您可以使用 Horizon Console 指定相应设置,以适应不同的智能卡身份验证场景。
前提条件
- 在连接服务器主机上修改连接服务器配置属性。
- 确认 Horizon Client 直接与连接服务器主机建立 HTTPS 连接。如果将 TLS 负载分流到中间设备,将不支持智能卡身份验证。
过程
- 在 Horizon Console 中,选择。
- 在连接服务器选项卡上,选择连接服务器实例,并单击编辑。
- 要为远程桌面和应用程序用户配置智能卡身份验证,请执行以下步骤。
- 在身份验证选项卡上,从“Horizon 身份验证”部分的用户的智能卡身份验证下拉菜单中选择一个配置选项。
| 选项 |
操作 |
| 不允许 |
在该连接服务器实例上禁用了智能卡身份验证。 |
| 可选 |
用户可以使用智能卡身份验证或密码身份验证连接到该连接服务器实例。如果智能卡身份验证失败,用户就必须提供密码。 |
| 需要 |
用户连接到该连接服务器实例时必须使用智能卡身份验证。 要求进行智能卡身份验证时,连接到连接服务器实例时选择以当前用户身份登录复选框的用户的身份验证将失败。这些用户登录到连接服务器时必须用智能卡和 PIN 码重新进行身份验证。
注: 智能卡身份验证仅可替换 Windows 密码身份验证。如果已启用 SecurID,用户就必须同时使用 SecurID 和智能卡身份验证机制进行身份验证。
|
- 配置智能卡移除策略。
当智能卡身份验证被设置为
不允许时,您无法配置智能卡移除策略。
| 选项 |
操作 |
| 用户移除智能卡后断开用户与连接服务器的连接。 |
选择移除智能卡时断开用户会话复选框。 |
| 在用户移除智能卡时保持用户与连接服务器的连接,并允许用户无需重新进行身份验证即可启动新的桌面或应用程序会话。 |
取消选择移除智能卡时断开用户会话复选框。 |
智能卡移除策略不适用于在选择了
以当前用户身份登录复选框的情况下连接连接服务器实例的用户,即使他们使用智能卡来登录到其客户端系统,也无法使用此策略。
- 配置智能卡用户名提示功能。
当智能卡身份验证被设置为
不允许时,您无法配置智能卡用户名提示功能。
| 选项 |
操作 |
| 允许用户使用单个智能卡证书对多个用户帐户进行身份验证。 |
选中允许智能卡用户名提示复选框。 |
| 禁止用户使用单个智能卡证书对多个用户帐户进行身份验证。 |
取消选中允许智能卡用户名提示复选框。 |
- 要为登录到 Horizon Console 的管理员配置智能卡身份验证,请从 Horizon 身份验证部分的管理员的智能卡身份验证下拉菜单中选择一个配置选项。
| 选项 |
操作 |
| 不允许 |
在该连接服务器实例上禁用了智能卡身份验证。 |
| 可选 |
管理员可以使用智能卡身份验证或密码身份验证方式登录到 Horizon Console。如果智能卡身份验证失败,管理员必须提供密码。 |
| 需要 |
管理员必须在登录到 Horizon Console 时使用智能卡身份验证。
注: 即使连接服务器强制使用智能卡身份验证,具有智能卡绕过特权的 Horizon 管理员仍可以进行身份验证并使用 API。有关详细信息,请参阅
全局特权。
|
- 单击确定。
- 重新启动连接服务器服务。
必须重新启动连接服务器服务,对智能卡设置所做的更改才能生效,但有一个例外。您可以在
可选和
必需之间更改智能卡身份验证设置,而无需重新启动连接服务器服务。
智能卡设置的更改不会影响当前已登录的用户和管理员。
下一步做什么
如果需要,准备 Active Directory 以进行智能卡身份验证。请参阅《Horizon 8 安装和升级》文档中的“为智能卡身份验证准备 Active Directory”。
验证智能卡身份验证配置。请参阅在 Horizon Console 中验证智能卡身份验证配置。
