Para configurar Single Sign-On (SSO) y el redireccionamiento de tarjetas inteligentes, deben realizar algunos pasos de configuración.

Single Sign-On

El módulo Single Sign-On de Horizon View se comunica con los PAM (módulos de autenticación acoplable) de Linux y no depende del método que use para integrar Linux con Active Directory (AD). El SSO de Horizon View funciona con las soluciones OpenLDAP y Winbind que integran Linux con AD.

De forma predeterminada, SSO asume que el atributo sAMAccountName de AD es el ID de inicio de sesión. Si usa la solución OpenLDAP o la solución Winbind, debe realizar los siguientes pasos de configuración para asegurar que se use el ID de inicio de sesión correcto para SSO:

  • Para OpenLDAP, establezca sAMAccountName en uid.

  • Para Winbind, agregue la siguiente instrucción al archivo de configuración /etc/samba/smb.conf.

    winbind use default domain = true

Si los usuarios deben especificar el nombre de dominio para iniciar sesión, debe configurar la opción SSOUserFormat en el escritorio Linux. Si desea obtener más información, consulte Opciones de configuración en los archivos de configuración de un escritorio Linux. Tenga en cuenta que SSO siempre usa el nombre de dominio corto en mayúscula. Por ejemplo, si el dominio es mydomain.com, SSO usará MYDOMAIN como nombre de dominio. Por lo tanto, debe especificar MYDOMAIN cuando configure la opción SSOUserFormat. En cuanto a los nombres de dominio cortos y largos, se aplican las siguientes reglas:

  • Para OpenLDAP, debe usar nombres de dominio cortos en mayúscula.

  • Winbind admite nombres de dominio tanto cortos como largos.

AD admite caracteres especiales en los nombres de inicio de sesión, pero Linux no lo hace. Por lo tanto, no use caracteres especiales en los nombres de inicio de sesión cuando configure SSO.

En AD, si el atributo UserPrincipalName (UPN) y el atributo sAMAccount de un usuario no coinciden y el usuario inicia sesión con el UPN, SSO fallará. Una solución alternativa es que el usuario inicie sesión con el nombre almacenado en sAMAccount.

View no requiere que el nombre de usuario distinga entre mayúsculas y minúsculas. Debe asegurarse de que el sistema operativo Linux admita nombres de usuario que no distingan entre mayúsculas y minúsculas.

  • Winbind no distingue entre mayúsculas y minúsculas en el nombre de usuario de forma predeterminada.

  • Para OpenLDAP, Ubuntu usa NSCD para autenticar usuarios y distingue entre mayúsculas y minúsculas de forma predeterminada. RHEL y CentOS usan SSSD para autenticar usuarios y distingue entre mayúsculas y minúsculas de forma predeterminada. Para cambiar esta opción, edite el archivo /etc/sssd/sssd.conf y agregue la siguiente línea en la sección [domain/default]:

    case_sensitive = false

Para Ubuntu 16.04 o 14.04, configure UseGnomeFlashback=TRUE en el archivo /etc/vmware/viewagent-custom.conf o utilice el entorno de escritorio GNOME Flashback (Metacity).

Redireccionamiento de tarjetas inteligentes

Para configurar el redireccionamiento de tarjetas inteligentes, siga las instrucciones del distribuidor de Linux y del proveedor de la tarjeta inteligente. A continuación, actualice el paquete pcsc-lite a la versión 1.7.4. Por ejemplo, ejecute los siguientes comandos:

#yum groupinstall "Development tools"
#yum install libudev-devel
#service pcscd stop
#wget https://alioth.debian.org/frs/download.php/file/3598/pcsc-lite-1.7.4.tar.bz2
#tar -xjvf pcsc-lite-1.7.4.tar.bz2
#cd ./pcsc-lite-1.7.4
#./configure --prefix=/usr/ --libdir=/usr/lib64/ --enable-usbdropdir=/usr/lib64/pcsc/drivers
 --enable-confdir=/etc --enable-ipcdir=/var/run  --disable-libusb --disable-serial --disable-usb
 --disable-libudev
#make
#make install
#service pcscd start

Para Winbind, agregue la siguiente instrucción al archivo de configuración /etc/samba/smb.conf.

winbind use default domain = true

Cuando instale Horizon Agent, primero debe deshabilitar SELinux o habilitar el modo permisivo de SELinux. También debe seleccionar específicamente el componente de redireccionamiento de tarjetas inteligentes, ya que este no está seleccionado de forma predeterminada. Si desea obtener más información, consulte Opciones de la línea de comandos para install_viewagent.sh.

El SSO de tarjetas inteligentes está habilitado en Horizon View 7.0.1 o versiones posteriores. Además, si la función de redireccionamiento de tarjetas inteligentes está instalada en una máquina virtual, el redireccionamiento de USB de vSphere Client no funcionará con la tarjeta inteligente.

El redireccionamiento de tarjeta inteligente solo admite un lector de tarjetas inteligentes. Esta opción no funciona si se conectan dos o más lectores al dispositivo cliente.

El redireccionamiento de tarjeta inteligente solo admite que haya un certificado en la tarjeta. Si hay más de un certificado en la tarjeta, se usará el que esté en la primera ranura y el resto se ignorará. Esta es una limitación de Linux.

Nota:
  • Las tarjetas inteligentes admiten el siguiente valor de Winbind. Fallan tanto el inicio de sesión manual como el SSO de tarjeta inteligente.

    winbind use default domain=true
  • Cuando use el cliente Linux para autenticar el agente con una tarjeta PIV, operación admitida por el redireccionamiento de tarjetas inteligentes del escritorio Linux, debe agregar la configuración view.sslProtocolString = "TLSv1.1" para el cliente Linux en ~/.vmware/view-preferences para evitar el error SSL.