弊社では普段VDI製品を用いていないのですが、特に中規模~大規模の企業のお客様の中には、既にセキュリティやコスト、また昨今のリモートワーク体制の実現のため、といった観点からVDI製品を導入しているお客様も多いのではないかと思います。VDI製品と組み合わせた場合の運用についてお問い合わせを頂く事もございますが、我々としても勉強不足で、ご満足いただける回答ができていないのではないかと思います。
今回、試用版のCitrix社「Citrix Virtual Apps and Desktops」(旧名:「XenDesktop」「XenApp」)を用いてYubiOn Portalを実際に導入してみました。YubiOn Portalはログオン部分の制御を行うアプリケーションなので、まずはどのように動作する事になるのか、ご紹介させていただきたいと思います。
何分、初めて触れる製品となり、製品に対する理解が乏しいために誤り等があるかもしれません。誤りに気づかれた方はご指摘いただければ幸いです。今回得た知見を元に、VDI製品との組み合わせでもより使いやすくなるよう、検討・改修も進めたいと考えております。「弊社ではこのように使いたいと思っているが、実現可能だろうか」といったご相談もお待ちしております。
■ マシン構成
以下のようなマシン構成で動作検証を行いました。
①ActiveDirectory基盤サーバ(以下「AD基盤サーバ」)
OS:
WindowsServer2022(Datacenter Edition・GUI)
追加機能:
AD DS
AD CS(今回の検証には不要)
DNS
②Citrix Virtual Apps and Desktopsサーバ(以下「Citrixサーバ」)
OS:
WindowsServer2019(Datacenter Edition・GUI)
インストールソフトウェア:
Citrix DeliveryController
Citrix ライセンスサーバー
Citrix StoreFront
Citrix Studio
ライセンス:
Citrix Virtual Apps and Desktops Premium(試用)
同時接続モデル(99ライセンス)
③Citrixデスクトップ配信用マシン(以下「デスクトップ配信マシン」)
OS:
WindowsServer2019(Standard Edition・GUI)
インストールソフトウェア:
Virtual Delivery Agent for Windows OS
④ユーザー操作端末
OS:
Windows10Pro 64bit
インストールソフトウェア:
Citrix Workspace(StoreFrontからダウンロード)
※上記マシンは全て一台のESXiサーバー内にて構築しています。
※上記マシンは全て①のADドメインに参加しており、同一ネットワーク内に存在します。
■ AD基盤サーバ構築
まずはAD基盤サーバのセットアップをします。ADドメイン構築のセットアップ方法についてはこのブログでは割愛します。当初、AD基盤サーバ上にCitrixサーバもまとめてインストールしよう、と考えていたのですが、Citrixサーバ関連のプログラムはドメインコントローラ上にはインストールできません、とインストーラに怒られてしまいました。ですので、このサーバ自体には基本的なAD基盤を構築すれば問題ないです。
■ Citrixサーバ構築
次にCitrixサーバの構築を行います。AD基盤サーバはWindowsServer2022で行いましたが、その基盤サーバ上にCitrix製品をインストールしようとした際、ドメインコントローラにインストールできない旨のメッセージの他に、CitrixStudioのインストールの項目で「このOSにはインストールできない」といったメッセージが見受けられたため、念のためこちらはWindowsServer2019にしています。ただ、CitrixのWEBサイト上では対応OSに2022も記述されているため、ひょっとしたらドメインコントローラでなければ出ないメッセージだったりするのかもしれません。
インストール自体は、ウィンドウ左上の「Delivery Controller」のインストール・設定を行い、その後、左下の「Citrix StoreFront」のインストールを行います。インストーラの画面説明を読みながら進めていけば特に詰まる部分は無いかと思います。
■ デスクトップ配信マシン構築
続いてデスクトップ配信マシンの構築を行っていきます。実際の運用環境では恐らく各種仮想環境管理サーバと連携して、マシンが必要になった時に自動的にデプロイするような設定を組むのではないかと思われます。私はとりあえず動作させることが第一目標でしたので、一台の仮想マシンを物理マシン扱いでマシンカタログに載せる方針で、通常のOSセットアップを行ったマシンにVirtual Delivery Agents for Windows OSをインストールしました。インストールの序盤で構成の目的を聞かれるので、そこで「サーバーへの仲介接続を有効にする」を選択すればOKです。
OSはWindowsServer2019のStandard/GUIを選択しましたが、ここは実際に利用するOSとなりますので、Windows11やWindows10などの一般向けOSでもいいのではないかと思います(その場合、シングルセッションOS扱いとなるようです)。私自身がWindowsServerを選んだのは、マルチセッションOSとして複数の人が一つのOSを使うパターンの動作を確認したかったためです。
■ ユーザー操作端末構築
これについては、構築したサーバ類と同じネットワーク上のWindowsマシンであれば何でも問題無いかと思われます。私は仮想環境内に仮想ネットワークを組んだ関係で、作業に使っているPC自体がネットワーク外のPCとなるため、同一仮想ネットワーク内のPCという位置づけでWindows10の端末を別途構築しました。ネットワーク外からのアクセスをできるようにするためには恐らくCitrix Gatewayなどの製品が必要になってくるものと思われます。
■ Delivery Controllerの設定
Delivery Controllerのインストールが終わった時点で、CitrixStudioが起動して、「ようこそ」画面が表示されるかと思います。その中の一番上、「アプリケーションとデスクトップをユーザーに配信する」を選んで各種設定を行っていきます。
ほぼデフォルト設定で設定が完了すると思いますが、接続の種類を設定する箇所では「マシン管理を使用しない」を選択します。マシンカタログのセットアップの箇所ではデスクトップ配信マシンを1台だけ選択して追加していきます。設定後、セットアップ中に2回再起動が入りましたので、電源を切っても問題ないタイミングで行う事をお勧めします。
■ StoreFrontの設定
Delivery Controllerの場合と同様、StoreFrontもインストール後にStoreFront管理コンソールが起動し、各種設定を行うようになっています。こちらもほぼデフォルト設定で問題なくセットアップが可能かと思います。Delivery Controllerを選択する部分では、Citrixサーバの名前を指定してください。
■ 通常のStoreFront経由でのデスクトップ利用
ここまでで、まずはYubiOn Portalとは無関係に、Citrix製品を使う事ができるところまでは来ていると思います。StoreFrontのURLにユーザー操作端末からアクセスします。
StoreFrontのWEBサイトは、クライアント側にCitrix Workspaceがインストールされている事が前提となります。上記のような画面が出たら、同意してCitrix Workspaceをダウンロード・インストールします。(再起動が必要です)
Citrix Workspaceをインストールして、正しくインストールされたのを検出できた場合、StoreFrontのログイン画面が表示されます。ここはADのユーザー名・パスワードでログインします。
ログイン後、利用できるデスクトップの一覧を表示してクリックすると、Citrix Workspaceアプリが開き、リモート接続が開始されます。
この時、Citrix Workspaceアプリが開くタイミングでは認証画面等が表示されない点を覚えておいてください。
■ YubiOn Portalの導入・ログオン部での利用
ここで、デスクトップ配信マシンにYubiOn Portalを導入します。要点のみ記述します。
インストールは、デスクトップ配信マシンごとに行う必要があります。 現状では、アカウントとYubiKeyの割り当てもマシンごとに行う必要があります。
ポリシーにて、強制YubiKeyログオンを有効にする必要があります。 有効にしていない場合、Citrix側の認証の仕組みでWindowsログオン部分がスキップされてしまいます。
キャッシュログオン、YubiKeyを抜いた際のスクリーンロック等は利用できません。 どちらもYubiKeyとUSB通信が必要になるため、直接USBが接続されない環境では利用できません。
複数のデスクトップ配信マシンがある場合、それらのマシンは異なるSIDになっている必要があります。 YubiOn Portalでは、SIDを基準に各端末を識別しており、同一SID端末が複数ある状況はサポートしておりません。
これらの点を踏まえつつ、デスクトップ配信マシンにYubiOn Portalクライアントツールをセットアップします。
設定終了後、StoreFrontからデスクトップを選択して接続すると、以下のようにWindowsログオンの画面が表示されるようになります。Citrix製品単体の場合、ここでの認証は省略されていましたが、YubiOn Portalを導入する事によって、デスクトップ表示時に認証が必要となります。
あとは通常のYubiOn Portal使用時と同様、上の入力枠にユーザー名を、下の入力枠にパスワードを入力後、YubiKeyをタッチする事でパスワード欄の後ろにOTPが出力され、ログオンします。
なお、StoreFrontにログインしたユーザーとは別のユーザーでログオンしようとした場合、ログオンに成功したタイミングでCitrix Workspaceが終了し、セッションが無効化されました。ログオンしたユーザーがStoreFrontのユーザーと異なる場合、停止する仕組みになっているものと思われます。
■ まとめ
Citrix製品上のデスクトップ配信マシンに対してYubiOn Portalを導入する方法は以上の通りとなります。通常の導入方法を利用した場合、デスクトップを開いたタイミングで二要素認証を要求される形になります。
今回は単一のデスクトップ配信マシンに対して導入を行いましたが、多数のデスクトップ配信マシンを運用する方法については、YubiOn Portal側の課題もあるように思います。YubiOn Portalは主に各社員が持ち歩くノートPCのログオン強化を想定して作られた製品ですが、より多くのお客様の要望に応えられるよう、改善を重ねていきたいと思います。
次回ブログでは、視点を変えて、StoreFrontへのログイン部分をYubiOn PortalのSSO機能を用いて二要素認証にする方法についてご紹介したいと思います。