Guide de l'administrateur des clients pour Windows

Guide de l'administrateur des clients pour Windows

Citrix® Presentation Server Clients 10.x pour Windows® Citrix Presentation Server™ 4.5 Guide de l'administrateur des clients pour Windows

Avis de copyright et de marques déposées L'utilisation du produit documenté dans ce guide est sujette à votre acceptation préalable du contrat de licence de l'utilisateur final. Le CD-ROM du produit contient une version imprimable du contrat de licence de l'utilisateur final. Les informations contenues dans ce document peuvent faire l'objet de modifications sans préavis. Sauf mention contraire, les sociétés, noms et données utilisés dans les exemples sont fictifs.

Aucune partie de ce document ne peut être reproduite ou transmise, sous quelque forme, par quelque moyen, électronique ou mécanique, et pour quelque motif que ce soit, sans l'autorisation expresse et écrite de Citrix Systems, Inc.

© 1999-2007 Citrix Systems, Inc. Tous droits réservés. Citrix, ICA (Independent Computing Architecture) et Program Neighborhood sont des marques déposées ; Citrix Presentation Server et SpeedScreen sont des marques de fabrique, de commerce ou de service de Citrix Systems, Inc. aux États-Unis et dans d'autres pays. RSA Encryption © 1996-1997 RSA Security Inc. Tous droits réservés. Clients pour Windows : Certaines de ce logiciel sont basées sur du code dont les droits appartiennent à O'Reilly Media, Inc. 1998. (CJKV Information Processing, par Ken Lunde. ISBN: 1565922247). Tous droits réservés.

OpenSSL inclut un logiciel cryptographique développé par Eric Young (eay@cryptsoft.com). Ce produit inclut un logiciel créé par Tim Hudson (tjh@cryptsoft.com).

Avis de marques déposées Adobe, Acrobat et PostScript sont des marques de fabrique, de commerce ou de service ou des marques déposées d'Adobe Systems Incorporated aux États-Unis et/ou dans d'autres pays. Ce produit inclut un logiciel développé par l'Apache Software Foundation (http://www.apache.org/). Apple, Mac, Macintosh et Mac OS sont des marques déposées ou des marques de fabrique, de commerce ou de service d'Apple Computer Inc.

DB2, Tivoli et NetView sont des marques déposées et PowerPC est une marque de fabrique, de commerce ou de service d'International Business Machines Corp.

aux États-Unis et dans d'autres pays. HP OpenView est une marque de fabrique, de commerce ou de service de la société Hewlett-Packard. Java, Sun et SunOS sont des marques de fabrique, de commerce ou de service ou des marques déposées de Sun Microsystems, Inc. aux États-Unis et dans d'autres pays. Solaris est une marque déposée de Sun Microsystems, Inc. Sun Microsystems, Inc. n'a pas testé ni approuvé ce produit.

Ce logiciel est partiellement basé sur le travail du groupe IJG (Independent JPEG Group). Certaines parties de ce logiciel contiennent du code dont les droits appartiennent à Pegasus Imaging Corporation, Tampa, FL. Tous droits réservés. Macromedia et Flash sont des marques de fabrique, de commerce ou de service ou des marques déposées de Macromedia, Inc. aux États-Unis et/ou dans d'autres pays. Microsoft, MS-DOS, Windows, Windows Media, Windows Server, Windows NT, Win32, Outlook, ActiveX, Active Directory et DirectShow sont soit des marques déposées, soit des marques de fabrique, de commerce ou de service de Microsoft Corporation aux États-Unis et/ou dans d'autres pays.

Mozilla et Firefox sont des marques déposées de la Mozilla Foundation. Netscape et Netscape Navigator sont des marques déposées de Netscape Communications Corporation aux États-Unis et dans d'autres pays. Novell Directory Services, NDS et NetWare sont des marques déposées de Novell, Inc. aux États-Unis et dans d'autres pays. Novell Client est une marque de fabrique, de commerce ou de service de Novell, Inc. RealOne est une marque de fabrique, de commerce ou de service de RealNetworks, Inc. SpeechMike est une marque de fabrique, de commerce ou de service de Koninklijke Philips Electronics N.V.

Unicenter est une marque déposée de Computer Associates International, Inc. UNIX est une marque déposée de l'Open Group. Globetrotter, Macrovision et FLEXlm sont des marques de fabrique, de commerce ou de service ou des marques déposées de Macrovision Corporation.

Toutes les autres marques de fabrique, de commerce ou de service, et marques déposées sont la propriété de leurs détenteurs respectifs. Code de document : 5 septembre 2007 (FA)

TABLE DES MATIÈRES Table des matières Chapitre 1 Introduction Présentation . 7 Choix du client . 8 Agent Program Neighborhood . 9 Client Web . 9 Program Neighborhood . 10 Nouveautés de cette version . 11 Accès à la documentation . 14 Chapitre 2 Déploiement et installation du logiciel client Configurations requises . 17 Conditionnement du logiciel client . 18 Création de packs MSI .

19 Installation des clients par les utilisateurs non administrateurs . 19 Fichier CAB . 20 Configuration des fichiers d'installation . 20 Déploiement des fichiers d'installation . 25 Déploiement des clients via un point de partage réseau . 25 Déploiement du client Web à partir d'une page Web . 25 Options d'installation pour les clients . 26 Sélection de la langue de l'interface utilisateur . 26 Installation de l'Agent Program Neighborhood . 27 Spécification d'adresses de serveur de sauvegarde . 28 Installation du client Web . 29 Installation de Program Neighborhood . 29 Désinstallation du logiciel client .

30

4 Guide de l'administrateur des clients pour Windows Chapitre 3 Configuration du logiciel client Configuration de l'Agent Program Neighborhood . 31 Présentation de l'Agent Program Neighborhood . 31 Personnalisation des préférences utilisateur . 32 Modification de l'URL du serveur de l'Interface Web . 32 Configuration de Program Neighborhood . 33 Connexion aux applications publiées . 34 Navigation ICA . 35 Spécification du protocole réseau pour l'exploration ICA . 36 Exploration ICA avec le protocole réseau TCP/IP+HTTP . 37 Utilisation de l'exploration ICA avec le protocole réseau SSL/TLS+HTTPS .

38 Exploration ICA avec le protocole réseau TCP/IP . 38 Amélioration des performances pour les connexions à faible bande passante .40 Modification de la configuration de votre client . 40 Modification de l'utilisation du client . 41 Configuration des paramètres pour plusieurs utilisateurs et périphériques . 41 Chapitre 4 Optimisation de l'environnement du client Sécurisation des connexions clientes . 43 Prise en charge de la Stimulation/Réponse Windows NT (NTLM . 43 Vérification des listes de révocation de certificats . 44 Prise en charge des cartes à puce . 44 SSPI/sécurité Kerberos pour l'authentification unique .

45 Configuration de l'authentification Kerberos . 47 Configuration de Kerberos sans authentification unique . 47 Configuration de Kerberos avec authentification unique . 48 Amélioration des performances du client . 49 Augmentation de la vitesse de transfert des images . 49 Reconnexion automatique des utilisateurs . 49 Mise à disposition de la fiabilité de session . 50 Activation de la barre Lancement rapide Program Neighborhood . 50 Connexion des machines clientes aux ressources publiées . 51 Mise à disposition de la continuité pour utilisateurs itinérants . 51 Synchronisation des ordinateurs de poche connectés via un port USB .

53 Facilitation de la lecture transparente pour les utilisateurs . 53 Mappage des périphériques clients . 54 Désactivation du mappage des périphériques clients . 54 Mappage des lecteurs clients . 54 Mappage des imprimantes clientes . 56

Table des matières 5 Mappage des ports COM clients . 58 Mappage audio du client . 59 Association de types de fichier de client aux applications publiées . 59 Configuration du passage de paramètres étendu . 60 Sélection du fichier exécutable du client . 61 Identification des applications publiées . 61 Ajout des arguments de passage de paramètres . 62 Ajout du passage de paramètres dans le Registre Windows . 63 Amélioration de l'utilisation . 64 Prise en charge de la dictée vocale numérique . 64 Configurations multi-écran . 64 Amélioration des performances de l'impression . 65 Pilote d'imprimante universel avancé .

65 Améliorations d'imprimante et de moniteur de port . 65 Prise en charge par les sessions clientes des combinaisons de touches Windows . 66 Prise en charge des icônes couleur 32 bits . 66 Prise en charge des utilisateurs NDS . 67 Définition d'un contexte par défaut pour NDS . 68 Utilisation des informations d'identification Windows NT avec le client Novell et l'authentification simplifiée . 68 Connexion au serveur Citrix Presentation Server pour système d'exploitation UNIX . 68 Utilisation de Window Manager (gestionnaire de fenêtres . 69 À propos des fenêtres transparentes . 69 Basculement entre les modes transparent et Plein écran .

69 Réduction, redimensionnement, déplacement et fermeture de fenêtre . 69 Utilisation des menus du gestionnaire de fenêtres Citrix . 69 Couper/coller de graphiques à l'aide de ctxgrab et ctxcapture . 70 Utilisation de ctxgrab . 70 Utilisation de ctxcapture . 71 Prise en charge des conventions d'appellation pour votre réseau . 72 Noms de clients et de machines identiques . 73 Résolution de nom DNS . 73 Désactivation de la résolution de nom DNS . 73 Chapitre 5 Sécurisation des communications du client Connexion via un serveur proxy . 75 Agent Program Neighborhood et client Web . 75 Program Neighborhood .

76

6 Guide de l'administrateur des clients pour Windows Activation de la détection automatique du proxy pour le client . 76 Activation de la détection automatique du proxy . 77 Spécification manuelle des informations relatives au serveur proxy . 78 Configuration du nom d'utilisateur et du mot de passe . 79 Connexion avec la passerelle Secure Gateway ou le Relais SSL Citrix . 81 Connexion avec la passerelle Secure Gateway . 82 Configuration de l'Agent Program Neighborhood et du client Web pour Secure Gateway . 83 Configuration de Program Neighborhood pour Secure Gateway . 83 Connexion avec le Relais SSL Citrix .

84 Configurations requises . 84 À propos des certificats racine . 85 Utilisation du Relais SSL Citrix avec des ports TCP non standard . 85 Configuration et activation des clients pour SSL et TLS . 86 Connexions TLS forcées pour tous les clients . 86 Exigences de sécurité FIPS 140 . 88 Installation de certificats racine sur les clients . 89 Sécurisation de l'Agent Program Neighborhood à l'aide de SSL/TLS . 90 Configuration du serveur exécutant l'Interface Web . 90 Configuration du serveur Citrix Presentation Server . 90 Configuration de la machine cliente . 91 Activation de l'ouverture de session avec carte à puce .

92 Ouverture de session avec carte à puce avec authentification unique Kerberos . 92 Ouverture de session avec carte à puce sans authentification unique . 93 Connexion via un pare-feu . 93 Application des relations d'approbation . 94 Index . 97

CHAPITRE 1 Introduction Ce manuel s'adresse aux administrateurs système chargés de l'installation, de la configuration, du déploiement et de la maintenance des clients Citrix Presentation Server pour Windows. Les utilisateurs de ce manuel doivent posséder une connaissance préalable des éléments suivants : • batterie de serveurs à laquelle les clients se connectent ; • système d'exploitation sur la machine cliente (Windows NT, Windows 2000, Windows XP, Windows XP (édition x64), Windows XP Embedded, Windows 2003 ou Windows Fundamentals for Legacy PCs) Présentation Ce chapitre présente la version 10.x des clients Citrix pour les systèmes d'exploitation Windows 32 bits ou 64 bits.

Il a pour objet de vous aider à déterminer les clients que vous pouvez utiliser dans votre environnement informatique et décrit les nouvelles fonctionnalités incluses dans cette version. Remarque : pour plus d'informations sur les machines exécutant le client pour Windows CE, veuillez consulter le Guide de l'administrateur du Client Citrix ICA pour ordinateurs portatifs Windows CE disponible dans la section de téléchargement (Download) du site Web Citrix, http://www.citrix.com/. Les clients Citrix Presentation Server sont les composants de Citrix Presentation Server que les utilisateurs exécutent sur leurs machines clientes pour accéder aux ressources publiées sur des ordinateurs exécutant Citrix Presentation Server.

Leur déploiement et leur utilisation sont faciles et ils fournissent un accès sécurisé et rapide aux applications, aux contenus et aux bureaux de serveurs.

8 Guide de l'administrateur des clients pour Windows Choix du client Pour répondre à des besoins pouvant varier d'une entreprise à une autre ou pouvant évoluer avec le temps dans une même entreprise. Cette section décrit les clients disponibles et les cas d'utilisation de chacun. Citrix Presentation Server vous permet de choisir entre plusieurs clients pour les systèmes Windows. • Agent Program Neighborhood • Program Neighborhood • Client Web Remarque : pour obtenir des informations sur les clients pouvant être exécutés sur d'autres machines clientes et systèmes d'exploitation, veuillez consulter la documentation incluse sur le CD-ROM Composants Citrix Presentation Server ou visiter notre site Web à l'adresse : http://www.citrix.com/.

Chaque client pour Windows présente des différences pour les aspects suivants : • méthode d'accès utilisée pour proposer les ressources publiées aux utilisateurs ; les ressources publiées peuvent être présentées selon trois méthodes : sur le bureau de l'utilisateur, dans un navigateur Web ou via une interface utilisateur.

• implication de l'utilisateur dans la configuration et la gestion du client ; • prise en charge des fonctionnalités Citrix Presentation Server. Pour une liste complète des fonctionnalités des clients, consultez la grille Client Feature Matrix disponible à l'adresse suivante : http://www.citrix.com/. Pour déterminer quels clients répondent le mieux à vos besoins, commencez par définir la méthode d'accès des utilisateurs à vos ressources publiées, la méthode de gestion de cet accès et les fonctionnalités nécessaires à vos utilisateurs. Les sections et tableaux suivants vous aideront à effectuer ces choix.

Chapitre 1 Introduction 9 Agent Program Neighborhood L'Agent Program Neighborhood prend en charge l'ensemble des fonctionnalités de Citrix Presentation Server. L'Agent Program Neighborhood associé à l'Interface Web vous permet d'intégrer les ressources publiées aux bureaux des utilisateurs. Son administration et sa configuration s'effectuent de façon centralisée dans la console Access Management Console à l'aide d'un site Agent Program Neighborhood créé en association avec un site pour le serveur exécutant l'Interface Web.

L'Agent Program Neighborhood est l'un des deux clients fonctionnant avec le client Citrix Streaming pour fournir le streaming d'application sur le bureau de l'utilisateur.

Pour tirer parti de l'ensemble des fonctions de streaming d'application de Presentation Server et des fonctions de l'Agent Program Neighborhood, installez ce dernier, ainsi que le client de streaming, sur les machines clientes. Pour plus d'informations sur la fonction d'application livrée en streaming, veuillez consulter le Guide Citrix Application Streaming.

Important : l'Agent Program Neighborhood nécessite l'Interface Web Citrix. Méthode d'accès. L'Agent Program Neighborhood permet à vos utilisateurs d'accéder aux ressources publiées à partir de leur environnement de bureau Windows. Les utilisateurs accèdent à vos ressources publiées de la même manière qu'ils accèdent aux applications et aux fichiers locaux. Les ressources publiées sont représentées par des icônes et des raccourcis sur le bureau client, dans le menu Démarrer et la barre d'état système de Windows. Ces icônes et ces raccourcis sont semblables aux icônes des applications et des fichiers locaux.

Les utilisateurs peuvent cliquer deux fois dessus, les déplacer, les copier et créer des raccourcis à l'emplacement de leur choix. L'Agent Program Neighborhood fonctionne en arrière-plan. À l'exception d'un menu de raccourcis disponible dans la barre d'état système, il ne comporte pas d'interface utilisateur. Gestion et administration des clients. L'Agent Program Neighborhood est configuré à partir d'un site créé dans la Console Access Management et associé au site du serveur de l'Interface Web. Vous pouvez ainsi gérer et contrôler en temps réel l'ensemble des clients du réseau à partir d'un point unique.

Client Web Le client Web est un client de petite taille qui peut être installé à partir d'un fichier .cab ou du fichier .msi principal. Les fichiers d'installation du client Web sont sensiblement plus petits que ceux des autres clients. Cette taille réduite permet aux utilisateurs de télécharger et d'installer le logiciel client plus rapidement.

10 Guide de l'administrateur des clients pour Windows Méthode d'accès. Si vous voulez que les utilisateurs accèdent à vos ressources publiées à partir de leur environnement de navigateur Web, utilisez le client Web. Les utilisateurs accèdent aux ressources publiées en cliquant sur des liens apparaissant sur une page Web publiée sur l'intranet de votre entreprise ou sur Internet. La ressource publiée démarre soit dans la même fenêtre, soit dans une nouvelle fenêtre de navigateur. Le client Web ne requiert aucune configuration de la part de l'utilisateur et n'a pas d'interface utilisateur. Gestion et administration des clients.

Le client Web permet d'accéder aux ressources publiées, soit par l'intermédiaire de l'Interface Web, soit grâce à la fonctionnalité de lancement et d'incorporation d'applications (ALE) classique. Vous pouvez publier les liens vers vos ressources à l'aide de l'Interface Web ou d'un assistant HTML.

Ce client nécessite l'installation de Microsoft Internet Explorer, versions 5.0 à 7.0, Netscape Navigator, versions 4.78 et 6.2 à 7.1 ou Mozilla Firefox, versions 1.0 à 1.5. Program Neighborhood Program Neighborhood prend en charge toutes les fonctionnalités de Citrix Presentation Server et doit être configuré et maintenu par l'utilisateur. Choisissez ce client si vous n'utilisez pas l'Interface Web pour la mise à disposition des ressources. Program Neighborhood ne peut pas être configuré à partir d'un site central, tel que le Site Agent Program Neighborhood; il ne nécessite donc pas l'Interface Web.

Remarque : Program Neighborhood ne prend pas en charge la préférence de zone et le basculement. Méthode d'accès. Si vous voulez que les utilisateurs accèdent à vos ressources publiées à partir d'une interface utilisateur graphique classique, utilisez Program Neighborhood. L'interface utilisateur de Program Neighborhood, la fenêtre Program Neighborhood, permet de naviguer à la recherche de groupes de ressources publiées (appelées séries d'applications) ou de créer des connexions personnalisées à des ressources publiées ou à des serveurs Citrix Presentation Server. Les icônes représentant les séries d'applications et les connexions ICA personnalisées apparaissent dans la fenêtre Program Neighborhood.

Chapitre 1 Introduction 11 Gestion et administration des clients. Vous pouvez paramétrer des scripts de mise à jour pour Program Neighborhood dans des fichiers .ini et les utilisateurs peuvent également configurer des options pour Program Neighborhood à l'aide de son interface. Par conséquent, les utilisateurs doivent être en mesure de naviguer aisément avec l'interface et de comprendre les implications des modifications apportées aux options.

Important : choisissez ce client si vous ne voulez pas publier vos ressources avec l'Interface Web. Si vous installez l'Interface Web ultérieurement, les utilisateurs de Program Neighborhood pourront alors s'en servir afin d'accéder aux ressources publiées.

Toutefois, si vous souhaitez utiliser l'Interface Web et n'avez encore déployé aucun client, utilisez l'Agent Program Neighborhood ou le client Web. Le tableau suivant compare les clients. Nouveautés de cette version La version 10.x des clients est livrée avec Citrix Presentation Server 4.5 pour Windows et est exécutée sous les systèmes d'exploitation Windows NT 4.0, Windows 2000, Windows 2003, Windows XP et Windows Fundamentals for Legacy PCs. Elle fournit de nombreuses nouvelles fonctionnalités et présente des performances améliorées. En outre, cette nouvelle version est entièrement compatible avec les versions antérieures de Windows et des feature releases MetaFrame XP.

La version 10.x des clients inclut les nouveautés suivantes : Client Méthode d'accès Intervention de l'utilisateur Fonctionnalités du client Agent Program Neighborhood Intégration transparente des ressources publiées au bureau de l'utilisateur Administration centrale des paramètres utilisateur Prise en charge de l'ensemble des fonctionnalités de Citrix Presentation Server Client Web Accès aux ressources publiées à partir d'un navigateur Web Administration centrale des paramètres utilisateur Prise en charge de l'ensemble des fonctionnalités de Citrix Presentation Server Program Neighborhood Interface à laquelle les utilisateurs accèdent depuis leur bureau Configuration utilisateur initiale nécessaire Prise en charge de l'ensemble des fonctionnalités de Citrix Presentation Server, sauf pour la zone de préférence et le basculement

12 Guide de l'administrateur des clients pour Windows Prise en charge de systèmes d'exploitation supplémentaires. Les clients pour Windows assurent désormais la prise en charge des systèmes d'exploitation suivants : • Windows XP (édition x64) • Windows XP Embedded • Windows Fundamentals for Legacy PCs Streaming d'application. L'Agent Program Neighborhood fonctionne maintenant avec le client Citrix Streaming afin de fournir le streaming d'applications sur le bureau de l'utilisateur ainsi qu'un accès à des applications hors connexion. Pour plus d'informations sur la fonction d'application livrée en streaming, veuillez consulter le Guide Citrix Application Streaming.

Installation de client non administrateur. Cette fonction permet aux utilisateurs du client, qui ne disposent pas de privilèges d'administrateur sur un ordinateur « verrouillé », par exemple dans un café ou sur une borne Internet, d'installer le pack Ica32pkg.msi et un client Web, installé individuellement pour chaque utilisateur. De cette manière, les utilisateurs peuvent bénéficier d'un accès à distance sécurisé à leurs applications. Veuillez consulter la section « Installation des clients par les utilisateurs non administrateurs», page 19.

Configuration de serveur de confiance. Cette fonction est conçue pour l'identification et l'application des relations d'approbation ayant lieu dans les connexions de client. Cette relation renforce la confiance des administrateurs et des utilisateurs du client dans l'intégrité des données sur les machines clientes et empêche une utilisation malveillante des connexions de client. Lorsque cette fonction est activée, les clients peuvent spécifier les configurations requises pour l'approbation et déterminer s'ils peuvent ou non établir une connexion au serveur. Par exemple, un client se connectant à une certaine adresse (comme https://*.citrix.com) par un type de connexion donné (comme SSL) est dirigé vers une zone de confiance sur le serveur.

Lorsque la configuration de serveur de confiance est activée, les serveurs Citrix Presentation Serveur doivent être ajoutés à une zone Sites de confiance Windows. Pour plus d'informations, veuillez consulter la section « Application des relations d'approbation», page 94. Interface utilisateur multilingue. Le pack Windows Installer comprend une interface utilisateur multilingue, ce qui signifie qu'il installe automatiquement les clients dans toutes les langues prises en charge. À partir de la version 10.0 des clients Windows, les packs d'installation propres à une langue ne sont plus disponibles.

Chapitre 1 Introduction 13 Au cours de l'installation, l'utilisateur sélectionne une langue : allemand (Deutsch), anglais , espagnol (Español), français, japonais, chinois simplifié ou chinois traditionnel. L'interface utilisateur s'affiche dans la langue sélectionnée. Pour plus d'informations, veuillez consulter la section « Sélection de la langue de l'interface utilisateur», page 26. Prise en charge des icônes couleur 32 bits. Cette fonction prend en charge les icônes avec 65 536 couleurs et sélectionne automatiquement le nombre de couleurs pour les applications visibles dans la boîte de dialogue du Centre de connexion de Program Neighborhood et de la barre d'état système et de la barre des tâches Windows pour fournir des applications transparentes.

Veuillez consulter la section « Prise en charge des icônes couleur 32 bits», page 66. Prise en charge d'URL de sauvegarde de l'Agent Program Neighborhood. Les administrateurs peuvent spécifier des URL de sauvegarde pour l'Agent Program Neighborhood dans leur configuration de l'Interface Web. De plus, si l'Agent Program Neighborhood ne peut pas se connecter à l'Interface Web, les administrateurs peuvent spécifier des URL de sauvegarde dans une nouvelle propriété du pack .msi. Pour plus d'informations sur la création d'adresses URL de sauvegarde dans le pack .msi, veuillez consulter la section « Spécification d'adresses de serveur de sauvegarde», page 28.

Pour plus d'informations sur la création d'adresses URL de sauvegarde à l'aide de l'Interface Web, veuillez consulter le Guide de l'administrateur de l'Interface Web Citrix. Accélération multimédia SpeedScreen. Cette fonction étend l'accélération multimédia SpeedScreen sur le serveur pour la prise en charge de types de média supplémentaires sur le client.

Prise en charge améliorée de la détection du proxy. Cette fonction détecte automatiquement un serveur proxy afin d'éviter aux utilisateurs de le configurer manuellement. Dans les environnements de grande taille, cette fonction signifie aussi que les administrateurs n'ont pas besoin de consacrer leur temps à la prise en charge de configurations incorrectes ou dynamiques. Pour plus d'informations, veuillez consulter la section « Activation de la détection automatique du proxy», page 77.

Prise en charge de l'Agent Program Neighborhood via Access Gateway. L'Agent Program Neighborhood peut maintenant utiliser une authentification simplifiée pour se connecter, via Access Gateway, aux serveurs Citrix Presentation Server.

Cela signifie qu'il est inutile pour les utilisateurs d'entrer à nouveau leurs informations d'identification lorsqu'ils se connectent au serveur. Prise en charge du standard de cryptage avancé (AES). Les clients pour Windows prennent désormais en charge le chiffrement AES pour les connexions utilisant TLS.

14 Guide de l'administrateur des clients pour Windows Remarque : la prise en charge d'AES n'est disponible que dans le cadre de connexions à des serveurs Citrix Presentation Server 4.5. La machine cliente doit exécuter Windows XP, Service Pack 2, Windows 2003, Service Pack 1 ou ultérieure ou Windows Fundamentals for Legacy PCs. Fonctionnalités du client abandonnées. Les fonctions suivantes ne sont plus prises en charge : • À compter de la version 10.0 des clients pour Windows, l'option d'utilisation des packs clients InstallShield n'est plus proposée. De plus, la fonction de mise à jour automatique des clients, qui était utilisé pour mettre à jour les packs clients InstallShield n'est pas proposée non plus.

Pour déployer les clients mis à jour, vous pouvez utiliser l'Interface Web Citrix, des produits tiers ou des logiciels de gestion du bureau pouvant distribuer les packs Microsoft Software Installer (MSI), dont Windows Active Directory.

• Les protocoles réseau IPX, SPX et NetBios ne sont plus pris en charge pour les connexions de clients aux serveurs Citrix Presentation Server. Pour reconfigurer les connexions, utilisez Propriétés. Pour créer une nouvelle connexion, utilisez l'assistant d'ajout de connexion ICA et sélectionnez un protocole de connexion pris en charge. • Les connexions ICA en mode d'appel entrant vers les serveurs Citrix Presentation Server ne sont plus prises en charge. Pour vous connecter aux modems, utilisez le service d'accès à distance (RAS) de Microsoft. Accès à la documentation La documentation de Citrix Presentation Server comprend documents en ligne, informations sur les problèmes connus et aides des applications, comme ci- dessous : Utilisez le fichier Bienvenue dans Citrix Presentation Server (Read_Me_First.html) pour accéder à l'ensemble complet des guides en ligne disponibles sur le Web.

Vous pouvez également accéder à la documentation à tout moment en ouvrant la page http://support.citrix.com/docs/.

• La documentation en ligne est fournie sous forme de fichiers PDF. Pour visualiser, imprimer la documentation ou y effectuer une recherche, vous aurez besoin d’Adobe Reader (versions prises en charge : Acrobat Reader, version 5.0.5, avec la fonction Rechercher, versions 6, 7 et 8.). • Les informations sur les problèmes connus figurent dans le fichier lisez- moi du produit, qui se trouve également sur le Web. Utilisez le fichier

Chapitre 1 Introduction 15 Bienvenue dans Citrix Presentation Server (Read_Me_First.html) pour accéder au fichier lisez-moi du produit.

• L'interface utilisateur contient de nombreux écrans à partir desquels une assistance intégrée vous permet d'accomplir vos tâches. Par exemple, dans la console Access Management Console, vous pouvez positionner la souris sur un paramètre pour en afficher un texte d'aide expliquant comment utiliser ce contrôle.

• L'aide en ligne est disponible pour certaines tâches. Vous pouvez y accéder à partir du menu Aide ou du bouton du même nom. • Pour plus d'informations sur Presentation Server, consultez le Glossaire Citrix Presentation Server, disponible sur le Centre de connaissances (Knowledge Center) à l'adresse http://support.citrix.com/docs/. • Le Guide de démarrage Citrix Presentation Server, disponible sur le Centre de connaissances (http://support.citrix.com/docs/), contient des informations supplémentaires sur la documentation Citrix et les moyens d'obtenir davantage de renseignements ou une assistance technique.

Pour envoyer un commentaire sur la documentation, ouvrez la page http://support.citrix.com/docs/. Pour accéder au formulaire de commentaires, cliquez sur le lien Submit Documentation Feedback.

16 Guide de l'administrateur des clients pour Windows

CHAPITRE 2 Déploiement et installation du logiciel client Le répertoire Clients du CD-ROM Composants du coffret Citrix Presentation Server contient les fichiers d'installation de tous les clients Citrix Presentation Server pour Windows. Ce chapitre décrit les étapes nécessaires au déploiement et à l'installation du logiciel client, notamment : • assurance de répondre aux configurations système ; • conditionnement du logiciel client ; • configuration du pack d'installation afin de limiter l'intervention de l'utilisateur dans le processus d'installation ; • déploiement des packs d'installation vers les utilisateurs ; • installation du logiciel client; en particulier, les options proposées aux utilisateurs dans l'assistant d'installation ; • désinstallation du logiciel client.

Configurations requises Pour exécuter les clients (version 10.x), les machines clientes doivent disposer des éléments suivants : • Une architecture PC standard, un processeur 80386 ou ultérieur, suivant le système d'exploitation utilisé.

• Windows NT 4.0 ou ultérieur, Windows 2000, Windows XP, Windows 2003 ou Windows Fundamentals for Legacy PCs. • En ce qui concerne la mémoire, suivez les recommandations de Microsoft pour le système d'exploitation.

18 Guide de l'administrateur des clients pour Windows • Internet Explorer, version 5.0 ou ultérieure, ou Netscape Navigator ou Communicator, version 4.78, 6.2 ou ultérieure; Mozilla Firefox version 1.0. ou ultérieure. • Une souris Microsoft ou une souris 100% compatible. • Une carte graphique VGA ou SVGA et un moniteur couleur. • Un lecteur de disquette 3,5 pouces HD (facultatif) et de l'espace disponible sur disque dur.

• Une carte son compatible Windows pour la prise en charge audio (facultatif).

• Pour les connexions réseau à la batterie de serveurs, une carte réseau et les logiciels de transport réseau appropriés. Les méthodes de connexion et les transports réseau pris en charge sont les suivantes : Pour plus de détails sur la configuration des clients pour la sécurisation des communications (SSL ou TLS), veuillez consulter la section “Configuration et activation des clients pour SSL et TLS», page 86. Pour plus d'informations sur l'utilisation du client Citrix Streaming pour fournir des applications livrées en streaming sur le bureau de l'utilisateur, veuillez consulter le Guide Citrix Application Streaming.

Conditionnement du logiciel client Vous pouvez installer les clients Citrix Presentation Server pour Windows à l'aide du client Access, d'un pack MSI ou d'un fichier CAB. Vous pouvez permettre aux utilisateurs de choisir leurs propres options lors de l'installation ou vous pouvez préconfigurer un pack MSI visant à sélectionner certaines options à l'avance. Si toutes les options sont préconfigurées, l'installation est dite « sans assistance », ne nécessitant aucune intervention de l'utilisateur.

Protocole Agent Program Neighborhood Client Web Program Neighborhood TCP/IP+HTTP X X X SSL/TLS+HTTPS X X X TCP/IP X X

Chapitre 2 Déploiement et installation du logiciel client 19 Remarque : chaque installation d'un client Citrix Presentation Server inclut le Centre de connexion Program Neighborhood, ce qui permet aux utilisateurs d'afficher des informations à propos de leur connexion ICA en cours. Création de packs MSI Le CD-ROM Composants inclut un pack MSI (Ica32Pkg.msi). La taille de ce fichier est d'environ 5 Mo. Le Conditionneur de clients pour Citrix Presentation Server permet de regrouper tous les clients en un seul pack MSI. Vous pouvez personnaliser le Conditionneur de clients pour déployer et mettre à jour un nombre donné de clients à travers le réseau.

Basé sur la technologie Windows Installer, le Conditionneur permet d'installer, de désinstaller, de modifier et de réparer des clients et d'effectuer des mises à niveau contrôlées. Important : pour pouvoir installer le logiciel client à l'aide du pack MSI, il est nécessaire que le service Windows Installer soit installé sur la machine cliente. Ce service est présent par défaut sur les systèmes exécutant Windows XP ou Windows Server 2003. Pour installer des clients sur les machines clientes exécutant des versions antérieures du système d'exploitation Windows, vous devez installer le programme Windows Installer 2.0 Redistributable pour Windows, disponible à l'adresse http://www.microsoft.com/.

Installation des clients par les utilisateurs non administrateurs Les utilisateurs qui ne disposent pas des privilèges d'administrateur sur un ordinateur distant (par exemple à partir d'un café ou d'une borne Internet) peuvent installer une version du client Web. Le client est conditionné dans le fichier Ica32Pkg.msi avec un programme d'installation modifié. Il peut être téléchargé et installé localement sur tous les systèmes d'exploitation Windows pris en charge, afin de procurer aux utilisateurs un accès sécurisé à leurs applications sur le serveur.

Lorsque le programme d'installation détecte des informations d'identification d'un utilisateur non administrateur, une version individuelle, qui ne peut pas être modifiée pendant l'installation, est installée dans le dossier local AppData de l'utilisateur. Remarque : si le paramètre Éditeur de stratégie de groupe Windows pour DisableUserInstalls est 1, les utilisateurs non administrateurs ne sont pas autorisés à installer ce client.

20 Guide de l'administrateur des clients pour Windows Le programme d'installation met à niveau automatiquement un client Web installé précédemment sur une machine locale.

Pour plus d'informations sur l'utilisation de l'Interface Web, veuillez consulter le Guide de l'administrateur de l'Interface Web Citrix. Fichier CAB Les fichiers CAB permettent aux utilisateurs d'installer automatiquement le client à partir d'une page Web. Icaweb.cab est un fichier CAB pour le client Web dont la taille est de 3Mo, approximativement.

Configuration des fichiers d'installation Si vous choisissez d'utiliser des packs MSI pour le déploiement des clients, vous pouvez préconfigurer de nombreux paramètres pour vos utilisateurs. Vous pouvez supprimer certaines ou toutes les interventions de l'utilisateur lors du processus d'installation. Il s'agit alors d'une installation « non assistée ». Cette section explique comment configurer ces réglages. Les packs MSI peuvent être configurés de trois façons : avec le Conditionneur de clients, avec des paramètres en ligne de commande et avec des fichiers de transformation.

Pour configurer un pack dans le Conditionneur de clients 1.

Copiez le Conditionneur du client (Ica32pkg.msi) du CD-ROM Composants vers le répertoire local. 2. Créez un point de partage sur un serveur de fichiers accessible à vos utilisateurs. 3. Entrez la commande suivante à l'invite : msiexec.exe /a chemin/ica32pkg.msi où chemin/ est le chemin local dans lequel vous avez placé ce fichier à l'étape 1. L'assistant d'installation du Conditionneur de clients s'affiche. 4. Entrez le chemin d'accès UNC du point de partage réseau où vous souhaitez stocker le pack personnalisé.

5. Sélectionnez l'option de compression et cliquez sur Suivant. 6. Sélectionnez au moins un client à inclure dans le pack d'installation. Si vous sélectionnez Program Neighborhood ou l'Agent Program Neighborhood, l'assistant de paramétrage de chaque client s'affiche.

Chapitre 2 Déploiement et installation du logiciel client 21 7. Dans la boîte de dialogue Paramètres de mise à niveau, vous pouvez choisir d'effectuer une mise à niveau ou une rétrogradation de clients existants. 8. Dans la boîte de dialogue Sélectionner les boîtes de dialogue, spécifiez celles qui doivent être affichées lorsque l'utilisateur exécute le pack d'installation.

9. Vérifiez vos sélections dans la boîte de dialogue suivante, puis cliquez sur Terminer. Le pack d'installation spécifié précédemment est créé à l'emplacement indiqué.

Pour configurer un pack MSI à l'aide de paramètres en ligne de commande 1. Entrez la ligne de commande suivante à l'invite, sur la machine où vous souhaitez installer le pack de clients: msiexec.exe /I chemin/ica32pkg.msi [Options]. où chemin/ désigne l'emplacement du pack MSI et [Options] correspond à tout paramètre de ligne de commande MSI. 2. Définissez les options selon vos besoins. Voici quelques exemples de paramètres pris en charge : • /qn permet d'exécuter une installation non assistée. • /qb permet d'informer l'utilisateur de la progression et de la gestion des erreurs.

• /qb permet d'informer l'utilisateur de la progression et de la gestion des erreurs sans proposer de bouton Annuler.

• Le fichier-journal /l*v permet de créer un journal d'installation. logfile représente l'emplacement de sauvegarde et le nom du fichier. Utilisez les guillemets droits pour les chemins d'accès qui contiennent des espaces. • PROPRIÉTÉ=Valeur PROPRIÉTÉ représente l'une des variables (clés) en majuscules suivantes et Valeur, la valeur qui doit être spécifiée par l'utilisateur. • PROGRAM_FOLDER_NAME=.

est le nom du groupe de programmes du menu Démarrer, qui contient le raccourci vers l'Agent Program Neighborhood. La valeur par défaut est Citrix\Citrix

22 Guide de l'administrateur des clients pour Windows Access Clients. Cette fonction n'est pas prise en charge lors des mises à niveau des clients. • INSTALLDIR=. représente l'emplacement du répertoire dans lequel le logiciel client est installé. La valeur par défaut est C:\Program Files\Citrix\ICA Client. • CLIENT_NAME=. identifie la machine cliente vis-à-vis de la batterie de serveurs. La valeur par défaut est %COMPUTERNAME%.

• ENABLE_DYNAMIC_CLIENT_NAME={Yes | No} Pour que la prise en charge du nom de client dynamique soit activée lors d'une installation sans assistance, il est nécessaire que la propriété ENABLE_DYNAMIC_CLIENT_NAME ait la valeur Yes dans votre fichier d'installation. Pour désactiver la prise en charge du nom de client dynamique, donnez-lui la valeur No. Veuillez consulter la section “Noms de clients et de machines identiques», page 73 pour obtenir plus d'informations sur cette fonctionnalité.

• CLIENT_UPGRADE={Yes | No}. Par défaut, cette propriété possède la valeur Yes. Ce réglage entraîne l'installation du client si une version antérieure est déjà installée. • ENABLE_SSON={Yes | No}. La valeur par défaut est No. Si vous activez la propriété SSON (authentification unique), donnez la valeur No à la propriété ALLOW_REBOOT pour éviter le redémarrage automatique du système client. Remarque : si vous la désactivez mais que vous décidez par la suite de l'utiliser pour l'ouverture de session, vous devrez réinstaller le client.

• ALLOW_REBOOT={Yes | No}. La valeur par défaut est Yes.

• DEFAULT_NDSCONTEXT=. Ajoutez ce paramètre si vous souhaitez définir un contexte NDS par défaut. Si vous ajoutez plusieurs contextes, mettez l'ensemble de la valeur entre guillemets et séparez les contextes par des virgules. Exemples de valeurs correctes : DEFAULT_NDSCONTEXT=Contexte1 DEFAULT_NDSCONTEXT="Contexte1,Contexte2"

Chapitre 2 Déploiement et installation du logiciel client 23 Exemple de valeur incorrecte : DEFAULT_NDSCONTEXT=Contexte1,Contexte2 • SERVER_LOCATION=. La valeur par défaut est Web Server. Entrez l'URL du serveur exécutant l'Interface Web. L'URL doit avoir le format http://NomServeur ou https://NomServeur. Remarque : l'Agent Program Neighborhood ajoute à l'URL du serveur le chemin d'accès et le nom par défaut du fichier de configuration. Si vous changez l'emplacement par défaut du fichier de configuration, vous devez fournir le nouveau chemin complet dans le paramètre SERVER_LOCATION.

• CTX_PN_ENABLE_CUSTOMICA = {Yes | No}.

Par défaut, cette propriété possède la valeur Yes. Vous devez indiquer si vous souhaitez activer l'icône Connexions ICA personnalisées dans Program Neighborhood. • CTX_PN_ENABLE_QUICKLAUNCH = {Yes | No}. Par défaut, cette propriété possède la valeur Yes. Vous devez indiquer si vous souhaitez activer la barre de Lancement rapide dans Program Neighborhood. • CTX_ALLOW_CLIENT_DOWNGRADE={Yes | No}. Par défaut, cette propriété possède la valeur No. Ceci évite d'installer le client sur une version plus récente. Pour permettre l'installation d'une version antérieure du client en remplacement d'une version plus récente, donnez la valeur Yes à cette propriété.

Pour une rétrogradation vers une version antérieure à la version 9.x, vous devez également définir la propriété REINSTALLMODE sur aums.

• REINSTALLMODE=. La valeur par défaut est oums. La valeur aums permet d'écraser une version plus récente du client. Veuillez consulter la documentation du programme d'installation Microsoft Windows pour plus de précisions. Exemple d'installation en ligne de commande Au moyen de la procédure décrite plus haut, une configuration en ligne de commande de votre pack MSI ressemblerait à ceci :

24 Guide de l'administrateur des clients pour Windows msiexec.exe /I ica32pkg.msi /qb-! /l*v “c:\my logs\ica32_install.log” SERVER_LOCATION=http:// mywebinterface Ceci permettrait de réaliser : • L'installation des clients entraîne l'affichage de boîtes de dialogue en décrivant la progression mais l'utilisateur ne dispose pas d'un bouton Annuler.

• Le stockage des messages relatif à l'installation à l'emplacement c:\my logs\ica32_install.log.

• La spécification de L'URL (http://moninterfaceweb) du serveur de l'Interface Web vers lequel doit pointer l'Agent Program Neighborhood. Pour configurer un pack MSI à l'aide de fichiers de transformation Important : les fichiers de transformation modifient le processus d'installation en apportant des changements à la base de données d'installation contenue dans un pack Windows Installer. La procédure suivante ne doit être suivie que par les utilisateurs ayant une connaissance approfondie des fichiers de transformation et de leur impact sur ces réglages. Pour plus d'informations, veuillez consulter le Guide de l'administrateur Citrix Presentation Server.

1. À l'aide d'un outil d'édition de pack Windows Installer, ouvrez le Conditionneur de clients (Ica32pkg.msi). 2. Entrez de nouvelles valeurs pour les propriétés que vous souhaitez modifier dans la table Property. 3. Générez le fichier de transformation puis sauvegardez-le en lui donnant une extension .mst. 4. Pour installer le pack MSI et utiliser le fichier de transformation que vous venez de créer, suivez les mêmes étapes que pour l'installation en ligne de commande. Néanmoins, vous devez ajouter l'option PROPRIÉTÉ=Valeur suivante : TRANSFORMS = chemin\“mon.mst” où chemin désigne l'emplacement du fichier de transformation et mon.mst son nom.

Chapitre 2 Déploiement et installation du logiciel client 25 Déploiement des fichiers d'installation Plusieurs méthodes permettent de déployer le client vers les utilisateurs, en fonction de la taille de votre société et des ressources disponibles. Cette section décrit certaines méthodes de déploiement des fichiers d'installation de clients. Si vous utilisez Citrix Presentation Server avec l'Interface Web, veuillez consulter le Guide de l'administrateur de l'Interface Web Citrix afin d'obtenir des informations sur le déploiement des clients dans cet environnement. Important : les packs MSI peuvent être déployés à l'aide des services Windows Active Directory ou de Microsoft Systems Management Server.

Pour plus d'informations, veuillez consulter votre documentation Windows ou Systems Management Server.

Déploiement des clients via un point de partage réseau Dans divers environnements, les utilisateurs peuvent accéder aux ressources internes à partir de points de partage réseau. Vous pouvez centraliser le déploiement de votre client en déployant un pack MSI à partir d'un point de partage réseau. Vous pouvez configurer vos paramètres d'installation dans le Conditionneur de clients, en suivant les instructions de la page 18. Pendant la procédure, il est possible d'entrer le chemin d'accès UNC du point de partage réseau où vous souhaitez stocker le pack MSI personnalisé. Remarque : vous pouvez utiliser la stratégie de groupe Active Directory pour installer le client ou fournir le chemin d'accès sur le réseau aux utilisateurs.

Pour plus d'informations, veuillez consulter votre documentation Windows ou Systems Management Server.

Déploiement du client Web à partir d'une page Web Vous pouvez proposer un lien dans une page Web à destination des utilisateurs souhaitant installer le client Web. Par exemple, pour insérer le client Web le plus réduit dans une page Web, ajoutez les lignes de code suivantes dans la page Web qui déclenchent le téléchargement du fichier Icaweb.cab.

26 Guide de l'administrateur des clients pour Windows data="np.ica" CODEBASE="http://web-server-root/some-directory/icaweb.cab" width='640' height='480' hspace='2' vspace='2'> Important : vous devrez ajouter à la zone Sites de confiance le(s) site(s) d'où sera téléchargé le fichier CAB.

Si vous utilisez le client Web avec l'Interface Web, veuillez consulter le Guide de l'administrateur de l'Interface Web Citrix pour obtenir plus d'informations sur le déploiement de ce client.

Options d'installation pour les clients Pour chaque pack MSI, l'assistant de paramétrage vous guide à travers le processus d'installation du client. Lorsque l'installation démarre, des boîtes de dialogue successives invitent l'utilisateur à sélectionner des options et à configurer le produit. Lors de chaque installation, l'utilisateur doit accepter le Contrat de licence Citrix avant de poursuivre. La section suivante décrit les options à configurer lors de l'installation. En fonction des composants sélectionnés à l'installation, certaines options décrites ci-dessous peuvent être absentes ou disposées dans un autre ordre.

Sélection de la langue de l'interface utilisateur Le pack Windows Installer comprend une interface utilisateur multilingue, ce qui signifie qu'il installe automatiquement les clients dans toutes les langues prises en charge. À partir de la version 10.0 des clients Windows, les packs d'installation propres à une langue ne sont plus disponibles.

Chapitre 2 Déploiement et installation du logiciel client 27 Au cours de l'installation, l'utilisateur sélectionne une langue correspondant à l'interface souhaitée. Allemand (Deutsch), anglais , espagnol (Español), français, japonais, chinois simplifié ou chinois traditionnel.

Après l'installation du client, l'interface utilisateur s'affiche dans la langue stockée dans la valeur de registre ICA_UILocale. Si la valeur n'existe pas ou si elle ne contient pas de données, la langue d'interface utilisateur du client est déterminée par le facteur suivant, dans l'ordre : • Le paramètre ICA UILocale, défini dans le fichier ICA, est coché si une session ICA démarre.

• Si la langue spécifiée dans le paramètre ICA UILocale n'est pas prise en charge, la langue par défaut de l'utilisateur est cochée. • Si la langue par défaut de l'utilisateur n'est pas prise en charge, la langue par défaut du système est cochée. • Si la langue par défaut du système n'est pas prise en charge, l'interface utilisateur emploie l'anglais par défaut. Pour plus d'informations sur l'interface utilisateur multilingue et la mise à jour de la langue de l'interface utilisateur du client, veuillez consulter le Guide d'administration avancée.

Installation de l'Agent Program Neighborhood Lors d'une installation de l'Agent Program Neighborhood, les utilisateurs ont à leur disposition les options suivantes.

Mise à niveau d'une version existante du client. Le programme d'installation recherche alors des versions de l'Agent Program Neighborhood installées sur la machine cliente. Si une installation déjà existante est détectée, l'utilisateur peut effectuer une mise à niveau du client exisant de l'Agent Program Neighborhood. L'option par défaut est Mettre à niveau le client existant. Dans le cas d'une mise à niveau à l'aide d'un pack MSI, aucune autre option n'est disponible. Sélection du groupe de programmes. Vous pouvez utiliser le dossier Citrix Presentation Server par défaut, entrer le nom d'un nouveau dossier de programmes ou ajouter l'icône de l'Agent Program Neighborhood à un dossier existant.

Spécification d'une adresse de serveur. Entrez l'URL du serveur de l'Interface Web auquel vous voulez vous connecter sous la forme http:// NomServeur (pour les connexions non sécurisées) ou https://NomServeur (pour les connexions sécurisées). L'Agent Program Neighborhood se connecte au serveur au démarrage pour obtenir les informations de configuration les plus récentes, notamment les ressources publiées disponibles et les droits d'accès pour modifier les réglages locaux.

28 Guide de l'administrateur des clients pour Windows Utiliser le nom et le mot de passe locaux.

Les utilisateurs doivent indiquer s'ils souhaitent utiliser automatiquement leurs informations d'identification locales pour les sessions Citrix sur le client en cours d'installation. L'authentification unique permet au client d'accéder au nom d'utilisateur, au mot de passe et au domaine Windows locaux d'un utilisateur et de les communiquer au serveur. L'utilisateur n'a alors pas besoin de fournir ces informations d'identification pour ouvrir une session à l'aide de l'Agent Program Neighborhood. Vous devez activer ce mode d'ouverture de session sur le serveur exécutant l'Interface Web pour le mettre à la disposition des utilisateurs.

Important : si vous désactivez cette fonctionnalité au cours de l'installation, vous devez réinstaller l'Agent Program Neighborhood si vous décidez par la suite d'utiliser l'ouverture de session avec authentification unique. Nom de client. Les serveurs Citrix Presentation Server utilisent le nom de client pour gérer les ressources système. Par défaut, le nom de la machine est utilisé comme nom de client. Si vous entrez un nom déjà utilisé pour une autre machine cliente, les fonctions de mappage de périphérique et de publication d'application risquent de ne pas fonctionner correctement.

Important : le nom de client ne peut pas contenir les caractères suivants : \/ .

Si le nom de client est vide (ou en l'absence de clé de registre), le nom de la machine du client est utilisée en tant que nom de client. Le nom doit être composé de moins de 20 octets. Spécification d'adresses de serveur de sauvegarde L'Interface Web vous permet de spécifier des serveurs de sauvegarde à contacter au cas où l'Agent Program Neighborhood ne pourrait pas accéder au serveur de l'Interface Web principal. Si des URL de sauvegarde figurent dans la configuration de l'interface Web, ces adresses ont la priorité et sont spécifiques à chaque utilisateur. Pour plus d'informations, veuillez consulter le Guide de l'administrateur de l'Interface Web Citrix.

Vous pouvez également spécifier les URL de sauvegarde du pack MSI au cas où l'Agent Program Neighborhood ne peut pas se connecter à l'interface Web. Pour ajouter des URL de sauvegarde à l'Agent Program Neighborhood, ajoutez la propriété MSI suivante : PNA_WI_BACKUPLOCATIONS. Spécifiez ensuite les adresses de sauvegarde. À la différence de celles configurées dans l'interface Web, ces adresses de sauvegarde s'appliquent à tous les utilisateurs.

Chapitre 2 Déploiement et installation du logiciel client 29 Installation du client Web L'installation du client Web nécessite une interaction utilisateur minimale.

Après acceptation du Contrat de licence Citrix, les fichiers sont copiés sur la machine cliente. Par défaut, le client Web est installé dans le répertoire Program Files\Citrix\Icaweb32. Installation de Program Neighborhood Lors d'une installation de Program Neighborhood, les utilisateurs ont à leur disposition les options suivantes.

Mise à niveau d'une version existante du client. Le programme d'installation recherche alors des versions de Program Neighborhood installées sur la machine cliente. Si le programme d'installation détete une installation préalable de Program Neighborhood, l'utilisateur peut mettre à niveau le client existant. L'option par défaut est Mettre à niveau le client existant. Dans le cas d'une mise à niveau à l'aide d'un pack MSI, aucune autre option n'est disponible. Destination de la fonctionnalité et Sélectionner le groupe de programmes. Les utilisateurs peuvent modifier le chemin de l'installation et le dossier de programmes définis par défaut.

Entrez le nom du client. Les ordinateurs exécutant les serveurs Citrix Presentation Server utilisent le nom de client pour gérer les ressources système. Par défaut, le nom de la machine est utilisé comme nom de client. Si vous entrez un nom déjà utilisé pour une autre machine cliente, les fonctions de mappage de périphérique et de publication d'application risquent de ne pas fonctionner correctement. Options de Program Neighborhood. Les utilisateurs peuvent activer la barre Lancement rapide ou l'icône des Connexions ICA personnalisées dans Program Neighborhood. Il s'agit de moyens supplémentaires pour se connecter à Citrix Presentation Server.

Par défaut, ces deux options sont activées. Utiliser le nom et le mot de passe locaux. Les utilisateurs doivent indiquer s'ils souhaitent utiliser automatiquement leurs informations d'identification locales pour les sessions Citrix sur le client en cours d'installation. L'authentification unique permet au client d'accéder au nom d'utilisateur, au mot de passe et au domaine Windows locaux d'un utilisateur et de les communiquer au serveur. L'utilisateur n'a alors pas besoin de fournir ces informations d'identification pour ouvrir une session à l'aide de Program Neighborhood.

Important : si vous désactivez cette fonctionnalité au cours de l'installation, vous devez réinstaller Program Neighborhood si vous décidez par la suite d'utiliser l'ouverture de session avec authentification unique.

30 Guide de l'administrateur des clients pour Windows Désinstallation du logiciel client Pour désinstaller un client, accédez à l'outil Ajout/Suppression de programmes dans le Panneau de configuration. Sinon, si le client a été installé à l'aide d'un pack Windows Installer, vous pouvez exécuter le nouveau le pack d'installation et sélectionner l'option Supprimer.

CHAPITRE 3 Configuration du logiciel client Après que le logiciel client soit déployé vers vos utilisateurs et que ceux-ci l'aient installé, il reste certaines étapes de configuration à effectuer. Ce chapitre traite de ces étapes pour l'Agent Program Neighborhood et Program Neighborhood ; le client Web ne nécessite pas de configuration particulière. Il décrit également comment les administrateurs peuvent configurer les paramètres qui s'appliquent à tous les utilisateurs d'un périphérique client ou à plusieurs périphériques clients. Configuration de l'Agent Program Neighborhood Cette section fournit une présentation générale de l'Agent Program Neighborhood.

Elle explique également comment personnaliser les préférences utilisateur et modifier l'URL du serveur de l'Interface Web vers laquelle la machine cliente pointe.

Présentation de l'Agent Program Neighborhood Vous pouvez configurer les options et réglages de l'Agent Program Neighborhood en utilisant le site Agent Program Neighborhood associé dans la console Access Management Console. Chaque fois qu'un utilisateur ouvre une session sur l'Agent Program Neighborhood, il bénéficie de la dernière configuration de l'Agent Program Neighborhood. Les modifications apportées alors qu'un utilisateur est connecté prennent effet lorsque la configuration du client est actualisée, manuellement ou automatiquement, après un intervalle de temps défini.

Important : l'Agent Program Neighborhood nécessite l'Interface Web Citrix.

L'Agent Program Neighborhood possède, entre autres, les fonctions suivantes. • Authentification de l'utilisateur. Le client transmet les informations d'identification utilisateur au serveur MetaFrame Presentation Server lorsqu'un utilisateur essaie de se connecter et à chaque fois qu'un utilisateur essaie d'accéder à des ressources publiées.

32 Guide de l'administrateur des clients pour Windows • Énumération des contenus et des applications. Le client présente à chaque utilisateur la série des ressources publiées auxquelles il a accès. • Démarrage des applications. Le client est le moteur local utilisé pour démarrer les applications publiées. • Intégration au bureau. Le client intègre la série des ressources publiées de l'utilisateur au bureau de celui-ci.

• Préférences utilisateur. Le client valide et applique les préférences utilisateur locales. Pour une liste complète des fonctionnalités de l'Agent Program Neighborhood, consultez la grille Client Feature Matrix disponible à l'adresse suivante : http:// www.citrix.com/.

Personnalisation des préférences utilisateur Cette section présente des informations relatives à la configuration des préférences utilisateur sur la machine cliente exécutant l'Agent Program Neighborhood. Par exemple, les utilisateurs peuvent définir la taille des fenêtres des applications publiées, choisir quand actualiser la liste des ressources publiées disponibles et spécigier quand celles-ci peuvent s'afficher. Pour définir les préférences utilisateur pour l'Agent Program Neighborhood 1. Dans la zone de notification de Windows, cliquez avec le bouton droit de la souris sur l'icône de l'Agent Program Neighborhood, puis choisissez Propriétés dans le menu qui s'affiche.

2. Dans chaque onglet, effectuez les modifications de configuration voulues. 3. Cliquez sur OK pour enregistrer vos modifications. Pour plus de détails, veuillez consulter l'aide en ligne de l'Agent Program Neighborhood. Modification de l'URL du serveur de l'Interface Web L'Agent Program Neighborhood requiert de votre part que vous configuriez l'emplacement d'un fichier de configuration (Config.xml est le fichier de configuration par défaut) sur un serveur exécutant l'Interface Web. Remarque : pour empêcher les utilisateurs de modifier accidentellement l'URL du serveur, désactivez l'option ou masquez l'onglet Serveur.

Chapitre 3 Configuration du logiciel client 33 Vous pouvez demander à vos utilisateurs de modifier l'URL du serveur tandis que vous créez les nouveaux fichiers de configuration ou que vous supprimez les anciens. Pour modifier l'URL du serveur dans l'Agent Program Neighborhood 1. Dans la zone de notification de Windows, cliquez avec le bouton droit de la souris sur l'icône de l'Agent Program Neighborhood, puis choisissez Propriétés. L'onglet Serveur affiche l'adresseURL configurée. 2. Cliquez sur Modifier l'URL et entrez l'URL du serveur au format suivant : http://NomServeur ou https://NomServeur pour le cryptage des données de configuration à l'aide de SSL.

3. Cliquez sur Mettre à jour pour appliquer les modifications et revenir à l'onglet Serveur. 4. Cliquez sur OK pour fermer la boîte de dialogue Propriétés. Pour supprimer les adresses URL serveur mémorisées 1. Dans la zone de notification de Windows, cliquez avec le bouton droit de la souris sur l'icône de l'Agent Program Neighborhood, puis choisissez Propriétés dans le menu qui s'affiche. 2. Sélectionnez l'onglet Serveur et cliquez sur Modifier l'URL. 3. Cliquez sur la flèche vers le bas pour afficher la liste des adresses URL serveur mémorisées.

4. Cliquez avec le bouton droit de la souris sur l'adresse URL à supprimer, puis sélectionnez Supprimer.

5. Cliquez sur Mettre à jour. 6. Cliquez sur OK. Configuration de Program Neighborhood Cette section décrit la configuration de Program Neighborhood et la connexion à des ressources publiées ainsi que l'amélioration des performances sur des connexions à bande passante réduite.

34 Guide de l'administrateur des clients pour Windows Important : Contrairement à l'Agent Program Neighborhood, la configuration de Program Neighborhood ne peut être effectuée dans la console Citrix Access Management Console. Les options doivent être réglées à l'aide de l'interface utilisateur. Par conséquent, les utilisateurs doivent être en mesure de naviguer aisément avec l'interface et de comprendre les implications des modifications apportées aux options.

Pour obtenir des instructions étape par étape sur la configuration de Program Neighborhood, consultez l'aide en ligne de Program Neighborhood.

Connexion aux applications publiées Avec Program Neighborhood, les utilisateurs peuvent se connecter aux ressources publiées et aux serveurs Citrix Presentation Server au moyen des éléments suivants: • Séries d'applications • Connexions ICA personnalisées Une série d'applications est une vue des ressources publiées d'une batterie de serveurs donnée, auxquelles l'utilisateur est autorisé à accéder. Certaines propriétés des applications publiées d'une série d'applications, telles que la taille de fenêtre, le nombre de couleurs, le niveau de cryptage et le niveau de qualité sonore pris en charge, sont préconfigurées.

Les utilisateurs peuvent modifier des réglages non essentiels qui ne sont pas requis pour l'exécution de l'application publiée (tels que le niveau de qualité audio) au niveau de la série d'applications sur la machine cliente. Important : les séries d'applications ne sont pas disponibles pour les applications publiées sur les serveurs Citrix Presentation Server pour systèmes d'exploitation UNIX. Pour vous connecter à une application publiée sur un tel serveur, les utilisateurs doivent utiliser une connexion ICA personnalisée. Une connexion ICA personnalisée est un raccourci défini par l'utilisateur vers une application publiée ou un bureau de serveur.

Vous pouvez créer des connexions ICA personnalisées pour vous connecter à un bureau de serveur ou à une application publiée ; en revanche, vous devez utiliser des connexions ICA personnalisées pour assurer la connexion aux éléments suivants : • serveur Citrix Presentation Server existant à l'extérieur de l'étendue de gestion d'une batterie de serveurs ;

Chapitre 3 Configuration du logiciel client 35 • application publiée avant l'installation d'un serveur MetaFrame 1.8 et qui ne peut pas être migrée vers une batterie de serveurs ; • application publiée sur un serveur exécutant Citrix Presentation Server pour systèmes d'exploitation UNIX. Les applications publiées de cette façon ne sont pas activées pour la configuration automatique des sessions de Program Neighborhood.

Program Neighborhood permet aux utilisateurs de se connecter à un serveur de la batterie de serveurs via une connexion de réseau local ou étendu entre l'ordinateur client et le serveur exécutant Citrix Presentation Server.

Cette méthode utilise un des protocoles réseau suivants : • TCP/IP+HTTP • SSL/TLS+HTTPS • TCP/IP Remarque : les utilisateurs distants ne peuvent se connecter aux serveurs exécutant Windows Server 2003 qu'en recourant à TCP/IP. Vous pouvez également connecter une machine cliente à un serveur Citrix Presentation Server en utilisant le service d'accès à distance (RAS) de Microsoft ou le mode accès réseau à distance en association avec le client. Pour ce type de connexion, la machine cliente doit présenter les configurations suivantes: • le logiciel client RAS ou de mode d'accès réseau à distance est installé sur la machine cliente ; • le serveur RAS ou le serveur PPP tiers est sur le même réseau que le serveur Citrix Presentation Server.

Navigation ICA La navigation ICA est un processus permettant d'explorer les serveurs et les applications publiées en réponse à la requête d'un client. Pour la navigation ICA, les clients communiquent avec le Citrix XML Service ou le navigateur ICA, en fonction du protocole de navigation sélectionné sur le client. La navigation ICA a lieu dans les cas suivants : • Les utilisateurs démarrent des applications publiées. Les clients envoient un requête pour rechercher l'application sur un serveur.

36 Guide de l'administrateur des clients pour Windows • Les utilisateurs de Program Neighborhood affichent la liste Série d'applications dans l'assistant Rechercher une nouvelle série d'applications.

• Les utilisateurs de Program Neighborhood affichent la liste Serveur ou Application publiée dans l'assistant Ajouter une nouvelle connexion ICA pour créer une connexion ICA personnalisée. Pour plus d'informations sur le Service XML Citrix, veuillez consulter le Guide de l'administrateur Citrix Presentation Server.

Spécification du protocole réseau pour l'exploration ICA La navigation ICA est un processus dans lequel un client transmet des données pour explorer les serveurs sur le réseau et obtenir des informations sur les applications publiées dans la batterie de serveurs. Le paramètre de protocole réseau vous permet de contrôler la manière dont le client recherche les serveurs Citrix Presentation Server et comment il communique avec eux. Vous pouvez faire une sélection parmi trois options de protocole réseau pour la navigation ICA : SSL/TLS+HTTPS, TCP/IP+HTTP et TCP/IP. Le protocole réseau que vous sélectionnez dépend de la manière dont vos clients se connectent aux serveurs Citrix Presentation Server, comme il est décrit ci-dessous.

Pour obtenir des instructions étape par étape sur la configuration du protocole réseau, consultez l'aide en ligne de Program Neighborhood. Pour plus de détails sur l'utilisation de SSL pour la sécurisation des communications client-serveur, veuillez consulter la section « Configuration et activation des clients pour SSL et TLS», page 86.

Important : l'exploration SSL/TLS+HTTPS ou TCP/IP+HTTP des serveurs ne permet de récupérer les informations relatives qu'à une seule batterie de serveurs. Pour récupérer les informations relatives à plusieurs batteries de serveurs, vous devez configurer les paramètres d'exploration des serveurs pour chaque série d'applications. Pour les connexions ICA personnalisées, vous devez configurer les paramètres d'exploration des serveurs pour chaque connexion ICA. Ne placez pas des adresses de serveurs de différentes batteries dans la même liste d'exploration des serveurs.

Chapitre 3 Configuration du logiciel client 37 Exploration ICA avec le protocole réseau TCP/IP+HTTP Program Neighborhood utilise par défaut le protocole réseau TCP/IP+HTTP.

Le client utilise le protocole HTTP pour rechercher des serveurs Citrix Presentation Server. Sélectionnez ce protocole lorsque le client est connecté via Internet ou via un parefeu ou un serveur proxy. Pour la plupart des batteries de serveurs, l'utilisation du protocole TCP/IP+HTTP pour l'exploration ICA présente les avantages suivants. • Ce protocole utilise des données XML encapsulées dans des paquets HTTP que le client envoie par défaut sur le port 80. La plupart des pare-feu sont configurés pour laisser le port 80 ouvert aux communications HTTP. • Le protocole TCP/IP+HTTP ne dépend pas d'UDP (User Datagram Protocol) ni de diffusions pour localiser les serveurs de la batterie de serveurs.

• Les routeurs transmettent les paquets TCP/IP entre les sousréseaux, ce qui permet aux clients de localiser les serveurs qui ne se trouvent pas sur le même sous-réseau. Par défaut, si aucun serveur n'est spécifié, le client tente de résoudre le nom « ica » pour lui faire correspondre une adresse IP. Le nom de serveur virtuel « ica » figure alors dans la zone Liste d'adresses. Cette fonctionnalité permet à l'administrateur DNS (Domain Name System) ou WINS (Windows Internet Naming Service) de configurer un enregistrement d'hôte qui mappe « ica » sur l'adresse IP d'un serveur qui peut répondre aux requêtes XML des clients.

Vous devez mapper un serveur Citrix Presentation Server au nom par défaut « ica » sur votre réseau ou spécifier au moins une adresse IP dans Program Neighborhood.

Remarque : vous pouvez configurer le serveur DNS des clients afin qu'il utilise le round-robin DNS (système de permutation circulaire) pour associer le nom « ica » à un ensemble de serveurs pouvant prendre en charge les requêtes XML. Utilisez cette approche pour ne pas avoir à configurer individuellement les adresses d'exploration de serveurs sur les machines clientes. Vous pouvez spécifier les serveurs Citrix Presentation Server à contacter pour l'exploration ICA en entrant leurs adresses IP ou leurs noms DNS dans la zone Liste d'adresses du client Program Neighborhood. Trois groupes de serveurs peuvent être définis : un groupe principal et deux de secours.

Chaque groupe peut comprendre jusqu'à cinq serveurs. Lorsque vous spécifiez un groupe de serveurs pour votre client, ce dernier tente d'établir un contact avec tous les serveurs de ce groupe simultanément et le premier serveur à répondre est celui qu'il contacte.

38 Guide de l'administrateur des clients pour Windows Pour localiser un service XML, le client réalise une connexion HTTP sur le port 80 du serveur Citrix Presentation Server. Lorsqu'un utilisateur lance une application publiée, le Service XML Citrix envoie alors au client l'adresse d'un serveur Citrix Presentation Server hébergeant cette application. Utilisation de l'exploration ICA avec le protocole réseau SSL/TLS+HTTPS Si vous sélectionnez le protocole réseau SSL/TLS+HTTPS, le client recherche les serveurs Citrix Presentation Server au moyen du protocole HTTPS.Le client communique avec le serveur en utilisant le protocole ICA avec SSL/TLS.

Le protocole SSL/TLS+HTTPS fournit un cryptage renforcé du trafic ICA et l'authentification des serveurs. Sélectionnez cette option lorsque SSL ou TLS est utilisé pour des communications via Internet ou via un pare-feu ou un serveur proxy.

Important : par défaut, les Services Internet (IIS) et SSL/TLS pour les connexions ICA utilisent le port 443. Si vos utilisateurs sont configurés pour utiliser le port 443 pour IIS, vous devez spécifier un autre numéro de port pour le Relais SSL Citrix après installation du certificat pour SSL/TLS. Si vous sélectionnez le protocole réseau SSL/TLS+HTTPS, vous devez entrer le nom de domaine complet du serveur (FQDN) qui héberge le certificat numérique. Remarque : les protocoles TCP/IP+HTTP et SSL/TLS+HTTPS ne peuvent être utilisés qu'avec des serveurs Citrix Presentation Server compatibles. Pour plus de détails sur la configuration des serveurs Citrix pour l'utilisation de SSL/ TLS, veuillez consulter le Guide de l'administrateur Citrix Presentation Server pour Windows ou UNIX.

Exploration ICA avec le protocole réseau TCP/IP Lorsque TCP/IP est le protocole réseau utilisé, les clients envoient des diffusions UPD au service de navigateur ICA sur le port 1604 pour l'exploration des applications publiées et des serveurs Citrix Presentation Server. Sélectionnez cette option si tous les serveurs Citrix Presentation Server et tous les clients sont situés sur le même réseau.

Chapitre 3 Configuration du logiciel client 39 Remarque : le terme explorateur principal fait référence à un navigateur situé sur un collecteur de données. Si vous sélectionnez le protocole réseau TCP/IP, le réglage par défaut de l'exploration des serveurs est (Repérage auto).

Le fonctionnement en Repérage auto est le suivant. • Le client ICA diffuse un paquet destiné à identifier le serveur Citrix le plus proche. Le premier serveur Citrix Presentation Server à répondre fournit l'adresse de l'Explorateur ICA principal. Cette adresse est utilisée à l'étape suivante.

• Le client envoie une requête demandant les listes des serveurs et des applications publiées à l'Explorateur ICA principal. • L'Explorateur ICA principal répond à la requête en envoyant une liste de tous les serveurs Citrix Presentation Server sur le réseau et une liste de toutes les applications publiées. Pour éliminer les diffusions sur votre réseau, ou si votre réseau utilise des routeurs ou des passerelles (aussi appelées points d'entrée), vous pouvez spécifier l'adresse du serveur MetaFrame Presentation Server servant d'explorateur principal.

Important : par défaut, les batteries de serveurs ne répondent pas aux diffusions UDP d'exploration ICA.

Par conséquent, si les clients sont configurés pour utiliser TCP/IP et pour repérer automatiquement les serveurs, ils ne pourront pas trouver les serveurs ni les applications publiées de la batterie de serveurs exécutant MetaFrameXP ou Citrix Presentation Server. Les paquets des diffusions UDP ne traversant pas les sousréseaux, l'utilisation de diffusions pour l'exploration ICA ne fonctionne que si un serveur configuré pour répondre aux diffusions se trouve dans le même sousréseau que le client. Lorsqu'un client a localisé un serveur, il communique avec des messages UDP (et non plus des diffusions) dirigés sur le port 1604.

Étant donné les limitations des diffusions, vous devrez peut-être définir une ou plusieurs adresses IP (ou noms DNS) de serveur Citrix Presentation Server dans la zone Liste d'adresses du client Program Neighborhood. Ceci est nécessaire si le client ne se trouve pas dans le même sous-réseau qu'un collecteur de données.

40 Guide de l'administrateur des clients pour Windows Amélioration des performances pour les connexions à faible bande passante Si vous utilisez une connexion à faible bande passante (une connexion par modem, par exemple), vous pouvez améliorer les performances de cette connexion en modifiant la configuration de votre client et la façon dont vous utilisez ce dernier.

En outre, Citrix recommande d'utiliser la version la plus récente de Citrix Presentation Server et des clients. Citrix ne cesse d'améliorer les performances à chaque nouvelle version. De nombreuses fonctionnalités permettant d'améliorer les performances ne sont disponibles qu'avec les dernières versions des logiciels client et serveur.

Modification de la configuration de votre client Si vous utilisez une machine cliente dont la bande passante disponible est faible, vous devez faire un compromis entre performances et fonctionnalités. Le client permet aux utilisateurs et aux administrateurs de choisir une combinaison équilibrée en termes de fonctionnalités et de performances. Vous pouvez réduire la bande passante requise par votre connexion et améliorer les performances en apportant une ou plusieurs des modifications suivantes.

• Activer la compression des données. La compression réduit la taille des données transférées via la connexion ICA.

Activez la compression et utilisez la compression maximum. • Activer la mise en cache des images bitmap. La mise en cache des images bitmap permet de stocker les images bitmap fréquemment utilisées sur votre client pour éviter leur transfert via la connexion ICA à chaque fois qu'elles doivent être affichées à l'écran. • Mettre en file mouvements de souris et frappes au clavier. Lorsque la mise en file d'attente est activée, le client envoie moins souvent les mises à jour des mouvements de la souris et des frappes clavier au serveur Presentation Server. L'activation de cette option n'améliore les performances que si vous utilisez une connexion à faible bande passante.

• Activer la Réduction de latence SpeedScreen. La Réduction de latence SpeedScreen améliore les performances des connexions à latence élevée en fournissant un retour visuel immédiat en réponse aux entrées de données et aux clics de souris de l'utilisateur.

• Diminuer la taille de fenêtre. Limitez la taille des fenêtres autant que vous le pouvez. • Diminuer le nombre de couleurs. Limitez le nombre de couleurs à 256.

Chapitre 3 Configuration du logiciel client 41 • Diminuer la qualité sonore. Si le mappage audio du client est activé, utilisez la qualité sonore réduite. Modification de l'utilisation du client La technologie ICA se caractérise par de faibles besoins en bande passante et en ressources de traitement. Toutefois, si vous utilisez une connexion à faible bande passante, tenez compte des points suivants pour maintenir le niveau de performance.

• Accès à des fichiers volumineux à l'aide du mappage des lecteurs clients. Lorsque vous accédez à un fichier volumineux à l'aide du mappage des lecteurs clients, le fichier est transféré via la connexion ICA. Si la connexion est lente, ce transfert risque de durer longtemps.

• Lecture de contenu multimédia. La lecture d'un contenu multimédia requiert beaucoup de bande passante et peut entraîner une baisse des performances. Configuration des paramètres pour plusieurs utilisateurs et périphériques Outre les options de configuration offertes par l'interface utilisateur du client, les administrateurs peuvent configurer les paramètres à l'aide du registre. Vous pouvez effectuer des modifications qui ne s'appliquent qu'à certains utilisateurs d'un périphérique client ou à tous les utilisateurs d'un périphérique client. Vous pouvez aussi configurer les paramètres pour plusieurs périphériques clients.

Cette section décrit l'utilisation la stratégie de groupe pour configurer les périphériques clients depuis le serveur, mais vous pouvez utiliser toute méthode permettant de mettre à jour les entrées adéquates du registre. Attention : une mauvaise utilisation de l'Éditeur du Registre peut entraîner de sérieux problèmes et nécessiter la réinstallation du système d'exploitation. Citrix ne peut garantir la possibilité de résoudre les problèmes provenant d'une mauvaise utilisation de l'Éditeur du Registre. Vous l'utilisez à vos risques et périls. Veillez à effectuer une copie de sauvegarde avant de modifier le Registre.

Pour configurer les paramètres de tous les utilisateurs d'un périphérique client 1. Identifiez le paramètre que vous souhaitez configurer. Tout paramètre provenant des fichiers clients .ini peut être configuré de cette manière. 2. Ajoutez ce paramètre comme clé et valeur de registre de chaîne :

42 Guide de l'administrateur des clients pour Windows HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Preferences Pour configurer les paramètres de l'utilisateur actuellement connecté à un périphérique client 1. Identifiez le paramètre que vous souhaitez configurer. Tout paramètre provenant des fichiers clients .ini peut être configuré de cette manière. 2. Ajoutez ce paramètre comme clé et valeur de registre de chaîne: HKEY_CURRENT_USER\SOFTWARE\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Preferences Remarque : pour plus d'informations sur la mise à jour du Registre pour les utilisateurs qui ne sont pas actuellement connectés au périphérique client, consultez la documentation Microsoft.

Pour configurer les paramètres sur plusieurs périphériques clients Remarque : Si vous avez déjà ajouté le modèle icaclient à l'éditeur de stratégies de groupe, vous pouvez ignorer les étapes 2 à 4. 1. Ouvrez l'éditeur de stratégies de groupes. 2. Cliquez avec le bouton droit de la souris sur le dossier Modèles d'administration et choisissez Ajout/Suppression de modèles. 3. Cliquez sur Ajouter et naviguez vers le modèle icaclient sur le CD-ROM Composants.

4. Cliquez sur Ouvrir pour ajouter le modèle, puis cliquez sur Fermer pour revenir à l'éditeur de stratégies de groupe. 5. Modifiez les paramètres adéquats sous le noeud Configuration utilisateur ou sous le noeud Configuration de l'ordinateur en fonction.

Remarque : vous pouvez étendre le modèle icaclient de manière à ce qu'il couvre tout paramètre client en modifiant le fichier icaclient.adm. Consultez la documentation Microsoft pour la stratégie de groupe pour obtenir davantage d'informations sur la modification des fichiers .adm, et pour obtenir des informations sur l'application de paramètres à des machines données.

CHAPITRE 4 Optimisation de l'environnement du client Les sections suivantes décrivent des méthodes d'optimisation de l'environnement des clients Citrix Presentation Server. L'optimisation peut être atteinte de plusieurs façons : • sécurisation des connexions clientes ; • amélioration des performances du client ; • connexion de plusieurs types de machines clientes aux ressources publiées ; • réduction des interruptions de connexion ; • connexion au serveur Citrix Presentation Server pour système d'exploitation UNIX ; • prise en charge des conventions d'appellation. Sécurisation des connexions clientes Pour maximiser la sécurité de votre environnement, les connexions entre les clients Citrix Presentation Server et les ressources publiées doivent être protégées.

Cette section explique comment configurer plusieurs types d'authentification pour votre logiciel client.

Prise en charge de la Stimulation/Réponse Windows NT (NTLM) La version 7.0 des clients a introduit la prise en charge des réseaux utilisant la Stimulation/Réponse Windows NT (NTLM) pour la sécurité et l'authentification. L'authentification NTLM est prise en charge par défaut sur les machines Windows NT, Windows 2000, Windows XP et Windows 2003.

44 Guide de l'administrateur des clients pour Windows Vérification des listes de révocation de certificats Lorsque la vérification des listes de révocation de certificats est activée, le client vérifie si le certificat du serveur a été révoqué.

Cette fonctionnalité améliore l'authentification cryptographique du serveur Presentation Server et la sécurité des connexions SSL/TLS entre un client et un serveur Presentation Server. Vous pouvez activer plusieurs niveaux de vérification des listes de révocation de certificats. Par exemple, vous pouvez configurer le client pour qu'il ne vérifie que sa liste de certificats locale ou pour qu'il vérifie les listes de certificats locale et réseau. De plus, vous pouvez configurer la vérification des certificats pour permettre aux utilisateurs de n'ouvrir leurs sessions que si toutes les listes de révocation de certificats ont été vérifiées.

Pour activer la vérification des listes de révocation de certificats 1. Sur une serveur exécutant l'Interface Web, ouvrez le fichier Default.ica. 2. Dans ce fichier, donnez l'une des valeurs suivantes au paramètre SSLCertificateRevocationCheckPolicy : • NoCheck.: aucune vérification de liste de révocation n'est effectuée. • CheckWithNoNetworkAccess. La liste locale est vérifiée. • FullAccessCheck. La liste locale est vérifiée ainsi que toute liste réseau.

• FullAccessCheckAndCRLRequired. La liste locale est vérifiée ainsi que toute liste réseau. Les utilisateurs peuvent ouvrir une session si toutes les listes ont été vérifiées. Si vous n'effectuez pas le réglage de SSLCertificationRevocationCheckPolicy, elle adopte la valeur par défaut NoCheck pour Windows NT 4.0. Dans Windows XP et Windows Server 2003, la valeur par défaut est CheckWithNoNetworkAccess. Prise en charge des cartes à puce La prise en charge des cartes à puce de Citrix Presentation Server repose sur les spécifications standard PC/SC (Personal Computer/Smart Card) de Microsoft.

Presentation Server ne prend en charge que les cartes à puce et les lecteurs de carte à puce qui sont pris en charge par le système d'exploitation Windows sous-jacent. Ce document ne traite pas des problèmes de sécurité relatifs à la conformité aux normes PC/SC.

Chapitre 4 Optimisation de l'environnement du client 45 La prise en charge des cartes à puce pour l'Agent Program Neighborhood est réalisée par le biais de l'Interface Web. Pour plus d'informations, veuillez consulter le Guide de l'administrateur de l'Interface Web Citrix. Cependant, l'ouverture de session par carte à puce pour Program Neighborhood est configurée localement sur la machine cliente. Remarque : Microsoft vous conseille vivement de n'utiliser que des lecteurs de carte à puce qui ont été testés et approuvés par le laboratoire Microsoft Windows Hardware Quality Lab (WHQL) sur des ordinateurs disposant de systèmes d'exploitation Windows.

Pour obtenir des informations supplémentaires sur la conformité matérielle PC/SC, visitez le site Web : http://www.microsoft.com/.

Citrix Presentation Server ne contrôle pas la gestion des numéros d'identification personnels des cartes à puce. Cette gestion est contrôlée par le fournisseur de services cryptographiques de vos cartes. Pour sélectionner le mode d'ouverture de session avec carte à puce (Program Neighborhood) 1. S'il s'agit d'une série d'applications, sélectionnez-la puis cliquez sur Propriétés dans la barre d'outils du client Program Neighborhood. S'il s'agit d'une connexion ICA personnalisée, sélectionnez-la puis cliquez sur Paramètres dans la barre d'outils du client Program Neighborhood. 2. Cliquez sur l'onglet Informations d'ouverture de session et sélectionnez Carte à puce.

3. Sélectionnez Authentification unique pour placer ensuite ce numéro en cache et le transmettre au serveur à chaque fois que l'utilisateur essaie d'accéder à une ressource publiée. SSPI/sécurité Kerberos pour l'authentification unique Au lieu d'envoyer les mots de passe sur le réseau, l'authentification unique Kerberos se sert de l'authentification Kerberos, combinée aux mécanismes d'échanges sécurisés SSPI (Security Support Provider Interface). Le protocole d'authentification Kerberos, un standard du secteur, est intégré au système d'exploitation Microsoft Windows.

46 Guide de l'administrateur des clients pour Windows La technologie d'identification Kerberos permet aux utilisateurs ou aux administrateurs soucieux de sécurité de disposer d'une authentification unique combinée à une cryptographie symétrique et à une intégrité des données offertes par des solutions de sécurité réseau qui constituent une référence du secteur.

Le client ne doit pas gérer le mot de passe, ce qui empêche les attaques de type cheval de Troie sur la machine cliente destinée à obtenir les mots de passe utilisateur.

Les utilisateurs peuvent ouvrir une session sur la machine cliente par le biais de n'importe quelle méthode d'authentification, notamment un identificateur biométrique (par exemple, un lecteur d'empreintes digitales), et accéder aux ressources publiées sans autre authentification. Configurations requises.L'ouverture de session Kerberos nécessite Citrix Presentation Server 3.0, 4.0 ou 4.5 et les clients Citrix Presentation Server pour Windows 8.x, 9.x ou 10.x. Kerberos ne fonctionne qu'entre clients et serveurs appartenant au même domaine, ou à des domaines de confiance Windows 2000 ou Windows 2003.

Les serveurs doivent également être approuvés en délégation. Cette option est configurée dans l'outil de gestion Utilisateurs et ordinateurs Active Directory.

L'ouverture de session Kerberos n'est pas disponible dans les situations suivantes. • Connexions pour lesquelles vous avez sélectionné l'une des options ci-dessous dans l'utilitaire de configuration des services Terminal Server : • Utiliser l'authentification Windows standard de l'onglet Général. • Toujours utiliser les informations d'ouverture de session suivantes ou Toujours demander un mot de passe de l'onglet Paramètres d'ouverture de session .

• Connexions transitant par Secure Gateway pour Citrix Presentation Server ; • Si le serveur Citrix Presentation Server nécessite une ouverture de session à l'aide d'une carte à puce.

• Si le compte utilisateur authentifié nécessite une carte à puce pour l'ouverture de session interactive. Important : SSPI nécessite l'activation de la résolution d'adresses DNS du Service XML Citrix pour la batterie de serveurs ou de la résolution indirecte DNS pour le domaine Active Directory. Pour plus d'informations, veuillez consulter le Guide de l'administrateur Citrix Presentation Server.

Chapitre 4 Optimisation de l'environnement du client 47 Configuration de l'authentification Kerberos Par défaut, le client, n'est pas configuré pour l'authentification Kerberos lors de l'ouverture de session sur le serveur. Vous pouvez configurer le client de façon à utiliser Kerberos avec ou sans l'authentification unique. L'utilisation de Kerberos sans authentification unique est plus sûre qu'avec l'authentification unique. La configuration choisie peut dépendre de votre déploiement, car Kerberos sans authentification unique n'est pris en charge uniquement que pour l'Interface Web et Program Neighborhood.

Pour l'Agent Program Neighborhood, l'utilisateur est invité à fournir ses informations d'identification. Configuration de Kerberos sans authentification unique Avec cette configuration, l'utilisateur ouvre une session uniquement par le biais d'une authentification Kerberos. Si l'ouverture de session Kerberos échoue pour quelque raison que ce soit, l'utilisateur doit à nouveau fournir ses informations d'identification. Cela peut être provoqué par une configuration système inadéquate, telle que l'utilisation d'un serveur non approuvé pour la délégation. Remarque : Cette configuration n'est prise en charge que pour l'Interface Web et Program Neighborhood.

Pour déployer Kerberos sans authentification unique, Citrix recommande de créer un pack de clients « Kerberos uniquement » à l'aide du Conditionneur de clients Citrix Presentation Server. Pour créer un pack de clients, vous pouvez exécuter Autorun.exe sur le CD-ROM Composants et sélectionner l'option de création d'un pack d'installation Windows personnalisé. Configurez les clients de sorte qu'ils utilisent le nom d'utilisateur et le mot de passe locaux pour l'ouverture de session et sélectionnez l'option N'utiliser que Kerberos. Remarque : Pendant l'installation de l'assistant du Conditionneur de clients, vous pouvez sélectionner les boîtes de dialogue qui s'afficheront pour les utilisateurs.

Acceptez la configuration par défaut avec laquelle la boîte de dialogue Authentification unique est masquée. Sans cela, les utilisateurs peuvent remplacer votre configuration et définir leur configuration client pour utiliser l'authentification unique.

Vous pouvez aussi configurer Kerberos sans authentification unique en modifiant les modifier les paramètres du fichier Wfclient.ini dans le répertoire Citrix\ICA Client sur une machine cliente. Pour cette méthode de configuration, vous devez modifier le fichier Wfclient.ini sur chaque machine cliente pour laquelle vous souhaitez utiliser Kerberos sans authentification unique.

48 Guide de l'administrateur des clients pour Windows Pour configurer le fichier Wfclient.ini sur la machine cliente pour l'ouverture de session Kerberos 1. Veillez à ce que le fichier Wfclient.ini ait ce paramètre : SSPIEnabled=off.

2. Dans Program Neighborhood, ouvrez Paramètres ICA à partir du menu Outils, désélectionnez l'option Authentification unique et cliquez sur OK. 3. Fermez la session de la machine cliente et rouvrez une session. 4. À l'aide d'un éditeur de texte, ouvrez le fichier Wfclient.ini dans le répertoire Citrix\ICA Client et modifiez les paramètres suivants comme ceci : SSPIEnabled=on UseSSPIOnly=on 5. Dans Program Neighborhood, ouvrez Paramètres ICA dans le menu Outils. L'option Authentification unique est maintenant sélectionnée. 6. Sélectionnez Utiliser les informations d'identification locales pour l'ouverture de session.

Configuration de Kerberos avec authentification unique Vous pouvez utiliser Kerberos avec authentification unique si vous souhaitez utiliser Kerberos avec l'Agent Program Neighborhood. Lorsque les configurations du client sont définies pour utiliser Kerberos sans authentification unique, le client tente d'utiliser l'authentification Kerberos et utilise l'authentification unique en cas d'échec de Kerberos. Attention : Cette configuration est une méthode moins sûre qu'utiliser Kerberos sans authentification unique. L'utilisateur ne peut pas désactiver cette configuration de client dans l'interface utilisateur.

Vous pouvez configurer une machine cliente pour utiliser Kerberos avec authentification unique en modifiant les paramètres du fichier Wfclient.ini dans les fichiers des programmes Citrix sur une machine cliente. Changez le paramètre SSPIEnabled=off à SSPIEnabled=on dans la section [WFClient] du fichier Wfclient.ini. Vous devez fermer puis redémarrer l'Agent Program Neighborhood sur la machine cliente pour que les paramètres puissent s'appliquer.

Chapitre 4 Optimisation de l'environnement du client 49 Amélioration des performances du client La section suivante traite de l'amélioration des performances de votre logiciel client par l'activation de l'accélération de navigation SpeedScreen, des reconnexions automatiques du client, de fiabilité des sessions et par l'utilisation de la barre Lancement rapide Program Neighborhood.

Augmentation de la vitesse de transfert des images Pour les utilisateurs exécutant Internet Explorer, versions 5.5 à 7.0, vous pouvez améliorer la vitesse de transfert et d'affichage des images en utilisant la fonction Accélération de navigation SpeedScreen. Pour activer l'Accélération de navigation SpeedScreen, donnez la valeur ON au paramètre SpeedScreenBA dans votre fichier ICA (ou OFF pour désactiver la fonction). Vous devez activer la fonction Accélération de navigation SpeedScreen sur le serveur pour rendre disponible au client. Si l'Accélération de navigation SpeedScreen est activée sur le client mais pas sur le serveur, la fonction est effectivement désactivée.

Reconnexion automatique des utilisateurs Les utilisateurs peuvent être déconnectés de leurs sessions ICA en raison d'un manque de fiabilité réseau, de temps d'attente réseau très variables ou de limites des terminaux sans fil. La fonction Reconnexion automatique des clients permet au client de détecter les déconnexions de session ICA involontaires et de reconnecter automatiquement les utilisateurs à leurs sessions. Lorsque cette fonctionnalité est activée sur un serveur Citrix Presentation Server, les utilisateurs n'ont pas besoin de se reconnecter manuellement pour continuer à travailler.

Le client essaie de reconnecter une session jusqu'à ce que la reconnexion réussisse ou que l'utilisateur annule la tentative de reconnexion. Si l'authentification unique est requise, une invite d'authentification s'affiche lors des reconnexions automatiques. Aucune reconnexion automatique n'a lieu lorsqu'un utilisateur quitte une application sans fermer la session. Les utilisateurs ne peuvent se reconnecter qu'à des sessions déconnectées. Remarque : Pour désactiver la reconnexion automatique d'un utilisateur, ajoutez la ligne suivante à la section [WFClient] du fichier appsrv.ini, qui se trouve dans le répertoire %User Profile%\Application Data\ICAClient de l'utilisateur.

TransportReconnectEnabled=Off

50 Guide de l'administrateur des clients pour Windows Mise à disposition de la fiabilité de session Grâce à la fonction de fiabilité de session, la fenêtre d'une application publiée est toujours affichée même si la connexion à l'application subit des interruptions. Par exemple, les utilisateurs dotés de connexions sans fil entrant dans un tunnel peuvent perdre leur connexion à l'entrée d'un tunnel, pour la reprendre à la sortie. Lors de telles interruptions, la fonction de fiabilité de session permet de conserver l'affichage de la fenêtre de session pendant que la restauration de la connexion est en cours.

Pour éviter l'activation des liens ou la saisie de texte pendant cette interruption, le pointeur de souris prend la forme d'un sablier et les applications sont figées. Remarque : Vous pouvez configurer votre système pour qu'il affiche une boîte de dialogue d'avertissement informant les utilisateurs lorsque la connexion n'est pas disponible. Pour obtenir plus d'informations sur cette fonctionnalité, veuillez consulter le Guide d'administration avancée Citrix Presentation Server. Les utilisateurs de Program Neighborhood peuvent contrôler la fiabilité de session dans leurs paramètres d'application ou de connexion.

L'activation ou la désactivation de l'option Activer la fiabilité de session sur le client remplace le paramétrage de la batterie. L'option de fiabilité de session est activée par défaut. Les utilisateurs de l'Agent Program Neighborhood et du client Web ne peuvent personnaliser ces réglages.

Pour activer la fiabilité de session dans Program Neighborhood, sélectionnez Activer la fiabilité de session dans l'onglet Options des paramètres de la série d'applications. Important : Si l'option de fiabilité de session est activée, le port utilisé par défaut pour la communication de session ICA passe de 1494 à 2598. Activation de la barre Lancement rapide Program Neighborhood La barre Lancement rapide Program Neighborhood peut être utilisée, par exemple, pour permettre aux administrateurs d'accéder rapidement aux bureaux du serveur à des fins administratives. Ce type d'accès peut être obtenu par l'assistant de la série d'applications ou en créant une nouvelle connexion ICA personnalisée, mais la barre Lancement rapide permet aux administrateurs d'établir une connexion avec un serveur, simplement en y entrant le nom ou l'adresse IP du serveur, puis en cliquant sur Aller.

Chapitre 4 Optimisation de l'environnement du client 51 Cette option est disponible en sélectionnant Activer la barre de lancement rapide sur l'écran Options de Program Neighborhood de l'assistant d'installation. Vous pouvez configurer la barre Lancement rapide est configuré sur le bouton Options qui s'affiche à côté de la barre d'adresse dans l'interface utilisateur de Program Neighborhood. Pour plus d'informations sur la configuration de cette fonction, veuillez consulter l'aide en ligne de Program Neighborhood. Connexion des machines clientes aux ressources publiées Les sections suivantes traitent de la manière dont vous pouvez faciliter les sessions ICA et optimiser la connexion de vos machines clientes aux ressources publiées sur la batterie de serveurs.

Pour cela, vous pouvez utiliser la fonction de contrôle de l'espace de travail, étudier le mappage de vos lecteurs et périphériques clients par Citrix Presentation Server et activer le passage de paramètres étendu. Votre client Citrix Presentation Server peut aussi se synchroniser aux ordinateurs de poche connectés et prendre en charge les périphériques TWAIN locaux pour qu'ils utilisent les applications publiées.

Mise à disposition de la continuité pour utilisateurs itinérants La fonction de contrôle de l'espace de travail permet aux utilisateurs de se déconnecter rapidement de toutes les applications en cours d'exécution, de se reconnecter aux applications ou de fermer la session de toutes les applications. Vous pouvez vous changer de machine cliente et accéder à toutes vos applications lors d'une nouvelle ouverture de session. Par exemple, les employés d'un hôpital doivent passer d'une station de travail à l'autre et accéder à la même série d'applications à chaque ouverture de session dans Citrix Presentation Server.

Ces utilisateurs peuvent se déconnecter de plusieurs applications sur une machine cliente et ouvrir tous ces applications lorsqu'ils se reconnectent sur une autre machine cliente.

Important : Le contrôle de l'espace de travail est disponible uniquement pour les utilisateurs se connectant à des ressources publiées via Program Neighborhood ou l'Interface Web.

52 Guide de l'administrateur des clients pour Windows Les stratégies et les mappages de lecteurs clients s'adaptent à la nouvelle machine cliente. Ils sont appliqués en fonction de la machine cliente sur laquelle la session est en cours. Par exemple, si un employé d'hôpital se déconnecte d'une machine cliente dans la salle des urgences et se reconnecte sur une machine dans le Service de radiologie, les stratégies, les mappages d'imprimantes et lecteurs clients correspondant à la session au Service de radiologie.

Important : La fonction Contrôle de l'espace de travail peut uniquement être utilisée avec la version 8.x et ultérieures du client et fonctionne seulement avec les sessions connectées à des ordinateurs exécutant Citrix Presentation Server Version 3.0, 4.0 ou 4.5.

Pour configurer les paramètres du contrôle de l'espace de travail Si les paramètres du contrôle de l'espace de travail de l'Interface Web sont définis de façon à permettre aux utilisateurs de personnaliser les paramètres du serveur, ceux-ci peuvent configurer le contrôle de l'espace de travail dans les options Paramètresde l'Interface Web ou dans l'onglet Options de reconnexion des propriétés de l'Agent Program Neighborhood.

Les options suivantes sont disponibles dans l'onglet Options de reconnexion des propriétés de l'Agent Program Neighborhood. • Activer la reconnexion automatique à l'ouverture de session : cette option permet la reconnexion à des applications déconnectées ou à des applications déconnectées et actives.

• Activer la reconnexion automatique à partir du menu Reconnecter : cette option permet la reconnexion à des applications déconnectées ou à des sessions déconnectées et actives.

Les utilisateurs démarrant leurs applications via l'InterfaceWeb disposent d'options similaires dans la boîte de dialogue Paramètres: • Activer la reconnexion automatique à l'ouverture de session : cette option permet la reconnexion à des applications déconnectées ou à des applications déconnectées et actives. • Activer la reconnexion automatique à partir du menu Reconnecter : cette option permet la reconnexion à des applications déconnectées ou à des sessions déconnectées et actives.

• Personnaliser le bouton Fermeture de session : cette option permet de définir si la commande de déconnexion inclut les applications en cours d'exécution dans la session.

Chapitre 4 Optimisation de l'environnement du client 53 Si les utilisateurs ouvrent une session en se servant d'une carte à puce, d'une carte à puce combinée à l'authentification unique ou de l'authentification unique, vous devez paramétrer une relation d'approbation entre le serveur de l'Interface Web et tout autre serveur de la batterie à laquelle accède l'Interface Web pour les applications publiées. Pour plus d'informations sur les configurations requises et la configuration du serveur pour le contrôle de l'espace de travail, veuillez consulter le Guide de l'administrateur Citrix Presentation Server ou le Guide de l'administrateur de l'Interface Web.

Synchronisation des ordinateurs de poche connectés via un port USB Citrix Presentation Server prend en charge la synchronisation d'un ordinateur de poche avec connexion USB à une machine cliente avec Presentation Server. Sont pris en charge les ordinateurs de poche utilisant une connexion USB et Microsoft Windows, et dont l'agent de synchronisation est ActiveSync. La prise en charge de cette fonction est contrôlée par la Console Presentation Server avec la stratégie Machine cliente > Ressources > Ordinateurs de poche > Activer le mappage automatique des ports COM virtuels, qui devrait être réglé sur Activée.

Les utilisateurs peuvent configurer d'autres réglages de cette fonction en cliquant sur Sécurité de l'ordinateur de poche dans le Centre de connexion Program Neighborhood.

Facilitation de la lecture transparente pour les utilisateurs Si vous activez la prise en charge de la redirection TWAIN, les utilisateurs peuvent contrôler les périphériques d'images TWAIN connectés au client à des applications résidant sur la batterie de serveurs. Pour utiliser cette fonction, un périphérique TWAIN doit être connecté à la machine cliente et le pilote TWAIN 32 bits associé doit également être installé sur la machine cliente. Les administrateurs peuvent activer ou désactiver cette fonction d'une règle de la machine cliente de la Console Presentation Server (Machine cliente > Ressources > Autre > Configurer la redirection TWAIN).

De plus, vous pouvez activer la compression avec perte (JPEG) dans cette stratégie, ainsi que choisir un niveau de compression élevée, moyenne ou faible, s'il est sélectionné. Une seconde règle facilitant l'administration de cette fonction est la suivante : Bande passante > Limites de session > Redirection TWAIN. Cette stratégie permet de spécifier la bande passante maximale (en kilobits par seconde) pouvant être utilisée pour la redirection TWAIN.

54 Guide de l'administrateur des clients pour Windows Mappage des périphériques clients Le client Citrix Presentation Server prend en charge le mappage des périphériques reliés aux machines clientes de sorte que les utilisateurs puissent accéder à ces périphériques à partir des sessions ICA. Les utilisateurs peuvent effectuer les opérations suivantes : • accéder de manière transparente aux lecteurs, aux imprimantes et aux ports COM locaux ; • couper et coller des données entre la session ICA et le Presse-papiers local de Windows ; • entendre des données audio (sons système et fichiers .wav) lues dans la session ICA.

Lors de l'ouverture de session, le client indique au serveur Citrix Presentation Server les lecteurs, ports COM et ports LPT clients disponibles. Par défaut, les lecteurs du client sont désignés par des lettres de lecteur du serveur et des files d'attente d'impression serveur sont créées pour les imprimantes clientes qui s'utilisent alors comme si elles étaient directement connectées au serveur Presentation Server. Ces mappages sont accessibles à l'utilisateur actuel et dans la session en cours uniquement. Ils sont supprimés à la fermeture de la session et créés de nouveau à l'ouverture de session suivante.

Les commandes net use et change client permettent de mapper les périphériques clients qui ne sont pas mappés automatiquement à l'ouverture de session. Désactivation du mappage des périphériques clients Vous pouvez configurer le mappage des périphériques clients, dont des options de lecteurs, d'imprimantes et de ports, à l'aide de l'utilitaire Configuration des services Terminal Server. Pour plus d'informations sur les options disponibles, consultez votre documentations Services Terminal Server.

Mappage des lecteurs clients Le mappage des lecteurs clients permet d'affecter des lettres de lecteur du serveur Citrix Presentation Server aux lecteurs existant sur la machine cliente. Par exemple, dans une session utilisateur Citrix, le lecteur H peut être mappé sur le lecteur C de la machine locale qui exécute le client. Le mappage des lecteurs du client fait partie intégrante des fonctions standard Citrix de redirection de périphérique. Pour le Gestionnaire de fichiers, l'Explorateur Windows et vos applications, ces mappages se présentent comme tout autre mappage réseau.

Chapitre 4 Optimisation de l'environnement du client 55 Important : Cette fonctionnalité n'est pas disponible pour les connexions aux serveurs MetaFrame Server 1.0 pour systèmes d'exploitation UNIX.

Le serveur Citrix Presentation Server peut être configuré au cours de son installation pour mapper automatiquement les lecteurs du client sur un groupe de lettres de lecteur défini. Par défaut, le mappage de l'installation consiste à affecter une lettre de lecteur à chaque lecteur de disque fixe et lecteur de CD-ROM, en commençant par la lettre V et en remontant l'alphabet. Les lecteurs de disquette sont affectés de leur lettre existante. Cette méthode produit les mappages suivants pour les lecteurs d'une session cliente.

Le serveur Presentation Server peut être configuré de façon à ce que les lettres de ses lecteurs n'entrent pas en conflit avec celles des lecteurs du client; dans ce cas, les lettres des lecteurs du serveur sont remplacées par des lettres plus proches de la fin de l'alphabet. Par exemple, en remplaçant respectivement les lettres C et D des lecteurs du serveur par les lettres M et N, les machines clientes peuvent accéder directement à leurs disques C et D. Cette méthode produit les mappages suivants pour les lecteurs d'une session cliente.

Lettre du lecteur client Accessible sur le serveur Presentation Server sous le nom A A B B C V D U Lettre du lecteur client Accessible sur le serveur Presentation Server sous le nom A A B B C C D D

56 Guide de l'administrateur des clients pour Windows La nouvelle lettre de lecteur affectée au lecteur C du serveur est définie au moment de l'installation. Les lettres de tous les autres lecteurs de disque fixe et de CD-ROM sont remplacées par les lettres suivantes dans l'ordre alphabétique (par exemple : C->M, D->N, E->O). Elles ne doivent pas entrer en conflit avec les lettres déjà utilisées pour les mappages de lecteur réseau (effectués avec la commande Connecter un lecteur réseau). Si un mappage de lecteur réseau utilise une lettre déjà utilisée par un lecteur du serveur, le mappage de ce lecteur réseau est invalide.

Lorsqu'une machine cliente se connecte à un serveur Presentation Server, les mappages de ses lecteurs sont rétablis, sauf si le mappage automatique des périphériques clients est désactivé. Vous pouvez utiliser l'utilitaire Configuration des services Terminal Server pour le mappage automatique des périphériques clients pour les connexions ICA et pour les utilisateurs. Vous pouvez aussi utiliser des règles vous permettant d'avoir un contrôle accru sur la manière dont le mappage des périphériques clients s'applique. Pour plus d'informations sur les règles, veuillez consulter le Guide de l'administrateur Citrix Presentation Server.

Mappage des imprimantes clientes Le client Citrix Presentation Server prend en charge les imprimantes créées automatiquement. Les utilisateurs disposent alors de leurs imprimantes locales mappées pour leur session et celles-ci sont utilisables dès la connexion. Les applications publiées et les connexions à un serveur ICA configurées pour exécuter un programme initial défini offrent un accès identique aux imprimantes locales. Lors d'une connexion à une application publiée, un utilisateur peut imprimer sur une imprimante locale comme il le ferait s'il utilisait une application locale.

Si un utilisateur modifie les paramètres d'une imprimante cliente depuis une session ICA, les informations sont enregistrées dans le registre de la machine cliente ou du serveur. La règle Rétention des propriétés d'imprimante permet aux administrateurs de spécifier si les informations sont enregistrées côté client ou côté serveur. Par défaut, les propriétés de l'imprimante sont toujours restaurées à partir de l'enregistrement des propriétés, si des données y sont stockées. Pour obtenir les propriétés de l'imprimante directement à partir de celle-ci, plutôt que de l'enregistrement des propriétés, utilisez la procédure suivante.

Cela signifie que si une modification est faite sur l'imprimante pendant la session, le client tente d'écrire les modifications sur l'imprimante de la machine cliente au moment de la déconnexion.

Pour obtenir les propriétés de l'imprimante directement à partir de celle-ci. 1. Ouvrez le fichier appsrv.ini du client, qui se trouve dans %UserProfile%\Application Data\ICAClient. 2. Ajoutez la ligne suivante à la section [WFClient] du fichier :

Chapitre 4 Optimisation de l'environnement du client 57 Win32FavorRetainedPrinterSettings=Off Si la case Connecter imprimantes du client à l'ouverture de session est cochée dans l'utilitaire Configuration des services Terminal Server ou dans le profil de l'utilisateur, les imprimantes clientes sont automatiquement connectées à l'ouverture de la session utilisateur et supprimées, à condition qu'elles n'aient pas de travail d'impression en cours, à la fermeture de celle-ci.

S'il existe des travaux d'impression, les imprimantes concernées et les travaux qui leur sont associés sont conservés.

Si votre profil d'utilisateur et vos paramètres Configuration des services Terminal Server ne précisent pas Connecter imprimantes du client à l'ouverture de session, utilisez l'assistant Ajout d'imprimante pour connecter une imprimante cliente. Ces imprimantes ne sont pas automatiquement supprimées à la fermeture de session. Important : Pour plus de détails sur la configuration de l'impression du client pour les connexions à un serveur Citrix Presentation Server pour systèmes d'exploitation UNIX, veuillez consulter le guide de l'administrateur de Citrix Presentation Server pour systèmes d'exploitation UNIX.

Pour afficher les imprimantes clients mappées Une fois connecté au serveur Citrix Presentation Server, choisissez Paramètres > Imprimantes dans le menu Démarrer. La fenêtre Imprimantes apparaît. La fenêtre Imprimantes affiche les imprimantes locales mappées de la session ICA. Pour se connecter à des serveurs Citrix Presentation Server 4.0 ou une version ultérieure, le nom de l'imprimante prend par défaut la forme suivante: NomImprimante (de NomClient) dans session x, par exemple, "imprimante01 (de machine01) dans session 7". NomImprimante correspond au nom de l'imprimante de la machine cliente, NomClient correspond au nom unique donné au périphérique client ou à l'interface Web, et x correspond à l'ID de session de l'utilisateur sur le serveur.

Pour se connecter à des serveurs Presentation Server 3.0 ou version antérieure, ou lorsque la règle des imprimantes clientes héritées est activée au niveau du serveur, une autre convention d'appellation est employée. Le nom de l'imprimante prend la forme suivante : Client/nomclient#/nomimprimante

58 Guide de l'administrateur des clients pour Windows où le paramètre nomclient est le nom unique donnée à la machine cliente donnée pendant son installation et le paramètre nomimprimante correspond au nom de l'imprimante Windows. Le nom d'imprimante Windows étant utilisé et non le nom de port (comme dans le cas d'une impression avec le client DOS), plusieurs imprimantes peuvent partager un même port sans qu'il y ait conflit.

Remarque : Pour plus d'informations sur l'impression et sur la gestion de l'impression à l'aide de stratégies, veuillez consulter le Guide de l'administrateur Citrix Presentation Server.

Mappage des ports COM clients Le mappage des ports COM clients permet d'utiliser, au cours d'une session ICA sur un serveur Citrix Presentation Server, les périphériques connectés aux ports COM de la machine cliente. Ces mappages peuvent être utilisés de la même façon que n'importe quel mappage réseau effectué au moyen de la commande Connecter un lecteur réseau. Remarque : Cette fonctionnalité n'est pas disponible pour les connexions aux serveurs MetaFrame Server 1.0 et 1.1 pour systèmes d'exploitation UNIX. Vous pouvez mapper les ports COM clients de la ligne de commande comme il est décrit ci-dessous.

Vous pouvez également contrôler le mappage de port COM client de l'utilitaire Configuration des services Terminal Server ou en utilisant des règles. Pour plus d'informations concernant les règles, veuillez consulter le Guide de l'administrateur Citrix Presentation Server.

Pour mapper un port COM client 1. Démarrez le client, puis ouvrez une session sur le serveur Citrix Presentation Server. 2. À l'invite de commandes, entrez la commande suivante : net use comx: \\client\comz: La valeur x correspondant au numéro de port COM sur le serveur (les ports 1 à 9 peuvent être mappés) et z au numéro du port COM client à mapper. 3. Pour confirmer l'opération, entrez la commande suivante : net use à l'invite de commande. La liste qui apparaît affiche les lecteurs, ports LPT et ports COM mappés.

Chapitre 4 Optimisation de l'environnement du client 59 Pour utiliser ce port COM lors d'une session sur le serveur Presentation Server, installez votre périphérique en utilisant le nom mappé.

Par exemple, si le port COM1 du client est mappé sur le port COM5 du serveur, installez votre périphérique série sur le port COM5 dans la session sur le serveur. Utilisez ce port COM comme vous utiliseriez n'importe quel autre port COM de la machine cliente.

Remarque : Le mappage des ports COM n'est pas compatible avec l'interface TAPI. Par conséquent, les périphériques TAPI connectés aux ports COM clients ne peuvent pas être mappés. Mappage audio du client Le mappage audio du client permet aux applications fonctionnant sur le serveur Citrix Presentation Server de restituer les sons sur un périphérique audio compatible Windows installé sur la machine cliente. Vous pouvez définir la qualité audio individuellement pour chaque connexion sur le serveur Presentation Server, mais les utilisateurs peuvent également la configurer sur leurs machines clientes.

Si les réglages de qualité audio du client et du serveur diffèrent, le réglage le plus faible est utilisé.

Le mappage audio du client peut entraîner une charge excessive sur les serveurs et sur le réseau. La bande passante nécessaire au transfert des données audio croît avec la qualité audio. Une qualité audio supérieure sollicite en outre davantage les ressources système du serveur. L'utilitaire Configuration des services Terminal Server permet de contrôler le volume de bande passante utilisé par le mappage audio du client. Vous pouvez aussi configurer le mappage audio du client à l'aide de règles. Pour plus d'informations concernant les règles, veuillez consulter le Guide de l'administrateur Citrix Presentation Server.

Remarque : Cette fonctionnalité n'est pas disponible pour les connexions aux serveurs Citrix Presentation Server pour systèmes d'exploitation UNIX. Association de types de fichier de client aux applications publiées Le passage de paramètres étendu vous permet d'associer un type de fichier sur une machine cliente à une application publiée sur un serveur. Lorsqu'un utilisateur clique deux fois sur un fichier enregistré localement, celui-ci est ouvert par l'application à laquelle il est associé sur le serveur Citrix Presentation Server.

60 Guide de l'administrateur des clients pour Windows Par exemple, si vous associez tous les fichiers de type texte de la machine cliente à l'application «Bloc-notes» publiée sur le serveur, l'ouverture d'un fichier texte enregistré localement sur la machine cliente provoque l'ouverture de l'application Bloc-notes sur le serveur.

Important : L'Agent Program Neighborhood prend en charge la Redirection de contenu, fonctionnalité introduite avec la Feature Release 2 de MetaFrame XP. Équivalente, dans ses effets, au passage de paramètres étendu, la Redirection de contenu vous permet de définir toutes les associations de type de fichier sur le serveur, ce qui évite de configurer le passage de paramètres étendu sur chaque machine cliente.

Si tous les utilisateurs recourent à l'Agent Program Neighborhood et si vous souhaitez bénéficier de la facilité de l'administration de la Redirection de contenu client vers serveur, veuillez consulter le Guide de l'administrateur Citrix Presentation Server afin d'obtenir des informations supplémentaires. L'activation du passage de paramètres étendu nécessite une configuration côté serveur mais aussi côté client. Sur le serveur, ajoutez les symboles %* (pourcentage et astérisque) aux lignes de commande des applications publiées. Ces symboles représentent les paramètres transmis par le client.

Pour plus d'informations sur le passage de paramètres aux applications publiées, veuillez consulter le Guide de l'administrateur Citrix Presentation Server. Du côté client, vous devez remplacer la commande open du type de fichier par une ligne de commande qui transmet le nom de fichier et le chemin d'accès au serveur MetaFrame. Vous devez activer le passage de paramètres étendu sur chaque machine cliente sur laquelle vous voulez utiliser cette fonctionnalité. Configuration du passage de paramètres étendu Les données d'association de type de fichier sont stockées dans le Registre Windows. Pour associer un type de fichier de la machine cliente à une application publiée, vous devez remplacer la commande open du type de fichier par une ligne de commande qui transmet le chemin d'accès et le nom de fichier à l'application publiée sur le serveur.

Important : Citrix Presentation Server prend en charge les codes de caractère ISO8859-1 pour les langues d'Europe de l'Ouest (entre autres pour le français) et ShiftJIS pour le japonais. Vous devez utiliser l'un de ces deux codes de caractère pour définir les associations de type de fichier. La ligne de commande que vous créez doit inclure les éléments suivants :

Chapitre 4 Optimisation de l'environnement du client 61 • nom de fichier de l'exécutable du client utilisé pour démarrer l'application publiée ; • nom de l'application publiée à lancer (avec la syntaxe correcte) ; • arguments de passage de paramètres.

La section suivante explique comment déterminer l'exécutable du client à inclure dans la ligne de commande. Sélection du fichier exécutable du client Les utilisateurs peuvent se connecter aux applications publiées de plusieurs façons : • en recherchant et en démarrant une application dans une série d'applications à l'aide de Program Neighborhood ; • en créant et en démarrant une connexion ICA personnalisée à l'aide du client Program Neighborhood ; • en lançant un fichier ICA (les fichiers ICA sont placés sur la machine cliente lorsque l'utilisateur se connecte à l'aide de l'Interface Web).

Chacune de ces méthodes démarre l'application publiée à l'aide d'un exécutable différent sur la machine cliente. Le tableau suivant désigne l'exécutable que vous devez inclure dans la ligne de commande de passage de paramètres en fonction de la méthode de connexion de l'utilisateur.

La section suivante détaille la syntaxe permettant de définir l'application publiée. Identification des applications publiées Chaque exécutable de client utilise une syntaxe de ligne de commande différente pour spécifier les données de configuration lors du lancement d'une application publiée. Lors de la création de votre ligne de commande, vous devez définir correctement l'application publiée en utilisant la syntaxe de la ligne de commande.

Méthode de connexion Fichier exécutable du client Connexions ICA personnalisées (à l'aide du client Program Neighborhood) Wfcrun32.exe Applications identifiées dans les fichiers ICA (y compris pour les connexions via l'Interface Web).

Wfica32.exe Applications dans des séries d'applications (à l'aide de Program Neighborhood) Pn.exe

62 Guide de l'administrateur des clients pour Windows Remarque : Pour afficher la syntaxe de la ligne de commande d'un exécutable, ouvrez une fenêtre d'invite de commandes, accédez au répertoire d'installation du client, puis tapez le nom de l'exécutable suivi de /? (barre oblique suivie du point d'interrogation). Pour utiliser wfcrun32.exe afin de démarrer une connexion ICA personnalisée : Pour utiliser wfcrun32.exe afin de démarrer une connexion ICA personnalisée, spécifiez : “”\wfcrun32.exe “” / app:“

Chapitre 4 Optimisation de l'environnement du client 63 “”\pn.exe /pn:“Batterie de production” / app:“Bloc-notes” /param:“%1” Ajout du passage de paramètres dans le Registre Windows La nouvelle ligne de commande contenant tous les éléments requis doit être ajoutée dans le Registre Windows.

Vous pouvez accéder à la commande open des types de fichiers à associer via la boîte de dialogue Options des dossiers du Panneau de configuration. Pour plus de détails sur l'édition de la commande open d'un type de fichier, veuillez consulter l'aide en ligne du système d'exploitation Windows de la machine cliente.

Les exemples de ligne de commande suivants regroupent tous les éléments nécessaires à une ligne de commande de client. Pour associer les fichiers texte à une application publiée personnalisée appelée « Blocnotes » et démarrée à l'aide de pn.exe, spécifiez : “”\pn.exe /app:“Bloc-notes” /param:“%1” Pour associer les fichiers texte à une application appelée « Bloc-notes » et publiée dans une série d'applications appelée « Batterie de production », spécifiez les éléments suivants : “”\pn.exe /pn:“Batterie de production” / app:“Bloc-notes” /param:“%1” Pour associer les fichiers texte à une application publiée personnalisée appelée « Bloc-notes » et démarrée à l'aide de Wfcrun32.exe, spécifiez : “”\wfcrun32.exe “Bloc-notes” /param:“%1” Pour utiliser wfica32.exe afin d'associer les fichiers texte à une application identifiée dans un fichier ICA appelé Notepad.ica, spécifiez : “”\wfica32.exe Notepad.ica /param:“%1” Important : Les exemples ci-dessus supposent que les machines clientes se connectent à des serveurs dont les lecteurs ont été remappés.

Si les lecteurs de vos serveurs ne sont pas remappés, vous devez ajouter le texte suivant à l'argument : \\client\. Par exemple : /param:“\\client\%1”.

64 Guide de l'administrateur des clients pour Windows Amélioration de l'utilisation Les sections suivantes traitent des différents moyens d'améliorer l'utilisation, notamment prise en charge améliorée des entrées micros côté client, plusieurs écrans, performances de l'impression, combinaisons de touches Windows et icônes de couleurs 32 bits. Prise en charge de la dictée vocale numérique Citrix Presentation Server prend désormais en charge les entrées microphone. Vous pouvez ainsi publier des logiciels de dictée destinés aux sessions utilisateur. Les utilisateurs peuvent se servir de microphones locaux, notamment certains systèmes de traitement de la parole Philips SpeechMike, pour dicter des notes à l'aide d'applications exécutées sur le serveur.

Par exemple, un utilisateur en déplacement peut établir une session client pour enregistrer des notes sur son ordinateur portable. Il peut ensuite les récupérer pour révision ou transcription plus tard dans la journée lorsqu'il est de nouveau face à son ordinateur de bureau.

La fonction Prise en charge de l'enregistrement audio est disponible avec Presentation Server. Pour plus d'informations sur la configuration de cette fonctionnalité, veuillez consulter le Guide de l'administrateur Citrix Presentation Server. Les utilisateurs de Program Neighborhood et l'Agent Program Neighborhood peuvent désactiver leurs microphones en sélectionnant Non dans la boîte de dialogue Sécurité audio du client disponible à partir du Centre de connexion Program Neighborhood ou du menu système du client (pour les connexions non transparentes). Les utilisateurs du client Web voit s'afficher la même boîte de dialogue automatiquement au début de leur session.

Sur le client, les utilisateurs gèrent les entrées et sorties audio simplement en sélectionnant le niveau de qualité sonore dans la boîte de dialogue Paramètres (pour Program Neighborhood) ou Propriétés (pour l'Agent Program Neighborhood). Important : Vous pouvez utiliser Winscribe avec une pédale Philips, sans qu'une configuration supplémentaire soit nécessaire. Configurations multi-écran Les configurations multi-écrans sont entièrement prises en charge lorsque le client est configuré pour se connecter à des applications transparentes. Pour activer la prise en charge multi-écran, veillez à ce que les conditions suivantes soient réunies :

Chapitre 4 Optimisation de l'environnement du client 65 • La machine cliente doit être équipée de plusieurs cartes vidéo compatibles avec le client sur la plate-forme Windows appropriée, ou d'une seule carte vidéo capable de prendre en charge des connexions avec plusieurs écrans. • Le système d'exploitation du client doit être en mesure de détecter chaque écran. Pour vérifier que cette détection a lieu, ouvrez la boîte de dialogue Propriétés d'affichage et consultez l'onglet Paramètres pour confirmer que chaque écran y figure séparément.

• Après détection des moniteurs, cliquez avec le bouton droit de la souris sur la batterie de serveurs de la console Access Management Console puis ouvrez la boîte de dialogue Propriétés > Valeur défaut du serveur > Affichage > ICA et affectez une taille suffisante au paramètre Mémoire maximale à utiliser pour les graphiques de chaque session (en kilo-octets) pour incorporer la totalité du bureau virtuel client.

Si ce réglage est insuffisant, l'application transparente se réduit au sous-ensemble d'écrans correspondant à la taille spécifiée. Amélioration des performances de l'impression Les clients Citrix Presentation Server fournissent des performances d'impression améliorées. Les sections suivantes traitent de la manière dont cela s'effectue avec un pilote d'imprimante universel avancé et par des améliorations d'imprimante et de moniteur de port.

Pilote d'imprimante universel avancé Le pilote universel d'imprimante avancé qui prend en charge les performances d'imprimante du client Citrix Presentation Server utilise la technologie de format Enhanced Metafile (EMF) de Windows. EMF est un format indépendant destiné à l'enregistrement des éléments graphiques imprimés sur chaque page d'un travail d'impression. Un visualiseur côté client utilise le format EMF et permet une réduction substantielle de la durée de traitement des tâches d'impression du pilote d'imprimante universel sur le client.

Les utilisateurs ont le choix de voir un aperçu de la tâche d'impression dans l'utilitaire Aperçu d'impression avant de l'envoyer à l'imprimante cliente.

Cette application produit une représentation graphique des pages à imprimer. Améliorations d'imprimante et de moniteur de port Vous pouvez accéder aux paramètres des stratégies et des propriétés d'administration de l'appellation des imprimantes clientes créées automatiquement et des ports auxquels elles sont rattachées dans la Console Presentation Server, sous le nœud Impression.

66 Guide de l'administrateur des clients pour Windows Remarque : Pour plus d'informations sur l'impression, veuillez consulter le Guide de l'administrateur Citrix Presentation Server. Prise en charge par les sessions clientes des combinaisons de touches Windows. Program Neighborhood et l'Agent Program Neighborhood permettent de transmettre les raccourcis clavier Windows dans une session cliente distante. Les utilisateurs doivent sélectionner la cible pour laquelle les combinaisons de touches s'appliquent. Dans la boîte de dialogue Paramètres ICA, vous pouvez sélectionner les options suivantes pour activer la fonction Appliquer les combinaisons de touches Windows : • Sur les bureaux plein écran uniquement.

Les combinaisons de touches ne s'appliquent à la session que lorsqu'elle est en mode plein écran. • Sur le bureau distant.Les combinaisons de touches s'appliquent à la session lorsque son écran dispose du focus clavier.

• Sur le bureau local. Les combinaisons de touches s'appliquent toujours au bureau local. Prise en charge des icônes couleur 32 bits Les clients Windows prennent désormais en charge les icônes couleur (32 x 32 bits) et sélectionnent automatiquement le nombre de couleurs pour les applications visibles dans la boîte de dialogue du Centre de connexion de Program Neighborhood et de la barre d'état système et de la barre des tâches Windows pour fournir des applications transparentes.

Pour définir un nombre de couleurs, vous pouvez une clé de registre de chaîne intitulée TWIDesiredIconColor dans HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Preferences et la régler à la valeur souhaitée.

Le nombre de couleurs possible pour les icônes est de 4, 8, 16, 24 ou 32 bits par pixel. L'utilisateur peut sélectionner un nombre moindre de couleurs pour les icônes si le débit de la connexion réseau est faible.

Chapitre 4 Optimisation de l'environnement du client 67 Prise en charge des utilisateurs NDS Au lancement du client, les utilisateurs peuvent ouvrir une session et être authentifiés à l'aide de leurs informations d'identification NDS (aussi appelées références NDS). Les informations d'identification NDS prises en charge sont le nom d'utilisateur (ou nom distinctif), le mot de passe, l'arborescence et le contexte. Les composants suivants intègrent une prise en charge de NDS. • Agent Program Neighborhood et client Program Neighborhood.Lorsque la prise en charge de NDS est activée dans la batterie de serveurs, les utilisateurs NDS peuvent entrer leurs informations d'identification dans un onglet NDS de l'écran d'ouverture de session du client.

Les utilisateurs ayant installé le client Novell (version 4.8) peuvent parcourir l'arborescence NDS et choisir leur contexte.

• Authentification unique Les informations d'identification des utilisateurs ayant installé le client Novell (version 4.8) peuvent être communiquées au serveur Citrix Presentation Server, éliminant ainsi le besoin pour ces utilisateurs de se faire authentifier plusieurs fois pour accéder à différents systèmes ou différentes applications. Pour activer l'authentification simplifiée, configurez les options de règle suivantes dans l'ensemble Utilisateur de ZENworks for Desktops. A. Activez la règle Utilisateur local dynamique. B. Définissez la valeur Use NetWare Credentials sur Activée. • Connexions ICA personnalisées.

Lorsque les utilisateurs exécutent l'assistant Ajouter une nouvelle connexion ICA, ils doivent entrer un nom distinctif dans le champ du nom d'utilisateur et un mot de passe dans le champ du mot de passe. Le champ du domaine doit rester vide. • Interface Web Citrix. Les utilisateurs NDS entrent leurs informations d'identification dans un écran d'ouverture de session NDS de l'Interface Web. Consultez le Guide de l'administrateur de l'Interface Web Citrix pour obtenir davantage d'informations sur la configuration NDS d'un serveur.

Remarque : Pour utiliser les informations d'identification NDS avec des versions antérieures de clients, entrez le nom de l'arborescence NDS dans le champ Domaine et un nom distinctif dans le champ Utilisateur de l'écran d'ouverture de session du client.

68 Guide de l'administrateur des clients pour Windows Définition d'un contexte par défaut pour NDS Vous pouvez définir un contexte NDS par défaut pour le client Program Neighborhood et pour l'Agent Program Neighborhood. Pour définir un contexte NDS par défaut, vous devez configurer le fichier d'installation que vous utiliserez pour déployer les clients.

Utilisation des informations d'identification Windows NT avec le client Novell et l'authentification simplifiée S'il est configuré pour utiliser l'authentification unique sur une machine cliente disposant du client Novell, Program Neighborhood utilise, par défaut, les informations d'identification NDS pour authentifier l'utilisateur auprès du serveur. Si vous souhaitez que le client utilise les informations d'identification Windows NT de l'utilisateur avec l'authentification unique, vous devez ajouter un paramètre au fichier appsrv.ini du client. Vous pouvez ajouter ce paramètre au pack Windows Installer avant de le distribuer ou vous pouvez configurer les clients sur les machines clientes si l'installation a déjà été effectuée.

Pour configurer des clients individuels après installation 1. Ouvrez le fichier appsrv.ini de l'utilisateur concerné dans un éditeur de texte. Par défaut, ce fichier se trouve dans le répertoire %User Profile%\Application Data\ICA Client.

2. Ajoutez le paramètre suivant dans la section [WFClient]. SSOnCredentialType=NT 3. Enregistrez et fermez le fichier Appsrv.ini. Connexion au serveur Citrix Presentation Server pour système d'exploitation UNIX Cette section décrit comment utiliser le gestionnaire de fenêtres afin de modifier le mode d'affichage des sessions ICA lors des connexions à des ressources publiées sur des serveurs Citrix Presentation Server pour UNIX. Elle décrit aussi les utilitaires que vous pouvez utiliser pour copier et coller les graphiques entre applications locales et distantes en vous connectant à ces serveurs.

Chapitre 4 Optimisation de l'environnement du client 69 Utilisation de Window Manager (gestionnaire de fenêtres) Le gestionnaire de fenêtres permet d'ajuster l'affichage de la session ICA pour les ressources publiées sur des serveurs Citrix Presentation Server pour système d'exploitation UNIX. Les utilisateurs peuvent alors réduire, redimensionner, déplacer et fermer leurs fenêtres ou passer en mode Plein écran. À propos des fenêtres transparentes En mode transparent, les applications et les bureaux publiés ne sont pas intégrés dans la fenêtre de session ICA. Chaque application ou bureau publié apparaît dans une fenêtre distincte, pouvant être redimensionnée, comme s'il ou elle se trouvait sur la machine cliente.

Les utilisateurs peuvent basculer entre les applications et le bureau local.

Vous pouvez également afficher des fenêtres transparentes en mode Plein écran, ce qui place l'application publiée dans un bureau occupant tout l'écran. Ce mode permet d'accéder au système de menus ctxwm. Basculement entre les modes transparent et Plein écran Appuyer sur MAJ et F2 pour basculer entre ces deux modes. Réduction, redimensionnement, déplacement et fermeture de fenêtre Lorsque les utilisateurs se connectent à des ressources publiées, le gestionnaire de fenêtres contient des boutons permettant de réduire, redimensionner, déplacer et fermer une fenêtre. Les fenêtres sont réduites sous forme de boutons dans la barre de tâches.

Lorsqu'un utilisateur ferme la dernière application d'une session, celle-ci est déconnectée automatiquement après 20 secondes. Utilisation des menus du gestionnaire de fenêtres Citrix Sur les bureaux distants et dans les fenêtres transparentes en mode Plein écran, vous pouvez utiliser le système de menus ctxwm pour fermer une session, vous déconnecter et quittez les sessions de vos applications publiées et connexions. Pour accéder au système de menus ctxwm 1. Dans une zone vide de la fenêtre du bureau distant, cliquez avec le bouton gauche de la souris et maintenez-le enfoncé. Le menu ctxwm apparaît.

2. Faites glisser le pointeur vers Fermeture pour afficher les options correspondantes.

70 Guide de l'administrateur des clients pour Windows Pour sélectionner une option dans le menu ctxwm Faites glisser le pointeur vers l'option désirée. Relâchez le bouton de souris pour sélectionner. Remarque : Le serveur peut être configuré pour terminer toute application exécutée en cas de fermeture d'une session. Couper/coller de graphiques à l'aide de ctxgrab et ctxcapture Si vous êtes connecté à une application publiée sur un serveur Citrix Presentation Server pour système d'exploitation UNIX, utilisez ctxgrab ou ctxcapture pour couper et coller des graphiques entre la session ICA et le bureau local.

Ces utilitaires sont configurés et déployés du serveur. Utilisation de ctxgrab L'utilitaire ctxgrab est un outil simple permettant de copier et coller des graphiques des aplpications publiées vers les applications exécutées sur la machine cliente. Vous pouvez le lancer dans l'invite de commandes ou, si vous utilisez une application publiée, dans le gestionnaire de fenêtres ctxwm. Pour accéder à l'utilitaire ctxgrab à partir du gestionnaire de fenêtres • En mode transparent, cliquez avec le bouton droit de la souris sur le bouton ctxgrab dans le coin supérieur gauche de l'écran pour afficher un menu et sélectionner l'option Capture.

• En mode plein écran, cliquez avec le bouton gauche de la souris pour afficher le menu ctxwm et choisissez l'option Capture d'écran. Pour copier depuis une application située dans une fenêtre du client vers une application locale 1. Dans la boîte de dialogue ctxgrab, cliquez sur Depuis l'écran. Pour Sélectionnez Mettre fin à une connexion et à toutes les applications en cours d'exécution Fermer une session Se déconnecter d'une session tout en laissant s'exécuter l'application Se déconnecter Se déconnecter d'une session et fermer l'application Sortir

Chapitre 4 Optimisation de l'environnement du client 71 2.

Pour sélectionner la fenêtre, placez le curseur sur la fenêtre à copier, puis cliquez sur le bouton central de la souris. Pour sélectionner une région, maintenez le bouton gauche de la souris enfoncé et faites glisser le curseur pour sélectionner la zone à copier. Remarque : pour annuler la sélection, cliquez sur le bouton droit de la souris. Tout en faisant glisser le curseur, cliquez sur le bouton droit de la souris avant de relâcher le bouton gauche.

3. Utilisez la commande appropriée de l'application locale pour coller l'objet. Utilisation de ctxcapture L'utilitaire ctxcapture offre des fonctionnalités plus complètes pour couper et coller des graphiques entre des applications publiées et des applications exécutées sur la machine cliente. L'utilitaire ctxcapture permet de : • saisir des boîtes de dialogue ou des zones d'écran et de les copier entre une application exécutée dans une fenêtre du client et une application exécutée sur l'ordinateur client local, que ces applications soient conformes au manuel ICCCM ou non ; • copier des graphiques entre le client et l'utilitaire xvf de manipulation de graphiques X.

Si vous êtes connecté à un bureau publié, ctxcapture est disponible à l'invite de commandes. Si vous êtes connecté à une application publiée et si l'administrateur a configuré le serveur pour vous permettre d'accéder à l'utilitaire ctxcapture, vous pouvez le faire à l'aide du gestionnaire de fenêtres ctxwm. Pour accéder à l'utilitaire ctxcapture à partir du gestionnaire de fenêtres Cliquez avec le bouton gauche de la souris sur le menu ctxwm, puis choisissez l'option Capture d'écran.

Pour copier depuis une application locale vers une application située dans une fenêtre du client 1. Dans la boîte de dialogue ctxcapture, cliquez sur Depuis l'écran.

2. Pour sélectionner la fenêtre, placez le curseur sur la fenêtre à copier, puis cliquez sur le bouton central de la souris. Pour sélectionner une région, maintenez le bouton gauche de la souris enfoncé et faites glisser le curseur pour sélectionner la zone à copier.

72 Guide de l'administrateur des clients pour Windows Remarque : Pour annuler la sélection : cliquez sur le bouton droit de la souris. Tout en faisant glisser le curseur, cliquez sur le bouton droit de la souris avant de relâcher le bouton gauche. 3. Dans la boîte de dialogue ctxcapture, cliquez sur To ICA. Le bouton xcapture change de couleur pour indiquer que l'information est en cours de traitement. 4. Une fois le transfert terminé, utilisez la commande appropriée de l'application locale pour coller l'information.

Pour copier depuis une application située dans une fenêtre du client vers une application locale 1.

Copiez le graphique à partir de l'application située dans la fenêtre du client. 2. Dans la boîte de dialogue ctxcapture, cliquez sur From ICA. 3. Une fois le transfert terminé, utilisez la commande appropriée de l'application locale pour coller l'information. Pour copier à partir de xv vers une application située dans une fenêtre du client ou vers une application locale 1. Copiez le graphique à partir de xv. 2. Dans la boîte de dialogue ctxcapture, cliquez sur Depuis xv et sur To ICA.

3. Une fois le transfert terminé, utilisez la commande appropriée de la fenêtre du client pour coller l'information. Pour copier depuis une application située dans une fenêtre du client vers xv 1. Copiez le graphique à partir de l'application située dans la fenêtre du client. 2. Dans la boîte de dialogue ctxcapture, cliquez sur From ICA et sur Vers xv. 3. Une fois le transfert terminé, utilisez la commande de collage de xv. Prise en charge des conventions d'appellation pour votre réseau Les clients Citrix Presentation Server prennent en charge les conventions d'appellation de réseau suivantes : prise en charge du nom de client dynamique et résolution de nom DNS.

Chapitre 4 Optimisation de l'environnement du client 73 Noms de clients et de machines identiques La fonction de nom de client dynamique permet de garder un nom de client identique au nom de machine. Lorsqu'un utilisateur change le nom de sa machine, le nom de client change en conséquence. Cela vous permet de nommer vos machines en suivant un principe de dénomination et d'identifier les connexions plus facilement lors de la gestion de votre batterie de serveurs. Si le nom de client n'est pas associé au nom de la machine durant l'installation, le nom de client ne sera pas modifié lors d'un changement de nom de la machine.

Pour activer la prise en charge du nom de client dynamique, sélectionnez la case Activer le nom de client dynamique lors de l'installation du client. Pour que la prise en charge du nom de client dynamique soit activée lors d'une installation sans assistance, il est nécessaire que la propriété ENABLE_DYNAMIC_CLIENT_NAME ait la valeur Yes dans votre fichier d'installation. Pour désactiver la prise en charge du nom de client dynamique, donnezlui la valeur No.

Résolution de nom DNS Vous pouvez configurer les clients qui se connectent à la batterie de serveurs en utilisant le Service XML Citrix de sorte qu'ils effectuent des requêtes de nom DNS (Domain Name System) au lieu de requêtes d'adresse IP. Important : À moins que votre environnement DNS ne soit configuré spécialement pour l'utilisation de cette fonctionnalité, Citrix recommande de ne pas activer la résolution de nom DNS dans la batterie de serveurs. Par défaut, Program Neighborhood est configuré pour utiliser le protocole TCP/ IP+HTTP (Service XML Citrix). Les clients qui se connectent aux applications publiées via l'Interface Web utilisent également le Service XML Citrix.

Le serveur Web résout alors le nom DNS pour le client.

La résolution de nom DNS est désactivée par défaut dans la batterie et activée par défaut sur les clients. Lorsque la résolution de nom DNS est désactivée dans la batterie, tout client faisant la requête d'un nom DNS reçoit une adresse IP en réponse. Il n'est pas nécessaire de désactiver la résolution de nom DNS sur le client. Désactivation de la résolution de nom DNS Si vous utilisez la résolution de nom DNS dans la batterie et rencontrez des problèmes sur certains postes clients, vous pouvez désactiver la résolution de nom DNS sur ces postes à l'aide de la procédure suivante.

74 Guide de l'administrateur des clients pour Windows Pour désactiver la résolution de nom DNS sur les clients pour Windows 1.

Ouvrez le fichier appsrv.ini de l'utilisateur concerné. Par défaut, ce fichier se trouve dans le répertoire %User Profile%\Application Data\ICA Client. 2. Remplacez la ligne xmlAddressResolutionType=DNS-Port par xmlAddressResolutionType=IPv4-Port. 3. Enregistrez et fermez le fichier Appsrv.ini. 4. Répétez les étapes 1 à 3 pour chaque utilisateur du poste client.

CHAPITRE 5 Sécurisation des communications du client Ce chapitre traite des mesures que vous pouvez prendre pour sécuriser les communications entre votre batterie de serveurs et les clients. Vous pouvez intégrer vos connexions clientes à la batterie de serveurs par une gamme de technologies de sécurité, dont : • un serveur proxy SOCKS ou serveur proxy sécurisé (également appelé serveur proxy, serveur proxy HTTPS ou serveur proxy de tunnellisation SSL) ; • Secure Gateway pour Citrix Presentation Server ou Relais SSL avec protocoles SSL (Secure Sockets Layer) et TLS (Transport Layer Security) ; • un pare-feu ; • une configuration de serveur de confiance.

Connexion via un serveur proxy Les serveurs proxy permettent de limiter l'accès à l'intérieur et à l'extérieur de votre réseau, et de gérer les connexions entre les clients et les serveurs Citrix Presentation Server. Les clients prennent en charge les protocoles de proxy SOCKS et de proxy sécurisé.

Agent Program Neighborhood et client Web Lorsqu'ils communiquent avec la batterie de serveurs, l'Agent Program Neighborhood et le client Web utilisent les réglages de serveur proxy configurés sur le serveur exécutant l'Interface Web. Veuillez consulter le Guide de l'administrateur de l'Interface Web pour obtenir davantage d'informations sur la configuration des paramètres d'un serveur proxy pour ces clients.

76 Guide de l'administrateur des clients pour Windows Lorsqu'ils communiquent avec le serveur Web, l'Agent Program Neighborhood et le client Web utilisent les réglages de serveur proxy définis avec les options Internet du navigateur Web par défaut de la machine cliente.

Vous devez configurer les options Internet du navigateur Web de la machine cliente en conséquence. Program Neighborhood Program Neighborhood utilise les réglages de serveur proxy configurés localement à partir de la barre d'outils du client. Les paramètres de serveur proxy peuvent être configurés de deux manières : • en activant la détection automatique du proxy pour le client ; • en activant la détection automatique du proxy ; • en indiquant manuellement les informations relatives à votre serveur proxy. Activation de la détection automatique du proxy pour le client Si vous déployez le client dans une organisation disposant de plusieurs serveurs proxy, vous pouvez utiliser la détection automatique du serveur proxy pour le client.

Cette détection repose sur le navigateur Web local pour l'obtention des informations concernant le serveur proxy. Elle s'avère utile si vous ne pouvez pas déterminer le serveur proxy qui sera utilisé, lorsque vous configurez le client. La détection automatique du proxy pout le client requiert Internet Explorer, versions comprises entre 5.0 et 7.0 ; Netscape pour Windows version 4.78, ainsi que les versions comprises entre 6.2 et 7.1 ou Mozilla Firefox, versions comprises entre 1.0 et 1.5.

Pour activer la détection automatique du serveur proxy pour le client 1. Démarrez Program Neighborhood. • Dans le cas de la configuration d'une série d'applications : Cliquez avec le bouton droit de la souris sur la série d'applications que vous voulez configurer, puis sélectionnez Paramètres de la série d'applications. Une boîte de dialogue Paramètres pour la série d'applications apparaît. • Dans le cas de la configuration d'une connexion ICA personnalisée existante : Cliquez avec le bouton droit de la souris sur la connexion ICA personnalisée que vous voulez configurer, puis sélectionnez

Chapitre 5 Sécurisation des communications du client 77 Propriétés.

La boîte de dialogue Propriétés de la connexion ICA personnalisée apparaît. • Dans le cas de la configuration de toutes les futures connexions ICA personnalisées : Cliquez avec le bouton droit de la souris sur une partie vierge de la fenêtre Connexions ICA personnalisées, puis sélectionnez Paramètres des connexions personnalisées. La boîte de dialogue Connexions ICA personnalisées apparaît.

2. Dans l'onglet Connexion, cliquez sur Pare-feu. 3. Sélectionnez Utiliser les réglages proxy du navigateur Web. 4. Cliquez sur OK à deux reprises. Activation de la détection automatique du proxy Ce réglage permet de détecter automatiquement un serveur proxy afin d'éviter aux utilisateurs de le configurer manuellement. Dans les environnements de grande taille, cette fonction signifie aussi que les administrateurs n'ont pas besoin de consacrer leur temps à la prise en charge de configurations incorrectes ou dynamiques.

Remarque : vous devez configurer DNS ou DHCP (Dynamic Host Configuration Protocol) pour prendre en charge la détection automatique du proxy.

Pour activer les paramètres automatiques du proxy 1. Démarrez Program Neighborhood. • Dans le cas de la configuration d'une série d'applications : cliquez avec le bouton droit de la souris sur la série d'applications que vous voulez configurer, puis sélectionnez Paramètres de la série d'applications. Une boîte de dialogue Paramètres pour la série d'applications apparaît.

• Dans le cas de la configuration d'une nouvelle connexion ICA personnalisée : Cliquez sur Exploration serveurs en suivant les étapes de l'assistant d'ajout de connexion ICA. La boîte de dialogue Rechercher le

78 Guide de l'administrateur des clients pour Windows serveur ou l'application publiée de la connexion personnalisée apparaît. Désélectionnez la case Utiliser la valeur par défaut. • Dans le cas de la configuration d'une connexion ICA personnalisée existante : Cliquez avec le bouton droit de la souris sur la connexion ICA personnalisée que vous voulez configurer, puis sélectionnez Propriétés.

La boîte de dialogue Propriétés de la connexion ICA personnalisée apparaît. Veillez à ce que la case Utiliser la valeur par défaut soit désélectionnée.

• Dans le cas de la configuration de toutes les futures connexions ICA personnalisées : Cliquez avec le bouton droit de la souris sur une partie vierge de la fenêtre Connexions ICA personnalisées, puis sélectionnez Paramètres des connexions personnalisées. La boîte de dialogue Connexions ICA personnalisées apparaît. 2. Cliquez sur Pare-feu. 3. Sélectionnez l'option Détecter automatiquement le proxy. 4. Cliquez sur OK à deux reprises.

Spécification manuelle des informations relatives au serveur proxy Program Neighborhood permet aux utilisateurs de configurer manuellement leurs paramètres de proxy, à la fois les séries d'applications et pour les connexions ICA personnalisées.

Remarque : si vous configurez manuellement les paramètres se rapportant au serveur proxy, vérifiez les informations nécessaires auprès de l'administrateur chargé de la sécurité. Il vous sera impossible d'établir des connexions ICA si ces informations sont incorrectes.

Pour spécifier manuellement les informations relatives à votre serveur proxy 1. Démarrez Program Neighborhood. • Dans le cas de la configuration d'une série d'applications : Cliquez avec le bouton droit de la souris sur la série d'applications que vous voulez configurer, puis sélectionnez Paramètres de la série

Chapitre 5 Sécurisation des communications du client 79 d'applications. Une boîte de dialogue Paramètres pour la série d'applications apparaît. • Dans le cas de la configuration d'une connexion ICA personnalisée existante : Cliquez avec le bouton droit de la souris sur la connexion ICA personnalisée que vous voulez configurer, puis sélectionnez Propriétés.

La boîte de dialogue Propriétés de la connexion ICA personnalisée apparaît.

• Dans le cas de la configuration de toutes les futures connexions ICA personnalisées : Cliquez avec le bouton droit de la souris sur une partie vierge de la fenêtre Connexions ICA personnalisées, puis sélectionnez Paramètres des connexions personnalisées. La boîte de dialogue Connexions ICA personnalisées apparaît. 2. Dans l'onglet Connexion, cliquez sur Pare-feu. 3. Sélectionnez le type de protocole proxy (SOCKS ou Sécurisé (HTTPS)). 4. Entrez l'adresse et le numéro de port du serveur proxy. • Le port par défaut pour SOCKS est le port 1080. • Le port par défaut pour un serveur proxy sécurisé est le port 8080.

5. Cliquez sur OK à deux reprises.

Configuration du nom d'utilisateur et du mot de passe Certains serveurs proxy requièrent une authentification et demandent un nom d'utilisateur et un mot de passe pour les énumérations et les connexions ICA. Pour éviter de devoir entrer ces informations à plusieurs reprises, configurez le client de sorte qu'il transmette les informations d'identification sans intervention de la part de l'utilisateur. Vous pouvez créer paramètres avec les caractéristiques suivantes : • applicable à une ou plusieurs connexions ICA personnalisées existantes et remplaçant le réglage par défaut ; ou • applicable par défaut aux connexions ICA personnalisées pour lesquelles aucun réglage de remplacement n'est défini et pour toutes les connexions ICA personnalisées qui seront créées à l'aide de l'assistant Ajouter une nouvelle connexion ICA.

80 Guide de l'administrateur des clients pour Windows Pour créer un réglage s'appliquant à une ou plusieurs connexions ICA personnalisées existantes 1. Quittez Program Neighborhood s'il est en cours d'exécution. Assurez-vous que tous les composants de Program Neighborhood, y compris le Centre de connexion, sont fermés. 2. Ouvrez le fichier appsrv.ini de l'utilisateur concerné (répertoire par défaut : %User Profile%\Application Data\ICAClient) dans un éditeur de texte.

3. Accédez à la section [ExplorationServeurs], ExplorationServeurs étant le nom de la connexion à configurer. 4. Accédez au paramètre DoNotUseDefaultCSL de la section [ExplorationServeurs].

• Si le paramètre DoNotUseDefaultCSL a la valeur On, effectuez les opérations suivantes. Ajoutez les lignes suivantes à cette section [ExplorationServeurs]. ProxyUsername=NomUtilisateur ProxyPassword=MotDePasse NomUtilisateur représente le nom d'utilisateur reconnu par le serveur proxy et MotDePasse représente le mot de passe associé à ce nom d'utilisateur.

• Si le paramètre DoNotUseDefaultCSL a la valeur Off ou s'il n'apparaît pas, effectuez les opérations suivantes. Ajoutez les lignes suivantes à la section [WFClient]. ProxyUsername=NomUtilisateur ProxyPassword=MotDePasse NomUtilisateur représente le nom d'utilisateur reconnu par le serveur proxy et MotDePasse représente le mot de passe associé à ce nom d'utilisateur. 5. Répétez les étapes 3 et 4 pour les autres connexions à configurer, le cas échéant.

6. Enregistrez vos modifications. Remarque : les utilisateurs peuvent remplacer les réglages par défaut par les réglages qu'ils effectuent dans la boîte de dialogue Propriétés d'une connexion ICA personnalisée.

Chapitre 5 Sécurisation des communications du client 81 Pour créer un réglage par défaut s'appliquant à toutes les connexions ICA personnalisées futures 1. Quittez Program Neighborhood et assurez-vous que tous les composants de Program Neighborhood, y compris le Centre de connexion, sont fermés. 2. Ouvrez le fichier appsrv.ini de l'utilisateur concerné (répertoire par défaut : %User Profile%\Application Data\ICAClient) dans un éditeur de texte.

3. Accédez à la section [WFClient]. 4. Ajoutez les lignes suivantes à la liste des paramètres et des valeurs de la section [WFClient]. ProxyUsername=NomUtilisateur ProxyPassword=MotDePasse NomUtilisateur représente le nom d'utilisateur reconnu par le serveur proxy et MotDePasse représente le mot de passe associé à ce nom d'utilisateur.

5. Enregistrez vos modifications. Remarque : les utilisateurs peuvent remplacer les réglages par défaut par les réglages qu'ils effectuent dans la boîte de dialogue Propriétés d'une connexion ICA personnalisée.

Connexion avec la passerelle Secure Gateway ou le Relais SSL Citrix Vous pouvez utiliser les clients avec la passerelle Secure Gateway ou le Relais SSL Citrix. Les clients prennent en charge les protocoles SSL et TLS. • Le protocole SSL (Secure Sockets Layer) fournit un cryptage renforcé pour augmenter la confidentialité de vos connexions ICA ainsi qu'une authentification de serveur par certificat pour vérifier l'authenticité du serveur auquel vous vous connectez.

• TLS (Transport Layer Security) est la dernière version normalisée du protocole SSL. Le groupe de travail Internet Engineering Taskforce (IETF) l'a rebaptisé TLS lorsqu'il est devenu responsable du développement de SSL sous la forme d'une norme ouverte.

TLS garantit la sécurité des communications de données grâce à l'authentification des serveurs, au cryptage du flux de données et aux contrôles d'intégrité des messages. SSL, version 3.0, et TLS, version 1.0, ne présentant que quelques différences techniques mineures, les certificats que vous utilisez avec votre logiciel pour SSL fonctionneront également avec TLS. Certaines organisations,

82 Guide de l'administrateur des clients pour Windows notamment des organisations gouvernementales américaines, requièrent le protocole TLS pour la sécurisation de leurs communications de données. Ces organisations peuvent nécessiter l'utilisation d'une cryptographie validée, comme la norme FIPS 140 (Federal Information Processing Standard). La norme FIPS 140 est une norme de cryptographie. Connexion avec la passerelle Secure Gateway Vous pouvez utiliser la passerelle Secure Gateway en mode Normal ou en mode Relais afin de fournir un canal sécurisé de communication entre le client et le serveur.

Il n'est pas nécessaire de configurer le client si vous utilisez la passerelle Secure Gateway en mode Normal et si les utilisateurs se connectent via l'Interface Web.

Si le proxy Secure Gateway est installé sur un serveur dans le réseau sécurisé, vous pouvez l'utiliser en mode Relais. Veuillez consulter le guide Secure Gateway for Windows Administrator's Guide pour plus d'informations sur le mode Relais. Si vous utilisez le mode Relais, le serveur Secure Gateway fonctionne comme un serveur proxy. Dans ce cas, vous devez configurer le client pour qu'il utilise : • le nom de domaine complet du serveur Citrix Secure Gateway ; • le numéro de port du serveur Citrix Secure Gateway. Veuillez noter que le mode Relais n'est pas pris en charge par Secure Gateway, version 2.0.

Important : le nom de domaine complet (FQDN) doit contenir, dans l'ordre, les trois composants suivants : • nom d'hôte ; • domaine intermédiaire ; • domaine de tête. Exemple : MonOrdinateur.MonEntreprise.com est un nom de domaine complet car il liste dans l'ordre un nom d'hôte (MonOrdinateur), un domaine intermédiaire (MonEntreprise) et un domaine de tête (com). La combinaison du domaine intermédiaire et du domaine de tête (MonEntreprise.com) est généralement appelée nom de domaine.

Chapitre 5 Sécurisation des communications du client 83 Configuration de l'Agent Program Neighborhood et du client Web pour Secure Gateway Pour se connecter à un serveur exécutant Secure Gateway, l'Agent Program Neighborhood et le client Web utilisent des paramètres configurés sur le serveur exécutant l'Interface Web. Veuillez consulter le Guide de l'administrateur de l'Interface Web pour obtenir davantage d'informations sur la configuration des paramètres d'un serveur proxy pour ces clients.

Configuration de Program Neighborhood pour Secure Gateway Les utilisateurs de Program Neighborhood peuvent spécifier manuellement les détails du serveur Secure Gateway à la fois pour les séries d'applications et les connexions ICA personnalisées.

Pour configurer les informations relatives à votre serveur Citrix Secure Gateway 1. Assurez-vous que la machine cliente dispose de tous les éléments requis décrits dans ce guide. 2. Démarrez Program Neighborhood. • Dans le cas de la configuration d'une série d'applications : cliquez avec le bouton droit de la souris sur la série d'applications que vous voulez configurer, puis sélectionnez Paramètres de la série d'applications. Une boîte de dialogue de configuration pour la série d'applications apparaît.

• Dans le cas de la configuration d'une connexion ICA personnalisée existante : Cliquez avec le bouton droit de la souris sur la connexion ICA personnalisée que vous voulez configurer, puis sélectionnez Propriétés. La boîte de dialogue Propriétés de la connexion ICA personnalisée apparaît. • Dans le cas de la configuration de toutes les futures connexions ICA personnalisées : Cliquez avec le bouton droit de la souris sur une partie vierge de la fenêtre Connexions ICA personnalisées, puis sélectionnez Paramètres des connexions personnalisées. La boîte de dialogue Propriétés de la connexion ICA personnalisée apparaît.

84 Guide de l'administrateur des clients pour Windows 3. Procédez de l'une des opérations suivantes : • Dans le cas de la configuration d'une série d'applications ou d'une connexion ICA personnalisée existante : Dans la liste déroulante Protocole réseau, sélectionnez SSL/ TLS+HTTPS. • Dans le cas de la configuration de toutes les futures connexions ICA personnalisées : Dans la liste déroulante Protocole réseau, sélectionnez HTTP/ HTTPS.

4. Dans l'onglet Connexion, cliquez sur Pare-feu. 5. Entrez le nom de domaine complet (FQDN) du serveur Secure Gateway dans la zone Adresse de la passerelle Secure Gateway.

6. Entrez le numéro de port dans la zone Port. 7. Cliquez sur OK à deux reprises. Connexion avec le Relais SSL Citrix Par défaut, le Relais SSL Citrix utilise le port TCP 443 du serveur Citrix Presentation Server pour les communications sécurisées SSL/TLS. Lorsque le relais SSL reçoit une connexion SSL/TLS, il décrypte les données avant de les rediriger vers le serveur ou, si l'utilisateur a sélectionné le protocole d'exploration SSL/TLS+HTTPS, vers le Service XML Citrix.

Le Relais SSL Citrix vous permet de sécuriser les communications suivantes. • Entre un client et un serveur sur lesquels SSL/TLS est activé. Les connexions utilisant le cryptage SSL/TLS sont indiquées au moyen d'une icône en forme de cadenas dans le Centre de connexion de Program Neighborhood. • Avec un serveur exécutant l'Interface Web, entre le serveur Citrix Presentation Server et le serveur Web. Pour obtenir des informations sur la configuration et l'utilisation du Relais SSL, veuillez consulter le Guide de l'administrateur Citrix Presentation Server. Pour obtenir des informations sur la configuration du serveur exécutant l'Interface Web pour qu'il utilise le cryptage SSL/TLS, veuillez consulter le Guide de l'administrateur de l'Interface Web Citrix.

Configurations requises Outre les configurations système requises répertoriées, il est aussi nécessaire :

Chapitre 5 Sécurisation des communications du client 85 • que la machine cliente prenne en charge le cryptage 128 bits ; • que la machine cliente dispose d'un certificat racine permettant de vérifier la signature de l'autorité de certification sur le certificat de serveur ; • que le client «connaisse» le numéro du port d'écoute TCP utilisé par le service du Relais SSL Citrix sur la batterie de serveurs. Si vous utilisez Internet Explorer et si vous n'êtes pas sûr du niveau de cryptage pris en charge par votre système, consultez le site Web de Microsoft à l'adresse http://www.microsoft.com/france afin d'installer un service pack fournissant le cryptage 128 bits.

Remarque : les clients prennent en charge des longueurs de clé de certificat allant jusqu'à 4096 bits. Assurez-vous que les longueurs des certificats racine et intermédiaires de l'autorité de certification, ainsi que celles des certificats de vos serveurs, ne dépassent pas la longueur prise en charge par vos clients. Si cette condition n'est pas remplie, la connexion risque de ne pas aboutir. À propos des certificats racine Pour plus d'informations sur les certificats racines, veuillez consulter la section « Installation de certificats racine sur les clients», page 89. Important : la sécurité des systèmes nécessite maintenance.

Assurez-vous d'appliquer tous les service packs et toutes les mises à niveau recommandés par Microsoft.

Utilisation du Relais SSL Citrix avec des ports TCP non standard Par défaut, le Relais SSL Citrix utilise le port TCP 443 du serveur Citrix Presentation Server pour les communications sécurisées SSL/TLS. Si vous configurez le Relais SSL Citrix pour l'écoute sur un port autre que le port 443, vous devez en «informer» le client. Dans Program Neighborhood, les utilisateurs peuvent modifier le numéro de port dans la boîte de dialogue Paramètres pare-feu. Pour obtenir des instructions étape par étape, consultez l'aide en ligne de Program Neighborhood. Pour définir un numéro de port d'écoute différent pour toutes les connexions 1.

Assurez-vous que tous les composants du client, y compris le Centre de connexion, sont fermés.

86 Guide de l'administrateur des clients pour Windows 2. Ouvrez le fichier appsrv.ini de l'utilisateur concerné (répertoire par défaut : %User Profile%\Application Data\ICAClient) dans un éditeur de texte. 3. Accédez à la section [WFClient]. Définissez la valeur du paramètre SSLProxyHost comme suit : SSLProxyHost=*:NuméroPortRelaisSSL NuméroPortRelaisSSL représentant le numéro du port d'écoute. 4. Enregistrez et fermez le fichier.

Pour définir un numéro de port d'écoute différent pour certaines connexions 1. Assurez-vous que tous les composants du client, y compris le Centre de connexion, sont fermés.

2. Ouvrez le fichier appsrv.ini de l'utilisateur concerné (répertoire par défaut : %User Profile%\Application Data\ICAClient) dans un éditeur de texte. 3. Accédez à la section correspondant à la connexion. Définissez la valeur du paramètre SSLProxyHost comme suit : SSLProxyHost=*:NuméroPortRelaisSSL NuméroPortRelaisSSL représentant le numéro du port d'écoute. 4. Répétez l'étape 3 pour chaque section de connexion pour laquelle vous désirez spécifier un numéro de port d'écoute différent. 5. Enregistrez et fermez le fichier.

Configuration et activation des clients pour SSL et TLS Les protocoles SSL et TLS sont configurés de la même manière, utilisent les mêmes certificats et sont tous deux activés simultanément. Lorsque les protocoles SSL et TLS sont activés, le client essaie d'utiliser TLS, puis SSL, à chaque fois que vous établissez une connexion. S'il ne parvient pas à se connecter avec le protocole SSL, la connexion échoue et un message d'erreur apparaît.

Connexions TLS forcées pour tous les clients Pour forcer les clients (y compris le client) à se connecter à l'aide du protocole TLS, vous devez spécifier ce protocole sur votre serveur Secure Gateway ou dans le Relais SSL Citrix.

Pour plus d'informations, veuillez consulter le guide Secure Gateway for Windows Administrator's Guide ou la documentation relative au Relais SSL Citrix.

Chapitre 5 Sécurisation des communications du client 87 Pour configurer Program Neighborhood en vue de l'utilisation de SSL/TLS 1. Assurez-vous que la machine cliente dispose de tous les éléments requis décrits dans ce guide. 2. Ouvrez Program Neighborhood. • Pour configurer une série d'applications pour l'utilisation de SSL/ TLS : cliquez avec le bouton droit de la souris sur la série d'applications que vous voulez configurer, puis sélectionnez Paramètres de la série d'applications. Une boîte de dialogue Paramètres pour la série d'applications apparaît.

• Pour configurer une connexion ICA personnalisée existante pour l'utilisation de SSL/TLS : cliquez avec le bouton droit de la souris sur la connexion ICA personnalisée que vous voulez configurer, puis sélectionnez Propriétés.

La boîte de dialogue Propriétés de la connexion ICA personnalisée apparaît. • Pour configurer toutes les futures connexions ICA personnalisées pour l'utilisation de SSL/TLS : cliquez avec le bouton droit de la souris sur une partie vierge de la fenêtre Connexions ICA personnalisées, puis sélectionnez Paramètres des connexions personnalisées. La boîte de dialogue Connexions ICA personnalisées apparaît.

3. Procédez de l'une des opérations suivantes : • Dans le cas de la configuration d'une série d'applications ou d'une connexion ICA personnalisée existante : dans la liste déroulante Protocole réseau, sélectionnez SSL/ TLS+HTTPS. • Dans le cas de la configuration de toutes les futures connexions ICA personnalisées : dans la liste déroulante Protocole réseau, sélectionnez HTTP/ HTTPS. 4. Ajoutez le nom de domaine complet du ou des serveur(s) sur le(s)quel(s) SSL/TLS est activé à la Liste d'adresses. 5. Cliquez sur OK.

88 Guide de l'administrateur des clients pour Windows Pour configurer l'Agent Program Neighborhood en vue de l'utilisation de SSL/TLS 1.

Assurez-vous que la machine cliente dispose de tous les éléments requis décrits dans ce guide. 2. Pour utiliser SSL/TLS afin de crypter les données d'énumération et de démarrage des applications, transmises entre l'Agent Program Neighborhood et le serveur exécutant l'Interface Web, configurez les paramètres appropriés à l'aide de l'Interface Web. Vous devez inclure le nom de machine du serveur Citrix Presentation Server qui héberge le certificat SSL.

3. Pour utiliser HTTPS (secure HTTP) pour crypter les informations de configuration transmises entre l'Agent Program Neighborhood et le serveur exécutant l'Interface Web, entrez l'URL du serveur dans le format https://NomServeur sur l'onglet Serveur de la boîte de dialogue Propriétés de l'Agent Program Neighborhood. Pour configurer le fichier appsrv.ini en vue de l'utilisation de TLS 1. Quittez le client s'il est en cours d'exécution. Assurez-vous que tous les composants du client, y compris le Centre de connexion, sont fermés. 2. Ouvrez le fichier appsrv.ini de l'utilisateur concerné (répertoire par défaut : %User Profile%\Application Data\ICAClient) dans un éditeur de texte.

3. Accédez à la section [WFClient]. 4. Définissez les valeurs des deux paramètres suivants. SSLCIPHERS={GOV | All} SECURECHANNELPROTOCOL={TLS | Detect} Pour activer TLS, utilisez la valeur TLS ou Detect. Si vous sélectionnez Detect, le client essaiera de se connecter en utilisant le cryptage TLS. Si une connexion utilisant TLS échoue, le client essaie de se connecter à l'aide de SSL. 5. Enregistrez vos modifications. Exigences de sécurité FIPS 140 Pour répondre aux exigences de sécurité FIPS 140, vous devez inclure les paramètres suivants dans le fichier Default.ica sur le serveur exécutant l'Interface Web, ou dans le fichier appsrv.ini de l'utilisateur concerné sur la machine cliente.

Consultez le Guide de l'administrateur de l'Interface Web pour obtenir davantage d'informations sur le fichier Default.ica.

Chapitre 5 Sécurisation des communications du client 89 Pour configurer le fichier appsrv.ini afin de répondre aux exigences de sécurité FIPS 140 1. Quittez le client s'il est en cours d'exécution. Assurez-vous que tous les composants du client, y compris le Centre de connexion, sont fermés. 2. Ouvrez le fichier appsrv.ini de l'utilisateur concerné (répertoire par défaut : %User Profile%\Application Data\ICAClient) dans un éditeur de texte.

3. Accédez à la section [WFClient]. 4. Définissez les valeurs des trois paramètres suivants. SSLENABLE=On SSLCIPHER=GOV SECURECHANNELPROTOCOL=TLS 5.

Enregistrez vos modifications. Installation de certificats racine sur les clients Pour utiliser SSL/TLS afin de sécuriser les communications entre les clients sur lesquels SSL/TLS est activé et la batterie de serveurs, vous avez besoin d'un certificat racine sur la machine cliente afin de vérifier la signature de l'autorité de certification sur le certificat de serveur.

Les clients prennent en charge les autorités de certification prises en charge par le système d'exploitation Windows. Les certificats racine de ces autorités de certification sont installés avec Windows et gérés à l'aide d'utilitaires Windows. Il s'agit des mêmes certificats racines que ceux utilisés par Microsoft Internet Explorer. Si vous utilisez une autorité de certification différente, vous devez obtenir un certificat racine auprès de celle-ci et installer ce certificat sur chaque machine cliente. Ce certificat racine est ensuite utilisé et approuvé par Microsoft Internet Explorer et par le client.

En fonction des procédures de sécurité de votre entreprise, vous pouvez soit installer le certificat racine sur chaque machine cliente, soit demander aux utilisateurs de l'installer eux-mêmes. Si vous utilisez Windows 2000 avec Active Directory sur toutes les machines clientes, vous pouvez déployer et installer les certificats racines à l'aide des stratégies de groupes de Windows 2000. Pour plus d'informations, veuillez consulter la documentation fournie avec Windows 2000. Sinon, vous pouvez installer le certificat racine à l'aide d'autres méthodes d'administration ou de déploiement telles que : • l'utilisation de l'Assistant de configuration et du Gestionnaire de profil IEAK (Microsoft Internet Explorer Administration Kit) ;

90 Guide de l'administrateur des clients pour Windows • l'utilisation d'outils de déploiement tiers. Vérifiez que les certificats installés par votre système d'exploitation Windows sont conformes aux exigences de sécurité en vigueur dans votre société, ou utilisez les certificats fournis par l'autorité de certification de votre entreprise. Sécurisation de l'Agent Program Neighborhood à l'aide de SSL/TLS Assurez-vous que la machine cliente dispose de tous les éléments requis décrits dans ce guide.

Pour utiliser le cryptage SSL/TLS pour toutes les communications du client, configurez l'Agent Program Neighborhood, le serveur Citrix Presentation Server et le serveur exécutant l'Interface Web comme il est décrit dans cette section.

Configuration du serveur exécutant l'Interface Web Vous pouvez configurer le serveur exécutant l'Interface Web pour qu'il utilise SSL/TLS afin de sécuriser les communications entre l'Agent Program Neighborhood et le serveur Web Pour configurer l'Interface Web dans le but d'utiliser SSL/TLS dans le cadre des communications avec le client 1. Dans le menu Paramètres de configuration, sélectionnez Paramètres serveur.

2. Sélectionnez l'option Utiliser SSL/TLS pour les communications entre les clients et le serveur Web. 3. Enregistrez vos modifications. La sélection de cette option transforme les adresses URL afin qu'elles utilisent le protocole HTTPS. Configuration du serveur Citrix Presentation Server Vous pouvez configurer le serveur Citrix Presentation Server afin qu'il utilise SSL/TLS afin de sécuriser les communications entre l'Agent Program Neighborhood et le serveur. Pour configurer Citrix Presentation Server dans le but d'utiliser SSL/TLS dans le cadre des communications avec le client 1. Dans la console Citrix Access Management Console, ouvrez la boîte de dialogue Propriétés pour l'application que vous souhaitez sécuriser.

2. Sélectionnez Avancé > Options du client et assurez-vous de sélectionner Activer les protocoles SSL et TLS.

Chapitre 5 Sécurisation des communications du client 91 3. Répétez ces étapes pour chaque application que vous souhaitez sécuriser. Pour plus d'informations, veuillez consulter le Guide de l'administrateur Citrix Presentation Server. À l'aide de l'Interface Web, vous devez spécifier le nom de la machine du serveur hébergeant le certificat SSL. Pour obtenir plus d'informations sur la sécurisation des communications entre le serveur Citrix Presentation Server et le serveur Web à l'aide de SSL/TLS, veuillez consulter le Guide de l'administrateur de l'Interface Web.

Configuration de la machine cliente Vous pouvez configurer le client pour qu'il utilise SSL/TLS afin de sécuriser les communications entre l'Agent Program Neighborhood et le serveur exécutant l'Interface Web.

Pour configurer l'Agent Program Neighborhood pour utiliser SSL/TLS dans le cadre de communications avec le serveur exécutant l'Interface Web 1. Dans la zone de notification de Windows, cliquez avec le bouton droit de la souris sur l'icône de l'Agent Program Neighborhood, puis choisissez Propriétés dans le menu qui apparaît.

2. L'onglet Serveur affiche l'adresse URL configurée. Cliquez sur le bouton Modifier, puis entrez l'adresse URL du serveur dans la boîte de dialogue qui apparaît. Entrez l'URL sous la forme https://nomserveur pour crypter les données de configuration à l'aide de SSL/TLS. 3. Cliquez sur Mettre à jour pour appliquer les modifications et revenir à l'onglet Serveur, ou cliquez sur Annuler pour annuler l'opération. 4. Cliquez sur OK pour fermer la boîte de dialogue Propriétés. 5. Activez SSL/TLS dans le navigateur du client. Pour plus d'informations sur l'activation de SSL/TLS dans le navigateur du client, veuillez consulter l'aide en ligne de celui-ci.

Remarque : dans cette section, nous supposons qu'un certificat racine valide est installé sur la machine cliente. Pour plus d'informations, veuillez consulter la section « Installation de certificats racine sur les clients», page 89.

92 Guide de l'administrateur des clients pour Windows Activation de l'ouverture de session avec carte à puce L'activation de l'ouverture de session avec carte à puce permet d'utiliser des cartes à puce au lieu de mots de passe afin de s'authentifier aux serveurs Presentation Server. Vous pouvez utiliser l'ouverture de session avec carte à puce avec ou sans authentification unique.

Dans cette section, nous supposons que la prise en charge des cartes à puce est activée sur le serveur et que l'équipement et les logiciels tiers permettant d'utiliser des cartes à puce sur la machine cliente sont correctement configurés. Pour obtenir des instructions pour le déploiement de cartes à puce sur votre réseau, veuillez consulter la documentation fournie avec votre équipement de carte à puce.

La stratégie définie pour le retrait de la carte à puce sur le serveur Citrix Presentation Server détermine ce qui se passe lorsque vous retirez la carte à puce du lecteur au cours d'une session ICA. Cette stratégie est configurée et gérée par le système d'exploitation Windows. Pour plus d'informations sur l'activation de la prise en charge des cartes à puce, veuillez consulter la section « Prise en charge des cartes à puce», page 44.

Ouverture de session avec carte à puce avec authentification unique Kerberos Le mode d'authentification unique Kerberos requiert l'insertion d'une carte à puce dans le lecteur de carte à puce à l'ouverture de la session.

Lorsque ce mode d'ouverture de session est sélectionné, le client invite l'utilisateur à entrer un numéro d'identification personnel de carte à puce lorsqu'il démarre. L'authentification unique Kerberos met ensuite ce numéro en cache et le transmet au serveur à chaque fois que l'utilisateur essaie d'accéder à une ressource publiée. L'utilisateur n'a alors plus besoin d'entrer de nouveau son code pour accéder aux ressources publiées et de laisser la carte à puce dans le lecteur. Si l'authentification à l'aide du numéro d'identification personnel mis en cache échoue ou si une ressource publiée requiert une authentification utilisateur, un message d'invite demandant un numéro d'identification personnel continue de s'afficher.

Pour plus d'informations sur l'authentification unique Kerberos, veuillez consulter la section « SSPI/sécurité Kerberos pour l'authentification unique», page 45.

Chapitre 5 Sécurisation des communications du client 93 Ouverture de session avec carte à puce sans authentification unique Ce mode d'ouverture de session requiert la présence systématique d'une carte à puce dans le lecteur de carte à puce lorsque l'utilisateur accède à un serveur. Lorsque l'authentification unique est désactivée, le client invite l'utilisateur à entrer un numéro d'identification personnel de carte à puce au démarrage et à chaque fois que l'utilisateur essaie d'accéder à une ressource publiée.

Connexion via un pare-feu Les pare-feu de réseau peuvent autoriser ou empêcher le passage des paquets de données en fonction de l'adresse et du port de destination. Si vous utilisez les clients avec un pare-feu de réseau qui mappe l'adresse IP interne du serveur sur une adresse Internet externe (c'est-à-dire, la traduction d'adresse de réseau, ou NAT), procédez comme suit.

Pour se connecter à un serveur via un pare-feu. 1. Ouvrez Program Neighborhood. • Dans le cas de la configuration d'une série d'applications : Cliquez avec le bouton droit de la souris sur la série d'applications que vous voulez configurer, puis sélectionnez Paramètres de la série d'applications. Une boîte de dialogue de configuration pour la série d'applications apparaît. • Dans le cas de la configuration d'une connexion ICA personnalisée : Cliquez avec le bouton droit de la souris sur la connexion ICA personnalisée que vous voulez configurer, puis sélectionnez Paramètres des connexions personnalisées.

La boîte de dialogue Connexions ICA personnalisées apparaît.

2. Cliquez sur Ajouter. La fenêtre Ajouter une adresse de serveur apparaît. 3. Entrez l'adresse Internet externe du serveur. 4. Cliquez sur OK. L'adresse Internet externe qui vient d'être ajoutée apparaît dans la Liste d'adresses. 5. Cliquez sur Pare-feu. 6. Sélectionnez Utiliser l'adresse secondaire pour la connexion par pare-feu. 7. Cliquez sur OK à deux reprises.

94 Guide de l'administrateur des clients pour Windows Important : tous les serveurs de la batterie doivent être configurés avec leur adresse secondaire (externe). Application des relations d'approbation La configuration Relation d'approbation est conçue pour l'identification et l'application des relations d'approbation ayant lieu dans les connexions de client.

Cette relation renforce la confiance des administrateurs et des utilisateurs du client dans l'intégrité des données sur les machines clientes et empêche une utilisation malveillante des connexions de client.

Lorsque cette fonction est activée, les clients peuvent spécifier les configurations requises pour l'approbation et déterminer s'ils peuvent ou non établir une connexion au serveur. Par exemple, un client se connectant à une certaine adresse (comme https://*.citrix.com) par un type de connexion donné (comme SSL) est dirigé vers une zone de confiance sur le serveur. Lorsque la configuration de serveur de confiance est activée, les serveurs Citrix Presentation Serveur ou la passerelle Access Gateway doivent résider sur une zone Sites de confiance Windows.

Pour activer une configuration de serveur de confiance 1.

Ouvrez l'éditeur de stratégies de groupes. Remarque : si vous avez déjà ajouté le modèle icaclient à l'éditeur de stratégies de groupe, vous pouvez ignorer les étapes 2 à 4. 2. Cliquez avec le bouton droit de la souris sur le dossier Modèles d'administration et choisissez Ajout/Suppression de modèles. 3. Cliquez sur Ajouter et naviguez vers le modèle icaclient sur le CD-ROM Composants.

4. Cliquez sur Ouvrir pour ajouter le modèle, puis cliquez sur Fermer pour revenir à l'éditeur de stratégies de groupe. 5. Développez le dossier Modèles d'administration sous le nœud Configuration utilisateur. 6. Sélectionnez Composants Citrix > Client ICA > Network Routing. 7. Cliquez deux fois sur le paramètre Configuration de serveur de confiance. La boîte de dialogue Configure trusted server configuration properties s'affiche.

Chapitre 5 Sécurisation des communications du client 95 8. Sélectionnez Activé et cliquez sur OK. Pour ajouter un serveur à la zone Sites de confiance Windows Pour obtenir des instructions étape par étape sur l'ajout des serveurs à la zone Sites de confiance Windows, veuillez consultez l'aide en ligne d'Internet Explorer.

Remarque : si vous vous connectez à l'aide de SSL, ajoutez le nom du serveur dans le format https://CN, CN étant la valeur Nom commun figurant sur le certificat SSL. Autrement, utilisez le format que le client utilise pour se connecter ; par exemple si le client se connecte à l'aide d'une adresse IP, ajoutez l'adresse IP du serveur.

96 Guide de l'administrateur des clients pour Windows

INDEX Index A Accélération de navigation SpeedScreen 49 Accélération multimédia SpeedScreen 13 Access Gateway Prise en charge de l'Agent Program Neighborhood 13 Agent Program Neighborhood Communication sécurisée (SSL/TLS) 90–91 Fichier de configuration sur un serveur de l'Interface Web 9 Modification de l'URL serveur 32 Options d'installation 27 Personnalisation 32 Présentation 31 Prise en charge Access Gateway 13 URL de sauvegarde 13, 28 Application livrée en streaming 12 Associations de types de fichier 59 Authentification unique Activation lors de l'installation 28–29 Pour utilisateurs NDS 67 SSPI/sécurité Kerberos 45–48 B Batteries de serveurs Accès multiple avec Program Neighborhood 36 C Certificats racine, installation sur des machines clientes 89 Citrix Presentation Server pour système d'exploitation UNIX 68 ctxcapture 71 ctxgrab 70 Gestionnaire de fenêtres 68 Client Feature Matrix 8 Client Web Options d'installation 29 Combinaisons de touches Windows, prise en charge 66 Configuration Agent Program Neighborhood 31 Paramètres client à distance 41 Paramètres de l'utilisateur actuel d'un périphérique client 42 Paramètres de tous les utilisateurs d'un périphérique client 41 Paramètres sur plusieurs périphériques clients 42 Program Neighborhood 33 Configuration de serveur de confiance, connexion 12, 94 Configuration de serveur proxy 75 Détection automatique du proxy 77 Détection automatique du proxy pour le client 13, 76 Transmission automatique des informations d'identification 79 Configurations d'accès réseau à distance requises pour Program Neighborhood 35 Configurations requises 17 Configurations requises pour RAS, Program Neighborhood 35 Connexion ICA personnalisée 34 Connexions à faible bande passante, amélioration des performances 40 Continuité pour utilisateurs itinérants 51 Contrôle de l’espace de travail 51 D Déploiement des clients À l'aide de Systems Management Server 25 À l'aide des services Active Directory 25 À partir d'un point de partage réseau 25 À partir d'une page Web 25 Désinstallation des clients 30 Détection automatique du proxy 77 Détection automatique du proxy pour le client 13, 76 Détection des serveurs proxy pour le client 13, 76–77 Diffusions UDP Incompatibilité avec Repérage auto 39

98 Guide de l'administrateur des clients pour Windows Dynamique, nom de client 73 E Enhanced MetaFile Format (EMF) 65 Exploration ICA avec le protocole réseau TCP/IP+HTTP 37 Exploration ICA avec le protocole réseau SSL/ TLS+HTTPS 38 F Fiabilité de session 50 Fichiers d'installation 18 Configuration 20 Fichiers CAB 20 Pack MSI 19 Fonctionnalités Grilles des 8 Nouveautés de cette version 11 Fonctionnalités du client abandonnées 14 FQDN (nom de domaine complet) 82 I Icônes Prise en charge couleur 32 bits 13, 66 Impression À l'aide du format EMF 65 Installation Installation de client non administrateur 12, 19 Installation de client non administrateur 12, 19 Installation non assistée 20 Interface utilisateur multilingue 12, 26 Interface Web Configuration de l'Agent Program Neighborhood 9 L Lecture Facilitation de la transparence 53 M Mappage audio du client 59 Modifier l'emplacement du serveur 33 Multi-écran, configurations 64 N Navigation ICA 35–39 Modification des protocoles réseau 36–39 Protocole réseau par défaut 37 SSL/TLS+HTTPS 38 TCP/IP+HTTP 37 Nom de client dynamique 73 O Options d'installation Agent Program Neighborhood 27 Client Web 29 Program Neighborhood 29 Ouverture de session avec carte à puce Configuration à l'aide des clients 44 Configuration de stratégie 92 P Pare-feu, connexion via 93 Passage de paramètres étendu 59 Registre Windows 63 Philips SpeechMike 64 Ports TCP et Relais SSL Citrix 85 Prise en charge AES 13 Prise en charge de la dictée vocale numérique 64 Prise en charge de la redirection TWAIN 53 Prise en charge de la Stimulation/Réponse Windows NT (NTLM) 43 Prise en charge des icônes couleur 32 bits 13, 66 Prise en charge des services NDS (Novell Directory Services) 67 Paramétrage d'un contexte par défaut 68 Prise en charge des systèmes d'exploitation 12 Prise en charge du son Mappage audio du client 59 Prise en charge du standard de cryptage avancé 13 Program Neighborhood Barre Lancement rapide 50 Batteries de serveurs multiples 36 Configuration de Secure Gateway pour Citrix 83 Configurations requises pour RAS ou mode accès réseau à distance 35 Connexion ICA personnalisée 34 Méthodes de connexion 35 Options d'installation 29 Repérage auto 39 Séries d'applications 34 Protocole réseau pour la navigation ICA 36–39

Index 99 R Raccourcis clavier, prise en charge 66 Raccourcis vers les applications publiées 9 Reconnexion automatique des clients 49 Reconnexion automatique des utilisateurs 49 Relais SSL Citrix Ports TCP non standard 85 Présentation 84 Repérage auto Incompatibilité avec les diffusions UDP 39 Program Neighborhood 39 Résolution de nom DNS 73 Ressources publiées, connnexion 34 S Secure Gateway pour Citrix Configuration de Program Neighborhood 83 Sécurité FIPS 140 88 Sécurité Kerberos 45–48 Séries d'applications 34 SSL Installation de certificats racine sur des machines clientes 89 SSPI/sécurité Kerberos 45–48 Streaming d'application 12 Synchronisation des ordinateurs de poche 53 Synchronisation d'un ordinateur de poche 53 T TLS Définition 81 Installation de certificats racine sur des machines clientes 89 Utilisation forcée par les clients 86 U UNIX, Citrix Presentation Server pour système d'exploitation UNIX 68 URL de sauvegarde Agent Program Neighborhood 13, 28 URL serveur Agent Program Neighborhood 32 V Vérification des listes de révocation de certificats 44 Vitesse de transfert des images Augmentation 49

100 Guide de l'administrateur des clients pour Windows

Vous pouvez aussi lire