Um die True SSO-Funktion auf einem Ubuntu-Desktop zu aktivieren, installieren Sie die Bibliotheken, von denen die True SSO-Funktion abhängig ist, das Stamm-CA-Zertifikat für die vertrauenswürdige Authentifizierung und Horizon Agent. Außerdem müssen Sie einige Konfigurationsdateien bearbeiten, um des Einrichten der Authentifizierung abzuschließen.

Verwenden Sie das folgende Verfahren, um True SSO auf Ubuntu-Desktops zu aktivieren. Um True SSO auf diesen Desktops zu unterstützen, müssen Sie Horizon Agent 7.8 oder höher installieren.

Voraussetzungen

Prozedur

  1. Installieren Sie auf Ihrem Ubuntu-Desktop das pkcs11-Unterstützungspaket. 
    sudo apt install libpam-pkcs11
  2. Installieren Sie das libnss3-tools-Paket. 
    sudo apt install libnss3-tools
  3. Installieren Sie ein Stamm-CA-Zertifikat.
    1. Übertragen Sie das heruntergeladene Stamm-CA-Zertifikat in eine .pem-Datei. 
      openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
    2. Erstellen Sie das Verzeichnis /etc/pki/nssdb für die Systemdatenbank. 
      sudo mkdir -p /etc/pki/nssdb
    3. Verwenden Sie den Befehl certutil, um das Stamm-CA-Zertifikat in der Systemdatenbank /etc/pki/nssdb zu installieren. 
      sudo certutil -A -d /etc/pki/nssdb -n "root CA cert" -t "CT,C,C" -i /tmp/certificate.pem
    4. Kopieren Sie das Stamm-CA-Zertifikat in das Verzeichnis /etc/pam_pkcs11/cacerts. 
      mkdir -p /etc/pam_pkcs11/cacerts

sudo cp /tmp/certificate.pem /etc/pam_pkcs11/cacerts
    5. Erstellen Sie einen Hash-Link für das Stamm-CA-Zertifikat. Führen Sie den folgenden Befehl im Verzeichnis /etc/pam_pkcs11/cacerts aus. 
      pkcs11_make_hash_link
  4. Installieren Sie das Paket Horizon Agent mit aktiviertem True SSO. 
    sudo ./install_viewagent.sh -T yes
    Hinweis: Damit Sie die True SSO-Funktion verwenden können, müssen Sie Horizon Agent 7.8 oder höher installieren.
  5. Fügen Sie den folgenden Parameter zur benutzerdefinierten Horizon Agent-Konfigurationsdatei /etc/vmware/viewagent-custom.conf hinzu. Verwenden Sie das folgende Beispiel, in dem NETBIOS_NAME_OF_DOMAIN der NetBIOS-Name der Domäne Ihrer Organisation ist. 
    NetbiosDomain=NETBIOS_NAME_OF_DOMAIN
  6. Bearbeiten Sie die Konfigurationsdatei /etc/pam_pkcs11/pam_pkcs11.conf.
    1. Erstellen Sie bei Bedarf die Konfigurationsdatei /etc/pam_pkcs11/pam_pkcs11.conf. Suchen Sie die Beispieldatei in /usr/share/doc/libpam-pkcs11/examples, kopieren Sie sie in das Verzeichnis /etc/pam_pkcs11 und benennen Sie die Datei in pam_pkcs11.conf um. Fügen Sie gegebenenfalls Ihre Systeminformationen zum Inhalt der Datei hinzu.
    2. Ändern Sie die Konfigurationsdatei /etc/pam_pkcs11/pam_pkcs11.conf, damit sie in etwa den im folgenden Beispiel gezeigten Inhalt enthält.
    Hinweis: Hängen Sie bei Ubuntu 20.04 ms am Ende der Zeile use_mappers an. 
    use_pkcs11_module = coolkey;
pkcs11_module coolkey {
  module = /usr/lib/vmware/viewagent/sso/libvmwpkcs11.so;
  slot_num = 0;
  ca_dir = /etc/pam_pkcs11/cacerts;
  nss_dir = /etc/pki/nssdb;
}

mapper ms {
  debug = false;
  module = internal;
  # module = /usr/$LIB/pam_pkcs11/ms_mapper.so;
  ignorecase = false;
  # ignore domain name
  ignoredomain = true;
  domain = "DOMAIN.COM"; #<== Replace "DOMAIN.COM" with your organization's domain name
}

use_mappers = digest, cn, pwent, uid, mail, subject, null, ms;  #<== For Ubuntu 20.04, append "ms" at end of use_mappers
  7. Ändern Sie die auth-Parameter in der PAM-Konfigurationsdatei.
    1. Öffnen Sie die PAM-Konfigurationsdatei.
      • Öffnen Sie für Ubuntu 16.04 /etc/pam.d/lightdm.
      • Öffnen Sie für Ubuntu 20.04/18.04 /etc/pam.d/gdm-vmwcred.
    2. Bearbeiten Sie die PAM-Konfigurationsdatei, wie im folgenden Beispiel. 
      auth requisite pam_vmw_cred.so
auth sufficient pam_pkcs11.so try_first_pass
  8. Starten Sie Ihr System neu und melden Sie sich an.