製品ドキュメント
Linux Virtual Delivery Agent
Current Release 2402 LTSR 2311 2308 2305 2303 2301 2212 2210 2209 2207 2206 2204 2203 LTSR 1912 LTSR 7.15 LTSR
PDFを表示

セッションシャドウイング

April 13, 2026
寄稿者: 
C C

セッションシャドウイングにより、ドメイン管理者はイントラネット内でユーザーのICA®セッションを表示できます。この機能は、noVNCを使用してICAセッションに接続します。

注:

この機能を使用するには、Citrix Director 7.16以降を使用してください。

インストールと構成

依存関係

セッションシャドウイングには、python-websockifyx11vncの2つの新しい依存関係が必要です。Linux VDAのインストール後に、python-websockifyx11vncを手動でインストールしてください。

RHEL 7.xおよびAmazon Linux2の場合:

python-websockifyx11vncx11vncバージョン0.9.13以降)をインストールするには、次のコマンドを実行します。

sudo pip3 install websockify
-  sudo yum install x11vnc
<!--NeedCopy-->

(RHEL 7.xの場合) Extra Packages for Enterprise Linux (EPEL) およびオプションのRPMリポジトリを有効にすることで、python-websockifyx11vncを解決します。

  • EPEL

    EPELリポジトリはx11vncに必要です。EPELリポジトリを有効にするには、次のコマンドを実行します。

     yum install https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
 <!--NeedCopy-->

  • オプションのRPM

    x11vncの一部の依存パッケージをインストールするためのオプションのRPMsリポジトリを有効にするには、次のコマンドを実行します。

     subscription-manager repos --enable rhel-7-server-optional-rpms --enable rhel-7-server-extras-rpms
 <!--NeedCopy-->

RHEL 9.1/9.0/8.xおよびRocky Linux 9.1/9.0/8.xの場合:

python-websockifyx11vncx11vncバージョン0.9.13以降)をインストールするには、次のコマンドを実行します。

sudo pip3 install websockify
sudo yum install x11vnc
<!--NeedCopy-->

EPELおよびCodeReady Linux Builderリポジトリを有効にすることで、x11vncを解決します。

dnf install -y --nogpgcheck https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm

subscription-manager repos --enable "codeready-builder  -for-rhel-8-x86_64-rpms"
<!--NeedCopy-->

Ubuntuの場合:

python-websockifyx11vncx11vncバージョン0.9.13以降)をインストールするには、次のコマンドを実行します。

sudo pip3 install websockify
sudo apt-get install x11vnc
<!--NeedCopy-->

SUSEの場合:

python-websockifyx11vncx11vncバージョン0.9.13以降)をインストールするには、次のコマンドを実行します。

sudo pip3 install websockify
sudo zypper install x11vnc
<!--NeedCopy-->

Debianの場合:

  • python-websockifyx11vncx11vncバージョン0.9.13以降)をインストールするには、次のコマンドを実行します。
sudo pip3 install websockify
-  sudo apt-get install x11vnc
<!--NeedCopy-->

ポート

セッションシャドウイング機能は、Linux VDAからCitrix Directorへの接続を確立するために、6001~6099の範囲内で利用可能なポートを自動的に選択します。したがって、同時にシャドウイングできるICAセッションの数は99に制限されます。特にマルチセッションシャドウイングの場合、要件を満たすのに十分なポートが利用可能であることを確認してください。

レジストリ

次の表に関連するレジストリを示します。

レジストリ 説明 デフォルト値
EnableSessionShadowing セッションシャドウイング機能を有効または無効にします 1 (有効)
ShadowingUseSSL Linux VDAとCitrix Director間の接続を暗号化するかどうかを決定します 0 (無効)
  • レジストリ値を変更するには、Linux VDAでctxregコマンドを実行します。たとえば、セッションシャドウイングを無効にするには、次のコマンドを実行します。
-  /opt/Citrix/VDA/bin/ctxreg update -k "HKLM\Software\Citrix\VirtualDesktopAgent" -v "EnableSessionShadowing" -d "0x00000000"
<!--NeedCopy-->

SSL

Linux VDAとCitrix Director間のnoVNC接続は、WebSocketプロトコルを使用します。セッションシャドウイングでは、ws://またはwss://のどちらが選択されるかは、前述の「ShadowingUseSSL」レジストリによって異なります。デフォルトでは、ws://が選択されます。ただし、セキュリティ上の理由から、wss://を使用し、各Citrix Directorクライアントおよび各Linux VDAサーバーに証明書をインストールすることをお勧めします。Citrixは、ws://を使用したLinux VDAセッションシャドウイングに関するいかなるセキュリティ上の責任も負いません。

SSLを有効にするには、次のコマンドを実行します。

/opt/Citrix/VDA/bin/ctxreg update -k "HKLM\Software\Citrix\VirtualDesktopAgent" -v "ShadowingUseSSL" -d "0x00000001"
<!--NeedCopy-->

サーバーおよびルートSSL証明書の取得

証明書は、信頼された認証局 (CA) によって署名されている必要があります。

SSLを構成する各Linux VDAサーバーには、個別のサーバー証明書 (キーを含む) が必要です。サーバー証明書は特定のコンピューターを識別するため、各サーバーの完全修飾ドメイン名 (FQDN) を知っている必要があります。便宜上、ドメイン全体にワイルドカード証明書を使用することを検討してください。

Linux VDAと通信する各Citrix Directorクライアントにもルート証明書が必要です。ルート証明書は、サーバー証明書を発行するのと同じCAから入手できます。

以下のCAからサーバーおよびクライアント証明書をインストールできます。

  • オペレーティングシステムにバンドルされているCA
  • エンタープライズCA (組織がアクセスを許可しているCA)
  • オペレーティングシステムにバンドルされていないCA

証明書を取得するために組織がどの方法を要求しているかについては、組織のセキュリティチームに相談してください。

重要:

  • サーバー証明書の共通名 (Common Name) は、Linux VDAの正確なFQDNであるか、少なくとも正しいワイルドカードとドメイン文字である必要があります。たとえば、vda1.basedomain.com または *.basedomain.com。
  • SHA1およびMD5を含むハッシュアルゴリズムは、一部のブラウザーがサポートするデジタル証明書の署名には弱すぎます。そのため、SHA-256が最小標準として指定されています。
  • Chromeは、自己署名SSL証明書を安全でないと見なし、受け入れを停止しました。生成された証明書にSAN (subjectAltName) フィールドがないため、NET::ERR_CERT_COMMON_NAME_INVALID エラーが発生します。この問題を解決するには、SANフィールドを含む拡張属性 (X509 v3拡張) を持つ証明書を提供してください。

各Citrix Directorクライアントへのルート証明書のインストール

セッションシャドウイングはIISと同じレジストリベースの証明書ストアを使用するため、IISまたはMicrosoft Management Console (MMC) の証明書スナップインを使用してルート証明書をインストールできます。CAから証明書を受け取ったら、IISでWebサーバー証明書ウィザードを再起動すると、ウィザードが証明書をインストールします。または、MMCを使用してコンピューター上の証明書を表示およびインポートし、証明書をスタンドアロンのスナップインとして追加することもできます。Internet ExplorerとGoogle Chromeは、オペレーティングシステムにインストールされている証明書をデフォルトでインポートします。Mozilla Firefoxの場合は、証明書マネージャーの [認証局] タブでルートSSL証明書をインポートする必要があります。

各Linux VDAサーバーへのサーバー証明書とそのキーのインストール

サーバー証明書には「shadowingcert.*」、キーファイルには「shadowingkey.*」という名前を付けます (*は形式を示します。たとえば、shadowingcert.pemおよびshadowingkey.key)。サーバー証明書とキーファイルをパス /etc/xdl/shadowingssl の下に置き、制限された権限で適切に保護してください。名前またはパスが正しくないと、Linux VDAは特定の証明書またはキーファイルを見つけることができず、その結果、Citrix Director との接続が失敗します。

使用方法

Citrix Director から、ターゲットセッションを見つけ、[セッションの詳細] ビューで [シャドウ] をクリックして、Linux VDAにシャドウイング要求を送信します。

シャドウタブ

接続が初期化されると、ICAセッションクライアント (Citrix Director クライアントではない) に確認メッセージが表示され、ユーザーにセッションをシャドウする許可を求めます。

管理者がこのセッションをシャドウすることを許可するかどうか

ユーザーが [はい] をクリックすると、Citrix Director 側にウィンドウが表示され、ICAセッションがシャドウされていることを示します。

使用方法の詳細については、「Citrix Directorのドキュメント」を参照してください。

制限事項

  • セッションシャドウイングは、イントラネット内でのみ使用するように設計されています。Citrix Gateway経由で接続する場合でも、外部ネットワークでは機能しません。Citrixは、外部ネットワークでのLinux VDAセッションシャドウイングに対するいかなる責任も負いません。
  • セッションシャドウイングが有効になっている場合、ドメイン管理者はICAセッションを表示することしかできず、書き込みや制御の権限はありません。
  • 管理者が Citrix Director から [シャドウ] をクリックすると、ユーザーにセッションをシャドウする許可を求める確認メッセージが表示されます。セッションは、セッションユーザーが許可を与えた場合にのみシャドウできます。
  • 前述の確認メッセージには20秒のタイムアウト制限があります。時間が経過すると、シャドウイング要求は失敗します。
  • 1つのセッションは1人の管理者のみがシャドウできます。たとえば、管理者Bが管理者Aがシャドウしているセッションのシャドウイング要求を送信した場合、ユーザーの許可を得るための確認メッセージがユーザーデバイスに再表示されます。ユーザーが同意すると、管理者Aのシャドウイング接続は停止し、管理者Bのために新しいシャドウイング接続が構築されます。管理者が同じセッションに対して別のシャドウイング要求を送信した場合も、新しいシャドウイング接続を構築できます。
  • セッションシャドウイングを使用するには、Citrix Director 7.16以降をインストールしてください。
  • Citrix Director クライアントは、ターゲットLinux VDAサーバーに接続するためにIPアドレスではなくFQDNを使用します。したがって、Citrix Director クライアントはLinux VDAサーバーのFQDNを解決できる必要があります。

トラブルシューティング

セッションシャドウイングが失敗した場合は、Citrix Director クライアントとLinux VDAの両方でデバッグを実行してください。

Citrix Directorクライアントでのトラブルシューティング

ブラウザーの開発者ツールを使用して、[コンソール] タブで出力ログを確認します。または、[ネットワーク] タブでShadowLinuxSession APIの応答を確認します。ユーザーの許可を得るための確認メッセージが表示されるものの、接続の確立が失敗する場合は、VDAのFQDNを手動でpingして、Citrix Director がFQDNを解決できることを確認します。wss:// 接続に問題がある場合は、証明書を確認してください。

Linux VDAでのトラブルシューティング

  1. /var/log/xdl/vda.log ファイルで手がかりを確認します。

  2. /var/xdl/sessionshadowing.sh ファイルを編集し、「logFile」変数を変更して、Directorからのセッションシャドウイング中に手がかりを追跡できるログファイルを指定します。

  3. また、noVNC接続で証明書が正しく機能するかどうかを手動で確認することもできます。

    1. ps aux | grep xorg を実行して、現在のセッションのXorgディスプレイ番号 <display-num> (例: :3) を見つけます。

    2. 次のコマンドを実行してx11vncサーバーを起動し、着信接続を待ちます。

      runuser -l "ctxsrvr" -s /bin/bash -c "websockify <port> -v --cert  /etc/xdl/shadowingssl/shadowingcert.pem --key  /etc/xdl/shadowingssl/shadowingkey.key -- x11vnc  -viewonly  -shared -passwd <passwd> -rfbport <port> -display <display-num> -many -o /var/log/xdl/x11vnc.log"
<!--NeedCopy-->

    3. 次のようにnoVNCを使用して接続し、SSLモードを確認します。VDAのFQDNとポート番号を入力します。この例では、ポート番号は6009です。

      noVNCを使用した接続

    4. VDAでWebsockifyによって出力されたエラー、またはクライアントのブラウザーによって報告されたエラーを解決します。

      接続確立中の主要なチェックポイント:

      1. セッションシャドウイングがポートを開くのを妨げるファイアウォールの制限がないか確認します。
      2. SSLシナリオの場合、証明書とキーファイルに適切に名前が付けられ、正しいパスの下に配置されていることを確認します。
      3. 新しいシャドウイング要求のために6001~6099の間に十分なポートが残っていることを確認します。
      4. netstat がインストールされていることを確認します。これは /var/xdl/sessionshadowing.sh で必要です。
      5. openssl x509 -in shadowingcert.pem -text -noout を実行して、証明書が正しく構成されていることを確認します。特にCNおよびSANフィールドに注意してください。

      6. RHEL 8では、rebind.so が見つからないという問題が発生する可能性があります。この問題を解決するには、次のコマンドを実行します。

        ln -s /usr/bin/rebind.so /usr/local/bin/rebind.so
<!--NeedCopy-->
セッションシャドウイング
April 13, 2026
寄稿者: 
C C
April 13, 2026
寄稿者: 
C C

この記事の概要

サイトに関するフィードバック | Your privacy choices footer linkプライバシーに関する選択肢 | プライバシーと法令 | Cookieの設定 | 同意設定 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.