Cette page décrit la prise en charge du service pour l'utilisation d'un environnement Active Directory configuré pour LDAPS avec votre locataire de plan de cloud.
À partir de la version de service 2201, le service prend en charge l'utilisation d'environnements de domaine Active Directory (AD) configurés pour l'utilisation de LDAPS. Pour pouvoir utiliser cette fonctionnalité, votre locataire doit être explicitement activé pour celle-ci et les espaces de la flotte doivent être composés uniquement d'espaces Horizon Cloud exécutant le niveau de manifeste de la version v2201. Pour demander l'activation de cette fonctionnalité, vous pouvez adresser une demande de support, comme décrit dans l'article 2006985 de la base de connaissances VMware.
Brève présentation de cette fonctionnalité
En tant que service fournissant VDI, ce service nécessite de pouvoir effectuer des recherches dans votre domaine AD à l'aide d'un compte de liaison de domaine. Lorsque votre environnement AD est configuré pour LDAPS, le service a besoin des certificats d'autorité de certification racine du contrôleur de domaine et éventuellement des certificats d'autorité de certification intermédiaires. Utilisez Horizon Universal Console pour collecter les certificats et les enregistrer dans le système.
Le service propose deux méthodes pour fournir vos certificats d'autorité de certification approuvés au système : la détection automatique et le chargement manuel. Ces méthodes sont décrites plus loin sur cette page.
Points clés et conditions requises
Avant d'enregistrer un domaine AD configuré par LDAPS, examinez ces conditions requises et points importants.
- Les certificats auto-signés ne sont pas pris en charge.
- Le service nécessite que votre DNS dispose d'enregistrements SRV pour les domaines configurés pour utiliser LDAPS. Choisir d'utiliser LDAPS pour un domaine impose implicitement l'utilisation d'enregistrements SRV.
- Il est fortement recommandé de configurer votre environnement AD pour appliquer la liaison de canal. L'application de la liaison de canal est une partie essentielle de la sécurisation correcte de LDAPS, en particulier pour éviter les attaques de l'intercepteur (MITM).
- Dans le workflow d'enregistrement de domaine du service, si vous souhaitez spécifier des contrôleurs de domaine préférés pour le service, vous devez les indiquer à l'aide de leurs noms d'hôtes DNS complets. Lorsque vous entrez ces contrôleurs de domaine préférés dans Horizon Universal Console, la console empêche la saisie d'adresses IP. Il est recommandé de spécifier au moins deux (2) contrôleurs de domaine préférés.
- Si vous ne spécifiez pas de contrôleurs de domaine préférés dans l'assistant Liaison de domaine de la console, les contrôleurs de domaine découverts à l'aide de DNS doivent être accessibles par chaque espace.
- La configuration de votre pare-feu doit autoriser les connexions sortantes depuis chaque espace vers vos contrôleurs de domaine avec les ports et protocoles suivants :
- Port 88/TCP : authentification Kerberos
- Ports 636/TCP et 3269/TCP : communication LDAPS
- Vous devez disposer d'un point de terminaison de révocation HTTP défini pour tous les certificats de la chaîne d'approbation, à l'exception du certificat racine. Ce point de terminaison doit être alors accessible par les espaces sur
HTTP
. Cette condition requise inclut les points suivants :- LDAP ne doit pas être utilisé pour les points de terminaison de révocation.
- Le service effectuera des vérifications de révocation à l'aide des URL
HTTP
OCSP ou CRL qui sont définies dans vos certificats. - Le service ne peut pas vérifier la révocation si un certificat ne définit pas de point de terminaison OCSP ou CRL pour le protocole HTTP. Dans ce cas, la connectivité LDAPS échoue.
- Chaque espace doit avoir une vue directe sur vos points de terminaison de révocation. Vos pare-feu ne doivent pas bloquer le trafic sortant allant des espaces déployés vers votre point de terminaison de révocation sur
HTTP
.
Détection automatique : autorités de certification Microsoft
Si vous utilisez des autorités de certification Microsoft pour émettre des certificats de contrôleur de domaine, Horizon Universal Console fournit un mécanisme de détection automatique. Ce mécanisme localisera automatiquement tous les certificats racine et intermédiaire de votre environnement Active Directory et les affichera dans la console pour confirmation et approbation de leur utilisation avec le système. Les choix consistent à accepter tous les certificats détectés automatiquement ou aucun d'entre eux. L'approbation partielle n'est pas prise en charge.
Lors de l'approbation dans la console, le système stocke les certificats approuvés pour une utilisation ultérieure de tous les domaines provenant de la même forêt. Lorsque vous effectuez le processus de détection automatique avec un domaine et que vous enregistrez ce domaine dans le service, puis que vous enregistrez ultérieurement un autre domaine provenant de la même forêt, vous devrez accepter les certificats détectés automatiquement affichés dans la console, même si le domaine précédent de la même forêt est déjà enregistré. Ce flux permet de découvrir au moment de l'enregistrement de ce nouveau domaine si de nouveaux certificats ont été créés ou non dans la forêt ou si des certificats ont été supprimés entre l'enregistrement du domaine précédent et le domaine suivant provenant de la même forêt.
La console vous fournit ce chemin de détection automatique aux emplacements suivants :
- Dans la partie Liaison de domaine du flux d'enregistrement de domaine AD, à l'étape Protocole. Lorsque LDAPS est sélectionné pour le protocole, l'option Détecter automatiquement et le bouton associé sont disponibles pour détecter automatiquement les certificats et vous permettre d'approuver leur utilisation.
- Sur la page Certificats AD, dans . La console rend cette page disponible lorsque votre locataire dispose d'au moins un domaine AD enregistré existant. La page affiche les certificats détectés automatiquement afin que vous puissiez observer ceux qui ont été autorisés et vous permettre de nettoyer l'ensemble en supprimant les certificats inutilisés.
Chargement manuel : autorités de certification non-Microsoft ou autorités de certification Microsoft
Si vous utilisez une autorité de certification non-Microsoft pour émettre des certificats de contrôleur de domaine ou si vous utilisez AADDS, qui ne prend pas en charge les autorités de certification d'entreprise, Horizon Universal Console fournit un chemin de chargement manuel pour fournir les certificats d'autorité de certification au système. Dans ce cas, vous devez charger manuellement vos certificats d'autorité de certification racine et intermédiaire codés au format PEM à l'aide de la console.
Même lorsque votre environnement utilise des autorités de certification Microsoft, vous pouvez choisir d'utiliser le chargement manuel si vous le souhaitez.
Si vous avez publié vos certificats d'autorité de certification tiers, non-Microsoft, dans votre domaine Active Directory à l'aide d'un utilitaire tel que certutil
, la méthode de détection automatique fonctionnera pour détecter ces certificats d'autorité de certification.
La console vous fournit ce chemin de chargement manuel aux emplacements suivants :
- Dans la partie Liaison de domaine du flux d'enregistrement de domaine AD, à l'étape Protocole. Lorsque LDAPS est sélectionné pour le protocole, l'option Charger et le bouton associé sont disponibles pour charger les certificats.
- Sur la page Certificats AD, dans Charger pour charger chaque certificat. . La console rend cette page disponible lorsque votre locataire dispose d'au moins un domaine AD enregistré existant. Sur cette page, utilisez le bouton
Vérifications de la révocation
Le service effectue des vérifications de la révocation des certificats à l'aide des éléments définis dans les certificats : URL http:// OCSP ou CRL. Le service préfère la vérification par OCSP. Si le point de terminaison n'est pas accessible, le service tente normalement une vérification à l'aide de CRL.
Les réponses OCSP agrafées sont prises en charge.
HTTP
. Les vérifications de service ne fonctionnent pas si vous ne remplissez pas cette condition requise.
Nouveaux certificats d'autorité de certification émis - Mise à jour requise de l'enregistrement de domaine
Lorsque vous émettez un nouveau certificat d'autorité de certification, vous devez mettre à jour le système dès que possible pour qu'il reconnaisse ce nouveau certificat d'autorité de certification émis. Utilisez l'une des méthodes suivantes pour intégrer des certificats d'autorité de certification dans le système
- Lorsque le chargement manuel est utilisé dans l'enregistrement de domaine
- Dès que les certificats d'autorité de certification sont récemment émis, vous devez les charger dans le système. Accédez à Charger. et utilisez
- Lorsque la détection automatique est utilisée dans l'enregistrement de domaine
-
Lorsque vous utilisez cette méthode, le système détecte automatiquement l'existence de ces certificats d'autorité de certification récemment émis. Lorsque le système détecte de nouveaux certificats d'autorité de certification, il génère une notification et l'affiche avec des notifications standard de la console. Cette notification est destinée à vous avertir de la nécessité d'enregistrer les nouveaux certificats d'autorité de certification dans le système. Pour les forêts de domaines, cette notification est générée pour un domaine par forêt, plutôt que pour chaque domaine de la forêt, car la mise à jour de l'enregistrement d'un domaine répondra à l'action pour tous les domaines de la forêt.
Pour mettre à jour l'enregistrement de domaine, démarrez l'assistant Liaison de domaine de la console, puis répétez le processus de détection automatique avec le bouton Découvrir automatiquement de l'étape Protocole de l'assistant.
Lorsque les certificats DC arrivent à expiration - Corriger dès que possible
Lorsque le service détecte que les certificats du contrôleur de domaine (DC) arrivent à expiration, une notification est créée et s'affiche dans la console avec les notifications standard de la console. La première notification s'affiche 21 jours avant le délai d'expiration.
- Prenez des mesures correctives pour réémettre les certificats de contrôleur de domaine qui arrivent à expiration.
- Si l'action corrective implique l'émission d'un nouveau certificat d'autorité de certification, le nouveau certificat d'autorité de certification doit être enregistré dans le système avant que cette autorité de certification ne soit utilisée pour émettre un nouveau certificat de contrôleur de domaine. Les instructions sur l'enregistrement de nouveaux certificats d'autorité de certification dans le système se trouvent dans la section précédente.
- Exemple de notification de certificats arrivant à expiration
-
La capture d'écran suivante illustre l'une de ces notifications. Pour les forêts de domaines, cette notification est générée pour un domaine par forêt, plutôt que pour chaque domaine de la forêt, car la mise à jour d'un domaine répondra à l'action pour tous les domaines de la forêt. En cliquant sur le lien hypertexte, vous accédez à la configuration de ce domaine et vous pouvez lancer l'assistant Liaison de domaine à partir de là.
Prise en charge du basculement entre LDAP et LDAPS
Lorsque votre locataire répond aux critères de cette fonctionnalité, comme décrit en haut de cette page, et après l'enregistrement d'un domaine AD à l'aide d'un protocole, vous pouvez utiliser la console pour mettre à jour cette configuration de liaison de domaine existante afin de basculer vers l'autre protocole. Par exemple, lorsque vous avez configuré la liaison de domaine pour utiliser le protocole LDAPS et que vous devez basculer vers LDAP, ou inversement, vous pouvez accéder à Liaison de domaine, la console ouvre l'assistant Liaison de domaine. Terminez ensuite l'assistant, en entrant les informations requises et en continuant pour passer du choix de protocole actuel à l'autre.
et modifier les informations de liaison de domaine pour sélectionner l'autre protocole. Lorsque vous modifiezSuppression de certificats de la collection enregistrée du service
La console affiche tous les certificats actuellement enregistrés dans le service. Pour vous permettre d'effacer de l'affichage de la console les certificats inutiles, la page Supprimer sur les affichages de certificats détectés automatiquement et chargés.
de la console fournit une actionAssistant Liaison de domaine lorsque votre locataire est activé pour la prise en charge de LDAPS
Lorsque cette fonctionnalité est activée, le flux de liaison de domaine affiché à l'écran semblera différent de celui pour le cas non activé. Lorsque cette fonctionnalité est activée, les étapes sont les suivantes.
- Connectez-vous à la console à l'adresse
https://cloud.horizon.vmware.com
. - Si votre locataire ne dispose d'aucun domaine AD enregistré (par exemple, lorsque votre locataire et votre premier espace sont nouveaux), démarrez le flux de liaison de domaine à partir du seul emplacement accessible dans ce cas : la page
Si votre locataire dispose déjà d'un domaine AD enregistré, afin que la console vous permette d'accéder à son menu de pages de gauche, vous pouvez lancer la saisie des informations de liaison de domaine en accédant à la page
de la console.
de la console. - Lorsque vous effectuez l'étape 2, l'assistant Liaison de domaine s'affiche. Cet assistant comporte trois parties : Liaison de domaine, Protocole et Résumé.
La capture d'écran suivante illustre cet affichage et les trois parties, en commençant par la partie Liaison de domaine.
- Dans cette première étape de l'assistant, fournissez les informations demandées, puis cliquez sur Suivant pour les enregistrer et passer à l'étape suivante. Lors de la saisie de chaque nom de compte de liaison, tapez le nom du compte sans le nom de domaine, comme le nom d'ouverture de session de l'utilisateur, tel que
ouraccountname
. Pour plus d'informations sur les exigences du service pour ces comptes de jonction de domaine, consultez la section Compte de liaison de domaine - Caractéristiques requises.Champ Description Nom NETBIOS Le système affiche une zone de texte. Tapez le nom NetBIOS du domaine AD sur lequel l'espace a une vue directe. En général, ce nom ne contient aucun point. Pour obtenir un exemple de localisation de la valeur à utiliser à partir de votre environnement de domaine Active Directory, reportez-vous à la section Obtenir les informations Nom NETBIOS et Nom de domaine DNS. Nom de domaine DNS Tapez le nom de domaine DNS complet du domaine AD que vous avez spécifié pour Nom NETBIOS. Nom d'utilisateur de liaison et Mot de passe de liaison Fournissez les informations d'identification du compte de service de liaison de domaine pour le service à utiliser avec le domaine sélectionné. Compte auxiliaire n° 1 Dans les champs Nom d'utilisateur de liaison et Mot de passe de liaison, saisissez un compte d'utilisateur dans le domaine à utiliser comme compte de liaison LDAP auxiliaire et le mot de passe associé. - À l'étape Protocole, vous pouvez sélectionner le protocole, fournir éventuellement les contrôleurs de domaine préférés que le service doit utiliser pour communiquer avec le domaine AD que vous avez entré à la première étape de l'assistant, ainsi que des informations supplémentaires. Dans le contexte d'un environnement AD configuré pour LDAPS, fournissez les certificats d'autorité de certification approuvés à cette étape de l'assistant.
L'interface utilisateur reflète le choix du Protocole. La capture d'écran suivante illustre le choix de LDAPS et la sélection de la case d'option Détecter automatiquement.
Ces champs font tous partie du contexte du domaine AD que vous avez spécifié à l'étape précédente de l'assistant. L'interface utilisateur changera dynamiquement en fonction de vos choix.
Champ Description Protocole Choisissez LDAPS ou LDAP. Contrôleur de domaine Facultatif. Vous pouvez utiliser cette zone de texte pour spécifier une liste séparée par des virgules de ces contrôleurs de domaine que le service doit utiliser pour accéder au domaine AD spécifié à la première étape. Si cette zone de texte reste vide, le service utilise un contrôleur de domaine disponible pour le domaine AD. - Lorsque LDAPS est sélectionné comme protocole, les contrôleurs de domaine doivent être spécifiés à l'aide de leurs noms d'hôtes DNS complets.
- Lorsque LDAP est sélectionné comme protocole, il est possible d'utiliser des adresses IP ou des noms d'hôtes DNS complets.
Contexte Contexte d'attribution de nom pour le domaine AD. Cette zone de texte est renseignée automatiquement en fonction des informations spécifiées pour Nom de domaine DNS à l'étape précédente de l'assistant. Certificats Disponible lorsque LDAPS est sélectionné pour le protocole. Sélectionnez la manière dont vous fournirez les certificats d'autorité de certification au système. Comme décrit précédemment sur cette page, le système prend en charge les deux méthodes suivantes : - Détection automatique des certificats d'autorité de certification. Reportez-vous à la section Détection automatique - Autorités de certification Microsoft ci-dessus sur cette page de documentation pour vérifier si votre environnement de domaine AD prend en charge l'utilisation de cette méthode.
- Chargez manuellement les certificats d'autorité de certification. Sélectionnez cette méthode si votre environnement de domaine AD ne prend pas en charge l'utilisation de la méthode de détection automatique.
Après avoir sélectionné LDAPS pour le protocole et coché l'une des cases d'option dans Certificats, effectuez l'une des étapes suivantes, en fonction de la méthode sélectionnée pour fournir les certificats. Dans les deux cas, suivez les invites affichées à l'écran lorsque l'interface utilisateur les affiche.
- Détecter automatiquement
- Cliquez sur Détecter automatiquement. Comme décrit dans les sections précédentes de cette page, le système détecte les certificats d'autorité de certification dans l'environnement spécifiés par les informations de domaine AD et de contrôleur de domaine qui ont été entrées dans les champs appropriés de l'assistant. Ces certificats d'autorité de certification s'affichent dans l'interface utilisateur. Suivez le flux affiché à l'écran. L'interface utilisateur vous invite à accepter tous les certificats détectés. Vous devez accepter l'ensemble des certificats détectés avant que l'assistant ne puisse passer à son étape finale.
- Charger
- Avec cette méthode, vous devez charger manuellement vos certificats d'autorité de certification racine et intermédiaire codés au format PEM. Cliquez sur Charger pour charger les fichiers de certificat d'autorité de certification à partir de votre système local. L'interface utilisateur n'accepte que les fichiers avec une extension de fichier PEM.
Lorsque le bouton Suivant de l'assistant s'affiche, cliquez dessus pour passer à l'étape finale.
- À l'étape Résumé, vérifiez les informations, puis cliquez sur Terminer lorsque cela vous convient.
La capture d'écran suivante illustre le résumé lors de l'utilisation de la méthode de chargement pour fournir les certificats à l'étape précédente. Huit (8) certificats ont été chargés dans cet exemple.
À la fin de ce flux, la configuration de liaison pour le domaine AD est désormais enregistrée dans le système.
Si vous avez exécuté le flux ci-dessus dans le cadre de l'enregistrement du tout premier domaine AD pour votre tout nouveau locataire Horizon Cloud, l'interface utilisateur vous invitera par la suite à terminer le flux Jonction de domaine et le flux Ajouter des administrateurs. Pour plus d'informations sur ces deux flux, reportez-vous aux sections intitulées Jonction de domaine et Ajouter un rôle Super administrateur à Enregistrement de votre premier domaine Active Directory.
Page Certificats AD
Une fois les certificats enregistrés dans le système, la console les affiche sur la page Certificats AD. Vous pouvez utiliser cette page pour savoir quels certificats d'autorité de certification sont actuellement enregistrés dans le système et pour supprimer les certificats qui ne sont plus utilisés. À des fins d'illustration uniquement, la capture d'écran suivante décrit le cas dans lequel un administrateur a chargé des certificats dans le système.