Vmware horizon client установить сертификат

Обновлено: 07.07.2024

На примере cмарт карт Avtor CryptoCard337, тонкого клиента HP T430 на базе ThinPro и VMware Horizon 2103

Предполагаем, что действия с установкой и настройкой Служб сертификации выполнены и включена групповая политика на вход в домен по предъявлению смарт-карты.

Настройка тонкого клиента

Подготовка ОС HP ThinPro для установки драйверов смарт-карты:

Установку обновлений и драйверов на тонкие клиенты HP T430 можно производить как локально, так и централизованно с помощью Device Manager.

Обновление ОС до версии не ниже ThinPro 7.1 SP 17.4 из репозитория.

Обновление клиента Horizon View до версии не ниже 2012 из репозитория.

Обновление браузера Firefox до версии не ниже 78.12.0 из репозитория.

Обновление клиента терминала до версии не ниже tterm-2.0.0hp2a из репозитория.

Установка драйверов от смарт-карты AVTOR Avtor CryptoCard337.

Записать драйвера на USB носитель. Носитель должен быть отформатирован в FAT32.

Перейти в режим «Администратора» на тонком клиенте HP T430.

Запустить программу X-Terminal.

В терминале выполнить команду fsunlock.

6. Вставить флеш накопитель с драйверами в USB порт тонкого клиента HP T430. Должно появиться окно с выбором установки файлов с расширением *.deb которые есть на носителе (Обновление по USB). Если окно не появилось, перезагрузить устройство и начать заново с п.3.

7. Выбрать необходимый драйвер.


8. Нажать «Установить».

10. Перезагрузить устройство.

После данных действий тонкий клиент будет корректно работать со смарт-картой.

2. Настройка VMware Horizon

Подразумевается использование ОС семейства MS Windows совместимых с программным обеспечением VMware Horizon, а также с драйверами от смарт-карты. Имеется работающая инфраструктура открытых ключей (PKI).

Настройка сертификатов. Экспорт корневого сертификата (Obtain the CA Certificate from Windows)

Откройте Certification Authority на корневом ЦС, выполнив команду certsrv.msc

2. Откройте окно Certification Authority -> CA Name -> Properties


На вкладке General выберите корневой сертификат и нажмите кнопку View Certificate


3. Перейдите на вкладку Details и нажмите кнопку Copy to File


4. На странице выбора формата файла выберите Base-64 encoded X.509 (.CER).

5. Укажите путь экспорта файла, например, C:\temp\RootCA.cer.


Импорт корневого сертификата в VMware Horizon (Add the CA Certificate to a Server Truststore File).

На сервере VMware Horizon откройте командную строку и перейдите в каталог с утилитой keytool.exe (C:\Program Files\VMware\VMware View\Server\jre\bin).

2. Импортируйте подготовленный корневой сертификат в файл-хранилище с помощью команды: keytool -import - alias alias -file root_certificate -keystore truststorefile.key -storetype JKS, где alias – псевдоним (любое значение), root_certificate – полный путь к файлу сертификата, truststorefile.key – имя файл-хранилища, storetype – тип хранилища. В процессе импорта необходимо будет ввести парольную фразу для защиты хранилища и подтвердить доверие сертификату.


3. Файл-хранилище truststorefile.key необходимо скопировать в директорию SSL Gateway: install_directory\VMware\VMware View\Server\sslgateway\conf.

4. В директории SSL Gateway (install_directory\VMware\VMware View\Server\sslgateway\conf) необходимо создать файл c именем locked.properties и отредактировать его (например, в блокноте) до следующего содержимого:

Сохраните файл и перезапустите службу Horizon View Connection Server.

Настройка аутентификации по сертификату в VMware Horizon (Configure Smart Card Settings in Horizon Console)

Зайдите в Web-консоль VMware Horizon.

Перейдите в свойства сервера: Inventory -> View Configuration -> Servers -> Connections Servers -> Edit.

Перейдите на вкладку Authentication и выберите предпочтительный режим аутентификации. Аутентификация в административную консоль по смарт-карте настраивается из выпадающего списка Smart card authentication for administrators:

Not Allowed – не использовать смарт-карту;

Optional – смешанная аутентификация (или по паролю или по смарт-карте);

Required – обязательное использование смарт-карты.

Аутентификация пользователя в VDI по смарт-карте настраивается из выпадающего списка Smart card authentication for users. Опция "Disconnect user sessions on smart card removal" определяет политику при отключении смарт-карты. Установите галочку, если необходимо производить отключение сессии при изъятии смарт-карты.


1. Вставьте смарт-карту и перейдите в консоль администрирования.

2. В появившемся окне формы входа выберите сертификат администратора и нажмите кнопку OK.


3. Отобразится запрос на ввод PIN-кода. После успешной проверки PIN будет произведена аутентификация в Web-интерфейс.


Настройка проброса смарт карты в гостевых ВМ

Проброс смарт-карты пользователя позволяет производить прозрачную аутентификацию в виртуальную машину с вводом PIN-кода один раз. При использовании в качестве конечной виртуальной машины ОС Windows, macOS, Linux необходимо выполнить установку VMware View Agent с активацией опции Smartcard Redirection.


Все действия мы будем выполнять через консоль ESXi не смотря на то, что у нас установлен и настроен vCenter сервер.
Делаем мы это для того, чтобы показать, что для перевода сотрудников на удаленную работу достаточно триальной лицензии, а затем после истечения 60 дней, лицензии Essentials.

Нам необходимо создать виртуальную машину и установить на нее Vmware Horizon View Connection сервер.

Переход к 3 -ему пункту: Инструкция по настройке удалённого доступа | VMware к настройке VMware Universal Access Gateway.

Установка Connection Server


Первым делом мы положим на ESXi дистрибутив Windows Server 2012 .







Создаём новую виртуальную машину










Далее нам необходимо установить операционную систему Windows Server на эту виртуальную машину.
























Установка Windows Server завершена.

Установка VMware Horizon


Для установки Horizon View Connection Server требуется, чтобы сервер был введен в домен.





Скачиваем необходимые дистрибутивы




Открываем сессию RDP и копируем в машину VMware Horizon Connection Server.




На сегодняшний момент, HTML access к физическим рабочим станциям не работает.
К виртуальным работать будет.

072


Это пароль, который поможет получить доступ к базе Horizon View и вытащить оттуда данные в случае сбоя.

073


Список портов можно найти в документации

074


Этот пользователь будет администраторов Horizon View.
Можно завести отдельного пользователя домена, без административных полномочий для этих целей.
Мы использовали пользователя Administrator в тестовой среде для экономии времени.



Установка Vmware Horizon View Connection server закончена.

Настройка VMware Horizon Connection Server


Для настройки Horizon View Connection Server заходим на адрес по FQDN view-conn.virtual.local/admin (на момент написания статьи, Chrome и Firefox выдавали ошибку аутентификации, если пытаться заходить по ip адресу, Explorer заходил, но интерфейс был с ошибками).





Лицензия должна быть, как минимум триальная.

Прежде чем перейти к настройке пулов, мы установим Horizon View Agent, скачанный ранее, на клиентскую машину.
В данном случае мы будем использовать виртуальную машину Windows 7 32 бит и 32 -ный агент.
При установке агента на физическую машину будет одно отличие: в процессе установке потребуется указать адрес View Connection Server и пользователя, который обладает правами администратора этого View Connection сервера (в нашем случае это virtual\Administrator).







Выполняем перезагрузку. Видим, что название машины testclientw7 и она введена в домен.
Если что-то идёт не так, возможно, виной этому Windows Firewall.
Он имеет обыкновение включаться при установке агента View.
Если Вы установили агент, а он не виден в View Connection Sever, то проверьте, отключен ли firewall на View Connection сервере и на агентской машине.
В случае необходимости, выключите firewall и сделайте repair установку агента.

Производим предварительную настройку пулов виртуальных машин.
Мы покажем эту процедуру на примере виртуальных машин, но будем делать сноски для пользователей физических десктопов.




Подтверждаем сертификат.




После этих манипуляций, мы создаем пул машин, для доступа пользователей.








Мы выбрали протокол RDP, поскольку это единственный протокол, который будет нам доступен при использовании физических рабочих станций.
Оставили выбор протокола для тех, кто будет тестировать Horizon View для виртуальных машин.
Для них доступны все протоколы, включая html access.

Важный момент, поскольку мы выбрали протокол RDP, то на соответствующей пользователю рабочей станции нужно внести этого пользователя в список пользователей, которым разрешен RDP доступ.






Дальше мы назначим пользователю пул и машину в этом пуле.




Здесь мы добавляем пользователя в пул, то есть у него будет отображаться возможность зайти в этот пул.
Как мы помним, в этот пул мы добавили виртуальную машину test_client_w7.
Т.е. сейчас, теоретически, пользователь может попасть в пул, где есть эта машина, но не на саму машину, поскольку мы её пока не сопоставили с пользователем.



А теперь назначаем пользователя Administrator машине test_client_w7.
Для этого переходим в закладку Machines этого пула.

119

120


Последнее, что нам осталось сделать - зарегистрировать шлюз и убедиться, что агент на машине виден и отвечает.




То, что шлюз сейчас не виден - это нормально: мы его пока не устанавливали.

Наши эксперты:


В данном случае всё хорошо и мы можем переходить к 3 -ему пункту: Инструкция по настройке удалённого доступа | VMware к настройке Vmware Universal Access Gateway.


Возможно, Вам будет также интересна следующая информация:

Если у вас появилась необходимость в использовании нормальных сертификатов не только для web-серверов, но и для Vmware View 5.1-5.2, то очень рекомендую использовать StartCom SSL Certificates (это нормальные сертификаты за весьма разумные деньги – 59 USD за 2-х летние сертификаты Class 2).

Преамбула или Tips & Tricks

Для получения сертификатов – нужно пройти регистрацию на сайте — StartSSL™ (все достаточно стандартно и предсказуемо). Единственный момент заключается в том, что авторизация на сайте для операций с сертификатами производится при помощи сертификата, который размещается в хранилище компьютера (браузера), т.е. никаких паролей и имен пользователей. Этот сертификат и инструкцию по работе с ним выдают по окончанию регистрации. Сертификат — не восстанавливается, поэтому его лучше сохранить в надежном месте.
После ее прохождения вы получите возможность генерировать сертификаты Class 1 сроком действия – 1год. Они бесплатные и подходят для тестирования сайтов или обучения работе с сертификатами.
Здесь — StartSSL™ Comparison Chart можно посмотреть сравнительную таблицу сертификатов и их стоимости.
Но, если вам нужен нормальный сертификат ( который будут воспринимать все браузеры), то есть ряд очень важных моментов, связанных с присвоением вам статуса доверенного лица и подготовкой данных для сертификатов»:

1. При регистрации нужно вводить только реальные данные и не использовать VPN или чего-то еще искажающего ваш ip-адрес. Это одна из проверок,

4. Если вы прошли все проверки, вам позвонили и убедились, что вы реальное лицо и вас зарегистрировали как доверенное лицо, которое может подписывать сертификаты, а также с карточного счета сняли 59 USD, то это только начало,

5. Важно, что бы в вашем домене был адрес postmaster@domain, т.к. все письма с кодами валидации будут приходить только на этот адрес,

6. Не используйте функцию wildcard, т.е.сертификат для всего домена целиком, а формируйте сертификаты под конкретные имена, иначе для поддоменов и серверов новые сертификаты создавать будет нельзя. Мне этот опыт стоил 25 USD за revocation и настоятельно был рекомендован сотрудником StartCom.

Особенности создания сертификатов для Vmware View 5.1-5.2

Я поставил множество опытов по получению сертификата через форму сайта или генерацию через CSR и сработала только следующая схема:

1. Сертификат генерится через форму сайта, обязательно с паролем,

3. После того, как полученный файл .p12 скопирован на сервер, где установлен View Connection Server,

4. Нужно запустить оснастку Certificates/ Local Computer/ Personal

5. После этого требуется вызвать импорт правой кнопкой мыши All Tasks/Import и пройдя нехитрый мастер получить картинку, указанную на скриншоте.

6. Всего должно быть установлено 3 сертификата: сертификат самого сервера и 2 сертификата CA, причем именно в этой ветке.

7. Не забудьте указать vdm в свойствах сертификата Friendly Name,

8. Далее нужно перезапустить все сервисы Vmware Connection Server.

clip_image002


Данный, не очень сложный метод, был подобран методом проб и ошибок, т.к. наличие, просто, сертификата без сертификатов CA, приводило к тому, что ничего не работало, а в логах шла ругань на сертификат.
Для продуктов Vmware недавно появился инструмент — vCenter Certificate Automation Tool 1.0.
И более продвинутый инструментарий от VSSLabs — vCert Manager , уже находится на стадии бета-тестирования.

Использование StartCom SSL Certificates для VMware (Horizon) View 5.1-5.2: 4 комментария

Спасибо. Ценные нюансы.

1. Странно, но я получил сертификат на 2-ой домен, у которого другой владелец.
Типа получил на постмастера валидацию и все ок.
2. Надо посмотреть их FAQ.
3. Но у него вроде есть хранилище сертификатов, может надо туда принудительно его и корневые добавлять?
4. Это точно. Говорят по-русски. Я регистрировал на фин. директора, он очень испугался, хотя я его и предупредил. Чуть не выронил трубку и нес околесицу про оплату, и что он хороший и честный человек. Объяснить ему что это за процедура удалось с большим трудом. Зато он мне простил залет на 25 USD за ревокейшен.

Добавить комментарий Отменить ответ

Перейти с Порше на Жигули - такое себе решение!

Мысли в слух " а может перейти на proxmox " Что-то в последняя время ESXi не стабильно стал по обновлениям.…

Что такое VMware Horizon, или как организовать работу удаленных сотрудников

25 Июня 2021

VMware Horizon - это платформа для создания эффективной и безопасной инфраструктуры виртуальных рабочих столов (VDI) и приложений в локальной, гибридной или многооблачной среде.

Что такое VMware Horizon

VMware Horizon является одной из составляющих решения VMware Workspace ONE, в комплекс которого также входят: vIDM, отвечающий за идентификацию пользователей и реализацию технологии единого входа, и система управления мобильными устройствами (в ней можно распространять политики настройки устройств, устанавливать или удалять ПО, отслеживать геопозицию пользователя).

VDI-платформа VMware Horizon включает следующие компоненты:

  • vCenter Server - централизованная система управления, которая устанавливается на виртуальной машине, работающей на хосте ESXi. Для развертывания vCenter как vCenter Server Appliance рекомендуется использовать предварительно определенный шаблон OVA. Лицензия Horizon включает лицензию vCenter;
  • ESXi гипервизор - физический сервер, на котором размещены виртуальные машины, служащие рабочими столами пользователей и загруженные операционными системами и приложениями;
  • агент VMware Horizon View - программный компонент, который необходимо установить на всех виртуальных машинах, управляемых VMware Horizon. Услуга просмотра агента предусматривает мониторинг подключения, совместимость с USB, виртуальную печать и единый вход. В любой системе, которая будет использоваться в качестве виртуального рабочего стола, должен быть установлен агент просмотра;
  • клиент Horizon - клиентская программа, которая взаимодействует с View Connection Server для установления соединения между пользовательскими устройствами конечных точек и виртуальными рабочими столами Horizon. Клиент совместим с операционными системами Windows, Linux и macOS;
  • сервер подключений Horizon View - сервер, который аутентифицирует пользователей через Active Directory, предлагает единый вход и, помимо других функций, связывает виртуальные рабочие столы с пользователями. Сервер подключений View получает базу данных LDAP (облегченный протокол доступа к каталогам), которая используется для аутентификации Active Directory. Это один из наиболее важных элементов инфраструктуры виртуальных рабочих столов VMware Horizon;
  • ThinApp - дополнительный компонент VMware для виртуализации приложений, не требующий установки какого-либо программного обеспечения.
  • View Composer - компонент, который управляет виртуальными рабочими столами на vCenter Server и использует связанные клоны для экономии объема хранилища. Связанные клоны создаются с родительского виртуального диска, а не с полных клонов (VMDK). Для хранения уникальных данных, которые отличаются от данных на родительском диске, для связанных клонов требуются специальные разностные виртуальные диски. Без родительских дисков связанные клоны работать не будут. На каждом экземпляре vCenter Server должен быть установлен View Composer отдельно.
  • администратор Horizon - веб-интерфейс управления для Horizon VDI. Рекомендуется, чтобы каждый экземпляр Horizon Connection Server имел собственный экземпляр Horizon Administrator.

Для решения задач виртуализации в данной платформе используется VMware Horizon View, которая поддерживает работу с несколькими мониторами, ускоренное воспроизведение видео, локальное подключение к периферийным устройствам, высококачественную трехмерную графику, а также обеспечивает легкое масштабирование для поддержки растущего числа настольных виртуальных компьютеров, динамическое выделение вычислительных ресурсов для наибольшей производительности и оптимизации, и повышенную отказоустойчивость всей виртуальной инфраструктуры.

Все перечисленные компоненты VMware Horizon повышают для конечных пользователей удобство цифровой рабочей области.

Основные направления развития VMware Horizon

К основным направлениям развития VMware Horizon относятся:

  • классический доступ VDI - для реализации классического VDI используется простая архитектура: серверная часть, состоящая из сервера управления (Connection server), сервера внешних подключений (Security server на Windows или Unified Access Gateway на Linux) и Composer server, который необходим для создания полноценно работающих виртуальных машин (по так называемому «золотому образу»);
  • мобильные пользователи (VMware Horizon AirWatch) - доступ к корпоративным приложениям у сотрудника должен с любого устройства (в том числе с мобильного), для чего iOS и Android интегрируются в VDI с помощью решения по управлению корпоративными мобильными устройствами VMware Airwatch;
  • доставка приложений (App Volumes) - основная функция этого программного продукта - бесшовная доставка приложения непосредственно в виртуальную машину и возможность запуска его без инсталляции. Этот продукт дает заказчикам возможность доставлять приложения по запросу в инфраструктуре VDI только тем сотрудникам, которым данное приложение требуется для работы. В консоли администратора всегда видно, сколько лицензий каким пользователям назначено. Также в App Volumes есть встроенный функционал для управления личными данными пользователя (профилем), а в новых версиях был добавлен функционал катастрофоустойчивости и репликации между ЦОД;
  • катастрофоустойчивость (VMware Horizon PODS) - чтобы снизить риск простоев VDI, при планировании архитектуры рекомендуется делать актив-актив проекты с помощью ряда программных решений, которые входят в лицензии VMware Horizon. Для работы актив-актив архитектуры создаются две идентичные инсталляции, работающие независимо друг от друга, но с репликацией данных пользователей и настроек. Пользователь в соответствии с правилами с заранее описанными правилами попадает на одну из активных площадок. В случае выхода ее из строя, связь пользователя с его виртуальной машиной VDI теряется, происходит переподключение ко второй активной площадке, где продолжается работа;
  • протокол доступа Blast Extreme, который делится на два разных продукта - один работает через HTML5 в браузере (Blast Extreme HTML5 client), второй (Blast Extreme Horizon client) предназначен для установки в операционную систему. Функционально продукты различны: в «толстом клиенте» имеется полный набор всех фич от VMware;
  • VMware Horizon Monitoring - для осуществления мониторинга в VMware Horizon используется vRealize Operations for Horizon, лицензия на который включена редакцию Horizon Enterprise. Основные функции системы vRealize: мониторинг работоспособности, анализ производительности, управление ресурсами с элементами планирования и оптимизации. В комплексе продукты мониторинга от VMware нацелены на выявление системы до сбоя, своевременное реагирование на случившиеся сбои и оперативное устранение неисправностей в серверной или пользовательской части VDI;
  • серверная виртуализация - vSAN. В VMware Horizon включены лицензии на лучшую систему серверной виртуализации VMware vSphere в максимальной редакции Enterprise Plus, благодаря чему инсталляция дополнительных хостов на ESXi для проекта VDI не вызовет проблем. Также новые хосты виртуализации включаются в общий план резервного копирования, на них применяются политики безопасности, принятые в компании;
  • VMware Horizon NSX (виртуальные сети и микросегментация), которые используются для обеспечения сетевой безопасности виртуальных машин VDI. В VMware Horizon NSX задаются правила Firewall, привязанные, например, к типу виртуальных машин.

В целом VMware Horizon позволяет сократить затраты на поддержку ИТ-инфраструктуры, повысить ее безопасность, ввести новые сценарии работы и минимизировать время простоев.

Как VMware помогает людям работать из дома

Платформа для управления виртуальными рабочими столами от VMware позволяет удаленным сотрудникам полноценно выполнять свои обязанности при помощи домашнего настольного ПК, ноутбука или нетбука, планшета, а также решений класса «тонкий клиент» (thin client) и «нулевой клиент» (zero client).

При этом с помощью VMware Horizon возможно создание «гибридных» рабочих сред, например, в случаях, когда для выполнения своих задач часть сотрудников до начала удаленной работы использовала устройства со специфическими возможностями, например, станции 3D-рендеринга. Инструментарий VMware позволяет включить данное оборудование в общую инфраструктуру с виртуальными десктопами, обеспечив полный удаленный доступ к таким ПК с соблюдением всех правил безопасности. Для этого потребуется лишь брокер соединений и программные агенты.

Работа ЦОД с внедренным VDI также существенно упрощается - этому помогает функция «мгновенного клонирования». При этом пулы клонов создаются из уже включенных виртуальных машин, и этот процесс занимает считанные секунды. Благодаря этому удается полностью избежать «boot-штормов».

Пример работы VMware

Примером создания инфраструктуры безопасных рабочих мест для удаленных сотрудников с помощью Workspace ONE (частью которого является VMware Horizon) может стать «магазин приложений» для пользователя.

В этом «магазине» пользователь загружает необходимые для работы программы, при этом для каждой из них организуется отдельный VPN-канал. Так, при выборе приложения Gmail в Android у сотрудника будут две иконки почтового клиента: его личная почта и отдельно корпоративный аккаунт, который прежде, чем открыться, будет устанавливать защищённое соединение. Обмен данных между приложениями из личной зоны пользователя и корпоративной зоны станет невозможен.

Workspace ONE предоставляет удаленному сотруднику функции автоматической настройки и шифрования. Однако перед интеграцией в VDI гаджет обязательно должен проверяться на соответствие корпоративным политикам. Если вдруг что-то в прошивке изменилось после проверки соответствия, то автоматически может применяться запрет на работу с данными или запускаться процесс принудительного обновления. Администратор может удаленно очистить систему, но личные данные при этом не устраняются.

Логическая архитектура VMware Horizon


Версии и цены VMware Horizon

Продукты VMware Horizon представлены тремя пакетами программ:

  • VMware Horizon Workspace – общий портал, позволяющий управлять данными пользователя и получать доступ к корпоративным приложениям через стандартный браузер или View Client, рабочим станциям и мобильным телефонам сотрудников. В результате пользователи получают доступ к VDI со своих мобильных устройств, а ИТ-администраторы обеспечены ресурсами для контроля безопасности корпоративных данных;
  • VMware Horizon Mirage – продукт, позволяющий управлять физическими компьютерами пользователей и создавать образ виртуальной рабочей станции, при этом разделяя его послойно на систему, данные, приложения и настройки пользователя;
  • VMware Horizon Suite, объединяющий в себе функционал и возможности Horizon View, Horizon Mirage и Horizon Workspace.

Цены на данные продукты представлены в таблице

Название продукта Horizon Mirage Horizon Workspace Horizon Suite
Количество лицензий 10 100 10 100 10 100
Цена продукта $1 650 $16 500 $1 650 $16 500 $3 300 $33 000
Цена технической поддержки на год $346,50 $3 465 $346,50 $3 465 $693 $6 930

Версии продукта VMware Horizon также отличаются стоимостью и количеством лицензий:

Название продукта VMware Horizon
Версии продукта Advanced Enterprise
Количество лицензий 10 100 10 100
Цена продукта $2 750 $27 500 $3 300 $33 000
Цена технической поддержки на год $681,45 $6 814,50 $817,74 $8 177,40

При выборе решений для создания виртуальной цифровой рабочей среды возникает вопрос - стоит ли VMware Horizon шумихи вокруг него. Ответ на это таков - VMware Horizon подходит, если ваша компания интересуется VDI и уже использует технологии виртуализации VMware, такие, как vCenter Server, ESXi Hypervisor, View Agent, Horizon Client, Connection Server, ThinApp, View Composer и Horizon Administrator являются ключевыми компонентами Horizon View. Также стоит обратить внимание на VMware Horizon, если необходима альтернатива традиционным рабочим столам или решениям для удаленных рабочих столов.

Читайте также: