Configurar la autenticación con tarjeta inteligente PIV
Este artículo enumera la configuración necesaria en el servidor de Director y en Active Directory para habilitar la función de autenticación con tarjeta inteligente.
Nota:
La autenticación con tarjeta inteligente solo es compatible con usuarios del mismo dominio de Active Directory.
Configuración del servidor de Director
Realice los siguientes pasos de configuración en el servidor de Director:
-
Instale y habilite la autenticación de asignación de certificados de cliente. Siga las instrucciones de Autenticación de asignación de certificados de cliente mediante Active Directory en el documento de Microsoft, Autenticación de asignación de certificados de cliente.
-
Deshabilite la autenticación de formularios en el sitio de Director.
Inicie el Administrador de IIS.
Vaya a Sitios > Sitio web predeterminado > Director.
Seleccione Autenticación.
Haga clic con el botón secundario en Autenticación de formularios y seleccione Deshabilitar.
-
Configure la URL de Director para el protocolo https más seguro (en lugar de HTTP) para la autenticación de certificados de cliente.
-
Inicie el Administrador de IIS.
-
Vaya a Sitios > Sitio web predeterminado > Director.
-
Seleccione Configuración SSL.
-
Seleccione Requerir SSL y Certificados de cliente > Requerir.
-
-
Actualice web.config. Abra el archivo web.config (disponible en c:\inetpub\wwwroot\Director) con un editor de texto.
En el elemento principal <system.webServer>, añada el siguiente fragmento como primer elemento secundario:
<defaultDocument>
<files>
<add value="LogOn.aspx"/>
</files>
</defaultDocument>
Configuración de Active Directory
De forma predeterminada, la aplicación Director se ejecuta con la propiedad de identidad del grupo de aplicaciones. La autenticación con tarjeta inteligente requiere delegación, para lo cual la identidad de la aplicación Director debe tener privilegios de Trusted Computing Base (TCB) en el host del servicio.
Citrix recomienda que cree una cuenta de servicio independiente para la identidad del grupo de aplicaciones. Cree la cuenta de servicio y asigne privilegios TCB según las instrucciones del artículo de MSDN Microsoft, Protocol Transition with Constrained Delegation Technical Supplement.
Asigne la cuenta de servicio recién creada al grupo de aplicaciones de Director. La siguiente figura muestra el cuadro de diálogo de propiedades de una cuenta de servicio de ejemplo, Grupo de dominio.
Configure los siguientes servicios para esta cuenta:
- Delivery Controller™: HOST, HTTP
- Director: HOST, HTTP
- Active Directory: GC, LDAP
Para configurar,
-
En el cuadro de diálogo de propiedades de la cuenta de usuario, haga clic en Agregar.
-
En el cuadro de diálogo Agregar servicios, haga clic en Usuarios o Equipos.
-
Seleccione el nombre de host del Delivery Controller.
-
En la lista Servicios disponibles, seleccione HOST y el Tipo de servicio HTTP.
Del mismo modo, agregue Tipos de servicio para los hosts de Director y Active Directory.
Configuración del navegador Firefox
Para usar el navegador Firefox, instale el controlador PIV disponible en OpenSC 0.17.0. Para obtener instrucciones de instalación y configuración, consulte Instalación del módulo OpenSC PKCS#11 en Firefox, paso a paso. Para obtener información sobre el uso de la función de autenticación con tarjeta inteligente en Director, consulte la sección Uso de Director con autenticación con tarjeta inteligente basada en PIV del artículo de Director.