RHEL または Rocky Linux 9.x/8.x デスクトップで True SSO をサポートするには、まずベース仮想マシン (VM) を Active Directory (AD) ドメインと統合する必要があります。次に、True SSO 機能をサポートするように、システムで特定の設定を変更する必要があります。

説明の中で、Active Directory ドメインの DNS 名などのネットワーク構成のエンティティをプレースホルダーで表している部分があります。次の表を参考にして、これらのプレースホルダーの値をご使用の環境に合わせて変更してください。

プレースホルダーの値 説明
mydomain.com Active Directory ドメインの DNS 名
MYDOMAIN.COM Active Directory ドメインの DNS 名。すべて大文字にします。
MYDOMAIN NetBIOS ドメインの名前
dnsserver.mydomain.com DNS サーバの名前

前提条件

  • Workspace ONE Access と Horizon Connection Server に True SSO を設定します。
  • Active Directory (AD) サーバがベース仮想マシンの DNS で解決できることを確認します。
  • 仮想マシンのホスト名を設定します。
  • 仮想マシンで NTP (Network Time Protocol) を設定します。
  • ルート認証局 (CA) 証明書を取得して、仮想マシンの /tmp/certificate.cer に保存します。「ルート CA 証明書をエクスポートする方法」を参照してください。

    下位認証局 (CA) も発行機関の場合は、ルートおよび下位 CA 証明書のチェーン全体を取得し、仮想マシンの /tmp/certificate.cer に保存します。

  • True SSO を FIPS モードで使用するには、「FIPS 準拠の Linux 仮想マシンの構成」で説明されているすべての手順を完了していることを確認します。VMwareBlastServer の信頼される認証局 (CA) 証明書を /etc/vmware/ssl/rui.crt に追加し、rui.crt とペアのキーを /etc/vmware/ssl/rui.key に追加する必要があります。

手順

  1. ベース仮想マシンで、Active Directory とのネットワーク接続を確認します。
    sudo realm discover mydomain.com
  2. 必要な依存パッケージをインストールします。
    sudo yum install oddjob oddjob-mkhomedir sssd adcli samba-common-tools
  3. Active Directory ドメインに参加します。
    sudo realm join --verbose mydomain.com -U administrator
  4. ルート CA 証明書または証明書チェーンをインストールします。
    1. ダウンロードしたルート CA 証明書または証明書チェーンを見つけて、PEM ファイルに転送します。
      sudo openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
      
    2. /etc/sssd/pki/sssd_auth_ca_db.pem ファイルに証明書をコピーします。
      sudo cp /tmp/certificate.pem /etc/sssd/pki/sssd_auth_ca_db.pem
  5. 次の例のように、/etc/sssd/sssd.conf 構成ファイルを変更します。
    [sssd]
    domains = mydomain.com
    config_file_version = 2
    services = nss, pam
     
    [domain/mydomain.com]
    ad_domain = mydomain.com
    krb5_realm = MYDOMAIN.COM
    realmd_tags = manages-system joined-with-adcli
    cache_credentials = True
    id_provider = ad
    krb5_store_password_if_offline = True
    default_shell = /bin/bash
    ldap_id_mapping = True
    use_fully_qualified_names = False             #Use short name for user
    fallback_homedir = /home/%u@%d
    access_provider = ad
    ad_gpo_map_interactive = +gdm-vmwcred         #Add this line for SSO
     
    [pam]                                         #Add pam section for certificate logon
    pam_cert_auth = True                          #Add this line to enable certificate logon for system
    pam_p11_allowed_services = +gdm-vmwcred       #Add this line to enable certificate logon for VMware Horizon Agent
     
    [certmap/mydomain.com/truesso]                #Add this section and following lines to set match and map rule for certificate user
    matchrule = <EKU>msScLogin
    maprule = (|(userPrincipal={subject_principal})(samAccountName={subject_principal.short_name}))
    domains = mydomain.com
    priority = 10
  6. モードを 644 に設定して、/etc/krb5.conf 構成ファイルを変更します。
    注: 指定どおりに /etc/krb5.conf を変更しないと、True SSO 機能が動作しない場合があります。
  7. (RHEL または Rocky Linux 9.x)TrueSSO がインスタント クローン デスクトップ プールで適切に動作するようにするには、次の構成を変更します。
    注: インスタント クローン デスクトップ プールに仮想マシンを使用していない場合は、これらの構成をスキップできます。
    1. コマンドを実行して SHA-1 暗号化ポリシーを明示的に許可します。
      sudo update-crypto-policies --set DEFAULT:SHA1
    2. 以前にダウンロードしたルート CA 証明書または証明書チェーンを見つけて、/etc/pki/ca-trust/source/anchors/ca_cert.pem にコピーします。次に、update-ca-trust コマンドを使用して、レガシー アプリケーションが信頼されている証明書の読み取りをできるようにします。
      sudo cp /tmp/certificate.pem /etc/pki/ca-trust/source/anchors/ca_cert.pem
      sudo update-ca-trust
    3. 次の例のように、/etc/krb5.conf ファイルを変更します。
      [realms]
           MYDOMAIN.COM = {
                kdc =  dnsserver.mydomain.com
                admin_server =  dnsserver.mydomain.com
                pkinit_anchors = DIR:/etc/pki/ca-trust/source/anchors
                pkinit_kdc_hostname =  dnsserver.mydomain.com
                pkinit_eku_checking = kpServerAuth
           }
      [domain_realm]
           .mydomain.com = MYDOMAIN.COM
           mydomain.com = MYDOMAIN.COM
  8. Horizon Agent パッケージをインストールして、True SSO を有効にします。
    sudo ./install_viewagent.sh -T yes
  9. /etc/vmware/viewagent-custom.conf 構成ファイルに次の行を追加します。
    NetbiosDomain = MYDOMAIN
  10. 仮想マシンを再起動して、再度ログインします。