easy install を使用したドメイン参加済みVDAの作成

重要:

• 新規インストールの場合、迅速なインストールについては、この記事を参照することをお勧めします。この記事では、easy install を使用して Linux VDA をインストールおよび構成する方法を順を追って説明します。easy install は、手動インストールよりも時間と労力を節約し、エラーが発生しにくいです。必要なパッケージをインストールし、構成ファイルを自動的にカスタマイズすることで、Linux VDA の実行環境をセットアップするのに役立ちます。

• ドメイン非参加型VDAを作成するには、Machine Creation Services (MCS) と easy install の両方を使用できます。詳細については、「MCS を使用したドメイン非参加型 Linux VDA の作成」および「easy install を使用したドメイン非参加型 Linux VDA の作成」を参照してください。

• ドメイン非参加型VDAで利用可能な機能については、「ドメイン非参加型VDA」を参照してください。

• ステップ 1: 構成情報と Linux マシンの準備

• easy install に必要な以下の構成情報を収集します。

• ホスト名 – Linux VDA をインストールするマシンのホスト名
• ドメインネームサーバーの IP アドレス
• NTP サーバーの IP アドレスまたは文字列名
• ドメイン名 – ドメインの NetBIOS 名
• レルム名 – Kerberos レルム名
• ドメインの完全修飾ドメイン名 (FQDN)
• Active Directory (AD) 統合方法 – 現在、easy install は SSSD、Winbind、Centrify、PBIS、および Quest をサポートしています。easy install は、RHEL および Rocky Linux のみで Quest をサポートします。
• ユーザー名 – マシンをドメインに参加させるユーザーの名前
• パスワード – マシンをドメインに参加させるユーザーのパスワード
• OU – 組織単位。オプション

重要:

• Linux VDA をインストールするには、リポジトリが Linux マシンに正しく追加されていることを確認してください。
• セッションを起動するには、X Window システムとデスクトップ環境がインストールされていることを確認してください。
• セキュリティのため、easy install はドメイン参加パスワードを保存しません。対話モードで easy install スクリプト (ctxinstall.sh) を実行するたびに、ドメイン参加パスワードを手動で入力する必要があります。サイレントモードでは、/Citrix/VDA/sbin/ctxinstall.conf でドメイン参加パスワードを設定するか、パスワードをエクスポートする必要があります。ドメイン参加に管理者アカウントを使用しないことをお勧めします。代わりに、管理者アカウント以外の Active Directory ユーザーにドメイン参加権限を委任してください。これを行うには、Delegation of Control Wizard を使用してドメインコントローラーで制御を委任します。

ステップ 2: ハイパーバイザーの準備

サポートされているハイパーバイザー上で Linux VDA を仮想マシンとして実行する場合、いくつかの変更が必要です。使用しているハイパーバイザープラットフォームに基づいて、以下の変更を行ってください。Linux マシンをベアメタルハードウェアで実行している場合、変更は不要です。

-  ### XenServer (旧 Citrix Hypervisor™) での時刻同期の修正

XenServer® の時刻同期機能が有効になっている場合、各準仮想化 Linux VM 内で NTP と XenServer の両方がシステムクロックを管理しようとするため、問題が発生します。クロックが他のサーバーと同期しなくなるのを避けるため、各 Linux ゲスト内のシステムクロックが NTP と同期していることを確認してください。この場合、ホストの時刻同期を無効にする必要があります。HVM モードでは変更は不要です。

XenServer VM Tools がインストールされた準仮想化 Linux カーネルを実行している場合、Linux VM 内から XenServer の時刻同期機能が存在し、有効になっているかどうかを確認できます。

su -

cat /proc/sys/xen/independent_wallclock
<!--NeedCopy-->

このコマンドは 0 または 1 を返します。

-  0 - 時刻同期機能が有効になっており、無効にする必要があります。

• 1 - 時刻同期機能が無効になっており、それ以上の操作は不要です。

/proc/sys/xen/independent\_wallclock ファイルが存在しない場合、以下の手順は不要です。

有効になっている場合、ファイルに 1 を書き込むことで時刻同期機能を無効にします。

sudo echo 1 > /proc/sys/xen/independent_wallclock
<!--NeedCopy-->

この変更を永続化し、再起動後も維持するには、/etc/sysctl.conf ファイルを編集して以下の行を追加します。

xen.independent_wallclock = 1

これらの変更を確認するには、システムを再起動します。

su -

cat /proc/sys/xen/independent_wallclock
<!--NeedCopy-->

このコマンドは値 1 を返します。

Microsoft Hyper-V での時刻同期の修正

Hyper-V Linux Integration Services がインストールされている Linux VM は、Hyper-V の時刻同期機能を使用してホストオペレーティングシステムの時刻を使用できます。システムクロックの正確性を確保するには、NTP サービスと並行してこの機能を有効にする必要があります。

管理オペレーティングシステムから:

1. Hyper-V マネージャーコンソールを開きます。
2. Linux VM の設定で、Integration Services を選択します。
3. 時刻同期が選択されていることを確認します。

注:

このアプローチは、NTP との競合を避けるためにホストの時刻同期が無効になっている VMware および XenServer (旧 Citrix Hypervisor) とは異なります。Hyper-V の時刻同期は、NTP の時刻同期と共存し、補完することができます。

-  ### ESX および ESXi での時刻同期の修正

VMware の時刻同期機能が有効になっている場合、各準仮想化 Linux VM 内で NTP とハイパーバイザーの両方がシステムクロックを同期しようとするため、問題が発生します。クロックが他のサーバーと同期しなくなるのを避けるため、各 Linux ゲスト内のシステムクロックが NTP と同期していることを確認してください。この場合、ホストの時刻同期を無効にする必要があります。

VMware Tools がインストールされた準仮想化 Linux カーネルを実行している場合:

1. vSphere Client を開きます。
2. Linux VM の設定を編集します。
3. Virtual Machine Properties ダイアログで、Options タブを開きます。
4. VMware Tools を選択します。
5. Advanced ボックスで、Synchronize guest time with host のチェックを外します。

ステップ 3: .NET のインストール

Linux VDA をインストールまたはアップグレードする前に、.NET Runtime に加えて、サポートされているすべての Linux ディストリビューションに .ASP.NET Core Runtime Version 8 をインストールする必要があります。

お使いの Linux ディストリビューションに必要な .NET バージョンが含まれている場合は、組み込みのフィードからインストールしてください。そうでない場合は、Microsoft パッケージフィードから .NET をインストールしてください。詳細については、https://docs.microsoft.com/en-us/dotnet/core/install/linux-package-managers を参照してください。

.NETをインストールした後、ランタイムパスを見つけるために which dotnet コマンドを実行します。

コマンドの出力に基づいて、.NETランタイムバイナリパスを設定します。例えば、コマンドの出力が /aa/bb/dotnet の場合、/aa/bb を.NETバイナリパスとして使用します。

ステップ 4: Linux VDAパッケージのダウンロード

1. Citrix Virtual Apps and Desktopsダウンロードページにアクセスします。
2. 適切なバージョンのCitrix Virtual Apps and Desktopsを展開します。

3. Linux VDAを見つけるためにコンポーネントを展開します。例:

   

4. Linux VDAダウンロードにアクセスするために、Linux VDAリンクをクリックします。

   

5. ご使用のLinuxディストリビューションに一致するLinux VDAパッケージをダウンロードします。

6. Linux VDAパッケージの整合性を検証するために使用できるGPG公開鍵をダウンロードします。例:

   • 

   公開鍵を使用してLinux VDAパッケージの整合性を検証するには:

   • RPMパッケージの場合、公開鍵をRPMデータベースにインポートし、パッケージの整合性を確認するために、以下のコマンドを実行します。

      rpmkeys --import <path to the public key>
      rpm --checksig --verbose <path to the Linux VDA package>
     
      <!--NeedCopy-->
     

   • DEBパッケージの場合、公開鍵をDEBデータベースにインポートし、パッケージの整合性を確認するために、以下のコマンドを実行します。

      sudo apt-get install dpkg-sig
      gpg --import <path to the public key>
      dpkg-sig --verify <path to the Linux VDA package>
      <!--NeedCopy-->
     

ステップ 5: Linux VDAパッケージのインストール

Linux VDAの環境をセットアップするには、以下のコマンドを実行します。

RHELおよびRocky Linuxディストリビューションの場合:

注:

• RHELの場合、Linux VDAを正常にインストールする前にEPELリポジトリをインストールしてください。EPELのインストール方法については、https://docs.fedoraproject.org/en-US/epel/の指示を参照してください。

• RHEL 9.xおよびRocky Linux 9.xにLinux VDAをインストールする前に、libsepolパッケージをバージョン3.4以降に更新してください。

sudo yum -y localinstall <PATH>/<Linux VDA RPM>
<!--NeedCopy-->

注:

GCPでホストされているRHEL 8.x/9.xおよびRocky Linux 8.x/9.xにLinux VDAをインストールした後、VMの再起動後にイーサネット接続が失われ、Linux VDAに到達できなくなる可能性があります。この問題を回避するには、VMに初めてログオンする際にrootパスワードを設定し、rootとしてVMにログオンできることを確認してください。その後、VMを再起動した後にコンソールで以下のコマンドを実行します。

nmcli dev connect eth0
systemctl restart NetworkManager
<!--NeedCopy-->

Ubuntu/Debianディストリビューションの場合:

sudo dpkg -i <PATH>/<Linux VDA deb>
sudo apt-get install -f
<!--NeedCopy-->

注:

• Debian 11ディストリビューションに必要な依存関係をインストールするには、/etc/apt/sources.listファイルにdeb http://deb.debian.org/debian/ bullseye main行を追加します。

• GCP上のUbuntu 24.04/22.04の場合、RDNSを無効にします。そのためには、/etc/krb5.confの[libdefaults]の下にrdns = false行を追加します。

SUSEディストリビューションの場合:

1. AWS、Azure、GCP上のSUSE 15.6の場合、以下を確認してください。

   • libstdc++6バージョン12以降を使用していること。
   • /etc/sysconfig/windowmanager内のDefault_WMパラメーターが“gnome”に設定されていること。

• 1. Linux VDAをインストールするために、以下のコマンドを実行します。

   zypper -i install <PATH>/<Linux VDA RPM>
  
   <!--NeedCopy-->
  

ステップ 6: NVIDIA GRIDドライバーのインストール

HDX™ 3D Proを有効にするには、ハイパーバイザーとVDAマシンにNVIDIA GRIDドライバーをインストールする必要があります。

特定のハイパーバイザーにNVIDIA GRID Virtual GPU Manager（ホストドライバー）をインストールおよび構成するには、以下のガイドを参照してください。

-  [XenServer](/ja-jp/xenserver/8/graphics/vm-graphics-config#install-the-nvidia-drivers)
-  [VMware ESX](https://docs.nvidia.com/vgpu/latest/grid-software-quick-start-guide/index.html#installing-grid-vgpu-manager-vmware-vsphere)

• Nutanix AHV

• NVIDIA GRIDゲストVMドライバーをインストールおよび構成するには、以下の一般的な手順を実行します。

• 1. ゲストVMがシャットダウンされていることを確認します。
• 1. ハイパーバイザーのコントロールパネルで、VMにGPUを割り当てます。
• 1. VMを起動します。
• 1. VMにゲストVMドライバー（クラウドベンダーまたはNVIDIAから提供）をインストールします。

• ステップ 7: 使用するデータベースを指定する

• Linux VDA パッケージのインストール後、SQLite と PostgreSQL を切り替えることができます。そのためには、次の手順を実行します。

注：

• VDI モードでのみ SQLite を使用し、ホスト型共有デスクトップ配信モデルには PostgreSQL を使用することをお勧めします。
• 簡易インストールおよび MCS の場合、手動でインストールすることなく、使用する SQLite または PostgreSQL を指定できます。/etc/xdl/db.conf で別途指定しない限り、Linux VDA はデフォルトで PostgreSQL を使用します。Linux ディストリビューションで提供されるバージョンではなく、カスタムバージョンの PostgreSQL が必要な場合は、指定されたバージョンを手動でインストールし、/etc/xdl/db.conf を編集して新しいバージョンを反映させ、簡易インストールスクリプト (ctxinstall.sh) または MCS スクリプト (deploymcs.sh) を実行する前に PostgreSQL サービスを開始する必要があります。
• /etc/xdl/db.conf を使用して、PostgreSQL のポート番号を構成することもできます。

• 1. (オプション) Linux ディストリビューションで提供されるバージョンではなく、カスタムバージョンの PostgreSQL を使用するには、指定されたバージョンを手動でインストールし、PostgreSQL サービスを開始します。

1. /etc/xdl/db.conf を編集して、使用するデータベースを指定します。以下は、db.conf ファイルの例です。

   # database configuration file for Linux VDA
   
   -  ## database choice
   
   ### possible choices are
   
   ### SQLite
   
   ## PostgreSQL
   
   ## default choice is PostgreSQL
   
   -  DbType="PostgreSQL"
   
   -  ## database port
   
   ## specify database port for the database
   
   ## if not specified, default port will be used
   
   ### SQLite: N/A
   
   #### PostgreSQL: 5432
   
   -  DbPort=5432
   
   ## PostgreSQL customized
   
   only the following value means true, otherwise false
   
   ### true
   
   ## yes
   
   ## y
   
   ### YES
   
   ## Y
   
   ## default is false
   
   DbCustomizePostgreSQL=false
   
   ## PostgreSQL service name
   
   ## specify the service name of PostgreSQL for Linux VDA
   
   default is "postgresql"
   
   DbPostgreSQLServiceName="postgresql"
   
   <!--NeedCopy-->
   

   カスタムバージョンの PostgreSQL を使用するには、DbCustomizePostgreSQL を true に設定します。

2. sudo /opt/Citrix/VDA/sbin/ctxinstall.sh または /opt/Citrix/VDA/bin/easyinstall を実行します。

ステップ 8: 簡易インストールを実行して環境と VDA を構成し、インストールを完了する

Linux VDA パッケージのインストール後、ctxinstall.sh スクリプトまたは GUI を使用して実行環境を構成します。

-  > **注：**
-  > > > -  ランタイム環境をセットアップする前に、OS に **en_US.UTF-8** ロケールがインストールされていることを確認してください。OS でロケールが利用できない場合は、**sudo locale-gen en_US.UTF-8** コマンドを実行します。Debian の場合は、**/etc/locale.gen** ファイルを編集して **# en_US.UTF-8 UTF-8** の行のコメントを解除し、**sudo locale-gen** コマンドを実行します。

ctxinstall.sh

• ctxinstall.sh は簡易インストールスクリプトであり、いくつかの事前構成と VDA 実行環境変数の設定を行います。

• root のみがこのスクリプトを実行できます。

• 簡易インストールでは、すべての環境変数の値を設定、保存、同期するための構成ファイルとして /opt/Citrix/VDA/sbin/ctxinstall.conf を使用します。テンプレート (ctxinstall.conf.tmpl) を注意深く読み、独自の ctxinstall.conf をカスタマイズすることをお勧めします。構成ファイルを初めて作成する場合は、次のいずれかの方法を使用します。
  • /opt/Citrix/VDA/sbin/ctxinstall.conf.tmpl テンプレートファイルをコピーし、/opt/Citrix/VDA/sbin/ctxinstall.conf として保存します。
  • ctxinstall.sh を実行します。ctxinstall.sh を実行するたびに、入力は /opt/Citrix/VDA/sbin/ctxinstall.conf に保存されます。

• 簡易インストールはモジュール実行をサポートしています。モジュールには、事前チェック、インストール、ドメイン構成、セットアップ、および検証が含まれます。

• このスクリプトのデバッグの詳細は、/var/log/xdl/ctxinstall.log で確認できます。

詳細については、ヘルプコマンド ctxinstall.sh -h を使用してください。

注：

• 最小特権の原則に従い、ドメイン参加パスワードがファイルに設定されている可能性があるため、root ユーザーのみが /opt/Citrix/VDA/sbin/ctxinstall.conf を読み取れるようにしてください。
• Linux VDA をアンインストールすると、/opt/Citrix/VDA の下のファイルが削除されます。VDA をアンインストールする前に、/opt/Citrix/VDA/sbin/ctxinstall.conf をバックアップすることをお勧めします。

ctxinstall.sh は対話モードまたはサイレントモードで実行できます。スクリプトを実行する前に、次の環境変数を設定します。

• CTX_XDL_NON_DOMAIN_JOINED=’y|n’ – マシンをドメインに参加させるかどうか。デフォルト値は ‘n’ です。ドメイン参加シナリオの場合は、’n’ に設定します。

• CTX_XDL_AD_INTEGRATION=’sssd|winbind|centrify|pbis|quest’ – Linux VDA は、Delivery Controller で認証するために Kerberos 構成設定を必要とします。Kerberos 構成は、システムにインストールおよび構成されている Active Directory 統合ツールから決定されます。

• CTX_XDL_DDC_LIST=’<list-ddc-fqdns>‘ – Linux VDA は、Delivery Controller に登録するために、スペース区切りの Delivery Controller の完全修飾ドメイン名 (FQDN) のリストを必要とします。少なくとも 1 つの FQDN または CNAME を指定する必要があります。

  • CTX_XDL_VDI_MODE=’y|n’ – マシンを専用デスクトップ配信モデル (VDI) またはホスト型共有デスクトップ配信モデルとして構成するかどうか。HDX 3D Pro 環境の場合は、値を ‘y’ に設定します。

  • CTX_XDL_HDX_3D_PRO=’y|n’ – Linux VDA は、リッチグラフィックアプリケーションの仮想化を最適化するために設計された GPU アクセラレーションテクノロジーのセットである HDX 3D Pro をサポートしています。HDX 3D Pro が選択されている場合、VDA は VDI デスクトップ (シングルセッション) モード (つまり、CTX_XDL_VDI_MODE=‘y’) 用に構成されます。

• CTX_XDL_START_SERVICE=’y|n’ – 構成が完了したときに Linux VDA サービスを開始するかどうかを決定します。

• CTX_XDL_REGISTER_SERVICE=’y|n’ – Linux Virtual Desktop サービスは、マシンの起動後に開始されます。

  • CTX_XDL_ADD_FIREWALL_RULES=’y|n’ – Linux VDA サービスでは、システムファイアウォールを介した受信ネットワーク接続が許可されている必要があります。Linux Virtual Desktop のシステムファイアウォールで、必要なポート (デフォルトではポート 80 および 1494) を自動的に開くことができます。

  • CTX_XDL_DESKTOP_ENVIRONMENT=gnome/gnome-classic/kde/mate/xfce/’<none>‘ – セッションで使用する GNOME、GNOME Classic、KDE、MATE、または Xfce デスクトップ環境を指定します。’<none>‘ に設定すると、VDA で構成されているデフォルトのデスクトップが使用されます。

• CTX_XDL_DOTNET_RUNTIME_PATH=path-to-install-dotnet-runtime – 新しいブローカーエージェントサービス (ctxvda) をサポートするために .NET をインストールするパス。デフォルトパスは ‘/usr/bin’ です。

  • CTX_XDL_VDA_PORT=port-number – Linux VDA は、TCP/IP ポートを介して Delivery Controller と通信します。

  • CTX_XDL_SITE_NAME=<dns-name> – Linux VDA は、DNS を介して LDAP サーバーを検出します。DNS 検索結果をローカルサイトに制限するには、DNS サイト名を指定します。不要な場合は、’<none>‘ に設定します。

  • CTX_XDL_LDAP_LIST=’<list-ldap-servers>‘ – Linux VDA は、DNS を照会して LDAP サーバーを検出します。DNS が LDAP サービスレコードを提供できない場合は、LDAP ポートを含むスペース区切りの LDAP FQDN のリストを指定できます。例：ad1.mycompany.com:389 ad2.mycompany.com:3268 ad3.mycompany.com:3268。Active Directory フォレスト内でより高速な LDAP クエリを有効にするには、ドメインコントローラーでグローバルカタログを有効にし、関連する LDAP ポート番号を 3268 として指定します。この変数はデフォルトで ’<none>‘ に設定されています。

• CTX_XDL_SEARCH_BASE=search-base-set – Linux VDA は、Active Directory ドメインのルート (例: DC=mycompany,DC=com) に設定された検索ベースを介して LDAP を照会します。検索パフォーマンスを向上させるには、検索ベース (例: OU=VDI,DC=mycompany,DC=com) を指定できます。不要な場合は、’<none>‘ に設定します。

• CTX_XDL_SUPPORT_DDC_AS_CNAME=’y|n’ – Linux VDA は、DNS CNAME レコードを使用して Delivery Controller 名を指定することをサポートしています。

• CTX_EASYINSTALL_DNS=’<ip-address-of-dns>‘ – DNSのIPアドレス。

• CTX_EASYINSTALL_HOSTNAME=host-name – Linux VDAサーバーのホスト名。

• CTX_EASYINSTALL_NTPS=address-of-ntps – NTPサーバーのIPアドレスまたは文字列名。

• CTX_EASYINSTALL_REALM=realm-name – Kerberosレルム名。

  • CTX_EASYINSTALL_FQDN=ad-fqdn-name

  • CTX_EASYINSTALL_USERNAME=domain-user-name – マシンをドメインに参加させるユーザーの名前。

• CTX_EASYINSTALL_PASSWORD=password – マシンをドメインに参加させるユーザーのパスワード。

注：

ドメイン参加には管理者アカウントを使用しないことをお勧めします。代わりに、管理者アカウント以外のActive Directoryユーザーにドメイン参加権限を委任してください。これを行うには、Delegation of Control Wizardを使用してドメインコントローラーで制御を委任します。

以下の4つの変数はオプションです。これらが設定されていなくても、ctxinstall.shはサイレントモードで中断せず、インタラクティブモードでユーザー入力が求められることもありません。これらの変数は、値をエクスポートするか、/Citrix/VDA/sbin/ctxinstall.confを編集することによってのみ設定できます。

• CTX_EASYINSTALL_NETBIOS_DOMAIN=netbios-domain-name – NetBIOSドメイン名は通常、ドット（.）で区切られたDNSドメイン名の最初のコンポーネントです。それ以外の場合は、別のNetBIOSドメイン名をカスタマイズします。この変数はオプションです。

• CTX_EASYINSTALL_OU=ou-value – OUの値は、さまざまなAD統合方法によって異なります。OU値の例については、この記事の考慮事項セクションの表を参照してください。この変数はオプションです。
• CTX_EASYINSTALL_TRUSTED_DOMAINS=trusted-domains – マルチドメイン環境の場合、信頼されたドメインのスペース区切りリスト（例：「mycompany1.com mycompany2.com」）を指定します。これにより、/etc/krb5.confの信頼されたドメインが更新され、CTX_XDL_LDAP_LISTが指定されていない場合、それらのドメイン内のLDAPサーバーの自動検出が有効になります。この変数はオプションです。

注

SSSDは、単一のActive Directoryフォレスト内の信頼されたドメインのみをサポートします。

• CTX_EASYINSTALL_CENTRIFY_LOCAL_PATH=centrify-local-path – Easy Installは、インターネットからCentrifyパッケージをダウンロードするのに役立ちます。ただし、Centrifyがすでにインストールされている場合は、この変数で定義されたローカルディレクトリからCentrifyパッケージを取得できます。この変数はオプションです。
• CTX_EASYINSTALL_PBIS_LOCAL_PATH= pbis-local-path – Easy Installは、インターネットからPBISパッケージをダウンロードするのに役立ちます。ただし、PBISがすでにインストールされている場合は、この変数で定義されたローカルディレクトリからPBISパッケージを取得できます。この変数はオプションです。
• CTX_EASYINSTALL_QUEST_LOCAL_PATH=quest-local-path - vastool実行可能ファイルを含むローカルパス。設定されていない場合、デフォルトパス/opt/quest/binが使用されます。この変数はオプションです。
• CTX_XDL_DJ_ENROLLMENT_TOKEN_FILE='<none>' - Delivery ControllerへのWebSocket接続用の登録トークンファイルへのフルパス。この変数はオプションです。
• CTX_XDL_ENROLLMENT_TOOL_USING_LDAPS=’n’ - VdaEnrollmentToolがコンピューターSIDのクエリにLDAPSを使用するかどうかを決定します。LDAPSを使用する場合は、LDAPサーバーがローカルシステム証明書で検証可能であることを確認してください。この変数はオプションです。

考慮事項

• NetBIOSドメイン名は通常、ドット（.）で区切られたDNSドメイン名の最初のコンポーネントです。環境内で異なるNetBIOSドメイン名をカスタマイズするには、環境変数CTX_EASYINSTALL_NETBIOS_DOMAINを/opt/Citrix/VDA/sbin/ctxinstall.confに設定します。

• VDAを特定のOUに参加させるには、次の手順を実行します。

  1. 特定のOUがドメインコントローラーに存在することを確認します。

     OUの例については、次のスクリーンショットを参照してください。

     

  2. 環境変数CTX_EASYINSTALL_OUを/opt/Citrix/VDA/sbin/ctxinstall.confに設定します。

     OUの値は、さまざまなAD方法によって異なります。次の表は、上記のスクリーンショットのOU名の例を反映しています。組織内の他のOU名を使用することもできます。

     OS	Winbind	SSSD	Centrify	PBIS
     Debian	"Linux/debian"	"Linux/debian"	"XD.LOCAL/Linux/debian"	"Linux/debian"
     RHEL 9.7/9.6/9.4, Rocky Linux 9.7/9.6/9.4	"OU=redhat,OU=Linux"	"OU=redhat,OU=Linux"	N/A	N/A
     RHEL 8.x	"OU=redhat,OU=Linux"	"OU=redhat,OU=Linux"	"XD.LOCAL/Linux/redhat"	"Linux/redhat"
     Rocky Linux 8.x	"OU=redhat,OU=Linux"	"OU=redhat,OU=Linux"	N/A	N/A
     SUSE	"Linux/suse"	"Linux/suse"	"XD.LOCAL/Linux/suse"	"Linux/suse"
     Ubuntu	"Linux/ubuntu"	"Linux/ubuntu"	"XD.LOCAL/Linux/ubuntu"	"Linux/ubuntu"

• Centrifyは純粋なIPv6 DNS構成をサポートしていません。adclientがADサービスを適切に検出するには、/etc/resolv.confにIPv4を使用するDNSサーバーが少なくとも1つ必要です。

  • ログ：

   ADSITE   : Check that this machine's subnet is in a site known by AD   : Failed
            : This machine's subnet is not known by AD.
            : We guess you should be in the site Site1.
   <!--NeedCopy-->
  

  この問題はCentrifyとその構成に固有のものです。この問題を解決するには、次の手順を実行します。

  a. ドメインコントローラーで管理ツールを開きます。 b. Active Directoryサイトとサービスを選択します。 c. サブネットに適切なサブネットアドレスを追加します。

• Easy Installは、Linux VDA 7.16以降、純粋なIPv6をサポートしています。以下の前提条件と制限が適用されます。

  • マシンが純粋なIPv6ネットワーク経由で必要なパッケージをダウンロードできるように、Linuxリポジトリが構成されている必要があります。
  • Centrifyは純粋なIPv6ネットワークではサポートされていません。

  注：

  ネットワークが純粋なIPv6であり、すべての入力が適切なIPv6形式である場合、VDAはIPv6を介してDelivery Controller™に登録されます。ネットワークがハイブリッドIPv4およびIPv6構成である場合、最初のDNS IPアドレスのタイプによって、登録にIPv4またはIPv6のどちらが使用されるかが決まります。

• セッションで使用するデスクトップ環境は、前述のCTX_XDL_DESKTOP_ENVIRONMENT変数を使用して指定できます。コマンドを実行するか、システムトレイを使用することによって、デスクトップ環境を切り替えることもできます。詳細については、デスクトップ切り替えコマンドおよびシステムトレイを参照してください。

• ドメインに参加する方法としてCentrifyを選択した場合、ctxinstall.shスクリプトにはCentrifyパッケージが必要です。ctxinstall.shがCentrifyパッケージを取得する方法は次のとおりです。

  • Easy Installは、インターネットからCentrifyパッケージを自動的にダウンロードするのに役立ちます。各ディストリビューションのURLは次のとおりです。

    RHEL: wget https://downloads.centrify.com/products/server-suite/2022/component-update-1/delinea-server-suite-2022-rhel6-x86_64.tgz

    SUSE: wget https://downloads.centrify.com/products/server-suite/2022/component-update-1/delinea-server-suite-2022-suse12-x86_64.tgz

    Ubuntu/Debian: wget https://downloads.centrify.com/products/server-suite/2022/component-update-1/delinea-server-suite-2022-deb9-x86_64.tgz

  • Centrifyがすでにインストールされている場合、ローカルディレクトリからCentrifyパッケージを取得します。Centrifyパッケージのディレクトリを指定するには、/opt/Citrix/VDA/sbin/ctxinstall.confでCTX_EASYINSTALL_CENTRIFY_LOCAL_PATH=/home/mydirを設定します。例：

     ls  -ls  /home/mydir
         9548 -r-xr-xr-x. 1 root root  9776688 May 13  2016 adcheck-rhel4-x86_64
         4140 -r--r--r--. 1 root root  4236714 Apr 21  2016 centrifyda-3.3.1-rhel4-x86_64.rpm
         33492 -r--r--r--. 1 root root 34292673 May 13  2016 centrifydc-5.3.1-rhel4-x86_64.rpm
         4 -rw-rw-r--. 1 root root     1168 Dec  1  2015 centrifydc-install.cfg
         756 -r--r--r--. 1 root root   770991 May 13  2016 centrifydc-ldapproxy-5.3.1-rhel4-x86_64.rpm
         268 -r--r--r--. 1 root root   271296 May 13  2016 centrifydc-nis-5.3.1-rhel4-x86_64.rpm
         1888 -r--r--r--. 1 root root  1930084 Apr 12  2016 centrifydc-openssh-7.2p2-5.3.1-rhel4-x86_64.rpm
         124 -rw-rw-r--. 1 root root   124543 Apr 19  2016 centrify-suite.cfg
         0 lrwxrwxrwx. 1 root root       10 Jul  9  2012 install-express.sh -> install.sh
         332 -r-xr-xr--. 1 root root   338292 Apr 10  2016 install.sh
         12 -r--r--r--. 1 root root    11166 Apr  9  2015 release-notes-agent-rhel4-x86_64.txt
         4 -r--r--r--. 1 root root     3732 Aug 24  2015 release-notes-da-rhel4-x86_64.txt
         4 -r--r--r--. 1 root root     2749 Apr  7  2015 release-notes-nis-rhel4-x86_64.txt
         12 -r--r--r--. 1 root root     9133 Mar 21  2016 release-notes-openssh-rhel4-x86_64.txt
     <!--NeedCopy-->
    

• ドメイン参加の方法としてPBISを選択した場合、ctxinstall.shスクリプトにはPBISパッケージが必要です。ctxinstall.shがPBISパッケージを取得する方法は次のとおりです。

  • Easy Installは、インターネットからPBISパッケージを自動的にダウンロードするのに役立ちます。たとえば、各ディストリビューションのURLは次のとおりです。

    RHEL 8、SUSE 15.6: wget https://github.com/BeyondTrust/pbis-open/releases/download/9.1.0/pbis-open-9.1.0.551.linux.x86_64.rpm.sh

    Debian、Ubuntu: wget https://github.com/BeyondTrust/pbis-open/releases/download/9.1.0/pbis-open-9.1.0.551.linux.x86_64.deb.sh

  • インターネットからPBISパッケージの特定のバージョンを取得します。これを行うには、/opt/Citrix/VDA/sbin/ctxinstall.shファイル内の「pbisDownloadRelease」および「pbisDownloadExpectedSHA256」の行を変更します。

    例については、次のスクリーンショットを参照してください。

    

  • PBISがすでにインストールされている場合、ローカルディレクトリからPBISパッケージを取得します。PBISパッケージのディレクトリを指定するには、/opt/Citrix/VDA/sbin/ctxinstall.confで環境変数CTX_EASYINSTALL_PBIS_LOCAL_PATHを設定します。

対話モード

ctxinstall.shスクリプトを対話モードで実行するには、-Sオプションなしでsudo /opt/Citrix/VDA/sbin/ctxinstall.shコマンドを使用します。コマンドラインインターフェイスの各プロンプトで関連する変数値を入力します。変数がすでに設定されている場合、変更したい場合にctxinstall.shは確認を求めます。

サイレントモード

サイレントモードでは、/opt/Citrix/VDA/sbin/ctxinstall.confまたはexportコマンドを使用して、前述の変数を設定する必要があります。その後、ctxinstall.sh -Sを実行します（ここでの文字Sは大文字であることに注意してください）。必要な変数がすべて設定されていないか、一部の値が無効な場合、デフォルト値がない限り、ctxinstall.shは実行を中止します。

各変数のエクスポートされた値は、設定されていない場合を除き、/Citrix/VDA/sbin/ctxinstall.confの値を上書きします。ドメイン参加パスワードを除くすべての更新された値は、/Citrix/VDA/sbin/ctxinstall.confに保存されます。したがって、サイレントモードでは、/Citrix/VDA/sbin/ctxinstall.confでドメイン参加パスワードを設定するか、パスワードをエクスポートする必要があります。

export CTX_XDL_NON_DOMAIN_JOINED='n'
export CTX_XDL_AD_INTEGRATION=sssd|winbind|centrify|pbis|quest
export CTX_XDL_DDC_LIST='<list-ddc-fqdns>'
export CTX_XDL_VDI_MODE='y|n'
export CTX_XDL_HDX_3D_PRO='y|n'
export CTX_XDL_START_SERVICE='y|n'
export CTX_XDL_REGISTER_SERVICE='y|n'
export CTX_XDL_ADD_FIREWALL_RULES='y|n'
export CTX_XDL_DESKTOP_ENVIRONMENT=gnome|gnome-classic|kde|mate|xfce|'<none>'
export CTX_XDL_DOTNET_RUNTIME_PATH='<path-to-install-dotnet-runtime>'
export CTX_XDL_VDA_PORT='<port-number>'
export CTX_XDL_SITE_NAME='<dns-site-name>'|'<none>'
export CTX_XDL_LDAP_LIST='<list-ldap-servers>'|'<none>'
export CTX_XDL_SEARCH_BASE='<search-base-set>'|'<none>'
export CTX_XDL_SUPPORT_DDC_AS_CNAME='y|n'
export CTX_EASYINSTALL_DNS='<ip-address-of-dns>'
export CTX_EASYINSTALL_HOSTNAME='<host-name>'
export CTX_EASYINSTALL_NTPS='<address-of-ntps>'
export CTX_EASYINSTALL_REALM='<realm-name>'
export CTX_EASYINSTALL_FQDN='<ad-fqdn-name>'
export CTX_EASYINSTALL_USERNAME='<domain-user-name>'
export CTX_EASYINSTALL_PASSWORD='<password>'
export CTX_EASYINSTALL_NETBIOS_DOMAIN='<netbios-domain>'
export CTX_EASYINSTALL_OU='<organization-unit>'
sudo -E /opt/Citrix/VDA/sbin/ctxinstall.sh -S
<!--NeedCopy-->

sudoコマンドを実行するときは、既存の環境変数を新しく作成されるシェルに渡すために-Eオプションを入力します。前述のコマンドから、最初の行に#!/bin/bashを含むシェルスクリプトファイルを作成することをお勧めします。

または、単一のコマンドを使用してすべての変数を指定することもできます。

VDA実行環境変数（「CTX_XDL_」で始まるもの）を設定するには、ctxinstall.sh -sを実行できます（ここでの文字sは小文字であることに注意してください）。

GUI

GUIを介してEasy Installを使用できます。VDAのデスクトップ環境で/opt/Citrix/VDA/bin/easyinstallコマンドを実行し、Easy Install GUIの指示に従います。

Easy Install GUIは、次の操作をガイドします。

• システム環境の確認
• データベースの構成
• 依存関係のインストール
• VDAの指定ドメインへの参加
• ランタイム環境の構成

ヒント:

保存をクリックすると、変数設定が指定したパスのローカルファイルに保存されます。読み込みをクリックすると、指定したファイルから変数設定が読み込まれます。

ステップ 9: XDPingの実行

sudo /opt/Citrix/VDA/bin/xdpingを実行して、Linux VDA環境における一般的な構成の問題を確認します。詳細については、「XDPing」を参照してください。

ステップ 10: Linux VDAの実行

Linux VDAの開始:

Linux VDAサービスを開始するには：

sudo systemctl start ctxhdx.service

sudo systemctl start ctxvda.service
<!--NeedCopy-->

Linux VDAの停止:

Linux VDAサービスを停止するには：

sudo systemctl stop ctxvda.service

sudo systemctl stop ctxhdx.service
<!--NeedCopy-->

注：

ctxvdaサービスとctxhdxサービスを停止する前に、systemctl stop ctxmonitordコマンドを実行してモニターサービスデーモンを停止してください。そうしないと、モニターサービスデーモンが停止したサービスを再起動します。

Linux VDAの再起動：

Linux VDAサービスを再起動するには：

sudo systemctl stop ctxvda.service

sudo systemctl restart ctxhdx.service

sudo systemctl start ctxvda.service
<!--NeedCopy-->

Linux VDAのステータス確認：

Linux VDAサービスの実行ステータスを確認するには：

sudo systemctl status ctxvda.service

sudo systemctl status ctxhdx.service
<!--NeedCopy-->

ステップ 11：マシンカタログの作成

マシンカタログを作成し、Linux VDAマシンを追加するプロセスは、従来のWindows VDAのアプローチと同様です。これらのタスクを完了する方法の詳細については、「マシンカタログの作成」および「マシンカタログの管理」を参照してください。

Linux VDAマシンを含むマシンカタログを作成する場合、Windows VDAマシン用のマシンカタログを作成するプロセスとは異なるいくつかの制限があります。

• オペレーティングシステムの場合、以下を選択します：
  • ホスト型共有デスクトップ配信モデルの場合は、Multi-session OSオプション。
  • VDI専用デスクトップ配信モデルの場合は、Single-session OSオプション。
• 同じマシンカタログにLinux VDAマシンとWindows VDAマシンを混在させないでください。

注：

Citrix Studioの初期バージョンでは、「Linux OS」という概念はサポートされていませんでした。ただし、Windows Server OSまたはServer OSオプションを選択すると、同等のホスト型共有デスクトップ配信モデルが暗示されます。Windows Desktop OSまたはDesktop OSオプションを選択すると、マシンあたり1ユーザーの配信モデルが暗示されます。

ヒント：

マシンをActive Directoryドメインから削除して再参加させる場合、そのマシンをマシンカタログから削除して再度追加する必要があります。

ステップ 12：デリバリーグループの作成

デリバリーグループを作成し、Linux VDAマシンを含むマシンカタログを追加するプロセスは、Windows VDAマシンとほぼ同じです。これらのタスクを完了する方法の詳細については、「デリバリーグループの作成」を参照してください。

Linux VDAマシンカタログを含むデリバリーグループを作成する場合、以下の制限が適用されます：

• 選択したADユーザーとグループが、Linux VDAマシンにログオンするように適切に構成されていることを確認してください。
• 認証されていない（匿名）ユーザーのログオンを許可しないでください。
• デリバリーグループと、Windowsマシンを含むマシンカタログを混在させないでください。

重要：

アプリケーションの公開は、Linux VDAバージョン1.4以降でサポートされています。ただし、Linux VDAは、同じマシンへのデスクトップとアプリケーションの配信をサポートしていません。

マシンカタログとデリバリーグループの作成方法については、「Citrix Virtual Apps and Desktops 7 2503」を参照してください。

ステップ 13：Linux VDAのアップグレード（オプション）

Linux VDAは、最新バージョンからのアップグレードをサポートしています。たとえば、Linux VDAを2308から2311へ、および1912 LTSRから2203 LTSRへアップグレードできます。

注：

• 既存のインストールをアップグレードすると、/etc/xdlの下にある構成ファイルが上書きされます。アップグレードを行う前に、ファイルをバックアップしてください。

• 2407リリース以降、Linux VDAはアップグレード中の構成ファイルの処理をパッケージマネージャーのrpmまたはdpkgに委任します。rpmとdpkgが構成ファイルの変更とどのように相互作用するかを以下に示します：

  • rpm：デフォルトではローカルバージョンを保持し、パッケージからの新しいバージョンを.rpmnew拡張子で保存します。

  • dpkg：どのように続行するかを選択するよう対話形式でプロンプトを表示します。ローカル構成ファイルを保持し、新しいパッケージバージョンを.dpkg-newまたは.dpkg-distとして保存しながら、Linux VDAをサイレントアップグレードするには、次のコマンドを使用します：

     dpkg --force-confold -i package.deb  # Always keep your version, then save new package's version as *.dpkg-new or *.dpkg-dist
     <!--NeedCopy-->
    

RHELおよびRocky Linuxディストリビューションの場合：

sudo yum -y localinstall <PATH>/<Linux VDA RPM>
<!--NeedCopy-->

注：

RHEL 9.xおよびRocky Linux 9.xでLinux VDAをアップグレードする前に、libsepolパッケージをバージョン3.4以降に更新してください。

SUSEディストリビューションの場合：

sudo zypper -i install <PATH>/<Linux VDA RPM>
<!--NeedCopy-->

Ubuntu/Debianディストリビューションの場合：

sudo dpkg -i <PATH>/<Linux VDA deb>

sudo apt-get install -f
<!--NeedCopy-->

トラブルシューティング

このセクションの情報を使用して、簡易インストール機能の使用から発生する可能性のある問題をトラブルシューティングしてください。

SSSDを使用したドメイン参加の失敗

ドメインに参加しようとすると、次のような出力でエラーが発生する場合があります（画面出力についてはログを確認してください）：

Step 6: join Domain!Enter ctxadmin's password:Failed to join domain: failed to lookup DC info for domain 'CITRIXLAB.LOCAL' over rpc: The network name cannot be found

/var/log/xdl/vda.log:

2016-11-04 02:11:52.317 [INFO ] - The Citrix Desktop Service successfully obtained the following list of 1 delivery controller(s) with which to register: 'CTXDDC.citrixlab.local (10.158.139.214)'.
2016-11-04 02:11:52.362 [ERROR] - RegistrationManager.AttemptRegistrationWithSingleDdc: Failed to register with http://CTXDDC.citrixlab.local:80/Citrix/CdsController/IRegistrar. Error: General security error (An error occurred in trying to obtain a TGT: Client not found in Kerberos database (6))
2016-11-04 02:11:52.362 [ERROR] - The Citrix Desktop Service cannot connect to the delivery controller 'http://CTXDDC.citrixlab.local:80/Citrix/CdsController/IRegistrar' (IP Address '10.158.139.214')
Check the following:- The system clock is in sync between this machine and the delivery controller.
-  The Active Directory provider (e.g. winbind daemon) service is running and correctly configured.
-  Kerberos is correctly configured on this machine.
If the problem persists, please refer to Citrix Knowledge Base article CTX117248 for further information.
Error Details:
Exception 'General security error (An error occurred in trying to obtain a TGT: Client not found in Kerberos database (6))' of type 'class javax.xml.ws.soap.SOAPFaultException'.
2016-11-04 02:11:52.362 [INFO ] - RegistrationManager.AttemptRegistrationWithSingleDdc: The current time for this VDA is Fri Nov 04 02:11:52 EDT 2016.
Ensure that the system clock is in sync between this machine and the delivery controller.
Verify the NTP daemon is running on this machine and is correctly configured.
2016-11-04 02:11:52.364 [ERROR] - Could not register with any controllers. Waiting to try again in 120000 ms. Multi-forest - false
2016-11-04 02:11:52.365 [INFO ] - The Citrix Desktop Service failed to register with any controllers in the last 470 minutes.
<!--NeedCopy-->

/var/log/messages:

Nov 4 02:15:27 RH-WS-68 [sssd[ldap_child[14867]]]: Failed to initialize credentials using keytab [MEMORY:/etc/krb5.keytab]: Client 'RH-WS-68$@CITRIXLAB.LOCAL' not found in Kerberos database. Unable to create GSSAPI-encrypted LDAP connection.Nov 4 02:15:27 RH-WS-68 [sssd[ldap_child[14867]]]: Client 'RH-WS-68$@CITRIXLAB.LOCAL' not found in Kerberos database

この問題を解決するには:

1. rm -f /etc/krb5.keytab コマンドを実行します。
2. net ads leave $REALM -U $domain-administrator コマンドを実行します。
3. Delivery Controller 上のマシンカタログとデリバリーグループを削除します。
4. /opt/Citrix/VDA/sbin/ctxinstall.sh を実行します。
5. Delivery Controller 上でマシンカタログとデリバリーグループを作成します。

Ubuntu デスクトップセッションのグレースクリーン表示

この問題は、セッションを起動した後に空白のデスクトップでブロックされる場合に発生します。さらに、ローカルユーザーアカウントを使用してログオンすると、マシンのコンソールもグレースクリーンを表示します。

この問題を解決するには:

1. sudo apt-get update コマンドを実行します。
2. sudo apt-get install unity lightdm コマンドを実行します。
3. /etc/lightdm/lightdm.conf に次の行を追加します: greeter-show-manual-login=true

ホームディレクトリの欠落による Ubuntu デスクトップセッション起動の失敗

/var/log/xdl/hdx.log:

2016-11-02 13:21:19.015 <P22492:S1> citrix-ctxlogin: StartUserSession: failed to change to directory(/home/CITRIXLAB/ctxadmin) errno(2)

2016-11-02 13:21:19.017 <P22227> citrix-ctxhdx: logSessionEvent: Session started for user ctxadmin.

2016-11-02 13:21:19.023 <P22492:S1> citrix-ctxlogin: ChildPipeCallback: Login Process died: normal.

2016-11-02 13:21:59.217 <P22449:S1> citrix-ctxgfx: main: Exiting normally.
<!--NeedCopy-->

ヒント:

この問題の根本原因は、ドメイン管理者用のホームディレクトリが作成されていないことです。

この問題を解決するには:

1. コマンドラインから pam-auth-update と入力します。

2. 表示されるダイアログで、Create home directory login が選択されていることを確認します。

   

dbus エラーによるセッション起動失敗または即時終了

/var/log/messages (RHEL または CentOS の場合):

Oct 27 04:17:16 CentOS7 citrix-ctxhdx[8978]: Session started for user CITRIXLAB\ctxadmin.

Oct 27 04:17:18 CentOS7 kernel: traps: gnome-session[19146] trap int3 ip:7f89b3bde8d3 sp:7fff8c3409d0 error:0

Oct 27 04:17:18 CentOS7 gnome-session[19146]: ERROR: Failed to connect to system bus: Exhausted all available authentication mechanisms (tried: EXTERNAL, DBUS_COOKIE_SHA1, ANONYMOUS) (available: EXTERNAL, DBUS_COOKIE_SHA1, ANONYMOUS)#012aborting...

Oct 27 04:17:18 CentOS7 gnome-session: gnome-session[19146]: ERROR: Failed to connect to system bus: Exhausted all available authentication mechanisms (tried: EXTERNAL, DBUS_COOKIE_SHA1, ANONYMOUS) (available: EXTERNAL, DBUS_COOKIE_SHA1, ANONYMOUS)

Oct 27 04:17:18 CentOS7 gnome-session: aborting...

Oct 27 04:17:18 CentOS7 citrix-ctxgfx[18981]: Exiting normally.

Oct 27 04:17:18 CentOS7 citrix-ctxhdx[8978]: Session stopped for user CITRIXLAB\ctxadmin.
<!--NeedCopy-->

または、Ubuntu ディストリビューションの場合は、ログ /var/log/syslog を使用します:

Nov  3 11:03:52 user01-HVM-domU pulseaudio[25326]: [pulseaudio] pid.c: Stale PID file, overwriting.

Nov  3 11:03:52 user01-HVM-domU pulseaudio[25326]: [pulseaudio] bluez5-util.c: Failed to get D-Bus connection: Did not receive a reply. Possible causes include: the remote application did not send a reply, the message bus security policy blocked the reply, the reply timeout expired, or the network connection was broken.

Nov  3 11:03:52 user01-HVM-domU pulseaudio[25326]: [pulseaudio] hashmap.c: Assertion 'h' failed at pulsecore/hashmap.c:116, function pa_hashmap_free(). Aborting.

Nov  3 11:03:52 user01-HVM-domU pulseaudio[25352]: [pulseaudio] core-util.c: Failed to connect to system bus: Did not receive a reply. Possible causes include: the remote application did not send a reply, the message bus security policy blocked the reply, the reply timeout expired, or the network connection was broken.

Nov  3 11:03:52 user01-HVM-domU pulseaudio[25352]: message repeated 10 times: [ [pulseaudio] core-util.c: Failed to connect to system bus: Did not receive a reply. Possible causes include: the remote application did not send a reply, the message bus security policy blocked the reply, the reply timeout expired, or the network connection was broken.]

Nov  3 11:03:52 user01-HVM-domU pulseaudio[25352]: [pulseaudio] pid.c: Daemon already running.Nov  3 11:03:58 user01-HVM-domU citrix-ctxgfx[24693]: Exiting normally
<!--NeedCopy-->

一部のグループまたはモジュールは、再起動するまで有効になりません。ログに dbus エラーメッセージが表示される場合は、システムを再起動して再試行することをお勧めします。

SELinux による SSHD のホームディレクトリへのアクセス防止

ユーザーはセッションを起動できますが、ログオンできません。

/var/log/xdl/ctxinstall.log:

Jan 25 23:30:31 yz-rhel72-1 setroubleshoot[3945]: SELinux is preventing /usr/sbin/sshd from setattr access on the directory /root. For complete SELinux messages. run sealert -l 32f52c1f-8ff9-4566-a698-963a79f16b81

Jan 25 23:30:31 yz-rhel72-1 python[3945]: SELinux is preventing /usr/sbin/sshd from setattr access on the directory /root.

*****  Plugin catchall_boolean (89.3 confidence) suggests   ******************

If you want to allow polyinstantiation to enabled

   Then you must tell SELinux about this by enabling the 'polyinstantiation_enabled' boolean.

You can read 'None' man page for more details.

    Do

       setsebool -P polyinstantiation_enabled 1

*****  Plugin catchall (11.6 confidence) suggests   **************************

If you believe that sshd should be allowed setattr access on the root directory by default.

Then you should report this as a bug.

You can generate a local policy module to allow this access.

      Do

       allow this access for now by executing:

       # grep sshd /var/log/audit/audit.log | audit2allow -M mypol

# semodule -i mypol.pp
<!--NeedCopy-->

この問題を解決するには:

1. /etc/selinux/config に次の変更を加えて SELinux を無効にします。

   SELINUX=disabled

2. VDA を再起動します。