RHEL/CentOS 8.x 데스크톱에서 True SSO를 지원하려면 먼저 시스템을 AD(Active Directory) 도메인과 통합해야 합니다. 그런 다음, True SSO 기능을 지원하도록 시스템의 특정 구성을 수정해야 합니다.

RHEL/CentOS 8.1 데스크톱에서 True SSO를 지원하려면 Horizon Agent 7.12 이상을 설치해야 합니다.

RHEL/CentOS 8.0 데스크톱에서 True SSO를 지원하려면 Horizon Agent 7.11 이상을 설치해야 합니다.

참고: 인스턴트 클론 RHEL 8.x 데스크톱에서는 True SSO가 지원되지 않습니다.

이 절차의 일부 예제는 AD 도메인의 DNS 이름과 같은 네트워크 구성의 엔티티를 나타내기 위해 자리 표시자 값을 사용합니다. 다음 표에 설명된 대로 자리 표시자 값을 구성과 관련된 정보로 바꿉니다.

자리 표시자 값 설명
mydomain.com AD 도메인의 DNS 이름
MYDOMAIN.COM AD 도메인의 DNS 이름(모두 대문자)
MYDOMAIN NetBIOS 도메인의 이름

사전 요구 사항

  • RHEL/CentOS 8.x 시스템의 DNS에서 AD(Active Directory) 서버를 확인할 수 있는지 확인합니다.
  • 시스템의 호스트 이름을 구성합니다.
  • 시스템에서 NTP(Network Time Protocol)를 구성합니다.

프로시저

  1. RHEL/CentOS 8.x 시스템에서 Active Directory에 대한 네트워크 연결을 확인합니다. 
    # realm discover  "mydomain.com"
  2. 필요한 종속성 패키지를 설치합니다. 
    # yum install oddjob oddjob-mkhomedir sssd adcli samba-common-tools
  3. AD 도메인에 가입합니다. 
    # realm join --verbose  "mydomain.com"  -U administrator
  4. 루트 CA 인증서를 다운로드하고 필요한 디렉토리에 .pem 파일로 복사합니다. 
    # openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem

# cp /tmp/certificate.pem /etc/sssd/pki/sssd_auth_ca_db.pem
  5. 다음 예제와 같이 /etc/sssd/sssd.conf 구성 파일을 수정합니다. 
    [sssd]
domains =  "mydomain.com" 
config_file_version = 2
services = nss, pam
 
[domain/mydomain.com]
ad_domain =  "mydomain.com" 
krb5_realm = I "MYDOMAIN.COM" 
realmd_tags = manages-system joined-with-adcli
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = False        <---------------- Use short name for user
fallback_homedir = /home/%u@%d
access_provider = ad
ad_gpo_map_interactive = +gdm-vmwcred    <---------------- Add this line for SSO
 
[pam]                                    <---------------- Add pam section for certificate logon
pam_cert_auth = True                     <---------------- Add this line to enable certificate logon for system
pam_p11_allowed_services = +gdm-vmwcred  <---------------- Add this line to enable certificate logon for VMware Horizon Agent
 
[certmap/ "mydomain.com" /truesso]          <---------------- Add this section and following lines to set match and map rule for certificate user
matchrule = <EKU>msScLogin
maprule = (|(userPrincipal={subject_principal})(samAccountName={subject_principal.short_name}))
domains =  "mydomain.com" 
priority = 10
  6. True SSO를 사용하도록 설정하고 Horizon Agent 패키지를 설치합니다. 
    # sudo ./install_viewagent.sh -T yes
    참고: True SSO 기능을 사용하려면 다음 표에 설명된 대로 Linux 배포에 필요한 Horizon Agent 버전을 설치해야 합니다.
    Linux 배포 Horizon Agent
    RHEL/CentOS 8.1 Horizon Agent 7.12 이상
    RHEL/CentOS 8.0 Horizon Agent 7.11 이상
  7. 다음 줄을 포함하도록 /etc/vmware/viewagent-custom.conf 구성 파일을 수정합니다. 
    NetbiosDomain =  "MYDOMAIN"
  8. 시스템을 재부팅하고 다시 로그인합니다.