Horizon View へのスマートカード認証の導入

8,237
-1

Published on

Horizon View へのスマートカード認証の導入

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
8,237
On Slideshare
0
From Embeds
0
Number of Embeds
12
Actions
Shares
0
Downloads
19
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Horizon View へのスマートカード認証の導入

  1. 1. © 2014 VMware Inc. All rights reserved. Horizon View への スマートカード認証の導入 2014/2/27 更新
  2. 2. 何ができるようになるか • Horizon Viewへのログオン – 従来のID/Passwordの認証ではなく、 スマートカードに保存された証明書を使って認証を行う (Active Directoryの標準機能) – ユーザー操作は、スマートカードの PIN を入力するだけ – Windows の View Client, Zero Client 対応 • Horizon Viewへ接続後の、Webアプリのクライアント認証 • FAT PCのログオン、クライアント認証も引き続き使える 本資料は、Gemalto社のご協力のもとで 検証した内容に基づいて作成しています。
  3. 3. ユーザーの手順:Windows編 • PCにスマートカードリーダーを接続 スマートカード リーダー スマートカード
  4. 4. • View Clientでサーバーに接続すると、ID/パスワードの代わりに スマートカードのPINを聞かれる • カードが入っていない場合は、指示される • エスケープキーで、通常のID/パスワードの入力画面に抜けられる
  5. 5. • スマートカードに複数の証明書が存在する場合は、 セレクターが表示される Windows ゼロクライアント
  6. 6. • 複数のスマートカードリーダー、複数のスマートカードが 接続されている場合も、セレクターで選択可能 (ゼロクライアントは不可・1台のリーダーのみ)
  7. 7. • 接続後は従来と変化なし • ブラウザでのクライアント認証は、VDI内、PC上同時に使用可 PCVDI
  8. 8. • セッション接続中に、スマートカード・スマートカードリーダーを 取り出すと、ポリシーによってセッションが切断される • Windows側でもグループポリシーで、スマートカード取り出し時の 動作を設定できるので、両方のポリシーで制御
  9. 9. ユーザーの手順:ゼロクラ編 • スマートカードリーダーを接続するだけ
  10. 10. スマートカードとは • カード内に証明書を保存することができる • ID・パスワードの代わりに、証明書を使ってログオンする • 証明書は PIN コードで保護されている(毎回入力) • 接触型(金属の接点があるタイプ)と 非接触型がある
  11. 11. 必要なもの、準備:サーバー側 • Active Directory – エンタープライズCA(証明書機関)のセットアップ • View Server – 証明書の登録 – ポリシーの設定 • View Desktop – View Agentでスマートカードサポートをインストール
  12. 12. 必要なもの、準備:クライアント側 • スマートカード – ユーザーごとに必要 – ユーザーのセルフサービス、または管理者がセットアップ • スマートカードリーダー • View Client – ドメインに参加
  13. 13. Active Directoryの準備 • サーバーの役割の「Active Directory 証明書サービス」を追加する – Domain Controller または新規メンバーサーバーにインストール – 役割サービスは「証明機関」「証明機関Web登録」 「オンラインレスポンダ」を追加 – エンタープライズCA、ルートCAを指定 – キー長:2048、ハッシュアルゴリズム:sha256を指定 (gemalto推奨値) • 証明書テンプレートを作成 – 管理ツール内の「証明機関」を起動 – 「証明書テンプレート」を右クリックして「管理」選択 – 「スマートカードユーザー」を複製して、プロパティを開く – 要求処理タブで「署名とスマートカードログオン」を選択 – CSPとして「以下のCSPのどれか1つ」「Microsoft Base mart Cart Crypto Provider」を選択
  14. 14. • 証明書テンプレートを作成・続き – 「サブジェクト名」タブで、UPNのみを選択 – 「発行の要件」タブで、「次の数の認証署名」で1を指定 – 「署名に必要なポリシーの種類」=「アプリケーションポリシー」 – 「アプリケーションポリシー」=「証明書の要求エージェント」 • 証明書テンプレートを登録 – 「証明書テンプレート」を右クリック、 「新規作成」「発行する証明書テンプレート」 – 上で作成したテンプレートを登録 – 登録エージェントのテンプレートも同時に登録
  15. 15. • 登録エージェントの設定 – mmcを起動し、証明書のスナップイン(ユーザーアカウント)を追加 – 「証明書」「個人」を右クリック、 「すべてのタスク」「新しい証明書の要求」を選択 – 「登録エージェント」を選択、「登録」
  16. 16. View Serverの準備 • ドキュメント「スマートカード認証の構成」 – http://pubs.vmware.com/view-52/topic/com.vmware.view.administration.doc/GUID- FA1A85D8-07B1-4140-A34B-7F20618083CE.html • 作成したCAのルート証明書を、View Server用に取り出す – keytool (Java) を使用 – Keytool –import –alias alias –file root_certificate –keystore truststorefile.key • 特定のフォルダに配置、設定ファイル locked.properties を編集 または作成 – trustKeyfile=truststorefile.key trustStoretype=JKS useCertAuth=true
  17. 17. 「オプション」 または「必須」 スマートカードを 取り出すと、 セッションが切れる サーバーのポリシーで、 スマートカードを使えるように設定
  18. 18. View Desktopの準備 • View Agent でスマートカードサポートが インストールされていることを確認 • または、 C:¥Program Files¥VMware¥VMware View¥Agent¥bin に wsnm_scredir.dll があることを確認
  19. 19. View Clientの準備 • ドメインに参加する • PCの場合、PC側にもスマートカードリーダーとスマートカードの ドライバーをインストールしておく
  20. 20. スマートカードの準備 • Gemalto社のIDPrimeシリーズのカードの場合、 Windows Updateからドライバーが自動的にインストールされる – スマートカードリーダーと、スマートカードのドライバが、それぞれ必要 • MMCの証明書の管理で証明書を発行し、書き込む – 代理登録 • スマートカード上の証明書の確認 – Certutil.exe –sccard (Windows標準ツール) • 証明書の削除などができるツール – Gemalto Mini Driver Tools (Gemalto社のWebからダウンロード)
  21. 21. 証明書の発行・登録 • 証明書の発行 – スマートカードリーダーが接続されているPCで操作 – 証明書を書き込むカードをセットしておく – mmcを起動し、証明書のスナップイン(ユーザーアカウント)を追加 – 「証明書」「個人」「証明書」を右クリック、 「すべてのタスク」「詳細設定操作」「代理登録」をクリック
  22. 22. Gemalto Mini Driver Tools • https://www.gemalto.com/products/dotnet_card/resources/development.html • 証明書の削除、PINの変更などができるツール
  23. 23. FAQ • USBリダイレクトを使いますか? – いえ、スマートカードに特化したリダイレクト方式ですので、 USBリダイレクトの制限などには影響されません。 • スマートカード認証は二要素認証ですか? – ID/Passwordの代わりに、スマートカード認証を行います。 RSAセキュリティなどのように追加されるものではありません。 したがって、単要素認証のように見えますが、 以下のように二要素認証と考えることが可能です。 • http://technet.microsoft.com/ja-jp/library/cc170941.aspx • 2 要素の認証では、次の項目の組み合わせを使用します。 – ユーザーが所持する物 (ハードウェア トークンやスマート カードなど) – ユーザーが知識として持つもの (暗証番号 (PIN) など)
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×