Configurar True SSO en escritorios Ubuntu

Para habilitar la función True SSO en un escritorio Ubuntu 16.04 o 18.04, instale las bibliotecas de las que depende la función True SSO, el certificado de CA raíz para poder usar la autenticación de confianza, y Horizon Agent. Además, debe editar algunos archivos de configuración para completar la configuración de autenticación.

Utilice el siguiente procedimiento para habilitar True SSO en escritorios Ubuntu 16.04 y 18.04. Para soportar True SSO en estos escritorios, debe instalar Horizon Agent 7.8 o una versión posterior.

Requisitos previos

Configure True SSO para VMware Identity Manager y Horizon Connection Server.
Integrar escritorios Ubuntu con Active Directory para True SSO
Obtenga un certificado raíz firmado por una entidad de certificación y guárdelo en la carpeta /tmp/certificate.cer de su escritorio. Consulte la sección Cómo exportar el certificado raíz firmado por una entidad de certificación.

Procedimiento

En su escritorio Ubuntu 16.04 o 18.04, instale el paquete de soporte pkcs11.
```
sudo apt install libpam-pkcs11
```
Instale el paquete para libnss3-tools.
```
sudo apt install libnss3-tools
```
Instale un certificado de una entidad de certificación (CA) raíz.
1. Busque el certificado de CA raíz que descargó y transfiéralo a un archivo .pem.
```
openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
```
2. El comando certutil le permitirá instalar el certificado CA raíz en la base de datos del sistema /etc/pki/nssdb.
```
certutil -A -d /etc/pki/nssdb -n "root CA cert" -t "CT,C,C" -i /tmp/certificate.pem
```
3. Copie el certificado de CA raíz en el directorio /etc/pam_pkcs11/cacerts.
```
mkdir -p /etc/pam_pkcs11/cacerts

cp /tmp/certificate.pem /etc/pam_pkcs11/cacerts
```
4. Cree un vínculo hash para el certificado de CA raíz. En el directorio /etc/pam_pkcs11/cacerts, ejecute el siguiente comando.
```
pkcs11_make_hash_link
```
Instale el paquete Horizon Agent con True SSO habilitado.
```
sudo ./install_viewagent.sh -T yes
```
Nota: Para utilizar la función True SSO, debe instalar Horizon Agent 7.8 o una versión posterior.
Agregue el siguiente parámetro al archivo de configuración personalizada de Horizon Agent/etc/vmware/viewagent-custom.conf. Utilice el siguiente ejemplo, donde NOMBRE_NETBIOS_DEL_DOMINIO es el nombre de NetBIOS del dominio de su organización.
```
NetbiosDomain=NOMBRE_NETBIOS_DEL_DOMINIO
```
Edite el archivo de configuración /etc/pam_pkcs11/pam_pkcs11.conf.
1. Si es necesario, cree el archivo de configuración /etc/pam_pkcs11/pam_pkcs11.conf. Busque el archivo de ejemplo en /usr/share/doc/libpam-pkcs11/examples, cópielo en el directorio /etc/pam_pkcs11 y cámbiele el nombre por pam_pkcs11.conf. Añada la información de su sistema al contenido del archivo según sea necesario.
2. Modifique el archivo de configuración /etc/pam_pkcs11/pam_pkcs11.conf para que incluya contenido similar al siguiente ejemplo.
```
use_pkcs11_module = coolkey;
pkcs11_module coolkey {
  module = /usr/lib/vmware/viewagent/sso/libvmwpkcs11.so;
  slot_num = 0;
  ca_dir = /etc/pam_pkcs11/cacerts;
  nss_dir = /etc/pki/nssdb;
}
```
Modifique los parámetros auth en el archivo de configuración PAM.
1. Abra el archivo de configuración PAM.
  - En Ubuntu 16.04, abra /etc/pam.d/lightdm.
  - En Ubuntu 18.04, abra /etc/pam.d/gdm-vmwcred.
2. Edite el archivo de configuración PAM, tal y como se muestra en el ejemplo siguiente.
```
auth requisite pam_vmw_cred.so
auth sufficient pam_pkcs11.so try_first_pass
```
Reinicie el sistema y vuelva a iniciar sesión.