Ubuntu デスクトップでの True SSO の設定

Ubuntu デスクトップで True SSO 機能を有効にするには、True SSO 機能が依存するライブラリ、スマートカード認証で使用するルート CA 証明書、Horizon Agent をインストールします。また、一部の構成ファイルを編集して、認証設定を完了する必要があります。

次の手順に従って、Ubuntu デスクトップで True SSO を有効にします。これらのデスクトップで True SSO をサポートするには、Horizon Agent 7.8 以降をインストールする必要があります。

前提条件

VMware Identity Manager と Horizon Connection Server に True SSO を設定します。
True SSO での Ubuntu デスクトップと Active Directory の統合
ルート CA 証明書を取得し、デスクトップの /tmp/certificate.cer に保存します。ルート CA 証明書をエクスポートする方法を参照してください。

手順

Ubuntu デスクトップで pkcs11 サポートパッケージをインストールします。
```
sudo apt install libpam-pkcs11
```
libnss3-tools パッケージをインストールします。
```
sudo apt install libnss3-tools
```
ルート CA 証明書をインストールします。
1. ダウンロードしたルート CA 証明書を .pem ファイルに転送します。
```
openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
```
2. システムデータベースを格納する /etc/pki/nssdb ディレクトリを作成します。
```
sudo mkdir -p /etc/pki/nssdb
```
3. certutil コマンドを使用して、ルート CA 証明書をシステムデータベース /etc/pki/nssdb にインストールします。
```
sudo certutil -A -d /etc/pki/nssdb -n "root CA cert" -t "CT,C,C" -i /tmp/certificate.pem
```
4. ルート CA 証明書を /etc/pam_pkcs11/cacerts にディレクトリにコピーします。
```
mkdir -p /etc/pam_pkcs11/cacerts

sudo cp /tmp/certificate.pem /etc/pam_pkcs11/cacerts
```
5. ルート CA 証明書のハッシュリンクを作成します。/etc/pam_pkcs11/cacerts ディレクトリで、次のコマンドを実行します。
```
pkcs11_make_hash_link
```
Horizon Agent パッケージをインストールして、True SSO を有効にします。
```
sudo ./install_viewagent.sh -T yes
```
注： True SSO 機能を使用するには、 Horizon Agent 7.8 以降をインストールする必要があります。
次のパラメータを Horizon Agent カスタム構成ファイル (/etc/vmware/viewagent-custom.conf) に追加します。次の例を使用します。NETBIOS_NAME_OF_DOMAIN は、組織のドメインの NetBIOS 名です。
```
NetbiosDomain=NETBIOS_NAME_OF_DOMAIN
```
/etc/pam_pkcs11/pam_pkcs11.conf 構成ファイルを編集します。
1. 必要であれば、/etc/pam_pkcs11/pam_pkcs11.conf 構成ファイルを作成します。/usr/share/doc/libpam-pkcs11/examples でサンプルファイルを探し、このファイルを /etc/pam_pkcs11 ディレクトリにコピーして、ファイル名を pam_pkcs11.conf に変更します。必要であえば、ファイルのコンテンツにシステム情報を追加します。
2. 次の例に似たコンテンツが含まれるように、/etc/pam_pkcs11/pam_pkcs11.conf 構成ファイルを編集します。
注： Ubuntu 20.04 の場合は、 use_mappers 行の末尾に ms を追加します。
```
use_pkcs11_module = coolkey;
pkcs11_module coolkey {
  module = /usr/lib/vmware/viewagent/sso/libvmwpkcs11.so;
  slot_num = 0;
  ca_dir = /etc/pam_pkcs11/cacerts;
  nss_dir = /etc/pki/nssdb;
}

mapper ms {
  debug = false;
  module = internal;
  # module = /usr/$LIB/pam_pkcs11/ms_mapper.so;
  ignorecase = false;
  # ignore domain name
  ignoredomain = true;
  domain = "DOMAIN.COM"; #<== Replace "DOMAIN.COM" with your organization's domain name
}

use_mappers = digest, cn, pwent, uid, mail, subject, null, ms;  #<== For Ubuntu 20.04, append "ms" at end of use_mappers
```
PAM 構成ファイルで auth パラメータを変更します。
1. PAM 構成ファイルを開きます。
  - Ubuntu 16.04 の場合は、/etc/pam.d/lightdm を開きます。
  - Ubuntu 20.04/18.04 の場合は、/etc/pam.d/gdm-vmwcred を開きます。
2. 次の例のように、PAM 構成ファイルを編集します。
```
auth requisite pam_vmw_cred.so
auth sufficient pam_pkcs11.so try_first_pass
```
システムを再起動して再びログインします。