Pour configurer l'authentification unique (SSO) pour des postes de travail Linux, vous devez effectuer des étapes de configuration.
Le module Single Sign-On de VMware Horizon 8 communique avec les modules d'authentification enfichables (PAM, Pluggable Authentication Modules) dans Linux et ne dépend pas de la méthode que vous utilisez pour intégrer la machine virtuelle Linux à Active Directory (AD). Horizon 8 SSO est censé être compatible avec les solutions OpenLDAP et Winbind qui intègrent les machines virtuelles Linux à AD.
Par défaut, SSO suppose que l'attribut sAMAccountName d'AD est l'ID de connexion. Pour vérifier que le bon ID de connexion est utilisé pour SSO, vous devez effectuer les étapes de configuration suivantes si vous utilisez la solution OpenLDAP ou Winbind :
- Pour OpenLDAP, définissez sAMAccountName sur uid.
- Pour Winbind, ajoutez l'instruction suivante au fichier de configuration /etc/samba/smb.conf.
winbind use default domain = true
- Pour OpenLDAP, vous devez utiliser les noms de domaine courts en majuscules.
- Winbind prend en charge les noms de domaine longs et courts.
AD prend en charge les caractères spéciaux dans les noms de connexion, mais ce n'est pas le cas de Linux. Par conséquent, n'utilisez pas de caractères spéciaux dans les noms de connexion lorsque vous configurez SSO.
Dans AD, si l'attribut UserPrincipalName (UPN) d'un utilisateur et l'attribut sAMAccount ne correspondent pas et que l'utilisateur se connecte avec l'UPN, SSO échoue. Par exemple, si vous disposez d'un utilisateur, juser dans AD mycompany.com, mais que l'UPN de l'utilisateur est défini sur [email protected] plutôt que sur [email protected], SSO échoue. La solution pour l'utilisateur consiste à se connecter avec le nom stocké dans sAMAccount. Par exemple, juser.
- Pour Winbind, le nom d'utilisateur n'est pas sensible à la casse par défaut.
- Pour OpenLDAP, Ubuntu utilise NSCD pour authentifier les utilisateurs et n'est pas sensible à la casse par défaut.
- RHEL, Rocky Linux et CentOS utilisent SSSD pour authentifier les utilisateurs et ne sont pas sensibles à la casse par défaut. Pour modifier le paramètre, modifiez le fichier /etc/sssd/sssd.conf et ajoutez la ligne suivante dans la section
[domain/default]
:case_sensitive = false
Si plusieurs environnements de poste de travail sont installés sur votre machine virtuelle Linux, reportez-vous au document Environnement de poste de travail pour sélectionner l'environnement de poste de travail à utiliser avec SSO.