Configurar True SSO en escritorios Ubuntu

Para habilitar la función True SSO en un escritorio Ubuntu, instale las bibliotecas de las que depende la función True SSO, el certificado de CA raíz para poder usar la autenticación de confianza, y Horizon Agent. Además, debe editar algunos archivos de configuración para completar la configuración de autenticación.

Utilice el siguiente procedimiento para habilitar True SSO en escritorios Ubuntu. Para soportar True SSO en estos escritorios, debe instalar Horizon Agent 7.8 o una versión posterior.

Requisitos previos

Configure True SSO para VMware Identity Manager y Horizon Connection Server.
Integrar escritorios Ubuntu con Active Directory para True SSO
Obtenga un certificado raíz firmado por una entidad de certificación y guárdelo en la carpeta /tmp/certificate.cer de su escritorio. Consulte la sección Cómo exportar el certificado raíz firmado por una entidad de certificación.

Procedimiento

En su escritorio Ubuntu, instale el paquete de soporte de pkcs11.
```
sudo apt install libpam-pkcs11
```
Instale el paquete para libnss3-tools.
```
sudo apt install libnss3-tools
```
Instale un certificado de una entidad de certificación (CA) raíz.
1. Busque el certificado de CA raíz que descargó y transfiéralo a un archivo .pem.
```
openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
```
2. Cree el directorio /etc/pki/nssdb para contener la base de datos del sistema.
```
sudo mkdir -p /etc/pki/nssdb
```
3. El comando certutil le permitirá instalar el certificado CA raíz en la base de datos del sistema /etc/pki/nssdb.
```
sudo certutil -A -d /etc/pki/nssdb -n "root CA cert" -t "CT,C,C" -i /tmp/certificate.pem
```
4. Copie el certificado de CA raíz en el directorio /etc/pam_pkcs11/cacerts.
```
mkdir -p /etc/pam_pkcs11/cacerts

sudo cp /tmp/certificate.pem /etc/pam_pkcs11/cacerts
```
5. Cree un vínculo hash para el certificado de CA raíz. En el directorio /etc/pam_pkcs11/cacerts, ejecute el siguiente comando.
```
pkcs11_make_hash_link
```
Instale el paquete Horizon Agent con True SSO habilitado.
```
sudo ./install_viewagent.sh -T yes
```
Nota: Para utilizar la función True SSO, debe instalar Horizon Agent 7.8 o una versión posterior.
Agregue el siguiente parámetro al archivo de configuración personalizada de Horizon Agent /etc/vmware/viewagent-custom.conf. Utilice el siguiente ejemplo, donde NOMBRE_NETBIOS_DEL_DOMINIO es el nombre de NetBIOS del dominio de su organización.
```
NetbiosDomain=NETBIOS_NAME_OF_DOMAIN
```
Edite el archivo de configuración /etc/pam_pkcs11/pam_pkcs11.conf.
1. Si es necesario, cree el archivo de configuración /etc/pam_pkcs11/pam_pkcs11.conf. Busque el archivo de ejemplo en /usr/share/doc/libpam-pkcs11/examples, cópielo en el directorio /etc/pam_pkcs11 y cámbiele el nombre por pam_pkcs11.conf. Añada la información de su sistema al contenido del archivo según sea necesario.
2. Modifique el archivo de configuración /etc/pam_pkcs11/pam_pkcs11.conf para que incluya contenido similar al siguiente ejemplo.
Nota: Para Ubuntu 20.04, anexe ms al final de la línea use_mappers.
```
use_pkcs11_module = coolkey;
pkcs11_module coolkey {
  module = /usr/lib/vmware/viewagent/sso/libvmwpkcs11.so;
  slot_num = 0;
  ca_dir = /etc/pam_pkcs11/cacerts;
  nss_dir = /etc/pki/nssdb;
}

mapper ms {
  debug = false;
  module = internal;
  # module = /usr/$LIB/pam_pkcs11/ms_mapper.so;
  ignorecase = false;
  # ignore domain name
  ignoredomain = true;
  domain = "DOMAIN.COM"; #<== Replace "DOMAIN.COM" with your organization's domain name
}

use_mappers = digest, cn, pwent, uid, mail, subject, null, ms;  #<== For Ubuntu 20.04, append "ms" at end of use_mappers
```
Modifique los parámetros auth en el archivo de configuración PAM.
1. Abra el archivo de configuración PAM.
  - En Ubuntu 16.04, abra /etc/pam.d/lightdm.
  - En Ubuntu 20.04/18.04, abra /etc/pam.d/gdm-vmwcred.
2. Edite el archivo de configuración PAM, tal y como se muestra en el ejemplo siguiente.
```
auth requisite pam_vmw_cred.so
auth sufficient pam_pkcs11.so try_first_pass
```
Reinicie el sistema y vuelva a iniciar sesión.