Horizon Workspace 1.8可以帮助企业把各种不同的应用集成起来,例如SAAS应用,虚拟桌面。并且提供一个统一的访问入口。用户可以使用各种设备来访问这些应用,比如台式机或者手机。当用户使用已经加入域的Windows操作系统访问HorizonWorkspace时,Horizon Workspace还支持Windows的单点登录。也就是说用户在企业内网中使用HorizonWorkspace时,只需要用域用户登录Windows,后续访问Horizon Workspace页面或者客户端的时候,就无需再次输入用户名密码。这种配置在企业内部大规模部署HorizonWorkspace客户端的时候,十分有用,通过预先配置好的设置,简化了用户登录的步骤。本篇博客会介绍一下在HorizonWorkspace中,如何配置Windows单点登录(使用Kerberos进行身份认证)


1.    Windows单点登录部署配置准备工作。在开始部署之前,需要做如下的准备工作。准备一个新的静态IP。并且在DNS中配置针对这个IP的正向和反向解析。这个新的静态IP应当属于与其他已部署的HorizonWorkspace服务器相同的子网。

2.    部署一个新的Connector服务器。在HorizonWorkspace中,使用Kerberos方式进行身份验证需要部署一个新的Connector服务器。

    a.    使用vSphere客户端,连接到HorizonWorkspace所在的vCenter服务器上。选择configurator-va服务器,然后使用vSphere控制台以root用户登录到configurator-va服务器中。

     b.    在命令行中输入以下命令用来创建一个新的connector服务器。hznAdminTooladdvm --type=CONNECTOR --ip=<步骤1中准备的静态IP>--useGatewayAsIDP=n --directoryPassword='域绑定密码'。此处的域绑定密码对应的绑定用户是初始设置HorizonWorkspace时候所使用的域绑定用户密码。

    c.    等待创建过程结束并且确认命令行提示信息新的服务器创建成功

3.    配置新的connector服务器

    a.    打开浏览器,访问新创建的connector服务器管理页面。https://<connector服务器的完整域名>:8443/hc/admin/login/。使用HorizonWorkspace初始配置时所配置的管理员密码登录。

    b. 点击“加入域”配置项

wKioL1OXwXfjW_1tAAI-wSG0akE121.jpg

    c.    选中“加入域”选择框,输入域信息以及加入域所需要使用的用户和密码。

wKiom1OXw4DTQkJEAAJ1ZhaXl5I959.jpg

    d.    点击加入域并等待该操作完成。

    e.    选择Windows身份验证,选择启用Windows身份验证并保存。

wKioL1OXxBGi0rQmAAIx8k8WDTo647.jpg

 

4.    Horizon Workspace管理界面中添加新部署的connector作为额外的认证方式。

    a.    为使用Windows单点登录的客户端添加一个新的网络范围。因为使用Windows单点登录要求客户端需要在同一个域里面,在一般情况下也就是只有在企业内网中才会使用Windows单点登录。所以需要在Workspace中添加一个特定的网络范围,只有当客户端在这个网络范围的情况下,才使用Windows单点登录。当用户从其他网络访问,比如从公共互联网访问情况下,不使用Windows单点登录。登录管理员Web界面https://<HorizonWorkspace完整域名>/admin。选择设置”->”网络范围。添加一个企业内网的IP网段,以及View服务器的内网访问网址。然后保存。

wKioL1OXxKTSNEdcAAHzJO5S_nA244.jpg

    b.    添加新身份提供程序。选择身份提供程序”,然后选择”+添加身份提供程序”,在身份验证方法栏,选择KerberosPassword。在网络范围栏,选择新添加的网络范围。

wKiom1OXxYmhOJZFAAIO65US6Xw862.jpg

    c.    切换到策略配置页面编辑缺省访问策略集。添加一条新的策略并使用新建的网络范围。指定最低身份验证评分为2。拖动这条策略使其成为第一条策略。然后保存。

wKiom1OXxhbTAdXwAAJAqWLZ2oQ909.jpg

当这些步骤完成后,Horizon Workspace的服务器端已经准备好对在特定网络范围内的客户端提供Windows单点登录功能了。下一步是对客户端进行配置,以支持Windows单点登录。

5.    设置客户端浏览器配置从而支持Windows单点登录。

    a.    打开IE浏览器,选择工具> Internet 选项 > 安全性 > 本地Intranet > 站点,选择自动检测Intranet网络”.

    b.    点击高级,添加新部署的connector网址,https://<connector服务器的完整域名>

    c.    打开Internet选项>高级,确认启用集成Windows验证项已经被选择    

    d.    重启浏览器之后,再次访问Horizon Workspace的页面就可以实现Windows单点登录,用户无需输入用户密码,会自动用域用户登录HorizonWorkspace


对于其他类型浏览器,可以用类似方法修改浏览器配置。请参照HorizonWorkspace官方文档查看详细步骤。


在大规模部署的时候,可以考虑修改模板机的Windows组策略来实现以上配置,这样后续使用模板机部署出来的客户系统,无需手动进行进一步配置。在下一篇相关博客中,会介绍一些针对模板机的配置方法,这样在用户使用模板克隆出来的虚机或者虚拟桌面时,无需再去手动配置单点登录功能。