使用智能卡进行用户身份验证的客户端设备必须符合特定要求。

客户端硬件和软件要求

使用智能卡进行用户身份验证的每个客户端计算机都必须具有以下硬件和软件。

  • Horizon Client
  • 一个兼容的智能卡读卡器
  • 产品特定的应用程序驱动程序

用户必须具备智能卡,且每个智能卡都必须包含一个用户证书。支持以下智能卡。

  • 美国国防部的通用访问卡 (CAC)
  • 美国联邦政府个人身份验证 (Personal Identity Verification, PIV) 卡(也称为 FIPS-201 智能卡)
  • Gemalto .NET 卡
  • Gemalto IDPrime MD 卡

对于 CAC 和 PIV 卡,Horizon Client 在默认情况下使用 CryptoTokenKit 智能卡驱动程序,您无需安装任何中间件。

对于 Gemalto .NET 卡,需为您的 macOS 版本安装正确的 SafeNet 身份验证客户端版本。Gemalto SafeNet 身份验证客户端同时支持适用于 Gemalto .NET 智能卡的 CryptoTokenKit 和 TokenD 智能卡驱动程序。

您也可以对 CAC 和 PIV 卡使用以下第三方智能卡驱动程序。

  • 适用于 Mac v1.7 和 v1.7.1 的 PKard
  • Charismathics (CCSI_5.0.3_PIV)
  • Centrify Express

要使用第三方智能卡驱动程序,您必须禁用 CryptoTokenKit 智能卡驱动程序。有关更多信息,请参阅禁用 CryptoTokenKit 智能卡驱动程序

代理软件要求

Horizon 管理员必须在代理计算机上安装产品特定的应用程序驱动程序。

对于 PIV 卡,操作系统会在您插入适用于 Windows 7 虚拟桌面的智能卡读卡器和 PIV 卡时安装相关的驱动程序。适用于 Windows 7 虚拟桌面的 PIV 卡支持以下代理驱动程序。

  • Charismathics (CSTC PIV 5.2.2)
  • Microsoft 微型驱动程序
  • ActivClient 6.x

适用于 Windows 10 虚拟桌面的 PIV 卡支持以下代理驱动程序。

  • Charismathics (CSTC PIV 5.2.2)
  • ActivClient 7.x

对于 Gemalto.NET 卡,支持 Gemalto Minidriver for .NET Smart Card 驱动程序。

Horizon Client 中启用用户名提示字段

在某些环境中,智能卡用户可以使用单个智能卡证书验证多个用户帐户的身份。用户在使用智能卡进行身份验证时,他们在用户名提示文本框中输入其用户名。

要在 Horizon Client 登录对话框中显示用户名提示文本框,您必须在 Horizon Console 中为连接服务器实例启用智能卡用户名提示功能。有关启用智能卡用户名提示功能的信息,请参阅《Horizon 管理指南》文档。

如果您的环境使用 Unified Access Gateway 设备来确保外部访问的安全,则必须配置 Unified Access Gateway 设备,以使其支持智能卡用户名提示功能。仅 Unified Access Gateway 2.7.2 和更高版本支持智能卡用户名提示功能。有关在 Unified Access Gateway 中启用智能卡用户名提示功能的信息,请参阅 《部署和配置 VMware Unified Access Gateway》 文档。

注: 即使启用了智能卡用户名提示功能, Horizon Client 还会支持单帐户智能卡证书。

额外的智能卡身份验证要求

除了满足 Horizon Client 系统的智能卡要求以外,其他 VMware Horizon 组件还必须满足特定的配置要求以支持智能卡。

连接服务器和安全服务器主机
Horizon 管理员必须将所有受信任的用户证书的所有适用证书颁发机构 (Certificate Authority, CA) 证书添加到连接服务器或安全服务器主机上的服务器信任存储区文件中。如果用户的智能卡证书是由中间证书颁发机构颁发,则这些证书包括根证书且必须包括中间证书。

为空白 PIV 卡生成证书时,请在 PIV Data Generator 工具中的 Crypto Provider 选项卡上输入连接服务器或安全服务器主机上的服务器信任存储区文件的路径。

有关配置连接服务器以支持智能卡使用的信息,请参阅《Horizon 管理指南》文档。

Unified Access Gateway
有关在 Unified Access Gateway 设备上配置智能卡身份验证的信息,请参阅 《部署和配置 VMware Unified Access Gateway》文档。
Active Directory
有关管理员为了实施智能卡身份验证而可能需要在 Active Directory 中执行的任务的信息,请参阅 《Horizon 管理指南》文档。