Observação: (Note: )esta versão do tópico se aplica ao Horizon 8 Security versões 2111.2 e 2306 e posteriores. Ele descreve as configurações relacionadas à segurança no LDAP que não podem ser modificadas usando APIs, o console de administração ou as ferramentas de linha de comando fornecidas. As configurações relacionadas à segurança são fornecidas em LDAP do Horizon no caminho do objeto cn=common,ou=global,ou=properties,dc=vdi,dc=vmware,dc=int. Se você tiver privilégios administrativos totais, poderá usar um editor LDAP, como o utilitário ADSI Edit, para alterar o valor dessas configurações em uma instância do intermediário de conexão. A alteração é propagada automaticamente para todas as outras instâncias do intermediário de conexão em um cluster.

Configurações relacionadas à segurança em LDAP do Horizon

Atributo Descrição
pae-AgentLogCollectionDisabled Essa configuração pode ser usada para impedir o download de arquivos DCT do Horizon Agents, usando APIs ou o console de administração. A coleta de logs ainda é possível de Servidores de Conexão em ambientes VMware Horizon 8.

Defina como 1 para desativar a coleta de logs do agente.
pae-DisallowEnhancedSecurityMode

Essa configuração pode ser usada para impedir o uso da Segurança aprimorada de mensagens. Use-o se quiser desativar o gerenciamento automático de certificados.

Depois que isso for definido como 1, o ambiente Horizon 8 começará a transição para o modo de segurança de mensagem Ativado automaticamente.

Definir esse atributo novamente como 0 ou removê-lo permite que a segurança de mensagem aprimorada seja escolhida mais uma vez, mas não aciona uma transição automática.
pae-enableDbSSL Se você configurar um Banco de Dados de Eventos, a conexão não será protegida por TLS por padrão. Defina esse atributo como 1 para ativar o TLS na conexão.
pae-managedCertificateAdvanceRollOver

Para certificados gerenciados automaticamente, esse atributo pode ser definido para forçar a renovação dos certificados antes que eles expirem. Especifique o número de dias antes da data de expiração em que isso deve ser feito.

O prazo máximo é de 90 dias. Se não for especificado, essa configuração será padronizada para 0 dias e, portanto, a sobreposição ocorrerá na expiração.
pae-MsgSecOptions

Esse é um atributo de vários valores em que cada valor é um par nome-valor (por exemplo, course=fish).

Aviso: Ao adicionar ou modificar um par nome-valor, tenha muito cuidado para não remover outros valores.

Atualmente, o único par nome-valor que pode ser definido é keysize. Isso especifica o comprimento da chave de assinatura de mensagens DSA. Se não for especificado, o padrão será 512 bits.

  • Se a segurança da mensagem for Ativada ou Mista, todas as mensagens serão assinadas. Aumentar o comprimento da chave afeta o desempenho e a escalabilidade.
  • Se a segurança da mensagem for Aprimorada, poucas mensagens serão assinadas e VMware recomenda um comprimento de chave de 2.048 bits.
  • Se você tiver selecionado a compatibilidade com FIPS ao instalar o Horizon 8, o tamanho da chave já estará definido como 2048.

O comprimento da chave pode ser alterado imediatamente após a instalação da primeira instância do intermediário de conexão e antes da criação de servidores e desktops adicionais. Depois disso, não deve ser alterado.
pae-noManagedCertificate

Essa configuração pode ser usada para desativar o gerenciamento automático de certificados.

Quando definido como 1, os certificados não são mais renovados automaticamente e os certificados autoassinados nos repositórios de certificados são ignorados.

Todos os certificados devem ser assinados por uma autoridade de certificação e gerenciados pelo administrador.

Essa configuração não é compatível com a Segurança aprimorada de mensagens. Antes de definir como 1, você deve alternar a segurança da mensagem para Ativado.

Se você tiver selecionado a compatibilidade com FIPS ao instalar o Horizon 8, o certificado "vdm" deverá ser assinado pela CA, mas os outros não precisarão ser, a menos que seja definido como 1.

Todos os Servidores de Conexão em uma configuração de CPA devem ter o certificado raiz que foi usado para gerar o certificado de cliente de inscrição (vdm.ec) de outros PODs.
pae-SSLCertificateSignatureAlgorithm

Isso especifica o algoritmo de assinatura de certificado a ser usado para certificados gerenciados automaticamente. Se não for especificado, o padrão será rsa_pkcs1_sha384.

Para obter mais exemplos, consulte Políticas globais padrão para protocolos de segurança e conjuntos de codificação.
pae-CertAuthMappingControl
Especifica se há suporte para smart card. Um valor de 0 ou ausente significa que não há suporte para cartão inteligente. Outros valores possíveis são:
  • 1 = pesquisa herdada (UPN+altSecurityIdentities para X509IssuerSubject ou X509SubjectOnly)
  • 2 = pesquisa de mapeamento personalizado
  • 3 = pesquisa personalizada+herdada
  • 4 = Pesquisa de SID
  • 5 = sid+pesquisa herdada
  • 6 = sid+pesquisa personalizada
  • 7 = sid+custom+herdado search, a prioridade será sid>custom>herdado
pae-CertAuthMapping

O valor padrão é <not set> e usará uma String para o mapeamento de Certificado de altSecurityIdentities, por exemplo: "x509:<I>%issuer_dn%<S>%subject_dn%<SKI>%subject_key_id%", X509:<I>%issuer_dn%<SR>%serial%

A autenticação baseada em certificado é feita com base em todas as cadeias de caracteres fornecidas. O mapeamento deve ser fornecido com base nas propriedades de certificado compatíveis, por exemplo: Issuer, public_key, subject_alternative_name, fornecidas em CertAuthMappingNames.