Hinweis: Diese Version des Themas gilt für Horizon 8-Sicherheitsversionen 2111.2 und 2306 und höher. In diesem Thema werden sicherheitsbezogene Einstellungen in LDAP beschrieben, die nicht mithilfe von APIs, der Verwaltungskonsole oder bereitgestellten Befehlszeilentools geändert werden können. Sicherheitsbezogene Einstellungen werden in Horizon LDAP unter dem Objektpfad cn=common,ou=global,ou=properties,dc=vdi,dc=vmware,dc=int bereitgestellt. Wenn Sie über vollständige Administratorrechte verfügen, können Sie einen LDAP-Editor wie das Dienstprogramm ADSI-Editor verwenden, um den Wert dieser Einstellungen auf einer Verbindungs-Broker-Instanz zu ändern. Die Änderung wird automatisch an alle anderen Verbindungs-Broker-Instanzen in einem Cluster weitergegeben.

Sicherheitsbezogene Einstellungen in Horizon LDAP

Attribut Beschreibung
pae-AgentLogCollectionDisabled Diese Einstellung kann verwendet werden, um zu verhindern, dass DCT-Archive von Horizon Agents mithilfe von APIs oder der Verwaltungskonsole heruntergeladen werden. Die Protokollerfassung ist weiterhin über Verbindungsserver in VMware Horizon 8-Umgebungen möglich.

Setzen Sie diese Option auf 1, um die Agent-Protokollerfassung zu deaktivieren.
pae-DisallowEnhancedSecurityMode

Diese Einstellung kann zur Vermeidung der erweiterten Nachrichtensicherheit verwendet werden. Verwenden Sie diese Option, wenn Sie die automatische Zertifikatsverwaltung deaktivieren möchten.

Sobald dieses Attribut auf 1 gesetzt ist, beginnt die Horizon 8-Umgebung automatisch mit dem Übergang zum Modus „Aktivierte Nachrichtensicherheit“.

Wenn Sie dieses Attribut auf 0 zurücksetzen oder entfernen, kann erweiterte Nachrichtensicherheit erneut ausgewählt werden, aber es wird kein automatischer Übergang ausgelöst.
pae-enableDbSSL Wenn Sie eine Ereignisdatenbank konfigurieren, wird die Verbindung standardmäßig nicht durch TLS geschützt. Legen Sie dieses Attribut auf 1 fest, um TLS für die Verbindung zu aktivieren.
pae-managedCertificateAdvanceRollOver

Bei automatisch verwalteten Zertifikaten kann dieses Attribut gesetzt werden, um die Erneuerung von Zertifikaten vor deren Ablauf zu erzwingen. Geben Sie die Anzahl der Tage vor dem Ablaufdatum an, in denen dies geschehen soll.

Der maximale Zeitraum beträgt 90 Tage. Wird nichts angegeben, ist der Standardwert 0 Tage, sodass die Erneuerung bei Ablauf der Gültigkeit erfolgt.
pae-MsgSecOptions

Dies ist ein mehrwertiges Attribut, bei dem jeder Wert selbst ein Name-Wert-Paar ist (z. B. course=fish).

Warnung: Achten Sie beim Hinzufügen oder Ändern eines Namens-Wert-Paars darauf, keine anderen Werte zu entfernen.

Derzeit ist das einzige Name-Wert-Paar, das gesetzt werden kann, keysize. Hiermit wird die Länge des DSA-Nachrichtensignaturschlüssels angegeben. Wenn nichts angegeben wird, ist der Standardwert 512 Bit.

  • Wenn die Nachrichtensicherheit aktiviert oder gemischt ist, wird jede Nachricht signiert. Das Erhöhen der Schlüssellänge wirkt sich auf Leistung und Skalierbarkeit aus.
  • Wenn die Nachrichtensicherheit auf Erweitert eingestellt ist, werden nur wenige Nachrichten signiert. VMware empfiehlt eine Schlüssellänge von 2048 Bit.
  • Wenn Sie bei der Installation von Horizon 8 FIPS-Kompatibilität ausgewählt haben, ist die Schlüsselgröße bereits auf 2048 festgelegt.

Die Schlüssellänge kann unmittelbar nach der Installation der ersten Verbindungs-Broker-Instanz und vor der Erstellung zusätzlicher Server und Desktops geändert werden. Danach darf sie nicht mehr geändert werden.
pae-noManagedCertificate

Diese Einstellung kann zum Deaktivieren der automatischen Zertifikatsverwaltung verwendet werden.

Wenn dieser Wert auf 1 festgelegt ist, werden Zertifikate nicht mehr automatisch erneuert, und selbstsignierte Zertifikate in den Zertifikatspeichern werden ignoriert.

Alle Zertifikate müssen von einer Zertifizierungsstelle signiert und vom Administrator verwaltet werden.

Diese Einstellung ist nicht kompatibel mit der erweiterten Nachrichtensicherheit. Bevor Sie auf 1 festlegen, müssen Sie die Nachrichtensicherheit auf Aktiviert setzen.

Wenn Sie FIPS-Kompatibilität bei der Installation von Horizon 8 ausgewählt haben, muss das „vdm“-Zertifikat von einer Zertifizierungsstelle signiert sein. Die anderen Zertifikate müssen es nicht sein, es sei denn, diese Einstellung ist auf 1 gesetzt.

Alle Verbindungsserver in einer CPA-Konfiguration sollten über das Stammzertifikat verfügen, das zum Generieren des Registrierungs-Clientzertifikats (vdm.ec) anderer PODs verwendet wurde.
pae-SSLCertificateSignatureAlgorithm

Damit wird der Zertifikatsignaturalgorithmus angegeben, der für automatisch verwaltete Zertifikate verwendet werden soll. Wird er nicht angegeben, ist er standardmäßig rsa_pkcs1_sha384.

Weitere Beispiele finden Sie unter Standardmäßige globale Richtlinien für Sicherheitsprotokolle und Verschlüsselungs-Suites.
pae-CertAuthMappingControl
Gibt an, ob Smartcards unterstützt werden. Der Wert 0 oder kein Wert bedeutet, dass keine Smartcard-Unterstützung vorhanden ist. Weiter mögliche Werte sind:
  • 1 = Legacy-Suche (UPN+altSecurityIdentities für X509IssuerSubject oder X509SubjectOnly)
  • 2 = Suche nach benutzerdefinierten Zuordnungen
  • 3 = Suche nach benutzerdefinierten Zuordnungen+Legacy-Suche
  • 4 = SID-Suche
  • 5 = SID-Suche+Legacy-Suche
  • 6 = SID-Suche+Suche nach benutzerdefinierten Zuordnungen
  • 7 = SID-Suche+Suche nach benutzerdefinierten Zuordnungen+Legacy-Suche, Priorität hat sid>custom>legacy
pae-CertAuthMapping

Der Standardwert ist <nicht festgelegt> und verwendet eine Zeichenfolge für die Zertifikatzuordnung von altSecurityIdentities, wie z. B.: "x509:<I>%issuer_dn%<S>%subject_dn%<SKI>%subject_key_id%", X509:<I>%issuer_dn%<SR>%serial%

Die zertifikatsbasierte Authentifizierung erfolgt auf Basis aller angegebenen Zeichenfolgen. Die Zuordnung sollte auf Basis der unterstützten Zertifikateigenschaften bereitgestellt werden, wie z. B. Aussteller, public_key, subject_alternative_name, bereitgestellt in CertAuthMappingNames.