Настройка Агента ВРМ

Настройка Агента ВРМ для ОС Microsoft Windows

После установки Агента ВРМ необходимо выполнить его настройку для взаимодействия с Termidesk.

Для этого потребуется перейти в «Пуск - Все программы» выбрать каталог «Termidesk» и нажать правой клавишей мыши на ярлык настройки агента «Termidesk Agent», в появившемся контекстном меню выбрать строку «Дополнительно» и в появившемся дополнительном меню выбрать строку «Запуск от имени администратора».

Конфигурация Агента обеспечивается указанием следующих значений:

  • «Адрес сервера» — IP адрес или полное доменное имя установленного сервера Termidesk;
  • «Мастер ключ» — используется для взаимодействия с сервером Termidesk. Значение мастер-ключа можно получить в графическом интерфейсе управления Termidesk, перейдя в «Настройки - Системные параметры - Безопасность» и скопировав значение параметра «Мастер-ключ»;
  • «Шифрование» — выбор типа шифрования;
  • «Уровень отладки» — степень детализации служебных сообщений (возможные значения: DEBUG, INFO, ERROR, FATAL).

Для проверки корректности введенных значений необходимо нажать экранную кнопку [Проверить]. Результатом проверки должно являться сообщение «Проверка успешно завершена».

Для сохранения введенных значений необходимо нажать на экранную кнопку [Сохранить], а затем закрыть окно при помощи экранной кнопки [Закрыть].

Конфигурация Агента для ОС Microsoft Windows

Настройка Агента ВРМ для ОС Astra Linux Special Edition 1.7

Для настройки Агента ВРМ необходимо выполнить следующие действия:

  • разрешить автоматический запуск службы Агента после перезагрузки ОС:
:~$ sudo systemctl enable termidesk-agent
BASH
  • осуществить запуск службы Агента:
:~$ sudo systemctl start termidesk-agent
BASH
  • перейти в графическом интерфейсе ОС в «Звезда - Панель управления - Система» и выбрать ярлык «VDI Agent Configuration»;

Расположение ярлыка Агента ВРМ в ОС

Конфигурация Агента для ОС Linux

Для проверки состояния службы Агента ВРМ необходимо ввести команду:

:~$ sudo systemctl status termidesk-agent
BASH

Строка Active отображает состояние сервиса, где статус active (running) или active (exited) свидетельствует об успешном запуске Агента ВРМ и его готовности к работе.

Настройка сессионного Агента

Сессионный Агент использует сертификат открытого ключа и закрытый ключ для формирования токенов и взаимодействия с другими компонентами Termidesk.

Сертификаты и ключи должны существовать, даже если параметры «Использовать HTTPS» и «Валидация сертификата» выключены в настройках поставщика ресурсов «Сервер терминалов» в веб-интерфейсе сервера Termidesk.

В противном случае служба сессионного Агента не может быть корректно запущена.

Ключ - последовательность псевдослучайных чисел, сгенерированная особым образом.  Сертификат - артефакт, содержащий информацию о владельце ключа и подтверждающий принадлежность ключа владельцу.

Настройка сессионного Агента для ОС Astra Linux Special Edition (Server)

Для настройки необходимо выполнить следующие действия:

  • сгенерировать самоподписанный сертификат и ключ, если в системе нет уже использующихся:
:~$ openssl req -x509 -newkey rsa:4096 -nodes \
   -keyout key.pem \
   -out cert.pem \
   -days 365 \
   -subj '/CN=example.com'
BASH
  • скопировать полученные файлы в каталог /etc/opt/termidesk-ssa/certs/ командами:

:~$ sudo cp key.pem /etc/opt/termidesk-ssa/certs/
:~$ sudo cp cert.pem /etc/opt/termidesk-ssa/certs/
BASH
  • сделать владельцем этих файлов пользователя termidesk:
:~$ sudo chown termidesk:termidesk /etc/opt/termidesk-ssa/certs/key.pem
:~$ sudo chown termidesk:termidesk /etc/opt/termidesk-ssa/certs/cert.pem
BASH
  • выполнить перезапуск службы сессионного Агента:
:~$ sudo systemctl restart termidesk-session-agent
BASH
  • проверить состояние службы termidesk-session-agent командой:
:~$ sudo systemctl status termidesk-session-agent
BASH

Строка «Active» отображает состояние сервиса, где статус «active (running)» свидетельствует об успешном запуске termidesk-session-agent.

После первого запуска службы на сервере терминалов создастся конфигурационный файл /etc/opt/termidesk-ssa/session_agent.ini.

Настройка сессионного Агента для ОС Microsoft Windows Server

Для настройки необходимо выполнить следующие действия:

  • создать файл с расширением .ps1 следующего содержания:
$certfilepath = $([Environment]::GetFolderPath([Environment+SpecialFolder]::MyDocuments)) + "\" + "cert" + ".crt"
$keyfilepath = $([Environment]::GetFolderPath([Environment+SpecialFolder]::MyDocuments)) + "\" + "cert" + ".key"
$cert = New-SelfSignedCertificate -DnsName "$env:COMPUTERNAME" -KeyAlgorithm RSA -KeyLength 2048 -KeyExportPolicy Exportable -NotAfter (Get-Date).AddYears(30)
# export the certificate and dump to file
$CertBase64 = [System.Convert]::ToBase64String($cert.RawData, [System.Base64FormattingOptions]::InsertLineBreaks)
$Crt = @"
-----BEGIN CERTIFICATE-----
$CertBase64
-----END CERTIFICATE-----
"@
$Crt | Out-File -FilePath $certfilepath -Encoding Ascii
# export the private key and dump to file
$RSACng = [System.Security.Cryptography.X509Certificates.RSACertificateExtensions]::GetRSAPrivateKey($cert)
$KeyBytes = $RSACng.Key.Export([System.Security.Cryptography.CngKeyBlobFormat]::Pkcs8PrivateBlob)
$KeyBase64 = [System.Convert]::ToBase64String($KeyBytes, [System.Base64FormattingOptions]::InsertLineBreaks)
$Key = @"
-----BEGIN PRIVATE KEY-----
$KeyBase64
-----END PRIVATE KEY-----
"@
$Key | Out-File -FilePath $keyfilepath -Encoding Ascii
# clean keystore
$cert | Remove-Item
BASH

В качестве примера создан файл cert.ps1 и помещен в корень диска C: (C:\cert.ps1).

  • открыть от имени администратора интерфейс командной строки для выполнения сценариев  Windows PowerShell
  • разрешить выполнение сценариев командой:
Set-ExecutionPolicy RemoteSigned
BASH
  • вызвать сохраненный ранее файл сценариев и нажать клавишу <Enter>. Результатом работы данного файла будут созданные в каталоге «Документы» файлы сертификата (cert.crt) и ключа (cert.key);

Пример выполнения действий в интерфейсе Windows PowerShell
  • скопировать из каталога «Документы» сгенерированные сертификат и ключ в директорию %ProgramData%\UVEON\Termidesk Session Agent\certs\;
  • перезапустить службу сессионного Агента.

Окно для перезапуска службы сессионного Агента

После первого запуска службы на сервере терминалов создается конфигурационный файл %ProgramData%\UVEON\Termidesk Session Agent\session_agent.ini.

Активация роли сервера терминалов в ОС Microsoft Windows Server 

Этот подраздел настроек используется только при использовании поставщика ресурсов метапровайдер в Termidesk. 

Для тиражирования приложений ОС Microsoft Windows Server необходимо после установки роли «Remote Desktop Session Host» из состава «Remote Desktop Services» выполнить активацию через сессионный агент:

  • получить JWT-токен, отправив POST-запрос через утилиту curl на адрес 127.0.0.1:<порт сессионного агента>/auth. Значение 127.0.0.1 используется, поскольку запрос выполняется локально, на сервере, где установлен сессионный агент. В ответе будет содержаться значение access_token;
  • используя access_token отправить POST-запрос через утилиту curl на адрес 127.0.0.1:<порт сессионного агента>/meta/install_rds_role. В ответе должно быть возвращено значение: {"result": "success"}.

Настройка видеоагента

Для настройки видеоагента необходимо выполнить следующие действия:

  • разрешить автоматический запуск после перезагрузки ОС:
:~$ sudo systemctl enable termidesk-video-agent
BASH
  • осуществить запуск видеоагента:
:~$ sudo systemctl start termidesk-video-agent
BASH

Для проверки состояния службы видеоагента необходимо ввести команду:

:~$ sudo systemctl status termidesk-video-agent
BASH

Строка Active отображает состояние сервиса, где статус active (running) или active (exited) свидетельствует об успешном запуске видеоагента и его готовности к работе.

Настройка Агента виртуальных смарт-карт

Дополнительной настройки непосредственно Агента виртуальных смарт-карт не требуется, однако для решения нештатных ситуаций может потребоваться включение более подробного уровня журналирования событий драйвера виртуальной смарт-карты.

Уровень журналирования определяется конфигурационным файлом /etc/reader.conf.d/exconf/vscard. Этого файла может не быть, в таком случае необходимо создать каталог, перейти в него и создать пустой файл:

:~$ sudo mkdir -p /etc/reader.conf.d/exconf
:~$ cd /etc/reader.conf.d/exconf
:~$ sudo touch vscard
BASH

Для того, чтобы включить отладочное журналирование, конфигурационный файл должен содержать единственное значение - LOGLEVEL со значением DEBUG :

LOGLEVEL DEBUG
BASH

Параметр LOGLEVEL определяет уровень журналирования и может принимать значения: DEBUG, INFO, ERROR. При отсутствии файла /etc/reader.conf.d/exconf/vscard значение параметра LOGLEVEL по умолчанию INFO. Это значение может быть переопределено переменной окружения TDSK_DEBUG, в таком случае уровень журналирования будет иметь значение DEBUG.