참고: 이 항목의 버전은 Horizon 8 보안 버전 2111.2 및 2306 이상에 적용됩니다. 여기서는 API, 관리 콘솔 또는 제공된 명령줄 도구를 사용하여 수정할 수 없는 LDAP의 보안 관련 설정에 대해 설명합니다. 보안 관련 설정은 Horizon LDAP의 개체 경로 cn=common,ou=global,ou=properties,dc=vdi,dc=vmware,dc=int에 있습니다. 전체 관리 권한이 있는 경우 ADSI Edit 유틸리티와 같은 LDAP 편집기를 사용하여 연결 브로커 인스턴스에서 이러한 설정의 값을 변경할 수 있습니다. 변경 사항은 클러스터 내의 모든 다른 연결 브로커 인스턴스에 자동으로 전파됩니다.

Horizon LDAP의 보안 관련 설정

특성 설명
pae-AgentLogCollectionDisabled 이 설정은 API 또는 관리 콘솔을 사용하여 Horizon Agent에서 DCT 아카이브를 다운로드하지 못하게 하는 데 사용할 수 있습니다. 로그 수집은 VMware Horizon View 환경의 연결 서버에서 계속 가능합니다.

에이전트 로그 수집을 비활성화하려면 1로 설정합니다.

pae-DisallowEnhancedSecurityMode

이 설정은 [고급] 메시지 보안의 사용을 방지하는 데 사용할 수 있습니다. 자동 인증서 관리를 비활성화하려면 이 옵션을 사용합니다.

이 값을 1로 설정하면 Horizon View 환경이 [사용] 메시지 보안 모드로의 전환을 자동으로 시작합니다.

이 특성을 다시 0으로 설정하거나 제거하면 [고급] 메시지 보안을 한 번 더 선택할 수 있지만 자동 전환을 트리거하지는 않습니다.

pae-enableDbSSL 이벤트 데이터베이스를 구성하는 경우 기본적으로 연결이 TLS에 의해 보호되지 않습니다. 연결에서 TLS를 활성화하려면 이 특성을 1로 설정합니다.
pae-managedCertificateAdvanceRollOver

자동 관리 인증서의 경우 이 특성은 인증서가 만료되기 전에 강제로 갱신되도록 설정할 수 있습니다. 이 작업을 수행해야 하는 만료 날짜 전일 수를 지정합니다.

최대 기간은 90일입니다. 지정하지 않으면 이 설정은 기본적으로 0일로 설정되므로 만료 시 롤오버가 발생합니다.

pae-MsgSecOptions

각 값이 자체 이름-값 쌍(예: course=fish)인 다중 값 특성입니다.

경고: 이름-값 쌍을 추가하거나 수정할 때는 다른 값을 제거하지 않도록 주의해야 합니다.

설정할 수 있는 유일한 이름-값 쌍은 keysize입니다. DSA 메시지 서명 키의 길이를 지정합니다. 지정하지 않으면 기본값은 512비트입니다.

  • 메시지 보안이 [사용] 또는 [혼합]인 경우 모든 메시지가 서명됩니다. 키 길이를 늘리면 성능 및 확장성에 영향을 미칩니다.
  • 메시지 보안이 향상되면 일부 메시지가 서명되고 키 길이를 2048비트로 유지하는 것이 좋습니다.
  • Horizon View을 설치할 때 FIPS 호환성을 선택한 경우 키 크기가 이미 2048로 설정되어 있습니다.

키 길이는 첫 번째 연결 브로커 인스턴스가 설치된 직후와 추가 서버 및 데스크톱이 생성되기 직전에 변경할 수 있습니다. 그 후에는 변경하지 않아야 합니다.

pae-noManagedCertificate

이 설정은 자동 인증서 관리를 비활성화하는 데 사용할 수 있습니다.

이 값을 1로 설정하면 인증서가 더 이상 자동으로 갱신되지 않고 인증서 저장소의 자체 서명된 인증서가 무시됩니다.

모든 인증서는 CA에서 서명하고 관리자가 관리해야 합니다.

이 설정은 [고급] 메시지 보안과 호환되지 않습니다. 1로 설정하기 전에 메시지 보안을 [사용]으로 전환해야 합니다.

Horizon View을 설치할 때 FIPS 호환성을 선택한 경우 "vdm" 인증서는 CA에서 서명해야 하지만 1로 설정하지 않는 한, 다른 인증서로 서명할 필요가 없습니다.

CPA 구성의 모든 연결 서버에는 다른 포드의 등록 클라이언트 인증서(vdm.ec)를 생성하는 데 사용된 루트 인증서가 있어야 합니다.

pae-SSLCertificateSignatureAlgorithm

자동 관리 인증서에 사용할 인증서 서명 알고리즘을 지정합니다. 지정하지 않으면 기본적으로 rsa_pkcs1_sha384입니다.

추가 예제를 보려면 보안 프로토콜과 암호 제품군의 기본 전역 정책 항목을 참조하십시오.

pae-CertAuthMappingControl
스마트 카드 지원이 있는지 여부를 지정합니다. 값이 0이거나 없으면 스마트 카드가 지원되지 않습니다. 가능한 값은 다음과 같습니다.
  • 1 = 레거시 검색(X509IssuerSubject 또는 X509SubjectOnly의 경우 UPN+altSecurityIdentities)
  • 2 = 사용자 지정 매핑 검색
  • 3 = 사용자 지정+레거시 검색
  • 4 = SID 검색
  • 5 = sid+레거시 검색
  • 6 = sid+사용자 지정 검색
  • 7 = sid+사용자 지정+레거시 검색, 우선 순위는 sid>사용자 지정>레거시입니다.
pae-CertAuthMapping

기본값은 <not set>이며 altSecurityIdentities의 인증서 매핑용 문자열을 사용합니다(예: "x509:<I>%issuer_dn%<S>%subject_dn%<SKI>%subject_key_id%", X509:<I>%issuer_dn%<SR>%serial%).

인증서 기반 인증은 제공된 모든 문자열을 기반으로 수행됩니다. CertAuthMappingNames에 제공된 Issuer, public_key, subject_alternative_name과 같은 지원되는 인증서 속성을 기준으로 매핑을 제공해야 합니다.