Remote Desktop Zugang

Auf den BlackBox Arbeitsplatz kann via der [[xrdp>>http://xrdp.org]] Technik mittels des Remote Desktop (RDP) Protokolls zugegriffen werden.

4

5

Dazu wird nur ein RDP Client benötigt, welcher für alle gängigen Betriebssysteme verfügbar ist (s.u.).

6

7

Dieser muss aktuell genug sein um eine Zertifikatsbasierende Authentisierung des RDP Servers und moderne Cypher Suites zu unterstützen. (siehe: {{code}}openssl ciphers AES+aRSA:AES+aECDH:AES+aECDSA{{/code}})

= VPN/ssh-tunnel =

Da das LRZ aus Sicherheitsgründen den RDP Port (3389) generell gesperrt hat, muss man zum Zugriff auf den Remote Desktop eine VPN Verbindung (Siehe Helpdesk) aufbauen, oder einen ssh Tunnel zum Zugangsserver aufbauen:

12

13

14

ssh -L3389:localhost:3389 <Zugangsserver>

15

16

17

Und dann eine RDP Verbindung zu {{code}}localhost{{/code}} aufmachen.

= Zugangsserver =

Der Informatik Arbeitsplatz, wie er auch in den RechnerHallen verfügbar ist, wird über den Zugangsserver

halle.cit.tum.de

erreicht.

Der Mathematik Arbeitsplatz, wie er auch auf allen BlackBox Systemen in der Mathematik eingerichtet ist, wird über den Zugangsserver

ssh.ma.tum.de

erreicht.

== Fingerprints ==

Je nach Client kann eine sichtbare Zertifikatsüberprüfung stattfinden. Sie können das Zertifikat anhand folgender Fingerprints verifizieren:

41

42

|=Zugangsserver|=Fingerprint

43

|halle.cit.tum.de|{{code language="none"}}sha1: d2240b2490310c32faaf7b2fd743b7a1c190021e

44

sha256: c9dd261386989ab724638c9ddce65dd79ee0638c94873c99751da92bdb4d509f{{/code}}

45

|ssh.ma.tum.de|{{code language="none"}}80:79:07:56:2f:c6:0b:67:a0:62:a6:f5:93:a8:5f:ac:09:3e:2a:93{{/code}}

= Session =

Nach Verbindung mit dem Remote Desktop Zugangsserver kann man sich wie gewohnt mit seinen Zugangsdaten anmelden. Entweder werden diese über ein Login Fenster abgefragt, oder sie können direkt in den RDP Client eingegeben werden. Je nach Client verlangt dieser sogar zwingend diese Zugangsdaten.

50

51

== Session Wiederherstellung ==

52

53

Eine Sitzung kann weiterbestehen, auch wenn man nicht mit ihr verbunden ist.

54

55

Wenn man dies wünscht, einfach nicht mit dem Menüpunkt {{code language="none"}}Applications -> Log Out{{/code}} ausloggen, sondern den Remote Desktop Client schließen. Alternativ den Befehl {{code language="none"}}xrdp-dis {{/code}}ausführen.

56

57

Bei der Wiederanmeldung wird dann die schon bestehende Sitzung fortgeführt. Man muss nicht mehr - wie früher - darauf achten dieselbe Bildschirmauflösung wie beim letzten Mal zu haben, das RDP Fenster wird jetzt korrekt in der Größe angepasst.

58

59

= Mehrmaliges Starten von Programmen =

60

61

Da Software sowohl im Remote Desktop, wie auch direkt am Rechner (Rechnerhalle, Blackbox Arbeitsplatz) gleichzeitig gestartet werden kann, muß beachtet werden, daß nicht alle Programme dies unterstützen! Leider sind insbesondere Webbrowser davon betroffen.

62

63

Sollte also die Meldung kommen, dass das Programm bereits geöffnet ist, diese bitte zuvor am jeweilig anderen Arbeitsplatz beenden.

64

65

== Bekannte betroffene Software ==

* FireFox

* Thunderbird

* Chromium

* Vivaldi

* LibreOffice

Diese - und andere - Programme warnen davor, wenn sie auf einem anderen Rechner ausgeführt werden. Diese Meldung kann korrekt sein, oder es handelt sich um Überreste einer frühreren Sitzung mit dem Programm. Evtl bietet diese Warnung auch an, die Überreste zu entfernen.

74

75

Für FireFox und Thunderbird stehen die Skripte {{code}}repairfirefox.sh {{/code}}und {{code}}repairthunderbird.sh{{/code}} zur Verfügung, die man im Terminal starten kann, sollten die Überreste entfernt werden.

76

77

**Achtung**: Wenn die Überreste entfernt werden, obwohl das Programm mehrmals ausgeführt wird, kann es zu ungewünschten Seiteneffekten bis zu evtl. Datenverlust kommen.

= Fehlerbehebungen =

== thinclient_drives ==

82

83

Hin und wieder kann es dazu kommen, dass der Filemanger beim Anzeigen des Homedirectories eine Fehlermeldung anzeigt: {{code language="none"}}Failed to open directory ... thinclient_drives: Transport endpoint is not connected{{/code}}

84

85

Dies entsteht wenn man sich öfters mit dem xrdp Server connected und disconnected und er dabei das verzeichnis {{code}}thinclient_drives{{/code}} nicht korrekt freigibt.

86

87

Dies kann durch eingeben des folgenden Befehls im Terminal behoben werden:

88

89

90

$ fusermount -u ~/thinclient_drives

91

92

93

Das Verzeichnis {{code}}thinclient_drives{{/code}} wird zum File- und Clipboardsharen mit dem

94

lokalen Computer verwendet. (Sollte der rdp Client das unterstützen.)

95

96

Damit dieses unmounten erfolgreich ist, muss das Verzeichnis {{code}}thinclient_drives{{/code}} für jedermann ausführbar sein, d.h. das executable Recht muss gegeben sein. Bitte beachten sie dieses, wenn das Homeverzeichnis geschützt wurde. Dies ist evtl. der Grund dafür, dass der Fehler überhaupt erst aufgetreten ist.

97

98

== Session Probleme ==

99

100

Sollte man trotz korrekten Passwortes sofort wieder aus der Sitzung herausgeworfen werden oder nur einen schwarzen Bildschirm angezeigt bekommen, kann man sich via ssh am Remote Desktop Server anmelden und die Session mittels {{code}}killall Xorg{{/code}} von Hand beenden

101

102

103

$ ssh <Remote Desktop Server>

104

---

105

<remote Desktop Server>$ killall Xorg

= Sicherheitsvorkehrungen =

110

111

Der RDP Server authentifiziert sich via Zertifikat am Client (s.o.)

112

113

114

{{html wiki="true"}}<span class='WYSIWYG_COLOR ' style='color:Red'>ACHTUNG</span>{{/html}}: Meldungen über ein Fehlerhaftes Zertifikat sollten auf keinen Fall weggeklickt werden. Im Notfall das Zertifikat anhand des Fingerprints (s.o.) verifizieren.

115

116

117

<span style='background-color: transparent;' >Es wird zum Zugriff nur noch TLSv1.1 und TLSv1.2 mit folgenden Cipher Suites zugelassen: AES+aRSA:AES+aECDH:AES+aECDSA</span>

118

119

120

ggf. muss der rdp Client aktualisiert werden.

121

122

für eine Liste aller Ciphers einfach {{code language="none"}}openssl ciphers AES+aRSA:AES+aECDH:AES+aECDSA{{/code}} eingeben.

= RDP Clients =

== macOS ==

* [[Microsoft Remote Desktop>>https://apps.apple.com/de/app/microsoft-remote-desktop/id1295203466?l=en&mt=12]]

129

** Version 10 des Microsoft Remote Desktop Clients zeigt keine Schrift im Login Fenster an. Dies ist nicht weiter schlimm, da das Programm sowieso zwingend Nutzerdaten verlangt, und der separate Login Bildschirm nur dann sichtbar ist, wenn diese falsch sind. Zudem kann der Login auch ohne Textdarstellung bedient werden. Danach funktioniert alles wie gewohnt.

== Linux ==

* [[rdesktop >>https://www.rdesktop.org/]] ein Client im Terminal (auf der BlackBox leider nicht aktuell genug)

134

* [[KRDC>>http://www.kde.org/applications/internet/krdc/]]

135

* [[Vinagre>>https://wiki.gnome.org/Apps/Vinagre/]]

136

* [[Remmina>>https://www.remmina.org/]] Auf der BlackBox installiert.

137

** Für beste Performance {{code language="none"}}RemoteFX (32bpp){{/code}} bei Farbtiefe konfigurieren.

== Windows ==

* Der Remote Desktop Client ist auf Windows bereits vorinstalliert.{{/code}}

Wiki-Quellcode von Remote Desktop Zugang

Navigation

author	version	line-number	content
		1	{{toc/}}
		2
		3	Auf den BlackBox Arbeitsplatz kann via der [[xrdp>>http://xrdp.org]] Technik mittels des Remote Desktop (RDP) Protokolls zugegriffen werden.
		4
		5	Dazu wird nur ein RDP Client benötigt, welcher für alle gängigen Betriebssysteme verfügbar ist (s.u.).
		6
		7	Dieser muss aktuell genug sein um eine Zertifikatsbasierende Authentisierung des RDP Servers und moderne Cypher Suites zu unterstützen. (siehe: {{code}}openssl ciphers AES+aRSA:AES+aECDH:AES+aECDSA{{/code}})
		8
		9	= VPN/ssh-tunnel =
		10
		11	Da das LRZ aus Sicherheitsgründen den RDP Port (3389) generell gesperrt hat, muss man zum Zugriff auf den Remote Desktop eine VPN Verbindung (Siehe Helpdesk) aufbauen, oder einen ssh Tunnel zum Zugangsserver aufbauen:
		12
		13	{{code}}
		14	ssh -L3389:localhost:3389 <Zugangsserver>
		15	{{/code}}
		16
		17	Und dann eine RDP Verbindung zu {{code}}localhost{{/code}} aufmachen.
		18
		19	= Zugangsserver =
		20
		21	Der Informatik Arbeitsplatz, wie er auch in den RechnerHallen verfügbar ist, wird über den Zugangsserver
		22
		23	{{code}}
		24	halle.cit.tum.de
		25	{{/code}}
		26
		27	erreicht.
		28
		29	Der Mathematik Arbeitsplatz, wie er auch auf allen BlackBox Systemen in der Mathematik eingerichtet ist, wird über den Zugangsserver
		30
		31	{{code}}
		32	ssh.ma.tum.de
		33	{{/code}}
		34
		35	erreicht.
		36
		37
		38	== Fingerprints ==
		39
		40	Je nach Client kann eine sichtbare Zertifikatsüberprüfung stattfinden. Sie können das Zertifikat anhand folgender Fingerprints verifizieren:
		41
		42	\|=Zugangsserver\|=Fingerprint
		43	\|halle.cit.tum.de\|{{code language="none"}}sha1: d2240b2490310c32faaf7b2fd743b7a1c190021e
		44	sha256: c9dd261386989ab724638c9ddce65dd79ee0638c94873c99751da92bdb4d509f{{/code}}
		45	\|ssh.ma.tum.de\|{{code language="none"}}80:79:07:56:2f:c6:0b:67:a0:62:a6:f5:93:a8:5f:ac:09:3e:2a:93{{/code}}
		46
		47	= Session =
		48
		49	Nach Verbindung mit dem Remote Desktop Zugangsserver kann man sich wie gewohnt mit seinen Zugangsdaten anmelden. Entweder werden diese über ein Login Fenster abgefragt, oder sie können direkt in den RDP Client eingegeben werden. Je nach Client verlangt dieser sogar zwingend diese Zugangsdaten.
		50
		51	== Session Wiederherstellung ==
		52
		53	Eine Sitzung kann weiterbestehen, auch wenn man nicht mit ihr verbunden ist.
		54
		55	Wenn man dies wünscht, einfach nicht mit dem Menüpunkt {{code language="none"}}Applications -> Log Out{{/code}} ausloggen, sondern den Remote Desktop Client schließen. Alternativ den Befehl {{code language="none"}}xrdp-dis {{/code}}ausführen.
		56
		57	Bei der Wiederanmeldung wird dann die schon bestehende Sitzung fortgeführt. Man muss nicht mehr - wie früher - darauf achten dieselbe Bildschirmauflösung wie beim letzten Mal zu haben, das RDP Fenster wird jetzt korrekt in der Größe angepasst.
		58
		59	= Mehrmaliges Starten von Programmen =
		60
		61	Da Software sowohl im Remote Desktop, wie auch direkt am Rechner (Rechnerhalle, Blackbox Arbeitsplatz) gleichzeitig gestartet werden kann, muß beachtet werden, daß nicht alle Programme dies unterstützen! Leider sind insbesondere Webbrowser davon betroffen.
		62
		63	Sollte also die Meldung kommen, dass das Programm bereits geöffnet ist, diese bitte zuvor am jeweilig anderen Arbeitsplatz beenden.
		64
		65	== Bekannte betroffene Software ==
		66
		67	* FireFox
		68	* Thunderbird
		69	* Chromium
		70	* Vivaldi
		71	* LibreOffice
		72
		73	Diese - und andere - Programme warnen davor, wenn sie auf einem anderen Rechner ausgeführt werden. Diese Meldung kann korrekt sein, oder es handelt sich um Überreste einer frühreren Sitzung mit dem Programm. Evtl bietet diese Warnung auch an, die Überreste zu entfernen.
		74
		75	Für FireFox und Thunderbird stehen die Skripte {{code}}repairfirefox.sh {{/code}}und {{code}}repairthunderbird.sh{{/code}} zur Verfügung, die man im Terminal starten kann, sollten die Überreste entfernt werden.
		76
		77	Achtung: Wenn die Überreste entfernt werden, obwohl das Programm mehrmals ausgeführt wird, kann es zu ungewünschten Seiteneffekten bis zu evtl. Datenverlust kommen.
		78
		79	= Fehlerbehebungen =
		80
		81	== thinclient_drives ==
		82
		83	Hin und wieder kann es dazu kommen, dass der Filemanger beim Anzeigen des Homedirectories eine Fehlermeldung anzeigt: {{code language="none"}}Failed to open directory ... thinclient_drives: Transport endpoint is not connected{{/code}}
		84
		85	Dies entsteht wenn man sich öfters mit dem xrdp Server connected und disconnected und er dabei das verzeichnis {{code}}thinclient_drives{{/code}} nicht korrekt freigibt.
		86
		87	Dies kann durch eingeben des folgenden Befehls im Terminal behoben werden:
		88
		89	{{code}}
		90	$ fusermount -u ~/thinclient_drives
		91	{{/code}}
		92
		93	Das Verzeichnis {{code}}thinclient_drives{{/code}} wird zum File- und Clipboardsharen mit dem
		94	lokalen Computer verwendet. (Sollte der rdp Client das unterstützen.)
		95
		96	Damit dieses unmounten erfolgreich ist, muss das Verzeichnis {{code}}thinclient_drives{{/code}} für jedermann ausführbar sein, d.h. das executable Recht muss gegeben sein. Bitte beachten sie dieses, wenn das Homeverzeichnis geschützt wurde. Dies ist evtl. der Grund dafür, dass der Fehler überhaupt erst aufgetreten ist.
		97
		98	== Session Probleme ==
		99
		100	Sollte man trotz korrekten Passwortes sofort wieder aus der Sitzung herausgeworfen werden oder nur einen schwarzen Bildschirm angezeigt bekommen, kann man sich via ssh am Remote Desktop Server anmelden und die Session mittels {{code}}killall Xorg{{/code}} von Hand beenden
		101
		102	{{code}}
		103	$ ssh <Remote Desktop Server>
		104	---
		105	<remote Desktop Server>$ killall Xorg
		106
		107	{{/code}}
		108
		109	= Sicherheitsvorkehrungen =
		110
		111	Der RDP Server authentifiziert sich via Zertifikat am Client (s.o.)
		112
		113
		114	{{html wiki="true"}}<span class='WYSIWYG_COLOR ' style='color:Red'>ACHTUNG</span>{{/html}}: Meldungen über ein Fehlerhaftes Zertifikat sollten auf keinen Fall weggeklickt werden. Im Notfall das Zertifikat anhand des Fingerprints (s.o.) verifizieren.
		115
		116	{{html wiki="true"}}
		117	<span style='background-color: transparent;' >Es wird zum Zugriff nur noch TLSv1.1 und TLSv1.2 mit folgenden Cipher Suites zugelassen: AES+aRSA:AES+aECDH:AES+aECDSA</span>
		118	{{/html}}
		119
		120	ggf. muss der rdp Client aktualisiert werden.
		121
		122	für eine Liste aller Ciphers einfach {{code language="none"}}openssl ciphers AES+aRSA:AES+aECDH:AES+aECDSA{{/code}} eingeben.
		123
		124	= RDP Clients =
		125
		126	== macOS ==
		127
		128	* [[Microsoft Remote Desktop>>https://apps.apple.com/de/app/microsoft-remote-desktop/id1295203466?l=en&mt=12]]
		129	** Version 10 des Microsoft Remote Desktop Clients zeigt keine Schrift im Login Fenster an. Dies ist nicht weiter schlimm, da das Programm sowieso zwingend Nutzerdaten verlangt, und der separate Login Bildschirm nur dann sichtbar ist, wenn diese falsch sind. Zudem kann der Login auch ohne Textdarstellung bedient werden. Danach funktioniert alles wie gewohnt.
		130
		131	== Linux ==
		132
		133	* [[rdesktop >>https://www.rdesktop.org/]] ein Client im Terminal (auf der BlackBox leider nicht aktuell genug)
		134	* [[KRDC>>http://www.kde.org/applications/internet/krdc/]]
		135	* [[Vinagre>>https://wiki.gnome.org/Apps/Vinagre/]]
		136	* [[Remmina>>https://www.remmina.org/]] Auf der BlackBox installiert.
		137	** Für beste Performance {{code language="none"}}RemoteFX (32bpp){{/code}} bei Farbtiefe konfigurieren.
		138
		139	== Windows ==
		140
		141	* Der Remote Desktop Client ist auf Windows bereits vorinstalliert.{{/code}}