Este tópico descreve as configurações relacionadas à segurança no LDAP que não podem ser modificadas usando APIs, o console de administração ou as ferramentas de linha de comando fornecidas. As configurações relacionadas à segurança são fornecidas em Horizon LDAP no caminho do objeto cn=common,ou=global,ou=properties,dc=vdi,dc=vmware,dc=int. Se você tiver privilégios administrativos totais, poderá usar um editor LDAP, como o utilitário ADSI Edit, para alterar o valor dessas configurações em uma instância do intermediário de conexão. A alteração é propagada automaticamente para todas as outras instâncias do intermediário de conexão em um cluster.

Configurações relacionadas à segurança em Horizon LDAP

Atributo Descrição
pae-AgentLogCollectionDisabled Essa configuração pode ser usada para impedir o download de arquivos DCT do Horizon Agents, usando APIs ou o console de administração. A coleta de logs ainda é possível de Servidores de Conexão em ambientes VMware Horizon 8.

Defina como 1 para desativar a coleta de logs do agente.

pae-DisallowEnhancedSecurityMode

Essa configuração pode ser usada para impedir o uso da Segurança aprimorada de mensagens. Use-o se quiser desativar o gerenciamento automático de certificados.

Depois que isso for definido como 1, o ambiente Horizon 8 começará a transição para o modo de segurança de mensagem Ativado automaticamente.

Definir esse atributo novamente como 0 ou removê-lo permite que a segurança de mensagem aprimorada seja escolhida mais uma vez, mas não aciona uma transição automática.

pae-enableDbSSL Se você configurar um Banco de Dados de Eventos, a conexão não será protegida por TLS por padrão. Defina esse atributo como 1 para ativar o TLS na conexão.
pae-managedCertificateAdvanceRollOver

Para certificados gerenciados automaticamente, esse atributo pode ser definido para forçar a renovação dos certificados antes que eles expirem. Especifique o número de dias antes da data de expiração em que isso deve ser feito.

O prazo máximo é de 90 dias. Se não for especificado, essa configuração será padronizada para 0 dias e, portanto, a sobreposição ocorrerá na expiração.

pae-MsgSecOptions

Esse é um atributo de vários valores em que cada valor é um par nome-valor (por exemplo, course=fish).

Aviso: Ao adicionar ou modificar um par nome-valor, tenha muito cuidado para não remover outros valores.

Atualmente, o único par nome-valor que pode ser definido é keysize. Isso especifica o comprimento da chave de assinatura de mensagens DSA. Se não for especificado, o padrão será 512 bits.

  • Se a segurança da mensagem for Ativada ou Mista, todas as mensagens serão assinadas. Aumentar o comprimento da chave afeta o desempenho e a escalabilidade.
  • Se a segurança da mensagem for Aprimorada, poucas mensagens serão assinadas e VMware recomenda um comprimento de chave de 2.048 bits.
  • Se você tiver selecionado a compatibilidade com FIPS ao instalar o Horizon 8, o tamanho da chave já estará definido como 2048.

O comprimento da chave pode ser alterado imediatamente após a instalação da primeira instância do intermediário de conexão e antes da criação de servidores e desktops adicionais. Depois disso, não deve ser alterado.

pae-noManagedCertificate

Essa configuração pode ser usada para desativar o gerenciamento automático de certificados.

Quando definido como 1, os certificados não são mais renovados automaticamente e os certificados autoassinados nos repositórios de certificados são ignorados.

Todos os certificados devem ser assinados por uma autoridade de certificação e gerenciados pelo administrador.

Essa configuração não é compatível com a Segurança aprimorada de mensagens. Antes de definir como 1, você deve alternar a segurança da mensagem para Ativado.

Se você tiver selecionado a compatibilidade com FIPS ao instalar o Horizon 8, o certificado "vdm" deverá ser assinado pela CA, mas os outros não precisarão ser, a menos que seja definido como 1.

Todos os Servidores de Conexão em uma configuração de CPA devem ter o certificado raiz que foi usado para gerar o certificado de cliente de inscrição (vdm.ec) de outros PODs.

pae-SSLCertificateSignatureAlgorithm

Isso especifica o algoritmo de assinatura de certificado a ser usado para certificados gerenciados automaticamente. Se não for especificado, o padrão será rsa_pkcs1_sha384.

Para obter mais exemplos, consulte Políticas globais padrão para protocolos de segurança e conjuntos de codificação.