Wiki-Quellcode von Remote Desktop Zugang

Zuletzt geändert von Martin Uhl am 2024/11/05 13:37

version	line-number	content
1.1	1	{{toc/}}
	2
	3	Auf den BlackBox Arbeitsplatz kann via der [[xrdp>>http://xrdp.org]] Technik mittels des Remote Desktop (RDP) Protokolls zugegriffen werden.
	4
	5	Dazu wird nur ein RDP Client benötigt, welcher für alle gängigen Betriebssysteme verfügbar ist (s.u.).
	6
8.1	7	Dieser muss aktuell genug sein um eine Zertifikatsbasierende Authentisierung des RDP Servers und moderne Cypher Suites zu unterstützen. (siehe: {{code}}openssl ciphers AES+aRSA:AES+aECDH:AES+aECDSA{{/code}})
1.1	8
11.1	9	= VPN/ssh-tunnel =
1.1	10
14.1	11	Da das LRZ aus Sicherheitsgründen den RDP Port (3389) generell gesperrt hat, muss man zum Zugriff auf den Remote Desktop eine VPN Verbindung (Siehe Helpdesk) aufbauen, oder einen ssh Tunnel zum Zugangsserver aufbauen:
11.1	12
14.1	13	{{code}}
	14	ssh -L3389:localhost:3389 <Zugangsserver>
	15	{{/code}}
	16
15.1	17	Und dann eine RDP Verbindung zu {{code}}localhost{{/code}} aufmachen.
14.1	18
10.1	19	= Zugangsserver =
1.1	20
	21	Der Informatik Arbeitsplatz, wie er auch in den RechnerHallen verfügbar ist, wird über den Zugangsserver
	22
8.1	23	{{code}}
13.1	24	halle.cit.tum.de
8.1	25	{{/code}}
7.1	26
1.1	27	erreicht.
	28
	29	Der Mathematik Arbeitsplatz, wie er auch auf allen BlackBox Systemen in der Mathematik eingerichtet ist, wird über den Zugangsserver
	30
8.1	31	{{code}}
	32	ssh.ma.tum.de
	33	{{/code}}
1.1	34
7.1	35	erreicht.
1.1	36
	37
8.1	38	== Fingerprints ==
1.1	39
	40	Je nach Client kann eine sichtbare Zertifikatsüberprüfung stattfinden. Sie können das Zertifikat anhand folgender Fingerprints verifizieren:
6.1	41
8.1	42	\|=Zugangsserver\|=Fingerprint
13.1	43	\|halle.cit.tum.de\|{{code language="none"}}sha1: d2240b2490310c32faaf7b2fd743b7a1c190021e
	44	sha256: c9dd261386989ab724638c9ddce65dd79ee0638c94873c99751da92bdb4d509f{{/code}}
8.1	45	\|ssh.ma.tum.de\|{{code language="none"}}80:79:07:56:2f:c6:0b:67:a0:62:a6:f5:93:a8:5f:ac:09:3e:2a:93{{/code}}
1.1	46
8.1	47	= Session =
1.1	48
	49	Nach Verbindung mit dem Remote Desktop Zugangsserver kann man sich wie gewohnt mit seinen Zugangsdaten anmelden. Entweder werden diese über ein Login Fenster abgefragt, oder sie können direkt in den RDP Client eingegeben werden. Je nach Client verlangt dieser sogar zwingend diese Zugangsdaten.
	50
8.1	51	== Session Wiederherstellung ==
1.1	52
	53	Eine Sitzung kann weiterbestehen, auch wenn man nicht mit ihr verbunden ist.
	54
7.1	55	Wenn man dies wünscht, einfach nicht mit dem Menüpunkt {{code language="none"}}Applications -> Log Out{{/code}} ausloggen, sondern den Remote Desktop Client schließen. Alternativ den Befehl {{code language="none"}}xrdp-dis {{/code}}ausführen.
1.1	56
	57	Bei der Wiederanmeldung wird dann die schon bestehende Sitzung fortgeführt. Man muss nicht mehr - wie früher - darauf achten dieselbe Bildschirmauflösung wie beim letzten Mal zu haben, das RDP Fenster wird jetzt korrekt in der Größe angepasst.
	58
8.1	59	= Mehrmaliges Starten von Programmen =
1.1	60
	61	Da Software sowohl im Remote Desktop, wie auch direkt am Rechner (Rechnerhalle, Blackbox Arbeitsplatz) gleichzeitig gestartet werden kann, muß beachtet werden, daß nicht alle Programme dies unterstützen! Leider sind insbesondere Webbrowser davon betroffen.
	62
	63	Sollte also die Meldung kommen, dass das Programm bereits geöffnet ist, diese bitte zuvor am jeweilig anderen Arbeitsplatz beenden.
	64
8.1	65	== Bekannte betroffene Software ==
6.1	66
7.1	67	* FireFox
1.1	68	* Thunderbird
	69	* Chromium
	70	* Vivaldi
7.1	71	* LibreOffice
8.1	72
1.1	73	Diese - und andere - Programme warnen davor, wenn sie auf einem anderen Rechner ausgeführt werden. Diese Meldung kann korrekt sein, oder es handelt sich um Überreste einer frühreren Sitzung mit dem Programm. Evtl bietet diese Warnung auch an, die Überreste zu entfernen.
	74
8.1	75	Für FireFox und Thunderbird stehen die Skripte {{code}}repairfirefox.sh {{/code}}und {{code}}repairthunderbird.sh{{/code}} zur Verfügung, die man im Terminal starten kann, sollten die Überreste entfernt werden.
1.1	76
7.1	77	Achtung: Wenn die Überreste entfernt werden, obwohl das Programm mehrmals ausgeführt wird, kann es zu ungewünschten Seiteneffekten bis zu evtl. Datenverlust kommen.
1.1	78
8.1	79	= Fehlerbehebungen =
1.1	80
8.1	81	== thinclient_drives ==
1.1	82
9.1	83	Hin und wieder kann es dazu kommen, dass der Filemanger beim Anzeigen des Homedirectories eine Fehlermeldung anzeigt: {{code language="none"}}Failed to open directory ... thinclient_drives: Transport endpoint is not connected{{/code}}
1.1	84
8.1	85	Dies entsteht wenn man sich öfters mit dem xrdp Server connected und disconnected und er dabei das verzeichnis {{code}}thinclient_drives{{/code}} nicht korrekt freigibt.
1.1	86
	87	Dies kann durch eingeben des folgenden Befehls im Terminal behoben werden:
	88
8.1	89	{{code}}
7.1	90	$ fusermount -u ~/thinclient_drives
	91	{{/code}}
1.1	92
8.1	93	Das Verzeichnis {{code}}thinclient_drives{{/code}} wird zum File- und Clipboardsharen mit dem
1.1	94	lokalen Computer verwendet. (Sollte der rdp Client das unterstützen.)
	95
8.1	96	Damit dieses unmounten erfolgreich ist, muss das Verzeichnis {{code}}thinclient_drives{{/code}} für jedermann ausführbar sein, d.h. das executable Recht muss gegeben sein. Bitte beachten sie dieses, wenn das Homeverzeichnis geschützt wurde. Dies ist evtl. der Grund dafür, dass der Fehler überhaupt erst aufgetreten ist.
1.1	97
8.1	98	== Session Probleme ==
1.1	99
8.1	100	Sollte man trotz korrekten Passwortes sofort wieder aus der Sitzung herausgeworfen werden oder nur einen schwarzen Bildschirm angezeigt bekommen, kann man sich via ssh am Remote Desktop Server anmelden und die Session mittels {{code}}killall Xorg{{/code}} von Hand beenden
1.1	101
8.1	102	{{code}}
7.1	103	$ ssh <Remote Desktop Server>
1.1	104	---
	105	<remote Desktop Server>$ killall Xorg
	106
7.1	107	{{/code}}
1.1	108
8.1	109	= Sicherheitsvorkehrungen =
1.1	110
	111	Der RDP Server authentifiziert sich via Zertifikat am Client (s.o.)
	112
7.1	113
6.1	114	{{html wiki="true"}}<span class='WYSIWYG_COLOR ' style='color:Red'>ACHTUNG</span>{{/html}}: Meldungen über ein Fehlerhaftes Zertifikat sollten auf keinen Fall weggeklickt werden. Im Notfall das Zertifikat anhand des Fingerprints (s.o.) verifizieren.
1.1	115
	116	{{html wiki="true"}}
	117	<span style='background-color: transparent;' >Es wird zum Zugriff nur noch TLSv1.1 und TLSv1.2 mit folgenden Cipher Suites zugelassen: AES+aRSA:AES+aECDH:AES+aECDSA</span>
	118	{{/html}}
	119
	120	ggf. muss der rdp Client aktualisiert werden.
	121
8.1	122	für eine Liste aller Ciphers einfach {{code language="none"}}openssl ciphers AES+aRSA:AES+aECDH:AES+aECDSA{{/code}} eingeben.
1.1	123
8.1	124	= RDP Clients =
6.1	125
8.1	126	== macOS ==
6.1	127
1.1	128	* [[Microsoft Remote Desktop>>https://apps.apple.com/de/app/microsoft-remote-desktop/id1295203466?l=en&mt=12]]
	129	** Version 10 des Microsoft Remote Desktop Clients zeigt keine Schrift im Login Fenster an. Dies ist nicht weiter schlimm, da das Programm sowieso zwingend Nutzerdaten verlangt, und der separate Login Bildschirm nur dann sichtbar ist, wenn diese falsch sind. Zudem kann der Login auch ohne Textdarstellung bedient werden. Danach funktioniert alles wie gewohnt.
6.1	130
8.1	131	== Linux ==
1.1	132
8.1	133	* [[rdesktop >>https://www.rdesktop.org/]] ein Client im Terminal (auf der BlackBox leider nicht aktuell genug)
1.1	134	* [[KRDC>>http://www.kde.org/applications/internet/krdc/]]
	135	* [[Vinagre>>https://wiki.gnome.org/Apps/Vinagre/]]
	136	* [[Remmina>>https://www.remmina.org/]] Auf der BlackBox installiert.
7.1	137	** Für beste Performance {{code language="none"}}RemoteFX (32bpp){{/code}} bei Farbtiefe konfigurieren.
1.1	138
8.1	139	== Windows ==
6.1	140
15.1	141	* Der Remote Desktop Client ist auf Windows bereits vorinstalliert.{{/code}}