Amazon Linux 2、CentOS、RHEL、および Rocky Linux への Linux VDA の手動インストール

重要:

新規インストールの場合、迅速なインストールには 簡易インストール を使用することをお勧めします。簡易インストールは、時間と労力を節約し、この記事で詳述されている手動インストールよりもエラーが発生しにくいです。

ステップ 1: 構成情報と Linux マシンの準備

ステップ 1a: ネットワーク構成の確認

ネットワークが正しく接続され、構成されていることを確認してください。たとえば、Linux VDA で DNS サーバーを構成する必要があります。

ステップ 1b: ホスト名の設定

マシンのホスト名が正しく報告されるようにするには、/etc/hostname ファイルを編集して、マシンのホスト名のみが含まれるようにします。

hostname

ステップ 1c: ホスト名へのループバックアドレスの割り当て

マシンの DNS ドメイン名と完全修飾ドメイン名 (FQDN) が正しく報告されるようにするには、/etc/hosts ファイルの次の行を編集して、FQDN とホスト名を最初の 2 つのエントリとして含めます。

127.0.0.1 hostname-fqdn hostname localhost localhost.localdomain localhost4 localhost4.localdomain4

例:

127.0.0.1 vda01.example.com vda01 localhost localhost.localdomain localhost4 localhost4.localdomain4

ファイル内の他のエントリから、hostname-fqdn または hostname への他の参照をすべて削除します。

注:

Linux VDA は現在、NetBIOS 名の切り捨てをサポートしていません。ホスト名は 15 文字を超えてはなりません。

ヒント:

a～z、A～Z、0～9、およびハイフン (-) の文字のみを使用してください。アンダースコア (_)、スペース、およびその他の記号は避けてください。ホスト名を数字で始めたり、ハイフンで終わらせたりしないでください。この規則は、Delivery Controller のホスト名にも適用されます。

ステップ 1d: ホスト名の確認

ホスト名が正しく設定されていることを確認します。

hostname
<!--NeedCopy-->

このコマンドは、マシンのホスト名のみを返し、完全修飾ドメイン名 (FQDN) は返しません。

FQDN が正しく設定されていることを確認します。

hostname -f
<!--NeedCopy-->

このコマンドは、マシンの FQDN を返します。

ステップ 1e: 名前解決とサービスの到達可能性の確認

FQDN を解決し、ドメインコントローラーと Delivery Controller™ に ping を実行できることを確認します。

nslookup domain-controller-fqdn

ping domain-controller-fqdn

nslookup delivery-controller-fqdn

ping delivery-controller-fqdn
<!--NeedCopy-->

• FQDN を解決できない場合、またはこれらのマシンのいずれかに ping を実行できない場合、続行する前に手順を確認してください。

ステップ 1f: クロック同期の構成

VDA、Delivery Controller、およびドメインコントローラー間で正確なクロック同期を維持することは非常に重要です。Linux VDA を仮想マシン (VM) としてホストすると、クロックのずれの問題が発生する可能性があります。このため、リモートタイムサービスとの時刻同期が推奨されます。

RHEL のデフォルト環境では、クロック同期に Chrony デーモン (chronyd) を使用します。

Chrony サービスの構成

root ユーザーとして、/etc/chrony.conf を編集し、各リモートタイムサーバーのサーバーエントリを追加します。

server peer1-fqdn-or-ip-address iburst

server peer2-fqdn-or-ip-address iburst
<!--NeedCopy-->

一般的な展開では、パブリック NTP プールサーバーから直接ではなく、ローカルのドメインコントローラーから時刻を同期します。ドメイン内の各 Active Directory ドメインコントローラーのサーバーエントリを追加します。

• ループバック IP アドレス、localhost、およびパブリックサーバー *.pool.ntp.org のエントリを含む、リストされている他のサーバーエントリをすべて削除します。

• 変更を保存し、Chrony デーモンを再起動します。

sudo /sbin/service chronyd restart
<!--NeedCopy-->

ステップ 1g: PulseAudio のインストール (RHEL 9.1/9.0 および Rocky Linux 9.1/9.0 のみ)

pulseaudio をインストールするには、次のコマンドを実行します。

sudo yum -y install pulseaudio --allowerasing
<!--NeedCopy-->

/etc/pulse/client.conf を開き、次のエントリを追加します。

autospawn = yes
<!--NeedCopy-->

ステップ 1h: OpenJDK 11 のインストール

Linux VDA には OpenJDK 11 が必要です。

• CentOS、RHEL、または Rocky Linux を使用している場合、Linux VDA のインストール時に、OpenJDK 11 は依存関係として自動的にインストールされます。

• Amazon Linux 2 を使用している場合、次のコマンドを実行して OpenJDK 11 を有効にしてインストールします。

   amazon-linux-extras install java-openjdk11
   <!--NeedCopy-->
  

正しいバージョンを確認します。

sudo yum info java-11-openjdk
<!--NeedCopy-->

プレパッケージされた OpenJDK は以前のバージョンである可能性があります。OpenJDK 11 に更新します。

sudo yum -y update java-11-openjdk
<!--NeedCopy-->

ステップ 1i: 使用するデータベースのインストールと指定

実験的な機能として、PostgreSQL に加えて SQLite を使用できます。Linux VDA パッケージのインストール後、/etc/xdl/db.conf を編集することで、SQLite と PostgreSQL を切り替えることもできます。手動インストールの場合、SQLite と PostgreSQL を切り替える前に、それらを個別に手動でインストールする必要があります。

このセクションでは、PostgreSQL および SQLite データベースをインストールする方法と、使用するデータベースを指定する方法について説明します。

注:

• SQLite は VDI モードでのみ使用することをお勧めします。

PostgreSQL のインストール

Linux VDAにはPostgreSQLが必要です。

• Amazon Linux 2、RHEL 7、CentOS 7にはPostgreSQL 9
• RHEL 8.xおよびRocky Linux 8.xにはPostgreSQL 10
• RHEL 9.1/9.0およびRocky Linux 9.1/9.0にはPostgreSQL 13

PostgreSQLをインストールするには、次のコマンドを実行します。

sudo yum -y install postgresql-server

sudo yum -y install postgresql-jdbc
<!--NeedCopy-->

RHEL 8.xおよびRHEL 9.1/9.0の場合、PostgreSQL用のlibpqをインストールするには、次のコマンドを実行します。

sudo yum -y install libpq
<!--NeedCopy-->

データベースを初期化するには、次のコマンドを実行します。この操作により、/var/lib/pgsql/dataの下にデータベースファイルが作成されます。

sudo postgresql-setup initdb
<!--NeedCopy-->

マシンの起動時または即座にPostgreSQLを開始するには、次のコマンドを実行します。

-  sudo systemctl enable postgresql

-  sudo systemctl start postgresql
<!--NeedCopy-->

PostgreSQLのバージョンを確認するには、次を使用します。

psql --version
<!--NeedCopy-->

(RHEL 7のみ) psqlコマンドラインユーティリティを使用して、データディレクトリが設定されていることを確認します。

sudo -u postgres psql -c 'show data_directory'
<!--NeedCopy-->

SQLiteのインストール

SQLiteをインストールするには、次のコマンドを実行します。

sudo yum -y install sqlite
<!--NeedCopy-->

使用するデータベースの指定

SQLite、PostgreSQL、またはその両方をインストールした後、Linux VDAパッケージのインストール後に/etc/xdl/db.confを編集して、使用するデータベースを指定できます。これを行うには、次の手順を実行します。

1. /opt/Citrix/VDA/sbin/ctxcleanup.shを実行します。新規インストールの場合、この手順は省略します。
2. /etc/xdl/db.confを編集して、使用するデータベースを指定します。
3. ctxsetup.shを実行します。

注：

/etc/xdl/db.confを使用して、PostgreSQLのポート番号を構成することもできます。

手順2：ハイパーバイザーの準備

サポートされているハイパーバイザー上でLinux VDAをVMとして実行する場合、いくつかの変更が必要です。使用しているハイパーバイザープラットフォームに基づいて、次の変更を行います。Linuxマシンをベアメタルハードウェアで実行している場合、変更は不要です。

Citrix Hypervisor™での時刻同期の修正

Citrix Hypervisorの時刻同期機能が有効になっている場合、各準仮想化Linux VM内でNTPとCitrix Hypervisorの両方がシステムクロックを管理しようとするため、問題が発生します。クロックが他のサーバーと同期しなくなるのを避けるため、各Linuxゲスト内のシステムクロックがNTPと同期していることを確認してください。この場合、ホストの時刻同期を無効にする必要があります。HVMモードでは変更は不要です。

Citrix VM Toolsがインストールされた準仮想化Linuxカーネルを実行している場合、Linux VM内からCitrix Hypervisorの時刻同期機能が存在し、有効になっているかどうかを確認できます。

su -

cat /proc/sys/xen/independent_wallclock
<!--NeedCopy-->

このコマンドは0または1を返します。

• 0 - 時刻同期機能が有効であり、無効にする必要があります。
  • 1 - 時刻同期機能が無効であり、それ以上の操作は不要です。

/proc/sys/xen/independent_wallclockファイルが存在しない場合、以下の手順は不要です。

有効になっている場合、ファイルに1を書き込むことで時刻同期機能を無効にします。

sudo echo 1 > /proc/sys/xen/independent_wallclock
<!--NeedCopy-->

この変更を再起動後も永続的にするには、/etc/sysctl.confファイルを編集し、次の行を追加します。

xen.independent_wallclock = 1

これらの変更を確認するには、システムを再起動します。

su -

cat /proc/sys/xen/independent_wallclock
<!--NeedCopy-->

このコマンドは値1を返します。

Microsoft Hyper-Vでの時刻同期の修正

Hyper-V Linux Integration ServicesがインストールされているLinux VMは、Hyper-Vの時刻同期機能を使用してホストオペレーティングシステムの時刻を使用できます。システムクロックの精度を維持するには、NTPサービスと並行してこの機能を有効にする必要があります。

管理オペレーティングシステムから：

1. Hyper-Vマネージャーコンソールを開きます。
2. Linux VMの設定で、［統合サービス］を選択します。
3. ［時刻の同期］が選択されていることを確認します。

注：

このアプローチは、NTPとの競合を避けるためにホストの時刻同期が無効になっているVMwareおよびCitrix Hypervisorとは異なります。Hyper-Vの時刻同期は、NTPの時刻同期と共存し、補完することができます。

ESXおよびESXiでの時刻同期の修正

VMwareの時刻同期機能が有効になっている場合、各準仮想化Linux VM内でNTPとハイパーバイザーの両方がシステムクロックを同期しようとするため、問題が発生します。クロックが他のサーバーと同期しなくなるのを避けるため、各Linuxゲスト内のシステムクロックがNTPと同期していることを確認してください。この場合、ホストの時刻同期を無効にする必要があります。

VMware Toolsがインストールされた準仮想化Linuxカーネルを実行している場合：

1. vSphere Clientを開きます。
2. Linux VMの設定を編集します。
3. ［仮想マシンのプロパティ］ダイアログで、［オプション］タブを開きます。
4. ［VMware Tools］を選択します。
5. ［詳細設定］ボックスで、［ゲストOSとホストの時刻を同期］のチェックボックスをオフにします。

手順3：Linux VMのWindowsドメインへの追加

LinuxマシンをActive Directory（AD）ドメインに追加するには、次の方法があります。

-  [Samba Winbind](/ja-jp/linux-virtual-delivery-agent/2303/installation-overview/manual-installation-overview/redhat.html#samba-winbind)

• Quest Authentication Services
• Centrify DirectControl
• SSSD
• PBIS

選択した方法に基づいて手順に従ってください。

注：

Linux VDAのローカルアカウントとADのアカウントで同じユーザー名を使用すると、セッションの起動に失敗する可能性があります。

Samba Winbind

必要なパッケージをインストールまたは更新します。

RHEL 9.1/9.0/8.xおよびRocky Linux 9.1/9.0/8.xの場合：

sudo yum -y install samba-winbind samba-winbind-clients krb5-workstation oddjob-mkhomedir realmd authselect
<!--NeedCopy-->

Amazon Linux 2、CentOS 7、および RHEL 7 の場合：

sudo yum -y install samba-winbind samba-winbind-clients krb5-workstation authconfig oddjob-mkhomedir
<!--NeedCopy-->

マシン起動時にWinbindデーモンを有効にする

Winbindデーモンは、マシンの起動時に開始するように構成する必要があります。

sudo /sbin/chkconfig winbind on
<!--NeedCopy-->

Winbind認証の構成

Winbindを使用して、Kerberos認証用にマシンを構成します。

1. 次のコマンドを実行します。

   RHEL 9.1/9.0/8.x および Rocky Linux 9.1/9.0/8.x の場合：

   sudo authselect select winbind with-mkhomedir --force
   <!--NeedCopy-->
   

   Amazon Linux 2、CentOS 7、および RHEL 7 の場合：

   sudo authconfig --disablecache --disablesssd --disablesssdauth --enablewinbind --enablewinbindauth --disablewinbindoffline --smbsecurity=ads --smbworkgroup=domain --smbrealm=REALM --krb5realm=REALM --krb5kdc=fqdn-of-domain-controller --winbindtemplateshell=/bin/bash --enablemkhomedir --updateall
   <!--NeedCopy-->
   

   ここで、REALM は大文字のKerberosレルム名、domain はドメインのNetBIOS名です。

   KDCサーバーとレルム名のDNSベースのルックアップが必要な場合は、前のコマンドに次の2つのオプションを追加します。

   --enablekrb5kdcdns --enablekrb5realmdns

   winbind サービスの起動に失敗したという authconfig コマンドからのエラーは無視してください。これらのエラーは、マシンがまだドメインに参加していないときに authconfig が winbind サービスを起動しようとすると発生する可能性があります。

2. /etc/samba/smb.conf を開き、[Global] セクションの下、ただし authconfig ツールによって生成されたセクションの後に、次のエントリを追加します。

   kerberos method = secrets and keytab winbind refresh tickets = true winbind offline logon = no

3. (RHEL 9.1/9.0/8.x および Rocky Linux 9.1/9.0/8.x のみ) /etc/krb5.conf を開き、[libdefaults]、[realms]、および [domain_realm] セクションの下にエントリを追加します。

   [libdefaults] セクションの下：

   default_ccache_name = FILE:/tmp/krb5cc_%{uid} default_realm = REALM dns_lookup_kdc = true

   [realms] セクションの下：

   REALM = { kdc = fqdn-of-domain-controller }

   [domain_realm] セクションの下：

   realm = REALM .realm = REALM

Linux VDAは、Delivery Controllerで認証および登録するためにシステムキータブファイル /etc/krb5.keytab を必要とします。以前の kerberos method 設定により、マシンが最初にドメインに参加したときにWinbindがシステムキータブファイルを作成するよう強制されます。

Windowsドメインへの参加

ドメインコントローラーに到達可能であり、コンピューターをドメインに追加する権限を持つActive Directoryユーザーアカウントが必要です。

RHEL 9.1/9.0/8.x および Rocky Linux 9.1/9.0/8.x の場合：

sudo realm join -U user --client-software=winbind REALM
<!--NeedCopy-->

Amazon Linux 2 および RHEL 7 の場合：

sudo net ads join REALM -U user
<!--NeedCopy-->

REALM は大文字のKerberosレルム名であり、user はコンピューターをドメインに追加する権限を持つドメインユーザーです。

WinbindのPAMの構成

デフォルトでは、Winbind PAMモジュール (pam_winbind) の構成では、Kerberosチケットのキャッシュとホームディレクトリの作成が有効になっていません。/etc/security/pam_winbind.conf を開き、[Global] セクションの下に次のエントリを追加または変更します。

krb5_auth = yes krb5_ccache_type = FILE mkhomedir = yes

各設定の先頭にあるセミコロンが削除されていることを確認してください。これらの変更には、Winbindデーモンの再起動が必要です。

sudo /sbin/service winbind restart
<!--NeedCopy-->

ヒント：

winbind デーモンは、マシンがドメインに参加している場合にのみ実行され続けます。

/etc/krb5.conf を開き、[libdefaults] セクションの下にある次の設定を KEYRING から FILE タイプに変更します。

default_ccache_name = FILE:/tmp/krb5cc_%{uid}

RHEL 9.1/9.0 および Rocky Linux 9.1/9.0 の場合、pam_winbind がルートディレクトリの所有権を変更するのを防ぎ、WinbindでのSELinuxの問題を解決するために、次のコマンドを実行します。

-  usermod -d /nonexistent nobody

ausearch -c 'winbindd' --raw | audit2allow -M my-winbindd -p /etc/selinux/targeted/policy/policy.*

semodule -X 300 -i my-winbindd.pp
<!--NeedCopy-->

-  #### ドメインメンバーシップの確認

Delivery Controllerは、すべてのVDAマシン（WindowsおよびLinux VDA）がActive Directoryにコンピューターオブジェクトを持っていることを要求します。

Samba の net ads コマンドを実行して、マシンがドメインに参加していることを確認します。

sudo net ads testjoin
<!--NeedCopy-->

追加のドメインおよびコンピューターオブジェクト情報を確認するには、次のコマンドを実行します。

sudo net ads info
<!--NeedCopy-->

Kerberos構成の確認

KerberosがLinux VDAで使用するために正しく構成されていることを確認するには、システムキータブファイルが作成され、有効なキーが含まれていることを確認します。

sudo klist -ke
<!--NeedCopy-->

このコマンドは、プリンシパル名と暗号スイートのさまざまな組み合わせで利用可能なキーのリストを表示します。これらのキーを使用してドメインコントローラーでマシンを認証するには、Kerberos kinit コマンドを実行します。

sudo kinit -k MACHINE\$@REALM
<!--NeedCopy-->

マシン名とレルム名は、大文字で指定する必要があります。ドル記号 ($) は、シェルによる置換を防ぐためにバックスラッシュ (\) でエスケープする必要があります。一部の環境では、DNS ドメイン名が Kerberos レルム名と異なる場合があります。レルム名が使用されていることを確認してください。このコマンドが成功した場合、出力は表示されません。

マシンアカウントの TGT チケットがキャッシュされていることを確認するには、次を使用します。

sudo klist
<!--NeedCopy-->

マシンのアカウントの詳細を確認するには、次を使用します。

sudo net ads status
<!--NeedCopy-->

• ユーザー認証の確認

wbinfo ツールを使用して、ドメインユーザーがドメインで認証できることを確認します。

wbinfo --krb5auth=domain\\username%password
<!--NeedCopy-->

ここで指定するドメインは AD ドメイン名であり、Kerberos レルム名ではありません。bash シェルの場合、バックスラッシュ (\) 文字は別のバックスラッシュでエスケープする必要があります。このコマンドは、成功または失敗を示すメッセージを返します。

Winbind PAM モジュールが正しく構成されていることを確認するには、これまで使用したことのないドメインユーザーアカウントを使用して Linux VDA にログオンします。

ssh localhost -l domain\\username
id -u
<!--NeedCopy-->

Kerberos 資格情報キャッシュ内のチケットが有効で期限切れになっていないことを確認します。

klist
<!--NeedCopy-->

セッションを終了します。

exit
<!--NeedCopy-->

同様のテストは、Gnome または KDE コンソールに直接ログオンすることで実行できます。ドメイン参加の確認後、手順 6: Linux VDA のインストールに進みます。

Quest Authentication Services

ドメインコントローラーでの Quest の構成

Active Directory ドメインコントローラーに Quest ソフトウェアをインストールして構成済みであり、Active Directory でコンピューターオブジェクトを作成するための管理者権限が付与されているものとします。

ドメインユーザーの Linux VDA マシンへのログオンを有効にする

ドメインユーザーが Linux VDA マシンで HDX™ セッションを確立できるようにするには、次の手順を実行します。

1. Active Directory ユーザーとコンピューター管理コンソールで、そのユーザーアカウントの Active Directory ユーザープロパティを開きます。
2. [Unix Account] タブを選択します。
3. [Unix-enabled] をオンにします。
4. [Primary GID Number] を実際のドメインユーザーグループのグループ ID に設定します。

注：

これらの手順は、コンソール、RDP、SSH、またはその他のリモートプロトコルを使用してログオンするドメインユーザーを設定する場合にも同様に適用されます。

Linux VDA での Quest の構成

SELinux ポリシー適用への対処

• デフォルトの RHEL 環境では、SELinux が完全に適用されています。この適用により、Quest が使用する Unix ドメインソケット IPC メカニズムが妨げられ、ドメインユーザーがログオンできなくなります。

この問題を回避する便利な方法は、SELinux を無効にすることです。root ユーザーとして、/etc/selinux/config を編集し、SELinux 設定を変更します。

SELINUX=permissive

この変更にはマシンの再起動が必要です。

reboot
<!--NeedCopy-->

重要：

この設定は慎重に使用してください。無効にした後に SELinux ポリシーの適用を再度有効にすると、root ユーザーや他のローカルユーザーであっても、完全にロックアウトされる可能性があります。

VAS デーモンの構成

Kerberos チケットの自動更新は有効にして切断する必要があります。認証 (オフラインログオン) は無効にする必要があります。

sudo /opt/quest/bin/vastool configure vas vasd auto-ticket-renew-interval 32400

sudo /opt/quest/bin/vastool configure vas vas_auth allow-disconnected-auth false
<!--NeedCopy-->

このコマンドは、更新間隔を 9 時間 (32,400 秒) に設定します。これは、デフォルトの 10 時間のチケット有効期間よりも 1 時間短いです。チケット有効期間が短いシステムでは、このパラメーターをより低い値に設定してください。

PAM と NSS の構成

HDX および su、ssh、RDP などの他のサービスを介したドメインユーザーログオンを有効にするには、次のコマンドを実行して PAM と NSS を手動で構成します。

sudo /opt/quest/bin/vastool configure pam

sudo /opt/quest/bin/vastool configure nss
<!--NeedCopy-->

Windows ドメインへの参加

Quest の vastool コマンドを使用して、Linux マシンを Active Directory ドメインに参加させます。

sudo /opt/quest/bin/vastool -u user join domain-name
<!--NeedCopy-->

ユーザーは、コンピューターを Active Directory ドメインに参加させる権限を持つ任意のドメインユーザーです。domain-name は、ドメインの DNS 名です (例: example.com)。

ドメインメンバーシップの確認

Delivery Controller では、すべての VDA マシン (Windows および Linux VDA) が Active Directory にコンピューターオブジェクトを持っている必要があります。Quest に参加している Linux マシンがドメイン上にあることを確認するには、次の手順を実行します。

sudo /opt/quest/bin/vastool info domain
<!--NeedCopy-->

マシンがドメインに参加している場合、このコマンドはドメイン名を返します。マシンがどのドメインにも参加していない場合、次のエラーが表示されます。

ERROR: No domain could be found. ERROR: VAS_ERR_CONFIG: at ctx.c:414 in _ctx_init_default_realm default_realm not configured in vas.conf. Computer may not be joined to domain

ユーザー認証の確認

Quest が PAM を介してドメインユーザーを認証できることを確認するには、これまで使用したことのないドメインユーザーアカウントを使用して Linux VDA にログオンします。

ssh localhost -l domain\\username
id -u
<!--NeedCopy-->

id -u コマンドによって返された UID に対応する Kerberos 資格情報キャッシュファイルが作成されたことを確認します。

ls /tmp/krb5cc_uid
<!--NeedCopy-->

Kerberos 資格情報キャッシュ内のチケットが有効で期限切れになっていないことを確認します。

/opt/quest/bin/vastool klist
<!--NeedCopy-->

セッションを終了します。

exit
<!--NeedCopy-->

GnomeまたはKDEコンソールに直接ログオンして、同様のテストを実行できます。ドメイン参加の検証後、手順6：Linux VDAのインストールに進みます。

Centrify DirectControl

Windowsドメインへの参加

Centrify DirectControlエージェントがインストールされている場合、Centrify adjoinコマンドを使用してLinuxマシンをActive Directoryドメインに参加させます。

    -  su –
adjoin -w -V -u user domain-name
<!--NeedCopy-->

ユーザーパラメーターは、コンピューターをActive Directoryドメインに参加させる権限を持つActive Directoryドメインユーザーです。domain-nameは、Linuxマシンを参加させるドメインの名前です。

ドメインメンバーシップの検証

Delivery Controllerは、すべてのVDAマシン（WindowsおよびLinux VDA）がActive Directoryにコンピューターオブジェクトを持つことを要求します。Centrifyに参加しているLinuxマシンがドメイン上にあることを確認するには：

su –
adinfo
<!--NeedCopy-->

「Joined to domain」の値が有効であり、CentrifyDCモードが「connected」を返すことを確認します。モードが開始状態のままになっている場合、Centrifyクライアントはサーバー接続または認証の問題を抱えています。

-  より包括的なシステムおよび診断情報は、以下を使用して利用できます。

adinfo --sysinfo all
adinfo –diag
<!--NeedCopy-->

さまざまなActive DirectoryおよびKerberosサービスへの接続をテストします。

adinfo --test
<!--NeedCopy-->

ドメイン参加の検証後、手順6：Linux VDAのインストールに進みます。

SSSD

SSSDを使用している場合は、このセクションの手順に従ってください。このセクションには、Linux VDAマシンをWindowsドメインに参加させるための手順と、Kerberos認証を構成するためのガイダンスが含まれています。

RHELおよびCentOSでSSSDをセットアップするには、次の手順を実行します。

1. ドメインへの参加とホストキータブの作成
2. SSSDのセットアップ
3. SSSDの有効化
4. Kerberos構成の検証
5. ユーザー認証の検証

ドメインへの参加とホストキータブの作成

SSSDは、ドメインへの参加やシステムキータブファイルの管理のためのActive Directoryクライアント機能を提供しません。代わりに、adcli、realmd、またはSambaを使用できます。

このセクションでは、Amazon Linux 2およびRHEL 7向けのSambaアプローチと、RHEL 8向けのadcliアプローチについて説明します。realmdについては、RHELまたはCentOSのドキュメントを参照してください。これらの手順は、SSSDを構成する前に実行する必要があります。

-  **Samba (Amazon Linux 2およびRHEL 7):**

必要なパッケージをインストールまたは更新します。

```
sudo yum -y install krb5-workstation authconfig oddjob-mkhomedir samba-common-tools
<!--NeedCopy--> ```

適切に構成されたファイルを持つLinuxクライアントで：

-  /etc/krb5.conf
-  /etc/samba/smb.conf:

マシンを**Samba**およびKerberos認証用に構成します。

```
sudo authconfig --smbsecurity=ads --smbworkgroup=domain --smbrealm=REALM --krb5realm=REALM --krb5kdc=fqdn-of-domain-controller --update
<!--NeedCopy--> ```

ここで、**REALM**はKerberosレルム名（大文字）、**domain**はActive Directoryドメインの短いNetBIOS名です。

>**注：**
>
> この記事の設定は、単一ドメイン、単一フォレストモデルを対象としています。Kerberosは、お使いのADインフラストラクチャに基づいて構成してください。

KDCサーバーとレルム名のDNSベースのルックアップが必要な場合は、上記のコマンドに次の2つのオプションを追加します。

`--enablekrb5kdcdns --enablekrb5realmdns`

**/etc/samba/smb.conf**を開き、**[Global]**セクションの下、ただし**authconfig**ツールによって生成されたセクションの後に、次のエントリを追加します。

`kerberos method = secrets and  keytab`
`winbind offline logon = no`

Windowsドメインに参加します。ドメインコントローラーに到達可能であり、コンピューターをドメインに追加する権限を持つActive Directoryユーザーアカウントがあることを確認してください。

```
sudo net ads join REALM -U user
<!--NeedCopy--> ```

**REALM**はKerberosレルム名（大文字）、**user**はコンピューターをドメインに追加する権限を持つドメインユーザーです。

• Adcli (RHEL 9.1/9.0/8.xおよびRocky Linux 9.1/9.0/8.x):

  必要なパッケージをインストールまたは更新します。

   sudo yum -y install samba-common samba-common-tools krb5-workstation authconfig oddjob-mkhomedir realmd oddjob authselect
   <!--NeedCopy-->
  

  マシンをSambaおよびKerberos認証用に構成します。

   sudo authselect select sssd with-mkhomedir --force
   <!--NeedCopy-->
  

  /etc/krb5.confを開き、[realms]および[domain_realm]セクションの下にエントリを追加します。

  [realms]セクションの下：

  REALM = { kdc = fqdn-of-domain-controller }

  [domain_realm]セクションの下：

  realm = REALM .realm = REALM

  Windowsドメインに参加します。ドメインコントローラーに到達可能であり、コンピューターをドメインに追加する権限を持つActive Directoryユーザーアカウントがあることを確認してください。

   sudo realm join REALM -U user
   <!--NeedCopy-->
  

  REALMはKerberosレルム名（大文字）、userはコンピューターをドメインに追加する権限を持つドメインユーザーです。

SSSDのセットアップ

SSSDのセットアップは、次の手順で構成されます。

• sudo yum -y install sssdコマンドを実行して、Linux VDAにsssd-adパッケージをインストールします。
• さまざまなファイル（例：sssd.conf）に構成変更を加えます。
• sssdサービスを開始します。

RHEL 7のsssd.conf構成の例（必要に応じて追加オプションを追加できます）：

ad.example.com、server.ad.example.comを対応する値に置き換えます。詳細については、sssd-ad(5) - Linux man pageを参照してください。

（RHEL 9.1/9.0/8.xおよびRocky Linux 9.1/9.0/8.xのみ） /etc/sssd/sssd.confを開き、[domain/ad.example.com]セクションに次のエントリを追加します。

ad_gpo_access_control = permissive full_name_format = %2$s\%1$s fallback_homedir = /home/%d/%u # Kerberos settings krb5_ccachedir = /tmp krb5_ccname_template = FILE:%d/krb5cc_%U

sssd.confのファイルの所有権とアクセス許可を設定します。

chown root:root /etc/sssd/sssd.conf chmod 0600 /etc/sssd/sssd.conf restorecon /etc/sssd/sssd.conf

SSSDの有効化

RHEL 9.1/9.0/8.xおよびRocky Linux 9.1/9.0/8.xの場合：

SSSDを有効にするには、次のコマンドを実行します。

sudo systemctl restart sssd
sudo systemctl enable sssd.service
sudo chkconfig sssd on
<!--NeedCopy-->

Amazon Linux 2、CentOS 7、およびRHEL 7の場合：

authconfigを使用してSSSDを有効にします。ホームディレクトリの作成がSELinuxと互換性があることを確認するために、oddjob-mkhomedirをインストールします。

authconfig --enablesssd --enablesssdauth --enablemkhomedir --update

sudo service sssd start

sudo chkconfig sssd on
<!--NeedCopy-->

Kerberos構成の検証

システムkeytabファイルが作成され、有効なキーが含まれていることを確認します。

sudo klist -ke
<!--NeedCopy-->

このコマンドは、プリンシパル名と暗号スイートのさまざまな組み合わせで利用可能なキーのリストを表示します。これらのキーを使用してマシンをドメインコントローラーで認証するには、Kerberos kinitコマンドを実行します。

sudo kinit –k MACHINE\$@REALM
<!--NeedCopy-->

マシン名とレルム名は大文字で指定する必要があります。ドル記号（$）は、シェル置換を防ぐためにバックスラッシュ（\）でエスケープする必要があります。一部の環境では、DNSドメイン名がKerberosレルム名と異なる場合があります。レルム名が使用されていることを確認してください。このコマンドが成功した場合、出力は表示されません。

マシンアカウントのTGTチケットがキャッシュされていることを確認するには、次を使用します。

sudo klist
<!--NeedCopy-->

ユーザー認証の検証

getentコマンドを使用して、ログオン形式がサポートされており、NSSが機能することを確認します。

sudo getent passwd DOMAIN\\username
<!--NeedCopy-->

DOMAINパラメーターは、短いバージョンのドメイン名を示します。別のログオン形式が必要な場合は、まずgetentコマンドを使用して確認します。

サポートされているログオン形式は次のとおりです。

• ダウンレベルログオン名：DOMAIN\username
• UPN：username@domain.com
• NetBIOSサフィックス形式：username@DOMAIN

SSSD PAMモジュールが正しく構成されていることを確認するには、以前に使用したことのないドメインユーザーアカウントを使用してLinux VDAにログオンします。

sudo ssh localhost –l DOMAIN\\username

id -u
<!--NeedCopy-->

コマンドによって返されたuidに対応するKerberos資格情報キャッシュファイルが作成されたことを確認します。

ls /tmp/krb5cc_{uid}
<!--NeedCopy-->

ユーザーのKerberos資格情報キャッシュ内のチケットが有効であり、期限切れになっていないことを確認します。

klist
<!--NeedCopy-->

ドメイン参加の検証後、手順6：Linux VDAのインストールに進みます。

PBIS

必要なPBISパッケージのダウンロード

wget https://github.com/BeyondTrust/pbis-open/releases/download/9.1.0/pbis-open-9.1.0.551.linux.x86_64.rpm.sh
<!--NeedCopy-->

• PBISインストールスクリプトの実行可能化

chmod +x pbis-open-9.1.0.551.linux.x86_64.rpm.sh
<!--NeedCopy-->

PBISインストールスクリプトの実行

sh pbis-open-9.1.0.551.linux.x86_64.rpm.sh
<!--NeedCopy-->

Windowsドメインへの参加

ドメインコントローラーに到達可能であり、コンピューターをドメインに追加する権限を持つActive Directoryユーザーアカウントが必要です。

/opt/pbis/bin/domainjoin-cli join domain-name user
<!--NeedCopy-->

userは、コンピューターをActive Directoryドメインに追加する権限を持つドメインユーザーです。domain-nameは、ドメインのDNS名です（例：example.com）。

注：Bashをデフォルトシェルとして設定するには、/opt/pbis/bin/config LoginShellTemplate/bin/bashコマンドを実行します。

ドメインメンバーシップの検証

Delivery Controllerでは、すべてのVDAマシン（Windows VDAおよびLinux VDA）がActive Directoryにコンピューターオブジェクトを持っている必要があります。PBISに参加しているLinuxマシンがドメイン上にあることを確認するには：

/opt/pbis/bin/domainjoin-cli query
<!--NeedCopy-->

マシンがドメインに参加している場合、このコマンドは現在参加しているADドメインとOUに関する情報を返します。それ以外の場合は、ホスト名のみが表示されます。

ユーザー認証の確認

PBIS が PAM を介してドメインユーザーを認証できることを確認するには、これまで使用したことのないドメインユーザーアカウントを使用して Linux VDA にログオンします。

ssh localhost -l domain\\user

-  id -u
<!--NeedCopy-->

• id -u コマンドで返された UID に対応する Kerberos 資格情報キャッシュファイルが作成されたことを確認します。

-  ls /tmp/krb5cc_uid
<!--NeedCopy-->

• セッションを終了します。

-  exit
<!--NeedCopy-->

ドメイン参加の検証後、ステップ 6: Linux VDA のインストールに進みます。

    -  ## ステップ 4: .NET Runtime 6.0 のインストール

Linux VDA をインストールする前に、https://docs.microsoft.com/en-us/dotnet/core/install/linux-package-managers の手順に従って .NET Runtime 6.0 をインストールします。

.NET Runtime 6.0 のインストール後、which dotnet コマンドを実行してランタイムパスを見つけます。

コマンド出力に基づいて、.NET ランタイムバイナリパスを設定します。たとえば、コマンド出力が /aa/bb/dotnet の場合、/aa/bb を .NET バイナリパスとして使用します。

ステップ 5: Linux VDA パッケージのダウンロード

1. Citrix Virtual Apps and Desktops ダウンロードページにアクセスします。 - 1. 適切なバージョンの Citrix Virtual Apps and Desktops を展開します。

2. Components をクリックして、お使いの Linux ディストリビューションに一致する Linux VDA パッケージと、Linux VDA パッケージの整合性を検証するために使用できる GPG 公開キーをダウンロードします。

   Linux VDA パッケージの整合性を検証するには、公開キーを RPM データベースにインポートし、次のコマンドを実行します。

   ```
   rpmkeys --import <path to the public key>
   
   -  rpm --checksig --verbose <path to the Linux VDA package>
   <!--NeedCopy--> ```
   

ステップ 6: Linux VDA のインストール

新規インストール、または以前の 2 つのバージョンおよび LTSR リリースからの既存のインストールのアップグレードを実行できます。

ステップ 6a: 新規インストール

1. (オプション) 古いバージョンのアンインストール

   以前の 2 つのバージョンおよび LTSR リリース以外の以前のバージョンをインストールした場合は、新しいバージョンをインストールする前にアンインストールします。

   1. Linux VDA サービスを停止します。

      sudo /sbin/service ctxvda stop  
      
      sudo /sbin/service ctxhdx stop
      <!--NeedCopy-->
      

      注:

      ctxvda および ctxhdx サービスを停止する前に、service ctxmonitorservice stop コマンドを実行してモニターサービスデーモンを停止します。そうしないと、モニターサービスデーモンが停止したサービスを再起動します。

   2. パッケージをアンインストールします。

      sudo rpm -e XenDesktopVDA
      <!--NeedCopy-->
      

   注:

   コマンドを実行するには、フルパスが必要です。または、/opt/Citrix/VDA/sbin および /opt/Citrix/VDA/bin をシステムパスに追加することもできます。

2. Linux VDA パッケージのダウンロード

   Citrix Virtual Apps and Desktops ダウンロードページにアクセスします。適切なバージョンの Citrix Virtual Apps and Desktops を展開し、Components をクリックして、お使いの Linux ディストリビューションに一致する Linux VDA パッケージをダウンロードします。

3. Linux VDA のインストール

   注:

   • CentOS、RHEL、および Rocky Linux の場合、Linux VDA を正常にインストールする前に EPEL リポジトリをインストールします。EPEL のインストール方法については、https://docs.fedoraproject.org/en-US/epel/ の手順を参照してください。

   • RHEL 9.1/9.0 および Rocky Linux 9.1/9.0 に Linux VDA をインストールする前に、libsepol パッケージをバージョン 3.4 以降に更新します。

   • Yum を使用して Linux VDA ソフトウェアをインストールします。

     Amazon Linux 2 の場合:

      sudo yum install -y XenDesktopVDA-<version>.amzn2.x86_64.rpm
      <!--NeedCopy-->
     

     RHEL 9.1/9.0 および Rocky Linux 9.1/9.0 の場合:

      sudo yum install -y XenDesktopVDA-<version>.el9_x.x86_64.rpm
      <!--NeedCopy-->
     

     RHEL 8.x および Rocky Linux 8.x の場合:

      sudo yum install -y XenDesktopVDA-<version>.el8_x.x86_64.rpm
      <!--NeedCopy-->
     

     CentOS 7 および RHEL 7 の場合:

      sudo yum install -y XenDesktopVDA-<version>.el7_x.x86_64.rpm
      <!--NeedCopy-->
     

     • RPM パッケージマネージャーを使用して Linux VDA ソフトウェアをインストールします。その前に、次の依存関係を解決する必要があります。

     Amazon Linux 2 の場合:

      sudo rpm -i XenDesktopVDA-<version>.amzn2.x86_64.rpm
      <!--NeedCopy-->
     

     RHEL 9.1/9.0 および Rocky Linux 9.1/9.0 の場合:

      sudo rpm -i XenDesktopVDA-<version>.el9_x.x86_64.rpm
      <!--NeedCopy-->
     

     RHEL 8.x および Rocky Linux 8.x の場合:

      sudo rpm -i XenDesktopVDA-<version>.el8_x.x86_64.rpm
      <!--NeedCopy-->
     

     CentOS 7 および RHEL 7 の場合:

      sudo rpm -i XenDesktopVDA-<version>.el7_x.x86_64.rpm
      <!--NeedCopy-->
     

     • RHEL 9.1/9.0 および Rocky Linux 9.1/9.0 の RPM 依存関係リスト:

      java-11-openjdk >= 11
     
       icoutils >= 0.32
     
       firewalld >= 0.6.3
     
       policycoreutils-python >= 2.8.9
     
       policycoreutils-python-utils >= 2.8
     
      -  python3-policycoreutils >= 2.8
     
       dbus >= 1.12.8
     
       dbus-common >= 1.12.8
     
       dbus-daemon >= 1.12.8
     
       dbus-tools >= 1.12.8
     
       dbus-x11 >= 1.12.8
     
       xorg-x11-server-utils >= 7.7
     
       xorg-x11-xinit >= 1.3.4
     
       libXpm >= 3.5.12
     
       libXrandr >= 1.5.1
     
       libXtst >= 1.2.3
     
       pam >= 1.3.1
     
       util-linux >= 2.32.1
     
       util-linux-user >= 2.32.1
     
       xorg-x11-utils >= 7.5
     
       bash >= 4.3
     
       findutils >= 4.6
     
       gawk >= 4.2
     
       sed >= 4.5
     
       cups >= 1.6.0
     
       foomatic-filters >= 4.0.9
     
       cups-filters >= 1.20.0
     
       ghostscript >= 9.25
     
       libxml2 >= 2.9
     
       libmspack >= 0.7
     
       krb5-workstation >= 1.13
     
       ibus >= 1.5
     
       nss-tools >= 3.44.0
     
       gperftools-libs >= 2.4
     
       cyrus-sasl-gssapi >= 2.1
     
       python3 >= 3.6~
     
       qt5-qtbase >= 5.5~
     
       qt5-qtbase-gui >= 5.5~
     
       qrencode-libs >= 3.4.4
     
       imlib2 >= 1.4.9
     
      <!--NeedCopy-->
     

     RHEL 8.x および Rocky Linux 8.x の RPM 依存関係リスト:

      java-11-openjdk >= 11
     
      icoutils >= 0.32
     
      firewalld >= 0.6.3
     
      policycoreutils-python >= 2.8.9
     
      policycoreutils-python-utils >= 2.8
     
      python3-policycoreutils >= 2.8
     
      dbus >= 1.12.8
     
      dbus-common >= 1.12.8
     
      dbus-daemon >= 1.12.8
     
      dbus-tools >= 1.12.8
     
      dbus-x11 >= 1.12.8
     
      xorg-x11-server-utils >= 7.7
     
      xorg-x11-xinit >= 1.3.4
     
      libXpm >= 3.5.12
     
      libXrandr >= 1.5.1
     
      libXtst >= 1.2.3
     
      pam >= 1.3.1
     
      util-linux >= 2.32.1
     
      util-linux-user >= 2.32.1
     
      xorg-x11-utils >= 7.5
     
      bash >= 4.3
     
      findutils >= 4.6
     
      gawk >= 4.2
     
      sed >= 4.5
     
      cups >= 1.6.0
     
      foomatic-filters >= 4.0.9
     
      cups-filters >= 1.20.0
     
      ghostscript >= 9.25
     
      libxml2 >= 2.9
     
      libmspack >= 0.7
     
      krb5-workstation >= 1.13
     
      ibus >= 1.5
     
      nss-tools >= 3.44.0
     
      gperftools-libs >= 2.4
     
      cyrus-sasl-gssapi >= 2.1
     
      python3 >= 3.6~
     
      qt5-qtbase >= 5.5~
     
      qt5-qtbase-gui >= 5.5~
     
      qrencode-libs >= 3.4.4
     
      imlib2 >= 1.4.9
      <!--NeedCopy-->
     

     CentOS 7 および RHEL 7 の RPM 依存関係リスト:

      java-11-openjdk >= 11
     
      ImageMagick >= 6.7.8.9
     
      firewalld >= 0.3.9
     
      policycoreutils-python >= 2.0.83
     
      dbus >= 1.6.12
     
      dbus-x11 >= 1.6.12
     
      xorg-x11-server-utils >= 7.7
     
      xorg-x11-xinit >= 1.3.2
     
      xorg-x11-server-Xorg >= 1.20.4
     
      libXpm >= 3.5.10
     
      libXrandr >= 1.4.1
     
      libXtst >= 1.2.2
     
      pam >= 1.1.8
     
      util-linux >= 2.23.2
     
      bash >= 4.2
     
      findutils >= 4.5
     
      gawk >= 4.0
     
      sed >= 4.2
     
      cups >= 1.6.0
     
      foomatic-filters >= 4.0.9
     
      libxml2 >= 2.9
     
      libmspack >= 0.5
     
      ibus >= 1.5
     
      cyrus-sasl-gssapi >= 2.1
     
      python3 >= 3.6~
     
      gperftools-libs >= 2.4
     
      nss-tools >= 3.44.0
     
      qt5-qtbase >= 5.5~
     
      qt5-qtbase >= 5.5~
     
      imlib2 >= 1.4.5
      <!--NeedCopy-->
     

     Amazon Linux 2用RPM依存関係リスト:

      java-11-openjdk >= 11
     
      ImageMagick >= 6.7.8.9
     
      firewalld >= 0.3.9
     
      policycoreutils-python >= 2.0.83
     
      dbus >= 1.6.12
     
      dbus-x11 >= 1.6.12
     
      xorg-x11-server-utils >= 7.7
     
      xorg-x11-xinit >= 1.3.2
     
      xorg-x11-server-Xorg >= 1.20.4
     
      libXpm >= 3.5.10
     
      libXrandr >= 1.4.1
     
      libXtst >= 1.2.2
     
      pam >= 1.1.8
     
      util-linux >= 2.23.2
     
      bash >= 4.2
     
      findutils >= 4.5
     
      gawk >= 4.0
     
      sed >= 4.2
     
      cups >= 1.6.0
     
      foomatic-filters >= 4.0.9
     
      libxml2 >= 2.9
     
      libmspack >= 0.5
     
      ibus >= 1.5
     
      cyrus-sasl-gssapi >= 2.1
     
      gperftools-libs >= 2.4
     
      nss-tools >= 3.44.0
     
      qt5-qtbase >= 5.5~
     
      qrencode-libs >= 3.4.1
     
      imlib2 >= 1.4.5
      <!--NeedCopy-->
     

   注:

   このバージョンのLinux VDAがサポートするLinuxディストリビューションとXorgバージョンのマトリックスについては、「システム要件」を参照してください。

   RHEL 7.xにLinux VDAをインストールした後、sudo yum install -y python-websockify x11vncコマンドを実行します。これは、セッションシャドウイング機能を使用するためにpython-websockifyとx11vncを手動でインストールすることを目的としています。詳細については、「セッションシャドウイング」を参照してください。

手順6b: 既存のインストールのアップグレード (オプション)

既存のインストールは、以前の2つのバージョンおよびLTSRリリースからアップグレードできます。

注:

• 既存のインストールをアップグレードすると、/etc/xdl下の構成ファイルが上書きされます。アップグレードを実行する前に、ファイルをバックアップしてください。

• RHEL 9.1/9.0およびRocky Linux 9.1/9.0でLinux VDAをアップグレードする前に、libsepolパッケージをバージョン3.4以降に更新してください。

• Yumを使用してソフトウェアをアップグレードするには:

  Amazon Linux 2の場合:

   sudo yum install -y XenDesktopVDA-<version>.amzn2.x86_64.rpm
   <!--NeedCopy-->
  

  RHEL 9.1/9.0およびRocky Linux 9.1/9.0の場合:

   sudo yum install -y XenDesktopVDA-<version>.el9_x.x86_64.rpm
   <!--NeedCopy-->
  

  RHEL 8.xおよびRocky Linux 8.xの場合:

   sudo yum install -y XenDesktopVDA-<version>.el8_x.x86_64.rpm
   <!--NeedCopy-->
  

  CentOS 7およびRHEL 7の場合:

   sudo yum install -y XenDesktopVDA-<version>.el7_x.x86_64.rpm
   <!--NeedCopy-->
  

• RPMパッケージマネージャーを使用してソフトウェアをアップグレードするには:

  Amazon Linux 2の場合:

   sudo rpm -U XenDesktopVDA-<version>.amzn2.x86_64.rpm
   <!--NeedCopy-->
  

  RHEL 9.1/9.0およびRocky Linux 9.1/9.0の場合:

   sudo rpm -U XenDesktopVDA-<version>.el9_x.x86_64.rpm
   <!--NeedCopy-->
  

  RHEL 8.xおよびRocky Linux 8.xの場合:

   sudo rpm -U XenDesktopVDA-<version>.el8_x.x86_64.rpm
   <!--NeedCopy-->
  

  CentOS 7およびRHEL 7の場合:

   sudo rpm -U XenDesktopVDA-<version>.el7_x.x86_64.rpm
   <!--NeedCopy-->
  

注:

RHEL 7を使用している場合は、上記のアップグレードコマンドを実行した後、次の手順を完了してください。

1. /opt/Citrix/VDA/bin/ctxreg create -k "HKLM\Software\Citrix\VirtualDesktopAgent" -t "REG_SZ" -v "DotNetRuntimePath" -d "/opt/rh/rh-dotnet31/root/usr/bin/" --forceを実行して、正しい.NETランタイムパスを設定します。

2. ctxvdaサービスを再起動します。

重要:

ソフトウェアのアップグレード後、Linux VDAマシンを再起動してください。

手順7: NVIDIA GRIDドライバーのインストール

HDX 3D Proを有効にするには、ハイパーバイザーとVDAマシンにNVIDIA GRIDドライバーをインストールする必要があります。

注:

Amazon Linux 2でHDX 3D Proを使用するには、NVIDIAドライバー470をインストールすることをお勧めします。詳細については、「システム要件」を参照してください。

特定のハイパーバイザーにNVIDIA GRID Virtual GPU Manager（ホストドライバー）をインストールおよび構成するには、次のガイドを参照してください。

-  [Citrix Hypervisor](/ja-jp/citrix-hypervisor/graphics/vm-graphics-config.html#install-the-nvidia-drivers)
-  [VMware ESX](https://docs.nvidia.com/vgpu/latest/grid-software-quick-start-guide/index.html#installing-grid-vgpu-manager-vmware-vsphere)

• Nutanix AHV

NVIDIA GRIDゲストVMドライバーをインストールおよび構成するには、次の手順を実行します。

1. ゲストVMがシャットダウンされていることを確認します。
2. XenCenter®で、VMにGPUを割り当てます。
3. VMを起動します。

4. NVIDIA GRIDドライバー用にVMを準備します。

   yum install gcc
   
   yum install "kernel-devel-$(uname -r)"
   
   systemctl set-default multi-user.target
   <!--NeedCopy-->
   

5. Red Hat Enterprise Linuxドキュメントの手順に従って、NVIDIA GRIDドライバーをインストールします。

注:

GPUドライバーのインストール中、各質問に対してデフォルト（「no」）を選択します。

重要:

GPUパススルーが有効になると、Linux VMはXenCenter経由でアクセスできなくなります。SSHを使用して接続してください。

カードの正しい構成を設定します。

etc/X11/ctx-nvidia.sh

大解像度およびマルチモニター機能を利用するには、有効なNVIDIAライセンスが必要です。ライセンスを申請するには、「GRID Licensing Guide.pdf - DU-07757-001 September 2015」の製品ドキュメントに従ってください。

手順8: Linux VDAの構成

注:

ランタイム環境をセットアップする前に、en_US.UTF-8ロケールがOSにインストールされていることを確認してください。ロケールがOSで利用できない場合は、sudo locale-gen en_US.UTF-8コマンドを実行します。Debianの場合、/etc/locale.genファイルを編集して# en_US.UTF-8 UTF-8行のコメントを解除し、sudo locale-genコマンドを実行します。

パッケージをインストールした後、ctxsetup.shスクリプトを実行してLinux VDAを構成する必要があります。変更を加える前に、スクリプトは環境を検証し、すべての依存関係がインストールされていることを確認します。必要に応じて、いつでもスクリプトを再実行して設定を変更できます。

スクリプトは、プロンプトに従って手動で実行することも、事前構成された応答で自動的に実行することもできます。続行する前に、スクリプトに関するヘルプを確認してください。

sudo /opt/Citrix/VDA/sbin/ctxsetup.sh --help
<!--NeedCopy-->

プロンプトによる構成

プロンプトによる質問で手動構成を実行します。

sudo /opt/Citrix/VDA/sbin/ctxsetup.sh
<!--NeedCopy-->

自動構成

自動インストールの場合、セットアップスクリプトで必要とされるオプションを環境変数で指定します。必要なすべての変数が存在する場合、スクリプトは情報を要求しません。

サポートされている環境変数には以下が含まれます。

• CTX_XDL_SUPPORT_DDC_AS_CNAME=Y | N – Linux VDAは、DNS CNAMEレコードを使用してDelivery Controller名を指定することをサポートしています。デフォルトではNに設定されています。
• CTX_XDL_DDC_LIST=’list-ddc-fqdns’ – Linux VDAは、Delivery Controllerへの登録に使用するDelivery Controllerの完全修飾ドメイン名（FQDN）のスペース区切りリストを必要とします。少なくとも1つのFQDNまたはCNAMEエイリアスを指定する必要があります。
• CTX_XDL_VDA_PORT=port-number – Linux VDAは、デフォルトでポート80であるTCP/IPポートを介してDelivery Controllerと通信します。
• CTX_XDL_REGISTER_SERVICE=Y | N - Linux VDAサービスはマシン起動後に開始されます。デフォルト値はYです。
• CTX_XDL_ADD_FIREWALL_RULES=Y | N – Linux VDAサービスは、システムファイアウォールを介した受信ネットワーク接続を許可する必要があります。Linux Virtual Desktopの場合、必要なポート（デフォルトでポート80および1494）をシステムファイアウォールで自動的に開くことができます。デフォルトではYに設定されています。
• CTX_XDL_AD_INTEGRATION=winbind | quest |centrify | sssd | pbis – Linux VDAは、Delivery Controllerで認証するためにKerberos構成設定を必要とします。Kerberos構成は、システムにインストールおよび構成されているActive Directory統合ツールから決定されます。
• CTX_XDL_HDX_3D_PRO=Y | N – Linux VDAは、グラフィックを多用するアプリケーションの仮想化を最適化するように設計されたGPUアクセラレーション技術のセットであるHDX 3D Proをサポートしています。HDX 3D Proが選択されている場合、VDAはVDIデスクトップ（シングルセッション）モード（つまり、CTX_XDL_VDI_MODE=Y）用に構成されます。
• CTX_XDL_VDI_MODE=Y | N – マシンを専用デスクトップ配信モデル（VDI）として構成するか、ホスト型共有デスクトップ配信モデルとして構成するかを決定します。HDX 3D Pro環境の場合、この変数をYに設定します。この変数はデフォルトでNに設定されています。

• CTX_XDL_SITE_NAME=dns-name – Linux VDAはDNSを介してLDAPサーバーを検出します。DNS検索結果をローカルサイトに制限するには、DNSサイト名を指定します。この変数はデフォルトで<none>に設定されています。

• CTX_XDL_LDAP_LIST=’list-ldap-servers’ – Linux VDAはDNSをクエリしてLDAPサーバーを検出します。DNSがLDAPサービスレコードを提供できない場合、LDAPポートを含むLDAP FQDNのスペース区切りリストを指定できます。例えば、ad1.mycompany.com:389 ad2.mycompany.com:3268 ad3.mycompany.com:3268。LDAPポート番号を389として指定した場合、Linux VDAは指定されたドメイン内の各LDAPサーバーをポーリングモードでクエリします。ポリシーの数がx、LDAPサーバーの数がyの場合、Linux VDAはXにYを乗じた合計クエリを実行します。ポーリング時間がしきい値を超えると、セッションログオンが失敗する可能性があります。より高速なLDAPクエリを有効にするには、ドメインコントローラーでグローバルカタログを有効にし、関連するLDAPポート番号を3268として指定します。この変数はデフォルトで<none>に設定されています。
• CTX_XDL_SEARCH_BASE=search-base-set – Linux VDAは、Active Directoryドメインのルート（例えば、DC=mycompany,DC=com）に設定された検索ベースを介してLDAPをクエリします。検索パフォーマンスを向上させるには、検索ベース（例えば、OU=VDI,DC=mycompany,DC=com）を指定できます。この変数はデフォルトで<none>に設定されています。
• CTX_XDL_FAS_LIST=’list-fas-servers’ – フェデレーション認証サービス（FAS）サーバーは、ADグループポリシーを介して構成されます。Linux VDAはADグループポリシーをサポートしていませんが、代わりにFASサーバーのセミコロン区切りリストを提供できます。シーケンスはADグループポリシーで構成されているものと同じである必要があります。サーバーアドレスが削除された場合は、その空白を<none>というテキスト文字列で埋め、サーバーアドレスの順序を変更しないでください。FASサーバーと適切に通信するには、FASサーバーで指定されたポート番号と一致するポート番号を付加してください。例えば、CTX_XDL_FAS_LIST=’fas_server_1_url:port_number; fas_server_2_url: port_number; fas_server_3_url: port_number’。

• CTX_XDL_DOTNET_ RUNTIME_PATH=path-to-install-dotnet-runtime – 新しいブローカーエージェントサービス（ctxvda）をサポートするための.NET Runtime 6.0をインストールするパスです。デフォルトのパスは/usr/binです。

• CTX_XDL_DESKTOP _ENVIRONMENT=gnome/gnome-classic/mate – セッションで使用するGNOME、GNOME Classic、またはMATEデスクトップ環境を指定します。この変数を指定しない場合、VDAに現在インストールされているデスクトップが使用されます。ただし、現在インストールされているデスクトップがMATEの場合、変数値をmateに設定する必要があります。

  ターゲットセッションユーザーのデスクトップ環境を変更するには、以下の手順を実行します。

  1. VDA上の$HOME/<username>ディレクトリの下に.xsessionまたは.Xclientsファイルを作成します。Amazon Linux 2を使用している場合は、.Xclientsファイルを作成します。他のディストリビューションを使用している場合は、.xsessionファイルを作成します。

  2. .xsessionまたは.Xclientsファイルを編集して、デスクトップ環境を指定します。

     • MATEデスクトップの場合

        MSESSION="$(type -p mate-session)"  
        if [ -n "$MSESSION" ]; then  
          exec mate-session  
        fi  
       

     • GNOME Classicデスクトップの場合

        GSESSION="$(type -p gnome-session)"  
        if [ -n "$GSESSION" ]; then  
        export GNOME_SHELL_SESSION_MODE=classic  
        exec gnome-session --session=gnome-classic  
        fi  
       

     • GNOMEデスクトップの場合

        GSESSION="$(type -p gnome-session)"  
        if [ -n "$GSESSION" ]; then  
        exec gnome-session  
        fi  
       

  3. ターゲットセッションユーザーと700ファイル権限を共有します。

  バージョン2209以降、セッションユーザーはデスクトップ環境をカスタマイズできます。この機能を有効にするには、VDAに切り替え可能なデスクトップ環境を事前にインストールする必要があります。詳細については、「セッションユーザーによるカスタムデスクトップ環境」を参照してください。

• CTX_XDL_START_SERVICE=Y | N – Linux VDAの構成が完了したときにLinux VDAサービスを開始するかどうかを決定します。デフォルト値はYです。
• CTX_XDL_TELEMETRY_SOCKET_PORT – Citrix Scoutのリッスン用ソケットポートです。デフォルトポートは7503です。
• CTX_XDL_TELEMETRY_PORT – Citrix Scoutとの通信用ポートです。デフォルトポートは7502です。

環境変数を設定し、構成スクリプトを実行します。

export CTX_XDL_SUPPORT_DDC_AS_CNAME=Y|N

export CTX_XDL_DDC_LIST='list-ddc-fqdns'

export CTX_XDL_VDA_PORT=port-number

export CTX_XDL_REGISTER_SERVICE=Y|N

export CTX_XDL_ADD_FIREWALL_RULES=Y|N

export CTX_XDL_AD_INTEGRATION=winbind | quest |centrify | sssd | pbis

export CTX_XDL_HDX_3D_PRO=Y|N

export CTX_XDL_VDI_MODE=Y|N

export CTX_XDL_SITE_NAME=dns-site-name | '<none>'

export CTX_XDL_LDAP_LIST='list-ldap-servers' | '<none>'

export CTX_XDL_SEARCH_BASE=search-base-set | '<none>'

export CTX_XDL_FAS_LIST='list-fas-servers' | '<none>'

export CTX_XDL_DOTNET_RUNTIME_PATH=path-to-install-dotnet-runtime

export CTX_XDL_DESKTOP_ENVIRONMENT= gnome | gnome-classic | mate | '<none>'

export CTX_XDL_TELEMETRY_SOCKET_PORT=port-number

export CTX_XDL_TELEMETRY_PORT=port-number

export CTX_XDL_START_SERVICE=Y|N

sudo -E /opt/Citrix/VDA/sbin/ctxsetup.sh --silent
<!--NeedCopy-->

sudoコマンドを実行するときは、既存の環境変数を新しく作成されるシェルに渡すために -E オプションを入力します。上記のコマンドから、最初の行に #!/bin/bash を含むシェルスクリプトファイルを作成することをお勧めします。

または、単一のコマンドを使用してすべてのパラメーターを指定することもできます。

sudo CTX_XDL_SUPPORT_DDC_AS_CNAME=Y|N \

CTX_XDL_DDC_LIST='list-ddc-fqdns' \

CTX_XDL_VDA_PORT=port-number \

CTX_XDL_REGISTER_SERVICE=Y|N \

CTX_XDL_ADD_FIREWALL_RULES=Y|N \

CTX_XDL_AD_INTEGRATION=winbind | quest |centrify | sssd | pbis \

CTX_XDL_HDX_3D_PRO=Y|N \

CTX_XDL_VDI_MODE=Y|N \

CTX_XDL_SITE_NAME=dns-name \

CTX_XDL_LDAP_LIST='list-ldap-servers' \

CTX_XDL_SEARCH_BASE=search-base-set \

CTX_XDL_FAS_LIST='list-fas-servers' \

CTX_XDL_DOTNET_RUNTIME_PATH=path-to-install-dotnet-runtime \

CTX_XDL_DESKTOP_ENVIRONMENT=gnome|gnome-classic|mate \

CTX_XDL_TELEMETRY_SOCKET_PORT=port-number \

CTX_XDL_TELEMETRY_PORT=port-number \

CTX_XDL_START_SERVICE=Y|N \

/opt/Citrix/VDA/sbin/ctxsetup.sh --silent
<!--NeedCopy-->

構成変更の削除

一部のシナリオでは、Linux VDAパッケージをアンインストールせずに、ctxsetup.shスクリプトによって行われた構成変更を削除する必要がある場合があります。

続行する前に、このスクリプトに関するヘルプを確認してください。

sudo /opt/Citrix/VDA/sbin/ctxcleanup.sh --help
<!--NeedCopy-->

構成変更を削除するには：

sudo /opt/Citrix/VDA/sbin/ctxcleanup.sh
<!--NeedCopy-->

重要：

このスクリプトは、データベースからすべての構成データを削除し、Linux VDAを動作不能にします。

構成ログ

ctxsetup.shおよびctxcleanup.shスクリプトは、コンソールにエラーを表示し、追加情報は構成ログファイル /tmp/xdl.configure.log に書き込まれます。

変更を有効にするには、Linux VDAサービスを再起動します。

手順9：XDPingの実行

sudo /opt/Citrix/VDA/bin/xdping を実行して、Linux VDA環境における一般的な構成の問題を確認します。詳細については、「XDPing」を参照してください。

手順10：Linux VDAの実行

ctxsetup.shスクリプトを使用してLinux VDAを構成した後、次のコマンドを実行してLinux VDAを制御できます。

Linux VDAの開始：

Linux VDAサービスを開始するには：

sudo /sbin/service ctxhdx start

sudo /sbin/service ctxvda start
<!--NeedCopy-->

Linux VDAの停止：

Linux VDAサービスを停止するには：

sudo /sbin/service ctxvda stop

sudo /sbin/service ctxhdx stop
<!--NeedCopy-->

注：

ctxvdaおよびctxhdxサービスを停止する前に、service ctxmonitorservice stopコマンドを実行してモニターサービスデーモンを停止してください。そうしないと、モニターサービスデーモンが停止したサービスを再起動します。

Linux VDAの再起動：

Linux VDAサービスを再起動するには：

sudo /sbin/service ctxvda stop

sudo /sbin/service ctxhdx restart

sudo /sbin/service ctxvda start
<!--NeedCopy-->

Linux VDAのステータスの確認：

Linux VDAサービスの実行ステータスを確認するには：

sudo /sbin/service ctxvda status

sudo /sbin/service ctxhdx status
<!--NeedCopy-->

手順11：マシンカタログの作成

マシンカタログを作成し、Linux VDAマシンを追加するプロセスは、従来のWindows VDAのアプローチと似ています。これらのタスクを完了する方法の詳細については、「マシンカタログの作成」および「マシンカタログの管理」を参照してください。

Linux VDAマシンを含むマシンカタログを作成する場合、Windows VDAマシン用のマシンカタログを作成するプロセスとは異なるいくつかの制限があります。

• オペレーティングシステムについては、以下を選択します。
  • ホストされた共有デスクトップ配信モデルの場合は、Multi-session OSオプション。
  • VDI専用デスクトップ配信モデルの場合は、Single-session OSオプション。
• 同じマシンカタログ内でLinux VDAマシンとWindows VDAマシンを混在させないでください。

注：

Citrix Studioの初期バージョンでは、「Linux OS」という概念はサポートされていませんでした。ただし、Windows Server OSまたはServer OSオプションを選択すると、同等のホストされた共有デスクトップ配信モデルが意味されます。Windows Desktop OSまたはDesktop OSオプションを選択すると、マシンごとに1人のユーザーという配信モデルが意味されます。

ヒント：

削除されたマシンをActive Directoryドメインに再参加させる場合は、そのマシンをマシンカタログから削除し、再度追加してください。

手順12：デリバリーグループの作成

デリバリーグループを作成し、Linux VDAマシンを含むマシンカタログを追加するプロセスは、Windows VDAマシンとほぼ同じです。これらのタスクを完了する方法の詳細については、「デリバリーグループの作成」を参照してください。

Linux VDAマシンカタログを含むデリバリーグループを作成する場合、次の制限が適用されます。

• 選択したADユーザーとグループが、Linux VDAマシンにログオンできるように適切に構成されていることを確認してください。
• 認証されていない（匿名）ユーザーのログオンを許可しないでください。
• デリバリーグループをWindowsマシンを含むマシンカタログと混在させないでください。

重要：

アプリケーションの公開は、Linux VDAバージョン1.4以降でサポートされています。ただし、Linux VDAは、デスクトップとアプリを同じマシンに配信することをサポートしていません。

マシンカタログとデリバリーグループの作成方法については、「Citrix Virtual Apps and Desktops 7 2303」を参照してください。