Para habilitar o recurso True SSO em uma máquina virtual (VM) SLED/SLES, instale as bibliotecas das quais o recurso True SSO depende, o certificado de autoridade de certificação raiz para dar suporte à autenticação confiável e Horizon Agent. Além disso, você deve editar alguns arquivos de configuração para concluir a configuração da autenticação.
Use o procedimento a seguir para habilitar o True SSO em uma VM SLED ou SLES.
Procedimento
- Para o SLED 15.x ou SLES 12.x/15.x, instale os pacotes necessários executando o seguinte comando.
zypper install mozilla-nss-tools pam_krb5 krb5-client krb5-plugin-preauth-pkinit
- Para o SLED 12.x, instale os pacotes necessários executando as etapas a seguir.
- Faça download do arquivo .iso do SLES correspondente no disco local da VM do SLED (por exemplo, /tmp/SLE-12-SP3-Server-DVD-x86_64-GM-DVD1.iso).
Você deve adicionar o arquivo .iso do SLES como uma origem de pacote para o sistema SLED, pois o pacote
krb5-plugin-preauth-pkinit necessário está disponível apenas para sistemas SLES.
- Monte o arquivo .iso do SLES no sistema SLED e instale os pacotes necessários.
sudo mkdir -p /mnt/sles
sudo mount -t iso9660 /tmp/SLE-12-SP3-Server-DVD-x86_64-GM-DVD1.iso /mnt/sles
sudo zypper ar -f /mnt/sles sles
zypper install mozilla-nss-tools pam_krb5 krb5-client krb5-plugin-preauth-pkinit
- Quando a instalação for concluída, desmonte o arquivo .iso do SLES.
- Instale o certificado de CA raiz ou a cadeia de certificados.
- Localize o certificado de CA raiz ou a cadeia de certificados que você baixou e transfira-o para um arquivo PEM.
openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
- Crie um diretório /etc/pki/nssdb para conter o banco de dados do sistema.
sudo mkdir -p /etc/pki/nssdb
- Use o comando certutil para instalar o certificado de CA raiz ou a cadeia de certificados no banco de dados do sistema /etc/pki/nssdb.
sudo certutil -A -d /etc/pki/nssdb -n "root CA cert" -t "CT,C,C" -i /tmp/certificate.pem
- Adicione o certificado de CA raiz a pam_pkcs11.
sudo cp /tmp/certificate.pem /etc/pki/ca-trust/source/anchors/ca_cert.pem
- Edite o arquivo de configuração /etc/krb5.conf para que ele tenha conteúdo semelhante ao exemplo a seguir.
[libdefaults]
default_realm = MYDOMAIN.COM
dns_lookup_realm = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
default_ccache_name = KEYRING:persistent:%{uid}
[realms]
MYDOMAIN.COM = {
kdc = ads-hostname
admin_server = ads-hostname
pkinit_anchors = DIR:/etc/pki/ca-trust/source/anchors
pkinit_kdc_hostname = ADS-HOSTNAME
pkinit_eku_checking = kpServerAuth
}
[domain_realm]
.mydomain.com = MYDOMAIN.COM
mydomain.com = MYDOMAIN.COM
Observação: Você também deve definir o modo como igual a
644 em
/etc/krb5.conf. Caso contrário, o recurso True SSO pode não funcionar.
Substitua os valores de espaço reservado no exemplo pelas informações específicas da sua configuração de rede, conforme descrito na tabela a seguir.
| Valor do espaço reservado |
Descrição |
| meudomínio.com |
Nome DNS do seu domínio do AD |
| MEUDOMÍNIO.COM |
Nome DNS do seu domínio do AD (em letras maiúsculas) |
| ads-hostname |
Nome do host do seu servidor AD |
| ADS-HOSTNAME |
Nome do host do seu servidor AD (em letras maiúsculas) |
- Instale o pacote Horizon Agent, com o True SSO ativado.
sudo ./install_viewagent.sh -T yes
- Adicione o seguinte parâmetro ao Horizon Agentarquivo de configuração personalizada /etc/vmware/viewagent-custom.conf. Use a seguinte sintaxe, em que NETBIOS_NAME_OF_DOMAIN é o nome do domínio NetBIOS da sua organização.
NetbiosDomain=NETBIOS_NAME_OF_DOMAIN
Observação: Para o SLED/SLES 15.x, sempre use o nome longo do domínio NetBIOS, por exemplo,
LXD.VDI. Se você usar o nome abreviado, como
LXD, o recurso True SSO não funcionará.
- Reinicie a VM e faça login novamente.
