Die Verbindungs- und Authentifizierungseinstellungen verwalten Sie über Site-Einstellungen > Verbindung.
Wenn sich die Benutzer mit einer Site verbinden wollen, müssen sie sich vor der Anmeldung authentifizieren. Um den Authentifizierungstyp im Fenster Verbinden zu konfigurieren, wählen Sie Authentifizierung und dann eine der folgenden Optionen aus:
Anmeldeinformationen. Die Benutzer-Anmeldeinformationen werden durch das Windows-System validiert, auf dem RAS läuft. Die für die Windows-Authentifizierung benutzten Anmeldedaten werden auch verwendet, um sich bei einer RDP-Sitzung anzumelden.
Smartcard. Smartcard-Authentifizierung. Ähnlich wie bei der Windows-Authentifizierung können Smartcard-Anmeldedaten sowohl von RAS als auch von RDP verwendet werden. Daher müssen Smartcard-Anmeldedaten nur einmal eingegeben werden. Anders als bei der Windows-Authentifizierung muss der Benutzer nur die PIN der Smartcard kennen. Der Benutzername wird automatisch aus der Smartcard bezogen, daher muss der Benutzer ihn nicht eingeben.
Web (SAML). SAML SSO-Authentifizierung.
Web und Anmeldeinformationen. Dasselbe gilt für das Web (SAML), aber die Benutzer werden aufgefordert, ihre Anmeldeinformationen einzugeben, wenn sie eine veröffentlichte Anwendung starten.
Beachten Sie: Wenn die Smartcard-Authentifizierung deaktiviert ist, verknüpft RAS Connection Broker den Local Security Authority Subsystem Service (LSASS) nicht. Die Smartcard-Authentifizierung kann in Parallels Client für Windows, Mac und Linux verwendet werden. Beachten Sie auch, dass Smartcards nicht zur Authentifizierung verwendet werden können, wenn der Parallels Client innerhalb einer RDP-Sitzung ausgeführt wird.
Für die Verwendung von Smartcards muss ein gültiges Zertifikat auf einem Endgerät installiert sein. Dazu müssen Sie das Stammzertifikat der Zertifizierungsstelle in den Schlüsselspeicher des Geräts importieren.
Ein Zertifikat muss die folgenden Kriterien erfüllen:
Das Feld „Key Usage“ muss eine digitale Signatur enthalten.
Das Feld „Alternative Antragstellernamen“ (Subject Alternative Name – SAN) muss einen Benutzerhauptnamen („User Principal Name“, UPN) enthalten.
Das Feld „Enhanced Key Usage“ muss die Anmeldung an der Smartcard und die Client-Authentifizierung enthalten.
Um eine Domain (oder mehrere Domains) anzugeben, für die diese Authentifizierung ausgeführt werden soll, wählen Sie eine der folgenden Optionen aus:
Spezifisch: Wählen Sie diese Option aus und geben Sie einen spezifischen Domänennamen ein.
Alle vertrauenswürdigen Domänen. Wenn die Informationen über Benutzer, die sich mit Parallels RAS verbinden, in verschiedenen Domänen innerhalb eines Server-Forests gespeichert sind, wählen Sie die Option Alle vertrauenswürdigen Domänen, um eine Authentifizierung bei mehreren Domänen vorzunehmen.
Client-Domäne verwenden, falls angegeben. Wählen Sie diese Option, um die Domäne zu verwenden, die in den Eigenschaften der Parallels Clientverbindung festgelegt ist. Wenn auf Seiten des Clients kein Domänenname angegeben ist, wird die Authentifizierung entsprechend den oben angeführten Einstellungen durchgeführt.
Verwendung von NetBIOS-Anmeldeinformationen für Clients vorgeben. Wenn diese Option ausgewählt ist, ersetzt der Parallels Client den Benutzernamen durch den NetBIOS-Benutzernamen.
Hinweis: Wenn ein Zertifikat auf Ihrer Smartcard den Hauptnamen eines Benutzers (UPN) im Feld „Alternativer Antragstellername“ (Subject Alternative Name – SAN) nicht enthält (oder wenn das Feld „Alternativer Antragstellername“ überhaupt nicht vorhanden ist) müssen Sie die Option Verwendung von NetBIOS-Anmeldeinformationen für Clients vorgeben.
Empfehlung: Nachdem Sie die Domänennamen geändert oder andere Änderungen in Verbindung mit der Authentifizierung durchgeführt haben, sollten Sie zwischengespeicherte Session-IDs löschen. Zu diesem Zeitpunkt kann das nur von der RAS-Konsole aus gemacht werden. Dort klicken Sie auf die Schaltfläche Zwischengespeicherte Session-IDs löschen (auf der Registerkarte Einstellungen).
Um die Authentifizierung von Benutzersitzungen für Benutzer auf einer eigenständigen Maschine durchzuführen, müssen Sie anstelle des Domänennamens das Format [workgroup_name] / [machine_name] verwenden. Wenn Sie beispielsweise Benutzer anhand einer Liste lokaler Benutzer auf einem Computer namens SERVER1 authentifizieren möchten, der Mitglied der Arbeitsgruppe WORKGROUP ist, lautet der Eintrag im Feld „Domäne“ wie folgt: WORKGROUP/SERVER1.
Sie können Parallels Client so konfigurieren, dass er eine benutzerdefinierte URL zum Ändern von Domain-Passwörtern verwendet.
Damit Parallels Client eine benutzerdefinierte URL zum Ändern von Domain-Passwörtern verwendet:
Wählen Sie die Option Benutzerdefinierten Link für das Feld „Domain-Passwort ändern“.
Den Link in das untenstehende Textfeld eingeben.
Im Fenster Erlaubte Geräte geben Sie an, ob Clients die neuesten Sicherheitspatches installiert haben müssen, um sich mit der Farm verbinden zu dürfen. Diese Option muss normalerweise ausgewählt werden, um Ihre Umgebung vor Sicherheitsrisiken zu schützen. Sie sollten sie nur deaktivieren, wenn Sie eine ältere Version von Parallels Client verwenden müssen, auf der keine Sicherheitspatches installiert sind. Weitere Informationen finden Sie im folgenden Artikel der Wissensdatenbank: https://kb.parallels.com/en/125112.