Configurar True SSO en una máquina virtual SLED/SLES

Para habilitar la función True SSO en una máquina virtual SLED/SLES, instale las bibliotecas de las que depende la función True SSO, el certificado de entidad de certificación (CA) raíz para poder usar la autenticación de confianza, y Horizon Agent. Además, debe editar algunos archivos de configuración para completar la configuración de autenticación.

Utilice el siguiente procedimiento para habilitar True SSO en una máquina virtual SLED o SLES.

Requisitos previos

Configure True SSO para Workspace ONE Access y Horizon Connection Server.
Complete los pasos que se describen en Integrar una máquina virtual SLED/SLES con Active Directory para True SSO.
Obtenga un certificado raíz firmado por una entidad de certificación y guárdelo en la carpeta /tmp/certificate.cer de su máquina virtual SLED/SLES. Consulte la sección Cómo exportar el certificado raíz firmado por una entidad de certificación.
Si una CA subordinada también es una autoridad emisora, obtenga toda la cadena de certificados de CA raíz y subordinadas, y guárdela en /tmp/certificate.cer en la máquina virtual.

Procedimiento

Instale los paquetes necesarios ejecutando el siguiente comando.

sudo zypper install mozilla-nss-tools pam_krb5 krb5-client krb5-plugin-preauth-pkinit

Instale el certificado de CA raíz o la cadena de certificados.
1. Busque el certificado de CA raíz o la cadena de certificados que descargó y transfiéralos a un archivo PEM.
```
sudo openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
```
2. Cree el directorio /etc/pki/nssdb para contener la base de datos del sistema.
```
sudo mkdir -p /etc/pki/nssdb
```
3. El comando certutil le permitirá instalar el certificado CA raíz o la cadena de certificados en la base de datos del sistema /etc/pki/nssdb.
  Reemplace el certificado de CA raíz en el siguiente comando de ejemplo con el nombre del certificado de CA raíz en la base de datos del sistema.
```
sudo certutil -A -d /etc/pki/nssdb -n "root CA cert" -t "CT,C,C" -i /tmp/certificate.pem
```
4. Añada el certificado de CA raíz a pam_pkcs11.
```
sudo cp /tmp/certificate.pem /etc/pki/ca-trust/source/anchors/ca_cert.pem
```

Edite el archivo de configuración /etc/krb5.conf de manera que tenga un contenido similar al del ejemplo siguiente.

[libdefaults]
      default_realm = MYDOMAIN.COM
      dns_lookup_realm = false
      ticket_lifetime = 24h
      renew_lifetime = 7d
      forwardable = true
      rdns = false
      default_ccache_name = KEYRING:persistent:%{uid}

[realms]
      MYDOMAIN.COM = {
            kdc = ads-hostname
            admin_server = ads-hostname 
            pkinit_anchors = DIR:/etc/pki/ca-trust/source/anchors
            pkinit_kdc_hostname = ADS-HOSTNAME
            pkinit_eku_checking = kpServerAuth
      }

[domain_realm]
      .mydomain.com = MYDOMAIN.COM
      mydomain.com = MYDOMAIN.COM

Nota: También debe establecer los permisos de archivo en 644 para /etc/krb5.conf. De lo contrario, es posible que la función True SSO no funcione.

Reemplace los valores de marcador de posición del ejemplo con información específica de su configuración de red, tal y como se describe en la siguiente tabla.


Valor del marcador de posición	Descripción
midominio.com	Nombre DNS de su dominio de AD
MIDOMINIO.COM	Nombre DNS de su dominio de AD (en mayúsculas)
nombredehost-ads	Nombre de host del servidor de AD
NOMBREDEHOST-ADS	Nombre de host de su servidor AD (en mayúsculas)

Instale el paquete Horizon Agent con True SSO habilitado.
```
sudo ./install_viewagent.sh -T yes
```
Agregue el siguiente parámetro al archivo de configuración personalizada de Horizon Agent /etc/vmware/viewagent-custom.conf. Utilice la siguiente sintaxis, donde NOMBRE_NETBIOS_DEL_DOMINIO es el nombre del dominio NetBIOS de su organización.
```
NetbiosDomain=NETBIOS_NAME_OF_DOMAIN
```
Nota: Utilice siempre el nombre largo del dominio NetBIOS, por ejemplo LXD.VDI. Si usa el nombre corto (por ejemplo, LXD), la función True SSO no funcionará.
Reinicie la máquina virtual y vuelva a iniciar sesión.