Configurer True SSO sur une machine virtuelle RHEL/CentOS 7.x

Pour activer la fonctionnalité de True SSO sur une machine virtuelle (VM) RHEL/CentOS 7.x, installez les bibliothèques dont dépend la fonctionnalité de True SSO, le certificat d'autorité de certification (CA) racine pour prendre en charge l'authentification approuvée et Horizon Agent. En outre, vous devez modifier certains fichiers de configuration pour terminer la configuration de l'authentification.

Utilisez la procédure suivante pour activer True SSO sur une VM RHEL 7.x ou CentOS 7.x.

Certains exemples de la procédure utilisent des valeurs d'espace réservé pour représenter des entités dans votre configuration réseau, telles que le nom DNS de votre domaine AD. Remplacez les valeurs d'espace réservé par des informations spécifiques à votre configuration, comme décrit dans le tableau suivant.


Valeur d'espace réservé	Description
dns_server	Chemin d'accès à votre serveur de nom DNS
mydomain.com	Nom DNS de votre domaine AD
MYDOMAIN.COM	Nom DNS de votre domaine AD en majuscules

Conditions préalables

Configurez True SSO pour Workspace ONE Access et Horizon Connection Server.
Effectuez les étapes décrites dans la section Intégrer une machine virtuelle RHEL/CentOS 7.x à Active Directory pour True SSO.
Procurez-vous un certificat d'autorité de certification racine et enregistrez-le dans /tmp/certificate.cer sur votre machine virtuelle RHEL/CentOS 7.x. Reportez-vous à Exportation du certificat d'autorité de certification de racine.
Si une autorité de certification (CA) subordonnée est également une autorité émettrice, procurez-vous la chaîne complète de certificats d'autorité de certification (CA) racine et subordonnée et enregistrez-la dans /tmp/certificate.cer sur la machine virtuelle.

Procédure

Installez le groupe de module de prise en charge PKCS11.

sudo yum install -y nss-tools nss-pam-ldapd pam_krb5 krb5-libs krb5-workstation krb5-pkinit

Installez le certificat ou la chaîne de certificats d'autorité de certification (CA) racine.
1. Localisez le certificat ou la chaîne de certificats d'autorité de certification (CA) racine que vous avez téléchargé et transférez-le vers un fichier PEM.
```
sudo openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
```
2. Créez un répertoire /etc/pki/nssdb pour qu'il contienne la base de données système.
```
sudo mkdir -p /etc/pki/nssdb
```
3. Utilisez la commande certutil pour installer le certificat ou la chaîne de certificats d'autorité de certification (CA) racine dans la base de données système /etc/pki/nssdb.
  Remplacez « Certificat d'autorité de certification racine » dans l'exemple de commande suivant par le nom du certificat d'autorité de certification racine dans la base de données système.
```
sudo certutil -A -d /etc/pki/nssdb -n "root CA cert" -t "CT,C,C" -i /tmp/certificate.pem
```
4. Ajoutez le certificat ou la chaîne de certificats d'autorité de certification racine à la liste des certificats d'autorité de certification approuvés sur la machine virtuelle RHEL/CentOS 7.x et mettez à jour la configuration du magasin d'approbations à l'échelle du système à l'aide de la commande update-ca-trust.
```
sudo cp /tmp/certificate.pem /etc/pki/ca-trust/source/anchors/ca_cert.pem
sudo update-ca-trust
```

Modifiez la section appropriée dans le fichier de configuration SSSD de votre système pour votre domaine, comme indiqué dans l'exemple suivant.

[domain/mydomain.com]
ad_domain = mydomain.com
krb5_realm = MYDOMAIN.COM
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
#set the next line to false, so you can use the short name instead of the full domain name.
use_fully_qualified_names = False   
fallback_homedir = /home/%u@%d
access_provider = ad

Modifiez le fichier de configuration Kerberos /etc/krb5.conf, comme indiqué dans l'exemple suivant.

[libdefaults]
 dns_lookup_realm = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 rdns = false
 default_ccache_name = KEYRING:persistent:%{uid}
 # Add following line, if the system doesn't add it automatically
 default_realm = MYDOMAIN.COM
 
[realms]
MYDOMAIN.COM = {
  kdc = dns_server
  admin_server = dns_server
  # Add the following three lines for pkinit_*
  pkinit_anchors = DIR:/etc/pki/ca-trust/source/anchors
  pkinit_kdc_hostname = your_org_DNS_server
  pkinit_eku_checking = kpServerAuth
 }
[domain_realm]
 mydomain.com = MYDOMAIN.COM
 .mydomain.com = MYDOMAIN.COM

Note : Vous devez également définir le mode égal à 644 dans /etc/krb5.conf. Sinon, la fonctionnalité de True SSO peut ne pas fonctionner.

Installez le module Horizon Agent, avec True SSO activée.
```
sudo ./install_viewagent.sh -T yes
```
Ajoutez le paramètre suivant au fichier de configuration personnalisé Horizon Agent /etc/vmware/viewagent-custom.conf. Utilisez l'exemple suivant, où NETBIOS_NAME_OF_DOMAINE est le nom NetBIOS du domaine de votre organisation.
```
NetbiosDomain=NETBIOS_NAME_OF_DOMAIN
```
Redémarrez la VM et reconnectez-vous.