SLED/SLES VM(가상 시스템)에서 True SSO 기능을 사용하도록 설정하려면 True SSO 기능이 의존하는 라이브러리, 신뢰할 수 있는 인증을 지원하기 위한 루트 CA 인증서 및 Horizon Agent를 설치합니다. 또한 인증 설정을 완료하려면 일부 구성 파일을 편집해야 합니다.

SLED 또는 SLES VM에서 True SSO를 사용하도록 설정하려면 다음 절차를 사용하십시오.

사전 요구 사항

프로시저

  1. SLED 15.x 또는 SLES 12.x/15.x의 경우 다음 명령을 실행하여 필요한 패키지를 설치합니다.
    zypper install mozilla-nss-tools pam_krb5 krb5-client krb5-plugin-preauth-pkinit
  2. SLED 12.x의 경우 다음 단계를 수행하여 필요한 패키지를 설치합니다.
    1. SLED VM의 로컬 디스크에 해당 SLES .iso 파일을 다운로드합니다(예: /tmp/SLE-12-SP3-Server-DVD-x86_64-GM-DVD1.iso).
      필요한 krb5-plugin-preauth-pkinit 패키지는 SLES 시스템에 대해서만 사용할 수 있으므로 SLES .iso 파일을 SLED 시스템에 대한 패키지 소스로 추가해야 합니다.
    2. SLED 시스템에 SLES .iso 파일을 마운트하고 필요한 패키지를 설치합니다.
      sudo mkdir -p /mnt/sles
      sudo mount -t iso9660 /tmp/SLE-12-SP3-Server-DVD-x86_64-GM-DVD1.iso /mnt/sles
      sudo zypper ar -f /mnt/sles sles
      zypper install mozilla-nss-tools pam_krb5 krb5-client krb5-plugin-preauth-pkinit
    3. 설치가 완료되면 SLES .iso 파일을 마운트 해제합니다.
      sudo unmount /mnt/sles
  3. 루트 CA 인증서 또는 인증서 체인을 설치합니다.
    1. 다운로드한 루트 CA 인증서 또는 인증서 체인을 찾은 후 PEM 파일에 전송합니다.
      openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
    2. 시스템 데이터베이스를 포함하려면 /etc/pki/nssdb 디렉토리를 만드십시오.
      sudo mkdir -p /etc/pki/nssdb
    3. certutil 명령을 사용하여 시스템 데이터베이스 /etc/pki/nssdb에 루트 CA 인증서 또는 인증서 체인을 설치합니다.
      sudo certutil -A -d /etc/pki/nssdb -n "root CA cert" -t "CT,C,C" -i /tmp/certificate.pem
      
    4. 루트 CA 인증서를 pam_pkcs11에 추가합니다.
      sudo cp /tmp/certificate.pem /etc/pki/ca-trust/source/anchors/ca_cert.pem
  4. 다음 예시와 비슷한 컨텐츠를 포함하도록 /etc/krb5.conf 구성 파일을 편집합니다.
    [libdefaults]
          default_realm = MYDOMAIN.COM
          dns_lookup_realm = false
          ticket_lifetime = 24h
          renew_lifetime = 7d
          forwardable = true
          rdns = false
          default_ccache_name = KEYRING:persistent:%{uid}
    
    [realms]
          MYDOMAIN.COM = {
                kdc = ads-hostname
                admin_server = ads-hostname 
                pkinit_anchors = DIR:/etc/pki/ca-trust/source/anchors
                pkinit_kdc_hostname = ADS-HOSTNAME
                pkinit_eku_checking = kpServerAuth
          }
    
    [domain_realm]
          .mydomain.com = MYDOMAIN.COM
          mydomain.com = MYDOMAIN.COM
    
    참고: 또한 /etc/krb5.conf에서 모드를 644와 동일하게 설정해야 합니다. 그러지 않으면, True SSO 기능이 작동하지 않을 수 있습니다.
    다음 표에 설명된 대로 이 예시의 자리 표시자 값을 네트워크 구성과 관련된 정보로 바꿉니다.
    자리 표시자 값 설명
    mydomain.com AD 도메인의 DNS 이름
    MYDOMAIN.COM AD 도메인의 DNS 이름(모두 대문자)
    ads-hostname AD 서버의 호스트 이름
    ADS-HOSTNAME AD 서버의 호스트 이름(모두 대문자)
  5. True SSO를 사용하도록 설정하고 Horizon Agent 패키지를 설치합니다.
    sudo ./install_viewagent.sh -T yes
  6. 다음 매개 변수를 Horizon Agent 사용자 지정 구성 파일 /etc/vmware/viewagent-custom.conf에 추가합니다. 다음 구문을 사용하십시오. 여기서 NETBIOS_NAME_OF_DOMAIN은 조직 NetBIOS 도메인의 이름입니다.
    NetbiosDomain=NETBIOS_NAME_OF_DOMAIN
    참고: SLED/SLES 15.x의 경우 항상 NetBIOS 도메인의 긴 이름을 사용합니다(예: LXD.VDI). LXD와 같은 짧은 이름을 사용하는 경우 True SSO 기능이 작동하지 않습니다.
  7. VM을 다시 시작하고 다시 로그인합니다.