[注:]このバージョンのトピックは、Horizon 8 セキュリティ バージョン 2111.2 および 2306 以降に適用されます。ここでは、API、管理コンソール、または提供されているコマンドライン ツールで変更できない LDAP のセキュリティ関連の設定について説明します。Horizon LDAP では、オブジェクト パス cn=common,ou=global,ou=properties,dc=vdi,dc=vmware,dc=int にセキュリティ関連の設定があります。完全な管理者権限を持っている場合は、ADSI Edit ユーティリティなどの LDAP エディタを使用して、コネクション ブローカー インスタンスのこれらの設定値を変更できます。クラスタ内にある他のすべてのコネクション ブローカー インスタンスに、この変更内容が自動的に伝わります。

Horizon LDAP のセキュリティ関連の設定

属性 説明
pae-AgentLogCollectionDisabled この設定を使用すると、API または管理コンソールを使用して、Horizon Agent からの DCT アーカイブのダウンロードを防ぐことができます。VMware Horizon 8 環境の Connection Server からログを収集することは可能です。

エージェント ログ収集を無効にするには、1 に設定します。

pae-DisallowEnhancedSecurityMode

この設定を使用すると、拡張メッセージ セキュリティの使用を防ぐことができます。証明書の自動管理を無効にする場合は、これを使用します。

これを 1 に設定すると、Horizon 8 環境は、有効なメッセージ セキュリティ モードへの移行を自動的に開始します。

この属性を 0 に戻すか、削除すると、拡張メッセージ セキュリティを再度選択できますが、自動移行はトリガされません。

pae-enableDbSSL イベント データベースを構成する場合、デフォルトでは、接続は TLS で保護されません。接続で TLS を有効にするには、この属性を 1 に設定します。
pae-managedCertificateAdvanceRollOver

自動管理された証明書」の場合、この属性を設定すると、期限切れになる前に証明書を強制的に更新できます。期限切れになるまでの日数を指定します。

最大期間は 90 日です。指定しない場合、この設定はデフォルトで 0 日に設定され、有効期限日にロールオーバーが実行されます。

pae-MsgSecOptions

これは複数値の属性で、それぞれの値が名前と値のペアになります(例:course=fish)。

注意: 名前と値のペアを追加または変更する場合は、他の値を削除しないように十分に注意してください。

現在、設定可能な名前と値のペアは keysize です。これには、DSA メッセージ署名キーの長さを指定します。指定しない場合、デフォルトは 512 ビットになります。

  • メッセージ セキュリティが「有効」または「混在」の場合、すべてのメッセージが署名されます。キーの長さを増やすと、パフォーマンスとスケーラビリティに影響します。
  • メッセージ セキュリティが「拡張済み」の場合、署名されるメッセージが少なくなります。VMware では 2,048 ビットのキー長を推奨します。
  • Horizon 8 のインストール時に FIPS の互換性を選択した場合、キーサイズはすでに 2,048 に設定されています。

キーの長さは、最初のコネクション ブローカー インスタンスがインストールされた直後から、追加のサーバとデスクトップが作成されるまでの間に変更できます。その後は、変更しないでください。

pae-noManagedCertificate

この設定は、証明書の自動管理を無効にするために使用できます。

これを 1 に設定すると、証明書は自動的に更新されなくなり、証明書ストア内の自己署名証明書は無視されます。

すべての証明書は、認証局 (CA) によって署名され、管理者に管理されている必要があります。

この設定は、拡張メッセージ セキュリティと互換性がありません。1 に設定する前に、メッセージ セキュリティを「有効」に切り替える必要があります。

Horizon 8 のインストール時に FIPS の互換性を選択した場合、vdm 証明書は CA 署名付きである必要がありますが、1 に設定されていない限り、その他の証明書は認証局 (CA) 署名付きである必要はありません。

CPA 構成のすべての Connection Server には、他のポッドの登録クライアント証明書 (vdm.ec) の生成に使用されたルート証明書が必要です。

pae-SSLCertificateSignatureAlgorithm

これにより、自動管理の証明書に使用する証明書署名アルゴリズムが指定されます。指定しない場合は、デフォルトの rsa_pkcs1_sha384 が使用されます。

その他の例については、「セキュリティ プロトコルと暗号化スイートのデフォルトのグローバル ポリシー」を参照してください。

pae-CertAuthMappingControl
スマート カードのサポートがあるかどうかを指定します。値が 0 か存在しない場合、スマート カードはサポートされません。他の可能な値は次のとおりです。
  • 1 = レガシー検索(X509IssuerSubject または X509SubjectOnly 場合は UPN+altSecurityIdentities)
  • 2 = カスタム マッピング検索
  • 3 = カスタム + レガシー検索
  • 4 = SID 検索
  • 5 = SID + レガシー検索
  • 6 = SID + カスタム検索
  • 7 = SID + カスタム + レガシー検索。優先順位は SID > カスタム > レガシーです
pae-CertAuthMapping

デフォルト値は <not set> で、altSecurityIdentities の証明書マッピングに文字列が使用されます。例:"x509:<I>%issuer_dn%<S>%subject_dn%<SKI>%subject_key_id%", X509:<I>%issuer_dn%<SR>%serial%

証明書ベースの認証は、指定されたすべての文字列に基づいて行われます。マッピングは、サポートされている証明書のプロパティに基づいて指定する必要があります(たとえば、CertAuthMappingNames で提供されている Issuer、public_key、subject_alternative_name など)。