Para habilitar la función True SSO en una máquina virtual SLED/SLES, instale las bibliotecas de las que depende la función True SSO, el certificado de CA raíz para poder usar la autenticación de confianza, y Horizon Agent. Además, debe editar algunos archivos de configuración para completar la configuración de autenticación.
Utilice el siguiente procedimiento para habilitar True SSO en una máquina virtual SLED o SLES.
Procedimiento
- Para SLED 15.x o SLES 12.x/15.x, instale los paquetes necesarios usando el siguiente comando.
zypper install mozilla-nss-tools pam_krb5 krb5-client krb5-plugin-preauth-pkinit
- Para SLED 12.x, instale los paquetes necesarios siguiendo estos pasos.
- Descargue el archivo .iso de SLES correspondiente en el disco local de la máquina virtual SLED (por ejemplo, /tmp/SLE-12-SP3-Server-DVD-x86_64-GM-DVD1.iso).
Debe añadir el archivo .iso SLES como origen de paquete de su sistema SLED, ya que el paquete necesario
krb5-plugin-preauth-pkinit solo está disponible para sistemas SLES.
- Monte el archivo .iso SLES en su sistema SLED e instale los paquetes necesarios.
sudo mkdir -p /mnt/sles
sudo mount -t iso9660 /tmp/SLE-12-SP3-Server-DVD-x86_64-GM-DVD1.iso /mnt/sles
sudo zypper ar -f /mnt/sles sles
zypper install mozilla-nss-tools pam_krb5 krb5-client krb5-plugin-preauth-pkinit
- Una vez completada la instalación, desmonte el archivo .iso SLES.
- Instale un certificado de una entidad de certificación (CA) raíz.
- Busque el certificado de CA raíz que descargó y transfiéralo a un archivo .pem.
openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
- El comando certutil le permitirá instalar el certificado CA raíz en la base de datos del sistema /etc/pki/nssdb.
certutil -A -d /etc/pki/nssdb -n "root CA cert" -t "CT,C,C" -i /tmp/certificate.pem
- Añada el certificado de CA raíz a pam_pkcs11.
cp /tmp/certificate.pem /etc/pki/ca-trust/source/anchors/ca_cert.pem
- Edite el archivo de configuración /etc/krb5.conf de manera que tenga un contenido similar al del ejemplo siguiente.
[libdefaults]
default_realm = MYDOMAIN.COM
dns_lookup_realm = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
default_ccache_name = KEYRING:persistent:%{uid}
[realms]
MYDOMAIN.COM = {
kdc = ads-hostname
admin_server = ads-hostname
pkinit_anchors = DIR:/etc/pki/ca-trust/source/anchors
pkinit_kdc_hostname = ADS-HOSTNAME
pkinit_eku_checking = kpServerAuth
}
[domain_realm]
.mydomain.com = MYDOMAIN.COM
mydomain.com = MYDOMAIN.COM
Nota: También debe establecer el modo igual a
644
en
de/etc/krb5.conf. De lo contrario, es posible que la función True SSO no funcione.
Reemplace los valores de marcador de posición del ejemplo con información específica de su configuración de red, tal y como se describe en la siguiente tabla.
Valor del marcador de posición |
Descripción |
midominio.com |
Nombre DNS de su dominio de AD |
MIDOMINIO.COM |
Nombre DNS de su dominio de AD (en mayúsculas) |
nombredehost-ads |
Nombre de host del servidor de AD |
NOMBREDEHOST-ADS |
Nombre de host de su servidor AD (en mayúsculas) |
- Instale el paquete Horizon Agent con True SSO habilitado.
sudo ./install_viewagent.sh -T yes
- Agregue el siguiente parámetro al archivo de configuración personalizada de Horizon Agent /etc/vmware/viewagent-custom.conf. Utilice la siguiente sintaxis, donde NOMBRE_NETBIOS_DEL_DOMINIO es el nombre del dominio NetBIOS de su organización.
NetbiosDomain=NETBIOS_NAME_OF_DOMAIN
Nota: Para SLED/SLES 15.x, utilice siempre el nombre largo del dominio NetBIOS, por ejemplo
LXD.VDI
. Si usa el nombre corto (por ejemplo,
LXD
), la función True SSO no funcionará.
- Reinicie la máquina virtual y vuelva a iniciar sesión.