环境下如何配置使用智能卡验证，下

virtualization

六、 CTX中WI验证方式的介绍
Ø Explicit 方式(显示方式)
用户需要提供用户名和密码登录。用户主体名称 (UPN)、 Microsoft 基于域的身份验证和 Novell Directory Service (NDS)，均可用。
Ø Pass-through方式(传递验证方式)
用户可以使用的他们登录到 Windows 桌面提供身份验证时的凭据。 用户不需要重新输入其凭据。 此外，您可以使用 Kerberos 身份验证连接到服务器。 如果指定了 Kerberos 身份验证选项，但如果 Kerberos 失败，即属传递的身份验证也会失败并使用户无法登录。 有关 Kerberos 的更多信息，请参阅 Citrix Presentation Server Administrator ’s s Guide （英文）。
Ø Pass-through with Smart Card方式
用户可以通过连接到客户端设备的智能卡插入智能卡阅读器进行身份验证。当您登录时,PNA客户端会提示您输入智能卡 PIN。 登录后，您可以访问您不需要再次验证身份就可以使用已发布的程序和内容。当访问平台站点时不提示用户输入 PIN。 如果配置PNA服务站点,则可以使用 Kerberos 身份验证连接到服务器。 如果指定了 Kerberos 身份验证选项，并且 Kerberos 失败，即传递的身份验证也会失败并致使用户无法登录。 有关 Kerberos 的更多信息，请参阅 Citrix Presentation Server Administrator ’s s Guide （英文）。
Ø Smart Card方式.
用户也可以仅使用智能卡作为验证方法。和Pass-through 与智能卡方式不同之处在于您需要使用前输入PIN码。
注意ass-through, pass-though with smart card, 和 smart card 验证方式不能正常工作在UNIX平台下.
警告：Web Interface匿名用户可以在无需通过Web Interface身份验证的情况下获得Secure Gateway凭证。因为Secure Gateway是依靠Web Interface来对通过验证的用户发放凭证的，所以这样就会削弱通过安装Secure Gateway所带来的安全性.
Ø 匿名用户方式
用户无需提供用户名和密码即可以使用服务器上发布给匿名用户的程序和内容。
在此我们主要介绍Pass-through with smart card、Smart Card这两种模式下的WI和PNA模式的配置方法七、 IIS服务中客户端证书的几种方式介绍
1、 忽略客户端证书
选择该选项可以允许用户不必提供客户端证书就可访问该站点。
2、 接受客户端证书
选择该选项可以允许具有客户端证书的用户进行访问，证书不是必需的。具有客户端证书的用户可以被映射；没有客户端证书的用户可以使用其他身份验证方法。
3、 要求客户端证书
选择该选项则仅允许具有有效客户端证书的用户进行连接。没有有效客户端证书的用户被拒绝访问该站点。选择该选项从而要求客户端证书前，必须选择“要求安全通道 (SSL)”选项。
4、 启用客户端证书映射
选择该选项可以将服务器配置成使用有效客户端证书对登录的用户进行身份验证。
5、 默认站点和WI站点（PNA站点）的客户端证书选择取消（“或”的关系）
（1） 如果默认站点选择忽略证书，WI站点选择接受证书，访问WI时的结果是接受证书（0 or 1 = 1）
（2） 如果默认站点选择接受证书，WI站点选择忽略证书，访问WI时的结果是接受证书（1 or 0 = 1）
（3） 如果默认站点选择接受证书，WI站点选择接受证书，访问WI时的结果是接受证书（1 or 1 = 1）
（4） 如果默认站点选择忽略证书，WI站点选择忽略证书，访问WI时的结果是忽略证书（0 or 0 = 0）八、 Troubleshooting1、 使用web interface的方式访问发布服务器时，提示输入用户帐号和口令。

解决方法：
（1） 检查根证书是否已经下载到本地客户端上
（2） 使用规范的地址访问发布服务器，即https://citrix2、 使用Web Inteface方式成功访问发布服务器后，再点击发布的应用程序时，提示“插入卡或按Ctrl-Alt-End”的界面。

解决方法：插入PKI卡，然后关闭网页，重新再访问发布服务器即可。3、 使用Web Interface方式访问发布服务器时，并且服务器设置的验证方式为“Smart Card”时，提示“An authentication error has occurred”

解决方法：
（1） 检查根证书是否已经下载到本地客户端上
（2） 检查AD用户帐号内的个人证书是否已经导入到用户属性中的“发行证书”项中
（3） 使用规范的地址访问发布服务器，即https://citrix4、 使用Web Interface方式访问发布服务器时，出现如下网页的提示“An internal error occurred Please contact your system administrator”


原因：由于域启用了用户与客户端计算机进行绑定的安全设置，导致在不是域用户允许登录的客户端使用域帐号或者PKI卡进行登录时则会出现该错误。
解决方法：在域用户的绑定中，将发布服务器的计算机添加到对应的域帐号中即可。5、 使用Program Neighborhood Agen方式进行登陆时，输入完发布服务器的地址时，出现如下截图的错误提示，从而无法登录发布服务器


解决方法：
（1） 检查根证书是否已经下载本地客户端中
（2） 使用规范的地址访问发布服务器，即https://citrix6、 使用IE浏览器访问CA证书服务进行PKI卡注册时，提示ActiveX错误

解决方法：
（1） 将CA证书的服务器地址加入IE的信任站点中
http://support.microsoft.com/kb/330211/zh-cn
（2） 检查可信任站点的ActiveX的安全设置是否过高7、 在创建Web Interface站点时，出现的站点路径以administrator起始

引起该问题的原因是由于颁发IIS的证书时出现错误，CA中心向IIS颁发证书错误地颁发了“系统管理员”类型，CA需要重新为IIS类型为Web Server格式的证书即可

解决方法：
CA中心重新向IIS颁发Web Server类型的证书，然后重新创建Web Interface站点即可8、 在访问Web Interface站点内发布的应用程序过程时，系统仍然提示输入PIN
（这是在Web Interface的验证方式修改为pass-throught with smart card或者Smart Card后才会出现）

解决方法：
在组策略中导入icaclient.adm模板，并启用“Use pass-through authentication for PIN”策略即可