Configurar a autenticação por cartão inteligente PIV

Este artigo lista a configuração necessária no Director Server e no Active Directory para habilitar o recurso de autenticação por cartão inteligente.

Nota:

A autenticação por cartão inteligente é suportada apenas para usuários do mesmo domínio do Active Directory.

Configuração do servidor do Director

Execute as seguintes etapas de configuração no servidor do Director:

  1. Instale e ative a autenticação de mapeamento de certificado de cliente. Siga as instruções em Client Certificate Mapping authentication using Active Directory no documento da Microsoft, Client Certificate Mapping Authentication.

  2. Desabilite a autenticação de formulários no site do Director.

    Inicie o Gerenciador do IIS.

    Vá para Sites > Site Padrão > Director.

    Selecione Autenticação.

    Clique com o botão direito em Autenticação de formulários e selecione Desativar.

    Desativar autenticação de formulários

  3. Configure a URL do Director com o protocolo https mais seguro (em vez de HTTP) para autenticação de certificado de cliente.

    1. Inicie o Gerenciador do IIS.

    2. Vá para Sites > Site Padrão > Director.

    3. Selecione Configurações de SSL.

    4. Selecione Exigir SSL e Certificados de cliente > Exigir.

    Configurações de SSL

  4. Atualize web.config. Abra o arquivo web.config (disponível em c:\inetpub\wwwroot\Director) usando um editor de texto.

Sob o elemento pai <system.webServer>, adicione o seguinte trecho como o primeiro elemento filho:

<defaultDocument>
   <files>
       <add value="LogOn.aspx"/>
   </files>
</defaultDocument>

Configuração do Active Directory

Por padrão, o aplicativo Director é executado com a propriedade de identidade Pool de aplicativos. A autenticação por cartão inteligente requer delegação para a qual a identidade do aplicativo do Director deve ter privilégios de Base Computacional Confiável (TCB) no host de serviço.

A Citrix recomenda que você crie uma conta de serviço separada para a identidade do Pool de Aplicativos. Crie a conta de serviço e atribua privilégios TCB de acordo com as instruções no artigo do MSDN Microsoft, Protocol Transition with Constrained Delegation Technical Supplement.

Atribua a conta de serviço recém-criada ao pool de aplicativos do Director. A figura a seguir mostra a caixa de diálogo de propriedades de uma conta de serviço de exemplo, Domain Pool.

Conta de serviço de exemplo

Configure os seguintes serviços para essa conta:

  • Delivery Controller: HOST, HTTP
  • Director: HOST, HTTP
  • Active Directory: GC, LDAP

Para configurar,

  1. Na caixa de diálogo de propriedades da conta de usuário, clique em Adicionar.

  2. Na caixa de diálogo Adicionar serviços, clique em Usuários ou Computadores.

  3. Selecione o nome do host do Delivery Controller.

  4. Na lista Serviços disponíveis, selecione o Tipo de serviço HOST e HTTP.

Configurar os serviços

Da mesma forma, adicione Tipos de serviço para os hosts do Director e Active Directory.

Configuração do navegador Firefox

Para usar o navegador Firefox, instale o driver PIV disponível em OpenSC 0.17.0. Para obter instruções de instalação e configuração, consulte Installing OpenSC PKCS#11 Module in Firefox, Step by Step. Para obter informações sobre o uso do recurso de autenticação por cartão inteligente no Director, consulte a seção Usar o Director com autenticação por cartão inteligente PIV no artigo Director.

Configurar a autenticação por cartão inteligente PIV