Page 1
Administration de View
VMware Horizon 6
Version 6.2
Ce document prend en charge la version de chacun des produits
répertoriés, ainsi que toutes les versions publiées par la suite
jusqu'au remplacement dudit document par une nouvelle
édition. Pour rechercher des éditions plus récentes de ce
document, rendez-vous sur :
http://www.vmware.com/fr/support/pubs.
FR-001909-01
Page 2
Administration de View
Vous trouverez la documentation technique la plus récente sur le site Web de VMware à l'adresse :
http://www.vmware.com/fr/support/
Le site Web de VMware propose également les dernières mises à jour des produits.
N’hésitez pas à nous transmettre tous vos commentaires concernant cette documentation à l’adresse suivante :
docfeedback@vmware.com
Copyright © 2015 VMware, Inc. Tous droits réservés. Copyright et informations sur les marques.
VMware, Inc.
3401 Hillview Ave.
Palo Alto, CA 94304
www.vmware.com
2 VMware, Inc.
VMware, Inc.
100-101 Quartier Boieldieu
92042 Paris La Défense
France
www.vmware.com/fr
Page 3
Table des matières
Administration de View 7
Utilisation de View Administrator 9
1
View Administrator et Serveur de connexion View 9
Ouvrir une session sur View Administrator 10
Conseils d'utilisation de l'interface de View Administrator 11
Résolution des problèmes de l'affichage du texte dans View Administrator 12
Configuration du serveur de connexion View 15
2
Configuration de vCenter Server et View Composer 15
Sauvegarde du Serveur de connexion View 28
Configuration de paramètres pour des sessions client 28
Désactiver ou activer le Serveur de connexion View 40
Modifier les URL externes 41
Participer ou se retirer du programme d'expérience utilisateur 42
Répertoire View LDAP 42
Configuration de l'authentification 45
3
Utilisation de l'authentification à deux facteurs 45
Utilisation de l'authentification par carte à puce 49
Utilisation de l'authentification SAML 61
Utilisation de la vérification de la révocation des certificats de carte à puce 64
Utilisation de la fonctionnalité Se connecter en tant qu'utilisateur actuel, disponible avec
Horizon Client pour Windows 68
Autoriser les utilisateurs à enregistrer les informations d'identification 69
Configurer l'authentification biométrique 70
VMware, Inc.
Configuration d'administration déléguée basée sur des rôles 71
4
Comprendre les rôles et les privilèges 71
Utilisation de groupes d'accès pour déléguer l'administration de pools et de batteries de serveurs 72
Comprendre les autorisations 73
Gérer des administrateurs 74
Gérer et consulter des autorisations 76
Gérer et répertorier des groupes d'accès 78
Gérer des rôles personnalisés 81
Rôles et privilèges prédéfinis 82
Privilèges requis pour des tâches habituelles 86
Meilleures pratiques pour des utilisateurs et des groupes d'administrateurs 88
Configuration de stratégies dans View Administrator et Active Directory 91
5
Définition de règles dans View Administrator 91
3
Page 4
Administration de View
Utilisation des fichiers de modèle d'administration de stratégie de groupe View 94
Maintenance des composants View 99
6
Sauvegarde et restauration de données de configuration de View 99
Contrôler des composants View 108
Surveiller l'état des machines 108
Présentation des services View 109
Modifier la clé de licence produit 111
Surveillance de l'utilisation des licences produit 112
Mettre à jour des informations utilisateur générales depuis Active Directory 113
Migrer View Composer vers une autre machine 113
Mettre à jour les certificats sur une instance de Serveur de connexion View, un serveur de sécurité
ou View Composer 119
Informations collectées par le programme d’amélioration de l’expérience utilisateur 120
Gestion de machines virtuelles de poste de travail de clone lié 137
7
Réduire la taille de clone lié avec une actualisation de machine 137
Mettre à jour des postes de travail de clone lié 139
Rééquilibrage des machines virtuelles de clone lié 144
Gérer des disques persistants de View Composer 147
Gestion de pools de postes de travail, de machines et de sessions 153
8
Gestion de pools de postes de travail 153
Gestion de postes de travail basés sur une machine virtuelle 161
Gestion de machines non gérées 166
Gérer des sessions d'applications et de postes de travail distants 169
Exporter des informations de View vers des fichiers externes 170
Gestion de pools d'applications, de batteries de serveurs et d'hôtes RDS 171
9
Gestion de pools d'applications 171
Gestion de batteries de serveurs 172
Gestion des hôtes RDS 175
Configuration de l'équilibrage de charge pour des hôtes RDS 179
Configurer une règle anti-affinité pour un pool d'applications 186
Gestion d'applications ThinApp dans View Administrator 189
10
Configuration requise de View pour des applications ThinApp 189
Capture et stockage de packages d'applications 190
Attribution d'applications ThinApp à des machines et à des pools de postes de travail 194
Maintenance d'applications ThinApp dans View Administrator 201
Contrôle et dépannage d'applications ThinApp dans View Administrator 204
Exemple de configuration d'application ThinApp 208
Configuration de clients en mode kiosque 211
11
Configurer des clients en mode kiosque 212
Dépannage de View 223
12
Contrôle de la santé du système 223
4 VMware, Inc.
Page 5
Table des matières
Surveiller les événements dans View 224
Collecte d'informations de diagnostic pour View 225
Mettre à jour des demandes de support 229
Dépannage d'un couplage échoué d'un serveur de sécurité avec Serveur de connexion View 230
Résolution de la vérification de la révocation des certificats de View Server 230
Dépannage de la vérification de la révocation des certificats de carte à puce 231
Autres informations de dépannage 232
Utilisation de la commande vdmadmin 233
13
Utilisation de la commande vdmadmin 235
Configuration de la journalisation dans View Agent à l'aide de l'option -A 237
Remplacement d'adresses IP à l'aide de l'option -A 239
Définition du nom d'un groupe du Serveur de connexion View à l'aide de l'option -C 240
Mise à jour de sécurités extérieures principales à l'aide de l'option -F 240
Liste et affichage de moniteurs d'intégrité à l'aide de l'option -H 241
Liste et affichage de rapports sur le fonctionnement de View à l'aide de l'option -I 242
Génération de messages du journal des événements de View au format Syslog à l'aide de l'option
-I 243
Attribution de machines dédiées à l'aide de l'option -L 244
Affichage d'informations sur les machines à l'aide de l'option -M 246
Récupération d'espace disque sur des machines virtuelles à l'aide de l'option -M 247
Configuration de filtres de domaine à l'aide de l'option -N 248
Configuration de filtres de domaine 250
Affichage des machines et des stratégies d'utilisateurs non autorisés à l'aide des options -O et -P 254
Configuration de clients en mode kiosque à l'aide de l'option -Q 256
Affichage du premier utilisateur d'une machine à l'aide de l'option -R 260
Suppression de l'entrée pour une instance de Serveur de connexion View ou un serveur de sécurité
à l'aide de l'option -S 260
Fournir des informations d'identification secondaires à des administrateurs à l'aide de l'option -T 261
Affichage d'informations sur les utilisateurs à l'aide de l'option -U 263
Déverrouillage ou verrouillage de machines virtuelles à l'aide de l'option -V 263
Détection et résolution des collisions d'entrée LDAP à l'aide de l'option -X 264
Index 267
VMware, Inc. 5
Page 6
Administration de View
6 VMware, Inc.
Page 7
Administration de View
Le document Administration de View explique comment configurer et administrer VMware Horizon 6™,
notamment comment configurer le Serveur de connexion View, créer des administrateurs, configurer
l'authentification utilisateur et les stratégies, et gérer des applications VMware ThinApp™ dans View
Administrator. Ce document explique également comment gérer et dépanner les composants de View.
Public cible
Ces informations sont destinées à toute personne souhaitant configurer et administrer VMware Horizon 6.
Les informations sont destinées aux administrateurs Windows ou Linux expérimentés qui connaissent bien
le fonctionnement des datacenters et de la technologie des machines virtuelles.
VMware, Inc.
7
Page 8
Administration de View
8 VMware, Inc.
Page 9
Utilisation de View Administrator 1
View Administrator est l'interface Web avec laquelle vous configurez le Serveur de connexion View et gérez
vos applications et postes de travail distants.
Pour consulter une comparaison des opérations que vous pouvez effectuer avec View Administrator, les
applets de commande View et vdmadmin, reportez-vous au document Intégration de View.
Ce chapitre aborde les rubriques suivantes :
« View Administrator et Serveur de connexion View », page 9
n
« Ouvrir une session sur View Administrator », page 10
n
« Conseils d'utilisation de l'interface de View Administrator », page 11
n
« Résolution des problèmes de l'affichage du texte dans View Administrator », page 12
n
View Administrator et Serveur de connexion View
View Administrator fournit une interface de gestion pour View.
En fonction de votre déploiement View, vous utilisez une ou plusieurs interfaces de View Administrator.
Utilisez une interface de View Administrator pour gérer les composants View associés à une instance
n
de Serveur de connexion View autonome ou à un groupe d'instances de Serveur de connexion View
répliquées.
VMware, Inc.
Vous pouvez utiliser le nom d'hôte ou l'adresse IP de n'importe quelle instance répliquée pour ouvrir
une session sur View Administrator.
Vous devez utiliser une interface de View Administrator séparée pour gérer les composants View pour
n
chaque instance de Serveur de connexion View autonome ou chaque groupe d'instances de Serveur de
connexion View répliquées.
Vous pouvez également utiliser View Administrator pour gérer des serveurs de sécurité associés à Serveur
de connexion View. Chaque serveur de sécurité est associé à une instance de Serveur de connexion View.
REMARQUE Si vous utilisez des dispositifs Access Point plutôt que des serveurs de sécurité, vous devez
utiliser l'API REST Access Point pour gérer les dispositifs Access Point. Pour plus d'informations, consultez
le document Déploiement et configuration d'un point d'accès.
9
Page 10
Administration de View
Ouvrir une session sur View Administrator
Pour effectuer des tâches de configuration initiale, vous devez ouvrir une session sur View Administrator.
Vous accédez à View Administrator via une connexion SSL.
Prérequis
Vérifiez que le Serveur de connexion View est installé sur un ordinateur dédié.
n
Vérifiez que vous utilisez un navigateur Web pris en charge par View Administrator. Pour plus
n
d'informations sur la configuration requise de View Administrator, consultez le document Installation de
View.
Procédure
1 Ouvrez votre navigateur Web et saisissez l'URL suivante, où server est le nom d'hôte de l'instance de
Serveur de connexion View.
https://server/admin
REMARQUE Vous pouvez utiliser l'adresse IP si vous devez accéder à une instance de Serveur de
connexion View lorsque le nom d'hôte n'est pas résolvable. Toutefois, l'hôte que vous contactez ne
correspondra pas au certificat SSL configuré pour l'instance de Serveur de connexion View, ce qui se
traduit par un accès bloqué ou un accès avec une sécurité réduite.
Votre accès à View Administrator dépend du type de certificat configuré sur l'ordinateur Serveur de
connexion View.
Si vous ouvrez votre navigateur sur l'hôte de Serveur de connexion View, utilisez https://127.0.0.1
pour vous connecter et non https://localhost. Cette méthode renforce la sécurité en évitant les
attaques DNS potentielles sur la résolution de localhost.
Option Description
Vous avez configuré un certificat
signé par une autorité de
certification pour Serveur de
connexion View.
Le certificat auto-signé par défaut
fourni avec Serveur de connexion
View est configuré.
Lorsque vous vous connectez pour la première fois, votre navigateur Web
affiche View Administrator.
À votre première connexion, votre navigateur Web peut afficher une page
vous avertissant que le certificat de sécurité associé à l'adresse n'est pas
émis par une autorité de certification approuvée.
Cliquez sur Ignorer pour continuer à utiliser le certificat SSL actuel.
2 Ouvrez une session en tant qu'utilisateur actuel avec des informations d'identification pour accéder au
compte View Administrators.
Vous spécifiez le compte View Administrators lorsque vous installez une instance autonome de Serveur
de connexion View ou la première instance de Serveur de connexion View dans un groupe répliqué. Le
compte View Administrators peut être le groupe Administrators local (BUILTIN\Administrators) sur
l'ordinateur Serveur de connexion View ou un compte d'utilisateur ou de groupe de domaine.
Après avoir ouvert une session sur View Administrator, vous pouvez utiliser Configuration de View >
Administrateurs afin de modifier la liste des utilisateurs et des groupes ayant un rôle d'administrateur
View.
10 VMware, Inc.
Page 11
Chapitre 1 Utilisation de View Administrator
Conseils d'utilisation de l'interface de View Administrator
Vous pouvez utiliser les fonctions d'interface utilisateur de View Administrator pour naviguer dans les
pages de View et pour rechercher, filtrer et trier des objets View.
View Administrator comporte plusieurs fonctions d'interface utilisateur courantes. Par exemple, le volet de
navigation à gauche de chaque page vous dirige vers d'autres pages de View Administrator. Les filtres de
recherche vous permettent de sélectionner des critères de filtrage liés aux objets que vous recherchez.
Tableau 1-1 décrit des fonctions supplémentaires qui peuvent vous aider dans l'utilisation de View
Administrator.
Tableau 1‑1. Fonctions de navigation et d'affichage de View Administrator
Fonction de View Administrator Description
Navigation vers l'avant et vers l'arrière
dans les pages de View Administrator
Création de signets pour les pages View
Administrator
Tri multicolonne Vous pouvez trier des objets View de plusieurs façons en utilisant le tri
Cliquez sur le bouton Précédent de votre navigateur pour accéder à la page de
View Administrator précédemment affichée. Cliquez sur le bouton Suivant
pour revenir à la page actuelle.
Si vous cliquez sur le bouton Précédent du navigateur pendant que vous
utilisez un assistant ou une boîte de dialogue de View Administrator, vous
revenez à la page principale de View Administrator. Les informations vous
avez entrées dans l'assistant ou la boîte de dialogue sont perdues.
Dans les versions de View antérieures à la version View 5.1, vous ne pouviez
pas utiliser les boutons Précédent et Suivant de votre navigateur pour
naviguer dans View Administrator. Des boutons Précédent et Suivant séparés
permettaient la navigation dans View Administrator. Ces boutons sont
supprimés dans la version View 5.1.
Vous pouvez créer des signets pour les pages View Administrator dans votre
navigateur.
multicolonne.
Cliquez sur un titre dans la ligne supérieure d'un tableau View Administrator
pour trier les objets View par ordre alphabétique par rapport à ce titre.
Par exemple, sur la page Ressources > Machines, vous pouvez cliquer sur
Pool de postes de travail pour trier les postes de travail en fonction des pools
auxquels ils appartiennent.
Le nombre 1 apparaît à côté du titre pour indiquer qu'il s'agit de la principale
colonne de tri. Vous pouvez cliquer de nouveau sur le titre pour inverser
l'ordre de tri, indiqué par une flèche vers le bas ou vers le haut.
Pour trier les objets View en fonction d'un deuxième élément, appuyez sur
Ctrl+clic sur un autre titre.
Par exemple, dans le tableau Machines, vous pouvez cliquer sur Utilisateurs
pour effectuer un tri secondaire en fonction des utilisateurs à qui des postes de
travail sont dédiés. Le nombre 2 apparaît à côté du titre secondaire. Dans cet
exemple, les postes de travail sont triés par pool et par utilisateurs dans
chaque pool.
Vous pouvez continuer à utiliser Ctrl+clic pour trier toutes les colonnes d'un
tableau par ordre décroissant d'importance.
Appuyez sur Ctrl+Maj+clic pour désélectionner un élément de tri.
Par exemple, vous souhaitez afficher les postes de travail dans un pool qui
sont dans un état particulier et sont stockés dans un magasin de données
particulier. Vous pouvez sélectionner Ressources > Machines, cliquer sur le
titre Magasin de données, puis appuyer sur Ctrl+clic sur l'en-tête État.
VMware, Inc. 11
Page 12
Administration de View
Tableau 1‑1. Fonctions de navigation et d'affichage de View Administrator (suite)
Fonction de View Administrator Description
Personnalisation des colonnes du
tableau
Sélection d'objets View et affichage de
détails sur l'objet View
Développer les boîtes de dialogue pour
afficher les détails
Affichage de menus contextuels pour
des objets View
Vous pouvez personnaliser l'affichage des colonnes du tableau View
Administrator en masquant les colonnes sélectionnées et en verrouillant la
première colonne. Cette fonctionnalité vous permet de contrôler l'affichage de
grands tableaux, tels que Catalogue > Pools de postes de travail qui
contiennent de nombreuses colonnes.
Cliquez avec le bouton droit sur un en-tête de colonne pour afficher le menu
contextuel qui vous permet d'effectuer les actions suivantes :
Masquer la colonne sélectionnée.
n
Personnaliser des colonnes. Une boîte de dialogue affiche toutes les
n
colonnes du tableau. Vous pouvez sélectionner les colonnes à afficher ou à
masquer.
Verrouiller la première colonne. Cette option maintient la colonne de
n
gauche affichée pendant que vous faites défiler horizontalement un
tableau comportant plusieurs colonnes. Par exemple, sur la page
Catalogue > Pools de postes de travail, l'ID du poste de travail reste
affiché lorsque vous faites défiler horizontalement le tableau pour voir
d'autres caractéristiques du poste de travail.
Dans les tableaux View Administrator qui répertorient des objets View, vous
pouvez sélectionner un objet ou afficher des détails sur l'objet.
Pour sélectionner un objet, cliquez n'importe où dans la ligne de l'objet
n
dans le tableau. En haut de la page, les menus et les commandes qui
gèrent l'objet deviennent actifs.
Pour afficher des détails sur l'objet, double-cliquez sur la cellule de gauche
n
de la ligne de l'objet. Une nouvelle page affiche les détails de l'objet.
Par exemple, sur la page Catalogue > Pools de postes de travail, cliquez sur la
ligne correspondant à un pool individuel pour activer les commandes de ce
pool.
Double-cliquez sur la cellule ID dans la colonne de gauche pour afficher une
nouvelle page qui contient des détails sur le pool.
Vous pouvez développer les boîtes de dialogue de View Administrator pour
afficher dans les colonnes d'un tableau des détails tels que le nom des postes
de travail et des utilisateurs.
Pour développer une boîte de dialogue, placez le pointeur de votre souris audessus des points, dans le coin supérieur droit de la boîte de dialogue, puis
faites glisser ce coin.
Vous pouvez cliquer avec le bouton droit sur des objets View dans les
tableaux de View Administrator pour afficher des menus contextuels. Un
menu contextuel vous donne accès aux commandes qui agissent sur l'objet
View sélectionné.
Par exemple, dans la page Catalogue > Pools de postes de travail, vous
pouvez cliquer avec le bouton droit sur un pool de postes de travail pour
afficher des commandes telles que Ajouter, Modifier, Supprimer, Désactiver
(ou Activer) l'approvisionnement, etc.
Résolution des problèmes de l'affichage du texte dans View Administrator
Si votre navigateur Web s'exécute sur un système d'exploitation non Windows tel que Linux, UNIX ou Mac
OS, le texte dans View Administrator ne s'affiche pas correctement.
Problème
Le texte dans l'interface de View Administrator est corrompu. Par exemple, des espaces sont placés au
milieu des mots.
12 VMware, Inc.
Page 13
Chapitre 1 Utilisation de View Administrator
Cause
View Administrator requiert des polices spécifiques de Microsoft.
Solution
Installez des polices spécifiques de Microsoft sur votre ordinateur.
Actuellement, le site Web Microsoft ne distribue pas de polices Microsoft, mais vous pouvez les télécharger
sur des sites Web indépendants.
VMware, Inc. 13
Page 14
Administration de View
14 VMware, Inc.
Page 15
Configuration du serveur de
connexion View 2
Après avoir installé et effectué la configuration initiale du Serveur de connexion View, vous pouvez ajouter
des instances de vCenter Server et des services View Composer à votre déploiement View, configurer des
rôles pour déléguer des responsabilités d'administrateur et planifier des sauvegardes de vos données de
configuration.
Ce chapitre aborde les rubriques suivantes :
« Configuration de vCenter Server et View Composer », page 15
n
« Sauvegarde du Serveur de connexion View », page 28
n
« Configuration de paramètres pour des sessions client », page 28
n
« Désactiver ou activer le Serveur de connexion View », page 40
n
« Modifier les URL externes », page 41
n
« Participer ou se retirer du programme d'expérience utilisateur », page 42
n
« Répertoire View LDAP », page 42
n
Configuration de vCenter Server et View Composer
Pour utiliser des machines virtuelles en tant que postes de travail distants, vous devez configurer View pour
communiquer avec vCenter Server. Pour créer et gérer des pools de postes de travail de clone lié, vous
devez configurer des paramètres View Composer dans View Administrator.
Vous pouvez également configurer des paramètres de stockage pour View. Vous pouvez autoriser les hôtes
ESXi à récupérer de l'espace disque sur les machines virtuelles de clone lié. Pour permettre à des hôtes ESXi
de mettre en cache des données de machine virtuelle, vous devez activer View Storage Accelerator pour
vCenter Server.
Créer un compte d'utilisateur pour les opérations AD de View Composer
Si vous utilisez View Composer, vous devez créer un compte d'utilisateur dans Active Directory qui permet
à View Composer d'effectuer certaines opérations dans Active Directory. View Composer requiert que ce
compte joigne les machines virtuelles de clone lié à votre domaine Active Directory.
Pour garantir la sécurité, vous devez créer un compte d'utilisateur séparé à utiliser avec View Composer. En
créant un compte séparé, vous pouvez garantir qu'il n'a pas de privilèges supplémentaires définis pour une
autre raison. Vous pouvez donner au compte les privilèges minimum dont il a besoin pour créer et
supprimer des objets ordinateur dans un conteneur Active Directory spécifié. Par exemple, le compte View
Composer ne requiert pas de privilèges d'administrateur de domaine.
VMware, Inc.
15
Page 16
Administration de View
Procédure
1 Dans Active Directory, créez un compte d'utilisateur dans le même domaine que votre hôte de Serveur
de connexion View ou dans un domaine approuvé.
2 Ajoutez les autorisations Créer des objets ordinateur, Supprimer des objets ordinateur et Écrire toutes
les propriétés au compte dans le conteneur Active Directory dans lequel les comptes d'ordinateur de
clone lié sont créés ou vers lequel les comptes d'ordinateur de clone lié sont déplacés.
La liste suivante montre toutes les autorisations requises pour le compte d'utilisateur, y compris les
autorisations affectées par défaut :
n
n
n
n
n
n
n
REMARQUE Le nombre d'autorisations requises est moins important si vous sélectionnez le paramètre
Autoriser la réutilisation de comptes d'ordinateurs préexistants pour un pool de postes de travail.
Assurez-vous que les autorisations suivantes sont attribuées au compte d'utilisateur :
Lister le contenu
Lire toutes les propriétés
Écrire toutes les propriétés
Autorisations de lecture
Réinitialiser le mot de passe
Créer des objets ordinateur
Supprimer des objets ordinateur
Lister le contenu
n
Lire toutes les propriétés
n
Autorisations de lecture
n
Réinitialiser le mot de passe
n
3 Assurez-vous que les autorisations du compte d'utilisateur s'appliquent au conteneur Active Directory
et à tous les objets enfants du conteneur.
Suivant
Spécifiez le compte dans View Administrator lorsque vous configurez des domaines View Composer dans
l'assistant d'ajout d'une instance de vCenter Server et lorsque vous configurez et déployez des pools de
postes de travail de clones liés.
Ajouter des instances de vCenter Server à View
Vous devez configurer View afin qu'il se connecte aux instances de vCenter Server dans votre déploiement
de View. vCenter Server crée et gère les machines virtuelles que View utilise dans les pools de postes de
travail.
Si vous exécutez des instances de vCenter Server dans un groupe Linked Mode, vous devez ajouter
séparément chaque instance de vCenter Server à View.
View se connecte à l'instance de vCenter Server via un canal sécurisé (SSL).
Prérequis
Installez la clé de licence produit de Serveur de connexion View.
n
16 VMware, Inc.
Page 17
Chapitre 2 Configuration du serveur de connexion View
Configurez un utilisateur de vCenter Server autorisé à effectuer dans vCenter Server les opérations
n
nécessaires à la prise en charge de View. Pour utiliser View Composer, vous devez accorder à
l'utilisateur des privilèges supplémentaires.
Pour plus d'informations sur la configuration d'un utilisateur de vCenter Server pour View, reportezvous au document Installation de View.
Vérifiez qu'un certificat de serveur TLS/SSL est installé sur l'hôte de vCenter Server. Dans un
n
environnement de production, installez un certificat valide signé par une autorité de certification
approuvée.
Dans un environnement de test, vous pouvez utiliser le certificat par défaut qui est installé avec vCenter
Server, mais vous devez accepter l'empreinte de certificat lorsque vous ajoutez vCenter Server à View.
Vérifiez que toutes les instances de Serveur de connexion View dans le groupe répliqué approuvent le
n
certificat de l'autorité de certification racine pour le certificat de serveur qui est installé sur l'hôte de
vCenter Server. Vérifiez si le certificat de l'autorité de certification racine se trouve dans le dossier
Autorités de certification racines de confiance > Certificats dans les magasins de certificats de
l'ordinateur local Windows sur les hôtes du Serveur de connexion View. Si ce n'est pas le cas, importez
le certificat de l'autorité de certification racine dans les magasins de certificats de l'ordinateur local
Windows.
Reportez-vous à la section « Importer un certificat racine et des certificats intermédiaires dans un
magasin de certificats Windows » dans le document ViewInstallation de .
Vérifiez que l'instance de vCenter Server contient des hôtes ESXi. Si aucun hôte n'est configuré dans
n
l'instance de vCenter Server, vous ne pouvez pas ajouter l'instance à View.
Si vous effectuez une mise à niveau vers vSphere 5.5 ou version ultérieure, vérifiez que des
n
autorisations ont été explicitement attribuées au compte d'administrateur du domaine que vous utilisez
en tant qu'utilisateur de vCenter Server pour permettre à un utilisateur local de vCenter Server de se
connecter à celui-ci.
Si vous prévoyez d'utiliser View en mode FIPS, vérifiez que vous disposez de vCenter Server 6.0 ou
n
supérieur et d'hôtes ESXi 6.0 ou supérieurs.
Pour plus d'informations, reportez-vous à « Installer View en mode FIPS » dans le document Installation
de View.
Familiarisez-vous avec les paramètres qui déterminent les limites d'opérations maximales pour vCenter
n
Server et View Composer. Reportez-vous aux sections « Limites d'opérations simultanées pour vCenter
Server et View Composer », page 23 et « Définition d'un taux d'opérations d'alimentation simultanées
pour prendre en charge les tempêtes d'ouverture de session des postes de travail distants », page 24.
Procédure
1 Dans View Administrator, sélectionnez Configuration de View > Serveurs.
2 Sous l'onglet Serveurs vCenter Server, cliquez sur Ajouter.
3 Dans la zone de texte Adresse du serveur des paramètres de vCenter Server, entrez le nom de domaine
complet de l'instance de vCenter Server.
Le FQDN inclut le nom d'hôte et le nom de domaine. Par exemple, dans le nom de domaine complet
myserverhost.companydomain.com, myserverhost correspond au nom d'hôte et companydomain.com au
domaine.
REMARQUE Si vous entrez un serveur à l'aide d'un nom DNS ou d'une URL, View n'effectue pas de
recherche DNS pour vérifier si un administrateur a précédemment ajouté ce serveur à View à l'aide de
son adresse IP. Un conflit se produit si vous ajoutez un serveur vCenter Server avec son nom DNS et
son adresse IP.
VMware, Inc. 17
Page 18
Administration de View
4 Saisissez le nom de l'utilisateur de vCenter Server.
Par exemple : domain\user ou user@domain.com
5 Saisissez le mot de passe de l'utilisateur de vCenter Server.
6 (Facultatif) Saisissez une description de cette instance de vCenter Server.
7 Saisissez le numéro du port TCP.
Le port par défaut est 443.
8 Sous Paramètres avancés, définissez les limites d'opérations simultanées pour les opérations de vCenter
Server et View Composer.
9 Cliquez sur Suivant pour afficher la page Paramètres de View Composer.
Suivant
Configurez les paramètres de View Composer.
Si l'instance de vCenter Server est configurée avec un certificat SSL signé et si Serveur de connexion
n
View approuve le certificat racine, l'assistant Ajouter un serveur vCenter Server affiche la page
Paramètres de View Composer.
Si l'instance de vCenter Server est configurée avec un certificat par défaut, vous devez d'abord
n
déterminer si vous acceptez l'empreinte numérique du certificat existant. Reportez-vous à la section
« Accepter l'empreinte numérique d'un certificat SSL par défaut », page 25.
Si View utilise plusieurs instances de vCenter Server, répétez cette procédure pour ajouter les autres
instances de vCenter Server.
Configurer les paramètres de View Composer
Pour utiliser View Composer, vous devez configurer des paramètres qui permettent à View de se connecter
au service VMware Horizon View Composer. View Composer peut être installé sur son propre hôte séparé
ou sur le même hôte que vCenter Server.
Un mappage un-à-un doit être établi entre chaque service VMware Horizon View Composer et chaque
instance de vCenter Server. Un service View Composer peut fonctionner avec une seule instance de vCenter
Server. Une instance de vCenter Server ne peut être associée qu'à un seul service VMware Horizon View
Composer.
Après le déploiement initial de View, vous pouvez migrer le service VMware Horizon View Composer vers
un nouvel hôte pour prendre en charge un déploiement de View qui grandit ou qui évolue. Vous pouvez
modifier les paramètres initiaux de View Composer dans View Administrator, mais vous devez effectuer
des étapes supplémentaires pour vous assurer que la migration réussit. Reportez-vous à la section « Migrer
View Composer vers une autre machine », page 113.
Prérequis
Vérifiez que vous avez créé un utilisateur dans Active Directory avec l'autorisation d'ajouter et de
n
supprimer des machines virtuelles du domaine Active Directory contenant vos clones liés. Reportezvous à la section « Créer un compte d'utilisateur pour les opérations AD de View Composer », page 15.
Vérifiez que vous avez configuré View pour se connecter à vCenter Server. Pour cela, vous devez
n
compléter la page Informations sur vCenter Server de l'assistant Ajouter un serveur vCenter Server.
Reportez-vous à la section « Ajouter des instances de vCenter Server à View », page 16.
Vérifiez que ce service VMware Horizon View Composer n'est pas déjà configuré pour se connecter à
n
une autre instance de vCenter Server.
18 VMware, Inc.
Page 19
Chapitre 2 Configuration du serveur de connexion View
Procédure
1 Dans View Administrator, complétez la page Informations sur vCenter Server de l'assistant Ajouter un
serveur vCenter Server.
a Sélectionnez Configuration de View > Serveurs.
b Dans l'onglet vCenter Server, cliquez sur Ajouter et fournissez les paramètres de vCenter Server.
2 Sur la page Paramètres de View Composer, si vous n'utilisez pas View Composer, sélectionnez Ne pas
utiliser View Composer.
Si vous sélectionnez Ne pas utiliser View Composer, les autres paramètres de View Composer
deviennent inactifs. Lorsque vous cliquez sur Suivant, l'assistant Ajouter un serveur vCenter Server
affiche la page Paramètres de stockage. La page Domaines View Composer ne s'affiche pas.
3 Si vous utilisez View Composer, sélectionnez l'emplacement de l'hôte de View Composer.
Option Description
View Composer est installé sur le
même hôte que vCenter Server.
View Composer est installé sur son
propre hôte séparé.
a Sélectionnez View Composer est co-installé avec vCenter Server.
b Vérifiez que le numéro de port est le même que celui du port que vous
avez spécifié lors de l'installation du service VMware Horizon View
Composer sur vCenter Server. Le numéro de port par défaut est 18443.
a Sélectionnez Serveur View Composer Server autonome.
b Dans la zone de texte de l'adresse du serveur View Composer Server,
saisissez le nom de domaine complet (FQDN) de l'hôte de View
Composer.
c Saisissez le nom de l'utilisateur de View Composer.
Par exemple : domain.com\user ou user@domain.com
d Saisissez le mot de passe de l'utilisateur de View Composer.
e Vérifiez que le numéro de port est le même que celui du port que vous
avez spécifié lors de l'installation du service VMware Horizon View
Composer. Le numéro de port par défaut est 18443.
4 Cliquez sur Suivant pour afficher la page Domaines View Composer.
Suivant
Configurez les domaines de View Composer.
Si l'instance de View Composer est configurée avec un certificat SSL signé et si Serveur de connexion
n
View approuve le certificat racine, l'assistant Ajouter un serveur vCenter Server affiche la page
Domaines View Composer.
Si l'instance de View Composer est configurée avec un certificat par défaut, vous devez d'abord
n
déterminer si vous acceptez l'empreinte numérique du certificat existant. Reportez-vous à la section
« Accepter l'empreinte numérique d'un certificat SSL par défaut », page 25.
VMware, Inc. 19
Page 20
Administration de View
Configurer les domaines de View Composer
Vous devez configurer un domaine Active Directory dans lequel View Composer déploie des postes de
travail de clone lié. Vous pouvez configurer plusieurs domaines pour View Composer. Après avoir ajouté
des paramètres de vCenter Server et View Composer à View, vous pouvez ajouter plus de domaines View
Composer en modifiant l'instance de vCenter Server dans View Administrator.
Prérequis
Votre administrateur Active Directory doit créer un utilisateur View Composer pour les opérations AD.
n
Cet utilisateur de domaine doit avoir l'autorisation d'ajouter et de supprimer des machines virtuelles
dans le domaine Active Directory qui contient vos clones liés. Pour plus d'informations sur les
autorisations requises pour cet utilisateur, reportez-vous à « Créer un compte d'utilisateur pour les
opérations AD de View Composer », page 15.
Dans View Administrator, vérifiez que vous avez rempli les pages vCenter Server Information
n
(Informations sur vCenter Server) et View Composer Settings (Paramètres de View Composer) dans
l'assistant Add vCenter Server (Ajouter un serveur vCenter Server).
Procédure
1 Dans la page Domaines View Composer, cliquez sur Ajouter pour ajouter l'utilisateur de View
Composer aux informations du compte des opérations AD.
2 Saisissez le nom de domaine du domaine Active Directory.
Par exemple : domain.com
3 Tapez le nom d'utilisateur de domaine, notamment le nom de domaine, de l'utilisateur de View
Composer.
Par exemple : domain.com\admin
4 Saisissez le mot de passe du compte.
5 Cliquez sur OK.
6 Pour ajouter des comptes d'utilisateur de domaine avec des privilèges dans d'autres domaines Active
Directory dans lesquels vous déployez des pools de clone lié, répétez les étapes précédentes.
7 Cliquez sur Suivant pour afficher la page Paramètres de stockage.
Suivant
Activez la récupération d'espace disque de machine virtuelle et configurez View Storage Accelerator pour
View.
Autoriser vSphere à récupérer de l'espace disque dans des machines virtuelles de clone lié
Dans vSphere 5.1 et supérieur, vous pouvez activer la fonction de récupération d'espace disque pour View.
À partir de vSphere 5.1, View crée des machines virtuelles de clone lié dans un format de disque efficace qui
permet à des hôtes ESXi de récupérer l'espace disque inutilisé dans les clones liés, ce qui réduit l'espace de
stockage total requis pour les clones liés.
Comme les utilisateurs interagissent avec des postes de travail de clone lié, les disques du système
d'exploitation des clones croissent et peuvent finir par utiliser presque autant d'espace disque que les postes
de travail de clone complet. La récupération d'espace disque réduit la taille des disques du système
d'exploitation sans que vous ayez à actualiser ou recomposer les clones liés. De l'espace peut être récupéré
lorsque les machines virtuelles sont mises sous tension et que les utilisateurs interagissent avec leurs postes
de travail distants.
20 VMware, Inc.
Page 21
Chapitre 2 Configuration du serveur de connexion View
La récupération d'espace disque est particulièrement utile pour les déploiements qui ne peuvent pas
bénéficier de stratégies d'économie de stockage, telles que l'actualisation à la fermeture de session. Par
exemple, les professionnels de l'information qui installent des applications utilisateur sur des postes de
travail distants dédiés peuvent perdre leurs applications personnelles si les postes de travail distants ont été
actualisés ou recomposés. Avec la récupération d'espace disque, View peut conserver les clones liés proches
de la taille réduite avec laquelle ils démarrent lors de leur premier provisionnement.
La fonctionnalité comporte deux composants : format de disque à optimisation d'espace et opérations de
récupération d'espace.
Dans un environnement vSphere 5.1 ou version ultérieure, lorsqu'une machine virtuelle parente est la
version matérielle virtuelle 9 ou version ultérieure, View crée des clones liés avec des disques du système
d'exploitation à optimisation d'espace, que les opérations de récupération d'espace soient activées ou non.
Pour activer les opérations de récupération d'espace, vous devez utiliser View Administrator afin d'activer
la récupération d'espace pour vCenter Server et récupérer l'espace de disque de machine virtuelle pour des
pools de postes de travail individuels. Le paramètre de récupération d'espace de vCenter Server vous
permet de désactiver cette fonction sur tous les pools de postes de travail qui sont gérés par l'instance de
vCenter Server. La désactivation de la fonction pour vCenter Server remplace le paramètre au niveau du
pool de postes de travail.
Les recommandations suivantes s'appliquent à la fonction de récupération d'espace :
Elle fonctionne uniquement sur les disques du système d'exploitation à optimisation d'espace dans des
n
clones liés.
Il n'affecte pas les disques persistants de View Composer.
n
Elle fonctionne uniquement avec vSphere 5.1 ou version ultérieure, et uniquement sur des machines
n
disposant de la version matérielle virtuelle 9 ou version ultérieure.
Elle ne fonctionne pas sur les postes de travail de clone complet.
n
Elle fonctionne sur les machines virtuelles avec des contrôleurs SCSI. Les contrôleurs IDE ne sont pas
n
pris en charge.
La technologie de snapshot NFS natif (VAAI) n'est pas prise en charge dans les pools contenant des
machines virtuelles avec des disques à optimisation d'espace. VAAI n'est pas pris en charge sur les clones
liés disposant de la version matérielle virtuelle 9 ou version ultérieure, car ces disques du système
d'exploitation sont toujours à optimisation d'espace, même lorsque vous désactivez l'opération de
récupération d'espace.
Prérequis
Vérifiez que vos hôtes de vCenter Server et ESXi, notamment tous les hôtes ESXi d'un cluster, sont à la
n
version 5.1 avec le correctif de téléchargement ESXi 5.1 ESXi510-201212001 ou version ultérieure.
Procédure
1 Dans View Administrator, complétez les pages de l'assistant Ajouter un serveur vCenter Server qui
précèdent la page Paramètres de stockage.
a Sélectionnez Configuration de View > Serveurs.
b Sous l'onglet Serveurs vCenter Server, cliquez sur Ajouter.
c Complétez les pages Informations sur vCenter Server, Paramètres de View Composer et Domaines
View Composer.
2 Sur la page Paramètres de stockage, vérifiez que Activer la récupération d'espace est sélectionné.
La récupération d'espace est sélectionnée par défaut si vous effectuez une nouvelle installation de
View 5.2 ou version ultérieure. Vous devez sélectionner Activer la récupération d'espace si vous
effectuez une mise à niveau vers View 5.2 ou version ultérieure depuis View 5.1 ou version antérieure.
VMware, Inc. 21
Page 22
Administration de View
Suivant
Sur la page Paramètres de stockage, configurez View Storage Accelerator.
Pour terminer la configuration de la récupération d'espace disque dans View, configurez la récupération
d'espace pour les pools de postes de travail.
Configurer View Storage Accelerator pour vCenter Server
Dans vSphere 5.0 et supérieur, vous pouvez configurer des hôtes ESXi pour mettre en cache des données de
disque de machine virtuelle. Cette fonction, appelée View Storage Accelerator, utilise la fonction CBRC
(Content Based Read Cache) dans les hôtes ESXi. View Storage Accelerator améliore les performances de
View lors des tempêtes d'E/S, qui peuvent se produire lorsque de nombreuses machines virtuelles
démarrent ou exécutent des analyses antivirus simultanément. La fonction est également utile lorsque des
administrateurs ou des utilisateurs chargent des applications ou des données fréquemment. Au lieu de lire
tout le système d'exploitation ou l'application depuis le système de stockage encore et encore, un hôte peut
lire des blocs de données communes depuis le cache.
En réduisant le nombre d'IOPS au cours des tempêtes de démarrage, View Storage Accelerator diminue la
demande sur la baie de stockage. Vous pouvez ainsi utiliser moins de bande passante d'E/S de stockage
pour prendre en charge votre déploiement de View.
Vous activez la mise en cache sur vos hôtes ESXi en sélectionnant le paramètre View Storage Accelerator
dans l'assistant vCenter Server dans View Administrator, comme décrit dans cette procédure.
Vérifiez que View Storage Accelerator est également configuré pour des pools de postes de travail
individuels. Pour fonctionner sur un pool de postes de travail, View Storage Accelerator doit être activé
pour vCenter Server et pour le pool de postes de travail individuel.
View Storage Accelerator est activé pour un pool de postes de travail par défaut. Vous pouvez activer ou
désactiver cette fonctionnalité lors de la création ou de la modification d'un pool. La meilleure approche
consiste à activer cette fonctionnalité lorsque vous créez un pool de postes de travail pour la première fois.
Si vous activez cette fonctionnalité en modifiant un pool existant, vous devez vous assurer qu'un nouveau
réplica et ses disques digest soient créés avant que des clones liés soient provisionnés. Vous pouvez créer un
nouveau réplica en recomposant le pool sur un nouveau snapshot ou en rééquilibrant le pool sur une
nouvelle banque de données. Les fichiers digest peuvent être configurés uniquement pour des machines
virtuelles dans un pool de postes de travail où elles sont désactivées.
Vous pouvez activer View Storage Accelerator sur des pools de postes de travail contenant des clones liés et
sur des pools contenant des machines virtuelles complètes.
View Storage Accelerator est maintenant conçu pour fonctionner dans des configurations qui utilisent la
hiérarchisation de réplica View, dans lesquelles des réplicas sont stockés dans une banque de données
distincte des clones liés. Bien que les avantages de performance liés à l'utilisation de View Storage
Accelerator avec la hiérarchisation de réplica View ne soient pas matériellement importants, certains
avantages liés à la capacité peuvent être obtenus en stockant les réplicas sur une banque de données
distincte. Par conséquent, cette combinaison est testée et prise en charge.
IMPORTANT Si vous prévoyez d'utiliser cette fonctionnalité et que vous utilisez plusieurs espaces View qui
partagent des hôtes ESXi, vous devez activer la fonction View Storage Accelerator pour tous les pools qui se
trouvent sur les hôtes ESXi partagés. Si les paramètres ne sont pas les mêmes sur tous les espaces, cela peut
entraîner l'instabilité des machines virtuelles des hôtes ESXi partagés.
Prérequis
Vérifiez que vos hôtes vCenter Server et ESXi sont les versions 5.0 ou supérieures.
n
Dans un cluster ESXi, vérifiez que la version de tous les hôtes est la version 5.0 ou supérieure.
22 VMware, Inc.
Page 23
Chapitre 2 Configuration du serveur de connexion View
Vérifiez que l'utilisateur de vCenter Server a reçu le privilège Hôte > Configuration > Paramètres
n
avancés dans vCenter Server.
Reportez-vous aux rubriques du document View Installation qui décrivent les privilèges de View et de
View Composer requis pour l'utilisateur de vCenter Server.
Procédure
1 Dans View Administrator, complétez les pages de l'assistant Ajouter un serveur vCenter Server qui
précèdent la page Paramètres de stockage.
a Sélectionnez Configuration de View > Serveurs.
b Sous l'onglet Serveurs vCenter Server, cliquez sur Ajouter.
c Complétez les pages Informations sur vCenter Server, Paramètres de View Composer et Domaines
View Composer.
2 Sur la page Paramètres de stockage, vérifiez que la case Activer View Storage Accelerator est cochée.
Cette case est cochée par défaut.
3 Spécifiez une taille par défaut pour le cache de l'hôte.
La taille de cache par défaut s'applique à tous les hôtes ESXi gérés par cette instance de vCenter Server.
La valeur par défaut est 1 024 Mo. La taille de cache doit être comprise entre 100 Mo et 2 048 Mo.
4 Pour spécifier une taille de cache différente pour un hôte ESXi en particulier, sélectionnez un hôte ESXi
et cliquez sur Modifier la taille de cache.
a Dans la boîte de dialogue Cache de l'hôte, cochez la case Remplacer la taille du cache de l'hôte par
défaut.
b Saisissez une valeur Taille de cache de l'hôte comprise entre 100 Mo et 2 048 Mo et cliquez sur OK.
5 Sur la page Paramètres de stockage, cliquez sur Suivant.
6 Cliquez sur Terminer pour ajouter vCenter Server, View Composer et Paramètres de stockage à View.
Suivant
Configurez des paramètres pour les sessions et les connexions client. Reportez-vous à la section
« Configuration de paramètres pour des sessions client », page 28.
Pour régler les paramètres de View Storage Accelerator dans View, configurez View Storage Accelerator
pour des pools de postes de travail. Consultez la section « Configurer View Storage Accelerator pour des
pools de postes de travail » du document Configuration de pools de postes de travail et d'applications dans View.
Limites d'opérations simultanées pour vCenter Server et View Composer
Lorsque vous ajoutez vCenter Server à View ou que vous modifiez les paramètres de vCenter Server, vous
pouvez configurer plusieurs options définissant le nombre maximal d'opérations simultanées exécutées par
vCenter Server et View Composer.
Vous configurez ces options dans le volet Paramètres avancés de la page d'informations sur vCenter Server.
VMware, Inc. 23
Page 24
Administration de View
Tableau 2‑1. Limites d'opérations simultanées pour vCenter Server et View Composer
Paramètre Description
Nombre maximal d'opérations
d'approvisionnement de
vCenter simultanées
Opérations d'alimentation
simultanées max.
Nombre maximal d'opérations
de maintenance View
Composer simultanées
Nombre maximal d'opérations
d'approvisionnement de View
Composer simultanées
Détermine le nombre maximal de demandes simultanées que Serveur de connexion
View peut créer pour approvisionner et supprimer des machines virtuelles complètes
dans cette instance de vCenter Server.
La valeur par défaut est 20.
Ce paramètre s'applique uniquement à des machines virtuelles complètes.
Détermine le nombre maximal d'opérations d'alimentation (démarrage, arrêt,
interruption, etc.) pouvant se dérouler simultanément sur des machines virtuelles
gérées par Serveur de connexion View dans cette instance de vCenter Server.
La valeur par défaut est 50.
Pour obtenir des recommandations sur le calcul d'une valeur pour ce paramètre,
consultez « Définition d'un taux d'opérations d'alimentation simultanées pour
prendre en charge les tempêtes d'ouverture de session des postes de travail distants »,
page 24.
Ce paramètre s'applique à des machines virtuelles complètes et à des clones liés.
Détermine le nombre maximal d'opérations d'actualisation, de recomposition et de
rééquilibrage View Composer pouvant se dérouler simultanément sur des clones liés
gérés par cette instance de View Composer.
La valeur par défaut est 12.
Les sessions actives des postes de travail distants doivent être fermées avant que
l'opération de maintenance puisse commencer. Si vous forcez les utilisateurs à fermer
leur session dès que l'opération de maintenance commence, le nombre maximal
d'opérations simultanées sur les postes de travail distants nécessitant une fermeture
de session correspond à la moitié de la valeur configurée. Par exemple, si vous
définissez ce paramètre sur 24 et forcez les utilisateurs à fermer leur session, le
nombre maximal d'opérations simultanées sur les postes de travail distants
nécessitant une fermeture de session est de 12.
Ce paramètre ne s'applique qu'aux clones liés.
Détermine le nombre maximal d'opérations de création et de suppression pouvant se
dérouler simultanément sur des clones liés gérés par cette instance de View
Composer.
La valeur par défaut est 8.
Ce paramètre ne s'applique qu'aux clones liés.
Définition d'un taux d'opérations d'alimentation simultanées pour prendre en charge les tempêtes d'ouverture de session des postes de travail distants
Le paramètre Opérations d'alimentation simultanées max régit le nombre maximal d'opérations
d'alimentation simultanées qui peuvent se produire sur des machines virtuelles de poste de travail distant
dans une instance de vCenter Server. Cette limite est fixée à 50 par défaut. Vous pouvez modifier cette
valeur pour prendre en charge les taux maximaux d'activation lorsque de nombreux utilisateurs se
connectent à leurs postes de travail en même temps.
Il est recommandé de réaliser une phase pilote afin de déterminer la valeur correcte de ce paramètre. Pour
voir des recommandations sur la planification, reportez-vous à la section « Recommandations sur la
planification et les éléments de conception d'architecture » dans le document Planification de l'architecture de
View.
Le nombre requis d'opérations d'alimentation simultanées se base sur le taux maximal auquel les postes de
travail sont activés et sur la durée nécessaire au poste de travail pour s'activer, démarrer et devenir
disponible pour la connexion. En général, la limite d'opérations d'alimentation recommandée est la durée
totale nécessaire au poste de travail pour démarrer multipliée par le taux d'activation maximal.
Par exemple, un poste de travail moyen prend entre deux et trois minutes pour démarrer. Par conséquent, la
limite d'opérations d'alimentation simultanées doit être 3 fois le taux d'activation maximal. Le paramètre par
défaut de 50 devrait prendre en charge un taux d'activation maximal de 16 postes de travail par minute.
24 VMware, Inc.
Page 25
Chapitre 2 Configuration du serveur de connexion View
Le système attend cinq minutes au maximum qu'un poste de travail démarre. Si la durée de démarrage est
plus longue, d'autres erreurs peuvent se produire. Pour être classique, vous pouvez définir une limite
d'opérations d'alimentation simultanées de 5 fois le taux d'activation maximal. Avec une approche
classique, le paramètre par défaut de 50 prend en charge un taux d'activation maximal de 10 postes de
travail par minute.
Les ouvertures de session, et donc les opérations d'activation de poste de travail, se produisent en général
d'une façon normalement distribuée sur une certaine fenêtre de temps. Vous pouvez estimer le taux
d'activation maximal en supposant qu'il se produise au milieu de la fenêtre de temps, quand environ 40 %
des opérations d'activation se produisent dans 1/6ème de la fenêtre de temps. Par exemple, si des
utilisateurs ouvrent une session entre 8h00 et 9h00, la fenêtre de temps est d'une heure et 40 % des
ouvertures de session se produisent dans les 10 minutes entre 8h25 et 8h35. S'il y a 2 000 utilisateurs, dont
20 % ont leurs postes de travail désactivés, alors 40 % des 400 opérations d'activation de poste de travail se
produisent dans ces 10 minutes. Le taux d'activation maximal est de 16 postes de travail par minute.
Accepter l'empreinte numérique d'un certificat SSL par défaut
Lorsque vous ajoutez des instances de vCenter Server et de View Composer à View, vous devez vérifier que
les certificats SSL utilisés pour les instances de vCenter Server et de View Composer sont valides et
approuvés par le Serveur de connexion View. Si les certificats par défaut installés avec vCenter Server et
View Composer sont toujours en place, vous devez déterminer s'il convient ou non d'accepter les
empreintes de ces certificats.
Si une instance de vCenter Server ou de View Composer est configurée avec un certificat signé par une
autorité de certification, et si le certificat racine est approuvé par le Serveur de connexion View, vous n'avez
pas à accepter l'empreinte du certificat. Aucune action n'est requise.
Si vous remplacez un certificat par défaut par un certificat signé par une autorité de certification, mais que
Serveur de connexion View n'approuve pas le certificat racine, vous devez déterminer si vous acceptez
l'empreinte numérique de certificat. Une empreinte numérique est un hachage cryptographique d'un
certificat. L'empreinte numérique est utilisée pour déterminer rapidement si un certificat présenté est le
même qu'un autre certificat, tel que le certificat qui a été accepté précédemment.
REMARQUE Si vous installez vCenter Server et View Composer sur le même hôte Windows Server, ils
peuvent utiliser le même certificat SSL, mais vous devez configurer le certificat séparément pour chaque
composant.
Pour plus d'informations sur la configuration des certificats SSL, consultez la section « Configuration de
certificats SSL pour des serveurs View Server » dans le document Installation de View.
Vous ajoutez d'abord vCenter Server et View Composer dans View Administrator à l'aide de l'assistant
Ajouter vCenter Server. Si un certificat n'est pas approuvé et si vous n'acceptez pas son empreinte, vous ne
pouvez pas ajouter vCenter Server et View Composer.
Une fois ces serveurs ajoutés, vous pouvez les reconfigurer dans la boîte de dialogue Modifier
vCenter Server.
REMARQUE Vous devez également accepter une empreinte de certificat lorsque vous mettez à niveau une
version antérieure et lorsqu'un certificat de vCenter Server ou de View Composer n'est pas approuvé, ou si
vous remplacez un certificat approuvé par un certificat non approuvé.
Sur le tableau de bord de View Administrator, l'icône de vCenter Server ou de View Composer devient
rouge et la boîte de dialogue Certificat non valide détecté s'affiche. Vous devez cliquer sur Vérifier et suivre
la procédure indiquée ici.
VMware, Inc. 25
Page 26
Administration de View
De la même façon, dans View Administrator, vous pouvez configurer un authentificateur SAML qu'utilisera
une instance du Serveur de connexion View. Si le certificat de serveur SAML n'est pas approuvé par le
Serveur de connexion View, vous devez déterminer s'il convient ou non d'accepter l'empreinte de certificat.
Si vous n'acceptez pas l'empreinte, vous ne pouvez pas configurer l'authentificateur SAML dans View. Une
fois l'authentificateur SAML configuré, vous pouvez le reconfigurer dans la boîte de dialogue Modifier le
Serveur de connexion View.
Procédure
1 Lorsque View Administrator affiche la boîte de dialogue Certificat non valide détecté, cliquez sur
Afficher le certificat.
2 Examinez l'empreinte numérique de certificat dans la fenêtre Informations sur le certificat.
3 Vérifiez l'empreinte de certificat qui a été configurée pour l'instance de vCenter Server ou de View
Composer.
a Sur l'hôte de vCenter Server ou de View Composer, démarrez le composant logiciel enfichable
b Accédez au certificat de vCenter Server ou de View Composer.
c Cliquez sur l'onglet Détails du certificat pour afficher l'empreinte numérique de certificat.
De la même façon, vérifiez l'empreinte de certificat d'un authentificateur SAML. Le cas échéant,
exécutez les étapes précédentes sur l'hôte de l'authentificateur SAML.
MMC et ouvrez le magasin de certificats Windows.
4 Vérifiez que l'empreinte dans la fenêtre Informations sur le certificat correspond à l'empreinte de
l'instance de vCenter Server ou de View Composer.
De la même façon, vérifiez que les empreintes correspondent pour un authentificateur SAML.
5 Déterminez si vous acceptez l'empreinte numérique de certificat.
Option Description
Les empreintes numériques
correspondent.
Les empreintes numériques ne
correspondent pas.
Cliquez sur Accepter pour utiliser le certificat par défaut.
Cliquez sur Refuser.
Corrigez les certificats incompatibles. Par exemple, vous avez peut-être
fourni une adresse IP incorrecte pour vCenter Server ou View Composer.
Supprimer de View une instance de vCenter Server
Vous pouvez supprimer la connexion entre View et une instance de vCenter Server. Lorsque vous le faites,
View ne gère plus les machines virtuelles créées dans cette instance de vCenter Server.
Prérequis
Supprimez toutes les machines virtuelles associées à l'instance de vCenter Server. Reportez-vous à la section
« Supprimer un pool de postes de travail », page 160.
Procédure
1 Cliquez sur Configuration de View > Serveurs.
2 Dans l'onglet vCenter Servers, sélectionnez l'instance de vCenter Server.
3 Cliquez sur Supprimer.
Une boîte de dialogue vous avertit que View n'a plus accès aux machines virtuelles gérées par cette
instance de vCenter Server.
4 Cliquez sur OK.
26 VMware, Inc.
Page 27
Chapitre 2 Configuration du serveur de connexion View
View ne peut plus accéder aux machines virtuelles créées dans l'instance de vCenter Server.
Supprimer View Composer de View
Vous pouvez supprimer la connexion entre View et le service VMware Horizon View Composer qui est
associé à une instance de vCenter Server.
Avant de désactiver la connexion à View Composer, vous devez supprimer de View toutes les machines
virtuelles de clone lié créées par View Composer. View vous empêche de supprimer View Composer si des
clones liés associés existent toujours. Une fois que la connexion à View Composer est désactivée, View ne
peut plus provisionner ni gérer de nouveaux clones liés.
Procédure
1 Supprimez les pools de postes de travail de clone lié qui ont été créés par View Composer.
a Dans View Administrator, sélectionnez Catalogue > Pools de postes de travail.
b Sélectionnez un pool de postes de travail de clone lié et cliquez sur Supprimer.
Une boîte de dialogue vous avertit que vous allez supprimer de façon permanente de View le pool
de postes de travail de clone lié. Si les machines virtuelles de clone lié sont configurées avec des
disques persistants, vous pouvez détacher ou supprimer ces disques.
c Cliquez sur OK.
Les machines virtuelles sont supprimées de vCenter Server. De plus, les entrées de base de données
View Composer associées et les réplicas créés par View Composer sont supprimés.
d Répétez ces étapes pour chaque pool de postes de travail de clone lié créé par View Composer.
2 Sélectionnez Configuration de View > Serveurs.
3 Dans l'onglet vCenter Servers, sélectionnez l'instance de vCenter Server à laquelle View Composer est
associé.
4 Cliquez sur Modifier.
5 Sous Paramètres de View Composer Server, cliquez sur Modifier, sélectionnez Ne pas utiliser View
Composer, puis cliquez sur OK.
Vous ne pouvez plus créer de pools de postes de travail de clone lié dans cette instance de vCenter Server,
mais vous pouvez continuer à créer et à gérer des pools de postes de travail de machine virtuelle complets
dans l'instance de vCenter Server.
Suivant
Si vous avez l'intention d'installer View Composer sur un autre hôte et de reconfigurer View pour se
connecter au nouveau service VMware Horizon View Composer, vous devez effectuer des étapes
supplémentaires. Reportez-vous à la section « Migrer View Composer sans machines virtuelles de clone
lié », page 116.
Conflit d'ID uniques de vCenter Server
Si vous possédez plusieurs instances de vCenter Server configurées dans votre environnement, une
tentative d'ajout d'une nouvelle instance peut échouer à cause d'un conflit d'ID uniques.
Problème
Vous tentez d'ajouter une instance de vCenter Server à View, mais l'ID unique de la nouvelle instance de
vCenter Server est en conflit avec celle d'une instance existante.
VMware, Inc. 27
Page 28
Administration de View
Cause
Deux instances de vCenter Server ne peuvent pas utiliser le même ID unique. Par défaut, un ID unique de
vCenter Server est généré de manière aléatoire, mais vous pouvez le modifier.
Solution
1 Dans vSphere Client, cliquez sur Administration > Paramètres de vCenter Server > Paramètres
d'exécution.
2 Saisissez un nouvel ID unique et cliquez sur OK.
Pour plus d'informations sur la modification de valeurs d'ID uniques de vCenter Server, consultez la
documentation de vSphere.
Sauvegarde du Serveur de connexion View
Après avoir terminé la configuration initiale du Serveur de connexion View, vous devez planifier des
sauvegardes régulières de vos données de configuration de View et de View Composer.
Pour plus d'informations sur la sauvegarde et la restauration de votre configuration de View, reportez-vous
à « Sauvegarde et restauration de données de configuration de View », page 99.
Configuration de paramètres pour des sessions client
Vous pouvez configurer des paramètres généraux qui affectent les sessions et connexions client gérées par
une instance du Serveur de connexion View ou un groupe répliqué. Vous pouvez définir la durée du délai
d'expiration de la session, afficher des messages de pré-ouverture de session ou d'avertissement, et définir
les options de connexion client liées à la sécurité.
Configurer des options pour les sessions et connexions client
Vous configurez des paramètres généraux pour déterminer la façon dont les sessions et les connexions client
fonctionnent.
Les paramètres généraux ne sont pas spécifiques à une instance du Serveur de connexion View. Ils affectent
toutes les sessions client gérées par une instance du Serveur de connexion View autonome ou un groupe
d'instances répliquées.
Vous pouvez également configurer des instances du Serveur de connexion View pour qu'elles utilisent des
connexions directes hors tunnel entre des clients Horizon et des postes de travail distants. Pour plus
d'informations sur la configuration de connexions directes, reportez-vous à « Configurer le tunnel sécurisé
et PCoIP Secure Gateway », page 36.
Prérequis
Familiarisez-vous avec les paramètres généraux. Reportez-vous aux sections « Paramètres généraux pour
des sessions client », page 29 et « Paramètres généraux de sécurité des sessions et connexions client »,
page 32.
Procédure
1 Dans View Administrator, sélectionnez Configuration de View > Paramètres généraux.
2 Choisissez s'il convient de configurer des paramètres généraux ou des paramètres de sécurité.
Option Description
Paramètres généraux globaux
Paramètres de sécurité globaux
3 Configurez les paramètres généraux.
28 VMware, Inc.
Dans le volet Général, cliquez sur Modifier.
Dans le volet Sécurité, cliquez sur Modifier.
Page 29
Chapitre 2 Configuration du serveur de connexion View
4 Cliquez sur OK.
Suivant
Vous pouvez modifier le mot de passe de récupération de données qui a été fourni lors de l'installation.
Reportez-vous à la section « Modifier le mot de passe de récupération de données », page 29.
Modifier le mot de passe de récupération de données
Vous fournissez un mot de passe de récupération de données lorsque vous installez le Serveur de connexion
View version 5.1 ou version ultérieure. Après l'installation, vous pouvez modifier ce mot de passe dans
View Administrator. Le mot de passe est requis lorsque vous restaurez la configuration de View LDAP à
partir d'une sauvegarde.
Lorsque vous sauvegardez Serveur de connexion View, la configuration View LDAP est exportée sous
forme de données LDIF cryptées. Pour restaurer la configuration View de sauvegarde cryptée, vous devez
fournir le mot de passe de récupération de données.
Le mot de passe doit contenir entre 1 et 128 caractères. Suivez les meilleures pratiques de votre entreprise
concernant la génération de mots de passe sécurisés.
Procédure
1 Dans View Administrator, sélectionnez Configuration de View > Paramètres généraux.
2 Dans le volet Sécurité, cliquez sur Modifier le mot de passe de récupération de données.
3 Tapez et retapez le nouveau mot de passe.
4 (Facultatif) Tapez un rappel de mot de passe.
REMARQUE Vous pouvez également modifier le mot de passe de récupération de données lorsque vous
planifiez la sauvegarde de vos données de configuration View. Reportez-vous à la section « Planifier des
sauvegardes de configuration de View », page 100.
Suivant
Lorsque vous employez l'utilitaire vdmimport pour restaurer une configuration View de sauvegarde,
fournissez le nouveau mot de passe.
Paramètres généraux pour des sessions client
Les paramètres généraux déterminent les délais d'expiration de la session, les limites d'activation et du délai
d'expiration SSO, les mises à jour d'état dans View Administrator, si des messages de pré-ouverture de
session et d'avertissement sont affichés, et si View Administrator traite Windows Server comme un système
d'exploitation pris en charge pour les postes de travail distants.
Les modifications à tout paramètre du tableau ci-dessous prennent effet immédiatement. Vous n'avez pas à
redémarrer Serveur de connexion View ou Horizon Client.
VMware, Inc. 29
Page 30
Administration de View
Tableau 2‑2. Paramètres généraux pour des sessions client
Paramètre Description
Délai d'expiration de la session de
View Administrator
Forcer la déconnexion des
utilisateurs
Single sign-on (SSO) Si SSO est activé, View met en cache les informations d'identification de
Pour les clients prenant en charge
les applications.
Si l'utilisateur cesse d'utiliser le
clavier et la souris, déconnecter ses
applications et supprimer les
informations d'identification SSO :
Détermine la durée pendant laquelle une session View Administrator inactive
continue avant d'expirer.
IMPORTANT Définir le délai d'expiration de la session View Administrator sur un
nombre de minutes élevé augmente le risque d'utilisation non autorisée de View
Administrator. Soyez prudent lorsque vous autorisez une session inactive à durer
longtemps.
Par défaut, le délai d'expiration de la session View Administrator est de
30 minutes. Vous pouvez définir un délai d'expiration de session compris entre 1
et 4 320 minutes (72 heures).
Déconnecte tous les postes de travail et toutes les applications après que le
nombre de minutes spécifié s'est écoulé depuis que l'utilisateur s'est connecté à
View. Tous les postes de travail et toutes les applications seront déconnectés en
même temps, quel que soit le moment auquel l'utilisateur les a ouverts.
Pour les clients qui ne prennent pas en charge l'accès distant aux applications,
une valeur de délai d'expiration maximale de 1 200 minutes s'applique si la
valeur de ce paramètre est Jamais ou supérieure à 1 200 minutes.
La valeur par défaut est Après 600 minutes.
l'utilisateur afin que ce dernier puisse lancer des applications ou des postes de
travail distants sans avoir à ouvrir la session Windows distante. L'option par
défaut est Activé.
REMARQUE Si un poste de travail est lancé à partir d'Horizon Client, et si le poste
de travail est verrouillé, soit par l'utilisateur, soit par Windows conformément à
une stratégie de sécurité, et si le poste de travail exécute View Agent 6.0 ou
version ultérieure, Serveur de connexion View ignore les informations
d'identification SSO de l'utilisateur. L'utilisateur doit fournir des informations
d'identification de connexion pour lancer un nouveau poste de travail ou une
nouvelle application, ou se reconnecter à une application ou un poste de travail
déconnecté. Pour réactiver SSO, l'utilisateur doit se déconnecter du Serveur de
connexion View ou quitter Horizon Client, et se reconnecter au Serveur de
connexion View. Cependant, si le poste de travail est lancé à partir de
Workspace Portal et s'il est verrouillé, les informations d'identification SSO ne
sont pas supprimées.
Protège les sessions d'application en l'absence d'activité de clavier ou de souris
sur le périphérique client. Si ce paramètre est défini sur Après ... minutes, View,
View déconnecte toutes les applications et ignore les informations d'identification
SSO au terme du nombre spécifié de minutes sans activité de l'utilisateur. Les
sessions de poste de travail ne sont pas déconnectées. L'utilisateur doit ouvrir
une nouvelle session pour se reconnecter aux applications déconnectées ou lancer
un nouveau poste de travail ou une nouvelle application.
IMPORTANT Les utilisateurs doivent savoir que lorsque des applications et des
postes de travail sont ouverts, et que des applications sont déconnectées en raison
du dépassement de ce délai d'expiration, leur poste de travail reste ouvert. Les
utilisateurs ne doivent pas se fier à ce délai d'expiration pour protéger leur poste
de travail.
Si ce paramètre est défini sur Jamais, View ne déconnecte jamais les applications
et n'ignore jamais les informations d'identification SSO suite à l'inactivité de
l'utilisateur.
La valeur par défaut est Jamais.
30 VMware, Inc.
Page 31
Chapitre 2 Configuration du serveur de connexion View
Tableau 2‑2. Paramètres généraux pour des sessions client (suite)
Paramètre Description
Autres clients.
Supprimer les informations
d'identification SSO :
Activer les mises à jour d'état
automatiques
Afficher un message de préouverture de session
Afficher un avertissement avant la
fermeture de session forcée
Activer les postes de travail
Windows Server
Configuration du serveur Mirage Vous permet de spécifier l'URL d'un serveur Mirage au format
Supprimer les informations d'identification SSO après le nombre de minutes
spécifié. Ce paramètres concerne les clients qui ne prennent pas en charge l'accès
à distance aux applications. Si ce paramètre est défini sur Après ... minutes,
l'utilisateur doit ouvrir une nouvelle session pour se connecter à un poste de
travail une fois que le nombre spécifié de minutes s'est écoulé depuis qu'il s'est
connecté à View, quelle que soit son activité sur le périphérique client.
Si cette option est définie sur Jamais, View enregistre les informations
d'identification SSO jusqu'à ce que l'utilisateur ferme Horizon Client ou que le
délai d'expiration Forcer la déconnexion des utilisateurs soit atteint, selon la
première de ces éventualités.
La valeur par défaut est Après 15 minutes.
Détermine si les mises à jour s'affichent dans le volet d'état général dans le coin
supérieur gauche de View Administrator après quelques minutes. La page
Tableau de bord de View Administrator est également mise à jour après quelques
minutes.
Par défaut, ce paramètre n'est pas activé.
Affiche une clause d'exclusion de responsabilité ou un autre message aux
utilisateurs d'Horizon Client lorsqu'ils ouvrent une session.
Entrez vos informations ou instructions dans la zone de texte de la boîte de
dialogue Paramètres généraux.
Pour n'afficher aucun message, ne cochez pas la case.
Affiche un message d'avertissement quand des utilisateurs sont forcés à fermer
leur session car une mise à jour planifiée ou immédiate, telle qu'une opération
d'actualisation du poste de travail, est sur le point de démarrer. Ce paramètre
détermine également le délai restant avant la fermeture de session de l'utilisateur
après l'apparition de l'avertissement.
Cochez la case pour afficher un message d'avertissement.
Saisissez le nombre de minutes d'attente après l'affichage de l'avertissement et
avant la fermeture de session de l'utilisateur. La valeur par défaut est de
5 minutes.
Saisissez votre message d'avertissement. Vous pouvez utiliser le message par
défaut :
Votre poste de travail est planifié pour une mise à jour
importante et s'arrêtera dans 5 minutes. Enregistrez le travail
non sauvegardé maintenant.
Détermine si vous pouvez sélectionner des machines Windows Server 2008 R2 et
Windows Server 2012 R2 disponibles pour les utiliser comme postes de travail.
Lorsque ce paramètre est activé, View Administrator affiche toutes les machines
Windows Server disponibles, y compris celles sur lesquelles des composants de
serveur View sont installés.
REMARQUE Le logiciel View Agent ne peut pas coexister sur la même machine
virtuelle ou physique avec tout autre composant logiciel View Server, notamment
un serveur de sécurité, un Serveur de connexion View ou View Composer.
mirage://server-name:port ou mirages://server-name:port. Ici, server-
name correspond au nom du domaine complet. Si vous ne spécifiez pas de
numéro de port, le port par défaut 8000 est employé.
REMARQUE Vous pouvez remplacer ce paramètre général en spécifiant un serveur
Mirage dans les paramètres du pool de postes de travail.
La spécification du serveur Mirage dans View Administrator est une alternative à
la spécification du serveur Mirage lors de l'installation du client Mirage. Pour
déterminer quelles versions de Mirage prennent en charge la spécification de
serveur dans View Administrator, consultez la documentation de Mirage, à
l'adresse https://www.vmware.com/support/pubs/mirage_pubs.html.
VMware, Inc. 31
Page 32
Administration de View
Paramètres généraux de sécurité des sessions et connexions client
Les paramètres de sécurité généraux déterminent si les clients sont réauthentifiés après des interruptions, si
le mode de sécurité des messages est activé et si IPSec est employé pour les connexions du serveur de
sécurité.
SSL est requis pour toutes les connexions d'Horizon Client et de View Administrator à View. Si votre
déploiement de View utilise des équilibrages de charge ou d'autres serveurs intermédiaires clients, vous
pouvez décharger SSL sur eux, configurer des connexions non-SSL sur des instances du Serveur de
connexion View et des serveurs de sécurité individuels. Reportez-vous à la section « Décharger des
connexions SSL sur des serveurs intermédiaires », page 38.
Tableau 2‑3. Paramètres généraux de sécurité des sessions et connexions client
Paramètre Description
Authentifier à nouveau les
connexions par tunnel sécurisé
après une interruption de réseau
Mode de sécurité des messages Détermine le mécanisme de sécurité utilisé pour l'envoi de messages JMS entre
Détermine si les informations d'identification d'utilisateur doivent être
réauthentifiées après une interruption de réseau lorsque des clients Horizon
utilisent des connexions par tunnel sécurisé vers des postes de travail distants.
Lorsque vous sélectionnez ce paramètre, si une connexion par tunnel sécurisé est
interrompue, Horizon Client demande à l'utilisateur de se réauthentifier avant la
reconnexion.
Ce paramètre offre une sécurité améliorée. Par exemple, si un ordinateur portable
est volé et déplacé sur un autre réseau, l'utilisateur ne peut pas automatiquement
accéder au poste de travail distant sans entrer d'informations d'identification.
Lorsque ce paramètre n'est pas sélectionné, le client se reconnecte au poste de
travail distant sans demander à l'utilisateur de se réauthentifier.
Ce paramètre est sans effet lorsque le tunnel sécurisé n'est pas utilisé.
composants
Lorsque ce mode est défini sur Activé, les messages JMS transmis entre des
n
composants View sont signés et vérifiés.
Lorsque le mode est défini sur Amélioré, la sécurité est fournie par des
n
connexions SSL JMS mutuellement authentifiées et un contrôle d'accès sur les
rubriques JMS.
Pour plus d'informations, reportez-vous à « Mode de sécurité des messages des
composants View », page 33.
Pour de nouvelles installations, par défaut, le mode de sécurité des messages est
défini sur Amélioré. Si vous procédez à une mise à niveau à partir d'une version
précédente, le paramètre utilisé dans la version précédente est conservé.
32 VMware, Inc.
Page 33
Chapitre 2 Configuration du serveur de connexion View
Tableau 2‑3. Paramètres généraux de sécurité des sessions et connexions client (suite)
Paramètre Description
État de sécurité amélioré (lecture
seule)
Utiliser IPSec pour les connexions
du serveur de sécurité
Champ en lecture seule qui s'affiche lorsque Mode de sécurité des messages est
modifié de Activé à Amélioré. Comme la modification est effectuée par phases, ce
champ montre la progression de l'opération :
En attente du redémarrage du bus de message est la première phase. Cet état
n
s'affiche jusqu'à ce que vous redémarriez manuellement toutes les instances du
Serveur de connexion View de l'espace ou le service Composant du bus de
message VMware Horizon View sur tous les hôtes de Serveur de connexion
View de l'espace.
Amélioré en attente est l'état suivant. Dès que tous les services Composant du
n
bus de messages View ont été redémarrés, le système commence à modifier le
mode de sécurité des messages sur Amélioré pour tous les postes de travail et
serveurs de sécurité.
Amélioré est l'état final, indiquant que tous les composants utilisent
n
maintenant le mode de sécurité des messages Amélioré.
Vous pouvez également employer l'utilitaire de ligne de commande vdmutil pour
surveiller l'avancement. Reportez-vous à la section « Utilisation de l'utilitaire
vdmutil pour configurer le mode de sécurité des messages JMS », page 35.
Détermine s'il est nécessaire d'utiliser IPSec (Internet Protocol Security) pour les
connexions entre des serveurs de sécurité et des instances de Serveur de connexion
View.
Par défaut, les connexions sécurisées (utilisant IPSec) pour les connexions du
serveur de sécurité sont activées.
REMARQUE Si vous procédez à une mise à niveau vers View 5.1 ou version ultérieure à partir d'une version
antérieure de View, le paramètre général Exiger SSL pour les connexions client s'affiche dans View
Administrator, mais seulement si le paramètre a été désactivé dans votre configuration de View avant la
mise à niveau. Comme SSL est requis pour toutes les connexions d'Horizon Client et pour les connexions de
View Administrator à View, ce paramètre ne s'affiche pas dans les nouvelles installations de View 5.1 ou
version ultérieure et n'est pas affiché après une mise à niveau s'il avait déjà été activé dans la configuration
précédente de View.
Après une mise à niveau, si vous n'activez pas le paramètre Exiger SSL pour les connexions client, les
connexions HTTPS à partir des clients Horizon échouent si ces derniers ne se connectent pas à un
périphérique intermédiaire qui est configuré pour établir des connexions directes à l'aide de HTTP.
Reportez-vous à la section « Décharger des connexions SSL sur des serveurs intermédiaires », page 38.
Mode de sécurité des messages des composants View
Vous pouvez définir le mode de sécurité des messages pour spécifier le mécanisme de sécurité utilisé
lorsque des messages JMS sont échangés entre des composants View.
Tableau 2-4 affiche les options que vous pouvez sélectionner pour configurer le mode de sécurité des
messages. Pour définir une option, sélectionnez-la dans la liste Mode de sécurité des messages dans la boîte
de dialogue Paramètres généraux.
Tableau 2‑4. Options du mode de sécurité des messages
Option Description
Désactivé Le mode de sécurité des messages est désactivé.
Mélangé Le mode de sécurité des messages est activé mais pas appliqué.
Vous pouvez utiliser ce mode pour détecter les composants de votre environnement View qui précèdent
View 3.0. Les fichiers journaux générés par le Serveur de connexion View contiennent des références à ces
composants. Ce paramètre n'est pas recommandé. Utilisez ce paramètre uniquement pour découvrir les
composants devant être mis à niveau.
VMware, Inc. 33
Page 34
Administration de View
Tableau 2‑4. Options du mode de sécurité des messages (suite)
Option Description
Activé Le mode de sécurité des messages est activé, utilisation d'une combinaison de signature et de chiffrement
Amélioré SSL est utilisé pour toutes les connexions JMS. Le contrôle d'accès JMS est également activé afin que les
La première fois que vous installez View sur un système, le mode de sécurité des messages est défini sur
Activé. Si vous effectuez la mise à niveau de View à partir d'une version précédente, le mode de sécurité des
messages reste le même.
des messages. Les messages JMS sont rejetés si la signature est manquante ou non valide, ou si un message
a été modifié après avoir été signé.
Certains messages JMS sont chiffrés, car ils comportent des informations sensibles telles que les
informations d'identification de l'utilisateur. Si vous utilisez le paramètre Activé, vous pouvez également
utiliser IPSec pour chiffrer tous les messages JMS entre les instances du Serveur de connexion View, et
entre les instances du Serveur de connexion View et les serveurs de sécurité.
REMARQUE Les composants de View qui sont antérieurs à View 3.0 ne sont pas autorisés à communiquer
avec d'autres composants View.
postes de travail, les serveurs de sécurité et les instances du Serveur de connexion View puissent envoyer
et recevoir uniquement des messages JMS sur certaines rubriques.
Les composants View antérieurs à Horizon 6 version 6.1 ne peuvent pas communiquer avec une instance
de Serveur de connexion View 6.1.
REMARQUE L'utilisation de ce mode nécessite l'ouverture du port TCP 4002 entre les serveurs de sécurité
basés sur DMZ et leurs instances du Serveur de connexion View couplées.
IMPORTANT Si vous prévoyez de modifier un environnement View mis à niveau d'Activé à Amélioré, vous
devez d'abord mettre à niveau toutes les instances du Serveur de connexion View, les serveurs de sécurité et
les postes de travail View vers Horizon 6 version 6.1 ou version ultérieure. Dès que vous avez défini le
paramètre sur Amélioré, le nouveau paramètre entre en vigueur par étapes.
1 Vous devez redémarrer manuellement le service Composant du bus de message VMware Horizon
View sur tous les hôtes de Serveur de connexion View de l'espace ou redémarrer les instances de
Serveur de connexion View.
2 Dès que les services ont redémarré, les instances du Serveur de connexion View reconfigurent le mode
de sécurité des messages sur tous les postes de travail et serveurs de sécurité, pour passer au mode
Amélioré.
3 Pour surveiller l'avancement dans View Administrator, accédez à Configuration de View > Paramètres
généraux.
Dans l'onglet Sécurité, l'élément État de sécurité amélioré affiche Amélioré lorsque tous les
composants ont effectué la transition vers le mode Amélioré.
Sinon, vous pouvez employer l'utilitaire de ligne de commande vdmutil pour surveiller l'avancement.
Reportez-vous à la section « Utilisation de l'utilitaire vdmutil pour configurer le mode de sécurité des
messages JMS », page 35.
Les composants View antérieurs à Horizon 6 version 6.1 ne peuvent pas communiquer avec une instance du
Serveur de connexion View 6.1 utilisant le mode Amélioré.
Si vous prévoyez de modifier un environnement View actif de Désactivé à Activé, ou de Activé à
Désactivé, passez en mode Mélangé pendant une courte période avant de faire la modification finale. Par
exemple, si votre mode actuel est Désactivé, passez en mode Mélangé pendant une journée, puis passez à
Activé. En mode Mélangé, les signatures sont jointes aux messages mais ne sont pas vérifiées, ce qui permet
de propager la modification du mode des messages dans l'environnement.
34 VMware, Inc.
Page 35
Chapitre 2 Configuration du serveur de connexion View
Utilisation de l'utilitaire vdmutil pour configurer le mode de sécurité des messages JMS
Vous pouvez utiliser l'interface de ligne de commande vdmutil pour configurer et gérer le mécanisme de
sécurité utilisé lorsque des messages JMS sont transmis entre des composants View.
Syntaxe et emplacement de l'utilitaire
La commande vdmutil peut effectuer les mêmes opérations que la commande lmvutil qui était incluse avec
les versions antérieures de View. En outre, la commande vdmutil dispose d'options permettant de
déterminer le mode de sécurité des messages utilisés et de surveiller l'avancement du passage de tous les
composants View en mode Amélioré. Utilisez la forme suivante de la commande vdmutil dans une invite de
commande Windows.
vdmutil command_option [additional_option argument] ...
Les options supplémentaires que vous pouvez utiliser dépendent de l'option de commande. Cette rubrique
met l'accent sur les options du mode de sécurité des messages. Pour les autres options, liées à Cloud Pod
Architecture, reportez-vous au document Administration de Cloud Pod Architecture dans View .
Par défaut, le chemin d'accès vers le fichier exécutable de la commande vdmutil est C:\Program
Files\VMware\VMware View\Server\tools\bin. Pour éviter d'entrer le chemin d'accès sur la ligne de
commande, ajoutez-le à la variable d'environnement PATH.
Authentification
Vous devez exécuter la commande en tant qu'utilisateur disposant du rôle Administrateurs. Vous pouvez
utiliser View Administrator pour attribuer le rôle Administrateurs à un utilisateur. Reportez-vous à la
section Chapitre 4, « Configuration d'administration déléguée basée sur des rôles », page 71.
La commande vdmutil inclut des options pour spécifier le nom d'utilisateur, le domaine et le mot de passe à
utiliser pour l'authentification.
Tableau 2‑5. options d'authentification de la commande vdmutil
Option Description
--authAs
--authDomain
--authPassword Mot de passe de l'utilisateur administrateur View spécifié dans l'option --authAs. Si vous
Nom d'un utilisateur administrateur View. N'utilisez ni le format domain\username ni le
format de nom principal d'utilisateur (UPN).
Nom de domaine complet de l'utilisateur administrateur View spécifié dans l'option
--authAs.
entrez « * » plutôt qu'un mot de passe, la commande vdmutil affiche une invite de mot
de passe et ne conserve pas les mots de passe sensibles dans l'historique des commandes
sur la ligne de commande.
Vous devez utiliser les options d'authentification avec toutes les options de la commande vdmutil, à
l'exception de --help et de --verbose.
Options spécifiques aux modes de sécurité des messages JMS
Le tableau suivant répertorie uniquement les options de ligne de commande vdmutil qui concernent
l'affichage, la configuration ou la surveillance du mode de sécurité des messages JMS. Pour consulter la liste
des arguments que vous pouvez utiliser avec une option spécifique, utilisez l'option de ligne de commande
--help.
La commande vdmutil renvoie 0 lorsqu'une opération réussit et un code différent de zéro spécifique d'un
échec lorsqu'une opération échoue. La commande vdmutil écrit des messages d'erreur en format d'erreur
standard. Lorsqu'une opération produit une sortie ou lorsque la journalisation détaillée est activée à l'aide
de l'option --verbose, la commande vdmutil écrit la sortie en format de sortie standard, en anglais
américain.
VMware, Inc. 35
Page 36
Administration de View
Tableau 2‑6. Options de la commande vdmutil
Option Description
--activatePendingConnectionServerCertificates
--countPendingMsgSecStatus
--createPendingConnectionServerCertificates
--getMsgSecLevel
--getMsgSecMode
--help Répertorie les options de la commande vdmutil. Vous pouvez
--listMsgBusSecStatus
--listPendingMsgSecStatus
--setMsgSecMode
--verbose
Active un certificat de sécurité en attente pour une instance du
Serveur de connexion View dans l'espace local.
Compte le nombre de machines empêchant une transition vers ou
depuis le mode Amélioré.
Crée un certificat de sécurité en attente pour une instance du Serveur
de connexion View dans l'espace local.
Obtient l'état de sécurité des messages amélioré pour l'espace local.
Cet état concerne le processus de changement du mode de sécurité des
messages JMS d'Activé à Amélioré pour tous les composants d'un
environnement View.
Obtient le mode de sécurité des messages pour l'espace local.
également utiliser --help sur une commande particulière, comme
--setMsgSecMode --help.
Répertorie l'état de sécurité du bus de message pour tous les serveurs
de connexion de l'espace local.
Répertorie les machines empêchant une transition vers ou depuis le
mode Amélioré. Limité à 25 entrées par défaut.
Définit le mode de sécurité des messages de l'espace local.
Active la journalisation détaillée. Vous pouvez ajouter cette option à
n'importe quelle autre option pour obtenir une sortie de commande
détaillée. La commande vdmutil écrit dans la sortie standard.
Configurer le tunnel sécurisé et PCoIP Secure Gateway
Lorsque le tunnel sécurisé est activé, Horizon Client établit une deuxième connexion HTTPS avec l'hôte du
Serveur de connexion View ou du serveur de sécurité lorsque des utilisateurs se connectent à un poste de
travail distant.
Lorsque PCoIP Secure Gateway est activé, Horizon Client établit une autre connexion sécurisée avec l'hôte
du Serveur de connexion View ou du serveur de sécurité lorsque des utilisateurs se connectent à un poste de
travail distant avec le protocole d'affichage PCoIP.
REMARQUE Avec Horizon 6 version 6.2 et ultérieures, vous pouvez utiliser des dispositifs Access Point,
plutôt que des serveurs de sécurité, pour l'accès externe sécurisé vers des serveurs et des postes de travail
Horizon 6. Si vous utilisez des dispositifs Access Point, vous devez désactiver les passerelles sécurisées sur
les instances du Serveur de connexion View et activer ces passerelles sur les dispositifs Access Point. Pour
plus d'informations, consultez le document Déploiement et configuration d'un point d'accès.
Lorsque le tunnel sécurisé ou PCoIP Secure Gateway n'est pas activé, une session s'établit directement entre
le système client et la machine virtuelle de poste de travail distant, contournant l'hôte du Serveur de
connexion View ou du serveur de sécurité. Ce type de connexion est appelé connexion directe.
IMPORTANT Une configuration de réseau classique qui fournit des connexions sécurisées pour des clients
externes inclut un serveur de sécurité. Pour utiliser View Administrator afin d'activer ou de désactiver le
tunnel sécurisé et PCoIP Secure Gateway sur un serveur de sécurité, vous devez modifier l'instance du
Serveur de connexion View qui est couplée avec le serveur de sécurité.
Dans une configuration de réseau dans laquelle des clients externes se connectent directement à un hôte du
Serveur de connexion View, vous activez ou désactivez le tunnel sécurisé et PCoIP Secure Gateway en
modifiant cette instance du Serveur de connexion View dans View Administrator.
36 VMware, Inc.
Page 37
Chapitre 2 Configuration du serveur de connexion View
Prérequis
Si vous prévoyez d'activer PCoIP Secure Gateway, vérifiez que View 4.6 ou version ultérieure est
n
installé sur l'instance du Serveur de connexion View et le serveur de sécurité couplé.
Si vous couplez un serveur de sécurité avec une instance du Serveur de connexion View sur laquelle
n
vous avez déjà activé PCoIP Secure Gateway, vérifiez que View 4.6 ou version ultérieure est installé sur
le serveur de sécurité.
Procédure
1 Dans View Administrator, sélectionnez Configuration de View > Serveurs.
2 Sur l'onglet Serveurs de connexion, sélectionnez une instance de Serveur de connexion View et cliquez
sur Modifier.
3 Configurez l'utilisation du tunnel sécurisé.
Option Description
Activer le tunnel sécurisé
Désactiver le tunnel sécurisé
Sélectionnez Utiliser une connexion par tunnel sécurisé à la machine.
Désélectionnez Utiliser une connexion par tunnel sécurisé à la machine.
Le tunnel sécurisé est activé par défaut.
4 Configurez l'utilisation de PCoIP Secure Gateway.
Option Description
Activer PCoIP Secure Gateway
Désactiver PCoIP Secure Gateway
Sélectionnez Utiliser PCoIP Secure Gateway pour les connexions PCoIP à
la machine
Désélectionnez Utiliser PCoIP Secure Gateway pour les connexions
PCoIP à la machine.
Par défaut, PCoIP Secure Gateway est désactivé.
5 Cliquez sur OK pour enregistrer vos modifications.
Configurer un accès HTML sécurisé
Dans View Administrator, vous pouvez configurer l'utilisation de Blast Secure Gateway pour fournir un
accès HTML sécurisé à des postes de travail distants.
Vous pouvez fournir des connexions sécurisées aux utilisateurs externes qui utilisent HTML Access pour se
connecter à des postes de travail distants. Blast Secure Gateway, activé par défaut sur les hôtes de Serveur
de connexion View et du serveur de sécurité, garantit que seuls les utilisateurs authentifiés peuvent
communiquer avec des postes de travail distants. Avec HTML Access, le logiciel client n'a pas à être installé
sur les périphériques de point de terminaison des utilisateurs.
REMARQUE Avec Horizon 6 version 6.2 et ultérieures, vous pouvez utiliser des dispositifs Access Point,
plutôt que des serveurs de sécurité, pour l'accès externe sécurisé vers des serveurs et des postes de travail
Horizon 6. Si vous utilisez des dispositifs Access Point, vous devez désactiver les passerelles sécurisées sur
les instances du Serveur de connexion View et activer ces passerelles sur les dispositifs Access Point. Pour
plus d'informations, consultez le document Déploiement et configuration d'un point d'accès.
VMware, Inc. 37
Page 38
Administration de View
Lorsque Blast Secure Gateway n'est pas activé, les navigateurs Web clients utilisent HTML Access pour
établir des connexions directes avec des machines virtuelles de poste de travail distant, contournant ainsi
Blast Secure Gateway.
IMPORTANT Une configuration de réseau classique pouvant fournir des connexions sécurisées à des
utilisateurs externes inclut un serveur de sécurité. Pour activer ou désactiver Blast Secure Gateway sur un
serveur de sécurité, vous devez modifier l'instance de Serveur de connexion View couplée avec le serveur de
sécurité. Si des utilisateurs externes se connectent directement à un hôte de Serveur de connexion View,
vous activez ou désactivez Blast Secure Gateway en modifiant cette instance de Serveur de connexion View.
Prérequis
Si des utilisateurs sélectionnent des postes de travail distants à l'aide du portail d'applications d'
Workspace Portal, vérifiez qu'Workspace Portal est installé et configuré pour être utilisé avec Serveur de
connexion View et que Serveur de connexion View est couplé avec un serveur d'authentification SAML 2.0.
Procédure
1 Dans View Administrator, sélectionnez Configuration de View > Serveurs.
2 Sur l'onglet Serveurs de connexion, sélectionnez une instance de Serveur de connexion View et cliquez
sur Modifier.
3 Configurez l'utilisation de Blast Secure Gateway.
Option Description
Activer Blast Secure Gateway
Désactiver Blast Secure Gateway
Cochez la case Utiliser Blast Secure Gateway pour un HTML Access à la
machine
Décochez la case Utiliser Blast Secure Gateway pour un HTML Access à
la machine
Blast Secure Gateway est activé par défaut.
4 Cliquez sur OK pour enregistrer vos modifications.
Décharger des connexions SSL sur des serveurs intermédiaires
Horizon Client doit utiliser HTTPS pour se connecter à View. Si vos clients Horizon Client se connectent à
des équilibrages de charge ou à d'autres serveurs intermédiaires qui transmettent les connexions à des
instances du Serveur de connexion View ou à des serveurs de sécurité, vous pouvez décharger SSL vers les
serveurs intermédiaires.
Importer des certificats des serveurs de déchargement SSL vers des serveurs View
Si vous déchargez des connexions SSL vers un serveur intermédiaire, vous devez importer le certificat du
serveur intermédiaire vers les instances du Serveur de connexion View ou les serveurs de sécurité qui se
connectent au serveur intermédiaire. Le même certificat de serveur SSL doit résider sur le serveur
intermédiaire de déchargement et sur chaque serveur View déchargé qui se connecte au serveur
intermédiaire.
Si vous déployez des serveurs de sécurité, le serveur intermédiaire et les serveurs de sécurité qui s'y
connectent doivent avoir le même certificat SSL. Vous n'avez pas à installer le même certificat SSL sur les
instances du Serveur de connexion View qui sont couplées aux serveurs de sécurité et ne se connectent pas
directement au serveur intermédiaire.
Si vous ne déployez pas de serveurs de sécurité ou si vous avez un environnement réseau mélangé avec des
serveurs de sécurité et des instances du Serveur de connexion View frontales externes, le serveur
intermédiaire et les instances du Serveur de connexion View qui s'y connectent doivent avoir le même
certificat SSL.
38 VMware, Inc.
Page 39
Chapitre 2 Configuration du serveur de connexion View
Si le certificat du serveur intermédiaire n'est pas installé sur l'instance du Serveur de connexion View ou sur
le serveur de sécurité, les clients ne peuvent pas valider leurs connexions à View. Dans ce cas, l'empreinte
numérique du certificat envoyée par le serveur View Server ne correspond pas au certificat sur le serveur
intermédiaire auquel Horizon Client se connecte.
Ne confondez pas équilibrage de charge et déchargement SSL. L'exigence précédente s'applique à tout
périphérique configuré pour fournir le déchargement SSL, y compris certains types d'équilibreurs de charge.
Toutefois, l'équilibrage de charge pur ne requiert pas la copie de certificats entre périphériques.
Pour plus d'informations sur l'importation de certificats vers des serveurs View Server, consultez la section
« Importer un certificat de serveur signé dans un magasin de certificats Windows » dans le document
Installation de View.
Définir des URL externes de View Server pour pointer les clients vers des serveurs de déchargement SSL
Si SSL est déchargé vers un serveur intermédiaire et que des périphériques Horizon Client utilisent le tunnel
sécurisé pour se connecter à View, vous devez définir l'URL externe du tunnel sécurisé sur une adresse que
les clients peuvent utiliser pour accéder au serveur intermédiaire.
Vous configurez les paramètres d'URL externe sur l'instance de Serveur de connexion View ou sur le
serveur de sécurité qui se connecte au serveur intermédiaire.
Si vous déployez des serveurs de sécurité, des URL externes sont requises pour les serveurs de sécurité mais
pas pour les instances de Serveur de connexion View qui sont couplées avec les serveurs de sécurité.
Si vous ne déployez pas de serveurs de sécurité ou si vous disposez d'un environnement réseau mixte
comportant des serveurs de sécurité et des instances de Serveur de connexion View externes, des URL
externes sont requises pour les instances du Serveur de connexion View qui se connectent au serveur
intermédiaire.
REMARQUE Vous ne pouvez pas décharger des connexions SSL à partir d'un composant PCoIP Secure
Gateway (PSG) ou Blast Secure Gateway. L'URL externe de PCoIP et l'URL externe de Blast Secure Gateway
doivent permettre aux clients de se connecter à l'ordinateur qui héberge PSG et Blast Secure Gateway. Ne
réinitialisez pas l'URL externe de PCoIP et l'URL externe de Blast pour pointer vers le serveur intermédiaire
sauf si vous prévoyez d'exiger des connexions SSL entre le serveur intermédiaire et View Server.
Pour plus d'informations sur la configuration des URL externes, reportez-vous à « Configuration d'URL
externes pour PCoIP Secure Gateway et les connexions de tunnel » dans le document Installation de View.
Autoriser les connexions HTTP à partir des serveurs intermédiaires
Quand le certificat SSL est déchargé vers un serveur intermédiaire, vous pouvez configurer les instances du
Serveur de connexion View ou les serveurs de sécurité pour autoriser les connexions HTTP à partir des
périphériques intermédiaires clients. Les périphériques intermédiaires doivent accepter HTTPS pour les
connexions d'Horizon Client.
Pour autoriser les connexions HTTP entre les serveurs View et les périphériques intermédiaires, vous devez
configurer le fichier locked.properties sur chaque instances du Serveur de connexion View et le serveur de
sécurité sur lequel les connexions HTTP sont autorisées.
Même lorsque les connexions HTTP entre les serveurs View et les périphériques intermédiaires sont
autorisées, vous ne pouvez pas désactiver le protocole SSL dans View. Les serveurs View continuent
d'accepter les connexions HTTPS, ainsi que les connexions HTTP.
REMARQUE Si vos clients Horizon utilisent l'authentification par carte à puce, ils doivent établir des
connexions HTTPS directement avec le Serveur de connexion View ou le serveur de sécurité. Le
déchargement SSL n'est pas prise en charge avec l'authentification par carte à puce.
VMware, Inc. 39
Page 40
Administration de View
Procédure
1 Créez ou modifiez le fichier locked.properties dans le dossier de configuration de la passerelle SSL sur
l'hôte du Serveur de connexion View ou du serveur de sécurité.
Par exemple : install_directory\VMware\VMware View\Server\sslgateway\conf\locked.properties
2 Pour configurer le protocole du serveur View, ajoutez la propriété serverProtocol et définissez-la sur
http.
La valeur http doit être tapée en minuscules.
3 (Facultatif) Ajoutez des propriétés pour configurer un port d'écoute HTTP qui n'est pas par défaut et
une interface réseau sur le serveur View.
n
n
4 Enregistrez le fichier locked.properties.
5 Redémarrez le service Serveur de connexion View ou le service du serveur de sécurité pour que vos
modifications prennent effet.
Pour modifier le port d'écoute HTTP 80, définissez serverPortNonSSL sur un autre numéro de port
sur lequel le périphérique intermédiaire est configuré pour se connecter.
Si le serveur View dispose de plus d'une interface réseau et que vous prévoyez que le serveur
écoute les connexions HTTP sur une seule interface, définissez serverHostNonSSL sur l'adresse IP de
cette interface réseau.
Exemple : fichier locked.properties
Ce fichier autorise les connexions HTTP non-SSL à un serveur View. L'adresse IP de l'interface réseau cliente
du serveur View est 10.20.30.40. Le serveur utilise le port 80 par défaut pour écouter les connexions HTTP.
La valeur http doit être en minuscules.
serverProtocol=http
serverHostNonSSL=10.20.30.40
Désactiver ou activer le Serveur de connexion View
Vous pouvez désactiver une instance du Serveur de connexion View pour empêcher les utilisateurs de se
connecter à leurs applications et postes de travail distants. Après avoir désactivé une instance, vous pouvez
l'activer de nouveau.
Lorsque vous désactivez une instance du Serveur de connexion View, les utilisateurs actuellement connectés
à des applications et des postes de travail distants ne sont pas affectés.
Votre déploiement de View détermine comment les utilisateurs sont affectés en désactivant une instance.
S'il s'agit d'une instance autonome du Serveur de connexion View, les utilisateurs ne peuvent pas se
n
connecter à leurs applications ou postes de travail distants. Ils ne peuvent pas se connecter au Serveur
de connexion View.
S'il s'agit d'une instance du Serveur de connexion View répliquée, votre topologie de réseau détermine
n
si les utilisateurs peuvent être routés vers une autre instance répliquée. Si des utilisateurs peuvent
accéder à une autre instance, ils peuvent se connecter à leurs applications et postes de travail distants.
Procédure
1 Dans View Administrator, sélectionnez Configuration de View > Serveurs.
2 Dans l'onglet Serveurs de connexion, sélectionnez l'instance du Serveur de connexion View.
3 Cliquez sur Désactiver.
Vous pouvez activer de nouveau l'instance en cliquant sur Activer.
40 VMware, Inc.
Page 41
Modifier les URL externes
Vous pouvez utiliser View Administrator pour modifier des URL externes pour des instances du Serveur de
connexion View et des serveurs de sécurité.
Par défaut, un hôte du Serveur de connexion View ou d'un serveur de sécurité ne peut être contacté que par
des clients tunnel qui résident sur le même réseau. Les clients tunnel qui s'exécutent en dehors de votre
réseau doivent utiliser une URL résolvable par client pour se connecter à un hôte du Serveur de connexion
View ou du serveur de sécurité.
Lorsque des utilisateurs se connectent à des postes de travail distants avec le protocole d'affichage PCoIP,
Horizon Client peut établir une autre connexion à PCoIP Secure Gateway sur l'hôte du Serveur de
connexion View ou du serveur de sécurité. Pour utiliser PCoIP Secure Gateway, un système client doit avoir
accès à une adresse IP autorisant le client à atteindre l'hôte du Serveur de connexion View ou du serveur de
sécurité. Vous spécifiez cette adresse IP dans l'URL externe PCoIP.
Une troisième URL permet aux utilisateurs de faire des connexions sécurisées depuis leurs navigateurs Web
via Blast Secure Gateway.
L'URL externe de tunnel sécurisé, l'URL externe PCoIP et l'URL externe Blast doivent être les adresses que
les systèmes clients utilisent pour atteindre cet hôte.
REMARQUE Vous ne pouvez pas modifier les URL externes pour un serveur de sécurité qui n'a pas été mis à
niveau vers Serveur de connexion View 4.5 ou supérieur.
Chapitre 2 Configuration du serveur de connexion View
Procédure
1 Dans View Administrator, sélectionnez Configuration de View > Serveurs.
Option Action
Instance de Serveur de connexion
View
Serveur de sécurité
Dans l'onglet Serveurs de connexion, sélectionnez l'instance du Serveur de
connexion View et cliquez sur Modifier.
Sélectionnez le serveur de sécurité dans l'onglet Serveurs de sécurité, puis
cliquez sur Modifier.
2 Saisissez l'URL externe du tunnel sécurisé dans la zone de texte URL externe.
L'URL doit contenir le protocole, le nom d'hôte résolvable par le client et le numéro de port.
Par exemple : https://view.example.com:443
REMARQUE Vous pouvez utiliser l'adresse IP si vous devez accéder à une instance de Serveur de
connexion View ou au serveur de sécurité lorsque le nom d'hôte ne peut pas être résolu. Toutefois,
l'hôte que vous contactez ne correspondra pas au certificat SSL configuré pour l'instance du Serveur de
connexion View ou pour le serveur de sécurité, ce qui se traduit par un accès bloqué ou un accès avec
une sécurité réduite.
3 Saisissez l'URL externe de PCoIP Secure Gateway dans la zone de texte URL externe PCoIP.
Spécifiez l'URL externe PCoIP comme adresse IP avec le numéro de port 4172. N'incluez pas un nom de
protocole.
Par exemple : 10.20.30.40:4172
L'URL doit contenir l'adresse IP et le numéro de port qu'un système client peut utiliser pour atteindre
cette instance de serveur de sécurité ou du Serveur de connexion View.
VMware, Inc. 41
Page 42
Administration de View
4 Saisissez l'URL externe Blast Secure Gateway dans la zone de texte URL externe Blast.
L'URL doit contenir le protocole HTTPS, le nom d'hôte résolvable par le client et le numéro de port.
Par exemple : https://myserver.example.com:8443
Par défaut, l'URL inclut le nom de domaine complet de l'URL externe du tunnel sécurisé et le numéro
de port par défaut, 8443. L'URL doit contenir le nom de domaine complet et le numéro de port qu'un
système client peut utiliser pour atteindre cet hôte.
5 Vérifiez que toutes les adresses de cette boîte de dialogue permettent aux systèmes clients d'atteindre
cet hôte.
6 Cliquez sur OK pour enregistrer vos modifications.
Les URL externes sont mises à jour immédiatement. Vous n'avez pas à redémarrer le service Serveur de
connexion View ou le service du serveur de sécurité pour que les modifications prennent effet.
Participer ou se retirer du programme d'expérience utilisateur
Lorsque vous installez le Serveur de connexion View avec une nouvelle configuration, vous avez la
possibilité de participer à un programme d'amélioration de l'expérience utilisateur. Si vous changez d'avis
après l'installation, vous pouvez vous participer au programme ou vous en retirer à l'aide de View
Administrator.
Si vous participez au programme, VMware collecte des données anonymes sur votre déploiement afin
d'améliorer sa réponse aux besoins de ses utilisateurs. Aucune donnée permettant d'identifier votre
organisation n'est collectée.
Pour vérifier la liste des champs auprès desquels les données sont collectées, ainsi que ceux qui sont
anonymes, reportez-vous à
« Informations collectées par le programme d’amélioration de l’expérience utilisateur », page 120.
Procédure
1 Dans View Administrator, sélectionnez Configuration de View > Licence produit et utilisation.
2 Dans le volet Programme d'expérience utilisateur, cliquez sur Modifier les paramètres.
3 Indiquez si vous souhaitez participer ou vous retirer du programme en cochant ou en décochant la case
Envoyer des données anonymes à VMware.
4 (Facultatif) Si vous participez, vous pouvez sélectionner l'emplacement géographique, le type d'activité
et le nombre d'employés de votre organisation.
5 Cliquez sur OK.
Répertoire View LDAP
View LDAP est le référentiel de données de l'ensemble des informations de configuration de View. View
LDAP est un répertoire LDAP (Lightweight Directory Access Protocol) incorporé fourni avec l'installation
du Serveur de connexion View.
View LDAP contient les composants d'annuaire LDAP standard utilisés par View :
des définitions de schémas de View ;
n
des définitions de DIT (Directory Information Tree) ;
n
des listes de contrôle d'accès (ACL).
n
42 VMware, Inc.
Page 43
Chapitre 2 Configuration du serveur de connexion View
View LDAP contient des entrées d'annuaire qui représentent des objets View.
Des entrées de poste de travail distant qui représentent chaque poste de travail accessible. Chaque
n
entrée contient des références aux entrées de sécurité extérieure principale d'utilisateurs et de groupes
de Windows dans Active Directory qui sont autorisés à utiliser le poste de travail.
Des entrées de pool de postes de travail distants qui représentent plusieurs postes de travail gérés
n
ensemble
Des entrées de machines virtuelles qui représentent la machine virtuelle vCenter Server de chaque
n
poste de travail distant
Des entrées de composants View qui stockent des paramètres de configuration
n
View LDAP contient également un ensemble de DLL de plug-in View qui fournissent des services
d'automatisation et de notification pour d'autres composants de View.
REMARQUE Les instances de serveur de sécurité ne contiennent pas de répertoire View LDAP.
VMware, Inc. 43
Page 44
Administration de View
44 VMware, Inc.
Page 45
Configuration de l'authentification 3
View utilise votre infrastructure Active Directory existante pour l'authentification et la gestion des
utilisateurs et des administrateurs. Pour plus de sécurité, vous pouvez intégrer View à l'authentification par
carte à puce. Vous pouvez également utiliser des solutions d'authentification biométrique ou à deux
facteurs, comme RSA SecurID et RADIUS, pour authentifier les utilisateurs d'applications et de postes de
travail distants.
Ce chapitre aborde les rubriques suivantes :
« Utilisation de l'authentification à deux facteurs », page 45
n
« Utilisation de l'authentification par carte à puce », page 49
n
« Utilisation de l'authentification SAML », page 61
n
« Utilisation de la vérification de la révocation des certificats de carte à puce », page 64
n
« Utilisation de la fonctionnalité Se connecter en tant qu'utilisateur actuel, disponible avec Horizon
n
Client pour Windows », page 68
« Autoriser les utilisateurs à enregistrer les informations d'identification », page 69
n
« Configurer l'authentification biométrique », page 70
n
Utilisation de l'authentification à deux facteurs
Vous pouvez configurer une instance de Serveur de connexion View pour que les utilisateurs soient obligés
d'utiliser l'authentification RSA SecurID ou RADIUS (Remote Authentication Dial-In User Service).
La prise en charge de RADIUS offre une large gamme d'autres options d'authentification à deux
n
facteurs basée sur des jetons.
View fournit également une interface d'extension standard ouverte pour permettre aux fournisseurs de
n
solutions tiers d'intégrer des extensions d'authentification avancées dans View.
Comme les solutions d'authentification à deux facteurs, telles que RSA SecurID et RADIUS, fonctionnent
avec les gestionnaires d'authentification installés sur des serveurs séparés, vous devez avoir configuré ces
serveurs et les rendre accessibles à l'hôte de Serveur de connexion View. Par exemple, si vous utilisez RSA
SecurID, le gestionnaire d'authentification utilise RSA Authentication Manager. Si vous disposez de
RADIUS, le gestionnaire d'authentification sera un serveur RADIUS.
Pour utiliser l'authentification à deux facteurs, chaque utilisateur doit posséder un jeton, tel qu'un jeton RSA
SecurID, qui est enregistré avec son gestionnaire d'authentification. Un jeton d'authentification à deux
facteurs est un élément matériel ou logiciel qui génère un code d'authentification à intervalles fixes. Souvent,
l'authentification requiert de connaître un code PIN et un code d'authentification.
VMware, Inc.
45
Page 46
Administration de View
Si vous possédez plusieurs instances de Serveur de connexion View, vous pouvez configurer
l'authentification à deux facteurs sur certaines instances et configurer une méthode d'authentification
utilisateur différente sur d'autres. Par exemple, vous pouvez configurer l'authentification à deux facteurs
uniquement pour les utilisateurs qui accèdent à des applications et à des postes de travail distants de
l'extérieur du réseau d'entreprise, sur Internet.
View est certifié par le programme RSA SecurID Ready et prend en charge l'ensemble des fonctionnalités
SecurID, notamment New PIN Mode, Next Token Code Mode, RSA Authentication Manager et l'équilibrage
de charge.
Ouvrir une session avec l'authentification à deux facteurs page 46
n
Lorsqu'un utilisateur se connecte à une instance du Serveur de connexion View sur laquelle
l'authentification RSA SecurID ou RADIUS est activée, une boîte de dialogue d'ouverture de session
RSA SecurID spéciale s'affiche dans Horizon Client.
Activer l'authentification à deux facteurs dans View Administrator page 47
n
Vous activez une instance du Serveur de connexion pour l'authentification RSA SecurID ou
l'authentification RADIUS en modifiant des paramètres du Serveur de connexion View dans View
Administrator.
Résolution du refus d'accès RSA SecurID page 48
n
L'accès est refusé lorsqu'Horizon Client se connecte avec l'authentification RSA SecurID.
Résolution du refus d'accès RADIUS page 49
n
L'accès est refusé lorsqu'Horizon Client se connecte avec l'authentification à deux facteurs RADIUS.
Ouvrir une session avec l'authentification à deux facteurs
Lorsqu'un utilisateur se connecte à une instance du Serveur de connexion View sur laquelle
l'authentification RSA SecurID ou RADIUS est activée, une boîte de dialogue d'ouverture de session RSA
SecurID spéciale s'affiche dans Horizon Client.
Les utilisateurs entrent leur nom d'utilisateur et leur code secret d'authentification RSA SecurID ou RADIUS
dans la boîte de dialogue d'ouverture de session spéciale. Un code secret d'authentification à deux facteurs
se compose généralement d'un code PIN suivi d'un code de jeton.
Si RSA Authentication Manager demande que les utilisateurs saisissent un nouveau code PIN RSA
n
SecurID après la saisie de leur nom d'utilisateur et de leur mot de passe RSA SecurID, une boîte de
dialogue de code PIN apparaît. Après avoir défini un nouveau code PIN, les utilisateurs sont invités à
attendre le prochain code de jeton avant d'ouvrir une session. Si RSA Authentication Manager est
configuré pour utiliser des codes PIN générés par le système, une boîte de dialogue apparaît pour
confirmer le code PIN.
Lors de la connexion à View, l'authentification RADIUS fonctionne de la même manière que RSA
n
SecurID. Si le serveur RADIUS émet un challenge d'accès, Horizon Client affiche une boîte de dialogue
semblable à l'invite RSA SecurID pour obtenir le code de jeton suivant. Actuellement la prise en charge
des challenges RADIUS est limitée à une invite d'entrée de texte. Aucun texte de challenge envoyé par
le serveur RADIUS ne s'affiche. Les formes de challenge plus complexes, telles qu'un choix multiple et
une sélection d'images, ne sont actuellement pas prises en charge.
Dès que l'utilisateur a entré les informations d'identification dans Horizon Client, le serveur RADIUS
peut envoyer à son téléphone mobile un message texte SMS, un e-mail ou un texte à l'aide d'un autre
mécanisme hors bande, contenant un code. L'utilisateur peut entrer ce texte et ce code dans
Horizon Client pour terminer l'authentification.
Comme certains fournisseurs RADIUS offrent la possibilité d'importer des utilisateurs d'Active
n
Directory, les utilisateurs finaux peuvent d'abord être invités à fournir des informations d'identification
Active Directory avant d'entrer un nom d'utilisateur et un code secret d'authentification RADIUS.
46 VMware, Inc.
Page 47
Chapitre 3 Configuration de l'authentification
Activer l'authentification à deux facteurs dans View Administrator
Vous activez une instance du Serveur de connexion pour l'authentification RSA SecurID ou
l'authentification RADIUS en modifiant des paramètres du Serveur de connexion View dans View
Administrator.
Prérequis
Installez et configurez le logiciel d'authentification à deux facteurs, tel que le logiciel RSA SecurID ou le
logiciel RADIUS, sur un serveur de gestionnaires d'authentification.
Pour l'authentification RSA SecurID, exportez le fichier sdconf.rec correspondant à l'instance du
n
Serveur de connexion View à partir de RSA Authentication Manager. Reportez-vous à la
documentation de RSA Authentication Manager.
Pour l'authentification RADIUS, suivez la documentation de configuration du fournisseur. Notez le
n
nom d'hôte ou l'adresse IP du serveur RADIUS, le numéro du port sur lequel il écoute l'authentification
RADIUS (généralement 1812), le type d'authentification (PAP, CHAP, MS-CHAPv1 ou MS-CHAPv2) et
la clé secrète partagée. Vous entrerez ces valeurs dans View Administrator. Vous pouvez entrer des
valeurs pour un authentificateur RADIUS principal et secondaire.
Procédure
1 Dans View Administrator, sélectionnez Configuration de View > Serveurs.
2 Dans l'onglet Serveurs de connexion, sélectionnez le serveur et cliquez sur Modifier.
3 Dans l'onglet Authentification, dans la liste déroulante Authentification à deux facteurs de la section
Authentification avancée, sélectionnez RSA SecureID ou RADIUS.
4 Pour forcer les noms d'utilisateur RSA SecurID ou RADIUS à correspondre aux noms d'utilisateur
d'Active Directory, sélectionnez Appliquer la correspondance des noms d'utilisateur SecurID et
Windows ou Appliquer la correspondance des noms d'utilisateur à deux facteurs et Windows.
Si vous sélectionnez cette option, les utilisateurs doivent utiliser le même nom d'utilisateur RSA
SecurID ou RADIUS pour l'authentification Active Directory. Si vous ne sélectionnez pas cette option,
les noms peuvent être différents.
5 Pour RSA SecurID, cliquez sur Télécharger un fichier, entrez l'emplacement du fichier sdconf.rec ou
cliquez sur Parcourir pour rechercher le fichier.
VMware, Inc. 47
Page 48
Administration de View
6 Pour l'authentification RADIUS, renseignez le reste des champs :
a Sélectionnez Utiliser les mêmes nom d'utilisateur et mot de passe pour l'authentification
b Dans la liste déroulante Authentificateur, sélectionnez Créer un nouvel authentificateur et
RADIUS et Windows si l'authentification RADIUS initiale fait appel à l'authentification Windows
qui déclenche une transmission hors bande d'un code de jeton et si ce code de jeton est ensuite
utilisé dans le cadre d'un challenge RADIUS.
Si vous cochez cette case, les utilisateurs ne seront pas invités à fournir des informations
d'identification Windows après l'authentification RADIUS si cette dernière utilise le nom
d'utilisateur et le mode passe Windows. Les utilisateurs n'ont pas besoin d'entrer à nouveau le nom
d'utilisateur et le mot de passe Windows après l'authentification RADIUS.
renseignez la page.
Définissez Port de gestion de compte sur 0 sauf si vous souhaitez activer la gestion de compte
n
RADIUS. Définissez ce port sur un numéro différent de zéro uniquement si votre serveur
RADIUS prend en charge la collecte de données de gestion de compte. Si le serveur RADIUS
ne prend pas en charge les messages de gestion de compte et si vous définissez ce port sur un
numéro différent de zéro, les messages seront envoyés et ignorés, puis réessayés un certain
nombre de fois, entraînant ainsi un retard d'authentification.
Les données de gestion de compte peuvent être utilisées pour facturer les utilisateurs en
fonction de la durée d'utilisation et des données échangées. Les données de gestion de compte
peuvent également être utilisées à des fins statistiques ou pour la surveillance générale du
réseau.
Si vous spécifiez une chaîne de préfixe de domaine, celle-ci est placée au début du nom
n
d'utilisateur lorsqu'il est envoyé au serveur RADIUS. Par exemple, si le nom d'utilisateur entré
dans Horizon Client est jdoe et que le préfixe de domaine DOMAIN-A\ est spécifié, le nom
d'utilisateur DOMAIN-A\jdoe est envoyé au serveur RADIUS. De même, si vous utilisez le
suffixe de domaine, ou postfix, la chaîne @mycorp.com, le nom d'utilisateur jdoe@mycorp.com est
envoyé au serveur RADIUS.
7 Cliquez sur OK pour enregistrer vos modifications.
Vous n'avez pas à redémarrer le service Serveur de connexion View. Les fichiers de configuration
nécessaires sont distribués automatiquement et les paramètres de configuration prennent
immédiatement effet.
Lorsque les utilisateurs ouvrent Horizon Client et s'authentifient sur le Serveur de connexion View, ils sont
invités à fournir une authentification à deux facteurs. Pour l'authentification RADIUS, la boîte de dialogue
d'ouverture de session affiche des invites qui contiennent l'étiquette du jeton que vous avez spécifié.
Les modifications apportées aux paramètres d'authentification RADIUS affectent les sessions d'applications
et de postes de travail distants qui sont démarrées après la modification de la configuration. Les sessions en
cours ne sont pas affectées par les modifications apportées aux paramètres d'authentification RADIUS.
Suivant
Si vous disposez d'un groupe répliqué d'instances du Serveur de connexion View et si vous souhaitez
également configurer une authentification RADIUS sur celles-ci, vous pouvez réutiliser une configuration
d'authentificateur RADIUS existante.
Résolution du refus d'accès RSA SecurID
L'accès est refusé lorsqu'Horizon Client se connecte avec l'authentification RSA SecurID.
Problème
Une connexion Horizon Client avec RSA SecurID affiche Access Denied et RSA Authentication Manager
Log Monitor affiche l'erreur Node Verification Failed.
48 VMware, Inc.
Page 49
Chapitre 3 Configuration de l'authentification
Cause
Le secret nœud de l'hôte RSA Agent doit être réinitialisé.
Solution
1 Dans View Administrator, sélectionnez Configuration de View > Serveurs.
2 Dans l'onglet Serveurs de connexion, sélectionnez le Serveur de connexion View et cliquez sur
Modifier.
3 Sous l'onglet Authentification, sélectionnez Effacer le code secret du nœud.
4 Cliquez sur OK pour effacer le secret nœud.
5 Sur l'ordinateur qui exécute RSA Authentication Manager, sélectionnez Démarrer > Programmes >
RSA Security > Mode hôte RSA Authentication Manager.
6 Sélectionnez Hôte de l'agent > Modifier l'hôte de l'agent.
7 Sélectionnez Serveur de connexion View dans la liste et décochez la case Code secret du nœud créé.
Code secret du nœud créé est sélectionné par défaut chaque fois que vous le modifiez.
8 Cliquez sur OK.
Résolution du refus d'accès RADIUS
L'accès est refusé lorsqu'Horizon Client se connecte avec l'authentification à deux facteurs RADIUS.
Problème
Une connexion Horizon Client à l'aide de l'authentification à deux facteurs RADIUS affiche Access Denied.
Cause
RADIUS ne reçoit pas de réponse du serveur RADIUS, ce qui provoque l'expiration du délai d'attente de
View.
Solution
Les erreurs de configuration courantes qui conduisent le plus souvent à cette situation sont les suivantes :
Le serveur RADIUS n'a pas été configuré pour accepter l'instance du Serveur de connexion View en tant
n
que client RADIUS. Chaque instance du Serveur de connexion View utilisant RADIUS doit être
configurée en tant que client sur le serveur RADIUS. Reportez-vous à la documentation concernant
votre produit d'authentification à deux facteurs RADIUS.
La valeur de secret partagé de l'instance du Serveur de connexion View et celle du serveur RADIUS ne
n
correspondent pas.
Utilisation de l'authentification par carte à puce
Vous pouvez configurer une instance du Serveur de connexion View ou un serveur de sécurité de sorte que
les utilisateurs et les administrateurs puissent s'authentifier par carte à puce.
Une carte à puce est une petite carte plastique qui contient une puce informatique. La puce, qui est
semblable à un ordinateur miniature, inclut un stockage sécurisé de données, y compris des clés privées et
des certificats de clé publique. Un type de carte à puce utilisé par le Département de la Défense des ÉtatsUnis se nomme carte CAC (Common Access Card).
Avec l'authentification par carte à puce, un utilisateur ou un administrateur insère une carte à puce dans un
lecteur de carte à puce connecté à l'ordinateur client et entre un code PIN. L'authentification par carte à puce
fournit une authentification à deux facteurs en vérifiant à la fois ce que la personne a (la carte à puce) et ce
qu'elle sait (le code PIN).
VMware, Inc. 49
Page 50
Administration de View
Pour plus d'informations sur les configurations matérielles et logicielles requises pour l'implémentation de
l'authentification par carte à puce, reportez-vous au document Installation de View. Le site Web Microsoft
TechNet comporte des informations détaillées sur la planification et l'implémentation de l'authentification
par carte à puce pour les systèmes Windows.
Pour utiliser des cartes à puce, des machines client doivent comporter un intergiciel de carte à puce et un
lecteur de carte à puce. Pour installer des certificats sur des cartes à puce, vous devez configurer un
ordinateur afin qu'il agisse comme station d'inscription. Pour déterminer si un type particulier de
Horizon Client prend en charge les cartes à puce, reportez-vous à la documentation de Horizon Client à
l'adresse https://www.vmware.com/support/viewclients/doc/viewclients_pubs.html.
Ouverture de session avec une carte à puce
Lorsqu'un utilisateur ou un administrateur insère une carte à puce dans un lecteur de carte à puce, les
certificats utilisateur de la carte à puce sont copiés dans le magasin de certificats local sur le système client si
son système d'exploitation est Windows. Les certificats dans le magasin de certificats local sont disponibles
pour toutes les applications exécutées sur l'ordinateur client, y compris Horizon Client.
Lorsqu'un utilisateur ou un administrateur initie une connexion à une instance du Serveur de connexion
View ou à un serveur de sécurité configuré pour l'authentification par carte à puce, l'instance du Serveur de
connexion View ou le serveur de sécurité envoie une liste d'autorités de certification approuvées au système
client. Le système client compare cette liste aux certificats utilisateur disponibles, sélectionne un certificat
approprié et invite l'utilisateur ou l'administrateur à entrer un code PIN de carte à puce. Si plusieurs
certificats utilisateur sont valides, le système client invite l'utilisateur ou l'administrateur à sélectionner un
certificat.
Le système client envoie le certificat utilisateur à l'instance du Serveur de connexion View ou au serveur de
sécurité, qui vérifie le certificat en contrôlant l'approbation du certificat et sa période de validité. En général,
les utilisateurs et les administrateurs peuvent s'authentifier si leur certificat utilisateur est signé et valide. Si
la vérification de la révocation des certificats est configurée, les utilisateurs ou les administrateurs dont les
certificats utilisateur sont révoqués ne peuvent pas s'authentifier.
Le changement du protocole d'affichage n'est pas pris en charge avec l'authentification par carte à puce dans
Horizon Client. Pour modifier les protocoles d'affichage après une authentification par carte à puce dans
Horizon Client, un utilisateur doit fermer puis rouvrir la session.
Configurer l'authentification par carte à puce sur le Serveur de connexion View
Pour configurer l'authentification par carte à puce, vous devez obtenir un certificat racine et l'ajouter à un
fichier du magasin d'approbations du serveur, modifier les propriétés de configuration du Serveur de
connexion View et configurer des paramètres d'authentification par carte à puce. En fonction de votre
environnement particulier, vous devrez peut-être effectuer des étapes supplémentaires.
Procédure
1 Obtenir des certificats d'autorités de certification page 51
Vous devez obtenir tous les certificats d'autorités de certification applicables pour tous les certificats
d'utilisateurs de confiance des cartes à puces présentées par vos utilisateurs et administrateurs. Ces
certificats incluent des certificats racines et peuvent inclure des certificats intermédiaires si le certificat
de carte à puce de l'utilisateur a été délivré par une autorité de certification intermédiaire.
2 Obtenir le certificat d'une autorité de certification de Windows page 51
Si vous disposez d'un certificat utilisateur signé par une autorité de certification ou d'une carte à puce
en contenant un, et que Windows approuve le certificat racine, vous pouvez exporter ce dernier de
Windows. Si l'émetteur du certificat de l'utilisateur est une autorité de certification intermédiaire, il est
possible d'exporter ce certificat.
50 VMware, Inc.
Page 51
Chapitre 3 Configuration de l'authentification
3 Ajouter le certificat de l'autorité de certification à un fichier du magasin d'approbations du serveur
page 52
Vous devez ajouter des certificats racines, intermédiaires ou les deux types à un fichier du magasin
d'approbations du serveur pour tous les utilisateurs et administrateurs de confiance. Les instances du
Serveur de connexion View et les serveurs de sécurité utilisent ces informations pour authentifier les
utilisateurs et les administrateurs de cartes à puce.
4 Modifier des propriétés de configuration du Serveur de connexion View page 53
Pour activer l'authentification par carte à puce, vous devez modifier les propriétés de configuration
Serveur de connexion View sur votre hôte du Serveur de connexion View ou du serveur de sécurité.
5 Configurer des paramètres de carte à puce dans View Administrator page 54
Vous pouvez utiliser View Administrator pour spécifier des paramètres afin de s'adapter à différents
scénarios d'authentification par carte à puce.
Obtenir des certificats d'autorités de certification
Vous devez obtenir tous les certificats d'autorités de certification applicables pour tous les certificats
d'utilisateurs de confiance des cartes à puces présentées par vos utilisateurs et administrateurs. Ces
certificats incluent des certificats racines et peuvent inclure des certificats intermédiaires si le certificat de
carte à puce de l'utilisateur a été délivré par une autorité de certification intermédiaire.
Si vous ne disposez pas du certificat racine ou intermédiaire de l'autorité de certification qui a signé les
certificats sur les cartes à puce présentées par vos utilisateurs et administrateurs, vous pouvez exporter les
certificats à partir des certificats d'utilisateurs signés par une autorité de certification ou d'une carte à puce
qui en contient un. Reportez-vous à la section « Obtenir le certificat d'une autorité de certification de
Windows », page 51.
Procédure
Obtenez les certificats d'autorités de certification à partir de l'une des sources suivantes.
u
Un serveur Microsoft IIS exécutant les services de certificats Microsoft. Pour plus d'informations
n
sur l'installation de Microsoft IIS, l'émission des certificats et leur distribution dans votre
entreprise, consultez le site Web Microsoft TechNet.
Le certificat racine public d'une autorité de certification approuvée. Il s'agit de la source la plus
n
courante de certificat racine dans des environnements avec une infrastructure de carte à puce et
une approche normalisée pour la distribution et l'authentification des cartes à puce.
Suivant
Ajoutez le certificat racine, le certificat intermédiaire ou les deux à un fichier du magasin d'approbations du
serveur. Reportez-vous à la section « Ajouter le certificat de l'autorité de certification à un fichier du magasin
d'approbations du serveur », page 52.
Obtenir le certificat d'une autorité de certification de Windows
Si vous disposez d'un certificat utilisateur signé par une autorité de certification ou d'une carte à puce en
contenant un, et que Windows approuve le certificat racine, vous pouvez exporter ce dernier de Windows.
Si l'émetteur du certificat de l'utilisateur est une autorité de certification intermédiaire, il est possible
d'exporter ce certificat.
Procédure
1 Si le certificat utilisateur est sur une carte à puce, insérez la carte à puce dans le lecteur pour ajouter le
certificat utilisateur à votre magasin personnel.
Si le certificat utilisateur n'apparaît pas dans votre magasin personnel, utilisez le logiciel du lecteur
pour exporter le certificat utilisateur vers un fichier. Ce fichier sera utilisé dans Étape 4.
VMware, Inc. 51
Page 52
Administration de View
2 Dans Internet Explorer, sélectionnez Outils > Options Internet.
3 Sous l'onglet Contenu, cliquez sur Certificats.
4 Sous l'onglet Personnel, sélectionnez le certificat que vous voulez utiliser et cliquez sur Affichage.
Si le certificat utilisateur n'apparaît pas dans la liste, cliquez sur Importer pour l'importer
manuellement à partir d'un fichier. Une fois le certificat importé, vous pouvez le sélectionner dans la
liste.
5 Sous l'onglet Chemin d'accès de certification, sélectionnez le certificat en haut de l'arborescence et
cliquez sur Afficher le certificat.
Si le certificat utilisateur est signé comme faisant partie d'une hiérarchie d'approbation, le certificat de
signature peut être signé par un autre certificat de niveau plus élevé. Sélectionnez le certificat parent
(celui qui est actuellement signé par le certificat utilisateur) comme votre certificat racine. Dans certains
cas, l'émetteur peut être une autorité de certification intermédiaire.
6 Sous l'onglet Détails, cliquez sur Copier dans un fichier.
L'assistant Certificate Export (Exportation de certificat) apparaît.
7 Cliquez sur Suivant > Suivant, puis tapez un nom et un emplacement pour le fichier à exporter.
8 Cliquez sur Suivant pour enregistrer le fichier comme certificat racine dans l'emplacement spécifié.
Suivant
Ajoutez le certificat de l'autorité de certification à un fichier du magasin d'approbations du serveur.
Ajouter le certificat de l'autorité de certification à un fichier du magasin d'approbations du serveur
Vous devez ajouter des certificats racines, intermédiaires ou les deux types à un fichier du magasin
d'approbations du serveur pour tous les utilisateurs et administrateurs de confiance. Les instances du
Serveur de connexion View et les serveurs de sécurité utilisent ces informations pour authentifier les
utilisateurs et les administrateurs de cartes à puce.
Prérequis
Vous devez obtenir les certificats racines ou intermédiaires utilisés pour signer les certificats sur les
n
cartes à puce présentées par vos utilisateurs ou administrateurs. Reportez-vous aux sections « Obtenir
des certificats d'autorités de certification », page 51 et « Obtenir le certificat d'une autorité de
certification de Windows », page 51.
IMPORTANT Ces certificats peuvent inclure des certificats intermédiaires si le certificat de carte à puce de
l'utilisateur a été délivré par une autorité de certification intermédiaire.
Vérifiez que l'utilitaire keytool est ajouté au chemin d'accès du système sur votre hôte du Serveur de
n
connexion View ou du serveur de sécurité. Consultez le document Installation de View pour plus
d'informations.
52 VMware, Inc.
Page 53
Chapitre 3 Configuration de l'authentification
Procédure
1 Sur votre hôte du Serveur de connexion View ou du serveur de sécurité, utilisez l'utilitaire keytool pour
importer le certificat racine, le certificat intermédiaire ou les deux dans le fichier du magasin
d'approbations du serveur.
Par exemple : keytool -import -alias alias -file root_certificate -keystore truststorefile.key
Dans cette commande, alias est le nom unique sensible à la casse d'une nouvelle entrée dans le fichier
du magasin d'approbations, root_certificate est le certificat racine ou intermédiaire que vous avez obtenu
ou exporté, et truststorefile.key est le nom du fichier du magasin d'approbations auquel vous ajoutez le
certificat racine. Si le fichier n'existe pas, il est créé dans le répertoire actuel.
REMARQUE L'utilitaire keytool peut vous inviter à créer un mot de passe pour le fichier du magasin
d'approbations. Vous serez invité à fournir ce mot de passe si vous devez ajouter ultérieurement des
certificats supplémentaires au fichier du magasin d'approbations.
2 Copiez le fichier du magasin d'approbations dans le dossier de configuration de la passerelle SSL sur
l'hôte du Serveur de connexion View ou l'hôte du serveur de sécurité.
Par exemple : install_directory\VMware\VMware View\Server\sslgateway\conf\truststorefile.key
Suivant
Modifiez des propriétés de configuration du Serveur de connexion View pour activer l'authentification par
carte à puce.
Modifier des propriétés de configuration du Serveur de connexion View
Pour activer l'authentification par carte à puce, vous devez modifier les propriétés de configuration Serveur
de connexion View sur votre hôte du Serveur de connexion View ou du serveur de sécurité.
Prérequis
Ajoutez les certificats de l'autorité de certification pour tous les certificats utilisateur approuvés à un fichier
du magasin d'approbations du serveur. Ces certificats incluent des certificats racines et peuvent inclure des
certificats intermédiaires si le certificat de carte à puce de l'utilisateur a été délivré par une autorité de
certification intermédiaire.
Procédure
1 Créez ou modifiez le fichier locked.properties dans le dossier de configuration de la passerelle SSL sur
l'hôte du Serveur de connexion View ou du serveur de sécurité.
Par exemple : install_directory\VMware\VMware View\Server\sslgateway\conf\locked.properties
2 Ajoutez les propriétés trustKeyfile, trustStoretype et useCertAuth au fichier locked.properties.
a Définissez trustKeyfile sur le nom de votre fichier du magasin d'approbations.
b Définissez trustStoretype sur jks.
c Définissez useCertAuth sur true pour activer l'authentification par certificat.
3 Redémarrez le service Serveur de connexion View ou le service du serveur de sécurité pour que vos
modifications prennent effet.
VMware, Inc. 53
Page 54
Administration de View
Exemple : Fichier locked.properties
Le fichier affiché spécifie que le certificat racine de tous les utilisateurs approuvés est situé dans le fichier
lonqa.key, définit le type de magasin d'approbations sur jks et active l'authentification de certificat.
trustKeyfile=lonqa.key
trustStoretype=jks
useCertAuth=true
Suivant
Si vous avez configuré l'authentification par carte à puce pour une instance du Serveur de connexion View,
configurez les paramètres d'authentification par carte à puce dans View Administrator. Vous n'avez pas à
configurer des paramètres d'authentification par carte à puce pour un serveur de sécurité. Les paramètres
configurés sur une instance du Serveur de connexion View s'appliquent également à un serveur de sécurité
couplé.
Configurer des paramètres de carte à puce dans View Administrator
Vous pouvez utiliser View Administrator pour spécifier des paramètres afin de s'adapter à différents
scénarios d'authentification par carte à puce.
Lorsque vous configurez ces paramètres sur une instance du Serveur de connexion View, ils sont également
appliqués aux serveurs de sécurité couplés.
Prérequis
Modifiez les propriétés de configuration du Serveur de connexion View sur votre hôte du Serveur de
n
connexion View.
Vérifiez qu'Horizon Client établit des connexions HTTPS directement à votre hôte du Serveur de
n
connexion View ou du serveur de sécurité. L'authentification par carte à puce n'est pas prise en charge
si vous déchargez SSL sur un périphérique intermédiaire.
Procédure
1 Dans View Administrator, sélectionnez Configuration de View > Serveurs.
2 Dans l'onglet Serveurs de connexion, sélectionnez l'instance du Serveur de connexion View et cliquez
sur Modifier.
54 VMware, Inc.
Page 55
Chapitre 3 Configuration de l'authentification
3 Pour configurer l'authentification par carte à puce pour les utilisateurs d'applications et de postes de
travail distants, procédez comme suit.
a Dans l'onglet Authentification, sélectionnez une option de configuration dans le menu déroulant
Authentification par carte à puce de la section Authentification de View.
Option Action
Non autorisée
Facultative
Requis
L'authentification par carte à puce est désactivée sur l'instance du
Serveur de connexion View.
Les utilisateurs peuvent utiliser l'authentification par carte à puce ou
l'authentification par mot de passe pour se connecter à l'instance du
Serveur de connexion View. Si l'authentification par carte à puce
échoue, l'utilisateur doit fournir un mot de passe.
Les utilisateurs doivent utiliser l'authentification par carte à puce
lorsqu'ils se connectent à l'instance du Serveur de connexion View.
Lorsque l'authentification par carte à puce est requise, l'authentification
échoue pour les utilisateurs qui cochent la case Se connecter en tant
qu'utilisateur actuel lorsqu'ils se connectent à l'instance du Serveur de
connexion View. Ces utilisateurs doivent se réauthentifier avec leur
carte à puce et leur code PIN lorsqu'ils ouvrent une session sur le
Serveur de connexion View.
REMARQUE L'authentification par carte à puce ne remplace que
l'authentification par mot de passe de Windows. Si SecurID est activé,
les utilisateurs doivent s'authentifier en utilisant à la fois SecurID et
l'authentification par carte à puce.
b Configurez la règle de retrait de carte à puce.
Vous ne pouvez pas configurer la règle de retrait de carte à puce lorsque l'authentification par carte
à puce est définie sur Non autorisée.
Option Action
Déconnecter des utilisateurs du
Serveur de connexion View
lorsqu'ils retirent leurs cartes à
puce
Laisser les utilisateurs connectés
au Serveur de connexion View
lorsqu'ils retirent leur carte à puce
et les laisser démarrer de
nouvelles sessions de poste de
travail ou d'application sans se
réauthentifier
Cochez la case Déconnecter les sessions utilisateur lors du retrait de
la carte à puce.
Décochez la case Déconnecter les sessions utilisateur lors du retrait de
la carte à puce.
La règle de retrait de la carte à puce ne s'applique pas aux utilisateurs qui se connectent à l'instance
du Serveur de connexion View lorsque la case Se connecter en tant qu'utilisateur actuel est
cochée, même s'ils ouvrent une session sur leur système client avec une carte à puce.
VMware, Inc. 55
Page 56
Administration de View
4 Pour configurer l'authentification par carte à puce pour la connexion des administrateurs dans View
Administrator, cliquez sur l'onglet Authentification et sélectionnez une option de configuration dans le
menu déroulant Authentification par carte à puce des administrateurs dans la section Authentification
de l'administration de View.
Option Action
Non autorisée
Facultative
Requis
5 Cliquez sur OK.
6 Redémarrez le service Serveur de connexion View.
Vous devez redémarrer le service Serveur de connexion View pour que les modifications des
paramètres de carte à puce prennent effet, avec une exception. Vous pouvez modifier les paramètres
d'authentification par carte à puce entre Facultative et Requise sans qu'il soit nécessaire de redémarrer
le service Serveur de connexion View.
L'authentification par carte à puce est désactivée sur l'instance du Serveur
de connexion View.
Les administrateurs peuvent utiliser l'authentification par carte à puce ou
l'authentification par mot de passe pour se connecter à View
Administrator. Si l'authentification par carte à puce échoue,
l'administrateur doit fournir un mot de passe.
Les administrateurs doivent utiliser une authentification par carte à puce
lorsqu'ils se connectent à View Administrator.
Les utilisateurs et les administrateurs actuellement connectés ne sont pas affectés par les modifications
des paramètres de carte à puce.
Suivant
Préparez Active Directory pour l'authentification par carte à puce, si nécessaire. Reportez-vous à la section
« Préparer Active Directory pour l'authentification par carte à puce », page 57.
Vérifiez votre configuration d'authentification par carte à puce. Reportez-vous à la section « Vérifier votre
configuration de l'authentification par carte à puce », page 60.
Configurer l'authentification par carte à puce sur des solutions tierces
Les solutions tierces telles que les équilibrages de charge et les passerelles peuvent exécuter
l'authentification par carte à puce en transmettant une assertion SAML qui contient le certificat X.590 et le
code PIN crypté de la carte à puce.
Cette rubrique indique les tâches impliquées dans la configuration de solutions tierces afin de fournir le
certificat X.590 approprié au Serveur de connexion View une fois qu'il a été validé par le périphérique
partenaire. Comme cette fonctionnalité utilise l'authentification SAML, l'une des tâches consiste à créer un
authentificateur SAML dans View Administrator.
REMARQUE Pour Horizon 6 version 6.2, l'utilisation des cartes à puce avec des dispositifs VMware
Access Point est une fonctionnalité de la version d'évaluation technique. Pour plus d'informations sur la
configuration de l'authentification par carte à puce sur Access Point, consultez le document Déploiement et
configuration d'un point d'accès.
Procédure
1 Créez un authentificateur SAML pour la passerelle ou l'équilibrage de charge tiers.
Reportez-vous à la section « Configurer des authentificateurs SAML dans View Administrator »,
page 62.
56 VMware, Inc.
Page 57
Chapitre 3 Configuration de l'authentification
2 Étendez la période d'expiration des métadonnées du Serveur de connexion View pour que les sessions à
distance ne se terminent pas après seulement 24 heures.
Reportez-vous à la section « Modifier la période d’expiration des métadonnées du fournisseur de
service », page 64.
3 Si nécessaire, configurez le périphérique tiers afin d'utiliser les métadonnées de fournisseur de service
du Serveur de connexion View.
Consultez la documentation produit du périphérique tiers.
4 Configurez les paramètres de la carte à puce sur le périphérique tiers.
Consultez la documentation produit du périphérique tiers.
Préparer Active Directory pour l'authentification par carte à puce
Vous devrez peut-être effectuer certaines tâches dans Active Directory lors de l'implémentation de
l'authentification par carte à puce.
Ajouter des UPN pour des utilisateurs de carte à puce page 57
n
Comme les ouvertures de session par carte à puce reposent sur des noms d'utilisateur principaux
(UPN), les comptes d'utilisateurs et d'administrateurs Active Directory qui utilisent des cartes à puce
pour s'authentifier dans View doivent avoir un UPN valide.
Ajouter le certificat racine au magasin Enterprise NTAuth page 58
n
Si vous utilisez une autorité de certification pour émettre des certificats d'ouverture de session par
carte à puce ou de contrôleur de domaine, vous devez ajouter le certificat racine au magasin Enterprise
NTAuth dans Active Directory. Vous n'avez pas à effectuer cette procédure si le contrôleur de
domaine Windows agit en tant qu'autorité de certification racine.
Ajouter le certificat racine à des autorités de certification racines de confiance page 58
n
Si vous utilisez une autorité de certification pour émettre des certificats d'ouverture de session par
carte à puce ou de contrôleur de domaine, vous devez ajouter le certificat racine à la stratégie de
groupe Autorités de certification racines de confiance dans Active Directory. Vous n'avez pas à
effectuer cette procédure si le contrôleur de domaine Windows agit en tant qu'autorité de certification
racine.
Ajouter un certificat intermédiaire à des autorités de certification intermédiaires page 59
n
Si vous utilisez une autorité de certification intermédiaire pour émettre des certificats d'ouverture de
session par carte à puce ou de contrôleur de domaine, vous devez ajouter le certificat intermédiaire à
la stratégie de groupe Intermediate Certification Authorities (Autorités de certification intermédiaires)
dans Active Directory.
Ajouter des UPN pour des utilisateurs de carte à puce
Comme les ouvertures de session par carte à puce reposent sur des noms d'utilisateur principaux (UPN), les
comptes d'utilisateurs et d'administrateurs Active Directory qui utilisent des cartes à puce pour
s'authentifier dans View doivent avoir un UPN valide.
Si le domaine sur lequel réside un utilisateur de carte à puce est différent du domaine à partir duquel est
émis votre certificat racine, vous devez définir l'UPN de l'utilisateur sur l'autre nom de l'objet (SAN)
contenu dans le certificat racine de l'autorité de certification approuvée. Si votre certificat racine est émis à
partir d'un serveur dans le domaine actuel de l'utilisateur de carte à puce, vous n'avez pas à modifier l'UPN
de l'utilisateur.
REMARQUE Vous devrez peut-être définir l'UPN pour les comptes Active Directory intégrés, même si le
certificat est émis à partir du même domaine. Aucun UPN n'est défini par défaut pour les comptes intégrés,
y compris Administrateur.
VMware, Inc. 57
Page 58
Administration de View
Prérequis
Obtenez le SAN contenu dans le certificat racine de l'autorité de certification approuvée en affichant les
n
propriétés du certificat.
Si l'utilitaire Éditeur ADSI n'est pas présent sur votre serveur Active Directory, téléchargez et installez
n
les outils de support Windows appropriés sur le site Web Microsoft.
Procédure
1 Sur votre serveur Active Directory, démarrez l'utilitaire Éditeur ADSI.
2 Dans le volet de gauche, développez le domaine dans lequel se trouve l'utilisateur et double-cliquez sur
CN=Users.
3 Dans le volet de droite, cliquez avec le bouton droit sur l'utilisateur et cliquez sur Propriétés.
4 Double-cliquez sur l'attribut userPrincipalName et saisissez la valeur SAN du certificat de l'autorité de
certification approuvée.
5 Cliquez sur OK pour enregistrer le paramètre d'attribut.
Ajouter le certificat racine au magasin Enterprise NTAuth
Si vous utilisez une autorité de certification pour émettre des certificats d'ouverture de session par carte à
puce ou de contrôleur de domaine, vous devez ajouter le certificat racine au magasin Enterprise NTAuth
dans Active Directory. Vous n'avez pas à effectuer cette procédure si le contrôleur de domaine Windows
agit en tant qu'autorité de certification racine.
Procédure
Sur votre serveur Active Directory, utilisez la commande certutil pour publier le certificat dans le
u
magasin Enterprise NTAuth.
Par exemple : certutil -dspublish -f path_to_root_CA_cert NTAuthCA
L'autorité de certification est désormais approuvée pour émettre des certificats de ce type.
Ajouter le certificat racine à des autorités de certification racines de confiance
Si vous utilisez une autorité de certification pour émettre des certificats d'ouverture de session par carte à
puce ou de contrôleur de domaine, vous devez ajouter le certificat racine à la stratégie de groupe Autorités
de certification racines de confiance dans Active Directory. Vous n'avez pas à effectuer cette procédure si le
contrôleur de domaine Windows agit en tant qu'autorité de certification racine.
Procédure
1 Sur le serveur Active Directory, accédez au plug-in de gestion de stratégie de groupe.
Version d'AD Chemin de navigation
Windows 2003
Windows 2008
a Sélectionnez Démarrer > Tous les programmes > Outils
d'administration > Utilisateurs et ordinateurs Active Directory.
b Cliquez avec le bouton droit sur votre domaine et cliquez sur
Propriétés.
c Sous l'onglet Stratégie de groupe, cliquez sur Ouvrir pour ouvrir le
plug-in Gestion de stratégie de groupe.
d Cliquez avec le bouton droit sur Stratégie de domaine par défaut et
cliquez sur Modifier.
a Sélectionnez Démarrer > Outils d'administration > Gestion de
stratégie de groupe.
b Développez votre domaine, cliquez avec le bouton droit sur Stratégie
de domaine par défaut et cliquez sur Modifier.
58 VMware, Inc.
Page 59
Chapitre 3 Configuration de l'authentification
2 Développez la section Configuration ordinateur et ouvrez le dossier Paramètres Windows\Paramètres
de sécurité\Clé publique.
3 Cliquez avec le bouton droit sur Autorités de certification racines de confiance et sélectionnez
Importer.
4 Suivez les invites de l'assistant pour importer le certificat racine (par exemple, rootCA.cer) et cliquez
sur OK.
5 Fermez la fenêtre Group Policy (Stratégie de groupe).
Tous les systèmes du domaine contiennent maintenant une copie du certificat racine dans leur magasin
racine approuvé.
Suivant
Si une autorité de certification intermédiaire émet vos certificats d'ouverture de session par carte à puce ou
de contrôleur de domaine, ajoutez le certificat intermédiaire à la stratégie de groupe Intermediate
Certification Authorities (Autorités de certification intermédiaires) dans Active Directory. Reportez-vous à
la section « Ajouter un certificat intermédiaire à des autorités de certification intermédiaires », page 59.
Ajouter un certificat intermédiaire à des autorités de certification intermédiaires
Si vous utilisez une autorité de certification intermédiaire pour émettre des certificats d'ouverture de session
par carte à puce ou de contrôleur de domaine, vous devez ajouter le certificat intermédiaire à la stratégie de
groupe Intermediate Certification Authorities (Autorités de certification intermédiaires) dans Active
Directory.
Procédure
1 Sur le serveur Active Directory, accédez au plug-in de gestion de stratégie de groupe.
Version d'AD Chemin de navigation
Windows 2003
Windows 2008
a Sélectionnez Démarrer > Tous les programmes > Outils
d'administration > Utilisateurs et ordinateurs Active Directory.
b Cliquez avec le bouton droit sur votre domaine et cliquez sur
Propriétés.
c Sous l'onglet Stratégie de groupe, cliquez sur Ouvrir pour ouvrir le
plug-in Gestion de stratégie de groupe.
d Cliquez avec le bouton droit sur Stratégie de domaine par défaut et
cliquez sur Modifier.
a Sélectionnez Démarrer > Outils d'administration > Gestion de
stratégie de groupe.
b Développez votre domaine, cliquez avec le bouton droit sur Stratégie
de domaine par défaut et cliquez sur Modifier.
2 Développez la section Configuration ordinateur et ouvrez la stratégie de Paramètres
Windows\Paramètres de sécurité\Clé publique.
3 Cliquez avec le bouton droit sur Autorités de certification intermédiaires et sélectionnez Importer.
4 Suivez les invites de l'assistant pour importer le certificat intermédiaire (par exemple,
intermediateCA.cer) et cliquez sur OK.
5 Fermez la fenêtre Groupe Policy (Stratégie de groupe).
Tous les systèmes du domaine contiennent maintenant une copie du certificat intermédiaire dans leur
magasin d'autorité de certification intermédiaire approuvé.
VMware, Inc. 59
Page 60
Administration de View
Vérifier votre configuration de l'authentification par carte à puce
Après avoir configuré l'authentification par carte à puce pour la première fois, ou quand l'authentification
par carte à puce ne fonctionne pas correctement, vous devez vérifier votre configuration de l'authentification
par carte à puce.
Procédure
Vérifiez que chaque système client dispose d'un intergiciel pour carte à puce, d'une carte à puce avec un
n
certificat valide et d'un lecteur de carte à puce. Pour ce qui est utilisateurs finaux, vérifiez qu'ils
disposent d'Horizon Client.
Pour plus d'informations sur la configuration logicielle et matérielle des cartes à puce, consultez la
documentation de votre fournisseur de carte à puce.
Sur chaque système client, sélectionnez Démarrer > Paramètres > Panneau de configuration > Options
n
Internet > Contenu > Certificats > Personnel afin de vérifier que des certificats sont disponibles pour
l'authentification par carte à puce.
Lorsqu'un utilisateur ou un administrateur insère une carte à puce dans le lecteur prévu à cet effet,
Windows copie les certificats de la carte à puce sur l'ordinateur de l'utilisateur. Les applications du
système client, notamment Horizon Client, peuvent utiliser ces certificats.
Dans le fichier locked.properties sur l'hôte du Serveur de connexion View ou du serveur de sécurité,
n
vérifiez que la propriété useCertAuth est définie sur true et qu'elle est bien orthographiée.
Le fichier locked.properties se trouve dans install_directory\VMware\VMware
View\Server\sslgateway\conf. La propriété useCertAuth est souvent mal orthographiée ainsi :
userCertAuth.
Si vous avez configuré l'authentification par carte à puce sur une instance du Serveur de connexion
n
View, vérifiez le paramètre d'authentification par carte à puce dans View Administrator.
a Sélectionnez Configuration de View > Serveurs.
b Dans l'onglet Serveurs de connexion, sélectionnez l'instance du Serveur de connexion View et
cliquez sur Modifier.
c Si vous avez configuré l'authentification par carte à puce pour les utilisateurs, dans l'onglet
Authentification, vérifiez que l'option Authentification par carte à puce des utilisateurs est
définie sur Facultative ou Requise.
d Si vous avez configuré l'authentification par carte à puce pour les administrateurs, dans l'onglet
Authentification, vérifiez que l'option Authentification par carte à puce des administrateurs est
définie sur Facultative ou Requise.
Vous devez redémarrer le service Serveur de connexion View pour que les modifications des
paramètres de carte à puce prennent effet.
60 VMware, Inc.
Page 61
Chapitre 3 Configuration de l'authentification
Si le domaine sur lequel réside un utilisateur de carte à puce est différent du domaine à partir duquel
n
est émis votre certificat racine, vérifiez que le nom d'utilisateur principal (UPN) de l'utilisateur est
défini sur l'autre nom de l'objet (SAN) contenu dans le certificat racine de l'autorité de certification
approuvée.
a Recherchez le SAN contenu dans le certificat racine de l'autorité de certification approuvée en
affichant les propriétés du certificat.
b Sur votre serveur Active Directory, sélectionnez Démarrer > Outils d'administration > Utilisateurs
et ordinateurs Active Directory.
c Cliquez avec le bouton droit sur le dossier Utilisateurs et sélectionnez Propriétés.
L'UPN s'affiche dans les zones de texte Nom d'ouverture de session de l'utilisateur de l'onglet
Compte.
Si des utilisateurs de carte à puce utilisent le protocole PCoIP pour se connecter à des postes de travail à
n
session unique, vérifiez que la sous-fonction PCoIP Smartcard de View Agent est installée sur les
machines mono-utilisateur. La fonctionnalité PCoIP Smartcard permet aux utilisateurs de se connecter à
des postes de travail à session unique avec des cartes à puce en utilisant le protocole PCoIP. Les hôtes
RDS, sur lesquels le rôle des services Bureau à distance (RDS) est installé, prennent automatiquement
en charge la fonctionnalité PCoIP Smartcard et vous n'avez donc pas besoin d'installer celle-ci.
Vérifiez que les fichiers journaux dans lecteur:\Documents and Settings\All Users\Application
n
Data\VMware\VDM\logs sur l'hôte du Serveur de connexion View ou du serveur de sécurité contiennent
des messages indiquant que l'authentification par carte à puce est activée.
Utilisation de l'authentification SAML
Le langage SAML (Security Assertion Markup Language) est une norme XML utilisée pour décrire et
échanger des informations d'authentification et d'autorisation entre différents domaines de sécurité. SAML
transmet des informations sur les utilisateurs entre les fournisseurs d'identité et les fournisseurs de services
dans des documents XML nommés assertions SAML.
Vous pouvez utiliser l'authentification SAML pour intégrer VMware Workspace Portal à View ou pour
intégrer des passerelles ou des équilibrages de charge tiers à View. Lorsque la fonctionnalité SSO est activée,
les utilisateurs qui ouvrent une session sur Workspace Portal ou un périphérique tiers peuvent lancer des
applications et des postes de travail distants sans passer par une deuxième procédure de connexion. Vous
pouvez également utiliser l'authentification SAML pour implémenter l'authentification par carte à puce sur
des périphériques tiers.
Pour déléguer la responsabilité de l'authentification à Workspace Portal ou un périphérique tiers, vous
devez créer un authentificateur SAML dans View. Un authentificateur SAML contient l'approbation et
l'échange de métadonnées entre View et Workspace Portal ou View et le périphérique tiers. Vous associez
un authentificateur SAML à une instance du Serveur de connexion View.
Utilisation de l'authentification SAML pour l'intégration de Workspace Portal
La mise en œuvre de l'intégration de Workspace Portal et de View fait appel à la norme SAML 2.0 pour
établir une approbation mutuelle, qui est essentielle pour la fonctionnalité Single Sign-On (SSO). Lorsque la
fonctionnalité SSO est activée, les utilisateurs qui se connectent à Workspace Portal avec des informations
d'identification Active Directory peuvent lancer des applications et des postes de travail distants sans passer
par une deuxième procédure de connexion.
Lorsque Workspace Portal et View sont intégrés, Workspace Portal Manager génère un artefact SAML
unique dès qu'un utilisateur se connecte à Workspace Portal et clique sur une icône de poste de travail ou
d'application. Workspace Portal Manager utilise cet artefact SAML pour créer un URI (Universal Resource
Identifier). L'URI contient des informations sur l'instance du Serveur de connexion View sur laquelle réside
le pool de postes de travail ou d'applications, sur le poste de travail ou l'application à lancer et sur l'artefact
SAML.
VMware, Inc. 61
Page 62
Administration de View
Workspace Portal Manager envoie l'artefact SAML à Horizon Client par le biais de Workspace Portal, qui à
son tour envoie l'artefact à l'instance du Serveur de connexion View. L'instance du Serveur de connexion
View utilise l'artefact SAML pour récupérer l'assertion SAML de Workspace Portal Manager via
Workspace Portal.
Dès qu'une instance du Serveur de connexion View reçoit une assertion SAML, elle valide celle-ci, déchiffre
le mot de passe de l'utilisateur et utilise le mot de passe déchiffré pour lancer le poste de travail ou
l'application.
L'installation de l'intégration de Workspace Portal et de View implique la configuration de
Workspace Portal avec les informations de View et la configuration de View afin de déléguer la
responsabilité de l'authentification à Workspace Portal.
Pour déléguer la responsabilité de l'authentification à Workspace Portal, vous devez créer un
authentificateur SAML dans View. Un authentificateur SAML assure l'échange d'approbations et de
métadonnées entre View et Workspace Portal. Vous associez un authentificateur SAML à une instance du
Serveur de connexion View.
REMARQUE Si vous prévoyez de fournir un accès à vos applications et postes de travail via
Workspace Portal, assurez-vous de créer les pools d'applications et de postes de travail en tant qu'utilisateur
disposant du rôle Administrateurs sur le groupe d'accès racine dans View Administrator. Si vous attribuez à
l'utilisateur le rôle Administrateurs sur un groupe d'accès autre que le groupe d'accès racine,
Workspace Portal ne reconnaîtra pas l'authentificateur SAML que vous configurez dans View et vous ne
pourrez pas configurer le pool dans Workspace Portal.
Configurer des authentificateurs SAML dans View Administrator
Pour lancer des applications et des postes de travail distants depuis Workspace Portal ou pour vous
connecter à des applications et des postes de travail distants via une passerelle ou un équilibrage de charge
tiers, vous devez créer un authentificateur SAML dans View Administrator. Un authentificateur SAML
contient l'approbation et l'échange de métadonnées entre View et le périphérique auquel se connecte le
client.
Vous associez un authentificateur SAML à une instance du Serveur de connexion View. Si votre
déploiement inclut plusieurs instances du Serveur de connexion View, vous devez associer l'authentificateur
SAML à chaque instance.
REMARQUE Pour plus d'informations sur la configuration d'un authentificateur SAML pour les dispositifs
Access Point de VMware, consultez le document Déploiement et configuration d'un point d'accès.
Prérequis
Vérifiez qu'Workspace Portal ou une passerelle ou un équilibrage de charge tiers est installé et
n
configuré. Reportez-vous au Guide d'installation et de configuration du portail VMware Workspace Portal.
Vérifiez que le certificat racine de l'autorité de certification de signature pour le certificat du serveur
n
SAML est installé sur l'hôte du Serveur de connexion View. VMware recommande de ne pas configurer
d'authentificateurs SAML pour utiliser des certificats auto-signés. Pour plus d'informations sur
l'authentification des certificats, reportez-vous au document Installation de View.
Notez le nom de domaine complet ou l'adresse IP du serveur Workspace Portal ou de l'équilibrage de
n
charge externe.
(Facultatif) Pour Workspace Portal, notez l’URL de l’interface Web d’Workspace Portal Connector.
n
Procédure
1 Dans View Administrator, sélectionnez Configuration de View > Serveurs.
62 VMware, Inc.
Page 63
Chapitre 3 Configuration de l'authentification
2 Dans l'onglet Serveurs de connexion, sélectionnez une instance du Serveur de connexion View à
associer à l'authentificateur SAML et cliquez sur Modifier.
3 Dans l'onglet Authentification, sélectionnez un paramètre dans le menu déroulantDélégation de
l'authentification à VMware Horizon (authentificateur SAML 2.0) pour activer ou désactiver
l'authentificateur SAML.
Option Description
Désactivé
Autorisé
Requis
L'authentification SAML est désactivée. Vous ne pouvez lancer des
applications et des postes de travail distants qu'à partir d'Horizon Client.
L'authentification SAML est activée. Vous pouvez lancer des applications
et des postes de travail distants depuis Horizon Client et Workspace Portal
ou le périphérique tiers.
L'authentification SAML est activée. Vous pouvez lancer des applications
et des postes de travail distants uniquement depuis Workspace Portal ou le
périphérique tiers. Vous ne pouvez pas lancer manuellement des postes de
travail ou des applications à partir d'Horizon Client.
Vous pouvez configurer chaque instance du Serveur de connexion View dans votre déploiement pour
disposer de paramètres d'authentification SAML différents, adaptés à vos exigences.
4 Sélectionnez Créer un nouvel authentificateur dans le menu déroulant Authentificateur SAML ou, si
un authentificateur SAML a déjà été ajouté, cliquez sur Gérer des authentificateurs et cliquez sur
Ajouter.
5 Configurez l'authentificateur SAML dans la boîte de dialogue Ajouter un authentificateur SAML 2.0.
Option Description
Étiquette
Description
URL de métadonnées
URL d'administration
Nom unique qui identifie l'authentificateur SAML.
Brève description de l'authentificateur SAML. Cette valeur est facultative.
URL pour récupérer toutes les informations requises pour échanger des
informations SAML entre le fournisseur d'identité SAML et l'instance du
Serveur de connexion View. Dans l'URL https://<NOM DE VOTRE
SERVEUR HORIZON>/SAAS/API/1.0/GET/metadata/idp.xml, cliquez sur
<NOM DE VOTRE SERVEUR HORIZON> et remplacez-le par le FQDN
ou l'adresse IP du serveur Workspace Portal ou de l'équilibrage de charge
externe (périphérique tiers).
URL pour accéder à la console d'administration du fournisseur d'identité
SAML. Pour Workspace Portal, cette URL doit pointer vers l’interface Web
d’Workspace Portal Connector. Cette valeur est facultative.
6 Cliquez sur OK pour enregistrer la configuration de l'authentificateur SAML.
Si vous avez fourni des informations valides, vous devez accepter le certificat auto-signé (non
recommandé) ou utiliser un certificat approuvé pour View et Workspace Portal.
Le menu déroulant Authentificateur SAML 2.0 affiche l'authentificateur récemment créé qui est
maintenant défini comme l'authentificateur sélectionné.
7 Dans la section Intégrité du système du tableau de bord de View Administrator, sélectionnez Autres
composants > Authentificateurs SAML 2.0, sélectionnez l'authentificateur SAML que vous avez ajouté,
puis vérifiez les détails.
Si la configuration aboutit, la santé de l'authentificateur est représentée par la couleur verte. La santé de
l'authentificateur peut s'afficher en rouge si le certificat n'est pas approuvé, si Workspace Portal n'est
pas disponible ou si l'URL des métadonnées n'est pas valide. Si le certificat n'est pas approuvé, vous
pourrez peut-être cliquer sur Vérifier pour valider et accepter le certificat.
VMware, Inc. 63
Page 64
Administration de View
Suivant
Étendez la période d'expiration des métadonnées du Serveur de connexion View pour que les sessions à
distance ne se terminent pas après seulement 24 heures. Reportez-vous à la section « Modifier la période
d’expiration des métadonnées du fournisseur de service », page 64.
Modifier la période d’expiration des métadonnées du fournisseur de service
Si vous ne modifiez pas la période d'expiration, le Serveur de connexion View cessera d'accepter les
assertions SAML de l'authentificateur SAML, tel qu'Access Point ou un fournisseur d'identité tiers, après
24 heures, et l'échange de métadonnées doit être répété.
Suivez cette procédure pour indiquer le délai en jours après lequel le Serveur de connexion View arrête
d'accepter les assertions SAML du fournisseur d'identité. Cette valeur est utilisée à la fin de la période
d'expiration actuelle. Par exemple, si la période d'expiration actuelle est d'un jour et que vous indiquez
90 jours, lorsque le délai d'un jour est écoulé, le Serveur de connexion View génère des métadonnées avec
une période d'expiration de 90 jours.
Prérequis
Pour plus d'informations sur l'utilisation de l'utilitaire ADSI Edit sur votre version du système
d'exploitation Windows, consultez le site Web Microsoft TechNet.
Procédure
1 Démarrez l'utilitaire ADSI Edit sur votre hôte du Serveur de connexion View.
2 Dans l'arborescence de la console, sélectionnez Se connecter à.
3 Dans la zone de texte Sélectionnez ou entrez un nom unique ou un contexte d'attribution de noms,
tapez le nom unique DC=vdi, DC=vmware, DC=int.
4 Dans le volet Ordinateur, sélectionnez ou tapez localhost:389 ou le nom de domaine complet du
Serveur de connexion View, suivi du port 389.
Par exemple : localhost:389 ou mycomputer.example.com:389
5 Développez l'arborescence d'ADSI Edit, développez OU=Properties, sélectionnez OU=Global et
double-cliquez sur OU=Common dans le volet de droite.
6 Dans la boîte de dialogue Propriétés, modifiez l'attribut pae-NameValuePair pour ajouter les valeurs
suivantes
cs-samlencryptionkeyvaliditydays=number-of-days
cs-samlsigningkeyvaliditydays=number-of-days
Dans cet exemple, number-of-days est le nombre de jours pouvant s'écouler avant qu'un Serveur de
connexion View distant cesse d'accepter des assertions SAML. Après cette période de temps, le
processus d'échange des métadonnées SAML doit être répété.
Utilisation de la vérification de la révocation des certificats de carte à puce
Vous pouvez empêcher les utilisateurs avec des certificats utilisateur révoqués de s'authentifier avec des
cartes à puce en configurant la vérification de la révocation des certificats. Les certificats sont souvent
révoqués lorsqu'un utilisateur quitte une entreprise, perd une carte à puce ou passe d'un service à un autre.
View prend en charge la vérification de la révocation des certificats avec des listes de révocation de
certificats (CRL) et avec le protocole OCSP (Online Certificate Status Protocol). Une CRL est une liste de
certificats révoqués publiée par l'autorité de certification qui a émis les certificats. OCSP est un protocole de
validation de certificat utilisé pour obtenir l'état de révocation d'un certificat X.509.
64 VMware, Inc.
Page 65
Chapitre 3 Configuration de l'authentification
Vous pouvez configurer la vérification de la révocation des certificats sur une instance du Serveur de
connexion View ou sur un serveur de sécurité. Lorsqu'une instance du Serveur de connexion View est
couplée avec un serveur de sécurité, vous configurez la vérification de la révocation des certificats sur le
serveur de sécurité. L'autorité de certification doit être accessible depuis l'hôte du Serveur de connexion
View ou l'hôte du serveur de sécurité.
Vous pouvez configurer la CRL et OCSP sur la même instance du Serveur de connexion View ou sur le
même serveur de sécurité. Lorsque vous configurez les deux types de vérification de la révocation des
certificats, View tente d'utiliser d'abord OCSP et revient à la CRL si OCSP échoue. View ne revient pas à
OCSP si la CRL échoue.
Ouvrir une session avec la vérification de la liste de révocation de certificats page 65
n
Lorsque vous configurez la vérification de la liste de révocation de certificats, View crée et lit une liste
de révocation de certificats pour déterminer l'état de révocation d'un certificat utilisateur.
Ouvrir une session avec la vérification de la révocation des certificats OCSP page 65
n
Lorsque vous configurez la vérification de la révocation des certificats OCSP, View envoie une
demande à un répondeur OCSP pour déterminer l'état de révocation d'un certificat utilisateur
spécifique. View utilise un certificat de signature OCSP pour vérifier que les réponses qu'il reçoit du
répondeur OCSP sont authentiques.
Configurer la vérification de la liste de révocation de certificats page 66
n
Lorsque vous configurez la vérification de la liste de révocation de certificats, View lit une liste de
révocation de certificats pour déterminer l'état de révocation d'un certificat utilisateur de carte à puce.
Configurer la vérification de la révocation des certificats OCSP page 66
n
Lorsque vous configurez la vérification de la révocation des certificats OCSP, View envoie une
demande de vérification à un répondeur OCSP pour déterminer l'état de révocation d'un certificat de
carte à puce.
Propriétés de la vérification de la révocation des certificats de carte à puce page 67
n
Vous définissez des valeurs dans le fichier locked.properties pour activer et configurer la vérification
de la révocation des certificats de carte à puce.
Ouvrir une session avec la vérification de la liste de révocation de certificats
Lorsque vous configurez la vérification de la liste de révocation de certificats, View crée et lit une liste de
révocation de certificats pour déterminer l'état de révocation d'un certificat utilisateur.
Si un certificat est révoqué et que l'authentification par carte à puce est facultative, la boîte de dialogue Enter
your user name and password (Entrez votre nom d'utilisateur et votre mot de passe) apparaît et l'utilisateur
doit fournir un mot de passe pour s'authentifier. Si l'authentification par carte à puce est requise, l'utilisateur
reçoit un message d'erreur et n'est pas autorisé à s'authentifier. Les mêmes événements se produisent si
View ne peut pas lire la liste de révocation de certificats.
Ouvrir une session avec la vérification de la révocation des certificats OCSP
Lorsque vous configurez la vérification de la révocation des certificats OCSP, View envoie une demande à
un répondeur OCSP pour déterminer l'état de révocation d'un certificat utilisateur spécifique. View utilise
un certificat de signature OCSP pour vérifier que les réponses qu'il reçoit du répondeur OCSP sont
authentiques.
Si le certificat de l'utilisateur est révoqué et que l'authentification par carte à puce est facultative, la boîte de
dialogue Enter your user name and password (Entrez votre nom d'utilisateur et votre mot de passe)
apparaît et l'utilisateur doit fournir un mot de passe pour s'authentifier. Si l'authentification par carte à puce
est requise, l'utilisateur reçoit un message d'erreur et n'est pas autorisé à s'authentifier.
View revient à la vérification de la liste de révocation de certificats s'il ne reçoit pas de réponse du
répondeur OCSP ou si la réponse n'est pas valide.
VMware, Inc. 65
Page 66
Administration de View
Configurer la vérification de la liste de révocation de certificats
Lorsque vous configurez la vérification de la liste de révocation de certificats, View lit une liste de
révocation de certificats pour déterminer l'état de révocation d'un certificat utilisateur de carte à puce.
Prérequis
Familiarisez-vous avec les propriétés du fichier locked.properties pour la vérification de la liste de
révocation de certificats. Reportez-vous à la section « Propriétés de la vérification de la révocation des
certificats de carte à puce », page 67.
Procédure
1 Créez ou modifiez le fichier locked.properties dans le dossier de configuration de la passerelle SSL sur
l'hôte du Serveur de connexion View ou du serveur de sécurité.
Par exemple : install_directory\VMware\VMware View\Server\sslgateway\conf\locked.properties
2 Ajoutez les propriétés enableRevocationChecking et crlLocation au fichier locked.properties.
a Définissez enableRevocationChecking sur true pour activer la vérification de la révocation des
certificats de carte à puce.
b Définissez crlLocation sur l'emplacement de la liste de révocation de certificats. La valeur peut
être une URL ou un chemin d'accès au fichier.
3 Redémarrez le service Serveur de connexion View ou le service du serveur de sécurité pour que vos
modifications prennent effet.
Exemple : Fichier locked.properties
Le fichier active l'authentification par carte à puce et la vérification de la révocation des certificats de carte à
puce, configure la vérification de la liste de révocation de certificats et spécifie une URL pour l'emplacement
de la liste de révocation de certificats.
trustKeyfile=lonqa.key
trustStoretype=jks
useCertAuth=true
enableRevocationChecking=true
crlLocation=http://root.ocsp.net/certEnroll/ocsp-ROOT_CA.crl
Configurer la vérification de la révocation des certificats OCSP
Lorsque vous configurez la vérification de la révocation des certificats OCSP, View envoie une demande de
vérification à un répondeur OCSP pour déterminer l'état de révocation d'un certificat de carte à puce.
Prérequis
Familiarisez-vous avec les propriétés du fichier locked.properties pour la vérification de la révocation des
certificats OCSP. Reportez-vous à la section « Propriétés de la vérification de la révocation des certificats de
carte à puce », page 67.
Procédure
1 Créez ou modifiez le fichier locked.properties dans le dossier de configuration de la passerelle SSL sur
l'hôte du Serveur de connexion View ou du serveur de sécurité.
Par exemple : install_directory\VMware\VMware View\Server\sslgateway\conf\locked.properties
66 VMware, Inc.
Page 67
Chapitre 3 Configuration de l'authentification
2 Ajoutez les propriétés enableRevocationChecking, enableOCSP, ocspURL et ocspSigningCert au fichier
locked.properties.
a Définissez enableRevocationChecking sur true pour activer la vérification de la révocation des
certificats de carte à puce.
b Définissez enableOCSP sur true pour activer la vérification de la révocation des certificats OCSP.
c Définissez ocspURL sur l'URL du répondeur OCSP.
d Définissez ocspSigningCert sur l'emplacement du fichier contenant le certificat de signature du
répondeur OCSP.
3 Redémarrez le service Serveur de connexion View ou le service du serveur de sécurité pour que vos
modifications prennent effet.
Exemple : Fichier locked.properties
Le fichier active l'authentification par carte à puce et la vérification de la révocation des certificats de carte à
puce, configure à la fois la vérification de la révocation des certificats CRL et OCSP, spécifie l'emplacement
du répondeur OCSP et identifie le fichier contenant le certificat de signature OCSP.
trustKeyfile=lonqa.key
trustStoretype=jks
useCertAuth=true
enableRevocationChecking=true
enableOCSP=true
allowCertCRLs=true
ocspSigningCert=te-ca.signing.cer
ocspURL=http://te-ca.lonqa.int/ocsp
Propriétés de la vérification de la révocation des certificats de carte à puce
Vous définissez des valeurs dans le fichier locked.properties pour activer et configurer la vérification de la
révocation des certificats de carte à puce.
Tableau 3-1 répertorie les propriétés du fichier locked.properties concernant la vérification de la révocation
des certificats.
Tableau 3‑1. Propriétés de la vérification de la révocation des certificats de carte à puce
Propriété Description
enableRevocationChecking Définissez cette propriété sur true pour activer la
vérification de la révocation des certificats.
Lorsque cette propriété est définie sur false, la vérification
de la révocation des certificats est désactivée et toutes les
autres propriétés de vérification de la révocation des
certificats sont ignorées.
La valeur par défaut est false.
crlLocation
Spécifie l'emplacement de la liste de révocation de
certificats, qui peut être une URL ou un chemin de fichier.
Si vous ne spécifiez pas d'URL, ou si l'URL spécifiée n'est
pas valide, View utilise la liste de révocation de certificats
sur le certificat utilisateur si allowCertCRLs est défini sur
true ou n'est pas spécifié.
Si View ne peut pas accéder à une liste de révocation de
certificats, la vérification de la liste de révocation de
certificats échoue.
VMware, Inc. 67
Page 68
Administration de View
Tableau 3‑1. Propriétés de la vérification de la révocation des certificats de carte à puce (suite)
Propriété Description
allowCertCRLs Lorsque cette propriété est définie sur true, View extrait
enableOCSP Définissez cette propriété sur true pour activer la
ocspURL
ocspResponderCert
ocspSendNonce Lorsque cette propriété est définie sur true, une valeur
ocspCRLFailover Lorsque cette propriété est définie sur true, View utilise la
une liste de révocation de certificats du certificat
utilisateur.
La valeur par défaut est true.
vérification de la révocation des certificats OCSP.
La valeur par défaut est false.
Spécifie l'URL d'un répondeur OCSP.
Spécifie le fichier contenant le certificat de signature du
répondeur OCSP. View utilise ce certificat pour vérifier que
les réponses du répondeur OCSP sont authentiques.
unique est envoyée avec des demandes OCSP pour
empêcher les réponses répétées.
La valeur par défaut est false.
vérification de la liste de révocation de certificats si la
vérification de la révocation des certificats OCSP échoue.
La valeur par défaut est true.
Utilisation de la fonctionnalité Se connecter en tant qu'utilisateur actuel, disponible avec Horizon Client pour Windows
Avec Horizon Client pour Windows, lorsque des utilisateurs cochent la case Se connecter en tant
qu'utilisateur actuel, les informations d'identification qu'ils fournissent lors de l'ouverture de session sur le
système client sont utilisées pour les authentifier sur l'instance du Serveur de connexion View et sur le poste
de travail distant. Aucune autre authentification d'utilisateur n'est requise.
Pour prendre en charge cette fonction, les informations d'identification d'utilisateur sont stockées sur
l'instance de Serveur de connexion View et sur le système client.
Sur l'instance de Serveur de connexion View, les informations d'identification d'utilisateur sont
n
chiffrées et stockées dans la session utilisateur avec le nom d'utilisateur, le domaine et l'UPN facultatif.
Les informations d'identification sont ajoutées lors de l'authentification et sont supprimées lors de la
destruction de l'objet de session. L'objet de session est détruit quand l'utilisateur ferme sa session,
quand la session expire ou quand l'authentification échoue. L'objet de session réside dans une mémoire
volatile et n'est pas stocké dans View LDAP ou dans un fichier de disque.
Sur le système client, les informations d'identification d'utilisateur sont chiffrées et stockées dans un
n
tableau dans Authentication Package, qui est un composant d'Horizon Client. Les informations
d'identification sont ajoutées au tableau quand l'utilisateur ouvre une session et sont supprimées du
tableau quand l'utilisateur ferme sa session. Le tableau réside dans la mémoire volatile.
Les administrateurs peuvent utiliser des paramètres de stratégie de groupe Horizon Client pour contrôler la
disponibilité de la case à cocher Se connecter en tant qu'utilisateur actuel et pour spécifier sa valeur par
défaut. Les administrateurs peuvent également utiliser la stratégie de groupe pour spécifier quelles
instances de Serveur de connexion View acceptent l'identité et les informations d'identification de
l'utilisateur qui sont transmises lorsqu'il coche la case Se connecter en tant qu'utilisateur actuel dans
Horizon Client.
68 VMware, Inc.
Page 69
Chapitre 3 Configuration de l'authentification
La fonction Se connecter en tant qu'utilisateur actuel a les limites et exigences suivantes :
Lorsque l'authentification par carte à puce est définie sur Requise sur une instance de Serveur de
n
connexion View, l'authentification échoue pour les utilisateurs qui cochent la case Se connecter en tant
qu'utilisateur actuel lorsqu'ils se connectent à l'instance de Serveur de connexion View. Ces utilisateurs
doivent se réauthentifier avec leur carte à puce et leur code PIN lorsqu'ils ouvrent une session sur le
Serveur de connexion View.
L'heure sur le système sur lequel le client ouvre une session et l'heure sur l'hôte de Serveur de
n
connexion View doivent être synchronisées.
Si les affectations de droits d'usage par défaut Accéder à cet ordinateur à partir du réseau sont
n
modifiées sur le système client, elles doivent être modifiées comme indiqué dans l'article 1025691 de la
base de connaissances de VMware.
La machine client doit pouvoir communiquer avec le serveur Active Directory de l'entreprise et ne pas
n
utiliser les informations d'identification mises en cache pour l'authentification. Par exemple, si des
utilisateurs ouvrent une session sur leurs machines client depuis l'extérieur du réseau d'entreprise, les
informations d'identification mises en cache sont utilisées pour l'authentification. Si l'utilisateur tente de
se connecter à un serveur de sécurité ou à une instance de Serveur de connexion View sans d'abord
établir une connexion VPN, il est invité à fournir des informations d'identification, et la fonction Se
connecter en tant qu'utilisateur actuel ne fonctionne pas.
Autoriser les utilisateurs à enregistrer les informations d'identification
Les administrateurs peuvent configurer le Serveur de connexion View pour permettre aux appareils mobiles
Horizon Client de mémoriser le nom, le mot de passe et les informations de domaine d'un utilisateur. Si les
utilisateurs choisissent d'enregistrer leurs informations de configuration, celles-ci sont ajoutées aux champs
de connexion dans Horizon Client lors des connexions suivantes.
Sur les clients Horizon basés sur Windows, la fonctionnalité de connexion en tant qu'utilisateur actuel évite
d'obliger les utilisateurs à fournir des informations d'identification à plusieurs reprises. Avec les logiciels
Horizon Client pour appareils mobiles, tels qu'Android et iPad, vous pouvez configurer une fonctionnalité
qui permet d'afficher une case à cocher Enregistrer le mot de passe dans les boîtes de dialogue de
connexion.
Vous configurez une limite de délai d'expiration qui indique la durée d'enregistrement des informations
d'identification en définissant une valeur dans View LDAP. La limite du délai d'expiration est définie en
minutes. Lorsque vous modifiez View LDAP sur une instance du Serveur de connexion View, la
modification est propagée à toutes les instances du Serveur de connexion View.
Prérequis
Pour plus d'informations sur l'utilisation de l'utilitaire ADSI Edit sur votre version du système
d'exploitation Windows, consultez le site Web Microsoft TechNet.
Procédure
1 Démarrez l'utilitaire ADSI Edit sur votre hôte du Serveur de connexion View.
2 Dans la boîte de dialogue Paramètres de connexion, sélectionnez DC=vdi,DC=vmware,DC=int ou
connectez-vous à cet objet.
3 Dans le volet Ordinateur, sélectionnez ou tapez localhost:389 ou le nom de domaine complet du
Serveur de connexion View, suivi du port 389.
Par exemple : localhost:389 ou mycomputer.mydomain.com:389
VMware, Inc. 69
Page 70
Administration de View
4 Sur l'objet CN=Common, OU=Global, OU=Properties, modifiez l'attribut pae-ClientConfig et ajoutez
la valeur clientCredentialCacheTimeout=<integer>.
Lorsque clientCredentialCacheTimeout n'est pas défini ou est défini sur 0, la fonctionnalité est
désactivée. Pour activer cette fonctionnalité, vous pouvez définir le nombre de minutes de conservation
des informations d'identification, ou définir une valeur de -1, ce qui signifie qu'il n'y a pas de délai
d'expiration.
REMARQUE Le nom du paramètre clientCredentialCacheTimeout est sensible à la casse.
Dans le Serveur de connexion View, le nouveau paramètre s'applique immédiatement. Vous n'avez pas à
redémarrer le service Serveur de connexion View ou l'ordinateur client.
Configurer l'authentification biométrique
Vous pouvez configurer l'authentification biométrique en modifiant l'attribut pae-ClientConfig dans la base
de données LDAP.
Prérequis
Pour plus d'informations sur l'utilisation de l'utilitaire ADSI Edit sur votre serveur Windows, consultez le
site Web Microsoft TechNet.
Procédure
1 Démarrez l'utilitaire ADSI Edit sur l'hôte du Serveur de connexion View.
2 Dans la boîte de dialogue Paramètres de connexion, sélectionnez DC=vdi,DC=vmware,DC=int ou
connectez-vous à cet objet.
3 Dans le volet Ordinateur, sélectionnez ou tapez localhost:389 ou le nom de domaine complet du
Serveur de connexion View, suivi du port 389.
Par exemple : localhost:389 ou mycomputer.mydomain.com:389
4 Sur l'objet CN=Common, OU=Global, OU=Properties, modifiez l'attribut pae-ClientConfig et ajoutez
la valeur BioMetricsTimeout=<integer>.
Les valeurs BioMetricsTimeout suivantes sont valides :
Valeur BioMetricsTimeout Description
0
-1
N'importe quel entier positif
L'authentification biométrique n'est pas prise en charge. Il s'agit du réglage
par défaut.
L'authentification biométrique est prise en charge sans limite de temps.
L'authentification biométrique est prise en charge et peut être utilisée
pendant le nombre de minutes spécifié.
Le nouveau paramètre prend effet immédiatement. Vous n'avez pas à redémarrer le service Serveur de
connexion View ou le périphérique client.
70 VMware, Inc.
Page 71
Configuration d'administration
déléguée basée sur des rôles 4
Une tâche de gestion clé dans un environnement View consiste à déterminer qui peut utiliser View
Administrator et les tâches que ces utilisateurs sont autorisés à effectuer. Avec l'administration déléguée
basée sur des rôles, vous pouvez affecter de façon sélective des droits d'administration en affectant des rôles
d'administrateur à des utilisateurs et des groupes Active Directory spécifiques.
Ce chapitre aborde les rubriques suivantes :
« Comprendre les rôles et les privilèges », page 71
n
« Utilisation de groupes d'accès pour déléguer l'administration de pools et de batteries de serveurs »,
n
page 72
« Comprendre les autorisations », page 73
n
« Gérer des administrateurs », page 74
n
« Gérer et consulter des autorisations », page 76
n
« Gérer et répertorier des groupes d'accès », page 78
n
« Gérer des rôles personnalisés », page 81
n
« Rôles et privilèges prédéfinis », page 82
n
« Privilèges requis pour des tâches habituelles », page 86
n
« Meilleures pratiques pour des utilisateurs et des groupes d'administrateurs », page 88
n
Comprendre les rôles et les privilèges
La possibilité d'effectuer des tâches dans View Administrator est déterminée par un système de contrôle
d'accès composé de rôles et de privilèges d'administrateur. Ce système est similaire au système de contrôle
d'accès du vCenter Server.
Un rôle d'administrateur est un ensemble de privilèges. Les privilèges accordent la possibilité d'effectuer
des actions spécifiques, comme autoriser un utilisateur sur un pool de postes de travail. Les privilèges
contrôlent également ce qu'un administrateur peut voir dans View Administrator. Par exemple, si un
administrateur ne dispose pas de privilèges pour voir ou modifier des règles générales, le paramètre Règles
générales n'est pas visible dans le volet de navigation lorsque l'administrateur ouvre une session sur View
Administrator.
Les privilèges d'administrateur sont généraux ou spécifiques de l'objet. Les privilèges généraux contrôlent
les opérations système, telles que l'affichage et la modification des paramètres généraux. Les privilèges
propres à l'objet contrôlent les opérations effectuées sur des types d'objets spécifiques.
VMware, Inc.
71
Page 72
Administration de View
Les rôles d'administrateur combinent généralement tous les privilèges individuels requis pour effectuer une
tâche d'administration à un niveau supérieur. View Administrator comporte des rôles prédéfinis qui
contiennent les privilèges requis pour effectuer des tâches d'administration habituelles. Vous pouvez
affecter ces rôles prédéfinis à vos utilisateurs et groupes d'administrateurs, ou vous pouvez créer vos
propres rôles en combinant des privilèges sélectionnés. Vous ne pouvez pas modifier les rôles prédéfinis.
Pour créer des administrateurs, vous sélectionnez des utilisateurs et des groupes dans vos utilisateurs et
groupes Active Directory et affectez des rôles d'administrateur. Les administrateurs obtiennent des
privilèges via leurs affectations de rôle. Vous ne pouvez pas affecter de privilèges directement à des
administrateurs. Un administrateur qui a plusieurs affectations de rôle acquiert la somme de tous les
privilèges contenus dans ces rôles.
Utilisation de groupes d'accès pour déléguer l'administration de pools et de batteries de serveurs
Par défaut, des pools de postes de travail automatisés, des pools de postes de travail manuels et des
batteries de serveurs sont créés dans le groupe d'accès racine, qui s'affiche sous la forme / ou Root(/) dans
View Administrator. Les pools de postes de travail RDS et les pools d'applications héritent du groupe
d'accès de leur batterie de serveurs. Vous pouvez créer des groupes d'accès sous le groupe d'accès racine
pour déléguer l'administration de pools ou de batteries de serveurs spécifiques à d'autres administrateurs.
REMARQUE Vous ne pouvez pas directement modifier le groupe d'accès d'un pool de postes de travail RDS
ou d'un pool d'applications. Vous devez modifier le groupe d'accès de la batterie de serveurs auquel le pool
de postes de travail RDS ou le pool d'applications appartient.
Une machine virtuelle ou physique hérite du groupe d'accès de son pool de postes de travail. Un disque
persistant attaché hérite du groupe d'accès de sa machine. Vous pouvez disposer d'un maximum de
100 groupes d'accès, notamment le groupe d'accès racine.
Vous configurez un accès administrateur aux ressources dans un groupe d'accès en attribuant un rôle à un
administrateur sur ce groupe d'accès. Les administrateurs ne peuvent accéder qu'aux ressources qui résident
dans des groupes d'accès pour lesquels des rôles leur ont été attribués. Le rôle dont un administrateur
dispose sur un groupe d'accès détermine le niveau d'accès de l'administrateur sur les ressources de ce
groupe d'accès.
Comme les rôles sont hérités du groupe d'accès racine, un administrateur qui dispose d'un rôle sur le
groupe d'accès racine détient ce rôle sur tous les groupes d'accès. Les administrateurs qui disposent du rôle
Administrateurs sur le groupe d'accès racine sont des super administrateurs, car ils bénéficient d'un accès
complet à tous les objets du système.
Un rôle doit contenir au moins un privilège spécifique d'un objet pour s'appliquer à un groupe d'accès. Les
rôles ne contenant que des privilèges généraux ne peuvent pas être appliqués aux groupes d'accès.
Vous pouvez utiliser View Administrator pour créer des groupes d'accès et déplacer des pools de postes de
travail existants vers des groupes d'accès. Lorsque vous créez un pool de postes de travail automatisé, un
pool manuel ou une batterie de serveurs, vous pouvez accepter le groupe d'accès racine par défaut ou
sélectionner un autre groupe d'accès.
REMARQUE Si vous prévoyez de fournir un accès à vos applications et postes de travail via
Workspace Portal, assurez-vous de créer les pools d'applications et de postes de travail en tant qu'utilisateur
disposant du rôle Administrateurs sur le groupe d'accès racine dans View Administrator. Si vous attribuez à
l'utilisateur le rôle Administrateurs sur un groupe d'accès autre que le groupe d'accès racine,
Workspace Portal ne reconnaîtra pas l'authentificateur SAML que vous configurez dans View et vous ne
pourrez pas configurer le pool dans Workspace Portal.
72 VMware, Inc.
Page 73
Chapitre 4 Configuration d'administration déléguée basée sur des rôles
Différents administrateurs pour différents groupes d'accès page 73
n
Vous pouvez créer un administrateur différent pour gérer chaque groupe d'accès de votre
configuration.
Différents administrateurs pour un même groupe d'accès page 73
n
Vous pouvez créer différents administrateurs pour gérer un même groupe d'accès.
Différents administrateurs pour différents groupes d'accès
Vous pouvez créer un administrateur différent pour gérer chaque groupe d'accès de votre configuration.
Par exemple, si vos pools de postes de travail d'entreprise se trouvent dans un groupe d'accès et que vos
pools de postes de travail pour les développeurs de logiciels se trouvent dans un autre groupe d'accès, vous
pouvez créer différents administrateurs pour gérer les ressources de chaque groupe d'accès.
Tableau 4-1 montre un exemple de ce type de configuration.
Tableau 4‑1. Différents administrateurs pour différents groupes d'accès
Administrateur Rôle Groupe d'accès
view-domain.com\Admin1 Administrateurs d'inventaire
view-domain.com\Admin2 Administrateurs d'inventaire
/CorporateDesktops
/DeveloperDesktops
Dans cet exemple, l'administrateur Admin1 dispose du rôle Administrateurs d'inventaire sur le groupe
d'accès nommé CorporateDesktops, et l'administrateur Admin2 dispose du rôle Administrateurs
d'inventaire sur le groupe d'accès nommé DeveloperDesktops..
Différents administrateurs pour un même groupe d'accès
Vous pouvez créer différents administrateurs pour gérer un même groupe d'accès.
Par exemple, si les pools de postes de travail de votre entreprise se trouvent dans un groupe d'accès, vous
pouvez créer un administrateur qui peut afficher et modifier ces pools et un autre administrateur qui peut
uniquement les afficher.
Tableau 4-2 montre un exemple de ce type de configuration.
Tableau 4‑2. Différents administrateurs pour un même groupe d'accès
Administrateur Rôle Groupe d'accès
view-domain.com\Admin1 Administrateurs d'inventaire
view-domain.com\Admin2 Administrateurs d'inventaire (lecture
seule)
Dans cet exemple, l'administrateur Admin1 dispose du rôle Administrateurs d'inventaire sur le groupe
d'accès nommé CorporateDesktops, et l'administrateur Admin2 dispose du rôle Administrateurs
d'inventaire (lecture seule) sur le même groupe d'accès.
Comprendre les autorisations
/CorporateDesktops
/CorporateDesktops
Dans View Administrator, une autorisation est la combinaison d'un rôle, d'un utilisateur administrateur ou
d'un groupe d'utilisateurs administrateurs, et d'un groupe d'accès. Le rôle définit les actions pouvant être
effectuées, l'utilisateur ou le groupe indique qui peut effectuer l'action et le groupe d'accès contient les objets
qui sont la cible de l'action.
Les autorisations s'affichent différemment dans View Administrator, selon que vous sélectionnez un
utilisateur administrateur ou un groupe d'utilisateurs administrateurs, un groupe d'accès ou un rôle.
VMware, Inc. 73
Page 74
Administration de View
Tableau 4-3 montre comment les autorisations apparaissent dans View Administrator lorsque vous
sélectionnez un utilisateur ou un groupe d'administrateurs. L'utilisateur administrateur est appelé Admin 1
et il possède deux autorisations.
Tableau 4‑3. Autorisations sous l'onglet Administrateurs et groupes pour Admin 1
Rôle Groupe d'accès
Administrateurs d'inventaire
Administrateurs (lecture seule)
La première autorisation indique qu'Admin 1 dispose du rôle Administrateur d'inventaire sur le groupe
d'accès appelé MarketingDesktops. La deuxième autorisation indique qu'Admin 1 dispose du rôle
Administrateur (lecture seule) sur le groupe d'accès racine.
Tableau 4-4 montre comment les mêmes autorisations s'affichent dans View Administrator lorsque vous
sélectionnez le groupe d'accès MarketingDesktops.
Tableau 4‑4. Autorisations sous l'onglet Dossiers pour MarketingDesktops
Admin Rôle Héritée
view-domain.com\Admin1 Administrateurs d'inventaire
view-domain.com\Admin1 Administrateurs (lecture seule) Oui
MarketingDesktops
/
La première autorisation est la même que la première autorisation indiquée dans Tableau 4-3. La deuxième
autorisation est héritée de la deuxième autorisation indiquée dans Tableau 4-3. Étant donné que les dossiers
héritent des autorisations du groupe d'accès racine, Admin1 dispose du rôle Administrateur (lecture seule)
sur le groupe d'accès MarketingDesktops. Lorsqu'une autorisation est héritée, Oui apparaît dans la colonne
Héritée.
Tableau 4-5 montre comment la première autorisation de Tableau 4-3 s'affiche dans View Administrator
lorsque vous sélectionnez le rôle Administrateurs d'inventaire.
Tableau 4‑5. Autorisations sous l'onglet Rôle pour Inventory Administrators (Administrateurs d'inventaire)
Administrateur Groupe d'accès
view-domain.com\Admin1
Gérer des administrateurs
Les utilisateurs qui ont le rôle Administrators peuvent utiliser View Administrator pour ajouter et
supprimer des utilisateurs et des groupes d'administrateurs.
Le rôle Administrators est le rôle le plus puissant dans View Administrator. À l'origine, le rôle
Administrators est attribué aux membres du compte View Administrators. Vous spécifiez le compte View
Administrators lorsque vous installez Serveur de connexion View. Le compte View Administrators peut être
le groupe Administrators local (BUILTIN\Administrators) sur l'ordinateur Serveur de connexion View ou
un compte d'utilisateur ou de groupe de domaine.
REMARQUE Par défaut, le groupe Domain Admins est un membre du groupe Administrators local. Si vous
avez spécifié le compte View Administrators en tant que groupe Administrators local, et si vous ne voulez
pas que des administrateurs de domaine aient un accès complet à des objets d'inventaire et à des paramètres
de configuration View, vous devez supprimer le groupe Domain Admins du groupe Administrators local.
/MarketingDesktops
Créer un administrateur page 75
n
Pour créer un administrateur, vous sélectionnez un utilisateur ou un groupe parmi vos utilisateurs et
groupes Active Directory dans View Administrator et affectez un rôle d'administrateur.
74 VMware, Inc.
Page 75
Chapitre 4 Configuration d'administration déléguée basée sur des rôles
Supprimer un administrateur page 76
n
Vous pouvez supprimer un utilisateur ou un groupe d'administrateurs. Vous ne pouvez pas
supprimer le dernier super administrateur dans le système. Un super administrateur est un
administrateur qui dispose du rôle d'administrateur sur le groupe d'accès racine.
Créer un administrateur
Pour créer un administrateur, vous sélectionnez un utilisateur ou un groupe parmi vos utilisateurs et
groupes Active Directory dans View Administrator et affectez un rôle d'administrateur.
Prérequis
Familiarisez-vous avec les rôles d'administrateur prédéfinis. Reportez-vous à la section « Rôles et
n
privilèges prédéfinis », page 82.
Familiarisez-vous avec les recommandations pour la création d'utilisateurs administrateurs et de
n
groupes d'administrateurs. Reportez-vous à la section « Meilleures pratiques pour des utilisateurs et
des groupes d'administrateurs », page 88.
Pour affecter un rôle personnalisé à l'administrateur, créez le rôle personnalisé. Reportez-vous à la
n
section « Ajouter un rôle personnalisé », page 81.
Pour créer un administrateur pouvant gérer des pools de postes de travail spécifiques, créez un groupe
n
d'accès et déplacez les pools de postes de travail vers ce groupe d'accès. Reportez-vous à la section
« Gérer et répertorier des groupes d'accès », page 78.
Procédure
1 Dans View Administrator, sélectionnez Configuration de View > Administrateurs.
2 Sous l'onglet Administrateurs et groupes, cliquez sur Ajouter un utilisateur ou un groupe.
3 Cliquez sur Ajouter, sélectionnez un ou plusieurs critères de recherche, puis cliquez sur Rechercher
pour filtrer des utilisateurs ou des groupes Active Directory en fonction de vos critères de recherche.
4 Sélectionnez l'utilisateur ou le groupe Active Directory auquel vous voulez attribuer le rôle
d'administrateur, cliquez sur OK et sur Suivant.
Vous pouvez appuyer sur les touches Ctrl et Maj pour sélectionner plusieurs utilisateurs et groupes.
5 Sélectionnez un rôle à affecter à l'utilisateur ou au groupe d'administrateurs.
La colonne S'applique à un groupe d'accès indique si un rôle s'applique à des groupes d'accès. Seuls les
rôles contenant des privilèges spécifiques de l'objet s'appliquent aux groupes d'accès. Les rôles ne
contenant que des privilèges généraux ne s'appliquent pas aux groupes d'accès.
Option Action
Le rôle que vous avez sélectionné
s'applique aux groupes d'accès
Vous souhaitez que le rôle
s'applique à tous les groupes
d'accès
Sélectionnez un ou plusieurs groupes d'accès et cliquez sur Suivant.
Sélectionnez le groupe d'accès racine et cliquez sur Suivant.
6 Cliquez sur Terminer pour créer l'utilisateur ou le groupe d'administrateurs.
Le nouvel utilisateur administrateur ou groupe d'administrateurs s'affiche dans le volet de gauche, et le rôle
et le groupe d'accès que vous avez sélectionnés s'affichent dans le volet de droite sous l'onglet
Administrateurs et groupes.
VMware, Inc. 75
Page 76
Administration de View
Supprimer un administrateur
Vous pouvez supprimer un utilisateur ou un groupe d'administrateurs. Vous ne pouvez pas supprimer le
dernier super administrateur dans le système. Un super administrateur est un administrateur qui dispose
du rôle d'administrateur sur le groupe d'accès racine.
Procédure
1 Dans View Administrator, sélectionnez Configuration de View > Administrateurs.
2 Sous l'onglet Administrateurs et groupes, sélectionnez l'utilisateur ou le groupe d'administrateurs,
cliquez sur Supprimer un utilisateur ou un groupe et sur OK.
L'utilisateur ou le groupe d'administrateurs n'apparaît plus sous l'onglet Administrateurs et groupes.
Gérer et consulter des autorisations
Vous pouvez utiliser View Administrator pour ajouter, supprimer et vérifier des autorisations pour des
utilisateurs administrateurs et des groupes d'administrateurs, des rôles et des groupes d'accès spécifiques.
Ajouter une autorisation page 76
n
Vous pouvez ajouter une autorisation qui inclut un utilisateur administrateur ou un groupe
d'administrateurs spécifique, un rôle spécifique ou un groupe d'accès spécifique.
Supprimer une autorisation page 77
n
Vous pouvez supprimer une autorisation qui inclut un utilisateur administrateur ou un groupe
d'administrateurs spécifique, un rôle spécifique ou un groupe d'accès spécifique.
Consulter des autorisations page 78
n
Vous pouvez vérifier les autorisations qui incluent un administrateur ou un groupe spécifique, un rôle
spécifique ou un groupe d'accès spécifique.
Ajouter une autorisation
Vous pouvez ajouter une autorisation qui inclut un utilisateur administrateur ou un groupe
d'administrateurs spécifique, un rôle spécifique ou un groupe d'accès spécifique.
Procédure
1 Dans View Administrator, sélectionnez Configuration de View > Administrateurs.
76 VMware, Inc.
Page 77
2 Créez l'autorisation.
Option Action
Create a permission that includes a
specific administrator user or group
(Créer une autorisation qui inclut un
utilisateur ou un groupe
d'administrateurs spécifique)
Create a permission that includes a
specific role (Créer une autorisation
qui inclut un rôle spécifique)
Créer une autorisation qui inclut un
groupe d'accès spécifique
Chapitre 4 Configuration d'administration déléguée basée sur des rôles
a Sous l'onglet Administrateurs et groupes, sélectionnez
l'administrateur ou le groupe et cliquez sur Ajouter une autorisation.
b Sélectionnez un rôle.
c Si le rôle ne s'applique pas aux groupes d'accès, cliquez sur Terminer.
d Si le rôle s'applique aux groupes d'accès, cliquez sur Suivant,
sélectionnez un ou plusieurs groupes d'accès, puis cliquez sur
Terminer. Un rôle doit contenir au moins un privilège spécifique à un
objet pour s'appliquer à un groupe d'accès.
a Sous l'onglet Rôles, sélectionnez le rôle, cliquez sur Autorisations puis
sur Ajouter une autorisation.
b Cliquez sur Ajouter, sélectionnez un ou plusieurs critères de
recherche, puis cliquez sur Rechercher pour rechercher des utilisateurs
ou des groupes d'administrateurs qui correspondent à vos critères de
recherche.
c Sélectionnez un utilisateur ou un groupe d'administrateurs à inclure
dans l'autorisation et cliquez sur OK. Vous pouvez appuyer sur les
touches Ctrl et Maj pour sélectionner plusieurs utilisateurs et groupes.
d Si le rôle ne s'applique pas aux groupes d'accès, cliquez sur Terminer.
e Si le rôle s'applique aux groupes d'accès, cliquez sur Suivant,
sélectionnez un ou plusieurs groupes d'accès, puis cliquez sur
Terminer. Un rôle doit contenir au moins un privilège spécifique à un
objet pour s'appliquer à un groupe d'accès.
a Dans l'onglet Groupes d'accès, sélectionnez le groupe d'accès et
cliquez sur Ajouter une autorisation.
b Cliquez sur Ajouter, sélectionnez un ou plusieurs critères de
recherche, puis cliquez sur Rechercher pour rechercher des utilisateurs
ou des groupes d'administrateurs qui correspondent à vos critères de
recherche.
c Sélectionnez un utilisateur ou un groupe d'administrateurs à inclure
dans l'autorisation et cliquez sur OK. Vous pouvez appuyer sur les
touches Ctrl et Maj pour sélectionner plusieurs utilisateurs et groupes.
d Cliquez sur Suivant, sélectionnez un rôle et cliquez sur Terminer. Un
rôle doit contenir au moins un privilège spécifique à un objet pour
s'appliquer à un groupe d'accès.
Supprimer une autorisation
Vous pouvez supprimer une autorisation qui inclut un utilisateur administrateur ou un groupe
d'administrateurs spécifique, un rôle spécifique ou un groupe d'accès spécifique.
Si vous supprimez la dernière autorisation pour un utilisateur ou un groupe d'administrateurs, cet
utilisateur ou ce groupe d'administrateurs est également supprimé. Du fait qu'au moins un administrateur
doit disposer du rôle Administrateur sur le groupe d'accès racine, vous ne pouvez pas supprimer une
autorisation qui entraînerait la suppression de cet administrateur. Vous ne pouvez pas supprimer une
autorisation héritée.
Procédure
1 Dans View Administrator, sélectionnez Configuration de View > Administrateurs.
VMware, Inc. 77
Page 78
Administration de View
2 Sélectionnez l'autorisation à supprimer.
Option Action
Delete a permission that applies to
a specific administrator or group
(Supprimer une autorisation qui
s'applique à un administrateur ou
un groupe spécifique)
Delete a permission that applies to
a specific role (Supprimer une
autorisation qui s'applique à un rôle
spécifique)
Supprimer une autorisation qui
s'applique à un groupe d'accès
spécifique
3 Sélectionnez l'autorisation et cliquez sur Supprimer une autorisation.
Consulter des autorisations
Vous pouvez vérifier les autorisations qui incluent un administrateur ou un groupe spécifique, un rôle
spécifique ou un groupe d'accès spécifique.
Sélectionnez l'administrateur ou le groupe sous l'onglet Administrateurs
et groupes.
Sélectionnez le rôle sous l'onglet Rôles.
Sélectionnez le dossier dans l'onglet Groupes d'accès.
Procédure
1 Sélectionnez Configuration de View > Administrateurs.
2 Consultez les autorisations.
Option Action
Review the permissions that
include a specific administrator or
group (Consulter les autorisations
qui comportent un administrateur
ou un groupe spécifique)
Review the permissions that
include a specific role (Consulter
les autorisations qui comportent un
rôle spécifique)
Vérifier les autorisations qui
incluent un groupe d'accès
spécifique
Sélectionnez l'administrateur ou le groupe sous l'onglet Administrateurs
et groupes.
Sélectionnez le rôle dans l'onglet Rôles et cliquez sur Autorisations.
Sélectionnez le dossier dans l'onglet Groupes d'accès.
Gérer et répertorier des groupes d'accès
Vous pouvez utiliser View Administrator pour ajouter et supprimer des groupes d'accès, et pour vérifier les
pools de postes de travail et les machines d'un groupe d'accès particulier.
Ajouter un groupe d'accès page 79
n
Vous pouvez déléguer l'administration de machines, de pools de postes de travail ou de batteries de
serveurs spécifiques à différents administrateurs en créant des groupes d'accès. Par défaut, les pools
de postes de travail, les pools d'applications et les batteries de serveurs résident dans le groupe d'accès
racine.
Déplacer un pool de postes de travail ou une batterie de serveurs vers un autre groupe d'accès
n
page 79
Après avoir créé un groupe d'accès, vous pouvez déplacer des pools de postes de travail automatisés,
des pools manuels ou des batteries de serveurs vers le nouveau groupe d'accès.
78 VMware, Inc.
Page 79
Chapitre 4 Configuration d'administration déléguée basée sur des rôles
Supprimer un groupe d'accès page 80
n
Vous pouvez supprimer un groupe d'accès s'il ne contient aucun objet. Vous ne pouvez pas supprimer
le groupe d'accès racine.
Vérifier les pools de postes de travail, les pools d'applications ou les batteries de serveurs d'un groupe
n
d'accès page 80
Vous pouvez afficher les pools de postes de travail, les pools d'application ou les batteries de serveurs
d'un groupe d'accès particulier dans View Administrator.
Vérifier les machines virtuelles vCenter d'un groupe d'accès page 80
n
Vous pouvez afficher dans View Administrator les machines virtuelles vCenter incluses dans un
groupe d'accès particulier. Une machine virtuelle vCenter hérite du groupe d'accès de son pool.
Ajouter un groupe d'accès
Vous pouvez déléguer l'administration de machines, de pools de postes de travail ou de batteries de
serveurs spécifiques à différents administrateurs en créant des groupes d'accès. Par défaut, les pools de
postes de travail, les pools d'applications et les batteries de serveurs résident dans le groupe d'accès racine.
Vous pouvez disposer d'un maximum de 100 groupes d'accès, notamment le groupe d'accès racine.
Procédure
1 Dans View Administrator, accédez à la boîte de dialogue Ajouter un groupe d'accès.
Option Action
Sélectionnez Catalogue > Pools de postes de travail.
À partir d'un catalogue
À partir des ressources
À partir de la configuration de View
n
Dans le menu déroulant Groupe d'accès dans le volet supérieur de la
n
fenêtre, sélectionnez Nouveau groupe d'accès.
Sélectionnez Ressources > Batteries de serveurs.
n
Dans le menu déroulant Groupe d'accès dans le volet supérieur de la
n
fenêtre, sélectionnez Nouveau groupe d'accès.
Sélectionnez Configuration de View > Administrateurs.
n
Dans l'onglet Groupes d'accès, sélectionnez Ajouter un groupe
n
d'accès.
2 Tapez un nom et une description pour le groupe d'accès et cliquez sur OK.
La description est facultative.
Suivant
Déplacez un ou plusieurs objets vers le groupe d'accès.
Déplacer un pool de postes de travail ou une batterie de serveurs vers un autre groupe d'accès
Après avoir créé un groupe d'accès, vous pouvez déplacer des pools de postes de travail automatisés, des
pools manuels ou des batteries de serveurs vers le nouveau groupe d'accès.
Procédure
1 Dans View Administrator, sélectionnez Catalogue > Pools de postes de travail ou Ressources >
Batteries de serveurs.
2 Sélectionnez un pool ou une batterie de serveurs.
3 Sélectionnez Modifier un groupe d'accès dans le menu déroulant Groupe d'accès situé dans le volet de
la fenêtre supérieure.
VMware, Inc. 79
Page 80
Administration de View
4 Sélectionnez le groupe d'accès, puis cliquez sur OK.
View Administrator déplace le pool vers le groupe d'accès que vous avez sélectionné.
Supprimer un groupe d'accès
Vous pouvez supprimer un groupe d'accès s'il ne contient aucun objet. Vous ne pouvez pas supprimer le
groupe d'accès racine.
Prérequis
Si le groupe d'accès contient des objets, déplacez ces derniers vers un autre groupe d'accès ou vers le groupe
d'accès racine. Reportez-vous à la section « Déplacer un pool de postes de travail ou une batterie de serveurs
vers un autre groupe d'accès », page 79.
Procédure
1 Dans View Administrator, sélectionnez Configuration de View > Administrateurs.
2 Dans l'onglet Groupes d'accès, sélectionnez le groupe d'accès et cliquez sur Supprimer un groupe
d'accès.
3 Cliquez sur OK pour supprimer le groupe d'accès.
Vérifier les pools de postes de travail, les pools d'applications ou les batteries de serveurs d'un groupe d'accès
Vous pouvez afficher les pools de postes de travail, les pools d'application ou les batteries de serveurs d'un
groupe d'accès particulier dans View Administrator.
Procédure
1 Dans View Administrator, accédez à la page principale des objets.
Objet Action
Pools de postes de travail
Pools d'applications
Batteries de serveurs
Par défaut, les objets de tous les groupes d'accès sont affichés.
2 Sélectionnez un groupe d'accès dans le menu déroulant Groupe d'accès du volet de la fenêtre
principale.
Les objets du groupe d'accès que vous avez sélectionné sont affichés.
Sélectionnez Catalogue > Pools de postes de travail.
Sélectionnez Catalogue > Pools d'applications.
Sélectionnez Ressources > Batteries de serveurs.
Vérifier les machines virtuelles vCenter d'un groupe d'accès
Vous pouvez afficher dans View Administrator les machines virtuelles vCenter incluses dans un groupe
d'accès particulier. Une machine virtuelle vCenter hérite du groupe d'accès de son pool.
Procédure
1 Dans View Administrator, sélectionnez Ressources > Machines.
2 Sélectionnez l'onglet Machines virtuelles vCenter.
Par défaut, les machines virtuelles vCenter de tous les groupes d'accès s'affichent.
3 Sélectionnez un groupe d'accès dans le menu déroulant Groupe d'accès.
Les machines virtuelles vCenter du groupe d'accès que vous avez sélectionné s'affichent.
80 VMware, Inc.
Page 81
Gérer des rôles personnalisés
Vous pouvez utiliser View Administrator pour ajouter, modifier et supprimer des rôles personnalisés.
Ajouter un rôle personnalisé page 81
n
Si les rôles d'administrateur prédéfinis ne répondent pas à vos besoins, vous pouvez combiner des
privilèges spécifiques pour créer vos propres rôles dans View Administrator.
Modifier les privilèges dans un rôle personnalisé page 81
n
Vous pouvez modifier les privilèges dans un rôle personnalisé. Vous ne pouvez pas modifier les rôles
d'administrateur prédéfinis.
Supprimer un rôle personnalisé page 82
n
Vous pouvez supprimer un rôle personnalisé s'il n'est pas inclus dans une autorisation. Vous ne
pouvez pas supprimer les rôles d'administrateur prédéfinis.
Ajouter un rôle personnalisé
Si les rôles d'administrateur prédéfinis ne répondent pas à vos besoins, vous pouvez combiner des
privilèges spécifiques pour créer vos propres rôles dans View Administrator.
Prérequis
Chapitre 4 Configuration d'administration déléguée basée sur des rôles
Familiarisez-vous avec les privilèges d'administrateur que vous pouvez utiliser pour créer des rôles
personnalisés. Reportez-vous à la section « Rôles et privilèges prédéfinis », page 82.
Procédure
1 Dans View Administrator, sélectionnez Configuration de View > Administrateurs.
2 Sous l'onglet Rôles, cliquez sur Ajouter un rôle.
3 Saisissez un nom et une description pour le nouveau rôle, sélectionnez un ou plusieurs privilèges et
cliquez sur OK.
Le nouveau rôle apparaît dans le volet de gauche.
Modifier les privilèges dans un rôle personnalisé
Vous pouvez modifier les privilèges dans un rôle personnalisé. Vous ne pouvez pas modifier les rôles
d'administrateur prédéfinis.
Prérequis
Familiarisez-vous avec les privilèges d'administrateur que vous pouvez utiliser pour créer des rôles
personnalisés. Reportez-vous à la section « Rôles et privilèges prédéfinis », page 82.
Procédure
1 Dans View Administrator, sélectionnez Configuration de View > Administrateurs.
2 Sous l'onglet Rôles, sélectionnez le rôle.
3 Cliquez sur Privilèges pour afficher les privilèges dans le rôle, puis sur Modifier.
4 Sélectionnez ou désélectionnez des privilèges.
5 Cliquez sur OK pour enregistrer vos modifications.
VMware, Inc. 81
Page 82
Administration de View
Supprimer un rôle personnalisé
Vous pouvez supprimer un rôle personnalisé s'il n'est pas inclus dans une autorisation. Vous ne pouvez pas
supprimer les rôles d'administrateur prédéfinis.
Prérequis
Si le rôle est inclus dans une autorisation, supprimez l'autorisation. Reportez-vous à la section « Supprimer
une autorisation », page 77.
Procédure
1 Dans View Administrator, sélectionnez Configuration de View > Administrateurs.
2 Sous l'onglet Rôles, sélectionnez le rôle et cliquez sur Supprimer un rôle.
Le bouton Supprimer un rôle n'est pas disponible pour les rôles prédéfinis ou pour les rôles
personnalisés inclus dans une autorisation.
3 Cliquez sur OK pour supprimer le rôle.
Rôles et privilèges prédéfinis
View Administrator comporte des rôles prédéfinis que vous pouvez affecter à vos utilisateurs et groupes
d'administrateurs. Vous pouvez également créer vos propres rôles d'administrateur en combinant des
privilèges sélectionnés.
Rôles d'administrateur prédéfinis page 82
n
Les rôles d'administrateur prédéfinis combinent tous les privilèges individuels requis pour effectuer
des tâches d'administration habituelles. Vous ne pouvez pas modifier les rôles prédéfinis.
Privilèges généraux page 84
n
Les privilèges généraux contrôlent les opérations système, telles que l'affichage et la modification des
paramètres généraux. Les rôles ne contenant que des privilèges généraux ne peuvent pas être
appliqués aux groupes d'accès.
Privilèges spécifiques de l'objet page 85
n
Les privilèges spécifiques de l'objet contrôlent les opérations sur des types spécifiques d'objets
d'inventaire. Les rôles contenant des privilèges propres aux objets peuvent être appliqués à des
groupes d'accès.
Privilèges internes page 85
n
Certains des rôles d'administrateur prédéfinis contiennent des privilèges internes. Vous ne pouvez pas
sélectionner de privilèges internes lorsque vous créez des rôles personnalisés.
Rôles d'administrateur prédéfinis
Les rôles d'administrateur prédéfinis combinent tous les privilèges individuels requis pour effectuer des
tâches d'administration habituelles. Vous ne pouvez pas modifier les rôles prédéfinis.
Tableau 4-6 décrit les rôles prédéfinis et indique si un rôle peut s'appliquer à un groupe d'accès.
82 VMware, Inc.
Page 83
Chapitre 4 Configuration d'administration déléguée basée sur des rôles
Tableau 4‑6. Rôles prédéfinis dans View Administrator
Rôle Actions réalisables par l'utilisateur
Administrateurs Effectuer toutes les opérations d'administrateur, y compris la
création d'utilisateurs et de groupes d'administrateurs
supplémentaires. Dans un environnement Cloud Pod
Architecture, les administrateurs disposant de ce rôle peuvent
configurer et gérer une fédération d'espaces, et gérer des sessions
d'espace distantes.
Les administrateurs disposant du rôle Administrateurs sur le
groupe d'accès racine sont des super utilisateurs, car ils
bénéficient d'un accès complet à tous les objets d'inventaire du
système. Comme le rôle Administrators (Administrateurs)
contient tous les privilèges, vous devez l'affecter à un ensemble
limité d'utilisateurs. Initialement, ce rôle est attribué aux
membres du groupe Administrateurs local sur l'hôte de votre
Serveur de connexion View sur le groupe d'accès racine.
IMPORTANT Un administrateur doit disposer du rôle
Administrateurs sur le groupe d'accès racine pour effectuer les
tâches suivantes :
Ajouter et supprimer des groupes d'accès.
n
Gérer des applications ThinApp et des paramètres de
n
configuration dans View Administrator.
n
Utiliser les commandes vdmadmin, vdmimport et lmvutil.
Administrateurs (lecture
seule)
Administrateurs
d'inscription d'agent
Administrateurs de
configuration et règles
générales
Administrateurs de
configuration et règles
générales (lecture seule)
Administrateurs d'inventaire
Voir, mais pas modifier, des paramètres généraux et des
n
objets d'inventaire.
Voir, mais pas modifier, des applications et des paramètres
n
ThinApp.
Exécuter toutes les commandes et utilitaires de ligne de
n
commande PowerShell, notamment vdmexport, en excluant
toutefois vdmadmin, vdmimport et lmvutil.
Dans un environnement Cloud Pod Architecture, les
administrateurs disposant de ce rôle peuvent afficher les objets et
les paramètres d'inventaire de la couche de données globale.
Lorsque les administrateurs disposent de ce rôle sur un groupe
d'accès, ils ne peuvent afficher que les objets d'inventaire de ce
groupe d'accès.
Inscrire des machines non gérées telles que des systèmes
physiques, des machines virtuelles autonomes et des hôtes RDS.
Afficher et modifier des stratégies globales et des paramètres de
configuration, à l'exception des rôles et des autorisations
d'administrateur, ainsi que des applications et des paramètres
ThinApp.
Afficher, mais pas modifier, des stratégies globales et des
paramètres de configuration, à l'exception des rôles et des
autorisations d'administrateur, ainsi que des applications et
paramètres ThinApp.
Effectuer toutes les opérations liées aux machines, aux
n
sessions et aux pools.
Gérer des disques persistants.
n
Resynchroniser, actualiser et rééquilibrer des pools de clone
n
lié et modifier l'image de pool par défaut.
Lorsque des administrateurs disposent de ce rôle sur un groupe
d'accès, ils ne peuvent effectuer ces opérations que sur les objets
d'inventaire de ce groupe d'accès.
S'applique à un
groupe d'accès
Oui
Oui
Non
Non
Non
Oui
VMware, Inc. 83
Page 84
Administration de View
Tableau 4‑6. Rôles prédéfinis dans View Administrator (suite)
Rôle Actions réalisables par l'utilisateur
Administrateurs d'inventaire
(lecture seule)
Administrateurs locaux Effectuer toutes les opérations d'administrateur, à l'exception de
Administrateurs locaux
(lecture seule)
Privilèges généraux
Les privilèges généraux contrôlent les opérations système, telles que l'affichage et la modification des
paramètres généraux. Les rôles ne contenant que des privilèges généraux ne peuvent pas être appliqués aux
groupes d'accès.
Voir, mais pas modifier, des objets d'inventaire.
Lorsque les administrateurs disposent de ce rôle sur un groupe
d'accès, ils ne peuvent afficher que les objets d'inventaire de ce
groupe d'accès.
la création d'utilisateurs administrateurs et de groupes
d'administrateurs supplémentaires. Dans un environnement
Cloud Pod Architecture, les administrateurs disposant de ce rôle
ne peuvent ni effectuer des opérations sur la couche de données
globale ni gérer des sessions sur des espaces distants.
Identique au rôle Administrateurs (lecture seule), à l'exception de
l'affichage des objets et des paramètres d'inventaire de la couche
de données globale. Les administrateurs disposant de ce rôle
bénéficient de droits de lecture seule uniquement sur l'espace
local.
S'applique à un
groupe d'accès
Oui
Oui
Oui
Tableau 4-7 décrit les privilèges généraux et répertorie les rôles prédéfinis qui contiennent chaque privilège.
Tableau 4‑7. Privilèges généraux
Privilège Actions réalisables par l'utilisateur Rôles prédéfinis
Interaction de console Ouvrir une session sur et utiliser View
Administrator.
Interaction directe Exécutez toutes les commandes PowerShell
et les utilitaires de ligne de commande, sauf
pour vdmadmin et vdmimport.
Les administrateurs doivent avoir le rôle
Administrateurs dans le groupe d'accès
racine pour utiliser les commandes
vdmadmin, vdmimport et lmvutil.
Gérer la configuration
et les règles générales
Gérer des sessions
globales
Voir et modifier des règles générales et des
paramètres de configuration sauf pour les
rôles et les autorisations d'administrateur.
Gérer les sessions globales dans un
environnement Cloud Pod Architecture.
Administrateurs
Administrateurs (lecture seule)
Administrateurs d'inventaire
Administrateurs d'inventaire (lecture seule)
Administrateurs de configuration et règles
générales
Administrateurs de configuration et règles
générales (lecture seule)
Administrateurs
Administrateurs (lecture seule)
Administrateurs
Administrateurs de configuration et règles
générales
Administrateurs
84 VMware, Inc.
Page 85
Chapitre 4 Configuration d'administration déléguée basée sur des rôles
Tableau 4‑7. Privilèges généraux (suite)
Privilège Actions réalisables par l'utilisateur Rôles prédéfinis
Gérer des rôles et
autorisations
Inscrire l'agent Installez View Agent sur des machines non
Créer, modifier et supprimer des rôles et des
autorisations d'administrateur.
gérées, comme des systèmes physiques, des
machines virtuelles autonomes et des
serveurs RDS.
Lors de l'installation de View Agent, vous
devez fournir des informations
d'identification d'ouverture de session
d'administrateur pour inscrire la machine
non gérée sur l'instance du Serveur de
connexion View.
Administrateurs
Administrateurs
Administrateurs d'inscription d'agent
Privilèges spécifiques de l'objet
Les privilèges spécifiques de l'objet contrôlent les opérations sur des types spécifiques d'objets d'inventaire.
Les rôles contenant des privilèges propres aux objets peuvent être appliqués à des groupes d'accès.
Tableau 4-8 décrit les privilèges spécifiques de l'objet. Les rôles prédéfinis Administrators (Administrateurs)
et Inventory Administrators (Administrateurs d'inventaire) contiennent tous les privilèges.
Tableau 4‑8. Privilèges spécifiques de l'objet
Privilège Actions réalisables par l'utilisateur Objet
Activer les batteries de
serveurs et les pools de
postes de travail
Autoriser des pools de
postes de travail et
d'applications
Gérer l'image de pool de
postes de travail de
Composer
Gérer une machine Effectuer toutes les opérations associées aux machines
Gérer des disques
persistants
Gérer des batteries de
serveurs et des pools de
postes de travail et
d'applications
Gérer des sessions Déconnectez et fermez des sessions, et envoyez des
Gérer l'opération de
redémarrage
Activer et désactiver des pools de postes de travail. Pool de postes de travail,
batterie de serveurs
Ajouter et supprimer des autorisations d'utilisateur. Pool de postes de travail, pool
d'applications
Resynchroniser, actualiser et rééquilibrer des pools de
clone lié et modifier l'image de pool par défaut.
et aux sessions.
Effectuer toutes les opérations de disque persistant de
View Composer, y compris l'attachement, le
détachement et l'importation des disques persistants.
Ajouter, modifier et supprimer des batteries de
serveurs. Ajouter, modifier, supprimer et autoriser des
pools de postes de travail et d'applications. Ajouter et
supprimer des machines.
messages aux utilisateurs.
Réinitialiser des machines. Machine
Pool de postes de travail
Machine
Disque persistant
Pool de postes de travail, pool
d'applications, batterie de
serveurs
Session
Privilèges internes
Certains des rôles d'administrateur prédéfinis contiennent des privilèges internes. Vous ne pouvez pas
sélectionner de privilèges internes lorsque vous créez des rôles personnalisés.
Tableau 4-9 décrit les privilèges internes et répertorie les rôles prédéfinis qui contiennent chaque privilège.
VMware, Inc. 85
Page 86
Administration de View
Tableau 4‑9. Privilèges internes
Privilège Description Rôles prédéfinis
Full (Read only)
(Complet (lecture
seule))
Manage Inventory
(Read only) (Gérer
l'inventaire (lecture
seule))
Manage Global
Configuration and
Policies (Read only)
(Gérer la configuration
et les règles générales
(lecture seule))
Accorde un accès en lecture seule à tous les
paramètres.
Accorde un accès en lecture seule à des
objets d'inventaire.
Accorde un accès en lecture seule à des
paramètres de configuration et des règles
générales, sauf pour les administrateurs et
les rôles.
Privilèges requis pour des tâches habituelles
Beaucoup de tâches d'administration habituelles requièrent un jeu coordonné de privilèges. Certaines
opérations requièrent une autorisation sur le groupe d'accès racine en plus de l'accès à l'objet en cours de
manipulation.
Administrators (Read Only) (Administrateurs
(lecture seule))
Inventory Administrators (Read only)
(Administrateurs d'inventaire (lecture seule))
Global Configuration and Policy
Administrators (Read only) (Administrateurs
de configuration et règles générales (lecture
seule))
Privilèges pour la gestion des pools
Un administrateur doit posséder certains privilèges pour gérer des pools dans View Administrator.
Tableau 4-10 répertorie des tâches de gestion des pools communes et montre les privilèges requis pour
effectuer chaque tâche.
Tableau 4‑10. Privilèges et tâches de gestion des pools
Tâche Privilèges requis
Activer ou désactiver un pool de postes de travail Activer les batteries de serveurs et les pools de postes de
travail
Autoriser ou supprimer l'autorisation d'utilisateurs sur un
pool
Ajouter un pool Gérer des batteries de serveurs et des pools de postes de
Modifier ou supprimer un pool Gérer des batteries de serveurs et des pools de postes de
Ajouter ou supprimer des postes de travail d'un pool Gérer des batteries de serveurs et des pools de postes de
Actualiser, recomposer, rééquilibrer ou modifier l'image de
View Composer par défaut
Modifier des groupes d'accès Gérer des batteries de serveurs et des pools de postes de
Autoriser des pools de postes de travail et d'applications
travail et d'applications
travail et d'applications
travail et d'applications
Gérer l'image de pool de postes de travail de Composer
travail et d'applications sur les groupes d'accès source et
cible.
Privilèges pour la gestion des machines
Un administrateur doit disposer de certains privilèges pour gérer des machines dans View Administrator.
Tableau 4-11 répertorie les tâches de gestion de machines communes et indique les privilèges requis pour
effectuer chaque tâche.
86 VMware, Inc.
Page 87
Chapitre 4 Configuration d'administration déléguée basée sur des rôles
Tableau 4‑11. Tâches et privilèges de gestion des machines
Tâche Privilèges requis
Supprimer une machine virtuelle Gérer une machine
Réinitialiser une machine virtuelle Gérer l'opération de redémarrage
Affecter ou supprimer une propriété d'utilisateur Gérer une machine
Entrer ou quitter le mode de maintenance Gérer une machine
Se déconnecter ou fermer des sessions Gérer des sessions
Privilèges pour la gestion des disques persistants
Un administrateur doit posséder certains privilèges pour gérer des disques persistants dans View
Administrator.
Tableau 4-12 répertorie des tâches de gestion des disques persistants communes et montre les privilèges
requis pour effectuer chaque tâche. Vous effectuez ces tâches sur la page Persistent Disks (Disques
persistants) dans View Administrator.
Tableau 4‑12. Privilèges et tâches de gestion des disques persistants
Tâche Privilèges requis
Détacher un disque Gérer des disques persistants sur le disque et Gérer des batteries de
serveurs et des pools de postes de travail et d'applications sur le pool.
Attacher un disque Gérer des disques persistants sur le disque et Gérer des batteries de
serveurs et des pools de postes de travail et d'applications sur la machine.
Modifier un disque Gérer des disques persistants sur le disque et Gérer des batteries de
serveurs et des pools de postes de travail et d'applications sur le pool
sélectionné.
Modifier des groupes d'accès Gérer des disques persistants sur les groupes d'accès sources et cibles.
Recréer un poste de travail Gérer des disques persistants sur le disque et Gérer des batteries de
serveurs et des pools de postes de travail et d'applications sur le dernier
pool.
Importer depuis vCenter Gérer des disques persistants sur le dossier et Gérer le pool sur le pool.
Supprimer un disque Gérer des disques persistants sur le disque.
Privilèges pour la gestion des utilisateurs et des administrateurs
Un administrateur doit posséder certains privilèges pour gérer des utilisateurs et des administrateurs dans
View Administrator.
Tableau 4-13 répertorie des tâches de gestion des utilisateurs et des administrateurs communes et montre les
privilèges requis pour effectuer chaque tâche. Vous gérez des utilisateurs sur la page Users and Groups
(Utilisateurs et groupes) dans View Administrator. Vous gérez des administrateurs sur la page Global
Administrators View (Vue générale des administrateurs) dans View Administrator.
Tableau 4‑13. Privilèges et tâches de gestion des utilisateurs et des administrateurs
Tâche Privilèges requis
Mettre à jour des informations utilisateur générales Gérer la configuration et les règles générales
Envoyer des messages aux utilisateurs Gérer des sessions distantes sur la machine.
Ajouter un utilisateur ou un groupe d'administrateurs Gérer des rôles et autorisations
VMware, Inc. 87
Page 88
Administration de View
Tableau 4‑13. Privilèges et tâches de gestion des utilisateurs et des administrateurs (suite)
Tâche Privilèges requis
Ajouter, modifier ou supprimer une autorisation
d'administrateur
Ajouter, modifier ou supprimer un rôle d'administrateur Gérer des rôles et autorisations
Gérer des rôles et autorisations
Privilèges pour des tâches et des commandes d'administration générales
Un administrateur doit posséder certains privilèges pour effectuer des tâches d'administration générales et
exécuter des utilitaires de ligne de commande.
Tableau 4-14 montre les privilèges requis pour exécuter des tâches d'administration générale et exécuter des
utilitaires de ligne de commande.
Tableau 4‑14. Privilèges pour des tâches et des commandes d'administration générales
Tâche Privilèges requis
Ajouter ou supprimer un groupe d'accès Doit disposer du rôle Administrators sur le groupe d'accès
racine.
Gérer des applications ThinApp et des paramètres dans
View Administrator
Installer View Agent sur une machine non gérée, telle
qu'un système physique, une machine virtuelle autonome
ou un hôte RDS
Voir ou modifier des paramètres de configuration (sauf
pour les administrateurs) dans View Administrator
Exécutez toutes les commandes PowerShell et les utilitaires
de ligne de commande, sauf pour vdmadmin et vdmimport.
Utiliser les commandes vdmadmin et vdmimport
Utiliser la commande vdmexport
Doit disposer du rôle Administrators sur le groupe d'accès
racine.
Inscrire l'agent
Gérer la configuration et les règles générales
Interaction directe
Doit disposer du rôle Administrators sur le groupe d'accès
racine.
Doit disposer du rôle Administrateurs ou du rôle
Administrateurs (lecture seule) sur le groupe d'accès
racine.
Meilleures pratiques pour des utilisateurs et des groupes d'administrateurs
Pour augmenter la sécurité et la gérabilité de votre environnement View, vous devez suivre des meilleures
pratiques lorsque vous gérez des utilisateurs et des groupes d'administrateurs.
Créez de nouveaux groupes d'utilisateurs dans Active Directory et attribuez des rôles administratifs
n
View à ces groupes. Évitez d'utiliser des groupes intégrés Windows ou d'autres groupes existants qui
peuvent contenir des utilisateurs qui n'ont pas besoin de privilèges View ou qui ne devraient pas en
disposer.
Maintenez à un minimum le nombre d'utilisateurs disposant de privilèges administratifs View.
n
Comme le rôle Administrateurs détient tous les privilèges, il ne doit pas être utilisé pour une
n
administration courante.
Comme il est très visible et peut être facilement deviné, évitez d'utiliser le nom Administrator lorsque
n
vous créez des utilisateurs et des groupes d'administrateurs.
Créez des groupes d'accès pour isoler les postes de travail et batteries de serveurs sensibles. Déléguez
n
l'administration de ces groupes d'accès à un ensemble limité d'utilisateurs.
88 VMware, Inc.
Page 89
Chapitre 4 Configuration d'administration déléguée basée sur des rôles
Créez des administrateurs séparés qui peuvent modifier des règles générales et des paramètres de
n
configuration View.
VMware, Inc. 89
Page 90
Administration de View
90 VMware, Inc.
Page 91
Configuration de stratégies dans
View Administrator et Active
Directory 5
Vous pouvez utiliser View Administrator pour définir des stratégies pour des sessions clientes. Vous
pouvez configurer les paramètres de stratégie de groupe Active Directory afin de contrôler le comportement
du Serveur de connexion View, du protocole d'affichage PCoIP et des alarmes de journalisation et de
performances de View.
Vous pouvez également configurer les paramètres de stratégie de groupe Active Directory afin de contrôler
le comportement de View Agent, d'Horizon Client pour Windows, de View Persona Management et de
certaines fonctionnalités. Pour en savoir plus sur ces paramètres de stratégie, reportez-vous au document
Configuration de pools de postes de travail et d'applications dans View.
Ce chapitre aborde les rubriques suivantes :
« Définition de règles dans View Administrator », page 91
n
« Utilisation des fichiers de modèle d'administration de stratégie de groupe View », page 94
n
Définition de règles dans View Administrator
Vous utilisez View Administrator pour configurer des règles pour des sessions client.
Vous pouvez définir ces règles pour affecter des utilisateurs spécifiques, des pools de postes de travail
spécifiques ou tous les utilisateurs de sessions client. Les stratégies qui affectent des utilisateurs et des pools
de postes de travail spécifiques sont appelées stratégies au niveau des utilisateurs et stratégies au niveau des
pools. Les règles qui affectent toutes les sessions et utilisateurs sont appelées règles générales.
Les stratégies au niveau des utilisateurs héritent des paramètres équivalents des stratégies au niveau des
pools de postes de travail. De même, les stratégies au niveau des pools de postes de travail héritent des
paramètres équivalents des stratégie globales. Un paramètre de stratégie au niveau des pools de postes de
travail a priorité sur le paramètre équivalent de stratégie globale. Un paramètre de stratégie au niveau des
utilisateurs a priorité sur les paramètres équivalents de stratégie globale et de stratégie au niveau des pools
de postes de travail.
Les paramètres de règle de niveau inférieur peuvent être plus ou moins restrictifs que les paramètres de
niveau supérieur équivalents. Par exemple, vous pouvez définir une stratégie globale sur Refuser et la
stratégie au niveau des pools de postes de travail équivalente sur Autoriser, ou l'inverse.
REMARQUE Seules les stratégies globales sont disponibles pour les pools de postes de travail et
d'applications RDS. Vous ne pouvez pas définir des stratégies de niveau utilisateur ou des stratégies de
niveau pools pour les pools de postes de travail et d'applications RDS.
Configurer des paramètres de règle générale page 92
n
Vous pouvez configurer des règles générales pour contrôler le comportement de tous les utilisateurs
de sessions client.
VMware, Inc.
91
Page 92
Administration de View
Configurer des règles pour des pools de postes de travail page 92
n
Vous pouvez configurer des règles de niveau poste de travail pour affecter des pools de postes de
travail spécifiques. Les paramètres de règle de niveau poste de travail sont prioritaires par rapport à
leurs paramètres de règle générale équivalents.
Configurer des stratégies pour les utilisateurs page 92
n
Vous pouvez configurer des règles de niveau utilisateur pour affecter des utilisateurs spécifiques. Les
paramètres de stratégie de niveau utilisateur sont toujours prioritaires par rapport aux paramètres de
stratégie généraux et de niveau poste de travail équivalents.
Règles de View page 93
n
Vous pouvez configurer des stratégies View pour affecter toutes les sessions clientes, ou vous pouvez
les appliquer pour affecter des pools de postes de travail ou des utilisateurs spécifiques.
Configurer des paramètres de règle générale
Vous pouvez configurer des règles générales pour contrôler le comportement de tous les utilisateurs de
sessions client.
Prérequis
Familiarisez-vous avec les descriptions de règles. Reportez-vous à la section « Règles de View », page 93.
Procédure
1 Dans View Administrator, sélectionnez Règles > Règles générales.
2 Cliquez sur Modifier des stratégies dans le volet Règles de View.
3 Cliquez sur OK pour enregistrer vos modifications.
Configurer des règles pour des pools de postes de travail
Vous pouvez configurer des règles de niveau poste de travail pour affecter des pools de postes de travail
spécifiques. Les paramètres de règle de niveau poste de travail sont prioritaires par rapport à leurs
paramètres de règle générale équivalents.
Prérequis
Familiarisez-vous avec les descriptions de règles. Reportez-vous à la section « Règles de View », page 93.
Procédure
1 Dans View Administrator, sélectionnez Catalogue > Pools de postes de travail.
2 Double-cliquez sur l'ID du pool de postes de travail et cliquez sur l'onglet Règles.
L'onglet Règles montre les paramètres de règle actuels. Lorsqu'un paramètre est hérité de la stratégie
générale équivalente, Hériter s'affiche dans la colonne Stratégie de pools de postes de travail.
3 Cliquez sur Modifier les stratégies dans le volet Règles de View.
4 Cliquez sur OK pour enregistrer vos modifications.
Configurer des stratégies pour les utilisateurs
Vous pouvez configurer des règles de niveau utilisateur pour affecter des utilisateurs spécifiques. Les
paramètres de stratégie de niveau utilisateur sont toujours prioritaires par rapport aux paramètres de
stratégie généraux et de niveau poste de travail équivalents.
Prérequis
Familiarisez-vous avec les descriptions de règles. Reportez-vous à la section « Règles de View », page 93.
92 VMware, Inc.
Page 93
Chapitre 5 Configuration de stratégies dans View Administrator et Active Directory
Procédure
1 Dans View Administrator, sélectionnez Catalogue > Pools de postes de travail.
2 Double-cliquez sur l'ID du pool de postes de travail et cliquez sur l'onglet Règles.
L'onglet Règles montre les paramètres de règle actuels. Lorsqu'un paramètre est hérité de la stratégie
générale équivalente, Hériter s'affiche dans la colonne Stratégie de pools de postes de travail.
3 Cliquez sur Remplacements d'utilisateur et sur Ajouter un utilisateur.
4 Pour rechercher un utilisateur, cliquez sur Ajouter, saisissez le nom ou la description de l'utilisateur,
puis cliquez sur Rechercher.
5 Sélectionnez un ou plusieurs utilisateurs dans la liste, cliquez sur OK, puis sur Suivant.
La boîte de dialogue Add Individual Policy (Ajouter une règle individuelle) apparaît.
6 Configurez les stratégies de View et cliquez sur Terminer pour enregistrer vos modifications.
Règles de View
Vous pouvez configurer des stratégies View pour affecter toutes les sessions clientes, ou vous pouvez les
appliquer pour affecter des pools de postes de travail ou des utilisateurs spécifiques.
Tableau 5-1 décrit chaque paramètre de stratégie View.
Tableau 5‑1. Règles de View
Règle Description
Redirection multimédia (MMR) Détermine si MMR est activé pour les systèmes client.
MMR est un filtre de Windows Media Foundation qui permet de transférer des
données multimédia de codecs spécifiques sur des postes de travail distants au
système client directement via un socket TCP. Les données sont ensuite
directement décodées sur le système client, lorsqu'elles sont lues.
La valeur par défaut est Refuser.
Si les systèmes clients disposent de ressources insuffisantes pour gérer le
décodage multimédia local, laissez le paramètre défini sur Refuser.
Les données de redirection multimédia (MMR) sont envoyées sur le réseau sans
cryptage basé sur une application et peuvent contenir des données sensibles,
selon le contenu redirigé. Pour garantir que les données ne puissent pas être
surveillées sur le réseau, utilisez MMR uniquement sur un réseau sécurisé.
USB Access (Accès USB) Détermine si des postes de travail distants peuvent utiliser des périphériques
USB connectés au système client.
La valeur par défaut est Autoriser. Pour empêcher l'utilisation de périphériques
externes pour des raisons de sécurité, passez le paramètre sur Refuser.
Accélération matérielle PCoIP Détermine l'activation de l'accélération matérielle du protocole d'affichage
PCoIP et spécifie la priorité d'accélération affectée à la session utilisateur PCoIP.
Ce paramètre a un effet uniquement si un périphérique d'accélération
matérielle PCoIP est présent sur l'ordinateur physique qui héberge le poste de
travail distant.
La valeur par défaut est Autoriser avec une priorité Moyenne.
VMware, Inc. 93
Page 94
Administration de View
Utilisation des fichiers de modèle d'administration de stratégie de groupe View
View fournit plusieurs fichiers de modèle d'administration (ADM et ADMX) de stratégie de groupe propres
à un composant. Vous pouvez optimiser et sécuriser des applications et des postes de travail distants en
ajoutant les paramètres de stratégie de ces fichiers de modèle ADM et ADMX à un nouveau GPO ou à un
GPO existant dans Active Directory.
Tous les fichiers ADM et ADMX qui fournissent des paramètres de stratégie de groupe pour View sont
disponibles dans un fichier groupé .zip nommé VMware-Horizon-View-Extras-Bundle-x.x.x-yyyyyyy.zip,
où x.x.x est la version et yyyyyyy le numéro de build. Vous pouvez télécharger le fichier sur le site de
téléchargement de VMware à l'adresse https://my.vmware.com/web/vmware/downloads. Sous Desktop &
End-User Computing, sélectionnez le téléchargement de VMware Horizon 6, qui inclut le fichier
groupé .zip.
Les fichiers de modèle ADM et ADMX de View contiennent des stratégies de groupe Configuration
d'ordinateur et Configuration d'utilisateur.
Les stratégies Configuration d'ordinateur définissent des stratégies qui s'appliquent à tous les postes de
n
travail distants, quelle que soit la personne qui se connecte au poste de travail.
Les stratégies Configuration d'utilisateur définissent des stratégies qui s'appliquent à tous les
n
utilisateurs, quel que soit l'application ou le poste de travail distant auquel ils se connectent. Les
stratégies Configuration d'utilisateur remplacent les stratégies Configuration d'ordinateur équivalentes.
Microsoft Windows applique les stratégies au démarrage du poste de travail et lorsque les utilisateurs se
connectent.
Fichiers de modèle d'administration ADM et ADMX de View
Les fichiers de modèle d'administration ADM et ADMX de View fournissent des paramètres de stratégie de
groupe qui vous permettent de contrôler et d'optimiser les composants de View.
Tableau 5‑2. Afficher les fichiers de modèle d'administration ADM et ADMX
Nom du modèle Fichier de modèle Description
configuration de View Agent
Configuration d'Horizon Client
View Server Configuration
vdm_agent.adm
vdm_client.adm
vdm_server.adm
Contient des paramètres de stratégie liés aux
composants d'authentification et
d'environnement de View Agent.
Consultez le document Configuration de pools de
postes de travail et d'applications dans View.
Contient des paramètres de stratégie liés à
Horizon Client pour Windows.
Les clients qui se connectent de l'extérieur du
domaine d'hôte du Serveur de connexion View
ne sont pas affectés par les stratégies appliquées
à Horizon Client.
Consultez le document Utilisation de VMware
Horizon Client pour Windows.
Contient des paramètres de stratégie liés au
Serveur de connexion View.
Reportez-vous à la section « Paramètres de
modèle d'administration pour la configuration
de View Server », page 95.
94 VMware, Inc.
Page 95
Chapitre 5 Configuration de stratégies dans View Administrator et Active Directory
Tableau 5‑2. Afficher les fichiers de modèle d'administration ADM et ADMX (suite)
Nom du modèle Fichier de modèle Description
configuration commune de View
Afficher les variables de session
PCoIP
Variables de la session de client
PCoIP de View
Configuration de View Persona
Management
Afficher les services Bureau à
distance
Configuration de l'Audio/Vidéo en
temps réel
Redirection de scanner
Redirection de port série
vdm_common.adm
pcoip.adm
pcoip.client.adm
ViewPM.adm
vmware_rdsh.admx
vmware_rdsh_server.admx
vdm_agent_rtav.adm
vdm_agent_scanner.adm
vdm_agent_serialport.adm
Contient des paramètres de stratégie communs à
tous les composants View.
Reportez-vous à la section « Paramètres de
modèle d'administration pour la configuration
commune de View », page 96.
Contient des paramètres de stratégie liés au
protocole d'affichage PCoIP.
Consultez le document Configuration de pools de
postes de travail et d'applications dans View.
Contient des paramètres de stratégie liés au
protocole d'affichage PCoIP qui affectent
Horizon Client pour Windows.
Consultez le document Utilisation de VMware
Horizon Client pour Windows.
Contient des paramètres de stratégie liés à View
Persona Management.
Consultez le document Configuration de pools de
postes de travail et d'applications dans View.
Contient des paramètres de stratégie liés aux
services Bureau à distance.
Consultez le document Configuration de pools de
postes de travail et d'applications dans View.
Contient des paramètres de stratégie liés à des
webcams qui sont utilisées avec la fonctionnalité
d'Audio/Vidéo en temps réel.
Consultez le document Configuration de pools de
postes de travail et d'applications dans View.
Contient des paramètres de stratégie liés à des
périphériques d'analyse qui sont redirigés pour
une utilisation dans des applications et des
postes de travail distants.
Consultez le document Configuration de pools de
postes de travail et d'applications dans View.
Contient des paramètres de stratégie liés à des
ports série (COM) qui sont redirigés pour une
utilisation dans des postes de travail VDI
distants.
Consultez le document Configuration de pools de
postes de travail et d'applications dans View.
Paramètres de modèle d'administration pour la configuration de View Server
Le fichier de modèle d'administration pour la configuration de View Server (vdm_server.adm) contient des
paramètres de stratégie liés au Serveur de connexion View.
Tableau 5-3 décrit chaque paramètre de stratégie dans le fichier de modèle d'administration pour la
configuration de View Server. Le modèle ne contient que des paramètres de Configuration d'ordinateur.
VMware, Inc. 95
Page 96
Administration de View
Tableau 5‑3. Paramètres de modèle pour la configuration de View Server
Paramètre Propriétés
Recursive Enumeration of Trusted
Domains
Détermine si le domaine dans lequel le serveur réside énumère chaque
domaine approuvé. Pour établir une chaîne de confiance complète, les
domaines approuvés par chaque domaine approuvé sont aussi
énumérés et le processus continue récursivement jusqu'à ce que tous les
domaines approuvés soient détectés. Ces informations sont transmises
au Serveur de connexion View pour que le client dispose de tous les
domaines approuvés lors des ouvertures de session.
Ce paramètre est activé par défaut. Lorsqu'il est désactivé, seuls les
domaines approuvés directement sont énumérés et la connexion aux
contrôleurs de domaine distants n'est pas assurée.
Dans des environnements contenant des relations de domaine
complexes (telles que celles utilisant plusieurs structures de forêt avec
approbations entre domaines de leurs forêts), ce processus peut prendre
plusieurs minutes.
Paramètres de modèle d'administration pour la configuration commune de View
Le fichier de modèle d'administration pour la configuration commune de View (vdm_common.adm) contient
des paramètres de stratégie communs à tous les composants View. Ce modèle ne contient que des
paramètres de Configuration d'ordinateur.
paramètres de configuration de journal
Tableau 5-4 décrit chaque paramètre de stratégie pour la configuration de journal dans le fichier de modèle
d'administration pour la configuration commune de View.
Tableau 5‑4. Modèle de configuration commune de View : paramètres de configuration de journal
Paramètre Propriétés
Number of days to keep production
logs
Maximum number of debug logs
Maximum debug log size in Megabytes
Spécifie le nombre de jours pendant lesquels les fichiers journaux sont
conservés sur le système. Si vous ne définissez pas de valeur, la valeur
par défaut s'applique et les fichiers journaux sont conservés sept jours.
Spécifie le nombre maximum de fichiers journaux de débogage à
conserver sur le système. Lorsqu'un fichier journal atteint sa taille
maximale, aucune nouvelle entrée n'est ajoutée et un nouveau fichier
journal est créé. Lorsque le nombre de fichiers journaux précédents
atteint cette valeur, le fichier journal le plus ancien est supprimé.
Spécifie la taille maximale en mégaoctets qu'un journal de débogage
peut atteindre avant que le fichier journal ne soit fermé et qu'un
nouveau fichier journal ne soit créé.
96 VMware, Inc.
Page 97
Chapitre 5 Configuration de stratégies dans View Administrator et Active Directory
Tableau 5‑4. Modèle de configuration commune de View : paramètres de configuration de journal (suite)
Paramètre Propriétés
Log Directory
Send logs to a Syslog server
Spécifie le chemin complet vers le répertoire pour les fichiers journaux.
Si l'emplacement n'est pas inscriptible, l'emplacement par défaut est
utilisé. Pour les fichiers journaux client, un répertoire supplémentaire
avec le nom de client est créé.
Permet l'envoi de journaux de View Server à un serveur Syslog tel que
VMware vCenter Log Insight. Les journaux sont envoyés par tous les
serveurs View Server de l'unité d'organisation (UO) ou du domaine
dans lequel cet objet de stratégie de groupe (objet GPO) est configuré.
Vous pouvez envoyer les journaux de View Agent à un serveur Syslog
en activant ce paramètre dans un objet GPO qui est lié à une UO
contenant vos postes de travail.
Pour envoyer des données de journaux à un serveur Syslog, activez ce
paramètre et spécifiez le niveau de journal et le nom de domaine
complet ou l'adresse IP du serveur. Vous pouvez spécifier un autre port
si vous ne souhaitez pas utiliser le port par défaut 514. Séparez chaque
élément de votre spécification par une barre verticale (|). Utilisez la
syntaxe suivante :
Log Level|Server FQDN or IP [|Port number(514 default)]
Par exemple : Debug|192.0.2.2
IMPORTANT Les données Syslog sont envoyées sur le réseau sans
chiffrement logiciel. Comme les journaux de View Server peuvent
contenir des données sensibles, évitez d'envoyer des données Syslog sur
un réseau non sécurisé. Si possible, utilisez une sécurité de couche de
liaison telle qu'IPsec pour éliminer toute possibilité de surveillance de
ces données sur le réseau.
paramètres d'alarme de performance
Tableau 5-5 décrit les paramètres d'alarme de performance dans le fichier de modèle d'administration pour
la configuration commune de View.
Tableau 5‑5. Modèle de configuration commune de View : paramètres d'alarme de performance
Paramètre Propriétés
CPU and Memory Sampling Interval in
Seconds
Overall CPU usage percentage to issue
log info
Overall memory usage percentage to
issue log info
Process CPU usage percentage to issue
log info
Spécifie le CPU et le CPU d'intervalle d'interrogation de la mémoire. Un
intervalle d'échantillonnage faible peut entraîner un niveau élevé de
sortie vers le journal.
Spécifie le seuil auquel l'utilisation du CPU global du système est
journalisée. Lorsque plusieurs processeurs sont disponibles, ce
pourcentage représente l'utilisation combinée.
Spécifie le seuil auquel l'utilisation de mémoire système validée globale
est journalisée. La mémoire système validée est la mémoire allouée par
des processus et pour laquelle le système d'exploitation a validé la
mémoire physique ou un emplacement de page dans le fichier
d'échange.
Spécifie le seuil auquel l'utilisation de CPU d'un processus individuel
est journalisée.
VMware, Inc. 97
Page 98
Administration de View
Tableau 5‑5. Modèle de configuration commune de View : paramètres d'alarme de performance (suite)
Paramètre Propriétés
Process memory usage percentage to
issue log info
Process to check, comma separated
name list allowing wild cards and
exclusion
REMARQUE Les paramètres d'alarme de performance ne s'appliquent qu'à des systèmes Serveur de
connexion View et View Agent. Ils ne s'appliquent pas aux systèmes Horizon Client.
Paramètres généraux
Tableau 5-6 décrit les paramètres généraux dans le fichier de modèle d'administration pour la configuration
commune de View.
Spécifie le seuil auquel l'utilisation de mémoire d'un processus
individuel est journalisée.
Spécifie une liste séparée par des virgules de requêtes qui correspondent
au nom d'un ou plusieurs processus à examiner. Vous pouvez filtrer la
liste en utilisant des caractères génériques pour chaque requête.
Un astérisque (*) correspond à zéro caractère ou plus.
n
Un point d'interrogation (?) correspond exactement à un caractère.
n
Un point d'exclamation (!) au début d'une requête exclut tous les
n
résultats produits par cette requête.
Par exemple, la requête suivante sélectionne tous les processus
commençant par ws et exclut tous les processus se terminant par sys :
'!*sys,ws*'
Tableau 5‑6. Modèle de configuration commune de View : Paramètres généraux
Paramètre Propriétés
Disk threshold for log and events in
Megabytes
Enable extended logging
Spécifie le seuil minimum d'espace disque restant pour les journaux et
les événements. Si aucune valeur n'est spécifiée, la valeur par défaut est
de 200. Lorsque la valeur spécifiée est atteinte, la journalisation des
événements s'arrête.
Détermine si les événements de suivi et de débogage sont inclus dans les
fichiers journaux.
98 VMware, Inc.
Page 99
Maintenance des composants View 6
Pour garder vos composants View disponibles et exécutés, vous pouvez effectuer diverses tâches de
maintenance.
Ce chapitre aborde les rubriques suivantes :
« Sauvegarde et restauration de données de configuration de View », page 99
n
« Contrôler des composants View », page 108
n
« Surveiller l'état des machines », page 108
n
« Présentation des services View », page 109
n
« Modifier la clé de licence produit », page 111
n
« Surveillance de l'utilisation des licences produit », page 112
n
« Mettre à jour des informations utilisateur générales depuis Active Directory », page 113
n
« Migrer View Composer vers une autre machine », page 113
n
« Mettre à jour les certificats sur une instance de Serveur de connexion View, un serveur de sécurité ou
n
View Composer », page 119
« Informations collectées par le programme d’amélioration de l’expérience utilisateur », page 120
n
Sauvegarde et restauration de données de configuration de View
Vous pouvez sauvegarder vos données de configuration de View et View Composer en planifiant ou en
exécutant des sauvegardes automatiques dans View Administrator. Vous pouvez restaurer votre
configuration de View en important manuellement les fichiers View LDAP et les fichiers de base de données
View Composer sauvegardés.
Vous pouvez utiliser les fonctionnalités de sauvegarde et de restauration pour conserver et migrer des
données de configuration de View.
Sauvegarde des données du Serveur de connexion View et de View Composer
Après avoir terminé la configuration initiale du Serveur de connexion View, vous devez planifier des
sauvegardes régulières de vos données de configuration de View et de View Composer. Vous pouvez
conserver vos données View et View Composer en utilisant View Administrator.
View stocke des données de configuration du Serveur de connexion View dans le référentiel View LDAP.
View Composer stocke des données de configuration pour des postes de travail de clone lié dans la base de
données View Composer.
VMware, Inc.
99
Page 100
Administration de View
Lorsque vous utilisez View Administrator pour effectuer des sauvegardes, View sauvegarde les données de
configuration de View LDAP et la base de données View Composer. Les deux jeux de fichiers de
sauvegarde sont stockés dans le même emplacement. Les données de View LDAP sont exportées au format
LDIF (LDAP Data Interchange Format) crypté. Pour obtenir une description de View LDAP, reportez-vous à
la section « Répertoire View LDAP », page 42
Vous pouvez effectuer les sauvegardes de plusieurs façons.
Planifiez des sauvegardes automatiques en utilisant la fonctionnalité Sauvegarde de configuration de
n
View.
Initiez une sauvegarde immédiatement en utilisant la fonction Sauvegarder maintenant dans View
n
Administrator.
Exportez manuellement des données View LDAP en utilisant l'utilitaire vdmexport. Cet utilitaire est
n
fourni avec chaque instance de Serveur de connexion View.
L'utilitaire vdmexport peut exporter des données View LDAP sous forme de données LDIF cryptées, de
texte brut ou de texte brut avec des mots de passe et autres données sensibles supprimés.
REMARQUE L'outil vdmexport sauvegarde uniquement les données View LDAP. Cet outil ne sauvegarde
pas les informations sur la base de données View Composer.
Pour plus d'informations sur vdmexport, reportez-vous à la section « Exporter des données de
configuration depuis le Serveur de connexion View », page 101.
Les recommandations suivantes s'appliquent à la sauvegarde des données de configuration de View :
View peut exporter des données de configuration de n'importe quelle instance du Serveur de connexion
n
View.
Si vous possédez plusieurs instances du Serveur de connexion View dans un groupe répliqué, vous
n
devez uniquement exporter les données depuis une seule instance. Toutes les instances répliquées
contiennent les mêmes données de configuration.
Ne vous attendez pas ce que des instances répliquées du Serveur de connexion View agissent comme
n
votre mécanisme de sauvegarde. Lorsque View synchronise des données dans des instances répliquées
du Serveur de connexion View, toutes les données perdues dans une instance peuvent être perdues
dans tous les membres du groupe.
Si le Serveur de connexion View utilise plusieurs instances de vCenter Server avec plusieurs services
n
View Composer, View sauvegarde toutes les bases de données View Composer associées aux instances
de vCenter Server.
Planifier des sauvegardes de configuration de View
Vous pouvez planifier la sauvegarde de vos données de configuration de View à intervalles réguliers. View
sauvegarde le contenu du référentiel View LDAP dans lequel vos instances du Serveur de connexion View
stockent leurs données de configuration.
Vous pouvez sauvegarder la configuration immédiatement en sélectionnant l'instance du Serveur de
connexion View et en cliquant sur Sauvegarder maintenant.
Prérequis
Familiarisez-vous avec les paramètres de sauvegarde. Reportez-vous à la section « Paramètres de
sauvegarde de configuration d'View », page 101.
Procédure
1 Dans View Administrator, sélectionnez Configuration de View > Serveurs.
100 VMware, Inc.
Loading...