Die Authentifizierungsmethode System Security Services Daemon (SSSD) ist eine der unterstützten Lösungen für die Durchführung eines Offline-Domänenbeitritts auf einer Instant-Clone-Linux-VM.

Die SSSD-Authentifizierung (System Security Services Daemon) unterstützt den Offline-Domänenbeitritt mit Active Directory für Instant Clone-Desktops, auf denen die folgenden Linux-Verteilungen ausgeführt werden.

  • Ubuntu 20.04/22.04
  • Debian 10.x/11.x
  • RHEL 7.9/8.x/9.x
  • Rocky Linux 8.x/9.x
  • CentOS 7.9
  • SLED/SLES 15.x

Verwenden Sie die im folgenden Verfahren beschriebenen Richtlinien für den Offline-Domänenbeitritt einer Instant-Clone-Linux-VM zu Active Directory (AD) mithilfe der SSSD-Authentifizierung.

Prozedur

  1. Führen Sie auf der Golden Image-Linux-VM den Domänenbeitritt mithilfe der SSSD-Authentifizierung durch. Stellen Sie sicher, dass das Golden Image dieselbe Domäne wie die Instant Clones verwendet.
    Detaillierte Anweisungen zum Domänenbeitritt finden Sie in der Dokumentation zu Ihrer Linux-Distribution.
    • (Ubuntu) Navigieren Sie zu https://ubuntu.com/server/docs und suchen Sie nach Informationen im Zusammenhang mit SSSD und Active Directory.
    • (RHEL/CentOS) Navigieren Sie zum Red Hat-Kundenportal und suchen Sie die Dokumentationsseite für Ihre Versionsversion. Beispielsweise finden Sie die englische Dokumentation unter https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/.
      • Suchen Sie für RHEL 9.x das Dokument „Konfigurieren der Authentifizierung und Autorisierung in RHEL“ und suchen Sie nach Informationen im Zusammenhang mit SSSD.
      • Suchen Sie für RHEL 8.x nach dem Dokument „Integrating RHEL Systems Directly With Windows Active Directory“ und suchen Sie nach Informationen im Zusammenhang mit der direkten Verbindung von RHEL-Systemen mit AD mithilfe von SSSD.
      • Suchen Sie für RHEL/CentOS 7.x nach dem „Windows Integration Guide“ und suchen Sie nach Informationen im Zusammenhang mit der Erkennung von und dem Beitritt zu Identitätsdomänen.
    • (Rocky Linux) Navigieren Sie zum Rocky Linux-Dokumentationsportal unter https://docs.rockylinux.org/ und suchen Sie nach Informationen im Zusammenhang mit SSSD.
    • (SLED/SLES) Wechseln Sie zum SUSE-Dokumentationsportal unter https://documentation.suse.com/ und suchen Sie nach Informationen im Zusammenhang mit der Integration von Linux- und Active Directory-Umgebungen.
  2. Installieren Sie die krb5-Supportbibliotheken.
    • (Ubuntu) Führen Sie den folgenden Befehl aus.
      sudo apt-get install krb5-user
    • (RHEL/CentOS und Rocky Linux) Führen Sie den folgenden Befehl aus.
      sudo yum install krb5-workstation
    • (SLED/SLES) Führen Sie die folgende Befehlssequenz aus.
      sudo zypper install krb5-client
      sudo ln -s /usr/lib/mit/bin/ktutil /usr/bin/ktutil
      sudo ln -s /usr/lib/mit/bin/kvno /usr/bin/kvno
  3. Installieren Sie Horizon Agent for Linux wie unter Installieren von Horizon Agent auf einer virtuellen Linux-Maschine beschrieben.
  4. Ändern Sie die Konfigurationsdatei /etc/sssd/sssd.conf, indem Sie das folgende Beispiel als Referenz verwenden.
    Ersetzen Sie die Platzhalterwerte im Beispiel durch spezifische Informationen für Ihre Konfiguration:
    • Ersetzen Sie mydomain.com durch den DNS-Namen Ihrer AD-Domäne.
    • Ersetzen Sie MYDOMAIN.COM durch den DNS-Namen Ihrer AD-Domäne in Großbuchstaben.
    [sssd]
    domains = mydomain.com
    config_file_version = 2
    services = nss, pam
     
    [domain/mydomain.com]
    ad_domain = mydomain.com
    krb5_realm = MYDOMAIN.COM
    realmd_tags = manages-system joined-with-adcli
    cache_credentials = True
    id_provider = ad
    krb5_store_password_if_offline = True
    default_shell = /bin/bash
    ldap_id_mapping = True
    use_fully_qualified_names = False        #Use short name for user
    fallback_homedir = /home/%u@%d
    access_provider = ad
    ad_gpo_map_interactive = +gdm-vmwcred    #Add this line for SSO
    ad_gpo_access_control = permissive       #Deactivate GPO access control in the cloned VM
  5. (RHEL/CentOS 7.x) Ändern Sie die Konfigurationsdatei /etc/krb5.conf, um nur den Verschlüsselungsalgorithmus „rc4-hmac“ zu verwenden.
    Dies ist der einzige Verschlüsselungsalgorithmus, der bei Verwendung von SSSD-Authentifizierung für den Domänenbeitritt einer Instant-Clone-RHEL/CentOS 7.x-VM unterstützt wird.
    [libdefaults]
     dns_lookup_realm = false
     ticket_lifetime = 24h
     renew_lifetime = 7d
     forwardable = true
     rdns = false
     pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
     default_realm = MYDOMAIN.COM
     default_ccache_name = KEYRING:persistent:%{uid}
     default_tkt_enctypes = rc4-hmac       #Add this line to use rc4-hmac encryption only
     default_tgs_enctypes = rc4-hmac       #Add this line to use rc4-hmac encryption only
  6. Um sicherzustellen, dass Horizon Agent den Domänenbeitritt der Linux-VM mithilfe der SSSD-Authentifizierung erkennt, fügen Sie der Konfigurationsdatei /etc/vmware/viewagent-custom.conf die folgende Zeile hinzu.
    OfflineJoinDomain=sssd
  7. Starten Sie die Golden Image-Linux-VM neu und erstellen Sie einen Snapshot der VM in vCenter Server.