Configurare l’autenticazione con smart card PIV

Questo articolo elenca la configurazione richiesta sul server di Director e in Active Directory per abilitare la funzionalità di autenticazione con smart card.

Nota:

L’autenticazione con smart card è supportata solo per gli utenti dello stesso dominio Active Directory.

Configurazione del server di Director

Eseguire i seguenti passaggi di configurazione sul server di Director:

  1. Installare e abilitare l’autenticazione con mapping dei certificati client. Seguire l’autenticazione con mapping dei certificati client utilizzando le istruzioni di Active Directory nel documento di Microsoft Autenticazione con mapping dei certificati client.

  2. Disabilitare l’autenticazione dei moduli sul sito di Director.

    Avviare Gestione IIS.

    Andare a Sites (Siti) > Default Web Site (Sito Web predefinito) > Director.

    Selezionare Authentication (Autenticazione).

    Fare clic con il pulsante destro del mouse su Forms Authentication (Autenticazione moduli) e selezionare Disable (Disabilita).

    Disabilitare l'autenticazione dei moduli

  3. Configurare l’URL di Director per il protocollo più sicuro https (anziché HTTP) per l’autenticazione dei certificati client.

    1. Avviare Gestione IIS.

    2. Andare a Sites (Siti) > Default Web Site (Sito Web predefinito) > Director.

    3. Selezionare SSL Settings (Impostazioni SSL).

    4. Selezionare Require SSL (Richiedi SSL) e Client certificates (Certificati client) > Require (Richiedi).

    Impostazioni SSL

  4. Aggiornare web.config. Aprire il file web.config (disponibile in c:\inetpub\wwwroot\Director) utilizzando un editor di testo.

Sotto l’elemento principale <system.webServer>, aggiungere il seguente snippet come primo elemento secondario:

<defaultDocument>
   <files>
       <add value="LogOn.aspx"/>
   </files>
</defaultDocument>

Configurazione di Active Directory

Per impostazione predefinita, l’applicazione Director viene eseguita con la proprietà di identità Application Pool (Pool di applicazioni). L’autenticazione con smart card richiede una delega in base alla quale l’identità dell’applicazione Director deve disporre dei privilegi Trusted Computing Base (TCB) sull’host del servizio.

Citrix consiglia di creare un account di servizio separato per l’identità Application Pool (Pool di applicazioni). Creare l’account del servizio e assegnare i privilegi TCB secondo le istruzioni contenute nell’articolo MSDN di Microsoft Transizione del protocollo con supplemento tecnico per la delega vincolata.

Assegnare l’account di servizio appena creato al pool di applicazioni di Director. La figura seguente illustra la finestra di dialogo delle proprietà di un account di servizio di esempio, Domain Pool.

Account di servizio di esempio

Configurare i seguenti servizi per questo account:

  • Delivery Controller: HOST, HTTP
  • Director: HOST, HTTP
  • Active Directory: GC, LDAP

Per configurare:

  1. Nella finestra di dialogo delle proprietà dell’account utente, fare clic su Add (Aggiungi).

  2. Nella finestra di dialogo Add Services (Aggiungi servizi), fare clic su Users (Utenti) o Computers (Computer).

  3. Selezionare il nome host del Delivery Controller.

  4. Dall’elenco Available services (Servizi disponibili), selezionare HOST and HTTP (HOST e HTTP) come Service Type (Tipo di servizio).

Configurare i servizi

Analogamente, aggiungere tipi di servizio per gli host Director e Active Directory.

Configurazione del browser Firefox

Per utilizzare il browser Firefox, installare il driver PIV disponibile alla pagina OpenSC 0.17.0. Per istruzioni di installazione e configurazione, vedere Installazione passo-passo del modulo OpenSC PKCS#11 in Firefox. Per informazioni sull’utilizzo della funzionalità di autenticazione con smart card in Director, vedere la sezione Utilizzare Director con l’autenticazione con smart card basata su PIV dell’articolo su Director.

Configurare l’autenticazione con smart card PIV