Konfigurieren der Smartcard-Umleitung auf einer RHEL- oder Rocky Linux 9.x-/8.x-VM

Um die Smartcard-Umleitung auf einer virtuellen RHEL oder Rocky Linux 9.x-/8.x-Maschine (VM) zu konfigurieren, installieren Sie die Bibliotheken, von denen die Funktion abhängt, und das Stammzertifikat der Zertifizierungsstelle (CA), um die vertrauenswürdige Authentifizierung von Smartcards zu unterstützen.

Voraussetzungen

Integrieren einer virtuellen RHEL- oder Rocky Linux 9.x-/8.x-VM mit Active Directory für die Smartcard-Umleitung
Stellen Sie sicher, dass Sie alle in Konfigurieren einer FIPS-kompatiblen Linux-Maschine beschriebenen Schritte ausgeführt haben, um die Smartcard-SSO-Funktion im FIPS-Modus zu verwenden. Sie müssen das vertrauenswürdige CA-Zertifikat für VMwareBlastServer zu /etc/vmware/ssl/rui.crt hinzufügen und den mit rui.crt gekoppelten Schlüssel zu /etc/vmware/ssl/rui.key hinzufügen.

Prozedur

Installieren Sie die erforderlichen Bibliotheken.

sudo yum install -y opensc pcsc-lite pcsc-lite-libs pcsc-lite-ccid nss-tools

Aktivieren Sie den pcscd-Dienst.

sudo systemctl enable pcscd
sudo systemctl start pcscd

Stellen Sie sicher, dass die Konfigurationsdatei /etc/sssd/sssd.conf die folgenden Zeilen enthält, die die Smartcard-Authentifizierung aktivieren.
```
[pam]
pam_cert_auth = True
```

Kopieren Sie das erforderliche CA-Zertifikat in /etc/sssd/pki/sssd_auth_ca_db.pem.

sudo openssl x509 -inform der -in certificate.cer -out certificate.pem
sudo cp certificate.pem /etc/sssd/pki/sssd_auth_ca_db.pem

Um den Status der Smartcard zu überprüfen, führen Sie die folgenden pkcs11-tool-Befehle aus und bestätigen Sie, dass diese die korrekte Ausgabe zurückgeben.
```
sudo pkcs11-tool -L

sudo pkcs11-tool --login -O

sudo pkcs11-tool --test --login
```
Um die Smartcard-SSO-Funktion und den VMware Greeter zu unterstützen, wenn SSO deaktiviert ist, konfigurieren Sie die Datei /etc/vmware/viewagent-greeter.conf. Siehe Bearbeiten von Konfigurationsdateien auf einem Linux-Desktop.
Installieren Sie das Paket Horizon Agent mit aktivierter Smartcard-Umleitung.
- Wenn Sie das Installationsprogramm .rpm verwenden:
  1. Führen Sie das Installationsprogramm aus, um Horizon Agent mit den Standardfunktionsoptionen zu installieren.
```
sudo rpm -ivh VMware-horizonagent-linux-YYMM-y.y.y-xxxxxxx.el8.x86_64.rpm
```
  2. Zum Hinzufügen der Smartcard-Umleitungsfunktion führen Sie das Skript ViewSetup.sh aus.
```
sudo /usr/lib/vmware/viewagent/bin/ViewSetup.sh -m yes
```
- Wenn Sie das Installationsprogramm .tar.gz verwenden, führen Sie das Installationsprogramm mit dem Parameter aus, um die Smartcard-Umleitung zu aktivieren:
```
sudo ./install_viewagent.sh -m yes
```
Hinweis: Wenn Sie eine Fehlermeldung erhalten, die Sie auffordert, die Standard-PC/SC-Lite-Bibliothek zu installieren, deinstallieren Sie die benutzerdefinierte PC/SC-Lite-Bibliothek, die derzeit auf der Maschine vorhanden ist, und installieren Sie die Standard-PC/SC-Lite-Bibliothek mithilfe des folgenden Befehls.
```
sudo yum reinstall pcsc-lite-libs pcsc-lite
```
Anschließend können Sie das Horizon Agent-Installationsprogramm ausführen.
Wenn Sie eine benutzerdefinierte PC/SC Lite-Bibliothek verwenden, konfigurieren Sie die Optionen pcscd.maxReaderContext und pcscd.readBody in der Datei /etc/vmware/config.
Siehe Bearbeiten von Konfigurationsdateien auf einem Linux-Desktop.
Starten Sie die virtuelle Maschine neu und melden Sie sich erneut an.