Para configurar o Single Sign-On (SSO) para desktops Linux, você deve realizar algumas etapas de configuração.

O módulo de logon único do VMware Horizon se comunica com o PAM (módulos de autenticação conectáveis) no Linux e não depende do método usado para integrar a máquina virtual do Linux ao Active Directory (AD). VMware Horizon O SSO é conhecido por funcionar com as soluções OpenLDAP e Winbind que integram máquinas virtuais Linux ao AD.

Por padrão, o SSO pressupõe que o atributo sAMAccountName do AD é a ID de logon. Para garantir que o ID de login correto seja usado para o SSO, você deve executar as seguintes etapas de configuração se usar a solução OpenLDAP ou Winbind:

  • Para OpenLDAP, defina sAMAccountName como uid.
  • Para Winbind, adicione a seguinte instrução ao arquivo de configuração /etc/samba/smb.conf.
    winbind use default domain = true
Se os usuários precisarem especificar o nome de domínio para fazer login, você deverá definir a opção SSOUserFormat na área de trabalho do Linux. Para obter mais informações, consulte Definindo opções em arquivos de configuração em uma área de trabalho Linux. O SSO sempre usa o nome de domínio abreviado em maiúsculas. Por exemplo, se o domínio for mydomain.com, o SSO usará MYDOMAIN como o nome de domínio. Portanto, você deve especificar MYDOMAIN ao definir a opção SSOUserFormat. Em relação aos nomes de domínio curtos e longos, as seguintes regras se aplicam:
  • Para o OpenLDAP, você deve usar nomes de domínio curtos em maiúsculas.
  • O Winbind oferece suporte a nomes de domínio longos e curtos.

O AD oferece suporte a caracteres especiais em nomes de logon, mas o Linux não. Portanto, não use caracteres especiais em nomes de login ao configurar o SSO.

No AD, se o atributo UserPrincipalName (UPN) de um usuário e o atributo sAMAccount não corresponderem, e o usuário fizer login com o UPN, o SSO falhará. Por exemplo, se você tiver um usuário, juser no AD mycompany.com, mas o UPN do usuário estiver definido como [email protected] em vez de [email protected], o SSO falhará. A solução alternativa é o usuário fazer login usando o nome armazenado em sAMAccount. Por exemplo, juser.

Horizon Agent não requer que o nome de usuário faça distinção entre maiúsculas e minúsculas. Você deve garantir que o sistema operacional Linux possa lidar com nomes de usuário que não diferenciam maiúsculas de minúsculas.
  • Para Winbind, o nome de usuário não diferencia maiúsculas de minúsculas por padrão.
  • Para o OpenLDAP, o Ubuntu usa o NSCD para autenticar os usuários e não diferencia maiúsculas de minúsculas por padrão. O RHEL e o CentOS usam o SSSD para autenticar usuários e o padrão faz distinção entre maiúsculas e minúsculas. Para alterar a configuração, edite o arquivo /etc/sssd/sssd.conf e adicione a seguinte linha na seção [domain/default]:
    case_sensitive = false

Se sua máquina virtual Linux tiver vários ambientes de área de trabalho instalados, consulte Ambiente de Trabalho para selecionar o ambiente de área de trabalho a ser usado com o SSO.