Um die True SSO-Funktion auf einer virtuellen SLED/SLES-Maschine (VM) zu aktivieren, installieren Sie die Bibliotheken, von denen die True SSO-Funktion abhängig ist, das Stammzertifikat der Zertifizierungsstelle (CA) für die vertrauenswürdige Authentifizierung und Horizon Agent. Außerdem müssen Sie einige Konfigurationsdateien bearbeiten, um des Einrichten der Authentifizierung abzuschließen.
Verwenden Sie das folgende Verfahren, um True SSO in SLED- oder SLES-VMs zu aktivieren.
Prozedur
- Installieren Sie die erforderlichen Pakete, indem Sie den folgenden Befehl ausführen.
sudo zypper install mozilla-nss-tools pam_krb5 krb5-client krb5-plugin-preauth-pkinit
- Installieren Sie das Stamm-CA-Zertifikat oder die Zertifikatskette.
- Suchen Sie das heruntergeladene Stamm-CA-Zertifikat oder die Zertifikatskette und übertragen Sie es in eine PEM-Datei.
sudo openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
- Erstellen Sie das Verzeichnis /etc/pki/nssdb für die Systemdatenbank.
sudo mkdir -p /etc/pki/nssdb
- Verwenden Sie den Befehl certutil, um das Stamm-CA-Zertifikat oder die Zertifikatskette in der Systemdatenbank /etc/pki/nssdb zu installieren.
Ersetzen Sie „root CA cert“ im folgenden Beispielbefehl durch den Namen des Stamm-CA-Zertifikats in der Systemdatenbank.
sudo certutil -A -d /etc/pki/nssdb -n "root CA cert" -t "CT,C,C" -i /tmp/certificate.pem
- Fügen Sie das Stamm-CA-Zertifikat zu pam_pkcs11 hinzu.
sudo cp /tmp/certificate.pem /etc/pki/ca-trust/source/anchors/ca_cert.pem
- Bearbeiten Sie die Konfigurationsdatei /etc/krb5.conf, sodass sie über Inhalte ähnlich dem folgenden Beispiel verfügt.
[libdefaults]
default_realm = MYDOMAIN.COM
dns_lookup_realm = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
default_ccache_name = KEYRING:persistent:%{uid}
[realms]
MYDOMAIN.COM = {
kdc = ads-hostname
admin_server = ads-hostname
pkinit_anchors = DIR:/etc/pki/ca-trust/source/anchors
pkinit_kdc_hostname = ADS-HOSTNAME
pkinit_eku_checking = kpServerAuth
}
[domain_realm]
.mydomain.com = MYDOMAIN.COM
mydomain.com = MYDOMAIN.COM
Hinweis: Darüber hinaus müssen Sie die Dateiberechtigungen auf
644
für
/etc/krb5.conf festlegen. Andernfalls funktioniert die Funktion True SSO möglicherweise nicht.
Ersetzen Sie die Platzhalterwerte des Beispiels durch spezifische Informationen für Ihre Netzwerkkonfiguration, wie in der folgenden Tabelle gezeigt.
Platzhalterwert |
Beschreibung |
mydomain.com |
DNS-Name Ihrer Active Directory-Domäne |
MYDOMAIN.COM |
DNS-Name Ihrer Active Directory-Domäne (in Großbuchstaben) |
ads-hostname |
Hostname Ihres AD-Servers |
ADS-HOSTNAME |
Hostname Ihres AD-Servers (in Großbuchstaben) |
- Installieren Sie das Paket Horizon Agent mit aktiviertem True SSO.
sudo ./install_viewagent.sh -T yes
- Fügen Sie den folgenden Parameter zur benutzerdefinierten Horizon Agent-Konfigurationsdatei /etc/vmware/viewagent-custom.conf hinzu. Verwenden Sie die folgende Syntax, wobei NETBIOS_NAME_OF_DOMAIN der NetBIOS-Name der Domäne Ihrer Organisation ist.
NetbiosDomain=NETBIOS_NAME_OF_DOMAIN
Hinweis: Verwenden Sie immer den langen Namen der NetBIOS-Domäne, wie z. B.
LXD.VDI
. Wenn Sie den kurzen Namen verwenden, z. B.
LXD
, funktioniert die True SSO-Funktion nicht.
- Starten Sie die VM neu und melden Sie sich erneut an.