SLED/SLES 仮想マシン (VM) で True SSO 機能を有効にするには、True SSO 機能が依存するライブラリ、信頼できる認証をサポートするルート CA 証明書、Horizon Agent をインストールします。また、一部の構成ファイルを編集して、認証設定を完了する必要があります。
次の手順に従って、SLED または SLES 仮想マシンで True SSO を有効にします。
手順
- SLED 15.x または SLES 12.x/15.x の場合は、次のコマンドを実行して、必要なパッケージをインストールします。
zypper install mozilla-nss-tools pam_krb5 krb5-client krb5-plugin-preauth-pkinit
- SLED 12.x の場合は、次の手順に従って、必要なパッケージをインストールします。
- 対応する SLES .iso ファイルをダウンロードして、SLED 仮想マシンのローカル ディスクに保存します(例:/tmp/SLE-12-SP3-Server-DVD-x86_64-GM-DVD1.iso)。
必要な
krb5-plugin-preauth-pkinit パッケージは SLES システムでのみ使用可能です。このため、SLES .iso ファイルを SLED システムのパッケージ ソースとして追加する必要があります。
- SLED システムに SLES .iso ファイルをマウントし、必要なパッケージをインストールします。
sudo mkdir -p /mnt/sles
sudo mount -t iso9660 /tmp/SLE-12-SP3-Server-DVD-x86_64-GM-DVD1.iso /mnt/sles
sudo zypper ar -f /mnt/sles sles
zypper install mozilla-nss-tools pam_krb5 krb5-client krb5-plugin-preauth-pkinit
- インストールが完了したら、SLES .iso ファイルのマウントを解除します。
- ルート CA 証明書をインストールします。
- ダウンロードしたルート CA 証明書を .pem ファイルに転送します。
openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
- certutil コマンドを使用して、ルート CA 証明書をシステム データベース /etc/pki/nssdb にインストールします。
certutil -A -d /etc/pki/nssdb -n "root CA cert" -t "CT,C,C" -i /tmp/certificate.pem
- ルート CA 証明書を pam_pkcs11 に追加します。
cp /tmp/certificate.pem /etc/pki/ca-trust/source/anchors/ca_cert.pem
- 次の例のように、/etc/krb5.conf 構成ファイルの内容を編集します。
[libdefaults]
default_realm = MYDOMAIN.COM
dns_lookup_realm = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
default_ccache_name = KEYRING:persistent:%{uid}
[realms]
MYDOMAIN.COM = {
kdc = ads-hostname
admin_server = ads-hostname
pkinit_anchors = DIR:/etc/pki/ca-trust/source/anchors
pkinit_kdc_hostname = ADS-HOSTNAME
pkinit_eku_checking = kpServerAuth
}
[domain_realm]
.mydomain.com = MYDOMAIN.COM
mydomain.com = MYDOMAIN.COM
注: また、
/etc/krb5.conf でもモードを
644
に設定する必要があります。そうしないと、True SSO 機能が動作しない場合があります。
次の表を参考にして、サンプルのプレースホルダーの値をご使用のネットワーク環境に合わせて変更してください。
プレースホルダーの値 |
説明 |
mydomain.com |
Active Directory ドメインの DNS 名 |
MYDOMAIN.COM |
Active Directory ドメインの DNS 名。すべて大文字にします。 |
ads-hostname |
Active Directory サーバのホスト名 |
ADS-HOSTNAME |
Active Directory サーバのホスト名(すべて大文字) |
- Horizon Agent パッケージをインストールして、True SSO を有効にします。
sudo ./install_viewagent.sh -T yes
- 次のパラメータを Horizon Agent カスタム構成ファイル (/etc/vmware/viewagent-custom.conf) に追加します。次の構文を使用します。NETBIOS_NAME_OF_DOMAIN は、組織の NetBIOS ドメインの名前です。
NetbiosDomain=NETBIOS_NAME_OF_DOMAIN
注: SLED/SLES 15.x の場合は、NetBIOS ドメインの長い名前を常に使用します(
LXD.VDI
など)。
LXD
などの短縮名を使用すると、True SSO 機能が動作しません。
- 仮想マシンを再起動して、再度ログインします。