RHEL/CentOS 7.x VM(가상 시스템)에서 True SSO 기능을 사용하도록 설정하려면 True SSO 기능이 의존하는 라이브러리, 신뢰할 수 있는 인증을 지원하기 위한 루트 CA(인증 기관) 인증서 및 Horizon Agent를 설치합니다. 또한 인증 설정을 완료하려면 일부 구성 파일을 편집해야 합니다.

RHEL 7.x 또는 CentOS 7.x VM에서 True SSO를 사용하도록 설정하려면 다음 절차를 사용하십시오.

이 절차의 일부 예시는 AD 도메인의 DNS 이름과 같은 네트워크 구성의 엔티티를 나타내기 위해 자리 표시자 값을 사용합니다. 다음 표에 설명된 대로 자리 표시자 값을 구성과 관련된 정보로 바꿉니다.

자리 표시자 값 설명
dns_server DNS 이름 서버의 경로
mydomain.com AD 도메인의 DNS 이름
MYDOMAIN.COM AD 도메인의 DNS 이름(모두 대문자)

사전 요구 사항

  • Workspace ONE Access 및 Horizon Connection Server에 대해 True SSO를 구성합니다.
  • True SSO를 위해 RHEL/CentOS 7.x VM을 AD와 통합에 설명된 단계를 완료하십시오.
  • 루트 CA(인증 기관) 인증서를 가져오고 RHEL/CentOS 7.x VM의 /tmp/certificate.cer에 저장합니다. 루트 인증 기관 인증서를 내보내는 방법을 참조하십시오.

    하위 CA가 발급 기관이기도 한 경우 루트 및 하위 CA 인증서의 전체 체인을 가져와서 VM의 /tmp/certificate.cer에 저장합니다.

프로시저

  1. PKCS11 지원 패키지 그룹을 설치합니다.
    sudo yum install -y nss-tools nss-pam-ldapd pam_krb5 krb5-libs krb5-workstation krb5-pkinit
  2. 루트 CA 인증서 또는 인증서 체인을 설치합니다.
    1. 다운로드한 루트 CA 인증서 또는 인증서 체인을 찾은 후 PEM 파일에 전송합니다.
      sudo openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
      
    2. 시스템 데이터베이스를 포함하려면 /etc/pki/nssdb 디렉토리를 만드십시오.
      sudo mkdir -p /etc/pki/nssdb
    3. certutil 명령을 사용하여 시스템 데이터베이스 /etc/pki/nssdb에 루트 CA 인증서 또는 인증서 체인을 설치합니다.
      다음 예제 명령의 "루트 CA 인증서"를 시스템 데이터베이스의 루트 CA 인증서 이름으로 변경합니다.
      sudo certutil -A -d /etc/pki/nssdb -n "root CA cert" -t "CT,C,C" -i /tmp/certificate.pem
      
    4. RHEL/CentOS 7.x VM에서 신뢰할 수 있는 CA 인증서 목록에 루트 CA 인증서 또는 인증서 체인을 추가하고 update-ca-trust 명령을 사용하여 시스템 전체 신뢰 저장소 구성을 업데이트합니다.
      sudo cp /tmp/certificate.pem /etc/pki/ca-trust/source/anchors/ca_cert.pem
      sudo update-ca-trust
  3. 다음 예시에 표시된 대로 도메인에 대한 시스템의 SSSD 구성 파일에서 해당 섹션을 수정합니다.
    [domain/mydomain.com]
    ad_domain = mydomain.com
    krb5_realm = MYDOMAIN.COM
    realmd_tags = manages-system joined-with-samba
    cache_credentials = True
    id_provider = ad
    krb5_store_password_if_offline = True
    default_shell = /bin/bash
    ldap_id_mapping = True
    #set the next line to false, so you can use the short name instead of the full domain name.
    use_fully_qualified_names = False   
    fallback_homedir = /home/%u@%d
    access_provider = ad
  4. 다음 예시에 표시된 것처럼 Kerberos 구성 파일 /etc/krb5.conf를 수정합니다.
    [libdefaults]
     dns_lookup_realm = false
     ticket_lifetime = 24h
     renew_lifetime = 7d
     forwardable = true
     rdns = false
     default_ccache_name = KEYRING:persistent:%{uid}
     # Add following line, if the system doesn't add it automatically
     default_realm = MYDOMAIN.COM
     
    [realms]
    MYDOMAIN.COM = {
      kdc = dns_server
      admin_server = dns_server
      # Add the following three lines for pkinit_*
      pkinit_anchors = DIR:/etc/pki/ca-trust/source/anchors
      pkinit_kdc_hostname = your_org_DNS_server
      pkinit_eku_checking = kpServerAuth
     }
    [domain_realm]
     mydomain.com = MYDOMAIN.COM
     .mydomain.com = MYDOMAIN.COM
    참고: 또한 /etc/krb5.conf에서 모드를 644와 동일하게 설정해야 합니다. 그러지 않으면, True SSO 기능이 작동하지 않을 수 있습니다.
  5. True SSO를 사용하도록 설정하고 Horizon Agent 패키지를 설치합니다.
    sudo ./install_viewagent.sh -T yes
  6. 다음 매개 변수를 Horizon Agent 사용자 지정 구성 파일 /etc/vmware/viewagent-custom.conf에 추가합니다. 다음 예를 사용하십시오. 여기서 NETBIOS_NAME_OF_DOMAIN은 조직 도메인의 NetBIOS 이름입니다.
    NetbiosDomain=NETBIOS_NAME_OF_DOMAIN
  7. VM을 다시 시작하고 다시 로그인합니다.