Product Documentation

Observer des sessions

Jun 04, 2018

La fonctionnalité d’observation de session permet aux administrateurs de domaine d'afficher les sessions ICA d’utilisateurs dans un intranet. La fonctionnalité utilise noVNC pour se connecter aux sessions ICA et est prise en charge uniquement avec RHEL 7.x et Ubuntu 16.04.

Remarque

Pour utiliser la fonctionnalité d'observation de session, la version de Citrix Director doit être 7.16 ou ultérieure.

Installation et configuration

Dépendances

Deux nouvelles dépendances, python-websockify et x11vnc, sont requises pour l'observation de session. Les dépendances python-websockify et x11vnc sont automatiquement installées lorsque vous installez le VDA Linux sur Ubuntu 16.04. Sur RHEL 7.x, vous devez installer manuellement python-websockify et x11vnc après avoir installé le VDA Linux.

Exécutez la commande suivante sur RHEL 7.x pour installer python-websockify et x11vnc (x11vnc version 0.9.13 ou version ultérieure).

Commande Copier

sudo yum install -y python-websockify x11vnc

Pour résoudre python-websockify et x11vnc, activez les référentiels suivants sur RHEL 7.x :

  • EPEL

Le référentiel EPEL (Extra Packages for Enterprise Linux) est requis pour python-websockify et x11vnc. Pour activer le référentiel EPEL, exécutez la commande suivante :

Commande Copier

sudo yum install https://dl.fedoraproject.org/pub/epel/epel-release-latest-$(rpm -E '%{rhel}').noarch.rpm

  • RPM facultatifs

Exécutez l'une des commandes suivantes pour activer le référentiel de RPM facultatifs pour l'installation de certains packages de dépendances de x11vnc :

Pour une station de travail :

Commande Copier

subscription-manager repos --enable=rhel-7-workstation-optional-rpms

Pour un serveur :

Commande Copier

subscription-manager repos --enable=rhel-7-server-optional-rpms

Port

La fonctionnalité d'observation de session sélectionne automatiquement les ports disponibles entre 6001 et 6099 pour établir des connexions entre le VDA Linux et Citrix Director. Par conséquent, le nombre de sessions ICA que vous pouvez observer simultanément est limité à 99. Assurez-vous que suffisamment de ports sont disponibles pour répondre à vos besoins, en particulier pour l'observation multi-sessions.

Registre

Le tableau suivant répertorie les registres associés :

Registre

Description

Valeur par défaut

EnableSessionShadowing

Active ou désactive l'observation de session

1 (activé)

ShadowingUseSSL

Détermine si vous souhaitez crypter la connexion entre le VDA Linux et Citrix Director

0 (désactivé)

Exécutez la commande ctxreg sur le VDA Linux pour modifier les valeurs de Registre. Par exemple, pour désactiver l’observation de session, exécutez la commande suivante :

Commande Copier

/opt/Citrix/VDA/bin/ctxreg update -k "HKLM\Software\Citrix\VirtualDesktopAgent" -v "EnableSessionShadowing" -d 0x00000000

SSL

La connexion noVNC entre le VDA Linux et Citrix Director utilise le protocole WebSocket. Pour l'observation de session, le choix entre ws:// et wss:// est déterminé par le registre « ShadowingUseSSL » mentionné précédemment. Par défaut, ws:// est choisi. Toutefois, pour des raisons de sécurité, Citrix vous recommande d'utiliser wss:// et d'installer des certificats sur chaque client Citrix Director et sur chaque serveur VDA Linux. Citrix décline toute responsabilité en matière de sécurité en ce qui concerne l'observation de session de VDA Linux avec l'utilisation de ws://.

Obtenir des certificats SSL serveur et racine

Les certificats doivent être signés par une autorité de certification (AC). 

Un certificat de serveur distinct (y compris la clé) est requis pour chaque serveur VDA Linux sur lequel vous souhaitez configurer SSL. Un certificat de serveur identifie une machine. Vous devez donc connaître le nom de domaine complet (FQDN) de chaque serveur. Pour des raisons pratiques, vous pouvez utiliser un certificat générique pour la totalité du domaine. Dans ce cas, vous devez connaître au moins le nom de domaine. 

Outre l'installation d'un certificat de serveur sur chaque serveur, vous devez installer un certificat racine de la même autorité de certification (CA) sur chaque client Citrix Director qui communique avec le serveur VDA Linux. Les autorités de certification émettant des certificats de serveur émettent aussi les certificats racines. Vous pouvez installer les certificats de serveurs et racines à partir d'une autorité de certification (CA) intégrés à votre système d'exploitation, d'une CA d'entreprise (soit une CA à laquelle votre organisation vous donne accès) ou d'une CA non intégrée à votre système d'exploitation. Consultez l'équipe des experts en sécurité de votre organisation afin de trouver parmi les méthodes celle requise pour l'obtention des certificats. 

Important : 

  • Le nom commun d'un certificat de serveur doit être le nom de domaine complet exact du serveur VDA Linux ou, au moins, les caractères générique + domaine corrects. Par exemple, vda1.basedomain.com ou * .basedomain.com.
  • Les algorithmes de hachage, y compris SHA1 et MD5, sont trop faibles pour les signatures dans les certificats numériques pour certains navigateurs. SHA-256 est donc spécifié comme standard minimum.

Installer un certificat racine sur chaque client Citrix Director

L'observation de session utilise le même magasin de certificats qu'IIS (reposant sur le registre). Par conséquent, vous pouvez installer les certificats à l'aide d'IIS ou du composant logiciel enfichable MMC (Microsoft Management Console). Après avoir reçu un certificat d'une autorité de certification, vous pouvez redémarrer l'assistant Certificat de serveur Web d'IIS. L'assistant installe alors le certificat. Vous pouvez également afficher et importer des certificats sur l'ordinateur en utilisant la console MMC et ajouter le certificat en tant que composant logiciel enfichable autonome. Internet Explorer et Google Chrome importent les certificats installés sur votre système d'exploitation par défaut. Pour Mozilla Firefox, vous devez importer vos certificats SSL racine dans l'onglet Autorités du Gestionnaire de certificats.

Installer un certificat de serveur et sa clé sur chaque serveur VDA Linux

Appelez les certificats de serveur « shadowingcert.* » et le fichier de clé « shadowingkey.* » (* peut indiquer le format, par exemple, shadowingcert.csr et shadowingkey.key). Placez les certificats de serveur et les fichiers de clés sous le chemin d’accès /etc/xdl/shadowingssl et protégez-les correctement avec des autorisations restreintes. Si le nom ou le chemin est incorrect, le VDA Linux est incapable de trouver un certificat ou un fichier de clé spécifique et, par conséquent, cela entraîne une défaillance de la connexion avec Citrix Director.

Utilisation

Dans Citrix Director, recherchez la session cible et cliquez sur Observer dans la vue Détails de la session pour envoyer une demande d'observation au VDA Linux.

localized image

Une fois que la connexion s’initialise, une confirmation s’affiche sur le client de session ICA (pas le client Citrix Director) pour demander l’autorisation d’observer la session.

localized image

Si l’utilisateur clique sur Oui, une fenêtre s’affiche sur le côté Citrix Director, indiquant que la session ICA est en cours d'observation.

Pour de plus amples informations sur l'utilisation, veuillez consulter la documentation de Citrix Director.

Limitations

  • L'observation de session est conçue pour une utilisation dans un intranet uniquement. Elle ne fonctionne pas pour les réseaux externes même en se connectant via NetScaler. Citrix décline toute responsabilité en ce qui concerne l'observation de session de VDA Linux dans un réseau externe. 
  • Lorsque l'observation de session est activée, un administrateur de domaine peut uniquement afficher les sessions ICA, et n'a pas l'autorisation d'écrire dessus ou de le contrôler. 
  • Une fois qu'un administrateur a cliqué sur Observer depuis Citrix Director, une confirmation s’affiche pour demander l’autorisation à l'utilisateur d’observer la session. Une session peut être observée uniquement lorsque l'utilisateur de la session en donne l'autorisation. 
  • La confirmation mentionnée précédemment a un délai d’expiration, qui est de 20 secondes. Une demande d'observation échoue lorsque ce délai est écoulé. 
  • Une session ICA peut être observée par un seul administrateur dans une seule fenêtre Citrix Director. Si une session ICA a été observée par l'administrateur A et pendant ce temps, l'administrateur B envoie une demande d'observation, la confirmation d'obtention de l'autorisation de l'utilisateur réapparaît sur la machine utilisateur. Si l'utilisateur accepte, la connexion d'observation pour l'administrateur A s'arrête et une nouvelle connexion d'observation est créée pour l'administrateur B. Il en est de même si une autre demande d'observation pour la même session ICA est envoyée par le même administrateur. 
  • Pour utiliser l’observation de session, installez Citrix Director 7.16 ou version ultérieure.
  • Un client Citrix Director utilise un nom de domaine complet plutôt qu'une adresse IP pour se connecter au serveur VDA Linux cible. Par conséquent, le client Citrix Director doit pouvoir résoudre le nom de domaine complet du serveur VDA Linux.

Résolution des problèmes

Si l'observation de session échoue, effectuez le débogage à la fois sur le client Citrix Director et sur le VDA Linux.

Sur le client Citrix Director

À l'aide des outils de développement du navigateur, vérifiez les journaux de sortie dans l'onglet Console. Ou vérifiez la réponse de l'API ShadowLinuxSession dans l'onglet Réseau. Si la confirmation de l'obtention de l'autorisation de l'utilisateur s'affiche mais que la connexion ne parvient pas à être établie, envoyez une commande ping au nom de domaine complet du VDA Linux pour vérifier que Citrix Director peut résoudre le nom de domaine complet. En cas de problème avec la connexion wss://, vérifiez vos certificats.

Sur le VDA Linux

Vérifiez que la confirmation d’obtention de l’autorisation de l’utilisateur s’affiche en réponse à une requête d’observation. Si ce n'est pas le cas, vérifiez les fichiers vda.log et hdx.log à la recherche d'indices. Pour obtenir le fichier vda.log, procédez comme suit :

  1. Recherchez le fichier /etc/xdl/ctx-vda.conf. Supprimez les marques de commentaire de la ligne suivante pour activer la configuration de vda.log :
Commande Copier

Log4jConfig=”/etc/xdl/log4j.xml”

2. Ouvrez /etc/xdl/log4j.xml, localisez la partie com.citrix.dmc et remplacez « info » par « trace » comme suit :

Commande Copier

 <!-- Broker Agent Plugin - Director VDA plugin Logger -->

  <logger name="com.citrix.dmc">

    <level value="trace"/>

  </logger>

3. Exécutez la commande service ctxvda restart pour redémarrer le service ctxvda.

En cas d'erreur lors de l'établissement de la connexion, procédez comme suit :

  1. Recherchez toute limitation de pare-feu qui empêche l'observation de session d'ouvrir le port.
  2. Vérifiez que les certificats et les fichiers de clés sont correctement nommés et placés sous le bon chemin pour un scénario SSL.
  3. Vérifiez qu'il reste suffisamment de ports entre 6001 et 6099 pour les nouvelles demandes d'observation.