Para habilitar la función True SSO en una máquina virtual RHEL/CentOS 7.x, instale las bibliotecas de las que depende la función True SSO, el certificado de entidad de certificación (CA) raíz para poder usar la autenticación de confianza, y Horizon Agent. Además, debe editar algunos archivos de configuración para completar la configuración de autenticación.

Utilice el siguiente procedimiento para habilitar True SSO en una máquina virtual RHEL 7.x o CentOS 7.x.

Algunos ejemplos incluidos en el procedimiento utilizan valores de marcador de posición para representar entidades en su configuración de red, como el nombre de DNS de su dominio de AD. Reemplace los valores de marcador de posición con información específica de su configuración, tal y como se describe en la siguiente tabla.

Valor del marcador de posición Descripción
servidor_dns Ruta de acceso a su servidor de nombres DNS
midominio.com Nombre DNS de su dominio de AD
MIDOMINIO.COM Nombre DNS de su dominio de AD, en mayúsculas

Requisitos previos

Procedimiento

  1. Instale el grupo de paquete de soporte PKCS11.
    sudo yum install -y nss-tools nss-pam-ldapd pam_krb5 krb5-libs krb5-workstation krb5-pkinit
  2. Instale el certificado de CA raíz o la cadena de certificados.
    1. Busque el certificado de CA raíz o la cadena de certificados que descargó y transfiéralos a un archivo PEM.
      sudo openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
      
    2. Cree el directorio /etc/pki/nssdb para contener la base de datos del sistema.
      sudo mkdir -p /etc/pki/nssdb
    3. El comando certutil le permitirá instalar el certificado CA raíz o la cadena de certificados en la base de datos del sistema /etc/pki/nssdb.
      Reemplace el certificado de CA raíz en el siguiente comando de ejemplo con el nombre del certificado de CA raíz en la base de datos del sistema.
      sudo certutil -A -d /etc/pki/nssdb -n "root CA cert" -t "CT,C,C" -i /tmp/certificate.pem
      
    4. Agregue el certificado CA raíz o la cadena de certificados a la lista de certificados CA de confianza de la máquina virtual RHEL/CentOS 7.x y actualice la configuración del almacén de confianza de todo el sistema mediante el comando update-ca-trust.
      sudo cp /tmp/certificate.pem /etc/pki/ca-trust/source/anchors/ca_cert.pem
      sudo update-ca-trust
  3. Modifique la sección correspondiente en el archivo de configuración SSSD de su sistema, tal como se muestra en este ejemplo.
    [domain/mydomain.com]
    ad_domain = mydomain.com
    krb5_realm = MYDOMAIN.COM
    realmd_tags = manages-system joined-with-samba
    cache_credentials = True
    id_provider = ad
    krb5_store_password_if_offline = True
    default_shell = /bin/bash
    ldap_id_mapping = True
    #set the next line to false, so you can use the short name instead of the full domain name.
    use_fully_qualified_names = False   
    fallback_homedir = /home/%u@%d
    access_provider = ad
  4. Modifique el archivo de configuración de Kerberos /etc/krb5.conf/, tal y como se muestra en el ejemplo siguiente.
    [libdefaults]
     dns_lookup_realm = false
     ticket_lifetime = 24h
     renew_lifetime = 7d
     forwardable = true
     rdns = false
     default_ccache_name = KEYRING:persistent:%{uid}
     # Add following line, if the system doesn't add it automatically
     default_realm = MYDOMAIN.COM
     
    [realms]
    MYDOMAIN.COM = {
      kdc = dns_server
      admin_server = dns_server
      # Add the following three lines for pkinit_*
      pkinit_anchors = DIR:/etc/pki/ca-trust/source/anchors
      pkinit_kdc_hostname = your_org_DNS_server
      pkinit_eku_checking = kpServerAuth
     }
    [domain_realm]
     mydomain.com = MYDOMAIN.COM
     .mydomain.com = MYDOMAIN.COM
    Nota: También debe establecer el modo igual a 644 en de/etc/krb5.conf. De lo contrario, es posible que la función True SSO no funcione.
  5. Instale el paquete Horizon Agent con True SSO habilitado.
    sudo ./install_viewagent.sh -T yes
  6. Agregue el siguiente parámetro al archivo de configuración personalizada de Horizon Agent /etc/vmware/viewagent-custom.conf. Utilice el siguiente ejemplo, donde NOMBRE_NETBIOS_DEL_DOMINIO es el nombre de NetBIOS del dominio de su organización.
    NetbiosDomain=NETBIOS_NAME_OF_DOMAIN
  7. Reinicie la máquina virtual y vuelva a iniciar sesión.