Linux Virtual Delivery Agent... © 1999-2017 Citrix Systems, Inc. All rights reserved. p.4...

© 1999-2017 Citrix Systems, Inc. All rights reserved. p.1https://docs.citrix.com

Linux Virtual Delivery Agent

Feb 26, 2018

Linux Virtual Delivery Agent（VDA）によって、場所を問わず、Citrix Receiverがインストールされたどのデバイスからでも、Linux仮想デスクトップおよびアプリケーションにアクセスできるようになります。

RHEL、CentOS、SUSEまたはUbuntuディストリビューションをベースとしたLinux仮想デスクトップおよびアプリケーションを作成できます。Linux仮想マシンを準備して新しいソフトウェアをインストールし、Delivery Controllerを構成します。次に、Citrix Studioを使ってユーザーがデスクトップおよびアプリケーションを使用できるようにします。

Linux Virtual Delivery Agentの過去のリリースについて詳しくは、次のセクションを参照してください。

Linux Virtual Delivery Agent 7.16






http://docs.citrix.com/ja-jp/linux-virtual-delivery-agent/7-16.html







新機能

Feb 26, 2018

7.17の新機能

Linux VDAのバージョン7.17には、次の新機能および強化された機能があります。

これまで実験的に導入されていたアダプティブトランスポート機能は、このリリースで本格的に導入されます。アダプティブトランスポートは、XenAppとXenDesktopの新しいデータ転送メカニズムです。高速で拡張性が高く、アプリケーションの対話機能が向上し、厳しい長距離のWANとインターネット接続でのインタラクティブ性を高めます。

ユーザーは、Linux仮想デスクトップセッションにログオンするときに、クライアントデバイスに接続されたスマートカードを認証に使うことができます。スマートカードは、たとえば、デジタル署名をドキュメントに追加したり、電子メールを暗号化または暗号化解除したり、スマートカード認証を必要とするWebサイトで認証を受けるために、セッション内で使うこともできます。詳しくは、「スマートカードによるパススルー認証」を参照してください。

このリリースから、Linux VDA 3D Proは、NVIDIA Pascal GPU（Tesla P40）のvGPUおよびvGPUハードウェアエンコーディングをサポートします。グラフィックの構成について詳しくは、「グラフィックの構成」を参照してください。

この機能は、VDAのキーボードレイアウトとクライアントデバイスのキーボードレイアウトを自動的に同期させます。クライアントデバイスのキーボードレイアウトが変更されるたびに、VDAのレイアウトも変更されます。詳しくは、「動的なキーボードレイアウトの同期」を参照してください。

このリリースでは、実験的な機能として、サポートされているすべてのLinuxプラットフォームにDTLSを導入しています。詳しくは、「DTLSによるユーザーセッションの保護」を参照してください。

このリリースでは、SUSE 12.2の代わりにSUSE 12.3がサポートされています。SUSE 12.3の新しい依存関係は次のとおりです。

http://docs.citrix.com/ja-jp/linux-virtual-delivery-agent/current-release/configuration/adaptive-transport.html

http://docs.citrix.com/ja-jp/linux-virtual-delivery-agent/current-release/configuration/pass-through-authentication-with-smart-cards-.html

http://docs.citrix.com/ja-jp/linux-virtual-delivery-agent/current-release/configuration/configuring-graphics.html

http://docs.citrix.com/ja-jp/linux-virtual-delivery-agent/current-release/configuration/dynamic-keyboard-layout-synchronization.html

http://docs.citrix.com/ja-jp/linux-virtual-delivery-agent/current-release/configuration/secure-user-sessions-using-dtls.html


sudo zypper install -y libtcmalloc4

sudo zypper install -y libcap-progs

sudo zypper install -y xorg-x11-server


解決された問題

Feb 26, 2018

比較対象：Linux Virtual Delivery Agent 7.16

Linux Virtual Delivery Agent 7.17には、Linux Virtual Delivery Agent 7.16と比較して以下の修正が含まれています。

アイドル状態のデスクトップセッションでスクリーンセーバーがアクティブな場合、グラフィックが壊れることがあります。 [＃LNXVDA-3350]


既知の問題

Feb 26, 2018

このリリースでは、次の問題が確認されています。

ctxhdxサービスが、Ubuntu 16.04 VDAおよびSUSE 12.3 VDAで予期せず終了することがあります。この問題は、GNU Cライブラリ（glibc）のバージョン2.22～2.24で発生します。この問題はglibc 2.25で修正されています。SUSE 12.3ディストリビューションを使用している場合、SUSEが提供するパッチをインストールして問題を解決できます。Linux VDA 7.17がリリースされた時点でのUbuntu 16.04の修正はありません。[LNXVDA-4 4 81][LNXVDA-4 4 81]

SSL暗号化が有効な場合、Citrix Receiver for Linuxでセッションを開始できません。［［RFLNX-1557RFLNX-1557］］

indicator-datetime-serviceプロセスが$TZ環境変数を使用しないため、ユーザーデバイスのタイムゾーンがユーザーセッションのタイムゾーンとは異なる場合でも、Ubuntu 16.04 Unity DesktopのUnityパネルは表示しません。[LNXVDA-2128][LNXVDA-2128]

Ubuntuのグラフィック：HDX 3D Proで、デスクトップビューワをサイズ変更した後、アプリケーションの周囲に黒い枠が表示されたり、背景が黒く表示される場合があります。

Linux VDA印刷リダイレクトで作成されたプリンターは、セッションからログアウト後、削除されることがあります。

ディレクトリにファイルやサブディレクトリが多数含まれていると、CDMファイルが見つからないクライアント側のファイルやディレクトリが非常に多い場合、この問題が生じることがあります。

このリリースでは、英語以外の言語にはUTF-8エンコードのみがサポートされます。

セッションのローミング時、Citrix Receiver for AndroidでCapsLockが通常とは反対の状態になる場合があります。Citrix

Receiver for Androidへの既存の接続をローミングすると、Caps Lock機能が元に戻る可能性があります。回避策として、拡張キーボードのShiftキーを使用して大文字と小文字を切り替えます。

Citrix Receiver for Macを使用してLinux VDAに接続している場合、Altキーを使用するショートカットキーが機能しないことがあります。Citrix Receiver for Macでは、左右どちらのoption/altキーを押しても、デフォルトでAltGrが送信されます。Citrix Receiverの設定でこれを変更することはできますが、結果はアプリケーションによって変わります。

XenDesktopバージョン7.1のDelivery ControllerとともにLinux VDAを使用すると、セッションの起動に時間がかかる場合があります。起動が遅くなる原因は、バージョン7.1のDelivery Controllerによって生成されたICAファイルにCommon

Gateway Protocol設定が存在するためです。この設定が存在すると、Citrix ReceiverはTCPポート2598で接続を確立しようとします。SLED 12など一部のLinuxディストリビューションでは、デフォルトのファイアウォール設定でTCP SYNパケットをドロップするため、タイムアウトが発生してセッションの起動に時間がかかります。回避策として、TCPポート2598

でTCP SYNを拒否するように、Linux VDAでファイアウォールを構成します。この問題は、新しいバージョンのDelivery

Controllerでは解決済みです。

Linux VDAをドメインに再度追加すると、登録できません。特定の状況では、Linux VDAがドメインに再度追加され、Kerberosキーの新しいセットが生成されると、ブローカーがVDAとのセキュリティコンテキストの確立に失敗します。多くの場合、この問題は、Kerberosキーの以前のセットに基づいた期限切れのVDAサービスチケットがキャッシュに存在し、それをブローカーが使用することが原因で発生します。この問題によって、VDAがブローカーへの接続を停止することはありませんが、ブローカーはVDAに返すセキュリティコンテキストを確立できません。通常見られる現象は、VDA登録の失敗です。

https://sourceware.org/bugzilla/show_bug.cgi?id=20116

https://www.suse.com/support/update/announcement/2018/suse-su-20180074-1/


この問題は、VDAサービスチケットが最終的に期限切れとなって更新されると自動的に解決しますが、サービスチケットは通常、長時間有効です。これには、時間がかかる可能性があります。

この問題を回避するには、ブローカーのチケットキャッシュを消去します。ブローカーを再起動するか、管理者としてコマンドプロンプトからブローカーで次のコマンドを実行します。

klist -li 0x3e4 purge

このコマンドにより、Citrix Broker Serviceを実行するNetwork ServiceプリンシパルがLSAキャッシュに保持するサービスチケットはすべて削除されます。これにより、ほかのVDAのサービスチケットが削除されます。また、その他のサービスのサービスチケットも削除される可能性があります。ただし、この処理は悪影響を及ぼしません。これらのサービスチケットは、再度必要になった時にKDCから再取得されます。

オーディオのプラグアンドプレイがサポートされません。ICAセッションでオーディオの録音を開始する前に、オーディオキャプチャデバイスをクライアントマシンに接続することをお勧めします。オーディオ録音アプリケーションの開始後にデバイスを接続した場合は、アプリケーションが応答しなくなる可能性があります。この問題が発生した場合は、アプリケーションを再起動してください。録音中にキャプチャデバイスが取り外されると、同様の問題が発生する可能性があります。

Citrix Receiver for Windows 10でオーディオ録音中にオーディオの歪みが生じることがあります。


This release of the Linux VDA can include third party software licensed under the terms defined in this

document.

サードパーティ製品についての通知

Feb 26, 2018

Linux Virtual Desktopバージョン7.17

https://docs.citrix.com/content/dam/docs/en-us/linux-vda/7-17/lvda-third-party-notices.pdf

https://docs.citrix.com/content/dam/docs/en-us/linux-vda/7-17/lvda-third-party-notices.pdf


システム要件

Feb 26, 2018

Linuxディストリビューション

Linux VDAでは、次のLinuxディストリビューションがサポートされます。

SUSE Linux Enterprise

Desktop 12 Service Pack 3

Server 12 Service Pack 3

Red Hat Enterprise Linux

Workstation 7.3

Workstation 6.9

Workstation 6.8

Server 7.3

Server 6.9

Server 6.8

CentOS Linux

CentOS 7.3

CentOS 6.9

CentOS 6.8

Ubuntu Linux

Ubuntu Desktop 16.04（4.4.xカーネル）Ubuntu Server 16.04（4.4.xカーネル）

すべての場合で、サポートされるプロセッサアーキテクチャはx86-64です。

注意特定のLinux OSプラットフォームおよびバージョンは、提供元のOSベンダーのサポートが期限切れになると、Citrixのサポートも期

限切れになります。

ImportantSUSE、RedHat、CentOSでGnomeおよびKDEデスクトップがサポートされます。Unityデスクトップは、Ubuntuでのみサポートされ

ます。1つまたは複数のデスクトップをインストールする必要があります。

XenDesktop

Linux VDAは、現在サポートされるすべてのXenDesktopのバージョンと互換性があります。XenDesktop製品のライフサイクル、および製品のバージョンごとのサポートが停止される時期について詳しくは、Citrix製品マトリクスを参照してくださ

https://www.citrix.com/support/product-lifecycle/product-matrix.html


い。

Linux VDAの構成手順はWindows VDAの場合と多少異なります。ただし、Delivery ControllerファームはWindowsデスクトップとLinuxデスクトップを両方とも仲介できます。

注意Linux VDAは、XenDesktopバージョン7.0以前には対応していません。

Citrix Receiver

次のバージョンのCitrix Receiverがサポートされます。

Citrix Receiver for UWP（ユニバーサルWindowsプラットフォーム）バージョン1.0

Citrix Receiver for Windowsバージョン4.10

Citrix Receiver for Windowsバージョン4.9

Citrix Receiver for Linuxバージョン13.7

Citrix Receiver for Mac OSXバージョン12.7

Citrix Receiver for Androidバージョン3.13

Citrix Receiver for iOSバージョン7.3

Citrix Receiver for Chromeバージョン2.5

Citrix Receiver for HTML5バージョン2.5（NetScaler Gateway経由でのみサポート）

ハイパーバイザー

Linux VDAゲスト仮想マシンをホストする次のハイパーバイザーがサポートされます。

XenServer

VMware ESXおよびESXi

Microsoft Hyper-V

ベアメタルホスティングもサポートされます。

ヒントサポートされるプラットフォームの一覧については、ハイパーバイザーのベンダーのドキュメントを参照してください。

Active Directory統合パッケージ

Linux VDAでは、次のActive Directory統合パッケージまたは製品がサポートされます。

Samba Winbind


Quest Authentication Services v4.1以降Centrify DirectControl

SSSD

ヒントサポート対象プラットフォームの一覧については、Active Directory統合パッケージのベンダーが提供しているドキュメントを参照し

てください。

HDX 3D Pro

HDX 3D Proをサポートするには、以下のハイパーバイザー、およびNVIDIA GRID™ GPUが必要です。

XenServer

VMware ESXおよびESXi

注注：ハイパーバイザーは、特定のLinuxディストリビューションと互換性があります。

以下のGPUがGPUパススルーとしてサポートされます。

NVIDIA GTX750Ti

NVIDIA GRID™ 3.0 - Tesla M60

NVIDIA GRID™ - K2

NVIDIA GRID™ - Tesla P40

以下のGPUがvGPUとしてサポートされます。



NVIDIA GRID™ - Tesla P40


Delivery Controllerの構成

Feb 26, 2018

XenDesktop 7.6以前のバージョンには、Linux VDAのサポートに必要な変更を加える必要があります。そのため、XenDesktopのこれらのバージョンで、Hotfixまたはアップデートスクリプトが必要です。これらのインストールと確認について、このセクションで説明しています。

Delivery Controller構成の更新

XenDesktop 7.6 SP2の場合、Hotfix Update 2を適用して、Linux Virtual Desktop用のブローカーを更新します。Hotfix

Update 2は、以下から入手できます。

CTX142438： Hotfix Update 2 - Delivery Controller 7.6（32ビット）用 - 英語CTX142439： Hotfix Update 2 - Delivery Controller 7.6（64ビット）用 - 英語

XenDesktopの以前のバージョンに対しては、Updat e-BrokerServiceConfig.ps1Updat e-BrokerServiceConfig.ps1という名前のPowerShellスクリプトを使用してブローカーサービスの構成を更新できます。このスクリプトは次のパッケージから入手できます。

citrix-linuxvda-scripts.zip

次の手順をサーバーファーム内の各Delivery Controllerで繰り返します。

1. Update-BrokerServiceConfig.ps1スクリプトをDelivery Controllerマシンにコピーします。2. ローカル管理者のコンテキストでWindows PowerShellコンソールを開きます。3. スクリプトを含むフォルダーを参照します。4. 次のスクリプトを実行します。

.\Update-BrokerServiceConfig.ps1

ヒントデフォルトでは、PowerShellはPowerShellスクリプトを実行できないように構成されています。スクリプトの実行に失敗する場合

は、再試行する前にPowerShell実行ポリシーを変更する必要があります。

http://support.citrix.com/article/CTX142438



Set-ExecutionPolicy Unrestricted

Updat e-BrokerServiceConfig.ps1Updat e-BrokerServiceConfig.ps1スクリプトを実行すると、Linux VDAに必要とされる新しいWCFエンドポイントでブローカーサービス構成ファイルが更新され、ブローカーサービスが再起動します。このスクリプトでは、自動的にブローカーサービス構成ファイルの場所が特定されます。元の構成ファイルのバックアップが、.prelinux.prelinuxという拡張子で同じディレクトリに作成されます。

これらの変更は、同じDelivery Controllerファームを使用するように構成されたWindows VDAの仲介には影響しません。このことにより、単一のControllerファームがWindows VDAおよびLinux VDAの両方とのセッションをシームレスに管理し、仲介できます。

Delivery Controller構成の確認

必要な構成変更がDelivery Controllerに適用されているかどうかを確認するには、次のファイル中にst ringEndpoint Linuxst ringEndpoint Linuxが5

回出現していることを確認します。

%PROGRAMFILES%\Citrix\Broker\Service\BrokerService.exe.config

Windowsコマンドプロンプトで、ローカル管理者としてログオンし、次の操作を行います。

cd "%PROGRAMFILES%"\Citrix\Broker\Service\

findstr EndpointLinux BrokerService.exe.config


インストールの概要

Feb 26, 2018

Linux Virtual Delivery Agent（VDA）のインストールは、サポートされるすべてのLinuxディストリビューションと同じ手順を使用します。

1. インストールの準備。2. ハイパーバイザーの準備。3. WindowsドメインへのLinux仮想マシン（VM）の追加。4. Linux VDAのインストール。5. Linux VDAの構成。6. XenAppまたはXenDesktopでマシンカタログを作成7. XenAppまたはXenDesktopでデリバリーグループを作成

バリエーションと特定のコマンドは、ディストリビューションごとに記載されています。


簡単インストール

Feb 26, 2018

簡単インストールは、Linux VDA Version 7.13以降で正式にサポートされています。簡単インストール機能は、必要なパッケージをインストールして、構成ファイルを自動的にカスタマイズすることで、Linux VDAの実行環境をセットアップできます。

サポート対象のディストリビューション

Winbind SSSD Centrify

RHEL

7.3 はいはいはい



CentOS




Ubuntu 16.04 はいはいはい

SUSE 12.3 はいなしはい

簡単インストールの使用

この機能を使用するには、以下の手順に従ってください。

1. 構成ファイル情報およびLinuxマシンを準備します。2. Linux VDAパッケージをインストールします。3. Linux VDAのインストールを完了するにはRuntime Environmentをセットアップします。

簡単インストールに必要な以下の構成情報を収集します。

ホスト名 - Linux VDAサーバー名


ドメインネームサーバーのIPアドレスNTPサーバーのIPアドレスまたは文字列名ドメイン名 - ドメインのNetBIOS名領域名 - Kerberos領域名アクティブドメインのFQDN - 完全修飾ドメイン名

ImportantLinux VDAをインストールするには、Linuxマシンでリポジトリが正しく追加されていることを確認します。セッションを起動するには、X Windowシステムおよびデスクトップ環境がインストールされていることを確認します。

注意事項

1. ワークグループ名はデフォルトではドメイン名です。ご使用の環境内のワークグループをカスタマイズするには、以下の手順に従ってください。

a. Linux VDAサーバーで/tmp/ctxinstall.confが存在していない場合は作成します。b. 「workgroup=」という行をこのファイルに追加します。

2. CentrifyではピュアIPv6 DNS構成をサポートしていないため、ADクライアントでADサービスを適切に検索するためにはIPv4を使用するDNSが/etc/resolv.confに少なくとも1つ存在している必要があります。

3. CentOS上のCentrifyでは、Centrifyの環境チェックツール「adcheck」で簡単インストールが失敗し、次のエラーが表示されることがあります。

ADSITE : Check that this machine's subnet is in a site known by AD : Failed

: This machine's subnet is not known by AD.

: We guess you should be in the site Site1.

これは、Centrifyの独特な構成が原因です。この問題を解決するには、次の手順に従います。

a. Delivery Controllerの［管理ツール］［管理ツール］を開きます。b. ［［Act ive Direct oryAct ive Direct oryのサイトとサービス］のサイトとサービス］を選択します。c.［サブネット］［サブネット］の正しいサブネットアドレスを追加します。

4. Linux VDA 7.16では、簡単なインストールは、ピュアIPv6をサポートしています。この拡張機能には、以下の前提条件と制限があります。

お使いのマシンがピュアIPv6環境で必要なパッケージをダウンロードできるように、Linuxリポジトリを設定する必要があ


ります。Centrifyは、ピュアIPv6環境ではサポートされていません。

注注：ご使用の環境がピュアIPv6で、すべての入力が適切なIPv6形式である場合、VDAはIPv6を使用してDelivery Controllerに登録します。ご使用の環境にIPv4とIPv6のハイブリッドスタックがある場合、最初のDNS IPアドレスの種類によって、IPv4

またはIPv6のどちらが登録に使用されるかが決まります。

5. ドメインに参加させる方式としてCentrifyを選択する場合、ctxinstall.shスクリプトではCentrifyパッケージが必要です。ctxinstall.shでCentrifyパッケージを取得する方法は2通りあります。

簡単インストールは、インターネットからCentrifyパッケージを自動でダウンロードするために役立ちます。現時点でのディストリビューションごとの指定URLは次のとおりです。

RHEL：wget http://edge.centrify.com/products/centrify-suite/2016-update-1/installers/centrify-suite-2016.1-rhel4-

x86_64.tgz?_ga=1.178323680.558673738.1478847956

CentOS：wget http://edge.centrify.com/products/centrify-suite/2016-update-1/installers/centrify-suite-2016.1-rhel4-

x86_64.tgz?_ga=1.186648044.558673738.1478847956

SUSE：wget http://edge.centrify.com/products/centrify-suite/2016-update-1/installers/centrify-suite-2016.1-suse10-

x86_64.tgz?_ga=1.10831088.558673738.1478847956

Ubuntu：wget http://edge.centrify.com/products/centrify-suite/2016-update-1/installers/centrify-suite-2016.1-deb7-

x86_64.tgz?_ga=1.178323680.558673738.1478847956

ローカルディレクトリからCentrifyパッケージを取得します。次の手順に従って、Centrifyパッケージのディレクトリを指定する必要があります。

a. Linux VDAサーバーで/tmp/ctxinstall.confファイルが存在していない場合は作成します。 b. 「centrifypkgpath=」という行をこのファイルに追加します。

次に例を示します。

http://edge.centrify.com/products/centrify-suite/2016-update-1/installers/centrify-suite-2016.1-rhel4-x86_64.tgz?_ga=1.178323680.558673738.1478847956

http://edge.centrify.com/products/centrify-suite/2016-update-1/installers/centrify-suite-2016.1-rhel4-x86_64.tgz?_ga=1.186648044.558673738.1478847956

http://edge.centrify.com/products/centrify-suite/2016-update-1/installers/centrify-suite-2016.1-suse10-x86_64.tgz?_ga=1.10831088.558673738.1478847956

http://edge.centrify.com/products/centrify-suite/2016-update-1/installers/centrify-suite-2016.1-deb7-x86_64.tgz?_ga=1.178323680.558673738.1478847956


cat /tmp/ctxinstall.conf

set “centrifypkgpath=/home/mydir”

ls -ls /home/mydir

9548 -r-xr-xr-x. 1 root root 9776688 May 13 2016 adcheck-rhel4-x86_64

4140 -r--r--r--. 1 root root 4236714 Apr 21 2016 centrifyda-3.3.1-rhel4-x86_64.rpm

33492 -r--r--r--. 1 root root 34292673 May 13 2016 centrifydc-5.3.1-rhel4-x86_64.rpm

4 -rw-rw-r--. 1 root root 1168 Dec 1 2015 centrifydc-install.cfg

756 -r--r--r--. 1 root root 770991 May 13 2016 centrifydc-ldapproxy-5.3.1-rhel4-x86_64.rpm

268 -r--r--r--. 1 root root 271296 May 13 2016 centrifydc-nis-5.3.1-rhel4-x86_64.rpm

1888 -r--r--r--. 1 root root 1930084 Apr 12 2016 centrifydc-openssh-7.2p2-5.3.1-rhel4-x86_64.rpm

124 -rw-rw-r--. 1 root root 124543 Apr 19 2016 centrify-suite.cfg

0 lrwxrwxrwx. 1 root root 10 Jul 9 2012 install-express.sh -> install.sh

332 -r-xr-xr--. 1 root root 338292 Apr 10 2016 install.sh

12 -r--r--r--. 1 root root 11166 Apr 9 2015 release-notes-agent-rhel4-x86_64.txt

4 -r--r--r--. 1 root root 3732 Aug 24 2015 release-notes-da-rhel4-x86_64.txt

4 -r--r--r--. 1 root root 2749 Apr 7 2015 release-notes-nis-rhel4-x86_64.txt

12 -r--r--r--. 1 root root 9133 Mar 21 2016 release-notes-openssh-rhel4-x86_64.txt

次のコマンドを実行して、Linux VDAの環境をセットアップします。


RHELおよびCentOSディストリビューション

sudo yum -y localinstall <PATH>/<Linux VDA RPM>

Ubuntuディストリビューション

sudo dpkg -i <PATH>/<Linux VDA deb>

sudo apt-get install -f

SUSEディストリビューションの場合：

zypper -i install <PATH>/<Linux VDA RPM>

Linux VDAパッケージのインストール後、ctxinstall.shスクリプトを使用して、実行環境を構成します。このスクリプトは、対話モードまたはサイレントモードで実行できます。

対話モード対話モード

手動構成を実行するには、次のコマンドを実行し、プロンプトごとに関連パラメーターを入力します。

sudo /opt/Citrix/VDA/sbin/ctxinstall.sh

サイレントモードサイレントモード

サイレントモードで簡単インストールを使用するには、ctxinstall.shを実行する前に以下の環境変数を設定する必要がありま


す。

CT X_EASYINST ALL_HOST NAMECT X_EASYINST ALL_HOST NAME =host-name - Linux VDAサーバーのホスト名を指定CT X_EASYINST ALL_DNSCT X_EASYINST ALL_DNS =ip-address-of-dns - DNSのIPアドレスCT X_EASYINST ALL_NT PSCT X_EASYINST ALL_NT PS =address-of-ntps - NTPサーバーのIPアドレスまたは文字列名CT X_EASYINST ALL_DOMAINCT X_EASYINST ALL_DOMAIN=domain-name – ドメインのNetBIOS名CT X_EASYINST ALL_REALMCT X_EASYINST ALL_REALM =realm-name – Kerberos領域名CT X_EASYINST ALL_FQDNCT X_EASYINST ALL_FQDN=ad-fqdn-name

CT X_EASYINST ALL_ADINT EGRAT IONWAYCT X_EASYINST ALL_ADINT EGRAT IONWAY=winbind | sssd | centrify – Active Directoryの統合方式を指定。CT X_EASYINST ALL_USERNAMECT X_EASYINST ALL_USERNAME =domain-user-name - ドメインに参加させるために使用されるドメインユーザーの名前を指定CT X_EASYINST ALL_PASSWORDCT X_EASYINST ALL_PASSWORD=password - ドメインに参加させるために使用されるドメインユーザーのパスワードを指定

次の変数は、ctxsetup.shで使用されます。

CT X_XDL_SUPPORT _DDC_AS_CNAMECT X_XDL_SUPPORT _DDC_AS_CNAME =Y | N - Linux VDAでは、DNS CNAMEレコードを使用して、Delivery

Controller名を指定できます。

CT X_XDL_DDC_LISTCT X_XDL_DDC_LIST =list-ddc-fqdns – Linux VDAには、Delivery Controllerの登録に使用するDelivery Controllerの完全修飾ドメイン名（FQDN）のスペース区切りの一覧が必要です。1つまたは複数の完全修飾ドメイン名またはCNAMEを指定する必要があります。CT X_XDL_VDA_PORTCT X_XDL_VDA_PORT =port-number - Linux VDAは、TCP/IPポートを使用してDelivery Controllerと通信します。

CT X_XDL_REGIST ER_SERVICECT X_XDL_REGIST ER_SERVICE =Y | N - Linux Virtual Desktopサービスは、起動時の開始をサポートします。

CT X_XDL_ADD_FIREWALL_RULESCT X_XDL_ADD_FIREWALL_RULES =Y | N - Linux Virtual Desktopサービスでは、ネットワーク受信接続がシステムのファイアウォールの通過を許可されている必要があります。Linux Virtual Desktop用に、システムのファイアウォールの必要なポート（デフォルトではポート80およびポート1494）を自動で開放できます。

CT X_XDL_HDX_3D_PROCT X_XDL_HDX_3D_PRO=Y | N - Linux Virtual Desktopでは、HDX 3D Proがサポートされます。これは、強力なグラフィックアプリケーションの仮想化を最適にするための一連のグラフィックアクセラレーションテクノロジです。HDX

3D Proをサポートするには、対応するNVIDIA GRIDグラフィックカードをインストールする必要があります。HDX 3D Pro

を選択した場合、VDAはVDIデスクトップ（単一セッション）モード用に構成されます（すなわち、CTX_XDL_VDI_MODE=Yとなります）。これは、SUSEではサポートされていません。必ずこの値をNに設定してください。CT X_XDL_VDI_MODECT X_XDL_VDI_MODE =Y | N - 専用デスクトップ配信モデル（VDI）またはホストされる共有デスクトップ配信モデルのどちらとしてマシンを構成するかを決定します。HDX 3D Pro環境の場合は、Yに設定する必要があります。CT X_XDL_SIT E_NAMECT X_XDL_SIT E_NAME =dns-name - Linux VDAは、DNSを使用してLDAPサーバーを検出し、LDAPサービスレコードを照会します。DNSの検索結果をローカルサイトに制限するには、DNSサイト名を指定します。不要な場合は、「」に設定できます。CT X_XDL_LDAP_LISTCT X_XDL_LDAP_LIST =list-ldap-servers - Linux VDAは、デフォルトではDNSを照会してLDAPサーバーを検出します。ただし、DNSがLDAPサービスレコードを提供できない場合は、LDAPの完全修飾ドメイン名（FQDN）およびLDAPポートのスペース区切りの一覧（例：ad1.mycompany.com:389）を指定することができます。不要な場合は、「」に設定できます。

CT X_XDL_SEARCH_BASECT X_XDL_SEARCH_BASE =search-base - Linux VDAは、デフォルトではActive Directoryドメインのルート（例：DC=mycompany,DC=com）に設定された検索ベースを使用してLDAPを照会します。ただし、検索のパフォーマンスを改善するために検索ベースを指定できます（例：OU=VDI,DC=mycompany,DC=com）。不要な場合は、「」に設定できます。CT X_XDL_ST ART _SERVICECT X_XDL_ST ART _SERVICE =Y | N - 構成の完了時にLinux VDAサービスが開始されるようにするかどうかを指定します。


設定されていないパラメーターがあるとインストールは対話モードにロールバックし、ユーザー入力が求められます。ctxinstall.shスクリプトは、環境変数によってすべてのパラメーターが提供されている場合は、回答の入力を求めません。

サイレントモードでは、次のコマンドを実行して環境変数を設定してからctxinstall.shスクリプトを実行する必要があります。

export CTX_EASYINSTALL_HOSTNAME=host-name

export CTX_EASYINSTALL_DNS=ip-address-of-dns

export CTX_EASYINSTALL_NTPS=address-of-ntps

export CTX_EASYINSTALL_DOMAIN=domain-name

export CTX_EASYINSTALL_REALM=realm-name

export CTX_EASYINSTALL_FQDN=ad-fqdn-name

export CTX_EASYINSTALL_ADINTEGRATIONWAY=winbind | sssd | centrify

export CTX_EASYINSTALL_USERNAME=domain-user-name

export CTX_EASYINSTALL_PASSWORD=password

export CTX_XDL_SUPPORT_DDC_AS_CNAME=Y | N

export CTX_XDL_DDC_LIST=list-ddc-fqdns

export CTX_XDL_VDA_PORT=port-number

export CTX_XDL_REGISTER_SERVICE=Y | N


export CTX_XDL_REGISTER_SERVICE=Y | N

export CTX_XDL_ADD_FIREWALL_RULES=Y | N

export CTX_XDL_HDX_3D_PRO=Y | N

export CTX_XDL_VDI_MODE=Y | N

export CTX_XDL_SITE_NAME=dns-site-name |'<none>'

export CTX_XDL_LDAP_LIST=list-ldap-servers |'<none>'

export CTX_XDL_SEARCH_BASE=seach-base-set |'<none>'

export CTX_XDL_START_SERVICE=Y | N

sudo -E /opt/Citrix/VDA/sbin/ctxinstall.sh

sudoに-Eオプションを指定し、作成する新しいシェルに既存の環境変数を渡す必要があります。Citrixは、最初の行として#!/bin/bash#!/bin/bashを記述し、上記のコマンドからなるシェルスクリプトファイルを作成することをお勧めします。

または、次のようにして、1つのコマンドですべてのパラメーターを指定することができます。


sudo CTX_EASYINSTALL_HOSTNAME=host-name \

CTX_EASYINSTALL_DNS=ip-address-of-dns \

CTX_EASYINSTALL_NTPS=address-of-ntps \

CTX_EASYINSTALL_DOMAIN=domain-name \

CTX_EASYINSTALL_REALM=realm-name \

......

CTX_XDL_SEARCH_BASE=seach-base-set \

CTX_XDL_START_SERVICE=Y \

/opt/Citrix/VDA/sbin/ctxinstall.sh

トラブルシューティング

このセクションの情報を参照して、この機能を使用することで発生する可能性のある問題のトラブルシューティングを実行できます。

ドメインに参加させようとすると、次のような出力のエラー状態が発生することがあります（画面印刷のログを確認する）。


Step 6: join Domain!Enter ctxadmin's password:Failed to join domain: failed to lookup DC info for domain 'CITRIXLAB.LOCAL' over rpc: The network name cannot be found

/var/log/xdl/vda.log：

http://CTXDDC.citrixlab.local:80/Citrix/CdsController/IRegistrar

http://CTXDDC.citrixlab.local:80/Citrix/CdsController/IRegistrar

javax.xml.ws.soap.SOAPFaultException'.

2016-11-04 02:11:52.317 [INFO ] - The Citrix Desktop Service successfully obtained the following list of 1 delivery controller(s) with which to register: 'CTXDDC.citrixlab.local (10.158.139.214)'.

2016-11-04 02:11:52.362 [ERROR] - RegistrationManager.AttemptRegistrationWithSingleDdc: Failed to register with

2016-11-04 02:11:52.362 [ERROR] - The Citrix Desktop Service cannot connect to the delivery controller '

Check the following:- The system clock is in sync between this machine and the delivery controller.

- The Active Directory provider (e.g. winbind daemon) service is running and correctly configured.

- Kerberos is correctly configured on this machine.

If the problem persists, please refer to Citrix Knowledge Base article CTX117248 for further information.

Error Details:

Exception 'General security error (An error occurred in trying to obtain a TGT: Client not found in Kerberos database (6))' of type 'class

2016-11-04 02:11:52.362 [INFO ] - RegistrationManager.AttemptRegistrationWithSingleDdc: The current time for this VDA is Fri Nov 04 02:11:52 EDT 2016.

Ensure that the system clock is in sync between this machine and the delivery controller.

Verify the NTP daemon is running on this machine and is correctly configured.

2016-11-04 02:11:52.364 [ERROR] - Could not register with any controllers. Waiting to try again in 120000 ms. Multi-forest - false

2016-11-04 02:11:52.365 [INFO ] - The Citrix Desktop Service failed to register with any controllers in the last 470 minutes.

http://ctxddc.citrixlab.local/Citrix/CdsController/IRegistrar

http://ctxddc.citrixlab.local/Citrix/CdsController/IRegistrar

http://javax.xml.ws/


/var/log/messages：

MEMORY:/etc/krb5.keytab]: Client '[email protected]' not found in Kerberos database. Unable to create GSSAPI-encrypted LDAP connection.Nov 4 02:15:27 RH-WS-68 [sssd[ldap_child[14867]]]: Client '[email protected]' not found in Kerberos database

この問題を解決するには、次の手順に従います。

1. rm -f /etc/krb5.keytab

2. net ads leave $REALM -U $domain-administrator

3. Delivery Controllerでマシンカタログおよびデリバリーグループを削除する4. /opt/Citrix/VDA/sbin/ctxinstall.shを実行する5. Delivery Controllerでマシンカタログおよびデリバリーグループを作成する

セッションを起動すると、空のデスクトップでブロックされる問題が発生します。また、ドメイン管理者の資格情報でログオンすると、サーバーOSマシンのコンソールが同じ状態で表示されます。


1. sudo apt-get install unity lightdm

2. sudo apt-get update

3. 次の行を/etc/lightdm/lightdm.confに追加します。greeter-show-manual-login=true

/var/log/xdl/hdx.log：

ヒントこの問題の根本原因は、ドメイン管理者のホームディレクトリが作成されていないことです。

Nov 4 02:15:27 RH-WS-68 [sssd[ldap_child[14867]]]: Failed to initialize credentials using keytab [

2016-11-02 13:21:19.015 <P22492:S1> citrix-ctxlogin: StartUserSession: failed to change to directory(/home/CITRIXLAB/ctxadmin) errno(2)

2016-11-02 13:21:19.017 <P22227> citrix-ctxhdx: logSessionEvent: Session started for user ctxadmin.

2016-11-02 13:21:19.023 <P22492:S1> citrix-ctxlogin: ChildPipeCallback: Login Process died: normal.

2016-11-02 13:21:59.217 <P22449:S1> citrix-ctxgfx: main: Exiting normally.

http://memory/etc/krb5.keytab



1. コマンドラインで、pam-aut h-updat epam-aut h-updat eを入力します。

2. 表示されたポップアップウィンドウで、［［Creat e home direct ory loginCreat e home direct ory login］］が選択されていることを確認します。

/var/log/messages（RHELまたはCentOSの場合）

Ubuntuディストリビューションの場合は、log /var/log/syslogを使用

Oct 27 04:17:16 CentOS7 citrix-ctxhdx[8978]: Session started for user CITRIXLAB\ctxadmin.

Oct 27 04:17:18 CentOS7 kernel: traps: gnome-session[19146] trap int3 ip:7f89b3bde8d3 sp:7fff8c3409d0 error:0

Oct 27 04:17:18 CentOS7 gnome-session[19146]: ERROR: Failed to connect to system bus: Exhausted all available authentication mechanisms (tried: EXTERNAL, DBUS_COOKIE_SHA1, ANONYMOUS) (available: EXTERNAL, DBUS_COOKIE_SHA1, ANONYMOUS)#012aborting...

Oct 27 04:17:18 CentOS7 gnome-session: gnome-session[19146]: ERROR: Failed to connect to system bus: Exhausted all available authentication mechanisms (tried: EXTERNAL, DBUS_COOKIE_SHA1, ANONYMOUS) (available: EXTERNAL, DBUS_COOKIE_SHA1, ANONYMOUS)

Oct 27 04:17:18 CentOS7 gnome-session: aborting...

Oct 27 04:17:18 CentOS7 citrix-ctxgfx[18981]: Exiting normally.

Oct 27 04:17:18 CentOS7 citrix-ctxhdx[8978]: Session stopped for user CITRIXLAB\ctxadmin.


グループモジュールによっては、再起動するまで機能しません。dbusdbusまたはmessage busmessage busエラーメッセージがログに表示される場合、システムを再起動してから再試行することをお勧めします。

ユーザーはセッションを起動できますが、ログオンできません。

/var/log/ctxinstall.log：

Jan 25 23:30:31 yz-rhel72-1 setroubleshoot[3945]: SELinux is preventing /usr/sbin/sshd from setattr access on the directory /root. For complete SELinux messages. run sealert -l 32f52c1f-8ff9-4566-a698-963a79f16b81

Jan 25 23:30:31 yz-rhel72-1 python[3945]: SELinux is preventing /usr/sbin/sshd from setattr access on the directory /root.

***** Plugin catchall_boolean (89.3 confidence) suggests ******************

If you want to allow polyinstantiation to enabled

Then you must tell SELinux about this by enabling the 'polyinstantiation_enabled' boolean.

You can read 'None' man page for more details.

Nov 3 11:03:52 user01-HVM-domU pulseaudio[25326]: [pulseaudio] pid.c: Stale PID file, overwriting.

Nov 3 11:03:52 user01-HVM-domU pulseaudio[25326]: [pulseaudio] bluez5-util.c: Failed to get D-Bus connection: Did not receive a reply. Possible causes include: the remote application did not send a reply, the message bus security policy blocked the reply, the reply timeout expired, or the network connection was broken.

Nov 3 11:03:52 user01-HVM-domU pulseaudio[25326]: [pulseaudio] hashmap.c: Assertion 'h' failed at pulsecore/hashmap.c:116, function pa_hashmap_free(). Aborting.

Nov 3 11:03:52 user01-HVM-domU pulseaudio[25352]: [pulseaudio] core-util.c: Failed to connect to system bus: Did not receive a reply. Possible causes include: the remote application did not send a reply, the message bus security policy blocked the reply, the reply timeout expired, or the network connection was broken.

Nov 3 11:03:52 user01-HVM-domU pulseaudio[25352]: message repeated 10 times: [ [pulseaudio] core-util.c: Failed to connect to system bus: Did not receive a reply. Possible causes include: the remote application did not send a reply, the message bus security policy blocked the reply, the reply timeout expired, or the network connection was broken.]

Nov 3 11:03:52 user01-HVM-domU pulseaudio[25352]: [pulseaudio] pid.c: Daemon already running.Nov 3 11:03:58 user01-HVM-domU citrix-ctxgfx[24693]: Exiting normally


You can read 'None' man page for more details.

Do

setsebool -P polyinstantiation_enabled 1

***** Plugin catchall (11.6 confidence) suggests **************************

If you believe that sshd should be allowed setattr access on the root directory by default.

Then you should report this as a bug.

You can generate a local policy module to allow this access.

Do

allow this access for now by executing:

# grep sshd /var/log/audit/audit.log | audit2allow -M mypol

# semodule -i mypol.pp


1. /etc/selinux/configに次の変更を加えることで、SELinuxを無効にする

SELINUX=disabled

2. 再起動


Linux Virtual Delivery Agent for RHEL/CentOSのインストール

Feb 26, 2018

以下の手順に従って手動でインストールするか、簡単インストールを使用して、インストールおよび構成を自動で行うかを選択できます。簡単インストールは時間と労力を節約するだけでなく、手動のインストールよりもエラーを減らすことができます。

注注：新規のインストールでは、簡単インストールのみを使用します。既存インストールの更新には、簡単インストールを使用しないでください。

手順1：VDAをインストールするRHEL 7/CentOS 7、RHEL6/CentOS 6の準備

Citrixは、続行前にネットワークを接続し、適切に構成することをお勧めします。

マシンのホスト名が確実に正しく報告されるようにするには、/et c/host name/et c/host nameファイルを変更してマシンのホスト名のみを記述します。

HOSTNAME=

マシンのDNSドメイン名と完全修飾ドメイン名が確実に正しく報告されるようにするには、/et c/host s/et c/host sファイルの以下の行を変更し、最初の2つのエントリとして完全修飾ドメイン名とホスト名を記述します。

127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4


127.0.0.1 vda01.example.com vda01 localhost localhost.localdomain localhost4 localhost4.localdomain4

ファイルの他のエントリから、host name-f qdnhost name-f qdnまたはhost namehost nameに対するその他の参照を削除します。

注意Linux VDAでは現在、NetBIOS名の切り捨てをサポートしていません。したがって、ホスト名は15文字以内である必要があります。

ヒントa～z、A~Z、0～9、およびハイフン（-）の文字のみ使用してください。アンダースコア（_）、スペース、およびその他の記号は使

http://docs.citrix.com/ja-jp/linux-virtual-delivery-agent/current-release/installation-overview/easy-install.html



用しないでください。ホスト名を数字で開始したり、ハイフンで終了したりしないでください。このルールは、Delivery Controllerの

ホスト名にも適用されます。

次のコマンドで、ホスト名が正しく設定されていることを確認します。

hostname

これにより、そのマシンの完全修飾ドメイン名（FQDN）ではなく、そのホスト名のみが返されます。

次のコマンドで、完全修飾ドメイン名が正しく設定されていることを確認します。

hostname -f

これにより、マシンの完全修飾ドメイン名（FQDN）が返されます。

次のコマンドで、完全修飾ドメイン名が解決できることと、ドメインコントローラーとXenDesktop Delivery Controllerからpingに応答があることを確認します。

nslookup domain-controller-fqdn

ping domain-controller-fqdn

nslookup delivery-controller-fqdn

ping delivery-controller-fqdn

完全修飾ドメイン名を解決できない、またはこれらのマシンのいずれかからpingに応答がない場合は、手順を確認してから次


に進んでください。

VDA、Delivery Controller、ドメインコントローラーの間で正確な時刻同期を維持することは重要です。仮想マシンとしてLinux VDAをホストすると、時刻が不正確になる問題が発生する可能性があります。したがって、リモートのタイムサービスを使用して時刻を維持することをお勧めします。

RHEL 6.x以前のリリースでは、時刻同期にNTPデーモン（ntpd）を使用しています。一方、RHEL 7.xのデフォルト環境では、新しいChronyデーモン（chronyd）を代わりに使用しています。この2つのサービスの構成と操作手順は類似しています。

NTPサービスの構成（RHEL 6/CentOS 6のみ）

rootとして/et c/nt p.conf/et c/nt p.confを編集し、次のように各リモートタイムサーバーに対応するサーバーエントリを追加します。

server peer1-fqdn-or-ip-address iburst


一般的な環境では、時間はローカルドメインコントローラーから同期します。公開NTPプールサーバーから直接は同期しません。ドメインの各Active Directoryドメインコントローラーに対応するサーバーエントリを追加します。

ループバックIPアドレス、localhost、パブリックサーバーの*.pool.nt p.org*.pool.nt p.orgエントリなど、一覧にあるその他のserverserverエントリを削除します。

変更を保存してから、次のコマンドでNTPデーモンを再起動します。

sudo /sbin/service ntpd restart

Chronyサービスの構成（RHEL 7/CentOS 7のみ）

rootとして/et c/chrony.conf/et c/chrony.confを編集し、次のように各リモートタイムサーバーに対応するサーバーエントリを追加します。

server f qdn-or-ip-address>f qdn-or-ip-address> iburst

server f qdn-or-ip-address>f qdn-or-ip-address> iburst



ループバックIPアドレス、localhost、パブリックサーバーの*.pool.nt p.org*.pool.nt p.orgエントリなど、一覧にあるその他のserverエントリを削除します。

変更を保存してから、次のコマンドでChronyデーモンを再起動します。

sudo /sbin/service chronyd restart

Linux VDAはOpenJDKに依存しています。通常、Runtime Environmentは、オペレーティングシステムの一部としてインストールされています。

次のコマンドで正しいバージョンを確認します。

RHEL 7/CentOS 7：

sudo yum info java-1.8.0-openjdk

RHEL 6/CentOS 6：

sudo yum info java-1.7.0-openjdk

事前にパッケージされたOpenJDKは、以前のバージョンである可能性があります。必要に応じて、次のコマンドで最新バージョンに更新します。

RHEL 7/CentOS 7：

sudo yum -y update java-1.8.0-openjdk


RHEL 6/CentOS 6：

sudo yum -y update java-1.7.0-openjdk

次の行を~ /.bashrc~ /.bashrcファイルに追加して、JAVA_HOMEJAVA_HOME環境変数を設定します。

export JAVA_HOME=/usr/lib/jvm/java

新しいシェルを開き、次のコマンドでJavaのバージョンを確認します。

java –version

ヒント問題を回避するために、RHEL 6/CentOS 6の場合はOpenJDKバージョン1.7.0または1.8.0、RHEL 7/CentOS 7の場合はOpenJDKバー

ジョン1.8.0をインストールするようにしてください。その他のバージョンのJavaは、システムからすべて削除します。

Linux VDAには、PostgreSQL 8.4以降（RHEL 6の場合）またはPostgreSQL 9.2以降（RHEL 7の場合）のいずれかが必要です。

次のパッケージをインストールします。

sudo yum -y install postgresql-server

sudo yum -y install postgresql-jdbc

データベースを初期化し、起動時にサービスが確実に開始されるようにするには、次に示すインストール後の手順が必要です。これにより、/var/lib/pgsql/dat a/var/lib/pgsql/dat aにデータベースファイルが作成されます。このコマンドは、PostgreSQL 8と9では異なります。

RHEL 7のみ：PostgreSQL 9


sudo postgresql-setup initdb


sudo /sbin/service postgresql initdb

次のコマンドで、起動時にサービスを開始する構成と、直ちにサービスを開始する構成を行います。


sudo systemctl start postgresql

sudo systemctl enable postgresql


sudo /sbin/chkconfig postgresql on

sudo /sbin/service postgresql start

次のコマンドを使用して、PostgreSQLのバージョンを確認します。


psql --version

次のようにpsqlpsqlコマンドラインユーティリティを使用して、データディレクトリが設定されていることを確認します。

sudo -u postgres psql -c 'show data_directory'

Importantこのリリースでは、gperftools-libsの新しい依存関係を追加してありますが、この依存関係は元のリポジトリには存在していません。次のコマンドを使用して新しいリポジトリを追加する必要があります。

sudo rpm -ivh https://dl.fedoraproject.org/pub/epel/epel-release-latest-6.noarch.rpm

この問題が影響するのはRHEL 6およびCentOS 6のみであり、このコマンドはLinux VDAパッケージをインストールする前に実行する必

要があります。

手順2：ハイパーバイザーの準備

サポートされるハイパーバイザー上で仮想マシンとしてLinux VDAを実行する場合、いくつかの変更が必要です。使用するハイパーバイザーのプラットフォームに合わせて、次の変更を行います。ベアメタルハードウェアでLinuxマシンを実行する場合、変更は必要ありません。

XenServerの時刻同期機能が有効な場合、それぞれの準仮想化Linux仮想マシンで、NTPとXenServerの両方がシステムの時間を管理しようとすることが原因となり問題が発生します。システムの時間と他のサーバーの時間との同期が失われるのを防ぐには、各Linuxゲストのシステムの時間がNTPと同期する必要があります。この場合、ホストの時刻同期を無効にする必要があります。HVMモードでは、変更は必要ありません。

一部のLinuxディストリビューションでは、XenServer Toolsをインストールした状態で準仮想化Linuxカーネルを実行すると、XenServerの時刻同期機能が存在し有効になっているかどうかをLinux仮想マシンから次のようにして確認できます。


su -

cat /proc/sys/xen/independent_wallclock

このコマンドは0または1を返します。

0 - 時刻同期機能が有効になっているため、無効にする必要があります。1 - 時刻同期機能が無効になっています。これ以上の操作は必要ありません。

/proc/sys/xen/indepent_wallclockファイルが存在しない場合、以降の手順は不要です。

時刻同期機能が有効な場合は、次のようにしてファイルに1を書き込んで無効にします。

sudo echo 1 > /proc/sys/xen/independent_wallclock

この変更を永続化し、再起動後も保持するには、/et c/sysct l.conf/et c/sysct l.confファイルを編集して、次の行を追加します。

xen.independent_wallclock = 1

これらの変更を確認するため、次のようにしてシステムを再起動します。

su -


このコマンドは1を返します。

Hyper-V Linux統合サービスがインストールされたLinux仮想ホストでは、Hyper-Vの時刻同期機能を適用してホストオペレー


ティングシステムの時間を利用できます。システムの時間を正確な状態で維持するには、NTPサービスとともにこの機能を有効にする必要があります。

管理オペレーティングシステムで、次の操作を行います。

1. Hyper-Vマネージャーコンソールを開きます。

2. Linux仮想マシンの設定で、［統合サービス］［統合サービス］を選択します。

3. ［時刻の同期］［時刻の同期］が選択されていることを確認します。

注意この方法はVMwareおよびXenServerの場合とは異なります。VMwareおよびXenServerでは、NTPとの競合を避けるためにホストの時

刻同期を無効にします。Hyper-Vの時刻同期は、NTPと共存し、NTPの時刻同期を補完することができます。

VMwareの時刻同期機能が有効な場合、それぞれの準仮想化Linux仮想マシンで、NTPとハイパーバイザーの両方がシステムの時間を同期しようとすることが原因となり問題が発生します。システムの時間と他のサーバーの時間との同期が失われるのを防ぐには、各Linuxゲストのシステムの時間がNTPと同期する必要があります。この場合、ホストの時刻同期を無効にする必要があります。

VMware Toolsをインストールした状態で準仮想化Linuxカーネルを実行している場合は、次の操作を行います。

1. vSphere Clientを開きます。2. Linux仮想マシンの設定を編集します。3. ［仮想マシンのプロパティ］［仮想マシンのプロパティ］ダイアログボックスで、［オプション］［オプション］タブをクリックします。4. ［［VMware T oolsVMware T ools］］を選択します。5. ［詳細］ボックスで、ホストとゲストの［時間を同期時間を同期］チェックボックスをオフにします。

手順3：Linux仮想マシン（VM）をWindowsドメインに追加

Linux VDAは、LinuxマシンをActive Directory（AD）ドメインに追加するさまざまな方法をサポートします。

Samba Winbind

Quest Authentication Service

Centrify DirectControl

SSSD

選択した方法に応じて、以下の手順に従います。

注意Linux VDAのローカルアカウントとADのアカウントで同じユーザー名を使用すると、セッションの起動に失敗することがあります。


次のようにして、必要なパッケージをインストールまたは更新します。

sudo yum -y install samba-winbind samba-winbind-clients krb5-workstation authconfig oddjob-mkhomedir

起動時に起動時にWinbindWinbindデーモンが開始するようにするデーモンが開始するようにする

次のコマンドで、起動時にWinbindデーモンが開始するように構成する必要があります。

sudo /sbin/chkconfig winbind on

WinbindWinbind認証の構成認証の構成

次のようにして、Winbindを使用したKerberos認証用にマシンを構成します。

sudo authconfig --disablecache --disablesssd --disablesssdauth --enablewinbind --enablewinbindauth --disablewinbindoffline --smbsecurity=ads --smbworkgroup=

ここで、REALMREALMは大文字のKerberos領域名で、domaindomainはドメインのNetBIOS名です。

KDCサーバーおよび領域名をDNSベースで参照する必要がある場合は、次の2つのオプションを上記のコマンドに追加します。

--enablekrb5kdcdns --enablekrb5realmdns

authconfigコマンドから返される、開始に失敗したwinbindサービスに関するエラーは無視します。これらのエラーは、マシンがドメインにまだ参加していない状態でauthconfigがwinbindサービスを開始しようとすることが原因で発生します。

/et c/samba/smb.conf/et c/samba/smb.confを開いて、[Global]セクションに次のエントリを追加します。ただし、追加するのは、authconfig


ツールによって生成されたセクションの後です。

kerberos method = secrets and keytab

winbind refresh tickets = true

Delivery Controllerに対する認証と登録には、Linux VDAにシステムのkeytabファイル/etc/krb5.keytabが必要です。上記のkerberos methodの設定により、マシンが初めてドメインに参加する時に、Winbindによってシステムのkeytabファイルが強制的に作成されます。

WindowsWindowsドメインへの参加ドメインへの参加

ドメインコントローラーがアクセス可能で、コンピューターをドメインに追加する権限を持つActive Directoryユーザーアカウントが必要です。

sudo net ads join REALM -U user

ここで、REALMは大文字のKerberos領域名で、userはコンピューターをドメインに追加する権限を持つドメインユーザーです。

WinbindWinbind用の用のPAMPAMの構成の構成

デフォルトでは、Winbind PAMモジュール（pam_winbind）の構成で、Kerberosチケットキャッシュとホームディレクトリの作成が有効になっていません。/etc/security/pam_winbind.confを開いて、[Global]セクションで次のとおりにエントリを追加または変更します。

krb5_auth = yes

krb5_ccache_type = FILE

mkhomedir = yes

各設定の先頭のセミコロンは必ず削除します。これらを変更するには、次のようにしてWinbindデーモンを再起動する必要が


あります。

sudo /sbin/service winbind restart

ヒントマシンがドメインに参加済みの場合にのみ、winbindデーモンは実行を続けます。

/et c/krb5.conf/et c/krb5.confを開いて、[libdefaults]セクションで次の設定をKEYRINGからFILEタイプに変更します。

default_ccache_name = FILE:/tmp/krb5cc_%{uid}

ドメインメンバーシップの確認ドメインメンバーシップの確認

XenDesktopのコントローラーを使用するには、WindowsまたはLinuxに関係なく、すべてのVDAマシンでActive Directoryにコンピューターオブジェクトが必要です。

次のように、Sambaのnet adsnet adsコマンドを実行して、マシンがドメインに参加していることを確認します。

sudo net ads testjoin

追加のドメインおよびコンピューターオブジェクト情報を検証するには、次のコマンドを実行します。

sudo net ads info

KerberosKerberos構成の確認構成の確認


Linux VDAで使用できるようにKerberosが正しく構成されていることを確認するには、次のコマンドによって、システムのkeytabファイルが作成済みでkeytabファイルに有効なキーが含まれていることを確認します。

sudo klist -ke

このコマンドにより、プリンシパル名と暗号スイートのさまざまな組み合わせに対して使用できるキーの一覧が表示されます。Kerberosのkinitコマンドを実行し、これらのキーを使用して、マシンをドメインコントローラーに対して認証します。

sudo kinit -k MACHINE\$@REALM

マシン名と領域名は大文字で指定し、ドル記号（$）はシェルによる置き換えを防ぐためにバックスラッシュ（\）でエスケープする必要があります。環境によっては、DNSドメイン名がKerberos領域名と異なります。したがって、必ず領域名を使用します。このコマンドが成功すると、出力は表示されません。

次のコマンドを使用して、マシンアカウントのTGTチケットがキャッシュされたことを確認します。

sudo klist

次のコマンドを使用して、マシンアカウントの詳細を調査します。

sudo net ads status

ユーザー認証の確認ユーザー認証の確認

次のように、wbinf owbinf oツールを使用して、ドメインユーザーがドメインに対して認証できることを確認します。


wbinfo --krb5auth=domain\\username%password

ここで指定するドメインはADドメイン名で、Kerberos領域名ではありません。bashシェルの場合、バックスラッシュ文字（\）は、もう1つバックスラッシュ文字を指定してエスケープする必要があります。このコマンドにより、成功または失敗を示すメッセージが返されます。

Winbind PAMモジュールが正しく構成されていることを確認するには、次のように、以前にマシンにログオンしたことがないドメインユーザーアカウントを使用してローカルでログオンします。

ssh localhost -l domain\\username

id -u

次のコマンドで、Kerberos資格情報キャッシュのチケットが有効で、期限切れではないことを確認します。

klist

次のコマンドで、セッションを終了します。

exit

GnomeコンソールまたはKDEコンソールに直接ログオンすると、同様のテストを実行できます。

ドメインコントローラーでのドメインコントローラーでのQuestQuestの構成の構成

次の操作は、QuestソフトウェアをActive Directoryドメインコントローラーにインストールし、構成していることと、管理者特権が付与され、Active Directoryにコンピューターオブジェクトを作成できることを前提としています。


Linux VDALinux VDAマシンにドメインユーザーがログオンできるようにするマシンにドメインユーザーがログオンできるようにする

Linux VDAマシンでHDXセッションを確立する必要がある各ドメインユーザーに対して、次の操作を行います。

1. ［Active Directoryユーザーとコンピューター］管理コンソールで、目的のユーザーアカウントのActive Directoryユーザーのプロパティを開きます。

2. ［［Unix AccountUnix Account］］タブを選択します。3. ［［Unix-enabledUnix-enabled］］チェックボックスをオンにします。4. ［［Primary GID NumberPrimary GID Number］］のプライマリGID番号を、実際のドメインユーザーグループのグループIDに設定します。

注意この手順は、ドメインユーザーがコンソール、RDP、SSH、またはその他のリモート処理プロトコルを使用してログオンできるように

設定する場合も同じです。

Linux VDALinux VDAでのでのQuestQuestの構成の構成

SELinuxSELinuxポリシー適用の回避策ポリシー適用の回避策

デフォルトのRHEL環境にはSELinuxが完全に適用され、Questが使用するUnixドメインソケットのIPCのメカニズムに干渉し、ドメインユーザーのログオンを妨げます。

ヒントこの問題を回避するさまざまな方法については、こちらを参照してください。

最も簡単な方法は、SELinuxを無効にすることです。rootとして、/et c/selinux/config/et c/selinux/configを編集し、SELinuxSELinux設定を次のとおりに変更します。

SELINUX=permissive

この変更を行うには、次のコマンドで再起動する必要があります。

reboot

https://support.software.dell.com/authentication-services/kb/70022


Importantこの設定は注意して使用してください。SELinuxポリシーの適用を無効にした後に再度有効にすると、ルートユーザーやその他のロー

カルユーザーであっても、完全にロックアウトされてしまう可能性があります。

VASVASデーモンの構成デーモンの構成

次のようにKerberosチケットの自動更新を有効にして、切断する必要があります。また、認証（オフラインログオン）は無効にする必要があります。

sudo /opt/quest/bin/vastool configure vas vasd auto-ticket-renew-interval 32400

sudo /opt/quest/bin/vastool configure vas vas_auth allow-disconnected-auth false

これにより、更新間隔が9時間（32,400秒）に設定されます。すなわち、チケットのデフォルトの有効期間である10時間よりも1時間短くなります。チケットの有効期間がさらに短いシステムでは、より小さい値をこのパラメーターに設定します。

PAMPAMおよびおよびNSSNSSの構成の構成

Questでは、HDXや、su、ssh、RDPなどのその他のサービスを介したドメインユーザーのログインを可能にするには、PAM

とNSSを手動で構成する必要があります。PAMおよびNSSを構成するには、次のコマンドを実行します。

sudo /opt/quest/bin/vastool configure pam

sudo /opt/quest/bin/vastool configure nss


次のように、Questのvastoolコマンドを使用して、LinuxマシンをActive Directoryドメインに追加します。

sudo /opt/quest/bin/vastool -u user join domain-name


userは、コンピューターをActive Directoryドメインに追加する権限を持つ任意のドメインユーザーです。domain-namedomain-nameは、ドメインのDNS名（example.comなど）です。


XenDesktopのコントローラーを使用するには、WindowsまたはLinuxに関係なく、すべてのVDAマシンでActive Directoryにコンピューターオブジェクトが必要です。Questによって追加されたLinuxマシンがドメインに存在することを確認するには、次のコマンドを実行します。

sudo /opt/quest/bin/vastool info domain

マシンがドメインに参加している場合は、ドメイン名が返されます。マシンがドメインに追加していない場合、以下のエラーが表示されます。

ERROR: No domain could be found.

ERROR: VAS_ERR_CONFIG: at ctx.c:414 in _ctx_init_default_realm

default_realm not configured in vas.conf. Computer may not be joined to domain


QuestがPAMを使用してドメインユーザーを認証できることを確認するには、次のように、以前にマシンにログオンしたことがないドメインユーザーアカウントを使用してログオンします。


id -u

次のコマンドで、id -uid -uコマンドによって返されたUIDに対応するKerberos資格情報キャッシュファイルが作成されたことを確認します。


ls /tmp/krb5cc_uid


/opt/quest/bin/vastool klist


exit



Centrify DirectControl Agentがインストールされている場合、次のようにCentrifyのadjoinコマンドを使用して、LinuxマシンをActive Directoryドメインに追加します。

su –

adjoin -w -V -u user domain-name

userパラメーターは、コンピューターをActive Directoryドメインに追加する権限を持つ任意のActive Directoryドメインユーザーです。domain-namedomain-nameパラメーターは、Linuxマシンを追加するドメインの名前です。



XenDesktopのコントローラーを使用するには、WindowsまたはLinuxに関係なく、すべてのVDAマシンでActive Directoryにコンピューターオブジェクトが必要です。Centrifyにより追加されたLinuxマシンがドメインに存在することを確認するには、次のコマンドを実行します。

su –

adinfo

Joined to domain値が有効であることと、CentrifyDC modeにconnectedが返されることを確認します。CentrifyDC modeがstartingのまま変化しない場合は、Centrifyクライアントにサーバーとの接続の問題、または認証の問題が発生しています。

次を使用すると、より包括的なシステム情報と診断情報を取得できます。

adinfo --sysinfo all

adinfo –diag

さまざまなActive DirectoryおよびKerberosサービスとの接続をテストするには、次のコマンドを実行します。

adinfo --test

以下の情報を使用してSSSDのセットアップを行います。ここではLinux VDAマシンのWindowsドメインへの参加手順、およびKerberos認証の構成についても説明します。

注意SSSDを使用している場合は、このセクションに記載されている指示に従ってください。「WindowsドメインへのLinuxマシンの追

加」セクションの情報は、ここでは適用されません。

http://docs.citrix.com/ja-jp/linux-virtual-delivery-agent/current-release/installation-overview/redhat.html#par_anchortitle_3b56


SSSDSSSDとはとは

SSSDはシステムデーモンです。SSSDの主な機能は、システムにキャッシュとオフラインサポートを提供する共通フレームワークを通じて、リモートリソースの識別および認証のアクセスを提供することです。PAMやNSSモジュールを提供しており、将来的にはD-BUSベースのインターフェイスもサポートして、拡張ユーザー情報に対応する予定です。また、ローカルユーザーおよび拡張ユーザー情報を保存するための優れたデータベースを提供します。

SSSDをRHELおよびCentOSでセットアップするには次の作業を行います。

1. ドメインに参加させ、Sambaを使用してホストのkeytabを作成する2. SSSDのセットアップ3. NSS/PAMの構成4. Kerberos構成の確認5. ユーザー認証の確認

Active Directoryプロバイダーは、SSSD Version 1.9.0で初めて導入されました。古いバージョンを使用している場合は、「Configuring the LDAP provider with Active Directory」の指示に従ってください。

次の環境については、このドキュメントに記載した指示を使用したテストおよび検証を行っています。

RHEL 7.3以降/CentOS 7.3以降Linux VDA Version 1.3以降

SSSDでは、ドメイン参加とシステムのkeytabファイルの管理に関するActive Directoryのクライアント機能が提供されていません。これを取得するには次のような方法があります。

adcli

realmd

winbind

samba

このセクションでは、Sambaによるアプローチについてのみ説明します。realmdに関しては、RHELまたはCentOSのドキュメントを参照してください。SSSDを構成する前に、以下の手順に従う必要があります。

Linuxクライアントで、適切に構成されたファイルを使用します。

/etc/krb5.conf

/etc/samba/smb.conf：

SambaおよびKerberos認証用にマシンを構成します。

sudo authconfig --smbsecurity=ads --smbworkgroup=domain --smbrealm=REALM --krb5realm=REALM --krb5kdc=fqdn-of-domain-controller --update

https://fedorahosted.org/sssd/wiki/Configuring sssd to authenticate with a Windows 2008 Domain Server


ここで、REALMREALMは大文字のKerberos領域名で、domaindomainはActive Directoryドメインの短いNetBIOS名です。



/et c/samba/smb.conf/et c/samba/smb.confを開いて、[Global][Global]セクションに次のエントリを追加します。ただし、追加するのは、aut hconfigaut hconfigツールによって生成されたセクションの後です。


Windowsドメインに参加させるには、ドメインコントローラーに到達できることと、コンピューターをドメインに追加する権限を持つActive Directoryユーザーアカウントが必要です。


ここで、REALMREALMは大文字のKerberos領域名で、userはコンピューターをドメインに追加する権限を持つドメインユーザーです。

SSSDのセットアップは、以下の手順で構成されています。

Linuxクライアントマシンにsssd-adsssd-adパッケージをインストールするさまざまなファイルに設定の変更を行う（sssd.confなど）sssdsssdサービスを開始する

sssd.confsssd.confの設定の例（必要に応じて追加の設定を行うことができます）。

[sssd]


config_file_version = 2

domains = ad.example.com

services = nss, pam

[domain/ad.example.com]

# Uncomment if you need offline logins

# cache_credentials = true

id_provider = ad

auth_provider = ad

access_provider = ad

ldap_id_mapping = true

ldap_schema = ad

# Should be specified as the lower-case version of the long version of the Active Directory domain.

ad_domain = ad.example.com

# Kerberos settings

krb5_ccachedir = /tmp

krb5_ccname_template = FILE:%d/krb5cc_%U


# Uncomment if service discovery is not working

# ad_server = server.ad.example.com

# Comment out if the users have the shell and home dir set on the AD side

default_shell = /bin/bash

fallback_homedir = /home/%d/%u

# Uncomment and adjust if the default principal SHORTNAME$@REALM is not available

# ldap_sasl_authid = host/[email protected]

ad.example.comad.example.comとserver.ad.example.comserver.ad.example.comを対応する値で置き換えます。詳しくは、『sssd-ad(5) - Linux man page』を参照してください。

ファイルの所有権およびアクセス権をsssd.confで設定します。

chown root:root /etc/sssd/sssd.conf

chmod 0600 /etc/sssd/sssd.conf

restorecon /etc/sssd/sssd.conf

RHEL/Cent OSRHEL/Cent OS

authconfigを使用してSSSDを有効にし、oddjob-mkhomediroddjob-mkhomedirをインストールしてホームディレクトリの作成がSELinuxと連携するようにします。

http://linux.die.net/man/5/sssd-ad


authconfig --enablesssd --enablesssdauth --enablemkhomedir –-update

sudo service sssd start

sudo chkconfig sssd on

Linux VDAで使用できるようにKerberosが正しく構成されていることを確認するには、次のコマンドによって、システムのkeyt abkeyt abファイルが作成済みでkeytabファイルに有効なキーが含まれていることを確認します。

sudo klist -ke

このコマンドにより、プリンシパル名と暗号スイートのさまざまな組み合わせに対して使用できるキーの一覧が表示されます。Kerberosのkinitkinitコマンドを実行し、これらのキーを使用して、マシンをドメインコントローラーに対して認証します。

sudo kinit –k MACHINE\$@REALM

マシン名と領域名は大文字で指定し、ドル記号（$$）はシェルによる置き換えを防ぐためにバックスラッシュ（\\）でエスケープする必要があります。環境によっては、DNSドメイン名がKerberos領域名と異なります。したがって、必ず領域名を使用します。このコマンドが成功すると、出力は表示されません。


sudo klist


get entget entコマンドを使用して、ログオン形式がサポートされていること、およびNSSが機能するかどうかを確認します。

sudo getent passwd DOMAIN\\username

DOMAINDOMAINパラメーターは短い形式のドメイン名です。Citrix Receiverから別のログオン形式が必要な場合は、まずget entget entコマンドを使用して確認します。

サポートされているログオン形式は次のとおりです。

ダウンレベルログオン名：DOMAIN\username

UPN： [email protected]

NetBIOSサフィックス形式：username@DOMAIN

SSSD PAMモジュールが正しく構成されていることを確認するには、次のように、以前にマシンにログオンしたことがないドメインユーザーアカウントを使用してローカルでログオンします。

sudo ssh localhost –l DOMAIN\\username

id -u

次のコマンドによって返されたUIDUIDに対応するKerberos資格情報キャッシュファイルが作成されたことを確認します。

ls /tmp/krb5cc_{uid}

次のコマンドで、ユーザーのKerberos資格情報キャッシュのチケットが有効で、期限切れではないことを確認します。

klist

mailto:[email protected]


NVIDIA GRIDNVIDIA GRIDドライバーのインストールドライバーのインストール

HDX 3D Proを有効にするには、ハイパーバイザーおよびVDAマシンに必要なグラフィックドライバーをインストールするために、追加のインストール手順が必要です。

次のオプションを構成します。

1. Citrix XenServer

2. VMware ESX

選択したハイパーバイザーに対応する手順に従います。

Cit rix XenServerCit rix XenServer

この詳しいセクションでは、Citrix XenServer上でのNVIDIA GRIDドライバーのインストールおよび構成の概略について説明します。

VMware ESXVMware ESX

このガイドに掲載されている情報に従って、VMware ESX用のNVIDIA GRIDドライバーをインストールし、構成します。

VDAVDAマシンマシン

以下の手順に従って、Linux仮想マシンゲストのそれぞれに対してドライバーをインストールし、構成します。

1. 開始する前に、Linux仮想マシンがシャットダウンされていることを確認します。2. XenCenterで、GPUパススルーモードのGPUを仮想マシンに追加します。3. RHEL仮想マシンを起動します。

NVIDIA GRIDドライバー用にマシンを準備するには、次の手順が必要です。

yum install gcc

yum install "kernel-devel-uname-r == $(uname -r)"

systemctl set-default multi-user.target

完了したら、Red Hat Enterprise Linuxのドキュメントの手順に従って、NVIDIA GRIDドライバーをインストールします。

注意GPUドライバーのインストール時は、すべての質問でデフォルト（「いいえ」）を選択してください。

http://docs.citrix.com/content/dam/docs/en-us/xenserver/xenserver-65/xenserver65sp1_configuring_graphics.pdf

https://www.vmware.com/files/pdf/products/horizon/grid-vgpu-deployment-guide.pdf

https://access.redhat.com/solutions/1155663


ImportantGPUパススルーが有効になると、XenCenterを介してLinux VMにアクセスできなくなります。したがって、接続するにはSSHを使用す

る必要があります。

次のコマンドで、カードに適切な構成を設定します。

etc/X11/ctx-nvidia.sh

高い解像度やマルチモニター機能を利用するには、有効なNVIDIAライセンスが必要です。このライセンスを適用するには、『GRID Licensing Guide.pdf - DU-07757-001 September 2015』の製品ドキュメントに従ってください。

手順4：Linux VDAのインストール

バージョン1.0よりも前のバージョンのLinux VDAがインストールされている場合は、それをアンインストールしてから新しいバージョンをインストールする必要があります。

(a) 次のコマンドで、Linux VDAサービスを停止します。


sudo /sbin/service ctxvda stop

sudo /sbin/service ctxhdx stop

(b) 次のコマンドで、パッケージをアンインストールします。

sudo rpm -e XenDesktopVDA

注意最新およびその直前のバージョンからのアップグレードがサポートされます。

注意バージョン1.3以降、インストールパスは変更されました。以前のリリースでは、インストールコンポーネントは/us r/local//us r/local/に配置されていました。新しい場所は/opt/Citrix/VDA//opt/Citrix/VDA/です。

コマンドを実行するには、フルパスが必要です。代わりに、システムパスに/opt/Citrix/VDA/s bin/opt/Citrix/VDA/s binおよび/opt/Citrix/VDA/bin/opt/Citrix/VDA/bin を

追加することもできます。

CitrixのWebサイトで、使用中のLinuxディストリビューションに応じて適切なLinux VDAパッケージをダウンロードします。

Yumを使用してLinux VDAソフトウェアをインストールします。

RHEL 7 /Cent OS 7RHEL 7 /Cent OS 7の場合：の場合：


sudo yum install -y XenDesktopVDA-7.17.0.420-1.el7_x.x86_64.rpm

RHEL 6/Cent OS 6RHEL 6/Cent OS 6の場合：の場合：


RPM Package Managerを使用して、Linux VDAソフトウェアをインストールします。その前に、次の依存関係を解決する必要があります。


sudo rpm -i XenDesktopVDA-7.17.0.420-1.el7_x.x86_64.rpm


sudo rpm -i XenDesktopVDA-7.17.0.420-1.el6_x.x86_64.rpm

RPMRPM依存関係一覧（依存関係一覧（RHEL 7 /Cent OS 7RHEL 7 /Cent OS 7の場合）：の場合）：

postgresql-server >= 9.2

postgresql-jdbc >= 9.2

java-1.8.0-openjdk >= 1.8.0


ImageMagick >= 6.7.8.9

firewalld >= 0.3.9

policycoreutils-python >= 2.0.83

dbus >= 1.6.12

dbus-x11 >= 1.6.12

xorg-x11-server-utils >= 7.7

xorg-x11-xinit >= 1.3.2

libXpm >= 3.5.10

libXrandr >= 1.4.1

libXtst >= 1.2.2

motif >= 2.3.4

pam >= 1.1.8

util-linux >= 2.23.2

bash >= 4.2

findutils >= 4.5

gawk >= 4.0

sed >= 4.2

cups >= 1.6.0

foomatic-filters >= 4.0.9

openldap >= 2.4

cyrus-sasl >= 2.1

cyrus-sasl-gssapi >= 2.1

libxml2 >= 2.9

python-requests >= 2.6.0

gperftools-libs >= 2.4

xorg-x11-server-Xorg >= 1.17

xorg-x11-server-Xorg < 1.18


rpmlib(FileDigests) <= 4.6.0-1

rpmlib(PayloadFilesHavePrefix) <= 4.0-1

rpmlib(CompressedFileNames) <= 3.0.4-1

rpmlib(PayloadIsXz) <= 5.2-1

注意Linux VDAがサポートするXorgバージョンおよびLinuxディストリビューションについて詳しくは、Citrixの記事CTX221802のマト

リックスを参照してください。

RPMRPM依存関係一覧（依存関係一覧（RHEL 6/Cent OS 6RHEL 6/Cent OS 6の場合）：の場合）：




ImageMagick >= 6.5.4.7

GConf2 >= 2.28.0

system-config-firewall-base >= 1.2.27

policycoreutils-python >= 2.0.83

xorg-x11-server-utils >= 7.7

xorg-x11-xinit >= 1.0.9

ConsoleKit >= 0.4.1

dbus >= 1.2.24

dbus-x11 >= 1.2.24

libXpm >= 3.5.10

libXrandr >= 1.4.1

libXtst >= 1.2.2

https://support.citrix.com/article/CTX221802


openmotif >= 2.3.3

pam >= 1.1.1

util-linux-ng >= 2.17.2

bash >= 4.1

findutils >= 4.4

gawk >= 3.1

sed >= 4.2

cups >= 1.4.0

foomatic >= 4.0.0

openldap >= 2.4

cyrus-sasl >= 2.1


libxml2 >= 2.7


gperftools-libs >= 2.0

xorg-x11-server-Xorg >= 1.17

xorg-x11-server-Xorg < 1.18

rpmlib(FileDigests) <= 4.6.0-1



rpmlib(PayloadIsXz) <= 5.2-1

注意RHEL 7.3にLinux VDAをインストールした後、セッションのシャドウ機能を使用するためにpython-websockifyとx11vncを手動でイン

ストールするには、s udo yum ins ta ll -y python-webs ockify x11vncs udo yum ins ta ll -y python-webs ockify x11vncコマンドを実行する必要があります。詳細については、

「セッションのシャドウ」を参照してください。

http://docs.citrix.com/ja-jp/linux-virtual-delivery-agent/current-release/configuration/session-shadowing.html


yumコマンドでLinux VDAソフトウェアをバージョン7.14や7.13にアップグレードできます。





次のように、RPM Package Managerを使用して、Linux VDAソフトウェアをアップグレードします。


sudo rpm -U XenDesktopVDA-7.17.0.420-1.el7_x.x86_64.rpm


sudo rpm -U XenDesktopVDA-7.17.0.420-1.el6_x.x86_64.rpm

Importantアップグレード後は、Linux VDAマシンを再起動してください。


手順5：Linux VDAの構成

パッケージのインストール後、ctxsetup.shスクリプトを実行して、Linux VDAを構成する必要があります。このスクリプトは、変更を行う前に環境を確認し、すべての依存コンポーネントがインストールされていることが確認されます。必要に応じて、いつでもこのスクリプトを再実行して設定を変更できます。

このスクリプトは、手動で質問に回答しながら、または事前に構成した回答を使用して自動で実行できます。続行する前に、次のコマンドを使用してこのスクリプトのヘルプを確認します。

sudo /opt/Citrix/VDA/sbin/ctxsetup.sh --help

次のようにして、質問に回答する手動構成を実行します。

sudo /opt/Citrix/VDA/sbin/ctxsetup.sh

インストールを自動化するために、環境変数を使用して、セットアップスクリプトで必要となるオプションを指定できます。必要な変数がすべて指定されていると、スクリプトによってユーザーに情報の入力を求めるメッセージが表示されることがなくなります。

サポートされる環境変数には次のようなものがあります。

CT X_XDL_SUPPORT _DDC_AS_CNAMECT X_XDL_SUPPORT _DDC_AS_CNAME = Y | N Y | N – Linux VDAでは、DNS CNAMEレコードを使用して、Delivery

Controller名を指定することができます。デフォルトでNに設定します。CT X_XDL_DDC_LISTCT X_XDL_DDC_LIST = list -ddc-f qdnslist -ddc-f qdns - Linux VDAには、Delivery Controllerの登録に使用するDelivery Controllerの完全修飾ドメイン名（FQDN）のスペース区切りの一覧が必要です。1つまたは複数の完全修飾ドメイン名またはCNAMEエイリアスを指定する必要があります。CT X_XDL_VDA_PORTCT X_XDL_VDA_PORT = port -number port -number – Linux VDAは、TCP/IPポート（デフォルトではポート80）を使用してDelivery

Controllerと通信します。CT X_XDL_REGIST ER_SERVICECT X_XDL_REGIST ER_SERVICE = Y | NY | N - Linux Virtual Desktopサービスは、起動時の開始をサポートします。デフォルトでYに設定します。CT X_XDL_ADD_FIREWALL_RULESCT X_XDL_ADD_FIREWALL_RULES = Y | NY | N – Linux Virtual Desktopサービスでは、ネットワーク受信接続がシステムのファイアウォールの通過を許可されている必要があります。Linux Virtual Desktop用に、システムのファイアウォールの必


要なポート（デフォルトではポート80およびポート1494）を自動で開放できます。デフォルトでYに設定します。CT X_XDL_AD_INT EGRAT IONCT X_XDL_AD_INT EGRAT ION = 1 | 2 | 3 | 4 1 | 2 | 3 | 4 – Linux VDAには、Delivery Controllerに対して認証するためにKerberos

構成設定が必要です。Kerberos構成は、システムにインストールおよび構成済みのActive Directory統合ツールから指定します。次に示す、サポートされているActive Directory統合方法のうち、使用するものを指定します。

1 - Samba Winbind

2 - Quest Authentication Service

3 - Centrify DirectControl

4 - SSSD

CT X_XDL_HDX_3D_PROCT X_XDL_HDX_3D_PRO = Y | NY | N – Linux Virtual Desktopでは、HDX 3D Proがサポートされます。これは、強力なグラフィックアプリケーションの仮想化を最適にするための一連のグラフィックアクセラレーションテクノロジです。HDX 3D

Proをサポートするには、対応するNVIDIA GRIDグラフィックカードをインストールする必要があります。HDX 3D Proを選択した場合、Virtual Delivery AgentはVDIデスクトップ（単一セッション）モード用に構成されます（すなわち、CTX_XDL_VDI_MODE=Yとなります）。これは、SUSEではサポートされていません。必ずこの変数をNに設定してください。CT X_XDL_VDI_MODECT X_XDL_VDI_MODE = Y | NY | N – 専用デスクトップ配信モデル（VDI）またはホストされる共有デスクトップ配信モデルのどちらとしてマシンを構成するかを決定します。HDX 3D Pro環境では、この変数をYに設定します。デフォルトではNに設定されています。CT X_XDL_SIT E_NAMECT X_XDL_SIT E_NAME = dns-namedns-name – Linux VDAは、DNSを使用してLDAPサーバーを検出し、LDAPサービスレコードを照会します。DNSの検索結果をローカルサイトに制限するには、DNSサイト名を指定します。この変数は、デフォルトで空（none）です。CT X_XDL_LDAP_LISTCT X_XDL_LDAP_LIST = list -ldap-serverslist -ldap-servers – Linux VDAは、デフォルトではDNSを照会してLDAPサーバーを検出します。ただし、DNSがLDAPサービスレコードを提供できない場合は、LDAPの完全修飾ドメイン名（FQDN）およびLDAP

ポートのスペース区切りの一覧（例：ad1.mycompany.com:389）を指定できます。この変数は、デフォルトで空（none）です。CT X_XDL_SEARCH_BASECT X_XDL_SEARCH_BASE = search-basesearch-base - Linux VDAは、デフォルトではActive Directoryドメインのルート（例：DC=mycompany,DC=com）に設定された検索ベースを使用してLDAPを照会します。ただし、検索のパフォーマンスを改善するために検索ベースを指定できます（例：OU=VDI,DC=mycompany,DC=com）。この変数は、デフォルトで空（none）です。CT X_XDL_ST ART _SERVICECT X_XDL_ST ART _SERVICE = Y | NY | N - Linux VDA構成の完了時にLinux VDAサービスが開始されるようにするかどうかを指定します。デフォルトでYに設定します。

次のようにして、環境変数を設定し、構成スクリプトを実行します。


export CTX_XDL_SUPPORT_DDC_AS_CNAME=Y|N



export CTX_XDL_REGISTER_SERVICE=Y|N

export CTX_XDL_ADD_FIREWALL_RULES=Y|N

export CTX_XDL_AD_INTEGRATION=1|2|3|4

export CTX_XDL_HDX_3D_PRO=Y|N

export CTX_XDL_VDI_MODE=Y|N

export CTX_XDL_SITE_NAME=dns-name

export CTX_XDL_LDAP_LIST=list-ldap-servers

export CTX_XDL_SEARCH_BASE=search-base

export CTX_XDL_START_SERVICE=Y|N

sudo -E /opt/Citrix/VDA/sbin/ctxsetup.sh

sudoに-E-Eオプションを指定し、作成する新しいシェルに既存の環境変数を渡す必要があります。Citrixは、最初の行として#!/bin/bash#!/bin/bashを記述し、上記のコマンドからなるシェルスクリプトファイルを作成することをお勧めします。



sudo CTX_XDL_SUPPORT_DDC_AS_CNAME=Y|N \

CTX_XDL_DDC_LIST=list-ddc-fqdns \

CTX_XDL_VDA_PORT=port-number \

CTX_XDL_REGISTER_SERVICE=Y|N \

CTX_XDL_ADD_FIREWALL_RULES=Y|N \

CTX_XDL_AD_INTEGRATION=1|2|3|4 \

CTX_XDL_HDX_3D_PRO=Y|N \

CTX_XDL_VDI_MODE=Y|N \

CTX_XDL_SITE_NAME=dns-name \

CTX_XDL_LDAP_LIST=list-ldap-servers \

CTX_XDL_SEARCH_BASE=search-base \

CTX_XDL_START_SERVICE=Y|N \

/opt/Citrix/VDA/sbin/ctxsetup.sh

シナリオによっては、Linux VDAパッケージをアンインストールしないで、ct xset up.shct xset up.shスクリプトによって行われた構成変更を削除することが必要となる場合があります。

続行する前に、次のコマンドを使用してこのスクリプトのヘルプを確認します。

sudo /opt/Citrix/VDA/sbin/ctxcleanup.sh --help


構成変更を削除するには、次のコマンドを実行します。

sudo /opt/Citrix/VDA/sbin/ctxcleanup.sh

Importantこのスクリプトにより、すべての構成データがデータベースから削除され、Linux VDAを操作できなくなります。

ct xset up.shct xset up.shおよびct xcleanup.shct xcleanup.shスクリプトでは、コンソールにエラーが表示され、構成ログファイル/t mp/xdl.configure.log/t mp/xdl.configure.logに追加情報が書き込まれます。

Linux VDAサービスを再起動し、変更を反映させます。

手順6：Linux VDAの実行

ct xset up.shct xset up.shスクリプトを使用してLinux VDAを構成したら、次のコマンドを使用してLinux VDAを制御します。

Linux VDALinux VDAの起動の起動

Linux VDAサービスを起動するには、次のコマンドを実行します。

sudo /sbin/service ctxhdx start

sudo /sbin/service ctxvda start

Linux VDALinux VDAの停止の停止

Linux VDAサービスを停止するには、次のコマンドを実行します。




Linux VDALinux VDAの再起動の再起動

Linux VDAサービスを再起動するには、次のコマンドを実行します。


sudo /sbin/service ctxhdx restart


Linux VDALinux VDAの状態の確認の状態の確認

Linux VDAサービスの実行状態を確認するには、次のコマンドを実行します。

sudo /sbin/service ctxvda status

sudo /sbin/service ctxhdx status

手順7：XenAppまたはXenDesktopでマシンカタログを作成

マシンカタログを作成し、Linux VDAマシンを追加する手順は、従来のWindows VDAでの方法とほとんど同じです。このタスクを完了する方法の説明について詳しくは、「マシンカタログの作成」および「マシンカタログの管理」を参照してください。

次のように、Linux VDAマシンを含むマシンカタログの作成にはいくつかの制約があるため、Windows VDAマシンのマシンカタログの作成手順と異なる点があります。

http://docs.citrix.com/ja-jp/xenapp-and-xendesktop/current-release/install-configure/machine-catalogs-create.html

http://docs.citrix.com/ja-jp/xenapp-and-xendesktop/current-release/install-configure/machine-catalogs-manage.html


オペレーティングシステムには、次を選択します。ホストされる共有デスクトップ配信モデルの場合、［サーバーOS］オプション

VDI専用デスクトップ配信モデルの場合、［デスクトップOS］オプションマシンが電源管理を行わない設定になっていることを確認します。MCSはLinux VDAではサポートされないため、PVSまたは他のサービスまたはテクノロジ他のサービスまたはテクノロジ（既存のイメージ）の展開方法を選択してください。同じマシンカタログで、Linux VDAマシンとWindows VDAマシンを混在させないでください。

注意Citrix Studioの以前のバージョンは、「Linux OS」という概念をサポートしていませんでした。ただし、［WindowsサーバーOS］オ

プションまたは［サーバーOS］オプションを選択すると、同等のホストされる共有デスクトップ配信モデルが暗黙的に選択されま

す。［WindowsデスクトップOS］オプションまたは［デスクトップOS］オプションを選択すると、XenDesktopのマシンごとに単

一ユーザーの配信モデルが暗黙的に選択されます。

ヒントマシンがActive Directoryドメインから削除された後に再度追加された場合は、そのマシンをマシンカタログから削除してから再度追

加する必要があります。

手順8：XenAppまたはXenDesktopでデリバリーグループを作成

デリバリーグループを作成し、Linux VDAマシンを含むマシンカタログを追加する手順は、Windows VDAマシンの場合とほとんど同じです。このタスクを完了する方法の詳細な説明については、「デリバリーグループの作成」を参照してください。

Linux VDAマシンカタログを含むデリバリーグループを作成する場合は、次の制約があります。

配信の種類には、デスクトップまたはアプリケーションを選択します。選択するADユーザーおよびグループを、Linux VDAマシンにログオンするように適切に構成しておきます。認証されていない（匿名）ユーザーのログオンを許可しないでください。Windowsマシンを含むマシンカタログをデリバリーグループで混在させないでください。

Importantアプリケーションの公開はLinux VDAバージョン1.4以降でサポートされています。ただし、同一マシンへのデスクトップおよびアプ

リの配信は、Linux VDAでサポートされていません。

マシンカタログおよびデリバリーグループの作成方法について詳しくは、「XenAppおよびXenDesktop 7.17」を参照してください。

http://docs.citrix.com/ja-jp/provisioning/7-15.html

http://docs.citrix.com/ja-jp/xenapp-and-xendesktop/current-release/install-configure/delivery-groups-create.html

http://docs.citrix.com/ja-jp/xenapp-and-xendesktop/current-release.html


Linux Virtual Delivery Agent for SUSEのインストール

Feb 26, 2018



手順1：インストールの準備

SUSE Linux Enterprise YaSTツールを使用して、オペレーティングシステムのすべての要素を構成します。

テキストベースのYaSTツールを起動する方法

su -

yast

代わりに、UIベースのYaSTツールを起動する方法

su -

yast2 &

以降のセクションでは、Linux VDAで使用するさまざまなネットワーク設定およびサービスの構成方法に関する情報について説明します。ネットワークの構成は、Network Managerなどの他の方法ではなく、YaSTツールで実行する必要があります。次の手順は、UIベースのYaSTツールを使用することが前提となっています。テキストベースのYaSTツールも使用できますが、ナビゲーション方法が異なり、ここでは説明していません。

ホスト名とDNSの構成



1. YaSTの［ネットワーク設定］を開きます。2. SLED 12のみ：［グローバルオプション］［グローバルオプション］タブで、［ネットワークのセットアップ方法］［ネットワークのセットアップ方法］を［［WickedWickedサービス］サービス］に変更します。

3. ［ホスト名［ホスト名/DNS/DNS］］タブを開きます。4. ［［DHCPDHCPでホスト名を変更する］でホスト名を変更する］チェックボックスをオフにします。5. ［ホスト名をループバック［ホスト名をループバックIPIPに割り当てる］に割り当てる］チェックボックスをオンにします。6. 以下を編集してネットワーク設定に反映させます。

ホスト名 – マシンのDNSホスト名を追加します。ドメイン名 – マシンのDNSドメイン名を追加します。ネームサーバー – DNSサーバーのIPアドレスを追加します。通常はADドメインコントローラーのIPアドレスです。［ドメイン検索］一覧 – DNSドメイン名を追加します。

注意Linux VDAは現在、NetBIOS名の切り捨てをサポートしていません。したがって、ホスト名は15文字以内である必要があります。




マルチキャストDNSの無効化

SLEDでのみ、デフォルトの設定でマルチキャストDNS（mDNS）が有効であるため、名前解決の結果に不整合が発生する場合があります。SLESの場合、mDNSはデフォルトでは有効化されていないため、特に操作を行う必要はありません。

mDNSを無効にするには、/et c/nsswit ch.conf/et c/nsswit ch.confを編集して、以下を含む行を変更します。

hosts: files mdns_minimal [NOTFOUND=return] dns

目的：

hosts: files dns


ホスト名の確認


hostname

これにより、そのマシンの完全修飾ドメイン名（FQDN）ではなく、そのホスト名のみが返されます。


hostname -f

これにより、そのマシンの完全修飾ドメイン名が返されます。

名前解決とサービス到達可能性の確認

次のコマンドで、完全修飾ドメイン名が解決できることと、ドメインコントローラーとXenDesktop Delivery Controllerからpingに応答があることを確認します。





完全修飾ドメイン名を解決できない、またはこれらのマシンのいずれかからpingに応答がない場合は、手順を確認してから次に進んでください。


VDA、Delivery Controller、ドメインコントローラーの間で正確な時刻同期を維持することは重要です。仮想マシンとしてLinux VDAをホストすると、時刻が不正確になる問題が発生する可能性があります。したがって、リモートNTPサービスを使用して時刻を維持することをお勧めします。次のように、デフォルトNTP設定にいくつかの変更が必要な場合があります。

1. YaSTの［NTP環境設定］を開いて、［一般的な設定］［一般的な設定］タブをクリックします。2. ［NTPデーモンを起動する］セクションで、［今すぐ開始し、システム起動時に開始するよう設定］［今すぐ開始し、システム起動時に開始するよう設定］をクリックします。3. 表示されている場合は、［［Undisciplined Local Clock (LOCAL)Undisciplined Local Clock (LOCAL)］］項目を選択し、［削除］［削除］をクリックします。4. ［追加］［追加］をクリックして、NTPサーバーのエントリを追加します。5. ［［Server T ypeServer T ype］］を選択して、［次へ］［次へ］をクリックします。6. ［アドレス］フィールドに、NTPサーバーのDNS名を入力します。このサービスは、通常Active Directoryドメインコントローラーでホストされます。

7. ［オプション］フィールドは変更しません。8. ［テスト］［テスト］をクリックして、NTPサービスに到達できるかどうかを確認します。9. 一連のウィンドウで［［OKOK］］をクリックして、変更を保存します。

注意SLES 12の実装でNTPデーモンが起動に失敗する場合は、AppArmorポリシーに関するSUSEの既知の問題が原因となっている可能性が

あります。詳細については、解決方法に従ってください。

SUSE Linux Enterprise用のLinux VDAソフトウェアは、次のパッケージに依存しています。

PostgreSQL

SLED/SLES 12：バージョン9.3以降OpenJDK 1.7.0

OpenMotif Runtime Environment 2.3.1以降CUPS

SLED/SLES 12：バージョン1.6.0以降Foomaticフィルター

SLED/SLES 12：バージョン1.0.0以降ImageMagick

SLED/SLES 12：バージョン6.8以降

リポジトリの追加

次のように、必要なパッケージの中には、一部のSUSE Linux Enterpriseリポジトリでは入手できないものがあります。

SLED 12： PostgreSQLは、SLES 12では入手できますが、SLED 12では入手できません。ImageMagickは、SLE 12 SDK ISO

またはオンラインリポジトリから入手できます。SLES 12：問題はありません。すべてのパッケージを入手できます。ImageMagickは、SLE 12 SDK ISOまたはオンラインリポジトリから入手できます。

この解決策として推奨されるのは、インストール元となるSLEの代替エディションのメディアから、不足しているパッケージを取得する方法です。すなわち、SLEDで不足しているパッケージをSLESメディアからインストールし、SLESで不足しているパッケージをSLEDメディアからインストールします。次に説明する方法では、SLEDおよびSLESのISOメディアファイルを両方ともマウントして、リポジトリを追加します。

https://www.suse.com/support/kb/doc.php?id=7015867


SLED 12

sudo mkdir -p /mnt/sles

sudo mount -t iso9660 \

path-to-iso/SLES-12-SP3-DVD-x86_64-GM-DVD1.iso /mnt/sles

sudo zypper ar -f /mnt/sles sles

SLED/SLES 12

sudo mkdir -p /mnt/sdk

sudo mount -t iso9660 \

path-to-iso/SLE-12-SP3-SDK-DVD-x86_64-GM-DVD1.iso /mnt/sdk

sudo zypper ar -f /mnt/sdk sdk

Kerberosクライアントのインストール

次のコマンドで、Linux VDAとDelivery Controller間の相互認証用にKerberosクライアントをインストールします。

sudo zypper install krb5-client

Kerberosクライアントの構成は、使用するActive Directory統合の方法によって異なります。この点については後で説明します。

OpenJDKのインストール

OpenJDK 1.7.0に依存するLinux VDA

ヒント問題を回避するには、必ずOpenJDKバージョン1.7.0のみをインストールしておきます。その他のバージョンのJavaは、システムから

すべて削除します。

SLED

SLEDでは、Java Runtime Environmentは通常オペレーティングシステムとともにインストールされています。次のコマンドで、インストールされているか確認してください。

sudo zypper info java-1_7_0-openjdk

ステータスがout-of-dateであると報告された場合は、次のようにして最新バージョンに更新します。

sudo zypper update java-1_7_0-openjdk


次のコマンドで、Javaのバージョンを確認します。

java -version

SLES

SLESでは、次のようにしてJava Runtime Environmentをインストールします。

sudo zypper install java-1_7_0-openjdk

次のコマンドで、Javaのバージョンを確認します。

java -version

PostgreSQLのインストール

SLED/SLES 12

次のコマンドで、パッケージをインストールします。

sudo zypper install postgresql-init

sudo zypper install postgresql-server

sudo zypper install postgresql-jdbc

データベースサービスを初期化し、起動時にPostgreSQLが確実に開始するようにするには、次に示すインストール後の手順が必要です。

sudo systemctl enable postgresql

sudo systemctl restart postgresql

データベースファイルは、/var/lib/pgsql/dataに配置されます。

リポジトリの削除

依存するパッケージがインストールされると、以前にセットアップした代替エディションのリポジトリを削除し、メディアをマウント解除することができます。

SLED 12

次のパッケージを削除します。

sudo zypper rr sles

sudo umount /mnt/sles

sudo rmdir /mnt/sles

SLED/SLES 12

次のパッケージを削除します。

sudo zypper rr sdk


sudo umount /mnt/sdk

sudo rmdir /mnt/sdk

手順2：ハイパーバイザー用Linux仮想マシンの準備


XenServerの時刻同期機能が有効な場合、それぞれの準仮想化Linux仮想マシンで、NTPとXenServerの両方がシステムの時刻を管理しようとすることが原因となり問題が発生します。システムの時刻と他のサーバーの時刻との同期が失われるのを防ぐには、各Linuxゲストのシステムの時刻がNTPと同期する必要があります。この状態にするには、ホストの時刻同期を無効にする必要があります。HVMモードでは、変更は必要ありません。


su -




/proc/sys/xen/indepent _wallclock/proc/sys/xen/indepent _wallclockファイルが存在しない場合、以降の手順は不要です。



この変更を永続化し、再起動後も保持するには、/et c/sysct l.conf /et c/sysct l.conf ファイルを編集して、次の行を追加します。




reboot

再起動後、次のようにしてこの変更が正しく設定されているかどうか確認します。

su -



Hyper-V Linux統合サービスがインストールされたLinux仮想ホストでは、Hyper-Vの時刻同期機能を活用してホストオペレーティングシステムの時間を利用できます。システムの時間を正確な状態で維持するには、NTPサービスとともにこの機能を有効にする必要があります。


1. Hyper-Vマネージャーコンソールを開きます。2. Linux仮想マシンの設定で、［統合サービス］［統合サービス］を選択します。3. ［時刻の同期］［時刻の同期］が選択されていることを確認します。




VMwareの時刻同期機能が有効な場合、それぞれの準仮想化Linux仮想マシンで、NTPとハイパーバイザーの両方がシステムの時間を同期しようとすることが原因となり問題が発生します。システムの時刻と他のサーバーの時刻との同期が失われるのを防ぐには、各Linuxゲストのシステムの時刻がNTPと同期する必要があります。この状態にするには、ホストの時刻同期を無効にする必要があります。


1. vSphere Clientを開きます。2. Linux仮想マシンの設定を編集します。3. ［仮想マシンのプロパティ］［仮想マシンのプロパティ］ダイアログボックスで、［オプション］［オプション］タブをクリックします。4. ［［VMware T oolsVMware T ools］］を選択します。5. ［詳細］［詳細］ボックスで、［ホストとゲスト時刻を同期］［ホストとゲスト時刻を同期］チェックボックスをオフにします。

手順3：Linux仮想マシン（VM）をWindowsドメインに追加


Samba Winbind







1. YaSTの［Windowsドメインメンバーシップ］を開きます。

2. 以下の変更を行います。

［ドメイン/ワークグループ］にActive Directoryドメインの名前またはドメインコントローラーのIPアドレスを設定します。ドメインは必ず大文字で入力します。［Linuxの認証にもSMBの情報を使用する］チェックボックスをオンにします。［ログイン時にホームディレクトリを作成する］チェックボックスをオンにします。［SSH向けのシングルサインオン］チェックボックスをオンにします。［オフライン認証］チェックボックスがオフになっていることを確認します。Linux VDAは、このオプションに対応していません。


3. ［［OKOK］］をクリックします。いくつかのパッケージのインストールを促すメッセージが表示された場合は、［インストー［インストール］ル］をクリックします。

4. ドメインコントローラーが見つかると、ドメインに参加するかどうかを確認するメッセージが表示されます。［はい］［はい］をクリックします。

5. メッセージが表示されたら、コンピューターをドメインに追加する権限を持つドメインユーザーの資格情報を入力し、［［OKOK］］をクリックします。

6. 成功を示すメッセージが表示されます。

7. いくつかのSambaおよびkrb5パッケージのインストールを促すメッセージが表示されたら、［インストール］［インストール］をクリックします。

YaSTにより、これらの変更には一部のサービスの再起動またはマシンの再起動が必要であることが示される場合があります。以下のようにして、マシンの再起動をお勧めします。

su -

reboot

SLED/SLES 12SLED/SLES 12のみ：のみ：KerberosKerberos資格情報キャッシュ名のパッチの適用資格情報キャッシュ名のパッチの適用

SLED/SLES 12では、デフォルトのKerberos資格情報キャッシュ名の指定方法が、従来のFILE:/t mp/krb5cc_% { uid}FILE:/t mp/krb5cc_% { uid}からDIR:/run/user/% { uid} /krb5ccDIR:/run/user/% { uid} /krb5ccに変更されました。Linux VDAはこの新しいDIRによるキャッシュ方法に対応していないため、手動で変更する必要があります。次の設定がない場合は、rootとして/et c/krb5.conf/et c/krb5.confを編集して、[libdef ault s][libdef ault s]セクションに追加します。

default_ccache_name = FILE:/tmp/krb5cc_%{uid}







sudo net ads info



sudo klist –ke






sudo klist


sudo net ads status


次のように、wbinfoツールを使用して、ドメインユーザーがドメインに対して認証できることを確認します。





id -u



ls /tmp/krb5cc_uid


klist


exit


ドメインコントローラーでのドメインコントローラーでのQuestQuestの構成の構成








Linux VDALinux VDAでのでのQuestQuestの構成の構成



次のようにKerberosチケットの自動更新を有効にして、切断する必要があります。認証（オフラインログオン）は無効にする必要があります。

sudo /opt/quest/bin/vastool configure vas vasd \

auto-ticket-renew-interval 32400

sudo /opt/quest/bin/vastool configure vas vas_auth \

allow-disconnected-auth false

このコマンドにより、更新間隔が9時間（32,400秒）に設定されます。すなわち、チケットのデフォルトの有効期間である10

時間よりも1時間短くなります。Kerberosチケットの有効期間がさらに短いシステムでは、より小さい値をこのパラメーターに設定します。










userは、コンピューターをActive Directoryドメインに追加する権限を持つ任意のドメインユーザーです。domain-nameは、ドメインのDNS名（example.comなど）です。











id -u



ls /tmp/krb5cc_uid




exit



Centrify DirectControl Agentがインストールされている場合、次のようにCentrifyのadjoinadjoinコマンドを使用して、LinuxマシンをActive Directoryドメインに追加します。

su –


useruserパラメーターは、コンピューターをActive Directoryドメインに追加する権限を持つ任意のActive Directoryドメインユーザーです。domain-nameパラメーターは、Linuxマシンを追加するドメインの名前です。




su –

adinfo

Joined t o domainJoined t o domain値が有効であることと、Cent rif yDCCent rif yDC modemodeにconnect edconnect edが返されることを確認します。CentrifyDC

modeがstartingのまま変化しない場合は、Centrifyクライアントにサーバーとの接続の問題、または認証の問題が発生しています。



adinfo –diag


adinfo --test


バージョン1.1よりも前のバージョンのLinux VDAがインストールされている場合は、それをアンインストールしてから新しいバージョンをインストールする必要があります。

(a) 次のコマンドで、Linux VDAサービスを停止します。




(b) 次のコマンドで、パッケージをアンインストールします。

sudo rpm -e XenDesktopVDA

Important最新およびその直前のバージョンからのアップグレードがサポートされます。

注意バージョン1.3以降、インストールパスが変更されます。以前のリリースでは、インストールコンポーネントは/us r/local//us r/local/に配置されていました。新しい場所は/opt/Citrix/VDA//opt/Citrix/VDA/です。

コマンドを実行するには、フルパスが必要です。代わりに、システムパスに/opt/Citrix/VDA/s bin/opt/Citrix/VDA/s binと/opt/Citrix/VDA/bin/opt/Citrix/VDA/binを追加す

ることもできます。


Zypperを使用してLinux VDAソフトウェアをインストールします。

SUSE 12SUSE 12の場合：の場合：


sudo zypper install XenDesktopVDA-7.17.0.420-1.sle12_x.x86_64.rpm

RPM Package Managerを使用して、Linux VDAソフトウェアをインストールします。インストールの前に、まず次の依存関係を無効にする必要があります。


sudo rpm -i XenDesktopVDA-7.17.0.420-1.sle12_x.x86_64.rpm

RPM Package Managerを使用して、Linux VDAソフトウェアをバージョン7.13や7.12にアップグレードできます。


sudo rpm -U XenDesktopVDA-7.17.0.420-1.sle12_x.x86_64.rpm

RPMRPM依存関係一覧（依存関係一覧（SUSE 12SUSE 12の場合）の場合）




ImageMagick >= 6.8

dbus-1 >= 1.8.8


dbus-1 >= 1.8.8

dbus-1-x11 >= 1.8.8

libXpm4 >= 3.5.11

libXrandr2 >= 1.4.2

libXtst6 >= 1.2.2

motif >= 2.3

pam >= 1.1.8

bash >= 4.2

findutils >= 4.5

gawk >= 4.1

sed >= 4.2

cups >= 1.6.0

cups-filters-foomatic-rip >= 1.0.0

openldap2 >= 2.4

cyrus-sasl >= 2.1


libxml2 >= 2.9






rpmlib(PayloadIsLzma) <= 4.4.6-1

libtcmalloc4 >= 2.5

libcap-progs >= 2.22

xorg-x11-server >= 7.6_1.18.3-76.15

Importantアップグレード後は、Linux VDAマシンを再起動してください。

手順5：Linux VDAの構成



sudo /opt/Citrix/VDA/sbin/ctxsetup.sh –help




インストールを自動化するために、環境変数を使用して、セットアップスクリプトで必要となるオプションを指定できます。必要な変数がすべて指定されていると、スクリプトによってユーザーに情報の入力を求めるメッセージが表示されることがなくなります。


CT X_XDL_SUPPORT _DDC_AS_CNAME = Y | NCT X_XDL_SUPPORT _DDC_AS_CNAME = Y | N – Linux VDAでは、DNS CNAMEレコードを使用して、Delivery

Controller名を指定することができます。デフォルトでNに設定します。CT X_XDL_DDC_LIST = list -ddc-f qdnsCT X_XDL_DDC_LIST = list -ddc-f qdns - Linux VDAには、Delivery Controllerの登録に使用するDelivery Controllerの完全修飾ドメイン名（FQDN）のスペース区切りの一覧が必要です。1つまたは複数の完全修飾ドメイン名またはCNAMEエイリアスを指定する必要があります。CT X_XDL_VDA_PORT = port -numberCT X_XDL_VDA_PORT = port -number – Linux VDAは、TCP/IPポート（デフォルトではポート80）を使用してDelivery

Controllerと通信します。CT X_XDL_REGIST ER_SERVICE = Y | NCT X_XDL_REGIST ER_SERVICE = Y | N - Linux Virtual Desktopサービスは、起動時の開始をサポートします。デフォルトでYに設定します。CT X_XDL_ADD_FIREWALL_RULES = Y | NCT X_XDL_ADD_FIREWALL_RULES = Y | N - Linux Virtual Desktopサービスでは、ネットワーク受信接続がシステムのファイアウォールの通過を許可されている必要があります。Linux Virtual Desktop用に、システムのファイアウォールの必要なポート（デフォルトではポート80およびポート1494）を自動で開放できます。デフォルトでYに設定します。CT X_XDL_AD_INT EGRAT ION = 1 | 2 | 3 | 4CT X_XDL_AD_INT EGRAT ION = 1 | 2 | 3 | 4 - Linux VDAには、Delivery Controllerに対して認証するためにKerberos


1 - Samba Winbind



4 - SSSD

CT X_XDL_HDX_3D_PRO= Y | NCT X_XDL_HDX_3D_PRO= Y | N - Linux Virtual Desktopでは、HDX 3D Proがサポートされます。これは、強力なグラフィックアプリケーションの仮想化を最適にするための一連のグラフィックアクセラレーションテクノロジです。HDX 3D

Proをサポートするには、対応するNVIDIA GRIDグラフィックカードをインストールする必要があります。HDX 3D Proを選択した場合、Virtual Delivery AgentはVDIデスクトップ（単一セッション）モード用に構成されます（すなわち、CTX_XDL_VDI_MODE=Yとなります）。これは、SUSEではサポートされていません。必ずこの値をNに設定してください。CT X_XDL_VDI_MODE = Y | NCT X_XDL_VDI_MODE = Y | N – 専用デスクトップ配信モデル（VDI）またはホストされる共有デスクトップ配信モデルのどちらとしてマシンを構成するかを決定します。HDX 3D Pro環境では、この変数をYに設定します。デフォルトではN

に設定されています。CT X_XDL_SIT E_NAME = dns-nameCT X_XDL_SIT E_NAME = dns-name – Linux VDAは、DNSを使用してLDAPサーバーを検出し、LDAPサービスレコードを照会します。DNSの検索結果をローカルサイトに制限するには、DNSサイト名を指定します。この変数は、デフォルトで空（none）です。CT X_XDL_LDAP_LIST = list -ldap-serversCT X_XDL_LDAP_LIST = list -ldap-servers – Linux VDAは、デフォルトではDNSを照会してLDAPサーバーを検出します。ただし、DNSがLDAPサービスレコードを提供できない場合は、LDAPの完全修飾ドメイン名（FQDN）およびLDAP

ポートのスペース区切りの一覧（例：ad1.mycompany.com:389）を指定することができます。この変数は、デフォルトで


空（none）です。CT X_XDL_SEARCH_BASE = search-baseCT X_XDL_SEARCH_BASE = search-base – Linux VDAは、デフォルトではActive Directoryドメインのルート（例：DC=mycompany,DC=com）に設定された検索ベースを使用してLDAPを照会します。ただし、検索のパフォーマンスを改善するために検索ベースを指定できます（例：OU=VDI,DC=mycompany,DC=com）。この変数は、デフォルトで空（none）です。CT X_XDL_ST ART _SERVICE = Y | NCT X_XDL_ST ART _SERVICE = Y | N – Linux VDA構成の完了時にLinux VDAサービスが開始されるようにするかどうかを指定します。デフォルトでYに設定します。

注意現在、HDX 3D ProはSUSEでは使用できません。


















sudo /usr/local/sbin/ctxcleanup.sh --help



sudo /usr/local/sbin/ctxcleanup.sh


ct xset up.shct xset up.shおよびct xcleanup.shct xcleanup.shスクリプトでは、コンソールにエラーが表示され、次の構成ログファイルに追加情報が書き込まれます。

/tmp/xdl.configure.log






sudo /sbin/service ctxhdx start










sudo /sbin/service ctxhdx restart




sudo /sbin/service ctxvda status

sudo /sbin/service ctxhdx status

手順7：XenAppまたはXenDesktopでマシンカタログを作成

マシンカタログを作成し、Linux VDAマシンを追加する手順は、従来のWindows VDAでの方法とほとんど同じです。このタスクを完了する方法の説明について詳しくは、「マシンカタログの作成」および「マシンカタログの管理」を参照してくださ




い。








ヒントマシンがActive Directoryドメインから削除された後に再度追加された場合は、そのマシンをマシンカタログから削除してから再度追加する必要があります。

手順8：XenAppまたはXenDesktopでデリバリーグループを作成



配信の種類には、デスクトップまたはアプリケーションを選択します。選択するADユーザーおよびグループを、Linux VDAマシンにログオンするように適切に構成しておきます。認証されていない（匿名）ユーザーのログオンを許可しないでください。Windowsマシンを含むマシンカタログをデリバリーグループで混在させないでください。

Importantアプリケーションの公開はLinux VDAバージョン1.4以降でサポートされています。ただし、同一マシンへのデスクトップおよびアプ

リの配信は、Linux VDAでサポートされていません。




Linux Virtual Delivery Agent for Ubuntuのインストール

Feb 26, 2018



手順1：Ubuntu for VDAをインストールする準備

Citrixは、続行前にネットワークを接続し、適切に構成することをお勧めします。

マシンのホスト名が確実に正しく報告されるようにするには、/et c/host name/et c/host nameファイルを変更してマシンのホスト名のみを記述します。

host namehost name

マシンのDNSドメイン名と完全修飾ドメイン名が確実に正しく報告されるようにするには、/et c/host s/et c/host sファイルの以下の行を変更し、最初の2つのエントリとして完全修飾ドメイン名とホスト名を記述します。

127.0.0.1 host name-f qdn host namehost name-f qdn host name localhost


127.0.0.1 vda01.example.com vda01 localhost

ファイルの他のエントリから、host name-f qdnhost name-f qdnまたはhost namehost nameに対するその他の参照を削除します。

注意Linux VDAでは現在、NetBIOS名の切り捨てをサポートしていません。したがって、ホスト名は15文字以内である必要があります。







hostname

このコマンドによって、そのマシンの完全修飾ドメイン名（FQDN）ではなく、そのホスト名のみが返されます。


hostname -f

これにより、マシンの完全修飾ドメイン名（FQDN）が返されます。

デフォルトの設定でマルチキャストDNS（mDNSmDNS）が有効であるため、名前解決の結果に不整合が発生する場合があります。

mDNSmDNSを無効にするには、/et c/nsswit ch.conf/et c/nsswit ch.confを編集して、以下を含む行を変更します。

hosts: files mdns_minimal [NOTFOUND=return] dns

目的：

hosts: files dns

次のコマンドで、完全修飾ドメイン名が解決できることと、ドメインコントローラーとXenDesktop Delivery Controllerから


pingに応答があることを確認します。





完全修飾ドメイン名を解決できない、またはこれらのマシンのいずれかからpingに応答がない場合は、手順を確認してから次に進んでください。

VDA、Delivery Controller、ドメインコントローラーの間で正確な時刻同期を維持することは重要です。仮想マシンとしてLinux VDAをホストすると、時刻が不正確になる問題が発生する可能性があります。したがって、リモートのタイムサービスを使用して時刻を維持することをお勧めします。

次のように、chronyをインストールします。

apt-get install chrony

rootとして/et c/chrony/chrony.conf/et c/chrony/chrony.confを編集し、次のように各リモートタイムサーバーに対応するサーバーエントリを追加します。





ループバックIPアドレス、localhost、パブリックサーバーの*.pool.nt p.org*.pool.nt p.orgエントリなど、一覧にあるその他のserverserverまたはpoolpoolエントリを削除します。

変更を保存してから、次のコマンドでChronyデーモンを再起動します。

sudo systemctl restart chrony

Linux VDAはOpenJDKに依存しています。通常、Runtime Environmentは、オペレーティングシステムの一部としてインストールされています。次のコマンドで、インストールされているか確認してください。

sudo apt-get install -y default-jdk

Linux VDAには、Ubuntu 16.04にPostgreSQLバージョン9.xが必要です。

sudo apt-get install -y postgresql

sudo apt-get install -y libpostgresql-jdbc-java

sudo apt-get install -y libxm4


sudo apt-get install -y libsasl2-2

sudo apt-get install -y libsasl2-modules-gssapi-mit

sudo apt-get install -y libldap-2.4-2

sudo apt-get install -y krb5-user

sudo apt-get install -y cups

手順2：ハイパーバイザーの準備


XenServerの時刻同期機能が有効な場合、それぞれの準仮想化Linux仮想マシンで、NTPとXenServerの両方がシステムの時間を管理しようとすることが原因となり問題が発生します。システムの時間と他のサーバーの時間との同期が失われるのを防ぐには、各Linuxゲストのシステムの時間がNTPと同期する必要があります。この場合、ホストの時刻同期を無効にする必要があります。HVMモードでは、変更は必要ありません。


su -





/proc/sys/xen/indepent_wallclockファイルが存在しない場合、以降の手順は不要です。



この変更を永続化し、再起動後も保持するには、/et c/sysct l.conf/et c/sysct l.confファイルファイルを編集して、次の行を追加します。



su -



Hyper-V Linux統合サービスがインストールされたLinux仮想ホストでは、Hyper-Vの時刻同期機能を活用してホストオペレーティングシステムの時間を利用できます。システムの時間を正確な状態で維持するには、NTPサービスとともにこの機能を有効にする必要があります。


1. Hyper-Vマネージャーコンソールを開きます。

2. Linux仮想マシンの設定で、［統合サービス］［統合サービス］を選択します。

3. ［時刻の同期］［時刻の同期］が選択されていることを確認します。




VMwareの時刻同期機能が有効な場合、それぞれの準仮想化Linux仮想マシンで、NTPとハイパーバイザーの両方がシステムの時間を同期しようとすることが原因となり問題が発生します。システムの時間と他のサーバーの時間との同期が失われるのを防ぐには、各Linuxゲストのシステムの時間がNTPと同期する必要があります。この状態にするには、ホストの時刻同期を無効にする必要があります。


1. vSphere Clientを開きます。2. Linux仮想マシンの設定を編集します。3. ［仮想マシンのプロパティ］［仮想マシンのプロパティ］ダイアログボックスで、［オプション］［オプション］タブをクリックします。4. ［［VMware T oolsVMware T ools］］を選択します。5. ［詳細］［詳細］ボックスで、ホストとゲストの［時刻を同期］［時刻を同期］チェックボックスをオフにします。

手順 3: WindowsドメインへのLinux仮想マシン（VM）の追加


Samba Winbind



SSSD



次のようにして、必要なパッケージをインストールまたは更新します。次のようにして、必要なパッケージをインストールまたは更新します。


sudo apt-get install winbind samba libnss-winbind libpam-winbind krb5-config krb5-locales krb5-user

起動時に起動時にWinbindWinbindデーモンが開始するようにするデーモンが開始するようにする

次のコマンドで、起動時にWinbindデーモンが開始するように構成する必要があります。

sudo systemctl enable winbind

KerberosKerberosの構成の構成

rootとして/etc/krb5.confを開き、次を設定します。

[libdefaults]

default_realm = REALM

dns_lookup_kdc = false

[realms]

REALM = {

admin_server = domain-controller-fqdn

kdc = domain-controller-fqdn

}

[domain_realm]

domain-dns-name = REALM

.domain-dns-name = REALM


ここでdomain-dns-namedomain-dns-nameプロパティは、DNSドメイン名（example.comexample.comなど）です。REALMREALMは大文字のKerberos領域名で、EXAMPLE.COMEXAMPLE.COMなどです。

WinbindWinbind認証の構成認証の構成

RHELのauthconfigや、SUSEのyast2のようなツールがUbuntuにないため、手動でWinbindを構成します。

/etc/samba/smb.confを開き、次を設定します。


[global]

workgroup = WORKGROUP

security = ADS

realm = REALM

encrypt passwords = yes

idmap config *:range = 16777216-33554431

winbind trusted domains only = no


winbind refresh tickets = yes

template shell = /bin/bash

WORKGROUPWORKGROUPは、REALMREALMの最初のフィールドです。REALMは大文字のKerberos領域名です。

nsswit chnsswit chの構成の構成

/etc/nsswitch.confを開き、winbindを次の行に追加します。


passwd: compat winbind

group: compat winbind




ここで、REALMは大文字のKerberos領域名で、userはコンピューターをドメインに追加する権限を持つドメインユーザーです。

winbindwinbindを再起動します。を再起動します。

sudo systemctl restart winbind

WinbindWinbind用の用のPAMPAMの構成の構成

次のコマンドを実行して、Winbind NT /Act ive Direct oryWinbind NT /Act ive Direct ory認証認証を確認し、［ログイン時にホームディレクトリを作成す［ログイン時にホームディレクトリを作成する］る］オプションが選択されているようにします。

sudo pam-auth-update

ヒントマシンがドメインに参加済みの場合にのみ、winbindデーモンは実行を続けます。







sudo net ads info



sudo klist -ke






sudo klist


sudo net ads status


次のように、wbinf owbinf oツールを使用して、ドメインユーザーがドメインに対して認証できることを確認します。





id -u



ls /tmp/krb5cc_uid


klist


exit


ヒントユーザー認証に成功しても、ドメインアカウントでログオンした時にデスクトップを表示できない場合、マシンを再起動して再試行

します。









SELinuxSELinuxポリシー適用の回避策ポリシー適用の回避策

デフォルトのRHEL環境では、SELinuxが完全に適用されています。これは、Questが使用するUnixドメインソケットのIPCのメカニズムに干渉し、ドメインユーザーのログオンを妨げます。

ヒントこの問題を回避するさまざまな方法については、こちらを参照してください。

最も簡単な方法は、SELinuxを無効にすることです。rootとして、/et c/selinux/config/et c/selinux/configを編集し、SELinuxSELinux設定を次のとおりに変更します。

SELINUX=disabled

この変更を行うには、次のコマンドで再起動する必要があります。

reboot

Importantこの設定は注意して使用してください。SELinuxポリシーの適用を無効にした後に再度有効にすると、ルートユーザーやその他のロー

カルユーザーであっても、完全にロックアウトされてしまう可能性があります。


次のようにKerberosチケットの自動更新を有効にして、切断する必要があります。認証（オフラインログオン）は無効にする必要があります。



sudo /opt/quest/bin/vastool configure vas vasd auto-ticket-renew-interval 32400

sudo /opt/quest/bin/vastool configure vas vas_auth allow-disconnected-auth false

このコマンドにより、更新間隔が9時間（32,400秒）に設定されます。すなわち、チケットのデフォルトの有効期間である10

時間よりも1時間短くなります。チケットの有効期間がさらに短いシステムでは、より小さい値をこのパラメーターに設定します。









userは、コンピューターをActive Directoryドメインに追加する権限を持つ任意のドメインユーザーです。domain-nameは、ドメインのDNS名（example.comなど）です。












id -u


ls /tmp/krb5cc_uid





exit


Centrify DirectControl Agentがインストールされている場合、次のようにCentrifyのadjoinコマンドを使用して、LinuxマシンをActive Directoryドメインに追加します。

su –


useruserパラメーターは、コンピューターをActive Directoryドメインに追加する権限を持つ任意のActive Directoryドメインユーザーです。domain-namedomain-nameパラメーターは、Linuxマシンを追加するドメインの名前です。



su –

adinfo


Joined t o domainJoined t o domain値が有効であることと、Cent rif yDC mode Cent rif yDC mode にconnect edconnect edが返されることを確認します。CentrifyDC

modeがstartingのまま変化しない場合は、Centrifyクライアントにサーバーとの接続の問題、または認証の問題が発生しています。



adinfo --diag


adinfo --test

KerberosKerberosの構成の構成

KerberosKerberosのインストールのインストール

sudo apt-get install krb5-user

Kerberosを構成するには、/etc/krb5.confをルートとして開き、次を設定します。


[libdefaults]

default_realm = REALM

dns_lookup_kdc = false

[realms]

REALM = {

admin_server = domain-controller-fqdn

kdc = domain-controller-fqdn

}

[domain_realm]

domain-dns-name = REALM

.domain-dns-name = REALM

ここでdomain-dns-nameプロパティは、DNSドメイン名（example.comなど）です。REALMREALMは大文字のKerberos領域名で、EXAMPLE.COMなどです。

ドメインへの参加ドメインへの参加

SSSDを構成して、Active DirectoryをIDプロバイダーおよび認証のKerberosとして使用します。ただし、SSSDでは、ドメイン参加とシステムのkeytabファイルの管理に関するADのクライアント機能が提供されていません。ドメイン参加にはいくつかの方法があります。

adcli

samba

realmd

注意ここでは、adcliadcliおよびs ambas ambaについてのみ説明します。


adcliadcliを使用してドメインに参加させるを使用してドメインに参加させる

adcliadcliのインストールのインストール

必要なパッケージをインストールします。

sudo apt-get install adcli

adcliadcliでドメインに参加させるでドメインに参加させる

次を使用して古いシステムkeytabファイルを削除し、ドメインに参加させます。

su -

rm -rf /etc/krb5.keytab

adcli join domain-dns-name -U user -H hostname-fqdn

useruserは、ドメインにマシンを追加する権限があるドメインユーザーです。host name-f qdnhost name-f qdnは、FQDN形式のマシンのホスト名です。

-H-Hオプションは、adcliがLinux VDAで必要な、host/hostname-fqdn@REALMの形式でSPNを生成するのに必要です。

システムシステムKeyt abKeyt abの検証

adcliadcliツールの機能は限定されているため、マシンがドメインに参加したかをテストする方法は提供しません。システムのkeytabファイルが作成されたかを確認する最適な方法は、次のとおりです。

sudo klist -ket

各キーのタイムスタンプが、マシンがドメインに参加した時刻と一致するかを検証します。

sambasambaを使用してドメインに参加させるを使用してドメインに参加させる


パッケージのインストールパッケージのインストール

sudo apt-get install samba

sambasambaの構成の構成

/etc/samba/smb.confを開き、次を設定します。

[global]

workgroup = WORKGROUP

security = ADS

realm = REALM

client signing = yes

client use spnego = yes


WORKGROUPWORKGROUPは、REALMREALMの最初のフィールドです。REALMは大文字のKerberos領域名です。

sambasambaでドメインに参加させるでドメインに参加させる

ドメインコントローラーがアクセス可能で、コンピューターをドメインに追加する権限を持つWindowsアカウントが必要です。



ここで、REALMREALMは大文字のKerberos領域名で、useruserはコンピューターをドメインに追加する権限を持つドメインユーザーです。

SSSDSSSDのセットアップのセットアップ

必要なパッケージのインストールまたは更新必要なパッケージのインストールまたは更新

必要なSSSDおよび構成パッケージがインストールされていない場合、インストールします。

sudo apt-get install sssd

パッケージが既にインストールされている場合、更新することをお勧めします。

sudo apt-get update sssd

注意Ubuntuのインストールプロセスは、デフォルトで自動的にns s witch.confns s witch.confおよびPAMログインモジュールを構成します。

SSSDSSSDの構成の構成

SSSDデーモンを起動する前に、SSSD構成の変更が必要です。SSSDのバージョンによっては、/et c/sssd/sssd.conf/et c/sssd/sssd.conf構成ファイルがデフォルトでインストールされていません。手動で作成する必要があります。rootとして/et c/sssd/sssd.conf/et c/sssd/sssd.confを作成する、または開いて、次を設定します。

[sssd]

services = nss, pam



domains = domain-dns-name

[domain/domain-dns-name]

id_provider = ad


auth_provider = krb5

krb5_realm = REALM

# Set krb5_renewable_lifetime higher if TGT renew lifetime is longer than 14 days

krb5_renewable_lifetime = 14d

# Set krb5_renew_interval to lower value if TGT ticket lifetime is shorter than 2 hours

krb5_renew_interval = 1h



# This ldap_id_mapping setting is also the default value

ldap_id_mapping = true

override_homedir = /home/%d/%u


ad_gpo_map_remote_interactive = +ctxhdx


注意ldap_id_mappingは、truetrueに設定されるため、SSSD自体がWindows SIDをUnix UIDにマッピングします。設定しない場合、Active

DirectoryがPOSIX拡張を提供できるようにする必要があります（詳しくは、RHELサイトを参照してください）。PAMサービス

（ctxhdx）は、ad_gpo_map_remote_interactiveに追加されます。詳しくは、『SSSD GPO-Based Access Control』を参照してくだ

さい。

ここでdomain-dns-nameプロパティは、DNSドメイン名（example.comなど）です。REALMは大文字のKerberos領域名で、EXAMPLE.COMなどです。NetBIOSドメイン名を構成するための要件はありません。

ヒントこの構成設定について詳しくは、sssd.confおよびsssd-adのページを参照してください。

SSSDデーモンでは、構成ファイルに所有者読み取り権限のみが設定されている必要があります。

sudo chmod 0600 /etc/sssd/sssd.conf

SSSDSSSDデーモンの開始デーモンの開始

SSSDデーモンを開始して、起動時の開始を有効にします。

sudo systemctl start sssd

sudo systemctl enable sssd

PAMPAM構成構成

次のコマンドを実行して、SSS aut hent icat ionSSS aut hent icat ionを確認し、［ログイン時にホームディレクトリを作成する］［ログイン時にホームディレクトリを作成する］オプションが選択されているようにします。

https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Windows_Integration_Guide/ex.sssd-ad-posix.html

https://fedorahosted.org/sssd/wiki/DesignDocs/ActiveDirectoryGPOIntegration


sudo pam-auth-update



adcliadcliを使用したドメインメンバーシップの確認を使用したドメインメンバーシップの確認

次のコマンドを実行して、ドメイン情報を表示します。

sudo adcli info domain-dns-name

sambasambaを使用したドメインメンバーシップの確認を使用したドメインメンバーシップの確認




sudo net ads info




sudo klist -ke





sudo klist


SSSDは、デーモンで直接認証をテストするコマンドラインツールを提供しません。PAM経由でのみ完了できます。

SSSD PAMモジュールが正しく構成されていることを確認するには、次のように、以前にマシンにログオンしたことがないドメインユーザーアカウントを使用してローカルでログオンします。



id -u

klist

exit

ユーザーのklistklistコマンドで返されるKerberosチケットが正しく、期限切れではないことを確認します。

rootとして、上記のid -uid -uコマンドで返されたUIDに対応するチケットキャッシュファイルが作成されたことを確認します。

ls /tmp/krb5cc_uid

KDEまたはGnome Display Managerに直接ログオンすると、同様のテストを実行できます。



次のように、Debian Package Managerを使用して、Linux VDAソフトウェアをインストールします。

sudo dpkg -i xendesktopvda_7.17.0.420-1.ubuntu16.04_amd64.deb

UbuntuのDebian依存関係一覧

postgresql >= 9.5


postgresql >= 9.5

libpostgresql-jdbc-java >= 9.2

default-jdk >= 2:1.8

imagemagick >= 8:6.8.9.9

ufw >= 0.35

ubuntu-desktop >= 1.361

libxrandr2 >= 2:1.5.0

libxtst6 >= 2:1.2.2

libxm4 >= 2.3.4

util-linux >= 2.27.1

bash >= 4.3

findutils >= 4.6.0

sed >= 4.2.2

cups >= 2.1

libldap-2.4-2 >= 2.4.42


libsasl2-modules-gssapi-mit >= 2.1.~


libgoogle-perftools4 >= 2.4~

xserver-xorg-core >= 2:1.18

xserver-xorg-core << 2:1.19

x11vnc>=0.9.13

python-websockify >= 0.6.1

注意Linux VDAがサポートするXorgバージョンおよびLinuxディストリビューションについて詳しくは、Citrixの記事CTX221802のマト

リックスを参照してください。



sudo /opt/Citrix/VDA/sbin/ctxsetup.sh –help





インストールを自動化するために、環境変数を使用して、セットアップスクリプトで必要となるオプションを指定できます。必要な変数がすべて指定されていると、スクリプトによってユーザーに情報の入力を求めるメッセージが表示されることがなくなり、インストール処理をスクリプト化できます。


CT X_XDL_SUPPORT _DDC_AS_CNAMECT X_XDL_SUPPORT _DDC_AS_CNAME = Y | N= Y | N – Linux VDAでは、DNS CNAMEレコードを使用して、Delivery

Controller名を指定できます。デフォルトでNに設定します。CT X_XDL_DDC_LISTCT X_XDL_DDC_LIST = list -ddc-f qdnslist -ddc-f qdns - Linux VDAには、Delivery Controllerの登録に使用するDelivery Controllerの完全修飾ドメイン名（FQDN）のスペース区切りの一覧が必要です。1つまたは複数の完全修飾ドメイン名またはCNAMEエイリアスを指定する必要があります。CT X_XDL_VDA_PORTCT X_XDL_VDA_PORT = port -numberport -number – Linux VDAは、TCP/IPポート（デフォルトではポート80）を使用してDelivery

Controllerと通信します。CT X_XDL_REGIST ER_SERVICECT X_XDL_REGIST ER_SERVICE = Y | NY | N – Linux Virtual Desktopサービスは、起動時の開始をサポートします。デフォルトでYに設定します。CT X_XDL_ADD_FIREWALL_RULESCT X_XDL_ADD_FIREWALL_RULES = Y | NY | N – Linux Virtual Desktopサービスでは、ネットワーク受信接続がシステムのファイアウォールの通過を許可されている必要があります。Linux Virtual Desktop用に、システムのファイアウォールの必要なポート（デフォルトではポート80およびポート1494）を自動で開放できます。デフォルトでYに設定します。CT X_XDL_AD_INT EGRAT IONCT X_XDL_AD_INT EGRAT ION = 1 | 2 | 3 | 4 1 | 2 | 3 | 4 – Linux VDAには、Delivery Controllerに対して認証するためにKerberos


1 - Samba Winbind



4 - SSSD

CT X_XDL_HDX_3D_PROCT X_XDL_HDX_3D_PRO = Y | NY | N – Linux Virtual Desktopでは、HDX 3D Proがサポートされます。これは、強力なグラフィックアプリケーションの仮想化を最適にするための一連のグラフィックアクセラレーションテクノロジです。HDX 3D

Proをサポートするには、対応するNVIDIA GRIDグラフィックカードをインストールする必要があります。HDX 3D Proを選択した場合、Virtual Delivery AgentはVDIデスクトップ（単一セッション）モード用に構成されます（すなわち、CTX_XDL_VDI_MODE=Yとなります）。

CT X_XDL_VDI_MODECT X_XDL_VDI_MODE = Y | NY | N – 専用デスクトップ配信モデル（VDI）またはホストされる共有デスクトップ配信モデルのどちらとしてマシンを構成するかを決定します。HDX 3D Pro環境では、この変数をYに設定します。デフォルトではNに設定されています。CT X_XDL_SIT E_NAMECT X_XDL_SIT E_NAME = dns-namedns-name – Linux VDAは、DNSを使用してLDAPサーバーを検出し、LDAPサービスレコードを照会します。DNSの検索結果をローカルサイトに制限するには、DNSサイト名を指定します。この変数は、デフォルトで空（none）です。


CT X_XDL_LDAP_LISTCT X_XDL_LDAP_LIST = list -ldap-serverslist -ldap-servers – Linux VDAは、デフォルトではDNSを照会してLDAPサーバーを検出します。ただし、DNSがLDAPサービスレコードを提供できない場合は、LDAPの完全修飾ドメイン名（FQDN）およびLDAP

ポートのスペース区切りの一覧（例：ad1.mycompany.com:389）を指定できます。この変数は、デフォルトで空（none）です。CT X_XDL_SEARCH_BASECT X_XDL_SEARCH_BASE = search-basesearch-base - Linux VDAは、デフォルトではActive Directoryドメインのルート（例：DC=mycompany,DC=com）に設定された検索ベースを使用してLDAPを照会します。ただし、検索のパフォーマンスを改善するために検索ベースを指定できます（例：OU=VDI,DC=mycompany,DC=com）。この変数は、デフォルトで空（none）です。CT X_XDL_ST ART _SERVICECT X_XDL_ST ART _SERVICE = Y | NY | N – Linux VDA構成の完了時にLinux VDAサービスが開始されるようにするかどうかを指定します。デフォルトでYに設定します。


















sudo /opt/Citrix/VDA/sbin/ctxcleanup.sh --help



sudo /opt/Citrix/VDA/sbin/ctxcleanup.sh


ct xset up.shct xset up.shおよびct xcleanup.shct xcleanup.shスクリプトでは、コンソールにエラーが表示され、構成ログファイル/t mp/xdl.configure.log/t mp/xdl.configure.logに追加情報が書き込まれます。


Linux VDALinux VDAのインストール状態の照会のインストール状態の照会

Linux VDAがインストールされているかどうかを確認したり、インストールされているパッケージのバージョンを表示するには、次のコマンドを実行します。

dpkg -l xendesktopvda

詳細を表示するには、次のコマンドを実行します。

apt-cache show xendesktopvda

注意Linux VDAソフトウェアをアンインストールすると、関連付けられたPostgreSQLおよびその他の構成データが削除されます。ただ

し、Linux VDAのインストールより前にセットアップされた、PostgreSQLパッケージおよびその他の依存するパッケージは削除され

ません。


ヒントこのセクションでは、PostgreSQLなど、依存するパッケージの削除方法については説明していません。





sudo systemctl start ctxhdx

sudo systemctl start ctxvda



sudo systemctl stop ctxvda

sudo systemctl stop ctxhdx




sudo systemctl stop ctxvda

sudo systemctl restart ctxhdx

sudo systemctl restart ctxvda



sudo systemctl status ctxvda

sudo systemctl status ctxhdx

手順6: XenAppまたはXenDesktopでマシンカタログを作成

マシンカタログを作成し、Linux VDAマシンを追加する手順は、従来のWindows VDAでの方法とほとんど同じです。このタスクを完了する方法の説明について詳しくは、「マシンカタログの作成」および「マシンカタログの管理」を参照してください。












ヒントマシンがActive Directoryドメインから削除された後に再度追加された場合は、そのマシンをマシンカタログから削除してから再度追加する必要があります。

手順7： XenAppまたはXenDesktopでデリバリーグループを作成



配信の種類には、［デスクトップ］［デスクトップ］を選択します。Linux VDA for Ubuntuでは、アプリケーション配信はサポートされていません。選択するADユーザーおよびグループを、Linux VDAマシンにログオンするように適切に構成しておきます。認証されていない（匿名）ユーザーのログオンを許可しないでください。Windowsマシンを含むマシンカタログをデリバリーグループで混在させないでください。





Linux VDAの構成

Feb 26, 2018

この章では、機能の説明、構成、トラブルシューティングなど、Linux VDAの機能について詳しく説明します。


NISのActive Directoryとの統合

Feb 26, 2018

このトピックでは、SSSDを使用して、NISをLinux VDAのWindows Active Directory（AD）と統合する方法について説明します。Linux VDAは、Citrix XenAppおよびXenDesktopのコンポーネントと考えられています。そのためLinux VDAは、Windows

AD環境に密接に結びついています。

ADの代わりにNISをUIDおよびGIDプロバイダーとして使用するには、ADとNISでユーザー名とパスワードの組み合わせのアカウント情報を同一にする必要があります。

注意NISを使用した場合も、認証はADサーバーにより行われます。NIS+はサポートされません。NISをUIDおよびGIDプロバイダーとして使

用する場合、WindowsサーバーからのPOSIX属性は使用されません。

ヒントこれは、Linux VDAを展開する方法として廃止済みであるため、特定のユースケースでのみ使用してください。RHEL/CentOSディスト

リビューションについては、こちらの手順に従ってください。Ubuntuディストリビューションについては、こちらの手順に従ってく

ださい。

SSSDSSSDとはとは

SSSDはシステムデーモンです。SSSDの主な機能は、システムにキャッシュとオフラインサポートを提供する共通フレームワークを通じて、リモートリソースの識別および認証のアクセスを提供することです。PAMやNSSモジュールを提供しており、将来的にはD-BUSベースのインターフェイスもサポートして、拡張ユーザー情報に対応する予定です。また、ローカルユーザーアカウントと拡張ユーザー情報を保存するための優れたデータベースを提供します。

必要なソフトウェア

ADプロバイダーは、SSSD Version 1.9.0で初めて導入されました。古いバージョンを使用している場合は、「Configuring the

LDAP provider with AD」の指示に従ってください。

次の環境については、このドキュメントに記載した指示を使用したテストおよび検証を行っています。

RHEL 7.3以降/CentOS 7.3以降Linux VDA Version 1.3以降

NISとADの統合

NISをADと統合するには、次のことを行う必要があります。

1. Linux VDAをNISクライアントとして追加する

http://docs.citrix.com/ja-jp/linux-virtual-delivery-agent/current-release/installation-overview/redhat.html#par_anchortitle_fcd1

http://docs.citrix.com/ja-jp/linux-virtual-delivery-agent/current-release/installation-overview/ubuntu.html#par_anchortitle_1399

https://fedorahosted.org/sssd/wiki/Configuring sssd to authenticate with a Windows 2008 Domain Server

http://docs.citrix.com/ja-jp/linux-virtual-delivery-agent/current-release/configuration/integrate-nis-with-active-directory.html#par_anchortitle_d129


2. ドメインに参加し、Sambaを使用してホストのkeytabを作成する3. SSSDのセットアップ4. NSS/PAMの構成5. Kerberos構成の確認6. ユーザー認証の確認

NISクライアントを構成します。

yum –y install ypbind rpcbind oddjob-mkhomedir

NISドメインを設定します。

ypdomainname nis.domain

echo "NISDOMAIN=nis.domain" >> /etc/sysconfig/network

NISサーバーとクライアントのIPアドレスを/et c/host s/et c/host sに追加します。

{NIS server IP address} server.nis.domain nis.domain

authconfigでNISを構成します。

sudo authconfig --enablenis --nisdomain=nis.domain --nisserver=server.nis.domain --enablemkhomedir --update

nis.domainnis.domainはNISサーバーのドメイン名、server.nis.domainserver.nis.domainはNISサーバーのホスト名であり、またNISサーバーのIPアドレスでもあります。

http://docs.citrix.com/ja-jp/linux-virtual-delivery-agent/current-release/configuration/integrate-nis-with-active-directory.html#par_anchortitle_c41e

http://docs.citrix.com/ja-jp/linux-virtual-delivery-agent/current-release/configuration/integrate-nis-with-active-directory.html#par_anchortitle_8545

http://docs.citrix.com/ja-jp/linux-virtual-delivery-agent/current-release/configuration/integrate-nis-with-active-directory.html#par_anchortitle_9d5f

http://docs.citrix.com/ja-jp/linux-virtual-delivery-agent/current-release/configuration/integrate-nis-with-active-directory.html#par_anchortitle_7493

http://docs.citrix.com/ja-jp/linux-virtual-delivery-agent/current-release/configuration/integrate-nis-with-active-directory.html#par_anchortitle_ca8b


NISのサービスを設定します。

sudo systemctl start rpcbind ypbind

sudo systemctl enable rpcbind ypbind

NISの構成が正しいことを確認します。

ypwhich

NISサーバーからアカウント情報が使用できることを確認します。

getent passwd nisaccount

注意nis accountnis accountは、NISサーバーの実際のNISアカウントです。UID、GID、ホームディレクトリ、およびログインシェルが正しく設定さ

れていることを確認します。

SSSDでは、ドメイン参加とシステムのkeytabファイルの管理に関するADのクライアント機能が提供されていません。これを取得するには次のような方法があります。

adcli

realmd

winbind

samba

このセクションでは、Sambaによるアプローチについてのみ説明します。realmdrealmdに関しては、RHELまたはCentOSのベンダーのドキュメントを参照してください。SSSDを構成する前に、以下の手順に従う必要があります。


ドメインに参加し、ドメインに参加し、SambaSambaを使用してホストのを使用してホストのkeyt abkeyt abを作成するを作成する

Linuxクライアントで、適切に構成されたファイルを使用します。

/etc/krb5.conf

/etc/samba/smb.conf：

SambaおよびKerberos認証用にマシンを構成します。

sudo authconfig --smbsecurity=ads --smbworkgroup=domain --smbrealm=REALM --krb5realm=REALM --krb5kdc=fqdn-of-domain-controller --update

ここで、REALMREALMは大文字のKerberos領域名で、domaindomainはドメインのNetBIOS名です。



/et c/samba/smb.conf/et c/samba/smb.confを開いて、[Global][Global]セクションに次のエントリを追加します。ただし、追加するのは、aut hconfigaut hconfigツールによって生成されたセクションの後です。


Windowsドメインに参加するには、ドメインコントローラーに到達できることと、コンピューターをドメインに追加する権限を持つADユーザーアカウントが必要です。



ここで、REALMREALMは大文字のKerberos領域名で、userはコンピューターをドメインに追加する権限を持つドメインユーザーです。

SSSDのセットアップは、以下の手順で構成されています。

Linuxクライアントマシンにsssd-adsssd-adパッケージおよびsssd-proxysssd-proxyパッケージをインストールするさまざまなファイルに設定の変更を行う（sssd.confsssd.confなど）SSSDSSSDサービスを開始するサービスを開始する

/et c/sssd/sssd.conf/et c/sssd/sssd.conf

sssd.confsssd.confの設定の例（必要に応じて追加の設定を行うことができます）。

[sssd]


domains = example

services = nss, pam

[domain/example]

# Uncomment if you need offline logins

# cache_credentials = true

re_expression = (((?P<domain>[^\\]+)\\(?P<name>.+$))|((?P<name>[^@]+)@(?P<domain>.+$))|(^(?P<name>[^@\\]+)$))

id_provider = proxy

proxy_lib_name = nis

auth_provider = ad



# Should be specified as the lower-case version of the long version of the Active Directory domain.

ad_domain = ad.example.com

# Kerberos settings



# Uncomment if service discovery is not working

# ad_server = server.ad.example.com

# Comment out if the users have the shell and home dir set on the AD side


fallback_homedir = /home/%d/%u

# Uncomment and adjust if the default principal SHORTNAME$@REALM is not available

# ldap_sasl_authid = host/[email protected]

ad.domain.comad.domain.comとserver.ad.example.comserver.ad.example.comを対応する値で置き換えます。詳しくは、『sssd-ad(5) - Linux man page』を参照

http://linux.die.net/man/5/sssd-ad


してください。

ファイルの所有権およびアクセス権をsssd.confsssd.confで設定します。

chown root:root /etc/sssd/sssd.conf

chmod 0600 /etc/sssd/sssd.conf

restorecon /etc/sssd/sssd.conf

RHEL/Cent OSRHEL/Cent OS

aut hconfigaut hconfigを使用してSSSDを有効にし、oddjob-mkhomediroddjob-mkhomedirをインストールしてホームディレクトリの作成がSELinuxと連携するようにします。

authconfig --enablesssd --enablesssdauth --enablemkhomedir --update

sudo systemctl start sssd

sudo systemctl enable sssd

ヒントLinux VDAの設定を行う時は、SSSDではLinux VDAクライアントの特別な設定がないことを考慮します。ctxs etup.s hctxs etup.s hスクリプトでの

その他の解決方法としては、デフォルト値を使用します。



sudo klist -ke

これにより、プリンシパル名と暗号スイートのさまざまな組み合わせに対して使用できるキーの一覧が表示されます。Kerberosのkinitkinitコマンドを実行し、これらのキーを使用して、マシンをドメインコントローラーに対して認証します。

sudo kinit –k MACHINE\$@REALM



sudo klist -ke

get entget entコマンドを使用して、ログオン形式がサポートされていること、およびNSSが機能するかどうかを確認します。

sudo getent passwd DOMAIN\\username

DOMAINDOMAINパラメーターは短い形式のドメイン名です。Citrix Receiverから別のログオン形式が必要な場合は、まずget entget entコマンドを使用して確認します。

サポートされているログオン形式は次のとおりです。

ダウンレベルログオン名：DOMAIN\username

UPN： [email protected]

NetBIOSサフィックス形式：username@DOMAIN

SSSD PAMモジュールが正しく構成されていることを確認するには、次のように、以前にマシンにログオンしたことがないド

mailto:[email protected]


メインユーザーアカウントを使用してローカルでログオンします。

sudo localhost –l DOMAIN\\username

id -u

次のコマンドによって返されたUIDUIDに対応するKerberos資格情報キャッシュファイルが作成されたことを確認します。

ls /tmp/krb5cc_{uid}


klist


アプリケーションの公開

Feb 26, 2018

Linux VDAバージョン7.13では、シームレスアプリケーション機能がサポート対象のすべてのLinuxプラットフォームに追加されました。この機能を使用するのに特別なインストール手順は不要です。

ヒントLinux VDA Version 1.4では、非シームレスな公開アプリケーションとセッションの共有のサポートが追加されました。詳しくは、「ア

プリケーションの公開」を参照してください。

Citrix Studioを使ってアプリケーションを公開する

デリバリーグループを作成したり、既存のデリバリーグループにアプリケーションを追加したりすると、Linux VDAマシンにインストールしたアプリケーションを公開することができます。このプロセスは、Windows VDAにインストールしたアプリケーションを公開する場合と同様です。詳しくは、XenDesktopの使用バージョンに従って、XenAppおよびXenDesktopのドキュメントを参照してください。

ヒントデリバリーグループの構成では、デリバリーの種類をデスクトップとアプリケーションデスクトップとアプリケーションまたはアプリケーションアプリケーションに設定します。

Importantアプリケーションの公開はLinux VDA Version 1.4以降でサポートされています。ただし、同一マシンへのデスクトップおよびアプリの

配信は、Linux VDAでサポートされていません。この問題に対処するには、アプリおよびデスクトップの配信で個別のデリバリーグルー

プを作成することをお勧めします。

注意シームレスアプリケーションを使用するには、StoreFrontでシームレスモードを無効にしないでください。シームレスモードは、デ

フォルトで有効になっています。既に「TWIMode=Off」を設定して無効にしている場合は、「TWIMode=On」に変更するのではな

く、この設定を削除してください。削除しない場合は、公開デスクトップを起動できないことがあります。


公開アプリケーションの起動に2分以上かかり、シームレスモードでウィドウを表示できない場合があります。この場合、シームレスモードがLinux VDAおよびStoreFrontの両方で有効になっていることを確認してから、上記のすべての構成を完了してい

http://docs.citrix.com/ja-jp/linux-virtual-delivery-agent/1-4/suse/configuring/publish-apps.html



ることを確認してください。

Linux VDAでシームレスモードが有効になっているかどうかを確認するコマンドは次のとおりです。

sudo /opt/Citrix/VDA/bin/ctxreg list -k "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Citrix" | grep "SeamlessEnabled"

「SeamlessEnabled = 0x00000000」と示される場合、シームレスモードは無効です。有効にするには、次のコマンドを実行します。

sudo /opt/Citrix/VDA/bin/ctxreg update -k "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Citrix" -v "SeamlessEnabled" -d "0x00000001"

既知の問題

アプリケーション公開の既知の問題は次のとおりです。

シームレスモードがStoreFrontで無効になっている一方で、Linux VDAでは有効なままの場合は、非シームレスな公開アプリケーションを起動できません。Linux VDAおよびStoreFrontの両方で、シームレスモードを同時に有効または無効にすることをお勧めします。非矩形のウィンドウはサポートされません。ウィンドウの隅にサーバー側の背景が表示されることがあります。ウィンドウの内容を公開アプリケーションからプレビューすることはサポートされていません。

現在、シームレスモードでは次のウィンドウマネージャーをサポートしています。Mutter（CentOS7.3\RHEL7.3\SUSE12.2）、Metacity（CentOS6.9\RHEL6.9\CentOS6.8\RHEL6.8）、およびCompiz（Ubuntu 16.04）。Kwinおよびその他のウィンドウマネージャーはサポートされていません。ウィンドウマネージャーが、サポートされているモードに設定されていることを確認してください。複数のLibreOfficeアプリケーションによって同じプロセスが共有されるため、Citrix Studioには最初に起動したもののみが表示されます。「Dolphin」などの公開されたQt5ベースのアプリケーションについてはアイコンが表示されないことがあります。この問題を解決するには、https://wiki.archlinux.org/index.php/Qt#Configuration_of_Qt5_apps_under_environments_other_than_KDE_Plasmaにある記事を参照してください。同じICAセッション内で実行されている公開アプリケーションのすべてのタスクバーボタンが同じグループに結合されます。この問題を解決するには、タスクバーボタンを結合しないようにタスクバーのプロパティを設定します。

https://wiki.archlinux.org/index.php/Qt#Configuration_of_Qt5_apps_under_environments_other_than_KDE_Plasma


印刷

Feb 26, 2018

ここでは、印刷のベストプラクティスについて説明します。

インストール

Linux VDAには、CUPSCUPSフィルターとFoomat icFoomat icフィルターの両方が必要です。Linuxディストリビューションに基づき、次のコマンドを実行します。

RHEL 7RHEL 7印刷のサポート印刷のサポート

sudo yum –y install cups

sudo yum -y install foomatic-filters

RHEL 6RHEL 6印刷のサポート印刷のサポート

sudo yum –y install cups

sudo yum -y install foomatic

用途

公開デスクトップおよび公開アプリケーションの両方から印刷できます。クライアント側のデフォルトプリンターのみが、Linux VDAセッションに割り当てられます。デスクトップとアプリケーションとで異なるプリンター名にする必要があります。以下に注意してください。

公開デスクトップの場合：CitrixUniversalPrinter:$CLIENT_NAME:dsk$SESSION_ID

公開アプリケーションの場合：CitrixUniversalPrinter:$CLIENT_NAME:app$SESSION_ID


注意同一ユーザーが公開デスクトップと公開アプリケーションの両方を開いた場合は、どちらのプリンターもセッションで使用できま

す。公開アプリケーションのセッション内でのデスクトッププリンターへの印刷、または公開デスクトップでのアプリケーションプ

リンターへの印刷は失敗します。


印刷できない印刷できない

印刷が正しく機能しない場合に確認する項目はいくつかあります。印刷デーモンはセッションごとのプロセスで、実行されるのはセッションの期間中です。印刷デーモンが実行中であることを確認します。

ps –ef | grep ctxlpmngt

ct xlpmngtct xlpmngtプロセスが実行中でない場合は、コマンドラインから手動でct xlpmngtct xlpmngtを起動します。それでも印刷が機能しない場合は、CUPSフレームワークを確認します。ct xcupsct xcupsサービスはプリンター管理用であり、Linux CUPSフレームワークと通信します。これはマシンごとの単一プロセスとなっていて、次のコマンドで確認できます。

service ctxcups status

CUPSCUPS印刷時の追加のログ印刷時の追加のログ

Linux VDAのコンポーネントの1つとして、印刷コンポーネントのログの取得方法はその他のコンポーネントと同様です。

RHELの場合、CUPSサービスファイルの構成には追加の手順が必要です。追加の手順を実行しないと、一部のログがhdx.lohdx.loで記録されません。


sudo service cups stop

sudo vi /etc/systemd/system/printer.target.wants/cups.service

PrivateTmp=false

sudo service cups start

sudo systemctl daemon-reload

注意この構成は、問題が発生した場合に完全な印刷ログを収集することのみを目的としています。通常は、CUPSのセキュリティが破られ

るため、この構成はお勧めしません。

印刷出力が文字化けする印刷出力が文字化けする

出力が文字化けする場合、対応していないプリンタードライバーが原因となっている可能性があります。ユーザーごとのドライバー構成を使用できるため、~ /.Ct xlpProfile$CLIENT _NAME~ /.Ct xlpProfile$CLIENT _NAME構成ファイルを編集して構成できます。

[DEFAULT_PRINTER]

printername=

model=

ppdpath=

drivertype=

Importantprinternameprinternameは、現在クライアント側で通常使うプリンターの名前が指定されているフィールドです。これは読み取り専用の値となっており、編集できません。


ppdpathppdpath、modelmodel、drivertypedrivertypeの各フィールドは、割り当てられたプリンターに対していずれか1つのフィールドしか有効にならな

いため、同時には設定できません。

ユニバーサルプリンタードライバーがクライアントプリンターに対応していない場合、modelmodel=オプションを使用してネイティブプリンタードライバーのモデルを構成します。プリンターの現在のモデル名は、lpinf olpinf oコマンドを使用して表示できます。

lpinfo –m

…

xerox/ph3115.ppd.gz Xerox Phaser 3115, SpliX V. 2.0.0

xerox/ph3115fr.ppd.gz Xerox Phaser 3115, SpliX V. 2.0.0

xerox/ph3115pt.ppd.gz Xerox Phaser 3115, SpliX V. 2.0.0

次のようにして、プリンターに一致するようにモデルを設定できます。

Model=xerox/ph3115.ppd.gz

ユニバーサルプリンタードライバーがクライアントプリンターに対応していない場合、ネイティブプリンタードライバーのppdファイルのパスを構成します。ppdpat hppdpat hの値は、ネイティブプリンタードライバーファイルの絶対パスです。

たとえば、ppdppdドライバードライバーが/home/tester/NATIVE_PRINTER_DRIVER.ppdにある場合は、次のようになります。

ppdpath=/home/tester/NATIVE_PRINTER_DRIVER.ppd

Citrixが提供するユニバーサルプリンタードライバーは3種類（Postscript、pcl5、およびpcl6）です。ネイティブプリンタードライバーが使用できない場合は、これらをドライバーの種類として設定できます。


たとえば、クライアントが通常使うプリンターのドライバーの種類がPCL5である場合は、次のようになります。

drivertype=pcl5

出力サイズが出力サイズが00になるになる

別の種類のプリンターを試します。また、CutePDFやPDFCreatorなどの仮想プリンターを使用して、この問題がプリンタードライバーに関連するものかどうかを確認します。

印刷ジョブは、クライアントが通常使用するプリンターのドライバーによって異なります。現在適用されているドライバーの種類を特定することが重要です。クライアントのプリンターがPCL5ドライバーを使用している一方で、Linux VDAがPostScriptドライバーを選択していると、問題を引き起こします。

プリンタードライバーの種類が正しい場合は、次の手順に従って問題を特定します。

問題を特定する方法：

1. ICAセッションのデスクトップにログオンします。2. vi ~/.CtxlProfile$CLIENT_NAME

3. 次のフィールドをLinux VDAの保存プールファイルに追加します。

deletespoolfile=no

4. いったんログオフしてから、ログオンし直して構成の変更を読み込みます。

5. ドキュメントを印刷して問題を再現します。印刷が完了すると、/var/spool/cups-/var/spool/cups-

ct x/$logon_user/$spool_filect x/$logon_user/$spool_fileにスプールファイルが保存されます。

6. スプールファイルが空であるか確認します。スプールファイルのサイズが0の場合は、これが問題になります。Citrix

サポートに印刷ログを提供して、追加のガイダンスを得てください。

7. スプールファイルのサイズが0でない場合は、ファイルをクライアントにコピーします。スプールファイルの内容は、クライアントが通常使用するプリンタードライバーの種類によって異なります。マップされたプリンターの（ネイティブ）ドライバーがPostScriptである場合、スプールファイルはLinux OSで直接開くことができます。内容が正しいかを確認します。

スプールファイルがPCLの場合、またはクライアントOSがWindowsの場合は、スプールファイルをクライアントにコピーし、クライアント側のプリンターで印刷します。この手順の完了後に、別のプリンタードライバーでテスト印刷します。

8. マップされたプリンターを別のサードパーティ製プリンタードライバーに変更するには、たとえばPostScriptクライア


ントプリンターを使用します。

a. アクティブセッションにログオンして、クライアントデスクトップでブラウザーを開きます。

b. 印刷管理ポータルを開きます。

localhost:631

b. マップされたプリンター［［Cit rixUniversalPrint er:$Client Name:app/dek$SESSION_IDCit rixUniversalPrint er:$Client Name:app/dek$SESSION_ID］］を選択し、［プリ［プリンターの変更］ンターの変更］をクリックします。この操作には管理者権限が必要です。

c. CUPSとCTX間の接続を保持したまま［続行］をクリックし、プリンタードライバーを変更します。

d. ［製造元とモデル］ページで、Citrix UPDドライバーの代わりに他のPostScriptドライバー（Citrix Universal

Driver PostScriptなど）を選択します。たとえば、CUPS-PDF仮想プリンターがインストールされている場合は、［汎用CUPS-PDFプリンター］を選択します。変更を保存します。

e. このプロセスが正常に完了した場合は、ドライバーのppdファイルパスを.Ct xlpProfile$CLIENT _NAME.Ct xlpProfile$CLIENT _NAME内に設定し、マップされたプリンターがこのサードパーティ製ドライバーを使用できるようにします。

既知の問題

Linux VDAを使用した印刷では、次の問題が確認されています。

CT XPSCT XPSドライバーが一部のドライバーが一部のPLCPLCプリンターに対応しないプリンターに対応しない

印刷出力が適切でない場合は、プリンタードライバーを、製造元から提供されたネイティブプリンタードライバーに設定してください。

サイズの大きな文書の印刷が遅いサイズの大きな文書の印刷が遅い

ローカルのクライアントプリンターでサイズの大きな文書を印刷すると、印刷ファイルはサーバーとの接続を介して転送されます。遅い接続では、大きなファイルの転送に時間がかかることがあります。

別のセッションからプリンター通知と印刷ジョブ通知が表示される別のセッションからプリンター通知と印刷ジョブ通知が表示される

Linuxでのセッションの考え方は、Windowsオペレーティングシステムとは異なります。したがって、すべてのユーザーがシステム全体の通知を受け取ります。次のCUPS構成ファイルを変更して、これらの通知を無効にできます。/et c/cups/cupsd.conf/et c/cups/cupsd.conf。

次のように、構成されている現在のポリシー名がこのファイルに記述されています。

Def ault Policy def aultDef ault Policy def ault

ポリシー名がdefaultである場合は、次の行をデフォルトポリシーのXMLブロックに追加します。


<Policy default>

# Job/subscription privacy...

JobPrivateAccess default

JobPrivateValues default

SubscriptionPrivateAccess default

SubscriptionPrivateValues default

… …

<Limit Create-Printer-Subscription>

Require user @OWNER

Order deny,allow

</Limit>

<Limit All>

Order deny,allow

</Limit>

</Policy>


PDF印刷

Feb 26, 2018

PDF印刷に対応したバージョンのCitrix Receiverを使用すると、Linux VDAセッションから変換されたPDFを印刷できます。セッションの印刷ジョブはエンドポイントに送信されます。その後、任意のPDFビューワを使用して開き、任意のプリンターで印刷できます。

PDF印刷機能を使用するには、PDF印刷機能に対応したCitrix Receiverのバージョンを使用する必要があります。PDF印刷機能は、次のバージョンのCitrix Receiverでサポートされます。

Citrix Receiver for HTML5バージョン2.4

Citrix Receiver for Chromeバージョン2.4

構成

上記のバージョンのCitrix Receiverの使用に加えて、Citrix Studioで以下のポリシーを有効にする必要があります。

クライアントプリンターのリダイレクトクライアントプリンターのリダイレクト（デフォルトで有効）PDFPDFユニバーサルプリンターを自動作成するユニバーサルプリンターを自動作成する（デフォルトで無効）

これらのポリシーが有効になっている場合、起動されたセッションで［印刷］をクリックすると、ローカルマシンの印刷プレビューに表示され、プリンターを選択できます。デフォルトプリンターの設定について詳しくは、Citrix Receiverドキュメントを参照してください。

http://docs.citrix.com/en-us/receiver.html


グラフィックの構成

Feb 26, 2018

ここでは、Linux VDAのグラフィックの構成と微調整について説明します。Linux VDA 3D Proバージョン7.17以降では、Nvidia

Pascal GPU（Tesla P40）用vGPUをサポートします。

詳しくは、「システム要件」および「インストールの概要」を参照してください。

構成

Thinwireは、Linux VDAで使用されているディスプレイリモートテクノロジです。このテクノロジを使用すると、あるマシンで生成されたグラフィックが、通常はネットワークを経由して、別のマシンに転送され、表示されます。

［圧縮にビデオコーデックを使用する］［圧縮にビデオコーデックを使用する］グラフィックポリシーでは、デフォルトのグラフィックモードを設定し、さまざまなユースケースに対して次のオプションを提供します。

可能であれば使用可能であれば使用。これは、一般的なデスクトップワークロードに推奨されるデフォルト設定です。画面全体画面全体。特に3Dグラフィックを多用する事例で、Thinwireを全画面H.264を使用して配信して、ユーザーエクスペリエンスと帯域幅の改善を最適化します。

アクティブに変化する領域アクティブに変化する領域。まだサポートされていません。［可能であれば使用］［可能であれば使用］にフォールバックします。

http://docs.citrix.com/ja-jp/linux-virtual-delivery-agent/current-release/system-requirements.html#par_anchortitle_32cf

http://docs.citrix.com/ja-jp/linux-virtual-delivery-agent/current-release/installation-overview.html

http://docs.citrix.com/ja-jp/linux-virtual-delivery-agent/current-release/system-requirements.html

http://docs.citrix.com/ja-jp/xenapp-and-xendesktop/current-release/policies/reference/ica-policy-settings/graphics-policy-settings.html


注意Linux VDA 3D Proでハードウェアビデオエンコーディングを使用するには、［ビデオ［ビデオコーデックにハードウェアエンコーディングをコーデックにハードウェアエンコーディングを

使用します］使用します］ポリシーを有効にし（デフォルトで有効になっています）、［画面全体に使用］［画面全体に使用］オプションを選択します。

次の視覚表示ポリシー設定など、他の多くのポリシー設定は、ディスプレイリモートテクノロジのパフォーマンスを微調整するために使用でき、また、Thinwireによってすべてサポートされます。

シンプルなグラフィック用の優先色数シンプルなグラフィック用の優先色数ターゲットフレーム数ターゲットフレーム数表示品質表示品質

Linux VDA Thinwireでサポートされているポリシーの完全なリストについては、「ポリシーサポート一覧」を参照してください。

Linux VDAでのマルチモニターサポートの構成について詳しくは、CTX220128を参照してください。

http://docs.citrix.com/ja-jp/xenapp-and-xendesktop/current-release/policies/reference/ica-policy-settings/visual-display-policy-settings.html



http://docs.citrix.com/ja-jp/linux-virtual-delivery-agent/current-release/configuration/policy-support-list.html




次のコマンドを実行して、H.264エンコーディングが使用中であるかどうかを確認します。「11」はH.264、「00」はTW+の意味です。

sudo /opt/Citrix/VDA/bin/ctxreg dump | grep H264

次の内容に類似した結果が出力されます。

create -k "HKLM\Software\Citrix\Ica\Session\1\Graphics" -t "REG_DWORD" -v "H264" -d "0x00000001" --force

create -k "HKLM\System\CurrentControlSet\Control\Citrix\Thinwire" -t "REG_DWORD" -v "AdvertiseH264" -d "0x00000001" --force

次のコマンドを実行します。「00」の場合は使用されておらず、「11」は使用中であることを意味します。

sudo /opt/Citrix/VDA/bin/ctxreg dump | grep HardwareEncoding

次の内容に類似した結果が出力されます。

create -k "HKLM\Software\Citrix\Ica\Session\1\Graphics" -t "REG_DWORD" -v "HardwareEncoding" -d "0x00000001" --force


これ以外にもnvidia-sminvidia-smiコマンドを使用する方法があります。このコマンドを使用すると、ハードウェアエンコーディングが使用中の場合は、次の内容に類似した結果が出力されます。


NVIDIA GRIDグラフィックスドライバーが正しくインストールされているかどうかを確認するには、nvidia-sminvidia-smiを実行しまを実行します。す。次の内容に類似した結果が出力されます。

+------------------------------------------------------+

| NVIDIA-SMI 352.70 Driver Version: 352.70 |

|-------------------------------+----------------------+----------------------+

| GPU Name Persistence-M| Bus-Id Disp.A | Volatile Uncorr. ECC |

| Fan Temp Perf Pwr:Usage/Cap| Memory-Usage | GPU-Util Compute M. |

|===============================+======================+======================|

| 0 Tesla M60 Off | 0000:00:05.0 Off | Off |

| N/A 20C P0 37W / 150W | 19MiB / 8191MiB | 0% Default |

+-------------------------------+----------------------+----------------------+

+-----------------------------------------------------------------------------+

| Processes: GPU Memory |

| GPU PID Type Process name Usage |

|=============================================================================|

| No running processes found |

+-----------------------------------------------------------------------------+

次のコマンドで、カードに適切な構成を設定します。


etc/X11/ctx-nvidia.sh

プライマリモニター以外の画面で再描画の問題が発生している場合は、NVIDIA GRIDライセンスが利用可能であることを確認してください。

Xorgのログファイルは、Xorg.{ DISPLAY} .logXorg.{ DISPLAY} .logに類似した名前で/var/log//var/log/フォルダー内にあります。

既知の問題と制限事項

回避策回避策：次のコマンドを実行して、仮想マシンのローカルVGAコンソールを無効にします。

xe vm-param-set uuid=<vm-uuid> platform:vgpu_extra_args="disable_vnc=1"

これは、Nvidia K2グラフィックカードの制限です。

これはGnome 3デスクトップのセッション開始時の機能的制限です。

Citrix Receiverのウィンドウサイズを変更すると、画面の解像度も変更されます。Nvidiaの独自ドライバーにより内部状態が一部変更されるため、それに応じた対応がアプリケーションに求められる場合があります。たとえば、WebGLライブラリ要素のlight gl.jslight gl.jsによって'Rendering to this texture is not supported (incomplete framebuffer)'というエラーメッセージが生成されることがあります。


GRID以外の3Dグラフィック

Feb 26, 2018

概要

Linux VDAでNVIDIA GRID 3Dカードだけでなく、GRID以外の3Dカードもサポートするように機能が拡張されました。

インストール

GRID以外の3Dグラフィックスの機能を使用するには、前提条件としてXDamageをインストールする必要があります。通常、XDamageはXServerの拡張機能として既に存在しています。

構成

ご使用の3DカードドライバーがNVIDIAの場合、構成ファイルは自動でインストールおよび設定されます。

ご使用の3DカードドライバーがNVIDIA以外の場合は、/etc/X11/にインストールされている4つのテンプレート構成ファイルを変更する必要があります。

ctx-driver_name-driver_name-1.conf

ctx-driver_name--driver_name-2.conf

ctx-driver_name-driver_name-3.conf

ctx-driver_name--driver_name-4.conf

ctx-driver_name--driver_name-1.confを例として使用しながら以下の手順に従ってテンプレート構成ファイルを変更します。

1. driver_namedriver_nameは、実際のドライバー名で置き換えてください。

たとえば、ドライバー名が「intel」の場合は、構成ファイル名を「ctx-intel-1.conf」に変更できます。

2. ビデオドライバー情報を追加します。

各テンプレート構成ファイルには、「Device」という名前のセクションがあり、コメントアウトされています。このセクションでは、ビデオドライバー情報を記述します。ビデオドライバー情報を追加する前に、このセクションを有効にする必要があります。このセクションを有効にするには：

a. 製造元から提供されている3Dカードガイドを参照して構成情報を確認します。ネイティブ構成ファイルが生成されます。Linux VDA ICAセッションを使用していない時にネイティブ構成ファイルを使用してローカル環境で3Dカードが動作することを確認します。

b. ネイティブ構成ファイルの「Device」セクションをctx-driver_name--driver_name-1.confにコピーします。


3. 次のコマンドを実行して、手順1で変更した構成ファイル名をLinux VDAが認識できるようにレジストリキーを設定します。

/opt/Citrix/VDA/bin/ctxreg create -k "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Citrix\XDamage" -t "REG_SZ" -v "DriverName" -d "

GRID以外の3Dグラフィック機能はデフォルトで無効です。次のコマンドを実行してXDamageEnabledを1に設定することで有効にできます。

/opt/Citrix/VDA/bin/ctxreg create -k "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Citrix\XDamage" -t "REG_DWORD" -v "XDamageEnabled


グラフィック出力がないか不明瞭グラフィック出力がないか不明瞭

ローカルでは3Dアプリケーションを実行でき、すべての構成を適切に実施した場合、グラフィック出力がないか不明瞭であるとすると原因はバグです。/opt/Citrix/VDA/bing/setlogを使用してGFX_X11をverboseに設定することでデバッグ用にトレース情報を収集します。

ハードウェアエンコーディングが機能しないハードウェアエンコーディングが機能しない

この機能ではソフトウェアエンコーディングのみをサポートしています。


ポリシーの設定

Feb 26, 2018

インストール

Linux VDAの準備はインストールのトピックを参照してください。

Linux VDAパッケージのインストール前に、次の依存関係をインストールします。

sudo yum -y install openldap

sudo yum -y install libxml2

sudo yum -y install cyrus-sasl

sudo yum -y install cyrus-sasl-gssapi

sudo zypper install openldap2

sudo zypper install libxml2

sudo zypper install cyrus-sasl

sudo zypper install cyrus-sasl-gssapi


sudo apt-get install -y libldap-2.4-2

sudo apt-get install -y libsasl2-2

sudo apt-get install -y libsasl2-modules-gssapi-mit

構成

Citrix Studioのポリシー設定は、次の操作を行います。

1. Cit rix St udioCit rix St udioを起動します。

2. ［ポリシー］［ポリシー］パネルを選択します。

3. ［ポリシーの作成］［ポリシーの作成］をクリックします。

4. 「ポリシーサポート一覧」に沿ってポリシーを設定します。

Linux VDAでのLDAPサーバーの設定は、単一ドメインの環境では必須ではありませんが、複数ドメインおよび複数フォレストの環境では必須です。これらの環境でLDAP検索を実行するには、ポリシーサービスによりLDAPサーバーの設定が求められます。

Linux VDAパッケージのインストール後に、次のコマンドを実行します。


すべてのLDAPサーバーを、推奨される形式であるLDAPの完全修飾ドメイン名（FQDN）およびLDAPポートのスペース区切りの一覧（例：ad1.mycompany.com:389 ad2.mycomany.com:389）で入力します。

また、ct xregct xregコマンドを実行して、この設定をレジストリに直接書き込むこともできます。



/opt/Citrix/VDA/bin/ctxreg create -k "HKLM\Software\Citrix\VirtualDesktopAgent" -t "REG_SZ" -v "ListOfLDAPServers" -d "ad1.mycompany.com:389 ad2.mycomany.com:389" --force

次のポリシーはLinux VDAのみに適用され、Citrix Studio Version 7.12以降からのみ構成できます。

ClipboardSelectionUpdateMode

PrimarySelectionUpdateMode

MaxSpeexQuality

これらのポリシーについての説明は、「ポリシーサポート一覧」にまとめられています。 Citrix Studio Version 7.11以前を使用している場合は、ct xregct xregコマンドを使用してLinux VDA上でこれらのポリシーをローカルに構成する必要があります。

/opt/Citrix/VDA/bin/ctxreg create -k "HKLM\System\CurrentControlSet\Control\Citrix\VirtualChannels\Clipboard\ClipboardSelection" -t "REG_DWORD" -v "Flags" -d "your value" --force

/opt/Citrix/VDA/bin/ctxreg create -k "HKLM\System\CurrentControlSet\Control\Citrix\VirtualChannels\Clipboard\PrimarySelection" -t "REG_DWORD" -v "Flags" -d "your value" --force

/opt/Citrix/VDA/bin/ctxreg create -k "HKLM\System\CurrentControlSet\Control\Citrix\VirtualChannels\Audio" -t "REG_DWORD" -v "MaxSpeexQuality" -d "your value" --force

注意値は一定範囲に制限されています。詳しくは、「ポリシーサポート一覧」を参照してください。


http://docs.citrix.com/ja-jp/linux-virtual-delivery-agent/1-4/redhat/configuring/policy-support-list.html


ポリシーサポート一覧

Feb 26, 2018

Linux VDAポリシーサポート一覧

Studioポリシーポリシーキー名キー名公開キー基盤公開キー基盤（（PKI）の各）の各証明書に同じ証明書に同じパスワードをパスワードを使用する場合使用する場合は「は「

モジュールモジュールデフォルデフォルト値ト値

ICA Keep-Alive SendICAKeepAlives コンピューター

ICA Keep-

Alive

ICA

Keep-

Aliveメッセージ(0)

を送信しない

ICA Keep-Aliveタイムアウト

ICAKeepAliveTimeout コンピューター

ICA Keep-

Alive

60秒

ICAリスナーポートの番号

IcaListenerPortNumber コンピューター

ICA 1494

HDXアダプティブトランスポート

HDXoverUDP コンピューター

ICA 優先（2）

セッション画面の保持 AcceptSessionReliabilityConnections コンピューター

ICA\セッション画面の保持

許可(1)

再接続 UI の透過レベル ReconnectionUiTransparencyLevel コンピューター

ICA\クライアントの自動再接続

80%

セッション画面の保持のポート番号

SessionReliabilityPort コンピューター


2598

セッション画面の保持のタイムアウト

SessionReliabilityTimeout コンピューター


180秒


クライアントの自動再接続

AllowAutoClientReconnect ユーザー ICA 許可(1)

オーディオリダイレクトの最大帯域幅（Kbps）

LimitAudioBw ユーザーオーディオ 0Kbps

クライアントオーディオリダイレクト

AllowAudioRedirection ユーザーオーディオ許可(1)

クライアントプリンターリダイレクト

AllowPrinterRedir ユーザー印刷許可(1)

PDF ユニバーサルプリンターを自動作成する

AutoCreatePDFPrinter ユーザー印刷無効(0)

クライアントクリップボードリダイレクト

AllowClipboardRedir ユーザークリップボード

許可(1)

クライアントUSBデバイスリダイレクト

AllowUSBRedir ユーザー USB 禁止(0)

クライアントUSBデバイスリダイレクト規則

USBDeviceRules ユーザー USB “\0”

動画圧縮 MovingImageCompressionConfiguration ユーザー ThinWire 有効(1)

エクストラ色圧縮 ExtraColorCompression ユーザー ThinWire 無効(0)

保持する最低フレーム数

TargetedMinimumFramesPerSecond ユーザー ThinWire 10fps

ターゲットフレーム数 FramesPerSecond ユーザー ThinWire 30fps

表示品質 VisualQuality ユーザー ThinWire 中(3)

圧縮にビデオコーデックを使用

VideoCodec ユーザー ThinWire 選択された場合使用する(3)


ビデオコーデックへのハードウェアエンコーディングの使用

UseHardwareEncodingForVideoCodec ユーザー ThinWire 有効(1)

シンプルなグラフィック用の優先色数

PreferredColorDepth ユーザー ThinWire 24ビット/ピクセル(1)

音質 SoundQuality ユーザーオーディオ高 - 高品位オーディオ(2)

クライアントマイクリダイレクト

AllowMicrophoneRedir ユーザーオーディオ許可(1)

最大セッション数 MaximumNumberOfSessions コンピューター

負荷管理 250

同時ログオントレランス

ConcurrentLogonsTolerance コンピューター

負荷管理 2

コントローラーの自動更新を有効にする

EnableAutoUpdateOfControllers コンピューター

Virtual

Delivery

Agentの設定

許可(1)

クリップボード選択更新モード

ClipboardSelectionUpdateMode ユーザークリップボード

3

プライマリ選択更新モード

PrimarySelectionUpdateMode ユーザークリップボード

3

Speex最大品質 MaxSpeexQuality ユーザーオーディオ 5

クライアントドライブに自動接続する

AutoConnectDrives ユーザーファイルリダイレクト/CDM

有効(1)

クライアント側光学式ドライブ

AllowCdromDrives ユーザーファイルリダイレクト/CDM

許可(1)

クライアント側固定ドライブ

AllowFixedDrives ユーザーファイルリダイレク

許可(1)


ト/CDM

クライアント側フロッピードライブ

AllowFloppyDrives ユーザーファイルリダイレクト/CDM

許可(1)

クライアント側ネットワークドライブ

AllowNetworkDrives ユーザーファイルリダイレクト/CDM

許可(1)

クライアント側リムーバブルドライブ

AllowRemoveableDrives ユーザーファイルリダイレクト/CDM

許可(1)

クライアントドライブリダイレクト

AllowDriveRedir ユーザーファイルリダイレクト/CDM

許可(1)

クライアント側ドライブへの読み取り専用アクセス

ReadOnlyMappedDrive ユーザーファイルリダイレクト/CDM

無効(0)

Linux VDAの新しいポリシー

次のポリシーは、Citrix Studioのバージョン7.12で構成できます。

Speex最大品質

適用適用： Linux VDA 1.4以降

スコープスコープ：

値（整数）値（整数）： [0～10]

使用デフォルト値使用デフォルト値： 5

詳細詳細：

オーディオリダイレクトで、音質が中または低の場合、オーディオデータをSpeexでエンコードします（音質のポリシーを参照）。Speexは劣化を伴うコーデックであり、入力音声信号の品質を犠牲にして圧縮します。その他の音声コーデックと違い、品質とビットレートのバランスを制御できます。Speexのエンコーディングプロセスは、ほとんどの場合、0から10の範囲の品質パラメーターで制御します。品質が高いほど、ビットレートも高くなります。

Speex最大品質は、最高のSpeex品質を選択して音声品質と帯域幅制限に従ってオーディオデータをエンコードします（オーディオリダイレクトおよび帯域幅制限のポリシー参照）。音声品質が中の場合、エンコーダーは広帯域モードの、より高いサンプルレートになります。音声品質が低の場合、エンコーダーは狭帯域モードで、より低いサンプルレートになります。同じ


Speex品質でも、モードとビットレートは異なります。最高のSpeex品質は、以下の条件を満たす最大の値です。

品質がSpeex最大品質以下ビットレートが帯域幅制限以下

関連設定関連設定：音質、オーディオリダイレクトの最大帯域幅

プライマリ選択更新モード



値（列挙）値（列挙）： [0, 1, 2, 3]


詳細詳細：

プライマリ選択は、マウスを使用した選択やマウスの中ボタンによるペーストなどの、明示的なコピー/貼り付けのアクションに使用されます。この設定は、Linux VDAでのプライマリ選択の変更がクライアントのクリップボードで更新されるかどうかを制御します（逆の場合も同様）。次の選択変更のいずれかが含まれます。

選択の変更がクライアントまたはホストで更新されない。選択の変更がクライアントまたはホストで更新されない。プライマリ選択の変更により、クライアントのクリップボードが更新されることはありません。クライアントのクリップボードの変更により、プライマリ選択が更新されることはありません。ホストの選択の変更はクライアントで更新されません。ホストの選択の変更はクライアントで更新されません。プライマリ選択の変更により、クライアントのクリップボードが更新されることはありません。クライアントのクリップボードの変更により、プライマリ選択が更新されます。クライアントの選択の変更がホストで更新されない。クライアントの選択の変更がホストで更新されない。プライマリ選択の変更により、クライアントのクリップボードが更新されます。クライアントのクリップボードの変更により、プライマリ選択が更新されることはありません。選択の変更がクライアントとホストの両方で更新される。選択の変更がクライアントとホストの両方で更新される。プライマリ選択の変更により、クライアントのクリップボードが更新されます。クライアントのクリップボードの変更により、プライマリ選択が更新されます。

関連設定関連設定：クリップボード選択更新モード

クリップボード選択更新モード



値（列挙）値（列挙）： [0, 1, 2, 3]


詳細詳細：

この設定は、Linux VDAでのクリップボード選択の変更がクライアントのクリップボードで更新されるかどうかを制御します（逆の場合も同様）。次の選択変更のいずれかが含まれます。

選択の変更がクライアントまたはホストで更新されない。選択の変更がクライアントまたはホストで更新されない。


クリップボード選択の変更により、クライアントのクリップボードが更新されることはありません。クライアントのクリップボードの変更により、クリップボード選択が更新されることはありません。ホストの選択の変更はクライアントで更新されません。ホストの選択の変更はクライアントで更新されません。クリップボード選択の変更により、クライアントのクリップボードが更新されることはありません。クライアントのクリップボードの変更により、クリップボード選択が更新されます。クライアントの選択の変更がホストで更新されない。クライアントの選択の変更がホストで更新されない。クリップボード選択の変更により、クライアントのクリップボードが更新されます。クライアントのクリップボードの変更により、クリップボード選択が更新されることはありません。選択の変更がクライアントとホストの両方で更新される。選択の変更がクライアントとホストの両方で更新される。クリップボード選択の変更により、クライアントのクリップボードが更新されます。クライアントのクリップボードの変更により、クリップボード選択が更新されます。

関連設定関連設定：プライマリ選択更新モード


IPv6の構成

Feb 26, 2018

このリリースのLinux VDAは、以前のXenAppおよびXenDesktopで提供されていた機能に対応したIPv6のサポートを提供します。この機能を使用するときは、次の点に注意してください。

デュアルスタック環境で、IPv6が明示的に有効になっていない場合、IPv4が使用されます。IPv4環境でIPv6を有効にすると、Linux VDAは機能しません。

ImportantLinux VDAだけではなく、ネットワーク環境全体がIPv6である必要があります。

CentrifyではピュアIPv6をサポートしていません。

Linux VDAをインストールしている場合、IPv6の特別なセットアップタスクは必要ありません。

Linux VDAでIPv6を構成する

Linux VDAの構成を変更する前に、以前IPv6ネットワークでLinux仮想マシンが機能していたかを確認する必要があります。IPv6の構成に関連する2つのレジストリキーがあります。

“HKLM\Software\Policies\Citrix\VirtualDesktopAgent” -t “REG_DWORD” -v “OnlyUseIPv6ControllerRegistration”

“HKLM\Software\Policies\Citrix\VirtualDesktopAgent” -t “REG_DWORD” -v “ControllerRegistrationIPv6Netmask”

OnlyUseIPv6ControllerRegistrationを1に設定して、Linux VDAでIPv6を有効にします。

sudo /opt/Citrix/VDA/bin/ctxreg create -k "HKLM\Software\Policies\Citrix\VirtualDesktopAgent" -t "REG_DWORD" -v "OnlyUseIPv6ControllerRegistration" -d "0x00000001" --force

Linux VDAに複数のネットワークインターフェイスがある場合、ControllerRegistrationIPv6NetmaskでLinux VDAの登録に使用するネットワークインターフェイスを指定できます。

レジストリキーコピー

-command コピー


sudo /opt/Citrix/VDA/bin/ctxreg create -k "HKLM\Software\Policies\Citrix\VirtualDesktopAgent" -t "REG_SZ" -v "ControllerRegistrationIPv6Netmask " -d "{IPv6 netmask}" --force

{IPv6 netmask}を実際のネットマスク（2000::/64など）に置き換えます。

XenAppおよびXenDesktopのIPv6展開について詳しくは、「IPv4/IPv6サポート」を参照してください。


基本のIPv6ネットワーク環境をチェックしてから、ping6を使用してADおよびDDCに接続できるかを確認します。

-command コピー

http://docs.citrix.com/ja-jp/xenapp-and-xendesktop/7-6/xad-ipv6.html


CEIPの構成

Feb 26, 2018

Citrixのカスタマーエクスペリエンス向上プログラム（CEIP）に参加すると、匿名の統計および使用状況情報が、Citrix製品の品質およびパフォーマンスを向上させる目的で送信されます。

レジストリ設定

デフォルトでは、ユーザーはLinux VDAのインストール時にCEIPに自動で参加します。Linux VDAのインストールからおよそ7

日後に、初回データアップロードが行われます。このデフォルト設定はレジストリで変更できます。

CEIPSwitch

CEIPを有効または無効にするレジストリ設定（デフォルトは0）：

場所： HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CEIP

名前： CEIPSwitch

値のデータ： 1 = 無効、0 = 有効

デフォルトで、CEIPSwitchプロパティはレジストリに表示されません。未指定のままの場合、CEIPは有効です。

クライアント上で次のコマンドを実行してCEIPを無効にできます。

コマンドコピー


/opt/Citrix/VDA/bin/ctxreg update -k "HKEY_LOCAL_MACHINE\ SOFTWARE\Citrix\CEIP" -v "CEIPSwitch" -d "1"

/opt/Citrix/VDA/bin/ctxreg update -k " HKEY_LOCAL_MACHINE\ SOFTWARE\Citrix\CEIP" -v "CEIPSwitch" -d "1"

DataPersistPath

Registry setting that controls the data persisting path (default = /var/xdl/ceip):

Location: HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CEIP

Name: DataPersistPath

Value: String

You can run the following command to set this path:

/opt/Citrix/VDA/bin/ctxreg update -k " HKEY_LOCAL_MACHINE\ SOFTWARE\Citrix\CEIP" -v "DataPersistPath" -d "your_path"

If the path you configured does not exist or cannot be accessed, data is saved in the default path.

DataPersistPath

データ永続パス（デフォルトは/var/xdl/ceip）を制御するレジストリ設定：

場所： HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CEIP

名前： DataPersistPath

値のデータ：文字列

次のコマンドを実行してこのパスを設定できます。

/opt/Citrix/VDA/bin/ctxreg update -k "HKEY_LOCAL_MACHINE\ SOFTWARE\Citrix\CEIP" -v "DataPersistPath" -d "your_path"



存在していないかアクセスできないパスを構成すると、データはデフォルトパスに保存されます。

Linux VDAから収集されたCEIPデータ

次の表では、収集された匿名の情報の種類の例を紹介します。データでは、お客様を特定するすべての詳細は含まれません。

データポイントデータポイントキー名キー名説明説明

マシンのグローバル一意識別子

machine_guid データの発生元のマシンを識別

ADソリューション ad_solution マシンのドメイン参加方式を示す文字列

Linuxカーネルのバージョン

kernel_version マシンのカーネルバージョンを示す文字列

LVDAバージョン vda_version インストールされているLinux VDAのバージョンを示す文字列。

LVDAの更新または新規のインストール

update_or_fresh_install 現在のLinux VDAパッケージが新規インストールであるのか更新であるのかを示す文字列

HDX 3D Proが有効かどうか

hdx_3d_pro マシンでHDX 3D Proが有効かどうかを示す文字列

VDIモードが有効化かどうか

vdi_mode VDIモードが有効かどうかを示す文字列

システムのロケール system_locale このマシンのロケールを示す文字列

LVDAキーサービスの前回再起動時間

ctxhdx ctxvda dd-hh:mm:ss形式（例：10-17:22:19）によるctxhdxおよびctxvdaサービスの前回再起動時間

GPUの種類 gpu_type マシンのGPUの種類

CPUコア cpu_cores マシンのCPUコア数を示す整数

CPU周波数 cpu_frequency CPUの周波数（MHz）を示す浮動小数点数

物理メモリサイズ memory_size 物理メモリのサイズ（KB）を示す整数


アクティブセッション数

active_session_number このデータポイントを収集した時点でマシン上にあったアクティブなセッションの数を示す整数

Linux OSの名前およびバージョン

os_name_version マシンのLinux OSの名前とバージョンを示す文字列

セッションキー session_key データの発生元のセッションを識別

再接続のタイムコスト reconnect_time_cost セッションの再接続タイムコストの保存に使用。配列のサイズは5で、このデータポイントの現在の値、最小値、最大値、総和、更新回数が追跡されます。

アクティブセッション時間

active_session_time セッションのアクティブ時間の保存に使用。セッションは切断や再接続がありえるため、単一のセッションのアクティブ時間が複数になることがあります。

セッション継続時間 session_duration_time ログオンからログオフまでのセッションの継続時間の保存に使用

Receiverクライアントの種類

receiver_type セッションの起動に使用されたCitrix Receiverの種類を示す整数

Receiverクライアントのバージョン

receiver_version セッションの起動に使用されたCitrix Receiverのバージョンを示す文字列

印刷回数 printing_count セッションで印刷機能を使用した回数を示す整数

USBリダイレクト回数 usb_redirecting_count セッションでUSBデバイスを使用した回数を示す整数

Gfxプロバイダーの種類

gfx_provider_type セッションのグラフィックプロバイダーの種類を示す文字列

シャドウの回数 shadow_count セッションがシャドウされた回数を示す整数

言語バーの言語リスト ctxism_open 言語バーのドロップダウンリストのすべての言語を含む、合成された長い文字列

ユーザーが選択した言語

ctxism_select ユーザーが選択したすべての言語を含む、合成された長い文字列


スマートカードリダイレクトカウント

scard_redirecting_count セッションログオンやセッション中のスマートカード使用など、セッションでスマートカードリダイレクトが使用された回数を示す整数。


USBリダイレクトの設定

Feb 26, 2018

USBデバイスは、Citrix ReceiverとLinux VDAデスクトップ間で共有されます。USBデバイスがデスクトップにリダイレクトされると、USBデバイスをローカルに接続されているかのように使用することができます。

USBリダイレクトの主な機能として、次の3つが挙げられます。

オープンソースプロジェクトの導入（VHCI）VHCIサービスUSBサービス

オープンソースオープンソースVHCI

USBリダイレクトのこの機能により、IPネットワーク上でシステムを共有する汎用USBデバイスを開発します。この機能はLinuxカーネルドライバーおよびユーザーモードのライブラリで構成されており、ユーザーはカーネルドライバーと通信してすべてのUSBデータを取得することができます。Linux VDAの導入ではVHCIのカーネルドライバーが再利用されます。ただし、Linux VDAとCitrix Receiver間のUSBデータ転送はすべてCitrix ICAプロトコルパッケージに格納されます。

VHCIサービスサービス

VHCIサービスは、Citrixが提供する、VHCIカーネルモジュールとの通信のためのオープンソースサービスです。このサービスはVHCIとCitrix USBサービスの間のゲートウェイとして機能します。

USBサービスサービス

USBサービスは、USBデバイスでの仮想化およびデータ転送をすべて管理するCitrixモジュールです。

USBリダイレクトのしくみ

通常、Linux VDAへのUSBデバイスのリダイレクトが正常に行われると、デバイスノードがシステムの/devパスに作成されます。ただし、リダイレクトされたデバイスをLinux VDAのアクティブセッションで使用できないことがあります。USBデバイスが適切に機能するにはドライバーが必要で、デバイスによっては特定のドライバーが必要な場合もあります。ドライバーが提供されていないと、リダイレクトされたUSBデバイスがLinux VDAのアクティブセッションにアクセスできない問題を引き起こします。このような問題が生じた場合は、ドライバーをインストールしてシステムを適切に構成し、USBデバイスの接続を確実にする必要があります。

Linux VDAは、クライアントとの間でリダイレクトが正常に行われたUSBデバイスの一覧をサポートしています。また、デバイス、特にUSBディスクが適切にマウントされるため、ユーザーは追加の設定なしでディスクにアクセスできます。

USBリダイレクトの設定

USBデバイスのリダイレクトの有効化および無効化は、Citrixポリシーにより制御されます。また、Delivery Controllerポリシーを使用してデバイスの種類を指定することもできます。USBリダイレクトをLinux VDAに設定するには、次のポリシーと規則の設定が必要です。

クライアントUSBデバイスリダイレクトポリシー


クライアントUSBデバイスリダイレクト規則

USBリダイレクトポリシーを有効にする

Citrix Studioで、クライアントとUSBデバイス間のリダイレクトを有効または無効にします（ワークステーションのホストの場合のみ）。

［設定の編集］ダイアログボックスで、以下の設定を行います。

1. ［許可］［許可］を選択します。2. ［［OK］］をクリックします。

USBリダイレクト規則の設定

USBリダイレクトポリシーを有効にしたら、Citrix Studioを使用して、Linux VDAでの使用を許可または禁止するデバイスを指定して、リダイレクト規則を設定します。

［クライアントUSBデバイスリダイレクト規則］ダイアログボックスで、

1. ［新規］［新規］をクリックしてリダイレクト規則を追加するか、［編集］［編集］をクリックして既存の規則を確認します。

2. 規則の作成または変更後、［［OK］］をクリックします。


汎用USBリダイレクトの設定について詳しくは、「Citrixの汎用USBリダイレクトの設定ガイド」を参照してください。

USBリダイレクト問題のトラブルシューティング

このセクションでは、Linux VDAの使用におけるさまざまな問題のトラブルシューティングについて説明します。

Receiverツールバーにデバイスが表示されないツールバーにデバイスが表示されない

Citrix Receiverツールバーにデバイスが表示されなくなることがありますが、これはUSBリダイレクトが行われていないことを示します。この問題が発生した場合は、次のことを確認します。

ポリシーがUSBリダイレクトを許可する設定になっているカーネルモジュールが使用するカーネルに対応している



ReceiverツールバーにツールバーにUSBデバイスが表示されるものの、デバイスが表示されるものの、ポリシーの制限ポリシーの制限と表記されていてリダイレクトが失敗すると表記されていてリダイレクトが失敗する

この問題はデバイスのポリシー設定が原因で発生します。このような場合は、

Linux VDAポリシーを、リダイレクトを有効にする設定にします。追加のポリシー制限事項がReceiverレジストリで設定されていないかを確認します。Receiverレジストリの設定により、デバイスがブロックされている可能性があります。レジストリパスのDeviceRulesをチェックして、この設定でデバイスのアクセスが禁止されていないことを確認します。

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Citrix\ICA Client\GenericUSB

詳しくは、Citrixサポートサイトの「USBデバイスの自動リダイレクトの設定」を参照してください。

USBデバイスのリダイレクトは正常に行われるが、セッションでデバイスを使用できないデバイスのリダイレクトは正常に行われるが、セッションでデバイスを使用できない

通常、リダイレクトできるUSBデバイスは「サポートされているデバイス一覧」に掲載されたデバイスのみとなります。ただし、一覧に掲載されていないデバイスでもLinux VDAのアクティブなセッションにリダイレクトできる場合があります。このような場合は、リダイレクトしたデバイスごとに、ユーザーの所有するノードがシステムの/devパスに作成されます。ただし、ユーザーがデバイスを正常に使用できるかどうかはドライバーと構成によって決定されます。所有（プラグイン）しているもののアクセスできないデバイスを見つけた場合は、そのデバイスを制限されていないポリシーに追加します。

注意USBドライバーの場合は、Linux VDAがディスクの設定とマウントを行います。ユーザー（およびデバイスをインストールした所有者

のみ）は追加の設定なしでディスクにアクセスできます。「サポートされているデバイス一覧」に掲載されていないデバイスについ

ては、これが適用されないことがあります。

VHCIカーネルモジュールを構築します。

USBリダイレクトはVHCIカーネルモジュール（usb-vhci-hcd.koおよびusb-vhci-iocif.ko）によって異なります。これらのモジュールは、RPMパッケージの一部としてLinux VDAディストリビューションに含まれます。これらはLinux公式ディストリビューションのカーネルをベースにコンパイルされたもので、下の表にまとめています。

サポートされているLinuxディストリビューションカーネルバージョン

RHEL 6.9 2.6.32-696.10.3.el6.x86_64


http://docs.citrix.com/ja-jp/linux-virtual-delivery-agent/current-release/configuration/configure-usb-redirection.html#par_anchortitle_362e


RHEL 7.3 3.10.0-514.el7.x86_64

SUSE 12.3 4.4.73-5-default

Ubuntu 16.04 4.4.0-45-generic

Important使用するマシンのカーネルが、Linux VDA用にCitrixの作成したドライバーに対応していない場合は、USBサービスの起動が失敗するこ

とがあります。この場合、VHCIカーネルモジュールを構築するまではUSBリダイレクト機能を使用できません。

使用するカーネルがCitrixの構築したモジュールに対応しているかを確認する

コマンドラインで次のコマンドを実行し、カーネルが対応しているかを確認します。

insmod /opt/Citrix/VDA/lib64/usb-vhci-hcd.ko

コマンドが正常に実行される場合は、カーネルモジュールのロードに成功し、バージョンがCitrixによりインストールされたものに対応しています。

コマンドの実行でエラーが生じた場合、カーネルはCitrixのモジュールに対応していないため、再構築の必要があります。

VHCIカーネルモジュールの再構築

カーネルモジュールがCitrixのバージョンに対応していない場合は、次の手順に従います。

1.Citrixのダウンロードサイトから、LVDAソースコードをダウンロードします。「Linux Virtual Delivery Agent (sources)」セクションに含まれるファイルを選択します。

2.citrix-linux-vda-sources.zipファイルからファイルを復元します。linux-vda-souces/vhci-hcd-1.15.tar.bz2でVHCIソースファイルを取得できます。tar xvf vhci-hcd-1.15.tar.bz2を使用してVHCIファイルを復元できます。

3. ヘッダーファイルおよびModule.symversファイルに基づいて、カーネルモジュールを構築します。適切なLinuxディストリビューションに基づき、次の手順に従って、カーネルヘッダーファイルをインストールしてModule.symversを作成します。

RHEL/CentOS


-command コピー

https://www.citrix.com/downloads/xenapp-and-xendesktop/components/linux-vda-712.html


yum install kernel-devel

SUSE 12

zypper install kernel-devel

zypper install kernel-source

Ubuntu 16.04

apt-get install linux-headers

ヒントインストールが正常に完了すると、以下に類似したカーネルフォルダーが作成されます。

/usr/src/kernels/3.10.0-327.10.1.el7.x86_64

4. フォルダー（/usr/src/kernels/3.10.0-327.10.1.el7.x86_64）内にModule.symversファイルがあるかどうかを確認します。フォルダーにこのファイルがない場合は、カーネルを構築してこのファイルを取得する（例：makeoldconfig; make

prepare;make modules;make）か、/usr/src/kernels/3.10.0-327.10.1.el7.x86_64-obj/x86_64/defaults/module.*からファからファイルをコピーします。イルをコピーします。

5.vhci-hcd-1.15/Makefileファイルで、VCHIのMakefileを変更し、KDIRをカーネルディレクトリに設定します。

-command コピー




#KDIR = $(BUILD_PREFIX)/lib/modules/$(KVERSION)/build

KDIR = /usr/src/kernels/3.10.0-327.10.1.el7.x86_64

6. vhci-hcd-1.15/フォルダーで、makeコマンドを実行して、VHCIカーネルを構築します。

注意構築に成功すると、usb-vhci-hcd.koおよびusb-vhci-iocifc.koがvhci-hcd-1.15/フォルダーに作成されます。

7. カーネルモジュールを新しく構築したモジュールに置き換えます。 cp -f usb-vhci-*.ko /opt/Citrix/VDA/lib64/

8. USBサービスを再起動します。 service ctxusbsd restart

9. いったんログオフしてから、再度セッションにログオンします。USBリダイレクトが機能しているか確認します。

サポートされているUSBデバイス

次のデバイスは、Linux VDAのこのバージョンで動作することが確認されています。他のデバイスを使用すると、予期せぬ結果が生じる場合があります。

USBマスストレージデバイスマスストレージデバイス VID:PID ファイルシステムファイルシステム

Netac Technology Co., Ltd 0dd8:173c FAT32

Kingston DataTraveler 101 II 0951:1625 FAT32

Kingston DataTraveler GT101 G2 1567:8902 FAT32

SanDisk SDCZ80 Flash Drive 0781:5580 FAT32

SanDisk Cruzer 16GB 1058:10B8 FAT32

WD HDD 0781:5567 FAT32

USB 3Dマウスマウス VID:PID


3DConnexion SpaceMouse Pro 046d: c62b

USBスキャナースキャナー VID:PID

Epson Perfection V330 Photo 04B8: 0142

既知の問題

リダイレクトされたリダイレクトされたUSBディスクをアンマウントできませんディスクをアンマウントできません。Linux VDAでは、Citrix ReceiverからリダイレクトされたすべてのUSBディスクのアクセスを制御するため、これらのデバイスをすべて管理者権限で管理し、所有者のみがリダイレクトされたデバイスにアクセスできるようにしています。そのため、管理者権限を持たないユーザーがデバイスをアンマウントする操作は許可されません。

USBディスクのリダイレクトを停止するとファイルが失われますディスクのリダイレクトを停止するとファイルが失われます。 USBディスクをセッション内にリダイレクトして、ディスク上でのファイルの作成などでディスクを変更した後に、Receiverツールバーを使用して直ちにリダイレクトを停止すると、変更または作成したファイルが失われることがあります。

この問題が発生する原因は、ファイルシステムにデータを書き込むとメモリーキャッシュがファイルシステムにマウントされ、ディスクそのものにはデータが書き込まれないためです。Receiverツールバーを使用してリダイレクトを停止した場合、データがディスクにフラッシュされる時間が残っていないため、データが失われます。

この問題を解決するには、ディスクにデータを書き込む場合は、ターミナルのsyncコマンドを使用してデータをディスクにフラッシュしてからUSBリダイレクトを停止するようにします。


セッション画面の保持の構成

Feb 26, 2018

このリリースでは、サポートされているすべてのLinuxプラットフォームに対して、セッション画面の保持機能を導入しています。セッション画面の保持は、デフォルトで有効になっています。

セッション画面の保持によってICAセッションは、ネットワークの中断を挟んでもシームレスに再接続されます。セッション画面の保持の詳細については、「クライアントの自動再接続とセッション画面の保持」を参照してください。

注注：セッション画面の保持機能を介して送信されるデータは、デフォルトではプレーンテキストです。セキュリティを確保するため、SSL暗号化を有効にすることをお勧めします。詳しくは、「SSLによるユーザーセッションの保護」を参照してください。

構成

Citrix Studioのポリシー設定

Citrix Studioで、セッション画面の保持に関する次のポリシーを設定できます。

セッション画面の保持セッション画面の保持のタイムアウトセッション画面の保持のポート番号再接続 UI の透過レベル

詳しくは、「セッション画面の保持のポリシー設定」および「クライアントの自動再接続のポリシー設定」を参照してください。

注注：セッション画面の保持セッション画面の保持またはセッション画面の保持のポート番号セッション画面の保持のポート番号ポリシーを設定したら、VDAサービスとHDXサービスをこの順序で再起動して設定を有効にします。

Linux VDAの設定

セッション画面の保持のセッション画面の保持のTCPリスナーを有効または無効にするリスナーを有効または無効にする

デフォルトでは、セッション画面の保持のTCPリスナーは有効になっており、ポート2598でリッスンします。リスナーを無効にするには、次のコマンドを実行します。

/opt/Citrix/VDA/bin/ctxreg update -k "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Citrix\WinStations\cgp" -v "fEnableWinStation" -d "0x00000000"

注注：設定を有効にするには、HDXサービスを再起動してください。TCPリスナーを無効にしても、セッション画面の保持は無効になりません。セッション画面の保持セッション画面の保持ポリシーによって機能が有効になっている場合、セッション画面の保持は他のリスナー（SSLなど）を介して引き続き利用できます。


https://docs.citrix.com/en-us/xenapp-and-xendesktop/7-14/hdx/auto-client-reconnect-sess-reliab.html

http://docs.citrix.com/ja-jp/linux-virtual-delivery-agent/current-release/configuration/secure-user-sessions-using-ssl.html

https://docs.citrix.com/en-us/xenapp-and-xendesktop/7-14/policies/reference/ica-policy-settings/session-reliability-policy-settings.html

https://docs.citrix.com/en-us/xenapp-and-xendesktop/7-14/policies/reference/ica-policy-settings/auto-client-reconnect-policy-settings.html


セッション画面の保持のポート番号セッション画面の保持のポート番号

次のコマンドで、セッション画面の保持のポート番号を設定することもできます（例としてポート番号2599を使用）。

/opt/Citrix/VDA/bin/ctxreg update -k "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Citrix\WinStations\cgp" -v "PortNumber" -d "2599"

注注：設定を有効にするには、HDXサービスを再起動してください。Citrix Studioのポリシー設定でポート番号が設定されている場合、Linux VDAの設定は無視されます。VDAのファイアウォールが、設定されたポートを介したネットワークトラフィックを禁止しないように設定されていることを確認します。

サーバーからクライアントへのサーバーからクライアントへのKeep-Aliveの間隔の間隔

セッション画面の保持のKeep-Aliveメッセージは、セッション中にアクティビティがない場合（例：マウスが移動しない、画面が変更しない）、Linux VDAとICAクライアント間で送信されます。Keep-Aliveメッセージは、クライアントがまだ応答しているかどうかを検出するために使用されます。クライアントからの応答がない場合、セッションは、クライアントが再接続するまで中断されます。この設定では、Keep-Aliveメッセージの送信間隔を秒単位で指定します。デフォルトでは、この設定は構成されていません。構成するには、次のコマンドを実行します（例として10秒を使用）。

/opt/Citrix/VDA/bin/ctxreg create -k "HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\XTEConfig" -t "REG_DWORD" -v "CgpServerToClientKeepAlive" -d "10" --force

クライアントからサーバーへのクライアントからサーバーへのKeep-Aliveの間隔の間隔

この設定では、ICAクライアントからLinux VDAに送信されるKeep-Aliveメッセージの送信間隔を秒単位で指定します。デフォルトでは、この設定は構成されていません。構成するには、次のコマンドを実行します（例として10秒を使用）。

/opt/Citrix/VDA/bin/ctxreg create -k "HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\XTEConfig" -t "REG_DWORD" -v "CgpClientToServerKeepAlive" -d "10" --force






ポリシーの設定によってセッション画面の保持を有効にした後に、セッションを起動できないポリシーの設定によってセッション画面の保持を有効にした後に、セッションを起動できない

この問題を解決するには、以下の手順に従います。

1. Citrix Studioのポリシー設定でセッション画面の保持を有効にした後、VDAサービスとHDXサービスがこの順序で再起動されることを確認します。

2. 次のコマンドを使用して、セッション画面の保持のTCPリスナーが実行されていることを確認します（例としてポート2598を使用）。

netstat -an | grep 2598

セッション画面の保持のポートにTCPリスナーがない場合は、次のコマンドを使用してリスナーを有効にします。

/opt/Citrix/VDA/bin/ctxreg update -k "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Citrix\WinStations\cgp" -v "fEnableWinStation" -d "0x00000001"




クライアント側IME

Feb 26, 2018

概要

2バイト文字（中国語、日本語、韓国語などの文字）は、入力システム（IME）から入力する必要があります。クライアント側IME機能は、WindowsネイティブのCJK IMEなど、クライアント側でCitrix Receiverと連携する任意のIMEを使用して、これらの文字を入力する方法を提供します。

インストール

この機能は、Linux VDAをインストールするときに自動でインストールされます。

用途

通常どおりにXenDesktopまたはXenAppのセッションを開きます。

クライアント側IMEの使用を開始するには、クライアント側での必要に応じて入力方式を変更します。

既知の問題

クライアント側IMEを使用してGoogleスプレッドシートのセルに文字を入力するには、まずスプレッドシート内のセルをダブルクリックする必要があります。クライアント側IMEは［パスワード］フィールドで自動で無効になりません。IMEの構成パネルが入力領域に追随しません。クライアント側IMEはSUSE 11ディストリビューションではサポートされていません。


多言語入力のサポート

Feb 26, 2018

Linux VDAバージョン1.4以降、Citrixは公開アプリケーションのサポートを追加し、Linuxデスクトップ環境なしでユーザーが希望のLinuxアプリケーションにアクセスできるようにしました。

ただし、言語バーはLinuxデスクトップ環境と高度に統合されているため、Linux VDAサーバーのネイティブ言語バーは公開アプリケーションでは使用できませんでした。その結果、中国語、日本語、韓国語などのIMEが必要な言語でテキストを入力することはできませんでした。さらに、ユーザーがアプリケーションセッション中にキーボードレイアウトを切り替えることもできませんでした。

これらの問題に対処するために、この機能で、テキスト入力に対応した公開アプリケーション用の言語バーを提供します。言語バーを使用すると、サーバー側のIMEを選択したり、アプリケーションセッション中にキーボードレイアウトを切り替えることができます。

構成

ctxregユーティリティを使用して、この機能を有効または無効にすることができます（デフォルトでは無効）。特定のLinux

VDAサーバーの機能設定は、そのVDAに公開されているすべてのアプリケーションに適用されます。

構成キーは「HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Citrix\LanguageBar」で、種類はDWORDです。

この機能を有効にするには、次のコマンドを実行します。

/opt/Citrix/VDA/bin/ctxreg update -k "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Citrix\LanguageBar" -v "Enabled" -d "0x00000001"

この機能を無効にするには、次のコマンドを実行します。

/opt/Citrix/VDA/bin/ctxreg update -k "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Citrix\LanguageBar" -v "Enabled" -d "0x00000000"

用途




使い方は簡単です。

1. 本機能を有効にします。2. テキスト入力に対応できる公開アプリケーションにアクセスします。言語バーが、アプリケーションと共にセッションに表示されます。

3. ドロップダウンメニューから、［地域と言語］［地域と言語］を選択して希望の言語（入力ソース）を追加します。

4. ドロップダウンメニューからIMEまたはキーボードレイアウトを選択します。5. 選択したIMEまたはキーボードレイアウトを使用して言語を入力します。

注意VDA側の言語バーでキーボードレイアウトを変更する場合、クライアント側（Citrix Receiverが実行されている）でも同じキーボードレイアウトが使用されていることを確認してください。［地域と言語］［地域と言語］ダイアログボックスで設定を行うには、accountsserviceパッケージをバージョン0.6.37以降にアップグレードする必要があります。


動的なキーボードレイアウトの同期

Feb 26, 2018

以前は、Linux VDAとクライアントデバイスのキーボードレイアウトは同じでなければなりませんでした。たとえば、キーボードレイアウトがクライアントデバイスで英語からフランス語に変更され、VDAでは変更されなかった場合、キーマッピングの問題が発生し、VDAがフランス語に変更されるまで問題が存続する可能性がありました。

このリリースから、VDAのキーボードレイアウトとクライアントデバイスのキーボードレイアウトを自動的に同期させることで、Citrixはこの問題に対処しています。クライアントデバイスのキーボードレイアウトが変更されるたびに、VDAのレイアウトも変更されます。

ヒントこの機能はCitrix Receiver for Windowsでサポートされており、公開されたアプリとデスクトップの両方で動作します。

構成

この機能はデフォルトでは無効になっています。ctxregユーティリティを使用して、この機能を有効または無効にします。特定のLinux VDAの機能構成は、そのVDAのすべてのセッションに適用されます。

構成キーは「HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Control\Citrix\SyncKeyboardLayout」で、種類はDWORDです。

この機能を有効にするには、次のコマンドを実行します。

/opt/Citrix/VDA/bin/ctxreg update -k "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Citrix\SyncKeyboardLayout" -v "Enabled" -d "0x00000001"

この機能を無効にするには、次のコマンドを実行します。

/opt/Citrix/VDA/bin/ctxreg update -k "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Citrix\SyncKeyboardLayout" -v "Enabled" -d "0x00000000"




用途

この機能を有効にすると、セッション中にクライアントデバイス上でキーボードレイアウトが変更された場合、セッションのキーボードレイアウトもそれに応じて変更されます。

たとえば、クライアントデバイスのキーボードレイアウトをフランス語（FR）に変更すると、次のようになります。

Linux VDAセッションのキーボードレイアウトも「fr」に変わります。

アプリケーションセッションでは、言語バーを有効にしている場合、この自動変更が表示されます。

デスクトップセッションでは、この自動変更がタスクバーに表示されます。


HDX Insight

Feb 26, 2018

概要

HDX InsightはNetScaler Insight Centerに含まれる機能であり、一般的な業界標準のAppFlowに基づいています。この機能はNetScalerまたはCloudBridgeアプリケーションネットワークファブリックを経由するCitrix ICAトラフィックに対して、エンドツーエンドの優れた可視性を実現し、ITを通じて優れたユーザーエクスペリエンスを提供できるようにします。

このリリースのLinux VDAでは、HDX Insight機能の一部をサポートしています。EUEM（End User Experience Monitoring：エンドユーザー状況監視）機能は実装されていないため、期間に関連するデータポイントは使用できません。

インストール

インストールする必要のある依存関係パッケージはありません。

用途

HDX Insightは、Citrix ReceiverとLinux VDAの間でNetScalerを介して渡されるICAメッセージを分析します。

Linux VDAを含むInsight Center環境をセットアップし、HDX Insight機能を有効にする必要があります。HDX Insight機能の使用について詳しくは、「ユースケース： HDX Insight」を参照してください。


データポイントがまったく表示されないデータポイントがまったく表示されない

2通りの原因が考えられます。

HDX Insightが正しく構成されていません。

NetScalerでAppFlowが有効になっていないか、Insight Centerで構成されているNetScalerのインスタンスが正しくないなどです。

Linux VDAでICAコントロール仮想チャネルが開始されていません。

ps aux | grep -i ctxctl

ctxctlが実行されていない場合は、Citrixにバグをレポートするよう管理者に連絡します。

アプリケーションデータポイントがまったく表示されないアプリケーションデータポイントがまったく表示されない

シームレス仮想チャネルが有効になっていることおよびシームレスアプリケーションが起動されてしばらく経過していることを確認します。

http://docs.citrix.com/en-us/netscaler-insight/11-0/hdx-insight-use-cases.html


既知の問題

期間に関連するデータポイントを表示できない期間に関連するデータポイントを表示できない EUEM機能は実装されていないため、期間に関連するデータポイント（ICA

RTTなど）は使用できず、「N/A」と表示されます。


アダプティブトランスポート

Feb 26, 2018

これまで実験的に導入されていたアダプティブトランスポート機能は、このリリースで本格的に導入されます。

アダプティブトランスポートは、XenAppとXenDesktopのデータ転送メカニズムです。高速で拡張性が高く、アプリケーションの対話機能が向上し、厳しい長距離のWANとインターネット接続でのインタラクティブ性を高めます。アダプティブトランスポートについて詳しくは、「アダプティブトランスポート」を参照してください。

アダプティブトランスポートを有効にする

Citrix Studioで、［［HDXアダプティブトランスポート］アダプティブトランスポート］ポリシーが［優先］［優先］または［診断モード］［診断モード］に設定されていることを確認します。XenAppおよびXenDesktop 7.16からは、デフォルトで［優先］［優先］が選択されています。

優先優先：可能な場合、Enlightened Data Transport（EDT）でのアダプティブトランスポートが使用され、TCPにフォールバックします。診断診断モードモード：EDTが強制的にオンになり、TCPへのフォールバックは無効になります。

アダプティブトランスポートを無効にする

アダプティブトランスポートを無効にするには、Citrix Studioで［［HDXアダプティブトランスポート］アダプティブトランスポート］ポリシーを［オフ］［オフ］に

http://docs.citrix.com/ja-jp/xenapp-and-xendesktop/current-release/technical-overview/hdx/adaptive-transport.html


設定します。


アダプティブトランスポートが有効かどうかを確認する

UDPリスナーが実行されているかどうかを確認するには、次のコマンドを実行します。

netstat -an | grep "1494\|2598"

通常の状況では、出力は次のようになります。

udp 0 0 0.0.0.0:2598 0.0.0.0:*

udp 0 0 :::1494 :::*


出力コピー


トレースオン

Feb 26, 2018

概要

ログの収集および問題の再現によって、診断速度やユーザーエクスペリエンスが低下します。こうした事態に対応するため、このリリースでは、トレースオン機能が導入されています。トレースは、Linux VDAでデフォルトで有効になっています。

構成

Linux VDAパッケージに、ctxlogdデーモンおよびsetlogユーティリティが追加されました。ctxlogdデーモンは、Linux VDAをインストールして構成すると、デフォルトで開始されます。

ctxlogdデーモン

トレースされた他のサービスはすべてctxlogdデーモンに依存しています。Linux VDAをトレースしない場合は、ctxlogdデーモンを停止できます。

setlogユーティリティ

トレースオン機能は、setlogユーティリティ（パス：/opt/Citrix/VDA/bin/）で構成されます。このユーティリティを実行する権限があるのは、ルートユーザーのみです。GUIを使用するかコマンドを実行して、構成を表示したり変更したりできます。setlogユーティリティでヘルプを表示するには、次のコマンドを実行します。

$ setlog help

値

ログの出力パスログの出力パスはデフォルトで/var/log/xdl/hdx.log、最大ログサイズ最大ログサイズは200MBに設定されています。ログの出力パスログの出力パスには、最大2つの古いログファイルを保存できます。

次のコマンドで、現在のsetlog値を表示します。




$ setlog values

log_path (Log Output Path) = /var/log/xdl/hdx.log

log_size (Max Log Size (MiB)) = 200

log_count (Max Old Log Files) = 2

次のコマンドで、1つのsetlog値を表示、または設定します。

$ setlog value <name> [<value>]


$ setlog value log_size 100

レベル

デフォルトで、ログレベルはWarningsに設定されています。

次のコマンドで、異なるコンポーネントに設定されたログレベルを表示します。





$ setlog levels

次のコマンドで、すべてのログレベル（Disable、Inherited、Verbose、Information、Warnings、Errors、Fatal Errors）を設定できます。

$ setlog level <class> [<level>]

変数は、Linux VDAの1つのコンポーネントを指定します。すべてのコンポーネントに適用するには、これをallに設定します。

$ setlog level all error

Setting log class ALL to ERROR.

フラグ

デフォルトで、フラグは次のように設定されています。



出力コピー



$ setlog flags

DATE = true

TIME = true

NAME = true

PID = true

TID = false

SID = true

UID = false

GID = false

CLASS = false

LEVEL = false

FUNC = true

FILE = false

現在のフラグを表示します。


$ setlog flags

１つのログのフラグを表示または設定します。

$ setlog flag <flag> [<state>]

デフォルトに戻す

すべてのレベル、フラグ、値をデフォルト設定に戻します。

$ setlog default

Importantctxlogdサービスは/var/xdl/.ctxlogファイルを使用して構成されます。このファイルは、ルートユーザーのみが作成できます。他の

ユーザーは、このファイルへの書き込み権限がありません。ルートユーザーは、他のユーザーに書き込み権限を許可しないことをお

勧めします。許可すると、ctxlogdが恣意的に、または悪意をもって構成される危険性があります。これによってサーバーのパフォー

マンスが影響を受け、ユーザーエクスペリエンスにも影響を与える可能性があります。


/var/xdl/.ctxlogファイルがない場合（過失による削除など）、ctxlogdデーモンが失敗し、ctxlogdサービスを再起動できません。

/var/log/messages：




エラーコピー


Apr 1 02:28:21 RH72 citrix-ctxlogd[17881]: Failed to open logging configuration file.

Apr 1 02:28:21 RH72 systemd: ctxlogd.service: main process exited, code=exited, status=1/FAILURE

Apr 1 02:28:21 RH72 systemd: Unit ctxlogd.service entered failed state.

Apr 1 02:28:21 RH72 systemd: ctxlogd.service failed.

この問題を解決するには、ルートユーザーとしてsetlogを実行して、/var/xdl/.ctxlogファイルを再度作成します。次に、他のサービスが依存するctxlogdサービスを再起動します。


セッションのシャドウ

Feb 26, 2018

セッションのシャドウ機能により、ドメイン管理者はイントラネット内のユーザーのICAセッションを閲覧できます。この機能は、本リリースではデフォルトで有効になっています。この機能は、noVNCを使用してICAセッションに接続し、現在は、RHEL 7.3およびUbuntu 16.04でのみサポートされています。

注意セッションのシャドウ機能を使用するには、Citrix Directorのバージョンを7.16以降にする必要があります。

インストールと構成

依存関係

セッションのシャドウには、python-websockifyとx11vncという、2つの新しい依存関係が必要です。python-websockifyとx11vncの依存関係は、Ubuntu 16.04にLinux VDAをインストールすると自動的にインストールされます。RHEL 7.3では、Linux

VDAをインストールした後に、python-websockifyとx11vncを手動でインストールする必要があります。

RHEL 7.3でpython-websockifyとx11vncをインストールするには、次のコマンドを実行します。

sudo yum install -y python-websockify x11vnc

python-websockifyとx11vncを解決するには、RHEL 7.3上で次のリポジトリを有効にします。

EPEL

Extra Packages for Enterprise Linux（EPEL）リポジトリは、python-websockifyとx11vncの両方に必要です。EPELリポジトリを追加するには、次のコマンドを実行します。

sudo yum install https://dl.fedoraproject.org/pub/epel/epel-release-latest-$(rpm -E '%{rhel}').noarch.rpm

オプションのRPM




x11vncの依存パッケージをインストールするために、オプションのRPMリポジトリを有効にするには、次のいずれかのコマンドを実行します。

ワークステーションの場合：

subscription-manager repos --enable=rhel-7-workstation-optional-rpms

サーバーの場合：

subscription-manager repos --enable=rhel-7-server-optional-rpms

ポート

セッションのシャドウ機能は、Linux VDAからCitrix Directorへの接続を構築するために、6001〜6099の範囲内で使用可能なポートを自動的に選択します。したがって、同時にシャドウできるICAセッションの数は99に制限されています。要件を満たすために、特にマルチセッションのシャドウ用に十分なポートがあることを確認してください。

レジストリ

関連するレジストリを以下の表に示します。

レジストリレジストリ説明説明デフォルト値デフォルト値

EnableSessionShadowing セッションのシャドウ機能を有効または無効にします。

1（有効）

ShadowingUseSSL Linux VDAとCitrix Director間の接続を暗号化するかどうかを決定します。

0（無効）

Linux VDAでctxregコマンドを実行して、レジストリ値を変更します。たとえば、セッションのシャドウを無効にするには、次のコマンドを実行します。





/opt/Citrix/VDA/bin/ctxreg update -k "HKLM\Software\Citrix\VirtualDesktopAgent" -v "EnableSessionShadowing" -d 0x00000000

SSL

Linux VDAとCitrix Director間のnoVNC接続では、WebSocketプロトコルが使用されます。セッションのシャドウの場合、ws://とwss://のどちらが選択されるかは、前述の「ShadowingUseSSL」レジストリによって決まります。デフォルトでは、ws://が選択されています。ただし、セキュリティ上の理由から、wss://を使用して、各Citrix Directorクライアントと各Linux

VDAサーバーに証明書をインストールすることをお勧めします。ws://を使用したLinux VDAセッションのシャドウについて、Citrixではセキュリティ上のいかなる責任も負いません。

サーバー証明書とルートSSL証明書を取得する

証明書には、信頼された証明機関（CA）による署名が必要です。

Linux VDAサーバーでSSLを設定する場合は、サーバーごとに個別のサーバー証明書（キーを含む）が必要です。また、サーバー証明書によって各コンピューターが識別されるため、各サーバーの完全修飾ドメイン名（FQDN）を調べる必要があります。便宜上、代わりにドメイン全体にワイルドカード証明書を使用できます。この場合、少なくともドメイン名を知っておく必要があります。

各サーバーにサーバー証明書をインストールするだけでなく、Linux VDAサーバーを使用して通信を行う各Citrix Directorクライアントに、同じ証明機関が発行するルート証明書をインストールする必要があります。ルート証明書は、サーバー証明書と同じ証明機関から入手できます。サーバー証明書とクライアント証明書は、オペレーティングシステムに組み込まれている証明機関、社内証明機関（社内で構築する証明機関）、またはオペレーティングシステムに組み込まれていない証明機関のものをインストールできます。証明書を取得するためにどの手段を取るべきかについては、社内のセキュリティ担当部門に問い合わせてください。

重要重要：

サーバー証明書の共通名は、Linux VDAサーバーの正確なFQDN、または少なくともワイルドカードとドメイン文字を正しく組み合わせたものである必要があります（例：vda1.basedomain.comまたは* .basedomain.com）。SHA1やMD5などのハッシュアルゴリズムは、一部のブラウザーでサポートされるデジタル証明書の署名には弱すぎます。したがって、SHA-256が最低基準として指定されています。

各Citrix Directorクライアントにルート証明書をインストールする

セッションのシャドウとIISで、同じレジストリベースの証明書ストアを使用するため、IISまたはMicrosoft管理コンソール（MMC）の証明書スナップインを使用してルート証明書をインストールできます。証明機関から証明書を取得したら、IISのサーバー証明書ウィザードを再び起動します。この操作により、自動的に証明書がインポートされます。または、Microsoft

管理コンソールの証明書スナップインで証明書を表示して、サーバーにインストールすることもできます。Internet Explorer

とGoogle Chromeは、デフォルトで、オペレーティングシステムにインストールされている証明書をインポートします。Mozilla Firefoxの場合、証明書マネージャーの［認証局証明書］［認証局証明書］タブでルートSSL証明書をインポートする必要があります。

各Linux VDAサーバーにサーバー証明書とそのキーをインストールする

サーバー証明書に「shadowingcert.*」、キーファイルに「shadowingkey.*」と名前を指定します（*は、shadowingcert.csr


やshadowingkey.keyのように、形式を示すことができます）。サーバー証明書とキーファイルを、パス/etc/xdl/shadowingsslの下に置き、制限付きのアクセス許可で適切に保護します。間違った名前やパスを使用すると、Linux VDAは特定の証明書やキーファイルを見つけることができなくなり、Citrix Directorとの接続に失敗することがあります。

用途

Citrix Directorからターゲットのセッションを見つけ、［セッション詳細］［セッション詳細］ビューで［シャドウ］［シャドウ］をクリックして、シャドウの要求をLinux VDAに送信します。

接続が初期化されると、ICAセッションクライアント（Citrix Directorクライアントではない）に確認メッセージが表示され、セッションをシャドウする許可がユーザーに求められます。

ユーザーが［はい］［はい］をクリックすると、ICAセッションがシャドウされていることを示すウィンドウがCitrix Director側に開きます。

使用方法について詳しくは、Citrix Directorのドキュメントを参照してください。

制限事項

http://docs.citrix.com/ja-jp/xenapp-and-xendesktop/current-release/director/troubleshoot/shadow-users.html


セッションのシャドウは、イントラネットでのみ使用するように設計されています。NetScalerを介して接続する場合でも、外部ネットワークでは機能しません。外部ネットワークでのLinux VDAセッションのシャドウについて、Citrixではいかなる責任も負いません。

セッションのシャドウを有効にすると、ドメイン管理者はICAセッションのみを表示できますが、書き込みの権限や制御する権限はありません。

管理者がCitrix Directorから［シャドウ］［シャドウ］をクリックすると、確認メッセージが表示され、セッションをシャドウする許可がユーザーに求められます。セッションユーザーが許可を与えた場合にのみ、セッションをシャドウできます。

上記の確認メッセージには、20秒のタイムアウト制限があります。タイムアウトになると、シャドウの要求は失敗します。

各ICAセッションは、1つのCitrix Directorウィンドウで、1人の管理者だけがシャドウできます。ICAセッションが管理者A

によってシャドウされていて、その間に管理者Bがシャドウ要求を送信した場合、ユーザーの許可を取得するための確認がユーザーデバイスに再度表示されます。ユーザーが同意すると、管理者Aのシャドウ接続は中断され、管理者Bに対して新しいシャドウ接続が構築されます。同じ管理者によって同じICAセッションの別のシャドウ要求が送信された場合も同じです。

セッションのシャドウを使用するには、Citrix Director 7.16以降をインストールしてください。Citrix Directorクライアントは、IPアドレスではなくFQDNを使用して、対象のLinux VDAサーバーに接続します。したがって、Citrix Directorクライアントは、Linux VDAサーバーのFQDNを解決できる必要があります。


セッションのシャドウが失敗した場合は、Citrix DirectorクライアントとLinux VDAの両方でデバッグを実行します。

Citrix Directorクライアントの場合

ブラウザーの開発者ツールを使用して、［コンソール］［コンソール］タブの出力ログを確認するか、［ネットワーク］［ネットワーク］タブでShadowLinuxSession APIの応答を確認します。ユーザーの許可を取得するための確認が表示されても接続が確立されない場合は、Linux VDAのFQDNを手動でpingして、Citrix DirectorがFQDNを解決できることを確認します。wss://接続で問題が発生した場合は、証明書を確認してください。

Linux VDAの場合

シャドウ要求に応答して、ユーザーの許可を取得するための確認が表示されることを確認します。表示されない場合は、vda.logファイルとhdx.logファイルを調べてください。vda.logファイルを取得するには、次の操作を実行します。

1. /etc/xdl/ctx-vda.confファイルを見つけます。次の行のコメントを外して、vda.logの構成を有効にします。

Log4jConfig=”/etc/xdl/log4j.xml”

2. /etc/xdl/log4j.xmlを開き、com.citrix.dmcの部分を見つけて、次のように「info」を「trace」に変更します。



<logger name="com.citrix.dmc">

<level value="trace"/>

</logger>

3.service ctxvda restartコマンドを実行して、ctxvdaサービスを再起動します。

接続確立中にエラーが発生した場合は、次の操作を実行してください。

1. セッションのシャドウがポートを開くのを止めるファイアウォール制限がないか確認します。2. SSLシナリオの場合、証明書とキーファイルの名前が正しく指定され、正しいパスに置かれていることを確認します。3. 新しいシャドウ要求で使用するための十分なポートが、6001〜6099の間に残っていることを確認します。


SSLによるユーザーセッションの保護

Feb 26, 2018

バージョン 7.16では、Linux VDAは、安全なユーザーセッションのためにSSL暗号化をサポートしています。SSL暗号化はデフォルトでは無効になっています。

SSL暗号化を有効にする

ユーザーセッションを保護するためにSSL暗号化を有効にするには、Linux VDAとDelivery Controller（Controller）の両方で証明書を取得し、SSL暗号化を有効にします。

証明書を取得する

信頼できる認証機関（CA）からPEM形式のサーバー証明書とCRT形式のルート証明書を取得します。サーバー証明書には、次のセクションがあります。

証明書を選択できますパスワード解読された秘密キー中間証明書（必須ではありません）

サーバー証明書の例：

-----BEGIN CERTIFICATE-----

MIIDTTCCAragAwIBAgIJALluncpiqGXCMA0GCSqGSIb3DQEBBQUAMGcxCzAJBgNV

BAYTAlVLMRIwEAYDVQQIEwlDYW1icmlkZ2UxEjAQBgNVBAcTCUNhbWJvdXJuZTEU

MBIGA1UEChMLQ2l0cml4IFRlc3QxGjAYBgNVBAMTEWNhMDAxLmNpdHJpdGUubmV0

MB4XDTA4MDkzMDEwNTk1M1oXDTI4MDkyNTEwNTk1M1owgYoxCzAJBgNVBAYTAlVL

MRIwEAYDVQQIEwlDYW1icmlkZ2UxEjAQBgNVBAcTCUNhbWJvdXJuZTEUMBIGA1UE

ChMLQ2l0cml4IFRlc3QxGzAZBgNVBAsTElNlcnZlciBDZXJ0aWZpY2F0ZTEgMB4G

例コピー


A1UEAxMXY2EwMDEtc2MwMDEuY2l0cml0ZS5uZXQwgZ8wDQYJKoZIhvcNAQEBBQAD

gY0AMIGJAoGBALCTTOdxcivbI0L0F66xgO5gkNeIGKVP+37pSKV8B66lWCVzr6p9

t72Fa+9oCcf2x/ue274NXFcg4fqGRDsrEw13YxM6COyBf7L6psrsCDNnBP1q8TJH

4xoPIXUeaW4MVk/3PVyfhHKs4fz8yy1I4VDnXVHhw+0FQ2Bq3NhwsRhnAgMBAAGj

gdwwgdkwCQYDVR0TBAIwADAdBgNVHQ4EFgQUrLidzYot+CUXSh9xMfp1M+/O8y0w

gZkGA1UdIwSBkTCBjoAU85kN1EPJ0cVhcOss1slseDQwGsKha6RpMGcxCzAJBgNV



ggkAy8nC8dcB32EwEQYJYIZIAYb4QgEBBAQDAgVgMA0GCSqGSIb3DQEBBQUAA4GB

AD5axBYHwIxJCJzNt2zdXnbp200yUToWElBwQe/9cGaP6CpjoxJ7FJa2/8IpaT68

VelBu1SEYY1GKCGCw93pc7sPKqb8pGBRI5/dygb+geFk1Q7KyVbu0IjOtr3pkxAe

b6CFJtNLudHUrwF6l0rB72zbyz3PiIx+HEwt1j0j8z4K

-----END CERTIFICATE-----

-----BEGIN RSA PRIVATE KEY-----

MIICXgIBAAKBgQCwk0zncXIr2yNC9BeusYDuYJDXiBilT/t+6UilfAeupVglc6+q


fbe9hWvvaAnH9sf7ntu+DVxXIOH6hkQ7KxMNd2MTOgjsgX+y+qbK7AgzZwT9avEy

R+MaDyF1HmluDFZP9z1cn4RyrOH8/MstSOFQ511R4cPtBUNgatzYcLEYZwIDAQAB

AoGBAKwBgZu/bkl8edgB8YPyU7diiBX89I0s4b/aPjM+JDmjxb8N96RsPO24p9Ea

FtUc9+iL8mEroLUbSicCXjsJFc+cxg9vVaNa6EEkkBj735oCUERqSx0Yb/lAdck/

FXzU0tqytUe/KHgcSgjtjrSeqLJqMm+yxzBAatVRTTzGdwAhAkEA3l1KRZjIN5uz

Enmi2RTI3ngBhBP/S3GEbvJfKsD5n2Ri90+OoEPxclvvp5ne8Q0zUpshbjFEPb0C

ykZ6UassFwJBAMtI5yPnV9ewPzJoaNjZIJcMtNXDchSlxXiJiyzv+Qmr8RuQz9Pv

fIenmTrfZ+Wo4DaKg+8ar2OvOnKF0HFAmDECQQDEwR1H6cE3WyCfN1u942M9XkhR

GvSpR7+b///vL6Nwwv3CwPV9n8DTpL+wuDkJZ9nCvRteil9MlaMTYjs3alNvAkEA

qy5JzZcbBnrYzMbVO32jju7ZPISnhTGO1xDjzMSLLpTGpNLN34b0k3sTclr8L42E

uQjtTqRm+wdsrVF3lFazkQJANudmsUVv3gZKhMGaV2hzIdXIfHyOIYv+3leZhQY6

h5eEmxSZS50TvyNGt2e6m2ZgaZmjTagH59TCBHvR5nof2g==

-----END RSA PRIVATE KEY-----

-----BEGIN CERTIFICATE-----

MIIDGTCCAoKgAwIBAgIJAMvJwvHXAd9hMA0GCSqGSIb3DQEBBQUAMGcxCzAJBgNV




MB4XDTA4MDkzMDEwNDExMVoXDTI4MDkyNTEwNDExMVowZzELMAkGA1UEBhMCVUsx

EjAQBgNVBAgTCUNhbWJyaWRnZTESMBAGA1UEBxMJQ2FtYm91cm5lMRQwEgYDVQQK

EwtDaXRyaXggVGVzdDEaMBgGA1UEAxMRY2EwMDEuY2l0cml0ZS5uZXQwgZ8wDQYJ

KoZIhvcNAQEBBQADgY0AMIGJAoGBAKVZmF7Uj7u0nvO3Qwdfi0nr3QkNH2DXpWrZ

Zh8cI9Vv+UFRUiC6oB7izLtBMFn3fOUP7i2CfkHN3ZGJ17p89pdyjket1MslVeJw

acOqrYvD+fNNSvJjunTbaCywVtALjmFSfMHeZJXVSckrpEhnk0nkMS16tcrya/K/

osSlzvI3AgMBAAGjgcwwgckwDAYDVR0TBAUwAwEB/zAdBgNVHQ4EFgQU85kN1EPJ

0cVhcOss1slseDQwGsIwgZkGA1UdIwSBkTCBjoAU85kN1EPJ0cVhcOss1slseDQw

GsKha6RpMGcxCzAJBgNVBAYTAlVLMRIwEAYDVQQIEwlDYW1icmlkZ2UxEjAQBgNV

BAcTCUNhbWJvdXJuZTEUMBIGA1UEChMLQ2l0cml4IFRlc3QxGjAYBgNVBAMTEWNh

MDAxLmNpdHJpdGUubmV0ggkAy8nC8dcB32EwDQYJKoZIhvcNAQEFBQADgYEAIZ4Z

gXLLXf12RNqh/awtSbd41Ugv8BIKAsg5zhNAiTiXbzz8Cl3ec53Fb6nigMWc5Tli

UNCLXwnxRUiD400tESLX9ACUNH3I94yxOgujkSOSBni21jjZTvfBB32Rmr5DByJg


UNCLXwnxRUiD400tESLX9ACUNH3I94yxOgujkSOSBni21jjZTvfBB32Rmr5DByJg

UmKORn/hdqMlcqpe5wO6as6+HN4WUOi+hEtUMME=

-----END CERTIFICATE-----

SSL暗号化を有効にする

Linux VDAででSSL暗号化を有効にする暗号化を有効にする

Linux VDAでは、enable_vdassl.shツールを使用して、SSL暗号化を有効または無効にします。このツールは、/opt/Citrix/VDA/sbinディレクトリにあります。このツールで使用できるオプションについては、/opt/Citrix/VDA/sbin/enable_vdassl.sh –hコマンドを実行してください。

ヒントヒント：各Linux VDAサーバーにサーバー証明書をインストールし、各Linux VDAサーバーとクライアントにルート証明書をインストールする必要があります。

ControllerででSSL暗号化を有効にする暗号化を有効にする

注意Controllerは、Linux VDAの完全修飾ドメイン名（FQDN）を使用する必要があります。IPアドレス（デフォルトで使用）を使用してターゲットのLinux VDAに接続することはできません。SSL暗号化は、デリバリーグループ全体に対してのみ有効にすることができます。特定のアプリケーションに対してSSL暗号化を有効にすることはできません。

ControllerのPowerShellウィンドウで、次のコマンドを順番に実行して、ターゲットのデリバリーグループのSSL暗号化を有効にし、ControllerにLinux VDAのFQDNを使用させます。

1. Asnp citrix.*

2. Get-BrokerAccessPolicyRule – DesktopGroupName ‘GROUPNAME’ | Set-BrokerAccessPolicyRule – HdxSslEnabled $true

3. Set-BrokerSite – DnsResolutionEnabled $true

ControllerでSSL暗号化を無効にするには、次のコマンドを順番に実行します。

1. Asnp citrix.*

2. Get-BrokerAccessPolicyRule – DesktopGroupName ‘GROUPNAME’ | Set-BrokerAccessPolicyRule – HdxSslEnabled $false

3. Set-BrokerSite – DnsResolutionEnabled $false


公開デスクトップセッションにアクセスしようとすると、Citrix Receiver for Windowsで、次の「要求されたアドレスを割り


当てることができません」というエラーが発生することがあります。

回避策として、hostsファイルに次のようなエントリを追加します。

10.108.13.180 rhvm72work.citrixlab.local

:

10.108.13.180は、Linux VDAのIPアドレスです。rhvm72work.citrixlab.localは、Linux VDAのFQDNです。

Windowsマシンでは、hostsファイルは通常、C:\Windows\System32\drivers\etc\hostsにあります。


DTLSによるユーザーセッションの保護

Feb 26, 2018

このリリースでは、実験的な機能として、サポートされているすべてのLinuxプラットフォームにDTLSを導入しています。この機能はデフォルトでは無効になっています。

XenAppおよびXenDesktopは、コンポーネント間のTCPベースの接続でTLS（Transport Layer Security）プロトコルをサポートしています。XenAppおよびXenDesktopは、アダプティブトランスポートを使用して、UDPベースのICA/HDX接続用のDTLS（Datagram Transport Layer Security）プロトコルもサポートしています。詳しくは、「Transport Layer Security」を参照してください。

DTLS暗号化の有効化

Linux VDAでSSL暗号化を有効にする

Linux VDAでは、enable_vdassl.shツールを使用して、SSL暗号化を有効または無効にします。このツールは/opt/Citrix/VDA/sbinにあります。このツールで使用できるオプションについては、/opt/Citrix/VDA/sbin/enable_vdassl.sh –hコマンドを実行してください。

注意現在、Citrix ReceiverはDTLS 1.0のみをサポートしています。enable_vdassl.shツールを使用し

て、SSLMinVersionをTLS_1.0に、SSLCipherSuiteをCOMまたはALLに設定します。

アダプティブトランスポートが有効になっていることを確認する

Citrix Studioで、［［HDXアダプティブトランスポート］アダプティブトランスポート］ポリシーが［優先］［優先］または［診断モード］［診断モード］に設定されていることを確認します。

Linux VDAでDTLS暗号化を有効にする

DTLS暗号化を有効にするには、VDAのルートユーザーとして次のコマンドを実行します。

sudo /opt/Citrix/VDA/bin/ctxreg update -k "HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\icawd\Tds\udp" -v "fDTLSEnabled" -d "0x00000001"

DTLSトラフィックを許可するようにファイアウォール規則を設定する

RHEL 7/CentOS 7

ルートユーザーとして次のコマンドを実行します。


http://docs.citrix.com/ja-jp/xenapp-and-xendesktop/current-release/technical-overview/hdx/adaptive-transport.html

http://docs.citrix.com/ja-jp/xenapp-and-xendesktop/current-release/secure/tls.html


firewall-cmd --permanent --zone=public --add-port=443/udp

RHEL 6/CentOS 6

1./etc/xdl/firewallのctxhdxファイルに次の行を追加します。

-I INPUT 1 -p udp -m udp --dport 443 -j ACCEPT

2. ルートユーザーとして次のコマンドを実行します。

lokkit --custom-rules=ipv4:filter:/etc/xdl/firewall/ctxhdx

SUSE 12

1./etc/sysconfig/SuSEfirewall2.d/services/のctxhdxファイルに次の行を追加します。

UDP="443"

2. ルートユーザーとして次のコマンドを実行します。

yast2 firewall services add zone=EXT service=service:ctxhdx

Ubuntu 16

ルートユーザーとして次のコマンドを実行します。






ufw allow proto udp from any to any port 443

注意DTLS暗号化では、SSL暗号化と同じポート（デフォルトでは443）を使用します。DTLS暗号化のために別のポートを構成するに

は、それに応じてファイアウォール規則を設定します。DTLS暗号化を有効にしたら、VDAサービスとHDXサービスをこの順序で再

起動して設定を有効にします。


スマートカードによるパススルー認証

Feb 26, 2018

ユーザーは、Linux仮想デスクトップセッションにログオンするときに、クライアントデバイスに接続されたスマートカードを認証に使うことができます。この機能は、ICAスマートカード仮想チャネル上でのスマートカードのリダイレクトによって実装されます。スマートカードは、たとえば、デジタル署名をドキュメントに追加したり、電子メールを暗号化または暗号化解除したり、スマートカード認証を必要とするWebサイトで認証を受けるために、セッション内で使うこともできます。

Linux VDAは、この機能にWindows VDAと同じ構成を使用します。詳しくは、「スマートカードの環境を構成する」セクションを参照してください。

スマートカードによるパススルー認証を使用できるかどうかは、次の要因により決定されます。

Linux VDAがRHEL 7.3にインストールされている。

SSSDがAD統合に使用されている。CoolKeyがサポートするスマートカードが使用されている。Citrix Receiver for Windowsが使用されている。

注意NetScaler Gatewayに対するスマートカード認証は公式にはサポートされていません。

CoolKeyがスマートカードをサポートしていることの確認

CoolKeyは、RHEL上で広く使用されているスマートカードドライバーです。CoolKeyは、CoolKeyカード、CAC、PIV、PKCS

＃15の4種類のスマートカードをサポートしていますが、公式にサポートされ検証されているカードの数はまだ限られています（「Smart Card Support in Red Hat Enterprise Linux」を参照してください）。

この記事では、構成を説明するための例として、Yubikey 4スマートカードを使用します。Yubikey 4は、Amazonや他の小売業者から簡単に購入できる一体型のUSB CCID PIVデバイスで、CoolKeyドライバーはYubikey 4をサポートしています。

他のもっと高度なスマートカードが必要な場合は、RHEL 7.3とCoolKeyパッケージがインストールされた物理マシンを準備し

http://docs.citrix.com/ja-jp/linux-virtual-delivery-agent/current-release/configuration/pass-through-authentication-with-smart-cards-.html#smartcardenvironment

http://rhelblog.redhat.com/2017/09/26/smart-card-support-in-red-hat-enterprise-linux


（CoolKeyインストールについて詳しくは「スマートカードドライバーをインストールする」を参照）、スマートカードを挿入して次のコマンドを実行し、スマートカードがCoolKeyでサポートされていることを確認します。

pkcs11-tool --module libcoolkeypk11.so --list-slots

CoolKeyがスマートカードをサポートしている場合、コマンド出力は次のようになり、スロット情報が含まれています。

構成

スマートカード環境を構成する

Linux VDAは、Windows VDAと同じスマートカード環境を使用します。この環境では、ドメインコントローラー、Microsoft

証明機関（CA）、インターネットインフォメーションサービス、Citrix StoreFront、Citrix Receiverなど、複数のコンポーネントを構成する必要があります。Yubikey 4スマートカードに基づいた構成について詳しくは、Citrixの記事CTX206156を参照してください。

次の手順に進む前に、すべてのコンポーネントが正しく構成されていること、秘密キーとユーザー証明書がスマートカードにダウンロードされていること、スマートカードを使用してWindows VDAに正常にログオンできることを確認してください。

PC/SC Liteパッケージをインストールする

PCSC Liteは、Linuxでのパーソナルコンピューター/スマートカード（PC/SC）仕様の実装であり、スマートカードやリーダーと通信するためのWindowsスマートカードインタフェースを提供するものです。Linux VDAでのスマートカードリダイレクトは、PC/SCレベルで実装されています。

次のコマンドを実行して、PC/SC Liteパッケージをインストールします。



http://docs.citrix.com/ja-jp/linux-virtual-delivery-agent/current-release/configuration/pass-through-authentication-with-smart-cards-.html#smartcarddriver



yum install pcsc-lite pcsc-lite-ccid pcsc-lite-libs

スマートカードドライバーをインストールする

CoolKeyは、RHEL上で広く使用されているスマートカードドライバーです。CoolKeyがインストールされていない場合は、次のコマンドを実行してインストールします。

yum install coolkey

スマートカード認証用のPAMモジュールをインストールする

次のコマンドを実行して、pam_pkcs11、pam_krb5、およびkrb5-pkinitモジュールをインストールします。

yum install pam_pkcs11 pam_krb5 krb5-pkinit

pam_pkcs11モジュールはプラグイン可能な認証モジュールで、X.509証明書に基づくユーザー認証を可能にします。pam_krb5モジュールもプラグイン可能な認証モジュールで、PAM対応アプリケーションがパスワードを確認したり、キー配布センター（KDC）のチケット配布チケットを取得したりするために使用できます。krb5-pkinitモジュールにはPKINITプラグインが含まれていて、クライアントが秘密キーと証明書を使用してKDCから初期資格情報を取得できるようにします。

RHEL 7.3にLinux VDAソフトウェアをインストールする

RPMパッケージマネージャーまたは簡単インストールを使用してLinux VDAソフトウェアをインストールします。「インストールの概要」セクションを参照してください。Active Directory（AD）統合方法としてSSSDが選択されていることを確認します。

VDAのインストールが完了したら、VDAがDelivery Controllerに登録でき、公開されているLinuxデスクトップセッションがパスワード認証を使用して正常に起動できることを確認します。

ルート証明書を準備する

ルート証明書は、スマートカード内の証明書を検証するために使用されます。ルート証明書をダウンロードしてインストールするには、次の手順を実行します。




http://docs.citrix.com/ja-jp/linux-virtual-delivery-agent/current-release/installation-overview.html


1. 通常はCAサーバーから、ルート証明書をPEM形式で取得します。

次のようなコマンドを実行して、DERファイル（*.crt、*.cer、*.der）をPEMに変換できます。次のコマンド例では、certnew.cerはDERファイルです。

openssl x509 -inform der -in certnew.cer -out certnew.pem

2. ルート証明書をopensslディレクトリにインストールします。例としてcertnew.pemファイルを使用しています。

cp certnew.pem /etc/pki/CA/certs/

NSSデータベースを構成する

pam_pkcs11モジュールは、スマートカードと証明書にアクセスするときにNSSデータベースに依存しています。次の手順を実行して、NSSデータベースを構成します。

1. 前述のルート証明書をNSSデータベースに追加します。

certutil -A -n "My Corp Root" -t "CT,C,C" -a -d /etc/pki/nssdb -i /etc/pki/CA/certs/certnew.pem

2. 次のコマンドを実行して、ルート証明書がNSSデータベースに正常に追加されたことを確認します。

certutil -L -d /etc/pki/nssdb

ルート証明書が正常に追加されている場合、コマンド出力は次のようになります。






3. CoolKeyがNSS PKCS#11ライブラリにインストールされているかどうかを確認します。

modutil -list -dbdir /etc/pki/nssdb

CoolKeyモジュールがインストールされている場合、コマンド出力は次のようになります。

CoolKeyモジュールがインストールされていない場合は、次のコマンドを実行して手動でインストールし、再度インストールを確認してください。

modutil -add "CoolKey PKCS #11 Module" -libfile libcoolkeypk11.so -dbdir /etc/pki/nssdb

pam_pkcs11モジュールを構成する

pam_pkcs11モジュールは、ユーザー証明書を検証するときに（VDAの）ローカル構成に依存しています。pam_pkcs11で使用されるデフォルトのルート証明書は、/etc/pam_pkcs11/cacerts/にあります。このパスの各ルート証明書にはハッシュリンクがあります。次のコマンドを実行して、準備されたルート証明書をインストールし、pam_pkcs11を構成します。




mkdir /etc/pam_pkcs11/cacerts/

cp certnew.pem /etc/pam_pkcs11/cacerts/

cacertdir_rehash /etc/pam_pkcs11/cacerts

pam_krb5モジュールを構成する

pam_krb5モジュールはKDCと対話して、スマートカード内の証明書を使用してKerberosチケットを取得します。

/etc/krb5.conf構成ファイルに、実際の領域に応じたpkinit情報を追加します。

EXAMPLE.COM = {

kdc = KDC. EXAMPLE.COM

pkinit_anchors = FILE:/etc/pki/CA/certs/certnew.pem

pkinit_kdc_hostname = KDC.EXAMPLE.COM

pkinit_cert_match = ||msScLogin,digitalSignature

pkinit_eku_checking = kpServerAuth

}

構成ファイルは、pkinit情報を追加した後、次のようになります。

PAM認証を構成する

PAM構成ファイルは、どのモジュールをPAM認証に使用しているかを示します。スマートカード認証の場合、/etc/pam.d/smartcard-authファイルに次の行を追加して、pam_pkcs11およびpam_krb5モジュールを追加します。

auth [success=ok ignore=2 default=die] pam_pkcs11.so nodebug wait_for_card



auth optional pam_krb5.so use_first_pass no_subsequent_prompt

preauth_options=X509_user_identity=PKCS11:/usr/lib64/pkcs11/libcoolkeypk11.so

auth sufficient pam_permit.so

account [default=bad success=ok auth_err=ignore user_unknown=ignore ignore=ignore] pam_krb5.so

session optional pam_krb5.so

変更後、構成ファイルは次のようになります。

（オプション）スマートカードによるシングルサインオンを構成する

シングルサインオン（SSO）とは、仮想デスクトップやアプリケーションの起動時にパススルー認証を実装する機能を指します。この機能により、ユーザーがPINを入力する回数が減ります。Linux VDAでSSOを使用するには、Citrix Receiverを構成します。構成はWindows VDAと同じです。詳しくは、Citrixの記事CTX133982を参照してください。

Citrix Receiverでグループポリシーを構成するときは、次のようにスマートカード認証を有効にします。



用途

スマートカードでLinux VDAにログオンする

Linux VDAは、SSOシナリオと非SSOシナリオの両方でスマートカードによるログオンをサポートします。

SSOシナリオでは、ユーザーは、キャッシュされたスマートカード証明書とPINを使用して自動的にStoreFrontにログオンされます。ユーザーがStoreFrontでLinux仮想デスクトップセッションを開始すると、スマートカード認証のためにPINがLinux VDAに渡されます。非SSOシナリオでは、ユーザーは、StoreFrontにログオンするために証明書を選択してPINを入力するよう求められます。


ユーザーがStoreFrontでLinux仮想デスクトップセッションを開始すると、Linux VDAにログオンするためのダイアログボックスが開き、スマートカード内の証明書からユーザー名が抽出されます。ユーザーは、ログオン認証を受けるためにPINを再度入力する必要があります。

これはWindows VDAと同じ動作です。

スマートカードを使用してセッションに再接続する

セッションに再接続するには、スマートカードがクライアントデバイスに接続されていることを確認します。そうしないと、スマートカードが接続されていないと再認証は失敗するため、Linux VDA側にグレーのキャッシュウィンドウが表示されてすぐに終了します。この場合、スマートカードの接続を促すメッセージは表示されません。

ただし、StoreFront側では、セッションに再接続しようとしたときにスマートカードが接続されていないと、StoreFront

Webにより次のような通知が表示されることがあります。


制限事項

スマートカード取り出し時の動作ポリシースマートカード取り出し時の動作ポリシー

現在、Linux VDAはスマートカードの削除にデフォルトの動作のみを使用しています。つまり、Linux VDAに正常にログオンした後でスマートカードを取り外しても、セッションは接続されたままになり、セッション画面はロックされません。


匿名セッションの構成

Feb 26, 2018

この記事の情報を使用して、認証が不要なセッションを構成します。Linux VDAをインストールしてこの機能を使用するために特別な設定は一切必要ありません。

注意認証が不要なセッションを構成する場合は、セッションの事前起動がサポートされないことを考慮してください。また、この機能

は、Citrix Receiver for Androidではサポートされていません。

認証が不要なストアの作成

Linux VDAで認証が不要なセッションをサポートするには、StoreFrontを使用して認証が不要なストアを作成する必要があります。

デリバリーグループで認証が不要なユーザーのアクセスを有効にする

認証が不要なストアを作成したら、デリバリーグループで認証が不要なユーザーのアクセスを有効にして、認証が不要なセッションをサポートします。デリバリーグループで認証されていないユーザーを有効にするには、XenAppおよびXenDesktop

のドキュメントの指示に従います。

注意認証が不要なユーザーは、XenAppおよびXenDesktop 7.6以降でサポートされています。

認証が不要なセッションのアイドル時間を設定する

認証が不要なセッションのアイドル状態のタイムアウト値は、デフォルトで10分です。この値の設定は、レジストリ設定AnonymousUserIdleTimeで行います。ctxregツールを使ってこの値を変更します。たとえば、このレジストリ設定を5分にするには、次のコマンドを実行します。


http://docs.citrix.com/ja-jp/storefront/current-release/configure-manage-stores/create-store-unauthenticated.html



sudo /opt/Citrix/VDA/bin/ctxreg update -k "HKLM\System\CurrentControlSet\Control\Citrix" -v AnonymousUserIdleTime -d 0x00000005

認証が不要なユーザーの最大数を設定する

認証が不要なユーザーの最大人数を設定するには、レジストリキーMaxAnonymousUserNumberを使用します。この設定により、単一のLinux VDAで同時に実行される認証が不要なセッション数が制限されます。このレジストリ設定を行うには、ctxregツールを使用します。たとえば、値を32に設定するには、次のコマンドを実行します。

sudo /opt/Citrix/VDA/bin/ctxreg update -k "HKLM\System\CurrentControlSet\Control\Citrix" -v MaxAnonymousUserNumber -d 0x00000020

Important認証が不要なセッション数を制限することは非常に重要です。同時に起動されるセッション数が非常に多い場合、VDAで使用できる

メモリの不足などの問題を引き起こすことがあります。


認証が不要なセッションを構成するときは、次の点を考慮してください。

認証が不要なセッションにログオンできませんでした認証が不要なセッションにログオンできませんでした。

レジストリが次を含むように更新されたことを確認します（0に設定）。

sudo /opt/Citrix/VDA/bin/ctxreg read –k "HKLM\System\CurrentControlSet\Control\Citrix" –v MaxAnonymousUserNumber

ncsdサービスが実行中で、passwdキャッシュを有効にするように設定されていることを確認します。




ps uax | grep nscd

cat /etc/nscd.conf | grep 'passwd' | grep 'enable-cache'

passwdキャッシュ変数が有効になっている場合は、変数をnoに設定してncsdサービスを再起動します。設定の変更後に、Linux VDAの再インストールが必要となる場合があります。

KDEでロック画面のボタンが認証不要のセッション中に表示されますでロック画面のボタンが認証不要のセッション中に表示されます。

デフォルトでは、ロック画面のボタンとメニューは、認証が不要なセッションでは無効になっています。ただし、KDEでなお表示されることがあります。 KDEでロック画面のボタンとメニューを特定のユーザーに対して無効にするには、構成ファイル$Home/.kde/share/config/kdeglobalsに次の行を加える必要があります。例：

[KDE Action Restrictions]

action/lock_screen=false

ただし、KDEアクション制限事項アクション制限事項パラメーターがグローバルワイドなkdeglobalsファイル（/usr/share/kde-settings/kde-profile/default/share/config/kdeglobalsなど）で不変に設定されている場合、ユーザー設定は効果がありません。

この問題を解決するには、システムワイドなkdeglobalsファイルを変更して［［KDEアクション制限事項］アクション制限事項］セクションの［［$i］］タグを削除するか、システムワイドな構成を直接使用して、ロック画面のボタンとメニューを無効にします。KDE構成について詳しくは、『KDE System Administration/Kiosk/Keys』ページを参照してください。


https://userbase.kde.org/KDE_System_Administration/Kiosk/Keys


LDAPSの構成

Feb 26, 2018

セキュリティで保護されたLDAP（LDAPS）によって、Active Directory管理対象ドメインにSSL（Secure Socket

Layer）/TLS（Transport Layer Security）経由のセキュリティ保護されたLightweight Directory Access Protocolの通信を提供できます。

デフォルトで、クライアントとサーバーアプリケーション間のLDAP通信は暗号化されていません。SSL/TLSを使用したLDAP（LDAPS）で、Linux VDAおよびLDAPサーバー間のLDAPクエリコンテンツを保護できます。

次のLinux VDAコンポーネントは、LDAPSとの依存関係があります。

ブローカーエージェント：Delivery ControllerにLinux VDAを登録ポリシーサービス：ポリシー評価

以下は、LDAPSの構成に必要です。Active Directory（AD）/LDAPサーバーでLDAPSの有効化クライアントで使用するルートCAをエクスポートLinux VDAでLDAPSを有効化/無効化サードパーティのプラットフォームでLDAPSの構成SSSDの構成Winbindの構成Centrifyの構成Questの構成

AD/LDAPサーバーでLDAPSの有効化

Microsoft証明機関（CA）または非Microsoft CAのどちらかから適切な形式の証明書をインストールして、SSL経由のLDAP（LDAPS）を有効にできます。

ヒントSSL/TLS経由のLDAP（LDAPS）は、ドメインコントローラーで会社のルートCAをインストールすると、自動的に有効になります。

証明書をインストールして、LDAPS接続を確認する方法について詳しくは、Microsoft Knowledgebaseのサポート技術情報でHow to enable LDAP over SSL with a third-party certification authorityを参照してください。

証明機関の階層に複数の層（2層または3層）がある場合、ドメインコントローラーでLDAPS認証の適切な証明書を自動的に取得できません。

複数の証明機関の階層を使用してドメインコントローラーでLDAPSを有効にする方法について詳しくは、Microsoft TechNet

WebサイトでLDAP over SSL (LDAPS) Certificateを参照してください。

クライアントで使用するルート証明書（CA）の有効化

https://support.microsoft.com/en-us/kb/321051

http://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx


クライアントは、LDAPサーバーが信頼するCAの証明書を使用する必要があります。クライアントのLDAPS認証を有効にするには、ルートCA証明書をインポートしてキーストアを信頼します。

ルートCAをエクスポートする方法について詳しくは、Microsoft Support WebサイトでHow to export Root Certification

Authority Certificateを参照してください。

Linux VDAマシンでLDAPSを有効化または無効化

Linux VDAでLDAPSを有効または無効にするには、次のスクリプトを実行します（管理者としてログイン中）。

このコマンドの構文には次が含まれます。

指定されたルートCA証明書でSSL/TLS経由でLDAPを有効にする。

/opt/Citrix/VDA/sbin/enable_ldaps.sh -Enable pathToRootCA

SSL/TLSを使用しないLDAPへのフォールバック

/opt/Citrix/VDA/sbin/enable_ldaps.sh -Disable

LDAPS専用のJavaキーストアは、/etc/xdl/.keystoreにあります。影響を受けるレジストリキーには、次が含まれます。

HKLM\Software\Citrix\VirtualDesktopAgent\ListOfLDAPServers

HKLM\Software\Citrix\VirtualDesktopAgent\ListOfLDAPServersForPolicy

HKLM\Software\Citrix\VirtualDesktopAgent\UseLDAPS

HKLM\Software\Policies\Citrix\VirtualDesktopAgent\Keystore




https://support.microsoft.com/en-us/kb/555252


サードパーティのプラットフォームでLDAPSの構成

Linux VDAコンポーネントに加えて、Linux VDAにはさまざまなサードパーティのソフトウェアコンポーネントがあります。また、SSSD、Winbind、Centrify、Questのような、セキュリティで保護されたLDAPが必要な場合もあります。以下のトピックで、LDAPS、STARTTLSまたはSASL（署名とシール）によるセキュリティで保護されたLDAPを構成する方法について説明しています。

ヒントすべてのソフトウェアコンポーネントで、セキュリティで保護されたLDAPのためにSSLポートの使用が優先されるわけではありませ

ん。また、ほとんどの場合、LDAPS（ポート636でSSL経由のLDAP）は、ポート389のSTARTTLSと共存できません。

SSSD

オプションごとに、ポート636またはポート389のセキュリティで保護されたSSSD LDAPトラフィックを構成します。詳しくは、『SSSD LDAP Linux man page』を参照してください。

Winbind

Winbind LDAPクエリはADS手法を使用します。Winbindはポート389のStartTLS手法のみをサポートします。影響を受ける構成ファイルは、ldap.confおよびsmb.confです。以下のようにファイルに変更を加えます。

ldap.conf:

TLS_REQCERT never

smb.conf:

ldap ssl = start tls

ldap ssl ads = yes

client ldap sasl wrapping = plain

また、セキュリティで保護されたLDAPは、SASL GSSAPI（署名およびシール）で構成されますが、TLS/SSLと共存することはできません。SASL暗号化を使用するには、smb.conf構成を変更します。

構成コピー

https://linux.die.net/man/5/sssd-ldap


smb.conf:

ldap ssl = off

ldap ssl ads = no

client ldap sasl wrapping = seal

Centrify

Centrifyではポート636のLDAPSをサポートしていません。一方、ポート389上のセキュリティで保護された暗号化は提供しています。詳しくは、Centrifyサイトを参照してください。

Quest

Quest認証サービスはポート636のLDAPSをサポートしませんが、別の方法でポート389のセキュリティで保護された暗号化を提供します。詳しくは、Quest authenticationの記事を参照してください。


この機能を使用すると、次の問題が発生することがあります。

LDAPSサービスの可用性サービスの可用性

AD/LDAPサーバーでLDAPS接続が使用可能であることを確認します。デフォルトでは、このポートは636です。

LDAPSを有効にするとを有効にするとLinux VDAの登録が失敗するの登録が失敗する

LDAPサーバーとポートが正しく構成されていることを確認します。最初にルートCA証明書をチェックして、AD/LDAPサーバーと一致することを確認します。

意図しない不正なレジストリ変更意図しない不正なレジストリ変更

LDAPS関連のキー（上記一覧）がenable_ldaps.shによって誤ってアップデートされると、LDAPSコンポーネントの依存関係を損なう可能性があります。

SSL/TLS経由の経由のLDAPトラフィックがトラフィックがWiresharkやその他のネットワーク監視ツールで暗号化されていないやその他のネットワーク監視ツールで暗号化されていない

デフォルトでは、LDAPSは無効になっています。/opt/Citrix/VDA/sbin/enable_ldaps.shを実行して強制します。

Wiresharkやその他のネットワーク監視ツールからのやその他のネットワーク監視ツールからのLDAPSトラフィックが存在しないトラフィックが存在しない

LDAP/LDAPSトラフィックは、Linux VDAの登録やグループポリシーの評価によって発生します。

ADサーバーでサーバーでLDP接続を実行して接続を実行してLDAPSの可用性を確認できないの可用性を確認できない


http://community.centrify.com/t5/Centrify-Express/Install-636/td-p/3652



IPアドレスの代わりに、AD FQDNを使用します。

/opt/Citrix/VDA/sbin/enable_ldaps.shスクリプトを実行してルートスクリプトを実行してルートCA証明書をインポートできない証明書をインポートできない

CA証明書のフルパスを指定して、ルートCA証明書の種類が正しいことを確認します。通常は、サポートされるJava Keytoolの種類の大半で機能します。サポート一覧にない場合は、最初に種類を変更してください。証明書の形式の問題が発生した場合は、Base64で暗号化されたPEM形式の使用をお勧めします。

ルートルートCA証明書を証明書をKeytool一覧に表示できない一覧に表示できない

/opt/Citrix/VDA/sbin/enable_ldaps.shを実行してLDAPSを有効にすると、証明書が/etc/xdl/.keystoreにインポートされ、キーストアを保護するパスワードが設定されます。パスワードを忘れた場合は、スクリプトを再度実行して新しいキーストアを作成します。


Xauthorityの構成

Feb 26, 2018

X11ディスプレイ機能（xterm、gvimなどを含む)で対話型のリモート制御を使用する環境は、Linux VDAでサポートされています。この機能は、XClientとXServer間のセキュリティで保護された通信を確保するために必要なセキュリティメカニズムを提供します。

このセキュリティで保護された通信の権限を保護するには、以下の2つの方法があります。

Xhost。デフォルトでは、XhostコマンドはローカルホストXClientとXServerの通信のみを許可します。リモートXClientのXServerへのアクセスを許可すると、特定のマシンで権限を付与するためにXhostコマンドが実行される必要があります。または、xhost +を使用して、任意のXClientがXServerに接続できるようにします。Xauthority。Xauthorityファイルは、各ユーザーのホームディレクトリにあり、XServer認証用のxauthで使用される資格情報をCookieに保存するために使用されます。XServerインスタンス（Xorg）が起動されると、このCookieは、特定のディスプレイへの接続を認証するために使用されます。

仕組み

Xorgが起動されると、XauthorityファイルはXorgに渡されます。このXauthorityファイルには次の要素が含まれます。

表示番号リモート要求プロトコルCookie番号

xauthコマンドを使用して、このファイルを参照できます。次に例を示します。

# xauth –f ~/.Xauthority

# > list

# > us01msip06:107 MIT-MAGIC-COOKIE-1 fb228d1b695729242616c5908f11624b

XClientがリモートでXorgに接続する場合、2つの前提条件を満たす必要があります。

DISPLAY環境変数をリモートXServerに設定します。XorgでCookie番号の1つを含むXauthorityを取得します。

Xauthorityの構成

リモートX11ディスプレイ用にLinux VDA上でXauthorityを有効にするには、次の2個のレジストリキーを作成する必要があり

-command コピー


ます。

sudo /opt/Citrix/VDA/bin/ctxreg create -k "HKLM\System\CurrentControlSet\Control\Citrix\Xorg" -t "REG_DWORD" -v "XauthEnabled" -d "0x00000001" --force

sudo /opt/Citrix/VDA/bin/ctxreg create -k "HKLM\System\CurrentControlSet\Control\Citrix\Xorg" -t "REG_DWORD" -v "ListenTCP" -d "0x00000001" --force

Xauthorityに有効にしてから、手動によるか共有ホームディレクトリをマウントすることでXauthorityファイルをXClientに渡します。

XauthorityファイルをXClientに手動で渡す

ICAセッションを起動した後、Linux VDAはXClientのXauthorityファイル（ファイル名が.Xauthority）を生成し、ログオンユーザーのホームディレクトリにファイルを保存します。このXauthorityファイルをリモートXClientマシンにコピーし、DISPLAYおよびXAUTHORITY環境変数を設定できます。 DISPLAYは、Xauthorityファイルに保存した表示番号で、XAUTHORITYはXauthorityのファイルパスです。たとえば、次のコマンドを表示します。

set DISPLAY={Display number stored in the Xauthority file}

set XAUTHORITY={the file path of .Xauthority}

注意XAUTHORITY環境変数が設定されていない場合、~/.Xauthorityファイルがデフォルトで使用されます。

共有ホームディレクトリをマウントすることによりXauthorityファイルをXClientに渡す

簡単な方法は、ログオンユーザーの共有ホームディレクトリをマウントすることです。Linux VDAがICAセッションを起動すると、ログオンユーザーのホームディレクトリでXauthorityファイルが作成されます。このホームディレクトリがXClientと共有される場合、ユーザーがこのXauthorityファイルを手動でXClientに転送する必要はありません。DISPLAYおよびXAUTHORITY環境変数を正しく設定した後、XServerでGUIが自動的に表示されます。


Xauthorityが機能しない場合は、次のトラブルシューティングの手順に従ってください。

-command コピー

-command コピー


1. root特権を持つ管理者として、すべてのXorg Cookieを取得します。

ps aux | grep -i xorg

このコマンドは、起動中Xorgに渡されるXorgプロセスとパラメーターを表示します。もう1つのパラメーターは、どのXauthorityが使用されるかを表示します。次に例を示します。

/var/xdl/xauth/.Xauthority110

Xauthコマンドを使用して、Cookieを表示します。

Xauth -f /var/xdl/xauth/.Xauthority110

2.Xauthコマンドを使用して、~/.Xauthorityに含まれるCookieを表示します。同じ表示番号の場合、表示されるCookieはXorgおよびXClientのXauthorityファイルで同じである必要があります。

3. Cookieが同じあれば、Linux VDAのIPアドレス（例：10.158.11.11）および公開デスクトップの表示番号（例：160）にリモートディスプレイポートがアクセスできるかを確認します。

XClientマシンで次のコマンドを実行します。

telnet 10.158.11.11 6160

ポート番号は、6000 + <表示番号>の合計です。

telnetの操作が失敗すると、ファイアウォールが要求をブロックすることがあります。

-command コピー

-command コピー

-command コピー

-command コピー

Linux Virtual Delivery Agent... © 1999-2017 Citrix Systems, Inc. All rights reserved. p.4...

Documents

Transcript of Linux Virtual Delivery Agent... © 1999-2017 Citrix Systems, Inc. All rights reserved. p.4...