Configurar la autenticación con tarjeta inteligente PIV

Este artículo enumera la configuración necesaria en el servidor de Director y en Active Directory para habilitar la función de autenticación con tarjeta inteligente.

Nota:

La autenticación con tarjeta inteligente solo es compatible con usuarios del mismo dominio de Active Directory.

Configuración del servidor de Director

Realice los siguientes pasos de configuración en el servidor de Director:

1. Instale y habilite la autenticación de asignación de certificados de cliente. Siga las instrucciones de Autenticación de asignación de certificados de cliente mediante Active Directory en el documento de Microsoft, Autenticación de asignación de certificados de cliente.

2. Deshabilite la autenticación de formularios en el sitio de Director.

   Inicie el Administrador de IIS.

   Vaya a Sitios > Sitio web predeterminado > Director.

   Seleccione Autenticación.

   Haga clic con el botón derecho en Autenticación de formularios y seleccione Deshabilitar.

   

3. Configure la URL de Director para el protocolo https más seguro (en lugar de HTTP) para la autenticación de certificados de cliente.

   1. Inicie el Administrador de IIS.

   2. Vaya a Sitios > Sitio web predeterminado > Director.

   3. Seleccione Configuración SSL.

   4. Seleccione Requerir SSL y Certificados de cliente > Requerir.

   

4. Actualice web.config. Abra el archivo web.config (disponible en c:\inetpub\wwwroot\Director) con un editor de texto.

Debajo del elemento principal <system.webServer>, añada el siguiente fragmento como primer elemento secundario:

<defaultDocument>
   <files>
       <add value="LogOn.aspx"/>
   </files>
</defaultDocument>

Configuración de Active Directory

De forma predeterminada, la aplicación Director se ejecuta con la propiedad de identidad de Application Pool. La autenticación con tarjeta inteligente requiere delegación, para lo cual la identidad de la aplicación Director debe tener privilegios de Trusted Computing Base (TCB) en el host del servicio.

Citrix recomienda crear una cuenta de servicio independiente para la identidad de Application Pool. Cree la cuenta de servicio y asigne privilegios TCB según las instrucciones del artículo de Microsoft MSDN, Protocol Transition with Constrained Delegation Technical Supplement.

Asigne la cuenta de servicio recién creada al grupo de aplicaciones de Director. La siguiente figura muestra el cuadro de diálogo de propiedades de una cuenta de servicio de ejemplo, Domain Pool.

Configure los siguientes servicios para esta cuenta:

• Delivery Controller™: HOST, HTTP
• Director: HOST, HTTP
• Active Directory: GC, LDAP

Para configurar,

1. En el cuadro de diálogo de propiedades de la cuenta de usuario, haga clic en Agregar.

2. En el cuadro de diálogo Agregar servicios, haga clic en Usuarios u Equipos.

3. Seleccione el nombre de host del Delivery Controller.

4. En la lista Servicios disponibles, seleccione HOST y Tipo de servicio HTTP.

Del mismo modo, agregue tipos de servicio para los hosts de Director y Active Directory.

Crear registros de nombre principal de servicio

Debe crear una cuenta de servicio para cada servidor de Director y para las IP virtuales (VIP) con equilibrio de carga que se utilizan para acceder a un grupo de servidores de Director. Debe crear registros de nombre principal de servicio (SPN) para configurar una delegación en la cuenta de servicio recién creada.

• Utilice el siguiente comando para crear un registro SPN para un servidor de Director:

    setspn -a http/<directorServer>.<domain_fqdn> <domain>\<DirectorAppPoolServiceAcct>
  
   <!--NeedCopy-->
  

• Utilice el siguiente comando para crear un registro SPN para una VIP con equilibrio de carga:

    setspn -S http/<DirectorFQDN> <domain>\<DirectorAppPoolServiceAcct>
  
   <!--NeedCopy-->
  

• Utilice el siguiente comando para ver o probar los SPN creados:

   setspn –l <DirectorAppPoolServiceAcct>
  
   <!--NeedCopy-->
  

• Seleccione el directorio virtual de Director en el panel izquierdo y haga doble clic en Configuración de la aplicación. Dentro de la ventana Configuración de la aplicación, haga clic en Agregar y asegúrese de que AllowKerberosConstrainedDelegation esté establecido en 1.

• Seleccione Application Pools en el panel izquierdo, luego haga clic con el botón derecho en el grupo de aplicaciones de Director y seleccione Advanced Settings.

• Seleccione Identity, haga clic en los puntos suspensivos (“…”) para introducir las credenciales de dominio\inicio de sesión y contraseña de la cuenta de servicio. Cierre la consola de IIS.

• Desde un símbolo del sistema con privilegios elevados, cambie el directorio a C:\Windows\System32\inetsrv e introduzca los siguientes comandos:

   appcmd.exe set config “Default Web Site” -section:system.webServer/security/authentication/clientCertificateMappingAuthentication /enabled:”True” /commit:apphost

<!--NeedCopy-->

    appcmd.exe set config “Default Web Site” -section:system.webServer/security/access /sslFlags:”Ssl, SslNegotiateCert” /commit:apphost
<!--NeedCopy-->

Configuración del navegador Firefox

Para usar el navegador Firefox, instale el controlador PIV disponible en OpenSC 0.17.0. Para obtener instrucciones de instalación y configuración, consulte Instalación del módulo OpenSC PKCS#11 en Firefox, paso a paso. Para obtener información sobre el uso de la función de autenticación con tarjeta inteligente en Director, consulte la sección Usar Director con autenticación de tarjeta inteligente basada en PIV en el artículo de Director.