Windows용 Horizon Client에서는 사용자가 옵션 메뉴에서 현재 사용자로 로그인을 선택하면 클라이언트 시스템에 로그인할 때 입력했던 자격 증명을 사용해 Kerberos를 통해 연결 브로커 인스턴스와 원격 데스크톱에 대해 사용자를 인증합니다. 추가 사용자 인증은 필요하지 않습니다.
클라이언트 시스템에서 인증서 신뢰를 사용하여 비즈니스용 Windows Hello에 등록한 경우 비즈니스용 Windows Hello 발급 사용자 로그온 인증서가 Horizon Agent 시스템에 대한 Single Sign-On에 사용됩니다. 자세한 내용은 "Horizon 8 관리" 문서에서 “비즈니스용 Windows Hello를 사용한 인증”을 참조하십시오.
이 기능을 사용하려면 연결 브로커 인스턴스와 클라이언트 시스템에 사용자 자격 증명이 저장되어 있어야 합니다.
- 연결 브로커 인스턴스에서는 사용자 이름, 도메인, 선택적 UPN과 함께 사용자 자격 증명이 암호화되어 사용자 세션에 저장됩니다. 자격 증명은 인증 작업 수행 시 추가되고 세션 개체 삭제 시 제거됩니다. 사용자가 로그아웃하거나 세션 시간이 초과하거나 인증이 실패하면 세션 개체가 지워집니다. 세션 개체는 휘발성 메모리에 상주하며 Horizon LDAP 또는 디스크 파일에 저장되지 않습니다.
- 연결 브로커 인스턴스에서 현재 사용자로 로그온 허용 설정을 사용하도록 설정하여 사용자가 Horizon Client의 옵션 메뉴에서 현재 사용자로 로그인을 선택할 때 제공된 사용자 ID 및 자격 증명 정보를 연결 브로커 인스턴스가 수락하도록 합니다.
중요: 이 설정을 사용하도록 설정하기 전에 보안 위험을 파악해야 합니다. " Horizon 보안" 문서에서 "사용자 인증에 대한 보안 관련 서버 설정"을 참조하십시오.
- 클라이언트 시스템에서는 사용자 자격 증명이 암호화되어 Horizon Client의 구성 요소인 인증 패키지에 있는 테이블에 저장됩니다. 자격 증명은 사용자가 로그인하면 테이블에 추가되고 사용자가 로그아웃하면 테이블에서 제거됩니다. 테이블은 휘발성 메모리에 상주합니다.
현재 사용자로 로그온 허용을 선택하면 다음 사용자 설정을 사용하도록 설정할 수 있습니다.
- 레거시 클라이언트 허용: 이전 클라이언트에 대한 지원. Horizon Client 버전 2006 및 5.4 이하 버전은 이전 버전의 클라이언트로 간주됩니다.
- NTLM 폴백 허용: 도메인 컨트롤러에 대한 액세스 권한이 없는 경우 Kerberos 대신 NTLM 인증을 사용합니다. NTLM 그룹 정책 설정은 Horizon Client 구성에서 사용하도록 설정되어야 합니다.
- 채널 바인딩 사용 안 함: NTLM 인증을 보호하기 위한 추가 보안 계층. 기본적으로 채널 바인딩은 클라이언트에서 사용하도록 설정됩니다.
참고: 채널 바인딩을 사용하도록 설정한 경우 LMCompatibilityLevel 스위치를 사용하여 NTLMv2를 켰는지와 사용자 환경에서 보안 수준이 3 이상인지 확인합니다. 자세한 내용은 여기의 Microsoft 설명서를 참조하십시오.
- True SSO 통합: True SSO를 사용하여 데스크톱에 대한 SSO를 허용하도록 연결 브로커에서 이 설정을 사용하도록 설정합니다. 예를 들어 중첩 모드에서는 True SSO가 중첩된 클라이언트에 로그온하는 데 사용되고 보조 데스크톱 로그온이 수행됩니다. 중첩 모드에 대한 자세한 내용은 "Windows용 Horizon Client 가이드" 를 참조하십시오.
- 사용 안 함: 클라이언트가 로그온 자격 증명을 받지 못한 경우 사용자가 로그인 정보를 입력해야 합니다.
- 선택 사항: 사용 가능한 경우 클라이언트 자격 증명이 사용되고, 그렇지 않으면 True SSO가 사용됩니다. True SSO와 현재 사용자로 로그인을 모두 사용하도록 설정한 경우 이 설정이 권장됩니다.
- 사용: True SSO는 데스크톱에 로그온하는 데 사용됩니다.
관리자는 Horizon Client 그룹 정책 설정을 사용하여 옵션 메뉴에 있는 현재 사용자로 로그인 설정의 사용 가능 여부를 제어하고 기본값을 지정합니다. 관리자는 또한 그룹 정책을 통해 사용자가 Horizon Client에서 현재 사용자로 로그인을 선택할 때 전달되는 사용자 ID 및 자격 증명 정보를 수락할 연결 브로커 인스턴스를 지정합니다.
재귀 잠금 해제 기능은 사용자가 현재 사용자로 로그인 기능을 사용해서 연결 브로커에 로그인한 후에 사용되도록 설정됩니다. 재귀 잠금 해제 기능은 클라이언트 시스템이 잠금 해제된 후에 모든 원격 세션의 잠금을 해제합니다. 관리자는
Horizon Client의
클라이언트 시스템이 잠금 해제될 때 원격 세션 잠금 해제 글로벌 정책 설정으로 재귀 잠금 해제 기능을 제어할 수 있습니다.
Horizon Client에 대한 글로벌 정책 설정에 대한 자세한 내용은
VMware Horizon Clients 설명서 웹 페이지에서
Horizon Client 설명서를 참조하십시오.
참고:
Horizon Client가 도메인 컨트롤러에 액세스할 수 없는 경우 NTLM 인증을 사용하여 현재 사용자로 로그인을 사용하는 경우 재귀 잠금 해제 기능이 느려질 수 있습니다. 이 문제를 완화하려면 그룹 정책 관리 편집기의
폴더에서 그룹 정책 설정인
서버에 대해 항상 NTLM 사용을 사용하도록 설정합니다.
현재 사용자로 로그인 기능은 다음과 같은 제한 사항이 있습니다.
- 연결 브로커 인스턴스에 대해 스마트 카드 인증이 [필수]로 설정되어 있는 경우 사용자가 현재 사용자로 로그인을 선택하고 연결 브로커 인스턴스에 연결하면 인증에 실패합니다. 이들 사용자는 연결 브로커에 로그인할 때 스마트 카드와 PIN으로 재인증해야 합니다.
- 클라이언트가 로그인하는 시스템 시간과 연결 브로커 호스트 시간이 동기화되어 있어야 합니다.
- 클라이언트 시스템에서 기본 네트워크에서 이 컴퓨터 액세스 사용자 권한 할당을 수정한 경우 VMware 기술 자료(KB) 문서 1025691에 따라 수정해야 합니다.