Produktdokumentation

PIV-Smartcard-Authentifizierung konfigurieren

June 5, 2026
Beitrag von: 
C

Dieser Artikel listet die erforderliche Konfiguration auf dem Director-Server und in Active Directory auf, um die Smartcard-Authentifizierungsfunktion zu aktivieren.

Hinweis:

Die Smartcard-Authentifizierung wird nur für Benutzer aus derselben Active Directory-Domäne unterstützt.

Director-Serverkonfiguration

Führen Sie die folgenden Konfigurationsschritte auf dem Director-Server aus:

  1. Installieren und aktivieren Sie die Clientzertifikatzuordnungsauthentifizierung. Befolgen Sie die Anweisungen zur Clientzertifikatzuordnungsauthentifizierung mit Active Directory im Microsoft-Dokument Client Certificate Mapping Authentication.

  2. Deaktivieren Sie die Formularauthentifizierung auf der Director-Site.

    Starten Sie den IIS-Manager.

    Gehen Sie zu Sites > Default Web Site > Director.

    Wählen Sie Authentication.

    Klicken Sie mit der rechten Maustaste auf Forms Authentication, und wählen Sie Disable.

    Formularauthentifizierung deaktivieren

  3. Konfigurieren Sie die Director-URL für das sicherere HTTPS-Protokoll (anstelle von HTTP) für die Clientzertifikatsauthentifizierung.

    1. Starten Sie den IIS-Manager.

    2. Gehen Sie zu Sites > Default Web Site > Director.

    3. Wählen Sie SSL-Einstellungen aus.

    4. Wählen Sie SSL erforderlich und Clientzertifikate > Erforderlich aus.

    SSL-Einstellungen

  4. web.config aktualisieren. Öffnen Sie die Datei web.config (verfügbar unter c:\inetpub\wwwroot\Director) mit einem Texteditor.

Fügen Sie unter dem übergeordneten Element <system.webServer> das folgende Snippet als erstes untergeordnetes Element hinzu:

<defaultDocument>
   <files>
       <add value="LogOn.aspx"/>
   </files>
</defaultDocument>

Active Directory-Konfiguration

Standardmäßig wird die Director-Anwendung mit der Identitätseigenschaft Application Pool ausgeführt. Die Smartcard-Authentifizierung erfordert eine Delegierung, für die die Identität der Director-Anwendung Trusted Computing Base (TCB)-Berechtigungen auf dem Diensthost haben muss.

Citrix empfiehlt, dass Sie ein separates Dienstkonto für die Application Pool-Identität erstellen. Erstellen Sie das Dienstkonto und weisen Sie TCB-Berechtigungen gemäß den Anweisungen im Microsoft MSDN-Artikel Protocol Transition with Constrained Delegation Technical Supplement zu.

Weisen Sie das neu erstellte Dienstkonto dem Director-Anwendungspool zu. Die folgende Abbildung zeigt das Eigenschaften-Dialogfeld eines Beispiel-Dienstkontos, Domain Pool.

Beispiel-Dienstkonto

Konfigurieren Sie die folgenden Dienste für dieses Konto:

  • Delivery Controller™: HOST, HTTP
  • Director: HOST, HTTP
  • Active Directory: GC, LDAP

Zum Konfigurieren:

  1. Klicken Sie im Dialogfeld für die Benutzerkontoeigenschaften auf Hinzufügen.

  2. Klicken Sie im Dialogfeld Dienste hinzufügen auf Benutzer oder Computer.

  3. Wählen Sie den Hostnamen des Delivery Controllers aus.

  4. Wählen Sie aus der Liste der Verfügbaren Dienste HOST und den HTTP Diensttyp aus.

Dienste konfigurieren

Fügen Sie auf ähnliche Weise Diensttypen für Director- und Active Directory-Hosts hinzu.

Dienstprinzipalnamen-Einträge erstellen

Sie müssen für jeden Director-Server und jede Lastenausgleichs-Virtual-IP (VIP), die für den Zugriff auf einen Pool von Director-Servern verwendet wird, ein Dienstkonto erstellen. Sie müssen Dienstprinzipalnamen (SPN)-Einträge erstellen, um eine Delegierung an das neu erstellte Dienstkonto zu konfigurieren.

  • Verwenden Sie den folgenden Befehl, um einen SPN-Eintrag für einen Director-Server zu erstellen:

      setspn -a http/<directorServer>.<domain_fqdn> <domain>\<DirectorAppPoolServiceAcct>

 <!--NeedCopy-->

  • Verwenden Sie den folgenden Befehl, um einen SPN-Eintrag für eine Lastenausgleichs-VIP zu erstellen:

      setspn -S http/<DirectorFQDN> <domain>\<DirectorAppPoolServiceAcct>

 <!--NeedCopy-->

  • Verwenden Sie den folgenden Befehl, um die erstellten SPNs anzuzeigen oder zu testen:

     setspn –l <DirectorAppPoolServiceAcct>

 <!--NeedCopy-->

Smartcard

  • Wählen Sie im linken Bereich das virtuelle Director-Verzeichnis aus und doppelklicken Sie auf Anwendungseinstellungen. Klicken Sie im Fenster Anwendungseinstellungen auf Hinzufügen und stellen Sie sicher, dass AllowKerberosConstrainedDelegation auf 1 gesetzt ist.

Kerberos

  • Wählen Sie im linken Bereich Anwendungspools aus, klicken Sie dann mit der rechten Maustaste auf den Director-Anwendungspool und wählen Sie Erweiterte Einstellungen.

  • Wählen Sie Identität aus, klicken Sie auf die Auslassungspunkte („…“), um die Anmeldeinformationen (Domäne\Anmeldung und Kennwort) des Dienstkontos einzugeben. Schließen Sie die IIS-Konsole.

Identität

  • Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten, wechseln Sie in das Verzeichnis C:\Windows\System32\inetsrv und geben Sie die folgenden Befehle ein:
   appcmd.exe set config “Default Web Site” -section:system.webServer/security/authentication/clientCertificateMappingAuthentication /enabled:”True” /commit:apphost

<!--NeedCopy-->


    appcmd.exe set config “Default Web Site” -section:system.webServer/security/access /sslFlags:”Ssl, SslNegotiateCert” /commit:apphost
<!--NeedCopy-->

Eingabeaufforderung

Firefox-Browserkonfiguration

Um den Firefox-Browser zu verwenden, installieren Sie den PIV-Treiber, der unter OpenSC 0.17.0 verfügbar ist. Anweisungen zur Installation und Konfiguration finden Sie unter Installing OpenSC PKCS#11 Module in Firefox, Step by Step. Informationen zur Verwendung der Smartcard-Authentifizierungsfunktion in Director finden Sie im Abschnitt Use Director with PIV based smart card authentication im Director-Artikel.

PIV-Smartcard-Authentifizierung konfigurieren
June 5, 2026
Beitrag von: 
C
June 5, 2026
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.