Configurar a autenticação de cartão inteligente PIV
Este artigo lista a configuração necessária no Servidor Director e no Active Directory para habilitar o recurso de autenticação de cartão inteligente.
Observação:
A autenticação de cartão inteligente é suportada apenas para usuários do mesmo domínio do Active Directory.
Configuração do servidor Director
Execute as seguintes etapas de configuração no servidor Director:
-
Instale e habilite a Autenticação de Mapeamento de Certificado de Cliente. Siga as instruções de Autenticação de Mapeamento de Certificado de Cliente usando o Active Directory no documento da Microsoft, Autenticação de Mapeamento de Certificado de Cliente.
-
Desabilite a Autenticação de Formulários no site do Director.
Inicie o Gerenciador do IIS.
Vá para “Sites” > “Default Web Site” > “Director”.
Selecione “Autenticação”.
Clique com o botão direito do mouse em “Autenticação de Formulários” e selecione “Desabilitar”.
-
Configure a URL do Director para o protocolo HTTPS mais seguro (em vez de HTTP) para autenticação de certificado de cliente.
-
Inicie o Gerenciador do IIS.
-
Vá para “Sites” > “Default Web Site” > “Director”.
-
Selecione “Configurações SSL”.
-
Selecione “Exigir SSL” e “Certificados de cliente” > “Exigir”.
-
-
Atualize o web.config. Abra o arquivo web.config (disponível em c:\inetpub\wwwroot\Director) usando um editor de texto.
Sob o elemento pai <system.webServer>, adicione o seguinte trecho como o primeiro elemento filho:
<defaultDocument>
<files>
<add value="LogOn.aspx"/>
</files>
</defaultDocument>
Configuração do Active Directory
Por padrão, o aplicativo Director é executado com a propriedade de identidade do Pool de Aplicativos. A autenticação de cartão inteligente requer delegação, para a qual a identidade do aplicativo Director deve ter privilégios de Trusted Computing Base (TCB) no host do serviço.
A Citrix recomenda que você crie uma conta de serviço separada para a identidade do Pool de Aplicativos. Crie a conta de serviço e atribua privilégios TCB conforme as instruções no artigo da MSDN Microsoft, Protocol Transition with Constrained Delegation Technical Supplement.
Atribua a conta de serviço recém-criada ao pool de aplicativos do Director. A figura a seguir mostra a caixa de diálogo de propriedades de uma conta de serviço de exemplo, Pool de Domínio.
Configure os seguintes serviços para esta conta:
- Delivery Controller™: HOST, HTTP
- Director: HOST, HTTP
- Active Directory: GC, LDAP
Para configurar,
-
Na caixa de diálogo de propriedades da conta de usuário, clique em “Adicionar”.
-
Na caixa de diálogo “Adicionar Serviços”, clique em “Usuários” ou “Computadores”.
-
Selecione o nome do host do Delivery Controller.
-
Na lista “Serviços disponíveis”, selecione HOST e HTTP em “Tipo de Serviço”.
Da mesma forma, adicione Tipos de Serviço para os hosts Director e Active Directory.
Configuração do navegador Firefox
Para usar o navegador Firefox, instale o driver PIV disponível em OpenSC 0.17.0. Para instruções de instalação e configuração, consulte Installing OpenSC PKCS#11 Module in Firefox, Step by Step. Para obter informações sobre o uso do recurso de autenticação de cartão inteligente no Director, consulte a seção Usar o Director com autenticação de cartão inteligente baseada em PIV no artigo do Director.