Руководство по публикации приложений в метапровайдере с MS RDSH

Данную инструкцию рекомендуется использовать для подготовки тестового стенда.

Публикация приложений в метапровайдере с ролью MS RDSH выполняется в следующей последовательности:

• шаг 1. Настройка образа виртуальной машины (ВМ) для использования в качестве метапровайдера;
• шаг 2. Активация экспериментального параметра метапровайдера в Termidesk;
• шаг 3. Установка плагина расширения InternalDB;
• шаг 4. Предварительные настройки Termidesk;
• шаг 5. Добавление метапровайдера в качестве поставщика ресурсов в Termidesk;
• шаг 6. Добавление поставщика ресурсов Сервер Терминалов Метапровайдер в Termidesk;
• шаг 7. Создание шаблона публикуемого приложения;
• шаг 8. Добавление фонда ВРМ с публикуемым приложением;
• шаг 9. Настройка фонда ВРМ с публикацией приложения;
• шаг 10. Получение приложения через клиент Termidesk.

В производственной эксплуатации конфигурацию необходимо вводить в домен MS Active Directory. При вводе конфигурации в домен, необходимо выполнить дополнительные настройки в шаге 1. Использование конфигурации без ввода в домен рекомендуется только на тестовых стендах.

В процессе проведения публикации приложения использована следующая среда:

Для подключения к опубликованному приложению используется клиент Termidesk версии 4.2.

При установке ОС Windows Server 2019 и выше, утилита curl устанавливается по умолчанию. При использовании устаревших версий curl (менее 8.0) стоит учитывать отсутствие поддержки русского языка.

Все указанные в данной инструкции IP-адреса должны быть заменены на актуальные, соответствующие схеме адресации, принятой в инфраструктуре предприятия.

Создание локального пользователя

В качестве примера в ОС был создан пользователь user1. Учeтные данные пользователя будут использоваться для подключения к метапровайдеру с использованием домена аутентификации Внутренняя БД.

Для создания локального пользователя в ОС Windows Server 2019 следует нажать клавиши <Win+R>. В открывшемся окне «Выполнить» ввести команду control userpasswords2 и нажать экранную кнопку [OK].

В открывшемся окне «Учетные записи пользователей» нажать экранную кнопку [Добавить…].

В форме «Добавление пользователя» следует заполнить соответствующие данные и нажать экранную кнопку [Далее].

В окне «Учетные записи пользователей» следует выбрать учетную запись созданного пользователя и нажать экранную кнопку [Свойства].

В открывшемся окне «Свойства» учетной записи пользователя следует назначить соответствующую группу для доступа к удаленному приложению и нажать экранную кнопку [Применить].

> Install-WindowsFeature -Name RDS-RD-Server

• выполнить перезапуск сервера:

> Restart-Computer

При использовании сессионного Агента версии 4.2.1 и выше, шаг с установкой службы MS RDSH можно пропустить.

• установить сессионный Агент из msi-пакета termidesk-session-agent;
• установить Агент ВРМ из msi-пакета termidesk-agent.

После установки Агенты обязательно должны быть настроены.

> New-Item -ItemType File -Path "C:\cert.ps1"

• отредактировать файл cert.ps1:

> Invoke-Item "C:\cert.ps1"

• привести файл cert.ps1 к виду:

$certfilepath = $([Environment]::GetFolderPath([Environment+SpecialFolder]::MyDocuments)) + "\" + "cert" + ".crt"
$keyfilepath = $([Environment]::GetFolderPath([Environment+SpecialFolder]::MyDocuments)) + "\" + "cert" + ".key"
$cert = New-SelfSignedCertificate -DnsName "$env:COMPUTERNAME" -KeyAlgorithm RSA -KeyLength 2048 -KeyExportPolicy Exportable -NotAfter (Get-Date).AddYears(30)
# export the certificate and dump to file
$CertBase64 = [System.Convert]::ToBase64String($cert.RawData, [System.Base64FormattingOptions]::InsertLineBreaks)
$Crt = @"
-----BEGIN CERTIFICATE-----
$CertBase64
-----END CERTIFICATE-----
"@
$Crt | Out-File -FilePath $certfilepath -Encoding Ascii
# export the private key and dump to file
$RSACng = [System.Security.Cryptography.X509Certificates.RSACertificateExtensions]::GetRSAPrivateKey($cert)
$KeyBytes = $RSACng.Key.Export([System.Security.Cryptography.CngKeyBlobFormat]::Pkcs8PrivateBlob)
$KeyBase64 = [System.Convert]::ToBase64String($KeyBytes, [System.Base64FormattingOptions]::InsertLineBreaks)
$Key = @"
-----BEGIN PRIVATE KEY-----
$KeyBase64
-----END PRIVATE KEY-----
"@
$Key | Out-File -FilePath $keyfilepath -Encoding Ascii
# clean keystore
$cert | Remove-Item

В качестве примера создан файл cert.ps1 и помещен в корень диска C: (C:\cert.ps1).

• разрешить выполнение сценариев:

> Set-ExecutionPolicy RemoteSigned

• вызвать сохраненный ранее файл сценариев и нажать клавишу <Enter>. Результатом работы данного файла будут созданные в каталоге «Документы» файлы сертификата (cert.crt) и ключа (cert.key):

> C:\cert.ps1

• создать папку certs в каталоге C:\Program Files\UVEON\Termidesk Session Agent\:

> New-Item -ItemType Directory -Path "C:\Program Files\UVEON\Termidesk Session Agent\certs"

• скопировать из каталога «Документы» сгенерированные сертификат и ключ в директорию C:\Program Files\UVEON\Termidesk Session Agent\certs\:

> Copy-Item -Path "C:\Users\Администратор\Documents\cert.crt" -Destination "C:\Program Files\UVEON\Termidesk Session Agent\certs\"
> Copy-Item -Path "C:\Users\Администратор\Documents\cert.key" -Destination "C:\Program Files\UVEON\Termidesk Session Agent\certs\"

• перезапустить службу сессионного Агента:

> Restart-Service TermideskSessionAgentService

• проверить состояние службы сессионного Агента:

> Get-Service -Name TermideskSessionAgentService

Столбец «Status» отображает состояние сервиса, где статус «Running» свидетельствует об успешном запуске сессионного Агента.

Публикация приложения

Перед публикацией приложения следует убедиться, что оно установлено для всех пользователей.

В ОС Windows Server 2019 представлено 2 способа публикации приложения:

• публикация с помощью утилиты RemoteApp Tool;
• публикация с помощью сессионного Агента.

 Вариант 2. Публикация приложения с помощью сессионного Агента

Предусмотрено 2 способа публикации приложения с помощью сессионного Агента:

• с использованием веб-интерфейса сессионного Агента;
• с использованием утилиты curl.

В качестве примера используется адрес локальной установки сессионного Агента (запросы формируются на том же узле, где он установлен) — 127.0.0.1 и порт 31000.

 Публикация приложения с использованием веб-интерфейса сессионного Агента

Для публикации приложения нужно:

• используя веб-браузер, перейти по адресу: 127.0.0.1:31000/docs;
• в разделе «Meta» раскрыть POST-запрос /meta/applications и нажать экранную кнопку [Try it out].

Запрос на публикацию приложения

При этом поле «Request body» станет доступно для редактирования. После заполнения параметров публикуемого приложения нажать экранную кнопку [Execute] для выполнения POST-запроса.

Выполнение POST-запроса для публикации приложения

В примере были заданы параметры:

• «name»: «Paint» — указано имя публикуемого приложения;
• «path»: «C:\\Windows\\System32\\mspaint.exe» — путь к исполняемому файлу приложения.

Успешное выполнение запроса сгенерирует ответ в поле «Response body». Значение строки {"is created": "true"} свидетельствует об успешной публикации приложения.

 Публикация приложения с помощью утилиты curl

Для публикации приложения нужно:

• открыть от имени администратора утилиту Командная строка;
• отправить POST-запрос:

curl -X POST http://127.0.0.1:31000/meta/applications -H "accept: application/json" -H "Authorization: Bearer <значение строки access_token без кавычек>" -H "Content-Type: application/json" -d "{ \"name\": \"Paint\", \"path\": \"C:\\Windows\\system32\\mspaint.exe\"}"

BASH

В примере были заданы параметры:

• «\"name\"»: «\"Paint\"» — указано имя публикуемого приложения;
• «\"path\"»: «\"C:\\Windows\\system32\\mspaint.exe\"» — путь к исполняемому файлу приложения.

Успешное выполнение запроса сгенерирует ответ:

{"is_created": true}

BASH

Значение строки {"is_created": "true"} свидетельствует об успешной публикации приложения.

Для проверки корректности введенных значений можно использовать экранную кнопку [Проверить]. В случае успешной проверки отобразится сообщение «Проверка успешно завершена».

Для сохранения настроек следует нажать экранную кнопку [Сохранить].

:~$ sudo -u termidesk bash

Пользователь termidesk используется в качестве примера. При выполнении команд следует переключаться на пользователя, имеющего полномочия для управления сервером Termidesk.

• активировать параметр поддержки метапровайдера:

:~$ /opt/termidesk/sbin/termidesk-vdi-manage tdsk_config set --section Experimental --key experimental.metasessions.provider.enabled --value 1

Шаг 3. Установка плагина расширения InternalDB

При использовании метапровайдера без ввода в домен, рекомендуется установить плагин InternalDB для обеспечения корректной авторизации в ОС Windows. Плагин устанавливается на узле с Termidesk.

Использование плагина InternalDB рекомендуется только при настройке тестового стенда. При вводе метапровайдера в домен, рекомендуется использовать службу управления учетными записями MS Active Directory.

Экспериментальный функционал, не вошедший в основной релиз Termidesk, можно добавить в программный комплекс через установку плагинов расширений (содержатся в каталоге addons в виде zip-архивов комплектации поставки Termidesk).

Для добавления плагина InternalDB на узле с установленным Termidesk нужно:

• распаковать содержимое zip-архива в целевой каталог (например, /tmp);
• переключиться на пользователя termidesk:

:~$ sudo -u termidesk bash

• перейти в каталог Termidesk:

:~$ cd /opt/termidesk/share/termidesk-vdi/

• активировать виртуальное окружение Termidesk:

:~$ source venv/bin/activate

• установить плагин:

:~$ pip install --upgrade --no-index --find-links /tmp/termidesk_internaldbauth termidesk_internaldbauth

• /tmp/termidesk_internaldbauth — каталог с whl-файлами;
• выйти из окружения пользователя Termidesk:

:~$ exit

• обновить структуру БД и статических файлов командами:

:~$ sudo /opt/termidesk/sbin/termidesk-vdi-manage migrate
:~$ sudo /opt/termidesk/sbin/termidesk-vdi-manage collectstatic --no-input

• перезапустить службы Termidesk:

:~$ sudo systemctl restart termidesk-vdi.service termidesk-taskman.service termidesk-wsproxy.service termidesk-celery-beat.service termidesk-celery-worker.service

При этом откроется окно «Добавить новый объект (Внутренняя БД)».

Подробное описание полей приведено в таблице «Данные для добавления аутентификации через внутреннюю БД».

Для проверки правильности заполнения формы можно использовать экранную кнопку [Тест].

Для сохранения объекта следует нажать экранную кнопку [Сохранить].

При этом откроется форма «Внутренняя БД». В открывшейся форме в разделе «Группы» нажать экранную кнопку [Новый] и выбрать из выпадающего списка соответствующую группу.

При этом откроется окно «Добавить новый объект (Группа)». Для добавления параметров группы домена аутентификации нужно заполнить поля «Группа», «Комментарий» (при необходимости) и выбрать статус группы в раскрывающемся списке.

При этом откроется окно «Добавить новый объект».

Подробное описание полей приведено в таблице «Данные для редактирования пользователя домена аутентификации».

В примере используются учетные данные пользователя, созданного в шаге 1.

При этом откроется окно «Добавить новый объект (ОС Windows)». В окне нужно заполнить поля «Название», «Комментарий» (при необходимости).

При этом откроется окно «Добавить новый объект (Доступ к MS RDS по RDP (напрямую) [экспериментальный])».

Подробное описание полей приведено в таблице «Данные для добавления прямого подключения по протоколу RDP».

Для проверки правильности заполнения формы можно использовать экранную кнопку [Тест].

При этом откроется окно «Добавить новый объект». В открывшемся окне ввести текстовое наименование изображения, нажать экранную кнопку [Выберите изображение] и указать расположение логотипа. После загрузки логотипа нажать экранную кнопку [Сохранить].

При этом откроется окно «Добавить новый объект». Для добавления параметров группы рабочих мест нужно заполнить поля «Название», «Комментарий» (при необходимости).

При этом откроется окно «Добавить новый объект (Платформа oVirt/RHEV)».

Подробное описание полей приведено в таблице «Данные для добавления платформы oVirt/RHEV».

Для проверки правильности заполнения формы можно использовать экранную кнопку [Тест].

Для сохранения объекта следует нажать экранную кнопку [Сохранить].

При этом откроется форма «Шаблоны рабочих мест». В открывшейся форме нужно нажать на экранную кнопку [Новый] и из выпадающего списка выбрать шаблон: «Связанный клон oVirt/RHEV».

При этом откроется окно «Добавить новый объект (Связанный клон oVirt/RHEV)».

Подробное описание полей приведено в таблице «Данные для добавления шаблона на основе связанного клона для oVirt/RHEV».

При этом откроется окно «Добавить новый объект».

Подробное описание полей приведено в таблице «Данные для добавления фонда ВРМ».

При задании количества рабочих мест в кеше 1-го уровня следует учитывать, что метапровайдер будет выполнять балансировку нагрузки между созданными ВРМ.

Перед публикацией обязательно проверить, что для фонда ВРМ используется политика «Действие при выходе пользователя из ОС» со значением «Нет», для того выбрать наименование фонда ВРМ и нажать экранную кнопку [Политики].

Далее на странице фонда ВРМ в разделе «Публикации» нажать экранную кнопку [Новая].

В окне «Новая публикация» в раскрывающемся списке выбрать ВМ, на основе которой будет выполняться тиражирование ВРМ. После ввода опционального текстового комментария нажать экранную кнопку [Опубликовать] для запуска задачи создания фонда ВРМ.

Сразу после публикации в столбце «Прогресс» будет отображена индикация серым цветом, указывающая на начало процесса публикации. Далее индикация синим цветом будет отображать прогресс выполнения публикации. Необходимо дождаться индикации зеленым цветом, сообщающей об успешном завершении процесса публикации.

Подробная информация о прогрессе публикаций содержится в подразделе Публикация фонда ВРМ.

При этом откроется окно «Добавить новый объект (Сервер Терминалов Метапровайдер)».

Подробное описание полей приведено в таблице «Данные для добавления сервера терминалов (метапровайдер)».

Для проверки правильности заполнения формы можно использовать экранную кнопку [Тест].

Для сохранения объекта следует нажать экранную кнопку [Сохранить].

При этом откроется форма «Шаблоны рабочих мест». Далее в открывшейся форме нажать на экранную кнопку [Новый], из выпадающего списка выбрать шаблон: «Meta Remote App Service».

При этом откроется окно «Добавить новый объект (Meta Remote App Service)». В поле окна нужно ввести название публикуемого приложения и выбрать соответствующее приложение в раскрывающемся списке.

При этом откроется окно «Добавить новый объект».

Подробное описание полей приведено в таблице «Данные для добавления фонда ВРМ».

При этом откроется форма «Политики». В открывшейся форме следует выделить политику «Механизм обеспечения безопасности на уровне сети (RDP)» и нажать экранную кнопку [Редактировать].

При этом откроется окно «Редактировать Механизм обеспечения безопасности на уровне сети (RDP)». Для корректного подключения к опубликованному приложению через компонент «Клиент» в раскрывающемся списке окна «Редактировать Механизм обеспечения безопасности на уровне сети (RDP)» нужно выбрать значение «NLA».

На открывшейся странице во вкладке «Пользователи и группы» нажать экранную кнопку [Новый].

При этом откроется окно «Добавить новый объект». В раскрывающихся списках окна выбрать домен аутентификации и группу, которой следует предоставить доступ к ВРМ.

По умолчанию следует добавлять только группу пользователей ВРМ, поскольку в интерфейсе Termidesk пользователь появляется только после первой авторизации на сервере Termidesk под своей учетной записью внутри домена аутентификации.

При этом откроется окно «Добавить новый объект». В раскрывающемся списке окна выбрать соответствующий протокол доставки.

• в открывшемся окне «Добавление нового сервера» ввести IP-адрес сервера Termidesk и нажать экранную кнопку [Да];

• в полях окна «Настройка подключения к серверу» в раскрывающемся списке выбрать тип аутентификации, указать учетные данные для подключения к серверу и нажать экранную кнопку [Да];

• созданный сервер отобразится в списке клиента Termidesk. Для подключения к серверу нажать экранную кнопку [Подключиться];

• в открывшемся окне выбрать приложение «Paint_RemoteApp»;

• в окне «Подключение к удалённому рабочему столу» нажать экранную кнопку [Подключить];

Для подключения к опубликованному приложению без подтверждения рекомендуется включить параметр «Больше не выводить запрос о подключениях к этому компьютеру».

• в случае успешного подключения клиент отобразит окно с опубликованным приложением.