Configuration de l’authentification par carte à puce PIV

Cet article présente la configuration requise sur le serveur Director et dans Active Directory pour activer la fonctionnalité d’authentification par carte à puce.

Remarque :

L’authentification par carte à puce est prise en charge uniquement pour les utilisateurs du même domaine Active Directory.

Configuration du serveur Director

Effectuez les étapes de configuration suivantes sur le serveur Director :

  1. Installez et activez l’authentification par mappage de certificat client. Suivez les instructions sous Client Certificate Mapping authentication using Active Directory dans le document Microsoft Client Certificate Mapping Authentication.

  2. Désactivez l’authentification par formulaires sur le site Director.

    Démarrez le gestionnaire des services Internet.

    Accédez à Sites > Site Web par défaut > Director.

    Sélectionnez Authentification.

    Cliquez avec le bouton droit sur Authentification par formulaires et sélectionnez Désactiver.

    Désactiver l'authentification par formulaires

  3. Configurez l’URL de Director pour le protocole https plus sécurisé (au lieu de HTTP) pour l’authentification par certificat client.

    1. Démarrez le gestionnaire des services Internet.

    2. Accédez à Sites > Site Web par défaut > Director.

    3. Sélectionnez Paramètres SSL.

    4. Sélectionnez Exiger SSL et Certificats clients > Exiger.

    Paramètres SSL

  4. Mettez à jour web.config. Ouvrez le fichier web.config (disponible dans c:\inetpub\wwwroot\Director) à l’aide d’un éditeur de texte.

Sous l’élément parent <system.webServer>, ajoutez l’extrait suivant en tant que premier élément enfant :

<defaultDocument>
   <files>
       <add value="LogOn.aspx"/>
   </files>
</defaultDocument>

Configuration d’Active Directory

Par défaut, l’application Director s’exécute avec la propriété d’identité Pool d’applications. L’authentification par carte à puce requiert une délégation pour laquelle l’identité de l’application Director doit disposer des privilèges TCB (Trusted Computing Base) sur l’hôte de service.

Citrix vous recommande de créer un compte de service distinct pour l’identité Pool d’applications. Créez le compte de service et affectez les privilèges TCB conformément aux instructions de l’article MSDN de Microsoft, Protocol Transition with Constrained Delegation Technical Supplement.

Affectez le compte de service nouvellement créé au pool d’applications Director. La figure suivante montre la boîte de dialogue des propriétés d’un exemple de compte de service, Pool de domaines.

Exemple de compte de service

Configurez les services suivants pour ce compte :

  • Delivery Controller : HOST, HTTP
  • Director : HOST, HTTP
  • Active Directory : GC, LDAP

Pour configurer,

  1. Dans la boîte de dialogue Propriétés du compte utilisateur, cliquez sur Ajouter.

  2. Dans la boîte de dialogue Ajouter des services, cliquez sur Utilisateurs ou ordinateurs.

  3. Sélectionnez le nom d’hôte du Delivery Controller.

  4. Dans la liste Services disponibles, sélectionnez HOST et HTTP pour Service Type.

Configuration des services

De même, ajoutez des types de service pour les hôtes Director et Active Directory.

Créer des enregistrements de nom de principal de service

Vous devez créer un compte de service pour chaque serveur Director et des adresses IP virtuelles (VIP) à charge équilibrée utilisées pour accéder à un pool de serveurs Director. Vous devez créer des enregistrements de nom principal de service (SPN) pour configurer une délégation vers le compte de service nouvellement créé.

  • Utilisez la commande suivante pour créer un enregistrement SPN pour un serveur Director :

      setspn -a http/<directorServer>.<domain_fqdn> <domain><DirectorAppPoolServiceAcct> 
        
     <!--NeedCopy-->
    
  • Use the following command to create an SPN record for a load-balanced VIP:

      setspn -S http/<DirectorFQDN> <domain>\<DirectorAppPoolServiceAcct>
    
     <!--NeedCopy-->
    
  • Utilisez la commande suivante pour afficher ou tester les SPN créés :

     setspn –l <DirectorAppPoolServiceAcct> 
            
     <!--NeedCopy-->
    

Smart Card

  • Select the Director virtual directory in the left pane and double click Application Settings. Inside the Application Settings window, click Add and ensure AllowKerberosConstrainedDelegation is set to 1.

Kerberos

  • Select Application Pools in the left-hand pane, then right-click the Director application pool and select Advanced Settings.

  • Select Identity, click the ellipses (“…”) to enter the service account domain\logon and password credentials. Close the IIS console.

Identity

  • From an elevated command prompt, change the directory to C:\Windows\System32\inetsrv and enter the following commands:
   appcmd.exe set config “Default Web Site” -section:system.webServer/security/authentication/clientCertificateMappingAuthentication /enabled:”True” /commit:apphost

<!--NeedCopy-->

    appcmd.exe set config “Default Web Site” -section:system.webServer/security/access /sslFlags:”Ssl, SslNegotiateCert” /commit:apphost
\`\`\`

![Invite de commandes](/en-us/citrix-virtual-apps-desktops/2311/media/dir-smart-card-auth-5-scaled.png)

## Configuration du navigateur Firefox

Pour utiliser le navigateur Firefox, installez le pilote PIV disponible sur [OpenSC 0.17.0](https://github.com/OpenSC/OpenSC/releases/tag/0.17.0). Pour obtenir des instructions sur l'installation et la configuration, reportez-vous à la page [Installing OpenSC PKCS#11 Module in Firefox, Step by Step](https://github.com/OpenSC/OpenSC/wiki/Installing-OpenSC-PKCS%2311-Module-in-Firefox,-Step-by-Step).
Pour plus d'informations sur l'utilisation de l'authentification par carte à puce dans Director, consultez la section [Utiliser Director avec l'authentification par carte à puce PIV](/fr-fr/citrix-virtual-apps-desktops/2311/director.html#use-director-with-piv-smart-card-authentication) dans l'article Director.<!--NeedCopy-->
Configuration de l’authentification par carte à puce PIV