Linux VDA manuell auf SUSE installieren

Wichtig:

Für Neuinstallationen empfehlen wir die Verwendung von Easy Install für eine schnelle Installation. Easy Install spart Zeit und Aufwand und ist weniger fehleranfällig als die in diesem Artikel beschriebene manuelle Installation.

Schritt 1: Konfigurationsinformationen und Linux-Maschine vorbereiten

Schritt 1a: YaST-Tool starten

Das YaST-Tool von SUSE Linux Enterprise wird zur Konfiguration aller Aspekte des Betriebssystems verwendet.

So starten Sie das textbasierte YaST-Tool:

su -

yast
<!--NeedCopy-->

So starten Sie das UI-basierte YaST-Tool:

su -

yast2 &
<!--NeedCopy-->

-  ### Schritt 1b: Netzwerk konfigurieren

Die folgenden Abschnitte enthalten Informationen zur Konfiguration der verschiedenen Netzwerkeinstellungen und -dienste, die vom Linux VDA verwendet werden. Die Netzwerkkonfiguration erfolgt über das YaST-Tool, nicht über andere Methoden wie Network Manager. Diese Anweisungen basieren auf der Verwendung des UI-basierten YaST-Tools. Das textbasierte YaST-Tool kann verwendet werden, hat aber eine andere Navigationsmethode, die hier nicht dokumentiert ist.

Hostname und Domain Name System (DNS) konfigurieren

1. Starten Sie das UI-basierte YaST-Tool.
2. Wählen Sie System und dann Netzwerkeinstellungen.
3. Öffnen Sie die Registerkarte Hostname/DNS.
4. Wählen Sie die Option no für Hostname über DHCP festlegen.
5. Wählen Sie die Option Benutzerdefinierte Richtlinie verwenden für DNS-Konfiguration ändern.

6. Bearbeiten Sie die folgenden Einträge, um Ihre Netzwerkkonfiguration widerzuspiegeln:

   • Statischer Hostname – Fügen Sie den DNS-Hostnamen der Maschine hinzu.
   • Nameserver – Fügen Sie die IP-Adresse des DNS-Servers hinzu. Dies ist typischerweise die IP-Adresse des AD-Domänencontrollers.
   • Domänensuchliste – Fügen Sie den DNS-Domänennamen hinzu.

7. Ändern Sie die folgende Zeile der Datei /etc/hosts, um den FQDN und den Hostnamen als die ersten beiden Einträge aufzunehmen:

   127.0.0.1 <FQDN des VDA> <Hostname des VDA> localhost

Hinweis:

Der Linux VDA unterstützt derzeit keine NetBIOS-Namenskürzung. Daher darf der Hostname 15 Zeichen nicht überschreiten. Tipp:

Verwenden Sie nur die Zeichen a–z, A–Z, 0–9 und Bindestrich (-). Vermeiden Sie Unterstriche (_), Leerzeichen und andere Symbole. Beginnen Sie einen Hostnamen nicht mit einer Zahl und beenden Sie ihn nicht mit einem Bindestrich. Diese Regel gilt auch für Delivery Controller-Hostnamen.

Hostname überprüfen

Überprüfen Sie, ob der Hostname korrekt eingestellt ist:

hostname
<!--NeedCopy-->

Dieser Befehl gibt nur den Hostnamen der Maschine und nicht ihren vollqualifizierten Domänennamen (FQDN) zurück.

Überprüfen Sie, ob der FQDN korrekt eingestellt ist:

hostname -f
<!--NeedCopy-->

Dieser Befehl gibt den FQDN der Maschine zurück.

• Namensauflösung und Dienstverfügbarkeit überprüfen

Überprüfen Sie, ob Sie den FQDN auflösen und den Domänencontroller und Delivery Controller™ anpingen können:

nslookup domain-controller-fqdn

ping domain-controller-fqdn

nslookup delivery-controller-fqdn

ping delivery-controller-fqdn
<!--NeedCopy-->

Wenn Sie den FQDN nicht auflösen oder keine dieser Maschinen anpingen können, überprüfen Sie die Schritte, bevor Sie fortfahren.

Schritt 1c: NTP-Dienst konfigurieren

Es ist entscheidend, eine genaue Zeitsynchronisation zwischen den VDAs, Delivery Controllern und Domänencontrollern aufrechtzuerhalten. Das Hosten des Linux VDA als virtuelle Maschine (VM) kann zu Problemen mit der Zeitverschiebung führen. Aus diesem Grund wird die Zeitpflege über einen Remote-NTP-Dienst bevorzugt. Möglicherweise sind einige Änderungen an den Standard-NTP-Einstellungen erforderlich.

Für SUSE 15.6:

1. Starten Sie das UI-basierte YaST-Tool.
2. Wählen Sie Netzwerkdienste und dann NTP-Konfiguration.
3. Wählen Sie im Abschnitt NTP-Daemon starten die Option Jetzt und beim Booten.
4. Wählen Sie Dynamisch für Konfigurationsquelle.
5. Fügen Sie bei Bedarf NTP-Server hinzu. Der NTP-Dienst wird normalerweise auf dem Active Directory-Domänencontroller gehostet.

6. Löschen oder kommentieren Sie die folgende Zeile in /etc/chrony.conf, falls sie existiert.

   include /etc/chrony.d/*.conf

   Nach dem Bearbeiten von chrony.conf starten Sie den Dienst chronyd neu.

   sudo systemctl restart chronyd.service
   <!--NeedCopy-->
   

Schritt 1d: Linux VDA-abhängige Pakete installieren

Die Linux VDA-Software für SUSE Linux Enterprise hängt von den folgenden Paketen ab:

• Open Motif Runtime Environment 2.3.1 oder höher
• Cups 1.6.0 oder höher
• ImageMagick 6.8 oder höher

Repositorys hinzufügen

Die meisten der erforderlichen Pakete, mit Ausnahme von ImageMagick, können Sie aus den offiziellen Repositorys beziehen. Um die ImageMagick-Pakete zu erhalten, aktivieren Sie das Repository sle-module-desktop-applications mit YaST oder dem folgenden Befehl:

SUSEConnect -p sle-module-desktop-applications/<version number>/x86_64

Kerberos-Client installieren

Installieren Sie den Kerberos-Client für die gegenseitige Authentifizierung zwischen dem Linux VDA und den Delivery Controllern:

sudo zypper install krb5-client
<!--NeedCopy-->

Die Konfiguration des Kerberos-Clients hängt davon ab, welcher Active Directory-Integrationsansatz verwendet wird. Siehe die folgende Beschreibung.

Datenbank installieren und angeben

Hinweis:

• Wir empfehlen die Verwendung von SQLite nur für den VDI-Modus und PostgreSQL für ein Bereitstellungsmodell mit gehosteten Shared Desktops.

• Für Easy Install und MCS können Sie SQLite oder PostgreSQL zur Verwendung angeben, ohne sie manuell installieren zu müssen. Sofern nicht anders über /etc/xdl/db.conf angegeben, verwendet der Linux VDA standardmäßig PostgreSQL. Wenn Sie eine benutzerdefinierte Version von PostgreSQL anstelle der von Ihrer Linux-Distribution bereitgestellten Version benötigen, müssen Sie die angegebene Version manuell installieren, /etc/xdl/db.conf bearbeiten, um die neue Version widerzuspiegeln, und den PostgreSQL-Dienst starten, bevor Sie das Easy Install-Skript (ctxinstall.sh) oder das MCS-Skript (deploymcs.sh) ausführen.

• Für manuelle Installationen müssen Sie SQLite, PostgreSQL oder beides manuell installieren. Sie können eine benutzerdefinierte Version von PostgreSQL anstelle der von Ihrer Linux-Distribution bereitgestellten Version verwenden. Wenn Sie sowohl SQLite als auch PostgreSQL installieren, können Sie eine davon zur Verwendung angeben, indem Sie /etc/xdl/db.conf nach der Installation des Linux VDA-Pakets bearbeiten.

PostgreSQL installieren

Dieser Abschnitt beschreibt, wie Sie die von Ihrer Linux-Distribution bereitgestellte Version von PostgreSQL installieren. Wenn eine benutzerdefinierte Version von PostgreSQL erforderlich ist, können Sie diese basierend auf Ihren spezifischen Anforderungen installieren.

Um Postgresql zu installieren, führen Sie die folgenden Befehle aus:

sudo zypper install postgresql-server

sudo zypper install postgresql-jdbc
<!--NeedCopy-->

• Führen Sie die folgenden Befehle aus, um PostgreSQL beim Maschinenstart bzw. sofort zu starten:

sudo systemctl enable postgresql

sudo systemctl restart postgresql
<!--NeedCopy-->

SQLite installieren

Führen Sie für SUSE den folgenden Befehl aus, um SQLite zu installieren:

sudo zypper install sqlite3
<!--NeedCopy-->

Datenbank zur Verwendung angeben

Wenn Sie sowohl SQLite als auch PostgreSQL installieren, können Sie eine davon zur Verwendung festlegen, indem Sie nach der Installation des Linux VDA-Pakets die Datei /etc/xdl/db.conf bearbeiten.

1. Führen Sie /opt/Citrix/VDA/sbin/ctxcleanup.sh aus. Überspringen Sie diesen Schritt, wenn es sich um eine Neuinstallation handelt.

2. Bearbeiten Sie /etc/xdl/db.conf, um eine zu verwendende Datenbank anzugeben. Die folgende Datei ist eine Beispiel-db.conf:

   # database configuration file for Linux VDA
   
   ## database choice
   # possible choices are:
   #     SQLite
   #     PostgreSQL
   # default choice is PostgreSQL
   DbType="PostgreSQL"
   
   ## database port
   # specify database port for the database.
   # if not specified, default port will be used:
   # SQLite: N/A
   # PostgreSQL: 5432
   
   -  DbPort=5432
   
   -  ## PostgreSQL customized
   
   ## only the following value means true, otherwise false
   
   ###true
   
   ## yes
   
   ### y
   
   YES
   
   #### Y
   
   default is false
   
   DbCustomizePostgreSQL=false
   
   ## PostgreSQL service name
   
   -  specify the service name of PostgreSQL for Linux VDA
   
   default is "postgresql"
   
       -  DbPostgreSQLServiceName="postgresql"
   
   <!--NeedCopy-->
   

   Um eine benutzerdefinierte Version von PostgreSQL zu verwenden, setzen Sie DbCustomizePostgreSQL auf true.

3. Führen Sie ctxsetup.sh aus.

Hinweis:

Sie können /etc/xdl/db.conf auch verwenden, um die Portnummer für PostgreSQL zu konfigurieren.

Schritt 2: Hypervisor vorbereiten

Einige Änderungen sind erforderlich, wenn der Linux VDA als VM auf einem unterstützten Hypervisor ausgeführt wird. Nehmen Sie die folgenden Änderungen basierend auf der verwendeten Hypervisor-Plattform vor. Es sind keine Änderungen erforderlich, wenn Sie die Linux-Maschine auf Bare-Metal-Hardware ausführen.

Zeitsynchronisierung auf XenServer (ehemals Citrix Hypervisor™) beheben

Wenn die XenServer®-Zeitsynchronisierungsfunktion aktiviert ist, treten in jeder paravirtualisierten Linux-VM Probleme mit NTP und XenServer auf. Beide versuchen, die Systemuhr zu verwalten. Um zu vermeiden, dass die Uhr mit anderen Servern nicht mehr synchron ist, synchronisieren Sie die Systemuhr in jedem Linux-Gast mit NTP. In diesem Fall muss die Host-Zeitsynchronisierung deaktiviert werden. Im HVM-Modus sind keine Änderungen erforderlich.

Wenn Sie einen paravirtualisierten Linux-Kernel mit installierten XenServer VM Tools ausführen, können Sie innerhalb der Linux-VM überprüfen, ob die XenServer-Zeitsynchronisierungsfunktion vorhanden und aktiviert ist:

su -

cat /proc/sys/xen/independent_wallclock
<!--NeedCopy-->

Dieser Befehl gibt 0 oder 1 zurück:

    -  0 - Die Zeitsynchronisierungsfunktion ist aktiviert und muss deaktiviert werden.
    -  1 - Die Zeitsynchronisierungsfunktion ist deaktiviert, und es sind keine weiteren Maßnahmen erforderlich.

Wenn die Datei /proc/sys/xen/independent_wallclock nicht vorhanden ist, sind die folgenden Schritte nicht erforderlich.

Wenn aktiviert, deaktivieren Sie die Zeitsynchronisierungsfunktion, indem Sie 1 in die Datei schreiben:

sudo echo 1 > /proc/sys/xen/independent_wallclock
<!--NeedCopy-->

Um diese Änderung nach einem Neustart dauerhaft und persistent zu machen, bearbeiten Sie die Datei /etc/sysctl.conf und fügen Sie die Zeile hinzu:

xen.independent_wallclock = 1

Um diese Änderungen zu überprüfen, starten Sie das System neu:

reboot
<!--NeedCopy-->

Überprüfen Sie nach dem Neustart, ob die Einstellung korrekt ist:

su -

cat /proc/sys/xen/independent_wallclock
<!--NeedCopy-->

Dieser Befehl gibt den Wert 1 zurück.

Zeitsynchronisierung auf Microsoft Hyper-V beheben

Linux-VMs mit installierten Hyper-V Linux Integration Services können die Hyper-V-Zeitsynchronisierungsfunktion nutzen, um die Zeit des Host-Betriebssystems zu verwenden. Um sicherzustellen, dass die Systemuhr genau bleibt, aktivieren Sie diese Funktion zusammen mit den NTP-Diensten.

Vom Verwaltungsbetriebssystem aus:

1. Öffnen Sie die Hyper-V-Manager-Konsole.
2. Wählen Sie für die Einstellungen einer Linux-VM Integrationsdienste aus.
3. Stellen Sie sicher, dass Zeitsynchronisierung ausgewählt ist.

Hinweis:

Dieser Ansatz unterscheidet sich von VMware und XenServer (ehemals Citrix Hypervisor), wo die Host-Zeitsynchronisierung deaktiviert wird, um Konflikte mit NTP zu vermeiden. Die Hyper-V-Zeitsynchronisierung kann mit der NTP-Zeitsynchronisierung koexistieren und diese ergänzen.

Zeitsynchronisierung auf ESX und ESXi beheben

Wenn die VMware-Zeitsynchronisierungsfunktion aktiviert ist, treten in jeder paravirtualisierten Linux-VM Probleme mit NTP und dem Hypervisor auf. Beide versuchen, die Systemuhr zu synchronisieren. Um zu vermeiden, dass die Uhr mit anderen Servern nicht mehr synchron ist, synchronisieren Sie die Systemuhr in jedem Linux-Gast mit NTP. In diesem Fall muss die Host-Zeitsynchronisierung deaktiviert werden.

Wenn Sie einen paravirtualisierten Linux-Kernel mit installierten VMware Tools ausführen:

1. Öffnen Sie den vSphere Client.
2. Bearbeiten Sie die Einstellungen für die Linux-VM.
3. Öffnen Sie im Dialogfeld Eigenschaften der virtuellen Maschine die Registerkarte Optionen.
4. Wählen Sie VMware Tools aus.
5. Deaktivieren Sie im Feld Erweitert die Option Gastzeit mit Host synchronisieren.

Schritt 3: Linux-VM zur Windows-Domäne hinzufügen

Die folgenden Methoden stehen zum Hinzufügen von Linux-Maschinen zur Active Directory (AD)-Domäne zur Verfügung:

• Samba Winbind
• Centrify DirectControl
• SSSD
• PBIS

Befolgen Sie die Anweisungen basierend auf der von Ihnen gewählten Methode.

Hinweis:

Sitzungsstarts können fehlschlagen, wenn derselbe Benutzername für das lokale Konto im Linux VDA und für das Konto in AD verwendet wird.

Samba Winbind

Windows-Domäne beitreten

Ihr Domänencontroller muss erreichbar sein, und Sie müssen über ein Active Directory-Benutzerkonto mit Berechtigungen zum Hinzufügen von Maschinen zur Domäne verfügen:

1. Starten Sie YaST, wählen Sie Netzwerkdienste und dann Windows-Domänenmitgliedschaft.

2. Nehmen Sie die folgenden Änderungen vor:

   • Setzen Sie die Domäne oder Arbeitsgruppe auf den Namen Ihrer Active Directory-Domäne oder die IP-Adresse des Domänencontrollers. Stellen Sie sicher, dass der Domänenname in Großbuchstaben geschrieben ist.
   • Aktivieren Sie SMB-Informationen für Linux-Authentifizierung verwenden.
     • Aktivieren Sie Home-Verzeichnis bei Anmeldung erstellen.
     • Aktivieren Sie Single Sign-on für SSH.
     • Stellen Sie sicher, dass Offline-Authentifizierung nicht aktiviert ist. Diese Option ist nicht mit dem Linux VDA kompatibel.

3. Klicken Sie auf OK. Wenn Sie aufgefordert werden, einige Pakete zu installieren, klicken Sie auf Installieren.

4. Wenn ein Domänencontroller gefunden wird, werden Sie gefragt, ob Sie der Domäne beitreten möchten. Klicken Sie auf Ja.

5. Geben Sie bei Aufforderung die Anmeldeinformationen eines Domänenbenutzers mit Berechtigung zum Hinzufügen von Maschinen zur Domäne ein und klicken Sie auf OK.

6. Starten Sie Ihre Dienste manuell neu oder starten Sie die Maschine neu. Wir empfehlen Ihnen, die Maschine neu zu starten:

   su -
   reboot
   <!--NeedCopy-->
   

Domänenmitgliedschaft überprüfen

Der Delivery Controller erfordert, dass alle VDA-Maschinen (Windows- und Linux-VDAs) ein Computerobjekt in Active Directory haben.

Führen Sie den Befehl net ads von Samba aus, um zu überprüfen, ob die Maschine einer Domäne beigetreten ist:

sudo net ads testjoin
<!--NeedCopy-->

Führen Sie den folgenden Befehl aus, um zusätzliche Domänen- und Computerobjektinformationen zu überprüfen:

sudo net ads info
<!--NeedCopy-->

Kerberos-Konfiguration überprüfen

Stellen Sie sicher, dass die System-Keytab-Datei erstellt wurde und gültige Schlüssel enthält:

sudo klist –ke
<!--NeedCopy-->

Dieser Befehl zeigt die Liste der Schlüssel an, die für die verschiedenen Kombinationen von Prinzipalnamen und Chiffriersuiten verfügbar sind. Führen Sie den Kerberos-Befehl kinit aus, um den Computer mit dem Domänencontroller unter Verwendung dieser Schlüssel zu authentifizieren:

sudo kinit -k MACHINE\$@REALM
<!--NeedCopy-->

Der Computer- und Realm-Name müssen in Großbuchstaben angegeben werden. Das Dollarzeichen ($) muss mit einem Backslash (\) maskiert werden, um eine Shell-Substitution zu verhindern. In einigen Umgebungen unterscheidet sich der DNS-Domänenname vom Kerberos-Realm-Namen. Stellen Sie sicher, dass der Realm-Name verwendet wird. Wenn dieser Befehl erfolgreich ist, wird keine Ausgabe angezeigt.

Überprüfen Sie, ob das TGT-Ticket für das Computerkonto zwischengespeichert wurde, indem Sie Folgendes verwenden:

sudo klist
<!--NeedCopy-->

Überprüfen Sie die Details des Computerkontos mit:

sudo net ads status
<!--NeedCopy-->

Benutzerauthentifizierung überprüfen

Verwenden Sie das Tool wbinfo, um zu überprüfen, ob Domänenbenutzer sich bei der Domäne authentifizieren können:

wbinfo --krb5auth=domain\\username%password
<!--NeedCopy-->

Die hier angegebene Domäne ist der AD-Domänenname, nicht der Kerberos-Realm-Name. Für die Bash-Shell muss der Backslash (\) mit einem weiteren Backslash maskiert werden. Dieser Befehl gibt eine Meldung über Erfolg oder Misserfolg zurück.

Überprüfen Sie, ob das Winbind PAM-Modul korrekt konfiguriert ist. Melden Sie sich dazu mit einem Domänenbenutzerkonto, das zuvor noch nicht verwendet wurde, am Linux VDA an.

ssh localhost -l domain\\username
id -u
<!--NeedCopy-->

Überprüfen Sie, ob eine entsprechende Kerberos-Anmeldeinformations-Cache-Datei für die vom Befehl id -u zurückgegebene UID erstellt wurde:

ls /tmp/krb5cc_uid
<!--NeedCopy-->

Überprüfen Sie, ob die Tickets im Kerberos-Anmeldeinformations-Cache des Benutzers gültig und nicht abgelaufen sind:

klist
<!--NeedCopy-->

Beenden Sie die Sitzung.

exit
<!--NeedCopy-->

Ein ähnlicher Test kann durchgeführt werden, indem Sie sich direkt an der Gnome- oder KDE-Konsole anmelden. Fahren Sie nach der Überprüfung des Domänenbeitritts mit Schritt 6: Installieren des Linux VDA fort.

Quest-Authentifizierungsdienst

Quest auf dem Domänencontroller konfigurieren

Gehen Sie davon aus, dass Sie die Quest-Software auf den Domänencontrollern installiert und konfiguriert haben und über administrative Berechtigungen verfügen, um Computerobjekte in Active Directory zu erstellen.

Domänenbenutzern die Anmeldung an Linux VDA-Maschinen ermöglichen

Um Domänenbenutzern das Herstellen von HDX™-Sitzungen auf einer Linux VDA-Maschine zu ermöglichen:

1. Öffnen Sie in der Verwaltungskonsole „Active Directory-Benutzer und -Computer“ die Active Directory-Benutzereigenschaften für dieses Benutzerkonto.
2. Wählen Sie die Registerkarte Unix-Konto aus.
3. Aktivieren Sie Unix-enabled.
4. Legen Sie die Primäre GID-Nummer auf die Gruppen-ID einer tatsächlichen Domänenbenutzergruppe fest.

Hinweis:

Diese Anweisungen sind gleichwertig für die Einrichtung von Domänenbenutzern zur Anmeldung über die Konsole, RDP, SSH oder jedes andere Remoting-Protokoll.

Quest auf dem Linux VDA konfigurieren

VAS-Daemon konfigurieren

Die automatische Verlängerung von Kerberos-Tickets muss aktiviert und getrennt werden. Die Authentifizierung (Offline-Anmeldung) muss deaktiviert werden:

sudo /opt/quest/bin/vastool configure vas vasd auto-ticket-renew-interval 32400

sudo /opt/quest/bin/vastool configure vas vas_auth allow-disconnected-auth false
<!--NeedCopy-->

Dieser Befehl setzt das Verlängerungsintervall auf neun Stunden (32.400 Sekunden), was eine Stunde weniger ist als die standardmäßige 10-stündige Ticket-Lebensdauer. Stellen Sie diesen Parameter auf einen niedrigeren Wert ein, wenn die Ticket-Lebensdauer auf den Systemen kürzer ist.

PAM und NSS konfigurieren

Um Domänenbenutzeranmeldungen über HDX und andere Dienste wie su, ssh und RDP zu ermöglichen, konfigurieren Sie PAM und NSS manuell:

sudo /opt/quest/bin/vastool configure pam

sudo /opt/quest/bin/vastool configure nss
<!--NeedCopy-->

Windows-Domäne beitreten

Fügen Sie die Linux-Maschine der Active Directory-Domäne mit dem Quest-Befehl vastool hinzu:

sudo /opt/quest/bin/vastool -u user join domain-name
<!--NeedCopy-->

Der Benutzer ist ein beliebiger Domänenbenutzer, der die Berechtigung hat, Maschinen der Active Directory-Domäne hinzuzufügen. Der Domänenname ist der DNS-Name der Domäne, z. B. example.com.

Starten Sie die Linux-Maschine nach dem Domänenbeitritt neu.

Domänenmitgliedschaft überprüfen

Der Delivery Controller erfordert, dass alle VDA-Maschinen (Windows- und Linux-VDAs) ein Computerobjekt in Active Directory haben. Um zu überprüfen, ob eine mit Quest verbundene Linux-Maschine in der Domäne ist:

sudo /opt/quest/bin/vastool info domain
<!--NeedCopy-->

Wenn die Maschine einer Domäne beigetreten ist, gibt dieser Befehl den Domänennamen zurück. Wenn die Maschine keiner Domäne beigetreten ist, wird der folgende Fehler angezeigt:

ERROR: No domain could be found. ERROR: VAS_ERR_CONFIG: at ctx.c:414 in _ctx_init_default_realm default_realm not configured in vas.conf. Computer may not be joined to domain

Benutzerauthentifizierung überprüfen

Überprüfen Sie, ob Quest Domänenbenutzer über PAM authentifizieren kann. Melden Sie sich dazu mit einem Domänenbenutzerkonto, das zuvor noch nicht verwendet wurde, am Linux VDA an.

ssh localhost -l domain\\username
id -u
<!--NeedCopy-->

Überprüfen Sie, ob eine entsprechende Kerberos-Anmeldeinformations-Cache-Datei für die vom Befehl id -u zurückgegebene UID erstellt wurde:

ls /tmp/krb5cc_uid
<!--NeedCopy-->

Überprüfen Sie, ob die Tickets im Kerberos-Anmeldeinformations-Cache gültig und nicht abgelaufen sind:

/opt/quest/bin/vastool klist
<!--NeedCopy-->

Beenden Sie die Sitzung.

exit
<!--NeedCopy-->

Ein ähnlicher Test kann durch direktes Anmelden an der Gnome- oder KDE-Konsole durchgeführt werden. Fahren Sie nach der Überprüfung des Domänenbeitritts mit Schritt 6: Installieren des Linux VDA fort.

Centrify DirectControl

Windows-Domäne beitreten

Nach der Installation des Centrify DirectControl Agent können Sie die Linux-Maschine mithilfe des Centrify-Befehls adjoin der Active Directory-Domäne beitreten lassen:

sudo adjoin -w -V -u user domain-name
<!--NeedCopy-->

Der Benutzer ist ein beliebiger Active Directory-Domänenbenutzer, der die Berechtigung hat, Maschinen der Active Directory-Domäne beitreten zu lassen. Der Domänenname ist der Name der Domäne, der die Linux-Maschine beitreten soll.

Domänenmitgliedschaft überprüfen

Der Delivery Controller erfordert, dass alle VDA-Maschinen (Windows- und Linux-VDAs) ein Computerobjekt in Active Directory haben. Um zu überprüfen, ob eine mit Centrify beigetretene Linux-Maschine in der Domäne ist:

sudo adinfo
<!--NeedCopy-->

Überprüfen Sie, ob der Wert Joined to domain gültig ist und der CentrifyDC-Modus connected zurückgibt. Wenn der Modus im Startzustand hängen bleibt, hat der Centrify-Client Serververbindungs- oder Authentifizierungsprobleme.

Umfassendere System- und Diagnoseinformationen sind verfügbar über:

adinfo --sysinfo all

adinfo –diag
<!--NeedCopy-->

Testen Sie die Konnektivität zu den verschiedenen Active Directory- und Kerberos-Diensten.

adinfo --test
<!--NeedCopy-->

Fahren Sie nach der Überprüfung des Domänenbeitritts mit Schritt 6: Installieren des Linux VDA fort.

SSSD

Wenn Sie SSSD unter SUSE verwenden, befolgen Sie die Anweisungen in diesem Abschnitt. Dieser Abschnitt enthält Anweisungen zum Beitreten einer Linux VDA-Maschine zu einer Windows-Domäne und bietet Anleitungen zur Konfiguration der Kerberos-Authentifizierung.

Um SSSD unter SUSE einzurichten, führen Sie die folgenden Schritte aus:

1. Der Domäne beitreten und einen Host-Keytab erstellen
2. PAM für SSSD konfigurieren
3. SSSD einrichten
4. SSSD aktivieren
5. Domänenmitgliedschaft überprüfen
6. Die Kerberos-Konfiguration überprüfen
7. Benutzerauthentifizierung überprüfen

Der Domäne beitreten und einen Host-Keytab erstellen

SSSD bietet keine Active Directory-Clientfunktionen zum Beitreten der Domäne und zur Verwaltung der System-Keytab-Datei. Stattdessen können Sie den Samba-Ansatz verwenden. Führen Sie die folgenden Schritte aus, bevor Sie SSSD konfigurieren.

1. Stoppen und deaktivieren Sie den Name Service Cache Daemon (NSCD).

   sudo systemctl stop nscd
   sudo systemctl disable nscd
   <!--NeedCopy-->
   

2. Überprüfen Sie den Hostnamen und die Chrony-Zeitsynchronisierung.

   hostname
   hostname -f
   chronyc traking
   <!--NeedCopy-->
   

3. Installieren oder aktualisieren Sie die erforderlichen Pakete:

   sudo zypper install samba-client sssd-ad
   <!--NeedCopy-->
   

4. Bearbeiten Sie die Datei /etc/krb5.conf als Root-Benutzer, um dem Dienstprogramm kinit die Kommunikation mit der Zieldomäne zu ermöglichen. Fügen Sie die folgenden Einträge unter den Abschnitten [libdefaults], [realms] und [domain_realm] hinzu:

   Hinweis:

   Konfigurieren Sie Kerberos basierend auf Ihrer AD-Infrastruktur. Die folgenden Einstellungen sind für das Einzeldomänen-, Einzelforst-Modell vorgesehen.

   [libdefaults]
   
       dns_canonicalize_hostname = false
   
       rdns = false
   
       default_realm = REALM
   
       forwardable = true
   
   [realms]
   
       REALM = {
   
           kdc = fqdn-of-domain-controller
   
           default_domain = realm
   
           admin_server = fqdn-of-domain-controller
       }
   [domain_realm]
   
       .realm = REALM
   <!--NeedCopy-->
   

   realm ist der Kerberos-Realm-Name, z. B. example.com. REALM ist der Kerberos-Realm-Name in Großbuchstaben, z. B. EXAMPLE.COM.

5. Bearbeiten Sie die Datei /etc/samba/smb.conf als Root-Benutzer, um dem Dienstprogramm net die Kommunikation mit der Zieldomäne zu ermöglichen. Fügen Sie die folgenden Einträge unter dem Abschnitt [global] hinzu:

   [global]
       workgroup = domain
   
       client signing = yes
   
       client use spnego = yes
   
       kerberos method = secrets and keytab
   
       realm = REALM
   
       security = ADS
   <!--NeedCopy-->
   

   domain ist der kurze NetBIOS-Name einer Active Directory-Domäne, z. B. EXAMPLE.

6. Ändern Sie die Einträge passwd und group in der Datei /etc/nsswitch.conf, um SSSD bei der Auflösung von Benutzern und Gruppen zu referenzieren.

   passwd: compat sss
   
   group: compat sss
   <!--NeedCopy-->
   

7. Verwenden Sie den konfigurierten Kerberos-Client, um sich als Administrator bei der Zieldomäne zu authentifizieren.

   
   -  kinit administrator
   
   <!--NeedCopy-->
   

8. Verwenden Sie das Dienstprogramm net, um das System der Domäne beitreten zu lassen und eine System-Keytab-Datei zu generieren.

   net ads join osname="SUSE Linux Enterprise Server" osVersion=15 -U administrator
   <!--NeedCopy-->
   

PAM für SSSD konfigurieren

Bevor Sie PAM für SSSD konfigurieren, installieren oder aktualisieren Sie die erforderlichen Pakete:

sudo zypper install sssd sssd-ad
<!--NeedCopy-->

Konfigurieren Sie das PAM-Modul für die Benutzerauthentifizierung über SSSD und erstellen Sie Home-Verzeichnisse für Benutzeranmeldungen.

sudo pam-config --add  --sss
sudo pam-config --add --mkhomedir
<!--NeedCopy-->

• SSSD einrichten

• 1. Bearbeiten Sie die Datei /etc/sssd/sssd.conf als Root-Benutzer, um dem SSSD-Daemon die Kommunikation mit der Zieldomäne zu ermöglichen. Eine Beispielkonfiguration für sssd.conf (zusätzliche Optionen können bei Bedarf hinzugefügt werden):

   -  [sssd]
   -  config_file_version = 2
   -  services = nss,pam
   -  domains = domain-dns-name
  
   [domain/domain-dns-name]
   -  id_provider = ad
   -  auth_provider = ad
   -  access_provider = ad
   -  ad_domain = domain-dns-name
   -  ad_server = fqdn-of-domain-controller
   -  ldap_id_mapping = true
       ldap_schema = ad
  
   ## Kerberos settings
  
       krb5_ccachedir = /tmp
       krb5_ccname_template = FILE:%d/krb5cc_%U
  
   ## Comment out if the users have the shell and home dir set on the AD side
  
       fallback_homedir = /home/%d/%u
       default_shell = /bin/bash
  
   Uncomment and adjust if the default principal SHORTNAME$@REALM is not available
  
   ldap_sasl_authid = host/client.ad.example.com@AD.EXAMPLE.COM
  
       ad_gpo_access_control = permissive
  
   <!--NeedCopy-->
  

  domain-dns-name ist der DNS-Domänenname, z. B. example.com.

  Hinweis:

  ldap_id_mapping ist auf true gesetzt, damit SSSD selbst die Zuordnung von Windows-SIDs zu Unix-UIDs übernimmt. Andernfalls muss Active Directory POSIX-Erweiterungen bereitstellen können. ad_gpo_access_control ist auf permissive gesetzt, um einen Fehler bei der ungültigen Anmeldung für Linux-Sitzungen zu verhindern. Siehe die Manpages für sssd.conf und sssd-ad.

1. Legen Sie den Dateibesitz und die Berechtigungen für sssd.conf fest:

   sudo chmod 0600 /etc/sssd/sssd.conf
   <!--NeedCopy-->
   

SSSD aktivieren

Führen Sie die folgenden Befehle aus, um den SSSD-Daemon beim Systemstart zu aktivieren und zu starten:

sudo systemctl enable sssd
sudo systemctl start sssd
<!--NeedCopy-->

Domänenmitgliedschaft überprüfen

1. Führen Sie den Befehl net ads von Samba aus, um zu überprüfen, ob die Maschine einer Domäne beigetreten ist:

   sudo net ads testjoin
   <!--NeedCopy-->
   

2. Führen Sie den folgenden Befehl aus, um zusätzliche Domänen- und Computerobjektinformationen zu überprüfen:

   sudo net ads info
   <!--NeedCopy-->
   

Kerberos-Konfiguration überprüfen

Stellen Sie sicher, dass die System-Keytab-Datei erstellt wurde und gültige Schlüssel enthält:

sudo klist -ke
<!--NeedCopy-->

Dieser Befehl zeigt die Liste der Schlüssel an, die für die verschiedenen Kombinationen von Prinzipalnamen und Chiffriersuiten verfügbar sind.

Führen Sie den Kerberos-Befehl kinit aus, um die Maschine mit dem Domänencontroller unter Verwendung dieser Schlüssel zu authentifizieren:

sudo kinit –k MACHINE\$@REALM
<!--NeedCopy-->

Die Maschinen- und Realm-Namen müssen in Großbuchstaben angegeben werden. Das Dollarzeichen ($) muss mit einem Backslash (\) maskiert werden, um eine Shell-Substitution zu verhindern. In einigen Umgebungen unterscheidet sich der DNS-Domänenname vom Kerberos-Realm-Namen. Stellen Sie sicher, dass der Realm-Name verwendet wird. Wenn dieser Befehl erfolgreich ist, wird keine Ausgabe angezeigt.

Überprüfen Sie, ob das TGT-Ticket für das Maschinenkonto mit folgendem Befehl zwischengespeichert wurde:

sudo klist
<!--NeedCopy-->

Benutzerauthentifizierung überprüfen

SSSD bietet kein Befehlszeilentool zum direkten Testen der Authentifizierung mit dem Daemon und kann nur über PAM erfolgen.

Um zu überprüfen, ob das SSSD PAM-Modul korrekt konfiguriert ist, melden Sie sich am Linux VDA mit einem Domänenbenutzerkonto an, das zuvor noch nicht verwendet wurde.

ssh localhost -l domain\\username

id -u

klist

-  exit
<!--NeedCopy-->

• Überprüfen Sie, ob die vom Befehl klist zurückgegebenen Kerberos-Tickets für diesen Benutzer korrekt sind und nicht abgelaufen sind.

Überprüfen Sie als Root-Benutzer, ob eine entsprechende Ticket-Cache-Datei für die UID erstellt wurde, die vom vorherigen Befehl id -u zurückgegeben wurde:

ls /tmp/krb5cc_uid
<!--NeedCopy-->

Ein ähnlicher Test kann durch direktes Anmelden an der Gnome- oder KDE-Konsole durchgeführt werden. Fahren Sie nach der Überprüfung des Domänenbeitritts mit Schritt 6: Installieren des Linux VDA fort.

PBIS

• Erforderliches PBIS-Paket herunterladen

Zum Beispiel:

wget https://github.com/BeyondTrust/pbis-open/releases/download/9.1.0/pbis-open-9.1.0.551.linux.x86_64.rpm.sh
<!--NeedCopy-->

PBIS-Installationsskript ausführbar machen

Zum Beispiel:

chmod +x pbis-open-9.1.0.551.linux.x86_64.rpm.sh
<!--NeedCopy-->

PBIS-Installationsskript ausführen

Zum Beispiel:

sh pbis-open-9.1.0.551.linux.x86_64.rpm.sh
<!--NeedCopy-->

Einer Windows-Domäne beitreten

Ihr Domänencontroller muss erreichbar sein, und Sie müssen über ein Active Directory-Benutzerkonto mit Berechtigungen zum Hinzufügen von Maschinen zur Domäne verfügen:

/opt/pbis/bin/domainjoin-cli join domain-name user
<!--NeedCopy-->

Der Benutzer ist ein Domänenbenutzer, der über Berechtigungen zum Hinzufügen von Maschinen zur Active Directory-Domäne verfügt. Der Domänenname ist der DNS-Name der Domäne, z. B. example.com.

Hinweis: Um Bash als Standardshell festzulegen, führen Sie den Befehl /opt/pbis/bin/config LoginShellTemplate/bin/bash aus.

Domänenmitgliedschaft überprüfen

Der Delivery Controller erfordert, dass alle VDA-Maschinen (Windows- und Linux-VDAs) ein Computerobjekt in Active Directory haben. Um zu überprüfen, ob eine PBIS-verbundene Linux-Maschine in der Domäne ist:

/opt/pbis/bin/domainjoin-cli query
<!--NeedCopy-->

Wenn die Maschine einer Domäne beigetreten ist, gibt dieser Befehl Informationen über die aktuell beigetretene AD-Domäne und OU zurück. Andernfalls wird nur der Hostname angezeigt.

Benutzerauthentifizierung überprüfen

Überprüfen Sie, ob PBIS Domänenbenutzer über PAM authentifizieren kann. Melden Sie sich dazu am Linux VDA mit einem Domänenbenutzerkonto an, das zuvor noch nicht verwendet wurde.

ssh localhost -l domain\\user

id -u
<!--NeedCopy-->

Überprüfen Sie, ob eine entsprechende Kerberos-Anmeldeinformations-Cache-Datei für die UID erstellt wurde, die vom Befehl id -u zurückgegeben wurde:

ls /tmp/krb5cc_uid
<!--NeedCopy-->

Beenden Sie die Sitzung.

exit
<!--NeedCopy-->

Fahren Sie nach der Überprüfung des Domänenbeitritts mit Schritt 6: Installieren des Linux VDA fort.

Schritt 4: .NET installieren

Zusätzlich zur .NET Runtime müssen Sie die .ASP.NET Core Runtime auf allen unterstützten Linux-Distributionen installieren, bevor Sie den Linux VDA installieren oder aktualisieren. Version 6 ist für Amazon Linux 2 erforderlich. Version 8 ist für andere Distributionen erforderlich.

Wenn Ihre Linux-Distribution die benötigte .NET-Version enthält, installieren Sie diese aus dem integrierten Feed. Andernfalls installieren Sie .NET aus dem Microsoft-Paket-Feed. Weitere Informationen finden Sie unter https://docs.microsoft.com/en-us/dotnet/core/install/linux-package-managers.

Nach der Installation von .NET führen Sie den Befehl which dotnet aus, um Ihren Laufzeitpfad zu ermitteln.

Basierend auf der Befehlsausgabe legen Sie den Binärpfad der .NET-Laufzeit fest. Wenn die Befehlsausgabe beispielsweise /aa/bb/dotnet lautet, verwenden Sie /aa/bb als .NET-Binärpfad.

Schritt 5: Linux VDA-Paket herunterladen

1. Gehen Sie zur Citrix Virtual Apps and Desktops-Downloadseite.
2. Erweitern Sie die entsprechende Version von Citrix Virtual Apps and Desktops.

3. Erweitern Sie Components, um den Linux VDA zu finden. Beispiel:

   

4. Klicken Sie auf den Linux VDA-Link, um auf die Linux VDA-Downloads zuzugreifen.

   

5. Laden Sie das Linux VDA-Paket herunter, das Ihrer Linux-Distribution entspricht.

6. Laden Sie den öffentlichen GPG-Schlüssel herunter, mit dem Sie die Integrität des Linux VDA-Pakets überprüfen können. Beispiel:

   

   Um die Integrität des Linux VDA-Pakets mithilfe des öffentlichen Schlüssels zu überprüfen, führen Sie die folgenden Befehle aus, um den öffentlichen Schlüssel in die RPM-Datenbank zu importieren und die Paketintegrität zu prüfen:

   rpmkeys --import <path to the public key>
   rpm --checksig --verbose <path to the Linux VDA package>
   <!--NeedCopy-->
   

Schritt 6: Linux VDA installieren

Schritt 6a: Alte Version deinstallieren

Wenn Sie eine frühere Version als die beiden vorherigen und eine LTSR-Version installiert haben, deinstallieren Sie diese, bevor Sie die neue Version installieren.

1. Beenden Sie die Linux VDA-Dienste:

   sudo systemctl stop ctxvda
   
   sudo systemctl stop ctxhdx
   <!--NeedCopy-->
   

   Hinweis:

   Bevor Sie die Dienste ctxvda und ctxhdx beenden, führen Sie den Befehl systemctl stop ctxmonitord aus, um den Überwachungsdienst-Daemon zu beenden. Andernfalls startet der Überwachungsdienst-Daemon die von Ihnen beendeten Dienste neu.

2. Deinstallieren Sie das Paket:

   sudo rpm -e XenDesktopVDA
   <!--NeedCopy-->
   

Wichtig:

Ein Upgrade von den letzten beiden Versionen wird unterstützt.

Hinweis:

Installierte Komponenten finden Sie unter /opt/Citrix/VDA/.

Um einen Befehl auszuführen, ist der vollständige Pfad erforderlich; alternativ können Sie /opt/Citrix/VDA/sbin und /opt/Citrix/VDA/bin zum Systempfad hinzufügen.

Schritt 6b: Linux VDA installieren

Installieren Sie die Linux VDA-Software mit Zypper:

sudo zypper install XenDesktopVDA-<version>.sle15_x.x86_64.rpm
<!--NeedCopy-->

Schritt 6c: Linux VDA aktualisieren (optional)

Der Linux VDA unterstützt Upgrades von der aktuellsten Version. Sie können den Linux VDA beispielsweise von 2308 auf 2311 und von 1912 LTSR auf 2203 LTSR aktualisieren.

Hinweis:

Beim Upgrade einer vorhandenen Installation werden die Konfigurationsdateien unter /etc/xdl überschrieben. Sichern Sie die Dateien, bevor Sie ein Upgrade durchführen.

sudo zypper -i install <PATH>/<Linux VDA RPM>
<!--NeedCopy-->

RPM-Abhängigkeitsliste für SUSE 15:

java-17-openjdk >= 17
ImageMagick >= 7.0
dbus-1 >= 1.12.2
dbus-1-x11 >= 1.12.2
xorg-x11 >= 7.6_1
libXpm4 >= 3.5.12
libXrandr2 >= 1.5.1
libXtst6 >= 1.2.3
pam >= 1.3.0
bash >= 4.4
findutils >= 4.6
gawk >= 4.2
sed >= 4.4
cups >= 2.2
cups-filters >= 1.25
libxml2-2 >= 2.9
libmspack0 >= 0.6
ibus >= 1.5
libQt5DBus5 >= 5.12
libtcmalloc4 >= 2.5
libcap-progs >= 2.26
mozilla-nss-tools >= 3.53.1
libpython3_6m1_0 >= 3.6~
libQt5Widgets5 >= 5.12
libqrencode4 >= 4.0.0
libImlib2-1 >= 1.4.10
libgtk-2_0-0 >= 2.24
libgthread-2_0-0 >= 2.48
pulseaudio-utils >= 5.0
lsb-release >= 2.0
pkexec >= 121
cyrus-sasl-gssapi >= 2.1
libfuse2 >= 2.9
<!--NeedCopy-->

Wichtig:

Starten Sie die Linux VDA-Maschine nach dem Upgrade neu.

Schritt 7: NVIDIA GRID-Treiber installieren

Für die Aktivierung von HDX 3D Pro müssen Sie die NVIDIA GRID-Treiber auf Ihrem Hypervisor und auf den VDA-Maschinen installieren.

Informationen zur Installation und Konfiguration des NVIDIA GRID Virtual GPU Managers (des Hosttreibers) auf den jeweiligen Hypervisoren finden Sie in den folgenden Anleitungen:

• XenServer
• VMware ESX
• Nutanix AHV

Führen Sie die folgenden allgemeinen Schritte aus, um die NVIDIA GRID-Gast-VM-Treiber zu installieren und zu konfigurieren:

1. Stellen Sie sicher, dass die Gast-VM heruntergefahren ist.
2. Weisen Sie im Hypervisor-Bedienfeld der VM eine GPU zu.
3. Starten Sie die VM.
4. Installieren Sie den Gast-VM-Treiber (von Ihrem Cloud-Anbieter oder NVIDIA) auf der VM.

Schritt 8: Linux VDA konfigurieren

Hinweis:

Bevor Sie die Laufzeitumgebung einrichten, stellen Sie sicher, dass das Gebietsschema en_US.UTF-8 auf Ihrem Betriebssystem installiert ist. Wenn das Gebietsschema auf Ihrem Betriebssystem nicht verfügbar ist, führen Sie den Befehl sudo locale-gen en_US.UTF-8 aus. Bearbeiten Sie für Debian die Datei /etc/locale.gen, indem Sie die Zeile # en_US.UTF-8 UTF-8 auskommentieren, und führen Sie dann den Befehl sudo locale-gen aus.

Nach der Installation des Pakets müssen Sie den Linux VDA konfigurieren, indem Sie das Skript ctxsetup.sh ausführen. Bevor das Skript Änderungen vornimmt, überprüft es die Umgebung und stellt sicher, dass alle Abhängigkeiten installiert sind. Bei Bedarf können Sie das Skript jederzeit erneut ausführen, um Einstellungen zu ändern.

Sie können das Skript manuell mit Aufforderungen oder automatisch mit vorkonfigurierten Antworten ausführen. Lesen Sie die Hilfe zum Skript, bevor Sie fortfahren:

sudo /opt/Citrix/VDA/sbin/ctxsetup.sh –help
<!--NeedCopy-->

Konfiguration mit Aufforderungen

Führen Sie eine manuelle Konfiguration mit Aufforderungen aus:

sudo /opt/Citrix/VDA/sbin/ctxsetup.sh
<!--NeedCopy-->

Automatisierte Konfiguration

Für eine automatisierte Installation geben Sie die vom Setup-Skript benötigten Optionen mit Umgebungsvariablen an. Wenn alle erforderlichen Variablen vorhanden sind, fordert das Skript keine Informationen an.

Unterstützte Umgebungsvariablen umfassen:

• CTX_XDL_NON_DOMAIN_JOINED=’y|n’ – Ob die Maschine einer Domäne beitreten soll. Der Standardwert ist ‘n’. Für domänenverbundene Szenarien setzen Sie ihn auf ‘n’.

• CTX_XDL_AD_INTEGRATION=’winbind|sssd|centrify|pbis|quest’ – Der Linux VDA erfordert Kerberos-Konfigurationseinstellungen zur Authentifizierung bei den Delivery Controllern. Die Kerberos-Konfiguration wird aus dem installierten und konfigurierten Active Directory-Integrationstool auf dem System ermittelt.

• CTX_XDL_DDC_LIST=’<list-ddc-fqdns>‘ – Der Linux VDA erfordert eine durch Leerzeichen getrennte Liste von FQDNs (Fully Qualified Domain Names) der Delivery Controller, die für die Registrierung bei einem Delivery Controller verwendet werden sollen. Mindestens ein FQDN oder CNAME muss angegeben werden.

• CTX_XDL_VDI_MODE=’y|n’ – Ob die Maschine als dediziertes Desktop-Bereitstellungsmodell (VDI) oder als gehostetes Shared-Desktop-Bereitstellungsmodell konfiguriert werden soll. Für HDX 3D Pro-Umgebungen setzen Sie den Wert auf ‘y’.

• CTX_XDL_HDX_3D_PRO=’y|n’ – Der Linux VDA unterstützt HDX 3D Pro, eine Reihe von GPU-Beschleunigungstechnologien, die zur Optimierung der Virtualisierung von grafikintensiven Anwendungen entwickelt wurden. Wenn HDX 3D Pro ausgewählt ist, wird der VDA für VDI-Desktops (Einzelsitzung) konfiguriert – (d. h. CTX_XDL_VDI_MODE=‘y’).

• CTX_XDL_START_SERVICE=’y|n’ – Legt fest, ob die Linux VDA-Dienste gestartet werden, wenn die Konfiguration abgeschlossen ist.

• CTX_XDL_REGISTER_SERVICE=’y|n’ – Die Linux Virtual Desktop-Dienste werden nach dem Maschinenstart gestartet.

• CTX_XDL_ADD_FIREWALL_RULES=’y|n’ – Die Linux VDA-Dienste erfordern, dass eingehende Netzwerkverbindungen über die Systemfirewall zugelassen werden. Sie können die erforderlichen Ports (standardmäßig die Ports 80 und 1494) automatisch in der Systemfirewall für den Linux Virtual Desktop öffnen.

• CTX_XDL_DESKTOP_ENVIRONMENT=gnome/gnome-classic/mate/’<none>‘ – Gibt die GNOME-, GNOME Classic- oder MATE-Desktopumgebung an, die in Sitzungen verwendet werden soll. Wenn Sie diesen Wert auf ‘<none>‘ setzen, wird der auf dem VDA konfigurierte Standard-Desktop verwendet.

  Sie können auch zwischen Desktopumgebungen wechseln, indem Sie Befehle ausführen oder die Systemleiste verwenden. Weitere Informationen finden Sie unter Befehle zum Wechseln des Desktops und Systemleiste.

• CTX_XDL_DOTNET_RUNTIME_PATH=path-to-install-dotnet-runtime – Der Pfad zur Installation von .NET zur Unterstützung des neuen Broker-Agent-Dienstes (ctxvda). Der Standardpfad ist ‘/usr/bin’.

• CTX_XDL_VDA_PORT=port-number – Der Linux VDA kommuniziert mit Delivery Controllern über einen TCP/IP-Port.

• CTX_XDL_SITE_NAME=<dns-name> – Der Linux VDA ermittelt LDAP-Server über DNS. Um die DNS-Suchergebnisse auf eine lokale Site zu beschränken, geben Sie einen DNS-Sitenamen an. Falls nicht erforderlich, setzen Sie den Wert auf ‘<none>‘.

• CTX_XDL_LDAP_LIST=’<list-ldap-servers>‘ – Der Linux VDA fragt DNS ab, um LDAP-Server zu ermitteln. Wenn DNS keine LDAP-Dienstdatensätze bereitstellen kann, können Sie eine durch Leerzeichen getrennte Liste von LDAP-FQDNs mit LDAP-Ports angeben. Zum Beispiel: ad1.mycompany.com:389 ad2.mycompany.com:3268 ad3.mycompany.com:3268. Um schnellere LDAP-Abfragen innerhalb einer Active Directory-Gesamtstruktur zu ermöglichen, aktivieren Sie den Globalen Katalog auf einem Domänencontroller und geben Sie die relevante LDAP-Portnummer als 3268 an. Diese Variable ist standardmäßig auf ‘<none>‘ gesetzt.

• CTX_XDL_SEARCH_BASE=search-base-set – Der Linux VDA fragt LDAP über eine Suchbasis ab, die auf das Stammverzeichnis der Active Directory-Domäne gesetzt ist (zum Beispiel DC=mycompany,DC=com). Um die Suchleistung zu verbessern, können Sie eine Suchbasis angeben (zum Beispiel OU=VDI,DC=mycompany,DC=com). Falls nicht erforderlich, setzen Sie den Wert auf ‘<none>‘.

• CTX_XDL_SUPPORT_DDC_AS_CNAME=’y|n’ – Der Linux VDA unterstützt die Angabe eines Delivery Controller-Namens mithilfe eines DNS CNAME-Eintrags.

Legen Sie die Umgebungsvariable fest und führen Sie das Konfigurationsskript aus:

export CTX_XDL_NON_DOMAIN_JOINED='n'
export CTX_XDL_AD_INTEGRATION=sssd|winbind|centrify|pbis|quest
export CTX_XDL_DDC_LIST='<list-ddc-fqdns>'
export CTX_XDL_VDI_MODE='y|n'
export CTX_XDL_HDX_3D_PRO='y|n'
export CTX_XDL_START_SERVICE='y|n'
export CTX_XDL_REGISTER_SERVICE='y|n'
export CTX_XDL_ADD_FIREWALL_RULES='y|n'
export CTX_XDL_DESKTOP_ENVIRONMENT= gnome|gnome-classic|mate|'<none>'
export CTX_XDL_DOTNET_RUNTIME_PATH='<path-to-install-dotnet-runtime>'
export CTX_XDL_VDA_PORT='<port-number>'
export CTX_XDL_SITE_NAME='<dns-site-name>'|'<none>'
export CTX_XDL_LDAP_LIST='<list-ldap-servers>'|'<none>'
export CTX_XDL_SEARCH_BASE='<search-base-set>'|'<none>'
export CTX_XDL_SUPPORT_DDC_AS_CNAME='y|n'
sudo -E /opt/Citrix/VDA/sbin/ctxsetup.sh --silent
<!--NeedCopy-->

Wenn Sie den sudo-Befehl ausführen, geben Sie die Option -E ein, um die vorhandenen Umgebungsvariablen an die neue Shell zu übergeben, die erstellt wird. Wir empfehlen Ihnen, aus den vorhergehenden Befehlen eine Shell-Skriptdatei mit #!/bin/bash als erster Zeile zu erstellen.

Alternativ können Sie alle Parameter mit einem einzigen Befehl angeben:

sudo CTX_XDL_NON_DOMAIN_JOINED='n' \
CTX_XDL_AD_INTEGRATION=winbind|centrify|sssd|pbis|quest \
CTX_XDL_DDC_LIST='<list-ddc-fqdns>' \
CTX_XDL_VDI_MODE='y|n' \
CTX_XDL_HDX_3D_PRO='y|n' \
CTX_XDL_START_SERVICE='y|n' \
CTX_XDL_REGISTER_SERVICE='y|n' \
CTX_XDL_ADD_FIREWALL_RULES='y|n' \
CTX_XDL_DESKTOP_ENVIRONMENT= gnome|gnome-classic|mate|'<none>' \
CTX_XDL_DOTNET_RUNTIME_PATH='<path-to-install-dotnet-runtime>' \
CTX_XDL_VDA_PORT='<port-number>' \
CTX_XDL_SITE_NAME='<dns-site-name>'|'<none>' \
CTX_XDL_LDAP_LIST='<list-ldap-servers>'|'<none>' \
CTX_XDL_SEARCH_BASE='<search-base-set>'|'<none>' \
CTX_XDL_SUPPORT_DDC_AS_CNAME='y|n' \
/opt/Citrix/VDA/sbin/ctxsetup.sh --silent
<!--NeedCopy-->

Konfigurationsänderungen entfernen

In einigen Szenarien müssen Sie möglicherweise die vom Skript ctxsetup.sh vorgenommenen Konfigurationsänderungen entfernen, ohne das Linux VDA-Paket zu deinstallieren.

Lesen Sie die Hilfe zu diesem Skript, bevor Sie fortfahren:

sudo /usr/local/sbin/ctxcleanup.sh --help
<!--NeedCopy-->

So entfernen Sie Konfigurationsänderungen:

sudo /usr/local/sbin/ctxcleanup.sh
<!--NeedCopy-->

Wichtig:

Dieses Skript löscht alle Konfigurationsdaten aus der Datenbank und macht den Linux VDA unbrauchbar.

Konfigurationsprotokolle

Die Skripte ctxsetup.sh und ctxcleanup.sh zeigen Fehler auf der Konsole an, wobei zusätzliche Informationen in eine Konfigurationsprotokolldatei geschrieben werden:

/tmp/xdl.configure.log

Starten Sie die Linux VDA-Dienste neu, damit die Änderungen wirksam werden.

Schritt 9: XDPing ausführen

Führen Sie sudo /opt/Citrix/VDA/bin/xdping aus, um häufige Konfigurationsprobleme in einer Linux VDA-Umgebung zu überprüfen. Weitere Informationen finden Sie unter XDPing.

Schritt 10: Linux VDA ausführen

Nachdem Sie den Linux VDA mit dem Skript ctxsetup.sh konfiguriert haben, können Sie die folgenden Befehle ausführen, um den Linux VDA zu steuern.

Linux VDA starten:

So starten Sie die Linux VDA-Dienste:

sudo systemctl start ctxhdx

sudo systemctl start ctxvda
<!--NeedCopy-->

Linux VDA beenden:

So beenden Sie die Linux VDA-Dienste:

sudo systemctl stop ctxvda

sudo systemctl stop ctxhdx
<!--NeedCopy-->

Hinweis:

Bevor Sie die Dienste ctxvda und ctxhdx beenden, führen Sie den Befehl systemctl stop ctxmonitord aus, um den Überwachungsdienst-Daemon zu beenden. Andernfalls startet der Überwachungsdienst-Daemon die von Ihnen beendeten Dienste neu.

Linux VDA neu starten:

So starten Sie die Linux VDA-Dienste neu:

sudo systemctl stop ctxvda

sudo systemctl restart ctxhdx

sudo systemctl restart ctxvda
<!--NeedCopy-->

Linux VDA-Status überprüfen:

So überprüfen Sie den Ausführungsstatus der Linux VDA-Dienste:

sudo systemctl status ctxvda

sudo systemctl status ctxhdx
<!--NeedCopy-->

Schritt 11: Maschinenkataloge erstellen

Der Prozess zum Erstellen von Maschinenkatalogen und Hinzufügen von Linux VDA-Maschinen ähnelt dem traditionellen Windows VDA-Ansatz. Eine detailliertere Beschreibung der Durchführung dieser Aufgaben finden Sie unter Maschinenkataloge erstellen und Maschinenkataloge verwalten.

Für die Erstellung von Maschinenkatalogen, die Linux VDA-Maschinen enthalten, gibt es einige Einschränkungen, die den Prozess von der Erstellung von Maschinenkatalogen für Windows VDA-Maschinen unterscheiden:

• Wählen Sie für das Betriebssystem:
  • Die Option Multi-session OS für ein Bereitstellungsmodell mit gehosteten Shared Desktops.
  • Die Option Single-session OS für ein VDI-Bereitstellungsmodell mit dedizierten Desktops.
• Mischen Sie keine Linux- und Windows VDA-Maschinen im selben Maschinenkatalog.

Hinweis:

Frühere Versionen von Citrix Studio unterstützten den Begriff “Linux OS” nicht. Die Auswahl der Option Windows Server OS oder Server OS impliziert jedoch ein äquivalentes Bereitstellungsmodell für gehostete Shared Desktops. Die Auswahl der Option Windows Desktop OS oder Desktop OS impliziert ein Bereitstellungsmodell mit einem einzelnen Benutzer pro Maschine.

Tipp:

Wenn Sie eine Maschine aus der Active Directory-Domäne entfernen und wieder hinzufügen, müssen Sie die Maschine erneut aus dem Maschinenkatalog entfernen und hinzufügen.

Schritt 12: Bereitstellungsgruppen erstellen

Der Prozess zum Erstellen einer Bereitstellungsgruppe und zum Hinzufügen von Maschinenkatalogen, die Linux VDA-Maschinen enthalten, ist nahezu identisch mit dem für Windows VDA-Maschinen. Eine detailliertere Beschreibung der Durchführung dieser Aufgaben finden Sie unter Bereitstellungsgruppen erstellen.

Für die Erstellung von Bereitstellungsgruppen, die Linux VDA-Maschinenkataloge enthalten, gelten die folgenden Einschränkungen:

• Stellen Sie sicher, dass die von Ihnen ausgewählten AD-Benutzer und -Gruppen ordnungsgemäß für die Anmeldung an den Linux VDA-Maschinen konfiguriert wurden.
• Lassen Sie die Anmeldung von nicht authentifizierten (anonymen) Benutzern nicht zu.
• Mischen Sie die Bereitstellungsgruppe nicht mit Maschinenkatalogen, die Windows-Maschinen enthalten.

Wichtig:

Die Veröffentlichung von Anwendungen wird ab Linux VDA Version 1.4 unterstützt. Der Linux VDA unterstützt jedoch nicht die Bereitstellung von Desktops und Apps auf derselben Maschine.

Informationen zum Erstellen von Maschinenkatalogen und Bereitstellungsgruppen finden Sie unter Citrix Virtual Apps and Desktops 7 2411.