Linux Virtual Delivery Agent

手动安装 Linux Virtual Delivery Agent for SUSE

重要提示:

对于全新安装,建议您使用轻松安装以进行快速安装。轻松安装省时又省力,与本文中详述的手动安装相比,更不易于出错。

步骤 1:准备安装

步骤 1a:启动 YaST 工具

SUSE Linux Enterprise YaST 工具用于对操作系统执行方方面面的配置。

启动基于文本的 YaST 工具:

su -

yast
<!--NeedCopy-->

要启动基于 UI 的 YaST 工具,请执行以下操作:

su -

yast2 &
<!--NeedCopy-->

步骤 1b:配置网络连接

以下各部分介绍了如何配置 Linux VDA 使用的各种网络设置和服务。网络配置通过 YaST 工具执行,而不得使用其他方法,例如 Network Manager。以下说明介绍的是使用基于 UI 的 YaST 工具的情形。也可以使用基于文本的 YaST 工具,但导航方法稍有不同,对此本文未作介绍。

配置主机名和域名系统 (DNS)

  1. 启动基于 UI 的 YaST 工具。
  2. 选择系统,然后选择网络设置
  3. 打开 Hostname/DNS(主机名/DNS)选项卡。
  4. Set Hostname via DHCP(通过 DHCP 设置主机名)选择 no(否)选项。
  5. 修改 DNS 配置选择使用自定义策略选项。
  6. 编辑以下内容,以反映所作的网络设置:

    • 静态主机名 - 添加计算机的 DNS 主机名。
    • 名称服务器 - 添加 DNS 服务器的 IP 地址。通常是 AD 域控制器的 IP 地址。
    • 域搜索列表 - 添加 DNS 域名。
  7. 更改 /etc/hosts 文件的以下行以包含 FQDN 和主机名作为前两个条目:

    127.0.0.1 <FQDN of the VDA> <hostname of the VDA> localhost

注意:

Linux VDA 当前不支持 NetBIOS 名称截断。因此,主机名不得超过 15 个字符。 提示:

只能使用字符 a-z、A-Z、0-9 和连字符 (-)。请避免使用下划线 (_)、空格和其他符号。主机名不得以数字开头和以连字符结尾。此规则也适用于 Delivery Controller 主机名。

检查主机名

验证主机名设置是否正确无误:

hostname
<!--NeedCopy-->

此命令仅返回计算机的主机名,而不返回其完全限定域名 (FQDN)。

验证 FQDN 设置是否正确无误:

hostname -f
<!--NeedCopy-->

此命令返回计算机的 FQDN。

检查名称解析和服务可访问性

确认可以解析 FQDN 并对域控制器和 Delivery Controller 执行 ping 操作:

nslookup domain-controller-fqdn

ping domain-controller-fqdn

nslookup delivery-controller-fqdn

ping delivery-controller-fqdn
<!--NeedCopy-->

如果无法解析 FQDN 或 Ping 不通上述任一计算机,请先检查相关步骤,然后再继续。

步骤 1c:配置 NTP 服务

维护 VDA、Delivery Controller 和域控制器之间的时钟始终精确同步至关重要。将 Linux VDA 托管为虚拟机可能会导致时钟偏差问题。出于此原因,最好使用远程 NTP 服务来保持时间同步。默认 NTP 设置可能需要作一些更改。

对于 SUSE 15.3 和 SUSE 15.2:

  1. 启动基于 UI 的 YaST 工具。
  2. 选择网络服务,然后选择 NTP 配置
  3. Start NTP Daemon(启动 NTP 守护程序)部分,选择 Now and on Boot(现在及引导时)。
  4. 配置源选择动态
  5. 根据需要添加 NTP 服务器。NTP 服务通常托管在 Active Directory 域控制器上。
  6. 在 /etc/chrony.conf 中删除或取消注释以下行(如果存在)。

    include /etc/chrony.d/*.conf

    编辑 chrony.conf 后,重新启动 chronyd 服务。

    sudo systemctl restart chronyd.service
    <!--NeedCopy-->
    

步骤 1d:安装 Linux VDA 依赖软件包

适用于 SUSE Linux Enterprise 的 Linux VDA 软件依赖于以下软件包:

  • Postgresql13-server 13 或更高版本
  • OpenJDK 11
  • Open Motif Runtime Environment 2.3.1 或更高版本
  • Cups 1.6.0 或更高版本
  • ImageMagick 6.8 或更高版本

添加存储库

除了 ImageMagick 之外,您还可以从官方存储库中获取大多数必需的软件包。要获取 ImageMagick 软件包,请使用 YaST 或以下命令启用 sle-module-desktop-applications 存储库:

SUSEConnect -p sle-module-desktop-applications/<version number>/x86_64

安装 Kerberos 客户端

安装 Kerberos 客户端,在 Linux VDA 与 Delivery Controller 之间实现双向身份验证:

sudo zypper install krb5-client
<!--NeedCopy-->

Kerberos 客户端配置依赖于所使用的 Active Directory 集成方法。请参阅下面的说明。

安装 OpenJDK 11

Linux VDA 要求存在 OpenJDK 11。

要安装 OpenJDK 11,请运行以下命令:

sudo zypper install java-11-openjdk
<!--NeedCopy-->

安装 PostgreSQL

要安装 Postgresql,请运行以下命令:

sudo zypper install postgresql13-server

sudo zypper install postgresql-jdbc
<!--NeedCopy-->

此时需要执行安装后步骤,以便初始化数据库服务,并确保 PostgreSQL 在计算机启动时启动:

sudo systemctl enable postgresql

sudo systemctl restart postgresql
<!--NeedCopy-->

数据库文件位于 /var/lib/pgsql/data。

步骤 2:为虚拟机管理程序准备 Linux VM

在支持的虚拟机管理程序上将 Linux VDA 当作虚拟机运行时,需要作出一些更改。根据正在使用的虚拟机管理程序平台做出以下更改。如果正在裸机硬件上运行 Linux 计算机,则无需作出任何更改。

修复 Citrix Hypervisor 上的时间同步问题

如果启用了 Citrix Hypervisor 时间同步功能,在每个半虚拟化的 Linux VM 中,您都会遇到 NTP 和 Citrix Hypervisor 的问题。两者都试图管理系统时钟。为避免时钟与其他服务器不同步,请将每个 Linux 来宾中的系统时钟与 NTP 同步。这种情况要求禁用主机时间同步。无需在 HVM 模式下进行任何更改。

如果您正在运行半虚拟化的 Linux 内核,并且安装了 Citrix VM Tools,则可以检查 Citrix Hypervisor 时间同步功能是否存在,以及是否已在 Linux VM 中启用:

su -

cat /proc/sys/xen/independent_wallclock
<!--NeedCopy-->

此命令返回 0 或 1:

  • 0 - 时间同步功能已启用,且必须禁用。
  • 1 - 时间同步功能已禁用,无需采取任何操作。

如果 /proc/sys/xen/independent_wallclock 文件不存在,则不需要执行以下步骤。

如果已启用,请通过向该文件写入 1 以禁用时间同步功能:

sudo echo 1 > /proc/sys/xen/independent_wallclock
<!--NeedCopy-->

要使此更改成为永久更改,并在重新启动后仍然有效,请编辑 /etc/sysctl.conf 文件并添加以下行:

xen.independent_wallclock = 1

要验证这些更改,请重新启动系统:

reboot
<!--NeedCopy-->

重新启动后,验证此设置是否正确:

su -

cat /proc/sys/xen/independent_wallclock
<!--NeedCopy-->

此命令返回值 1。

在 Microsoft Hyper-V 上修复时间同步问题

安装了 Hyper-V Linux 集成服务的 Linux VM 可应用 Hyper-V 时间同步功能来使用主机操作系统的时间。为确保系统时钟始终精确可靠,请一同启用此功能与 NTP 服务。

从管理操作系统中:

  1. 打开 Hyper-V 管理器控制台。
  2. 对于 Linux VM 的设置,请选择 Integration Services(集成服务)。
  3. 确保已选择 Time synchronization(时间同步)。

注意:

此方法与 VMware 和 Citrix Hypervisor 不同,这两种产品会禁用主机时间同步功能,以免与 NTP 发生冲突。Hyper-V 时间同步可以与 NTP 时间同步共存并互补。

修复 ESX 和 ESXi 上的时间同步问题

如果启用了 VMware 时间同步功能,在每个半虚拟化的 Linux VM 中,您都会遇到 NTP 和虚拟机管理程序的问题。两者都试图同步系统时钟。为避免时钟与其他服务器不同步,请将每个 Linux 来宾中的系统时钟与 NTP 同步。这种情况要求禁用主机时间同步。

如果正在运行安装了 VMware Tools 的半虚拟化 Linux 内核:

  1. 打开 vSphere Client。
  2. 编辑 Linux VM 设置。
  3. Virtual Machine Properties(虚拟机属性)对话框中,打开 Options(选项)选项卡。
  4. 选择 VMware Tools
  5. Advanced(高级)框中,取消选中 Synchronize guest time with host(与主机同步客户机时间)。

步骤 3:向 Windows 域中添加 Linux 虚拟机 (VM)

Linux VDA 支持多种向 Active Directory (AD) 域添加 Linux 计算机的方法:

根据所选的方法,按说明执行操作。

注意:

为 Linux VDA 中的本地帐户和 AD 中的帐户使用相同的用户名时,会话启动可能会失败。

Samba Winbind

加入 Windows 域

您的域控制器必须可访问,而且您必须具有有权将计算机添加到域的 Active Directory 用户帐户。

  1. 启动 YaST,选择网络服务,然后选择 Windows 域成员身份

  2. 进行以下更改:

    • 域或工作组设为 Active Directory 域的名称或域控制器的 IP 地址。确保域名为大写。
    • 选中 Use SMB information for Linux Authentication(为 Linux 身份验证使用 SMB 信息)。
      • 选中 Create Home Directory on Login(在登录时创建主目录)。
      • 选中 Single Sign-on for SSH(为 SSH 使用单点登录)。
      • 确保未选中 Offline Authentication(脱机身份验证)。此选项与 Linux VDA 不兼容。
  3. 单击确定。如果系统提示您安装某些软件包,请单击 Install(安装)。

  4. 如果找到域控制器,则会询问您是否要加入域。单击

  5. 出现提示时,键入有权将计算机添加到域的域用户的凭据,然后单击 OK(确定)。

  6. 手动重新启动服务或重新启动计算机。我们建议您重新启动计算机:

    su -
    reboot
    <!--NeedCopy-->
    

验证域成员身份

Delivery Controller 要求所有 VDA 计算机(Windows 和 Linux)都要在 Active Directory 中有一个计算机对象。

运行 Sambanet ads 命令验证计算机是否已加入域:

sudo net ads testjoin
<!--NeedCopy-->

运行以下命令验证额外的域和计算机对象信息:

sudo net ads info
<!--NeedCopy-->

验证 Kerberos 配置

确保系统 keytab 文件是否已创建并包含有效密钥:

sudo klist –ke
<!--NeedCopy-->

此命令显示各种主体名称与密码套件组合可用的密钥列表。运行 Kerberos kinit 命令,使用这些密钥向域控制器验证计算机的身份:

sudo kinit -k MACHINE$@REALM
<!--NeedCopy-->

计算机和领域名称必须指定为大写。美元符号 ($) 必须使用反斜杠 (\) 进行转义,以免发生 shell 替换。在某些环境中,DNS 域名与 Kerberos 领域名称不同。请确保使用领域名称。如果此命令成功运行,则不会显示任何输出。

使用以下命令验证计算机帐户的 TGT 票据已缓存:

sudo klist
<!--NeedCopy-->

使用以下命令检查计算机帐户详细信息:

sudo net ads status
<!--NeedCopy-->

验证用户身份验证

使用 wbinfo 工具验证是否可向域验证域用户的身份:

wbinfo --krb5auth=domain\username%password
<!--NeedCopy-->

这里指定的域为 AD 域名,而不是 Kerberos 领域名称。对于 bash shell,必须使用另一个反斜杠对反斜杠 (\) 字符进行转义。此命令返回一条成功或失败消息。

验证 Winbind PAM 模块的配置是否正确。为此,请使用以前未使用过的域用户帐户登录到 Linux VDA。

ssh localhost -l domain\username
id -u
<!--NeedCopy-->

验证是否为 id -u 命令返回的 uid 创建了对应的 Kerberos 凭据缓存文件:

ls /tmp/krb5cc_uid
<!--NeedCopy-->

验证用户的 Kerberos 凭据缓存中的票据是否有效且未过期:

klist
<!--NeedCopy-->

退出会话。

exit
<!--NeedCopy-->

直接登录 Gnome 或 KDE 控制台也可以执行类似的测试。在进行域加入验证后继续执行步骤 6:安装 Linux VDA

Quest Authentication Service

在域控制器上配置 Quest

假定您已在域控制器上安装并配置了 Quest 软件,而且已获得管理权限,有权在 Active Directory 中创建计算机对象。

允许域用户登录 Linux VDA 计算机

为了让域用户能够在 Linux VDA 计算机上建立 HDX 会话:

  1. 在 Active Directory 用户和计算机管理控制台中,为该用户帐户打开 Active Directory 用户属性。
  2. 选择 Unix Account(Unix 帐户)选项卡。
  3. 选中 Unix-enabled(已启用 Unix)。
  4. Primary GID Number(首选 GID 编号)设置为实际域用户组的组 ID。

注意:

这些说明相当于设置域用户,以便他们可以使用控制台、RDP、SSH 或任何其他远程协议进行登录。

在 Linux VDA 上配置 Quest

配置 VAS 守护程序

必须启用并断开自动续订 Kerberos 票据功能。必须禁用身份验证(脱机登录)功能:

sudo /opt/quest/bin/vastool configure vas vasd auto-ticket-renew-interval 32400

sudo /opt/quest/bin/vastool configure vas vas_auth allow-disconnected-auth false
<!--NeedCopy-->

此命令将续订间隔设为 9 小时(32400 秒),即比默认的 10 小时票据生命周期短 1 小时。请在票据生命周期较短的系统上设置较低的值。

配置 PAM 和 NSS

要启用通过 HDX 进行的域用户登录以及其他服务(例如 su、ssh 和 RDP),请手动配置 PAM 和 NSS:

sudo /opt/quest/bin/vastool configure pam

sudo /opt/quest/bin/vastool configure nss
<!--NeedCopy-->

加入 Windows 域

使用 Quest vastool 命令将 Linux 计算机加入到 Active Directory 域中:

sudo /opt/quest/bin/vastool -u user join domain-name
<!--NeedCopy-->

user 为有权将计算机加入 Active Directory 域的任何域用户。domain-name 为域的 DNS 名称,例如 example.com。

验证域成员身份

Delivery Controller 要求所有 VDA 计算机(Windows 和 Linux)都要在 Active Directory 中有一个计算机对象。验证 Quest 加入的 Linux 计算机是否位于域中:

sudo /opt/quest/bin/vastool info domain
<!--NeedCopy-->

如果计算机已加入域,此命令会返回域名。如果计算机未加入任何域,则会显示以下错误:

ERROR: No domain could be found.
ERROR: VAS_ERR_CONFIG: at ctx.c:414 in _ctx_init_default_realm
default_realm not configured in vas.conf. Computer may not be joined to domain

验证用户身份验证

验证 Quest 是否可以通过 PAM 对域用户进行身份验证。为此,请使用以前未使用过的域用户帐户登录到 Linux VDA。

ssh localhost -l domain\username
id -u
<!--NeedCopy-->

验证是否为 id -u 命令返回的 uid 创建了对应的 Kerberos 凭据缓存文件:

ls /tmp/krb5cc_uid
<!--NeedCopy-->

验证 Kerberos 凭据缓存中的票据是否有效且未过期:

/opt/quest/bin/vastool klist
<!--NeedCopy-->

退出会话。

exit
<!--NeedCopy-->

直接登录 Gnome 或 KDE 控制台也可以执行类似的测试。在进行域加入验证后继续执行步骤 6:安装 Linux VDA

Centrify DirectControl

加入 Windows 域

安装 Centrify DirectControl Agent 后,请使用 Centrify adjoin 命令将 Linux 计算机加入 Active Directory 域:

sudo adjoin -w -V -u user domain-name
<!--NeedCopy-->

user 为有权将计算机加入 Active Directory 域的任何 Active Directory 域用户。domain-name 是将 Linux 计算机加入到的域的名称。

验证域成员身份

Delivery Controller 要求所有 VDA 计算机(Windows 和 Linux)都要在 Active Directory 中有一个计算机对象。验证 Centrify 加入的 Linux 计算机是否位于域中:

sudo adinfo
<!--NeedCopy-->

验证 Joined to domain 值是否有效以及 CentrifyDC mode 是否返回了 connected。如果模式仍然卡在启动状态,则表明 Centrify 客户端遇到了服务器连接或身份验证问题。

使用以下命令可获得更全面的系统和诊断信息:

adinfo --sysinfo all

adinfo –diag
<!--NeedCopy-->

测试与各种 Active Directory 和 Kerberos 服务的连接。

adinfo --test
<!--NeedCopy-->

在进行域加入验证后继续执行步骤 6:安装 Linux VDA

SSSD

如果您在 SUSE 上使用 SSSD,请按照此部分中的说明进行操作。此部分包含有关如何将 Linux VDA 计算机加入 Windows 域的说明以及如何配置 Kerberos 身份验证的指导。

要在 SUSE 上设置 SSSD,请完成以下步骤:

  1. 加入域并创建主机 keytab
  2. 为 SSSD 配置 PAM
  3. 设置 SSSD
  4. 启用 SSSD
  5. 验证域成员身份
  6. 验证 Kerberos 配置
  7. 验证用户身份验证

加入域并创建主机 keytab

SSSD 并不提供用于加入域和管理系统 keytab 文件的 Active Directory 客户端功能。可以改为使用 Samba 方法。在配置 SSSD 之前,请完成以下步骤。

  1. 停止并禁用 Name Service Cache Daemon (NSCD) 守护进程。

    sudo systemctl stop nscd
    sudo systemctl disable nscd
    <!--NeedCopy-->
    
  2. 检查主机名和 Chrony 时间同步。

    hostname
    hostname -f
    chronyc traking
    <!--NeedCopy-->
    
  3. 安装或更新所需软件包:

    sudo zypper install samba-client sssd-ad
    <!--NeedCopy-->
    
  4. 以 root 用户身份编辑 /etc/krb5.conf 文件,以允许 kinit 实用程序与目标域进行通信。在 [libdefaults][realms][domain_realm] 部分下添加以下条目:

    注意:

    根据您的 AD 基础结构配置 Kerberos。以下设置适用于单域、单林模型。

    [libdefaults]
    
        dns_canonicalize_hostname = false
    
        rdns = false
    
        default_realm = REALM
    
        forwardable = true
    
    [realms]
    
        REALM = {
    
            kdc = fqdn-of-domain-controller
    
            default_domain = realm
    
            admin_server = fqdn-of-domain-controller
        }
    [domain_realm]
    
        .realm = REALM
    <!--NeedCopy-->
    

    realm 是 Kerberos 领域的名称,例如 example.com。REALM 是大写的 Kerberos 领域名称,例如 EXAMPLE.COM。

  5. 以 root 用户身份编辑 /etc/samba/smb.conf,以允许 net 实用程序与目标域进行通信。将以下条目添加到 [global] 部分:

    [global]
        workgroup = domain
    
        client signing = yes
    
        client use spnego = yes
    
        kerberos method = secrets and keytab
    
        realm = REALM
    
        security = ADS
    <!--NeedCopy-->
    

    domain 是 Active Directory 域的简短 NetBIOS 名称,例如 EXAMPLE。

  6. 修改 /etc/nsswitch.conf 文件中的 passwdgroup 条目以在解析用户和组时引用 SSSD。

    passwd: compat sss
    
    group: compat sss
    <!--NeedCopy-->
    
  7. 使用已配置的 Kerberos 客户端以管理员身份向目标域进行身份验证。

    kinit administrator
    <!--NeedCopy-->
    
  8. 使用 net 实用程序将系统加入域并生成系统 Keytab 文件。

    net ads join osname="SUSE Linux Enterprise Server" osVersion=15 -U administrator
    <!--NeedCopy-->
    

为 SSSD 配置 PAM

在为 SSSD 配置 PAM 之前,请安装或更新所需的软件包:

sudo zypper install sssd sssd-ad
<!--NeedCopy-->

将 PAM 模块配置为通过 SSSD 进行用户身份验证,并为用户登录创建主目录。

sudo pam-config --add  --sss
sudo pam-config --add --mkhomedir
<!--NeedCopy-->

设置 SSSD

  1. 以 root 用户身份编辑 /etc/sssd/sssd.conf,以允许 SSSD 守护程序与目标域进行通信。sssd.conf 配置示例(可以根据需要添加额外的选项):

    [sssd]
        config_file_version = 2
        services = nss,pam
        domains = domain-dns-name
    
    [domain/domain-dns-name]
        id_provider = ad
        auth_provider = ad
        access_provider = ad
        ad_domain = domain-dns-name
        ad_server = fqdn-of-domain-controller
        ldap_id_mapping = true
        ldap_schema = ad
    
    # Kerberos settings
        krb5_ccachedir = /tmp
        krb5_ccname_template = FILE:%d/krb5cc_%U
    
    # Comment out if the users have the shell and home dir set on the AD side
    
        fallback_homedir = /home/%d/%u
        default_shell = /bin/bash
    
    # Uncomment and adjust if the default principal SHORTNAME$@REALM is not available
    
    # ldap_sasl_authid = host/client.ad.example.com@AD.EXAMPLE.COM
    
        ad_gpo_access_control = permissive
    
    <!--NeedCopy-->
    

    domain-dns-name 是 DNS 域名,例如 example.com。

    注意:

    ldap_id_mapping 设置为 true,以便 SSSD 本身负责将 Windows SID 映射到 Unix UID。否则,Active Directory 必须能够提供 POSIX 扩展。将 ad_gpo_access_control 设置为 permissive 以防止 Linux 会话出现无效登录错误。请参阅 sssd.confsssd-ad 的手册页。

  2. sssd.conf 设置文件所有权和权限:

    sudo chmod 0600 /etc/sssd/sssd.conf
    <!--NeedCopy-->
    

启用 SSSD

运行以下命令以在系统启动时启用并启动 SSSD 守护程序:

sudo systemctl enable sssd
sudo systemctl start sssd
<!--NeedCopy-->

验证域成员身份

  1. 运行 Sambanet ads 命令验证计算机是否已加入域:

    sudo net ads testjoin
    <!--NeedCopy-->
    
  2. 运行以下命令验证额外的域和计算机对象信息:

    sudo net ads info
    <!--NeedCopy-->
    

验证 Kerberos 配置

确保系统 keytab 文件是否已创建并包含有效密钥:

sudo klist -ke
<!--NeedCopy-->

此命令显示各种主体名称与密码套件组合可用的密钥列表。

运行 Kerberos kinit 命令,以使用这些密钥向域控制器验证计算机的身份:

sudo kinit –k MACHINE$@REALM
<!--NeedCopy-->

计算机和领域名称必须指定为大写。美元符号 ($) 必须使用反斜杠 (**\**) 进行转义,以免发生 shell 替换。在某些环境中,DNS 域名与 Kerberos 领域名称不同。请确保使用领域名称。如果此命令成功运行,则不会显示任何输出。

使用以下命令验证计算机帐户的 TGT 票据已缓存:

sudo klist
<!--NeedCopy-->

验证用户身份验证

SSSD 不直接通过守护程序提供用于测试身份验证的命令行工具,只能通过 PAM 完成。

要验证 SSSD PAM 模块是否已正确配置,请使用以前未使用的域用户帐户登录 Linux VDA。

ssh localhost -l domain\username

id -u

klist

exit
<!--NeedCopy-->

验证 klist 命令返回的 Kerberos 票据是否适用于该用户并且尚未过期。

以 root 用户身份,验证是否已为前面的 id -u 命令返回的 uid 创建相应的票据缓存文件:

ls /tmp/krb5cc_uid
<!--NeedCopy-->

直接登录 Gnome 或 KDE 控制台也可以执行类似的测试。在进行域加入验证后继续执行步骤 6:安装 Linux VDA

PBIS

下载所需的 PBIS 软件包

例如:

wget https://github.com/BeyondTrust/pbis-open/releases/download/9.1.0/pbis-open-9.1.0.551.linux.x86_64.rpm.sh
<!--NeedCopy-->

使 PBIS 安装脚本可执行

例如:

chmod +x pbis-open-9.1.0.551.linux.x86_64.rpm.sh
<!--NeedCopy-->

运行 PBIS 安装脚本

例如:

sh pbis-open-9.1.0.551.linux.x86_64.rpm.sh
<!--NeedCopy-->

加入 Windows 域

您的域控制器必须可访问,而且您必须具有有权将计算机添加到域的 Active Directory 用户帐户。

/opt/pbis/bin/domainjoin-cli join domain-name user
<!--NeedCopy-->

user 为有权将计算机添加到 Active Directory 域的域用户。domain-name 为域的 DNS 名称,例如 example.com。

注意: 要将 Bash 设置为默认 shell,请运行 /opt/pbis/bin/config LoginShellTemplate/bin/bash 命令。

验证域成员身份

Delivery Controller 要求所有 VDA 计算机(Windows 和 Linux)都要在 Active Directory 中有一个计算机对象。验证加入了 PBIS 的 Linux 计算机是否位于域中:

/opt/pbis/bin/domainjoin-cli query
<!--NeedCopy-->

如果计算机已加入某个域,此命令将返回有关当前加入的 AD 域和 OU 的信息。否则,仅显示主机名。

验证用户身份验证

验证 PBIS 是否能够通过 PAM 对域用户进行身份验证。为此,请使用以前未使用过的域用户帐户登录到 Linux VDA。

ssh localhost -l domain\user

id -u
<!--NeedCopy-->

验证是否为 id -u 命令返回的 UID 创建了对应的 Kerberos 凭据缓存文件:

ls /tmp/krb5cc_uid
<!--NeedCopy-->

退出会话。

exit
<!--NeedCopy-->

在进行域加入验证后继续执行步骤 6:安装 Linux VDA

步骤 4:安装必备软件 .NET Runtime 6.0

在安装 Linux VDA 之前,请按照 https://docs.microsoft.com/en-us/dotnet/core/install/linux-package-managers 上的说明安装 .NET Runtime 6.0。

安装 .NET Runtime 6.0 后,运行 which dotnet 命令查找您的运行时路径。

根据命令输出,设置 .NET Runtime 二进制文件路径。例如,如果命令输出为 /aa/bb/dotnet,请使用 /aa/bb 作为 .NET 二进制文件路径。

步骤 5:下载 Linux VDA 软件包

转至 Citrix Virtual Apps and Desktops 下载页面。展开相应版本的 Citrix Virtual Apps and Desktops,然后单击组件以下载与 Linux 发行版匹配的 Linux VDA 包。

步骤 6:安装 Linux VDA

步骤 6a:卸载旧版本

如果安装了除先前的两个版本和 LTSR 版本之外的早期版本,请在安装新版本之前将其卸载。

  1. 停止 Linux VDA 服务:

    sudo /sbin/service ctxvda stop
    
    sudo /sbin/service ctxhdx stop
    <!--NeedCopy-->
    

    注意:

    在停止 ctxvdactxhdx 服务之前,请运行 service ctxmonitorservice stop 命令以停止监视服务守护程序。否则,监视服务守护程序将重新启动您停止的服务。

  2. 卸载软件包:

    sudo rpm -e XenDesktopVDA
    <!--NeedCopy-->
    

重要:

支持从最新的两个版本进行升级。

注意:

您可以在 /opt/Citrix/vda/ 下找到已安装的组件。

要运行命令,需要提供完整路径;或者,也可以将 /opt/Citrix/VDA/sbin/opt/Citrix/VDA/bin 添加到系统路径。

步骤 6b:安装 Linux VDA

使用 Zypper 安装 Linux VDA 软件:

sudo zypper install XenDesktopVDA-<version>.sle15_x.x86_64.rpm
<!--NeedCopy-->

使用 RPM 软件包管理器安装 Linux VDA 软件:

sudo rpm -i XenDesktopVDA-<version>.sle15_x.x86_64.rpm
<!--NeedCopy-->

步骤 6c:升级 Linux VDA(可选)

可以从先前的两个版本和 LTSR 版本升级现有安装。

注意:

升级现有安装将覆盖 /etc/xdl 下的配置文件。在进行升级之前,请务必备份这些文件。

sudo rpm -U XenDesktopVDA-<version>.sle15_x.x86_64.rpm
<!--NeedCopy-->

SUSE 15 的 RPM 依赖项列表:

postgresql >= 13

postgresql-server >= 13

postgresql-jdbc >= 9.4

java-11-openjdk >= 11

ImageMagick >= 7.0

dbus-1 >= 1.12.2

dbus-1-x11 >= 1.12.2

xorg-x11 >= 7.6_1

libXpm4 >= 3.5.12

libXrandr2 >= 1.5.1

libXtst6 >= 1.2.3

motif >= 2.3.4

pam >= 1.3.0

bash >= 4.4

findutils >= 4.6

gawk >= 4.2

sed >= 4.4

cups >= 2.2

cups-filters >= 1.25

libxml2-2 >= 2.9

libmspack0 >= 0.6

ibus >= 1.5

libtcmalloc4 >= 2.5

libcap-progs >= 2.26

mozilla-nss-tools >= 3.53.1

libpython2_7-1_0 >= 2.7
<!--NeedCopy-->

重要:

在升级后重新启动 Linux VDA 计算机。

步骤 7:安装 NVIDIA GRID 驱动程序

启用 HDX 3D Pro 要求您在虚拟机管理程序和 VDA 计算机上安装 NVIDIA GRID 驱动程序。

要在特定虚拟机管理程序上安装和配置 NVIDIA GRID 虚拟 GPU 管理器(主机驱动程序),请参阅以下指南:

要安装和配置 NVIDIA GRID 来宾 VM 驱动程序,请执行下面的常规步骤:

  1. 确保来宾 VM 已关闭。
  2. 在虚拟机管理程序控制面板中,为 VM 分配一个 GPU。
  3. 启动 VM。
  4. 在 VM 上安装来宾 VM 驱动程序。

步骤 8:配置 Linux VDA

安装软件包后,必须运行 ctxsetup.sh 脚本来配置 Linux VDA。脚本做出任何更改之前,都会验证环境,并确保所有依赖项都已安装。如有必要,可以随时重新运行该脚本以更改设置。

可以按照提示手动运行脚本,也可以采用预先配置的响应自动运行脚本。继续操作前,请查看该脚本的帮助信息:

sudo /opt/Citrix/VDA/sbin/ctxsetup.sh –help
<!--NeedCopy-->

提示配置

运行会提示各种问题的手动配置:

sudo /opt/Citrix/VDA/sbin/ctxsetup.sh
<!--NeedCopy-->

自动配置

自动安装时,通过环境变量提供设置脚本所需的选项。如果所需的所有变量都存在,脚本不会提示您提供任何信息。

支持的环境变量包括:

  • CTX_XDL_SUPPORT_DDC_AS_CNAME=Y | N - Linux VDA 支持使用 DNS CNAME 记录指定 Delivery Controller 名称。默认情况下设置为 N。
  • CTX_XDL_DDC_LIST=’list-ddc-fqdns’ – Linux VDA 要求提供由空格分隔的 Delivery Controller 完全限定域名 (FQDN) 列表以用于向 Delivery Controller 注册。必须至少指定一个 FQDN 或 CNAME 别名。
  • CTX_XDL_VDA_PORT=port-number – Linux VDA 通过 TCP/IP 端口(默认为端口 80)与 Delivery Controller 通信。
  • CTX_XDL_REGISTER_SERVICE=Y | N - 在启动计算机后启动 Linux VDA 服务。默认情况下,该值设置为 Y。
  • CTX_XDL_ADD_FIREWALL_RULES=Y | N – Linux VDA 服务要求允许传入网络连接通过系统防火墙。您可以在系统防火墙中自动为 Linux VDA 打开所需的端口(默认为端口 80 和 1494)。默认情况下设置为 Y。
  • CTX_XDL_AD_INTEGRATION=1 | 2 | 3 | 4 – Linux VDA 要求使用 Kerberos 配置设置向 Delivery Controller 进行身份验证。Kerberos 配置根据系统上已安装和已配置的 Active Directory 集成工具确定。指定要使用且受支持的 Active Directory 集成方法:
    • 1 – Samba Winbind
    • 2 – Quest Authentication Service
    • 3 - Centrify DirectControl
    • 4 - SSSD
  • CTX_XDL_HDX_3D_PRO=Y | N - Linux VDA 支持 HDX 3D Pro,这是一组 GPU 加速技术,旨在优化富图形应用程序的虚拟化水平。如果选择了 HDX 3D Pro,则要为 VDI 桌面(单会话)模式配置 VDA -(即 CTX_XDL_VDI_MODE=Y)。
  • CTX_XDL_VDI_MODE=Y | N - 将计算机配置为专用桌面交付模型 (VDI) 还是托管共享桌面交付模型。对于 HDX 3D Pro 环境,将此变量设置为 Y。默认情况下,此变量设置为 N。
  • CTX_XDL_SITE_NAME=dns-name - Linux VDA 通过 DNS 发现 LDAP 服务器。要将 DNS 搜索结果限制为本地站点,应指定 DNS 站点名称。默认情况下,此变量设置为 <none>
  • CTX_XDL_LDAP_LIST=’list-ldap-servers’ – Linux VDA 查询 DNS 来发现 LDAP 服务器。如果 DNS 无法提供 LDAP 服务记录,您可以提供以空格分隔的 LDAP FQDN(带有 LDAP 端口)列表。例如,ad1.mycompany.com:389 ad2.mycompany.com:3268 ad3.mycompany.com:3268。如果将 LDAP 端口号指定为 389,Linux VDA 将在轮询模式下查询指定域中的每个 LDAP 服务器。如果有 x 个策略和 y 个 LDAP 服务器,Linux VDA 总共将执行 X 乘以 Y 次查询。如果轮询时间超过阈值,会话登录可能会失败。要启用更快的 LDAP 查询,请在域控制器上启用全局编录,并将相关的 LDAP 端口号指定为 3268。默认情况下,此变量设置为 <none>
  • CTX_XDL_SEARCH_BASE=search-base-set - Linux VDA 通过设置为 Active Directory 域根的搜索库来查询 LDAP(例如,DC=mycompany,DC=com)。为提高搜索性能,可以指定搜索基础(例如 OU=VDI,DC=mycompany,DC=com)。默认情况下,此变量设置为 <none>
  • CTX_XDL_FAS_LIST=’list-fas-servers’ – 联合身份验证服务 (FAS) 服务器是通过 AD 组策略配置的。Linux VDA 不支持 AD 组策略,但您可以改为提供以分号分隔的 FAS 服务器的列表。顺序必须与在 AD 组策略中配置的顺序相同。如果删除了任何服务器地址,请使用 <none> 文本字符串填充其空白,并且不要修改服务器地址的顺序。要与 FAS 服务器正确通信,请确保附加的端口号与在 FAS 服务器上指定的端口号一致,例如 CTX_XDL_FAS_LIST=’fas_server_1_url:port_number; fas_server_2_url: port_number; fas_server_3_url: port_number’。
  • CTX_XDL_DOTNET_ RUNTIME_PATH=path-to-install-dotnet-runtime - 安装 .NET Runtime 6.0 以支持新的 Broker 代理服务 (ctxvda) 的路径。默认路径为 /usr/bin。
  • CTX_XDL_DESKTOP _ENVIRONMENT=gnome/gnome-classic/mate – 指定要在会话中使用的 GNOME 、GNOME Classic 或 MATE 桌面环境。如果未指定变量,则使用 VDA 上当前安装的桌面。但是,如果当前安装的桌面为 MATE,则必须将变量值设置为 mate

    还可以通过完成以下步骤来更改目标会话用户的桌面环境:

    1. 在 VDA 上的 $HOME/<username> 目录下创建一个 .xsession 文件。
    2. 编辑 .xsession 文件以根据发行版指定桌面环境。

      • 适用于 SUSE 15 上的 MATE 桌面

         MSESSION="$(type -p mate-session)"  
         if [ -n "$MSESSION" ]; then  
           exec mate-session  
         fi  
        
      • 适用于 SUSE 15 上的 GNOME Classic 桌面

         GSESSION="$(type -p gnome-session)"  
         if [ -n "$GSESSION" ]; then  
         export GNOME_SHELL_SESSION_MODE=classic  
         exec gnome-session --session=gnome-classic  
         fi
        
      • 适用于 SUSE 15 上的 GNOME 桌面

         GSESSION="$(type -p gnome-session)"  
         if [ -n "$GSESSION" ]; then  
         exec gnome-session  
         fi  
        
    3. 与目标会话用户共享 700 文件权限。
  • CTX_XDL_START_SERVICE=Y | N – 在完成 Linux VDA 配置后,是否启动 Linux VDA 服务。默认情况下设置为 Y。
  • CTX_XDL_TELEMETRY_SOCKET_PORT - 用于侦听 Citrix Scout 的套接字端口。默认端口为 7503。
  • CTX_XDL_TELEMETRY_PORT - 用于与 Citrix Scout 通信的端口。默认端口为 7502。

设置环境变量并运行配置脚本:

export CTX_XDL_SUPPORT_DDC_AS_CNAME=Y|N

export CTX_XDL_DDC_LIST='list-ddc-fqdns'

export CTX_XDL_VDA_PORT=port-number

export CTX_XDL_REGISTER_SERVICE=Y|N

export CTX_XDL_ADD_FIREWALL_RULES=Y|N

export CTX_XDL_AD_INTEGRATION=1|2|3|4

export CTX_XDL_HDX_3D_PRO=Y|N

export CTX_XDL_VDI_MODE=Y|N

export CTX_XDL_SITE_NAME=dns-site-name | '<none>'

export CTX_XDL_LDAP_LIST='list-ldap-servers' | '<none>'

export CTX_XDL_SEARCH_BASE=search-base-set | '<none>'

export CTX_XDL_FAS_LIST='list-fas-servers' | '<none>'

export CTX_XDL_DOTNET_RUNTIME_PATH=path-to-install-dotnet-runtime

export CTX_XDL_DESKTOP_ENVIRONMENT= gnome | gnome-classic | mate | '<none>'

export CTX_XDL_TELEMETRY_SOCKET_PORT=port-number

export CTX_XDL_TELEMETRY_PORT=port-number

export CTX_XDL_START_SERVICE=Y|N

sudo -E /opt/Citrix/VDA/sbin/ctxsetup.sh
<!--NeedCopy-->

运行 sudo 命令时,键入 -E 选项以将现有环境变量传递给它创建的新 shell。我们建议您使用前面的命令并加上 #!/bin/bash 作为第一行来创建 shell 脚本文件。

另外,您可以使用单个命令指定所有参数:

sudo CTX_XDL_SUPPORT_DDC_AS_CNAME=Y|N \

CTX_XDL_DDC_LIST='list-ddc-fqdns' \

CTX_XDL_VDA_PORT=port-number \

CTX_XDL_REGISTER_SERVICE=Y|N \

CTX_XDL_ADD_FIREWALL_RULES=Y|N \

CTX_XDL_AD_INTEGRATION=1|2|3|4 \

CTX_XDL_HDX_3D_PRO=Y|N \

CTX_XDL_VDI_MODE=Y|N \

CTX_XDL_SITE_NAME=dns-name \

CTX_XDL_LDAP_LIST='list-ldap-servers' \

CTX_XDL_SEARCH_BASE=search-base-set \

CTX_XDL_FAS_LIST='list-fas-servers' \

CTX_XDL_DOTNET_RUNTIME_PATH=path-to-install-dotnet-runtime \

CTX_XDL_DESKTOP_ENVIRONMENT=gnome|gnome-classic|mate \

CTX_XDL_TELEMETRY_SOCKET_PORT=port-number \

CTX_XDL_TELEMETRY_PORT=port-number \

CTX_XDL_START_SERVICE=Y|N \

/opt/Citrix/VDA/sbin/ctxsetup.sh
<!--NeedCopy-->

删除配置更改

在某些情形下,您可能需要删除 ctxsetup.sh 脚本对配置所做的更改,但不卸载 Linux VDA 软件包。

继续操作前,请查看此脚本的帮助信息:

sudo /usr/local/sbin/ctxcleanup.sh --help
<!--NeedCopy-->

删除配置更改:

sudo /usr/local/sbin/ctxcleanup.sh
<!--NeedCopy-->

重要:

此脚本会从数据库删除所有配置数据,从而使 Linux VDA 无法使用。

配置日志

ctxsetup.shctxcleanup.sh 脚本会在控制台上显示错误,并将其他信息写入配置日志文件:

/tmp/xdl.configure.log

重新启动 Linux VDA 服务,确保更改生效。

步骤 9:运行 XDPing

请运行 sudo /opt/Citrix/VDA/bin/xdping 以检查 Linux VDA 环境存在的常见配置问题。有关详细信息,请参阅 XDPing

步骤 10:运行 Linux VDA

使用 ctxsetup.sh 脚本配置 Linux VDA 后,可以运行以下命令来控制 Linux VDA。

启动 Linux VDA:

启动 Linux VDA 服务:

sudo /sbin/service ctxhdx start

sudo /sbin/service ctxvda start
<!--NeedCopy-->

停止 Linux VDA:

停止 Linux VDA 服务:

sudo /sbin/service ctxvda stop

sudo /sbin/service ctxhdx stop
<!--NeedCopy-->

注意:

在停止 ctxvdactxhdx 服务之前,请运行 service ctxmonitorservice stop 命令以停止监视服务守护程序。否则,监视服务守护程序将重新启动您停止的服务。

重新启动 Linux VDA:

重新启动 Linux VDA 服务:

sudo /sbin/service ctxvda stop

sudo /sbin/service ctxhdx restart

sudo /sbin/service ctxvda start
<!--NeedCopy-->

检查 Linux VDA 状态:

要检查 Linux VDA 服务的运行状态,请执行以下操作:

sudo /sbin/service ctxvda status

sudo /sbin/service ctxhdx status
<!--NeedCopy-->

步骤 11:在 Citrix Virtual Apps 或 Citrix Virtual Desktops 中创建计算机目录

创建计算机目录和添加 Linux VDA 计算机的过程与传统的 Windows VDA 方法类似。有关如何完成这些任务的更加详细的说明,请参阅创建计算机目录管理计算机目录

创建包含 Linux VDA 计算机的计算机目录时会面临一些限制,使得该过程不同于为 Windows VDA 计算机创建计算机目录:

  • 对于操作系统,请选择:
    • 多会话操作系统选项(对于托管共享桌面交付模型)。
    • 单会话操作系统选项(对于 VDI 专用桌面交付模型)。
  • 请勿在同一个计算机目录中混合使用 Linux 和 Windows VDA 计算机。

注意:

早期版本的 Citrix Studio 不支持“Linux 操作系统”的概念。但是,选择 Windows Server 操作系统服务器操作系统选项等同于使用托管共享桌面交付模型。选择 Windows 桌面操作系统桌面操作系统选项等同于使用每计算机一个用户交付模型。

提示:

如果删除计算机后将其重新加入 Active Directory 域,则必须删除计算机,然后将其重新添加到计算机目录。

步骤 12:在 Citrix Virtual Apps 或 Citrix Virtual Desktops 中创建交付组

创建交付组和添加包含 Linux VDA 计算机的计算机目录的过程与 Windows VDA 计算机几乎相同。有关如何完成这些任务的更加详细的说明,请参阅创建交付组

创建含有 Linux VDA 计算机目录的交付组时会面临以下限制:

  • 确保所选的 AD 用户和组已正确配置,可以登录到 Linux VDA 计算机。
  • 请勿允许未经身份验证的(匿名)用户登录。
  • 请勿在交付组中混入含有 Windows 计算机的计算机目录。

重要:

Linux VDA 1.4 及更高版本支持发布应用程序。但是,Linux VDA 不支持将桌面和应用程序交付给相同的计算机。

有关如何创建计算机目录和交付组的信息,请参阅 Citrix Virtual Apps and Desktops 7 2206