Para habilitar o recurso True SSO em uma máquina virtual (VM) RHEL/CentOS 7.x, instale as bibliotecas das quais o recurso True SSO depende, o certificado raiz da Autoridade de Certificação (CA) para oferecer suporte à autenticação confiável e Horizon Agent. Além disso, você deve editar alguns arquivos de configuração para concluir a configuração da autenticação.
Use o procedimento a seguir para habilitar o True SSO em uma VM RHEL 7.x ou CentOS 7.x.
Alguns exemplos no procedimento usam valores de espaço reservado para representar entidades em sua configuração de rede, como o nome DNS do seu domínio do AD. Substitua os valores do espaço reservado por informações específicas para sua configuração, conforme descrito na tabela a seguir.
Valor do espaço reservado |
Descrição |
DNS_server |
Caminho para o servidor de nomes DNS |
meudomínio.com |
Nome DNS do seu domínio do AD |
MEUDOMÍNIO.COM |
Nome DNS do seu domínio do AD, em letras maiúsculas |
Procedimento
- Instale o grupo de pacotes de suporte do PKCS11.
sudo yum install -y nss-tools nss-pam-ldapd pam_krb5 krb5-libs krb5-workstation krb5-pkinit
- Instale o certificado de CA raiz ou a cadeia de certificados.
- Localize o certificado de CA raiz ou a cadeia de certificados que você baixou e transfira-o para um arquivo PEM.
sudo openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
- Crie um diretório /etc/pki/nssdb para conter o banco de dados do sistema.
sudo mkdir -p /etc/pki/nssdb
- Use o comando certutil para instalar o certificado de CA raiz ou a cadeia de certificados no banco de dados do sistema /etc/pki/nssdb.
Substitua "certificado de CA raiz" no seguinte comando de exemplo pelo nome do certificado de CA raiz no banco de dados do sistema.
sudo certutil -A -d /etc/pki/nssdb -n "root CA cert" -t "CT,C,C" -i /tmp/certificate.pem
- Adicione o certificado de autoridade de certificação raiz ou a cadeia de certificados à lista de certificados de autoridade de certificação confiáveis na VM RHEL/CentOS 7.x e atualize a configuração do armazenamento confiável de todo o sistema usando o comando update-ca-trust.
sudo cp /tmp/certificate.pem /etc/pki/ca-trust/source/anchors/ca_cert.pem
sudo update-ca-trust
- Modifique a seção apropriada no arquivo de configuração do SSSD do seu sistema para o seu domínio, conforme mostrado no exemplo a seguir.
[domain/mydomain.com]
ad_domain = mydomain.com
krb5_realm = MYDOMAIN.COM
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
#set the next line to false, so you can use the short name instead of the full domain name.
use_fully_qualified_names = False
fallback_homedir = /home/%u@%d
access_provider = ad
- Modifique o arquivo de configuração do Kerberos /etc/krb5.conf, conforme mostrado no exemplo a seguir.
[libdefaults]
dns_lookup_realm = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
default_ccache_name = KEYRING:persistent:%{uid}
# Add following line, if the system doesn't add it automatically
default_realm = MYDOMAIN.COM
[realms]
MYDOMAIN.COM = {
kdc = dns_server
admin_server = dns_server
# Add the following three lines for pkinit_*
pkinit_anchors = DIR:/etc/pki/ca-trust/source/anchors
pkinit_kdc_hostname = your_org_DNS_server
pkinit_eku_checking = kpServerAuth
}
[domain_realm]
mydomain.com = MYDOMAIN.COM
.mydomain.com = MYDOMAIN.COM
Observação: Você também deve definir o modo como igual a
644
em
/etc/krb5.conf. Caso contrário, o recurso True SSO pode não funcionar.
- Instale o pacote Horizon Agent, com o True SSO ativado.
sudo ./install_viewagent.sh -T yes
- Adicione o seguinte parâmetro ao Horizon Agent arquivo de configuração personalizada /etc/vmware/viewagent-custom.conf. Use o exemplo a seguir, em que NETBIOS_NAME_OF_DOMAIN é o nome NetBIOS do domínio da sua organização.
NetbiosDomain=NETBIOS_NAME_OF_DOMAIN
- Reinicie a VM e faça login novamente.