На примере cмарт карт Avtor CryptoCard337, тонкого клиента HP T430 на базе ThinPro и VMware Horizon 2103
Предполагаем, что действия с установкой и настройкой Служб сертификации выполнены и включена групповая политика на вход в домен по предъявлению смарт-карты.
Настройка тонкого клиента
Подготовка ОС HP ThinPro для установки драйверов смарт-карты:
Установку обновлений и драйверов на тонкие клиенты HP T430 можно производить как локально, так и централизованно с помощью Device Manager.
Обновление ОС до версии не ниже ThinPro 7.1 SP 17.4 из репозитория.
Обновление клиента Horizon View до версии не ниже 2012 из репозитория.
Обновление браузера Firefox до версии не ниже 78.12.0 из репозитория.
Обновление клиента терминала до версии не ниже tterm-2.0.0hp2a из репозитория.
Установка драйверов от смарт-карты AVTOR Avtor CryptoCard337.
Скачать драйвера с официального сайта производителя. Конкретно в нашем случае это http://my.avtor.ua/Account/Login (логин: linux337; пароль: 12345678). Рекомендуется устанавливать пакет avtor-tools_1.2.0_amd64.deb для 64 битной версии ОС.
Записать драйвера на USB носитель. Носитель должен быть отформатирован в FAT32.
Перейти в режим «Администратора» на тонком клиенте HP T430.
Запустить программу X-Terminal.
В терминале выполнить команду fsunlock.
6. Вставить флеш накопитель с драйверами в USB порт тонкого клиента HP T430. Должно появиться окно с выбором установки файлов с расширением *.deb которые есть на носителе (Обновление по USB). Если окно не появилось, перезагрузить устройство и начать заново с п.3.
7. Выбрать необходимый драйвер.
8. Нажать «Установить».
9. После сообщения об окончании установки необходимо выбрать чекбокс «Показать детали» и проверить корректность установки драйверов.
10. Перезагрузить устройство.
После данных действий тонкий клиент будет корректно работать со смарт-картой.
2. Настройка VMware Horizon
Подразумевается использование ОС семейства MS Windows совместимых с программным обеспечением VMware Horizon, а также с драйверами от смарт-карты. Имеется работающая инфраструктура открытых ключей (PKI).
VMware Horizon должен быть установлен и настроен в соответствии с требуемой конфигурацией. Рекомендуется Horizon View Connection Server и конечные станции ввести в домен АД. Для работы прозрачной аутентификации с помощью PKI карты необходимо установить драйвера AVTOR CC337 под ОС MS Windows на сервере, где установлен Horizon View Connection Server и на конечные станции (сайт производителя http://my.avtor.ua/Account/Login (логин: RSA; пароль: 12345678, качаем файл AvtorCc337Md_Setup.msi.zip).
Ссылка на сжатую инструкцию https://docs.vmware.com/en/VMware-Horizon/index.html Выбираем нужную версию VMware Horizon, далее переходим в раздел «Horizon Administration» и в нем выбираем «Setting Up Smart Card Authentication»).
Настройка сертификатов. Экспорт корневого сертификата (Obtain the CA Certificate from Windows)
Откройте Certification Authority на корневом ЦС, выполнив команду certsrv.msc
2. Откройте окно Certification Authority -> CA Name -> Properties
На вкладке General выберите корневой сертификат и нажмите кнопку View Certificate
3. Перейдите на вкладку Details и нажмите кнопку Copy to File
4. На странице выбора формата файла выберите Base-64 encoded X.509 (.CER).
5. Укажите путь экспорта файла, например, C:\temp\RootCA.cer.
Импорт корневого сертификата в VMware Horizon (Add the CA Certificate to a Server Truststore File).
На сервере VMware Horizon откройте командную строку и перейдите в каталог с утилитой keytool.exe (C:\Program Files\VMware\VMware View\Server\jre\bin).
2. Импортируйте подготовленный корневой сертификат в файл-хранилище с помощью команды: keytool -import - alias alias -file root_certificate -keystore truststorefile.key -storetype JKS, где alias – псевдоним (любое значение), root_certificate – полный путь к файлу сертификата, truststorefile.key – имя файл-хранилища, storetype – тип хранилища. В процессе импорта необходимо будет ввести парольную фразу для защиты хранилища и подтвердить доверие сертификату.
3. Файл-хранилище truststorefile.key необходимо скопировать в директорию SSL Gateway: install_directory\VMware\VMware View\Server\sslgateway\conf.
4. В директории SSL Gateway (install_directory\VMware\VMware View\Server\sslgateway\conf) необходимо создать файл c именем locked.properties и отредактировать его (например, в блокноте) до следующего содержимого:
trustKeyfile= truststorefile.key
trustStoretype=jks
useCertAuth=true
Сохраните файл и перезапустите службу Horizon View Connection Server.
Настройка аутентификации по сертификату в VMware Horizon (Configure Smart Card Settings in Horizon Console)
Зайдите в Web-консоль VMware Horizon.
Перейдите в свойства сервера: Inventory -> View Configuration -> Servers -> Connections Servers -> Edit.
Перейдите на вкладку Authentication и выберите предпочтительный режим аутентификации. Аутентификация в административную консоль по смарт-карте настраивается из выпадающего списка Smart card authentication for administrators:
Not Allowed – не использовать смарт-карту;
Optional – смешанная аутентификация (или по паролю или по смарт-карте);
Required – обязательное использование смарт-карты.
Аутентификация пользователя в VDI по смарт-карте настраивается из выпадающего списка Smart card authentication for users. Опция "Disconnect user sessions on smart card removal" определяет политику при отключении смарт-карты. Установите галочку, если необходимо производить отключение сессии при изъятии смарт-карты.
Проверка входа
Вход в консоль администрирования
1. Вставьте смарт-карту и перейдите в консоль администрирования.
2. В появившемся окне формы входа выберите сертификат администратора и нажмите кнопку OK.
3. Отобразится запрос на ввод PIN-кода. После успешной проверки PIN будет произведена аутентификация в Web-интерфейс.
Настройка проброса смарт карты в гостевых ВМ
Проброс смарт-карты пользователя позволяет производить прозрачную аутентификацию в виртуальную машину с вводом PIN-кода один раз. При использовании в качестве конечной виртуальной машины ОС Windows, macOS, Linux необходимо выполнить установку VMware View Agent с активацией опции Smartcard Redirection.
Авторизация с помощью смарт-карты на тонком клиенте
Запустите VMware Horizon Client и выберите подключение
2. Отобразится запрос на ввод PIN-кода.
3. После успешной аутентификации отобразятся доступные ресурсы.
Готово!