本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# WorkSpaces 在 WorkSpaces 个人版中管理你的 Linux
<a name="manage-linux-workspaces"></a>

Amazon WorkSpaces 支持以下 Linux WorkSpaces 个人版操作系统：
+ Ubuntu 22.04 LTS 和 Ubuntu 24.04 LTS
+ 红帽企业 Linux 8 和红帽企业 Linux 9
+ Rocky Linux 8 和 Rocky L

所有 Linux 都 WorkSpaces 使用 DCV 进行流媒体播放，使用 SSSD 进行活动目录集成。它们共享本页中描述的相同配置模型和管理程序。

**注意**  
Amazon Linux 2 WorkSpaces 使用不同的技术堆栈，并且单独记录在案。请参阅[WorkSpaces 在 WorkSpaces 个人版中管理你的 Amazon Linux 2](manage_linux_workspace.md)。亚马逊 Linux 2 将于 2026 年 6 月 30 日停产。

**Topics**
+ [Distribution-specific 笔记](#linux_distro_notes)
+ [Active Directory 集成](#linux_ad_integration)
+ [控制 Linux 上的 DCV 行为 WorkSpaces](#linux_wsp_control)
+ [启用或禁用剪贴板重定向](#linux_dcv_clipboard)
+ [启用或禁用音频输入重定向](#linux_audio_in)
+ [启用或禁用视频输入重定向](#linux_video_in)
+ [启用或禁用时区重定向](#linux_dcv_time_zone)
+ [启用或禁用打印机重定向](#linux_printer)
+ [启用或禁用屏幕锁定时断开连接会话](#linux_screenlock)
+ [向 Linux WorkSpaces 管理员授予 SSH 访问权限](#linux_ssh_access)
+ [覆盖默认外壳](#linux_shell_override)
+ [在 Linux 上使用智能卡进行身份验证 WorkSpaces](#linux_smart_cards)

## Distribution-specific 笔记
<a name="linux_distro_notes"></a>

### Ubuntu
<a name="linux_distro_ubuntu"></a>

你的 Ubuntu WorkSpaces 捆绑包包括订阅 Canonical 的 Ubuntu Pro。你可以使用 AdSys 通过组策略管理 Ubuntu WorkSpaces 。有关更多信息，请参阅 [Ubuntu Active Directory 集成常见问题](https://ubuntu.com/blog/new-active-directory-integration-features-in-ubuntu-22-04-faq)。您还可以使用其他配置和管理解决方案，例如 [Landscape](https://ubuntu.com/landscape) 和 [Ansible](https://www.ansible.com/)。

### Rocky Linux
<a name="linux_distro_rocky"></a>

你可以使用 [Ansible](https://www.ansible.com/) 等配置和管理解决方案来管理 Rocky Linux WorkSpaces 。

**注意**  
您不得删除、修改或掩盖 Rocky Linux 软件之内或本身包含的任何版权、商标或其他专有或保密声明。

### Red Hat Enterprise Linux
<a name="linux_distro_rhel"></a>

您可以使用配置和管理解决方案（例如 [Ans WorkSpaces ible](https://www.ansible.com/)）来管理红帽企业 Linux。

## Active Directory 集成
<a name="linux_ad_integration"></a>

Linux WorkSpaces 使用 SSSD（系统安全服务守护程序）进行 Active Directory 集成。SSSD 分配源自 Active Directory SID 的稳定的 POSIX 用户 ID，从而确保重建和迁移过程中文件所有权的一致性。

SSSD 配置由 WorkSpaces 配置系统管理。主要特性：
+ 所有 Linux 都 WorkSpaces 使用 DCV 进行流媒体播放，使用 SSSD 进行活动目录集成。
+ 不支持森林信任。改用外部信任。
+ 智能卡身份验证使用 SSSD 的 PKINIT 集成。请参阅[启用适用于 Linux 的智能卡 WorkSpaces](smart-cards.md#smart-cards-linux-workspaces)。

## 控制 Linux 上的 DCV 行为 WorkSpaces
<a name="linux_wsp_control"></a>

DCV 的行为受 `wsp.conf` 文件中的配置设置控制，该文件位于 `/etc/wsp/` 目录中。要部署和强制执行对策略的更改，请使用配置管理解决方案，例如 [Ansible](https://www.ansible.com/)。任何更改将在代理启动后生效。

**注意**  
如果您对`wsp.conf`文件进行了不正确或不支持的更改，则策略可能不会应用于新建立的与您的 WorkSpace连接。

下面各部分介绍了如何启用或禁用某些功能。

## 启用或禁用剪贴板重定向
<a name="linux_dcv_clipboard"></a>

默认情况下， WorkSpaces 支持剪贴板重定向。如果需要，可以使用 DCV 配置文件禁用此功能。

**为 Linux 启用或禁用剪贴板重定向 WorkSpaces**

1. 通过以下命令，使用提升的权限在编辑器中打开 `wsp.conf` 文件。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. 将以下行添加到 `[policies]` 组的末尾。

   ```
   clipboard = {{X}}
   ```

   其中可能的值{{X}}为：

   **启用** - 启用双向剪贴板重定向（默认）

   **禁用** - 禁用双向剪贴板重定向

   **仅粘贴** - 剪贴板重定向已启用，但仅允许您从本地客户端设备复制内容并将其粘贴到远程主机桌面

   **仅复制** - 剪贴板重定向已启用，但仅允许您从远程主机桌面复制内容并将其粘贴到本地客户端设备

## 启用或禁用音频输入重定向
<a name="linux_audio_in"></a>

默认情况下， WorkSpaces 支持音频输入重定向。如果需要，可以使用 DCV 配置文件禁用此功能。

**为 Linux 启用或禁用音频输入重定向 WorkSpaces**

1. 通过以下命令，使用提升的权限在编辑器中打开 `wsp.conf` 文件。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. 将以下行添加到 `[policies]` 组的末尾。

   ```
   audio-in = {{X}}
   ```

   其中可能的值{{X}}为：

   **启用**- Audio-in 重定向已启用（默认）

   **已禁用** — Audio-in 重定向已禁用

## 启用或禁用视频输入重定向
<a name="linux_video_in"></a>

默认情况下， WorkSpaces 支持视频输入重定向。如果需要，可以使用 DCV 配置文件禁用此功能。

**注意**  
Video-in 红帽企业 Linux WorkSpaces 不支持重定向。此功能需要 DKMS 和视频环回驱动程序，而标准红帽企业 Linux 存储库中没有这些驱动程序。 Video-in 已在 Ubuntu 和 Rocky Linux 上线。 WorkSpaces

**在 Linux 上启用或禁用视频输入重定向 WorkSpaces**

1. 通过以下命令，使用提升的权限在编辑器中打开 `wsp.conf` 文件。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. 将以下行添加到 `[policies]` 组的末尾。

   ```
   video-in = {{X}}
   ```

   其中可能的值{{X}}为：

   **启用**- Video-in 重定向已启用（默认）

   **已禁用** — Video-in 重定向已禁用

## 启用或禁用时区重定向
<a name="linux_dcv_time_zone"></a>

默认情况下，中的时间设置 WorkSpace 为镜像用于连接的客户端的时区 WorkSpace。此行为是通过时区重定向控制的。出于以下原因，您可能需要关闭时区重定向：
+ 您的公司希望所有员工在特定时区中工作（即使某些员工在其他时区）。
+ 您在 a 中有计划任务 WorkSpace ，这些任务本应在特定时区的特定时间运行。
+ 您的用户经常旅行，并希望将他们留 WorkSpaces 在同一个时区，以保持一致性和个人偏好。

如果需要，可以使用 DCV 配置文件配置此功能。

**启用或禁用 Linux 的时区重定向 WorkSpaces**

1. 通过以下命令，使用提升的权限在编辑器中打开 `wsp.conf` 文件。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. 将以下行添加到 `[policies]` 组的末尾。

   ```
   timezone-redirection = {{X}}
   ```

   其中可能的值{{X}}为：

   **启用** - 启用时区重定向（默认）

   **禁用** - 禁用时区重定向

## 启用或禁用打印机重定向
<a name="linux_printer"></a>

默认情况下， WorkSpaces 支持打印机重定向。如果需要，可以使用 DCV 配置文件禁用此功能。

**为 Linux 启用或禁用打印机重定向 WorkSpaces**

1. 通过以下命令，使用提升的权限在编辑器中打开 `wsp.conf` 文件。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. 将以下行添加到 `[policies]` 组的末尾。

   ```
   remote-printing = {{X}}
   ```

   其中可能的值{{X}}为：

   **启用** - 启用打印机重定向（默认）

   **禁用** - 禁用打印机重定向

## 启用或禁用屏幕锁定时断开连接会话
<a name="linux_screenlock"></a>

启用屏幕锁定时断开会话，允许您的用户在检测到锁屏时结束 WorkSpaces会话。要从 WorkSpaces 客户端重新连接，用户可以使用自己的密码或智能卡进行身份验证，具体取决于为其 WorkSpaces启用了哪种类型的身份验证。

默认情况下， WorkSpaces 不支持屏幕锁定时断开会话连接。如果需要，可以使用 DCV 配置文件启用此功能。

**在 Linux 上启用或禁用屏幕锁定时断开连接会话 WorkSpaces**

1. 通过以下命令，使用提升的权限在编辑器中打开 `wsp.conf` 文件。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. 将以下行添加到 `[policies]` 组的末尾。

   ```
   disconnect-on-lock = {{X}}
   ```

   其中可能的值{{X}}为：

   **启用** - 启用屏幕锁定时断开连接

   **禁用** - 禁用屏幕锁定时断开连接（默认）

## 向 Linux WorkSpaces 管理员授予 SSH 访问权限
<a name="linux_ssh_access"></a>

默认情况下，只有域管理员组中分配的用户和帐户才能使用 SSH 连接到 Linux WorkSpaces 。要允许其他用户和账户使用 SSH 进行连接，我们建议您在 Active Directory 中为 Linux WorkSpaces 管理员创建一个专门的管理员组。

**为 `Linux_WorkSpaces_Admins` Active Directory 组的成员启用 sudo 访问权限**

1. 使用 `visudo` 编辑 `sudoers` 文件，如下例所示。

   ```
   [username@workspace-id ~]$ sudo visudo
   ```

1. 添加以下行。

   ```
   %Linux_WorkSpaces_Admins ALL=(ALL) ALL
   ```

在您创建专用管理员组之后，请按照以下步骤为组的成员启用登录。

**为 `Linux_WorkSpaces_Admins` Active Directory 组的成员启用登录**

1. 使用提升的权限编辑 `/etc/security/access.conf`。

   ```
   [username@workspace-id ~]$ sudo vi /etc/security/access.conf
   ```

1. 添加以下行。

   ```
   +:(Linux_WorkSpaces_Admins):ALL
   ```

 WorkSpaces 在 Linux 中，在为 SSH 连接指定用户名时无需添加域名，而且默认情况下，密码身份验证处于禁用状态。要通过 SSH 进行连接，你需要`$HOME/.ssh/authorized_keys`在上添加 SSH 公钥 WorkSpace，或者编辑`/etc/ssh/sshd_config` PasswordAuthentication 以设置为`yes`。有关启用 SSH 连接的更多信息，请参阅[WorkSpaces 在 WorkSpaces 个人版中为你的 Linux 启用 SSH 连接](connect-to-linux-workspaces-with-ssh.md)。

## 覆盖默认外壳
<a name="linux_shell_override"></a>

要覆盖 Linux 的默认外壳 WorkSpaces，我们建议您编辑用户的`~/.bashrc`文件。例如，要使用 `Z shell` 而不是 `Bash` shell，请将以下行添加到 `/home/{{username}}/.bashrc`。

```
export SHELL=$(which zsh)
[ -n "$SSH_TTY" ] && exec $SHELL
```

**注意**  
进行此更改后，必须重新启动 WorkSpace 或注销 WorkSpace （而不仅仅是断开连接），然后重新登录才能使更改生效。

## 在 Linux 上使用智能卡进行身份验证 WorkSpaces
<a name="linux_smart_cards"></a>

Linux WorkSpaces 允许使用[通用访问卡 (CAC)](https://www.cac.mil/Common-Access-Card) 和[个人身份验证 (PIV)](https://piv.idmanagement.gov/) 智能卡进行身份验证。所有 Linux 都使用 SSSD 和 PKINIT WorkSpaces 共享相同的智能卡实现。有关更多信息，请参阅 [启用适用于 Linux 的智能卡 WorkSpaces](smart-cards.md#smart-cards-linux-workspaces)。