SLED/SLES 12.x SP3 デスクトップで True SSO 機能を有効にするには、True SSO 機能が依存するライブラリ、スマート カード認証で使用するルート CA 証明書、Horizon Agent をインストールします。また、一部の構成ファイルを編集して、認証設定を完了する必要があります。

次の手順に従って、SLED 12.x SP3 または SLES 12.x SP3 デスクトップで True SSO を有効にします。これらのデスクトップで True SSO をサポートするには、Horizon Agent 7.8 以降をインストールする必要があります。

前提条件

手順

  1. SLES 12.x SP3 デスクトップの場合は、次のコマンドを実行して、必要なパッケージをインストールします。
    zypper install mozilla-nss-tools pam_krb5 krb5-client krb5-plugin-preauth-pkinit
  2. SLED 12.x SP3 デスクトップの場合は、次の手順に従って、必要なパッケージをインストールします。
    1. SLES .iso ファイルをダウンロードして、SLED デスクトップのローカル ディスクに保存します(例:/tmp/SLE-12-SP3-Server-DVD-x86_64-GM-DVD1.iso)。
      必要な krb5-plugin-preauth-pkinit パッケージは SLES システムでのみ使用可能です。このため、SLES .iso ファイルを SLED デスクトップのパッケージ ソースとして追加する必要があります。
    2. SLED デスクトップに SLES .iso ファイルをマウントし、必要なパッケージをインストールします。
      sudo mkdir -p /mnt/sles
      sudo mount -t iso9660 /tmp/SLE-12-SP3-Server-DVD-x86_64-GM-DVD1.iso /mnt/sles
      sudo zypper ar -f /mnt/sles sles
      zypper install mozilla-nss-tools pam_krb5 krb5-client krb5-plugin-preauth-pkinit
    3. インストールが完了したら、SLES .iso ファイルのマウントを解除します。
      sudo unmount /mnt/sles
  3. ルート CA 証明書をインストールします。
    1. ダウンロードしたルート CA 証明書を .pem ファイルに転送します。
      openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
    2. certutil コマンドを使用して、ルート CA 証明書をシステム データベース /etc/pki/nssdb にインストールします。
      certutil -A -d /etc/pki/nssdb -n "root CA cert" -t "CT,C,C" -i /tmp/certificate.pem
    3. ルート CA 証明書を pam_pkcs11 に追加します。
      cp /tmp/certificate.pem /etc/pki/ca-trust/source/anchors/ca_cert.pem
  4. 次の例のように、/etc/krb5.conf 構成ファイルの内容を編集します。
    [libdefaults]
          default_realm = MYDOMAIN.COM
          dns_lookup_realm = false
          ticket_lifetime = 24h
          renew_lifetime = 7d
          forwardable = true
          rdns = false
          default_ccache_name = KEYRING:persistent:%{uid}
    
    [realms]
          MYDOMAIN.COM = {
                kdc = ads-hostname
                admin_server = ads-hostname 
                pkinit_anchors = DIR:/etc/pki/ca-trust/source/anchors
                pkinit_kdc_hostname = ads-hostname
                pkinit_eku_checking = kpServerAuth
          }
    
    [domain_realm]
          .mydomain.com = MYDOMAIN.COMmydomain.com = MYDOMAIN.COM
    次の表を参考にして、サンプルのプレースホルダーの値をご使用のネットワーク環境に合わせて変更してください。
    プレースホルダーの値 説明
    mydomain.com Active Directory ドメインの DNS 名
    MYDOMAIN.COM Active Directory ドメインの DNS 名。すべて大文字にします。
    ads-hostname Active Directory サーバのホスト名(大文字と小文字を区別)
  5. Horizon Agent パッケージをインストールして、True SSO を有効にします。
    sudo ./install_viewagent.sh -T yes
    注: : True SSO 機能を使用するには、 Horizon Agent 7.8 以降をインストールする必要があります。
  6. 次のパラメータを Horizon Agent カスタム構成ファイル (/etc/vmware/viewagent-custom.conf) に追加します。次の例を使用します。NETBIOS_NAME_OF_DOMAIN は、組織のドメインの NetBIOS 名です。
    NetbiosDomain=NETBIOS_NAME_OF_DOMAIN
  7. システムを再起動して再びログインします。