由于智能卡登录依赖用户主体名称 (UPN),因此在 VMware Horizon 中使用智能卡进行身份验证的用户和管理员的 Active Directory 帐户必须具备有效的 UPN。
如果智能卡用户所在的域和颁发根证书的域不同,您必须将用户的 UPN 设置为受信任 CA 的根证书内包含的使用者备用名称 (SAN)。如果您的根证书是从智能卡用户当前所在域中的服务器上颁发的,则不需要修改用户的 UPN。
注: 即便是从同一个域颁发证书,您仍然可能需要设置内置 Active Directory 帐户的 UPN。内置帐户(包括 Administrator 帐户)在默认情况下未设置 UPN。
前提条件
- 通过查看证书属性,获取受信任 CA 的根证书中包含的 SAN。
- 如果您的 Active Directory 服务器上没有“ADSI 编辑”实用程序,请从 Microsoft 网站下载并安装相应的 Windows 支持工具。
过程
- 在 Active Directory 服务器上,启动“ADSI 编辑”实用程序。
- 在左侧窗格中,展开用户所在的域并双击 CN=Users。
- 在右侧窗格中,右键单击用户,然后单击属性。
- 双击 userPrincipalName 属性并键入受信任 CA 证书的 SAN 值。
- 单击确定保存属性设置。