要在 Ubuntu/Debian 桌面上启用 True SSO,需使用 SSSD 解决方案将基础虚拟机 (VM) 与 Active Directory (AD) 域集成在一起。随后,安装根证书颁发机构 (CA) 证书以支持受信任的身份验证,然后再安装 Horizon Agent

可以使用以下过程在 Ubuntu/Debian 虚拟机上启用“使用 SSSD 的 True SSO”。

该过程中的一些示例使用占位符值表示网络配置中的实体,例如,虚拟机的主机名。请将占位符值替换为您的配置特定的信息,如下表中所述。

占位符值 说明
dns_IP_ADDRESS DNS 名称服务器的 IP 地址
mydomain.com AD 域的 DNS 名称
MYDOMAIN.COM AD 域的 DNS 名称,全部为大写字母
myhost Ubuntu/Debian 虚拟机的主机名
MYDOMAIN 包含 Samba 服务器的工作组或 NT 域的 DNS 名称,全部为大写字母
ads-hostname AD 服务器的主机名
admin-user AD 域管理员的用户名

前提条件

  • 确认该虚拟机正在运行以下分发包之一。
    • Ubuntu 22.04/20.04
    • Debian 12.x/11.x
    注: Debian 10.x 桌面不支持“使用 SSSD 的 True SSO”。要在 Debian 10.x 桌面上配置 True SSO,请按 为 Ubuntu/Debian 桌面配置“使用 Samba 的 True SSO” 中所述,改用 Samba 域加入解决方案。
  • Workspace ONE Access 和 Horizon Connection Server配置 True SSO。
  • 获取一个根 CA 证书,并将其保存到 Ubuntu/Debian 虚拟机上的 /tmp/certificate.cer 中。请参阅如何导出根证书颁发机构证书

    如果从属 CA 也是颁发机构,则需获取包含根 CA 证书和从属 CA 证书的完整证书链,并将其保存到虚拟机上的 /tmp/certificate.cer 中。

过程

  1. 在基础虚拟机上,验证与 Active Directory 的网络连接。 
    sudo realm discover mydomain.com
  2. 安装所需的依赖项包。 
    sudo apt-get install sssd-tools sssd libnss-sss libpam-sss adcli samba-common-bin krb5-user krb5-pkinit
  3. 加入 AD 域。 
    sudo realm join --verbose mydomain.com -U admin-user
  4. 安装根 CA 证书或证书链。
    1. 找到您下载的根 CA 证书或证书链,并将其传输到 PEM 文件。 
      sudo openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
    2. 将证书复制到 /etc/sssd/pki/sssd_auth_ca_db.pem 文件中。 
      sudo cp /tmp/certificate.pem /etc/sssd/pki/sssd_auth_ca_db.pem
  5. 修改 /etc/sssd/sssd.conf 配置文件,如以下示例中所示。 
    [sssd]
domains = mydomain.com
config_file_version = 2
services = nss, pam
 
[domain/mydomain.com]
ad_domain = mydomain.com
krb5_realm = MYDOMAIN.COM
realmd_tags = manages-system joined-with-adcli
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = False #Use short name for user
fallback_homedir = /home/%u@%d
access_provider = ad
ad_gpo_map_interactive = +gdm-vmwcred #Add this line for SSO
ad_gpo_access_control = permissive #Only add this line for Ubuntu 20.04 and Debian 12 to fix https://bugs.launchpad.net/ubuntu/+source/sssd/+bug/1934997
 
[pam] #Add pam section for certificate login
pam_cert_auth = True #Add this line to enable certificate login for system
pam_p11_allowed_services = +gdm-vmwcred #Add this line to enable certificate login for VMware Horizon Agent
 
[certmap/mydomain.com/truesso] #Add this section and following lines to set match and map rule for certificate user
matchrule = <EKU>msScLogin
maprule = (|(userPrincipal={subject_principal})(samAccountName={subject_principal.short_name}))
domains = mydomain.com
priority = 10
  6. 更改 /etc/krb5.conf 配置文件的访问模式,使其可编辑。 
    sudo chmod 644 /etc/krb5.conf
  7. 修改 /etc/krb5.conf 文件,如以下示例中所示。 
    [realms]
 MYDOMAIN.COM = {
    kdc = kdcserver.mydomain.com
    admin_server = dnsserver.mydomain.com
    pkinit_anchors = DIR:/etc/sssd/pki
    pkinit_kdc_hostname = kdcserver.mydomain.com
    pkinit_eku_checking = kpServerAuth
 }
 
[domain_realm]
    .mydomain.com = MYDOMAIN.COM
    mydomain.com = MYDOMAIN.COM
  8. 安装 Horizon Agent 软件包并启用 True SSO。 
    sudo ./install_viewagent.sh -T yes
  9. 修改 /etc/vmware/viewagent-custom.conf 配置文件,使其包含以下行。 
    NetbiosDomain = MYDOMAIN
  10. 重新启动虚拟机,然后重新登录。