Pour configurer l'authentification unique (SSO) pour des postes de travail Linux, vous devez effectuer des étapes de configuration.

Le module Single Sign-On de VMware Horizon 8 communique avec les modules d'authentification enfichables (PAM, Pluggable Authentication Modules) dans Linux et ne dépend pas de la méthode que vous utilisez pour intégrer la machine virtuelle Linux à Active Directory (AD). Horizon 8 SSO est censé être compatible avec les solutions OpenLDAP et Winbind qui intègrent les machines virtuelles Linux à AD.

Par défaut, SSO suppose que l'attribut sAMAccountName d'AD est l'ID de connexion. Pour vérifier que le bon ID de connexion est utilisé pour SSO, vous devez effectuer les étapes de configuration suivantes si vous utilisez la solution OpenLDAP ou Winbind :

  • Pour OpenLDAP, définissez sAMAccountName sur uid.
  • Pour Winbind, ajoutez l'instruction suivante au fichier de configuration /etc/samba/smb.conf.
    winbind use default domain = true
Si des utilisateurs doivent spécifier le nom de domaine pour se connecter, vous devez définir l'option SSOUserFormat sur le poste de travail Linux. Pour plus d'informations, reportez-vous à la section Définir des options dans des fichiers de configuration sur un poste de travail Linux. L'authentification unique utilise toujours le nom de domaine court en majuscules. Par exemple, si le domaine est mydomain.com, SSO utilise MYDOMAIN comme nom de domaine. Par conséquent, vous devez spécifier MYDOMAIN lorsque vous définissez l'option SSOUserFormat. Concernant les noms de domaine courts et longs, les règles suivantes s'appliquent :
  • Pour OpenLDAP, vous devez utiliser les noms de domaine courts en majuscules.
  • Winbind prend en charge les noms de domaine longs et courts.

AD prend en charge les caractères spéciaux dans les noms de connexion, mais ce n'est pas le cas de Linux. Par conséquent, n'utilisez pas de caractères spéciaux dans les noms de connexion lorsque vous configurez SSO.

Dans AD, si l'attribut UserPrincipalName (UPN) d'un utilisateur et l'attribut sAMAccount ne correspondent pas et que l'utilisateur se connecte avec l'UPN, SSO échoue. Par exemple, si vous disposez d'un utilisateur, juser dans AD mycompany.com, mais que l'UPN de l'utilisateur est défini sur [email protected] plutôt que sur [email protected], SSO échoue. La solution pour l'utilisateur consiste à se connecter avec le nom stocké dans sAMAccount. Par exemple, juser.

Horizon Agent n'exige pas que le nom d'utilisateur soit sensible à la casse. Vous devez vérifier que le système d'exploitation Linux peut gérer les noms d'utilisateur non sensibles à la casse.
  • Pour Winbind, le nom d'utilisateur n'est pas sensible à la casse par défaut.
  • Pour OpenLDAP, Ubuntu utilise NSCD pour authentifier les utilisateurs et n'est pas sensible à la casse par défaut.
  • RHEL, Rocky Linux et CentOS utilisent SSSD pour authentifier les utilisateurs et ne sont pas sensibles à la casse par défaut. Pour modifier le paramètre, modifiez le fichier /etc/sssd/sssd.conf et ajoutez la ligne suivante dans la section [domain/default] :
    case_sensitive = false

Si plusieurs environnements de poste de travail sont installés sur votre machine virtuelle Linux, reportez-vous au document Environnement de poste de travail pour sélectionner l'environnement de poste de travail à utiliser avec SSO.