Wenn Sie die Smartcard-Umleitung auf einem Linux-Desktop aktivieren, kann sich ein Benutzer mithilfe eines mit dem lokalen Clientsystem verbundenen Smartcard-Lesers beim Desktop authentifizieren. Für das Einrichten der Smartcard-Umleitung müssen Sie einige Konfigurationsschritte ausführen.

Überblick über die Smartcard-Umleitung

Die Smartcard-Umleitung wird auf Desktops unterstützt, die auf virtuellen Maschinen basieren, auf denen die folgenden Linux-Verteilungen ausgeführt werden:

  • RHEL 7.x/8.x/9.x
  • Rocky Linux 8.x/9.x
  • Ubuntu 20.04/22.04
  • Debian 10.x/11.x/12.x
  • SLED/SLES 15.x

Wenn Sie Horizon Agent installieren, müssen Sie die Smartcard-Umleitungskomponente speziell auswählen, weil die Komponente nicht standardmäßig ausgewählt wird. Weitere Informationen finden Sie unter Befehlszeilenoptionen für die Installation von Horizon Agent for Linux.

Die Smartcard-Umleitungsfunktion hängt von der PC/SC Lite-Bibliothek (pcsc-lite) ab, um die Kommunikation mit Anwendungen auf dem Desktop herzustellen. Sie können entweder die standardmäßige PC/SC Lite-Bibliothek verwenden, die in der Distribution Ihres Desktops enthalten ist, oder eine selbst erstellte PC/SC Lite-Bibliothek. Wenn Sie eine benutzerdefinierte Bibliothek verwenden, müssen Sie die Datei /etc/vmware/config so konfigurieren, dass sie mit dem Lesekontext und den Einstellungen für den Nachrichtentext Ihrer benutzerdefinierten PC/SC Lite-Bibliothek übereinstimmt.

Wenn Sie die Funktion der Smartcard-Umleitung in einer virtuellen Maschine aktivieren, funktioniert die USB-Umleitung des vSphere-Clients mit dieser Smartcard nicht.

Die Smartcard-Umleitung unterstützt jeweils nur einen Smartcard-Leser. Diese Funktion ist nicht funktionsfähig, wenn zwei oder mehr Lesegeräte an das Client-System angeschlossen sind.

Die Smartcard-Umleitung unterstützt nur ein Zertifikat auf der Smartcard. Wenn sich auf der Smartcard mehrere Zertifikate befinden, wird das im ersten Slot befindliche Zertifikat verwendet; die anderen werden ignoriert. Dieses Verhalten ist eine Einschränkung durch Linux.

Mit der SSO-Funktion (Smartcard Single Sign-On) können Benutzer Desktop-Sitzungen starten, ohne ihre Smartcard-Anmeldedaten einzugeben. Die Konfigurationsdatei /etc/vmware/viewagent-greeter.conf enthält Einstellungen in Bezug auf die Smartcard-SSO-Funktion sowie für den VMware Greeter, wenn SSO deaktiviert ist. Weitere Informationen finden Sie unter Bearbeiten von Konfigurationsdateien auf einem Linux-Desktop.

Hinweis: Die Smartcard-Umleitung unterstützt die Verwendung von PIV-Karten zur Authentifizierung für Linux-Desktops. Wenn Horizon Client für Linux zur Authentifizierung des Brokers mit einer PIV-Karte verwendet wird, müssen Sie die PIV-Smartcard mit TLSv1.2-Unterstützung konfigurieren, um einen SSL-Fehler zu vermeiden.

Konfigurieren der Smartcard-Umleitung

Führen Sie die folgenden Aufgaben aus, um die Smartcard-Umleitung zu konfigurieren.

  1. Richten Sie die Smartcard den Anweisungen des Anbieters der Smartcard entsprechend ein.
  2. Integrieren Sie die virtuelle Basismaschine in eine Active Directory-Domäne, indem Sie die für Ihre Linux-Verteilung erforderlichen Schritte ausführen.
  3. Konfigurieren Sie die Smartcard-Umleitung auf der virtuellen Basismaschine, indem Sie die für Ihre Linux-Verteilung erforderlichen Schritte ausführen.
  4. Wenn Sie eine benutzerdefinierte PC/SC Lite-Bibliothek verwenden, konfigurieren Sie die Optionen pcscd.maxReaderContext und pcscd.readBody in der Datei /etc/vmware/config. Siehe Bearbeiten von Konfigurationsdateien auf einem Linux-Desktop.