PIV-Smartcard-Authentifizierung konfigurieren
Dieser Artikel listet die erforderliche Konfiguration auf dem Director-Server und in Active Directory auf, um die Smartcard-Authentifizierungsfunktion zu aktivieren.
Hinweis:
Die Smartcard-Authentifizierung wird nur für Benutzer aus derselben Active Directory-Domäne unterstützt.
Director-Server-Konfiguration
Führen Sie die folgenden Konfigurationsschritte auf dem Director-Server aus:
-
Installieren und aktivieren Sie die Clientzertifikat-Zuordnungsauthentifizierung. Befolgen Sie die Anweisungen zur Clientzertifikat-Zuordnungsauthentifizierung mit Active Directory im Microsoft-Dokument, Clientzertifikat-Zuordnungsauthentifizierung.
-
Deaktivieren Sie die Formularauthentifizierung auf der Director-Site.
Starten Sie den IIS-Manager.
Gehen Sie zu Sites > Standardwebsite > Director.
Wählen Sie Authentifizierung.
Klicken Sie mit der rechten Maustaste auf Formularauthentifizierung, und wählen Sie Deaktivieren.
-
Konfigurieren Sie die Director-URL für das sicherere HTTPS-Protokoll (anstelle von HTTP) für die Clientzertifikat-Authentifizierung.
-
Starten Sie den IIS-Manager.
-
Gehen Sie zu Sites > Standardwebsite > Director.
-
Wählen Sie SSL-Einstellungen aus.
-
Wählen Sie SSL erforderlich und Clientzertifikate > Erforderlich aus.
-
-
Aktualisieren Sie web.config. Öffnen Sie die Datei web.config (verfügbar unter c:\inetpub\wwwroot\Director) mit einem Texteditor.
Fügen Sie unter dem übergeordneten Element <system.webServer> den folgenden Codeausschnitt als erstes untergeordnetes Element hinzu:
<defaultDocument>
<files>
<add value="LogOn.aspx"/>
</files>
</defaultDocument>
Active Directory-Konfiguration
Standardmäßig wird die Director-Anwendung mit der Identitätseigenschaft des Anwendungspools ausgeführt. Die Smartcard-Authentifizierung erfordert eine Delegierung, für die die Identität der Director-Anwendung über Trusted Computing Base (TCB)-Berechtigungen auf dem Diensthost verfügen muss.
Citrix empfiehlt, ein separates Dienstkonto für die Identität des Anwendungspools zu erstellen. Erstellen Sie das Dienstkonto und weisen Sie TCB-Berechtigungen gemäß den Anweisungen im MSDN Microsoft-Artikel, Protocol Transition with Constrained Delegation Technical Supplement, zu.
Weisen Sie das neu erstellte Dienstkonto dem Director-Anwendungspool zu. Die folgende Abbildung zeigt das Eigenschaften-Dialogfeld eines Beispiel-Dienstkontos, Domain Pool.
Konfigurieren Sie die folgenden Dienste für dieses Konto:
- Delivery Controller™: HOST, HTTP
- Director: HOST, HTTP
- Active Directory: GC, LDAP
Zur Konfiguration:
-
Klicken Sie im Dialogfeld für die Benutzerkontoeigenschaften auf Hinzufügen.
-
Klicken Sie im Dialogfeld Dienste hinzufügen auf Benutzer oder Computer.
-
Wählen Sie den Hostnamen des Delivery Controllers aus.
-
Wählen Sie aus der Liste Verfügbare Dienste die Option HOST und HTTP Diensttyp aus.
Fügen Sie auf ähnliche Weise Diensttypen für Director- und Active Directory-Hosts hinzu.
Firefox-Browserkonfiguration
Um den Firefox-Browser zu verwenden, installieren Sie den PIV-Treiber, der unter OpenSC 0.17.0 verfügbar ist. Installations- und Konfigurationsanweisungen finden Sie unter Installing OpenSC PKCS#11 Module in Firefox, Step by Step. Informationen zur Verwendung der Smartcard-Authentifizierungsfunktion in Director finden Sie im Abschnitt Use Director with PIV based smart card authentication im Director-Artikel.