Um True SSO auf RHEL/CentOS 8.x-Desktops zu unterstützen, müssen Sie die virtuelle Basismaschine (VM) zuerst in Ihre Active Directory-Domäne (AD) integrieren. Anschließend müssen Sie bestimmte Konfigurationen auf dem System ändern, um die True SSO-Funktion zu unterstützen.

Hinweis: True SSO wird auf Instant-Clone-Desktops mit RHEL 8.x nicht unterstützt.

In einigen der Beispiele im Verfahren werden Platzhalterwerte verwendet, um Entitäten in Ihrer Netzwerkkonfiguration darzustellen, z. B. den DNS-Namen Ihrer Active Directory-Domäne. Ersetzen Sie die Platzhalterwerte durch spezifische Informationen für Ihre Konfiguration, wie in der folgenden Tabelle gezeigt.

Platzhalterwert Beschreibung
mydomain.com DNS-Name Ihrer Active Directory-Domäne
MYDOMAIN.COM DNS-Name Ihrer Active Directory-Domäne in Großbuchstaben
MYDOMAIN Name Ihrer NetBIOS-Domäne

Voraussetzungen

  • Konfigurieren Sie True SSO für Workspace ONE Access und Horizon Connection Server.
  • Stellen Sie sicher, dass der Active Directory(AD)-Server durch DNS auf der RHEL/CentOS 8.x-Basis-VM aufgelöst werden kann.
  • Konfigurieren Sie den Hostnamen der VM.
  • Konfigurieren Sie das Network Time Protocol (NTP) auf der VM.

Prozedur

  1. Überprüfen Sie auf der RHEL/CentOS 8.x-VM die Netzwerkverbindung mit Active Directory. 
    # realm discover mydomain.com
  2. Installieren Sie die erforderlichen Abhängigkeitspakete. 
    # yum install oddjob oddjob-mkhomedir sssd adcli samba-common-tools
  3. Treten Sie der AD-Domäne bei. 
    # realm join --verbose mydomain.com -U administrator
  4. Laden Sie das Root-CA-Zertifikat herunter und kopieren Sie es als PEM-Datei in das erforderliche Verzeichnis. 
    # openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem

# cp /tmp/certificate.pem /etc/sssd/pki/sssd_auth_ca_db.pem
  5. Passen Sie die Konfigurationsdatei /etc/sssd/sssd.conf an, wie im folgenden Beispiel gezeigt. 
    [sssd]
domains = mydomain.com
config_file_version = 2
services = nss, pam
 
[domain/mydomain.com]
ad_domain = mydomain.com
krb5_realm = IMYDOMAIN.COM
realmd_tags = manages-system joined-with-adcli
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = False        <---------------- Use short name for user
fallback_homedir = /home/%u@%d
access_provider = ad
ad_gpo_map_interactive = +gdm-vmwcred    <---------------- Add this line for SSO
 
[pam]                                    <---------------- Add pam section for certificate logon
pam_cert_auth = True                     <---------------- Add this line to enable certificate logon for system
pam_p11_allowed_services = +gdm-vmwcred  <---------------- Add this line to enable certificate logon for VMware Horizon Agent
 
[certmap/mydomain.com/truesso]          <---------------- Add this section and following lines to set match and map rule for certificate user
matchrule = <EKU>msScLogin
maprule = (|(userPrincipal={subject_principal})(samAccountName={subject_principal.short_name}))
domains = mydomain.com
priority = 10
  6. Ändern Sie die Konfigurationsdatei /etc/krb5.conf, indem Sie den Modus gleich 644 festlegen.
    Hinweis: Wenn Sie /etc/krb5.conf nicht wie angegeben ändern, funktioniert die Funktion True SSO möglicherweise nicht.
  7. Installieren Sie das Paket Horizon Agent mit aktiviertem True SSO. 
    # sudo ./install_viewagent.sh -T yes
  8. Ändern Sie die Konfigurationsdatei /etc/vmware/viewagent-custom.conf, sodass sie die folgende Zeile enthält. 
    NetbiosDomain = MYDOMAIN
  9. Starten Sie die VM neu und melden Sie sich erneut an.