このトピックでは、API、管理コンソール、または提供されているコマンドライン ツールで変更できない LDAP のセキュリティ関連の設定について説明します。Horizon LDAP では、オブジェクト パス cn=common,ou=global,ou=properties,dc=vdi,dc=vmware,dc=int にセキュリティ関連の設定があります。完全な管理者権限を持っている場合は、ADSI Edit ユーティリティなどの LDAP エディタを使用して、コネクション ブローカー インスタンスのこれらの設定値を変更できます。クラスタ内にある他のすべてのコネクション ブローカー インスタンスに、この変更内容が自動的に伝わります。
Horizon LDAP のセキュリティ関連の設定
| 属性 | 説明 |
|---|---|
pae-AgentLogCollectionDisabled |
この設定を使用すると、API または管理コンソールを使用して、Horizon Agent からの DCT アーカイブのダウンロードを防ぐことができます。VMware Horizon 8 環境の Connection Server からログを収集することは可能です。 エージェント ログ収集を無効にするには、1 に設定します。 |
pae-DisallowEnhancedSecurityMode |
この設定を使用すると、拡張メッセージ セキュリティの使用を防ぐことができます。証明書の自動管理を無効にする場合は、これを使用します。 これを 1 に設定すると、Horizon 8 環境は、有効なメッセージ セキュリティ モードへの移行を自動的に開始します。 この属性を 0 に戻すか、削除すると、拡張メッセージ セキュリティを再度選択できますが、自動移行はトリガされません。 |
pae-enableDbSSL |
イベント データベースを構成する場合、デフォルトでは、接続は TLS で保護されません。接続で TLS を有効にするには、この属性を 1 に設定します。 |
pae-managedCertificateAdvanceRollOver |
自動管理された証明書の場合、この属性を設定すると、期限切れになる前に証明書を強制的に更新できます。期限切れになるまでの日数を指定します。 最大期間は 90 日です。指定しない場合、この設定はデフォルトで 0 日に設定され、有効期限日にロールオーバーが実行されます。 |
pae-MsgSecOptions |
これは複数値の属性で、それぞれの値が名前と値のペアになります(例:
注意: 名前と値のペアを追加または変更する場合は、他の値を削除しないように十分に注意してください。
現在、設定可能な名前と値のペアは
キーの長さは、最初のコネクション ブローカー インスタンスがインストールされた直後から、追加のサーバとデスクトップが作成されるまでの間に変更できます。その後は、変更しないでください。 |
pae-noManagedCertificate |
この設定は、証明書の自動管理を無効にするために使用できます。 これを 1 に設定すると、証明書は自動的に更新されなくなり、証明書ストア内の自己署名証明書は無視されます。 すべての証明書は、CA によって署名され、管理者に管理されている必要があります。 この設定は、拡張メッセージ セキュリティと互換性がありません。1 に設定する前に、メッセージ セキュリティを「有効」に切り替える必要があります。 Horizon 8 のインストール時に FIPS の互換性を選択した場合、vdm 証明書は CA 署名付きである必要がありますが、1 に設定されていない限り、その他の証明書は CA 署名付きである必要はありません。 CPA 構成のすべての Connection Server には、他のポッドの登録クライアント証明書 (vdm.ec) の生成に使用されたルート証明書が必要です。 |
pae-SSLCertificateSignatureAlgorithm |
これにより、自動管理の証明書に使用する証明書署名アルゴリズムが指定されます。指定しない場合は、デフォルトの その他の例については、セキュリティ プロトコルと暗号化スイートのデフォルトのグローバル ポリシーを参照してください。 |
