Horizon view -如何設定管理者次要認證(Secondary credentials)
如果您的 Horizon view環境是建立在具有單向信任關係的網域中,你必須為 view administrator管理員設定次要認證 (secondary credentials),才能指派信任網域中的使用者擁有登入VDI桌面的權限。本文說明如何設定管理者次要認證並指派信任網域中的使用者擁有權限使用VDI桌面。
架構說明
在此例,兩個網域 nbd.com與nbd.lab之間建立了單向信任關係,如下圖
(VDI桌面佈建在nbd.com網域中,使用者在nbd.lab網域中)
如何設定次要認證
首先,登入到 View administrator管理介面可以看到信任的子網域
若還沒設定次要認證,在指派信任網域中的使用者權利時,就會出現類似下圖的錯誤訊息。此錯誤是因為這個管理者帳號沒有查詢信任網域 LDAP的權限
VMware 官方文件建議,次要認證的帳號需要以下的權限:
- 讀取 tokenGroupGlobalAndUniversal
我們可以使用vdmadmin -T 指令來新增管理者次要認證 (為了方便測試,本例直接使用 domain admin當作次要認證的帳號,請依照您的需求調整)
※ 【Note】密碼如果有特殊字元,要用雙引號括起來
接著,檢查是不是有成功的設定次要認證
設定完成後,再一次指派信任網域中的使用者權利時,就能成功了
最後,測試看看是不是能順利的登入VDI
參考連結
VMware Horizon 7 (7.0 版) 說明文件中心
沒有留言:
張貼留言