Konfigurieren der PIV-Smartcardauthentifizierung
In diesem Artikel wird die zum Aktivieren der Smartcardauthentifizierung auf dem Director-Server und in Active Directory erforderliche Konfiguration behandelt.
Hinweis:
Die Smartcardauthentifizierung wird nur für Benutzer aus derselben Active Directory-Domäne unterstützt.
Konfiguration des Director-Servers
Führen Sie die folgenden Konfigurationsschritte auf dem Director-Server aus:
-
Installieren und aktivieren Sie die Clientzertifikatzuordnung-Authentifizierung. Folgen Sie den Anweisungen im Abschnitt Client Certificate Mapping authentication using Active Directory des Microsoft-Dokuments Client Certificate Mapping Authentication.
-
Deaktivieren Sie die Formularauthentifizierung in der Director-Site.
Starten Sie IIS-Manager.
Rufen Sie Sites > Standardwebsite > Director auf.
Wählen Sie Authentifizierung.
Klicken Sie mit der rechten Maustaste auf Formularauthentifizierung und wählen Sie Deaktivieren.
-
Konfigurieren Sie die Director-URL für das sicherere HTTPS-Protokoll (anstelle von HTTP) für die Clientzertifikatauthentifizierung.
-
Starten Sie IIS-Manager.
-
Rufen Sie Sites > Standardwebsite > Director auf.
-
Wählen Sie SSL-Einstellungen.
-
Wählen Sie SSL erforderlich und Clientzertifikate > Erforderlich.
-
-
Aktualisieren Sie web.config. Öffnen Sie die Datei web.config (in c:\inetpub\wwwroot\Director) in einem Texteditor.
Fügen Sie unter dem Element <system.webServer> das folgende Snippet als erstes untergeordnetes Element hinzu:
<defaultDocument>
<files>
<add value="LogOn.aspx"/>
</files>
</defaultDocument>
Active Directory-Konfiguration
Standardmäßig wird die Director-Anwendung mit der Identitätseigenschaft Application Pool ausgeführt. Die Smartcardauthentifizierung erfordert Delegierung, wofür die Director-Anwendungsidentität Trusted Computing Base-Privilegien auf dem Servicehost haben muss.
Citrix empfiehlt die Erstellung eines eigenen Dienstkontos für Application Pool-Identität. Erstellen Sie das Dienstkonto und weisen Sie TCB-Privilegien zu (siehe MSDN-Artikel Protocol Transition with Constrained Delegation Technical Supplement).
Weisen Sie das neu erstellte Dienstkonto dem Director-Anwendungspool zu. Die folgende Abbildung zeigt das Dialogfeld “Eigenschaften” des Beispieldienstkontos, “Domain Pool”.
Konfigurieren Sie die folgenden Dienste für dieses Konto:
- Delivery Controller: HOST, HTTP
- Director: HOST, HTTP
- Active Directory: GC, LDAP
Zum Konfigurieren
-
Klicken Sie im Dialogfeld “Benutzerkontoeigenschaften” auf Hinzufügen.
-
Klicken Sie im Dialogfeld Dienste hinzufügen auf “Benutzer” oder “Computer”.
-
Wählen Sie den Delivery Controller-Hostnamen.
-
Wählen Sie in der Liste Verfügbare Dienste den Diensttyp HOST und HTTP.
Fügen Sie auf ähnliche Weise Diensttypen für Director- und Active Directory-Hosts hinzu.
Firefox-Konfiguration
Installieren Sie zur Verwendung von Firefox den auf OpenSC 0.17.0 verfügbaren PIV-Treiber. Anweisungen zu Installation und Konfiguration finden Sie unter Installing OpenSC PKCS#11 Module in Firefox, Step by Step. Informationen zur Verwendung der Authentifizierung per Smartcard in Director finden Sie unter Verwendung von Director mit Authentifizierung mit PIV-Smartcards.