要在 SLED/SLES 桌面上启用 True SSO 功能,请安装 True SSO 功能依赖的库、支持受信任的身份验证的根 CA 证书以及 Horizon Agent。此外,您还必须编辑某些配置文件以完成身份验证设置。
可以使用以下过程在 SLED 或 SLES 桌面上启用 True SSO。
过程
- 对于 SLES 12.x SP5/SP3,请运行以下命令以安装所需的软件包。
zypper install mozilla-nss-tools pam_krb5 krb5-client krb5-plugin-preauth-pkinit
- 对于 SLED 12.x SP3,请执行以下步骤以安装所需的软件包。
- 将一个 SLES .iso 文件下载到 SLED 桌面的本地磁盘中(例如 /tmp/SLE-12-SP3-Server-DVD-x86_64-GM-DVD1.iso)。
您必须将 SLES .iso 文件添加为 SLED 桌面的软件包源文件,因为所需的
krb5-plugin-preauth-pkinit 软件包仅适用于 SLES 系统。
- 在 SLED 桌面上挂载 SLES .iso 文件,并安装所需的软件包。
sudo mkdir -p /mnt/sles
sudo mount -t iso9660 /tmp/SLE-12-SP3-Server-DVD-x86_64-GM-DVD1.iso /mnt/sles
sudo zypper ar -f /mnt/sles sles
zypper install mozilla-nss-tools pam_krb5 krb5-client krb5-plugin-preauth-pkinit
- 安装完成后,卸载 SLES .iso 文件。
- 安装根证书颁发机构 (Certification Authority, CA) 证书。
- 找到下载的根 CA 证书,并将其传输到 .pem 文件。
openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
- 使用 certutil 命令将根 CA 证书安装到系统数据库 /etc/pki/nssdb 中。
certutil -A -d /etc/pki/nssdb -n "root CA cert" -t "CT,C,C" -i /tmp/certificate.pem
- 将根 CA 证书添加到 pam_pkcs11 中。
cp /tmp/certificate.pem /etc/pki/ca-trust/source/anchors/ca_cert.pem
- 编辑 /etc/krb5.conf 配置文件,以使其具有类似于以下示例的内容。
[libdefaults]
default_realm = MYDOMAIN.COM
dns_lookup_realm = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
default_ccache_name = KEYRING:persistent:%{uid}
[realms]
MYDOMAIN.COM = {
kdc = ads-hostname
admin_server = ads-hostname
pkinit_anchors = DIR:/etc/pki/ca-trust/source/anchors
pkinit_kdc_hostname = ads-hostname
pkinit_eku_checking = kpServerAuth
}
[domain_realm]
.mydomain.com = MYDOMAIN.COM
mydomain.com = MYDOMAIN.COM
将示例中的占位符值替换为您的网络配置特定的信息,如下表中所述。
占位符值 |
描述 |
mydomain.com |
AD 域的 DNS 名称 |
MYDOMAIN.COM |
AD 域的 DNS 名称(全部为大写字母) |
ads-hostname |
AD 服务器的主机名(区分大小写) |
- 安装 Horizon Agent 软件包并启用 True SSO。
sudo ./install_viewagent.sh -T yes
- 将以下参数添加到 Horizon Agent 自定义配置文件 /etc/vmware/viewagent-custom.conf 中。使用以下示例,其中,NETBIOS_NAME_OF_DOMAIN 是您的组织的域的 NetBIOS 名称。
NetbiosDomain=NETBIOS_NAME_OF_DOMAIN
- 重新引导系统,然后重新登录。