Product Documentation

Vorbereiten der Linux-Maschine für die VDA-Installation

Oct 17, 2016

Starten des YaST-Tools

Mit dem SUSE Linux Enterprise YaST-Tool können alle Aspekte des Betriebssystems konfiguriert werden.

Starten des textbasierten YaST-Tools:

command Kopieren

su -

yast

Sie können auch das YaST-Tool mit Benutzeroberfläche starten:

command Kopieren

su -

yast2 &

Konfigurieren des Netzwerks

In den folgenden Abschnitten finden Sie Informationen zum Konfigurieren der verschiedenen Netzwerkeinstellungen und Dienste, die der Linux VDA verwendet. Die Konfiguration des Netzwerks sollte mit dem YaST-Tool ausgeführt werden und nicht mit anderen Methoden wie Network Manager. Die Anleitungen beziehen sich auf das YaST-Tool mit Benutzeroberfläche. Sie können das textbasierte YaST-Tool verwenden, aber es erfordert eine andere Navigationsweise, die hier nicht dokumentiert ist.

Konfigurieren von Hostnamen und DNS

  1. Öffnen Sie "YaST Network Settings".
  2. Nur in SLED 12: Ändern Sie auf der Registerkarte Global Options die Einstellung unter Network Setup Method in Wicked Service.
  3. Öffnen Sie die Registerkarte Hostname/DNS.
  4. Deaktivieren Sie das Kontrollkästchen Change hostname via DHCP.
  5. Aktivieren Sie das Kontrollkästchen Assign Hostname to Loopback IP.
  6. Geben Sie die folgenden Informationen entsprechend Ihrer Netzwerkeinstellungen an:
  • Hostname: Geben Sie den DNS-Hostnamen der Maschine an.
  • Domain Name: Geben Sie den DNS-Domänennamen der Maschine an.
  • Name Server: Geben Sie die IP-Adresse des DNS-Servers an. Dies ist normalerweise die IP-Adresse des Active Directory-Domänencontrollers.
  • Domain Search list: Geben Sie den DNS-Domänennamen an.

Hinweis

Der Linux VDA unterstützt derzeit keine abgeschnittenen NetBIOS-Namen, daher darf der Hostname nicht länger als 15 Zeichen sein.

Tipp

Verwenden Sie nur Buchstaben (a-z), Ziffern (0-9) und Bindestriche (-). Vermeiden Sie Unterstriche (_), Leerzeichen und andere Symbole. Hostnamen sollten nicht mit einer Zahl beginnen und nicht mit einem Bindestrich enden.

Deaktivieren von Multicast-DNS

In SLED ist standardmäßig Multicast-DNS (MDNS) aktiviert, was zu inkonsistenten Ergebnissen bei der Namensauflösung führen kann. In SLES ist MDNS nicht standardmäßig aktiviert, daher ist keine Aktion erforderlich. 

Zum Deaktivieren von MDNS ändern Sie in /etc/nsswitch.conf folgende Zeile:

command Kopieren

hosts: files mdns_minimal [NOTFOUND=return] dns

In:

command Kopieren

hosts: files dns

Überprüfen des Hostnamens

Stellen Sie sicher, dass der Hostname richtig festgelegt ist:

command Kopieren

hostname

Nur der Hostname der Maschine sollte zurückgegeben werden und nicht der vollqualifizierte Domänenname (FQDN).

Stellen Sie sicher, dass der FQDN richtig festgelegt ist:

command Kopieren

hostname -f

Der FQDN der Maschine sollte zurückgegeben werden.

Überprüfen von Namensauflösung und Diensterreichbarkeit

Stellen Sie sicher, dass Sie den FQDN auflösen können und pingen Sie den Domänencontroller und den XenDesktop Delivery Controller:

command Kopieren

nslookup domain-controller-fqdn

ping domain-controller-fqdn

nslookup delivery-controller-fqdn

ping delivery-controller-fqdn

Wenn Sie den FQDN nicht auflösen und eine der beiden Maschinen nicht pingen können, überprüfen Sie die vorherigen Schritte, bevor Sie fortfahren.

Konfigurieren des NTP-Diensts

Es ist wichtig, dass die Uhrsynchronisierung zwischen den VDAs, den XenDesktop Controllern und den Domänencontrollern genau ist. Beim Hosten eines Linux VDAs als virtuelle Maschine kann es zu Zeitabweichungen kommen. Aus diesem Grund sollte die Zeit remote von einem NTP-Dienst verwaltet werden. Möglicherweise müssen einige Änderungen an den NTP-Standardeinstellungen vorgenommen werden:

  1. Öffnen Sie "YaST NTP Configuration" und wählen Sie die Registerkarte General Settings aus.
  2. Aktivieren Sie im Abschnitt "Start NTP Daemon" das Kontrollkästchen Now and on Boot.
  3. Wählen Sie das Element Undisciplined Local Clock (LOCAL) aus, wenn es vorhanden ist, und klicken Sie auf Delete.
  4. Fügen Sie einen Eintrag für einen NTP-Server hinzu, indem Sie auf Add klicken.
  5. Wählen Sie unter Server Type den Servertyp aus und klicken Sie auf Next.
  6. Geben Sie den DNS-Namen des NTP-Servers in das Adressfeld ein. Dieser Dienst wird normalerweise auf dem Active Directory-Domänencontroller gehostet.
  7. Lassen Sie das Feld "Options" unverändert.
  8. Klicken Sie auf Test, um zu prüfen, ob der NTP-Dienst erreichbar ist.
  9. Klicken Sie in den folgenden Fenstern auf OK, um die Änderungen zu speichern.

Hinweis

Wenn der NTP-Daemon in SLES 12-Implementierungen nicht startet, ist dies möglicherweise auf ein bekanntes SUSE-Problem mit AppArmor-Richtlinien zurückzuführen. Weitere Informationen und eine Lösung des Problems finden Sie hier.

Installieren von Linux VDA-abhängigen Paketen

Die Linux VDA-Software für SUSE Linux Enterprise ist von den folgenden Paketen abhängig:

  • PostgreSQL
    • SLED/SLES 11: Version 9.1 oder höher
    • SLED/SLES 12: Version 9.3 oder höher
  • OpenJDK 1.7.0
  • OpenMotif Runtime Environment 2.3.1 oder höher
  • Cups
    • SLED/SLES 11: Version 1.3.7 oder höher
    • SLED/SLES 12: Version 1.6.0 oder höher
  • Foomatic-Filter 
    • SLED/SLES 11: Version 3.0.0 oder höher
    • SLED/SLES 12: Version 1.0.0 oder höher
  • ImageMagick
    • SLED/SLES 11: Version 6.4.3.6 oder höher
    • SLED/SLES 12: Version 6.8 oder höher

Hinzufügen von Repositorys

Einige der erforderlichen Pakete sind nicht in allen SUSE Linux Enterprise-Repositorys verfügbar:

  • SLED 11: PostgreSQL ist für SLES 11, aber nicht für SLED 11 verfügbar.
  • SLES 11: OpenJDK und OpenMotif sind für SLED 11, aber nicht SLES 11 verfügbar.
  • SLED 12: PostgreSQL ist für SLES 12, aber nicht für SLED 12 verfügbar. ImageMagick ist mit dem SLE 12 SDK ISO oder dem Online-Repository verfügbar.
  • SLES 12: Alle Pakete sind verfügbar. ImageMagick ist mit dem SLE 12 SDK ISO oder dem Online-Repository verfügbar.

Laden Sie fehlende Pakete für die Edition, die Sie installieren, vom Medium für die alternative SLE-Edition herunter. Das bedeutet, für SLED können Sie fehlende Pakete vom SLES-Medium installieren und für SLES können Sie fehlende Pakete vom SLED-Medium installieren. Mit der unten beschriebenen Methode werden die ISO-Dateien und Repositorys sowohl für SLED als auch SLES bereitgestellt.

SLED 11


sudo mkdir -p /mnt/sles

sudo mount -t iso9660 \

           path-to-iso/SLES-11-SP4-DVD-x86_64-GM-DVD1.iso /mnt/sles

sudo zypper ar -f /mnt/sles sles

SLES 11

sudo mkdir -p /mnt/sled

sudo mount -t iso9660 \

           path-to-iso/SLED-11-SP4-DVD-x86_64-GM-DVD1.iso /mnt/sled

sudo zypper ar -f /mnt/sled sled

SLED 12

sudo mkdir -p /mnt/sles

sudo mount -t iso9660 \

           path-to-iso/SLES-12-SP1-DVD-x86_64-GM-DVD1.iso /mnt/sles

sudo zypper ar -f /mnt/sles sles

SLED/SLES 12

sudo mkdir -p /mnt/sdk

sudo mount -t iso9660 \

           path-to-iso/SLE-12-SP1-SDK-DVD-x86_64-GM-DVD1.iso /mnt/sdk

sudo zypper ar -f /mnt/sdk sdk

Installieren des Kerberos-Clients

Installieren Sie den Kerberos-Client für die gegenseitige Authentifizierung des Linux VDA und der XenDesktop Controller:

command Kopieren

sudo zypper install krb5-client

Die Kerberos-Clientkonfiguration ist abhängig von der verwendeten Active Directory-Integrationsmethode, die später beschrieben wird.

Installieren von OpenJDK

Der Linux VDA ist von OpenJDK 1.7.0 abhängig.

Tipp

Stellen Sie zum Vermeiden von Problemen sicher, dass nur die OpenJDK-Version 1.7.0 installiert ist. Entfernen Sie alle anderen auf dem System vorhandenen Java-Versionen.

SLED

Unter SLED sollte Java Runtime Environment mit dem Betriebssystem installiert worden sein. Überprüfen Sie dies mit folgenden Befehl:

       sudo zypper info java-1_7_0-openjdk

Aktualisieren Sie auf die aktuelle Version, wenn der Status als veraltet gemeldet wird:

sudo zypper update java-1_7_0-openjdk

Überprüfen Sie die Java-Version:

java -version

SLES

Unter SLES muss Java Runtime Environment installiert werden:

sudo zypper install java-1_7_0-openjdk

Überprüfen Sie die Java-Version:

java -version

Installieren von PostgreSQL

SLED/SLES 11

Installieren Sie die Pakete:

sudo zypper install libecpg6

sudo zypper install postgresql-init

sudo zypper install postgresql

sudo zypper install postgresql-server

sudo zypper install postgresql-jdbc

Nach der Installation sind einige Schritte erforderlich, um den Datenbankdienst zu initialisieren und sicherzustellen, dass PostgreSQL beim Booten startet:

sudo /sbin/insserv postgresql

sudo /etc/init.d/postgresql restart

SLED/SLES 12

Installieren Sie die Pakete:

sudo zypper install postgresql-init

sudo zypper install postgresql-server

sudo zypper install postgresql-jdbc

Nach der Installation sind Schritte erforderlich, um den Datenbankdienst zu initialisieren und sicherzustellen, dass PostgreSQL beim Booten startet:

sudo systemctl enable postgresql

sudo systemctl restart postgresql

Datenbankdateien befinden sich unter /var/lib/pgsql/data.

Entfernen von Repositorys

Nach der Installation der abhängigen Pakete können nun die zuvor eingerichteten Repositorys der alternativen Edition entfernt und die Bereitstellung der Medien aufgehoben werden:

SLED 11

Entfernen Sie die folgenden Pakete:

sudo zypper rr sles

sudo umount /mnt/sles

sudo rmdir /mnt/sles

SLES 11

Entfernen Sie die folgenden Pakete:

sudo zypper rr sled

sudo umount /mnt/sled

sudo rmdir /mnt/sled

SLED 12

Entfernen Sie die folgenden Pakete:

sudo zypper rr sles

sudo umount /mnt/sles

sudo rmdir /mnt/sles

SLED/SLES 12

Entfernen Sie die folgenden Pakete:

sudo zypper rr sdk

sudo umount /mnt/sdk

sudo rmdir /mnt/sdk

Vorbereiten der Linux-VM für den Hypervisor

Wenn Sie den Linux VDA als virtuelle Maschine auf einem unterstützten Hypervisor ausführen, sind einige Änderungen erforderlich. Nehmen Sie entsprechend der verwendeten Hypervisorplattform die folgenden Änderungen vor. Wenn Sie die Linux-Maschine auf Bare-Metal-Hardware ausführen, sind keine Änderungen erforderlich.

Festlegen der Zeitsynchronisierung auf Citrix XenServer

Wenn das Zeitsynchronisierungsfeature auf XenServer aktiviert ist, treten auf den paravirtualisierten Linux-VMs Probleme auf, da NTP und XenServer gleichzeitig versuchen, die Systemuhr zu verwalten. Damit es nicht zu Zeitabweichungen zwischen der Uhr und den anderen Servern kommt, muss die Systemuhr aller Linux-Gäste mit dem NTP synchronisiert werden. Dazu muss die Hostzeitsynchronisierung deaktiviert werden. Im HVM-Modus sind keine Änderungen erforderlich.

Auf einigen Linux-Distributionen, auf denen ein paravirtualisierter Linux-Kernel mit installierten XenServer-Tools ausgeführt wird, können Sie direkt in der Linux-VM prüfen, ob das XenServer- Zeitsynchronisierungsfeature vorhanden und aktiviert ist:

command Kopieren

su -

cat /proc/sys/xen/independent_wallclock

Mögliche Ergebnisse:

  • 0: Das Zeitsynchronisierungsfeature ist aktiviert und muss deaktiviert werden.
  • 1: Das Zeitsynchronisierungsfeature ist deaktiviert und keine weitere Aktion ist erforderlich.

Wenn die Datei /proc/sys/xen/indepent_wallclock nicht vorhanden ist, sind die folgenden Schritte nicht erforderlich.

Wenn das Zeitsynchronisierungsfeature aktiviert ist, deaktivieren Sie es, indem Sie 1 in die Datei eingeben:

command Kopieren

sudo echo 1 > /proc/sys/xen/independent_wallclock

Damit die Änderung permanent wird und nach dem Neustart erhalten bleibt, bearbeiten Sie die Datei /etc/sysctl.conf und fügen Sie die folgende Zeile hinzu:

command Kopieren

xen.independent_wallclock = 1

Starten Sie das System neu, um die Änderungen zu überprüfen:

command Kopieren

reboot

Nach dem Neustart müssen Sie sicherstellen, dass die Einstellung richtig festgelegt wurde:

command Kopieren

su -

cat /proc/sys/xen/independent_wallclock

Der Wert "1" sollte zurückgegeben werden.

Festlegen der Zeitsynchronisierung auf Microsoft Hyper-V

Linux-VMs, auf denen Hyper-V Linux-Integrationsdienste installiert sind, können mit dem Hyper-V-Zeitsynchronisierungsfeature die Systemzeit des Hostbetriebssystems verwenden. Um sicherzustellen, dass die Betriebssystemzeit korrekt ist, sollten Sie das Feature zusätzlich zu den NTP-Diensten aktivieren.

Auf dem verwaltenden Betriebssystem:

  1. Öffnen Sie die Hyper-V-Manager-Konsole. 
  2. Wählen Sie für die Einstellungen einer Linux-VM Integrationsdienste
  3. Stellen Sie sicher, dass Zeitsynchronisierung ausgewählt ist. 

Hinweis

Diese Methode unterscheidet sich von VMware und XenServer, wo die Hostzeitsynchronisierung deaktiviert ist, um Konflikte mit dem NTP zu vermeiden. Hyper-V-Zeitsynchronisierung kann gleichzeitig mit der NTP-Zeitsynchronisierung bestehen und sie ergänzen.

Festlegen der Zeitsynchronisierung auf ESX und ESXi

Wenn das VMware-Zeitsynchronisierungsfeature aktiviert ist, treten auf den paravirtualisierten Linux-VMs Probleme auf, da NTP und der Hypervisor gleichzeitig versuchen, die Systemuhr zu verwalten. Damit es nicht zu Zeitabweichungen zwischen der Uhr und den anderen Servern kommt, muss die Systemuhr aller Linux-Gäste mit dem NTP synchronisiert werden. Dazu muss die Hostzeitsynchronisierung deaktiviert werden.

Wenn Sie einen paravirtualisierten Linux-Kernel ausführen und VMware-Tools installiert sind:

  1. Öffnen Sie den vSphere-Client.
  2. Bearbeiten Sie die Einstellungen für die Linux-VM.
  3. Öffnen Sie im Dialogfeld Virtual Machine Properties die Registerkarte Options.
  4. Wählen Sie VMware Tools.
  5. Deaktivieren Sie im Feld Advanced das Kontrollkästchen Synchronize guest time with host.

Hinzufügen einer Linux-Maschine zu einer Windows-Domäne

Linux-Maschinen können mit verschiedenen Methoden der Active Directory-Domäne hinzugefügt werden, die von XenDesktop für Linux unterstützt wird:

  • Samba Winbind
  • Quest Authentication Service
  • Centrify DirectControl

Folgen Sie den Anweisungen unten für die von Ihnen gewählte Methode.

Samba Winbind

Beitreten zu einer Windows-Domäne

Es wird vorausgesetzt, dass der Domänencontroller erreichbar ist und dass Sie über ein Active Directory-Benutzerkonto mit Berechtigungen zum Hinzufügen von Maschinen zur Domäne verfügen:

1. Öffnen Sie "YaST Windows Domain Membership".

2. Nehmen Sie die folgenden Änderungen vor:

  • Legen Sie die Domäne oder Arbeitsgruppe auf den Namen der Active Directory-Domäne oder auf die IP-Adresse des Domänencontrollers fest. Stellen Sie sicher, dass die Domäne in Großbuchstaben angegeben wurde.
  • Aktivieren Sie außerdem das Kontrollkästchen "Use SMB information for Linux Authentication".
  • Aktivieren Sie das Kontrollkästchen "Create Home Directory on Login".
  • Aktivieren Sie "Single Sign-on for SSH".
  • Stellen Sie sicher, dass die Option "Offline Authentication" nicht aktiviert ist. Diese Option ist mit dem Linux VDA nicht kompatibel.

3. Klicken Sie auf OK. Wenn Sie zum Installieren einiger Pakete aufgefordert werden, klicken Sie auf Install.

4. Wenn ein Domänencontroller gefunden wird, werden Sie gefragt, ob Sie der Domäne beitreten möchten. Klicken Sie auf Yes

5. Wenn Sie dazu aufgefordert werden, geben Sie die Anmeldeinformationen eines Domänenbenutzers ein, der über Berechtigungen zum Hinzufügen von Computern zur Domäne verfügt, und klicken Sie auf OK

6. Eine Erfolgsmeldung wird angezeigt. 

7. Wenn Sie zum Installieren von samba- und krb5-Paketen aufgefordert werden, klicken Sie auf Install

YaST hat Sie möglicherweise davon unterrichtet, dass für diese Änderungen einige Dienste oder die Maschine neu gestartet werden muss. Führen Sie einen Neustart durch:

command Kopieren

su -

reboot

Nur für SLED/SLES 12: Reparieren des Namens für Kerberos-Anmeldeinformationscache

In SLED/SLES 12 wurde die Spezifikation für den Standardnamen des Kerberos-Anmeldeinformationscaches von FILE:/tmp/krb5cc_%{uid} in DIR:/run/user/%{uid}/krb5cc geändert. Diese neue DIR-Zwischenspeichermethode ist nicht mit dem Linux VDA kompatibel und muss manuell geändert werden. Bearbeiten Sie als Root-Benutzer die Datei /etc/krb5.conf und fügen Sie die folgende Einstellung im Abschnitt [libdefaults] hinzu, falls sie nicht festgelegt ist:

command Kopieren

default_ccache_name = FILE:/tmp/krb5cc_%{uid}

Überprüfen der Domänenmitgliedschaft

Für den XenDesktop Controller ist es erforderlich, dass alle VDA-Maschinen, Windows und Linux, ein Computerobjekt in Active Directory haben.

Stellen Sie mit dem folgenden Samba-Befehl sicher, dass die Maschine zu einer Domäne gehört:

command Kopieren

sudo net ads testjoin

Überprüfen Sie zusätzliche Domänen- und Computerobjektinformationen mit folgendem Befehl:

command Kopieren

sudo net ads info

Überprüfen der Kerberos-Konfiguration 

Überprüfen Sie, ob Kerberos zur Verwendung mit dem Linux VDA ordnungsgemäß konfiguriert ist, indem Sie sicherstellen, dass die Systemdatei für die Schlüsseltabelle erstellt wurde und gültige Schlüssel enthält:

command Kopieren

sudo klist –ke

Daraufhin sollte die Liste der Schlüssel angezeigt werden, die für die verschiedenen Kombinationen aus Prinzipalnamen und Verschlüsselungssammlungen verfügbar sind. Führen Sie den Kerberos-Befehl kinit aus, um die Maschine mit dem Domänencontroller zu authentifizieren, die diese Schlüssel verwendet:

command Kopieren

sudo kinit -k MACHINE\$@REALM

Maschinen- und Bereichsname müssen in Großbuchstaben angegeben werden und das Dollarzeichen ($) muss durch einen umgekehrten Schrägstrich (\) geschützt werden, um die Ersetzung in der Shell zu verhindern. In einigen Umgebungen sind DNS-Domänenname und Kerberos-Bereichsname unterschiedlich. Stellen Sie sicher, dass der Bereichsname verwendet wird. Wenn dieser Befehl erfolgreich ist, wird keine Ausgabe angezeigt.

Stellen Sie mit folgendem Befehl sicher, dass das TGT-Ticket für das Maschinenkonto zwischengespeichert wurde:

command Kopieren

sudo klist

Überprüfen Sie die Maschinenkontodetails mit folgendem Befehl:

command Kopieren

sudo net ads status

Überprüfen der Benutzerauthentifizierung 

Überprüfen Sie mit dem wbinfo-Tool, dass Domänenbenutzer sich bei der Domäne authentifizieren können:

command Kopieren

wbinfo --krb5auth=domain\\username%password

Die hier angegebene Domäne ist der AD-Domänenname und nicht der Kerberos-Bereichsname. Für die Bash-Shell muss der umgekehrte Schrägstrich (\) durch einen weiteren umgekehrten Schrägstrich geschützt werden. Bei diesem Befehl wird eine Erfolgs- oder Fehlermeldung zurückgegeben.

Um sich zu vergewissern, dass das Winbind PAM-Modul richtig konfiguriert ist, melden Sie sich lokal mit einem Domänenbenutzerkonto an, mit dem noch nie eine Anmeldung an der Maschine vorgenommen wurde:

command Kopieren

ssh localhost -l domain\\username

id -u

Stellen Sie sicher, dass eine entsprechende Cachedatei mit Kerberos-Anmeldeinformationen für die mit dem Befehl id -u zurückgegebene UID erstellt wurde:

command Kopieren

ls /tmp/krb5cc_uid

Stellen Sie sicher, dass die Tickets im Kerberos-Anmeldeinformationscache des Benutzers gültig und nicht abgelaufen sind:

command Kopieren

klist

Beenden Sie die Sitzung:

command Kopieren

exit

Ein ähnlicher Test kann ausgeführt werden, wenn Sie sich direkt an der Gnome- oder KDE-Konsole anmelden.

Quest Authentication Service

Konfigurieren von Quest auf dem Domänencontroller

Es wird vorausgesetzt, dass Sie die Quest-Software auf den Active Directory-Domänencontrollern installiert und konfiguriert haben und über Administratorrechte zum Erstellen von Computerobjekten in Active Directory verfügen.

Domänenbenutzern die Anmeldung an Linux VDA-Maschinen ermöglichen

Für alle Domänenbenutzer, die HDX-Sitzungen auf einer Linux VDA-Maschine herstellen, führen Sie folgende Schritte aus:

  1. Öffnen Sie in der Verwaltungskonsole für Active Directory-Benutzer und -Computer die Active Directory-Eigenschaften für das jeweilige Benutzerkonto.
  2. Wählen Sie die Registerkarte Unix Account aus.
  3. Aktivieren Sie das Kontrollkästchen Unix-enabled.
  4. Legen Sie Primary GID Number auf die Gruppen-ID einer vorhandenen Domänenbenutzergruppe fest.

Hinweis

Mit diesen Anleitungen können Domänenbenutzer für die Anmeldung mit der Konsole, RDP, SSH oder anderen Remotingprotokollen eingerichtet werden.

Konfigurieren von Quest auf Linux VDA 

Konfigurieren des VAS-Daemon

Die automatische Erneuerung von Kerberos-Tickets muss aktiviert und getrennt sein. Authentifizierung (für Offlineanmeldung) muss deaktiviert sein:

command Kopieren

sudo /opt/quest/bin/vastool configure vas vasd \

auto-ticket-renew-interval 32400

sudo /opt/quest/bin/vastool configure vas vas_auth \

allow-disconnected-auth false

Hiermit wird das Verlängerungsintervall auf 9 Stunden (32400 Sekunden) festgelegt. Das ist eine Stunde weniger als die Standardgültigkeitsdauer (10 Stunden) eines Tickets. Bei Systemen mit einer kürzeren Gültigkeitsdauer für Kerberos-Tickets legen Sie diesen Parameter auf einen niedrigeren Wert fest.

Konfigurieren von PAM und NSS

Quest erfordert, dass PAM und NSS manuell konfiguriert werden, um Domänenbenutzern die Anmeldung per HDX und anderen Diensten, wie SU, SSH und RDP, zu ermöglichen. Konfigurieren von PAM und NSS:

command Kopieren

sudo /opt/quest/bin/vastool configure pam

sudo /opt/quest/bin/vastool configure nss

Beitreten zu einer Windows-Domäne

Machen Sie die Linux-Maschine mit dem Quest-Befehl "vastool" zu einem Mitglied der Active Directory-Domäne:

command Kopieren

sudo /opt/quest/bin/vastool -u user join domain-name

Der Benutzer ist ein beliebiger Domänenbenutzer mit der Berechtigung, Computer zu Mitgliedern der Active Directory-Domäne zu machen. Der Domänenname ist der DNS-Name der Domäne, z. B. example.com.

Überprüfen der Domänenmitgliedschaft

Für den XenDesktop Controller ist es erforderlich, dass alle VDA-Maschinen, Windows und Linux, ein Computerobjekt in Active Directory haben. Mit folgendem Befehl prüfen Sie, ob eine per Quest angemeldete Linux-Maschine zur Domäne gehört:

command Kopieren

sudo /opt/quest/bin/vastool info domain

Wenn die Maschine zu einer Domäne gehört, wird der Domänenname zurückgegeben. Wenn sie nicht zur Domäne gehört, wird die folgende Fehlermeldung angezeigt:

Fehler Kopieren

ERROR: No domain could be found.

ERROR: VAS_ERR_CONFIG: at ctx.c:414 in _ctx_init_default_realm

default_realm not configured in vas.conf. Computer may not be joined to domain

Überprüfen der Benutzerauthentifizierung

Um sicherzustellen, dass Quest Domänenbenutzer mit PAM authentifizieren kann, melden Sie sich mit einem Domänenbenutzerkonto an, mit dem noch nie eine Anmeldung an der Maschine vorgenommen wurde:

command Kopieren

ssh localhost -l domain\\username

id -u

Stellen Sie sicher, dass eine entsprechende Cachedatei mit Kerberos-Anmeldeinformationen für die mit dem Befehl id -u zurückgegebene UID erstellt wurde:

command Kopieren

ls /tmp/krb5cc_uid

Stellen Sie sicher, dass die im Tickets Kerberos-Anmeldeinformationscache des Benutzers gültig und nicht abgelaufen sind:

command Kopieren

/opt/quest/bin/vastool klist

Beenden Sie die Sitzung:

command Kopieren

exit

Ein ähnlicher Test kann ausgeführt werden, wenn Sie sich direkt an der Gnome- oder KDE-Konsole anmelden.

Centrify DirectControl

Beitreten zu einer Windows-Domäne

Wenn der Centrify DirectControl Agent installiert ist, machen Sie die Linux-Maschine mit dem Centrify-Befehl adjoin zu einem Mitglied der Active Directory-Domäne:

command Kopieren

su – 

adjoin -w -V -u user domain-name

Der Parameter user ist ein Active Directory-Domänenbenutzer mit der Berechtigung, Computer zu Mitgliedern von Active Directory-Domänen zu machen. Der Parameter "domain-name" ist der Name der Domäne, der die Linux-Maschine beitritt.

Überprüfen der Domänenmitgliedschaft

Für den XenDesktop Controller ist es erforderlich, dass alle VDA-Maschinen, Windows und Linux, ein Computerobjekt in Active Directory haben. Mit folgendem Befehl prüfen Sie, ob eine per Centrify hinzugefügte Linux-Maschine Mitglied der Domäne ist:

command Kopieren

su –

adinfo

Stellen Sie sicher, dass der Wert Joined to domain gültig ist und dass CentrifyDC mode den Wert connected zurückgibt. Wenn der Modus im Startzustand stecken bleibt, hat der Centrify-Client Serververbindungs- oder Authentifizierungsprobleme.

Umfassendere System- und Diagnoseinformationen sind mit folgenden Befehlen verfügbar:

command Kopieren

adinfo --sysinfo all

adinfo –diag

Testen der Verbindung mit den verschiedenen Active Directory- und Kerberos-Diensten:

command Kopieren

adinfo --test