사용자 인증에 스마트 카드를 사용하는 클라이언트 디바이스는 특정 요구 사항을 충족해야 합니다.
클라이언트 하드웨어 및 소프트웨어 요구 사항
사용자 인증에 스마트 카드를 사용하는 각 클라이언트 시스템에는 다음 하드웨어 및 소프트웨어가 있어야 합니다.
- Horizon Client
- 호환 스마트 카드 판독기
- 제품 특정 애플리케이션 드라이버
사용자는 스마트 카드가 있어야 하며 각 스마트 카드에는 사용자 인증서가 포함되어 있어야 합니다. 지원되는 스마트 카드는 다음과 같습니다.
- 미국 국방부 CAC(Common Access Card)
- FIPS-201 스마트 카드라고도 하는 미국 연방 정부 PIV(Personal Identity Verification) 카드
- Gemalto .NET 카드
- Gemalto IDPrime MD 카드
CAC 및 PIV 카드의 경우 Horizon Client는 기본적으로 CryptoTokenKit 스마트 카드 드라이버를 사용하며 미들웨어를 설치할 필요가 없습니다.
Gemalto .NET 카드의 경우 macOS 버전에 적합한 SafeNet Authentication Client 버전을 설치합니다. Gemalto SafeNet Authentication Client는 Gemalto .NET 스마트 카드에 대해 CryptoTokenKit 및 TokenD 스마트 카드 드라이버를 모두 지원합니다.
CAC 및 PIV 카드에 다음과 같은 타사 스마트 카드 드라이버를 사용할 수도 있습니다.
- Mac v 1.7 및 v1.7.1용 PKard
- Charismathics(CCSI_5.0.3_PIV)
- Centrify Express
타사 스마트 카드 드라이버를 사용하려면 CryptoTokenKit 스마트 카드 드라이버를 사용하지 않도록 설정해야 합니다. 자세한 내용은 CryptoTokenKit 스마트 카드 드라이버 사용 안 함의 내용을 참조하십시오.
에이전트 소프트웨어 요구 사항
Horizon 관리자는 에이전트 시스템에 제품 특정 애플리케이션 드라이버를 설치해야 합니다.
PIV 카드를 사용하면 운영 체제는 사용자가 스마트 카드 판독기와 Windows 7 가상 데스크톱용 PIV 카드를 삽입하면 관련 드라이버를 설치합니다. Windows 7 가상 데스크톱용 PIV 카드의 경우 다음과 같은 에이전트 드라이버가 지원됩니다.
- Charismathics(CSTC PIV 5.2.2)
- Microsoft 미니 드라이버
- ActivClient 6.x
Windows 10 가상 데스크톱용 PIV 카드의 경우 다음과 같은 에이전트 드라이버가 지원됩니다.
- Charismathics(CSTC PIV 5.2.2)
- ActivClient 7.x
Gemalto .NET 카드의 경우 .NET 스마트 카드 드라이버용 Gemalto 미니 드라이버가 지원됩니다.
Horizon Client에서 사용자 이름 힌트 필드를 사용하도록 설정
일부 환경에서 스마트 카드 사용자는 단일 스마트 카드 인증서를 사용하여 여러 사용자 계정을 인증할 수 있습니다. 사용자는 스마트 카드를 사용하여 인증할 때 사용자 이름 힌트 텍스트 상자에 사용자 이름을 입력합니다.
Horizon Client 로그인 대화 상자에 사용자 이름 힌트 텍스트 상자가 나타나게 하려면 Horizon Console의 연결 서버 인스턴스에 대해 스마트 카드 사용자 이름 힌트 기능을 사용하도록 설정해야 합니다. 스마트 카드 사용자 이름 힌트 기능은 Horizon 7 버전 7.0.2 이상 서버 및 에이전트에서만 지원됩니다. 스마트 카드 사용자 이름 힌트 기능을 사용하도록 설정하는 방법에 대한 자세한 내용은 "VMware Horizon Console 관리" 문서를 참조하십시오.
작업 환경에서 보안 외부 액세스를 위해 보안 서버가 아닌 Unified Access Gateway 장치를 사용하는 경우 스마트 카드 사용자 이름 힌트 기능을 지원하도록 Unified Access Gateway 장치를 구성해야 합니다. 스마트 카드 사용자 이름 힌트 기능은 Unified Access Gateway 2.7.2 이상에서만 지원됩니다. Unified Access Gateway의 스마트 카드 사용자 이름 힌트 기능을 사용하도록 설정하는 방법에 대한 자세한 내용은 "Unified Access Gateway 배포 및 구성" 문서를 참조하십시오.
추가 스마트 카드 인증 요구 사항
Horizon Client 시스템의 스마트 카드 요구 사항을 충족하는 것 외에도 다른 Horizon 구성 요소가 스마트 카드를 지원하기 위한 특정 구성 요구 사항을 충족해야 합니다.
- 연결 서버 및 보안 서버 호스트
-
Horizon 관리자는 신뢰할 수 있는 모든 사용자 인증서에 대해 적용할 수 있는 모든 CA(인증 기관) 인증서를 연결 서버 호스트나 보안 서버 호스트에 있는 서버 truststore 파일에 추가해야 합니다. 이러한 인증서에는 루트 인증서가 포함되며, 사용자의 스마트 카드 인증서가 중간 인증 기관에서 발급된 경우에는 중간 인증서도 포함되어야 합니다.
비어 있는 PIV 카드에 대한 인증서를 생성할 때 PIV 데이터 생성기 도구의 암호화 공급자 탭에 연결 서버 또는 보안 서버 호스트의 서버 truststore 파일에 대한 경로를 입력합니다.
스마트 카드 사용을 지원하도록 연결 서버를 구성하는 방법에 대한 자세한 내용은 "VMware Horizon Console 관리" 문서를 참조하십시오.
- Active Directory
- 스마트 카드 인증을 구현하기 위해 관리자가 Active Directory에서 수행해야 하는 작업에 대한 자세한 내용은 " VMware Horizon Console 관리" 문서를 참조하십시오.