SLED/SLES VM(가상 시스템)에서 True SSO 기능을 사용하도록 설정하려면 True SSO 기능이 의존하는 라이브러리, 신뢰할 수 있는 인증을 지원하기 위한 루트 CA(인증 기관) 인증서 및 Horizon Agent를 설치합니다. 또한 인증 설정을 완료하려면 일부 구성 파일을 편집해야 합니다.

SLED 또는 SLES VM에서 True SSO를 사용하도록 설정하려면 다음 절차를 사용하십시오.

사전 요구 사항

프로시저

  1. 다음 명령을 실행하여 필요한 패키지를 설치합니다.
    sudo zypper install mozilla-nss-tools pam_krb5 krb5-client krb5-plugin-preauth-pkinit
  2. 루트 CA 인증서 또는 인증서 체인을 설치합니다.
    1. 다운로드한 루트 CA 인증서 또는 인증서 체인을 찾은 후 PEM 파일에 전송합니다.
      sudo openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
    2. 시스템 데이터베이스를 포함하려면 /etc/pki/nssdb 디렉토리를 만드십시오.
      sudo mkdir -p /etc/pki/nssdb
    3. certutil 명령을 사용하여 시스템 데이터베이스 /etc/pki/nssdb에 루트 CA 인증서 또는 인증서 체인을 설치합니다.
      다음 예제 명령의 "루트 CA 인증서"를 시스템 데이터베이스의 루트 CA 인증서 이름으로 변경합니다.
      sudo certutil -A -d /etc/pki/nssdb -n "root CA cert" -t "CT,C,C" -i /tmp/certificate.pem
      
    4. 루트 CA 인증서를 pam_pkcs11에 추가합니다.
      sudo cp /tmp/certificate.pem /etc/pki/ca-trust/source/anchors/ca_cert.pem
  3. 다음 예시와 비슷한 컨텐츠를 포함하도록 /etc/krb5.conf 구성 파일을 편집합니다.
    [libdefaults]
          default_realm = MYDOMAIN.COM
          dns_lookup_realm = false
          ticket_lifetime = 24h
          renew_lifetime = 7d
          forwardable = true
          rdns = false
          default_ccache_name = KEYRING:persistent:%{uid}
    
    [realms]
          MYDOMAIN.COM = {
                kdc = ads-hostname
                admin_server = ads-hostname 
                pkinit_anchors = DIR:/etc/pki/ca-trust/source/anchors
                pkinit_kdc_hostname = ADS-HOSTNAME
                pkinit_eku_checking = kpServerAuth
          }
    
    [domain_realm]
          .mydomain.com = MYDOMAIN.COM
          mydomain.com = MYDOMAIN.COM
    
    참고: 또한 /etc/krb5.conf에 대해 파일 사용 권한을 644로 설정해야 합니다. 그러지 않으면, True SSO 기능이 작동하지 않을 수 있습니다.
    다음 표에 설명된 대로 이 예시의 자리 표시자 값을 네트워크 구성과 관련된 정보로 바꿉니다.
    자리 표시자 값 설명
    mydomain.com AD 도메인의 DNS 이름
    MYDOMAIN.COM AD 도메인의 DNS 이름(모두 대문자)
    ads-hostname AD 서버의 호스트 이름
    ADS-HOSTNAME AD 서버의 호스트 이름(모두 대문자)
  4. True SSO를 사용하도록 설정하고 Horizon Agent 패키지를 설치합니다.
    sudo ./install_viewagent.sh -T yes
  5. 다음 매개 변수를 Horizon Agent 사용자 지정 구성 파일 /etc/vmware/viewagent-custom.conf에 추가합니다. 다음 구문을 사용하십시오. 여기서 NETBIOS_NAME_OF_DOMAIN은 조직 NetBIOS 도메인의 이름입니다.
    NetbiosDomain=NETBIOS_NAME_OF_DOMAIN
    참고: 항상 NetBIOS 도메인의 긴 이름을 사용합니다(예: LXD.VDI). LXD와 같은 짧은 이름을 사용하는 경우 True SSO 기능이 작동하지 않습니다.
  6. VM을 다시 시작하고 다시 로그인합니다.