이 항목에서는 API, 관리 콘솔 또는 제공된 명령줄 도구를 사용하여 수정할 수 없는 LDAP의 보안 관련 설정에 대해 설명합니다. 보안 관련 설정은 Horizon LDAP의 개체 경로 cn=common,ou=global,ou=properties,dc=vdi,dc=vmware,dc=int에 있습니다. 전체 관리 권한이 있는 경우 ADSI Edit 유틸리티와 같은 LDAP 편집기를 사용하여 연결 브로커 인스턴스에서 이러한 설정의 값을 변경할 수 있습니다. 변경 사항은 클러스터 내의 모든 다른 연결 브로커 인스턴스에 자동으로 전파됩니다.
Horizon LDAP의 보안 관련 설정
특성 | 설명 |
---|---|
pae-AgentLogCollectionDisabled |
이 설정은 API 또는 관리 콘솔을 사용하여 Horizon Agent에서 DCT 아카이브를 다운로드하지 못하게 하는 데 사용할 수 있습니다. 로그 수집은 VMware Horizon 8 환경의 연결 서버에서 계속 가능합니다. 에이전트 로그 수집을 비활성화하려면 1로 설정합니다. |
pae-DisallowEnhancedSecurityMode |
이 설정은 [고급] 메시지 보안의 사용을 방지하는 데 사용할 수 있습니다. 자동 인증서 관리를 사용하지 않도록 설정하려면 이 옵션을 사용합니다. 이 값을 1로 설정하면 Horizon 환경이 [사용] 메시지 보안 모드로의 전환을 자동으로 시작합니다. 이 특성을 다시 0으로 설정하거나 제거하면 [고급] 메시지 보안을 한 번 더 선택할 수 있지만 자동 전환을 트리거하지는 않습니다. |
pae-enableDbSSL |
이벤트 데이터베이스를 구성하는 경우 기본적으로 연결이 TLS에 의해 보호되지 않습니다. 연결에서 TLS를 사용하도록 설정하려면 이 특성을 1로 설정합니다. |
pae-managedCertificateAdvanceRollOver |
자동 관리 인증서의 경우 이 특성은 인증서가 만료되기 전에 강제로 갱신되도록 설정할 수 있습니다. 이 작업을 수행해야 하는 만료 날짜 전 일 수를 지정합니다. 최대 기간은 90일입니다. 지정하지 않으면 이 설정은 기본적으로 0일로 설정되므로 만료 시 롤오버가 발생합니다. |
pae-MsgSecOptions |
각 값이 자체 이름-값 쌍(예:
경고: 이름-값 쌍을 추가하거나 수정할 때는 다른 값을 제거하지 않도록 주의해야 합니다.
설정할 수 있는 유일한 이름-값 쌍은
키 길이는 첫 번째 연결 브로커 인스턴스가 설치된 직후와 추가 서버 및 데스크톱이 생성되기 직전에 변경할 수 있습니다. 그 후에는 변경하지 않아야 합니다. |
pae-noManagedCertificate |
이 설정은 자동 인증서 관리를 사용하지 않도록 설정하는 데 사용할 수 있습니다. 이 값을 1로 설정하면 인증서가 더 이상 자동으로 갱신되지 않고 인증서 저장소의 자체 서명된 인증서가 무시됩니다. 모든 인증서는 CA에서 서명하고 관리자가 관리해야 합니다. 이 설정은 [고급] 메시지 보안과 호환되지 않습니다. 1로 설정하기 전에 메시지 보안을 [사용]으로 전환해야 합니다. Horizon을 설치할 때 FIPS 호환성을 선택한 경우 "vdm" 인증서는 CA에서 서명해야 하지만 1로 설정하지 않는 한, 다른 인증서로 서명할 필요가 없습니다. CPA 구성의 모든 연결 서버에는 다른 포드의 등록 클라이언트 인증서(vdm.ec)를 생성하는 데 사용된 루트 인증서가 있어야 합니다. |
pae-SSLCertificateSignatureAlgorithm |
자동 관리 인증서에 사용할 인증서 서명 알고리즘을 지정합니다. 지정하지 않으면 기본적으로 추가 예제를 보려면 보안 프로토콜과 암호 제품군의 기본 전역 정책 항목을 참조하십시오. |