Para habilitar la función True SSO en un escritorio RHEL/CentOS 7.x, instale las bibliotecas de las que depende la función True SSO, el certificado de CA raíz para poder usar la autenticación de confianza, y Horizon Agent. Además, debe editar algunos archivos de configuración para completar la configuración de autenticación.
Utilice el siguiente procedimiento para habilitar True SSO en escritorios RHEL 7.x y CentOS 7.x. Para soportar True SSO en estos escritorios, debe instalar Horizon Agent 7.6 o una versión posterior.
Algunos ejemplos incluidos en el procedimiento utilizan valores de marcador de posición para representar entidades en su configuración de red, como el nombre de DNS de su dominio de AD. Reemplace los valores de marcador de posición con información específica de su configuración, tal y como se describe en la siguiente tabla.
| Valor del marcador de posición |
Descripción |
| servidor_dns |
Ruta de acceso a su servidor de nombres DNS |
| midominio.com |
Nombre DNS de su dominio de AD |
| MIDOMINIO.COM |
Nombre DNS de su dominio de AD, en mayúsculas |
Procedimiento
- Instale el grupo de paquete de soporte PKCS11.
yum install -y nss-tools nss-pam-ldapd pam_krb5 krb5-libs krb5-workstation krb5-pkinit
- Instale un certificado de una entidad de certificación (CA) raíz.
- Busque el certificado de CA raíz que descargó y transfiéralo a un archivo .pem.
openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
- El comando certutil le permitirá instalar el certificado CA raíz en la base de datos del sistema /etc/pki/nssdb.
certutil -A -d /etc/pki/nssdb -n "root CA cert" -t "CT,C,C" -i /tmp/certificate.pem
- Agregue el certificado CA raíz a la lista de certificados CA de confianza del sistema RHEL o CentOS 7.x y actualice la configuración del almacén de confianza de todo el sistema mediante el comando update-ca-trust.
cp /tmp/certificate.pem /etc/pki/ca-trust/source/anchors/ca_cert.pem
update-ca-trust
- Modifique la sección correspondiente en el archivo de configuración SSSD de su sistema, tal como se muestra en este ejemplo.
[domain/midominio.com]
ad_domain = midominio.com
krb5_realm = MIDOMINIO.COM
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
#set the next line to false, so you can use the short name instead of the full domain name.
use_fully_qualified_names = False
fallback_homedir = /home/%u@%d
access_provider = ad
- Modifique el archivo de configuración de Kerberos /etc/krb5.conf/, tal y como se muestra en el ejemplo siguiente.
[libdefaults]
dns_lookup_realm = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
default_ccache_name = KEYRING:persistent:%{uid}
# Add following line, if the system doesn't add it automatically
default_realm = MIDOMINIO.COM
[realms]
MIDOMINIO.COM = {
kdc = servidor_dns
admin_server = servidor_dns
# Add the following three lines for pkinit_*
pkinit_anchors = DIR:/etc/pki/ca-trust/source/anchors
pkinit_kdc_hostname = servidor_DNS_de_tu_organización
pkinit_eku_checking = kpServerAuth
}
[domain_realm]
midominio.com = MIDOMINIO.COM
.midominio.com = MIDOMINIO.COM
- Instale el paquete Horizon Agent con True SSO habilitado.
sudo ./install_viewagent.sh -T yes
Nota: Debe instalar
Horizon Agent 7.6 o una versión posterior.
- Agregue el siguiente parámetro al archivo de configuración personalizada de Horizon Agent /etc/vmware/viewagent-custom.conf. Utilice el siguiente ejemplo, donde NOMBRE_NETBIOS_DEL_DOMINIO es el nombre de NetBIOS del dominio de su organización.
NetbiosDomain=NOMBRE_NETBIOS_DEL_DOMINIO
- Reinicie el sistema y vuelva a iniciar sesión.
