Para configurar Single Sign-On (SSO), se deben realizar algunos pasos de configuración.

El módulo Single Sign-On de Horizon se comunica con los PAM (módulos de autenticación acoplable) de Linux y no depende del método que use para integrar Linux con Active Directory (AD). El SSO de Horizon funciona con las soluciones OpenLDAP y Winbind que integran Linux con AD.

De forma predeterminada, SSO asume que el atributo sAMAccountName de AD es el ID de inicio de sesión. Si usa la solución OpenLDAP o la solución Winbind, debe realizar los siguientes pasos de configuración para asegurar que se use el ID de inicio de sesión correcto para SSO:

  • Para OpenLDAP, establezca sAMAccountName en uid.
  • Para Winbind, agregue la siguiente instrucción al archivo de configuración /etc/samba/smb.conf.
    winbind use default domain = true
Si los usuarios deben especificar el nombre de dominio para iniciar sesión, debe configurar la opción SSOUserFormat en el escritorio Linux. Si desea obtener más información, consulte Opciones de configuración en los archivos de configuración de un escritorio Linux. SSO siempre usa el nombre de dominio corto en mayúscula. Por ejemplo, si el dominio es mydomain.com, SSO usa MYDOMAIN como nombre de dominio. Por lo tanto, debe especificar MYDOMAIN cuando configure la opción SSOUserFormat. En cuanto a los nombres de dominio cortos y largos, se aplican las siguientes reglas:
  • Para OpenLDAP, debe usar nombres de dominio cortos en mayúscula.
  • Winbind admite nombres de dominio tanto cortos como largos.

AD admite caracteres especiales en los nombres de inicio de sesión, pero Linux no lo hace. Por lo tanto, no use caracteres especiales en los nombres de inicio de sesión cuando configure SSO.

En AD, si el atributo UserPrincipalName (UPN) y el atributo sAMAccount de un usuario no coinciden y el usuario inicia sesión con el UPN, se producirá un error en SSO. Por ejemplo, si tiene un usuario, juser en mycompany.com de AD, pero la UPN del usuario está configurada como [email protected] en lugar de [email protected], se producirá un error en SSO. Una solución alternativa es que el usuario inicie sesión con el nombre almacenado en sAMAccount. Por ejemplo, juser.

Horizon 7 no requiere que el nombre de usuario distinga entre mayúsculas y minúsculas. Debe asegurarse de que el sistema operativo Linux admita nombres de usuario que no distingan entre mayúsculas y minúsculas.
  • Winbind no distingue entre mayúsculas y minúsculas en el nombre de usuario de forma predeterminada.
  • Para OpenLDAP, Ubuntu usa NSCD para autenticar usuarios y distingue entre mayúsculas y minúsculas de forma predeterminada. RHEL y CentOS usan SSSD para autenticar usuarios y distingue entre mayúsculas y minúsculas de forma predeterminada. Para cambiar esta opción, edite el archivo /etc/sssd/sssd.conf y agregue la siguiente línea en la sección [domain/default]:
    case_sensitive = false

Si el escritorio Linux tiene varios entornos de escritorio instalado, consulte Entorno de escritorios para seleccionar el entorno de escritorio que se usará con SSO.