Добавление терминального сервера как поставщика ресурсов
Добавление терминального сервера (MS RDS и STAL) в качестве поставщика ресурсов
Для добавления следует перейти «Компоненты - Поставщики ресурсов», затем нажать экранную кнопку [Создать] и выбрать из выпадающего списка «Сервер терминалов [экспериментальный]».
Для взаимодействия с терминальным сервером (MS RDS или STAL) необходимо установить компонент «Сессионный агент» в соответствии с подразделом Установка сессионного Агента документа СЛЕТ.10001-01 90 04 «Руководство администратора. Настройка компонента «Агент».
Терминальный сервер для ОС Astra Linux реализуется компонентом «Сервер терминалов Asta Linux» (STAL) Termidesk, который может быть установлен на узел совместно c Termidesk, в соответствии с подразделом Установка STAL документа СЛЕТ.10001-01 90 07 «Руководство администратора. Настройка компонента «Сервер терминалов».
Следует использовать отдельные установки терминальных серверов:
- на одном сервере MS RDS или STAL - публикация только приложений;
- на другом MS RDS или STAL - только терминальных сессий.
Работа с MS RDS поддерживается:
- через «Шлюз» при условии, что терминальный сервер MS RDS развернут без полнофункциональной инфраструктуры через поставщик ресурсов «Метапоставщик» (см. подраздел Предварительная настройка для добавления терминального сервера метапоставщика);
- не через «Шлюз», если:
- либо развернута полнофункциональная инфраструктура MS RDS, при этом роль «Remote Desktop Gateway» развернута, но не используется. Терминальный сервер при этом подключается через поставщик «Сервер терминалов»;
- либо используется поставщик ресурсов «Метапоставщик».
Далее заполнить данные, перечисленные в столбце «Параметр» следующей таблицы.
| Параметр | Описание |
|---|---|
| «Название» | Текстовое наименование поставщика ресурсов |
| «Комментарий» | Информационное сообщение, используемое для описания назначения поставщика ресурсов |
| «Адрес сессионного агента» | Для инфраструктуры MS RDS в этом параметре обязательно нужно указывать не IP-адрес, а FQDN узла. Для STAL можно указать внешний IP-адрес узла. Если STAL установлен на одном узле с Termidesk, нужно также указывать внешний IP-адрес узла. Перед изменением FQDN или IP-адреса STAL необходимо завершить все активные сессии. После смены FQDN или IP-адреса STAL активные сессии, связанные с предыдущим FQDN или IP-адресом, становятся недоступными. Для восстановления доступа к STAL необходимо удалить предыдущие сессии и выполнить новое подключение. FQDN узла, на котором установлен «Сессионный агент» Termidesk |
| «Порт сессионного агента» | Номер порта «Сессионного агента» Termidesk. Значение по умолчанию: «31000» |
| «Домен» | Наименование домена для подключения к терминальному серверу |
| «Логин» | Параметр доступен, если на этапе установки Termidesk был выбран способ хранения паролей «config». Субъект, имеющий полномочия для подключения к терминальному серверу: достаточно только прав для прохождения аутентификации. Отдельные права на чтение приложений не требуются. Для подключения STAL в домене MS AD необходимо указывать логин локального администратора ОС узла, на котором установлен STAL. В ином случае тест соединения для поставщика может пройти успешно, но шаблон РМ при этом добавить не получится |
| «Пароль» | Параметр доступен, если на этапе установки Termidesk был выбран способ хранения паролей «config». Набор символов, подтверждающий назначение полномочий |
| «Путь к секретам» | Параметр доступен, если на этапе установки Termidesk был выбран способ хранения паролей «hvac». Путь к аутентификационным данным учетной записи, расположенным в хранилище. Формат задания пути приведен в подразделе Хранение чувствительной информации с выбранным способом хранения «hvac». Пример: «hvac-kv://secret#termidesk-admin/terminal/» |
| «Таймаут сессионного агента, с» | Время ожидания (в секундах) отклика от «Сессионного агента». Указанное значение также определяет время ожидания обработки запросов при подключении пользователя к STAL и отправляется на компонент «Клиент». Значение по умолчанию: «10» |
| «Использовать HTTPS» | Выбор использования протокола HTTPS для запросов к «Сессионному агенту». При включении параметра на сервере терминалов должны быть добавлены валидные сертификаты и установлена опция В случае необходимости использовать протокол HTTP нужно отключить данный параметр и установить опцию Значение по умолчанию: «Нет» |
| «Валидация сертификата» | Выбор проверки подлинности сертификата при запросах к «Сессионному агенту». Значение по умолчанию: «Нет» |
В инфраструктуре должна быть сетевая связанность между компонентами «Универсальный диспетчер» и «Сессионный агент» по IP-адресу. Если на узле «Универсального диспетчера» используется VPN с туннелированием, функционал оповещения и регистрации, приведенный ниже, между этими компонентами работать не будет.
После добавления сервера терминалов в Termidesk будет зарегистрирован MAC-адрес узла, на котором установлен «Сессионный агент». В то же время непосредственно «Сессионный агент» сохранит IP-адрес «Универсального диспетчера», который отправил ему запрос. Поскольку MAC-адрес нужен для регистрации событий, то в случае его изменения «Универсальный диспетчер» перестанет принимать события от этого «Сессионного агента», однако подключение при этом будет работать.
Для исправления ситуации, когда MAC-адрес был изменен и от «Сессионного агента» перестали регистрироваться события, нужно:
- либо открыть поставщик ресурсов и нажать экранные кнопки [Тест] и [Сохранить] для перерегистрации «Сессионного агента»;
- либо создать новый поставщик ресурсов с указанием нужного «Сессионного агента»;
- либо выполнить на узле с «Универсальным диспетчером» команды:
sudo -u termidesk bash /opt/termidesk/sbin/termidesk-vdi-manage tdsk_refresh_ssa
Указанные команды выполняются также для регистрации «Сессионного агента» в случае, если компонент «Универсальный диспетчер» был обновлен раньше него.
Если после попытки проверить введенные данные экранной кнопкой [Тест] появляются сообщения об ошибке, то при создании шаблона РМ будет блокироваться возможность его сохранения (создания).
Для корректного подключения через компонент «Клиент» к серверу терминалов необходимо задать параметр «Аутентификация на уровне сети (RDP)» в политиках конкретного фонда ВРМ («Рабочие места - Фонды») в соответствии с выбранным сервером:
- «TLS» или «RDP» - для подключения к STAL;
- «NLA» - для подключения к MS RDS.