如何使用智能卡登录VMware Horizon View之一－－前期准备

        在使用虚拟桌面系统的时候，最常用的就是输入用户名和密码，看到分配给自己的桌面，然后登陆进去。但对于人员流动性大，不适合放置全键盘，又需要迅速使用自己的虚拟桌面的工作岗位，例如超市收银，餐厅点菜，保险中介等，使用智能卡登陆自己的虚拟桌面就变得非常安全高效了。而且在这些工作岗位，平时就需要刷工卡来考勤 —— 早上到了单位，在入口刷卡签到，信步走到自己的工位上，继续在电脑的读卡器上再刷一下工卡，在小键盘上输入一个PIN，自己熟悉的Windows桌面就出现在显示器上了，很轻松吧！

        VMware Horizon View产品就很好的支持使用智能卡登录远程虚拟桌面，通过将CA的证书烧入智能卡内，使得智能卡得到授权，其内部存储的证书和指定用户相关联，当读卡器将智能卡内的证书发送给View客户端操作系统后，View客户端就可以用这个证书在服务器端进行验证，从而实现一刷登录的操作。智能卡认证其实是一种通过验证用户有什么（智能卡）和用户知道什么（PIN）的双因素认证方式，这在未来的安全认证体系中会越来越普遍。目前智能卡认证还无法在Mac系统和View管理界面上使用。

        说起来容易，想在View中配置好智能卡，还是需要一定的步骤和经验的。这里我就将具体步骤一一道来。

先决条件

        软件方面，首先要安装好最新版的VMware Horizon View环境，包括配合使用的微软活动目录（AD），配置域服务和证书服务。同时准备好读卡器和智能卡的驱动程序。安装View代理的时候注意要选择PCoIP Smart Card，这个选项默认是不选的。

        硬件方面，在已有的View的服务器/瘦客户机的基础上，只需要View支持的读卡器和智能卡就可以了。

配置智能卡证书

        想配置智能卡认证，必须要有一个根证书，把它加到View服务器的truststore文件里，修改View连接服务器的配置属性，然后来配置智能卡认证的相应属性。

从CA获取根证书

        首先需要拿到在智能卡证书进行签名的CA的根证书。如果拿不到这个CA的根证书，也可以从智能卡证书或者CA签名过的用户证书里导出。这里，我们从安装好的活动目录证书服务中获取根证书，这是最方便的方法。

        在View服务器的桌面上，用浏览器访问http://CAURL/certsrv.

       点击”Download a CA certificate, certificatechain or CRL.”来获取根证书。

       在这个页面点击”Download CA certificate”，把下载下来的证书存为certnew.cer，存到本机，例如c:\certnew.cer. 在接下来的操作中，都会延续本例中的路径和命名。

将根证书加入服务器Truststore文件中

        接下来需要将根证书放在服务器的truststore文件中，这样View服务器就可以对智能卡用户进行认证，让他们能够访问自己的虚拟桌面。

       在View服务器上，使用keytool命令将根证书导入到truststore（trust.key）文件。

       keytool命令可能会提示你为keystore文件加入一个密码，自己设定就好了。生成好trust.key文件后，将其拷贝到SSL网关配置目录下。

修改View服务器配置属性

        然后我们需要修改一些服务器配置属性。在SSL网关配置目录下，生成一个locked.properties文件，文件里写入下面三个条目（注意，千万别写错了！我曾经反复调试失败，就是因为把useCertAuth写成了userCertAuth。）

        trustKeyfile=trust.key

        trustStoretype=JKS

        useCertAuth=true

        如果你的View 连接服务器和安全服务器是分开的，只要通过View管理界面配置连接服务器就好了，配置会自动应用到安全服务器上。

        下面重启View服务器。

在View管理界面中配置智能卡选项

        我们可以在View管理界面中对智能卡认证设定多种使用场景，例如不允许使用，可以选用，或者必须使用等等。

        在浏览器中打开View管理界面，访问ViewConfigurationàServers,选择Connection Servers页，点击Edit。

        在弹出窗口中，选择Authentication页，在Smart card Authentication for users后面的下拉框中，选择合适的选项。这里我们使用Optional，也就是说用户可以使用智能卡，也可以使用用户名＋密码的方式进行认证。如果选择Required，就只能使用智能卡进行登录认证。对于超市来说，Required模式比较好，因为收银柜台一般没有全键盘输入密码。

        点击Ok关闭此页面。重启View服务器使配置生效。

        休息一下，在后面的文章里，我们着重看看怎么进行活动目录的配置，这个需要一定的耐心和细心。

关于VMware最终用户计算:

VMware最终用户计算（简称EUC）将您的桌面、业务应用和数据转变为集中管理并从您的数据中心或您选择的云服务提供商合作伙伴安全地交付到任何位置、任何设备的 IT 服务，从而提升员工工作效率。http://www.vmware.com/cn/products/desktop-virtualization.html。

作者介绍

薛江波(新浪微博：Jumbo薛)

VMware 终端用户计算解决方案开发经理，11年IT经历，丰富的业务流程管理、数字营销以及虚拟化产品和解决方案开发经验。目前致力于终端用户计算产品的解决方案开发以及市场推广工作。

本文转自 桌面虚拟化 51CTO博客，原文链接:http://blog.51cto.com/vmwareeuc/1414564