使用智能卡进行用户身份验证的客户端设备必须符合特定要求。
客户端硬件和软件要求
每个使用智能卡进行用户身份验证的客户端设备都必须具有以下硬件和软件。
- Horizon Client
- 一个兼容的智能卡读卡器
- 智能卡读卡器驱动程序
- 智能卡驱动程序
- 产品特定的应用程序驱动程序
使用智能卡进行身份验证的用户必须将支持的智能卡类型与对应的中间件结合使用,如以下部分中所述。每个智能卡还必须包含一个用户证书。
智能卡类型和中间件要求
Horizon Client 支持智能卡和智能卡中间件的下列组合。
智能卡类型 | 制造商 | 客户端中间件 | 代理端中间件 |
---|---|---|---|
个人身份验证 (Personal Identity Verification, PIV) 卡 |
NIST | OpenSC PKCS11 模块 | ActivClient 7.x |
IDprime .NET 卡 | Gemalto | Gemalto .NET PKCS11 库 (libgtop11dotnet.so) |
Gemalto .NET 微型驱动程序 |
远程桌面和已发布应用程序的软件要求
Horizon 管理员必须在虚拟桌面或 RDS 主机上安装产品特定的应用程序驱动程序。
在 Horizon Client 中启用“用户名提示”文本框
在某些环境中,智能卡用户可以使用单个智能卡证书验证多个用户帐户的身份。用户在使用智能卡登录时,他们在用户名提示文本框中输入其用户名。
要在 Horizon Client 登录对话框中显示用户名提示字段,您必须在连接服务器中启用智能卡用户名提示功能。仅 Horizon 7 版本 7.0.2 和更高版本的服务器和代理支持智能卡用户名提示功能。有关启用智能卡用户名提示功能的信息,请参阅《VMware Horizon Console 管理指南》文档。
如果您的环境使用 Unified Access Gateway 设备进行安全外部访问,而不是使用安全服务器,您必须配置 Unified Access Gateway 设备以支持智能卡用户名提示功能。仅 Unified Access Gateway 2.7.2 和更高版本支持智能卡用户名提示功能。有关在 Unified Access Gateway 中启用智能卡用户名提示功能的信息,请参阅 《部署和配置 Unified Access Gateway》 文档。
即使启用了智能卡用户名提示功能,Horizon Client 仍继续支持单帐户智能卡证书。
额外的智能卡身份验证要求
除了满足 Horizon Client 系统的智能卡要求以外,其他 Horizon 组件还必须满足特定的配置要求以支持智能卡。
- 连接服务器和安全服务器主机
-
管理员必须将所有受信任的用户证书的所有适用证书颁发机构 (Certificate Authority, CA) 证书添加到连接服务器或安全服务器主机上的服务器信任存储区文件中。这些证书包括根证书,如果中间证书颁发机构颁发用户的智能卡证书,则还必须包括中间证书。
有关配置连接服务器以支持智能卡使用的信息,请参阅《VMware Horizon Console 管理指南》文档。
- Active Directory
- 有关管理员为了实施智能卡身份验证而可能需要在 Active Directory 中执行的任务的信息,请参阅 《VMware Horizon Console 管理指南》文档。