Para habilitar la función True SSO en una máquina virtual SLED/SLES, instale las bibliotecas de las que depende la función True SSO, el certificado de entidad de certificación (CA) raíz para poder usar la autenticación de confianza, y Horizon Agent. Además, debe editar algunos archivos de configuración para completar la configuración de autenticación.

Utilice el siguiente procedimiento para habilitar True SSO en una máquina virtual SLED o SLES.

Requisitos previos

Procedimiento

  1. Instale los paquetes necesarios ejecutando el siguiente comando.
    sudo zypper install mozilla-nss-tools pam_krb5 krb5-client krb5-plugin-preauth-pkinit
  2. Instale el certificado de CA raíz o la cadena de certificados.
    1. Busque el certificado de CA raíz o la cadena de certificados que descargó y transfiéralos a un archivo PEM.
      sudo openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
    2. Cree el directorio /etc/pki/nssdb para contener la base de datos del sistema.
      sudo mkdir -p /etc/pki/nssdb
    3. El comando certutil le permitirá instalar el certificado CA raíz o la cadena de certificados en la base de datos del sistema /etc/pki/nssdb.
      Reemplace el certificado de CA raíz en el siguiente comando de ejemplo con el nombre del certificado de CA raíz en la base de datos del sistema.
      sudo certutil -A -d /etc/pki/nssdb -n "root CA cert" -t "CT,C,C" -i /tmp/certificate.pem
      
    4. Añada el certificado de CA raíz a pam_pkcs11.
      sudo cp /tmp/certificate.pem /etc/pki/ca-trust/source/anchors/ca_cert.pem
  3. Edite el archivo de configuración /etc/krb5.conf de manera que tenga un contenido similar al del ejemplo siguiente.
    [libdefaults]
          default_realm = MYDOMAIN.COM
          dns_lookup_realm = false
          ticket_lifetime = 24h
          renew_lifetime = 7d
          forwardable = true
          rdns = false
          default_ccache_name = KEYRING:persistent:%{uid}
    
    [realms]
          MYDOMAIN.COM = {
                kdc = ads-hostname
                admin_server = ads-hostname 
                pkinit_anchors = DIR:/etc/pki/ca-trust/source/anchors
                pkinit_kdc_hostname = ADS-HOSTNAME
                pkinit_eku_checking = kpServerAuth
          }
    
    [domain_realm]
          .mydomain.com = MYDOMAIN.COM
          mydomain.com = MYDOMAIN.COM
    
    Nota: También debe establecer los permisos de archivo en 644 para /etc/krb5.conf. De lo contrario, es posible que la función True SSO no funcione.
    Reemplace los valores de marcador de posición del ejemplo con información específica de su configuración de red, tal y como se describe en la siguiente tabla.
    Valor del marcador de posición Descripción
    midominio.com Nombre DNS de su dominio de AD
    MIDOMINIO.COM Nombre DNS de su dominio de AD (en mayúsculas)
    nombredehost-ads Nombre de host del servidor de AD
    NOMBREDEHOST-ADS Nombre de host de su servidor AD (en mayúsculas)
  4. Instale el paquete Horizon Agent con True SSO habilitado.
    sudo ./install_viewagent.sh -T yes
  5. Agregue el siguiente parámetro al archivo de configuración personalizada de Horizon Agent /etc/vmware/viewagent-custom.conf. Utilice la siguiente sintaxis, donde NOMBRE_NETBIOS_DEL_DOMINIO es el nombre del dominio NetBIOS de su organización.
    NetbiosDomain=NETBIOS_NAME_OF_DOMAIN
    Nota: Utilice siempre el nombre largo del dominio NetBIOS, por ejemplo LXD.VDI. Si usa el nombre corto (por ejemplo, LXD), la función True SSO no funcionará.
  6. Reinicie la máquina virtual y vuelva a iniciar sesión.