Configurar a autenticação por cartão inteligente PIV
Este artigo lista a configuração necessária no Director Server e no Active Directory para habilitar o recurso de autenticação por cartão inteligente.
Nota:
A autenticação por cartão inteligente é suportada apenas para usuários do mesmo domínio do Active Directory.
Configuração do servidor do Director
Execute as seguintes etapas de configuração no servidor do Director:
-
Instale e ative a autenticação de mapeamento de certificado de cliente. Siga as instruções em Client Certificate Mapping authentication using Active Directory no documento da Microsoft, Client Certificate Mapping Authentication.
-
Desabilite a autenticação de formulários no site do Director.
Inicie o Gerenciador do IIS.
Vá para Sites > Site Padrão > Director.
Selecione Autenticação.
Clique com o botão direito em Autenticação de formulários e selecione Desativar.
-
Configure a URL do Director com o protocolo https mais seguro (em vez de HTTP) para autenticação de certificado de cliente.
-
Inicie o Gerenciador do IIS.
-
Vá para Sites > Site Padrão > Director.
-
Selecione Configurações de SSL.
-
Selecione Exigir SSL e Certificados de cliente > Exigir.
-
-
Atualize web.config. Abra o arquivo web.config (disponível em c:\inetpub\wwwroot\Director) usando um editor de texto.
Sob o elemento pai <system.webServer>
, adicione o seguinte trecho como o primeiro elemento filho:
<defaultDocument>
<files>
<add value="LogOn.aspx"/>
</files>
</defaultDocument>
Configuração do Active Directory
Por padrão, o aplicativo Director é executado com a propriedade de identidade Pool de aplicativos. A autenticação por cartão inteligente requer delegação para a qual a identidade do aplicativo do Director deve ter privilégios de Base Computacional Confiável (TCB) no host de serviço.
A Citrix recomenda que você crie uma conta de serviço separada para a identidade do Pool de Aplicativos. Crie a conta de serviço e atribua privilégios TCB de acordo com as instruções no artigo do MSDN Microsoft, Protocol Transition with Constrained Delegation Technical Supplement.
Atribua a conta de serviço recém-criada ao pool de aplicativos do Director. A figura a seguir mostra a caixa de diálogo de propriedades de uma conta de serviço de exemplo, Domain Pool.
Configure os seguintes serviços para essa conta:
- Delivery Controller: HOST, HTTP
- Director: HOST, HTTP
- Active Directory: GC, LDAP
Para configurar,
-
Na caixa de diálogo de propriedades da conta de usuário, clique em Adicionar.
-
Na caixa de diálogo Adicionar serviços, clique em Usuários ou Computadores.
-
Selecione o nome do host do Delivery Controller.
-
Na lista Serviços disponíveis, selecione o Tipo de serviço HOST e HTTP.
Da mesma forma, adicione Tipos de serviço para os hosts do Director e Active Directory.
Configuração do navegador Firefox
Para usar o navegador Firefox, instale o driver PIV disponível em OpenSC 0.17.0. Para obter instruções de instalação e configuração, consulte Installing OpenSC PKCS#11 Module in Firefox, Step by Step. Para obter informações sobre o uso do recurso de autenticação por cartão inteligente no Director, consulte a seção Usar o Director com autenticação por cartão inteligente PIV no artigo Director.