シングル サインオン (SSO) とスマート カード リダイレクトをセットアップするには、構成手順をいくつか実行する必要があります。

Single Sign-On

Horizon のシングル サインオン モジュールは Linux で PAM(プラグ可能な認証モジュール)と通信を行い、Linux を Active Directory (AD) と連携するために使用する方法には依存しません。Horizon Single Sign-on は、Linux を Active Directory と連携する OpenLDAP と Winbind のソリューションで動作することが分かっています。

デフォルトの場合、SSO では、Active Directory の sAMAccountName 属性がログイン ID であると想定されます。OpenLDAP か Winbind ソリューションを使用する場合、正しいログイン ID を SSO に使用するには、次の構成手順を実行する必要があります。

  • OpenLDAP では、sAMAccountNameuid に設定します。

  • Winbind では、次のステートメントを構成ファイル /etc/samba/smb.conf に追加します。

    winbind use default domain = true

ユーザーがドメイン名を指定してログインする必要がある場合は、SSOUserFormat オプションを Linux デスクトップで設定する必要があります。詳細については、Linux デスクトップでの構成ファイルのオプション設定を参照してください。SSO では常に、大文字で短いドメイン名が使用されることに注意してください。たとえば、ドメインが mydomain.com である場合、SSO では MYDOMAIN がドメイン名として使用されます。このため、SSOUserFormat オプションを設定するときには、MYDOMAIN を指定する必要があります。短いドメイン名と長いドメイン名については、次のルールが適用されます。

  • OpenLDAP では、大文字で短いドメイン名を使用する必要があります。

  • Winbind では、長いドメイン名と短いドメイン名が両方ともサポートされます。

Active Directory ではログイン名で特殊文字がサポートされますが、Linux ではサポートされません。このため、SSO のセットアップ時には、特殊文字をログイン名に使用しないでください。

Active Directory では、ユーザーの UserPrincipalName (UPN) 属性と sAMAccount 属性が一致せずに、ユーザーが UPN でログインすると、SSO は失敗します。たとえば、Active Directory の mycompany.com にユーザー juser が存在しているときに、ユーザーの UPN が juser@mycompany.com ではなく juser123@mycompany.com の場合、SSO が失敗します。ユーザーが、sAMAccount に保存されている名前を使用してログインすると、これを回避できます。たとえば、juser のように追加します。

Horizon 7 では、ユーザー名の大文字と小文字を区別する必要はありません。Linux オペレーティング システムで、大文字と小文字を区別しないユーザー名を処理できることを確認してください。

  • Winbind では、ユーザー名の大文字と小文字がデフォルトで区別されません。

  • OpenLDAP では、Ubuntu が NSCD を使用してユーザーを認証し、大文字と小文字がデフォルトで区別されません。RHEL と CentOS は SSSD を使用してユーザーを認証し、大文字と小文字がデフォルトで区別されます。設定を変更するには、ファイル /etc/sssd/sssd.conf を編集して次の行を [domain/default] セクションに追加します。

    case_sensitive = false

Linux デスクトップに複数のデスクトップ環境がインストールされている場合には、デスクトップ環境を参照して、SSO で使用するデスクトップ環境を選択してください。

スマート カード リダイレクト

スマート カード リダイレクトをセットアップするには、最初に Linux ディストリビュータとスマート カード ベンダーの指示に従ってください。次に、pcsc-lite パッケージを 1.7.4 に更新します。たとえば、次のコマンドを実行します。

#yum groupinstall "Development tools"
#yum install libudev-devel
#service pcscd stop
#wget https://alioth.debian.org/frs/download.php/file/3598/pcsc-lite-1.7.4.tar.bz2
#tar -xjvf pcsc-lite-1.7.4.tar.bz2
#cd ./pcsc-lite-1.7.4
#./configure --prefix=/usr/ --libdir=/usr/lib64/ --enable-usbdropdir=/usr/lib64/pcsc/drivers
 --enable-confdir=/etc --enable-ipcdir=/var/run  --disable-libusb --disable-serial --disable-usb
 --disable-libudev
#make
#make install
#service pcscd start

Winbind では、次のステートメントを構成ファイル /etc/samba/smb.conf に追加します。

winbind use default domain = true

Horizon Agent をインストールするときは、最初に SELinux を無効にするか、SELinux の permissive モードを有効にする必要があります。スマート カード リダイレクトのコンポーネントを明確に選択する必要もあります。コンポーネントはデフォルトでは選択されません。詳細については、install_viewagent.sh コマンドライン オプションを参照してください。

Horizon 7 バージョン 7.0.1 以降では、スマート カード SSO が有効になっています。スマート カード リダイレクト機能を仮想マシンにインストールすると、vSphere Client の USB リダイレクトはスマート カードで動作しません。

スマート カード リダイレクトでは、1 つのスマート カード リーダのみがサポートされます。複数のリーダをクライアント デバイスに接続すると、この機能は動作しません。

スマート カード リダイレクトでは、カードで 1 つの証明書のみがサポートされます。複数の証明書がカードに存在する場合、最初のスロットの証明書が使用され、その他の証明書は無視されます。この動作は Linux の制限です。

注:
  • スマートカードは、次の winbind値をサポートします。それ以外の場合は、スマートカード SSO と手動のログインは失敗します。

    winbind use default domain=true
  • Horizon Client for Linux で、Linux デスクトップ スマート カード リダイレクトに対応するブローカの認証を PIV カードで行う場合、TLSv1.2 サポートを PIV スマート カードに設定し、SSL エラーを回避する必要があります。VMware のナレッジベースの記事http://kb.vmware.com/kb/2150470にある解決策に従ってください。