Guide de l'administrateur de l'Interface Web

Interface Web Citrix® 5.1

Avis de copyright et de marque déposée
L'utilisation du produit documenté dans ce guide est sujette à votre acceptation préalable du Contrat de licence de l'utilisateur final. Des
copies de l’accord de licence de l’utilisateur final se trouvent dans le répertoire racine du support d'installation de XenApp et XenDesktop.
Les informations contenues dans ce document peuvent faire l'objet de modifications sans préavis. Sauf mention contraire, les sociétés,
noms et données utilisés dans les exemples fournis sont fictifs. Aucune partie de ce document ne peut être reproduite ou transmise, sous
quelque forme, par quelque moyen, électronique ou mécanique, et pour quelque motif que ce soit, sans l’autorisation expresse et écrite de
Citrix Systems, Inc.
Copyright © 2001-2009 Citrix Systems, Inc. Tous droits réservés.
Citrix et ICA (Independent Computing Architecture) sont des marques déposées ; Citrix XenApp, Citrix XenDesktop, Citrix Access
Gateway et Citrix Password Manager sont des marques de Citrix Systems, Inc. aux États-Unis et dans d'autres pays.
RSA Encryption © 1996-1997 RSA Security, Inc. Tous droits réservés.
Ce produit comprend du code développé par the Apache Software Foundation (http://www.apache.org).
Reconnaissances de marques
Apache et Tomcat sont des marques de fabrique, de commerce ou de service d’Apache Software Foundation aux États-Unis et/ou dans
d’autres pays.
Mac, Mac OS et Safari sont des marques déposées ou des marques de fabrique, de commerce ou de service de Apple Computer, Inc.
IBM, AIX et WebSphere sont des marques déposées de IBM Corporation aux États-Unis et dans d’autres pays.
Java, Sun, Solaris, JavaServer Pages et Sun Java System Application Server sont des marques déposées ou des marques de fabrique, de
commerce ou de service de Sun Microsystems, Inc. aux États-Unis et/ou dans d’autres pays. Sun Microsystems, Inc. n'a pas testé ou
approuvé ce produit.
Microsoft, Windows, Windows Server, Win32, Internet Explorer, ActiveX, Visual J#, Active Directory et ClearType sont des marques
déposées ou des marques de fabrique, de commerce ou de service de Microsoft Corporation aux États-Unis et/ou dans d'autres pays.
Mozilla et Firefox sont des marques déposées de la Mozilla Foundation.
Netscape est une marque déposée de AOL LLC aux États-unis et dans d'autres pays.
Novell Directory Services et NDS sont des marques déposées de Novell, Inc. aux États-Unis et dans d'autres pays. eDirectory est une
marque de Novell, Inc.
Red Hat Enterprise Linux est une marque déposée de Red Hat, Inc. aux États-Unis et dans d’autres pays.
RSA et SecurID sont des marques déposées de RSA Security, Inc. aux États-unis et/ou dans d'autres pays.
SafeWord est une marque déposée de Secure Computing Corporation aux États-unis et dans d'autres pays.
UNIX est une marque déposée de The Open Group aux États-unis et dans d'autres pays.
Toutes les autres marques de fabrique, de commerce ou de service, et autres marques déposées sont la propriété de leurs détenteurs
respectifs.
Code du document : 27 janvier 2009 13:49 (GM)
Table des matières

1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Utilisation de ce document . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9
Documentation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9
Support et formation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10
Conventions de la documentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10
Présentation de l'Interface Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11
Fonctionnalités de l'Interface Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12
Fonctions de gestion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12
Fonctionnalités d'accès aux ressources publiées . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13
Fonctions de sécurité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14
Fonctions de déploiement de plug-in . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15
Nouveautés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15
Composants de l'Interface Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16
Batteries de serveurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17
Serveur Web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17
Machine cliente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18
Fonctionnement de l'Interface Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19
Étape suivante . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20

2 Déploiement de l'Interface Web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

Configuration requise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21
Éléments requis sur les serveurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21
Configuration requise pour le serveur Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25
Configuration requise pour l'utilisateur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27
Éléments requis sur les machines clientes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29
Installation de l'Interface Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29
Présentation de l'installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29
Installation de l'Interface Web sur Microsoft Internet Information Services. . . . . . . . . .31
Installation de l'Interface Web sur des serveurs d'application Java . . . . . . . . . . . . . . . . .34
Configuration de la stratégie de sécurité sur les serveurs Sun Java
System Application Servers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .35
4 Guide de l'administrateur Interface Web

Installation à l'aide de la ligne de commande . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .36

Utilisation des packs de langue . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .36
Mise à niveau d'une installation existante . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .37
Étape suivante . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .37
Résolution des problèmes liés à l'installation de l'Interface Web . . . . . . . . . . . . . . . . . . . . .38
Utilisation de l'option Réparer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .38
Désinstallation de l'Interface Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .39
Désinstallation de l'Interface Web sur Microsoft Internet Information Services. . . . . . .39
Désinstallation de l'Interface Web sur des serveurs d'application Java . . . . . . . . . . . . . .39

3 Démarrage de l'Interface Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

Choix de la méthode de configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .41
Utilisation de la console Access Management Console . . . . . . . . . . . . . . . . . . . . . . . . . .41
Utilisation des fichiers de configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .42
Sources de configuration de site . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .43
Configuration partagée . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .43
Configuration de sites au moyen de la console . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .44
Aide . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .44
Démarrage de la console Access Management Console . . . . . . . . . . . . . . . . . . . . . . . . .45
Configuration et exécution du processus de découverte . . . . . . . . . . . . . . . . . . . . . . . . . . . .45
Pour configurer et exécuter le processus de découverte . . . . . . . . . . . . . . . . . . . . . . . . . .45
Création de sites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .46
Création de sites sur Microsoft Internet Information Services . . . . . . . . . . . . . . . . . . . . .46
Création de sites sur des serveurs d'application Java . . . . . . . . . . . . . . . . . . . . . . . . . . . .47
Spécification du point d'authentification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .47
Authentification à l'Interface Web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .47
Authentification sur un compte de partenaire Active Directory Federation Services . . .47
Authentification sur Access Gateway . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .48
Authentification sur un tiers utilisant Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .52
Authentification sur le serveur Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .52
Définition des paramètres de configuration initiale d'un site. . . . . . . . . . . . . . . . . . . . . . . . .52
Spécification de batteries de serveurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .52
Spécification de méthodes d'authentification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .53
Spécification de restrictions de domaine. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .53
Spécification de l'apparence de l'écran Ouvrir une session . . . . . . . . . . . . . . . . . . . . . . .53
Spécification des types de ressources publiées mises à la disposition des utilisateurs . .53
Mise à niveau des sites existants. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .54
Utilisation des tâches de site . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .55
Utilisation des tâches de site local. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .56
Rendre l'Interface Web accessible aux utilisateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .56
 Table des matières 5

Accès direct à un site . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .57

Définition de l'écran Ouvrir une session comme page par défaut sur
Microsoft Internet Information Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .57
Étape suivante . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .57

4 Gestion des serveurs et des batteries . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

Gestion de batteries de serveurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .59
Considérations sur le changement de mot de passe . . . . . . . . . . . . . . . . . . . . . . . . . . . . .60
Configuration des paramètres des serveurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .61
Configuration des paramètres pour tous les serveurs d'une batterie. . . . . . . . . . . . . . . . .63
Spécification des paramètres de serveur avancés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .64
Gestion des paramètres de serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .66
Configuration des paramètres de communication avec le serveur . . . . . . . . . . . . . . . . . .66
Définition des adresses URL de secours du plug-in Citrix XenApp . . . . . . . . . . . . . . . .67
Configuration de la redirection de site . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .68

5 Configuration de l'authentification pour l'Interface Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69

Méthodes d'authentification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .69
Recommandations relatives à l'authentification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .71
Configuration de l'authentification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .71
Configuration des paramètres de restriction de domaine . . . . . . . . . . . . . . . . . . . . . . . . .71
Configuration de l'ouverture de session automatique . . . . . . . . . . . . . . . . . . . . . . . . . . . .72
Configuration du type d'authentification. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .73
Activation de l'authentification explicite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .75
Pour activer l'authentification explicite. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .75
Configuration des paramètres de mot de passe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .75
Activation de l'authentification à deux facteurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .77
Configuration du libre-service de compte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .77
Activation de l'authentification par invite. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .78
Pour activer l'authentification par invite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .79
Configuration des paramètres de mot de passe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .79
Activation de l'authentification unique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .81
Configuration requise pour l'authentification unique . . . . . . . . . . . . . . . . . . . . . . . . . . . .81
Étape 1 : installation du plug-in. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .82
Étape 2 : activation de l'authentification unique pour les plug-ins. . . . . . . . . . . . . . . . . .82
Étape 3 : activation de l'authentification unique à l'aide de la console. . . . . . . . . . . . . . .83
Activation de l'authentification par carte à puce . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .84
Configuration requise pour la prise en charge des cartes à puce . . . . . . . . . . . . . . . . . . .84
Étape 1 : installation du plug-in. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .85
6 Guide de l'administrateur Interface Web

Étape 2 : activation de l'authentification unique pour les plug-ins. . . . . . . . . . . . . . . . . .85

Étape 3 : activation du mappeur du service d'annuaire Windows . . . . . . . . . . . . . . . . . .86
Étape 4 : activation de l'authentification par carte à puce sur l'Interface Web. . . . . . . . .87
Exemple : activation de l'authentification par carte à puce pour les utilisateurs . . . . . . .88
Configuration de l'authentification à deux facteurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .89
Activation de l'authentification SafeWord sur Microsoft Internet Information
Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .89
Activation de l'authentification RSA SecurID sur Microsoft Internet
Information Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .90
Activation de l'authentification RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .93

6 Gestion des plug-ins. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97

Gestion du déploiement des plug-ins . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .97
Plug-ins pour ressources hébergées. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .97
Citrix XenApp Plugin pour applications en streaming. . . . . . . . . . . . . . . . . . . . . . . . . . .98
Installation des plug-ins par le Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .100
Déploiement du logiciel de connexion au Bureau à distance . . . . . . . . . . . . . . . . . . . . .103
Déploiement du client pour Java . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .103
Configuration de la prise en charge des anciens plug-ins. . . . . . . . . . . . . . . . . . . . . . . .106
Configuration du contrôle de la session de streaming . . . . . . . . . . . . . . . . . . . . . . . . . . . . .107
Pour configurer le contrôle de la session de livraison en streaming. . . . . . . . . . . . . . . .107
Configuration du plug-in Citrix XenApp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .107
Utilisation de la console Access Management Console pour la configuration . . . . . . .108
Utilisation des fichiers de configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .108
Gestion des fichiers de configuration des plug-ins . . . . . . . . . . . . . . . . . . . . . . . . . . . . .108
Gestion de l'accès sécurisé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .109
Modification des routes d'accès directes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .109
Modification des paramètres d'adresse secondaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . .110
Modification des traductions d'adresse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .110
Modification des réglages de passerelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .111
Modification des paramètres d'accès par défaut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .113
Modification des paramètres du proxy côté client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .115
Pour configurer les paramètres par défaut du proxy. . . . . . . . . . . . . . . . . . . . . . . . . . . .115

7 Personnalisation de l'expérience utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117

Personnalisation de l'affichage pour les utilisateurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .117
Gestion des préférences de session. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .119
Contrôle de la bande passante . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .120
Lissage de polices ClearType . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .121
 Table des matières 7

Redirection de dossiers spéciaux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .122

Configuration du contrôle de l'espace de travail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .123
Configurations requises pour les fonctionnalités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .123
Restrictions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .125
Utilisation du contrôle de l'espace de travail avec des méthodes d'authentification
intégrée. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .125
Activation du contrôle de l'espace de travail. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .126
Modification des options de session . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .129
Gestion des raccourcis vers les ressources publiées. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .130
Utilisation des options d'actualisation des ressources publiées . . . . . . . . . . . . . . . . . . . . . .131

8 Configuration de la sécurité de l'Interface Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133

Introduction à la sécurité de l'Interface Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .133
Protocoles de sécurité et solutions de sécurité Citrix Security Solutions. . . . . . . . . . . .134
Protection des communications de l'Interface Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .139
Sécurisation du plug-in Citrix XenApp avec SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .139
Communications entre machine cliente et Interface Web . . . . . . . . . . . . . . . . . . . . . . . . . .139
Problèmes de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .140
Recommandations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .141
Communications entre l'Interface Web et le serveur Citrix . . . . . . . . . . . . . . . . . . . . . . . . .142
Problèmes de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .142
Recommandations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .142
Communications entre la session cliente et le serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . .146
Problèmes de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .146
Recommandations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .146
Contrôle de la journalisation des diagnostics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .147
Considérations générales relatives à la sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .147

9 Configuration de sites à l'aide du fichier de configuration . . . . . . . . . . . . . . . . . . . . . . . . . . 149

Fichiers de configuration de sites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .149
Désactivation des messages d'erreur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .150
Paramètres WebInterface.conf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .151
Considérations sur le plug-in Citrix XenApp. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .169
Contenu du fichier Config.xml . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .169
Réglages dans le fichier WebInterface.conf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .170
Exemples . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .171
Configuration des communications avec le serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . .171
Configuration des communications du Relais SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . .171
Configuration de la prise en charge de Secure Gateway . . . . . . . . . . . . . . . . . . . . . . . .172
8 Guide de l'administrateur Interface Web

Réglages dans le fichier bootstrap.conf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .172

10 Configuration de la prise en charge d'Active Directory Federation Services

pour l'Interface Web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
À propos d'Active Directory Federation Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .175
Qu'est-ce qu'Active Directory Federation Services ? . . . . . . . . . . . . . . . . . . . . . . . . . . .175
Terminologie Active Directory Federation Services . . . . . . . . . . . . . . . . . . . . . . . . . . .176
Fonctionnement des sites Active Directory Federation Services intégrés . . . . . . . . . . .177
Configuration logicielle requise pour Active Directory Federation Services . . . . . . . . . . .180
Avant la création de sites Active Directory Federation Services. . . . . . . . . . . . . . . . . . . . .180
Création des relations entre les domaines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .181
Configuration de la délégation pour les serveurs au sein de votre déploiement . . . . . .183
Création de comptes fantômes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .188
Création de sites Active Directory Federation Services intégrés. . . . . . . . . . . . . . . . . . . . .190
Pour créer un site Active Directory Federation Services intégré . . . . . . . . . . . . . . . . . .190
Configuration de votre site en tant qu'application Active Directory Federation Services .190
Pour configurer votre site en tant qu'application Active Directory
Federation Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .190
Test de votre déploiement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .191
Pour tester le déploiement Active Directory Federation Services de l'Interface Web. .191
Déconnexion des sites Active Directory Federation Services intégrés . . . . . . . . . . . . . . . .192
Pour spécifier les services auxquels les utilisateurs se déconnectent . . . . . . . . . . . . . . .192

Index. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193
 1

Introduction

Bienvenue sur l'Interface Web. Cette section vous présente la documentation et

l'Interface Web. Elle comporte les sections suivantes :
• Utilisation de ce document
• Présentation de l'Interface Web
• Nouveautés

Utilisation de ce document
Ce document s'adresse aux administrateurs Citrix et aux administrateurs Web
chargés de l'installation, de la configuration et de la gestion des sites XenApp
Web et XenApp Services.
Ce document décrit la marche à suivre pour configurer l'Interface Web
rapidement et en toute simplicité. Cette section répertorie toute la documentation
disponible, présente l'Interface Web et décrit les nouveautés de cette version. Les
sections suivantes décrivent les procédures de déploiement et de configuration de
l'Interface Web.
Ce document suppose une connaissance de XenApp et/ou XenDesktop.

Documentation
Les fichiers Read_Me_First.html et Welcome.html, disponibles sur le support
d'installation de XenApp et XenDesktop, contiennent des liens vers des
documents que vous trouverez très utiles pour démarrer. Ils fournissent également
des liens vers la documentation produit la plus récente pour XenApp/XenDesktop
et leurs composants, ainsi que vers des technologies associées.
Le site Web Knowledge Center de Citrix, http://support.citrix.com, contient des
liens organisés par produit se rapportant à toute la documentation produit.
Sélectionnez le produit souhaité et cliquez sur l'onglet Documentation dans la
page d'informations produit.
Les informations relatives aux problèmes connus sont disponibles dans le fichier
Lisez-moi.
10 Guide de l'administrateur Interface Web

Pour nous faire part de vos commentaires sur la documentation, cliquez sur le lien
Article Feedback situé sur la page de tééchargement de la documentation
produit.

Support et formation
Le centre de connaissances Citrix (http://support.citrix.com/) offre de nombreux
services d'assistance technique, outils et ressources développeur.
Pour en savoir plus sur les formations Citrix disponibles, visitez le site
http://www.citrixtraining.com/.

Conventions de la documentation
À des fins de cohérence, la terminologie relative à Windows Vista et Windows
Server 2008 (x64) a été utilisée dans tous les documents ; par exemple,
« Documents » est utilisé à la place de « Mes documents » et « Ordinateur » à la
place de « Poste de travail ».
La documentation Interface Web utilise les conventions typographiques
suivantes.

Convention Signification
Gras Commande, nom d'un élément de l'interface tel qu’une boîte de
texte, un bouton ou données entrées par l'utilisateur.
Italique Emplacement réservé à des informations que vous devez fournir. Par
exemple, nom de fichier signifie que vous saisissez le nom réel d'un
fichier. L'italique est également utilisé pour les nouveaux termes et
le titre des livres.
%SystemRoot% Répertoire du système Windows, qui peut être WTSRV, WINNT,
WINDOWS ou tout autre nom que vous avez spécifié lorsque vous
installez Windows.
Police à Texte figurant dans un fichier texte.
espacement
fixe
{accolades} Dans une commande, une série d'éléments dont seul un est requis.
Par exemple, {yes | no} signifie que vous devez saisir yes ou no. Ne
saisissez pas les accolades.
[crochets] Dans une commande, des éléments facultatifs. Par exemple, [/ping]
signifie que vous pouvez saisir /ping avec la commande. N’entrez
pas les crochets.
| (barre verticale) Dans une commande, un séparateur entre les éléments entre crochets
ou accolades. Par exemple, {/hold | /release | /delete} signifie que
vous devez saisir /hold, /release ou /delete.
 1 Introduction 11

Convention Signification
… (points de Le ou les éléments précédemment utilisés dans la commande
suspension) peuvent être répétés. Exemple :
/route:nomdemachine[,…] signifie que vous pouvez saisir des noms
de machine supplémentaires séparés par des virgules.

Conventions des lignes de commande UNIX

L'Interface Web pour les serveurs d'application Java ainsi que certains autres
composants s'exécutant sur des plates-formes UNIX possèdent des interfaces de
lignes de commande. Si vous ne connaissez pas bien les lignes de commande
UNIX, veuillez noter que :
• le choix de la casse est important dans les commandes UNIX ;
• l'espacement dans la ligne de commande est important et doit être
parfaitement conforme à ce qui est stipulé dans l'instruction.

Présentation de l'Interface Web

L'Interface Web permet aux utilisateurs d'accéder aux applications et contenus
XenApp ainsi qu'aux bureaux virtuels XenDesktop. Les utilisateurs accèdent à
leurs ressources publiées via un navigateur Web standard ou par l'intermédiaire
du plug-in Citrix XenApp.
L'Interface Web utilise les technologies Java et .NET exécutées sur un serveur
Web pour créer, de manière dynamique, une représentation HTML des batteries
de serveurs pour les sites XenApp Web. Toutes les ressources publiées
(applications, contenu et bureaux) dans la ou les batterie(s) que vous avez mis à
disposition sont proposées aux utilisateurs. Vous pouvez créer des sites Web
autonomes afin d'accéder aux ressources publiées ou des sites Web intégrés au
portail de votre entreprise. Par ailleurs, l'Interface Web vous permet de configurer
des paramètres pour les utilisateurs qui accèdent aux ressources publiées via le
plug-in Citrix XenApp.
Vous pouvez configurer les sites Interface Web créés sur les plates-formes
Windows à l'aide de la console Access Management Console. La console Access
Management Console peut uniquement être installée sur les plates-formes
Windows. Pour plus d'informations sur l'utilisation de cet outil, veuillez consulter
la section « Configuration de sites au moyen de la console » à la page 44.
Vous pouvez également modifier le fichier de configuration (WebInterface.conf)
afin de gérer et administrer les sites Interface Web. Pour plus d'informations,
veuillez consulter la section « Configuration de sites à l'aide du fichier de
configuration » à la page 149.
12 Guide de l'administrateur Interface Web

En outre, vous pouvez personnaliser et développer les sites XenApp Web. La

documentation relative au kit de développement de l'Interface Web explique
comment configurer des sites à l'aide de ces méthodes.

Fonctionnalités de l'Interface Web

Cette section contient des informations sur les fonctionnalités de l'Interface Web.
Pour de plus amples informations concernant les spécifications logicielles de
certaines fonctionnalités de l'Interface Web, reportez vous à la section
« Configuration logicielle minimum » à la page 22.

Sites XenApp Web

L'Interface Web propose des fonctionnalités permettant de créer et de gérer des
sites XenApp Web. Les utilisateurs accèdent aux ressources publiées hébergées et
aux applications livrées en streaming à l'aide d'un navigateur Web et d'un plug-in
Citrix.

Sites XenApp Services

Le plug-in Citrix XenApp est conçu pour être flexible et facile à configurer. En
utilisant le plug-in conjointement avec les sites XenApp Services sur l'Interface
Web, vous pouvez intégrer des ressources publiées aux bureaux des utilisateurs.
Les utilisateurs accèdent aux applications publiées, bureaux virtuels et contenus
hébergés en cliquant sur des icônes situées sur leur bureau, sur le menu
Démarrer ou dans la zone de notification sur leur bureau. Vous pouvez spécifier
les options de configuration auxquelles les utilisateurs ont accès, de sorte qu'ils
puissent modifier, par exemple, les paramètres audio, d'affichage ou d'ouverture
de session.

Fonctions de gestion
Console Access Management Console. Vous pouvez utiliser la console Access
Management Console pour effectuer rapidement et facilement les tâches
administratives quotidiennes. Vous pouvez par exemple utiliser la console pour
spécifier les paramètres que les utilisateurs peuvent sélectionner et pour
configurer l'authentification utilisateur à l'Interface Web. Votre configuration
devient effective lorsque vous effectuez des modifications au moyen de la
console.
Prise en charge de plusieurs batteries de serveurs. Vous pouvez configurer
plusieurs batteries de serveurs et permettre aux utilisateurs de visualiser les
ressources publiées mises à leur disposition à partir de toutes les batteries. Vous
pouvez configurer chaque batterie de serveurs individuellement au moyen de la
tâche Gérer les batteries de serveurs. Pour plus d'informations, veuillez
consulter la section « Configuration des communications avec le serveur » à la
page 171.
 1 Introduction 13

Compatibilité avec les technologies Web les plus répandues. L'API de

l'Interface Web est accessible à partir d’ASP.NET de Microsoft et de JavaServer
Pages de Sun Microsystems. L'Interface Web pour les serveurs d'application Java
est indépendante de la plate-forme, ce qui lui permet d'être exécutée sur des
systèmes d'exploitation Windows sur lesquels Microsoft Internet Information
Services (IIS) n'est pas utilisé en tant que serveur Web.
Prise en charge de Windows Server 2008. L'Interface Web est prise en charge
sur les éditions x86 et x64 de Windows Server 2008 et elle est compatible avec
IIS 7.0.

Fonctionnalités d'accès aux ressources publiées

Prise en charge des batteries UNIX. La prise en charge des batteries XenApp
pour UNIX permet à l'Interface Web d'afficher et de proposer des applications
s'exécutant sur des plates-formes UNIX, sur les machines clientes de vos
utilisateurs.
Serveurs de sauvegarde. Vous pouvez configurer des serveurs de sauvegarde
pour garantir aux utilisateurs du plug-in Citrix XenApp un accès ininterrompu à
leurs ressources publiées, même en cas de défaillance d'un serveur.
Prise en charge d’Active Directory et des noms d’utilisateur principal. Tous
les composants de l'Interface Web sont compatibles avec Microsoft Active
Directory. Les utilisateurs qui visitent les sites XenApp Web peuvent ouvrir une
session sur les batteries de serveurs faisant partie d'un déploiement Active
Directory et accéder de manière transparente aux applications publiées et au
contenu. Les écrans d'ouverture de session sont compatibles avec l'utilisation des
noms UPN par Active Directory.
Utilisateurs anonymes. L'Interface Web permet aux utilisateurs d'accéder aux
applications XenApp en ouvrant une session aux sites XenApp Web à l'aide d'un
compte anonyme.
Accès à du contenu publié. L'Interface Web prend en charge les fonctionnalités
de publication de contenu de XenApp.
Redirection de dossiers spéciaux. L'Interface Web permet aux utilisateurs de
mapper les dossiers \Documents et \Bureau du serveur sur leur ordinateur local.
Cela leur permet de trouver plus facilement leurs dossiers locaux, comme par
exemple la boîte de dialogue Enregistrer sous d'une application publiée.
Lissage de polices. L'Interface Web prend en charge le lissage de polices
ClearType dans les applications publiées. ClearType est une technologie
logicielle développée par Microsoft pour améliorer la lisibilité du texte sur les
écrans LCD.
14 Guide de l'administrateur Interface Web

Fonctions de sécurité
Prise en charge de SSL/TLS. L'Interface Web prend en charge le protocole SSL
afin de garantir la sécurisation des communications entre le serveur de l'Interface
Web et les batteries de serveurs. La mise en œuvre de SSL sur votre serveur Web
avec des navigateurs Web prenant en charge SSL permet d’assurer la sécurité des
flux de données sur votre réseau. L'Interface Web utilise Microsoft .NET
Framework pour implémenter SSL et la cryptographie.
Prise en charge d'Access Gateway. Citrix Access Gateway est un boîtier VPN
(virtual private network) SSL universel qui, lorsqu'il est utilisé avec l'Interface
Web, garantit un accès unique et sécurisé à toute ressource d'informations
(données et voix). Access Gateway regroupe les meilleures fonctionnalités
d'Internet Protocol Security (IPSec) et du VPN SSL, en évitant la mise en œuvre
et la gestion lourdes et coûteuses ; il fonctionne à travers tous les pare-feu et
prend en charge toutes les ressources publiées et tous les protocoles.
Prise en charge de Secure Gateway. Utilisé en conjonction avec l'Interface
Web, Secure Gateway offre un point d'accès unique, sécurisé et crypté aux
serveurs sur vos réseaux d'entreprise internes via Internet. Secure Gateway
simplifie la gestion des certificats, un certificat de serveur étant uniquement
requis sur le serveur Secure Gateway, plutôt que sur chaque serveur de la batterie.
Tickets. Cette fonctionnalité renforce la sécurité de l'authentification. L'Interface
Web obtient des tickets qui authentifient les utilisateurs auprès des ressources
publiées. Les tickets possèdent une date d’expiration configurable et sont valides
pour une seule ouverture de session. Après utilisation ou après expiration, un
ticket n'est plus valide et ne peut pas être utilisé pour accéder à des ressources
publiées. L’utilisation des tickets élimine l’inclusion explicite des informations
d’identification dans les fichiers .ica utilisés par l'Interface Web pour se connecter
à des ressources publiées.
Modification du mot de passe. Les utilisateurs qui ouvrent des sessions à
l'Interface Web ou au plug-in Citrix XenApp à l'aide d'informations
d'identification de domaine explicites ont désormais la possibilité de modifier
leur mot de passe Windows quand ce dernier expire. Ils peuvent modifier leur mot
de passe, que l'ordinateur appartienne ou non au domaine auprès duquel ils
tentent de s'authentifier.
Libre-service de compte. L'intégration à la fonctionnalité de libre-service de
compte disponible sur Citrix Password Manager permet aux utilisateurs de
réinitialiser leur mot de passe réseau et de déverrouiller leur compte en répondant
à une série de questions de sécurité.
 1 Introduction 15

Fonctions de déploiement de plug-in

Installation des plug-ins par le Web. Lorsqu'un utilisateur visite un site XenApp
Web, l'Interface Web détecte le type de machine et de navigateur Web, et invite
l’utilisateur à installer un plug-in Citrix approprié, à condition bien sûr qu'un
plug-in soit disponible. Les restrictions de sécurité renforcées mises en place dans
les systèmes d'exploitation et navigateurs Web de dernière génération peuvent
complexifier le téléchargement et le déploiement de plug-ins Citrix. C'est la
raison pour laquelle l'Interface Web dispose d'un processus de détection et de
déploiement de plug-in dont la tâche consiste à guider les utilisateurs tout au long
de la procédure de déploiement, qui peut inclure le cas échéant, la reconfiguration
de leur navigateur Web. Ce processus permet de garantir une expérience optimale
pour les utilisateurs qui accèdent à des ressources publiées et à du contenu, et ce,
même à partir d'environnements ultra-sécurisés.
Prise en charge du plug-in Citrix XenApp. Le plug-in Citrix XenApp permet
aux utilisateurs d’accéder aux ressources publiées directement à partir de leurs
bureaux, sans avoir recours à un navigateur Web. L’interface utilisateur du plug-
in Citrix XenApp peut également être « verrouillée » pour éviter toute erreur de
configuration par l’utilisateur.
Prise en charge de Citrix XenApp Plugin pour applications en streaming.
Citrix XenApp Plugin pour applications en streaming permet aux utilisateurs de
livrer des applications XenApp en streaming sur leurs bureaux et de les ouvrir
localement. Vous pouvez soit installer le plug-in avec le plug-in Citrix XenApp
afin de fournir la totalité des fonctionnalités de virtualisation d'application côté
client de Citrix, soit n'installer que le plug-in sur les bureaux des utilisateurs afin
que ces derniers puissent accéder à des applications publiées grâce à un
navigateur Web utilisant un site XenApp Web.

Nouveautés
L'Interface Web propose, dans cette version, les nouvelles fonctionnalités et
améliorations suivantes :
Prise en charge de la carte à puce avec XenDesktop. Les utilisateurs
XenDesktop disposant de machines de point de terminaison Windows peuvent
utiliser les cartes à puce pour s'authentifier sur des sites XenApp Web et XenApp
Services hébergés sur Microsoft Internet Information Services. Lorsque
l'authentification unique par carte à puce est utilisée en conjonction avec
Kerberos sur des sites XenApp Services, Kerberos est utilisé pour authentifier les
utilisateurs sur l'Interface Web et les cartes à puce sont utilisées pour
l'authentification sur la batterie de serveurs.
16 Guide de l'administrateur Interface Web

Redémarrage du bureau virtuel. Tout comme sur les ordinateurs physiques sur
lesquels le bouton marche/arrêt permet de redémarrer, les utilisateurs
XenDesktop peuvent redémarrer leurs bureaux virtuels exécutés sur des machines
virtuelles à l'aide d'un contrôle sur leurs sites XenApp Web ou via Desktop
Receiver. Cette fonctionnalité est uniquement disponible sur les bureaux exécutés
sur des machines virtuelles ; le redémarrage de bureaux virtuels exécutés sur des
serveurs physiques ou blade (lames) n'est pas pris en charge.
Suppression de la prise en charge de la configuration centralisée. Les sites
configurés de manière centralisée sont obsolètes dans l'Interface Web 5.0.1. La
configuration centralisée n'est plus prise en charge dans la dernière version. En
guise de remplacement, l'Interface Web pour Microsoft Internet Information
Services permet de spécifier un site « maître » dont le fichier de configuration est
partagé sur le réseau. Ainsi, plutôt que d'utiliser la configuration d'un fichier
local, d'autres sites peuvent être configurés à l'aide de la configuration du site
maître.
Prise en charge d'Access Gateway sur toutes les plates-formes. L'Interface
Web pour les serveurs d'application Java s'intègre aux éditions Advanced et
Enterprise d'Access Gateway afin d'offrir une authentification unique entre les
deux produits et permettre l'application de stratégies SmartAccess aux ressources
publiées. Cette fonctionnalité est identique à celle précédemment disponible avec
l'Interface Web pour Microsoft Internet Information Services.
Processus de détection et de déploiement de plug-in simplifié. Le nombre
d'étapes inclus dans le processus de détection et de déploiement de plug-in a été
réduit pour les scénarios utilisateur les plus courants. Le téléchargement et le
déploiement d'un plug-in Citrix approprié est beaucoup plus simple pour les
utilisateurs XenDesktop ou XenApp. Le retour au client pour Java peut
maintenant être configuré.

Composants de l'Interface Web

Un déploiement Interface Web implique l’interaction de trois composants réseau :
• une ou plusieurs batteries de serveurs ;
• un serveur Web ;
• une machine cliente avec un navigateur Web et un plug-in Citrix.
 1 Introduction 17

Batteries de serveurs
Un groupe de serveurs gérés comme une seule entité et fonctionnant
conjointement pour mettre des ressources publiées à la disposition des utilisateurs
est appelé une batterie de serveurs. Une batterie de serveurs se compose d'un
certain nombre de serveurs, exécutant soit XenApp soit Desktop Delivery
Controller, mais jamais les deux à la fois.
La publication de ressources constitue l'une des tâches les plus importantes d'une
batterie de serveurs. Ce processus permet aux administrateurs de mettre des
ressources spécifiques hébergées par la batterie de serveurs à la disposition des
utilisateurs (applications, contenu et bureaux). Lorsqu’un administrateur publie
une ressource à l'intention d'un groupe d’utilisateurs, cette dernière devient un
objet disponible auquel les plug-ins Citrix peuvent se connecter et initier des
sessions clientes.
À l'aide de l'Interface Web, les utilisateurs peuvent ouvrir une session sur une
batterie de serveurs et recevoir une liste personnalisée des ressources publiées
associées à leur nom d'utilisateur. Cette liste de ressources est appelée série de
ressources. Le serveur de l'Interface Web fonctionne comme un point d'accès
pour la connexion à une ou plusieurs batteries de serveurs. Le serveur Interface
Web interroge les batteries de serveurs pour obtenir les informations concernant
les séries de ressources puis formate les résultats dans des pages HTML que les
utilisateurs peuvent visualiser à l’aide de leur navigateur Web.
Pour obtenir des informations sur des batteries de serveurs, le serveur Interface
Web communique avec le service XML Citrix, ce dernier étant exécuté sur un ou
plusieurs serveurs de la batterie. Le service XML Citrix est un composant de
XenApp et Desktop Delivery Controller qui fournit des informations sur les
ressources publiées aux plug-ins Citrix et aux serveurs Interface Web au moyen
des protocoles TCP/IP et HTTP. Ce service constitue le point de contact entre la
batterie de serveurs et le serveur Interface Web. Le service XML Citrix est
installé avec XenApp et Desktop Delivery Controller.

Serveur Web
Le serveur Web héberge l'Interface Web. L'Interface Web fournit les prestations
suivantes :
• authentification des utilisateurs auprès d’une ou plusieurs batteries de
serveurs ;
• récupération d'informations sur les ressources publiées (y compris, une liste
des ressources auxquelles les utilisateurs ont accès).
18 Guide de l'administrateur Interface Web

Machine cliente
Une machine cliente est un dispositif informatique capable d’exécuter un plug-in
Citrix et un navigateur Web. Une machine cliente peut être, entre autres choses,
un PC de bureau, un ordinateur portable, un terminal ou un assistant personnel.
Sur une telle machine, le navigateur et le plug-in Citrix servent respectivement de
système de visualisation et de moteur. Le navigateur permet aux utilisateurs de
visualiser des séries de ressources (créées par des scripts côté serveur sur le
serveur Interface Web), tandis que le plug-in agit comme le moteur permettant
aux utilisateurs d'accéder aux ressources publiées.
L'Interface Web offre une méthode permettant de déployer des plug-ins Citrix à
partir d'un site Web. Lorsqu'un utilisateur visite un site créé avec l'Interface Web,
le processus Web de détection et de déploiement des plug-ins détecte la machine
et invite l’utilisateur à déployer le plug-in Citrix approprié. Dans certains
environnements, le processus de détection et de déploiement de plug-in peut
également détecter la présence ou l'absence de plug-in et solliciter l’utilisateur le
cas échéant. Pour plus d'informations, veuillez consulter la section
« Configuration du déploiement de plug-in et des légendes d'installation » à la
page 101.
L'Interface Web prend en charge de nombreuses combinaisons de navigateurs et
de plug-ins Citrix. Pour obtenir la liste complète des combinaisons de navigateurs
et de plug-ins pris en charge, consultez la section « Éléments requis sur les
machines clientes » à la page 29.
 1 Introduction 19

Fonctionnement de l'Interface Web

Le diagramme suivant décrit une interaction typique entre les batteries de
serveurs, un serveur exécutant l'Interface Web et une machine cliente.

Ce diagramme illustre un exemple d'interaction d'Interface Web typique. Le navigateur

Web installé sur la machine cliente envoie des informations au serveur Web, lequel
communique avec la batterie de serveurs afin de permettre aux utilisateurs d'accéder à
leurs ressources publiées.
• Les utilisateurs de machines clientes utilisent un navigateur Web pour
s'authentifier à l'Interface Web.
• Le serveur Web lit les informations d'identification des utilisateurs et les
communique au service XML Citrix sur les serveurs de la batterie de
serveurs. Le serveur désigné sert d’intermédiaire entre le serveur Web et les
autres serveurs de la batterie.
• Le service XML Citrix du serveur désigné récupère ensuite une liste des
ressources publiées auprès des serveurs auxquelles les utilisateurs peuvent
accéder. Ces ressources forment la série de ressources de l’utilisateur. Le
service XML Citrix récupère cette série de ressources à partir du système
IMA (Independent Management Architecture).
• Dans une batterie XenApp pour UNIX, le service XML Citrix du serveur
désigné utilise les informations rassemblées à partir de l'Explorateur ICA
pour déterminer à quelles applications l’utilisateur peut accéder.
• Le service XML Citrix transmet alors les informations relatives à la série de
ressources de l’utilisateur à l'Interface Web exécutées sur le serveur.
• L'utilisateur clique sur une icône représentant une ressource publiée dans la
page HTML.
20 Guide de l'administrateur Interface Web

• Le service XML Citrix est contacté pour localiser le serveur le moins

occupé de la batterie. Il identifie l'adresse du serveur le moins occupé et
renvoie son adresse à l'Interface Web.
• L'Interface Web communique avec le plug-in Citrix (dans certains cas à
l'aide du navigateur Web en tant qu'intermédiaire).
• Le plug-in Citrix initie une session avec le serveur de la batterie
conformément aux informations de connexion fournies par l'Interface Web.
 2

Déploiement de l'Interface Web

Cette section décrit l'installation de l'Interface Web sur votre serveur et la

configuration du serveur exécutant l'Interface Web. Elle comporte les sections
suivantes :
• Configuration requise
• Installation de l'Interface Web
• Résolution des problèmes liés à l'installation de l'Interface Web
• Désinstallation de l'Interface Web

Configuration requise
La section suivante décrit la configuration du serveur, du serveur Web et de la
machine cliente requises pour l'Interface Web.

Éléments requis sur les serveurs

Pour exécuter l'Interface Web, vos serveurs doivent disposer des éléments ci-
dessous.

Versions des serveurs Citrix prises en charge

L'Interface Web prend en charge les versions de produits suivantes :
• Citrix XenDesktop 3.0
• Citrix XenDesktop 2.1
• Citrix XenDesktop 2.0
• Citrix XenApp 5.0 pour Microsoft Windows Server 2008 édition x64
• Citrix XenApp 5.0 pour Microsoft Windows Server 2008
• Citrix XenApp 5.0 pour Microsoft Windows Server 2003 édition x64
• Citrix XenApp 5.0 pour Microsoft Windows Server 2003
22 Guide de l'administrateur Interface Web

• Citrix XenApp 4.0 avec Feature Pack 1 pour systèmes d'exploitation UNIX
• Citrix Presentation Server 4.5 avec Feature Pack 1 pour Windows Server
2003 édition x64
• Citrix Presentation Server 4.5 avec Feature Pack 1 pour Windows Server
2003
• Citrix Presentation Server 4.5 pour Windows Server 2003 édition x64
• Citrix Presentation Server 4.5 pour Windows Server 2003
• Citrix Presentation Server 4.0 pour Windows Server 2003
• Citrix Presentation Server 4.0 pour systèmes d'exploitation UNIX
L'Interface Web fonctionne avec ces produits sur toutes les plates-formes prises
en charge. Pour obtenir une liste des plates-formes prises en charge, veuillez
consulter le guide de l'administrateur approprié. Citrix vous recommande
d'installer le dernier service pack pour le système d'exploitation sur vos serveurs.

Console Access Management Console

Pour faciliter la gestion de l'Interface Web sur Windows, vous pouvez installer la
console Access Management Console. Pour plus d'informations sur l'installation
de la console, veuillez consulter le Guide de l'administrateur Citrix XenApp.

Configuration logicielle minimum

Si la dernière version n'est pas installée, certaines nouvelles fonctionnalités ne
sont pas disponibles. À titre d'exemple, Citrix XenDesktop 3.0 doit être installé
sur tous les serveurs de la batterie pour que les utilisateurs puissent redémarrer
leurs bureaux virtuels.
Le tableau suivant récapitule les configurations logicielles minimum requises
pour les fonctionnalités clés de l'Interface Web.

Fonctionnalité de Configuration logicielle requise

l'Interface Web
Redémarrage du bureau Citrix XenDesktop 3.0
virtuel
Citrix Desktop Receiver 11.1
Redirection de dossiers Citrix XenApp 5.0
spéciaux
Citrix XenApp Plugin pour applications hébergées 11.0 pour
Windows
Lissage de polices Citrix XenApp 5.0
Citrix XenApp Plugin pour applications hébergées 11.0 pour
Windows
 2 Déploiement de l'Interface Web 23

Fonctionnalité de Configuration logicielle requise

l'Interface Web
Prise en charge de Citrix XenDesktop 2.0
XenDesktop
Citrix Desktop Receiver Embedded Edition 10.250
Prise en charge de Citrix XenDesktop 2.0
Windows Vista et Internet
Explorer 7.0 Citrix Presentation Server 4.5
Clients Citrix Presentation Server 10.1 pour Windows
Prise en charge des Citrix Presentation Server 4.5
applications en streaming
Citrix Streaming Client 1.0
Agent Citrix Program Neighborhood 10.0
Prise en charge d'ADFS Citrix Presentation Server 4.5
Prise en charge des Citrix XenDesktop 2.0
stratégies de contrôle
d'accès Citrix Presentation Server 4.5
Citrix Access Gateway 4.2 avec Advanced Access Control
Clients Citrix MetaFrame Presentation Server pour
Windows 32 bits, version 9.0
Libre-service de compte Citrix Password Manager 4.0
Modification du mot de Citrix XenDesktop 2.0
passe par l'utilisateur
Citrix Presentation Server 4.0
Agent Citrix Program Neighborhood 10.1
Fiabilité de session Citrix XenDesktop 2.0
Citrix Presentation Server 4.0
Clients Citrix MetaFrame Presentation Server pour
Windows 32 bits, version 9.0
Contrôle de l'espace de Citrix XenDesktop 2.0
travail
Citrix Presentation Server 4.0
Client Citrix MetaFrame Presentation Server pour Windows
32 bits, version 8.0
Prise en charge des cartes Citrix XenDesktop 3.0
à puce
Citrix Presentation Server 4.0
Citrix Desktop Receiver 11.1
Client Citrix ICA pour Windows 32 bits 6.30
24 Guide de l'administrateur Interface Web

Fonctionnalité de Configuration logicielle requise

l'Interface Web
Prise en charge de Secure Citrix XenDesktop 2.0
Gateway
Citrix Presentation Server 4.0
Citrix Presentation Server 4.0 pour systèmes d'exploitation
UNIX
Client Citrix ICA pour Windows 32 bits 6.20.986
Authentification NDS Citrix Presentation Server 4.0
Client Citrix ICA pour Windows 32 bits 6.20
Adressage DNS Citrix XenDesktop 2.0
Citrix Presentation Server 4.0
Citrix Presentation Server 4.0 pour systèmes d'exploitation
UNIX
Client Citrix ICA pour Windows 32 bits 6.20
Fonctions améliorées de Citrix Presentation Server 4.0
publication de contenu
Client Citrix ICA pour Windows 32 bits 6.20
Équilibrage de charge Citrix XenDesktop 2.0
Citrix Presentation Server 4.0
Citrix Presentation Server 4.0 pour systèmes d'exploitation
UNIX
Prise en charge du pare- Citrix XenDesktop 2.0
feu côté serveur
Citrix Presentation Server 4.0
Citrix Presentation Server 4.0 pour systèmes d'exploitation
UNIX
Prise en charge du pare- Pour SOCKS : Client Citrix ICA pour Windows 32 bits 6.0
feu côté client
Pour proxy sécurisé : Client Citrix ICA pour Windows 32
bits 6.30
Authentification unique Citrix Presentation Server 4.0
Client Program Neighborhood pour Windows 32 bits
Agent Citrix Program Neighborhood 6.20
Connexion au Bureau à Citrix Presentation Server 4.0
distance
 2 Déploiement de l'Interface Web 25

Configuration générale requise

Les serveurs doivent appartenir à une batterie de serveurs. Les serveurs de la
batterie doivent posséder des ressources (applications, contenu et/ou bureaux)
publiées. Pour plus d'informations sur l'appartenance à une batterie de serveurs et
sur la publication de ressources dans une batterie de serveurs, consultez le guide
de l'administrateur approprié.
XenApp pour serveurs UNIX doit également avoir des applications publiées. En
outre, ces applications doivent être configurées en vue de leur utilisation avec
l'Interface Web. Pour de plus amples informations sur l’installation du service
XML Citrix pour UNIX et sur la configuration des applications publiées en vue
de leur utilisation avec l'Interface Web, consultez le Guide de l'administration
Citrix XenApp pour UNIX.

Configuration requise pour le serveur Web

Les plug-ins Citrix doivent être présents sur votre serveur afin de pouvoir assurer
le déploiement des plug-ins par le Web. Pour de plus amples informations sur les
versions des plug-ins prises en charge, consultez la section « Éléments requis sur
les machines clientes » à la page 29. Pour de plus amples informations sur la
copie des plug-ins sur le serveur Interface Web, consultez la section « Copie des
fichiers d'installation d'un plug-in sur le site Web » à la page 100.
26 Guide de l'administrateur Interface Web

Sur les plates-formes Windows

Vous pouvez installer l'Interface Web sur les plates-formes Windows suivantes :

Système Serveur Web Runtime/JDK Moteur de

d’exploitation servlet
Windows Server Internet Information .NET Framework 3.5 N/A
2008 éditions x64 Services 7.0 avec Service Pack 1*
Windows Server Visual J#.NET 2.0
2008 Second Edition*

Windows Server Internet Information ASP.NET 2.0

2003 éditions x64 Services 6.0 en mode
avec Service Pack 2 32 bits
Windows Server2003 Internet Information
avec Service Pack 2 Services 6.0
Apache 2.2.x Java 1.6.x Apache
Tomcat 6.0.x
*L'Interface Web est également compatible avec les installations existantes de .NET
Framework 2.0 avec Service Pack 1 et Visual J#.NET 2.0 sur les éditions x86 et x64 de
Windows Server 2008 et Windows Server 2003 avec Service Pack 2.

Si vous voulez utiliser Microsoft Internet Information Services (IIS), vous devez
configurer votre serveur afin d'ajouter le rôle de serveur approprié et installer IIS
et ASP.NET (sous-composant d’IIS). Si IIS n'est pas installé lorsque vous
installez .NET Framework, vous devez l'installer et réinstaller Framework, ou
installer IIS et exécuter la commande aspnet_regiis.exe -i dans le répertoire
C:\WINDOWS\Microsoft.NET\Framework\Version. Les fichiers redistribuables
.NET Framework et J# sont inclus dans le dossier \Support du support
d'installation de XenApp et XenDesktop.

Sur les plates-formes UNIX

Vous pouvez installer l'Interface Web sur les plates-formes UNIX suivantes :

Système Serveur Web JDK Moteur de servlet

d’exploitation
Red Hat Apache 2.2.x Java 1.6.x Apache Tomcat 6.0.x
Enterprise Linux
5 Advanced IBM WebSphere IBM Version 5.0 IBM WebSphere
Platform 32-bit Application Server 6.1

IBM AIX 6.1

Solaris 10 Sun Java System Java 1.5.x Sun Java System
Application Server Application Server
Platform Edition 9.0
 2 Déploiement de l'Interface Web 27

Configuration requise pour l'utilisateur

Les combinaisons navigateur Web-système d'exploitation prises en charge qui
permettent aux utilisateurs d'accéder aux sites Interface Web sont les suivantes :

Navigateur Système d’exploitation

Internet Explorer 7.x Windows Vista éditions 64 bits avec Service Pack 1
(mode 32 bits) Windows Vista éditions 32 bits avec Service Pack 1
Windows XP Professional édition x64 avec Service Pack 2
Windows XP Professional avec Service Pack 3
Windows Server 2008 éditions x64
Windows Server 2008
Windows Server 2003 éditions x64 avec Service Pack 2
Windows Server2003 avec Service Pack 2
Internet Explorer 6.x Windows XP Professional édition x64 avec Service Pack 2
(mode 32 bits) Windows XP Professional avec Service Pack 3
Windows Server 2003 éditions x64 avec Service Pack 2
Windows Server2003 avec Service Pack 2
Windows Fundamentals for Legacy PCs
Safari 3.x Mac OS X Leopard
Safari 2.x
Mozilla Firefox 3.x Windows Vista éditions 64 bits avec Service Pack 1
Mozilla Firefox 2.x Windows Vista éditions 32 bits avec Service Pack 1
Windows XP Professional édition x64 avec Service Pack 2
Windows XP Professional avec Service Pack 3
Windows Server 2008 éditions x64
Windows Server 2008
Windows Server 2003 éditions x64 avec Service Pack 2
Windows Server2003 avec Service Pack 2
Red Hat Enterprise Linux 5 Desktop
Mac OS X Leopard
Mozilla 1.7 Solaris 10
28 Guide de l'administrateur Interface Web

Configuration requise pour accéder aux applications livrées en

streaming
Les combinaisons navigateur Web-système d'exploitation prises en charge qui
permettent aux utilisateurs de lancer des applications livrées en streaming sont les
suivantes :

Navigateur Système d’exploitation

Internet Explorer 7.x Windows Vista éditions 64 bits avec Service Pack 1
(mode 32 bits) Windows Vista éditions 32 bits avec Service Pack 1
Windows XP Professional édition x64 avec Service Pack 2
Windows XP Professional avec Service Pack 3
Windows Server 2008 éditions x64
Windows Server 2008
Windows Server 2003 éditions x64 avec Service Pack 2
Windows Server2003 avec Service Pack 2
Internet Explorer 6.x Windows XP Professional édition x64 avec Service Pack 2
(mode 32 bits) Windows XP Professional avec Service Pack 3
Windows Server 2003 éditions x64 avec Service Pack 2
Windows Server2003 avec Service Pack 2
Windows Fundamentals for Legacy PCs
Mozilla Firefox 3.x Windows Vista éditions 64 bits avec Service Pack 1
Mozilla Firefox 2.x Windows Vista éditions 32 bits avec Service Pack 1
Windows XP Professional édition x64 avec Service Pack 2
Windows XP Professional avec Service Pack 3
Windows Server 2008 éditions x64
Windows Server 2008
Windows Server 2003 éditions x64 avec Service Pack 2
Windows Server2003 avec Service Pack 2
 2 Déploiement de l'Interface Web 29

Configuration requise pour les autres machines clientes

Les utilisateurs peuvent accéder à l'Interface Web avec les configurations de
terminaux Windows et assistants personnels suivantes :

Machine Système d’exploitation Navigateur

HP t5735 Debian Linux 4.0 Debian Iceweasel 2.0
HP t5730 Windows XP Embedded avec Internet Explorer 6.x
Service Pack 2
WYSEV90
HP t5510 WinCE 6.0
WYSEV30 WinCE5.0

E-TEN Glofiish X500 Windows Mobile 6 Pocket Internet Explorer

HP iPAQ rx1950 Windows Mobile 5
Symbian Nokia E61/ Symbian Nokia Navigateur Symbian
E70

Éléments requis sur les machines clientes

Pour pouvoir fonctionner avec l'Interface Web, vos machines clientes doivent
disposer au moins d’un plug-in Citrix ou d’un navigateur Web pris en charge avec
l'environnement JRE. Tous les plug-ins fournis sur le support d'installation de
XenApp et XenDesktop sont compatibles avec l'Interface Web. Vous pouvez
aussi les télécharger gratuitement à partir du site Web de Citrix.
Nous vous conseillons de mettre les derniers plug-ins à la disposition de vos
utilisateurs afin qu'ils puissent tirer parti des fonctionnalités les plus récentes.
Chaque plug-in offre des fonctionnalités différentes. Pour des informations
complémentaires sur les fonctionnalités prises en charge, reportez-vous au guide
de l'administrateur correspondant au plug-in.

Installation de l'Interface Web

Cette section décrit la procédure d'installation de l'Interface Web sur votre
serveur. Elle comprend une présentation de la procédure d'installation, ainsi que
des instructions permettant d'installer l'Interface Web sur chaque plate-forme
prise en charge.

Présentation de l'installation
Pour installer l'Interface Web, utilisez le support d'installation de XenApp ou
XenDesktop.
30 Guide de l'administrateur Interface Web

Vous pouvez installer l'Interface Web sur les plates-formes suivantes :

• Un système d'exploitation Windows pris en charge exécutant :
• Microsoft Internet Information Services (IIS)
• Apache Tomcat
• Un système d'exploitation UNIX pris en charge exécutant :
• Apache Tomcat
• IBM WebSphere
• Sun Java System Application Server
Pour plus d’informations sur l’installation de l'Interface Web, veuillez consulter
les sections « Installation de l'Interface Web sur Microsoft Internet Information
Services » à la page 31 et « Installation de l'Interface Web sur des serveurs
d'application Java » à la page 34.

Considérations de sécurité
Si vous avez l'intention d'installer l'Interface Web sur un serveur Windows, Citrix
vous conseille de suivre les instructions Microsoft standard concernant la
configuration de votre serveur Windows. Pour les installations UNIX, suivez les
recommandations du fabricant relatives à votre système d'exploitation.
Affichage du port utilisé par le service XML Citrix
Lors de la création du site Interface Web (IIS) ou de la génération du fichier .war
(Java), vous êtes invité à indiquer le port utilisé par le service XML Citrix. Le
service Citrix XML constitue le lien de communication entre la batterie de
serveurs et le serveur Interface Web. Cette section explique comment afficher le
port utilisé par le service XML Citrix sur les serveurs XenApp.
Pour afficher le port utilisé par le service XML Citrix sur les plates-formes
Windows
1. Sur le serveur d'une batterie, ouvrez la console Access Management
Console.
2. Dans le panneau gauche, sélectionnez le nom du serveur.
3. Dans le menu Action, cliquez sur Propriétés.
4. Sélectionnez Service XML pour afficher le port utilisé.
Lors de l'installation de XenApp, si vous avez sélectionné l'option de
partage du port TCP/IP d’IIS (Internet Information Services) avec le
service Citrix XML, la console Access Management Console affiche Le
service XML pour ce serveur utilise le même port que IIS comme étant
le port utilisé. Dans ce cas, pour déterminer le port du service XML Citrix,
vous devez déterminer le port utilisé par le service d'administration IIS. Par
défaut, le service d'administration utilise le port 80.
 2 Déploiement de l'Interface Web 31

Pour afficher le port utilisé par le service XML Citrix sur les plates-formes UNIX.
Sur XenApp pour serveurs UNIX, tapez ctxnfusesrv -l à l'invite de commandes
pour afficher les informations sur le port.

Remarque : vous pouvez, si nécessaire, modifier le port utilisé par le service

Citrix XML sur le serveur. Pour de plus amples informations, consultez le guide
de l'administrateur approprié.

Installation de l'Interface Web sur Microsoft

Internet Information Services
Avant d'installer l'Interface Web, vous devez configurer votre serveur pour
ajouter le rôle de serveur Web et installer IIS et ASP.NET.
Pour utiliser IIS 7.0 sur Windows Server 2008, installez le rôle Serveur Web
(IIS) puis activez les services de rôle suivants :
• Serveur Web > Développement d'applications > ASP.NET
• Serveur Web > Outils de gestion > Compatibilité avec la gestion IIS 6 >
Compatibilité métabase IIS 6
Si vous prévoyez d'activer l'authentification unique, l'authentification unique
avec carte à puce, et/ou l'authentification par carte à puce, vous devrez également
installer les services de rôle suivants :
• Pour l'authentification unique et l'authentification unique par carte à puce,
activez Serveur Web > Sécurité > Authentification Windows.
• Pour l'authentification par carte à puce, activez Serveur Web > Sécurité >
Authentification par mappage de certificat client.
Pour utiliser IIS 6.0 sur Windows Server 2003, ajoutez le rôle Serveur
d'applications (IIS, ASP.NET) et activez ASP.NET.
Sur IIS, chaque site est assigné à un pool d'applications. La configuration du
regroupement d'applications contient un paramètre déterminant le nombre
maximal de processus d'exécution. Si vous changez la valeur par défaut de 1, il se
peut que vous ne puissiez plus exécuter l'Interface Web.
Après avoir configuré votre rôle de serveur, assurez-vous que .NET Framework
3.5 et Visual J#.NET 2.0 Second Edition sont installés, puis installez la console
Access Management Console. Pour plus d'informations sur l'installation de la
console Access Management Console, veuillez consulter le Guide de
l'administrateur Citrix XenApp.
32 Guide de l'administrateur Interface Web

Bien que Citrix recommande de mettre à niveau vers .NET Framework 3.5 et
Visual J#.NET 2.0 Second Edition, l'Interface Web peut également être installée
sur des déploiements Windows Server 2003/IIS 6.0 sur lesquels .NET Framework
2.0 avec Service Pack 1 et Visual J#.NET 2.0 sont déjà installés.
Si vous mettez à niveau une version précédente de l'Interface Web, version 4.0
minimum, le programme d'installation vous invite à sauvegarder vos sites
existants avant de les mettre à niveau.

Remarque : les sites configurés de manière centralisée et Participant invité de

Conferencing Manager ne sont plus pris en charge. Si vous mettez à niveau une
version de l'Interface Web antérieure, le programme d'installation supprimera les
sites Participant invité de Conferencing Manager existants de votre serveur Web.
Les sites configurés de manière centralisée seront mis à niveau et convertis afin
d'utiliser la configuration locale.

Pour installer l'Interface Web sur Microsoft Internet Information

Services
1. Ouvrez une session en tant qu'administrateur.
Si vous installez l'Interface Web à partir du support d'installation de
XenApp ou XenDesktop, insérez le disque dans le lecteur optique du
serveur Web.
Si vous avez téléchargé l'Interface Web à partir du site Web de Citrix,
copiez le fichier WebInterface.exe sur votre serveur Web. Cliquez deux fois
sur ce fichier.
2. Sélectionnez la langue de votre choix dans la liste. La langue du système
d'exploitation que vous utilisez est détectée et affichée par défaut.
L’utilisateur sélectionne OK.
3. Sur la page Bienvenue, cliquez sur Suivant.
4. Dans la page Contrat de licence, sélectionnez J'accepte les termes du
contrat de licence, puis cliquez sur Suivant.
5. Dans la page Composants communs, sélectionnez un emplacement pour
l'installation des composants communs de l'Interface Web (par défaut :
C:\Program Files (x86)\Citrix\Web Interface\Version). Cliquez sur Suivant.
6. Sur la page Plug-ins, sélectionnez Copier les plug-ins sur cet ordinateur.
Cliquez sur Parcourir pour rechercher les fichiers d'installation des plug-
ins Citrix sur le support d'installation ou votre réseau.
Le programme d'installation copie le contenu du dossier \Clients du support
d'installation ou d'un partage réseau vers le dossier Interface Web \Clients
(C:\Program Files (x86)\Citrix\Web Interface\Version\Clients). Tous les
sites Web créés par le processus d'installation supposent que le serveur Web
contient les fichiers des plug-ins dans cette structure de répertoires.
 2 Déploiement de l'Interface Web 33

Si vous ne copiez pas les plug-ins sur le serveur Web durant l'installation,
sélectionnez Ignorer cette étape. Vous pouvez copier les plug-ins sur le
serveur ultérieurement.
7. Cliquez sur Suivant pour continuer, puis cliquez de nouveau sur Suivant
pour confirmer votre intention de commencer l'installation.
8. Une fois l'installation terminée, cliquez sur Terminer.
9. Ouvrez la console Access Management Console pour commencer à créer et
à configurer vos sites.
Après avoir installé l'Interface Web, vous pouvez commencer à gérer vos sites en
configurant et en exécutant le processus de découverte. Pour plus d'informations,
veuillez consulter la section « Configuration et exécution du processus de
découverte » à la page 45.

Compatibilité avec d'autres composants sur les plates-formes

Windows 64 bits
Sur les versions 64 bits de Windows Server 2003, l'installation de l'Interface Web
pour Microsoft Internet Information Services permet la prise en charge de
l'extension Web 32 bits dans IIS 6.0 et désactive la prise en charge de l'extension
64 bits. Si vous installez l'Interface Web pour Microsoft Internet Information
Services sur la version 64 bits de Windows Server 2003, vous devez installer
l'Interface Web avant tout autre logiciel Citrix, y compris XenApp, XenDesktop
et la console License Management Console. Cet ordre d'installation doit être
respecté car il permet aux produits de s'adapter à la prise en charge 32 bits dans
IIS 6.0. Si vous installez ces produits dans un ordre incorrect, il est possible lors
de l'accès au serveur Web que des messages d'erreur tels que « Service non
disponible » s'affichent.
Sur les systèmes d'exploitation Windows Server 64 bits, il est possible que
l'Interface Web pour Microsoft Internet Information Services ne soit pas
compatible avec des produits nécessitant des filtres ISAPI 64 bits, tels que le
composant Windows Proxy RPC sur HTTP. Vous devez désinstaller Proxy RPC
sur HTTP avant d'installer l'Interface Web.
Pour désinstaller Proxy RPC sur HTTP sur Windows Server 2008 éditions x64
1. Dans le menu Démarrer, cliquez sur Outils d'administration >
Gestionnaire de serveur.
2. Sélectionnez Fonctionnalités dans le panneau gauche.
3. Dans le menu Action, cliquez sur Supprimer les fonctionnalités.
4. Décochez la case Proxy RPC sur HTTP et cliquez sur Suivant.
5. Cliquez sur Supprimer pour désinstaller Proxy RPC sur HTTP, puis
redémarrez votre serveur.
34 Guide de l'administrateur Interface Web

Pour désinstaller Proxy RPC sur HTTP sur Windows Server 2003 éditions x64
1. À partir du menu Démarrer de Windows, cliquez sur Panneau de
configuration > Ajout/suppression de programmes.
2. Sélectionnez Ajouter ou supprimer des composants Windows.
3. Sélectionnez Services de mise en réseau puis cliquez sur Détails.
4. Sélectionnez la case Proxy RPC sur HTTP et cliquez sur OK.
5. Cliquez sur Suivant pour désinstaller Proxy RPC sur HTTP, puis
redémarrez votre serveur.

Installation de l'Interface Web sur des serveurs

d'application Java
Cette section décrit comment installer l'Interface Web sur Apache Tomcat. Pour
d'autres configurations, consultez la documentation accompagnant votre serveur
Web ainsi que toute documentation relative à l'outil d'administration du serveur.

Remarque : si vous installez l'Interface Web sur IBM WebSphere, un message

d'avertissement concernant la sécurité de l'application s'affiche, indiquant qu'un
problème s'est produit avec le contenu du fichier was.policy. Il s'agit d'un fichier
de stratégie créé par WebSphere lorsque vous sélectionnez Enforce Java 2
Security sous Security > Global Security. Modifiez le fichier was.policy
conformément à la stratégie de sécurité de WebSphere Java 2, sinon il se peut que
l'Interface Web ne fonctionne pas correctement. Ce fichier de stratégie est situé
dans WEBSPHERE_HOME/AppServer/installedApps/NodeName/
WARFileName.ear/META-INF.

L'Interface Web pour les serveurs d'application Java nécessite un moteur servlet
pour fonctionner. Pour prendre en charge l'Interface Web, le serveur Web Apache
exige un moteur de servlet supplémentaire, comme Tomcat (notez que Tomcat
peut être utilisé comme serveur Web autonome ou comme moteur de servlet).

Pour installer l'Interface Web sur Tomcat

1. Copiez le fichier WebInterface.jar à partir du répertoire Interface Web du
support d'installation sur un emplacement temporaire.
2. À partir d'une invite de commande, naviguez jusqu'au répertoire dans
lequel le fichier d'installation a été téléchargé et exécutez le programme
d'installation en tapant java -jar WebInterface.jar.
3. Appuyez sur Entrée pour lire le contrat de licence.
4. Entrez O pour accepter les termes du contrat de licence.
5. Sélectionnez un type de site dans la liste affichée.
 2 Déploiement de l'Interface Web 35

6. Spécifiez la configuration initiale pour le site en répondant aux questions

qui s'affichent à l'écran.
7. Un résumé des options sélectionnées s'affiche. Si les détails du site sont
corrects, tapez O pour créer le fichier .war.
Le fichier .war est créé et les plug-ins Citrix sont copiés à partir du support
d'installation, le cas échéant.
8. Suivez les instructions à l'écran afin de terminer l'installation du fichier
.war.

Configuration de la stratégie de sécurité sur les

serveurs Sun Java System Application Servers
Avant de pouvoir créer des sites XenApp Web configurés pour autoriser le libre-
service de compte sur Sun Java System Application Server, vous devez
configurer manuellement la stratégie de sécurité du serveur.

Pour configurer la stratégie de sécurité sur les serveurs Sun

Java System Application Servers
1. Déployez le fichier .war du site sur le serveur.
2. Arrêtez le serveur.
3. Modifiez le fichier Server.policy qui se trouve dans le répertoire de
configuration du domaine de déploiement. Par exemple, si Sun Java System
Application Server est installé sous SunJavaApplicationServerRoot/
AppServer et que le site est déployé dans « domain1 », le fichier se trouve
dans SunJavaApplicationServerRoot/AppServer/domains/domain1/config.
4. Ajoutez les entrées de configuration suivantes avant tout bloc générique :
grant codeBase "file:${com.sun.aas.instanceRoot}/applications/
j2ee-modules/NomFichierWAR/-" {
permission java.lang.RuntimePermission "getClassLoader";
permission java.lang.RuntimePermission "createClassLoader";
permission java.util.PropertyPermission
"java.protocol.handler.pkgs", "read, write";
};

WARFileName est la première partie du nom de fichier du fichier .war de

votre site, par exemple « XenApp ».
5. Modifiez le fichier .xml du dispositif de lancement dans
SunJavaApplicationServerRoot/ApplicationServer/lib pour ajouter
javax.wsdl à la liste des valeurs pour l'élément sysproperty
key="com.sun.enterprise.overrideablejavaxpackages".
36 Guide de l'administrateur Interface Web

6. Démarrez le serveur.

Installation à l'aide de la ligne de commande

Vous pouvez lancer des tâches de gestion de sites et d'installation sans
surveillance grâce à des scripts de ligne de commande. Pour plus d'informations
sur l'utilisation de la ligne de commande avec l'Interface Web, consultez le Centre
de connaissances sur le site http://support.citrix.com/.

Utilisation des packs de langue

Les packs de langue contiennent toutes les informations requises pour la
localisation des sites dans une langue particulière (anglais, français, allemand,
japonais, russe et espagnol), et notamment :
• les fichiers de ressources des sites ;
• l'aide utilisateur ;
• les images et icônes localisées.
Sur Windows, les packs de langue peuvent être ajoutés à l'installation de
l'Interface Web en copiant l'arborescence ou en décompressant les fichiers dans le
dossier \languages, qui se trouve généralement dans C:\Program Files
(x86)\Citrix\Web Interface\Version\languages. Pour personnaliser la langue d'un
site particulier, vous pouvez copier le pack de langue sur l'emplacement du site et
le modifier. Le site en question utilise ensuite le pack de langue ainsi modifié
alors que les autres sites continuent à utiliser les valeurs par défaut.

Remarque : pour afficher les messages d'erreur Windows dans la langue

appropriée sur IIS, vous devez installer le pack de langue approprié pour
Microsoft .NET Framework.

Sur les serveurs d'application Java, il est possible d'installer des packs de langue
supplémentaires ; pour ce faire, il vous faut les déplacer dans le répertoire
approprié du site et extraire les fichiers.
Le pack de langue anglaise est utilisé par défaut ; il doit toujours être présent sur
votre serveur. Les packs de langue sont spécifiques à la version de l'Interface Web
avec laquelle ils ont été fournis, ils ne peuvent donc pas être utilisés avec des
versions antérieures ou ultérieures. Pour plus d'informations sur l'utilisation des
packs de langue, reportez-vous au kit de développement de l'Interface Web.
 2 Déploiement de l'Interface Web 37

Suppression des packs de langue

Certains clients, tels que les machines Windows CE, ne peuvent pas afficher
certaines langues (le japonais, par exemple). Dans ce cas, la liste de sélection de
la langue figurant dans l'interface utilisateur affiche des carrés à la place des
langues indisponibles. Pour éviter ce problème, vous pouvez supprimer une
langue sur tous les sites ou uniquement sur certains d'entre eux.
Pour les sites sur IIS, supprimez Codedelangue.lang (par exemple, fr.lang) du
dossier \languages, qui se trouve généralement dans C:\Program Files
(x86)\Citrix\Web Interface\Version\languages. Vous supprimerez ainsi la langue
de tous les sites du serveur. Si vous souhaitez activer cette langue pour un site
particulier, déplacez le fichier .lang vers le dossier \languages correspondant à ce
site.
Pour les sites hébergés sur des serveurs d'application Java, après avoir créé un
fichier .war, ouvrez ce dernier à l'aide d'un outil approprié, supprimez le fichier
.lang et conditionnez-le à nouveau. Vous supprimez ainsi la langue des sites
déployés à partir de ce fichier .war.

Mise à niveau d'une installation existante

Vous pouvez mettre à niveau la version 4.0 ou ultérieure de l'Interface Web vers
la dernière version en installant l'Interface Web à partir du support d'installation
de XenApp ou XenDesktop ou à partir des fichiers de téléchargement disponibles
sur Internet.
Vous ne pouvez pas rétrograder vers une version antérieure de l'Interface Web.

Remarque : les sites configurés de manière centralisée et Participant invité de

Conferencing Manager ne sont plus pris en charge. Si vous mettez à niveau une
version de l'Interface Web antérieure, le programme d'installation supprimera les
sites Participant invité de Conferencing Manager existants de votre serveur Web.
Les sites configurés de manière centralisée seront mis à niveau et convertis afin
d'utiliser la configuration locale.
38 Guide de l'administrateur Interface Web

Résolution des problèmes liés à l'installation de

l'Interface Web
Sur les plates-formes Windows avec IIS, vous pouvez utiliser l'option Réparer
pour résoudre les problèmes liés à l'installation de l'Interface Web. Si l'option
Réparer ne permet pas de résoudre le problème, ou si cette option n'est pas
disponible (par exemple, sur les installations de serveur d'application Java),
essayez de désinstaller puis de réinstaller l'Interface Web. Pour plus
d'informations, veuillez consulter la section « Désinstallation de l'Interface Web »
à la page 38. Vous devez reconstituer tous vos sites après la réinstallation de
l'Interface Web.

Utilisation de l'option Réparer

Si vous rencontrez des difficultés avec l'installation de votre Interface Web,
essayez d’utiliser l’option Réparer pour résoudre le problème. L'option Réparer
réinstalle les fichiers communs, mais elle ne répare ou ne remplace pas les sites
existants.

Pour exécuter l’option Réparer à partir du fichier .exe

1. Cliquez deux fois sur le fichier WebInterface.exe.
2. Sélectionnez Réparer, puis cliquez sur Suivant.
3. Suivez les instructions à l'écran.

Désinstallation de l'Interface Web

Lorsque vous désinstallez l'Interface Web, tous les fichiers de l'Interface Web
sont supprimés, y compris le dossier \Clients. Par conséquent, si vous souhaitez
conserver des fichiers de l'Interface Web, copiez-les dans un autre emplacement
avant de désinstaller l'Interface Web.
Dans certains cas, il est possible que la désinstallation de l'Interface Web échoue
pour l'une des raisons suivantes :
• le programme de désinstallation dispose d’un accès insuffisant au Registre ;
• IIS a été supprimé du système après l’installation de l'Interface Web.
 2 Déploiement de l'Interface Web 39

Désinstallation de l'Interface Web sur Microsoft

Internet Information Services
Pour désinstaller l'Interface Web sur Microsoft Internet
Information Services
1. À partir du menu Démarrer de Windows, cliquez sur Panneau de
configuration > Programmes et fonctionnalités.
2. Sélectionnez Interface Web Citrix et cliquez sur Désinstaller.
3. Suivez les instructions à l'écran.

Désinstallation de l'Interface Web sur des

serveurs d'application Java
Si votre serveur Web est doté d'un outil vous permettant de désinstaller des
applications Web, suivez la procédure recommandée par le fabricant pour
désinstaller l'Interface Web. Vous pouvez également désinstaller l'Interface Web
manuellement.

Pour désinstaller l'Interface Web de Tomcat

1. À partir d'une invite de commande, naviguez jusqu'au répertoire dans
lequel vous aviez copié le fichier .war.
2. Arrêtez le serveur Web et supprimez le fichier .war.
Il peut également s'avérer nécessaire de supprimer le répertoire dans lequel
le fichier .war a été développé. Le nom du répertoire est en principe
identique au nom du fichier .war et se trouve dans le même répertoire. Par
exemple, le contenu du fichier « mysite.war » est copié dans un répertoire
appelé /mysite.

Remarque : lorsque vous désinstallez l'Interface Web, certains fichiers

peuvent rester sur le serveur. Pour de plus amples informations sur les
fichiers restants, veuillez consulter le fichier Lisez-moi de Citrix XenApp.
40 Guide de l'administrateur Interface Web
 3

Démarrage de l'Interface Web

Cette section explique comment configurer l'Interface Web à l'aide de la console

Access Management Console ou des fichiers de configuration de l'Interface Web.
Elle comporte les sections suivantes :
• Choix de la méthode de configuration
• Sources de configuration de site
• Configuration de sites au moyen de la console
• Configuration et exécution du processus de découverte
• Mise à niveau des sites existants
• Création de sites
• Définition des paramètres de configuration initiale d'un site
• Utilisation des tâches de site
• Rendre l'Interface Web accessible aux utilisateurs

Choix de la méthode de configuration

Vous pouvez configurer et personnaliser l'Interface Web en utilisant soit la
console Access Management Console soit les fichiers de configuration.

Utilisation de la console Access Management

Console
Vous pouvez utiliser la console Access Management Console afin de configurer
des sites créés sur des plates-formes Windows. La console Access Management
Console vous permet d'effectuer rapidement et facilement les tâches
d'administration quotidiennes. Vous pouvez par exemple utiliser la console pour
spécifier les paramètres que les utilisateurs peuvent sélectionner et pour
configurer l'authentification utilisateur à l'Interface Web. Votre configuration
devient effective lorsque vous effectuez des modifications à l'aide de la console.
42 Guide de l'administrateur Interface Web

Vous pouvez installer la console Access Management Console sur les machines
qui exécutent :
• Windows Server 2008 éditions x64
• Windows Server 2008
• Windows Server2003 x64Editions
• Windows Server2003 avec Service Pack 2
• Windows Server 2003 R2
• Windows Vista éditions 64 bits avec Service Pack 1
• Windows Vista éditions 32 bits avec Service Pack 1
• Windows XP Professional édition x64 avec Service Pack 2
• Windows XP Professional avec Service Pack 3

Remarque : vous devez vous assurer que .NET Framework 3.5 ou .NET
Framework 3.0 est installé sur l'ordinateur sur lequel vous installez la console
Access Management Console.

Pour plus d’informations sur la configuration de l’Interface Web à l’aide de la

console, consultez la section « Configuration de sites au moyen de la console » à
la page 44 ainsi que l'aide en ligne de la console.

Utilisation des fichiers de configuration

Vous pouvez modifier les fichiers de configuration suivants pour configurer les
sites Interface Web :
• Fichier de configuration de l'Interface Web. Le fichier de configuration
de l'Interface Web, WebInterface.conf, vous permet de modifier la plupart
des propriétés de l'Interface Web ; il est disponible sur Microsoft Internet
Information Services (IIS) et les serveurs d'application Java. Utilisez-le
pour effectuer les tâches d'administration quotidiennes et personnaliser de
nombreux autres paramètres. Modifiez les valeurs dans WebInterface.conf
et sauvegardez le fichier mis à jour pour appliquer les modifications. Pour
plus d'informations sur la configuration de l'Interface Web à l'aide du
fichier WebInterface.conf, veuillez consulter la section « Configuration de
sites à l'aide du fichier de configuration » à la page 149.
• Fichier de configuration du plug-in Citrix XenApp. Vous pouvez
configurer le plug-in Citrix XenApp à l'aide du fichier config.xml situé sur
le serveur Interface Web.
 3 Démarrage de l'Interface Web 43

Sources de configuration de site

L'Interface Web stocke la configuration des sites dans des fichiers locaux sur le
serveur Interface Web. Si vous utilisez la console Access Management Console
pour gérer les sites, vous devez installer la console sur le serveur Interface Web.
Dans les versions précédentes de l'Interface Web, le service de configuration
fournissait un mécanisme de récupération et de persistance des données de
configuration de site en les stockant dans un emplacement centralisé sur un des
serveurs de la batterie. Dans la dernière version de l'Interface Web, la
configuration centralisée n'est plus prise en charge. Si vous mettez à niveau une
version de l'Interface Web antérieure, le programme d'installation mettra à niveau
les sites configurés de manière centralisée et les convertira afin d'utiliser la
configuration locale. Par ailleurs, la console Access Management Console ne
découvre plus les sites configurés de manière centralisée. Pour pouvoir accéder à
vos sites configurés de manière centralisée à l'aide de la console, ils doivent être
convertis afin d'utiliser la configuration locale.

Configuration partagée
Pour les sites hébergés sur IIS, plutôt que d'utiliser la configuration centralisée,
vous pouvez spécifier qu'un site Interface Web obtienne sa configuration à partir
d'un site « maître » que vous avez configuré pour partager ses fichiers de
configuration sur le réseau. Une fois que vous avez défini les permissions de
fichier appropriées, vous pouvez autoriser les autres sites à partager la
configuration du site maître en spécifiant le chemin d'accès absolu au fichier de
configuration de site maître (WebInterface.conf) dans le fichier bootstrap.conf du
site local. Pour ce qui est des sites XenApp Services qui utilisent la configuration
partagée, l'Interface Web essaye également de lire le fichier de configuration du
plug-in Citrix XenApp (config.xml) à partir du même répertoire que celui spécifié
pour WebInterface.conf.
Lorsqu'un site a été modifié afin d'utiliser la configuration d'un fichier partagé,
vous ne pouvez plus gérer sa configuration directement. Vous devez modifier la
configuration du site maître à l'aide de la console ou en modifiant directement les
fichiers de configuration sur le serveur Web hébergeant le site maître. Toute
modification apportée à la configuration du site maître affecte tous les autres sites
qui partagent le fichier de configuration du site maître. La configuration partagée
n'est pas disponible pour les sites hébergés sur des serveurs d'application Java.
44 Guide de l'administrateur Interface Web

Pour partager des configurations de site

1. Configurez les permissions de partage de fichier appropriées pour autoriser
l'accès via le réseau au dossier \conf (il se trouve généralement dans
C:\inetpub\wwwroot\Citrix\nomdusite\conf) du site maître et au fichier de
configuration du site (WebInterface.conf), qui se trouve généralement dans
le dossier \conf. Pour ce qui est des sites maîtres XenApp Services, les
mêmes permissions doivent être configurées pour le fichier de
configuration du plug-in Citrix XenApp (config.xml), qui se trouve
généralement dans le dossier \conf du site.
2. À l'aide d'un éditeur de texte, ouvrez le fichier bootstrap.conf (il se trouve
généralement dans le dossier \conf) du site dont la configuration provient
du fichier de configuration partagé.
3. Modifiez le réglage du paramètre ConfigurationLocation afin de spécifier
le chemin d'accès au réseau absolu du fichier de configuration du site
maître, comme par exemple :
ConfigurationLocation=\\nomduserveur\nompartage\WebInterface.c
onf

Configuration de sites au moyen de la console

La console Access Management Console vous permet de créer et configurer des
sites XenApp Web et XenApp Services. Elle permet de modifier rapidement et
facilement un grand nombre de paramètres.
Lorsque vous utilisez la console, certains paramètres de l'Interface Web peuvent
être désactivés si leur valeur ne s'applique pas à la configuration actuelle et si la
valeur par défaut des paramètres correspondants est rétablie dans
WebInterface.conf. Citrix recommande de sauvegarder régulièrement les fichiers
WebInterface.conf et config.xml de vos sites.

Aide
Vous pouvez afficher l'aide de la console Access Management Console en
cliquant sur Aide > Rubriques d'aide ou en cliquant sur le bouton Aide qui se
trouve sur la barre d'outils. Vous pouvez également accéder à l'aide en ligne en
appuyant sur F1 ou en cliquant avec le bouton droit de la souris sur un nœud dans
le panneau de gauche et en sélectionnant Aide.
 3 Démarrage de l'Interface Web 45

Démarrage de la console Access Management

Console
Exécutez la console en cliquant sur Démarrer > Tous les programmes > Citrix
> Consoles de gestion > Access Management Console. Pour plus
d'informations sur la console Access Management Console, veuillez consulter le
Guide de l'administrateur Citrix XenApp.

Configuration et exécution du processus de découverte

Pour administrer l'Interface Web au moyen de la console Access Management
Console, vous devez exécuter la tâche de découverte sur la console. L'exécution
du processus de découverte établit des connexions avec vos batteries de serveurs.
Lorsque vous ouvrez la console pour la première fois, vous êtes invité à démarrer
le processus de découverte qui consiste à sélectionner les composants souhaités,
configurer la découverte et rechercher des éléments à gérer.
L'assistant Configurer et exécuter la découverte vous permet de spécifier dans
quels produits vous souhaitez que le processus de découverte recherche de
nouveaux éléments et les détails des batteries exécutant XenApp et Desktop
Delivery Controller.
Exécutez ensuite le processus de découverte seulement si vous souhaitez
découvrir un nouveau produit ou si des éléments ont été ajoutés ou supprimés
dans votre déploiement.

Remarque : après avoir installé la dernière version de la console Access

Management Console, vous ne pourrez plus découvrir les sites configurés de
manière centralisée. Pour éviter ce problème, convertissez vos sites configurés
centralement afin qu'ils utilisent la configuration locale avant d'installer la
dernière version de la console.

Pour configurer et exécuter le processus de

découverte
1. Dans le menu Démarrer de Windows, cliquez sur Tous les programmes >
Citrix > Consoles de gestion > Access Management Console.
2. Dans la page Bienvenue de l'assistant Configurer et exécuter la découverte,
cliquez sur Suivant. Si cette page ne s'affiche pas automatiquement,
cliquez sur Configurer et exécuter la découverte.
3. Sur la page Sélectionner les produits ou les composants, veillez à ce que
la case Interface Web soit sélectionnée et cliquez sur Suivant.
46 Guide de l'administrateur Interface Web

4. Sur la page Gestion de site, cliquez sur Suivant.

5. Sur la page Afficher la découverte, cliquez sur Suivant.
6. Si l'assistant Configurer et exécuter la découverte ne se ferme pas
automatiquement, cliquez sur Terminer.
Après avoir exécuté le processus de découverte, vous pouvez utiliser la console
Access Management Console pour créer de nouveaux sites. Vous pouvez créer
des sites uniquement à l'aide de la console installée sur le serveur Interface Web.
Une fois la découverte terminée, les sites existants apparaissent sous le nœud
Interface Web dans le panneau de gauche. Vous pouvez maintenant créer des
sites et administrer les sites existants.

Création de sites
Après avoir exécuté le processus de découverte, vous pouvez utiliser la console
pour créer des sites afin de fournir aux utilisateurs un accès aux ressources
publiées à l'aide d'un navigateur Web ou du plug-in Citrix XenApp.

Création de sites sur Microsoft Internet

Information Services
Utilisez la tâche Créer un site pour créer l'un des sites suivants :
• XenApp Web. Pour les utilisateurs qui accèdent aux ressources publiées à
l'aide d'un navigateur Web.
• XenApp Services. Pour les utilisateurs qui accèdent aux ressources
publiées à l'aide du plug-in Citrix XenApp.
Utilisez cette tâche pour indiquer l'emplacement d'IIS dans lequel le site est
hébergé, l'adresse URL d'application des modifications et les paramètres
d'authentification du site. Vous pouvez mettre à jour ces paramètres plus tard à
l'aide de Tâches du site local. Pour pouvoir créer des sites, vous devez être un
administrateur local sur le système exécutant la console Access Management
Console.

Pour créer un site

1. Cliquez sur Interface Web dans le panneau de gauche.
2. Cliquez sur Créer un site.
3. Sélectionnez le type de site à créer.
4. Spécifiez l'adresse URL du site.
5. Suivez les instructions affichées à l'écran pour créer le site.
 3 Démarrage de l'Interface Web 47

6. Cliquez sur Terminer.

Création de sites sur des serveurs d'application

Java
Sur les serveurs d'application Java, exécutez le programme d'installation de
l'Interface Web avant de créer chaque site. Le programme d'installation génère un
fichier .war personnalisé pour le site qu'il faut ensuite installer (en plaçant ce
fichier dans l'emplacement adéquat pour le moteur de servlet). Vous pouvez
modifier des sites en modifiant le contenu du fichier .war décompressé, ou en
supprimer en effaçant le fichier .war.

Spécification du point d'authentification

Lorsque vous créez un site XenApp Web à l'aide de la console, vous devez
spécifier un point d'authentification ; ce dernier correspond à l'emplacement dans
votre déploiement où s'effectue l'authentification utilisateur.

Authentification à l'Interface Web

Vous pouvez autoriser les utilisateurs à s'authentifier à l'Interface Web à l'aide de
plusieurs méthodes d'authentification intégrées, dont l'authentification explicite,
l'authentification unique et l'authentification par carte à puce. Pour de plus amples
informations sur les méthodes d'authentification à l'Interface Web, consultez la
section « Configuration de l'authentification pour l'Interface Web » à la page 69.

Authentification sur un compte de partenaire

Active Directory Federation Services
Vous pouvez autoriser le partenaire de ressource d'un déploiement Active
Directory Federation Services (ADFS) à lancer des applications XenApp. Cela
vous permet de fournir aux utilisateurs un accès aux applications publiées sur le
partenaire de ressource.
Si vous envisagez de créer des sites ADFS incorporés, tenez compte de ce qui
suit :
• XenDesktop ne prend pas en charge l'authentification ADFS.
• La prise en charge d'ADFS n'est pas disponible avec l'Interface Web pour
les serveurs d'application Java.
• Le client pour Java et le logiciel Connexion au Bureau à distance ne
prennent pas en charge l'accès aux sites intégrés ADFS.
48 Guide de l'administrateur Interface Web

• Les sites ADFS incorporés prennent en charge l'authentification à l'aide

d'ADFS uniquement. Les autres méthodes d'authentification ne sont pas
prises en charge.
• Après la création d'un site ADFS incorporé, vous ne pouvez pas configurer
le site pour utiliser l'authentification incorporée ou l'authentification par
Access Gateway à la place d'ADFS.
Pour plus d'informations, veuillez consulter la section « Configuration de la prise
en charge d'Active Directory Federation Services pour l'Interface Web » à la
page 175.

Authentification sur Access Gateway

Vous pouvez autoriser l'authentification et l'authentification unique des
utilisateurs via Access Gateway édition Advanced ou Enterprise. L'accès des
utilisateurs aux ressources publiées est contrôlé par l'utilisation de conditions et
de stratégies de contrôle d'accès.
Par défaut, l'authentification unique est activée pour les utilisateurs qui accèdent à
l'Interface Web à l'aide d'Access Gateway. Les utilisateurs qui ouvrent une
session à l'aide d'Access Gateway n'ont pas besoin de se réauthentifier à
l'Interface Web pour accéder à leurs ressources publiées. Pour renforcer la
sécurité, vous pouvez désactiver l'authentification unique en cochant la case
Inviter les utilisateurs à entrer leurs mots de passe avant d'afficher les
ressources publiées.
Vous pouvez à tout moment mettre à jour ces paramètres à l'aide de la tâche
Gérer la méthode d'accès.
 3 Démarrage de l'Interface Web 49

Déploiement recommandé pour Access Gateway

La configuration recommandée pour un déploiement d'Access Gateway édition
Advanced en conjonction avec l'Interface Web est illustrée ci-dessous.

Ce graphique illustre le déploiement recommandé pour le déploiement d'Access Gateway

édition Advanced avec l'Interface Web.
Dans ce déploiement, XenApp/Desktop Delivery Controller, l'Interface Web et
Advanced Access Control (un composant d'Access Gateway édition Advanced)
sont tous installés sur des serveurs du réseau interne. Le boîtier Access Gateway
est installé dans la zone démilitarisée (DMZ). Pour Access Gateway édition
Advanced, une instance de l'Agent d'ouverture de session est installée en même
temps qu'Advanced Access Control. L'Agent d'ouverture de session fournit
l'interface utilisateur pour l'ouverture de session sur un serveur de votre batterie.
La configuration d'un déploiement typique faisant appel à Access Gateway
édition Enterprise est similaire au diagramme ci-dessus, sauf qu'aucun serveur
n'est nécessaire pour exécuter le logiciel Advanced Access Control. Dans ce cas,
le boîtier Access Gateway est installé dans la DMZ et communique directement
avec le serveur Web situé dans le réseau interne.
Lorsque des utilisateurs ouvrent une session, ils sont identifiés par Access
Gateway et dirigés vers leurs ressources publiées qui sont soumises aux stratégies
d'accès que vous avez configurées.
50 Guide de l'administrateur Interface Web

Mise à disposition des ressources publiées auprès des

utilisateurs
Grâce à Access Gateway, les utilisateurs ouvrent une session sur un point
d'ouverture de session pour accéder à leurs ressources publiées. Pour rendre les
ressources publiées accessibles aux utilisateurs, configurez un point d'ouverture
de session pour fournir un accès à un site XenApp Web.
Access Gateway fournit plusieurs méthodes d'intégration des sites XenApp Web
créés avec l'Interface Web, parmi lesquels :
• Site XenApp Web intégré à l'interface d'accès. Lorsque l'interface d'accès
est sélectionnée comme page d'accueil par défaut, un site XenApp Web
s'affiche à côté des partages de fichiers, des centres d'accès et des
applications Web.
Cette option est disponible seulement si vous exécutez Citrix Access
Gateway 4.2 avec Advanced Access Control.
• Site XenApp Web configuré comme page d'accueil par défaut pour un point
d'ouverture de session. Après avoir ouvert une session, le site XenApp Web
est présenté aux utilisateurs.
Cette option est disponible uniquement si vous exécutez Access Gateway
Enterprise 4.0 avec la correction à chaud Access Gateway Enterprise
AAC400W001 ou Citrix Access Gateway 4.2 avec Advanced Access
Control ou version supérieure.

Pour intégrer un site XenApp Web

1. Configurez XenApp ou Desktop Delivery Controller de façon à
communiquer avec Access Gateway.
2. Dans Access Gateway, créez une ressource Web pour le site XenApp Web
avec les paramètres suivants :
• Sélectionnez Interface Web Citrix 4.2 ou version ultérieure
comme type d'application.
• Cochez la case Publier à l'attention des utilisateurs dans leur liste
de ressources.
3. Définissez les paramètres de stratégie appropriés pour la ressource Web
référençant le site XenApp Web.
 3 Démarrage de l'Interface Web 51

4. Fournissez l'accès au site XenApp Web de l'une des manières suivantes :

• Si vous voulez afficher le site en tant que page d'accueil par défaut,
configurez un point d'ouverture de session afin d'afficher l'application
avec la priorité d'affichage la plus haute en tant que page d'accueil.
Configurez ensuite le site XenApp Web comme application avec la
priorité la plus haute.
• Si vous voulez intégrer le site à l'interface d'accès, configurez un
point d'ouverture de session afin d'afficher l'interface d'accès en tant
que page d'accueil. Le site XenApp Web est intégré sous la forme
d'un repère dans l'interface d'accès.

Remarque : l'interface d'accès à Access Gateway ne pouvant

afficher qu'un seul site XenApp Web (ressources Web configurées
avec le type d'application Interface Web4.2 ou version ultérieure),
vous ne devez configurer qu'une seule ressource Web de ce type.

Pour plus d'informations sur cette procédure, consultez le Guide de

l'administrateur Citrix Access Gateway.
Procédez comme suit pour l'Interface Web.
1. Sélectionnez Sur Access Gateway lorsque vous spécifiez le point
d'authentification du site.
2. Entrez l'URL du service d'authentification d'Access Gateway dans le champ
Adresse URL du service d'authentification.
Dans l'Interface Web et Access Gateway, assurez-vous que les paramètres de
contrôle de l'espace de travail et d'expiration de session sont correctement
configurés.

Coordination des paramètres de l'Interface Web et Access

Gateway
Certains paramètres de XenApp et XenDesktop peuvent être configurés dans
l'Interface Web et Access Gateway. Cependant, étant donné qu'un site XenApp
Web intégré à Access Gateway peut être référencé par plusieurs points
d'ouverture de session, il est possible qu'un point d'ouverture de session intègre
un site XenApp Web dans son interface d'accès alors qu'un autre point d'ouverture
de session affiche ce site comme sa page d'accueil par défaut. Cela peut
provoquer des conflits avec certains paramètres de ressources publiées.
Pour vous assurer que vos paramètres fonctionnent comme prévu, veuillez suivre
les instructions ci-dessous :
52 Guide de l'administrateur Interface Web

• Contrôle de l'espace de travail. Désactivez tous les paramètres de

contrôle de l'espace de travail Access Gateway pour les points d'ouverture
de session qui possèdent un site XenApp Web comme page d'accueil. Cela
garantit l'utilisation des paramètres configurés dans l'Interface Web. Tous
les autres points d'ouverture de session peuvent posséder un contrôle de
l'espace de travail configuré de la manière souhaitée.
• Temporisation de session. Assurez-vous que tous les points d'ouverture de
session utilisent les mêmes paramètres que le site XenApp Web.

Authentification sur un tiers utilisant Kerberos

Vous pouvez utiliser un produit de fédération tierce ou d'authentification unique
pour authentifier les utilisateurs et mapper leurs identités avec celles des comptes
utilisateur Active Directory. Kerberos peut ensuite être utilisé pour
l'authentification unique à l'Interface Web. Pour plus d'informations concernant
Kerberos, veuillez consulter le Guide de l'administrateur Citrix XenApp.

Authentification sur le serveur Web

Vous pouvez autoriser l'authentification des utilisateurs sur le serveur Web à l'aide
de Kerberos. Pour plus d'informations concernant Kerberos, veuillez consulter le
Guide de l'administrateur Citrix XenApp.

Définition des paramètres de configuration initiale d'un

site
Après avoir créé un site avec la console, vous pouvez spécifier les paramètres de
configuration initiale en sélectionnant la case Configurer ce site maintenant sur
la dernière page de l'assistant Créer un site. Utilisez l'assistant Spécifier la
configuration initiale pour configurer la communication avec un ou plusieurs
serveurs et spécifier les types de ressources publiées mises à la disposition des
utilisateurs.

Spécification de batteries de serveurs

Lorsque vous configurez un nouveau site, vous devez entrer les détails des
batteries de serveurs qui fourniront les ressources publiées aux utilisateurs du site.
Vous pouvez à tout moment mettre à jour ces paramètres à l'aide de la tâche
Gérer les batteries de serveurs. Pour plus d'informations sur la configuration de
la communication avec les batteries de serveurs, consultez la section « Gestion
des serveurs et des batteries » à la page 59.
 3 Démarrage de l'Interface Web 53

Spécification de méthodes d'authentification

Lorsque vous configurez un site XenApp Web créé avec le point
d'authentification Sur l'Interface Web, vous pouvez spécifier la méthode utilisée
par les utilisateurs pour ouvrir une session Interface Web.
Vous pouvez à tout moment mettre à jour ces paramètres à l'aide de la tâche
Configurer les méthodes d'authentification. Pour des informations
complémentaires sur la configuration de l'authentification, consultez la section
« Configuration de l'authentification pour l'Interface Web » à la page 69.

Spécification de restrictions de domaine

Lorsque vous configurez un site XenApp Web créé avec le point
d'authentification Sur l'Interface Web, vous pouvez restreindre l'accès des
utilisateurs dans certains domaines.
Vous pouvez à tout moment mettre à jour ces paramètres à l'aide de la tâche
Configurer les méthodes d'authentification. Pour des informations
complémentaires sur la configuration des restrictions de domaine, consultez la
section « Configuration des paramètres de restriction de domaine » à la page 71.

Spécification de l'apparence de l'écran Ouvrir une

session
Lorsque vous configurez un nouveau site XenApp Web, vous pouvez spécifier le
style de l'écran Ouvrir une session. Vous avez le choix entre une configuration
simplifiée où seuls les champs d'ouverture de session appropriés s'affichent et une
configuration comprenant la barre de navigation.
Vous pouvez à tout moment mettre à jour ce paramètre à l'aide de la tâche
Personnaliser l'affichage du site Web. Pour des informations complémentaires
sur la personnalisation de l'apparence de l'interface utilisateur, consultez la
section « Personnalisation de l'affichage pour les utilisateurs » à la page 117.

Spécification des types de ressources publiées

mises à la disposition des utilisateurs
Lorsque vous configurez un nouveau site, vous devez spécifier les types de
ressources publiées que vous souhaitez rendre disponibles. L'Interface Web
permet aux utilisateurs d'accéder aux ressources publiées (applications, contenu
et bureaux) grâce à un navigateur Web ou au plug-in Citrix XenApp. L'intégration
à la fonction de streaming d'application permet aux utilisateurs de livrer des
applications en streaming sur leur bureau et de les lancer localement.
54 Guide de l'administrateur Interface Web

Vous pouvez autoriser les utilisateurs à accéder aux ressources publiées comme
suit :
• Hébergées. Les utilisateurs accèdent aux applications, contenus et bureaux
hébergés sur des serveurs distants.
• Livrées en streaming. Les utilisateurs livrent en streaming des
applications sur leurs bureaux pour les ouvrir localement.
• Mode double. Les utilisateurs livrent en streaming des applications sur
leurs bureaux et les virtualisent à partir de serveurs distants. Si aucune
application livrée en streaming n'est disponible, les versions hébergées des
applications sont utilisées, lorsque cela est possible.
Vous pouvez à tout moment mettre à jour ce paramètre à l'aide de la tâche Gérer
les types de ressources publiées. Pour des informations complémentaires sur les
types de plug-ins Citrix, consultez la section « Gestion du déploiement des plug-
ins » à la page 97.

Mise à niveau des sites existants

Si vous mettez à niveau une version antérieure de l'Interface Web (version 4.0 et
supérieure), la mise à niveau des sites est prise en charge (à l'exception des sites
Participant invité de Conferencing Manage).

Remarque : les sites Participant invité de Conferencing Manager ne sont plus

pris en charge. Si vous mettez à niveau une version de l'Interface Web antérieure,
le programme d'installation supprimera les sites Participant invité de
Conferencing Manager existants de votre serveur Web.

Les sites Access Platform/XenApp Web et Services de l'Agent Program

Neighborhood/XenApp Services existants sont traités comme suit :
• Sites configurés localement. Lors de l'installation, le processus
d'installation de l'Interface Web met automatiquement à niveau la dernière
version des sites configurés localement. Après avoir exécuté la découverte,
ces sites sont immédiatement disponibles.
• Sites groupés et configurés de manière centralisée. Durant l'installation,
le programme d'installation de l'Interface Web convertit automatiquement
les sites groupés et configurés de manière centralisée afin d'utiliser la
configuration locale. Les sites convertis sont ensuite mis à niveau vers la
dernière version.
 3 Démarrage de l'Interface Web 55

Utilisation des tâches de site

Pour configurer un site, sélectionnez-le sous le nœud Interface Web de la
console Access Management Console et utilisez les tâches disponibles dans le
volet des tâches. Vous pouvez également cliquer avec le bouton droit de la souris
sur le nom d'un site et sélectionner des tâches dans le menu contextuel.
Les tâches disponibles pour chaque type de site figurent dans le volet des tâches.
L'exécution des tâches se fait au moyen d'assistants ou d'options dans des boîtes
de dialogue. Pour exécuter une tâche, cliquez sur son nom dans le volet des tâches
ou cliquez avec le bouton droit de la souris sur le site à configurer et sélectionnez
une tâche dans le menu contextuel.
Certaines tâches ne sont disponibles que pour certains types de sites et
configurations. Le tableau ci-dessous dresse la liste des tâches disponibles pour
chaque type de site.

Tâche Sites XenApp Web Sites XenApp Services Site ADFS

intégrés
Hébergées et Streaming Hébergées et Streaming
mode double uniquement mode double uniquement
Modifier les options de session *
Configurer les méthodes * * * *
d'authentification
Contrôler la journalisation des * * * * *
diagnostics
Personnaliser l'apparence du site * * *
Web
Modifier le proxy côté client * * *
Modifier les paramètres d'accès * * *
sécurisé
Tâches du site local * * * * *
Gérer la méthode d'accès * * *
Gérer l'actualisation des ressources * *
publiées
Gérer les raccourcis * *
Gérer les types de ressources * * * * *
publiées
Gérer le déploiement du plug-in * * *
Gérer les batteries de serveurs * * * * *
Gérer les réglages du serveur * *
Gérer les préférences de session * * *
56 Guide de l'administrateur Interface Web

Tâche Sites XenApp Web Sites XenApp Services Site ADFS

intégrés
Hébergées et Streaming Hébergées et Streaming
mode double uniquement mode double uniquement
Contrôler l'espace de travail * *

Utilisation des tâches de site local

Utilisez Tâches du site local pour spécifier le mode d'hébergement des sites par
IIS et pour réparer ou désinstaller les sites.

Hébergement de Microsoft Internet Information Services

Utilisez la tâche Gérer l'hébergement IIS pour modifier l'emplacement de votre
site Interface Web sur IIS.

Réparation et désinstallation de sites

Utilisez les tâches Réparer le site et Désinstaller le site pour réparer et
supprimer des sites. La désinstallation d'un site entraîne sa suppression complète
du système ; vous n'êtes alors plus en mesure d'exécuter des tâches sur ce site.

Remarque : si vous exécutez la tâche Réparer le site alors que des images et
des scripts personnalisés ont été créés pour le site, ces fichiers personnalisés sont
supprimés. Ils sont également supprimés si vous utilisez la tâche Gérer
l'hébergement IIS. Avant d'utiliser l'une de ces tâches, Citrix vous recommande
donc de sauvegarder tous les fichiers que vous avez créés.

Rendre l'Interface Web accessible aux utilisateurs

Une fois l'Interface Web installée et configurée, communiquez l'adresse URL de
l'écran Ouvrir une session à vos utilisateurs. Si ces derniers souhaitent ajouter
cette page aux Favoris de leurs navigateurs, Citrix conseille d'utiliser le signet
http://nomduserveur/chemindusite sans indiquer de page particulière (telle que
login.aspx).
Sur les serveurs d'application Java, le chemin d'accès au site (portion de l'adresse
URL située après le nom d'hôte et le port) est déterminé par le moteur de servlet.
Si vous installez le fichier .war dans le moteur de servlet, vous pouvez modifier
ce chemin. En règle générale, la valeur par défaut est /NomFichierWAR où
NomFichierWAR est la première partie du nom de fichier du fichier .war de votre
site.
 3 Démarrage de l'Interface Web 57

Accès direct à un site

Si un utilisateur accède à un site directement ou via Access Gateway édition
Enterprise, vous pouvez activer la prise en charge de l'adresse URL de la
ressource publiée. Cette fonctionnalité permet aux utilisateurs de créer des liens
persistants vers les ressources publiées accessibles par l'Interface Web. Ces liens
peuvent être ajoutés à la liste de raccourcis de l'utilisateur ou à son bureau. Pour
activer la prise en charge des adresses URL des ressources publiées, cliquez sur
Gérer la méthode d'accès et sélectionnez la case Permettre l'accès aux
ressources publiées à l'aide des signets de navigateur.

Remarque : l'activation de cette fonctionnalité désactive la protection contre

les attaques de type Cross-Site Request Forgery (CSRF).

Définition de l'écran Ouvrir une session comme

page par défaut sur Microsoft Internet Information
Services
Vous pouvez définir l'écran Ouvrir une session de l'Interface Web comme la
page par défaut pour les utilisateurs du serveur Web, afin que l'URL soit http://
nomserveur/. Pour ce faire, sélectionnez la case Définir comme page par défaut
du site IIS lors de la création d'un site ou à n'importe quel moment dans la tâche
Gérer l'hébergement IIS.
58 Guide de l'administrateur Interface Web
 4

Gestion des serveurs et des

batteries

Cette section décrit comment configurer l'Interface Web pour communiquer avec
vos batteries de serveurs. Elle décrit également comment configurer et gérer les
paramètres des serveurs et activer l'équilibrage de charge entre les serveurs
exécutant le service XML Citrix. Elle comporte les sections suivantes :
• Gestion de batteries de serveurs
• Gestion des paramètres de serveur

Gestion de batteries de serveurs

Grâce à la tâche Gérer les batteries de serveurs, vous pouvez configurer
l'Interface Web pour communiquer avec une ou plusieurs batteries. Les
utilisateurs doivent disposer d'un compte leur permettant de s'authentifier auprès
de chaque batterie spécifiée dans cette tâche. Sous Windows, si les batteries se
trouvent dans des domaines différents, vous devez activer une approbation
bidirectionnelle entre ces domaines. Dans le cas d'une batterie sous UNIX,
chaque utilisateur doit disposer du même nom d'utilisateur et mot de passe pour
toutes les batteries dans le déploiement. Si le nom d'utilisateur et le mot de passe
ne peuvent pas être authentifiés auprès de toutes les batteries définies, les
utilisateurs reçoivent un message d'erreur indiquant que leurs informations
d'identification ne sont pas valides.
60 Guide de l'administrateur Interface Web

La fonction de prise en charge de plusieurs batteries de serveurs s’effectue en

toute transparence pour les utilisateurs, car ils ne sont pas informés que leur série
de ressources est un regroupement de plusieurs batteries de serveurs. L'affichage
des ressources publiées (applications, contenu et bureaux) provenant de plusieurs
batteries de serveurs est similaire à celui d'une batterie unique ; les dossiers et
icônes sont groupés indépendamment de la batterie qui fournit une ressource
publiée. Par conséquent, les ressources publiées portant le même nom dans
plusieurs batteries de serveurs s'affichent arbitrairement dans la série de
ressources de l'utilisateur. Citrix vous conseille donc de vérifier que les noms des
ressources publiées sont uniques dans les batteries de serveurs, en publiant, par
exemple, des ressources dans des dossiers portant des noms différents.
Avant d'afficher des ressources publiées, l'Interface Web reçoit des données de
ressources provenant de toutes les batteries de serveurs, et chaque batterie est
contactée dans l'ordre où elle figure dans le fichier de configuration du site. Une
batterie de serveurs répondant lentement aura donc des conséquences sur la
réactivité générale, lors de l’obtention de séries de ressources.

Considérations sur le changement de mot de

passe
S'il existe des différences parmi vos batteries de serveurs, des problèmes
supplémentaires peuvent empêcher les utilisateurs de changer de mot de passe.
Par exemple :
• La stratégie de domaine peut empêcher les utilisateurs de modifier leur mot
de passe.
• Lorsque des batteries XenApp pour UNIX sont regroupées sur un site
unique avec des batteries XenApp pour Windows et/ou Desktop Delivery
Controller, seul le mot de passe Windows peut être modifié.
Dans ces cas-là, Citrix vous conseille de désactiver le changement de mot de
passe par l’utilisateur.
Si vous regroupez plusieurs batteries, assurez-vous que la première batterie
répertoriée dans le fichier de configuration du site exécute Presentation Server 4.0
ou une version supérieure, ou Desktop Delivery Controller.
 4 Gestion des serveurs et des batteries 61

Si nécessaire, vous pouvez activer le changement de mot de passe dans un

déploiement mixte de batteries de serveurs. L'Interface Web contacte les batteries
de serveurs dans l’ordre dans lequel elles sont définies, jusqu’à ce qu’une batterie
de serveurs signale que le mot de passe a été modifié avec succès. Le processus
est alors interrompu. Cela vous permet de spécifier la batterie de serveurs à
laquelle la demande de changement de mot de passe est émise. Si la requête de
changement de mot de passe échoue, la batterie de serveurs suivante dans la liste
reçoit la requête de changement de mot de passe. Pour conserver la cohérence
entre les mots de passe des utilisateurs, utilisez des mécanismes de réplication de
mots de passe appropriés entre les batteries de serveurs.

Configuration des paramètres des serveurs

Les paramètres des serveurs sont configurés pour chaque batterie de serveurs.
Pour afficher et configurer les paramètres des batteries de serveurs, sélectionnez
la tâche Gérer les batteries de serveurs. Cette tâche vous permet de créer et de
modifier des noms de batteries, ainsi que d'indiquer l'ordre dans lequel les
serveurs exécutant le service Citrix XML sont utilisés pour l'équilibrage de
charge. Vous pouvez également configurer les paramètres d'une batterie donnée,
tels que les ports de serveurs XML et SSL ainsi que les types de transport.

Pour ajouter une batterie de serveur

1. Cliquez sur Gérer les batteries de serveurs.
2. Cliquez sur Ajouter.
3. Entrez un nom pour la batterie de serveurs dans le champ Nom de batterie.
4. Dans la zone Paramètres de serveur, cliquez sur Ajouter pour spécifier
un nom de serveur. Pour modifier un nom de serveur, sélectionnez le nom
dans la liste, puis cliquez sur Modifier. Pour supprimer un nom de serveur,
sélectionnez-le et cliquez sur Supprimer.
5. Si vous spécifiez plus d'un nom de batterie, sélectionnez un nom dans la
liste et cliquez sur les boutons Déplacer vers le haut ou Déplacer vers le
bas pour le placer dans l'ordre de basculement approprié.
6. Cliquez sur OK pour terminer.

Configuration de la tolérance de panne

L'Interface Web offre une tolérance de panne entre les serveurs exécutant le
service XML Citrix. Si une erreur se produit lors d'une communication avec un
serveur, l'Interface Web ne contacte pas ce serveur tant que le délai indiqué dans
le champ Ignorer tout serveur en échec pour ne s'est pas écoulé et les
communications se poursuivent avec les serveurs restants de la liste Serveurs.
62 Guide de l'administrateur Interface Web

Par défaut, tout serveur défectueux est ignoré pendant une heure. Si aucun des
serveurs présents dans la liste ne répond, l'Interface Web tente de les recontacter
toutes les 10 secondes.
Pour configurer la tolérance aux défauts
1. Cliquez sur Gérer les batteries de serveurs.
2. Cliquez sur Ajouter si vous ajoutez une batterie ou sélectionnez un nom
dans la liste et cliquez sur Modifier pour configurer une batterie existante.
3. Dans la liste Serveurs, classez les serveurs par ordre de priorité.
Sélectionnez un nom dans la liste et utilisez les boutons Déplacer vers le
haut et Déplacer vers le bas pour placer les serveurs dans l'ordre
approprié.
4. Modifiez la période de temps pendant laquelle un serveur défectueux est
ignoré dans la boîte de dialogue Ignorer tout serveur en échec pour.

Activation de l'équilibrage de charge entre les serveurs

Vous pouvez activer l'équilibrage de charge entre les serveurs exécutant le service
XML Citrix. L'activation de l'équilibrage de charge vous permet de distribuer
équitablement les connexions entre ces serveurs afin qu'aucun serveur ne soit
surchargé. Par défaut, l'équilibrage de charge est activé.
Si une erreur se produit lors d'une communication avec un serveur, la charge de
toute communication ultérieure est équilibrée parmi les serveurs restants dans la
liste. Le serveur défaillant est ignoré pour une période de temps donnée (par
défaut, une heure), mais vous pouvez modifier ce paramètre en renseignant la
zone Ignorer tout serveur en échec pour.
Pour activer l'équilibrage de charge
1. Cliquez sur Gérer les batteries de serveurs.
2. Cliquez sur Ajouter si vous ajoutez une batterie ou sélectionnez un nom
dans la liste et cliquez sur Modifier pour configurer une batterie existante.
3. Dans la liste Serveurs, ajoutez les serveurs que vous souhaitez utiliser pour
l'équilibrage de charge. Pour plus d'informations sur l'ajout de serveurs,
consultez la section « Configuration des paramètres des serveurs » à la
page 61.
4. Sélectionnez la case Utiliser la liste des serveurs pour l'équilibrage de
charge.
5. Modifiez la période de temps pendant laquelle un serveur défectueux est
ignoré dans la boîte de dialogue Ignorer tout serveur en échec pour.
 4 Gestion des serveurs et des batteries 63

Configuration des paramètres pour tous les

serveurs d'une batterie
Vous pouvez utiliser la tâche Gérer les batteries de serveurs pour spécifier la
méthode utilisée par le service Citrix XML pour transporter des données entre
l'Interface Web et le serveur exécutant XenApp ou Desktop Delivery Controller.
Le service XML Citrix est un composant de XenApp et Desktop Delivery
Controller qui agit comme point de contact entre la batterie de serveurs et le
serveur Interface Web. Par défaut, le numéro de port correspond à la valeur entrée
lors de la création d'un site. Ce numéro de port doit correspondre au port utilisé
par le service XML Citrix.
Par ailleurs, vous pouvez indiquer la durée d'expiration du ticket généré par le
serveur. La fonctionnalité de ticket améliore la sécurité de l'authentification pour
les ouvertures de session explicites en éliminant les informations d'identification
de l'utilisateur des fichiers .ica envoyés depuis le serveur Web vers les machines
clientes.
Par défaut, chaque ticket de l'Interface Web a une durée d'expiration de 200
secondes. Vous pouvez modifier la durée de vie du ticket si vous souhaitez, par
exemple, adapter ce délai aux performances de votre réseau, car les tickets ayant
expiré ne permettent pas d'authentifier des utilisateurs auprès de la batterie de
serveurs. Si vous modifiez l’adresse ou les adresses IP d’un serveur exécutant le
service XML Citrix, les tickets ne fonctionnent que si vous redémarrez le serveur.
Après toute modification de ce type, veillez par conséquent à redémarrer le
serveur.

Pour spécifier les paramètres pour tous les serveurs

1. Cliquez sur Gérer les batteries de serveurs.
2. Cliquez sur Ajouter si vous ajoutez une batterie ou sélectionnez un nom
dans la liste et cliquez sur Modifier pour configurer une batterie existante.
3. Dans la zone Paramètres de communication, entrez le numéro de port
dans le champ Port du service XML. Ce numéro de port doit correspondre
au port utilisé par le service XML Citrix.
4. Sous Type de transport, sélectionnez l'une des options suivantes :
• HTTP. Permet d'envoyer des données via une connexion HTTP
standard. Utilisez cette option si vous avez prévu d'autres dispositions
pour la sécurité de ce lien.
• HTTPS. Permet d'envoyer des données via une connexion HTTP
sécurisée à l'aide du protocole SSL (Secure Socket Layer) ou TLS
(Transport Layer Security). Vous devez vous assurer que le service
XML Citrix est défini pour partager son port avec IIS et qu'IIS a été
configuré pour prendre HTTPS en charge.
64 Guide de l'administrateur Interface Web

• Relais SSL. Permet de transmettre des données via une connexion

sécurisée qui utilise le Relais SSL sur un serveur exécutant XenApp
ou Desktop Delivery Controller pour effectuer l'authentification de
l’hôte et le cryptage de données.
5. Si vous utilisez le Relais SSL, spécifiez le port TCP du Relais SSL dans le
champ Port du relais SSL (le port par défaut est le port 443). L'Interface
Web utilise les certificats racine lors de l'authentification d'un serveur
exécutant le Relais SSL. Assurez-vous que tous les serveurs exécutant le
Relais SSL sont configurés pour utiliser le même numéro de port.

Remarque : si vous utilisez le Relais SSL ou HTTPS, assurez-vous que

les noms de serveur spécifiés correspondent aux noms du certificat du
serveur exécutant XenApp ou Desktop Delivery Controller.

6. Pour configurer la fonctionnalité de ticket, cliquez sur Paramètres de

ticket.
7. Entrez la durée de vie des tickets pour Citrix XenApp Plugin pour
applications hébergées dans les champs Durée de vie de ticket ICA.
8. Entrez la durée de vie des tickets pour Citrix XenApp Plugin pour
applications en streaming dans les champs Durée de vie du ticket de
streaming.
9. Cliquez sur OK pour enregistrer vos paramètres.

Spécification des paramètres de serveur avancés

À l'aide de la boîte de dialogue Paramètres avancés, vous pouvez activer le
regroupement de sockets et la redirection du contenu, spécifier la durée
d'expiration du service XML Citrix et spécifier le nombre de tentatives de
connexion au service XML Citrix effectuées avant que la connexion ne soit
considérée comme défectueuse.

Activation du regroupement de sockets

Lorsque le regroupement de sockets est activé, l'Interface Web conserve un
groupe de sockets, au lieu de créer une socket chaque fois qu'elle en a besoin et de
la renvoyer au système d'exploitation dès que la connexion est fermée.
L'activation de cette fonction permet d'améliorer les performances, plus
particulièrement pour les connexions SSL.
Le regroupement de sockets est uniquement disponible pour les sites créés avec
les points d'authentification Sur l'Interface Web ou Sur Access Gateway. Le
regroupement de sockets ne doit pas être utilisé lorsque l'Interface Web est
configurée de manière à utiliser un ou plusieurs serveurs exécutant XenApp pour
UNIX.
 4 Gestion des serveurs et des batteries 65

Pour activer le regroupement de sockets

1. Dans la boîte de dialogue Gérer les batteries de serveurs, cliquez sur
Avancé.
2. Dans la zone Regroupement de sockets, sélectionnez la case à cocher
Activer le regroupement de sockets.

Activation de la redirection de contenu

Vous pouvez utiliser le paramètre Activer la redirection de contenu pour activer
et désactiver la redirection de contenu du plug-in vers le serveur pour les sites
XenApp Services individuels. Ce paramètre annule tous les paramètres de
redirection de contenu configurés pour XenApp.
Lorsque vous activez la redirection de contenu du plug-in vers le serveur, les
utilisateurs exécutant le plug-in Citrix XenApp ouvrent le contenu publié et les
fichiers locaux avec des applications publiées sur les serveurs. Par exemple, un
utilisateur du plug-in Citrix XenApp qui reçoit une pièce jointe dans un logiciel
de courrier électronique exécuté localement ouvre la pièce jointe dans une
application publiée. Lorsque vous désactivez la redirection de contenu, les
utilisateurs ouvrent le contenu publié et les fichiers locaux avec des applications
installées localement.
Par défaut, la redirection de contenu est activée du plug-in vers le serveur pour les
sites XenApp Services.
La configuration de la redirection de contenu du plug-in vers le serveur s'effectue
en associant les applications publiées à des types de fichiers. Pour plus
d'informations sur l'association à des types de fichiers, veuillez consulter le Guide
de l'administrateur Citrix XenApp.
Pour activer la redirection de contenu
1. Dans la boîte de dialogue Gérer les batteries de serveurs, cliquez sur
Avancé.
2. Dans la zone Redirection du contenu, sélectionnez la case à cocher
Activer la redirection du contenu.

Configuration des communications avec le service XML Citrix

Par défaut, la communication avec le service XML Citrix doit être établie en
moins d'une minute et elle est considérée comme défectueuse au bout de cinq
tentatives infructueuses. Vous pouvez modifier ces paramètres en changeant les
valeurs par défaut.
Pour configurer les communications avec le service XML Citrix
1. Dans la boîte de dialogue Gérer les batteries de serveurs, cliquez sur
Avancé.
66 Guide de l'administrateur Interface Web

2. Pour configurer la durée d'expiration de délai du service XML Citrix,

saisissez les valeurs appropriées dans les boîtes de dialogue Expiration de
délai de la socket.
3. Pour spécifier le nombre de tentatives de communication avec le service
XML Citrix avant qu'elle ne soit considérée comme ayant échoué et qu'elle
ne soit ignorée, entrez la valeur dans le champ Tentatives de
communication avec le service XML.

Gestion des paramètres de serveur

Utilisez la tâche Gérer les réglages du serveur pour configurer le mode de
communication du plug-in Citrix XenApp avec un site et spécifier si, en cas
d'échec, les utilisateurs sont redirigés ou non vers des sites similaires.

Configuration des paramètres de communication

avec le serveur
Utilisez les paramètres de communication avec le serveur pour :
• Activer la communication SSL/TLS. L'ouverture de session par carte à
puce et les communications SSL/TLS sécurisées entre le plug-in et le
serveur Interface Web ne sont pas activées par défaut. Vous pouvez activer
la communication SSL/TLS à partir de cette boîte de dialogue ; les adresses
URL devront alors appliquer automatiquement le protocole HTTPS. En
outre, vous devez activer SSL sur le serveur exécutant XenApp ou Desktop
Delivery Controller.
• Autoriser l'utilisateur à personnaliser l'adresse URL du serveur.
L'adresse URL du serveur dirige le plug-in Citrix XenApp vers le fichier de
configuration approprié. Le chemin par défaut est déterminé par l'adresse
du serveur entrée durant l'installation. Vous pouvez autoriser les utilisateurs
à modifier l'adresse URL, ce qui active la case Adresse URL du serveur
sur la page Options du serveur de la boîte de dialogue Options du plug-in
Citrix XenApp.
• Configurer l'actualisation automatique. Vous pouvez définir la fréquence
à laquelle le plug-in doit actualiser ses paramètres de configuration.

Pour configurer les paramètres de communication avec le

serveur
1. Cliquez sur Gérer les réglages du serveur.
2. Pour sécuriser les communications entre le plug-in Citrix XenApp et un
site, sélectionnez Utiliser SSL/TLS pour les communications entre les
plug-ins et ce site.
 4 Gestion des serveurs et des batteries 67

3. Pour autoriser les utilisateurs à personnaliser l'adresse URL qui dirige le

plug-in Citrix XenApp vers le fichier de configuration approprié,
sélectionnez Autoriser les utilisateurs à personnaliser l'adresse URL du
serveur.
4. Pour configurer la fréquence à laquelle le plug-in Citrix XenApp actualise
ses paramètres de configuration, sélectionnez Programmer une
actualisation automatique chaque et entrez la période d'actualisation en
heures, jours, semaines ou années.

Définition des adresses URL de secours du plug-

in Citrix XenApp
Vous pouvez spécifier des serveurs de secours à contacter pour le plug-in Citrix
XenApp si le serveur de l'Interface Web principal n'est pas disponible. Utilisez les
paramètres de secours disponibles dans la boîte de dialogue Gérer les réglages
du serveur afin de spécifier les adresses URL des serveurs de secours. Dans
l'éventualité d'une défaillance du serveur, les utilisateurs sont automatiquement
connectés au serveur de secours spécifié préalablement dans la liste Chemins de
sites de secours. Si le serveur échoue, le plug-in Citrix XenApp tente de
contacter le serveur suivant dans la liste.

Remarque : toutes les adresses URL de secours doivent pointer vers des sites
qui sont hébergés sur le même type de serveur Web que le site principal. Par
exemple, si le site principal est un site Interface Web pour Microsoft Internet
Information Services, chaque site de secours doit également être un site Interface
Web pour Microsoft Internet Information Services.

Pour spécifier des adresses URL de secours

1. Cliquez sur Gérer les réglages du serveur.
2. Cliquez sur Secours.
3. Cliquez sur Ajouter.
4. Entrez l'adresse URL du site auquel les utilisateurs sont connectés dans le
champ Adresse URL de secours. Vous pouvez définir un maximum de
cinq adresses URL de secours par site.
5. L’utilisateur sélectionne OK.
6. Si vous spécifiez plusieurs adresses URL de secours, sélectionnez une
adresse URL dans la liste, puis cliquez sur Déplacer vers le haut ou
Déplacer vers le bas pour les placer dans l'ordre approprié pour le
basculement.
68 Guide de l'administrateur Interface Web

Configuration de la redirection de site

Utilisez les paramètres de redirection pour définir le moment où les utilisateurs
sont redirigés vers un site différent. Par exemple, vous créez un nouveau site pour
votre DRH et souhaitez rediriger tous les utilisateurs de l'ancien site vers le
nouveau site sans qu'ils aient à entrer l'adresse URL manuellement. Vous pouvez
spécifier les détails du nouveau site dans la boîte de dialogue Redirection de site.
Les utilisateurs sont redirigés vers le nouveau site immédiatement ou la prochaine
fois qu'ils démarrent le plug-in Citrix XenApp.

Pour configurer la redirection de site

1. Cliquez sur Gérer les réglages du serveur.
2. Cliquez sur Redirection.
3. Choisissez l'une des options suivantes :
• Si vous ne voulez pas configurer la redirection du site, sélectionnez
Ne pas rediriger.
• Si vous voulez rediriger immédiatement les utilisateurs vers un site
similaire, sélectionnezRediriger lorsque la configuration du plug-
in Citrix XenApp est actualisée.
• Si vous voulez rediriger les utilisateurs vers un site similaire lors du
prochain lancement du plug-in, sélectionnez Rediriger au prochain
démarrage du plug-in Citrix XenApp.
4. Entrez l'adresse URL du site de remplacement dans le champ Adresse
URL de redirection.
5. L’utilisateur sélectionne OK.
 5

Configuration de l'authentification
pour l'Interface Web

Cette section décrit les méthodes d'authentification mises à la disposition des

utilisateurs de l'Interface Web. Elle explique également comment configurer
l'authentification entre l'Interface Web, XenApp/XenDesktop et le plug-in Citrix
XenApp.
Cette section contient les rubriques suivantes :
• Méthodes d'authentification
• Configuration de l'authentification
• Configuration de l'authentification à deux facteurs

Méthodes d'authentification
L'authentification s'effectue lorsqu'un utilisateur accède à des ressources publiées
(applications, contenu et bureaux). Si l'authentification réussit, la série de
ressources de l'utilisateur s'affiche.
Vous pouvez configurer les méthodes d'authentification suivantes pour l'Interface
Web :
• Explicite (sites XenApp Web) ou invite (sites XenApp Services). Pour
ouvrir une session, les utilisateurs doivent fournir un nom d'utilisateur et un
mot de passe. Le nom UPN (nom d'utilisateur principal), l'authentification
de domaine Microsoft et NDS (Novell Directory Services) sont disponibles.
Dans le cas des sites XenApp Web, l'authentification RSA SecurID et
l'authentification SafeWord sont également disponibles.

Remarque : l'authentification Novell n'est pas disponible avec l'Interface

Web pour les serveurs d'application Java et n'est pas prise en charge par
XenDesktop. L'installation de Novell eDirectory n'est pas prise en charge
sur Windows Server 2008.
70 Guide de l'administrateur Interface Web

• Authentification unique. Les utilisateurs peuvent s'authentifier à l'aide des

informations d'identification qu'ils ont fournies en ouvrant une session sur
leur bureau Windows physique. Les utilisateurs n'ont pas à entrer ces
informations à nouveau. De plus, leurs ressources s'affichent
automatiquement. Vous pouvez également utiliser l'authentification
Windows intégrée Kerberos pour la connexion aux batteries de serveurs. Si
vous spécifiez l'option d'authentification Kerberos et qu'elle échoue,
l'authentification unique échoue également et les utilisateurs ne peuvent pas
ouvrir de session. Pour plus d'informations concernant Kerberos, veuillez
consulter le Guide de l'administrateur Citrix XenApp.
• Authentification unique avec carte à puce. Les utilisateurs peuvent
s'authentifier en insérant une carte à puce dans un lecteur de carte à puce
connecté à la machine cliente. Si les utilisateurs ont installé le plug-in Citrix
XenApp, ils sont invités à entrer le code secret de la carte à puce pour
ouvrir une session sur la machine cliente. Une fois la session ouverte, les
utilisateurs peuvent accéder à leurs ressources publiées sans avoir à rouvrir
de session. Les utilisateurs qui se connectent à des sites XenApp Web ne
sont pas invités à entrer un code secret. Si vous configurez un site XenApp
Services, vous pouvez utiliser l'authentification Windows Kerberos
intégrée pour vous connecter à l'Interface Web et les cartes à puce pour
l'authentification sur la batterie de serveurs. Si vous spécifiez l'option
d'authentification Kerberos et qu'elle échoue, l'authentification unique
échoue également et les utilisateurs ne peuvent pas ouvrir de session. Pour
plus d'informations concernant Kerberos, veuillez consulter le Guide de
l'administrateur Citrix XenApp.

Remarque : en raison des améliorations de sécurité introduites dans

Windows Vista, les utilisateurs de cartes à puce qui exécutent Vista doivent
fournir leur code secret lorsqu'ils lancent une application, même si vous
avez activé l'authentification unique par carte à puce.

• Carte à puce. Les utilisateurs peuvent s'authentifier au moyen d'une carte à

puce. L'utilisateur est invité à entrer le code secret de la carte à puce.

Remarque : les méthodes d'authentification unique, d'authentification

unique avec carte à puce et d'authentification par carte à puce ne sont pas
disponibles avec l'Interface Web pour les serveurs d'application Java.

• Anonyme. Les utilisateurs anonymes peuvent ouvrir une session sans

fournir de nom d'utilisateur ni de mot de passe et accéder à des ressources
publiées à leur intention.
 5 Configuration de l'authentification pour l'Interface Web 71

Remarque : les utilisateurs anonymes peuvent obtenir des tickets Secure

Gateway, même s'ils n'ont pas été authentifiés par l'Interface Web. Or,
Secure Gateway utilise l'Interface Web pour émettre des tickets uniquement
pour les utilisateurs authentifiés, ce qui, en matière de sécurité, compromet
l’un des avantages que constitue l'utilisation de Secure Gateway.

Remarque : XenDesktop ne prend pas en charge les utilisateurs

anonymes.

Recommandations relatives à l'authentification

Si vous prévoyez d'activer l'authentification unique, l'authentification unique
avec carte à puce ou l'authentification par carte à puce, prenez ce qui suit en
compte :
• Si les utilisateurs ouvrent des sessions sur leurs ordinateurs à l'aide
d'informations d'identification explicites, n'activez pas l'authentification par
carte à puce ou l'authentification unique avec carte à puce pour les
utilisateurs qui accèdent à l'Interface Web.
• Si les utilisateurs ouvrent des sessions sur leurs ordinateurs à l'aide de
cartes à puce et que vous souhaitez activer l'authentification unique,
sélectionnez l'option permettant d'utiliser l'authentification Kerberos.
Si vous modifiez les méthodes d’authentification à l'Interface Web, il est possible
que les utilisateurs qui ont ouvert une session reçoivent des messages d’erreur. Si
certains de ces utilisateurs accèdent à l'Interface Web à l'aide d'un navigateur
Web, ils doivent fermer et redémarrer leur navigateur avant de rouvrir une
session.

Configuration de l'authentification
Utilisez la tâche Configurer les méthodes d'authentification pour configurer
les différentes méthodes d'authentification des utilisateurs sur XenApp,
XenDesktop et le plug-in Citrix XenApp.

Configuration des paramètres de restriction de

domaine
Utilisez la page Restriction de domaine pour restreindre l'accès des utilisateurs à
des sites depuis des domaines spécifiques.
72 Guide de l'administrateur Interface Web

Pour configurer les paramètres de restriction de domaine

1. Cliquez sur Configurer les méthodes d'authentification.
2. Cliquez sur Propriétés.
3. Sélectionnez Restriction de domaine.
4. Indiquez si vous souhaitez restreindre ou non l'accès des utilisateurs à des
domaines sélectionnés. Choisissez parmi les modes suivants :
• Si vous ne souhaitez pas restreindre l'accès en fonction des domaines,
sélectionnez Autoriser tous les domaines.
• Si vous souhaitez restreindre l'accès des utilisateurs à des domaines
sélectionnés, sélectionnez Restreindre aux domaines suivants.
5. Cliquez sur Ajouter.
6. Entrez le nom des domaines que vous souhaitez ajouter à la liste de
restriction de domaine dans la boîte de dialogue Domaine d'ouverture de
session.

Remarque : pour restreindre l'accès à des utilisateurs provenant de

domaines spécifiques, vous devez entrer les mêmes noms de domaine dans
les listes Restriction de domaine et Restriction UPN. Pour plus
d'informations, veuillez consulter la section « Configuration du type
d'authentification » à la page 73.

7. L’utilisateur sélectionne OK.

Configuration de l'ouverture de session

automatique
Utilisez la page Ouverture de session automatique pour configurer les
paramètres d'ouverture de session automatique des utilisateurs qui utilisent
l'authentification unique, l'authentification unique avec carte à puce ou
l'authentification par carte à puce pour accéder à leurs ressources publiées.
Si l'authentification anonyme est la seule méthode d'authentification que les
utilisateurs sont autorisés à utiliser, une session est ouverte quels que soient les
paramètres configurés par l'administrateur ou l'utilisateur.

Pour configurer les paramètres d'ouverture de session

automatique
1. Cliquez sur Configurer les méthodes d'authentification.
2. Cliquez sur Propriétés.
 5 Configuration de l'authentification pour l'Interface Web 73

3. Sélectionnez Ouverture de session automatique.

4. Spécifiez si les utilisateurs sont autorisés à ouvrir une session
automatiquement et s'ils ont la possibilité d'activer ou de désactiver
l'ouverture de session automatique sur l'écran Paramètres de compte.
5. L’utilisateur sélectionne OK.

Configuration du type d'authentification

Si vous utilisez l'authentification explicite ou par invite, utilisez la page Type
d'authentification pour indiquer si les utilisateurs doivent s'authentifier à l'aide
de Windows ou de Novell Directory Services (NDS).

Pour configurer le type d'authentification

1. Cliquez sur Configurer les méthodes d'authentification.
2. Cliquez sur Propriétés.
3. Sélectionnez Type d'authentification.
4. Sélectionnez le type d’authentification que les utilisateurs explicites
doivent utiliser :
• Si vous souhaitez utiliser soit l'authentification de domaine Microsoft
soit l'authentification UNIX, sélectionnez Windows ou NIS (UNIX).
Voir la section « Pour utiliser l'authentification de domaine » à la
page 73.
• Si vous voulez utiliser l'authentification NDS, sélectionnez NDS.
Voir la section « Pour utiliser l'authentification Novell Directory
Services » à la page 74.

Pour utiliser l'authentification de domaine

1. Indiquez le format des informations d'identification à utiliser pour
l'ouverture des sessions utilisateur. Choisissez l'une des options suivantes :
• Pour permettre aux utilisateurs d'entrer leurs informations d'ouverture
de session, que ce soit sous la forme d'un nom UPN ou d'un nom
d'utilisateur de domaine, sélectionnez Nom d'utilisateur de
domaine et UPN.
• Pour indiquer aux utilisateurs qu'ils doivent entrer leurs informations
d'ouverture de session sous la forme d'un nom d'utilisateur de
domaine uniquement, sélectionnez Nom d'utilisateur de domaine
uniquement.
74 Guide de l'administrateur Interface Web

• Pour indiquer aux utilisateurs qu'ils doivent entrer leurs informations

d'ouverture de session sous la forme d'un nom UPN, sélectionnez
UPN uniquement.
2. Cliquez sur Paramètres.
3. Dans la zone Affichage de domaines, configurez les paramètres suivants :
• affichage ou masquage du champ Domaine sur l'écran Ouvrir une
session ;
• pré-remplissage du champ Domaine avec une liste de domaines dans
laquelle les utilisateurs font un choix ou saisie manuelle d'une valeur
par l'utilisateur dans le champ Domaine ;

Remarque : si, lors d'une ouverture de session, un utilisateur reçoit

un message d'erreur « Vous devez spécifier au moins un domaine »,
cela peut signifier qu'un champ de domaine est vide. Pour résoudre
ce problème, sélectionnez Masquer la case de domaine. Si votre
batterie contient uniquement des serveurs XenApp pour UNIX,
sélectionnez Pré-rempli dans la liste déroulante Liste de domaines
et ajoutez UNIX comme nom de domaine.

• domaines que vous souhaitez voir apparaître dans la case Domaine

sur l'écran Ouvrir une session.
4. Dans la zone Restriction UPN, configurez les paramètres suivants :
• acceptation ou non de tous les suffixes UPN (Noms d'utilisateurs
principaux). Par défaut, tous les suffixes UPN sont autorisés ;
• sélection des suffixes UPN à accepter.

Remarque : pour restreindre l'accès à des utilisateurs provenant de

domaines spécifiques, vous devez entrer les mêmes noms de domaine
dans les listes Restriction de domaine et Restriction UPN. Pour
plus d'informations, veuillez consulter la section « Configuration des
paramètres de restriction de domaine » à la page 71.

Pour utiliser l'authentification Novell Directory Services

1. Entrez un nom dans le champ Arborescence par défaut.
2. Cliquez sur Paramètres et configurez une restriction de contexte ou une
authentification sans contexte.
 5 Configuration de l'authentification pour l'Interface Web 75

Remarque : par défaut, eDirectory ne fournit pas d'accès de connexion

anonyme à l'attribut cn, nécessaire à l'ouverture de session sans contexte.
Pour plus d'informations sur la reconfiguration de eDirectory, veuillez
consulter le site http://developer.novell.com/wiki/index.php/
Developer_Home.

3. Pour les sites XenApp Services, sélectionnez Utiliser les informations

d'identification Windows si vous voulez que les utilisateurs du plug-in
Citrix XenApp (qui ont installé le client Novell) utilisent leurs informations
d'identification Windows pour l'authentification unique.

Activation de l'authentification explicite

Si l'authentification explicite est activée, les utilisateurs doivent disposer d'un
compte utilisateur et fournir les informations d'identification appropriées pour
ouvrir une session.
Vous pouvez modifier les paramètres d'authentification explicite à l'aide de la
console. Vous pouvez, par exemple, indiquer si les utilisateurs sont autorisés à
modifier leur mot de passe dans une session.
L'authentification explicite est disponible pour les sites XenApp Web
uniquement.

Pour activer l'authentification explicite

1. Cliquez sur Configurer les méthodes d'authentification.
2. Cochez la case Explicite.
3. Cliquez sur Propriétés pour configurer d'autres paramètres
d'authentification explicite.

Configuration des paramètres de mot de passe

Utilisez la page Paramètres de mot de passe pour configurer les options de
changement de mot de passe et d'expiration du mot de passe des utilisateurs.
Certains paramètres de mot de passe sont affectés par d'autres paramètres
d'authentification configurés pour un site :
• L'option À tout moment est désactivée si vous sélectionnez les options
RSA SecurID et Utiliser l'intégration de mot de passe Windows dans la
page Authentification à deux facteurs.
76 Guide de l'administrateur Interface Web

• Sélectionner l'option Utiliser les paramètres de rappel de la stratégie de

groupe Active Directory peut signifier que les paramètres de rappel sont
configurés selon votre stratégie Windows actuelle. Si aucune période de
rappel n'a été définie pour votre stratégie Windows actuelle, les utilisateurs
ne recevront aucun message les invitant à modifier leur mot de passe actuel
avant que celui-ci n'expire.

Pour configurer les paramètres de mot de passe

1. Sélectionnez Paramètres de mot de passe.
2. Si vous souhaitez que les utilisateurs puissent changer leur mot de passe au
cours d'une session Interface Web, sélectionnez la case à cocher Autoriser
les utilisateurs à changer de mot de passe.
3. Pour spécifier le moment où les utilisateurs peuvent changer de mot de
passe, choisissez l'une des options suivantes.
• Pour permettre aux utilisateurs de modifier leur mot de passe quand
celui-ci expire, sélectionnez l'option Seulement lors de l'expiration.
Avec cette option, si les utilisateurs ne parviennent pas à ouvrir une
session sur l'Interface Web parce que leur mot de passe a expiré, ils
sont redirigés vers la boîte de dialogue Modifier le mot de passe.
Après avoir changé de mot de passe, les utilisateurs sont connectés
automatiquement à l'aide du nouveau mot de passe.
• Pour permettre aux utilisateurs de modifier leur mot de passe aussi
souvent qu'ils le souhaitent, sélectionnez À tout moment. Lorsque
vous sélectionnez cette option, le bouton Modifier le mot de passe
apparaît sur l'écran Applications et Paramètres de compte des
utilisateurs. Lorsque les utilisateurs cliquent sur ce dernier, une boîte
de dialogue dans laquelle les utilisateurs peuvent saisir leur nouveau
mot de passe apparaît.
4. Pour configurer un message de rappel informant les utilisateurs que leur
mot de passe va bientôt expirer, choisissez l'une des options suivantes :
• Si vous ne souhaitez pas notifier les utilisateurs avant que leur mot de
passe expire, sélectionnez Ne pas effectuer de rappel.
• Pour utiliser les paramètres de rappel de la stratégie Windows,
sélectionnez Utiliser les paramètres de rappel de la stratégie de
groupe Active Directory.
• Pour rappeler aux utilisateurs que leur mot de passe va expirer dans
un nombre défini de jours, sélectionnez l'option Utiliser un
paramètre de rappel personnalisé. Spécifiez le nombre de jours,
semaines ou années dans les boîtes de dialogue Rappeler aux
utilisateurs avant expiration.
 5 Configuration de l'authentification pour l'Interface Web 77

Activation de l'authentification à deux facteurs

Utilisez la page Authentification à deux facteurs pour activer l'authentification
à deux facteurs pour les utilisateurs, si nécessaire.

Pour activer l'authentification à deux facteurs

1. Sélectionnez Authentification à deux facteurs.
2. Sélectionnez le type d'authentification à deux facteurs que vous souhaitez
utiliser dans la liste Paramètre à deux facteurs.
Pour plus d'informations sur la configuration de l'authentification Aladdin
SafeWord, RSA SecurID et RADIUS, consultez la section « Configuration de
l'authentification à deux facteurs » à la page 89.

Configuration du libre-service de compte

L'intégration à la fonctionnalité de libre-service de compte disponible sur
Password Manager permet aux utilisateurs de réinitialiser leur mot de passe
réseau et de déverrouiller leur compte en répondant à une série de questions de
sécurité.

Remarque : lors de l'installation de Password Manager, vous indiquez quels

utilisateurs sont autorisés à réinitialiser leur mot de passe et à déverrouiller leur
compte. Si vous activez ces fonctionnalités pour l'Interface Web, il se peut que les
utilisateurs ne soient pas autorisés à réaliser ces tâches en fonction des paramètres
configurés dans Password Manager.

Seuls les utilisateurs qui accèdent à l'Interface Web à l'aide de connexions HTTPS
peuvent utiliser le libre-service de compte. Si des utilisateurs tentent d'accéder à
l'Interface Web à l'aide d'une connexion HTTP, le libre-service de compte ne sera
pas disponible.
Le libre-service de compte ne prend pas en charge l'ouverture de session à l'aide
d'un nom UPN, tel que nomd'[email protected].
Avant de configurer le libre-service de compte pour un site, vous devez vous
assurer que :
• Le site est configuré pour utiliser une authentification explicite basée sur
les systèmes d'exploitation Windows.
• Le site est configuré pour utiliser un seul service Password Manager. Si
l'Interface Web est configurée pour utiliser de nombreuses batteries au sein
d'un même domaine ou de plusieurs domaines de confiance, Password
Manager doit être configuré pour accepter les informations d'identification
de tous ces domaines.
78 Guide de l'administrateur Interface Web

• Le site est configuré pour permettre aux utilisateurs de changer leur mot de
passe à n'importe quel moment, dans le cas où vous activez la
fonctionnalité de réinitialisation du mot de passe.
• Pour les déploiements comprenant Access Gateway, le site est configuré
pour autoriser l'accès direct des utilisateurs. Le libre-service de compte
n'est pas disponible pour les sites accessibles à l'aide d'Advanced Access
Control.
• Pour les déploiements comprenant Access Gateway, le site est configuré
pour utiliser HTTPS lorsqu'il se connecte à l'Interface Web. Ceci est
nécessaire car les informations rassemblées durant le processus de libre-
service de compte peuvent être envoyées depuis Access Gateway vers
l'Interface Web sous forme de texte clair. Pour de plus amples informations,
consultez le Guide de l'administrateur Citrix Access Gateway.

Considérations sur la stratégie de sécurité

L'activation du libre-service de compte sur un site révèle des fonctions de sécurité
sensibles à toute personne pouvant accéder à ce site. Si votre site est accessible
depuis Internet, il n'existe aucune restriction sur les personnes pouvant avoir
accès à ces fonctions. Si votre organisation possède une stratégie de sécurité qui
restreint les fonctions de gestion de compte utilisateur à un usage interne
uniquement, vous devez vous assurer que votre site n'est pas accessible en-dehors
de votre réseau interne.

Pour configurer le libre-service de compte

1. Sélectionnez Libre-service de compte.
2. Spécifiez si vous souhaitez ou non que les utilisateurs puissent réinitialiser
leurs mots de passe ou déverrouiller leurs comptes.
3. Saisissez l'adresse URL de Password Manager dans la boîte de dialogue
Adresse URL du service Password Manager.

Activation de l'authentification par invite

Si l'authentification par invite est activée, les utilisateurs doivent disposer d'un
compte utilisateur et fournir les informations d'identification appropriées pour
ouvrir une session.
L'authentification explicite est disponible pour les sites XenApp Services
uniquement.
 5 Configuration de l'authentification pour l'Interface Web 79

Pour activer l'authentification par invite

1. Cliquez sur Configurer les méthodes d'authentification.
2. Cochez la case Invite.
3. Cliquez sur Propriétés pour configurer d'autres paramètres
d'authentification par invite.

Configuration des paramètres de mot de passe

Utilisez la page Paramètres de mot de passe pour indiquer si les utilisateurs sont
autorisés à enregistrer leur mot de passe et pour configurer les options de
modification de mot de passe mises à la disposition des utilisateurs.

Pour configurer les paramètres de mot de passe

1. Sélectionnez Paramètres de mot de passe.
2. Pour permettre aux utilisateurs d'enregistrer leur mot de passe, sélectionnez
l'option Autoriser l'enregistrement du mot de passe.
3. Si vous souhaitez que les utilisateurs puissent changer leur mot de passe
lorsque ce dernier expire, sélectionnez la case Autoriser les utilisateurs à
changer les mots de passe expirés en contactant.
4. Spécifiez le chemin par lequel la demande de modification de mot de passe
est acheminée en choisissant l'une des options suivantes :
• Si vous souhaitez autoriser les utilisateurs du plug-in Citrix XenApp
à modifier leur mot de passe en se connectant directement au
contrôleur de domaine, sélectionnez Contrôleur de domaine
directement. Il s'agit de l'option la plus sécurisée, car la requête de
modification du mot de passe, au lieu de passer par l'Interface Web et
XenApp/Desktop Delivery Controller, est acheminée directement
depuis le plug-in Citrix XenApp vers le contrôleur de domaine.
• Si vous préférez autoriser les utilisateurs du plug-in Citrix XenApp à
modifier leur mot de passe en se connectant directement au
contrôleur de domaine, mais que vous souhaitez également autoriser
les connexions via l'Interface Web et XenApp/Desktop Delivery
Controller lorsque la méthode de connexion préférée échoue,
sélectionnez Contrôleur de domaine directement, avec retour vers
la batterie de serveur.
80 Guide de l'administrateur Interface Web

• Si vous souhaitez autoriser les utilisateurs du plug-in Citrix XenApp

à modifier leur mot de passe en se connectant au contrôleur de
domaine par l'intermédiaire de l'Interface Web et XenApp/Desktop
Delivery Controller, sélectionnez Batterie de serveurs. Cette option
garantit la mise à niveau des mots de passe de l'Interface Web et de
XenApp et/ou Desktop Delivery Controller lorsqu'ils sont modifiés
par les utilisateurs. Toutefois, cette option est potentiellement moins
sûre car le nouveau mot de passe est routé par un plus grand nombre
de connexions réseau.
 5 Configuration de l'authentification pour l'Interface Web 81

Activation de l'authentification unique

Grâce à la console, vous pouvez activer l'authentification unique pour les
utilisateurs qui ouvrent une session sur leur bureau physique à l'aide de leur nom
d'utilisateur, de leur mot de passe et des informations d'identification de domaine.
Cette fonction leur permet de s'authentifier à l'aide des informations
d'identification qu'ils ont fournies en ouvrant une session sur leur bureau
Windows physique. Les utilisateurs n'ont pas à entrer ces informations à nouveau.
De plus, leurs ressources s'affichent automatiquement.
La section suivante décrit la configuration requise pour l'authentification par carte
à puce et explique la procédure à suivre pour activer la prise en charge de ce type
d'authentification.

Configuration requise pour l'authentification

unique
Pour utiliser la fonctionnalité d'authentification unique, l'Interface Web doit être
exécutée sur IIS et les utilisateurs doivent exécuter Internet Explorer. Lorsqu'IIS
7.0 est exécuté Windows Server 2008, assurez-vous que le service de rôle
Serveur Web > Sécurité > Authentification Windows est activé pour le rôle
Serveur Web (IIS).

Remarque : si vos serveurs exécutent des versions antérieures à Citrix

MetaFrame XP Feature Release 2, les utilisateurs peuvent visualiser toutes les
applications publiées ainsi que le contenu lorsqu'ils utilisent l'authentification
unique.

Si les utilisateurs utilisent des clients pour Windows antérieurs à la version 6.30 et
que le cryptage ICA (SecureICA) est activé, l'authentification unique ne peut pas
être utilisée. Pour activer ce type d'authentification avec le Cryptage ICA, vos
utilisateurs doivent installer les derniers plug-ins Citrix. L'authentification unique
n'est pas disponible avec l'Interface Web pour les serveurs d'application Java.
82 Guide de l'administrateur Interface Web

Remarque : lorsqu'un utilisateur accède à une ressource publiée, un fichier est

envoyé au plug-in Citrix (dans certains cas à l'aide du navigateur Web en tant
qu'intermédiaire). Ce fichier peut contenir un paramètre ordonnant au plug-in
d'envoyer les informations d'identification du poste de travail de l'utilisateur au
serveur. Par défaut, le plug-in ne reconnaît pas ce paramètre ; néanmoins, si la
fonctionnalité d'authentification unique est activée sur Citrix XenApp Plugin
pour applications hébergées, il y a un risque qu'un agresseur envoie à l'utilisateur
un fichier entraînant le détournement des informations d'identification de
l'utilisateur vers un faux serveur ou un serveur non autorisé. C'est pourquoi vous
ne devez utiliser l'authentification unique que dans des environnements sécurisés
et approuvés.

Étape 1 : installation du plug-in

Vous devez installer Citrix XenApp Plugin pour applications hébergées ou Citrix
Desktop Receiver sur les machines clientes de vos utilisateurs en utilisant un
compte d'administrateur. L'authentification unique est uniquement disponible
avec ces plug-ins, qui sont disponibles sur le support d'installation de XenApp et
XenDesktop. Pour des raisons de sécurité, le Citrix XenApp Web Plugin ne
contient pas cette fonctionnalité. Cela signifie que vous ne pouvez pas utiliser
d'installation du plug-in par le Web pour déployer des plug-ins Citrix contenant
cette fonctionnalité auprès de vos utilisateurs.

Étape 2 : activation de l'authentification unique

pour les plug-ins
Une fois l'installation terminée, vous devez activer l'authentification unique sur
tous les plug-ins Citrix utilisant la stratégie de groupe. L'activation de
l'authentification unique pour les plug-ins se déroule en deux étapes. Vous ajoutez
tout d'abord le modèle de plug-in à l'Éditeur d'objet de stratégie de groupe. Ceci
fait, utilisez ce modèle pour activer l'authentification unique sur tous les plug-ins.

Pour ajouter le modèle de plug-in à l'Éditeur d'objet de stratégie

de groupe
1. Ouvrez le composant logiciel enfichable MMC Éditeur d'objet Stratégie de
groupe.
2. Sélectionnez l'objet de stratégie de groupe que vous souhaitez modifier.
3. Sélectionnez le nœud Modèles d'administration, et, dans le menu Action,
cliquez sur Ajout/Suppression de modèles.
 5 Configuration de l'authentification pour l'Interface Web 83

4. Cliquez sur Ajouter et recherchez le fichier modèle de plug-in,

icaclient.adm. Ce fichier est installé dans le dossier \Configuration pour les
plug-ins, généralement C:\Program Files\Citrix\Nomduplug-
in\Configuration.
5. Cliquez sur Ouvrir pour ajouter le modèle et cliquez sur Fermer.

Pour activer l'authentification unique pour tous les plug-ins

1. Ouvrez le composant logiciel enfichable MMC Éditeur d'objet Stratégie de
groupe.
2. Sélectionnez l'objet de stratégie de groupe que vous souhaitez modifier.
3. Dans le panneau de gauche, développez le nœud Modèles
d'administration.
4. Sélectionnez Modèles d'administration classiques (ADM) >
Composants Citrix. Développez le nœud du plug-in que vous avez installé
et sélectionnez Authentification de l'utilisateur.
5. Dans le panneau central, sélectionnez Nom de l'utilisateur et mot de
passe locaux.
6. Dans le menu Action, cliquez sur Propriétés.
7. Cliquez sur l'onglet Paramètre, et dans la zone Nom de l'utilisateur et
mot de passe locaux, sélectionnez Activé.
8. Vérifiez que la case Activer l'authentification unique est sélectionnée et
cliquez sur OK.
9. Assurez-vous que toutes les étapes ci-dessus sont terminées pour
l'utilisateur et l'ordinateur dans l'Éditeur d'objet de stratégie de groupe.

Étape 3 : activation de l'authentification unique à

l'aide de la console
Utilisez la console Access Management Console pour activer l'authentification
unique. Lorsque cette fonction est activée, les utilisateurs n'ont pas besoin d'entrer
à nouveau leurs informations d'identification et leurs ressources s'affichent
automatiquement.
Par ailleurs, vous pouvez activer Kerberos avec l'authentification unique pour les
sites XenApp Web et XenApp Services. Pour les sites XenApp Services, vous
pouvez également spécifier Kerberos pour l'authentification unique avec carte à
puce.
84 Guide de l'administrateur Interface Web

Pour activer l'authentification unique

1. Cliquez sur Configurer les méthodes d'authentification.
2. Sélectionnez la case Authentification unique.
3. Cliquez sur Propriétés.
4. Sélectionnez Authentification Kerberos.
5. Si vous souhaitez activer l'authentification Kerberos, sélectionnez la case
Utiliser l'authentification Kerberos pour se connecter aux serveurs
(pour les sites XenApp Web) ou la case N'utiliser que Kerberos (pour les
sites XenApp Services).

Activation de l'authentification par carte à puce

La section suivante décrit la configuration requise pour les cartes à puce et
explique la procédure à suivre pour activer l'authentification par carte à puce.
Pour un exemple de configuration de l'authentification par carte à puce dans
l'Interface Web, consultez la section « Exemple : activation de l'authentification
par carte à puce pour les utilisateurs » à la page 88.

Configuration requise pour la prise en charge des

cartes à puce
Pour utiliser l'authentification par carte à puce, l'Interface Web doit être exécutée
sur IIS et les utilisateurs doivent exécuter Internet Explorer. Lorsqu'IIS 7.0 est
exécuté Windows Server 2008, assurez-vous que le service de rôle Serveur Web
> Sécurité > Authentification par mappage de certificat client est activé pour
le rôle Serveur Web (IIS). L'authentification par carte à puce n'est pas disponible
avec l'Interface Web pour les serveurs d'application Java.
SSL (Secure Sockets Layer) doit être activé sur le serveur Web car ce protocole
de sécurité est utilisé pour protéger les communications entre le navigateur Web
et le serveur. Pour de plus amples informations, consultez la documentation
accompagnant votre serveur Web.
Si vous souhaitez activer l'authentification par carte à puce (avec ou sans autre
méthode d'authentification), vous devez configurer l'écran Ouvrir une session
pour qu'elle soit uniquement accessible via des connexions HTTPS. Si le
protocole HTTP standard est utilisé ou si le protocole HTTPS est mal configuré,
tous les utilisateurs reçoivent un message d'erreur et ne peuvent pas ouvrir de
session. Pour éviter ce problème, publiez la totalité de l'adresse URL HTTPS
auprès de tous les utilisateurs, par exemple :
https://www.MaSociété.com:443/Citrix/XenApp.
 5 Configuration de l'authentification pour l'Interface Web 85

Pour plus d'informations sur la configuration requise sur la machine cliente et la

configuration requise sur le serveur pour l'authentification par carte à puce,
veuillez consulter le Guide de l'administrateur Citrix XenApp Plugin pour
applications hébergées pour Windows et le Guide de l'administrateur Citrix
XenApp.

Étape 1 : installation du plug-in

Vous devez installer Citrix XenApp Plugin pour applications hébergées ou Citrix
Desktop Receiver sur les machines clientes de vos utilisateurs en utilisant un
compte d'administrateur. L'authentification par carte à puce est uniquement
disponible avec ces plug-ins, qui sont disponibles sur le support d'installation de
XenApp et XenDesktop. Pour des raisons de sécurité, le Citrix XenApp Web
Plugin ne contient pas cette fonctionnalité. Cela signifie que vous ne pouvez pas
utiliser d'installation du plug-in par le Web pour déployer des plug-ins Citrix
contenant cette fonctionnalité auprès de vos utilisateurs.

Étape 2 : activation de l'authentification unique

pour les plug-ins
Une fois l'installation terminée, vous devez activer l'authentification unique sur
tous les plug-ins Citrix utilisant la stratégie de groupe. L'activation de
l'authentification unique pour les plug-ins se déroule en deux étapes. Vous ajoutez
tout d'abord le modèle de plug-in à l'Éditeur d'objet de stratégie de groupe. Ceci
fait, utilisez ce modèle pour activer l'authentification unique sur tous les plug-ins.

Pour ajouter le modèle de plug-in à l'Éditeur d'objet de stratégie

de groupe
1. Ouvrez le composant logiciel enfichable MMC Éditeur d'objet Stratégie de
groupe.
2. Sélectionnez l'objet de stratégie de groupe que vous souhaitez modifier.
3. Sélectionnez le nœud Modèles d'administration, et, dans le menu Action,
cliquez sur Ajout/Suppression de modèles.
4. Cliquez sur Ajouter et recherchez le fichier modèle de plug-in,
icaclient.adm. Ce fichier est installé dans le dossier \Configuration pour les
plug-ins, généralement C:\Program Files\Citrix\Nomduplug-
in\Configuration.
5. Cliquez sur Ouvrir pour ajouter le modèle et cliquez sur Fermer.
6. Assurez-vous que toutes les étapes ci-dessus sont terminées pour
l'utilisateur et l'ordinateur dans l'Éditeur d'objet de stratégie de groupe.
86 Guide de l'administrateur Interface Web

Pour activer l'authentification unique pour tous les plug-ins

1. Ouvrez le composant logiciel enfichable MMC Éditeur d'objet Stratégie de
groupe.
2. Sélectionnez l'objet de stratégie de groupe que vous souhaitez modifier.
3. Dans le panneau de gauche, développez le nœud Modèles
d'administration.
4. Sélectionnez Modèles d'administration classiques (ADM) >
Composants Citrix. Développez le nœud du plug-in que vous avez installé
et sélectionnez Authentification de l'utilisateur.
5. Dans le panneau central, sélectionnez Nom de l'utilisateur et mot de
passe locaux.
6. Dans le menu Action, cliquez sur Propriétés.
7. Cliquez sur l'onglet Paramètre, et dans la zone Nom de l'utilisateur et
mot de passe locaux, sélectionnez Activé.
8. Vérifiez que la case Activer l'authentification unique est sélectionnée et
cliquez sur OK.

Étape 3 : activation du mappeur du service

d'annuaire Windows
Assurez-vous que le mappeur du service d'annuaire Windows est activé sur le
serveur Interface Web.
L'authentification pour l'Interface Web utilise des comptes de domaine Windows ;
il s'agit, en d'autres termes, d'une identification par nom d'utilisateur et mot de
passe. Les certificats sont toutefois enregistrés sur des cartes à puce. Le mappeur
du service d'annuaire utilise Windows Active Directory pour mapper un certificat
avec un compte de domaine Windows.

Pour activer le mappeur du service d'annuaire Windows sur

Microsoft Internet Information Services 7.0
1. Assurez-vous que le service de rôle Serveur Web > Sécurité >
Authentification par mappage de certificat client IIS n'est pas installé
pour le rôle Serveur Web (IIS).
2. Ouvrez le composant enfichable MMC Internet Information Services (IIS)
Manager sur le serveur Interface Web.
3. Sélectionnez votre serveur Web dans le panneau de gauche, et dans
Affichage des fonctionnalités, cliquez deux fois sur Authentification.
4. Sur la page Authentification, activez les méthodes d'authentification
suivantes :
 5 Configuration de l'authentification pour l'Interface Web 87

• Authentification du certificat client Active Directory

• Authentification anonyme
• Authentification Windows (si vous planifiez d'autoriser
l'authentification unique par carte à puce)

Pour activer le mappeur du service d'annuaire Windows sur

Microsoft Internet Information Services 6.0
1. Ouvrez le composant enfichable MMC Internet Information Services (IIS)
Manager sur le serveur Interface Web.
2. Sélectionnez le nœud Sites Web situé sous le serveur Interface Web, et
dans le menu Action, cliquez sur Propriétés.
3. Dans la section Communications sécurisées de l'onglet Sécurité du
répertoire, sélectionnez Activer le mappeur du service d'annuaire
Windows.
4. Pour activer le mappeur du service d'annuaire, cliquez sur OK.

Étape 4 : activation de l'authentification par carte

à puce sur l'Interface Web
Vous devez configurer l'Interface Web pour activer l'authentification par carte à
puce (afin que les utilisateurs puissent accéder à l'Interface Web et afficher leurs
séries de ressources) et l'authentification sur le serveur (afin que les utilisateurs
puissent accéder à des ressources dans une session à l'aide de l'Interface Web).

Pour activer l’authentification par carte à puce pour les sites

XenApp Web
1. Cliquez sur Configurer les méthodes d'authentification.
2. Sélectionnez la case Carte à puce.

Pour activer l’authentification par carte à puce pour les sites

XenApp Services
1. Cliquez sur Configurer les méthodes d'authentification.
2. Sélectionnez la case Carte à puce.
3. Cliquez sur Propriétés.
4. Sélectionnez Itinérance.
5. Pour configurer le comportement de l'Interface Web lorsqu'une carte est
retirée, sélectionnez Activer l'itinérance et choisissez l'une des options
suivantes :
88 Guide de l'administrateur Interface Web

• Pour déconnecter la session d'un utilisateur lorsque la carte à puce est

retirée, sélectionnez Déconnecter les sessions lors du retrait d'une
carte à puce.
• Pour fermer la session d'un utilisateur lorsque la carte à puce est
retirée, sélectionnez Fermer les sessions lors du retrait d'une carte
à puce.

Exemple : activation de l'authentification par carte

à puce pour les utilisateurs
Cet exemple illustre les étapes à suivre pour permettre à des utilisateurs d'ouvrir
une session sur l'Interface Web à l'aide de cartes à puce pour accéder à des
ressources publiées.
Vous souhaitez activer l'authentification par carte à puce pour un utilisateur.
L'utilisateur utilise un ordinateur exécutant Windows XP. Un lecteur de carte à
puce est rattaché à l'ordinateur et la prise en charge des cartes à puce est
configurée sur la batterie de serveurs. L'Interface Web est configurée pour
l'authentification explicite uniquement (nom utilisateur et mot de passe).

Pour activer l’authentification par carte à puce

1. Utilisez le support d'installation approprié pour installer Citrix XenApp
Plugin pour applications hébergées ou Citrix Desktop sur l'ordinateur de
l'utilisateur. L'installation du plug-in est effectuée à l'aide d'un compte
d'administrateur. Lors de l'installation de Citrix XenApp Plugin pour
applications hébergées, répondez par Oui à l'invitation « Désirez-vous
activer et utiliser automatiquement le nom d'utilisateur et le mot de passe
locaux pour les sessions Citrix ouvertes à partir de ce plug-in ? ».
2. Activez l'authentification unique pour tous les plug-ins Citrix utilisant la
stratégie de groupe. Pour plus d'informations, veuillez consulter la section
« Étape 2 : activation de l'authentification unique pour les plug-ins » à la
page 82. Vous devez également vous assurer que l'authentification unique
est activée sur la batterie. Pour de plus amples informations, consultez le
guide de l'administrateur approprié.
3. Assurez-vous que le mappeur du service d’annuaire Windows est activé.
Pour plus d'informations, veuillez consulter la section « Étape 3 : activation
du mappeur du service d'annuaire Windows » à la page 86.
4. Utilisez la tâche Configurer les méthodes d'authentification pour activer
l'authentification par carte à puce. Lorsque les utilisateurs sélectionnent
l'option Carte à puce sur l'écran Ouvrir une session, ils sont invités à
entrer leur code secret pour ouvrir une session (à condition d'avoir ouvert
une session sur leurs bureaux Windows physiques à l'aide de leurs cartes à
puce). Si vous ne souhaitez pas que les utilisateurs soient obligés d'entrer à
nouveau leur code secret lorsqu'ils ouvrent une session sur l'Interface Web,
activez l'authentification unique avec carte à puce.
 5 Configuration de l'authentification pour l'Interface Web 89

Configuration de l'authentification à deux facteurs

Vous pouvez configurer les méthodes d'authentification à deux facteurs suivantes
pour les sites XenApp Web :
• Aladdin SafeWord pour Citrix. Méthode d'authentification qui utilise des
codes alphanumériques générés par les jetons SafeWord et, facultativement,
des codes PIN pour créer un passcode. Avant de pouvoir accéder aux
applications du serveur, les utilisateurs doivent saisir les informations
d'identification de leur domaine et leurs PASSCODES SafeWord dans
l'écran Ouvrir une session.
• RSA SecurID. Méthode d’authentification qui utilise des nombres générés
par les jetons RSA SecurID (tokencodes) et des codes PIN pour créer un
PASSCODE. Avant de pouvoir accéder aux ressources publiées sur le
serveur, les utilisateurs doivent saisir leurs noms d’utilisateurs, leurs
domaines, leurs mots de passe et leurs PASSCODES RSA SecurID dans
l'écran Ouvrir une session. Lors de la création d’utilisateurs sur ACE/
Server, les noms d'ouverture de session des utilisateurs doivent être les
mêmes que leurs noms d’utilisateurs de domaine.

Remarque : lors de l'utilisation de l'authentification RSA SecurID, le

système peut générer et afficher un nouveau code secret pour l'utilisateur.
Ce code secret s'affiche pendant 10secondes ou jusqu'à ce que l'utilisateur
clique sur OK ou Annuler, ceci afin que le code secret ne puisse pas être
vu par d'autres personnes. Cette fonctionnalité n'est pas disponible sur les
ordinateurs de poche.

• Serveur RADIUS. Méthode d'authentification qui utilise le protocole

d'authentification RADIUS (Remote Authentication Dial-in User Service)
plutôt qu'un logiciel d'agent propriétaire. SafeWord et SecurID peuvent,
tous deux, être installés et configurés pour être présentés en tant que serveur
RADIUS. L'authentification RADIUS est la seule option d'authentification
à deux facteurs disponible pour l'Interface Web pour les serveurs
d'application Java.

Activation de l'authentification SafeWord sur

Microsoft Internet Information Services
La section suivante décrit l'activation de la prise en charge de Aladdin SafeWord.
Le port du serveur SafeWord par défaut est 5031, mais il est configurable. Le
serveur Interface Web ne doit pas obligatoirement appartenir au domaine Active
Directory auquel est intégré SafeWord.
90 Guide de l'administrateur Interface Web

Configuration requise pour SafeWord

Pour utiliser l'authentification SafeWord avec l'Interface Web pour Microsoft
Internet Information Services :
• Vous devez vous procurer la dernière version de l'agent SafeWord auprès de
Aladdin Knowledge Systems. Si la prise en charge de l'authentification
UPN est requise, appliquez les dernières mises à jour automatiques à l'agent
SafeWord pour l'Interface Web et au serveur SafeWord.
• Vous devez vous assurer que l'Interface Web est installée avant d'installer
l'agent SafeWord pour l'Interface Web.
• Vous devez vous assurer que l'agent SafeWord pour l'Interface Web est
installé sur le serveur Interface Web.
Pour plus d'informations sur la configuration de votre produit SafeWord, veuillez
consulter le site :http://www.aladdin.com/safeword/default.aspx.

Activation de l'authentification SafeWord à l'aide de la console

Vous devez configurer l'Interface Web pour activer l'authentification SafeWord de
sorte que les utilisateurs puissent avoir accès à leur série de ressources et
l'afficher. Pour ce faire, utilisez la tâche Configurer les méthodes
d'authentification.

Activation de l'authentification RSA SecurID sur

Microsoft Internet Information Services
Les sections suivantes décrivent l'activation de la prise en charge de RSA
SecurID.

Configuration requise pour SecurID

Pour utiliser l'authentification SecurID avec l'Interface Web pour Microsoft
Internet Information Services :
• RSA ACE/Agent pour Windows 6.0 doit être installé sur le serveur
Interface Web.
• L'Interface Web doit être installée sur IIS 6.0.
• L'Interface Web doit être installée après l'Agent ACE.
 5 Configuration de l'authentification pour l'Interface Web 91

Remarque : l’Agent RSA ACE pour Windows 6.0 n'est pas pris en charge sur
Windows Server 2008. Si vous voulez intégrer RSA SecurID dans votre
environnement, vous devez soit installer l'Interface Web et l’Agent RSA ACE sur
un serveur exécutant Windows Server 2003, soit configurer votre serveur RSA
ACE afin qu'il soit présenté en tant que serveur RADIUS.

Ajout du serveur Interface Web en tant qu'Agent Host

Vous devez créer un Agent Host pour le serveur Interface Web dans la base de
données du serveur RSA ACE, afin que ce dernier reconnaisse et accepte les
requêtes d’authentification provenant du serveur Interface Web. Lors de la
création d'un Agent Host, sélectionnez Net OS Agent dans la liste déroulante
Agent type.

Copie du fichier sdconf.rec

Localisez le fichier sdconf.rec sur le serveur RSA ACE (ou si nécessaire, créez-
le) et copiez-le dans le répertoire %SystemRoot%\System32 sur le serveur
Interface Web. Ce fichier fournit au serveur toutes les informations nécessaires à
la connexion au serveur RSA ACE.

Activation de l'authentification RSA SecurID à l'aide de la

console
Vous devez configurer l'Interface Web pour activer l'authentification RSA
SecurID de sorte que les utilisateurs puissent avoir accès à leurs ressources et les
afficher. Pour ce faire, utilisez la tâche Configurer les méthodes
d'authentification.

Considérations sur la clé de Registre du nœud secret

Le nœud secret est utilisé pour assurer une communication sécurisée entre le
serveur Interface Web et le serveur RSA ACE.
Le nœud secret peut ne plus être synchronisé entre ces deux serveurs dans les cas
suivants :
• le serveur Interface Web est réinstallé ;
• le serveur RSA ACE est réinstallé ;
• l'enregistrement de l'Agent Host pour le serveur Interface Web est
supprimé, puis ajouté à nouveau ;
• la clé de Registre du nœud secret est supprimée du serveur Interface Web ;
• la case Node Secret Created n'est pas cochée dans la boîte de dialogue
Edit Agent Host du serveur RSA ACE.
92 Guide de l'administrateur Interface Web

Si le nœud secret du serveur Interface Web et celui du serveur RSA ACE ne

correspondent pas, RSA SecurID échouera. Vous devez réinitialiser le nœud
secret sur le serveur Interface Web et le serveur RSA ACE.

Attention : une utilisation incorrecte de l'Éditeur du Registre peut entraîner de

sérieux problèmes qui pourrait vous amener à réinstaller votre système
d'exploitation. Citrix ne peut garantir la possibilité de résoudre les problèmes
provenant d'une mauvaise utilisation de l'Éditeur du Registre. L'utilisation de
l'Éditeur du Registre est à vos propres risques.

Pour réinitialiser le nœud secret sur le serveur Interface Web

1. Dans le Registre du système, recherchez :
HKEY_LOCAL_MACHINE\SOFTWARE\SDTI\ACECLIENT
2. Supprimez la clé NodeSecret.

Remarque : la réinstallation de l'Interface Web ne supprime pas la clé

NodeSecret. Si l’entrée Agent Host demeure inchangée sur le serveur RSA ACE,
le nœud secret peut être réutilisé.

Prise en charge de domaines multiples RSA SecurID

Si vous possédez des comptes utilisateurs qui partagent le même nom
d'utilisateur, mais existent dans différents domaines Windows, vous devez les
identifier dans la base de données du serveur RSA ACE à l'aide d'une ouverture
de session par défaut sous la forme DOMAINE\nomd'utilisateur (plutôt qu'avec
un nom d'utilisateur uniquement), et utiliser la tâche Configurer les méthodes
d'authentification pour configurer l'Interface Web afin qu'elle envoie le domaine
et le nom d'utilisateur au serveur ACE.

Activation de l'intégration de mots de passe Windows RSA

SecurID 6.0
L'Interface Web prend en charge la fonctionnalité d'intégration de mot de passe
Windows qui est disponible avec RSA SecurID6.0. Lorsque cette fonctionnalité
est activée, les utilisateurs de l'Interface Web peuvent ouvrir une session et
accéder à leurs ressources publiées avec leur PASSCODE SecurID. Les
utilisateurs doivent uniquement fournir un mot de passe Windows la première
fois qu'ils ouvrent une session sur l'Interface Web ou lorsque leur mot de passe
doit être changé.
Pour utiliser l'intégration de mot de passe Windows SecurID 6.0 avec l'Interface
Web pour Microsoft Internet Information Services :
 5 Configuration de l'authentification pour l'Interface Web 93

• Le client d'authentification local RSA ACE/Agent pour Windows 6.0 doit

être installé sur le serveur Interface Web (les administrateurs doivent ouvrir
une session sur l'Interface Web à l'aide des informations d'identification de
l'administrateur du serveur local).
• L'Interface Web doit être installée après l'Agent ACE.
• Le service RSA Authentication Agent Offline Local doit être exécuté sur le
serveur Interface Web.
• L'Agent Host du serveur Interface Web dans la base de données du serveur
RSA ACE 6.0 doit être configuré pour activer la fonctionnalité d'intégration
de mot de passe Windows.
• Les paramètres système de la base de données doivent être configurés pour
activer la fonctionnalité d'intégration de mot de passe Windows au niveau
du système.

Activation de l'authentification RADIUS

Les sections suivantes décrivent comment installer et configurer Aladdin
SafeWord et RSA SecurID pour être présentés en tant que serveur RADIUS.
L'authentification RADIUS est la seule option d'authentification à deux facteurs
disponible pour l'Interface Web pour les serveurs d'application Java.

Activation de RADIUS avec SafeWord

Lors de l'installation du logiciel serveur SafeWord, choisissez d'installer l'Agent
IAS RADIUS.
Suivez les instructions à l'écran concernant l'installation du ou des client(s)
RADIUS avec le composant logiciel enfichable Windows IAS (Internet
Authentication Service) de la console MMC. Un nouveau client RADIUS doit
être configuré pour chaque serveur Interface Web qui authentifie les utilisateurs
sur le serveur SafeWord.
Chaque client RADIUS créé doit être fourni avec les éléments suivants :
• le nom de domaine complet ou l'adresse IP du serveur Interface Web à
laquelle le client RADIUS est associé ;
• un secret, qui est disponible auprès du serveur associé Interface Web. Pour
plus d'informations, veuillez consulter la section « Création d'un secret
partagé pour RADIUS » à la page 94 ;
• le type de client doit être défini sur RADIUS standard ;
• afin de renforcer la sécurité, l'option Request must contain the Message
Authenticator attribute doit être sélectionnée.
94 Guide de l'administrateur Interface Web

Activation de RADIUS avec RSA SecurID

RADIUS est activé sur le serveur RSA ACE à l'aide de l'outil de gestion de
configuration de SecurID 6.0. Pour plus d'informations sur l'utilisation de cet
outil, consultez la documentation accompagnant le logiciel SecurID.

Ajout de l'Interface Web et des serveurs RADIUS en tant

qu'Agent Hosts
En assumant que le serveur RSA ACE qui authentifie les utilisateurs agit
également comme serveur RADIUS, vous devez créer un Agent Host pour le
serveur RADIUS local s'exécutant dans la base de données du serveur RSA ACE.
Lors de la création d'un Agent Host, indiquez le nom et l'adresse IP du serveur
local et sélectionnez Net OS Agent dans la liste Agent type. Le serveur local doit
être assigné en tant que serveur intérimaire.
Par ailleurs, vous devez créer un Agent Host pour chaque serveur Interface Web
dans la base de données du serveur RSA ACE afin que ce dernier reconnaisse et
accepte les requêtes d’authentification provenant du serveur Interface Web en
passant par le serveur RADIUS. Lors de la création de cet Agent Host,
sélectionnez Communication Server dans la liste Agent type, puis définissez la
clé de cryptage sur la valeur du secret partagé avec l'Interface Web.

Création d'un secret partagé pour RADIUS

Le protocole RADIUS nécessite l'utilisation d'un secret partagé, contenant des
données connues uniquement du client RADIUS (c'est-à-dire de l'Interface Web)
et du serveur RADIUS auprès duquel il s'authentifie. L'Interface Web stocke ce
secret dans un fichier texte sur le système de fichiers local. Sur IIS,
l'emplacement de ce fichier est indiqué par la valeur de configuration
RADIUS_SECRET_PATH dans le fichier web.config. L'emplacement indiqué
est relatif au dossier \conf pour le site. Sur les serveurs d'application Java,
l'emplacement du fichier de secret partagé est indiqué par le paramètre
radius_secret_path dans le fichier web.xml. L'emplacement indiqué est relatif au
dossier /WEB_INF pour le site.
Pour créer le secret partagé, créez un fichier texte nommé radius_secret.txt
contenant une chaîne quelconque. Déplacez ce fichier vers l'emplacement indiqué
dans le fichier de configuration approprié ; assurez-vous qu'il est verrouillé et
qu'il ne peut être accessible qu'aux utilisateurs ou processus appropriés.
 5 Configuration de l'authentification pour l'Interface Web 95

Activation de l'authentification à deux facteurs RADIUS à l'aide

de la console
Vous devez activer l'authentification à deux facteurs sur l'Interface Web de sorte
que les utilisateurs puissent avoir accès à leur série de ressources et l'afficher.
Pour ce faire, utilisez la tâche Configurer les méthodes d'authentification. En
plus d'activer l'authentification à deux facteurs, vous pouvez indiquer une ou
plusieurs adresses de serveurs RADIUS (et facultativement des ports),
l'équilibrage de charge ou le comportement du basculement des serveurs et le
délai d'expiration de la réponse.

Utilisation du mode RADIUS Challenge

Par défaut, un serveur RADIUS SecurID est en mode RADIUS Challenge. Dans
ce mode :
• l'Interface Web affiche un écran de challenge générique comportant un
message, une zone de mot de passe HTML, ainsi que les boutons OK et
Annuler ;
• les messages de challenge ne sont pas localisés par l'Interface Web. Ils sont
dans la même langue que les messages de challenge sur le serveur RADIUS
SecurID.
Si les utilisateurs ne donnent pas de réponse (par exemple, s'ils cliquent sur
Annuler), ils sont redirigés vers l'écran Ouvrir une session.
Citrix recommande que ce mode soit uniquement utilisé si des composants ou des
produits logiciels autres que l'Interface Web utilisent également le serveur
RADIUS pour l'authentification.

Utilisation de messages de challenge personnalisés

Vous pouvez configurer des messages de challenge personnalisés pour le serveur
RADIUS SecurID. Lorsque vous utilisez des messages personnalisés reconnus
par l'Interface Web, le serveur RADIUS peut présenter des pages d'interface
identiques à celles affichées par l'Interface Web pour Microsoft Internet
Information Services et ces pages sont traduites.
Cette fonctionnalité nécessite des modifications de la configuration du serveur
RADIUS et doit être implantée uniquement si le serveur RADIUS est utilisé
exclusivement pour authentifier les utilisateurs de l'Interface Web.
Vous pouvez modifier les messages de challenge en lançant l'utilitaire de
configuration RADIUS RSA. Pour plus d'informations sur l'utilisation de cet
outil, consultez la documentation accompagnant le logiciel SecurID. Pour
afficher les mêmes messages à l'intention des utilisateurs qui accèdent à des sites
sur IIS et sur des serveurs d'application Java, il est nécessaire de mettre à jour les
challenges ci-dessous.
96 Guide de l'administrateur Interface Web

Teneur du message Paquet Valeur mise à jour

L'utilisateur veut-il un code secret Challenge CHANGE_PIN_EITHER
système ?
L'utilisateur est-il prêt à recevoir un code Challenge SYSTEM_PIN_READY
secret système ?
L'utilisateur est-il satisfait du code secret Challenge CHANGE_PIN_SYSTEM_[%s
système ? ]
Nouveau code secret numérique de Challenge CHANGE_PIN_USER
longueur fixe
Nouveau code secret alphanumérique de Challenge CHANGE_PIN_USER
longueur fixe
Nouveau code secret numérique de Challenge CHANGE_PIN_USER
longueur variable
Nouveau code secret alphanumérique de Challenge CHANGE_PIN_USER
longueur variable
Nouveau code secret accepté Challenge SUCCESS
Entrer Oui ou Non Challenge FAILURE
Nouveau code d'authentifieur requis Challenge NEXT_TOKENCODE
 6

Gestion des plug-ins

Cette section fournit des informations sur le déploiement et l'utilisation des plug-
ins Citrix à l'aide de l'Interface Web. Elle explique également comment créer un
accès sécurisé. Elle comporte les rubriques suivantes :
• Gestion du déploiement des plug-ins
• Configuration du plug-in Citrix XenApp
• Gestion de l'accès sécurisé
• Modification des paramètres du proxy côté client

Gestion du déploiement des plug-ins

Pour accéder à des ressources publiées (applications, contenu et bureaux), les
utilisateurs doivent disposer au moins d’un plug-in Citrix ou d’un navigateur Web
pris en charge avec l'environnement JRE.
Utilisez la tâche Gestion du déploiement du client pour configurer le
déploiement des plug-ins par le Web. Vous pouvez préciser les plug-ins Citrix qui
sont proposés aux utilisateurs et spécifier avec quels plug-ins les utilisateurs
peuvent accéder aux ressources publiées. Vous pouvez également utiliser cette
tâche pour spécifier les composants inclus au client pour Java ou autoriser les
utilisateurs à sélectionner les composants dont ils ont besoin.

Plug-ins pour ressources hébergées

Les plug-ins Citrix suivants peuvent être utilisés pour accéder à des ressources
publiées hébergées :
• Plug-in natif. Les administrateurs installent le plug-in natif approprié sur
les machines des utilisateurs. Les utilisateurs ne disposant pas d'un plug-in
natif peuvent également télécharger et déployer le Citrix XenApp Web
Plugin à l'aide du processus de détection et de déploiement de plug-in. Les
fenêtres transparentes sont prises en charge ; les ressources publiées sont
présentées dans des fenêtres de bureau qu'il est possible de redimensionner.
98 Guide de l'administrateur Interface Web

Si les utilisateurs accèdent aux ressources publiées par le biais d'un

ordinateur de poche, vous devez sélectionner le plug-in natif.
• Client pour Java. Les utilisateurs exécutent le client pour Java lors de
l'accès à la ressource publiée. Ce plug-in est généralement utilisé dans les
situations suivantes : les utilisateurs ne disposent pas d'un plug-in natif et
sont dans l'incapacité de télécharger et déployer le Citrix XenApp Web
Plugin ou la configuration de la machine cliente ou du site Web XenApp les
empêche de déployer ce plug-in. Le client pour Java prend en charge les
fenêtres transparentes ; les ressources publiées sont présentées dans des
fenêtres de bureau qu'il est possible de redimensionner.
• Logiciel de connexion au Bureau à distance incorporé. Les utilisateurs
peuvent utiliser le logiciel Connexion au Bureau à distance installé par
défaut avec le système d'exploitation Windows si vous avez activé cette
option. Le processus de détection et de déploiement de plug-in ne met pas
le logiciel Connexion au Bureau à distance à disposition des utilisateurs qui
ne l'ont pas installé. Les fenêtres transparentes ne sont pas prises en charge ;
les applications sont intégrées dans des fenêtres de navigateur.

Remarque : le client pour Java et le logiciel Connexion au Bureau à

distance intégré ne sont pas pris en charge sur les périphériques exécutant
Windows CE ou Windows Mobile. Il est impossible d'accéder aux bureaux
virtuels XenDesktop à l'aide du logiciel Connexion au Bureau à distance
intégré. Le client pour Java et le logiciel Connexion au Bureau à distance
intégré ne prennent pas en charge l'utilisation de sites intégrés ADFS.

Citrix XenApp Plugin pour applications en

streaming
Citrix XenApp Plugin pour applications en streaming permet aux utilisateurs de
livrer des applications en streaming sur leurs bureaux (physiques et virtuels) et de
les ouvrir localement. Citrix XenApp Plugin pour applications en streaming :
• S'exécute en tant que service sur les ordinateurs des utilisateurs afin
d'appeler les applications sélectionnées par ces derniers à l'aide du plug-in
Citrix XenApp ou de leurs navigateurs Web.
• Recherche la cible correcte du pack pour les ordinateurs des utilisateurs,
crée des environnements d'isolation sur leurs ordinateurs et livre en
streaming les fichiers nécessaires à l'exécution des applications sur les
bureaux des utilisateurs.
 6 Gestion des plug-ins 99

Vous pouvez soit installer Citrix XenApp Plugin pour applications en streaming
avec le plug-in Citrix XenApp afin de fournir la totalité des fonctionnalités de
virtualisation d'application côté client, soit n'installer que le plug-in sur les
bureaux des utilisateurs afin qu'ils puissent accéder aux applications publiées
grâce à un navigateur Web utilisant un site XenApp Web.

Remarque : il n'est pas possible d'accéder à des bureaux virtuels XenDesktop à

l'aide de Citrix XenApp Plugin pour applications en streaming.

Pour plus d'informations sur la publication d'applications livrées en streaming,

veuillez consulter le Guide de l'administrateur Citrix XenApp. Pour plus
d'informations sur la fonctionnalité de streaming d'application, veuillez consulter
le Guide Streaming d'application Citrix.
Pour pouvoir livrer des applications en streaming via un site XenApp Web, les
utilisateurs d'Internet Explorer et de Firefox doivent ajouter le site à la zone Sites
de confiance Windows à l'aide d'Internet Explorer. Les utilisateurs qui n'ont pas
ajouté leurs sites XenApp Web à la zone Sites de confiance ne peuvent pas lancer
d'applications. Le processus de détection et de téléchargement de plug-in de
l'Interface Web fournit aux utilisateurs d'Internet Explorer les instructions
nécessaires à l'ajout du site à la zone de sécurité Sites de confiance dans
Windows.
Toutefois, pour des raisons de sécurité, ni l'Interface Web ni Citrix XenApp
Plugin pour applications en streaming n'avertissent les utilisateurs Firefox lorsque
le site XenApp Web auquel ils accèdent ne se trouve pas dans la zone de sécurité
Windows appropriée. C'est la raison pour laquelle il est important de rappeler aux
utilisateurs Firefox de suivre la procédure suivante pour ajouter leurs sites
XenApp Web à la zone Sites de confiance appropriée dans Windows.

Pour ajouter un site XenApp Web à la zone Sites de confiance

dans Internet Explorer
1. Depuis le menu Outils d'Internet Explorer, sélectionnez Options Internet.
2. Cliquez sur l'onglet Sécurité.
3. Sélectionnez Sites de confiance et cliquez sur Sites.
4. Si nécessaire, entrez l'adresse URL du serveur Web dans la case Ajouter ce
site Web à la zone.
5. Si une connexion HTTP est utilisée pour accéder au site Web, assurez-vous
que la case Exiger un serveur sécurisé (https:) pour tous les sites de
cette zone ne soit pas cochée.
6. Cliquez sur Ajouter pour ajouter le site Web à votre liste de sites de
confiance.
100 Guide de l'administrateur Interface Web

Installation des plug-ins par le Web

Pour utiliser l'Interface Web, les utilisateurs doivent disposer au moins d’un plug-
in Citrix ou d’un navigateur Web pris en charge avec l'environnement JRE.

Copie des fichiers d'installation d'un plug-in sur le site Web

Pour installer un plug-in par le Web, le site XenApp Web doit contenir les fichiers
d'installation du plug-in.
Le programme d'installation de l'Interface Web vous invite à accéder au support
d'installation. Sur IIS, le programme d'installation copie le contenu du dossier
\Clients du support d'installation vers un dossier appelé \Clients dans le répertoire
racine des fichiers communs (par exemple, C:\Program Files (x86)\Citrix\Web
Interface\Version\Clients). Sur les serveurs d'application Java, le programme
d'installation copie les plug-ins Citrix du support d'installation et les conditionne
dans le fichier .war.
Si vous n'avez pas copié les fichiers d’installation des plug-ins sur le serveur Web
lors de l'installation de l'Interface Web, assurez-vous de les copier sur le serveur
Web avant d'installer des plug-ins par le Web.
Pour copier les fichiers plug-ins sur le site XenApp Web sur Microsoft Internet
Information Services
1. Recherchez le dossier \Clients dans lequel l'Interface Web est installée ; par
exemple, C:\Program Files (x86)\Citrix\Web Interface\Version\Clients.
2. Insérez le support d'installation dans le lecteur optique du serveur Web ou
parcourez le réseau pour rechercher une image partagée de ce support
d'installation.
3. Accédez au dossier \Clients du support d'installation. Copiez le contenu du
dossier sur le support d'installation vers le dossier sur le serveur Interface
Web. Assurez-vous de copier uniquement le contenu du dossier et non le
dossier /Clients lui-même.
Pour copier les fichiers plug-ins sur le site XenApp Web sur des serveurs
d'application Java
1. Dans le fichier .war développé pour le site, recherchez le répertoire /
Clients.
2. Insérez le support d'installation dans le lecteur optique du serveur Web ou
parcourez le réseau pour rechercher une image partagée de ce support
d'installation.
3. Envoyez les répertoires vers le répertoire /Clients du support d'installation.
Copiez le contenu du répertoire sur le support d'installation vers le
répertoire sur le serveur Interface Web. Assurez-vous de copier uniquement
le contenu du répertoire et non le répertoire /Clients lui-même.
 6 Gestion des plug-ins 101

Configuration du déploiement de plug-in et des légendes

d'installation
L'Interface Web dispose d'un processus de détection et de déploiement de plug-in
dont la tâche consiste à détecter les plug-ins Citrix susceptibles d'être déployés
dans l'environnement des utilisateurs puis à les guider au travers de la procédure
de déploiement, qui peut inclure le cas échéant, la reconfiguration de leur
navigateur Web.
Vous pouvez permettre aux utilisateurs de lancer le processus de détection et de
déploiement de plug-in de trois façons :
• Vous pouvez configurer l'exécution automatique du processus de détection
et de déploiement de plug-in lorsque les utilisateurs accèdent à un site
XenApp Web. Lorsque des utilisateurs ouvrent une session Interface Web,
le processus de détection et de déploiement de plug-in démarre
automatiquement. Ce dernier identifie le plug-in Citrix approprié et le
déploie de façon à ce que les utilisateurs puissent accéder à leurs ressources
publiées. Dans certains environnements, le processus de détection et de
déploiement de plug-in peut également détecter la présence ou l'absence de
plug-in et solliciter l’utilisateur le cas échéant.
• Vous pouvez permettre aux utilisateurs de spécifier le plug-in qu'ils
préfèrent utiliser pour accéder aux ressources publiées hébergées. Si vous
activez cette option, le bouton Exécuter la détection de plug-ins est ajouté
à l'écran Préférences de connexion, ce qui permet aux utilisateurs de
lancer manuellement le processus de détection et de déploiement de plug-
in.
• Vous pouvez mettre des légendes d'installation à la disposition des
utilisateurs. Il s'agit de liens qui sont présentés aux utilisateurs dans l'écran
Messages. Il leur suffit de cliquer sur ces liens pour démarrer le processus
de détection et de déploiement de plug-ins.
Lorsqu'un utilisateur accède à un site XenApp Web, le processus Web de
détection et de déploiement de plug-in tente de déterminer si le plug-in Citrix
préféré est installé sur l'ordinateur de l'utilisateur. Si le logiciel plug-in approprié
n'est pas détecté sur la machine de l'utilisateur et que celui-ci ouvre une session à
un site XenApp Web configuré pour détecter et déployer automatiquement des
plug-ins, le processus démarre automatiquement et guide l'utilisateur au travers
de la procédure d'identification et de déploiement d'un plug-in Citrix adéquat lui
permettant d'accéder à ses ressources publiées. Le cas échéant, l'utilisateur peut
également être invité à reconfigurer son navigateur Web.
102 Guide de l'administrateur Interface Web

Les liens qui s'affichent dans l'écran Messages permettent également aux
utilisateurs d'accéder au processus de détection et de déploiement de plug-in. Il
leur suffit de cliquer sur ces liens pour démarrer le processus de détection et de
déploiement de plug-ins. Ces liens sont appelés légendes d'installation. Par
exemple :

Cette capture d'écran montre un exemple de légende d'installation susceptible

d'apparaître dans l'écran Messages de l'utilisateur.
Les légendes d'installation peuvent être mises à la disposition des utilisateurs qui
ne disposent pas d'un plug-in approprié ; elles peuvent également être utilisées
pour leur permettre d'accéder au processus de détection et de déploiement de
plug-in afin de mettre leurs plug-ins Citrix à niveau au profit d'une version plus
récente ou d'un autre type de plug-in offrant davantage de fonctionnalités.
Vous pouvez utiliser la tâche Gérer le déploiement du plug-in afin de spécifier
dans quelles conditions les utilisateurs peuvent accéder au processus de détection
et de déploiement de plug-in.
Pour configurer les légendes d'installation et de déploiement des plug-ins
1. Cliquez sur Gérer les ressources publiées et les plug-ins > Gérer le
déploiement du plug-in. Pour les sites proposant uniquement des
applications hébergées, cliquez sur Propriétés.
2. Cliquez sur Détection de plug-in.
3. Si vous souhaitez que le processus de détection et de déploiement de plug-
in démarre automatiquement lorsque des utilisateurs qui ne disposent pas
d'un plug-in Citrix approprié ouvrent une session Interface Web,
sélectionnez la case Exécuter la détection de plug-in à l'ouverture de
session.
4. Pour inviter les utilisateurs à mettre leurs plug-ins à niveau lorsque le
processus de détection et de déploiement de plug-in détecte de nouvelles
versions téléchargeables sur le site Web XenApp, sélectionnez la case
Offrir des mises à niveau pour les plug-ins.
 6 Gestion des plug-ins 103

5. Indiquez quand les légendes d'installation sont présentées aux utilisateurs

en choisissant l'une des options suivantes :
• Pour informer l'utilisateur qu'aucun plug-in approprié n'a été détecté
ou qu'un plug-in plus adéquat est disponible, sélectionnez Chaque
fois qu'un plug-in est requis. Il s'agit du paramètre par défaut.
• Pour informer l'utilisateur uniquement lorsqu'aucun plug-in approprié
n'a été détecté, sélectionnez Uniquement lorsque l'accès aux
ressources publiées est impossible.
• Si vous ne souhaitez pas afficher de légendes d'installation,
sélectionnez Jamais.

Déploiement du logiciel de connexion au Bureau à

distance
La fonction de connexion au Bureau à distance est disponible sur les systèmes
Windows 32 bits avec Internet Explorer. Les utilisateurs qui ont installé la version
6.0 (fournie avec Windows XP Service Pack 3) ou 6.1 (fournie avec Windows
Vista Service Pack 1) du logiciel Connexion Bureau à distance peuvent l'utiliser
pour accéder à leurs ressources publiées. Si les utilisateurs ne peuvent pas utiliser
d'autres plug-ins, le processus de détection et de déploiement de plug-in vérifie
que le logiciel Connexion Bureau à distance est disponible et aide les utilisateurs
à activer le contrôle ActiveX des services Terminal Server, le cas échéant.

Configuration requise pour la connexion au Bureau à distance

Si Internet Explorer ne place pas le site XenApp Web dans la zone Intranet local
ou Sites de confiance, il affiche un message d'erreur. Le processus de détection et
de téléchargement de plug-in de l'Interface Web fournit aux utilisateurs les
instructions nécessaires à l'ajout du site à la zone de sécurité Windows
appropriée.

Déploiement du client pour Java

Si vous déployez des plug-ins Citrix sur un réseau à bande passante réduite ou si
vous ne connaissez pas la plate-forme de vos utilisateurs, privilégiez l'utilisation
du client pour Java. Le client pour Java est un applet multi-plateforme qui peut
être déployé par le serveur Interface Web sur n'importe quel navigateur Web
compatible Java.
104 Guide de l'administrateur Interface Web

De par le large éventail d'environnements utilisateur, de machines clientes, de

systèmes d'exploitation et de navigateurs Web pris en charge par le client pour
java, il représente la solution idéale dans les situations dans lesquelles un plug-in
natif ne peut pas être utilisé. Vous pouvez configurer le processus de détection et
de déploiement de plug-in afin de proposer le client pour Java aux utilisateurs qui
ne disposent pas d'un plug-in natif ou qui sont dans l'incapacité de télécharger et
déployer un plug-in natif à partir du site Web de XenApp.
Vous devez vous assurer que le client pour Java est disponible dans le répertoire
\Clients du site Web de XenApp pour pouvoir le déployer à vos utilisateurs.

Pour configurer le retour au client pour Java

1. Cliquez sur Gérer les ressources publiées et les plug-ins > Gérer le
déploiement du plug-in. Pour les sites proposant uniquement des
applications hébergées, sélectionnez la case Plug-in natif et cliquez sur
Propriétés.

Remarque : il n'est pas nécessaire de mettre le client pour java à la

disposition des utilisateurs pour fournir la fonction de retour.

2. Cliquez sur Comportement de retour.

3. Spécifiez dans quels cas de figure le client pour Java est proposé aux
utilisateurs ne disposant pas d'un plug-in natif en choisissant l'une des
options suivantes :
• Si vous souhaitez que les utilisateurs ne disposant pas d'un plug-in
natif téléchargent et déploient un plug-in Citrix approprié,
sélectionnez Déployer un plug-in natif. Il s'agit du paramètre par
défaut.
• Si vous souhaitez que le client pour Java soit proposé aux utilisateurs
ne disposant pas d'un plug-in natif et qu'ils ne soient invités à
télécharger et déployer un plug-in natif à la seule condition qu'ils ne
puissent pas utiliser le client pour Java, sélectionnez Déployer un
plug-in natif et autoriser l'utilisateur à choisir entre ce dernier et
le client pour Java.
• Si vous souhaitez que les utilisateurs ne disposant pas d'un plug-in
natif soient invités à télécharger et déployer un plug-in approprié en
plus de se voir proposer le client pour Java, sélectionnez
Automatiquement retourner au client pour Java.
 6 Gestion des plug-ins 105

Personnalisation du déploiement du client pour Java

Vous pouvez configurer les composants compris dans le déploiement du Client
pour Java.
La taille du client pour Java est déterminée par les packs que vous sélectionnez.
Moins le nombre de packs sélectionné est important, plus la taille est réduite
(jusqu'à 540 Ko). Pour limiter la taille du client pour Java pour les utilisateurs
disposant de connexions à faible bande passante, vous pouvez déployer
uniquement un ensemble minimal de composants. Vous pouvez également
autoriser les utilisateurs à sélectionner les composants dont ils ont besoin. Pour
plus d'informations sur le client pour Java et ses composants, veuillez consulter le
Guide de l'administrateur du Client pour Java.

Remarque : certains composants que vous rendez disponibles dans le Client

pour Java peuvent exiger une configuration supplémentaire sur la machine cliente
ou le serveur.

Le tableau suivant recense les options disponibles :

Pack Description
Audio Permet aux ressources publiées exécutées sur le serveur de lire les
sons par l'intermédiaire d'un dispositif sonore installé sur la
machine cliente. Vous pouvez contrôler la quantité de bande
passante utilisée par le mappage audio du client sur le serveur.
Pour plus d'informations, veuillez vous reporter au Guide de
l'administrateur Citrix XenApp.
Presse-papiers Permet aux utilisateurs de copier du texte et des graphiques entre
les ressources sur le serveur et les applications exécutées
localement sur la machine cliente.
Écho local du texte Accélère l’affichage du texte saisi sur la machine cliente.
SSL/TLS Assure la sécurité des communications à l'aide des protocoles SSL
(Secure Socket Layer) et TLS (Transport Layer Security). SSL/
TLS offre des fonctions d'authentification du serveur, de cryptage
du flux de données et de vérification de l'intégrité des messages.
Cryptage Assure un cryptage élevé qui améliore la confidentialité des
connexions aux plug-ins Citrix.
106 Guide de l'administrateur Interface Web

Pack Description
Mappage de lecteurs Permet aux utilisateurs d'accéder à leurs lecteurs locaux à partir
clients d'une session. Lorsque les utilisateurs se connectent au serveur,
leurs lecteurs clients (lecteurs de disquettes, réseau et optiques, par
exemple) sont automatiquement montés. Les utilisateurs peuvent
accéder à leurs fichiers stockés localement, s'en servir au cours de
leurs sessions, puis les enregistrer de nouveau sur un lecteur local
ou sur un lecteur du serveur.
Pour activer ce paramètre, les utilisateurs doivent aussi configurer
le mappage de lecteurs clients dans la boîte de dialogue
Paramètres du client pour Java. Pour plus d'informations,
reportez-vous au Guide de l'administrateur du Client pour Java.
Mappage Permet aux utilisateurs d'imprimer sur leurs imprimantes locales
d'imprimantes ou réseau à partir d'une session.
Interface utilisateur Active la boîte de dialogue Paramètres du client pour Java. Cette
de configuration boîte de dialogue permet aux utilisateurs de configurer le Client
pour Java.

Utilisation de certificats racine privés avec le client pour Java, version9.x

Si vous avez configuré un service Secure Gateway ou Relais SSL avec un
certificat de serveur provenant d'une autorité de certification privée (si vous
délivrez par exemple vos propres certificats à l'aide des Services de certificats
Microsoft), vous devez importer le certificat racine dans le stock de clés Java de
chaque machine cliente. Pour plus d'informations, reportez-vous au Guide de
l'administrateur du Client pour Java.

Configuration de la prise en charge des anciens

plug-ins
Les fichiers ICA sont des fichiers texte contenant des paramètres et des
instructions d'accès aux ressources publiées. L'Interface Web est configurée par
défaut pour générer des fichiers .ica au format Unicode, ce qui augmente le
nombre de caractères diacritiques non européens reconnus par les plug-ins pour
ressources hébergées. Toutefois, les plug-ins livrés avec les versions antérieures à
Citrix MetaFrame Presentation Server 3.0 ne prennent pas en charge les fichiers
.ica Unicode, vous devrez donc peut-être configurer l'Interface Web de manière à
ce qu'elle prenne en charge toutes les versions des plug-ins Citrix.

Pour configurer la prise en charge des clients plug-ins

1. À l'aide d'un éditeur de texte, ouvrez le fichier WebInterface.conf qui se
trouve généralement dans le dossier \conf du site,
C:\inetpub\wwwroot\Citrix\nomdusite\conf.
2. Modifiez le réglage du paramètre EnableLegacyICAClientSupport sur
On.
 6 Gestion des plug-ins 107

Configuration du contrôle de la session de streaming

Vous pouvez utiliser la tâche Gérer le déploiement du plug-in pour configurer
l'Interface Web, afin de fournir les informations concernant les sessions
utilisateur à l'administrateur Citrix. L'Interface Web fournit ces informations au
moyen d'une adresse URL de session qui permet de communiquer avec Citrix
XenApp Plugin pour applications en streaming. Dans la plupart des cas, cette
adresse URL est détectée automatiquement. Cependant, il se peut qu'elle doive
être définie manuellement (par exemple, si un proxy côté client est utilisé).
Vous pouvez utiliser la console Access Management Console pour visualiser les
informations de session. Vous pouvez visualiser les informations de toutes les
sessions utilisateur dans plusieurs batteries, des applications publiées spécifiques,
des sessions se connectant à un serveur spécifique ou les sessions et les
applications d'un utilisateur spécifique.

Pour configurer le contrôle de la session de

livraison en streaming
1. Cliquez sur Gérer les ressources publiées et les plug-ins > Gérer le
déploiement du plug-in.
2. Sélectionnez Plug-in pour applications en streaming.
3. Sélectionnez le mode de communication de l'Interface Web avec Citrix
XenApp Plugin pour applications en streaming. Choisissez parmi les modes
suivants :
• Pour détecter automatiquement l'adresse URL de session utilisée pour
communiquer avec le plug-in, sélectionnez Détecter
automatiquement l'adresse URL de session.
• Pour définir une adresse URL de session, sélectionnez Spécifier
l'adresse URL de session et entrez les détails de l'adresse URL.

Configuration du plug-in Citrix XenApp

Le plug-in Citrix XenApp permet aux utilisateurs d'accéder aux applications
publiées, bureaux virtuels et contenus hébergés directement depuis des bureaux
Windows physiques sans avoir recours à un navigateur Web. Vous pouvez
configurer à distance la création de liens vers les ressources hébergées sur le
menu Démarrer, sur le bureau Windows ou dans la zone de notification de
Windows. L’interface utilisateur du plug-in Citrix XenApp peut également être
« verrouillée » pour éviter toute erreur de configuration par l’utilisateur. Vous
pouvez utiliser la console Access Management Console ou le fichier config.xml
pour configurer le plug-in Citrix XenApp.
108 Guide de l'administrateur Interface Web

Utilisation de la console Access Management

Console pour la configuration
Le plug-in Citrix XenApp est par défaut configuré pour utiliser des options de
présentation, des méthodes d’authentification et des options de connexion au
serveur spécifiques. La console Access Management Console permet de changer
les paramètres par défaut afin d'empêcher les utilisateurs de modifier certaines
options. Pour plus d'informations sur l'utilisation de la console, veuillez consulter
la section « Configuration de sites au moyen de la console » à la page 44.

Utilisation des fichiers de configuration

Vous pouvez également configurer le plug-in Citrix XenApp en utilisant les
fichiers config.xml et InterfaceWeb.conf. Généralement, ces fichiers sont situés
dans le répertoire C:\inetpub\wwwroot\Citrix\PNAgent\conf sur le serveur
Interface Web.

Gestion des fichiers de configuration des plug-ins

Les options du plug-in Citrix XenApp configurées dans la console sont stockées
dans un fichier de configuration sur le serveur Interface Web. Ce fichier de
configuration détermine la gamme des paramètres qui apparaissent sous la forme
d'options dans la boîte de dialogue Options du plug-in Citrix XenApp des
utilisateurs. Les utilisateurs peuvent effectuer une sélection parmi les options
disponibles afin de définir leurs préférences pour les sessions ICA, et notamment
le mode d'ouverture de session, la taille de l'écran, la qualité audio et
l'emplacement des liens vers les ressources publiées.
Pour les nouveaux sites, un fichier de configuration standard (config.xml)
contenant les paramètres par défaut est installé ; il est utilisable tel quel dans la
plupart des environnements réseau. Le fichier config.xml est stocké dans le
dossier \conf pour le site.
 6 Gestion des plug-ins 109

Gestion de l'accès sécurisé

Tous les nouveaux sites Interface Web sont configurés par défaut pour un accès
direct, ce qui signifie que l'adresse actuelle du serveur Citrix est communiquée à
tous les plug-ins Citrix. Toutefois, si vous utilisez Access Gateway, Secure
Gateway ou un pare-feu dans votre déploiement, vous pouvez utiliser la tâche
Modifier les paramètres d'accès sécurisé pour configurer l'Interface Web afin
qu'elle comprenne les paramètres appropriés. Vous pouvez également configurer
des méthodes d'accès différentes pour différents groupes d'utilisateurs. À titre
d'exemple, les utilisateurs internes qui ouvrent une session via un réseau local
d'entreprise peuvent être configurés pour un accès direct, tandis que les
utilisateurs externes qui ouvrent une session via Internet accèdent à l'Interface
Web par l'intermédiaire d'Access Gateway.
Cette section explique comment utiliser la tâche Modifier les paramètres
d'accès sécurisé pour définir des paramètres d'accès, modifier les traductions
d'adresse et configurer les réglages de passerelle.

Modification des routes d'accès directes

Si vous souhaitez communiquer l'adresse actuelle du serveur Citrix à un groupe
de plug-ins Citrix donné, vous pouvez spécifier les adresses des plug-ins et les
masques à l'aide de la tâche Modifier les paramètres d'accès sécurisé.

Pour configurer l'accès direct

1. Cliquez sur Gérer l'accès sécurisé > Modifier les paramètres d'accès
sécurisé.
2. Sur la page Spécifier les méthodes d'accès, cliquez sur Ajouter pour
ajouter une nouvelle route d'accès ou sélectionnez une entrée dans la liste et
cliquez sur Modifier pour modifier une route existante.
3. Dans la liste Méthode d'accès, sélectionnez Directe.
4. Entrez l'adresse réseau et le masque de sous-réseau identifiant le réseau
client.
5. Utilisez les boutons Déplacer vers le haut et Déplacer vers le bas pour
classer les routes d'accès par ordre de priorité dans le tableau Adresses des
machines clientes.
110 Guide de l'administrateur Interface Web

Modification des paramètres d'adresse

secondaire
Si vous souhaitez communiquer l'adresse secondaire du serveur Citrix à un
groupe de plug-ins Citrix donné, vous pouvez spécifier les adresses des plug-ins
et les masques à l'aide de la tâche Modifier les paramètres d'accès sécurisé. Le
serveur doit être configuré avec une adresse secondaire et le pare-feu doit être
configuré pour une traduction d'adresse réseau.

Remarque : il est impossible d'accéder à des bureaux virtuels XenDesktop si

des adresses secondaires sont utilisées.

Pour configurer des paramètres d'adresse secondaire

1. Cliquez sur Gérer l'accès sécurisé > Modifier les paramètres d'accès
sécurisé.
2. Sur la page Spécifier les méthodes d'accès, cliquez sur Ajouter pour
ajouter une nouvelle route d'accès ou sélectionnez une entrée dans la liste et
cliquez sur Modifier pour modifier une route existante.
3. Dans la liste Méthode d'accès, sélectionnez Secondaire.
4. Entrez l'adresse réseau et le masque de sous-réseau identifiant le réseau
client.
5. Utilisez les boutons Déplacer vers le haut et Déplacer vers le bas pour
classer les routes d'accès par ordre de priorité dans le tableau Adresses des
machines clientes.

Modification des traductions d'adresse

Si vous utilisez un pare-feu dans votre déploiement, vous pouvez vous servir de
l'Interface Web pour définir les mappages depuis les adresses internes vers les
adresses externes et les ports. Par exemple, si votre serveur Citrix n'est pas
configuré avec une adresse secondaire, vous pouvez configurer l'Interface Web
pour qu'elle fournisse une adresse secondaire au plug-in Citrix. Pour ce faire,
utilisez la tâche Modifier les paramètres d'accès sécurisé.

Pour configurer la traduction d'adresse du pare-feu interne

1. Cliquez sur Gérer l'accès sécurisé > Modifier les paramètres d'accès
sécurisé.
2. Sur la page Spécifier les méthodes d'accès, cliquez sur Ajouter pour
ajouter une nouvelle route d'accès ou sélectionnez une entrée dans la liste et
cliquez sur Modifier pour modifier une route existante.
 6 Gestion des plug-ins 111

3. Dans la liste Méthode d'accès, sélectionnez Traduite.

4. Entrez l'adresse réseau et le masque de sous-réseau identifiant le réseau
client. Utilisez les boutons Déplacer vers le haut et Déplacer vers le bas
pour classer les routes d'accès par ordre de priorité dans le tableau Adresses
des machines clientes et cliquez sur Suivant.
5. Sur la page Spécifier les traductions d'adresse, cliquez sur Ajouter pour
ajouter une nouvelle traduction d'adresse ou sélectionnez une entrée dans la
liste et cliquez sur Modifier pour modifier une traduction existante.
6. Sous Type d'accès, sélectionnez l'une des options suivantes :
• Si vous souhaitez que le plug-in Citrix utilise l'adresse traduite pour
se connecter au serveur Citrix, sélectionnez Traduction de route de
machine cliente.
• Si vous avez déjà configuré une route de passerelle traduite dans le
tableau Adresses des machines clientes et que vous souhaitez que le
plug-in et le serveur passerelle utilisent l'adresse traduite pour se
connecter au serveur Citrix, sélectionnez Traduction de route de
machine cliente et de passerelle.
7. Entrez les ports et adresses internes et externes (traduits) pour le serveur
Citrix. Les plug-ins qui se connectent au serveur utilisent le numéro de port
et l'adresse externes. Veillez à ce que les mappages que vous créez
correspondent au type d'adressage utilisé par le serveur Citrix.

Modification des réglages de passerelle

Si vous utilisez Access Gateway ou Secure Gateway dans votre déploiement,
vous devez configurer l'Interface Web pour la prise en charge de passerelle. Pour
ce faire, utilisez la tâche Modifier les paramètres d'accès sécurisé.

Pour configurer les paramètres de passerelle

1. Cliquez sur Gérer l'accès sécurisé > Modifier les paramètres d'accès
sécurisé.
2. Sur la page Spécifier les méthodes d'accès, cliquez sur Ajouter pour
ajouter une nouvelle route d'accès ou sélectionnez une entrée dans la liste et
cliquez sur Modifier pour modifier une route existante.
3. Sous Méthode d'accès, sélectionnez l'une des options suivantes :
• Si vous souhaitez communiquer l'adresse actuelle du serveur Citrix
au serveur passerelle, sélectionnez Passerelle directe.
• Si vous souhaitez communiquer l'adresse secondaire du serveur
XenApp au serveur passerelle, sélectionnez Passerelle secondaire.
112 Guide de l'administrateur Interface Web

Le serveur XenApp doit être configuré avec une adresse secondaire et

le pare-feu doit être configuré pour une traduction d'adresse réseau.

Remarque : il est impossible d'accéder à des bureaux virtuels

XenDesktop si des adresses secondaires sont utilisées.

• Si vous souhaitez que l'adresse communiquée au serveur passerelle

soit déterminée par les mappages de traduction d'adresse définis dans
l'Interface Web, sélectionnez Passerelle traduite.
4. Entrez l'adresse réseau et le masque de sous-réseau identifiant le réseau
client. Utilisez les boutons Déplacer vers le haut et Déplacer vers le bas
pour classer les routes d'accès par ordre de priorité dans le tableau Adresses
des machines clientes et cliquez sur Suivant.
5. Si vous n'utilisez pas de traduction d'adresse de passerelle, passez à l'étape
8. Si vous utilisez une traduction d'adresse de passerelle, cliquez sur
Ajouter dans la page Spécifier les traductions d'adresse pour ajouter une
nouvelle traduction d'adresse ou sélectionnez une entrée dans la liste et
sélectionnez Modifier pour modifier une traduction d'adresse existante.
6. Sous Type d'accès, sélectionnez l'une des options suivantes :
• Si vous souhaitez que le serveur passerelle utilise l'adresse traduite
pour se connecter au serveur Citrix, sélectionnez Traduction de
route de passerelle.
• Si vous avez déjà configuré une route de plug-in traduite dans le
tableau Adresses des machines clientes et que vous souhaitez que le
plug-in Citrix et le serveur passerelle utilisent l'adresse traduite pour
se connecter au serveur Citrix, sélectionnez Traduction de route de
machine cliente et de passerelle.
7. Entrez les ports et adresses internes et externes (traduits) pour le serveur
Citrix et cliquez sur Suivant. Lorsque le serveur passerelle se connecte au
serveur Citrix, il utilise l'adresse et le numéro de port externes. Veillez à ce
que les mappages que vous créez correspondent au type d'adressage utilisé
par la batterie de serveurs.
8. Sur la page Spécifier les paramètres de passerelle, spécifiez le nom de
domaine complet (FQDN) ainsi que le numéro de port du serveur passerelle
que les plug-ins doivent utiliser. Le FDQN doit correspondre au nom
complet du certificat installé sur le serveur passerelle.
9. Si vous souhaitez que le serveur Citrix laisse les sessions déconnectées
ouvertes lorsque le plug-in tente de se reconnecter automatiquement,
sélectionnez la case Activer la fiabilité de session. Cliquez sur Suivant.
 6 Gestion des plug-ins 113

10. Sur la page Spécifier les paramètres Secure Ticket Authority, cliquez sur
Ajouter pour spécifier l'adresse URL d'une Secure Ticket Authority (STA)
que l'Interface Web peut utiliser ou sélectionnez une entrée dans la liste et
cliquez sur Modifier pour modifier les détails des STA existantes. Les
Secure Ticket Authority sont intégrées au service Citrix XML, par exemple,
dans http://NomServeur/scripts/ctxsta.dll. Il est possible de spécifier
plusieurs Secure Ticket Authority pour la tolérance aux pannes ; Citrix
vous conseille toutefois de ne pas utiliser d'équilibreur de charge externe
dans ce but. Utilisez les boutons Déplacer vers le haut et Déplacer vers le
bas pour classer les Secure Ticket Authority par ordre de priorité.
11. Choisissez si vous souhaitez ou non activer l'équilibrage de charge entre les
Secure Ticket Authority à l'aide de l'option Utiliser pour l'équilibrage de
charge. L'activation de l'équilibrage de charge vous permet de distribuer
équitablement les connexions entre les serveurs afin qu'aucun serveur ne
soit surchargé.
12. Spécifiez la durée pendant laquelle les Secure Ticket Authority qui ne sont
pas contactables doivent être ignorées dans les cases Ignorer tout serveur
en échec pour. L'Interface Web fournit une tolérance aux pannes sur les
serveurs présents dans la liste Adresses URL Secure Ticket Authority de
manière à ce qu'en cas d'erreur de communication, le serveur défectueux
soit ignoré pour la période spécifiée.

Modification des paramètres d'accès par défaut

L'ordre dans lequel les entrées s'affichent dans le tableau Adresses des machines
clientes correspond à l'ordre dans lequel les règles sont appliquées. Si l'adresse de
la machine cliente ne correspond à aucune règle définie explicitement pour
l'accès, la règle par défaut est appliquée. Lorsque vous créez un site, la route par
défaut est automatiquement configurée pour l'accès direct. Vous pouvez spécifier
une méthode d'accès par défaut appropriée à votre déploiement grâce à la tâche
Modifier les paramètres d'accès sécurisé.

Pour configurer les paramètres d'accès par défaut

1. Cliquez sur Gérer l'accès sécurisé > Modifier les paramètres d'accès
sécurisé.
2. Sur la page Spécifier les méthodes d'accès, sélectionnez Valeur par
défaut dans la liste et cliquez sur Modifier.
3. Sous Méthode d'accès, sélectionnez l'une des options suivantes :
• Si vous souhaitez communiquer l'adresse actuelle du serveur Citrix
au plug-in Citrix, sélectionnez Directe.
114 Guide de l'administrateur Interface Web

• Si vous souhaitez communiquer l'adresse secondaire du serveur

XenApp au plug-in, sélectionnez Secondaire. Le serveur XenApp
doit être configuré avec une adresse secondaire et le pare-feu doit être
configuré pour une traduction d'adresse réseau.

Remarque : il est impossible d'accéder à des bureaux virtuels

XenDesktop si des adresses secondaires sont utilisées.

• Si vous souhaitez que l'adresse communiquée au plug-in soit

déterminée par les mappages de traduction d'adresse de l'Interface
Web, sélectionnez Traduite.
• Si vous souhaitez communiquer l'adresse actuelle du serveur Citrix
au serveur passerelle, sélectionnez Passerelle directe.
• Si vous souhaitez communiquer l'adresse secondaire du serveur
XenApp au serveur passerelle, sélectionnez Passerelle secondaire.
Le serveur XenApp doit être configuré avec une adresse secondaire et
le pare-feu doit être configuré pour une traduction d'adresse réseau.

Remarque : il est impossible d'accéder à des bureaux virtuels

XenDesktop si des adresses secondaires sont utilisées.

• Si vous souhaitez que l'adresse communiquée au serveur passerelle

soit déterminée par les mappages de traduction d'adresse définis dans
l'Interface Web, sélectionnez Passerelle traduite.
4. Entrez l'adresse réseau et le masque de sous-réseau identifiant le réseau
client. Utilisez les boutons Déplacer vers le haut et Déplacer vers le bas
pour classer les routes d'accès par ordre de priorité dans le tableau Adresses
des machines clientes.
5. Si vous utilisez une traduction d'adresse ou une passerelle dans votre
déploiement, cliquez sur Suivant et spécifiez les paramètres
supplémentaires appropriés pour votre configuration par défaut. Pour plus
d’informations, veuillez consulter les sections « Pour configurer la
traduction d'adresse du pare-feu interne » à la page 110, et « Pour
configurer les paramètres de passerelle » à la page 111.
 6 Gestion des plug-ins 115

Modification des paramètres du proxy côté client

Si vous utilisez un serveur proxy du côté client de l'installation de l'Interface Web,
vous pouvez choisir d'obliger ou non les plug-ins Citrix à communiquer avec le
serveur exécutant XenApp ou Desktop Delivery Controller via le serveur proxy.
Vous pouvez utiliser pour cela la tâche Modifier le proxy côté client.
Un serveur proxy placé du côté client d'une installation Interface Web offre les
avantages suivants en matière de sécurité :
• Masquage des informations, grâce auquel les noms système situés à
l'intérieur du pare-feu ne sont pas divulgués en dehors du pare-feu par
l'intermédiaire du DNS (Domain Name System)
• Multiplexage de différentes connexions TCP via une seule connexion
L'utilisation de la console Access Management Console vous permet de définir
des règles proxy par défaut pour les plug-ins Citrix. Cependant, vous pouvez
aussi configurer des exceptions à ce comportement pour des machines clientes
individuelles. Pour configurer des exceptions, associez l'adresse IP externe du
serveur proxy à un paramètre proxy de l'Interface Web.
Vous pouvez aussi spécifier que le comportement du proxy doit être contrôlé par
le plug-in. Pour utiliser la fonction Secure Proxy dans XenApp et XenDesktop,
par exemple, vous devez configurer l'Interface Web de façon à utiliser les
paramètres proxy spécifiés sur le plug-in et configurer le plug-in pour utiliser un
proxy sécurisé. Pour plus d'informations sur l'utilisation des plug-ins Citrix pour
contrôler le comportement du proxy, veuillez consulter le guide de
l'administrateur approprié.

Pour configurer les paramètres par défaut du

proxy
1. Cliquez sur Modifier le proxy côté client.
2. Cliquez sur Ajouter pour créer un nouveau mappage ou sélectionnez une
entrée dans la liste et cliquez sur Modifier pour modifier un mappage
existant.
3. Entrez l'adresse externe du proxy et le masque de sous-réseau de la machine
cliente dans les cases Adresse IP et Masque de sous-réseau.
116 Guide de l'administrateur Interface Web

4. Dans la liste Proxy, choisissez l'une des options suivantes :

• Pour que le plug-in détecte automatiquement le proxy Web en
fonction de la configuration du navigateur de l'ordinateur de la
machine cliente, sélectionnez Réglage du navigateur de
l'utilisateur.
• Pour que le plug-in détecte automatiquement le proxy Web à l'aide du
protocole de découverte automatique du proxy Web (WPAD),
sélectionnez Détection automatique du proxy Web.
• Pour utiliser les paramètres configurés pour le plug-in par
l'utilisateur, sélectionnez Défini par le plug-in.
• Pour utiliser un serveur proxy SOCKS, sélectionnez SOCKS. Si vous
choisissez cette option, vous devez entrer l'adresse et le numéro de
port du serveur proxy. L'adresse proxy peut être une adresse IP ou un
nom DNS.
• Pour utiliser un serveur proxy sécurisé, sélectionnez Sécurisé
(HTTPS). Si vous choisissez cette option, vous devez entrer l'adresse
et le numéro de port du serveur proxy. L'adresse proxy peut être une
adresse IP ou un nom DNS.
• Si vous ne souhaitez pas utiliser de proxy, sélectionnez Aucun.
5. Si vous avez entré plusieurs mappages, utilisez les boutons Déplacer vers
le haut et Déplacer vers le bas pour classer les mappages par ordre de
priorité dans le tableau.
 7

Personnalisation de l'expérience
utilisateur

Cette section explique comment personnaliser l'affichage de l'Interface Web pour

les utilisateurs. Elle comporte les rubriques suivantes :
• Personnalisation de l'affichage pour les utilisateurs
• Gestion des préférences de session
• Configuration du contrôle de l'espace de travail
• Modification des options de session
• Gestion des raccourcis vers les ressources publiées
• Utilisation des options d'actualisation des ressources publiées

Personnalisation de l'affichage pour les utilisateurs

Vous pouvez personnaliser l'affichage de l'interface utilisateur si vous souhaitez,
par exemple, que le site reflète l'identité de l'entreprise.
Utilisez la tâche Personnaliser l'affichage pour l'utilisateur pour
personnaliser :
• Configuration. Spécifiez les contrôles auxquels les utilisateurs ont accès
ainsi que le format du site Web. Vous pouvez effectuer les opérations
suivantes :
• Sélectionnez la configuration d'écran du site XenApp Web. Vous avez
le choix entre automatique, graphiques avancés ou graphiques
simplifiés. L'interface utilisateur simplifiée est une version compacte
conçue pour les utilisateurs qui utilisent des périphériques mobiles ou
des connexions à des réseaux lents pour accéder à leurs ressources
publiées. L'option Automatique permet au système de choisir la
configuration de site qui convient le mieux à la taille d'écran de
chaque utilisateur.
118 Guide de l'administrateur Interface Web

• Configurez les fonctionnalités et contrôles disponibles sur les écrans

Applications des utilisateurs (y compris la fonction de recherche et
les conseils) et spécifiez si les utilisateurs sont autorisés à
personnaliser leurs propres écrans.
• Définissez les styles d'affichage par défaut des ressources publiées
des utilisateurs dans les configurations d'écran graphiques avancés et
graphiques simplifiés. Vous pouvez également spécifier les styles
d'affichage que les utilisateurs sont autorisés à sélectionner.
• Spécifiez comment les ressources publiées sont groupées dans les
écrans Applications des utilisateurs. Vous pouvez configurer des
onglets séparés pour les applications, le contenu et les bureaux ou
regrouper toutes les ressources publiées sous un seul et même onglet.
• Affichage. Personnalisez l'interface utilisateur en affichant des images et
des couleurs différentes sur le site. Vous pouvez effectuer les opérations
suivantes :
• Spécifiez le style des écrans d'ouverture de session des utilisateurs.
Vous avez le choix entre une configuration simplifiée où seuls les
champs d'ouverture de session appropriés s'affichent et une
configuration comprenant la barre de navigation, ce qui permet aux
utilisateurs d'accéder aux écrans Messages et Préférences.
• Utilisez des images personnalisées pour les configurations
graphiques avancés et graphiques simplifiés ; vous pouvez même
ajouter des liens hypertexte aux images. Vous pouvez également
modifier l'image d'arrière-plan qui s'affiche dans la zone d'en-tête du
site ou simplement utiliser une autre couleur.
• Modifiez la barre de navigation afin d'assortir les images d'arrière-
plan et les couleurs avec celles de votre entreprise.
• Utilisez une image d'arrière-plan ou une couleur différente pour la
zone de contenu centrale du site et choisissez une couleur assortie
pour le texte.
• Contenu. Définissez des messages personnalisés et spécifiez des versions
traduites de ce texte pour les langues que vos utilisateurs utiliseront pour
accéder au site. Vous pouvez personnaliser le texte et les messages qui
apparaissent sur l'écran Ouvrir une session des utilisateurs ainsi que le
texte qui s'affiche sur l'écran Applications, l'écran Messages et sur le bas
de page de tous les écrans. Vous pouvez aussi configurer un message
d'exclusion de responsabilité que les utilisateurs doivent accepter avant
d'ouvrir une session.
 7 Personnalisation de l'expérience utilisateur 119

Gestion des préférences de session

Utilisez la tâche Gérer les préférences de session pour spécifier les paramètres
que les utilisateurs peuvent régler. Vous pouvez également utiliser cette tâche
pour spécifier la durée après laquelle les sessions Interface Web des utilisateurs
inactifs sont fermées et si l'Interface Web doit effacer le nom du plug-in dans le
cas des plug-ins pour ressources hébergées.
Pour les sites XenApp Web, vous pouvez configurer les paramètres suivants pour
les sessions utilisateur :
• Personnalisation des utilisateurs. Activez ou désactivez le mode kiosque
et spécifiez si le bouton Préférences est affiché sur l'écran Applications
des utilisateurs.
• Sessions Web. Spécifiez la durée pendant laquelle la session d'un
utilisateur peut rester inactive avant d'être fermée.
• Performances de connexion. Spécifiez si les utilisateurs sont autorisés à
personnaliser le contrôle de la bande passante, le nombre de couleurs, la
qualité audio et les paramètres de mappage d'imprimantes.
• Affichage. Spécifiez si les utilisateurs sont autorisés à contrôler la taille de
leur fenêtre dans les sessions hébergées et si l'Interface Web peut utiliser le
lissage de polices ClearType. Il faut pour cela que les paramètres
correspondants soient configurés sur les systèmes d'exploitation des
utilisateurs, sur les plug-ins Citrix et la batterie de serveurs.
• Ressources locales. Configurez les paramètres pour les combinaisons de
touches Windows, la synchronisation des ordinateurs de poche et la
redirection de dossiers spéciaux.
• Nom de la machine cliente. Spécifiez si l'Interface Web doit effacer le
nom des machines clientes des utilisateurs pour les ressources publiées
hébergées sur des serveurs distants.

Remarque : si vous souhaitez utiliser la fonction de contrôle de l'espace

de travail avec les versions 8.x et 9.x des clients pour Windows ou Citrix
Presentation Server 4.0, vous devez activer le paramètre L'Interface Web
devrait remplacer le nom des machines clientes.
120 Guide de l'administrateur Interface Web

Contrôle de la bande passante

Le contrôle de la bande passante permet aux utilisateurs de sélectionner les
paramètres de session en fonction de leur bande passante de connexion. Ces
options apparaissent dans les écrans de pré-ouverture de session Préférences et
Paramètres de session. Le contrôle de la bande passante permet de régler le
nombre de couleurs, la qualité audio et le mappage d'imprimantes. Par ailleurs,
vous pouvez utiliser des fichiers .ica de substitution pour gérer d'autres
paramètres ICA de contrôle de la bande passante :

Nom du fichier Description

bandwidth_ high.ica Contient les paramètres ICA de substitution pour les
connexions à haut débit, telles que les connexions large bande
ou LAN.
bandwidth_ Contient les paramètres ICA de substitution pour les
medium_high.ica connexions à haut/moyen débit, telles que les connexions via
des modems dont la vitesse est supérieure à 33 kbps.
bandwidth_ medium.ica Contient les paramètres ICA de substitution pour les
connexions à moyen débit, telles que les connexions via des
modems dont la vitesse est inférieure à 33 kbps.
bandwidth_low.ica Contient les paramètres ICA de substitution pour les
connexions à bas débit, telles que les connexions sans fil.
default.ica Contient les paramètres ICA de substitution utilisés
lorsqu'aucune vitesse de connexion n'est sélectionnée.

Pour spécifier des paramètres particuliers à utiliser par les plug-ins Citrix quels
que soient les paramètres de l'utilisateur et les ressources publiées auxquelles les
utilisateurs accèdent, ouvrez le fichier .ica de substitution approprié à l'aide d'un
éditeur de texte et insérez les paramètres ICA requis. Pour un site, les fichiers de
substitution .ica sont situés dans le dossier \conf, généralement dans
C:\inetpub\wwwroot\Citrix\NomduSite\conf.
En cas d'utilisation du client pour Java, le contrôle de la bande passante détermine
si des packs de mappage d'imprimantes et de mappage audio sont disponibles. En
cas d'utilisation du logiciel de connexion au Bureau à distance, la qualité audio est
activée ou désactivée et aucun contrôle de qualité ultérieur n'est fourni. Des
paramètres de bande passante faible sont recommandés pour les connexions
WAN sans fil.

Remarque : si le logiciel de connexion au Bureau à distance est utilisé avec le

contrôle de la bande passante, l'Interface Web indique les paramètres appropriés à
la bande passante sélectionnée. Toutefois, le comportement réel dépend de la
version du logiciel de connexion au Bureau à distance utilisé, des serveurs
Terminal Server et de la configuration des serveurs.
 7 Personnalisation de l'expérience utilisateur 121

Par défaut, les utilisateurs peuvent régler la taille de la fenêtre des sessions.
Si vous empêchez les utilisateurs de régler un paramètre, celui-ci ne s'affiche pas
dans l'interface utilisateur et les paramètres spécifiés sur le serveur pour la
ressource publiée sont utilisés.

Désactivation de la reconnexion automatique

La fonctionnalité de reconnexion automatique permet à Citrix XenApp Plugin
pour applications hébergées, au client pour Windows CE et au client pour Java de
détecter des connexions interrompues et de reconnecter de manière automatique
les utilisateurs aux sessions déconnectées. Lorsqu'un plug-in Citrix détecte une
déconnexion involontaire à une session, il tente de se reconnecter à la session, ce
qui permet aux utilisateurs de reprendre leur travail là où ils s'étaient arrêtés lors
de l'interruption de la connexion.
La fonctionnalité de reconnexion automatique est activée par défaut au niveau de
la batterie et peut être désactivée en modifiant les fichiers de substitution .ica pour
le site.
Pour désactiver la reconnexion automatique
1. À l'aide d'un éditeur de texte, ouvrez le fichier default.ica dans le dossier
\conf du site ; il se trouve généralement dans
C:\inetpub\wwwroot\Citrix\NomduSite\conf.
2. Dans la section WFClient, ajoutez la ligne suivante :
TransportReconnectEnabled=False

3. Répétez la même procédure pour les autres fichiers de paramètres ICA :

bandwidth_high.ica
bandwidth_medium_high.ica
bandwidth_medium.ica
bandwidth_low.ica

Lissage de polices ClearType

ClearType est une technologie d'anticrénelage subpixellaire développée par
Microsoft. Elle améliore le rendu de texte sur les écrans LCD en réduisant les
défauts perceptibles visibles et en affichant des caractères plus « lisses ». Le
lissage de polices ClearType est disponible sur Windows XP et Vista, mais il n'est
pas activé par défaut sur Windows XP.
122 Guide de l'administrateur Interface Web

L'Interface Web et Citrix XenApp Plugin pour applications hébergées prennent en

charge le lissage de polices ClearType durant les sessions ICA. Lorsqu'un
utilisateur exécutant Windows XP ou Vista se connecte au serveur, le plug-in
détecte automatiquement le paramètre de lissage de polices sur l'ordinateur de
l'utilisateur et l'envoie au serveur. Ce paramètre est utilisé pendant toute la durée
de la session.
Le lissage de polices doit être activé sur les systèmes d'exploitation des
utilisateurs, Citrix XenApp Plugin pour applications hébergées, le site Interface
Web et la batterie de serveurs. Utilisez la tâche Gérer les préférences de sessions
pour activer le lissage de polices pour les sites XenApp Web et la tâche Modifier
les options de session pour les sites XenApp Services.
Le lissage de polices s'applique uniquement aux ressources publiées hébergées
sur des serveurs distants. Cette fonctionnalité n'est pas disponible pour les
applications livrées en streaming.

Redirection de dossiers spéciaux

La fonctionnalité de redirection de dossiers spéciaux permet aux utilisateurs de
mapper des dossiers Windows spéciaux du serveur vers leur ordinateur local de
façon à faciliter l'utilisation de ressources publiées. Le terme dossiers spéciaux
fait référence aux dossiers Windows standard, tels que \Documents et \Bureau,
qui s'affichent toujours de la même façon quel que soit le système d'exploitation.

Remarque : préalablement à Windows Vista, « Mon » apparaissait devant les

noms de dossiers spéciaux, le dossier « Documents » était donc appelé « Mes
documents » dans Windows XP.

Lorsque des utilisateurs ouvrent, ferment, ou enregistrent des fichiers dans une
session dans laquelle la redirection de dossiers spéciaux n'est pas activée, les
icônes Documents et Bureau qui apparaissent dans les boîtes de dialogue de
navigation dans les ressources publiées des utilisateurs représentent les dossiers
Documents et Bureau des utilisateurs sur le serveur. La redirection de dossiers
spéciaux permet de rediriger certaines actions, telles que l'ouverture ou
l'enregistrement d'un fichier de façon à ce que lorsque les utilisateurs ouvrent ou
enregistrent des fichiers dans leurs dossiers \Documents ou \Bureau, ils accèdent
à ces mêmes dossiers sur leurs ordinateurs locaux. Pour l'instant, la redirection est
uniquement prise en charge sur les dossiers \Documents et \Bureau.
La redirection de dossiers spéciaux s'applique uniquement aux ressources
publiées hébergées sur des serveurs distants. Cette fonctionnalité n'est pas
disponible pour les applications livrées en streaming.
 7 Personnalisation de l'expérience utilisateur 123

Activation de la redirection de dossiers spéciaux

La prise en charge de la redirection de dossiers spéciaux est désactivée par défaut
pour les sites XenApp Web et XenApp Services et requiert la configuration d'une
stratégie sur le serveur Citrix. En outre, vous devez vous assurer qu'aucune règle
de stratégie n'a été définie pour empêcher les utilisateurs d'accéder à leurs lecteurs
locaux ou d'y effectuer des enregistrements.
Utilisez la tâche Gérer les préférences de sessions pour activer la redirection de
dossiers spéciaux pour les sites XenApp Web et la tâche Modifier les options de
session pour les sites XenApp Services. Vous pouvez également permettre aux
utilisateurs d'activer cette fonctionnalité sur l'écran Paramètres de session.
Lorsque la redirection de dossiers spéciaux est activée, les utilisateurs doivent
s'assurer que les ressources publiées disposent d'un accès en lecture et écriture
total aux fichiers et dossiers locaux en sélectionnant Plein accès sur la boîte de
dialogue Sécurité des fichiers clients dans le Centre de connexion Program
Neighborhood. Les utilisateurs doivent fermer toutes les sessions actives avant de
démarrer une nouvelle session sur une autre machine cliente. Citrix recommande
de ne pas activer la redirection de dossiers spéciaux pour les utilisateurs qui se
connectent à la même session simultanément depuis plusieurs périphériques
clients.

Configuration du contrôle de l'espace de travail

Utilisez la fonctionnalité de contrôle de l'espace de travail pour permettre aux
utilisateurs de se déconnecter rapidement de toutes les ressources publiées
(applications, contenu et bureaux), de se reconnecter aux ressources déconnectées
et de fermer la session de toutes les ressources. Ceci permet aux utilisateurs de
passer d'une machine cliente à une autre et d'avoir accès à toutes leurs ressources
publiées (déconnectées uniquement ou déconnectées et actives) soit lorsqu'ils
ouvrent une session, soit manuellement à tout moment. Le personnel hospitalier
peut, par exemple, avoir besoin de se déplacer entre plusieurs stations de travail et
d'accéder à la même série de ressources publiées à chaque ouverture de session.

Configurations requises pour les fonctionnalités

La configuration requise et les recommandations et fonctionnalités suivantes
s'appliquent à la fonction de contrôle de l'espace de travail :
• Pour utiliser le contrôle de l'espace de travail avec les versions 8.x et 9.x des
clients pour Windows ou Citrix Presentation Server 4.0, vous devez activer
le paramètre L'Interface Web devrait remplacer le nom des machines
clientes dans la tâche Gérer les préférences de session. Il s'agit du
paramètre par défaut.
124 Guide de l'administrateur Interface Web

• Si l'Interface Web détecte une tentative d'accès depuis une session, la

fonction de contrôle de l'espace de travail est désactivée.
• En fonction des paramètres de sécurité, Internet Explorer peut bloquer le
téléchargement des fichiers si ce dernier n'est pas directement initié par
l'utilisateur, c'est pourquoi les tentatives de reconnexion à des ressources
publiées à l'aide d'un plug-in natif peuvent être bloquées. Dans les
situations dans lesquelles la reconnexion est impossible, un message
d'avertissement s'affiche et invite les utilisateurs à reconfigurer leurs
paramètres de sécurité Internet Explorer.
• Le délai de chaque session Web expire après une période d'inactivité
(généralement de 20 minutes). Lorsque la session HTTP expire, l'écran de
fermeture de session s'affiche. Toutes les ressources publiées ouvertes ou
reconnectées au cours de cette session ne sont toutefois pas déconnectées.
Les utilisateurs doivent se déconnecter manuellement, fermer la session ou
ouvrir une nouvelle session Interface Web et utiliser le bouton Fermeture
de session ou Déconnecter.
• Les ressources publiées en vue d'une utilisation anonyme sont fermées
lorsque les utilisateurs anonymes et authentifiés se déconnectent, à
condition que le service XML Citrix soit configuré de façon à approuver les
informations d'identification de l'Interface Web. Les utilisateurs ne peuvent
donc pas se reconnecter à des ressources publiées anonymes après s'être
déconnectés.
• Pour utiliser l'authentification unique, une carte à puce ou une carte à puce
avec authentification unique, vous devez établir une relation d'approbation
entre le serveur Interface Web et le Service XML Citrix. Pour plus
d'informations, veuillez consulter la section « Utilisation du contrôle de
l'espace de travail avec des méthodes d'authentification intégrée » à la
page 125.
• Si les informations d'identification simplifiée ne sont pas activées pour les
sites XenApp Services, les utilisateurs de carte à puce sont invités à entrer
leur code secret à chaque nouvelle session (après reconnexion). Ce
problème ne se pose pas avec l'authentification unique ou les cartes à puce
avec authentification unique sur les sites XenApp Services car ces options
permettent d'activer l'authentification unique des informations
d'identification.
 7 Personnalisation de l'expérience utilisateur 125

Restrictions
Si vous envisagez d'activer le contrôle de l'espace de travail, tenez compte de ce
qui suit :
• Le contrôle de l'espace de travail n'est pas disponible pour les sites
configurés pour exécuter des applications livrées en streaming. Si vous
configurez un site pour le streaming en mode double, le contrôle de l'espace
fonctionne uniquement avec les ressources publiées hébergées sur des
serveurs distants.
• Vous ne pouvez pas utiliser le contrôle de l'espace de travail avec le client
Windows 32 bits avant la version 8 ou avec le logiciel de connexion au
Bureau à distance. En outre, cette fonctionnalité n'est disponible qu'avec
des serveurs exécutant la version 4.0 de Citrix Presentation Server ou une
version ultérieure.
• Le contrôle de l'espace de travail permet uniquement de se reconnecter à
des bureaux virtuels XenDesktop déconnectés. Les utilisateurs ne peuvent
pas se reconnecter à des bureaux virtuels suspendus.

Utilisation du contrôle de l'espace de travail avec

des méthodes d'authentification intégrée
Si les utilisateurs ouvrent une session à l'aide d'une authentification unique, d'une
carte à puce ou d'une carte à puce à authentification unique, vous devez établir
une relation d'approbation entre le serveur Interface Web et tout autre serveur
exécutant le Service XML Citrix en contact avec l'Interface Web. Le Service
Citrix XML communique des informations sur les ressources publiées entre
l'Interface Web et les serveurs exécutant XenApp et Desktop Delivery Controller.
Sans une telle relation, les boutons Se déconnecter, Se reconnecter et
Fermeture de session ne fonctionnent pas pour les utilisateurs qui ouvrent une
session à l'aide d'une carte à puce ou de l'authentification unique.
Vous n'avez pas à établir de relation d'approbation si vos utilisateurs sont
authentifiés par la batterie de serveurs, c'est-à-dire s'ils n'ouvrent pas de session à
l'aide des méthodes d'authentification unique ou d'une carte à puce.
126 Guide de l'administrateur Interface Web

Pour établir une relation d'approbation

1. Dans la console Access Management Console, sélectionnez le serveur dans
le volet de gauche qui exécute XenApp ou Desktop Delivery Controller.
2. Depuis le menu Action, cliquez sur Modifier les propriétés de serveur >
Modifier toutes les propriétés.
3. Depuis la liste Propriétés, sélectionnez Service XML.
4. Cochez la case Faire confiance aux requêtes envoyées au service XML.
Si vous configurez un serveur afin qu'il approuve les requêtes envoyées au
service XML Citrix, vous devez prendre en compte les facteurs suivants :
• Lorsque vous établissez une relation d'approbation, vous dépendez du
serveur de l'Interface Web pour l'authentification de l'utilisateur. Pour éviter
tout risque relatif à la sécurité, utilisez IPSec, des pare-feu ou toute
technologie garantissant que seuls les services approuvés communiquent
avec le service XML Citrix. Si vous n'utilisez ni IPSec, ni pare-feu, ni une
autre technologie de sécurité pour l'établissement de la relation
d'approbation, n'importe quelle machine réseau peut provoquer la
déconnexion ou la fermeture des sessions. La relation d'approbation n'est
pas nécessaire si les sites sont configurés pour une authentification explicite
uniquement.
• Activez la relation d'approbation uniquement sur les serveurs contactés
directement par l'Interface Web. Ces serveurs sont répertoriés dans la boîte
de dialogue Gérer les batteries de serveurs.
• Configurez la technologie que vous utilisez pour la sécurisation de
l'environnement afin de limiter l'accès au service XML Citrix uniquement
aux serveurs Interface Web. Si, par exemple, le service XML Citrix partage
un port avec IIS (Internet Information Services) de Microsoft, vous pouvez
utiliser la fonctionnalité de restriction des adresses IP d'IIS pour restreindre
l'accès au service XML Citrix.

Activation du contrôle de l'espace de travail

Pour activer le contrôle de l'espace de travail pour les sites XenApp Web, utilisez
la tâche Contrôler l'espace de travail. Pour activer le contrôle de l'espace de
travail pour des sites XenApp Services, cliquez sur Modifier les options de
session > Contrôler l'espace de travail.
Vous pouvez effectuer les opérations suivantes :
• configurer la reconnexion automatique lorsque les utilisateurs ouvrent une
session pour leur permettre de se reconnecter aux ressources publiées
déconnectées ou aux ressources déconnectées et actives ;
 7 Personnalisation de l'expérience utilisateur 127

• configurer le bouton Se reconnecter afin de permettre aux utilisateurs de se

reconnecter aux ressources publiées déconnectées ou aux ressources à la
fois déconnectées et actives ;
• permettre aux utilisateurs des sites XenApp Web de fermer la session
Interface Web et les sessions actives ou uniquement la session Interface
Web.

Pour activer la reconnexion automatique à l'ouverture de

session des utilisateurs
1. Sélectionnez l'option Reconnexion automatique aux sessions après
ouverture de session par l'utilisateur.
2. Choisissez l'une des options suivantes :
• Pour vous reconnecter automatiquement à la fois aux sessions
déconnectées et aux sessions actives, sélectionnez Se reconnecter à
toutes les sessions.
• Pour vous reconnecter automatiquement aux sessions déconnectées
uniquement, sélectionnez Se reconnecter uniquement aux sessions
déconnectées.
3. Sélectionnez la case Autoriser les utilisateurs à personnaliser pour
permettre aux utilisateurs de configurer ce paramètre par eux-mêmes. Les
utilisateurs peuvent modifier ce paramètre sur l'écran Paramètres de
compte des sites XenApp Web ou dans la boîte de dialogue Options du
plug-in Citrix XenApp pour les sites XenApp Services.

Pour activer le bouton Se reconnecter

1. Sélectionnez l'option Activer le bouton Se reconnecter.
2. Choisissez l'une des options suivantes :
• Pour configurer le bouton Se reconnecter afin de vous reconnecter à
la fois aux sessions déconnectées et aux sessions actives, sélectionnez
Se reconnecter à toutes les sessions.
• Pour configurer le bouton Se reconnecter afin de vous reconnecter
uniquement aux sessions déconnectées, sélectionnez Se reconnecter
uniquement aux sessions déconnectées.
3. Sélectionnez la case Autoriser les utilisateurs à personnaliser pour
permettre aux utilisateurs de configurer ce paramètre par eux-mêmes. Les
utilisateurs peuvent modifier ce paramètre sur l'écran Préférences de
connexion des sites XenApp Web ou dans la boîte de dialogue Options du
plug-in Citrix XenApp pour les sites XenApp Services.
128 Guide de l'administrateur Interface Web

Pour configurer le comportement de fermeture de session

1. Pour les sites XenApp Web uniquement, sélectionnez la case Fermer
toutes les sessions lorsque les utilisateurs ferment leur session Interface
Web pour fermer la session Interface Web des utilisateurs ainsi que toutes
les sessions actives. Si vous ne sélectionnez pas cette case, les sessions des
utilisateurs restent actives après leur fermeture.
2. Sélectionnez la case Autoriser les utilisateurs à personnaliser pour
permettre aux utilisateurs de configurer ce paramètre par eux-mêmes sur
l'écran Paramètres de compte du site.
 7 Personnalisation de l'expérience utilisateur 129

Modification des options de session

Pour les sites XenApp Services qui fournissent des applications hébergées sur des
serveurs distants, vous pouvez utiliser la tâche Modifier les options de session
afin de configurer les paramètres suivants des sessions utilisateur :
• Affichage. Sélectionnez les tailles de fenêtre disponibles pour les sessions
ICA et définissez des tailles personnalisées en pixels ou en pourcentage par
rapport à la taille de l'écran. Par ailleurs, vous pouvez permettre à l'Interface
Web d'utiliser le lissage de polices ClearType. Il faut pour cela que les
paramètres correspondants soient configurés sur les systèmes d'exploitation
des utilisateurs, le plug-in Citrix XenApp et la batterie de serveurs.
• Couleur et son. Les options activées dans cette section peuvent être
sélectionnées par les utilisateurs.
• Ressources locales. Activez les fonctions des combinaisons de touches
Windows que les utilisateurs peuvent sélectionner. Les combinaisons de
touches Windows n'affectent pas les connexions transparentes. Vous
pouvez activer les fonctions suivantes :
• Bureau local. Les combinaisons de touches ne s'appliquent qu'au
bureau local physique ; elles ne sont pas transmises aux sessions ICA.
• Bureau distant. Les combinaisons de touches s'appliquent au bureau
virtuel dans la session ICA.
• Bureaux plein écran uniquement. Les combinaisons de touches
s'appliquent au bureau virtuel dans la session ICA uniquement
lorsqu'il est en mode plein écran.
Activez la redirection de dossiers spéciaux de façon à ce que lorsque les
utilisateurs ouvrent, ferment ou enregistrent sur les dossiers \Documents ou
\Bureau dans des ressources publiées hébergées sur des serveurs distants,
leurs actions sont redirigées vers les dossiers sur leurs ordinateurs locaux.
Pour plus d'informations, veuillez consulter la section « Redirection de
dossiers spéciaux » à la page 122.
• Contrôle de l'espace de travail. Configurez le comportement de
reconnexion et de fermeture de session. Pour plus d'informations, veuillez
consulter la section « Configuration du contrôle de l'espace de travail » à la
page 123.
130 Guide de l'administrateur Interface Web

Gestion des raccourcis vers les ressources publiées

Vous pouvez utiliser la tâche Gérer les raccourcis pour indiquer la façon dont le
plug-in Citrix XenApp affiche les raccourcis vers des ressources publiées.
Vous pouvez créer les types de raccourcis ci-dessous.
• Menu Démarrer. Vous pouvez utiliser les paramètres figurant dans la tâche
Gérer les raccourcis, les paramètres définis lors de la publication de
ressources dans XenApp et Desktop Delivery Controller ou les deux
paramètres. Vous pouvez également indiquer si les raccourcis sont affichés
dans le menu Démarrer et de quelle façon, et autoriser les utilisateurs à
définir ce paramètre. Par ailleurs, vous pouvez créer des raccourcis dans le
menu Tous les programmes, créer un sous-menu supplémentaire et/ou
autoriser les utilisateurs à spécifier un nom de sous-menu.
• Bureau. Vous pouvez utiliser les paramètres figurant dans la tâche Gérer
les raccourcis, les paramètres définis lors de la publication de ressources
dans XenApp et Desktop Delivery Controller ou les deux paramètres. Vous
pouvez également indiquer si des raccourcis peuvent être affichés sur le
bureau et de quelle façon, et autoriser les utilisateurs à définir ce paramètre.
Par ailleurs, vous pouvez utiliser un nom de dossier personnalisé, autoriser
les utilisateurs à sélectionner un nom et/ou utiliser une adresse URL
personnalisée pour les icônes.
• Zone de notification. Vous pouvez afficher des ressources publiées dans la
zone de notification et/ou autoriser les utilisateurs à choisir le mode
d'affichage de ces ressources.
La tâche Gérer les raccourcis vous permet également de supprimer des
raccourcis. Vous pouvez indiquer le moment auquel les raccourcis sont supprimés
(à la fermeture du plug-in Citrix XenApp ou lorsque les utilisateurs ferment une
session XenApp) et, pour les utilisateurs exécutant Windows CE ou Linux, si les
raccourcis créés par l'utilisateur sont également supprimés en sus des raccourcis
du plug-in Citrix XenApp. Si vous sélectionnez les raccourcis du plug-in Citrix
XenApp et ceux créés par les utilisateurs, vous pouvez également limiter la
profondeur de recherche dans les dossiers afin d'améliorer les performances.
 7 Personnalisation de l'expérience utilisateur 131

Utilisation des options d'actualisation des ressources

publiées
Utilisez la tâche Gérer l'actualisation des ressources publiées pour indiquer le
moment auquel les listes des ressources publiées des utilisateurs sont actualisées
et si ces derniers peuvent personnaliser ces paramètres. Vous pouvez ainsi décider
que l'actualisation doit avoir lieu au démarrage du plug-in Citrix XenApp ou
lorsque les utilisateurs accèdent aux ressources publiées, et indiquer la fréquence
d'actualisation de la liste.
132 Guide de l'administrateur Interface Web
 8

Configuration de la sécurité de
l'Interface Web

Cette section fournit des informations concernant la mise en œuvre de la sécurité

de vos données dans un environnement Interface Web. Elle comporte les
rubriques suivantes :
• Introduction à la sécurité de l'Interface Web
• Protection des communications de l'Interface Web
• Sécurisation du plug-in Citrix XenApp avec SSL
• Communications entre l'Interface Web et le serveur Citrix
• Communications entre la session cliente et le serveur
• Considérations générales relatives à la sécurité

Introduction à la sécurité de l'Interface Web

Un plan de sécurité exhaustif doit aborder la protection de vos données à chaque
étape du processus de mise à disposition des ressources publiées. Cette section
décrit les problèmes et fournit des recommandations pour chacune des étapes
suivantes de communication de l'Interface Web.
• Communications entre machine cliente et Interface Web. Explique les
problèmes associés au transfert des données Interface Web entre les
navigateurs Web et les serveurs, et suggère des stratégies pour la protection
des données en transit et des données sauvegardées sur les machines
clientes.
• Communications entre l'Interface Web et un serveur. Décrit comment
sécuriser les informations d'authentification et les informations sur les
ressources publiées échangées entre le serveur Interface Web et la batterie
de serveurs.
134 Guide de l'administrateur Interface Web

• Communications entre la session cliente et le serveur. Examine les

problèmes associés à l'échange des informations de session entre les plug-
ins Citrix et les serveurs. Présente les implémentations des fonctionnalités
de sécurité de l'Interface Web et de XenApp/XenDesktop qui protègent de
telles données.

Ce diagramme illustre l'interaction entre la machine cliente, le serveur exécutant XenApp

ou Desktop Delivery Controller et le serveur Interface Web.

Protocoles de sécurité et solutions de sécurité

Citrix Security Solutions
Cette section présente certains des protocoles de sécurité et des solutions Citrix
que vous pouvez utiliser pour sécuriser le déploiement de votre Interface Web.
Elle apporte des éléments d'information sur les protocoles de sécurité SSL et
TLS, le Relais SSL, Access Gateway, Secure Gateway et le cryptage ICA. Elle
indique également où trouver des sources d'informations complémentaires sur ces
différentes technologies.

Secure Sockets Layer

Le protocole SSL (Secure Socket Layer) offre la possibilité de sécuriser les
communications de données sur les réseaux. SSL offre des fonctions
d'authentification du serveur, de cryptage du flux de données et de contrôle de
l'intégrité des messages.
 8 Configuration de la sécurité de l'Interface Web 135

SSL utilise la cryptographie pour coder les messages, authentifier leur identité et
garantir l'intégrité de leur contenu. Ces fonctions protègent des risques tels que
l'écoute clandestine, les erreurs d'acheminement et la manipulation des données.
SSL utilise des certificats de clé publique, émis par des autorités de certification,
comme preuve d'identité. Pour plus d'informations sur SSL, la cryptographie et
les certificats, veuillez consulter le Guide de l'administrateur Citrix XenApp, le
Guide de l’administrateur du Relais SSL Citrix XenApp pour UNIX et le Guide de
l'administrateur de Secure Gateway.

Transport Layer Security (TLS)

TLS (Transport Layer Security) est la dernière version normalisée du protocole
SSL. L'IETF (Internet Engineering Taskforce) l'a renommé TLS en prenant en
charge le développement du protocole SSL en tant que norme ouverte. Comme
SSL, TLS offre des fonctions d'authentification du serveur, de cryptage du flux de
données et de contrôle de l'intégrité des messages.
TLS version 1.0 est pris en charge par Citrix Presentation Server 4.0 et versions
supérieures et Citrix XenDesktop. Les différences techniques entre SSL 3.0 et
TLS 1.0 étant mineures, les certificats de serveur que vous utilisez pour SSL dans
votre installation fonctionnent également pour TLS.
Certaines organisations, y compris les organisations gouvernementales
américaines, exigent d'utiliser le protocole TLS pour sécuriser les
communications de données. Ces organisations peuvent également exiger
l’utilisation d’une cryptographie éprouvée, telle que FIPS 140. FIPS (Federal
Information Processing Standard) est une norme de cryptographie.

Remarque : la taille maximale de clé de certificat SSL/TLS prise en charge par

l'Interface Web pour les serveurs d'application Java est de 2 048 bits.

Relais SSL
Le Relais SSL est un composant qui utilise SSL pour garantir la sécurité des
communications entre les serveurs Interface Web et les batteries de serveurs. Le
Relais SSL assure l’authentification des serveurs, le cryptage des données et
l’intégrité des messages pour les connexions TCP/IP. Le Relais SSL est fourni par
le service XTE Citrix.
Le Relais SSL sert d’intermédiaire dans les communications entre le serveur
Interface Web et le Service XML Citrix. Lorsque vous utilisez le Relais SSL, le
serveur Web contrôle d’abord son identité en vérifiant son certificat de serveur au
moyen d’une liste d’autorités de certification approuvées.
136 Guide de l'administrateur Interface Web

Après cette authentification, le serveur Web et le Relais SSL négocient une

méthode de cryptage pour la session. Le serveur Web transmet ensuite toutes les
requêtes d’information sous forme cryptée au Relais SSL. Le Relais SSL
décrypte les requêtes et les transmet au Service XML Citrix. Lorsqu’il renvoie les
informations au serveur Web, le service XML les transmet via le serveur
exécutant le Relais SSL qui crypte les données et les transmet au serveur Web
pour décryptage. L’intégrité des messages est contrôlée pour chaque
communication afin de vérifier que les données n’ont pas été modifiées lors du
transit. Pour plus d'informations sur le Relais SSL, veuillez consulter le Guide de
l'administrateur Citrix XenApp ou le Guide de l'administrateur du Relais SSL
Citrix XenApp pour UNIX.

Cryptage ICA
Le cryptage ICA permet de crypter les informations échangées entre un serveur et
un plug-in Citrix. Il est ainsi plus difficile pour les utilisateurs non autorisés
d'interpréter une transmission cryptée.
Le cryptage ICA préserve la confidentialité des informations en cas d'écoute
clandestine. Cependant, d'autres dangers menacent la sécurité, et l'utilisation du
cryptage ne représente qu'un aspect d'une stratégie globale de sécurité.
Contrairement à SSL/TLS, le cryptage ICA ne permet pas l'authentification du
serveur. Par conséquent, les informations pourraient théoriquement être
interceptées sur le réseau et redirigées vers un faux serveur. Par ailleurs, le
cryptage ICA n'assure pas de contrôle de l'intégrité.
Le cryptage ICA n'est pas disponible pour XenApp pour serveurs UNIX.

Access Gateway
Vous pouvez utiliser Access Gateway avec l'Interface Web et Secure Ticket
Authority (STA) pour fournir l'authentification, l'autorisation et la redirection des
ressources publiées (applications, contenu et bureaux) hébergées sur un serveur
exécutant XenApp ou Desktop Delivery Controller.
Access Gateway est un dispositif universel de réseau privé virtuel (VPN) du SSL
qui garantit un accès unique et sécurisé à toute ressource d'informations (données
et voix). Access Gateway crypte et prend en charge toutes les ressources publiées
et tous les protocoles.
Access Gateway fournit aux clients distants un accès sécurisé transparent aux
ressources publiées autorisées et aux ressources du réseau, leur permettant de
travailler avec des fichiers sur des lecteurs réseau, des e-mails, des sites intranet
et des ressources publiées, comme s'ils travaillaient à l'intérieur du pare-feu de
leur organisation.
 8 Configuration de la sécurité de l'Interface Web 137

Ce diagramme explique les méthodes utilisées par Access Gateway pour sécuriser les
communications entre les plug-ins Citrix compatibles SSL/TLS et les serveurs.
Pour plus d'informations sur Access Gateway, veuillez consulter le Guide de
l'administrateur Citrix Access Gateway. Pour plus d'informations sur la
configuration de l'Interface Web pour la prise en charge d'Access Gateway à l'aide
de la console Access Management Console, veuillez consulter la section
« Modification des réglages de passerelle » à la page 111.

Secure Gateway
Vous pouvez utiliser Secure Gateway avec l'Interface Web pour fournir un point
d'accès Internet unique, sécurisé et crypté aux serveurs des réseaux d'entreprise
internes.
En cryptant le trafic ICA, Secure Gateway joue le rôle d'une passerelle Internet
sécurisée entre les plug-ins Citrix compatibles SSL/TLS et les serveurs. La partie
Internet du trafic entre les machines clientes et le serveur Secure Gateway est
cryptée à l’aide du protocole SSL/TLS. Cela signifie que les utilisateurs peuvent
accéder à des informations à distance sans compromettre la sécurité. Secure
Gateway simplifie aussi la gestion des certificats, un certificat n'étant requis que
sur le serveur Secure Gateway et non sur chaque serveur de la batterie.

Ce diagramme explique les méthodes utilisées par Secure Gateway pour sécuriser les
communications entre les plug-ins Citrix compatibles SSL/TLS et les serveurs.
138 Guide de l'administrateur Interface Web

Pour plus d'informations sur Secure Gateway, consultez le Guide de

l'administrateur de Secure Gateway. Pour plus d'informations sur la configuration
de l'Interface Web pour la prise en charge de Secure Gateway à l'aide de la
console Access Management Console, veuillez consulter la section
« Modification des réglages de passerelle » à la page 111.
 8 Configuration de la sécurité de l'Interface Web 139

Protection des communications de l'Interface Web

Avec l'Interface Web, vous pouvez protéger les communications entre plug-ins et
serveurs de la façon suivante :
• Demandez aux utilisateurs de se connecter aux pages de l'Interface Web via
une connexion HTTPS (HTTP sécurisée avec SSL/TLS). Pour pouvoir
établir une connexion HTTP sécurisée, un certificat SSL doit être installé
sur votre serveur Web.
• Configurez l'Interface Web afin qu’elle utilise le Relais SSL pour le
cryptage entre le serveur Interface Web et les serveurs exécutant XenApp et
Desktop Delivery Controller. Si IIS est installé sur le serveur exécutant
XenApp ou Desktop Delivery Controller, vous pouvez utiliser HTTPS pour
sécuriser la connexion.

Sécurisation du plug-in Citrix XenApp avec SSL

Pour utiliser SSL afin de sécuriser les communications entre le plug-in Citrix
XenApp et le serveur Interface Web, sélectionnez la case Utiliser SSL/TLS pour
les communications entre les plug-ins et ce site dans la tâche Gérer les
réglages du serveur.
Assurez-vous que la case Activer les protocoles SSL et TLS est cochée dans la
page Options du client de la boîte de dialogue Application propriétés dans la
Configuration avancée XenApp.

Communications entre machine cliente et Interface Web

Les communications entre les plug-ins Citrix et le serveur Interface Web
consistent en un échange de différents types de données. Lorsque les utilisateurs
procèdent à leur identification, parcourent les ressources publiées et sélectionnent
une ressource, le navigateur et le serveur Web se transmettent les informations
d’identification des utilisateurs, les séries de ressources et les fichiers
d’initialisation de session. Plus précisément, les données échangées incluent les
éléments suivants.
• Données de formulaire HTML. Lorsque les utilisateurs ouvrent une
session, les sites de l'Interface Web utilisent un formulaire HTML standard
pour transmettre les informations d’identification des utilisateurs du
navigateur Web au serveur Web. Le formulaire Interface Web transmet les
noms d'utilisateur et les informations d'identification sous forme de texte
clair.
140 Guide de l'administrateur Interface Web

• Pages HTML et cookies de session. Une fois entrées dans la page Ouvrir
une session, les informations d'identification de l'utilisateur sont stockées
sur le serveur Web et protégées par un cookie de session. Les pages HTML
transmises du serveur Web au navigateur contiennent les séries de
ressources. Ces pages listent les ressources publiées disponibles pour
l’utilisateur.
• Fichiers ICA. Lorsqu'un utilisateur sélectionne une ressource publiée, le
serveur Web transmet un fichier .ica pour cette ressource au plug-in Citrix
(dans certains cas, le navigateur Web est utilisé comme intermédiaire). Le
fichier .ica contient un ticket qui peut être utilisé pour ouvrir une session sur
le serveur. les fichiers ICA ne comprennent pas de ticket pour
l'authentification unique ou par carte à puce.

Problèmes de sécurité
Des agresseurs peuvent exploiter les données de l'Interface Web alors qu’elles
transitent sur le réseau entre le serveur Web et le navigateur, et lorsqu’elles sont
écrites sur la machine cliente.
• Des agresseurs peuvent intercepter les données d’ouverture de session, le
cookie de session et les pages HTML en transit entre le serveur Web et le
navigateur.
• Bien que le cookie de session utilisé par l'Interface Web soit transitoire et
disparaisse lorsque l’utilisateur ferme le navigateur Web, des agresseurs
ayant accès au navigateur de la machine cliente peuvent le récupérer et, le
cas échéant, utiliser les informations d’identification.
• Bien que le fichier .ica ne contienne pas les informations d’identification de
l’utilisateur, il comporte un ticket à usage unique, dont la validité expire,
par défaut, au bout de 200 secondes. Il se peut que des agresseurs utilisent
le fichier .ica intercepté pour se connecter au serveur avant que l’utilisateur
autorisé n’utilise le ticket et établisse la connexion.
• Si les utilisateurs Internet Explorer qui se connectent à un serveur Web au
moyen d'une connexion HTTPS ont sélectionné l'option empêchant la mise
en cache des pages cryptées, le fichier .ica est enregistré en texte clair dans
le dossier \Temporary Internet Files de Windows. Des agresseurs qui
auraient accès au cache Internet Explorer d'un utilisateur pourraient
récupérer le fichier .ica afin d'obtenir les informations réseau.
• Si l'authentification unique est activée sur le plug-in Citrix, des agresseurs
peuvent envoyer à l'utilisateur un fichier .ica qui provoque le détournement
de ses informations d’identification vers un serveur non autorisé ou un faux
serveur. Cela se produit lorsque le plug-in capture les informations
d'identification d'un utilisateur lors de l'ouverture de session sur la machine
cliente et les renvoie vers un serveur quelconque (si le fichier .ica contient
le paramètre approprié).
 8 Configuration de la sécurité de l'Interface Web 141

Recommandations
Les recommandations suivantes combinent des pratiques de sécurité standard de
l’industrie et des méthodes Citrix pour la protection des données transitant entre
les machines clientes et le serveur Web, et des données écrites sur les machines
clientes.

Utilisation de serveurs Web et navigateurs SSL/TLS

La sécurisation des communications entre le serveur Web et le navigateur de
l'Interface Web commence par la mise en place de serveurs Web et de navigateurs
sécurisés. La sécurité de nombreux serveurs Web repose sur la technologie SSL/
TLS.
Dans une transaction typique entre serveur Web et navigateur, le navigateur
vérifie d’abord l’identité du serveur en comparant son certificat de serveur à une
liste d’autorités de certification approuvées. Après vérification, le navigateur
crypte les requêtes de page de l’utilisateur puis décrypte les documents renvoyés
par le serveur Web. À la fin de chaque transaction, des contrôles d’intégrité de
message TLS (Transport Layer Security) ou SSL (Secure Sockets Layer) vérifient
que les données n’ont pas été modifiées lors du transit.
Dans un déploiement Interface Web, l’authentification SSL/TLS et le cryptage
créent une connexion sécurisée permettant à l’utilisateur de transmettre les
informations d’identification qu'il a entrées dans la page Ouvrir une session. Les
données transmises à partir du serveur Web (cela comprend les informations
d’identification, les cookies de session, les fichiers .ica et les pages HTML de
série de ressources) sont toutes sécurisées.
Pour mettre en œuvre la technologie SSL/TLS sur votre réseau, vous devez
posséder un serveur Web et un navigateur Web compatibles SSL/TLS.
L'utilisation de ces produits s'effectue en toute transparence pour l'Interface Web.
Il n’est pas nécessaire de configurer les serveurs Web et les navigateurs pour
l'Interface Web. Pour plus de détails sur la configuration du serveur Web pour la
prise en charge de la technologie SSL/TLS, veuillez consulter documentation de
votre serveur Web.

Remarque : de nombreux serveurs Web compatibles SSL/TLS utilisent le port

TCP/IP 443 pour les communications HTTP. Par défaut, le Relais SSL utilise
également ce port. Si votre serveur Web exécute également le Relais SSL,
assurez-vous que le serveur Web ou le Relais SSL est configuré pour utiliser un
autre port.
142 Guide de l'administrateur Interface Web

N'activez pas l'authentification unique

Pour empêcher tout détournement des informations d'identification des
utilisateurs vers un serveur non autorisé ou un faux serveur, n'activez pas
l'authentification unique dans les installations sécurisées. N'utilisez cette fonction
que dans les environnements réduits et approuvés.

Communications entre l'Interface Web et le serveur Citrix

Les communications entre l'Interface Web et le serveur exécutant XenApp ou
Desktop Delivery Controller impliquent le transfert des informations
d'identification et des informations sur les séries de ressources de l'utilisateur
entre l'Interface Web et le Service XML Citrix sur la batterie de serveurs.
Dans une session standard, l'Interface Web transfère des informations
d’identification au Service XML Citrix pour l'authentification de l'utilisateur et le
Service XML Citrix renvoie des informations sur les séries de ressources. Le
serveur et la batterie échangent les informations à l'aide d'une connexion TCP/IP
et du protocole XML Citrix.

Problèmes de sécurité
À l’exception des mots de passe, qui sont transmis masqués, le protocole XML de
l'Interface Web n’effectue aucun cryptage des données. Les données sont donc
transmises en clair. Les communications sont vulnérables aux attaques suivantes :
• Des agresseurs peuvent intercepter le trafic XML et s’emparer des
informations sur les séries de ressources et des tickets. Des agresseurs ayant
la capacité de désactiver le masquage peuvent également obtenir les
informations d’identification des utilisateurs.
• Des agresseurs peuvent se faire passer pour le serveur et intercepter les
requêtes d’authentification.

Recommandations
Citrix recommande d'implémenter l'une des mesures de sécurité suivantes pour
sécuriser le trafic XML entre le serveur Interface Web et la batterie de serveurs :
• Utilisez le Relais SSL comme intermédiaire de sécurité entre le serveur
Interface Web et la batterie de serveurs. Le Relais SSL procède à
l'authentification de l'hôte et au cryptage des données.
• Dans les déploiements ne prenant pas en charge le Relais SSL, installez
l'Interface Web sur le serveur exécutant XenApp ou Desktop Delivery
Controller.
 8 Configuration de la sécurité de l'Interface Web 143

• Utilisez le protocole HTTPS pour envoyer les données de l'Interface Web

via une connexion HTTP sécurisée à l'aide de SSL si Microsoft Internet
Information Services (IIS) est installé sur le serveur exécutant XenApp ou
Desktop Delivery Controller.

Utilisation du Relais SSL

Le Relais SSL est un composant par défaut de XenApp et XenDesktop.
Côté serveur, vous devez installer un certificat de serveur sur le serveur exécutant
le Relais SSL et vérifier la configuration de ce dernier. Pour des informations
complémentaires sur l’installation d’un certificat de serveur et la configuration du
Relais SSL sur des serveurs, veuillez consulter le Guide de l’administrateur
Citrix XenApp. Vous pouvez également consulter l’aide de l’Outil de
configuration du Relais SSL. Pour XenApp pour serveurs UNIX, veuillez
consulter le Guide de l'administrateur du Relais SSL Citrix XenApp pour UNIX.
Lors de la configuration du Relais SSL, assurez-vous que le serveur exécutant le
Relais SSL autorise la transmission des données SSL aux serveurs dont le service
XML Citrix sera utilisé comme point de contact. Par défaut, le Relais SSL ne
transmet les données qu’au serveur sur lequel il est installé. Vous pouvez
toutefois le configurer pour diriger les données vers d’autres serveurs. Si votre
Relais SSL est situé sur un serveur différent de celui sur lequel vous voulez
envoyer les données Interface Web, assurez-vous que le serveur sur lequel vous
voulez envoyer les données Interface Web figure dans la liste de serveurs du
Relais SSL.
Vous pouvez configurer l'Interface Web pour qu'elle utilise le Relais SSL à l'aide
de la console Access Management Console ou du fichier WebInterface.conf. Pour
plus d'informations sur l'utilisation de la console, veuillez consulter la section
« Gestion de batteries de serveurs » à la page 59.
Pour configurer l'Interface Web afin d'utiliser le Relais SSL à l'aide de
WebInterface.conf
1. À l'aide d'un éditeur de texte, ouvrez le fichier WebInterface.conf.
2. Remplacez la valeur SSLRelayPort dans le paramètre Farm<n> par le
numéro de port du Relais SSL sur le serveur.
3. Remplacez la valeur du réglage Transport dans le paramètre Farm<n> par
SSL.
Ajout de certificats au serveur Interface Web
Pour ajouter la prise en charge d'une autorité de certification, vous devez ajouter
le certificat racine de l'autorité de certification au serveur Interface Web.
Pour ajouter un nouveau certificat racine au serveur Interface Web
Copiez le certificat racine dans votre serveur Web.
144 Guide de l'administrateur Interface Web

• Sous IIS, le certificat est copié à l’aide du composant logiciel enfichable

Gestionnaire de certificat de MMC (Microsoft Management Console).
• Sur les serveurs d'application Java, utilisez l'outil de ligne de commande
keytool pour copier le certificat dans le répertoire de stockage de clés
approprié pour votre plate-forme. Le certificat doit être ajouté au stock de
clés associé à la machine virtuelle Java qui fournit les pages Web. Le stock
de clés se trouve généralement dans les emplacements suivants :
• {javax.net.ssl.trustStore}
• {java.home}/lib/security/jssecacerts
• {java.home}/lib/security/cacerts
Pour plus d'informations sur les certificats, veuillez consulter la section
d'installation du Guide de l'administrateur Citrix XenApp. Pour XenApp pour
serveurs UNIX, veuillez consulter le Guide de l'administrateur du Relais SSL
Citrix XenApp pour UNIX.

Activation de l'Interface Web sur le serveur exécutant XenApp

ou Desktop Delivery Controller
Pour les déploiements ne permettant pas l’utilisation du Relais SSL, il est
possible d’éliminer le risque d’une attaque réseau en exécutant un serveur Web
sur le serveur qui fournit les données de l'Interface Web. L’hébergement des sites
de l'Interface Web sur un tel serveur Web permet de diriger toutes les requêtes de
l'Interface Web vers le service XML Citrix de l’hôte local et d’éliminer ainsi la
transmission de données de l'Interface Web sur le réseau. Cependant, il convient
de comparer les avantages de l’élimination de la transmission réseau aux risques
d’exploitation du serveur Web.
Vous pouvez commencer par placer votre serveur Web et le serveur exécutant
XenApp ou Desktop Delivery Controller derrière un pare-feu afin de ne pas
exposer les communications entre ces serveurs aux utilisateurs d’Internet. Dans
ce scénario, les machines clientes doivent être capables de communiquer via le
pare-feu avec le serveur Web et le serveur exécutant XenApp ou Desktop
Delivery Controller. Le pare-feu doit permettre le trafic HTTP (généralement via
le port http 80 ou 443 si un serveur Web sécurisé est utilisé) pour les
communications entre la machine cliente et le serveur Web. Pour les
communications entre le plug-in et le serveur, le pare-feu doit autoriser le trafic
ICA entrant sur les ports1494 et 2598. Pour de plus amples informations sur
l'utilisation du protocole ICA avec des pare-feu réseau, consultez la
documentation du serveur Web. Pour plus de détails sur l'utilisation de l'Interface
Web avec la traduction d'adresse réseau, reportez-vous au kit de développement
de l'Interface Web.
 8 Configuration de la sécurité de l'Interface Web 145

Remarque : sur les systèmes exécutant XenApp, le programme d’installation

vous permet de forcer le Service XML Citrix à partager le port TCP/IP d’Internet
Information Services plutôt que d'utiliser un port dédié. Avec Desktop Delivery
Controller, le programme d'installation active le partage de port
automatiquement. Lorsque le partage du port est activé, le service XML Citrix et
le serveur Web utilisent le même port par défaut.

Utilisation du protocole HTTPS

Vous pouvez utiliser le protocole HTTPS pour sécuriser les données de l'Interface
Web échangées entre le serveur Web et le serveur exécutant XenApp ou Desktop
Delivery Controller. HTTPS utilise le protocole SSL/TLS pour assurer un
cryptage fort des données.
Le serveur Web établit une connexion HTTPS à IIS sur le serveur exécutant
XenApp ou Desktop Delivery Controller. Cette opération exige le partage du port
IIS sur le serveur exécutant XenApp ou Desktop Delivery Controller et
l'activation du protocole SSL sur ce serveur. Le nom de serveur que vous
spécifiez (à l'aide de la console ou dans le paramètre Farm<n>dans
WebInterface.conf) doit être un nom DNS complet correspondant au nom du
certificat de serveur SSL IIS.
Le service XML Citrix est disponible dans https://nomserveur/scripts/wpnbr.dll.
Pour plus d'informations sur la configuration de l'Interface Web pour l'utilisation
du protocole HTTPS à l'aide de la console Access Management Console, veuillez
consulter la section « Gestion de l'accès sécurisé » à la page 109.
Pour configurer l'Interface Web afin d'utiliser le protocole HTTPS à l'aide du fichier
WebInterface.conf
1. À l'aide d'un éditeur de texte, ouvrez le fichier WebInterface.conf.
2. Remplacez la valeur du réglage Transport dans le paramètre Farm<n> par
HTTPS.
146 Guide de l'administrateur Interface Web

Communications entre la session cliente et le serveur

Les communications de l'Interface Web entre les machines clientes et les serveurs
impliquent la transmission de plusieurs types de données de session, notamment
des requêtes d’initialisation et des informations de session.
• Requêtes d’initialisation. La première étape permettant d'établir une
session, appelée initialisation, exige que le plug-in Citrix fasse la requête
d'une session et fournisse une liste de paramètres de configuration de
session. Ces paramètres contrôlent divers aspects de la session, comme
l'utilisateur devant ouvrir une session, la taille de la fenêtre à tracer et le
programme à exécuter au cours de la session.
• Informations de session. Après l'initialisation de la session, les
informations sont transmises entre le plug-in Citrix et le serveur par un
certain nombre de couches virtuelles ; par exemple les entrées souris (du
plug-in au serveur) et les mises à jour graphiques (du serveur au plug-in).

Problèmes de sécurité
Pour capturer et interpréter les communications réseau entre le plug-in et le
serveur, des agresseurs doivent être capables de déchiffrer le protocole plug-in
binaire. Des agresseurs connaissant les détails du protocole plug-in binaire
peuvent :
• intercepter les informations de requête d’initialisation envoyées depuis le
plug-in Citrix, notamment les informations d’identification de l’utilisateur ;
• intercepter les informations de session, y compris le texte et les clics de
souris entrés par les utilisateurs ainsi que les mises à jour d’affichage
envoyées depuis le serveur.

Recommandations
Utilisation du protocole SSL/TLS ou du cryptage ICA
Citrix vous conseille d’utiliser SSL/TLS ou le cryptage ICA pour assurer la
sécurité du trafic entre vos plug-ins Citrix et vos serveurs. Les deux méthodes
prennent en charge le cryptage 128 bits du flux de données entre le plug-in et le
serveur, mais SSL/TLS prend également en charge la vérification de l'identité du
serveur.
 8 Configuration de la sécurité de l'Interface Web 147

Citrix Presentation Server 4.0 et versions supérieures, Citrix Presentation Server

4.0 pour systèmes d'exploitation UNIX et Citrix XenDesktop prennent en charge
SSL. SSL/TLS et le cryptage ICA sont pris en charge par Citrix Presentation
Server 4.0 et versions supérieures et Citrix XenDesktop. Pour obtenir une liste
des plug-ins Citrix prenant en charge chaque méthode, consultez la
documentation des plug-ins ou le site de téléchargement Citrix. Pour plus
d'informations sur le cryptage ICA, veuillez consulter le Guide de
l'administrateur Citrix XenApp.

Utilisation d'Access Gateway

Vous pouvez utiliser Access Gateway pour assurer la sécurité du trafic Internet
entre vos plug-ins Citrix et les serveurs. Access Gateway est un dispositif
universel de réseau privé virtuel (VPN) SSL qui garantit un accès unique et
sécurisé à toutes les ressources publiées. Pour plus d'informations sur Access
Gateway, veuillez consulter le Guide de l'administrateur Citrix Access Gateway.
Pour plus d'informations sur la configuration de l'Interface Web pour la prise en
charge d'Access Gateway à l'aide de la console Access Management Console,
veuillez consulter la section « Modification des réglages de passerelle » à la
page 111.

Contrôle de la journalisation des diagnostics

Utilisez la tâche Contrôler la journalisation des diagnostics pour accroître la
sécurité du système en matière de journalisation des erreurs. Vous pouvez
empêcher que les événements en double soient journalisés à plusieurs reprises et
définir le nombre d'événements en double qui sont journalisés ainsi que la
fréquence de leur journalisation.
Cette tâche vous permet également d'indiquer l'adresse URL de redirection des
erreurs. Si vous spécifiez une adresse URL de page d'erreur personnalisée, vous
devez gérer tous les identificateurs d'erreur avec cette adresse URL et envoyer
des messages d'erreur à vos utilisateurs. En outre, cette adresse URL de page
d'erreur remplacera l'écran de fermeture de session des utilisateurs même si ces
derniers ont fermé leur session sans qu'aucune erreur ne se produise.

Considérations générales relatives à la sécurité

Pour la configuration du serveur, Citrix vous conseille de suivre les directives
standard de Microsoft, comme avec tout autre serveur Windows.
Vérifiez toujours que tous les composants sont à jour avec tous les derniers
correctifs logiciels. Pour plus d'informations et pour consulter les dernières
recommandations de téléchargement, visitez le site Web de Microsoft à
l’adresse : http://support.microsoft.com/.
148 Guide de l'administrateur Interface Web
 9

Configuration de sites à l'aide du

fichier de configuration

Cette section décrit comment gérer les sites Interface Web à l'aide des fichiers de
configuration. Elle répertorie également tous les paramètres contenus dans les
fichiers de configuration. Elle comporte les rubriques suivantes :
• Paramètres WebInterface.conf
• Réglages dans le fichier bootstrap.conf

Fichiers de configuration de sites

Les sites Interface Web comprennent un fichier appelé WebInterface.conf
contenant les données de configuration du site. Utilisez-le pour effectuer les
tâches d'administration quotidiennes et personnaliser les paramètres d'un site.
Vous pouvez par exemple spécifier les paramètres que les utilisateurs sont
autorisés à modifier et configurer l'authentification à l'Interface Web.
Si vous entrez une valeur de paramètre incorrecte lors de la modification d'un
fichier de configuration puis que vous utilisez la console Access Management
Console, la console remplace cette valeur incorrecte par la valeur par défaut
lorsque le fichier est enregistré.
Si la console Access Management Console est en cours d'exécution lorsque vous
modifiez un fichier de configuration de site manuellement, toute modification que
vous apportez à l'aide de la console entraînera l'écrasement de tous vos fichiers de
configuration. Citrix vous conseille de fermer la console Access Management
Console avant de modifier les fichiers de configuration de site. Si cela n'est pas
possible, exécutez de nouveau la découverte avant d'utiliser la console pour
modifier manuellement un fichier de configuration.
150 Guide de l'administrateur Interface Web

Le fichier WebInterface.conf est disponible dans le répertoire de configuration de

site :
• Sur Microsoft Internet Information Services (IIS), ce fichier se trouve
généralement dans C:\Inetpub\wwwroot\Citrix\nomdusite\conf
• Sur les serveurs d'application Java tels que Apache Tomcat, cet
emplacement est ./usr/local/tomcat/webapps/Citrix/XenApp/WEB-INF
Vous pouvez remplacer certaines valeurs de configuration dans
WebInterface.conf (une page à la fois) dans vos scripts de serveur Web. Pour plus
d'informations sur les scripts de serveur Web, reportez-vous au kit de
développement de l'Interface Web.

Remarque : il est possible, sur les serveurs d'application Java, que vous ayez
besoin d'arrêter et de redémarrer le serveur Interface Web pour que les
modifications apportées à WebInterface.conf soient prises en compte. De plus,
assurez-vous que vous enregistrez vos modifications au format UTF-8.

Désactivation des messages d'erreur

Sur IIS, vous pouvez désactiver les messages d'erreur fournis avec l'Interface
Web et afficher l'erreur qui s'est produite. Pour ce faire, modifiez le fichier
web.config qui se trouve dans le répertoire racine du site. Remplacez la ligne
suivante :
<customErrors mode="On" defaultRedirect="~/html/serverError.html">

par :
<customErrors mode="Off" defaultRedirect="~/html/serverError.html">

Vous pouvez également afficher vos propres messages d'erreur personnalisés.

Pour ce faire, modifiez la ligne comme suit :
<customErrors mode="On" defaultRedirect="~/html/
WpadAutoSOCKSCustomErrorPage">

où CustomErrorPage est le nom du fichier de votre page d'erreur personnalisée.

 9 Configuration de sites à l'aide du fichier de configuration 151

Paramètres WebInterface.conf
Le tableau ci-dessous indique les paramètres pouvant figurer dans
WebInterface.conf (par ordre alphabétique). Les valeurs par défaut apparaissent
en gras. Si un paramètre n'est pas spécifié dans WebInterface.conf, c'est sa valeur
par défaut qui est utilisée.

Paramètre Description Valeurs Types de sites

AccountSelfServiceUrl Indique l'URL du service Password Adresse URL valide avec XenApp Web
Manager. HTTPS
AdditionalExplicit Indique l'authentification explicite à None | SecurID | SafeWord XenApp Web
Authentication deux facteurs que vous devez | RADIUS
réaliser conjointement avec SAM
(Secure Access Manager), ADS
(Active Directory Services) ou
NDS (Novell Directory Services).
AddressResolutionType Indique le type d'adresse à utiliser dns-port | dns | ipv4-port | XenApp Web
dans le fichier de lancement .ica. ipv4
XenApp
Services
AGEPromptPassword Indique si les utilisateurs sont Off | On XenApp Web
invités ou non à entrer de nouveau
leurs mots de passe en ouvrant une
session depuis la page d'ouverture
de session d'Access Gateway.
AGEWebServiceUrl Indique l'adresse URL du service Adresse URL valide XenApp Web
d'authentification d'Access
Gateway.
AllowBandwidth Indique si les utilisateurs peuvent Off | On XenApp Web
Selection ou non spécifier la vitesse de leur
connexion réseau de façon à
optimiser les paramètres ICA.
AllowCustomizeAudio Indique si les utilisateurs sont Off | On XenApp Web
autorisés ou non à régler la qualité
audio des sessions ICA.
AllowCustomize Indique si les utilisateurs sont On | Off XenApp Web
AutoLogin autorisés ou non à activer/
désactiver l'ouverture de session
automatique.
AllowCustomizeClient Indique si les utilisateurs sont Off | On XenApp Web
PrinterMapping autorisés ou non à activer/
désactiver le mappage
d'imprimantes clientes.
AllowCustomizeJava Indique si les utilisateurs sont Off | On XenApp Web
ClientPackages autorisés ou non à choisir les packs
Client pour Java à utiliser.
152 Guide de l'administrateur Interface Web

Paramètre Description Valeurs Types de sites

AllowCustomizeLayout Indique si les utilisateurs sont Off | On XenApp Web
autorisés ou non à choisir entre
l'interface utilisateur avancée ou
simplifiée. Lorsque ce paramètre est
activé, les utilisateurs peuvent
accéder à la version simplifiée du
site en ajoutant /mobile au chemin
d'accès.
AllowCustomizeLogoff Indique si les utilisateurs sont On | Off XenApp Web
autorisés ou non à modifier le
comportement du contrôle de
l'espace de travail lorsqu'ils ferment
la session du serveur.
AllowCustomizePersist Indique si les utilisateurs sont Off | On XenApp Web
FolderLocation autorisés ou non à activer/
désactiver la fonctionnalité leur
permettant de revenir sur le dernier
dossier visité sur l'écran
Applications lorsqu'ils rouvrent une
session.
AllowCustomize Indique si les utilisateurs sont On | Off XenApp Web
ReconnectAtLogin autorisés ou non à ne pas tenir
compte du comportement de la
fonctionnalité de contrôle de
l'espace de travail à l'ouverture
d'une session.
AllowCustomize Indique si les utilisateurs sont On | Off XenApp Web
ReconnectButton autorisés ou non à ne pas tenir
compte du comportement de la
fonctionnalité de contrôle de
l'espace de travail lorsqu'ils utilisent
le bouton Se reconnecter.
AllowCustomizeSettings Indique si les utilisateurs sont On | Off XenApp Web
autorisés ou non à personnaliser
leurs sessions Interface Web.
Lorsque ce paramètre est réglé sur
Off, le bouton Préférences ne
s'affiche pas sur les écrans Ouvrir
une session et Applications des
utilisateurs.
AllowCustomize Indique si les utilisateurs sont On | Off XenApp Web
ShowHints autorisés ou non à afficher/masquer
les conseils sur l'écran Applications.
AllowCustomize Indique si les utilisateurs sont Off | On XenApp Web
ShowSearch autorisés ou non à activer/
désactiver la fonction de recherche
sur l'écran Applications.
 9 Configuration de sites à l'aide du fichier de configuration 153

Paramètre Description Valeurs Types de sites

AllowCustomizeSpecial Indique si les utilisateurs sont Off | On XenApp Web
FolderRedirection autorisés ou non à activer/
désactiver la fonctionnalité de
redirection de dossiers spéciaux.
AllowCustomize Indique si les utilisateurs sont Off | On XenApp Web
TransparentKey autorisés ou non à sélectionner
Passthrough l'authentification par combinaison
de touches.
AllowCustomizeVirtual Indique si les utilisateurs sont Off | On XenApp Web
COMPortEmulation autorisés ou non à activer/
désactiver la synchronisation des
ordinateurs de poche.
AllowCustomize Indique si les utilisateurs sont Off | On XenApp Web
WinColor autorisés ou non à modifier la
profondeur de couleurs des sessions
ICA.
AllowCustomize Indique si les utilisateurs sont On | Off XenApp Web
WinSize autorisés ou non à modifier la taille
de fenêtre des sessions ICA.
AllowFontSmoothing Indique si le lissage de polices est On | Off XenApp Web
autorisé pour les sessions ICA.
XenApp
Services
AllowUserAccount Indique si les utilisateurs sont Off | On XenApp Web
Unlock autorisés ou non à déverrouiller leur
compte à l'aide de l'option Libre-
service de compte.
AllowUserPassword Indique sous quelles conditions les Never | Expired-Only | XenApp Web
Change utilisateurs peuvent modifier leur Always (Sites XenApp
mot de passe. Web uniquement) XenApp
Services
AllowUserPassword Indique si les utilisateurs sont Off | On XenApp Web
Réinitialiser autorisés ou non à réinitialiser leur
mot de passe à l'aide de l'option
Libre-service de compte.
AlternateAddress Indique si l'adresse secondaire de Off | Mapped | On XenApp Web
serveur doit ou ne doit pas être
renvoyée dans le fichier .ica. XenApp
Services
ApplicationAccess Indique si les utilisateurs peuvent Remote, Streaming XenApp Web
Methods accéder aux applications à l'aide
d'un plug-in pour ressources XenApp
hébergées, de Citrix XenApp Plugin Services
pour applications en streaming, ou
des deux.
154 Guide de l'administrateur Interface Web

Paramètre Description Valeurs Types de sites

AppNavLinkTitle_ Indique qu'un nom traduit pour Applications. Texte en XenApp Web
<LanguageCode> l'écran Applications s'affiche sous clair plus un nombre
forme de bouton dans la barre de quelconque de balises <br>
navigation. LanguageCode est en, de nouvelle ligne HTML et
fr, de, es, ja ou tout autre code de de liens hypertexte
langue pris en charge.
AppSysMessage_ Indique le texte localisé qui Aucune. Texte en clair plus XenApp Web
<LanguageCode> s'affiche dans le bas de la zone de un nombre quelconque de
contenu principal de l'écran balises <br> de nouvelle
Applications. LanguageCode est ligne HTML et de liens
en, fr, de, es, ja ou tout autre code hypertexte
de langue pris en charge.
AppTab<n> Indique les onglets qui s'affichent Applications | Desktops | XenApp Web
dans l'écran Applications. Plusieurs Content | AllResources
instances peuvent être utilisées pour
définir des onglets multiples. Vous
pouvez également définir un seul
onglet qui contiendra toutes les
ressources publiées auxquelles
l'utilisateur a accès à l'aide de la
valeur AllResources.
AppWelcomeMessage_ Indique le texte localisé qui Aucune. Texte en clair plus XenApp Web
<LanguageCode> s'affiche en haut de la zone de un nombre quelconque de
contenu principal de l'écran balises <br> de nouvelle
Applications. LanguageCode est ligne HTML et de liens
en, fr, de, es, ja ou tout autre code hypertexte
de langue pris en charge.
AuthenticationPoint Indique l'emplacement où WebInterface | ADFS | XenApp Web
l'authentification a lieu. AccessGateway | 3rdParty |
WebServer
AutoLaunchDesktop Indique si le lancement automatique Off | On XenApp Web
des bureaux est activé. Lorsque ce
paramètre est activé, l'Interface
Web lancera automatiquement le
bureau d'un utilisateur s'il s'agit de
la seule ressource publiée
disponible dans toutes les batteries.
AutoLoginDefault Indique si les ouvertures de session On | Off XenApp Web
automatiques sont activées par
défaut pour les utilisateurs qui
accèdent à leurs ressources publiées
à l'aide de l'authentification unique,
de l'authentification unique avec
carte à puce et de l'authentification
par carte à puce.
BrandingColor Indique la couleur des zones d'en- Nom ou nombre XenApp Web
tête et de bas de page. hexadécimal d'une couleur
 9 Configuration de sites à l'aide du fichier de configuration 155

Paramètre Description Valeurs Types de sites

BrandingImage Indique l'adresse URL de l'image Adresse URL valide XenApp Web
personnalisée pour les zones d'en-
tête et de bas de page.
BypassFailedRadius Indique le laps de temps s'écoulant Durée en minutes (60) XenApp Web
ServerDuration avant qu'un serveur RADIUS
défaillant puisse être réutilisé.
BypassFailedSTA Indique le laps de temps s'écoulant Durée en minutes (60) XenApp Web
Duration avant qu’un serveur défaillant
exécutant la Secure Ticket XenApp
Authority puisse être réutilisé. Services

ClientAddressMap Indique les paires adresse plug-in/ <SubnetAddress>/ XenApp Web

type d'adresse pour la configuration <SubnetMask> |*, Normal |
du pare-feu du côté serveur. Le Alternate | XenApp
premier champ dans l'entrée est une Translated | SG | Services
adresse et un masque de sous- SGTranslated |
réseau, tandis que le deuxième peut SGAlternate, …
avoir l'une des valeurs suivantes :
Normal, Alternate, Translated, SG,
SGAlternate et SGTranslated.
L'utilisation d'un astérisque (*) à la
place d'une adresse ou d'un sous-
réseau indique la valeur par défaut
de tous les plug-ins Citrix non
spécifiés.
156 Guide de l'administrateur Interface Web

Paramètre Description Valeurs Types de sites

ClientIcaLinuxX86 Configure le processus de détection Directory:<Nomdedossier>, XenApp Web
et de déploiement de plug-in pour la Filename:<Nomdefichier>,
ClientIcaMac plate-forme spécifiée. Si le [Mui:Yes | No,]
ClientIcaSolarisSparc paramètre approprié n'a pas été [Version:<SSLRelayPortNu
configuré, les utilisateurs sont mérodeversion>,]
ClientIcaSolarisX86 redirigés vers la page Web spécifiée [ShowEULA:Yes | No,]
par le paramètre ClientURLDefault. [ClassID:<Valeur>,]
ClientIcaSunUnix Par défaut, ces paramètres sont [Url:<SSLRelayPortURLva
ClientIcaWin32 configurés pour les plug-ins natifs lide>,]
fournis sur le support d'installation [Description:<SSLRelayPo
ClientStreamingWin32 de XenApp 5.0. rtLégende>]
Les deux premiers champs
indiquent l'emplacement et le nom
de fichier du programme
d'installation du plug-in. Si le
fichier n'est pas trouvé, les
utilisateurs sont redirigés vers la
page Web spécifiée par le paramètre
ClientURLDefault.
Le champ Mui indique si le plug-in
spécifié par les champs Directory et
Filename assure la prise en charge
multilingue. Si No est sélectionné,
le processus de détection et de
déploiement de plug-in recherche le
fichier spécifié dans le dossier
<LanguageCode>\<FolderName>.
Le champ Version indique le
numéro de version séparé par des
virgules du plug-in spécifié par les
champs Directory et Filename. Si
aucun numéro de version n'est
spécifié, le processus de détection et
de déploiement de plug-in essaye de
déterminer la version à partir du
fichier spécifié.
Le champ ShowEULA indique si
les utilisateurs doivent accepter ou
non le contrat de licence Citrix pour
pouvoir installer le plug-in spécifié.
Le champ ClassID indique l'ID de
classe des plug-ins Windows. Ce
paramètre est requis pour ces plug-
ins.
Le champ Url indique la page Web
vers laquelle les utilisateurs sont
redirigés lorsqu'ils cliquent sur le
bouton Télécharger et qu'aucun
fichier de plug-in n'a été spécifié à
l'aide des champs Directory et
Filename. Ce paramètre doit
uniquement être utilisé lorsqu'aucun
fichier de plug-in n'est disponible.
Le champ Description permet de
spécifier un message personnalisé à
afficher au dessus du bouton
Télécharger Veuillez noter que ce
texte n'est pas traduit.
 9 Configuration de sites à l'aide du fichier de configuration 157

Paramètre Description Valeurs Types de sites

ClientProxy Indique les adresses et les masques <SubnetAddress>/ XenApp Web
de sous-réseau du plug-in et les <SubnetMask> |*, Auto |
paramètres proxy associés pour un WpadAuto | Client | None | XenApp
pare-feu du côté client. L'adresse du SOCKS | Services
plug-in dans le fichier ICA renvoyé Secure, - | <ProxyAddress>
est déterminée par ces paramètres. |
Chaque entrée comprend trois <ProxyAddress>:
champs. Le premier est une adresse <ProxyPort>, …
et un masque de sous-réseau.
L'utilisation du signe (*) indique la
valeur par défaut de tous les plug-
ins Citrix non spécifiés. Le
deuxième champ est l'un des six
types de proxy. La valeur du
troisième champ (adresse du proxy)
dans chaque série de trois est
ignorée si le deuxième champ (type
de proxy) ne contient pas un type de
proxy explicite (SOCKS ou
Secure), mais elle doit toujours être
présente ; la valeur par défaut de ce
champ est le signe moins (-).
ClientURLDefault Indique l'adresse URL vers laquelle http://www.citrix.com/ XenApp Web
le processus de détection et de site/ss/downloads/.URL
déploiement de plug-in redirige les valide.
utilisateurs lorsque le plug-in
adéquat n'est pas disponible au
téléchargement.
CompactHeaderImage Indique l'adresse URL de l'image Adresse URL valide XenApp Web
d'en-tête pour la version simplifiée
de l'interface utilisateur.
CompactViewStyles Indique les styles d'affichage mis à Icônes, liste XenApp Web
la disposition des utilisateurs sur
l'écran Applications de la version
simplifiée de l'interface utilisateur.
ContentBgColor Indique la couleur d'arrière-plan Nom ou nombre XenApp Web
pour la zone de contenu. hexadécimal d'une couleur
ContentBgImage Indique l'adresse URL de l'image Adresse URL valide XenApp Web
d'arrière-plan pour la zone de
contenu.
ContentFontColor Indique la couleur de police pour la Nom ou nombre XenApp Web
zone de contenu. hexadécimal d'une couleur
CredentialFormat Indique les formats des All | UPN | XenApp Web
informations d'identification pour DomainUsername
les ouvertures de session explicites XenApp
Windows et NIS. Services

CSG_EnableSession Indique si la fiabilité de session doit Off | On XenApp Web

Reliability être utilisée ou pas via Secure
Gateway ou Access Gateway. XenApp
Services
158 Guide de l'administrateur Interface Web

Paramètre Description Valeurs Types de sites

CSG_Server Indique l'adresse du serveur Secure Aucune. Adresse du XenApp Web
Gateway ou du boîtier Access serveur sous forme de nom
Gateway. de domaine complet XenApp
Services
CSG_ServerPort Indique le port du serveur Secure Aucune. Port du serveur. XenApp Web
Gateway ou du boîtier Access
Gateway. XenApp
Services
CSG_STA_URL<n> Indique l'adresse URL du serveur Aucune. Adresse URL XenApp Web
exécutant la Secure Ticket d'une STA
Authority. XenApp
Services
DefaultCompact Indique le style d'affichage par List | Icons XenApp Web
ViewStyle défaut sur l'écran Applications de la
version simplifiée de l'interface
utilisateur.
DefaultCustomText Indique la langue par défaut à Aucune. en | de | es | fr | ja | XenApp Web
Paramètres régionaux utiliser pour le texte personnalisé. tout autre identificateur de
La même langue doit être spécifiée langue prise en charge
dans tout autre paramètre de texte
personnalisé (*_<LanguageCode>)
défini.
DefaultViewStyle Indique le style d'affichage par Icons | Details | Groups | XenApp Web
défaut sur l'écran Applications de la List | Tree
version avancée de l'interface
utilisateur.
DisplayBrandingImage Indique si l'image personnalisée est On | Off XenApp Web
affichée pour les zones d'en-tête et
de bas de page.
DisplayContentBgImag Indique si l'image d'arrière-plan est On | Off XenApp Web
e affichée pour la zone de contenu.
DisplayHeader Indique s'il faut afficher ou pas l'en- On | Off XenApp Web
tête défini dans header.inc.
DisplayNavCurrentLink Indique si l'image d'arrière-plan On | Off XenApp Web
BgImage pour le bouton sélectionné sur la
barre de navigation est affichée.
DisplayNavLinkBgImag Indique si l'image d'arrière-plan On | Off XenApp Web
e pour les boutons désélectionnés sur
la barre de navigation est affichée.
DomainSelection Indique les noms de domaines Liste des noms de domaines XenApp Web
répertoriés dans l'écran Ouvrir une NetBIOS
session de l'authentification XenApp
explicite. Services

DuplicateLogInterval Indique la période pendant laquelle Durée en minutes (60) XenApp Web
les entrées de journal
DuplicateLogLimit feront l'objet XenApp
d'une surveillance. Services
 9 Configuration de sites à l'aide du fichier de configuration 159

Paramètre Description Valeurs Types de sites

DuplicateLogLimit Indique le nombre d'entrées de Entier supérieur à 0 (10) XenApp Web
journal en double autorisées pour la
période DuplicateLogInterval. XenApp
Services
EnableFileType Indique si l'association de type de On | Off XenApp Web
Association fichier est activée ou désactivée
pour un site. Si la valeur est Off, la XenApp
redirection du contenu n'est pas Services
disponible pour le site.
EnableKerberosToMPS Indique si l'authentification Off | On XenApp Web
Kerberos est activée ou désactivée.
XenApp
Services
EnableLegacyICA Indique si les anciens plug-ins Off | On XenApp Web
ClientSupport Citrix ne pouvant pas lire les
fichiers .ica UTF-8 sont pris en XenApp
charge. Si vous réglez cette option Services
sur off, le serveur produit des
fichiers .ica encodés UTF-8.
EnableLogoff Indique si la fonction de contrôle de On | Off XenApp Web
Applications l'espace de travail se déconnecte des
ressources publiées actives lorsque
les utilisateurs ferment leur session
sur le serveur.
EnablePassthroughURL Indique si les utilisateurs sont Off | On XenApp Web
s autorisés à créer des liens
persistants vers les ressources
publiées accessibles en utilisant
l'Interface Web.
EnableRadiusServer Indique si l'équilibrage de charge en On | Off XenApp Web
LoadBalancing mode accès direct entre des sessions
exécutées sur plusieurs serveurs
RADIUS est autorisé ou non. Le
basculement entre les serveurs se
produit dans tous les cas, quelle que
soit la valeur de ce paramètre.
EnableSTALoad Indique si l'équilibrage de charge On | Off XenApp Web
Balancing entre les requêtes envoyées à
plusieurs serveurs exécutant Secure XenApp
Gateway Secure Ticket Authority Services
est autorisé ou non.
EnableVirtualCOMPort Indique s'il faut activer ou pas la Off | On XenApp Web
Emulation synchronisation des ordinateurs de
poche via des connexions par câble
USB.
EnableWizardAutoMod Indique si le processus de détection On | Off XenApp Web
e et de déploiement de plug-in est
exécuté en mode automatique ou
non.
160 Guide de l'administrateur Interface Web

Paramètre Description Valeurs Types de sites

EnableWorkspace Indique si les utilisateurs ont accès On | Off XenApp Web
Control à la fonctionnalité de contrôle de
l'espace de travail.
ErrorFallbackURL Indique l'adresse URL vers laquelle Adresse URL valide XenApp Web
l'Interface Web doit se rediriger en
cas d'erreur. La page Web à laquelle
se rapporte l'adresse URL doit
accepter et traiter quatre paramètres
de chaîne de requête :
CTX_MessageType
CTX_MessageKey
CTX_MessageArgs
CTX_LogEventID
Farm<n> Indique toutes les informations Adresse du service XML XenApp Web
relatives à une batterie. Citrix [,Citrix XML Service
address,.] [,Name:<Nom>] XenApp
[,XMLPort:<XMLPortPort Services
>] [,Transport:<HTTP |
HTTPS | SSL>]
[,SSLRelayPort:<SSLRela
yPortTimeInMinutesPort>]
[,BypassDuration:
<TimeInMinutes (60)>]
[,LoadBalance:<on | off>]
[,TicketTimeToLive:
<TimeInSeconds (200)>]
[,RADETicketTime
ToLive:<TimeInSeconds
(200)>]
FooterText_ Indique que le texte de bas de page Aucune. Texte en clair plus XenApp Web
<LanguageCode> localisé s'affiche dans la zone de un nombre quelconque de
bas de page de toutes les pages. balises <br> de nouvelle
LanguageCode est en, fr, de, es, ja ligne HTML et de liens
ou tout autre code de langue pris en hypertexte
charge.
HeadingHomePage Indique l'adresse URL de l'image à Adresse URL valide XenApp Web
afficher comme en-tête de la page
d'accueil.
HeadingImage Indique l'adresse URL de l'image à Adresse URL valide XenApp Web
afficher comme en-tête de
l'Interface Web.
HideDomainField Indique si le champ Domaine Off | On XenApp Web
s'affiche sur l'écran Ouvrir une
session.
IgnoreClientProvided Indique si l'adresse fournie par le Off | On XenApp Web
ClientAddress plug-in Citrix est ignorée.
XenApp
Services
 9 Configuration de sites à l'aide du fichier de configuration 161

Paramètre Description Valeurs Types de sites

InternalServer Indique les paires d'adresses NormalAddress = XenApp Web
AddressMap normales/traduites. L'adresse TranslatedAddress, …
normale identifie le serveur avec XenApp
lequel la passerelle communique et Services
l'adresse traduite est renvoyée au
plug-in Citrix.
JavaClientPackages Indique par défaut les packs Client ConfigUI, XenApp Web
pour Java à mettre à la disposition PrinterMapping,
des utilisateurs. SecureICA, Audio,
ClientDriveMapping,
ClipBoard, SSL,
ZeroLatency
JavaClientRoot Indique le nom de fichier d'un Aucune. Nom de fichier XenApp Web
Certificate certificat racine privé pour le client valide
pour Java. Le certificat doit se
trouver dans le même dossier que
les packs Client pour Java.
JavaFallbackMode Indique si le client pour Java est None | Manual | Auto XenApp Web
utilisé lorsque les utilisateurs ne
disposent pas d'un plug-in natif. Ce
paramètre ne s'applique que lorsque
la valeur Ica-Local est incluse dans
le paramètre LaunchClients. Le
paramètre Manual permet aux
utilisateurs d'utiliser ou non le client
pour Java.
KioskMode Indique si les paramètres utilisateur Off | On XenApp Web
doivent être persistants ou
uniquement valables pendant toute
la durée de la session. Lorsque le
mode Kiosque est activé, les
paramètres utilisateur ne persistent
pas d'une session à l'autre.
LaunchClients Indique les plug-ins Citrix que les Ica-Local, Ica-Java, XenApp Web
utilisateurs sont autorisés à Rdp-Embedded
sélectionner. Ce paramètre est
ignoré pour les sites en mode
double, pour lesquels le paramètre
par défaut est Ica-Local. Même si le
paramètre Ica-Java est ignoré, le
client pour Java peut toujours être
proposé aux utilisateurs. Pour cela,
vous devez régler le paramètre
JavaFallbackMode sur None.
LoginDomains Indique les noms de domaines Liste des noms de domaines XenApp Web
utilisés pour la restriction d'accès. NetBIOS
XenApp
Services
162 Guide de l'administrateur Interface Web

Paramètre Description Valeurs Types de sites

LoginSysMessage_ Indique le texte traduit qui s'affiche Aucune. Texte en clair plus XenApp Web
<LanguageCode> dans le bas de la zone de contenu un nombre quelconque de
principal de l'écran Ouvrir une balises <br> de nouvelle
session. LanguageCode est en, fr, ligne HTML et de liens
de, es, ja ou tout autre code de hypertexte
langue pris en charge.
LoginTitle_ Indique le texte traduit qui s'affiche Aucune. Texte en clair plus XenApp Web
<LanguageCode> au dessus du message de bienvenue un nombre quelconque de
sur l'écran Ouvrir une session. balises <br> de nouvelle
LanguageCode est en, fr, de, es, ja ligne HTML et de liens
ou tout autre code de langue pris en hypertexte
charge.
LoginType Indique le type d'écran d'ouverture Default | NDS XenApp Web
de session mis à la disposition des
utilisateurs. Cet écran peut être basé XenApp
sur un domaine ou NDS. Services

LogoffFederation Indique si les sessions des On | Off XenApp Web

Service utilisateurs sont toutes fermées ou
fermées uniquement sur les sites
XenApp Web à partir du service de
fédération lorsque le bouton de
fermeture de session est utilisé dans
un site ADFS intégré.
MessagesNavLinkTitle_ Indique qu'un nom localisé pour Messages. Texte en clair XenApp Web
<LanguageCode> l'écran Messages s'affiche sous plus un nombre quelconque
forme de bouton dans la barre de de balises <br> de nouvelle
navigation. LanguageCode est en, ligne HTML et de liens
fr, de, es, ja ou tout autre code de hypertexte
langue pris en charge.
Messages Indique le texte localisé qui Aucune. Texte en clair plus XenApp Web
WelcomeMessage_ s'affiche en haut de la zone de un nombre quelconque de
<LanguageCode> contenu principal de l'écran balises <br> de nouvelle
Messages. LanguageCode est en, fr, ligne HTML et de liens
de, es, ja ou tout autre code de hypertexte
langue pris en charge.
NavCurrentLink Indique la couleur d'arrière-plan Nom ou nombre XenApp Web
BgColor pour le bouton sélectionné sur la hexadécimal d'une couleur
barre de navigation.
NavCurrentLink Indique l'adresse URL de l'image Adresse URL valide XenApp Web
BgImage d'arrière-plan pour le bouton
sélectionné sur la barre de
navigation.
NavCurrentLink Indique la couleur de police pour le Nom ou nombre XenApp Web
FontColor bouton sélectionné sur la barre de hexadécimal d'une couleur
navigation.
NavLinkBgColor Indique la couleur d'arrière-plan Nom ou nombre XenApp Web
pour les boutons désélectionnés sur hexadécimal d'une couleur
la barre de navigation.
 9 Configuration de sites à l'aide du fichier de configuration 163

Paramètre Description Valeurs Types de sites

NavLinkBgImage Indique l'adresse URL de l'image Adresse URL valide XenApp Web
d'arrière-plan pour les boutons
désélectionnés sur la barre de
navigation.
NavLinkFontColor Indique la couleur de police pour Nom ou nombre XenApp Web
les boutons désélectionnés sur la hexadécimal d'une couleur
barre de navigation.
NDSContextLookup Indique s'il faut équilibrer ou pas la On | Off XenApp Web
Loadbalancing charge des serveurs LDAP
configurés.
NDSContextLookup Indique les serveurs LDAP à Aucune. ldap://[:] | XenApp Web
Servers utiliser. Si le port de serveur n'est ldaps://[:],
pas indiqué, il est déduit du
protocole : si ce paramètre est défini
sur ldap, le port LDAP par défaut
(389) est utilisé ; le port SSL LDAP
par défaut (636) est utilisé si le
paramètre est défini sur ldaps. Vous
pouvez configurer un maximum de
512 serveurs LDAP.
Si ce paramètre n'est pas défini ou
alors absent, la fonctionnalité
d'ouverture de session hors contexte
est désactivée.
NDSTreeName Indique l’arborescence NDS à Aucune. Nom de XenApp Web
utiliser en cas d'authentification l'arborescence NDS
NDS. XenApp
Services
OverlayAutologon Indique si un ticket d'ouverture de On | Off XenApp Web
CredsWithTicket session doit être dupliqué dans une
entrée de ticket d'ouverture de
session ou placé dans une entrée de
ticket de fichier de lancement .ica
séparé. Lorsque le recouvrement
des informations d'identification est
activé, les tickets d'ouverture de
session sont dupliqués.
OverrideIcaClientname Indique si un identificateur généré On | Off XenApp Web
par l'Interface Web doit être
transmis dans l'entrée de nom de
client d'un fichier de lancement .ica.
PasswordExpiry Indique la durée, en nombre de Entier entre 0 et 999 (14) XenApp Web
WarningPeriod jours, pendant laquelle les
utilisateurs seront invités à changer
de mot de passe avant expiration de
ce dernier.
164 Guide de l'administrateur Interface Web

Paramètre Description Valeurs Types de sites

PersistFolderLocation Indique si les utilisateurs sont Off | On XenApp Web
renvoyés sur le dernier dossier
visité de l'écran Applications
lorsqu'ils rouvrent une session.
PNAChangePassword Indique comment le plug-in Citrix Direct-Only | Direct-With- XenApp
Method XenApp traite les requêtes de Fallback | Proxy Services
modification de mot de passe des
utilisateurs. Si ce paramètre est
défini sur Direct-Only, le plug-in
modifie le mot de passe en
communiquant directement avec le
contrôleur de domaine. Direct-
With-Fallback indique que le plug-
in tente dans un premier temps de
contacter le contrôleur de domaine,
et en cas d'échec, utilise le site
XenApp Services. L'option Proxy
indique que le plug-in modifie les
mots de passe en contactant le site
XenApp Services.
PooledSockets Indique si le regroupement de On | Off XenApp Web
sockets doit ou non être utilisé.
XenApp
Services
PreLoginMessage Indique un nom localisé pour le Aucune. Texte en clair plus XenApp Web
Button_<LanguageCode bouton de confirmation du message un nombre quelconque de
> de pré-ouverture de session. balises <br> de nouvelle
LanguageCode est en, fr, de, es, ja ligne HTML et de liens
ou tout autre code de langue pris en hypertexte
charge.
PreLoginMessage Indique le texte localisé qui Aucune. Texte en clair plus XenApp Web
Text_<LanguageCode> s'affiche sur la page du message de un nombre quelconque de
pré-ouverture de session. balises <br> de nouvelle
LanguageCode est en, fr, de, es, ja ligne HTML et de liens
ou tout autre code de langue pris en hypertexte
charge.
PreLoginMessage Indique un titre localisé pour la Aucune. Texte en clair plus XenApp Web
Title_<LanguageCode> page du message de pré-ouverture un nombre quelconque de
de session. LanguageCode est en, balises <br> de nouvelle
fr, de, es, ja ou tout autre code de ligne HTML et de liens
langue pris en charge. hypertexte
RADESessionURL Indique l'adresse URL d'une page Auto. Adresse URL valide XenApp Web
de session RADE. Si ce paramètre
est réglé sur auto, l'adresse URL est XenApp
générée automatiquement. Services

RadiusRequestTimeout Indique la valeur du délai d'attente à Durée en secondes (30) XenApp Web
appliquer lorsqu'une réponse est
attendue du serveur RADIUS de la
session.
 9 Configuration de sites à l'aide du fichier de configuration 165

Paramètre Description Valeurs Types de sites

RadiusServers Indique les serveurs RADIUS à Server[:Port][,…] XenApp Web
utiliser, et le cas échéant, les ports
d'écoute. Les serveurs peuvent être
spécifiés à l'aide d'adresses IP ou de
noms ; le serveur et le port de
chaque élément sont séparés par le
signe deux-points. Si le port n'est
pas spécifié, le port RADIUS par
défaut (1812) est utilisé. Vous
pouvez configurer un maximum de
512 serveurs.
ReconnectAtLogin Indique si le contrôle de l'espace de DisconnectedAnd XenApp Web
travail doit se reconnecter aux Active | Disconnected |
ressources publiées lorsque les None XenApp
utilisateurs ouvrent des sessions et, Services
si tel est le cas, s'il doit se
reconnecter à toutes les ressources
ou uniquement aux ressources
déconnectées.
ReconnectButton Indique si le contrôle de l'espace de DisconnectedAnd XenApp Web
travail doit se reconnecter aux Active | Disconnected |
applications publiées lorsque les None
utilisateurs cliquent sur le bouton
Reconnecter et, si tel est le cas, s'ils
doivent se reconnecter à toutes les
ressources ou uniquement aux
ressources déconnectées.
RequestedHighColor Indique si les icônes de couleurs 32 16, 32, 48 | None XenApp Web
Icônes bits sont requises par le service
XML Citrix, et si tel est le cas, Pour les sites XenApp XenApp
dresse la liste des tailles d'icônes en Services, le paramètre par Services
pixels. Si ce paramètre est réglé sur défaut requiert toutes les
None, seules les icônes 32 x 32 icônes. Pour les sites
4 bits sont requises. Le réglage par XenApp Web, seules les
défaut varie en fonction du type de tailles 16 x 16 et 32 x 32
site et de sa configuration. sont requises par défaut.

RequestICAClientSecur Indique les paramètres TLS. Detect-AnyCiphers, TLS- XenApp Web

eChannel GovCiphers,
SSL-AnyCiphers XenApp
Services
RequireLaunch Indique si l'utilisation de références Off | On XenApp Web
Reference de lancement est imposée.
XenApp
Services
RestrictDomains Indique si le paramètre Off | On XenApp Web
LoginDomains est utilisé afin de
limiter l'accès de l'utilisateur. XenApp
Services
166 Guide de l'administrateur Interface Web

Paramètre Description Valeurs Types de sites

RetryCount Indique le nombre de tentatives Entier supérieur à 0 (5) XenApp Web
d'envoi de la requête au service
XML Citrix avant que le service ne XenApp
soit considéré comme défaillant. Services

SearchContextList Indique des noms de contexte pour Aucune. Liste de noms de XenApp Web
l'authentification NDS. contexte séparés par des
virgules. XenApp
Services
ServerAddressMap Indique les paires d'adresses NormalAddress, XenApp Web
normales/traduites pour la TranslatedAddress, …
configuration du pare-feu du côté XenApp
serveur. L'adresse normale identifie Services
le serveur et l'adresse traduite est
renvoyée au plug-in Citrix.
ShowClientInstall Indique comment et quand les Auto | Quiet | Off XenApp Web
Caption légendes d'installation apparaissent.
Si Auto est sélectionné, les légendes
d'installation s'affichent si aucun
plug-in n'est installé ou qu'un plug-
in Citrix plus performant est
disponible. Si ce paramètre est réglé
sur Quiet, les légendes d'installation
sont affichées uniquement si les
utilisateurs ne disposent pas de
plug-in. Le comportement de
l'écran Ouvrir une session diffère
légèrement dans le sens où les
légendes sont affichées uniquement
pour les plug-ins pour ressources
hébergées, et ce, à condition
qu'aucun plug-in ne soit détecté.
C'est pourquoi il n'existe aucune
différence entre les réglages Auto et
Quiet de l'écran Ouvrir une session.
ShowHints Indique si les conseils apparaissent On | Off XenApp Web
ou non sur l'écran Applications.
ShowPasswordExpiry Indique si les utilisateurs sont Never | WindowsPolicy | XenApp Web
Warning invités à changer leur mot de passe Custom
avant que ce dernier n'expire et la
durée de la période d'avertissement.
 9 Configuration de sites à l'aide du fichier de configuration 167

Paramètre Description Valeurs Types de sites

ShowRefresh Indique si le bouton Actualiser est Off | On XenApp Web
mis à la disposition des utilisateurs
sur l'écran Applications.
ShowSearch Indique si la fonction de recherche On | Off XenApp Web
est mise à la disposition des
utilisateurs sur l'écran Applications.
SpecialFolderRedirectio Indique si la fonctionnalité de Off | On XenApp Web
n redirection de dossiers spéciaux est
activée. Si ce paramètre est réglé XenApp
sur On, les ressources publiées Services
utilisent les dossiers \Documents et
\Bureau se trouvant sur les
ordinateurs locaux des utilisateurs.
Si Off est sélectionné, les dossiers
\Documents et \Bureau disponibles
dans les applications publiées
seront ceux du serveur.
Timeout Indique la valeur du délai d'attente à Durée en minutes (60) XenApp Web
appliquer lors des communications
avec le service XML Citrix. XenApp
Services
TransparentKey Indique le mode d'authentification FullScreenOnly | Local | XenApp Web
Passthrough unique par combinaisons de touches Remote
Windows. XenApp
Services
TwoFactorPassword Indique si l'intégration du mot de Off | On XenApp Web
Integration passe doit être activée ou pas à
l'aide de RSA SecurID6.
TwoFactorUseFully Indique si les noms d'utilisateur Off | On XenApp Web
QualifiedUserNames entièrement qualifiés doivent être
transmis ou non au serveur
d'authentification lors
de l'authentification à deux facteurs.
UpgradeClientsAtLogin Indique si le processus de détection Off | On XenApp Web
et de déploiement de plug-in
s'exécute automatiquement lorsque
des utilisateurs ouvrent une session
et qu'une version plus récente du
plug-in natif approprié ou de Citrix
XenApp Plugin pour applications
en streaming est disponible. Ce
paramètre ne s'applique que lorsque
le paramètre
EnableWizardAutoMode est réglé
sur On.
168 Guide de l'administrateur Interface Web

Paramètre Description Valeurs Types de sites

UPNSuffixes Indique les suffixes permettant de Liste de suffixes UPN XenApp Web
restreindre l'authentification UPN
pour l'authentification explicite. XenApp
Services
UserInterfaceBranding Indique si le site cible les Applications | Desktops XenApp Web
utilisateurs qui accèdent à des
applications ou ceux qui accèdent à
des bureaux. Si vous réglez ce
paramètre sur Desktops, les
fonctionnalités du site sont
modifiées afin d'améliorer
l'expérience des utilisateurs de
XenDesktop. Citrix conseille
d'utiliser ce paramètre pour tout
déploiement comprenant
XenDesktop. Vous pouvez
également régler le paramètre
ClientIcaWin32 sur
Filename:DesktopReceiver.msi afin
de déployer Desktop Receiver aux
utilisateurs qui accèdent au site.
UserInterfaceLayout Indique s'il faut utiliser ou non Auto | Normal | Compact XenApp Web
l'interface utilisateur compacte.
UserInterfaceMode Indique l'apparence de l'écran Simple | Advanced XenApp Web
Ouvrir une session. Si ce paramètre
est défini sur Simple, seuls les
champs d'ouverture de session pour
la méthode d'authentification
sélectionnée sont affichés. Si
Advanced est sélectionné, la barre
de navigation s'affiche, ce qui
permet d'accéder aux écrans
Préférences et Messages de pré-
ouverture de session.
ViewStyles Indique les styles d'affichage mis à Details | Groups | Icons | XenApp Web
la disposition des utilisateurs sur List | Tree
l'écran Applications de la version
avancée de l'interface utilisateur.
WebSessionTimeout Indique la valeur du délai Durée en minutes (20) XenApp Web
d'expiration des sessions inactives
du navigateur Web.
WelcomeMessage_ Indique le texte de message de Aucune. Texte en clair plus XenApp Web
<LanguageCode> bienvenue traduit qui s'affiche dans un nombre quelconque de
la zone de bienvenue de l'écran balises <br> de nouvelle
Ouvrir une session. LanguageCode ligne HTML et de liens
est en, fr, de, es, ja ou tout autre hypertexte
code de langue pris en charge.
WIAuthentication Indique les méthodes d'ouverture de Explicit, Anonymous, XenApp Web
Methods session autorisées. CertificateSingleSignOn,
Certificate, SingleSignOn XenApp
Services
 9 Configuration de sites à l'aide du fichier de configuration 169

Considérations sur le plug-in Citrix XenApp

Les réglages de paramètres WebInterface.conf spécifiques affectent la validation
des requêtes du plug-in Citrix XenApp. Citrix vous conseille d'utiliser, dans
WebInterface.conf, des paramètres en accord avec les paramètres du fichier
config.xml pour le plug-in Citrix XenApp.

Contenu du fichier Config.xml

Le fichier config.xml contient des paramètres répartis en catégories différentes.
Vous pouvez modifier les paramètres des catégories suivantes :
• FolderDisplay. Indique l’emplacement d’affichage des icônes des
ressources publiées (dans le menu Démarrer, sur le bureau Windows ou
dans la zone de notification). D’autres paramètres permettent de spécifier
un dossier donné dans le menu Démarrer et l’icône à utiliser sur le bureau
Windows. Cela correspond aux contrôles de la page Affichage
d'application de la boîte de dialogue Options du plug-in Citrix XenApp.
• DesktopIntegration. Indique s'il faut ajouter des raccourcis vers le menu
Démarrer, le bureau ou les zones de notification.
• ConfigurationFile. Indique une adresse URL différente pour le fichier
config.xml pour le plug-in à utiliser ultérieurement. Cela permet de
déplacer plus facilement les utilisateurs vers un serveur Interface Web
différent.
• Request. Indique l’emplacement où le plug-in doit demander les données
relatives aux ressources publiées et la fréquence d’actualisation des
informations.
• Failover. Indique une liste d'adresses URL de serveur de sauvegarde à
contacter si le serveur principal est indisponible.
• Logon. Indique la méthode d’ouverture de session à utiliser.
• ChangePassword. Indique sous quelles conditions les utilisateurs du plug-
in Citrix XenApp sont autorisés à changer leur mot de passe et le chemin
par lequel la requête est routée.
• UserInterface. Indique si certains groupes d’options présentées aux
utilisateurs dans le cadre de l’interface utilisateur du plug-in Citrix XenApp
doivent être affichés ou masqués.
• ReconnectOptions. Indique si les utilisateurs ont accès à la fonctionnalité
de contrôle de l'espace de travail.
170 Guide de l'administrateur Interface Web

• FileCleanup. Indique si les raccourcis sont supprimés ou non lorsque des

utilisateurs ferment une session au plug-in Citrix XenApp.
• ICA_Options. Indique les options d'affichage et de son pour les connexions
aux plug-ins. Ceci correspond aux paramètres sur la page Options de
session de la boîte de dialogue Options du plug-in Citrix XenApp.
• AppAccess. Indique les types de ressources publiées auxquelles les
utilisateurs ont accès.
Pour plus d'informations sur l'utilisation du fichier config.xml, veuillez consulter
le Guide de l'administrateur Citrix XenApp Plugin pour applications hébergées
pour Windows.

Réglages dans le fichier WebInterface.conf

Les paramètres de WebInterface.conf répertoriés dans le tableau suivant doivent
être en accord avec ceux du fichier config.xml. Le tableau explique les
paramètres affectant les réglages du plug-in Citrix XenApp et les réglages
recommandés.

Paramètre Réglage recommandé

LoginType Si NDS est sélectionné, l'authentification Novell doit
également être activée dans config.xml.
NDSTreeName DefaultTree dans la section Logon de config.xml doit
contenir le même paramètre.
PNAChangePasswordMethod Method dans la section ChangePassword de
config.xml doit contenir le même paramètre.
WIAuthenticationMethods Utilisez la même méthode d'authentification que celle
configurée dans le fichier WebInterface.conf.
L'authentification échouera si cette méthode n'est pas
la même que dans le fichier config.xml.

Pour configurer l'Interface Web lors de l'utilisation du plug-in

Citrix XenApp
1. À l'aide d'un éditeur de texte, ouvrez le fichier WebInterface.conf.
2. Situez les paramètres suivants :
• LoginType
• NDSTreeName
• PNAChangePasswordMethod
• WIAuthenticationMethods
 9 Configuration de sites à l'aide du fichier de configuration 171

3. Modifiez les réglages pour ces paramètres comme décrit dans le tableau ci-
dessus.
4. Redémarrez le serveur Interface Web pour appliquer les modifications.
Pour plus d'informations sur les paramètres du fichier WebInterface.conf, veuillez
consulter la section « Configuration de sites à l'aide du fichier de configuration »
à la page 149.

Exemples
Cette section fournit des exemples standard de configuration de l'Interface Web
en utilisant le fichier WebInterface.conf.

Configuration des communications avec le

serveur
Dans cet exemple, vous souhaitez définir le nom d'un serveur supplémentaire
exécutant le service XML Citrix. Le service XML Citrix constitue le lien de
communication entre la batterie de serveurs et le serveur Interface Web.
Les communications s'effectuent actuellement avec un serveur dénommé
« rock », mais vous souhaitez ajouter le serveur « roll », en cas de défaillance de
rock. Pour cela, effectuez les opérations suivantes.
1. À l'aide d'un éditeur de texte, ouvrez le fichier WebInterface.conf et
localisez la ligne suivante :
Farm1=rock,Name:Farm1,XMLPort:80,Transport:HTTP,
SSLRelayPort:443,…

2. Modifiez cette ligne pour inclure le serveur supplémentaire comme suit :

Farm1=rock,roll,Name:Farm1,XMLPort:80,Transport:HTTP,
SSLRelayPort:443,…

Configuration des communications du Relais SSL

Dans cet exemple, vous souhaitez sécuriser les communications entre le serveur
Web et le serveur exécutant XenApp ou Desktop Delivery Controller, par le biais
du protocole SSL (Secure Socket Layer). Le Relais SSL est installé sur un serveur
exécutant XenApp ou Desktop Delivery Controller dont l’adresse est de type nom
de domaine complet (blues.mycompany.com). Le Relais SSL est à l'écoute des
connexions sur le port TCP 443.
Les communications s'effectuent actuellement avec un serveur « rhythm », mais
vous souhaitez le remplacer par blues.mycompany.com. Pour cela, effectuez les
opérations suivantes.
172 Guide de l'administrateur Interface Web

1. À l'aide d'un éditeur de texte, ouvrez le fichier WebInterface.conf et

localisez la ligne suivante :
Farm1=rhythm,Name:Farm1,XMLPort:80,Transport:HTTP,
SSLRelayPort:443

2. Définissez le transport sur SSL, comme indiqué ci-dessous :

Farm1=blues.mycompany.com,Name:Farm1,XMLPort:80,
Transport:SSL,SSLRelayPort:443

Remarque : le nom de serveur spécifié doit correspondre au nom

figurant sur le certificat du serveur.

Configuration de la prise en charge de Secure

Gateway
Dans cet exemple, vous souhaitez définir un serveur Secure Gateway appelé
« csg1.mycompany.com » sur lequel les plug-ins Citrix utilisent le port 443, à
l’aide des deux adresses Secure Ticket Authority suivantes :
• http://country.mycompany.com/scripts/ctxsta.dll
• http://western.mycompany.com/scripts/ctxsta.dll
Ajoutez les lignes suivantes dans le fichier WebInterface.conf :
AlternateAddress=Mapped
CSG_STA_URL1=http://country.mycompany.com/scripts/ctxsta.dll
CSG_STA_URL2=http://western.mycompany.com/scripts/ctxsta.dll
CSG_Server=csg1.mycompany.com
CSG_ServerPort=443
ClientAddressMap=*,SG

La dernière ligne permet d'activer Secure Gateway pour tous les utilisateurs.
 9 Configuration de sites à l'aide du fichier de configuration 173

Réglages dans le fichier bootstrap.conf

Les réglages présents dans le fichier bootstrap.conf sont répertoriés dans le
tableau suivant.

Paramètre Description Valeurs Types de sites

ConfigurationLocation Indique le fichier à partir duquel le site Chemin d'accès absolu XenApp Web
Interface Web doit obtenir sa à WebInterface.conf
configuration. Il peut s'agir d'un fichier XenApp
local, ou pour les sites hébergés sur IIS, Services
d'un fichier distant partagé sur le
réseau.
DefaultLocale Indique la langue par défaut à utiliser si en | de | es | fr | ja | tout XenApp Web
un navigateur Web demande une autre identificateur de
langue non prise en charge. langue prise en charge XenApp
Services
SiteIDRoot Chaîne servant de base à Numéro aléatoire XenApp Web
l'identification unique d'un site. Sur généré par le
IIS, ce paramètre sert directement programme XenApp
d'identificateur de site. Sur les serveurs d'installation Services
d'application Java, les informations
runtime sont ajoutées afin de former
l'identificateur de site.
SiteName Indique le nom du site qui apparaît Chaîne valide XenApp Web
dans la console Access Management
Console. Le réglage par défaut utilise XenApp
l'adresse URL du site. Services
174 Guide de l'administrateur Interface Web
 10

Configuration de la prise en charge

d'Active Directory Federation
Services pour l'Interface Web

Cette section décrit comment créer et configurer des sites Interface Web intégrés
Active Directory Federation Services (ADFS). Elle comporte les rubriques
suivantes :
• Avant la création de sites Active Directory Federation Services
• Création de sites Active Directory Federation Services intégrés
• Configuration de votre site en tant qu'application Active Directory
Federation Services

À propos d'Active Directory Federation Services

La prise en charge d'ADFS pour l'Interface Web permet au partenaire de
ressource d'un déploiement ADFS d'utiliser XenApp. Les administrateurs
peuvent créer des sites ADFS pour fournir aux utilisateurs un accès aux
applications publiées et au contenu sur le partenaire de ressource.

Remarque : ADFS exige que les communications entre le navigateur Web, le

serveur Web et les serveurs de fédération soient sécurisées. Les utilisateurs de
l'Interface Web doivent utiliser HTTPS/SSL pour accéder au site.

Qu'est-ce qu'Active Directory Federation

Services ?
Active Directory Federation Services est une fonctionnalité de Windows Server
2008 et Windows Server 2003 R2. ADFS fournit une technologie d'ouverture de
session permettant d'authentifier des utilisateurs sur plusieurs applications lors
d'une seule session.
176 Guide de l'administrateur Interface Web

ADFS étend les infrastructures Active Directory existantes pour fournir l'accès
aux ressources proposées par des partenaires approuvés sur l'Internet. Ces
partenaires approuvés peuvent inclure des tiers externes ou d'autres départements
de votre organisation.
Pour que deux organisations établissent des relations d'approbation ADFS, ADFS
doit être déployé dans les deux organisations. Leurs relations d'approbation
ADFS sont explicites, à sens unique et non-transitives. Dans une relation
d'approbation, le tiers hébergeant les comptes utilisateur est le partenaire de
compte et le tiers hébergeant les applications auxquelles les utilisateurs ont accès
est le partenaire de ressource.
L'utilisation d'ADFS exige un serveur de fédération pour chaque partenaire. Pour
davantage de sécurité, vous pouvez implanter ces serveurs de fédération à
l'intérieur du réseau approuvé de chaque organisation et déployer les proxys de
serveur de fédération. Un proxy de serveur de fédération transmet les requêtes de
fédération provenant de l'extérieur de l'organisation vers votre serveur de
fédération.

Terminologie Active Directory Federation

Services
Le tableau suivant regroupe les termes de base utilisés dans la description
d'ADFS.

Terme Définition
Partenaire de Organisation cliente souhaitant utiliser les applications depuis le
compte partenaire de ressource. Le partenaire de compte fournit les
identités (comptes utilisateur).
Serveur de Les serveurs de fédération hébergent le composant d'ADFS appelé
fédération Service de fédération, qui contrôle l'accès vers vos systèmes en
fonction d'une identification, d'une authentification et d'une
autorisation par l'approbation de fédération.
Les serveurs de fédération authentifient les requêtes provenant des
partenaires approuvés en fonction des informations d'identification
des partenaires. Les représentations des informations
d'identification sont échangées sous forme de jetons de sécurité.
Proxy de serveur de Les proxys de serveur de fédération hébergent le composant proxy
fédération du service de fédération d'ADFS. Vous pouvez déployer les proxys
de serveurs de fédération dans la zone démilitarisée (DMZ) afin de
transférer les requêtes vers les serveurs de fédération dont l'accès
est impossible depuis Internet.
Service de Service dans Windows Server 2008 et Windows Server 2003 R2
fédération qui utilise Active Directory pour fournir des jetons en réponse aux
requêtes émanant des partenaires approuvés.
10 Configuration de la prise en charge d'Active Directory Federation Services pour l'Interface Web 177

Terme Définition
Proxy de service de Les proxys de Service de fédération collectent les informations
fédération d'identification des utilisateurs dans les plug-ins du navigateur Web
et les applications, puis les transmettent au Service de fédération.
Partenaire de Organisation qui rend disponible sur Internet les services ou les
ressource applications.
Compte fantôme Les comptes fantômes sont créés dans Active Directory sur le
partenaire de ressource. Ils reflètent les comptes utilisateur
existants sur le partenaire de compte.

Fonctionnement des sites Active Directory

Federation Services intégrés
Les événements suivants se produisent lorsqu'un utilisateur sur un partenaire de
compte accède à une application publiée sur un partenaire de ressource :
• Étape 1. Un utilisateur ouvrant la page d'accueil de l'Interface Web sur un
partenaire de ressource est redirigé vers la page d'authentification du
partenaire de compte.
• Étape 2. Le partenaire de compte authentifie l'utilisateur et renvoie un jeton
de sécurité vers le partenaire de ressource.
• Étape 3. Sur le partenaire de ressource, ADFS valide le jeton de sécurité, le
transforme en une identité Windows (représentant un compte fantôme) et
redirige l'utilisateur vers l'écran Ouvrir une session de l'Interface Web.
• Étape 4. L'Interface Web affiche la série d'applications mise à la
disposition de l'utilisateur.
178 Guide de l'administrateur Interface Web

Ce schéma illustre les différentes étapes qui se déroulent lorsque des utilisateurs
appartenant au domaine du partenaire de compte ouvrent une session pour accéder à leur
série d'applications.
• Étape 5. L'utilisateur lance une application en cliquant sur un lien
hypertexte sur la page. L'Interface Web contacte le Service XML Citrix
pour demander le lancement.
• Étape 6. Le Service XML Citrix génère les données de l'interface SSPI
(Security Support Provider Interface) et les transmet à un serveur XenApp.
• Étape 7. Le serveur utilise les données de l'interface SSPI pour authentifier
l'utilisateur, puis stocke un jeton d'ouverture de session pour une
authentification ultérieure.
• Étape 8. Le serveur génère un ticket de lancement pour représenter
exclusivement le jeton d'ouverture de session stocké, puis transmet ce ticket
au Service XML Citrix.
• Étape 9. Le Service XML Citrix renvoie le ticket de lancement vers
l'Interface Web.
• Étape 10. L'Interface Web crée un fichier .ica contenant le ticket de
lancement et le transmet au navigateur Web de l'utilisateur.
• Étape 11. La machine cliente ouvre le fichier .ica et tente d'établir une
connexion ICA avec le serveur.
10 Configuration de la prise en charge d'Active Directory Federation Services pour l'Interface Web 179

• Étape 12. Le plug-in Citrix envoie le ticket de lancement au serveur

XenApp.
• Étape 13. Le serveur reçoit le ticket de lancement, le fait correspondre au
jeton d'ouverture de session généré précédemment, puis utilise ce jeton
d'ouverture de session pour connecter l'utilisateur à une session ICA sur le
serveur. La session ICA s'exécute sous l'identité du compte fantôme.

Ce schéma illustre les différentes étapes qui se déroulent lorsque des utilisateurs
appartenant au domaine du partenaire de compte lancent des applications publiées.
En fonction des paramètres configurés pour un site, lorsque des utilisateurs
ferment une session, ils sont déconnectés de l'Interface Web ou de l'Interface Web
et ADFS. S'ils ferment la session de l'Interface Web et ADFS, ils ferment la
session de toutes les applications ADFS.
180 Guide de l'administrateur Interface Web

Configuration logicielle requise pour Active Directory

Federation Services
Vous devez installer et configurer les logiciels suivants dans votre
environnement :
• Windows Server 2008 ou Windows Server 2003 R2 pour les serveurs Web
et les serveurs de fédération ;
• Active Directory Federation Services (ADFS) sur les partenaires de compte
et de ressource. L'agent Web prenant en charge les revendications et l'agent
Web basé sur les jetons Windows doivent tous deux être installés.

Avant la création de sites Active Directory Federation

Services
Avant de créer un site ADFS, vous devez effectuer les opérations suivantes. Si
vous oubliez l'une de ces opérations, vous ne pourrez peut-être pas créer de site.
• Synchronisez les horloges sur le serveur de fédération du partenaire de
compte et le serveur de fédération du partenaire de ressource à cinq minutes
près l'une par rapport à l'autre. Dans le cas contraire, les jetons de sécurité
générés par le partenaire de compte peuvent ne pas être acceptés par le
partenaire de ressource, les jetons pouvant apparaître comme ayant expiré.
Afin d'éviter ce problème, les deux organisations doivent synchroniser leurs
serveurs avec le même serveur de temps Internet. Pour plus d'informations,
veuillez consulter la section « Création des relations entre les domaines » à
la page 181.
• Assurez-vous que le serveur Web et le serveur de fédération du partenaire
de ressource ont accès aux Listes de Révocation de Certificats (LRC) de
l'Autorité de Certification. ADFS pourrait échouer si les serveurs ne
peuvent pas confirmer qu'un certificat n'est pas révoqué. Pour plus
d'informations, veuillez consulter la section « Création des relations entre
les domaines » à la page 181.
• Assurez-vous que tous les serveurs au sein de votre déploiement sont
sécurisés pour la délégation. Pour plus d'informations, veuillez consulter la
section « Configuration de la délégation pour les serveurs au sein de votre
déploiement » à la page 183.
• Créez des comptes fantômes dans le domaine du partenaire de ressource
pour chaque utilisateur externe pouvant s'authentifier sur l'Interface Web
via ADFS. Pour plus d'informations, veuillez consulter la section
« Création de comptes fantômes » à la page 188.
10 Configuration de la prise en charge d'Active Directory Federation Services pour l'Interface Web 181

• Installez XenApp, en vous assurant que le service XML Citrix est configuré
pour partager son port avec IIS et qu'IIS est configuré pour prendre en
charge HTTPS.
• Établissez une relation d'approbation entre le serveur Interface Web et tout
autre serveur dans la batterie exécutant le service XML Citrix contacté par
l'Interface Web. Pour plus d'informations, veuillez consulter la section
« Pour établir une relation d'approbation » à la page 126.

Remarque : cette section ne fournit aucune information sur l'installation

d'ADFS. Avant d'essayer de créer un site ADFS, vérifiez qu'une installation
ADFS est en état de fonctionnement, et qu'elle contient des utilisateurs de
comptes externes capables d'accéder aux applications activées par ADFS dans un
partenaire de ressource.

Création des relations entre les domaines

Le déploiement documenté ici est constitué de deux domaines (dans leurs propres
forêts), l'une pour le partenaire de compte et l'autre pour le partenaire de
ressource. Les composants requis ne doivent pas être sur des ordinateurs séparés.

Pour créer des relations entre les domaines

1. Assurez-vous d'être en possession des composants suivants.
Le partenaire de compte requiert :
• Contrôleur de domaines
• Serveur de fédération*
• Machines clientes
Le partenaire de ressource requiert :
• Contrôleur de domaines
• Serveur de fédération*
• Serveur Web*
• Un ou plusieurs serveurs pour une batterie XenApp
Les composants marqués d'un astérisque (*) doivent être présents sur les
ordinateurs exécutant Windows Server 2008 ou Windows Server 2003 R2
et ils doivent avoir le rôle de serveur Active Directory Federation
Services installé. Dans le cas du serveur Web, les services de rôle Agent
prenant en charge les revendications et Agent basé sur les jetons
Windows doivent être installés en plus de tous les services de rôle pour le
rôle de serveur Serveur Web (IIS).
182 Guide de l'administrateur Interface Web

2. Procurez-vous des certificats de serveur séparés pour le serveur Web et les

deux serveurs de fédération.
• Les certificats doivent être signés par une entité approuvée appelée
Autorité de Certification.
• Le certificat de serveur identifie un ordinateur spécifique ; vous
devez donc connaître le nom de domaine complet (FQDN) de chaque
serveur, par exemple, « xenappserver1.mydomain.com ».
• Installez le certificat du serveur Web dans Microsoft Internet
Information Services (IIS) afin d'activer le site Web IIS par défaut
pour le trafic SSL.
• Installez les certificats de serveur de fédération à l'aide du composant
logiciel enfichable MMC (Microsoft Management Console)
Certificates. Pour plus d'informations, veuillez consulter le guide
Step-by-Step Guide to the Microsoft Management Console à l'adresse
http://technet.microsoft.com/.
3. Afin de vous assurer que le serveur de fédération du partenaire de ressource
approuve le serveur de fédération du partenaire de compte, installez le
certificat de fédération du partenaire de compte dans le magasin Autorités
de certification approuvées du serveur de fédération du partenaire de
ressource.
4. Afin de vous assurer que le serveur Web approuve le serveur de fédération
du partenaire de ressource, installez le certificat de fédération du partenaire
de ressource dans le magasin Autorités de certification approuvées du
serveur Web.

Remarque : le serveur Web et le serveur de fédération de ressource

doivent avoir accès aux Listes de Révocation de Certificats (LRC) de
l'Autorité de Certification (AC). Le serveur de fédération de ressource doit
avoir accès à l'Autorité de Certification du partenaire de compte et le
serveur Web doit avoir accès à l'Autorité de Certification du partenaire de
ressource. ADFS pourrait échouer si les serveurs ne peuvent pas confirmer
qu'un certificat n'est pas révoqué.

5. Sur le serveur de fédération du partenaire de ressource, ouvrez le

composant logiciel enfichable MMC Services de fédération Active
Directory.
6. Dans le panneau gauche, sélectionnez Service de fédération > Stratégie
d'approbation > Organisations partenaires > Partenaires de compte,
puis sélectionnez le nom du partenaire de compte.
10 Configuration de la prise en charge d'Active Directory Federation Services pour l'Interface Web 183

7. Dans le menu Action, cliquez sur Propriétés.

8. Sur l'onglet Comptes ressource, sélectionnez Des comptes ressource
existent pour tous les utilisateurs, puis cliquez sur OK.
9. À l'aide du même serveur de temps Internet, synchronisez les horloges sur
le serveur de fédération du partenaire de compte et le serveur de fédération
du partenaire de ressource à cinq minutes près l'une par rapport à l'autre.
Dans le cas contraire, les jetons de sécurité générés par le partenaire de
compte peuvent ne pas être acceptés par le partenaire de ressource, les
jetons pouvant apparaître comme ayant expiré.
Les partenaires de compte et de ressource peuvent être situés dans des
fuseaux horaires différents, mais ils doivent être correctement synchronisés.
Par exemple, le partenaire de compte est à New York et il est défini sur
16h00, heure de la côte est américaine (EST). Le partenaire de ressource en
Californie doit être défini entre 12h55 et 13h05, heure normale du Pacifique
(PST). (Il y a trois heures de différence entre les zones EST et PST).
10. Sur le serveur Web, ouvrez le composant logiciel enfichable Gestionnaire
des services Internet (IIS) de MMC.
11. Sélectionnez votre serveur Web dans le panneau de gauche, et dans
Affichage des fonctionnalités, cliquez deux fois sur Adresse URL du
service de fédération.
12. Sur la page Adresse URL du service de fédération, entrez l'adresse URL
du serveur de fédération du partenaire de ressource et cliquez sur
Appliquer dans le panneau Actions.

Configuration de la délégation pour les serveurs

au sein de votre déploiement
Assurez-vous que tous les serveurs au sein de votre déploiement sont sécurisés
pour la délégation. Pour ce faire, effectuez les tâches suivantes en tant
qu'administrateur de domaine sur le contrôleur de domaine pour le domaine du
partenaire de ressource. Les procédures à suivre pour chaque tâche sont incluses
dans cette section.
• Vérifier que le domaine du partenaire de ressource est au niveau
fonctionnel correct.
• Approuver l'Interface Web pour la délégation.
• Approuver le serveur exécutant le service XML Citrix pour la délégation.
• Déterminer quelles ressources publiées sont accessibles depuis le serveur
XenApp.
184 Guide de l'administrateur Interface Web

Pour vérifier que le domaine du partenaire de ressource est au

niveau fonctionnel correct.
Remarque : pour augmenter le niveau du domaine, tous les contrôleurs de
domaine au sein du domaine doivent exécuter Windows Server 2008 ou Windows
Server 2003. N'augmentez pas le niveau fonctionnel du domaine sur Windows
Server 2008 si vous avez déjà ajouté ou que vous prévoyez d'ajouter des
contrôleurs de domaine exécutant Windows Server 2003. Une fois le niveau
fonctionnel augmenté, il ne peut plus être réduit.

1. Sur le contrôleur de domaine du partenaire de ressource, ouvrez le

composant logiciel enfichable MMC Domaines et approbations Active
Directory.
2. Dans le panneau de gauche, sélectionnez le nom de domaine du partenaire
de ressource et, dans le menu Action, cliquez sur Propriétés.
3. Si le domaine n'est pas au niveau fonctionnel le plus élevé, sélectionnez le
nom du domaine et, dans le menu Action, cliquez sur Augmenter le
niveau fonctionnel du domaine.
4. Pour augmenter le niveau fonctionnel du domaine, cliquez sur le niveau
approprié puis sur Augmenter.

Pour approuver le serveur Interface Web pour la délégation

1. Sur le contrôleur de domaine du partenaire de ressource, ouvrez le
composant logiciel enfichable MMC Utilisateurs et ordinateurs Active
Directory.
2. Sur le menu Affichage, cliquez sur Fonctionnalités avancées.
3. Dans le panneau de gauche, cliquez sur le nœud Ordinateurs sous le nom
de domaine du partenaire de ressource et sélectionnez le serveur Interface
Web.
4. Dans le menu Action, cliquez sur Propriétés.
5. Sur l'onglet Délégation, cliquez sur Approuver cet ordinateur pour la
délégation vers les services spécifiés uniquement et Utiliser n'importe
quel protocole d'authentification, puis cliquez sur Ajouter.
6. Dans la boîte de dialogue Ajouter des services, cliquez sur Utilisateurs ou
ordinateurs.
7. Dans la boîte de dialogue Sélectionnez utilisateurs ou ordinateurs, tapez
le nom du serveur exécutant le service XML Citrix dans la zone de texte
Entrez le nom de l'objet à sélectionner, puis cliquez sur OK.
8. Sélectionnez le type de service http dans la liste et cliquez sur OK.
10 Configuration de la prise en charge d'Active Directory Federation Services pour l'Interface Web 185

9. Sur l'onglet Délégation, vérifiez que le type de service http pour le serveur
XenApp apparaît bien dans la liste Services pour lesquels ce compte peut
présenter des informations d'identification déléguées et cliquez sur OK.
10. Répétez le processus pour chaque serveur de la batterie exécutant le service
XML Citrix que l'Interface Web doit contacter.

Pour approuver le serveur exécutant le service XML Citrix pour

la délégation
1. Sur le contrôleur de domaine du partenaire de ressource, ouvrez le
composant logiciel enfichable MMC Utilisateurs et ordinateurs Active
Directory.
2. Dans le panneau de gauche, cliquez sur le nœud Ordinateurs sous le nom
de domaine du partenaire de ressource et sélectionnez le serveur exécutant
le service XML Citrix XML que l'Interface Web est configurée pour
contacter.
3. Dans le menu Action, cliquez sur Propriétés.
4. Sur l'onglet Délégation, cliquez sur Approuver cet ordinateur pour la
délégation vers les services spécifiés uniquement et Utiliser Kerberos
uniquement, puis cliquez sur Ajouter.
5. Dans la boîte de dialogue Ajouter des services, cliquez sur Utilisateurs ou
ordinateurs.
6. Dans la boîte de dialogue Sélectionnez utilisateurs ou ordinateurs, tapez
le nom du serveur exécutant le service XML Citrix dans la zone de texte
Entrez le nom de l'objet à sélectionner, puis cliquez sur OK.
7. Sélectionnez le type de service HOST dans la liste et cliquez sur OK.
8. Sur l'onglet Délégation, vérifiez que le type de service HOST pour le
serveur exécutant le service XML Citrix apparaît bien dans la liste Ce
compte peut présenter des informations d'identification déléguées à ces
services, puis cliquez sur OK.
9. Répétez le processus pour chaque serveur de la batterie exécutant le service
XML Citrix que l'Interface Web doit contacter.

Pour déterminer quelles ressources publiées sont accessibles

depuis le serveur XenApp
1. Sur le contrôleur de domaine du partenaire de ressource, ouvrez le
composant logiciel enfichable MMC Utilisateurs et ordinateurs Active
Directory.
2. Dans le panneau de gauche, cliquez sur le nœud Ordinateurs sous le nom
de domaine du partenaire de ressource et sélectionnez le serveur XenApp.
186 Guide de l'administrateur Interface Web

3. Dans le menu Action, cliquez sur Propriétés.

4. Sur l'onglet Délégation, cliquez sur Approuver cet ordinateur pour la
délégation vers les services spécifiés uniquement et Utiliser Kerberos
uniquement, puis cliquez sur Ajouter.
5. Dans la boîte de dialogue Ajouter des services, cliquez sur Utilisateurs ou
ordinateurs.
6. Dans la boîte de dialogue Sélectionnez utilisateurs ou ordinateurs, tapez
le nom du serveur de fédération du partenaire de ressource dans la case
Entrez le nom de l'objet à sélectionner et cliquez sur OK.
7. Sélectionnez les types de service cifs and ldap dans la liste et cliquez sur
OK.

Remarque : si vous avez deux possibilités de service ldap, sélectionnez

celui qui correspond au FQDN du contrôleur de domaine.

8. Sur l'onglet Délégation, vérifiez que les types de services cifs et ldap du
contrôleur de domaine du partenaire de ressource apparaissent dans la liste
Services pour lesquels ce compte peut présenter des informations
d'identification déléguées, puis cliquez sur OK.
9. Répétez le processus pour chaque serveur XenApp de la batterie.

Configuration des serveurs pour la délégation contrainte

Pour des raisons de sécurité, vous devez configurer tous les serveurs XenApp
pour la délégation contrainte. Pour fournir aux utilisateurs l'accès aux ressources
sur ces serveurs, vous devez ajouter les services correspondants à la liste Services
pour lesquels ce compte peut présenter des informations d'identification
déléguées à l'aide du composant enfichable MMC Utilisateurs et ordinateurs
Active Directory. Par exemple, pour permettre aux utilisateurs de s'authentifier
auprès d'un serveur Web sur l'hôte « peter », ajoutez le service http pour le
serveur peter ; pour permettre aux utilisateurs de s'authentifier auprès d'un serveur
SQL sur l'hôte « lois », ajoutez le service MSSQLSvc pour le serveur lois.
Pour des informations détaillées, reportez-vous au document technique Service
Principal Names and Delegation in Presentation Server (CTX110784) disponible
dans le centre de connaissances Citrix.
10 Configuration de la prise en charge d'Active Directory Federation Services pour l'Interface Web 187

Attention : une utilisation incorrecte de l'Éditeur du Registre peut entraîner de

sérieux problèmes qui pourrait vous amener à réinstaller votre système
d'exploitation. Citrix ne peut garantir la possibilité de résoudre les problèmes
provenant d'une mauvaise utilisation de l'Éditeur du Registre. L'utilisation de
l'Éditeur du Registre est à vos propres risques.

Configuration d'une durée limite d'accès aux ressources

Par défaut, les utilisateurs ADFS ont accès aux ressources sur un réseau pendant
15 minutes. Vous pouvez augmenter cette durée en modifiant l'entrée de registre
suivante sur le serveur exécutant le service XML Citrix :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\
Kerberos\Parameters\S4UTicketLifetime
Cette valeur spécifie le nombre de minutes pendant lesquelles les utilisateurs ont
accès aux ressources une fois une session ouverte.
La stratégie de sécurité de domaine régit la valeur maximale que vous pouvez
définir pour S4ULifetime. Si vous définissez pour ce paramètre une valeur
supérieure à celle spécifiée pour le paramètre au niveau du domaine, la valeur
définie pour ce dernier est prioritaire.
Pour configurer une durée limite d'accès aux ressources au niveau du domaine
1. Sur le contrôleur de domaine du partenaire de ressource, ouvrez le
composant logiciel enfichable MMC Stratégie de sécurité de domaine.
2. Dans le panneau de gauche, sélectionnez Stratégies de compte > Stratégie
Kerberos.
3. Dans le volet de détails, sélectionnez Durée de vie maximale du ticket de
service.
4. Dans le menu Action, cliquez sur Propriétés.
5. Entrez la durée requise (en minutes) dans la case Le ticket expire dans et
cliquez sur OK.
Si vous ne souhaitez pas configurer de durée limite pour l'accès aux ressources,
sélectionnez Utiliser tout protocole d'authentification lorsque vous spécifiez
les ressources accessibles depuis le serveur XenApp. Si vous sélectionnez cette
option, la valeur spécifiée pour S4UTicketLifetime sera ignorée, quelle qu'elle
soit. Pour de plus amples informations, visitez le site Web de Microsoft à l'adresse
http://support.microsoft.com/.
188 Guide de l'administrateur Interface Web

Création de comptes fantômes

Pour lancer des applications, XenApp requiert des comptes Windows
authentiques. C'est pourquoi vous devez créer manuellement un compte fantôme
dans le domaine du partenaire de ressource pour chaque utilisateur externe qui
s'authentifie auprès de l'Interface Web via ADFS.
Si vous disposez de plusieurs utilisateurs dans le domaine du partenaire de
compte qui accèdent aux applications et contenus dans le domaine du partenaire
de ressource, vous pouvez utilisez un produit tiers d'approvisionnement de
compte afin de permettre une création rapide de comptes utilisateur fantômes
dans Active Directory.
Pour ce faire, effectuez les tâches suivantes en tant qu'administrateur de domaine
sur le contrôleur de domaine pour le domaine du partenaire de ressource. Les
procédures à suivre pour chaque tâche sont incluses dans cette section.
• Ajoutez des suffixes de nom d'utilisateur principal (UPN) pour tous les
partenaires de compte externes.
• Définissez l'utilisateur du compte fantôme.

Pour ajouter des suffixes de nom d'utilisateur principal

1. Sur le contrôleur de domaine du partenaire de ressource, ouvrez le
composant logiciel enfichable MMC Domaines et approbations Active
Directory.
2. Dans le panneau gauche, sélectionnez Domaines et approbations Active
Directory.
3. Dans le menu Action, cliquez sur Propriétés.
4. Ajoutez un suffixe UPN pour chaque partenaire de compte externe. Par
exemple, si le domaine Active Directory du partenaire de compte est
« adomain.com », ajoutez adomain.com en tant que suffixe UPN.
L’utilisateur sélectionne OK.

Pour définir l'utilisateur du compte fantôme

1. Sur le contrôleur de domaine du partenaire de ressource, ouvrez le
composant logiciel enfichable MMC Utilisateurs et ordinateurs Active
Directory.
2. Dans le panneau gauche, sélectionnez le nom de domaine du partenaire de
ressource.
3. Dans le menu Action, cliquez sur Nouveau > Utilisateur.
4. Entrez le prénom de l'utilisateur, ses initiales ainsi que son nom dans les
cases correspondantes.
10 Configuration de la prise en charge d'Active Directory Federation Services pour l'Interface Web 189

5. Dans la case Nom de connexion de l'utilisateur, tapez le nom de compte.

Assurez-vous que ce nom corresponde au nom sur le contrôleur de domaine
du partenaire de compte.
6. Dans la liste, choisissez le suffixe UPN externe et cliquez sur Suivant.
7. Dans les cases Mot de passe et Confirmer le mot de passe, entrez un mot
de passe qui corresponde à votre stratégie de mot de passe. Ce mot de passe
n'est jamais utilisé car l'utilisateur s'authentifie via ADFS.
8. Décochez la case L'utilisateur doit changer de mot de passe à la
prochaine ouverture de session.
9. Cochez les cases L'utilisateur ne peut pas changer de mot de passe et
Pas de limite d'expiration du mot de passe.
10. Cliquez sur Suivant, puis cliquez sur Terminer.
190 Guide de l'administrateur Interface Web

Création de sites Active Directory Federation Services

intégrés
Exécutez la tâche Créer un site dans la console Access Management Console et
configurez le site Interface Web afin d'utiliser ADFS pour l'authentification.

Remarque : la livraison de bureaux virtuels XenDesktop dans un

environnement ADFS n'est pas prise en charge. Par ailleurs, le client pour Java et
le logiciel Connexion au Bureau à distance ne prennent pas en charge l'accès aux
sites intégrés ADFS.

Pour créer un site Active Directory Federation

Services intégré
1. Cliquez sur Créer un site.
2. Sélectionnez XenApp Web et cliquez sur Suivant.
3. Sur la page Spécifier l'emplacement IIS, entrez les paramètres requis et
cliquez sur Suivant.
4. Sur la page Spécifier le point d'authentification, sélectionnez Sur le
partenaire de compte Microsoft ADFS. Définissez l'adresse de retour de
l'Interface Web et cliquez sur Suivant.
5. Confirmez les paramètres pour le nouveau site et cliquez sur Suivant.
6. Cliquez sur Terminer pour fermer l'assistant.

Configuration de votre site en tant qu'application Active

Directory Federation Services
Après avoir créé votre site, vous devez le configurer en tant qu'application ADFS
afin qu'il puisse être reconnu par le serveur de fédération.

Pour configurer votre site en tant qu'application

Active Directory Federation Services
1. Sur le serveur de fédération du partenaire de ressource, ouvrez le
composant logiciel enfichable MMC Services de fédération Active
Directory.
 10 Configuration de la prise en charge d'Active Directory Federation Services pour l'Interface Web 191

2. Dans le panneau gauche, sélectionnez Service de fédération > Stratégie

d'approbation > Mon organisation > Applications.
3. Dans le menu Action, cliquez sur Nouveau > Application.
4. Cliquez sur Suivant, sélectionnez Application compatible avec les
revendications et cliquez sur Suivant.
5. Entrez un nom pour le site dans la case Nom affiché de l'application.
6. Dans la case ApplicationURL, entrez l'adresse URL de votre site Interface
Web exactement telle qu'elle apparaît dans la case Adresse URL de retour
vers l'Interface Web lorsque vous avez créez le site et cliquez sur Suivant.

Remarque : assurez-vous que vous utilisez HTTPS et le FQDN de votre

serveur Web.

7. Cochez la case Nom d'utilisateur principal (UPN) et cliquez sur Suivant.

8. Assurez-vous que la case Activer cette application est sélectionnée et
cliquez sur Suivant.
9. Cliquez sur Terminer pour ajouter votre site en tant qu'application AD FS.

Test de votre déploiement

Après avoir configuré votre site en tant qu'application ADFS, testez votre
déploiement afin de vous assurer que tout fonctionne correctement entre le
partenaire de compte et le partenaire de ressource.

Pour tester le déploiement Active Directory

Federation Services de l'Interface Web
1. Ouvrez une session sur votre machine cliente dans le domaine du partenaire
de compte.
2. Ouvrez un navigateur Web et tapez l'URL FQDN du site Interface Web
ADFS intégré que vous avez créé précédemment.
Votre série d'applications apparaît.

Remarque : si vous n'avez pas configuré ADFS pour l'authentification

intégrée, vous pouvez être invité à entrer vos informations d'identification
ou à insérer une carte à puce.
192 Guide de l'administrateur Interface Web

3. Si vous n'avez pas installé Citrix XenApp Plugin pour applications

hébergées, faites-le maintenant. Pour de plus amples informations,
consultez le Guide de l'administrateur Citrix XenApp Plugin pour
applications hébergées pour Windows.
4. Cliquez sur une application pour la lancer.

Déconnexion des sites Active Directory Federation

Services intégrés
Utilisez la tâche Configurer les méthodes d'authentification dans la console
Access Management Console pour indiquer si les utilisateurs cliquant sur les
boutons Fermeture de session ou Se déconnecter du site Web se déconnectent
de :
• l'Interface Web uniquement ;
• l'Interface Web et ADFS Federation Service.
Si vous spécifiez que les utilisateurs se déconnectent de l'Interface Web
uniquement, ils sont redirigés vers l'écran de fermeture de session de l'Interface
Web. Si vous spécifiez que les utilisateurs se déconnectent de l'Interface Web et
du service de fédération ADFS, ils sont redirigés vers la page de fermeture de
session du service de fédération et ils sont déconnectés de toutes les applications
ADFS.

Remarque : les utilisateurs qui s'authentifient à l'aide d'ADFS ne peuvent pas

déverrouiller leur session XenApp car ils ne connaissent pas leur mot de passe.
Pour déverrouiller des sessions, les utilisateurs doivent fermer leur session
Interface Web, puis rouvrir une session à l'aide de l'authentification ADFS. Ils
peuvent ensuite relancer leurs applications. Lorsqu'ils procèdent de la sorte, la
session précédente se déverrouille et la nouvelle fenêtre de lancement se ferme.

Pour spécifier les services auxquels les

utilisateurs se déconnectent
1. Cliquez sur Configurer les méthodes d'authentification.
2. Pour indiquer qu'un utilisateur se déconnecte à partir de l'Interface Web et
du service de fédération ADFS, cochez la case Effectuer une déconnexion
globale. Pour indiquer que les utilisateurs se déconnectent de l'Interface
Web uniquement, décochez la case Effectuer une déconnexion globale.
Index

A Affichage pour les utilisateurs

Personnalisation 117
Accès sécurisé Aide
Gestion 109 Affichage 44
Access Gateway Aide contextuelle 44
À propos de 14 Aide en ligne 44
Configuration de l'Interface Web 111 Ajout
Déploiement avec l'Interface Web 49 Batteries de serveurs 61
Intégration de sites XenApp Web 50 Alertes 16
Mise à disposition des ressources auprès des Applications livrées en streaming
utilisateurs 50 Configuration requise 28
Présentation 136 Authentification
Prise en charge 14 Anonyme 70
Access Management Console 12, 41 Carte à puce 70
À propos de 41 Deux facteurs 89
Démarrage 45 Explicite 69, 75
Utilisation 44 Invite 69
Activation Méthodes 69
Authentification à deux facteurs 77 Recommandations 71
Authentification par invite 78 Unique 70, 81
Authentification unique 81 Unique avec carte à puce 70
Contrôle de l'espace de travail 126 Authentification à deux facteurs 89
Redirection de contenu 65 Activation 77
Regroupement de sockets 64 Authentification anonyme 70
Active Directory Federation Services, voir ADFS Considérations de sécurité 71
Actualisation automatique Authentification avec une carte à puce 70
Configuration 66 Configuration requise 84
ADFS 180 Authentification de domaine Microsoft 73
Configuration logicielle 180 Authentification explicite 69
Présentation 175 Activation 75
Terminologie 176 Configuration des paramètres de mot de passe 75
Adresse URL du serveur Authentification par invite 69
Personnalisation 66 Activation 78
Adresses URL de secours Configuration des paramètres de mot de passe 79
Définition 67 Authentification unique 70
Adresses URL d'application publiée Activation 81
Prise en charge 57 Configuration requise 81
Affichage de l'écran Authentification Windows 73
Personnalisation 118 Autres machines clientes
Configuration requise 29
194 Guide de l'administrateur Interface Web

B Configuration requise 21
ADFS 180
Batteries de serveurs Authentification avec une carte à puce 84
Ajout 61 Authentification unique 81
Considérations sur le changement de mot de passe Connexion au Bureau à distance 103
60 Contrôle de l'espace de travail 123
Définition de paramètres pour tous les serveurs 63 Machine cliente 29
Gestion 59 Serveur Web 26
Rôle dans l'Interface Web 17 Configuration requise pour l'utilisateur 27
Suppression 61 Configuration système requise 29
bootstrap.conf Microsoft Internet Information Services 26
Paramètres 172 Configurer et exécuter le processus de découverte 45
config.xml 42
C À propos de 108
Carte à puce 15 Connexion au Bureau à distance
Exemple de configuration 88 Configuration requise 103
Certificats racine privés 106 Connexion Bureau à distance
Citrix XenApp Plugin pour applications en streaming 98 Et la zone Intranet local 103
Zone de sécurité Windows 99 Et la zone Sites de confiance 103
Citrix XenApp Plugin pour applications hébergées Contenu de l'écran
Configuration pour carte à puce 85 Personnalisation 118
Configuration pour l'authentification unique 82 Contrôle
Client pour Java Journalisation des diagnostics 147
Déploiement des composants 105 Contrôle de la bande passante 120
Présentation 103 Contrôle de l'espace de travail
Utilisation de certificats racine privés 106 Activation 126
Communication SSL/TLS Configuration 123
Configuration 66 Configuration requise 123
Comptes fantômes 177 Option Se reconnecter 127
Configuration Présentation 123
À l'aide de WebInterface.conf 42 Reconnexion automatique 127
Actualisation automatique 66 Utilisation avec authentification intégrée 125
Communication SSL/TLS 66 Cookies 140
Communications avec le service XML Citrix 65 Création
Contrôle de l'espace de travail 123 Relations de domaines 181
Délégation contrainte 186 Création de sites 46
Déverrouillage de compte 77 Cryptage ICA 146
Libre-service de compte 77 Présentation 136
Paramètres de mot de passe 75, 79
Paramètres de restriction de domaine 71 D
Paramètres d'ouverture de session automatique 72 Découverte
Redirection de site 68 Configuration 45
Réinitialisation de mot de passe 77 Exécution 45
Tolérance de panne 113 Définition
Type d'authentification 73 Adresses URL de secours 67
Utilisation de la console Access Management Paramètres de configuration initiale 52
Console 12, 41
Paramètres de serveur avancés 64
Configuration de l'écran
Paramètres d'authentification 47
Personnalisation 117
Paramètres pour tous les serveurs 63
Configuration du site 43
Partagée 43
 Index 195

Délai avant expiration G

Des tickets 63
Délégation contrainte Gestion
Configuration 186 Accès sécurisé 109
Dépannage Batteries de serveurs 59
Installation 38 Déploiement de plug-in 97, 102
Déploiement Fichiers de configuration des plug-ins 108
Interface Web et Access Gateway 49 Hébergement IIS 56
Déploiement de plug-in Options d'actualisation des applications 131
Gestion 97, 102 Paramètres de serveur 66
Déploiement du plug-in simplifié 16 Préférences de session 119
Désactivation Raccourcis vers les applications 130
Messages d'erreur 150
Redirection de contenu 65 H
Désinstallation 39
Horloges de serveur
sites 56
Synchronisation 180
Desktop Receiver
HTTP 63
Configuration pour carte à puce 85
HTTPS 63, 145
Configuration pour l'authentification unique 82
Déverrouillage de compte
Configuration 77 I
Documentation Citrix 9 IIS
Domaines Installation sur 31
Création de relations 181 Installation
Niveau fonctionnel correct 184 À l'aide de la ligne de commande 36
Considérations de sécurité 30
E Présentation 29
Sur des serveurs d'application Java 34
Écran d'ouverture de session
Sur IIS 31
Définition de la page par défaut sur IIS 57
Sur Windows 64 bits 33
Équilibrage de charge
Installation des plug-ins par le Web
Entre les Secure Ticket Authorities 113
Copie des plug-ins sur le serveur 100
Requêtes XML 62
Interface Web
Configuration avec le plug-in Citrix XenApp 170
F Déploiement 177
Fédération Déploiement avec l'Interface Web 49
Proxy de serveur 176 Désinstallation 39
Proxy de Service 177 Exécution sur un serveur 144
Serveur 176 Fonctionnalités 12
Service 176 Fonctionnement 19
Fichiers de configuration des plug-ins Installation 29
Gestion 108 Introduction 11
Fichiers de plug-in Mise à disposition auprès des utilisateurs 56
Copie sur le serveur 100 Présentation 19
Fichiers ICA 140 Prise en charge d'ADFS 177
Fichiers ICA Unicode 106 Sécurité 133

J
Journalisation des diagnostics
Contrôle 147
196 Guide de l'administrateur Interface Web

L O
Légendes d'installation 102 Options de session
Libre-service de compte 14 Modification 129
Configuration 77 Options d'actualisation des applications
Déverrouillage de compte 77 Gestion 131
Réinitialisation de mot de passe 77
Ligne de commande 36 P
Lissage de police 13
Lissage de polices 121 Packs de langue 36
Suppression 37
Paramètres de configuration initiale
M Définition 52
Machine cliente Paramètres de mot de passe
Configuration requise 29 Configuration 75, 79
Machines clientes Paramètres de restriction de domaine
Rôle dans l'Interface Web 18 Configuration 71
Sécurité 139, 146 Paramètres de serveur
Mappeur du service d’annuaire Windows 86 Avancés 64
Messages d'erreur Gestion 66
Désactivation 150 Paramètres du proxy côté client
Microsoft Internet Information Services Modification 115
Configuration requise 26 Paramètres d'accès par défaut
Gestion de l'hébergement 56 Modification 113
Mise à niveau Paramètres d'adresses secondaires
Installation existante 37 Modification 110
Sites existants 16, 54 Paramètres d'authentification
Modification Définition 47
Options de session 129 Paramètres d'ouverture de session automatique
Paramètres du proxy côté client 115 Configuration 72
Paramètres d'accès par défaut 113 Pare-feu
Paramètres d'adresses secondaires 110 Traduction d'adresse 109
Réglages de passerelle 111 Partenaire de compte 176
Routes d'accès directes 109 Partenaire de ressource 176–177
Traductions d'adresse 110 Partenaires
Compte 176
N Ressource 177
Personnalisation
NDS Adresse URL du serveur 66
Authentification 73 Affichage de l'écran 118
Niveau fonctionnel pour le domaine du partenaire de Affichage pour les utilisateurs 117
ressource 184 Configuration de l'écran 117
Nom d'utilisateur principal Contenu de l'écran 118
Voir UPN Plates-formes Windows
Nouvelles fonctionnalités 15 Installation sur des versions 64 bits 33
Alertes 16
Carte à puce 15
Déploiement du plug-in simplifié 16
Prise en charge d'Access Gateway 16
Redémarrage du bureau virtuel 16
Suppression de la prise en charge de la
configuration centralisée 16
 Index 197

Plug-in Citrix XenApp Requêtes d’initialisation 146

Configuration 42, 108 Ressources hébergées
config.xml 108 Client pour Java 98
Paramètres de configuration 169 Logiciel Connexion au Bureau à distance 98
Réinitialisation du mot de passe 79 Plug-in natif 97
Réinitialiser le mot de passe 14 Plug-ins 97
Sécurisation 139 Ressources publiées
Plug-ins Hébergées 54
Installation par le Web 100 Livrées en streaming 54
Personnalisation utilisateur 119 Spécification des types 53
Téléchargement 29 Streaming en mode double 54
Préférences de session Routes d'accès directes
Gestion 119 Modification 109
Présentation RSA SecurID
ADFS 175 PASSCODES 89
Installation de l'Interface Web 29 Tokencodes 89
Prise en charge de Windows Server 2008 13
Prise en charge d'Access Gateway 16 S
Prise en charge traditionnelle 106
Proxy Secure Gateway
Serveur de fédération 176 À propos de 14
Service de fédération 177 Configuration de l'Interface Web 111
Publication de contenu 13 Entre les plug-ins et les serveurs 147
Publication de ressources 17 Exemple de configuration 172
Présentation 137
Prise en charge 14
R Secure Sockets Layer
Raccourcis vers les applications Voir SSL
Gestion 130 SecureICA
Redémarrage du bureau virtuel 16 VoirCryptage ICA
Redirection de contenu Sécurisation de l'Interface Web 139
Activation 65
Désactivation 65
Redirection de dossiers spéciaux 13
Redirection de site
Configuration 68
Réglages de passerelle 111
Regroupement de sockets
Activation 64
Réinitialisation de mot de passe
Configuration 77
Réinitialisation du mot de passe
Plug-in Cit 79
Réinitialiser le mot de passe
Plug-in Citrix XenApp 14
Relais SSL 64
Configuration de l'Interface Web 171
Présentation 135
Voir aussi SSL
Réparation de sites 56
Réparer, option 38
198 Guide de l'administrateur Interface Web

Sécurité 133 Sites

Access Gateway ADFS intégrés 47, 125
Configuration de l'Interface Web 111 Configuration au moyen de la console 44
Communication réseau 139, 142 Configurés centralement 54
Plug-in et serveur 146 Configurés localement 54
Communications entre plug-ins et serveurs 139 Création 46
Configuration du Relais SSL 143 Création sur des serveurs d'application Java 47
Et authentification anonyme 71 Définition des paramètres de configuration initiale
Lors de l'installation de l'Interface Web 30 52
Présentation de Access Gateway 136 Définition des paramètres d'authentification 47
Présentation de Secure Gateway 137 Désinstallation 56
Présentation du cryptage ICA 136 Groupés 54
Présentation du Relais SSL 135 Réparation 56
Présentation SSL 134 Types de ressources publiées 53
Présentation TLS 135 Sites configurés centralement
Protocoles et solutions Citrix 134 Mise à niveau 54
Secure Gateway Sites configurés localement
Configuration de l'Interface Web 111 Mise à niveau 54
Entre les plug-ins et les serveurs 147 Sites groupés
SSL Mise à niveau 54
Entre le serveur Web et le navigateur Web Sites XenApp Services 12
141 Sites XenApp Web 12
Entre les plug-ins et les serveurs 146 Spécification
TLS Types de ressources publiées 53
Entre le serveur Web et le navigateur Web SSL
141 Configuration du Relais SSL 143
Entre les plug-ins et les serveurs 146 Entre les plug-ins et les serveurs 146
Série de ressources 17 Présentation 134
Serveur Web Prise en charge
Configuration requise 26 prise en charge de SSL 14
Serveurs Serveurs Web sécurisés 141
Configuration des communications 171 Taille de clé de certificat 135
Considérations de sécurité 146 Suppression
Fédération 176 Batteries de serveurs 61
Rôle dans l'Interface Web 17 Packs de langue 37
Sécurité 141 Suppression de la prise en charge de la configuration
Synchronisation des horloges 180, 183 centralisée 16
Serveurs d'application Java Synchronisation
Installation 34 Horloges de serveur 180, 183
Service
Fédération 176 T
Service XML Citrix
Tâches de site
Affichage du port 30
Au moyen de 55
Configuration de la tolérance de panne 61
Disponibles pour des types de sites 55
Configuration des communications 65, 171
Local 56
Configuration du port TCP/IP 63
Tâches du site local 56
Rôle dans l'Interface Web 17
Taille de clé de certificat 135
Terminaux Windows 29
Terminologie
ADFS 176
 Index 199

Tickets 140
À propos de 14
Configuration du délai avant expiration des tickets
63
TLS
Entre les plug-ins et les serveurs 146
Présentation 135
Serveurs Web sécurisés 141
Taille de clé de certificat 135
Tolérance de panne
Configuration 61, 113
Traductions d'adresse
Modification 110
Type d'authentification
Configuration 73
Types de sites
Tâches disponibles 55

U
Unique avec carte à puce 70
UPN
Authentification 73
Prise en charge
Restriction de suffixes 73
Utilisateurs Firefox
Zone Sites de confiance 99

W
WebInterface.conf
À propos de 42
Configuration de l'Interface Web 149
Paramètres 151

X
XenApp pour UNIX
Affichage du port utilisé par le service XML 31
XenApp pour Windows
Affichage du port utilisé par le service XML 30

Z
Zone Sites de confiance
Ajout de sites 99
Citrix XenApp Plugin pour applications en
streaming 99
200 Guide de l'administrateur Interface Web