Produktdokumentation

PIV-Smartcard-Authentifizierung konfigurieren

June 5, 2026
Beitrag von: 
C

Dieser Artikel listet die erforderliche Konfiguration auf dem Director-Server und im Active Directory auf, um die Smartcard-Authentifizierungsfunktion zu aktivieren.

Hinweis:

Die Smartcard-Authentifizierung wird nur für Benutzer aus derselben Active Directory-Domäne unterstützt.

Director-Server-Konfiguration

Führen Sie die folgenden Konfigurationsschritte auf dem Director-Server aus:

  1. Installieren und aktivieren Sie die Clientzertifikat-Zuordnungsauthentifizierung. Befolgen Sie die Anweisungen zur Clientzertifikat-Zuordnungsauthentifizierung mit Active Directory im Microsoft-Dokument Clientzertifikat-Zuordnungsauthentifizierung.

  2. Deaktivieren Sie die Formularauthentifizierung auf der Director-Site.

    Starten Sie den IIS-Manager.

    Gehen Sie zu Sites > Default Web Site > Director.

    Wählen Sie Authentifizierung.

    Klicken Sie mit der rechten Maustaste auf Formularauthentifizierung, und wählen Sie Deaktivieren.

    Formularauthentifizierung deaktivieren

  3. Konfigurieren Sie die Director-URL für das sicherere HTTPS-Protokoll (anstelle von HTTP) für die Clientzertifikat-Authentifizierung.

    1. Starten Sie den IIS-Manager.

    2. Gehen Sie zu Sites > Default Web Site > Director.

    3. Wählen Sie SSL-Einstellungen aus.

    4. Wählen Sie Require SSL und Client certificates > Require aus.

    SSL-Einstellungen

  4. Aktualisieren Sie web.config. Öffnen Sie die Datei web.config (verfügbar unter c:\inetpub\wwwroot\Director) mit einem Texteditor.

Fügen Sie unter dem übergeordneten Element <system.webServer> den folgenden Codeausschnitt als erstes untergeordnetes Element hinzu:

<defaultDocument>
   <files>
       <add value="LogOn.aspx"/>
   </files>
</defaultDocument>

Active Directory-Konfiguration

Standardmäßig wird die Director-Anwendung mit der Identitätseigenschaft Application Pool ausgeführt. Die Smartcard-Authentifizierung erfordert eine Delegierung, für die die Identität der Director-Anwendung über Trusted Computing Base (TCB)-Berechtigungen auf dem Diensthost verfügen muss.

Citrix empfiehlt, ein separates Dienstkonto für die Application Pool-Identität zu erstellen. Erstellen Sie das Dienstkonto und weisen Sie TCB-Berechtigungen gemäß den Anweisungen im Microsoft MSDN-Artikel Protocol Transition with Constrained Delegation Technical Supplement zu.

Weisen Sie das neu erstellte Dienstkonto dem Director-Anwendungspool zu. Die folgende Abbildung zeigt das Eigenschaften-Dialogfeld eines Beispiel-Dienstkontos, Domain Pool.

Beispiel-Dienstkonto

Konfigurieren Sie die folgenden Dienste für dieses Konto:

  • Delivery Controller™: HOST, HTTP
  • Director: HOST, HTTP
  • Active Directory: GC, LDAP

Zum Konfigurieren,

  1. Klicken Sie im Dialogfeld für die Benutzerkontoeigenschaften auf Hinzufügen.

  2. Klicken Sie im Dialogfeld Dienste hinzufügen auf Benutzer oder Computer.

  3. Wählen Sie den Hostnamen des Delivery Controllers aus.

  4. Wählen Sie aus der Liste der Verfügbaren Dienste den HOST und den HTTP Diensttyp aus.

Dienste konfigurieren

Fügen Sie auf ähnliche Weise Diensttypen für Director- und Active Directory-Hosts hinzu.

Dienstprinzipalnamen-Einträge erstellen

Sie müssen für jeden Director-Server und für jede Lastenausgleichs-Virtual-IP (VIP), die für den Zugriff auf einen Pool von Director-Servern verwendet wird, ein Dienstkonto erstellen. Sie müssen Dienstprinzipalnamen (SPN)-Einträge erstellen, um eine Delegierung an das neu erstellte Dienstkonto zu konfigurieren.

  • Verwenden Sie den folgenden Befehl, um einen SPN-Eintrag für einen Director-Server zu erstellen:

      setspn -a http/<directorServer>.<domain_fqdn> <domain>\<DirectorAppPoolServiceAcct>

 <!--NeedCopy-->

  • Verwenden Sie den folgenden Befehl, um einen SPN-Eintrag für eine Lastenausgleichs-VIP zu erstellen:

      setspn -S http/<DirectorFQDN> <domain>\<DirectorAppPoolServiceAcct>

 <!--NeedCopy-->

  • Verwenden Sie den folgenden Befehl, um die erstellten SPNs anzuzeigen oder zu testen:

     setspn –l <DirectorAppPoolServiceAcct>

 <!--NeedCopy-->

Smartcard

  • Wählen Sie im linken Bereich das virtuelle Director-Verzeichnis aus und doppelklicken Sie auf Anwendungseinstellungen. Klicken Sie im Fenster Anwendungseinstellungen auf Hinzufügen und stellen Sie sicher, dass AllowKerberosConstrainedDelegation auf 1 gesetzt ist.

Kerberos

  • Wählen Sie Anwendungspools im linken Bereich aus, klicken Sie dann mit der rechten Maustaste auf den Director-Anwendungspool und wählen Sie Erweiterte Einstellungen.

  • Wählen Sie Identität aus, klicken Sie auf die Auslassungspunkte („…“), um die Anmeldeinformationen (Domäne\Anmeldung und Kennwort) des Dienstkontos einzugeben. Schließen Sie die IIS-Konsole.

Identität

  • Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten, wechseln Sie das Verzeichnis nach C:\Windows\System32\inetsrv und geben Sie die folgenden Befehle ein:
   appcmd.exe set config “Default Web Site” -section:system.webServer/security/authentication/clientCertificateMappingAuthentication /enabled:”True” /commit:apphost

<!--NeedCopy-->


    appcmd.exe set config “Default Web Site” -section:system.webServer/security/access /sslFlags:”Ssl, SslNegotiateCert” /commit:apphost
<!--NeedCopy-->

Eingabeaufforderung

Firefox-Browser-Konfiguration

Um den Firefox-Browser zu verwenden, installieren Sie den PIV-Treiber, der unter OpenSC 0.17.0 verfügbar ist. Installations- und Konfigurationsanweisungen finden Sie unter Installieren des OpenSC PKCS#11-Moduls in Firefox, Schritt für Schritt. Informationen zur Verwendung der Smartcard-Authentifizierungsfunktion in Director finden Sie im Abschnitt Director mit PIV-basierter Smartcard-Authentifizierung verwenden im Director-Artikel.

PIV-Smartcard-Authentifizierung konfigurieren
June 5, 2026
Beitrag von: 
C
June 5, 2026
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.