Horizon View へのスマートカード認証の導入

1. © 2014 VMware Inc. All rights reserved.
Horizon View への
スマートカード認証の導入
2014/2/27 更新

2. 何ができるようになるか
• Horizon Viewへのログオン
– 従来のID/Passwordの認証ではなく、
スマートカードに保存された証明書を使って認証を行う
（Active Directoryの標準機能）
– ユーザー操作は、スマートカードの PIN を入力するだけ
– Windows の View Client, Zero Client 対応
• Horizon Viewへ接続後の、Webアプリのクライアント認証
• FAT PCのログオン、クライアント認証も引き続き使える
本資料は、Gemalto社のご協力のもとで
検証した内容に基づいて作成しています。

3. ユーザーの手順：Windows編
• PCにスマートカードリーダーを接続
スマートカード
リーダー
スマートカード

4. • View Clientでサーバーに接続すると、ID/パスワードの代わりに
スマートカードのPINを聞かれる
• カードが入っていない場合は、指示される
• エスケープキーで、通常のID/パスワードの入力画面に抜けられる

5. • スマートカードに複数の証明書が存在する場合は、
セレクターが表示される
Windows ゼロクライアント

6. • 複数のスマートカードリーダー、複数のスマートカードが
接続されている場合も、セレクターで選択可能
（ゼロクライアントは不可・１台のリーダーのみ）

7. • 接続後は従来と変化なし
• ブラウザでのクライアント認証は、VDI内、PC上同時に使用可
PCVDI

8. • セッション接続中に、スマートカード・スマートカードリーダーを
取り出すと、ポリシーによってセッションが切断される
• Windows側でもグループポリシーで、スマートカード取り出し時の
動作を設定できるので、両方のポリシーで制御

9. ユーザーの手順：ゼロクラ編
• スマートカードリーダーを接続するだけ

10. スマートカードとは
• カード内に証明書を保存することができる
• ID・パスワードの代わりに、証明書を使ってログオンする
• 証明書は PIN コードで保護されている（毎回入力）
• 接触型（金属の接点があるタイプ）と
非接触型がある

11. 必要なもの、準備：サーバー側
• Active Directory
– エンタープライズCA（証明書機関）のセットアップ
• View Server
– 証明書の登録
– ポリシーの設定
• View Desktop
– View Agentでスマートカードサポートをインストール

12. 必要なもの、準備：クライアント側
• スマートカード
– ユーザーごとに必要
– ユーザーのセルフサービス、または管理者がセットアップ
• スマートカードリーダー
• View Client
– ドメインに参加

13. Active Directoryの準備
• サーバーの役割の「Active Directory 証明書サービス」を追加する
– Domain Controller または新規メンバーサーバーにインストール
– 役割サービスは「証明機関」「証明機関Web登録」
「オンラインレスポンダ」を追加
– エンタープライズCA、ルートCAを指定
– キー長:2048、ハッシュアルゴリズム:sha256を指定 (gemalto推奨値)
• 証明書テンプレートを作成
– 管理ツール内の「証明機関」を起動
– 「証明書テンプレート」を右クリックして「管理」選択
– 「スマートカードユーザー」を複製して、プロパティを開く
– 要求処理タブで「署名とスマートカードログオン」を選択
– CSPとして「以下のCSPのどれか１つ」「Microsoft Base mart Cart
Crypto Provider」を選択

14. • 証明書テンプレートを作成・続き
– 「サブジェクト名」タブで、UPNのみを選択
– 「発行の要件」タブで、「次の数の認証署名」で１を指定
– 「署名に必要なポリシーの種類」＝「アプリケーションポリシー」
– 「アプリケーションポリシー」＝「証明書の要求エージェント」
• 証明書テンプレートを登録
– 「証明書テンプレート」を右クリック、
「新規作成」「発行する証明書テンプレート」
– 上で作成したテンプレートを登録
– 登録エージェントのテンプレートも同時に登録

15. • 登録エージェントの設定
– mmcを起動し、証明書のスナップイン（ユーザーアカウント）を追加
– 「証明書」「個人」を右クリック、
「すべてのタスク」「新しい証明書の要求」を選択
– 「登録エージェント」を選択、「登録」

16. View Serverの準備
• ドキュメント「スマートカード認証の構成」
– http://pubs.vmware.com/view-52/topic/com.vmware.view.administration.doc/GUID-
FA1A85D8-07B1-4140-A34B-7F20618083CE.html
• 作成したCAのルート証明書を、View Server用に取り出す
– keytool (Java) を使用
– Keytool –import –alias alias –file root_certificate
–keystore truststorefile.key
• 特定のフォルダに配置、設定ファイル locked.properties を編集
または作成
– trustKeyfile=truststorefile.key
trustStoretype=JKS
useCertAuth=true

17. 「オプション」
または「必須」
スマートカードを
取り出すと、
セッションが切れる
サーバーのポリシーで、
スマートカードを使えるように設定

18. View Desktopの準備
• View Agent でスマートカードサポートが
インストールされていることを確認
• または、
C:¥Program Files¥VMware¥VMware View¥Agent¥bin に
wsnm_scredir.dll があることを確認

19. View Clientの準備
• ドメインに参加する
• PCの場合、PC側にもスマートカードリーダーとスマートカードの
ドライバーをインストールしておく

20. スマートカードの準備
• Gemalto社のIDPrimeシリーズのカードの場合、
Windows Updateからドライバーが自動的にインストールされる
– スマートカードリーダーと、スマートカードのドライバが、それぞれ必要
• MMCの証明書の管理で証明書を発行し、書き込む
– 代理登録
• スマートカード上の証明書の確認
– Certutil.exe –sccard (Windows標準ツール)
• 証明書の削除などができるツール
– Gemalto Mini Driver Tools (Gemalto社のWebからダウンロード)

21. 証明書の発行・登録
• 証明書の発行
– スマートカードリーダーが接続されているPCで操作
– 証明書を書き込むカードをセットしておく
– mmcを起動し、証明書のスナップイン（ユーザーアカウント）を追加
– 「証明書」「個人」「証明書」を右クリック、
「すべてのタスク」「詳細設定操作」「代理登録」をクリック

22. Gemalto Mini Driver Tools
• https://www.gemalto.com/products/dotnet_card/resources/development.html
• 証明書の削除、PINの変更などができるツール

23. FAQ
• USBリダイレクトを使いますか？
– いえ、スマートカードに特化したリダイレクト方式ですので、
USBリダイレクトの制限などには影響されません。
• スマートカード認証は二要素認証ですか？
– ID/Passwordの代わりに、スマートカード認証を行います。
RSAセキュリティなどのように追加されるものではありません。
したがって、単要素認証のように見えますが、
以下のように二要素認証と考えることが可能です。
• http://technet.microsoft.com/ja-jp/library/cc170941.aspx
• 2 要素の認証では、次の項目の組み合わせを使用します。
– ユーザーが所持する物 (ハードウェア トークンやスマート カードなど)
– ユーザーが知識として持つもの (暗証番号 (PIN) など)