Настройка Двухфакторной Аутентификации В Vmware Horizon View 7 С Использованием Смарт-Карт Jacarta Pki

Настройка двухфакторной аутентификации в VMware Horizon View 7 с использованием смарт-карт JaCarta PKI

Недавно мы сказал , как настроить 2FA-аутентификацию на основе инфраструктуры PKI и сертификатов x509 в виртуальной среде Citrix с использованием электронных ключей JaCarta PKI. Сегодня мы поговорим о ближайшем «друге» Citrix XenDesktop в сфере доставки виртуальных десктопов и приложений — VMware Horizon View.

Как это работает?

Проще говоря, вы можете представить себе такую диаграмму.

Двухфакторная аутентификация для сеанса VDI с использованием JaCarta PKI состоит из следующих шагов:

пользователь предъявляет токен (первый фактор – владение устройством) и вводит ПИН-код (второй фактор – знание ПИН-кода);
сервер проверяет учетные данные пользователя;
пользователь получает рабочий стол\приложение или отказ в обслуживании.

Однако причины для сопряжения VMware Horizon View с электронными ключами, как и любая реализация 2FA, имеют ряд преимуществ по сравнению с классической аутентификацией по паролю.

Прежде всего, это общее повышение уровня безопасности, которое происходит за счет отказа от паролей и перехода к строгой аутентификации с использованием второго фактора аутентификации.

Мы не будем подробно останавливаться на этом; статей и даже целых книг на эту тему достаточно.

Во-вторых, поскольку реализована аутентификация с использованием токенов или смарт-карт, их можно и нужно использовать внутри сеанса VDI. Например, для электронных подписей в различных сценариях и программах, для доступа к различным веб-приложениям, для систем электронного документооборота и систем дистанционного банковского обслуживания.

Возможно использование как западных криптоалгоритмов, так и отечественного ГОСТа.

Также к дополнительным преимуществам можно отнести то, что одну и ту же карту можно использовать для аутентификации, подписи и доступа в помещение (при наличии RFID-метки).

При этом предусмотрены возможности кастомизации – нанесение логотипа и фирменного стиля.

А в рамках специальных проектов возможна реализация платежных приложений на тех же картах (Мир, MasterCard, Visa).

Вводный

Предполагается, что инфраструктура открытых ключей уже развернута в Windows Server (версия не важна) с ролью служб сертификации Active Directory. VDI развертывается в VMware Horizon View 7 (мы работаем как с 6.x, так и с 5.x) и настроен для простой аутентификации по паролю.

Еще одним условием является наличие у пользователей электронных ключей JaCarta с выданными на них цифровыми сертификатами от MSCA. В качестве клиента используется любой ПК, тонкий клиент или ноутбук с установленным клиентом VMware Horizon.

Настройки

Вся настройка сводится к настройке сертификатов и включению опции аутентификации по сертификату на сервере Horizon View.

Ээкспортировать корневой сертификат

Откройте оснастку Центр сертификации в корневом центре сертификации, выполнив команду certsrv.msc

Настройка двухфакторной аутентификации в VMware Horizon View 7 с использованием смарт-карт JaCarta PKI

Открой окно Центр сертификации -> Имя ЦС -> Свойства

На вкладке Общий выберите корневой сертификат и нажмите кнопку Посмотреть сертификат .

Перейти на вкладку Подробности и нажмите кнопку Копировать в файл .

На странице выбора формата файла выберите X.509 в кодировке Base-64 (.

CER)

Укажите путь экспорта файла, например, C:\temp\RootCA.cer

Создание файла-контейнера ключей JKS

На сервере VMware Horizon View откройте командную строку и перейдите в каталог с утилитой keytool.exe (C:\Program Files\VMware\VMware View\Server\jre\bin).

Импортируйте корневой сертификат в файл хранилища с помощью команды keytool -import -alias псевдоним -file root_certificate -keystore Truststorefile.key , где alias — это псевдоним (любое значение), root_certificate — полный путь к файлу сертификата,truststorefile.key — имя файла хранилища.

В процессе импорта вам потребуется ввести парольную фразу для защиты хранилища и подтвердить ваше доверие к сертификату.

Файловое хранилище файл_доверенного хранилища.

ключ необходимо скопировать в каталог SSL-шлюза: каталог_установки\VMware\VMware View\Server\sslgateway\conf\truststorefile.key В каталоге SSL-шлюза (каталог_установки\VMware\VMware View\Server\sslgateway\conf\locked.properties) вам необходимо создать файл с именем заблокированные.

свойства и отредактируйте его (например, в блокноте) до следующего содержания:

   

  trustKeyfile= truststorefile.key
 trustStoretype=JKS
 useCertAuth=true

Сохраните файл и перезапустите службу.

Просмотр сервера соединений .

Настройка входа по сертификату

Войдите в веб-консоль VMware Horizon View.

Заходим в свойства сервера: Инвентарь → Просмотр конфигурации → Серверы → Серверы подключений → Редактировать .

Перейти на вкладку Аутентификация и выберите предпочтительный режим аутентификации.

Аутентификация в административной консоли с помощью смарт-карты настраивается из выпадающего списка.

Аутентификация по смарт-карте для администраторов :

Не допускается – не используйте смарт-карту;
Необязательный – смешанная аутентификация – либо по паролю, либо по смарт-карте;
Необходимый – обязательное использование смарт-карты.

Аутентификация пользователя в VDI с помощью смарт-карты настраивается из выпадающего списка.

Аутентификация по смарт-карте для пользователей :

Не допускается – не используйте смарт-карту;
Необязательный – смешанная аутентификация – либо по паролю, либо по смарт-карте;
Необходимый – обязательное использование смарт-карты.

Вариант Отключить сеансы пользователей при удалении смарт-карты Определяет политику при отключении смарт-карты.

Установите флажок, если вам нужно отключить сессию при извлечении смарт-карты.

Нажмите кнопку ХОРОШО .

Настройка переадресации смарт-карт пользователя

Пересылка смарт-карты пользователя позволяет выполнить прозрачную аутентификацию на виртуальной машине путем однократного ввода PIN-кода.

При использовании тонких клиентов Teradici настройка обычно не требуется.

При использовании программных клиентов Windows, MacOS, Linux необходимо установить агент VMware View с активированной опцией перенаправления смарт-карт.