Configurar True SSO en escritorios SLED/SLES

Para habilitar la función True SSO en un escritorio SLED/SLES, instale las bibliotecas de las que depende la función True SSO, el certificado de CA raíz para poder usar la autenticación de confianza, y Horizon Agent. Además, debe editar algunos archivos de configuración para completar la configuración de autenticación.

Utilice el siguiente procedimiento para habilitar True SSO en escritorios SLED/ SLES.

Requisitos previos

Configure True SSO para VMware Identity Manager y Horizon Connection Server.
Integrar un escritorio SLED/SLES con Active Directory para True SSO
Obtenga un certificado raíz firmado por una entidad de certificación y guárdelo en la carpeta /tmp/certificate.cer de su escritorio. Consulte la sección Cómo exportar el certificado raíz firmado por una entidad de certificación.

Procedimiento

Para SLES 12.x SP3/SP5, instale los paquetes necesarios ejecutando el siguiente comando.
```
zypper install mozilla-nss-tools pam_krb5 krb5-client krb5-plugin-preauth-pkinit
```
Para SLED 12.x SP3, instale los paquetes necesarios siguiendo estos pasos.
1. Descargue un archivo un archivo .iso SLES en el disco local del escritorio SLED (por ejemplo, /tmp/SLE-12-SP3-Server-DVD-x86_64-GM-DVD1.iso).
  Debe añadir el archivo .iso SLES como origen de paquete de tu escritorio SLED, ya que el paquete necesario krb5-plugin-preauth-pkinit solo está disponible para sistemas SLES.
2. Monte el archivo .iso SLES en su escritorio SLED e instale los paquetes necesarios.
```
sudo mkdir -p /mnt/sles
sudo mount -t iso9660 /tmp/SLE-12-SP3-Server-DVD-x86_64-GM-DVD1.iso /mnt/sles
sudo zypper ar -f /mnt/sles sles
zypper install mozilla-nss-tools pam_krb5 krb5-client krb5-plugin-preauth-pkinit
```
3. Una vez completada la instalación, desmonte el archivo .iso SLES.
```
sudo unmount /mnt/sles
```
Instale un certificado de una entidad de certificación (CA) raíz.
1. Busque el certificado de CA raíz que descargó y transfiéralo a un archivo .pem.
```
openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
```
2. El comando certutil le permitirá instalar el certificado CA raíz en la base de datos del sistema /etc/pki/nssdb.
```
certutil -A -d /etc/pki/nssdb -n "root CA cert" -t "CT,C,C" -i /tmp/certificate.pem
```
3. Añada el certificado de CA raíz a pam_pkcs11.
```
cp /tmp/certificate.pem /etc/pki/ca-trust/source/anchors/ca_cert.pem
```

Edite el archivo de configuración /etc/krb5.conf de manera que tenga un contenido similar al del ejemplo siguiente.

[libdefaults]
      default_realm = MIDOMINIO.COM
      dns_lookup_realm = false
      ticket_lifetime = 24h
      renew_lifetime = 7d
      forwardable = true
      rdns = false
      default_ccache_name = KEYRING:persistent:%{uid}

[realms]
      MIDOMINIO.COM = {
            kdc = nombredehost-ads
            admin_server = nombredehost-ads 
            pkinit_anchors = DIR:/etc/pki/ca-trust/source/anchors
            pkinit_kdc_hostname = nombredehost-ads
            pkinit_eku_checking = kpServerAuth
      }

[domain_realm]
      .midominio.com = MIDOMINIO.COM
      midominio.com = MIDOMINIO.COM

Reemplace los valores de marcador de posición del ejemplo con información específica de su configuración de red, tal y como se describe en la siguiente tabla.


Valor del marcador de posición	Descripción
midominio.com	Nombre DNS de su dominio de AD
MIDOMINIO.COM	Nombre DNS de su dominio de AD (en mayúsculas)
nombredehost-ads	Nombre de host del servidor de AD (distingue entre mayúsculas y minúsculas)

Instale el paquete Horizon Agent con True SSO habilitado.
```
sudo ./install_viewagent.sh -T yes
```
Agregue el siguiente parámetro al archivo de configuración personalizada de Horizon Agent /etc/vmware/viewagent-custom.conf. Utilice el siguiente ejemplo, donde NOMBRE_NETBIOS_DEL_DOMINIO es el nombre de NetBIOS del dominio de su organización.
```
NetbiosDomain=NOMBRE_NETBIOS_DEL_DOMINIO
```
Reinicie el sistema y vuelva a iniciar sesión.