安全性相關設定提供於 Horizon LDAP 的 cn=common,ou=global,ou=properties,dc=vdi,dc=vmware,dc=int 物件路徑下方。您可以使用 ADSI Edit 公用程式,在連線伺服器執行個體上變更這些設定的值。變更會自動散佈到群組中其他所有的連線伺服器執行個體。
| 名稱/值對 | 說明 |
|---|---|
| cs-allowunencryptedstartsession | 屬性為 pae-NameValuePair。 此屬性會控制啟動遠端使用者工作階段時,在連線伺服器執行個體與桌面平台之間是否需要安全通道。 在桌面平台電腦上安裝 Horizon Agent 時,此屬性沒有作用,且一律需要安全通道。 在所有情況下,使用者認證與授權票證都是透過一個靜態金鑰保護。安全通道使用動態金鑰提供進一步的保密能力。 如果設為 0,當無法建立安全通道時,遠端使用者工作階段將無法啟動。如果所有桌面平台都位於受信任的網域,或所有桌面平台都已安裝 Horizon Agent,則此設定相當合適。 如果設為 1,即使無法建立安全通道,還是可啟動遠端使用者工作階段。如果某些桌面平台已經安裝舊版 Horizon Agent,且未處於受信任的網域,則此設定相當合適。 預設設定為 1。 |
| keysize | 屬性為 pae-MSGSecOptions。 將訊息安全性模式設定為增強時,將使用 TLS 而非使用每則訊息加密來確保 JMS 連線的安全。在增強訊息安全模式中,驗證僅適用於一個訊息類型。針對增強訊息模式,VMware 建議將金鑰大小增加為 2048 個位元。如果您未使用增強訊息安全模式,VMware 建議不要變更 512 個位元的預設值,因為增加金鑰大小會影響效能和擴充性。如果您希望所有金鑰都是 2048 位元,則必須在安裝第一個連線伺服器執行個體之後,以及在建立其他伺服器和桌面平台之前,立即變更 DSA 金鑰大小。 |
自動更新自我簽署的憑證
您可以使用 pae-managedCertificateAdvanceRollOver 屬性來自動更新自我簽署的憑證。
請指定某個值,以便在目前的憑證到期前的指定天數內,以未來的憑證或擱置中的憑證取代自我簽署的憑證。
依預設不會設定此值。有效範圍是 1 到 90。
