Nota: Esta versión del tema se aplica a las versiones de seguridad 2111.2 y 2306 y posteriores de Horizon 8. Se describe la configuración relacionada con la seguridad en LDAP que no se puede modificar mediante las API, la consola de administración o las herramientas de línea de comandos proporcionadas. Horizon LDAP incluye opciones relacionadas con la seguridad en la ruta de objeto cn=common,ou=global,ou=properties,dc=vdi,dc=vmware,dc=int. Si tiene privilegios administrativos completos; podrá utilizar un editor de LDAP como la utilidad Editar ADSI para cambiar el valor de esta configuración en una instancia de agente de conexión. El cambio se propaga automáticamente a todas las demás instancias del agente de conexión de un clúster.

Configuración relacionada con la seguridad en Horizon LDAP

Atributo Descripción
pae-AgentLogCollectionDisabled Esta configuración se puede utilizar para evitar la descarga de archivos DCT desde instancias de Horizon Agent mediante las API o la consola de administración. La recopilación de registros sigue siendo posible desde las instancias de Connection Server en entornos de VMware Horizon 8.

Establezca el valor 1 para desactivar la recopilación de registros del agente.
pae-DisallowEnhancedSecurityMode

Esta configuración se puede utilizar para evitar el uso de la seguridad de mensajes mejorada. Utilice esta opción si desea desactivar la administración automática de certificados.

Una vez que se establezca en 1, el entorno de Horizon 8 comenzará la transición al modo de seguridad de mensajes Habilitado automáticamente.

Si se vuelve a establecer este atributo en 0 o se elimina, se podrá elegir una vez más la seguridad de mensajes mejorada, pero no se activará una transición automática.
pae-enableDbSSL Si configura una base de datos de eventos, la conexión no estará protegida por TLS de forma predeterminada. Establezca este atributo en 1 para activar TLS en la conexión.
pae-managedCertificateAdvanceRollOver

Para los certificados autoadministrados, este atributo se puede establecer para forzar la renovación de los certificados antes de que caduquen. Especifique con cuántos días de antelación a la fecha de caducidad se debe hacer.

El período máximo es de 90 días. Si no se especifica, esta configuración se establecerá de forma predeterminada en 0 días, por lo que la renovación se producirá al caducar.
pae-MsgSecOptions

Este es un atributo de varios valores en el que cada valor es en sí mismo un par nombre-valor (por ejemplo, course=fish).

Advertencia: Al agregar o modificar un par nombre-valor, tenga mucho cuidado de no eliminar otros valores.

Actualmente, el único par nombre-valor que se puede establecer es keysize. Esto especifica la longitud de la clave de firma del mensaje DSA. Si no se especifica, el valor predeterminado es 512 bits.

  • Si la seguridad de los mensajes está habilitada o es mixta, se firmarán todos los mensajes. El aumento de la longitud de la clave afecta al rendimiento y la escalabilidad.
  • Si la seguridad de los mensajes es Mejorada, se firmarán pocos mensajes, y VMware recomienda una longitud de clave de 2048 bits.
  • Si seleccionó la compatibilidad FIPS al instalar Horizon 8, el tamaño de clave ya estará establecido en 2048.

La longitud de la clave se puede cambiar inmediatamente después de instalar la primera instancia del agente de conexión y antes de que se creen servidores y escritorios adicionales. Después de esto, no se debe cambiar.
pae-noManagedCertificate

Esta configuración se puede utilizar para desactivar la administración automática de certificados.

Cuando se establece en 1, los certificados ya no se renuevan automáticamente y se ignoran los certificados autofirmados en los almacenes de certificados.

Todos los certificados deben estar firmados por una entidad de certificación y deben estar administrados por un administrador.

Esta configuración no es compatible con la seguridad de mensajes Mejorada. Antes de establecer el valor en 1, debe cambiar la seguridad de los mensajes a Habilitada.

Si seleccionó la compatibilidad con FIPS al instalar Horizon 8, el certificado "vdm" deberá estar firmado por una entidad de certificación, pero no es necesario que otros lo estén, a menos que se establezca en 1.

Todas las instancias de Connection Server en una configuración de CPA deben tener el certificado raíz que se utilizó para generar el certificado cliente de inscripción (vdm.ec) de otros pods.
pae-SSLCertificateSignatureAlgorithm

Esto especifica el algoritmo de firma del certificado que se utilizará para los certificados administrados automáticamente. No se especifica, el valor predeterminado será rsa_pkcs1_sha384.

Puede consultar más ejemplos en Directivas globales predeterminadas para los protocolos de seguridad y los conjuntos de claves de cifrado.
pae-CertAuthMappingControl
Especifica si se admiten tarjetas inteligentes. El valor 0 o ningún valor significa que no se admiten las tarjetas inteligentes. Otros valores posibles son:
  • 1 = búsqueda heredada (UPN+altSecurityIdentities para X509IssuerSubject o X509SubjectOnly)
  • 2 = búsqueda de asignación personalizada
  • 3 = búsqueda personalizada+heredada
  • 4 = búsqueda de SID
  • 5 = SID+búsqueda heredada
  • 6 = SID+búsqueda personalizada
  • 7 = SID+personalizada+heredada (la prioridad será SID>personalizada>heredada)
pae-CertAuthMapping

El valor predeterminado es <sin establecer>, y se utilizará una cadena para la asignación de certificado de altSecurityIdentities (por ejemplo: "x509:<I>%issuer_dn%<S>%subject_dn%<SKI>%subject_key_id%", X509:<I>%issuer_dn%<SR>%serial%)

La autenticación basada en certificados se realiza en función de todas las cadenas proporcionadas. La asignación se debe proporcionar en función de las propiedades de certificado compatibles, como Issuer, public_key, subject_alternative_name, proporcionadas en CertAuthMappingNames.