安装适用于 Ubuntu 的 Linux Virtual Delivery Agent
您可以选择按照本文中的步骤进行手动安装,也可以使用 easy install 进行自动安装和配置。easy install 可节省时间和精力,并且比手动安装更不容易出错。
注意:
仅将 easy install 用于全新安装。请勿使用 easy install 更新现有安装。
步骤 1:准备用于 VDA 安装的 Ubuntu
步骤 1a:验证网络配置
建议在继续操作之前,确保网络已正确连接和配置。
如果您使用的是 Ubuntu 18.04 Live Server,请在设置主机名之前,对 /etc/cloud/cloud.cfg 配置文件进行以下更改:
preserve_hostname: true
步骤 1b:设置主机名
为确保正确报告计算机的主机名,请更改 /etc/hostname 文件,使其仅包含计算机的主机名。
hostname
步骤 1c:将环回地址分配给主机名
确保正确报告计算机的 DNS 域名和完全限定域名 (FQDN)。方法是更改 /etc/hosts 文件中的以下行,以将 FQDN 和主机名作为前两个条目包括在内:
127.0.0.1 hostname-fqdn hostname localhost
例如:
127.0.0.1 vda01.example.com vda01 localhost
从文件中的其他条目中删除对 hostname-fqdn 或 hostname 的任何其他引用。
注意:
Linux VDA 当前不支持 NetBIOS 名称截断。因此,主机名不得超过 15 个字符。
提示:
仅使用 a–z、A–Z、0–9 和连字符 (-) 字符。避免使用下划线 (_)、空格和其他符号。主机名不能以数字开头,也不能以连字符结尾。此规则也适用于 Delivery Controller 主机名。
步骤 1d:检查主机名
验证主机名是否已正确设置:
hostname
<!--NeedCopy-->
此命令仅返回计算机的主机名,而不返回其 FQDN。
验证 FQDN 是否已正确设置:
hostname -f
<!--NeedCopy-->
此命令返回计算机的 FQDN。
步骤 1e:禁用多播 DNS
默认设置已启用多播 DNS (mDNS),这可能会导致名称解析结果不一致。
要禁用 mDNS,请编辑 /etc/nsswitch.conf 并更改包含以下内容的行:
hosts: files mdns_minimal [NOTFOUND=return] dns
更改为:
hosts: files dns
步骤 1f:检查名称解析和服务可达性
验证您是否可以解析 FQDN 并 ping 域控制器和 Delivery Controller™:
nslookup domain-controller-fqdn
ping domain-controller-fqdn
nslookup delivery-controller-fqdn
ping delivery-controller-fqdn
<!--NeedCopy-->
如果您无法解析 FQDN 或 ping 通其中任何一台计算机,请在继续操作之前查看这些步骤。
步骤 1g:配置时钟同步 (chrony)
在 VDA、Delivery Controller 和域控制器之间保持准确的时钟同步至关重要。将 Linux VDA 作为虚拟机托管可能会导致时钟偏差问题。因此,首选与远程时间服务同步时间。
安装 chrony:
apt-get install chrony
<!--NeedCopy-->
作为 root 用户,请编辑 /etc/chrony/chrony.conf 并为每个远程时间服务器添加一个服务器条目:
server peer1-fqdn-or-ip-address iburst
server peer2-fqdn-or-ip-address iburst
- 在典型部署中,请从本地域控制器同步时间,而不是直接从公共 NTP 池服务器同步时间。为域中的每个 Active Directory 域控制器添加一个服务器条目。
删除列出的任何其他 server 或 pool 条目,包括环回 IP 地址、localhost 和公共服务器 *.pool.ntp.org 条目。
保存更改并重新启动 Chrony 守护程序:
sudo systemctl restart chrony
<!--NeedCopy-->
步骤 1h:安装 OpenJDK
Linux VDA 依赖于 OpenJDK。通常,运行时环境是作为操作系统安装的一部分进行安装的。
在 Ubuntu 16.04 上,请使用以下命令安装 OpenJDK:
sudo apt-get install -y default-jdk
<!--NeedCopy-->
在 Ubuntu 18.04 上,请使用以下命令安装 OpenJDK:
sudo apt-get install -y openjdk-8-jdk
<!--NeedCopy-->
步骤 1i:安装 PostgreSQL
Linux VDA 需要在 Ubuntu 上安装 PostgreSQL 9.x 版本:
sudo apt-get install -y postgresql
sudo apt-get install -y libpostgresql-jdbc-java
<!--NeedCopy-->
sudo apt-get install -y libxm4
<!--NeedCopy-->
步骤 1k:安装其他软件包
sudo apt-get install -y libsasl2-2
sudo apt-get install -y libsasl2-modules-gssapi-mit
sudo apt-get install -y libldap-2.4-2
sudo apt-get install -y krb5-user
sudo apt-get install -y libgtk2.0-0
<!--NeedCopy-->
步骤 2:准备管理程序
在受支持的管理程序上将 Linux VDA 作为虚拟机运行时,需要进行一些更改。请根据所使用的管理程序平台进行以下更改。如果您在裸机硬件上运行 Linux 计算机,则无需进行任何更改。
修复 Citrix Hypervisor™ 上的时间同步
当 Citrix Hypervisor 时间同步功能启用时,在每个半虚拟化 Linux VM 中,您会遇到 NTP 和 Citrix Hypervisor 的问题,两者都尝试管理系统时钟。为避免时钟与其他服务器不同步,请确保每个 Linux 客户机中的系统时钟与 NTP 同步。此情况需要禁用主机时间同步。在 HVM 模式下无需进行任何更改。
在某些 Linux 发行版上,如果您正在运行安装了 Citrix VM Tools 的半虚拟化 Linux 内核,您可以从 Linux VM 中检查 Citrix Hypervisor 时间同步功能是否存在并已启用:
su -
cat /proc/sys/xen/independent_wallclock
<!--NeedCopy-->
此命令返回 0 或 1:
- 0 - 时间同步功能已启用,必须禁用。
- 1 - 时间同步功能已禁用,无需进一步操作。
如果 /proc/sys/xen/independent_wallclock 文件不存在,则无需执行以下步骤。
如果已启用,请通过向文件写入 1 来禁用时间同步功能:
sudo echo 1 > /proc/sys/xen/independent_wallclock
<!--NeedCopy-->
要使此更改在重新启动后永久生效,请编辑 /etc/sysctl.conf 文件并添加以下行:
xen.independent_wallclock = 1
要验证这些更改,请重新启动系统:
su -
cat /proc/sys/xen/independent_wallclock
<!--NeedCopy-->
此命令返回值为 1。
修复 Microsoft Hyper-V 上的时间同步
安装了 Hyper-V Linux 集成服务的 Linux VM 可以使用 Hyper-V 时间同步功能来使用主机操作系统的时钟。为确保系统时钟保持准确,请与 NTP 服务一起启用此功能。
从管理操作系统:
- 打开 Hyper-V 管理器控制台。
- 对于 Linux VM 的设置,选择集成服务。
- 确保选中时间同步。
注意:
此方法与 VMware 和 Citrix Hypervisor 不同,在 VMware 和 Citrix Hypervisor 中,主机时间同步被禁用以避免与 NTP 冲突。Hyper-V 时间同步可以与 NTP 时间同步共存并对其进行补充。
修复 ESX 和 ESXi 上的时间同步
当 VMware 时间同步功能启用时,在每个半虚拟化 Linux VM 中,您会遇到 NTP 和管理程序的问题,两者都尝试同步系统时钟。为避免时钟与其他服务器不同步,请确保每个 Linux 访客中的系统时钟与 NTP 同步。此情况需要禁用主机时间同步。
如果您正在运行安装了 VMware Tools 的半虚拟化 Linux 内核:
- 打开 vSphere Client。
- 编辑 Linux VM 的设置。
- 在虚拟机属性对话框中,打开选项选项卡。
- 选择 VMware Tools。
- 在高级框中,清除将访客时间与主机同步。
步骤 3:将 Linux 虚拟机 (VM) 添加到 Windows 域
Linux VDA 支持多种方法将 Linux 计算机添加到 Active Directory (AD) 域:
请根据您选择的方法按照说明操作。
注意:
当 Linux VDA 中的本地帐户和 AD 中的帐户使用相同的用户名时,会话启动可能会失败。
Samba Winbind
安装或更新所需的软件包
sudo apt-get install winbind samba libnss-winbind libpam-winbind krb5-config krb5-locales krb5-user
<!--NeedCopy-->
启用 Winbind 守护程序在计算机启动时启动
必须将 Winbind 守护程序配置为在计算机启动时启动:
sudo systemctl enable winbind
<!--NeedCopy-->
注意:
确保
winbind脚本位于/etc/init.d下。
配置 Kerberos
以 root 用户身份打开 /etc/krb5.conf,并进行以下设置:
注意:
根据您的 AD 基础结构配置 Kerberos。以下设置适用于单域、单林模型。
[libdefaults]
default_realm = REALM
dns_lookup_kdc = false
[realms]
REALM = {
admin_server = domain-controller-fqdn
kdc = domain-controller-fqdn
}
[domain_realm]
domain-dns-name = REALM
.domain-dns-name = REALM
此上下文中的 domain-dns-name 参数是 DNS 域名,例如 example.com。REALM 是大写的 Kerberos 领域名称,例如 EXAMPLE.COM。
配置 Winbind 身份验证
手动配置 Winbind,因为 Ubuntu 没有像 RHEL 中的 authconfig 和 SUSE 中的 yast2 这样的工具。
打开 /etc/samba/smb.conf,并进行以下设置:
[global]
workgroup = WORKGROUP
security = ADS
realm = REALM
encrypt passwords = yes
idmap config *:range = 16777216-33554431
winbind trusted domains only = no
kerberos method = secrets and keytab
winbind refresh tickets = yes
template shell = /bin/bash
WORKGROUP 是 REALM 中的第一个字段,REALM 是大写的 Kerberos 领域名称。
配置 nsswitch
打开 /etc/nsswitch.conf,并在以下行中追加 winbind:
passwd: compat winbind
group: compat winbind
加入 Windows 域
您的域控制器必须可访问,并且您必须拥有一个具有将计算机添加到域的权限的 Active Directory 用户帐户:
sudo net ads join REALM -U user
<!--NeedCopy-->
其中 REALM 是大写的 Kerberos 领域名称,并且 user 是一个具有将计算机添加到域的权限的域用户。
重启 winbind
sudo systemctl restart winbind
<!--NeedCopy-->
配置 Winbind 的 PAM
运行以下命令,并确保选中了 Winbind NT/Active Directory 身份验证 和 登录时创建主目录 选项:
sudo pam-auth-update
<!--NeedCopy-->
提示:
仅当计算机加入域时,
winbind守护程序才会保持运行。
验证域成员身份
Delivery Controller 要求所有 VDA 计算机(无论是 Windows 还是 Linux)在 Active Directory 中都有一个计算机对象。
运行 Samba 的 net ads 命令以验证计算机是否已加入域:
sudo net ads testjoin
<!--NeedCopy-->
运行以下命令以验证额外的域和计算机对象信息:
sudo net ads info
<!--NeedCopy-->
验证 Kerberos 配置
为了验证 Kerberos 是否已正确配置以与 Linux VDA 配合使用,请验证系统 keytab 文件是否已创建并包含有效密钥:
sudo klist -ke
<!--NeedCopy-->
此命令显示了主体名称和密码套件的各种组合可用的密钥列表。运行 Kerberos kinit 命令以使用这些密钥向域控制器验证计算机:
sudo kinit -k MACHINE\$@REALM
<!--NeedCopy-->
计算机和领域名称必须以大写形式指定。美元符号 ($) 必须用反斜杠 (\) 进行转义,以防止 shell 替换。在某些环境中,DNS 域名与 Kerberos 领域名称不同。确保使用领域名称。如果此命令成功,则不显示任何输出。
使用以下命令验证计算机帐户的 TGT 票证是否已缓存:
sudo klist
<!--NeedCopy-->
使用以下命令检查计算机的帐户详细信息:
sudo net ads status
<!--NeedCopy-->
验证用户身份验证
使用 wbinfo 工具以验证域用户是否可以向域进行身份验证:
wbinfo --krb5auth=domain\\username%password
<!--NeedCopy-->
此处指定的域是 AD 域名,而不是 Kerberos 领域名称。对于 bash shell,反斜杠 (\) 字符必须用另一个反斜杠进行转义。此命令返回指示成功或失败的消息。
为了验证 Winbind PAM 模块是否已正确配置,请使用以前未使用的域用户帐户登录到 Linux VDA。
ssh localhost -l domain\\username
id -u
<!--NeedCopy-->
注意:
要成功运行 SSH 命令,请确保 SSH 已启用并正常工作。
验证是否已创建用于 id -u 命令返回的 uid 的相应 Kerberos 凭据缓存文件:
ls /tmp/krb5cc_uid
<!--NeedCopy-->
验证用户 Kerberos 凭据缓存中的票证是否有效且未过期:
klist
<!--NeedCopy-->
退出会话。
exit
<!--NeedCopy-->
可以通过直接登录到 Gnome 或 KDE 控制台来执行类似的测试。在完成域加入验证后,请继续执行步骤 4:安装 Linux VDA。
提示:
如果您成功进行了用户身份验证,但在使用域帐户登录时无法显示桌面,请重新启动计算机,然后重试。
Quest 身份验证服务
在域控制器上配置 Quest
假设您已在 Active Directory 域控制器上安装并配置了 Quest 软件,并且已获得在 Active Directory 中创建计算机对象的管理权限。
启用域用户登录到 Linux VDA 计算机
要使域用户能够在 Linux VDA 计算机上建立 HDX™ 会话:
- 在 Active Directory 用户和计算机管理控制台中,打开该用户帐户的 Active Directory 用户属性。
- 选择 Unix 帐户 选项卡。
- 选中 启用 Unix。
- 将 主 GID 号 设置为实际域用户组的组 ID。
注意:
这些说明等同于使用控制台、RDP、SSH 或任何其他远程协议设置域用户登录。
在 Linux VDA 上配置 Quest
解决 SELinux 策略强制执行问题
默认 RHEL 环境已完全强制执行 SELinux。此强制执行会干扰 Quest 使用的 Unix 域套接字 IPC 机制,并阻止域用户登录。
解决此问题的便捷方法是禁用 SELinux。作为 root 用户,编辑 /etc/selinux/config 并更改 SELinux 设置:
SELINUX=disabled
此更改需要重新启动计算机:
reboot
<!--NeedCopy-->
重要:
请谨慎使用此设置。在禁用后重新启用 SELinux 策略强制执行可能会导致完全锁定,即使对于 root 用户和其他本地用户也是如此。
配置 VAS 守护程序
必须启用 Kerberos 票证的自动续订并断开连接。必须禁用身份验证(脱机登录):
sudo /opt/quest/bin/vastool configure vas vasd auto-ticket-renew-interval 32400
sudo /opt/quest/bin/vastool configure vas vas_auth allow-disconnected-auth false
<!--NeedCopy-->
此命令将续订间隔设置为九小时(32,400 秒),比默认的 10 小时票证生命周期少一小时。在票证生命周期较短的系统上,将此参数设置为较低的值。
配置 PAM 和 NSS
要通过 HDX 和其他服务(例如 su、ssh 和 RDP)启用域用户登录,请运行以下命令以手动配置 PAM 和 NSS:
sudo /opt/quest/bin/vastool configure pam
sudo /opt/quest/bin/vastool configure nss
<!--NeedCopy-->
加入 Windows 域
使用 Quest vastool 命令将 Linux 计算机加入 Active Directory 域:
sudo /opt/quest/bin/vastool -u user join domain-name
<!--NeedCopy-->
用户是任何具有将计算机加入 Active Directory 域权限的域用户。domain-name 是域的 DNS 名称,例如 example.com。
验证域成员身份
Delivery Controller 要求所有 VDA 计算机(无论是 Windows 还是 Linux)在 Active Directory 中都具有计算机对象。要验证已加入 Quest 的 Linux 计算机是否在域中:
sudo /opt/quest/bin/vastool info domain
<!--NeedCopy-->
如果计算机已加入域,此命令将返回域名。如果计算机未加入任何域,则会出现以下错误:
ERROR: No domain could be found.
ERROR: VAS_ERR_CONFIG: at ctx.c:414 in _ctx_init_default_realm
default_realm not configured in vas.conf. Computer may not be joined to domain
验证用户身份验证
要验证 Quest 是否可以通过 PAM 验证域用户,请使用以前未使用的域用户帐户登录到 Linux VDA。
ssh localhost -l domain\\username
id -u
<!--NeedCopy-->
验证是否为 id -u 命令返回的 UID 创建了相应的 Kerberos 凭据缓存文件:
ls /tmp/krb5cc_uid
<!--NeedCopy-->
验证 Kerberos 凭据缓存中的票证是否有效且未过期:
/opt/quest/bin/vastool klist
<!--NeedCopy-->
退出会话。
exit
<!--NeedCopy-->
在完成域加入验证后,继续执行步骤 4:安装 Linux VDA。
Centrify DirectControl
加入 Windows 域
安装 Centrify DirectControl Agent 后,使用 Centrify adjoin 命令将 Linux 计算机加入 Active Directory 域:
su –
adjoin -w -V -u user domain-name
<!--NeedCopy-->
user 参数是任何具有将计算机加入 Active Directory 域权限的 Active Directory 域用户。domain-name 参数是要将 Linux 计算机加入的域的名称。
验证域成员身份
Delivery Controller 要求所有 VDA 计算机(无论是 Windows 还是 Linux)在 Active Directory 中都具有计算机对象。要验证已加入 Centrify 的 Linux 计算机是否在域中:
su –
adinfo
<!--NeedCopy-->
验证 Joined to domain 值是否有效,以及 CentrifyDC mode 是否返回 connected。如果模式停留在启动状态,则 Centrify 客户端正在遇到服务器连接或身份验证问题。
可以使用以下命令获取更全面的系统和诊断信息:
adinfo --sysinfo all
adinfo --diag
<!--NeedCopy-->
测试与各种 Active Directory 和 Kerberos 服务的连接。
adinfo --test
<!--NeedCopy-->
在完成域加入验证后,继续执行步骤 4:安装 Linux VDA。
SSSD
配置 Kerberos
运行以下命令安装 Kerberos:
sudo apt-get install krb5-user
<!--NeedCopy-->
要配置 Kerberos,请以 root 身份打开 /etc/krb5.conf 并设置参数:
注意:
根据您的 AD 基础结构配置 Kerberos。以下设置适用于单域、单林模型。
[libdefaults]
default_realm = REALM
dns_lookup_kdc = false
[realms]
REALM = {
admin_server = domain-controller-fqdn
kdc = domain-controller-fqdn
}
[domain_realm]
domain-dns-name = REALM
.domain-dns-name = REALM
在此上下文中,domain-dns-name 参数是 DNS 域名,例如 example.com。REALM 是大写的 Kerberos 领域名称,例如 EXAMPLE.COM。
加入域
必须将 SSSD 配置为使用 Active Directory 作为其身份提供程序,并使用 Kerberos 进行身份验证。但是,SSSD 不提供用于加入域和管理系统密钥表文件的 AD 客户端功能。您可以改用 adcli、realmd 或 Samba。
注意:
本节仅提供有关
adcli和Samba的信息。
使用 adcli 加入域:
安装 adcli:
安装所需的软件包:
sudo apt-get install adcli
<!--NeedCopy-->
使用 adcli 加入域:
删除旧的系统密钥表文件并使用以下命令加入域:
su -
rm -rf /etc/krb5.keytab
adcli join domain-dns-name -U user -H hostname-fqdn
<!--NeedCopy-->
user 是具有将计算机添加到域权限的域用户。hostname-fqdn 是计算机的 FQDN 格式主机名。
-H 选项对于 adcli 生成 host/hostname-fqdn@REALM 格式的 SPN 是必需的,这是 Linux VDA 所要求的。
验证系统密钥表:
对于 Ubuntu 20.04 计算机,运行 adcli testjoin 命令以测试其是否已加入域。
对于 Ubuntu 18.04 或 Ubuntu 16.04 计算机,运行 sudo klist -ket 命令以确保已创建系统密钥表文件。
验证每个密钥的时间戳是否与计算机加入域的时间匹配。
使用 Samba 加入域
安装软件包
- sudo apt-get install samba krb5-user
<!--NeedCopy-->
-
配置 Samba
-
打开 /etc/samba/smb.conf,并进行以下设置:
-
[global] -
workgroup =WORKGROUP -
security = ADS -
realm =REALM -
client signing = yes -
client use spnego = yes
-
kerberos method = secrets and keytab
WORKGROUP 是 REALM 中的第一个字段,而 REALM 是大写的 Kerberos 领域名称。
使用 Samba 加入域
您的域控制器必须可访问,并且您必须拥有一个具有将计算机添加到域权限的 Windows 帐户。
sudo net ads join REALM -U user
<!--NeedCopy-->
其中 REALM 是大写的 Kerberos 领域名称,user 是具有将计算机添加到域权限的域用户。
设置 SSSD
安装或更新所需软件包
如果尚未安装,请安装所需的 SSSD 和配置软件包:
sudo apt-get install sssd
<!--NeedCopy-->
如果软件包已安装,建议进行更新:
sudo apt-get install --only-upgrade sssd
<!--NeedCopy-->
注意:
默认情况下,Ubuntu 中的安装过程会自动配置 nsswitch.conf 和 PAM 登录模块。
配置 SSSD
在启动 SSSD 守护程序之前,需要更改 SSSD 配置。对于某些版本的 SSSD,/etc/sssd/sssd.conf 配置文件默认未安装,必须手动创建。以 root 身份创建或打开 /etc/sssd/sssd.conf 并进行以下设置:
[sssd]
services = nss, pam
config_file_version = 2
domains = domain-dns-name
[domain/domain-dns-name]`
id_provider = ad
access_provider = ad
auth_provider = krb5
krb5_realm = REALM
# 如果 TGT 续订生命周期超过 14 天,请将 krb5_renewable_lifetime 设置得更高
krb5_renewable_lifetime = 14d
# 如果 TGT 票证生命周期短于 2 小时,请将 krb5_renew_interval 设置为较低值
krb5_renew_interval = 1h
krb5_ccachedir = /tmp
krb5_ccname_template = FILE:%d/krb5cc_%U
# 此 ldap_id_mapping 设置也是默认值
ldap_id_mapping = true
override_homedir = /home/%d/%u
default_shell = /bin/bash
ad_gpo_map_remote_interactive = +ctxhdx
注意:
ldap_id_mapping 设置为 true,以便 SSSD 本身负责将 Windows SID 映射到 Unix UID。否则,Active Directory 必须能够提供 POSIX 扩展。PAM 服务
ctxhdx已添加到 ad_gpo_map_remote_interactive。在此上下文中,domain-dns-name 参数是 DNS 域名,例如 example.com。REALM 是大写的 Kerberos 领域名称,例如 EXAMPLE.COM。无需配置 NetBIOS 域名。
有关配置设置的信息,请参阅 sssd.conf 和
sssd-ad的手册页。
SSSD 守护程序要求配置文件必须仅具有所有者读取权限:
sudo chmod 0600 /etc/sssd/sssd.conf
<!--NeedCopy-->
启动 SSSD 守护程序
运行以下命令以立即启动 SSSD 守护程序,并使其能够在计算机启动时启动:
sudo systemctl start sssd
sudo systemctl enable sssd
<!--NeedCopy-->
PAM 配置
运行以下命令并确保选中 SSS 身份验证和登录时创建主目录选项:
sudo pam-auth-update
<!--NeedCopy-->
使用 adcli 验证域成员身份
运行以下命令显示域信息:
sudo adcli info domain-dns-name
<!--NeedCopy-->
使用 Samba 验证域成员身份
运行 Samba 的 net ads 命令以验证计算机是否已加入域:
- sudo net ads testjoin
<!--NeedCopy-->
运行以下命令以验证额外的域和计算机对象信息:
sudo net ads info
<!--NeedCopy-->
验证 Kerberos 配置
要验证 Kerberos 是否已正确配置以与 Linux VDA 结合使用,请验证系统 keytab 文件是否已创建并包含有效密钥:
sudo klist -ke
<!--NeedCopy-->
此命令显示主体名称和密码套件的各种组合可用的密钥列表。运行 Kerberos kinit 命令以使用这些密钥向域控制器验证计算机:
sudo kinit -k MACHINE\$@REALM
<!--NeedCopy-->
计算机和领域名称必须以大写形式指定。美元符号 ($) 必须用反斜杠 (\) 转义,以防止 shell 替换。在某些环境中,DNS 域名与 Kerberos 领域名称不同。请确保使用领域名称。如果此命令成功,则不显示任何输出。
使用以下命令验证计算机帐户的 TGT 是否已缓存:
sudo klist
<!--NeedCopy-->
验证用户身份验证
SSSD 不提供用于直接通过守护程序测试身份验证的命令行工具,只能通过 PAM 完成。
要验证 SSSD PAM 模块是否已正确配置,请使用以前未使用的域用户帐户登录到 Linux VDA。
ssh localhost -l domain\\username
id -u
klist
exit
<!--NeedCopy-->
验证 klist 命令返回的 Kerberos 票证对于该用户是否正确且未过期。
作为 root 用户,验证是否为上一个 id -u 命令返回的 uid 创建了相应的票证缓存文件:
ls /tmp/krb5cc_uid
<!--NeedCopy-->
可以通过登录到 KDE 或 Gnome Display Manager 执行类似的测试。完成域加入验证后,继续执行步骤 4:安装 Linux VDA。
PBIS
下载所需的 PBIS 软件包
例如:
sudo wget https://github.com/BeyondTrust/pbis-open/releases/download/8.8.0/pbis-open-8.8.0.506.linux.x86_64.deb.sh
<!--NeedCopy-->
使 PBIS 安装脚本可执行
例如:
sudo chmod +x pbis-open-8.8.0.506.linux.x86_64.deb.sh
<!--NeedCopy-->
运行 PBIS 安装脚本
例如:
sudo sh pbis-open-8.8.0.506.linux.x86_64.deb.sh
<!--NeedCopy-->
加入 Windows 域
您的域控制器必须可访问,并且您必须拥有具有将计算机添加到域的权限的 Active Directory 用户帐户:
sudo /opt/pbis/bin/domainjoin-cli join domain-name user
<!--NeedCopy-->
user 是一个域用户,具有将计算机添加到 Active Directory 域的权限。domain-name 是域的 DNS 名称,例如 example.com。
注意: 要将 Bash 设置为默认 shell,请运行 sudo /opt/pbis/bin/config LoginShellTemplate/bin/bash 命令。
验证域成员身份
Delivery Controller 要求所有 VDA 计算机(Windows 和 Linux VDA)在 Active Directory 中具有计算机对象。要验证已加入 PBIS 的 Linux 计算机是否在域中:
/opt/pbis/bin/domainjoin-cli query
<!--NeedCopy-->
如果计算机已加入域,此命令将返回有关当前加入的 AD 域和 OU 的信息。否则,仅显示主机名。
验证用户身份验证
要验证 PBIS 是否可以通过 PAM 验证域用户,请使用以前未使用的域用户帐户登录到 Linux VDA。
sudo ssh localhost -l domain\\user
id -u
<!--NeedCopy-->
验证是否为 id -u 命令返回的 UID 创建了相应的 Kerberos 凭据缓存文件:
ls /tmp/krb5cc_uid
<!--NeedCopy-->
退出会话。
exit
<!--NeedCopy-->
完成域加入验证后,继续执行步骤 4:安装 Linux VDA。
步骤 4:安装 Linux VDA
步骤 4a:下载 Linux VDA 软件包
转到 Citrix Virtual Apps and Desktops 下载页面。展开相应版本的 Citrix Virtual Apps and Desktops,然后单击组件以下载与您的 Linux 发行版匹配的 Linux VDA 软件包。
步骤 4b:安装 Linux VDA
使用 Debian 软件包管理器安装 Linux VDA 软件:
对于 Ubuntu 20.04:
sudo dpkg -i xendesktopvda_<version>.ubuntu20.04_amd64.deb
<!--NeedCopy-->
对于 Ubuntu 18.04:
sudo dpkg -i xendesktopvda_<version>.ubuntu18.04_amd64.deb
<!--NeedCopy-->
对于 Ubuntu 16.04:
sudo dpkg -i xendesktopvda_<version>.ubuntu16.04_amd64.deb
<!--NeedCopy-->
适用于 Ubuntu 20.04 的 Debian 依赖项列表:
postgresql >= 12
libpostgresql-jdbc-java >= 42.2
openjdk-8-jdk >= 8u252
imagemagick >= 8:6.9.10
ufw >= 0.36
ubuntu-desktop >= 1.450
libxrandr2 >= 2:1.5.2
libxtst6 >= 2:1.2.3
libxm4 >= 2.3.8
util-linux >= 2.34
gtk3-nocsd >= 3
bash >= 5.0
findutils >= 4.7.0
sed >= 4.7
cups >= 2.3
libmspack0 >= 0.10
libgoogle-perftools4 >= 2.7~
libpython2.7 >= 2.7~
<!--NeedCopy-->
适用于 Ubuntu 18.04 的 Debian 依赖项列表:
postgresql >= 9.5
libpostgresql-jdbc-java >= 9.2
openjdk-8-jdk >= 1.8.0
gtk3-nocsd >=3
imagemagick >= 8:6.8.9.9
ufw >= 0.35
ubuntu-desktop >= 1.361
libxrandr2 >= 2:1.5.0
libxtst6 >= 2:1.2.2
libxm4 >= 2.3.4
util-linux >= 2.27.1
bash >= 4.3
findutils >= 4.6.0
sed >= 4.2.2
cups >= 2.1
libldap-2.4-2 >= 2.4.42
libsasl2-modules-gssapi-mit >= 2.1.~
python-requests >= 2.9.1
libgoogle-perftools4 >= 2.4~
xserver-xorg-core >= 2:1.18
xserver-xorg-core << 2:1.19
x11vnc>=0.9.13
python-websockify >= 0.6.1
<!--NeedCopy-->
适用于 Ubuntu 16.04 的 Debian 依赖项列表:
postgresql >= 9.5
libpostgresql-jdbc-java >= 9.2
default-jdk >= 2:1.8
imagemagick >= 8:6.8.9.9
ufw >= 0.35
ubuntu-desktop >= 1.361
libxrandr2 >= 2:1.5.0
libxtst6 >= 2:1.2.2
libxm4 >= 2.3.4
util-linux >= 2.27.1
bash >= 4.3
findutils >= 4.6.0
sed >= 4.2.2
cups >= 2.1
libldap-2.4-2 >= 2.4.42
libsasl2-modules-gssapi-mit >= 2.1.~
python-requests >= 2.9.1
libgoogle-perftools4 >= 2.4~
xserver-xorg-core >= 2:1.18
xserver-xorg-core << 2:1.19
x11vnc>=0.9.13
python-websockify >= 0.6.1
<!--NeedCopy-->
注意:
有关此版本 Linux VDA 支持的 Linux 发行版和 Xorg 版本的矩阵,请参阅系统要求。
步骤 4c:升级 Linux VDA(可选)
您可以从前两个版本和 LTSR 版本升级现有安装。
sudo dpkg -i <PATH>/<Linux VDA deb>
<!--NeedCopy-->
步骤 4d:配置 Linux VDA
安装软件包后,您必须通过运行 ctxsetup.sh 脚本来配置 Linux VDA。在进行任何更改之前,脚本会验证环境并确保所有依赖项都已安装。如有必要,您可以随时重新运行该脚本以更改设置。
您可以手动运行脚本并进行提示,也可以使用预配置的响应自动运行脚本。在继续之前,请查看有关该脚本的帮助:
sudo /opt/Citrix/VDA/sbin/ctxsetup.sh --help
<!--NeedCopy-->
提示式配置
运行带有提示问题的手动配置:
sudo /opt/Citrix/VDA/sbin/ctxsetup.sh
<!--NeedCopy-->
自动化配置
对于自动化安装,可以通过环境变量提供安装脚本所需的选项。如果所有必需的变量都存在,脚本将不会提示用户输入任何信息,从而允许进行脚本化安装过程。
支持的环境变量包括:
-
**CTX_XDL_SUPPORT_DDC_AS_CNAME=Y N** – Linux VDA 支持使用 DNS CNAME 记录指定 Delivery Controller 名称。默认设置为 N。 - CTX_XDL_DDC_LIST=‘list-ddc-fqdns’ – Linux VDA 需要一个以空格分隔的 Delivery Controller 完全限定域名 (FQDN) 列表,用于向 Delivery Controller 注册。必须至少指定一个 FQDN 或 CNAME 别名。
- CTX_XDL_VDA_PORT=port-number – Linux VDA 通过 TCP/IP 端口与 Delivery Controller 通信,默认端口为 80。
-
**CTX_XDL_REGISTER_SERVICE=Y N** – Linux Virtual Desktop 服务在计算机启动后启动。默认设置为 Y。 -
**CTX_XDL_ADD_FIREWALL_RULES=Y N** – Linux Virtual Desktop 服务要求通过系统防火墙允许传入网络连接。您可以自动在系统防火墙中为 Linux Virtual Desktop 打开所需端口(默认端口为 80 和 1494)。默认设置为 Y。 -
**CTX_XDL_AD_INTEGRATION=1 2 3 4 5** – Linux VDA 需要 Kerberos 配置设置才能向 Delivery Controller 进行身份验证。Kerberos 配置由系统上已安装和配置的 Active Directory 集成工具确定。指定要使用的受支持的 Active Directory 集成方法: - 1 – Samba Winbind
- 2 – Quest Authentication Service
- 3 – Centrify DirectControl
- 4 – SSSD
- 5 – PBIS
-
**CTX_XDL_HDX_3D_PRO=Y N** – Linux VDA 支持 HDX 3D Pro,这是一套旨在优化富图形应用程序虚拟化的 GPU 加速技术。如果选择 HDX 3D Pro,VDA 将配置为 VDI 桌面(单会话)模式 – (即 CTX_XDL_VDI_MODE=Y)。 -
**CTX_XDL_VDI_MODE=Y N** – 是否将计算机配置为专用桌面交付模型 (VDI) 或托管共享桌面交付模型。对于 HDX 3D Pro 环境,请将此变量设置为 Y。此变量默认设置为 N。 - CTX_XDL_SITE_NAME=dns-name – Linux VDA 通过 DNS 发现 LDAP 服务器。要将 DNS 搜索结果限制到本地站点,请指定 DNS 站点名称。此变量默认设置为 <none>。
- CTX_XDL_LDAP_LIST=‘list-ldap-servers’ – Linux VDA 查询 DNS 以发现 LDAP 服务器。如果 DNS 无法提供 LDAP 服务记录,您可以提供一个以空格分隔的 LDAP FQDN 列表以及 LDAP 端口。例如,ad1.mycompany.com:389。此变量默认设置为 <none>。
- CTX_XDL_SEARCH_BASE=search-base-set – Linux VDA 通过设置为 Active Directory 域根的搜索基(例如,DC=mycompany,DC=com)查询 LDAP。但是,为了提高搜索性能,您可以指定一个搜索基(例如,OU=VDI,DC=mycompany,DC=com)。此变量默认设置为 <none>。
- CTX_XDL_FAS_LIST=‘list-fas-servers’ – 联合身份验证服务 (FAS) 服务器通过 AD 组策略进行配置。Linux VDA 不支持 AD 组策略,但您可以提供一个以分号分隔的 FAS 服务器列表。序列必须与 AD 组策略中配置的相同。如果删除了任何服务器地址,请用 <none> 文本字符串填充其空白,并且不要修改服务器地址的顺序。
-
CTX_XDL_DOTNET_ RUNTIME_PATH=path-to-install-dotnet-runtime – 用于安装 .NET Core Runtime 3.1 以支持新的代理代理服务 (
ctxvda) 的路径。默认路径为 /usr/bin。 -
**CTX_XDL_START_SERVICE=Y N** – Linux VDA 配置完成后是否启动 Linux VDA 服务。默认设置为 Y。 - CTX_XDL_TELEMETRY_SOCKET_PORT – 用于侦听 Citrix Scout 的套接字端口。默认端口为 7503。
- CTX_XDL_TELEMETRY_PORT – 用于与 Citrix Scout 通信的端口。默认端口为 7502。
设置环境变量并运行配置脚本:
export CTX_XDL_SUPPORT_DDC_AS_CNAME=Y|N
export CTX_XDL_DDC_LIST=‘list-ddc-fqdns’
export CTX_XDL_VDA_PORT=port-number
export CTX_XDL_REGISTER_SERVICE=Y|N
export CTX_XDL_ADD_FIREWALL_RULES=Y|N
export CTX_XDL_AD_INTEGRATION=1|2|3|4|5
export CTX_XDL_HDX_3D_PRO=Y|N
export CTX_XDL_VDI_MODE=Y|N
export CTX_XDL_SITE_NAME=dns-site-name | '<none>'
export CTX_XDL_LDAP_LIST=‘list-ldap-servers’ | '<none>'
export CTX_XDL_SEARCH_BASE=search-base-set | '<none>'
export CTX_XDL_FAS_LIST=‘list-fas-servers’ | '<none>'
export CTX_XDL_DOTNET_RUNTIME_PATH=path-to-install-dotnet-runtime
export CTX_XDL_TELEMETRY_SOCKET_PORT=port-number
export CTX_XDL_TELEMETRY_PORT=port-number
export CTX_XDL_START_SERVICE=Y|N
sudo -E /opt/Citrix/VDA/sbin/ctxsetup.sh
<!--NeedCopy-->
运行 sudo 命令时,键入 -E 选项以将现有环境变量传递给它创建的新 shell。我们建议您使用 #!/bin/bash 作为第一行,从上述命令创建一个 shell 脚本文件。
或者,您可以使用单个命令指定所有参数:
sudo CTX_XDL_SUPPORT_DDC_AS_CNAME=Y|N \
CTX_XDL_DDC_LIST=‘list-ddc-fqdns’ \
CTX_XDL_VDA_PORT=port-number \
CTX_XDL_REGISTER_SERVICE=Y|N \
CTX_XDL_ADD_FIREWALL_RULES=Y|N \
CTX_XDL_AD_INTEGRATION=1|2|3|4|5 \
CTX_XDL_HDX_3D_PRO=Y|N \
CTX_XDL_VDI_MODE=Y|N \
CTX_XDL_SITE_NAME=dns-name \
CTX_XDL_LDAP_LIST=‘list-ldap-servers’ \
CTX_XDL_SEARCH_BASE=search-base-set \
CTX_XDL_FAS_LIST=‘list-fas-servers’ \
CTX_XDL_DOTNET_RUNTIME_PATH=path-to-install-dotnet-runtime \
CTX_XDL_TELEMETRY_SOCKET_PORT=port-number \
CTX_XDL_TELEMETRY_PORT=port-number \
CTX_XDL_START_SERVICE=Y|N \
/opt/Citrix/VDA/sbin/ctxsetup.sh
<!--NeedCopy-->
删除配置更改
在某些情况下,您可能需要删除由 ctxsetup.sh 脚本进行的配置更改,而无需卸载 Linux VDA 软件包。
在继续之前,请查看有关此脚本的帮助:
sudo /opt/Citrix/VDA/sbin/ctxcleanup.sh --help
<!--NeedCopy-->
要删除配置更改:
sudo /opt/Citrix/VDA/sbin/ctxcleanup.sh
<!--NeedCopy-->
重要提示:
此脚本会删除数据库中的所有配置数据,并使 Linux VDA 无法运行。
配置日志
ctxsetup.sh 和 ctxcleanup.sh 脚本会在控制台上显示错误,并将附加信息写入配置文件 /tmp/xdl.configure.log。
重新启动 Linux VDA 服务以使更改生效。
卸载 Linux VDA 软件
要检查 Linux VDA 是否已安装以及查看已安装软件包的版本:
dpkg -l xendesktopvda
<!--NeedCopy-->
要查看更多详细信息:
apt-cache show xendesktopvda
<!--NeedCopy-->
要卸载 Linux VDA 软件:
dpkg -r xendesktopvda
<!--NeedCopy-->
注意:
卸载 Linux VDA 软件会删除关联的 PostgreSQL 和其他配置数据。但是,在安装 Linux VDA 之前设置的 PostgreSQL 软件包和其他依赖软件包不会被删除。
提示:
本节中的信息不包括删除包括 PostgreSQL 在内的依赖软件包。
步骤 5:运行 Linux VDA
使用 ctxsetup.sh 脚本配置 Linux VDA 后,您可以使用以下命令来控制 Linux VDA。
启动 Linux VDA:
要启动 Linux VDA 服务:
sudo systemctl start ctxhdx
sudo systemctl start ctxvda
<!--NeedCopy-->
停止 Linux VDA:
要停止 Linux VDA 服务:
sudo systemctl stop ctxvda
sudo systemctl stop ctxhdx
<!--NeedCopy-->
注意:
在停止
ctxvda和ctxhdx服务之前,请运行service ctxmonitorservice stop命令以停止监视器服务守护程序。否则,监视器服务守护程序将重新启动您停止的服务。
重新启动 Linux VDA:
要重新启动 Linux VDA 服务:
sudo systemctl stop ctxvda
sudo systemctl restart ctxhdx
sudo systemctl restart ctxvda
<!--NeedCopy-->
检查 Linux VDA 状态:
要检查 Linux VDA 服务的运行状态:
sudo systemctl status ctxvda
sudo systemctl status ctxhdx
<!--NeedCopy-->
步骤 6:在 Citrix Virtual Apps 或 Citrix Virtual Desktops™ 中创建计算机目录
创建计算机目录和添加 Linux VDA 计算机的过程与传统的 Windows VDA 方法类似。有关如何完成这些任务的更详细说明,请参阅创建计算机目录和管理计算机目录。
对于创建包含 Linux VDA 计算机的计算机目录,存在一些限制,这些限制使其与创建 Windows VDA 计算机的计算机目录的过程有所不同:
- 对于操作系统,请选择:
- 多会话操作系统选项,用于托管共享桌面交付模型。
- 单会话操作系统选项,用于 VDI 专用桌面交付模型。
- 请勿在同一计算机目录中混合使用 Linux 和 Windows VDA 计算机。
注意:
Citrix Studio 的早期版本不支持“Linux 操作系统”的概念。但是,选择Windows Server 操作系统或服务器操作系统选项意味着等效的托管共享桌面交付模型。选择Windows 桌面操作系统或桌面操作系统选项意味着每个计算机一个用户的交付模型。
提示:
如果您将计算机从 Active Directory 域中删除并重新加入,则必须再次从计算机目录中删除并添加该计算机。
步骤 7:在 Citrix Virtual Apps™ 或 Citrix Virtual Desktops 中创建交付组
创建交付组和添加包含 Linux VDA 计算机的计算机目录的过程与 Windows VDA 计算机几乎相同。有关如何完成这些任务的更详细说明,请参阅创建交付组。
对于创建包含 Linux VDA 计算机目录的交付组,适用以下限制:
- 确保您选择的 AD 用户和组已正确配置为登录到 Linux VDA 计算机。
- 请勿允许未经身份验证(匿名)用户登录。
- 请勿将交付组与包含 Windows 计算机的计算机目录混合使用。
有关如何创建计算机目录和交付组的信息,请参阅 Citrix Virtual Apps and Desktops 7 2103。