View im Kiosk Mode at That's my View

View im Kiosk Mode

Nehmen Sie sich bitte einen kurzen Moment um diese Nachricht zu lesen! Hallo! Wenn Sie heute zum ersten Mal hier sind, möchten Sie eventuell den RSS Feed abonieren um immer auf dem neusten Stand zum Thema VDI und End User Computing zu bleiben. Haben Sie ein Konto bei Twitter? Ja?Auch dort können Sie mir folgen! Zum Schluß hätte ich noch zwei Tipps für die Networking Plattform XING. Dort treffen Sie Gleichgesinnte in der Gruppe Virtual Desktops, oder werden Sie Mitglied in einer der deutschen VMware User Groups. Auch diese finden Sie dort!

Die Anwendungsfälle für virtuelle Desktop Infrastrukturen sind weitreichend. Aufgrund der Flexibilität bei der Bereitstellung und dem zentralen Betrieb der virtuellen Maschinen ergeben sich immer neue, interessante Einsatzszenarien. Eines davon sind die sogenannten Kiosk PC. Sie finden diese quasi überall, am Flughafen, am Bahnhof, in Geschäften und auch in Unternehmen. Sie finden Verwendung in Selbstbedienungsterminal, wie dem Ticketautomat, oder werden als Surfstation für den Zugang ins Internet benutzt. Kiosk PC müssen einfach zu bedienen und vor allem sicher sein. Mit VMware View können Sie die Anforderungen eines Kiosk PC genau abdecken. Der virtuelle Desktop wird zentral bereitgestellt, im Terminal selbst wird anstatt eines herkömmlichen PC ein Thin Client verwendet, der sich beim Start automatisch mit dem virtuellen Desktop verbindet. Die Client Umgebung kann sicher gestaltet werden, so dass der Anwender keine Möglichkeit hat, aus der virtuellen Sitzung auszubrechen, bzw. den View Client zu schließen. Auf Wunsch können USB Geräte schon vorab, beim automatischen Verbinden der

Sitzung mit berücksichtigt werden. So lassen sich Drucker, Kartenleser oder andere Geräte ohne eine manuelle Benutzeraktion verwenden. Die Tatsache, dass VDI eine ständige Onlineverbindung zum Rechenzentrum benötigt stellt kein großes Problem dar, denn wenn die Onlineverbindung bei einem herkömmlichen Terminal ausfällt, könnte beispielsweise der Ticketautomat auch nicht mehr auf den Großrechner zugreifen, um die Daten des Kunden zu laden, sondern schaltet sich vorübergehend ab. View bietet neben dem Absichern „Lock down“ des View Client auch die Möglichkeit einer Mac-Adressen basierten Authentifizierung, für die Client Geräte.

Vorbereitung des Active Directory und View Manager

Um den Verwaltungsaufwand für die Kiosk Mode Clients im Active Directory so niedrig wie möglich zu halten, sollten Sie eine dedizierte Organisationseinheit, sowie eine Benutzergruppe für die Konten dieser Clients erstellen. Die Gruppe muss mit einem Pre-Windows 2000 Namen versehen werden, da dieser später über das vdmadmin.exe Tool genutzt werden muss. Ein Floating Desktop Pool, bei dem Einstellungen verworfen werden können ist als virtuelle Maschine für den Kiosk Mode am besten geeignet. Nach dem Sie im View Manager einen Desktop Pool erstellt haben weisen Sie diesen, über die Entitlement-Funktion, der zuvor erstellten Benutzergruppe zu. Achten Sie darauf, dass die Gruppe nur einmal zugewiesen wird. Erstellen Sie für weitere Desktop Pools im Kiosk Mode Betrieb eigene Gruppen.

Standardeinstellungen festlegen

Über das vdmadmin.exe Tool können Standardeinstellungen für die Kiosk Mode Clients gesetzt werden. Zu diesen Einstellungen, gehören die bereits definierte Organisationseinheit, ein Passwortablaufdatum und die Gruppenmitgliedschaft für die im Active Directory definierte Gruppe. Nach dem Ausführen des Befehls auf einem der View Connection Servern werden die Einstellungen automatisch auf alle Replica Server übertragen.

vdmadmin -Q -clientauth -setdefaults [-b <authentication_arguments>] [-ou <DN>][ -expirepassword | -noexpirepassword ] [-group <name> | -nogroup]

Parameter	Beschreibung
-expirepassword	Dieser Parameter spezifiziert die Gültigkeitsdauer für das Passwort der Benutzerkonten.
-group <name>	Beschreibt die Gruppe, zu der die Benutzerkonten für die Clients hinzugefügt werden. Dieser Name muss dem Pre-Windows 2000 Namen im Active Directory entsprechen.
-noexpirepassword	Definiert, dass Passworte für die Konten nie ablaufen.
-nogroup	Löscht die Einstellung für die Standardgruppe.
-ou <DN>	Legt den Distinguished Name der Organisationseinheit fest zu der die Konten hinzugefügt werden. Dieser Parameter kann nicht zur Änderung der Organisationseinheit verwendet werden. Beispiel: OU=kiosk,DC=unternehmen,DC=com

In der vorherigen Tabelle finden Sie die Erklärungen zu den Parametern, mit dem die Anwendung vdmadmin.exe auf dem View Server aufgerufen werden muss.

MAC Adressen der Clients anzeigen lassen

Anstelle der Benutzerkonten aus dem Verzeichnisdienst werden für den Kiosk Mode die MAC Adressen der Clientgeräte zur Authentifizierung verwendet. Um die MAC Adressen der Clients zu ermitteln, können Sie verschiedene Wege wählen, jedoch bietet VMware View einen sehr eleganten Weg bereits selbst an. Auf einem VMware View Client für Windows wechseln Sie in das Programmverzeichnis und führen dort den folgenden Befehl aus.

C:\Program Files\VMware\VMware View\Client\bin\wswc –

printEnvironmentInfo

Der View Client nutzt die vorkonfigurierte VMware View Server Instanz für die Abfrage der Informationen. Zu den Rückgabewerten gehören die IP-Adresse des Clients, die MAC Adresse und der Computername des Client Endgeräts. Auch auf einem Thin Client der mit dem VMware View Client für Linux konfiguriert ist können die Informationen abgefragt werden.

vmware-view –printEnvironmentInfo -s <connection_server>

Unter Linux müssen Sie den Namen des View Connection Server selbst definieren. Achten Sie darauf, dass Sie den korrekten Computernamen des View Servers eintragen, über den der virtuelle Desktop später erreichbar sein wird.

Konten für die Kiosk Mode Clients hinzufügen

Die Konten für die Authentifizierung der Kiosk Mode Clients werden auch über das vdmadmin.exe Tool erstellt. Nachdem Sie die Konten hinzugefügt haben, können sich die Clients an den View Connection Servern anmelden, die für die Clientauthentifizierung freigeschaltet wurden. Der Befehl muss nur einmal auf einem Connection Server innerhalb der View Server Group abgesetzt werden. Das Hinzufügen eines Kontos führt dazu, dass der View Manager automatisch ein Konto für den Client im Active Directory anlegt. Sollten Sie einen eigenen Computernamen für die Clientkonten nutzen wollen, so muss dieser mit Custom- beginnen und darf insgesamt nicht länger als 20 Zeichen lang sein. Falls kein Computername konfiguriert wird, generiert der View Manager einen Namen basierend auf der MAC Adresse des Client. Lautet die MAC Adresse beispielsweise 00:20:ee:aa:55:12, so lautet der generierte Computername cm-00_20_ee_aa_55_12. Nutzen Sie ein Konto immer nur für einen bestimmten Kiosk Mode Client. Der komplette Befehl für die Erstellung der Konten lautet wie folgt.

vdmadmin -Q -clientauth -add [-b <authentication_arguments>] -domain <domain_name> -clientid

<client_id> [-password "<password>" | -genpassword] [-ou <DN>] [-expirepassword |

-noexpirepassword] [-group <group_name> | -nogroup] [-description "beschreibungstext"]

Die nächste Tabelle beschreibt alle nötigen Parameter für das Hinzufügen der Konten, über die eine Authentifizierung der Kiosk Mode Clients durchgeführt werden kann.

Parameter	Beschreibung
-clientID <clientid>	Legt den Namen oder die MAC Adresse des Client fest.
-description <beschreibungstext>	Beschreibungstext für das Active Directory Konto.
-domain <domain_name>	Domäne des Client.
-expirepassword	Setzt die Ablaufzeit für das Password des Kontos.
-genpassword	Generiert ein Passwort für das Konto. Dies ist die Standardeinstellung, so lange nicht –password genutzt wird.
-group <group_name>	Definiert die Gruppe, zu der das Konto hinzugefügt werden soll. Dies muss der Pre-Windows 2000 Name der Gruppe sein.
-noexpirepassword	Durch das Setzen dieses Parameters wird das Passwort für das Konto nie ablaufen.
-nogroup	Das neue Konto wird nicht zur Standardgruppe hinzugefügt.
-ou <DN>	Legt den Distinguished Name für die Organisationseinheit fest.
-password <password>	Legt explizit ein Passwort für das Konto fest.

Die folgenden Beispiele ermöglichen ein besseres Verständnis für den Befehl. Das erste Beispiel verwendet nur die MAC Adresse des Endgeräts, worauf der View Manager einen eingene Namen, basierend darauf generiert. Zusätzlich wird das Passwort automatisch festgelegt. Das zweite Beispiel veranschaulicht die Erstellung eines Kontos bei dem der Name

sowie das Passwort manuell festgelegt werden. Zudem wird die Organisationseinheit unabhängig von der Standardeinstellung gesetzt, die im View Manager festgelegt wurde.

vdmadmin -Q -clientauth -add -domain DOMAENE -clientid 00:20:ee:aa:55:12 -group kiosk-gruppe

vdmadmin -Q -clientauth -add -domain DOMAENE -clientid Custom-Terminal4711 -password "daspasswort" -ou

"OU=kiosk,DC=unternehmen,DC=com" -description "Terminal 4711"

Authentifizierung für Clients einschalten

Die View Server akzeptieren standardmäßig keine Verbindungen von Kiosk Mode Clients. Damit die Verbindungen zu Stande kommen können, muss die Client Authentifizierung für Kiosk Mode Computer zuerst eingeschaltet werden. Der Befehl wird wieder auf einem der View Server, innerhalb der View Server Gruppe ausgeführt werden, jedoch muss explizit definiert sein, welcher View Server Verbindungen annehmen darf. Dazu verwenden Sie erneut die Anwendung vdmadmin.exe und benutzen die folgende Befehlszeile.

vdmadmin -Q -enable -s <connection_server> [-requirepassword]

Um die Client Authentifizierung auf einem der Broker einzuschalten benötigt der Befehl nur zwei Parameter – den Connection Server Namen, der über den Parameter –s angegeben wird und es muss definiert werden, ob die Connection Server ein Password vom Client abfragen sollen.

Konfiguration überprüfen

Nachdem alle Einstellungen konfiguriert wurden, sollten Sie diese zum Schluss noch einmal auf Ihre Korrektheit überprüfen. Dazu nutzen Sie den folgenden Befehl, der Ihnen eine Auflistung über die Kiosk Mode Clients und die View Connection Server zurückgibt.

vdmadmin -Q -clientauth -list [-b <authentication_arguments>] [-xml]

Im Textformat an der Kommandozeile, oder in einer XML Datei erhalten Sie detaillierte Informationen zu den Kiosk Mode Komponenten. Neben einer einzigartigen GUID pro Konto, erhalten Sie Angaben zu der Client ID, den Domänen, ob das Passwort automatisch generiert oder manuell gesetzt wurde und welche View Server für den Zugriff zugelassen sind.

Verbinden mit dem Kiosk Mode Client

Die Verbindung zu einem virtuellen Desktop von einem Kiosk Mode Client aus funktioniert genau wie bei einer normalen Verbindung über den VMware View Client, jedoch muss dieser über die Kommandozeile, oder eine Batchdatei aufgerufen werden, da der Client mit einer speziellen Befehlszeile gestartet werden muss. Eine Beispieldatei dazu finden Sie auf einem Windows Client Gerät im Pfad C:\Program Files\VMware\VMware View\Client\bin\kiosk_mode.cmd. In der folgenden Tabelle finden Sie alle Parameter, die Sie beim Aufruf des View Client im Kiosk Mode benötigen.

Der Befehl für die Verbindung zum virtuellen Desktop wird im folgenden Format angegeben.

C:\Program Files\VMware\VMware View\Client\bin\wswc

-unattended [-serverURL <servername>] [-userName

<benutzername>] [-password <daspasswort>]

Parameter	Beschreibung
-password <password>	Falls für das Konto ein Passwort gesetzt wurde, muss dieses über den Parameter übergeben werden.
-serverURL <servername>	Legt die URL des Connection Server fest. An dieser Stelle kann die IP Adresse oder der vollqualifizierte Domänenname (FQDN) genutzt werden.
-userName <benutzername>	Falls die Authentifizierung über den selbstdefinierten Kontonamen beginnend mit custom- durchgeführt werden soll, dann müssen Sie ihn über diesen Parameter festlegen. Ohne den Parameter wird die MAC Adresse verwendet.

Nachdem der View Manager den Kiosk Client authentifiziert hat, wird geprüft ob der Desktop auf den zugegriffen werden soll verfügbar ist. Ist dies der Fall, so wird automatisch die Verbindung zum virtuellen Desktop aufgebaut.