在 Ubuntu 桌面平台上設定 True SSO

若要在 Ubuntu 虛擬機器 (VM) 上啟用 True SSO 功能，請安裝 True SSO 功能所依賴的程式庫、支援受信任驗證所需的根憑證授權機構 (CA) 憑證，以及 Horizon Agent。如果 True SSO 驗證也由次級 CA 核發，則必須安裝根和次級 CA 憑證的整個憑證鏈結。若要完成驗證設定，您必須編輯部分組態檔。

請使用下列程序在 Ubuntu 虛擬機器上啟用 True SSO。

必要條件

設定 Workspace ONE Access 和 Horizon Connection Server的 True SSO。
完成整合 Ubuntu 虛擬機器與 Active Directory 以支援 True SSO中所述的步驟。
取得根 CA 憑證，並將其儲存至 Ubuntu 虛擬機器上的 /tmp/certificate.cer。請參閱《如何匯出根憑證授權機構憑證》。
如果次級 CA 也是核發授權機構，請取得根和次級 CA 憑證的整個鏈結，並將其儲存至 Ubuntu 虛擬機器上的 /tmp/certificate.cer。

程序

在 Ubuntu 虛擬機器上，安裝 pkcs11 支援套件。
```
sudo apt install libpam-pkcs11
```
安裝 libnss3-tools 套件。
```
sudo apt install libnss3-tools
```
安裝根 CA 憑證或憑證鏈結。
1. 找出您所下載的根 CA 憑證或憑證鏈結，並將其傳輸至 PEM 檔案。
```
openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
```
2. 建立 /etc/pki/nssdb 目錄以包含系統資料庫。
```
sudo mkdir -p /etc/pki/nssdb
```
3. 使用 certutil 命令將根 CA 憑證或憑證鏈結安裝至系統資料庫 /etc/pki/nssdb。
```
sudo certutil -A -d /etc/pki/nssdb -n "root CA cert" -t "CT,C,C" -i /tmp/certificate.pem
```
4. 建立 /etc/pam_pkcs11/cacerts 目錄，然後在其中複製根 CA 憑證或憑證鏈結。
```
mkdir -p /etc/pam_pkcs11/cacerts
sudo cp /tmp/certificate.pem /etc/pam_pkcs11/cacerts
```
5. 建立根 CA 憑證或憑證鏈結的雜湊連結。在 /etc/pam_pkcs11/cacerts 目錄中，執行下列命令。
```
pkcs11_make_hash_link
```
安裝 Horizon Agent 套件，並啟用 True SSO。
```
sudo ./install_viewagent.sh -T yes
```
將下列參數新增至 Horizon Agent 自訂組態檔 /etc/vmware/viewagent-custom.conf。請使用下列範例，其中 NETBIOS_NAME_OF_DOMAIN 是您組織網域的 NetBIOS 名稱。
```
NetbiosDomain=NETBIOS_NAME_OF_DOMAIN
```

編輯 /etc/pam_pkcs11/pam_pkcs11.conf 組態檔。

如有需要，請建立 /etc/pam_pkcs11/pam_pkcs11.conf 組態檔。在 /usr/share/doc/libpam-pkcs11/examples 中找出範例檔案，並將其複製到 /etc/pam_pkcs11 目錄，然後將該檔案重新命名為 pam_pkcs11.conf。視需要將您的系統資訊新增至檔案內容。

修改 /etc/pam_pkcs11/pam_pkcs11.conf 組態檔，使其包含類似下列範例的內容。

備註：針對 Ubuntu 20.04，請將 ms 附加至 use_mappers 一行的結尾。

use_pkcs11_module = coolkey;
pkcs11_module coolkey {
  module = /usr/lib/vmware/viewagent/sso/libvmwpkcs11.so;
  slot_num = 0;
  ca_dir = /etc/pam_pkcs11/cacerts;
  nss_dir = /etc/pki/nssdb;
}

mapper ms {
  debug = false;
  module = internal;
  # module = /usr/$LIB/pam_pkcs11/ms_mapper.so;
  ignorecase = false;
  # ignore domain name
  ignoredomain = true;
  domain = "DOMAIN.COM"; #<== Replace "DOMAIN.COM" with your organization's domain name
}

use_mappers = digest, cn, pwent, uid, mail, subject, null, ms;  #<== For Ubuntu 20.04, append "ms" at end of use_mappers

修改 PAM 組態檔中的 auth 參數。
1. 開啟位於 /etc/pam.d/gdm-vmwcred 的 PAM 組態檔。
2. 編輯 PAM 組態檔，如下列範例所示。
```
auth requisite pam_vmw_cred.so
auth sufficient pam_pkcs11.so try_first_pass
```
在 Linux 終端機中，將 /etc/krb5.conf 組態檔的模式設為等於 644，如以下範例所示。
```
sudo chmod 644 /etc/krb5.conf 
ls -l /etc/krb5.conf
```
-rw-r--r-- 1 root root xxx xx xx xxxx /etc/krb5.conf
備註：如果您未按指定來修改 /etc/krb5.conf 的權限屬性，則 True SSO 功能可能無法正常運作。
重新啟動虛擬機器，並重新登入。