Konfigurieren von Zertifikatszuordnungen für die zertifikatsbasierte Authentifizierung

Hinweis: Diese Version des Themas gilt für Horizon 8-Sicherheitsversionen 2111.2 und 2306 und höher. Die zertifikatsbasierte Authentifizierung, wie z. B. Smartcard, stützt sich bei der Authentifizierung in VMware Horizon 8 auf Benutzerprinzipalnamen (UPNs). Nach einem aktuellen Sicherheitsupdate von Microsoft (Einzelheiten siehe Microsoft KB5014754) werden alle auf Benutzernamen und E-Mail-Adressen basierenden Zuordnungsarten als schwach angesehen und müssen in eine der stärkeren Zuordnungsarten geändert werden. Mit dieser Einstellung können Sie die Zuordnung der Zertifikatsauthentifizierung konfigurieren, wenn Sie eine zertifikatsbasierte Authentifizierung verwenden.

Prozedur

Navigieren Sie zu Globale Einstellungen > Sicherheitseinstellungen > Zertifikatauthentifizierung.

Wählen Sie eine Option vom Typ „Steuerelemente für die Zuordnung von Zertifikaten zur Authentifizierung“ aus.

Option Beschreibung

SID Dies ist die bevorzugte Option und die Standardeinstellung für eine Neuinstallation. Wenn sie mit der Option „Benutzerdefinierte alternative Sicherheitsidentitäten“ ausgewählt ist, wird die SID zuerst adressiert.

Benutzerdefinierte alternative Sicherheitsidentitäten

Option	Beschreibung
SID	Dies ist die bevorzugte Option und die Standardeinstellung für eine Neuinstallation. Wenn sie mit der Option „Benutzerdefinierte alternative Sicherheitsidentitäten“ ausgewählt ist, wird die SID zuerst adressiert.
Benutzerdefinierte alternative Sicherheitsidentitäten	Wenn das Kontrollkästchen „Benutzerdefinierte alternative Sicherheitsidentitäten“ aktiviert ist, wird ein Textfeld zum Hinzufügen alternativer Zuordnungsnamen angezeigt. Die Zuordnung von Zertifikaten zur Authentifizierung muss mit „x509:“ beginnen, gefolgt von den Namen für die Zuordnung von Zertifikaten zur Authentifizierung, die in %% eingeschlossen sind. Beispiel: `x509:<I>%issuer_dn%<S>%subject_dn%` Die Standardwerte der Namen für die Zuordnung von Zertifikaten zur Authentifizierung lauten: `subject_dn`, `issuer_dn`, `subject_key_id`, `serial`, `san_dns`, `ian_dns`, `san_822`, `public_key_sha1`, `san_other` und `oid:`
UPN und vordefinierte alternative Sicherheitsidentitäten (Legacy)	Dies ist die Standardoption, wenn Upgrades durchgeführt werden.

Wenn das Kontrollkästchen „Benutzerdefinierte alternative Sicherheitsidentitäten“ aktiviert ist, wird ein Textfeld zum Hinzufügen alternativer Zuordnungsnamen angezeigt.

Die Zuordnung von Zertifikaten zur Authentifizierung muss mit „x509:“ beginnen, gefolgt von den Namen für die Zuordnung von Zertifikaten zur Authentifizierung, die in %% eingeschlossen sind. Beispiel: x509:<I>%issuer_dn%<S>%subject_dn%

Die Standardwerte der Namen für die Zuordnung von Zertifikaten zur Authentifizierung lauten: subject_dn, issuer_dn, subject_key_id, serial, san_dns, ian_dns, san_822, public_key_sha1, san_other und oid:

UPN und vordefinierte alternative Sicherheitsidentitäten (Legacy)

Dies ist die Standardoption, wenn Upgrades durchgeführt werden.

Starten Sie den Secure Gateway-Dienst neu, damit die Änderungen wirksam werden. Wenn Sie Version 2309 oder höher ausführen, können Sie diesen Schritt überspringen.
Hinweis: Wenn mehr als eine Option ausgewählt ist, erfolgt die Authentifizierung basierend auf der Priorität in folgender Reihenfolge:
- SID
- Benutzerdefinierte alternative Sicherheitsidentitäten
- UPN und vordefinierte alternative Sicherheitsidentitäten (Legacy)
Wenn Sie das in Microsoft KB5014754 beschriebene Microsoft-Sicherheitsupdate angewendet haben und weiterhin UPN für die zertifikatsbasierte Authentifizierung verwenden, wird die Authentifizierung verweigert, sobald der Erzwingungsmodus von Microsoft aktiviert wird.