Configurar a autenticação de cartão inteligente PIV
Este artigo lista a configuração necessária no Servidor Director e no Active Directory para habilitar o recurso de autenticação de cartão inteligente.
Observação:
A autenticação de cartão inteligente é suportada apenas para usuários do mesmo domínio do Active Directory.
Configuração do servidor Director
Execute as seguintes etapas de configuração no servidor Director:
-
Instale e habilite a Autenticação de Mapeamento de Certificado do Cliente. Siga as instruções de Autenticação de mapeamento de certificado do cliente usando o Active Directory no documento da Microsoft, Autenticação de Mapeamento de Certificado do Cliente.
-
Desabilite a Autenticação de Formulários no site do Director.
Inicie o Gerenciador do IIS.
Vá para Sites > Default Web Site > Director.
Selecione Authentication.
Clique com o botão direito do mouse em Forms Authentication e selecione Disable.
-
Configure a URL do Director para o protocolo HTTPS mais seguro (em vez de HTTP) para autenticação de certificado do cliente.
-
Inicie o Gerenciador do IIS.
-
Vá para Sites > Default Web Site > Director.
-
Selecione SSL Settings.
-
Selecione Require SSL e Client certificates > Require.
-
-
Atualize o web.config. Abra o arquivo web.config (disponível em c:\inetpub\wwwroot\Director) usando um editor de texto.
Sob o elemento pai <system.webServer>, adicione o seguinte trecho como o primeiro elemento filho:
<defaultDocument>
<files>
<add value="LogOn.aspx"/>
</files>
</defaultDocument>
Configuração do Active Directory
Por padrão, o aplicativo Director é executado com a propriedade de identidade do Application Pool. A autenticação de cartão inteligente requer delegação para a qual a identidade do aplicativo Director deve ter privilégios de Trusted Computing Base (TCB) no host do serviço.
A Citrix recomenda que você crie uma conta de serviço separada para a identidade do Application Pool. Crie a conta de serviço e atribua privilégios TCB conforme as instruções no artigo da MSDN Microsoft, Suplemento Técnico de Transição de Protocolo com Delegação Restrita.
Atribua a conta de serviço recém-criada ao pool de aplicativos do Director. A figura a seguir mostra a caixa de diálogo de propriedades de uma conta de serviço de exemplo, Domain Pool.
Configure os seguintes serviços para esta conta:
- Delivery Controller™: HOST, HTTP
- Director: HOST, HTTP
- Active Directory: GC, LDAP
Para configurar,
-
Na caixa de diálogo de propriedades da conta de usuário, clique em Add.
-
Na caixa de diálogo Add Services, clique em Users or Computers.
-
Selecione o nome do host do Delivery Controller.
-
Na lista Available services, selecione HOST e HTTP em Service Type.
Da mesma forma, adicione Tipos de Serviço para os hosts Director e Active Directory.
Configuração do navegador Firefox
Para usar o navegador Firefox, instale o driver PIV disponível em OpenSC 0.17.0. Para obter instruções de instalação e configuração, consulte Installing OpenSC PKCS#11 Module in Firefox, Step by Step. Para obter informações sobre o uso do recurso de autenticação de cartão inteligente no Director, consulte a seção Usar o Director com autenticação de cartão inteligente baseada em PIV no artigo do Director.