Embed Size (px)
Citation preview
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.1https://docs.citrix.com
新機能
Dec 22, 2016
Linux VDAのこのリリースには、以下の新機能や強化された機能が含まれています。
Xauthorityのサポート
このリリースでは、Xauthorityをサポートします。 この機能によって、X Window認証のCookieベースのアクセスがLinux
VDAでサポートされるようになりました。 詳しくは、「Xauthorityの構成」を参照してください。
ヒントXauthorityファイルは、ログオンユーザーのホームディレクトリにあり、Xセッション認証用のxauthで使用される資格情報をCookie
に保存するために使用されます。 Xセッションが起動されると、このCookieは特定のディスプレイへの接続を認証するために使用さ
れます。
IPv6のサポート
このリリースでは、IPv6をサポートします。 これによって、128ビットアドレス処理スキーマがLinux VDAに拡張されるようになりました。 詳しくは、「IPv6の構成」を参照してください。
LDAPSのサポート
セキュリティで保護されたLDAP(LDAPS)のサポートは、Linux VDAのこのバージョンでサポートされています。 これによって、Active Directory管理対象ドメインにSSL(Secure Socket Layer)/TLS(Transport Layer Security)経由のセキュリティ保護されたLightweight Directory Access Protocolの通信を提供できます。 詳しくは、「LDAPSの構成」を参照してください。
注意LDAPSを使用する場合は、有効な証明書を取得してから、セキュリティで保護されたLDAPを有効にする必要があります。 セキュリティで保護されたLDAP証明書を使用する場合は、次のガイドラインを考慮してください。
証明書は、ドメインへの接続に使用するLinux VDAが信頼する証明機関で発行されている必要があります。 この機関は、会社の証明機関か、Linux VDAを実行するデバイスが信頼する公な機関です。証明書は、長期間有効である必要があります。 原則は、期限切れによる不必要な中断を避けるために、3~6か月間有効な証明書です。ベストプラクティスでは、管理対象ドメインで証明書のサブジェクト名にワイルドカードを使用します。 たとえば、ドメイン名が「mydomain.com」であれば、証明書のサブジェクト名は「*mydomain.com」にする必要があります。 また、このワイルドカード名にDNS名を設定します。セキュリティで保護されたLDAP証明書は、デジタル署名とキーの暗号化で構成されている必要があります。証明書は、SSLサーバー認証で有効である必要があります。
SSSDのドメイン参加
Linux VDAのこのリリースでは、Linuxマシンのドメイン参加にSSSDを使用できます。 この機能では、Winbindを使用する現在の手法(およびその他の手法)と異なり、違うIDや認証プロバイダーにアクセスできます。
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.2https://docs.citrix.com
SSSDはシステムデーモンです。主な機能は、キャッシュとオフラインサポートを提供する共通フレームワークを通じて、リモートリソースの識別および認証へのアクセスを提供することです。 PAMおよびNSSモジュールの両方を提供します。 詳しくは、「SSSD for RHELの構成」および「SSSD for Ubuntuの構成」を参照してください。
Ubuntu 16.04のサポート
Linux VDAのこのバージョンは、Ubuntu 16.04を実行するシステムをサポートするようになりました。
Ubuntu Linux 16.04サーバーUbuntu Linux 16.04デスクトップ
NIS統合
Linux VDAの以前のリリースでは、NIS(Network Information Service)とActive Directoryの統合は、実験的な機能とみなされていました。 このリリースでは、NISはIDプロバイダーとしてサポートされています。 詳しくは、「NISとActive Directory
の統合」を参照してください。
シームレスな公開アプリケーション
このリリースでは、RHEL/CentOS 7.2にシームレスアプリケーションのTechnical Previewが追加されました。 この機能を使用するのに特別なインストール手順は不要です。 詳しくは、「アプリケーションの公開」を参照してください。
簡単インストール
簡単インストールは、Technical Previewの機能です。 必要なパッケージをインストールし、必要なパッケージをインストールして、構成ファイルを自動的にカスタマイズすることで、Linux VDAの実行環境をセットアップできます。 詳しくは、「簡単インストールの使用」を参照してください。
依存関係の変更
Ubuntu Linuxは、Linux VDAの新しいディストリビューションです。 SLES 11で、Gnomeセッションとの依存関係が削除されました。
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.3https://docs.citrix.com
解決された問題
Dec 22, 2016
このリリースのLinux VDAでは、次の問題が解決されています。
ログイン中Linux VDAがログオフするUmaskの値は022(デフォルト値)から特別な要求の027に変更されました。 この変更によって、新しく作成されたファイルの読み取り権限が限定され、Xclientファイルがセッションの起動時に使用されないようにします。
[LC6115]
Linux VDAを起動できないユーザーが別の実行可能なXhostファイルをVDAサーバーに配置し、場所もPATH変数である場合、誤ったXhostファイルがセッションの起動時に呼び出されます。
[LC6017]
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.4https://docs.citrix.com
既知の問題
Dec 22, 2016
このリリースでは、次の問題が確認されています。
Linux Virtual Delivery Agent(Linux VDA 1.4以降)で、VDAのバージョンが英語版ではない場合、XenAppおよびXenDesktop
7.12ブローカーに登録できません。 この問題を解決するには、Linux VDA 7.12を使用します。
Ubuntuグラフィックスグラフィックス
HDX 3D Proで、デスクトップビューワをサイズ変更した後、アプリケーションの周囲に黒い枠が表示されたり、背景が黒く表示される場合があります。
印刷印刷
Linux VDA印刷リダイレクトで作成されたプリンターは、セッションからログアウト後、削除されることがあります。
ディレクトリにファイルやサブディレクトリが多数含まれていると、ディレクトリにファイルやサブディレクトリが多数含まれていると、CDMファイルが見つからないファイルが見つからない
クライアント側のファイルやディレクトリが非常に多い場合、この問題が生じることがあります。 この問題はWindows
Receiverのみに限られます。
UTF-8エンコードのサポートエンコードのサポート
このリリースでは、英語以外の言語にはUTF-8エンコードのみがサポートされます。
クライアント側のクライアント側のIMEのサポートのサポート
Linux VDAはクライアント側のIMEをサポートしていません。
東アジア言語の文字の入力東アジア言語の文字の入力
Linux VDAは、東アジア言語の文字の入力をサポートしていません。
セッションのローミング時、セッションのローミング時、Citrix Receiver for AndroidででCaps Lock状態が反対になる場合がある状態が反対になる場合がある
Citrix Receiver for Androidへの既存の接続をローミングすると、Caps Lock状態が失われる場合があります。 回避策として、拡張キーボードのShiftキーを使用して大文字と小文字を切り替えます。
Citrix Receiver for Macを使用してを使用してLinux VDAに接続している場合、に接続している場合、altキーを使用するショートカットキーが常に機能するキーを使用するショートカットキーが常に機能するとは限らないとは限らない
Citrix Receiver for Macでは、左右どちらのoption/altキーを押しても、デフォルトではAltGrが送信されます。 Citrix Receiver
の設定でこれを変更することはできますが、結果はアプリケーションによって変わります。
XenDesktop Version 7.1ののDelivery Controllerと共にと共にLinux VDAを使用すると、セッションの起動に時間がかかる場合があを使用すると、セッションの起動に時間がかかる場合があるる
起動が遅くなる原因は、Version 7.1のDelivery Controllerによって生成されたICAファイルにCommon Gateway Protocol設定が存在するためです。 この設定が存在すると、Citrix ReceiverはTCPポート2598で接続を確立しようとします。 SLED 12など一部のLinuxディストリビューションでは、デフォルトのファイアウォール設定でTCP SYNパケットをドロップするため、タイムアウトが発生してセッションの起動に時間がかかります。 回避策として、TCPポート2598でTCP SYNを拒否するように、Linux VDAでファイアウォールを構成します。 この問題は、新しいバージョンのDelivery Controllerでは解決済みです。
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.5https://docs.citrix.com
Linux VDAをドメインに再度追加するときに、登録に失敗するをドメインに再度追加するときに、登録に失敗する
特定の状況で、Linux VDAがドメインに再度追加されて、Kerberosキーの新しいセットが生成されると、ブローカーがVDAとのセキュリティコンテキストの確立に失敗します。 多くの場合、この問題は、Kerberosキーの以前のセットに基づいた期限切れのVDAサービスチケットがキャッシュに存在し、それをブローカーが使用することが原因で発生します。 この問題によって、VDAがブローカーへの接続を停止することはありませんが、ブローカーはVDAに返すセキュリティコンテキストを確立できません。 通常見られる現象は、VDA登録の失敗です。
この問題は、VDAサービスチケットが最終的に期限切れとなって更新されると自動的に解決しますが、サービスチケットは通常、長時間有効です。 これには、時間がかかる可能性があります。
解決策として、ブローカーのチケットキャッシュをクリアします。 ブローカーを再起動するか、管理者としてコマンドプロンプトからブローカーで次のコマンドを実行します。
klist -li 0x3e4 purge
このコマンドにより、Citrix Broker Serviceを実行するNetwork ServiceプリンシパルがLSAキャッシュに保持するサービスチケットはすべて削除されます。 これにより、ほかのVDAのサービスチケットが削除されます。また、その他のサービスのサービスチケットも削除される可能性があります。 ただし、この処理は悪影響を及ぼしません。これらのサービスチケットは、再度必要になったときにKDCから再取得されます。
オーディオプラグアンドプレイがサポートされないオーディオプラグアンドプレイがサポートされない
ICAセッションでオーディオの録音を開始する前に、オーディオキャプチャデバイスをクライアントマシンに接続することをお勧めします。 オーディオ録音アプリケーションの開始後にデバイスを接続した場合は、アプリケーションが応答しなくなる可能性があります。 この問題が発生した場合は、アプリケーションを再起動してください。 録音中にキャプチャデバイスが取り外されると、同様の問題が発生する可能性があります。
オーディオの歪みオーディオの歪み
Windows 10 Receiverでは、オーディオ録音中にオーディオが歪む場合があります。
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.6https://docs.citrix.com
Linux VDAのこのリリースには、次のドキュメントで定義された条件の下でライセンスが有効になったサードパーティのソフトウェアが含まれている可能性があります。
サードパーティ製品についての通知
Dec 22, 2016
Linux Virtual Desktopバージョン7.12
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.7https://docs.citrix.com
システム要件
Dec 22, 2016
Linuxディストリビューション
Linux VDAでは、次のLinuxディストリビューションがサポートされます。
SUSE Linux Enterprise
Desktop 12 Service Pack 1
Server 11 Service Pack 4
Server 12 Service Pack 1
Red Hat Enterprise Linux
Workstation 6.8
Workstation 7.2
Server 6.8
Server 7.2
CentOS Linux
CentOS 6.8
CentOS 7.2
Ubuntu Linux
Ubuntu Desktop 16.04
Ubuntu Server 16.04
注意すべての場合で、サポートされるプロセッサーアーキテクチャはx86-64です。
ImportantSUSE、RedHat、CentOSでGnomeおよびKDEデスクトップがサポートされます。 Unityデスクトップは、Ubuntuでのみサポートされ
ます。 1 つまたは複数のデスクトップをインストールする必要があります。
ヒントCentOS Linuxはバージョン1.3以降でサポートされます。 RHELのトピックに記載されているインストールに関する情報は、CentOS
にも適用できます。 詳しくは、「Linux Virtual Delivery Agent for RHELのインストール」を参照してください。
XenDesktop
Linux VDAでは、次のバージョンのXenDesktopがサポートされます。
XenDesktop 7.1
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.8https://docs.citrix.com
XenDesktop 7.5
XenDesktop 7.6
XenDesktop 7.7
XenDesktop 7.8
XenDesktop 7.9
XenDesktop 7.11
XenDesktop 7.12
Linux VDAの構成手順はWindows VDAの場合と多少異なります。 ただし、Delivery ControllerファームはWindowsデスクトップとLinuxデスクトップを両方とも仲介できます。
注意Linux VDAは、XenDesktop Version 7.0以前には対応していません。
Citrix Receiver
次のバージョンのCitrix Receiverがサポートされます。
Citrix Receiver for Windows(4.5以降)Citrix Receiver for Linux(13.4以降)Citrix Receiver for Mac OSX(12.3以降)Citrix Receiver for Android(3.9以降)Citrix Receiver for iOS(7.1以降)Citrix Receiver for Chrome Version 2.2(Access Gateway経由でのみサポート)Citrix Receiver for HTML5 Version 2.2(Access Gateway経由でのみサポート)
ハイパーバイザー
Linux VDAゲスト仮想マシンをホストする次のハイパーバイザーがサポートされます。
XenServer
VMware ESXおよびESXi
Microsoft Hyper-V
ベアメタルホスティングもサポートされます。
ヒントサポートされるプラットフォームの一覧については、ハイパーバイザーのベンダーのドキュメントを参照してください。
Active Directory統合パッケージ
Linux VDAでは、次のActive Directory統合パッケージまたは製品がサポートされます。
Samba Winbind
Quest Authentication Services v4.1以降
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.9https://docs.citrix.com
Centrify DirectControl
SSSD
ヒントサポートされるプラットフォームの一覧については、Active Directory統合パッケージのベンダーのドキュメントを参照してくださ
い。
HDX 3D Pro
HDX 3D Proをサポートするには、以下のハイパーバイザー、Linuxディストリビューション、およびNVIDIA GRID™ GPUが必要です。
ハイパーバイザー
以下のハイパーバイザーがサポートされます。
XenServer
VMware ESXおよびESXi
Linuxディストリビューション
HDX 3D Proでは、以下のLinuxディストリビューションがサポートされます。
Red Hat Enterprise Linux - Workstation 6.8
Red Hat Enterprise Linux - Server 6.8
Red Hat Enterprise Linux - Workstation 7.2
Red Hat Enterprise Linux - Server 7.2
CentOS Linux 6.8
CentOS Linux 7.2
SUSE Linux Enterprise Desktop 12 Service Pack 1
SUSE Linux Enterprise Server 12 Service Pack 1
Ubuntu Linux Desktop 16.04
Ubuntu Linux Server 16.04
GPU
以下のGPUがGPUパススルーとしてサポートされます。
NVIDIA GRID™ 3.0 - Tesla M60
NVIDIA GRID™ - K2
以下のGPUがvGPUとしてサポートされます。
NVIDIA GRID™ 3.0 - Tesla M60
NVIDIA GRID™ 3.0 - Tesla M10
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.10https://docs.citrix.com
Delivery Controllerの構成
Dec 22, 2016
XenDesktop 7.6以前のバージョンには、Linux VDAのサポートに必要な変更を加える必要があります。 そのため、XenDesktopのこれらのバージョンで、Hotfixまたはアップデートスクリプトが必要です。 これらのインストールと確認について、このセクションで説明しています。
Delivery Controller構成の更新
XenDesktop 7.6 SP2の場合、Hotfix Update 2を適用して、Linux Virtual Desktop用のブローカーを更新します。 Hotfixes
Update 2は、以下から入手できます。
CTX142438:Hotfixes Update 2 - Delivery Controller 7.6(32ビット)用 – 英語CTX142439:Hotfixes Update 2 - Delivery Controller 7.6(64ビット)用 – 英語
XenDesktopの以前のバージョンに対しては、ブローカーサービスの構成を更新するUpdate-BrokerServiceConfig.ps1という名前のPowerShellスクリプトが提供されています。 これは次のパッケージから入手できます。
citrix-linuxvda-scripts.zip
次の手順をサーバーファーム内の各Delivery Controllerで繰り返します。
1. Update-BrokerServiceConfig.ps1スクリプトをDelivery Controllerマシンにコピーします。2. ローカル管理者のコンテキストでWindows PowerShellコンソールを開きます。3. スクリプトを含むフォルダーを参照します。4. 次のスクリプトを実行します。
.\Update-BrokerServiceConfig.ps1
ヒントデフォルトでは、PowerShellはPowerShellスクリプトを実行できないように構成されています。 スクリプトの実行に失敗する場合
は、再試行する前にPowerShell実行ポリシーの変更が必要な場合があります。
Set-ExecutionPolicy Unrestricted
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.11https://docs.citrix.com
Update-BrokerServiceConfig.ps1スクリプトを実行すると、Linux VDAに必要とされる新しいWCFエンドポイントでブローカーサービス構成ファイルが更新され、ブローカーサービスが再起動します。 このスクリプトでは、自動的にブローカーサービス構成ファイルの場所が特定されます。 元の構成ファイルのバックアップが、.prelinuxという拡張子で同じディレクトリに作成されます。
これらの変更は、同じDelivery Controllerファームを使用するように構成されたWindows VDAの仲介には影響しません。 このことにより、単一のControllerファームがWindows VDAおよびLinux VDAの両方とのセッションをシームレスに管理し、仲介できます。
Delivery Controller構成の確認
必要な構成変更がDelivery Controllerに適用されているかどうかを確認するには、次のファイル中にstringEndpointLinuxが5
回出現していることを確認します。
%PROGRAMFILES%\Citrix\Broker\Service\BrokerService.exe.config
Windowsコマンドプロンプトで、ローカル管理者としてログオンし、次の操作を行います。
cd "%PROGRAMFILES%"\Citrix\Broker\Service\
findstr EndpointLinux BrokerService.exe.config
ファイル コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.12https://docs.citrix.com
インストールの概要
Dec 22, 2016
Linux Virtual Delivery Agent(VDA)のインストールは、サポートされるすべてのLinuxディストリビューションと同じ手順を使用します。
1. インストールの準備。2. ハイパーバイザーの準備。3. WindowsドメインへのLinux仮想マシン(VM)の追加。4. Linux VDAのインストール。5. Linux VDAの構成。6. XenAppまたはXenDesktopでマシンカタログを作成7. XenAppまたはXenDesktopでデリバリーグループを作成
バリエーションと特定のコマンドは、ディストリビューションごとに記載されています。
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.13https://docs.citrix.com
簡単インストール
Dec 22, 2016
簡単インストール機能は、必要なパッケージをインストールして、構成ファイルを自動的にカスタマイズすることで、Linux
VDAの実行環境をセットアップできます。
Important簡単インストール機能は、Technical Preview版で提供する機能です。 次の制限事項に注意してください。
サポートは、以下のディストリビューションに限定されます。RHEL 6.8、7.2
CentOS 6.8、7.2
Ubuntu 16.04
WinbindおよびSSSD ADの統合がサポートされています。
簡単インストールの使用
この機能を使用するには、次の手順を実行します。
1. インストールに必要な情報を収集します。2. デスクトップおよびX Windowsシステムをインストールして、Linux VDAサーバーでパッケージリポジトリを構成します。3. Linux VDAパッケージをインストールします。4. Linux VDAのRuntime Environmentをセットアップします。
手順1:情報の収集
次の情報を収集します。
ホスト名 – Linux VDAホスト名 DNSサーバーのIPアドレス NTPサーバーのIPアドレスまたは名前 ドメイン名 レルム名 ドメインコントローラーのFQDN
手順2:コンポーネントのインストールとリポジトリの構成
必要なシステム情報を収集してから、デスクトップおよびX Windowsシステムをインストールして、Linux VDAマシンでパッケージリポジトリを構成します。
手順3:Linux VDAパッケージのインストール
次のコマンドを実行して、Linux VDAの環境をセットアップします。
RHELおよびCentOSディストリビューション
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.14https://docs.citrix.com
sudo yum -y localinstall <PATH>/<Linux VDA RPM>
Ubuntuディストリビューション
sudo apt-get install <PATH>/<Linux VDA deb>
手順4:Linux VDAのランタイム環境のセットアップ「
次のコマンドを実行して、Linux VDAの実行環境をセットアップします。
sudo /opt/Citrix/VDA/sbin/ctxinstall.sh
トラブルシューティング
このセクションの情報を参照して、この機能を使用することで発生する可能性のある問題のトラブルシューティングを実行できます。
SSSDでドメインに参加する場合のエラー
ドメインに参加しようとすると、次のような出力のエラー状態が発生することがあります(画面印刷のログを確認する)。
Step 6: join Domain!Enter ctxadmin's password:Failed to join domain: failed to lookup DC info for domain 'CITRIXLAB.LOCAL' over rpc: The network name cannot be found
/var/log/xd/vda.log:
-command コピー
-command コピー
-command コピー
-output コピー
-output コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.15https://docs.citrix.com
http://CTXDDC.citrixlab.local:80/Citrix/CdsController/IRegistrar
http://CTXDDC.citrixlab.local:80/Citrix/CdsController/IRegistrar
javax.xml.ws.soap.SOAPFaultException'.
/var/log/messages:
MEMORY:/etc/krb5.keytab]: Client '[email protected]' not found in Kerberos database. Unable to create GSSAPI-encrypted LDAP connection.Nov 4 02:15:27 RH-WS-68 [sssd[ldap_child[14867]]]: Client '[email protected]' not found in Kerberos database
2016-11-04 02:11:52.317 [INFO ] - The Citrix Desktop Service successfully obtained the following list of 1 delivery controller(s) with which to register: 'CTXDDC.citrixlab.local (10.158.139.214)'.
2016-11-04 02:11:52.362 [ERROR] - RegistrationManager.AttemptRegistrationWithSingleDdc: Failed to register with
2016-11-04 02:11:52.362 [ERROR] - The Citrix Desktop Service cannot connect to the delivery controller '
Check the following:- The system clock is in sync between this machine and the delivery controller.
- The Active Directory provider (e.g. winbind daemon) service is running and correctly configured.
- Kerberos is correctly configured on this machine.
If the problem persists, please refer to Citrix Knowledge Base article CTX117248 for further information.
Error Details:
Exception 'General security error (An error occurred in trying to obtain a TGT: Client not found in Kerberos database (6))' of type 'class
2016-11-04 02:11:52.362 [INFO ] - RegistrationManager.AttemptRegistrationWithSingleDdc: The current time for this VDA is Fri Nov 04 02:11:52 EDT 2016.
Ensure that the system clock is in sync between this machine and the delivery controller.
Verify the NTP daemon is running on this machine and is correctly configured.
2016-11-04 02:11:52.364 [ERROR] - Could not register with any controllers. Waiting to try again in 120000 ms. Multi-forest - false
2016-11-04 02:11:52.365 [INFO ] - The Citrix Desktop Service failed to register with any controllers in the last 470 minutes.
-command コピー
Nov 4 02:15:27 RH-WS-68 [sssd[ldap_child[14867]]]: Failed to initialize credentials using keytab [
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.16https://docs.citrix.com
この問題を解決するには、次の手順に従います。
1. rm -f /etc/krb5.keytab
2. net ads leave $REALM -U $domain-administrator
3. DDCでマシンカタログおよびデリバリーグループを削除します。4. DDCでマシンカタログおよびデリバリーグループを作成する/opt/Citrix/VDA/sbin/ctxinstall.shを実行します。
Ubuntuはセッションを起動できるが、空のデスクトップでブロックされる
セッションを起動すると、空のデスクトップでブロックされる問題が発生します。 また、ドメイン管理者の資格情報でログインすると、サーバーOSマシンのコンソールが同じ状態で表示されます。
この問題を解決するには、次の手順に従います。
1. sudo apt-get install unity lightdm
2. sudo apt-get update
3. /etc/lightdm/lightdm.confに以下の行を追加します。greeter-show-manual-login=true
Ubuntuはセッションを起動するが、ホームディレクトリがないためログインできない
/var/log/xdl/hdx.log:
ヒントこの問題の根本原因は、ドメイン管理者のホームディレクトリが作成されていないことです。
この問題を解決するには、次の手順に従います。
1. コマンドラインで、pam-auth-updateを入力します。
2. 表示されたポップアップウィンドウで、[[Create home directory login]]が選択されているかを確認します。
-command コピー
2016-11-02 13:21:19.015 <P22492:S1> citrix-ctxlogin: StartUserSession: failed to change to directory(/home/CITRIXLAB/ctxadmin) errno(2)
2016-11-02 13:21:19.017 <P22227> citrix-ctxhdx: logSessionEvent: Session started for user ctxadmin.
2016-11-02 13:21:19.023 <P22492:S1> citrix-ctxlogin: ChildPipeCallback: Login Process died: normal.
2016-11-02 13:21:59.217 <P22449:S1> citrix-ctxgfx: main: Exiting normally.
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.17https://docs.citrix.com
セッションが起動できないか、dbus/message busエラーですぐに停止する
/var/log/messages(RHELまたはCentOSの場合)
Ubuntoディストリビューションの場合は、log /var/log/syslogを使用
-command コピー
Oct 27 04:17:16 CentOS7 citrix-ctxhdx[8978]: Session started for user CITRIXLAB\ctxadmin.
Oct 27 04:17:18 CentOS7 kernel: traps: gnome-session[19146] trap int3 ip:7f89b3bde8d3 sp:7fff8c3409d0 error:0
Oct 27 04:17:18 CentOS7 gnome-session[19146]: ERROR: Failed to connect to system bus: Exhausted all available authentication mechanisms (tried: EXTERNAL, DBUS_COOKIE_SHA1, ANONYMOUS) (available: EXTERNAL, DBUS_COOKIE_SHA1, ANONYMOUS)#012aborting...
Oct 27 04:17:18 CentOS7 gnome-session: gnome-session[19146]: ERROR: Failed to connect to system bus: Exhausted all available authentication mechanisms (tried: EXTERNAL, DBUS_COOKIE_SHA1, ANONYMOUS) (available: EXTERNAL, DBUS_COOKIE_SHA1, ANONYMOUS)
Oct 27 04:17:18 CentOS7 gnome-session: aborting...
Oct 27 04:17:18 CentOS7 citrix-ctxgfx[18981]: Exiting normally.
Oct 27 04:17:18 CentOS7 citrix-ctxhdx[8978]: Session stopped for user CITRIXLAB\ctxadmin.
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.18https://docs.citrix.com
グループモジュールによっては、再起動するまで機能しません。 dbusまたはmessage busエラーメッセージがログに表示される場合、システムを再起動して再試行することをお勧めします。
Nov 3 11:03:52 user01-HVM-domU pulseaudio[25326]: [pulseaudio] pid.c: Stale PID file, overwriting.
Nov 3 11:03:52 user01-HVM-domU pulseaudio[25326]: [pulseaudio] bluez5-util.c: Failed to get D-Bus connection: Did not receive a reply. Possible causes include: the remote application did not send a reply, the message bus security policy blocked the reply, the reply timeout expired, or the network connection was broken.
Nov 3 11:03:52 user01-HVM-domU pulseaudio[25326]: [pulseaudio] hashmap.c: Assertion 'h' failed at pulsecore/hashmap.c:116, function pa_hashmap_free(). Aborting.
Nov 3 11:03:52 user01-HVM-domU pulseaudio[25352]: [pulseaudio] core-util.c: Failed to connect to system bus: Did not receive a reply. Possible causes include: the remote application did not send a reply, the message bus security policy blocked the reply, the reply timeout expired, or the network connection was broken.
Nov 3 11:03:52 user01-HVM-domU pulseaudio[25352]: message repeated 10 times: [ [pulseaudio] core-util.c: Failed to connect to system bus: Did not receive a reply. Possible causes include: the remote application did not send a reply, the message bus security policy blocked the reply, the reply timeout expired, or the network connection was broken.]
Nov 3 11:03:52 user01-HVM-domU pulseaudio[25352]: [pulseaudio] pid.c: Daemon already running.Nov 3 11:03:58 user01-HVM-domU citrix-ctxgfx[24693]: Exiting normally
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.19https://docs.citrix.com
Linux Virtual Delivery Agent for RHELのインストール
Dec 22, 2016
手順1:VDAをインストールするRHEL 6/CentOS 6の準備
ネットワーク構成の確認
Citrixは、続行前にネットワークを接続し、適切に構成することをお勧めします。
ホスト名の設定
マシンのホスト名が確実に正しく報告されるようにするには、/etc/hostnameファイルを変更してマシンのホスト名のみを記述します。
HOSTNAME=hostname
ホスト名へのループバックアドレスの割り当て
マシンのDNSドメイン名と完全修飾ドメイン名が確実に正しく報告されるようにするには、/etc/hostsファイルの以下の行を変更し、最初の2つのエントリとして完全修飾ドメイン名とホスト名を記述します。
127.0.0.1 hostname-fqdn hostname localhost localhost.localdomain localhost4 localhost4.localdomain4
次に例を示します。
127.0.0.1 vda01.example.com vda01 localhost localhost.localdomain localhost4 localhost4.localdomain4
ファイルのほかのエントリから、hostname-fqdnまたはhostnameに対するその他の参照を削除します。
注意Linux VDAでは、現在、NetBIOS名の切り捨てをサポートしていません。したがって、ホスト名は15文字以下にしてください。
ヒントa~z、A~Z、0~9、およびハイフン(-)の文字のみ使用してください。 アンダースコア(_)、スペース、およびその他の記号は使
用しないでください。 ホスト名を数字で開始したり、ハイフンで終了したりしないでください。
ホスト名の確認
次のコマンドで、ホスト名が正しく設定されていることを確認します。
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.20https://docs.citrix.com
hostname
これにより、そのマシンの完全修飾ドメイン名(FQDN)ではなく、そのホスト名のみが返されます。
次のコマンドで、完全修飾ドメイン名が正しく設定されていることを確認します。
hostname -f
これにより、そのマシンの完全修飾ドメイン名が返されます。
名前解決とサービス到達可能性の確認
次のコマンドで、完全修飾ドメイン名が解決できることと、ドメインコントローラーとXenDesktop Delivery Controllerからpingに応答があることを確認します。
nslookup domain-controller-fqdn
ping domain-controller-fqdn
nslookup delivery-controller-fqdn
ping delivery-controller-fqdn
完全修飾ドメイン名を解決できない、またはこれらのマシンのいずれかからpingに応答がない場合は、手順を確認してから次に進んでください。
時刻同期の構成(NTP)
VDA、XenDesktopのコントローラー、およびドメインコントローラーの間で正確な時刻同期を維持することは重要です。 仮想マシンとしてLinux VDAをホストすると、時刻が不正確になる問題が発生する可能性があります。 したがって、リモートのタイムサービスを使用して時刻を維持することをお勧めします。
RHEL 6.x以前では、時刻同期にNTPデーモン(ntpd)を使用しています。一方、デフォルトのRHEL 7.x環境では、新しいChronyデーモン(chronyd)を代わりに使用しています。 この2つのサービスの構成と操作手順は類似しています。
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.21https://docs.citrix.com
NTPサービスの構成
rootとして/etc/ntp.confを編集し、次のように各リモートタイムサーバーに対応するサーバーエントリを追加します。
server peer1-fqdn-or-ip-address iburst
server peer2-fqdn-or-ip-address iburst
一般的な環境では、時間はローカルドメインコントローラーから同期する必要があり、公開NTPプールサーバーから直接は同期しません。 ドメインの各Active Directoryドメインコントローラーに対応するサーバーエントリを追加します。
ループバックIPアドレス、localhost、パブリックサーバーの*.pool.ntp.orgエントリなど、一覧にあるその他のserverエントリを削除します。
変更を保存してから、次のコマンドでNTPデーモンを再起動します。
sudo /sbin/service ntpd restart
OpenJDKのインストール
Linux VDAはOpenJDKに依存しています。 Runtime Environmentは、オペレーティングシステムのインストールの一部としてインストールされています。
次のコマンドで正しいバージョンを確認します。
sudo yum info java-1.7.0-openjdk
事前にパッケージされたOpenJDKは、以前のバージョンである可能性があります。 必要に応じて、次のコマンドで最新バージョンに更新します。
config コピー
-command コピー
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.22https://docs.citrix.com
sudo yum -y update java-1.7.0-openjdk
次の行を~/.bashrcファイルに追加して、JAVA_HOME環境変数を設定します。
export JAVA_HOME=/usr/lib/jvm/java
新しいシェルを開き、次のコマンドでJavaのバージョンを確認します。
java –version
ヒント問題を回避するには、必ずOpenJDK Version 1.7.0または1.8.0のいずれかのみをインストールしておきます。 その他のバージョンの
Javaは、システムからすべて削除します。
PostgreSQLのインストール
Linux VDAには、PostgreSQL 8.4以降(RHEL 6の場合)が必要です。
次のパッケージをインストールします。
sudo yum -y install postgresql-server
sudo yum -y install postgresql-jdbc
データベースを初期化し、起動時にサービスが確実に開始されるようにするには、次に示すインストール後の手順が必要です。 これにより、/var/lib/pgsql/dataにデータベースファイルが作成されます。
-command コピー
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.23https://docs.citrix.com
sudo /sbin/service postgresql initdb
PostgreSQLの起動
いずれのバージョンのPostgreSQLでも、次のコマンドで、起動時にサービスを開始する構成と、直ちにサービスを開始する構成を行います。
sudo /sbin/chkconfig postgresql on
sudo /sbin/service postgresql start
次のコマンドを使用して、PostgreSQLのバージョンを確認します。
psql --version
次のようにpsqlコマンドラインユーティリティを使用して、データディレクトリが設定されていることを確認します。
sudo -u postgres psql -c 'show data_directory'
VDAをインストールするRHEL 7/CentOS 7の準備
ネットワーク構成の確認
Citrixは、続行前にネットワークを接続し、適切に構成することをお勧めします。
ホスト名の設定
マシンのホスト名が確実に正しく報告されるようにするには、/etc/hostnameファイルを変更してマシンのホスト名のみを記述します。
-command コピー
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.24https://docs.citrix.com
ホスト名へのループバックアドレスの割り当て
マシンのDNSドメイン名と完全修飾ドメイン名が確実に正しく報告されるようにするには、/etc/hostsファイルの以下の行を変更し、最初の2つのエントリとして完全修飾ドメイン名とホスト名を記述します。
127.0.0.1 hostname-fqdn hostname localhost localhost.localdomain localhost4 localhost4.localdomain4
次に例を示します。
127.0.0.1 vda01.example.com vda01 localhost localhost.localdomain localhost4 localhost4.localdomain4
ファイルのほかのエントリから、hostname-fqdnまたはhostnameに対するその他の参照を削除します。
注意Linux VDAでは、現在、NetBIOS名の切り捨てをサポートしていません。したがって、ホスト名は15文字以下にしてください。
ヒントa~z、A~Z、0~9、およびハイフン(-)の文字のみ使用してください。 アンダースコア(_)、スペース、およびその他の記号は使
用しないでください。 ホスト名を数字で開始したり、ハイフンで終了したりしないでください。
ホスト名の確認
次のコマンドで、ホスト名が正しく設定されていることを確認します。
hostname
これにより、そのマシンの完全修飾ドメイン名(FQDN)ではなく、そのホスト名のみが返されます。
次のコマンドで、完全修飾ドメイン名が正しく設定されていることを確認します。
hostname -f
これにより、そのマシンの完全修飾ドメイン名が返されます。
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.25https://docs.citrix.com
名前解決とサービス到達可能性の確認
次のコマンドで、完全修飾ドメイン名が解決できることと、ドメインコントローラーとXenDesktop Delivery Controllerからpingに応答があることを確認します。
nslookup domain-controller-fqdn
ping domain-controller-fqdn
nslookup delivery-controller-fqdn
ping delivery-controller-fqdn
完全修飾ドメイン名を解決できない、またはこれらのマシンのいずれかからpingに応答がない場合は、手順を確認してから次に進んでください。
時刻同期の構成(NTP)
VDA、XenDesktopのコントローラー、およびドメインコントローラーの間で正確な時刻同期を維持することは重要です。 仮想マシンとしてLinux VDAをホストすると、時刻が不正確になる問題が発生する可能性があります。 したがって、リモートのタイムサービスを使用して時刻を維持することをお勧めします。
RHEL 6.x以前では、時刻同期にNTPデーモン(ntpd)を使用しています。一方、デフォルトのRHEL 7.x環境では、新しいChronyデーモン(chronyd)を代わりに使用しています。 この2つのサービスの構成と操作手順は類似しています。
Chronyサービス
rootとして/etc/chrony.confを編集し、次のように各リモートタイムサーバーに対応するサーバーエントリを追加します。
server peer1-fqdn-or-ip-address iburst
server peer2-fqdn-or-ip-address iburst
一般的な環境では、時間はローカルドメインコントローラーから同期する必要があり、公開NTPプールサーバーから直接は同期しません。 ドメインの各Active Directoryドメインコントローラーに対応するサーバーエントリを追加します。
ループバックIPアドレス、localhost、パブリックサーバーの*.pool.ntp.orgエントリなど、一覧にあるその他のserverエントリを削除します。
変更を保存してから、次のコマンドでChronyデーモンを再起動します。
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.26https://docs.citrix.com
sudo /sbin/service chronyd restart
OpenJDKのインストール
Linux VDAはOpenJDKに依存しています。 Runtime Environmentは、オペレーティングシステムのインストールの一部としてインストールされています。
次のコマンドで正しいバージョンを確認します。
sudo yum info java-1.8.0-openjdk
事前にパッケージされたOpenJDKは、以前のバージョンである可能性があります。 必要に応じて、次のコマンドで最新バージョンに更新します。
sudo yum -y update java-1.8.0-openjdk
次の行を~/.bashrcファイルに追加して、JAVA_HOME環境変数を設定します。
export JAVA_HOME=/usr/lib/jvm/java
新しいシェルを開き、次のコマンドでJavaのバージョンを確認します。
java –version
ヒント問題を回避するには、必ずOpenJDK Version 1.8.0のみをインストールします。 その他のバージョンのJavaは、システムからすべて削
除します。
-command コピー
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.27https://docs.citrix.com
PostgreSQLのインストール
Linux VDAには、RHEL 7にPostgreSQL 9.2以降が必要です。
次のパッケージをインストールします。
sudo yum -y install postgresql-server
sudo yum -y install postgresql-jdbc
データベースを初期化し、起動時にサービスが確実に開始されるようにするには、次に示すインストール後の手順が必要です。 これにより、/var/lib/pgsql/dataにデータベースファイルが作成されます。
sudo postgresql-setup initdb
PostgreSQLの起動
いずれのバージョンのPostgreSQLでも、起動時に開始するサービスを構成します。 直ちに開始するには、以下のコマンドを使用します。
sudo systemctl start postgresql
sudo systemctl enable postgresql
次のコマンドを使用して、PostgreSQLのバージョンを確認します。
psql --version
-command コピー
-command コピー
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.28https://docs.citrix.com
次のようにpsqlコマンドラインユーティリティを使用して、データディレクトリが設定されていることを確認します。
sudo -u postgres psql -c 'show data_directory'
手順2:ハイパーバイザーの準備
サポートされるハイパーバイザー上で仮想マシンとしてLinux VDAを実行する場合、いくつかの変更が必要です。 使用するハイパーバイザーのプラットフォームに合わせて、次の変更を行います。 ベアメタルハードウェアでLinuxマシンを実行する場合、変更は必要ありません。
Citrix XenServerでの時間同期の修正
XenServerの時間同期機能が有効な場合、それぞれの準仮想化Linux仮想マシンで、NTPとXenServerの両方がシステムの時刻を管理しようとすることが原因となり問題が発生します。 システムの時刻とほかのサーバーの時刻との同期が失われるのを防ぐには、各Linuxゲストのシステムの時刻がNTPと同期する必要があります。 この状態にするには、ホストの時間同期を無効にする必要があります。 HVMモードでは、変更は必要ありません。
一部のLinuxディストリビューションでは、XenServer Toolsをインストールした状態で準仮想化Linuxカーネルを実行すると、XenServerの時間同期機能が存在し有効になっているかどうかをLinux仮想マシンから次のようにして確認できます。
su -
cat /proc/sys/xen/independent_wallclock
これにより、次のいずれかが返されます。
0 - 時間同期機能が有効となっていて、無効にする必要があります。1 - 時間同期機能が無効となっていて、これ以上の操作は必要ありません。
/proc/sys/xen/indepent_wallclockファイルが存在しない場合、以降の手順は不要です。
時間同期機能が有効な場合は、次のようにしてファイルに1を書き込んで無効にします。
sudo echo 1 > /proc/sys/xen/independent_wallclock
-command コピー
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.29https://docs.citrix.com
この変更を永続化し、再起動後も保持するには、/etc/sysctl.confファイルを編集して、次の行を追加します。
xen.independent_wallclock = 1
これらの変更を確認するため、次のようにしてシステムを再起動します。
su -
cat /proc/sys/xen/independent_wallclock
これにより、値1が返されます。
Microsoft Hyper-Vでの時間同期の修正
Hyper-V Linux統合サービスがインストールされたLinux仮想ホストでは、Hyper-Vの時間同期機能を活用してホストオペレーティングシステムの時間を利用できます。 システムの時刻を正確な状態で維持するには、NTPサービスと共にこの機能を有効にする必要があります。
管理オペレーティングシステムで、次の操作を行います。
1. Hyper-Vマネージャーコンソールを開きます。
2. Linux仮想マシンの設定で、[統合サービス][統合サービス]を選択します。
3. [時刻の同期][時刻の同期]が選択されていることを確認します。
注意この方法はVMwareおよびXenServerの場合とは異なります。VMwareおよびXenServerでは、NTPとの競合を避けるためにホストの時
間同期を無効にします。 Hyper-Vの時間同期は、NTPと共存し、NTPの時間同期を補完することができます。
ESXおよびESXiでの時間同期の修正
VMwareの時間同期機能が有効な場合、それぞれの準仮想化Linux仮想マシンで、NTPとハイパーバイザーの両方がシステムの時刻を同期しようとすることが原因となり問題が発生します。 システムの時刻とほかのサーバーの時刻との同期が失われるのを防ぐには、各Linuxゲストのシステムの時刻がNTPと同期する必要があります。 この状態にするには、ホストの時間同期を無効にする必要があります。
VMware Toolsをインストールした状態で準仮想化Linuxカーネルを実行している場合は、次の操作を行います。
config コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.30https://docs.citrix.com
1. vSphere Clientを開きます。2. Linux仮想マシンの設定を編集します。3. [仮想マシンのプロパティ][仮想マシンのプロパティ]ダイアログボックスで、[オプション][オプション]タブをクリックします。4. [[VMware Tools]]を選択します。5. [詳細]ボックスで、[ホストとゲスト時間を同期][ホストとゲスト時間を同期]チェックボックスをオフにします。
手順3:WindowsドメインへのLinux仮想マシン(VM)の追加
Linux用のXenDesktopでサポートされるLinuxマシンをActive Directoryドメインに追加する方法は、以下のように複数あります。
Samba Winbind
Quest Authentication Services
Centrify DirectControl
選択した方法に応じて、以下の手順に従います。
Samba Winbind
次のようにして、必要なパッケージをインストールまたは更新します。
sudo yum -y install samba-winbind samba-winbind-clients krb5-workstation authconfig oddjob-mkhomedir
起動時に起動時にWinbindデーモンが開始するようにするデーモンが開始するようにする
次のコマンドで、起動時にWinbindデーモンが開始するように構成する必要があります。
sudo /sbin/chkconfig winbind on
Winbind認証の構成認証の構成
次のようにして、Winbindを使用したKerberos認証用にマシンを構成します。
sudo authconfig --disablecache --disablesssd --disablesssdauth --enablewinbind --enablewinbindauth --disablewinbindoffline --smbsecurity=ads --smbworkgroup=
-command コピー
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.31https://docs.citrix.com
ここで、REALMは大文字のKerberosレルム名で、domainはActive Directoryドメインの短いNetBIOS名です。
KDCサーバーおよびレルム名をDNSベースで参照する必要がある場合は、次の2つのオプションを上記のコマンドに追加します。
--enablekrb5kdcdns --enablekrb5realmdns
authconfigコマンドから返される、開始に失敗したwinbindサービスに関するエラーは無視します。 これらのエラーは、マシンがドメインにまだ参加していない状態でauthconfigがwinbindサービスを開始しようとすることが原因で発生します。
/etc/samba/smb.confを開いて、[Global]セクションに次のエントリを追加します。ただし、追加するのは、authconfigツールによって生成されたセクションの後です。
kerberos method = secrets and keytab
winbind refresh tickets = true
Delivery Controllerに対する認証と登録には、Linux VDAにシステムのkeytabファイル/etc/krb5.keytabが必要です。 上記のkerberos methodの設定により、マシンが初めてドメインに参加するときに、Winbindによってシステムのkeytabファイルが強制的に作成されます。
Windowsドメインへの参加ドメインへの参加
これには、ドメインコントローラーに到達できることと、コンピューターをドメインに追加する権限を持つActive Directory
ユーザーアカウントが必要です。
sudo net ads join REALM -U user
ここで、REALMは大文字のKerberosレルム名で、userはコンピューターをドメインに追加する権限を持つドメインユーザーです。
Winbind用の用のPAMの構成の構成
デフォルトでは、Winbind PAMモジュール(pam_winbind)の構成で、Kerberosチケットキャッシュとホームディレクトリ
-command コピー
config コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.32https://docs.citrix.com
の作成が有効になっていません。 /etc/security/pam_winbind.confを開いて、[Global]セクションで次のとおりにエントリを追加または変更します。
krb5_auth = yes
krb5_ccache_type = FILE
mkhomedir = yes
各設定の先頭のセミコロンは必ず削除します。 これらを変更するには、次のようにしてWinbindデーモンを再起動する必要があります。
sudo /sbin/service winbind restart
ヒントマシンがドメインに参加済みの場合にのみ、winbindデーモンは実行を続けます。
/etc/krb5.confを開いて、[libdefaults]セクションで次の設定をKEYRINGからFILEタイプに変更します。
default_ccache_name = FILE:/tmp/krb5cc_%{uid}
ドメインメンバーシップの確認ドメインメンバーシップの確認
XenDesktopのコントローラーを使用するには、WindowsまたはLinuxに関係なく、すべてのVDAマシンでActive Directoryにコンピューターオブジェクトが必要です。
次のように、Sambaのnet adsコマンドを使用して、マシンがドメインに参加していることを確認します。
config コピー
-command コピー
config コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.33https://docs.citrix.com
sudo net ads testjoin
次のコマンドで、追加のドメインおよびコンピューターオブジェクトの情報を確認できます。
sudo net ads info
Kerberos構成の確認構成の確認
Linux VDAで使用できるようにKerberosが正しく構成されていることを確認するには、次のコマンドによって、システムのkeytabファイルが作成済みでkeytabファイルに有効なキーが含まれていることを確認します。
sudo klist -ke
これにより、プリンシパル名と暗号スイートのさまざまな組み合わせに対して使用できるキーの一覧が表示されます。Kerberosのkinitコマンドを実行し、これらのキーを使用して、マシンをドメインコントローラーに対して認証します。
sudo kinit -k MACHINE\$@REALM
マシン名とレルム名は大文字で指定し、ドル記号($)はシェルによる置き換えを防ぐためにバックスラッシュ(\)でエスケープする必要があります。 環境によっては、DNSドメイン名がKerberosレルム名と異なります。したがって、必ずレルム名を使用します。 このコマンドが成功すると、出力は表示されません。
次のコマンドを使用して、マシンアカウントのTGTチケットがキャッシュされたことを確認します。
-command コピー
-command コピー
-command コピー
Code コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.34https://docs.citrix.com
sudo klist
次のコマンドを使用して、マシンのアカウントの詳細を調査します。
sudo net ads status
ユーザー認証の確認ユーザー認証の確認
次のように、wbinfoツールを使用して、ドメインユーザーがドメインに対して認証できることを確認します。
wbinfo --krb5auth=domain\\username%password
ここで指定するドメインはADドメイン名で、Kerberosレルム名ではありません。 bashシェルの場合、バックスラッシュ文字(\)は、もう1つバックスラッシュ文字を指定してエスケープする必要があります。 このコマンドにより、成功または失敗を示すメッセージが返されます。
Winbind PAMモジュールが正しく構成されていることを確認するには、次のように、以前にマシンにログオンしたことがないドメインユーザーアカウントを使用してローカルでログオンします。
ssh localhost -l domain\\username
id -u
次のコマンドで、ユーザーのKerberos資格情報キャッシュのチケットが有効で、期限切れではないことを確認します。
-command コピー
-command コピー
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.35https://docs.citrix.com
klist
次のコマンドで、セッションを終了します。
exit
GnomeコンソールまたはKDEコンソールに直接ログオンすると、同様のテストを実行できます。
Quest Authentication Services
ドメインコントローラーでのドメインコントローラーでのQuestの構成の構成
次の操作は、QuestソフトウェアをActive Directoryドメインコントローラーにインストールし、構成していることと、管理者特権が付与され、Active Directoryにコンピューターオブジェクトを作成できることを前提としています。
Linux VDAマシンにドメインユーザーがログオンできるようにするマシンにドメインユーザーがログオンできるようにする
Linux VDAマシンでHDXセッションを確立する必要がある各ドメインユーザーに対して、次の操作を行います。
1. [Active Directoryユーザーとコンピューター]管理コンソールで、目的のユーザーアカウントのActive Directoryユーザーのプロパティを開きます。
2. [[Unix Account]]タブを選択します。3. [[Unix-enabled]]チェックボックスをオンにします。4. [[Primary GID Number]]のプライマリGID番号を、実際のドメインユーザーグループのグループIDに設定します。
注意この手順は、ドメインユーザーがコンソール、RDP、SSH、またはその他のリモート処理プロトコルを使用してログオンできるように
設定する場合も同じです。
Linux VDAでのでのQuestの構成の構成
SELinuxポリシー適用の回避策ポリシー適用の回避策
デフォルトのRHEL環境では、SELinuxが完全に適用されています。 これは、Questが使用するUnixドメインソケットのIPCのメカニズムに干渉し、ドメインユーザーのログオンを妨げます。
ヒント回避策はいくつかあり、その概要はこちらで説明されています。
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.36https://docs.citrix.com
最も簡単な方法は、SELinuxを無効にすることです。 rootとして、/etc/selinux/configを編集し、SELinux設定を次のとおりに変更します。
SELINUX=disabled
この変更を行うには、次のコマンドで再起動する必要があります。
reboot
Importantこの設定は注意して使用してください。 SELinuxポリシーの適用を無効にした後に再度有効にすると、ルートユーザーやその他のロー
カルユーザーであっても、完全にロックアウトされてしまう可能性があります。
VASデーモンの構成デーモンの構成
次のようにKerberosチケットの自動更新を有効にして、切断する必要があります。また、認証(オフラインログオン)は無効にする必要があります。
sudo /opt/quest/bin/vastool configure vas vasd auto-ticket-renew-interval 32400
sudo /opt/quest/bin/vastool configure vas vas_auth allow-disconnected-auth false
これにより、更新間隔が9時間(32400秒)に設定されます。すなわち、チケットのデフォルトの有効期間である10時間よりも1時間短くなります。 チケットの有効期間がさらに短いシステムでは、より小さい値をこのパラメーターに設定します。
PAMおよびおよびNSSの構成の構成
Questでは、HDXや、su、ssh、RDPなどのその他のサービスを介したドメインユーザーのログインを可能にするには、PAM
config コピー
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.37https://docs.citrix.com
とNSSを手動で構成する必要があります。 PAMおよびNSSを構成するには、次のコマンドを実行します。
sudo /opt/quest/bin/vastool configure pam
sudo /opt/quest/bin/vastool configure nss
Windowsドメインへの参加ドメインへの参加
次のように、Questのvastoolコマンドを使用して、LinuxマシンをActive Directoryドメインに追加します。
sudo /opt/quest/bin/vastool -u user join domain-name
userは、コンピューターをActive Directoryドメインに追加する権限を持つ任意のドメインユーザーです。 domain-nameは、ドメインのDNS名(example.comなど)です。
ドメインメンバーシップの確認ドメインメンバーシップの確認
XenDesktopのコントローラーを使用するには、WindowsまたはLinuxに関係なく、すべてのVDAマシンでActive Directoryにコンピューターオブジェクトが必要です。 Questによって追加されたLinuxマシンがドメインに存在することを確認するには、次のコマンドを実行します。
sudo /opt/quest/bin/vastool info domain
マシンがドメインに参加している場合は、ドメイン名が返されます。 参加していない場合は、次のエラーが表示されます。
-command コピー
-command コピー
-command コピー
エラー コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.38https://docs.citrix.com
ERROR: No domain could be found.
ERROR: VAS_ERR_CONFIG: at ctx.c:414 in _ctx_init_default_realm
default_realm not configured in vas.conf. Computer may not be joined to domain
ユーザー認証の確認ユーザー認証の確認
QuestがPAMを使用してドメインユーザーを認証できることを確認するには、次のように、以前にマシンにログオンしたことがないドメインユーザーアカウントを使用してログオンします。
ssh localhost -l domain\\username
id -u
次のコマンドで、id -uコマンドによって返されたUIDに対応するKerberos資格情報キャッシュファイルが作成されたことを確認します。
ls /tmp/krb5cc_uid
次のコマンドで、ユーザーのKerberos資格情報キャッシュのチケットが有効で、期限切れではないことを確認します。
/opt/quest/bin/vastool klist
次のコマンドで、セッションを終了します。
-command コピー
-command コピー
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.39https://docs.citrix.com
exit
GnomeコンソールまたはKDEコンソールに直接ログオンすると、同様のテストを実行できます。
Centrify DirectControl
Windowsドメインへの参加ドメインへの参加
Centrify DirectControl Agentがインストールされている場合、次のようにCentrifyのadjoinコマンドを使用して、LinuxマシンをActive Directoryドメインに追加します。
su –
adjoin -w -V -u user domain-name
userパラメーターは、コンピューターをActive Directoryドメインに追加する権限を持つ任意のActive Directoryドメインユーザーです。 domain-nameパラメーターは、Linuxマシンを追加するドメインの名前です。
ドメインメンバーシップの確認ドメインメンバーシップの確認
XenDesktopのコントローラーを使用するには、WindowsまたはLinuxに関係なく、すべてのVDAマシンでActive Directoryにコンピューターオブジェクトが必要です。 Centrifyにより追加されたLinuxマシンがドメインに存在することを確認するには、次のコマンドを実行します。
su –
adinfo
Joined to domain値が有効であることと、CentrifyDC modeにconnectedが返されることを確認します。 CentrifyDC modeがstartingのまま変化しない場合は、Centrifyクライアントにサーバーとの接続の問題、または認証の問題が発生しています。
次を使用すると、より包括的なシステム情報と診断情報を取得できます。
-command コピー
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.40https://docs.citrix.com
adinfo --sysinfo all
adinfo –diag
さまざまなActive DirectoryおよびKerberosサービスとの接続をテストするには、次のコマンドを実行します。
adinfo --test
SSSD
以下の情報を使用してSSSDのセットアップを行います。ここではLinux VDAマシンのWindowsドメインへの参加手順、およびKerberos認証の構成についても説明します。
注意SSSDを使用している場合は、このセクションに記載されている指示に従ってください。「WindowsドメインへのLinuxマシンの追
加」セクションの情報は、ここでは適用されません。
SSSDとはとは
SSSDはシステムデーモンです。 SSSDの主な機能は、システムにキャッシュとオフラインサポートを提供する共通フレームワークを通じて、リモートリソースの識別および認証のアクセスを提供することです。 PAMやNSSモジュールを提供しており、将来的にはD-BUSベースのインターフェイスもサポートして、拡張ユーザー情報に対応する予定です。 また、ローカルユーザーおよび拡張ユーザー情報を保存するための優れたデータベースを提供します。
SSSDをRHELおよびCentOSでセットアップするには次の作業を行います。
1. ドメインに参加し、Sambaを使用してホストのkeytabを作成する2. SSSDのセットアップ3. NSS/PAMの構成4. Kerberos構成の確認5. ユーザー認証の確認
必要なソフトウェア
Active Directoryプロバイダーは、SSSD Version 1.9.0で初めて導入されました。 古いバージョンを使用している場合は、「Configuring the LDAP provider with Active Directory」の指示に従ってください。
次の環境については、このドキュメントに記載した指示を使用したテストおよび検証を行っています。
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.41https://docs.citrix.com
RHEL 7.2/CentOS 7.2
Linux VDA Version 1.3、1.4、7.12
ドメインに参加し、Sambaを使用してホストのkeytabを作成する
SSSDでは、ドメイン参加とシステムのkeytabファイルの管理に関するActive Directoryのクライアント機能が提供されていません。 これを取得するには次のような方法があります。
adcli
realmd
winbind
samba
このセクションでは、Sambaによるアプローチについてのみ説明します。 realmdに関しては、RHELまたはCentOSのドキュメントを参照してください。 SSSDを構成する前に、以下の手順に従う必要があります。
Linuxクライアントで、適切に構成されたファイルを使用します。
/etc/krb5.conf
/etc/samba/smb.conf:
SambaおよびKerberos認証用にマシンを構成します。
sudo authconfig --smbsecurity=ads --smbworkgroup=domain --smbrealm=REALM --krb5realm=REALM --krb5kdc=fqdn-of-domain-controller --update
ここで、REALMは大文字のKerberosレルム名で、domainはActive Directoryドメインの短いNetBIOS名です。
KDCサーバーおよびレルム名をDNSベースで参照する必要がある場合は、次の2つのオプションを上記のコマンドに追加します。
--enablekrb5kdcdns --enablekrb5realmdns
/etc/samba/smb.confを開いて、[Global]セクションに次のエントリを追加します。ただし、追加するのは、authconfigツールによって生成されたセクションの後です。
-command コピー
-command コピー
config コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.42https://docs.citrix.com
kerberos method = secrets and keytab
Windowsドメインに参加するには、ドメインコントローラーに到達できることと、コンピューターをドメインに追加する権限を持つActive Directoryユーザーアカウントが必要です。
sudo net ads join REALM -U user
ここで、REALMは大文字のKerberosレルム名で、userはコンピューターをドメインに追加する権限を持つドメインユーザーです。
SSSDのセットアップ
SSSDのセットアップは、以下の手順で構成されています。
Linuxクライアントマシンにsssd-adパッケージをインストールするさまざまなファイルに設定の変更を行う(sssd.confなど)sssdサービスを開始する
sssd.confの設定の例(必要に応じて追加の設定を行うことができます)。
[sssd]
config_file_version = 2
domains = ad.example.com
services = nss, pam
[domain/ad.example.com]
# Uncomment if you need offline logins
# cache_credentials = true
-command コピー
config コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.43https://docs.citrix.com
id_provider = ad
auth_provider = ad
access_provider = ad
ldap_id_mapping = true
ldap_schema = ad
# Should be specified as the lower-case version of the long version of the Active Directory domain.
ad_domain = ad.example.com
# Kerberos settings
krb5_ccachedir = /tmp
krb5_ccname_template = FILE:%d/krb5cc_%U
# Uncomment if service discovery is not working
# ad_server = server.ad.example.com
# Comment out if the users have the shell and home dir set on the AD side
default_shell = /bin/bash
fallback_homedir = /home/%d/%u
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.44https://docs.citrix.com
# Uncomment and adjust if the default principal SHORTNAME$@REALM is not available
# ldap_sasl_authid = host/[email protected]
ad.example.comとserver.ad.example.comを対応する値で置き換えます。 詳しくは、『sssd-ad(5) - Linux man page』を参照してください。
ファイルの所有権およびアクセス権をsssd.confで設定します。
chown root:root /etc/sssd/sssd.conf
chmod 0600 /etc/sssd/sssd.conf
restorecon /etc/sssd/sssd.conf
NSS/PAMの構成
RHEL/CentOS
authconfigを使用してSSSDを有効にし、oddjob-mkhomedirをインストールしてホームディレクトリの作成がSELinuxと連携するようにします。
authconfig --enablesssd --enablesssdauth --enablemkhomedir –-update
sudo service sssd start
sudo chkconfig sssd on
Kerberos構成の確認
Linux VDAで使用できるようにKerberosが正しく構成されていることを確認するには、次のコマンドによって、システムのkeytabファイルが作成済みでkeytabファイルに有効なキーが含まれていることを確認します。
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.45https://docs.citrix.com
sudo klist -ke
これにより、プリンシパル名と暗号スイートのさまざまな組み合わせに対して使用できるキーの一覧が表示されます。Kerberosのkinitコマンドを実行し、これらのキーを使用して、マシンをドメインコントローラーに対して認証します。
sudo kinit –k MACHINE\$@REALM
マシン名とレルム名は大文字で指定し、ドル記号($)はシェルによる置き換えを防ぐためにバックスラッシュ(\)でエスケープする必要があります。 環境によっては、DNSドメイン名がKerberosレルム名と異なります。したがって、必ずレルム名を使用します。 このコマンドが成功すると、出力は表示されません。
次のコマンドを使用して、マシンアカウントのTGTチケットがキャッシュされたことを確認します。
sudo klist
ユーザー認証の確認
getentコマンドを使用して、ログオン形式がサポートされていること、およびNSSが機能するかどうかを確認します。
sudo getent passwd DOMAIN\\username
DOMAINパラメーターは短い形式のドメイン名である必要があります。Citrix Receiverから別のログオン形式が必要な場合は、まずgetentを使用して確認します。
サポートされているログオン形式は次の通りです。
ダウンレベルログオン名:DOMAIN\username
NetBIOS サフィックス形式:username@DOMAIN
-command コピー
-command コピー
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.46https://docs.citrix.com
SSSD PAMモジュールが正しく構成されていることを確認するには、次のように、以前にマシンにログオンしたことがないドメインユーザーアカウントを使用してローカルでログオンします。
sudo ssh localhost –l DOMAIN\\username
id -u
次のコマンドによって返されたUIDに対応するKerberos資格情報キャッシュファイルが作成されたことを確認します。
ls /tmp/krb5cc_{uid}
次のコマンドで、ユーザーのKerberos資格情報キャッシュのチケットが有効で、期限切れではないことを確認します。
klist
NVIDIA GRIDドライバーのインストールドライバーのインストール
HDX 3D Proを有効にするには、ハイパーバイザーおよびVDAマシンに必要なグラフィックドライバーをインストールするために、追加のインストール手順が必要です。
次のオプションを構成します。
1. Citrix XenServer
2. VMware ESX
選択したハイパーバイザーに対応する手順に従います。
Citrix XenServer
この詳しいセクションでは、Citrix XenServer上でのNVIDIA GRIDドライバーのインストールおよび構成の概略について説明します。
VMware ESX
このガイドに掲載されている情報に従って、VMware ESX用のNVIDIA GRIDドライバーをインストールし、構成します。
-command コピー
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.47https://docs.citrix.com
VDAマシンマシン
以下の手順に従って、Linux仮想マシンゲストのそれぞれに対してドライバーをインストールし、構成します。
1. 開始する前に、Linux仮想マシンがシャットダウンされていることを確認します。2. XenCenterで、GPUパススルーモードのGPUを仮想マシンに追加します。3. RHEL仮想マシンを起動します。
NVIDIA GRIDドライバー用にマシンを準備するには、次の手順が必要です。
yum install gcc
yum install "kernel-devel-uname-r == $(uname -r)"
systemctl set-default multi-user.target
完了したら、Red Hat Enterprise Linuxのドキュメントの手順に従って、NVIDIA GRIDドライバーをインストールします。
注意GPUドライバーのインストール時は、すべての質問でデフォルト(「いいえ」)を選択してください。
ImportantGPUパススルーが有効になると、XenCenterを介してLinux VMにアクセスできなくなります。したがって、接続するにはSSHを使用す
る必要があります。
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.48https://docs.citrix.com
次のコマンドで、カードに適切な構成を設定します。
etc/X11/ctx-nvidia.sh
高い解像度やマルチモニター機能を利用するには、有効なNVIDIAライセンスが必要です。 このライセンスを適用するには、『GRID Licensing Guide.pdf - DU-07757-001 September 2015』の製品ドキュメントに従ってください。
手順4:Linux VDAのインストール
1. 古いバージョンのアンインストール
Version 1.0よりも古いバージョンのLinux VDAがインストールされている場合は、それをアンインストールしてから新しいバージョンをインストールします。
(a) 次のコマンドで、Linux VDAサービスを停止します。
sudo /sbin/service ctxvda stop
sudo /sbin/service ctxhdx stop
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.49https://docs.citrix.com
(b) 次のコマンドで、パッケージをアンインストールします。
sudo rpm -e XenDesktopVDA
Important最新およびその直前のバージョンからのアップグレードがサポートされます。
注意バージョン1.3以降、インストールパスが変更されます。 以前のリリースでは、インストールコンポーネントは/usr/local/に配置されていました。新しい場所は/opt/Citrix/VDA/です。
コマンドを実行するには、フルパスが必要です。代わりに、システムパスに/opt/Citrix/VDA/sbinと/opt/Citrix/VDA/binを追加す
ることもできます。
2. Linux VDAのインストール
Yumを使用してLinux VDAソフトウェアをインストールします。
RHEL 6/CentOS 6の場合:の場合:
sudo yum install -y XenDesktopVDA-7.12.0.375-1.el6_8.x86_64.rpm
RHEL 7/CentOS 7の場合:の場合:
sudo yum install -y XenDesktopVDA-7.12.0.375-1.el7_2.x86_64.rpm
RPM Package Managerを使用してLinux VDAソフトウェアをインストールします。インストール前に、まず次の依存関係を無効にする必要があります。
-command コピー
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.50https://docs.citrix.com
RHEL 6/CentOS 6の場合:の場合:
sudo rpm -i XenDesktopVDA-7.12.0.375-1.el6_8.x86_64.rpm
RHEL 7/CentOS 7の場合:の場合:
sudo rpm -i XenDesktopVDA-7.12.0.375-1.el7_2.x86_64.rpm
RPM依存関係一覧(依存関係一覧(RHEL 6の場合):の場合):
postgresql-jdbc >= 8.4
postgresql-server >= 8.4
java-1.7.0-openjdk >= 1.7.0
ImageMagick >= 6.5.4.7
GConf2 >= 2.28.0
system-config-firewall-base >= 1.2.27
policycoreutils-python >= 2.0.83
xorg-x11-server-utils >= 7.7
xorg-x11-xinit >= 1.0.9
ConsoleKit >= 0.4.1
dbus >= 1.2.24
-command コピー
-command コピー
dependencies コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.51https://docs.citrix.com
dbus-x11 >= 1.2.24
gnome-session >= 2.28.0
libXpm >= 3.5.10
libXrandr >= 1.4.1
libXtst >= 1.2.2
openmotif >= 2.3.3
pam >= 1.1.1
util-linux-ng >= 2.17.2
bash >= 4.1
findutils >= 4.4
gawk >= 3.1
sed >= 4.2
cups >= 1.4.0
foomatic >= 4.0.0
openldap >= 2.4
cyrus-sasl >= 2.1
cyrus-sasl-gssapi >= 2.1
libxml2 >= 2.7
RPM依存関係一覧(依存関係一覧(RHEL 7の場合):の場合):
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.52https://docs.citrix.com
postgresql-server >= 9.2
postgresql-jdbc >= 9.2
java-1.8.0-openjdk >= 1.8.0
ImageMagick >= 6.7.8.9
firewalld >= 0.3.9
policycoreutils-python >= 2.0.83
dbus >= 1.6.12
dbus-x11 >= 1.6.12
xorg-x11-server-utils >= 7.7
xorg-x11-xinit >= 1.3.2
libXpm >= 3.5.10
libXrandr >= 1.4.1
libXtst >= 1.2.2
motif >= 2.3.4
pam >= 1.1.8
util-linux >= 2.23.2
bash >= 4.2
findutils >= 4.5
gawk >= 4.0
dependencies コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.53https://docs.citrix.com
sed >= 4.2
cups >= 1.6.0
foomatic-filters >= 4.0.9
openldap >= 2.4
cyrus-sasl >= 2.1
cyrus-sasl-gssapi >= 2.1
libxml2 >= 2.9
ImportantLinux VDAパッケージには、Xorgの特定のバージョンが必要です。
RHEL 6.8とRHEL 7.2については、Linux VDAではXorg-x11-server-Xorg Version 1.17が必要です。このパッケージはアップグレードし
ないでください。
3. Linux VDAのアップグレード(オプション)
Linux VDA Version 1.3またはVersion 1.4をインストールしている場合は、Yumを使用して、Linux VDAソフトウェアをアップグレードします。
RHEL 6/CentOS 6の場合:の場合:
sudo yum install -y XenDesktopVDA-7.12.0.375-1.el6_8.x86_64.rpm
RHEL 7/CentOS 7の場合:の場合:
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.54https://docs.citrix.com
sudo yum install -y XenDesktopVDA-7.12.0.375-1.el7_2.x86_64.rpm
次のように、RPM Package Managerを使用して、Linux VDAソフトウェアをアップグレードします。
RHEL 6/CentOS 6の場合:の場合:
sudo rpm -U XenDesktopVDA-7.12.0.375-1.el6_8.x86_64.rpm
RHEL 7/CentOS 7の場合:の場合:
sudo rpm -U XenDesktopVDA-7.12.0.375-1.el7_2.x86_64.rpm
Importantアップグレード後は、Linux VDAマシンを再起動してください。
手順5:Linux VDAの実行
ctxsetup.shスクリプトを使用してLinux VDAを構成したら、次のコマンドを使用してLinux VDAを制御します。
Linux VDAの起動の起動
Linux VDAサービスを起動するには、次のコマンドを実行します。
sudo /sbin/service ctxhdx start
sudo /sbin/service ctxvda start
-command コピー
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.55https://docs.citrix.com
Linux VDAの停止の停止
Linux VDAサービスを停止するには、次のコマンドを実行します。
sudo /sbin/service ctxvda stop
sudo /sbin/service ctxhdx stop
Linux VDAの再起動の再起動
Linux VDAサービスを再起動するには、次のコマンドを実行します。
sudo /sbin/service ctxvda stop
sudo /sbin/service ctxhdx restart
sudo /sbin/service ctxvda start
Linux VDAの状態の確認の状態の確認
Linux VDAサービスの実行状態を確認するには、次のコマンドを実行します。
sudo /sbin/service ctxvda status
sudo /sbin/service ctxhdx status
手順6:Linux VDAの構成
Importantパッケージのインストール後、ctxsetup.shスクリプトを実行して、Linux VDAを構成する必要があります。 パッケージをアップグ
レードした場合、ctxsetup.shスクリプトを実行してアップグレードを完了する必要があります。 変更を行う前に、このスクリプト
-command コピー
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.56https://docs.citrix.com
では、環境を確認し、すべての依存コンポーネントがインストールされていることが確認されます。 必要に応じて、いつでもこのス
クリプトを再実行して設定を変更できます。
このスクリプトは、手動で質問に回答しながら、または事前に構成した回答を使用して自動で実行できます。 続行する前に、次のコマンドを使用してこのスクリプトのヘルプを確認します。
sudo /opt/Citrix/VDA/sbin/ctxsetup.sh --help
質問に回答する構成
次のようにして、質問に回答する手動構成を実行します。
sudo /opt/Citrix/VDA/sbin/ctxsetup.sh
自動化された構成
インストールを自動化するために、環境変数を使用して、セットアップスクリプトで必要となるオプションを指定できます。必要な変数がすべて指定されていると、スクリプトによってユーザーに情報の入力を求めるメッセージが表示されることがなくなります。
サポートされる環境変数には次のようなものがあります。
CTX_XDL_SUPPORT_DDC_AS_CNAME = Y | N - Linux VDAでは、DNS CNAMEレコードを使用して、Delivery Controller名を指定できます。 通常は、Nに設定します。CTX_XDL_DDC_LIST = list-ddc-fqdns - Linux VDAには、配信の登録に使用するDelivery Controllerの完全修飾ドメイン名が必要です。 (FQDN)のスペース区切りの一覧が必要です。 1つ以上の完全修飾ドメイン名またはCNAMEエイリアスを指定する必要があります。CTX_XDL_VDA_PORT = port-number - Linux VDAは、TCP/IPポートを使用してDelivery Controllerと通信します。 通常は、ポート80です。CTX_XDL_REGISTER_SERVICE = Y | N - Linux Virtual Desktopサービスは、起動時の開始をサポートします。 通常は、Yに設定します。CTX_XDL_ADD_FIREWALL_RULES = Y | N - Linux Virtual Desktopサービスでは、ネットワーク受信接続がシステムのファイアウォールの通過を許可されている必要があります。 Linux Virtual Desktop用に、システムのファイアウォールの必要なポート(デフォルトではポート80およびポート1494)を自動で開放できます。 通常は、Yに設定します。CTX_XDL_AD_INTEGRATION = 1 | 2 | 3 | 4 - Linux VDAには、Delivery Controllerに対して認証するためにKerberos構成設定が必要です。 Kerberos構成は、システムにインストールおよび構成済みのActive Directory統合ツールから指定します。次に示す、サポートされているActive Directory統合方法のうち、使用するものを指定します。
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.57https://docs.citrix.com
1 - Samba Winbind
2 - Quest Authentication Services
3 – Centrify DirectControl
4 – SSSD
CTX_XDL_HDX_3D_PRO= Y | N - Linux Virtual Desktopでは、HDX 3D Proがサポートされます。これは、強力なグラフィックアプリケーションの仮想化を最適にするための一連のグラフィックアクセラレーションテクノロジです。 HDX
3D Proをサポートするには、対応するNVIDIA GRIDグラフィックカードをインストールする必要があります。 HDX 3D Pro
を選択した場合、Virtual Delivery AgentはVDIデスクトップ(単一セッション)モード用に構成されます(すなわち、CTX_XDL_VDI_MODE=Yとなります)。 これは、SUSEではサポートされていません。 必ずこの値をNに設定してください。CTX_XDL_VDI_MODE = Y | N - 専用デスクトップ配信モデル(VDI)またはホストされる共有デスクトップ配信モデルのうちどちらとしてマシンを構成するかを決定します。 HDX 3D Pro環境の場合は、Yに設定する必要があります。 通常は、Nに設定します。CTX_XDL_SITE_NAME = dns-name - Linux VDAは、DNSを使用してLDAPサーバーを検出し、LDAPサービスレコードを照会します。 DNSの検索結果をローカルサイトに制限するには、DNSサイト名を指定します。 通常は、空(none)です。CTX_XDL_LDAP_LIST = list-ldap-servers - Linux VDAは、デフォルトではDNSを照会してLDAPサーバーを検出します。 ただし、DNSがLDAPサービスレコードを提供できない場合は、LDAPの完全修飾ドメイン名(FQDN)およびLDAPポートのスペース区切りの一覧(例:ad1.mycompany.com:389)を指定することができます。 通常は、空(none)です。CTX_XDL_SEARCH_BASE = search-base - Linux VDAは、デフォルトではActive Directoryドメインのルート(例:DC=mycompany,DC=com)に設定された検索ベースを使用してLDAPを照会します。 ただし、検索のパフォーマンスを改善するために検索ベースを指定できます(例:OU=VDI,DC=mycompany,DC=com)。 通常は、空(none)です。CTX_XDL_START_SERVICE = Y | N - Linux VDA構成の完了時にLinux VDAサービスが開始されるようにするかどうかを指定します。 通常は、Yに設定します。
次のようにして、環境変数を設定し、構成スクリプトを実行します。
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.58https://docs.citrix.com
export CTX_XDL_SUPPORT_DDC_AS_CNAME=Y|N
export CTX_XDL_DDC_LIST=list-ddc-fqdns
export CTX_XDL_VDA_PORT=port-number
export CTX_XDL_REGISTER_SERVICE=Y|N
export CTX_XDL_ADD_FIREWALL_RULES=Y|N
export CTX_XDL_AD_INTEGRATION=1|2|3|4
export CTX_XDL_HDX_3D_PRO=Y|N
export CTX_XDL_VDI_MODE=Y|N
export CTX_XDL_SITE_NAME=dns-name
export CTX_XDL_LDAP_LIST=list-ldap-servers
export CTX_XDL_SEARCH_BASE=search-base
export CTX_XDL_START_SERVICE=Y|N
sudo -E /opt/Citrix/VDA/sbin/ctxsetup.sh
sudoに-Eオプションを指定し、作成する新しいシェルに既存の環境変数を渡す必要があります。 Citrixは、最初の行に#!/bin/bashを記述し、上記のコマンドからなるシェルスクリプトファイルを作成することをお勧めします。
または、次のようにして、1つのコマンドですべてのパラメーターを指定することができます。
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.59https://docs.citrix.com
sudo CTX_XDL_SUPPORT_DDC_AS_CNAME=Y|N \
CTX_XDL_DDC_LIST=list-ddc-fqdns \
CTX_XDL_VDA_PORT=port-number \
CTX_XDL_REGISTER_SERVICE=Y|N \
CTX_XDL_ADD_FIREWALL_RULES=Y|N \
CTX_XDL_AD_INTEGRATION=1|2|3|4 \
CTX_XDL_HDX_3D_PRO=Y|N \
CTX_XDL_VDI_MODE=Y|N \
CTX_XDL_SITE_NAME=dns-name \
CTX_XDL_LDAP_LIST=list-ldap-servers \
CTX_XDL_SEARCH_BASE=search-base \
CTX_XDL_START_SERVICE=Y|N \
/opt/Citrix/VDA/sbin/ctxsetup.sh
構成変更の削除
シナリオによっては、Linux VDAパッケージをアンインストールしないで、ctxsetup.shスクリプトによって行われた構成変更を削除することが必要となる場合があります。
続行する前に、次のコマンドを使用してこのスクリプトのヘルプを確認します。
sudo /opt/Citrix/VDA/sbin/ctxcleanup.sh --help
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.60https://docs.citrix.com
構成変更を削除するには、次のコマンドを実行します。
sudo /opt/Citrix/VDA/sbin/ctxcleanup.sh
Importantこのスクリプトにより、すべての構成データがデータベースから削除され、Linux VDAを操作できなくなります。
構成ログ
ctxsetup.shおよびctxcleanup.shスクリプトでは、コンソールにエラーが表示され、次の構成ログファイル/tmp/xdl.configure.logに追加情報が書き込まれます。
Linux VDAサービスを再起動し、変更を反映させます。
手順7:XenAppまたはXenDesktopでマシンカタログを作成
マシンカタログを作成し、Linux VDAマシンを追加する手順は、従来のWindows VDAでの方法とほとんど同じです。 このタスクを完了する方法のより総合的な説明については、オンラインのCitrix製品ドキュメントを参照してください。
次のように、Linux VDAマシンを含むマシンカタログの作成にはいくつかの制約があるため、Windows VDAマシンのマシンカタログの作成手順と異なる点があります。
オペレーティングシステムには、次を選択します。ホストされる共有デスクトップ配信モデルの場合、[WindowsサーバーOS]オプションまたは[サーバーOS]オプション
VDI専用デスクトップ配信モデルの場合、[WindowデスクトップOS]オプションまたは[デスクトップOS]オプション
マシンが電源管理を行わない設定になっていることを確認します。PVSとMCSはLinux VDAではサポートされないため、ほかのサービスまたはテクノロジ(既存のイメージ)の展開方法を選択してください。同じマシンカタログで、Linux VDAマシンとWindows VDAマシンを混在させないでください。
注意以前のバージョンのCitrix Studioでは、「Linux OS」という概念に対応していませんでした。ただし、[WindowsサーバーOS]オプ
ションまたは[サーバーOS]オプションを選択すると、同等のホストされる共有デスクトップ配信モデルが暗黙的に選択されます。
[WindowsデスクトップOS]オプションまたは[デスクトップOS]オプションを選択すると、XenDesktopのマシンごとに単一
ユーザーの配信モデルが暗黙的に選択されます。
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.61https://docs.citrix.com
ヒントマシンがActive Directoryドメインから削除された後に再度追加された場合は、そのマシンをマシンカタログから削除してから再度追
加する必要があります。
手順8:XenAppまたはXenDesktopでデリバリーグループを作成
デリバリーグループを作成し、Linux VDAマシンを含むマシンカタログを追加する手順は、Windows VDAマシンの場合とほとんど同じです。 このタスクを完了する方法のより総合的な説明については、オンラインのCitrix製品ドキュメントを参照してください。
Linux VDAマシンカタログを含むデリバリーグループを作成する場合は、次の制約があります。
配信の種類には、デスクトップを選択します。 Linux VDAマシンでは、アプリケーション配信はサポートされていません。必ず、選択するADユーザーおよびグループを、Linux VDAマシンにログオンするように適切に構成しておきます。認証されていない(匿名)ユーザーのログオンを許可しないでください。Windowsマシンを含むマシンカタログをデリバリーグループで混在させないでください。
Importantアプリケーションの公開はLinux VDA Version 1.4でサポートされています。 同一マシンへのデスクトップおよびアプリの配信は、
Linux VDAでサポートされていません。
マシンカタログおよびデリバリーグループを作成するためのCitrixドキュメントは、以下を参照してください。
XenDesktop 7.1
XenDesktop 7.5
XenDesktop 7.6
XenDesktop 7.7
XenDesktop 7.8
XenDesktop 7.9
XenDesktop 7.11
XenDesktop 7.12
上記より前のバージョンのXenDesktopはサポートされません。
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.62https://docs.citrix.com
Linux Virtual Delivery Agent for SUSEのインストール
Dec 22, 2016
手順1:インストールの準備
1. YaSTツールの起動
SUSE Linux Enterprise YaSTツールを使用して、オペレーティングシステムのすべての要素を構成します。
テキストベースのYaSTツールを起動する方法
su -
yast
代わりに、UIベースのYaSTツールを起動する方法
su -
yast2 &
ネットワークの構成
以降のセクションでは、Linux VDAで使用するさまざまなネットワーク設定およびサービスの構成方法に関する情報について説明します。 ネットワークの構成は、Network Managerなどのほかの方法ではなく、YaSTツールで実行する必要があります。 次の手順は、UIベースのYaSTツールの使用が前提となっています。テキストベースのYaSTツールも使用できますが、ナビゲーション方法が異なり、ここでは説明していません。
ホスト名とDNSの構成
1. YaSTの[ネットワーク設定]を開きます。2. SLED 12のみ:[グローバルオプション][グローバルオプション]タブで、[ネットワークのセットアップ方法][ネットワークのセットアップ方法]を[[Wickedサービス]サービス]に変更します。
3. [ホスト名[ホスト名/DNS]]タブを開きます。4. [[DHCPでホスト名を変更する]でホスト名を変更する]チェックボックスをオフにします。5. [ホスト名をループバック[ホスト名をループバックIPに割り当てる]に割り当てる]チェックボックスをオンにします。6. 以下を編集してネットワーク設定に反映させます。
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.63https://docs.citrix.com
ホスト名 – マシンのDNSホスト名を追加します。ドメイン名 – マシンのDNSドメイン名を追加します。ネームサーバ – DNSサーバーのIPアドレスを追加します。 通常はADドメインコントローラーのIPアドレスです。[ドメイン検索]一覧 – DNSドメイン名を追加します。
注意Linux VDAでは、現在、NetBIOS名の切り捨てをサポートしていません。したがって、ホスト名は15文字以下にしてください。
ヒントa~z、0~9、およびハイフン(-)の文字のみ使用してください。 アンダースコア(_)、スペース、およびその他の記号は使用しな
いでください。 ホスト名を数字で開始したり、ハイフンで終了したりしないでください。
マルチキャストDNSの無効化
SLEDでのみ、デフォルトの設定でマルチキャストDNS(mDNS)が有効であるため、名前解決の結果に不整合が発生する場合があります。 SLESの場合、mDNSはデフォルトでは有効化されていないため、特に操作を行う必要はありません。
mDNSを無効にするには、/etc/nsswitch.confを編集して、以下を含む行を変更します。
hosts: files mdns_minimal [NOTFOUND=return] dns
目的:
hosts: files dns
ホスト名の確認
次のコマンドで、ホスト名が正しく設定されていることを確認します。
-command コピー
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.64https://docs.citrix.com
hostname
これにより、そのマシンの完全修飾ドメイン名(FQDN)ではなく、そのホスト名のみが返されます。
次のコマンドで、完全修飾ドメイン名が正しく設定されていることを確認します。
hostname -f
これにより、そのマシンの完全修飾ドメイン名が返されます。
名前解決とサービス到達可能性の確認
次のコマンドで、完全修飾ドメイン名が解決できることと、ドメインコントローラーとXenDesktop Delivery Controllerからpingに応答があることを確認します。
nslookup domain-controller-fqdn
ping domain-controller-fqdn
nslookup delivery-controller-fqdn
ping delivery-controller-fqdn
完全修飾ドメイン名を解決できない、またはこれらのマシンのいずれかからpingに応答がない場合は、手順を確認してから次に進んでください。
NTPサービスの構成
VDA、XenDesktopのコントローラー、およびドメインコントローラーの間で正確な時刻同期を維持することは重要です。 仮想マシンとしてLinux VDAをホストすると、時刻が不正確になる問題が発生する可能性があります。 したがって、リモートNTPサービスを使用して時刻を維持することをお勧めします。 次のように、デフォルトNTP設定にいくつかの変更が必要な場合があります。
1. YaSTの[NTP環境設定]を開いて、[一般的な設定][一般的な設定]タブをクリックします。
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.65https://docs.citrix.com
2. [NTPデーモンを起動する]セクションで、[今すぐ開始し、システム起動時に開始するよう設定][今すぐ開始し、システム起動時に開始するよう設定]をクリックします。3. 表示されている場合は、[[Undisciplined Local Clock (LOCAL)]]項目を選択し、[削除][削除]をクリックします。4. [追加][追加]をクリックして、NTPサーバーのエントリを追加します。5. [[Server Type]]を選択して、[次へ][次へ]をクリックします。6. [アドレス]フィールドに、NTPサーバーのDNS名を入力します。 このサービスは、通常Active Directoryドメインコントローラーでホストされます。
7. [オプション]フィールドは変更しません。8. [テスト][テスト]をクリックして、NTPサービスに到達できるかどうかを確認します。9. 一連のウィンドウで[[OK]]をクリックして、変更を保存します。
注意SLES 12の実装でNTPデーモンが起動に失敗する場合は、AppArmorポリシーに関するSUSEの既知の問題が原因となっている可能性が
あります。 詳しくは、こちらを参照し、掲載されている解決方法に従ってください。
Linux VDAに依存するパッケージのインストール
SUSE Linux Enterprise用のLinux VDAソフトウェアは、次のパッケージに依存しています。
PostgreSQL
SLED/SLES 11:Version 9.1以降SLED/SLES 12:Version 9.3以降
OpenJDK 1.7.0
OpenMotif Runtime Environment 2.3.1以降CUPS
SLED/SLES 11:Version 1.3.7以降SLED/SLES 12:Version 1.6.0以降
Foomaticフィルター
SLED/SLES 11:Version 3.0.0以降SLED/SLES 12:Version 1.0.0以降
ImageMagick
SLED/SLES 11:Version 6.4.3.6以降SLED/SLES 12:Version 6.8以降
リポジトリの追加
次のように、必要なパッケージの中には、一部のSuse Linux Enterpriseリポジトリでは入手できないものがあります。
SLED 11:PostgreSQLは、SLES 11では入手できますが、SLED 11では入手できません。SLES 11:OpenJDKとOpenMotifは、SLED 11では入手できますが、SLES 11では入手できません。SLED 12:PostgreSQLは、SLES 12では入手できますが、SLED 12では入手できません。 ImageMagickは、SLE 12 SDK ISO
またはオンラインリポジトリから入手できます。SLES 12:問題はありません。すべてのパッケージを入手できます。 ImageMagickは、SLE 12 SDK ISOまたはオンラインリポジトリから入手できます。
この解決策として推奨されるのは、インストール元となるSLEの代替エディションのメディアから、不足しているパッケージを取得する方法です。 すなわち、SLEDで不足しているパッケージをSLESメディアからインストールし、SLESで不足している
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.66https://docs.citrix.com
パッケージをSLEDメディアからインストールします。 次に説明する方法では、SLEDおよびSLESのISOメディアファイルを両方ともマウントして、リポジトリを追加します。
SLED 11
sudo mkdir -p /mnt/sles
sudo mount -t iso9660 \
path-to-iso/SLES-11-SP4-DVD-x86_64-GM-DVD1.iso /mnt/sles
sudo zypper ar -f /mnt/sles sles
SLES 11
sudo mkdir -p /mnt/sled
sudo mount -t iso9660 \
path-to-iso/SLED-11-SP4-DVD-x86_64-GM-DVD1.iso /mnt/sled
sudo zypper ar -f /mnt/sled sled
SLED 12
sudo mkdir -p /mnt/sles
sudo mount -t iso9660 \
path-to-iso/SLES-12-SP1-DVD-x86_64-GM-DVD1.iso /mnt/sles
sudo zypper ar -f /mnt/sles sles
SLED/SLES 12
sudo mkdir -p /mnt/sdk
sudo mount -t iso9660 \
path-to-iso/SLE-12-SP1-SDK-DVD-x86_64-GM-DVD1.iso /mnt/sdk
sudo zypper ar -f /mnt/sdk sdk
Kerberosクライアントのインストール
次のコマンドで、Linux VDAとXenDesktopのコントローラー間の相互認証用にKerberosクライアントをインストールします。
sudo zypper install krb5-client
Kerberosクライアントの構成は、使用するActive Directory統合の方法によって異なります。この点については後で説明します。
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.67https://docs.citrix.com
OpenJDKのインストール
OpenJDK 1.7.0に依存するLinux VDA
ヒント問題を回避するには、必ずOpenJDK Version 1.7.0のみをインストールしておきます。 その他のバージョンのJavaは、システムからす
べて削除します。
SLED
SLEDでは、Java Runtime Environmentはオペレーティングシステムと共にインストールされています。 次のコマンドで、このことを確認します。
sudo zypper info java-1_7_0-openjdk
ステータスがout-of-dateであると報告された場合は、次のようにして最新バージョンに更新します。
sudo zypper update java-1_7_0-openjdk
次のコマンドで、Javaのバージョンを確認します。
java -version
SLES
SLESでは、次のようにしてJava Runtime Environmentをインストールする必要があります。
sudo zypper install java-1_7_0-openjdk
次のコマンドで、Javaのバージョンを確認します。
java -version
PostgreSQLのインストール
SLED/SLES11
次のコマンドで、パッケージをインストールします。
sudo zypper install libecpg6
sudo zypper install postgresql-init
sudo zypper install postgresql
sudo zypper install postgresql-server
sudo zypper install postgresql-jdbc
データベースサービスを初期化し、起動時にPostgreSQLが確実に開始するようにするには、次に示すインストール後の手順がいくつか必要です。
sudo /sbin/insserv postgresql
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.68https://docs.citrix.com
sudo /etc/init.d/postgresql restart
SLED/SLES12
次のコマンドで、パッケージをインストールします。
sudo zypper install postgresql-init
sudo zypper install postgresql-server
sudo zypper install postgresql-jdbc
データベースサービスを初期化し、起動時にPostgreSQLが確実に開始するようにするには、次に示すインストール後の手順が必要です。
sudo systemctl enable postgresql
sudo systemctl restart postgresql
データベースファイルは、/var/lib/pgsql/dataに配置されます。
リポジトリの削除
依存するパッケージがインストールされると、以前にセットアップした代替エディションのリポジトリを削除し、メディアをマウント解除することができます。
SLED 11
次のパッケージを削除します。
sudo zypper rr sles
sudo umount /mnt/sles
sudo rmdir /mnt/sles
SLES 11
次のパッケージを削除します。
sudo zypper rr sled
sudo umount /mnt/sled
sudo rmdir /mnt/sled
SLED 12
次のパッケージを削除します。
sudo zypper rr sles
sudo umount /mnt/sles
sudo rmdir /mnt/sles
次のパッケージを削除します。
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.69https://docs.citrix.com
SLED/SLES 12sudo zypper rr sdk
sudo umount /mnt/sdk
sudo rmdir /mnt/sdk
手順2:ハイパーバイザー用Linux仮想マシンの準備
サポートされるハイパーバイザー上で仮想マシンとしてLinux VDAを実行する場合、いくつかの変更が必要です。 使用するハイパーバイザーのプラットフォームに合わせて、次の変更を行います。 ベアメタルハードウェアでLinuxマシンを実行する場合、変更は必要ありません。
Citrix XenServerでの時間同期の修正
XenServerの時間同期機能が有効な場合、それぞれの準仮想化Linux仮想マシンで、NTPとXenServerの両方がシステムの時刻を管理しようとすることが原因となり問題が発生します。 システムの時刻とほかのサーバーの時刻との同期が失われるのを防ぐには、各Linuxゲストのシステムの時刻がNTPと同期する必要があります。 この状態にするには、ホストの時間同期を無効にする必要があります。 HVMモードでは、変更は必要ありません。
一部のLinuxディストリビューションでは、XenServer Toolsをインストールした状態で準仮想化Linuxカーネルを実行すると、XenServerの時間同期機能が存在し有効になっているかどうかをLinux仮想マシンから次のようにして確認できます。
su -
cat /proc/sys/xen/independent_wallclock
これにより、次のいずれかが返されます。
0 - 時間同期機能が有効となっていて、無効にする必要があります。1 - 時間同期機能が無効となっていて、これ以上の操作は必要ありません。
/proc/sys/xen/indepent_wallclockファイルが存在しない場合、以降の手順は不要です。
時間同期機能が有効な場合は、次のようにしてファイルに1を書き込んで無効にします。
sudo echo 1 > /proc/sys/xen/independent_wallclock
この変更を永続化し、再起動後も保持するには、/etc/sysctl.confファイルを編集して、次の行を追加します。
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.70https://docs.citrix.com
xen.independent_wallclock = 1
これらの変更を確認するため、次のようにしてシステムを再起動します。
reboot
再起動後、次のようにしてこの変更が正しく設定されているかどうか確認します。
su -
cat /proc/sys/xen/independent_wallclock
これにより、値1が返されます。
Microsoft Hyper-Vでの時間同期の修正
Hyper-V Linux統合サービスがインストールされたLinux仮想ホストでは、Hyper-Vの時間同期機能を活用してホストオペレーティングシステムの時間を利用できます。 システムの時刻を正確な状態で維持するには、NTPサービスと共にこの機能を有効にする必要があります。
管理オペレーティングシステムで、次の操作を行います。
1. Hyper-Vマネージャーコンソールを開きます。
2. Linux仮想マシンの設定で、[統合サービス][統合サービス]を選択します。
3. [時刻の同期][時刻の同期]が選択されていることを確認します。
注意この方法はVMwareおよびXenServerの場合とは異なります。VMwareおよびXenServerでは、NTPとの競合を避けるためにホストの時
間同期を無効にします。 Hyper-Vの時間同期は、NTPと共存し、NTPの時間同期を補完することができます。
config コピー
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.71https://docs.citrix.com
ESXおよびESXiでの時間同期の修正
VMwareの時間同期機能が有効な場合、それぞれの準仮想化Linux仮想マシンで、NTPとハイパーバイザーの両方がシステムの時刻を同期しようとすることが原因となり問題が発生します。 システムの時刻とほかのサーバーの時刻との同期が失われるのを防ぐには、各Linuxゲストのシステムの時刻がNTPと同期する必要があります。 この状態にするには、ホストの時間同期を無効にする必要があります。
VMware Toolsをインストールした状態で準仮想化Linuxカーネルを実行している場合は、次の操作を行います。
1. vSphere Clientを開きます。2. Linux仮想マシンの設定を編集します。3. [仮想マシンのプロパティ][仮想マシンのプロパティ]ダイアログボックスで、[オプション][オプション]タブをクリックします。4. [[VMware Tools]]を選択します。5. [詳細][詳細]ボックスで、[ホストとゲスト時間を同期][ホストとゲスト時間を同期]チェックボックスをオフにします。
手順3:WindowsドメインへのLinux仮想マシン(VM)の追加
Linux用のXenDesktopでサポートされるLinuxマシンをActive Directoryドメインに追加する方法は、以下のように複数あります。
Samba Winbind
Quest Authentication Services
Centrify DirectControl
選択した方法に応じて、以下の手順に従います。
Samba Winbind
Windowsドメインへの参加ドメインへの参加
これには、ドメインコントローラーに到達できることと、マシンをドメインに追加する権限を持つActive Directoryユーザーアカウントが必要です。
1. YaSTの[Windowsドメインメンバーシップ]を開きます。
2. 以下の変更を行います。
[ドメイン/ワークグループ]にActive Directoryドメインの名前またはドメインコントローラーのIPアドレスを設定します。 ドメインは必ず大文字で入力します。[Linuxの認証にもSMBの情報を使用する]チェックボックスをオンにします。[ログイン時にホームディレクトリを作成する]チェックボックスをオンにします。[SSH向けのシングルサインオン]チェックボックスをオンにします。[オフライン認証]チェックボックスがオフになっていることを確認します。 Linux VDAは、このオプションに対応していません。
3. [[OK]]をクリックします。 いくつかのパッケージのインストールを促すメッセージが表示された場合は、[インストー[インストール]ル]をクリックします。
4. ドメインコントローラーが見つかると、ドメインに参加するかどうかを確認するメッセージが表示されます。 [[Yes]]をクリックします。
5. メッセージが表示されたら、コンピューターをドメインに追加する権限を持つドメインユーザーの資格情報を入力
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.72https://docs.citrix.com
し、[[OK]]をクリックします。
6. 成功を示すメッセージが表示されます。
7. いくつかのSambaおよびkrb5パッケージのインストールを促すメッセージが表示されたら、[インストール][インストール]をクリックします。
YaSTにより、これらの変更には一部のサービスの再起動またはマシンの再起動が必要であることが示される場合があります。以下のようにして、マシンの再起動をお勧めします。
su -
reboot
SLED/SLES 12のみ:のみ:Kerberos資格情報キャッシュ名のパッチの適用資格情報キャッシュ名のパッチの適用
SLED/SLES 12では、デフォルトのKerberos資格情報キャッシュ名の指定方法が、従来のFILE:/tmp/krb5cc_%{uid}からDIR:/run/user/%{uid}/krb5ccに変更されました。 Linux VDAはこの新しいDIRによるキャッシュ方法に対応していないため、手動で変更する必要があります。 次の設定がない場合は、rootとして/etc/krb5.confを編集して、[libdefaults]セクションに追加します。
default_ccache_name = FILE:/tmp/krb5cc_%{uid}
ドメインメンバーシップの確認ドメインメンバーシップの確認
XenDesktopのコントローラーを使用するには、WindowsまたはLinuxに関係なく、すべてのVDAマシンでActive Directoryにコンピューターオブジェクトが必要です。
次のように、Sambaのnet adsコマンドを使用して、マシンがドメインに参加していることを確認します。
sudo net ads testjoin
次のコマンドで、追加のドメインおよびコンピューターオブジェクトの情報を確認します。
-command コピー
config コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.73https://docs.citrix.com
sudo net ads info
Kerberos構成の確認構成の確認
Linux VDAで使用できるようにKerberosが正しく構成されていることを確認するには、次のコマンドによって、システムのkeytabファイルが作成済みでkeytabファイルに有効なキーが含まれていることを確認します。
sudo klist –ke
これにより、プリンシパル名と暗号スイートのさまざまな組み合わせに対して使用できるキーの一覧が表示されます。Kerberosのkinitコマンドを実行し、これらのキーを使用して、マシンをドメインコントローラーに対して認証します。
sudo kinit -k MACHINE\$@REALM
マシン名とレルム名は大文字で指定し、ドル記号($)はシェルによる置き換えを防ぐためにバックスラッシュ(\)でエスケープする必要があります。 環境によっては、DNSドメイン名がKerberosレルム名と異なります。したがって、必ずレルム名を使用します。 このコマンドが成功すると、出力は表示されません。
次のコマンドを使用して、マシンアカウントのTGTチケットがキャッシュされたことを確認します。
sudo klist
次のコマンドを使用して、マシンアカウントの詳細を調査します。
-command コピー
-command コピー
-command コピー
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.74https://docs.citrix.com
sudo net ads status
ユーザー認証の確認ユーザー認証の確認
次のように、wbinfoツールを使用して、ドメインユーザーがドメインに対して認証できることを確認します。
wbinfo --krb5auth=domain\\username%password
ここで指定するドメインはADドメイン名で、Kerberosレルム名ではありません。 bashシェルの場合、バックスラッシュ文字(\)は、もう1つバックスラッシュ文字を指定してエスケープする必要があります。 このコマンドにより、成功または失敗を示すメッセージが返されます。
Winbind PAMモジュールが正しく構成されていることを確認するには、次のように、以前にマシンにログオンしたことがないドメインユーザーアカウントを使用してローカルでログオンします。
ssh localhost -l domain\\username
id -u
次のコマンドで、id -uコマンドによって返されたUIDに対応するKerberos資格情報キャッシュファイルが作成されたことを確認します。
ls /tmp/krb5cc_uid
次のコマンドで、ユーザーのKerberos資格情報キャッシュのチケットが有効で、期限切れではないことを確認します。
-command コピー
-command コピー
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.75https://docs.citrix.com
klist
次のコマンドで、セッションを終了します。
exit
GnomeコンソールまたはKDEコンソールに直接ログオンすると、同様のテストを実行できます。
Quest Authentication Services
ドメインコントローラーでのドメインコントローラーでのQuestの構成の構成
次の操作は、QuestソフトウェアをActive Directoryドメインコントローラーにインストールし、構成していることと、管理者特権が付与され、Active Directoryにコンピューターオブジェクトを作成できることを前提としています。
Linux VDAマシンにドメインユーザーがログオンできるようにするマシンにドメインユーザーがログオンできるようにする
Linux VDAマシンでHDXセッションを確立する必要がある各ドメインユーザーに対して、次の操作を行います。
1. [Active Directoryユーザーとコンピューター]管理コンソールで、目的のユーザーアカウントのActive Directoryユーザーのプロパティを開きます。
2. [[Unix Account]]タブを選択します。3. [[Unix-enabled]]チェックボックスをオンにします。4. [[Primary GID Number]]のプライマリGID番号を、実際のドメインユーザーグループのグループIDに設定します。
注意この手順は、ドメインユーザーがコンソール、RDP、SSH、またはその他のリモート処理プロトコルを使用してログオンできるように
設定する場合も同じです。
Linux VDAでのでのQuestの構成の構成
VASデーモンの構成デーモンの構成
次のようにKerberosチケットの自動更新を有効にして、切断する必要があります。また、認証(オフラインログオン)は無効にする必要があります。
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.76https://docs.citrix.com
sudo /opt/quest/bin/vastool configure vas vasd \
auto-ticket-renew-interval 32400
sudo /opt/quest/bin/vastool configure vas vas_auth \
allow-disconnected-auth false
これにより、更新間隔が9時間(32400秒)に設定されます。すなわち、チケットのデフォルトの有効期間である10時間よりも1時間短くなります。 Kerberosチケットの有効期間がさらに短いシステムでは、より小さい値をこのパラメーターに設定します。
PAMおよびおよびNSSの構成の構成
Questでは、HDXや、su、ssh、RDPなどのその他のサービスを介したドメインユーザーのログインを可能にするには、PAM
とNSSを手動で構成する必要があります。 PAMおよびNSSを構成するには、次のコマンドを実行します。
sudo /opt/quest/bin/vastool configure pam
sudo /opt/quest/bin/vastool configure nss
Windowsドメインへの参加ドメインへの参加
次のように、Questのvastoolコマンドを使用して、LinuxマシンをActive Directoryドメインに追加します。
sudo /opt/quest/bin/vastool -u user join domain-name
userは、コンピューターをActive Directoryドメインに追加する権限を持つ任意のドメインユーザーです。 domain-nameは、ドメインのDNS名(example.comなど)です。
ドメインメンバーシップの確認ドメインメンバーシップの確認
XenDesktopのコントローラーを使用するには、WindowsまたはLinuxに関係なく、すべてのVDAマシンでActive Directoryにコンピューターオブジェクトが必要です。 Questによって追加されたLinuxマシンがドメインに存在することを確認するに
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.77https://docs.citrix.com
は、次のコマンドを実行します。
sudo /opt/quest/bin/vastool info domain
マシンがドメインに参加している場合は、ドメイン名が返されます。 参加していない場合は、次のエラーが表示されます。
ERROR: No domain could be found.
ERROR: VAS_ERR_CONFIG: at ctx.c:414 in _ctx_init_default_realm
default_realm not configured in vas.conf. Computer may not be joined to domain
ユーザー認証の確認ユーザー認証の確認
QuestがPAMを使用してドメインユーザーを認証できることを確認するには、次のように、以前にマシンにログオンしたことがないドメインユーザーアカウントを使用してログオンします。
ssh localhost -l domain\\username
id -u
次のコマンドで、id -uコマンドによって返されたUIDに対応するKerberos資格情報キャッシュファイルが作成されたことを確認します。
ls /tmp/krb5cc_uid
次のコマンドで、ユーザーのKerberos資格情報キャッシュのチケットが有効で、期限切れではないことを確認します。
-command コピー
エラー コピー
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.78https://docs.citrix.com
/opt/quest/bin/vastool klist
次のコマンドで、セッションを終了します。
exit
GnomeコンソールまたはKDEコンソールに直接ログオンすると、同様のテストを実行できます。
Centrify DirectControl
Windowsドメインへの参加ドメインへの参加
Centrify DirectControl Agentがインストールされている場合、次のようにCentrifyのadjoinコマンドを使用して、LinuxマシンをActive Directoryドメインに追加します。
su –
adjoin -w -V -u user domain-name
userパラメーターは、コンピューターをActive Directoryドメインに追加する権限を持つ任意のActive Directoryドメインユーザーです。 domain-nameパラメーターは、Linuxマシンを追加するドメインの名前です。
ドメインメンバーシップの確認ドメインメンバーシップの確認
XenDesktopのコントローラーを使用するには、WindowsまたはLinuxに関係なく、すべてのVDAマシンでActive Directoryにコンピューターオブジェクトが必要です。 Centrifyにより追加されたLinuxマシンがドメインに存在することを確認するには、次のコマンドを実行します。
-command コピー
-command コピー
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.79https://docs.citrix.com
su –
adinfo
Joined to domain値が有効であることと、CentrifyDC modeにconnectedが返されることを確認します。 CentrifyDC mode
がstartingのまま変化しない場合は、Centrifyクライアントにサーバーとの接続の問題、または認証の問題が発生しています。
次を使用すると、より包括的なシステム情報と診断情報を取得できます。
adinfo --sysinfo all
adinfo –diag
さまざまなActive DirectoryおよびKerberosサービスとの接続をテストするには、次のコマンドを実行します。
adinfo --test
手順4:Linux VDAのインストール
古いバージョンのアンインストール
バージョン1.1よりも古いバージョンのLinux VDAをインストールしている場合は、 新しいバージョンをインストールする前に古いバージョンは削除してください。
(a) 次のコマンドで、Linux VDAサービスを停止します。
sudo /sbin/service ctxvda stop
sudo /sbin/service ctxhdx stop
-command コピー
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.80https://docs.citrix.com
(b) 次のコマンドで、パッケージをアンインストールします。
sudo rpm -e XenDesktopVDA
Important最新およびその直前のバージョンからのアップグレードがサポートされます。
注意バージョン1.3以降、インストールパスが変更されます。 以前のリリースでは、インストールコンポーネントは/usr/local/に配置されていました。新しい場所は/opt/Citrix/VDA/です。
コマンドを実行するには、フルパスが必要です。代わりに、システムパスに/opt/Citrix/VDA/sbinと/opt/Citrix/VDA/binを追加す
ることもできます。
Linux VDAのインストール
Zypperを使用してLinux VDAソフトウェアをインストールします。
SUSE 11の場合:の場合:
sudo zypper install XenDesktopVDA-7.12.0.375-1.sle11_4.x86_64.rpm
SUSE 12の場合:の場合:
sudo zypper install XenDesktopVDA-7.12.0.375-1.sle12_1.x86_64.rpm
RPM Package Managerを使用してLinux VDAソフトウェアをインストールします。インストール前に、まず次の依存関係を無効にする必要があります。
-command コピー
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.81https://docs.citrix.com
SUSE 11の場合:の場合:
sudo rpm -i XenDesktopVDA-7.12.0.375-1.sle11_4.x86_64.rpm
SUSE 12の場合:の場合:
sudo rpm -i XenDesktopVDA-7.12.0.375-1.sle12_1.x86_64.rpm
Linux VDAのアップグレード
Linux VDA Version 1.2またはVersion 1.3をインストールしている場合は、RPM Package Managerを使用して、Linux VDAソフトウェアをアップグレードします。
SUSE 11の場合:の場合:
sudo rpm -U XenDesktopVDA-7.12.0.375-1.sle11_4.x86_64.rpm
SUSE 12の場合:の場合:
sudo rpm -U XenDesktopVDA-7.12.0.375-1.sle12_1.x86_64.rpm
RPM依存関係一覧(依存関係一覧(SUSE 11の場合)の場合)
postgresql-server >= 9.1.9
postgresql-jdbc >= 9.1
-command コピー
-command コピー
-command コピー
-command コピー
dependencies コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.82https://docs.citrix.com
postgresql-jdbc >= 9.1
java-1_7_0-openjdk >= 1.7.0.6
ImageMagick >= 6.4.3.6
ConsoleKit >= 0.2.10
dbus-1 >= 1.2.10
dbus-1-x11 >= 1.2.10
xorg-x11-libXpm >= 7.4
xorg-x11-libs >= 7.4
openmotif-libs >= 2.3.1
pam >= 1.1.5
libdrm >= 2.4.41
libpixman-1-0 >= 0.24.4
Mesa >= 9.0
openssl >= 0.9.8j
xorg-x11 >= 7.4
xorg-x11-fonts-core >= 7.4
xorg-x11-libXau >= 7.4
xorg-x11-libXdmcp >= 7.4
bash >= 3.2
findutils >= 4.4
gawk >= 3.1
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.83https://docs.citrix.com
gawk >= 3.1
sed >= 4.1
cups >= 1.3.7
foomatic-filters >= 3.0.0
openldap2 >= 2.4
cyrus-sasl >= 2.1
cyrus-sasl-gssapi >= 2.1
libxml2 >= 2.7
RPM依存関係一覧(依存関係一覧(SUSE 12の場合)の場合)
postgresql-server >= 9.3
postgresql-jdbc >= 9.2
java-1.7.0-openjdk >= 1.7.0
ImageMagick >= 6.8
dbus-1 >= 1.8.8
dbus-1-x11 >= 1.8.8
libXpm4 >= 3.5.11
libXrandr2 >= 1.4.2
libXtst6 >= 1.2.2
motif >= 2.3
dependencies コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.84https://docs.citrix.com
pam >= 1.1.8
bash >= 4.2
findutils >= 4.5
gawk >= 4.1
sed >= 4.2
cups >= 1.6.0
cups-filters-foomatic-rip >= 1.0.0
openldap2 >= 2.4
cyrus-sasl >= 2.1
cyrus-sasl-gssapi >= 2.1
libxml2 >= 2.9
Importantアップグレード後は、Linux VDAマシンを再起動してください。
手順5:Linux VDAの実行
ctxsetup.shスクリプトを使用してLinux VDAを構成したら、次のコマンドを使用してLinux VDAを制御します。
Linux VDAの起動の起動
Linux VDAサービスを起動するには、次のコマンドを実行します。
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.85https://docs.citrix.com
sudo /sbin/service ctxhdx start
sudo /sbin/service ctxvda start
Linux VDAの停止の停止
Linux VDAサービスを停止するには、次のコマンドを実行します。
sudo /sbin/service ctxvda stop
sudo /sbin/service ctxhdx stop
Linux VDAの再起動の再起動
Linux VDAサービスを再起動するには、次のコマンドを実行します。
sudo /sbin/service ctxvda stop
sudo /sbin/service ctxhdx restart
sudo /sbin/service ctxvda start
Linux VDAの状態の確認の状態の確認
Linux VDAの状態の確認するには
-command コピー
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.86https://docs.citrix.com
sudo /sbin/service ctxvda status
sudo /sbin/service ctxhdx status
手順6:Linux VDAの構成
パッケージのインストール後、ctxsetup.shスクリプトを実行して、Linux VDAを構成する必要があります。 パッケージをアップグレードした場合、ctxsetup.shスクリプトを実行してアップグレードを完了する必要があります。 変更を行う前に、このスクリプトでは、環境を確認し、すべての依存コンポーネントがインストールされていることが確認されます。 必要に応じて、いつでもこのスクリプトを再実行して設定を変更できます。
このスクリプトは、手動で質問に回答しながら、または事前に構成した回答を使用して自動で実行できます。 続行する前に、次のコマンドを使用してこのスクリプトのヘルプを確認します。
sudo /opt/Citrix/VDA/sbin/ctxsetup.sh –help
質問に回答する構成
次のようにして、質問に回答する手動構成を実行します。
sudo /opt/Citrix/VDA/sbin/ctxsetup.sh
自動化された構成
インストールを自動化するために、環境変数を使用して、セットアップスクリプトで必要となるオプションを指定できます。必要な変数がすべて指定されていると、スクリプトによってユーザーに情報の入力を求めるメッセージが表示されることがなくなります。
サポートされる環境変数には次のようなものがあります。
CTX_XDL_SUPPORT_DDC_AS_CNAME = Y | N - Linux VDAでは、DNS CNAMEレコードを使用して、Delivery Controller名を指定することができます。 通常は、Nに設定します。CTX_XDL_DDC_LIST = list-ddc-fqdns - Linux VDAには、配信の登録に使用するDelivery Controllerの完全修飾ドメイン名が必要です。 (FQDN)のスペース区切りの一覧が必要です。 1つ以上の完全修飾ドメイン名またはCNAMEエイリアスを指定する必要があります。
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.87https://docs.citrix.com
CTX_XDL_VDA_PORT = port-number - Linux VDAは、TCP/IPポートを使用してDelivery Controllerと通信します。 通常は、ポート80です。CTX_XDL_REGISTER_SERVICE = Y | N - Linux Virtual Desktopサービスは、起動時の開始をサポートします。 通常は、Yに設定します。CTX_XDL_ADD_FIREWALL_RULES = Y | N - Linux Virtual Desktopサービスでは、ネットワーク受信接続がシステムのファイアウォールの通過を許可されている必要があります。 Linux Virtual Desktop用に、システムのファイアウォールの必要なポート(デフォルトではポート80およびポート1494)を自動で開放できます。 通常は、Yに設定します。CTX_XDL_AD_INTEGRATION = 1 | 2 | 3 | 4 - Linux VDAには、Delivery Controllerに対して認証するためにKerberos構成設定が必要です。 Kerberos構成は、システムにインストールおよび構成済みのActive Directory統合ツールから指定します。 次に示す、サポートされているActive Directory統合方法のうち、使用するものを指定します。
1 - Samba Winbind
2 - Quest Authentication Services
3 – Centrify DirectControl
4 – SSSD
CTX_XDL_HDX_3D_PRO= Y | N - Linux Virtual Desktopでは、HDX 3D Proがサポートされます。これは、強力なグラフィックアプリケーションの仮想化を最適にするための一連のグラフィックアクセラレーションテクノロジです。 HDX
3D Proをサポートするには、対応するNVIDIA GRIDグラフィックカードをインストールする必要があります。 HDX 3D Pro
を選択した場合、Virtual Delivery AgentはVDIデスクトップ(単一セッション)モード用に構成されます(すなわち、CTX_XDL_VDI_MODE=Yとなります)。 これは、SUSEではサポートされていません。 必ずこの値をNに設定してください。CTX_XDL_VDI_MODE= Y | N - 専用デスクトップ配信モデル(VDI)またはホストされる共有デスクトップ配信モデルのどちらとしてマシンを構成するかを決定します。 HDX 3D Pro環境の場合は、Yに設定する必要があります。 通常は、Nに設定します。CTX_XDL_SITE_NAME = dns-name - Linux VDAは、DNSを使用してLDAPサーバーを検出し、LDAPサービスレコードを照会します。 DNSの検索結果をローカルサイトに制限するには、DNSサイト名を指定します。 通常は、空(none)です。CTX_XDL_LDAP_LIST= list-ldap-servers - Linux VDAは、デフォルトではDNSを照会してLDAPサーバーを検出します。 ただし、DNSがLDAPサービスレコードを提供できない場合は、LDAPの完全修飾ドメイン名(FQDN)およびLDAPポートのスペース区切りの一覧(例:ad1.mycompany.com:389)を指定することができます。 通常は、空(none)です。CTX_XDL_SEARCH_BASE= search-base - Linux VDAは、デフォルトではActive Directoryドメインのルート(例:DC=mycompany,DC=com)に設定された検索ベースを使用してLDAPを照会します。 ただし、検索のパフォーマンスを改善するために検索ベースを指定できます(例:OU=VDI,DC=mycompany,DC=com)。 通常は、空(none)です。CTX_XDL_START_SERVICE = Y | N - Linux VDA構成の完了時にLinux VDAサービスが開始されるようにするかどうかを指定します。 通常は、Yに設定します。
注意現在、HDX 3D ProはSUSEでは使用できません。
次のようにして、環境変数を設定し、構成スクリプトを実行します。
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.88https://docs.citrix.com
export CTX_XDL_SUPPORT_DDC_AS_CNAME=Y|N
export CTX_XDL_DDC_LIST=list-ddc-fqdns
export CTX_XDL_VDA_PORT=port-number
export CTX_XDL_REGISTER_SERVICE=Y|N
export CTX_XDL_ADD_FIREWALL_RULES=Y|N
export CTX_XDL_AD_INTEGRATION=1|2|3|4
export CTX_XDL_HDX_3D_PRO=Y|N
export CTX_XDL_VDI_MODE=Y|N
export CTX_XDL_SITE_NAME=dns-name
export CTX_XDL_LDAP_LIST=list-ldap-servers
export CTX_XDL_SEARCH_BASE=search-base
export CTX_XDL_START_SERVICE=Y|N
sudo -E /opt/Citrix/VDA/sbin/ctxsetup.sh
sudoに-Eオプションを指定し、作成する新しいシェルに既存の環境変数を渡す必要があります。 Citrixは、最初の行に#!/bin/bashを記述し、上記のコマンドからなるシェルスクリプトファイルを作成することをお勧めします。
または、次のようにして、1つのコマンドですべてのパラメーターを指定することができます。
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.89https://docs.citrix.com
sudo CTX_XDL_SUPPORT_DDC_AS_CNAME=Y|N \
CTX_XDL_DDC_LIST=list-ddc-fqdns \
CTX_XDL_VDA_PORT=port-number \
CTX_XDL_REGISTER_SERVICE=Y|N \
CTX_XDL_ADD_FIREWALL_RULES=Y|N \
CTX_XDL_AD_INTEGRATION=1|2|3|4 \
CTX_XDL_HDX_3D_PRO=Y|N \
CTX_XDL_VDI_MODE=Y|N \
CTX_XDL_SITE_NAME=dns-name \
CTX_XDL_LDAP_LIST=list-ldap-servers \
CTX_XDL_SEARCH_BASE=search-base \
CTX_XDL_START_SERVICE=Y|N \
/opt/Citrix/VDA/sbin/ctxsetup.sh
構成変更の削除
シナリオによっては、Linux VDAパッケージをアンインストールしないで、ctxsetup.shスクリプトによって行われた構成変更を削除することが必要となる場合があります。
続行する前に、次のコマンドを使用してこのスクリプトのヘルプを確認します。
sudo /usr/local/sbin/ctxcleanup.sh --help
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.90https://docs.citrix.com
構成変更を削除するには、次のコマンドを実行します。
sudo /usr/local/sbin/ctxcleanup.sh
Importantこのスクリプトにより、すべての構成データがデータベースから削除され、Linux VDAを操作できなくなります。
構成ログ
ctxsetup.shおよびctxcleanup.shスクリプトでは、コンソールにエラーが表示され、次の構成ログファイルに追加情報が書き込まれます。
/tmp/xdl.configure.log
Linux VDAサービスを再起動し、変更を反映させます。
手順7:XenAppまたはXenDesktopでマシンカタログを作成
マシンカタログを作成し、Linux VDAマシンを追加する手順は、従来のWindows VDAでの方法とほとんど同じです。 このタスクを完了する方法のより総合的な説明については、Citrix製品ドキュメントを参照してください。
次のように、Linux VDAマシンを含むマシンカタログの作成にはいくつかの制約があるため、Windows VDAマシンのマシンカタログの作成手順と異なる点があります。
オペレーティングシステムには、次を選択します。ホストされる共有デスクトップ配信モデルの場合、[WindowsサーバーOS]オプションまたは[サーバーOS]オプション
VDI専用デスクトップ配信モデルの場合、[WindowデスクトップOS]オプションまたは[デスクトップOS]オプション
マシンが電源管理を行わない設定になっていることを確認します。PVSとMCSはLinux VDAではサポートされないため、ほかのサービスまたはテクノロジほかのサービスまたはテクノロジ(既存のイメージ)の展開方法を選択してください。同じマシンカタログで、Linux VDAマシンとWindows VDAマシンを混在させないでください。
注意
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.91https://docs.citrix.com
以前のバージョンのCitrix Studioでは、「Linux OS」という概念に対応していませんでした。ただし、[WindowsサーバーOS]オプ
ションまたは[サーバーOS]オプションを選択すると、同等のホストされる共有デスクトップ配信モデルが暗黙的に選択されます。
[WindowsデスクトップOS]オプションまたは[デスクトップOS]オプションを選択すると、XenDesktopのマシンごとに単一
ユーザーの配信モデルが暗黙的に選択されます。
ヒントマシンがActive Directoryドメインから削除された後に再度追加された場合は、そのマシンをマシンカタログから削除してから再度追
加する必要があります。
手順8:XenAppまたはXenDesktopでデリバリーグループを作成
デリバリーグループを作成し、Linux VDAマシンを含むマシンカタログを追加する手順は、Windows VDAマシンの場合とほとんど同じです。 このタスクを完了する方法のより総合的な説明については、オンラインのCitrix製品ドキュメントを参照してください。
Linux VDAマシンカタログを含むデリバリーグループを作成する場合は、次の制約があります。
配信の種類には、デスクトップを選択します。 Linux VDAマシンでは、アプリケーション配信はサポートされていません。必ず、選択するADユーザーおよびグループを、Linux VDAマシンにログオンするように適切に構成しておきます。認証されていない(匿名)ユーザーのログオンを許可しないでください。Windowsマシンを含むマシンカタログをデリバリーグループで混在させないでください。
Important公開機能はバージョン1.4以降でサポートされます。 同一マシンへのデスクトップおよびアプリケーションの配信は、Linux VDAでサ
ポートされていません。
マシンカタログおよびデリバリーグループを作成するためのCitrixドキュメントは、以下を参照してください。
XenDesktop 7.1
XenDesktop 7.5
XenDesktop 7.6
XenDesktop 7.7
XenDesktop 7.8
XenDesktop 7.9
XenDesktop 7.11
XenDesktop 7.12
上記より前のバージョンのXenDesktopはサポートされません。
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.92https://docs.citrix.com
Linux Virtual Delivery Agent for Ubuntuのインストール
Dec 22, 2016
手順1:Ubuntu for VDAをインストールする準備
ネットワーク構成の確認
Citrixは、続行前にネットワークを接続し、適切に構成することをお勧めします。
ホスト名の設定
マシンのホスト名が確実に正しく報告されるようにするには、/etc/hostnameファイルを変更してマシンのホスト名のみを記述します。
hostname
ホスト名へのループバックアドレスの割り当て
マシンのDNSドメイン名と完全修飾ドメイン名が確実に正しく報告されるようにするには、/etc/hostsファイルの以下の行を変更し、最初の2つのエントリとして完全修飾ドメイン名とホスト名を記述します。
127.0.0.1 hostname-fqdn hostname localhost
次に例を示します。
127.0.0.1 vda01.example.com vda01 localhost
ファイルのほかのエントリから、hostname-fqdnまたはhostnameに対するその他の参照を削除します。
注意Linux VDAでは、現在、NetBIOS名の切り捨てをサポートしていません。したがって、ホスト名は15文字以下にしてください。
ヒントa~z、A~Z、0~9、およびハイフン(-)の文字のみ使用してください。 アンダースコア(_)、スペース、およびその他の記号は使
用しないでください。 ホスト名を数字で開始したり、ハイフンで終了したりしないでください。
ホスト名の確認
次のコマンドで、ホスト名が正しく設定されていることを確認します。
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.93https://docs.citrix.com
hostname
これにより、そのマシンの完全修飾ドメイン名(FQDN)ではなく、そのホスト名のみが返されます。
次のコマンドで、完全修飾ドメイン名が正しく設定されていることを確認します。
hostname -f
これにより、そのマシンの完全修飾ドメイン名が返されます。
マルチキャストDNSの無効化
デフォルトの設定でマルチキャストDNS(mDNS)が有効であるため、名前解決の結果に不整合が発生する場合があります。
mDNSを無効にするには、/etc/nsswitch.confを編集して、以下を含む行を変更します。
hosts: files mdns_minimal [NOTFOUND=return] dns
目的:
hosts: files dns
名前解決とサービス到達可能性の確認
次のコマンドで、完全修飾ドメイン名が解決できることと、ドメインコントローラーとXenDesktop Delivery Controllerからpingに応答があることを確認します。
-command コピー
config コピー
config コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.94https://docs.citrix.com
nslookup domain-controller-fqdn
ping domain-controller-fqdn
nslookup delivery-controller-fqdn
ping delivery-controller-fqdn
完全修飾ドメイン名を解決できない、またはこれらのマシンのいずれかからpingに応答がない場合は、手順を確認してから次に進んでください。
時刻同期の構成(chrony)
VDA、XenDesktopのコントローラー、およびドメインコントローラーの間で正確な時刻同期を維持することは重要です。 仮想マシンとしてLinux VDAをホストすると、時刻が不正確になる問題が発生する可能性があります。 したがって、リモートのタイムサービスを使用して時刻を維持することをお勧めします。
chronyをインストールします。
apt-get install chrony
rootとして/etc/chrony/chrony.confを編集し、次のように各リモートタイムサーバーに対応するサーバーエントリを追加します。
server peer1-fqdn-or-ip-address iburst
server peer2-fqdn-or-ip-address iburst
一般的な環境では、時間はローカルドメインコントローラーから同期する必要があり、公開NTPプールサーバーから直接は同期しません。 ドメインの各Active Directoryドメインコントローラーに対応するサーバーエントリを追加します。
ループバックIPアドレス、localhost、パブリックサーバーの*.pool.ntp.orgエントリなど、一覧にあるその他のserverまたはpoolエントリを削除します。
-command コピー
config コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.95https://docs.citrix.com
変更を保存してから、次のコマンドでChronyデーモンを再起動します。
sudo systemctl restart chrony
OpenJDKのインストール
Linux VDAはOpenJDKに依存しています。 Runtime Environmentは、オペレーティングシステムのインストールの一部としてインストールされています。 次のコマンドで、このことを確認します。
sudo apt-get install -y default-jdk
PostgreSQLのインストール
Linux VDAには、Ubuntu 16.04にPostgreSQL 9.x以降が必要です。
sudo apt-get install -y postgresql
sudo apt-get install -y libpostgresql-jdbc-java
Motifのインストール
sudo apt-get install -y libxm4
ほかのパッケージのインストール
-command コピー
-command コピー
-command コピー
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.96https://docs.citrix.com
sudo apt-get install -y libsasl2-2
sudo apt-get install -y libsasl2-modules-gssapi-mit
sudo apt-get install -y libldap-2.4-2
sudo apt-get install -y krb5-user
sudo apt-get install -y cups
手順2:ハイパーバイザーの準備
サポートされるハイパーバイザー上で仮想マシンとしてLinux VDAを実行する場合、いくつかの変更が必要です。 使用するハイパーバイザーのプラットフォームに合わせて、次の変更を行います。 ベアメタルハードウェアでLinuxマシンを実行する場合、変更は必要ありません。
Citrix XenServerでの時間同期の修正
XenServerの時間同期機能が有効な場合、それぞれの準仮想化Linux仮想マシンで、NTPとXenServerの両方がシステムの時刻を管理しようとすることが原因となり問題が発生します。 システムの時刻とほかのサーバーの時刻との同期が失われるのを防ぐには、各Linuxゲストのシステムの時刻がNTPと同期する必要があります。 この状態にするには、ホストの時間同期を無効にする必要があります。 HVMモードでは、変更は必要ありません。
一部のLinuxディストリビューションでは、XenServer Toolsをインストールした状態で準仮想化Linuxカーネルを実行すると、XenServerの時間同期機能が存在し有効になっているかどうかをLinux仮想マシンから次のようにして確認できます。
su -
cat /proc/sys/xen/independent_wallclock
これにより、次のいずれかが返されます。
0 - 時間同期機能が有効となっていて、無効にする必要があります。1 - 時間同期機能が無効となっていて、これ以上の操作は必要ありません。
/proc/sys/xen/indepent_wallclockファイルが存在しない場合、以降の手順は不要です。
時間同期機能が有効な場合は、次のようにしてファイルに1を書き込んで無効にします。
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.97https://docs.citrix.com
sudo echo 1 > /proc/sys/xen/independent_wallclock
この変更を永続化し、再起動後も保持するには、/etc/sysctl.conf fileファイルを編集して、次の行を追加します。
xen.independent_wallclock = 1
これらの変更を確認するため、次のようにしてシステムを再起動します。
su -
cat /proc/sys/xen/independent_wallclock
これにより、値1が返されます。
Microsoft Hyper-Vでの時間同期の修正
Hyper-V Linux統合サービスがインストールされたLinux仮想ホストでは、Hyper-Vの時間同期機能を活用してホストオペレーティングシステムの時間を利用できます。 システムの時刻を正確な状態で維持するには、NTPサービスと共にこの機能を有効にする必要があります。
管理オペレーティングシステムで、次の操作を行います。
1. Hyper-Vマネージャーコンソールを開きます。
2. Linux仮想マシンの設定で、[統合サービス][統合サービス]を選択します。
3. [時刻の同期][時刻の同期]が選択されていることを確認します。
注意この方法はVMwareおよびXenServerの場合とは異なります。VMwareおよびXenServerでは、NTPとの競合を避けるためにホストの時
間同期を無効にします。 Hyper-Vの時間同期は、NTPと共存し、NTPの時間同期を補完することができます。
-command コピー
config コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.98https://docs.citrix.com
ESXおよびESXiでの時間同期の修正
VMwareの時間同期機能が有効な場合、それぞれの準仮想化Linux仮想マシンで、NTPとハイパーバイザーの両方がシステムの時刻を同期しようとすることが原因となり問題が発生します。 システムの時刻とほかのサーバーの時刻との同期が失われるのを防ぐには、各Linuxゲストのシステムの時刻がNTPと同期する必要があります。 この状態にするには、ホストの時間同期を無効にする必要があります。
VMware Toolsをインストールした状態で準仮想化Linuxカーネルを実行している場合は、次の操作を行います。
1. vSphere Clientを開きます。2. Linux仮想マシンの設定を編集します。3. [仮想マシンのプロパティ][仮想マシンのプロパティ]ダイアログボックスで、[オプション][オプション]タブをクリックします。4. [[VMware Tools]]を選択します。5. [詳細][詳細]ボックスで、[ホストとゲスト時間を同期][ホストとゲスト時間を同期]チェックボックスをオフにします。
手順3:WindowsドメインへのLinux仮想マシン(VM)の追加
Linux用のXenDesktopでサポートされるLinuxマシンをActive Directoryドメインに追加する方法は、以下のように複数あります。
Samba Winbind
Quest Authentication Services
Centrify DirectControl
選択した方法に応じて、以下の手順に従います。
Samba Winbind
次のようにして、必要なパッケージをインストールまたは更新します。
sudo apt-get install winbind samba libnss-winbind libpam-winbind krb5-config krb5-locales krb5-user
起動時に起動時にWinbindデーモンが開始するようにするデーモンが開始するようにする
次のコマンドで、起動時にWinbindデーモンが開始するように構成する必要があります。
sudo systemctl enable winbind
Kerberosの構成の構成
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.99https://docs.citrix.com
rootとして/etc/krb5.confを開き、次を設定します。
[libdefaults]
default_realm = REALM
dns_lookup_kdc = false
[realms]
REALM = {
admin_server = domain-controller-fqdn
kdc = domain-controller-fqdn
}
[domain_realm]
domain-dns-name = REALM
.domain-dns-name = REALM
ここでdomain-dns-nameプロパティは、DNSドメイン名(example.comなど)です。 REALMは大文字のKerberosレルム名で、EXAMPLE.COMなどです。
Winbind認証の構成認証の構成
RHELのauthconfigや、SUSEのYaST2のようなツールがUbuntuにないため、手動で構成する必要があります。
/etc/samba/smb.confを開き、次を設定します。
config コピー
config コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.100https://docs.citrix.com
[global]
workgroup = WORKGROUP
security = ADS
realm = RELEAM
encrypt passwords = yes
idmap config *:range = 16777216-33554431
winbind trusted domains only = no
kerberos method = secrets and keytab
winbind refresh tickets = yes
template shell = /bin/bash
WORKGROUPは、REALMの最初のフィールドです。REALMは大文字のKerberosレルム名です。
nsswitchの構成の構成
/etc/nsswitch.confを開き、winbindを次の行に追加します。
passwd: compat winbind
group: compat winbind
Windowsドメインへの参加ドメインへの参加
これには、ドメインコントローラーに到達できることと、コンピューターをドメインに追加する権限を持つActive Directory
ユーザーアカウントが必要です。
config コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.101https://docs.citrix.com
sudo net ads join REALM -U user
ここで、REALMは大文字のKerberosレルム名で、userはコンピューターをドメインに追加する権限を持つドメインユーザーです。
winbindを再起動します。を再起動します。
sudo systemctl restart winbind
Winbind用の用のPAMの構成の構成
次のコマンドを実行して、Winbind NT/Active Directory認証認証を確認し、[ログイン時にホームディレクトリを作成す[ログイン時にホームディレクトリを作成する]る]チェックボックスがオンになっているようにします。
sudo pam-auth-update
ヒントマシンがドメインに参加済みの場合にのみ、winbindデーモンは実行を続けます。
ドメインメンバーシップの確認ドメインメンバーシップの確認
XenDesktopのコントローラーを使用するには、WindowsまたはLinuxに関係なく、すべてのVDAマシンでActive Directoryにコンピューターオブジェクトが必要です。
次のように、Sambaのnet adsコマンドを使用して、マシンがドメインに参加していることを確認します。
-command コピー
-command コピー
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.102https://docs.citrix.com
sudo net ads testjoin
次のコマンドで、追加のドメインおよびコンピューターオブジェクトの情報を確認できます。
sudo net ads info
Kerberos構成の確認構成の確認
Linux VDAで使用できるようにKerberosが正しく構成されていることを確認するには、次のコマンドによって、システムのkeytabファイルが作成済みでkeytabファイルに有効なキーが含まれていることを確認します。
sudo klist -ke
これにより、プリンシパル名と暗号スイートのさまざまな組み合わせに対して使用できるキーの一覧が表示されます。Kerberosのkinitコマンドを実行し、これらのキーを使用して、マシンをドメインコントローラーに対して認証します。
sudo kinit -k MACHINE\$@REALM
マシン名とレルム名は大文字で指定し、ドル記号($)はシェルによる置き換えを防ぐためにバックスラッシュ(\)でエスケープする必要があります。 環境によっては、DNSドメイン名がKerberosレルム名と異なります。したがって、必ずレルム名を使用します。 このコマンドが成功すると、出力は表示されません。
次のコマンドを使用して、マシンアカウントのTGTチケットがキャッシュされたことを確認します。
-command コピー
-command コピー
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.103https://docs.citrix.com
sudo klist
次のコマンドを使用して、マシンのアカウントの詳細を調査します。
sudo net ads status
ユーザー認証の確認ユーザー認証の確認
次のように、wbinfoツールを使用して、ドメインユーザーがドメインに対して認証できることを確認します。
wbinfo --krb5auth=domain\\username%password
ここで指定するドメインはADドメイン名で、Kerberosレルム名ではありません。 bashシェルの場合、バックスラッシュ文字(\)は、もう1つバックスラッシュ文字を指定してエスケープする必要があります。 このコマンドにより、成功または失敗を示すメッセージが返されます。
Winbind PAMモジュールが正しく構成されていることを確認するには、次のように、以前にマシンにログオンしたことがないドメインユーザーアカウントを使用してローカルでログオンします。
ssh localhost -l domain\\username
id -u
次のコマンドで、id -uコマンドによって返されたUIDに対応するKerberos資格情報キャッシュファイルが作成されたことを確認します。
-command コピー
-command コピー
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.104https://docs.citrix.com
ls /tmp/krb5cc_uid
次のコマンドで、ユーザーのKerberos資格情報キャッシュのチケットが有効で、期限切れではないことを確認します。
klist
次のコマンドで、セッションを終了します。
exit
GnomeコンソールまたはKDEコンソールに直接ログオンすると、同様のテストを実行できます。
ヒントユーザー認証に成功しても、ドメインアカウントでログインしたときにデスクトップを表示できない場合、マシンを再起動して再試
行します。
Quest Authentication Services
ドメインコントローラーでのドメインコントローラーでのQuestの構成の構成
次の操作は、QuestソフトウェアをActive Directoryドメインコントローラーにインストールし、構成していることと、管理者特権が付与され、Active Directoryにコンピューターオブジェクトを作成できることを前提としています。
Linux VDAマシンにドメインユーザーがログオンできるようにするマシンにドメインユーザーがログオンできるようにする
Linux VDAマシンでHDXセッションを確立する必要がある各ドメインユーザーに対して、次の操作を行います。
1. [Active Directoryユーザーとコンピューター]管理コンソールで、目的のユーザーアカウントのActive Directoryユーザーのプロパティを開きます。
2. [[Unix Account]]タブを選択します。3. [[Unix-enabled]]チェックボックスをオンにします。4. [[Primary GID Number]]のプライマリGID番号を、実際のドメインユーザーグループのグループIDに設定します。
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.105https://docs.citrix.com
注意この手順は、ドメインユーザーがコンソール、RDP、SSH、またはその他のリモート処理プロトコルを使用してログオンできるように
設定する場合も同じです。
Linux VDAでのでのQuestの構成の構成
SELinuxポリシー適用の回避策ポリシー適用の回避策
デフォルトのRHEL環境では、SELinuxが完全に適用されています。 これは、Questが使用するUnixドメインソケットのIPCのメカニズムに干渉し、ドメインユーザーのログオンを妨げます。
ヒント回避策はいくつかあり、その概要はこちらで説明されています。
最も簡単な方法は、SELinuxを無効にすることです。 rootとして、/etc/selinux/configを編集し、SELinux設定を次のとおりに変更します。
SELINUX=disabled
この変更を行うには、次のコマンドで再起動する必要があります。
reboot
Importantこの設定は注意して使用してください。 SELinuxポリシーの適用を無効にした後に再度有効にすると、ルートユーザーやその他のロー
カルユーザーであっても、完全にロックアウトされてしまう可能性があります。
VASデーモンの構成デーモンの構成
次のようにKerberosチケットの自動更新を有効にして、切断する必要があります。また、認証(オフラインログオン)は無効にする必要があります。
config コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.106https://docs.citrix.com
sudo /opt/quest/bin/vastool configure vas vasd auto-ticket-renew-interval 32400
sudo /opt/quest/bin/vastool configure vas vas_auth allow-disconnected-auth false
これにより、更新間隔が9時間(32400秒)に設定されます。すなわち、チケットのデフォルトの有効期間である10時間よりも1時間短くなります。 チケットの有効期間がさらに短いシステムでは、より小さい値をこのパラメーターに設定します。
PAMおよびおよびNSSの構成の構成
Questでは、HDXや、su、ssh、RDPなどのその他のサービスを介したドメインユーザーのログインを可能にするには、PAM
とNSSを手動で構成する必要があります。 PAMおよびNSSを構成するには、次のコマンドを実行します。
sudo /opt/quest/bin/vastool configure pam
sudo /opt/quest/bin/vastool configure nss
Windowsドメインへの参加ドメインへの参加
次のように、Questのvastoolコマンドを使用して、LinuxマシンをActive Directoryドメインに追加します。
sudo /opt/quest/bin/vastool -u user join domain-name
userは、コンピューターをActive Directoryドメインに追加する権限を持つ任意のドメインユーザーです。 domain-nameは、ドメインのDNS名(example.comなど)です。
ドメインメンバーシップの確認ドメインメンバーシップの確認
XenDesktopのコントローラーを使用するには、WindowsまたはLinuxに関係なく、すべてのVDAマシンでActive Directoryにコンピューターオブジェクトが必要です。 Questによって追加されたLinuxマシンがドメインに存在することを確認するには、次のコマンドを実行します。
-command コピー
-command コピー
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.107https://docs.citrix.com
sudo /opt/quest/bin/vastool info domain
マシンがドメインに参加している場合は、ドメイン名が返されます。 参加していない場合は、次のエラーが表示されます。
ERROR: No domain could be found.
ERROR: VAS_ERR_CONFIG: at ctx.c:414 in _ctx_init_default_realm
default_realm not configured in vas.conf. Computer may not be joined to domain
ユーザー認証の確認ユーザー認証の確認
QuestがPAMを使用してドメインユーザーを認証できることを確認するには、次のように、以前にマシンにログオンしたことがないドメインユーザーアカウントを使用してログオンします。
ssh localhost -l domain\\username
id -u
次のコマンドで、id -uコマンドによって返されたUIDに対応するKerberos資格情報キャッシュファイルが作成されたことを確認します。
ls /tmp/krb5cc_uid
次のコマンドで、ユーザーのKerberos資格情報キャッシュのチケットが有効で、期限切れではないことを確認します。
エラー コピー
-command コピー
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.108https://docs.citrix.com
/opt/quest/bin/vastool klist
次のコマンドで、セッションを終了します。
exit
Centrify DirectControl
Windowsドメインへの参加ドメインへの参加
Centrify DirectControl Agentがインストールされている場合、次のようにCentrifyのadjoinコマンドを使用して、LinuxマシンをActive Directoryドメインに追加します。
su –
adjoin -w -V -u user domain-name
userパラメーターは、コンピューターをActive Directoryドメインに追加する権限を持つ任意のActive Directoryドメインユーザーです。 domain-nameパラメーターは、Linuxマシンを追加するドメインの名前です。
ドメインメンバーシップの確認ドメインメンバーシップの確認
XenDesktopのコントローラーを使用するには、WindowsまたはLinuxに関係なく、すべてのVDAマシンでActive Directoryにコンピューターオブジェクトが必要です。 Centrifyにより追加されたLinuxマシンがドメインに存在することを確認するには、次のコマンドを実行します。
su –
adinfo
-command コピー
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.109https://docs.citrix.com
Joined to domain値が有効であることと、CentrifyDC modeにconnectedが返されることを確認します。 CentrifyDC mode
がstartingのまま変化しない場合は、Centrifyクライアントにサーバーとの接続の問題、または認証の問題が発生しています。
次を使用すると、より包括的なシステム情報と診断情報を取得できます。
adinfo --sysinfo all
adinfo --diag
さまざまなActive DirectoryおよびKerberosサービスとの接続をテストするには、次のコマンドを実行します。
adinfo --test
Linux VDAでのSSSDの構成
Kerberosの構成の構成
Kerberosのインストールのインストール
sudo apt-get install krb5-user
Kerberosを構成するには、/etc/krb5.confをルートとして開き、次を設定します。
-command コピー
-command コピー
-command コピー
設定 コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.110https://docs.citrix.com
[libdefaults]
default_realm = REALM
dns_lookup_kdc = false
[realms]
REALM = {
admin_server = domain-controller-fqdn
kdc = domain-controller-fqdn
}
[domain_realm]
domain-dns-name = REALM
.domain-dns-name = REALM
ここでdomain-dns-nameプロパティは、DNSドメイン名(example.comなど)です。 REALMは大文字のKerberosレルム名で、EXAMPLE.COMなどです。
ドメインに参加するドメインに参加する
SSSDを構成して、Active DirectoryをIDプロバイダーおよび認証のKerberosとして使用します。 ただし、SSSDでは、ドメイン参加とシステムのkeytabファイルの管理に関するADのクライアント機能が提供されていません。 これを取得するには次のような方法があります。
adcli
samba
realmd
注意ここでは、adcliおよびsambaについてのみ説明します。
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.111https://docs.citrix.com
adcliを使用してドメインに参加を使用してドメインに参加
adcliのインストールのインストール/更新更新
必要なパッケージがインストールされていない場合、インストールします。
sudo apt-get install adcli
パッケージが既にインストールされている場合、更新することをお勧めします。
sudo apt-get update adcli
adcliでドメインに参加するでドメインに参加する
次を使用して古いシステムkeytabファイルを削除し、ドメインに参加します。
su -
rm -rf /etc/krb5.keytab
adcli join domain-dns-name -U user -H hostname-fqdn
userは、ドメインにマシンを追加する権限があるドメインユーザーです。hostname-fqdnは、FQDN形式のマシンのホスト名です。
-Hオプションは、adcliがLinux VDAで必要な、host/hostname-fqdn@REALMの形式でSPNを生成するのに必要です。
システムシステムKeytabの検証の検証
adcliツールの機能は限定されているため、マシンがドメインに参加したかをテストする方法は提供しません。 システムのkeytabファイルが作成されたかを確認する最適な方法は、次の通りです。
-command コピー
-command コピー
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.112https://docs.citrix.com
sudo klist -ket
各キーのタイムスタンプが、マシンがドメインに参加した時刻と一致するかを検証します。
sambaを使用してドメインに参加するを使用してドメインに参加する
パッケージのインストールパッケージのインストール
sudo apt-get install samba
sambaの構成の構成
/etc/samba/smb.confを開き、次を設定します。
[global]
workgroup = WORKGROUP
security = ADS
realm = RELEAM
client signing = yes
client use spnego = yes
kerberos method = secrets and keytab
WORKGROUPは、REALMの最初のフィールドです。REALMは大文字のKerberosレルム名です。
sambaでドメインに参加するでドメインに参加する
これには、ドメインコントローラーに到達できることと、コンピューターをドメインに追加する権限を持つWindowsアカウン
-command コピー
config コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.113https://docs.citrix.com
トが必要です。
sudo net ads join REALM -U user
ここで、REALMは大文字のKerberosレルム名で、userはコンピューターをドメインに追加する権限を持つドメインユーザーです。
SSSDのセットアップのセットアップ
必要なパッケージのインストールまたは更新必要なパッケージのインストールまたは更新
必要なSSSDおよび構成パッケージがインストールされていない場合、インストールします。
sudo apt-get install sssd
パッケージが既にインストールされている場合、更新することをお勧めします。
sudo apt-get update sssd
注意Ubuntuのインストールプロセスは、デフォルトで自動的にnsswitch.confおよびPAMログインモジュールを構成します。
SSSDの構成の構成
SSSDデーモンを起動する前に、SSSD構成の変更が必要です。 SSSDのバージョンによっては、/etc/sssd/sssd.conf構成ファイルがデフォルトでインストールされていません。手動で作成する必要があります。 rootとして/etc/sssd/sssd.confを作成する、または開いて、次を設定します。
[sssd]
-command コピー
-command コピー
-command コピー
config コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.114https://docs.citrix.com
services = nss, pam
config_file_version = 2
domains = domain-dns-name
[domain/domain-dns-name]
id_provider = ad
access_provider = ad
auth_provider = krb5
krb5_realm = REALM
# Set krb5_renewable_lifetime higher if TGT renew lifetime is longer than 14 days
krb5_renewable_lifetime = 14d
# Set krb5_renew_interval to lower value if TGT ticket lifetime is shorter than 2 hours
krb5_renew_interval = 1h
krb5_ccachedir = /tmp
krb5_ccname_template = FILE:%d/krb5cc_%U
# This ldap_id_mapping setting is also the default value
ldap_id_mapping = true
override_homedir = /home/%d/%u
default_shell = /bin/bash
ad_gpo_map_remote_interactive = +ctxhdx
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.115https://docs.citrix.com
注意ldap_id_mappingは、trueに設定されるため、SSSD自体がWindows SIDをUnix UIDにマッピングします。 設定しない場合、Active
DirectoryがPOSIX拡張を提供できるようにする必要があります(詳しくは、RHELサイトを参照してください)。 PAMサービス
(ctxhdx)は、ad_gpo_map_remote_interactiveに追加されます。 詳しくは、『SSSD GPO-Based Access Control』を参照してくだ
さい。
ここでdomain-dns-nameプロパティは、DNSドメイン名(example.comなど)です。 REALMは大文字のKerberosレルム名で、EXAMPLE.COMなどです。 NetBIOSドメイン名を構成するための要件はありません。
ヒントこの構成設定について詳しくは、sssd.confおよびsssd-adのページを参照してください。
SSSDデーモンでは、構成ファイルに所有者読み取り権限のみが設定されている必要があります。
sudo chmod 0600 /etc/sssd/sssd.conf
SSSDデーモンの開始デーモンの開始
SSSDデーモンを開始して、起動時の開始を有効にします。
sudo systemctl start sssd
sudo systemctl enable sssd
PAM構成構成
次のコマンドを実行して、SSS authenticationを確認し、[ログイン時にホームディレクトリを作成する][ログイン時にホームディレクトリを作成する]チェックボックスがオンになっているようにします。
-command コピー
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.116https://docs.citrix.com
sudo pam-auth-update
ドメインメンバーシップの確認ドメインメンバーシップの確認
XenDesktopのコントローラーを使用するには、WindowsまたはLinuxに関係なく、すべてのVDAマシンでActive Directoryにコンピューターオブジェクトが必要です。
adcliを使用したドメインメンバーシップの確認を使用したドメインメンバーシップの確認
次のコマンドを実行して、ドメイン情報を表示します。
sudo adcli info domain-dns-name
sambaを使用したドメインメンバーシップの確認を使用したドメインメンバーシップの確認
次のように、Sambaのnet adsコマンドを使用して、マシンがドメインに参加していることを確認します。
sudo net ads testjoin
次のコマンドで、追加のドメインおよびコンピューターオブジェクトの情報を確認できます。
sudo net ads info
Kerberos構成の編集セクションの確認構成の編集セクションの確認
Linux VDAで使用できるようにKerberosが正しく構成されていることを確認するには、次のコマンドによって、システムのkeytabファイルが作成済みでkeytabファイルに有効なキーが含まれていることを確認します。
-command コピー
-command コピー
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.117https://docs.citrix.com
sudo klist -ke
これにより、プリンシパル名と暗号スイートのさまざまな組み合わせに対して使用できるキーの一覧が表示されます。Kerberosのkinitコマンドを実行し、これらのキーを使用して、マシンをドメインコントローラーに対して認証します。
sudo kinit -k MACHINE\$@REALM
マシン名とレルム名は大文字で指定し、ドル記号($)はシェルによる置き換えを防ぐためにバックスラッシュ(\)でエスケープする必要があります。 環境によっては、DNSドメイン名がKerberosレルム名と異なります。したがって、必ずレルム名を使用します。 このコマンドが成功すると、出力は表示されません。
次のコマンドを使用して、マシンアカウントのTGTチケットがキャッシュされたことを確認します。
sudo klist
ユーザー認証の編集セクションの確認ユーザー認証の編集セクションの確認
SSSDは、デーモンで直接認証をテストするコマンドラインツールを提供しません。PAM経由でのみ完了できます。
SSSD PAMモジュールが正しく構成されていることを確認するには、次のように、以前にマシンにログオンしたことがないドメインユーザーアカウントを使用してローカルでログオンします。
ssh localhost -l domain\\username
id -u
klist
exit
-command コピー
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.118https://docs.citrix.com
ユーザーのklistコマンドで返されるKerberosチケットが正しく、期限切れではないことを確認します。
rootとして、上記のid -uコマンドで返されたUIDに対応するチケットキャッシュファイルが作成されたことを確認します。
ls /tmp/krb5cc_uid
KDEまたはGnome Display Managerに直接ログオンすると、同様のテストを実行できます。
手順4:Linux VDAのインストール
1. Linux VDAのインストール
次のように、Debian Package Managerを使用して、Linux VDAソフトウェアをインストールします。
sudo dpkg -i xendesktopvda_7.12.0.375-1.ubuntu16.04_amd64.deb
UbuntuのDebian依存関係一覧
-command コピー
-command コピー
依存関係 コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.119https://docs.citrix.com
postgresql 9.5
libpostgresql-jdbc-java 9.2
default-jdk 2:1.8
imagemagick 8:6.8.9.9
ufw 0.35
ubuntu-desktop 1.361
libxrandr2 2:1.5.0
libxtst6 2:1.2.2
libxm4 2.3.4
util-linux 2.27.1
bash 4.3
findutils 4.6.0
sed 4.2.2
cups 2.1
libldap-2.4-2 2.4.42
libsasl2-modules-gssapi-mit 2.1.~
2. Linux VDAの構成
Importantパッケージのインストール後、ctxsetup.shスクリプトを実行して、Linux VDAを構成する必要があります。 パッケージをアップグ
レードした場合、ctxsetup.shスクリプトを実行してアップグレードを完了する必要があります。 変更を行う前に、このスクリプト
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.120https://docs.citrix.com
では、環境を確認し、すべての依存コンポーネントがインストールされていることが確認されます。 必要に応じて、いつでもこのス
クリプトを再実行して設定を変更できます。
このスクリプトは、手動で質問に回答しながら、または事前に構成した回答を使用して自動で実行できます。 続行する前に、次のコマンドを使用してこのスクリプトのヘルプを確認します。
sudo /opt/Citrix/VDA/sbin/ctxsetup.sh –help
質問に回答する構成
次のようにして、質問に回答する手動構成を実行します。
sudo /opt/Citrix/VDA/sbin/ctxsetup.sh
自動化された構成
インストールを自動化するために、環境変数を使用して、セットアップスクリプトで必要となるオプションを指定できます。必要な変数がすべて指定されていると、スクリプトによってユーザーに情報の入力を求めるメッセージが表示されることがなくなり、インストール処理をスクリプト化することができます。
サポートされる環境変数には次のようなものがあります。
CTX_XDL_SUPPORT_DDC_AS_CNAME = Y | N - Linux VDAでは、DNS CNAMEレコードを使用して、Delivery Controller名を指定できます。 通常は、Nに設定します。CTX_XDL_DDC_LIST = list-ddc-fqdns - Linux VDAには、配信の登録に使用するDelivery Controllerの完全修飾ドメイン名が必要です。 (FQDN)のスペース区切りの一覧が必要です。 1つ以上の完全修飾ドメイン名またはCNAMEエイリアスを指定する必要があります。CTX_XDL_VDA_PORT = port-number - Linux VDAは、TCP/IPポートを使用してDelivery Controllerと通信します。 通常は、ポート80です。CTX_XDL_REGISTER_SERVICE = Y | N - Linux Virtual Desktopサービスは、起動時の開始をサポートします。 通常は、Yに設定します。CTX_XDL_ADD_FIREWALL_RULES = Y | N - Linux Virtual Desktopサービスでは、ネットワーク受信接続がシステムのファイアウォールの通過を許可されている必要があります。 Linux Virtual Desktop用に、システムのファイアウォールの必要なポート(デフォルトではポート80およびポート1494)を自動で開放できます。 通常は、Yに設定します。CTX_XDL_AD_INTEGRATION = 1 | 2 | 3 | 4 - Linux VDAには、Delivery Controllerに対して認証するためにKerberos構成設定が必要です。 Kerberos構成は、システムにインストールおよび構成済みのActive Directory統合ツールから指定します。次に示す、サポートされているActive Directory統合方法のうち、使用するものを指定します。
1 - Samba Winbind
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.121https://docs.citrix.com
2 - Quest Authentication Services
3 – Centrify DirectControl
4 – SSSD
CTX_XDL_HDX_3D_PRO= Y | N - Linux Virtual Desktopでは、HDX 3D Proがサポートされます。これは、強力なグラフィックアプリケーションの仮想化を最適にするための一連のグラフィックアクセラレーションテクノロジです。 HDX
3D Proをサポートするには、対応するNVIDIA GRIDグラフィックカードをインストールする必要があります。 HDX 3D Pro
を選択した場合、Virtual Delivery AgentはVDIデスクトップ(単一セッション)モード用に構成されます(すなわち、CTX_XDL_VDI_MODE=Yとなります)。
CTX_XDL_VDI_MODE = Y | N - 専用デスクトップ配信モデル(VDI)またはホストされる共有デスクトップ配信モデルのうちどちらとしてマシンを構成するかを決定します。 HDX 3D Pro環境の場合は、Yに設定する必要があります。 通常は、Nに設定します。CTX_XDL_SITE_NAME = dns-name - Linux VDAは、DNSを使用してLDAPサーバーを検出し、LDAPサービスレコードを照会します。 DNSの検索結果をローカルサイトに制限するには、DNSサイト名を指定します。 通常は、空(none)です。CTX_XDL_LDAP_LIST = list-ldap-servers - Linux VDAは、デフォルトではDNSを照会してLDAPサーバーを検出します。 ただし、DNSがLDAPサービスレコードを提供できない場合は、LDAPの完全修飾ドメイン名(FQDN)およびLDAPポートのスペース区切りの一覧(例:ad1.mycompany.com:389)を指定することができます。 通常は、空(none)です。CTX_XDL_SEARCH_BASE = search-base - Linux VDAは、デフォルトではActive Directoryドメインのルート(例:DC=mycompany,DC=com)に設定された検索ベースを使用してLDAPを照会します。 ただし、検索のパフォーマンスを改善するために検索ベースを指定できます(例:OU=VDI,DC=mycompany,DC=com)。 通常は、空(none)です。CTX_XDL_START_SERVICE = Y | N - Linux VDA構成の完了時にLinux VDAサービスが開始されるようにするかどうかを指定します。 通常は、Yに設定します。
次のようにして、環境変数を設定し、構成スクリプトを実行します。
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.122https://docs.citrix.com
export CTX_XDL_SUPPORT_DDC_AS_CNAME=Y|N
export CTX_XDL_DDC_LIST=list-ddc-fqdns
export CTX_XDL_VDA_PORT=port-number
export CTX_XDL_REGISTER_SERVICE=Y|N
export CTX_XDL_ADD_FIREWALL_RULES=Y|N
export CTX_XDL_AD_INTEGRATION=1|2|3|4
export CTX_XDL_HDX_3D_PRO=Y|N
export CTX_XDL_VDI_MODE=Y|N
export CTX_XDL_SITE_NAME=dns-name
export CTX_XDL_LDAP_LIST=list-ldap-servers
export CTX_XDL_SEARCH_BASE=search-base
export CTX_XDL_START_SERVICE=Y|N
sudo -E /opt/Citrix/VDA/sbin/ctxsetup.sh
sudoに-Eオプションを指定し、作成する新しいシェルに既存の環境変数を渡す必要があります。 Citrixは、最初の行に#!/bin/bashを記述し、上記のコマンドからなるシェルスクリプトファイルを作成することをお勧めします。
または、次のようにして、1つのコマンドですべてのパラメーターを指定することができます。
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.123https://docs.citrix.com
sudo CTX_XDL_SUPPORT_DDC_AS_CNAME=Y|N \
CTX_XDL_DDC_LIST=list-ddc-fqdns \
CTX_XDL_VDA_PORT=port-number \
CTX_XDL_REGISTER_SERVICE=Y|N \
CTX_XDL_ADD_FIREWALL_RULES=Y|N \
CTX_XDL_AD_INTEGRATION=1|2|3|4 \
CTX_XDL_HDX_3D_PRO=Y|N \
CTX_XDL_VDI_MODE=Y|N \
CTX_XDL_SITE_NAME=dns-name \
CTX_XDL_LDAP_LIST=list-ldap-servers \
CTX_XDL_SEARCH_BASE=search-base \
CTX_XDL_START_SERVICE=Y|N \
/opt/Citrix/VDA/sbin/ctxsetup.sh
構成変更の削除
シナリオによっては、Linux VDAパッケージをアンインストールしないで、ctxsetup.shスクリプトによって行われた構成変更を削除することが必要となる場合があります。
続行する前に、次のコマンドを使用してこのスクリプトのヘルプを確認します。
sudo /opt/Citrix/VDA/sbin/ctxcleanup.sh --help
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.124https://docs.citrix.com
構成変更を削除するには、次のコマンドを実行します。
sudo /opt/Citrix/VDA/sbin/ctxcleanup.sh
Importantこのスクリプトにより、すべての構成データがデータベースから削除され、Linux VDAを操作できなくなります。
構成ログ
ctxsetup.shおよびctxcleanup.shスクリプトでは、コンソールにエラーが表示され、構成ログファイル/tmp/xdl.configure.logに追加情報が書き込まれます。
Linux VDAサービスを再起動し、変更を反映させます。
Linux VDAソフトウェアのアンインストール
Linux VDAのインストール状態の照会のインストール状態の照会
Linux VDAがインストールされているかどうかを確認したり、インストールされているパッケージのバージョンを表示するには、次のコマンドを実行します。
dpkg -l xendesktopvda
詳細を表示するには、次のコマンドを実行します。
apt-cache show xendesktopvda
注意Linux VDAソフトウェアをアンインストールすると、関連付けられたPostgreSQLおよびその他の構成データが削除されます。 ただ
-command コピー
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.125https://docs.citrix.com
し、Linux VDAのインストールより前にセットアップされた、PostgreSQLパッケージおよびその他の依存するパッケージは削除され
ません。
ヒントこのセクションでは、PostgreSQLなど、依存するパッケージの削除方法については説明していません。
手順5:Linux VDAの実行
ctxsetup.shスクリプトを使用してLinux VDAを構成したら、次のコマンドを使用してLinux VDAを制御します。
Linux VDAの起動の起動
Linux VDAサービスを起動するには、次のコマンドを実行します。
sudo systemctl start ctxhdx
sudo systemctl start ctxvda
Linux VDAの停止の停止
Linux VDAサービスを停止するには、次のコマンドを実行します。
sudo systemctl stop ctxvda
sudo systemctl stop ctxhdx
Linux VDAの再起動の再起動
Linux VDAサービスを再起動するには、次のコマンドを実行します。
-command コピー
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.126https://docs.citrix.com
sudo systemctl stop ctxvda
sudo systemctl restart ctxhdx
sudo systemctl restart ctxvda
Linux VDAの状態の確認の状態の確認
Linux VDAサービスの実行状態を確認するには、次のコマンドを実行します。
sudo systemctl status ctxvda
sudo systemctl status ctxhdx
手順6:XenAppまたはXenDesktopでマシンカタログを作成
マシンカタログを作成し、Linux VDAマシンを追加する手順は、従来のWindows VDAでの方法とほとんど同じです。 このタスクを完了する方法のより総合的な説明については、オンラインのCitrix製品ドキュメントを参照してください。
次のように、Linux VDAマシンを含むマシンカタログの作成にはいくつかの制約があるため、Windows VDAマシンのマシンカタログの作成手順と異なる点があります。
オペレーティングシステムには、次を選択します。ホストされる共有デスクトップ配信モデルの場合、[WindowsサーバーOS]オプションまたは[サーバーOS]オプション
VDI専用デスクトップ配信モデルの場合、[WindowデスクトップOS]オプションまたは[デスクトップOS]オプション
マシンが電源管理を行わない設定になっていることを確認します。PVSとMCSはLinux VDAではサポートされないため、ほかのサービスまたはテクノロジ(既存のイメージ)の展開方法を選択してください。同じマシンカタログで、Linux VDAマシンとWindows VDAマシンを混在させないでください。
注意以前のバージョンのCitrix Studioでは、「Linux OS」という概念に対応していませんでした。ただし、[WindowsサーバーOS]オプ
ションまたは[サーバーOS]オプションを選択すると、同等のホストされる共有デスクトップ配信モデルが暗黙的に選択されます。
[WindowsデスクトップOS]オプションまたは[デスクトップOS]オプションを選択すると、XenDesktopのマシンごとに単一
ユーザーの配信モデルが暗黙的に選択されます。
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.127https://docs.citrix.com
ヒントマシンがActive Directoryドメインから削除された後に再度追加された場合は、そのマシンをマシンカタログから削除してから再度追
加する必要があります。
手順7:XenAppまたはXenDesktopでデリバリーグループを作成
デリバリーグループを作成し、Linux VDAマシンを含むマシンカタログを追加する手順は、Windows VDAマシンの場合とほとんど同じです。 このタスクを完了する方法のより総合的な説明については、オンラインのCitrix製品ドキュメントを参照してください。
Linux VDAマシンカタログを含むデリバリーグループを作成する場合は、次の制約があります。
配信の種類には、デスクトップを選択します。 Linux VDAマシンでは、アプリケーション配信はサポートされていません。必ず、選択するADユーザーおよびグループを、Linux VDAマシンにログオンするように適切に構成しておきます。認証されていない(匿名)ユーザーのログオンを許可しないでください。Windowsマシンを含むマシンカタログをデリバリーグループで混在させないでください。
Importantアプリケーションの公開はサポートされません。 同一マシンへのデスクトップおよびアプリの配信は、Linux VDAでサポートされて
いません。
マシンカタログおよびデリバリーグループを作成するためのCitrixドキュメントは、以下を参照してください。
XenDesktop 7.1
XenDesktop 7.5
XenDesktop 7.6
XenDesktop 7.7
XenDesktop 7.8
XenDesktop 7.9
XenDesktop 7.11
XenDesktop 7.12
上記より前のバージョンのXenDesktopはサポートされません。
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.128https://docs.citrix.com
NISのActive Directoryとの統合
USBリダイレクトの設定
アプリケーションの公開
印刷
グラフィックの構成
匿名セッションの構成
ポリシーの設定
ポリシーサポート一覧
LDAPSの構成
.Xauthorityの構成
IPv6の構成
Linux VDAの構成
Dec 22, 2016
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.129https://docs.citrix.com
NISのActive Directoryとの統合
Dec 22, 2016
このトピックでは、SSSDを使用して、NISをLinux VDAのWindows Active Directory(AD)と統合する方法について説明します。 Linux VDAは、Citrix XenAppおよびXenDesktopのコンポーネントと考えられています。 そのためLinux VDAは、Windows Active Directory(AD)環境に密接に結びついています。
ADの代わりにNISをUIDおよびGIDプロバイダーとして使用するには、ADとNISでユーザー名とパスワードの組み合わせのアカウント情報を同一にする必要があります。
注意NISを使用した場合も、認証はADサーバーにより行われます。 NIS+はサポートされません。 NISをUIDおよびGIDプロバイダーとして使
用する場合、WindowsサーバーからのPOSIX属性は使用されません。
ヒントこれは、Linux VDAを展開する方法として廃止済みであるため、特定のユースケースでのみ使用してください。 RHEL/CentOSディス
トリビューションについては、こちらの手順に従ってください。 Ubuntuディストリビューションについては、こちらの手順に従って
ください。
SSSDとはとは
SSSDはシステムデーモンです。 SSSDの主な機能は、システムにキャッシュとオフラインサポートを提供する共通フレームワークを通じて、リモートリソースの識別および認証のアクセスを提供することです。 PAMやNSSモジュールを提供しており、将来的にはD-BUSベースのインターフェイスもサポートして、拡張ユーザー情報に対応する予定です。 また、ローカルユーザーアカウントと拡張ユーザー情報を保存するための優れたデータベースを提供します。
必要なソフトウェア
Active Directoryプロバイダーは、SSSD Version 1.9.0で初めて導入されました。 古いバージョンを使用している場合は、「Configuring the LDAP provider with Active Directory」の指示に従ってください。
次の環境については、このドキュメントに記載した指示を使用したテストおよび検証を行っています。
RHEL 7.2/CentOS 7.2
Linux VDA Version 1.3、1.4、7.12
NISのActive Directoryとの統合
NISをADと統合するには、次のことを行う必要があります。
1. Linux VDAをNISクライアントとして追加する2. ドメインに参加し、Sambaを使用してホストのkeytabを作成する3. SSSDのセットアップ4. NSS/PAMの構成
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.130https://docs.citrix.com
5. Kerberos構成の確認6. ユーザー認証の確認
Linux VDAをNISクライアントとして追加する
NISクライアントを構成します。
yum –y install ypbind rpcbind oddjob-mkhomedir
NISドメインを設定します。
ypdomainname nis.domain
echo "NISDOMAIN=nis.domain" >> /etc/sysconfig/network
NISサーバーとクライアントのIPアドレスを/etc/hostsに追加します。
{NIS server IP address} server.nis.domain nis.domain
authconfigでNISを構成します。
sudo authconfig --enablenis --nisdomain=nis.domain --nisserver=server.nis.domain --enablemkhomedir --update
nis.domainはNISサーバーのドメイン名、 server.nis.domainはNISサーバーのホスト名であり、またNISサーバーのIPアドレスでもあります。
NISのサービスを設定します。
-command コピー
-command コピー
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.131https://docs.citrix.com
sudo systemctl start rpcbind ypbind
sudo systemctl enable rpcbind ypbind
NISの構成が正しいことを確認します。
ypwhich
NISサーバーからアカウント情報が使用できることを確認します。
getent passwd nisaccount
注意nisaccountは、NISサーバーの実際のNISアカウントです。 UID、GID、ホームディレクトリ、およびログインシェルが正しく設定さ
れていることを確認します。
ドメインに参加し、Sambaを使用してホストのkeytabを作成する
SSSDでは、ドメイン参加とシステムのkeytabファイルの管理に関するActive Directoryのクライアント機能が提供されていません。 これを取得するには次のような方法があります。
adcli
realmd
winbind
samba
このセクションでは、Sambaによるアプローチについてのみ説明します。 realmdに関しては、RHELまたはCentOSのドキュメントを参照してください。 SSSDを構成する前に、以下の手順に従う必要があります。
ドメインに参加し、ドメインに参加し、Sambaを使用してホストのを使用してホストのkeytabを作成するを作成する
-command コピー
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.132https://docs.citrix.com
Linuxクライアントで、適切に構成されたファイルを使用します。
/etc/krb5.conf
/etc/samba/smb.conf:
SambaおよびKerberos認証用にマシンを構成します。
sudo authconfig --smbsecurity=ads --smbworkgroup=domain --smbrealm=REALM --krb5realm=REALM --krb5kdc=fqdn-of-domain-controller --update
ここで、REALMは大文字のKerberosレルム名で、domainはADドメインの短いNetBIOS名です。
KDCサーバーおよびレルム名をDNSベースで参照する必要がある場合は、次の2つのオプションを上記のコマンドに追加します。
--enablekrb5kdcdns --enablekrb5realmdns
/etc/samba/smb.confを開いて、[Global]セクションに次のエントリを追加します。ただし、追加するのは、authconfigツールによって生成されたセクションの後です。
kerberos method = secrets and keytab
Windowsドメインに参加するには、ドメインコントローラーに到達できることと、コンピューターをドメインに追加する権限を持つADユーザーアカウントが必要です。
sudo net ads join REALM -U user
ここで、REALMは大文字のKerberosレルム名で、userはコンピューターをドメインに追加する権限を持つドメインユーザーです。
-command コピー
-command コピー
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.133https://docs.citrix.com
SSSDのセットアップ
SSSDのセットアップは、以下の手順で構成されています。
Linuxクライアントマシンにsssd-adパッケージおよびsssd-proxyパッケージをインストールするさまざまなファイルに設定の変更を行う(sssd.confなど)SSSDサービスサービスを開始する
/etc/sssd/sssd.conf
sssd.confの設定の例(必要に応じて追加の設定を行うことができます)。
[sssd]
config_file_version = 2
domains = example
services = nss, pam
[domain/example]
# Uncomment if you need offline logins
# cache_credentials = true
re_expression = (((?P<domain>[^\\]+)\\(?P<name>.+$))|((?P<name>[^@]+)@(?P<domain>.+$))|(^(?P<name>[^@\\]+)$))
id_provider = proxy
proxy_lib_name = nis
auth_provider = ad
access_provider = ad
Config コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.134https://docs.citrix.com
# Should be specified as the lower-case version of the long version of the Active Directory domain.
ad_domain = ad.example.com
# Kerberos settings
krb5_ccachedir = /tmp
krb5_ccname_template = FILE:%d/krb5cc_%U
# Uncomment if service discovery is not working
# ad_server = server.ad.example.com
# Comment out if the users have the shell and home dir set on the AD side
default_shell = /bin/bash
fallback_homedir = /home/%d/%u
# Uncomment and adjust if the default principal SHORTNAME$@REALM is not available
# ldap_sasl_authid = host/[email protected]
ad.domain.comとserver.ad.example.comを対応する値で置き換えます。 詳しくは、『sssd-ad(5) - Linux man page』を参照してください。
ファイルの所有権およびアクセス権をsssd.confで設定します。
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.135https://docs.citrix.com
chown root:root /etc/sssd/sssd.conf
chmod 0600 /etc/sssd/sssd.conf
restorecon /etc/sssd/sssd.conf
NSS/PAMの構成
RHEL/CentOS
authconfigを使用してSSSDを有効にし、oddjob-mkhomedirをインストールしてホームディレクトリの作成がSELinuxと連携するようにします。
authconfig --enablesssd --enablesssdauth --enablemkhomedir --update
sudo systemctl start sssd
sudo systemctl enable sssd
ヒントLinux VDAの設定を行うときは、SSSDではLinux VDAクライアントの特別な設定がないことを考慮します。 ctxsetup.shスクリプトで
のその他の解決方法としては、デフォルト値を使用します。
Kerberos構成の確認
Linux VDAで使用できるようにKerberosが正しく構成されていることを確認するには、次のコマンドによって、システムのkeytabファイルが作成済みでkeytabファイルに有効なキーが含まれていることを確認します。
-command コピー
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.136https://docs.citrix.com
sudo klist -ke
これにより、プリンシパル名と暗号スイートのさまざまな組み合わせに対して使用できるキーの一覧が表示されます。Kerberosのkinitコマンドを実行し、これらのキーを使用して、マシンをドメインコントローラーに対して認証します。
sudo kinit –k MACHINE\$@REALM
マシン名とレルム名は大文字で指定し、ドル記号($)はシェルによる置き換えを防ぐためにバックスラッシュ(\)でエスケープする必要があります。 環境によっては、DNSドメイン名がKerberosレルム名と異なります。したがって、必ずレルム名を使用します。 このコマンドが成功すると、出力は表示されません。
次のコマンドを使用して、マシンアカウントのTGTチケットがキャッシュされたことを確認します。
sudo klist -ke
ユーザー認証の確認
getentコマンドを使用して、ログオン形式がサポートされていること、およびNSSが機能するかどうかを確認します。
sudo getent passwd DOMAIN\\username
DOMAINパラメーターは短い形式のドメイン名である必要があります。Citrix Receiverから別のログオン形式が必要な場合は、まずgetentを使用して確認します。
サポートされているログオン形式は次の通りです。
ダウンレベルログオン名:DOMAIN\username
NetBIOS サフィックス形式:username@DOMAIN
-command コピー
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.137https://docs.citrix.com
SSSD PAMモジュールが正しく構成されていることを確認するには、次のように、以前にマシンにログオンしたことがないドメインユーザーアカウントを使用してローカルでログオンします。
sudo localhost –l DOMAIN\\username
id -u
次のコマンドによって返されたUIDに対応するKerberos資格情報キャッシュファイルが作成されたことを確認します。
ls /tmp/krb5cc_{uid}
次のコマンドで、ユーザーのKerberos資格情報キャッシュのチケットが有効で、期限切れではないことを確認します。
klist
-command コピー
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.138https://docs.citrix.com
USBリダイレクトの設定
Dec 22, 2016
USBデバイスは、Citrix ReceiverとLinux VDAデスクトップ間で共有されます。 USBデバイスがデスクトップにリダイレクトされると、USBデバイスをローカルに接続されているかのように使用することができます。
USBリダイレクトの主な機能として、次の3つが挙げられます。
オープンソースプロジェクトの導入(VHCI)VHCIサービスUSBサービス
オープンソースオープンソースVHCI
USBリダイレクトのこの機能により、IPネットワーク上でシステムを共有する汎用USBデバイスを開発します。 この機能はLinuxカーネルドライバーおよびユーザーモードのライブラリで構成されており、ユーザーはカーネルドライバーと通信してすべてのUSBデータを取得することができます。 Linux VDAの導入ではVHCIのカーネルドライバーが再利用されますが、Linux
VDAとCitrix Receiver間のUSBデータ転送はすべてCitrix ICAプロトコルパッケージに格納されます。
VHCIサービスサービス
VHCIサービスは、Citrixが提供する、VHCIカーネルモジュールとの通信のためのオープンソースサービスです。 このサービスはVHCIとCitrix USBサービスの間のゲートウェイとして機能します。
USBサービスサービス
USBサービスは、USBデバイスでの仮想化およびデータ転送をすべて管理するCitrixモジュールです。
この記事は、次のセクションで構成されています。
USBリダイレクトのしくみUSBリダイレクトの設定USBリダイレクト問題のトラブルシューティングVHCIカーネルモジュールの構築既知の問題サポートされているUSBデバイス
USBリダイレクトのしくみ
通常、Linux VDAクライアントへのUSBデバイスのリダイレクトが正常に行われると、デバイスノードがシステムの/devパスに作成されます。 ただし、リダイレクトされたデバイスをLinux VDAのアクティブセッションで使用できないことがあります。USBデバイスが適切に機能するにはドライバーが必要で、デバイスによっては特定のドライバーが必要な場合もあります。ドライバーが提供されていないと、リダイレクトされたUSBデバイスがLinux VDAのアクティブセッションにアクセスできない問題を引き起こします。 このような問題が生じた場合は、ドライバーをインストールしてシステムを適切に構成し、USBデバイスの接続を確実にする必要があります。
Linux VDAは、クライアントへのリダイレクトが正常に行われたUSBデバイスの一覧をサポートしています。 また、デバイス、特にUSBディスクが適切にマウントされるため、ユーザーは追加の設定なしでディスクにアクセスすることができます。
USBリダイレクトの設定
USBデバイスのリダイレクトの有効化および無効化は、Citrixポリシーにより制御されます。 また、DDCポリシーを使用してデ
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.139https://docs.citrix.com
バイスの種類を指定することもできます。 USBリダイレクトをLinux VDAに設定するには、次の設定が必要です。
クライアントUSBデバイスリダイレクトポリシークライアントUSBデバイスリダイレクト規則
USBリダイレクトポリシーを有効にする
Citrix Studioで、クライアントとUSBデバイス間のリダイレクトを有効または無効にします(ワークステーションのホストの場合のみ)。
[設定の編集]ダイアログボックスで、以下の設定を行います。
1. [許可][許可]を選択します。2. [[OK]]をクリックします。
USBリダイレクト規則の設定
USBリダイレクトポリシーを有効にしたら、Citrix Studioを使用して、Linux VDAクライアントでの使用を許可または禁止するデバイスを指定して、リダイレクト規則を設定します。
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.140https://docs.citrix.com
[クライアントUSBデバイスリダイレクト規則]ダイアログボックスで、
1. [新規][新規]をクリックしてリダイレクト規則を追加するか、[編集][編集]をクリックして既存の規則を参照します。
2. 規則の作成または変更後、[[OK]]をクリックします。
注意汎用USBリダイレクトの設定について、詳しくは、「Citrixの汎用USBリダイレクトの設定ガイド」を参照してください。
USBリダイレクト問題のトラブルシューティング
このセクションでは、Linux VDAの使用におけるさまざまな問題のトラブルシューティングについて説明します。
Receiverツールバーにデバイスが表示されないツールバーにデバイスが表示されない
Citrix Receiverツールバーにデバイスが表示されなくなることがありますが、これはUSBリダイレクトが行われていないことを示します。 この問題が発生した場合は、次のことを確認します。
ポリシーがUSBリダイレクトを許可する設定になっている
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.141https://docs.citrix.com
カーネルモジュールが使用するカーネルに対応している
ReceiverツールバーにツールバーにUSBデバイスが表示されるものの、デバイスが表示されるものの、ポリシーの制限ポリシーの制限と表記されていてリダイレクトが失敗すると表記されていてリダイレクトが失敗する
この問題はデバイスのポリシー設定が原因で発生します。 このような場合は、
Linux VDAポリシーを、リダイレクトを有効にする設定にします。追加のポリシー制限事項がReceiverレジストリで設定されていないかを確認します。Receiverレジストリの設定により、デバイスがブロックされている可能性があります。 レジストリパスのDeviceRulesをチェックして、この設定でデバイスのアクセスが禁止されていないことを確認します。
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Citrix\ICA Client\GenericUSB
注意詳しくは、Citrixサポートサイトの「USBデバイスの自動リダイレクトの設定」を参照してください。
USBデバイスのリダイレクトは正常に行われるが、セッションでデバイスを使用できないデバイスのリダイレクトは正常に行われるが、セッションでデバイスを使用できない
通常、リダイレクトできるUSBデバイス は「サポートされているデバイス一覧」に掲載されたデバイスのみとなります。ただし、一覧に掲載されていないデバイスでもLinux VDAのアクティブなセッションにリダイレクトできる場合があります。 このような場合は、リダイレクトしたデバイスごとに、ユーザーの所有するノードがシステムの/devパスに作成されます。 ただし、ユーザーがデバイスを正常に使用できるかどうかはドライバーと構成によって決定されます。 所有(プラグイン)しているもののアクセスできないデバイスを見つけた場合は、そのデバイスを制限されていないポリシーに追加します。
注意USBドライバーの場合は、Linux VDAがディスクの設定とマウントを行います。 ユーザー(およびデバイスをインストールした所有者
のみ)は追加の設定なしでディスクにアクセスできます。 「サポートされているデバイス一覧」に掲載されていないデバイスについ
ては、これが適用されないことがあります。
VHCIカーネルモジュールの構築
USBリダイレクトはVHCIカーネルモジュール(usb-vhci-hcd.koおよびusb-vhci-iocif.ko)によって異なります。 これらのモジュールは、RPMパッケージの一部としてLinux VDAディストリビューションに含まれます。 これらはLinux公式ディストリビューションのカーネルをベースにコンパイルされたもので、下の表にまとめています。
サポートされているサポートされているLinuxディストリビューションディストリビューション カーネルバージョンカーネルバージョン
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.142https://docs.citrix.com
RHEL 6.8 2.6.32-573.8.1.el6.x86_64
RHEL 7.2 3.10.0-327.22.2.el7.x86_64
SUSE 11.4 3.0.101-0.47.55-default
SUSE 12.1 3.12.60-52.6-default
Ubuntu 16.04 4.4.0-45-generic
Important使用するマシンのカーネルが、Linux VDA用にCitrixの作成したドライバーに対応していない場合は、USBサービスの起動が失敗するこ
とがあります。 この場合、VHCIカーネルモジュールを構築するまではUSBリダイレクト機能を使用できません。
使用するカーネルがCitrixの構築したモジュールに対応しているかを確認する
コマンドラインで次のコマンドを実行し、カーネルが対応しているかを確認します。
insmod /opt/Citrix/VDA/lib64/usb-vhci-hcd.ko
コマンドが正常に実行される場合は、カーネルモジュールのロードに成功し、バージョンがCitrixによりインストールされたものに対応しています。
コマンドの実行でエラーが生じた場合、カーネルはCitrixのモジュールに対応していないため、再構築の必要があります。
VHCIカーネルモジュールの再構築
カーネルモジュールがCitrixのバージョンに対応していない場合は、次の手順に従います。
1. Citrixのダウンロードサイトから、LVDAソースコードをダウンロードします。 「Linux Virtual Delivery Agent (sources)」セクションに含まれるファイルを選択します。
2. citrix-linux-vda-sources.zipからファイルを復元します。linux-vda-souces/vhci-hcd-1.15.tar.bz2でVHCIソースファイルを取得できます。tar xvf vhci-hcd-1.15.tar.bz2を使用してVHCIファイルを復元できます。
3. ヘッダーファイルおよびModule.symversファイルに基づいて、カーネルモジュールを構築します。 適切なLinuxディストリビューションに基づき、次の手順に従って、カーネルヘッダーファイルをインストールしてModule.symversを作成します。
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.143https://docs.citrix.com
RHEL 7.2
yum install kernel-devel
RHEL 6.8
yum install kernel-headers
SUSE 12.1
zypper install kernel-devel
zypper install kernel-source
SUSE 11.4
zypper install kernel-source
Ubuntu 16.04
apt-get install linux-headers
-command コピー
-command コピー
-command コピー
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.144https://docs.citrix.com
ヒントインストールが正常に完了すると、以下に類似したカーネルフォルダーが作成されます。
/usr/src/kernels/3.10.0-327.10.1.el7.x86_64
4. フォルダー(/usr/src/kernels/3.10.0-327.10.1.el7.x86_64)内にファイルModule.symversがあるかどうかを確認します。フォルダーにこのファイルがない場合は、カーネルを構築してこのファイルを取得する(例:make oldconfig; make
prepare;make modules;make)か、/usr/src/kernels/3.10.0-327.10.1.el7.x86_64-obj/x86_64/defaults/module.*からファからファイルをコピーします。イルをコピーします。
5. vhci-hcd-1.15/Makefileファイルで、VCHIのMakefileを変更し、KDIRをカーネルディレクトリに設定します。
#KDIR = $(BUILD_PREFIX)/lib/modules/$(KVERSION)/build
KDIR = /usr/src/kernels/3.10.0-327.10.1.el7.x86_64
6. vhci-hcd-1.15/フォルダーで、makeコマンドを実行して、VHClカーネルを構築します。
注意構築に成功すると、usb-vhci-hcd.koおよびusb-vhci-iocifc.koがvhci-hcd-1.15/フォルダーに作成されます。
7. カーネルモジュールを新しく構築したモジュールに置き換えます。cp -f usb-vhci-*.ko /opt/Citrix/VDA/lib64/
8. USBサービスを再起動します。service ctxusbsd restart
9. いったんログオフしてから、再度セッションにログオンします。 USBリダイレクトが機能しているか確認します。
サポートされているUSBデバイス
次のデバイスは、Linux VDAのこのバージョンで動作することが確認されています。 ほかのデバイスを使用すると、予期せぬ結果が生じる場合があります。
USBマスストレージデバイスマスストレージデバイス VID:PID ファイルシステムファイルシステム
Netac Technology Co., Ltd 0dd8:173c FAT32
Kingston Datatraveler 101 II 0951:1625 FAT32
Kingston Datatraveler GT101 G2 1567:8902 FAT32
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.145https://docs.citrix.com
SanDisk SDCZ80 Flash Drive 0781:5580 FAT32
SanDisk Cruzer 16GB 1058:10B8 FAT32
WD HDD 0781:5567 FAT32
USB 3Dマウスマウス VID:PID
3DConnexion SpaceMouse Pro 046d: c62b
USBスキャナースキャナー VID:PID
Epson Perfection V330 Photo 04B8: 0142
既知の問題
リダイレクトされたリダイレクトされたUSBディスクをアンマウントできませんディスクをアンマウントできません。 Linux VDAでは、Citrix ReceiverからリダイレクトされたすべてのUSBディスクのアクセスを制御するため、これらのデバイスをすべて管理者権限で管理し、所有者のみがリダイレクトされたデバイスにアクセスできるようにしています。 そのため、管理者権限を持たないユーザーがデバイスをアンマウントする操作は許可されません。
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.146https://docs.citrix.com
USBディスクのリダイレクトを停止するとファイルが失われますディスクのリダイレクトを停止するとファイルが失われます。 USBディスクをセッション内にリダイレクトして、ディスク上でのファイルの作成などでディスクを変更した後に、Receiverツールバーを使用して直ちにリダイレクトを停止すると、変更または作成したファイルが失われることがあります。
この問題が発生する原因は、ファイルシステムにデータを書き込むとメモリーキャッシュがファイルシステムにマウントされ、ディスクそのものにはデータが書き込まれないためです。 Receiverツールバーを使用してリダイレクトを停止した場合、データがディスクにフラッシュされる時間が残っていないため、データが失われます。
この問題を解決するには、ディスクにデータを書き込む場合は、ターミナルのsyncコマンドを使用してデータをディスクにフラッシュしてからUSBリダイレクトを停止するようにします。
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.147https://docs.citrix.com
アプリケーションの公開
Dec 22, 2016
Linux VDA Version 7.12では、CentOS/RedHat 7.2にシームレスアプリケーションのTechnical Previewが追加されました。 この機能を使用するのに特別なインストール手順は不要です。
この記事は、次のセクションで構成されています。
Linux VDAでシームレスアプリケーションを有効にするCitrix Studioを使ってアプリケーションを公開するトラブルシューティング既知の問題
ヒントLinux VDA Version 1.4では、非シームレスな公開アプリケーションとセッションの共有のサポートが追加されました。 詳しくは、
「アプリケーションの公開」を参照してください。
Linux VDAでシームレスアプリケーションを有効にする
シームレスアプリケーション機能は、Linux VDAでデフォルトで無効になっています。 有効にするには、VDAマシンで次のコマンドを実行します。
sudo ctxreg create -k "HKLM\System\CurrentControlSet\Control\Citrix" -t "REG_DWORD" -v "SeamlessEnabled" -d "0x00000001" --force
Citrix Studioを使ってアプリケーションを公開する
デリバリーグループを作成したり、既存のデリバリーグループにアプリケーションを追加したりすると、Linux VDAマシンにインストールしたアプリケーションを公開することができます。 このプロセスは、Windows VDAにインストールしたアプリケーションを公開する場合と同様です。 詳しくは、XenDesktopの使用バージョンに従って以下のページを参照してください。
XenDesktop 7.1
XenDesktop 7.5
XenDesktop 7.6
XenDesktop 7.7
XenDesktop 7.8
XenDesktop 7.9
XenDesktop 7.11
XenDesktop 7.12
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.148https://docs.citrix.com
ヒントデリバリーグループの構成では、デリバリーの種類をデスクトップとアプリケーションデスクトップとアプリケーションまたはアプリケーションアプリケーションに設定します。
注意StoreFrontでシームレスモードを無効にしないでください。 シームレスモードは、デフォルトで有効になっています。 既に
「TWIMode=Off」を設定して無効にしている場合は、「TWIMode=On」に変更するのではなく、この設定を削除してください。 削
除しない場合は、公開デスクトップを起動できないことがあります。 ウィンドウマネージャーが、Mutterに設定されていることを
確認してください。 現在、シームレスアプリケーションは、Gnome 3のデフォルトのウィドウマネージャーでMutterのみをサポー
トします。
トラブルシューティング
公開アプリケーションの起動に2分以上かかり、シームレスモードでウィドウを表示できない場合があります。 この場合、シームレスモードがLinux VDAおよびStoreFrontの両方で有効になっていることを確認してから、上記のすべての構成を完了していることを確認してください。
既知の問題
アプリケーション公開の既知の問題は次のとおりです。
シームレスモードがStoreFrontで無効になっている一方で、Linux VDAでは有効なままの場合は、非シームレスな公開アプリケーションを起動できません。 Linux VDAおよびStoreFrontの両方で、シームレスモードを同時に有効または無効にすることをお勧めします。非矩形のウィンドウはサポートされません。 ウィンドウの隅にサーバー側の背景が表示されることがあります。シームレスアプリケーションのすべてのウィンドウは、クライアントのタスクバーで同じアイコンを表示します。アプリケーションのセッションが、Citrixコネクションセンターからログアウトできません。
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.149https://docs.citrix.com
印刷
Dec 22, 2016
ここでは、印刷のベストプラクティスについて説明します。
インストール
Linux VDAには、CUPSフィルターとFoomaticフィルターの両方が必要です。 Linuxディストリビューションに基づき、次のコマンドを実行します。
RHEL 6印刷のサポート印刷のサポート
sudo yum –y install cups
sudo yum -y install foomatic
RHEL 7印刷のサポート印刷のサポート
sudo yum –y install cups
sudo yum -y install foomatic-filters
用途
Linux VDAは公開デスクトップと公開アプリケーションの両方で機能します。 プリンター名はデスクトップとアプリケーションとで異なります。 以下に注意してください。
公開デスクトップの場合
CitrixUniversalPrinter:$CLIENT_NAME:dsk$SESSION_ID
公開アプリケーションの場合
CitrixUniversalPrinter:$CLIENT_NAME:app$SESSION_ID
注意同一ユーザーが公開デスクトップと公開アプリケーションの両方を開いた場合は、どちらのプリンターもセッションで使用できま
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.150https://docs.citrix.com
す。 公開アプリケーションのセッション内でのデスクトッププリンターへの印刷、または公開デスクトップでのアプリケーションプ
リンターへの印刷は失敗します。
トラブルシューティング
印刷できない印刷できない
印刷が正しく機能しない場合に確認する項目はいくつかあります。 印刷デーモンはセッションごとのプロセスで、実行されるのはセッションの期間中です。 印刷デーモンが実行中であることを確認します。
ps –ef | grep ctxlpmngt
ctxlpmngtプロセスが実行中でない場合は、コマンドラインから手動でctxlpmngtを起動します。 それでも印刷が機能しない場合は、CUPSフレームワークを確認します。 ctxcupsサービスはプリンター管理用であり、Linux CUPSフレームワークと通信します。 これはマシンごとの単一プロセスとなっていて、次のコマンドで確認できます。
service ctxcups status
CUPS印刷時の追加のログ印刷時の追加のログ
Linux VDAのコンポーネントの1つとして、印刷コンポーネントのログの取得方法はその他のコンポーネントと同様です。
RHELの場合、CUPSサービスファイルの構成には追加の手順が必要です。 追加の手順を実行しないと、一部のログがhdx.logで記録されません。
-command コピー
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.151https://docs.citrix.com
sudo service cups stop
sudo vi /etc/systemd/system/printer.target.wants/cups.service
PrivateTmp=false
sudo service cups start
sudo systemctl daemon-reload
注意この構成は、問題が発生した場合に完全な印刷ログを収集することのみを目的としています。 通常は、CUPSのセキュリティが破ら
れるため、この構成はお勧めしません。
印刷出力が文字化けする印刷出力が文字化けする
出力が文字化けする場合、対応していないプリンタードライバーが原因となっている可能性があります。 ユーザーごとのドライバー構成を使用できるため、~/.CtxlpProfile$CLIENT_NAME構成ファイルを編集して構成できます。
[DEFAULT_PRINTER]
printername=
model=
ppdpath=
drivertype=
Importantprinternameは、現在クライアント側で通常使うプリンターの名前が指定されているフィールドです。 これは読み取り専用の値となっており、編集できません。
config コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.152https://docs.citrix.com
ppdpath、model、およびdrivertypeの各フィールドは、マップされたプリンターに対していずれか1つのフィールドしか有効にな
らないため、同時には設定できません。
ユニバーサルプリンタードライバーがクライアントプリンターに対応していない場合、model=オプションを使用してネイティブプリンタードライバーのモデルを構成します。 プリンターの現在のモデル名は、lpinfoコマンドを使用して表示できます。
lpinfo –m
…
xerox/ph3115.ppd.gz Xerox Phaser 3115, SpliX V. 2.0.0
xerox/ph3115fr.ppd.gz Xerox Phaser 3115, SpliX V. 2.0.0
xerox/ph3115pt.ppd.gz Xerox Phaser 3115, SpliX V. 2.0.0
次のようにして、プリンターに一致するようにモデルを設定できます。
Model=xerox/ph3115.ppd.gz
ユニバーサルプリンタードライバーがクライアントプリンターに対応していない場合、ネイティブプリンタードライバーのppdファイルのパスを構成します。 ppdpathの値は、ネイティブプリンタードライバーファイルの絶対パスです。
たとえば、ppdドライバードライバー が/home/tester/NATIVE_PRINTER_DRIVER.ppdにある場合は、次のようになります。
ppdpath=/home/tester/NATIVE_PRINTER_DRIVER.ppd
Citrixが提供するユニバーサルプリンタードライバーは3種類(Postscript、pcl5、およびpcl6)です。 ネイティブプリンタードライバーが使用できない場合は、これらをドライバーの種類として設定できます。
-command コピー
config コピー
config コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.153https://docs.citrix.com
たとえば、クライアントが通常使うプリンターのドライバーの種類がPCL5である場合は、次のようになります。
drivertype=pcl5
出力サイズが出力サイズが0になるになる
別の種類のプリンターを試します。 また、CutePDFやPDFCreatorなどの仮想プリンターを使用して、この問題がプリンタードライバーに関連するものかどうかを確認します。
印刷ジョブは、クライアントが通常使用するプリンターのドライバーによって異なります。 現在適用されているドライバーの種類を特定することが重要です。 クライアントのプリンターがPCL5ドライバーを使用している一方で、Linux VDAがPostScriptドライバーを選択していると、問題を引き起こします。
プリンタードライバーの種類が正しい場合は、次の手順に従って問題を特定します。
問題を特定する方法:
1. ICAセッションのデスクトップにログオンします。2. vi ~/.CtxlProfile$CLIENT_NAME
3. 次のフィールドをLinux VDAの保存プールファイルに追加します。
deletespoolfile=no
4. いったんログオフしてから、再度ログオンして構成の変更を読み込みます。
5. ドキュメントを印刷して問題を再現します。 印刷が完了すると、 /var/spool/cups-ctx/$logon_user/$spool_fileにスプールファイルが保存されます。
6. スプールファイルが空であるか確認します。 スプールファイルのサイズが0の場合は、これが問題になります。 Citrix
サポートに印刷ログを提供して、追加のガイダンスを得てください。
7. スプールファイルのサイズが0でない場合は、ファイルをクライアントにコピーします。 スプールファイルの内容は、クライアントが通常使用するプリンタードライバーの種類によって異なります。 マップされたプリンターの(ネイティブ)ドライバーがPostScriptである場合、スプールファイルはLinux OSで直接開くことができます。 内容が正しいかを確認します。
スプールファイルがPCLの場合、またはクライアントOSがWindowsの場合は、スプールファイルをクライアントにコピーし、クライアント側のプリンターで印刷します。 この手順の完了後に、別のプリンタードライバーでテスト印刷します。
8. マップされたプリンターを別のサードパーティ製プリンタードライバーに変更するには、たとえばPostScriptクライ
config コピー
config コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.154https://docs.citrix.com
アントプリンターを使用します。
a. アクティブセッションにログオンして、ICAデスクトップでブラウザーを開きます。
b. 印刷管理ポータルを開きます。
localhost:631
b. マップされたプリンター[[CitrixUniversalPrinter:$ClientName:app/dek$SESSION_ID]]を選択し、[プリン[プリンターの変更]ターの変更]をクリックします。 この操作には管理者権限が必要です。
c. CUPSとCTX間の接続を保持したまま[続行]をクリックし、プリンタードライバーを変更します。
d. [製造元とモデル]ページで、Citrix UPDドライバーの代わりに他のPostScriptドライバー(Citrix Universal
Driver PostScriptなど)を選択します。 たとえば、CUPS-PDF仮想プリンターがインストールされている場合は、[汎用CUPS-PDFプリンター]を選択できます。 変更を保存します。
e. このプロセスが正常に完了した場合は、ドライバーのppdファイルパスを.CtxlpProfile$CLIENT_NAMEに設定し、マップされたプリンターがこのサードパーティ製ドライバーを使用できるようにします。
既知の問題
Linux VDAを使用した印刷では、次の問題が確認されています。
CTXPSドライバーが一部のドライバーが一部のPLCプリンターに対応しないプリンターに対応しない
印刷出力が適切でない場合は、プリンタードライバーを、製造元から提供されたネイティブプリンタードライバーに設定してください。
サイズの大きな文書の印刷が遅いサイズの大きな文書の印刷が遅い
ローカルのクライアントプリンターでサイズの大きな文書を印刷すると、印刷ファイルはサーバーとの接続を介して転送されます。 遅い接続では、大きなファイルの転送に時間がかかることがあります。
別のセッションからプリンター通知と印刷ジョブ通知が表示される別のセッションからプリンター通知と印刷ジョブ通知が表示される
Linuxでのセッションの考え方は、Windowsオペレーティングシステムとは異なります。 したがって、すべてのユーザーがシステム全体の通知を受け取ります。 CUPS構成ファイル/etc/cups/cupsd.confを変更して、これらの通知を無効にすることができます。
次のように、構成されている現在のポリシー名がこのファイルに記述されています。
DefaultPolicy default
ポリシー名がdefaultである場合は、次の行をデフォルトポリシーのXMLブロックに追加します。
config コピー
config コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.155https://docs.citrix.com
<Policy default>
# Job/subscription privacy...
JobPrivateAccess default
JobPrivateValues default
SubscriptionPrivateAccess default
SubscriptionPrivateValues default
… …
<Limit Create-Printer-Subscription>
Require user @OWNER
Order deny,allow
</Limit>
<Limit All>
Order deny,allow
</Limit>
</Policy>
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.156https://docs.citrix.com
グラフィックの構成
Dec 22, 2016
Linux VDA 7.12 3D Proには、Nvidia Tesla M60およびM10用vGPUをサポートします。 ここでは、Linux VDA 7.12のグラフィックの構成と微調整について説明します。
詳しくは、「システム要件」および「インストールの概要」を参照してください。
構成パラメーター
ctxregユーティリティで調整できる、グラフィック関連の構成パラメーターはHKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Citrix\Thinwireにいくつかあります。
Thinwire Plusを有効にする方法
Thinwire Plusは、標準のVDAおよび3D Proの両方でデフォルトで有効になっています。
H.264を有効にする方法
H.264は、オペレーティングシステムの要件のほか、Receiverのバージョンにも最低条件があります。 クライアントが要件を満たさない場合は、Thinwire Plusにフォールバックします。
OS Windows Mac OS X Linux Android iOS Chrome OS
H.264の最低条件 3.4以降 11.8以降 13.0以降 3.5 5.9 1.4
最新のCitrix Receiver Feature Matrixは、こちらを参照してください。
次のコマンドを実行して、H.264エンコーディングをVDAでアドバタイズします。
sudo ctxreg create -k "HKLM\System\CurrentControlSet\Control\Citrix\Thinwire" -t "REG_DWORD" -v "AdvertiseH264" -d "0x00000001" --force
HDX 3D Proのハードウェアエンコーディングを有効にする方法
HDX 3D ProのAdvertiseH264設定では、ソフトウェアのH.264エンコーディングのみが有効になります。
次のコマンドを実行してハードウェアエンコーディングを有効にします。
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.157https://docs.citrix.com
sudo ctxreg create -k "HKLM\System\CurrentControlSet\Control\Citrix\Thinwire" -t "REG_DWORD" -v "HardwareEncoding" -d "0x00000001" --force
注意現在、ハードウェアエンコーディングがサポートするのはH.240 YUV420Pのみです。
Thinwire Plusを低帯域幅用に調整する方法
MaxColorDepth
Default 0x20, type DWORD
このオプションは、Thinwireプロトコルによりクライアントに転送されるグラフィックの色数を指定します。
帯域幅を節約するには、色数を0x10(シンプルなグラフィック用の優先色数)または0x8(実験的な低帯域幅モード)に設定します。
Quality表示品質
Default: 0x1(medium), type: DWORD, valid values: 0x0(low), 0x1(medium), 0x2(high), 0x3(build to lossless), 0x4 always lossless.
帯域幅を節約するには、Qualityを0x0(low)に設定します。
追加パラメーター
TargetFPSターゲットフレーム数
typeinfo コピー
typeinfo コピー
typeinfo コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.158https://docs.citrix.com
Default: 0x1e (30), Type: DWORD
MinFPS保持する最低フレーム数
Default: 0xa (10), Type: DWORD
MaxScreenNum1人のユーザーが所有できるモニターの最大数
Default: 0x2, Type: DWORD
標準のVDAで設定できる最大値は10です。 3D Proで許可される最大値は4です。
トラブルシューティング
どのエンコーディングが使用中かの確認
次のコマンドを使用して、H.264エンコーディングが使用中であるかどうかを確認します。「1」はH.264、「0」はTW+の意味です。
sudo ctxreg dump | grep H264
次の内容に類似した結果が出力されます。
typeinfo コピー
typeinfo コピー
-command コピー
-output コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.159https://docs.citrix.com
create -k "HKLM\Software\Citrix\Ica\Session\1\Graphics" -t "REG_DWORD" -v "H264" -d "0x00000001" --force
create -k "HKLM\System\CurrentControlSet\Control\Citrix\Thinwire" -t "REG_DWORD" -v "AdvertiseH264" -d "0x00000001" --force
3D Proのハードウェアエンコーディングが使用中であるかどうかの確認
次のコマンドを実行します。「0」の場合は使用されておらず、「1」は使用中であることを意味します。
sudo ctxreg dump | grep HardwareEncoding
次の内容に類似した結果が出力されます。
create -k "HKLM\Software\Citrix\Ica\Session\1\Graphics" -t "REG_DWORD" -v "HardwareEncoding" -d "0x00000001" --force
これ以外にもnvidia-smiコマンドを使用する方法があります。 このコマンドを使用すると、ハードウェアエンコーディングが使用中の場合は、次の内容に類似した結果が出力されます。
-command コピー
-output コピー
-output コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.160https://docs.citrix.com
Tue Apr 12 10:42:03 2016
+------------------------------------------------------+
| NVIDIA-SMI 361.28 Driver Version: 361.28 |
|-------------------------------+----------------------+----------------------+
| GPU Name Persistence-M| Bus-Id Disp.A | Volatile Uncorr. ECC |
| Fan Temp Perf Pwr:Usage/Cap| Memory-Usage | GPU-Util Compute M. |
|===============================+======================+======================|
| 0 GRID K1 Off | 0000:00:05.0 Off | N/A |
| N/A 42C P0 14W / 31W | 207MiB / 4095MiB | 8% Default |
+-------------------------------+----------------------+----------------------+
+-----------------------------------------------------------------------------+
| Processes: GPU Memory |
| GPU PID Type Process name Usage |
|=============================================================================|
| 0 2164 C+G /usr/local/bin/ctxgfx 106MiB |
| 0 2187 G Xorg 85MiB |
+-----------------------------------------------------------------------------+
NVIDIA GRIDグラフィックスドライバーが正常にインストールされているかを確
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.161https://docs.citrix.com
認します。
NVIDIA GRIDグラフィックスドライバーが正しくインストールされているかどうかを確認するには、nvidia-smiを実行しまを実行します。す。 次の内容に類似した結果が出力されます。
+------------------------------------------------------+
| NVIDIA-SMI 352.70 Driver Version: 352.70 |
|-------------------------------+----------------------+----------------------+
| GPU Name Persistence-M| Bus-Id Disp.A | Volatile Uncorr. ECC |
| Fan Temp Perf Pwr:Usage/Cap| Memory-Usage | GPU-Util Compute M. |
|===============================+======================+======================|
| 0 Tesla M60 Off | 0000:00:05.0 Off | Off |
| N/A 20C P0 37W / 150W | 19MiB / 8191MiB | 0% Default |
+-------------------------------+----------------------+----------------------+
+-----------------------------------------------------------------------------+
| Processes: GPU Memory |
| GPU PID Type Process name Usage |
|=============================================================================|
| No running processes found |
+-----------------------------------------------------------------------------+
-output コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.162https://docs.citrix.com
次のコマンドで、カードに適切な構成を設定します。
etc/X11/ctx-nvidia.sh
HDX 3D Proマルチモニターでの再描画の問題
プライマリモニター以外の画面で再描画の問題が発生している場合は、NVIDIA GRIDライセンスが利用可能であることを確認してください。
Xorgのエラーログを確認する
Xorgのログファイルは、Xorg.{DISPLAY}.logに類似した名前で/var/log/フォルダー内にあります。
既知の問題と制限事項
vGPUで、XenServerのローカルコンソールにICAデスクトップのセッション画面が表示される
回避策回避策:次のコマンドを実行して、仮想マシンのローカルVGAコンソールを無効にします。
xe vm-param-set uuid=<vm-uuid> platform:vgpu_extra_args="disable_vnc=1"
NVENC APIが、8Q以外のvGPUプロファイルでサポートされない
Nvidia Tesla M60カードの8Qを除くvGPUプロファイルではCUDAがサポートされていないため、NVENC APIおよびCitrix 3D
Proのハードウェアエンコーディングを利用することはできません。
Gnome 3デスクトップのポップアップがログオン時に遅くなる
これはGnome 3デスクトップのセッション開始時の機能的制限です。
一部のOpenGLおよびWebGLアプリケーションが、Receiverウィンドウのサイズ変更時に適切に表示されない
Citrix Receiverのウィンドウサイズを変更すると、画面の解像度も変更されます。 Nvidiaの独自ドライバーにより内部状態が一部変更されるため、それに応じた対応がアプリケーションに求められる場合があります。 たとえば、WebGLライブラリ要素のlightgl.jsによって'Rendering to this texture is not supported (incomplete framebuffer)'というエラーメッセージが生成されることがあります。
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.163https://docs.citrix.com
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.164https://docs.citrix.com
匿名セッションの構成
Dec 22, 2016
この記事の情報を使用して、匿名セッションを構成します。 Linux VDAをインストールしてこの機能を使用するために特別な設定は一切必要ありません。
注意匿名セッションを構成する場合は、セッションの事前起動がサポートされないことを考慮してください。 この機能は、Citrix
Receiver for Androidではサポートされていません。
認証が不要なストアの作成
Linux VDAで匿名ユーザーによるセッションをサポートするには、StoreFrontを使用して認証が不要なストアを作成する必要があります。 認証が不要なストアの作成は、StoreFrontのバージョンに基づいた指示に従います。
StoreFront 3.8
StoreFront 3.7
StoreFront 3.6
StoreFront 3.5
StoreFront 3.0
StoreFront 2.6
注意認証が不要なユーザーは、StoreFront Version 2.6以降でサポートされています。
デリバリーグループで認証が不要なユーザーのアクセスを有効にする
認証が不要なストアを作成したら、デリバリーグループで認証が不要なユーザーのアクセスを有効にして、 匿名セッションをサポートします。 デリバリーグループで認証が不要なユーザーのアクセスを有効にするには、XenDesktopのバージョンに基づいた指示に従います。
XenDesktop 7.12
XenDesktop 7.11
XenDesktop 7.9
XenDesktop 7.8
XenDesktop 7.7
XenDesktop 7.6
注意認証が不要なユーザーは、XenAppおよびXenDesktop 7.6以降でサポートされています。
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.165https://docs.citrix.com
匿名セッションのアイドル時間を設定する
匿名セッションのアイドル状態のタイムアウト値は、デフォルトで10分です。 この値の設定は、レジストリ設定AnonymousUserIdleTimeで行います。 ctxregツールを使ってこの値を変更します。 たとえば、このレジストリ設定を5分にするには、次のコマンドを実行します。
sudo ctxreg update -k "HKLM\System\CurrentControlSet\Control\Citrix" -v AnonymousUserIdleTime -d 0x00000005
匿名ユーザーの最大人数を設定する
匿名ユーザーの最大人数を設定するには、レジストリキーMaxAnonymousUserNumberを使用します。 この設定により、単一のLinux VDAで同時に実行される匿名セッション数が制限されます。 このレジストリ設定を行うには、ctxregツールを使用します。 たとえば、値を32に設定するには、次のコマンドを実行します。
sudo ctxreg update -k "HKLM\System\CurrentControlSet\Control\Citrix" -v MaxAnonymousUserNumber -d 0x00000020
Important匿名セッション数を制限することは非常に重要です。 同時に起動されるセッション数が非常に多い場合、VDAで使用できるメモリの
不足などの問題を引き起こすことがあります。
トラブルシューティング
匿名セッションの構成では、次を考慮します。
匿名セッションへのログインに失敗しました匿名セッションへのログインに失敗しました。 レジストリが次を含むように更新されたことを確認します(0に設定)。
sudo ctxreg read –k "HKLM\System\CurrentControlSet\Control\Citrix" –v MaxAnonymousUserNumber
ncsdサービスが実行中で、passwdキャッシュを有効にするように設定されていることを確認します。
-command コピー
-command コピー
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.166https://docs.citrix.com
ps uax | grep nscd
cat /etc/nscd.conf | grep 'passwd' | grep 'enable-cache'
passwdキャッシュが有効になっている場合は、変数をnoに設定してncsdサービスを再起動します。 設定の変更後に、Linux
VDAの再インストールが必要となる場合があります。
KDEでロック画面のボタンが匿名セッション中に表示されますでロック画面のボタンが匿名セッション中に表示されます。 デフォルトでは、ロック画面のボタンとメニューは匿名セッションで無効になっています。 ただし、KDEでなお表示されることがあります。 KDEでロック画面のボタンとメニューを特定のユーザーに対して無効にするには、構成ファイル$Home/.kde/share/conf ig/kdeglobalsに次の行を加える必要があります。 次に例を示します。
[KDEアクション制限事項]
action/lock_screen=false
ただし、KDEアクション制限事項アクション制限事項パラメーターがグローバルワイドなkdeglobalsファイル (/usr/share/kde-settings/kde-profile/default/share/config/kdeglobalsなど)で不変に設定されている場合、ユーザー設定は効果がありません。
これを解決するには、システムワイドなkdeglobalsファイルを変更して[[KDEアクション制限事項]アクション制限事項]セクションの[[$i]]タグを削除するか、システムワイドな構成を直接使用して、ロック画面のボタンとメニューを無効にします。 KDE構成について詳しくは、『KDE System Administration/Kiosk/Keys』ページを参照してください。
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.167https://docs.citrix.com
ポリシーの設定
Dec 22, 2016
インストール
Linux VDAの準備はインストールのトピックを参照してください。
依存関係
Linux VDA パッケージのインストール前に、次の依存関係をインストールします。
RHEL/CentOS
sudo yum -y install openldap
sudo yum -y install libxml2
sudo yum -y install cyrus-sasl
sudo yum -y install cyrus-sasl-gssapi
SLES/SELD
sudo zypper install openldap2
sudo zypper install libxml2
sudo zypper install cyrus-sasl
sudo zypper install cyrus-sasl-gssapi
Ubuntu
-command コピー
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.168https://docs.citrix.com
sudo apt-get install -y libldap-2.4-2
sudo apt-get install -y libsasl2-2
sudo apt-get install -y libsasl2-modules-gssapi-mit
構成
Citrix Studioのポリシー設定
Citrix Studioのポリシー設定は、次の操作を行います。
1. Citrix Studioを起動します。
2. [ポリシー][ポリシー]パネルを選択します。
3. [ポリシーの作成][ポリシーの作成]をクリックします。
4. 「ポリシーサポート一覧」に沿ってポリシーを設定します。
VDAでのLDAPサーバーの設定
Linux VDAでのLDAPサーバーの設定は、単一ドメインの環境では必須ではありませんが、複数ドメインおよび複数フォレストの環境では必須です。 これらの環境でLDAP検索を実行するには、ポリシーサービスによりLDAPサーバーの設定が求められます。
Linux VDAパッケージのインストール後に、次のコマンドを実行します。
/opt/Citrix/VDA/sbin/ctxsetup.sh
すべてのLDAPサーバーを、推奨される形式であるLDAPの完全修飾ドメイン名(FQDN)およびLDAPポートのスペース区切りの一覧(例:ad1.mycompany.com:389 ad2.mycomany.com:389)で入力します。
また、ctxregコマンドを実行して、この設定をレジストリに直接書き込むこともできます。
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.169https://docs.citrix.com
/opt/Citrix/VDA/bin/ctxreg create -k "HKLM\Software\Citrix\VirtualDesktopAgent" -t "REG_SZ" -v "ListOfLDAPServers" -d "ad1.mycompany.com:389 ad2.mycomany.com:389" --force
Linux VDAの新しいポリシー設定
次のポリシーはLinux VDAにのみ適用されるため、最新のCitrix Studio 7.12からのみ構成できます。
ClipboardSelectionUpdateMode
PrimarySelectionUpdateMode
MaxSpeexQuality
ポリシーについての説明は、「ポリシーサポート一覧」にまとめられています。 以前のバージョンのCitrix Studioでは、Linux VDAでctxregコマンドを使用して、ローカルでこれらのポリシーを構成できます。
/opt/Citrix/VDA/bin/ctxreg create -k "HKLM\System\CurrentControlSet\Control\Citrix\VirtualChannels\Clipboard\ClipboardSelection" -t "REG_DWORD" -v "Flags" -d "your value" --force
/opt/Citrix/VDA/bin/ctxreg create -k "HKLM\System\CurrentControlSet\Control\Citrix\VirtualChannels\Clipboard\PrimarySelection" -t "REG_DWORD" -v "Flags" -d "your value" --force
/opt/Citrix/VDA/bin/ctxreg create -k "HKLM\System\CurrentControlSet\Control\Citrix\VirtualChannels\Audio" -t "REG_DWORD" -v "MaxSpeexQuality" -d "your value" --force
注意値は一定範囲に制限されています。 詳しくは、「ポリシーサポート一覧」を参照してください。
-command コピー
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.170https://docs.citrix.com
ポリシーサポート一覧
Dec 22, 2016
Linux VDA ポリシーサポート一覧
Studioポリシーポリシー キー名キー名 公開公開キー基キー基盤盤((PKI))の各証の各証明書に明書に同じパ同じパスワースワードを使ドを使用する用する場合は場合は「「
モジュールモジュール デフォルト値デフォルト値
ICA Keep-Alive SendICAKeepAlives コンピューター
ICA Keep-Alive ICA Keep-Aliveメッセージ(0)を送信しない
ICA Keep-Aliveタイムアウト
ICAKeepAliveTimeout コンピューター
ICA Keep-Alive 60秒
ICAリスナーポートの番号
IcaListenerPortNumber コンピューター
ICA 1494
オーディオリダイレクトの最大帯域幅(Kbps)
LimitAudioBw ユーザー
オーディオ 0Kbps
クライアントオーディオリダイレクト
AllowAudioRedirection ユーザー
オーディオ 許可(1)
クライアントプリンターリダイレクト
AllowPrinterRedir ユーザー
印刷 許可(1)
クライアントクリップボードリダイレクト
AllowClipboardRedir ユーザー
Clipboard 許可(1)
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.171https://docs.citrix.com
クライアントUSBデバイスリダイレクト
AllowUSBRedir ユーザー
USB 禁止(0)
クライアントUSBデバイスリダイレクト規則
USBDeviceRules ユーザー
USB “\0”
動画圧縮 MovingImageCompressionConfiguration ユーザー
ThinWire 有効(1)
保持する最低フレーム数
TargetedMinimumFramesPerSecond ユーザー
ThinWire 10fps
ターゲットフレーム数 FramesPerSecond ユーザー
ThinWire 30fps
表示品質 VisualQuality ユーザー
ThinWire 中(3)
圧縮にビデオコーデックを使用
VideoCodec ユーザー
ThinWire 選択された場合使用する(3)
ビデオコーデックへのハードウェアエンコーディングの使用
UseHardwareEncodingForVideoCodec ユーザー
ThinWire 有効(1)
シンプルなグラフィック用の優先色数
PreferredColorDepth ユーザー
ThinWire 24ビット/ピクセル
(1)
音質 SoundQuality ユーザー
オーディオ 高 - 高品位オーディオ(2)
クライアントマイクリダイレクト
AllowMicrophoneRedir ユーザー
オーディオ 許可(1)
最大セッション数 MaximumNumberOfSessions コンピューター
負荷管理 250
同時ログオントレランス
ConcurrentLogonsTolerance コンピュー
負荷管理 2
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.172https://docs.citrix.com
ター
コントローラーの自動更新を有効にする
EnableAutoUpdateOfControllers コンピューター
Virtual
Delivery Agent
の設定
許可(1)
クリップボード選択更新モード
ClipboardSelectionUpdateMode ユーザー
Clipboard 3
プライマリ選択更新モード
PrimarySelectionUpdateMode ユーザー
Clipboard 3
Speex最大品質 MaxSpeexQuality ユーザー
オーディオ 5
クライアントドライブに自動接続する
AutoConnectDrives ユーザー
ファイルリダイレクト/CDM
有効(1)
クライアント側光学式ドライブ
AllowCdromDrives ユーザー
ファイルリダイレクト/CDM
許可(1)
クライアント側固定ドライブ
AllowFixedDrives ユーザー
ファイルリダイレクト/CDM
許可(1)
クライアント側フロッピードライブ
AllowFloppyDrives ユーザー
ファイルリダイレクト/CDM
許可(1)
クライアント側ネットワークドライブ
AllowNetworkDrives ユーザー
ファイルリダイレクト/CDM
許可(1)
クライアント側リムーバブルドライブ
AllowRemoveableDrives ユーザー
ファイルリダイレクト/CDM
許可(1)
クライアントドライブリダイレクト
AllowDriveRedir ユーザー
ファイルリダイレクト/CDM
許可(1)
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.173https://docs.citrix.com
クライアント側ドライブへの読み取り専用アクセス
ReadOnlyMappedDrive ユーザー
ファイルリダイレクト/CDM
無効(0)
Linux VDAの新しいポリシー
次のポリシーは、Citrix Studioのバージョン7.12で構成できます。
Speex最大品質
適用適用:Linux VDA 1.4以降
スコープスコープ:
値(整数)値(整数):[0 ~ 10]
使用デフォルト値使用デフォルト値:5
詳細詳細:
オーディオリダイレクトで、音質が中または低の場合、オーディオデータをSpeexでエンコードします(音質のポリシーを参照)。 Speexは劣化を伴うコーデックであり、入力音声信号の品質を犠牲にして圧縮します。 その他の音声コーデックと違い、品質とビットレートのバランスを制御できます。 Speexのエンコーディングプロセスは、ほとんどの場合、0から10の範囲の品質パラメーターで制御します。 品質が高いほど、ビットレートも高くなります。
Speex最大品質は、最高のSpeex品質を選択して音声品質と帯域幅制限に従ってオーディオデータをエンコードします(オーディオリダイレクトおよび帯域幅制限のポリシー参照)。 音声品質が中の場合、エンコーダーは広帯域モードの、より高いサンプルレートになります。 音声品質が低の場合、エンコーダーは狭帯域モードで、より低いサンプルレートになります。 同じSpeex品質でも、モードとビットレートは異なります。 最高のSpeex品質は、以下の条件を満たす最大の値です。
品質がSpeex最大品質以下ビットレートが帯域幅制限以下
注意関連設定関連設定:音質、オーディオリダイレクトの最大帯域幅
プライマリ選択更新モード
適用適用:Linux VDA 1.4以降
スコープスコープ:
値(列挙)値(列挙):[0, 1, 2, 3]
使用デフォルト値使用デフォルト値:3
詳細詳細:
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.174https://docs.citrix.com
プライマリ選択は、マウスを使用した選択やマウスの中ボタンによるペーストなどの、明示的なコピー/ペーストのアクションに使用されます。 この設定は、Linux VDAでのプライマリ選択の変更がクライアントのクリップボードで更新されるかどうかを制御します(逆の場合も同様)。 次の選択変更のいずれかが含まれます。
選択の変更がクライアントまたはホストで更新されない。選択の変更がクライアントまたはホストで更新されない。プライマリ選択の変更により、クライアントのクリップボードが更新されることはありません。 クライアントのクリップボードの変更により、プライマリ選択が更新されることはありません。ホストの選択の変更はクライアントで更新されません。ホストの選択の変更はクライアントで更新されません。プライマリ選択の変更により、クライアントのクリップボードが更新されることはありません。 クライアントのクリップボードの変更により、プライマリ選択が更新されます。クライアントの選択の変更がホストで更新されない。クライアントの選択の変更がホストで更新されない。プライマリ選択の変更により、クライアントのクリップボードが更新されます。 クライアントのクリップボードの変更により、プライマリ選択が更新されることはありません。選択の変更がクライアントとホストの両方で更新される。選択の変更がクライアントとホストの両方で更新される。プライマリ選択の変更により、クライアントのクリップボードが更新されます。 クライアントのクリップボードの変更により、プライマリ選択が更新されます。
注意関連設定関連設定:クリップボード選択更新モード
クリップボード選択更新モード
適用適用:Linux VDA 1.4以降
スコープスコープ:
値(列挙)値(列挙):[0, 1, 2, 3]
使用デフォルト値使用デフォルト値:3
詳細詳細:
この設定は、Linux VDAでのクリップボード選択の変更がクライアントのクリップボードで更新されるかどうかを制御します(逆の場合も同様)。 次の選択変更のいずれかが含まれます。
選択の変更がクライアントまたはホストで更新されない。選択の変更がクライアントまたはホストで更新されない。クリップボード選択の変更により、クライアントのクリップボードが更新されることはありません。 クライアントのクリップボードの変更により、クリップボード選択が更新されることはありません。ホストの選択の変更はクライアントで更新されません。ホストの選択の変更はクライアントで更新されません。 クリップボード選択の変更により、クライアントのクリップボードが更新されることはありません。 クライアントのクリップボードの変更により、クリップボード選択が更新されます。クライアントの選択の変更がホストで更新されない。クライアントの選択の変更がホストで更新されない。クリップボード選択の変更により、クライアントのクリップボードが更新されます。 クライアントのクリップボードの変更により、クリップボード選択が更新されることはありません。選択の変更がクライアントとホストの両方で更新される。選択の変更がクライアントとホストの両方で更新される。クリップボード選択の変更により、クライアントのクリップボードが更新されます。 クライアントのクリップボードの変更により、クリップボード選択が更新されます。
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.175https://docs.citrix.com
注意関連設定関連設定:プライマリ選択更新モード
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.176https://docs.citrix.com
LDAPSの構成
Dec 22, 2016
セキュリティで保護されたLDAP(LDAPS)によって、Active Directory管理対象ドメインにSSL(Secure Socket
Layer)/TLS(Transport Layer Security)経由のセキュリティ保護されたLightweight Directory Access Protocolの通信を提供できます。
デフォルトで、クライアントとサーバーアプリケーション間のLDAP通信は暗号化されていません。 SSL/TLSを使用したLDAP(LDAPS)で、Linux VDAおよびLDAPサーバー間のLDAPクエリコンテンツを保護できます。
次のLinux VDAコンポーネントは、LDAPSとの依存関係があります。
ブローカーエージェント:DDCにLinux VDAを登録ポリシーサービス:ポリシー評価
以下は、LDAPSの構成に必要です。Active Directory(AD)/LDAPサーバーでLDAPSの有効化クライアントで使用するルートICAをエクスポートLinux VDAでLDAPSを有効化/無効化サードパーティのプラットフォームでLDAPSの構成SSSDの構成Winbindの構成Centrifyの構成Questの構成
AD/LDAPサーバーでLDAPSの有効化
Microsoft証明機関(CA)または非Microsoft CAのどちらかから適切な形式の証明書をインストールして、SSL経由のLDAP(LDAPS)を有効にできます。
ヒントSSL/TLS経由のLDAP(LDAPS)は、ドメインコントローラーで会社のルートCAをインストールすると、自動的に有効になります。
注意証明書インストールして、LDAPS接続を確認する方法について詳しくは、Microsoft Knowledgebaseのサポート技術情報でHow to
enable LDAP over SSL with a third-party certification authorityを参照してください。
証明機関の階層に複数の層(2層または3層)がある場合、ドメインコントローラーでLDAPS認証の適切な証明書を自動的に取得できません。
ヒント複数の証明機関の階層を使用してドメインコントローラーでLDAPSを有効にする方法について詳しくは、Microsoft TechNet Webサイ
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.177https://docs.citrix.com
トでLDAP over SSL (LDAPS) Certificateを参照してください。
クライアントで使用するルート証明書(CA)の有効化
クライアントは、LDAPサーバーが信頼するCAの証明書を使用する必要があります。 クライアントのLDAPS認証を有効にするには、ルートCA証明書をインポートしてキーストアを信頼します。
注意ルートCAをエクスポートする方法について詳しくは、Microsoft Support WebサイトでHow to export Root Certification Authority
Certificateを参照してください。
Linux VDAマシンでLDAPSを有効化または無効化
Linux VDAでLDAPSを有効または無効にするには、次のスクリプトを実行します(管理者としてログイン中)。
このコマンドの構文には次が含まれます。
指定されたルートCA証明書でSSL/TLS経由でLDAPを有効にする。
/opt/Citrix/VDA/sbin/enable_ldaps.sh -Enable pathToRootCA
SSL/TLSを使用しないLDAPへのフォールバック
/opt/Citrix/VDA/sbin/enable_ldaps.sh -Disable
LDAPS専用のJavaキーストアは、/etc/xdl/.keystoreにあります。 影響を受けるレジストリキーには、次が含まれます。
-command コピー
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.178https://docs.citrix.com
HKLM\Software\Citrix\VirtualDesktopAgent\ListOfLDAPServers
HKLM\Software\Citrix\VirtualDesktopAgent\ListOfLDAPServersForPolicy
HKLM\Software\Citrix\VirtualDesktopAgent\UseLDAPS
HKLM\Software\Policies\Citrix\VirtualDesktopAgent\Keystore
サードパーティのプラットフォームでLDAPSの構成
Linux VDAコンポーネントに加えて、Linux VDAにはさまざまなサードパーティのソフトウェアコンポーネントがあります。また、SSSD、Winbind、Centrify、Questのような、セキュリティで保護されたLDAPが必要な場合もあります。 以下のトピックで、LDAPS、STARTTLSまたはSASL(署名とシール)によるセキュリティで保護されたLDAPを構成する方法について説明しています。
ヒントすべてのソフトウェアコンポーネントで、セキュリティで保護されたLDAPのためにSSLポートの使用が優先されるわけではありませ
ん。また、ほとんどの場合、LDAPS(ポート636でSSL経由のLDAP)は、ポート389のSTARTTLSと共存できません。
SSSD
オプションごとに、ポート636またはポート389のセキュリティで保護されたSSSD LDAPトラフィックを構成します。 詳しくは、『SSSD LDAP Linux man page』を参照してください。
Winbind
Winbind LDAPクエリはADS手法を使用します。Winbindはポート389のStartTLS手法のみをサポートします。 影響を受ける構成ファイルは、ldap.confおよびsmb.confです。 以下のようにファイルに変更を加えます。
config コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.179https://docs.citrix.com
ldap.conf:
TLS_REQCERT never
smb.conf:
ldap ssl = start tls
ldap ssl ads = yes
client ldap sasl wrapping = plain
また、セキュリティで保護されたLDAPは、SASL GSSAPI(署名およびシール)で構成されますが、TLS/SSLと共存することはできません。 SASL暗号化を使用するには、smb.conf構成を変更します。
smb.conf:
ldap ssl = off
ldap ssl ads = no
client ldap sasl wrapping = seal
Centrify
Centrifyは、ポート636のLDAPSをサポートしませんが、ポート389でセキュリティで保護された暗号化を提供します。 詳しくは、Centrifyサイトを参照してください。
Quest
Quest認証サービスはポート636のLDAPSをサポートしませんが、別の方法でポート389のセキュリティで保護された暗号化を提供します。 詳しくは、Quest authenticationの記事を参照してください。
トラブルシューティング
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.180https://docs.citrix.com
この機能を使用すると、次の問題が発生することがあります。
LDAPSサービスの可用性サービスの可用性
LDAPS接続がAD/LDAPサーバーで使用できるかをテストします。デフォルトのポートは636です。
LDAPSを有効にするとを有効にするとLinux VDAの登録が失敗するの登録が失敗する
LDAPサーバーとポートが正しく構成されていることを確認します。 最初にルートCA証明書をチェックして、AD/LDAPサーバーと一致するかを確認します。
意図しない不正なレジストリ変更意図しない不正なレジストリ変更
LDAPS関連のキー(上記一覧)がenable_ldaps.shによって誤ってアップデートされると、LDAPSコンポーネントの依存関係を損なう可能性があります。
SSL/TLS経由の経由のLDAPトラフィックがトラフィックがWiresharkやその他のネットワーク監視ツールで暗号化されていないやその他のネットワーク監視ツールで暗号化されていない
デフォルトでは、LDAPSは無効になっています。 /opt/Citrix/VDA/sbin/enable_ldaps.shを実行して強制します。
Wiresharkやその他のネットワーク監視ツールからのやその他のネットワーク監視ツールからのLDAPSトラフィックが存在しないトラフィックが存在しない
LDAP/LDAPSトラフィックは、Linux VDAの登録やグループポリシーの評価によって発生します。
ADサーバーでサーバーでLDP接続を実行して接続を実行してLDAPSの可用性を確認できないの可用性を確認できない
IPアドレスの代わりに、AD FQDNを使用します。
/opt/Citrix/VDA/sbin/enable_ldaps.shスクリプトを実行してルートスクリプトを実行してルートCA証明書をインポートできない証明書をインポートできない
CA証明書のフルパスを指定して、ルートCA証明書の種類が正しいかをチェックします。 通常は、サポートされるJava
Keytoolの種類の大半で機能します。 サポート一覧にない場合は、最初に種類を変更してください。 証明書の形式の問題が発生した場合は、Base64で暗号化されたPEM形式の使用をお勧めします。
ルートルートCA証明書を証明書をKeytool一覧に表示できない一覧に表示できない
/opt/Citrix/VDA/sbin/enable_ldaps.shを実行してLDAPSを有効にすると、証明書が/etc/xdl/.keystoreにインポートされ、キーストアを保護するパスワードが設定されます。 パスワードを忘れた場合は、スクリプトを再度実行して新しいキーストアを作成します。
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.181https://docs.citrix.com
Xauthorityの構成
Dec 22, 2016
X11ディスプレイ機能(xterm、gvimなどを含む)で対話型のリモート制御を使用する環境は、Linux仮想デスクトップでサポートされています。 この機能は、XClientとXServer間のセキュリティで保護された通信を確保するために必要なセキュリティメカニズムを提供します。
このセキュリティで保護された通信の権限を保護するには、以下の2つの方法があります。
Xhost。 デフォルトでは、XhostコマンドはローカルホストXClientとXServerの通信のみを許可します。 リモートXClient
のXServerへのアクセスを許可すると、特定のマシンで権限を付与するためにXhostコマンドが実行される必要があります。 または、xhost +を使用して、任意のXClientがXServerに接続できるようにします。Xauthority。 Xauthorityファイルは、各ユーザーのホームディレクトリにあり、XServer認証用のxauthで使用される資格情報をCookieに保存するために使用されます。 XServerインスタンス(Xorg)が起動されると、このCookieは、特定のディスプレイへの接続を認証するために使用されます。
仕組み
Xorgが起動されると、XauthorityファイルはXorgに渡されます。 このXauthorityファイルには次の要素が含まれます。
表示番号リモート要求プロトコルCookie番号
xauthコマンドを使用して、このファイルを参照できます。 次に例を示します。
# xauth –f ~/.Xauthority
# > list
# > us01msip06:107 MIT-MAGIC-COOKIE-1 fb228d1b695729242616c5908f11624b
XClientがリモートでXorgに接続する場合、2つの前提条件を満たす必要があります。
DISPLAY環境変数をリモートXServerに設定します。XorgでCookie番号の1つを含むXauthorityを取得します。
Xauthorityの構成
X11ディスプレイ用Linux VDAでXauthorityを有効にするには、2つのレジストリキーを作成する必要があります。
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.182https://docs.citrix.com
sudo /opt/Citrix/VDA/bin/ctxreg create -k "HKLM\System\CurrentControlSet\Control\Citrix\Xorg" -t "REG_DWORD" -v "XauthEnabled" -d "0x00000001" --force
sudo /opt/Citrix/VDA/bin/ctxreg create -k "HKLM\System\CurrentControlSet\Control\Citrix\Xorg" -t "REG_DWORD" -v "ListenTCP" -d "0x00000001" --force
有効にした後、XauthorityファイルをXClientを渡します。 これには次のような方法があります。
Xauthorityファイルを手動で渡す
ICAセッションを起動した後、Linux VDAはXClientのXauthorityファイル(ファイル名が.Xauthority)を生成し、ログオンユーザーのホームディレクトリにファイルを保存します。
このXauthorityファイルをリモートXClientマシンにコピーし、環境変数DISPLAYおよびXAUTHORITYを設定できます。 DISPLAYは、Xauthorityファイルに保存した表示番号で、XAUTHORITYはXauthorityのファイルパスです。 たとえば、次のコマンドを表示します。
set DISPLAY={Display number stored in the Xauthority file}
set XAUTHORITY={the file path of .Xauthority}
注意XAUTHORITY環境が設定されていない場合、~/.Xauthorityファイルがデフォルトで使用されます。
共有ホームディレクトリ
簡単な方法は、ログオンユーザーの共有ホームディレクトリをマウントすることです。 Linux VDAがICAセッションを起動すると、ログオンユーザーのホームディレクトリでXauthorityファイルが作成されます。 このホームディレクトリがXClientと共有される場合、ユーザーがこのXauthorityファイルを手動でXClientに転送する必要はありません。DISPLAYおよびXAUTHORITY環境を正しく設定した後、XServerでGUIが自動的に表示されます。
トラブルシューティング
Xauthorityが機能しない場合は、次のトラブルシューティングの手順に従ってください。
1. root特権を持つ管理者として、すべてのXorg Cookieを取得します。
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.183https://docs.citrix.com
ps aux | grep -i xorg
このコマンドは、起動中Xorgに渡されるXorgプロセスとパラメーターを表示します。 もう1つのパラメーターは、どのXauthorityが使用されるかを表示します。 次に例を示します。
/var/xdl/xauth/.Xauthority110
Xauthコマンドを使用して、Cookieを表示します。
Xauth -f /var/xdl/xauth/.Xauthority110
2. Xauthコマンドを使用して、~/.Xauthorityに含まれるCookieを表示します。 同じ表示番号の場合、表示されるCookieはXorgおよびXClientのXauthorityファイルで同じである必要があります。
3. Cookieが同じあれば、Linux VDAのIPアドレス(例:10.158.11.11)および公開デスクトップの表示番号(例:160)にリモートディスプレイポートがアクセスできるかを確認します。
XClientマシンで次のコマンドを実行します。
telnet 10.158.11.11 6160
ポート番号は、6000 + <表示番号>の合計です。
telnetの操作が失敗すると、ファイアウォールが要求をブロックすることがあります。
-command コピー
-command コピー
-command コピー
© 1999-2017 Citrix Systems, Inc. All rights reserved. p.184https://docs.citrix.com
IPv6の構成
Dec 22, 2016
このリリースのLinux VDAは、以前のXenAppおよびXenDesktopで提供されていた機能に対応したIPv6のサポートを提供します。 この機能を使用するときは、次の点に注意してください。
デュアルスタック環境で、IPv6が明示的に有効になっていない場合、IPv4が使用されます。IPv4環境でIPv6を有効にすると、Linux VDAは機能しません。
ヒントLinux VDAをインストールしている場合、IPv6の特別なセットアップタスクは必要ありません。
インストールに関して、IPv6に特別な設定は必要ありません。インストールに関して、IPv6に特別な設定は必要ありません。
Linux VDAでIPv6を構成する
Linux VDAの構成を変更する前に、以前IPv6ネットワークでLinux仮想マシンが機能していたかを確認する必要があります。 IPv6の構成に関連する2つのレジストリキーがあります。
“HKLM\Software\Policies\Citrix\VirtualDesktopAgent” -t “REG_DWORD” -v “OnlyUseIPv6ControllerRegistration”
“HKLM\Software\Policies\Citrix\VirtualDesktopAgent” -t “REG_DWORD” -v “ControllerRegistrationIPv6Netmask”
OnlyUseIPv6ControllerRegistrationを1に設定して、IPv6でLinux VDAを有効にします。
sudo /opt/Citrix/VDA/bin/ctxreg create -k "HKLM\Software\Policies\Citrix\VirtualDesktopAgent" -t "REG_DWORD" -v "OnlyUseIPv6ControllerRegistration" -d "0x00000001" --force
Linux VDAに複数のネットワークインターフェイスがある場合、ControllerRegistrationIPv6NetmaskでLinux VDAの登録に使用するネットワークインターフェイスを指定できます。
sudo /opt/Citrix/VDA/bin/ctxreg create -k "HKLM\Software\Policies\Citrix\VirtualDesktopAgent" -t "REG_SZ" -v "ControllerRegistrationIPv6Netmask " -d "{IPv6 netmask}" --force
{IPv6 netmask}を実際のネットマスク(2000::/64など)に置き換えます。
注意XenAppおよびXenDesktopのIPv6展開について詳しくは、「IPv4/IPv6サポート」を参照してください。
トラブルシューティング
基本のIPv6ネットワーク環境をチェックしてから、ping6を使用してADおよびDDCに接続できるかを確認します。 Linux VDAだけではなく、ネットワーク環境全体がIPv6である必要があります。構成が正しいことを確認してください。
registry key コピー
-command コピー
-command コピー
