Ubuntu 用 Linux Virtual Delivery Agent のインストール
手動インストールについてはこの記事の手順に従うか、自動インストールと構成には簡易インストールを使用できます。簡易インストールは、手動インストールよりも時間と労力を節約し、エラーが発生しにくいです。
注:
簡易インストールは新規インストールにのみ使用してください。既存のインストールを更新するために簡易インストールを使用しないでください。
手順 1:VDA インストールのための Ubuntu の準備
手順 1a:ネットワーク構成の確認
続行する前に、ネットワークが接続され、正しく構成されていることを確認してください。
手順 1b:ホスト名の設定
マシンのホスト名が正しく報告されるように、/etc/hostname ファイルをマシンのホスト名のみを含むように変更します。
hostname
手順 1c:ホスト名へのループバックアドレスの割り当て
マシンの DNS ドメイン名と完全修飾ドメイン名 (FQDN) が正しく報告されるように、/etc/hosts ファイルの次の行を、FQDN とホスト名を最初の 2 つのエントリとして含むように変更します。
127.0.0.1 hostname-fqdn hostname localhost
例:
127.0.0.1 vda01.example.com vda01 localhost
ファイル内の他のエントリから hostname-fqdn または hostname への他の参照をすべて削除します。
注:
Linux VDA は現在、NetBIOS 名の切り捨てをサポートしていません。そのため、ホスト名は 15 文字を超えてはなりません。
ヒント:
a~z、A~Z、0~9、およびハイフン (-) の文字のみを使用してください。アンダースコア (_)、スペース、その他の記号は避けてください。ホスト名を数字で始めたり、ハイフンで終わらせたりしないでください。このルールは Delivery Controller のホスト名にも適用されます。
手順 1d:ホスト名の確認
ホスト名が正しく設定されていることを確認します。
hostname
<!--NeedCopy-->
このコマンドは、マシンのホスト名のみを返し、FQDN は返しません。
FQDN が正しく設定されていることを確認します。
hostname -f
<!--NeedCopy-->
このコマンドは、マシンの FQDN を返します。
手順 1e:マルチキャスト DNS の無効化
デフォルト設定ではマルチキャスト DNS (mDNS) が有効になっており、一貫性のない名前解決結果につながる可能性があります。
mDNS を無効にするには、/etc/nsswitch.conf を編集し、次の行を変更します。
hosts: files mdns_minimal [NOTFOUND=return] dns
次のように変更します。
hosts: files dns
手順 1f:名前解決とサービス到達可能性の確認
FQDN を解決し、ドメインコントローラーと Delivery Controller™ に ping を実行できることを確認します。
nslookup domain-controller-fqdn
ping domain-controller-fqdn
nslookup delivery-controller-fqdn
ping delivery-controller-fqdn
<!--NeedCopy-->
FQDN を解決できない場合、またはこれらのマシンのいずれかに ping を実行できない場合は、続行する前に手順を確認してください。
手順 1g:クロック同期の構成 (chrony)
VDA、Delivery Controller、およびドメインコントローラー間で正確なクロック同期を維持することは非常に重要です。Linux VDA を仮想マシンとしてホストすると、クロックのずれの問題が発生する可能性があります。このため、リモート時刻サービスとの時刻同期が推奨されます。
chrony をインストールします。
apt-get install chrony
<!--NeedCopy-->
root ユーザーとして、/etc/chrony/chrony.conf を編集し、各リモートタイムサーバーのエントリを追加します。
server peer1-fqdn-or-ip-address iburstserver peer2-fqdn-or-ip-address iburst
一般的な展開では、パブリック NTP プールサーバーから直接ではなく、ローカルのドメインコントローラーから時刻を同期します。ドメイン内の各 Active Directory ドメインコントローラーのサーバーエントリを追加します。
ループバック IP アドレス、localhost、およびパブリックサーバー *.pool.ntp.org のエントリを含む、リストされている他のすべての server または pool エントリを削除します。
変更を保存し、Chrony デーモンを再起動します。
sudo systemctl restart chrony
<!--NeedCopy-->
手順 1h:OpenJDK のインストール
Linux VDA は OpenJDK に依存しています。通常、ランタイム環境はオペレーティングシステムのインストールの一部としてインストールされます。次のコマンドでインストールされているかどうかを確認します。
sudo apt-get install -y default-jdk
<!--NeedCopy-->
手順 1i:PostgreSQL のインストール
Linux VDA には Ubuntu 16.04 上で PostgreSQL バージョン 9.x が必要です。
sudo apt-get install -y postgresql
sudo apt-get install -y libpostgresql-jdbc-java
<!--NeedCopy-->
手順 1j:Motif のインストール
- sudo apt-get install -y libxm4
<!--NeedCopy-->
sudo apt-get install -y libsasl2-2
sudo apt-get install -y libsasl2-modules-gssapi-mit
sudo apt-get install -y libldap-2.4-2
sudo apt-get install -y krb5-user
sudo apt-get install -y cups
<!--NeedCopy-->
手順 2:ハイパーバイザーの準備
サポートされているハイパーバイザー上で Linux VDA を仮想マシンとして実行する場合、いくつかの変更が必要です。使用中のハイパーバイザープラットフォームに応じて、次の変更を行います。Linux マシンをベアメタルハードウェアで実行している場合、変更は不要です。
Citrix XenServer® での時刻同期の修正
XenServer の時刻同期機能が有効になっている場合、各準仮想化 Linux VM 内で、NTP と XenServer の両方がシステムクロックを管理しようとする問題が発生します。クロックが他のサーバーと同期しなくなるのを避けるため、各 Linux ゲスト内のシステムクロックが NTP と同期していることを確認してください。この場合、ホストの時刻同期を無効にする必要があります。HVM モードでは変更は不要です。
一部のLinuxディストリビューションでは、XenServer Toolsがインストールされた準仮想化Linuxカーネルを実行している場合、Linux VM内からXenServerタイム同期機能が存在し、有効になっているかどうかを確認できます。
su -
cat /proc/sys/xen/independent_wallclock
<!--NeedCopy-->
このコマンドは0または1を返します。
- 0 - タイム同期機能は有効になっており、無効にする必要があります。
- 1 - タイム同期機能は無効になっており、それ以上の操作は不要です。
/proc/sys/xen/indepent\_wallclock ファイルが存在しない場合、以下の手順は不要です。
有効になっている場合、ファイルに1を書き込むことでタイム同期機能を無効にします。
sudo echo 1 > /proc/sys/xen/independent_wallclock
<!--NeedCopy-->
この変更を再起動後も永続的にするには、/etc/sysctl.conf ファイルを編集し、次の行を追加します。
xen.independent_wallclock = 1
これらの変更を確認するには、システムを再起動します。
su -
cat /proc/sys/xen/independent_wallclock
<!--NeedCopy-->
このコマンドは値1を返します。
Microsoft Hyper-Vでの時刻同期の修正
Hyper-V Linux統合サービスがインストールされているLinux VMは、Hyper-Vの時刻同期機能を使用してホストオペレーティングシステムの時刻を使用できます。システムクロックの精度を維持するため、この機能はNTPサービスと並行して有効にする必要があります。
管理オペレーティングシステムから:
- Hyper-Vマネージャーコンソールを開きます。
- Linux VMの設定で、統合サービスを選択します。
- 時刻同期が選択されていることを確認します。
注:
このアプローチは、NTPとの競合を避けるためにホスト時刻同期が無効になっているVMwareやXenServerとは異なります。Hyper-Vの時刻同期はNTP時刻同期と共存し、補完することができます。
ESXおよびESXiでの時刻同期の修正
VMware時刻同期機能が有効になっている場合、各準仮想化Linux VM内でNTPとハイパーバイザーの両方がシステムクロックを同期しようとするため、問題が発生します。クロックが他のサーバーと同期しなくなるのを避けるため、各Linuxゲスト内のシステムクロックがNTPと同期していることを確認してください。この場合、ホスト時刻同期を無効にする必要があります。
VMware Toolsがインストールされた準仮想化Linuxカーネルを実行している場合:
- vSphere Clientを開きます。
- Linux VMの設定を編集します。
- 仮想マシンのプロパティダイアログで、オプションタブを開きます。
- VMware Toolsを選択します。
- 詳細設定ボックスで、ゲストの時刻をホストと同期のチェックを外します。
ステップ3: Linux仮想マシン (VM) をWindowsドメインに追加
Linux VDAは、LinuxマシンをActive Directory (AD) ドメインに追加するためのいくつかの方法をサポートしています。
- Samba Winbind
- Quest Authentication Service
- Centrify DirectControl
- SSSD
選択した方法に基づいて指示に従ってください。
Samba Winbind
必要なパッケージのインストールまたは更新
sudo apt-get install winbind samba libnss-winbind libpam-winbind krb5-config krb5-locales krb5-user
<!--NeedCopy-->
マシン起動時のWinbindデーモンの有効化
Winbindデーモンは、マシン起動時に開始するように構成する必要があります。
sudo systemctl enable winbind
<!--NeedCopy-->
Kerberosの構成
ルートユーザーとして/etc/krb5.confを開き、以下の設定を行います。
[libdefaults]
default_realm = REALM
dns_lookup_kdc = false
[realms]
REALM = {
admin_server = domain-controller-fqdn
kdc = domain-controller-fqdn
}
[domain_realm]
domain-dns-name = REALM
.domain-dns-name = REALM
<!--NeedCopy-->
このコンテキストでのdomain-dns-nameプロパティは、example.comのようなDNSドメイン名です。REALMは、EXAMPLE.COMのような大文字のKerberosレルム名です。
Winbind認証の構成
UbuntuにはRHELのauthconfigやSUSEのyast2のようなツールがないため、Winbindを手動で構成します。
/etc/samba/smb.confを開き、以下の設定を行います。
[global]
workgroup = WORKGROUP
security = ADS
realm = REALM
encrypt passwords = yes
idmap config *:range = 16777216-33554431
winbind trusted domains only = no
kerberos method = secrets and keytab
winbind refresh tickets = yes
template shell = /bin/bash
<!--NeedCopy-->
WORKGROUPはREALMの最初のフィールドであり、REALMは大文字のKerberosレルム名です。
nsswitchの構成
/etc/nsswitch.confを開き、以下の行にwinbindを追加します。
passwd: compat winbind
group: compat winbind
Windowsドメインへの参加
ドメインコントローラーに到達可能であり、コンピューターをドメインに追加する権限を持つActive Directoryユーザーアカウントが必要です。
sudo net ads join REALM -U user
<!--NeedCopy-->
ここで、REALMは大文字のKerberosレルム名であり、userはコンピューターをドメインに追加する権限を持つドメインユーザーです。
winbindの再起動
sudo systemctl restart winbind
<!--NeedCopy-->
WinbindのPAM構成
次のコマンドを実行し、Winbind NT/Active Directory認証とログイン時にホームディレクトリを作成オプションが選択されていることを確認します。
sudo pam-auth-update
<!--NeedCopy-->
ヒント:
winbindデーモンは、マシンがドメインに参加している場合にのみ実行され続けます。
ドメインメンバーシップの確認
Delivery Controllerは、WindowsまたはLinuxのすべてのVDAマシンがActive Directory内にコンピューターオブジェクトを持つことを要求します。
Sambaのnet adsコマンドを実行して、マシンがドメインに参加していることを確認します。
sudo net ads testjoin
<!--NeedCopy-->
追加のドメインおよびコンピューターオブジェクト情報を確認するには、次のコマンドを実行します。
sudo net ads info
<!--NeedCopy-->
Kerberos構成の確認
KerberosがLinux VDAで正しく使用できるように構成されていることを確認するには、システムキータブファイルが作成され、有効なキーが含まれていることを確認します。
sudo klist -ke
<!--NeedCopy-->
このコマンドは、プリンシパル名と暗号スイートのさまざまな組み合わせで利用可能なキーのリストを表示します。これらのキーを使用してドメインコントローラーでマシンを認証するには、Kerberosのkinitコマンドを実行します。
sudo kinit -k MACHINE\$@REALM
<!--NeedCopy-->
マシン名とレルム名は、大文字で指定する必要があります。ドル記号($)は、シェルによる置換を防ぐためにバックスラッシュ(\)でエスケープする必要があります。一部の環境では、DNSドメイン名がKerberosレルム名と異なる場合があります。レルム名が使用されていることを確認してください。このコマンドが成功した場合、出力は表示されません。
マシンアカウントのTGTチケットがキャッシュされていることを確認するには、次を使用します。
sudo klist
<!--NeedCopy-->
次を使用してマシンのアカウントの詳細を調べます。
sudo net ads status
<!--NeedCopy-->
ユーザー認証の確認
wbinfoツールを使用して、ドメインユーザーがドメインで認証できることを確認します。
wbinfo --krb5auth=domain\\username%password
<!--NeedCopy-->
ここで指定するドメインはADドメイン名であり、Kerberosレルム名ではありません。bashシェルでは、バックスラッシュ(\)文字を別のバックスラッシュでエスケープする必要があります。このコマンドは、成功または失敗を示すメッセージを返します。
Winbind PAMモジュールが正しく構成されていることを確認するには、ドメインユーザーアカウントを使用してLinux VDAにログオンします。このドメインユーザーアカウントは以前使用されたことがありません。
ssh localhost -l domain\\username
id -u
<!--NeedCopy-->
id -uコマンドによって返されたUIDに対応するKerberos資格情報キャッシュファイルが作成されたことを確認します。
ls /tmp/krb5cc_uid
<!--NeedCopy-->
ユーザーのKerberos資格情報キャッシュ内のチケットが有効で、期限切れになっていないことを確認します。
klist
<!--NeedCopy-->
セッションを終了します。
exit
<!--NeedCopy-->
同様のテストは、GnomeまたはKDEコンソールに直接ログオンすることで実行できます。ドメイン参加の確認後、手順4:Linux VDAのインストールに進みます。
ヒント:
ユーザー認証に成功しても、ドメインアカウントでログオンしたときにデスクトップが表示されない場合は、マシンを再起動してから再試行してください。
Quest認証サービス
ドメインコントローラーでのQuestの構成
Active DirectoryドメインコントローラーにQuestソフトウェアをインストールおよび構成済みであり、Active Directoryでコンピューターオブジェクトを作成するための管理者権限が付与されているものとします。
ドメインユーザーのLinux VDAマシンへのログオン有効化
ドメインユーザーがLinux VDAマシンでHDX™セッションを確立できるようにするには:
- Active Directoryユーザーとコンピューター管理コンソールで、そのユーザーアカウントのActive Directoryユーザープロパティを開きます。
- [Unixアカウント] タブを選択します。
- [Unixを有効にする] をオンにします。
- [プライマリGID番号] を実際のドメインユーザーグループのグループIDに設定します。
注:
これらの手順は、コンソール、RDP、SSH、またはその他のリモートプロトコルを使用してログオンするドメインユーザーを設定する場合にも同様に適用されます。
Linux VDAでのQuestの構成
SELinuxポリシー強制の回避策
デフォルトのRHEL環境では、SELinuxが完全に強制されています。この強制により、Questが使用するUnixドメインソケットIPCメカニズムが妨げられ、ドメインユーザーがログオンできなくなります。
この問題を回避する便利な方法は、SELinuxを無効にすることです。rootユーザーとして、/etc/selinux/configを編集し、SELinux設定を変更します。
SELINUX=disabled
この変更にはマシンの再起動が必要です。
reboot
<!--NeedCopy-->
重要:
この設定は慎重に使用してください。無効にした後にSELinuxポリシー強制を再度有効にすると、rootユーザーや他のローカルユーザーであっても、完全にロックアウトされる可能性があります。
VASデーモンの構成
Kerberosチケットの自動更新は有効にして切断する必要があります。認証(オフラインログオン)は無効にする必要があります。
sudo /opt/quest/bin/vastool configure vas vasd auto-ticket-renew-interval 32400
sudo /opt/quest/bin/vastool configure vas vas_auth allow-disconnected-auth false
<!--NeedCopy-->
このコマンドは、更新間隔を9時間(32,400秒)に設定します。これは、デフォルトの10時間のチケット有効期間よりも1時間短いです。チケット有効期間が短いシステムでは、このパラメーターをより低い値に設定してください。
PAMとNSSの構成
HDXおよびsu、ssh、RDPなどの他のサービスを介したドメインユーザーログオンを有効にするには、次のコマンドを実行してPAMとNSSを手動で構成します。
sudo /opt/quest/bin/vastool configure pam
sudo /opt/quest/bin/vastool configure nss
<!--NeedCopy-->
Windowsドメインへの参加
Questのvastoolコマンドを使用して、LinuxマシンをActive Directoryドメインに参加させます。
sudo /opt/quest/bin/vastool -u user join domain-name
<!--NeedCopy-->
ユーザーは、コンピューターをActive Directoryドメインに参加させる権限を持つ任意のドメインユーザーです。ドメイン名(domain-name)は、たとえばexample.comのようなドメインのDNS名です。
ドメインメンバーシップの確認
Delivery Controllerでは、WindowsまたはLinuxにかかわらず、すべてのVDAマシンがActive Directoryにコンピューターオブジェクトを持っている必要があります。Questに参加しているLinuxマシンがドメイン上にあることを確認するには:
sudo /opt/quest/bin/vastool info domain
<!--NeedCopy-->
マシンがドメインに参加している場合、このコマンドはドメイン名を返します。マシンがどのドメインにも参加していない場合、次のエラーが表示されます。
ERROR: No domain could be found。
ERROR: VAS_ERR_CONFIG: at ctx.c:414 in _ctx_init_default_realm
default_realm not configured in vas.conf. Computer may not be joined to domain
ユーザー認証の確認
QuestがPAMを介してドメインユーザーを認証できることを確認するには、以前使用されていないドメインユーザーアカウントを使用してLinux VDAにログオンします。
ssh localhost -l domain\\username
id -u
<!--NeedCopy-->
id -uコマンドによって返されたUIDに対応するKerberosクレデンシャルキャッシュファイルが作成されたことを確認します。
ls /tmp/krb5cc_uid
<!--NeedCopy-->
Kerberosクレデンシャルキャッシュ内のチケットが有効で、期限切れになっていないことを確認します。
/opt/quest/bin/vastool klist
<!--NeedCopy-->
セッションを終了します。
exit
<!--NeedCopy-->
ドメイン参加の確認後、手順4:Linux VDAのインストールに進みます。
Centrify DirectControl
Windowsドメインへの参加
Centrify DirectControl Agentがインストールされている状態で、Centrifyのadjoinコマンドを使用してLinuxマシンをActive Directoryドメインに参加させます。
su –
adjoin -w -V -u user domain-name
<!--NeedCopy-->
userパラメーターは、コンピューターをActive Directoryドメインに参加させる権限を持つActive Directoryドメインユーザーです。domain-nameパラメーターは、Linuxマシンを参加させるドメインの名前です。
ドメインメンバーシップの確認
Delivery Controllerは、WindowsまたはLinuxにかかわらず、すべてのVDAマシンがActive Directory内にコンピューターオブジェクトを持つことを要求します。Centrifyが参加しているLinuxマシンがドメイン上にあることを確認するには:
su –
adinfo
<!--NeedCopy-->
Joined to domainの値が有効であり、CentrifyDC modeがconnectedを返すことを確認します。モードが開始状態のままになっている場合、Centrifyクライアントはサーバー接続または認証の問題を経験しています。
より包括的なシステムおよび診断情報は、以下を使用して利用できます。
- adinfo --sysinfo all
- adinfo --diag
<!--NeedCopy-->
- さまざまなActive DirectoryおよびKerberosサービスへの接続をテストします。
- adinfo --test
<!--NeedCopy-->
- ドメイン参加の確認後、[手順4:Linux VDAのインストール](/ja-jp/linux-virtual-delivery-agent/7-15-ltsr/installation-overview/ubuntu.html#step-4-install-the-linux-vda)に進みます。
- ### SSSD
Kerberosの構成
Kerberosをインストールするには、次のコマンドを実行します。
sudo apt-get install krb5-user
<!--NeedCopy-->
Kerberosを構成するには、/etc/krb5.confをrootとして開き、次の設定を行います。
[libdefaults]
default_realm = REALM
dns_lookup_kdc = false
[realms]
REALM = {
admin_server = domain-controller-fqdn
kdc = domain-controller-fqdn
}
[domain_realm]
domain-dns-name = REALM
.domain-dns-name = REALM
<!--NeedCopy-->
このコンテキストでのdomain-dns-nameプロパティは、example.comのようなDNSドメイン名です。REALMは、EXAMPLE.COMのような大文字のKerberosレルム名です。
ドメインへの参加
SSSDは、Active DirectoryをIDプロバイダーとして、Kerberosを認証に使用するように構成する必要があります。ただし、SSSDはドメインへの参加やシステムキータブファイルの管理のためのADクライアント機能を提供しません。代わりにadcli、realmd、またはSambaを使用できます。
注:
このセクションでは、
adcliとSambaに関する情報のみを提供します。
adcliを使用してドメインに参加する:
adcliのインストール:
必要なパッケージをインストールします。
sudo apt-get install adcli
<!--NeedCopy-->
adcliでドメインに参加する:
古いシステムキータブファイルを削除し、以下を使用してドメインに参加します。
su -
rm -rf /etc/krb5.keytab
adcli join domain-dns-name -U user -H hostname-fqdn
<!--NeedCopy-->
userは、マシンをドメインに追加する権限を持つドメインユーザーです。hostname-fqdnは、マシンのFQDN形式のホスト名です。
-Hオプションは、adcliがLinux VDAが必要とするhost/hostname-fqdn@REALM形式でSPNを生成するために必要です。
システムキータブの確認:
adcliツールの機能は限られており、マシンがドメインに参加しているかどうかをテストする方法は提供されていません。システムキータブファイルが作成されたことを確認するための最良の代替手段は次のとおりです。
sudo klist -ket
<!--NeedCopy-->
各キーのタイムスタンプが、マシンがドメインに参加した時刻と一致することを確認します。
sambaを使用してドメインに参加する:
パッケージのインストール:
sudo apt-get install samba
<!--NeedCopy-->
sambaの構成:
/etc/samba/smb.confを開き、次の設定を行います。
[global]
workgroup = WORKGROUP
security = ADS
- realm = REALM
- client signing = yes
- client use spnego = yes
kerberos method = secrets and keytab
<!--NeedCopy-->
WORKGROUPはREALMの最初のフィールドであり、REALMは大文字のKerberosレルム名です。
sambaでドメインに参加する:
ドメインコントローラーに到達可能であり、コンピューターをドメインに追加する権限を持つWindowsアカウントが必要です。
sudo net ads join REALM -U user
<!--NeedCopy-->
- REALM は大文字の Kerberos レルム名であり、user はドメインにコンピューターを追加する権限を持つドメインユーザーです。
SSSD のセットアップ
必要なパッケージのインストールまたは更新:
必要な SSSD および構成パッケージがまだインストールされていない場合は、インストールします。
sudo apt-get install sssd
<!--NeedCopy-->
パッケージがすでにインストールされている場合は、更新が推奨されます。
sudo apt-get update sssd
<!--NeedCopy-->
注:
デフォルトでは、Ubuntu のインストールプロセスにより、nsswitch.conf および PAM ログインモジュールが自動的に構成されます。
SSSD の構成
SSSD デーモンを開始する前に、SSSD 構成の変更が必要です。一部のバージョンの SSSD では、/etc/sssd/sssd.conf 構成ファイルがデフォルトでインストールされていないため、手動で作成する必要があります。root として、/etc/sssd/sssd.conf を作成または開き、次の設定を行います。
[sssd]
services = nss, pam
config_file_version = 2
domains = domain-dns-name
[domain/domain-dns-name]
id_provider = ad
access_provider = ad
auth_provider = krb5
krb5_realm = REALM
# Set krb5_renewable_lifetime higher if TGT renew lifetime is longer than 14 days
krb5_renewable_lifetime = 14d
# Set krb5_renew_interval to lower value if TGT ticket lifetime is shorter than 2 hours
krb5_renew_interval = 1h
krb5_ccachedir = /tmp
krb5_ccname_template = FILE:%d/krb5cc_%U
# This ldap_id_mapping setting is also the default value
ldap_id_mapping = true
override_homedir = /home/%d/%u
default_shell = /bin/bash
ad_gpo_map_remote_interactive = +ctxhdx
<!--NeedCopy-->
注:
ldap_id_mapping は true に設定されているため、SSSD 自体が Windows SID を Unix UID にマッピングします。そうでない場合、Active Directory は POSIX 拡張機能を提供できる必要があります。PAM サービス
ctxhdxが ad_gpo_map_remote_interactive に追加されます。
このコンテキストでの domain-dns-name プロパティは、example.com などの DNS ドメイン名です。REALM は、EXAMPLE.COM などの大文字の Kerberos レルム名です。NetBIOS ドメイン名を構成する必要はありません。
ヒント:
これらの構成設定の詳細については、sssd.conf および sssd-ad の man ページを参照してください。
SSSD デーモンは、構成ファイルが所有者による読み取り権限のみを持つことを要求します。
sudo chmod 0600 /etc/sssd/sssd.conf
<!--NeedCopy-->
SSSD デーモンの開始
SSSD デーモンを今すぐ開始し、マシンの起動時にデーモンが開始できるようにするには、次のコマンドを実行します。
sudo systemctl start sssd
sudo systemctl enable sssd
<!--NeedCopy-->
PAM の構成
次のコマンドを実行し、SSS 認証とログイン時にホームディレクトリを作成オプションが選択されていることを確認します。
sudo pam-auth-update
<!--NeedCopy-->
ドメインメンバーシップの確認
Delivery Controller は、すべての VDA マシン(Windows および Linux VDA)が Active Directory にコンピューターオブジェクトを持つことを要求します。
adcli を使用したドメインメンバーシップの確認:
次のコマンドを実行して、ドメイン情報を表示します。
sudo adcli info domain-dns-name
<!--NeedCopy-->
Samba を使用したドメインメンバーシップの確認:
Samba の net ads コマンドを実行して、マシンがドメインに参加していることを確認します。
sudo net ads testjoin
<!--NeedCopy-->
次のコマンドを実行して、追加のドメインおよびコンピューターオブジェクト情報を確認します。
sudo net ads info
<!--NeedCopy-->
Kerberos 構成の確認
Kerberos が Linux VDA で使用するために正しく構成されていることを確認するには、システム keytab ファイルが作成され、有効なキーが含まれていることを確認します。
sudo klist -ke
<!--NeedCopy-->
このコマンドは、プリンシパル名と暗号スイートのさまざまな組み合わせで利用可能なキーのリストを表示します。Kerberos kinit コマンドを実行して、これらのキーを使用してマシンをドメインコントローラーで認証します。
sudo kinit -k MACHINE\$@REALM
<!--NeedCopy-->
マシン名とレルム名は大文字で指定する必要があります。ドル記号 ($) は、シェル置換を防ぐためにバックスラッシュ (\) でエスケープする必要があります。一部の環境では、DNS ドメイン名が Kerberos レルム名と異なる場合があります。レルム名が使用されていることを確認してください。このコマンドが成功した場合、出力は表示されません。
マシンアカウントの TGT チケットがキャッシュされていることを確認するには、次を使用します。
sudo klist
<!--NeedCopy-->
ユーザー認証の確認
SSSD は、デーモンと直接認証をテストするためのコマンドラインツールを提供しておらず、PAM を介してのみ実行できます。
SSSD PAM モジュールが正しく構成されていることを確認するには、ドメインユーザーアカウントを使用して Linux VDA にログオンします。このドメインユーザーアカウントは以前使用されたことがないものです。
ssh localhost -l domain\\username
id -u
klist
exit
<!--NeedCopy-->
klist コマンドによって返された Kerberos チケットがそのユーザーに対して正しく、期限切れになっていないことを確認します。
root ユーザーとして、以前の id -u コマンドによって返された uid に対応するチケットキャッシュファイルが作成されたことを確認します。
ls /tmp/krb5cc_uid
<!--NeedCopy-->
同様のテストは、KDE または Gnome ディスプレイマネージャーにログオンして実行できます。ドメイン参加の確認後、手順 4:Linux VDA のインストールに進みます。
手順 4:Linux VDA のインストール
手順 4a:Linux VDA パッケージのダウンロード
Citrix の Web サイトにアクセスし、お使いの Linux ディストリビューションに基づいて適切な Linux VDA パッケージをダウンロードします。
手順 4b:Linux VDA のインストール
Debian パッケージマネージャーを使用して Linux VDA ソフトウェアをインストールします。
sudo dpkg -i xendesktopvda_7.15.0.404-1.ubuntu16.04_amd64.deb
<!--NeedCopy-->
Ubuntu の Debian 依存関係リスト:
postgresql >= 9.5
libpostgresql-jdbc-java >= 9.2
default-jdk >= 2:1.8
imagemagick >= 8:6.8.9.9
ufw >= 0.35
ubuntu-desktop >= 1.361
libxrandr2 >= 2:1.5.0
libxtst6 >= 2:1.2.2
libxm4 >= 2.3.4
util-linux >= 2.27.1
bash >= 4.3
findutils >= 4.6.0
sed >= 4.2.2
cups >= 2.1
libldap-2.4-2 >= 2.4.42
libsasl2-modules-gssapi-mit >= 2.1.~
python-requests >= 2.9.1
libgoogle-perftools4 >= 2.4~
<!--NeedCopy-->
手順 4c:Linux VDA の構成
パッケージのインストール後、ctxsetup.shスクリプトを実行してLinux VDAを構成する必要があります。変更を加える前に、スクリプトは環境を検証し、すべての依存関係がインストールされていることを確認します。必要に応じて、いつでもスクリプトを再実行して設定を変更できます。
スクリプトは、プロンプトに従って手動で実行することも、事前設定された応答で自動的に実行することもできます。続行する前に、スクリプトに関するヘルプを確認してください。
sudo /opt/Citrix/VDA/sbin/ctxsetup.sh –help
<!--NeedCopy-->
プロンプトによる構成
プロンプトの質問に従って手動で構成を実行します。
sudo /opt/Citrix/VDA/sbin/ctxsetup.sh
<!--NeedCopy-->
自動構成
自動インストールの場合、セットアップスクリプトで必要なオプションは環境変数で指定できます。必要なすべての変数が存在する場合、スクリプトはユーザーに情報を要求しないため、スクリプトによるインストールプロセスが可能になります。
サポートされている環境変数には、次のものがあります。
- CTX_XDL_SUPPORT_DDC_AS_CNAME = Y | N – Linux VDAは、DNS CNAMEレコードを使用してDelivery Controller名を指定することをサポートしています。デフォルトではNに設定されています。
- CTX_XDL_DDC_LIST = list-ddc-fqdns – Linux VDAは、Delivery Controllerへの登録に使用するDelivery Controllerの完全修飾ドメイン名(FQDN)のスペース区切りリストを必要とします。少なくとも1つのFQDNまたはCNAMEエイリアスを指定する必要があります。
-
CTX_XDL_VDA_PORT = port-number – Linux VDAは、TCP/IPポートを介してDelivery Controllerと通信します。デフォルトではポート80です。
- CTX_XDL_REGISTER_SERVICE = Y | N – Linux Virtual Desktopサービスは、マシンの起動後に開始されます。デフォルトではYに設定されています。
- CTX_XDL_ADD_FIREWALL_RULES = Y | N – Linux Virtual Desktopサービスでは、システムファイアウォールを介して受信ネットワーク接続が許可される必要があります。Linux Virtual Desktop用に、システムファイアウォールで必要なポート(デフォルトではポート80および1494)を自動的に開くことができます。デフォルトではYに設定されています。
-
CTX_XDL_AD_INTEGRATION = 1 | 2 | 3 | 4 – Linux VDAは、Delivery Controllerで認証するためにKerberos構成設定を必要とします。Kerberos構成は、システムにインストールおよび構成されているActive Directory統合ツールから決定されます。使用するサポートされているActive Directory統合方法を指定します。
- 1 – Samba Winbind
- 2 – Quest Authentication Service
- 3 – Centrify DirectControl
- 4 – SSSD
- CTX_XDL_HDX_3D_PRO = Y | N – Linux VDAは、リッチグラフィックアプリケーションの仮想化を最適化するように設計されたGPUアクセラレーションテクノロジーのセットであるHDX 3D Proをサポートしています。HDX 3D Proが選択されている場合、Virtual Delivery AgentはVDIデスクトップ(シングルセッション)モード用に構成されます(つまり、CTX_XDL_VDI_MODE=Y)。
- CTX_XDL_VDI_MODE = Y | N – マシンを専用デスクトップ配信モデル(VDI)として構成するか、ホスト型共有デスクトップ配信モデルとして構成するか。HDX 3D Pro環境の場合は、この変数をYに設定します。この変数はデフォルトでNに設定されています。
- CTX_XDL_SITE_NAME = dns-name – Linux VDAはDNSを介してLDAPサーバーを検出します。DNS検索結果をローカルサイトに制限するには、DNSサイト名を指定します。この変数はデフォルトで<none>に設定されています。
- CTX_XDL_LDAP_LIST = list-ldap-servers – Linux VDAはDNSにクエリを実行してLDAPサーバーを検出します。DNSがLDAPサービスレコードを提供できない場合、LDAPポートを含むLDAP FQDNのスペース区切りリストを提供できます。例:ad1.mycompany.com:389。この変数はデフォルトで<none>に設定されています。
- CTX_XDL_SEARCH_BASE = search-base-set – Linux VDAは、Active Directoryドメインのルート(例:DC=mycompany,DC=com)に設定された検索ベースを介してLDAPにクエリを実行します。ただし、検索パフォーマンスを向上させるために、検索ベース(例:OU=VDI,DC=mycompany,DC=com)を指定できます。この変数はデフォルトで<none>に設定されています。
- CTX_XDL_START_SERVICE = Y | N – Linux VDAの構成が完了したときにLinux VDAサービスを開始するかどうか。デフォルトではYに設定されています。
環境変数を設定し、構成スクリプトを実行します。
export CTX_XDL_SUPPORT_DDC_AS_CNAME=Y|N
export CTX_XDL_DDC_LIST=list-ddc-fqdns
export CTX_XDL_VDA_PORT=port-number
export CTX_XDL_REGISTER_SERVICE=Y|N
export CTX_XDL_ADD_FIREWALL_RULES=Y|N
export CTX_XDL_AD_INTEGRATION=1|2|3|4
export CTX_XDL_HDX_3D_PRO=Y|N
export CTX_XDL_VDI_MODE=Y|N
export CTX_XDL_SITE_NAME=dns-name
export CTX_XDL_LDAP_LIST=list-ldap-servers
export CTX_XDL_SEARCH_BASE=search-base-set
export CTX_XDL_START_SERVICE=Y|N
sudo -E /opt/Citrix/VDA/sbin/ctxsetup.sh
<!--NeedCopy-->
sudoコマンドを実行するときは、-Eオプションを入力して、既存の環境変数を新しいシェルに渡します。Citrixでは、上記のコマンドから、最初の行に#!/bin/bashを含むシェルスクリプトファイルを作成することをお勧めします。
または、単一のコマンドを使用してすべてのパラメーターを指定することもできます。
sudo CTX_XDL_SUPPORT_DDC_AS_CNAME=Y|N \
CTX_XDL_DDC_LIST=list-ddc-fqdns \
CTX_XDL_VDA_PORT=port-number \
CTX_XDL_REGISTER_SERVICE=Y|N \
CTX_XDL_ADD_FIREWALL_RULES=Y|N \
CTX_XDL_AD_INTEGRATION=1|2|3|4 \
CTX_XDL_HDX_3D_PRO=Y|N \
CTX_XDL_VDI_MODE=Y|N \
CTX_XDL_SITE_NAME=dns-name \
CTX_XDL_LDAP_LIST=list-ldap-servers \
CTX_XDL_SEARCH_BASE=search-base-set \
CTX_XDL_START_SERVICE=Y|N \
/opt/Citrix/VDA/sbin/ctxsetup.sh
<!--NeedCopy-->
構成変更の削除
場合によっては、Linux VDAパッケージをアンインストールせずに、ctxsetup.shスクリプトによって行われた構成変更を削除する必要があることがあります。
続行する前に、このスクリプトに関するヘルプを確認してください。
sudo /opt/Citrix/VDA/sbin/ctxcleanup.sh --help
<!--NeedCopy-->
構成変更を削除するには:
sudo /opt/Citrix/VDA/sbin/ctxcleanup.sh
<!--NeedCopy-->
重要:
このスクリプトは、データベースからすべての構成データを削除し、Linux VDAを動作不能にします。
構成ログ
ctxsetup.shおよびctxcleanup.shスクリプトは、コンソールにエラーを表示し、追加情報は構成ログファイル/tmp/xdl.configure.logに書き込まれます。
変更を有効にするには、Linux VDAサービスを再起動します。
Linux VDAソフトウェアのアンインストール
Linux VDAがインストールされているかどうかを確認し、インストールされているパッケージのバージョンを表示するには:
dpkg -l xendesktopvda
<!--NeedCopy-->
詳細情報を表示するには:
apt-cache show xendesktopvda
<!--NeedCopy-->
Linux VDAソフトウェアをアンインストールするには:
dpkg -r xendesktopvda
<!--NeedCopy-->
注:
Linux VDAソフトウェアをアンインストールすると、関連するPostgreSQLおよびその他の構成データが削除されます。ただし、PostgreSQLパッケージおよびLinux VDAのインストール前にセットアップされたその他の依存パッケージは削除されません。
ヒント:
このセクションの情報には、PostgreSQLを含む依存パッケージの削除は含まれていません。
手順5:Linux VDAの実行
ctxsetup.shスクリプトを使用してLinux VDAを構成したら、次のコマンドを使用してLinux VDAを制御します。
Linux VDAの開始:
Linux VDAサービスを開始するには:
sudo systemctl start ctxhdx
sudo systemctl start ctxvda
<!--NeedCopy-->
Linux VDAの停止:
Linux VDAサービスを停止するには:
sudo systemctl stop ctxvda
sudo systemctl stop ctxhdx
<!--NeedCopy-->
Linux VDAの再起動:
Linux VDAサービスを再起動するには:
sudo systemctl stop ctxvda
sudo systemctl restart ctxhdx
sudo systemctl restart ctxvda
<!--NeedCopy-->
Linux VDAステータスの確認:
Linux VDAサービスの実行ステータスを確認するには:
sudo systemctl status ctxvda
sudo systemctl status ctxhdx
<!--NeedCopy-->
手順6:XenAppまたはXenDesktop®でのマシンカタログの作成
マシンカタログを作成し、Linux VDAマシンを追加するプロセスは、従来のWindows VDAのアプローチと似ています。これらのタスクを完了する方法の詳細については、「マシンカタログの作成」および「マシンカタログの管理」を参照してください。
Linux VDAマシンを含むマシンカタログを作成する場合、Windows VDAマシン用のマシンカタログを作成するプロセスとは異なるいくつかの制限があります。
- オペレーティングシステムについては、以下を選択します。
- ホスト型共有デスクトップ配信モデルの場合は、Server OSオプション。
- VDI専用デスクトップ配信モデルの場合は、Desktop OSオプション。
- マシンが電源管理されていないことを確認します。
- MCSはLinux VDAではサポートされていないため、PVSまたは別のサービスまたはテクノロジー(既存のイメージ)展開方法を選択します。
- 同じマシンカタログ内でLinux VDAマシンとWindows VDAマシンを混在させないでください。
注:
Citrix Studioの初期バージョンでは、「Linux OS」という概念はサポートされていませんでした。ただし、Windows Server OSまたはServer OSオプションを選択すると、同等のホスト型共有デスクトップ配信モデルが暗示されます。Windows Desktop OSまたはDesktop OSオプションを選択すると、マシンごとに単一ユーザーの配信モデルが暗示されます。
ヒント:
マシンをActive Directoryドメインから削除して再参加させる場合は、マシンをマシンカタログから削除して再度追加する必要があります。
手順7:XenApp®またはXenDesktopでのデリバリーグループの作成
Linux VDAマシンを含むデリバリーグループを作成し、マシンカタログを追加するプロセスは、Windows VDAマシンとほぼ同じです。これらのタスクを完了する方法の詳細については、「デリバリーグループの作成」を参照してください。
Linux VDAマシンカタログを含むデリバリーグループを作成する場合、以下の制限が適用されます。
- 配信の種類には、デスクトップを選択します。Ubuntu用Linux VDAはアプリケーション配信をサポートしていません。
- 選択したADユーザーとグループが、Linux VDAマシンにログオンできるように適切に構成されていることを確認してください。
- 認証されていない(匿名)ユーザーのログオンは許可しないでください。
- デリバリーグループとWindowsマシンを含むマシンカタログを混在させないでください。