Um die True SSO-Funktion auf einer virtuellen RHEL/CentOS 7.x-Maschine (VM) zu aktivieren, installieren Sie die Bibliotheken, von denen die True SSO-Funktion abhängig ist, das Stammzertifikat der Zertifizierungsstelle (CA) für die vertrauenswürdige Authentifizierung und Horizon Agent. Außerdem müssen Sie einige Konfigurationsdateien bearbeiten, um des Einrichten der Authentifizierung abzuschließen.
Verwenden Sie das folgende Verfahren, um True SSO auf RHEL 7.x- oder CentOS 7.x-VMs zu aktivieren.
In einigen der Beispiele im Verfahren werden Platzhalterwerte verwendet, um Entitäten in Ihrer Netzwerkkonfiguration darzustellen, z. B. den DNS-Namen Ihrer Active Directory-Domäne. Ersetzen Sie die Platzhalterwerte durch spezifische Informationen für Ihre Konfiguration, wie in der folgenden Tabelle gezeigt.
Platzhalterwert |
Beschreibung |
dns_server |
Pfad zu Ihrem DNS-Namenserver |
mydomain.com |
DNS-Name Ihrer Active Directory-Domäne |
MYDOMAIN.COM |
DNS-Name Ihrer Active Directory-Domäne in Großbuchstaben |
Prozedur
- Installieren Sie die PKCS11-Support-Paket-Gruppe.
sudo yum install -y nss-tools nss-pam-ldapd pam_krb5 krb5-libs krb5-workstation krb5-pkinit
- Installieren Sie das Stamm-CA-Zertifikat oder die Zertifikatskette.
- Suchen Sie das heruntergeladene Stamm-CA-Zertifikat oder die Zertifikatskette und übertragen Sie es in eine PEM-Datei.
sudo openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
- Erstellen Sie das Verzeichnis /etc/pki/nssdb für die Systemdatenbank.
sudo mkdir -p /etc/pki/nssdb
- Verwenden Sie den Befehl certutil, um das Stamm-CA-Zertifikat oder die Zertifikatskette in der Systemdatenbank /etc/pki/nssdb zu installieren.
Ersetzen Sie „root CA cert“ im folgenden Beispielbefehl durch den Namen des Stamm-CA-Zertifikats in der Systemdatenbank.
sudo certutil -A -d /etc/pki/nssdb -n "root CA cert" -t "CT,C,C" -i /tmp/certificate.pem
- Fügen Sie das Stamm-CA-Zertifikat oder die Zertifikatskette zur Liste der vertrauenswürdigen CA-Zertifikate auf Ihrer RHEL/CentOS 7.x-VM hinzu und aktualisieren Sie die systemweite Trust Store-Konfiguration mit dem Befehl update-ca-trust.
sudo cp /tmp/certificate.pem /etc/pki/ca-trust/source/anchors/ca_cert.pem
sudo update-ca-trust
- Ändern Sie den entsprechenden Abschnitt in der SSSD-Konfigurationsdatei Ihres Systems für Ihre Domäne, wie im folgenden Beispiel.
[domain/mydomain.com]
ad_domain = mydomain.com
krb5_realm = MYDOMAIN.COM
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
#set the next line to false, so you can use the short name instead of the full domain name.
use_fully_qualified_names = False
fallback_homedir = /home/%u@%d
access_provider = ad
- Ändern Sie die Kerberos-Konfigurationsdatei /etc/krb5.conf, wie im folgenden Beispiel.
[libdefaults]
dns_lookup_realm = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
default_ccache_name = KEYRING:persistent:%{uid}
# Add following line, if the system doesn't add it automatically
default_realm = MYDOMAIN.COM
[realms]
MYDOMAIN.COM = {
kdc = dns_server
admin_server = dns_server
# Add the following three lines for pkinit_*
pkinit_anchors = DIR:/etc/pki/ca-trust/source/anchors
pkinit_kdc_hostname = your_org_DNS_server
pkinit_eku_checking = kpServerAuth
}
[domain_realm]
mydomain.com = MYDOMAIN.COM
.mydomain.com = MYDOMAIN.COM
Hinweis: Außerdem müssen Sie in
/etc/krb5.conf den Modus gleich
644
festlegen. Andernfalls funktioniert die Funktion True SSO möglicherweise nicht.
- Installieren Sie das Paket Horizon Agent mit aktiviertem True SSO.
sudo ./install_viewagent.sh -T yes
- Fügen Sie den folgenden Parameter zur benutzerdefinierten Horizon Agent-Konfigurationsdatei /etc/vmware/viewagent-custom.conf hinzu. Verwenden Sie das folgende Beispiel, in dem NETBIOS_NAME_OF_DOMAIN der NetBIOS-Name der Domäne Ihrer Organisation ist.
NetbiosDomain=NETBIOS_NAME_OF_DOMAIN
- Starten Sie die VM neu und melden Sie sich erneut an.