RHEL/CentOS 7.x 仮想マシンでの True SSO の設定

RHEL/CentOS 7.x 仮想マシン (VM) で True SSO 機能を有効にするには、True SSO 機能が依存するライブラリ、スマートカード認証で使用するルート認証局 (CA) 証明書、Horizon Agent をインストールします。また、一部の構成ファイルを編集して、認証設定を完了する必要があります。

次の手順に従って、RHEL 7.x または CentOS 7.x 仮想マシンで True SSO を有効にします。

説明の中で、Active Directory ドメインの DNS 名などのネットワーク構成のエンティティをプレースホルダーで表している部分があります。次の表を参考にして、これらのプレースホルダーの値をご使用の環境に合わせて変更してください。


プレースホルダーの値	説明
dns_server	DNS ネームサーバのパス
mydomain.com	Active Directory ドメインの DNS 名
MYDOMAIN.COM	Active Directory ドメインの DNS 名。すべて大文字にします。

前提条件

Workspace ONE Access と Horizon Connection Server に True SSO を設定します。
以下で説明する手順を実行します。「True SSO での RHEL/CentOS 7.x 仮想マシンと Active Directory の統合」
ルート CA 証明書を取得し、RHEL/CentOS 7.x 仮想マシンの /tmp/certificate.cer に保存します。「ルート CA 証明書をエクスポートする方法」を参照してください。
下位認証局 (CA) も発行機関の場合は、ルートおよび下位 CA 証明書のチェーン全体を取得し、仮想マシンの /tmp/certificate.cer に保存します。

手順

PKCS11 サポートパッケージグループをインストールします。

sudo yum install -y nss-tools nss-pam-ldapd pam_krb5 krb5-libs krb5-workstation krb5-pkinit

ルート CA 証明書または証明書チェーンをインストールします。
1. ダウンロードしたルート CA 証明書または証明書チェーンを見つけて、PEM ファイルに転送します。
```
sudo openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
```
2. システムデータベースを格納する /etc/pki/nssdb ディレクトリを作成します。
```
sudo mkdir -p /etc/pki/nssdb
```
3. certutil コマンドを使用して、ルート CA 証明書または証明書チェーンをシステムデータベース /etc/pki/nssdb にインストールします。
  次のコマンド例の「root CA cert」は、システムデータベースのルート CA 証明書の名前に置き換えます。
```
sudo certutil -A -d /etc/pki/nssdb -n "root CA cert" -t "CT,C,C" -i /tmp/certificate.pem
```
4. RHEL/CentOS 7.x 仮想マシンで信頼された認証局 (CA) 証明書のリストにルート CA 証明書または証明書チェーンを追加し、update-ca-trust コマンドを使用して、システム全体のトラストストアの構成を更新します。
```
sudo cp /tmp/certificate.pem /etc/pki/ca-trust/source/anchors/ca_cert.pem
sudo update-ca-trust
```

次の例のように、ドメインのシステム SSSD 構成ファイルで該当するセクションを変更します。

[domain/mydomain.com]
ad_domain = mydomain.com
krb5_realm = MYDOMAIN.COM
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
#set the next line to false, so you can use the short name instead of the full domain name.
use_fully_qualified_names = False   
fallback_homedir = /home/%u@%d
access_provider = ad

次の例のように、Kerberos 構成ファイル（/etc/krb5.conf）を編集します。

[libdefaults]
 dns_lookup_realm = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 rdns = false
 default_ccache_name = KEYRING:persistent:%{uid}
 # Add following line, if the system doesn't add it automatically
 default_realm = MYDOMAIN.COM
 
[realms]
MYDOMAIN.COM = {
  kdc = dns_server
  admin_server = dns_server
  # Add the following three lines for pkinit_*
  pkinit_anchors = DIR:/etc/pki/ca-trust/source/anchors
  pkinit_kdc_hostname = your_org_DNS_server
  pkinit_eku_checking = kpServerAuth
 }
[domain_realm]
 mydomain.com = MYDOMAIN.COM
 .mydomain.com = MYDOMAIN.COM

注：また、 /etc/krb5.conf でもモードを 644 に設定する必要があります。そうしないと、True SSO 機能が動作しない場合があります。

Horizon Agent パッケージをインストールして、True SSO を有効にします。
```
sudo ./install_viewagent.sh -T yes
```
次のパラメータを Horizon Agent カスタム構成ファイル (/etc/vmware/viewagent-custom.conf) に追加します。次の例を使用します。NETBIOS_NAME_OF_DOMAIN は、組織のドメインの NetBIOS 名です。
```
NetbiosDomain=NETBIOS_NAME_OF_DOMAIN
```
仮想マシンを再起動して、再度ログインします。