更新时间:2023-12-13
功能说明
当需要使用USB-KEY认证时,为了解决部分类型瘦终端本地无驱动无法使用USB-KEY的问题,管理员可在“通用USB-KEY设置”处,通过配置代理认证服务器解决。
- 桌面云瘦客户机支持的KEY类型如下所示
桌面云支持瘦客户机使用KEY进行认证,包括飞天KEY和第三方KEY。其中飞天KEY分两种,一种是ePass1001ND型号,由于该型号KEY驱动不支持ARM瘦客户机平台,因此瘦客户机使用KEY认证映射登录方式;另一种是ePass3003型号,该型号KEY驱动支持ARM瘦客户机平台,瘦客户机已经安装该型号KEY驱动,因此ePass3003型号KEY使用非映射KEY登录。第三方KEY都使用映射方式认证。
- 常见Key外观如下表所示
KEY型号
|
KEY外观
|
飞天诚信
ePass1001ND型号
|
|
飞天诚信
ePass3003型号
|
|
其他第三方KEY
|
\
|
前提条件
1.VDC已启用内置CA或对接外置CA;
2.用户已创建并关联了证书。
注意事项
- 第三方USB-KEY设置
①如果不配置,Windows可以登录,但不支持拔KEY注销。aDesk不可以登录。
②如果配置但状态为禁用,Windows和aDesk都可以登录,但不支持拔KEY注销。
③如果配置且状态为启用,Windows和aDesk都可以登录,并支持拔KEY注销。
- 更改USB-KEY设置
更改USB-KEY设置,需要重启VDI Client客户端才生效。例如增加新的第三方KEY,需要关闭VDI Client重新运行才生效。
- ARM瘦客户机的OTG不支持KEY认证登录
ARM瘦客户机有一个名为OTG的USB口,此口无法使用KEY认证登录。
- 瘦客户级修改USB-KEY的PIN码
瘦客户机修改USB-KEY的PIN码只支持飞天ePass3003型号的USB-KEY。
- 飞天ePass3003型号导入证书
飞天ePass3003型号KEY暂不支持从VDC控制台导入用户证书,只能从控制台把证书下载到本地,再使用飞天提供的管理工具导入证书。
操作步骤
• 飞天ePass1001ND型号KEY和第三方KEY认证场景
1.登录方式
瘦客户机:无须安装KEY驱动,KEY认证代理服务器需安装KEY驱动。
PC客户端:PC客户端使用本地安装驱动方式认证,无须KEY认证代理服务器。
2.支持的功能
①支持拔KEY注销功能。在控制台可配置是否启用拔KEY注销。
②支持映射KEY认证并发登录。aDesk使用映射KEY认证登录,认证时用户随机分配其中一台KEY认证代理服务器进行认证。
推荐配置:KEY认证代理服务器数 = KEY认证并发数×20%
即100个并发用户,推荐20台KEY认证代理服务器。如果有200个用户,但KEY认证并发数有20个,则只需配置4台服务器。(注:飞天ePass30003型号KEY登录无须申请KEY认证代理服务器,该型号KEY并发登录不受KEY认证代理服务器个数影响,建议使用飞天ePass30003型号。)
③KEY认证代理服务器支持win7 x86、win7 x64系统。
推荐配置:KEY认证代理服务器推荐使用Win7 x86系统(双核+15G硬盘+1G内存)
④支持KEY认证代理服务器定时开关机。
⑤KEY认证代理服务器Agent与VDI连接后,会自动登录服务器系统。
⑥aDesk支持修改飞天ePass30003型号KEY的PIN码(Personal Identification Number)。
3.配置部署
A.代理认证服务器部署
①HCI控制台新建KEY认证代理服务器模板(需使用桌面应用类型),推荐使用Win7(x86)系统双核+15G硬盘+1G内存。具体部署方式同“虚拟机模板部署”章节。模板需要安装Agent(同独享桌面Agent)和KEY驱动。
KEY驱动获取路径:[业务中心→认证管理→证书与USB-KEY认证]界面,在“通用USB-KEY设置”处点击<下载安装USB-KEY驱动>即可获取。
②登录VDC控制台,进入[业务中心→认证管理→证书与USB-KEY认证]界面,在“通用USB-KEY设置”处点击<代理认证服务器设置>,进入【第三方USB-KEY认证代理服务器设置】配置页面;
③在“基本设置”处选择在HCI平台上创建好的KEY代理认证服务器模板;
④在“认证服务器位置与数量”处,点击<新建>,弹出【新建服务器】指引窗口,按实际业务场景,按顺序完成“集群”、“基础配置”和“配置与网络”三部分配置工作,完成认证服务器创建。
⑤在“其他设置”处,管理员可根据业务需求为KEY代理认证服务器配置开关机计划。
B.配置USB-KEY的Vid&Pid。
①登录VDC控制台,进入[业务中心→认证管理→证书与USB-KEY认证]界面,在“通用USB-KEY设置”处点击<添加>,进入【USB-KEY设置】配置窗口;
②依据实际情况,填写USB-KEY的名称、型号(Vid_xxx&Pid_xxx格式)并设置是否启用拔KEY注销。
• 说明:
获取USB-KEY的Vid&Pid方法:
Windows系统PC插入USB-KEY,打开工具ChipGenius_v4_00_0027_pre2.exe(或其他工具)选中USB-KEY,从详细信息栏可以获取Vid&Pid。再把该ID以Vid_xxx&Pid_xxx格式配置到控制台。
C.创建USB-KEY。
①将USB-KEY接入管理员电脑;
②登录VDC控制台,进入[业务中心→用户管理]界面,找到需要创建USB-KEY的用户账户条目,点击对应的<编辑>按钮,进入【编辑用户】配置页面;
③在“基本属性”的“数字证书”处,点击<创建USB-KEY >,进入【创建USB-KEY】配置窗口,根据实际情况,按引导完成USB-KEY创建即可。
• 内置CA场景
选择“内置CA生成的数字证书”后,确认内置CA自动生成的证书信息是否需要修改,确认无误后配置KEY的PIN码并点击<开始创建>即可。
• 外置CA场景
选择“外部CA签发的数字证书”后,选择外置CA为用户签发的证书、填写证书密码并选择签发的CA后,配置KEY的PIN码并点击<开始创建>即可。
• 飞天ePass3003ND型号KEY认证场景
飞天ePass3003ND型号KEY不需要使用代理模式,只需要将用户证书导入用户的USB-KEY里即可,导入步骤如下:
- Windows电脑驱动安装。
• 说明:
烧KEY的电脑需要安装USB-KEY驱动,才能将证书烧写进KEY。
烧KEY压缩包文件说明(support.sangfor.com.cn下载)
压缩包:epass3003SDK.zip
中间件安装程序(中文):PKI\Redist\cn\ePass3003-SimpChinese.exe
中间件安装程序(英文):PKI\Redist\en\ePass3003-English.exe
管理员管理工具:PKI\Utilities\ePassManagerAdm_3003.exe
安装KEY驱动:
- 将证书导入KEY。
①获取用户证书;
②安装好驱动的PC插入ePass3003型号的KEY。
③运行KEY管理工具。
④登录。出厂USER PIN:1234。
⑤导入用户证书。
⑥选择用户证书,并输入证书密码(创建证书时配置的密码)。
⑦导入成功。
⑧完成并登出。
• 删除证书场景
同样,安装好驱动的PC插入ePass3003型号的KEY,运行KEY管理工具并登录。
①选择证书节点
②点击删除并确认
③删除成功
• 替换证书场景
在删除证书之后,按导入证书步骤重新导入新的证书即可。