29.05.2013

Citrix ShareFile Enterprise - Integration mit Active Directory

Standardmäßig bekommt ein neuer Benutzer über ShareFile ein durch Zufall generiertes Passwort, welches natürlich nicht zentral verwaltbar ist. Administratoren können Benutzern jedoch erlauben, sich auch mit ihren gewohnten Windows-Anmeldeinformationen anzumelden.

Citrix ShareFile ist eine Unternehmenslösung, mit der Sie einen sicheren Datenfreigabe- und Synchronisierungsservice bereitstellen, der sowohl die Anforderungen der Anwender im Hinblick auf Mobilität und Zusammenarbeit als auch die Sicherheitsanforderungen des Unternehmens erfüllt.

Mit ShareFile sorgen Sie dafür, dass sich Daten nahtlos und intuitiv in den Alltag des Anwenders integrieren lassen, und ermöglichen so eine optimale Produktivität der hochgradig mobilen Mitarbeiter von heute, die überall mit jedem beliebigen Gerät arbeiten wollen.

Anmeldung an ShareFile: einfach und sicher

Standardmäßig bekommt ein neuer Benutzer über ShareFile ein durch Zufall generiertes Passwort per Mail zugesendet, welches natürlich nicht zentral verwaltbar ist. ShareFile-Administratoren können Benutzern jedoch erlauben, sich auch ohne das Citrix CloudGateway (AppController-Komponente) mit ihren gewohnten Windows-Anmeldeinformationen anzumelden. Neben der Verbesserung der Benutzerfreundlichkeit für den Anwender hat dies den Vorteil, dass Administratoren Unternehmensrichtlinien für Kennwörter durchsetzen und im Notfall Kennwörter zurücksetzen können, ohne sich auf die externe ShareFile-Adminkonsole aufschalten zu müssen.

ShareFile unterstützt SAML 2.0 und kann somit über ein SAML 2.0-basierendes „federation tool“ im eigenen Netzwerk gegen das Active Directory authentifiziert werden. Die Security Assertion Markup Language (SAML) ist ein Framework auf der Basis von XML zum sicheren Austausch von Authentifizierungs- und Autorisierungsinformationen.

In unserem Artikel konzentrieren wir uns auf das bekannteste SAML-basierende „federation tool“, nämlich die Microsoft Active Directory Federation Services (AD FS) in der Version 2.0.

Ein Hinweis vorab: Windows Server 2008 und Windows Server 2008 R2 besitzen zwar die Rolle für die Active Directory Federation Services, diese sind aber zu alt, weshalb man sich die Version 2.0 auf der Microsoft-Internetseite herunterladen muss.

Aufbau der Konstellation:

Als Alternative zur obigen Konstellation kann in der DMZ auch ein AD FS Proxy eingerichtet werden, der die Anfragen zum eigentlichen Federation-Server im internen Netzwerk weiterleitet.

Für diesen Aufbau werden neben der Subdomain für das Storage Center auch eine Subdomain für das AD FS sowie ein öffentliches Zertifikat benötigt. In unserer eigenen Konstellation teilt sich das Storage Center mit den Federation Services einen Webserver (IIS 7) und eine Subdomain. Hierzu musste die Vererbung der web.config deaktiviert werden, da das Storage Center ASP.NET 4 verwendet, die Active Directory Federation Services hingegen ASP.NET 2.

Die Konfiguration

  • Die Einrichtung erfolgt in unserem Fall über einen Stand-alone Federation Server.
  • Für den sicheren Verbindungsaufbau von außen wird im nächsten Schritt das Zertifikat benötigt.
  • Danach muss die Einstellung „Permit Access to all Users“ gewählt werden.
  • Nach der Konfiguration öffnet sich automatisch das Fenster „Edit Claim Rules“. Dort müssen zwei Regeln wie im Folgenden gezeigt hinzugefügt werden.

Nachdem diese Konfigurationen erledigt wurden, muss noch das Zertifikat (token signing) in der AD FS-Konsole im Base-64-Format exportiert werden. Den Rest der Konfiguration tätigt man über die ShareFile-Webseite (firma.sharefile.com). Als Administrator fügt man unter Admin -> Configure Single sign-on die benötigten Informationen hinzu.

Das vorher exportierte Zertifikat muss unter X.509 Certificate importiert werden.

Wenn alle Kommunikationswege funktionieren, benötigen die Benutzer ab jetzt nur noch ihren Active Directory Account-Namen und ihr Windows-Kennwort, um sich an ShareFile anzumelden.

Mehr Informationen zur Konfiguration von ShareFile Enterprise gibt es unter http://edocs.citrix.com

Florian Scheler
Senior Consultant

Unsere Blogs