Horizon LDAP incluye opciones relacionadas con la seguridad en la ruta de objeto cn=common,ou=global,ou=properties,dc=vdi,dc=vmware,dc=int. Puede usar la utilidad Editor ADSI para cambiar el valor de estas opciones en una instancia de Connection Server. El cambio se propaga automáticamente a todas las instancias de Connection Server de un grupo.

Tabla 1. Configuración relacionada con la seguridad en Horizon LDAP
Par valores y nombres Descripción
cs-allowunencryptedstartsession El atributo es pae-NameValuePair.

Este atributo controla si es necesario un canal seguro entre la instancia de Connection Server y un escritorio cuando se inicie una sesión remota de usuario.

Cuando Horizon Agent se instala en un equipo de escritorio, este atributo no tiene efecto y siempre se necesita un canal seguro.

En todos los casos, las credenciales de usuario y vales de autorización están protegidas por una clave estática. Un canal seguro proporciona un mayor control de confidencialidad a través de claves dinámicas.

Si se establece a 0, no se iniciará una sesión remota de usuario si no se puede establecer un canal seguro. Esta opción es útil si todos los escritorios se encuentran en dominios de confianza o si todos los escritorios tienen instalados Horizon Agent.

Si se establece a 1, se puede iniciar una sesión remota de usuario aunque no se pueda establecer un canal seguro. Esta opción es útil si algunos escritorios tienen instaladas versiones más antiguas de Horizon Agent y no se encuentran en dominios de confianza.

La opción predeterminada es 1.

keysize El atributo es pae-MSGSecOptions.

Si el modo de seguridad de mensajes está establecido en Mejorado, para asegurar las conexiones JMS se utiliza TLS en lugar de cifrado por mensaje. En modo de seguridad de mensajes mejorado, la validación se aplica a solo un tipo de mensaje. Para utilizar el modo de mensaje mejorado, VMware recomienda aumentar el tamaño de la clave a 2048 bits. Si no se usa el modo de seguridad de mensaje mejorado, VMware recomienda no cambiar el valor predeterminado de 512 bits, ya que al aumentar el tamaño de la clave afecta al rendimiento y a la escalabilidad. Si se desea que todas las claves sean de 2048 bits, se debe cambiar el tamaño de la clave DSA inmediatamente después de instalar la primera instancia de Connection Server y antes de crear servidores y escritorios adicionales.

Renovación automática de certificados autofirmados

Puede establecer el número de días antes de que caduque el certificado para renovar automáticamente los certificados autofirmados con el atributo pae-managedCertificateAdvanceRollOver.

Especifique un valor para reemplazar el certificado autofirmado por un certificado futuro o pendiente en el plazo especificado antes de que caduque el certificado actual.

De forma predeterminada, este valor no está establecido. El rango válido es 1-90.