Konfigurieren von True SSO auf SLED/SLES-Desktops

Um die True SSO-Funktion auf einem SLED/SLES-Desktop zu aktivieren, installieren Sie die Bibliotheken, von denen die True SSO-Funktion abhängt, das Stamm-CA-Zertifikat für die vertrauenswürdige Authentifizierung und Horizon Agent. Außerdem müssen Sie einige Konfigurationsdateien bearbeiten, um des Einrichten der Authentifizierung abzuschließen.

Verwenden Sie das folgende Verfahren, um True SSO auf SLED/SLES-Desktops zu aktivieren.

Voraussetzungen

Konfigurieren Sie True SSO für VMware Identity Manager und Horizon Connection Server.
Integrieren eines SLED/SLES-Desktops in Active Directory für True SSO
Fordern Sie ein Stamm-CA-Zertifikat an und speichern Sie es auf Ihrem Desktop als /tmp/certificate.cer. Siehe How to export Root Certification Authority Certificate.

Prozedur

Installieren Sie für SLES 12.x SP3/SP5-Desktop die erforderlichen Pakete, indem Sie den folgenden Befehl ausführen.
```
zypper install mozilla-nss-tools pam_krb5 krb5-client krb5-plugin-preauth-pkinit
```
Installieren Sie für SLED 12.x SP3 die erforderlichen Pakete, indem Sie die folgenden Schritte ausführen.
1. Laden Sie die SLES-ISO-Datei auf die lokale Festplatte Ihres SLED-Desktops herunter (z. B. /tmp/SLE-12-SP3-Server-DVD-x86_64-GM-DVD1.iso).
  Sie müssen die SLES-ISO-Datei als Paketquelle für Ihren SLED-Desktop hinzufügen, da das erforderliche Paket krb5-plugin-preauth-pkinit nur für SLES-Systeme verfügbar ist.
2. Stellen Sie die SLES-ISO-Datei auf Ihrem SLED-Desktop bereit und installieren Sie die erforderlichen Pakete.
```
sudo mkdir -p /mnt/sles
sudo mount -t iso9660 /tmp/SLE-12-SP3-Server-DVD-x86_64-GM-DVD1.iso /mnt/sles
sudo zypper ar -f /mnt/sles sles
zypper install mozilla-nss-tools pam_krb5 krb5-client krb5-plugin-preauth-pkinit
```
3. Wenn die Installation abgeschlossen ist, heben Sie die Bereitstellung der SLES-ISO-Datei auf.
```
sudo unmount /mnt/sles
```
Installieren Sie ein Stamm-CA-Zertifikat.
1. Übertragen Sie das heruntergeladene Stamm-CA-Zertifikat in eine .pem-Datei.
```
openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
```
2. Verwenden Sie den Befehl certutil, um das Stamm-CA-Zertifikat in der Systemdatenbank /etc/pki/nssdb zu installieren.
```
certutil -A -d /etc/pki/nssdb -n "root CA cert" -t "CT,C,C" -i /tmp/certificate.pem
```
3. Fügen Sie das Stamm-CA-Zertifikat zu pam_pkcs11 hinzu.
```
cp /tmp/certificate.pem /etc/pki/ca-trust/source/anchors/ca_cert.pem
```

Bearbeiten Sie die Konfigurationsdatei /etc/krb5.conf, sodass sie über Inhalte ähnlich dem folgenden Beispiel verfügt.

[libdefaults]
      default_realm = MYDOMAIN.COM
      dns_lookup_realm = false
      ticket_lifetime = 24h
      renew_lifetime = 7d
      forwardable = true
      rdns = false
      default_ccache_name = KEYRING:persistent:%{uid}

[realms]
      MYDOMAIN.COM = {
            kdc = ads-hostname
            admin_server = ads-hostname 
            pkinit_anchors = DIR:/etc/pki/ca-trust/source/anchors
            pkinit_kdc_hostname = ads-hostname
            pkinit_eku_checking = kpServerAuth
      }

[domain_realm]
      .mydomain.com = MYDOMAIN.COM
      mydomain.com = MYDOMAIN.COM

Ersetzen Sie die Platzhalterwerte des Beispiels durch spezifische Informationen für Ihre Netzwerkkonfiguration, wie in der folgenden Tabelle gezeigt.


Platzhalterwert	Beschreibung
mydomain.com	DNS-Name Ihrer Active Directory-Domäne
MYDOMAIN.COM	DNS-Name Ihrer Active Directory-Domäne (in Großbuchstaben)
ads-hostname	Hostname Ihres AD-Servers (Groß-/Kleinschreibung beachten)

Installieren Sie das Paket Horizon Agent mit aktiviertem True SSO.
```
sudo ./install_viewagent.sh -T yes
```
Fügen Sie den folgenden Parameter zur benutzerdefinierten Horizon Agent-Konfigurationsdatei /etc/vmware/viewagent-custom.conf hinzu. Verwenden Sie das folgende Beispiel, in dem NETBIOS_NAME_OF_DOMAIN der NetBIOS-Name der Domäne Ihrer Organisation ist.
```
NetbiosDomain=NETBIOS_NAME_OF_DOMAIN
```
Starten Sie Ihr System neu und melden Sie sich an.