SLED/SLES デスクトップで True SSO 機能を有効にするには、True SSO 機能が依存するライブラリ、スマート カード認証で使用するルート CA 証明書、および Horizon Agent をインストールします。また、一部の構成ファイルを編集して、認証設定を完了する必要があります。
次の手順に従って、SLED/SLES デスクトップで True SSO を有効にします。
手順
- SLES 12.x SP3/SP5 の場合は、次のコマンドを実行して、必要なパッケージをインストールします。
zypper install mozilla-nss-tools pam_krb5 krb5-client krb5-plugin-preauth-pkinit
- SLED 12.x SP3 の場合は、次の手順に従って、必要なパッケージをインストールします。
- SLES .iso ファイルをダウンロードして、SLED デスクトップのローカル ディスクに保存します(例:/tmp/SLE-12-SP3-Server-DVD-x86_64-GM-DVD1.iso)。
必要な
krb5-plugin-preauth-pkinit パッケージは SLES システムでのみ使用可能です。このため、SLES .iso ファイルを SLED デスクトップのパッケージ ソースとして追加する必要があります。
- SLED デスクトップに SLES .iso ファイルをマウントし、必要なパッケージをインストールします。
sudo mkdir -p /mnt/sles
sudo mount -t iso9660 /tmp/SLE-12-SP3-Server-DVD-x86_64-GM-DVD1.iso /mnt/sles
sudo zypper ar -f /mnt/sles sles
zypper install mozilla-nss-tools pam_krb5 krb5-client krb5-plugin-preauth-pkinit
- インストールが完了したら、SLES .iso ファイルのマウントを解除します。
- ルート CA 証明書をインストールします。
- ダウンロードしたルート CA 証明書を .pem ファイルに転送します。
openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
- certutil コマンドを使用して、ルート CA 証明書をシステム データベース /etc/pki/nssdb にインストールします。
certutil -A -d /etc/pki/nssdb -n "root CA cert" -t "CT,C,C" -i /tmp/certificate.pem
- ルート CA 証明書を pam_pkcs11 に追加します。
cp /tmp/certificate.pem /etc/pki/ca-trust/source/anchors/ca_cert.pem
- 次の例のように、/etc/krb5.conf 構成ファイルの内容を編集します。
[libdefaults]
default_realm = MYDOMAIN.COM
dns_lookup_realm = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
default_ccache_name = KEYRING:persistent:%{uid}
[realms]
MYDOMAIN.COM = {
kdc = ads-hostname
admin_server = ads-hostname
pkinit_anchors = DIR:/etc/pki/ca-trust/source/anchors
pkinit_kdc_hostname = ads-hostname
pkinit_eku_checking = kpServerAuth
}
[domain_realm]
.mydomain.com = MYDOMAIN.COM
mydomain.com = MYDOMAIN.COM
次の表を参考にして、サンプルのプレースホルダーの値をご使用のネットワーク環境に合わせて変更してください。
プレースホルダーの値 |
説明 |
mydomain.com |
Active Directory ドメインの DNS 名 |
MYDOMAIN.COM |
Active Directory ドメインの DNS 名。すべて大文字にします。 |
ads-hostname |
Active Directory サーバのホスト名(大文字と小文字を区別) |
- Horizon Agent パッケージをインストールして、True SSO を有効にします。
sudo ./install_viewagent.sh -T yes
- 次のパラメータを Horizon Agent カスタム構成ファイル (/etc/vmware/viewagent-custom.conf) に追加します。次の例を使用します。NETBIOS_NAME_OF_DOMAIN は、組織のドメインの NetBIOS 名です。
NetbiosDomain=NETBIOS_NAME_OF_DOMAIN
- システムを再起動して再びログインします。