Einrichten von Single Sign-On und Smartcard-Umleitung

Zum Einrichten von Single Sign-On (SSO) und Smartcard-Umleitung müssen Sie einige Konfigurationsschritte durchführen.

Single Sign-On

Das Single Sign-On-Modul von Horizon View kommuniziert mit PAMs (Pluggable Authentication Modules) in Linux und ist nicht von der Methode abhängig, die Sie zur Integration von Linux mit Active Directory (AD) verwenden. Das Horizon View-SSO funktioniert bekanntermaßen mit den OpenLDAP- und Winbind-Lösungen, die für die Integration von Linux und AD sorgen.

Standardmäßig nimmt SSO an, dass das sAMAccountName-Attribut von AD die Anmelde-ID ist. Um sicherzustellen, dass die korrekte Anmelde-ID für SSO verwendet wird, müssen Sie die nachfolgend aufgeführten Konfigurationsschritte durchführen, wenn Sie die OpenLDAP- oder Winbind-Lösung verwenden.

Für OpenLDAP setzen Sie sAMAccountName auf uid.
Für Winbind fügen Sie die folgende Anweisung zur Konfigurationsdatei /etc/samba/smb.conf hinzu.
```
winbind use default domain = true
```

Wenn Benutzer den Domänennamen angeben müssen, um sich anzumelden, müssen Sie die SSOUserFormat-Option auf dem Linux-Desktop angeben. Weitere Informationen finden Sie unter Einstellen der Optionen in Konfigurationsdateien auf einem Linux-Desktop. Achten Sie darauf, dass SSO immer die Kurzform des Domänennamens in Großbuchstaben verwendet. Wenn zum Beispiel die Domäne mydomain.com ist, wird MYDOMAIN von SSO als Domänenname verwendet. Aus diesem Grund müssen Sie MYDOMAIN angeben, wenn Sie SSOUserFormat festlegen. In Bezug auf die Kurz- und Langformen von Domänennamen gelten die folgenden Regeln:

Für OpenLDAP müssen Sie die Kurzform der Domänennamen in Großbuchstaben verwenden.
Winbind unterstützt sowohl die Langform als auch die Kurzform der Domänennamen.

AD unterstützt Sonderzeichen in Anmeldenamen, Linux jedoch nicht. Deshalb dürfen Sie keine Sonderzeichen in Anmeldenamen verwenden, wenn Sie SSO einrichten.

Wenn in AD das UserPrincipalName-Attribut (UPN) und das sAMAccount-Attribut eines Benutzers nicht übereinstimmen und der Benutzer sich mit dem UPN anmeldet, schlägt SSO fehl. Zur Umgehung des Problems kann sich der Benutzer mit dem Namen anmelden, der in sAMAccount gespeichert ist.

View erfordert nicht, dass beim Benutzernamen zwischen Groß- und Kleinschreibung unterschieden wird. Sie müssen sicherstellen, dass das Linux-Betriebssystem Benutzernamen verarbeiten kann, bei denen zwischen Groß- und Kleinschreibung unterschieden wird.

Für Winbind wird beim Benutzernamen standardmäßig zwischen Groß- und Kleinschreibung unterschieden.
Für OpenLDAP verwendet Ubuntu NSCD zur Authentifizierung von Benutzern, und es wird standardmäßig zwischen Groß- und Kleinschreibung unterschieden. RHEL und CentOS verwenden SSSD zur Authentifizierung von Benutzern, und es wird standardmäßig zwischen Groß- und Kleinschreibung unterschieden. Zum Ändern der Einstellung bearbeiten Sie die Datei /etc/sssd/sssd.conf und fügen Sie dem Abschnitt [domain/default] die folgende Zeile hinzu:
```
case_sensitive = false
```

Smartcard-Umleitung

Zum Einrichten der Smartcard-Umleitung müssen Sie zunächst die Anweisungen des Linux-Distributors und des Smartcard-Anbieters befolgen. Führen Sie dann ein Upgrade auf pcsc-lite 1.7.4 durch. Führen Sie beispielsweise die folgenden Befehle aus:

#yum groupinstall "Development tools"
#yum install libudev-devel
#service pcscd stop
#wget https://alioth.debian.org/frs/download.php/file/3598/pcsc-lite-1.7.4.tar.bz2
#tar -xjvf pcsc-lite-1.7.4.tar.bz2
#cd ./pcsc-lite-1.7.4
#./configure --prefix=/usr/ --libdir=/usr/lib64/ --enable-usbdropdir=/usr/lib64/pcsc/drivers
 --enable-confdir=/etc --enable-ipcdir=/var/run  --disable-libusb --disable-serial --disable-usb
 --disable-libudev
#make
#make install
#service pcscd start

Für Winbind fügen Sie die folgende Anweisung zur Konfigurationsdatei /etc/samba/smb.conf hinzu.

winbind use default domain = true

Wenn Sie Horizon Agent installieren, müssen Sie zuerst SELinux deaktivieren oder den Permissive Mode für SELinux aktivieren. Sie müssen auch die Smartcard-Umleitungskomponente speziell auswählen, weil die Komponente nicht standardmäßig ausgewählt wird. Weitere Informationen finden Sie unter install_viewagent.sh-Befehlszeilenoptionen.

Smartcard-SSO wird in Horizon View 7.0.1 oder höher aktiviert. Außerdem gilt: Wenn die Funktion der Smartcard-Umleitung in einer virtuellen Maschine installiert ist, funktioniert die USB-Umleitung des vSphere-Clients mit dieser Smartcard nicht.

Die Smartcard-Umleitung unterstützt nur ein Smartcard-Lesegerät. Diese Funktion ist nicht funktionsfähig, wenn zwei oder mehr Lesegeräte an das Client-Gerät angeschlossen sind.

Die Smartcard-Umleitung unterstützt nur ein Zertifikat auf der Smartcard. Wenn sich auf der Smartcard mehrere Zertifikate befinden, wird das im ersten Slot befindliche Zertifikat verwendet; die anderen werden ignoriert. Dies ist eine Einschränkung durch Linux.

Hinweis:

Die Smartcard unterstützt den folgenden winbind-Wert. Andernfalls schlagen die Smartcard-SSO und manuelle Anmeldung fehl.
```
winbind use default domain=true
```
Wenn Sie den Linux-Client für die Authentifizierung des Brokers an der PIV-Karte verwenden, was durch die Linux-Desktop-Smartcard-Umleitung unterstützt wird, müssen Sie die Konfiguration view.sslProtocolString = "TLSv1.1" für den Linux-Client bei ~/.vmware/view-preferences hinzufügen, um einen SSL-Fehler zu verhindern.