Pour prendre en charge l'authentification unique réelle sur un poste de travail RHEL/CentOS 8.x, vous devez d'abord intégrer le système à votre domaine Active Directory (AD). Vous devez ensuite modifier certaines configurations sur le système pour prendre en charge la fonctionnalité d'authentification unique réelle.
Pour prendre en charge l'authentification unique réelle sur un poste de travail RHEL/CentOS 8.1, vous devez installer Horizon Agent 7.12 ou une version ultérieure.
Pour prendre en charge l'authentification unique réelle sur un poste de travail RHEL/CentOS 8.0, vous devez installer Horizon Agent 7.11 ou une version ultérieure.
Note : L'authentification unique réelle n'est pas prise en charge sur les postes de travail RHEL 8.x Instant Clone.
Certains exemples de la procédure utilisent des valeurs d'espace réservé pour représenter des entités dans votre configuration réseau, telles que le nom DNS de votre domaine AD. Remplacez les valeurs d'espace réservé par des informations spécifiques à votre configuration, comme décrit dans le tableau suivant.
| Valeur d'espace réservé |
Description |
| mydomain.com |
Nom DNS de votre domaine AD |
| MYDOMAIN.COM |
Nom DNS de votre domaine AD en majuscules |
| MYDOMAIN |
Nom de votre domaine NetBIOS |
Conditions préalables
- Vérifiez que le serveur Active Directory (AD) peut être résolu par DNS sur le système RHEL/CentOS 8.x.
- Configurez le nom d'hôte du système.
- Configurez le protocole NTP (Network Time Protocol) sur le système.
Procédure
- Sur le système RHEL/CentOS 8.x, vérifiez la connexion réseau à Active Directory.
# realm discover mydomain.com
- Installez les modules de dépendance requis.
# yum install oddjob oddjob-mkhomedir sssd adcli samba-common-tools
- Joignez le domaine AD.
# realm join --verbose mydomain.com -U administrator
- Téléchargez le certificat de l'autorité de certification racine et copiez-le dans le répertoire requis en tant que fichier .pem.
# openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
# cp /tmp/certificate.pem /etc/sssd/pki/sssd_auth_ca_db.pem
- Modifiez le fichier de configuration /etc/sssd/sssd.conf, comme indiqué dans l'exemple suivant.
[sssd]
domains = mydomain.com
config_file_version = 2
services = nss, pam
[domain/mydomain.com]
ad_domain = mydomain.com
krb5_realm = IMYDOMAIN.COM
realmd_tags = manages-system joined-with-adcli
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = False <---------------- Use short name for user
fallback_homedir = /home/%u@%d
access_provider = ad
ad_gpo_map_interactive = +gdm-vmwcred <---------------- Add this line for SSO
[pam] <---------------- Add pam section for certificate logon
pam_cert_auth = True <---------------- Add this line to enable certificate logon for system
pam_p11_allowed_services = +gdm-vmwcred <---------------- Add this line to enable certificate logon for VMware Horizon Agent
[certmap/mydomain.com/truesso] <---------------- Add this section and following lines to set match and map rule for certificate user
matchrule = <EKU>msScLogin
maprule = (|(userPrincipal={subject_principal})(samAccountName={subject_principal.short_name}))
domains = mydomain.com
priority = 10
- Installez le module Horizon Agent, avec l'authentification unique réelle activée.
# sudo ./install_viewagent.sh -T yes
Note : Pour utiliser la fonctionnalité d'authentification unique réelle, vous devez installer la version requise de
Horizon Agent pour votre distribution Linux, comme décrit dans le tableau suivant.
| Distribution Linux |
Horizon Agent |
| RHEL/CentOS 8.1 |
Horizon Agent 7.12 ou version ultérieure |
| RHEL/CentOS 8.0 |
Horizon Agent 7.11 ou version ultérieure |
- Modifiez le fichier de configuration de /etc/vmware/viewagent-custom.conf afin qu'il inclue la ligne suivante.
- Redémarrez le système et reconnectez-vous.
