© 2014 VMware Inc. All rights reserved.

Horizon View へのスマートカード認証の導入

2014/2/27 更新

何ができるようになるか

• Horizon Viewへのログオン

– 従来のID/Passwordの認証ではなく、スマートカードに保存された証明書を使って認証を行う（Active Directoryの標準機能）

– ユーザー操作は、スマートカードの PIN を入力するだけ

– Windows の View Client, Zero Client 対応

• Horizon Viewへ接続後の、Webアプリのクライアント認証

• FAT PCのログオン、クライアント認証も引き続き使える

本資料は、Gemalto社のご協力のもとで検証した内容に基づいて作成しています。

ユーザーの手順：Windows編

• PCにスマートカードリーダーを接続

スマートカードリーダー

スマートカード

• View Clientでサーバーに接続すると、ID/パスワードの代わりにスマートカードのPINを聞かれる

• カードが入っていない場合は、指示される

• エスケープキーで、通常のID/パスワードの入力画面に抜けられる

• スマートカードに複数の証明書が存在する場合は、セレクターが表示される

Windows ゼロクライアント

• 複数のスマートカードリーダー、複数のスマートカードが接続されている場合も、セレクターで選択可能（ゼロクライアントは不可・１台のリーダーのみ）

• 接続後は従来と変化なし

• ブラウザでのクライアント認証は、VDI内、PC上同時に使用可

PCVDI

• セッション接続中に、スマートカード・スマートカードリーダーを取り出すと、ポリシーによってセッションが切断される

• Windows側でもグループポリシーで、スマートカード取り出し時の動作を設定できるので、両方のポリシーで制御

ユーザーの手順：ゼロクラ編

• スマートカードリーダーを接続するだけ

スマートカードとは

• カード内に証明書を保存することができる

• ID・パスワードの代わりに、証明書を使ってログオンする

• 証明書は PIN コードで保護されている（毎回入力）

• 接触型（金属の接点があるタイプ）と非接触型がある

必要なもの、準備：サーバー側

• Active Directory

– エンタープライズCA（証明書機関）のセットアップ

• View Server

– 証明書の登録

– ポリシーの設定

• View Desktop

– View Agentでスマートカードサポートをインストール

必要なもの、準備：クライアント側

• スマートカード

– ユーザーごとに必要

– ユーザーのセルフサービス、または管理者がセットアップ

• スマートカードリーダー

• View Client

– ドメインに参加

Active Directoryの準備

• サーバーの役割の「Active Directory 証明書サービス」を追加する

– Domain Controller または新規メンバーサーバーにインストール

– 役割サービスは「証明機関」「証明機関Web登録」「オンラインレスポンダ」を追加

– エンタープライズCA、ルートCAを指定

– キー長:2048、ハッシュアルゴリズム:sha256を指定 (gemalto推奨値)

• 証明書テンプレートを作成

– 管理ツール内の「証明機関」を起動

– 「証明書テンプレート」を右クリックして「管理」選択

– 「スマートカードユーザー」を複製して、プロパティを開く

– 要求処理タブで「署名とスマートカードログオン」を選択

– CSPとして「以下のCSPのどれか１つ」「Microsoft Base mart Cart Crypto Provider」を選択

• 証明書テンプレートを作成・続き

– 「サブジェクト名」タブで、UPNのみを選択

– 「発行の要件」タブで、「次の数の認証署名」で１を指定

– 「署名に必要なポリシーの種類」＝「アプリケーションポリシー」

– 「アプリケーションポリシー」＝「証明書の要求エージェント」

• 証明書テンプレートを登録

– 「証明書テンプレート」を右クリック、「新規作成」「発行する証明書テンプレート」

– 上で作成したテンプレートを登録

– 登録エージェントのテンプレートも同時に登録

• 登録エージェントの設定

– mmcを起動し、証明書のスナップイン（ユーザーアカウント）を追加

– 「証明書」「個人」を右クリック、「すべてのタスク」「新しい証明書の要求」を選択

– 「登録エージェント」を選択、「登録」

View Serverの準備

• ドキュメント「スマートカード認証の構成」

– http://pubs.vmware.com/view-52/topic/com.vmware.view.administration.doc/GUID-FA1A85D8-07B1-4140-A34B-7F20618083CE.html

• 作成したCAのルート証明書を、View Server用に取り出す

– keytool (Java) を使用

– Keytool –import –alias alias –file root_certificate–keystore truststorefile.key

• 特定のフォルダに配置、設定ファイル locked.properties を編集または作成

– trustKeyfile=truststorefile.keytrustStoretype=JKSuseCertAuth=true

「オプション」または「必須」

スマートカードを取り出すと、

セッションが切れる

サーバーのポリシーで、スマートカードを使えるように設定

View Desktopの準備

• View Agent でスマートカードサポートがインストールされていることを確認

• または、C:¥Program Files¥VMware¥VMware View¥Agent¥bin にwsnm_scredir.dll があることを確認

View Clientの準備

• ドメインに参加する

• PCの場合、PC側にもスマートカードリーダーとスマートカードのドライバーをインストールしておく

スマートカードの準備

• Gemalto社のIDPrimeシリーズのカードの場合、Windows Updateからドライバーが自動的にインストールされる

– スマートカードリーダーと、スマートカードのドライバが、それぞれ必要

• MMCの証明書の管理で証明書を発行し、書き込む

– 代理登録

• スマートカード上の証明書の確認

– Certutil.exe –sccard (Windows標準ツール)

• 証明書の削除などができるツール

– Gemalto Mini Driver Tools (Gemalto社のWebからダウンロード)

証明書の発行・登録

• 証明書の発行

– スマートカードリーダーが接続されているPCで操作

– 証明書を書き込むカードをセットしておく

– mmcを起動し、証明書のスナップイン（ユーザーアカウント）を追加

– 「証明書」「個人」「証明書」を右クリック、「すべてのタスク」「詳細設定操作」「代理登録」をクリック

Gemalto Mini Driver Tools

• https://www.gemalto.com/products/dotnet_card/resources/development.html

• 証明書の削除、PINの変更などができるツール

FAQ

• USBリダイレクトを使いますか？

– いえ、スマートカードに特化したリダイレクト方式ですので、USBリダイレクトの制限などには影響されません。

• スマートカード認証は二要素認証ですか？

– ID/Passwordの代わりに、スマートカード認証を行います。RSAセキュリティなどのように追加されるものではありません。したがって、単要素認証のように見えますが、以下のように二要素認証と考えることが可能です。

• http://technet.microsoft.com/ja-jp/library/cc170941.aspx

• 2 要素の認証では、次の項目の組み合わせを使用します。

– ユーザーが所持する物 (ハードウェア トークンやスマート カードなど)

– ユーザーが知識として持つもの (暗証番号 (PIN) など)