更新时间:2023-01-05
功能说明
当需要使用USB-KEY认证时,为了解决部分类型瘦终端本地无驱动无法使用USB-KEY的问题,管理员可在“通用USB-KEY设置”处,通过配置代理认证服务器解决。
桌面云瘦客户机支持的KEY类型如下所示
桌面云支持瘦客户机使用KEY进行认证,包括飞天KEY和第三方KEY。其中飞天KEY分两种,一种是ePass1001ND型号,由于该型号KEY驱动不支持ARM瘦客户机平台,因此瘦客户机使用KEY认证映射登录方式;另一种是ePass3003型号,该型号KEY驱动支持ARM瘦客户机平台,瘦客户机已经安装该型号KEY驱动,因此ePass3003型号KEY使用非映射KEY登录。第三方KEY都使用映射方式认证。
常见Key外观如下表所示
KEY型号 |
KEY外观 |
飞天诚信
ePass1001ND型号 |
|
飞天诚信
ePass3003型号 |
|
其他第三方KEY |
\ |
前提条件
VDC已启用内置CA或对接外置CA;
用户已创建并关联了证书。
注意事项
第三方USB-KEY设置
如果不配置,Windows可以登录,但不支持拔KEY注销。aDesk不可以登录。
如果配置但状态为禁用,Windows和aDesk都可以登录,但不支持拔KEY注销。
如果配置且状态为启用,Windows和aDesk都可以登录,并支持拔KEY注销。
更改USB-KEY设置
更改USB-KEY设置,需要重启VDI Client客户端才生效。例如增加新的第三方KEY,需要关闭VDI Client重新运行才生效。
ARM瘦客户机的OTG不支持KEY认证登录
ARM瘦客户机有一个名为OTG的USB口,此口无法使用KEY认证登录。
瘦客户级修改USB-KEY的PIN码
瘦客户机修改USB-KEY的PIN码只支持飞天ePass3003型号的USB-KEY。
飞天ePass3003型号导入证书
飞天ePass3003型号KEY暂不支持从VDC控制台导入用户证书,只能从控制台把证书下载到本地,再使用飞天提供的管理工具导入证书。
操作步骤
飞天ePass1001ND型号KEY和第三方KEY认证场景
登录方式
瘦客户机:无须安装KEY驱动,KEY认证代理服务器需安装KEY驱动。
PC客户端:PC客户端使用本地安装驱动方式认证,无须KEY认证代理服务器。
支持的功能
支持拔KEY注销功能。在控制台可配置是否启用拔KEY注销。
支持映射KEY认证并发登录。aDesk使用映射KEY认证登录,认证时用户随机分配其中一台KEY认证代理服务器进行认证。
推荐配置:KEY认证代理服务器数 = KEY认证并发数×20%
即100个并发用户,推荐20台KEY认证代理服务器。如果有200个用户,但KEY认证并发数有20个,则只需配置4台服务器。(注:飞天ePass30003型号KEY登录无须申请KEY认证代理服务器,该型号KEY并发登录不受KEY认证代理服务器个数影响,建议使用飞天ePass30003型号。)
KEY认证代理服务器支持win7 x86、win7 x64系统。
推荐配置:KEY认证代理服务器推荐使用Win7 x86系统(双核+15G硬盘+1G内存)
支持KEY认证代理服务器定时开关机。
KEY认证代理服务器Agent与VDI连接后,会自动登录服务器系统。
aDesk支持修改飞天ePass30003型号KEY的PIN码(Personal Identification Number)。
配置部署
代理认证服务器部署
HCI控制台新建KEY认证代理服务器模板(需使用桌面应用类型),推荐使用Win7(x86)系统双核+15G硬盘+1G内存。具体部署方式同“4.1.1 虚拟机模板部署”章节。模板需要安装Agent(同独享桌面Agent)和KEY驱动。
KEY驱动获取路径:[业务中心→认证管理→证书与USB-KEY认证]界面,在“通用USB-KEY设置”处点击<下载安装USB-KEY驱动>即可获取。
登录VDC控制台,进入[业务中心→认证管理→证书与USB-KEY认证]界面,在“通用USB-KEY设置”处点击<代理认证服务器设置>,进入【第三方USB-KEY认证代理服务器设置】配置页面;
在“基本设置”处选择在HCI平台上创建好的KEY代理认证服务器模板;
在“认证服务器位置与数量”处,点击<新建>,弹出【新建服务器】指引窗口,按实际业务场景,按顺序完成“集群”、“基础配置”和“配置与网络”三部分配置工作,完成认证服务器创建。
在“其他设置”处,管理员可根据业务需求为KEY代理认证服务器配置开关机计划。
配置USB-KEY的Vid&Pid。
登录VDC控制台,进入[业务中心→认证管理→证书与USB-KEY认证]界面,在“通用USB-KEY设置”处点击<添加>,进入【USB-KEY设置】配置窗口;
依据实际情况,填写USB-KEY的名称、型号(Vid_xxx&Pid_xxx格式)并设置是否启用拔KEY注销。
说明:
获取USB-KEY的Vid&Pid方法:
Windows系统PC插入USB-KEY,打开工具ChipGenius_v4_00_0027_pre2.exe(或其他工具)选中USB-KEY,从详细信息栏可以获取Vid&Pid。再把该ID以Vid_xxx&Pid_xxx格式配置到控制台。
创建USB-KEY。
将USB-KEY接入管理员电脑;
登录VDC控制台,进入[业务中心→用户管理]界面,找到需要创建USB-KEY的用户账户条目,点击对应的<编辑>按钮,进入【编辑用户】配置页面;
在“基本属性”的“数字证书”处,点击<创建USB-KEY >,进入【创建USB-KEY】配置窗口,根据实际情况,按引导完成USB-KEY创建即可。
内置CA场景
选择“内置CA生成的数字证书”后,确认内置CA自动生成的证书信息是否需要修改,确认无误后配置KEY的PIN码并点击<开始创建>即可。
外置CA场景
选择“外部CA签发的数字证书”后,选择外置CA为用户签发的证书、填写证书密码并选择签发的CA后,配置KEY的PIN码并点击<开始创建>即可。
飞天ePass3003ND型号KEY认证场景
飞天ePass3003ND型号KEY不需要使用代理模式,只需要将用户证书导入用户的USB-KEY里即可,导入步骤如下:
Windows电脑驱动安装。
说明:
烧KEY的电脑需要安装USB-KEY驱动,才能将证书烧写进KEY。
烧KEY压缩包文件说明(社区下载)
压缩包:epass3003SDK.zip
中间件安装程序(中文):PKI\Redist\cn\ePass3003-SimpChinese.exe
中间件安装程序(英文):PKI\Redist\en\ePass3003-English.exe
管理员管理工具:PKI\Utilities\ePassManagerAdm_3003.exe
安装KEY驱动:
将证书导入KEY。
获取用户证书;
安装好驱动的PC插入ePass3003型号的KEY。
运行KEY管理工具。
登录。出厂USER PIN:1234。
导入用户证书。
选择用户证书,并输入证书密码(创建证书时配置的密码)。
导入成功。
完成并登出。
删除证书场景
同样,安装好驱动的PC插入ePass3003型号的KEY,运行KEY管理工具并登录。
选择证书节点
点击删除并确认
删除成功
替换证书场景
在删除证书之后,按导入证书步骤重新导入新的证书即可。