Configurar a autenticação por cartão inteligente PIV

Este artigo lista a configuração necessária no Director Server e no Active Directory para habilitar o recurso de autenticação por cartão inteligente.

Nota:

A autenticação por cartão inteligente é suportada apenas para usuários do mesmo domínio do Active Directory.

Configuração do servidor do Director

Execute as seguintes etapas de configuração no servidor do Director:

  1. Instale e ative a autenticação de mapeamento de certificado de cliente. Siga as instruções em Client Certificate Mapping authentication using Active Directory no documento da Microsoft, Client Certificate Mapping Authentication.

  2. Desabilite a autenticação de formulários no site do Director.

    Inicie o Gerenciador do IIS.

    Vá para Sites > Site Padrão > Director.

    Selecione Autenticação.

    Clique com o botão direito em Autenticação de formulários e selecione Desativar.

    Desativar autenticação de formulários

  3. Configure a URL do Director com o protocolo https mais seguro (em vez de HTTP) para autenticação de certificado de cliente.

    1. Inicie o Gerenciador do IIS.

    2. Vá para Sites > Site Padrão > Director.

    3. Selecione Configurações de SSL.

    4. Selecione Exigir SSL e Certificados de cliente > Exigir.

    Configurações de SSL

  4. Atualize web.config. Abra o arquivo web.config (disponível em c:\inetpub\wwwroot\Director) usando um editor de texto.

Sob o elemento pai <system.webServer>, adicione o seguinte trecho como o primeiro elemento filho:

<defaultDocument>
   <files>
       <add value="LogOn.aspx"/>
   </files>
</defaultDocument>

Configuração do Active Directory

Por padrão, o aplicativo Director é executado com a propriedade de identidade Pool de aplicativos. A autenticação por cartão inteligente requer delegação para a qual a identidade do aplicativo do Director deve ter privilégios de Base Computacional Confiável (TCB) no host de serviço.

A Citrix recomenda que você crie uma conta de serviço separada para a identidade do Pool de Aplicativos. Crie a conta de serviço e atribua privilégios TCB de acordo com as instruções no artigo do Microsoft MSDN, Protocol Transition with Constrained Delegation Technical Supplement.

Atribua a conta de serviço recém-criada ao pool de aplicativos do Director. A figura a seguir mostra a caixa de diálogo de propriedades de uma conta de serviço de exemplo, Domain Pool.

Conta de serviço de exemplo

Configure os seguintes serviços para essa conta:

  • Delivery Controller: HOST, HTTP
  • Director: HOST, HTTP
  • Active Directory: GC, LDAP

Para configurar,

  1. Na caixa de diálogo de propriedades da conta de usuário, clique em Adicionar.

  2. Na caixa de diálogo Adicionar serviços, clique em Usuários ou Computadores.

  3. Selecione o nome do host do Delivery Controller.

  4. Na lista Serviços disponíveis, selecione o Tipo de serviço HOST e HTTP.

Configurar os serviços

Da mesma forma, adicione Tipos de serviço para os hosts do Director e Active Directory.

Criar registros de nome da entidade de serviço

Você deve criar uma conta de serviço para cada servidor Director e IPs Virtuais (VIP) com balanceamento de carga usados para acessar um pool de servidores do Director. Você deve criar registros de nome da entidade de serviço (SPN) para configurar uma delegação para a conta de serviço recém-criada.

  • Use o comando a seguir para criar um registro SPN para um servidor do Director:

      setspn -a http/<directorServer>.<domain_fqdn> <domain><DirectorAppPoolServiceAcct>
    
     <!--NeedCopy-->
    
  • Use the following command to create an SPN record for a load-balanced VIP:

      setspn -S http/<DirectorFQDN> <domain>\<DirectorAppPoolServiceAcct>
    
     <!--NeedCopy-->
    
  • Use o comando a seguir para visualizar ou testar os SPNs criados:

     setspn –l <DirectorAppPoolServiceAcct>
    
     <!--NeedCopy-->
    

Smart Card

  • Select the Director virtual directory in the left pane and double click **Application Settings**. Inside the Application Settings window, click **Add** and ensure **AllowKerberosConstrainedDelegation** is set to 1.

Kerberos

  • Select **Application Pools** in the left-hand pane, then right-click the Director application pool and select **Advanced Settings**.

  • Select **Identity**, click the ellipses (“…”) to enter the service account domain\logon and password credentials. Close the IIS console.

Identity

  • From an elevated command prompt, change the directory to C:\Windows\System32\inetsrv and enter the following commands:
   appcmd.exe set config “Default Web Site” -section:system.webServer/security/authentication/clientCertificateMappingAuthentication /enabled:”True” /commit:apphost

<!--NeedCopy-->

    appcmd.exe set config “Default Web Site” -section:system.webServer/security/access /sslFlags:”Ssl, SslNegotiateCert” /commit:apphost
\`\`\`

![Prompt de comando](/en-us/citrix-virtual-apps-desktops/media/dir-smart-card-auth-5-scaled.png)

## Configuração do navegador Firefox

Para usar o navegador Firefox, instale o driver PIV disponível em [OpenSC 0.17.0](https://github.com/OpenSC/OpenSC/releases/tag/0.17.0). Para obter instruções de instalação e configuração, consulte [Installing OpenSC PKCS#11 Module in Firefox, Step by Step](https://github.com/OpenSC/OpenSC/wiki/Installing-OpenSC-PKCS%2311-Module-in-Firefox,-Step-by-Step).
Para obter informações sobre o uso do recurso de autenticação por cartão inteligente no Director, consulte a seção [Usar o Director com autenticação por cartão inteligente PIV](/pt-br/citrix-virtual-apps-desktops/director.html#use-director-with-piv-smart-card-authentication) no artigo Director.<!--NeedCopy-->
Configurar a autenticação por cartão inteligente PIV