Konfigurieren der PIV-Smartcardauthentifizierung

In diesem Artikel wird die zum Aktivieren der Smartcardauthentifizierung auf dem Director-Server und in Active Directory erforderliche Konfiguration behandelt.

Hinweis: Die Smartcardauthentifizierung wird nur für Benutzer aus derselben Active Directory-Domäne unterstützt.

Konfiguration des Director-Servers

Führen Sie die folgenden Konfigurationsschritte auf dem Director-Server aus:

  1. Installieren und aktivieren Sie die Clientzertifikatzuordnung-Authentifizierung. Folgen Sie den Anweisungen im Abschnitt Client Certificate Mapping authentication using Active Directory des Microsoft-Dokuments Client Certificate Mapping Authentication.

  2. Deaktivieren Sie die Formularauthentifizierung in der Director-Site.

    Starten Sie IIS-Manager.

    Rufen Sie Sites > Standardwebsite > Director auf.

    Wählen Sie Authentifizierung.

    Klicken Sie mit der rechten Maustaste auf Formularauthentifizierung und wählen Sie Deaktivieren.

    Deaktivieren der Formularauthentifizierung

  3. Konfigurieren Sie die Director-URL für das sicherere HTTPS-Protokoll (anstelle von HTTP) für die Clientzertifikatauthentifizierung.

    1. Starten Sie IIS-Manager.

    2. Rufen Sie Sites > Standardwebsite > Director auf.

    3. Wählen Sie SSL-Einstellungen.

    4. Wählen Sie SSL erforderlich und Clientzertifikate > Erforderlich.

    SSL-Einstellungen

  4. Aktualisieren Sie web.config. Öffnen Sie die Datei web.config (in c:\inetpub\wwwroot\Director) in einem Texteditor.

Fügen Sie unter dem Element <system.webServer> das folgende Snippet als erstes untergeordnetes Element hinzu:

<defaultDocument>
   <files>
       <add value="LogOn.aspx"/>
   </files>
</defaultDocument>

Active Directory-Konfiguration

Standardmäßig wird die Director-Anwendung mit der Identitätseigenschaft Application Pool ausgeführt. Die Smartcardauthentifizierung erfordert Delegierung, wofür die Director-Anwendungsidentität Trusted Computing Base-Privilegien auf dem Servicehost haben muss.

Citrix empfiehlt die Erstellung eines eigenen Dienstkontos für Application Pool-Identität. Erstellen Sie das Dienstkonto und weisen Sie TCB-Privilegien zu (siehe Microsoft-Artikel Protocol Transition with Constrained Delegation Technical Supplement).

Weisen Sie das neu erstellte Dienstkonto dem Director-Anwendungspool zu. Die folgende Abbildung zeigt das Dialogfeld “Eigenschaften” des Beispieldienstkontos, “Domain Pool”.

Dienstkontobeispiel

Konfigurieren Sie die folgenden Dienste für dieses Konto:

  • Delivery Controller: HOST, http
  • Director: HOST, http
  • Active Directory: GC, LDAP

Führen Sie hierfür folgende Schritte aus:

  1. Klicken Sie im Dialogfeld “Benutzerkontoeigenschaften” auf Hinzufügen.

  2. Klicken Sie im Dialogfeld Dienste hinzufügen auf “Benutzer” oder “Computer”.

  3. Wählen Sie den Delivery Controller-Hostnamen.

  4. Wählen Sie in der Liste Verfügbare Dienste den Diensttyp HOST und HTTP.

Dienstkonfiguration

Fügen Sie auf ähnliche Weise Diensttypen für Director- und Active Directory-Hosts hinzu.

Firefox-Konfiguration

Installieren Sie zur Verwendung von Firefox den auf OpenSC 0.17.0 verfügbaren PIV-Treiber. Anweisungen zu Installation und Konfiguration finden Sie unter Installing OpenSC PKCS#11 Module in Firefox, Step by Step. Informationen zur Verwendung der Authentifizierung per Smartcard in Director finden Sie unter Verwendung von Director mit Authentifizierung mit PIV-Smartcards.

Konfigurieren der PIV-Smartcardauthentifizierung