Sécurité de VMware vRealize Operations for Horizon · L'adaptateur Horizon agit comme un serveur, les services Broker Agent et Desktop Agent comme des clients. Vous pouvez modifier

Sécurité de VMware vRealizeOperations for Horizon

VMware vRealize Operations for Horizon 6.3

Sécurité de VMware vRealize Operations for Horizon

2 VMware, Inc.

Vous trouverez la documentation technique la plus récente sur le site Web de VMware à l'adresse :

https://docs.vmware.com/fr/

Le site Web de VMware propose également les dernières mises à jour des produits.

N’hésitez pas à nous transmettre tous vos commentaires concernant cette documentation à l’adresse suivante :

[email protected]

Copyright © 2016 VMware, Inc. Tous droits réservés. Copyright et informations sur les marques.

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

VMware, Inc.100-101 Quartier Boieldieu92042 Paris La DéfenseFrancewww.vmware.com/fr

https://docs.vmware.com/fr/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

Table des matières

1 Sécurité de VMware vRealize Operations for Horizon 5

2 Gestion de la communication RMI dans vRealize Operations for Horizon 7

Services RMI 7Ports par défaut des services RMI 8Modification des ports par défaut du service RMI 9

Propriété des ports du service RMI 9Changer les ports du service RMI par défaut 9Mettre à jour le pare-feu de vRealize Operations Manager 10

Considérations relatives à RMI pour l'utilisation d'un collecteur distant 10

3 Modification de la configuration TLS par défaut dans

vRealize Operations for Horizon 13Protocoles et chiffrements TLS par défaut 13Propriétés de configuration TLS 14Modifier la configuration TLS par défaut des serveurs 14Modifier la configuration TLS par défaut des agents 14

4 Gestion de l'authentification dans vRealize Operations for Horizon 17

Description de l'authentification de chaque composant 17Authentification de l'adaptateur Horizon 17Authentification du service Broker Agent 18Authentification de Desktop Agent 18

Fichiers de magasin de certificats et d'approbations 18Fichiers de magasin de certificats et d'approbations de l'adaptateur View 18Fichiers de magasin de certificats et d'approbations du service Broker Agent 19

Remplacement des certificats par défaut 20Remplacer le certificat par défaut de l'adaptateur View 20Remplacer le certificat par défaut du service Broker Agent 21

Association de certificats 23Réémettre les jetons d'authentification des postes de travail Horizon 24Messages de journaux associés à SSL/TLS et à l'authentification 24

Index 25

VMware, Inc. 3


4 VMware, Inc.

Sécurité deVMware vRealize Operations forHorizon 1

Sécurité deVMware vRealize Operations for Horizon : fournit des informations sur la sécurité dans VMwarevRealize™ Operations for Horizon®, notamment comment modifier les ports par défaut des services RMI,modifier la configuration SSL/TLS par défaut pour les serveurs et les agents, et remplacer les certificatsautosignés par défaut.

Ces informations sont destinées à toutes les personnes qui souhaitent mettre en œuvrevRealize Operations for Horizon.

VMware, Inc. 5


6 VMware, Inc.

Gestion de la communication RMIdans vRealize Operations for Horizon 2

Les composants de vRealize Operations for Horizon communique à l'aide de RMI (Remote MethodInvocation). L'adaptateur Horizon expose les services RMI pouvant être appelés par un client externe.L'adaptateur Horizon agit comme un serveur, les services Broker Agent et Desktop Agent comme desclients. Vous pouvez modifier les ports par défaut de ces services RMI.

Pour des descriptions détaillées des composants vRealize Operations for Horizon, reportez-vous audocument Installation de VMware vRealize Operations for Horizon.

Ce chapitre aborde les rubriques suivantes :

n « Services RMI », page 7

n « Ports par défaut des services RMI », page 8

n « Modification des ports par défaut du service RMI », page 9

n « Considérations relatives à RMI pour l'utilisation d'un collecteur distant », page 10

Services RMIL'adaptateur Horizon expose les services RMI suivants.

Service de registre RMI Les services Broker Agent et Desktop Agent se connectent au service deregistre RMI et demandent l'adresse d'un serveur RMI spécifique. Comme leservice de registre RMI est utilisé uniquement pour la recherche et qu'aucuneinformation sensible ne lui est transmise, il n'utilise pas de canal chiffré.

Serveur de messagesdu service DesktopAgent

Les services Desktop Agent se connectent au serveur de messages du postede travail et l'utilisent pour envoyer des données de performances de postede travail à l'adaptateur Horizon. Le serveur de messages du service DesktopAgent utilise un canal SSL/TLS pour chiffrer les données envoyées depuis lesservices Desktop Agent.

Serveur de messagesdu service Broker Agent

Le service Broker Agent se connecte au serveur de messages du serviceBroker Agent et l'utilise pour envoyer des informations d'inventaire Horizonà l'adaptateur Horizon. Le serveur de messages du service Broker Agentutilise un canal SSL/TLS pour chiffrer les données envoyées depuis le serviceBroker Agent.

Serveur de gestion decertificats

Le service Broker Agent se connecte au serveur de gestion de certificatspendant le processus d'association de certificats. Le serveur de gestion decertificats n'utilise pas de canal chiffré. Les certificats sont chiffrés à l'aide dela clé de serveur pendant le processus d'association des certificats. Pourobtenir des informations, consultez « Association de certificats », page 23.

VMware, Inc. 7

Ports par défaut des services RMILes services RMI utilisent certains ports par défaut. Les ports par défaut sont laissés ouverts sur le pare-feudes nœuds de cluster et de collecteur à distance.

Tableau 2‑1. Ports par défaut des services RMI

Service RMI Port défini par défaut

Registre RMI 3091

Serveur de messages du service Desktop Agent 3092/3099

Serveur de messages du service Broker Agent 3093/3101

Serveur de gestion de certificats 3094/3100

Remarque Les ports 3091 à 3094 sont ouverts dans le pare-feu par vRealize Operations for Horizon. Vousdevez ouvrir manuellement les ports 3099, 3100 et 3101 dans le pare-feu vROps. Les ports 3092 à 3094 sontutilisés pour des raisons de compatibilité descendante de vRealize Operations for Horizon 6.1.

Figure 2‑1. Ports de communication utilisés avec Broker Agent 6.0/6.1

Broker Agentversion 6.1 ou 6.0

Réponse de l'adaptateur(par exemple, actualisation de

Rechercher AssocierEnvoyer les données

Adapterversion 6.2 ou 6.2.1 3091 3092 3093 3094

Envoyer les données du poste de travailRechercher

Réponse de l'adaptateur(par exemple, actualisation de la session et demande d'action)

Desktop Agentversion 6.1 ou 6.0

la topologie)

de topologie


8 VMware, Inc.

Figure 2‑2. Ports de communication utilisés avec Broker Agent 6.2/6.2.1

Service Broker Agentversion 6.2 ou version ultérieure

(serveur de connexion View)

Réponse de l'adaptateur(nécessite l'actualisation de

Rechercher AssocierEnvoyer les données

AdapterVersion 6.2 ultérieure

(nœud vROps)3091 3099 3101 3100

Envoyer les données duRechercher

Réponse de l'adaptateur(nécessite l'actualisation de la session,nécessite une action, etc.)

Service Desktop Agentversion 6.2 ou version ultérieure

(poste de travail VDI ou serveur RDS)

de topologie

poste de travail

la topologie, etc.)

Modification des ports par défaut du service RMIVous pouvez modifier les ports par défaut du service de registre RMI, du serveur de messages du serviceDesktop Agent, du serveur de messages du service Broker Agent et du serveur de gestion de certificats.

Propriété des ports du service RMILes ports du service RMI sont définis dans les propriétés du fichier msgserver.properties sur le serveur surlequel l'adaptateur Horizon est en cours d'exécution.

Tableau 2‑2. Propriété des ports du service RMI

Service RMI Propriété

Registre RMI port de registre

Serveur de messages du service Desktop Agent desktop-port

Serveur de messages du service Broker Agent broker-port

Serveur de gestion de certificats certificate-port

Changer les ports du service RMI par défautVous pouvez changer les ports du service RMI par défaut en modifiant le fichier msgserver.properties surle serveur sur lequel l'adaptateur Horizon s'exécute.

Prérequis

n Vérifiez que vous pouvez vous connecter au nœud sur lequel l'adaptateur Horizon s'exécute.

n Familiarisez-vous avec les propriétés des ports du service RMI. Reportez-vous à « Propriété des portsdu service RMI », page 9.

Procédure

1 Connectez-vous au nœud sur lequel l'adaptateur Horizon s'exécute.

Chapitre 2 Gestion de la communication RMI dans vRealize Operations for Horizon

VMware, Inc. 9

2 Dans un éditeur de texte, ouvrez le fichier msgserver.properties.

Plate-forme Emplacement du fichier

Linux /usr/lib/vmware-vcops/user/plugins/inbound/V4V_adapter3/work/msgserver.properties

Windows C:\vmware\vcenter-operations\user\plugins\inbound\V4V_adapter3\work\msgserver.properties

3 Modifier les propriétés des ports du service RMI que vous souhaitez changer.

4 Enregistrez vos modifications et fermez le fichier msgserver.properties.

Suivant

Ouvrez le ou les nouveaux ports du service RMI sur le pare-feu vRealize Operations Manager. Reportez-vous à « Mettre à jour le pare-feu de vRealize Operations Manager », page 10.

Mettre à jour le pare-feu de vRealize Operations ManagerSi vous modifiez le port par défaut d'un service RMI, vous devez ouvrir le nouveau port sur le pare-feu devRealize Operations Manager.

Remarque Si l'adaptateur Horizon s'exécute sur un collecteur distant, reportez-vous à la documentationdu pare-feu sur le nœud du collecteur distant pour obtenir des informations sur la mise à jour du pare-feu.

Procédure

1 Sur le nœud du cluster sur lequel l'adaptateur Horizon s'exécute, ouvrez le fichier vmware-vcops-firewall.conf avec un éditeur de texte.

2 Mettez à jour les ports appropriés dans le fichier vmware-vcops-firewall.conf et enregistrez celui-ci.

3 Redémarrez le service de pare-feu pour appliquer vos modifications.

service vmware-vcops-firewall restart

Considérations relatives à RMI pour l'utilisation d'un collecteurdistant

vRealize Operations Manager peut utiliser des collecteurs distants pour améliorer les performances etl'évolutivité dans des environnements comportant plusieurs centres de données. Un collecteur distant peutêtre installé sur Windows ou Linux, et peut héberger une ou plusieurs instances d'adaptateur. Cetteconfiguration permet de distribuer la collecte de données entre plusieurs centres de données.

L'utilisation de collecteurs distants présente plusieurs implications de sécurité très graves.

n Pour connecter le collecteur distant à vRealize Operations Manager, vous devez publiquement exposerl'interface RMI de vRealize Operations Manager. Aucune authentification n'est effectuée sur lesconnexions à cette interface. Un pirate peut utiliser cette interface pour récupérer des donnéesarbitraires, envoyer des données malveillantes et potentiellement prendre le contrôle devRealize Operations Manager.

n La connexion entre le collecteur distant et vRealize Operations Manager n'est pas chiffrée. Un piratepeut renifler le réseau et obtenir accès aux données envoyées d'une instance d'adaptateur View versvRealize Operations Manager.


10 VMware, Inc.

n Les données de configuration envoyées depuis vRealize Operations Manager vers les instancesd'adaptateur sur le collecteur distant ne sont pas chiffrées. Un pirate peut renifler le réseau pour obteniraccès aux informations de configuration de toute instance d'adaptateur View sur le collecteur distant.Cette vulnérabilité inclut notamment la clé de serveur vRealize Operations for Horizon ainsi que lesinformations d'identification de vCenter Server utilisées par l'adaptateur VMware.

Chapitre 2 Gestion de la communication RMI dans vRealize Operations for Horizon

VMware, Inc. 11


12 VMware, Inc.

Modification de la configuration TLSpar défaut dansvRealize Operations for Horizon 3

Le serveur de messages du service Broker Agent de vRealize Operations for Horizon utilise un canal TLSpour communiquer avec les services Broker Agent. Le serveur de messages du poste de travailvRealize Operations for Horizon utilise un canal TLS pour communiquer avec les services Desktop Agent.Vous pouvez modifier la configuration TLS par défaut des serveurs et des agents en modifiant les propriétésde la configuration TLS.


n « Protocoles et chiffrements TLS par défaut », page 13

n « Propriétés de configuration TLS », page 14

n « Modifier la configuration TLS par défaut des serveurs », page 14

n « Modifier la configuration TLS par défaut des agents », page 14

Protocoles et chiffrements TLS par défautLorsqu'une connexion RMI est établie entre un agent et un serveur, l'agent et le serveur négocient leprotocole et le chiffrement à utiliser.

Chaque agent et chaque serveur disposent d'une liste de protocoles et de chiffrements qu'il prend en charge.Le protocole et le chiffrement les plus forts figurant à la fois dans la liste de l'agent et la liste du serveur sontsélectionnés pour le canal TLS.

Par défaut, les agents et les serveurs RMI sont configurés de telle sorte qu'ils n'acceptent que lesconnexions TLSv1.2 avec les chiffrements suivants :

n TLS_DHE_DSS_WITH_AES_128_GCM_SHA256

n TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

n TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

n TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

VMware, Inc. 13

Propriétés de configuration TLSLes protocoles et les chiffrements TLS pour les serveurs de messages des services Desktop Agent et BrokerAgent sont spécifiés dans le fichier msgserver.properties. Les propriétés des protocoles et des chiffrementsTLS pour les services Desktop Agent et Broker Agent sont spécifiés dans le fichier msgclient.properties.

Tableau 3‑1. Propriétés de configuration SSL/TLS

Propriété Valeur par défaut

sslProtocols Liste des protocoles TLS acceptés,séparés par des virgules.

TLSv1.2

sslCiphers Liste des chiffrements TLS acceptés,séparés par des virgules.

TLS_DHE_DSS_WITH_AES_128_GCM_SHA256TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256TLS_DHE_RSA_WITH_AES_128_GCM_SHA256TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

Modifier la configuration TLS par défaut des serveursVous pouvez modifier la configuration TLS par défaut que les serveurs de messages des services DesktopAgent et Broker Agent utilisent en modifiant le fichier msgserver.properties sur le serveur sur lequell'adaptateur Horizon s'exécute.

Prérequis

n Vérifiez que vous pouvez vous connecter au nœud sur lequel l'adaptateur Horizon s'exécute.

n Familiarisez-vous avec les propriétés de configuration SSL/TLS. Reportez-vous à « Propriétés deconfiguration TLS », page 14.

Procédure

1 Connectez-vous au nœud sur lequel l'adaptateur Horizon s'exécute.

2 Dans un éditeur de texte, ouvrez le fichier msgserver.properties.

Plate-forme Emplacement du fichier

Linux /usr/lib/vmware-vcops/user/plugins/inbound/V4V_adapter3/work/msgserver.properties

Windows C:\vmware\vcenter-operations\user\plugins\inbound\V4V_adapter3\work\msgserver.properties

3 Modifiez les propriétés de configuration TLS.

4 Enregistrez vos modifications et fermez le fichier msgserver.properties.

Modifier la configuration TLS par défaut des agentsVous pouvez modifier la configuration TLS que les services Desktop Agent et Broker Agent utilisent pour seconnecter aux serveurs de messages des services Desktop Agent et Broker Agent en modifiant le fichiermsgclient.properties.

Pour les services Desktop Agent, vous modifiez le fichier msgclient.properties sur la machine virtuelle duposte de travail ou le serveur RDS sur lequel Horizon Agent s'exécute. Pour un service Broker Agent, vousmodifiez le fichier msgclient.properties sur l'hôte du Serveur de connexion Horizon sur lequel le serviceBroker Agent est installé.


14 VMware, Inc.

Prérequis

n Pour les services Desktop Agent, vérifiez que vous pouvez vous connecter à la machine du poste detravail distant ou à l'hôte RDS sur lequel Horizon Agent est installé.

n Pour un service Broker Agent, vérifiez que vous pouvez vous connecter à l'hôte du Serveur deconnexion Horizon sur lequel le service Broker Agent est installé.

n Familiarisez-vous avec les propriétés de configuration TLS. Reportez-vous à « Propriétés deconfiguration TLS », page 14.

Procédure

1 Modifiez les propriétés de configuration TLS d'un service Desktop Agent.

a Connectez-vous à la machine virtuelle du poste de travail distant ou à l'hôte RDS sur lequelHorizon Agent s'exécute.

b Dans un éditeur de texte, ouvrez le fichier msgclient.properties.

Le fichier msgclient.properties se trouve dans le répertoire C:\ProgramData\VMware\vRealizeOperations for Horizon\Desktop Agent\conf .

c Modifiez les propriétés de configuration TLS.

d Enregistrez vos modifications et fermez le fichier msgclient.properties.

2 Modifiez les propriétés de configuration TLS d'un service Broker Agent.

a Connectez-vous à l'hôte du Serveur de connexion Horizon sur lequel le service Broker Agent estinstallé.

b Dans un éditeur de texte, ouvrez le fichier msgclient.properties.

Le fichier msgclient.properties se trouve dans le répertoire C:\ProgramData\VMware\vRealizeOperations for Horizon\Desktop Agent\conf .

c Modifiez les propriétés de configuration TLS.

d Enregistrez vos modifications et fermez le fichier msgclient.properties.

Chapitre 3 Modification de la configuration TLS par défaut dans vRealize Operations for Horizon

VMware, Inc. 15


16 VMware, Inc.

Gestion de l'authentification dansvRealize Operations for Horizon 4

Les serveurs RMI fournissent un certificat que les agents utilisent pour s'authentifier auprès de l'adaptateurHorizon. Les services Broker Agent utilisent une authentification de client SSL/TLS avec un certificat quel'adaptateur Horizon utilise pour authentifier les services Broker Agent. Les services Desktop Agentfournissent des jetons que l'adaptateur Horizon utilise pour s'authentifier auprès des services DesktopAgent.

Pour améliorer la sécurité, vous pouvez remplacer les certificats autosignés par défaut utilisés parl'adaptateur Horizon et les services Broker Agent. Vous pouvez également réémettre des jetonsd'authentification de poste de travail.


n « Description de l'authentification de chaque composant », page 17

n « Fichiers de magasin de certificats et d'approbations », page 18

n « Remplacement des certificats par défaut », page 20

n « Association de certificats », page 23

n « Réémettre les jetons d'authentification des postes de travail Horizon », page 24

n « Messages de journaux associés à SSL/TLS et à l'authentification », page 24

Description de l'authentification de chaque composantChaque composant de vRealize Operations for Horizon traite l'authentification différemment.

Authentification de l'adaptateur HorizonLorsqu'une connexion RMI est établie entre le serveur de messages du service Desktop Agent et un serviceDesktop Agent, ou entre le serveur de messages du service Broker Agent et un service Broker Agent, l'agentdemande un certificat au serveur pour effectuer une authentification. Le certificat est validé par rapport aumagasin d'approbations de l'agent avant de poursuivre la connexion. Si le serveur ne fournit pas de certificatou si le certificat du serveur ne peut pas être validé, la connexion est refusée.

Lors de l'installation initiale de l'adaptateur Horizon, un certificat autosigné est généré. Le serveur demessages du service Desktop Agent et le serveur de messages du service Broker Agent utilisent ce certificatautosigné par défaut pour s'authentifier auprès de leurs agents. Comme ce certificat est générédynamiquement, vous devez associer manuellement l'adaptateur Horizon et le service Broker Agent pourque les agents puissent communiquer avec l'adaptateur Horizon. Pour plus d'informations, consultez « Association de certificats », page 23.

VMware, Inc. 17

Authentification du service Broker AgentLorsqu'une connexion RMI est établie au serveur de messages du service Broker Agent, ce serveur demandeau client un certificat pour l'authentifier. Le certificat est validé par rapport au magasin d'approbations del'adaptateur View avant de poursuivre la connexion. Si le client ne fournit pas de certificat ou si le certificatde l'agent ne peut pas être validé, la connexion est refusée.

Lors de l'installation initiale du service Broker Agent, un certificat autosigné est généré. Le service BrokerAgent utilise ce certificat autosigné par défaut pour s'authentifier auprès de l'adaptateur View. Comme cecertificat est généré dynamiquement, vous devez manuellement associer l'adaptateur View au serviceBroker Agent afin qu'ils puissent communiquer. Pour plus d'informations, consultez « Association decertificats », page 23.

Authentification de Desktop AgentLes connexions au serveur de messages du service Desktop Agent nécessitent un jeton d'authentificationpour vérifier que la connexion provient d'un service Desktop Agent valide.

Le service Desktop Agent génère un jeton d'authentification unique pour chaque poste de travail à distance.En outre, le service Desktop Agent génère un ID de serveur pour le serveur Horizon et écrit cet ID deserveur dans vRealize Operations Manager. Lorsqu'un service Desktop Agent tente d'envoyer des données àl'adaptateur vRealize Operations for Horizon, celui-ci vérifie si le jeton d'authentification a été mis en cachedans la mémoire.

Si aucun serveur ne porte le même nom, l'adaptateur met en cache le nom du serveur et le jetond'authentification dans la mémoire. Si le serveur a été mis en cache, comparez le jeton d'authentification misen cache et celui envoyé. Si les jetons sont identiques, acceptez le message, sinon rejetez le message duservice Desktop Agent. L'adaptateur vRealize Operations for Horizon vérifie également si une machinevirtuelle portant le même ID de serveur existe dans vRealize Operations Manager, et ajoute la machinevirtuelle dans la topologie s'il existe une machine virtuelle portant le même nom.

Fichiers de magasin de certificats et d'approbationsLes composants de vRealize Operations for Horizon utilisent un magasin de certificats et d'approbationspour stocker les certificats approuvés et les certificats racines des autorités de certification. Les magasin decertificats et d'approbations sont stockés dans le format de magasin de clés Java.

Fichiers de magasin de certificats et d'approbations de l'adaptateur ViewLes fichiers de magasin de certificats et d'approbations de l'adaptateur View se trouvent dans le répertoirede travail de l'adaptateur. Ces fichiers sont au format de magasin de clés Java.

Le répertoire de travail se situe sur le nœud où l'adaptateur View est installé. Sous Linux, le chemin durépertoire de travail est /usr/lib/vmwarevcops/user/plugins/inbound/V4V_adapter3/. Sous Windows, lechemin du répertoire de travail est C:\vmware\vcenteroperations\user\plugins\inbound\V4V_adapter3\.

Vous pouvez utiliser l'utilitaire Java keytool pour afficher et contrôler les fichiers de magasin de certificats etd'approbations.

Tableau 4‑1. Magasins de clés Java dans le répertoire de travail

Magasin de clés Java Description

v4v-adapter.jks Contient le certificat que l'adaptateur utilise pour s'authentifier auprès desagents.

v4v-truststore.jks Contient le magasin d'approbations que l'adaptateur utilise pour authentifier lecertificat du service Broker Agent.


18 VMware, Inc.

Les noms des fichiers de magasin de clés et leurs informations d'identification sont définis dans le fichiermsgserver.properties, qui se trouve aussi dans le répertoire de travail.

Tableau 4‑2. Propriétés de configuration du magasin de clés de l'adaptateur dans le fichiermsgserver.properties

Propriété Valeur par défaut Description

keyfile v4v-adapter.jks Nom du fichier de magasin de clés qui contient le certificat del'adaptateur.

keypass Mot de passe du fichier de magasin de clés qui contient lecertificat de l'adaptateur. Le mot de passe est générédynamiquement.

trustfile v4v-truststore.jks Nom du fichier de magasin de clés qui contient le magasind'approbations de l'adaptateur.

trustpass Mot de passe du fichier de magasin de clés qui contient lemagasin d'approbations de l'adaptateur. Le mot de passe estgénéré dynamiquement.

Fichiers de magasin de certificats et d'approbations du service Broker AgentLes fichiers de certificat et de magasin d'approbations du service Broker Agent se trouvent dans le répertoireC:\ProgramData\VMware\vCenter Operations for View\conf sur l'hôte du Serveur de connexion View. Cesfichiers sont des fichiers de magasins de clés Java.

Vous pouvez utiliser l'utilitaire Java keytool pour afficher et contrôler les fichiers de magasin de certificats etd'approbations.

Tableau 4‑3. Magasins de clés Java du répertoire conf

Magasin de clés Java Description

v4v-brokeragent.jks Contient le certificat que le service Broker Agent utilise pour s'authentifier auprès del'adaptateur View.

v4v-truststore.jks Contient le magasin d'approbations que le service Broker Agent utilise pourauthentifier le certificat de l'adaptateur View.

Les noms des fichiers de magasin de clés et leurs informations d'identification sont définis dans le fichiermsgclient.properties qui se trouve également dans le répertoire conf.

Tableau 4‑4. Propriétés de configuration du magasin de clés du service Broker Agent dans le fichiermsgclient.properties

Propriété Valeur par défaut Description

keyfile v4v-brokeragent.jks Nom du fichier de magasin de clés qui contient lescertificats du service Broker Agent.

keypass Mot de passe d'accès au fichier de magasin de clés quicontient le certificat du service Broker Agent. Le mot depasse est généré dynamiquement.

trustfile v4v-truststore.jks Nom du fichier de magasin de clés qui contient le magasind'approbations du service Broker Agent.

trustpass Mot de passe d'accès au fichier de magasin de clés quicontient le magasin d'approbations du service BrokerAgent. Le mot de passe est généré dynamiquement.

Chapitre 4 Gestion de l'authentification dans vRealize Operations for Horizon

VMware, Inc. 19

Remplacement des certificats par défautPar défaut, l'adaptateur View et le service Broker Agent utilisent des certificats autosignés pourl'authentification et le chiffrement des données. Pour une sécurité accrue, vous pouvez remplacer lescertificats autosignés par défaut par des certificats qui sont signés par une autorité de certification.

Remplacer le certificat par défaut de l'adaptateur ViewUn certificat signé automatiquement est généré lorsque vous installez l'adaptateur View. Le serveur demessages du poste de travail et le serveur de messages du service Broker utilisent ce certificat par défautpour authentifier les agents. Vous pouvez remplacer le certificat autosigné par un certificat qui est signé parune autorité de certification valide.

Prérequis

n Vérifiez que vous pouvez vous connecter au nœud sur lequel l'adaptateur View s'exécute.

n Vérifiez que vous avez le mot de passe pour le magasin de certificats. Vous pouvez obtenir le mot depasse dans le fichier msgserver.properties. Reportez-vous à « Fichiers de magasin de certificats etd'approbations de l'adaptateur View », page 18.

n Familiarisez-vous avec l'utilitaire Java keytool. La documentation est disponible à l'adressehttp://docs.oracle.com.

Procédure

1 Connectez-vous au nœud sur lequel l'adaptateur View s'exécute.

2 Accédez au répertoire de travail de l'adaptateur View.

Plate-forme Emplacement du répertoire

Linux /usr/lib/vmware-vcops/user/plugins/inbound/V4V_adapter3/work

Windows C:\vmware\vcenteroperations\user\plugins\inbound\V4V_adapter3\work

3 Utilisez l'utilitaire keytool avec l'option -selfcert pour générer un nouveau certificat signé

automatiquement pour l'adaptateur View.

Le certificat signé automatiquement par défaut étant émis pour VMware, vous devez générer unnouveau certificat signé automatiquement avant de demander un certificat signé. Le certificat signé doitêtre émis à l'intention de votre organisation.

Par exemple :

keytool –selfcert –alias v4v-adapter –dname dn-of-org –keystore v4v-adapter.jks

dn-of-org est le nom unique de l'organisation à l'intention de laquelle le certificat est émis, par exemple,"OU=Plate-forme de gestion, O=VMware, Inc., C=US".

Par défaut, la signature du certificat utilise l'algorithme SHA1withRSA. Vous pouvez remplacer cetteaction par défaut en spécifiant le nom de l'algorithme avec l'option -sigalg.


20 VMware, Inc.

4 Utilisez l'utilitaire keytool avec l'option -certreq à partir du répertoire de travail de l'adaptateurpour générer une demande de signature de certificat.

Une demande de signature de certificat est requise pour demander un certificat auprès d'une autoritéde signature de certificat.

Par exemple :

keytool –certreq –alias v4v-adapter –file certificate-request-file -keystore v4v-adapter.jks

certificate-request-file est le nom du fichier qui contient la demande de signature de certificat.

5 Téléchargez la demande de signature de certificat vers une autorité de certification et demandez uncertificat signé.

Si l'autorité de certification demande un mot de passe pour la clé privée du certificat, utilisez le mot depasse configuré pour le magasin de certificats.

L'autorité de certification renvoie un certificat signé.

6 Pour importer le certificat, copiez le fichier du certificat dans le répertoire de travail de l'adaptateurView et exécutez l'utilitaire keytool avec l'option –import.

Par exemple :

keytool –import –alias v4v-adapter –file certificate-filename -keystore v4v-adapter.jks

certificate-filename est le nom du fichier de certificat de l'autorité de certification.

Lorsque l'utilitaire keytool a terminé, le certificat signé est importé dans le magasin de certificats del'adaptateur.

7 Pour commencer à utiliser le nouveau certificat, redémarrez l'adaptateur View sur le nœud oùl'adaptateur est exécuté.

Plate-forme Action

Linux Exécutez la commande service vmware-vcops restart.

Windows Utilisez l'outil Windows Services (services.msc) pour redémarrer leservice de l'adaptateur vRealize Operations View.

Suivant

Après le redémarrage de l'adaptateur View, vous devez associer tous les services Broker Agent attachés àl'adaptateur View. Reportez-vous à « Association de certificats », page 23.

Remplacer le certificat par défaut du service Broker AgentUn certificat autosigné est généré lors de la première installation du service Broker Agent. Le service BrokerAgent utilise ce certificat par défaut pour s'authentifier auprès de l'adaptateur View. Vous pouvez remplacerle certificat auto-signé par un certificat qui est signé par une autorité de certification valide.

Prérequis

n Vérifiez que vous pouvez vous connecter à l'hôte du Serveur de connexion View sur lequel le serviceBroker Agent est installé.

n Vérifiez que l'utilitaire keytool est ajouté au chemin d'accès du système sur l'hôte du Serveur deconnexion View sur lequel le service Broker Agent est installé.

n Vérifiez que vous connaissez le mot de passe du magasin de certificats. Vous trouverez ce mot de passedans le fichier msgserver.properties. Reportez-vous à « Fichiers de magasin de certificats etd'approbations du service Broker Agent », page 19.


VMware, Inc. 21

n Familiarisez-vous avec l'utilitaire Java keytool. La documentation est disponible à l'adressehttp://docs.oracle.com.

Procédure

1 Connectez-vous à l'hôte du Serveur de connexion View sur lequel le service Broker Agent est installé.

2 Employez l'utilitaire keytool avec l'-selfcert pour générer un nouveau certificat autosigné.

Comme le certificat autosigné par défaut est émis à l'intention de VMware, vous devez générer unnouveau certificat autosigné avant de demander un certificat signé. Le certificat signé doit être émis àl'intention de votre organisation.

Par exemple :

keytool –selfcert –alias v4v-brokeragent –dname dn-of-org –keystore v4v-brokeragent.jks

dn-of-org est le nom unique de l'organisation à l'intention de laquelle le certificat est émis, par exemple,"OU=Plate-forme de gestion, O=VMware, Inc., C=US".

Par défaut, la signature du certificat utilise l'algorithme SHA1withRSA. Vous pouvez remplacer cettevaleur par défaut en spécifiant le nom de l'algorithme dans l'utilitaire keytool.

3 Employez l'utilitaire keytool avec l'option -certreq pour générer la demande de signature decertificat.

Une demande de signature de certificat est requise pour demander un certificat auprès d'une autoritéde signature de certificat.

Par exemple :

keytool –certreq –alias v4v-brokeragent –file certificate-request-file -keystore v4v-

brokeragent.jks

certificate-request-file est le nom du fichier qui contient la demande de signature de certificat.

4 Téléchargez la demande de signature de certificat vers une autorité de certification et demandez uncertificat signé.

Si l'autorité de certification demande un mot de passe pour la clé privée du certificat, utilisez le mot depasse configuré pour le magasin de certificats.

L'autorité de certification renvoie un certificat signé.

5 Copiez le fichier de certificat dans le répertoire conf et exécutez l'utilitaire keytool avec l'option-import pour importer le certificat signé dans le magasin de certificats pour le service Broker Agent.

Vous devez importer le fichier de certificat dans le magasin de certificats afin que le service BrokerAgent puisse commencer à utiliser le certificat signé.

Par exemple :

keytool –import –alias v4v-brokeragent –file certificate-filename -keystore v4v-

brokeragent.jks

certificate-filename est le nom du fichier de certificat de l'autorité de certification.

6 Exécutez l'utilitaire keytool avec l'option -import pour importer le certificat racine d'autorité decertification vers le fichier de magasin d'approbations pour le service Broker Agent.

Par exemple :

keytool -import -alias aliasname -file root_certificate -keystore v4v-truststore.jks -

trustcacerts

root_certificate est le nom du certificat racine d'autorité de certification.


22 VMware, Inc.

7 Redémarrez le service Broker Agent pour commencer à utiliser le nouveau certificat.

Vous pouvez démarrer le service Broker Agent à l'aide de l'assistant des paramètres du service vRealizeOperations Horizon Broker Agent, ou en redémarrant le service vRealize Operations Horizon BrokerAgent.

Suivant

Après le redémarrage du service Broker Agent, vous devez l'associer à l'adaptateur View. Reportez-vous à « Association de certificats », page 23.

Association de certificatsPour que des services Broker Agent puissent communiquer avec l'adaptateur View , le certificat del'adaptateur doit être partagé avec les agents et le certificat du service Broker Agent doit être partagé avecl'adaptateur. Le processus de partage de ces certificats se nomme association de certificats.

Les actions suivantes sont effectuées pendant le processus d'association de certificats :

1 Le certificat du service Broker Agent est chiffré avec la clé de serveur de l'adaptateur.

2 Une connexion est ouverte au serveur de gestion de certificats et le certificat chiffré est transmis àl'instance de l'adaptateur. L'adaptateur déchiffre le certificat du service Broker Agent à l'aide de la clé deserveur. Si le déchiffrement échoue, une erreur est renvoyée au service Broker Agent.

3 Le certificat du service Broker Agent est placé dans le magasin d'approbations de l'adaptateur.

4 Le certificat de l'adaptateur est chiffré avec la clé de serveur de l'adaptateur.

5 Le certificat chiffré est renvoyé au service Broker Agent. Le service Broker Agent déchiffre le certificatde l'adaptateur à l'aide de la clé de serveur. Si le déchiffrement échoue, une erreur est renvoyée àl'utilisateur.

6 Le certificat de l'adaptateur est placé dans le magasin d'approbations du service Broker Agent. Lecertificat du service Broker est stocké dans v4v-brokeragent.jks et le certificat de l'adaptateur est stockédans v4v-truststore.jks.

7 Le certificat de l'adaptateur est envoyé à tous les postes de travail distants et hôtes RDS dans l'espaceHorizon à l'aide du magasin de configurations de Horizon.

8 Lorsque l'agent sur le poste de travail distant ou l'hôte RDS lit la configuration Horizon, il place lecertificat de l'adaptateur dans le magasin d'approbations de l'agent.

Une fois les certificats associés, ils sont mis en cache dans les magasins d'approbations de chaque composantindividuel. Si un nouveau poste de travail distant est provisionné, le certificat de l'adaptateur est envoyé auposte de travail à l'aide du magasin de configurations de Horizon et vous n'avez pas besoin d'associer denouveau les certificats. Cependant, si le certificat de l'adaptateur ou du service Broker Agent est modifié,vous devez de nouveau associer les certificats.

Vous utilisez l'assistant des paramètres du service vRealize Operations View Broker Agent pour associer lescertificats. Pour plus d'informations, reportez-vous au document Administration deVMware vRealize Operations for Horizon.


VMware, Inc. 23

Réémettre les jetons d'authentification des postes de travail HorizonSi vous pensez qu'il existe un risque de sécurité pour votre environnement Horizon, vous pouvez émettreun nouveau jeton d'authentification pour chaque machine virtuelle de poste de travail et hôte RDS dansvotre environnement Horizon en redémarrant le service Broker Agent. Par défaut, un nouveau jetond'authentification est émis chaque jour pour chaque machine virtuelle de poste de travail et chaque hôteRDS.

Messages de journaux associés à SSL/TLS et à l'authentificationL'adaptateur View consigne des messages associés à la configuration SSL/TLS et à l'authentification.

Tableau 4‑5. Types de messages de journaux d'adaptateur View

Type de message de journaux Description

CONFIGURATION La configuration SSL/TLS est actuellement utilisée.

AUTHENTICATION SUCCESS Un poste de travail distant a été authentifié.

AUTHENTICATION FAILED L'authentification d'un poste de travail distant a échoué.

Seuls les événements CONFIGURATION et AUTHENTICATION FAILED sont écrits dans le journal pardéfaut. Pour le dépannage, vous pouvez élever le niveau de journalisation pour journaliser d'autres typesd'événements.

Vous pouvez afficher des messages de journaux et modifier les niveaux de journalisation dans l'interfaceutilisateur de vRealize Operations Manager. Pour plus d'informations, reportez-vous au documentAdministration de VMware vRealize Operations for Horizon.


24 VMware, Inc.

Index

Aà propos 5association de certificats 23authentification

Authentification de l'adaptateur Horizon 17Broker Agent 18Desktop Agent 18

Ccertificats par défaut 20collecteurs distants 10Communication RMI 7configuration SSL/TLS 13configuration TLS 13

Ffichier msgclient.properties 14fichier msgserver.properties 9, 14fichiers de magasin d'approbations 18

Ggestion des certificats

adaptateur 18Broker Agent 19

Jjetons 24jetons de sécurité 24

Mmessages de journaux 24mettre à jour le pare-feu 10

PPorts du service RMI 9Propriétés de configuration TLS 14

SServices RMI 7–9

VMware, Inc. 25


26 VMware, Inc.

Documents

Sécurité de VMware vRealize Operations for Horizon · L'adaptateur Horizon agit comme un serveur, les services Broker Agent et Desktop Agent comme des clients. Vous pouvez modifier