeWord...........................101 Activation de RADIUS avec RSA SecurID........................101 Ajout de l'interface Web et des serveurs RADIUS en tant qu'agent Hosts.........................................102 Création d'un secret partagé pour RADIUS........................102 Activation de l'authentification à deux facteurs RADIUS à l'aide de la console...........................................102 Utilisation du mode RADIUS Challenge..........................103 Utilisation de messages de challenge personnalisés..................103 Chapitre 6 Gestion des clients Gestion du déploiement du client......................................105 Types de clients distants..........................................106 Citrix Streaming Client...........................................107 Installation du client par le Web....................................108 Copie des fichiers d'installation d'un client sur le serveur Web.........108 Configuration des légendes d'installation..........................109 Déploiement du logiciel de connexion au Bureau à distance..............110 Configuration requise pour la connexion au Bureau à distance.........110 Déploiement du client pour Java....................................111 Personnalisation du déploiement du client pour Java.................111 Déploiement automatique des clients................................115 Déploiement automatique du client natif...........................115 Déploiement automatique du Client pour Java......................115 Compatibilité avec les serveurs Web de langue asiatique................116 Configuration du contrôle de la session de streaming......................116 Configuration de l'agent Program Neighborhood.........................117 Utilisation de la console Access Management Console pour la configuration.............................................117 Utilisation des fichiers de configuration..............................117 Gestion des fichiers de configuration des clients....................118

8 Guide de l administration de l Interface Web Centre de documentation Gestion de l'accès client sécurisé......................................118 Modification des paramètres DMZ..................................119 Modification des paramètres de passerelle............................119 Modification des traductions d'adresse...............................121 Affichage des paramètres d'accès client sécurisé....................122 Modification des paramètres du proxy côté client.........................122 Chapitre 7 Chapitre 8 Personnalisation de l'expérience utilisateur Présentation.......................................................125 Personnalisation de l'affichage pour les utilisateurs........................126 Gestion des préférences de session cliente...............................126 Configuration du contrôle de l'espace de travail..........................129 Configuration requise pour cette fonctionnalité........................129 Restrictions....................................................130 Configuration du contrôle de l'espace de travail avec des méthodes d'authentification intégrée.........................131 Activation du contrôle de l'espace de travail..........................132 Modification des options de session....................................133 Gestion des raccourcis vers les applications.............................135 Utilisation des options d'actualisation des applications.....................136 Configuration de la sécurité de l'interface Web Présentation.......................................................137 Introduction à la sécurité de l'interface Web.............................137 Protocoles de sécurité et solutions de sécurité Citrix Security Solutions..........................................138 Secure Sockets Layer (SSL)....................................139 Transport Layer Security (TLS).................................139 Relais SSL Citrix.............................................139 Cryptage ICA................................................140 Access Gateway..............................................140 Secure Gateway..............................................141 Sécurisation des communications de l'interface Web......................142 Sécurisation de l'agent Program Neighborhood avec SSL..................143 Exemple....................................................143 Communications entre machine cliente et Interface Web...................143 Risques........................................................144 Recommandations...............................................145

9 Guide de l administration de l Interface Web Centre de documentation Utilisation de serveurs et navigateurs Web recourant à SSL/TLS.......145 N'activez pas l'authentification unique...............................146 Communications entre l'interface Web et Presentation Server...............146 Risques........................................................146 Recommandations...............................................147 Utilisation du Relais SSL Citrix.................................147 Activation de l'interface Web sur le serveur exécutant Presentation Server...................................148 Utilisation du protocole HTTPS.................................149 Communications entre la session cliente et Presentation Server..............150 Risques........................................................150 Recommandations...............................................151 Utilisation du protocole SSL/TLS ou du cryptage ICA...............151 Utiliser Secure Gateway.......................................151 Contrôle de la journalisation des diagnostics.............................152 Considérations générales relatives à la sécurité...........................152 Vérification de la configuration de votre serveur.......................152 Pour modifier le message par défaut «Bienvenue»....................153 Annexe A Annexe B Configuration de sites à l'aide du fichier de configuration Paramètres WebInterface.conf........................................156 Considérations relatives à l'agent Program Neighborhood..................172 Contenu du fichier config.xml.....................................172 Réglages dans le fichier WebInterface.conf...........................173 Exemples.........................................................174 Configuration des communications avec Presentation Server.............174 Configuration des communications du Relais SSL Citrix................175 Configuration de la prise en charge de Secure Gateway.................175 Réglages dans le fichier bootstrap.conf.................................176 Configuration de la prise en charge d'adfs pour l'interface Web Présentation.......................................................177 Qu'est-ce qu'adfs?.............................................177 Terminologie ADFS.............................................178 Fonctionnement des sites ADFS intégrés.............................179 Configurations logicielles requises.....................................181

10 Guide de l administration de l Interface Web Centre de documentation Avant la création de sites ADFS.......................................181 Création des relations entre les domaines.............................182 Configuration de la délégation pour les serveurs au sein de votre déploiement.......................................185 Configuration des serveurs pour la délégation contrainte..............188 Configuration d'une durée limite d'accès aux ressources..............188 Création de comptes fantômes.....................................189 Création de sites ADFS intégrés.......................................190 Configuration de votre site en tant qu'application ADFS...................191 Test de votre déploiement............................................192 Déconnexion des sites ADFS intégrés..................................192 Index.............................................................195

Centre de documentation CHAPITRE 1 Introduction Présentation Bienvenue sur l'interface Web. Ce chapitre vous présente la documentation et l'interface Web. Il comporte les sections suivantes : Utilisation de ce guide Introduction à l'interface Web Nouveautés de cette version Utilisation de ce guide Le Guide de l'administrateur de l Interface Web s'adresse aux administrateurs Citrix et aux administrateurs Web chargés de l'installation, de la configuration et de la gestion des sites, des services de l'agent Program Neighborhood et Participant invité de Conferencing Manager. Ce guide pratique décrit la marche à suivre pour configurer rapidement l'interface Web. Ce chapitre présente la documentation et l'interface Web, et décrit les nouveautés de cette version. Les chapitres suivants décrivent les procédures de déploiement et de configuration de l'interface Web. Ce guide suppose une connaissance de Citrix Presentation Server pour Windows ou de Citrix Presentation Server pour UNIX. Obtenir des informations complémentaires et de l'aide Cette section décrit comment obtenir des informations complémentaires sur l'interface Web et comment entrer en contact avec Citrix.

12 Guide de l administrateur de l Interface Web Centre de documentation Accéder à la documentation produit La documentation de l'interface Web comprend la documentation en ligne, des informations concernant les problèmes connus, une aide intégrée à l'écran et une aide à l'application comme suit. La documentation en ligne est fournie au format Adobe Portable Document Format (PDF). Vous pouvez accéder à l'ensemble des guides en ligne par le Centre de documentation. Veillez à bien lire le fichier Lisez-moi.htm dans le répertoire \Documentation du CD-ROM du produit avant d'installer l'interface Web ou lors de la résolution des problèmes. Ce fichier contient des informations importantes qui intègrent les mises à jours et les corrections de dernière minute de la documentation. Vous disposez de l'aide intégrée à l'écran en plusieurs endroits de l'interface utilisateur pour vous aider à effectuer les tâches. Ainsi, dans la console Access Management Console, vous pouvez placer votre souris sur un élément afin d'obtenir un texte d'assistance vous expliquant comment utiliser cette commande. Pour certaines tâches, une aide en ligne est disponible. Vous pouvez accéder à l'aide en ligne depuis le menu Aide ou depuis la touche Aide. Pour obtenir des informations concernant la terminologie en rapport avec Presentation Server, référez-vous au Glossaire de Citrix Presentation Server, disponible au niveau du Centre de documentation. Important Pour visualiser et imprimer la documentation PDF et y effectuer des recherches, vous devez posséder Adobe Acrobat Reader 5.0.5 équipé de la fonction Recherche ou les versions 6 ou 7. Vous pouvez télécharger gratuitement Acrobat Reader depuis le site Internet Adobe Systems à l'adresse http://www.adobe.com/. Pour faire part de vos commentaires concernant la documentation, rendez-vous sur le site Web www.citrix.com et cliquez sur Support > Knowledge Center > Product Documentation. Pour accéder au formulaire de commentaires, cliquez sur le lien Submit Documentation Feedback.

Centre de documentation Chapitre 1 Introduction 13 Accéder au Centre de documentation Le Centre de documentation fournit un point d'accès unique à toute la documentation et permet de consulter directement la section de la documentation qui vous intéresse. Il comprend également : une liste des tâches courantes, ainsi qu'un lien vers chaque section de la documentation ; une fonction de recherche couvrant l ensemble des guides PDF (particulièrement utile si vous devez consulter plusieurs guides) ; des références croisées entre documents, vous permettant de vous déplacer d'un document à l'autre aussi souvent que nécessaire à l'aide de liens vers d autres guides et de liens vers le Centre de documentation. Vous pouvez accéder au Centre de documentation depuis le CD-ROM du produit ou l'installer sur vos serveurs en utilisant le programme d'installation de Presentation Server. Pour lancer le Centre de documentation 1. Depuis le CD-ROM de votre produit, accédez au dossier \Documentation. -ou- Depuis un serveur sur lequel vous avez installé le Centre de documentation, sélectionnez Documentation depuis le groupe de programmes Citrix dans le menu Démarrage du serveur. 2. Ouvrez document_center.pdf. Le Centre de documentation apparaît. Si vous préférez accéder aux guides sans passer par le Centre de documentation, naviguez jusqu'aux fichiers PDF souhaités au moyen de l'explorateur Windows. Si vous préférez consulter une documentation imprimée, vous pouvez imprimer chaque guide à partir d'acrobat Reader.

14 Guide de l administrateur de l Interface Web Centre de documentation Conventions utilisées dans la documentation La documentation de Presentation Server emploie les conventions typographiques suivantes pour les menus, les commandes, les touches de clavier et les rubriques de l'interface du programme : Convention Gras Italique %SystemRoot% Espacement fixe Signification Commandes, nom des rubriques d'interface à savoir noms de menu, zones de texte, cases d'option ou à cocher, et zones de saisie au niveau des lignes de commande. Espaces réservés pour les informations ou les paramètres que vous fournissez. Par exemple, nomdefichier dans une procédure signifie que vous saisissez le nom réel du fichier. L'italique est également utilisé pour les nouveaux termes, le titre des livres, et les variables. Répertoire du système Windows, qui peut être WTSRV, WINNT, WINDOWS ou un autre nom que vous avez spécifié lorsque vous installez Windows. Exemple de texte d'un fichier texte. { accolades } Série d'éléments, dont l'un est requis dans les instructions de commande. Par exemple, { oui non } signifie que vous devez saisir oui ou non Ne saisissez pas les accolades. [ crochets ] Éléments optionnels dans les instructions de commande. Par exemple, [/ping] signifie que vous pouvez saisir /ping avec la commande. Ne saisissez pas les crochets. (barre verticale) Séparateur entre les éléments à l'intérieur d'accolades ou de crochets dans les instructions de commande. Par exemple, { /hold /release /delete } signifie que vous devez saisir /hold ou /release ou /delete. (points de suspension) Vous pouvez répéter l'élément ou les éléments précédent(s) dans les instructions de commande. Par exemple, /route :nomdemachine[, ] signifie que vous pouvez saisir des noms de machine supplémentaires séparés par des virgules. Conventions des lignes de commande UNIX Presentation Server pour les systèmes d'exploitation UNIX ainsi que certains autres composants s'exécutant sur des plateformes UNIX possèdent des interfaces de lignes de commande. Si vous ne connaissez pas bien les lignes de commande UNIX, veuillez noter que : le choix de la casse est important dans les commandes UNIX ; l'espacement dans la ligne de commande est important et doit être parfaitement conforme à ce qui est stipulé dans l'instruction.

Centre de documentation Chapitre 1 Introduction 15 Obtention de support et d'assistance Citrix fournit une assistance technique essentiellement via le réseau Citrix Solutions Network (CSN). Nos partenaires CSN sont formés et agréés pour fournir un niveau élevé d'assistance à notre clientèle. Contactez votre fournisseur pour le premier niveau d'assistance ou rechercher votre partenaire CSN le plus proche à l'adresse http://www.citrix.com/support/. En plus du programme CSN, Citrix offre de nombreux outils web d'assistance technique en libre service comprenant : le centre de connaissance Citrix (Knowledge Center), un outil interactif qui contient des milliers de solutions techniques pour l'assistance de votre environnement Citrix ; des forums d'assistance dans lesquels vous pouvez prendre part à des discussions techniques et rechercher des résolutions précédemment postées par d'autres membres du forum ; des logiciels à télécharger permettant d'accéder aux derniers service packs, corrections à chaud et utilitaires ; des clients à télécharger depuis :http://www.citrix.com/download/ Une autre source d'assistance, Citrix Preferred Support Services, fournit toute une gamme d'options vous permettant de personnaliser le niveau et le type d'assistance pour les produits Citrix de votre entreprise. Introduction à l'interface Web L'interface Web fournit aux utilisateurs un accès aux applications et au contenu de Presentation Server grâce à un navigateur Web standard ou via l'agent Program Neighborhood. Il permet également aux utilisateurs invités d'assister aux conférences de Conferencing Manager. L'Interface Web utilise les technologies Java et.net exécutées sur un serveur Web pour créer, de manière dynamique, une représentation HTML des batteries de serveurs pour les sites. Toutes les applications publiées dans la ou les batterie(s) que vous avez mis à disposition sont proposées aux utilisateurs. Vous pouvez créer des sites Web autonomes donnant accès à des applications ou des sites Web qui peuvent être intégrés au portail de votre entreprise. Par ailleurs, l'interface Web vous permet de configurer des paramètres pour les utilisateurs qui accèdent aux applications via l'agent Program Neighborhood, et de créer des sites pour les utilisateurs invités qui ouvrent des sessions sur Conferencing Manager.

16 Guide de l administrateur de l Interface Web Centre de documentation Vous pouvez configurer les sites de l'interface Web créés sur les plates-formes Windows et UNIX à l'aide de la console Access Management Console. La console Access Management Console peut uniquement être installée sur les plates-formes Windows. Pour plus d'informations sur l'utilisation de cet outil, veuillez consulter la section «Configuration de sites au moyen de la console», page 48. Vous pouvez également modifier le fichier de configuration (WebInterface.conf) afin de créer et de gérer les sites. Pour des informations complémentaires, veuillez consulter la section «Configuration de sites à l'aide du fichier de configuration», page 155. Par ailleurs, vous pouvez personnaliser et développer les sites. La rubrique de personnalisation de l'interface Web explique comment configurer des sites à l'aide de ces méthodes. Fonctionnalités de l'interface Web Cette section contient des informations sur les fonctionnalités de l'interface Web. Pour plus de détails concernant les spécifications logicielles de certaines fonctionnalités de l'interface Web, veuillez consulter la section «Configurations logicielles supplémentaires requises», page 29. Sites L'Interface Web propose des fonctionnalités permettant de créer et de gérer des sites. Les utilisateurs accèdent à des applications et à des contenus à distance et en streaming à l'aide d'un navigateur Web et d'un client. Sites Services de l'agent Program Neighborhood L'Agent Program Neighborhood est un client flexible et facile à configurer. En utilisant l'agent Program Neighborhood en liaison avec l'interface Web, vous pouvez intégrer des ressources publiées aux bureaux des utilisateurs. Les utilisateurs accèdent aux applications, aux bureaux et au contenu, à distance et en streaming, en cliquant sur des icônes situées sur leur bureau, dans le menu Démarrer, dans la zone de notification (ou une combinaison des trois). Vous pouvez déterminer les éventuelles options de configuration auxquelles les utilisateurs peuvent accéder pour les modifier, par exemple, les paramètres audio, d'affichage ou d'ouverture de session.

Centre de documentation Chapitre 1 Introduction 17 Sites Participant invité de Conferencing Manager L'Interface Web fournit aux participants invités un accès aux conférences Conferencing Manager via un navigateur Web standard. Un participant invité est une personne qui est invitée à participer à une conférence et qui ne dispose pas d'un nom de domaine Windows NT ou ne souhaite pas en utiliser un. Ces participants invités accèdent à la conférence via l'interface Web et utilisent une version verrouillée de l'application publiée Conferencing Manager. Ils sont soumis aux restrictions ci-dessous. Ils ne peuvent pas créer ou démarrer des conférences. Ils ne peuvent pas lancer des applications lors d'une conférence. Pour plus d'informations sur Conferencing Manager, consultez le Guide de l'administrateur Citrix Conferencing Manager. Fonctions de gestion Console Access Management Console. Vous pouvez utiliser la console Access Management Console pour effectuer rapidement et facilement les tâches administratives --quotidiennes. Par exemple, vous pouvez utiliser la console pour définir les paramètres que les utilisateurs peuvent sélectionner et pour configurer l'authentification des utilisateurs de l'interface Web. Votre configuration devient effective lorsque vous effectuez des modifications au moyen de la console. Prise en charge de la configuration centralisée. Vous pouvez stocker la configuration du site dans un endroit centralisé sur n'importe quel serveur exécutant le Service de Configuration. En général, il s'agit du serveur exécutant également le service XML Citrix. L'utilisation de la configuration centralisée vous permet de configurer un site depuis n'importe quel serveur de batterie exécutant la console Access Management Console. Gestion de plusieurs sites en tant que groupe. Vous pouvez grouper des sites pour en faciliter l'administration. Une configuration unique est stockée avec le service de configuration et appliquée à tous les sites du groupe. Prise en charge de plusieurs batteries de serveurs. Vous pouvez configurer plusieurs batteries de serveurs et permettre aux utilisateurs de visualiser les applications qui leur sont disponibles depuis toutes les batteries. Vous pouvez configurer chacune des batteries de serveurs au moyen de la tâche Gérer les batteries de serveurs. Pour des informations complémentaires, veuillez consulter la section «Configuration des communications avec Presentation Server», page 174.

18 Guide de l administrateur de l Interface Web Centre de documentation Compatibilité avec les technologies Web les plus répandues. L'API de l'interface Web est accessible à partir de ASP.NET de Microsoft et de JavaServer Pages de Sun Microsystems. Fonctionnalités d accès aux applications Prise en charge des serveurs sur des plates-formes UNIX. La prise en charge des batteries Presentation Server pour UNIX permet à l'interface Web d'afficher et de lancer des applications s'exécutant sur des plates-formes UNIX, sur les machines clientes de vos utilisateurs. Serveurs de sauvegarde. Vous pouvez configurer des serveurs de sauvegarde pour garantir aux utilisateurs l'accès à leurs applications, même en cas de défaillance d'un serveur. Prise en charge de Novell Directory Services (NDS). L'Interface Web permet une prise en charge de l'authentification NDS. Lorsque cette fonctionnalité est activée, la page Ouverture de Session de l'interface Web contient un champ de contexte. Vous pouvez également configurer l'interface Web de façon à permettre aux utilisateurs de rechercher leur nom d'utilisateur dans l'arborescence afin de déterminer dans quel contexte ils se situent. Prise en charge de Active Directory et de Nom d'utilisateur Principal (UPN). Tous les composants de l'interface Web sont compatibles avec Microsoft Active Directory. Les utilisateurs qui visitent les sites peuvent ouvrir une session sur les batteries de serveurs faisant partie d'un déploiement Active Directory et accéder de manière transparente aux applications publiées. Les pages d'ouverture de session sont compatibles avec l'utilisation des Noms d'utilisateurs Principaux par Active Directory. Utilisateurs anonymes. Cette fonctionnalité permet aux utilisateurs d'ouvrir une session sur les sites à l'aide d'un compte anonyme. Lancement de contenu publié. L'Interface Web prend en charge les fonctionnalités de publication de contenu de Presentation Server.

Centre de documentation Chapitre 1 Introduction 19 Fonctions de sécurité Prise en charge de SSL (Secure Socket Layer) / TLS (Transport Layer Security). L'Interface Web prend en charge SSL pour la sécurisation des communications entre le serveur exécutant l'interface Web et les batteries de serveurs. La mise en oeuvre de SSL sur votre serveur Web avec des navigateurs Web prenant en charge SSL permet d assurer la sécurité des flux de données sur votre réseau. L'Interface Web utilise le protocole de sécurité Schannel de Microsoft sur les plates-formes Windows pour les sites. Ce protocole utilise la méthode validée de cryptographie FIPS 140, qui est la norme requise par certaines organisations. Pour des informations supplémentaires sur la validation de la méthode FIPS 140, consultez le site Web du National Institute of Standards and Technology (NIST) à l adresse http://csrc.nist.gov/cryptval/. Prise en charge de Citrix Access Gateway. Access Gateway est un boîtier VPN (virtual private network) SSL (Secure Socket Layer) universel qui, lorsqu'il est utilisé avec l'interface Web, garantit un accès unique et sécurisé à toute ressource d'informations (données et voix). Access Gateway regroupe les meilleures fonctionnalités de Internet Protocol Security (IPSec) et du VPN SSL, en évitant la mise en oeuvre et la gestion lourdes et coûteuses ; il fonctionne à travers tous les pare-feu et prend en charge toutes les applications et tous les protocoles. Prise en charge de Secure Gateway pour Presentation Server. Secure Gateway, avec l'interface Web, offre un point d'accès unique, sécurisé et crypté aux serveurs sur vos réseaux d'entreprise internes via Internet. Secure Gateway simplifie la gestion des certificats, un certificat de serveur étant uniquement requis sur le serveur Secure Gateway, plutôt que sur chaque serveur de la batterie de serveurs. Tickets. Cette fonctionnalité renforce la sécurité de l'authentification. L'Interface Web obtient des tickets qui authentifient les utilisateurs auprès des applications publiées. Les tickets possèdent une date d expiration configurable et sont valides pour une seule ouverture de session. Après utilisation ou après expiration, un ticket est invalide et ne peut pas être utilisé pour accéder à des applications. L utilisation des tickets supprime l inclusion explicite d'informations d identification dans les fichiers ICA que l'interface Web utilise pour lancer les applications. Fonctions de déploiement de clients Installation des clients par le Web. Vous pouvez utiliser l'interface Web pour déployer les clients pour Windows sur n'importe quelle machine équipée d'un navigateur Web. Lorsqu'un utilisateur visite un site, le code d'installation des clients détecte le type de machine et de navigateur Web, et invite l utilisateur à installer le client approprié.

20 Guide de l administrateur de l Interface Web Centre de documentation Prise en charge de l'agent Program Neighborhood. L'Agent Program Neighborhood permet aux utilisateurs d accéder directement aux applications Presentation Server à partir de leur bureau Windows, sans avoir recours à un navigateur Web. L interface utilisateur de l Agent Program Neighborhood peut également être «verrouillée» pour éviter toute erreur de configuration par l utilisateur. Prise en charge de Citrix Streaming Client. Citrix Streaming Client permet aux utilisateurs de livrer des applications en streaming sur leur bureau et de les ouvrir localement. Vous pouvez soit installer le client de streaming avec l'agent Program Neighborhood afin de fournir la totalité des fonctionnalités de streaming d'application Citrix, soit n'installer que le client de streaming sur le bureau de l'utilisateur afin que celui-ci puisse accéder à des applications publiées grâce à un navigateur Web utilisant un site. Nouveautés de cette version L'Interface Web propose, dans cette version, les nouvelles fonctionnalités et améliorations suivantes : Prise en charge des stratégies de contrôle d'accès. L'interface Web permet une prise en charge des stratégies de contrôle d'accès, ce qui permet aux administrateurs de contrôler l'accès aux applications disponibles sur les ordinateurs exécutant Presentation Server par l'utilisation de stratégies et de filtres Advanced Access Control. Ceci permet l'utilisation de l'analyse de point de terminaison en tant que condition d'accès aux applications, accompagnée d'autres facteurs. Si vous souhaitez fournir un accès sécurisé aux ressources en utilisant l'option Advanced Access Control, vous devez fournir les détails d'access Gateway lors de la configuration des sites. Remarque La prise en charge de la stratégie de contrôle d'accès est uniquement disponible pour les sites et sur les plates-formes Windows. Messages d'avertissement d'expiration de mot de passe. Vous pouvez configurer des messages d'avertissement d'expiration de mot de passe pour qu'ils apparaissent aux utilisateurs pendant une période donnée avant que leur mot de passe de domaine n'expire. Les utilisateurs peuvent modifier leur mot de passe à tout moment au cours de cette période tout en continuant à pouvoir accéder à leurs ressources. Remarque Une prise en charge des messages d'avertissement d'expiration de mot de passe est disponible pour les sites uniquement.

Centre de documentation Chapitre 1 Introduction 21 Prise en charge du libre service de compte. L'intégration à Citrix Password Manager permet aux utilisateurs de redéfinir leur mot de passe réseau et de déverrouiller leur compte, sans faire appel à leur administrateur, en répondant à une série de simples questions de sécurité. Remarque Une prise en charge du libre service de compte est disponible pour les sites uniquement. Prise en charge de ADFS (Active Directory Federation Services ). ADFS est une fonctionnalité de Microsoft Windows Server 2003 R2 Enterprise Edition. ADFS fournit une technologie d'ouverture de session permettant d'authentifier un utilisateur sur plusieurs applications Web lors d'une seule session. La prise en charge ADFS pour l'interface Web permet au partenaire ressource d'un déploiement ADFS d'utiliser Presentation Server. Les administrateurs peuvent créer des sites ADFS intégrés pour fournir aux utilisateurs un accès aux applications publiées sur le partenaire ressource. Remarque La prise en charge ADFS est uniquement disponible pour les sites et sur les plates-formes Windows. Prise en charge de l'adresse URL d'application publiée. Cette fonctionnalité permet aux utilisateurs de créer des liens vers les applications publiées accessibles en utilisant l'interface Web. Ces liens peuvent être ajoutés à la liste de Favoris ou au bureau de l'utilisateur. Remarque Une prise en charge de l'adresse URL d'application publiée est disponible pour les sites uniquement. Prise en charge de la fonctionnalité de streaming d'application Citrix. Grâce à la fonctionnalité de streaming d'application Citrix, vous pouvez installer et configurer une application sur un serveur de fichiers et la mettre à la disposition de n'importe quel bureau, sur demande. Il est facile de mettre à jour ou de corriger une application, puisqu'il vous suffit de mettre à jour ou de corriger une application stockée en un seul endroit : sur le serveur de fichiers. L'intégration à l'interface Web permet aux utilisateurs un accès aux applications transmises en continu au moyen d'un navigateur Web ou de l'agent Program Neigborhood et de Citrix Streaming Client.

22 Guide de l administrateur de l Interface Web Centre de documentation Prise en charge des mises à jour des versions précédentes de l'interface Web. Cette fonctionnalité vous permet d'effectuer la mise à niveau automatiquement vers la version 3.0 ou une version ultérieure de l'interface Web. Les sites existants configurés localement sont mis à niveau lors de l'installation. Les sites existants configurés au niveau central sont mis à niveau à l'aide de la tâche Mettre la configuration à niveau dans la console Access Management Console. Remarque La prise en charge des mises à niveau depuis les versions précédentes de l'interface Web n'est effective que pour les plates-formes Windows. Alertes de la console Access Management Console. L'interface Web prend désormais en charge les alertes de la console Access Management Console. En cas de détection d'un problème, l'interface Web génère une alerte au niveau de la console Access Management Console. Les administrateurs doivent cliquer sur l'alerte au niveau de la console pour pouvoir accéder aux articles associés (Mes articles). Ces articles contiennent des informations détaillées sur un problème, sur ses causes possibles et ses solutions. Prise en charge des nouvelles fonctionnalités de Presentation Server. L'Interface Web offre une prise en charge des nouvelles fonctionnalités de Presentation Server, décrites ci-dessous. Adresses URL de secours de l'agent Program Neighborhood. Vous pouvez spécifier quelles sont les adresses URL de secours de l'agent Program Neighborhood. En cas de panne, les utilisateurs sont connectés à des sites de secours. Prise en charge améliorée de détection de proxy. Une nouvelle option dans la boîte de dialogue Modifier le proxy côté client permet de détecter automatiquement un serveur proxy pour vous éviter d'avoir à configurer le serveur proxy manuellement. Dans des environnements plus vastes; cette fonctionnalité vous fait économiser le temps de prise en charge de configurations incorrectes ou dynamiques.

Centre de documentation Chapitre 1 Introduction 23 Installation des clients non-administrateurs. Cette fonctionnalité permet aux utilisateurs de clients qui n'ont pas de droits d'accès d'administrateur sur un ordinateur à distance, comme dans un cyber café ou un kiosque, de pouvoir installer une version modifiée du client web. Le client est prêt à l'utilisation dans le fichier Ica32Pkg.msi avec un programme d'installation modifié. Il peut être téléchargé et installé localement sur toutes les plates-formes Windows afin de permettre aux utilisateurs un accès sécurisé à leurs applications sur le serveur. Client de l'interface utilisateur multilingue (MUI) pour Windows. Le pack d'installation Windows du client comprend une interface utilisateur multilingue, ce qui signifie qu'il installe automatiquement les clients dans toutes les langues prises en charge. Les packs spécifiques d'installation de langues, à partir de la version 10.0 des clients Windows, ne sont plus disponibles. Lors de l'installation du client, l'utilisateur choisit une langue : Anglais, Allemand, Français, Espagnol ou Japonais. L'interface utilisateur apparaît dans la langue sélectionnée. Composants de l'interface Web Un déploiement de l'interface Web implique l interaction de trois composants réseau : une ou plusieurs batteries de serveurs ; un serveur Web ; une machine cliente avec un navigateur Web et un client Citrix Presentation Server ou Citrix Streaming Server. Batteries de serveurs Une batterie de serveurs est un groupe de serveurs exécutant Presentation Server géré comme une seule entité. Une batterie de serveurs se compose de plusieurs serveurs fonctionnant ensemble pour mettre des applications à la disposition des utilisateurs du client Citrix Presentation Server. L une des fonctions standard importantes d une batterie de serveurs est la publication d applications. Il s'agit d'une tâche administrative permettant aux administrateurs de mettre des applications spécifiques hébergées par la batterie de serveurs à la disposition des utilisateurs. Lorsqu un administrateur publie une application à l'intention d'un groupe d utilisateurs, cette application devient un objet disponible auquel les clients peuvent se connecter et initier des sessions clientes.

24 Guide de l administrateur de l Interface Web Centre de documentation Program Neighborhood automatise le processus de configuration côté client en évitant aux administrateurs ou aux utilisateurs du client d avoir à parcourir le réseau à la recherche d applications publiées. L'utilisation de Program Neighborhood permet aux utilisateurs d ouvrir une session dans une batterie de serveurs et de recevoir une liste personnalisée des applications publiées pour leur nom d'utilisateur. Cette liste d'applications est appelée série d applications. Le serveur exécutant l'interface Web fonctionne comme une interface Program Neighborhood pour la connexion à une ou plusieurs batteries de serveurs. Le serveur exécutant l'interface Web interroge les batteries de serveurs pour obtenir les informations concernant les séries d applications puis formate les résultats dans des pages HTML que les utilisateurs peuvent visualiser à l aide de leur navigateur Web. Le serveur exécutant l'interface Web communique avec les batteries de serveurs via le service XML Citrix exécuté sur un ou plusieurs serveurs. Le service XML Citrix est un composant de Presentation Server qui fournit des informations sur des applications publiées aux clients et aux serveurs exécutant l'interface Web au moyen des protocoles TCP/IP et HTTP. Ce service constitue le point de contact entre la batterie de serveurs et le serveur exécutant l'interface Web. Le service XML Citrix est installé avec Presentation Server pour Windows et Presentation Server pour UNIX. Serveur Web Le serveur Web héberge l'interface Web. L'Interface Web fournit les prestations suivantes : authentification des utilisateurs auprès d une ou plusieurs batteries de serveurs ; récupération d'informations sur les applications (y compris, une liste des applications auxquelles les utilisateurs ont accès). Machine cliente Une machine cliente est un dispositif informatique capable d exécuter un client Citrix Presentation Server et un navigateur Web. Une machine cliente peut être, entre autres choses, un PC de bureau ou un ordinateur réseau. Sur une telle machine, le navigateur et le client servent respectivement de système de visualisation et de moteur. Le navigateur permet aux utilisateurs de visualiser des séries d applications (créées par des scripts côté -serveur sur le serveur exécutant l'interface Web), tandis que le client agit comme moteur de lancement des applications publiées.

Centre de documentation Chapitre 1 Introduction 25 L'Interface Web permet une installation client par le Web. L installation des clients par le Web est une méthode de déploiement des clients à partir d un site Web. Lorsqu'un utilisateur visite un site créé avec l'interface Web, le code d installation des clients par le Web détecte la machine et le navigateur Web invite l utilisateur à installer le client approprié. Si la machine cliente est une machine Windows, le programme d'installation des clients par le Web peut également détecter la présence ou l'absence de client installé et ne solliciter l utilisateur que si nécessaire. Pour plus d informations, veuillez consulter la section «Déploiement automatique des clients», page 115. L'Interface Web prend en charge de nombreuses combinaisons de navigateurs et de clients. Pour obtenir la liste complète des combinaisons de navigateurs et de clients pris en charge, consultez la section «Configuration requise pour la machine cliente Citrix Presentation Server», page 33. Fonctionnement de l'interface Web La section suivante décrit une interaction typique entre les batteries de serveurs, un serveur exécutant l'interface Web et une machine cliente. Le diagramme illustre un exemple d'interaction d'interface Web typique. Le navigateur installé sur la machine cliente envoie des informations au serveur Web, lequel communique avec la batterie de serveurs afin de permettre aux utilisateurs d'accéder à leurs applications. 1. Les utilisateurs de machines clientes se servent d'un navigateur Web pour visualiser la page Ouverture de session et saisir leurs informations d'identification. 2. Le serveur Web lit les références des utilisateurs et les communique au service XML Citrix sur les serveurs de la batterie de serveurs. Le serveur désigné sert d intermédiaire entre le serveur Web et les serveurs. 3. Le service XML Citrix du serveur désigné récupère ensuite une liste des applications depuis les serveurs auxquelles les utilisateurs peuvent accéder. Ces applications forment la série d applications de l utilisateur. Le service XML Citrix récupère cette série d'applications à partir du système IMA (Independent Management Architecture).

26 Guide de l administrateur de l Interface Web Centre de documentation Étape suivante Dans une batterie exécutant Presentation Server pour UNIX, le service XML Citrix du serveur désigné utilise les informations rassemblées à partir de l'explorateur ICA pour déterminer à quelles applications l utilisateur peut accéder. Le service XML Citrix transmet alors les informations relatives à la série d applications de l utilisateur à l'interface Web exécutées sur le serveur. 4. L utilisateur clique ensuite sur une icône d'application sur la page HTML, initiant ainsi l'action suivante. 5. Le service XML Citrix est contacté pour localiser le serveur le moins occupé de la batterie. Le service XML demande un ticket au serveur le moins occupé correspondant aux informations d'identification de l'utilisateur, Il renvoie l'adresse et le ticket du serveur le moins occupé à l'interface Web. 6. L'Interface Web génère un fichier ICA personnalisé et l'envoie au navigateur Web. 7. Le navigateur Web reçoit le fichier, puis le transmet à la machine cliente. 8. Le client reçoit le fichier et démarre une session cliente avec un serveur en fonction des informations de connexion du fichier. Pour obtenir plus d'informations concernant le système nécessaire, des instructions d installation de l'interface Web et de configuration du serveur exécutant l'interface Web, veuillez consulter la section «Déploiement de l'interface Web», page 27.

Centre de documentation CHAPITRE 2 Déploiement de l'interface Web Présentation Ce chapitre décrit l'installation de l'interface Web sur votre serveur et la configuration du serveur exécutant l'interface Web. Il comporte les sections suivantes : Configuration requise Installation de l'interface Web Résolution des problèmes liés à l'installation de l'interface Web Désinstallation de l'interface Web

28 Guide de l administrateur de l Interface Web Centre de documentation Configuration requise La section suivante décrit les configurations du serveur, du serveur Web et de la machine cliente requises pour l'interface Web. Configurations du serveur Pour exécuter l'interface Web, vos serveurs doivent disposer des éléments cidessous. Versions de Citrix Presentation Server prises en charge L'Interface Web requiert l une des plates-formes suivantes. Citrix Presentation Server 4.5 pour Windows Server 2003 ; Citrix Presentation Server 4.5 pour Windows Server 2003 R2 ; Citrix Presentation Server 4.5 pour Windows Server 2003 x64 Editions ; Citrix Presentation Server 4.0 pour Windows Server 2003 ; Citrix Presentation Server 4.0 pour Windows Server 2003 x64 Editions ; Citrix Presentation Server 4.0 pour Windows 2000 Server ; Citrix MetaFrame Presentation Server 3.0 pour Windows Server 2003 ; Citrix MetaFrame Presentation Server 3.0 pour Windows 2000 Server ; Citrix MetaFrame Presentation Server pour systèmes d'exploitation UNIX ; MetaFrame XP pour Windows, Service Pack 2 pour Terminal Services Edition ; MetaFrame XP pour Windows, Service Pack 3 pour Windows Server 2000 ; MetaFrame XP pour Windows, Service Pack 3 pour Windows Server 2003 ; MetaFrame pour Systèmes d'exploitation UNIX Version 1.2 L'Interface Web fonctionne avec ces versions de Presentation Server sur toutes les plates-formes prises en charge. Pour obtenir une liste des plates-formes prises en charge, veuillez consulter la documentation de Presentation Server appropriée. Citrix vous conseille d installer la dernière version du service pack sur votre système.

Centre de documentation Chapitre 2 Déploiement de l'interface Web 29 Access Management Console Pour gérer l'interface Web sur Windows, vous devez installer la console Access Management Console. Pour plus d'informations sur l'installation de la console, veuillez consulter le Guide de l'administrateur Citrix Presentation Server. Configurations logicielles supplémentaires requises Sans les Feature Releases, certaines nouvelles fonctionnalités ne sont pas disponibles. Par exemple, pour utiliser la fonction améliorée de publication de contenu avec l'interface Web, il vous faut installer MetaFrame XP pour Windows, Service Pack 2 et une licence Feature Release 2 sur tous les serveurs de la batterie. Le tableau suivant récapitule les configurations logicielles supplémentaires requises pour les fonctionnalités clé de l'interface Web. Fonctionnalité de l'interface Web Prise en charge des applications en streaming Configurations logicielles requises Citrix Presentation Server 4.5 Citrix Streaming Client Agent Program Neighborhood 10.0 Prise en charge d'adfs Citrix Presentation Server 4.5 Client pour Windows 32 bits 9.0 Prise en charge de la stratégie de contrôle d'accès Libre service de compte Citrix Presentation Server 4.2 Advanced Access Control pour Citrix Access Gateway Client pour Windows 32 bits 9.0 Citrix Password Manager Fiabilité de session Citrix Presentation Server 4.0 Client pour Windows 32 bits 9.0 Contrôle de l'espace de travail Connexion au Bureau à distance Tickets Authentification NDS MetaFrame Presentation Server 3.0 ou version ultérieure Client pour Windows 32 bits 8.0 MetaFrame Presentation Server 3.0 ou version ultérieure MetaFrame Presentation Server 3.0 ou version ultérieure MetaFrame XP 1.0 MetaFrame pour UNIX 1.2 Client pour Windows 32 bits 6.0 ou ultérieur MetaFrame Presentation Server 3.0 ou version ultérieure MetaFrame XP, Feature Release 1 Client pour Windows 32 bits 6.20 ou ultérieur

30 Guide de l administrateur de l Interface Web Centre de documentation Fonctionnalité de l'interface Web Adressage DNS Prise en charge des cartes à puce Fonctions améliorées de publication de contenu Prise en charge du parefeu côté serveur Prise en charge du parefeu côté client Équilibrage de charge Changement de mot de passe de l'utilisateur final Authentification unique Prise en charge de Secure Gateway Configurations logicielles requises MetaFrame Presentation Server 3.0 ou version ultérieure MetaFrame XP, Feature Release 1 MetaFrame pour UNIX 1.2 Client pour Windows 32 bits 6.20 ou ultérieur MetaFrame Presentation Server 3.0 ou version ultérieure MetaFrame XP, Feature Release 2 Client pour Windows 32 bits 6.30 ou ultérieur MetaFrame Presentation Server 3.0 ou version ultérieure MetaFrame XP, Feature Release 2 Client pour Windows 32 bits 6.20 ou ultérieur MetaFrame Presentation Server 3.0 ou version ultérieure MetaFrame XP 1.0 MetaFrame pour UNIX 1.2 Client pour Windows 32 bits 6.0 ou ultérieur pour SOCKS Client pour Windows 32 bits 6.30 ou ultérieur pour Secure Proxy MetaFrame Presentation Server 3.0 ou version ultérieure MetaFrame XP 1.0 MetaFrame pour UNIX 1.2 MetaFrame Presentation Server 3.0 ou version ultérieure MetaFrame XP, Feature Release 2 MetaFrame Presentation Server 3.0 ou version ultérieure MetaFrame XP, Feature Release 2 Client Program Neighborhood pour Win32 / Agent Program Neighborhood 6.20 complet ou version ultérieure MetaFrame Presentation Server 3.0 ou version ultérieure MetaFrame XP 1.0 MetaFrame pour UNIX 1.2 Client pour Windows 32 bits 6.20.986 ou ultérieur Configuration générale requise Les serveurs doivent appartenir à une batterie de serveurs. Les serveurs de la batterie doivent posséder des applications publiées. Pour plus d'informations sur l'appartenance à une batterie de serveurs et la publication d'applications dans une batterie de serveurs, veuillez consulter le Guide de l'administrateur Presentation Server.

Centre de documentation Chapitre 2 Déploiement de l'interface Web 31 Presentation Server pour serveurs UNIX doit également avoir des applications publiées. En outre, ces applications doivent être configurées en vue de leur utilisation avec l'interface Web. Pour plus de détails sur l installation du service XML Citrix pour UNIX et sur la configuration des applications publiées en vue de leur utilisation avec l'interface Web, veuillez consulter le Guide de l'administration Citrix Presentation Server pour UNIX. Configuration requise pour le serveur Web Vous avez besoin d'une copie des différents clients Citrix Presentation Server sur votre serveur afin de pouvoir assurer l'installation des clients par le Web. Veuillez consulter les sections «Configuration requise pour la machine cliente Citrix Presentation Server», page 33 pour plus d informations sur les versions des clients prises en charge et «Copie des fichiers d'installation d'un client sur le serveur Web», page 108 pour plus d'informations sur la copie des clients sur le serveur exécutant l'interface Web. Sur plates-formes Windows Vous pouvez utiliser l'interface Web sur les serveurs et plates-formes Windows suivants : Système d exploitation Serveur Web Logiciel Windows Server 2003 Windows Server 2003 x64 Editions Windows Server 2003 R2 Windows Server 2003 R2 x64 Editions Internet Information Services 6.0 Internet Information Services 6.0 en mode 32 bits Internet Information Services 6.0 Internet Information Services 6.0 en mode 32 bits.net Framework 2.0 Visual J#.NET 2.0 ASP.NET..NET Framework 2.0 Visual J#.NET 2.0 ASP.NET..NET Framework 2.0 Visual J#.NET 2.0.NET Framework 2.0 Visual J#.NET 2.0 ASP.NET.

32 Guide de l administrateur de l Interface Web Centre de documentation Sur les systèmes Windows Server 2003, vous devez configurer votre serveur afin d'ajouter le rôle de serveur d'application et d'installer IIS et ASP.NET (souscomposant de IIS). Si IIS n'est pas installé lorsque vous installez.net Framework 2.0, vous devez l'installer et réinstaller Framework, ou installer IIS et exécuter la commande aspnet_regiis.exe -i dans le répertoire WINDOWS\Microsoft.NET\Framework\v2.0.50727. Remarque Les fichiers redistribuables.net Framework et J# sont inclus dans le dossier Support du CD-ROM Serveur. Sur plates-formes UNIX Vous pouvez utiliser l'interface Web avec les configurations UNIX suivantes : Système d exploitation Red Hat Enterprise Edition Red Hat Enterprise Edition Serveur JDK Moteur de servlet Apache 2.x Sun 1.5.x Tomcat 5.5.x WebSphere Application Server 6.0.1.2 WebSphere Configuration requise pour l'utilisateur WebSphere Solaris 10 WebLogic Server 9.0 WebLogic WebLogic Solaris 10 Sun Java System Application Server Platform Edition 8.1 Sun 1.4.x Sun Java System Application Server Pour pouvoir ouvrir une session sur l'interface Web, les utilisateurs doivent associer les navigateurs aux systèmes d'exploitation appropriés et pris en charge, tel que décrit ci-dessous : Navigateur Système d exploitation Internet Explorer 6.x Windows XP ; Windows XP Professional x64 Edition ; Windows 2000, Service Pack 4 ; Windows 2003, Service Pack 1 ; Windows Fundamentals pour les PC d'ancienne génération

Centre de documentation Chapitre 2 Déploiement de l'interface Web 33 Navigateur Safari 2.0 Système d exploitation Mac OS X Firefox 1.x Windows XP ; Windows 2000, Service Pack ; Windows 2003 ; Red Hat Enterprise Edition ; Mac OS X Firefox 1.x Solaris 10 Configuration requise pour accéder aux applications livrées en streaming Les combinaisons navigateur-système d'exploitation prises en charge pour permettre aux utilisateurs d'accéder aux applications livrées en streaming sont les suivantes : Navigateur Système d exploitation Internet Explorer 6.x Windows XP ; Windows 2000, Service Pack 4 Firefox 1.x Windows XP ; Windows 2000, Service Pack 4 Configuration requise pour les ordinateurs de poche Vous pouvez exécuter l'interface Web avec les configurations de terminaux Windows et d'ordinateurs de poche suivantes : Machine Système d exploitation Navigateur HP ipaq hx2410 Windows Mobile 2003 Second Edition Pocket IE HP ipaq rx1950 Windows Mobile 2005 Pocket IE HP t5510 WincCE.NET 4.2 Internet Explorer 6.0 WYSE 3125se WincCE.NET 4.2 Internet Explorer 6.0 WYSE V30 WinCE 5.0 Internet Explorer 6.0 WYSE V90 Windows XPe, Service Pack 1 Internet Explorer 6.0 Configuration requise pour la machine cliente Citrix Presentation Server Pour pouvoir fonctionner avec l'interface Web, vos machines clientes doivent disposer d un client et d un navigateur Web pris en charge. Tous les clients fournis sur le CD-ROM des composants sont compatibles avec l'interface Web. Le CD-ROM des composants est fourni avec Citrix Presentation Server ; vous pouvez aussi télécharger des clients gratuitement à partir du site Web de Citrix.

34 Guide de l administrateur de l Interface Web Centre de documentation Nous vous conseillons de déployer les derniers clients auprès de vos utilisateurs afin qu'ils puissent tirer parti des fonctionnalités les plus récentes. Chaque client offre des fonctionnalités différentes. Pour des informations complémentaires sur les fonctionnalités prises en charge, reportez-vous au Guide de l'administrateur de ce client particulier. Installation de l'interface Web Cette section décrit la procédure d'installation de l'interface Web sur votre serveur. Elle comprend une présentation de la procédure d'installation, ainsi que des instructions permettant d'installer l'interface Web sur différents serveurs. Présentation de l'installation Pour installer l'interface Web, utilisez le CD-ROM Citrix Presentation Server. Si vous installez l'interface Web sur des plates-formes Windows exécutées en japonais, chinois simplifié, chinois traditionnel ou coréen, n'utilisez pas de nom d'utilisateur contenant des caractères à plusieurs octets lors de l'ouverture de session. Pour plus d'informations sur l'installation de la console Access Management Console, veuillez consulter le Guide de l'administrateur Citrix Presentation Server. Vous pouvez installer l'interface Web sur les plates-formes suivantes : Microsoft Internet Information Services (IIS) ; Tomcat, Sun ONE et WebSphere pour UNIX. Pour plus d informations sur l installation de l'interface Web, consultez la section «Installation de l'interface Web sur les plates-formes Windows», page 36 et la section «Installation de l'interface Web sur les plates-formes UNIX», page 37.

Centre de documentation Chapitre 2 Déploiement de l'interface Web 35 Considérations relatives à la sécurité Citrix vous conseille de suivre, comme pour tout serveur Windows, les instructions standard de Microsoft pour la configuration de votre serveur Windows. Affichage du port utilisé par le service XML Citrix Lors de la création du site Interface Web (Windows) ou de la génération du fichier.war (UNIX), vous êtes invité à indiquer le numéro de port sur lequel le service XML Citrix s'exécute. Le service Citrix XML constitue le lien de communication entre la batterie de serveurs et le serveur exécutant l'interface Web. Cette section explique comment afficher le numéro de port sur lequel le service XML Citrix s'exécute. Pour afficher le port utilisé par le service XML Citrix sur les plates-formes Windows 1. Sur le serveur d'une batterie, ouvrez la console Access Management Console. 2. Dans le panneau gauche, sélectionnez le nom du serveur. 3. Dans le menu Actions, cliquez sur Propriétés. 4. Sélectionnez Service XML pour afficher le port utilisé. Lors de l'installation de Presentation Server, si vous avez sélectionné l'option de partage du port TCP/IP d IIS (Internet Information Services) avec le service XML, la console Access Management Console affiche Le service XML pour ce serveur utilise le même port que IIS comme étant le port utilisé. Dans ce cas, pour déterminer le port du service XML Citrix, vous devez déterminer le port utilisé par le service d'administration IIS. Par défaut, le service d'administration utilise le port 80. Pour afficher le port utilisé par le service XML Citrix sur les plates-formes UNIX. Sur Presentation Server pour serveurs UNIX, tapez ctxnfusesrv -l à l'invite de commandes pour afficher les informations sur le port. Remarque Vous pouvez, si nécessaire, modifier le port utilisé sur le serveur. Pour plus d'informations, veuillez consulter le Guide de l'administrateur Citrix Presentation Server approprié.

36 Guide de l administrateur de l Interface Web Centre de documentation Installation de l'interface Web sur les platesformes Windows Avant d'installer l'interface Web, vous devez configurer votre serveur pour ajouter le rôle de serveur d'application et installer IIS et ASP.NET. Si vous mettez à niveau une version précédente de l'interface Web, le programme d'installation vous invite à sauvegarder vos sites existants avant de les mettre à niveau.. Remarque Sous IIS 6.0, exécutant Windows Server 2003, chaque site est attribué à un regroupement d'applications. La configuration du regroupement d'applications contient un paramètre déterminant le nombre maximal de processus d'exécution. Si vous changez la valeur par défaut de 1, il se peut que vous ne puissiez plus exécuter l'interface Web. Pour installer l'interface Web 1. Ouvrez une session en tant qu'administrateur. 2. Si vous installez l'interface Web à partir du CD-ROM Citrix Presentation Server, insérez le CD-ROM dans le lecteur de CD-ROM de votre serveur Web. Si vous avez récupéré l'interface Web sur un site de téléchargement, copiez le fichier WebInterface.exe sur votre serveur Web. Cliquez deux fois sur ce fichier. 3. Sélectionnez la langue de votre choix dans la liste. La langue du système d'exploitation que vous utilisez est détectée et affichée par défaut. Cliquez sur Suivant. 4. Dans la page Bienvenue, cliquez sur Suivant. 5. Dans la page Contrat de licence, sélectionnez J'accepte les termes du contrat de licence, puis cliquez sur Suivant. 6. Dans la page Composants communs, sélectionnez un emplacement pour l'installation des composants communs de l'interface Web (par défaut : C:\Program Files\Citrix\Web Interface). Cliquez sur Suivant. 7. Sur la page Clients, sélectionnez Installer les clients à partir du CD- ROM des composants. Cliquez sur Parcourir pour rechercher les fichiers d'installation des clients, dans l'image du CD-ROM ou du CD-ROM des composants.

Centre de documentation Chapitre 2 Déploiement de l'interface Web 37 Le programme d'installation copie le contenu du répertoire Clients du CD- ROM dans le répertoire Web Interface Clients ; il s'agit généralement du répertoire C:\Program Files\Citrix\Web Interface\4.5\Clients. Tous les sites Web créés par le processus d'installation supposent que le serveur Web contient les fichiers des clients dans cette structure de répertoires. Si vous ne souhaitez pas copier les clients sur le serveur Web lors de l'installation de l'interface Web, sélectionnez Ne pas installer les clients à partir du CD-ROM des composants. Vous pourrez ainsi copier les clients sur le serveur ultérieurement. 8. Cliquez sur Suivant pour poursuivre l'installation. 9. Une fois l'installation terminée, cliquez sur Terminer. 10. Ouvrez la console Access Management Console pour commencer à créer et à configurer vos sites. Après avoir installé l'interface Web, vous pouvez commencer à gérer vos sites en configurant et en exécutant le processus de découverte. Pour plus d'informations, veuillez consulter la section «Configuration et exécution du processus de découverte», page 48. Installation de l'interface Web sur les platesformes UNIX Cette section décrit comment installer l'interface Web sur Tomcat. Pour plus d'informations sur d'autres plates-formes UNIX, veuillez consulter la documentation de chaque plate-forme ainsi que la documentation qui accompagne l'outil d'administration de la plate-forme en question. Remarque Si vous installez l'interface Web sur WebSphere, un message d'avertissement concernant la sécurité de l'application s'affiche, indiquant qu'un problème s'est produit avec le contenu du fichier was.policy. Il s'agit d'un fichier de stratégie créé par WebSphere si vous sélectionnez Enforce Java 2 Security sous Security>Global Security. Assurez-vous de modifier le fichier was.policy en accord avec la stratégie de sécurité de WebSphere Java 2, sinon, il se peut que l'interface Web ne fonctionne pas correctement. Ce fichier de stratégie est situé dans WEBSPHERE_HOME/AppServer/installedApps/nom-du-nœud/ nom-du-fichier-war.ear/meta-inf.

38 Guide de l administrateur de l Interface Web Centre de documentation Pour fonctionner sur des plates-formes UNIX, l'interface Web nécessite un moteur de servlet. Le serveur Web Apache exige un moteur de servlet supplémentaire pour prendre en charge l'interface Web, comme Tomcat (notez que Tomcat peut être utilisé comme serveur Web autonome ou comme moteur de servlet). Pour installer l'interface Web sur Red Hat (Enterprise ou Fedora), assurez-vous que le pack sharutils est également installé car il est nécessaire pour l'utilitaire uudecode. Pour installer l'interface Web sur Tomcat 1. Copiez le fichier WebInterface.sh.gz disponible dans le répertoire de l'interface Web du CD-ROM des composants vers un emplacement temporaire. 2. Dans un shell UNIX, accédez au répertoire dans lequel le fichier d'installation a été téléchargé. Entrez gunzip WebInterface.sh.gz pour décompresser ce fichier. 3. Entrez sh WebInterface.sh pour exécuter le programme d'installation. 4. Appuyez sur Entrée pour lire le contrat de licence. 5. Appuyez sur Q pour fermer le contrat de licence. 6. Entrez Oui pour accepter les termes du contrat de licence. 7. Sélectionnez un type de site dans la liste affichée. 8. Indiquez si vous souhaitez utiliser une configuration locale (par exemple, WebInterface.conf) ou une configuration centralisée (Service de configuration). Si vous sélectionnez un fichier local, sélectionnez le type d'applications pour que les utilisateurs puissent accéder à la liste fournie et entrer le nom du serveur contenant les informations sur les applications. Le service XML doit être installé et exécuté sur ce serveur. Sélectionnez un protocole de service XML dans la liste affichée. Indiquez le port d'écoute du service XML. Si vous sélectionnez Service de configuration, indiquez le serveur (nom ou adresse IP) sur lequel le service de configuration est exécuté. Entrez le numéro du port XML du service de configuration. 9. Si vous créez un site Participant invité de Conferencing Manager, spécifiez l'emplacement du serveur ECS (External Conference Server) ainsi que le numéro de port. Sélectionnez Oui ou Non pour indiquer si le serveur est sécurisé via SSL.

Centre de documentation Chapitre 2 Déploiement de l'interface Web 39 Si vous créez un site ou Participant invité de Conferencing Manager, le programme d'installation propose de copier les fichiers clients du CD-ROM vers le fichier.war. 10. Entrez le chemin et le nom du fichier.war à créer. 11. Un récapitulatif s'affiche. Sélectionnez Oui si les informations affichées sont correctes. Le fichier.war est créé et les clients sont copiés à partir du CD-ROM, le cas échéant. 12. Suivez les instructions à l'écran afin de terminer l'installation du fichier.war. Configuration de Security Policy sur les serveurs Sun Java System Application Servers. Avant de pouvoir créer des sites configurés pour autoriser le libre service de compte ou des sites Participant invité de Conferencing Manager sur Sun Java System Application Server, vous devez configurer manuellement la stratégie de sécurité du serveur. Pour configurer la stratégie de sécurité sur les serveurs Sun Java System Application Servers 1. Déployez le fichier WAR du site sur le serveur. 2. Arrêtez le serveur. 3. Modifiez le fichier Server.policy qui se trouve dans le répertoire «Config» du domaine de déploiement. Par exemple, si Sun Java System Application Server est installé sous Racine SunJavaApplicationServer/AppServer et que le site est déployé dans domain1, le fichier se trouve dans Racine SunJavaApplicationServer/AppServer/ domains/domain1/config. 4. Ajoutez les entrées de configuration suivantes avant tout bloc générique : grant codebase "file:${com.sun.aas.instanceroot}/applications/ j2ee-modules/nomfichierwar/-" { permission java.lang.runtimepermission "getclassloader"; permission java.lang.runtimepermission "createclassloader"; permission java.util.propertypermission "java.protocol.handler.pkgs", "read, write"; }; NomFichierWAR est la première partie du nom de fichier du fichier WAR de votre site. Par exemple, CMGuest.

40 Guide de l administrateur de l Interface Web Centre de documentation 5. Modifiez le fichier.xml du dispositif de lancement dans Racine SunJavaApplicationServer/ApplicationServer/lib pour ajouter javax.wsdl à la liste des valeurs pour l'élément sysproperty key="com.sun.enterprise.overrideablejavaxpackages". 6. Démarrez le serveur. Installation à l'aide de la ligne de commande Vous pouvez lancer des tâches de gestion de sites et d'installation sans surveillance grâce à des scripts de ligne de commande. Pour plus d'informations sur l'utilisation de la ligne de commande avec l'interface Web, consultez le Centre de connaissances sur le site http://support.citrix.com. Utilisation des packs de langue Les packs de langue contiennent toutes les informations requises pour la localisation des sites dans une langue particulière (allemand, anglais, espagnol, français ou japonais), et notamment : les fichiers de ressources des sites ; l'aide en ligne ; toutes les icônes et images localisées. Après l'installation, il est possible d'ajouter des packs de langue dans le répertoire Fichiers communs de Windows ; pour ce faire, il suffit de copier l'arborescence ou de décompresser le fichier.zip à cet emplacement. Pour choisir une langue pour un site particulier, vous pouvez copier le pack de langue à l'emplacement du site et le modifier. Le site en question utilisera le pack de langue ainsi modifié alors que les autres sites continueront à utiliser les valeurs par défaut. Sous UNIX, vous pouvez installer des packs de langue supplémentaires ; pour ce faire, il vous faut les déplacer dans le répertoire approprié du site, et les extraire s'ils sont fournis dans des formats compressés (.zip par exemple). Le pack de langue anglaise est utilisé par défaut ; il doit toujours être présent sur votre serveur. Remarque Les packs de langue pour les versions 4.2 et antérieures de l'interface Web ne peuvent pas être utilisés avec la version 4.5 de l'interface Web.

Centre de documentation Chapitre 2 Déploiement de l'interface Web 41 Suppression des packs de langue Certains clients, tels que les machines Windows CE, ne peuvent pas afficher certaines langues (le japonais, par exemple). Dans ce cas, la liste déroulante de sélection de la langue figurant dans l'interface utilisateur affiche des carrés à la place des langues indisponibles. Pour éviter ce problème, vous pouvez supprimer une langue sur tous les sites ou sur certains d'entre eux seulement. Dans le cas de sites ASPX, supprimez le fichier CodeLangue.lang (par exemple, ja.lang) dans les fichiers communs. Ce fichier se trouve généralement dans le répertoire C:\Program Files\Citrix\Web Interface\4.5\languages. Vous supprimerez ainsi la langue de tous les sites du serveur. Si vous souhaitez activer cette langue pour un site particulier, déplacez le fichier.lang vers le dossier «languages» correspondant à ce site. Pour les sites JSP, après avoir créé un fichier WAR, ouvrez-le à l'aide d'un outil approprié, supprimez le fichier.lang et conditionnez-le à nouveau. Vous supprimez ainsi la langue des sites déployés à partir de ce fichier WAR. Déploiement de langues pour les utilisateurs Lorsque les utilisateurs ouvrent une session, le système détecte la langue envoyée par le navigateur. L'écran est affiché dans cette langue ou, si la langue de l'utilisateur n'est pas détectée ou identifiée, dans la langue par défaut du site. Les utilisateurs peuvent sélectionner une langue parmi celles disponibles (si plusieurs packs de langue sont disponibles) ; l'écran Ouverture de session se recharge alors dans la langue sélectionnée. Si le site est en mode Kiosque, la langue du navigateur de l'utilisateur est détectée à chaque nouvelle session. Si les utilisateurs ne visualisent pas normalement l'écran Ouverture de session (au cours d'une authentification silencieuse, par exemple), ils peuvent sélectionner une langue dans l'écran Préférences de présentation. Assurez-vous que les utilisateurs disposent d'une version correcte du Client Citrix Presentation Server, adaptée à la langue choisie. Lorsqu'un utilisateur lance une application au moyen d'un client incorporé, l'interface Web exécute l'une des opérations suivantes : lancement de la langue de l'utilisateur (si disponible sur le client) ; lancement de la langue par défaut du site (si disponible sur le client) ; affichage d'un message d'erreur indiquant qu'aucun client n'est disponible sur le serveur (ce message concerne également les clients Web).

42 Guide de l administrateur de l Interface Web Centre de documentation Étape suivante Mise à niveau d'une installation existante Vous pouvez mettre à niveau la version 3.0 ou ultérieure sur l'interface Web vers la dernière version, en installant l'interface Web à partir du CD-ROM ou des fichiers de téléchargement disponibles sur Internet. Vous ne pouvez pas passer de la version 4.5 de l'interface Web Citrix à une version antérieure. Une fois l'interface Web installée, vous devez permettre aux utilisateurs d'y accéder. Pour ce faire, vous devez créer et configurer des sites à l'aide de la console Access Management Console ou modifier le fichier de configuration WebInterface.conf directement. Par ailleurs, il peut être nécessaire de configurer l'interface Web en fonction des autres composants présents dans votre installation ou bien de personnaliser ou développer les fonctionnalités de l'interface Web. Pour plus d'informations sur la configuration de l'interface Web pour Access Gateway ou Secure Gateway à l'aide de la console Access Management Console, veuillez consulter la section «Configuration de la prise en charge de Secure Gateway», page 175. Pour plus d'informations sur la configuration de l'interface Web à l'aide de la console ou du fichier WebInterface.conf, veuillez consulter les sections «Configuration de sites au moyen de la console», page 48 ou «Configuration de sites à l'aide du fichier de configuration», page 155. Pour plus d'informations sur la configuration de l'interface Web pour l'utilisation de ADFS,veuillez consulter la section «Configuration de la prise en charge d'adfs pour l'interface Web», page 177. Pour plus d'informations sur la sécurité, veuillez consulter la section «Configuration de la sécurité de l'interface Web», page 137. Pour développer et personnaliser les fonctionnalités de l'interface Web, reportez-vous au guide Personnalisation de l'interface Web.

Centre de documentation Chapitre 2 Déploiement de l'interface Web 43 Résolution des problèmes liés à l'installation de l'interface Web Cette section décrit l'utilisation de l'option Réparer disponible sur les platesformes Windows, qui permet de résoudre les problèmes liés à l'installation de l'interface Web. Elle présente également les mesures à prendre si l'option Réparer n'est pas disponible ou ne permet pas de résoudre le problème. Elle contient également des informations sur la désactivation des messages d'erreur. Utilisation de l'option Réparer Si vous rencontrez des difficultés avec l'installation de votre Interface Web, essayez d utiliser l option Réparer pour résoudre le problème. L'option Réparer réinstalle les fichiers communs ; mais elle ne répare ou ne remplace pas les sites existant. Pour exécuter l option Réparer à partir du fichier.exe 1. Cliquez deux fois sur le fichier WebInterface.exe. 2. Sélectionnez Réparer, puis cliquez sur Suivant. 3. Suivez les instructions à l'écran. Remarque Si l'option Réparer ne permet pas de résoudre le problème, ou si cette option n'est pas disponible (par exemple, sur les plates-formes UNIX), essayez de désinstaller puis de réinstaller l'interface Web. Pour plus d'informations, consultez la section «Désinstallation de l'interface Web», page 44. Vous devez reconstituer tous vos sites après la réinstallation de l'interface Web. Désactivation des messages d'erreur Sur les plates-formes Windows, vous pouvez désactiver les messages d'erreur fournis avec l'interface Web et afficher vos propres messages d'erreur. Pour ce faire, modifiez le fichier web.config qui se trouve dans le répertoire racine du site. Remplacez la ligne suivante : <customerrors mode="on" defaultredirect="html/servererror.html" /> par : <customerrors mode="off" defaultredirect="html/servererror.html" />

44 Guide de l administrateur de l Interface Web Centre de documentation Désinstallation de l'interface Web Lorsque vous désinstallez l'interface Web, tous les fichiers de l'interface Web sont supprimés, y compris le répertoire Clients. Par conséquent, si vous souhaitez conserver des fichiers de l'interface Web, copiez-les à un autre emplacement avant de désinstaller l'interface Web. Dans certains cas, il est possible que la désinstallation de l'interface Web échoue pour l'une des raisons suivantes : le programme de désinstallation dispose d un accès insuffisant au Registre ; IIS a été supprimé du système après l installation de l'interface Web. Désinstallation de l'interface Web sur les platesformes Windows Pour désinstaller l'interface Web sur les plates-formes Windows 1. Utilisez l'option Ajout/Suppression de programmes disponible depuis Démarrer > Paramètres > Panneau de configuration. 2. Suivez les instructions à l'écran. Désinstallation de l'interface Web sur les platesformes UNIX Pour désinstaller l'interface Web de Tomcat 1. Recherchez le répertoire dans lequel vous aviez copié le fichier WAR. 2. Arrêtez votre serveur Web. 3. Entrez rm nom du fichier WAR. 4. Il peut également s'avérer nécessaire de supprimer les répertoires dans lesquels le fichier WAR a été développé. Le nom du répertoire est en principe identique au nom du fichier WAR. Par exemple, le contenu du fichier Citrix.war est copié dans un répertoire Citrix. Fichiers restants après désinstallation Lorsque vous désinstallez l'interface Web, certains fichiers restent sur le serveur. Pour plus de détails sur les fichiers restants, veuillez consulter le fichier Lisez-moi de Citrix Presentation Server.

Centre de documentation CHAPITRE 3 Démarrage de l'interface Web Présentation Ce chapitre explique comment configurer et personnaliser l'interface Web à l'aide de la console Access Management Console et du fichier de configuration de l'interface Web. Il comporte les sections suivantes. Choix de la méthode de configuration Choix de l'emplacement de stockage de la configuration de votre site Configuration de sites au moyen de la console Configuration et exécution du processus de découverte Mise à niveau des sites existants Création de sites Définition des paramètres de configuration initiale d'un site Utilisation des tâches de site Rendre l'interface Web accessible aux utilisateurs

46 Guide de l administrateur de l Interface Web Centre de documentation Choix de la méthode de configuration Vous pouvez configurer et personnaliser l'interface Web en utilisant soit la console Access Management Console soit les fichiers de configuration. Access Management Console La console Access Management Console vous permet d'effectuer rapidement et facilement les tâches d'administration quotidiennes. Par exemple, vous pouvez utiliser la console pour définir les paramètres que les utilisateurs peuvent sélectionner et pour configurer l'authentification des utilisateurs de l'interface Web. Votre configuration devient effective lorsque vous effectuez des modifications à l'aide de la console. Vous pouvez configurer les sites créés sous les plates-formes Windows et UNIX à l'aide de la console Access Management Console. Vous pouvez installer la console Access Management Console sur les machines qui exécutent : Windows 2003, Service Pack 1 ; Windows Server 2003 R2 Windows XP Professional, Service Pack 2 ; Windows 2000 Professional, Service Pack 4. Remarque installé. Vous devez également vous assurer que.net Framework 2.0 est Pour plus d informations sur la configuration de l Interface Web à l aide de la console, veuillez consulter la section «Configuration de sites au moyen de la console», page 48 ainsi que l'aide en ligne de la console Access Management Console. Fichiers de configuration Vous pouvez utiliser les fichiers de configuration suivants : Fichier WebInterface.conf. Le fichier WebInterface.conf vous permettant de modifier un grand nombre des propriétés de l'interface Web est disponible à la fois sur les plates-formes Windows et UNIX. Servez-vous en pour effectuer les tâches d'administration quotidiennes et personnaliser de nombreux autres paramètres.

Centre de documentation Chapitre 3 Démarrage de l'interface Web 47 Modifiez les valeurs dans le fichier WebInterface.conf et sauvegardez le fichier mis à jour pour appliquer les modifications. Remarque Il est possible, sur les plates-formes UNIX, que vous ayez besoin d'arrêter et de redémarrer le serveur exécutant l'interface Web pour que les modifications soient prises en compte. Pour plus d'informations sur la configuration de l'interface Web à l'aide du fichier WebInterface.conf, veuillez consulter la section «Configuration de sites à l'aide du fichier de configuration», page 155. Fichier de configuration de l'agent Program Neighborhood. Vous pouvez configurer l'agent Program Neighborhood à l'aide du fichier config.xml situé sur le serveur exécutant l'interface Web. Choix de l'emplacement de stockage de la configuration de votre site L'Interface Web permet une prise en charge du stockage de la configuration de site à deux emplacements : Fichiers locaux. Si vous utilisez des fichiers locaux, la configuration de site est stockée dans un fichier sur le serveur exécutant l'interface Web. Si vous utilisez la console Access Management Console pour la gestion de site, vous devez installer la console sur le serveur exécutant l'interface Web. Dans ce guide, nous nous référons aux sites qui stockent leurs données de configuration dans des fichiers locaux sous forme de sites configurés localement. Remarque Sur les plates-formes UNIX, vous gérez les sites configurés localement en modifiant le fichier WebInterface.conf. Serveur(s) exécutant le Service de Configuration. Le Service de Configuration fournit un mécanisme de récupération et de persistance des données de configuration de site. Si vous utilisez le Service de Configuration, la configuration de site est stockée à un emplacement centralisé sur le serveur d'une batterie exécutant Presentation Server. L'utilisation de la configuration centralisée vous permet de configurer un site depuis n'importe quel serveur de batterie exécutant la console Access Management Console. Cela vous permet également de regrouper les sites et de les configurer comme une seule entité.

48 Guide de l administrateur de l Interface Web Centre de documentation Dans ce document, nous nous référons à des sites utilisant cet emplacement de configuration comme des sites utilisant la configuration centralisée. Configuration de sites au moyen de la console Grâce à la console Access Management Console, vous pouvez créer et configurer des sites, Services de l'agent Program Neighborhood et Participant invité de Conferencing Manager. Elle permet également de manipuler rapidement et facilement un grand nombre de paramètres. Lorsque vous utilisez la console, certains paramètres de l'interface Web peuvent être désactivés si leur valeur ne s'applique pas à la configuration actuelle et si la valeur par défaut des paramètres de WebInterface.conf correspondants est rétablie. Citrix recommande de sauvegarder régulièrement les fichiers WebInterface.conf et config.xml de vos sites. Obtention de l'aide Pour afficher l'aide en ligne de l'interface Web, vous pouvez appuyer sur F1 ou cliquer avec le bouton droit de la souris sur un nœud de l'arborescence contextuelle et sélectionner Aide. Démarrage de la console Access Management Console Exécutez la console depuis Programmes > Citrix > Consoles de gestion> Access Management Console. Pour plus d'informations sur la console Access Management Console, veuillez consulter le Guide de l'administrateur Citrix Presentation Server. Configuration et exécution du processus de découverte Pour administrer l'interface Web au moyen de la console Access Management Console, vous devez exécuter la tâche de découverte sur la console. L'exécution du processus de découverte établit des connexions avec vos batteries de serveurs. En ouvrant la console pour la première fois, vous êtes automatiquement invité à démarrer le processus de découverte : sélection des composants de votre choix, configuration du processus de découverte et recherche des éléments à gérer.

Centre de documentation Chapitre 3 Démarrage de l'interface Web 49 Pour utiliser l'assistant Configurer et exécuter la découverte, vous pouvez procéder comme suit. Précisez dans quels produits vous souhaitez que le processus de découverte recherche de nouveaux éléments. Indiquez si vous souhaitez récupérer la configuration centralisée des sites installés sur votre ordinateur. Modifiez les détails des serveurs exécutant le service de Configuration. Précisez les détails des batteries exécutant Presentation Server. Exécutez ensuite le processus de découverte seulement si vous souhaitez découvrir un nouveau produit ou si des éléments ont été ajoutés ou supprimés dans votre déploiement. Pour configurer et exécuter le processus de découverte 1. Dans le menu Démarrer, cliquez sur Programmes > Citrix > Consoles de gestion> Access Management Console. 2. Dans la page Configurer et exécuter la découverte, cliquez sur Oui. Si cette page ne s'affiche pas automatiquement, cliquez sur la tâche Configurer et exécuter la découverte. 3. Cliquez sur Suivant. 4. Dans la page Serveurs de configuration, choisissez l'une des options suivantes : Si vous souhaitez créer des sites dont la configuration est stockée dans des fichiers locaux ou si les serveurs exécutant le Service de Configuration sont derrière un pare-feu, cliquez sur Ne pas contacter les serveurs de configuration. Remarque Seules les tâches de site local sont disponibles. Si vous souhaitez créer des sites dont la configuration est stockée à un emplacement centralisé sur des serveurs exécutant le Service de Configuration, cliquez sur Contacter les serveurs suivants exécutant le service de configuration, puis sur Ajouter pour entrer le nom d'un serveur. 5. Cliquez sur Suivant. 6. Cliquez sur Terminer.

50 Guide de l administrateur de l Interface Web Centre de documentation Après avoir exécuté le processus de découverte pour la connexion à une batterie de serveurs, vous pouvez utiliser la console Access Management Console pour créer des sites. Remarque Vous pouvez créer des sites uniquement à l'aide de la console Access Management Console installée sur le serveur exécutant l'interface Web. Une fois le processus de découverte terminé, les sites existants sont affichés audessous du nœud Interface Web dans l'arborescence de la console ; vous êtes alors prêt à créer de nouveaux sites et à administrer les sites existants. Mise à niveau des sites existants Si vous mettez à niveau une version précédente de votre installation, l'interface Web permet désormais une prise en charge de la mise à niveau des sites existants : Sites configurés localement. Lors de l'installation, le processus d'installation de l'interface Web met automatiquement à niveau la dernière version des sites configurés localement. Une fois le processus de découverte exécuté, les sites sont immédiatement disponibles. Sites configurés de manière centralisée. La mise à niveau des sites configurés de manière centralisée se déroule en deux étapes. Lors de l'installation, le processus d'installation de l'interface Web met à niveau les fichiers de chaque site configuré de manière centralisée. Après avoir exécuté le processus de découverte, vous devez mettre à niveau les informations de configuration des sites configurés de manière centralisée en utilisant la tâche Mettre la configuration à niveau de la console. Important Les sites configurés de manière centralisée sont inopérants jusqu'à ce que vous ayez terminé la mise à niveau à l'aide de la tâche Mettre la configuration à niveau. En effet, les informations de configuration de ces sites ne sont pas disponibles lorsque l'interface Web les demande.

Centre de documentation Chapitre 3 Démarrage de l'interface Web 51 Mise à niveau des sites configurés de manière centralisée Lors de l'installation, l'interface Web remplace les fichiers des sites configurés de manière centralisée déjà existants par les versions les plus récentes et contacte le serveur de configuration centrale pour enregistrer à nouveau chaque site à la dernière version. À la fin du processus d'installation, le service de configuration contient deux versions des sites configurés de manière centralisée : un site à la version 4.x existant avec une configuration valide et un nouveau site à la version 4.5 qui ne possède aucune configuration. Pour terminer la mise à niveau des sites configurés de manière centralisée, exécutez la tâche Mettre la configuration à niveau. Vous pouvez mettre à niveau tous les sites, groupes de sites ou sites individuels. Pour mettre à niveau tous les sites configurés de manière centralisée 1. Dans le volet gauche de la console, sélectionnez Interface Web. 2. Cliquez sur la tâche Mettre la configuration à niveau. 3. Sélectionnez les sites ou groupes de sites que vous souhaitez mettre à niveau, puis cliquez sur Mettre à niveau. 4. Cliquez sur Oui pour confirmer que vous souhaitez mettre à niveau les sites ou groupes sélectionnés. Pour mettre à niveau des sites individuels ou des groupes de sites 1. Dans le volet gauche de la console, sélectionnez le site ou le groupe. 2. Cliquez sur la tâche Mettre la configuration à niveau. 3. Cliquez sur Mettre à niveau. 4. Cliquez sur Oui pour confirmer que vous souhaitez mettre à niveau les sites ou groupes sélectionnés. Mise à niveau de groupes de sites Pour les sites regroupés dans la console Access Management Console, une seule configuration est stockée avec le service de configuration et appliquée à tous les sites du groupe. Vous ne pouvez mettre à niveau qu'une configuration de groupe, après que le programme d'installation de l'interface Web ait mis à niveau les fichiers de tous les sites. Les sites d'un groupe peuvent exister sur plusieurs serveurs. Après l'installation, l'une des situations suivantes peut se produire : tous les sites d'un groupe ont leurs fichiers mis à niveau ; certains sites d'un groupe ont leurs fichiers mis à niveau.

52 Guide de l administrateur de l Interface Web Centre de documentation Tous les sites d'un groupe ont leurs fichiers mis à niveau Si les fichiers de tous les sites d'un groupe sont mis à niveau lors de l'installation, vous pouvez mettre à niveau la configuration du groupe après avoir exécuté le processus de découverte. Une alerte de site ou de groupe mis à jour s'affiche sur la console et la tâche Mettre la configuration à niveau est disponible pour le nœud du groupe. Certains sites d'un groupe ont leurs fichiers mis à niveau Si les fichiers de certains sites d'un groupe sont mis à niveau lors de l'installation, une alerte de site ou de groupe mal configuré s'affiche au niveau de la console. Les sites dont les fichiers sont mis à niveau sont inopérants jusqu'à ce que vous terminiez la mise à niveau, les informations de configuration n'étant pas disponibles lorsque l'interface Web les demande. Les sites dont les fichiers ne sont pas mis à niveau lors de l'installation fonctionnent normalement. Vous pouvez terminer le processus de mise à niveau de la manière suivante : en exécutant le programme d'installation de l'interface Web et en mettant à niveau les fichiers des sites restants ; en supprimant du groupe les sites dont les fichiers ne sont pas mis à niveau. Suppression des sites mal configurés Si plus de deux versions enregistrées existent pour un site configuré de manière centralisée, une alerte de site ou de groupe mal configuré s'affiche sur la console. Exécutez la tâche Nettoyer la configuration pour supprimer les versions des sites indésirables. Un site est considéré comme mal configuré lorsque : il est enregistré sous une version ultérieure que celle connue dans la console Access Management Console ; il est mis à niveau à une certaine version, puis remis à niveau à une version ultérieure sans avoir terminé la première mise à niveau en exécutant la console Access Management Console. Trois versions de ce site sont enregistrées avec le serveur de configuration centralisée ; il est enregistré avec plusieurs batteries, suite à la modification manuelle de ses fichiers de configuration. Pour supprimer des sites mal configurés 1. Cliquez sur la tâche Nettoyer la configuration. 2. Sélectionnez Sites mal configurés dans la liste Affichage. 3. Sélectionnez les versions des sites que vous souhaitez supprimer, puis cliquez sur Supprimer.

Centre de documentation Chapitre 3 Démarrage de l'interface Web 53 Création de sites 4. Cliquez sur Oui pour confirmer que vous souhaitez supprimer les sites ou groupes sélectionnés. Après avoir exécuté le processus de découverte, vous pouvez créer des sites afin de fournir aux utilisateurs un accès aux applications publiées à l'aide d'un navigateur Web ou de l'agent Program Neighborhood et permettre aux utilisateurs invités d'assister aux conférences Conferencing Manager. Création de sites sur des serveurs Web Windows Utilisez la tâche Créer un site dans la console Access Management Console pour créer l'un des sites suivants. : pour les utilisateurs qui accèdent aux applications à l'aide de l'interface Web ; Services de l'agent Program Neighborhood : pour les utilisateurs qui accèdent aux applications à l'aide de l'agent Program Neighborhood ; Participant invité de Conferencing Manager : pour les utilisateurs qui ouvrent des sessions de conférences en qualité de participants invités. Utilisez cette tâche pour indiquer le site IIS, l'adresse URL d'application des modifications, la source de configuration et les paramètres d'authentification du site. Vous pouvez mettre à jour ces options plus tard à l'aide de Tâches du site local. Pour pouvoir créer des sites, vous devez être un administrateur local sur le système exécutant la console Access Management Console. Remarque Si vous utilisez une configuration centralisée, il vous est impossible d'indiquer des serveurs de configuration provenant de plusieurs batteries. Vous ne pouvez obtenir la configuration de site qu'à partir de serveurs provenant de la même batterie. Cependant, différents sites peuvent utiliser des serveurs de plusieurs batteries. Pour créer un site 1. Cliquez sur Interface Web dans l'arborescence de la console. 2. Cliquez sur la tâche Créer un site. 3. Sélectionnez le type de site à créer. 4. Suivez les instructions affichées à l'écran pour créer le site. 5. Cliquez sur Terminer.

54 Guide de l administrateur de l Interface Web Centre de documentation Création de sites sur des serveurs Web UNIX Sous UNIX, un script de pré-installation est exécuté avant la création d'un site. Ce script génère un fichier WAR personnalisé pour le site qu'il faut ensuite installer (en plaçant ce fichier à un emplacement adéquat pour le moteur de servlet). Il requiert l'utilitaire uudecode et Java. Vous pouvez modifier des sites en éditant le contenu du fichier WAR décompressé, ou en retirer en supprimant le fichier WAR. Spécification de la Source de Configuration d'un Site Vous pouvez stocker la configuration dans des fichiers locaux ou à un emplacement de configuration centralisée sur un serveur exécutant le service de configuration. En général, il s'agit également du serveur exécutant le service XML. Vous pouvez modifier la source de configuration d'un site. Si vous passez à une configuration locale, la configuration existante est récupérée à partir de l'emplacement de la configuration centralisée et ajoutée au nouveau fichier local en conséquence. Pour plus d'informations sur la spécification des sources de configuration de site dans la console Access Management Console, consultez la section «Utilisation des tâches de site local», page 62. Vous pouvez également importer des fichiers de configuration existants afin de les utiliser avec un site sélectionné et exporter des fichiers de configuration à utiliser avec d'autres sites. Pour des informations complémentaires, consultez la section «Importation et exportation de fichiers de configuration», page 54. Sous UNIX, le script de pré-installation ne peut pas créer de sites à l'aide des fichiers de configuration locaux basés sur des configurations de site existantes. Sous Windows, si vous sélectionnez la configuration centralisée lors de l'installation d'un site, celui-ci est automatiquement enregistré auprès du service de configuration après l'installation. Sous UNIX, le site est enregistré au cours du premier chargement de page, une fois qu'il a été déployé dans un moteur de servlet. Importation et exportation de fichiers de configuration Vous pouvez importer des fichiers de configuration existants afin de les utiliser avec un site sélectionné et exporter des fichiers de configuration à utiliser avec d'autres sites. Pour ce faire, utilisez les tâches Importer la configuration et Exporter la configuration.

Centre de documentation Chapitre 3 Démarrage de l'interface Web 55 Définition des paramètres d'authentification Lors de la création d'un site, vous pouvez spécifier si les utilisateurs accèdent à ce site à l'aide de l'authentification incorporée, d'advanced Access Control ou ADFS. Sélectionner ADFS permet au partenaire ressource d'un déploiement ADFS d'utiliser Presentation Server. Cela permet aux administrateurs de fournir aux utilisateurs un accès aux publications publiées sur le partenaire ressource. Si vous envisagez de créer des sites ADFS incorporés, vous devez tenir compte de ce qui suit : La prise en charge d'adfs n'est pas disponible sur les plates-formes UNIX. Le sites ADFS incoporés prennent en charge l'authentification à l'aide d'adfs uniquement. D'autres méthodes d'authentification ne sont pas prises en charge. Après la création d'un site ADFS incorporé, vous ne pouvez pas configurer le site pour utiliser l'authentification incorporée ou Advanced Access Control à la place d'adfs. Pour des informations complémentaires, consultez la section «Configuration de la prise en charge d'adfs pour l'interface Web», page 177. Définition des paramètres de configuration initiale d'un site Après avoir créé un site, vous pouvez définir les paramètres de configuration initiale en cochant la case Configurer ce site maintenant sur la page finale de l'assistant Créer un site. Utilisez cet assistant pour configurer la communication avec une ou plusieurs batteries de serveurs, définissez les types d'applications disponibles pour les utilisateurs et configurez l'accès des utilisateurs à un site. Si vous créez un site Participant invité de Conferencing Manager, utilisez cette tâche pour définir l'adresse URL du Service de conférence externe. Remarque Vous pouvez également exécuter à tout moment la tâche Spécifier la configuration initiale dans la console pour les sites configurés de manière centralisée. Pour plus d'informations sur la configuration de la communication avec les batteries de serveurs, veuillez consulter le chapitre 4, «Gestion des serveurs et des batteries»..

56 Guide de l administrateur de l Interface Web Centre de documentation Définition des types d'applications disponibles pour les utilisateurs L'interface Web offre aux utilisateurs un accès aux applications et au contenu grâce à un navigateur Web standard ou à l'aide de l'agent Program Neighborhood. L'intégration à la fonction de streaming d'application Citrix permet aux utilisateurs de livrer des applications en streaming sur leur bureau et de les lancer localement. Vous pouvez attribuer aux utilisateurs les accès suivants aux applications : distant : les utilisateurs accèdent aux applications publiées installées sur un serveur distant ; streaming : les utilisateurs livrent les applications en streaming sur leur bureau et les lancent localement ; livrées en streaming en mode double : les utilisateurs livrent des applications en streaming sur leur bureau et les lancent localement ou effectuent leur virtualisation depuis Presentation Server. Si les applications livrées en streaming ne sont pas disponibles, des versions distantes sont lancées. Vous pouvez à tout moment mettre à jour ces paramètres à l'aide de la tâche Gérer les types d'applications. Configuration de l'accès des utilisateurs au site Les utilisateurs peuvent directement accéder à un site, à l'aide de l'adresse URL de l'interface Web ou d'advanced Access Control. Accès direct à un site Si un utilisateur accède directement à un site, vous pouvez activer la prise en charge de l'adresse URL d'application publiée. Cette fonctionnalité permet aux utilisateurs de créer des liens persistants vers les applications publiées accessibles par l'interface Web. Ces liens peuvent être ajoutés à la liste Favoris ou sur le bureau de l'utilisateur. Vous pouvez activer la prise en charge de l'adresse URL d'application publiée en cochant la case Autoriser le démarrage des applications à l'aide des signets. Accès à un site avec Advanced Access Control L'utilisation d'advanced Access Control en tant que méthode d'accès contrôle l'accès des utilisateurs aux ressources par l'utilisation de filtres et de stratégies de contrôle d'accès. Ceci permet l'utilisation de l'analyse de point de terminaison comme condition d'accès aux applications, accompagnée d'autres facteurs.

Centre de documentation Chapitre 3 Démarrage de l'interface Web 57 Par défaut, l'authentification unique est activée pour les utilisateurs qui accèdent à l'interface Web à l'aide d'advanced Access Control. Les utilisateurs ouvrent une session à l'aide d'advanced Access Control et ne doivent pas s'authentifier à nouveau sur l'interface Web pour accéder à leurs applications. Pour accroître la sécurité, vous pouvez désactiver l'authentification unique en cochant la case Inviter les utilisateurs à entrer les mots de passe avant d'afficher la liste d'applications. Vous pouvez à tout moment mettre à jour ces paramètres à l'aide de la tâche Gérer la méthode d'accès. Remarque La prise en charge d'advanced Access Control n'est pas disponible sur les plates-formes UNIX. Déploiement recommandé pour Advanced Access Control Le déploiement recommandé pour l'utilisation d'advanced Access Control avec l'interface Web est illustré ci-dessous. Ce diagramme illustre le déploiement recommandé pour l'utilisation d'advanced Access Control avec l'interface Web.

58 Guide de l administrateur de l Interface Web Centre de documentation Dans ce déploiement, Presentation Server, l'interface Web et Advanced Access Control sont tous installés sur les serveurs dans le réseau interne. Access Gateway est installé dans la zone DMZ. Lorsque vous installez Advanced Access Control, un exemple de l'agent d'ouverture de session est également installé. L'Agent d'ouverture de session fournit l'interface utilisateur pour l'ouverture de session sur un serveur de votre batterie de serveurs. Lorsqu'un utilisateur ouvre une session, il est identifié par Access Gateway et dirigé vers les ressources soumises aux stratégies d'accès configurées dans Advanced Access Control. Mise à disposition des ressources auprès des utilisateurs Grâce à Advanced Access Control, les utilisateurs ouvrent une session sur un point d'ouverture de session pour accéder à leurs ressources. Pour rendre les ressources accessibles aux utilisateurs, configurez un point d'ouverture de session pour fournir un accès à un site. Advanced Access Control fournit plusieurs méthodes d'intégration des sites créés avec l'interface Web, parmi lesquels : Site incorporé dans la page de navigation par défaut. Lorsque la page de navigation est sélectionnée comme page d'accueil par défaut, un site est affiché à côté des partages de fichiers, des centres d'accès et des applications Web. Remarque Cette option est disponible seulement si vous exécutez Citrix Access Gateway 4.2 avec Advanced Access Control. Site configuré comme page d'accueil par défaut pour un point d'ouverture de session. Après avoir ouvert leur session, le site Access Platform est présenté aux utilisateurs. Remarque Cette option est disponible uniquement si vous exécutez Access Gateway Enterprise 4.0 avec la correction à chaud Access Gateway Enterprise AAC400W001 appliquée ou Citrix Access Gateway 4.2 avec Advanced Access Control.

Centre de documentation Chapitre 3 Démarrage de l'interface Web 59 Pour intégrer un site Procédez comme suit dans Advanced Access Control. 1. Configurez Presentation Server pour communiquer avec Advanced Access Control. 2. Créez une ressource Web pour le site avec les paramètres suivants : Sélectionnez Interface Web Citrix, version 4.2 ou ultérieure comme type d'application. Cochez la case Publier pour les utilisateurs dans leur liste de ressources. 3. Définissez les paramètres de stratégie appropriés pour la ressource Web référençant le site. 4. Fournissez l'accès au site de l'une des manières suivantes. Affichez le site en tant que page d'accueil par défaut. Configurez un point d'ouverture de session pour afficher l'application avec la priorité d'affichage la plus haute en tant que page d'accueil. Configurez ensuite le site comme application avec la priorité la plus haute. Intégrez un site dans la page de navigation. Configurez un point d'ouverture de session pour afficher la page de navigation en tant que page d'accueil. Le site est intégré sous la forme d'un repère dans la page de navigation. Remarque La page de navigation fournie par Advanced Access Control ne pouvant afficher qu'un seul site (ressources Web configurées avec le type d'application Interface Web 4.2 ou version ultérieure), vous ne devez configurer qu'une seule ressource Web de ce type. Pour plus d'informations sur cette procédure, veuillez consulter le Guide de l'administrateur Citrix Access Gateway édition Advanced. Procédez comme suit pour l'interface Web. 1. Sélectionnez À l'aide d'advanced Access Control lorsque vous définissez une méthode d'accès au site. 2. Entrez l'adresse URL du service d'authentification Advanced Access Control dans le champ Adresse URL du service d'authentification.

60 Guide de l administrateur de l Interface Web Centre de documentation Dans l'interface Web et Advanced Access Control, assurez-vous que les paramètres de contrôle de l'espace de travail, de retour au client pour Java et de temporisation de session sont correctement configurés. Coordination des paramètres de l'interface Web et d'advanced Access Control Certains paramètres de Presentation Server sont disponibles pour la configuration dans l'interface Web et Advanced Access Control. Cependant, parce qu'un site intégré à Advanced Access Control peut être référencé par plusieurs points d'ouverture de session, il est possible qu'un point d'ouverture de session intègre un site dans sa page de navigation par défaut pendant qu'un autre point d'ouverture de session affiche ce site comme sa page d'accueil par défaut. Cela peut provoquer des conflits avec certains paramètres d'applications publiées. Pour vous assurer que vos paramètres fonctionnent comme prévu, veuillez suivre les instructions ci-dessous. Contrôle de l'espace de travail. Désactivez tous les paramètres de contrôle de l'espace de travail Advanced Access Control pour tous les points d'ouverture de session qui possèdent un site comme page d'accueil. Cela garantit l'utilisation des paramètres configurés dans l'interface Web. Tous les autres points d'ouverture de session peuvent posséder un contrôle de l'espace de travail configuré de la manière souhaitée. Retour au client pour Java. Assurez-vous que les points d'ouverture de session qui utilisent la page de navigation par défaut comme page d'accueil possèdent les mêmes paramètres de retour au client pour Java que le site. Temporisation de session. Assurez-vous que tous les points d'ouverture de session utilisent les mêmes paramètres que le site. Utilisation des tâches de site Pour configurer des sites, sélectionnez le site sous le nœud Interface Web sur la console Access Management Console et utilisez les tâches disponibles dans le volet des tâches. Vous pouvez également cliquer avec le bouton droit de la souris sur le nom d'un site et sélectionner des tâches dans le menu contextuel. Les tâches disponibles pour chaque type de site figurent dans le volet des tâches. L'exécution des tâches se fait au moyen d'assistants ou d'options dans des boîtes de dialogue. Pour exécuter une tâche, cliquez sur son nom dans le volet des tâches ou cliquez avec le bouton droit de la souris sur le site à configurer et sélectionnez une tâche dans le menu affiché.

Centre de documentation Chapitre 3 Démarrage de l'interface Web 61 Certaines tâches ne sont disponibles que pour certains types de sites et configurations. Ces informations sont indiquées dans le tableau ci-dessous. Tâche Sites Sites Services de l'agent Program Neighborhood Sites Participant invité de Conferencing Manager Sites ADFS incorporés Sites exécutant uniquement des applications en streaming Modifier l'affichage Modifier les options de session Nettoyer la configuration Configurer les méthodes d'authentification Contrôler la journalisation des diagnostics Personnaliser l'affichage pour l'utilisateur Modifier le proxy côté client Exporter la configuration Exporter la configuration du client Importer la configuration Tâches du site local Gérer la méthode d'accès Gérer l'actualisation des applications Gérer les raccourcis vers les applications Gérer les types d'applications Gérer le déploiement du client Gérer l'accès client sécurisé

62 Guide de l administrateur de l Interface Web Centre de documentation Tâche Sites Sites Services de l'agent Program Neighborhood Sites Participant invité de Conferencing Manager Sites ADFS incorporés Sites exécutant uniquement des applications en streaming Gérer les batteries de serveurs Gérer les réglages du serveur Gérer les préférences de session Gérer le groupage de sites Contrôler l'espace de travail Modifier l'adresse URL d'application des modifications Mettre la configuration à niveau Utilisation des tâches de site local Utilisez Tâches du site local pour spécifier l'emplacement de la configuration des sites, le mode d'hébergement des sites par IIS et pour réparer ou désinstaller les sites. Ces tâches sont disponibles uniquement lorsque la console est exécutée sur le serveur exécutant l'interface Web. Vous pouvez modifier les informations saisies lors de la création du site et ajouter des serveurs pour le stockage de la configuration centralisée du site. Gestion des sources de configuration La tâche Gérer la source de configuration vous permet de spécifier si les sites utilisent ou non une configuration locale (la configuration du site est conservée sur la machine locale) ou une configuration centralisée (la configuration du site est conservée sur un serveur distant exécutant Presentation Server). La configuration existante du site est copiée vers la nouvelle source de configuration.

Centre de documentation Chapitre 3 Démarrage de l'interface Web 63 Si vous utilisez un pare-feu entre le serveur exécutant l'interface Web et le serveur exécutant Presentation Server, suivez la procédure ci-dessous pour modifier la source de configuration d'un site d'une configuration locale à une configuration centralisée. Pour utiliser une configuration centralisée pour les sites séparés de Presentation Server par un pare-feu 1. Exécutez la console Access Management Console sur le serveur exécutant l'interface Web. 2. Utilisez la tâche Exporter la configuration et enregistrez la configuration dans un fichier. 3. Utilisez la tâche Gérer la source de configuration pour activer la configuration centralisée. Cliquez sur Oui si un avertissement s'affiche. 4. Exécutez la console Access Management Console sur le serveur exécutant Presentation Server et utilisez la tâche Importer la configuration pour importer la configuration enregistrée. Réparation et désinstallation de sites Vous pouvez utiliser les tâches Réparer le site et Désinstaller le site pour réparer et supprimer des sites. La désinstallation d'un site entraîne sa suppression complète du système ; vous n'êtes alors plus en mesure d'exécuter des tâches sur ce site. Important Si vous exécutez la tâche Réparer le site alors que des images et des scripts personnalisés ont été créés pour le site, ces fichiers personnalisés sont supprimés. Ils sont également supprimés si vous utilisez la tâche Gérer l'hébergement IIS. Avant d'utiliser l'une de ces tâches, Citrix vous recommande donc de sauvegarder tous les fichiers que vous avez créés. Groupage de sites Utilisez l'ensemble des tâches Gérer le groupage de sites pour regrouper des sites de façon à ce qu'ils partagent la même configuration et puissent être utilisés pour l'équilibrage de charge sur votre réseau. À l'aide de cette tâche, vous pouvez regrouper des sites qui utilisent une source de configuration centralisée.

64 Guide de l administrateur de l Interface Web Centre de documentation Pour créer un groupe de sites, utilisez la tâche Créer un groupe de sites. Entrez le nom du groupe, puis sélectionnez les sites à placer dans ce groupe. Les sites doivent utiliser la même source de configuration, la même technologie (par exemple, Windows ou UNIX), être du même type (par exemple, ) et de la même version pour pouvoir être incluses dans un groupe. Cette tâche n'est pas affichée pour les sites configurés localement. Utilisez la tâche Ajouter des sites au groupe pour ajouter un site à un groupe existant. Une fois que vous avez ajouté un site à un groupe, vous ne pouvez effectuer aucune tâche de site local sur ce site et sa configuration est supprimée. Pour utiliser des tâches de site local, vous devez supprimer le site du groupe au moyen de la tâche Supprimer des sites du groupe ; c'est la configuration du groupe qui est alors utilisée pour ce site. Par ailleurs, vous pouvez utiliser la tâche Séparer pour retirer tous les sites du groupe. Rendre l'interface Web accessible aux utilisateurs Une fois l'interface Web installée et configurée, communiquez l'adresse URL de la page Ouverture de session à vos utilisateurs. Si ces derniers souhaitent ajouter cette page aux Favoris de leurs navigateurs, Citrix conseille d'utiliser le signet http://nomserveur/cheminsite sans indiquer de page particulière (telle que login.aspx). Sur les serveurs Web UNIX, le chemin d'accès au site (portion de l'adresse URL située après le nom d'hôte et le numéro de port) est déterminé par le moteur de servlet. Si vous installez le fichier WAR dans le moteur de servlet, vous pouvez modifier ce chemin. En règle générale, la valeur par défaut est /nom du fichier WAR, où le nom du fichier est au format NomFichierWAR.war. Pour WebLogic, vous devez créer un fichier XML distinct pour modifier ce chemin. Des exemples de fichiers XML accompagnés de notes d'utilisation sont générés avec le fichier WAR. Ils se trouvent habituellement dans le répertoire à partir duquel vous exécutez un script de pré-installation UNIX. Définition de la page Ouverture de session comme page par défaut sur IIS Vous pouvez définir la page Ouverture de session de l'interface Web comme la page par défaut pour les utilisateurs du serveur Web, afin que l'url soit http://nomserveur/. Pour ce faire, activez l'option Définir comme page par défaut du site IIS dans la tâche Créer un site.

Centre de documentation Chapitre 3 Démarrage de l'interface Web 65 Étape suivante Pour plus d'informations sur le déploiement des clients Citrix Presentation Server pour les utilisateurs de l'interface Web, veuillez consulter la section «Gestion du déploiement du client», page 105. Pour plus d'informations sur la sécurité, consultez la section «Configuration de la sécurité de l'interface Web», page 137.

Centre de documentation CHAPITRE 4 Gestion des serveurs et des batteries Présentation Ce chapitre décrit comment configurer l'interface Web pour communiquer avec vos batteries de serveurs. Il décrit également comment configurer et gérer les paramètres des serveurs et activer l'équilibrage de charge entre les sites. Il comporte les sections suivantes. Gestion de batteries de serveurs Gestion des paramètres de serveur Gestion de batteries de serveurs Grâce à la tâche Gérer les batteries de serveurs, vous pouvez configurer l'interface Web pour qu'elle communique avec une ou plusieurs batteries. Les utilisateurs doivent disposer d'un compte leur permettant de s'authentifier auprès de chaque batterie indiquée dans cette tâche. Sous Windows, si les batteries se trouvent dans des domaines différents, vous devez activer une approbation bidirectionnelle entre ces domaines. Dans le cas d'une batterie sous UNIX, chaque utilisateur doit disposer d'un nom d'utilisateur et d'un mot de passe correspondant à la batterie Windows. Si le nom d'utilisateur et le mot de passe ne peuvent pas être authentifiés auprès de toutes les batteries définies, l'utilisateur reçoit un message d'erreur indiquant que ses informations d'identification ne sont pas valides.

68 Guide de l administrateur de l Interface Web Centre de documentation La fonction de prise en charge de plusieurs batteries de serveurs s effectue en toute transparence pour les utilisateurs, car ils ne sont pas informés que leur série d applications est un regroupement de plusieurs batteries de serveurs. L'affichage des applications provenant de plusieurs batteries de serveurs est similaire à celui d'une batterie unique (les dossiers s'affichent en premier, suivis par les icônes des applications). Par conséquent, les applications portant le même nom dans plusieurs batteries de serveurs s'affichent arbitrairement dans la série d'applications de l'utilisateur. Citrix vous conseille donc de vérifier que chaque nom d application est unique dans les batteries de serveurs, en publiant, par exemple, des applications dans des dossiers portant des noms différents. Remarque Avant l'affichage des applications, l'interface Web reçoit des données d'application provenant de toutes les batteries de serveurs, et chaque batterie est contactée dans l'ordre où elle figure dans les configurations. Une batterie de serveurs répondant lentement aura donc des conséquences sur la réactivité générale, lors de l obtention de séries d applications. Considérations sur le changement de mot de passe S'il existe des différences parmi vos batteries de serveurs, des problèmes supplémentaires peuvent empêcher les utilisateurs de changer de mot de passe. Par exemple : La stratégie de domaine peut empêcher les utilisateurs de modifier leur mot de passe. Lorsque Presentation Server pour UNIX et Presentation Server pour Windows sont regroupés sur un site unique, seul le mot de passe Windows peut être modifié. Dans ces cas-là, Citrix vous conseille de désactiver le changement de mot de passe par l utilisateur. Si vous regroupez plusieurs batteries, assurez-vous également que la première batterie répertoriée dans la configuration exécute MetaFrame XP, Service Pack 2 ou une version ultérieure.

Centre de documentation Chapitre 4 Gestion des serveurs et des batteries 69 Si nécessaire, vous pouvez activer le changement de mot de passe dans un déploiement mixte de batteries de serveurs. L'Interface Web contacte les batteries de serveurs dans l ordre dans lequel elles sont définies, jusqu à ce qu une batterie de serveurs signale que le mot de passe a été modifié avec succès. Le processus est alors interrompu. Cela vous permet de spécifier la batterie de serveurs depuis laquelle la demande de changement de mot de passe sera émise. Pour conserver la cohérence entre les mots de passe des utilisateurs, utilisez des mécanismes de réplication de mots de passe appropriés entre les batteries de serveurs. Si la requête de changement de mot de passe échoue, la batterie de serveurs suivante de la séquence envoie la requête de changement de mot de passe. Configuration des paramètres des serveurs Les paramètres des serveurs sont configurés pour chaque batterie de serveurs. Pour afficher et configurer les paramètres des batteries de serveurs, sélectionnez la tâche Gérer les batteries de serveurs. Cette tâche vous permet de créer et de modifier des noms de batteries, ainsi que d'indiquer l'ordre dans lequel les serveurs exécutant le service Citrix XML sont utilisés pour l'équilibrage de charge. Vous pouvez également configurer les paramètres d'une batterie donnée, tels que les ports de serveurs XML et SSL ou les types de transport, ainsi qu'activer l'utilisation de tickets. Pour ajouter des batteries de serveurs 1. Cliquez sur la tâche Gérer les batteries de serveurs. 2. Cliquez sur Ajouter. 3. Dans la zone Serveurs, cliquez sur Ajouter pour créer un nom de serveur. 4. Si vous définissez plusieurs noms de serveurs, mettez-en un en surbrillance dans la liste, puis cliquez sur Déplacer vers le haut ou Déplacer vers le bas pour les placer dans l'ordre approprié pour le basculement. Pour changer le nom d'un serveur, cliquez sur Modifier. Pour supprimer un nom de serveur, mettez-le en surbrillance dans la liste et cliquez sur Supprimer. 5. Dans le champ Nom de batterie, entrez un nom pour la batterie de serveurs. 6. Cliquez sur OK pour terminer l'ajout de la batterie. Configuration de la tolérance de panne L'Interface Web offre une tolérance de panne entre les serveurs exécutant le service XML Citrix. Si une erreur se produit lors la communication avec un serveur, le serveur défaillant est ignoré pour une période déterminée et les communications se poursuivent avec les serveurs restants de la liste Serveurs. Par défaut, un serveur défaillant est ignoré pendant une heure.

70 Guide de l administrateur de l Interface Web Centre de documentation Pour configurer la tolérance de panne 1. Cliquez sur la tâche Gérer les batteries de serveurs. 2. Cliquez sur Ajouter pour ajouter une batterie ou sur Modifier pour configurer une batterie existante. 3. Dans la liste Serveurs, placez les serveurs par ordre de priorité. Mettez un nom en surbrillance dans la liste et cliquez sur Déplacer vers le haut ou Déplacer vers le bas pour les placer dans l'ordre approprié. 4. Pour modifier la durée pendant laquelle un serveur défaillant est ignoré, renseignez le champ Ignorer tout serveur en échec pour. Remarque Si un serveur exécutant le service XML Citrix est défaillant, l'interface Web ne tente plus de communiquer avec ce serveur jusqu'à ce que le délai indiqué dans le champ Ignorer tout serveur en échec pour se soit écoulé. Si aucun des serveurs de la liste ne répond, l'interface Web effectue une nouvelle tentative sur les serveurs toutes les 10 secondes. Activation de l'équilibrage de charge entre les serveurs Vous pouvez activer l'équilibrage de charge entre les serveurs exécutant le service XML Citrix. La mise en œuvre de l'équilibrage de la charge permet de répartir équitablement les connexions entre ces serveurs, de façon à éviter leur surcharge. Par défaut, cette fonction est activée. En cas d erreur de communication avec un serveur, toutes les communications suivantes sont réparties entre les serveurs restants de la liste. Le serveur défaillant est ignoré pour une période de temps donnée (par défaut, une heure), mais vous pouvez modifier ce paramètre en renseignant la zone Ignorer tout serveur en échec pour. Pour activer l'équilibrage de charge 1. Cliquez sur la tâche Gérer les batteries de serveurs. 2. Cliquez sur Ajouter pour ajouter une batterie ou sur Modifier pour configurer une batterie existante. 3. Dans la liste Serveurs, ajoutez les serveurs à utiliser pour l'équilibrage de charge. Pour plus d'informations sur l'ajout de serveurs, consultez la section «Configuration des paramètres des serveurs», page 69. 4. Sélectionnez l'option Utiliser la liste de serveurs pour l'équilibrage de charge. 5. Pour modifier la durée pendant laquelle un serveur défaillant est ignoré, renseignez le champ Ignorer tout serveur en échec pour.

Centre de documentation Chapitre 4 Gestion des serveurs et des batteries 71 Configuration de paramètres pour tous les serveurs Vous pouvez utiliser la tâche Gérer les batteries de serveurs pour définir le port TCP/IP utilisé par le service XML Citrix et le protocole utilisé pour transférer les données de l'interface Web entre le serveur Web et le serveur exécutant Presentation Server pour les serveurs indiqués dans la liste Serveurs. Le service XML Citrix est un composant de Presentation Server qui agit comme point de contact entre la batterie de serveurs et le serveur exécutant l'interface Web. Par défaut, le numéro de port correspond à la valeur entrée lors de la création d'un site. Ce numéro de port doit correspondre au numéro de port utilisé par le service XML Citrix. Par ailleurs, vous pouvez indiquer la durée d'expiration du ticket généré par le serveur. Les tickets offrent des fonctions renforcées de sécurité de l'authentification pour les ouvertures de session explicites en supprimant les informations d'identification des utilisateurs dans les fichiers ICA envoyés du serveur Web aux machines clientes. Par défaut, chaque ticket de l'interface Web a une durée d'expiration de 200 secondes. Vous pouvez modifier la durée de vie du ticket si vous souhaitez, par exemple, adapter ce délai aux performances de votre réseau, car les tickets ayant expiré ne permettent pas d'authentifier avec succès un utilisateur auprès de la batterie de serveurs. Si vous modifiez l adresse ou les adresses IP d un serveur exécutant le service XML Citrix, les tickets ne fonctionnent que si vous redémarrez le serveur. Après avoir modifié l adresse ou les adresses IP d un serveur, veillez à redémarrer la machine. Pour définir des paramètres pour tous les serveurs 1. Cliquez sur la tâche Gérer les batteries de serveurs. 2. Cliquez sur Ajouter pour ajouter une batterie ou sur Modifier pour configurer une batterie existante. 3. Dans la zone Paramètres de communication, entrez le numéro de port dans le champ Port du service XML. 4. Dans la liste Type de transport, sélectionnez l'une des options ci-dessous. HTTP. Permet d'envoyer des données via une connexion HTTP standard. Utilisez cette option si vous avez pris d'autres mesures pour la sécurité de ce lien. HTTPS. Permet d'envoyer des données via une connexion HTTP sécurisée à l'aide du protocole SSL (Secure Socket Layer) ou TLS (Transport Layer Security). Assurez-vous que le service XML Citrix

72 Guide de l administrateur de l Interface Web Centre de documentation est configuré pour partager son port avec IIS et qu'iis est configuré pour prendre en charge HTTPS. Relais SSL. Permet de transmettre des données via une connexion sécurisée qui utilise le Relais SSL Citrix sur un serveur exécutant Presentation Server pour effectuer l'authentification de l hôte et le cryptage de données. 5. Si vous utilisez le Relais SSL, spécifiez le port TCP du Relais SSL Citrix dans le champ Port du relais SSL (le port par défaut est le port 443). L'Interface Web utilise les certificats racine pour l'authentification d'un serveur Relais SSL Citrix. Assurez-vous que tous les serveurs exécutant le Relais SSL Citrix sont configurés pour écouter sur le même numéro de port. Remarque Si vous utilisez le Relais SSL ou le protocole HTTPS, assurez-vous que les noms de serveurs que vous spécifiez correspondent aux noms indiqués sur le certificat de l'ordinateur exécutant Presentation Server. 6. Pour configurer les tickets, cliquez sur Paramètres des tickets. 7. Entrez la durée de vie des tickets pour les clients distants dans les champs Durée de vie des tickets ICA. 8. Entrez la durée de vie des tickets pour le client de streaming dans les champs Durée de vie du ticket de streaming. 9. Cliquez sur OK pour sauvegarder vos paramètres. Définition des paramètres de serveur avancés L'utilisation des Paramètres avancés dans la boîte de dialogue Gérer les batteries de serveurs permet d'activer le regroupement de sockets et la redirection de contenu, de spécifier la durée de temporisation du service XML Citrix ainsi que le nombre de tentatives pour contacter le service XML avant de considérer que la connexion a échoué. Activation du regroupement de sockets Lorsque la fonction de regroupement de sockets est activée, l'interface Web conserve un groupe de sockets, au lieu de créer une socket chaque fois qu'elle en a besoin et de la renvoyer au système d'exploitation dès que la connexion est fermée. L'activation de cette fonction permet d'améliorer les performances, et plus particulièrement pour les connexions SSL.

Centre de documentation Chapitre 4 Gestion des serveurs et des batteries 73 Le regroupement de sockets ne doit pas être utilisé lorsque l'interface Web est configurée pour utiliser un ou plusieurs serveurs Presentation Server pour UNIX. Remarque Le regroupement de sockets n'est pas disponible pour les sites configurés pour utiliser l'authentification par ADFS. Pour activer le regroupement de sockets 1. Dans la boîte de dialogue Gérer les batteries de serveurs, cliquez sur Avancé. 2. Dans la zone Regroupement de sockets, cochez la case Activer le regroupement de sockets. Activation de la redirection de contenu Vous pouvez utiliser le paramètre Activer la redirection de contenu pour activer et désactiver la redirection de contenu du client vers le serveur, pour les sites Services de l'agent Program Neighborhood individuels. Ce paramètre annule tous les paramètres de redirection de contenu configurés pour Presentation Server. Lorsque vous activez la redirection de contenu du client vers le serveur, les utilisateurs exécutant l'agent Program Neighborhood ouvrent le contenu publié et les fichiers locaux avec des applications publiées sur les serveurs. Par exemple, un utilisateur de l'agent Program Neighborhood qui reçoit une pièce jointe dans un logiciel de courrier électronique exécuté localement ouvre la pièce jointe dans une application publiée. Lorsque vous désactivez la redirection de contenu, les utilisateurs ouvrent le contenu publié et les fichiers locaux avec des applications installées localement. Par défaut, la redirection de contenu est activée du client vers le serveur pour les sites Services de l'agent Program Neighborhood. La configuration de la redirection de contenu du client vers le serveur s'effectue en associant les applications publiées à des types de fichiers. Pour plus d'informations sur l'association à des types de fichiers, veuillez consulter le Guide de l'administrateur Citrix Presentation Server.

74 Guide de l administrateur de l Interface Web Centre de documentation Pour activer ou désactiver la redirection de contenu 1. Dans la boîte de dialogue Gérer les batteries de serveurs, cliquez sur Avancé. 2. Dans la zone Redirection de contenu, procédez de l'une des manières suivantes : Pour activer la redirection de contenu, activez la case à cocher Activer la redirection de contenu. Ou Pour désactiver la redirection de contenu, désactivez la case à cocher Activer la redirection de contenu. Configuration des communications avec le service XML Par défaut, la communication avec le service XML Citrix doit être établie en moins d'une minute et elle est considérée comme ayant échoué au bout de cinq tentatives. Vous pouvez modifier ces paramètres en changeant les valeurs par défaut. Pour configurer les communications avec le service XML 1. Dans la boîte de dialogue Gérer les batteries de serveurs, cliquez sur Avancé. 2. Pour configurer le délai avant expiration du service XML Citrix, entrez les valeurs appropriées dans les cases Expiration du délai de la socket. 3. Pour spécifier le nombre de tentatives de communication avec le service XML Citrix avant qu'elle ne soit considérée comme ayant échoué et qu'elle ne soit ignorée, entrez la valeur dans le champ Tentatives de communication avec le service XML. Gestion des paramètres de serveur Utilisez la tâche Gérer les paramètres du serveur pour configurer le mode de communication de l'agent Program Neighborhood avec un site et spécifier si, en cas d'échec, les utilisateurs sont redirigés ou non vers des sites similaires.

Centre de documentation Chapitre 4 Gestion des serveurs et des batteries 75 Configuration des paramètres de communication du serveur Utilisez les paramètres de communication du serveur pour : Activer la communication SSL/TLS. Les fonctions d'ouverture de session par carte à puce et de communications SSL/TLS sécurisées entre le client et le serveur exécutant l'interface Web ne sont pas activées par défaut. Vous pouvez activer la communication SSL/TLS à partir de cette boîte de dialogue ; les adresses URL devront alors appliquer automatiquement le protocole HTTPS. En outre, vous devez activer SSL sur le serveur exécutant Presentation Server. Autoriser l'utilisateur à personnaliser l'adresse URL du serveur. L'adresse URL du serveur pointe sur le fichier de configuration approprié pour l'agent Program Neighborhood. Le chemin par défaut est déterminé en fonction de l'adresse du serveur entrée par l'utilisateur lors de l'installation. Vous pouvez autoriser l'utilisateur à modifier l'adresse URL du serveur, ce qui active l'option Adresse URL du serveur dans l'onglet Serveur de la boîte de dialogue Propriétés de l'agent Program Neighborhood. Configurer l'actualisation automatique. Vous pouvez définir la fréquence à laquelle le client doit actualiser ses paramètres de configuration. Pour configurer les paramètres de communication du serveur 1. Cliquez sur la tâche Gérer les paramètres du serveur. 2. Si vous souhaitez utiliser une communication sécurisée entre l'agent Program Neighborhood et un site, sélectionnez Utiliser SSL/TLS pour les communications entre les clients et ce site. 3. Pour autoriser l'utilisateur à personnaliser l'adresse URL du serveur qui pointe vers le fichier de configuration approprié pour l'agent Program Neighborhood, sélectionnez Autoriser l'utilisateur à personnaliser l'adresse URL du serveur. 4. Pour configurer la fréquence à laquelle l'agent Program Neighborhood actualise ses paramètres de configuration, sélectionnez Programmer une actualisation automatique chaque : et entrez la période d'actualisation en heures, jours, semaines ou mois.

76 Guide de l administrateur de l Interface Web Centre de documentation Définition des adresses URL de secours de l'agent Program Neighborhood Vous pouvez spécifier des serveurs de secours pour l'agent Program Neighborhood à contacter si le serveur de l'interface Web principal n'est pas disponible. Utilisez les paramètres Secours disponibles dans la boîte de dialogue Gérer les paramètres du serveur afin de spécifier les adresses URL des serveurs de secours. Dans l'éventualité d'un échec serveur, les utilisateurs sont automatiquement connectés au serveur de secours spécifié préalablement dans la liste Adresses URL de secours. Si le serveur échoue, l'agent Program Neighborhood tente de contacter le serveur suivant dans la liste. Important Toutes les adresses URL de secours doivent pointer vers des sites qui sont du même type que le site principal spécifié. Par exemple, si le site principal est un site ASPX, chaque site de secours spécifié doit également être un site ASPX. Pour spécifier des adresses URL de secours 1. Cliquez sur la tâche Gérer les paramètres du serveur. 2. Cliquez sur Secours. 3. Cliquez sur Ajouter. 4. Entrez l'adresse URL du site sur lequel les utilisateurs sont connectés dans le champ Adresse URL de secours. Remarque Vous pouvez définir un maximum de cinq adresses URL de secours par site. 5. Cliquez sur OK. 6. Si vous spécifiez plusieurs adresses URL de secours, mettez une adresse URL en surbrillance dans la liste, puis cliquez sur Déplacer vers le haut ou Déplacer vers le bas pour les placer dans l'ordre approprié pour le basculement.

Centre de documentation Chapitre 4 Gestion des serveurs et des batteries 77 Configuration de la redirection de site Utilisez les paramètres Redirection pour définir le moment où les utilisateurs sont redirigés vers un site différent. Par exemple, vous créez un nouveau site pour votre DRH et souhaitez rediriger tous les utilisateurs de l'ancien site vers le nouveau site sans qu'ils aient à entrer l'adresse URL manuellement. Vous pouvez définir les détails du nouveau site dans la boîte de dialogue Redirection de site. Les utilisateurs sont redirigés vers le nouveau site immédiatement ou au moment où ils démarrent l'agent Program Neighborhood à nouveau. Pour configurer la redirection de site 1. Cliquez sur la tâche Gérer les paramètres du serveur. 2. Cliquez sur Rediriger. 3. Sélectionnez l'une des options suivantes : Si vous ne voulez pas configurer la redirection du site, sélectionnez Ne pas rediriger. Si vous voulez immédiatement rediriger les utilisateurs vers un site similaire, sélectionnez Rediriger immédiatement. Si vous voulez rediriger les utilisateurs vers un site similaire lors du prochain lancement du client, sélectionnez Rediriger lors du prochain démarrage d'agent Program Neighborhood 4. Entrez l'adresse URL du site de remplacement dans le champ Adresse URL de redirection. 5. Cliquez sur OK.

Centre de documentation CHAPITRE 5 Configuration de l'authentification pour l'interface Web Présentation Ce chapitre décrit les méthodes d'authentification disponibles pour les utilisateurs de l'interface Web. Il explique également comment configurer l'authentification entre l'interface Web, Presentation Server et l'agent Program Neighborhood. Remarque Ce chapitre s'applique aux sites Services de l'agent Program Neighborhood et uniquement. Ce chapitre contient les sections suivantes. Méthodes d'authentification Configuration de l'authentification Configuration de l'authentification à deux facteurs Méthodes d'authentification L'authentification s'effectue lorsqu'un utilisateur accède à des applications. Si l'authentification réussit, la série d'applications de l'utilisateur s'affiche. Vous pouvez configurer les méthodes d'authentification suivantes pour l'interface Web : Explicite (sites ) ou Invite (sites Services de l'agent Program Neighborhood). Pour ouvrir une session, les utilisateurs doivent fournir un nom d'utilisateur et un mot de passe. Les noms UPN (noms d'utilisateurs principaux), l'authentification de domaine Microsoft et NDS (Novell Directory Service) sont disponibles. Dans le cas des sites Access

80 Guide de l administrateur de l Interface Web Centre de documentation Platform, l'authentification RSA SecurID et l'authentification SafeWord sont également disponibles. Remarque L'authentification Novell n'est pas disponible sur les platesformes UNIX. Authentification unique. Les utilisateurs peuvent s'authentifier à l'aide des informations d'identification qu'ils ont fournies en ouvrant une session sur leur bureau Windows. Les utilisateurs n'ont pas à entrer ces informations à nouveau. De plus, leur série d'applications s'affiche automatiquement. Vous pouvez également utiliser l'authentification Kerberos pour la connexion aux serveurs. Si vous spécifiez l'option d'authentification Kerberos et si celle-ci échoue, l'authentification unique échoue également et les utilisateurs ne peuvent pas ouvrir de session. Pour plus d'informations concernant Kerberos, veuillez consulter le Guide de l'administrateur Citrix Presentation Server. Authentification unique avec carte à puce. Les utilisateurs peuvent s'authentifier en insérant une carte à puce dans un lecteur de carte à puce connecté à la machine cliente. Lorsque vous ouvrez une session, l'agent Program Neighborhood vous invite à entrer un code secret. Une fois la session ouverte, vous pouvez accéder à votre série d'applications publiées et à leur contenu sans avoir à réouvrir de session. Les utilisateurs qui se connectent à des sites ne sont pas invités à entrer un code secret. Si vous configurez un site Services de l'agent Program Neighborhood, vous pouvez utiliser l'authentification Kerberos pour la connexion aux serveurs. Si vous spécifiez l'option d'authentification Kerberos et si celle-ci échoue, l'authentification unique échoue également et les utilisateurs ne peuvent pas ouvrir de session. Pour plus d'informations concernant Kerberos, veuillez consulter le Guide de l'administrateur Citrix Presentation Server. Carte à puce. Les utilisateurs peuvent s'authentifier au moyen d'une carte à puce. L'utilisateur est invité à entrer un code secret. Remarque Les méthodes d'authentification unique, d'authentification unique avec carte à puce et d'authentification par carte à puce ne sont pas disponibles sur les plates-formes UNIX.

Centre de documentation Chapitre 5 Configuration de l'authentification pour l'interface Web 81 Anonyme. Les utilisateurs anonymes peuvent ouvrir une session sans fournir de nom d'utilisateur ni de mot de passe et lancer des applications publiées à leur intention sur le serveur. Attention Les utilisateurs anonymes de l'interface Web peuvent obtenir des tickets Secure Gateway, même s'ils n'ont pas été authentifiés par l'interface Web. Or, Secure Gateway utilise l'interface Web pour émettre des tickets uniquement pour les utilisateurs authentifiés, ce qui, en matière de sécurité, compromet l un des avantages que constitue l'utilisation de Secure Gateway dans votre installation. Recommandations relatives à l'authentification Veillez à ce que les utilisateurs ouvrent des sessions de façon cohérente sur leurs stations de travail et sur l'interface Web, que ce soit de façon explicite (avec un nom d'utilisateur et un mot de passe) ou à l'aide de cartes à puce. Dans tous les cas, n'utilisez jamais les deux méthodes à la fois. Par exemple, si un utilisateur ouvre une session sur le bureau Windows à l aide d une carte à puce, puis une autre session sur l'interface Web à l aide de la méthode explicite, les informations d identification fournies par le client risquent d être incorrectes. Dans ce cas, le client peut indiquer son code secret au lieu du nom d'utilisateur et du mot de passe. Si vous modifiez les méthodes d authentification auprès de l'interface Web, il est possible que les utilisateurs existants reçoivent des messages d erreurs. Ils devront fermer et redémarrer tous les navigateurs utilisés pour accéder à l'interface Web. Configuration de l'authentification Utilisez la tâche Configurer les méthodes d'authentification pour configurer les différentes méthodes d'authentification des utilisateurs sur Presentation Server et sur l'agent Program Neighborhood. Configuration des paramètres de restriction de domaine Utilisez la page Restriction de domaine pour restreindre l'accès des utilisateurs à des sites depuis des domaines spécifiques. Pour configurer les paramètres de restriction de domaine 1. Cliquez sur la tâche Configurer les méthodes d'authentification. 2. Cliquez sur Propriétés.

82 Guide de l administrateur de l Interface Web Centre de documentation 3. Sélectionnez Restriction de domaine. 4. Indiquez si vous souhaitez restreindre ou non l'accès des utilisateurs à des domaines sélectionnés. Choisissez parmi les modes suivants : Si vous ne souhaitez pas restreindre l'accès en fonction des domaines, sélectionnez Autoriser tous les domaines. Si vous souhaitez restreindre l'accès des utilisateurs à des domaines sélectionnés, sélectionnez Restreindre les domaines aux domaines suivants. 5. Cliquez sur Ajouter. 6. Entrez le nom du domaine que vous souhaitez ajouter à la liste de restriction de domaine dans le champ Domaine d'ouverture de session. 7. Cliquez sur OK. Configuration du type d'authentification Si vous utilisez l'authentification explicite ou par invite, utilisez la page Type d'authentification pour indiquer si les utilisateurs doivent s'authentifier à l'aide de Windows ou de NDS. Pour configurer le type d'authentification 1. Cliquez sur la tâche Configurer les méthodes d'authentification. 2. Cliquez sur Propriétés. 3. Sélectionnez Type d'authentification. 4. Sélectionnez le type d authentification que les utilisateurs explicites doivent utiliser : Si vous souhaitez utiliser l'authentification de domaine Microsoft, sélectionnez Utiliser l'authentification Windows ou NIS (UNIX). Passez à l'étape 5. Si vous souhaitez utiliser l'authentification NDS (Novell Directory Service), sélectionnez Utiliser l'authentification NDS. Passez à l'étape 9.

Centre de documentation Chapitre 5 Configuration de l'authentification pour l'interface Web 83 5. Indiquez le format des informations d'identification pour l'ouverture des sessions des utilisateurs. Sélectionnez l'une des options suivantes : Pour permettre aux utilisateurs d'entrer leurs informations d'ouverture de session, que ce soit sous la forme d'un nom UPN ou d'un nom d'utilisateur de domaine, sélectionnez Nom d'utilisateur de domaine et UPN. Pour indiquer aux utilisateurs qu'ils doivent entrer leurs informations d'ouverture de session sous la forme d'un nom d'utilisateur de domaine uniquement, sélectionnez Nom d'utilisateur de domaine uniquement. Pour indiquer aux utilisateurs qu'ils doivent entrer leurs informations d'ouverture de session sous la forme d'un nom UPN, sélectionnez UPN uniquement. 6. Sélectionnez Paramètres. 7. Dans la zone Affichage de domaines, configurez les paramètres suivants : affichage ou masquage du champ Domaine sur la page Ouverture de session ; pré-remplissage du champ Domaine avec une liste de domaines dans laquelle les utilisateurs font un choix ou saisie manuelle d'une valeur par l'utilisateur dans le champ Domaine ; Remarque Si, lors d'une ouverture de session, un utilisateur reçoit un message d'erreur «Vous devez spécifier au moins un domaine», cela peut signifier qu'un champ de domaine est vide. Pour résoudre ce problème, sélectionnez Masquer le champ de domaine. Si votre batterie contient uniquement des serveurs exécutant Presentation Server pour UNIX, sélectionnez Pré-rempli dans le champ Liste de domaines et ajoutez UNIX comme nom de domaine. Indiquez les domaines que vous souhaitez voir apparaître dans le champ Domaine sur la page Ouverture de session. 8. Dans la zone Restriction UPN, configurez les paramètres suivants : acceptation ou non de tous les suffixes UPN (Noms d'utilisateurs principaux) (par défaut, tous les suffixes UPN sont autorisés) ; sélection des suffixes UPN à accepter. 9. Entrez un nom dans le champ Nom d'arborescence par défaut.

84 Guide de l administrateur de l Interface Web Centre de documentation 10. Configurez une restriction de contexte ou une authentification sans contexte. Remarque Par défaut, edirectory ne fournit pas d'accès de connexion anonyme à l'attribut cn, nécessaire à l'ouverture de session sans contexte. Pour plus d'informations sur la reconfiguration de edirectory, veuillez consulter le site http://developer.novell.com/. 11. Si vous souhaitez que le client utilise les informations d'identification Windows NT de l'utilisateur avec l'authentification unique, sélectionnez Utiliser les informations d'identification Windows NT pour se connecter aux batteries de serveurs. Activation de l'authentification explicite Si l'authentification explicite est activée, les utilisateurs doivent disposer d'un compte utilisateur et fournir un nom d'utilisateur, un mot de passe et un nom de domaine pour ouvrir une session. Vous pouvez modifier les paramètres d'authentification explicite à l'aide de la console. Vous pouvez, par exemple, indiquer si les utilisateurs sont autorisés à modifier leur mot de passe d'ouverture de session dans une session. Remarque L'authentification explicite est disponible pour les sites Access Platform uniquement. Pour activer l'authentification explicite 1. Cliquez sur la tâche Configurer les méthodes d'authentification. 2. Cochez la case Explicite. 3. Cliquez sur Propriétés pour configurer d'autres paramètres d'authentification explicite.

Centre de documentation Chapitre 5 Configuration de l'authentification pour l'interface Web 85 Configuration des paramètres de mot de passe Utilisez la page Paramètres de mot de passe pour configurer les options de changement de mot de passe et d'expiration du mot de passe des utilisateurs. Pour configurer les paramètres de mot de passe 1. Sélectionnez Paramètres de mot de passe. 2. Si vous souhaitez que les utilisateurs puissent changer leur mot de passe d ouverture de session au cours d une session sur l'interface Web, cochez la case Autoriser l utilisateur à changer de mot de passe. 3. Pour indiquer à quel moment les utilisateurs peuvent changer leur mot de passe d'ouverture de session, sélectionnez l'une des options suivantes : Pour permettre aux utilisateurs de changer leur mot de passe d'ouverture de session lorsque celui-ci arrive à expiration, sélectionnez Uniquement lors de l'expiration. Avec cette option, si un utilisateur ne parvient pas à ouvrir une session sur l'interface Web parce que son mot de passe a expiré, il est automatiquement redirigé vers la boîte de dialogue de changement du mot de passe. Une fois le changement de mot de passe effectué, une session est automatiquement ouverte dans l'interface Web avec le nouveau mot de passe. Pour permettre aux utilisateurs de changer de mot de passe aussi souvent qu'ils le souhaitent dans l'interface Web, sélectionnez À tout moment. Lorsque vous activez cette option, l'icône de changement de mot de passe s'affiche sur les pages des utilisateurs. Lorsque les utilisateurs cliquent sur cette icône, une boîte de dialogue leur permettant d entrer un nouveau mot de passe s'affiche. 4. Pour configurer un message de rappel prévenant les utilisateurs avant que leur mot de passe n'expire, sélectionnez l'une des options suivantes : Si vous ne souhaitez pas prévenir les utilisateurs avant que leur mot de passe expire, sélectionnez Ne pas effectuer de rappel. Pour utiliser vos paramètres de rappel de la stratégie Windows actuels, sélectionnez Utiliser des paramètres de rappel depuis la stratégie de groupe Active Directory. Pour rappeler aux utilisateurs que leur mot de passe expirera dans un nombre de jour défini, sélectionnez Utiliser un paramètre de rappel personnalisé. Spécifiez le nombre de jours dans la case Rappeler à l'utilisateur <n> jours avant expiration.

86 Guide de l administrateur de l Interface Web Centre de documentation Activation de l'authentification à deux facteurs Utilisez la page Authentification à deux facteurs pour activer l'authentification à deux facteurs pour les utilisateurs, si nécessaire. Pour activer l'authentification à deux facteurs 1. Sélectionnez Authentification à deux facteurs. 2. Sélectionnez le type d'authentification à deux facteurs que vous souhaitez utiliser dans la liste Paramètre à deux facteurs. Pour des informations complémentaires sur la configuration de l'authentification SafeWord, consultez la section «Configuration de l'authentification à deux facteurs», page 96. Pour des informations complémentaires sur la configuration de l'authentification RSA SecurID, consultez la section «Activation de l'authentification RSA SecurID 6.0 sur IIS», page 98. Configuration du libre service de compte L'intégration à la fonctionnalité de libre service de compte disponible sur Citrix Password Manager permet aux utilisateurs de réinitialiser leur mot de passe réseau et de déverrouiller leur compte en répondant à une série de simples questions de sécurité. Important Lors de l'installation de Password Manager, vous indiquez quels utilisateurs sont autorisés à réinitialiser leur mot de passe et à déverrouiller leur compte. Si vous activez ces fonctionnalités sur l'interface Web, il se peut que les utilisateurs ne soient toujours pas autorisés à effectuer ces tâches du fait des paramètres que vous configurez pour Password Manager. Avant de configurer le libre service de compte pour un site, vous devez vous assurer que : le site est configuré pour utiliser l'authentification Windows explicite ; le site est configuré pour fournir aux utilisateurs un accès direct ; le libre service de compte n'est pas disponible pour les sites accessibles à l'aide d'advanced Access Control ;

Centre de documentation Chapitre 5 Configuration de l'authentification pour l'interface Web 87 le site est configuré pour n'utiliser qu'un service Password Manager. Si l'interface Web est configurée pour utiliser plusieurs batteries contenant des domaines identiques ou approuvés, Password Manager doit être configuré de façon à accepter les informations d'identification de tous ces domaines ; le site est configuré pour permettre aux utilisateurs de changer leur mot de passe, dans le cas où vous activez la fonctionnalité de réinitialisation du mot de passe. Pour configurer le libre service de compte 1. Sélectionnez Libre service de compte. 2. Indiquez si vous souhaitez ou non que les utilisateurs puissent réinitialiser leur mot de passe d'ouverture de session ou déverrouiller leur compte. 3. Entrez l'adresse URL de Password Manager dans le champ Adresse URL du service Password Manager. Activation de l'authentification par invite Si l'authentification par invite est activée, les utilisateurs doivent disposer d'un compte utilisateur et fournir un nom d'utilisateur, un mot de passe et un nom de domaine pour ouvrir une session. Remarque L'authentification par invite est disponible uniquement pour les sites Services de l'agent Program Neighborhood. Pour activer l'authentification par invite 1. Cliquez sur la tâche Configurer les méthodes d'authentification. 2. Cochez la case Invite. 3. Cliquez sur Propriétés pour configurer d'autres paramètres d'authentification par invite.

88 Guide de l administrateur de l Interface Web Centre de documentation Configuration des paramètres de mot de passe Utilisez la page Paramètres de mot de passe pour permettre ou non aux utilisateurs d'enregistrer leur mot de passe. Pour configurer les paramètres de mot de passe 1. Sélectionnez Paramètres de mot de passe. 2. Pour permettre aux utilisateurs d'enregistrer leur mot de passe, sélectionner l'option Permettre d'enregistrer le mot de passe. Activation de l'authentification unique Grâce à la console, vous pouvez activer l'authentification unique pour les utilisateurs qui ouvrent une session sur leur bureau à l'aide de leur nom d'utilisateur, de leur mot de passe et des informations d'identification de domaine. Cette fonction leur permet de s'authentifier à l'aide des informations d'identification qu'ils ont fournies en ouvrant une session sur leur bureau Windows. Les utilisateurs n'ont pas à entrer ces informations à nouveau. De plus, leur série d'applications s'affiche automatiquement. La section suivante décrit la configuration requise pour l'authentification unique et explique la procédure à suivre pour activer la prise en charge de ce type d'authentification. Configuration requise pour l'authentification unique Pour utiliser la fonctionnalité d'authentification unique, vos serveurs doivent exécuter MetaFrame Presentation Server, Feature Release 2 ou version ultérieure, l'interface Web doit être exécutée sur IIS sous Windows Server 2003 et les utilisateurs doivent exécuter Internet Explorer version 5.5 ou ultérieure. Attention Si les serveurs exécutent des versions antérieures à MetaFrame Presentation Server, Feature Release 2, les utilisateurs peuvent visualiser toutes les applications lorsqu'ils utilisent l'authentification unique.

Centre de documentation Chapitre 5 Configuration de l'authentification pour l'interface Web 89 Si les utilisateurs utilisent des clients antérieurs à la version 6.30 et si le cryptage ICA (SecureICA) est activé, l'authentification unique ne fonctionne pas. Pour utiliser l'authentification unique avec le cryptage ICA, vous devez utiliser les clients les plus récents et le serveur doit exécuter MetaFrame Presentation Server, Feature Release 2 ou version ultérieure. Attention Lorsqu'un utilisateur sélectionne une application, un fichier est envoyé au navigateur. Ce fichier peut contenir un paramètre ordonnant au client d'envoyer les informations d'identification du poste de travail de l'utilisateur au serveur. Par défaut, le client ne reconnaît pas ce paramètre ; néanmoins, si la fonctionnalité d'authentification unique est activée sur les clients pour Windows, il y a un risque qu'un agresseur envoie à l'utilisateur un fichier entraînant le détournement des informations d'identification de l'utilisateur vers un faux serveur ou un serveur non autorisé. C'est pourquoi vous ne devez utiliser l'authentification unique que dans des environnements sécurisés et approuvés. Étape 1 : installation des clients pour Windows Vous devez installer les clients pour Windows sur les machines clientes de vos utilisateurs en utilisant un compte d'administrateur. L'authentification unique est disponible uniquement sur les clients pour Windows, disponibles sur le CD-ROM des composants. Pour des raisons de sécurité, le client Web ne contient pas cette fonctionnalité. Cela signifie que vous ne pouvez pas utiliser d'installation du client par le Web pour déployer des clients contenant cette fonction auprès de vos utilisateurs. Étape 2 : activation de l'authentification unique sur le client Une fois l'installation terminée, vous devez activer l'authentification unique sur le client. Vous pouvez : configurer la Stratégie de groupe pour activer l'authentification unique pour tous les clients ; Ou modifier le fichier Appsrv.ini, situé dans les profils des utilisateurs, afin d'activer l'authentification unique pour un seul client. Par exemple, si le profil d'un utilisateur est enregistré au niveau local, ce fichier figure dans le dossier C:\Documents and Settings\utilisateur\Application Data\ICAClient. Remarque Le dossier Application Data est masqué.

90 Guide de l administrateur de l Interface Web Centre de documentation Pour activer l'authentification unique pour tous les clients 1. Ouvrez le composant logiciel enfichable MMC Éditeur d'objet Stratégie de groupe. 2. Sélectionnez l'objet Stratégie de groupe que vous souhaitez modifier. 3. Cliquez avec le bouton droit de la souris sur le dossier Modèles d'administration et sélectionnez Ajout/Suppression de modèles. 4. Cliquez sur Ajouter et recherchez le modèle icaclient sur le CD des composants. 5. Cliquez sur Ouvrir pour ajouter le modèle, puis cliquez sur Fermer pour retourner à l'éditeur d'objet Stratégie de groupe. Remarque Si vous avez déjà ajouté le modèle icaclient à l'éditeur d'objet Stratégie de groupe, vous pouvez passer les étapes 3 à 5. 6. Dans l'arborescence de la console, développez le dossier Modèles d'administration. 7. Sélectionnez Composants Citrix > Presentation Server > Authentification de l'utilisateur du client. 8. Sélectionnez Nom de l'utilisateur et mot de passe locaux. 9. Dans le menu Action, cliquez sur Propriétés. 10. Cliquez sur l'onglet Paramètres. 11. Dans la zone Nom de l'utilisateur et mot de passe locaux, sélectionnez Activé. 12. Cochez la case Activer l'authentification unique et cliquez sur OK. Pour activer l'authentification unique pour un seul client 1. Ouvrez le fichier Appsrv.ini à l'aide d'un éditeur de texte, comme le Blocnotes. 2. Dans la section [WFClient], ajoutez les entrées suivantes : EnableSSOnThruICAFile=On SSOnUserSetting=On

Centre de documentation Chapitre 5 Configuration de l'authentification pour l'interface Web 91 3. Enregistrez le fichier mis à jour. Attention Si les serveurs exécutent des versions antérieures à MetaFrame Presentation Server, Feature Release 2, les utilisateurs peuvent visualiser toutes les applications lorsqu'ils utilisent l'authentification unique. Étape 3 : activation de l'authentification unique à l'aide de la console Utilisez la console Access Management Console pour activer l'authentification unique. Lorsque cette fonction est activée, les utilisateurs n'ont pas besoin d'entrer à nouveau leurs informations d'identification et leur série d'applications s'affiche automatiquement. Par ailleurs, vous pouvez activer Kerberos avec l'authentification unique pour les sites et Services de l'agent Program Neighborhood. Pour les sites Services de l'agent Program Neighborhood, vous pouvez également spécifier Kerberos pour l'authentification unique avec carte à puce. Pour activer l'authentification unique 1. Cliquez sur la tâche Configurer les méthodes d'authentification. 2. Cochez la case Authentification unique. 3. Sélectionnez Propriétés. 4. Sélectionnez Authentification Kerberos. 5. Si vous souhaitez activer l'authentification Kerberos pour les sites Access Platform, cochez la case Utiliser l'authentification Kerberos pour se connecter aux serveurs. Activation de l'authentification par carte à puce La section suivante décrit la configuration requise pour les cartes à puce et explique la procédure à suivre pour activer la prise en charge de ces cartes. Pour un exemple de configuration de l'authentification par carte à puce dans l'interface Web, consultez la section «Exemple : activation de l'authentification par carte à puce», page 95.

92 Guide de l administrateur de l Interface Web Centre de documentation Configuration requise pour la prise en charge des cartes à puce Pour utiliser l'authentification par carte à puce, l'interface Web doit être exécutée sur IIS et les utilisateurs doivent exécuter Internet Explorer version 5.5 ou systèmes Windows ultérieurs. La prise en charge des cartes à puce n'est pas disponible sur les plates-formes UNIX. Le protocole SSL (Secure Socket Layer) doit être activé sur le serveur Web. Comme ce protocole est le mécanisme sous-jacent à la technologie des cartes à puce, il doit être utilisé entre le navigateur et le serveur Web. Pour des informations complémentaires, reportez-vous à la documentation du serveur Web. Si vous souhaitez activer la carte à puce (avec ou sans autre méthode d'authentification), vous devez configurer la page Ouverture de session pour qu'elle soit uniquement accessible via des connexions HTTPS. Si le protocole HTTP standard est utilisé ou si le protocole HTTPS est mal configuré, tous les utilisateurs reçoivent un message d'erreur et ne peuvent pas ouvrir de session. Pour éviter ce problème, publiez la totalité de l'adresse URL HTTPS pour tous les utilisateurs, exemple : https://www.votresociété.com:449/citrix/accessplatform. Pour plus d'informations sur la configuration requise sur la machine cliente et la configuration requise sur le serveur pour la prise en charge des cartes à puce, veuillez consulter le Guide de l'administrateur des clients pour Windows et le Guide de l'administrateur Citrix Presentation Server. Étape 1 : installation des clients pour Windows Vous devez installer les clients pour Windows sur les machines clientes de vos utilisateurs en utilisant un compte d'administrateur. La fonctionnalité d'authentification unique est disponible uniquement sur les clients pour Windows présents sur le CD-ROM des composants. Pour des raisons de sécurité, le client Web ne contient pas cette fonctionnalité. Cela signifie que vous ne pouvez pas utiliser d'installation du client par le Web pour déployer des clients contenant cette fonction auprès de vos utilisateurs.

Centre de documentation Chapitre 5 Configuration de l'authentification pour l'interface Web 93 Étape 2 : activation de l'authentification unique sur le client Une fois l'installation terminée, vous devez activer l'authentification unique sur le client. Vous pouvez : configurer la stratégie de groupe pour activer l'authentification unique pour tous les clients ; Ou modifier le fichier Appsrv.ini, situé dans les profils des utilisateurs, afin d'activer l'authentification unique pour un seul client. Par exemple, si le profil d'un utilisateur est stocké localement, ce fichier figure dans le dossier C:\Documents and Settings\utilisateur\Application Data\ICAClient. Remarque Le dossier Application Data est masqué. Pour activer l'authentification unique pour tous les clients 1. Ouvrez le composant logiciel enfichable MMC Éditeur d'objet Stratégie de groupe. 2. Sélectionnez l'objet Stratégie de groupe que vous souhaitez modifier. 3. Cliquez avec le bouton droit de la souris sur le dossier Modèles d'administration et sélectionnez Ajout/Suppression de modèles. 4. Cliquez sur Ajouter et recherchez le modèle icaclient sur le CD-ROM des composants. 5. Cliquez sur Ouvrir pour ajouter le modèle, puis cliquez sur Fermer pour retourner à l'éditeur d'objet Stratégie de groupe. Remarque Si vous avez déjà ajouté le modèle icaclient à l'éditeur d'objet Stratégie de groupe, vous pouvez passer les étapes 3 à 5. 6. Dans l'arborescence de la console, développez le dossier Modèles d'administration. 7. Sélectionnez Composants Citrix > Presentation Server> Authentification de l'utilisateur du client. 8. Sélectionnez Nom de l'utilisateur et mot de passe locaux. 9. Dans le menu Action, cliquez sur Propriétés.

94 Guide de l administrateur de l Interface Web Centre de documentation 10. Cliquez sur l'onglet Paramètres. 11. Dans la zone Nom de l'utilisateur et mot de passe locaux, sélectionnez Activé. 12. Cochez la case Activer l'authentification unique et cliquez sur OK. Pour activer l'authentification unique pour un seul client 1. Ouvrez le fichier Appsrv.ini à l'aide d'un éditeur de texte, comme le Blocnotes. 2. Dans la section [WFClient], ajoutez les entrées suivantes : EnableSSOnThruICAFile=On SSOnUserSetting=On 3. Enregistrez le fichier mis à jour. Attention Si les serveurs exécutent des versions antérieures à MetaFrame Presentation Server, Feature Release 2, les utilisateurs peuvent visualiser toutes les applications lorsqu'ils utilisent l'authentification unique. Étape 3 : activation du mappeur du service d'annuaire Windows Assurez-vous que le mappeur du service d'annuaire Windows est activé sur le serveur exécutant l'interface Web. L'authentification de l'interface Web utilise les comptes de domaine Windows, c'est-à-dire, les informations d'identification du mot de passe et du nom d'utilisateur. Les certificats sont toutefois enregistrés sur des cartes à puce. Le mappeur du service d'annuaire utilise Windows Active Directory pour mapper un certificat avec un compte de domaine Windows. Pour activer le mappeur du service d'annuaire Windows sur IIS 6.0 1. Ouvrez Internet Information Services (IIS) Manager sur le serveur exécutant l'interface Web. 2. Cliquez avec le bouton droit de la souris sur le répertoire Sites Web situé sous le serveur exécutant l'interface Web et cliquez sur Propriétés. 3. Dans la section Communications sécurisées de l'onglet Sécurité du répertoire, sélectionnez Activer le mappeur du service d'annuaire Windows. 4. Pour activer le mappeur du service d'annuaire, cliquez sur OK.

Centre de documentation Chapitre 5 Configuration de l'authentification pour l'interface Web 95 Étape 4 : activation de l'authentification par carte à puce à l'aide de la console Vous devez configurer l'interface Web pour activer l'authentification par carte à puce (afin que les utilisateurs puissent accéder à l'interface Web et afficher leurs séries d'applications) et sur le serveur (afin que les utilisateurs puissent lancer des applications dans une session cliente à l'aide de l'interface Web). Pour activer l'authentification par carte à puce à l'aide de la console 1. Cliquez sur la tâche Configurer les méthodes d'authentification. 2. Procédez de l'une des manières suivantes : Si vous voulez activer l'authentification par carte à puce pour un site, cochez la case Carte à puce et cliquez sur OK pour fermer la boîte de dialogue Configurer les méthodes d'authentification. Si vous voulez activer l'authentification par carte à puce pour un site Services de l'agent Program Neighborhood, cochez la case Carte à puce. Passez à l'étape 3. 3. Cliquez sur Propriétés. 4. Sélectionnez Itinérance. 5. Cochez la case Activer l'itinérance et choisissez l'une des options suivantes : Déconnecter les sessions lors du retrait. Cette option déconnecte la session d'un utilisateur lorsqu'une carte à puce est retirée. Fermer les sessions lors du retrait. Cette option ferme la session d'un utilisateur lorsqu'une carte à puce est retirée. Exemple : activation de l'authentification par carte à puce Cet exemple illustre les étapes à suivre pour permettre à un utilisateur d'ouvrir une session sur l'interface Web et de lancer des applications à l'aide d'une carte à puce. Vous souhaitez activer l'authentification par carte à puce pour l'utilisateur Pierre. Ce dernier utilise une machine cliente Windows 2000 avec le Service Pack 4. Un lecteur de carte à puce est rattaché à sa machine cliente et la prise en charge des cartes à puce est configurée sur le serveur. À l'heure actuelle, l'interface Web est configurée de façon à permettre uniquement une authentification explicite à l'aide d'un nom d'utilisateur et d'un mot de passe.

96 Guide de l administrateur de l Interface Web Centre de documentation Pour activer l authentification par carte à puce 1. Utilisez le CD-ROM des composants pour installer les clients pour Windows sur la machine cliente de Pierre. L'installation du client est effectuée à l'aide d'un compte d'administrateur. Lors de l'installation des clients pour Windows, répondez par Oui à l'invitation «Désirez-vous activer et utiliser automatiquement le nom d'utilisateur et le mot de passe locaux pour les sessions Citrix ouvertes à partir de ce client?» 2. Modifiez le fichier Appsrv.ini dans le profil de Pierre. Ce fichier se trouve dans C:\Documents and Settings\Pierre\Application Data\ICAClient Dans la section [WFClient], ajoutez les entrées suivantes : EnableSSOnThruICAFile=On SSOnUserSetting=On 3. Assurez-vous que le mappeur du service d annuaire Windows est activé. Pour des informations complémentaires, veuillez consulter la section «Étape 3 : activation du mappeur du service d'annuaire Windows», page 94. 4. Utilisez la tâche Configurer les méthodes d'authentification de la console Access Management Console pour activer l'authentification par carte à puce. Cela signifie que lorsque Pierre sélectionne l'option Carte à puce dans la page Ouverture de session, il lui suffit d'entrer son code PIN pour ouvrir une session (à condition d'avoir ouvert une session sur son bureau Windows à l'aide de sa carte à puce). Remarque Si vous ne souhaitez pas que Pierre doive de nouveau entrer son code secret lorsqu'il ouvre une session sur l'interface Web, sélectionnez Authentification unique avec carte à puce. Configuration de l'authentification à deux facteurs Vous pouvez configurer les méthodes d'authentification à deux facteurs suivantes pour les sites : Secure Computing SafeWord pour Citrix. Technologie d'authentification à deux facteurs qui utilise des codes alphanumériques générés par les jetons SafeWord et (facultativement) des codes secrets pour créer un mot de passe. Avant de pouvoir accéder aux applications du serveur, les utilisateurs doivent saisir les informations d'identification de leur domaine et leurs PASSCODES SafeWord dans la page Ouverture de session.

Centre de documentation Chapitre 5 Configuration de l'authentification pour l'interface Web 97 RSA SecurID. Méthode d authentification à deux facteurs qui utilise des nombres générés par les jetons RSA SecurID (tokencodes) et des codes secrets pour créer un PASSCODE. Avant de pouvoir accéder aux applications du serveur, les utilisateurs doivent saisir leurs noms d utilisateurs, leurs domaines et leurs PASSCODES RSA SecurID dans la page Ouverture de session. Lors de la création d utilisateurs sur ACE/ Server, les noms d'ouverture de session des utilisateurs doivent être les mêmes que leurs noms d utilisateurs de domaine. Remarque Lors de l'utilisation de l'authentification RSA SecurID, le système peut générer et afficher un nouveau code secret pour l'utilisateur. Ce code secret s'affiche pendant 10 secondes ou jusqu'à ce que l'utilisateur clique sur OK ou Annuler, afin de s'assurer que le code secret ne peut pas être vu par d'autres personnes. Cette fonctionnalité n'est pas disponible sur les ordinateurs de poche. Activation de l'authentification SafeWord de Secure Computing sur IIS La section suivante décrit l'activation de la prise en charge de SafeWord de Secure Computing. Le port de serveur SafeWord par défaut est 5031 et il est configurable. Le serveur exécutant l'interface Web ne doit pas obligatoirement appartenir au domaine Active Directory auquel est intégré SafeWord. Configuration requise pour SafeWord Pour utiliser l'authentification SafeWord avec l'interface Web pour IIS : vous devez vous procurer la dernière version de l'agent SafeWord de Secure Computing ; vous devez vous assurer que l'agent SafeWord pour l'interface Web est installé sur le serveur exécutant l'interface Web ; vous devez vous assurer que l'interface Web est installée avant d'installer l'agent SafeWord pour l'interface Web. Si vous utilisez l'interface Web pour MetaFrame XP, version 2.0 ou antérieure et si vous utilisez SafeWord pour Citrix 1.1, vous pouvez mettre à niveau l'interface Web pour Citrix Presentation Server, version 4.0. Si vous ne disposez pas de versions antérieures de l'interface Web intégrée avec SafeWord, vous devez obtenir une version mise à jour de l'agent SafeWord pour l'interface Web auprès de Secure Computing. Pour plus d'informations sur la configuration de votre produit SafeWord, veuillez consulter le site : http://www.securecomputing.com/.

98 Guide de l administrateur de l Interface Web Centre de documentation Activation de l'authentification SafeWord à l'aide de la console Vous devez configurer l'interface Web pour activer l'authentification SafeWord de sorte que les utilisateurs puissent avoir accès à leur série d'applications et l'afficher. Pour ce faire, utilisez la tâche Configurer les méthodes d'authentification. Activation de l'authentification RSA SecurID 6.0 sur IIS Les sections suivantes décrivent l'activation de la prise en charge de RSA SecurID. Configuration requise pour SecurID Pour utiliser l'authentification SecurID avec l'interface Web pour IIS : RSA ACE/Agent pour Windows 6.0 doit être installé sur le serveur exécutant l'interface Web. L'Interface Web doit être installée après l'installation d'ace/agent Ajout d un serveur exécutant l'interface Web en tant qu'agent Host Vous devez créer un Agent Host pour le serveur exécutant l'interface Web dans la base de données RSA ACE/Server, afin que RSA ACE/Server reconnaisse et accepte les requêtes d authentification provenant du serveur exécutant l'interface Web. Lors de la création d'un Agent Host, sélectionnez Net OS Agent dans la liste déroulante Agent type. Copie du fichier sdconf.rec Localisez le fichier sdconf.rec sur RSA ACE/Server (ou si nécessaire, créez-le) et copiez-le dans le répertoire %SystemRoot%\System32 sur le serveur exécutant l'interface Web. Ce fichier fournit au serveur toutes les informations nécessaires à la connexion à RSA ACE/Server. Activation de l'authentification RSA SecurID à l'aide de la console Vous devez configurer l'interface Web pour activer l'authentification RSA SecurID pour l'interface Web de sorte que les utilisateurs puissent avoir accès à leur série d'applications et l'afficher. Pour ce faire, utilisez la tâche Configurer les méthodes d'authentification.

Centre de documentation Chapitre 5 Configuration de l'authentification pour l'interface Web 99 Considérations sur la clé de Registre du nœud secret Le nœud secret est utilisé pour assurer une communication sécurisée entre le serveur exécutant l'interface Web et RSA ACE/Server. Le nœud secret peut ne plus être synchronisé entre ces deux serveurs dans les cas suivants : le serveur exécutant l'interface Web est réinstallé ; l'enregistrement de l'agent Host pour le serveur exécutant l'interface Web est supprimé, puis ajouté à nouveau ; la case Node Secret Created n'est pas cochée dans la boîte de dialogue Edit Agent Host du serveur RSA. le serveur RSA est réinstallé ; la clé de Registre du nœud secret est supprimée du serveur exécutant l'interface Web. Si le nœud secret du serveur exécutant l'interface Web et celui de RSA ACE/ Server ne correspondent pas, RSA SecurID échouera. Vous devez réinitialiser le nœud secret sur le serveur exécutant l'interface Web et RSA ACE/Server. Attention L'utilisation incorrecte de l Éditeur du Registre peut provoquer de sérieux problèmes qui peuvent nécessiter la réinstallation de votre système d exploitation. Citrix ne peut pas garantir que les problèmes résultant d une utilisation incorrecte de l Éditeur du Registre puissent être résolus. Vous utilisez l Éditeur du Registre à vos risques et périls. Pour réinitialiser le nœud secret sur le serveur exécutant l'interface Web 1. Dans le Registre du système, recherchez : HKEY_LOCAL_MACHINE\SOFTWARE\SDTI\ACECLIENT 2. Supprimez la clé NodeSecret. Remarque La réinstallation de l'interface Web ne supprime pas la clé du nœud secret. Si l entrée Agent Host demeure inchangée sur le serveur RSA, le nœud secret peut être réutilisé.

100 Guide de l administrateur de l Interface Web Centre de documentation Prise en charge de domaines multiples RSA SecurID Si vous possédez des comptes utilisateurs qui partagent le même nom d'utilisateur, mais existent dans différents domaines Windows, vous devez les identifier dans la base de données RSA ACE/Server à l'aide d'une ouverture de session par défaut sous la forme DOMAINE\nom d'utilisateur (plutôt qu'avec un nom d'utilisateur uniquement), et configurer l'interface Web afin qu'elle envoie le domaine et le nom d'utilisateur à ACE/Server, en utilisant la tâche Configurer les méthodes d'authentification disponible depuis la console Access Management Console. Activation de l'intégration de mots de passe Windows RSA SecurID 6.0 L'Interface Web prend en charge la fonctionnalité d'intégration de mot de passe Windows qui est disponible avec RSA SecurID 6.0. Lorsque cette fonctionnalité est activée, les utilisateurs de l'interface Web peuvent ouvrir une session et lancer des applications avec leur PASSCODE SecurID. Les utilisateurs doivent uniquement fournir un mot de passe Windows la première fois qu'ils ouvrent une session sur l'interface Web ou lorsque leur mot de passe doit être changé. Pour utiliser l'intégration de mot de passe Windows SecurID 6.0 avec l'interface Web pour IIS. Le client d'authentification local RSA ACE/Agent pour Windows 6.0 doit être installé sur le serveur exécutant l'interface Web (les administrateurs doivent ouvrir une session sur l'interface Web à l'aide des informations d'identification de l'administrateur de la machine locale). L'Interface Web doit être installée après l'installation d'ace/agent. Le service RSA Authentication Agent Offline Local doit être exécuté sur le serveur exécutant l'interface Web. L'Agent Host du serveur exécutant l'interface Web dans la base de données RSA ACE/Server 6.0 doit être configuré pour activer la fonctionnalité d'intégration de mot de passe Windows. Les paramètres système de la base de données doivent être configurés pour activer la fonctionnalité d'intégration de mot de passe Windows au niveau du système.

Centre de documentation Chapitre 5 Configuration de l'authentification pour l'interface Web 101 Activation de l'authentification à deux facteurs sous UNIX Les sections suivantes décrivent l'activation de la prise en charge de SafeWord de Secure Computing et de RSA SecurID sous UNIX. Dans le cas de sites UNIX, l'interface Web utilise le protocole d'authentification RADIUS (Remote Authentication Dial In User Service), par opposition au logiciel d'agent propriétaire qui doit être installé pour les sites IIS. SafeWord et SecurID peuvent, tous deux, être installés et configurés pour être présentés en tant que serveur RADIUS. Activation de RADIUS avec SafeWord Lors de l'installation du logiciel serveur SafeWord, choisissez d'installer l'agent IAS RADIUS. Suivez les instructions à l'écran concernant l'installation du ou des client(s) RADIUS avec le composant logiciel enfichable Windows IAS. Un nouveau client RADIUS doit être configuré pour chaque serveur exécutant l'interface Web qui authentifie les utilisateurs sur le serveur SafeWord. Chaque client RADIUS créé doit être fourni avec les éléments suivants : le nom de domaine complet ou l'adresse IP du serveur exécutant l'interface Web à laquelle le client RADIUS est associé ; un secret, qui est connu du serveur associé exécutant l'interface Web. Pour des informations complémentaires, veuillez consulter la section «Création d'un secret partagé pour RADIUS», page 102 ; le type de client doit être défini sur RADIUS standard ; l'option Request must contain the Message Authenticator attribute doit être activée pour améliorer la sécurité. Activation de RADIUS avec RSA SecurID RADIUS est activé sur ACE/Server à l'aide de l'outil de gestion de configuration de SecurID 6.0. Pour plus d'informations sur l'utilisation de cet outil, consultez la documentation RSA fournie avec le logiciel SecurID.

102 Guide de l administrateur de l Interface Web Centre de documentation Ajout de l'interface Web et des serveurs RADIUS en tant qu'agent Hosts En assumant que l'ace/server qui authentifie les utilisateurs agira également comme serveur RADIUS, vous devez créer un Agent Host pour le serveur RADIUS local s'exécutant dans la base de données RSA ACE/Server. Lors de la création d'un Agent Host, indiquez le nom et l'adresse IP du serveur local et sélectionnez Net OS Agent dans la liste Agent type. Le serveur local doit être assigné en tant que serveur intérimaire. Par ailleurs, vous devez créer un Agent Host pour chaque serveur exécutant l'interface Web dans la base de données RSA ACE/Server afin que RSA ACE/ Server reconnaisse et accepte les requêtes d authentification provenant du serveur exécutant l'interface Web en passant par le serveur RADIUS. Lors de la création de cet Agent Host, sélectionnez Communication Server dans la liste Agent type, puis définissez la clé de cryptage sur la valeur du secret partagé avec l'interface Web. Pour des informations complémentaires, veuillez consulter la section «Création d'un secret partagé pour RADIUS», page 102. Création d'un secret partagé pour RADIUS Le protocole RADIUS nécessite l'utilisation d'un secret partagé, contenant des données connues uniquement du client RADIUS (c'est-à-dire de l'interface Web) et du serveur RADIUS auprès duquel il s'authentifie. L'Interface Web stocke ce secret dans un fichier texte sur le système de fichiers local. L'emplacement de ce fichier est indiqué par le fichier web.xml dans le paramètre radius_secret_path stocké sur le serveur UNIX. Pour créer le secret partagé, créez un fichier texte nommé radius_secret.txt contenant une chaîne quelconque. Déplacez ce fichier vers l'emplacement indiqué dans le fichier web.xml ; assurez-vous qu'il est verrouillé et qu'il ne peut être accessible qu'aux utilisateurs ou processus appropriés. Activation de l'authentification à deux facteurs RADIUS à l'aide de la console Vous devez activer l'authentification à deux facteurs sur l'interface Web de sorte que les utilisateurs puissent avoir accès à leur série d'applications et l'afficher. Pour ce faire, utilisez la tâche Configurer les méthodes d'authentification dans la console Access Management Console. Pour les sites UNIX, en plus d'activer l'authentification à deux facteurs, vous pouvez indiquer une ou plusieurs adresses de serveurs RADIUS (et facultativement des ports), l'équilibrage de charge ou le comportement du basculement des serveurs et le délai d'expiration de la réponse.

Centre de documentation Chapitre 5 Configuration de l'authentification pour l'interface Web 103 Utilisation du mode RADIUS Challenge Par défaut, un serveur RADIUS SecurID est en mode RADIUS Challenge. Dans ce mode : l'interface Web affiche un écran de challenge générique comportant un message, une zone de mot de passe HTML, ainsi que les boutons OK et Annuler ; les messages de challenge ne sont pas localisés par l'interface Web. Ils sont dans la même langue que les messages de challenge sur le serveur RADIUS SecurID. Si les utilisateurs ne donnent pas de réponse (par exemple, s'ils cliquent sur Annuler), ils sont redirigés vers la page Ouverture de session. Citrix recommande que ce mode soit uniquement utilisé si des composants ou des produits logiciels autres que l'interface Web utilisent également le serveur RADIUS pour l'authentification. Utilisation de messages de challenge personnalisés Vous pouvez configurer des messages de challenge personnalisés pour le serveur RADIUS SecurID. Lorsque vous utilisez des messages personnalisés connus de l'interface Web, cette dernière peut présenter des pages d'interface identiques à celles affichées par l'interface Web pour IIS et ces pages sont localisées. Cette fonctionnalité nécessite des modifications de la configuration du serveur RADIUS et doit être implantée uniquement si le serveur RADIUS est utilisé exclusivement pour authentifier les utilisateurs de l'interface Web. Vous pouvez modifier les messages de challenge en lançant l'utilitaire de configuration RADIUS RSA. Pour plus d'informations sur l'utilisation de cet outil, consultez la documentation RSA fournie avec le logiciel SecurID. Pour afficher les mêmes messages à l'intention des utilisateurs qui accèdent à des sites sur IIS et sur des serveurs UNIX, il est nécessaire de mettre à jour les challenges ci-dessous. Teneur du message Paquet Valeur mise à jour L'utilisateur veut-il un code secret système? L'utilisateur est-il prêt à recevoir un code secret système? L'utilisateur est-il satisfait du code secret système? Nouveau code secret numérique de longueur fixe Challenge Challenge Challenge Challenge CHANGE_PIN_EITHER SYSTEM_PIN_READY CHANGE_PIN_SYSTEM_[%s] CHANGE_PIN_USER

104 Guide de l administrateur de l Interface Web Centre de documentation Teneur du message Paquet Valeur mise à jour Nouveau code secret alphanumérique de longueur fixe Nouveau code secret numérique de longueur variable Nouveau code secret alphanumérique de longueur variable Challenge Challenge Challenge CHANGE_PIN_USER CHANGE_PIN_USER CHANGE_PIN_USER Nouveau code secret accepté Challenge SUCCESS Entrer Oui ou Non Challenge FAILURE Nouveau code d'authentifieur requis Challenge NEXT_TOKENCODE

Centre de documentation CHAPITRE 6 Gestion des clients Ce chapitre fournit des informations sur le déploiement et l'utilisation des clients Citrix Presentation Server et de Citrix Streaming Client à l'aide de l'interface Web. Il explique également comment créer un accès client sécurisé. Il comporte les sections suivantes. Gestion du déploiement du client Configuration de l'agent Program Neighborhood Gestion de l'accès client sécurisé Modification des paramètres du proxy côté client Gestion du déploiement du client Pour accéder à des applications ou ouvrir des sessions de conférences, les utilisateurs doivent disposer d'un navigateur Web pris en charge et d'un Client Citrix Presentation Server, de Citrix Streaming Client ou d'un logiciel de connexion au Bureau à distance. Utilisez la fonction Gérer le déploiement du client afin de préciser quels clients sont proposés aux utilisateurs pour le téléchargement et l'installation. Vous pouvez également utiliser cette tâche pour spécifier avec quels clients les utilisateurs peuvent lancer les applications.

106 Guide de l administrateur de l Interface Web Centre de documentation Vous pouvez effectuer les opérations suivantes. Configurer l'installation des clients par le Web. Cette fonctionnalité vous permet de télécharger et d'installer facilement les clients appropriés sur les machines des utilisateurs à l'aide des légendes d'installation. Il s'agit de liens présentés aux utilisateurs ayant besoin d'un client. Les utilisateurs doivent cliquer sur un lien pour installer le client sur leur machine cliente. Configurer l'interface Web afin d'installer automatiquement le client complet pour les utilisateurs de Windows accédant aux applications par Internet Explorer. Remarque L'installation automatique du client est disponible uniquement pour les sites configurés pour lancer des applications distantes. Configurer l'interface Web afin de permettre aux utilisateurs d'installer Citrix Streaming Client. Préciser avec quels clients les utilisateurs peuvent lancer les applications. Permettre aux utilisateurs de sélectionner le mode de lancement de leurs applications. Spécifier les composants compris dans le Client pour Java ou permettre aux utilisateurs de sélectionner les composants dont ils ont besoin. Types de clients distants Les clients suivants sont disponibles pour lancer les applications distantes : Client natif. L'installation automatique du client complet est disponible pour les utilisateurs. Les fenêtres transparentes sont prises en charge ; les applications sont lancées dans des fenêtres de bureau redimensionnables. Si les utilisateurs accèdent aux applications par le biais d'un ordinateur de poche, vous devez activer le client natif. Client natif incorporé (ActiveX ou module externe Netscape). Les utilisateurs téléchargent et installent ce client lorsqu'ils lancent des applications. Les fenêtres transparentes ne sont pas prises en charge ; les applications sont lancées dans une fenêtre de navigateur.

Centre de documentation Chapitre 6 Gestion des clients 107 Client pour Java. Les utilisateurs téléchargent le Client pour Java lorsqu'ils lancent des applications. Ce client prend en charge les fenêtres transparentes ; les applications sont lancées dans des fenêtres de bureau redimensionnables. Logiciel de connexion au Bureau à distance incorporé. Les utilisateurs téléchargent et installent le logiciel de connexion au Bureau à distance lorsqu'ils lancent des applications. Les fenêtres transparentes ne sont pas prises en charge ; les applications sont lancées dans des fenêtres de navigateur incorporées. Vous devez indiquer un client par défaut. Pour ce faire, sélectionnez un client et cliquez sur Définir comme défaut. Remarque Le client incorporé natif, le client pour Java et le logiciel de connexion au Bureau à distance incorporé ne sont pas pris en charge sur les assistants numériques personnels exécutant Pocket PC. Citrix Streaming Client Citrix Streaming Client permet aux utilisateurs de livrer des applications en streaming sur leur bureau et de les ouvrir localement. Citrix Streaming Client : fonctionne comme un service sur la station de travail de l'utilisateur afin d'appeler des applications que l'utilisateur sélectionne à l'aide de l'agent Program Neighborhood ou d'un navigateur Web ; recherche la cible correcte du profil pour la station de travail de l'utilisateur, crée un environnement isolé sur la station de travail de l'utilisateur et livre en streaming les fichiers nécessaires à l'exécution de l'application sur le bureau de l'utilisateur. Vous pouvez installer le Citrix Streaming Client avec l'agent Program Neighborhood afin de fournir la totalité des fonctionnalités de streaming des applications ou seul sur le bureau de l'utilisateur afin que celui-ci puisse accéder à des applications publiées grâce à un navigateur Web utilisant un site Access Platform. Pour plus d'informations sur la publication d'applications livrées en streaming, veuillez consulter le Guide de l'administrateur Citrix Presentation Server. Pour plus d'informations sur la fonctionnalité de streaming d'application, veuillez consulter le Guide Streaming d'application Citrix.

108 Guide de l administrateur de l Interface Web Centre de documentation Installation du client par le Web Pour utiliser l'interface Web, les utilisateurs doivent posséder un navigateur Web pris en charge, un Client Citrix Presentation Server et Citrix Streaming Client (pour accéder aux applications livrées en streaming). Copie des fichiers d'installation d'un client sur le serveur Web Pour installer un client par le Web, le serveur Web doit contenir les fichiers d'installation du client. Le programme d'installation de l'interface Web vous invite à fournir le CD-ROM des composants ou son image. Le programme d'installation copie le contenu du répertoire Clients du CD-ROM vers un répertoire appelé \Clients dans le répertoire racine des fichiers communs (par exemple, C:\Program Files\Citrix\Web Interface\4.5\Clients). Si vous n'avez pas copié les fichiers d installation des clients sur le serveur Web lors de l'installation de l'interface Web, assurez-vous de les copier sur le serveur Web avant d'installer des clients par le Web. Pour copier les fichiers des clients sur le serveur Web 1. Recherchez le répertoire Clients dans lequel l'interface Web est installée. Par exemple, C:\Program Files\Citrix\Web Interface\4.5\Clients. 2. Insérez le CD-ROM des composants dans le lecteur de CD-ROM du serveur Web ou recherchez image partagée de ce CD-ROM sur le réseau. 3. Envoyez les répertoires vers le répertoire \Clients du CD. Copiez le contenu du répertoire \Clients sur le CD vers le répertoire \Clients sur le serveur exécutant l'interface Web. Assurez-vous de copier le contenu du répertoire et non le répertoire \Clients lui-même.

Centre de documentation Chapitre 6 Gestion des clients 109 Configuration des légendes d'installation Lorsqu'un utilisateur ouvre une session sur un site Interface Web, la fonction d'installation du client par le Web vérifie si l'ordinateur de l'utilisateur contient le logiciel client. Si aucun logiciel client n'est détecté, la fonction d'installation du client par le Web permet de télécharger et d'installer le logiciel client approprié. L utilisateur doit cliquer sur ce lien pour installer le client sur sa machine cliente. Ces liens sont appelés légendes d'installation. Par exemple : Cette capture d'écran montre un exemple de légende d'installation qui peut apparaître dans la page Ouverture de session de l'utilisateur. Pour configurer une légende d'installation 1. Cliquez sur la tâche Gestion du déploiement du client. 2. Cliquez sur Légende d'installation. 3. Précisez le mode d'affichage de la légende d'installation pour les utilisateurs. Choisissez parmi les modes suivants : Automatique. Si l'utilisateur ne dispose pas d'un client approprié, la légende d'installation s'affiche. Il s'agit de l'option par défaut. Toujours. Le lien de téléchargement d'installation est toujours affiché sur toutes les plates-formes. Jamais. Le lien de téléchargement d'installation n'est jamais affiché.

110 Guide de l administrateur de l Interface Web Centre de documentation Configuration d'une légende d'installation personnalisée Le paramètre OverrideClientInstallCaption dans le fichier InterfaceWeb.conf spécifie un message personnalisé qui peut être affiché avec les liens de téléchargement pour les clients. Par défaut, ce paramètre est placé en commentaire (un symbole de dièse [#] est placé au début de la ligne) et les messages par défaut sont utilisés. Les messages par défaut varient en fonction de la plate-forme cliente identifiée et sont similaires au message suivant. «Le client Web n'est pas installé sur votre système. Vous devez installer le client pour lancer les applications. Sélectionnez l'icône ci-dessous pour installer le client.» Pour afficher un message personnalisé avec les liens de téléchargement 1. Ouvrez le fichier WebInterface.conf. 2. Modifiez le paramètre OverrideClientInstallCaption. Par exemple : OverrideClientInstallCaption=Veuillez installer un client. Les clients proposés sont les suivants : Pour configurer les clients proposés aux utilisateurs par des légendes d'installation, vous devez modifier le fichier WebInterface.conf. Pour des informations complémentaires, veuillez consulter la section «Configuration de sites à l'aide du fichier de configuration», page 155. Déploiement du logiciel de connexion au Bureau à distance La fonction de connexion au Bureau à distance est disponible sur les systèmes Windows 32 bits avec Internet Explorer 5.5 ou ultérieur. Configuration requise pour la connexion au Bureau à distance Si vous configurez un site Participant invité de Conferencing Manager et si les utilisateurs doivent se connecter au moyen du logiciel de connexion au Bureau à distance, veillez à utiliser un nombre de couleurs inférieur ou égal à 256 pour créer les conférences. Dans le cas contraire, les utilisateurs se connectant à l'aide du logiciel de connexion au Bureau à distance recevront un message d'erreur et ne pourront pas ouvrir de session. Si le navigateur du client ne place pas le site Interface Web dans l'intranet ou dans la zone Sites de confiance, il affiche un message d'erreur et renvoie l'utilisateur à l'aide en ligne pour plus d'informations. Dans ce cas, Citrix recommande de demander aux utilisateurs de procéder comme suit.

Centre de documentation Chapitre 6 Gestion des clients 111 Pour ajouter le serveur exécutant l'interface Web dans la zone Sites de confiance 1. Dans Internet Explorer, ouvrez le menu Outils. 2. Sélectionnez Options Internet. 3. Ouvrez la page Sécurité. 4. Sélectionnez Sites de confiance. 5. Cliquez sur Sites. 6. Dans le champ Ajouter ce site Web à la zone, entrez le nom du serveur exécutant l'interface Web, par exemple http://nomserveur. 7. Cliquez sur Ajouter pour ajouter le serveur à la liste Sites Web. 8. Pour fermer la boîte de dialogue Options Internet, cliquez deux fois sur OK. Déploiement du client pour Java Si vous déployez des clients sur un réseau à bande passante réduite ou si vous ne connaissez pas la plate-forme de vos utilisateurs, envisagez d'utiliser le client pour Java. Le client pour Java est une applet compatible sur toutes les platesformes et qui peut être déployée par le serveur Interface Web sur n'importe quel navigateur Web compatible Java. Personnalisation du déploiement du client pour Java Vous pouvez configurer les composants compris dans le déploiement du Client pour Java. La taille du téléchargement du Client pour Java est déterminée par les packs compris dans le téléchargement. Moins le nombre de packs sélectionné est important, plus la taille du téléchargement est réduite (jusqu'à 540 Ko). Pour limiter la taille du téléchargement pour les utilisateurs disposant de connexions à faible bande passante, vous pouvez déployer uniquement un ensemble minimal de composants. Vous avez également la possibilité de permettre aux utilisateurs de contrôler les composants requis. Remarque Certains composants que vous rendez disponibles dans le Client pour Java peuvent exiger une configuration supplémentaire sur la machine cliente ou le serveur. Pour plus d'informations sur le client pour Java et ses composants, veuillez consulter le Guide de l'administrateur du Client pour Java.

112 Guide de l administrateur de l Interface Web Centre de documentation Le tableau suivant recense les options disponibles : Pack Audio Presse-papiers Écho local du texte SSL/TLS Cryptage Mappage de lecteurs clients Mappage d'imprimantes Interface utilisateur de configuration Description Permet aux applications s'exécutant sur le serveur de lire les sons par l'intermédiaire d'un dispositif sonore installé sur la machine cliente. Vous pouvez contrôler la quantité de bande passante utilisée par le mappage audio du client sur le serveur. Pour plus de détails, veuillez consulter le Guide de l'administrateur Citrix Presentation Server. Permet aux utilisateurs de copier du texte et des graphiques entre les applications sur le serveur et les applications qui s'exécutent localement sur la machine cliente. Accélère l affichage du texte saisi sur la machine cliente. Assure la sécurité des communications à l'aide des protocoles SSL (Secure Socket Layer) et TLS (Transport Layer Security). SSL/TLS offre des fonctions d'authentification du serveur, de cryptage du flux de données et de vérification de l'intégrité des messages. Assure un cryptage élevé qui améliore la confidentialité des connexions clientes. Permet aux utilisateurs d'accéder à leurs lecteurs locaux à partir d'une session cliente. Lorsque les utilisateurs se connectent au serveur, leurs lecteurs clients (lecteurs de disquettes, réseau et de CD-ROM, par exemple) sont automatiquement montés. Les utilisateurs peuvent accéder à leurs fichiers stockés localement, s'en servir au cours de leurs sessions clientes, puis les enregistrer de nouveau sur un lecteur local ou sur un lecteur du serveur. Pour activer ce paramètre, les utilisateurs doivent aussi configurer le mappage de lecteurs clients dans la boîte de dialogue Paramètres du client pour Java. Pour plus d'informations, reportez-vous au Guide de l'administrateur du Client pour Java. Permet aux utilisateurs d'imprimer sur leurs imprimantes locales ou réseau à partir d'une session cliente. Active la boîte de dialogue Paramètres du client pour Java. Cette boîte de dialogue permet aux utilisateurs de configurer le Client pour Java. Utilisation de certificats racine privés avec le Client pour Java, version 9.x Si vous avez configuré un service Secure Gateway ou Relais SSL Citrix avec un certificat de serveur provenant d'une autorité de certification privée (si vous délivrez par exemple vos propres certificats à l'aide des Services de certificats Microsoft), vous devez importer le certificat racine dans le stock de clés Java de chaque machine cliente. Pour plus d'informations, reportez-vous au Guide de l'administrateur du Client pour Java.

Centre de documentation Chapitre 6 Gestion des clients 113 Utilisation de certificats racine privés avec le Client pour Java, version 8.x Pour utiliser des certificats racine privés avec la version 8.x du client, sélectionnez l'option Utiliser un certificat racine privé. Dans le champ Nom du fichier de certificat, entrez le nom du fichier de certificat. Le certificat doit se trouver dans le même répertoire sur le serveur Web que les packs Client Java (par exemple, Clients\icajava dans le répertoire des fichiers communs sur IIS). Important Cette option ne vérifie pas que le certificat racine est délivré via une connexion sécurisée. Le certificat racine pouvant être transmis sur un lien HTTP non crypté, il pourrait être vulnérable aux attaques. Citrix vous conseille de configurer le serveur Web pour utiliser des connexions HTTPS. Déploiement du Client pour Java à l'aide de l'interface Web avec des certificats SSL/TLS personnalisés Suivez la procédure ci-dessous pour configurer l'interface Web afin qu'elle utilise un certificat racine SSL personnalisé unique avec la version 8.x du Client pour Java. Le certificat est mis à disposition du Client pour Java en tant que fichier individuel dans le répertoire codebase du client sur le serveur Web. Il est possible que cela pose des problèmes pour les fichiers.cer car IIS les envoie en utilisant du texte MIME et le fichier peut s'altérer lors du transport (les terminaisons des lignes sont, par exemple, modifiées). De plus, certaines machines virtuelles Java (JVM), telles que IBM JVM sous OS/2, ne récupèreront pas les certificats spécifiés en tant que fichiers individuels. Citrix vous conseille de rassembler les certificats de racine dans un fichier d'archive unique pour fournir plusieurs certificats. Cette procédure est documentée dans le Guide de l'administrateur du Client pour Java. La procédure suivante décrit comment configurer des certificats personnalisés à l'aide de l'interface Web et du Client pour Java. Pour configurer les certificats personnalisés 1. Contactez votre organisme de certification afin d'obtenir les certificats racine correspondant aux certificats de serveur utilisés sur les serveurs. 2. Dans un éditeur de texte, recherchez et ouvrez le fichier appembedjica.inc Généralement, le fichier se trouve à l emplacement suivant : C:\Inetpub\wwwroot\Citrix\SiteType\app_data\site\include. 3. Localisez la section située entre les balises HTML <applet> et </applet>.

114 Guide de l administrateur de l Interface Web Centre de documentation 4. Avant la balise </applet>, spécifiez les certificats SSL/TLS devant être utilisés par le client pour Java. Utilisez les paramètres suivants : SSLNoCACerts. Nombre de certificats spécifiés dans l'archive cliente. SSLCACert0, SSLCert1...SSLCertn. Noms des certificats racine à utiliser lors de la validation du nom du certificat de serveur. Le nombre de certificats racine que vous spécifiez doit correspondre au nombre indiqué dans le paramètre SSLNoCACerts. Si vous possédez par exemple trois certificats racine dont les noms de fichier sont A.crt, B.crt et C.cer, insérez les lignes suivantes : <param name="sslnocacerts" value="3"> <param name="sslcacert0" value="a.crt"> <param name="sslcacert1" value="b.crt"> <param name="sslcacert2" value="c.cer"> 5. Si le client doit être déployé dans Microsoft Internet Explorer avec la machine virtuelle Java de Microsoft, compactez les certificats dans un fichier.cab. Pour plus d'informations, reportez-vous au Guide de l'administrateur du Client pour Java. 6. Recherchez le paramètre cabinets. Ajoutez le nom du fichier d'archive créé à l'étape 6. Si, par exemple, vous avez appelé votre archive MesCerts.cab, modifiez ce qui suit : <param name=cabinets value="<%=jicacabfiles%>"> en <param name=cabinets value="<%=jicacabfiles%>mescerts.cab"> 7. Copiez votre fichier d'archives vers le répertoire sur le serveur Web qui contient les fichiers du Client pour Java. Par exemple, C:\Program Files\Citrix\ Web Interface\4.5\Clients\icajava. 8. Enregistrez le fichier appembedjica.inc 9. Sur la machine cliente, lancez le navigateur Web et connectez-vous au serveur exécutant l'interface Web. Toutes les sessions du Client pour Java incorporées à des serveurs sécurisés fonctionnent de façon transparente à l aide de SSL.

Centre de documentation Chapitre 6 Gestion des clients 115 Déploiement automatique des clients Vous pouvez configurer l'interface Web de façon à déployer automatiquement le client natif auprès des utilisateurs d'internet Explorer. Vous pouvez également déployer automatiquement le Client pour Java si, par exemple, le client n'est pas installé sur la machine locale des utilisateurs. Remarque Le déploiement automatique du client est disponible pour les sites configurés pour n'exécuter que des applications distantes. Déploiement automatique du client natif Vous pouvez déployer automatiquement le client natif auprès des utilisateurs d'internet Explorer. Si vous activez cette fonctionnalité, dès que les utilisateurs accèdent à l'interface Web, leurs machines clientes et le navigateur Web de l'utilisateur sont détectés. Si les utilisateurs se trouvent sur une plate-forme Windows et qu ils ne disposent pas de client ou que leur client actuel n'est pas à jour, l'interface Web tente d'installer automatiquement le client spécifié sur les machines clientes des utilisateurs. Si les utilisateurs possèdent des droits d'administrateur sur leur ordinateur, ils choisissent d'installer un ou plusieurs composants du client natif. Si ce n'est pas le cas, ils installent seulement le client Web. Déploiement automatique du Client pour Java Vous pouvez configurer l'interface Web afin de déployer automatiquement le Client pour Java si un client n'est pas installé sur la machine locale de l'utilisateur. Pour activer le retour automatique au Client pour Java 1. Cliquez sur la tâche Gestion du déploiement du client. 2. Sélectionnez Clients distants. 3. Cochez les cases Client natif et/ou Client incorporé natif. 4. Cochez la case Client pour Java. 5. Dans la zone Retourner au client pour Java, cochez la case Automatiquement retourner au client pour Java. 6. Cliquez sur Terminer pour accepter les modifications. Remarque Le Client pour Java doit toujours être déployé pour les utilisateurs se connectant à l'aide d'un navigateur Web Safari 1.x.

116 Guide de l administrateur de l Interface Web Centre de documentation Compatibilité avec les serveurs Web de langue asiatique Vous pouvez configurer l'interface Web de façon à générer des fichiers ICA au format Unicode, et augmenter ainsi le nombre de caractères de langues noneuropéennes reconnus par les clients distants. Les fichiers ICA sont des fichiers texte contenant des paramètres et des instructions de lancement d'applications publiées. Cette fonction est disponible uniquement avec les clients MetaFrame Presentation Server 3.0 et versions ultérieures ; les versions précédentes ne prennent pas en charge les fichiers ICA Unicode. Pour vérifier que les fichiers ICA sont au format Unicode. 1. Cliquez sur la tâche Gestion du déploiement du client. 2. Sélectionnez Prise en charge de version. 3. Cliquez sur Prise en charge de la version 8 ou ultérieure des clients. Configuration du contrôle de la session de streaming Vous pouvez utiliser la tâche Gestion du déploiement du client pour configurer l'interface Web, afin de fournir les informations concernant les sessions utilisateur à l'administrateur Citrix. L'Interface Web fournit ces informations au moyen d'une adresse URL de session utilisée pour communiquer avec Citrix Streaming Client. Dans la plupart des cas, cette adresse URL est détectée automatiquement. Cependant, il se peut qu'elle doive être définie manuellement (par exemple, si un proxy côté client est utilisé). Vous pouvez utiliser la console Access Management Console pour visualiser les informations de session. Vous pouvez visualiser les informations de toutes les sessions utilisateur dans plusieurs batteries, une application publiée spécifique, des sessions se connectant à un serveur spécifique ou les sessions et les applications d'un utilisateur spécifique. Pour configurer le contrôle de la session de transmission en continu 1. Cliquez sur la tâche Gestion du déploiement du client. 2. Sélectionnez Citrix Streaming Client.

Centre de documentation Chapitre 6 Gestion des clients 117 3. Sélectionnez le mode de communication de l'interface Web avec Citrix Streaming Client. Choisissez parmi les modes suivants : pour détecter automatiquement l'adresse URL de session utilisée pour communiquer avec le client, sélectionnez Détecter automatiquement l'adresse URL de session ; pour définir une adresse URL de session, sélectionnez Spécifier l'adresse URL de session et entrez les détails de l'adresse URL. 4. Cliquez sur OK. Configuration de l'agent Program Neighborhood L'Agent Program Neighborhood permet aux utilisateurs d accéder aux applications distantes et livrées en streaming directement à partir du bureau Windows, sans l aide d un navigateur Web. Vous pouvez configurer à distance la création de liens vers les applications distantes à partir du menu Démarrer, sur le bureau Windows ou dans la zone de notification de Windows. L interface utilisateur de l Agent Program Neighborhood peut également être «verrouillée» pour éviter toute erreur de configuration par l utilisateur. Vous pouvez utiliser la console Access Management Console ou le fichier config.xml pour configurer l'agent Program Neighborhood. Utilisation de la console Access Management Console pour la configuration L'Agent Program Neighborhood est configuré avec des options de présentation par défaut, des méthodes d authentification et des options de connexion au serveur. La console Access Management Console permet de changer les paramètres par défaut afin d'empêcher les utilisateurs de modifier certaines options. Pour plus d'informations sur l'utilisation de la console, veuillez consulter la section «Configuration de sites au moyen de la console», page 48. Utilisation des fichiers de configuration Vous pouvez également configurer l'agent Program Neighborhood en utilisant les fichiers config.xml et InterfaceWeb.conf. Généralement, ces fichiers sont situés dans le dossier C:\Inetpub\wwwroot\Citrix\PNAgent\conf\ sur le serveur exécutant l'interface Web.

118 Guide de l administrateur de l Interface Web Centre de documentation Gestion des fichiers de configuration des clients Les options de l'agent Program Neighborhood configurées avec la console sont stockées dans un fichier de configuration sur le serveur exécutant l'interface Web (pour des sites utilisant une configuration locale) ou sur un serveur dans la batterie exécutant le service de configuration (pour des sites utilisant une configuration centralisée). Généralement, il s'agit également du serveur exécutant le service XML. Ce fichier de configuration détermine la gamme des paramètres qui apparaissent sous la forme d'options dans la boîte de dialogue Propriétés de l'agent Program Neighborhood des utilisateurs. Les utilisateurs peuvent effectuer une sélection parmi les options disponibles afin de définir leurs préférences pour les sessions ICA, et notamment : le mode d'ouverture de session, la taille de l'écran, la qualité audio et l'emplacement des liens vers les ressources publiées. Pour des sites configurés en local, un fichier de configuration par défaut (config.xml) contenant les paramètres par défaut est installé ; il est utilisable tel quel dans la plupart des environnements réseau. Le fichier config.xml est stocké dans le dossier \conf pour le site. Utilisez la tâche Exporter la configuration du client afin de sauvegarder une copie du fichier config.xml sélectionné à un emplacement différent. Gestion de l'accès client sécurisé Si vous utilisez Access Gateway, Secure Gateway ou un pare-feu dans votre déploiement, vous pouvez utiliser les tâches Gérer l'accès client sécurisé pour configurer l'interface Web afin d'y inclure les paramètres appropriés. Vous pouvez, par exemple, configurer l'interface Web de façon à fournir une adresse secondaire, si le serveur est configuré avec une telle adresse et que le pare-feu est configuré pour la traduction d'adresse réseau. Cette section explique comment utiliser les tâches Gérer l'accès client sécurisé pour modifier les réglages de la zone démilitarisée (DMZ), configurer les réglages de passerelle, modifier les traductions d'adresse et afficher vos réglages dans le volet de détails. Remarque Les sections suivantes sont uniquement applicables aux sites Access Platform et Participant invité de Conferencing Manager.

Centre de documentation Chapitre 6 Gestion des clients 119 Modification des paramètres DMZ Vous pouvez configurer les adresses, les masques et les méthodes d'accès associés aux clients grâce à la tâche Modifier les réglages de la DMZ. L'ordre d'affichage des entrées dans le tableau des adresses clientes correspond à l'ordre dans lequel les règles sont appliquées. Si aucune règle n'est applicable, la règle par défaut est appliquée. Pour ajouter ou modifier une route cliente 1. Dans la boîte de dialogue Modifier les réglages de la DMZ, cliquez sur Ajouter pour ajouter une nouvelle route cliente ou sur Modifier pour modifier une route cliente existante. 2. Entrez l'adresse réseau et le masque de sous-réseau permettant d'identifier le réseau client. 3. Sélectionnez l'une des méthodes d'accès ci-dessous. Directe. Adresse attribuée au client qui correspond à l'adresse réelle du serveur. Il s'agit de l'option par défaut. Secondaire. Adresse secondaire qui est attribuée au client. Le serveur doit être configuré avec une adresse secondaire et le pare-feu configuré pour la traduction d'adresse réseau. Traduite. Adresse attribuée au client qui est déterminée par les correspondances de traduction d'adresse définies dans l'interface Web. Passerelle directe. Adresse attribuée au serveur Gateway qui correspond à l'adresse réelle du serveur. Passerelle secondaire. Adresse secondaire qui est attribuée au serveur Gateway. Le serveur exécutant Presentation Server doit être configuré avec une adresse secondaire et le pare-feu configuré pour la traduction d'adresse réseau. Passerelle traduite. Adresse attribuée au serveur Gateway qui est déterminée par les correspondances de traduction d'adresse définies dans l'interface Web. 4. Cliquez sur OK. Modification des paramètres de passerelle Si vous utilisez Access Gateway ou Secure Gateway dans votre déploiement, vous devez configurer l'interface Web pour la prise en charge de passerelle. Pour ce faire, utilisez la tâche Modifier les réglages de passerelle.

120 Guide de l administrateur de l Interface Web Centre de documentation Pour modifier les paramètres de passerelle 1. Dans la boîte de dialogue Modifier les paramètres de passerelle, spécifiez le nom de domaine complet (FQDN) du serveur Gateway que les clients doivent utiliser dans le champ Adresse (FQDN). Il doit correspondre aux informations du certificat installé sur le serveur Gateway. 2. Spécifiez le numéro de port sur le serveur Gateway que les clients doivent utiliser dans le champ Port. Le numéro de port par défaut est 443. 3. Pour utiliser la fiabilité de la session, sélectionnez l'option Activer la fiabilité de session. 4. Dans la zone Secure Ticket Authorities, cliquez sur Ajouter pour spécifier l'adresse URL d'un Secure Ticket Authority que l'interface Web peut utiliser. Le Secure Ticket Authority s'affiche dans la liste des Adresses URL Secure Ticket Authority. Les Secure Ticket Authorities sont inclus dans le service XML, par exemple, dans http://mfsrv01/scripts/ctxsta.dll. Vous pouvez spécifier plusieurs Secure Ticket Authority pour la tolérance de panne. Cependant, Citrix recommande de ne pas utiliser un équilibreur de charge externe dans ce but. Vous pouvez spécifier jusqu'à 256 Secure Ticket Authorities dans cette liste. 5. Pour classer les Secure Ticket Authorities par ordre de priorité, mettez en surbrillance une adresse URL Secure Ticket Authority, puis cliquez sur Déplacer vers le haut ou Déplacer vers le bas. Pour supprimer une adresse URL Secure Ticket Authority, mettez-la en surbrillance dans la liste et cliquez sur Supprimer. 6. Indiquez si vous souhaitez activer l'équilibrage de charge entre les Secure Ticket Authorities au moyen de l'option Utiliser pour l'équilibrage de charge. La mise en œuvre de l'équilibrage de la charge permet de répartir équitablement les connexions entre les serveurs, de façon à éviter leur surcharge. En cas d erreur de communication avec un serveur, toutes les communications suivantes sont réparties entre les serveurs restants de la liste. 7. L'Interface Web fournit une tolérance de panne parmi les serveurs figurant dans la liste Secure Ticket Authority. Si une erreur se produit pendant la communication avec un serveur, le serveur défaillant est ignoré pour la période spécifiée dans la zone Ignorer tout serveur en échec pour. 8. Cliquez sur OK pour terminer les modifications.

Centre de documentation Chapitre 6 Gestion des clients 121 Modification des traductions d'adresse Grâce à la tâche Modifier les traductions d'adresse, vous pouvez faire correspondre l'adresse du serveur avec l'adresse et le port traduits par le pare-feu interne. Les utilisateurs peuvent alors lancer des applications si l'adresse et le port du serveur sont traduits au niveau du pare-feu interne. Vous pouvez utiliser l'interface Web pour définir les correspondances des adresses IP internes avec les adresses et ports IP externes. Si, par exemple, votre serveur n'est pas configuré avec une adresse secondaire, vous pouvez configurer l'interface Web de façon à en fournir une. Pour configurer la traduction d'adresse au niveau du pare-feu interne 1. Dans la boîte de dialogue Modifier les traductions d'adresse, cliquez sur Ajouter pour ajouter une traduction d'adresse ou sur Modifier pour modifier une traduction d'adresse existante. 2. Dans la zone Type d'accès, sélectionnez l'une des options suivantes : Traduction de route cliente. Le client utilise l'adresse traduite pour se connecter au serveur. Traduction de route de passerelle. Le serveur Gateway utilise l'adresse traduite pour se connecter au serveur. Traduction de route cliente et de passerelle. Le client et le serveur Gateway utilisent tous les deux l'adresse traduite pour se connecter au serveur. 3. Dans le champ Adresse IP interne, entrez l'adresse IP normale (interne) du serveur. 4. Dans le champ Port interne, entrez le numéro de port du serveur. 5. Dans le champ Adresse externe, entrez l'adresse IP ou le nom d'hôte traduit (externe) que les clients doivent utiliser pour se connecter au serveur. 6. Dans le champ Port externe, entrez le numéro de port du serveur. 7. Cliquez sur OK. La correspondance apparaît dans le tableau des traductions d'adresse. 8. Pour supprimer une correspondance, sélectionnez-la dans le tableau des traductions d'adresse et cliquez sur Supprimer.

122 Guide de l administrateur de l Interface Web Centre de documentation Affichage des paramètres d'accès client sécurisé Utilisez la tâche Afficher les paramètres afin de visualiser tous les paramètres d'accès client sécurisé actuellement configurés pour le site. Vous pouvez visualiser les différentes configurations pour chaque tâche d'accès client sécurisé au moyen du menu déroulant Affichage. Vous pouvez cliquer sur le lien affiché pour lancer les pages associées à cette tâche. Modification des paramètres du proxy côté client Si vous utilisez un serveur proxy du côté client de l installation Interface Web, vous pouvez configurer si les clients doivent ou non communiquer avec le serveur par l'intermédiaire du serveur proxy. Pour ce faire, utilisez la tâche Modifier le proxy côté client. Un serveur proxy placé du côté client d'une installation Interface Web offre les avantages suivants en matière de sécurité : Masquage des informations, grâce auquel les noms système situés à l'intérieur du pare-feu ne sont pas divulgués aux systèmes situés en dehors du pare-feu par l'intermédiaire de DNS (Domain Name System) Multiplexage de différentes connexions TCP via une seule connexion L'utilisation de la console Access Management Console vous permet de définir des règles proxy par défaut pour les clients. Cependant, vous pouvez aussi configurer des exceptions à ce comportement pour des clients individuels. Pour configurer des exceptions, associez l'adresse IP externe du serveur proxy à un paramètre proxy de l'interface Web. Vous pouvez aussi spécifier que le comportement du proxy doit être contrôlé par le client. Par exemple, pour utiliser la fonction Secure Proxy dans Presentation Server, configurez l'interface Web de façon à utiliser les paramètres proxy spécifiés sur le client et configurez le client pour utiliser Secure Proxy. Pour plus d'informations sur l'utilisation des clients pour contrôler le comportement du proxy, veuillez consulter le Guide de l'administrateur approprié. Pour configurer les paramètres par défaut du proxy 1. Cliquez sur la tâche Modifier le proxy côté client. 2. Cliquez sur Ajouter pour créer un mappage, ou sur Modifier pour modifier un mappage existant. 3. Dans le champ Adresse IP, entrez l'adresse externe du proxy. 4. Dans le champ Masque de sous-réseau, entrez le masque de sous-réseau.

Centre de documentation Chapitre 6 Gestion des clients 123 5. Dans la liste Proxy, sélectionnez l'une des options suivantes : Réglage du navigateur de l'utilisateur. Le client détecte automatiquement le proxy Web en fonction de la configuration du navigateur du client. Détection automatique du proxy Web. Le client détecte automatiquement le proxy Web en utilisant le protocole Web Proxy Auto Discovery (WPAD). Défini par le client. Paramètres configurés par l'utilisateur pour le client. Aucun. Aucun proxy n est utilisé. SOCKS. Si vous sélectionnez cette option, vous devez entrer l'adresse du serveur proxy dans le champ Adresse proxy et le numéro de port dans le champ Port proxy. L adresse proxy peut être une adresse IP ou un nom DNS. Sécurisé (HTTPS). Si vous sélectionnez cette option, vous devez entrer l'adresse du serveur proxy dans le champ Adresse proxy et le numéro de port dans le champ Port proxy. L adresse proxy peut être une adresse IP ou un nom DNS. 6. Cliquez sur OK. Le mappage est ajouté à la liste Mappage. 7. Vous pouvez contrôler l'ordre d'application de plusieurs mappages. Sélectionnez un mappage et cliquez sur Déplacer vers le haut ou Déplacer vers le bas pour classer les mappages par ordre de priorité. Pour supprimer un mappage, sélectionnez-le et cliquez sur Supprimer.

Centre de documentation CHAPITRE 7 Personnalisation de l'expérience utilisateur Présentation Ce chapitre explique comment personnaliser l'affichage de l'interface Web pour les utilisateurs. Ce chapitre contient les sections suivantes. Personnalisation de l'affichage pour les utilisateurs Gestion des préférences de session cliente Configuration du contrôle de l'espace de travail Modification des options de session Gestion des raccourcis vers les applications Utilisation des options d'actualisation des applications

126 Guide de l administrateur de l Interface Web Centre de documentation Personnalisation de l'affichage pour les utilisateurs Vous pouvez personnaliser l'affichage de l'interface utilisateur si vous souhaitez, par exemple, que le site reflète l'identité de l'entreprise. Utilisez la tâche Personnaliser l'affichage pour l'utilisateur afin de personnaliser les éléments ci-dessous. Configuration. Vous pouvez personnaliser la configuration globale de l'écran des utilisateurs ou autoriser les utilisateurs à personnaliser la configuration. Vous pouvez sélectionner l'une des options de configuration d'écran suivantes : Automatique, Plein écran ou Compact. Une interface utilisateur compacte peut par exemple s'avérer utile pour les utilisateurs qui accèdent à leurs applications sur des ordinateurs de poche. Cette interface ne contient ni le message de bienvenue ni les zones du Centre de messages ; elle n'affiche pas non plus les légendes d'installation du client. En outre, les messages apparaissent au-dessus de la page principale. Mettez en forme le nombre de colonnes d'icônes d'application affichées et laissez les utilisateurs personnaliser ces paramètres. Affichage. Vous pouvez personnaliser la disposition de l'écran des utilisateurs en affichant des en-têtes et bas de page, des couleurs de marque, des images d'en-tête et des logos. Par ailleurs, vous pouvez créer un lien hypertexte pour les logos. Contenu. Définissez votre message de bienvenue et le texte de bas de page. Spécifiez les langues supplémentaires. Les graphiques affichés dans ces pages d'options se mettent à jour lorsque vous effectuez vos modifications et sont pris en compte dans la page principale Personnaliser l'affichage pour l'utilisateur. Gestion des préférences de session cliente Utilisez la tâche Gérer les préférences de session pour indiquer les paramètres que les utilisateurs peuvent régler. Vous pouvez également utiliser cette tâche pour spécifier au bout de combien de temps les sessions de l'interface Web des utilisateurs inactifs sont fermées et si l'interface Web doit effacer le nom du client ICA. Remarque Cette tâche n'est pas disponible pour les sites configurés pour exécuter uniquement des applications livrées en streaming.

Centre de documentation Chapitre 7 Personnalisation de l'expérience utilisateur 127 Pour les sites, vous pouvez décider si les utilisateurs sont autorisés à modifier les options suivantes : contrôle de la bande passante ; nombre de couleurs ; qualité audio ; mappage d'imprimantes ; taille de fenêtre ; paramètres de synchronisation des ordinateurs de poche ; combinaisons de touches Windows ; mode Kiosque. Vous pouvez également spécifier les options suivantes : affichage ou masquage du bouton Paramètres pour les utilisateurs sur la page Applications ; durée pendant laquelle la session d'un utilisateur peut restée inactive avant qu'elle d'être fermée ; effacement ou mémorisation du nom du client ICA dans l'interface Web. Important Si vous souhaitez utiliser la fonction de contrôle de l'espace de travail avec les versions 8.x et 9.x des clients, vous devez activer le paramètre L'Interface Web devrait remplacer le nom du client ICA

128 Guide de l administrateur de l Interface Web Centre de documentation Le contrôle de la bande passante permet aux utilisateurs de sélectionner les paramètres de session en fonction de leur bande passante de connexion. Ces options sont affichées dans la page Ouverture de session, sous Options avancées dans la liste déroulante Vitesse de connexion. Le contrôle de la bande passante permet de gérer le nombre de couleurs, la qualité audio et le mappage d'imprimantes. Pour activer cette fonction, vous devez également sélectionner Autoriser l'utilisateur à personnaliser le mappage d'imprimante dans la tâche Gérer les préférences de session. Par ailleurs, vous pouvez utiliser des fichiers ICA de substitution pour définir d'autres paramètres ICA de contrôle de la bande passante : Nom du fichier bandwidth_ high.ica bandwidth_ medium_high.ica bandwidth_ medium.ica bandwidth_low.ica default.ica Description Contient les paramètres ICA de substitution pour les connexions à haut débit. Contient les paramètres ICA de substitution pour les connexions à haut/moyen débit. Contient les paramètres ICA de substitution pour les connexions à moyen débit. Contient les paramètres ICA de substitution pour les connexions à bas débit. Contient les paramètres ICA de substitution utilisés si aucune bande passante n'est sélectionnée. Pour un site, les fichiers de substitution ICA sont situés dans le dossier \conf, généralement dans C:\Inetpub\wwwroot\Citrix\NomduSite\conf. En cas d'utilisation du Client pour Java, le contrôle de la bande passante détermine si des packs de mappage d'imprimantes et de mappage audio sont téléchargés. En cas d'utilisation du logiciel de connexion au Bureau à distance, la qualité audio est activée ou désactivée et aucun contrôle de qualité ultérieur n'est fourni. Une bande passante faible est recommandée pour les connexions WAN sans fil. Remarque Si le logiciel de connexion au Bureau à distance est utilisé avec le contrôle de la bande passante, l'interface Web indique les paramètres appropriés à la bande passante sélectionnée. Toutefois, le comportement réel dépend de la version du logiciel de connexion au Bureau à distance, des serveurs Terminal Server et de la configuration des serveurs. Par défaut, les utilisateurs peuvent régler la taille de la fenêtre des sessions.

Centre de documentation Chapitre 7 Personnalisation de l'expérience utilisateur 129 Dans le cas de sites Participant invité de Conferencing Manager, vous pouvez configurer : les combinaisons de touches Windows ; le mode Kiosque. Le mode Kiosque convient parfaitement lorsque les machines clientes sont des terminaux publics utilisés par une grande variété d'utilisateurs. Lorsque le mode Kiosque est activé, les paramètres utilisateur ne sont pas stockés ; ils sont conservés uniquement pendant la durée de la session. Si vous empêchez les utilisateurs de régler un paramètre, celui-ci ne s'affiche pas dans l'interface utilisateur et les paramètres de Presentation Server spécifiés pour l'application publiée sont utilisés. Configuration du contrôle de l'espace de travail Utilisez la tâche Contrôler l'espace de travail pour permettre aux utilisateurs de déconnecter rapidement toutes les applications en cours, de se reconnecter aux applications déconnectées et fermer les sessions de toutes les applications en cours d'exécution. Cela leur permet de naviguer entre les machines clientes et d'accéder à toutes leurs applications (déconnectées uniquement ou déconnectées et actives) lorsqu'ils ouvrent une session ou manuellement à tout moment. Le personnel hospitalier peut, par exemple, avoir besoin de se déplacer entre plusieurs stations de travail et d'accéder à la même série d'applications à chaque ouverture de session de Presentation Server. Configuration requise pour cette fonctionnalité La configuration requise et les recommandations suivantes s'appliquent à la fonctionnalité de contrôle de l'espace de travail : Pour utiliser le contrôle de l'espace de travail, vous devez activer le paramètre L'Interface Web devrait remplacer le nom du client ICA dans la tâche Gérer les préférences de session. Il s'agit de l'option par défaut. Si l'interface Web détecte une tentative d'accès depuis une session cliente, la fonction de contrôle de l'espace de travail est désactivée.

130 Guide de l administrateur de l Interface Web Centre de documentation Pour utiliser l'authentification unique, une carte à puce ou une carte à puce avec authentification unique, vous devez établir une relation d'approbation entre le serveur exécutant l'interface Web et le service XML Citrix. Pour des informations complémentaires, veuillez consulter la section «Configuration du contrôle de l'espace de travail avec des méthodes d'authentification intégrée», page 131. Les applications publiées en vue d'une utilisation anonyme se finalisent lorsque les utilisateurs anonymes et authentifiés se déconnectent, à condition que le service XML Citrix soit configuré de façon à approuver les informations d'identification de l'interface Web. Les utilisateurs ne peuvent donc pas se reconnecter à une application anonyme après s'être déconnectés. Si les informations d'identification simplifiée du client ne sont pas activées, les utilisateurs de carte à puce sont invités à entrer leur code secret à chaque nouvelle session (après reconnexion). Ce problème ne se pose pas avec l'authentification unique ou les cartes à puce avec authentification unique car ces options permettent d'activer l'authentification unique des informations d'identification du client. Le délai de chaque session expire après une période d'inactivité (généralement de 20 minutes). Lorsque la session HTTP expire, l'écran Ouverture de session s'affiche. Toutes les applications lancées ou reconnectées au cours de cette session ne sont toutefois pas déconnectées. Les utilisateurs doivent se déconnecter manuellement, fermer la session ou bien ouvrir une nouvelle session sur l'interface Web et utiliser les boutons Fermeture de session ou se déconnecter. Restrictions Le contrôle de l'espace de travail n'est pas disponible pour les sites configurés pour exécuter des applications livrées en streaming. Si vous configurez un site pour le streaming en mode double, le contrôle de l'espace de travail fonctionne uniquement pour les applications distantes. Vous ne pouvez pas utiliser le contrôle de l'espace de travail avec le client pour Win32 avant la version 8 ou avec le logiciel de connexion au Bureau à distance. En outre, cette fonctionnalité n'est disponible qu'avec des serveurs exécutant la version 3.0 de MetaFrame Presentation Server ou une version ultérieure.

Centre de documentation Chapitre 7 Personnalisation de l'expérience utilisateur 131 Configuration du contrôle de l'espace de travail avec des méthodes d'authentification intégrée Si les utilisateurs ouvrent une session à l'aide d'une carte à puce, d'une carte à puce à authentification unique ou de l'authentification unique, vous devez établir une relation d'approbation entre le serveur exécutant l'interface Web et tout autre serveur de la batterie exécutant le service XML Citrix en contact avec l'interface Web. Le service Citrix XML communique des informations sur les applications publiées entre l'interface Web et les serveurs exécutant Presentation Server. Sans une telle relation, les commandes Se déconnecter, Se reconnecter et Fermeture de session ne fonctionnent pas pour les utilisateurs qui ouvrent une session à l'aide d'une carte à puce ou de l'authentification unique. Vous n'avez pas à établir de relation d'approbation si vos utilisateurs sont authentifiés par la batterie de serveurs, c'est-à-dire s'ils n'ouvrent pas de session à l'aide des méthodes d'authentification unique ou d'une carte à puce. Pour établir une relation d'approbation 1. Dans la console Access Management Console, sélectionnez le serveur exécutant Presentation Server, dans le panneau gauche. 2. Depuis le menu Action, sélectionnez Modifier les propriétés du serveur > Modifier toutes les propriétés. 3. Depuis la liste Propriétés, sélectionnez Service XML. 4. Cochez la case Approuver les requêtes envoyées au service XML. Si vous configurez un serveur afin qu'il approuve les requêtes envoyées au service XML, vous devez prendre en compte les facteurs suivants : Lorsque vous établissez une relation d'approbation, vous dépendez du serveur de l'interface Web pour l'authentification de l'utilisateur. Pour éviter tout risque relatif à la sécurité, utilisez IPSec, des pare-feu ou toute technologie garantissant que seuls les services approuvés communiquent avec le service XML. Si vous n'utilisez ni IPSec ni pare-feu ni toute autre technologie de sécurité pour l'établissement de la relation de confiance, n'importe quelle machine réseau peut provoquer la déconnexion ou la finalisation des sessions clientes. La relation d'approbation n'est pas nécessaire si les sites sont configurés pour une authentification explicite uniquement. Activez la relation d'approbation uniquement sur les serveurs contactés directement par l'interface Web. Ces serveurs sont répertoriés dans la page Gérer les batteries de serveurs.

132 Guide de l administrateur de l Interface Web Centre de documentation Configurez IPSec, les pare-feu ou toute autre technologie que vous utilisez pour la sécurisation de l'environnement afin de limiter l'accès au service XML Citrix uniquement aux serveurs de l'interface Web. Si, par exemple, le service XML Citrix partage un port avec IIS (Internet Information Services) de Microsoft, vous pouvez utiliser la fonctionnalité de restriction des adresses IP d'iis pour restreindre l'accès au service XML Citrix. Activation du contrôle de l'espace de travail Pour activer le contrôle de l'espace de travail, utilisez la tâche Contrôler l'espace de travail. Utilisez la boîte de dialogue pour : activer la reconnexion automatique lorsque les utilisateurs ouvrent une session afin de permettre aux utilisateurs de se reconnecter aux applications déconnectées ou à la fois aux applications déconnectées et actives ; activer le bouton Se reconnecter afin de permettre aux utilisateurs de se reconnecter aux applications déconnectées ou aux applications à la fois déconnectées et actives ; permettre aux utilisateurs de fermer à la fois la session de l'interface Web et les sessions actives ou uniquement celle de l'interface Web. Pour activer la reconnexion automatique lors de l'ouverture d'une session par les utilisateurs 1. Sélectionnez l'option Reconnexion automatique aux sessions après ouverture de session par l'utilisateur. 2. Sélectionnez l'une des options suivantes : pour reconnecter automatiquement les sessions déconnectées et actives, sélectionnez Toutes les sessions ; pour reconnecter automatiquement les sessions déconnectées uniquement, sélectionnez Sessions déconnectées uniquement. 3. Pour permettre aux utilisateurs de sélectionner ces options dans l'interface utilisateur, cochez la case Autoriser l'utilisateur à personnaliser ce réglage.

Centre de documentation Chapitre 7 Personnalisation de l'expérience utilisateur 133 Pour activer l'option Se reconnecter 1. Sélectionnez l'option Reconnexion automatique aux sessions après ouverture de session par l'utilisateur. 2. Sélectionnez l'une des options suivantes : pour configurer le bouton Se reconnecter afin de reconnecter les utilisateurs aux sessions déconnectées et actives à la fois, sélectionnez Toutes les sessions ; pour configurer le bouton Se reconnecter afin de reconnecter les utilisateurs aux sessions déconnectées uniquement, sélectionnez Sessions déconnectées uniquement. 3. Pour permettre aux utilisateurs de sélectionner ces options dans l'interface utilisateur, cochez la case Autoriser l'utilisateur à personnaliser ce réglage. Pour configurer le comportement de la fermeture de session 1. Pour fermer les sessions de l'interface Web et toutes les sessions actives des utilisateurs, sélectionnez Fermer toutes les sessions lorsque l'utilisateur ferme sa session sur l'interface Web dans la section Fermeture de session. 2. Pour permettre aux utilisateurs de sélectionner ces options dans l'interface utilisateur, cochez la case Autoriser l'utilisateur à personnaliser ce réglage. Modification des options de session Pour les sites Services de l'agent Program Neighborhood, vous pouvez utiliser la tâche Modifier les options de session afin de configurer les paramètres suivants des sessions utilisateur : Tailles de fenêtre. Utilisez ces options pour sélectionner les tailles de fenêtre disponibles pour les sessions ICA et pour définir des tailles personnalisées en pixels ou en pourcentage par rapport à la taille de l'écran. Couleur. Les options activées dans cette section peuvent être sélectionnées par les utilisateurs.

134 Guide de l administrateur de l Interface Web Centre de documentation Combinaisons de touches Windows. Utilisez ces options pour activer les fonctions des combinaisons de touches Windows que les utilisateurs peuvent sélectionner. Les combinaisons de touches Windows n'affectent pas les connexions transparentes. Vous pouvez fournir des options dans l'écran Préférences de connexion de l'utilisateur pour les modes suivants : Sur la machine locale. Les combinaisons de touches ne s'appliquent qu'au bureau local ; elles ne sont pas transmises aux sessions ICA. Sur la machine distante. Les combinaisons de touches s'appliquent au bureau distant dans la session ICA. Plein écran uniquement. Les combinaisons de touches s'appliquent au bureau distant dans la session ICA uniquement lorsqu'il est en mode plein écran. Audio. Les options activées dans cette section peuvent être sélectionnées par les utilisateurs. Options de contrôle de l'espace de travail. Utilisez ces options pour configurer les paramètres de contrôle de l'espace de travail. Pour des informations complémentaires, veuillez consulter la section «Configuration du contrôle de l'espace de travail», page 129. Remarque Cette tâche n'est pas disponible pour les sites configurés pour exécuter uniquement des applications livrées en streaming.

Centre de documentation Chapitre 7 Personnalisation de l'expérience utilisateur 135 Gestion des raccourcis vers les applications Vous pouvez utiliser la tâche Gérer les raccourcis vers les applications pour indiquer la façon dont l'agent Program Neighborhood affiche les raccourcis vers des applications publiées. Vous pouvez créer les types de raccourcis ci-dessous. Menu Démarrer. Vous pouvez utiliser les paramètres figurant dans la page Gérer les raccourcis vers les applications, les paramètres définis lors de la publication d'applications dans Presentation Server ou bien utiliser ces deux types de paramètres. Vous pouvez également indiquer si des raccourcis peuvent être affichés dans le menu Démarrer et de quelle façon, ainsi qu'autoriser les utilisateurs à définir ce paramètre. Par ailleurs, vous pouvez créer des raccourcis dans le menu Programmes, créer un sous-menu supplémentaire et/ou autoriser les utilisateurs à indiquer un nom de sousmenu. Bureau. Vous pouvez utiliser les paramètres figurant dans la page Gérer les raccourcis vers les applications, les paramètres définis lors de la publication d'applications dans Presentation Server ou bien utiliser ces deux types de paramètres. Vous pouvez également indiquer si des raccourcis peuvent être affichés sur le bureau et de quelle façon, et autoriser les utilisateurs à définir ce paramètre. Par ailleurs, vous pouvez utiliser un nom de dossier personnalisé, autoriser les utilisateurs à sélectionner un nom et/ ou utiliser une adresse URL personnalisée pour les icônes. Zone de notification. Vous pouvez afficher des applications dans la zone de notification et/ou autoriser les utilisateurs à choisir le mode d'affichage des applications. La tâche Gérer les raccourcis vers les applications vous permet également de supprimer des raccourcis. Vous pouvez indiquer le moment auquel supprimer les raccourcis (à la fermeture de l'agent Program Neighborhood ou lorsque les utilisateurs ferment une session de l'agent Program Neighborhood) ainsi que les raccourcis à supprimer (raccourcis Program Neighborhood, ou raccourcis Program Neighborhood et créés par les utilisateurs). Si vous sélectionnez les raccourcis Program Neighborhood et ceux créés par les utilisateurs, vous pouvez également définir la profondeur de recherche dans les dossiers afin d'améliorer les performances.

136 Guide de l administrateur de l Interface Web Centre de documentation Utilisation des options d'actualisation des applications Utilisez la tâche Gérer l'actualisation des applications pour indiquer le moment auquel la liste des ressources publiées des utilisateurs doit être actualisée et si ces derniers peuvent personnaliser ces paramètres. Vous pouvez ainsi décider que l'actualisation doit avoir lieu au moment du démarrage de l'agent Program Neighborhood ou du lancement des applications et indiquer la fréquence d'actualisation de la liste.

Centre de documentation CHAPITRE 8 Configuration de la sécurité de l'interface Web Présentation Ce chapitre fournit des informations concernant la mise en œuvre de la sécurité de vos données dans un environnement Interface Web. Il comporte les sections suivantes. Introduction à la sécurité de l'interface Web Sécurisation des communications de l'interface Web Sécurisation de l'agent Program Neighborhood avec SSL Communications entre l'interface Web et Presentation Server Communications entre la session cliente et Presentation Server. Considérations générales relatives à la sécurité Introduction à la sécurité de l'interface Web Un plan de sécurité exhaustif doit aborder la protection de vos données à chaque étape du processus de mise à disposition des applications. Ce chapitre décrit les risques et fournit des recommandations pour chacune des étapes suivantes de communication de l'interface Web. Communications entre la machine cliente et le serveur exécutant l'interface Web. Explique les risques associés au transfert des données de l'interface Web entre les navigateurs et les serveurs, et suggère des stratégies pour la protection des données en transit et des données sauvegardées sur les machines clientes.

138 Guide de l'administrateur de l'interface Web Centre de documentation Communications entre le serveur exécutant l'interface Web et Presentation Server. Décrit comment sécuriser les informations d'authentification et les informations sur les applications publiées échangées entre le serveur exécutant l'interface Web et la batterie de serveurs. Communications entre la session cliente et Presentation Server. Explique quels sont les risques associés à l'échange des informations de la session cliente entre les clients et les serveurs et présente les implémentations des fonctionnalités de sécurité de l'interface Web et de Presentation Server qui protègent de telles données. Ce diagramme illustre l'interaction entre la machine cliente, le serveur exécutant Presentation Server et le serveur exécutant l'interface Web. Protocoles de sécurité et solutions de sécurité Citrix Security Solutions Cette section présente certains des protocoles de sécurité et des solutions Citrix que vous pouvez utiliser pour sécuriser le déploiement de votre Interface Web. Elle apporte des éléments d'information sur les protocoles de sécurité SSL et TLS, le Relais SSL Citrix, Secure Gateway et le cryptage ICA. Elle indique également des sources d'informations complémentaires sur ces différentes technologies.

Centre de documentation Chapitre 8 Configuration de la sécurité de l'interface Web 139 Secure Sockets Layer (SSL) Le protocole SSL offre la possibilité de sécuriser les communications de données sur les réseaux. SSL offre des fonctions d'authentification du serveur, de cryptage du flux de données et de contrôle de l'intégrité des messages. La cryptographie lui permet de coder les messages, d'authentifier leur identité et de veiller à l'intégrité de leur contenu. Ces fonctions protègent des risques tels que l'écoute clandestine, les erreurs d'acheminement et la manipulation des données. SSL utilise des certificats de clé publique, émis par des autorités de certification, comme preuve d'identité. Pour plus d'informations sur SSL, la cryptographie et les certificats, veuillez consulter le Guide de l'administrateur Citrix Presentation Server, le Guide de l administrateur du Relais SSL Citrix pour UNIX et le Guide de l'administrateur de Secure Gateway. Transport Layer Security (TLS) TLS est la dernière version normalisée du protocole SSL. L'IETF (Internet Engineering Taskforce) l'a renommé TLS en prenant en charge le développement du protocole SSL en tant que norme ouverte. Comme SSL, TLS offre des fonctions d'authentification du serveur, de cryptage du flux de données et de contrôle de l'intégrité des messages. TLS version 1.0 est pris en charge par MetaFrame Presentation Server, Feature Release 2. Comme les différences techniques entre SSL Version 3.0 et TLS Version 1.0 sont mineures, les certificats de serveur que vous utilisez pour SSL dans votre installation fonctionnent également pour TLS. Certaines organisations, y compris les organisations gouvernementales américaines, exigent d'utiliser le protocole TLS pour sécuriser les communications de données. Ces organisations peuvent également exiger l utilisation d une cryptographie validée, telle que FIPS 140. FIPS (Federal Information Processing Standard) est une norme de cryptographie. Remarque Sur les plates-formes UNIX, la taille maximale de clé de certificat SSL/TLS prise en charge par l'interface Web est de 2 048 bits. Relais SSL Citrix Le Relais SSL Citrix est un composant de Presentation Server qui utilise SSL pour garantir la sécurité des communications entre les serveurs exécutant l'interface Web et les batteries de serveurs. Le Relais SSL Citrix permet l authentification des serveurs, le cryptage des données et l intégrité des messages pour les connexions TCP/IP. Le Relais SSL est fourni par le service XTE Citrix.

140 Guide de l'administrateur de l'interface Web Centre de documentation Le Relais SSL Citrix sert d intermédiaire dans les communications entre le serveur exécutant l'interface Web et le service XML Citrix. Lorsque vous utilisez le Relais SSL Citrix, le serveur Web contrôle d abord son identité en vérifiant son certificat de serveur au moyen d une liste d autorités de certification approuvées. Après cette authentification, le serveur Web et le Relais SSL Citrix négocient une méthode de cryptage pour la session. Le serveur Web transmet ensuite toutes les requêtes d information sous forme cryptée au Relais SSL Citrix. Le Relais SSL Citrix décrypte les requêtes et les transmet au service XML Citrix. Lorsqu il renvoie les informations au serveur Web, le serveur les transmet via le serveur du Relais SSL Citrix qui crypte les données et les transmet au serveur Web pour décryptage. L intégrité des messages est vérifiée pour chaque communication afin d assurer que les données n ont pas été modifiées lors du transit. Pour plus d'informations sur le Relais SSL Citrix, veuillez consulter le Guide de l'administrateur Citrix Presentation Server ou le Guide de l'administrateur du Relais SSL Citrix pour UNIX. Cryptage ICA Le cryptage ICA permet de crypter les informations échangées entre un serveur et un client. Il est ainsi plus difficile pour les utilisateurs non autorisés d'interpréter une transmission cryptée. Par conséquent, le cryptage ICA préserve la confidentialité des informations en cas d'écoute clandestine. Cependant, d'autres dangers menacent la sécurité, et l'utilisation du cryptage ne représente qu'un aspect d'une stratégie globale de sécurité. Contrairement à SSL/TLS, le cryptage ICA ne permet pas l'authentification du serveur. Par conséquent, les informations pourraient théoriquement être interceptées sur le réseau et redirigées vers un faux serveur. Par ailleurs, le cryptage ICA n'assure pas de contrôle de l'intégrité. Le cryptage ICA n'est pas disponible pour les serveurs Presentation Server pour UNIX. Access Gateway Vous pouvez utiliser Access Gateway avec l'interface Web et Secure Ticket Authority (STA) pour fournir l'authentification, l'autorisation et la redirection vers des ressources publiées hébergées sur le serveur exécutant Presentation Server. Access Gateway est un dispositif universel de réseau privé virtuel (VPN) du SSL qui garantit un accès unique et sécurisé à toute ressource d'informations (données et voix). Access Gateway crypte et prend en charge toutes les applications et les protocoles configurés.

Centre de documentation Chapitre 8 Configuration de la sécurité de l'interface Web 141 Access Gateway fournit aux clients distants un accès sécurisé transparent aux applications autorisées et aux ressources du réseau, leur permettant de travailler avec des fichiers sur des lecteurs réseau, des e-mails, des sites intranet et des applications, comme s'ils travaillaient à l'intérieur du pare-feu de leur organisation. Ce diagramme explique les méthodes utilisées par Access Gateway pour sécuriser les communications entre les clients compatibles SSL/TLS et les serveurs. Pour plus d'informations sur Access Gateway, veuillez consulter le Guide de l'administrateur Access Gateway. Pour plus d'informations sur la configuration de l'interface Web pour la prise en charge d Access Gateway à l'aide de la console Access Management Console, veuillez consulter la section «Modification des paramètres de passerelle», page 119. Secure Gateway Vous pouvez utiliser Secure Gateway avec l'interface Web pour fournir un point d'accès Internet unique, sécurisé et crypté, aux serveurs des réseaux d'entreprise internes.

142 Guide de l'administrateur de l'interface Web Centre de documentation En cryptant le trafic ICA, Secure Gateway joue le rôle d'une passerelle Internet sécurisée entre les clients compatibles SSL/TLS et les serveurs. La partie Internet du trafic entre les machines clientes et le serveur Secure Gateway est cryptée à l aide du protocole SSL/TLS. Secure Gateway simplifie aussi la gestion des certificats : un seul certificat est requis sur le serveur Secure Gateway et non pas sur chaque serveur de la batterie. Ce diagramme explique les méthodes utilisées par Secure Gateway pour sécuriser les communications entre les clients équipés du protocole SSL/TLS et les serveurs. Pour plus d'informations sur Secure Gateway, reportez-vous au Guide de l'administrateur de Secure Gateway. Pour plus d'informations sur la configuration de l'interface Web pour la prise en charge de Secure Gateway à l'aide de la console Access Management Console, veuillez consulter la section «Modification des paramètres de passerelle», page 119. Sécurisation des communications de l'interface Web Avec l'interface Web, vous pouvez sécuriser les communications entre clients et serveurs de la façon suivante. Demandez aux utilisateurs de se connecter aux pages de l'interface Web via une connexion HTTPS (HTTP sécurisée). Pour pouvoir établir une connexion HTTP sécurisée, un certificat SSL doit être installé dans Internet Information Services. Configurez les tickets de l'interface Web pour renforcer la sécurité des communications directes entre les clients et les serveurs. Le client reçoit un ticket à usage unique et le serveur vérifie ce ticket lors de la connexion. A la fin de la connexion, le ticket est supprimé. Cela garantie que le client ne reçoit jamais aucun nom d'utilisateur ou de mot de passe. Configurez l'interface Web pour qu elle utilise le Relais SSL Citrix pour le cryptage entre le serveur exécutant l'interface Web et les serveurs exécutant Presentation Server.

Centre de documentation Chapitre 8 Configuration de la sécurité de l'interface Web 143 Sécurisation de l'agent Program Neighborhood avec SSL Pour utiliser SSL afin de sécuriser les communications entre l Agent Program Neighborhood et le serveur exécutant l'interface Web, modifiez les adresses URL dans les paramètres suivants dans le fichier config.xml pour qu elles utilisent le protocole HTTPS. Il est possible que tous les paramètres ne soient pas spécifiés dans la version du fichier dont vous disposez. FolderDisplay/DesktopDisplay/Icon/Location ConfigurationFile/Location Request/Enumeration/Location Request/Resource/Location Pour sécuriser les connexions entre l Agent Program Neighborhood et l'interface Web à l aide de SSL, suivez les instructions de la section «Gestion de l'accès client sécurisé», page 118 afin de configurer l'interface Web pour qu elle utilise SSL. Vérifiez le champ Activer les protocoles SSL et TLS sur la page Options du client de la boîte de dialogue des propriétés de l'application dans la Console Presentation Server. Exemple Si la ligne spécifiant Request/Resource/Location est <Location> http://<serveur_et_chemin>/launch.<format_fichier> </Location>, changez-la par <Location>https://<SERVEUR_ET_CHEMIN> /launch.<format_fichier></location>. Communications entre machine cliente et Interface Web Les communications entre les clients Citrix Presentation Server et le serveur exécutant l'interface Web consistent en un échange de différents types de données. Lorsque les utilisateurs procèdent à leur identification, parcourent les applications et sélectionnent l'exécution d'une de ces applications, le navigateur et le serveur Web se transmettent les informations d identification des utilisateurs, les listes de séries d applications et les fichiers d initialisation de session. Plus précisément, les données échangées incluent les éléments suivants. Données de formulaire HTML. Lors de l ouverture de session de l utilisateur, les sites de l'interface Web utilisent un formulaire HTML standard pour transmettre les informations d identification des utilisateurs du navigateur Web au serveur Web.

144 Guide de l'administrateur de l'interface Web Centre de documentation Le formulaire interface Web transmet le nom de l'utilisateur et les informations d'identification sous forme de texte clair. Pages HTML et cookies de session. Une fois entrées dans la page Ouverture de session, les informations d'identification de l'utilisateur sont stockées sur le serveur Web et protégées par un cookie de session. Les pages HTML transmises du serveur Web au navigateur contiennent les séries d applications. Ces pages listent les applications disponibles pour l utilisateur. Fichiers ICA. Lorsque l utilisateur sélectionne une application, le serveur Web transmet un fichier ICA pour cette application au navigateur. Le fichier ICA contient un ticket qui peut être utilisé pour ouvrir une session sur le serveur. Remarque Les fichiers ICA ne comprennent pas de ticket pour l'authentification unique ou par carte à puce. Risques Des agresseurs peuvent exploiter les données de l'interface Web alors qu elles transitent sur le réseau entre le serveur Web et le navigateur, et lorsqu elles sont écrites sur la machine cliente. Un agresseur peut intercepter les données d ouverture de session, le cookie de session et les pages HTML en transit entre le serveur Web et le navigateur Web. Bien que le cookie de session utilisé par l'interface Web soit transitoire et disparaisse lorsque l utilisateur ferme le navigateur Web, un agresseur ayant accès au navigateur Web de la machine cliente peut le récupérer et, le cas échéant, utiliser les informations d identification. Bien que le fichier ICA ne contienne pas les informations d identification de l utilisateur, il comporte un ticket à usage unique, dont la validité expire, par défaut, au bout de 200 secondes. Il se peut qu'un agresseur utilise le fichier ICA intercepté pour se connecter au serveur avant que l utilisateur autorisé n utilise le ticket et n'établisse la connexion. Si l'authentification unique est activée sur le client, un agresseur peut envoyer à l'utilisateur un fichier ICA qui provoque le détournement de ses informations d identification vers un serveur non autorisé ou un faux serveur. Cela est dû au fait que le client capture les informations d'identification d'un utilisateur lors de la session d'ouverture sur la machine cliente et les renvoie vers un serveur quelconque (si le fichier ICA contient le paramètre approprié).

Centre de documentation Chapitre 8 Configuration de la sécurité de l'interface Web 145 Recommandations Les recommandations suivantes combinent des pratiques de sécurité standard de l industrie et des méthodes Citrix pour la protection des données transitant entre les machines clientes et le serveur Web, et des données écrites sur les machines clientes. Utilisation de serveurs et navigateurs Web recourant à SSL/TLS La sécurisation des communications entre le serveur Web et le navigateur Web de l'interface Web commence par la mise en place de serveurs Web et de navigateurs Web sécurisés. La sécurité de nombreux serveurs Web repose sur la technologie SSL/TLS. Dans une transaction typique entre serveur Web et navigateur Web, le navigateur Web vérifie d abord l identité du serveur Web en comparant son certificat de serveur à une liste d autorités de certification approuvées. Après vérification, le navigateur Web crypte les requêtes des pages de l utilisateur, puis décrypte les documents renvoyés par le serveur Web. À la fin de chaque transaction, des contrôles d intégrité de message TLS (Transport Layer Security) ou SSL (Secure Sockets Layer) vérifient que les données n ont pas été modifiées lors du transit. Dans un déploiement de l'interface Web, l authentification SSL/TLS et le cryptage créent une connexion sécurisée permettant à l utilisateur de transmettre ses informations d identification entrées dans la page Ouverture de session. Les données transmises à partir du serveur Web (y compris le cookie contenant les informations d identification, les fichiers ICA et les pages HTML de liste d applications) sont toutes sécurisées. Pour mettre en œuvre la technologie SSL/TLS sur votre réseau, vous devez posséder un serveur Web et un navigateur Web compatibles SSL/TLS. L'utilisation de ces produits s'effectue en toute transparence pour l'interface Web. Il n est pas nécessaire de configurer les serveurs et les navigateurs Web pour l'interface Web. Pour plus de détails sur la configuration du serveur Web pour la prise en charge de la technologie SSL/TLS, veuillez consulter la documentation du serveur Web. Important De nombreux serveurs Web compatibles SSL/TLS utilisent le port TCP/IP 443 pour les communications HTTP. Par défaut, le Relais SSL Citrix utilise également ce port. Si votre serveur Web est également un serveur exécutant le Relais SSL Citrix, assurez-vous que le serveur Web ou le Relais SSL Citrix est configuré pour utiliser un autre port.

146 Guide de l'administrateur de l'interface Web Centre de documentation N'activez pas l'authentification unique Pour empêcher tout détournement des informations d'identification des utilisateurs vers un serveur non autorisé ou un faux serveur, n'activez pas l'authentification unique dans une installation sécurisée. N'utilisez cette fonction que dans un environnement réduit et approuvé. Communications entre l'interface Web et Presentation Server Les communications entre l'interface Web et le serveur exécutant Presentation Server impliquent les éléments suivants : le transfert de données de configuration entre l'interface Web et le service de configuration (pour les sites utilisant une configuration centralisée) ; le transfert des informations d'identification et des informations sur les séries d'application de l'utilisateur entre l'interface Web et le service XML Citrix sur la batterie de serveurs. Dans une session standard, l'interface Web transfère des informations d identification au service XML Citrix pour l'authentification de l'utilisateur et le service XML Citrix renvoie des informations sur les séries d applications. Le serveur et la batterie échangent les informations à l'aide d'une connexion TCP/IP et du protocole XML Citrix. Risques À l exception des mots de passe, qui sont transmis masqués, le protocole XML de l'interface Web n effectue aucun cryptage des données. Les données sont donc transmises en clair. Les communications sont vulnérables aux attaques suivantes. Un agresseur peut intercepter le trafic XML et s emparer des informations sur les séries d applications et des tickets. Un agresseur ayant la capacité de désactiver le masquage peut également obtenir les informations d identification des utilisateurs. Un agresseur peut se faire passer pour le serveur et intercepter les requêtes d authentification. Un agresseur peut intercepter des données de configuration qui peuvent contenir des informations confidentielles.

Centre de documentation Chapitre 8 Configuration de la sécurité de l'interface Web 147 Recommandations Citrix recommande d'implémenter l'une des mesures de sécurité suivantes pour sécuriser le trafic XML et les données de configuration échangées entre le serveur exécutant l'interface Web et la batterie de serveurs. Utilisez le Relais SSL Citrix comme intermédiaire de sécurité entre le serveur Web exécutant l'interface Web et la batterie de serveurs. Le Relais SSL Citrix procède à l'authentification de l'hôte et au cryptage des données. Dans les déploiements ne prenant pas en charge l'exécution du Relais SSL Citrix, exécutez le serveur exécutant l'interface Web sur le serveur exécutant Presentation Server. Utilisez le protocole HTTPS pour envoyer les données de l'interface Web via une connexion HTTP sécurisée à l'aide de SSL si Microsoft Internet Information Services (IIS) est installé sur le serveur exécutant l'interface Web à d'autres fins. Utilisation du Relais SSL Citrix Le Relais SSL Citrix est un composant par défaut de Presentation Server. Côté serveur, vous devez installer un certificat de serveur sur le serveur Relais SSL Citrix et vérifier la configuration de ce dernier. Pour des informations complémentaires sur l installation d un certificat de serveur et la configuration du Relais SSL Citrix sur des serveurs, veuillez consulter le Guide de l administrateur Citrix Presentation Server. Vous pouvez également consulter l aide d application de l Outil de configuration du Relais SSL Citrix. Pour les serveurs Presentation Server pour UNIX, veuillez consulter le Guide de l'administrateur du Relais SSL Citrix pour UNIX. Lors de la configuration du Relais SSL Citrix, assurez-vous que le serveur Relais SSL Citrix autorise la transmission des données SSL aux serveurs dont le service XML Citrix sera utilisé comme point de contact. Par défaut, le Relais SSL Citrix ne transmet les données qu au serveur sur lequel il est installé. Vous pouvez toutefois le configurer pour diriger les données vers d autres serveurs. Si votre Relais SSL Citrix est situé sur une machine différente de celle sur laquelle vous voulez envoyer les données Interface Web, assurez-vous que le serveur sur lequel vous voulez envoyer les données Interface Web figure dans la liste de serveurs du Relais SSL Citrix. Vous pouvez configurer l'interface Web pour qu'elle utilise le Relais SSL Citrix à l'aide de la console Access Management Console ou du fichier WebInterface.conf. Pour plus d'informations sur l'utilisation de la console, veuillez consulter la section «Gestion de batteries de serveurs», page 67.

148 Guide de l'administrateur de l'interface Web Centre de documentation Pour configurer l'interface Web afin d'utiliser le Relais SSL Citrix à l'aide de WebInterface.conf 1. Ouvrez le fichier WebInterface.conf. 2. Remplacez la valeur SSLRelayPort dans le paramètre Farmn par le numéro de port du Relais SSL Citrix sur le serveur. 3. Remplacez la valeur du paramètre Transport dans le paramètre Farmn par SSL. Ajout de certificats au serveur exécutant l'interface Web Sur les plates-formes UNIX, l'interface Web intègre la prise en charge native des autorités de certification suivantes : VeriSign, Inc., http://www.verisign.com/ Baltimore Technologies, http://www.baltimore.com/ Pour prendre en charge d autres autorités de certification, vous devez ajouter le certificat racine de l autorité de certification au serveur exécutant l'interface Web. Pour ajouter un nouveau certificat racine au serveur exécutant l'interface Web Copiez le certificat racine dans votre serveur Web. Sous Windows, le certificat est copié à l aide du composant logiciel enfichable de la console Certificate Microsoft Management Console (MMC). Sous UNIX, copiez le certificat dans le répertoire./cacerts. Pour plus d'informations sur les certificats, veuillez consulter le chapitre d'installation du Guide de l'administrateur Citrix Presentation Server. Pour les serveurs Presentation Server pour UNIX, veuillez consulter le Guide de l'administrateur du Relais SSL Citrix pour UNIX. Activation de l'interface Web sur le serveur exécutant Presentation Server Pour les déploiements ne permettant pas l utilisation du Relais SSL Citrix, il est possible d éliminer le risque d une attaque réseau en exécutant un serveur Web sur le serveur qui fournit les données de l'interface Web. L hébergement des sites de l'interface Web sur un tel serveur Web permet de diriger toutes les requêtes de l'interface Web vers le service XML Citrix et le service de configuration de l hôte local et d éliminer ainsi la transmission des données de l'interface Web sur le réseau.

Centre de documentation Chapitre 8 Configuration de la sécurité de l'interface Web 149 Cependant, il convient de comparer les avantages de l élimination de la transmission réseau aux risques d exploitation du serveur Web. Remarque Sur les systèmes Presentation Server, le programme d installation vous permet de forcer le service XML Citrix à partager le port TCP/IP d Internet Information Services plutôt que d'utiliser un port dédié. Si vous activez le partage du port, le service XML Citrix et le serveur Web utilisent le même port par défaut. Vous pouvez au moins placer votre serveur Web et le serveur exécutant Presentation Server derrière un pare-feu afin de ne pas exposer les communications entre ces serveurs aux utilisateurs d Internet. Dans ce scénario, les machines clientes doivent être capables de communiquer via le pare-feu avec le serveur Web et le serveur exécutant Presentation Server. Le pare-feu doit permettre le trafic HTTP (généralement via le port http 80 ou 443 si un serveur Web sécurisé est utilisé) pour les communications entre la machine cliente et le serveur Web. Pour les communications entre le client et le serveur, le pare-feu doit autoriser le trafic ICA entrant sur les ports 1494 et 2598. Pour plus de détails sur l'utilisation du protocole ICA avec des pare-feu réseau, consultez la documentation du serveur. Pour plus de détails sur l'utilisation de l'interface Web avec la traduction d'adresse réseau, consultez le guide Personnalisation de l'interface Web. Utilisation du protocole HTTPS Vous pouvez utiliser le protocole HTTPS pour sécuriser les données de l'interface Web échangées entre le serveur Web et le serveur exécutant Presentation Server. HTTPS utilise le protocole SSL/TLS pour assurer un cryptage élevé des données. Le serveur Web établit une connexion HTTPS à IIS qui s'exécute sur le serveur exécutant Presentation Server. Cette opération exige le partage du port IIS sur le serveur exécutant Presentation Server et l'exécution d'iis sur le serveur exécutant Presentation Server pour que le protocole SSL soit activé. Le nom de serveur que vous spécifiez (à l'aide de la console ou dans le paramètre Batterie dans WebInterface.conf) doit être un nom DNS complet correspondant au nom du certificat de serveur SSL IIS. Le service XML Citrix est disponible dans https://nomserveur/scripts/wpnbr.dll. Pour plus d'informations sur la configuration de l'interface Web pour l'utilisation du protocole HTTPS à l'aide de la console Access Management Console, veuillez consulter la section «Gestion de l'accès client sécurisé», page 118.

150 Guide de l'administrateur de l'interface Web Centre de documentation Pour configurer l'interface Web afin d'utiliser le protocole HTTPS à l'aide du fichier WebInterface.conf 1. Ouvrez le fichier WebInterface.conf. 2. Remplacez la valeur du paramètre Transport dans le paramètre Farmn par HTTPS. Communications entre la session cliente et Presentation Server. Les communications de l'interface Web entre les machines clientes et les serveurs impliquent la transmission de plusieurs types de données de session cliente, notamment des requêtes d initialisation et des informations de session cliente. Requêtes d initialisation. La première étape permettant d'établir une session cliente, appelée initialisation, exige que le client fasse la requête d'une session cliente et fournisse une liste de paramètres de configuration de session. Ces paramètres contrôlent divers aspects de la session cliente, comme l'utilisateur devant ouvrir une session, la taille de la fenêtre à tracer et le programme à exécuter au cours de la session. Informations de session cliente. Après l'initialisation de la session cliente, les informations sont transmises entre le client et le serveur par un certain nombre de couches virtuelles. Par l'entrée souris (du client au serveur) et les mises à jour graphiques (du serveur au client) par exemple. Risques Pour capturer et interpréter les communications réseau entre le client et le serveur, un agresseur doit être capable de déchiffrer le protocole client binaire. Un agresseur connaissant les détails du protocole client binaire peut : intercepter les informations de requête d initialisation envoyées depuis le client, notamment les informations d identification de l utilisateur ; intercepter les informations de session cliente, y compris le texte et les clics de souris entrés par les utilisateurs ainsi que les mises à jour d affichage envoyées depuis le serveur.

Centre de documentation Chapitre 8 Configuration de la sécurité de l'interface Web 151 Recommandations Utilisation du protocole SSL/TLS ou du cryptage ICA Citrix vous conseille d utiliser SSL/TLS ou le cryptage ICA pour assurer la sécurité du trafic entre vos clients et vos serveurs. Les deux méthodes prennent en charge le cryptage 128 bits du flux de données entre le client et le serveur, mais SSL/TLS prend également en charge la vérification de l'identité du serveur. La prise en charge de SSL est comprise dans Feature Release 1 pour MetaFrame XP ou version ultérieure, et Feature Release 1 pour MetaFrame pour UNIX et version ultérieure. La prise en charge de SSL/TLS est comprise dans Feature Release 2 pour MetaFrame XP et version ultérieure. La prise en charge du cryptage ICA est comprise dans Feature Release 1 de MetaFrame 1.8 et MetaFrame Presentation Server ou version ultérieure. Pour obtenir une liste des clients prenant en charge chaque méthode, consultez la documentation de vos clients ou le site de téléchargement Citrix. Pour plus d'informations sur le cryptage ICA, consultez le Guide de l'administrateur Citrix Presentation Server. Utiliser Secure Gateway Vous pouvez utiliser Secure Gateway pour assurer la sécurité du trafic Internet entre vos clients et les serveurs. Secure Gateway joue le rôle d'une passerelle Internet sécurisée entre les clients compatibles SSL/TLS et les serveurs. Pour plus d'informations sur Secure Gateway, reportez-vous au Guide de l'administrateur de Secure Gateway pour MetaFrame. Pour plus d'informations sur la configuration de l'interface Web pour la prise en charge de Secure Gateway à l'aide de la console Access Management Console, veuillez consulter la section «Configuration de la prise en charge de Secure Gateway», page 175.

152 Guide de l'administrateur de l'interface Web Centre de documentation Contrôle de la journalisation des diagnostics Utilisez la tâche Contrôler la journalisation des diagnostics pour accroître la sécurité du système en matière de journalisation des erreurs. Vous pouvez empêcher que les événements en double soient journalisés à plusieurs reprises, et définir le nombre d'événements en double qui seront journalisés ainsi que la fréquence de leur journalisation. Cette tâche vous permet également d'indiquer l'adresse URL de redirection des erreurs. Si vous spécifiez une adresse URL de page d'erreur personnalisée, vous devez gérer tous les identificateurs d'erreur avec cette adresse URL et envoyer des messages d'erreur à vos utilisateurs. En outre, cette adresse URL de page d'erreur remplacera la page Fermeture de session des utilisateurs, même si ces derniers ont fermé leur session sans qu'aucune erreur ne se soit produite. Considérations générales relatives à la sécurité Vous devriez également prendre connaissance des considérations générales de sécurité suivantes lors de la configuration de votre serveur. Vérification de la configuration de votre serveur Pour la configuration du serveur Windows, Citrix vous conseille de suivre les directives standard de Microsoft, comme avec tout autre serveur Windows. Vérifiez toujours que tous les composants sont à jour avec tous les derniers correctifs logiciels. Pour plus de détails et pour consulter les dernières recommandations de téléchargement, consultez le site Web de Microsoft à l adresse : http://support.microsoft.com. Modification du message de bienvenue Il est possible que vous vouliez modifier le message par défaut «Bienvenue» affiché sur la page Ouverture de session de l'interface Web. Vous pouvez modifier ce texte en modifiant le fichier common_strings.properties. Pour modifier le message par défaut «Bienvenue» 1. Ouvrez le fichier common_strings.properties. Ce fichier se trouve par défaut dans C:\Program Files\Citrix\Web Interface\4.5\languages.

Centre de documentation Chapitre 8 Configuration de la sécurité de l'interface Web 153 2. Remplacez la ligne suivante : Bienvenue=Bienvenue par Bienvenue=<texte personnalisé> Important Entrez un espace après le caractère «=» si vous ne voulez pas afficher le message «Bienvenue» sur la page Ouverture de session. 3. Enregistrez le fichier de common_strings.properties. 4. Répétez la même procédure pour les fichiers suivants : common_string_de.properties ; common_string_es.properties ; common_string_fr.properties ; common_string_ja.properties. 5. Redémarrez le serveur Web pour appliquer les modifications.

Centre de documentation ANNEXE A Configuration de sites à l'aide du fichier de configuration Les sites configurés au niveau local comprennent un fichier de configuration appelé WebInterface.conf contenant les données de configuration d'un site. Servez-vous en pour effectuer les tâches d'administration quotidiennes et personnaliser d'autres paramètres pour le site. Vous pouvez, par exemple, utiliser WebInterface.conf pour spécifier les paramètres que les utilisateurs peuvent régler dans la page de paramètres ou configurer l'authentification des utilisateurs de l'interface Web. Les sites configurés au niveau central stockent ces données sur le serveur exécutant le service XML Citrix. Vous pouvez toutefois exporter ces données vers un fichier à l'aide de la tâche Exporter la configuration et modifier le fichier manuellement. Remarque Si vous entrez une valeur de paramètre incorrecte lors de la modification d'un fichier de configuration, l'interface Web remplace cette valeur incorrecte par la valeur par défaut lorsque le fichier est enregistré (pour les sites configurés au niveau local) ou importé (pour les sites configurés de manière centralisée). Le fichier WebInterface.conf est disponible dans le répertoire de configuration de site de toutes les plates-formes. Sous Windows, l'emplacement est C:\Inetpub\wwwroot\Citrix\AccessPlatform\conf Sous les systèmes UNIX, l'emplacement sera /usr/local/tomcat/webapps/citrix/accessplatform/web-inf.

156 Guide de l administrateur de l Interface Web Centre de documentation Vous pouvez remplacer certaines valeurs de WebInterface.conf pour certaines pages dans vos scripts de serveur Web. Pour plus d'informations sur les scripts de serveur Web, veuillez consulter le guide Personnalisation de l'interface Web. Important Pour que les modifications apportées au fichier WebInterface.conf soient prises en compte sur les plates-formes UNIX, vous devez arrêter puis redémarrer le serveur exécutant l'interface Web. De plus, assurez-vous que vous enregistrez vos modifications au format UTF-8. Paramètres WebInterface.conf Le tableau ci-dessous indique les paramètres pouvant figurer dans WebInterface.conf (par ordre alphabétique), les valeurs par défaut apparaissent en gras. Si un paramètre n'est pas spécifié dans WebInterface.conf, c'est sa valeur par défaut qui est utilisée. Paramètre Description Valeurs Types de sites AccountSelfService URL Indique l'url du service Password Manager. Adresse URL valide avec HTTPS. AdditionalExplicit Authentication Définit l'authentification explicite à deux facteurs que vous devez réaliser conjointement avec SAM (Secure Access Manager), ADS (Active Directory Services) ou NDS (Novell Directory Services). Remplace le paramètre désapprouvé de EnableSecurIDWithExplicit Authentication. None SecurID SafeWord RADIUS AddressResolution Type Indique quel type d'adresse utiliser dans le fichier de lancement ICA. Ipv4-port ipv4 dns dns-port Services de l'agent Program Neighborhood Conferencing Manager AGEPromptPassword Indique si un utilisateur est invité ou non à entrer de nouveau son mot de passe en ouvrant une session depuis la page Ouverture de session d'advanced Access Control. Off On AGEWebServiceURL Adresse URL du service d'authentification d'advanced Access Control. Adresse URL valide

Centre de documentation Annexe A 157 Paramètre Description Valeurs Types de sites AllowBandwidth Selection Indique si les utilisateurs peuvent ou ne peuvent pas fournir à Presentation Server le type de connexion entre leur navigateur Web et Presentation Server leur permettant d'optimiser les paramètres ICA. Off On AllowCustomizeApp Columns Indique si les utilisateurs sont ou ne sont pas autorisés à spécifier le nombre de colonnes. On Off AllowCustomize ApplicationAccess Method Indique si l'utilisateur peut choisir ou non le mode distant ou le mode streaming comme méthode privilégiée d'accès aux applications. Off On AllowCustomize Audio Indique si les utilisateurs sont ou ne sont pas autorisés à régler la qualité audio des sessions ICA. Off On AllowCustomizeClient PrinterMapping Indique si les utilisateurs sont ou ne sont pas autorisés à activer/désactiver le mappage d'imprimantes clientes. Off On AllowCustomize Clients Indique si l'utilisateur est autorisé à modifier le client utilisé pour le lancement de l'application. Off On Conferencing Manager AllowCustomizeJava ClientPackages Indique si l'utilisateur est autorisé ou non à modifier les packs Client pour Java téléchargés. Off On AllowCustomize Layout Indique si les utilisateurs sont ou ne sont pas autorisés à sélectionner l'interface utilisateur de leur choix. Off On AllowCustomize Logoff Indique si les utilisateurs peuvent ou ne peuvent pas remplacer le comportement affiché par la fonctionnalité de contrôle de l'espace de travail lorsqu'ils ferment une session de Presentation Server. On Off

158 Guide de l administrateur de l Interface Web Centre de documentation Paramètre Description Valeurs Types de sites AllowCustomize ReconnectAtLogin Indique si les utilisateurs de Presentation Server sont ou ne sont pas autorisés à remplacer le comportement de la fonctionnalité de contrôle de l'espace de travail à l'ouverture d'une session. On Off AllowCustomize ReconnectButton Indique si les utilisateurs de Presentation Server sont ou ne sont pas autorisés à remplacer le comportement de la fonctionnalité de contrôle de l'espace de travail lorsqu'ils cliquent sur Se reconnecter. On Off AllowCustomize Settings Indique si les utilisateurs peuvent ou ne peuvent pas personnaliser leurs sessions Interface Web. On Off AllowCustomize TransparentKey Passthrough Indique si les utilisateurs sont ou ne sont pas autorisés à sélectionner l'authentification par combinaison de touches. Off On AllowCustomize VirtualCOMPort Emulation Indique si les utilisateurs sont ou ne sont pas autorisés à activer/désactiver la synchronisation des ordinateurs de poche. On Off AllowCustomizeWin Color Indique si les utilisateurs sont ou ne sont pas autorisés à modifier le nombre de couleurs des sessions ICA. Off On AllowCustomizeWin Size Indique si les utilisateurs sont ou ne sont pas autorisés à modifier la taille de fenêtre des sessions ICA. On Off AllowUserAccount Unlock Indique si les utilisateurs peuvent ou ne peuvent pas déverrouiller leur compte à l'aide de l'option Libre-service de compte. Off On AllowUserPassword Change Définit sous quelles conditions les utilisateurs peuvent modifier leur mot de passe. Never Expired-Only Always AllowUserPassword Reset Indique si les utilisateurs peuvent ou ne peuvent pas réinitialiser leur mot de passe à l'aide de l'option Libre-service de compte. Off On

Centre de documentation Annexe A 159 Paramètre Description Valeurs Types de sites AlternateAddress Indique si l'adresse secondaire de serveur doit ou ne doit pas être renvoyée dans le fichier ICA. Off Mapped On Conferencing Manager AppColumns Nombre de colonnes d'icônes d'application dans l'écran Application. Integer 1-300 (3) ApplicationAccess Methods Indique si les utilisateurs peuvent accéder aux applications à l'aide du client distant, du client de streaming, ou des deux. Distant, streaming Services de l'agent Program Neighborhood Authentication Methods Définit les méthodes d'ouverture de session autorisées. Il s'agit d'une liste, avec des virgules comme séparateurs, qui peut comporter n'importe quelle valeur parmi celles spécifiées, dans n'importe quel ordre. Explicit, Anonymous, CertificateSingleSign On, Certificate, SingleSignOn AGEPassthrough Federated Services de l'agent Program Neighborhood AutoDeployWebClient Indique s'il faut télécharger le client natif complet pour les utilisateurs ne disposant d'aucun client ou possédant un client obsolète. Off On AutoDeployWeb ClientPackage Nom de fichier du client déployé automatiquement aux utilisateurs lorsque AutoDeployWebClient a la valeur On. Nom de fichier du pack client natif complet AutoFallbackToJava Client Indique s'il faut utiliser ou pas le client pour Java afin de lancer des applications si aucun client natif n'est détecté sur les plates-formes Win32. Off On Conferencing Manager BrandingColor Indique la couleur des lignes et des barres dans les zones d'entête et de bas de page. Nom ou nombre hexadécimal d'une couleur Conferencing Manager BypassFailedRadius ServerDuration Laps de temps s'écoulant avant qu'un serveur RADIUS en échec puisse être réutilisé. Chiffre en minutes (60) BypassFailedSTA Duration Laps de temps s'écoulant avant qu'un serveur STA en échec puisse être réutilisé. Chiffre en minutes (60) Services de l'agent Program Neighborhood Conferencing Manager

160 Guide de l administrateur de l Interface Web Centre de documentation Paramètre Description Valeurs Types de sites ClientAddressMap Partie de la configuration du pare-feu côté serveur. Liste de paires adresse cliente/type d'adresse. L'adresse cliente peut être une adresse partielle ou une adresse et un masque de sous-réseau, tandis que le type d'adresse peut avoir l'une des valeurs suivantes : Normal, Alternate, Translated, SG, SGAlternate et SGTranslated. L'utilisation d'un astérisque (*) à la place d'une adresse ou d'un sous-réseau indique la valeur par défaut de tous les clients non spécifiés. <Subnet Address>/ <Subnet Mask> *, Normal Alternate Translated SG SGTranslated SGAlternate, Conferencing Manager ClientProxy Option de pare-feu côté client. Indique une liste d'adresses et de masques sous-réseau du client et de paramètres proxy associés. L'adresse du client dans le fichier ICA renvoyé est déterminée par ces paramètres. Chaque entrée comprend trois champs. Le premier peut être une adresse et un masque de sous-réseau. L'utilisation du signe (*) indique la valeur par défaut de tous les clients non spécifiés. Le deuxième est l'un des six types de proxy. La valeur du troisième champ (adresse du proxy) dans chaque série de trois est ignorée si le deuxième champ (type de proxy) ne contient pas un type de proxy explicite (SOCKS ou Secure), mais elle doit toujours être présente ; la valeur par défaut de ce champ est le signe moins (-). <ClientAddress> <Subnet Address>/ <Subnet Mask> *, Auto WpadAuto Client None SOCKS Secure, - <ProxyAddress> <ProxyAddress>: <ProxyPort>, Conferencing Manager CompanyHomePage Adresse URL à utiliser comme lien hypertexte pour le logo de l'entreprise si la valeur du paramètre CompanyLogo est définie. Adresse URL valide Conferencing Manager CompanyLogo Adresse URL de l'image du logo de l'entreprise. Adresse URL valide Conferencing Manager

Centre de documentation Annexe A 161 Paramètre Description Valeurs Types de sites CredentialFormat Indique les formats des informations d'identification pour les ouvertures de session explicites Windows et NIS. All UPN DomainUsername Services de l'agent Program Neighborhood CSG_EnableSession Reliability Indique si la fiabilité de session doit être utilisée ou pas via Secure Gateway ou Access Gateway. Off On Conferencing Manager CSG_Server Indique l'adresse de Secure Gateway ou Access Gateway. Aucun. Adresse du serveur sous forme de nom de domaine complet Conferencing Manager CSG_ServerPort Indique le port Secure Gateway ou Access Gateway. Aucun. Port du serveur. Conferencing Manager CSG_STA_URL<n> Serveur fournissant la fonction Secure Ticket Authority. Aucun. Adresse URL vers un STA Conferencing Manager DefaultApplication AccessMethod Indique si le client distant ou le client de streaming est utilisé ou non pour accéder aux applications par défaut. Distant Streaming DefaultClient Indique s'il faut afficher tous les clients disponibles pour le téléchargement lorsque la plate-forme ne peut pas être détectée automatiquement. Applicable uniquement si des légendes d'installation doivent être affichées. On Off Conferencing Manager DefaultCustomText Locale La langue par défaut à utiliser pour le texte personnalisé. Celle-ci doit être la même que celle indiquée pour les paramètres <lang_code> dans le WelcomeMessage <lang_code> et le FooterText <lang_code>. Aucune. en fr de es ja tout autre identificateur de langue prise en charge Conferencing Manager DisplayFooter Indique s'il faut afficher ou pas le bas de page défini dans footer.inc. On Off Conferencing Manager DisplayHeader Indique s'il faut afficher ou pas l'en-tête défini dans header.inc.. On Off Conferencing Manager

162 Guide de l administrateur de l Interface Web Centre de documentation Paramètre Description Valeurs Types de sites DisplayMainBoxTitle BarBgImage Indique s'il faut utiliser ou pas une image d'arrière-plan ou une simple couleur d'arrièreplan pour la barre de titre de fenêtre principale. On Off Conferencing Manager DisplaySiteLogo Indique si le logo d'identification du site est affiché ou pas. On Off Conferencing Manager DomainSelection Indique les noms de domaines répertoriés dans la page Ouverture de session de l'authentification explicite. Liste des noms de domaines NetBIOS. DuplicateLogInterval Indique la période pendant laquelle les entrées de journal DuplicateLogLimit feront l'objet d'une surveillance. Chiffre en secondes (60) Services de l'agent Program Neighborhood Conferencing Manager DuplicateLogLimit Indique le nombre d'entrées de journal en double autorisées pour la période DuplicateLogInterval. Entier supérieur à 0 (10) Services de l'agent Program Neighborhood Conferencing Manager EnableFileType Association Indique si l'association de type de fichier est activée ou désactivée pour un site. Si la valeur est Off, la redirection du contenu n'est pas disponible pour le site. On Off Services de l'agent Program Neighborhood EnableKerberosTo MPS Indique si l'authentification Kerberos doit être activée ou pas. Off On EnableLegacyICA ClientSupport Indique si les clients plus anciens de Citrix Presentation Server ne pouvant pas lire les fichiers ICA UTF-8 sont pris en charge. Si la valeur de ce paramètre est Off, Presentation Server générera des fichiers ICA codés au format UTF-8. On Off Services de l'agent Program Neighborhood Conferencing Manager EnableLogoff Applications Indique si la fonction de contrôle de l'espace de travail doit se déconnecter des applications actives lorsque l'utilisateur ferme sa session sur Presentation Server. On Off

Centre de documentation Annexe A 163 Paramètre Description Valeurs Types de sites EnablePassthrough URLs Indique si les utilisateurs peuvent ou non créer des liens persistants vers les applications publiées accessibles en utilisant l'interface Web. Off On EnableRadiusServer LoadBalancing Activez ce paramètre pour permettre un équilibrage de charge en mode aléatoire entre des sessions exécutées sur plusieurs serveurs RADIUS. Le basculement entre les serveurs se produit dans tous les cas, que la valeur de ce paramètre soit On ou Off. On Off EnableSTALoad Balancing Activez ce paramètre pour permettre un équilibrage de charge entre les requêtes envoyées à plusieurs serveurs STA Secure Gateway. On Off Services de l'agent Program Neighborhood Conferencing Manager EnableVirtualCOM PortEmulation Indique s'il faut activer ou pas la synchronisation des ordinateurs de poche via des connexions par câble USB. Off On EnableWorkspace Control Indique si les utilisateurs de Presentation Server ont accès à la fonction de contrôle de l'espace de travail. On Off ErrorFallbackURL Définit l'adresse URL vers laquelle l'interface Web doit se rediriger en cas d'erreur. Quatre paramètres de chaîne de requête sont acceptés : NFuse_MessageType NFuse_MessageKey NFuse_MessageArgs NFuse_LogEventID Adresse URL valide

164 Guide de l administrateur de l Interface Web Centre de documentation Paramètre Description Valeurs Types de sites Farm<n> FooterText_<langcode> HeadingImage HideDomainField HpUxUnixClient IbmAixClient Indique toutes les informations relatives à une batterie. Texte de bas de page localisé à afficher dans la zone de bas de page de tous les écrans. lang-code est en, fr, de, es, ja ou tout autre code de langue standard. Adresse URL de l'image à afficher comme en-tête de l'interface Web. Détermine si le champ de domaine est affiché dans l'écran Ouverture de session. Indique les légendes et les liens de téléchargement de la plateforme associée. Indique les légendes et les liens de téléchargement de la plateforme associée. Adresse du service XML [,XML service address,...] [,Name:<nom>] [,XMLPort:<port>] [,Transport:<HTTP HTTPS SSL>] [,SSLRelayPort: <port>] [,BypassDuration: <durée>] [,LoadBalance: <on off>] [,ECSUrlURL>] [,TicketTimeToLive: <secondes (200)>] [,RADETicketTime ToLive:<secondes (200)>] Aucun. Texte en clair plus un nombre quelconque de balises <br> de nouvelle ligne HTML. Adresse URL valide Off On «Par défaut.» Légende et liens. «Par défaut.» Légende et liens. Services de l'agent Program Neighborhood Conferencing Manager Conferencing Manager Conferencing Manager Conferencing Manager Conferencing Manager ICAWebClient Nom de fichier du client Web. ica32pkg.msi Conferencing Manager IcaWebClientClassID ICAWebClientVersion Identificateur de classe du client ActiveX. Numéro de version du client (du CD-ROM du client). Utilisé avec AutoDeployWebClient. 238f6f83-b8b4-11cf- 8771-00a024541ee3 La dernière version du client Conferencing Manager Conferencing Manager

Centre de documentation Annexe A 165 Paramètre Description Valeurs Types de sites IgnoreClientProvided ClientAddress Indique si l'adresse du client fournie par le client est ignorée. Off On Services de l'agent Program Neighborhood Conferencing Manager InternalServer AddressMap Liste de paires d'adresses normales et traduites. L'adresse normale identifie l'adresse du serveur Secure Gateway et l'adresse traduite est celle à renvoyer au client Citrix Presentation Server. NormalAddress = TranslatedAddress, Services de l'agent Program Neighborhood Conferencing Manager JavaClientPackages Série par défaut de packs Client pour Java à télécharger. Liste comportant des virgules comme séparateurs, suivant un ordre arbitraire. ConfigUI, PrinterMapping, SecureICA, Audio, ClientDriveMapping, ClipBoard, SSL, Thinwire1, ZeroLatency Conferencing Manager JavaClientRoot Certificate Nom de fichier d'un certificat racine privé pour le client pour Java. Le certificat doit se trouver dans le même répertoire que les packs Client pour Java. Aucun. Nom de fichier valide Conferencing Manager KioskMode Indique si les paramètres utilisateur doivent être persistants ou uniquement valables pour la durée de la session. Lorsque le mode Kiosque est activé, les paramètres utilisateur ne persistent pas d'une session à l'autre. Off On Conferencing Manager LaunchClients Définit les clients que l'utilisateur est autorisé à sélectionner. Va de pair avec AllowCustomizeClients. Ica-Local, Ica-Java, Ica-Embedded, Rdp-Embedded Conferencing Manager LaunchMethod Client préféré pour les lancements. Ica-Local Ica-Java On Off Ica-Embedded Rdp-Embedded Conferencing Manager LinuxClient Indique les légendes et les liens de téléchargement de la plateforme associée. «Par défaut.» Légende et liens. Conferencing Manager

166 Guide de l administrateur de l Interface Web Centre de documentation Paramètre Description Valeurs Types de sites LoginDomains Indique les noms de domaines utilisés pour la restriction d'accès. Liste des noms de domaines NetBIOS Services de l'agent Program Neighborhood LoginType Indique l'écran d'ouverture de session affiché. Peut être basé sur un domaine ou de type NDS. Default NDS Services de l'agent Program Neighborhood LogoffFederation Service Indique si un utilisateur doit être déconnecté ou pas du site uniquement, ou de ADFS dans sa globalité, lorsqu'un utilisateur clique sur le bouton de Fermeture de session d'un site intégré ADFS. On Off MacClient Indique les légendes et les liens de téléchargement de la plateforme associée. «Par défaut.» Légende et liens. Conferencing Manager MainBoxTitleBarBg Color Indique la couleur d'arrièreplan de la barre de titre de la fenêtre principale. Nom ou nombre hexadécimal d'une couleur Conferencing Manager MainBoxTitleBarBg Image Indique l'adresse URL vers l'image d'arrière-plan de la barre de titre de la fenêtre principale. Adresse URL valide. Conferencing Manager MainBoxTitleFont Color Couleur de police de la barre de titre de la fenêtre principale. Nom ou nombre hexadécimal d'une couleur Conferencing Manager MessageHeadingBg Color Couleur d'arrière-plan des entêtes de la zone d'accueil et du Centre de messages. Nom ou nombre hexadécimal d'une couleur Conferencing Manager MessageHeadingFont Color Couleur de police pour les entêtes de la zone d'accueil et du Centre de messages. Nom ou nombre hexadécimal d'une couleur Conferencing Manager NDSContextLookup LoadBalancing Indique s'il faut équilibrer ou pas la charge des serveurs LDAP configurés. On Off Services de l'agent Program Neighborhood

Centre de documentation Annexe A 167 Paramètre Description Valeurs Types de sites NDSContextLookup Servers Indique les serveurs LDAP à utiliser. Si le port de serveur n'est pas indiqué, il est déduit du protocole : Idap pour le port LDAP par défaut (389), ou Idaps pour le LDAP par défaut sur un port SSL (636). Un maximum de 512 serveurs est pris en charge. Si ce paramètre est vide ou absent, la fonctionnalité d'ouverture de session hors contexte est désactivée. None. ldap://[:] ldaps://[:],... Services de l'agent Program Neighborhood NDSTreeName Dans le cas de l'authentification NDS, indique l'arborescence NDS à utiliser. Aucun. Arborescence NDS. Services de l'agent Program Neighborhood OtherClient Spécifie la légende et les liens de téléchargement des platesformes clientes non reconnues. «Par défaut.» Légende et liens. Conferencing Manager OverlayAutologon CredsWithTicket Indique qu'un ticket d'ouverture de session doit être dupliqué dans une entrée de ticket d'ouverture de session ou placé dans une entrée de ticket de fichier de lancement ICA séparé. On Off OverrideClientInstall Caption Définit un message personnalisé à afficher avec les liens de téléchargement des clients. Aucun. Texte du message personnalisé Conferencing Manager OverrideIca Clientname Indique si un identificateur généré par l'interface Web doit être transmis dans l'entrée de nom de client d'un fichier de lancement ICA. On Off PasswordExpiry Warning Period Indique la durée, en nombre de jours, pendant laquelle l'utilisateur sera sollicité pour changer son mot de passe avant expiration de ce mot de passe Entier entre 0 et 999 (14) PooledSockets Indique si le regroupement de sockets doit ou non être utilisé. Off On Services de l'agent Program Neighborhood Conferencing Manager

168 Guide de l administrateur de l Interface Web Centre de documentation Paramètre Description Valeurs Types de sites RADEClientClassID RadiusRequest Timeout RadiusServers RdpWebClient RdpWebClientClassID RDPWebClient Version ReconnectAtLogin Identificateur de classe de Citrix Streaming Client Indique la valeur du délai d'attente à appliquer lorsqu'une réponse est attendue du serveur RADIUS de la session. Liste délimitée par des virgules contenant les serveurs RADIUS et éventuellement les ports d'écoute correspondants. Les serveurs peuvent être spécifiés à l'aide d'adresses IP ou de noms ; le serveur et le port de chaque élément sont séparés par le signe deuxpoints. Si le port est omis, Presentation Server utilise par défaut le numéro 1812. Vous pouvez configurer un maximum de 512 serveurs RADIUS. Nom de fichier du logiciel de connexion au Bureau à distance utilisé pour les lancements via un client incorporé et le déploiement automatique de ce client. Identificateur de classe du client ActiveX de connexion au Bureau à distance fourni avec Windows Server 2003. Numéro de version du logiciel de connexion au Bureau à distance fourni avec Windows Server 2003. Indique si le contrôle de l'espace de travail doit se reconnecter aux applications à l'ouverture de session et, si tel est le cas, s'il doit se reconnecter à toutes les applications ou uniquement aux applications déconnectées. Délai en secondes (30) server[:port][, ] msrdp.cab 7584c670-2274-4efbb00b-d6aaba6d3850 Conferencing Manager Conferencing Manager 5,2,3790,0 Conferencing Manager DisconnectedAnd Active Disconnected None

Centre de documentation Annexe A 169 Paramètre Description Valeurs Types de sites ReconnectButton Indique si le contrôle de l'espace de travail doit se reconnecter aux applications lorsque les utilisateurs de Presentation Server cliquent sur le bouton Reconnecter et, si tel est le cas, s'il doit se reconnecter à toutes les applications ou uniquement aux applications déconnectées. DisconnectedAnd Active Disconnected None RequestICAClient SecureChannel Détermine les paramètres TLS. Detect-AnyCiphers, TLS-GovCiphers, SSL-AnyCiphers Services de l'agent Program Neighborhood Conferencing Manager RestrictDomains Indique si le paramètre LoginDomains est utilisé afin de limiter l'accès de l'utilisateur. Off On Services de l'agent Program Neighborhood RetryCount Nombre de tentatives d'envoi de la requête au service XML avant que le service ne soit considéré en échec. Entier supérieur à 0 (5) Services de l'agent Program Neighborhood Conferencing Manager ScoUnixClient Indique les légendes et les liens de téléchargement de la plateforme associée. «Par défaut.» Légende et liens. Conferencing Manager SearchContextList Liste optionnelle de noms de contexte séparés par des virgules à utiliser avec l'authentification NDS. Aucun. Liste de noms de contexte séparés par des virgules. ServerAddressMap Partie de la prise en charge du pare-feu côté serveur. Liste de paires d'adresses normales et traduites. L'adresse normale identifie l'adresse du serveur et l'adresse traduite doit être renvoyée au client. NormalAddress, TranslatedAddress, Conferencing Manager SgiUnixClient Indique les légendes et les liens de téléchargement de la plateforme associée. «Par défaut.» Légende et liens. Conferencing Manager

170 Guide de l administrateur de l Interface Web Centre de documentation Paramètre Description Valeurs Types de sites ShowClientInstall Caption Contrôle l'affichage des légendes de téléchargement. La valeur Auto indique que la légende de téléchargement est affichée si l'utilisateur ne dispose d'aucun client et si la fonction d'installation automatique via le Web est désactivée. Sur les autres plates-formes, la légende est toujours visible. Auto Off On Conferencing Manager ShowPasswordExpiry Warning Contrôle si les utilisateurs sont sollicités pour changer leur mot de passe avant que ce dernier n'expire et détermine la durée de la période d'avertissement. Never WindowsPolicy Custom SolarisUnixClient Indique les légendes et les liens de téléchargement de la plateforme associée. «Par défaut.» Légende et liens. Conferencing Manager Timeout Indique la valeur du délai d'attente à appliquer lors des communications avec le service XML. Délai en secondes (60) Services de l'agent Program Neighborhood Conferencing Manager TransparentKey Passthrough Indique le mode d'authentification unique par combinaisons de touches Windows. Local Remote FullScreenOnly Conferencing Manager Tru64Client Indique les légendes et les liens de téléchargement de la plateforme associée. «Par défaut.» Légende et liens. Conferencing Manager TwoFactorPassword Integration Indique si l'intégration du mot de passe doit être activée ou pas à l'aide de RSA SecurID 6 ou version ultérieure. Off On TwoFactorUseFully QualifiedUserNames Indique si les noms d'utilisateur entièrement qualifiés doivent être transmis ou non au serveur d'authentification lors de l'authentification à deux facteurs. Off On UPNSuffixes Permet de restreindre l'authentification UPN à ces suffixes pour l'authentification explicite. Liste de suffixes UPN Services de l'agent Program Neighborhood

Centre de documentation Annexe A 171 Paramètre Description Valeurs Types de sites UserInterfaceLayout Indique s'il faut utiliser ou non l'interface utilisateur compacte. Auto Normal Compact Conferencing Manager WebSessionTimeout Indique la valeur du délai d'expiration des sessions inactives du navigateur. Délai en minutes (25) Conferencing Manager WelcomeMessage_ <lang-code> Texte localisé du message de bienvenue à afficher dans la zone d'accueil des écrans Ouverture de session et Applications. lang-code est en, fr, de, es, ja ou tout autre code de langue standard. Aucun. Texte au format HTML. Conferencing Manager Win16Client Indique les légendes et les liens de téléchargement de la plateforme associée. «Par défaut.» Légende et liens. Conferencing Manager Win32Client Indique les légendes et les liens de téléchargement de la plateforme associée. Si la valeur est réglée sur la valeur par défaut, les liens du client Citrix Presentation Server par défaut de cette plate-forme sont affichés dans la page Ouverture de session du Centre de messages de l'interface Web. Pour le Web Client, les liens se trouvent généralement dans C:\\Program Files\Citrix\Web Interface\4.5\Clients\ica 32. Il est possible de personnaliser les textes et adresses des liens en suivant le format : caption1&url,caption2&url2,, et ainsi de suite, pour lequel caption représente le texte affiché sur la page et url, l adresse URL du client. Le texte est affiché dans le Centre de messages de la page Ouverture de session de l'interface Web et constitue un lien hypertexte vers l adresse URL spécifiée. «Par défaut.» Légende et liens. Conferencing Manager

172 Guide de l administrateur de l Interface Web Centre de documentation Considérations relatives à l'agent Program Neighborhood Des réglages de paramètres spécifiques de WebInterface.conf affectent la validation des requêtes de l'agent Program Neighborhood. Citrix vous conseille d'utiliser, dans WebInterface.conf, des paramètres en accord avec les paramètres du fichier config.xml dans l'agent Program Neighborhood. Contenu du fichier config.xml Le fichier config.xml contient des paramètres répartis en catégories différentes. Vous pouvez modifier les paramètres des catégories suivantes : FolderDisplay. Indique l'emplacement d affichage des icônes d'application : (dans le menu Démarrer, sur le bureau Windows ou dans la zone de notification). D autres paramètres permettent de spécifier un dossier donné dans le menu Démarrer et l icône à utiliser sur le bureau Windows. Cela correspond aux options de l'onglet Affichage d'application de la boîte de dialogue de propriétés de l'agent Program Neighborhood. DesktopIntegration. Indique s'il faut ajouter des raccourcis vers le menu Démarrer, le bureau ou les zones de notification. ConfigurationFile. Ce paramètre vous permet de spécifier une adresse URL différente pour le fichier config.xml pour le client à utiliser ultérieurement.

Centre de documentation Annexe A 173 Cela permet de déplacer plus facilement les utilisateurs vers un autre serveur exécutant l'interface Web. Request. Indique l emplacement où le client doit demander les données relatives aux applications publiées et la fréquence d actualisation des informations. Failover. Indique une liste d'adresses URL de serveur de sauvegarde à contacter si le serveur principal est indisponible. Logon. Indique la méthode d ouverture de session à utiliser. UserInterface. Indique si certains groupes d options présentées à l utilisateur dans le cadre de l interface de l Agent Program Neighborhood doivent être affichés ou masqués. ReconnectOptions. Indique si les utilisateurs ont accès à la fonctionnalité de contrôle de l'espace de travail. FileCleanup. Indique si les raccourcis sont supprimés ou non lorsqu'un utilisateur ferme sa session sur l'agent Program Neighborhood. ICA_Options. Indique les options d'affichage et de son pour les connexions clientes. Ceci correspond aux options de l onglet Options de session de la boîte de dialogue de propriétés de l'agent Program Neighborhood. AppAccess. Indique les types d'applications disponibles auprès des utilisateurs. Pour plus d'informations sur l'utilisation du fichier config.xml, veuillez consulter le Guide de l'administrateur des clients pour Windows. Réglages dans le fichier WebInterface.conf Les paramètres de WebInterface.conf répertoriés dans le tableau suivant doivent être en accord avec ceux du fichier config.xml. Le tableau explique les valeurs affectant les paramètres de l'agent Program Neighborhood et les réglages recommandés : Paramètre AuthenticationMethods LoginType NDSTreeName Réglage recommandé Utilisez la même méthode d'authentification que celle configurée dans le fichier WebInterface. L'authentification échouera si cette méthode n'est pas la même que dans le fichier config.xml. NDS doit être activé dans config.xml. DefaultTree dans la section Logon de config.xml doit contenir le même paramètre.

174 Guide de l administrateur de l Interface Web Centre de documentation Pour configurer l'interface Web lors de l'utilisation de l'agent Program Neighborhood 1. Ouvrez le fichier WebInterface.conf. 2. Situez les paramètres suivants : AuthenticationMethods LoginType NDSTreeName 3. Modifiez les réglages pour ces paramètres comme décrit dans le tableau cidessus. 4. Redémarrez le serveur exécutant l'interface Web pour appliquer les modifications. Pour plus d'informations sur les paramètres du fichier WebInterface.conf, veuillez consulter la section «Configuration de sites à l'aide du fichier de configuration», page 155. Exemples Cette section fournit des exemples standard de configuration de l'interface Web en utilisant le fichier WebInterface.conf. Configuration des communications avec Presentation Server Dans cet exemple, vous souhaitez définir le nom d'un serveur supplémentaire exécutant le service XML Citrix. Ce dernier constitue le lien de communication entre la batterie de serveurs et le serveur exécutant l'interface Web. Les communications s'effectuent actuellement avec un serveur dénommé «marx», mais vous souhaitez ajouter le serveur «engels», en cas de défaillance de marx. Pour ce faire : 1. Recherchez la ligne suivante dans le fichier WebInterface.conf : Farm1=marx,Name:Farm1,XMLPort:80,Transport:HTTP, SSLRelayPort:443, 2. Modifiez cette ligne pour inclure le serveur supplémentaire, comme suit : Farm1=marx,engels,Name:Farm1,XMLPort:80,Transport:HTTP, SSLRelayPort:443,

Centre de documentation Annexe A 175 Configuration des communications du Relais SSL Citrix Dans cet exemple, vous souhaitez sécuriser les communications entre le serveur Web et le serveur exécutant Presentation Server, par le biais du protocole SSL (Secure Socket Layer). Le Relais SSL Citrix est installé sur un serveur exécutant Presentation Server dont l adresse est de type FQDN (marx.nom-société.com). Le Relais SSL Citrix est à l'écoute des connexions sur le port TCP 443. Les communications s'effectuent actuellement avec le serveur marx, mais vous souhaitez le remplacer par www.engels.nom-societe.com. Pour ce faire : 1. Ouvrez le fichier WebInterface.conf et recherchez la ligne suivante : Farm1=marx,Name:Farm1,XMLPort:80,Transport:HTTP, SSLRelayPort:443 2. Définissez le transport sur SSL, comme indiqué ci-dessous : Farm1=marx.nom-société.com,Name:Farm1,XMLPort:80, Transport:SSL,SSLRelayPort:443 Remarque Le nom de serveur spécifié doit correspondre au nom figurant sur le certificat du serveur. Configuration de la prise en charge de Secure Gateway Dans cet exemple, vous souhaitez définir un serveur Secure Gateway appelé «csg1.citrix.com» sur lequel les clients Citrix Presentation Server utilisent le port 443, à l aide des deux adresses Secure Ticket Authority suivantes : http://serveur1.citrix.com/scripts/ctxsta.dll http://serveur2.citrix.com/scripts/ctxsta.dll Ajoutez les lignes suivantes dans le fichier WebInterface.conf : CSG_STA_URL1=http://serveur1.citrix.com/scripts/CtxSta.dll CSG_STA_URL2=http://serveur2.citrix.com/scripts/CtxSta.dll CSG_Server=csg1.citrix.com CSG_ServerPort=443 ClientAddressMap=*,CSG (pour activer Secure Gateway pour tous les utilisateurs)

176 Guide de l administrateur de l Interface Web Centre de documentation Réglages dans le fichier bootstrap.conf Les réglages présents dans le fichier bootstrap.conf sont répertoriés dans le tableau suivant. Paramètre Description Valeurs Types de sites Configuration Location Indique l'emplacement à partir duquel l'interface Web doit charger la configuration. Chemin d'accès au fichier de configuration dans l'application Web [ConfigSvrDef] Services de l'agent Program Neighborhood Conferencing Manager ConfigSvrDef = ConfigSvr [;ConfigSvr]* [,Port:<port>] [,Transport:<HTTP HTTPS SSL>] [,SSLRelayPort:<port>] emplacement où ConfigSvr est le nom DNS ou une adresse IP de Configuration Proxy ConfigurationSource Type Type de configuration utilisé par le site. Local ConfigurationService Services de l'agent Program Neighborhood Conferencing Manager DefaultLocale Langue par défaut à utiliser si un navigateur demande une langue non prise en charge. en fr de es ja tout autre identificateur de langue prise en charge Services de l'agent Program Neighborhood Conferencing Manager SiteIDRoot Chaîne servant de base à l'identification unique d'un site. Sous Windows, le paramètre SiteIDRoot sert directement d'identificateur de site lors de la communication avec le service de configuration. Sous UNIX, les informations d'exécution sont ajoutées à SiteIDRoot afin de former l'identificateur de site pour le service de configuration. Il s'agit d'un numéro aléatoire généré par le programme d'installation Services de l'agent Program Neighborhood Conferencing Manager

Centre de documentation ANNEXE B Configuration de la prise en charge d'adfs pour l'interface Web Présentation La prise en charge d ADFS pour l'interface Web permet au partenaire ressource d'un déploiement ADFS d'utiliser Presentation Server. Les administrateurs peuvent créer des sites ADFS pour fournir aux utilisateurs un accès aux applications publiées sur le partenaire ressource. Important ADFS exige que les communications entre le client, le serveur Web et les serveurs de fédération soient sécurisées. Les utilisateurs de l'interface Web doivent utiliser HTTPS/SSL pour accéder au site. Qu'est-ce qu'adfs? ADFS (Active Directory Federation Services) est une fonctionnalité de Microsoft Windows Server 2003 R2 Enterprise Edition. ADFS fournit une technologie d'ouverture de session permettant d'authentifier un utilisateur sur plusieurs applications Web lors d'une seule session. ADFS étend les infrastructures Active Directory existantes pour fournir l'accès aux ressources proposées par des partenaires approuvés sur l'internet. Ces partenaires approuvés peuvent inclure des tiers externes ou d'autres départements de votre organisation. Pour que deux organisations établissent des relations d'approbation ADFS, ADFS doit être déployé dans les deux organisations. Leurs relations d'approbation ADFS sont explicites, à sens unique et non-transitives. Dans une relation d'approbation, le tiers hébergeant les comptes utilisateur est le Partenaire de compte et le tiers hébergeant les applications auxquelles les utilisateurs ont accès est le Partenaire de ressource.

178 Guide de l administrateur de l Interface Web Centre de documentation L'utilisation d'adfs exige un serveur de fédération pour chaque partenaire. Pour davantage de sécurité, vous pouvez implanter ces serveurs de fédération à l'intérieur du réseau approuvé de chaque organisation et déployer les proxys de serveur de fédération. Un proxy de serveur de fédération transmet les requêtes de fédération provenant de l'extérieur de l'organisation vers votre serveur de fédération. Terminologie ADFS Le tableau suivant regroupe les termes de base utilisés dans la description de ADFS. Terme Partenaire de compte Serveur de fédération Proxy de serveur de fédération Service de fédération Proxy de Federation Service Partenaire de ressource Compte fantôme Définition Organisation cliente souhaitant utiliser les applications Web depuis le partenaire de ressource. Le partenaire de compte fournit les identités (comptes utilisateur). Les serveurs de fédération hébergent le composant de ADFS appelé service de fédération, qui contrôle l'accès vers vos systèmes en fonction d'une identification, d'une authentification et d'une autorisation par l'approbation de fédération. Les serveurs de fédération authentifient les requêtes provenant des partenaires approuvés en fonction des informations d'identification des partenaires. Les représentations des informations d'identification sont échangées sous forme de jetons de sécurité. Les proxys de serveur de fédération hébergent le composant proxy du service de fédération de ADFS. Vous pouvez déployer les proxys de serveurs de fédération dans la zone démilitarisée (DMZ) afin de transférer les requêtes vers les serveurs de fédération dont l'accès est impossible depuis Internet. Service de jeton de sécurité dans Windows Server 2003 R2 fournissant des jetons en réponse aux requêtes sur les jetons de sécurité. Les proxys du service de fédération collectent les informations d'identification des utilisateurs dans les clients du navigateur et les applications Web, puis les transmettent à Federation Service. Organisation qui rend disponible sur Internet les services ou les applications Web. Les comptes fantômes sont créés dans Active Directory sur le partenaire de ressource. Ils reflètent les comptes utilisateur existants sur le partenaire de compte. N'activez pas les comptes fantômes pour une ouverture de session interactive, car il ne sont jamais utilisé dans ce but.

Centre de documentation Annexe B 179 Fonctionnement des sites ADFS intégrés Les événements suivants se produisent lorsqu'un utilisateur sur un partenaire de compte accède à une application Web publiée sur un partenaire de ressource. 1. Un utilisateur ouvrant la page d'accueil de l'interface Web sur un partenaire de ressource est redirigé vers la page d'authentification du partenaire de compte. 2. Le partenaire de compte authentifie l'utilisateur et renvoie un jeton de sécurité vers le partenaire de ressource. 3. Sur le partenaire de ressource, ADFS valide le jeton de sécurité, le transforme en une identité Windows (représentant un compte fantôme) et redirige l'utilisateur vers la page d'ouverture de session de l'interface Web. 4. L'Interface Web affiche la page contenant la liste d'applications à l'intention de l'utilisateur. Le diagramme illustre les événements se produisant lorsqu'un utilisateur tente d'accéder à une liste d'applications. 5. L'utilisateur lance une application en cliquant sur un lien hypertexte sur la page. L'Interface Web contacte le service XML Citrix pour demander le lancement. Remarque Pour rendre les applications accessibles aux utilisateurs ADFS, vous devez publier les applications sur le serveur du partenaire de ressource pour un ou plusieurs comptes fantômes.

180 Guide de l administrateur de l Interface Web Centre de documentation 6. Le service XML Citrix génère les données de l'interface SSPI (Security Support Provider Interface) et les transmet à Presentation Server. 7. Presentation Server utilise les données de l'interface SSPI pour authentifier l'utilisateur, puis stocke un jeton d'ouverture de session dans Presentation Server pour une authentification ultérieure. 8. Presentation Server génère un ticket de lancement pour représenter exclusivement le jeton d'ouverture de session stocké, puis transmet ce ticket au service XML Citrix. 9. Le service XML Citrix renvoie le ticket de lancement vers l'interface Web. 10. L'Interface Web crée un fichier ICA contenant le ticket de lancement et le transmet au navigateur de l'utilisateur. 11. Le client sur l'ordinateur de l'utilisateur ouvre le fichier ICA et tente une connexion ICA à Presentation Server. 12. Le client envoie le ticket de lancement à Presentation Server. 13. Presentation Server reçoit le ticket de lancement, le fait correspondre au jeton d'ouverture de session généré précédemment, puis utilise ce jeton d'ouverture de session pour connecter l'utilisateur à une session ICA sur le serveur. La session ICA s'exécute sous l'identité du compte fantôme. Le diagramme illustre les événements se produisant lorsqu'un utilisateur clique sur un lien de la liste d'applications.

Centre de documentation Annexe B 181 Selon les paramètres configurés pour un site, lorsqu'un utilisateur ferme une session, il est déconnecté depuis : L'Interface Web Ou L'Interface Web et ADFS Si l'utilisateur est déconnecté depuis l'interface Web et ADFS, il est déconnecté de toutes les applications Web ADFS. Configurations logicielles requises Vous devez installer et configurer les logiciels suivants dans votre environnement : Microsoft Windows Server 2003 R2 pour les serveurs Web et les serveurs de fédération ; Microsoft Active Directory Federation Services (ADFS) sur les partenaires de compte et de ressource. Avant la création de sites ADFS Avant de créer un site ADFS, vous devez effectuer les opérations suivantes. Toute négligence lors de la réalisation de ces opérations pourrait provoquer une panne. Synchronisez les horloges sur le serveur de fédération du partenaire de compte et le serveur de fédération du partenaire de ressource à cinq minutes près l'une par rapport à l'autre. Dans le cas contraire, les jetons de sécurité générés par le partenaire de compte peuvent ne pas être acceptés par le partenaire de ressource, les jetons apparaissant comme ayant expiré. Afin d'éviter ce problème, les deux organisations doivent synchroniser leurs serveurs avec le même serveur de temps Internet. Pour des informations complémentaires, consultez la section «Création des relations entre les domaines», page 182. Assurez-vous que le serveur Web et le serveur de fédération de ressource ont accès aux Listes de Révocation de Certificats (LRC) de l'autorité de Certification. ADFS pourrait échouer si les serveurs ne peuvent pas confirmer qu'un certificat n'a pas été révoqué. Pour des informations

182 Guide de l administrateur de l Interface Web Centre de documentation complémentaires, consultez la section «Création des relations entre les domaines», page 182. Assurez-vous que tous les serveurs au sein de votre déploiement sont sécurisés pour la délégation. Pour des informations complémentaires, consultez la section «Configuration de la délégation pour les serveurs au sein de votre déploiement», page 185. Créez des comptes fantômes dans le domaine du partenaire de ressource pour chaque utilisateur externe pouvant s'authentifier sur l'interface Web via ADFS. Pour des informations complémentaires, consultez la section «Création de comptes fantômes», page 189. Installez Citrix Presentation Server 4.5, en s'assurant que le service XML est configuré pour partager son port avec IIS et qu'iis est configuré pour prendre en charge HTTPS. Important Le présent guide ne fournit aucune information sur l'installation de ADFS. Votre installation ADFS doit être en état de fonctionnement, avec des utilisateurs de comptes externes capables d'accéder aux applications Web activées par ADFS dans un partenaire de ressource. Établissez une relation d'approbation entre le serveur exécutant l'interface Web et tout autre serveur dans la batterie exécutant le Service XML Citrix contacté par l'interface Web. Pour plus d'informations, veuillez consulter la section «Création d'une relation d'approbation» à la page 131. Création des relations entre les domaines Le déploiement documenté dans cette annexe est constitué de deux domaines (dans leurs propres forêts), l'une pour le partenaire de compte et l'autre pour le partenaire de ressource. Remarque séparés. Les composants requis ne doivent pas se trouver sur des ordinateurs

Centre de documentation Annexe B 183 Pour créer les relations entre les domaines 1. Assurez-vous d'être en possession des composants suivants : Partenaire de compte Contrôleur de domaines Serveur de fédération* Ordinateurs clients Partenaire de ressource Contrôleur de domaines Serveur de fédération* Serveur Web* Un ou plusieurs serveurs pour une batterie Presentation Server Les composants marqués par un astérisque (*) doivent être présents sur les ordinateurs exécutant Windows 2003 R2 et les composants Active Directory Federation Services doivent être installés. 2. Procurez-vous des certificats de serveur séparés pour le serveur Web et les deux serveurs de fédération. Les certificats doivent être signés par une entité approuvée appelée Autorité de Certification (AC). Le certificat de serveur identifie un ordinateur spécifique ; vous devez donc connaître le nom de domaine complet (FQDN) de chaque serveur, par exemple, cpsserver1.mydomain.com. Installez le certificat du serveur Web dans Internet Information Services (IIS) afin d'activer le site Web IIS par défaut pour le trafic SSL. Installez les certificats de serveur de fédération à l'aide du composant logiciel enfichable MMC (Microsoft Management Console) Certificate. Pour plus d'informations, veuillez consulter le Guide d instructions pas à pas pour l utilisation de Microsoft Management Console à l'adresse www.microsoft.com. 3. Afin de vous assurer que le serveur de fédération du partenaire de ressource approuve le serveur de fédération du partenaire de compte, installez le certificat racine du serveur de fédération du partenaire de compte dans la zone Autorités de certification approuvées du serveur de fédération du partenaire de ressource.

184 Guide de l administrateur de l Interface Web Centre de documentation 4. Afin de vous assurer que le serveur Web approuve le serveur de fédération du partenaire de ressource, installez le certificat racine du serveur de fédération du partenaire de ressource dans la zone Autorités de certification approuvées du serveur Web. Important Le serveur Web et le serveur de fédération de ressource doivent avoir accès aux Listes de Révocation de Certificats (LRC) de l'autorité de Certification (AC). Le serveur de fédération de ressource doit avoir accès à l'autorité de Certification du partenaire de compte et le serveur Web doit avoir accès à l'autorité de Certification du partenaire de ressource. ADFS peut échouer si les serveurs ne peuvent pas confirmer qu'un certificat n'a pas été révoqué. 5. Sur le serveur de fédération du partenaire de ressource, ouvrez le composant logiciel enfichable MMC Services de fédération Active Directory. 6. Dans le panneau gauche, sélectionnez Service de fédération > Stratégie d'approbation > Organisations partenaires > Partenaires de compte, puis sélectionnez le nom du partenaire de compte. 7. Dans le menu Action, cliquez sur Propriétés. 8. Sur l'onglet Comptes ressource, sélectionnez Des comptes ressource existent pour tous les utilisateurs, puis cliquez sur OK. 9. À l'aide du même serveur de temps Internet, synchronisez les horloges sur le serveur de fédération du partenaire de compte et le serveur de fédération du partenaire de ressource à cinq minutes près l'une par rapport à l'autre. Dans le cas contraire, les jetons de sécurité générés par le partenaire de compte peuvent ne pas être acceptés par le partenaire de ressource, les jetons apparaissant comme ayant expiré. Les partenaires de compte et de ressource peuvent être situés dans des fuseaux horaires différents, mais ils doivent être correctement synchronisés. Par exemple, le partenaire de compte est à New York et il est défini sur 16h00, heure de la côte est américaine (EST). Le partenaire de ressource en Californie doit être défini entre 12h55 et 13h05, heure normale du Pacifique (PST). (Il y a trois heures de différence entre les zones EST et PST).

Centre de documentation Annexe B 185 Configuration de la délégation pour les serveurs au sein de votre déploiement Assurez-vous que tous les serveurs au sein de votre déploiement sont sécurisés pour la délégation. Pour ce faire, vous devez effectuer les tâches suivantes. Les procédures à suivre pour chaque tâche sont incluses dans cette section. Vous assurer que le niveau fonctionnel du domaine du partenaire de ressource est correct. Approuver le serveur exécutant l'interface Web pour la délégation Approuver le serveur exécutant le service XML pour la délégation Déterminer quelles ressources sont accessibles depuis le serveur exécutant Presentation Server. Important Pour effectuer les procédures dans cette section, ouvrez une session en tant qu'administrateur dans le contrôleur de domaine du partenaire de ressource, puis utilisez le composant logiciel enfichable MMC Utilisateurs et ordinateurs Active Directory. Pour s'assurer que le domaine du partenaire de ressource est au niveau fonctionnel de Windows Server 2003 Remarque Pour augmenter le niveau du domaine, tous les contrôleurs de domaine au sein du domaine doivent exécuter Windows Server 2003. 1. Dans le composant logiciel enfichable MMC Utilisateurs et ordinateurs Active Directory, sélectionnez le nom du domaine. 2. Dans le menu Action, cliquez sur Propriétés. 3. Si le domaine n'est pas au niveau fonctionnel de Windows Server 2003, sélectionnez le nom du domaine, puis sélectionnez Augmenter le niveau fonctionnel du domaine. Pour approuver le serveur exécutant l'interface Web pour la délégation 1. Dans le menu Affichage du composant logiciel enfichable MMC Utilisateurs et ordinateurs Active Directory, activez Fonctionnalités avancées. 2. Dans le dossier Ordinateurs sous le nom de domaine, sélectionnez le serveur exécutant l'interface Web.

186 Guide de l administrateur de l Interface Web Centre de documentation 3. Dans le menu Action, cliquez sur Propriétés. 4. Sur l'onglet Délégation, cliquez sur Approuver cet ordinateur pour la délégation vers les services spécifiés uniquement et Utiliser n'importe quel protocole d'authentification, puis cliquez sur Ajouter. 5. Sur l'écran Ajouter des services cliquez sur Utilisateurs ou ordinateurs. 6. Sur l'écran de sélection Utilisateurs ou ordinateurs, tapez le nom du serveur exécutant Presentation Server dans la zone de texte Entrez le nom de l'objet à sélectionner, puis cliquez sur OK. 7. Sélectionnez le type de service http dans la liste et cliquez sur OK. 8. Sur l'onglet Délégation, vérifiez que le type de service http pour le serveur exécutant Presentation Server apparaît bien dans la liste Services pour lesquels ce compte peut présenter des informations d'identification déléguées, puis cliquez sur OK. Remarque Répétez le processus pour chaque serveur de la batterie exécutant le service XML que l'interface Web doit contacter. Pour approuver le serveur exécutant le service XML pour la délégation 1. Dans le dossier Ordinateurs sous le composant logiciel enfichable MMC Utilisateurs et ordinateurs Active Directory, sélectionnez le nom du serveur exécutant le service XML que l'interface Web doit contacter. 2. Dans le menu Action, cliquez sur Propriétés. 3. Sur l'onglet Délégation, cliquez sur Approuver cet ordinateur pour la délégation vers les services spécifiés uniquement et Utiliser Kerberos uniquement, puis cliquez sur Ajouter. 4. Sur l'écran Ajouter des services cliquez sur Utilisateurs ou ordinateurs. 5. Sur l'écran de sélection Utilisateurs ou ordinateurs, tapez le nom du serveur exécutant le service XML dans la zone de texte Entrez le nom de l'objet à sélectionner, puis cliquez sur OK. 6. Sélectionnez le type de service HOST dans la liste et cliquez sur OK. 7. Sur l'onglet Délégation, vérifiez que le type de service HOST pour le serveur exécutant le service XML apparaît bien dans la liste Ce compte peut présenter des informations d'identification déléguées à ces services, puis cliquez sur OK.

Centre de documentation Annexe B 187 8. Pour une batterie multiserveurs, répétez les étapes 3 à 7 pour chaque serveur exécutant Presentation Server. Remarque Répétez le processus pour chaque serveur de la batterie exécutant le service XML que l'interface Web doit contacter. Pour déterminer quelles ressources sont accessibles depuis le serveur exécutant Presentation Server 1. Dans le dossier Ordinateurs sous le composant logiciel enfichable MMC Utilisateurs et ordinateurs Active Directory, sélectionnez le nom du serveur exécutant Presentation Server. 2. Dans le menu Action, cliquez sur Propriétés. 3. Sur l'onglet Délégation, cliquez sur Approuver cet ordinateur pour la délégation vers les services spécifiés uniquement et Utiliser Kerberos uniquement, puis cliquez sur Ajouter. 4. Sur l'écran Ajouter des services cliquez sur Utilisateurs ou ordinateurs. 5. Sur l'écran de sélection Utilisateurs ou ordinateurs, tapez le nom du contrôleur de domaine du partenaire de ressource dans la zone de texte Entrez le nom de l'objet à sélectionner, puis cliquez sur OK. 6. Dans la liste, sélectionnez les types de service cifs et ldap pour le vérificateur de domaine du partenaire de ressource et cliquez sur OK. Remarque Le type de service cifs s'applique aux partages de réseaux. Ajouter le service cifs dans la liste pour tout ordinateur sur lequel les utilisateurs peuvent accéder aux partages de réseaux. Si vous avez deux possibilités de service ldap, sélectionnez celui qui correspond au FQDN de votre contrôleur de domaine. 7. Sur l'onglet Délégation, vérifiez que les services cifs et ldap du contrôleur de domaine du partenaire de ressource apparaissent dans la liste Services pour lesquels ce compte peut présenter des informations d'identification déléguées, puis cliquez sur OK. Remarque Si vous utilisez des batteries multiserveurs, répétez cette procédure pour chaque serveur exécutant Presentation Server.

188 Guide de l administrateur de l Interface Web Centre de documentation Configuration des serveurs pour la délégation contrainte Pour des raisons de sécurités, vous devez configurer tous les serveurs exécutant Presentation Server pour la délégation contrainte. Pour fournir aux utilisateurs un accès aux ressources sur ces serveurs, vous devez ajouter les services appropriés à la liste Services à l'aide du composant logiciel enfichable MMC Utilisateurs et ordinateurs Active Directory. Par exemple, pour permettre aux utilisateurs de s'authentifier auprès d'un serveur Web sur l'hôte foo, ajouter le service http pour le serveur foo et pour permettre aux utilisateurs de s'authentifier auprès d'un serveur SQL sur l'hôte bar, ajouter le service MSSQLSvc pour le serveur bar. Pour des informations détaillées, reportez-vous au document technique Service Principal Names and Delegation disponible dans la base de connaissances (Knowledge Base) Citrix. Configuration d'une durée limite d'accès aux ressources Par défaut, les utilisateurs ADFS ont accès aux ressources sur un réseau pendant 15 minutes. Vous pouvez augmenter cette durée en modifiant l'entrée de registre suivante sur le serveur exécutant le service XML : HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters \S4UTicketLifetime Cette valeur spécifie le nombre de minutes pendant lesquelles les utilisateurs ont accès aux ressources une fois une session ouverte. Caution L'utilisation incorrecte de l Éditeur du Registre peut provoquer de sérieux problèmes qui peuvent nécessiter la réinstallation de votre système d exploitation. Citrix ne peut pas garantir que les problèmes résultant d une utilisation incorrecte de l Éditeur du Registre puissent être résolus. Vous utilisez l Éditeur du Registre à vos risques et périls. La stratégie de sécurité de domaine régit la valeur maximale que vous pouvez définir pour le paramètre S4ULifetime. Si vous définissez pour ce paramètre une valeur supérieure à celle spécifiée pour le paramètre au niveau du domaine, la valeur définie pour ce dernier est prioritaire. Pour configurer une durée limite d'accès aux ressources au niveau du domaine 1. Connectez-vous au contrôleur de domaine en tant qu'administrateur de domaine. 2. Dans le menu Démarrer, cliquez sur Tous les programmes > Outils d'administration > Stratégie de sécurité du domaine.

Centre de documentation Annexe B 189 3. Dans l'arborescence de la console, développez Stratégies de comptes. 4. Sélectionnez Stratégie Kerberos. 5. Dans le volet de détails, cliquez sur Durée de vie maximale du ticket de service. 6. Dans le menu Actions, cliquez sur Propriétés. 7. Saisissez une valeur (en minutes) dans le champ Le ticket expire dans :. 8. Cliquez sur OK. 9. Fermez la boîte de dialogue Stratégie de sécurité du domaine. Si vous ne souhaitez pas configurer de durée limite pour l'accès aux ressources, sélectionnez Utiliser tout protocole d'authentification lorsque vous spécifiez les ressources accessibles depuis le serveur exécutant Presentation Server. Si vous sélectionnez cette option, la valeur spécifiée pour le paramètre S4UTicketLifetime sera ignorée, quelle qu'elle soit. Pour plus d'informations, consultez le site Web de Microsoft à l'adresse : http://support.microsoft.com/. Création de comptes fantômes Pour lancer des applications, Presentation Server requiert des comptes Windows authentiques. C'est pourquoi vous devez créer manuellement un compte fantôme dans le domaine du partenaire de ressource pour chaque utilisateur externe qui s'authentifie auprès de l'interface Web via ADFS. Remarque Si vous disposez de plusieurs utilisateurs dans le domaine du partenaire de compte qui accèderont aux applications dans le domaine du partenaire de ressource, vous pouvez utilisez un produit tiers d'approvisionnement de compte afin de permettre une création rapide de comptes utilisateur fantômes dans Active Directory. Pour créer des comptes fantômes, effectuez les tâches suivantes en tant qu'administrateur sur le contrôleur de domaine pour le domaine du partenaire de ressource. Les procédures à suivre pour chaque tâche sont incluses dans cette section. Ajoutez des suffixes de nom d'utilisateur principal (UPN) pour tous les partenaires de compte externes. Définissez l'utilisateur du compte fantôme.

190 Guide de l administrateur de l Interface Web Centre de documentation Pour ajouter les suffixes UPN 1. Ouvrez le composant logiciel enfichable MMC Domaines et approbations Active Directory. 2. Dans le panneau gauche, sélectionnez Domaines et approbations Active Directory. 3. Dans le menu Action, cliquez sur Propriétés. 4. Ajoutez un suffixe UPN pour chaque partenaire de compte externe. Par exemple, si le domaine Active Directory du partenaire de compte est adatum.com; ajoutez adatum.com en tant que suffixe UPN. 5. Cliquez sur OK. Pour définir l'utilisateur du compte fantôme 1. Ouvrez le composant logiciel enfichable MMC Utilisateurs et ordinateurs Active Directory. 2. Dans le panneau gauche, sélectionnez le nom du domaine. 3. Dans le menu Action, cliquez sur Utilisateurs > Nouvel utilisateur. 4. Entrez le prénom de l'utilisateur, ses initiales ainsi que son nom dans les zones de texte correspondantes. 5. Dans la zone de texte Nom de connexion de l'utilisateur, tapez le nom de compte. Assurez-vous que ce nom corresponde au nom sur le partenaire de compte. 6. Dans la liste déroulante, choisissez le suffixe UPN externe, puis cliquez sur Suivant. 7. Dans les zones de texte Mot de passe et Confirmer le mot de passe, entrez un mot de passe qui corresponde à votre stratégie de mot de passe. Ce mot de passe n'est jamais utilisé car l'utilisateur s'authentifie via ADFS. 8. Effacez la zone de texte L'utilisateur doit changer de mot de passe à la prochaine ouverture de session. 9. Cochez les cases L'utilisateur ne peut pas changer de mot de passe et Pas de limite d'expiration du mot de passe. 10. Cliquez sur Suivant, puis cliquez sur Terminer. Création de sites ADFS intégrés Exécutez la tâche Créer un site dans la console Access Management Console et configurez le site pour l'utilisation d'adfs pour l'authentification.

Centre de documentation Annexe B 191 Pour créer un site ADFS intégré 1. Cliquez sur la tâche Créer un site. 2. Sélectionnez Site. 3. Sur la page Spécifier l'emplacement IIS, entrez les paramètres requis, puis cliquez sur Suivant. 4. Sur la page Source de configuration, entrez les paramètres requis, puis cliquez sur Suivant. 5. Sélectionnez Utiliser l'intégration ADFS Microsoft, entrez les paramètres requis, puis cliquez sur Suivant. 6. Confirmez les paramètres pour le nouveau site et cliquez sur Suivant. 7. Cliquez sur Terminer pour créer le site. Configuration de votre site en tant qu'application ADFS Après avoir créé votre site, vous devez le configurer en tant qu'application ADFS afin qu'il puisse être reconnu par le serveur de fédération. Pour configurer votre site en tant qu'application ADFS 1. Ouvrez le composant logiciel enfichable MMC Services de fédération Active Directory sur le serveur de fédération du partenaire de ressource. 2. Dans le panneau gauche, sélectionnez Service de fédération > Stratégie d approbation > Mon organisation > Applications. 3. Dans le menu Action, cliquez sur Nouveau > Applications. 4. Cliquez sur Application compatible avec les revendications, puis cliquez sur Suivant. 5. Dans la zone de texte Nom affiché, tapez Citrix Web Interface. 6. Dans la zone de texte URL de l application, tapez l'adresse URL de votre site d'interface Web, puis cliquez sur Suivant. Important Assurez-vous que vous utilisez HTTPS et le nom de domaine complet (FQDN) de votre serveur Web. 7. Selon la configuration de ADFS (généralement PKI), sélectionnez Infrastructure de clé publique ou Compte de service du domaine, puis cliquez sur Suivant. 8. Cliquez sur Nom d utilisateur principal (UPN), puis cliquez sur Suivant.

192 Guide de l administrateur de l Interface Web Centre de documentation 9. Cochez la case Activer cette application et cliquez sur Suivant. 10. Cliquez sur Terminer. Test de votre déploiement Après avoir configuré votre site en tant qu'application ADFS, testez votre déploiement afin de vous assurer que tout fonctionne correctement entre le partenaire de compte et le partenaire de ressource. Pour tester le déploiement ADFS de l'interface Web 1. Ouvrez une session sur votre ordinateur client sur le partenaire de compte. 2. Ouvrez un navigateur Web et tapez l'url FQDN du site de l'interface Web que vous avez créé précédemment. La liste d'applications de l'interface Web s'affiche. Remarque Si vous n'avez pas configuré ADFS pour l'authentification intégrée, vous pouvez être invité à entrer vos informations d'identification ou à insérer une carte à puce. 3. Si vous n'avez pas installé le Client Citrix Presentation Server, faites-le à présent. Pour plus d'informations, veuillez consulter le Guide de l'administrateur du client pour Windows. Remarque Le client pour Java ou le logiciel de connexion au Bureau à distance ne sont pas pris en charge sur les sites ADFS intégrés. 4. Cliquez sur une application pour la lancer. Déconnexion des sites ADFS intégrés Utilisez la tâche Configurer la méthode d'authentification pour indiquer si les utilisateurs cliquant sur les boutons Fermeture de session ou Se déconnecter se déconnectent à partir de : L'Interface Web uniquement L'Interface Web et ADFS Federation Service

Centre de documentation Annexe B 193 Si vous spécifiez que les utilisateurs se déconnectent depuis l'interface Web uniquement, ils sont redirigés vers la page de fermeture de session de l'interface Web. Si vous spécifiez que les utilisateurs se déconnectent depuis l'interface Web et ADFS Federation Service, ils sont redirigés vers la page de fermeture de session du service de fédération et ils sont déconnectés de toutes les applications Web ADFS. Pour indiquer depuis quels services un utilisateur est déconnecté 1. Cliquez sur la tâche Configurer la méthode d'authentification. 2. Pour indiquer qu'un utilisateur se déconnecte à partir de l'interface Web et du service de fédération ADFS, cochez la case Effectuer une déconnexion globale. 3. Pour indiquer qu'un utilisateur se déconnecte à partir de l'interface Web uniquement, décochez la case Effectuer une déconnexion globale.

Centre de documentation Index 195 Index A Accès client sécurisé Gestion 118 Access Gateway À propos de 19 Configuration de l'interface Web 119 Présentation 140 Prise en charge 19 Access Management Console 17, 46 À propos de 46 Au moyen de 48 Démarrage 48 Activation Authentification à deux facteurs 86 Authentification par invite 87 Authentification unique 88 Contrôle de l'espace de travail 132 Redirection de contenu 73 Regroupement de sockets 72 Active Directory Federation Services, voir ADFS Actualisation automatique Configuration 75 ADFS 181 Configurations logicielles requises 181 Présentation 177 Prise en charge 21 Terminologie 178 Adresse URL du serveur Personnalisation 75 Adresse URL d'application publiée Prise en charge 21 Adresses URL de secours 22 Définition 76 Adresses URL d'application publiée Prise en charge 56 Advanced Access Control Déploiement avec l'interface Web 57 Intégration des sites 58 Mise à disposition des ressources auprès des utilisateurs 58 Affichage Paramètres d'accès client sécurisé 122 Affichage de l'écran Personnalisation 126 Affichage pour les utilisateurs Personnalisation 126 Agent Program Neighborhood Configuration 47, 117 config.xml 117 Paramètres de configuration 172 Sécurisation 143 Aide Affichage 48 Aide contextuelle 48 Aide en ligne 48 Ajout Batteries de serveurs 69 Sites dans un groupe 64 Traductions d'adresse 121 Alertes 22 Applications transmises en continu Configuration requise 33 Appsrv.ini, fichier Modification pour l'authentification unique 89, 93 Authentification À deux facteurs 96 Anonyme 81 Carte à puce 80 Explicite 79, 84 Invite 79 Méthodes 79 Recommandations 81 Unique 80, 88 Unique avec carte à puce 80 Authentification à deux facteurs 96 Activation 86 Authentification anonyme 81 Considérations relatives à la sécurité 81 Authentification de domaine Microsoft 82

196 Guide de l administrateur de l Interface Web Centre de documentation Authentification explicite 79 Activation 84 Configuration des paramètres de mot de passe 85 Authentification par carte à puce 80 Configuration requise 92 Authentification par invite 79 Activation 87 Configuration des paramètres de mot de passe 88 Authentification unique 80 Activation 88 Authentification Windows 82 B Batteries de serveurs Ajout 69 Considérations sur le changement de mot de passe 68 Définition de paramètres pour tous les serveurs 71 Gestion 67 Rôle dans l'interface Web 23 Suppression 69 bootstrap.conf Paramètres 176 C Carte à puce Exemple de configuration 95 CD-ROM des composants 33 Certificats racine privés 112 Citrix Presentation Server Configurations requises pour UNIX 31 Citrix Presentation Server pour UNIX Affichage du port utilisé par le service XML 35 Citrix Presentation Server pour Windows Affichage du port utilisé par le service XML 35 Citrix Streaming Client 107 Client MUI pour Windows 23 Client pour Java Déploiement des composants 111 Présentation 111 Utilisation de certificats racine privés 112 Client Web Déploiement 115 Clients Déploiement avec des certificats personnalisés 113 Installation par le Web 108 Personnalisation des utilisateurs 126 Clients distants Client natif 106 Client natif incorporé 106 Client pour Java 107 Logiciel de connexion au Bureau à distance 107 Types 106 Clients pour Windows Configuration pour carte à puce 92 Configuration pour l'authentification unique 89 Déploiement automatique 115 Communication SSL/TLS Configuration 75 Comptes fantômes 178 Configuration À l'aide de WebInterface.conf 47 Actualisation automatique 75 Communication SSL/TLS 75 Communications avec le service XML Citrix 74 Contrôle de l'espace de travail 129 Délégation contrainte 188 Déverrouillage de compte 86 Paramètres de mot de passe 85, 88 Paramètres de restriction de domaine 81 Redirection de site 77 Réinitialisation du mot de passe 86 Tolérance de panne 120 Type d'authentification 82 Utilisation de la console Access Management Console 17, 46 Configuration de l'écran Personnalisation 126 Configuration de site 54 Central 54 Local 54 Configuration du libre service de compte 86 Configuration et exécution du processus de découverte 49 Configuration requise 28 34 ADFS 181 Authentification par carte à puce 92 Connexion au Bureau à distance 110 Contrôle de l'espace de travail 129 IIS (Internet Information Services) 31 Machine cliente 33 Serveur Web 31 Configuration requise pour l'utilisateur 32 Config.xml 47 config.xml À propos de 117

Centre de documentation Index 197 Connexion au Bureau à distance Configuration requise 110 Et la zone Sites de confiance 111 Considérations générales relatives à la sécurité 152 Contenu de l'écran Personnalisation 126 Contrôle Journalisation des diagnostics 152 Contrôle de la bande passante 128 Contrôle de l'espace de travail Activation 132 Comportement de la fermeture de session 133 Configuration 129 Configuration requise 129 Option Se reconnecter 133 Présentation 129 Reconnexion automatique 132 Utilisation avec authentification intégrée 131 Cookies 144 Correspondance Traductions d'adresse 121 Création Relations de domaines 183 Création de sites 53 Cryptage ICA 151 Présentation 140 D Découverte Configuration 48 Exécution 48 Définition Adresses URL de secours 76 Paramètres de configuration initiale 55 Paramètres de serveur avancés 72 Paramètres d'authentification 55 Paramètres pour tous les serveurs 71 Types d'applications 56 Délai avant expiration Des tickets 71 Délégation contrainte Configuration 188 Déploiement Interface Web et Advanced Access Control 57 Packs de langue pour les utilisateurs 41 Déploiement du client Gestion 105 Désactivation Messages d'erreur 43 Redirection de contenu 74 Désinstallation 44 Désinstallation de sites 63 Déverrouillage de compte Configuration 86 Documentation Envoi de commentaires 15 Domaines Création de relations entre 183 Niveau fonctionnel correct 185 E Équilibrage de charge Entre les Secure Ticket Authorities 120 Requêtes XML 70 Exportation Fichiers de configuration 54 F Fédération Proxy de service 178 Proxy serveur 178 Serveur 178 Service 178 Fichiers clients Copie sur le serveur 108 Fichiers de configuration Exportation 54 Importation 54 Fichiers de configuration des clients Gestion 118 Fichiers ICA 144 Fichiers ICA Unicode 116 G Gestion Accès client sécurisé 118 Batteries de serveurs 67 Déploiement du client 105 Fichiers de configuration des clients 118 Options d'actualisation des applications 136 Paramètres de serveur 74 Préférences de session cliente 126 Raccourcis vers les applications 135 Sources de configuration 62 Groupage Sites 63

198 Guide de l administrateur de l Interface Web Centre de documentation H Horloges de serveur Synchronisation 181 HTTP 71 HTTPS 71, 149 I IIS (Internet Information Services) Configuration requise 31 Importation Fichiers de configuration 54 Initialisation 150 Installation À l'aide de la ligne de commande 40 Considérations relatives à la sécurité 35 Présentation 34 Sous UNIX 37 Sous Windows 36 Installation des clients non-administrateurs. 23 Installation des clients par le Web 25 Copie des clients sur le serveur 108 Interface Web Configuration avec l'agent Program Neighborhood 173 Déploiement 179 Déploiement avec Advanced Access Control 57 Désinstallation 44 Exécution sur un serveur 148 Fonctionnalités 16 Fonctionnement 25 Installation 34 Introduction 15 Mise à disposition auprès des utilisateurs 64 Présentation 25 Prise en charge d'adfs 179 Sécurité 137 J Journalisation des diagnostics Contrôle 152 L Légendes d'installation 109 Libre service de compte 21 Configuration 86 Déverrouillage de compte 86 Réinitialisation du mot de passe 86 Ligne de commande 40 M Machines clientes Configuration requise 33 Rôle dans l'interface Web 24 Sécurité 143, 150 Mappeur du service d annuaire Windows 94 Messages d'avertissement d'expiration de mot de passe 20 Messages d'erreur Désactivation 43 Mise à niveau Groupes de sites 51 Installation existante 42 Sites configurés de manière centralisée 50 51 Sites configurés localement. 50 Sites existants 50 Mise à niveau de sites 22 Modification Options de session 133 Paramètres de passerelle 119 Paramètres DMZ 119 Paramètres du proxy côté client 122 N NDS Authentification 82 Prise en charge 18 Niveau fonctionnel pour le domaine du partenaire de ressource 185 Nom d'utilisateur principal Voir UPN Nouvelles fonctionnalités 20 Adresses URL de secours 22 Alertes 22 Client MUI pour Windows 23 Installation des clients non-administrateurs. 23 Messages d'avertissement d'expiration de mot de passe 20 Prise en charge améliorée de détection de proxy 22 Prise en charge de ADFS 21 Prise en charge de l'adresse URL d'application publiée 21 Prise en charge des stratégies de contrôle d'accès 20 Prise en charge du libre service de compte 21 Prise en charge du streaming d'application Citrix 21 Novell Directory Services Voir NDS

Centre de documentation Index 199 O Options de session Modification 133 Options d'actualisation des applications Gestion 136 Ordinateurs de poche Configuration requise 33 Configurations prises en charge 33 P Packs de langue 40 Déploiement pour les utilisateurs 41 Suppression 41 Page Ouverture de session Définition de la page par défaut sur IIS 64 Paramètres de configuration initiale Définition 55 Paramètres de mot de passe Configuration 85, 88 Paramètres de passerelle Modification 119 Paramètres de restriction de domaine Configuration 81 Paramètres de serveur Avancés 72 Gestion 74 Paramètres DMZ Modification 119 Paramètres du proxy côté client Modification 122 Paramètres d'accès client sécurisé Affichage 122 Paramètres d'authentification ADFS 55 Advanced Access Control 55 Définition 55 Incorporée 55 Pare-feu Traduction d'adresse 118 Partenaire de compte 177 178 Partenaire de ressource 177 178 Partenaires Compte 177 178 Ressource 177 178 Personnalisation Adresse URL du serveur 75 Affichage de l'écran 126 Affichage pour les utilisateurs 126 Configuration de l'écran 126 Contenu de l'écran 126 Plates-formes UNIX Installation 37 Plates-formes Windows Installation 36 Préférences de session cliente Gestion 126 Présentation ADFS 177 Installation de l'interface Web 34 Prise en charge améliorée de détection de proxy 22 Prise en charge traditionnelle 116 Proxy Service de fédération 178 Proxys Serveur de fédération 178 Publication de contenu 18 Publication d'applications 23 Publication d applications 23 R Raccourcis vers les applications Gestion 135 Redirection de contenu Activation 73 Désactivation 74 Redirection de site Configuration 77 Regroupement de sockets Activation 72 Réinitialisation du mot de passe Configuration 86 Relais SSL Citrix 72 Configuration de l'interface Web 175 Présentation 139 Voir aussi SSL Réparation de sites 63 Réparer, option 43 Résolution des problèmes Installation 43 RSA SecurID PASSCODES 97 Tokencodes 97

200 Guide de l administrateur de l Interface Web Centre de documentation S Secure Gateway À propos de 19 Configuration de l'interface Web 119 Entre les clients et Presentation Server 151 Exemple de configuration 175 Présentation 141 Prise en charge 19 Secure Sockets Layer Voir SSL SecureICA Voir Cryptage ICA Sécurisation de l'interface Web 142 Sécurité 137 Access Gateway Configuration de l'interface Web 119 Communication réseau 143, 146 Client et serveur 150 Communications client vers serveur 142 Configuration du Relais SSL Citrix 147 Considérations générales 152 Et authentification anonyme 81 Lors de l'installation de l'interface Web 35 Présentation de Access Gateway 140 Présentation de Secure Gateway 141 Présentation du cryptage ICA 140 Présentation du Relais SSL Citrix 139 Présentation SSL 139 Présentation TLS 139 Protocoles et solutions Citrix 138 Relais SSL Citrix Secure Gateway Configuration de l'interface Web 119 Entre les clients et Presentation Server 151 SSL Ajout de certificats 148 Entre le serveur Web et le navigateur Web 145 Entre les clients et Presentation Server 151 TLS Entre le serveur Web et le navigateur Web 145 Entre les clients et Presentation Server 151 Séries d applications 24 Serveur Web Configuration requise 31 Serveurs Configuration des communications 174 Considérations relatives à la sécurité 150 Fédération 178 Rôle dans l'interface Web 24 Sécurité 145 Synchronisation des horloges 181, 184 Service Fédération 178 Service XML Citrix Affichage du port 35 Configuration de la tolérance de panne 69 Configuration des communications 74, 174 Configuration du port TCP/IP 71 Rôle dans l'interface Web 24 Sessions Voir Sessions clientes Sites Accès à l'aide d'advanced Access Control 56 Accès direct 56 ADFS incorporés 55 Ajout à un groupe 64 Configuration au moyen de la console Access Management Console 48 Configuration de l'accès des utilisateurs 56 Création 53 Création sous UNIX 54 Définition des paramètres de configuration initiale 55 Définition des paramètres d'authentification 55 Définition des types d'application 56 Désinstallation 63 Groupage 63 Réparation 63 Spécification de la source de configuration 54 Suppression d'un groupe 64 Sites 16 Sites configurés de manière centralisée Mise à niveau 50 51 Sites configurés localement. Mise à niveau 50 Sites mal configurés Suppression 52 Sites Participant invité de Conferencing Manager 17 Sites Services de l'agent Program Neighborhood 16 Source de configuration Gestion 62

Centre de documentation Index 201 SSL Ajout de certificats 148 Configuration du Relais SSL Citrix 147 Entre les clients et Presentation Server 151 Présentation 139 Prise en charge Serveurs Web sécurisés 145 Taille de clé de certificat 139 Stratégie de groupe Modification pour l'authentification unique 89, 93 Stratégies de contrôle d'accès 20 Streaming d'application Citrix Prise en charge 21 Suppression Batteries de serveurs 69 Packs de langue 41 Sites d'un groupe 64 Sites mal configurés 52 Synchronisation Horloges de serveur 181, 184 Types d'applications Définition 56 Distant 56 Livrées en streaming 56 Livrées en streaming en mode double 56 U Unique avec carte à puce 80 UPN Authentification 83 Prise en charge Restriction de suffixes 83 W WebInterface.conf À propos de 46 Configuration de l'interface Web avec 155 Paramètres 156 T Tâches de site Au moyen de 60 Disponibles pour des types de sites 61 Local 62 Tâches de site local 62 Taille de clé de certificat 139 Terminaux Windows 33 Terminologie ADFS 178 Tickets 144 À propos de 19 Configuration du délai avant expiration des tickets 71 TLS Entre les clients et Presentation Server 151 Présentation 139 Serveurs Web sécurisés 145 Taille de clé de certificat 139 Tolérance de panne Configuration 69, 120 Traductions d'adresse Ajout 121 Correspondance 121 Type d'authentification Configuration 82 Types de sites Tâches disponibles 61