Um die True SSO-Funktion auf einer virtuellen SLED/SLES-Maschine (VM) zu aktivieren, installieren Sie die Bibliotheken, von denen die True SSO-Funktion abhängig ist, das Stammzertifikat der Zertifizierungsstelle (CA) für die vertrauenswürdige Authentifizierung und Horizon Agent. Außerdem müssen Sie einige Konfigurationsdateien bearbeiten, um des Einrichten der Authentifizierung abzuschließen.

Verwenden Sie das folgende Verfahren, um True SSO in SLED- oder SLES-VMs zu aktivieren.

Voraussetzungen

  • Konfigurieren Sie True SSO für Workspace ONE Access und Horizon Connection Server.
  • Führen Sie die unter Integrieren einer SLED/SLES-VM mit Active Directory für True SSO aufgeführten Schritte aus.
  • Fordern Sie ein Stamm-CA-Zertifikat an und speichern Sie es im Ordner /tmp/certificate.cer auf der SLED/SLES-VM. Siehe How to export Root Certification Authority Certificate.

    Wenn es sich bei einer untergeordneten CA auch um eine ausstellende Stelle handelt, rufen Sie die gesamte Kette der Stamm- und untergeordneten CA-Zertifikate ab und speichern Sie sie im Ordner /tmp/certificate.cer auf der VM.

Prozedur

  1. Installieren Sie die erforderlichen Pakete, indem Sie den folgenden Befehl ausführen.
    sudo zypper install mozilla-nss-tools pam_krb5 krb5-client krb5-plugin-preauth-pkinit
  2. Installieren Sie das Stamm-CA-Zertifikat oder die Zertifikatskette.
    1. Suchen Sie das heruntergeladene Stamm-CA-Zertifikat oder die Zertifikatskette und übertragen Sie es in eine PEM-Datei.
      sudo openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
    2. Erstellen Sie das Verzeichnis /etc/pki/nssdb für die Systemdatenbank.
      sudo mkdir -p /etc/pki/nssdb
    3. Verwenden Sie den Befehl certutil, um das Stamm-CA-Zertifikat oder die Zertifikatskette in der Systemdatenbank /etc/pki/nssdb zu installieren.
      Ersetzen Sie „root CA cert“ im folgenden Beispielbefehl durch den Namen des Stamm-CA-Zertifikats in der Systemdatenbank.
      sudo certutil -A -d /etc/pki/nssdb -n "root CA cert" -t "CT,C,C" -i /tmp/certificate.pem
      
    4. Fügen Sie das Stamm-CA-Zertifikat zu pam_pkcs11 hinzu.
      sudo cp /tmp/certificate.pem /etc/pki/ca-trust/source/anchors/ca_cert.pem
  3. Bearbeiten Sie die Konfigurationsdatei /etc/krb5.conf, sodass sie über Inhalte ähnlich dem folgenden Beispiel verfügt.
    [libdefaults]
          default_realm = MYDOMAIN.COM
          dns_lookup_realm = false
          ticket_lifetime = 24h
          renew_lifetime = 7d
          forwardable = true
          rdns = false
          default_ccache_name = KEYRING:persistent:%{uid}
    
    [realms]
          MYDOMAIN.COM = {
                kdc = ads-hostname
                admin_server = ads-hostname 
                pkinit_anchors = DIR:/etc/pki/ca-trust/source/anchors
                pkinit_kdc_hostname = ADS-HOSTNAME
                pkinit_eku_checking = kpServerAuth
          }
    
    [domain_realm]
          .mydomain.com = MYDOMAIN.COM
          mydomain.com = MYDOMAIN.COM
    
    Hinweis: Darüber hinaus müssen Sie die Dateiberechtigungen auf 644 für /etc/krb5.conf festlegen. Andernfalls funktioniert die Funktion True SSO möglicherweise nicht.
    Ersetzen Sie die Platzhalterwerte des Beispiels durch spezifische Informationen für Ihre Netzwerkkonfiguration, wie in der folgenden Tabelle gezeigt.
    Platzhalterwert Beschreibung
    mydomain.com DNS-Name Ihrer Active Directory-Domäne
    MYDOMAIN.COM DNS-Name Ihrer Active Directory-Domäne (in Großbuchstaben)
    ads-hostname Hostname Ihres AD-Servers
    ADS-HOSTNAME Hostname Ihres AD-Servers (in Großbuchstaben)
  4. Installieren Sie das Paket Horizon Agent mit aktiviertem True SSO.
    sudo ./install_viewagent.sh -T yes
  5. Fügen Sie den folgenden Parameter zur benutzerdefinierten Horizon Agent-Konfigurationsdatei /etc/vmware/viewagent-custom.conf hinzu. Verwenden Sie die folgende Syntax, wobei NETBIOS_NAME_OF_DOMAIN der NetBIOS-Name der Domäne Ihrer Organisation ist.
    NetbiosDomain=NETBIOS_NAME_OF_DOMAIN
    Hinweis: Verwenden Sie immer den langen Namen der NetBIOS-Domäne, wie z. B. LXD.VDI. Wenn Sie den kurzen Namen verwenden, z. B. LXD, funktioniert die True SSO-Funktion nicht.
  6. Starten Sie die VM neu und melden Sie sich erneut an.