Para habilitar o recurso True SSO em uma máquina virtual (VM) SLED/SLES, instale as bibliotecas das quais o recurso True SSO depende, o certificado raiz da Autoridade de Certificação (CA) para dar suporte à autenticação confiável e Horizon Agent. Além disso, você deve editar alguns arquivos de configuração para concluir a configuração da autenticação.

Use o procedimento a seguir para habilitar o True SSO em uma VM SLED ou SLES.

Pré-requisitos

  • Configure o True SSO para acesso de Workspace ONE e Horizon Connection Server.
  • Conclua as etapas descritas em Integrar uma VM SLED/SLES ao AD para True SSO.
  • Obtenha um certificado de Autoridade de Certificação raiz e salve-o em /tmp/certificate.cer em sua VM SLED/SLES. Consulte Como exportar o certificado da autoridade de certificação raiz.

    Se uma autoridade de certificação subordinada também for uma autoridade emissora, obtenha toda a cadeia de certificados de autoridade de certificação raiz e subordinada e salve-a em /tmp/certificate.cer na VM.

Procedimento

  1. Instale os pacotes necessários executando o seguinte comando. 
    sudo zypper install mozilla-nss-tools pam_krb5 krb5-client krb5-plugin-preauth-pkinit
  2. Instale o certificado de CA raiz ou a cadeia de certificados.
    1. Localize o certificado de CA raiz ou a cadeia de certificados que você baixou e transfira-o para um arquivo PEM. 
      sudo openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
    2. Crie um diretório /etc/pki/nssdb para conter o banco de dados do sistema. 
      sudo mkdir -p /etc/pki/nssdb
    3. Use o comando certutil para instalar o certificado de CA raiz ou a cadeia de certificados no banco de dados do sistema /etc/pki/nssdb.
      Substitua "certificado de CA raiz" no seguinte comando de exemplo pelo nome do certificado de CA raiz no banco de dados do sistema. 
      sudo certutil -A -d /etc/pki/nssdb -n "root CA cert" -t "CT,C,C" -i /tmp/certificate.pem
    4. Adicione o certificado de CA raiz a pam_pkcs11. 
      sudo cp /tmp/certificate.pem /etc/pki/ca-trust/source/anchors/ca_cert.pem
  3. Edite o arquivo de configuração /etc/krb5.conf para que ele tenha conteúdo semelhante ao exemplo a seguir. 
    [libdefaults]
      default_realm = MYDOMAIN.COM
      dns_lookup_realm = false
      ticket_lifetime = 24h
      renew_lifetime = 7d
      forwardable = true
      rdns = false
      default_ccache_name = KEYRING:persistent:%{uid}

[realms]
      MYDOMAIN.COM = {
            kdc = ads-hostname
            admin_server = ads-hostname 
            pkinit_anchors = DIR:/etc/pki/ca-trust/source/anchors
            pkinit_kdc_hostname = ADS-HOSTNAME
            pkinit_eku_checking = kpServerAuth
      }

[domain_realm]
      .mydomain.com = MYDOMAIN.COM
      mydomain.com = MYDOMAIN.COM
    Observação: Você também deve definir as permissões do arquivo como 644 para /etc/krb5.conf. Caso contrário, o recurso True SSO pode não funcionar.
    Substitua os valores de espaço reservado no exemplo pelas informações específicas da sua configuração de rede, conforme descrito na tabela a seguir.
    Valor do espaço reservado Descrição
    meudomínio.com Nome DNS do seu domínio do AD
    MEUDOMÍNIO.COM Nome DNS do seu domínio do AD (em letras maiúsculas)
    ads-hostname Nome do host do seu servidor AD
    ADS-HOSTNAME Nome do host do seu servidor AD (em letras maiúsculas)
  4. Instale o pacote Horizon Agent, com o True SSO ativado. 
    sudo ./install_viewagent.sh -T yes
  5. Adicione o seguinte parâmetro ao Horizon Agent arquivo de configuração personalizada /etc/vmware/viewagent-custom.conf. Use a seguinte sintaxe, em que NETBIOS_NAME_OF_DOMAIN é o nome do domínio NetBIOS da sua organização. 
    NetbiosDomain=NETBIOS_NAME_OF_DOMAIN
    Observação: Sempre use o nome longo do domínio NetBIOS, por exemplo, LXD.VDI. Se você usar o nome abreviado, como LXD, o recurso True SSO não funcionará.
  6. Reinicie a VM e faça login novamente.