Para admitir True SSO en escritorios RHEL o Rocky Linux 9.x/8.x, primero debe integrar la máquina virtual base con su dominio de Active Directory (AD). A continuación, debe modificar algunas configuraciones en el sistema para admitir la función True SSO.

Algunos ejemplos incluidos en el procedimiento utilizan valores de marcador de posición para representar entidades en su configuración de red, como el nombre de DNS de su dominio de AD. Reemplace los valores de marcador de posición con información específica de su configuración, tal y como se describe en la siguiente tabla.

Valor del marcador de posición Descripción
midominio.com Nombre DNS de su dominio de AD
MIDOMINIO.COM Nombre DNS de su dominio de AD, en mayúsculas
MIDOMINIO Nombre del dominio NetBIOS
servidordns.midominio.com Nombre del servidor DNS

Requisitos previos

  • Configure True SSO para Workspace ONE Access y Horizon Connection Server.
  • Compruebe que el servidor de Active Directory (AD) se puede resolver mediante el DNS en la máquina virtual base.
  • Configure el nombre de host de la máquina virtual.
  • Configure el protocolo de tiempo de redes (NTP) en la máquina virtual.
  • Obtenga un certificado de entidad de certificación (CA) guárdelo en /tmp/certificate.cer en la máquina virtual. Consulte la sección Cómo exportar el certificado raíz firmado por una entidad de certificación.

    Si una CA subordinada también es una autoridad emisora, obtenga toda la cadena de certificados de CA raíz y subordinadas, y guárdela en /tmp/certificate.cer en la máquina virtual.

  • Para utilizar True SSO en modo FIPS, debe haber completado los pasos descritos en Configurar una máquina Linux que cumple con FIPS. Debe agregar el certificado de CA de confianza para VMwareBlastServer a /etc/vmware/ssl/rui.crt y agregar la clave emparejada con rui.crt a /etc/vmware/ssl/rui.key.

Procedimiento

  1. En la máquina virtual base, compruebe la conexión de red con Active Directory.
    sudo realm discover mydomain.com
  2. Instale los paquetes de dependencia necesarios.
    sudo yum install oddjob oddjob-mkhomedir sssd adcli samba-common-tools
  3. Únase al dominio de AD.
    sudo realm join --verbose mydomain.com -U administrator
  4. Instale el certificado de CA raíz o la cadena de certificados.
    1. Busque el certificado de CA raíz o la cadena de certificados que descargó y transfiéralos a un archivo PEM.
      sudo openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
      
    2. Copie el certificado en el archivo /etc/sssd/pki/sssd_auth_ca_db.pem.
      sudo cp /tmp/certificate.pem /etc/sssd/pki/sssd_auth_ca_db.pem
  5. Modifique el archivo de configuración /etc/sssd/sssd.conf, tal como se muestra en el siguiente ejemplo.
    [sssd]
    domains = mydomain.com
    config_file_version = 2
    services = nss, pam
     
    [domain/mydomain.com]
    ad_domain = mydomain.com
    krb5_realm = MYDOMAIN.COM
    realmd_tags = manages-system joined-with-adcli
    cache_credentials = True
    id_provider = ad
    krb5_store_password_if_offline = True
    default_shell = /bin/bash
    ldap_id_mapping = True
    use_fully_qualified_names = False             #Use short name for user
    fallback_homedir = /home/%u@%d
    access_provider = ad
    ad_gpo_map_interactive = +gdm-vmwcred         #Add this line for SSO
     
    [pam]                                         #Add pam section for certificate logon
    pam_cert_auth = True                          #Add this line to enable certificate logon for system
    pam_p11_allowed_services = +gdm-vmwcred       #Add this line to enable certificate logon for VMware Horizon Agent
     
    [certmap/mydomain.com/truesso]                #Add this section and following lines to set match and map rule for certificate user
    matchrule = <EKU>msScLogin
    maprule = (|(userPrincipal={subject_principal})(samAccountName={subject_principal.short_name}))
    domains = mydomain.com
    priority = 10
  6. Modifique el archivo de configuración /etc/krb5.conf estableciendo el modo igual a 644.
    Nota: Si no modifica /etc/krb5.conf según lo especificado, es posible que la función True SSO no funcione.
  7. (RHEL o Rocky Linux 9.x) Para asegurarse de que True SSO funcione correctamente con los grupos de escritorios de clones instantáneos, modifique las siguientes configuraciones.
    Nota: Puede omitir estas configuraciones si no usa la máquina virtual para un grupo de escritorios de clones instantáneos.
    1. Ejecute el comando para permitir explícitamente la directiva criptográfica SHA-1.
      sudo update-crypto-policies --set DEFAULT:SHA1
    2. Busque el certificado o la cadena de certificados de CA raíz que descargó anteriormente y cópielo en /etc/pki/ca-trust/source/anchors/ca_cert.pem. A continuación, utilice el comando update-ca-trust para habilitar que las aplicaciones heredadas lean los certificados de confianza.
      sudo cp /tmp/certificate.pem /etc/pki/ca-trust/source/anchors/ca_cert.pem
      sudo update-ca-trust
    3. Modifique el archivo /etc/krb5.conf, tal y como se muestra en el siguiente ejemplo.
      [realms]
           MYDOMAIN.COM = {
                kdc =  dnsserver.mydomain.com
                admin_server =  dnsserver.mydomain.com
                pkinit_anchors = DIR:/etc/pki/ca-trust/source/anchors
                pkinit_kdc_hostname =  dnsserver.mydomain.com
                pkinit_eku_checking = kpServerAuth
           }
      [domain_realm]
           .mydomain.com = MYDOMAIN.COM
           mydomain.com = MYDOMAIN.COM
  8. Instale el paquete Horizon Agent con True SSO habilitado.
    sudo ./install_viewagent.sh -T yes
  9. Modifique el archivo de configuración /etc/vmware/viewagent-custom.conf para que incluya la siguiente línea.
    NetbiosDomain = MYDOMAIN
  10. Reinicie la máquina virtual y vuelva a iniciar sesión.