RHEL または Rocky Linux 9.x/8.x デスクトップで True SSO をサポートするには、まずベース仮想マシン (VM) を Active Directory (AD) ドメインと統合する必要があります。次に、True SSO 機能をサポートするように、システムで特定の設定を変更する必要があります。
説明の中で、Active Directory ドメインの DNS 名などのネットワーク構成のエンティティをプレースホルダーで表している部分があります。次の表を参考にして、これらのプレースホルダーの値をご使用の環境に合わせて変更してください。
プレースホルダーの値 |
説明 |
mydomain.com |
Active Directory ドメインの DNS 名 |
MYDOMAIN.COM |
Active Directory ドメインの DNS 名。すべて大文字にします。 |
MYDOMAIN |
NetBIOS ドメインの名前 |
dnsserver.mydomain.com |
DNS サーバの名前 |
手順
- ベース仮想マシンで、Active Directory とのネットワーク接続を確認します。
sudo realm discover mydomain.com
- 必要な依存パッケージをインストールします。
sudo yum install oddjob oddjob-mkhomedir sssd adcli samba-common-tools
- Active Directory ドメインに参加します。
sudo realm join --verbose mydomain.com -U administrator
- ルート CA 証明書または証明書チェーンをインストールします。
- ダウンロードしたルート CA 証明書または証明書チェーンを見つけて、PEM ファイルに転送します。
sudo openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
- /etc/sssd/pki/sssd_auth_ca_db.pem ファイルに証明書をコピーします。
sudo cp /tmp/certificate.pem /etc/sssd/pki/sssd_auth_ca_db.pem
- 次の例のように、/etc/sssd/sssd.conf 構成ファイルを変更します。
[sssd]
domains = mydomain.com
config_file_version = 2
services = nss, pam
[domain/mydomain.com]
ad_domain = mydomain.com
krb5_realm = MYDOMAIN.COM
realmd_tags = manages-system joined-with-adcli
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = False #Use short name for user
fallback_homedir = /home/%u@%d
access_provider = ad
ad_gpo_map_interactive = +gdm-vmwcred #Add this line for SSO
[pam] #Add pam section for certificate logon
pam_cert_auth = True #Add this line to enable certificate logon for system
pam_p11_allowed_services = +gdm-vmwcred #Add this line to enable certificate logon for VMware Horizon Agent
[certmap/mydomain.com/truesso] #Add this section and following lines to set match and map rule for certificate user
matchrule = <EKU>msScLogin
maprule = (|(userPrincipal={subject_principal})(samAccountName={subject_principal.short_name}))
domains = mydomain.com
priority = 10
- モードを
644
に設定して、/etc/krb5.conf 構成ファイルを変更します。
注: 指定どおりに
/etc/krb5.conf を変更しないと、True SSO 機能が動作しない場合があります。
- (RHEL または Rocky Linux 9.x)TrueSSO がインスタント クローン デスクトップ プールで適切に動作するようにするには、次の構成を変更します。
注: インスタント クローン デスクトップ プールに仮想マシンを使用していない場合は、これらの構成をスキップできます。
- コマンドを実行して SHA-1 暗号化ポリシーを明示的に許可します。
sudo update-crypto-policies --set DEFAULT:SHA1
- 以前にダウンロードしたルート CA 証明書または証明書チェーンを見つけて、/etc/pki/ca-trust/source/anchors/ca_cert.pem にコピーします。次に、
update-ca-trust
コマンドを使用して、レガシー アプリケーションが信頼されている証明書の読み取りをできるようにします。
sudo cp /tmp/certificate.pem /etc/pki/ca-trust/source/anchors/ca_cert.pem
sudo update-ca-trust
- 次の例のように、/etc/krb5.conf ファイルを変更します。
[realms]
MYDOMAIN.COM = {
kdc = dnsserver.mydomain.com
admin_server = dnsserver.mydomain.com
pkinit_anchors = DIR:/etc/pki/ca-trust/source/anchors
pkinit_kdc_hostname = dnsserver.mydomain.com
pkinit_eku_checking = kpServerAuth
}
[domain_realm]
.mydomain.com = MYDOMAIN.COM
mydomain.com = MYDOMAIN.COM
- Horizon Agent パッケージをインストールして、True SSO を有効にします。
sudo ./install_viewagent.sh -T yes
- /etc/vmware/viewagent-custom.conf 構成ファイルに次の行を追加します。
- 仮想マシンを再起動して、再度ログインします。