SLED/SLES 12.x SP3 デスクトップで True SSO 機能を有効にするには、True SSO 機能が依存するライブラリ、スマート カード認証で使用するルート CA 証明書、Horizon Agent をインストールします。また、一部の構成ファイルを編集して、認証設定を完了する必要があります。
次の手順に従って、SLED 12.x SP3 または SLES 12.x SP3 デスクトップで True SSO を有効にします。これらのデスクトップで True SSO をサポートするには、Horizon Agent 7.8 以降をインストールする必要があります。
手順
- SLES 12.x SP3 デスクトップの場合は、次のコマンドを実行して、必要なパッケージをインストールします。
zypper install mozilla-nss-tools pam_krb5 krb5-client krb5-plugin-preauth-pkinit
- SLED 12.x SP3 デスクトップの場合は、次の手順に従って、必要なパッケージをインストールします。
- SLES .iso ファイルをダウンロードして、SLED デスクトップのローカル ディスクに保存します(例:/tmp/SLE-12-SP3-Server-DVD-x86_64-GM-DVD1.iso)。
必要な
krb5-plugin-preauth-pkinit パッケージは SLES システムでのみ使用可能です。このため、SLES .iso ファイルを SLED デスクトップのパッケージ ソースとして追加する必要があります。
- SLED デスクトップに SLES .iso ファイルをマウントし、必要なパッケージをインストールします。
sudo mkdir -p /mnt/sles
sudo mount -t iso9660 /tmp/SLE-12-SP3-Server-DVD-x86_64-GM-DVD1.iso /mnt/sles
sudo zypper ar -f /mnt/sles sles
zypper install mozilla-nss-tools pam_krb5 krb5-client krb5-plugin-preauth-pkinit
- インストールが完了したら、SLES .iso ファイルのマウントを解除します。
- ルート CA 証明書をインストールします。
- ダウンロードしたルート CA 証明書を .pem ファイルに転送します。
openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
- certutil コマンドを使用して、ルート CA 証明書をシステム データベース /etc/pki/nssdb にインストールします。
certutil -A -d /etc/pki/nssdb -n "root CA cert" -t "CT,C,C" -i /tmp/certificate.pem
- ルート CA 証明書を pam_pkcs11 に追加します。
cp /tmp/certificate.pem /etc/pki/ca-trust/source/anchors/ca_cert.pem
- 次の例のように、/etc/krb5.conf 構成ファイルの内容を編集します。
[libdefaults]
default_realm = MYDOMAIN.COM
dns_lookup_realm = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
default_ccache_name = KEYRING:persistent:%{uid}
[realms]
MYDOMAIN.COM = {
kdc = ads-hostname
admin_server = ads-hostname
pkinit_anchors = DIR:/etc/pki/ca-trust/source/anchors
pkinit_kdc_hostname = ads-hostname
pkinit_eku_checking = kpServerAuth
}
[domain_realm]
.mydomain.com = MYDOMAIN.COMmydomain.com = MYDOMAIN.COM
次の表を参考にして、サンプルのプレースホルダーの値をご使用のネットワーク環境に合わせて変更してください。
プレースホルダーの値 |
説明 |
mydomain.com |
Active Directory ドメインの DNS 名 |
MYDOMAIN.COM |
Active Directory ドメインの DNS 名。すべて大文字にします。 |
ads-hostname |
Active Directory サーバのホスト名(大文字と小文字を区別) |
- Horizon Agent パッケージをインストールして、True SSO を有効にします。
sudo ./install_viewagent.sh -T yes
注: True SSO 機能を使用するには、
Horizon Agent 7.8 以降をインストールする必要があります。
- 次のパラメータを Horizon Agent カスタム構成ファイル (/etc/vmware/viewagent-custom.conf) に追加します。次の例を使用します。NETBIOS_NAME_OF_DOMAIN は、組織のドメインの NetBIOS 名です。
NetbiosDomain=NETBIOS_NAME_OF_DOMAIN
- システムを再起動して再びログインします。