Remarque : cette version de la rubrique s'applique aux versions 2111.2 et 2306, et ultérieures de Sécurité d'Horizon 8. Elle décrit les paramètres liés à la sécurité dans LDAP qui ne peuvent pas être modifiés à l'aide des API, de la console d'administration ou des outils de ligne de commande fournis. Les paramètres liés à la sécurité sont fournis dans Horizon LDAP sous le chemin d'accès d'objet cn=common,ou=global,ou=properties,dc=vdi,dc=vmware,dc=int. Si vous disposez de privilèges d'administration complets, vous pouvez utiliser un éditeur LDAP tel que l'utilitaire ADSI Edit pour modifier la valeur de ces paramètres sur une instance du routeur de connexions. La modification se propage automatiquement à toutes les autres instances du routeur de connexions dans un cluster.

Paramètres liés à la sécurité dans Horizon LDAP

Attribut Description
pae-AgentLogCollectionDisabled Ce paramètre peut être utilisé pour empêcher le téléchargement d'archives DCT à partir d'instances d'Horizon Agent à l'aide d'API ou de la console d'administration. La collecte des journaux est toujours possible à partir des Serveurs de connexion dans les environnements VMware Horizon 8.

Définissez cette option sur 1 pour désactiver la collecte des journaux de l'agent.
pae-DisallowEnhancedSecurityMode

Ce paramètre peut être utilisé pour empêcher l'utilisation de la sécurité des messages améliorée. Utilisez cette option si vous souhaitez désactiver la gestion automatique des certificats.

Une fois que ce paramètre est défini sur 1, l'environnement Horizon 8 commence automatiquement la transition vers le mode de sécurité des messages Activé.

La définition de cet attribut sur 0 ou sa suppression permet de choisir de nouveau la sécurité des messages améliorée, mais ne déclenche pas de transition automatique.
pae-enableDbSSL Si vous configurez une base de données des événements, la connexion n'est pas protégée par TLS par défaut. Définissez cet attribut sur 1 pour activer TLS sur la connexion.
pae-managedCertificateAdvanceRollOver

Pour les certificats gérés automatiquement, cet attribut peut être défini pour forcer le renouvellement des certificats avant leur expiration. Déterminez combien de jours avant la date d'expiration ce renouvellement doit être réalisé.

La période maximale est de 90 jours. S'il n'est pas spécifié, ce paramètre est défini par défaut sur 0 jour et le remplacement se produit à l'expiration.
pae-MsgSecOptions

Il s'agit d'un attribut à valeurs multiples dans lequel chaque valeur est elle-même une paire nom-valeur (par exemple, course=fish).

Avertissement : Lorsque vous ajoutez ou modifiez une paire nom-valeur, veillez à ne pas supprimer d'autres valeurs.

Actuellement, la seule paire nom-valeur pouvant être définie est keysize. Spécifie la longueur de la clé de signature de message DSA. Si elle n'est pas spécifiée, elle est définie par défaut sur 512 bits.

  • Si la sécurité des messages est activée ou mixte, chaque message est signé. L'augmentation de la longueur de la clé affecte les performances et l'évolutivité.
  • Si la sécurité des messages est définie sur le mode Amélioré, peu de messages sont signés et VMware recommande une longueur de clé de 2 048 bits.
  • Si vous avez sélectionné la compatibilité FIPS lors de l'installation d'Horizon 8, keysize est déjà défini sur 2 048.

La longueur de la clé peut être modifiée immédiatement après l'installation de la première instance du routeur de connexions et avant la création de serveurs et de postes de travail supplémentaires. Après cela, il ne doit plus être modifié.
pae-noManagedCertificate

Vous pouvez utiliser ce paramètre pour désactiver la gestion automatique des certificats.

Lorsque cette valeur est définie sur 1, les certificats ne sont plus renouvelés automatiquement et les certificats auto-signés dans les magasins de certificats sont ignorés.

Tous les certificats doivent être signés par une autorité de certification et gérés par l'administrateur.

Ce paramètre n'est pas compatible avec la sécurité des messages améliorée. Avant de définir sur 1, vous devez activer la sécurité des messages.

Si vous avez sélectionné la compatibilité FIPS lors de l'installation d'Horizon 8, le certificat « vdm » doit être signé par une autorité de certification, mais pas les autres, sauf si ce certificat est défini sur 1.

Tous les Serveurs de connexion dans une configuration CPA doivent disposer du certificat racine qui a été utilisé pour générer le certificat client d'inscription (vdm.ec) d'autres POD.
pae-SSLCertificateSignatureAlgorithm

Cela spécifie l'algorithme de signature de certificat à utiliser pour les certificats gérés automatiquement. S'il n'est pas spécifié, il est défini par défaut sur rsa_pkcs1_sha384.

Pour obtenir plus d'exemples, reportez-vous à la section Stratégies générales par défaut pour les protocoles de sécurité et les suites de chiffrement.
pae-CertAuthMappingControl
Indique si la carte à puce est prise en charge. Une valeur de 0 ou absente indique qu'aucune carte à puce n'est prise en charge. Les autres valeurs possibles sont les suivantes :
  • 1 = recherche héritée (UPN+altSecurityIdentities for X509IssuerSubject ou X509SubjectOnly)
  • 2 = recherche de mappage personnalisée
  • 3 = recherche personnalisée+héritée
  • 4 = recherche SID
  • 5 = recherche SID+héritée
  • 6 = recherche SID+personnalisée
  • 7 = recherche SID+personnalisée+héritée, la priorité est SID>personnalisée>héritée
pae-CertAuthMapping

La valeur par défaut n'est <pas définie> et prend une chaîne pour le mappage de certificat de altSecurityIdentities, par exemple : "x509:<I>%issuer_dn%<S>%subject_dn%<SKI>%subject_key_id%", X509:<I>%issuer_dn%<SR>%serial%

L'authentification basée sur les certificats s'effectue en fonction de toutes les chaînes fournies. Le mappage doit être fourni en fonction des propriétés de certificat prises en charge, par exemple : Émetteur, public_key, subject_alternative_name, fournies dans CertAuthMappingNames.