Configurar la autenticación con tarjetas inteligentes PIV

Este artículo contiene la configuración requerida en el servidor de Director y en Active Directory para habilitar la función de la autenticación con tarjetas inteligentes.

Nota: La autenticación con tarjetas inteligentes solo se admite para usuarios del mismo dominio de Active Directory.

Configurar el servidor de Director

Realice los siguientes pasos de configuración en el servidor de Director:

  1. Instale y active la Autenticación de asignaciones de certificado de cliente. Siga las instrucciones indicadas en Client Certificate Mapping authentication using Active Directory, en el documento Client Certificate Mapping Authentication de Microsoft.

  2. Inhabilite la autenticación mediante formularios en el sitio de Director.

    Inicie el Administrador de IIS.

    Vaya a Sitios > Sitio web predeterminado > Director.

    Seleccione Autenticación.

    Haga clic con el botón secundario en Autenticación mediante formularios y seleccione Deshabilitar.

    Inhabilitar la autenticación por formularios

  3. Configure la URL de Director para el protocolo HTTPS (más seguro que HTTP) para la autenticación de certificados de cliente.

    1. Inicie el Administrador de IIS.

    2. Vaya a Sitios > Sitio web predeterminado > Director.

    3. Seleccione Configuración de SSL.

    4. Seleccione Requerir SSL y Certificados de cliente > Requerir.

    Configuración de SSL

  4. Actualice web.config. Abra el archivo web.config (disponible en c:\inetpub\wwwroot\Director) mediante un editor de texto.

Debajo del elemento principal <system.webServer>, agregue el siguiente fragmento como primer elemento secundario:

<defaultDocument>
   <files>
       <add value="LogOn.aspx"/>
   </files>
</defaultDocument>

Configurar Active Directory

De forma predeterminada, la aplicación Director se ejecuta con la propiedad de identidad Grupo de aplicaciones. La autenticación con tarjetas inteligentes requiere una delegación para la cual la identidad de la aplicación Director debe tener los privilegios “Base de computación de confianza” (TCB) en el host del servicio.

Citrix recomienda que cree una cuenta de servicio independiente para la identidad del grupo de aplicaciones. Cree la cuenta de servicio y asigne los privilegios TCB siguiendo las instrucciones del artículo Protocol Transition with Constrained Delegation Technical Supplement de Microsoft.

Asigne la cuenta de servicio recién creada al grupo de aplicaciones de Director. La siguiente imagen muestra el cuadro de diálogo de propiedades de una cuenta de servicio de ejemplo, Domain Pool.

Cuenta de servicio de ejemplo

Configure los siguientes servicios para esta cuenta:

  • Delivery Controller: HOST, http
  • Director: HOST, http
  • Active Directory: GC, LDAP

Para ello:

  1. En el cuadro de diálogo de propiedades de la cuenta de usuario, haga clic en Agregar.

  2. En el diálogo Agregar servicios, haga clic en “Usuarios o equipos”.

  3. Seleccione el nombre de host del Delivery Controller.

  4. En la lista Servicios disponibles, seleccione “HOST” y “http” en Tipo de servicio.

Pantalla para configurar los servicios

De forma similar, agregue “Tipos de servicio” para los hosts de Director y Active Directory.

Configurar el explorador Firefox

Para usar el explorador Firefox, instale el controlador PIV disponible en OpenSC 0.17.0. Para obtener instrucciones de instalación y configuración, consulte Installing OpenSC PKCS#11 Module in Firefox, Step by Step. Para obtener información sobre el uso de la función de autenticación basada en tarjetas inteligentes en Director, consulte el apartado Usar Director con la autenticación por tarjeta inteligente basada en PIV en el artículo “Director”.

Configurar la autenticación con tarjetas inteligentes PIV