为基于证书的身份验证配置证书映射

注意：此版本的主题适用于 Horizon 8 安全版本 2111.2 和 2306 以及更高版本。基于证书的身份验证（如智能卡）依赖用户主体名称 (UPN) 在 VMware Horizon 8 中进行身份验证。在最近的 Microsoft 安全更新中（有关详细信息，请参阅 Microsoft 知识库文章 5014754），所有基于用户名和电子邮件地址的映射类型都被视为弱级别，因此必须更改为任意一种更强的映射类型。如果使用基于证书的身份验证，此设置允许您配置证书身份验证映射。

过程

导航到全局设置 > 安全性设置 > 证书身份验证。

选择“证书身份验证映射控制”选项。

选项说明

SID 这是首选选项，也是执行全新安装时的默认选项。如果在使用“自定义备用安全身份”选项的情况下选择该选项，则将首先处理 SID。

自定义备用安全身份

选项	说明
SID	这是首选选项，也是执行全新安装时的默认选项。如果在使用“自定义备用安全身份”选项的情况下选择该选项，则将首先处理 SID。
自定义备用安全身份	选中“自定义备用安全身份”复选框时，将显示一个用于添加备用映射名称的文本框。证书身份验证映射应以“x509:”开头，后跟封装在 %% 中的证书身份验证映射名称。例如：`x509:<I>%issuer_dn%<S>%subject_dn%` 证书身份验证映射名称的默认值为： `subject_dn`、`issuer_dn`、 `subject_key_id`、`serial`、`san_dns`、`ian_dns`、`san_822`、`public_key_sha1`、`san_other`: 和 `oid:`
UPN 和预定义的备用安全身份 (旧版)	这是执行升级时的默认选项。

选中“自定义备用安全身份”复选框时，将显示一个用于添加备用映射名称的文本框。

证书身份验证映射应以“x509:”开头，后跟封装在 %% 中的证书身份验证映射名称。例如：x509:<I>%issuer_dn%<S>%subject_dn%

证书身份验证映射名称的默认值为： subject_dn、issuer_dn、 subject_key_id、serial、san_dns、ian_dns、san_822、public_key_sha1、san_other: 和 oid:

UPN 和预定义的备用安全身份 (旧版)

这是执行升级时的默认选项。

重新启动安全网关服务以使更改生效。如果运行的是版本 2309 或更高版本，则可以跳过此步骤。
注：如果选择了多个选项，则会根据以下优先级顺序完成身份验证：
- SID
- 自定义备用安全身份
- UPN 和预定义的备用安全身份 (旧版)
如果您已应用 Microsoft 知识库文章 5014754 中所述的 Microsoft 安全更新，并且仍继续使用 UPN 进行基于证书的身份验证，则在 Microsoft 启用强制模式后，该身份验证将被拒绝。