Pour activer la fonctionnalité de True SSO sur une machine virtuelle SLED/SLES, installez les bibliothèques dont dépend la fonctionnalité de True SSO, le certificat d'autorité de certification (CA) racine pour prendre en charge l'authentification approuvée et Horizon Agent. En outre, vous devez modifier certains fichiers de configuration pour terminer la configuration de l'authentification.

Utilisez la procédure suivante pour activer True SSO sur une VM SLED ou SLES.

Conditions préalables

Procédure

  1. Installez les modules requis en exécutant la commande suivante.
    sudo zypper install mozilla-nss-tools pam_krb5 krb5-client krb5-plugin-preauth-pkinit
  2. Installez le certificat ou la chaîne de certificats d'autorité de certification (CA) racine.
    1. Localisez le certificat ou la chaîne de certificats d'autorité de certification (CA) racine que vous avez téléchargé et transférez-le vers un fichier PEM.
      sudo openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
    2. Créez un répertoire /etc/pki/nssdb pour qu'il contienne la base de données système.
      sudo mkdir -p /etc/pki/nssdb
    3. Utilisez la commande certutil pour installer le certificat ou la chaîne de certificats d'autorité de certification (CA) racine dans la base de données système /etc/pki/nssdb.
      Remplacez « Certificat d'autorité de certification racine » dans l'exemple de commande suivant par le nom du certificat d'autorité de certification racine dans la base de données système.
      sudo certutil -A -d /etc/pki/nssdb -n "root CA cert" -t "CT,C,C" -i /tmp/certificate.pem
      
    4. Ajoutez le certificat d'autorité de certification racine à pam_pkcs11.
      sudo cp /tmp/certificate.pem /etc/pki/ca-trust/source/anchors/ca_cert.pem
  3. Modifiez le fichier de configuration /etc/krb5.conf afin que son contenu soit semblable à l'exemple suivant.
    [libdefaults]
          default_realm = MYDOMAIN.COM
          dns_lookup_realm = false
          ticket_lifetime = 24h
          renew_lifetime = 7d
          forwardable = true
          rdns = false
          default_ccache_name = KEYRING:persistent:%{uid}
    
    [realms]
          MYDOMAIN.COM = {
                kdc = ads-hostname
                admin_server = ads-hostname 
                pkinit_anchors = DIR:/etc/pki/ca-trust/source/anchors
                pkinit_kdc_hostname = ADS-HOSTNAME
                pkinit_eku_checking = kpServerAuth
          }
    
    [domain_realm]
          .mydomain.com = MYDOMAIN.COM
          mydomain.com = MYDOMAIN.COM
    
    Note : Vous devez également définir les autorisations du fichier sur 644 pour /etc/krb5.conf. Sinon, la fonctionnalité de True SSO peut ne pas fonctionner.
    Remplacez les valeurs d'espace réservé dans l'exemple par des informations spécifiques à votre configuration réseau, comme décrit dans le tableau suivant.
    Valeur d'espace réservé Description
    mydomain.com Nom DNS de votre domaine AD
    MYDOMAIN.COM Nom DNS de votre domaine AD (en majuscules)
    ads-hostname Nom d'hôte de votre serveur AD
    ADS-HOSTNAME Nom d'hôte de votre serveur AD (tout en majuscules)
  4. Installez le module Horizon Agent, avec True SSO activée.
    sudo ./install_viewagent.sh -T yes
  5. Ajoutez le paramètre suivant au fichier de configuration personnalisé Horizon Agent /etc/vmware/viewagent-custom.conf. Utilisez la syntaxe suivante, où NETBIOS_NAME_OF_DOMAIN est le nom du domaine NetBIOS de votre organisation.
    NetbiosDomain=NETBIOS_NAME_OF_DOMAIN
    Note : Utilisez toujours le nom long du domaine NetBIOS, par exemple LXD.VDI. Si vous utilisez le nom court, tel que LXD, la fonctionnalité de True SSO ne fonctionne pas.
  6. Redémarrez la VM et reconnectez-vous.