Configurare l’autenticazione con smart card PIV
Questo articolo elenca la configurazione richiesta sul server Director e in Active Directory per abilitare la funzionalità di autenticazione con smart card.
Nota:
L’autenticazione con smart card è supportata solo per gli utenti dello stesso dominio Active Directory.
Configurazione del server Director
Eseguire i seguenti passaggi di configurazione sul server Director:
-
Installare e abilitare l’autenticazione con mappatura del certificato client. Seguire le istruzioni per l’autenticazione con mappatura del certificato client tramite Active Directory nel documento Microsoft, Autenticazione con mappatura del certificato client.
-
Disabilitare l’autenticazione basata su moduli sul sito Director.
Avviare Gestione IIS.
Passare a Siti > Sito Web predefinito > Director.
Selezionare Autenticazione.
Fare clic con il pulsante destro del mouse su Autenticazione basata su moduli e selezionare Disabilita.
-
Configurare l’URL di Director per il protocollo HTTPS più sicuro (anziché HTTP) per l’autenticazione con certificato client.
-
Avviare Gestione IIS.
-
Passare a Siti > Sito Web predefinito > Director.
-
Selezionare Impostazioni SSL.
-
Selezionare Richiedi SSL e Certificati client > Richiedi.
-
-
Aggiornare web.config. Aprire il file web.config (disponibile in c:\inetpub\wwwroot\Director) utilizzando un editor di testo.
Sotto l’elemento padre <system.webServer>, aggiungere il seguente frammento come primo elemento figlio:
<defaultDocument>
<files>
<add value="LogOn.aspx"/>
</files>
</defaultDocument>
Configurazione di Active Directory
Per impostazione predefinita, l’applicazione Director viene eseguita con la proprietà di identità del pool di applicazioni. L’autenticazione con smart card richiede la delega per la quale l’identità dell’applicazione Director deve disporre dei privilegi Trusted Computing Base (TCB) sull’host del servizio.
Citrix consiglia di creare un account di servizio separato per l’identità del pool di applicazioni. Creare l’account di servizio e assegnare i privilegi TCB secondo le istruzioni nell’articolo MSDN Microsoft, Supplemento tecnico sulla transizione di protocollo con delega vincolata.
Assegnare l’account di servizio appena creato al pool di applicazioni Director. La figura seguente mostra la finestra di dialogo delle proprietà di un account di servizio di esempio, Domain Pool.
Configurare i seguenti servizi per questo account:
- Delivery Controller™: HOST, HTTP
- Director: HOST, HTTP
- Active Directory: GC, LDAP
Per configurare:
-
Nella finestra di dialogo delle proprietà dell’account utente, fare clic su Aggiungi.
-
Nella finestra di dialogo Aggiungi servizi, fare clic su Utenti o computer.
-
Selezionare il nome host del Delivery Controller.
-
Dall’elenco Servizi disponibili, selezionare Tipo di servizio HOST e HTTP.
Analogamente, aggiungere i tipi di servizio per gli host Director e Active Directory.
Configurazione del browser Firefox
Per utilizzare il browser Firefox, installare il driver PIV disponibile all’indirizzo OpenSC 0.17.0. Per le istruzioni di installazione e configurazione, consultare Installazione del modulo OpenSC PKCS#11 in Firefox, passo dopo passo. Per informazioni sull’utilizzo della funzionalità di autenticazione con smart card in Director, consultare la sezione Utilizzare Director con l’autenticazione con smart card basata su PIV nell’articolo di Director.