若要在 Ubuntu/Debian 虛擬機器 (VM) 上啟用 True SSO 功能,請安裝 True SSO 功能所依賴的程式庫、支援受信任驗證所需的根憑證授權機構 (CA) 憑證,以及 Horizon Agent。如果 True SSO 驗證也由次級 CA 核發,則必須安裝根和次級 CA 憑證的整個憑證鏈結。若要完成驗證設定,您必須編輯部分組態檔。

請使用下列程序在 Ubuntu/Debian 虛擬機器上啟用 True SSO。

必要條件

程序

  1. 在虛擬機器上,安裝 pkcs11 支援套件。
    sudo apt install libpam-pkcs11
  2. 安裝 libnss3-tools 套件。
    sudo apt install libnss3-tools
  3. 安裝根 CA 憑證或憑證鏈結。
    1. 找出您所下載的根 CA 憑證或憑證鏈結,並將其傳輸至 PEM 檔案。
      sudo openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
    2. 建立 /etc/pki/nssdb 目錄以包含系統資料庫。
      sudo mkdir -p /etc/pki/nssdb
    3. 使用 certutil 命令將根 CA 憑證或憑證鏈結安裝至系統資料庫 /etc/pki/nssdb
      將以下範例命令中的「root CA cert」取代為系統資料庫中根 CA 憑證的名稱。
      sudo certutil -A -d /etc/pki/nssdb -n "root CA cert" -t "CT,C,C" -i /tmp/certificate.pem
    4. 建立 /etc/pam_pkcs11/cacerts 目錄,然後在其中複製根 CA 憑證或憑證鏈結。
      sudo mkdir -p /etc/pam_pkcs11/cacerts
      sudo cp /tmp/certificate.pem /etc/pam_pkcs11/cacerts
    5. 建立根 CA 憑證或憑證鏈結的雜湊連結。在 /etc/pam_pkcs11/cacerts 目錄中,執行下列命令。
      sudo pkcs11_make_hash_link
  4. 安裝 Horizon Agent 套件,並啟用 True SSO。
    sudo ./install_viewagent.sh -T yes
  5. 將下列參數新增至 Horizon Agent 自訂組態檔 /etc/vmware/viewagent-custom.conf。請使用下列範例,其中 NETBIOS_NAME_OF_DOMAIN 是您組織網域的 NetBIOS 名稱。
    NetbiosDomain=NETBIOS_NAME_OF_DOMAIN
  6. 編輯 /etc/pam_pkcs11/pam_pkcs11.conf 組態檔。
    1. 如有需要,請建立 /etc/pam_pkcs11/pam_pkcs11.conf 組態檔。在 /usr/share/doc/libpam-pkcs11/examples 中找出範例檔案,並將其複製到 /etc/pam_pkcs11 目錄,然後將該檔案重新命名為 pam_pkcs11.conf。視需要將您的系統資訊新增至檔案內容。
    2. 修改 /etc/pam_pkcs11/pam_pkcs11.conf 組態檔,使其包含類似下列範例的內容。
      備註: 針對 Ubuntu 20.04 或更新版本,將 ms 附加至 use_mappers 一行的結尾。
      use_pkcs11_module = coolkey;
      pkcs11_module coolkey {
        module = /usr/lib/vmware/viewagent/sso/libvmwpkcs11.so;
        slot_num = 0;
        ca_dir = /etc/pam_pkcs11/cacerts;
        nss_dir = /etc/pki/nssdb;
      }
      
      mapper ms {
        debug = false;
        module = internal;
        # module = /usr/$LIB/pam_pkcs11/ms_mapper.so;
        ignorecase = false;
        # ignore domain name
        ignoredomain = true;
        domain = "DOMAIN.COM"; #<== Replace "DOMAIN.COM" with your organization's domain name
      }
      
      use_mappers = digest, cn, pwent, uid, mail, subject, null, ms;  #<== For Ubuntu 20.04 or later, append "ms" at end of use_mappers
  7. 在 Linux 終端機中,將 /etc/krb5.conf 組態檔的存取權限設定為 644,如以下範例中所示。
    sudo chmod 644 /etc/krb5.conf

    驗證是否已修改權限。

    ls -l /etc/krb5.conf
    
    -rw-r--r-- 1 root root xxx xx xx xxxx /etc/krb5.conf
    備註: 如果您未按指定來修改 /etc/krb5.conf 的權限,則 True SSO 功能可能無法正常運作。
  8. 重新啟動虛擬機器,並重新登入。