Pour activer la fonctionnalité d'authentification unique réelle sur un poste de travail RHEL/CentOS 7.x, installez les bibliothèques dont dépend la fonctionnalité d'authentification unique réelle, le certificat d'autorité de certification racine pour prendre en charge l'authentification approuvée et Horizon Agent. En outre, vous devez modifier certains fichiers de configuration pour terminer la configuration de l'authentification.
Utilisez la procédure suivante pour activer l'authentification unique réelle sur des postes de travail RHEL 7.x et CentOS 7.x. Pour prendre en charge l'authentification unique réelle sur ces postes de travail, vous devez installer Horizon Agent 7.6 ou version ultérieure.
Certains exemples de la procédure utilisent des valeurs d'espace réservé pour représenter des entités dans votre configuration réseau, telles que le nom DNS de votre domaine AD. Remplacez les valeurs d'espace réservé par des informations spécifiques à votre configuration, comme décrit dans le tableau suivant.
Valeur d'espace réservé |
Description |
dns_server |
Chemin d'accès à votre serveur de nom DNS |
mydomain.com |
Nom DNS de votre domaine AD |
MYDOMAIN.COM |
Nom DNS de votre domaine AD en majuscules |
Procédure
- Installez le groupe de module de prise en charge PKCS11.
yum install -y nss-tools nss-pam-ldapd pam_krb5 krb5-libs krb5-workstation krb5-pkinit
- Installez un certificat d'autorité de certification racine (CA).
- Localisez le certificat d'autorité de certification racine que vous avez téléchargé et transférez-le vers un fichier .pem.
openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
- Utilisez la commande certutil pour installer le certificat d'autorité de certification racine dans la base de données système /etc/pki/nssdb.
certutil -A -d /etc/pki/nssdb -n "root CA cert" -t "CT,C,C" -i /tmp/certificate.pem
- Ajoutez le certificat d'autorité de certification racine à la liste des certificats d'autorité de certification approuvés sur votre système RHEL/CentOS 7.x et mettez à jour la configuration du magasin de confiance à l'échelle du système à l'aide de la commande update-ca-trust.
cp /tmp/certificate.pem /etc/pki/ca-trust/source/anchors/ca_cert.pem
update-ca-trust
- Modifiez la section appropriée dans le fichier de configuration SSSD de votre système pour votre domaine, comme indiqué dans l'exemple suivant.
[domain/mydomain.com]
ad_domain = mydomain.com
krb5_realm = MYDOMAIN.COM
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
#set the next line to false, so you can use the short name instead of the full domain name.
use_fully_qualified_names = False
fallback_homedir = /home/%u@%d
access_provider = ad
- Modifiez le fichier de configuration Kerberos /etc/krb5.conf, comme indiqué dans l'exemple suivant.
[libdefaults]
dns_lookup_realm = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
default_ccache_name = KEYRING:persistent:%{uid}
# Add following line, if the system doesn't add it automatically
default_realm = MYDOMAIN.COM
[realms]
MYDOMAIN.COM = {
kdc = dns_server
admin_server = dns_server
# Add the following three lines for pkinit_*
pkinit_anchors = DIR:/etc/pki/ca-trust/source/anchors
pkinit_kdc_hostname = your_org_DNS_server
pkinit_eku_checking = kpServerAuth
}
[domain_realm]
mydomain.com = MYDOMAIN.COM
.mydomain.com = MYDOMAIN.COM
- Installez le module Horizon Agent, avec l'authentification unique réelle activée.
sudo ./install_viewagent.sh -T yes
Note : Vous devez installer
Horizon Agent 7.6 ou version ultérieure.
- Ajoutez le paramètre suivant au fichier de configuration personnalisé Horizon Agent /etc/vmware/viewagent-custom.conf. Utilisez l'exemple suivant, où NETBIOS_NAME_OF_DOMAINE est le nom NetBIOS du domaine de votre organisation.
NetbiosDomain=NETBIOS_NAME_OF_DOMAIN
- Redémarrez votre système et reconnectez-vous.