PIV-Smartcardauthentifizierung konfigurieren

In diesem Artikel wird die zum Aktivieren der Smartcardauthentifizierung auf dem Director-Server und in Active Directory erforderliche Konfiguration behandelt.

Hinweis:

Die Smartcardauthentifizierung wird nur für Benutzer aus derselben Active Directory-Domäne unterstützt.

Konfiguration des Director-Servers

Führen Sie die folgenden Konfigurationsschritte auf dem Director-Server aus:

  1. Installieren und aktivieren Sie die Clientzertifikatzuordnung-Authentifizierung. Folgen Sie den Anweisungen im Abschnitt Client Certificate Mapping authentication using Active Directory des Microsoft-Dokuments Client Certificate Mapping Authentication.

  2. Deaktivieren Sie die Formularauthentifizierung in der Director-Site.

    Starten Sie IIS-Manager.

    Rufen Sie Sites > Standardwebsite > Director auf.

    Wählen Sie Authentifizierung.

    Klicken Sie mit der rechten Maustaste auf Formularauthentifizierung und wählen Sie Deaktivieren.

    Formularauthentifizierung deaktivieren

  3. Konfigurieren Sie die Director-URL für das sicherere HTTPS-Protokoll (anstelle von HTTP) für die Clientzertifikatauthentifizierung.

    1. Starten Sie IIS-Manager.

    2. Rufen Sie Sites > Standardwebsite > Director auf.

    3. Wählen Sie SSL-Einstellungen.

    4. Wählen Sie SSL erforderlich und Clientzertifikate > Erforderlich.

    SSL-Einstellungen

  4. Aktualisieren Sie web.config. Öffnen Sie die Datei web.config (in c:\inetpub\wwwroot\Director) in einem Texteditor.

Fügen Sie unter dem Element <system.webServer> das folgende Snippet als erstes untergeordnetes Element hinzu:

<defaultDocument>
   <files>
       <add value="LogOn.aspx"/>
   </files>
</defaultDocument>

Active Directory-Konfiguration

Standardmäßig wird die Director-Anwendung mit der Identitätseigenschaft Application Pool ausgeführt. Die Smartcardauthentifizierung erfordert Delegierung, wofür die Director-Anwendungsidentität Trusted Computing Base-Privilegien auf dem Servicehost haben muss.

Citrix empfiehlt die Erstellung eines eigenen Dienstkontos für die Application Pool-Identität. Erstellen Sie das Dienstkonto und weisen Sie TCB-Privilegien zu (siehe MSDN-Artikel Protocol Transition with Constrained Delegation Technical Supplement).

Weisen Sie das neu erstellte Dienstkonto dem Director-Anwendungspool zu. Die folgende Abbildung zeigt das Dialogfeld “Eigenschaften” des Beispieldienstkontos, “Domain Pool”.

Dienstkontobeispiel

Konfigurieren Sie die folgenden Dienste für dieses Konto:

  • Delivery Controller: HOST, HTTP
  • Director: HOST, HTTP
  • Active Directory: GC, LDAP

Zum Konfigurieren

  1. Klicken Sie im Dialogfeld “Benutzerkontoeigenschaften” auf Hinzufügen.

  2. Klicken Sie im Dialogfeld Dienste hinzufügen auf “Benutzer” oder “Computer”.

  3. Wählen Sie den Delivery Controller-Hostnamen.

  4. Wählen Sie in der Liste Verfügbare Dienste den Diensttyp HOST und HTTP.

Dienstkonfiguration

Fügen Sie auf ähnliche Weise Diensttypen für Director- und Active Directory-Hosts hinzu.

Dienstprinzipalnamenseinträge erstellen

Sie müssen ein Dienstkonto für jeden Director-Server und jede virtuelle IP-Adresse mit Lastausgleich erstellen, die für den Zugriff auf einen Director-Serverpool verwendet wird. Sie müssen Dienstprinzipalnamenseinträge erstellen, um eine Delegierung an das neu erstellte Dienstkonto zu konfigurieren.

  • Verwenden Sie den folgenden Befehl, um einen Dienstprinzipalnamenseintrag für einen Director-Server zu erstellen:

      setspn -a http/<directorServer>.<domain_fqdn> <domain><DirectorAppPoolServiceAcct>
    
     <!--NeedCopy-->
    
  • Use the following command to create an SPN record for a load-balanced VIP:

      setspn -S http/<DirectorFQDN> <domain>\<DirectorAppPoolServiceAcct>
    
     <!--NeedCopy-->
    
  • Verwenden Sie den folgenden Befehl, um die erstellten Dienstprinzipalnamen anzuzeigen oder zu testen:

     setspn –l <DirectorAppPoolServiceAcct>
    
     <!--NeedCopy-->
    

Smart Card

  • Select the Director virtual directory in the left pane and double click **Application Settings**. Inside the Application Settings window, click **Add** and ensure **AllowKerberosConstrainedDelegation** is set to 1.

Kerberos

  • Select **Application Pools** in the left-hand pane, then right-click the Director application pool and select **Advanced Settings**.

  • Select **Identity**, click the ellipses (“…”) to enter the service account domain\logon and password credentials. Close the IIS console.

Identity

  • From an elevated command prompt, change the directory to C:\Windows\System32\inetsrv and enter the following commands:
   appcmd.exe set config “Default Web Site” -section:system.webServer/security/authentication/clientCertificateMappingAuthentication /enabled:”True” /commit:apphost

<!--NeedCopy-->

    appcmd.exe set config “Default Web Site” -section:system.webServer/security/access /sslFlags:”Ssl, SslNegotiateCert” /commit:apphost
\`\`\`

![Eingabeaufforderung](/en-us/citrix-virtual-apps-desktops/media/dir-smart-card-auth-5-scaled.png)

## Firefox-Konfiguration

Installieren Sie zur Verwendung von Firefox den auf [OpenSC 0.17.0](https://github.com/OpenSC/OpenSC/releases/tag/0.17.0) verfügbaren PIV-Treiber. Anweisungen zu Installation und Konfiguration finden Sie unter [Installing OpenSC PKCS#11 Module in Firefox, Step by Step](https://github.com/OpenSC/OpenSC/wiki/Installing-OpenSC-PKCS%2311-Module-in-Firefox,-Step-by-Step).
Informationen zur Verwendung der Authentifizierung per Smartcard in Director finden Sie unter [Verwendung von Director mit Authentifizierung mit PIV-Smartcards](/de-de/citrix-virtual-apps-desktops/director.html#use-director-with-piv-smart-card-authentication).<!--NeedCopy-->
PIV-Smartcardauthentifizierung konfigurieren