Configurer l’authentification par carte à puce PIV
Cet article répertorie la configuration requise sur le serveur Director et dans Active Directory pour activer la fonctionnalité d’authentification par carte à puce.
Remarque :
L’authentification par carte à puce est prise en charge uniquement pour les utilisateurs du même domaine Active Directory.
Configuration du serveur Director
Effectuez les étapes de configuration suivantes sur le serveur Director :
-
Installez et activez l’authentification par mappage de certificat client. Suivez les instructions Authentification par mappage de certificat client à l’aide d’Active Directory dans le document Microsoft, Authentification par mappage de certificat client.
-
Désactivez l’authentification par formulaires sur le site Director.
Démarrez le Gestionnaire IIS.
Accédez à Sites > Site Web par défaut > Director.
Sélectionnez Authentification.
Cliquez avec le bouton droit sur Authentification par formulaires, puis sélectionnez Désactiver.
-
Configurez l’URL de Director pour le protocole https plus sécurisé (au lieu de HTTP) pour l’authentification par certificat client.
-
Démarrez le Gestionnaire IIS.
-
Accédez à Sites > Site web par défaut > Director.
-
Sélectionnez Paramètres SSL.
-
Sélectionnez Exiger SSL et Certificats clients > Exiger.
-
-
Mettez à jour web.config. Ouvrez le fichier web.config (disponible dans c:\inetpub\wwwroot\Director) à l’aide d’un éditeur de texte.
Sous l’élément parent <system.webServer>, ajoutez l’extrait de code suivant comme premier élément enfant :
<defaultDocument>
<files>
<add value="LogOn.aspx"/>
</files>
</defaultDocument>
Configuration d’Active Directory
Par défaut, l’application Director s’exécute avec la propriété d’identité du Pool d’applications. L’authentification par carte à puce nécessite une délégation pour laquelle l’identité de l’application Director doit disposer des privilèges Trusted Computing Base (TCB) sur l’hôte de service.
Citrix recommande de créer un compte de service distinct pour l’identité du Pool d’applications. Créez le compte de service et attribuez les privilèges TCB conformément aux instructions de l’article MSDN Microsoft, Protocol Transition with Constrained Delegation Technical Supplement.
Attribuez le compte de service nouvellement créé au pool d’applications Director. La figure suivante montre la boîte de dialogue des propriétés d’un exemple de compte de service, Domain Pool.
Configurez les services suivants pour ce compte :
- Delivery Controller™: HOST, HTTP
- Director: HOST, HTTP
- Active Directory: GC, LDAP
Pour configurer,
-
Dans la boîte de dialogue des propriétés du compte utilisateur, cliquez sur Ajouter.
-
Dans la boîte de dialogue Ajouter des services, cliquez sur Utilisateurs ou Ordinateurs.
-
Sélectionnez le nom d’hôte du Delivery Controller.
-
Dans la liste Services disponibles, sélectionnez HOST et Type de service HTTP.
De même, ajoutez des types de service pour les hôtes Director et Active Directory.
Configuration du navigateur Firefox
Pour utiliser le navigateur Firefox, installez le pilote PIV disponible à l’adresse OpenSC 0.17.0. Pour les instructions d’installation et de configuration, consultez Installation du module OpenSC PKCS#11 dans Firefox, étape par étape. Pour plus d’informations sur l’utilisation de la fonctionnalité d’authentification par carte à puce dans Director, consultez la section Utiliser Director avec l’authentification par carte à puce basée sur PIV de l’article Director.