21. MetaFrame Password Manager


Мы уже создали и настроили среду MetaFrame XP и готовы к установке и настройке MetaFrame Password Manager. Менеджер паролей позволяет пользователям аутентифицироваться один раз, а затем позволить Менежеру паролей аутентифицировать в любом приложении, на веб-странице или в сеансе эмуляции терминала.

Более подробная информация содержится в руководстве администратора Password Manager; ниже описаны основные шаги, требуемые для установки Password Manager, используя службу каталога “File System”.

Citrix MetaFrame Password Manager состоит из трех компонентов, требущих инсталляции и настройки:

Чтобы настроить MetaFrame Password Manager Agent для синхронизации со службой каталога, вам необходимо выполнить следующее:

Ниже приведена основная информация по установке и конфигурированию MetaFrame Password Manager 2.0.

21.1 Подготовка службы каталогов

Чтобы установить MetaFrame Password Manager, необходимо подготовить центральную службу каталогов. MetaFrame Password Manger поддерживает Microsoft Active Directory и/или File Share. Я предпочитаю использовать File Share, чтобы избежать головной боли с расширением схемы Active Directory.

Замечание: В этом издании Methodology in a Box я описал только использование File Share. Использование Active Directory я добавлю в будущую версию издания. Информация об использовании Active Directory для хранения данных MetaFrame Password Manager содержится в "Руководстве администратора Citrix MetaFrame Password Manager 2.0"

Ниже показан пример структуры, создаваемой File Share.

21.1.1 Настройка службы File Share

Если для хранения данных Менеджера паролей вы используете File Share, вам необходимо создать каталог на файловом сервере и предоставить к нему общий доступ. Это можно сделать тремя способами - вручную создать папку, вручную создать папку DFS или использовать утилиту ctxfilesyncprep. Я рекомендую использовать DFS. В Microsoft Windows 2000 и Server 2003, вы можете создать реплику и заставить ее автоматически синхронизировать каталог. Это дает вам отказоустойчивое решение. Я опишу это в следующей версии документа.

Ниже описано, как использовать утилиту ctxfilesyncpre для создания необходимой папки и предоставления к ней общего доступа.

  1. Вставьте компакт-диск "Citrix MetaFrame Password Manager 2.0" в CDROM файл-сервера, на котором вы хотите создать каталог MetaFrame Password Manager.
  2. Щелкните Start -> Run -> введите: CMD и щелкните OK. Перейдите на CDROM в каталог Tools и введите команду:
    CtxFileSyncPrep /path:<pathname> /share:<sharename>
    где
    <path> - буква диска и имя создаваемой папки. Если вы не укажите этот параметр, будет использовано имя %SystemDrive%\CIRTIXSYNC.
    <share> - имя, присваемое папке общего доступа. Если вы не укажете этот параметр, будет использовано имя CITRIXSYNC$.
  3. Если все правильно, вы увидите сообщение:
    Share for path d:\SSOusers\ has been created with the share name SSOusers$
  4. Введите Exit для выхода из командной строки.

21.2 Установка и настройка MetaFrame Password Manager Console

Administration Console позволяет осуществлять все управление, трубемое для менеджера паролей.

Для установки Citrix MetaFrame Password Manager console необходимо соблюдение следующих условий.

Если вы будете создавать определения приложений, то необходимо установить консоль на машину с соответствующими приложениями или установить приложение на машину с консолью.

Если вы хотите установить консоль на сервере MetaFrame XP, то можете опубликовать ее. По умолчанию это файл C:\Program Files\Citrix\MetaFrame Password
Manager\Console\SSOAdmin.exe.

Процедура установки MetaFrame Password Manager Console.

  1. Вставьте компакт-диск "Citrix MetaFrame Password Manager 2.0" в CDROM сервера, откуда вы хотите управлять приложениями. Это не обязательно должен быть сервер MetaFrame XP. Однако, если это рабочая станция, то на ней должны быть установлены соответствующие приложения, если необходимо создавать определения приложений.
  2. Установите Microsoft .NET Framework 1.1, расположенный на CDROM в папке \SSO Administrative Console\dotnetfx.exe
  3. Щелкните кнопку MetaFrame Password Manager Console для запуска программы установки.
  4. Для продолжения щелкните Next.
  5. Примите лицензионное соглашение и щелкните Next.
  6. Выберите Typical и щелкните Next.
  7. Щелкните Install.
  8. Щелкните Finish.

21.2.1 Добавление лицензий с помощью Password Manager License Administration

После установки консоли необходимо добавить лицензии на пользовательские соединения Citrix MetaFrame Password Manager 2.0 и создать репозиторий лицензий (License Repository)

  1. Щелкните Start -> Programs -> Citrix -> MetaFrame Password Manager -> MetaFrame Password Manager -> License Administration.
    При первом запуске утилиты администрирования появляется мастер репозитория лицензий.
  2. Для продолжения щелкните Next.
  3. Выберите службу каталогов и щелкните Next. В нашем примере мы выбрали Shared Folders.
  4. Введите размещение папки общего доступа, созданной выше и щелкните Finish, чтобы мастер создал папку и запустил утилиту Password Manager License Administration.
  5. Щелкните кнопку Add License.
  6. Введите серийный номер и щелкните ОК.
  7. Дважды щелкните на добавленной лицензии для ее активации.
  8. Появится окно Activate License. Для получения кода активации посетите страницу http://www.citrix.com/activate и следуйте подсказкам на экране для получения кода активации. Получив код, введите его в поле Activation Code и щелкните ОК.
  9. Вы активировали лицензию.

Повторите вышеуказанные шаги для добавления и активации дополнительных пользовательских лицензий.

21.2.2 Как сконфигурировать агента

После того, как мы настроили службу каталогов и добавили лицензии, мы готовы приступить к конфигурации агента. Ниже показано, как настроить агент синхронизироваться с каталогом, созданным выше, и как настроить параметры агента.

Настройка агента для использования службы File Share

  1. Щелкните Start -> Programs -> Citrix -> MetaFrame Password Manager -> MetaFrame Password Manager Console.
  2. Щелкните правой кнопкой узел Agent Settings и щелкните New Settings.
  3. Введите имя для настроек агента и щелкните OK.
    Замечание: Помните, что вы можете сделать разные настройки для разных типов рабочих станций. Например, если у вас есть удаленные работники и сотрудники в локальной сети, то вы можете создать для них разные настройки.
  4. Раскройте Agent Settings и щелкните узел SyncManager, щелкните Add Synchronizer.
  5. Введите в поле Name имя File Share (например, CitrixSync$) и выберите службу каталогов, которую вы настроили выше (File Share). По завершении щелкните OK
  6. Раскройте папку общего доступа (i.e., CitrixSync$)
  7. Щелкните узел Servers и убедитесь, что опция Configure включена, и в поле Value введите UNC папки общего доступа, созданной выше (например, \\db2kfs1\CitrixSync$)
  8. Если вы используете перемещаемые профили, то можете включить в узле Shell политику DeleteOnShutdown для удаления профиля после выхода пользователя.
  9. Теперь можно пройтись по остальным настройкам и включить или выключить ту или иную функцию в зависимости от вашего желания. После этого вы готовы к экспорту настроек.

21.2.3 Как экспортировать настройки агента

  1. После конфигурации агента вы можете экспортировать настройки для последующего использования. Щелкните правой кнопкой на Agent Settings, в нашем примере DABCC Agent Settings, щелкните Export. Щелкните кнопку HKLM Registry Format (.REG).
  2. Введите имя файла и щелкните Save.

Сохраните файл в безпасном месте. Вы можете его загрузить в любое время с помощью MetaFrame Password Manager Console.

21.2. 4 Как подключиться к каталогу File Share

После успешной настройки агента вы можете обратить ваше внимание на подключение к каталогу, настройке вопросов пользователям, созданию определений приложений и созданию пакетов установки агента.

Ниже описано, как подключить MetaFrame Password Manager Console к каталогу.

  1. Щелкните правой кнопкой на узле Directory и выберите Connect To.
  2. В Directory Type выберите Shared Folder и списке Synchronizer Path укажите UNC папки общего доступа File Share, созаданной ранее.

21.2.5 Как настроить вопросы пользователям

Опция Edit End User Questions позволяет дать конечным пользователям немного дополнительной безопасности. При первом входе пользователя, у него запускается мастер, который предлагает выполнить несколько задач, первой из которых является ответ на вопросы пользователя.

Вы должны обеспечить, чтобы вопросы достигали двух целей: 1) выбрать что-то более или менее постоянное, например, фамилия матери до замужества, и 2) что-то простое, что пользователь может запомнить, поскольку этот вопрос будет задаваться всякий раз при изменении пароля конечного пользователя.

Ниже показано, как редактировать вопросы пользователям, которые будут им задаваться при первом запуске мастера.

  1. Щелкните Tools -> Edit User Questions.
  2. По умолчанию пользователю задается общий вопрос, но вы можете создать более детализированные вопросы. Я рекомендую это сделать.
    Щелкните кнопку Add для задания дополнительных вопросов.
  3. В тестовом блоке Question text введите вопрос, который вы хотите представить конечному пользователю.
    Вам также следует ввести максимальное количество символов в ответе пользователя. Будьте осторожны с этим значением. Например, если вы требуете указания имени любимого домашнего животного, то убедитесь, что поле может вместить достаточно длинные имена.
    По завершении щелкните OK.
  4. Повторите вышеперечисленные шаги для добавления стольких вопросов, сколько нужно. Я рекомендую добавить пару простых вопросов.

21.2.6 Как создать определения приложений

Если вы решили поддерживать некоторые приложения, то вам необходимо создать для них определения. Это служит для следующих целей: 1) позволить ограничить использование Password Manger только для выбранной группы приложений, 2) позволить конечным пользователям настроить свои имена и пароли для всех предопределенных приложений при первм входе и 3) позволить администратору настроить приложения и веб-сайты, которые агент самостоятельно определяет с трудом.

В комплект MetaFrame Password Manager входят два преднастроенных определения для наиболее часто используемых приложений веб и Windows. Если вы хотите, чтобы MetaFrame Password Manager поддерживал приложение Windows, которое не имеет определения, вы можете это сделать из шаблона с помощью мастера.

  1. Откройте MetaFrame Password Manager Console, щелкните правой кнопкой на узле Applications и выберите New Windows App.
  2. Теперь вы сможете создать новое определение приложения.
  3. Citrix предлагает небольшой набор шаблонов, облегчающих процесс создания определения приложения. Если вы увидели, что для вашего приложения уже есть определение, выберите его из списка Application.
  4. Для продолжения щелкните Finish.
  5. Вы успешно создали новое определение приложения и готовы к его настройке.

Как добавить новое веб-приложение

  1. Щелкните правой кнопкой на узле Applications и выберите New Web App.
  2. Выберите шаблон, который вы хотите использовать, и щелкните Next.
  3. Введите URL веб-приложения. Вы можете это сделать двумя способами:
  4. Введите URL и щелкните Next.
  5. Щелкните Finish.

Как создать определение веб-приложения

В большинстве случаев вы обнаружите, что для сайта или приложения нет подходящего шаблона. В этом случае вам нужно создать собственное определение приложения.

Ниже показано, как создать определение для веб-приложения.

  1. Щелкните правой кнопкой на узле Applications и выберите New Web App.
  2. Введите имя веб-сайта или приложения и щелкните Next.
  3. Щелкните кнопку Detect Fields.
  4. Откройте веб-сайт или приложение, указав в поле Address URL.
  5. MetaFrame Password Manager проанализирует страницу на наличие элементов управления и представит их в нижней части окна. Просмотрите список, пока не найдете поля для имени, пароля и отсылки формы (submit).
  6. Щелкните правой кнопкой на элементе, соответствующем имени пользователя, и выберите Username/ID
  7. Щелкните правой кнопкой на элементе, соответствующем паролю, и выберите Password/Old Password.
  8. Щелкните правой кнопкой на элементе, соответствующем submit, и выберите Submit.
  9. Щелкните ОК.
  10. Щелкните ОК.

21.2.7 Настройка массового списка приложений

Одно из преимуществ определений приложений состоит в том, что приложения можно добавить в массовый список (bulk-add list), чтобы конечные пользователи при первом запуске мастера указали свои пароли разом для всех приложений из списка.

  1. Щелкните правой кнопкой на узле Applications и выберите Bulk-Add.
    Появится список всех определений приложений, которые находятся в настоящий момент в массовом списке. Если вы хотите запретить пользователям заранее указать учетные данные для некоторого приложения, выделите это приложние и щелкните кнопку Remove. Если вы хотите, чтобы пользователь мог заранее указывать свои учетные данные для некоторого приложения, щелкните Add.
  2. Если вы щелкнули Add, то появится окно со списком всех доступных определений. Выделите нужное и щелкните ОК для продолжения.
  3. Повторите вышеуказанные шаги для добавления в массовый список новых приложений.

21.2.8 Как экспоритровать настройки MetaFrame Password Manager Console в файл XML

Когда-нибудь вам захочется экспортировать настройки MetaFrame Password Manager в файл. Для этого сделайте следующее.

  1. Щелкните File -> Save As.
  2. Укажите имя файла и щелкните Save.

Настройки будут экпортированы. Это может пригодиться, если вы добавляете определения приложений, которые не хотите размещать в каталоге немедленно. Вы сможете импортировать их позднее.

21.2.9 Как экпортировать настройки MetaFrame Password Manager Console в Каталог

После настройки определений приложений и прочих опций, вам нужно сохранить их в каталоге. Вам нужно это делать всякий раз при добавлении, изменении или удаления настроек после того, как вы установили агента.

  1. Щелкните узел Directory, в правой панели выберите папку общего доступа, щелкните Configure SSO Support.
  2. Щелкните кнопку Console для экспорта настроек консоли.
  3. Выберите, что именно будет экспортироваться.
    Send all Applications - экспорт в каталог всех сконфигурированных приложений.
    Выберите опцию Create First-Time-Use (FTUList) object.
    Щелкните список Agent Settings и выберите экспортируемые настройки.
    По завершении щелкните Next.
  4. Щелкните Finish.

21.2.10 Как создать собственный инсталляционный пакет Password Manager Agent (MSI)

  1. В полностью настроенной консоли щелкните Tools -> Generate Customized MSI.
  2. В поле Base (.MSI) укажите путь к файлу установки агента из комплекта MetaFrame Password Manager 2.0 (setup.msi).
    В поле Output (.MSI) укажите имя файла собственного инсталляционного паета агента.
    Щелкните кнопку Choose, расположенную справа от списка Applications.
  3. Выберите опцию Use Console as Source и выберите Send all Applications.
    Включите опцию Create First-Time-Use (FTUList) object чтобы при первом входе пользователя после установки агента появился мастер.
    По завершении щелкните OK.
  4. Щелкните кнопку Choose, расположенную справа от списка Agent Settings.
  5. Выберите подходящие настройки из списка Use Console as Source.
    По завершении щелкните OK.
  6. Щелкните OK для генерации файла MSI.

21.3. Развертывание MetaFrame Password Manager Agent

Теперь мы готовы к развертыванию агента на устройства конечных пользователей и серверы MetaFrame XP. Это можно сделать двумя способами: 1) вручную, как описано ниже и 2) с помощью Installation Manager, Microsoft Active Directory, Microsoft SMS, Novel ZenWorks или других средств развертывания приложений.

После того, как вы определились с методом доставки агента, вам необходимо убедиться, что устройства клиентов удовлетворяют следующим требованиям:

Ниже описано, как установить агент на сервере MetaFrame XP и/или рабочей станции.

  1. Если вы развертываете агент на сервере MetaFrame XP, вам необходимо подготовить сервер к установке командой change user /install
  2. Найдите файл MSI агента, созданный выше, и дважды щелкните на нем для запуска.
  3. Щелкните Next для продолжения.
  4. Примите лицензионное соглашение и щелкните Next.
  5. Выберите опцию Custom и щелкните Next.
  6. Щелкните Install.
  7. После копирования файлов щелкните Finish.
  8. Щелкните Yes для перезагрузки сервера.

21.4 Сопровождение

После развертывания агента на клиентах вам может потребоваться переконфигурировать его, добавить новые определения приложений. Ниже показано, как подготовить MetaFrame Password Manager Console к администрированию фермы агентов.

21.4.1 Как импортировать Каталог и настройки агента в Password Manager Console

Если вы хотите переконфигурировать или добавить настройки к группе агентов, то сначала надо подключиться к каталогу и импортировать из него в консоль текущие настройки.

  1. Щелкните правой кнопкой на узле Directory и выберите Connect To.
  2. Убедитесь, что информация о каталоге верна, и щелкните ОК.
  3. Щелкните правой кнопкой в правой панели узел FTU и выберите Bring to Console.
  4. Щелкните правой кнопкой ENTLIST и выберите Bring To Console.
  5. Для импорта настроек агнета щелкните правой кнопкой в левой панели на узле Agent Settings, щелкните Import и выберите From File.
  6. Выберите файл .reg, который вы сохранили ранее, и щелкните Open.
  7. Теперь вы готовы к администрированию агента с помощью консоли.

21.4.2 Как удалить агента

Если по какой-то причине вы захотите удалить и переустановить MetaFrame Password Manager Agent, то вам придется некоторые вещи удалить вручную.

Вам необходимо удалить папку внтури Application Data - C:\Documents and Settings\<username>\Application Data\Citrix\

Вам необходимо удалить ключ реестра HKEY-USERS\...\...\Citrix\MetaFrame Password Manager и все его подключи.

Перезагрузите сервер или рабочую станцию.


Применение системных политик Windows Содержание Контрольная точка стадии реализации