SLED/SLES デスクトップで True SSO 機能を有効にするには、True SSO 機能が依存するライブラリ、スマート カード認証で使用するルート CA 証明書、および Horizon Agent をインストールします。また、一部の構成ファイルを編集して、認証設定を完了する必要があります。

次の手順に従って、SLED/SLES デスクトップで True SSO を有効にします。

前提条件

手順

  1. SLES 12.x SP3/SP5 の場合は、次のコマンドを実行して、必要なパッケージをインストールします。
    zypper install mozilla-nss-tools pam_krb5 krb5-client krb5-plugin-preauth-pkinit
  2. SLED 12.x SP3 の場合は、次の手順に従って、必要なパッケージをインストールします。
    1. SLES .iso ファイルをダウンロードして、SLED デスクトップのローカル ディスクに保存します(例:/tmp/SLE-12-SP3-Server-DVD-x86_64-GM-DVD1.iso)。
      必要な krb5-plugin-preauth-pkinit パッケージは SLES システムでのみ使用可能です。このため、SLES .iso ファイルを SLED デスクトップのパッケージ ソースとして追加する必要があります。
    2. SLED デスクトップに SLES .iso ファイルをマウントし、必要なパッケージをインストールします。
      sudo mkdir -p /mnt/sles
      sudo mount -t iso9660 /tmp/SLE-12-SP3-Server-DVD-x86_64-GM-DVD1.iso /mnt/sles
      sudo zypper ar -f /mnt/sles sles
      zypper install mozilla-nss-tools pam_krb5 krb5-client krb5-plugin-preauth-pkinit
    3. インストールが完了したら、SLES .iso ファイルのマウントを解除します。
      sudo unmount /mnt/sles
  3. ルート CA 証明書をインストールします。
    1. ダウンロードしたルート CA 証明書を .pem ファイルに転送します。
      openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
    2. certutil コマンドを使用して、ルート CA 証明書をシステム データベース /etc/pki/nssdb にインストールします。
      certutil -A -d /etc/pki/nssdb -n "root CA cert" -t "CT,C,C" -i /tmp/certificate.pem
    3. ルート CA 証明書を pam_pkcs11 に追加します。
      cp /tmp/certificate.pem /etc/pki/ca-trust/source/anchors/ca_cert.pem
  4. 次の例のように、/etc/krb5.conf 構成ファイルの内容を編集します。
    [libdefaults]
          default_realm = MYDOMAIN.COM
          dns_lookup_realm = false
          ticket_lifetime = 24h
          renew_lifetime = 7d
          forwardable = true
          rdns = false
          default_ccache_name = KEYRING:persistent:%{uid}
    
    [realms]
          MYDOMAIN.COM = {
                kdc = ads-hostname
                admin_server = ads-hostname 
                pkinit_anchors = DIR:/etc/pki/ca-trust/source/anchors
                pkinit_kdc_hostname = ads-hostname
                pkinit_eku_checking = kpServerAuth
          }
    
    [domain_realm]
          .mydomain.com = MYDOMAIN.COM
          mydomain.com = MYDOMAIN.COM
    
    次の表を参考にして、サンプルのプレースホルダーの値をご使用のネットワーク環境に合わせて変更してください。
    プレースホルダーの値 説明
    mydomain.com Active Directory ドメインの DNS 名
    MYDOMAIN.COM Active Directory ドメインの DNS 名。すべて大文字にします。
    ads-hostname Active Directory サーバのホスト名(大文字と小文字を区別)
  5. Horizon Agent パッケージをインストールして、True SSO を有効にします。
    sudo ./install_viewagent.sh -T yes
  6. 次のパラメータを Horizon Agent カスタム構成ファイル (/etc/vmware/viewagent-custom.conf) に追加します。次の例を使用します。NETBIOS_NAME_OF_DOMAIN は、組織のドメインの NetBIOS 名です。
    NetbiosDomain=NETBIOS_NAME_OF_DOMAIN
  7. システムを再起動して再びログインします。