SLED/SLES VM(가상 시스템)에서 True SSO 기능을 사용하도록 설정하려면 True SSO 기능이 의존하는 라이브러리, 신뢰할 수 있는 인증을 지원하기 위한 루트 CA 인증서 및 Horizon Agent를 설치합니다. 또한 인증 설정을 완료하려면 일부 구성 파일을 편집해야 합니다.
SLED 또는 SLES VM에서 True SSO를 사용하도록 설정하려면 다음 절차를 사용하십시오.
프로시저
- SLED 15.x 또는 SLES 12.x/15.x의 경우 다음 명령을 실행하여 필요한 패키지를 설치합니다.
zypper install mozilla-nss-tools pam_krb5 krb5-client krb5-plugin-preauth-pkinit
- SLED 12.x의 경우 다음 단계를 수행하여 필요한 패키지를 설치합니다.
- SLED VM의 로컬 디스크에 해당 SLES .iso 파일을 다운로드합니다(예: /tmp/SLE-12-SP3-Server-DVD-x86_64-GM-DVD1.iso).
필요한
krb5-plugin-preauth-pkinit 패키지는 SLES 시스템에 대해서만 사용할 수 있으므로 SLES .iso 파일을 SLED 시스템에 대한 패키지 소스로 추가해야 합니다.
- SLED 시스템에 SLES .iso 파일을 마운트하고 필요한 패키지를 설치합니다.
sudo mkdir -p /mnt/sles
sudo mount -t iso9660 /tmp/SLE-12-SP3-Server-DVD-x86_64-GM-DVD1.iso /mnt/sles
sudo zypper ar -f /mnt/sles sles
zypper install mozilla-nss-tools pam_krb5 krb5-client krb5-plugin-preauth-pkinit
- 설치가 완료되면 SLES .iso 파일을 마운트 해제합니다.
- 루트 CA 인증서 또는 인증서 체인을 설치합니다.
- 다운로드한 루트 CA 인증서 또는 인증서 체인을 찾은 후 PEM 파일에 전송합니다.
openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
- 시스템 데이터베이스를 포함하려면 /etc/pki/nssdb 디렉토리를 만드십시오.
sudo mkdir -p /etc/pki/nssdb
- certutil 명령을 사용하여 시스템 데이터베이스 /etc/pki/nssdb에 루트 CA 인증서 또는 인증서 체인을 설치합니다.
sudo certutil -A -d /etc/pki/nssdb -n "root CA cert" -t "CT,C,C" -i /tmp/certificate.pem
- 루트 CA 인증서를 pam_pkcs11에 추가합니다.
sudo cp /tmp/certificate.pem /etc/pki/ca-trust/source/anchors/ca_cert.pem
- 다음 예시와 비슷한 컨텐츠를 포함하도록 /etc/krb5.conf 구성 파일을 편집합니다.
[libdefaults]
default_realm = MYDOMAIN.COM
dns_lookup_realm = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
default_ccache_name = KEYRING:persistent:%{uid}
[realms]
MYDOMAIN.COM = {
kdc = ads-hostname
admin_server = ads-hostname
pkinit_anchors = DIR:/etc/pki/ca-trust/source/anchors
pkinit_kdc_hostname = ADS-HOSTNAME
pkinit_eku_checking = kpServerAuth
}
[domain_realm]
.mydomain.com = MYDOMAIN.COM
mydomain.com = MYDOMAIN.COM
참고: 또한
/etc/krb5.conf에서 모드를
644
와 동일하게 설정해야 합니다. 그러지 않으면, True SSO 기능이 작동하지 않을 수 있습니다.
다음 표에 설명된 대로 이 예시의 자리 표시자 값을 네트워크 구성과 관련된 정보로 바꿉니다.
자리 표시자 값 |
설명 |
mydomain.com |
AD 도메인의 DNS 이름 |
MYDOMAIN.COM |
AD 도메인의 DNS 이름(모두 대문자) |
ads-hostname |
AD 서버의 호스트 이름 |
ADS-HOSTNAME |
AD 서버의 호스트 이름(모두 대문자) |
- True SSO를 사용하도록 설정하고 Horizon Agent 패키지를 설치합니다.
sudo ./install_viewagent.sh -T yes
- 다음 매개 변수를 Horizon Agent 사용자 지정 구성 파일 /etc/vmware/viewagent-custom.conf에 추가합니다. 다음 구문을 사용하십시오. 여기서 NETBIOS_NAME_OF_DOMAIN은 조직 NetBIOS 도메인의 이름입니다.
NetbiosDomain=NETBIOS_NAME_OF_DOMAIN
참고: SLED/SLES 15.x의 경우 항상 NetBIOS 도메인의 긴 이름을 사용합니다(예:
LXD.VDI
).
LXD
와 같은 짧은 이름을 사용하는 경우 True SSO 기능이 작동하지 않습니다.
- VM을 다시 시작하고 다시 로그인합니다.