在 Linux 桌面上启用智能卡重定向后,用户可以使用连接到本地客户端系统的智能卡读卡器对桌面进行身份验证。要设置智能卡重定向,您必须执行一些配置步骤。
智能卡重定向概述
在基于运行以下 Linux 分发包的虚拟机的桌面上,支持智能卡重定向:
- RHEL 7.x/8.x/9.x
- Rocky Linux 8.x/9.x
- Ubuntu 20.04/22.04
- Debian 10.x/11.x
- SLED/SLES 15.x
安装 Horizon Agent 时,您必须专门选择智能卡重定向组件,因为该组件默认未被选中。有关更多信息,请参阅用于安装 Horizon Agent for Linux 的命令行选项。
智能卡重定向功能依赖 PC/SC Lite 库 (pcsc-lite) 与桌面上的应用程序建立通信。您可以使用桌面分发包随附的默认 PC/SC Lite 库,也可以使用自定义构建的 PC/SC Lite 库。如果使用自定义库,则必须配置 /etc/vmware/config 文件以匹配自定义 PC/SC Lite 库的读取器上下文和消息正文设置。
如果在虚拟机上启用了智能卡重定向功能,vSphere Client 的 USB 重定向无法使用智能卡。
智能卡重定向功能一次只支持一个智能卡读卡器。如果有两个或更多读卡器连接到客户端系统,该功能将无法正常使用。
智能卡重定向只支持卡上的一个证书。如果卡上有多个证书,将使用第一个插槽中的证书,其他证书将被忽略。此行为是 Linux 的一个限制。
借助智能卡单点登录 (SSO) 功能,用户无需输入智能卡凭据即可启动桌面会话。/etc/vmware/viewagent-greeter.conf 配置文件包含与此功能相关的设置。有关更多信息,请参阅在 Linux 桌面上的配置文件中设置选项。
注: 智能卡重定向支持使用 PIV 卡在 Linux 桌面中进行身份验证。在使用适用于 Linux 的
Horizon Client 通过 PIV 卡对代理进行身份验证时,您必须为 PIV 智能卡配置 TLSv1.2 支持以避免出现 SSL 错误。
配置智能卡重定向
要配置智能卡重定向,请执行以下任务。
- 按照智能卡供应商提供的说明设置智能卡。
- 按照适用于您所用 Linux 分发包的过程,将基础虚拟机与 Active Directory 域集成在一起。
- 按照适用于您所用 Linux 分发包的过程,在基础虚拟机上配置智能卡重定向。
- 如果您使用的是自定义 PC/SC Lite 库,请在 /etc/vmware/config 文件中配置 pcscd.maxReaderContext 和 pcscd.readBody 选项。请参阅在 Linux 桌面上的配置文件中设置选项。