PIVスマートカード認証を構成する
この記事では、スマートカード認証機能を有効にするためにDirectorサーバーとActive Directoryで必要な構成について説明します。
注:
スマートカード認証は、同じActive Directoryドメインのユーザーのみがサポートされます。
Director のサーバーに関する設定
Directorサーバーで次の構成手順を実行します。
-
クライアント証明書マッピング認証をインストールして有効にします。Microsoftドキュメントの「クライアント証明書マッピング認証」にあるActive Directoryを使用したクライアント証明書マッピング認証の手順に従ってください。
-
Directorサイトでフォーム認証を無効にします。
IISマネージャーを起動します。
サイト > 既定のWebサイト > Directorに移動します。
認証を選択します。
フォーム認証を右クリックし、無効を選択します。
-
クライアント証明書認証のために、Director URLをより安全なhttpsプロトコル(HTTPではなく)に構成します。
-
IISマネージャーを起動します。
-
「サイト」>「既定のWebサイト」>「Director」に移動します。
-
「SSL設定」を選択します。
-
「SSLを要求」と「クライアント証明書」>「要求」を選択します。
(/ja-jp/citrix-virtual-apps-desktops/2402-ltsr/media/dir-smartcard-config2.png)
-
-
web.configを更新します。テキストエディターを使用して、web.configファイル(c:\inetpub\wwwroot\Directorにあります)を開きます。
<system.webServer>親要素の下に、次のスニペットを最初の子要素として追加します。
<defaultDocument>
<files>
<add value="LogOn.aspx"/>
</files>
</defaultDocument>
アクティブディレクトリの構成
デフォルトでは、DirectorアプリケーションはアプリケーションプールのIDプロパティで実行されます。スマートカード認証には委任が必要であり、そのためにはDirectorアプリケーションのIDがサービスホスト上でTrusted Computing Base (TCB)権限を持っている必要があります。
Citrixでは、アプリケーションプールID用に個別のサービスアカウントを作成することをお勧めします。Microsoft MSDNの記事「Protocol Transition with Constrained Delegation Technical Supplement」の指示に従って、サービスアカウントを作成し、TCB権限を割り当ててください。
新しく作成したサービスアカウントをDirectorアプリケーションプールに割り当てます。次の図は、サンプルサービスアカウント「Domain Pool」のプロパティダイアログを示しています。
サービスアカウントの例(/ja-jp/citrix-virtual-apps-desktops/2402-ltsr/media/dir-smartcard-config3.png)
このアカウントに対して、次のサービスを構成します。
- デリバリーコントローラー™: ホスト, HTTP
- ディレクター: ホスト, HTTP
- アクティブディレクトリ: GC、LDAP
構成するには、
-
ユーザーアカウントのプロパティダイアログで、追加をクリックします。
-
サービスの追加ダイアログで、ユーザーまたはコンピューターをクリックします。
-
デリバリーコントローラーのホスト名を選択します。
-
利用可能なサービスの一覧から、HOSTとHTTPのサービスの種類を選択します。
同様に、DirectorおよびActive Directoryホストのサービスの種類を追加します。
サービスプリンシパル名レコードを作成する
各Directorサーバーと、Directorサーバーのプールへのアクセスに使用される負荷分散された仮想IP(VIP)ごとにサービスアカウントを作成する必要があります。新しく作成されたサービスアカウントへの委任を構成するには、サービスプリンシパル名(SPN)レコードを作成する必要があります。
-
DirectorサーバーのSPNレコードを作成するには、次のコマンドを使用します。
setspn -a http/<directorServer>.<domain_fqdn> <domain>\<DirectorAppPoolServiceAcct> <!--NeedCopy--> -
負荷分散されたVIPのSPNレコードを作成するには、次のコマンドを使用します。
setspn -S http/<DirectorFQDN> <domain>\<DirectorAppPoolServiceAcct> <!--NeedCopy--> -
作成されたSPNを表示またはテストするには、次のコマンドを使用します。
setspn –l <DirectorAppPoolServiceAcct> <!--NeedCopy-->
- 左ペインでDirector仮想ディレクトリを選択し、アプリケーション設定をダブルクリックします。アプリケーション設定ウィンドウ内で、追加をクリックし、AllowKerberosConstrainedDelegationが1に設定されていることを確認します。
-
左側のペインで「アプリケーションプール」を選択し、Director アプリケーションプールを右クリックして「詳細設定」を選択します。
-
「ID」を選択し、省略記号(「…」)をクリックしてサービスアカウントのドメイン\ログオンとパスワードの資格情報を入力します。IIS コンソールを閉じます。
- 管理者として実行したコマンドプロンプトから、ディレクトリを C:\Windows\System32\inetsrv に変更し、次のコマンドを入力します。
appcmd.exe set config “Default Web Site” -section:system.webServer/security/authentication/clientCertificateMappingAuthentication /enabled:”True” /commit:apphost
<!--NeedCopy-->
appcmd.exe set config “Default Web Site” -section:system.webServer/security/access /sslFlags:”Ssl, SslNegotiateCert” /commit:apphost
<!--NeedCopy-->
Firefox ブラウザーの構成
Firefox ブラウザーを使用するには、OpenSC 0.17.0 で入手可能な PIV ドライバーをインストールします。インストールと構成の手順については、Installing OpenSC PKCS#11 Module in Firefox, Step by Step を参照してください。 Director でのスマートカード認証機能の使用方法については、Director の記事の「Use Director with PIV based smart card authentication」セクションを参照してください。