Produktdokumentation
Director
PDF anzeigen

PIV-Smartcard-Authentifizierung konfigurieren

June 5, 2026
Beitrag von: 
C

Dieser Artikel listet die erforderliche Konfiguration auf dem Director-Server und im Active Directory auf, um die Smartcard-Authentifizierungsfunktion zu aktivieren.

Hinweis:

Die Smartcard-Authentifizierung wird nur für Benutzer aus derselben Active Directory-Domäne unterstützt.

Director-Server-Konfiguration

Führen Sie die folgenden Konfigurationsschritte auf dem Director-Server aus:

  1. Installieren und aktivieren Sie die Clientzertifikat-Zuordnungsauthentifizierung. Befolgen Sie die Anweisungen zur Clientzertifikat-Zuordnungsauthentifizierung mit Active Directory im Microsoft-Dokument Clientzertifikat-Zuordnungsauthentifizierung.

  2. Deaktivieren Sie die Formularauthentifizierung auf der Director-Site.

    Starten Sie den IIS-Manager.

    Gehen Sie zu Sites > Standardwebsite > Director.

    Wählen Sie Authentifizierung.

    Klicken Sie mit der rechten Maustaste auf Formularauthentifizierung, und wählen Sie Deaktivieren.

    Formularauthentifizierung deaktivieren

  3. Konfigurieren Sie die Director-URL für das sicherere HTTPS-Protokoll (anstelle von HTTP) für die Clientzertifikat-Authentifizierung.

    1. Starten Sie den IIS-Manager.

    2. Gehen Sie zu Sites > Standardwebsite > Director.

    3. Wählen Sie SSL-Einstellungen.

    4. Wählen Sie SSL erforderlich und Clientzertifikate > Erforderlich.

    SSL-Einstellungen

  4. web.config aktualisieren. Öffnen Sie die Datei web.config (verfügbar unter c:\inetpub\wwwroot\Director) mit einem Texteditor.

Fügen Sie unter dem <system.webServer>-Elternelement das folgende Snippet als erstes untergeordnetes Element hinzu:

<defaultDocument>
   <files>
       <add value="LogOn.aspx"/>
   </files>
</defaultDocument>

Active Directory-Konfiguration

Standardmäßig wird die Director-Anwendung mit der Identitätseigenschaft des Anwendungspools ausgeführt. Die Smartcard-Authentifizierung erfordert eine Delegierung, für die die Identität der Director-Anwendung über Trusted Computing Base (TCB)-Berechtigungen auf dem Diensthost verfügen muss.

Citrix empfiehlt, ein separates Dienstkonto für die Identität des Anwendungspools zu erstellen. Erstellen Sie das Dienstkonto und weisen Sie TCB-Berechtigungen gemäß den Anweisungen im Microsoft MSDN-Artikel Protocol Transition with Constrained Delegation Technical Supplement zu.

Weisen Sie das neu erstellte Dienstkonto dem Director-Anwendungspool zu. Die folgende Abbildung zeigt das Eigenschaften-Dialogfeld eines Beispiel-Dienstkontos, Domain Pool.

Beispiel-Dienstkonto

Konfigurieren Sie die folgenden Dienste für dieses Konto:

  • Delivery Controller™: HOST, HTTP
  • Director: HOST, HTTP
  • Active Directory: GC, LDAP

Zum Konfigurieren,

  1. Klicken Sie im Dialogfeld für die Benutzerkontoeigenschaften auf Hinzufügen.

  2. Klicken Sie im Dialogfeld Dienste hinzufügen auf Benutzer oder Computer.

  3. Wählen Sie den Hostnamen des Delivery Controllers aus.

  4. Wählen Sie aus der Liste Verfügbare Dienste die Option HOST und HTTP Diensttyp aus.

Dienste konfigurieren

Fügen Sie auf ähnliche Weise Diensttypen für die Hosts von Director und Active Directory hinzu.

Dienstprinzipalnamen-Einträge erstellen

Sie müssen für jeden Director-Server und jede Lastenausgleichs-Virtual-IP (VIP), die für den Zugriff auf einen Pool von Director-Servern verwendet wird, ein Dienstkonto erstellen. Sie müssen Dienstprinzipalnamen (SPN)-Einträge erstellen, um eine Delegierung an das neu erstellte Dienstkonto zu konfigurieren.

  • Verwenden Sie den folgenden Befehl, um einen SPN-Eintrag für einen Director-Server zu erstellen:

      setspn -a http/<directorServer>.<domain_fqdn> <domain>\<DirectorAppPoolServiceAcct>

 <!--NeedCopy-->

  • Verwenden Sie den folgenden Befehl, um einen SPN-Eintrag für eine Lastenausgleichs-VIP zu erstellen:

      setspn -S http/<DirectorFQDN> <domain>\<DirectorAppPoolServiceAcct>

 <!--NeedCopy-->

  • Verwenden Sie den folgenden Befehl, um die erstellten SPNs anzuzeigen oder zu testen:

     setspn –l <DirectorAppPoolServiceAcct>

 <!--NeedCopy-->

Smartcard

  • Wählen Sie im linken Bereich das virtuelle Director-Verzeichnis aus und doppelklicken Sie auf Anwendungseinstellungen. Klicken Sie im Fenster Anwendungseinstellungen auf Hinzufügen und stellen Sie sicher, dass AllowKerberosConstrainedDelegation auf 1 gesetzt ist.

Kerberos

  • Wählen Sie im linken Bereich Anwendungspools aus, klicken Sie dann mit der rechten Maustaste auf den Director-Anwendungspool und wählen Sie Erweiterte Einstellungen.

  • Wählen Sie Identität aus, klicken Sie auf die Auslassungspunkte („…“), um die Anmeldeinformationen für Domäne\Anmeldung und Kennwort des Dienstkontos einzugeben. Schließen Sie die IIS-Konsole.

Identität

  • Wechseln Sie in einer Eingabeaufforderung mit erhöhten Rechten in das Verzeichnis C:\Windows\System32\inetsrv und geben Sie die folgenden Befehle ein:
   appcmd.exe set config “Default Web Site” -section:system.webServer/security/authentication/clientCertificateMappingAuthentication /enabled:”True” /commit:apphost

<!--NeedCopy-->


    appcmd.exe set config “Default Web Site” -section:system.webServer/security/access /sslFlags:”Ssl, SslNegotiateCert” /commit:apphost
<!--NeedCopy-->

Eingabeaufforderung

Firefox-Browserkonfiguration

Um den Firefox-Browser zu verwenden, installieren Sie den PIV-Treiber, der unter OpenSC 0.17.0 verfügbar ist. Anweisungen zur Installation und Konfiguration finden Sie unter Installing OpenSC PKCS#11 Module in Firefox, Step by Step. Informationen zur Verwendung der Smartcard-Authentifizierungsfunktion in Director finden Sie im Abschnitt Director mit PIV-basierter Smartcard-Authentifizierung verwenden im Director-Artikel.

PIV-Smartcard-Authentifizierung konfigurieren
June 5, 2026
Beitrag von: 
C
June 5, 2026
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.