Para admitir True SSO en un escritorio RHEL/CentOS 8.x, primero debe integrar el sistema con su dominio de Active Directory (AD). A continuación, debe modificar algunas configuraciones en el sistema para admitir la función True SSO.

Para poder usar True SSO en un escritorio RHEL/CentOS 8.1, debe instalar Horizon Agent 7.12 o una versión posterior.

Para poder usar True SSO en un escritorio RHEL/CentOS 8.0, debe instalar Horizon Agent 7.11 o una versión posterior.

Nota: True SSO no se admite en escritorios RHEL 8.x de clones instantáneos.

Algunos ejemplos incluidos en el procedimiento utilizan valores de marcador de posición para representar entidades en su configuración de red, como el nombre de DNS de su dominio de AD. Reemplace los valores de marcador de posición con información específica de su configuración, tal y como se describe en la siguiente tabla.

Valor del marcador de posición Descripción
midominio.com Nombre DNS de su dominio de AD
MIDOMINIO.COM Nombre DNS de su dominio de AD, en mayúsculas
MIDOMINIO Nombre del dominio NetBIOS

Requisitos previos

  • Compruebe que el servidor de Active Directory (AD) se puede resolver mediante el DNS en el sistema RHEL/CentOS 8.x.
  • Configure el nombre de host del sistema.
  • Configure el protocolo de tiempo de redes (NTP) en el sistema.

Procedimiento

  1. En el sistema RHEL/CentOS 8.x, compruebe la conexión de red con Active Directory. 
    # realm discover midominio.com
  2. Instale los paquetes de dependencia necesarios. 
    # yum install oddjob oddjob-mkhomedir sssd adcli samba-common-tools
  3. Únase al dominio de AD. 
    # realm join --verbose midominio.com -U administrator
  4. Descargue el certificado de CA raíz y cópielo en el directorio requerido como un archivo .pem. 
    # openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem

# cp /tmp/certificate.pem /etc/sssd/pki/sssd_auth_ca_db.pem
  5. Modifique el archivo de configuración /etc/sssd/sssd.conf, tal como se muestra en el siguiente ejemplo. 
    [sssd]
domains = midominio.com
config_file_version = 2
services = nss, pam
 
[domain/mydomain.com]
ad_domain = midominio.com
krb5_realm = IMIDOMINIO.COM
realmd_tags = manages-system joined-with-adcli
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = False        <---------------- Use short name for user
fallback_homedir = /home/%u@%d
access_provider = ad
ad_gpo_map_interactive = +gdm-vmwcred    <---------------- Add this line for SSO
 
[pam]                                    <---------------- Add pam section for certificate logon
pam_cert_auth = True                     <---------------- Add this line to enable certificate logon for system
pam_p11_allowed_services = +gdm-vmwcred  <---------------- Add this line to enable certificate logon for VMware Horizon Agent
 
[certmap/midominio.com/truesso]          <---------------- Add this section and following lines to set match and map rule for certificate user
matchrule = <EKU>msScLogin
maprule = (|(userPrincipal={subject_principal})(samAccountName={subject_principal.short_name}))
domains = midominio.com
priority = 10
  6. Instale el paquete Horizon Agent con True SSO habilitado. 
    # sudo ./install_viewagent.sh -T yes
    Nota: Para usar la función True SSO, debe instalar la versión de Horizon Agent correspondiente a su distribución Linux, tal como se describe en la siguiente tabla.
    Distribución de Linux Horizon Agent
    RHEL/CentOS 8.1 Horizon Agent 7.12 o versiones posteriores
    RHEL/CentOS 8.0 Horizon Agent 7.11 o versiones posteriores
  7. Modifique el archivo de configuración /etc/vmware/viewagent-custom.conf para que incluya la siguiente línea. 
    NetbiosDomain = MIDOMINIO
  8. Reinicie el sistema y vuelva a iniciar sesión.