若要設定 Single Sign-On (SSO) 和智慧卡重新導向,您必須執行一些組態步驟。

單一登入

Horizon View Single Sign-On 模組會連絡 Linux 中的 PAM (插入式驗證模組),並且不依賴於您用來整合 Linux 與 Active Directory (AD) 的方法。Horizon View SSO 已知可與整合 Linux 與 AD 的 OpenLDAP 和 Winbind 解決方案搭配使用。

依預設,SSO 會假設 AD 的 sAMAccountName 屬性為登入識別碼。為確保對 SSO 使用正確的登入識別碼,如果您使用 OpenLDAP 或 Winbind 解決方案,則必須執行下列設定步驟:

  • 針對 OpenLDAP,將 sAMAccountName 設定為 uid

  • 針對 Winbind,新增下列陳述式至組態檔 /etc/samba/smb.conf

    winbind use default domain = true

如果使用者必須指定要登入的網域名稱,您必須在 Linux 桌面平台上設定 SSOUserFormat 選項。如需詳細資訊,請參閱在 Linux 桌面平台上設定組態檔中的選項。請注意,SSO 一律使用大寫的簡短網域名稱。例如,如果網域為 mydomain.com,SSO 將使用 MYDOMAIN 做為網域名稱。因此,設定 SSOUserFormat 選項時,您必須指定 MYDOMAIN。關於簡短和完整網域名稱,所適用的規則如下:

  • 針對 OpenLDAP,您必須使用大寫的簡短網域名稱。

  • Winbind 支援完整和簡短網域名稱。

AD 支援在登入名稱中使用特殊字元,但 Linux 不支援。因此,設定 SSO 時請勿在登入名稱中使用特殊字元。

在 AD 中,如果使用者的 UserPrincipalName (UPN) 屬性和 sAMAccount 屬性不符,而且使用者使用 UPN 登入,SSO 將會失敗。因應措施是讓使用者使用 sAMAccount 中儲存的名稱來登入。

View 不要求使用者名稱區分大小寫。您必須確保 Linux 作業系統可以處理不區分大小寫的使用者名稱。

  • 針對 Winbind,使用者名稱預設不區分大小寫。

  • 針對 OpenLDAP,Ubuntu 使用 NSCD 來驗證使用者,並且預設不區分大小寫。RHEL 和 CentOS 使用 SSSD 來驗證使用者,並且預設區分大小寫。若要變更設定,請編輯檔案 /etc/sssd/sssd.conf,並在 [domain/default] 區段新增下列程式行:

    case_sensitive = false

針對 Ubuntu16.04 或 14.04,請在 /etc/vmware/viewagent-custom.conf 檔案中設定 UseGnomeFlashback=TRUE,才能使用 GNOME Flashback (Metacity) 桌面平台環境。

智慧卡重新導向

若要設定智慧卡重新導向,請先遵循 Linux 經銷商與智慧卡廠商的指示。然後將 pcsc-lite 套件更新為 1.7.4。例如,執行下列命令:

#yum groupinstall "Development tools"
#yum install libudev-devel
#service pcscd stop
#wget https://alioth.debian.org/frs/download.php/file/3598/pcsc-lite-1.7.4.tar.bz2
#tar -xjvf pcsc-lite-1.7.4.tar.bz2
#cd ./pcsc-lite-1.7.4
#./configure --prefix=/usr/ --libdir=/usr/lib64/ --enable-usbdropdir=/usr/lib64/pcsc/drivers
 --enable-confdir=/etc --enable-ipcdir=/var/run  --disable-libusb --disable-serial --disable-usb
 --disable-libudev
#make
#make install
#service pcscd start

針對 Winbind,新增下列陳述式至組態檔 /etc/samba/smb.conf

winbind use default domain = true

安裝 Horizon Agent 時,您必須先停用 SELinux 或為 SELinux 啟用允許模式。您也必須特別選取智慧卡重新導向元件,因為該元件並非預設選取。如需詳細資訊,請參閱install_viewagent.sh 命令列選項

在 Horizon View 7.0.1 或更新版本中會啟用智慧卡 SSO。此外,如果在虛擬機器上安裝了智慧卡重新導向功能,則 vSphere Client 的 USB 重新導向無法與智慧卡搭配使用。

智慧卡重新導向僅支援一部智慧卡讀卡機。如果連接了兩部以上的讀卡機到用戶端裝置,此功能將無法運作。

智慧卡重新導向僅支援一張卡片上一個憑證。如果卡片上有多個憑證,則會使用第一個插槽中的憑證,並忽略其他憑證。此為 Linux 的限制。

備註︰
  • 智慧卡支援下列 Winbind 值。若非如此,智慧卡 SSO 和手動登入將會失敗。

    winbind use default domain=true
  • 當您使用 Linux 用戶端透過 PIV 卡來驗證代理時 (Linux 桌面平台智慧卡重新導向可支援此功能),您必須在 ~/.vmware/view-preferences 上為 Linux 用戶端新增 view.sslProtocolString = "TLSv1.1" 組態,以避免發生 SSL 錯誤。