Amazon Linux 2、RHEL、Rocky LinuxへのLinux VDAの手動インストール
重要:
新規インストールの場合、迅速なインストールには簡易インストールを使用することをお勧めします。簡易インストールは時間と労力を節約し、この記事で詳述されている手動インストールよりもエラーが発生しにくいです。
手順1:構成情報とLinuxマシンの準備
手順1a:ネットワーク構成の確認
ネットワークが正しく接続され、構成されていることを確認してください。たとえば、Linux VDAでDNSサーバーを構成する必要があります。
手順1b:ホスト名の設定
マシンのホスト名が正しく報告されるように、/etc/hostnameファイルを変更して、マシンのホスト名のみが含まれるようにします。
hostname
手順1c:ホスト名へのループバックアドレスの割り当て
マシンのDNSドメイン名と完全修飾ドメイン名(FQDN)が正しく報告されるように、/etc/hostsファイルの次の行を変更して、FQDNとホスト名を最初の2つのエントリとして含めます。
127.0.0.1 hostname-fqdn hostname localhost localhost.localdomain localhost4 localhost4.localdomain4
例:
127.0.0.1 vda01.example.com vda01 localhost localhost.localdomain localhost4 localhost4.localdomain4
ファイル内の他のエントリから、hostname-fqdnまたはhostnameへの他の参照をすべて削除します。
注:
Linux VDAは現在、NetBIOS名の切り捨てをサポートしていません。ホスト名は15文字を超えてはなりません。
ヒント:
a~z、A~Z、0~9、およびハイフン(-)文字のみを使用してください。アンダースコア(_)、スペース、その他の記号は避けてください。ホスト名を数字で始めたり、ハイフンで終わらせたりしないでください。この規則は、Delivery Controllerのホスト名にも適用されます。
手順1d:ホスト名の確認
ホスト名が正しく設定されていることを確認します。
hostname
<!--NeedCopy-->
このコマンドは、マシンのホスト名のみを返し、完全修飾ドメイン名(FQDN)は返しません。
FQDNが正しく設定されていることを確認します。
hostname -f
<!--NeedCopy-->
このコマンドは、マシンのFQDNを返します。
手順1e:名前解決とサービス到達可能性の確認
FQDNを解決し、ドメインコントローラーとDelivery Controller™にpingを実行できることを確認します。
nslookup domain-controller-fqdn
ping domain-controller-fqdn
nslookup delivery-controller-fqdn
ping delivery-controller-fqdn
<!--NeedCopy-->
FQDNを解決できない場合、またはこれらのマシンのいずれかにpingを実行できない場合は、続行する前に手順を確認してください。
手順1f:クロック同期の構成
VDA、Delivery Controller、およびドメインコントローラー間で正確なクロック同期を維持することは非常に重要です。Linux VDAを仮想マシン(VM)としてホストすると、クロックスキューの問題が発生する可能性があります。このため、リモート時刻サービスとの時刻同期が推奨されます。
RHELのデフォルト環境では、クロック同期にChronyデーモン(chronyd)を使用します。
Chronyサービスの構成
rootユーザーとして、/etc/chrony.confを編集し、各リモートタイムサーバーのサーバーエントリを追加します。
server peer1-fqdn-or-ip-address iburst
server peer2-fqdn-or-ip-address iburst
<!--NeedCopy-->
一般的な展開では、パブリックNTPプールサーバーから直接ではなく、ローカルのドメインコントローラーから時刻を同期します。ドメイン内の各Active Directoryドメインコントローラーのサーバーエントリを追加します。
ループバックIPアドレス、localhost、およびパブリックサーバー*.pool.ntp.orgエントリを含む、リストされている他のサーバーエントリをすべて削除します。
変更を保存し、Chronyデーモンを再起動します。
sudo systemctl restart chronyd
<!--NeedCopy-->
手順1g:使用するデータベースのインストールと指定
注:
VDIモードではSQLiteを、ホスト型共有デスクトップ配信モデルではPostgreSQLを使用することをお勧めします。
簡易インストールおよびMCSの場合、SQLiteまたはPostgreSQLを手動でインストールすることなく使用するように指定できます。/etc/xdl/db.confで特に指定がない限り、Linux VDAはデフォルトでPostgreSQLを使用します。Linuxディストリビューションが提供するバージョンではなく、カスタムバージョンのPostgreSQLが必要な場合は、指定されたバージョンを手動でインストールし、
/etc/xdl/db.confを編集して新しいバージョンを反映させ、簡易インストールスクリプト(ctxinstall.sh)またはMCSスクリプト(deploymcs.sh)を実行する前にPostgreSQLサービスを開始する必要があります。手動インストールの場合、SQLite、PostgreSQL、またはその両方を手動でインストールする必要があります。Linuxディストリビューションが提供するバージョンではなく、カスタムバージョンのPostgreSQLを使用できます。SQLiteとPostgreSQLの両方をインストールした場合、Linux VDAパッケージのインストール後に/etc/xdl/db.confを編集して、どちらか一方を使用するように指定できます。
PostgreSQLのインストール
このセクションでは、Linuxディストリビューションが提供するPostgreSQLのバージョンをインストールする方法について説明します。カスタムバージョンのPostgreSQLが必要な場合は、特定の要件に基づいてインストールできます。
PostgreSQLをインストールするには、次のコマンドを実行します。
sudo yum -y install postgresql-server
sudo yum -y install postgresql-jdbc
<!--NeedCopy-->
RHEL 8.xおよびRHEL 9.4/9.2の場合、PostgreSQL用のlibpqをインストールするには、次のコマンドを実行します。
sudo yum -y install libpq
<!--NeedCopy-->
データベースを初期化するには、次のコマンドを実行します。この操作により、/var/lib/pgsql/dataの下にデータベースファイルが作成されます。
sudo postgresql-setup initdb
<!--NeedCopy-->
マシンの起動時または即座にPostgreSQLを開始するには、それぞれ次のコマンドを実行します。
sudo systemctl enable postgresql
sudo systemctl start postgresql
<!--NeedCopy-->
PostgreSQLのバージョンを確認するには、次を使用します。
psql --version
<!--NeedCopy-->
- (Amazon Linux 2のみ)psqlコマンドラインユーティリティを使用して、データディレクトリが設定されていることを確認します。
sudo -u postgres psql -c 'show data_directory'
<!--NeedCopy-->
SQLiteのインストール
SQLiteをインストールするには、次のコマンドを実行します。
sudo yum -y install sqlite
<!--NeedCopy-->
使用するデータベースの指定
SQLiteとPostgreSQLの両方をインストールした場合、Linux VDAパッケージのインストール後に /etc/xdl/db.conf を編集して、どちらか一方を使用するように指定できます。
- /opt/Citrix/VDA/sbin/ctxcleanup.sh を実行します。新規インストールの場合、この手順は省略します。
-
/etc/xdl/db.conf を編集して、使用するデータベースを指定します。以下は db.conf ファイルの例です。
# database configuration file for Linux VDA ## database choice # possible choices are: # SQLite # PostgreSQL # default choice is PostgreSQL DbType="PostgreSQL" ## database port # specify database port for the database. # if not specified, default port will be used: ## SQLite: N/A ### PostgreSQL: 5432 - DbPort=5432 - ## PostgreSQL customized ## only the following value means true, otherwise false ### true yes ## y ### YES Y ### default is false DbCustomizePostgreSQL=false ## PostgreSQL service name ## specify the service name of PostgreSQL for Linux VDA default is "postgresql" DbPostgreSQLServiceName="postgresql" <!--NeedCopy-->PostgreSQLのカスタムバージョンを使用するには、DbCustomizePostgreSQL を true に設定します。
- ctxsetup.sh を実行します。
注:
/etc/xdl/db.conf を使用して、PostgreSQLのポート番号を構成することもできます。
手順 2:ハイパーバイザーの準備
サポートされているハイパーバイザー上でLinux VDAをVMとして実行する場合、いくつかの変更が必要です。使用しているハイパーバイザープラットフォームに基づいて、次の変更を行います。Linuxマシンをベアメタルハードウェアで実行している場合、変更は不要です。
XenServer(旧Citrix Hypervisor™)での時刻同期の修正
XenServer®の時刻同期機能が有効になっている場合、各準仮想化Linux VM内でNTPとXenServerの両方がシステムクロックを管理しようとするため、問題が発生します。クロックが他のサーバーと同期しなくなるのを避けるため、各Linuxゲスト内のシステムクロックがNTPと同期していることを確認してください。この場合、ホストの時刻同期を無効にする必要があります。HVMモードでは変更は不要です。
XenServer VM Toolsがインストールされた準仮想化Linuxカーネルを実行している場合、Linux VM内からXenServerの時刻同期機能が存在し、有効になっているかどうかを確認できます。
su -
cat /proc/sys/xen/independent_wallclock
<!--NeedCopy-->
このコマンドは0または1を返します。
- 0 - 時刻同期機能が有効になっており、無効にする必要があります。
- 1 - 時刻同期機能は無効になっており、それ以上の操作は不要です。
/proc/sys/xen/independent_wallclock ファイルが存在しない場合、以下の手順は不要です。
有効になっている場合、ファイルに1を書き込むことで時刻同期機能を無効にします。
sudo echo 1 > /proc/sys/xen/independent_wallclock
<!--NeedCopy-->
この変更を永続的にし、再起動後も維持するには、/etc/sysctl.conf ファイルを編集して次の行を追加します。
xen.independent_wallclock = 1
これらの変更を確認するには、システムを再起動します。
su -
cat /proc/sys/xen/independent_wallclock
<!--NeedCopy-->
このコマンドは値1を返します。
Microsoft Hyper-Vでの時刻同期の修正
Hyper-V Linux Integration ServicesがインストールされているLinux VMは、Hyper-Vの時刻同期機能を使用してホストオペレーティングシステムの時刻を使用できます。システムクロックの正確性を確保するには、NTPサービスと並行してこの機能を有効にする必要があります。
管理オペレーティングシステムから:
- Hyper-Vマネージャーコンソールを開きます。
- Linux VMの設定で、[統合サービス] を選択します。
- [時刻の同期] が選択されていることを確認します。
注:
このアプローチは、NTPとの競合を避けるためにホストの時刻同期が無効になっているVMwareおよびXenServer(旧Citrix Hypervisor)とは異なります。Hyper-Vの時刻同期は、NTPの時刻同期と共存し、補完することができます。
ESXおよびESXiでの時刻同期の修正
VMwareの時刻同期機能が有効になっている場合、各準仮想化Linux VM内でNTPとハイパーバイザーの両方がシステムクロックを同期しようとするため、問題が発生します。クロックが他のサーバーと同期しなくなるのを避けるため、各Linuxゲスト内のシステムクロックがNTPと同期していることを確認してください。この場合、ホストの時刻同期を無効にする必要があります。
VMware Toolsがインストールされた準仮想化Linuxカーネルを実行している場合:
- vSphere Clientを開きます。
- Linux VMの設定を編集します。
- [仮想マシンのプロパティ] ダイアログで、[オプション] タブを開きます。
- [VMware Tools] を選択します。
- [詳細設定] ボックスで、[ゲストの時刻をホストと同期] のチェックボックスをオフにします。
手順 3:Linux VMをWindowsドメインに追加
LinuxマシンをActive Directory(AD)ドメインに追加するには、次の方法があります。
選択した方法に基づいて手順に従ってください。
注:
Linux VDAのローカルアカウントとADのアカウントで同じユーザー名を使用すると、セッションの起動に失敗する場合があります。
Samba Winbind
RHEL 9.4/9.2およびRocky Linux 9.4/9.2の場合、pam_winbind がルートディレクトリの所有権を変更するのを防ぐために、次のコマンドを実行します。
usermod -d /nonexistent nobody
<!--NeedCopy-->
必要なパッケージをインストールまたは更新します。
RHEL 9.4/9.2/8.xおよびRocky Linux 9.4/9.2/8.xの場合:
sudo yum -y install samba-winbind samba-winbind-clients krb5-workstation oddjob-mkhomedir realmd authselect
<!--NeedCopy-->
Amazon Linux 2の場合:
sudo yum -y install samba-winbind samba-winbind-clients krb5-workstation oddjob-mkhomedir realmd authconfig
<!--NeedCopy-->
Winbindデーモンのマシン起動時の開始を有効化
Winbindデーモンは、マシンの起動時に開始するように構成する必要があります。
sudo /sbin/chkconfig winbind on
<!--NeedCopy-->
Winbind認証の設定
Winbindを使用してKerberos認証のためにマシンを設定します。
-
次のコマンドを実行します。
RHEL 9.4/9.2/8.xおよびRocky Linux 9.4/9.2/8.xの場合:
sudo authselect select winbind with-mkhomedir --force <!--NeedCopy-->Amazon Linux 2の場合:
sudo authconfig --disablecache --disablesssd --disablesssdauth --enablewinbind --enablewinbindauth --disablewinbindoffline --smbsecurity=ads --smbworkgroup=domain --smbrealm=REALM --krb5realm=REALM --krb5kdc=fqdn-of-domain-controller --winbindtemplateshell=/bin/bash --enablemkhomedir --updateall <!--NeedCopy-->ここで、REALMはKerberosレルム名(大文字)、domainはドメインのNetBIOS名です。
KDCサーバーとレルム名のDNSベースのルックアップが必要な場合は、前のコマンドに次の2つのオプションを追加します。
--enablekrb5kdcdns --enablekrb5realmdnswinbindサービスが起動に失敗したことに関するauthconfigコマンドからのエラーは無視してください。これらのエラーは、マシンがまだドメインに参加していない状態でauthconfigがwinbindサービスの起動を試みたときに発生する可能性があります。 -
/etc/samba/smb.confを開き、
[Global]セクションの下に、ただしauthconfigツールによって生成されたセクションの後に、次のエントリを追加します。kerberos method = secrets and keytabwinbind refresh tickets = truewinbind offline logon = no -
(RHEL 9.4/9.2/8.xおよびRocky Linux 9.4/9.2/8.xのみ)/etc/krb5.confを開き、
[libdefaults]、[realms]、および[domain_realm]セクションの下にエントリを追加します。[libdefaults]セクションの下:default_ccache_name = FILE:/tmp/krb5cc_%{uid}default_realm = REALMdns_lookup_kdc = true[realms]セクションの下:REALM = {kdc = fqdn-of-domain-controller}[domain_realm]セクションの下:realm = REALM.realm = REALM
Linux VDAは、Delivery Controllerで認証および登録するためにシステムキータブファイル/etc/krb5.keytabを必要とします。以前のKerberosメソッド設定により、マシンが最初にドメインに参加したときにWinbindがシステムキータブファイルを作成するよう強制されます。
Windowsドメインへの参加
ドメインコントローラーに到達可能である必要があり、コンピューターをドメインに追加する権限を持つActive Directoryユーザーアカウントが必要です。
Linux VMをWindowsドメインに追加するには、次のコマンドを実行します。
sudo realm join -U user --client-software=winbind REALM
<!--NeedCopy-->
ヒント:
Amazon Linux 2で実行されているLinux VMの場合、次のコマンドを使用してWindowsドメインに追加することもできます。
sudo net ads join REALM -U user <!--NeedCopy-->
REALMはKerberosレルム名(大文字)、userはコンピューターをドメインに追加する権限を持つドメインユーザーです。
WinbindのPAM設定
デフォルトでは、Winbind PAMモジュール(pam_winbind)の設定では、Kerberosチケットキャッシュとホームディレクトリの作成が有効になっていません。/etc/security/pam_winbind.confを開き、[Global]セクションの下に次のエントリを追加または変更します。
krb5_auth = yes
krb5_ccache_type = FILE
mkhomedir = yes
各設定の先頭にあるセミコロンが削除されていることを確認してください。これらの変更には、Winbindデーモンの再起動が必要です。
sudo systemctl restart winbind
<!--NeedCopy-->
ヒント:
winbindデーモンは、マシンがドメインに参加している場合にのみ実行され続けます。
/etc/krb5.confを開き、[libdefaults]セクションの下の次の設定をKEYRINGからFILEタイプに変更します。
default_ccache_name = FILE:/tmp/krb5cc_%{uid}
RHEL 9.4/9.2およびRocky Linux 9.4/9.2の場合、WinbindのSELinux問題を解決するために次のコマンドを実行します。
ausearch -c 'winbindd' --raw | audit2allow -M my-winbindd -p /etc/selinux/targeted/policy/policy.*
semodule -X 300 -i my-winbindd.pp
<!--NeedCopy-->
ドメインメンバーシップの確認
Delivery Controllerは、すべてのVDAマシン(Windows VDAおよびLinux VDA)がActive Directoryにコンピューターオブジェクトを持っていることを要求します。
Sambaのnet adsコマンドを実行して、マシンがドメインに参加していることを確認します。
sudo net ads testjoin
<!--NeedCopy-->
- 追加のドメインおよびコンピューターオブジェクト情報を確認するには、次のコマンドを実行します。
sudo net ads info
<!--NeedCopy-->
Kerberos設定の確認
Linux VDAで使用するためにKerberosが正しく設定されていることを確認するには、システムキータブファイルが作成され、有効なキーが含まれていることを確認します。
sudo klist -ke
<!--NeedCopy-->
このコマンドは、プリンシパル名と暗号スイートのさまざまな組み合わせで利用可能なキーのリストを表示します。Kerberos kinitコマンドを実行して、これらのキーを使用してマシンをドメインコントローラーで認証します。
sudo kinit -k MACHINE\$@REALM
<!--NeedCopy-->
マシン名とレルム名は大文字で指定する必要があります。シェル置換を防ぐために、ドル記号($)はバックスラッシュ(\)でエスケープする必要があります。一部の環境では、DNSドメイン名がKerberosレルム名と異なる場合があります。レルム名が使用されていることを確認してください。このコマンドが成功した場合、出力は表示されません。
マシンアカウントのTGTチケットがキャッシュされていることを確認するには、次を使用します。
sudo klist
<!--NeedCopy-->
以下を使用して、マシンのアカウント詳細を確認します。
sudo net ads status
<!--NeedCopy-->
ユーザー認証の確認
wbinfoツールを使用して、ドメインユーザーがドメインで認証できることを確認します。
wbinfo --krb5auth=domain\\username%password
<!--NeedCopy-->
ここで指定するドメインは、Kerberosレルム名ではなく、ADドメイン名です。bashシェルでは、バックスラッシュ (\) 文字を別のバックスラッシュでエスケープする必要があります。このコマンドは、成功または失敗を示すメッセージを返します。
- Winbind PAMモジュールが正しく構成されていることを確認するには、以前に使用したことのないドメインユーザーアカウントを使用してLinux VDAにログオンします。
ssh localhost -l domain\\username
id -u
<!--NeedCopy-->
Kerberos認証情報キャッシュ内のチケットが有効で、期限切れになっていないことを確認します。
klist
<!--NeedCopy-->
セッションを終了します。
exit
<!--NeedCopy-->
同様のテストは、GnomeまたはKDEコンソールに直接ログオンすることで実行できます。ドメイン参加の検証後、手順6:Linux VDAのインストールに進みます。
Quest Authentication Services
ドメインコントローラーでのQuestの構成
Active DirectoryドメインコントローラーにQuestソフトウェアをインストールおよび構成済みであり、Active Directoryでコンピューターオブジェクトを作成するための管理者権限が付与されているものとします。
ドメインユーザーのLinux VDAマシンへのログオンを有効にする
ドメインユーザーがLinux VDAマシンでHDX™セッションを確立できるようにするには:
- Active Directoryユーザーとコンピューター管理コンソールで、そのユーザーアカウントのActive Directoryユーザープロパティを開きます。
- Unixアカウントタブを選択します。
- Unixを有効にするをオンにします。
- プライマリGID番号を、実際のドメインユーザーグループのグループIDに設定します。
注:
これらの手順は、コンソール、RDP、SSH、またはその他のリモートプロトコルを使用してログオンするドメインユーザーを設定する場合にも同様に適用されます。
Linux VDAでのQuestの構成
SELinuxポリシー適用への対処
デフォルトのRHEL環境では、SELinuxが完全に適用されています。この適用は、Questが使用するUnixドメインソケットIPCメカニズムと干渉し、ドメインユーザーのログオンを妨げます。
この問題に対処する便利な方法は、SELinuxを無効にすることです。rootユーザーとして、/etc/selinux/configを編集し、SELinux設定を変更します。
SELINUX=permissive
この変更には、マシンの再起動が必要です。
- reboot
<!--NeedCopy-->
重要:
この設定は慎重に使用してください。無効にした後にSELinuxポリシーの適用を再度有効にすると、rootユーザーや他のローカルユーザーであっても、完全にロックアウトされる可能性があります。
VASデーモンの構成
Kerberosチケットの自動更新は有効にして切断する必要があります。認証(オフラインログオン)は無効にする必要があります。
sudo /opt/quest/bin/vastool configure vas vasd auto-ticket-renew-interval 32400
sudo /opt/quest/bin/vastool configure vas vas_auth allow-disconnected-auth false
<!--NeedCopy-->
このコマンドは、更新間隔を9時間(32,400秒)に設定します。これは、デフォルトの10時間チケット有効期間より1時間短いです。チケット有効期間が短いシステムでは、このパラメーターをより低い値に設定してください。
PAMとNSSの構成
HDXおよびsu、ssh、RDPなどの他のサービスを介したドメインユーザーログオンを有効にするには、次のコマンドを実行してPAMとNSSを手動で構成します。
sudo /opt/quest/bin/vastool configure pam
sudo /opt/quest/bin/vastool configure nss
<!--NeedCopy-->
Windowsドメインへの参加
Questのvastoolコマンドを使用して、LinuxマシンをActive Directoryドメインに参加させます。
sudo /opt/quest/bin/vastool -u user join domain-name
<!--NeedCopy-->
ユーザーは、コンピューターをActive Directoryドメインに参加させる権限を持つ任意のドメインユーザーです。domain-nameは、たとえばexample.comのようなドメインのDNS名です。
ドメイン参加後、Linuxマシンを再起動します。
ドメインメンバーシップの確認
Delivery Controllerでは、すべてのVDAマシン(WindowsおよびLinux VDA)がActive Directoryにコンピューターオブジェクトを持っている必要があります。Questに参加しているLinuxマシンがドメイン上にあることを確認するには:
sudo /opt/quest/bin/vastool info domain
<!--NeedCopy-->
マシンがドメインに参加している場合、このコマンドはドメイン名を返します。マシンがどのドメインにも参加していない場合、次のエラーが表示されます。
ERROR: No domain could be found.
ERROR: VAS_ERR_CONFIG: at ctx.c:414 in _ctx_init_default_realm
default_realm not configured in vas.conf. Computer may not be joined to domain
ユーザー認証の確認
QuestがPAMを介してドメインユーザーを認証できることを確認するには、以前に使用したことのないドメインユーザーアカウントを使用してLinux VDAにログオンします。
ssh localhost -l domain\\username
id -u
<!--NeedCopy-->
id -uコマンドによって返されたUIDに対応するKerberos認証情報キャッシュファイルが作成されたことを確認します。
ls /tmp/krb5cc_uid
<!--NeedCopy-->
Kerberos認証情報キャッシュ内のチケットが有効で期限切れでないことを確認します。
/opt/quest/bin/vastool klist
<!--NeedCopy-->
セッションを終了します。
exit
<!--NeedCopy-->
同様のテストは、GnomeまたはKDEコンソールに直接ログオンして実行できます。ドメイン参加の検証後、手順 6: Linux VDAをインストールするに進みます。
Centrify DirectControl
Windowsドメインへの参加
Centrify DirectControlエージェントがインストールされている状態で、Centrifyのadjoinコマンドを使用してLinuxマシンをActive Directoryドメインに参加させます。
su –
adjoin -w -V -u user domain-name
<!--NeedCopy-->
ユーザーパラメーターは、コンピューターをActive Directoryドメインに参加させる権限を持つActive Directoryドメインユーザーです。domain-nameは、Linuxマシンを参加させるドメインの名前です。
ドメインメンバーシップの検証
Delivery Controllerは、すべてのVDAマシン(WindowsおよびLinux VDA)がActive Directoryにコンピューターオブジェクトを持つことを要求します。Centrifyで参加したLinuxマシンがドメイン上にあることを確認するには:
su –
adinfo
<!--NeedCopy-->
「Joined to domain」の値が有効であり、CentrifyDCモードが「connected」を返すことを確認します。モードが「starting」状態のままになっている場合、Centrifyクライアントはサーバー接続または認証の問題を抱えています。
より包括的なシステムおよび診断情報は、以下を使用して利用できます。
adinfo --sysinfo all
adinfo –diag
<!--NeedCopy-->
さまざまなActive DirectoryおよびKerberosサービスへの接続をテストします。
adinfo --test
<!--NeedCopy-->
ドメイン参加の検証後、手順 6: Linux VDAをインストールするに進みます。
SSSD
SSSDを使用している場合は、このセクションの手順に従ってください。このセクションでは、Linux VDAマシンをWindowsドメインに参加させる手順と、Kerberos認証を構成するためのガイダンスについて説明します。
RHELでSSSDをセットアップするには、次の手順を実行します。
- ドメインに参加し、ホストキータブを作成する
- SSSDをセットアップする
- SSSDを有効にする
- Kerberos構成を検証する
- ユーザー認証を検証する
ドメインへの参加とホストキータブの作成
SSSDは、ドメインへの参加やシステムキータブファイルの管理のためのActive Directoryクライアント機能を提供しません。代わりに、adcli、realmd、またはSambaを使用できます。
このセクションでは、Amazon Linux 2向けのSambaアプローチと、RHEL 8.x/9.xおよびRocky Linux 8.x/9.x向けのadcliアプローチについて説明します。realmdについては、RHELのドキュメントを参照してください。これらの手順は、SSSDを構成する前に実行する必要があります。
-
Samba (Amazon Linux 2):
必要なパッケージをインストールまたは更新します。
sudo yum -y install krb5-workstation authconfig oddjob-mkhomedir samba-common-tools <!--NeedCopy-->適切に構成されたファイルを持つLinuxクライアントで:
- /etc/krb5.conf
- /etc/samba/smb.conf:
マシンをSambaおよびKerberos認証用に構成します。
sudo authconfig --smbsecurity=ads --smbworkgroup=domain --smbrealm=REALM --krb5realm=REALM --krb5kdc=fqdn-of-domain-controller --update <!--NeedCopy-->ここで、REALMはKerberosレルム名(大文字)、domainはActive Directoryドメインの短いNetBIOS名です。
注:
この記事の設定は、単一ドメイン、単一フォレストモデルを対象としています。Kerberosは、お使いのADインフラストラクチャに基づいて構成してください。
KDCサーバーとレルム名のDNSベースのルックアップが必要な場合は、上記のコマンドに次の2つのオプションを追加します。
--enablekrb5kdcdns --enablekrb5realmdns/etc/samba/smb.confを開き、authconfigツールによって生成されたセクションの後に、[Global]セクションの下に次のエントリを追加します。
kerberos method = secrets and keytabwinbind offline logon = noWindowsドメインに参加します。ドメインコントローラーに到達可能であり、コンピューターをドメインに追加する権限を持つActive Directoryユーザーアカウントがあることを確認してください。
sudo net ads join REALM -U user <!--NeedCopy-->REALMはKerberosレルム名(大文字)、userはコンピューターをドメインに追加する権限を持つドメインユーザーです。
-
Adcli (RHEL 9.4/9.2/8.xおよびRocky Linux 9.4/9.2/8.x):
必要なパッケージをインストールまたは更新します。
sudo yum -y install samba-common samba-common-tools krb5-workstation authconfig oddjob-mkhomedir realmd oddjob authselect <!--NeedCopy-->マシンをSambaおよびKerberos認証用に構成します。
sudo authselect select sssd with-mkhomedir --force <!--NeedCopy-->/etc/krb5.confを開き、[realms]セクションと[domain_realm]セクションの下にエントリを追加します。
[realms]セクションの下:
REALM = {kdc = fqdn-of-domain-controller}[domain_realm]セクションの下:
realm = REALM.realm = REALMWindowsドメインに参加します。ドメインコントローラーに到達可能であることを確認し、コンピューターをドメインに追加する権限を持つActive Directoryユーザーアカウントがあることを確認してください。
sudo realm join REALM -U user <!--NeedCopy-->REALM は大文字のKerberosレルム名であり、user はコンピューターをドメインに追加する権限を持つドメインユーザーです。
SSSDのセットアップ
SSSDのセットアップは、次の手順で構成されます。
-
sudo yum -y install sssdコマンドを実行して、Linux VDAに sssd-ad パッケージをインストールします。 - さまざまなファイル(例:sssd.conf)に構成変更を加えます。
- sssd サービスを開始します。
(RHEL 9.4/9.2/8.x および Rocky Linux 9.4/9.2/8.x のみ) /etc/sssd/sssd.conf を開き、[domain/ad.example.com] セクションの下に次のエントリを追加します。
ad_gpo_access_control = permissive
full_name_format = %2$s\%1$s
fallback_homedir = /home/%d/%u
# Kerberos settings
krb5_ccachedir = /tmp
krb5_ccname_template = FILE:%d/krb5cc_%U
ad.example.com、server.ad.example.com を対応する値に置き換えます。詳細については、「sssd-ad(5) - Linux man page」を参照してください。
sssd.conf のファイル所有権とアクセス許可を設定します。
chown root:root /etc/sssd/sssd.conf
chmod 0600 /etc/sssd/sssd.conf
restorecon /etc/sssd/sssd.conf
SSSDの有効化
RHEL 9.4/9.2/8.x および Rocky Linux 9.4/9.2/8.x の場合:
SSSDを有効にするには、次のコマンドを実行します。
sudo systemctl restart sssd
sudo systemctl enable sssd.service
sudo chkconfig sssd on
<!--NeedCopy-->
Amazon Linux 2 の場合:
authconfig を使用してSSSDを有効にします。ホームディレクトリの作成がSELinuxと互換性があることを確認するために、oddjob-mkhomedir をインストールします。
authconfig --enablesssd --enablesssdauth --enablemkhomedir --update
sudo systemctl start sssd
sudo chkconfig sssd on
<!--NeedCopy-->
Kerberos構成の検証
システムの keytab ファイルが作成され、有効なキーが含まれていることを確認します。
sudo klist -ke
<!--NeedCopy-->
- このコマンドは、プリンシパル名と暗号スイートのさまざまな組み合わせで利用可能なキーのリストを表示します。これらのキーを使用してドメインコントローラーでマシンを認証するには、Kerberos kinit コマンドを実行します。
sudo kinit –k MACHINE\$@REALM
<!--NeedCopy-->
マシン名とレルム名は大文字で指定する必要があります。ドル記号($)は、シェル置換を防ぐためにバックスラッシュ(\)でエスケープする必要があります。一部の環境では、DNSドメイン名がKerberosレルム名と異なる場合があります。レルム名が使用されていることを確認してください。このコマンドが成功した場合、出力は表示されません。
マシンアカウントのTGTチケットがキャッシュされていることを確認するには、次を使用します。
sudo klist
<!--NeedCopy-->
ユーザー認証の検証
getent コマンドを使用して、ログオン形式がサポートされていること、およびNSSが機能することを確認します。
sudo getent passwd DOMAIN\\username
<!--NeedCopy-->
DOMAIN パラメーターは、短いバージョンのドメイン名を示します。別のログオン形式が必要な場合は、まず getent コマンドを使用して確認してください。
サポートされているログオン形式は次のとおりです。
- ダウンレベルログオン名:
DOMAIN\username - UPN:
username@domain.com - NetBIOSサフィックス形式:
username@DOMAIN
SSSD PAMモジュールが正しく構成されていることを確認するには、以前に使用されていないドメインユーザーアカウントを使用してLinux VDAにログオンします。
sudo ssh localhost –l DOMAIN\\username
id -u
<!--NeedCopy-->
コマンドによって返された uid に対応するKerberos資格情報キャッシュファイルが作成されたことを確認します。
ls /tmp/krb5cc_{uid}
<!--NeedCopy-->
- ユーザーのKerberos資格情報キャッシュ内のチケットが有効で期限切れになっていないことを確認します。
- klist
<!--NeedCopy-->
ドメイン参加の検証後、「手順6:Linux VDAのインストール」に進みます。
wget https://github.com/BeyondTrust/pbis-open/releases/download/9.1.0/pbis-open-9.1.0.551.linux.x86_64.rpm.sh
<!--NeedCopy-->
PBISインストールスクリプトの実行可能化
chmod +x pbis-open-9.1.0.551.linux.x86_64.rpm.sh
<!--NeedCopy-->
PBISインストールスクリプトの実行
sh pbis-open-9.1.0.551.linux.x86_64.rpm.sh
<!--NeedCopy-->
Windowsドメインへの参加
ドメインコントローラーに到達可能である必要があり、コンピューターをドメインに追加する権限を持つActive Directoryユーザーアカウントが必要です。
/opt/pbis/bin/domainjoin-cli join domain-name user
<!--NeedCopy-->
user は、コンピューターをActive Directoryドメインに追加する権限を持つドメインユーザーです。domain-name は、ドメインのDNS名です(例:example.com)。
注: Bash をデフォルトシェルとして設定するには、/opt/pbis/bin/config LoginShellTemplate/bin/bash コマンドを実行します。
ドメインメンバーシップの確認
Delivery Controller では、すべての VDA マシン (Windows および Linux VDA) が Active Directory にコンピューターオブジェクトを持っている必要があります。PBIS に参加している Linux マシンがドメイン上にあることを確認するには、次の手順を実行します。
/opt/pbis/bin/domainjoin-cli query
<!--NeedCopy-->
マシンがドメインに参加している場合、このコマンドは現在参加している AD ドメインと OU に関する情報を返します。それ以外の場合は、ホスト名のみが表示されます。
ユーザー認証の確認
PBIS が PAM を介してドメインユーザーを認証できることを確認するには、これまで使用したことのないドメインユーザーアカウントを使用して Linux VDA にログオンします。
ssh localhost -l domain\\user
id -u
<!--NeedCopy-->
id -u コマンドによって返された UID に対応する Kerberos 資格情報キャッシュファイルが作成されたことを確認します。
ls /tmp/krb5cc_uid
<!--NeedCopy-->
セッションを終了します。
exit
<!--NeedCopy-->
ドメイン参加の確認後、手順 6: Linux VDA のインストールに進みます。
手順 4: .NET のインストール
.NET Runtime に加えて、Linux VDA をインストールまたはアップグレードする前に、サポートされているすべての Linux ディストリビューションに .ASP.NET Core Runtime をインストールする必要があります。Amazon Linux 2 にはバージョン 6 が必要です。その他のディストリビューションにはバージョン 8 が必要です。
お使いの Linux ディストリビューションに必要な .NET バージョンが含まれている場合は、組み込みのフィードからインストールします。そうでない場合は、Microsoft パッケージフィードから .NET をインストールします。詳しくは、https://docs.microsoft.com/en-us/dotnet/core/install/linux-package-managers を参照してください。
.NET のインストール後、which dotnet コマンドを実行してランタイムパスを見つけます。
コマンド出力に基づいて、.NET ランタイムバイナリパスを設定します。たとえば、コマンド出力が /aa/bb/dotnet の場合、/aa/bb を .NET バイナリパスとして使用します。
手順 5: Linux VDA パッケージのダウンロード
- Citrix Virtual Apps and Desktops ダウンロードページにアクセスします。
- Citrix Virtual Apps and Desktops の適切なバージョンを展開します。
-
Components を展開して Linux VDA を見つけます。例:
-
Linux VDA のダウンロードにアクセスするには、Linux VDA リンクをクリックします。
-
お使いの Linux ディストリビューションに一致する Linux VDA パッケージをダウンロードします。
-
Linux VDA パッケージの整合性を検証するために使用できる GPG 公開キーをダウンロードします。例:
Linux VDA パッケージの整合性を検証するには、次のコマンドを実行して公開キーを RPM データベースにインポートし、パッケージの整合性を確認します。
- rpmkeys --import <path to the public key> - rpm --checksig --verbose <path to the Linux VDA package> <!--NeedCopy-->
手順 6: Linux VDA のインストール
新規インストールまたは既存のインストールのアップグレードを実行できます。Linux VDA は、最新バージョンからのアップグレードをサポートしています。たとえば、Linux VDA を 2308 から 2311 に、1912 LTSR から 2203 LTSR にアップグレードできます。
手順 6a: 新規インストール
- (オプション) 古いバージョンをアンインストールします。
-
以前の 2 つのバージョンと LTSR リリース以外の古いバージョンをインストールしている場合は、新しいバージョンをインストールする前にアンインストールしてください。
-
-
Linux VDA サービスを停止します。
sudo systemctl stop ctxvda sudo systemctl stop ctxhdx <!--NeedCopy-->注:
ctxvda および ctxhdx サービスを停止する前に、systemctl stop ctxmonitord コマンドを実行してモニターサービスデーモンを停止します。そうしないと、モニターサービスデーモンが停止したサービスを再起動します。
-
パッケージをアンインストールします。
sudo rpm -e XenDesktopVDA <!--NeedCopy-->
注:
コマンドを実行するには、フルパスが必要です。または、/opt/Citrix/VDA/sbin および /opt/Citrix/VDA/bin をシステムパスに追加することもできます。
-
-
Linux VDA パッケージをダウンロードします。
Citrix Virtual Apps and Desktops ダウンロードページにアクセスします。Citrix Virtual Apps and Desktops の適切なバージョンを展開し、Components をクリックして、お使いの Linux ディストリビューションに一致する Linux VDA パッケージをダウンロードします。
-
Yumを使用して Linux VDA ソフトウェアをインストールします。注:
-
RHEL および Rocky Linux の場合、Linux VDA を正常にインストールする前に EPEL リポジトリをインストールしてください。EPEL のインストール方法については、https://docs.fedoraproject.org/en-US/epel/ の手順を参照してください。
-
RHEL 9.4/9.2 および Rocky Linux 9.4/9.2 に Linux VDA をインストールする前に、libsepol パッケージをバージョン 3.4 以降に更新してください。
Amazon Linux 2 の場合:
sudo yum install -y XenDesktopVDA-<version>.amzn2.x86_64.rpm <!--NeedCopy-->RHEL 9.4/9.2 および Rocky Linux 9.4/9.2 の場合:
sudo yum install -y XenDesktopVDA-<version>.el9_x.x86_64.rpm <!--NeedCopy-->RHEL 8.x および Rocky Linux 8.x の場合:
sudo yum install -y XenDesktopVDA-<version>.el8_x.x86_64.rpm <!--NeedCopy-->RHEL 9.4/9.2 および Rocky Linux 9.4/9.2 の RPM 依存関係リスト:
gtk2 >= 2.24.33 java-17-openjdk >= 17 tzdata-java >= 2022 ImageMagick >= 6.9 firewalld >= 0.6.3 policycoreutils-python >= 2.8.9 policycoreutils-python-utils >= 2.8 python3-policycoreutils >= 2.8 dbus >= 1.12.8 dbus-common >= 1.12.8 dbus-daemon >= 1.12.8 dbus-tools >= 1.12.8 dbus-x11 >= 1.12.8 xorg-x11-server-utils >= 7.7 xorg-x11-xinit >= 1.3.4 libXpm >= 3.5.12 libXrandr >= 1.5.1 libXtst >= 1.2.3 pam >= 1.3.1 util-linux >= 2.32.1 util-linux-user >= 2.32.1 xorg-x11-utils >= 7.5 bash >= 4.3 findutils >= 4.6 gawk >= 4.2 sed >= 4.5 cups >= 1.6.0 ghostscript >= 9.25 libxml2 >= 2.9 libmspack >= 0.7 ibus >= 1.5 nss-tools >= 3.44.0 cyrus-sasl-gssapi >= 2.1 python3 >= 3.6~ qt5-qtbase >= 5.5~ qt5-qtbase-gui >= 5.5~ qrencode-libs >= 3.4.4 imlib2 >= 1.4.9 fuse-libs >= 2.9 pulseaudio-utils >= 15.0 <!--NeedCopy-->RHEL 8.x および Rocky Linux 8.x の RPM 依存関係リスト:
java-17-openjdk >= 17 ImageMagick >= 6.9 firewalld >= 0.6.3 policycoreutils-python >= 2.8.9 policycoreutils-python-utils >= 2.8 python3-policycoreutils >= 2.8 dbus >= 1.12.8 dbus-common >= 1.12.8 dbus-daemon >= 1.12.8 dbus-tools >= 1.12.8 dbus-x11 >= 1.12.8 xorg-x11-server-utils >= 7.7 xorg-x11-xinit >= 1.3.4 libXpm >= 3.5.12 libXrandr >= 1.5.1 libXtst >= 1.2.3 pam >= 1.3.1 util-linux >= 2.32.1 util-linux-user >= 2.32.1 xorg-x11-utils >= 7.5 bash >= 4.3 findutils >= 4.6 gawk >= 4.2 depends_on sed >= 4.5 pulseaudio >= 14.0 pulseaudio-module-x11 >= 14.0 pulseaudio-module-bluetooth >= 14.0 alsa-plugins-pulseaudio >= 1.1.9 cups >= 1.6.0 ghostscript >= 9.25 libxml2 >= 2.9 libmspack >= 0.7 ibus >= 1.5 nss-tools >= 3.44.0 gperftools-libs >= 2.4 cyrus-sasl-gssapi >= 2.1 python3 >= 3.6~ qt5-qtbase >= 5.5~ qt5-qtbase-gui >= 5.5~ qrencode-libs >= 3.4.4 imlib2 >= 1.4.9 fuse-libs >= 2.9 <!--NeedCopy-->Amazon Linux 2 の RPM 依存関係リスト:
java-17-openjdk >= 17 ImageMagick >= 6.7.8.9 firewalld >= 0.3.9 policycoreutils-python >= 2.0.83 dbus >= 1.6.12 dbus-x11 >= 1.6.12 xorg-x11-server-utils >= 7.7 xorg-x11-xinit >= 1.3.2 xorg-x11-server-Xorg >= 1.20.4 libXpm >= 3.5.10 libXrandr >= 1.4.1 libXtst >= 1.2.2 pam >= 1.1.8 util-linux >= 2.23.2 xorg-x11-utils >= 7.5 bash >= 4.2 findutils >= 4.5 gawk >= 4.0 sed >= 4.2 pulseaudio >= 10.0 pulseaudio-module-x11 >= 10.0 pulseaudio-module-bluetooth >= 10.0 pulseaudio-gdm-hooks >= 10.0 alsa-plugins-pulseaudio >= 1.1.1 cups >= 1.6.0 foomatic-filters >= 4.0.9 libxml2 >= 2.9 libmspack >= 0.5 ibus >= 1.5 cyrus-sasl-gssapi >= 2.1 gperftools-libs >= 2.4 nss-tools >= 3.44.0 qt5-qtbase >= 5.5~ qrencode-libs >= 3.4.1 imlib2 >= 1.4.5 fuse-libs >= 2.9 <!--NeedCopy-->注記:
このバージョンの Linux VDA がサポートする Linux ディストリビューションと Xorg バージョンのマトリックスについては、「システム要件」を参照してください。
-
ステップ 6b: 既存のインストールのアップグレード(オプション)
Linux VDA は、最新バージョンからのアップグレードをサポートしています。たとえば、Linux VDA を 2308 から 2311 へ、および 1912 LTSR から 2203 LTSR へアップグレードできます。
Amazon Linux 2、RHEL、および Rocky Linux ディストリビューションの場合:
sudo yum -y localinstall <PATH>/<Linux VDA RPM>
<!--NeedCopy-->
注記:
既存のインストールをアップグレードすると、/etc/xdl 配下の構成ファイルが上書きされます。アップグレードを実行する前に、ファイルをバックアップしてください。
- RHEL 9.4/9.2 および Rocky Linux 9.4/9.2 で Linux VDA をアップグレードする前に、libsepol パッケージをバージョン 3.4 以降に更新してください。
2407 リリース以降、Linux VDA はパッケージマネージャーの rpm または dpkg にアップグレード中の構成ファイルの処理を委任します。以下に、rpm と dpkg が構成ファイルの変更とどのように相互作用するかを説明します。
rpm: デフォルトではローカルバージョンを保持し、パッケージからの新しいバージョンを
.rpmnew拡張子で保存します。dpkg: どのように続行するかを対話形式で選択するように求めます。ローカル構成ファイルを保持し、新しいパッケージバージョンを .dpkg-new または .dpkg-dist として保存しながら、Linux VDA をサイレントアップグレードするには、次のコマンドを使用します。
dpkg --force-confold -i package.deb # Always keep your version, then save new package's version as *.dpkg-new or *.dpkg-dist <!--NeedCopy-->- ソフトウェアのアップグレード後、Linux VDA マシンを再起動してください。
ステップ 7: NVIDIA GRID ドライバーのインストール
HDX 3D Pro を有効にするには、ハイパーバイザーと VDA マシンに NVIDIA GRID ドライバーをインストールする必要があります。
注記:
Amazon Linux 2 で HDX 3D Pro を使用するには、NVIDIA ドライバー 470 をインストールすることをお勧めします。詳細については、「システム要件」を参照してください。
特定のハイパーバイザーに NVIDIA GRID Virtual GPU Manager(ホストドライバー)をインストールおよび構成するには、次のガイドを参照してください。
NVIDIA GRID ゲスト VM ドライバーをインストールおよび構成するには、次の手順を実行します。
- ゲスト VM がシャットダウンされていることを確認します。
- XenCenter® で、VM に GPU を割り当てます。
- VM を起動します。
-
NVIDIA GRID ドライバー用に VM を準備します。
yum install gcc yum install "kernel-devel-$(uname -r)" systemctl set-default multi-user.target <!--NeedCopy--> - Red Hat Enterprise Linux ドキュメントの手順に従って、NVIDIA GRID ドライバーをインストールします。
注記:
GPU ドライバーのインストール中に、各質問に対してデフォルトの「いいえ」を選択します。
重要:
GPU パススルーが有効になった後、Linux VM は XenCenter を介してアクセスできなくなります。SSH を使用して接続してください。
カードの正しい構成を設定します。
etc/X11/ctx-nvidia.sh
大解像度およびマルチモニター機能を利用するには、有効な NVIDIA ライセンスが必要です。ライセンスを申請するには、「GRID Licensing Guide.pdf - DU-07757-001 September 2015」の製品ドキュメントに従ってください。
ステップ 8: Linux VDA の構成
注記:
ランタイム環境をセットアップする前に、en_US.UTF-8 ロケールが OS にインストールされていることを確認してください。ロケールが OS で利用できない場合は、sudo locale-gen en_US.UTF-8 コマンドを実行します。Debian の場合は、/etc/locale.gen ファイルを編集して # en_US.UTF-8 UTF-8 の行のコメントを解除し、sudo locale-gen コマンドを実行します。
パッケージをインストールした後、ctxsetup.sh スクリプトを実行して Linux VDA を構成する必要があります。変更を加える前に、スクリプトは環境を検証し、すべての依存関係がインストールされていることを確認します。必要に応じて、いつでもスクリプトを再実行して設定を変更できます。
スクリプトは、プロンプトに従って手動で実行することも、事前構成された応答で自動的に実行することもできます。続行する前に、スクリプトに関するヘルプを確認してください。
sudo /opt/Citrix/VDA/sbin/ctxsetup.sh --help
<!--NeedCopy-->
プロンプトによる構成
プロンプトによる手動構成を実行します。
sudo /opt/Citrix/VDA/sbin/ctxsetup.sh
<!--NeedCopy-->
自動構成
自動インストールの場合、セットアップスクリプトで必要となるオプションを環境変数で指定します。必要なすべての変数が存在する場合、スクリプトは情報を要求しません。
サポートされている環境変数には、次のものがあります。
- **CTX\_XDL\_NON_DOMAIN\_JOINED='y\|n'** – マシンをドメインに参加させるかどうか。デフォルト値は「n」です。ドメイン参加シナリオの場合は、「n」に設定します。
-
CTX_XDL_AD_INTEGRATION=’winbind|sssd|centrify|pbis|quest’ – Linux VDA は、Delivery Controller で認証するために Kerberos 構成設定を必要とします。Kerberos 構成は、システムにインストールおよび構成されている Active Directory 統合ツールから決定されます。
-
CTX_XDL_DDC_LIST=’<list-ddc-fqdns>‘ – Linux VDA は、Delivery Controller に登録するために使用する、スペース区切りの Delivery Controller の完全修飾ドメイン名(FQDN)のリストを必要とします。少なくとも 1 つの FQDN または CNAME を指定する必要があります。
-
CTX_XDL_VDI_MODE=’y|n’ – マシンを専用デスクトップ配信モデル(VDI)として構成するか、ホスト型共有デスクトップ配信モデルとして構成するか。HDX 3D Pro 環境の場合は、値を ‘y’ に設定します。
-
CTX_XDL_HDX_3D_PRO=’y|n’ – Linux VDA は、リッチグラフィックアプリケーションの仮想化を最適化するように設計された GPU アクセラレーションテクノロジーのセットである HDX 3D Pro をサポートしています。HDX 3D Pro が選択されている場合、VDA は VDI デスクトップ(シングルセッション)モード(つまり、CTX_XDL_VDI_MODE=‘y’)用に構成されます。
-
CTX_XDL_START_SERVICE=’y|n’ – 構成が完了したときに Linux VDA サービスを開始するかどうかを決定します。
-
CTX_XDL_REGISTER_SERVICE=’y|n’ – マシンの起動後に Linux Virtual Desktop サービスが開始されます。
-
CTX_XDL_ADD_FIREWALL_RULES=’y|n’ – Linux VDA サービスでは、システムファイアウォールを介して受信ネットワーク接続が許可される必要があります。Linux Virtual Desktop のシステムファイアウォールで、必要なポート(デフォルトではポート 80 および 1494)を自動的に開くことができます。
-
CTX_XDL_DESKTOP_ENVIRONMENT=gnome/gnome-classic/kde/mate/xfce/’<none>‘ – セッションで使用する GNOME、GNOME Classic、KDE、MATE、または Xfce デスクトップ環境を指定します。‘<none>‘ に設定すると、VDA に構成されているデフォルトのデスクトップが使用されます。
コマンドを実行するか、システムトレイを使用することで、デスクトップ環境を切り替えることもできます。詳細については、「デスクトップ切り替えコマンド」および「システムトレイ」を参照してください。
-
CTX_XDL_DOTNET_RUNTIME_PATH=path-to-install-dotnet-runtime – 新しいブローカーエージェントサービス(ctxvda)をサポートするために .NET をインストールするパス。デフォルトのパスは ‘/usr/bin’ です。
-
CTX_XDL_VDA_PORT=port-number – Linux VDA は、TCP/IP ポートを介して Delivery Controller と通信します。
-
CTX_XDL_SITE_NAME=<dns-name> – Linux VDA は DNS を介して LDAP サーバーを検出します。DNS 検索結果をローカルサイトに限定するには、DNS サイト名を指定します。不要な場合は、‘<none>‘ に設定します。
-
CTX_XDL_LDAP_LIST=’<list-ldap-servers>‘ – Linux VDA は LDAP サーバーを検出するために DNS を照会します。DNS が LDAP サービスレコードを提供できない場合、LDAP FQDN と LDAP ポートのスペース区切りリストを指定できます。例: ad1.mycompany.com:389 ad2.mycompany.com:3268 ad3.mycompany.com:3268。Active Directory フォレスト内で LDAP クエリを高速化するには、ドメインコントローラーでグローバルカタログを有効にし、関連する LDAP ポート番号を 3268 として指定します。この変数は、デフォルトで ’<none>‘ に設定されています。
-
CTX_XDL_SEARCH_BASE=search-base-set – Linux VDA は、Active Directory ドメインのルートに設定された検索ベースを介して LDAP を照会します (例: DC=mycompany,DC=com)。検索パフォーマンスを向上させるには、検索ベースを指定できます (例: OU=VDI,DC=mycompany,DC=com)。不要な場合は、’<none>‘ に設定します。
-
CTX_XDL_SUPPORT_DDC_AS_CNAME=’y|n’ – Linux VDA は、DNS CNAME レコードを使用して Delivery Controller 名を指定することをサポートしています。
環境変数を設定し、構成スクリプトを実行します。
export CTX_XDL_NON_DOMAIN_JOINED='n'
export CTX_XDL_AD_INTEGRATION=sssd|winbind|centrify|pbis|quest
export CTX_XDL_DDC_LIST='<list-ddc-fqdns>'
export CTX_XDL_VDI_MODE='y|n'
export CTX_XDL_HDX_3D_PRO='y|n'
export CTX_XDL_START_SERVICE='y|n'
export CTX_XDL_REGISTER_SERVICE='y|n'
export CTX_XDL_ADD_FIREWALL_RULES='y|n'
export CTX_XDL_DESKTOP_ENVIRONMENT=gnome|gnome-classic|kde|mate|xfce|'<none>'
export CTX_XDL_DOTNET_RUNTIME_PATH='<path-to-install-dotnet-runtime>'
export CTX_XDL_VDA_PORT='<port-number>'
export CTX_XDL_SITE_NAME='<dns-site-name>'|'<none>'
export CTX_XDL_LDAP_LIST='<list-ldap-servers>'|'<none>'
export CTX_XDL_SEARCH_BASE='<search-base-set>'|'<none>'
export CTX_XDL_SUPPORT_DDC_AS_CNAME='y|n'
sudo -E /opt/Citrix/VDA/sbin/ctxsetup.sh --silent
<!--NeedCopy-->
sudoコマンドを実行するときは、既存の環境変数を新規作成されるシェルに渡すために、-Eオプションを入力します。最初の行に#!/bin/bashを記述して、上記のコマンドからシェルスクリプトファイルを作成することをお勧めします。
または、単一のコマンドを使用してすべてのパラメーターを指定することもできます。
sudo CTX_XDL_NON_DOMAIN_JOINED='n' \
CTX_XDL_AD_INTEGRATION=winbind|centrify|sssd|pbis|quest \
CTX_XDL_DDC_LIST='<list-ddc-fqdns>' \
CTX_XDL_VDI_MODE='y|n' \
CTX_XDL_HDX_3D_PRO='y|n' \
CTX_XDL_START_SERVICE='y|n' \
CTX_XDL_REGISTER_SERVICE='y|n' \
CTX_XDL_ADD_FIREWALL_RULES='y|n' \
CTX_XDL_DESKTOP_ENVIRONMENT=gnome|gnome-classic|kde|mate|xfce|'<none>' \
CTX_XDL_DOTNET_RUNTIME_PATH='<path-to-install-dotnet-runtime>' \
CTX_XDL_VDA_PORT='<port-number>' \
CTX_XDL_SITE_NAME='<dns-site-name>'|'<none>' \
CTX_XDL_LDAP_LIST='<list-ldap-servers>'|'<none>' \
CTX_XDL_SEARCH_BASE='<search-base-set>'|'<none>' \
CTX_XDL_SUPPORT_DDC_AS_CNAME='y|n' \
/opt/Citrix/VDA/sbin/ctxsetup.sh --silent
<!--NeedCopy-->
構成変更の削除
シナリオによっては、Linux VDAパッケージをアンインストールせずに、ctxsetup.shスクリプトによって行われた構成変更を削除する必要がある場合があります。
続行する前に、このスクリプトに関するヘルプを確認してください。
sudo /opt/Citrix/VDA/sbin/ctxcleanup.sh --help
<!--NeedCopy-->
構成変更を削除するには:
sudo /opt/Citrix/VDA/sbin/ctxcleanup.sh
<!--NeedCopy-->
重要:
このスクリプトは、データベースからすべての構成データを削除し、Linux VDAを動作不能にします。
構成ログ
ctxsetup.shおよびctxcleanup.shスクリプトは、コンソールにエラーを表示し、追加情報は構成ログファイル/tmp/xdl.configure.logに書き込まれます。
変更を有効にするには、Linux VDAサービスを再起動します。
手順 9: XDPingの実行
sudo /opt/Citrix/VDA/bin/xdpingを実行して、Linux VDA環境における一般的な構成の問題を確認します。詳しくは、「XDPing」を参照してください。
手順 10: Linux VDAの実行
ctxsetup.shスクリプトを使用してLinux VDAを構成した後、次のコマンドを実行してLinux VDAを制御できます。
Linux VDAの起動:
Linux VDAサービスを起動するには:
sudo systemctl restart ctxhdx
sudo systemctl restart ctxvda
<!--NeedCopy-->
Linux VDAの停止:
Linux VDAサービスを停止するには:
sudo systemctl stop ctxvda
sudo systemctl stop ctxhdx
<!--NeedCopy-->
注:
ctxvdaおよびctxhdxサービスを停止する前に、systemctl stop ctxmonitordコマンドを実行してモニターサービスデーモンを停止してください。そうしないと、モニターサービスデーモンが停止したサービスを再起動します。
Linux VDAの再起動:
Linux VDAサービスを再起動するには:
sudo systemctl stop ctxvda
sudo systemctl restart ctxhdx
sudo systemctl restart ctxvda
<!--NeedCopy-->
Linux VDAのステータスの確認:
Linux VDAサービスの実行ステータスを確認するには:
sudo systemctl status ctxvda
sudo systemctl status ctxhdx
<!--NeedCopy-->
手順 11: マシンカタログの作成
マシンカタログを作成し、Linux VDAマシンを追加するプロセスは、従来のWindows VDAのアプローチと似ています。これらのタスクを完了する方法の詳細については、「マシンカタログの作成」および「マシンカタログの管理」を参照してください。
Linux VDAマシンを含むマシンカタログを作成する場合、Windows VDAマシン用のマシンカタログを作成するプロセスとは異なるいくつかの制限があります。
- オペレーティングシステムについては、以下を選択します。
- ホスト型共有デスクトップ配信モデルの場合は、Multi-session OSオプション。
- VDI専用デスクトップ配信モデルの場合は、Single-session OSオプション。
- 同じマシンカタログ内でLinux VDAマシンとWindows VDAマシンを混在させないでください。
注:
Citrix Studioの初期バージョンでは、「Linux OS」という概念はサポートされていませんでした。ただし、Windows Server OSまたはServer OSオプションを選択すると、同等のホスト型共有デスクトップ配信モデルが暗示されます。Windows Desktop OSまたはDesktop OSオプションを選択すると、マシンごとに単一ユーザーの配信モデルが暗示されます。
ヒント:
削除されたマシンをActive Directoryドメインに再参加させる場合は、マシンをマシンカタログから削除し、再度追加してください。
手順 12: デリバリーグループの作成
デリバリーグループを作成し、Linux VDAマシンを含むマシンカタログを追加するプロセスは、Windows VDAマシンとほぼ同じです。これらのタスクを完了する方法の詳細については、「デリバリーグループの作成」を参照してください。
Linux VDAマシンカタログを含むデリバリーグループを作成する場合、次の制限が適用されます。
- 選択したADユーザーとグループが、Linux VDAマシンにログオンするように適切に構成されていることを確認してください。
- 認証されていない(匿名)ユーザーのログオンを許可しないでください。
- デリバリーグループとWindowsマシンを含むマシンカタログを混在させないでください。
重要:
アプリケーションの公開は、Linux VDAバージョン1.4以降でサポートされています。ただし、Linux VDAは、同じマシンへのデスクトップとアプリの配信をサポートしていません。
マシンカタログとデリバリーグループの作成方法については、「Citrix Virtual Apps and Desktops 7 2411」を参照してください。