配置PIV智能卡认证

本文列出了在Director Server和Active Directory中启用智能卡身份验证功能所需的配置。

注意:

智能卡认证仅支持来自同一Active Directory域的用户。

Director服务器配置

在Director服务器上执行以下配置步骤:

1. 安装并启用客户端证书映射身份验证。遵循客户端证书使用Active Directory进行映射认证微软文档中的说明，客户端证书映射认证．

2. 在Director站点上禁用表单身份验证。

   启动IIS管理器。

   去网站>默认网站>导演．

   选择身份验证．

   右键单击表单验证,并选择禁用。

   

3. 为客户端证书身份验证配置Director URL，使用更安全的https协议(而不是HTTP)。

   1. 启动IIS管理器。

   2. 去网站>默认网站>导演．

   3. 选择SSL设置。

   4. 选择需要SSL而且客户端证书>要求。

   

4. 更新web . config。打开网页。配置文件(在c:\inetpub\wwwroot\Director中可用)使用文本编辑器。

下< system.webServer >父元素，添加以下代码片段作为第一个子元素:

   < /文件> < / defaultDocument >

活动目录的配置

默认情况下，Director应用程序使用应用程序池标识属性。智能卡身份验证需要委托，为此Director应用程序标识必须在服务主机上具有可信计算基础(Trusted Computing Base, TCB)特权。

Citrix建议您为应用程序池标识创建一个单独的服务帐户。按照MSDN Microsoft文章中的说明创建服务帐户并分配TCB权限，带约束委托的协议转换技术补充．

将新创建的业务帐户分配给Director应用池。下图显示了一个示例服务帐户Domain Pool的属性对话框。

为该帐户配置以下服务:

• 传递控制器:HOST, HTTP
• 导演:主机,HTTP
• 活动目录:GC, LDAP

配置,

1. 在用户帐户属性对话框中，单击添加。

2. 在添加服务对话框，单击“用户”或“计算机”。

3. 选择交付控制器主机名。

4. 从可用的服务列表中，选择HOST和HTTP服务类型．

类似地，为添加服务类型导演而且活动目录主机。

Firefox浏览器配置

要使用Firefox浏览器，请安装PIV驱动程序OpenSC 0.17.0．有关安装和配置说明，请参见在Firefox中逐步安装OpenSC PKCS#11模块．有关在Director中使用智能卡身份验证特性的信息，请参见使用Director与基于PIV的智能卡身份验证在主任的文章中。