Para habilitar la función True SSO en una máquina virtual RHEL/CentOS 7.x, instale las bibliotecas de las que depende la función True SSO, el certificado de CA raíz para poder usar la autenticación de confianza, y Horizon Agent. Además, debe editar algunos archivos de configuración para completar la configuración de autenticación.
Utilice el siguiente procedimiento para habilitar True SSO en una máquina virtual RHEL 7.x o CentOS 7.x.
Algunos ejemplos incluidos en el procedimiento utilizan valores de marcador de posición para representar entidades en su configuración de red, como el nombre de DNS de su dominio de AD. Reemplace los valores de marcador de posición con información específica de su configuración, tal y como se describe en la siguiente tabla.
Valor del marcador de posición |
Descripción |
servidor_dns |
Ruta de acceso a su servidor de nombres DNS |
midominio.com |
Nombre DNS de su dominio de AD |
MIDOMINIO.COM |
Nombre DNS de su dominio de AD, en mayúsculas |
Procedimiento
- Instale el grupo de paquete de soporte PKCS11.
yum install -y nss-tools nss-pam-ldapd pam_krb5 krb5-libs krb5-workstation krb5-pkinit
- Instale un certificado de una entidad de certificación (CA) raíz.
- Busque el certificado de CA raíz que descargó y transfiéralo a un archivo .pem.
openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
- El comando certutil le permitirá instalar el certificado CA raíz en la base de datos del sistema /etc/pki/nssdb.
certutil -A -d /etc/pki/nssdb -n "root CA cert" -t "CT,C,C" -i /tmp/certificate.pem
- Agregue el certificado CA raíz a la lista de certificados CA de confianza de la máquina virtual RHEL/CentOS 7.x y actualice la configuración del almacén de confianza de todo el sistema mediante el comando update-ca-trust.
cp /tmp/certificate.pem /etc/pki/ca-trust/source/anchors/ca_cert.pem
update-ca-trust
- Modifique la sección correspondiente en el archivo de configuración SSSD de su sistema, tal como se muestra en este ejemplo.
[domain/mydomain.com]
ad_domain = mydomain.com
krb5_realm = MYDOMAIN.COM
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
#set the next line to false, so you can use the short name instead of the full domain name.
use_fully_qualified_names = False
fallback_homedir = /home/%u@%d
access_provider = ad
- Modifique el archivo de configuración de Kerberos /etc/krb5.conf/, tal y como se muestra en el ejemplo siguiente.
[libdefaults]
dns_lookup_realm = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
default_ccache_name = KEYRING:persistent:%{uid}
# Add following line, if the system doesn't add it automatically
default_realm = MYDOMAIN.COM
[realms]
MYDOMAIN.COM = {
kdc = dns_server
admin_server = dns_server
# Add the following three lines for pkinit_*
pkinit_anchors = DIR:/etc/pki/ca-trust/source/anchors
pkinit_kdc_hostname = your_org_DNS_server
pkinit_eku_checking = kpServerAuth
}
[domain_realm]
mydomain.com = MYDOMAIN.COM
.mydomain.com = MYDOMAIN.COM
Nota: También debe establecer el modo igual a
644
en
de/etc/krb5.conf. De lo contrario, es posible que la función True SSO no funcione.
- Instale el paquete Horizon Agent con True SSO habilitado.
sudo ./install_viewagent.sh -T yes
- Agregue el siguiente parámetro al archivo de configuración personalizada de Horizon Agent /etc/vmware/viewagent-custom.conf. Utilice el siguiente ejemplo, donde NOMBRE_NETBIOS_DEL_DOMINIO es el nombre de NetBIOS del dominio de su organización.
NetbiosDomain=NETBIOS_NAME_OF_DOMAIN
- Reinicie la máquina virtual y vuelva a iniciar sesión.