注意:此版本的主题适用于 Horizon 8 安全版本 2111.2 和 2306 以及更高版本。本主题介绍 LDAP 中的安全相关设置,无法使用 API、管理控制台或提供的命令行工具修改这些设置。Horizon LDAP 中的对象路径 cn=common,ou=global,ou=properties,dc=vdi,dc=vmware,dc=int 下提供了安全性相关设置。如果您具有完全管理特权,则可以使用 LDAP 编辑器(例如“ADSI 编辑”实用程序)在连接代理实例上更改这些设置的值。所做的更改会自动传播到集群中的所有其他连接代理实例。

Horizon LDAP 中的安全相关设置

属性 说明
pae-AgentLogCollectionDisabled 此设置可用于阻止使用 API 或管理控制台从 Horizon Agent 下载 DCT 存档。日志收集仍可以从 VMware Horizon View 环境中的连接服务器执行。

设置为 1 可停用代理日志收集。

pae-DisallowEnhancedSecurityMode

此设置可用于阻止使用“已增强”消息安全性。如果要停用自动证书管理,请使用此设置。

将此属性设置为 1 后,Horizon View 环境会自动开始转换到“已启用”消息安全模式。

如果将此属性重新设置为 0 或者移除此属性,则允许再次选择“已增强”消息安全性,但不会触发自动转换。

pae-enableDbSSL 如果配置事件数据库,则默认情况下该连接将不受 TLS 保护。将此属性设置为 1 可对连接激活 TLS。
pae-managedCertificateAdvanceRollOver

对于自动管理的证书,可以将此属性设置为强制在证书过期之前续订证书。指定应在到期日期前多少天执行此操作。

最大期限为 90 天。如果未指定,此设置将默认为 0 天,因此,在到期时会发生滚动更新。

pae-MsgSecOptions

这是一个多值属性,其中每个值本身是一个名称-值对(例如,course=fish)。

警告: 在添加或修改名称-值对时,请注意不要移除其他值。

当前可以设置的唯一名称-值对为 keysize。它将指定 DSA 消息签名密钥的长度。如果未指定,则默认为 512 位。

  • 如果消息安全性为“已启用”或“混合”,则每个消息都将进行签名。增加密钥长度会影响性能和可扩展性。
  • 如果消息安全性为“已增强”,则很少有消息会进行签名,并且 VMware 建议密钥长度为 2048 位。
  • 如果在安装 Horizon View 时选择了 FIPS 兼容性,则密钥大小已设置为 2048。

在安装第一个连接代理实例之后,并且在创建其他服务器和桌面之前,可以立即更改密钥长度。在此之后,不得进行更改。

pae-noManagedCertificate

此设置可用于停用自动证书管理。

如果将此属性设置为 1,将不再自动续订证书,并忽略证书存储中的自签名证书。

所有证书都必须为 CA 签名证书并由管理员管理。

此设置与“已增强”消息安全性不兼容。在将此属性设置为 1 之前,必须将消息安全性切换为“已启用”。

如果在安装 Horizon View 时选择了 FIPS 兼容性,则“vdm”证书必须为 CA 签名证书,但其他证书不必为 CA 签名证书,除非将此属性设置为 1。

CPA 配置中的所有连接服务器都应具有用于生成其他容器的注册客户端证书 (vdm.ec) 的根证书。

pae-SSLCertificateSignatureAlgorithm

这将指定要用于自动管理的证书的证书签名算法。如果未指定,则默认为 rsa_pkcs1_sha384

有关更多示例,请参阅安全协议和密码套件的默认全局策略

pae-CertAuthMappingControl
指定是否支持智能卡。值为 0 或不存在表示不支持智能卡。其他可能的值为:
  • 1 = 传统搜索(UPN+altSecurityIdentities 中的 X509IssuerSubject 或 X509SubjectOnly)
  • 2 = 自定义映射搜索
  • 3 = 自定义+传统搜索
  • 4 = SID 搜索
  • 5 = SID+传统搜索
  • 6 = SID+自定义搜索
  • 7 = SID+自定义+传统搜索,优先级将为“SID>自定义>传统”
pae-CertAuthMapping

默认值为 <未设置>,并将接受用于 altSecurityIdentities 证书映射的字符串,例如:"x509:<I>%issuer_dn%<S>%subject_dn%<SKI>%subject_key_id%", X509:<I>%issuer_dn%<SR>%serial%

基于证书的身份验证是根据提供的所有字符串完成的。应根据支持的证书属性提供映射,例如:CertAuthMappingNames 中提供的 Issuer、public_key、subject_alternative_name。