PIVスマートカード認証を構成する
この記事では、スマートカード認証機能を有効にするために、DirectorサーバーとActive Directoryで必要な構成について説明します。
注:
スマートカード認証は、同じActive Directoryドメインのユーザーのみがサポートされます。
ディレクターサーバーの構成
Directorサーバーで次の構成手順を実行します。
-
クライアント証明書マッピング認証をインストールして有効にします。Microsoftドキュメント「Client Certificate Mapping Authentication」の「Active Directory を使用したクライアント証明書マッピング認証」の手順に従ってください。
-
Directorサイトでフォーム認証を無効にします。
IISマネージャーを起動します。
サイト > 既定のWebサイト > Director に移動します。
認証 を選択します。
フォーム認証 を右クリックし、無効にする を選択します。
-
クライアント証明書認証のために、Director URLをより安全なHTTPSプロトコル(HTTPではなく)に構成します。
-
IISマネージャーを起動します。
-
「サイト」 > 「デフォルトWebサイト」 > 「ディレクター」に移動します。
-
「SSL設定」を選択します。
-
「SSLを必須にする」と「クライアント証明書」>「必須」を選択します。
-
-
web.configを更新します。テキストエディターを使用して、web.configファイル(c:\inetpub\wwwroot\Directorにあります)を開きます。
<system.webServer> 親要素の下に、次のスニペットを最初の子要素として追加します。
<defaultDocument>
<files>
<add value="LogOn.aspx"/>
</files>
</defaultDocument>
アクティブ ディレクトリの構成
デフォルトでは、DirectorアプリケーションはApplication PoolのIDプロパティで実行されます。スマートカード認証には委任が必要であり、そのためにはDirectorアプリケーションIDがサービスホスト上でTrusted Computing Base(TCB)権限を持っている必要があります。
Citrixでは、アプリケーションプールID用に個別のサービスアカウントを作成することをお勧めします。MSDN Microsoftの記事「Protocol Transition with Constrained Delegation Technical Supplement」の指示に従って、サービスアカウントを作成し、TCB権限を割り当ててください。
新しく作成したサービスアカウントをDirectorアプリケーションプールに割り当てます。次の図は、サンプルサービスアカウント「Domain Pool」のプロパティダイアログを示しています。
このアカウントに対して、次のサービスを構成します。
- デリバリー コントローラー™: ホスト、HTTP
- ディレクター: ホスト, HTTP
- アクティブディレクトリ: GC, LDAP
構成するには、
-
ユーザーアカウントのプロパティダイアログで、追加をクリックします。
-
サービスの追加ダイアログで、[ユーザー]または[コンピューター]をクリックします。
-
デリバリーコントローラーのホスト名を選択します。
-
利用可能なサービスの一覧から、HOSTとHTTPのサービスの種類を選択します。
サービスを構成する(/ja-jp/citrix-virtual-apps-desktops/2203-ltsr/media/dir-smartcard-config4.png)
同様に、DirectorおよびActive Directoryホストのサービスの種類を追加します。
Firefoxブラウザーの構成
Firefoxブラウザーを使用するには、OpenSC 0.17.0で入手可能なPIVドライバーをインストールします。インストールと構成の手順については、「Installing OpenSC PKCS#11 Module in Firefox, Step by Step」を参照してください。 Directorでのスマートカード認証機能の使用方法については、Directorの記事の「PIVベースのスマートカード認証でDirectorを使用する」セクションを参照してください。