Remote Desktop Zugang

Zuletzt geändert von Martin Uhl am 2024/11/05 13:37

Auf den BlackBox Arbeitsplatz kann via der xrdp Technik mittels des Remote Desktop (RDP) Protokolls zugegriffen werden.

Dazu wird nur ein RDP Client benötigt, welcher für alle gängigen Betriebssysteme verfügbar ist (s.u.).

Dieser muss aktuell genug sein um eine Zertifikatsbasierende Authentisierung des RDP Servers und moderne Cypher Suites zu unterstützen. (siehe: openssl ciphers AES+aRSA:AES+aECDH:AES+aECDSA)

VPN/ssh-tunnel

Da das LRZ aus Sicherheitsgründen den RDP Port (3389) generell gesperrt hat, muss man zum Zugriff auf den Remote Desktop eine VPN Verbindung (Siehe Helpdesk) aufbauen, oder einen ssh Tunnel zum Zugangsserver aufbauen:

ssh -L3389:localhost:3389 <Zugangsserver>

Und dann eine RDP Verbindung zu localhost aufmachen.

Zugangsserver

Der Informatik Arbeitsplatz, wie er auch in den RechnerHallen verfügbar ist, wird über den Zugangsserver

halle.cit.tum.de

erreicht.

Der Mathematik Arbeitsplatz, wie er auch auf allen BlackBox Systemen in der Mathematik eingerichtet ist, wird über den Zugangsserver

ssh.ma.tum.de

erreicht.

Fingerprints

Je nach Client kann eine sichtbare Zertifikatsüberprüfung stattfinden. Sie können das Zertifikat anhand folgender Fingerprints verifizieren:

ZugangsserverFingerprint
halle.cit.tum.desha1: d2240b2490310c32faaf7b2fd743b7a1c190021e
sha256: c9dd261386989ab724638c9ddce65dd79ee0638c94873c99751da92bdb4d509f
ssh.ma.tum.de80:79:07:56:2f:c6:0b:67:a0:62:a6:f5:93:a8:5f:ac:09:3e:2a:93

Session

Nach Verbindung mit dem Remote Desktop Zugangsserver kann man sich wie gewohnt mit seinen Zugangsdaten anmelden. Entweder werden diese über ein Login Fenster abgefragt, oder sie können direkt in den RDP Client eingegeben werden. Je nach Client verlangt dieser sogar zwingend diese Zugangsdaten.

Session Wiederherstellung

Eine Sitzung kann weiterbestehen, auch wenn man nicht mit ihr verbunden ist.

Wenn man dies wünscht, einfach nicht mit dem Menüpunkt Applications -> Log Out ausloggen, sondern den Remote Desktop Client schließen. Alternativ den Befehl xrdp-dis ausführen.

Bei der Wiederanmeldung wird dann die schon bestehende Sitzung fortgeführt. Man muss nicht mehr - wie früher - darauf achten dieselbe Bildschirmauflösung wie beim letzten Mal zu haben, das RDP Fenster wird jetzt korrekt in der Größe angepasst.

Mehrmaliges Starten von Programmen

Da Software sowohl im Remote Desktop, wie auch direkt am Rechner (Rechnerhalle, Blackbox Arbeitsplatz) gleichzeitig gestartet werden kann, muß beachtet werden, daß nicht alle Programme dies unterstützen! Leider sind insbesondere Webbrowser davon betroffen.

Sollte also die Meldung kommen, dass das Programm bereits geöffnet ist, diese bitte zuvor am jeweilig anderen Arbeitsplatz beenden.

Bekannte betroffene Software

  • FireFox
  • Thunderbird
  • Chromium
  • Vivaldi
  • LibreOffice

Diese - und andere - Programme warnen davor, wenn sie auf einem anderen Rechner ausgeführt werden. Diese Meldung kann korrekt sein, oder es handelt sich um Überreste einer frühreren Sitzung mit dem Programm. Evtl bietet diese Warnung auch an, die Überreste zu entfernen.

Für FireFox und Thunderbird stehen die Skripte repairfirefox.sh und repairthunderbird.sh zur Verfügung, die man im Terminal starten kann, sollten die Überreste entfernt werden.

Achtung: Wenn die Überreste entfernt werden, obwohl das Programm mehrmals ausgeführt wird, kann es zu ungewünschten Seiteneffekten bis zu evtl. Datenverlust kommen.

Fehlerbehebungen

thinclient_drives

Hin und wieder kann es dazu kommen, dass der Filemanger beim Anzeigen des Homedirectories eine Fehlermeldung anzeigt: Failed to open directory ... thinclient_drives: Transport endpoint is not connected

Dies entsteht wenn man sich öfters mit dem xrdp Server connected und disconnected und er dabei das verzeichnis thinclient_drives nicht korrekt freigibt.

Dies kann durch eingeben des folgenden Befehls im Terminal behoben werden:

$ fusermount -u ~/thinclient_drives

Das Verzeichnis thinclient_drives wird zum File- und Clipboardsharen mit dem
lokalen Computer verwendet. (Sollte der rdp Client das unterstützen.)

Damit dieses unmounten erfolgreich ist, muss das Verzeichnis thinclient_drives für jedermann ausführbar sein, d.h. das executable Recht muss gegeben sein. Bitte beachten sie dieses, wenn das Homeverzeichnis geschützt wurde. Dies ist evtl. der Grund dafür, dass der Fehler überhaupt erst aufgetreten ist.

Session Probleme

Sollte man trotz korrekten Passwortes sofort wieder aus der Sitzung herausgeworfen werden oder nur einen schwarzen Bildschirm angezeigt bekommen, kann man sich via ssh am Remote Desktop Server anmelden und die Session mittels killall Xorg von Hand beenden

$ ssh <Remote Desktop Server>
---
<remote Desktop Server>$ killall Xorg

Sicherheitsvorkehrungen

Der RDP Server authentifiziert sich via Zertifikat am Client (s.o.)

ACHTUNG: Meldungen über ein Fehlerhaftes Zertifikat sollten auf keinen Fall weggeklickt werden. Im Notfall das Zertifikat anhand des Fingerprints (s.o.) verifizieren.

Es wird zum Zugriff nur noch TLSv1.1 und TLSv1.2 mit folgenden Cipher Suites zugelassen: AES+aRSA:AES+aECDH:AES+aECDSA

ggf. muss der rdp Client aktualisiert werden.

für eine Liste aller Ciphers einfach openssl ciphers AES+aRSA:AES+aECDH:AES+aECDSA eingeben.

RDP Clients

macOS

  • Microsoft Remote Desktop
    • Version 10 des Microsoft Remote Desktop Clients zeigt keine Schrift im Login Fenster an. Dies ist nicht weiter schlimm, da das Programm sowieso zwingend Nutzerdaten verlangt, und der separate Login Bildschirm nur dann sichtbar ist, wenn diese falsch sind. Zudem kann der Login auch ohne Textdarstellung bedient werden. Danach funktioniert alles wie gewohnt.

Linux

  • rdesktop  ein Client im Terminal (auf der BlackBox leider nicht aktuell genug)
  • KRDC
  • Vinagre
  • Remmina Auf der BlackBox installiert.
    • Für beste Performance RemoteFX (32bpp) bei Farbtiefe konfigurieren.

Windows

  • Der Remote Desktop Client ist auf Windows bereits vorinstalliert.{{/code}}