Um die True SSO-Funktion auf einer virtuellen SLED/SLES-Maschine (VM) zu aktivieren, installieren Sie die Bibliotheken, von denen die True SSO-Funktion abhängig ist, das Stamm-CA-Zertifikat für die vertrauenswürdige Authentifizierung und Horizon Agent. Außerdem müssen Sie einige Konfigurationsdateien bearbeiten, um des Einrichten der Authentifizierung abzuschließen.
Verwenden Sie das folgende Verfahren, um True SSO in SLED- oder SLES-VMs zu aktivieren.
Prozedur
- Installieren Sie für SLED 15.x oder SLES 12.x/15.x die erforderlichen Pakete, indem Sie den folgenden Befehl ausführen.
zypper install mozilla-nss-tools pam_krb5 krb5-client krb5-plugin-preauth-pkinit
- Installieren Sie für SLED 12.x die erforderlichen Pakete, indem Sie die folgenden Schritte ausführen.
- Laden Sie die entsprechende SLES-ISO-Datei auf die lokale Festplatte Ihrer SLED-VM herunter (z. B. /tmp/SLE-12-SP3-Server-DVD-x86_64-GM-DVD1.iso).
Sie müssen die SLES-ISO-Datei als Paketquelle für Ihr SLED-System hinzufügen, da das erforderliche Paket
krb5-plugin-preauth-pkinit nur für SLES-Systeme verfügbar ist.
- Stellen Sie die SLES-ISO-Datei auf Ihrem SLED-System bereit und installieren Sie die erforderlichen Pakete.
sudo mkdir -p /mnt/sles
sudo mount -t iso9660 /tmp/SLE-12-SP3-Server-DVD-x86_64-GM-DVD1.iso /mnt/sles
sudo zypper ar -f /mnt/sles sles
zypper install mozilla-nss-tools pam_krb5 krb5-client krb5-plugin-preauth-pkinit
- Wenn die Installation abgeschlossen ist, heben Sie die Bereitstellung der SLES-ISO-Datei auf.
- Installieren Sie ein Stamm-CA-Zertifikat.
- Übertragen Sie das heruntergeladene Stamm-CA-Zertifikat in eine .pem-Datei.
openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
- Verwenden Sie den Befehl certutil, um das Stamm-CA-Zertifikat in der Systemdatenbank /etc/pki/nssdb zu installieren.
certutil -A -d /etc/pki/nssdb -n "root CA cert" -t "CT,C,C" -i /tmp/certificate.pem
- Fügen Sie das Stamm-CA-Zertifikat zu pam_pkcs11 hinzu.
cp /tmp/certificate.pem /etc/pki/ca-trust/source/anchors/ca_cert.pem
- Bearbeiten Sie die Konfigurationsdatei /etc/krb5.conf, sodass sie über Inhalte ähnlich dem folgenden Beispiel verfügt.
[libdefaults]
default_realm = MYDOMAIN.COM
dns_lookup_realm = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
default_ccache_name = KEYRING:persistent:%{uid}
[realms]
MYDOMAIN.COM = {
kdc = ads-hostname
admin_server = ads-hostname
pkinit_anchors = DIR:/etc/pki/ca-trust/source/anchors
pkinit_kdc_hostname = ADS-HOSTNAME
pkinit_eku_checking = kpServerAuth
}
[domain_realm]
.mydomain.com = MYDOMAIN.COM
mydomain.com = MYDOMAIN.COM
Hinweis: Außerdem müssen Sie in
/etc/krb5.conf den Modus gleich
644 festlegen. Andernfalls funktioniert die Funktion True SSO möglicherweise nicht.
Ersetzen Sie die Platzhalterwerte des Beispiels durch spezifische Informationen für Ihre Netzwerkkonfiguration, wie in der folgenden Tabelle gezeigt.
| Platzhalterwert |
Beschreibung |
| mydomain.com |
DNS-Name Ihrer Active Directory-Domäne |
| MYDOMAIN.COM |
DNS-Name Ihrer Active Directory-Domäne (in Großbuchstaben) |
| ads-hostname |
Hostname Ihres AD-Servers |
| ADS-HOSTNAME |
Hostname Ihres AD-Servers (in Großbuchstaben) |
- Installieren Sie das Paket Horizon Agent mit aktiviertem True SSO.
sudo ./install_viewagent.sh -T yes
- Fügen Sie den folgenden Parameter zur benutzerdefinierten Horizon Agent-Konfigurationsdatei /etc/vmware/viewagent-custom.conf hinzu. Verwenden Sie die folgende Syntax, wobei NETBIOS_NAME_OF_DOMAIN der NetBIOS-Name der Domäne Ihrer Organisation ist.
NetbiosDomain=NETBIOS_NAME_OF_DOMAIN
Hinweis: Verwenden Sie für SLED/SLES 15.x immer den langen Namen der NetBIOS-Domäne, z. B.
LXD.VDI. Wenn Sie den kurzen Namen verwenden, z. B.
LXD, funktioniert die True SSO-Funktion nicht.
- Starten Sie die VM neu und melden Sie sich erneut an.
