Um Single Sign-On (SSO) für Linux-Desktops einzurichten, müssen Sie verschiedene Konfigurationsschritte durchführen.

Das Single-Sign-On-Modul von VMware Horizon 8 kommuniziert mit PAMs (Pluggable Authentication Modules) in Linux und ist nicht von der Methode abhängig, die Sie zur Integration der virtuellen Linux-Maschine in Active Directory (AD) verwenden. Das Horizon 8-SSO funktioniert bekanntermaßen mit den OpenLDAP- und Winbind-Lösungen, die virtuelle Linux-Maschinen in AD integrieren.

Standardmäßig nimmt SSO an, dass das sAMAccountName-Attribut von AD die Anmelde-ID ist. Um sicherzustellen, dass die korrekte Anmelde-ID für SSO verwendet wird, müssen Sie die nachfolgend aufgeführten Konfigurationsschritte durchführen, wenn Sie die OpenLDAP- oder Winbind-Lösung verwenden.

  • Für OpenLDAP setzen Sie sAMAccountName auf uid.
  • Für Winbind fügen Sie die folgende Anweisung zur Konfigurationsdatei /etc/samba/smb.conf hinzu.
    winbind use default domain = true
Wenn Benutzer den Domänennamen angeben müssen, um sich anzumelden, müssen Sie die SSOUserFormat-Option auf dem Linux-Desktop angeben. Weitere Informationen finden Sie unter Bearbeiten von Konfigurationsdateien auf einem Linux-Desktop. SSO verwendet immer die Kurzform des Domänennamens in Großbuchstaben. Wenn zum Beispiel die Domäne mydomain.com ist, wird MYDOMAIN von SSO als Domänenname verwendet. Aus diesem Grund müssen Sie MYDOMAIN angeben, wenn Sie SSOUserFormat festlegen. In Bezug auf die Kurz- und Langformen von Domänennamen gelten die folgenden Regeln:
  • Für OpenLDAP müssen Sie die Kurzform der Domänennamen in Großbuchstaben verwenden.
  • Winbind unterstützt sowohl die Langform als auch die Kurzform der Domänennamen.

AD unterstützt Sonderzeichen in Anmeldenamen, Linux jedoch nicht. Deshalb dürfen Sie keine Sonderzeichen in Anmeldenamen verwenden, wenn Sie SSO einrichten.

Wenn in AD das UserPrincipalName-Attribut (UPN) und das sAMAccount-Attribut eines Benutzers nicht übereinstimmen und der Benutzer sich mit dem UPN anmeldet, schlägt SSO fehl. Wenn Sie beispielsweise einen Benutzer (juser in AD mycompany.com) haben, die Benutzer-UPN jedoch auf [email protected] anstelle von [email protected] festgelegt ist, schlägt SSO fehl. Zur Umgehung des Problems kann sich der Benutzer mit dem Namen anmelden, der in sAMAccount gespeichert ist. Beispiel: juser.

Horizon Agent erfordert nicht, dass beim Benutzernamen zwischen Groß- und Kleinschreibung unterschieden wird. Sie müssen sicherstellen, dass das Linux-Betriebssystem Benutzernamen verarbeiten kann, bei denen zwischen Groß- und Kleinschreibung unterschieden wird.
  • Für Winbind wird beim Benutzernamen standardmäßig zwischen Groß- und Kleinschreibung unterschieden.
  • Für OpenLDAP verwendet Ubuntu NSCD zur Authentifizierung von Benutzern, und es wird standardmäßig zwischen Groß- und Kleinschreibung unterschieden.
  • RHEL, Rocky Linux und CentOS verwenden SSSD zur Authentifizierung von Benutzern, wobei standardmäßig zwischen Groß- und Kleinschreibung unterschieden wird. Zum Ändern der Einstellung bearbeiten Sie die Datei /etc/sssd/sssd.conf und fügen Sie dem Abschnitt [domain/default] die folgende Zeile hinzu:
    case_sensitive = false

Verfügt die virtuelle Linux-Maschine über mehrere auf ihm installierte Desktop-Umgebungen, finden Sie Informationen zur Auswahl der bei aktivierter SSO-Funktion zu verwendenden Desktop-Umgebung im Abschnitt Desktop-Umgebung.