Linux Virtual Delivery Agent 2104

安装 Linux Virtual Delivery Agent for SUSE

可以选择按照本文中的步骤进行手动安装,也可以使用轻松安装进行自动安装和配置。轻松安装省时又省力,与手动安装相比,更不易于出错。

注意:

请仅对全新安装使用轻松安装功能。请勿使用轻松安装更新现有安装。

步骤 1:准备安装

步骤 1a:启动 YaST 工具

SUSE Linux Enterprise YaST 工具用于对操作系统执行方方面面的配置。

启动基于文本的 YaST 工具:

su -

yast
<!--NeedCopy-->

或者,启动基于 UI 的 YaST 工具:

su -

yast2 &
<!--NeedCopy-->

步骤 1b:配置网络连接

以下各部分介绍了如何配置 Linux VDA 使用的各种网络设置和服务。网络配置通过 YaST 工具执行,而不得使用其他方法,例如 Network Manager。以下说明介绍的是使用基于 UI 的 YaST 工具的情形。也可以使用基于文本的 YaST 工具,但导航方法稍有不同,对此本文未作介绍。

配置主机名和 DNS

  1. 打开 YaST 网络设置。
  2. 仅限 SLED 12:在 Global Options(全局选项)选项卡上,将 Network Setup Method(网络设置方法)更改为 Wicked Service(Wicked 服务)。
  3. 打开 Hostname/DNS(主机名/DNS)选项卡。
  4. 取消选中 Change hostname via DHCP(通过 DHCP 更改主机名)。
  5. 选中 Assign Hostname to Loopback IP(向环回 IP 分配主机名)。
  6. 编辑以下内容,以反映所作的网络设置:
    • 主机名 - 添加计算机的 DNS 主机名。
    • 域名 - 添加计算机的 DNS 域名。
    • 名称服务器 - 添加 DNS 服务器的 IP 地址。通常是 AD 域控制器的 IP 地址。
    • 域搜索列表 - 添加 DNS 域名。

注意:

Linux VDA 当前不支持 NetBIOS 名称截断。因此,主机名不得超过 15 个字符。

提示:

只能使用字符 a-z、A-Z、0-9 和连字符 (-)。请避免使用下划线 (_)、空格和其他符号。主机名不得以数字开头和以连字符结尾。此规则也适用于 Delivery Controller 主机名。

禁用多播 DNS

只有在 SLED 上,默认设置才会启用多播 DNS (mDNS),而这可能会导致名称解析结果不一致。默认情况下,SLES 上未启用 mDNS,因此无需任何操作。

要禁用 mDNS,请编辑 /etc/nsswitch.conf 并更改包含以下内容的行:

hosts: files mdns_minimal [NOTFOUND=return] dns

更改为:

hosts: files dns

检查主机名

验证主机名设置是否正确无误:

hostname
<!--NeedCopy-->

此命令仅返回计算机的主机名,而不返回其完全限定域名 (FQDN)。

验证 FQDN 设置是否正确无误:

hostname -f
<!--NeedCopy-->

此命令返回计算机的 FQDN。

检查名称解析和服务可访问性

确认可以解析 FQDN 并对域控制器和 Delivery Controller 执行 ping 操作:

nslookup domain-controller-fqdn

ping domain-controller-fqdn

nslookup delivery-controller-fqdn

ping delivery-controller-fqdn
<!--NeedCopy-->

如果无法解析 FQDN 或 Ping 不通上述任一计算机,请先检查相关步骤,然后再继续。

步骤 1c:配置 NTP 服务

维护 VDA、Delivery Controller 和域控制器之间的时钟始终精确同步至关重要。将 Linux VDA 托管为虚拟机可能会导致时钟偏差问题。出于此原因,最好使用远程 NTP 服务来保持时间同步。默认 NTP 设置可能需要作一些更改:

  1. 打开 YaST 的“NTP Configuration”(NTP 配置),然后选择 General Settings(常规设置)选项卡。
  2. 在“Start NTP Daemon”(启动 NTP 守护程序)部分,选中 Now and on Boot(现在及引导时)。
  3. 如果存在 Undisciplined Local Clock (LOCAL)(无序本地时钟(LOCAL))项,选择该项,然后单击 Delete(删除)。
  4. 单击 Add(添加),添加一个 NTP 服务器条目。
  5. 选择 Server Type(服务器类型),然后单击 Next(下一步)。
  6. 在“Address”(地址)字段键入 NTP 服务器的 DNS 名称。此服务通常托管在 Active Directory 域控制器上。
  7. 将“Options”(选项)字段保持不变。
  8. 单击 Test(测试)验证 NTP 服务是否可访问。
  9. 在随后的一系列窗口中一直单击 OK(确定)保存更改。

注意:

对于 SLES 12 实施,NTP 守护程序可能会因 SUSE 上与 AppArmor 策略有关的一个已知问题而无法启动。请单击解决方案了解其他信息。

步骤 1d:安装 Linux VDA 依赖软件包

适用于 SUSE Linux Enterprise 的 Linux VDA 软件依赖于以下软件包:

  • Postgresql10-server 10.12 或更高版本
  • OpenJDK 11
  • OpenMotif Runtime Environment 2.3.1 或更高版本
  • Cups 1.6.0 或更高版本
  • Foomatic 过滤器 3.0.0 或更高版本
  • ImageMagick 6.8 或更高版本

添加存储库

可以从 SUSE Linux Enterprise 软件开发工具包 (SDK) 中获取一些必需的软件包,例如 PostgreSQL 和 ImageMagick。要获取这些软件包,请使用 YaST 添加 SDK 存储库,或者下载 SDK 映像文件,然后使用以下命令在本地进行装载:

sudo mkdir -p /mnt/sdk

sudo mount -t iso9660 path-to-iso/SLE-12-SP5-SDK-DVD-x86_64-GM-DVD1.iso /mnt/sdk

sudo zypper ar -f /mnt/sdk sdk
<!--NeedCopy-->

安装 Kerberos 客户端

安装 Kerberos 客户端,在 Linux VDA 与 Delivery Controller 之间实现双向身份验证:

sudo zypper install krb5-client
<!--NeedCopy-->

Kerberos 客户端配置依赖于所使用的 Active Directory 集成方法。请参阅下面的说明。

安装 OpenJDK 11

Linux VDA 要求存在 OpenJDK 11。

提示:

为避免在 Delivery Controller 中注册失败,请务必仅安装 OpenJDK 11。从系统中删除所有其他版本的 Java。

  • SLED:
  1. 在 SLED 上,检查 OpenJDK 11 是否已安装:

    sudo zypper info java-11-openjdk
    <!--NeedCopy-->
    
  2. 如果状态报告为过期,请更新到 OpenJDK 11:

    sudo zypper update java-11-openjdk
    <!--NeedCopy-->
    
  3. 检查 Java 版本:

    java -version
    <!--NeedCopy-->
    
  • SLES:
  1. 在 SLES 上,安装 OpenJDK 11:

    sudo zypper install java-11-openjdk
    <!--NeedCopy-->
    
  2. 检查 Java 版本:

    java -version
    <!--NeedCopy-->
    

安装 PostgreSQL

在 SLED/SLES 12 中,安装以下软件包:

sudo zypper install postgresql-init

sudo zypper install postgresql10-server

sudo zypper install postgresql-jdbc
<!--NeedCopy-->

此时需要执行安装后步骤,以便初始化数据库服务,并确保 PostgreSQL 在计算机启动时启动:

sudo systemctl enable postgresql

sudo systemctl restart postgresql
<!--NeedCopy-->

数据库文件位于 /var/lib/pgsql/data。

删除存储库

在安装了相关软件包的情况下,运行以下命令以删除先前设置的 SDK 存储库和装载的媒体:

sudo zypper rr sdk

sudo umount /mnt/sdk

sudo rmdir /mnt/sdk
<!--NeedCopy-->

步骤 2:为虚拟机管理程序准备 Linux VM

在支持的虚拟机管理程序上将 Linux VDA 当作虚拟机运行时,需要作出一些更改。根据使用的虚拟机管理程序平台作出以下更改。如果正在裸机硬件上运行 Linux 计算机,则无需作出任何更改。

修复 Citrix Hypervisor 上的时间同步问题

如果启用了 Citrix Hypervisor 时间同步功能,则在每个半虚拟化 Linux VM 中,您会发现 NTP 和 Citrix Hypervisor 都在尝试管理系统时钟。为避免时钟与其他服务器不同步,每个 Linux 客户机中的系统时钟都必须与 NTP 同步。这种情况要求禁用主机时间同步。无需在 HVM 模式下进行任何更改。

在某些 Linux 发行版中,如果正在运行半虚拟化 Linux 内核,并安装了 Citrix VM Tools,您可以检查 Citrix Hypervisor 时间同步功能是否存在,以及是否已在 Linux VM 中启用:

su -

cat /proc/sys/xen/independent_wallclock
<!--NeedCopy-->

此命令返回 0 或 1:

  • 0 - 时间同步功能已启用,且必须禁用。
  • 1 - 时间同步功能已禁用,无需采取任何操作。

如果 /proc/sys/xen/independent_wallclock 文件不存在,则不需要执行以下步骤。

如果已启用,请通过向该文件写入 1 以禁用时间同步功能:

sudo echo 1 > /proc/sys/xen/independent_wallclock
<!--NeedCopy-->

要使此更改成为永久更改,并在重新启动后仍然有效,请编辑 /etc/sysctl.conf 文件并添加以下行:

xen.independent_wallclock = 1

要验证这些更改,请重新启动系统:

reboot
<!--NeedCopy-->

重新启动后,验证此设置是否正确:

su -

cat /proc/sys/xen/independent_wallclock
<!--NeedCopy-->

此命令返回值 1。

在 Microsoft Hyper-V 上修复时间同步问题

安装了 Hyper-V Linux 集成服务的 Linux VM 可应用 Hyper-V 时间同步功能来使用主机操作系统的时间。为确保系统时钟始终精确可靠,请一同启用此功能与 NTP 服务。

从管理操作系统中:

  1. 打开 Hyper-V 管理器控制台。
  2. 对于 Linux VM 的设置,请选择 Integration Services(集成服务)。
  3. 确保已选择 Time synchronization(时间同步)。

注意:

此方法与 VMware 和 Citrix Hypervisor 不同,这两种产品会禁用主机时间同步功能,以免与 NTP 发生冲突。Hyper-V 时间同步可以与 NTP 时间同步共存并互补。

修复 ESX 和 ESXi 上的时间同步问题

如果启用了 VMware 时间同步功能,则在每个半虚拟化 Linux VM 中,您会发现 NTP 和虚拟机管理程序都在尝试同步系统时钟。为避免时钟与其他服务器不同步,请将每个 Linux 来宾中的系统时钟与 NTP 同步。这种情况要求禁用主机时间同步。

如果正在运行安装了 VMware Tools 的半虚拟化 Linux 内核:

  1. 打开 vSphere Client。
  2. 编辑 Linux VM 设置。
  3. Virtual Machine Properties(虚拟机属性)对话框中,打开 Options(选项)选项卡。
  4. 选择 VMware Tools
  5. Advanced(高级)框中,取消选中 Synchronize guest time with host(与主机同步客户机时间)。

步骤 3:向 Windows 域中添加 Linux 虚拟机 (VM)

Linux VDA 支持多种向 Active Directory (AD) 域添加 Linux 计算机的方法:

根据所选的方法,按说明执行操作。

注意:

为 Linux VDA 中的本地帐户和 AD 中的帐户使用相同的用户名时,会话启动可能会失败。

Samba Winbind

加入 Windows 域

您的域控制器必须可访问,而且您必须具有有权将计算机添加到域的 Active Directory 用户帐户。

  1. 打开 YaST 的“Windows Domain Membership”(Windows 域成员身份)。

  2. 进行以下更改:

    • 域或工作组设为 Active Directory 域的名称或域控制器的 IP 地址。确保域名为大写。
    • 选中 Also Use SMB information for Linux Authentication(同时为 Linux 身份验证使用 SMB 信息)。
    • 选中 Create Home Directory on Login(在登录时创建主目录)。
    • 选中 Single Sign-on for SSH(为 SSH 使用单点登录)。
    • 确保未选中 Offline Authentication(脱机身份验证)。此选项与 Linux VDA 不兼容。
  3. 单击确定。如果提示安装某些软件包,请单击 Install(安装)。

  4. 如果找到域控制器,则会询问您是否要加入域。单击

  5. 出现提示时,键入有权将计算机添加到域的域用户的凭据,然后单击 OK(确定)。

  6. 此时会显示一条消息,说明操作成功。

  7. 如果提示安装某些 samba 和 krb5 软件包,请单击 Install(安装)。

YaST 可能会说明这些更改需要重新启动计算机或一些服务。我们建议您重新启动计算机:

su -

reboot
<!--NeedCopy-->

仅限 SUSE 12:修补了 Kerberos 凭据缓存名称

SUSE 12 已将默认 Kerberos 凭据缓存名称规范从常用的 FILE:/tmp/krb5cc_%{uid} 更改为 DIR:/run/user/%{uid}/krb5cc。这种全新 DIR 缓存方法与 Linux VDA 不兼容,必须进行手动更改。以 root 用户身份,编辑 /etc/krb5.conf 并在 [libdefaults] 部分下添加以下设置(如果尚未设置):

default_ccache_name = FILE:/tmp/krb5cc_%{uid}

验证域成员身份

Delivery Controller 要求所有 VDA 计算机(Windows 和 Linux)都要在 Active Directory 中有一个计算机对象。

运行 Samba 的 net ads 命令验证计算机是否已加入域:

sudo net ads testjoin
<!--NeedCopy-->

运行以下命令验证额外的域和计算机对象信息:

sudo net ads info
<!--NeedCopy-->

验证 Kerberos 配置

为了确保 Kerberos 已正确配置为可与 Linux VDA 配合使用,请验证系统 keytab 文件是否已创建并包含有效密钥:

sudo klist –ke
<!--NeedCopy-->

此命令显示各种主体名称与密码套件组合可用的密钥列表。运行 Kerberos kinit 命令,使用这些密钥向域控制器验证计算机的身份:

sudo kinit -k MACHINE$@REALM
<!--NeedCopy-->

计算机和领域名称必须指定为大写。美元符号 ($) 必须使用反斜杠 (\) 进行转义,以免发生 shell 替换。在某些环境中,DNS 域名与 Kerberos 领域名称不同。请确保使用领域名称。如果此命令成功运行,则不会显示任何输出。

使用以下命令验证计算机帐户的 TGT 票据已缓存:

sudo klist
<!--NeedCopy-->

使用以下命令检查计算机帐户详细信息:

sudo net ads status
<!--NeedCopy-->

验证用户身份验证

使用 wbinfo 工具验证是否可向域验证域用户的身份:

wbinfo --krb5auth=domain\username%password
<!--NeedCopy-->

这里指定的域为 AD 域名,而不是 Kerberos 领域名称。对于 bash shell,必须使用另一个反斜杠对反斜杠 (\) 字符进行转义。此命令返回一条成功或失败消息。

要验证 Winbind PAM 模块是否已正确配置,请使用以前未使用的域用户帐户登录 Linux VDA。

ssh localhost -l domain\username
id -u
<!--NeedCopy-->

验证是否为 id -u 命令返回的 uid 创建了对应的 Kerberos 凭据缓存文件:

ls /tmp/krb5cc_uid
<!--NeedCopy-->

验证用户 Kerberos 凭据缓存中的票据是否有效且未过期:

klist
<!--NeedCopy-->

退出会话。

exit
<!--NeedCopy-->

直接登录 Gnome 或 KDE 控制台也可以执行类似的测试。在进行域加入验证后继续执行步骤 4:安装 Linux VDA

Quest Authentication Service

在域控制器上配置 Quest

假定您已在 Active Directory 域控制器上安装并配置了 Quest 软件,而且已获得管理权限,有权在 Active Directory 中创建计算机对象。

允许域用户登录 Linux VDA 计算机

为了让域用户能够在 Linux VDA 计算机上建立 HDX 会话:

  1. 在 Active Directory 用户和计算机管理控制台中,为该用户帐户打开 Active Directory 用户属性。
  2. 选择 Unix Account(Unix 帐户)选项卡。
  3. 选中 Unix-enabled(已启用 Unix)。
  4. Primary GID Number(首选 GID 编号)设置为实际域用户组的组 ID。

注意:

这些说明相当于设置域用户,以便他们可以使用控制台、RDP、SSH 或任何其他远程协议进行登录。

在 Linux VDA 上配置 Quest

配置 VAS 守护程序

必须启用并断开自动续订 Kerberos 票据功能。必须禁用身份验证(脱机登录)功能:

sudo /opt/quest/bin/vastool configure vas vasd auto-ticket-renew-interval 32400

sudo /opt/quest/bin/vastool configure vas vas_auth allow-disconnected-auth false
<!--NeedCopy-->

此命令将续订间隔设为 9 小时(32400 秒),即比默认的 10 小时票据生命周期短 1 小时。请在票据生命周期较短的系统上设置较低的值。

配置 PAM 和 NSS

要启用通过 HDX 进行的域用户登录以及其他服务(例如 su、ssh 和 RDP),请运行以下命令以手动配置 PAM 和 NSS:

sudo /opt/quest/bin/vastool configure pam

sudo /opt/quest/bin/vastool configure nss
<!--NeedCopy-->

加入 Windows 域

使用 Quest vastool 命令将 Linux 计算机加入到 Active Directory 域中:

sudo /opt/quest/bin/vastool -u user join domain-name
<!--NeedCopy-->

user 为有权将计算机加入 Active Directory 域的任何域用户。domain-name 为域的 DNS 名称,例如 example.com。

验证域成员身份

Delivery Controller 要求所有 VDA 计算机(Windows 和 Linux)都要在 Active Directory 中有一个计算机对象。验证 Quest 加入的 Linux 计算机是否位于域中:

sudo /opt/quest/bin/vastool info domain
<!--NeedCopy-->

如果计算机已加入域,此命令会返回域名。如果计算机未加入任何域,则会显示以下错误:

ERROR: No domain could be found.
ERROR: VAS_ERR_CONFIG: at ctx.c:414 in _ctx_init_default_realm
default_realm not configured in vas.conf. Computer may not be joined to domain

验证用户身份验证

要验证 Quest 是否能够通过 PAM 对域用户进行身份验证,请使用以前未使用的域用户帐户登录 Linux VDA。

ssh localhost -l domain\username
id -u
<!--NeedCopy-->

验证是否为 id -u 命令返回的 uid 创建了对应的 Kerberos 凭据缓存文件:

ls /tmp/krb5cc_uid
<!--NeedCopy-->

验证 Kerberos 凭据缓存中的票据是否有效且未过期:

/opt/quest/bin/vastool klist
<!--NeedCopy-->

退出会话。

exit
<!--NeedCopy-->

直接登录 Gnome 或 KDE 控制台也可以执行类似的测试。在进行域加入验证后继续执行步骤 4:安装 Linux VDA

Centrify DirectControl

加入 Windows 域

安装 Centrify DirectControl Agent 后,请使用 Centrify adjoin 命令将 Linux 计算机加入 Active Directory 域:

su –
adjoin -w -V -u user domain-name
<!--NeedCopy-->

user 为有权将计算机加入 Active Directory 域的任何 Active Directory 域用户。domain-name 是将 Linux 计算机加入到的域的名称。

验证域成员身份

Delivery Controller 要求所有 VDA 计算机(Windows 和 Linux)都要在 Active Directory 中有一个计算机对象。验证 Centrify 加入的 Linux 计算机是否位于域中:

su –

adinfo
<!--NeedCopy-->

验证 Joined to domain 值是否有效以及 CentrifyDC mode 是否返回了 connected。如果模式仍然卡在启动状态,则表明 Centrify 客户端遇到了服务器连接或身份验证问题。

使用以下命令可获得更全面的系统和诊断信息:

adinfo --sysinfo all

adinfo –diag
<!--NeedCopy-->

测试与各种 Active Directory 和 Kerberos 服务的连接。

adinfo --test
<!--NeedCopy-->

在进行域加入验证后继续执行步骤 4:安装 Linux VDA

SSSD

如果您在 SUSE 上使用 SSSD,请按照此部分中的说明进行操作。此部分包含有关如何将 Linux VDA 计算机加入 Windows 域的说明以及如何配置 Kerberos 身份验证的指导。

要在 SUSE 上设置 SSSD,请完成以下步骤:

  1. 加入域并创建主机 keytab
  2. 为 SSSD 配置 PAM
  3. 设置 SSSD
  4. 启用 SSSD
  5. 验证域成员身份
  6. 验证 Kerberos 配置
  7. 验证用户身份验证

加入域并创建主机 keytab

SSSD 并不提供用于加入域和管理系统 keytab 文件的 Active Directory 客户端功能。可以改为使用 Samba 方法。在配置 SSSD 之前,请完成以下步骤。

  1. 停止并禁用 Name Service Cache Daemon (NSCD) 守护进程。

    sudo systemctl stop nscd
    
    sudo systemctl disable nscd
    <!--NeedCopy-->
    
  2. 安装或更新所需软件包:

    sudo zypper install krb5-client
    
    sudo zypper install samba-client
    <!--NeedCopy-->
    
  3. 以 root 用户身份编辑 /etc/krb5.conf 文件,以允许 kinit 实用程序与目标域进行通信。在 [libdefaults][realms][domain_realm] 部分下添加以下条目:

    注意:

    根据您的 AD 基础结构配置 Kerberos。以下设置适用于单域、单林模型。

    [libdefaults]
    
        dns_canonicalize_hostname = false
    
        rdns = false
    
        default_realm = REALM
    
        forwardable = true
    
    [realms]
    
        REALM = {
    
             kdc = fqdn-of-domain-controller
    
            default_domain = realm
    
            admin_server =     fqdn-of-domain-controller
        }
    [domain_realm]
    
        .realm = REALM
    
        realm = REALM
    <!--NeedCopy-->
    

    realm 是 Kerberos 领域的名称,例如 example.com。REALM 是 Kerberos 领域的大写名称,例如 EXAMPLE.COM。fqdn-of-domain-controller 是域控制器的 FQDN。

  4. 以 root 用户身份编辑 /etc/samba/smb.conf 以允许 net 实用程序与目标域进行通信。将以下条目添加到 [global] 部分:

    [global]
        workgroup = domain
    
        realm = REALM
    
        security = ADS
    
        kerberos method = secrets and keytab
    
        client signing = yes
    
        client use spnego = yes
    <!--NeedCopy-->
    

    domain 是 Active Directory 域的简短 NetBIOS 名称,例如 EXAMPLE。

  5. 修改 /etc/nsswitch.conf 文件中的 passwdgroup 条目以在解析用户和组时引用 SSSD。

    passwd: compat sss
    
    group: compat sss
    <!--NeedCopy-->
    
  6. 加入 Windows 域。请确保域控制器可访问,而且您具有有权将计算机添加到域的 Active Directory 用户帐户。

    sudo realm join REALM -U user
    <!--NeedCopy-->
    

    user 为有权将计算机加入域的域用户。

为 SSSD 配置 PAM

在为 SSSD 配置 PAM 之前,请安装或更新所需的软件包:

sudo zypper install sssd sssd-ad
<!--NeedCopy-->

将 PAM 模块配置为通过 SSSD 进行用户身份验证,并为用户登录创建主目录。

sudo pam-config --add  --sss
sudo pam-config --add --mkhomedir
<!--NeedCopy-->

设置 SSSD

  1. 以 root 用户身份编辑 /etc/sssd.conf,以允许 SSSD 守护程序与目标域进行通信。sssd.conf 配置示例(可以根据需要添加额外的选项):

    [sssd]
        config_file_version = 2
        services = nss,pam
        domains = domain-dns-name
    
    [domain/domain-dns-name]
        id_provider = ad
        auth_provider = ad
        access_provider = ad
        ad_domain = domain-dns-name
        ad_server = fqdn-of-domain-controller
        ldap_id_mapping = true
        ldap_schema = ad
    
    # Kerberos settings
        krb5_ccachedir = /tmp
        krb5_ccname_template = FILE:%d/krb5cc_%U
      
    # Comment out if the users have the shell and home dir set on the AD side
    
        fallback_homedir = /home/%d/%u
        default_shell = /bin/bash
    
    # Uncomment and adjust if the default principal SHORTNAME$@REALM is not available
    
    # ldap_sasl_authid = host/client.ad.example.com@AD.EXAMPLE.COM
    
        ad_gpo_access_control = permissive
    
    <!--NeedCopy-->
    

    domain-dns-name 是 DNS 域名,例如 example.com。

    注意:

    ldap_id_mapping 设置为 true,以便 SSSD 本身负责将 Windows SID 映射到 Unix UID。否则,Active Directory 必须能够提供 POSIX 扩展。将 ad_gpo_access_control 设置为 permissive 以防止 Linux 会话出现无效登录错误。请参阅 sssd.conf 和 sssd-ad 的手册页。

  2. 对 sssd.conf 设置文件所有权和权限:

    sudo chmod 0600 /etc/sssd/sssd.conf
    <!--NeedCopy-->
    

启用 SSSD

运行以下命令以在系统启动时启用并启动 SSSD 守护程序:

sudo systemctl enable sssd
sudo systemctl start sssd
<!--NeedCopy-->

验证域成员身份

  1. 运行 Samba 的 net ads 命令验证计算机是否已加入域:

    sudo net ads testjoin
    <!--NeedCopy-->
    
  2. 运行以下命令验证额外的域和计算机对象信息:

    sudo net ads info
    <!--NeedCopy-->
    

验证 Kerberos 配置

要验证 Kerberos 是否已正确配置为可与 Linux VDA 配合使用,请验证系统 keytab 文件是否已创建并包含有效密钥:

sudo klist -ke
<!--NeedCopy-->

此命令显示各种主体名称与密码套件组合可用的密钥列表。运行 Kerberos kinit 命令,使用这些密钥向域控制器验证计算机的身份:

sudo kinit –k MACHINE$@REALM
<!--NeedCopy-->

计算机和领域名称必须指定为大写。美元符号 ($) 必须使用反斜杠 (**\**) 进行转义,以免发生 shell 替换。在某些环境中,DNS 域名与 Kerberos 领域名称不同。请确保使用领域名称。如果此命令成功运行,则不会显示任何输出。

使用以下命令验证计算机帐户的 TGT 票据已缓存:

sudo klist
<!--NeedCopy-->

验证用户身份验证

SSSD 不直接通过守护程序提供用于测试身份验证的命令行工具,只能通过 PAM 完成。

要验证 SSSD PAM 模块是否已正确配置,请使用以前未使用的域用户帐户登录 Linux VDA。

ssh localhost -l domain\username

id -u

klist

exit
<!--NeedCopy-->

验证 klist 命令返回的 Kerberos 票据是否适用于该用户并且尚未过期。

以 root 用户身份,验证是否已为前面的 id -u 命令返回的 uid 创建相应的票据缓存文件:

ls /tmp/krb5cc_uid
<!--NeedCopy-->

直接登录 Gnome 或 KDE 控制台也可以执行类似的测试。在进行域加入验证后继续执行步骤 4:安装 Linux VDA

PBIS

下载所需的 PBIS 软件包

例如:

wget https://github.com/BeyondTrust/pbis-open/releases/download/8.8.0/pbis-open-8.8.0.506.linux.x86_64.rpm.sh
<!--NeedCopy-->

使 PBIS 安装脚本可执行

例如:

chmod +x pbis-open-8.8.0.506.linux.x86_64.rpm.sh
<!--NeedCopy-->

运行 PBIS 安装脚本

例如:

sh pbis-open-8.8.0.506.linux.x86_64.rpm.sh
<!--NeedCopy-->

加入 Windows 域

您的域控制器必须可访问,而且您必须具有有权将计算机添加到域的 Active Directory 用户帐户。

/opt/pbis/bin/domainjoin-cli join domain-name user
<!--NeedCopy-->

user 为有权将计算机加入 Active Directory 域的域用户。domain-name 为域的 DNS 名称,例如 example.com。

注意: 要将 Bash 设置为默认 shell,请运行 /opt/pbis/bin/config LoginShellTemplate/bin/bash 命令。

验证域成员身份

Delivery Controller 要求所有 VDA 计算机(Windows 和 Linux)都要在 Active Directory 中有一个计算机对象。验证加入了 PBIS 的 Linux 计算机是否位于域中:

/opt/pbis/bin/domainjoin-cli query
<!--NeedCopy-->

如果计算机已加入某个域,此命令将返回有关当前加入的 AD 域和 OU 的信息。否则,仅显示主机名。

验证用户身份验证

要验证 PBIS 是否能够通过 PAM 对域用户进行身份验证,请使用以前未使用的域用户帐户登录 Linux VDA。

ssh localhost -l domain\user

id -u
<!--NeedCopy-->

验证是否为 id -u 命令返回的 UID 创建了对应的 Kerberos 凭据缓存文件:

ls /tmp/krb5cc_uid
<!--NeedCopy-->

退出会话。

exit
<!--NeedCopy-->

在进行域加入验证后继续执行步骤 4:安装 Linux VDA

步骤 4:安装 Linux VDA

步骤 4a:卸载旧版本

如果安装了除先前的两个版本和 LTSR 版本之外的早期版本,请在安装新版本之前将其卸载。

  1. 停止 Linux VDA 服务:

    sudo /sbin/service ctxvda stop
    
    sudo /sbin/service ctxhdx stop
    <!--NeedCopy-->
    

    注意:

    在停止 ctxvdactxhdx 服务之前,请运行 service ctxmonitorservice stop 命令以停止监视服务守护程序。否则,监视服务守护程序将重新启动您停止的服务。

  2. 卸载软件包:

    sudo rpm -e XenDesktopVDA
    <!--NeedCopy-->
    

重要:

支持从最新的两个版本进行升级。

注意:

安装组件位于 /opt/Citrix/VDA/ 中。

要运行命令,需要提供完整路径;或者,也可以将 /opt/Citrix/VDA/sbin/opt/Citrix/VDA/bin 添加到系统路径。

步骤 4b:下载 Linux VDA 软件包

转至 Citrix Virtual Apps and Desktops 下载页面。展开相应版本的 Citrix Virtual Apps and Desktops,然后单击组件以下载与 Linux 发行版匹配的 Linux VDA 包。

步骤 4c:安装 Linux VDA

使用 Zypper 安装 Linux VDA 软件:

对于 SUSE 12:

sudo zypper install XenDesktopVDA-<version>.sle12_x.x86_64.rpm
<!--NeedCopy-->

使用 RPM 软件包管理器安装 Linux VDA 软件。在此之前,请解决以下依赖项:

对于 SUSE 12:

sudo rpm -i XenDesktopVDA-<version>.sle12_x.x86_64.rpm
<!--NeedCopy-->

步骤 4d:升级 Linux VDA(可选)

可以从先前的两个版本和 LTSR 版本升级现有安装。

对于 SUSE 12:

sudo rpm -U XenDesktopVDA-<version>.sle12_x.x86_64.rpm
<!--NeedCopy-->

SUSE 12 的 RPM 依赖项列表:

postgresql-server >= 9.3

postgresql-jdbc >= 9.2

java-11-openjdk >= 11

ImageMagick >= 6.8

dbus-1 >= 1.8.8

dbus-1-x11 >= 1.8.8

libXpm4 >= 3.5.11

libXrandr2 >= 1.4.2

libXtst6 >= 1.2.2

motif >= 2.3

pam >= 1.1.8

bash >= 4.2

findutils >= 4.5

gawk >= 4.1

sed >= 4.2

cups >= 1.6.0

cups-filters-foomatic-rip >= 1.0.0

openldap2 >= 2.4

cyrus-sasl >= 2.1

cyrus-sasl-gssapi >= 2.1

libxml2 >= 2.9

python-requests >= 2.8.1

rpmlib(PayloadFilesHavePrefix) <= 4.0-1

rpmlib(CompressedFileNames) <= 3.0.4-1

rpmlib(PayloadIsLzma) <= 4.4.6-1

libtcmalloc4 >= 2.5

libcap-progs >= 2.22

xorg-x11-server >= 7.6_1.18.3-76.15

ibus >= 1.5

xorg- x11-server = 7.6_1.19.6

xorg-x11 = 7.6_1

postgresql10-server >= 10.12

libgtk-2_0-0 >= 2.24

libgthread-2_0-0 >= 2.48

pulseaudio-utils >= 5.0

lsb-release >= 2.0
<!--NeedCopy-->

重要:

在升级后重新启动 Linux VDA 计算机。

步骤 5:配置 Linux VDA

安装软件包后,必须运行 ctxsetup.sh 脚本来配置 Linux VDA。执行任何更改之前,该脚本都会验证环境,确保所有依赖项都已安装。如有必要,可以随时重新运行该脚本以更改设置。

可以按照提示手动运行脚本,也可以采用预先配置的响应自动运行脚本。继续操作前,请查看该脚本的帮助信息:

sudo /opt/Citrix/VDA/sbin/ctxsetup.sh –help
<!--NeedCopy-->

提示配置

运行会提示各种问题的手动配置:

sudo /opt/Citrix/VDA/sbin/ctxsetup.sh
<!--NeedCopy-->

自动配置

自动安装时,通过环境变量提供设置脚本所需的选项。如果所需的所有变量都存在,脚本不会提示您提供任何信息。

支持的环境变量包括:

  • CTX_XDL_SUPPORT_DDC_AS_CNAME = Y | N – Linux VDA 支持使用 DNS CNAME 记录指定 Delivery Controller 名称。默认情况下设置为 N。
  • CTX_XDL_DDC_LIST=‘list-ddc-fqdns’ – Linux VDA 要求提供由空格分隔的 Delivery Controller 完全限定域名 (FQDN) 列表以用于向 Delivery Controller 注册。必须至少指定一个 FQDN 或 CNAME 别名。
  • CTX_XDL_VDA_PORT=port-number – Linux VDA 通过 TCP/IP 端口(默认为端口 80)与 Delivery Controller 通信。
  • CTX_XDL_REGISTER_SERVICE=Y | N - 在启动计算机后启动 Linux Virtual Desktop 服务。默认情况下,该值设置为 Y。
  • CTX_XDL_ADD_FIREWALL_RULES=Y | N – Linux Virtual Desktop 服务要求允许传入网络连接通过系统防火墙。您可以在系统防火墙中自动为 Linux Virtual Desktop 打开所需端口(默认为端口 80 和 1494)。默认情况下设置为 Y。
  • CTX_XDL_AD_INTEGRATION=1 | 2 | 3 | 4 – Linux VDA 要求使用 Kerberos 配置设置向 Delivery Controller 进行身份验证。Kerberos 配置根据系统上已安装和已配置的 Active Directory 集成工具确定。指定要使用且受支持的 Active Directory 集成方法:
    • 1 – Samba Winbind
    • 2 – Quest Authentication Service
    • 3 - Centrify DirectControl
    • 4 - SSSD
  • CTX_XDL_HDX_3D_PRO=Y | N – Linux VDA 支持 HDX 3D Pro,这是一组 GPU 加速技术,旨在优化富图形应用程序的虚拟化水平。如果选择了 HDX 3D Pro,则要为 VDI 桌面(单会话)模式配置 VDA -(即 CTX_XDL_VDI_MODE=Y)。
  • CTX_XDL_VDI_MODE=Y | N – 将计算机配置为专用桌面交付模型 (VDI) 还是托管共享桌面交付模型。对于 HDX 3D Pro 环境,将此变量设置为 Y。默认情况下,此变量设置为 N。
  • CTX_XDL_SITE_NAME=dns-name – Linux VDA 通过 DNS 发现 LDAP 服务器。要将 DNS 搜索结果限制为本地站点,应指定 DNS 站点名称。默认情况下,此变量设置为 <none>
  • CTX_XDL_LDAP_LIST=’list-ldap-servers’ – Linux VDA 查询 DNS 来发现 LDAP 服务器。如果 DNS 无法提供 LDAP 服务记录,您可以提供以空格分隔的 LDAP FQDN(带有 LDAP 端口)列表。例如 ad1.mycompany.com:389。默认情况下,此变量设置为 <none>
  • CTX_XDL_SEARCH_BASE=search-base-set – Linux VDA 通过设置为 Active Directory 域根的搜索库来查询 LDAP(例如,DC=mycompany,DC=com)。为提高搜索性能,可以指定搜索基础(例如 OU=VDI,DC=mycompany,DC=com)。默认情况下,此变量设置为 <none>
  • CTX_XDL_FAS_LIST=’list-fas-servers’ – 联合身份验证服务 (FAS) 服务器是通过 AD 组策略配置的。Linux VDA 不支持 AD 组策略,但您可以改为提供以分号分隔的 FAS 服务器的列表。顺序必须与在 AD 组策略中配置的顺序相同。如果删除了任何服务器地址,请使用 <none> 文本字符串填充其空白,并且不要修改服务器地址的顺序。
  • CTX_XDL_DOTNET_ RUNTIME_PATH=path-to-install-dotnet-runtime – 安装 .NET Core Runtime 3.1 以支持新的 Broker 代理服务 (ctxvda) 的路径。默认路径为 /usr/bin。
  • CTX_XDL_DESKTOP _ENVIRONMENT=gnome/mate – 指定要在会话中使用的 GNOME 或 MATE 桌面环境。如果未指定变量,则使用 VDA 上当前安装的桌面。但是,如果当前安装的桌面为 MATE,则必须将变量值设置为 mate

    注意:

    还可以通过完成以下步骤来更改目标会话用户的桌面环境:

    1. 在 VDA 上的 $HOME/<username> 目录下创建一个 .xsession 文件。
    2. 编辑 .xsession 文件以根据发行版指定桌面环境。

      For MATE desktop on CentOS, Ubuntu, and Debian

      MSESSION=”$(type -p mate-session)”
      if [ -n “$MSESSION” ]; then
      exec mate-session
      fi

      面向 CentOS 上的 GNOME 桌面

      GSESSION=”$(type -p gnome-session)”
      if [ -n “$GSESSION” ]; then

         export GNOME_SHELL_SESSION_MODE=classic      exec gnome-session --session=gnome-classic      fi   **For GNOME desktop on Ubuntu and Debian**
      

      GSESSION=”$(type -p gnome-session)”
      if [ -n “$GSESSION” ]; then

         exec gnome-session      fi  
      
    3. 与目标会话用户共享 700 文件权限。
  • CTX_XDL_START_SERVICE=Y | N – 在完成 Linux VDA 配置后,是否启动 Linux VDA 服务。默认情况下设置为 Y。
  • CTX_XDL_TELEMETRY_SOCKET_PORT - 用于侦听 Citrix Scout 的套接字端口。默认端口为 7503。
  • CTX_XDL_TELEMETRY_PORT - 用于与 Citrix Scout 通信的端口。默认端口为 7502。

设置环境变量并运行配置脚本:

export CTX_XDL_SUPPORT_DDC_AS_CNAME=Y|N

export CTX_XDL_DDC_LIST=‘list-ddc-fqdns’

export CTX_XDL_VDA_PORT=port-number

export CTX_XDL_REGISTER_SERVICE=Y|N

export CTX_XDL_ADD_FIREWALL_RULES=Y|N

export CTX_XDL_AD_INTEGRATION=1|2|3|4

export CTX_XDL_HDX_3D_PRO=Y|N

export CTX_XDL_VDI_MODE=Y|N

export CTX_XDL_SITE_NAME=dns-site-name | '<none>'

export CTX_XDL_LDAP_LIST=‘list-ldap-servers’ | '<none>'

export CTX_XDL_SEARCH_BASE=search-base-set | '<none>'

export CTX_XDL_FAS_LIST=‘list-fas-servers’ | '<none>'

export CTX_XDL_DOTNET_RUNTIME_PATH=path-to-install-dotnet-runtime

export CTX_XDL_DESKTOP_ENVIRONMENT= gnome | mate | '<none>'

export CTX_XDL_TELEMETRY_SOCKET_PORT=port-number

export CTX_XDL_TELEMETRY_PORT=port-number

export CTX_XDL_START_SERVICE=Y|N

sudo -E /opt/Citrix/VDA/sbin/ctxsetup.sh
<!--NeedCopy-->

运行 sudo 命令时,键入 -E 选项以将现有环境变量传递给它创建的新 shell。我们建议您使用前面的命令并加上 #!/bin/bash 作为第一行来创建 shell 脚本文件。

或者,您可以使用单个命令指定所有参数:

sudo CTX_XDL_SUPPORT_DDC_AS_CNAME=Y|N \

CTX_XDL_DDC_LIST=‘list-ddc-fqdns’ \

CTX_XDL_VDA_PORT=port-number \

CTX_XDL_REGISTER_SERVICE=Y|N \

CTX_XDL_ADD_FIREWALL_RULES=Y|N \

CTX_XDL_AD_INTEGRATION=1|2|3|4 \

CTX_XDL_HDX_3D_PRO=Y|N \

CTX_XDL_VDI_MODE=Y|N \

CTX_XDL_SITE_NAME=dns-name \

CTX_XDL_LDAP_LIST=‘list-ldap-servers’ \

CTX_XDL_SEARCH_BASE=search-base-set \

CTX_XDL_FAS_LIST=‘list-fas-servers’ \

CTX_XDL_DOTNET_RUNTIME_PATH=path-to-install-dotnet-runtime \

CTX_XDL_DESKTOP_ENVIRONMENT=gnome | mate \

CTX_XDL_TELEMETRY_SOCKET_PORT=port-number \

CTX_XDL_TELEMETRY_PORT=port-number \

CTX_XDL_START_SERVICE=Y|N \

/opt/Citrix/VDA/sbin/ctxsetup.sh
<!--NeedCopy-->

删除配置更改

在某些情形下,您可能需要删除 ctxsetup.sh 脚本对配置所做的更改,但不卸载 Linux VDA 软件包。

继续操作前,请查看此脚本的帮助信息:

sudo /usr/local/sbin/ctxcleanup.sh --help
<!--NeedCopy-->

删除配置更改:

sudo /usr/local/sbin/ctxcleanup.sh
<!--NeedCopy-->

重要:

此脚本会从数据库删除所有配置数据,从而使 Linux VDA 无法使用。

配置日志

ctxsetup.shctxcleanup.sh 脚本会在控制台上显示错误,并将其他信息写入配置日志文件:

/tmp/xdl.configure.log

重新启动 Linux VDA 服务,确保更改生效。

步骤 6:运行 Linux VDA

使用 ctxsetup.sh 脚本配置 Linux VDA 后,可以运行以下命令来控制 Linux VDA。

启动 Linux VDA:

启动 Linux VDA 服务:

sudo /sbin/service ctxhdx start

sudo /sbin/service ctxvda start
<!--NeedCopy-->

停止 Linux VDA:

停止 Linux VDA 服务:

sudo /sbin/service ctxvda stop

sudo /sbin/service ctxhdx stop
<!--NeedCopy-->

注意:

在停止 ctxvdactxhdx 服务之前,请运行 service ctxmonitorservice stop 命令以停止监视服务守护程序。否则,监视服务守护程序将重新启动您停止的服务。

重新启动 Linux VDA:

重新启动 Linux VDA 服务:

sudo /sbin/service ctxvda stop

sudo /sbin/service ctxhdx restart

sudo /sbin/service ctxvda start
<!--NeedCopy-->

检查 Linux VDA 状态:

要检查 Linux VDA 服务的运行状态,请执行以下操作:

sudo /sbin/service ctxvda status

sudo /sbin/service ctxhdx status
<!--NeedCopy-->

步骤 7:在 Citrix Virtual Apps 或 Citrix Virtual Desktops 中创建计算机目录

创建计算机目录和添加 Linux VDA 计算机的过程与传统的 Windows VDA 方法类似。有关如何完成这些任务的更加详细的说明,请参阅创建计算机目录管理计算机目录

创建包含 Linux VDA 计算机的计算机目录时会面临一些限制,使得该过程不同于为 Windows VDA 计算机创建计算机目录:

  • 对于操作系统,请选择:
    • 多会话操作系统选项(对于托管共享桌面交付模型)。
    • 单会话操作系统选项(对于 VDI 专用桌面交付模型)。
  • 请勿在同一个计算机目录中混合使用 Linux 和 Windows VDA 计算机。

注意:

早期版本的 Citrix Studio 不支持“Linux 操作系统”的概念。但是,选择 Windows Server 操作系统服务器操作系统选项等同于使用托管共享桌面交付模型。选择 Windows 桌面操作系统桌面操作系统选项等同于使用每计算机一个用户交付模型。

提示:

如果删除计算机后将其重新加入 Active Directory 域,则必须删除计算机,然后将其重新添加到计算机目录。

步骤 8:在 Citrix Virtual Apps 或 Citrix Virtual Desktops 中创建交付组

创建交付组和添加包含 Linux VDA 计算机的计算机目录的过程与 Windows VDA 计算机几乎相同。有关如何完成这些任务的更加详细的说明,请参阅创建交付组

创建含有 Linux VDA 计算机目录的交付组时会面临以下限制:

  • 确保所选的 AD 用户和组已正确配置,可以登录到 Linux VDA 计算机。
  • 请勿允许未经身份验证的(匿名)用户登录。
  • 请勿在交付组中混入含有 Windows 计算机的计算机目录。

重要:

Linux VDA 1.4 及更高版本支持发布应用程序。但是,Linux VDA 不支持将桌面和应用程序交付给相同的计算机。

有关如何创建计算机目录和交付组的信息,请参阅 Citrix Virtual Apps and Desktops 7 2103