Installieren des Linux Virtual Delivery Agent für SUSE

Sie können die Schritte in diesem Artikel für eine manuelle Installation befolgen oder die einfache Installation für eine automatische Installation und Konfiguration verwenden. Die einfache Installation spart Zeit und Arbeitsaufwand und ist weniger fehleranfällig als die manuelle Installation.

Hinweis:

Verwenden Sie die einfache Installation nur für Neuinstallationen. Verwenden Sie die einfache Installation nicht, um eine vorhandene Installation zu aktualisieren.

Schritt 1: Vorbereitung der Installation

Schritt 1a: Starten des YaST-Tools

Das YaST-Tool von SUSE Linux Enterprise wird zur Konfiguration aller Aspekte des Betriebssystems verwendet.

So starten Sie das textbasierte YaST-Tool:

su -

yast
<!--NeedCopy-->

Alternativ starten Sie das UI-basierte YaST-Tool:

su -

    -  yast2 &
<!--NeedCopy-->

-  ### Schritt 1b: Netzwerkkonfiguration

Die folgenden Abschnitte enthalten Informationen zur Konfiguration der verschiedenen Netzwerkeinstellungen und -dienste, die vom Linux VDA verwendet werden. Die Netzwerkkonfiguration erfolgt über das YaST-Tool, nicht über andere Methoden wie den Network Manager. Diese Anweisungen basieren auf der Verwendung des UI-basierten YaST-Tools. Das textbasierte YaST-Tool kann verwendet werden, hat aber eine andere Navigationsmethode, die hier nicht dokumentiert ist.

Hostname und DNS konfigurieren

1. Öffnen Sie die YaST-Netzwerkeinstellungen.
2. Nur SLED 12: Ändern Sie auf der Registerkarte Globale Optionen die Netzwerkeinrichtungsmethode in Wicked Service.
3. Öffnen Sie die Registerkarte Hostname/DNS.
4. Deaktivieren Sie Hostname über DHCP ändern.
5. Aktivieren Sie Hostname der Loopback-IP zuweisen.
6. Bearbeiten Sie die folgenden Einträge, um Ihre Netzwerkkonfiguration widerzuspiegeln:
   • Hostname – Fügen Sie den DNS-Hostnamen des Computers hinzu.
   • Domänenname – Fügen Sie den DNS-Domänennamen des Computers hinzu.
   • Nameserver – Fügen Sie die IP-Adresse des DNS-Servers hinzu. Dies ist typischerweise die IP-Adresse des AD-Domänencontrollers.
   • Domänensuchliste – Fügen Sie den DNS-Domänennamen hinzu.

Hinweis:

Der Linux VDA unterstützt derzeit keine NetBIOS-Namenskürzung. Daher darf der Hostname 15 Zeichen nicht überschreiten. Tipp:

Verwenden Sie nur die Zeichen a–z, A–Z, 0–9 und Bindestrich (-). Vermeiden Sie Unterstriche (_), Leerzeichen und andere Symbole. Beginnen Sie einen Hostnamen nicht mit einer Zahl und beenden Sie ihn nicht mit einem Bindestrich. Diese Regel gilt auch für Delivery Controller-Hostnamen.

Multicast-DNS deaktivieren

Nur unter SLED sind die Standardeinstellungen für Multicast-DNS (mDNS) aktiviert, was zu inkonsistenten Namensauflösungsergebnissen führen kann. mDNS ist unter SLES standardmäßig nicht aktiviert, daher ist keine Aktion erforderlich.

Um mDNS zu deaktivieren, bearbeiten Sie /etc/nsswitch.conf und ändern Sie die Zeile, die Folgendes enthält:

hosts: files mdns_minimal [NOTFOUND=return] dns

Zu:

hosts: files dns

Hostname überprüfen

Überprüfen Sie, ob der Hostname korrekt eingestellt ist:

hostname
<!--NeedCopy-->

Dieser Befehl gibt nur den Hostnamen des Computers zurück und nicht seinen vollqualifizierten Domänennamen (FQDN).

Überprüfen Sie, ob der FQDN korrekt eingestellt ist:

    -  hostname -f
<!--NeedCopy-->

• Dieser Befehl gibt den FQDN des Computers zurück.

• Namensauflösung und Diensterreichbarkeit überprüfen

  • Überprüfen Sie, ob Sie den FQDN auflösen und den Domänencontroller sowie den Delivery Controller™ anpingen können:

    -  nslookup domain-controller-fqdn

    -  ping domain-controller-fqdn

nslookup delivery-controller-fqdn

-  ping delivery-controller-fqdn
<!--NeedCopy-->

-  Wenn Sie den FQDN nicht auflösen oder einen dieser Computer nicht anpingen können, überprüfen Sie die Schritte, bevor Sie fortfahren.

-  ### Schritt 1c: NTP-Dienst konfigurieren

Es ist entscheidend, eine genaue Zeitsynchronisation zwischen den VDAs, Delivery Controllern und Domänencontrollern aufrechtzuerhalten. Das Hosten des Linux VDA als virtuelle Maschine kann zu Problemen mit der Zeitverschiebung führen. Aus diesem Grund wird die Zeitverwaltung über einen Remote-NTP-Dienst bevorzugt. Einige Änderungen an den Standard-NTP-Einstellungen könnten erforderlich sein:

1. Öffnen Sie die YaST-NTP-Konfiguration und wählen Sie die Registerkarte Allgemeine Einstellungen.
2. Aktivieren Sie im Abschnitt “NTP-Daemon starten” die Option Jetzt und beim Booten.

• 1. Falls vorhanden, wählen Sie den Eintrag Undisciplined Local Clock (LOCAL) aus und klicken Sie auf Löschen.

1. Fügen Sie einen Eintrag für einen NTP-Server hinzu, indem Sie auf Hinzufügen klicken.
2. Wählen Sie den Servertyp aus und klicken Sie auf Weiter.
3. Geben Sie den DNS-Namen des NTP-Servers in das Feld “Adresse” ein. Dieser Dienst wird normalerweise auf dem Active Directory-Domänencontroller gehostet.
4. Lassen Sie das Feld “Optionen” unverändert.
5. Klicken Sie auf Testen, um zu überprüfen, ob der NTP-Dienst erreichbar ist.
   • 1. Klicken Sie in den Fenstern auf OK, um die Änderungen zu speichern.

Hinweis:

Bei SLES 12-Implementierungen kann der NTP-Daemon aufgrund eines bekannten SUSE-Problems mit AppArmor-Richtlinien nicht starten. Befolgen Sie die Lösung für weitere Informationen.

-  ### Schritt 1d: Linux VDA-abhängige Pakete installieren

Die Linux VDA-Software für SUSE Linux Enterprise hängt von den folgenden Paketen ab:

• PostgreSQL
  • SLED/SLES 11: Version 9.1 oder höher
  • SLED/SLES 12: Version 9.3 oder höher
• OpenJDK 1.7.0
• OpenMotif Runtime Environment 2.3.1 oder höher
• Cups
  • SLED/SLES 11: Version 1.3.7 oder höher
  • SLED/SLES 12: Version 1.6.0 oder höher
• Foomatic-Filter
  • SLED/SLES 11: Version 3.0.0 oder höher
  • SLED/SLES 12: Version 1.0.0 oder höher
• ImageMagick
  • SLED/SLES 11: Version 6.4.3.6 oder höher
  • SLED/SLES 12: Version 6.8 oder höher

Repositories hinzufügen

Einige erforderliche Pakete sind nicht in allen SUSE Linux Enterprise-Repositories verfügbar:

• SLED 11: PostgreSQL ist für SLES 11, aber nicht für SLED 11 verfügbar.
• SLES 11: OpenJDK und OpenMotif sind für SLED 11, aber nicht für SLES 11 verfügbar.
• SLED 12: PostgreSQL ist für SLES 12, aber nicht für SLED 12 verfügbar. ImageMagick ist über die SLE 12 SDK ISO oder das Online-Repository verfügbar.
• SLES 12: Es gibt keine Probleme. Alle Pakete sind verfügbar. ImageMagick ist über die SLE 12 SDK ISO oder das Online-Repository verfügbar.

Um das Problem zu beheben, besorgen Sie sich fehlende Pakete von den Medien der alternativen SLE-Edition, von der Sie installieren. Das heißt, auf SLED installieren Sie fehlende Pakete von den SLES-Medien, und auf SLES installieren Sie fehlende Pakete von den SLED-Medien. Der folgende Ansatz bindet sowohl SLED- als auch SLES-ISO-Mediendateien ein und fügt Repositories hinzu.

• Führen Sie unter SLED 11 die folgenden Befehle aus:

sudo mkdir -p /mnt/sles

sudo mount -t iso9660 path-to-iso/SLES-11-SP4-DVD-x86_64-GM-DVD1.iso /mnt/sles

sudo zypper ar -f /mnt/sles sles
<!--NeedCopy-->

• Führen Sie unter SLES 11 die folgenden Befehle aus:

sudo mkdir -p /mnt/sled

sudo mount -t iso9660 path-to-iso/SLED-11-SP4-DVD-x86_64-GM-DVD1.iso /mnt/sled

sudo zypper ar -f /mnt/sled sled
<!--NeedCopy-->

• Führen Sie unter SLED 12 die folgenden Befehle aus:

    -  sudo mkdir -p /mnt/sles

sudo mount -t iso9660 path-to-iso/SLES-12-SP2-DVD-x86_64-GM-DVD1.iso /mnt/sles

sudo zypper ar -f /mnt/sles sles
<!--NeedCopy-->

-  Führen Sie unter SLED/SLES 12 die folgenden Befehle aus:

sudo mkdir -p /mnt/sdk

sudo mount -t iso9660 path-to-iso/SLE-12-SP3-SDK-DVD-x86_64-GM-DVD1.iso /mnt/sdk

    -  sudo zypper ar -f /mnt/sdk sdk
<!--NeedCopy-->

Kerberos-Client installieren

Installieren Sie den Kerberos-Client für die gegenseitige Authentifizierung zwischen dem Linux VDA und den Delivery Controllern:

sudo zypper install krb5-client
<!--NeedCopy-->

Die Konfiguration des Kerberos-Clients hängt von der verwendeten Active Directory-Integrationsmethode ab. Siehe die folgende Beschreibung.

OpenJDK installieren

Der Linux VDA hängt von OpenJDK 1.7.0 ab.

Tipp: - > Um Probleme zu vermeiden, stellen Sie sicher, dass Sie nur OpenJDK Version 1.7.0 installiert haben. Entfernen Sie alle anderen Java-Versionen auf Ihrem System.

-  **SLED:**

1. Unter SLED wird die Java-Laufzeitumgebung typischerweise mit dem Betriebssystem installiert. Überprüfen Sie, ob sie installiert wurde:

   sudo zypper info java-1_7_0-openjdk
   <!--NeedCopy-->
   

2. Aktualisieren Sie auf die neueste Version, wenn der Status als veraltet gemeldet wird:

   sudo zypper update java-1_7_0-openjdk
   <!--NeedCopy-->
   

• 1. Überprüfen Sie die Java-Version:

   java -version
   <!--NeedCopy-->
  

• SLES:

1. Installieren Sie unter SLES die Java-Laufzeitumgebung:

   sudo zypper install java-1_7_0-openjdk
   <!--NeedCopy-->
   

2. Überprüfen Sie die Java-Version:

   java -version
   <!--NeedCopy-->
   

PostgreSQL installieren

• Installieren Sie unter SLED/SLES 11 die Pakete:

   sudo zypper install libecpg6
  
   sudo zypper install postgresql-init
  
   sudo zypper install postgresql
  
   sudo zypper install postgresql-server
  
   sudo zypper install postgresql-jdbc
   <!--NeedCopy-->
  

  Nach der Installation sind Schritte erforderlich, um den Datenbankdienst zu initialisieren und sicherzustellen, dass PostgreSQL beim Start des Computers gestartet wird:

   -  sudo /sbin/insserv postgresql
  
   sudo /etc/init.d/postgresql restart
  
   <!--NeedCopy-->
  

• Installieren Sie unter SLED/SLES 12 die Pakete:

   -  sudo zypper install postgresql-init
  
   -  sudo zypper install postgresql-server
  
   sudo zypper install postgresql-jdbc
   <!--NeedCopy-->
  

  Nach der Installation sind Schritte erforderlich, um den Datenbankdienst zu initialisieren und sicherzustellen, dass PostgreSQL beim Start des Computers gestartet wird:

   sudo systemctl enable postgresql
  
   sudo systemctl restart postgresql
   <!--NeedCopy-->
  

  Datenbankdateien befinden sich unter /var/lib/pgsql/data.

Repositorys entfernen

Nachdem die abhängigen Pakete installiert wurden, können die zuvor eingerichteten Repositorys der alternativen Edition nun entfernt und die Medien ausgehängt werden:

-  führen Sie unter SLED 11 die Befehle zum Entfernen der Pakete aus:

```
sudo zypper rr sles

sudo umount /mnt/sles

sudo rmdir /mnt/sles
<!--NeedCopy--> ```

-  führen Sie unter SLES 11 die Befehle zum Entfernen der Pakete aus:

```
sudo zypper rr sled

sudo umount /mnt/sled

sudo rmdir /mnt/sled
<!--NeedCopy--> ```

-  führen Sie unter SLED 12 die Befehle zum Entfernen der Pakete aus:

```
sudo zypper rr sles

sudo umount /mnt/sles

sudo rmdir /mnt/sles
<!--NeedCopy--> ```

• führen Sie unter SLED/SLES 12 die Befehle zum Entfernen der Pakete aus:

   sudo zypper rr sdk
  
   sudo umount /mnt/sdk
  
   sudo rmdir /mnt/sd
   <!--NeedCopy-->
  

Schritt 2: Linux-VM für Hypervisor vorbereiten

Einige Änderungen sind erforderlich, wenn Sie den Linux VDA als virtuelle Maschine auf einem unterstützten Hypervisor ausführen. Nehmen Sie die folgenden Änderungen entsprechend der verwendeten Hypervisor-Plattform vor. Es sind keine Änderungen erforderlich, wenn Sie die Linux-Maschine auf Bare-Metal-Hardware ausführen.

Zeitsynchronisierung auf Citrix XenServer® beheben

Wenn die XenServer-Zeitsynchronisierungsfunktion aktiviert ist, treten in jeder paravirtualisierten Linux-VM Probleme auf, da NTP und XenServer beide versuchen, die Systemuhr zu verwalten. Um zu vermeiden, dass die Uhr mit anderen Servern nicht mehr synchron ist, muss die Systemuhr in jedem Linux-Gast mit NTP synchronisiert werden. In diesem Fall muss die Host-Zeitsynchronisierung deaktiviert werden. Im HVM-Modus sind keine Änderungen erforderlich.

Auf einigen Linux-Distributionen können Sie, wenn Sie einen paravirtualisierten Linux-Kernel mit installierten XenServer Tools ausführen, überprüfen, ob die XenServer-Zeitsynchronisierungsfunktion vorhanden und innerhalb der Linux-VM aktiviert ist:

su -

cat /proc/sys/xen/independent_wallclock
<!--NeedCopy-->

Dieser Befehl gibt 0 oder 1 zurück:

• 0 - Die Zeitsynchronisierungsfunktion ist aktiviert und muss deaktiviert werden.
• 1 - Die Zeitsynchronisierungsfunktion ist deaktiviert, und es sind keine weiteren Maßnahmen erforderlich.

Wenn die Datei /proc/sys/xen/indepent_wallclock nicht vorhanden ist, sind die folgenden Schritte nicht erforderlich.

Wenn aktiviert, deaktivieren Sie die Zeitsynchronisierungsfunktion, indem Sie 1 in die Datei schreiben:

sudo echo 1 > /proc/sys/xen/independent_wallclock
<!--NeedCopy-->

Um diese Änderung nach einem Neustart dauerhaft und persistent zu machen, bearbeiten Sie die Datei /etc/sysctl.conf und fügen Sie die Zeile hinzu:

xen.independent_wallclock = 1

Um diese Änderungen zu überprüfen, starten Sie das System neu:

reboot
<!--NeedCopy-->

Überprüfen Sie nach dem Neustart, ob die Einstellung korrekt ist:

su -
cat /proc/sys/xen/independent_wallclock
<!--NeedCopy-->

Dieser Befehl gibt den Wert 1 zurück.

Zeitsynchronisierung auf Microsoft Hyper-V beheben

Linux-VMs mit installierten Hyper-V Linux Integration Services können die Hyper-V-Zeitsynchronisierungsfunktion verwenden, um die Zeit des Host-Betriebssystems zu nutzen. Um sicherzustellen, dass die Systemuhr genau bleibt, aktivieren Sie diese Funktion zusammen mit den NTP-Diensten.

Vom Verwaltungsbetriebssystem aus:

1. Öffnen Sie die Hyper-V-Manager-Konsole.
2. Wählen Sie für die Einstellungen einer Linux-VM Integrationsdienste aus.
3. Stellen Sie sicher, dass Zeitsynchronisierung ausgewählt ist.

Hinweis:

Dieser Ansatz unterscheidet sich von VMware und XenServer, wo die Host-Zeitsynchronisierung deaktiviert ist, um Konflikte mit NTP zu vermeiden. Die Hyper-V-Zeitsynchronisierung kann mit der NTP-Zeitsynchronisierung koexistieren und diese ergänzen.

Zeitsynchronisierung auf ESX und ESXi beheben

Wenn die VMware-Zeitsynchronisierungsfunktion aktiviert ist, treten in jeder paravirtualisierten Linux-VM Probleme auf, da NTP und der Hypervisor beide versuchen, die Systemuhr zu synchronisieren. Um zu vermeiden, dass die Uhr mit anderen Servern nicht mehr synchron ist, muss die Systemuhr in jedem Linux-Gast mit NTP synchronisiert werden. In diesem Fall muss die Host-Zeitsynchronisierung deaktiviert werden.

Wenn Sie einen paravirtualisierten Linux-Kernel mit installierten VMware Tools ausführen:

1. Öffnen Sie den vSphere Client.
2. Bearbeiten Sie die Einstellungen für die Linux-VM.
3. Öffnen Sie im Dialogfeld Eigenschaften der virtuellen Maschine die Registerkarte Optionen.
4. Wählen Sie VMware Tools aus.
5. Deaktivieren Sie im Feld Erweitert die Option Gastzeit mit Host synchronisieren.

Schritt 3: Hinzufügen der Linux-VM (virtuelle Maschine) zur Windows-Domäne

Der Linux VDA unterstützt mehrere Methoden zum Hinzufügen von Linux-Maschinen zur Active Directory (AD)-Domäne:

• Samba Winbind
• Quest Authentication Service
• Centrify DirectControl

Befolgen Sie die Anweisungen basierend auf der von Ihnen gewählten Methode.

Samba Winbind

Windows-Domäne beitreten

Ihr Domänencontroller muss erreichbar sein, und Sie müssen über ein Active Directory-Benutzerkonto mit Berechtigungen zum Hinzufügen von Maschinen zur Domäne verfügen:

1. Öffnen Sie die YaST-Option “Windows-Domänenmitgliedschaft”.

2. Nehmen Sie die folgenden Änderungen vor:

   • Legen Sie für Domäne oder Arbeitsgruppe den Namen Ihrer Active Directory-Domäne oder die IP-Adresse des Domänencontrollers fest. Stellen Sie sicher, dass der Domänenname in Großbuchstaben geschrieben ist.
   • Aktivieren Sie SMB-Informationen auch für Linux-Authentifizierung verwenden.
   • Aktivieren Sie Home-Verzeichnis bei Anmeldung erstellen.
   • Aktivieren Sie Single Sign-on für SSH.
   • Stellen Sie sicher, dass Offline-Authentifizierung nicht aktiviert ist. Diese Option ist nicht mit dem Linux VDA kompatibel.

3. Klicken Sie auf OK. Wenn Sie aufgefordert werden, Pakete zu installieren, klicken Sie auf Installieren.

4. Wenn ein Domänencontroller gefunden wird, werden Sie gefragt, ob Sie der Domäne beitreten möchten. Klicken Sie auf Ja.

5. Geben Sie bei Aufforderung die Anmeldeinformationen eines Domänenbenutzers mit der Berechtigung zum Hinzufügen von Computern zur Domäne ein und klicken Sie auf OK.

6. Eine Erfolgsmeldung wird angezeigt.

7. Wenn Sie aufgefordert werden, Samba- und krb5-Pakete zu installieren, klicken Sie auf Installieren.

YaST hat möglicherweise darauf hingewiesen, dass diese Änderungen einen Neustart einiger Dienste oder der Maschine erfordern. Wir empfehlen Ihnen, die Maschine neu zu starten:

su -

reboot
<!--NeedCopy-->

Nur SLED/SLES 12: Kerberos-Anmeldeinformations-Cache-Namen patchen

SLED/SLES 12 hat die Standard-Spezifikation für den Kerberos-Anmeldeinformations-Cache-Namen von der üblichen FILE:/tmp/krb5cc_%{uid} auf DIR:/run/user/%{uid}/krb5cc geändert. Diese neue DIR-Caching-Methode ist nicht mit dem Linux VDA kompatibel und muss manuell geändert werden. Bearbeiten Sie als Root-Benutzer die Datei /etc/krb5.conf und fügen Sie die folgende Einstellung unter dem Abschnitt [libdefaults] hinzu, falls sie nicht vorhanden ist:

default_ccache_name = FILE:/tmp/krb5cc_%{uid}

Domänenmitgliedschaft überprüfen

Der Delivery Controller erfordert, dass alle VDA-Maschinen (Windows- und Linux-VDAs) ein Computerobjekt in Active Directory haben.

Führen Sie den Samba-Befehl net ads aus, um zu überprüfen, ob die Maschine einer Domäne beigetreten ist:

sudo net ads testjoin
<!--NeedCopy-->

Führen Sie den folgenden Befehl aus, um zusätzliche Domänen- und Computerobjektinformationen zu überprüfen:

sudo net ads info
<!--NeedCopy-->

Kerberos-Konfiguration überprüfen

Um sicherzustellen, dass Kerberos korrekt für die Verwendung mit dem Linux VDA konfiguriert ist, überprüfen Sie, ob die System-Keytab-Datei erstellt wurde und gültige Schlüssel enthält:

sudo klist –ke
<!--NeedCopy-->

Dieser Befehl zeigt die Liste der verfügbaren Schlüssel für die verschiedenen Kombinationen von Prinzipalnamen und Chiffriersuiten an. Führen Sie den Kerberos-Befehl kinit aus, um die Maschine mit dem Domänencontroller unter Verwendung dieser Schlüssel zu authentifizieren:

sudo kinit -k MACHINE\$@REALM
<!--NeedCopy-->

Die Maschinen- und Realm-Namen müssen in Großbuchstaben angegeben werden. Das Dollarzeichen ($) muss mit einem Backslash (\) maskiert werden, um eine Shell-Substitution zu verhindern. In einigen Umgebungen unterscheidet sich der DNS-Domänenname vom Kerberos-Realm-Namen. Stellen Sie sicher, dass der Realm-Name verwendet wird. Wenn dieser Befehl erfolgreich ist, wird keine Ausgabe angezeigt.

Überprüfen Sie, ob das TGT-Ticket für das Maschinenkonto zwischengespeichert wurde, indem Sie Folgendes verwenden:

sudo klist
<!--NeedCopy-->

Untersuchen Sie die Details des Maschinenkontos mit:

sudo net ads status
<!--NeedCopy-->

Benutzerauthentifizierung überprüfen

Verwenden Sie das Tool wbinfo, um zu überprüfen, ob Domänenbenutzer sich bei der Domäne authentifizieren können:

wbinfo --krb5auth=domain\\username%password
<!--NeedCopy-->

Die hier angegebene Domäne ist der AD-Domänenname, nicht der Kerberos-Realm-Name. Für die Bash-Shell muss der Backslash (\) mit einem weiteren Backslash maskiert werden. Dieser Befehl gibt eine Erfolgs- oder Fehlermeldung zurück.

Um zu überprüfen, ob das Winbind PAM-Modul korrekt konfiguriert ist, melden Sie sich mit einem Domänenbenutzerkonto am Linux VDA an. Das Domänenbenutzerkonto wurde zuvor noch nicht verwendet.

ssh localhost -l domain\\username

id -u
<!--NeedCopy-->

Überprüfen Sie, ob eine entsprechende Kerberos-Anmeldeinformations-Cache-Datei für die von dem Befehl id -u zurückgegebene uid erstellt wurde:

ls /tmp/krb5cc_uid
<!--NeedCopy-->

Überprüfen Sie, ob die Tickets im Kerberos-Anmeldeinformations-Cache des Benutzers gültig und nicht abgelaufen sind:

klist
<!--NeedCopy-->

Sitzung beenden

exit
<!--NeedCopy-->

Ein ähnlicher Test kann durch direktes Anmelden an der Gnome- oder KDE-Konsole durchgeführt werden. Fahren Sie nach der Überprüfung des Domänenbeitritts mit Schritt 4: Installieren des Linux VDA fort.

Quest-Authentifizierungsdienst

Quest auf dem Domänencontroller konfigurieren

Gehen Sie davon aus, dass Sie die Quest-Software auf den Active Directory-Domänencontrollern installiert und konfiguriert haben und Ihnen administrative Berechtigungen zum Erstellen von Computerobjekten in Active Directory erteilt wurden.

Domänenbenutzer für die Anmeldung an Linux VDA-Maschinen aktivieren

Um Domänenbenutzern das Herstellen von HDX™-Sitzungen auf einer Linux VDA-Maschine zu ermöglichen:

1. Öffnen Sie in der Verwaltungskonsole “Active Directory-Benutzer und -Computer” die Active Directory-Benutzereigenschaften für dieses Benutzerkonto.
2. Wählen Sie die Registerkarte Unix-Konto.
3. Aktivieren Sie Unix-fähig.
4. Setzen Sie die Primäre GID-Nummer auf die Gruppen-ID einer tatsächlichen Domänenbenutzergruppe.

Hinweis:

Diese Anweisungen gelten gleichermaßen für die Einrichtung von Domänenbenutzern zur Anmeldung über die Konsole, RDP, SSH oder jedes andere Remoting-Protokoll.

Quest auf dem Linux VDA konfigurieren

• VAS-Daemon konfigurieren

• Die automatische Verlängerung von Kerberos-Tickets muss aktiviert und getrennt werden. Die Authentifizierung (Offline-Anmeldung) muss deaktiviert werden:

    -  sudo /opt/quest/bin/vastool configure vas vasd auto-ticket-renew-interval 32400

    -  sudo /opt/quest/bin/vastool configure vas vas_auth allow-disconnected-auth false
<!--NeedCopy-->

• Dieser Befehl setzt das Verlängerungsintervall auf neun Stunden (32.400 Sekunden), was eine Stunde weniger ist als die standardmäßige Ticket-Lebensdauer von 10 Stunden. Setzen Sie diesen Parameter auf Systemen mit einer kürzeren Ticket-Lebensdauer auf einen niedrigeren Wert.

• PAM und NSS konfigurieren

• Um die Anmeldung von Domänenbenutzern über HDX und andere Dienste wie su, ssh und RDP zu ermöglichen, führen Sie die folgenden Befehle aus, um PAM und NSS manuell zu konfigurieren:

sudo /opt/quest/bin/vastool configure pam

sudo /opt/quest/bin/vastool configure nss
<!--NeedCopy-->

Windows-Domäne beitreten

Fügen Sie die Linux-Maschine der Active Directory-Domäne mit dem Quest-Befehl vastool hinzu:

sudo /opt/quest/bin/vastool -u user join domain-name
<!--NeedCopy-->

Der Benutzer ist ein beliebiger Domänenbenutzer, der über Berechtigungen zum Hinzufügen von Computern zur Active Directory-Domäne verfügt. Der Domänenname ist der DNS-Name der Domäne, zum Beispiel example.com.

Domänenmitgliedschaft überprüfen

Der Delivery Controller erfordert, dass alle VDA-Maschinen (Windows- und Linux-VDAs) ein Computerobjekt in Active Directory haben. Um zu überprüfen, ob eine mit Quest verbundene Linux-Maschine in der Domäne ist:

sudo /opt/quest/bin/vastool info domain
<!--NeedCopy-->

Wenn die Maschine einer Domäne beigetreten ist, gibt dieser Befehl den Domänennamen zurück. Wenn die Maschine keiner Domäne beigetreten ist, wird der folgende Fehler angezeigt:

ERROR: No domain could be found. ERROR: VAS_ERR_CONFIG: at ctx.c:414 in _ctx_init_default_realm default_realm not configured in vas.conf. Computer may not be joined to domain

Benutzerauthentifizierung überprüfen

Um zu überprüfen, ob Quest Domänenbenutzer über PAM authentifizieren kann, melden Sie sich mit einem Domänenbenutzerkonto am Linux-VDA an. Das Domänenbenutzerkonto wurde zuvor noch nicht verwendet.

ssh localhost -l domain\\username

id -u
<!--NeedCopy-->

Überprüfen Sie, ob eine entsprechende Kerberos-Anmeldeinformations-Cache-Datei für die von dem Befehl id -u zurückgegebene uid erstellt wurde:

ls /tmp/krb5cc_uid
<!--NeedCopy-->

Überprüfen Sie, ob die Tickets im Kerberos-Anmeldeinformations-Cache gültig und nicht abgelaufen sind:

/opt/quest/bin/vastool klist
<!--NeedCopy-->

Beenden Sie die Sitzung.

exit
<!--NeedCopy-->

Ein ähnlicher Test kann durchgeführt werden, indem Sie sich direkt an der Gnome- oder KDE-Konsole anmelden. Fahren Sie nach der Überprüfung des Domänenbeitritts mit Schritt 4: Installieren des Linux-VDA fort.

Centrify DirectControl

Windows-Domäne beitreten

Nach der Installation des Centrify DirectControl Agent fügen Sie die Linux-Maschine der Active Directory-Domäne mit dem Centrify-Befehl adjoin hinzu:

su –

adjoin -w -V -u user domain-name
<!--NeedCopy-->

Der Benutzer ist ein beliebiger Active Directory-Domänenbenutzer, der über Berechtigungen zum Hinzufügen von Computern zur Active Directory-Domäne verfügt. Der Domänenname ist der Name der Domäne, der die Linux-Maschine hinzugefügt werden soll.

Domänenmitgliedschaft überprüfen

Der Delivery Controller erfordert, dass alle VDA-Maschinen (Windows- und Linux-VDAs) ein Computerobjekt in Active Directory haben. Um zu überprüfen, ob eine mit Centrify verbundene Linux-Maschine in der Domäne ist:

-  su –

    -  adinfo
<!--NeedCopy-->

• Überprüfen Sie, ob der Wert Joined to domain gültig ist und der CentrifyDC-Modus connected zurückgibt. Wenn der Modus im Startzustand hängen bleibt, hat der Centrify-Client Probleme mit der Serververbindung oder Authentifizierung.

Umfassendere System- und Diagnoseinformationen sind verfügbar mit:

adinfo --sysinfo all

adinfo –diag
<!--NeedCopy-->

Testen Sie die Konnektivität zu den verschiedenen Active Directory- und Kerberos-Diensten.

-  adinfo --test
<!--NeedCopy-->

Fahren Sie nach der Überprüfung des Domänenbeitritts mit Schritt 4: Installieren des Linux-VDA fort.

Schritt 4: Installieren des Linux-VDA

Schritt 4a: Deinstallieren der alten Version

Wenn Sie eine frühere Version als die beiden vorherigen und eine LTSR-Version installiert haben, deinstallieren Sie diese, bevor Sie die neue Version installieren.

1. Beenden Sie die Linux-VDA-Dienste:

   sudo /sbin/service ctxvda stop
   
   sudo /sbin/service ctxhdx stop
   <!--NeedCopy-->
   

2. Deinstallieren Sie das Paket:

   sudo rpm -e XenDesktopVDA
   <!--NeedCopy-->
   

Wichtig:

Ein Upgrade von den beiden vorherigen Versionen wird unterstützt.

Hinweis:

Installationskomponenten befinden sich in /opt/Citrix/VDA/.

Um einen Befehl auszuführen, ist der vollständige Pfad erforderlich; alternativ können Sie /opt/Citrix/VDA/sbin und /opt/Citrix/VDA/bin zum Systempfad hinzufügen.

Schritt 4b: Herunterladen des Linux-VDA-Pakets

Gehen Sie zur Citrix-Website und laden Sie das entsprechende Linux-VDA-Paket basierend auf Ihrer Linux-Distribution herunter.

Schritt 4c: Installieren des Linux-VDA

Installieren Sie die Linux-VDA-Software mit Zypper:

Für SUSE 12:

sudo zypper install XenDesktopVDA-7.15.0.404-1.sle12_2.x86_64.rpm
<!--NeedCopy-->

Für SUSE 11:

sudo zypper install XenDesktopVDA-7.15.0.404-1.sle11_4.x86_64.rpm
<!--NeedCopy-->

Installieren Sie die Linux-VDA-Software mit dem RPM-Paketmanager. Bevor Sie dies tun, lösen Sie die folgenden Abhängigkeiten auf:

Für SUSE 12:

sudo rpm -i XenDesktopVDA-7.15.0.404-1.sle12_2.x86_64.rpm
<!--NeedCopy-->

Für SUSE 11:

sudo rpm -i XenDesktopVDA-7.15.0.404-1.sle11_4.x86_64.rpm
<!--NeedCopy-->

Schritt 4d: Aktualisieren des Linux-VDA (optional)

Sie können die Linux-VDA-Software von den Versionen 7.14 und 7.13 mit dem RPM-Paketmanager aktualisieren:

Für SUSE 12:

sudo rpm -U XenDesktopVDA-7.15.0.404-1.sle12_2.x86_64.rpm
<!--NeedCopy-->

Für SUSE 11:

sudo rpm -U XenDesktopVDA-7.15.0.404-1.sle11_4.x86_64.rpm
<!--NeedCopy-->

RPM-Abhängigkeitsliste für SUSE 12:

postgresql-server >= 9.3

postgresql-jdbc >= 9.2

java-1.7.0-openjdk >= 1.7.0

ImageMagick >= 6.8

dbus-1 >= 1.8.8

dbus-1-x11 >= 1.8.8

libXpm4 >= 3.5.11

libXrandr2 >= 1.4.2

libXtst6 >= 1.2.2

motif >= 2.3

pam >= 1.1.8

bash >= 4.2

findutils >= 4.5

gawk >= 4.1

sed >= 4.2

cups >= 1.6.0

cups-filters-foomatic-rip >= 1.0.0

openldap2 >= 2.4

cyrus-sasl >= 2.1

cyrus-sasl-gssapi >= 2.1

libxml2 >= 2.9

python-requests >= 2.8.1

rpmlib(PayloadFilesHavePrefix) <= 4.0-1

rpmlib(CompressedFileNames) <= 3.0.4-1

rpmlib(PayloadIsLzma) <= 4.4.6-1
<!--NeedCopy-->

RPM-Abhängigkeitsliste für SUSE 11:

postgresql-server >= 9.1.

postgresql-jdbc >= 9.1

java-1_7_0-openjdk >= 1.7.0.6

ImageMagick >= 6.4.3.6

ConsoleKit >= 0.2.10

dbus-1 >= 1.2.10

dbus-1-x11 >= 1.2.10

xorg-x11-libXpm >= 7.4

xorg-x11-libs >= 7.4

openmotif-libs >= 2.3.1

pam >= 1.1.5

libdrm >= 2.4.41

libpixman-1-0 >= 0.24.4

Mesa >= 9.0

openssl >= 0.9.8j

xorg-x11 >= 7.4

xorg-x11-fonts-core >= 7.4

xorg-x11-libXau >= 7.4

xorg-x11-libXdmcp >= 7.4

bash >= 3.2

findutils >= 4.4

gawk >= 3.1

sed >= 4.1

cups >= 1.3.7

foomatic-filters >= 3.0.0

openldap2 >= 2.4

cyrus-sasl >= 2.1

cyrus-sasl-gssapi >= 2.1

libxml2 >= 2.7

python-requests >= 2.0.1

rpmlib(PayloadFilesHavePrefix) <= 4.0-1

rpmlib(CompressedFileNames) <= 3.0.4-1

rpmlib(PayloadIsLzma) <= 4.4.6-1
<!--NeedCopy-->

Wichtig:

Starten Sie die Linux-VDA-Maschine nach dem Upgrade neu.

Schritt 5: Konfigurieren des Linux VDA

Nach der Installation des Pakets müssen Sie den Linux VDA konfigurieren, indem Sie das Skript ctxsetup.sh ausführen. Bevor Änderungen vorgenommen werden, überprüft das Skript die Umgebung und stellt sicher, dass alle Abhängigkeiten installiert sind. Bei Bedarf können Sie das Skript jederzeit erneut ausführen, um Einstellungen zu ändern.

Sie können das Skript manuell mit Eingabeaufforderungen oder automatisch mit vorkonfigurierten Antworten ausführen. Lesen Sie vor dem Fortfahren die Hilfe zum Skript:

sudo /opt/Citrix/VDA/sbin/ctxsetup.sh –help
<!--NeedCopy-->

Konfiguration mit Eingabeaufforderung

Führen Sie eine manuelle Konfiguration mit Fragen über Eingabeaufforderungen aus:

sudo /opt/Citrix/VDA/sbin/ctxsetup.sh
<!--NeedCopy-->

Automatisierte Konfiguration

Für eine automatisierte Installation geben Sie die vom Setup-Skript benötigten Optionen mit Umgebungsvariablen an. Wenn alle erforderlichen Variablen vorhanden sind, fordert das Skript keine Informationen an.

Unterstützte Umgebungsvariablen sind:

• CTX_XDL_SUPPORT_DDC_AS_CNAME = Y | N – Der Linux VDA unterstützt die Angabe eines Delivery Controller-Namens über einen DNS-CNAME-Eintrag. Standardmäßig auf N festgelegt.
• CTX_XDL_DDC_LIST = list-ddc-fqdns – Der Linux VDA erfordert eine durch Leerzeichen getrennte Liste von FQDNs (Fully Qualified Domain Names) der Delivery Controller, die für die Registrierung bei einem Delivery Controller verwendet werden sollen. Mindestens ein FQDN oder CNAME-Alias muss angegeben werden.
• CTX_XDL_VDA_PORT = port-number – Der Linux VDA kommuniziert mit Delivery Controllern über einen TCP/IP-Port, der standardmäßig Port 80 ist.
• CTX_XDL_REGISTER_SERVICE = Y | N – Die Linux Virtual Desktop-Dienste werden nach dem Maschinenstart gestartet. Der Wert ist standardmäßig auf Y festgelegt.
• CTX_XDL_ADD_FIREWALL_RULES = Y | N – Die Linux Virtual Desktop-Dienste erfordern, dass eingehende Netzwerkverbindungen über die Systemfirewall zugelassen werden. Sie können die erforderlichen Ports (standardmäßig Port 80 und 1494) in der Systemfirewall für den Linux Virtual Desktop automatisch öffnen. Standardmäßig auf Y festgelegt.
• CTX_XDL_AD_INTEGRATION = 1 | 2 | 3 | 4 – Der Linux VDA erfordert Kerberos-Konfigurationseinstellungen zur Authentifizierung bei den Delivery Controllern. Die Kerberos-Konfiguration wird vom installierten und konfigurierten Active Directory-Integrationstool auf dem System bestimmt. Geben Sie die zu verwendende unterstützte Active Directory-Integrationsmethode an:
  • 1 – Samba Winbind
  • 2 – Quest Authentication Service
  • 3 – Centrify DirectControl
  • 4 – SSSD
• CTX_XDL_HDX_3D_PRO= Y | N – Der Linux VDA unterstützt HDX 3D Pro, eine Reihe von GPU-Beschleunigungstechnologien, die zur Optimierung der Virtualisierung von grafikintensiven Anwendungen entwickelt wurden. Wenn HDX 3D Pro ausgewählt ist, wird der Virtual Delivery Agent für VDI-Desktops (Einzelsitzungsmodus) konfiguriert – (d. h. CTX_XDL_VDI_MODE=Y).
• CTX_XDL_VDI_MODE = Y | N – Ob die Maschine als dediziertes Desktop-Bereitstellungsmodell (VDI) oder als gehostetes Shared-Desktop-Bereitstellungsmodell konfiguriert werden soll. Für HDX 3D Pro-Umgebungen setzen Sie diese Variable auf Y. Diese Variable ist standardmäßig auf N festgelegt.
• CTX_XDL_SITE_NAME = dns-name – Der Linux VDA erkennt LDAP-Server über DNS. Um die DNS-Suchergebnisse auf einen lokalen Standort zu beschränken, geben Sie einen DNS-Standortnamen an. Diese Variable ist standardmäßig auf <none> festgelegt.
• CTX_XDL_LDAP_LIST = list-ldap-servers – Der Linux VDA fragt DNS ab, um LDAP-Server zu erkennen. Wenn DNS keine LDAP-Diensteinträge bereitstellen kann, können Sie eine durch Leerzeichen getrennte Liste von LDAP-FQDNs mit LDAP-Port angeben. Zum Beispiel ad1.mycompany.com:389. Diese Variable ist standardmäßig auf <none> festgelegt.
• CTX_XDL_SEARCH_BASE = search-base-set – Der Linux VDA fragt LDAP über eine Suchbasis ab, die auf das Stammverzeichnis der Active Directory-Domäne (z. B. DC=mycompany,DC=com) festgelegt ist. Um die Suchleistung zu verbessern, können Sie eine Suchbasis angeben (z. B. OU=VDI,DC=mycompany,DC=com). Diese Variable ist standardmäßig auf <none> festgelegt.
• CTX_XDL_START_SERVICE = Y | N – Ob die Linux VDA-Dienste gestartet werden, wenn die Linux VDA-Konfiguration abgeschlossen ist. Standardmäßig auf Y festgelegt.

Legen Sie die Umgebungsvariable fest und führen Sie das Konfigurationsskript aus:

export CTX_XDL_SUPPORT_DDC_AS_CNAME=Y|N

export CTX_XDL_DDC_LIST=list-ddc-fqdns

export CTX_XDL_VDA_PORT=port-number

export CTX_XDL_REGISTER_SERVICE=Y|N

export CTX_XDL_ADD_FIREWALL_RULES=Y|N

export CTX_XDL_AD_INTEGRATION=1|2|3|4

export CTX_XDL_HDX_3D_PRO=Y|N

export CTX_XDL_VDI_MODE=Y|N

export CTX_XDL_SITE_NAME=dns-name

export CTX_XDL_LDAP_LIST=list-ldap-servers

export CTX_XDL_SEARCH_BASE=search-base-set

export CTX_XDL_START_SERVICE=Y|N

sudo -E /opt/Citrix/VDA/sbin/ctxsetup.sh
<!--NeedCopy-->

Wenn Sie den Befehl sudo ausführen, geben Sie die Option -E an, um die vorhandenen Umgebungsvariablen an die neue Shell zu übergeben, die sie erstellt. Citrix empfiehlt, eine Shell-Skriptdatei aus den vorhergehenden Befehlen mit #!/bin/bash als erster Zeile zu erstellen.

Alternativ können Sie alle Parameter mit einem einzigen Befehl angeben:

sudo CTX_XDL_SUPPORT_DDC_AS_CNAME=Y|N \

CTX_XDL_DDC_LIST=list-ddc-fqdns \

CTX_XDL_VDA_PORT=port-number \

CTX_XDL_REGISTER_SERVICE=Y|N \

CTX_XDL_ADD_FIREWALL_RULES=Y|N \

CTX_XDL_AD_INTEGRATION=1|2|3|4 \

CTX_XDL_HDX_3D_PRO=Y|N \

CTX_XDL_VDI_MODE=Y|N \

CTX_XDL_SITE_NAME=dns-name \

CTX_XDL_LDAP_LIST=list-ldap-servers \

CTX_XDL_SEARCH_BASE=search-base-set \

CTX_XDL_START_SERVICE=Y|N \

/opt/Citrix/VDA/sbin/ctxsetup.sh
<!--NeedCopy-->

Konfigurationsänderungen entfernen

In einigen Szenarien müssen Sie möglicherweise die durch das Skript ctxsetup.sh vorgenommenen Konfigurationsänderungen entfernen, ohne das Linux VDA-Paket zu deinstallieren.

Lesen Sie vor dem Fortfahren die Hilfe zu diesem Skript:

sudo /usr/local/sbin/ctxcleanup.sh --help
<!--NeedCopy-->

So entfernen Sie Konfigurationsänderungen:

sudo /usr/local/sbin/ctxcleanup.sh
<!--NeedCopy-->

Wichtig:

Dieses Skript löscht alle Konfigurationsdaten aus der Datenbank und macht den Linux VDA unbrauchbar.

Konfigurationsprotokolle

Die Skripte ctxsetup.sh und ctxcleanup.sh zeigen Fehler auf der Konsole an, wobei zusätzliche Informationen in eine Konfigurationsprotokolldatei geschrieben werden:

/tmp/xdl.configure.log

Starten Sie die Linux VDA-Dienste neu, damit die Änderungen wirksam werden.

Schritt 6: Ausführen des Linux VDA

Nachdem Sie den Linux VDA mit dem Skript ctxsetup.sh konfiguriert haben, können Sie die folgenden Befehle ausführen, um den Linux VDA zu steuern.

Linux VDA starten:

So starten Sie die Linux VDA-Dienste:

sudo /sbin/service ctxhdx start

sudo /sbin/service ctxvda start
<!--NeedCopy-->

Linux VDA beenden:

So beenden Sie die Linux VDA-Dienste:

sudo /sbin/service ctxvda stop

sudo /sbin/service ctxhdx stop
<!--NeedCopy-->

Linux VDA neu starten:

So starten Sie die Linux VDA-Dienste neu:

sudo /sbin/service ctxvda stop

sudo /sbin/service ctxhdx restart

sudo /sbin/service ctxvda start
<!--NeedCopy-->

Status des Linux VDA überprüfen:

So überprüfen Sie den Ausführungsstatus der Linux VDA-Dienste:

sudo /sbin/service ctxvda status

sudo /sbin/service ctxhdx status
<!--NeedCopy-->

Schritt 7: Erstellen des Maschinenkatalogs in XenApp oder XenDesktop®

Der Prozess zum Erstellen von Maschinenkatalogen und Hinzufügen von Linux VDA-Maschinen ähnelt dem traditionellen Windows VDA-Ansatz. Eine detailliertere Beschreibung der Durchführung dieser Aufgaben finden Sie unter Maschinenkataloge erstellen und Maschinenkataloge verwalten.

Für die Erstellung von Maschinenkatalogen, die Linux VDA-Maschinen enthalten, gibt es einige Einschränkungen, die den Prozess von der Erstellung von Maschinenkatalogen für Windows VDA-Maschinen unterscheiden:

• Wählen Sie für das Betriebssystem:
  • Die Option Server OS für ein gehostetes Shared-Desktop-Bereitstellungsmodell.
  • Die Option Desktop OS für ein dediziertes VDI-Desktop-Bereitstellungsmodell.
• Stellen Sie sicher, dass die Maschinen nicht energieverwaltet sind.
• Da MCS für Linux VDAs nicht unterstützt wird, wählen Sie PVS oder die Bereitstellungsmethode Another service or technology (vorhandene Images).
• Mischen Sie keine Linux- und Windows VDA-Maschinen im selben Maschinenkatalog.

Hinweis:

Frühere Versionen von Citrix Studio unterstützten den Begriff “Linux OS” nicht. Die Auswahl der Option Windows Server OS oder Server OS impliziert jedoch ein äquivalentes gehostetes Shared-Desktop-Bereitstellungsmodell. Die Auswahl der Option Windows Desktop OS oder Desktop OS impliziert ein Bereitstellungsmodell mit einem Benutzer pro Maschine.

Tipp:

Wenn Sie eine Maschine aus der Active Directory-Domäne entfernen und wieder hinzufügen, müssen Sie die Maschine erneut aus dem Maschinenkatalog entfernen und hinzufügen.

Schritt 8: Erstellen der Bereitstellungsgruppe in XenApp® oder XenDesktop

Der Prozess zum Erstellen einer Bereitstellungsgruppe und zum Hinzufügen von Maschinenkatalogen, die Linux VDA-Maschinen enthalten, ist nahezu identisch mit dem für Windows VDA-Maschinen. Eine detailliertere Beschreibung der Durchführung dieser Aufgaben finden Sie unter Bereitstellungsgruppen erstellen.

Für die Erstellung von Bereitstellungsgruppen, die Linux VDA-Maschinenkataloge enthalten, gelten die folgenden Einschränkungen:

• Wählen Sie für den Bereitstellungstyp Desktops oder Applications.

• Stellen Sie sicher, dass die von Ihnen ausgewählten AD-Benutzer und -Gruppen ordnungsgemäß für die Anmeldung an den Linux VDA-Maschinen konfiguriert wurden.
• Erlauben Sie keine Anmeldung von nicht authentifizierten (anonymen) Benutzern.
• Mischen Sie die Bereitstellungsgruppe nicht mit Maschinenkatalogen, die Windows-Maschinen enthalten.

Wichtig:

Die Veröffentlichung von Anwendungen wird ab Linux VDA Version 1.4 unterstützt. Der Linux VDA unterstützt jedoch nicht die Bereitstellung von Desktops und Apps auf derselben Maschine.