Configurar la autenticación con tarjetas inteligentes PIV

Este artículo contiene la configuración requerida en el servidor de Director y en Active Directory para habilitar la función de la autenticación con tarjetas inteligentes.

Nota:

La autenticación con tarjetas inteligentes solo se admite para usuarios del mismo dominio de Active Directory.

Configurar el servidor de Director

Realice los siguientes pasos de configuración en el servidor de Director:

  1. Instale y active la Autenticación de asignaciones de certificado de cliente. Siga las instrucciones indicadas en Client Certificate Mapping authentication using Active Directory, en el documento Client Certificate Mapping Authentication de Microsoft.

  2. Inhabilite la autenticación mediante formularios en el sitio de Director.

    Inicie el Administrador de IIS.

    Vaya a Sitios > Sitio web predeterminado > Director.

    Seleccione Autenticación.

    Haga clic con el botón secundario en Autenticación mediante formularios y seleccione Deshabilitar.

    Inhabilitar la autenticación por formularios

  3. Configure la URL de Director para el protocolo HTTPS (más seguro que HTTP) para la autenticación de certificados de cliente.

    1. Inicie el Administrador de IIS.

    2. Vaya a Sitios > Sitio web predeterminado > Director.

    3. Seleccione Configuración de SSL.

    4. Seleccione Requerir SSL y Certificados de cliente > Requerir.

    Configuración de SSL

  4. Actualice web.config. Abra el archivo web.config (disponible en c:\inetpub\wwwroot\Director) mediante un editor de texto.

Debajo del elemento principal <system.webServer>, agregue el siguiente fragmento como primer elemento secundario:

<defaultDocument>
   <files>
       <add value="LogOn.aspx"/>
   </files>
</defaultDocument>

Configurar Active Directory

De forma predeterminada, la aplicación Director se ejecuta con la propiedad de identidad Grupo de aplicaciones. La autenticación con tarjetas inteligentes requiere una delegación para la cual la identidad de la aplicación Director debe tener los privilegios “Base de computación de confianza” (TCB) en el host del servicio.

Citrix recomienda que cree una cuenta de servicio independiente para la identidad del grupo de aplicaciones. Cree la cuenta de servicio y asigne los privilegios TCB siguiendo las instrucciones del artículo Protocol Transition with Constrained Delegation Technical Supplement de Microsoft MSDN.

Asigne la cuenta de servicio recién creada al grupo de aplicaciones de Director. La siguiente imagen muestra el cuadro de diálogo de propiedades de una cuenta de servicio de ejemplo, Domain Pool.

Cuenta de servicio de ejemplo

Configure los siguientes servicios para esta cuenta:

  • Delivery Controller: HOST, HTTP
  • Director: HOST, HTTP
  • Active Directory: GC, LDAP

Para configurar,

  1. En el cuadro de diálogo de propiedades de la cuenta de usuario, haga clic en Agregar.

  2. En el diálogo Agregar servicios, haga clic en “Usuarios o equipos”.

  3. Seleccione el nombre de host del Delivery Controller.

  4. En la lista Servicios disponibles, seleccione “HOST” y “HTTP” en Tipo de servicio.

Pantalla para configurar los servicios

De forma similar, agregue “Tipos de servicio” para los hosts de Director y Active Directory.

Crear registros de los nombres de entidades de seguridad de servicio

Debe crear una cuenta de servicio para cada servidor de Director y las IP virtuales (VIP) con equilibrio de carga que se utilizan para acceder a un grupo de servidores de Director. Debe crear registros de los nombres de entidades de seguridad de servicio (SPN) para configurar una delegación a la cuenta de servicio recién creada.

  • Use este comando para crear un registro SPN para un servidor de Director:

      setspn -a http/<directorServer>.<domain_fqdn> <domain><DirectorAppPoolServiceAcct> 
        
     <!--NeedCopy-->
    
  • Use the following command to create an SPN record for a load-balanced VIP:

      setspn -S http/<DirectorFQDN> <domain>\<DirectorAppPoolServiceAcct>
    
     <!--NeedCopy-->
    
  • Use este comando para ver o probar los SPN creados:

     setspn –l <DirectorAppPoolServiceAcct> 
            
     <!--NeedCopy-->
    

Smart Card

  • Select the Director virtual directory in the left pane and double click **Application Settings**. Inside the Application Settings window, click **Add** and ensure **AllowKerberosConstrainedDelegation** is set to 1.

Kerberos

  • Select **Application Pools** in the left-hand pane, then right-click the Director application pool and select **Advanced Settings**.

  • Select **Identity**, click the ellipses (“…”) to enter the service account domain\logon and password credentials. Close the IIS console.

Identity

  • From an elevated command prompt, change the directory to C:\Windows\System32\inetsrv and enter the following commands:
   appcmd.exe set config “Sitio web predeterminado” -section:system.webServer/security/authentication/clientCertificateMappingAuthentication /enabled:”True” /commit:apphost

<!--NeedCopy-->

    appcmd.exe set config “Default Web Site” -section:system.webServer/security/access /sslFlags:”Ssl, SslNegotiateCert” /commit:apphost
\`\`\`

![Símbolo del sistema](/en-us/citrix-virtual-apps-desktops/media/dir-smart-card-auth-5-scaled.png)

## Configurar el explorador Firefox

Para usar el explorador Firefox, instale el controlador PIV disponible en [OpenSC 0.17.0](https://github.com/OpenSC/OpenSC/releases/tag/0.17.0). Para obtener instrucciones de instalación y configuración, consulte [Installing OpenSC PKCS#11 Module in Firefox, Step by Step](https://github.com/OpenSC/OpenSC/wiki/Installing-OpenSC-PKCS%2311-Module-in-Firefox,-Step-by-Step).
Para obtener información sobre el uso de la función de autenticación basada en tarjetas inteligentes en Director, consulte el apartado [Usar Director con la autenticación por tarjeta inteligente basada en PIV](/es-es/citrix-virtual-apps-desktops/director.html#use-director-with-piv-smart-card-authentication) en el artículo "Director".<!--NeedCopy-->
Configurar la autenticación con tarjetas inteligentes PIV