Pour prendre en charge l'authentification unique réelle sur des postes de travail RHEL/CentOS 8.x, vous devez d'abord intégrer la machine virtuelle de base à votre domaine Active Directory (AD). Vous devez ensuite modifier certaines configurations sur le système pour prendre en charge la fonctionnalité d'authentification unique réelle.
Note : L'authentification unique réelle n'est pas prise en charge sur les postes de travail RHEL 8.x Instant Clone.
Certains exemples de la procédure utilisent des valeurs d'espace réservé pour représenter des entités dans votre configuration réseau, telles que le nom DNS de votre domaine AD. Remplacez les valeurs d'espace réservé par des informations spécifiques à votre configuration, comme décrit dans le tableau suivant.
| Valeur d'espace réservé |
Description |
| mydomain.com |
Nom DNS de votre domaine AD |
| MYDOMAIN.COM |
Nom DNS de votre domaine AD en majuscules |
| MYDOMAIN |
Nom de votre domaine NetBIOS |
Conditions préalables
- Configurez l'authentification unique réelle pour Workspace ONE Access et Horizon Connection Server.
- Vérifiez que le serveur Active Directory (AD) peut être résolu par DNS sur la VM de base RHEL/CentOS 8.x.
- Configurez le nom d'hôte de la VM.
- Configurez le protocole NTP (Network Time Protocol) sur la VM.
Procédure
- Sur la VM RHEL/CentOS 8.x, vérifiez la connexion réseau à Active Directory.
# realm discover mydomain.com
- Installez les modules de dépendance requis.
# yum install oddjob oddjob-mkhomedir sssd adcli samba-common-tools
- Joignez le domaine AD.
# realm join --verbose mydomain.com -U administrator
- Téléchargez le certificat de l'autorité de certification racine et copiez-le dans le répertoire requis en tant que fichier .pem.
# openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
# cp /tmp/certificate.pem /etc/sssd/pki/sssd_auth_ca_db.pem
- Modifiez le fichier de configuration /etc/sssd/sssd.conf, comme indiqué dans l'exemple suivant.
[sssd]
domains = mydomain.com
config_file_version = 2
services = nss, pam
[domain/mydomain.com]
ad_domain = mydomain.com
krb5_realm = IMYDOMAIN.COM
realmd_tags = manages-system joined-with-adcli
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = False <---------------- Use short name for user
fallback_homedir = /home/%u@%d
access_provider = ad
ad_gpo_map_interactive = +gdm-vmwcred <---------------- Add this line for SSO
[pam] <---------------- Add pam section for certificate logon
pam_cert_auth = True <---------------- Add this line to enable certificate logon for system
pam_p11_allowed_services = +gdm-vmwcred <---------------- Add this line to enable certificate logon for VMware Horizon Agent
[certmap/mydomain.com/truesso] <---------------- Add this section and following lines to set match and map rule for certificate user
matchrule = <EKU>msScLogin
maprule = (|(userPrincipal={subject_principal})(samAccountName={subject_principal.short_name}))
domains = mydomain.com
priority = 10
- Modifiez le fichier de configuration /etc/krb5.conf en définissant le mode égal à
644.
Note : Si vous ne modifiez pas
/etc/krb5.conf comme spécifié, la fonctionnalité d'authentification unique réelle peut ne pas fonctionner.
- Installez le module Horizon Agent, avec l'authentification unique réelle activée.
# sudo ./install_viewagent.sh -T yes
- Modifiez le fichier de configuration de /etc/vmware/viewagent-custom.conf afin qu'il inclue la ligne suivante.
- Redémarrez la VM et reconnectez-vous.
