RHEL/CentOS 7.x デスクトップで True SSO 機能を有効にするには、True SSO 機能が依存するライブラリ、スマート カード認証で使用するルート CA 証明書、Horizon Agent をインストールします。また、一部の構成ファイルを編集して、認証設定を完了する必要があります。

次の手順に従って、RHEL 7.x または CentOS 7.x デスクトップで True SSO を有効にします。これらのデスクトップで True SSO をサポートするには、Horizon Agent 7.6 以降をインストールする必要があります。

説明の中で、Active Directory ドメインの DNS 名などのネットワーク構成のエンティティをプレースホルダーで表している部分があります。次の表を参考にして、これらのプレースホルダーの値をご使用の環境に合わせて変更してください。

プレースホルダーの値 説明
dns_server DNS ネーム サーバのパス
mydomain.com Active Directory ドメインの DNS 名
MYDOMAIN.COM Active Directory ドメインの DNS 名。すべて大文字にします。

前提条件

手順

  1. PKCS11 サポート パッケージ グループをインストールします。
    yum install -y nss-tools nss-pam-ldapd pam_krb5 krb5-libs krb5-workstation krb5-pkinit
  2. ルート CA 証明書をインストールします。
    1. ダウンロードしたルート CA 証明書を .pem ファイルに転送します。
      openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
    2. certutil コマンドを使用して、ルート CA 証明書をシステム データベース /etc/pki/nssdb にインストールします。
      certutil -A -d /etc/pki/nssdb -n "root CA cert" -t "CT,C,C" -i /tmp/certificate.pem
    3. RHEL/CentOS 7.x システムで信頼された認証局 (CA) 証明書のリストにルート CA 証明書を追加し、update-ca-trust コマンドを使用して、システム全体のトラスト ストアの構成を更新します。
      cp /tmp/certificate.pem /etc/pki/ca-trust/source/anchors/ca_cert.pem
      update-ca-trust
  3. 次の例のように、ドメインのシステム SSSD 構成ファイルで該当するセクションを変更します。
    [domain/mydomain.com]
    ad_domain = mydomain.com
    krb5_realm = MYDOMAIN.COM
    realmd_tags = manages-system joined-with-samba
    cache_credentials = True
    id_provider = ad
    krb5_store_password_if_offline = True
    default_shell = /bin/bash
    ldap_id_mapping = True
    #set the next line to false, so you can use the short name instead of the full domain name.
    use_fully_qualified_names = False   
    fallback_homedir = /home/%u@%d
    access_provider = ad
  4. 次の例のように、Kerberos 構成ファイル(/etc/krb5.conf)を編集します。
    [libdefaults]
     dns_lookup_realm = false
     ticket_lifetime = 24h
     renew_lifetime = 7d
     forwardable = true
     rdns = false
     default_ccache_name = KEYRING:persistent:%{uid}
     # Add following line, if the system doesn't add it automatically
     default_realm = MYDOMAIN.COM
     
    [realms]
    MYDOMAIN.COM = {
      kdc = dns_server
      admin_server = dns_server
      # Add the following three lines for pkinit_*
      pkinit_anchors = DIR:/etc/pki/ca-trust/source/anchors
      pkinit_kdc_hostname = your_org_DNS_server
      pkinit_eku_checking = kpServerAuth
     }
    [domain_realm]
     mydomain.com = MYDOMAIN.COM
     .mydomain.com = MYDOMAIN.COM
  5. Horizon Agent パッケージをインストールして、True SSO を有効にします。
    sudo ./install_viewagent.sh -T yes
    注: Horizon Agent 7.6 以降をインストールする必要があります。
  6. 次のパラメータを Horizon Agent カスタム構成ファイル (/etc/vmware/viewagent-custom.conf) に追加します。次の例を使用します。NETBIOS_NAME_OF_DOMAIN は、組織のドメインの NetBIOS 名です。
    NetbiosDomain=NETBIOS_NAME_OF_DOMAIN
  7. システムを再起動して再びログインします。