Como los inicios de sesión de tarjetas inteligentes se basan en los nombres principales de usuarios (UPN), las cuentas de Active Directory de usuarios y administradores que usan tarjetas inteligentes para autenticarse en Horizon 7 deben tener un UPN válido.

Si el dominio en el que reside el usuario de tarjeta inteligente es distinto al dominio desde el que se emitió el certificado raíz, se debe establecer el UPN del usuario en el nombre alternativo del sujeto (SAN) que contiene el certificado raíz de la entidad de certificación de confianza. Si se expidió el certificado raíz desde un servidor del dominio actual del usuario de la tarjeta inteligente, no será necesario modificar el UPN del usuario.

Nota: Es posible que necesite configurar el UPN de las cuentas de Active Directory integradas, aunque se expida el certificado desde el mismo dominio. Las cuentas integradas, incluido el administrador, no tienen un UPN establecido de forma predeterminada.

Requisitos previos

  • Obtenga el SAN contenido en el certificado raíz de la CA de confianza viendo las propiedades del certificado.
  • Si la utilidad Editor ADSI no se encuentra en el servidor de Active Directory, descargue e instale Herramientas de soporte de Windows desde el sitio web de Microsoft.

Procedimiento

  1. En el servidor de Active Directory, inicie la utilidad Editor ADSI.
  2. En el panel situado a la izquierda, expanda el dominio en el que el usuario está ubicado y haga doble clic en CN=Users.
  3. En el panel situado a la derecha, haga clic con el botón secundario y luego haga clic en Propiedades.
  4. Haga doble clic en el atributo userPrincipalName y escriba el valor SAN del certificado CA de confianza.
  5. Haga clic en Aceptar para guardar la configuración del atributo.