适用于 SUSE 的 Linux Virtual Delivery Agent 安装
您可以选择按照本文中的步骤进行手动安装,也可以使用简易安装进行自动安装和配置。简易安装比手动安装更省时省力,且不易出错。
注意:
仅将简易安装用于全新安装。请勿使用简易安装更新现有安装。
步骤 1:准备安装
步骤 1a:启动 YaST 工具
SUSE Linux Enterprise YaST 工具用于配置操作系统的所有方面。
要启动基于文本的 YaST 工具:
su -
yast
<!--NeedCopy-->
或者,启动基于 UI 的 YaST 工具:
su -
- yast2 &
<!--NeedCopy-->
- ### 步骤 1b:配置网络
以下各节提供了有关配置 Linux VDA 使用的各种网络设置和服务的信息。网络配置通过 YaST 工具进行,而不是通过 Network Manager 等其他方法进行。这些说明基于使用基于 UI 的 YaST 工具。可以使用基于文本的 YaST 工具,但其导航方法不同,此处未作说明。
配置主机名和 DNS
- 打开 YaST 网络设置。
- 仅限 SLED 12:在全局选项选项卡上,将网络设置方法更改为 Wicked Service。
- 打开主机名/DNS 选项卡。
- 清除通过 DHCP 更改主机名。
- 选中将主机名分配给环回 IP。
- 编辑以下内容以反映您的网络设置:
- 主机名 – 添加计算机的 DNS 主机名。
- 域名 – 添加计算机的 DNS 域名。
- 名称服务器 – 添加 DNS 服务器的 IP 地址。通常是 AD 域控制器的 IP 地址。
- 域搜索列表 – 添加 DNS 域名。
注意:
Linux VDA 当前不支持 NetBIOS 名称截断。因此,主机名不得超过 15 个字符。
提示:
仅使用 a–z、A–Z、0–9 和连字符 (-) 字符。避免使用下划线 (_)、空格和其他符号。主机名不能以数字开头,也不能以连字符结尾。此规则也适用于 Delivery Controller 主机名。
禁用多播 DNS
仅在 SLED 上,默认设置已启用多播 DNS (mDNS),这可能导致名称解析结果不一致。mDNS 默认未在 SLES 上启用,因此无需执行任何操作。
要禁用 mDNS,请编辑 /etc/nsswitch.conf 并将包含以下内容的行:
hosts: files mdns_minimal [NOTFOUND=return] dns
更改为:
hosts: files dns
检查主机名
验证主机名是否已正确设置:
hostname
<!--NeedCopy-->
此命令仅返回计算机的主机名,而不返回其完全限定域名 (FQDN)。
验证 FQDN 是否已正确设置:
- hostname -f
<!--NeedCopy-->
验证您是否可以解析 FQDN 并 ping 域控制器和 Delivery Controller™:
nslookup domain-controller-fqdn
ping domain-controller-fqdn
nslookup delivery-controller-fqdn
ping delivery-controller-fqdn
<!--NeedCopy-->
如果您无法解析 FQDN 或 ping 这些计算机中的任何一台,请在继续之前检查这些步骤。
步骤 1c:配置 NTP 服务
保持 VDA、Delivery Controller 和域控制器之间精确的时钟同步至关重要。将 Linux VDA 作为虚拟机托管可能会导致时钟偏差问题。因此,首选使用远程 NTP 服务来维护时间。可能需要对默认 NTP 设置进行一些更改:
- 打开 YaST NTP 配置并选择常规设置选项卡。
- 在“启动 NTP 守护程序”部分中,选中现在和启动时。
- 如果存在,请选择无纪律本地时钟 (LOCAL) 项并单击删除。
- 通过单击添加来添加 NTP 服务器条目。
- 选择服务器类型并单击下一步。
- 在“地址”字段中键入 NTP 服务器的 DNS 名称。此服务通常托管在 Active Directory 域控制器上。
- 保持“选项”字段不变。
- 单击测试以验证 NTP 服务是否可达。
- 单击一系列窗口中的确定以保存更改。
注意:
对于 SLES 12 实施,NTP 守护程序可能由于 SUSE AppArmor 策略的已知问题而无法启动。有关其他信息,请遵循解决方案。
步骤 1d:安装 Linux VDA 依赖包
适用于 SUSE Linux Enterprise 的 Linux VDA 软件依赖于以下软件包:
- Postgresql10-server 10.12 或更高版本
- OpenJDK 1.8.0
- OpenMotif Runtime Environment 2.3.1 或更高版本
- Cups 1.6.0 或更高版本
- Foomatic filters 3.0.0 或更高版本
- ImageMagick 6.8 或更高版本
添加存储库
您可以从 SUSE Linux Enterprise Software Development Kit (SDK) 获取一些必需的软件包,例如 PostgreSQL 和 ImageMagick。要获取这些软件包,请使用 YaST 添加 SDK 存储库,或者下载 SDK 映像文件,然后使用以下命令在本地挂载它:
sudo mkdir -p /mnt/sdk
sudo mount -t iso9660 path-to-iso/SLE-12-SP5-SDK-DVD-x86_64-GM-DVD1.iso /mnt/sdk
sudo zypper ar -f /mnt/sdk sdk
<!--NeedCopy-->
安装 Kerberos 客户端
安装 Kerberos 客户端以在 Linux VDA 和 Delivery Controller 之间进行相互身份验证:
sudo zypper install krb5-client
<!--NeedCopy-->
Kerberos 客户端配置取决于所使用的 Active Directory 集成方法。请参阅以下说明。
安装 OpenJDK
Linux VDA 依赖于 OpenJDK 1.8.0。
-
提示:
-
为避免向 Delivery Controller 注册失败,请确保仅安装了 OpenJDK 1.8.0。从系统中删除所有其他 Java 版本。
- SLED:
-
在 SLED 上,Java 运行时环境通常随操作系统一起安装。检查是否已安装:
sudo zypper info java-1_8_0-openjdk <!--NeedCopy--> -
如果状态报告为过期,请更新到最新版本:
sudo zypper update java-1_8_0-openjdk <!--NeedCopy--> -
检查 Java 版本:
java -version <!--NeedCopy-->- SLES:
-
在 SLES 上,安装 Java 运行时环境:
sudo zypper install java-1_8_0-openjdk <!--NeedCopy--> -
检查 Java 版本:
java -version <!--NeedCopy-->
安装 PostgreSQL
- 在 SLED/SLES 12 上,安装软件包:
sudo zypper install postgresql-init
sudo zypper install postgresql10-server
sudo zypper install postgresql-jdbc
<!--NeedCopy-->
需要执行安装后步骤来初始化数据库服务,并确保 PostgreSQL 在计算机启动时启动:
- sudo systemctl enable postgresql
- sudo systemctl restart postgresql
<!--NeedCopy-->
数据库文件位于 /var/lib/pgsql/data。
删除存储库
安装完依赖软件包后,运行以下命令以删除之前设置的 SDK 存储库和已装载的介质:
sudo zypper rr sdk
sudo umount /mnt/sdk
sudo rmdir /mnt/sdk
<!--NeedCopy-->
步骤 2:为虚拟机管理程序准备 Linux VM
在受支持的虚拟机管理程序上将 Linux VDA 作为虚拟机运行时,需要进行一些更改。请根据所使用的虚拟机管理程序平台进行以下更改。如果您在裸机硬件上运行 Linux 计算机,则无需进行任何更改。
修复 Citrix Hypervisor™ 上的时间同步
如果启用了 Citrix Hypervisor 时间同步功能,则在每个半虚拟化 Linux VM 中,您会遇到 NTP 和 Citrix Hypervisor 都尝试管理系统时钟的问题。为避免时钟与其他服务器不同步,每个 Linux 访客中的系统时钟必须与 NTP 同步。此情况需要禁用主机时间同步。在 HVM 模式下无需进行任何更改。
在某些 Linux 发行版上,如果您正在运行安装了 Citrix VM Tools 的半虚拟化 Linux 内核,则可以从 Linux VM 中检查 Citrix Hypervisor 时间同步功能是否存在并已启用:
su -
cat /proc/sys/xen/independent_wallclock
<!--NeedCopy-->
此命令返回 0 或 1:
- 0 - 时间同步功能已启用,必须禁用。
- 1 - 时间同步功能已禁用,无需进一步操作。
如果 /proc/sys/xen/independent_wallclock 文件不存在,则无需执行以下步骤。
如果已启用,请通过向文件写入 1 来禁用时间同步功能:
sudo echo 1 > /proc/sys/xen/independent_wallclock
<!--NeedCopy-->
要使此更改在重新启动后永久保留,请编辑 /etc/sysctl.conf 文件并添加以下行:
xen.independent_wallclock = 1
要验证这些更改,请重新启动系统:
reboot
<!--NeedCopy-->
重新启动后,验证设置是否正确:
su -
cat /proc/sys/xen/independent_wallclock
<!--NeedCopy-->
此命令返回值为 1。
修复 Microsoft Hyper-V 上的时间同步
安装了 Hyper-V Linux Integration Services 的 Linux VM 可以应用 Hyper-V 时间同步功能来使用主机操作系统的时钟。为确保系统时钟保持准确,请与 NTP 服务一起启用此功能。
从管理操作系统:
- 打开 Hyper-V 管理器控制台。
- 对于 Linux VM 的设置,选择 Integration Services。
- 确保选中了 Time synchronization。
注意:
此方法与 VMware 和 Citrix Hypervisor 不同,在 VMware 和 Citrix Hypervisor 中,主机时间同步被禁用以避免与 NTP 冲突。Hyper-V 时间同步可以与 NTP 时间同步共存并对其进行补充。
修复 ESX 和 ESXi 上的时间同步
如果启用了 VMware 时间同步功能,则在每个半虚拟化 Linux VM 中,您会遇到 NTP 和虚拟机管理程序都尝试同步系统时钟的问题。为避免时钟与其他服务器不同步,请将每个 Linux 访客中的系统时钟与 NTP 同步。此情况需要禁用主机时间同步。
如果您正在运行安装了 VMware Tools 的半虚拟化 Linux 内核:
- 打开 vSphere Client。
- 编辑 Linux VM 的设置。
- 在虚拟机属性对话框中,打开选项选项卡。
- 选择 VMware Tools。
- 在高级框中,清除将客户机时间与主机同步。
步骤 3:将 Linux 虚拟机 (VM) 添加到 Windows 域
Linux VDA 支持多种方法将 Linux 计算机添加到 Active Directory (AD) 域:
请根据所选方法按照说明操作。
注意:
当 Linux VDA 中的本地帐户和 AD 中的帐户使用相同的用户名时,会话启动可能会失败。
Samba Winbind
加入 Windows 域
您的域控制器必须可访问,并且您必须拥有具有将计算机添加到域权限的 Active Directory 用户帐户:
-
打开 YaST Windows 域成员身份。
-
进行以下更改:
- 将域或工作组设置为 Active Directory 域的名称或域控制器的 IP 地址。确保域名为大写。
- 选中也使用 SMB 信息进行 Linux 身份验证。
- 选中登录时创建主目录。
- 选中 SSH 单点登录。
- 确保未选中脱机身份验证。此选项与 Linux VDA 不兼容。
-
单击确定。如果提示安装某些软件包,请单击安装。
-
如果找到域控制器,它会询问您是否要加入域。单击是。
-
出现提示时,键入具有将计算机添加到域权限的域用户的凭据,然后单击确定。
-
将显示一条指示成功的消息。
-
如果提示安装某些 samba 和 krb5 软件包,请单击安装。
YaST 可能已指示这些更改需要重新启动某些服务或计算机。建议您重新启动计算机:
su -
reboot
<!--NeedCopy-->
仅限 SUSE 12:修补 Kerberos 凭据缓存名称
SUSE 12 已将默认 Kerberos 凭据缓存名称规范从通常的 FILE:/tmp/krb5cc_%{uid} 更改为 DIR:/run/user/%{uid}/krb5cc。此新的 DIR 缓存方法与 Linux VDA 不兼容,必须手动更改。作为 root 用户,编辑 /etc/krb5.conf 并在 [libdefaults] 部分下添加以下设置(如果未设置):
default_ccache_name = FILE:/tmp/krb5cc_%{uid}
验证域成员身份
Delivery Controller 要求所有 VDA 计算机(Windows 和 Linux VDA)在 Active Directory 中都具有计算机对象。
运行 Samba 的 net ads 命令以验证计算机是否已加入域:
sudo net ads testjoin
<!--NeedCopy-->
运行以下命令以验证额外的域和计算机对象信息:
sudo net ads info
<!--NeedCopy-->
验证 Kerberos 配置
为确保 Kerberos 已正确配置以与 Linux VDA 结合使用,请验证系统 keytab 文件是否已创建并包含有效密钥:
sudo klist –ke
<!--NeedCopy-->
此命令显示主体名称和密码套件的各种组合可用的密钥列表。运行 Kerberos kinit 命令以使用这些密钥向域控制器验证计算机:
sudo kinit -k MACHINE\$@REALM
<!--NeedCopy-->
计算机和领域名称必须以大写形式指定。美元符号 ($) 必须用反斜杠 (\) 进行转义,以防止 shell 替换。在某些环境中,DNS 域名与 Kerberos 领域名称不同。请确保使用领域名称。如果此命令成功,则不显示任何输出。
使用以下命令验证计算机帐户的 TGT 票证是否已缓存:
sudo klist
<!--NeedCopy-->
使用以下命令检查计算机帐户详细信息:
sudo net ads status
<!--NeedCopy-->
验证用户身份验证
使用 wbinfo 工具验证域用户是否可以使用域进行身份验证:
wbinfo --krb5auth=domain\\username%password
<!--NeedCopy-->
此处指定的域是 AD 域名,而不是 Kerberos 领域名称。对于 bash shell,反斜杠 (\) 字符必须用另一个反斜杠进行转义。此命令返回一条指示成功或失败的消息。
为验证 Winbind PAM 模块是否已正确配置,请使用以前未使用的域用户帐户登录到 Linux VDA。
ssh localhost -l domain\\username
id -u
<!--NeedCopy-->
验证是否为 id -u 命令返回的 uid 创建了相应的 Kerberos 凭据缓存文件:
ls /tmp/krb5cc_uid
<!--NeedCopy-->
验证用户 Kerberos 凭据缓存中的票证是否有效且未过期:
klist
<!--NeedCopy-->
退出会话。
exit
<!--NeedCopy-->
可以通过直接登录 Gnome 或 KDE 控制台来执行类似的测试。完成域加入验证后,请继续执行步骤 4:安装 Linux VDA。
Quest 身份验证服务
在域控制器上配置 Quest
假设您已在 Active Directory 域控制器上安装并配置了 Quest 软件,并且已获得在 Active Directory 中创建计算机对象的管理权限。
允许域用户登录 Linux VDA 计算机
要允许域用户在 Linux VDA 计算机上建立 HDX™ 会话,请执行以下操作:
- 在 Active Directory 用户和计算机管理控制台中,打开该用户帐户的 Active Directory 用户属性。
- 选择“Unix 帐户”选项卡。
- 选中“启用 Unix”。
- 将“主 GID 号”设置为实际域用户组的组 ID。
注意:
这些说明等同于使用控制台、RDP、SSH 或任何其他远程处理协议设置域用户以进行登录。
在 Linux VDA 上配置 Quest
配置 VAS 守护程序
必须启用 Kerberos 票证的自动续订并断开连接。必须禁用身份验证(脱机登录):
sudo /opt/quest/bin/vastool configure vas vasd auto-ticket-renew-interval 32400
sudo /opt/quest/bin/vastool configure vas vas_auth allow-disconnected-auth false
<!--NeedCopy-->
此命令将续订间隔设置为九小时(32,400 秒),比默认的 10 小时票证有效期少一小时。在票证有效期较短的系统上,请将此参数设置为较低的值。
配置 PAM 和 NSS
要通过 HDX 以及 su、ssh 和 RDP 等其他服务启用域用户登录,请运行以下命令手动配置 PAM 和 NSS:
sudo /opt/quest/bin/vastool configure pam
sudo /opt/quest/bin/vastool configure nss
<!--NeedCopy-->
加入 Windows 域
使用 Quest vastool 命令将 Linux 计算机加入 Active Directory 域:
sudo /opt/quest/bin/vastool -u user join domain-name
<!--NeedCopy-->
user 是具有将计算机加入 Active Directory 域权限的任何域用户。domain-name 是域的 DNS 名称,例如 example.com。
验证域成员身份
Delivery Controller 要求所有 VDA 计算机(Windows 和 Linux VDA)在 Active Directory 中具有计算机对象。要验证已加入 Quest 的 Linux 计算机是否在域中:
sudo /opt/quest/bin/vastool info domain
<!--NeedCopy-->
如果计算机已加入域,此命令将返回域名称。如果计算机未加入任何域,则会出现以下错误:
ERROR: No domain could be found.
ERROR: VAS_ERR_CONFIG: at ctx.c:414 in _ctx_init_default_realm
default_realm not configured in vas.conf. Computer may not be joined to domain
验证用户身份验证
要验证 Quest 是否可以通过 PAM 验证域用户身份,请使用以前未使用的域用户帐户登录 Linux VDA。
ssh localhost -l domain\\username
id -u
<!--NeedCopy-->
验证是否为 id -u 命令返回的 uid 创建了相应的 Kerberos 凭据缓存文件:
ls /tmp/krb5cc_uid
<!--NeedCopy-->
验证 Kerberos 凭据缓存中的票证是否有效且未过期:
/opt/quest/bin/vastool klist
<!--NeedCopy-->
退出会话。
exit
<!--NeedCopy-->
可以通过直接登录 Gnome 或 KDE 控制台来执行类似的测试。完成域加入验证后,请继续执行步骤 4:安装 Linux VDA。
Centrify DirectControl
加入 Windows 域
安装 Centrify DirectControl Agent 后,使用 Centrify adjoin 命令将 Linux 计算机加入 Active Directory 域:
su –
adjoin -w -V -u user domain-name
<!--NeedCopy-->
user 是具有将计算机加入 Active Directory 域权限的任何 Active Directory 域用户。domain-name 是要将 Linux 计算机加入的域的名称。
验证域成员身份
Delivery Controller 要求所有 VDA 计算机(Windows 和 Linux VDA)在 Active Directory 中具有计算机对象。要验证已加入 Centrify 的 Linux 计算机是否在域中:
su –
adinfo
<!--NeedCopy-->
验证“已加入域”值是否有效,以及 CentrifyDC 模式是否返回“已连接”。如果模式停留在启动状态,则 Centrify 客户端正在遇到服务器连接或身份验证问题。
可以使用以下命令获取更全面的系统和诊断信息:
adinfo --sysinfo all
adinfo –diag
<!--NeedCopy-->
测试与各种 Active Directory 和 Kerberos 服务的连接。
adinfo --test
<!--NeedCopy-->
在完成域加入验证后,请继续执行步骤 4:安装 Linux VDA。
SSSD
如果您在 SUSE 上使用 SSSD,请按照本节中的说明进行操作。本节包含将 Linux VDA 计算机加入 Windows 域的说明,并提供了配置 Kerberos 身份验证的指导。
要在 SUSE 上设置 SSSD,请完成以下步骤:
- 加入域并创建主机密钥表
- 为 SSSD 配置 PAM
- 设置 SSSD
- 启用 SSSD
- 验证域成员身份
- 验证 Kerberos 配置
- 验证用户身份验证
加入域并创建主机密钥表
SSSD 不提供用于加入域和管理系统密钥表文件的 Active Directory 客户端功能。您可以使用 Samba 方法代替。在配置 SSSD 之前,请完成以下步骤。
-
停止并禁用名称服务缓存守护程序 (NSCD) 守护程序。
sudo systemctl stop nscd sudo systemctl disable nscd <!--NeedCopy--> -
安装或更新所需的软件包:
sudo zypper install krb5-client sudo zypper install samba-client <!--NeedCopy--> -
以 root 用户身份编辑 /etc/krb5.conf 文件,以允许 kinit 实用程序与目标域通信。在 [libdefaults]、[realms] 和 [domain_realm] 部分下添加以下条目:
注意:
根据您的 AD 基础结构配置 Kerberos。以下设置适用于单域、单林模型。
[libdefaults] - dns_canonicalize_hostname = false - rdns = false default_realm = REALM forwardable = true [realms] - REALM = { - kdc = fqdn-of-domain-controller default_domain = realm admin_server = fqdn-of-domain-controller } [domain_realm] .realm = REALM realm = REALM <!--NeedCopy-->realm 是 Kerberos 领域名称,例如 example.com。REALM 是大写的 Kerberos 领域名称,例如 EXAMPLE.COM。fqdn-of-domain-controller 是域控制器的 FQDN。
-
以 root 用户身份编辑 /etc/samba/smb.conf,以允许 net 实用程序与目标域通信。在 [global] 部分下添加以下条目:
[global] workgroup = domain realm = REALM security = ADS kerberos method = secrets and keytab client signing = yes client use spnego = yes <!--NeedCopy-->domain 是 Active Directory 域的短 NetBIOS 名称,例如 EXAMPLE。
-
修改 /etc/nsswitch.conf 文件中的 passwd 和 group 条目,以便在解析用户和组时引用 SSSD。
passwd: compat sss group: compat sss <!--NeedCopy--> -
加入 Windows 域。确保您的域控制器可访问,并且您拥有具有将计算机添加到域的权限的 Active Directory 用户帐户:
sudo realm join REALM -U user <!--NeedCopy-->user 是具有将计算机添加到域的权限的域用户。
为 SSSD 配置 PAM
在为 SSSD 配置 PAM 之前,请安装或更新所需的软件包:
sudo zypper install sssd sssd-ad
<!--NeedCopy-->
配置 PAM 模块以通过 SSSD 进行用户身份验证,并为用户登录创建主目录。
sudo pam-config --add --sss
sudo pam-config --add --mkhomedir
<!--NeedCopy-->
设置 SSSD
-
以 root 用户身份编辑 /etc/sssd/sssd.conf,以允许 SSSD 守护程序与目标域通信。sssd.conf 配置示例(可根据需要添加额外选项):
[sssd] config_file_version = 2 services = nss,pam domains = domain-dns-name [domain/domain-dns-name] id_provider = ad auth_provider = ad access_provider = ad ad_domain = domain-dns-name ad_server = fqdn-of-domain-controller ldap_id_mapping = true ldap_schema = ad # Kerberos settings krb5_ccachedir = /tmp krb5_ccname_template = FILE:%d/krb5cc_%U # Comment out if the users have the shell and home dir set on the AD side fallback_homedir = /home/%d/%u default_shell = /bin/bash - # Uncomment and adjust if the default principal SHORTNAME$@REALM is not available - ## ldap_sasl_authid = host/client.ad.example.com@AD.EXAMPLE.COM ad_gpo_access_control = permissive <!--NeedCopy-->domain-dns-name 是 DNS 域名,例如 example.com。
注意:
ldap_id_mapping 设置为 true,以便 SSSD 本身负责将 Windows SID 映射到 Unix UID。否则,Active Directory 必须能够提供 POSIX 扩展。ad_gpo_access_control 设置为 permissive,以防止 Linux 会话出现无效登录错误。有关 sssd.conf 和 sssd-ad 的信息,请参阅手册页。
-
- 设置 sssd.conf 上的文件所有权和权限:
sudo chmod 0600 /etc/sssd/sssd.conf <!--NeedCopy-->
启用 SSSD
运行以下命令以在系统启动时启用并启动 SSSD 守护程序:
sudo systemctl enable sssd
sudo systemctl start sssd
<!--NeedCopy-->
验证域成员身份
-
运行 Samba 的 net ads 命令以验证计算机是否已加入域:
sudo net ads testjoin <!--NeedCopy--> -
运行以下命令以验证额外的域和计算机对象信息:
sudo net ads info <!--NeedCopy-->
验证 Kerberos 配置
要验证 Kerberos 是否已正确配置以与 Linux VDA 配合使用,请验证系统密钥表文件是否已创建并包含有效密钥:
sudo klist -ke
<!--NeedCopy-->
此命令显示主体名称和密码套件各种组合的可用密钥列表。运行 Kerberos kinit 命令,使用这些密钥通过域控制器对计算机进行身份验证:
sudo kinit –k MACHINE\$@REALM
<!--NeedCopy-->
计算机和领域名称必须以大写形式指定。必须使用反斜杠 (\) 对美元符号 ($) 进行转义,以防止 shell 替换。在某些环境中,DNS 域名与 Kerberos 领域名称不同。请确保使用领域名称。如果此命令成功,则不显示任何输出。
使用以下命令验证计算机帐户的 TGT 票证是否已缓存:
sudo klist
<!--NeedCopy-->
验证用户身份验证
SSSD 不提供用于直接通过守护程序测试身份验证的命令行工具,只能通过 PAM 完成。
要验证 SSSD PAM 模块是否已正确配置,请使用以前未曾使用过的域用户帐户登录 Linux VDA。
ssh localhost -l domain\\username
id -u
klist
exit
<!--NeedCopy-->
验证 klist 命令返回的 Kerberos 票证对于该用户是否正确且未过期。
作为 root 用户,验证是否已为上一个 id -u 命令返回的 uid 创建了相应的票证缓存文件:
ls /tmp/krb5cc_uid
<!--NeedCopy-->
可以通过直接登录 Gnome 或 KDE 控制台来执行类似的测试。完成域加入验证后,继续执行步骤 4:安装 Linux VDA。
步骤 4:安装 Linux VDA
步骤 4a:卸载旧版本
如果您安装的版本早于前两个版本和 LTSR 版本,请在新版本安装之前将其卸载。
-
停止 Linux VDA 服务:
sudo /sbin/service ctxvda stop sudo /sbin/service ctxhdx stop <!--NeedCopy-->注意:
在停止
ctxvda和ctxhdx服务之前,请运行service ctxmonitorservice stop命令以停止监视器服务守护程序。否则,监视器服务守护程序会重新启动您停止的服务。 -
卸载软件包:
sudo rpm -e XenDesktopVDA <!--NeedCopy-->
重要:
支持从最新的两个版本进行升级。
注意:
安装组件位于 /opt/Citrix/VDA/ 中。
要运行命令,需要完整的路径;或者,您可以将 /opt/Citrix/VDA/sbin 和 /opt/Citrix/VDA/bin 添加到系统路径。
步骤 4b:下载 Linux VDA 软件包
转至 Citrix Virtual Apps and Desktops 下载页面。展开相应版本的 Citrix Virtual Apps and Desktops,然后单击组件以下载与您的 Linux 发行版匹配的 Linux VDA 软件包。
步骤 4c:安装 Linux VDA
使用 Zypper 安装 Linux VDA 软件:
对于 SUSE 12:
sudo zypper install XenDesktopVDA-<version>.sle12_x.x86_64.rpm
<!--NeedCopy-->
使用 RPM 软件包管理器安装 Linux VDA 软件。在此之前,请解决以下依赖项:
对于 SUSE 12:
sudo rpm -i XenDesktopVDA-<version>.sle12_x.x86_64.rpm
<!--NeedCopy-->
步骤 4d:升级 Linux VDA(可选)
您可以从以前的两个版本和 LTSR 版本升级现有安装。
对于 SUSE 12:
sudo rpm -U XenDesktopVDA-<version>.sle12_x.x86_64.rpm
<!--NeedCopy-->
SUSE 12 的 RPM 依赖项列表:
postgresql-server >= 9.3
postgresql-jdbc >= 9.2
java-1.8.0-openjdk >= 1.8.0
ImageMagick >= 6.8
dbus-1 >= 1.8.8
dbus-1-x11 >= 1.8.8
libXpm4 >= 3.5.11
libXrandr2 >= 1.4.2
libXtst6 >= 1.2.2
motif >= 2.3
pam >= 1.1.8
bash >= 4.2
findutils >= 4.5
gawk >= 4.1
sed >= 4.2
cups >= 1.6.0
cups-filters-foomatic-rip >= 1.0.0
openldap2 >= 2.4
cyrus-sasl >= 2.1
cyrus-sasl-gssapi >= 2.1
libxml2 >= 2.9
python-requests >= 2.8.1
rpmlib(PayloadFilesHavePrefix) <= 4.0-1
rpmlib(CompressedFileNames) <= 3.0.4-1
rpmlib(PayloadIsLzma) <= 4.4.6-1
libtcmalloc4 >= 2.5
libcap-progs >= 2.22
xorg-x11-server >= 7.6_1.18.3-76.15
ibus >= 1.5
xorg- x11-server = 7.6_1.19.6
xorg-x11 = 7.6_1
postgresql10-server >= 10.12
libgtk-2_0-0 >= 2.24
libgthread-2_0-0 >= 2.48
pulseaudio-utils >= 5.0
lsb-release >= 2.0
<!--NeedCopy-->
重要:
升级后重新启动 Linux VDA 计算机。
步骤 5:配置 Linux VDA
安装软件包后,必须通过运行 ctxsetup.sh 脚本来配置 Linux VDA。在进行任何更改之前,脚本会验证环境并确保所有依赖项都已安装。如有必要,您可以随时重新运行脚本以更改设置。
您可以手动运行脚本并进行提示,也可以使用预配置的响应自动运行脚本。在继续之前,请查看有关该脚本的帮助:
sudo /opt/Citrix/VDA/sbin/ctxsetup.sh –help
<!--NeedCopy-->
提示式配置
运行带提示问题的手动配置:
sudo /opt/Citrix/VDA/sbin/ctxsetup.sh
<!--NeedCopy-->
自动化配置
对于自动化安装,请使用环境变量提供安装脚本所需的选项。如果所有必需的变量都存在,则脚本不会提示任何信息。
支持的环境变量包括:
- CTX_XDL_SUPPORT_DDC_AS_CNAME=Y | N – Linux VDA 支持使用 DNS CNAME 记录指定 Delivery Controller 名称。默认设置为 N。
- CTX_XDL_DDC_LIST=‘list-ddc-fqdns’ – Linux VDA 需要一个以空格分隔的 Delivery Controller 完全限定域名 (FQDN) 列表,用于向 Delivery Controller 注册。必须至少指定一个 FQDN 或 CNAME 别名。
- CTX_XDL_VDA_PORT=port-number – Linux VDA 通过 TCP/IP 端口与 Delivery Controller 通信,默认端口为 80。
- CTX_XDL_REGISTER_SERVICE=Y | N - Linux Virtual Desktop 服务在计算机启动后启动。默认值为 Y。
- CTX_XDL_ADD_FIREWALL_RULES=Y | N – Linux Virtual Desktop 服务要求允许传入网络连接通过系统防火墙。您可以自动在系统防火墙中为 Linux Virtual Desktop 打开所需端口(默认端口为 80 和 1494)。默认设置为 Y。
-
CTX_XDL_AD_INTEGRATION=1 | 2 | 3 | 4 – Linux VDA 需要 Kerberos 配置设置才能向 Delivery Controller 进行身份验证。Kerberos 配置由系统上已安装和配置的 Active Directory 集成工具确定。指定要使用的受支持的 Active Directory 集成方法:
- 1 – Samba Winbind
- 2 – Quest Authentication Service
- 3 – Centrify DirectControl
- 4 – SSSD
- CTX_XDL_HDX_3D_PRO=Y | N – Linux VDA 支持 HDX 3D Pro,这是一组旨在优化富图形应用程序虚拟化的 GPU 加速技术。如果选择 HDX 3D Pro,VDA 将配置为 VDI 桌面(单会话)模式 – (即 CTX_XDL_VDI_MODE=Y)。
- CTX_XDL_VDI_MODE=Y | N – 是将计算机配置为专用桌面交付模型 (VDI) 还是托管共享桌面交付模型。对于 HDX 3D Pro 环境,请将此变量设置为 Y。此变量默认设置为 N。
- CTX_XDL_SITE_NAME=dns-name – Linux VDA 通过 DNS 发现 LDAP 服务器。要将 DNS 搜索结果限制到本地站点,请指定 DNS 站点名称。此变量默认设置为 <none>。
- CTX_XDL_LDAP_LIST=‘list-ldap-servers’ – Linux VDA 查询 DNS 以发现 LDAP 服务器。如果 DNS 无法提供 LDAP 服务记录,您可以提供一个以空格分隔的 LDAP FQDN 列表以及 LDAP 端口。例如,ad1.mycompany.com:389。此变量默认设置为 <none>。
- CTX_XDL_SEARCH_BASE=search-base-set – Linux VDA 通过设置为 Active Directory 域根(例如,DC=mycompany,DC=com)的搜索基查询 LDAP。为提高搜索性能,您可以指定一个搜索基(例如,OU=VDI,DC=mycompany,DC=com)。此变量默认设置为 <none>。
- CTX_XDL_FAS_LIST=‘list-fas-servers’ – 联合身份验证服务 (FAS) 服务器通过 AD 组策略进行配置。Linux VDA 不支持 AD 组策略,但您可以提供一个以分号分隔的 FAS 服务器列表。序列必须与 AD 组策略中配置的相同。如果删除了任何服务器地址,请用文本字符串 <none> 填充其空白,并且不要修改服务器地址的顺序。
-
CTX_XDL_DOTNET_ RUNTIME_PATH=path-to-install-dotnet-runtime – 用于安装 .NET Core Runtime 3.1 以支持新的代理服务 (
ctxvda) 的路径。默认路径为 /usr/bin。 - CTX_XDL_START_SERVICE=Y | N – Linux VDA 配置完成后是否启动 Linux VDA 服务。默认设置为 Y。
- CTX_XDL_TELEMETRY_SOCKET_PORT – 用于侦听 Citrix Scout 的套接字端口。默认端口为 7503。
- CTX_XDL_TELEMETRY_PORT – 用于与 Citrix Scout 通信的端口。默认端口为 7502。
设置环境变量并运行配置脚本:
export CTX_XDL_SUPPORT_DDC_AS_CNAME=Y|N
export CTX_XDL_DDC_LIST=‘list-ddc-fqdns’
export CTX_XDL_VDA_PORT=port-number
export CTX_XDL_REGISTER_SERVICE=Y|N
export CTX_XDL_ADD_FIREWALL_RULES=Y|N
export CTX_XDL_AD_INTEGRATION=1|2|3|4
export CTX_XDL_HDX_3D_PRO=Y|N
export CTX_XDL_VDI_MODE=Y|N
export CTX_XDL_SITE_NAME=dns-site-name | '<none>'
export CTX_XDL_LDAP_LIST=‘list-ldap-servers’ | '<none>'
export CTX_XDL_SEARCH_BASE=search-base-set | '<none>'
export CTX_XDL_FAS_LIST=‘list-fas-servers’ | '<none>'
export CTX_XDL_DOTNET_RUNTIME_PATH=path-to-install-dotnet-runtime
export CTX_XDL_TELEMETRY_SOCKET_PORT=port-number
export CTX_XDL_TELEMETRY_PORT=port-number
export CTX_XDL_START_SERVICE=Y|N
sudo -E /opt/Citrix/VDA/sbin/ctxsetup.sh
<!--NeedCopy-->
运行 sudo 命令时,键入 -E 选项以将现有环境变量传递给它创建的新 shell。建议您使用 #!/bin/bash 作为第一行,从上述命令创建一个 shell 脚本文件。
或者,您可以使用单个命令指定所有参数:
sudo CTX_XDL_SUPPORT_DDC_AS_CNAME=Y|N \
CTX_XDL_DDC_LIST=‘list-ddc-fqdns’ \
CTX_XDL_VDA_PORT=port-number \
CTX_XDL_REGISTER_SERVICE=Y|N \
CTX_XDL_ADD_FIREWALL_RULES=Y|N \
CTX_XDL_AD_INTEGRATION=1|2|3|4 \
CTX_XDL_HDX_3D_PRO=Y|N \
CTX_XDL_VDI_MODE=Y|N \
CTX_XDL_SITE_NAME=dns-name \
CTX_XDL_LDAP_LIST=‘list-ldap-servers’ \
CTX_XDL_SEARCH_BASE=search-base-set \
CTX_XDL_FAS_LIST=‘list-fas-servers’ \
CTX_XDL_DOTNET_RUNTIME_PATH=path-to-install-dotnet-runtime \
CTX_XDL_TELEMETRY_SOCKET_PORT=port-number \
CTX_XDL_TELEMETRY_PORT=port-number \
CTX_XDL_START_SERVICE=Y|N \
/opt/Citrix/VDA/sbin/ctxsetup.sh
<!--NeedCopy-->
删除配置更改
在某些情况下,您可能需要删除由 ctxsetup.sh 脚本所做的配置更改,而无需卸载 Linux VDA 软件包。
在继续之前,请查看有关此脚本的帮助:
sudo /usr/local/sbin/ctxcleanup.sh --help
<!--NeedCopy-->
要删除配置更改:
sudo /usr/local/sbin/ctxcleanup.sh
<!--NeedCopy-->
重要:
此脚本会删除数据库中的所有配置数据,并使 Linux VDA 无法运行。
配置日志
ctxsetup.sh 和 ctxcleanup.sh 脚本在控制台上显示错误,并将附加信息写入配置日志文件:
/tmp/xdl.configure.log
重新启动 Linux VDA 服务以使更改生效。
步骤 6:运行 Linux VDA
使用 ctxsetup.sh 脚本配置 Linux VDA 后,您可以运行以下命令来控制 Linux VDA。
启动 Linux VDA:
要启动 Linux VDA 服务:
sudo /sbin/service ctxhdx start
sudo /sbin/service ctxvda start
<!--NeedCopy-->
停止 Linux VDA:
要停止 Linux VDA 服务:
sudo /sbin/service ctxvda stop
sudo /sbin/service ctxhdx stop
<!--NeedCopy-->
注意:
在停止
ctxvda和ctxhdx服务之前,请运行service ctxmonitorservice stop命令以停止监视服务守护程序。否则,监视服务守护程序会重新启动您停止的服务。
重新启动 Linux VDA:
要重新启动 Linux VDA 服务:
sudo /sbin/service ctxvda stop
sudo /sbin/service ctxhdx restart
sudo /sbin/service ctxvda start
<!--NeedCopy-->
检查 Linux VDA 状态:
要检查 Linux VDA 服务的运行状态:
sudo /sbin/service ctxvda status
sudo /sbin/service ctxhdx status
<!--NeedCopy-->
步骤 7:在 Citrix Virtual Apps 或 Citrix Virtual Desktops™ 中创建计算机目录
创建计算机目录和添加 Linux VDA 计算机的过程与传统的 Windows VDA 方法类似。有关如何完成这些任务的详细说明,请参阅创建计算机目录和管理计算机目录。
对于创建包含 Linux VDA 计算机的计算机目录,有一些限制使其与为 Windows VDA 计算机创建计算机目录的过程有所不同:
- 对于操作系统,请选择:
- 托管共享桌面交付模型的 Multi-session OS 选项。
- VDI 专用桌面交付模型的 Single-session OS 选项。
- 不要在同一个计算机目录中混合使用 Linux 和 Windows VDA 计算机。
注意:
Citrix Studio 的早期版本不支持“Linux OS”的概念。但是,选择 Windows Server OS 或 Server OS 选项意味着等效的托管共享桌面交付模型。选择 Windows Desktop OS 或 Desktop OS 选项意味着每个计算机一个用户的交付模型。
提示:
如果您从 Active Directory 域中移除并重新加入一台计算机,则必须再次从计算机目录中移除并添加该计算机。
步骤 8:在 Citrix Virtual Apps™ 或 Citrix Virtual Desktops 中创建交付组
创建交付组和添加包含 Linux VDA 计算机的计算机目录的过程与 Windows VDA 计算机几乎相同。有关如何完成这些任务的详细说明,请参阅创建交付组。
对于创建包含 Linux VDA 计算机目录的交付组,适用以下限制:
- 确保您选择的 AD 用户和组已正确配置为登录到 Linux VDA 计算机。
- 不允许未经身份验证(匿名)的用户登录。
- 不要将交付组与包含 Windows 计算机的计算机目录混合使用。
重要提示:
发布应用程序支持 Linux VDA 1.4 版及更高版本。但是,Linux VDA 不支持在同一台计算机上交付桌面和应用程序。
有关如何创建计算机目录和交付组的信息,请参阅 Citrix Virtual Apps and Desktops 7 2103。