注意:此版本的主題適用於 Horizon 8 安全性 2111.2 版和 2306 版以及更新版本。其中說明 LDAP 中的安全性相關設定,且這些設定無法使用 API、管理主控台或所提供的命令列工具來修改。安全性相關設定提供於 Horizon LDAPcn=common,ou=global,ou=properties,dc=vdi,dc=vmware,dc=int 物件路徑下方。如果您具有完整管理權限,您可以使用 LDAP 編輯器 (例如 ADSI Edit 公用程式),在連線代理執行個體上變更這些設定的值。所做的變更會自動散佈到叢集中其他所有的連線代理執行個體。

Horizon LDAP 中的安全性相關設定

屬性 說明
pae-AgentLogCollectionDisabled 此設定可用來阻止使用 API 或管理主控台從 Horizon Agent 下載 DCT 封存檔。記錄收集仍可以從 VMware Horizon View 環境中的連線伺服器來執行。

設定為 1 時,會停用代理程式記錄收集。

pae-DisallowEnhancedSecurityMode

此設定可用來於阻止使用增強訊息安全性。如果您要停用自動憑證管理,請使用此項。

將此項設為 1 後,Horizon View 環境會自動開始轉換成 [已啟用] 訊息安全模式。

如果將此屬性重新設定為 0,或是移除此屬性,則允許再次選擇增強訊息安全性,但不會觸發自動轉換。

pae-enableDbSSL 如果您設定事件資料庫,依預設,該連線將不受 TLS 保護。將此屬性設為 1 時,會對連線啟用 TLS。
pae-managedCertificateAdvanceRollOver

對於自動管理的憑證,可將此屬性設定為強制在憑證到期之前更新憑證。指定應在到期日期前多少天提早執行此動作。

最大期限為 90 天。若未指定,此設定將預設為 0 天,因此,在到期時會進行滾動更新。

pae-MsgSecOptions

這是一個多值屬性,其中每個值本身是一個名稱-值配對 (例如,course=fish)。

警告: 在新增或修改名稱-值配對時,請小心不要移除其他的值。

目前可以設定的唯一名稱-值配對為 keysize。這會指定 DSA 訊息簽署金鑰的長度。如果未指定,則會預設為 512 個位元。

  • 如果訊息安全性為 [已啟用] 或 [混合],則每則訊息都會簽署。增加金鑰長度會影響效能和延展性。
  • 如果訊息安全性為 [增強],則很少有訊息會簽署,且 VMware 建議金鑰長度為 2048 個位元。
  • 如果在安裝 Horizon View 時選取了 FIPS 相容性,則金鑰大小已設定為 2048。

在安裝第一個連線代理執行個體之後,只要是在建立其他伺服器和桌面平台之前,都可以立即變更金鑰長度。在此之後,就不得變更。

pae-noManagedCertificate

此設定可用來停用自動憑證管理。

如果將此項設定為 1,將不再自動更新憑證,且會忽略憑證存放區中的自我簽署憑證。

所有憑證都必須是 CA 簽署憑證,並由管理員管理。

此設定與增強訊息安全性不相容。在設定為 1 之前,必須將訊息安全性切換為 [已啟用]。

如果在安裝 Horizon View 時選取了 FIPS 相容性,則「vdm」憑證必須是 CA 簽署的憑證,其他憑證則不必是 CA 簽署的憑證,除非您將此項設定為 1。

CPA 組態中的所有連線伺服器都應該有用於為其他網繭產生註冊用戶端憑證 (vdm.ec) 的根憑證。

pae-SSLCertificateSignatureAlgorithm

這用來針對自動管理的憑證,指定所要使用的憑證簽章演算法。如果未指定,則會預設為 rsa_pkcs1_sha384

如需其他範例,請參閱安全性通訊協定及加密套件的預設全域原則

pae-CertAuthMappingControl
指定是否支援智慧卡。若值為 0 或不存在,表示不支援智慧卡。其他可能的值為:
  • 1 = 傳統搜尋 (UPN+altSecurityIdentities 中的 X509IssuerSubject 或 X509SubjectOnly)
  • 2 = 自訂對應搜尋
  • 3 = 自訂+傳統搜尋
  • 4 = SID 搜尋
  • 5 = SID+傳統搜尋
  • 6 = SID+自訂搜尋
  • 7 = SID+自訂+傳統搜尋,優先順序將為「SID>自訂>傳統」
pae-CertAuthMapping

預設值為 <未設定>,並將接受用於 altSecurityIdentities 憑證對應的字串,例如:"x509:<I>%issuer_dn%<S>%subject_dn%<SKI>%subject_key_id%", X509:<I>%issuer_dn%<SR>%serial%

以憑證為基礎的驗證是根據提供的所有字串完成的。應根據支援的憑證內容來提供對應,例如:CertAuthMappingNames 中提供的 Issuer、public_key、subject_alternative_name。