Hinweis: Diese Version des Themas gilt für Horizon 8-Sicherheitsversionen 2111.2 und 2306 und höher. In diesem Thema werden sicherheitsbezogene Einstellungen in LDAP beschrieben, die nicht mithilfe von APIs, der Verwaltungskonsole oder bereitgestellten Befehlszeilentools geändert werden können. Sicherheitsbezogene Einstellungen werden in Horizon LDAP unter dem Objektpfad cn=common,ou=global,ou=properties,dc=vdi,dc=vmware,dc=int bereitgestellt. Wenn Sie über vollständige Administratorrechte verfügen, können Sie einen LDAP-Editor wie das Dienstprogramm ADSI-Editor verwenden, um den Wert dieser Einstellungen auf einer Verbindungs-Broker-Instanz zu ändern. Die Änderung wird automatisch an alle anderen Verbindungs-Broker-Instanzen in einem Cluster weitergegeben.
Sicherheitsbezogene Einstellungen in Horizon LDAP
Attribut | Beschreibung |
---|---|
pae-AgentLogCollectionDisabled |
Diese Einstellung kann verwendet werden, um zu verhindern, dass DCT-Archive von Horizon Agents mithilfe von APIs oder der Verwaltungskonsole heruntergeladen werden. Die Protokollerfassung ist weiterhin über Verbindungsserver in VMware Horizon 8-Umgebungen möglich. Setzen Sie diese Option auf 1, um die Agent-Protokollerfassung zu deaktivieren. |
pae-DisallowEnhancedSecurityMode |
Diese Einstellung kann zur Vermeidung der erweiterten Nachrichtensicherheit verwendet werden. Verwenden Sie diese Option, wenn Sie die automatische Zertifikatsverwaltung deaktivieren möchten. Sobald dieses Attribut auf 1 gesetzt ist, beginnt die Horizon 8-Umgebung automatisch mit dem Übergang zum Modus „Aktivierte Nachrichtensicherheit“. Wenn Sie dieses Attribut auf 0 zurücksetzen oder entfernen, kann erweiterte Nachrichtensicherheit erneut ausgewählt werden, aber es wird kein automatischer Übergang ausgelöst. |
pae-enableDbSSL |
Wenn Sie eine Ereignisdatenbank konfigurieren, wird die Verbindung standardmäßig nicht durch TLS geschützt. Legen Sie dieses Attribut auf 1 fest, um TLS für die Verbindung zu aktivieren. |
pae-managedCertificateAdvanceRollOver |
Bei automatisch verwalteten Zertifikaten kann dieses Attribut gesetzt werden, um die Erneuerung von Zertifikaten vor deren Ablauf zu erzwingen. Geben Sie die Anzahl der Tage vor dem Ablaufdatum an, in denen dies geschehen soll. Der maximale Zeitraum beträgt 90 Tage. Wird nichts angegeben, ist der Standardwert 0 Tage, sodass die Erneuerung bei Ablauf der Gültigkeit erfolgt. |
pae-MsgSecOptions |
Dies ist ein mehrwertiges Attribut, bei dem jeder Wert selbst ein Name-Wert-Paar ist (z. B.
Warnung: Achten Sie beim Hinzufügen oder Ändern eines Namens-Wert-Paars darauf, keine anderen Werte zu entfernen.
Derzeit ist das einzige Name-Wert-Paar, das gesetzt werden kann,
Die Schlüssellänge kann unmittelbar nach der Installation der ersten Verbindungs-Broker-Instanz und vor der Erstellung zusätzlicher Server und Desktops geändert werden. Danach darf sie nicht mehr geändert werden. |
pae-noManagedCertificate |
Diese Einstellung kann zum Deaktivieren der automatischen Zertifikatsverwaltung verwendet werden. Wenn dieser Wert auf 1 festgelegt ist, werden Zertifikate nicht mehr automatisch erneuert, und selbstsignierte Zertifikate in den Zertifikatspeichern werden ignoriert. Alle Zertifikate müssen von einer Zertifizierungsstelle signiert und vom Administrator verwaltet werden. Diese Einstellung ist nicht kompatibel mit der erweiterten Nachrichtensicherheit. Bevor Sie auf 1 festlegen, müssen Sie die Nachrichtensicherheit auf Aktiviert setzen. Wenn Sie FIPS-Kompatibilität bei der Installation von Horizon 8 ausgewählt haben, muss das „vdm“-Zertifikat von einer Zertifizierungsstelle signiert sein. Die anderen Zertifikate müssen es nicht sein, es sei denn, diese Einstellung ist auf 1 gesetzt. Alle Verbindungsserver in einer CPA-Konfiguration sollten über das Stammzertifikat verfügen, das zum Generieren des Registrierungs-Clientzertifikats (vdm.ec) anderer PODs verwendet wurde. |
pae-SSLCertificateSignatureAlgorithm |
Damit wird der Zertifikatsignaturalgorithmus angegeben, der für automatisch verwaltete Zertifikate verwendet werden soll. Wird er nicht angegeben, ist er standardmäßig Weitere Beispiele finden Sie unter Standardmäßige globale Richtlinien für Sicherheitsprotokolle und Verschlüsselungs-Suites. |
pae-CertAuthMappingControl |
Gibt an, ob Smartcards unterstützt werden. Der Wert 0 oder kein Wert bedeutet, dass keine Smartcard-Unterstützung vorhanden ist. Weiter mögliche Werte sind:
|
pae-CertAuthMapping |
Der Standardwert ist <nicht festgelegt> und verwendet eine Zeichenfolge für die Zertifikatzuordnung von Die zertifikatsbasierte Authentifizierung erfolgt auf Basis aller angegebenen Zeichenfolgen. Die Zuordnung sollte auf Basis der unterstützten Zertifikateigenschaften bereitgestellt werden, wie z. B. Aussteller, public_key, subject_alternative_name, bereitgestellt in CertAuthMappingNames. |