VMware Horizon è in grado di sfruttare la tecnologia smart card per incrementare la sicurezza del processo di autenticazione quando un utente prova ad accedere al virtual desktop assegnato.
Se anche Active Directory è configurata per autenticare gli utenti tramite le smart card, gli utenti devono solamente digitare il PIN quando richiesto e possono accedere direttamente ai virtual desktop dedicati rendendo il processo di login più veloce e più sicuro.
Pre-requisiti
Per implementare l'autenticazione tramite smart card in VMware Horizon, è necessario avere i seguenti prerequisiti:
- Un'infrastruttura di chiave pubblica operativa (PKI)
- Active Directory configurata per autenticare gli utenti tramite le smart card
Esportare il certificato root dalla CA
Se si ha un'infrastruttura CA operativa, effettuare il login al server con installato il ruolo di Certification Authority ed aprire la Certification Authority manager.
Effettuare un click con il tasto destro del mouse sulla Root CA e selezionare la voce Properties.
Posizionarsi nella sezione General, selezionare il certificato e cliccare View Certificate.
Accedere alla sezione Details e cliccare sulla voce Copy to File.
Cliccare Next nella pagina del Certificate Export Wizard.
Selezionare l'opzione Base-64 encoded X.509 (.CER) e cliccare su Next.
Digitare il File name e cliccare su Next.
Cliccare su Finish per esportare il certificato nel percorso specificato.
Il certificato è stato esportato correttamente. Cliccare OK per uscire dal wizard.
Ora copiare il certificato root CA appena esportato e posizionarlo nel Connection Server.
Importare il certificato Root in Horizon
Logarsi al Connection Server ed effettuare in qualsiasi punto del server l'operazione di incolla del certificato di root esportato precedentemente.
Aprire il Command Prompt come Administrator.
Posizionarsi nella cartella Program Files\VMware\VMware View\Server\jre\bin.
C:\> cd "Program Files\VMware\VMware View\Server\jre\bin"
Eseguire il comando:
C:\..> keytool.exe -import -alias RootCA -file c:\cert\RootCA.cer -keystore truststorefile.key -storetype JKS
Inserire due volte la password per il certificato e premere Enter.
Digitare yes e premere Enter per accettare il certificato. Il file truststorefile.key viene creato nel folder selezionato.
Una volta che è stato creato il file truststorefile.key, è necessario copiarlo nel folder corretto. Copiare il file truststorefile.key nel folder C:\Program Files\VMware\VMware View\Server\sslgateway\conf\.
C:\..> copy truststorefile.key "C:\Program Files\VMware\VMware View\Server\sslgateway\conf\"
Ora è necessario editare il file locked.properties (creare il file se non è presente) salvato nel folder C:\Program Files\VMware\VMware View\Server\sslgateway\conf\ per aggiungere la configurazione richiesta per utilizzare l'autenticazione tramite smart card.
Aggiungere al file locked.properties le seguenti righe:
trustKeyfile = truststorefile.key
trustStoretype = jks
useCertAuth = true
Salvare il file e riavviare il servizio VMware Horizon View Connection Server.
Configurare Connection Server addizionali
Se si hanno Connection Server multipli configurati nella propria infrastruttura Horizon, bisogna configurare opportunatamente ogni Connection Server.
Dal Connection Server configurato selezionare e copiare entrambi i file locked.properties e truststorefile.key.
Effettuare il login agli altri Connection Server e salvare i file nello stesso folder C:\Program Files\VMware\VMware View\Server\sslgateway\conf\.
Riavviare il servizio VMware Horizon View Connection Server.
Abilitare l'autenticazione tramite smart card in Horizon
Dal Connection Server, posizionarsi nell'area Settings > Servers e selezionare la sezione Connection Servers. Selezionare il primo Connection Server (CS1 nell'esempio) e cliccare Edit.
Selezionare la sezione Authentication e posizionarsi nell'area Smart card authentication.
Dal menu a tendina Smart card authentication for users selezionare la voce Required. Se si richiede una sicurezza più elevata abilitare l'opzione Disconnect user sessions on smart card removal. Cliccare su OK per salvare la configurazione.
Se si hanno Connection Server multipli nella propria infrastruttura, ripetere la stessa procedura per ogni server.
Testare l'autenticazione con smart card
Una volta che la configurazione è completa, è tempo di testare se il tutto funziona correttamente.
Ricordarsi di connettere il lettore ed inserire la smart card prima di effettuare il login in Horizon altrimenti si riceverà un errore. Verificare inoltre di aver abilitato la funzione Smartcard Redirection nel View Agent installato nella Golden Image.
Inserire la smart card nel computer utilizzato, aprire il View Client e connettersi all'infrastruttura VMware Horizon.
Rispetto al login standard, ora bisogna digitare il PIN associato alla smart card e cliccare su Login.
Viene visualizzato il Desktop Pool a cui si è autorizzati. Cliccare sul Desktop Pool desiderato per connettersi al virtual desktop.
Il sistema effettua la connessione alla VDI.
Dopo pochi secondi si è connessi al virtual desktop senza dover digitare le credenziali Windows.
L'autenticazione con smart card è utile quando il business richiede un livello extra di sicurezza ed è una delle opzioni disponibili presenti in VMware Horizon. SAML, RADIUS, True SSO sono alcune delle opzioni disponibili che si possono utilizzare nel processo di autenticazione in Horizon.