3.4.3.1. 本地密码认证

3.3.3.1.1.用户名/密码策略设置

操作场景

需要对本地用户的密码进行格式、修改周期等安全性要求的时候设置。

前提条件

无。

注意事项

无。

操作步骤

1. [桌面云设置/认证设置/主要认证/本地密码认证]，点击<设置>。

2. 弹出[本地认证认证设置]页面，如下图所示，根据实际需求勾选相应设置即可。

• 密码安全策略：用于设置用户的一些密码策略，详细可参见上图。

• 用户名策略：用户登录时，设置是否区分输入用户名的大小写。

：

上述策略只对本地密码认证的用户有效。

3.3.3.1.2.防止暴力破解设置

操作场景

出于安全性需求要防止用户账号被非法爆破时设置。

前提条件

无。

注意事项

无。

操作步骤

1. 登录VDC控制台，进入[桌面云设置/认证设置/密码认证选项]，点击<设置>，跳转[密码认证选项设置]窗口。

2. [密码认证选项设置]页面如下图所示，根据实际需求完成防止暴力破解选项的配置即可。

•   说明：

图形验证码选项设置中，输入0表示强制启用，即默认启用图形验证码；输                            入小于3时，非Windows客户端仍然以3次为标准。

3.4.3.2.USB-KEY认证

操作场景

1. 支持的KEY类型

VDI支持aDesk使用KEY进行认证，包括飞天KEY和第三方KEY。

其中飞天KEY分两种，一种是ePass1001ND型号，由于该型号KEY驱动不支持android平台，因此aDesk使用KEY认证映射登录方式；另一种是ePass3003型号，该型号KEY驱动支持android平台，aDesk已经安装该型号KEY驱动，因此ePass3003型号KEY使用非映射KEY登录。第三方KEY都使用映射方式认证。

2. 映射与登录时间

KEY型号	KEY映射方式	登录时间
飞天诚信 ePass1001ND型号	USB-KEY映射	获取到KEY认证服务器后，10S以内
飞天诚信 ePass3003型号	非映射	秒登录
其他第三方KEY	USB-KEY映射	获取到KEY认证服务器后，10S以内

3. Key外观

KEY型号	KEY外观
飞天诚信 ePass1001ND型号
飞天诚信 ePass3003型号
其他第三方KEY	......

前提条件

无。

注意事项

1. 第三方USB-KEY设置

• 如果不配置，Windows可以登录，但不支持拔KEY注销。aDesk不可以登录。

• 如果配置但状态为禁用，Windows和aDesk都可以登录，但不支持拔KEY注销。

• 如果配置且状态为启用，Windows和aDesk都可以登录，并支持拔KEY注销。

2. XP系统作为KEY认证服务器

XP系统作为KEY认证服务器，如果模板Agent不是最新版本，派生虚拟机后需要手动登录更新Agent。

3. 更改USB-KEY设置

更改USB-KEY设置，需要重启VDI Client客户端才生效。例如增加新的第三方KEY，需要关闭VDI Client重新运行才生效。

4. 四核aDesk的OTG不支持KEY认证登录

四核aDesk有一个名为OTG的USB口无法使用KEY认证登录。

5. aDesk客户端修改USB-KEY的PIN码

aDesk修改USB-KEY的PIN码只支持飞天ePass3003型号的USB-KEY。

6. 飞天ePass3003型号导入证书

飞天ePass3003型号KEY暂不支持从VDC控制台导入用户证书，只能从控制台把证书下载到本地，再使用飞天提供的管理工具导入证书。

操作步骤

一．ePass1001ND型号和第三方KEY认证

：

ePass3003ND型号的KEY相关内容请参考“ ePass3003ND型号 KEY 认证”章节。

1. 登录方式

aDesk：无须安装KEY驱动，KEY认证代理服务器需安装KEY驱动。

PC：PC客户端使用本地安装驱动方式认证，无须KEY认证代理服务器。

2. 支持的功能

• 支持拔KEY注销功能。在控制台可配置是否启用拔KEY注销。

• 支持映射KEY认证并发登录。aDesk使用映射KEY认证登录，认证时用户随机分配其中一台KEY认证代理服务器进行认证。

推荐配置：KEY认证代理服务器数 = KEY认证并发数×20%

即100个并发用户，推荐20台KEY认证代理服务器。如果有200个用户，但KEY认证并发数有20个，则只需配置4台服务器。（注：飞天ePass30003型号KEY登录无须申请KEY认证代理服务器，该型号KEY并发登录不受KEY认证代理服务器个数影响，建议使用飞天ePass30003型号。）

• KEY认证代理服务器支持win XP、win7 x86、win7 x64系统。

推荐配置：KEY认证代理服务器推荐使用Win7 x86系统（双核+15G硬盘+1G内存）

• 支持KEY认证代理服务器定时开关机。

• KEY认证代理服务器Agent与VDI连接后，会自动登录服务器系统。

• aDesk支持修改飞天ePass30003型号KEY的PIN码（Personal Identification Number）。

3. KEY认证流程

1. 认证服务器空闲时：

• 瘦客户机 EC使用USB-KEY映射认证，输入PIN；

• aDesk向VDC请求空闲代理服务器；

• VDC从空闲认证服务器中分配一个服务器给aDesk，并将该服务器置为非空闲状态；

• aDesk获取到代理认证服务器资源后，与该服务器建立基于spice的会话，并将DKey映射到对应的认证服务器；

• 代理认证服务器向VDC发起USB-Key认证请求；

• VDC处理代理认证服务器的USB-Key认证请求，并将认证结果返回给代理服务器；

• 代理服务器将认证结果转发给aDesk；

• aDesk接收并解释代理服务器的认证结果，然后把认证结果反馈给用户。aDesk向VDC释放认证服务器资源；

• VDC收到释放认证服务器消息，把该服务器状态置为空闲。

2. 认证服务器繁忙时：

• 瘦客户机VDI Client使用USB-KEY映射认证，输入PIN；

• aDesk向VDC请求空闲代理服务器；

• VDC从空闲认证服务器中分配一个服务器给aDeck，并将该服务器置为非空闲状态；

• 如果认证服务器忙，则告知aDeck无空闲服务器；

• aDesk认证流程等待3秒，然后重复尝试向VDC请求认证服务器；

• 过程略（同第一部分流程说明）；

• 如果第二次请求也是返回无空闲认证服务器，则再次尝试，累计30次失败后认证流程结束，返回超时提示。

4. 配置部署

1. VMP控制台新建KEY认证代理服务器模板。

推荐使用Win7 x86系统双核+15G硬盘+1G内存。

• 在VMP控制台新建“KEY认证代理服务器”虚拟机，选择操作系统、处理器、内存、磁盘等之后，加载系统ISO文件。

• 点击<确定>，将此虚拟机开机，安装系统，安装Agent，安装KEY驱动。

安装Agent

方法一：在虚拟机里，登录VDC控制台，[桌面云设置/虚拟机管理]，下载安装Agent程序。

方法二： 在虚拟机里，登录VDC控制台，[桌面云设置/认证设置/证书与USB-KEY认证/第三方USB-KEY设置/代理认证服务器设置]，下载Agent程序并安装。

• 安装USB-KEY驱动。在虚拟机中登录VDC控制台，依次找到[桌面云设置/认证设置/证书与USB-KEY认证/第三方USB-KEY设置]，下载安装USB-KEY驱动。

• 成功安装Agent程序与USB-KEY驱动之后，将虚拟机关机并转化为模版。

2. 在VDC控制台派生KEY认证代理服务器虚拟机。

• 登录VDC控制台，依次找到[桌面云设置/认证设置/证书与USB-KEY认证]。

• 认证服务器名称默认AuthServer，认证服务器模版、运行位置、存储位置、桥接到虚拟交换机以及认证服务器数量可以手动选择。

开机计划：指定关闭或挂起状态的认证服务器自动开机的时间。

关机计划：指定开机状态下的认证服务器自动关机的时间。

• 创建成功的虚拟机属于“USB-KEY认证代理服务器”组，在[桌面云设置/虚拟机管理]里可以查看状态。KEY认证代理服务器开启后状态为空闲。

3. 配置USB-KEY的Vid&Pid。

• 登录VDC控制台，依次找到[桌面云设置/认证设置/证书与USB-KEY认证/第三方USB-KEY设置]，点击<添加>。

• 编辑名称、型号（Vid_xxx&Pid_xxx格式）以及设置是否启用拔KEY注销。

•   说明：

4. 设置USB-KEY方式登录（aDesk登录）。

• 登录VDC控制台，依次找到[桌面云设置/用户管理]，新建用户，选择数字证书/Dkey认证，并点击<创建USB-KEY创建数字证书>。

• 配置好PIN码，插入USB-KEY之后点击<创建>。成功后点击<保存>，立即生效。

• 将USB-KEY插入aDesk中，输入PIN码，登录VDI。

二．ePass3003ND型号KEY认证

：

飞天ePass3003型号KEY登录无须KEY认证代理服务器。

1. 配置内置CA（如果已配置，直接跳过）。

2. 创建用户证书。

1. 新建用户（如果已配置，直接跳过）。

2. 生成证书（记住证书密码）。

3. 下载证书。

3. Windows电脑驱动安装。

•   说明：

烧KEY的电脑需要安装USB-KEY驱动。

烧KEY压缩包文件说明（社区下载）

压缩包：epass3003SDK.zip

中间件安装程序(中文)：PKI\Redist\cn\ePass3003-SimpChinese.exe

中间件安装程序(英文)：PKI\Redist\en\ePass3003-English.exe

管理员管理工具：PKI\Utilities\ePassManagerAdm_3003.exe

安装KEY驱动：

4. 导入证书。

• 安装好驱动的PC插入ePass3003型号的KEY。

• 运行KEY管理工具。

• 登录。出厂USER PIN：1234。

• 导入用户证书。

• 选择用户证书，并输入证书密码（控制台创建证书时配置的密码）。

• 导入成功。

• 完成并登出。

5. 删除/替换证书

同样，安装好驱动的PC插入ePass3003型号的KEY，运行KEY管理工具并登录。

6. 删除证书

• 选择证书节点

• 确认删除

• 删除成功

7. 替换证书

删除证书之后，重新导入新的证书即可。

3.4.3.3.LDAP认证

操作场景

1. SANGFOR VDC网关支持使用“LDAP 协议”的第三方的服务器作为认证服务器。 [LDAP认证]就是用于设置LDAP外部认证服务器相应参数的。

2. 对接LDAPS认证。

前提条件

内网已有LDAP服务器提供服务且VDC可访问。

注意事项

无。

操作步骤

1. [桌面云设置/认证设置/主要认证/LDAP认证]，点击<设置>，跳转到[LDAP认证服务器设置]窗口。

2. 点击<新建>，跳转[新建/编辑LDAP服务器]窗口，如下图所示，根据实际需求完成LDAP服务器相应参数填写保存即可。

配置认证状态及认证服务器的设置，如下如所示。

参数	作用
服务器名称	标识LDAP服务器的名称，可填写便于记忆的文字，必填项。
服务器描述	用于描述LDAP服务器用途，可填写便于记忆的文字，选填项。
认证协议：	LDAP：轻量级目录访问协议。 LDAPS：通过使用SSL/TLS加密的LDAP，增强认证安全、提高数据传输过程的数据保密性和数据完整性。
服务器地址	用于设置 LDAP 服务器的 IP 地址和所使用的端口，此处可设置多个服务器地址和端口，他们之间是主备关系，第一个服务器为主服务器，其余都为备服务器，当第一个服务器连不上，才尝试连接第二个服务器认证，以此类推。
管理员全路径（DN）	填写 LDAP 服务器内一个有效的账号，用于读取 LDAP 结构。所填写的帐号一般要以域中 DN 的形式填写，且该账号在 LDAP 服务器必须有读取用户路径的权限。
管理员密码	之前填写账号的密码。
搜索入口	用于选择需要用于认证的 LDAP 用户账号所在路径。
搜索子树	若勾选[搜索子树]，该路径下的所有子路径的用户账号都包含进来； 若不勾选[搜索子树]，则只包含该路径下的本级用户账号。

配置用户设置的相关信息。

参数	作用
服务器类型	设置LDAP服务器使用协议类型，系统支持普通的 LDAP 协议和支持微软的 MS ActiveDirectory 协议、MS ActiveDirectory VPN协议。
用户过滤	筛选符合条件用户。例如：对于MS-AD，以“objectCategory=person”作为过滤用户账号的条件，对于普通 LDAP 协议，以“objectclass=person”作为过滤用户账号的条件。
用户名	用户登录的账户名称，必填项。
手机号码	指过滤LDAP服务器上用户手机号信息的条件。
过期时间字段	从AD域导入用户时，引入过期字段。
用户描述字段	从AD域导入用户时，可将AD域用户相应的属性也导入到用户描述中。

配置认证选项，设置密码的加密方式、超时时间等。

参数	作用
认证密码加密方式	选择对AD域认证时密码加密的选项，包括不加密、MD5加密和SHA1加密。
认证超时时间	可设置经过多久没有认证成功就返回认证失败。默认15秒。
允许空密码的LDAP用户登录	勾选后，用户可以使用空密码登录LDAP。
只有导入到本地的用户，才能进行LDAP认证	勾选后，只有导入到本地的用户，才能进行LDAP认证。
允许用户在客户端修改LDAP账号密码	可设置允许用户在客户端修改域用户密码，且可设置提示信息。
需要输入“用户名@域名”进行认证	勾选后，用户登录需要输入“用户名@域名”。
当LDAP服务器故障时允许使用VDC本地缓存认证	此配置仅对已导入VDC的用户生效。启用后，VDC会缓存LDAP凭证信息，有效期为30天。

配置其他属性，如组映射、角色映射及LDAP扩展参数。

1. 组映射配置

针对没有导入到本地的LDAP服务器的用户，用于设置将LDAP服务器中的OU和VDC本地的用户组绑定起来，那么该OU中的用户登录VDI之后就会拥有本地被绑定用户组的权限。

1. 点击<添加>，出现组映射配置页面如下。

• 外部OU：填写需要映射的OU在域中的DN。

• 所属组：选择该OU所要映射的本地用户组。

• 包含子OU：用于设置是否包含所选OU的子OU。若勾选[包含子OU]，则该OU下的所有子OU的用户账号都包含进来；若不勾选[包含子OU]，则只包含该OU下的本级用户账号。

2. 如果未设置映射，将其自动映射到目标：用于设置当某个OU没有映射到本地用户组的时候，这个OU里边的用户认证通过之后自动匹配为那个用户组的用户。
3. 点击<自动生成组映射关系>，出现配置页面如下。

• 为每个选择的独立的OU生成组映射：用于设置将我们所勾选的所有OU都在本地生成一个用户组并自动映射到该组。并且导入之后组织结构不会变化。

• 仅对选择的最顶层的OU生成组映射：用于设置只将我们勾选的最上级OU在本地生成一个用户组，该OU及其下级OU都映射到该组。

• 选择自动映射到本地的起始位置：设置最上级OU映射到的本地用户组。

4. 点击<下一步>，出现预览映射关系页面如下图。

5. 点击<完成>，则在[用户管理]中生成用户组并一一映射，如下图所示。

2. 角色映射配置

用于将LDAP服务器中的安全组映射到VDC网关本地的角色，那么当域中隶属于该安全组的用户通过VDI认证之后自动匹配到该角色，获得该角色中绑定资源的访问权限。配置页面如下图。

1. [是否启用角色映射]：用于启用和禁用角色映射功能。
2. 点击<添加>，可以添加角色映射规则，配置页面如下图，[外部安全组]用于设置需要映射的安全组，[映射角色]用于设置安全组需要映射到本地的哪个角色。

3. 点击<删除>，可以删除所选的角色映射规则。
4. 点击<编辑>，可以编辑所选的角色映射规则。
5. 点击<自动生成角色映射关系>，出现配置页面如下。

6. 勾选“外部安全组”，点击<确定>，则在本地[角色授权]中自动新建同名的角色并映射，如下图所示。

3. LDAP扩展参数配置

配置页面如下。

1. 关联资源的属性列表：用于设置当LDAP上用户认证成功后，根据关联资源的属性列表配置的信息，给用户分配相关的资源。

• 点击“+”号，弹出[添加关联资源属性]，设置需要关联的属性名，点击<确定>，将属性名添加至属性列表中配置页面如下。

• 点击“-”减号，用于删除选中的属性名。

• 点击“修改”，用于编辑选中的属性名。

2. 继承所有上级资源：用于设置当该LDAP服务器上用户登录后，除了所绑定的属性的值作为资源下发到资源列表，该用户所属OU以及上级的所有OU的该属性的值也会作为资源发到资源列表。
3. 勾选[虚拟IP属性名]，在右边方框内填写LDAP服务器上作为用户账号IP地址的属性名字，该LDAP服务器上用户登录后，LDAP服务器返回该属性值到VDC设备，用于该LDAP账号下发的虚拟IP。

•   说明：

以上[关联资源的属性列表]只对用户列表上不存在的LDAP账号生效，                            若用户列表存在相应的用户账号，该功能无效。

3. 对于LDAP认证服务器列表，管理员可以进行编辑、删除等操作。
   4. Radius认证

操作场景

SANGFOR VDC网关支持使用“RADIUS协议”的第三方的服务器作为认证服务器。需要使用RADIUS服务器作为认证服务器时，可在[RADIUS认证]设置RADIUS外部认证服务器相应参数。

前提条件

无。

注意事项

无。

操作步骤

1. [桌面云设置/认证设置/主要认证/RADIUS认证]，点击<设置>，跳转到[RADIUS认证服务器设置]窗口。

2. 点击<新建>，跳转到[新建/编辑RADIUS服务器]窗口。

3. 在[新建/编辑RADIUS服务器]窗口中完成RADIUS服务器各项参数的参数设置。参数设置页面包含基本属性、RADIUS扩展属性、组映射。基本属性配置如下图。

1. 服务器名称：用于标识Radius服务器，必填；
2. 服务器描述：用于备注Radius服务器信息，可随便填写便于记忆的文字，选填。
3. 服务器地址：用于设置RADIUS服务器的IP地址和所使用的端口，此处可设置多个服务器地址和端口，他们之间是主备关系，第一个服务器为主服务器，其余都为备服务器，当第一个服务器连不上，才尝试连接第二个服务器认证，以此类推。

• 点击“+”，出现服务器IP地址和端口的设置页面如下，配置完成后点击<确定>。

• 点击“—”，可以删除所选的服务器地址。

• 点击“编辑”，可以编辑所选的服务器地址。

• 点击“上移”或“下移”按钮，可以调整服务器地址的顺序。

4.  认证协议：可选择协议有[不加密的协议PAP]、[咨询握手身份验证协议（CHAP）]、[microsoft CHAP]、[microsoft CHAP 2]或[EAP-MD5]，根据实际情况选择。

5. [共享密钥]：需和服务器端相同

6. 字符集：支持UTF-8和GBK两种类型，可根据实际情况填写
7. 认证超时：设置多长时间无回应认为认证失败，可根据实际情况需求填写。
8. 是否启用：用于设置启用或禁用该外部认证服务器。
9. Radius扩展属性：配置页面如下图。

• 勾选[绑定手机号码ID]，在右边第一个方框内填写RADIUS服务器上作为用户账号手机号码的属性ID，第二方框填写子属性ID。该RADIUS服务器上用户登录后，RADIUS服务器返回该属性值到VDC设备，用于短信认证。

：

该功能可与短信认证结合使用。

• 勾选[绑定虚拟IP地址ID]，在右边第一个方框内填写RADIUS服务器上作为用户账号IP地址的属性ID，第二方框填写子属性ID。该RADIUS服务器上用户登录后，RADIUS服务器返回该属性值到VDC设备，用于该RADIUS账号使用L3VPN时下发的虚拟IP。

10. 组映射：用于设置Radius的扩展属性值，并映射到本地组，那么当Radius认证用户成功认证之后，根据Radius中的属性值将用户分配到某个组并拥有访问该组关联资源的权限，配置页面如下图。

• 点击<添加>，配置页面如下，[字段]用于设置Radius中的Class属性值，[所属组]用于设置将用户分配到的本地组，点击<确定>，将设置的映射规则添加到映射规则列表。

• 点击<删除>，删除选中的映射规则。

• 点击<编辑>，编辑选中的映射规则。

11. 如果未设置映射，将其自动映射到目标：用于设置当成功登录VDI的用户，找不到对应的组映射规则时，将该用户分配到的本地用户组。
    5. 短信认证

操作场景

[短信验证码]即VDI用户登录时，输入用户名/密码后，VDC 网关会使用发送短信的方式向该用户的手机号码发送一个动态生成的随机密码，即短信验证码，登录用户必须输入该验证码，才能成功登录VDI，访问内网资源。

前提条件

无。

注意事项

无。

操作步骤

1. 在[桌面云设置/认证设置/辅助认证/短信验证码]页面下，点击<设置>跳转到[短信认证设置]页面。

2. [短信认证设置]页面内容如下，短信发送方式支持设备内置短信模块、安装在外部服务器上的短信模块以及运营商短信网关三种，可根据实际需求进行配置。

1. 短信验证码：用于设置启用或禁用短信认证功能。
2. 重新发送间隔：用于设置短信发送间隔时间。
3. 验证码有效期：用于设定动态密码的有效时间，用户登录 VDI 时，如果输入的动态密码超过了有效时间， 则登录失败，需要重新获取验证码。可定义时间为 1－1440 分钟。
4. 自定义短信：用于设定发送到客户端手机上短信的内容。点击<恢复初始内容>，可以将自定义短信的内容恢复为默认值。
5. 短信验证码发送模块选择：支持[通过设备内置短信模块发送]和[通过安装在外部服务器上的短信模块发送]两种方式。配置界面如下图。

6. 短信发送参数：用来配置发送短信的参数，支持短信网关类型有 [GSM 短信猫]（接到短信模块服务器 com 口）、 [CDMA 短信猫]、[中国移动 V2]、[中国移动 V3]、[中国联通]、[中国电信 V3]和[HTTP 协议]。

1. 内置短信模块。

2. 短信中心：短信猫所对应的运营商的短信中心号码，例如深圳的为：8613800755500。
3. 短信猫使用的串口：短信猫所使用的串口。可选择[COM0]和[COM1]，如下。

4. 串口波频率：VDC设备和相连的短信猫通讯的波特率，可选择五种波频率，一般用默认的9600即可。

5. 发送测试短信息：点击后，出现[测试短信息]的设置页面，是用于测试短信猫或者短信网关能否正常发送短信，填入接收短信的手机号码，点击<确定>，发送测试短信。

•   说明：

6. 通过安装在外部服务器上的短信模块发送。

7. [通过安装在外部服务器上的短信模块发送]即短信模块安装在某一台服务器上，通过短信服务器来发送短信；短信网关类型可以选择[GSM短信猫] /[CDMA短信猫]/[中国移动V2]/[中国移动V3]/[中国联通]/[中国电信V3] /[HTTP协议]。

•   说明：

以短信猫为例说明[外置短信模块]的使用方法。构建短信服务器只需要一台主板上带有com口的电脑，并且安装上深信服科技公司提供的短信服务软件即可。

支持系统：Windows XP、Windows 2000、Windows 2003，不支持vista系统。

外置短信模块结构图。

第一步：将一手机sim卡放入短信Modem内；

第二步：短信Modem通过发货时自带的串口线（一端为公头，另一端为母头）连接到短信服务器（电脑）的com口上，注意把接口上的旋钮扭紧，确保串口线和短信Modem以及串口线和短信服务器接触良好；

第三步：在短信服务器上安装深信服科技科技提供的软件安装包；

第四步：软件安装完成后，短信服务会以系统服务的形式自动运行，短信服务进程为“SMSSP.exe”；

如下图所示。

在服务列表中能够看到短信服务“SMSSERVICE”；

如下图所示。

在系统的“开始”菜单打开短信服务软件的控制台，进行配置。

在系统桌面右下角的控制台能够看到当前短信服务的状态，左图为服务正常，右图为服务异常。

如果软件安装好后，服务仍然显示停止，一般情况下是由于软件没有安装在系统盘下造成的，请把软件重新安装在默认路径下。

第五步：鼠标右键点击控制台，选择“Config”。

在软件服务的监听端口设置对话框里，设置好监听端口（TCP端口），如果服务器还提供其他服务，可以使用“netstat –na”查看服务器上已监听的端口，要保证设置的端口和这些服务的端口不冲突。

如果短信服务器装有防火墙软件，必须保证防火墙有放通此处设置的短信服务监听端口。

至此“外置短信服务器”设置完毕。

第六步：登录VDC设备的控制台，打开[桌面云设置\认证设置\短信验证码]，配置短信认证信息。

配置如下图所示。

• [短信中心地址]填上短信服务器的IP，必须保证VDC设备能够和短信服务器正常通信（VDC设备能够连通短信服务的监听端口）。

• [短信中心端口]填上短信服务软件的监听端口。

• [短信网关类型]下拉框，选择[GSM短信猫]。

• [短信中心]填写短信Modem上所放入的sim卡的短信中心号码，根据sim卡的实际情况填写（可咨询sim卡的服务提供商）。

• [短信猫使用的串口]根据实际情况填写，目前一般电脑只有一个com口，选则“0”就可以了，若接到第二个com口上，则选择“1”。

• [串口波频率]下拉框选择[9600]。

3. 使用运营商短信网关

如果网络中已经有中国移动短信网关或者中国联通短信网关，可以和VDI结合使用。配置方法如下。

[短信网关类型]中选择[中国移动V2]/[中国移动V3]/[中国联通]/[中国电信V3]。

如果启用[外置短信模块]，[短信模块设置]中[短信中心地址]填写短信模块软件服务器的IP，[短信中心端口]填写短信模块软件实际监听的端口。

[短信发送参数]中的剩余的[短信网关服务器地址]、[短信网关服务器端口]、[企业代码]、[业务代码]、[SP接入号]、[网关编号]、[登录帐号]、[登录口令]、[确认口令]信息请按照短信服务提供商提供的相关参数填写。

4. 使用webservice方式发送短信校验码

VDC设备可以与基于webservice的短信平台联动，支持以webservice方式发送短信校验码，保障加强短信发送的稳定性。配置界面如下。

[短信网关类型]中选择HTTP协议，设置webservice短信网关平台的地址，页面编码方式以及SOAP版本和请求类型。

点击<配置短信模板>用于设置短信模板的接口名称等信息。

3.4.3.6.硬件特征码认证

操作场景

硬件特征码是根据计算机的硬件特性按一定的算法生成的一个序号，由于硬件特性的唯一性，使得该硬件特征码也是唯一的、不可伪造的，所以对于不同的计算机，此序号必然不同。通过将用户与硬件特征码绑定，可限制用户只能在特定设备上登录。

每个用户拥有的硬件特征码个数可按照实际需要在策略组中进行设置，默认为5个。

前提条件

支持Windows客户端、Linux客户端、深信服瘦终端。

注意事项

无。

操作步骤

1. 在VDC控制依次打开[VDI 设置/认证设置/辅助认证/硬件特征码]，点击<设置>，弹出[硬件特征码认证设置]页面，如下图所示。

1. 硬件特征码策略：选择[启用硬件特征码收集]，则设备只收集用户登录的硬件特征码，但不会启用硬件特征码认证；选择[启用硬件特征码认证]，则开启硬件特征码认证。
2. 自定义提示信息：填写提示用户提交硬件特征码时的用语。
3. 自动审批：勾选此项后，用户提交的硬件特征码不需要管理员手工审批，可自动通过审批。
4. 所有已审核的终端上，允许任意账号登录：勾选此项后，如果某一用户使用的计算机提交了硬件特征码并通过了审批，则其他用户用此计算机登录所提交的硬件特征码可自动通过审批。

2. 选择[启用硬件特征码收集]，点击<保存>使配置生效。
3. 新建用户user1为用户名密码+硬件特征码认证。

4. user1用户在客户端登录，会有“正在提交硬件特征码，请稍候...”的提示信息。

5. 等待用户成功登录后，在VDC控制台依次打开[VDI 设置\用户管理]点击<特征码管理>，弹出[特征码管理]页面，如下图所示。

6. 勾选需要审批的行，点击<批准>。至此用户硬件特征码审批通过。

7. 在VDC控制台[硬件特征码认证设置]页面，选择[启用硬件特征码认证]，点击<保存>使配置生效。 

8. user1用户再次在客户端登录，会有“正在进行硬件特征码认证”的提示信息，并最终能正常登录成功。

硬件特征码个数设置

操作步骤

在VDC控制依次打开[VDI 设置/策略组管理]，选择[用户关联的策略组/账号控制]，在账号控制选项中按照实际需要设置每个用户可拥有的硬件特征码个数，保存生效。

3.4.3.7.证书认证

操作场景

用于生成、配置、管理CA的数字证书，以满足客户利用内网已有第三方CA进行认证的需求和内网没有CA但需要证书认证的需求。

前提条件

1. 若使用外置CA认证，则需要客户内网部署有CA认证服务器；
2. 需要把本地用户的认证选项设置为数字证书/Dkey认证。

注意事项

1. 自建CA时，国家名为2个英文字符。例如：CN。邮件地址不支持中文；
2. 内置CA创建证书时若未填密码，则在客户端导入证书要输入密码时，留空即可，不用填写。

操作步骤

内置CA场景

1. 登录VDC控制台，[桌面云设置/认证设置]，在主要认证的“证书与USB-KEY认证”处，点击<设置>切换到证书与USB-KEY认证设置页面。

2. 在内置CA处点击<启用内置CA>。

3. 根据客户实际信息填写证书所需的各项信息，点击<完成>生成根证书。

4. [桌面云设置/用户管理]，进入用户管理界面，点击要使用证书认证的用户，弹出[修改用户]窗口。

5. 点击<生成证书>，弹出[生成用户证书]窗口，填写用户证书相关信息，点击<开始生成>生成证书，并弹出[下载证书]窗口。

6. 点击<下载证书>，将生成的证书下载到本地备用。

7. 将下载的证书拷贝到对应用户要登录的终端上，启动登录客户端，切换到证书界面，点击<导入证书>选择对应证书并填写证书密码进行导入。

8. 选择对应证书用户登录即可。

外置CA场景

1. 登录VDC控制台，点击[桌面云设置/认证设置]，在主要认证的“证书与USB-KEY认证”处，点击<设置>切换到证书与USB-KEY认证设置页面。

2. 点击外置CA的<添加>按钮，弹出[外置CA/添加]窗口，导入外置CA证书并设置CA名称，点击<确定>保存。添加成功后，显示如下。

3. 点击外置证书名称，设置证书相关选项。

1. 证书属性：

1. 用户名属性：指此CA签发的证书中，存放用户名的字段；用户名将显示在客户端主界面上，支持使用CN、Email前缀和OID作为用户名属性；
2. 绑定字段：指此CA颁发的证书导入到本地时，用户所绑定的证书字段，平台支持的绑定字段如下所示：

• 序列号：证书过期后，CA会重新签发证书，因为新证书的序列号已改变，必须在本地用户管理中，重新导入新证书；

• DN：相比证书序列号，可以避免用户证书更新时需要重新导入证书。选择此选项时，必须保证不同证书的DN名是唯一的；

• OID：与DN类似，通常需要填写存放用户名等唯一标识用户的OID属性。

3. 证书编码：用于设置此证书使用的编码格式。

2. 证书信任及授权

1. [仅信任该CA签发的，并且已经导入到本地的证书用户]：只有当用户证书被导入到VDC网关，用户才能通过该用户证书登录VDI；
2. [信任该CA签发的所有证书用户]：只要是CA颁发的有效用户证书，都允许登录VDI。

• 点击<配置映射规则>，设置将特定某证书DN映射到VDI本地用户组，使这些证书用户登录VDI之后自动分配到该用户组，并拥有该用户组的权限。设置页面如下。

• 点击<添加>，可以增加证书DN映射到VDI本地用户组的映射规则，规则配置界面如下。

“证书DN”可以通过证书主题查看。

“映射到本地组”用于设置拥有该字段证书登录后映射到的用户组。

3. 点击<编辑>和<删除>，可以编辑和删除选中的映射规则。

3. 证书撤销列表

1. 点击<导入文件或配置自动更新服务器>，可以手动更新或配置自动更新证书撤销列表，撤销列表支持格式为：*.crl。手动导入配置如下。

2. 若选择自动更新配置，则弹出如下界面。

3. 勾选 [启用自动更新CRL] 并设置颁发点地址和更新频率。

4. 在线证书状态查询（OCSP），用于实时的更新CA证书的状态。

3.4.3.8.动态令牌认证

操作场景

[动态令牌认证]是 Radius 服务器的一种扩展使用，通过与 Radius 服务器结合并为用户配发动态令牌，通过动态令牌上的动态密码进行登录，由此增加登录的安全性。

前提条件

无。

注意事项

无。

操作步骤

1. 打开VDC控制台，依次找到[桌面云设置/认证设置/辅助认证/动态令牌认证]。页面如下。

2. 点击动态令牌认证的<设置>按钮，出现动态令牌服务器设置框如下。

3. 点击<是>，跳转到Radius认证服务器管理页面，详细配置请参考“Radius认证”章节。
   9. 第三方接口认证

操作场景

对于用户系统没有认证接口的场景，VDC提供Sangfor 认证协议标准，由管理员自行开发对应的接口；对于用户系统有认证接口的场景，如果是CAS认证，则直接在CAS认证配置好接口即可，如果是其他类型认证，则需在自定义认证配置相应接口信息。

前提条件

用户系统有供第三方对接的认证接口。

注意事项

无。

操作步骤

1. 进入VDC控制台，点击[桌面云设置/认证设置/第三方接口认证/设置]，跳转到[第三方接口认证设置]界面。

2. 选择启用，根据客户系统实际提供的第三方接口认证类型选择对应的认证模式并完成对应参数填写即可。选择禁用可以禁止第三方接口认证功能。界面左上方有“查看详细配置文档”链接，提供如何设置Sangfor认证、CAS认证和自定义接口认证的详细配置方法。

3. 配置Sangfor认证。

•   说明：

4. 配置CAS认证

•   说明：

5. 配置自定义认证

其他说明

1. 请求头配置：默认可以不用配置，默认情况下，http 头部会携带以下信息， 客户可以根据实际需要修改 HTTP 头部信息。
2. 请求模板：VDC 服务器会将请求模板中的变量用 VDC 登录时的用户密码进行替换，发送到配置的认证服务器。常见请求请求模板配置如下。（$$XXX$$表示对应变量）

• form 表单格式(GET/POST)

username=$$USERNAME$$&password=$$PASSWORD$$

• json 格式(POST)

{ “name”: “$$USERNAME$$”, “password”: “$$PASSWORD$$” }

• xml 格式(POST)

<uname>$$USERNAME$$</uname><psw>$$PASSWORD$$</psw>

3. 接收配置

• 认证成功值：表示认证返回结果中具体哪个值代表用户认证通过，必填。

• 认证结果：表示认证返回结果中具体哪个字段对应认证结果，必填。

• 接收字段配置：用户认证成功后，需要进一步用到的信息，可选。

3.4.3.10.客户机认证

操作场景

适用于无需专门创建桌面云用户账号，通过客户机认证功能实现客户机开机后自动进入云桌面，模拟物理PC开机进入系统过程的场景。

前提条件

该功能仅支持安卓系统客户机，非安卓系统客户机本功能置灰。

注意事项

1. 在[桌面云设置/策略组管理]下，针对策略组的[允许私有用户自行修改以下信息]一栏，允许用户自行修改的[用户密码]、[用户描述]、[用户手机号]功能对客户机认证用户组用户不生效；
2. 在客户机组勾选[启用客户机认证]，如该客户机组下没有客户机，启用成功后，[桌面云设置/用户管理]下自动创建对应的客户机认证用户分组；
3. 如客户机版本号异常，即未与平台版本一致，则会提示“客户机版本号异常，请更新客户机系统重试。”；
4. 当VDC网络异常，并客户机离线时，如果在VDC上关闭了客户机认证，则当VDC网络恢复正常后，瘦客户机登录会提示“客户机未启用客户机认证，请重启客户机重试。”，此时需重启瘦客户机进行策略同步；
5. 客户机认证用户组不继承根组属性，如对用户根组进行设置，则对客户机用户无效，只对普通用户生效。

操作步骤

步骤1.客户机认证功能启用

1. 单台客户机配置

• 打开VDC控制台；

• 在[桌面云设置/客户机管理]，勾选单台客户机，并点击界面<编辑>，在[基本属性]一栏，勾选[允许客户机认证]，并点击<确定>。

2. 客户机组配置

• 打开VDC控制台；

• 在[桌面云设置]\[客户机管理]，点击对应客户机组，点击界面<编辑>，在[认证设置]一栏，勾选[启用客户机认证]，并点击<确定>；

• 启用成功后，会在[桌面云设置]\[用户管理]下自动创建对应的客户机认证用户分组。（如需关闭客户机认证功能，需瘦客户机处于离线状态）。

步骤2.资源关联关系配置

如需使用客户机认证功能，则需将自动创建的客户机认证用户分组与对应云桌面资源进行关联，具体步骤如下：

1. 打开VDC控制台。
2. 在[桌面云设置/用户管理]，在客户机认证用户组下找到已创建的分组，并点击<查看或编辑组属性>，如下图所示。

3. 选择相应的策略组与角色进行关联即可，如下图所示。