Para habilitar o recurso True SSO em uma máquina virtual (VM) RHEL/CentOS 7.x, instale as bibliotecas das quais o recurso True SSO depende, o certificado raiz da Autoridade de Certificação (CA) para oferecer suporte à autenticação confiável e Horizon Agent. Além disso, você deve editar alguns arquivos de configuração para concluir a configuração da autenticação.

Use o procedimento a seguir para habilitar o True SSO em uma VM RHEL 7.x ou CentOS 7.x.

Alguns exemplos no procedimento usam valores de espaço reservado para representar entidades em sua configuração de rede, como o nome DNS do seu domínio do AD. Substitua os valores do espaço reservado por informações específicas para sua configuração, conforme descrito na tabela a seguir.

Valor do espaço reservado Descrição
DNS_server Caminho para o servidor de nomes DNS
meudomínio.com Nome DNS do seu domínio do AD
MEUDOMÍNIO.COM Nome DNS do seu domínio do AD, em letras maiúsculas

Pré-requisitos

  • Configure o True SSO para acesso de Workspace ONE e Horizon Connection Server.
  • Conclua as etapas descritas em Integrar uma VM RHEL/CentOS 7.x ao AD para True SSO.
  • Obtenha um certificado de Autoridade de Certificação raiz e salve-o em /tmp/certificate.cer em sua VM RHEL/CentOS 7.x. Consulte Como exportar o certificado da autoridade de certificação raiz.

    Se uma autoridade de certificação subordinada também for uma autoridade emissora, obtenha toda a cadeia de certificados de autoridade de certificação raiz e subordinada e salve-a em /tmp/certificate.cer na VM.

Procedimento

  1. Instale o grupo de pacotes de suporte do PKCS11.
    sudo yum install -y nss-tools nss-pam-ldapd pam_krb5 krb5-libs krb5-workstation krb5-pkinit
  2. Instale o certificado de CA raiz ou a cadeia de certificados.
    1. Localize o certificado de CA raiz ou a cadeia de certificados que você baixou e transfira-o para um arquivo PEM.
      sudo openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
      
    2. Crie um diretório /etc/pki/nssdb para conter o banco de dados do sistema.
      sudo mkdir -p /etc/pki/nssdb
    3. Use o comando certutil para instalar o certificado de CA raiz ou a cadeia de certificados no banco de dados do sistema /etc/pki/nssdb.
      Substitua "certificado de CA raiz" no seguinte comando de exemplo pelo nome do certificado de CA raiz no banco de dados do sistema.
      sudo certutil -A -d /etc/pki/nssdb -n "root CA cert" -t "CT,C,C" -i /tmp/certificate.pem
      
    4. Adicione o certificado de autoridade de certificação raiz ou a cadeia de certificados à lista de certificados de autoridade de certificação confiáveis na VM RHEL/CentOS 7.x e atualize a configuração do armazenamento confiável de todo o sistema usando o comando update-ca-trust.
      sudo cp /tmp/certificate.pem /etc/pki/ca-trust/source/anchors/ca_cert.pem
      sudo update-ca-trust
  3. Modifique a seção apropriada no arquivo de configuração do SSSD do seu sistema para o seu domínio, conforme mostrado no exemplo a seguir.
    [domain/mydomain.com]
    ad_domain = mydomain.com
    krb5_realm = MYDOMAIN.COM
    realmd_tags = manages-system joined-with-samba
    cache_credentials = True
    id_provider = ad
    krb5_store_password_if_offline = True
    default_shell = /bin/bash
    ldap_id_mapping = True
    #set the next line to false, so you can use the short name instead of the full domain name.
    use_fully_qualified_names = False   
    fallback_homedir = /home/%u@%d
    access_provider = ad
  4. Modifique o arquivo de configuração do Kerberos /etc/krb5.conf, conforme mostrado no exemplo a seguir.
    [libdefaults]
     dns_lookup_realm = false
     ticket_lifetime = 24h
     renew_lifetime = 7d
     forwardable = true
     rdns = false
     default_ccache_name = KEYRING:persistent:%{uid}
     # Add following line, if the system doesn't add it automatically
     default_realm = MYDOMAIN.COM
     
    [realms]
    MYDOMAIN.COM = {
      kdc = dns_server
      admin_server = dns_server
      # Add the following three lines for pkinit_*
      pkinit_anchors = DIR:/etc/pki/ca-trust/source/anchors
      pkinit_kdc_hostname = your_org_DNS_server
      pkinit_eku_checking = kpServerAuth
     }
    [domain_realm]
     mydomain.com = MYDOMAIN.COM
     .mydomain.com = MYDOMAIN.COM
    Observação: Você também deve definir o modo como igual a 644 em /etc/krb5.conf. Caso contrário, o recurso True SSO pode não funcionar.
  5. Instale o pacote Horizon Agent, com o True SSO ativado.
    sudo ./install_viewagent.sh -T yes
  6. Adicione o seguinte parâmetro ao Horizon Agent arquivo de configuração personalizada /etc/vmware/viewagent-custom.conf. Use o exemplo a seguir, em que NETBIOS_NAME_OF_DOMAIN é o nome NetBIOS do domínio da sua organização.
    NetbiosDomain=NETBIOS_NAME_OF_DOMAIN
  7. Reinicie a VM e faça login novamente.