Pour activer la fonctionnalité d'authentification unique réelle sur une machine virtuelle SLED/SLES, installez les bibliothèques dont dépend la fonctionnalité d'authentification unique réelle, le certificat d'autorité de certification racine pour prendre en charge l'authentification approuvée et Horizon Agent. En outre, vous devez modifier certains fichiers de configuration pour terminer la configuration de l'authentification.
Utilisez la procédure suivante pour activer l'authentification unique réelle sur une VM SLED ou SLES.
Procédure
- Pour SLED 15.x ou SLES 12.x/15.x, installez les modules nécessaires en exécutant la commande suivante.
zypper install mozilla-nss-tools pam_krb5 krb5-client krb5-plugin-preauth-pkinit
- Pour SLED 12.x, installez les modules nécessaires en exécutant les étapes suivantes.
- Téléchargez un fichier .iso SLES correspondant sur le disque local de votre VM SLED (par exemple, /tmp/SLE-12-SP3-Server-DVD-x86_64-GM-DVD1.iso).
Vous devez ajouter le fichier .iso SLES comme source de module pour votre système SLED, car le module
krb5-plugin-preauth-pkinit nécessaire est disponible uniquement pour les systèmes SLES.
- Montez le fichier .iso SLES sur votre système SLED et installez les modules nécessaires.
sudo mkdir -p /mnt/sles
sudo mount -t iso9660 /tmp/SLE-12-SP3-Server-DVD-x86_64-GM-DVD1.iso /mnt/sles
sudo zypper ar -f /mnt/sles sles
zypper install mozilla-nss-tools pam_krb5 krb5-client krb5-plugin-preauth-pkinit
- Lorsque l'installation est terminée, démontez le fichier .iso SLES.
- Installez un certificat d'autorité de certification racine (CA).
- Localisez le certificat d'autorité de certification racine que vous avez téléchargé et transférez-le vers un fichier .pem.
openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
- Utilisez la commande certutil pour installer le certificat d'autorité de certification racine dans la base de données système /etc/pki/nssdb.
certutil -A -d /etc/pki/nssdb -n "root CA cert" -t "CT,C,C" -i /tmp/certificate.pem
- Ajoutez le certificat d'autorité de certification racine à pam_pkcs11.
cp /tmp/certificate.pem /etc/pki/ca-trust/source/anchors/ca_cert.pem
- Modifiez le fichier de configuration /etc/krb5.conf afin que son contenu soit semblable à l'exemple suivant.
[libdefaults]
default_realm = MYDOMAIN.COM
dns_lookup_realm = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
default_ccache_name = KEYRING:persistent:%{uid}
[realms]
MYDOMAIN.COM = {
kdc = ads-hostname
admin_server = ads-hostname
pkinit_anchors = DIR:/etc/pki/ca-trust/source/anchors
pkinit_kdc_hostname = ADS-HOSTNAME
pkinit_eku_checking = kpServerAuth
}
[domain_realm]
.mydomain.com = MYDOMAIN.COM
mydomain.com = MYDOMAIN.COM
Note : Vous devez également définir le mode égal à
644 dans
/etc/krb5.conf. Sinon, la fonctionnalité d'authentification unique réelle peut ne pas fonctionner.
Remplacez les valeurs d'espace réservé dans l'exemple par des informations spécifiques à votre configuration réseau, comme décrit dans le tableau suivant.
| Valeur d'espace réservé |
Description |
| mydomain.com |
Nom DNS de votre domaine AD |
| MYDOMAIN.COM |
Nom DNS de votre domaine AD (en majuscules) |
| ads-hostname |
Nom d'hôte de votre serveur AD |
| ADS-HOSTNAME |
Nom d'hôte de votre serveur AD (tout en majuscules) |
- Installez le module Horizon Agent, avec l'authentification unique réelle activée.
sudo ./install_viewagent.sh -T yes
- Ajoutez le paramètre suivant au fichier de configuration personnalisé Horizon Agent /etc/vmware/viewagent-custom.conf. Utilisez la syntaxe suivante, où NETBIOS_NAME_OF_DOMAIN est le nom du domaine NetBIOS de votre organisation.
NetbiosDomain=NETBIOS_NAME_OF_DOMAIN
Note : Pour SLED/SLES 15.x, utilisez toujours le nom long du domaine NetBIOS, par exemple
LXD.VDI. Si vous utilisez le nom court, tel que
LXD, la fonctionnalité d'authentification unique réelle ne fonctionne pas.
- Redémarrez la VM et reconnectez-vous.
