RHEL/CentOS 7.x 仮想マシン (VM) で True SSO 機能を有効にするには、True SSO 機能が依存するライブラリ、スマート カード認証で使用するルート認証局 (CA) 証明書、Horizon Agent をインストールします。また、一部の構成ファイルを編集して、認証設定を完了する必要があります。

次の手順に従って、RHEL 7.x または CentOS 7.x 仮想マシンで True SSO を有効にします。

説明の中で、Active Directory ドメインの DNS 名などのネットワーク構成のエンティティをプレースホルダーで表している部分があります。次の表を参考にして、これらのプレースホルダーの値をご使用の環境に合わせて変更してください。

プレースホルダーの値 説明
dns_server DNS ネーム サーバのパス
mydomain.com Active Directory ドメインの DNS 名
MYDOMAIN.COM Active Directory ドメインの DNS 名。すべて大文字にします。

前提条件

手順

  1. PKCS11 サポート パッケージ グループをインストールします。
    yum install -y nss-tools nss-pam-ldapd pam_krb5 krb5-libs krb5-workstation krb5-pkinit
  2. ルート CA 証明書または証明書チェーンをインストールします。
    1. ダウンロードしたルート CA 証明書または証明書チェーンを見つけて、PEM ファイルに転送します。
      openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
      
    2. システム データベースを格納する /etc/pki/nssdb ディレクトリを作成します。
      sudo mkdir -p /etc/pki/nssdb
    3. certutil コマンドを使用して、ルート CA 証明書または証明書チェーンをシステム データベース /etc/pki/nssdb にインストールします。
      次のコマンド例の「root CA cert」は、システム データベースのルート CA 証明書の名前に置き換えます。
      sudo certutil -A -d /etc/pki/nssdb -n "root CA cert" -t "CT,C,C" -i /tmp/certificate.pem
      
    4. RHEL/CentOS 7.x 仮想マシンで信頼された認証局 (CA) 証明書のリストにルート CA 証明書または証明書チェーンを追加し、update-ca-trust コマンドを使用して、システム全体のトラスト ストアの構成を更新します。
      sudo cp /tmp/certificate.pem /etc/pki/ca-trust/source/anchors/ca_cert.pem
      update-ca-trust
  3. 次の例のように、ドメインのシステム SSSD 構成ファイルで該当するセクションを変更します。
    [domain/mydomain.com]
    ad_domain = mydomain.com
    krb5_realm = MYDOMAIN.COM
    realmd_tags = manages-system joined-with-samba
    cache_credentials = True
    id_provider = ad
    krb5_store_password_if_offline = True
    default_shell = /bin/bash
    ldap_id_mapping = True
    #set the next line to false, so you can use the short name instead of the full domain name.
    use_fully_qualified_names = False   
    fallback_homedir = /home/%u@%d
    access_provider = ad
  4. 次の例のように、Kerberos 構成ファイル(/etc/krb5.conf)を編集します。
    [libdefaults]
     dns_lookup_realm = false
     ticket_lifetime = 24h
     renew_lifetime = 7d
     forwardable = true
     rdns = false
     default_ccache_name = KEYRING:persistent:%{uid}
     # Add following line, if the system doesn't add it automatically
     default_realm = MYDOMAIN.COM
     
    [realms]
    MYDOMAIN.COM = {
      kdc = dns_server
      admin_server = dns_server
      # Add the following three lines for pkinit_*
      pkinit_anchors = DIR:/etc/pki/ca-trust/source/anchors
      pkinit_kdc_hostname = your_org_DNS_server
      pkinit_eku_checking = kpServerAuth
     }
    [domain_realm]
     mydomain.com = MYDOMAIN.COM
     .mydomain.com = MYDOMAIN.COM
    注: また、 /etc/krb5.conf でもモードを 644 に設定する必要があります。そうしないと、True SSO 機能が動作しない場合があります。
  5. Horizon Agent パッケージをインストールして、True SSO を有効にします。
    sudo ./install_viewagent.sh -T yes
  6. 次のパラメータを Horizon Agent カスタム構成ファイル (/etc/vmware/viewagent-custom.conf) に追加します。次の例を使用します。NETBIOS_NAME_OF_DOMAIN は、組織のドメインの NetBIOS 名です。
    NetbiosDomain=NETBIOS_NAME_OF_DOMAIN
  7. 仮想マシンを再起動して、再度ログインします。