Remarque : cette version de la rubrique s'applique aux versions 2111.2 et 2306, et ultérieures de Sécurité d'Horizon 8. Elle décrit les paramètres liés à la sécurité dans LDAP qui ne peuvent pas être modifiés à l'aide des API, de la console d'administration ou des outils de ligne de commande fournis. Les paramètres liés à la sécurité sont fournis dans Horizon LDAP sous le chemin d'accès d'objet cn=common,ou=global,ou=properties,dc=vdi,dc=vmware,dc=int. Si vous disposez de privilèges d'administration complets, vous pouvez utiliser un éditeur LDAP tel que l'utilitaire ADSI Edit pour modifier la valeur de ces paramètres sur une instance du routeur de connexions. La modification se propage automatiquement à toutes les autres instances du routeur de connexions dans un cluster.
Paramètres liés à la sécurité dans Horizon LDAP
Attribut | Description |
---|---|
pae-AgentLogCollectionDisabled |
Ce paramètre peut être utilisé pour empêcher le téléchargement d'archives DCT à partir d'instances d'Horizon Agent à l'aide d'API ou de la console d'administration. La collecte des journaux est toujours possible à partir des Serveurs de connexion dans les environnements VMware Horizon 8. Définissez cette option sur 1 pour désactiver la collecte des journaux de l'agent. |
pae-DisallowEnhancedSecurityMode |
Ce paramètre peut être utilisé pour empêcher l'utilisation de la sécurité des messages améliorée. Utilisez cette option si vous souhaitez désactiver la gestion automatique des certificats. Une fois que ce paramètre est défini sur 1, l'environnement Horizon 8 commence automatiquement la transition vers le mode de sécurité des messages Activé. La définition de cet attribut sur 0 ou sa suppression permet de choisir de nouveau la sécurité des messages améliorée, mais ne déclenche pas de transition automatique. |
pae-enableDbSSL |
Si vous configurez une base de données des événements, la connexion n'est pas protégée par TLS par défaut. Définissez cet attribut sur 1 pour activer TLS sur la connexion. |
pae-managedCertificateAdvanceRollOver |
Pour les certificats gérés automatiquement, cet attribut peut être défini pour forcer le renouvellement des certificats avant leur expiration. Déterminez combien de jours avant la date d'expiration ce renouvellement doit être réalisé. La période maximale est de 90 jours. S'il n'est pas spécifié, ce paramètre est défini par défaut sur 0 jour et le remplacement se produit à l'expiration. |
pae-MsgSecOptions |
Il s'agit d'un attribut à valeurs multiples dans lequel chaque valeur est elle-même une paire nom-valeur (par exemple,
Avertissement : Lorsque vous ajoutez ou modifiez une paire nom-valeur, veillez à ne pas supprimer d'autres valeurs.
Actuellement, la seule paire nom-valeur pouvant être définie est
La longueur de la clé peut être modifiée immédiatement après l'installation de la première instance du routeur de connexions et avant la création de serveurs et de postes de travail supplémentaires. Après cela, il ne doit plus être modifié. |
pae-noManagedCertificate |
Vous pouvez utiliser ce paramètre pour désactiver la gestion automatique des certificats. Lorsque cette valeur est définie sur 1, les certificats ne sont plus renouvelés automatiquement et les certificats auto-signés dans les magasins de certificats sont ignorés. Tous les certificats doivent être signés par une autorité de certification et gérés par l'administrateur. Ce paramètre n'est pas compatible avec la sécurité des messages améliorée. Avant de définir sur 1, vous devez activer la sécurité des messages. Si vous avez sélectionné la compatibilité FIPS lors de l'installation d'Horizon 8, le certificat « vdm » doit être signé par une autorité de certification, mais pas les autres, sauf si ce certificat est défini sur 1. Tous les Serveurs de connexion dans une configuration CPA doivent disposer du certificat racine qui a été utilisé pour générer le certificat client d'inscription (vdm.ec) d'autres POD. |
pae-SSLCertificateSignatureAlgorithm |
Cela spécifie l'algorithme de signature de certificat à utiliser pour les certificats gérés automatiquement. S'il n'est pas spécifié, il est défini par défaut sur Pour obtenir plus d'exemples, reportez-vous à la section Stratégies générales par défaut pour les protocoles de sécurité et les suites de chiffrement. |
pae-CertAuthMappingControl |
Indique si la carte à puce est prise en charge. Une valeur de 0 ou absente indique qu'aucune carte à puce n'est prise en charge. Les autres valeurs possibles sont les suivantes :
|
pae-CertAuthMapping |
La valeur par défaut n'est <pas définie> et prend une chaîne pour le mappage de certificat de L'authentification basée sur les certificats s'effectue en fonction de toutes les chaînes fournies. Le mappage doit être fourni en fonction des propriétés de certificat prises en charge, par exemple : Émetteur, public_key, subject_alternative_name, fournies dans CertAuthMappingNames. |