Pour prendre en charge True SSO sur un poste de travail RHEL ou Rocky Linux 9.x/8.x, vous devez d'abord intégrer la machine virtuelle (VM) de base à votre domaine Active Directory (AD). Vous devez ensuite modifier certaines configurations sur le système pour prendre en charge la fonctionnalité de True SSO.
Certains exemples de la procédure utilisent des valeurs d'espace réservé pour représenter des entités dans votre configuration réseau, telles que le nom DNS de votre domaine AD. Remplacez les valeurs d'espace réservé par des informations spécifiques à votre configuration, comme décrit dans le tableau suivant.
Valeur d'espace réservé |
Description |
mydomain.com |
Nom DNS de votre domaine AD |
MYDOMAIN.COM |
Nom DNS de votre domaine AD en majuscules |
MYDOMAIN |
Nom de votre domaine NetBIOS |
dnsserver.mydomain.com |
Nom de votre serveur DNS |
Procédure
- Sur la VM de base, vérifiez la connexion réseau à Active Directory.
sudo realm discover mydomain.com
- Installez les modules de dépendance requis.
sudo yum install oddjob oddjob-mkhomedir sssd adcli samba-common-tools
- Joignez le domaine AD.
sudo realm join --verbose mydomain.com -U administrator
- Installez le certificat ou la chaîne de certificats d'autorité de certification (CA) racine.
- Localisez le certificat ou la chaîne de certificats d'autorité de certification (CA) racine que vous avez téléchargé et transférez-le vers un fichier PEM.
sudo openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
- Copiez le certificat dans le fichier /etc/sssd/pki/sssd_auth_ca_db.pem.
sudo cp /tmp/certificate.pem /etc/sssd/pki/sssd_auth_ca_db.pem
- Modifiez le fichier de configuration /etc/sssd/sssd.conf, comme indiqué dans l'exemple suivant.
[sssd]
domains = mydomain.com
config_file_version = 2
services = nss, pam
[domain/mydomain.com]
ad_domain = mydomain.com
krb5_realm = MYDOMAIN.COM
realmd_tags = manages-system joined-with-adcli
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = False #Use short name for user
fallback_homedir = /home/%u@%d
access_provider = ad
ad_gpo_map_interactive = +gdm-vmwcred #Add this line for SSO
[pam] #Add pam section for certificate logon
pam_cert_auth = True #Add this line to enable certificate logon for system
pam_p11_allowed_services = +gdm-vmwcred #Add this line to enable certificate logon for VMware Horizon Agent
[certmap/mydomain.com/truesso] #Add this section and following lines to set match and map rule for certificate user
matchrule = <EKU>msScLogin
maprule = (|(userPrincipal={subject_principal})(samAccountName={subject_principal.short_name}))
domains = mydomain.com
priority = 10
- Modifiez le fichier de configuration /etc/krb5.conf en définissant le mode égal à
644
.
Note : Si vous ne modifiez pas
/etc/krb5.conf comme spécifié, la fonctionnalité de True SSO peut ne pas fonctionner.
- (RHEL ou Rocky Linux 9.x) Pour vous assurer que TrueSSO fonctionne correctement avec les pools de postes de travail d'Instant Clone, modifiez les configurations suivantes.
Note : Vous pouvez ignorer ces configurations si vous n'utilisez pas la VM pour un pool de postes de travail d'Instant Clone.
- Exécutez la commande pour autoriser explicitement la stratégie de chiffrement SHA-1.
sudo update-crypto-policies --set DEFAULT:SHA1
- Localisez le certificat d'autorité de certification (CA) racine ou la chaîne de certificats que vous avez téléchargé précédemment et copiez-le dans /etc/pki/ca-trust/source/anchors/ca_cert.pem. Utilisez ensuite la commande
update-ca-trust
pour permettre aux applications héritées de lire les certificats approuvés.
sudo cp /tmp/certificate.pem /etc/pki/ca-trust/source/anchors/ca_cert.pem
sudo update-ca-trust
- Modifiez le fichier /etc/krb5.conf, comme indiqué dans l'exemple suivant.
[realms]
MYDOMAIN.COM = {
kdc = dnsserver.mydomain.com
admin_server = dnsserver.mydomain.com
pkinit_anchors = DIR:/etc/pki/ca-trust/source/anchors
pkinit_kdc_hostname = dnsserver.mydomain.com
pkinit_eku_checking = kpServerAuth
}
[domain_realm]
.mydomain.com = MYDOMAIN.COM
mydomain.com = MYDOMAIN.COM
- Installez le module Horizon Agent, avec True SSO activée.
sudo ./install_viewagent.sh -T yes
- Modifiez le fichier de configuration de /etc/vmware/viewagent-custom.conf afin qu'il inclue la ligne suivante.
- Redémarrez la VM et reconnectez-vous.