Para habilitar la función True SSO en una máquina virtual SLED/SLES, instale las bibliotecas de las que depende la función True SSO, el certificado de CA raíz para poder usar la autenticación de confianza, y Horizon Agent. Además, debe editar algunos archivos de configuración para completar la configuración de autenticación.

Utilice el siguiente procedimiento para habilitar True SSO en una máquina virtual SLED o SLES.

Requisitos previos

Procedimiento

  1. Para SLED 15.x o SLES 12.x/15.x, instale los paquetes necesarios usando el siguiente comando.
    zypper install mozilla-nss-tools pam_krb5 krb5-client krb5-plugin-preauth-pkinit
  2. Para SLED 12.x, instale los paquetes necesarios siguiendo estos pasos.
    1. Descargue el archivo .iso de SLES correspondiente en el disco local de la máquina virtual SLED (por ejemplo, /tmp/SLE-12-SP3-Server-DVD-x86_64-GM-DVD1.iso).
      Debe añadir el archivo .iso SLES como origen de paquete de su sistema SLED, ya que el paquete necesario krb5-plugin-preauth-pkinit solo está disponible para sistemas SLES.
    2. Monte el archivo .iso SLES en su sistema SLED e instale los paquetes necesarios.
      sudo mkdir -p /mnt/sles
      sudo mount -t iso9660 /tmp/SLE-12-SP3-Server-DVD-x86_64-GM-DVD1.iso /mnt/sles
      sudo zypper ar -f /mnt/sles sles
      zypper install mozilla-nss-tools pam_krb5 krb5-client krb5-plugin-preauth-pkinit
    3. Una vez completada la instalación, desmonte el archivo .iso SLES.
      sudo unmount /mnt/sles
  3. Instale un certificado de una entidad de certificación (CA) raíz.
    1. Busque el certificado de CA raíz que descargó y transfiéralo a un archivo .pem.
      openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
    2. El comando certutil le permitirá instalar el certificado CA raíz en la base de datos del sistema /etc/pki/nssdb.
      certutil -A -d /etc/pki/nssdb -n "root CA cert" -t "CT,C,C" -i /tmp/certificate.pem
    3. Añada el certificado de CA raíz a pam_pkcs11.
      cp /tmp/certificate.pem /etc/pki/ca-trust/source/anchors/ca_cert.pem
  4. Edite el archivo de configuración /etc/krb5.conf de manera que tenga un contenido similar al del ejemplo siguiente.
    [libdefaults]
          default_realm = MYDOMAIN.COM
          dns_lookup_realm = false
          ticket_lifetime = 24h
          renew_lifetime = 7d
          forwardable = true
          rdns = false
          default_ccache_name = KEYRING:persistent:%{uid}
    
    [realms]
          MYDOMAIN.COM = {
                kdc = ads-hostname
                admin_server = ads-hostname 
                pkinit_anchors = DIR:/etc/pki/ca-trust/source/anchors
                pkinit_kdc_hostname = ADS-HOSTNAME
                pkinit_eku_checking = kpServerAuth
          }
    
    [domain_realm]
          .mydomain.com = MYDOMAIN.COM
          mydomain.com = MYDOMAIN.COM
    
    Nota: También debe establecer el modo igual a 644 en de/etc/krb5.conf. De lo contrario, es posible que la función True SSO no funcione.
    Reemplace los valores de marcador de posición del ejemplo con información específica de su configuración de red, tal y como se describe en la siguiente tabla.
    Valor del marcador de posición Descripción
    midominio.com Nombre DNS de su dominio de AD
    MIDOMINIO.COM Nombre DNS de su dominio de AD (en mayúsculas)
    nombredehost-ads Nombre de host del servidor de AD
    NOMBREDEHOST-ADS Nombre de host de su servidor AD (en mayúsculas)
  5. Instale el paquete Horizon Agent con True SSO habilitado.
    sudo ./install_viewagent.sh -T yes
  6. Agregue el siguiente parámetro al archivo de configuración personalizada de Horizon Agent /etc/vmware/viewagent-custom.conf. Utilice la siguiente sintaxis, donde NOMBRE_NETBIOS_DEL_DOMINIO es el nombre del dominio NetBIOS de su organización.
    NetbiosDomain=NETBIOS_NAME_OF_DOMAIN
    Nota: Para SLED/SLES 15.x, utilice siempre el nombre largo del dominio NetBIOS, por ejemplo LXD.VDI. Si usa el nombre corto (por ejemplo, LXD), la función True SSO no funcionará.
  7. Reinicie la máquina virtual y vuelva a iniciar sesión.