Um Single Sign-On (SSO) einzurichten, müssen Sie verschiedene Konfigurationsschritte durchführen.

Das Single-Sign-On-Modul von Horizon kommuniziert mit PAMs (Pluggable Authentication Modules) in Linux und ist nicht von der Methode abhängig, die Sie zur Integration von Linux in Active Directory (AD) verwenden. Das Horizon-SSO funktioniert bekanntermaßen mit den OpenLDAP- und Winbind-Lösungen, die Linux in AD integrieren.

Standardmäßig nimmt SSO an, dass das sAMAccountName-Attribut von AD die Anmelde-ID ist. Um sicherzustellen, dass die korrekte Anmelde-ID für SSO verwendet wird, müssen Sie die nachfolgend aufgeführten Konfigurationsschritte durchführen, wenn Sie die OpenLDAP- oder Winbind-Lösung verwenden.

  • Für OpenLDAP setzen Sie sAMAccountName auf uid.
  • Für Winbind fügen Sie die folgende Anweisung zur Konfigurationsdatei /etc/samba/smb.conf hinzu. 
    winbind use default domain = true
Wenn Benutzer den Domänennamen angeben müssen, um sich anzumelden, müssen Sie die SSOUserFormat-Option auf dem Linux-Desktop angeben. Weitere Informationen finden Sie unter Einstellen der Optionen in Konfigurationsdateien auf einem Linux-Desktop. SSO verwendet immer die Kurzform des Domänennamens in Großbuchstaben. Wenn zum Beispiel die Domäne mydomain.com ist, wird MYDOMAIN von SSO als Domänenname verwendet. Aus diesem Grund müssen Sie MYDOMAIN angeben, wenn Sie SSOUserFormat festlegen. In Bezug auf die Kurz- und Langformen von Domänennamen gelten die folgenden Regeln:
  • Für OpenLDAP müssen Sie die Kurzform der Domänennamen in Großbuchstaben verwenden.
  • Winbind unterstützt sowohl die Langform als auch die Kurzform der Domänennamen.

AD unterstützt Sonderzeichen in Anmeldenamen, Linux jedoch nicht. Deshalb dürfen Sie keine Sonderzeichen in Anmeldenamen verwenden, wenn Sie SSO einrichten.

Wenn in AD das UserPrincipalName-Attribut (UPN) und das sAMAccount-Attribut eines Benutzers nicht übereinstimmen und der Benutzer sich mit dem UPN anmeldet, schlägt SSO fehl. Wenn Sie beispielsweise einen Benutzer (juser in AD mycompany.com) haben, die Benutzer-UPN jedoch auf [email protected] anstelle von [email protected] festgelegt ist, schlägt SSO fehl. Zur Umgehung des Problems kann sich der Benutzer mit dem Namen anmelden, der in sAMAccount gespeichert ist. Beispiel: juser.

Horizon 7 erfordert nicht, dass beim Benutzernamen zwischen Groß- und Kleinschreibung unterschieden wird. Sie müssen sicherstellen, dass das Linux-Betriebssystem Benutzernamen verarbeiten kann, bei denen zwischen Groß- und Kleinschreibung unterschieden wird.
  • Für Winbind wird beim Benutzernamen standardmäßig zwischen Groß- und Kleinschreibung unterschieden.
  • Für OpenLDAP verwendet Ubuntu NSCD zur Authentifizierung von Benutzern, und es wird standardmäßig zwischen Groß- und Kleinschreibung unterschieden. RHEL und CentOS verwenden SSSD zur Authentifizierung von Benutzern, und es wird standardmäßig zwischen Groß- und Kleinschreibung unterschieden. Zum Ändern der Einstellung bearbeiten Sie die Datei /etc/sssd/sssd.conf und fügen Sie dem Abschnitt [domain/default] die folgende Zeile hinzu: 
    case_sensitive = false

Verfügt der Linux-Desktop über mehrere auf ihm installierte Desktop-Umgebungen, finden Sie Informationen zur Auswahl der bei aktivierter SSO-Funktion zu verwendenden Desktop-Umgebung im Abschnitt Desktop-Umgebung.