Die Authentifizierungsmethode System Security Services Daemon (SSSD) ist eine der unterstützten Lösungen für die Durchführung eines Offline-Domänenbeitritts auf einer Instant-Clone-Linux-VM.
Die SSSD-Authentifizierung (System Security Services Daemon) unterstützt den Offline-Domänenbeitritt mit Active Directory für Instant Clone-Desktops, auf denen die folgenden Linux-Verteilungen ausgeführt werden.
- Ubuntu 18.04/20.04/22.04
- Debian 10.x/11.x
- RHEL 7.9/8.x/9.x
- CentOS 7.9
- SLED/SLES 15.x
Verwenden Sie die im folgenden Verfahren beschriebenen Richtlinien für den Offline-Domänenbeitritt einer Instant-Clone-Linux-VM zu Active Directory (AD) mithilfe der SSSD-Authentifizierung.
Prozedur
- Führen Sie auf der Golden Image-Linux-VM den Domänenbeitritt mithilfe der SSSD-Authentifizierung durch. Stellen Sie sicher, dass das Golden Image dieselbe Domäne wie die Instant Clones verwendet.
Detaillierte Anweisungen zum Domänenbeitritt finden Sie in der Dokumentation zu Ihrer Linux-Distribution.
- (Ubuntu) Navigieren Sie zu https://ubuntu.com/server/docs und suchen Sie nach Informationen im Zusammenhang mit „SSSD und Active Directory“.
- (RHEL/CentOS) Navigieren Sie zum Red Hat-Kundenportal und suchen Sie die Dokumentationsseite für Ihre Versionsversion. Beispielsweise finden Sie die englische Dokumentation unter https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/.
- Suchen Sie für RHEL 9.x das Dokument „Konfigurieren der Authentifizierung und Autorisierung in RHEL“ und suchen Sie nach Informationen im Zusammenhang mit SSSD.
- Suchen Sie für RHEL 8.x das Dokument „Integrating RHEL Systems Directly With Windows Active Directory“ und suchen Sie nach Informationen unter „Connecting RHEL systems directly to AD using SSSD“.
- Suchen Sie für RHEL/CentOS 7.x den „Windows Integration Guide“ und suchen Sie nach Informationen unter „Discovering and Joining Identity Domains“.
- (SLED/SLES) Wechseln Sie zum SUSE-Dokumentationsportal unter https://documentation.suse.com/ und suchen Sie nach Informationen unter „Integrating Linux and Active Directory Environments“.
- Installieren Sie die krb5-Supportbibliotheken.
- (Ubuntu) Führen Sie den folgenden Befehl aus.
sudo apt-get install krb5-user
- (RHEL/CentOS) Führen Sie den folgenden Befehl aus.
sudo yum install krb5-workstation
- (SLED/SLES) Führen Sie die folgende Befehlssequenz aus.
sudo zypper install krb5-client
sudo ln -s /usr/lib/mit/bin/ktutil /usr/bin/ktutil
sudo ln -s /usr/lib/mit/bin/kvno /usr/bin/kvno
- Installieren Sie Horizon Agent for Linux wie unter Installieren von Horizon Agent auf einer virtuellen Linux-Maschine beschrieben.
- Ändern Sie die Konfigurationsdatei /etc/sssd/sssd.conf, indem Sie das folgende Beispiel als Referenz verwenden.
Ersetzen Sie die Platzhalterwerte im Beispiel durch spezifische Informationen für Ihre Konfiguration:
- Ersetzen Sie mydomain.com durch den DNS-Namen Ihrer AD-Domäne.
- Ersetzen Sie MYDOMAIN.COM durch den DNS-Namen Ihrer AD-Domäne in Großbuchstaben.
[sssd]
domains = mydomain.com
config_file_version = 2
services = nss, pam
[domain/mydomain.com]
ad_domain = mydomain.com
krb5_realm = MYDOMAIN.COM
realmd_tags = manages-system joined-with-adcli
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = False #Use short name for user
fallback_homedir = /home/%u@%d
access_provider = ad
ad_gpo_map_interactive = +gdm-vmwcred #Add this line for SSO
ad_gpo_access_control = permissive #Deactivate GPO access control in the cloned VM
- (RHEL/CentOS 7.x, Ubuntu 18.04) Ändern Sie die Konfigurationsdatei /etc/krb5.conf, um nur den Verschlüsselungsalgorithmus „rc4-hmac“ zu verwenden.
Dies ist der einzige Verschlüsselungsalgorithmus, der bei Verwendung von SSSD-Authentifizierung für den Domänenbeitritt einer RHEL/CentOS 7.x- oder Ubuntu 18.04-Instant-Clone-VM unterstützt wird.
[libdefaults]
dns_lookup_realm = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
default_realm = MYDOMAIN.COM
default_ccache_name = KEYRING:persistent:%{uid}
default_tkt_enctypes = rc4-hmac #Add this line to use rc4-hmac encryption only
default_tgs_enctypes = rc4-hmac #Add this line to use rc4-hmac encryption only
- Um sicherzustellen, dass Horizon Agent den Domänenbeitritt der Linux-VM mithilfe der SSSD-Authentifizierung erkennt, fügen Sie der Konfigurationsdatei /etc/vmware/viewagent-custom.conf die folgende Zeile hinzu.
- Starten Sie die Golden Image-Linux-VM neu und erstellen Sie einen Snapshot der VM in vCenter Server.