Pour activer la fonctionnalité de True SSO sur une machine virtuelle SLED/SLES, installez les bibliothèques dont dépend la fonctionnalité de True SSO, le certificat d'autorité de certification (CA) racine pour prendre en charge l'authentification approuvée et Horizon Agent. En outre, vous devez modifier certains fichiers de configuration pour terminer la configuration de l'authentification.
Utilisez la procédure suivante pour activer True SSO sur une VM SLED ou SLES.
Procédure
- Installez les modules requis en exécutant la commande suivante.
zypper install mozilla-nss-tools pam_krb5 krb5-client krb5-plugin-preauth-pkinit
- Installez le certificat ou la chaîne de certificats d'autorité de certification (CA) racine.
- Localisez le certificat ou la chaîne de certificats d'autorité de certification (CA) racine que vous avez téléchargé et transférez-le vers un fichier PEM.
openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
- Créez un répertoire /etc/pki/nssdb pour qu'il contienne la base de données système.
sudo mkdir -p /etc/pki/nssdb
- Utilisez la commande certutil pour installer le certificat ou la chaîne de certificats d'autorité de certification (CA) racine dans la base de données système /etc/pki/nssdb.
Remplacez « Certificat d'autorité de certification racine » dans l'exemple de commande suivant par le nom du certificat d'autorité de certification racine dans la base de données système.
sudo certutil -A -d /etc/pki/nssdb -n "root CA cert" -t "CT,C,C" -i /tmp/certificate.pem
- Ajoutez le certificat d'autorité de certification racine à pam_pkcs11.
sudo cp /tmp/certificate.pem /etc/pki/ca-trust/source/anchors/ca_cert.pem
- Modifiez le fichier de configuration /etc/krb5.conf afin que son contenu soit semblable à l'exemple suivant.
[libdefaults]
default_realm = MYDOMAIN.COM
dns_lookup_realm = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
default_ccache_name = KEYRING:persistent:%{uid}
[realms]
MYDOMAIN.COM = {
kdc = ads-hostname
admin_server = ads-hostname
pkinit_anchors = DIR:/etc/pki/ca-trust/source/anchors
pkinit_kdc_hostname = ADS-HOSTNAME
pkinit_eku_checking = kpServerAuth
}
[domain_realm]
.mydomain.com = MYDOMAIN.COM
mydomain.com = MYDOMAIN.COM
Note : Vous devez également définir les autorisations du fichier sur
644 pour
/etc/krb5.conf. Sinon, la fonctionnalité de True SSO peut ne pas fonctionner.
Remplacez les valeurs d'espace réservé dans l'exemple par des informations spécifiques à votre configuration réseau, comme décrit dans le tableau suivant.
| Valeur d'espace réservé |
Description |
| mydomain.com |
Nom DNS de votre domaine AD |
| MYDOMAIN.COM |
Nom DNS de votre domaine AD (en majuscules) |
| ads-hostname |
Nom d'hôte de votre serveur AD |
| ADS-HOSTNAME |
Nom d'hôte de votre serveur AD (tout en majuscules) |
- Installez le module Horizon Agent, avec True SSO activée.
sudo ./install_viewagent.sh -T yes
- Ajoutez le paramètre suivant au fichier de configuration personnalisé Horizon Agent /etc/vmware/viewagent-custom.conf. Utilisez la syntaxe suivante, où NETBIOS_NAME_OF_DOMAIN est le nom du domaine NetBIOS de votre organisation.
NetbiosDomain=NETBIOS_NAME_OF_DOMAIN
Note : Utilisez toujours le nom long du domaine NetBIOS, par exemple
LXD.VDI. Si vous utilisez le nom court, tel que
LXD, la fonctionnalité de True SSO ne fonctionne pas.
- Redémarrez la VM et reconnectez-vous.
