Linux Virtual Delivery Agent

Remedo de sesiones

El remedo de sesiones permite a los administradores de dominio ver las sesiones ICA de los usuarios en una red de intranet. La función utiliza noVNC para conectarse a las sesiones ICA.

Nota:

Para usar la función, utilice Citrix Director versión 7.16 o posterior.

Instalación y configuración

Dependencias

Se requieren dos dependencias nuevas, python-websockify y x11vnc, para el remedo de sesiones. Instale python-websockify y x11vnc de forma manual después de instalar Linux VDA.

Para RHEL 7.x y Amazon Linux 2:

Ejecute este comando para instalar python-websockify y x11vnc (la versión 0.9.13 de x11vnc o una posterior):

sudo pip3 install websockify
sudo yum install x11vnc
<!--NeedCopy-->

Para resolver python-websockify y x11vnc, habilite los repositorios Extra Packages for Enterprise Linux (EPEL) y RPM opcionales en RHEL 7.x:

  • EPEL

    El repositorio EPEL es necesario para x11vnc. Ejecute este comando para habilitar el repositorio de EPEL:

     yum install https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
     <!--NeedCopy-->
    
  • RPM opcionales

    Ejecute este comando para habilitar el repositorio opcional de RPMs para instalar algunos paquetes de dependencias de x11vnc:

     subscription-manager repos --enable rhel-7-server-optional-rpms --enable rhel-7-server-extras-rpms
     <!--NeedCopy-->
    

Para RHEL 8.x:

Ejecute este comando para instalar python-websockify y x11vnc (la versión 0.9.13 de x11vnc o una posterior).

sudo pip3 install websockify
sudo yum install x11vnc
<!--NeedCopy-->

Para resolver x11vnc, habilite los repositorios EPEL y CodeReady Linux Builder:

dnf install -y --nogpgcheck https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm

subscription-manager repos --enable "codeready-builder  -for-rhel-8-x86_64-rpms"
<!--NeedCopy-->

Para Ubuntu:

Ejecute este comando para instalar python-websockify y x11vnc (la versión 0.9.13 de x11vnc o una posterior):

sudo pip3 install websockify
sudo apt-get install x11vnc
<!--NeedCopy-->

Para SUSE:

Ejecute este comando para instalar python-websockify y x11vnc (la versión 0.9.13 de x11vnc o una posterior):

sudo pip3 install websockify
sudo zipper install x11vnc
<!--NeedCopy-->

Para Debian:

Ejecute este comando para instalar python-websockify y x11vnc (la versión 0.9.13 de x11vnc o una posterior):

sudo pip3 install websockify
sudo apt-get install x11vnc
<!--NeedCopy-->

Port

La función de remedo de sesiones selecciona automáticamente los puertos disponibles desde el puerto 6001 al puerto 6099 para crear las conexiones de Linux VDA con Citrix Director. Por lo tanto, la cantidad de sesiones ICA que puede remedar simultáneamente se limita a 99. Compruebe que haya puertos disponibles suficientes para ajustarse a sus necesidades, sobre todo para el remedo de varias sesiones.

Registro

Esta tabla contiene los registros relacionados:

Registro Descripción Valor predeterminado
EnableSessionShadowing Habilita o inhabilita la función de remedo de sesiones 1 (Habilitada)
ShadowingUseSSL Determina si cifrar la conexión entre Linux VDA y Citrix Director. 0 (Inhabilitada)

Ejecute el comando ctxreg en Linux VDA para cambiar los valores de Registro. Por ejemplo, para inhabilitar el remedo de sesiones, ejecute el siguiente comando:

/opt/Citrix/VDA/bin/ctxreg update -k "HKLM\Software\Citrix\VirtualDesktopAgent" -v "EnableSessionShadowing" -d 0x00000000

SSL

La conexión noVNC entre Linux VDA y Citrix Director usa el protocolo WebSocket. Para el remedo de sesiones, el registro “ShadowingUseSSL” mencionado anteriormente determina si se selecciona ws:// o wss://. De forma predeterminada, se elige ws://. Sin embargo, por razones de seguridad, se recomienda usar wss:// e instalar certificados en cada cliente de Citrix Director y en cada servidor Linux VDA. Citrix renuncia a toda responsabilidad de seguridad sobre el remedo de sesiones de Linux VDA mediante ws://.

Obtener certificados SSL raíz y de servidor

Los certificados deben estar firmados por una entidad de confianza llamada Entidad de certificación (CA).

Se necesita un certificado de servidor (clave incluida) por cada servidor Linux VDA donde quiera configurar SSL. Un certificado de servidor identifica a un equipo concreto, de modo que necesita el nombre de dominio completo (FQDN) de cada servidor. En su lugar, puede usar un certificado comodín para todo el dominio. En ese caso, debe conocer al menos el nombre de dominio.

También se requiere un certificado raíz para cada cliente de Citrix Director que se comunique con Linux VDA. Los certificados de raíz están disponibles en las mismas CA que emiten los certificados de servidor.

Puede instalar certificados de servidor y cliente de las siguientes entidades de certificación:

  • Una entidad de certificación incluida en el sistema operativo
  • Una entidad de certificación empresarial (una entidad que su organización pone a su disposición)
  • Una entidad de certificación no incluida en el sistema operativo

Consulte con el equipo de seguridad de su organización para saber qué método es necesario para obtener certificados.

Importante:

  • El nombre común de un certificado de servidor debe contener el FQDN exacto de Linux VDA o, al menos, el comodín y los caracteres de dominio correctos. Por ejemplo, vda1.dominiobase.com o *.dominiobase.com.
  • Algunos exploradores Web no admiten los algoritmos hash, incluidos SHA1 y MD5, porque estos ofrecen demasiado poca seguridad para las firmas en los certificados digitales. Por lo tanto, se especifica SHA-256 como el estándar mínimo.

Instalar un certificado raíz en cada cliente de Citrix Director

El remedo se sesiones usa el mismo almacén de certificados (basado en el registro del sistema) que IIS, de modo que se puede instalar certificados con IIS o el complemento de certificados de Microsoft Management Console (MMC). Cuando reciba un certificado de la entidad de certificación, puede reiniciar el asistente para certificados de servidor web en IIS y será el asistente quien instalará el certificado. Como alternativa, puede ver e importar certificados en el equipo. Para ello, abra MMC y agregue el certificado como un complemento independiente a dicha consola. Internet Explorer y Google Chrome importan los certificados instalados en su sistema operativo de forma predeterminada. Para Mozilla Firefox, debe importar los certificados SSL raíz en la ficha Autoridades del Administrador de certificados.

Instalar un certificado de servidor y su clave en cada servidor Linux VDA

Denomine los certificados de servidor “shadowingcert.*” y el archivo de clave “shadowingkey.*” (* indica el formato, como shadowingcert.pem o shadowingkey.key). Coloque los certificados de servidor y los archivos de clave en la ruta /etc/xdl/shadowingssl y protéjalos con permisos restringidos. Un nombre o una ruta incorrectos impide a Linux VDA encontrar un certificado o archivo de clave concreto, lo que causa un error de conexión con Citrix Director.

Uso

Desde Citrix Director, busque la sesión de destino y haga clic en Remedar en la vista Detalles de la sesión para enviar una solicitud de remedo a Linux VDA.

La ficha Remedar

Una vez inicializada la conexión, aparece una confirmación en el cliente de la sesión ICA (no en el cliente de Citrix Director) con el fin de solicitar permiso al usuario para remedar la sesión.

Si permitir a un administrador remedar esta sesión

Si el usuario hace clic en , aparecerá una ventana en la parte de Citrix Director que indicará que se está aplicando el remedo a la sesión ICA.

Para obtener más información de uso, consulte la documentación de Citrix Director.

Limitaciones

  • El remedo de sesiones está pensado para usarlo únicamente en la intranet. No funciona para redes externas, ni siquiera en conexiones a través de Citrix Gateway. Citrix renuncia a cualquier responsabilidad sobre el remedo de sesiones de Linux VDA en una red externa.
  • Con el remedo de sesiones habilitado, un administrador de dominio solo puede ver las sesiones ICA (no tiene permiso de escritura en ellas ni las controla).
  • Después de que un administrador haga clic en Remedar en Citrix Director, aparecerá una confirmación donde se pide permiso al usuario para remedar la sesión. Una sesión solo puede remedarse cuando el usuario de la sesión lo permita.
  • La confirmación mencionada tiene 20 segundos de tiempo de espera. Por tanto, una solicitud de remedo falla cuando se agota este tiempo.
  • Solo un administrador puede remedar sesiones. Por ejemplo, si el administrador B envía una solicitud de remedo para una sesión que remeda el administrador A, la confirmación para obtener el permiso del usuario aparece de nuevo en el dispositivo del usuario. Si el usuario la acepta, la conexión de remedo del administrador A se detiene y se crea otra conexión de remedo para el administrador B. Si un administrador envía otra solicitud de remedo para la misma sesión, también se puede crear otra conexión de remedo.
  • Para usar el remedo de sesiones, instale Citrix Director 7.16 o una versión posterior.
  • Un cliente de Citrix Director utiliza un FQDN, en lugar de una dirección IP, para conectarse al servidor de Linux VDA de destino. Por lo tanto, el cliente de Citrix Director debe poder resolver el FQDN del servidor de Linux VDA.

Solución de problemas

Si se produce un error en el remedo de sesiones, realice la depuración de errores tanto en el cliente de Citrix Director como en Linux VDA.

En el cliente de Citrix Director

Con las herramientas de desarrollador que ofrece el explorador Web, consulte los registros de salida en la ficha Consola. O bien, consulte la respuesta de la API ShadowLinuxSession en la ficha Red. Si aparece la confirmación para obtener el permiso del usuario, pero falla la creación de la conexión, haga ping al FQDN del VDA manualmente para comprobar que Citrix Director puede resolver el FQDN. Si hay problemas con la conexión wss://, compruebe que los certificados están en orden.

En Linux VDA

Compruebe que la confirmación para obtener el permiso del usuario aparece en respuesta a una solicitud de remedo. Si no aparece, consulte los archivos vda.log y hdx.log para averiguar el porqué. Para obtener el archivo vda.log, lleve a cabo lo siguiente:

  1. Busque el archivo /etc/xdl/ctx-vda.conf. Quite los comentarios de la siguiente línea para habilitar la configuración vda.log:

    Log4jConfig=”/etc/xdl/log4j.xml”

  2. Abra /etc/xdl/log4j.xml, busque la parte com.citrix.dmc, y cambie “info” por “trace”, tal como se muestra a continuación:

     <!-- Broker Agent Plugin - Director VDA plugin Logger -->
    
      <logger name="com.citrix.dmc">
    
        <level value="trace"/>
    
      </logger>
    <!--NeedCopy-->
    
  3. Ejecute el comando service ctxvda restart para reiniciar el servicio ctxvda.

En caso de error durante la creación de la conexión:

  1. Compruebe si hay alguna limitación de firewall que impida que el remedo de sesiones abra el puerto.
  2. En el caso de utilizar SSL, compruebe que los certificados y los archivos de clave tengan los nombres correctos y que se encuentran en la ruta adecuada.
  3. Compruebe que haya suficientes puertos entre 6001 y 6099 para las nuevas solicitudes de remedo de sesiones.
Remedo de sesiones