RHEL/CentOS 8.x デスクトップでの True SSO の設定

RHEL/CentOS 8.x デスクトップで True SSO をサポートするには、まず Active Directory (AD) ドメインとベース仮想マシンを統合する必要があります。次に、True SSO 機能をサポートするように、システムで特定の設定を変更する必要があります。

注：インスタントクローンの RHEL 8.x デスクトップでは、True SSO はサポートされていません。

説明の中で、Active Directory ドメインの DNS 名などのネットワーク構成のエンティティをプレースホルダーで表している部分があります。次の表を参考にして、これらのプレースホルダーの値をご使用の環境に合わせて変更してください。


プレースホルダーの値	説明
mydomain.com	Active Directory ドメインの DNS 名
MYDOMAIN.COM	Active Directory ドメインの DNS 名。すべて大文字にします。
MYDOMAIN	NetBIOS ドメインの名前

前提条件

Workspace ONE Access と Horizon Connection Server に True SSO を設定します。
Active Directory (AD) サーバが RHEL/CentOS 8.x ベース仮想マシンの DNS で解決できることを確認します。
仮想マシンのホスト名を設定します。
仮想マシンで NTP (Network Time Protocol) を設定します。

手順

RHEL/CentOS 8.x 仮想マシンで、Active Directory とのネットワーク接続を確認します。
```
# realm discover mydomain.com
```

必要な依存パッケージをインストールします。

# yum install oddjob oddjob-mkhomedir sssd adcli samba-common-tools

Active Directory ドメインに参加します。

# realm join --verbose mydomain.com -U administrator

ルート CA 証明書をダウンロードして、必要なディレクトリに .pem ファイルとしてコピーします。

# openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem

# cp /tmp/certificate.pem /etc/sssd/pki/sssd_auth_ca_db.pem

次の例のように、/etc/sssd/sssd.conf 構成ファイルを変更します。

[sssd]
domains = mydomain.com
config_file_version = 2
services = nss, pam
 
[domain/mydomain.com]
ad_domain = mydomain.com
krb5_realm = IMYDOMAIN.COM
realmd_tags = manages-system joined-with-adcli
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = False        <---------------- Use short name for user
fallback_homedir = /home/%u@%d
access_provider = ad
ad_gpo_map_interactive = +gdm-vmwcred    <---------------- Add this line for SSO
 
[pam]                                    <---------------- Add pam section for certificate logon
pam_cert_auth = True                     <---------------- Add this line to enable certificate logon for system
pam_p11_allowed_services = +gdm-vmwcred  <---------------- Add this line to enable certificate logon for VMware Horizon Agent
 
[certmap/mydomain.com/truesso]          <---------------- Add this section and following lines to set match and map rule for certificate user
matchrule = <EKU>msScLogin
maprule = (|(userPrincipal={subject_principal})(samAccountName={subject_principal.short_name}))
domains = mydomain.com
priority = 10

Horizon Agent パッケージをインストールして、True SSO を有効にします。
```
# sudo ./install_viewagent.sh -T yes
```
/etc/vmware/viewagent-custom.conf 構成ファイルに次の行を追加します。
```
NetbiosDomain = MYDOMAIN
```
仮想マシンを再起動して、再度ログインします。