桌面云对接宁盾认证

云桌面虚拟机采用操作系统为统信UOS，需要和宁盾进行对接认证。

一、对接流程

1.首先，在深信服瘦终端上输入账号和密码进行登录，然后用户名密码就会到宁盾身份目录上认证（VDC已经做好和宁盾域控对接,且桌面云虚拟机也加入认证）；

2.登录成功以后，进到客户端门户，自动登录到虚拟机（客户端会把账号密码代填到虚拟机密码登录框，然后账号密码到宁盾身份目录认证）；

二、宁盾域控配置

（一）部署组件（NDS+NDA+证书）

（二）宁盾NDCA配置

1. 创建NDCA机构

2.创建CA

3.创建成功

（三）UC配置

1. 完成UC的域名配置，配置DNS服务器将域名解析到UC的服务器IP上，确保加域终端解析域名到UC服务器IP。

2. 配置默认UC地址

3. 生成并导出SSL证书

4. UC服务配置https

进入DKAM-站点内-用户中心-SSL配置，点击申请证书，选择计算机证书模版（此处必须在基本配置UC服务器地址配置为域名才能申请成功）

DKAM-站点内-用户中心-SSL配置，点击导出证书，输入的密码为证书私钥，导出.p12文件，名称设置为"域名.p12",如ysy.com.p12，放uchome/tomcat/conf下

获取UC的根证书:http://domain.com:7080/uc/service/certificate/caChain 把链接中domain.com改成uc的域名比如ysy.com:7080，下载pem文件，Linux需要根证书把后缀名修改为.crt；

centos7把下载的caChain.pem修改成caChain.crt放在安装UC的centos服务器的/etc/pki/ca-trust/source/anchors下，执行update-ca-trust extract

（四）用户组织架构数据创建

1. 可以通过导入或者手动创建。

（五）搭建宁盾身份目录

三、深信服VDC对接域控配置

（一）添加host解析

如果客户内部没有DNS服务器，需要将ND服务器在VDC上添加HOST;

（二）新增LADP认证服务器

（三）导入用户到本地（需要将LDAP用户导入到本地，关联虚拟机需要），具体是否需要导入可根据用户使用场景来看；

（四）云桌面资源管理配置

在资源管理模块下域配置与自动登录，只勾选自动登录到计算机，选择域用户，填写与服务器域名；

四、统信UOS虚拟机加入域控

（一）安装宁盾域控NDA插件，做好配置对接，安装完成后，弹窗提示需要输入加域码。

（二）创建计算机，配置可登陆该计算机的用户

1.创建入口

2.创建自己计算机数据；

3.创建完成后，未加域

（三）配置可登陆用户-登陆计算机的权限

（四）获取加域码，NDA输入加域码进行加域

（五）（统信UOS）虚拟机彻底关闭特效模式

1.在信创系统上的/etc/X11/Xsession.d/05uos-profile中添加下面语句，彻底关闭特效模式，export KWIN_COMPOSE=N

2.把/usr/bin/dde-wm-chooser 文件重命名，让这个程序不能启动。

3.由于统信系统默认有域配置，虚拟机默认会走UOS域登陆流程，所以需要在统信虚拟机/etc目录下创建udcp目录，在目录下创建userinfo.json文件（检测虚拟机的一个配置文件，要不然域检测不通过，单点登陆流程异常）。

综上所述，整体对接完成，测试域账号登陆正常。

五、常见问题排错

1.连接LDAP服务出错，提示连接失败；或者认证平台上登陆会话，提示admin账号认证失败

排错：

①确认服务器网络是否异常。②确认LDAP服务是否正常启动。③用户名密码错误

2.个别电脑加域后，无法登陆宁盾账号

排错：

①在am执行脱域操作;

②进入nda客户端所在计算机，打开cmd终端，输入命令"sudo dpkg -r nda";

③删除nda系统数据库，进入/var/lib，输入命令“sudo rm -rf nda/”，直接删除整个nda目录；

④删除nda用户数据，进入/home/userName/.config，输入命令“sudo rm -rf nda/”，直接删除整个nda目录；

⑤重启计算机后，安装新版本nda客户端。

3.个别电脑安装宁盾插件后，可以登陆宁盾账号，但是重启后会自动进默认创建的admin账号

排错：

①登陆宁盾账号后；将默认创建的admin账号进行删除；

②再重启后，即可自动进入自己账号