Um die True SSO-Funktion auf einem RHEL/CentOS 7.x-Desktop zu aktivieren, installieren Sie die Bibliotheken, von denen die True SSO-Funktion abhängig ist, das Stamm-CA-Zertifikat für die vertrauenswürdige Authentifizierung und Horizon Agent. Außerdem müssen Sie einige Konfigurationsdateien bearbeiten, um des Einrichten der Authentifizierung abzuschließen.
Verwenden Sie das folgende Verfahren, um True SSO auf RHEL 7.x- und CentOS 7.x-Desktops zu aktivieren. Um True SSO auf diesen Desktops zu unterstützen, müssen Sie Horizon Agent 7.6 oder höher installieren.
In einigen der Beispiele im Verfahren werden Platzhalterwerte verwendet, um Entitäten in Ihrer Netzwerkkonfiguration darzustellen, z. B. den DNS-Namen Ihrer Active Directory-Domäne. Ersetzen Sie die Platzhalterwerte durch spezifische Informationen für Ihre Konfiguration, wie in der folgenden Tabelle gezeigt.
| Platzhalterwert |
Beschreibung |
| dns_server |
Pfad zu Ihrem DNS-Namenserver |
| mydomain.com |
DNS-Name Ihrer Active Directory-Domäne |
| MYDOMAIN.COM |
DNS-Name Ihrer Active Directory-Domäne in Großbuchstaben |
Prozedur
- Installieren Sie die PKCS11-Support-Paket-Gruppe.
yum install -y nss-tools nss-pam-ldapd pam_krb5 krb5-libs krb5-workstation krb5-pkinit
- Installieren Sie ein Stamm-CA-Zertifikat.
- Suchen Sie das Stamm-CA-Zertifikat, das Sie heruntergeladen haben, und übertragen Sie es in eine .pem-Datei.
openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
- Verwenden Sie den Befehl certutil, um das Stamm-CA-Zertifikat in der Systemdatenbank /etc/pki/nssdb zu installieren.
certutil -A -d /etc/pki/nssdb -n "root CA cert" -t "CT,C,C" -i /tmp/certificate.pem
- Fügen Sie das Stamm-CA-Zertifikat zur Liste der vertrauenswürdigen CA-Zertifikate auf Ihrem RHEL/CentOS 7.x-System hinzu und aktualisieren Sie die systemweite Trust Store-Konfiguration mit dem Befehl update-ca-trust.
cp /tmp/certificate.pem /etc/pki/ca-trust/source/anchors/ca_cert.pem
update-ca-trust
- Ändern Sie den entsprechenden Abschnitt in der SSSD-Konfigurationsdatei Ihres Systems für Ihre Domäne, wie im folgenden Beispiel.
[domain/mydomain.com]
ad_domain = mydomain.com
krb5_realm = MYDOMAIN.COM
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
#set the next line to false, so you can use the short name instead of the full domain name.
use_fully_qualified_names = False
fallback_homedir = /home/%u@%d
access_provider = ad
- Ändern Sie die Kerberos-Konfigurationsdatei /etc/krb5.conf, wie im folgenden Beispiel.
[libdefaults]
dns_lookup_realm = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
default_ccache_name = KEYRING:persistent:%{uid}
# Add following line, if the system doesn't add it automatically
default_realm = MYDOMAIN.COM
[realms]
MYDOMAIN.COM = {
kdc = dns_server
admin_server = dns_server
# Add the following three lines for pkinit_*
pkinit_anchors = DIR:/etc/pki/ca-trust/source/anchors
pkinit_kdc_hostname = your_org_DNS_server
pkinit_eku_checking = kpServerAuth
}
[domain_realm]
mydomain.com = MYDOMAIN.COM
.mydomain.com = MYDOMAIN.COM
- Installieren Sie das Paket Horizon Agent mit aktiviertem True SSO.
sudo ./install_viewagent.sh -T yes
Hinweis: Sie müssen
Horizon Agent 7.6 oder höher installieren.
- Fügen Sie den folgenden Parameter zur benutzerdefinierten Horizon Agent-Konfigurationsdatei /etc/vmware/viewagent-custom.conf hinzu. Verwenden Sie das folgende Beispiel, in dem NETBIOS_NAME_OF_DOMAIN der NetBIOS-Name der Domäne Ihrer Organisation ist.
NetbiosDomain=NETBIOS_NAME_OF_DOMAIN
- Starten Sie Ihr System neu und melden Sie sich an.
