View a markdown version of this page

WorkSpaces Personal で Linux WorkSpaces を管理する - Amazon WorkSpaces
ディストリビューション固有の注意事項Active Directory 統合Linux WorkSpaces で DCV の動作を制御するクリップボードリダイレクトの有効化または無効化オーディオ入力リダイレクトを有効化/無効化するビデオ入力リダイレクトを有効化/無効化するタイムゾーンリダイレクトを有効または無効にするプリンターリダイレクトを有効または無効にする画面ロックの場合のセッションの切断を有効化/無効化するLinux WorkSpaces 管理者に SSH アクセスを付与するデフォルトシェルを上書きするLinux WorkSpaces での認証にスマートカードを使用する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

WorkSpaces Personal で Linux WorkSpaces を管理する

Amazon WorkSpaces は、WorkSpaces Personal 用に次の Linux オペレーティングシステムをサポートしています。

  • Ubuntu 22.04 LTS および Ubuntu 24.04 LTS

  • Red Hat Enterprise Linux 8 および Red Hat Enterprise Linux 9

  • Rocky Linux 8 および Rocky Linux 9

すべての Linux WorkSpaces は、ストリーミングに DCV を使用し、Active Directory 統合に SSSD を使用します。このページで説明されているのと同じ設定モデルと管理手順を共有します。

注記

Amazon Linux 2 WorkSpaces は別のテクノロジースタックを使用し、個別に文書化されています。「WorkSpaces Personal で Amazon Linux 2 WorkSpaces を管理する」を参照してください。Amazon Linux 2 end-of-lifeとなります。

ディストリビューション固有の注意事項

Ubuntu

Ubuntu WorkSpaces バンドルには、Canonical からの Ubuntu Pro のサブスクリプションが含まれています。AdSys を使用することで、グループポリシーで Ubuntu WorkSpaces を管理できます。Active Directory 統合の詳細については、「Ubuntu Active Directory の統合に関するよくある質問」を参照してください。LandscapeAnsible など、他の構成および管理ソリューションを使用することもできます。

Rocky Linux

Rocky Linux WorkSpaces は、Ansible などの設定および管理ソリューションを使用して管理できます。

注記

Rocky Linux ソフトウェアに含まれる著作権、商標、またはその他の所有権もしくは機密性に関する通知を削除、変更、または隠蔽することはできません。

Red Hat Enterprise Linux

Ansible などの設定および管理ソリューションを使用して、Red Hat Enterprise Linux WorkSpaces を管理できます。 https://www.ansible.com/

Active Directory 統合

Linux WorkSpaces は、Active Directory 統合に SSSD (System Security Services Daemon) を使用します。SSSD は Active Directory SID から派生した安定した POSIX ユーザー IDs を割り当て、再構築と移行全体で一貫したファイルの所有権を確保します。

SSSD 設定は WorkSpaces プロビジョニングシステムによって管理されます。主な特徴

  • すべての Linux WorkSpaces は、ストリーミングに DCV を使用し、Active Directory 統合に SSSD を使用します。

  • フォレスト信頼はサポートされていません。代わりに外部信頼を使用してください。

  • スマートカード認証は、SSSD の PKINIT 統合を使用します。「Linux WorkSpaces のスマートカードを有効にする」を参照してください。

Linux WorkSpaces で DCV の動作を制御する

DCV の動作は、/etc/wsp/ ディレクトリにある wsp.conf ファイルの構成設定によって制御されます。ポリシーに変更をデプロイして適用するには、Ansible などの設定管理ソリューションを使用します。変更はすべて、エージェントの起動時に有効になります。

注記

wsp.conf ファイルに対して正しくない、またはサポートされていない変更を行った場合、ポリシーは WorkSpace への新しく確立された接続に適用されない場合があります。

以降のセクションでは、特定の機能を有効または無効にする方法について説明します。

クリップボードリダイレクトの有効化または無効化

デフォルトでは、WorkSpaces はクリップボードのリダイレクトをサポートしています。必要に応じて、DCV 設定ファイルを使用してこの機能を無効にします。

Linux WorkSpaces のクリップボードリダイレクトを有効または無効にするには

  1. 次のコマンドを使用して、昇格された権限を持つエディタで wsp.conf ファイルを開きます。

    [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf

  2. [policies] グループの末尾に次の行を追加します。

    clipboard = X

    X に指定できる値は以下のとおりです。

    enabled – クリップボードリダイレクトは両方向ともに有効です (デフォルト)

    disabled – クリップボードリダイレクトは両方向ともに無効です

    [paste-only] (ペーストのみ) — クリップボードのリダイレクトが有効で、ローカルクライアントデバイスからコンテンツをコピーし、リモートホストデスクトップにペーストするのみが可能です。

    [copy-only] (コピーのみ) — クリップボードのリダイレクトが有効で、リモートホストのデスクトップからコンテンツをコピーし、ローカルのクライアントデバイスにペーストするのみが可能です。

オーディオ入力リダイレクトを有効化/無効化する

デフォルトでは、WorkSpaces はオーディオインリダイレクトをサポートしています。必要に応じて、DCV 設定ファイルを使用してこの機能を無効にします。

Linux WorkSpaces のオーディオ入力リダイレクトを有効または無効にするには

  1. 次のコマンドを使用して、昇格された権限を持つエディタで wsp.conf ファイルを開きます。

    [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf

  2. [policies] グループの末尾に次の行を追加します。

    audio-in = X

    X に指定できる値は以下のとおりです。

    enabled – オーディオ入力リダイレクトは有効です (デフォルト)

    disabled – オーディオ入力リダイレクトは無効です

ビデオ入力リダイレクトを有効化/無効化する

デフォルトでは、WorkSpaces はビデオインリダイレクトをサポートしています。必要に応じて、DCV 設定ファイルを使用してこの機能を無効にします。

注記

ビデオ入力リダイレクトは、Red Hat Enterprise Linux WorkSpaces ではサポートされていません。この機能には、標準の Red Hat Enterprise Linux リポジトリでは利用できない DKMS とビデオループバックドライバーが必要です。ビデオ入力は Ubuntu および Rocky Linux WorkSpaces で利用できます。

Linux WorkSpaces のビデオ入力リダイレクトを有効または無効にするには

  1. 次のコマンドを使用して、昇格された権限を持つエディタで wsp.conf ファイルを開きます。

    [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf

  2. [policies] グループの末尾に次の行を追加します。

    video-in = X

    X に指定できる値は以下のとおりです。

    enabled – ビデオ入力リダイレクトは有効です (デフォルト)

    disabled – ビデオ入力リダイレクトは無効です

タイムゾーンリダイレクトを有効または無効にする

デフォルトでは、WorkSpace 内の時間は、WorkSpace への接続に使用されているクライアントのタイムゾーンを反映するように設定されています。この動作は、タイムゾーンのリダイレクトによって制御されます。次のような理由で、タイムゾーンのリダイレクトをオフにすることができます。

  • 会社は、すべての従業員が特定のタイムゾーンで業務を行うことを希望している (一部の従業員が他のタイムゾーンにいる場合でも)。

  • WorkSpaces で、特定のタイムゾーン内の特定の時刻に実行するタスクをスケジュールした。

  • よく出張するユーザーが、一貫性と個人設定のため WorkSpaces を 1 つのタイムゾーンにまとめておきたいと考えている。

必要に応じて、DCV 設定ファイルを使用してこの機能を設定します。

Linux WorkSpaces のタイムゾーンリダイレクトを有効または無効にするには

  1. 次のコマンドを使用して、昇格された権限を持つエディタで wsp.conf ファイルを開きます。

    [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf

  2. [policies] グループの末尾に次の行を追加します。

    timezone-redirection = X

    X に指定できる値は以下のとおりです。

    enabled – タイムゾーンのリダイレクトは有効です (デフォルト)

    disabled – タイムゾーンのリダイレクトは無効です

プリンターリダイレクトを有効または無効にする

デフォルトでは、WorkSpaces はプリンターリダイレクトをサポートしています。必要に応じて、DCV 設定ファイルを使用してこの機能を無効にします。

Linux WorkSpaces のプリンターリダイレクトを有効または無効にするには

  1. 次のコマンドを使用して、昇格された権限を持つエディタで wsp.conf ファイルを開きます。

    [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf

  2. [policies] グループの末尾に次の行を追加します。

    remote-printing = X

    X に指定できる値は以下のとおりです。

    enabled – プリンターリダイレクトは有効です (デフォルト)

    disabled – プリンターリダイレクトは無効です

画面ロックの場合のセッションの切断を有効化/無効化する

画面ロック時におけるセッションの切断を有効にすると、ロック画面が検出されたときにユーザーが WorkSpaces セッションを終了できます。WorkSpaces クライアントから再接続するには、WorkSpaces で有効になっている認証の種類に応じて、ユーザーはパスワードまたはスマートカードを使用して自分自身を認証できます。

デフォルトでは、WorkSpaces は画面ロック時のセッションの切断をサポートしていません。必要に応じて、DCV 設定ファイルを使用してこの機能を有効にします。

Linux WorkSpaces の画面ロックで切断セッションを有効または無効にするには

  1. 次のコマンドを使用して、昇格された権限を持つエディタで wsp.conf ファイルを開きます。

    [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf

  2. [policies] グループの末尾に次の行を追加します。

    disconnect-on-lock = X

    X に指定できる値は以下のとおりです。

    有効 — 画面ロック時の接続解除が有効です

    disabled – 画面ロック時の接続解除は無効です (デフォルト)

Linux WorkSpaces 管理者に SSH アクセスを付与する

デフォルトでは、ドメイン管理者グループに割り当てられたユーザーとアカウントのみが、SSH を使用して Linux WorkSpaces に接続できます。他のユーザーとアカウントが SSH を使用して接続できるようにするには、Active Directory で Linux WorkSpaces 管理者専用の管理者グループを作成することをお勧めします。

Linux_WorkSpaces_Admins Active Directory グループのメンバーの sudo アクセスを有効にするには

  1. 次の例に示すように、sudoers を使用して visudo ファイルを編集します。

    [username@workspace-id ~]$ sudo visudo

  2. 次の行を追加します。

    %Linux_WorkSpaces_Admins ALL=(ALL) ALL

専用の管理者グループを作成したら、次のステップに従ってグループのメンバーのログインを有効にします。

Linux_WorkSpaces_Admins Active Directory グループのメンバーのログインを有効にするには

  1. 昇格された権限で /etc/security/access.conf を編集します。

    [username@workspace-id ~]$ sudo vi /etc/security/access.conf

  2. 次の行を追加します。

    +:(Linux_WorkSpaces_Admins):ALL

Linux WorkSpaces では、SSH 接続のユーザー名を指定するときにドメイン名を追加する必要はありません。デフォルトでは、パスワード認証は無効になっています。SSH 経由で接続するには、WorkSpace $HOME/.ssh/authorized_keysの に SSH パブリックキーを追加するか、 を編集/etc/ssh/sshd_configして PasswordAuthentication を に設定する必要がありますyes。SSH 接続の有効化の詳細については、WorkSpaces Personal で Linux WorkSpaces の SSH 接続を有効にする を参照してください。

デフォルトシェルを上書きする

Linux WorkSpaces のデフォルトシェルを上書きするには、ユーザーの ~/.bashrc ファイルを編集することをお勧めします。たとえば、Z shell シェルの代わりに Bash を使用するには、/home/username/.bashrc に次の行を追加します。

export SHELL=$(which zsh)
[ -n "$SSH_TTY" ] && exec $SHELL
注記

この変更を行った後、WorkSpace を再起動するか (切断だけでなく) WorkSpace からログアウトし、再度ログインして変更を有効にする必要があります。

Linux WorkSpaces での認証にスマートカードを使用する

Linux WorkSpaces では、認証に Common Access Card (CAC) および Personal Identity Verification (PIV) スマートカードを使用できます。すべての Linux WorkSpaces は、SSSD と PKINIT を使用して同じスマートカード実装を共有します。詳細については、「Linux WorkSpaces のスマートカードを有効にする」を参照してください。