horizon view へのスマートカード認証の導入
DESCRIPTION
Horizon View へのスマートカード認証の導入TRANSCRIPT
© 2014 VMware Inc. All rights reserved.
Horizon View へのスマートカード認証の導入
2014/2/27 更新
何ができるようになるか
• Horizon Viewへのログオン
– 従来のID/Passwordの認証ではなく、スマートカードに保存された証明書を使って認証を行う(Active Directoryの標準機能)
– ユーザー操作は、スマートカードの PIN を入力するだけ
– Windows の View Client, Zero Client 対応
• Horizon Viewへ接続後の、Webアプリのクライアント認証
• FAT PCのログオン、クライアント認証も引き続き使える
本資料は、Gemalto社のご協力のもとで検証した内容に基づいて作成しています。
ユーザーの手順:Windows編
• PCにスマートカードリーダーを接続
スマートカードリーダー
スマートカード
• View Clientでサーバーに接続すると、ID/パスワードの代わりにスマートカードのPINを聞かれる
• カードが入っていない場合は、指示される
• エスケープキーで、通常のID/パスワードの入力画面に抜けられる
• スマートカードに複数の証明書が存在する場合は、セレクターが表示される
Windows ゼロクライアント
• 複数のスマートカードリーダー、複数のスマートカードが接続されている場合も、セレクターで選択可能(ゼロクライアントは不可・1台のリーダーのみ)
• 接続後は従来と変化なし
• ブラウザでのクライアント認証は、VDI内、PC上同時に使用可
PCVDI
• セッション接続中に、スマートカード・スマートカードリーダーを取り出すと、ポリシーによってセッションが切断される
• Windows側でもグループポリシーで、スマートカード取り出し時の動作を設定できるので、両方のポリシーで制御
ユーザーの手順:ゼロクラ編
• スマートカードリーダーを接続するだけ
スマートカードとは
• カード内に証明書を保存することができる
• ID・パスワードの代わりに、証明書を使ってログオンする
• 証明書は PIN コードで保護されている(毎回入力)
• 接触型(金属の接点があるタイプ)と非接触型がある
必要なもの、準備:サーバー側
• Active Directory
– エンタープライズCA(証明書機関)のセットアップ
• View Server
– 証明書の登録
– ポリシーの設定
• View Desktop
– View Agentでスマートカードサポートをインストール
必要なもの、準備:クライアント側
• スマートカード
– ユーザーごとに必要
– ユーザーのセルフサービス、または管理者がセットアップ
• スマートカードリーダー
• View Client
– ドメインに参加
Active Directoryの準備
• サーバーの役割の「Active Directory 証明書サービス」を追加する
– Domain Controller または新規メンバーサーバーにインストール
– 役割サービスは「証明機関」「証明機関Web登録」「オンラインレスポンダ」を追加
– エンタープライズCA、ルートCAを指定
– キー長:2048、ハッシュアルゴリズム:sha256を指定 (gemalto推奨値)
• 証明書テンプレートを作成
– 管理ツール内の「証明機関」を起動
– 「証明書テンプレート」を右クリックして「管理」選択
– 「スマートカードユーザー」を複製して、プロパティを開く
– 要求処理タブで「署名とスマートカードログオン」を選択
– CSPとして「以下のCSPのどれか1つ」「Microsoft Base mart Cart Crypto Provider」を選択
• 証明書テンプレートを作成・続き
– 「サブジェクト名」タブで、UPNのみを選択
– 「発行の要件」タブで、「次の数の認証署名」で1を指定
– 「署名に必要なポリシーの種類」=「アプリケーションポリシー」
– 「アプリケーションポリシー」=「証明書の要求エージェント」
• 証明書テンプレートを登録
– 「証明書テンプレート」を右クリック、「新規作成」「発行する証明書テンプレート」
– 上で作成したテンプレートを登録
– 登録エージェントのテンプレートも同時に登録
• 登録エージェントの設定
– mmcを起動し、証明書のスナップイン(ユーザーアカウント)を追加
– 「証明書」「個人」を右クリック、「すべてのタスク」「新しい証明書の要求」を選択
– 「登録エージェント」を選択、「登録」
View Serverの準備
• ドキュメント「スマートカード認証の構成」
– http://pubs.vmware.com/view-52/topic/com.vmware.view.administration.doc/GUID-FA1A85D8-07B1-4140-A34B-7F20618083CE.html
• 作成したCAのルート証明書を、View Server用に取り出す
– keytool (Java) を使用
– Keytool –import –alias alias –file root_certificate–keystore truststorefile.key
• 特定のフォルダに配置、設定ファイル locked.properties を編集または作成
– trustKeyfile=truststorefile.keytrustStoretype=JKSuseCertAuth=true
「オプション」または「必須」
スマートカードを取り出すと、
セッションが切れる
サーバーのポリシーで、スマートカードを使えるように設定
View Desktopの準備
• View Agent でスマートカードサポートがインストールされていることを確認
• または、C:¥Program Files¥VMware¥VMware View¥Agent¥bin にwsnm_scredir.dll があることを確認
View Clientの準備
• ドメインに参加する
• PCの場合、PC側にもスマートカードリーダーとスマートカードのドライバーをインストールしておく
スマートカードの準備
• Gemalto社のIDPrimeシリーズのカードの場合、Windows Updateからドライバーが自動的にインストールされる
– スマートカードリーダーと、スマートカードのドライバが、それぞれ必要
• MMCの証明書の管理で証明書を発行し、書き込む
– 代理登録
• スマートカード上の証明書の確認
– Certutil.exe –sccard (Windows標準ツール)
• 証明書の削除などができるツール
– Gemalto Mini Driver Tools (Gemalto社のWebからダウンロード)
証明書の発行・登録
• 証明書の発行
– スマートカードリーダーが接続されているPCで操作
– 証明書を書き込むカードをセットしておく
– mmcを起動し、証明書のスナップイン(ユーザーアカウント)を追加
– 「証明書」「個人」「証明書」を右クリック、「すべてのタスク」「詳細設定操作」「代理登録」をクリック
Gemalto Mini Driver Tools
• https://www.gemalto.com/products/dotnet_card/resources/development.html
• 証明書の削除、PINの変更などができるツール
FAQ
• USBリダイレクトを使いますか?
– いえ、スマートカードに特化したリダイレクト方式ですので、USBリダイレクトの制限などには影響されません。
• スマートカード認証は二要素認証ですか?
– ID/Passwordの代わりに、スマートカード認証を行います。RSAセキュリティなどのように追加されるものではありません。したがって、単要素認証のように見えますが、以下のように二要素認証と考えることが可能です。
• http://technet.microsoft.com/ja-jp/library/cc170941.aspx
• 2 要素の認証では、次の項目の組み合わせを使用します。
– ユーザーが所持する物 (ハードウェア トークンやスマート カードなど)
– ユーザーが知識として持つもの (暗証番号 (PIN) など)