Перейти к содержанию

Настройка компонентов Space Agent VDI

GLINT

Уровень конфиденциальности

Для корректного запуска x-сессии на ОС Astra Linux SE пользователь должен иметь низкий уровень конфиденциальности и целостности (Панель управления - Безопасность - Политика безопасности - Пользователи - Свойства пользователя - МРД).

Работа администратора с высоким уровнем целостности и конфиденциальности на данный момент заблокирована.

Если требуется разрешить такую работу, необходимо отредактировать настройки службы glint-launcher (/etc/systemd/system/glint-launcher.service), закомментировав строку PDPLabel=0:0, и выполнить перезапуск службы.

Подготовка ФМ/ВМ

Установка графического окружения

Для РЕД ОС необходимо установить DE (графическое окружение) по умолчанию.

Установка Mate DE по умолчанию:

sed -i '/PREFERRED=/d' /etc/sysconfig/desktop 2>/dev/null; echo 'PREFERRED="$(type -p mate-session)"' >> /etc/sysconfig/desktop

Установка Gnome DE по умолчанию:

sed -i '/PREFERRED=/d' /etc/sysconfig/desktop 2>/dev/null; echo 'PREFERRED="$(type -p gnome-session)"' >> /etc/sysconfig/desktop

Для работы протокола GLINT необходимо:

  1. Установить на удаленную ФМ/ВМ glint_server согласно инструкции.

    Подключение по протоколу GLINT возможно только на удаленной ФМ/ВМ с ОС Astra Linux SE 1.7, Astra Linux SE 1.8 и РЕД ОС 7.3.5.

    Примечание

    Для корректного подключения на удаленной физической или виртуальной машине должны быть открыты порты 39897 и 7778.

    Проверить статус сервиса glint-launcher.serviсe можно с помощью команды: 

    systemctl status glint-launcher.service

  2. Создать локального пользователя ОС Astra Linux SE 1.7 или Astra Linux SE 1.8 согласно инструкции производителя.

    Внимание

    Учетную запись, созданную при установке ОС, невозможно применить для работы по протоколу GLINT.

    Необходимо создать нового (не системного) локального пользователя в ОС со следующими параметрами:

    • PID (UID) != 1000.

    • Домашний каталог: установить опцию Новый.

    • МРД Конфиденциальность = Уровень_0.

    • Целостность = 0 (Низкий).

    Новый пользователь не должен быть членом группы Администратор в ОС Astra Linux SE.

  3. Добавить нового пользователя в группу audio с помощью команды: 

    sudo usermod -aG audio <username>

    где <username> — имя созданного пользователя.

  4. Включить linger для пользователя с помощью команды:

    sudo loginctl enable-linger <username>

    где <username> — имя созданного пользователя.

  5. Перезагрузить удаленную машину.

  6. Создать в Space Disp пользователя с такими же логином и паролем, как в ОС Astra Linux SE во втором шаге.

  7. Перейти в Space Client, выполнить настройку и аутентифицироваться с учетными данными созданного пользователя.

Space Agent PC

При установке Space Agent PC будет создан зашифрованный бинарный ключ, содержащий адрес/адреса диспетчера, порт диспетчера и токен интеграции. Если при установке были указанные некорректные данные, ключ можно сгенерировать снова.

ОС Astra Linux SE

Для повторной генерации ключа необходимо из /opt/space-agent-pc удалить старый ключ и вызвать скрипт agent-key-gen: 

sudo ./agent-key-gen --disp-addr $DISP_ADDR --disp-port $DISP_PORT --token $TOKEN

где disp-addr — адрес диспетчера.
disp-port — порт диспетчера для подключения агента.
token — токен интеграции.

Адресов может быть несколько, в таком случае необходимо указывать их через запятую.

Затем необходимо перезапустить службу с выводом статуса:

sudo systemctl daemon-reload

sudo systemctl stop space-agent-pc.service


sudo systemctl start space-agent-pc.service

sudo systemctl status space-agent-pc.service

ОС Windows

Примечание

Команды рекомендуется выполнять из консоли Windows (не PowerShell) и от имени администратора.

Для повторной генерации ключа необходимо из C:\Program Files (x86)\Space Agent PC (или из директории, в которую был установлен Space Agent PC) удалить старый ключ key.bin и вызвать скрипт agent-key-gen: 

agent-key-gen.exe --disp-addr $DISP_ADDR --disp-port $DISP_PORT --token $TOKEN

где disp-addr — адрес диспетчера.
disp-port — порт диспетчера для подключения агента.
token — токен интеграции.

Адресов может быть несколько, в таком случае необходимо указывать их через запятую.

Затем необходимо перезапустить службу с выводом статуса:

sc stop SpaceAgentPC

sc start SpaceAgentPC

sc query SpaceAgentPC

Обновление ключа через Web-интерфейс

Обновить ключ можно также с помощью кнопки Обновить ключ в окне подробного просмотра физической машины в Web-интерфейсе Space Dispatcher. В открывшемся окне необходимо добавить актуальные адреса диспетчера.

Если обновление ключа происходит после новой установки диспетчера, также необходимо включить опцию Редактировать токен и ввести токен предыдущей установки.