Pour activer la fonctionnalité d'authentification unique réelle sur un poste de travail Ubuntu, installez les bibliothèques dont dépend la fonctionnalité d'authentification unique réelle, le certificat d'autorité de certification racine pour prendre en charge l'authentification approuvée et Horizon Agent. En outre, vous devez modifier certains fichiers de configuration pour terminer la configuration de l'authentification.

Utilisez la procédure suivante pour activer l'authentification unique réelle sur des postes de travail Ubuntu. Pour prendre en charge l'authentification unique réelle sur ces postes de travail, vous devez installer Horizon Agent 7.8 ou version ultérieure.

Conditions préalables

Procédure

  1. Sur votre poste de travail Ubuntu, installez le module de support pkcs11.
    sudo apt install libpam-pkcs11
  2. Installez le module libnss3-tools.
    sudo apt install libnss3-tools
  3. Installez un certificat d'autorité de certification racine (CA).
    1. Localisez le certificat d'autorité de certification racine que vous avez téléchargé et transférez-le vers un fichier .pem.
      openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
    2. Utilisez la commande certutil pour installer le certificat d'autorité de certification racine dans la base de données système /etc/pki/nssdb.
      certutil -A -d /etc/pki/nssdb -n "root CA cert" -t "CT,C,C" -i /tmp/certificate.pem
    3. Copiez le certificat d'autorité de certification racine dans le répertoire /etc/pam_pkcs11/cacerts.
      mkdir -p /etc/pam_pkcs11/cacerts
      
      cp /tmp/certificate.pem /etc/pam_pkcs11/cacerts
    4. Créez un lien de hachage pour le certificat d'autorité de certification racine. Dans le répertoire /etc/pam_pkcs11/cacerts, exécutez la commande suivante.
      pkcs11_make_hash_link
  4. Installez le module Horizon Agent, avec l'authentification unique réelle activée.
    sudo ./install_viewagent.sh -T yes
    Note : Pour utiliser la fonctionnalité d'authentification unique réelle, vous devez installer Horizon Agent 7.8 ou version ultérieure.
  5. Ajoutez le paramètre suivant au fichier de configuration personnalisé Horizon Agent /etc/vmware/viewagent-custom.conf. Utilisez l'exemple suivant, où NETBIOS_NAME_OF_DOMAINE est le nom NetBIOS du domaine de votre organisation.
    NetbiosDomain=NETBIOS_NAME_OF_DOMAIN
  6. Modifiez le fichier de configuration /etc/pam_pkcs11/pam_pkcs11.conf.
    1. Si nécessaire, créez le fichier de configuration /etc/pam_pkcs11/pam_pkcs11.conf. Localisez le fichier d'exemple dans /usr/share/doc/libpam-pkcs11/examples, copiez-le dans le répertoire /etc/pam_pkcs11 et renommez le fichier pam_pkcs11.conf. Ajoutez les informations de votre système dans le fichier en fonction des besoins.
    2. Modifiez le fichier de configuration /etc/pam_pkcs11/pam_pkcs11.conf afin que son contenu soit semblable à l'exemple suivant.
    Note : Pour Ubuntu 20,04, ajoutez ms à la fin de la ligne use_mappers.
    use_pkcs11_module = coolkey;
    pkcs11_module coolkey {
      module = /usr/lib/vmware/viewagent/sso/libvmwpkcs11.so;
      slot_num = 0;
      ca_dir = /etc/pam_pkcs11/cacerts;
      nss_dir = /etc/pki/nssdb;
    }
    
    mapper ms {
      debug = false;
      module = internal;
      # module = /usr/$LIB/pam_pkcs11/ms_mapper.so;
      ignorecase = false;
      # ignore domain name
      ignoredomain = true;
      domain = "DOMAIN.COM"; #<== Replace "DOMAIN.COM" with your organization's domain name
    }
    
    use_mappers = digest, cn, pwent, uid, mail, subject, null, ms;  #<== For Ubuntu 20.04, append "ms" at end of use_mappers
  7. Modifier les paramètres auth dans le fichier de configuration PAM.
    1. Ouvrez le fichier de configuration PAM.
      • Pour Ubuntu 16.04, ouvrez /etc/pam.d/lightdm.
      • Pour Ubuntu 20.04/18.04, ouvrez /etc/pam.d/gdm-vmwcred.
    2. Modifiez le fichier de configuration PAM, comme indiqué dans l'exemple suivant.
      auth requisite pam_vmw_cred.so
      auth sufficient pam_pkcs11.so try_first_pass
      
  8. Redémarrez votre système et reconnectez-vous.