Produktdokumentation
Citrix Virtual Apps and Desktops
Service Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912 LTSR
PDF anzeigen

PIV-Smartcardauthentifizierung konfigurieren

November 25, 2025
Beitrag von: 
C

In diesem Artikel wird die zum Aktivieren der Smartcardauthentifizierung auf dem Director-Server und in Active Directory erforderliche Konfiguration behandelt.

Hinweis:

Die Smartcardauthentifizierung wird nur für Benutzer aus derselben Active Directory-Domäne unterstützt.

Konfiguration des Director-Servers

Führen Sie die folgenden Konfigurationsschritte auf dem Director-Server aus:

  1. Installieren und aktivieren Sie die Clientzertifikatzuordnung-Authentifizierung. Folgen Sie den Anweisungen im Abschnitt Client Certificate Mapping authentication using Active Directory des Microsoft-Dokuments Client Certificate Mapping Authentication.

  2. Deaktivieren Sie die Formularauthentifizierung in der Director-Site.

    Starten Sie IIS-Manager.

    Gehen Sie zu Sites > Standardwebsite > Director.

    Wählen Sie Authentifizierung.

    Klicken Sie mit der rechten Maustaste auf Formularauthentifizierung und wählen Sie Deaktivieren.

    Formularauthentifizierung deaktivieren

  3. Konfigurieren Sie die Director-URL für das sicherere HTTPS-Protokoll (anstelle von HTTP) für die Clientzertifikatauthentifizierung.

    1. Starten Sie IIS-Manager.

    2. Gehen Sie zu Sites > Standardwebsite > Director.

    3. Wählen Sie SSL-Einstellungen.

    4. Wählen Sie SSL erforderlich und Clientzertifikate > Erforderlich.

    SSL-Einstellungen

  4. Aktualisieren Sie web.config. Öffnen Sie die Datei web.config (verfügbar unter c:\inetpub\wwwroot\Director) mit einem Texteditor.

Fügen Sie unter dem Element <system.webServer> das folgende Snippet als erstes untergeordnetes Element hinzu:

  <defaultDocument>
   <files>
       <add value="LogOn.aspx"/>
   </files>
</defaultDocument>

Active Directory-Konfiguration

Standardmäßig wird die Director-Anwendung mit der Identitätseigenschaft Application Pool ausgeführt. Die Smartcardauthentifizierung erfordert Delegierung, wofür die Director-Anwendungsidentität Trusted Computing Base-Privilegien auf dem Servicehost haben muss.

Citrix empfiehlt die Erstellung eines eigenen Dienstkontos für die Application Pool-Identität. Erstellen Sie das Dienstkonto und weisen Sie TCB-Privilegien zu (siehe MSDN-Artikel Protocol Transition with Constrained Delegation Technical Supplement).

Weisen Sie das neu erstellte Dienstkonto dem Director-Anwendungspool zu. Die folgende Abbildung zeigt das Dialogfeld “Eigenschaften” des Beispieldienstkontos, “Domain Pool”.

Dienstkontobeispiel

Konfigurieren Sie die folgenden Dienste für dieses Konto:

  • Delivery Controller™: HOST, HTTP
  • Director: HOST, HTTP
  • Active Directory: GC, LDAP

Zum Konfigurieren

  1. Klicken Sie im Dialogfeld “Benutzerkontoeigenschaften” auf Hinzufügen.

  2. Klicken Sie im Dialogfeld Dienste hinzufügen auf “Benutzer” oder “Computer”.

  3. Wählen Sie den Delivery Controller-Hostnamen.

  4. Wählen Sie in der Liste Verfügbare Dienste den Diensttyp HOST und HTTP.

Dienstkonfiguration

Fügen Sie auf ähnliche Weise Diensttypen für Director- und Active Directory-Hosts hinzu.

Dienstprinzipalnamenseinträge erstellen

Sie müssen ein Dienstkonto für jeden Director-Server und jede virtuelle IP-Adresse mit Lastausgleich erstellen, die für den Zugriff auf einen Director-Serverpool verwendet wird. Sie müssen Dienstprinzipalnamenseinträge erstellen, um eine Delegierung an das neu erstellte Dienstkonto zu konfigurieren.

  • Verwenden Sie den folgenden Befehl, um einen Dienstprinzipalnamenseintrag für einen Director-Server zu erstellen:

        setspn -a http/<directorServer>.<domain_fqdn> <domain>\<DirectorAppPoolServiceAcct> 

 <!--NeedCopy-->

  • Verwenden Sie den folgenden Befehl, um einen SPN-Eintrag für eine lastausgeglichene VIP zu erstellen:

        setspn -S http/<DirectorFQDN> <domain>\<DirectorAppPoolServiceAcct>

 <!--NeedCopy-->

  • Verwenden Sie den folgenden Befehl, um die erstellten Dienstprinzipalnamen anzuzeigen oder zu testen:

       setspn –l <DirectorAppPoolServiceAcct> 

 <!--NeedCopy-->

Smartcard

  • Wählen Sie im linken Bereich das virtuelle Director-Verzeichnis aus und doppelklicken Sie auf Anwendungseinstellungen. Klicken Sie im Fenster “Anwendungseinstellungen” auf .Hinzufügen und achten Sie darauf, dass AllowKerberosConstrainedDelegation auf 1 gesetzt ist.

Kerberos

  • Wählen Sie im linken Bereich Anwendungspools aus, klicken Sie dann mit der rechten Maustaste auf den Director-Anwendungspool und wählen Sie Erweiterte Einstellungen aus.

  • Wählen Sie Identität und klicken Sie auf die Auslassungspunkte („…“) , um die Anmelde- und Kennwortinformationen für die Domäne des Dienstkontos einzugeben. Schließen Sie die IIS-Konsole.

Identität

  • Wechseln Sie in einer Eingabeaufforderung mit erhöhten Rechten zum Verzeichnis C:\Windows\System32\inetsrv und geben Sie die folgenden Befehle ein:
     appcmd.exe set config “Default Web Site” -section:system.webServer/security/authentication/clientCertificateMappingAuthentication /enabled:”True” /commit:apphost

<!--NeedCopy-->


      appcmd.exe set config “Default Web Site” -section:system.webServer/security/access /sslFlags:”Ssl, SslNegotiateCert” /commit:apphost
<!--NeedCopy-->

Eingabeaufforderung

Firefox-Konfiguration

Installieren Sie zur Verwendung von Firefox den auf OpenSC 0.17.0 verfügbaren PIV-Treiber. Anweisungen zur Installation und Konfiguration finden Sie unter Schrittweise Installation des OpenSC PKCS#11-Moduls in Firefox. Informationen zur Verwendung der Authentifizierung per Smartcard in Director finden Sie unter Verwendung von Director mit Authentifizierung mit PIV-Smartcards.

PIV-Smartcardauthentifizierung konfigurieren
November 25, 2025
Beitrag von: 
C
November 25, 2025
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.