手动安装适用于 SUSE 的 Linux Virtual Delivery Agent
重要:
对于全新安装,我们建议您使用 简易安装 进行快速安装。简易安装可节省时间和精力,并且比本文中详述的手动安装更不容易出错。
步骤 1:准备安装
步骤 1a:启动 YaST 工具
SUSE Linux Enterprise YaST 工具用于配置操作系统的所有方面。
要启动基于文本的 YaST 工具:
su -
yast
<!--NeedCopy-->
要启动基于 UI 的 YaST 工具:
su -
yast2 &
<!--NeedCopy-->
步骤 1b:配置网络
- 以下部分提供了有关配置 Linux VDA 使用的各种网络设置和服务的信息。网络配置通过 YaST 工具执行,而不是通过 Network Manager 等其他方法执行。这些说明基于使用基于 UI 的 YaST 工具。可以使用基于文本的 YaST 工具,但其导航方法不同,本文档中未对此进行说明。
- #### 配置主机名和 DNS
- 启动基于 UI 的 YaST 工具。
- 选择系统,然后选择网络设置。
- 仅限 SLED 12:在全局选项选项卡上,将网络设置方法更改为 Wicked Service。
- 打开主机名/DNS选项卡。
- 选择将主机名分配给环回 IP。
- 清除通过 DHCP 更改主机名。
- 选择将主机名分配给环回 IP。
- 为修改 DNS 配置选择使用自定义策略选项。
- 编辑以下内容以反映您的网络设置:
- 主机名 – 添加计算机的 DNS 主机名。
- 域名 – 添加计算机的 DNS 域名。
- 名称服务器 – 添加 DNS 服务器的 IP 地址。通常是 AD 域控制器的 IP 地址。
- 域搜索列表 – 添加 DNS 域名。
注意:
Linux VDA 当前不支持 NetBIOS 名称截断。因此,主机名不得超过 15 个字符。 提示:
仅使用 a–z、A–Z、0–9 和连字符 (-) 字符。避免使用下划线 (_)、空格和其他符号。主机名不能以数字开头,也不能以连字符结尾。此规则也适用于 Delivery Controller 主机名。
禁用多播 DNS
仅在 SLED 上,默认设置启用了多播 DNS (mDNS),这可能导致名称解析结果不一致。mDNS 默认未在 SLES 上启用,因此无需执行任何操作。
要禁用 mDNS,请编辑 /etc/nsswitch.conf 并将包含以下内容的行:
hosts: files mdns_minimal [NOTFOUND=return] dns
更改为:
hosts: files dns
检查主机名
验证主机名是否设置正确:
hostname
<!--NeedCopy-->
此命令仅返回计算机的主机名,而不返回其完全限定域名 (FQDN)。
验证 FQDN 是否设置正确:
hostname -f
<!--NeedCopy-->
此命令返回计算机的 FQDN。
检查名称解析和服务可达性
验证您是否可以解析 FQDN 并 ping 域控制器和 Delivery Controller™:
nslookup domain-controller-fqdn
ping domain-controller-fqdn
- nslookup delivery-controller-fqdn
- ping delivery-controller-fqdn
<!--NeedCopy-->
- 如果您无法解析 FQDN 或 ping 这些计算机中的任何一台,请在继续之前查看这些步骤。
步骤 1c:配置 NTP 服务
在 VDA、Delivery Controller 和域控制器之间保持准确的时钟同步至关重要。将 Linux VDA 作为虚拟机托管可能会导致时钟偏差问题。因此,首选使用远程 NTP 服务来维护时间。可能需要对默认 NTP 设置进行一些更改。
对于 SUSE 15.3 和 SUSE 15.2:
- 启动基于 UI 的 YaST 工具。
- 选择网络服务,然后选择 NTP 配置。
- 在启动 NTP 守护程序部分中,选择立即启动并在引导时启动。
- 为配置源选择动态。
- 根据需要添加 NTP 服务器。NTP 服务通常托管在 Active Directory 域控制器上。
-
如果存在,请删除或取消注释 /etc/chrony.conf 中的以下行。
include /etc/chrony.d/*.conf编辑 chrony.conf 后,重新启动
chronyd服务。sudo systemctl restart chronyd.service <!--NeedCopy-->
对于 SUSE 12.5:
- 打开 YaST NTP 配置并选择常规设置选项卡。
- 在“启动 NTP 守护程序”部分中,选中立即启动并在引导时启动。
- 如果存在,请选择未受约束的本地时钟 (LOCAL) 项,然后单击删除。
- 通过单击添加来添加 NTP 服务器条目。
- 选择服务器类型,然后单击下一步。
- 在“地址”字段中键入 NTP 服务器的 DNS 名称。此服务通常托管在 Active Directory 域控制器上。
- 保持“选项”字段不变。
- 单击测试以验证 NTP 服务是否可达。
- 通过一系列窗口单击确定以保存更改。
注意:
对于 SLES 12 实施,由于 SUSE AppArmor 策略的已知问题,NTP 守护程序可能无法启动。有关其他信息,请参阅解决方案。
步骤 1d:安装 Linux VDA 依赖包
适用于 SUSE Linux Enterprise 的 Linux VDA 软件依赖于以下软件包:
- Postgresql10-server 10.12 或更高版本
- OpenJDK 11
- Open Motif Runtime Environment 2.3.1 或更高版本
- Cups 1.6.0 或更高版本
- Foomatic filters 3.0.0 或更高版本
-
ImageMagick 6.8 或更高版本
-
添加存储库
您可以从 SUSE Linux Enterprise Software Development Kit (SDK) 获取一些必需的软件包,例如 PostgreSQL 和 ImageMagick。要获取这些软件包,请使用 YaST 添加 SDK 存储库,或者下载 SDK 映像文件,然后使用以下命令在本地挂载它:
sudo mkdir -p /mnt/sdk
sudo mount -t iso9660 path-to-iso/SLE-12-SP5-SDK-DVD-x86_64-GM-DVD1.iso /mnt/sdk
sudo zypper ar -f /mnt/sdk sdk
<!--NeedCopy-->
安装 Kerberos 客户端
为 Linux VDA 和 Delivery Controllers 之间的相互身份验证安装 Kerberos 客户端:
sudo zypper install krb5-client
<!--NeedCopy-->
Kerberos 客户端配置取决于所使用的 Active Directory 集成方法。请参阅以下说明。
安装 OpenJDK 11
Linux VDA 需要存在 OpenJDK 11。
要安装 OpenJDK 11,请运行以下命令:
sudo zypper install java-11-openjdk
<!--NeedCopy-->
安装 PostgreSQL
在 SLED/SLES 12 上,安装以下软件包:
sudo zypper install postgresql-init
- sudo zypper install postgresql10-server
- sudo zypper install postgresql-jdbc
<!--NeedCopy-->
需要执行安装后步骤来初始化数据库服务并确保 PostgreSQL 在计算机启动时启动:
sudo systemctl enable postgresql
sudo systemctl restart postgresql
<!--NeedCopy-->
- 数据库文件位于 /var/lib/pgsql/data。
- #### 删除存储库
- 安装依赖包后,运行以下命令以删除之前设置的 SDK 存储库和已装载的介质:
sudo zypper rr sdk
sudo umount /mnt/sdk
sudo rmdir /mnt/sdk
<!--NeedCopy-->
步骤 2:为管理程序准备 Linux VM
在受支持的管理程序上将 Linux VDA 作为虚拟机运行时,需要进行一些更改。请根据正在使用的管理程序平台进行以下更改。如果您在裸机硬件上运行 Linux 计算机,则无需进行任何更改。
修复 Citrix Hypervisor™ 上的时间同步
如果启用了 Citrix Hypervisor 时间同步功能,则在每个半虚拟化 Linux VM 中,您都会遇到 NTP 和 Citrix Hypervisor 都尝试管理系统时钟的问题。为避免时钟与其他服务器不同步,每个 Linux 客户机中的系统时钟必须与 NTP 同步。此情况需要禁用主机时间同步。在 HVM 模式下无需进行任何更改。
在某些 Linux 发行版上,如果您正在运行安装了 Citrix VM Tools 的半虚拟化 Linux 内核,则可以从 Linux VM 中检查 Citrix Hypervisor 时间同步功能是否存在并已启用:
su -
cat /proc/sys/xen/independent_wallclock
<!--NeedCopy-->
此命令返回 0 或 1:
- 0 - 时间同步功能已启用,必须禁用。
- 1 - 时间同步功能已禁用,无需进一步操作。
如果 /proc/sys/xen/independent_wallclock 文件不存在,则不需要执行以下步骤。
如果已启用,请通过将 1 写入文件来禁用时间同步功能:
sudo echo 1 > /proc/sys/xen/independent_wallclock
<!--NeedCopy-->
要使此更改在重启后永久保留,请编辑 /etc/sysctl.conf 文件并添加以下行:
xen.independent_wallclock = 1
要验证这些更改,请重启系统:
reboot
<!--NeedCopy-->
重启后,验证设置是否正确:
su -
cat /proc/sys/xen/independent_wallclock
<!--NeedCopy-->
此命令返回值 1。
修复 Microsoft Hyper-V 上的时间同步
安装了 Hyper-V Linux 集成服务的 Linux VM 可以应用 Hyper-V 时间同步功能来使用主机操作系统的时钟。为确保系统时钟保持准确,请与 NTP 服务一起启用此功能。
从管理操作系统:
- 打开 Hyper-V 管理器控制台。
- 对于 Linux VM 的设置,选择 Integration Services。
- 确保已选择 Time synchronization。
注意:
此方法与 VMware 和 Citrix Hypervisor 不同,在 VMware 和 Citrix Hypervisor 中,主机时间同步被禁用以避免与 NTP 冲突。Hyper-V 时间同步可以与 NTP 时间同步共存并补充 NTP 时间同步。
修复 ESX 和 ESXi 上的时间同步
如果启用了 VMware 时间同步功能,则在每个半虚拟化 Linux VM 中,您都会遇到 NTP 和管理程序都尝试同步系统时钟的问题。为避免时钟与其他服务器不同步,每个 Linux 客户机中的系统时钟必须与 NTP 同步。此情况需要禁用主机时间同步。
如果您正在运行安装了 VMware Tools 的半虚拟化 Linux 内核:
- 打开 vSphere Client。
- 编辑 Linux VM 的设置。
- 在 Virtual Machine Properties 对话框中,打开 Options 选项卡。
- 选择 VMware Tools。
- 在 Advanced 框中,清除 Synchronize guest time with host。
步骤 3:将 Linux 虚拟机 (VM) 添加到 Windows 域
Linux VDA 支持多种方法将 Linux 计算机添加到 Active Directory (AD) 域:
- [Samba Winbind](/zh-cn/linux-virtual-delivery-agent/2112/installation-overview/suse.html#samba-winbind)
请根据您选择的方法按照说明操作。
注意:
当 Linux VDA 中的本地帐户和 AD 中的帐户使用相同的用户名时,会话启动可能会失败。
Samba Winbind
加入 Windows 域
您的域控制器必须可访问,并且您必须拥有一个具有将计算机添加到域的权限的 Active Directory 用户帐户:
-
启动 YaST,选择“网络服务”,然后选择“Windows 域成员身份”。
-
进行以下更改:
- 将“域或工作组”设置为您的 Active Directory 域的名称或域控制器的 IP 地址。确保域名为大写。
- 选中“也使用 SMB 信息进行 Linux 身份验证”。
- 选中“登录时创建主目录”。
- 选中“SSH 单点登录”。
- 确保未选中“脱机身份验证”。此选项与 Linux VDA 不兼容。
-
单击“确定”。如果系统提示安装某些软件包,请单击“安装”。
-
如果找到域控制器,系统会询问您是否要加入域。单击“是”。
-
出现提示时,键入具有将计算机添加到域的权限的域用户的凭据,然后单击“确定”。
-
将显示一条指示成功的消息。
-
如果系统提示安装某些 samba 和 krb5 软件包,请单击“安装”。
YaST 可能已指示这些更改需要重新启动某些服务或计算机。我们建议您重新启动计算机:
su -
reboot
<!--NeedCopy-->
仅限 SUSE 12:修补 Kerberos 凭据缓存名称
SUSE 12 已将默认 Kerberos 凭据缓存名称规范从通常的 FILE:/tmp/krb5cc_%{uid} 更改为 DIR:/run/user/%{uid}/krb5cc。此新的 DIR 缓存方法与 Linux VDA 不兼容,必须手动更改。作为 root 用户,编辑 /etc/krb5.conf 并在 [libdefaults] 部分下添加以下设置(如果未设置):
default_ccache_name = FILE:/tmp/krb5cc_%{uid}
验证域成员身份
Delivery Controller 要求所有 VDA 计算机(Windows 和 Linux VDA)在 Active Directory 中具有计算机对象。
运行 Samba 的 net ads 命令以验证计算机是否已加入域:
sudo net ads testjoin
<!--NeedCopy-->
运行以下命令以验证额外的域和计算机对象信息:
sudo net ads info
<!--NeedCopy-->
验证 Kerberos 配置
为确保 Kerberos 已正确配置以与 Linux VDA 配合使用,请验证系统 keytab 文件是否已创建并包含有效密钥:
sudo klist –ke
<!--NeedCopy-->
此命令显示适用于主体名称和密码套件的各种组合的可用密钥列表。运行 Kerberos kinit 命令以使用这些密钥通过域控制器对计算机进行身份验证:
sudo kinit -k MACHINE\$@REALM
<!--NeedCopy-->
计算机和领域名称必须以大写形式指定。美元符号 ($) 必须用反斜杠 (\) 转义,以防止 shell 替换。在某些环境中,DNS 域名与 Kerberos 领域名称不同。请确保使用领域名称。如果此命令成功,则不显示任何输出。
使用以下命令验证计算机帐户的 TGT 票证是否已缓存:
sudo klist
<!--NeedCopy-->
使用以下命令检查计算机帐户详细信息:
sudo net ads status
<!--NeedCopy-->
验证用户身份验证
使用 wbinfo 工具以验证域用户是否可以使用域进行身份验证:
wbinfo --krb5auth=domain\\username%password
<!--NeedCopy-->
此处指定的域是 AD 域名,而不是 Kerberos 领域名称。对于 bash shell,反斜杠 (\) 字符必须用另一个反斜杠转义。此命令返回一条指示成功或失败的消息。
为验证 Winbind PAM 模块是否已正确配置,请使用以前未使用的域用户帐户登录到 Linux VDA。
ssh localhost -l domain\\username
id -u
<!--NeedCopy-->
验证是否已为由 id -u 命令返回的 uid 创建了相应的 Kerberos 凭据缓存文件:
ls /tmp/krb5cc_uid
<!--NeedCopy-->
验证用户 Kerberos 凭据缓存中的票证是否有效且未过期:
- klist
<!--NeedCopy-->
退出会话。
exit
<!--NeedCopy-->
可以通过直接登录到 Gnome 或 KDE 控制台来执行类似的测试。在域加入验证后,继续执行步骤 6:安装 Linux VDA。
Quest 身份验证服务
在域控制器上配置 Quest
假设您已在 Active Directory 域控制器上安装并配置了 Quest 软件,并且已获得可在 Active Directory 中创建计算机对象的管理权限。
允许域用户登录到 Linux VDA 计算机
要允许域用户在 Linux VDA 计算机上建立 HDX™ 会话:
- 在 Active Directory 用户和计算机管理控制台中,打开该用户帐户的 Active Directory 用户属性。
- 选择“Unix 帐户”选项卡。
- 选中“启用 Unix”。
- 将“主 GID 号”设置为实际域用户组的组 ID。
注意:
这些说明等同于使用控制台、RDP、SSH 或任何其他远程处理协议设置域用户登录。
在 Linux VDA 上配置 Quest
配置 VAS 守护程序
必须启用 Kerberos 票证的自动续订并断开连接。必须禁用身份验证(脱机登录):
sudo /opt/quest/bin/vastool configure vas vasd auto-ticket-renew-interval 32400
sudo /opt/quest/bin/vastool configure vas vas_auth allow-disconnected-auth false
<!--NeedCopy-->
此命令将续订间隔设置为九小时(32,400 秒),比默认的 10 小时票证生存期少一小时。在票证生存期较短的系统上,将此参数设置为较低的值。
配置 PAM 和 NSS
要通过 HDX 以及 su、ssh 和 RDP 等其他服务启用域用户登录,请运行以下命令手动配置 PAM 和 NSS:
sudo /opt/quest/bin/vastool configure pam
sudo /opt/quest/bin/vastool configure nss
<!--NeedCopy-->
加入 Windows 域
使用 Quest vastool 命令将 Linux 计算机加入 Active Directory 域:
sudo /opt/quest/bin/vastool -u user join domain-name
<!--NeedCopy-->
用户是具有将计算机加入 Active Directory 域权限的任何域用户。域名是域的 DNS 名称,例如 example.com。
验证域成员身份
Delivery Controller 要求所有 VDA 计算机(Windows 和 Linux VDA)在 Active Directory 中具有计算机对象。要验证已加入 Quest 的 Linux 计算机是否在域中:
sudo /opt/quest/bin/vastool info domain
<!--NeedCopy-->
如果计算机已加入域,此命令将返回域名。如果计算机未加入任何域,则会出现以下错误:
ERROR: No domain could be found.
ERROR: VAS_ERR_CONFIG: at ctx.c:414 in _ctx_init_default_realm
default_realm not configured in vas.conf. Computer may not be joined to domain
验证用户身份验证
要验证 Quest 是否可以通过 PAM 验证域用户身份,请使用以前未使用的域用户帐户登录到 Linux VDA。
ssh localhost -l domain\\username
id -u
<!--NeedCopy-->
验证是否为 id -u 命令返回的 UID 创建了相应的 Kerberos 凭据缓存文件:
ls /tmp/krb5cc_uid
<!--NeedCopy-->
验证 Kerberos 凭据缓存中的票证是否有效且未过期:
/opt/quest/bin/vastool klist
<!--NeedCopy-->
退出会话。
exit
<!--NeedCopy-->
可以通过直接登录到 Gnome 或 KDE 控制台来执行类似的测试。在域加入验证后,继续执行步骤 6:安装 Linux VDA。
Centrify DirectControl
加入 Windows 域
安装 Centrify DirectControl 代理后,使用 Centrify adjoin 命令将 Linux 计算机加入 Active Directory 域:
su –
adjoin -w -V -u user domain-name
<!--NeedCopy-->
用户是具有将计算机加入 Active Directory 域权限的任何 Active Directory 域用户。域名是要将 Linux 计算机加入的域的名称。
验证域成员身份
Delivery Controller 要求所有 VDA 计算机(Windows 和 Linux VDA)在 Active Directory 中具有计算机对象。要验证已加入 Centrify 的 Linux 计算机是否在域中:
su –
adinfo
<!--NeedCopy-->
验证“已加入域”值是否有效,并且 CentrifyDC 模式是否返回“已连接”。如果模式停留在启动状态,则 Centrify 客户端遇到服务器连接或身份验证问题。
可以使用以下命令获取更全面的系统和诊断信息:
adinfo --sysinfo all
adinfo –diag
<!--NeedCopy-->
测试与各种 Active Directory 和 Kerberos 服务的连接。
adinfo --test
<!--NeedCopy-->
在域加入验证后,继续执行步骤 6:安装 Linux VDA。
SSSD
如果您在 SUSE 上使用 SSSD,请按照本节中的说明进行操作。本节包含将 Linux VDA 计算机加入 Windows 域的说明,并提供配置 Kerberos 身份验证的指导。
要在 SUSE 上设置 SSSD,请完成以下步骤:
- 加入域并创建主机密钥表
- 为 SSSD 配置 PAM
- 设置 SSSD
- 启用 SSSD
- 验证域成员身份
- 验证 Kerberos 配置
- 验证用户身份验证
加入域并创建主机密钥表
SSSD 不提供用于加入域和管理系统密钥表文件的 Active Directory 客户端功能。您可以改用 Samba 方法。在配置 SSSD 之前,请完成以下步骤。
-
停止并禁用名称服务缓存守护程序 (NSCD) 守护程序。
sudo systemctl stop nscd sudo systemctl disable nscd <!--NeedCopy--> -
安装或更新所需的软件包:
sudo zypper install krb5-client sudo zypper install samba-client <!--NeedCopy--> -
以 root 用户身份编辑 /etc/krb5.conf 文件,以允许
kinit实用程序与目标域通信。在 [libdefaults]、[realms] 和 [domain_realm] 部分下添加以下条目:注意:
根据您的 AD 基础结构配置 Kerberos。以下设置适用于单域、单林模型。
[libdefaults] dns_canonicalize_hostname = false rdns = false default_realm = REALM forwardable = true [realms] REALM = { kdc = fqdn-of-domain-controller default_domain = realm admin_server = fqdn-of-domain-controller } [domain_realm] .realm = REALM realm = REALM <!--NeedCopy-->realm 是 Kerberos 领域名称,例如 example.com。REALM 是大写的 Kerberos 领域名称,例如 EXAMPLE.COM。fqdn-of-domain-controller 是域控制器的 FQDN。
-
以 root 用户身份编辑 /etc/samba/smb.conf 文件,以允许 net 实用程序与目标域通信。在 [global] 部分下添加以下条目:
[global] workgroup = domain realm = REALM security = ADS kerberos method = secrets and keytab client signing = yes client use spnego = yes <!--NeedCopy-->domain 是 Active Directory 域的短 NetBIOS 名称,例如 EXAMPLE。
-
修改 /etc/nsswitch.conf 文件中的 passwd 和 group 条目,以在解析用户和组时引用 SSSD。
passwd: compat sss group: compat sss <!--NeedCopy--> -
加入 Windows 域。确保您的域控制器可访问,并且您拥有具有将计算机添加到域的权限的 Active Directory 用户帐户:
-
对于 SUSE 15.3 和 SUSE 15.2:
sudo net ads join -U user <!--NeedCopy--> -
对于 SUSE 12.5:
sudo realm join REALM -U user <!--NeedCopy-->
user 是具有将计算机添加到域的权限的域用户。
-
为 SSSD 配置 PAM
在为 SSSD 配置 PAM 之前,请安装或更新所需的软件包:
sudo zypper install sssd sssd-ad
<!--NeedCopy-->
配置 PAM 模块以通过 SSSD 进行用户身份验证,并为用户登录创建主目录。
sudo pam-config --add --sss
sudo pam-config --add --mkhomedir
<!--NeedCopy-->
设置 SSSD
-
以 root 用户身份编辑 /etc/sssd/sssd.conf 文件,以允许 SSSD 守护程序与目标域通信。sssd.conf 配置示例(可根据需要添加额外选项):
- [sssd] config_file_version = 2 services = nss,pam domains = domain-dns-name [domain/domain-dns-name] id_provider = ad auth_provider = ad access_provider = ad ad_domain = domain-dns-name ad_server = fqdn-of-domain-controller ldap_id_mapping = true ldap_schema = ad # Kerberos settings krb5_ccachedir = /tmp krb5_ccname_template = FILE:%d/krb5cc_%U # Comment out if the users have the shell and home dir set on the AD side - fallback_homedir = /home/%d/%u - default_shell = /bin/bash - ## Uncomment and adjust if the default principal SHORTNAME$@REALM is not available - ## ldap_sasl_authid = host/client.ad.example.com@AD.EXAMPLE.COM - ad_gpo_access_control = permissive <!--NeedCopy-->
-
domain-dns-name 是 DNS 域名,例如 example.com。
-
注意:
-
-
ldap_id_mapping 设置为 true,以便 SSSD 自身负责将 Windows SID 映射到 Unix UID。否则,Active Directory 必须能够提供 POSIX 扩展。ad_gpo_access_control 设置为 permissive,以防止 Linux 会话出现无效登录错误。请参阅 sssd.conf 和 sssd-ad 的手册页。
-
- 设置 sssd.conf 上的文件所有权和权限:
sudo chmod 0600 /etc/sssd/sssd.conf <!--NeedCopy-->
启用 SSSD
运行以下命令以在系统启动时启用并启动 SSSD 守护程序:
sudo systemctl enable sssd
sudo systemctl start sssd
<!--NeedCopy-->
验证域成员身份
-
运行 Samba 的 net ads 命令以验证计算机是否已加入域:
sudo net ads testjoin <!--NeedCopy--> -
运行以下命令以验证额外的域和计算机对象信息:
sudo net ads info <!--NeedCopy-->
验证 Kerberos 配置
要验证 Kerberos 是否已正确配置以与 Linux VDA 配合使用,请验证系统密钥表文件是否已创建并包含有效密钥:
sudo klist -ke
<!--NeedCopy-->
- 此命令显示可用于主体名称和密码套件的各种组合的密钥列表。运行 Kerberos
kinit命令以使用这些密钥向域控制器验证计算机:
sudo kinit –k MACHINE\$@REALM
<!--NeedCopy-->
计算机和领域名称必须以大写形式指定。美元符号 ($) 必须使用反斜杠 (\) 进行转义,以防止 shell 替换。在某些环境中,DNS 域名与 Kerberos 领域名称不同。请确保使用领域名称。如果此命令成功,则不显示任何输出。
验证计算机帐户的 TGT 票证是否已缓存,方法是:
sudo klist
<!--NeedCopy-->
验证用户身份验证
SSSD 不提供用于直接通过守护程序测试身份验证的命令行工具,只能通过 PAM 完成。
要验证 SSSD PAM 模块是否已正确配置,请使用以前未使用的域用户帐户登录到 Linux VDA。
ssh localhost -l domain\\username
id -u
klist
exit
<!--NeedCopy-->
验证 klist 命令返回的 Kerberos 票证对于该用户是否正确且未过期。
作为 root 用户,验证是否为上一个 id -u 命令返回的 uid 创建了相应的票证缓存文件:
ls /tmp/krb5cc_uid
<!--NeedCopy-->
可以通过直接登录到 Gnome 或 KDE 控制台来执行类似的测试。完成域加入验证后,请继续执行步骤 6:安装 Linux VDA。
PBIS
下载所需的 PBIS 软件包
例如:
wget https://github.com/BeyondTrust/pbis-open/releases/download/9.1.0/pbis-open-9.1.0.551.linux.x86_64.rpm.sh
<!--NeedCopy-->
使 PBIS 安装脚本可执行
例如:
chmod +x pbis-open-9.1.0.551.linux.x86_64.rpm.sh
<!--NeedCopy-->
运行 PBIS 安装脚本
例如:
sh pbis-open-9.1.0.551.linux.x86_64.rpm.sh
<!--NeedCopy-->
加入 Windows 域
您的域控制器必须可访问,并且您必须拥有一个具有将计算机添加到域的权限的 Active Directory 用户帐户:
/opt/pbis/bin/domainjoin-cli join domain-name user
<!--NeedCopy-->
user 是一个域用户,具有将计算机添加到 Active Directory 域的权限。domain-name 是域的 DNS 名称,例如 example.com。
注意:要将 Bash 设置为默认 shell,请运行 /opt/pbis/bin/config LoginShellTemplate/bin/bash 命令。
验证域成员身份
Delivery Controller 要求所有 VDA 计算机(Windows 和 Linux VDA)在 Active Directory 中都有一个计算机对象。要验证已加入 PBIS 的 Linux 计算机是否在域中:
/opt/pbis/bin/domainjoin-cli query
<!--NeedCopy-->
如果计算机已加入域,此命令将返回有关当前加入的 AD 域和 OU 的信息。否则,仅显示主机名。
验证用户身份验证
要验证 PBIS 是否可以通过 PAM 验证域用户身份,请使用以前未使用的域用户帐户登录到 Linux VDA。
ssh localhost -l domain\\user
id -u
<!--NeedCopy-->
- 验证是否为 id -u 命令返回的 UID 创建了相应的 Kerberos 凭据缓存文件:
- ls /tmp/krb5cc_uid
<!--NeedCopy-->
退出会话。
exit
<!--NeedCopy-->
完成域加入验证后,请继续执行步骤 6:安装 Linux VDA。
- ## 步骤 4:安装 .NET Core Runtime 3.1 作为必备项
- 在安装 Linux VDA 之前,请按照 https://docs.microsoft.com/en-us/dotnet/core/install/linux-package-managers 上的说明安装 .NET Core Runtime 3.1。
安装 .NET Core Runtime 3.1 后,运行 which dotnet 命令以查找运行时路径。
根据命令输出,设置 .NET Core 运行时二进制路径。例如,如果命令输出为 /aa/bb/dotnet,则使用 /aa/bb 作为 .NET 二进制路径。
步骤 5:下载 Linux VDA 软件包
转到 Citrix Virtual Apps and Desktops™ 下载页面。展开相应版本的 Citrix Virtual Apps and Desktops,然后单击组件以下载与您的 Linux 发行版匹配的 Linux VDA 软件包。
步骤 6:安装 Linux VDA
步骤 6a:卸载旧版本
如果您安装了除前两个版本和 LTSR 版本之外的早期版本,请在安装新版本之前将其卸载。
-
停止 Linux VDA 服务:
sudo /sbin/service ctxvda stop sudo /sbin/service ctxhdx stop <!--NeedCopy-->注意:
停止
ctxvda和ctxhdx服务之前,请运行service ctxmonitorservice stop命令以停止监视器服务守护程序。否则,监视器服务守护程序将重新启动您已停止的服务。 -
卸载软件包:
sudo rpm -e XenDesktopVDA <!--NeedCopy-->
重要:
支持从最近的两个版本进行升级。
注意:
安装组件位于 /opt/Citrix/VDA/ 中。
要运行命令,需要完整的路径;或者,您可以将 /opt/Citrix/VDA/sbin 和 /opt/Citrix/VDA/bin 添加到系统路径中。
步骤 6b:安装 Linux VDA
使用 Zypper 安装 Linux VDA 软件:
适用于 SUSE 15:
sudo zypper install XenDesktopVDA-<version>.sle15_x.x86_64.rpm
<!--NeedCopy-->
适用于 SUSE 12:
sudo zypper install XenDesktopVDA-<version>.sle12_x.x86_64.rpm
<!--NeedCopy-->
使用 RPM 软件包管理器安装 Linux VDA 软件。在此之前,请解决以下依赖项:
适用于 SUSE 15:
sudo rpm -i XenDesktopVDA-<version>.sle15_x.x86_64.rpm
<!--NeedCopy-->
适用于 SUSE 12:
sudo rpm -i XenDesktopVDA-<version>.sle12_x.x86_64.rpm
<!--NeedCopy-->
步骤 6c:升级 Linux VDA(可选)
您可以从之前的两个版本以及 LTSR 版本升级现有安装。
注意:
升级现有安装会覆盖 /etc/xdl 下的配置文件。在执行升级之前,请务必备份文件。
适用于 SUSE 15:
sudo rpm -U XenDesktopVDA-<version>.sle15_x.x86_64.rpm
<!--NeedCopy-->
适用于 SUSE 12:
sudo rpm -U XenDesktopVDA-<version>.sle12_x.x86_64.rpm
<!--NeedCopy-->
适用于 SUSE 15 的 RPM 依赖项列表:
postgresql >= 13
postgresql-server >= 13
postgresql-jdbc >= 9.4
java-11-openjdk >= 11
ImageMagick >= 7.0
dbus-1 >= 1.12.2
dbus-1-x11 >= 1.12.2
xorg-x11 >= 7.6_1
libXpm4 >= 3.5.12
libXrandr2 >= 1.5.1
libXtst6 >= 1.2.3
motif >= 2.3.4
pam >= 1.3.0
bash >= 4.4
findutils >= 4.6
gawk >= 4.2
sed >= 4.4
cups >= 2.2
cups-filters >= 1.25
libxml2-2 >= 2.9
libmspack0 >= 0.6
ibus >= 1.5
libtcmalloc4 >= 2.5
libcap-progs >= 2.26
mozilla-nss-tools >= 3.53.1
libpython2_7-1_0 >= 2.7
<!--NeedCopy-->
适用于 SUSE 12 的 RPM 依赖项列表:
libQt5Core5 >= 5.5~
mozilla-nss-tools >= 3.47.1
postgresql-server >= 10.12
postgresql-jdbc >= 9.2
java-11-openjdk >= 11
ImageMagick >= 6.8
dbus-1 >= 1.8.8
dbus-1-x11 >= 1.8.8
libXpm4 >= 3.5.11
libXrandr2 >= 1.4.2
libXtst6 >= 1.2.2
motif >= 2.3
pam >= 1.1.8
bash >= 4.2
findutils >= 4.5
gawk >= 4.1
sed >= 4.2
cups >= 1.6.0
cups-filters-foomatic-rip >= 1.0.0
openldap2 >= 2.4
cyrus-sasl >= 2.1
cyrus-sasl-gssapi >= 2.1
libxml2 >= 2.9
libmspack0 >= 0.4
python-requests >= 2.8.1
rpmlib(PayloadFilesHavePrefix) <= 4.0-1
rpmlib(CompressedFileNames) <= 3.0.4-1
rpmlib(PayloadIsLzma) <= 4.4.6-1
libtcmalloc4 >= 2.5
libcap-progs >= 2.22
xorg-x11-server >= 7.6_1.18.3-76.15
ibus >= 1.5
xorg- x11-server = 7.6_1.19.6
xorg-x11 = 7.6_1
postgresql10-server >= 10.12
libgtk-2_0-0 >= 2.24
libgthread-2_0-0 >= 2.48
pulseaudio-utils >= 5.0
lsb-release >= 2.0
<!--NeedCopy-->
重要:
升级后请重新启动 Linux VDA 计算机。
步骤 7:安装 NVIDIA GRID 驱动程序
要启用 HDX 3D Pro,您需要在您的管理程序和 VDA 计算机上安装 NVIDIA GRID 驱动程序。
要在特定管理程序上安装和配置 NVIDIA GRID Virtual GPU Manager(主机驱动程序),请参阅以下指南:
要安装和配置 NVIDIA GRID 客户机 VM 驱动程序,请执行以下常规步骤:
- 确保客户机 VM 已关机。
- 在管理程序控制面板中,为 VM 分配一个 GPU。
- 启动 VM。
- 在 VM 上安装客户机 VM 驱动程序。
步骤 8:配置 Linux VDA
安装软件包后,您必须通过运行 ctxsetup.sh 脚本来配置 Linux VDA。在进行任何更改之前,该脚本会验证环境并确保所有依赖项都已安装。如有必要,您可以随时重新运行该脚本以更改设置。
您可以手动运行带有提示的脚本,也可以自动运行带有预配置响应的脚本。在继续之前,请查看有关该脚本的帮助:
sudo /opt/Citrix/VDA/sbin/ctxsetup.sh –help
<!--NeedCopy-->
提示式配置
运行带有提示问题的手动配置:
sudo /opt/Citrix/VDA/sbin/ctxsetup.sh
<!--NeedCopy-->
自动化配置
对于自动化安装,请使用环境变量提供安装脚本所需的选项。如果所有必需的变量都存在,则脚本不会提示任何信息。
支持的环境变量包括:
- CTX_XDL_SUPPORT_DDC_AS_CNAME=Y | N – Linux VDA 支持使用 DNS CNAME 记录指定 Delivery Controller 名称。默认设置为 N。
- CTX_XDL_DDC_LIST=’list-ddc-fqdns’ – Linux VDA 需要一个以空格分隔的 Delivery Controller 完全限定域名 (FQDN) 列表,用于向 Delivery Controller 注册。必须至少指定一个 FQDN 或 CNAME 别名。
- CTX_XDL_VDA_PORT=port-number – Linux VDA 通过 TCP/IP 端口与 Delivery Controller 通信,默认端口为 80。
- CTX_XDL_REGISTER_SERVICE=Y | N - Linux Virtual Desktop 服务在计算机启动后启动。默认值为 Y。
- CTX_XDL_ADD_FIREWALL_RULES=Y | N – Linux Virtual Desktop 服务要求通过系统防火墙允许传入网络连接。您可以自动在系统防火墙中为 Linux Virtual Desktop 打开所需的端口(默认端口为 80 和 1494)。默认设置为 Y。
-
CTX_XDL_AD_INTEGRATION=1 | 2 | 3 | 4 – Linux VDA 需要 Kerberos 配置设置才能通过 Delivery Controller 进行身份验证。Kerberos 配置由系统上已安装和配置的 Active Directory 集成工具确定。指定要使用的受支持的 Active Directory 集成方法:
- 1 – Samba Winbind
- 2 – Quest Authentication Service
- 3 – Centrify DirectControl
- 4 – SSSD
- CTX_XDL_HDX_3D_PRO=Y | N – Linux VDA 支持 HDX 3D Pro,这是一套旨在优化富图形应用程序虚拟化的 GPU 加速技术。如果选择 HDX 3D Pro,则 VDA 配置为 VDI 桌面(单会话)模式 -(即 CTX_XDL_VDI_MODE=Y)。
- CTX_XDL_VDI_MODE=Y | N – 配置计算机是作为专用桌面交付模型 (VDI) 还是托管共享桌面交付模型。对于 HDX 3D Pro 环境,请将此变量设置为 Y。此变量默认设置为 N。
- CTX_XDL_SITE_NAME=dns-name – Linux VDA 通过 DNS 发现 LDAP 服务器。要将 DNS 搜索结果限制到本地站点,请指定一个 DNS 站点名称。此变量默认设置为 <none>。
- CTX_XDL_LDAP_LIST=’list-ldap-servers’ – Linux VDA 查询 DNS 以发现 LDAP 服务器。如果 DNS 无法提供 LDAP 服务记录,您可以提供一个以空格分隔的 LDAP FQDN 列表以及 LDAP 端口。例如,ad1.mycompany.com:389。此变量默认设置为 <none>。
- CTX_XDL_SEARCH_BASE=search-base-set – Linux VDA 通过设置为 Active Directory 域根目录的搜索基准(例如,DC=mycompany,DC=com)查询 LDAP。为了提高搜索性能,您可以指定一个搜索基准(例如,OU=VDI,DC=mycompany,DC=com)。此变量默认设置为 <none>。
- CTX_XDL_FAS_LIST=’list-fas-servers’ – Federated Authentication Service (FAS) 服务器通过 AD 组策略进行配置。Linux VDA 不支持 AD 组策略,但您可以提供一个以分号分隔的 FAS 服务器列表。序列必须与 AD 组策略中配置的相同。如果删除了任何服务器地址,请用 <none> 文本字符串填充其空白,并且不要修改服务器地址的顺序。
-
CTX_XDL_DOTNET_ RUNTIME_PATH=path-to-install-dotnet-runtime – 用于安装 .NET Core Runtime 3.1 的路径,以支持新的代理代理服务 (
ctxvda)。默认路径为 /usr/bin。 -
CTX_XDL_DESKTOP _ENVIRONMENT=gnome/mate – 指定要在会话中使用的 GNOME 或 MATE 桌面环境。如果未指定该变量,则使用 VDA 上当前安装的桌面。但是,如果当前安装的桌面是 MATE,则必须将变量值设置为 mate。
注意:
您还可以通过完成以下步骤来更改目标会话用户的桌面环境:
- 在 VDA 上的 $HOME/<username> 目录下创建
.xsession文件。 - 编辑
.xsession文件以根据分发指定桌面环境。
对于 CentOS、Ubuntu 和 Debian 上的 MATE 桌面:
MSESSION="$(type -p mate-session)" if [ -n "$MSESSION" ]; then exec mate-session fi <!--NeedCopy-->对于 CentOS 上的 GNOME 桌面:
GSESSION="$(type -p gnome-session)" if [ -n "$GSESSION" ]; then export GNOME_SHELL_SESSION_MODE=classic exec gnome-session --session=gnome-classic fi <!--NeedCopy-->适用于 Ubuntu 和 Debian 上的 GNOME 桌面:
GSESSION="$(type -p gnome-session)" if [ -n "$GSESSION" ]; then exec gnome-session fi <!--NeedCopy-->- 与目标会话用户共享 700 文件权限。
- 在 VDA 上的 $HOME/<username> 目录下创建
- CTX_XDL_START_SERVICE=Y | N – Linux VDA 配置完成后是否启动 Linux VDA 服务。默认设置为 Y。
- CTX_XDL_TELEMETRY_SOCKET_PORT – 用于侦听 Citrix Scout 的套接字端口。默认端口为 7503。
- CTX_XDL_TELEMETRY_PORT – 用于与 Citrix Scout 通信的端口。默认端口为 7502。
设置环境变量并运行配置脚本:
export CTX_XDL_SUPPORT_DDC_AS_CNAME=Y|N
export CTX_XDL_DDC_LIST='list-ddc-fqdns'
export CTX_XDL_VDA_PORT=port-number
export CTX_XDL_REGISTER_SERVICE=Y|N
export CTX_XDL_ADD_FIREWALL_RULES=Y|N
export CTX_XDL_AD_INTEGRATION=1|2|3|4
export CTX_XDL_HDX_3D_PRO=Y|N
export CTX_XDL_VDI_MODE=Y|N
export CTX_XDL_SITE_NAME=dns-site-name | '<none>'
export CTX_XDL_LDAP_LIST='list-ldap-servers' | '<none>'
export CTX_XDL_SEARCH_BASE=search-base-set | '<none>'
export CTX_XDL_FAS_LIST='list-fas-servers' | '<none>'
export CTX_XDL_DOTNET_RUNTIME_PATH=path-to-install-dotnet-runtime
export CTX_XDL_DESKTOP_ENVIRONMENT= gnome | mate | '<none>'
export CTX_XDL_TELEMETRY_SOCKET_PORT=port-number
export CTX_XDL_TELEMETRY_PORT=port-number
export CTX_XDL_START_SERVICE=Y|N
sudo -E /opt/Citrix/VDA/sbin/ctxsetup.sh
<!--NeedCopy-->
运行 sudo 命令时,请键入 -E 选项以将现有环境变量传递到其创建的新 shell。建议从前面的命令创建一个 shell 脚本文件,并将 #!/bin/bash 作为第一行。
或者,可以使用单个命令指定所有参数:
sudo CTX_XDL_SUPPORT_DDC_AS_CNAME=Y|N \
CTX_XDL_DDC_LIST='list-ddc-fqdns' \
CTX_XDL_VDA_PORT=port-number \
CTX_XDL_REGISTER_SERVICE=Y|N \
CTX_XDL_ADD_FIREWALL_RULES=Y|N \
CTX_XDL_AD_INTEGRATION=1|2|3|4 \
CTX_XDL_HDX_3D_PRO=Y|N \
CTX_XDL_VDI_MODE=Y|N \
CTX_XDL_SITE_NAME=dns-name \
CTX_XDL_LDAP_LIST='list-ldap-servers' \
CTX_XDL_SEARCH_BASE=search-base-set \
CTX_XDL_FAS_LIST='list-fas-servers' \
CTX_XDL_DOTNET_RUNTIME_PATH=path-to-install-dotnet-runtime \
CTX_XDL_DESKTOP_ENVIRONMENT=gnome | mate \
CTX_XDL_TELEMETRY_SOCKET_PORT=port-number \
CTX_XDL_TELEMETRY_PORT=port-number \
CTX_XDL_START_SERVICE=Y|N \
/opt/Citrix/VDA/sbin/ctxsetup.sh
<!--NeedCopy-->
删除配置更改
在某些情况下,可能需要删除由 ctxsetup.sh 脚本进行的配置更改,而无需卸载 Linux VDA 软件包。
在继续操作之前,请查看有关此脚本的帮助:
sudo /usr/local/sbin/ctxcleanup.sh --help
<!--NeedCopy-->
要删除配置更改:
sudo /usr/local/sbin/ctxcleanup.sh
<!--NeedCopy-->
重要提示:
此脚本会从数据库中删除所有配置数据,并使 Linux VDA 无法运行。
配置日志
ctxsetup.sh 和 ctxcleanup.sh 脚本会在控制台上显示错误,并将其他信息写入配置日志文件:
/tmp/xdl.configure.log
重新启动 Linux VDA 服务以使更改生效。
步骤 9:运行 XDPing
运行 sudo /opt/Citrix/VDA/bin/xdping 以检查 Linux VDA 环境中的常见配置问题。有关详细信息,请参阅 XDPing。
步骤 10:运行 Linux VDA
使用 ctxsetup.sh 脚本配置 Linux VDA 后,可以运行以下命令来控制 Linux VDA。
启动 Linux VDA:
要启动 Linux VDA 服务:
sudo /sbin/service ctxhdx start
sudo /sbin/service ctxvda start
<!--NeedCopy-->
停止 Linux VDA:
要停止 Linux VDA 服务:
sudo /sbin/service ctxvda stop
sudo /sbin/service ctxhdx stop
<!--NeedCopy-->
注意:
在停止
ctxvda和ctxhdx服务之前,请运行service ctxmonitorservice stop命令以停止监视器服务守护程序。否则,监视器服务守护程序会重新启动已停止的服务。
重新启动 Linux VDA:
要重新启动 Linux VDA 服务:
sudo /sbin/service ctxvda stop
sudo /sbin/service ctxhdx restart
sudo /sbin/service ctxvda start
<!--NeedCopy-->
检查 Linux VDA 状态:
要检查 Linux VDA 服务的运行状态:
sudo /sbin/service ctxvda status
sudo /sbin/service ctxhdx status
<!--NeedCopy-->
步骤 11:在 Citrix Virtual Apps 或 Citrix Virtual Desktops™ 中创建计算机目录
创建计算机目录和添加 Linux VDA 计算机的过程与传统的 Windows VDA 方法类似。有关如何完成这些任务的更详细说明,请参阅创建计算机目录和管理计算机目录。
对于创建包含 Linux VDA 计算机的计算机目录,存在一些限制,这些限制使该过程与为 Windows VDA 计算机创建计算机目录的过程有所不同:
- 对于操作系统,请选择:
- 多会话操作系统选项,用于托管共享桌面交付模型。
- 单会话操作系统选项,用于 VDI 专用桌面交付模型。
- 请勿在同一计算机目录中混合使用 Linux 和 Windows VDA 计算机。
注意:
早期版本的 Citrix Studio 不支持“Linux 操作系统”的概念。但是,选择 Windows Server OS 或 Server OS 选项表示等效的托管共享桌面交付模型。选择 Windows Desktop OS 或 Desktop OS 选项表示每台计算机一个用户的交付模型。
提示:
如果将计算机从 Active Directory 域中删除并重新加入,则必须再次将该计算机从计算机目录中删除并重新添加。
步骤 12:在 Citrix Virtual Apps™ 或 Citrix Virtual Desktops 中创建交付组
创建交付组和添加包含 Linux VDA 计算机的计算机目录的过程与 Windows VDA 计算机几乎相同。有关如何完成这些任务的更详细说明,请参阅创建交付组。
对于创建包含 Linux VDA 计算机目录的交付组,适用以下限制:
- 确保选择的 AD 用户和组已正确配置为登录到 Linux VDA 计算机。
- 不允许未经身份验证(匿名)用户登录。
- 请勿将交付组与包含 Windows 计算机的计算机目录混合使用。
重要提示:
Linux VDA 1.4 版及更高版本支持发布应用程序。但是,Linux VDA 不支持将桌面和应用程序交付到同一台计算机。
有关如何创建计算机目录和交付组的信息,请参阅 Citrix Virtual Apps and Desktops 7 2112。
在本文中
- 步骤 1:准备安装
- 步骤 2:为管理程序准备 Linux VM
- 步骤 3:将 Linux 虚拟机 (VM) 添加到 Windows 域
- 启用 SSSD
- 步骤 5:下载 Linux VDA 软件包
- 步骤 6:安装 Linux VDA
- 步骤 7:安装 NVIDIA GRID 驱动程序
- 步骤 8:配置 Linux VDA
- 步骤 9:运行 XDPing
- 步骤 10:运行 Linux VDA
- 步骤 11:在 Citrix Virtual Apps 或 Citrix Virtual Desktops™ 中创建计算机目录
- 步骤 12:在 Citrix Virtual Apps™ 或 Citrix Virtual Desktops 中创建交付组