Guacamole - HTML5 remote desktop #2

23.8.2013 18:00 | Přečteno: 1326× | | poslední úprava: 22.8.2013 17:55

V minulém díle jsem popsal jak rozchodit xrdp a guacamole za pomoci několika "aptitude install" a chvilky konfigurace. Dnes si ukážeme jak se to dělá "the hard way".

Motivací ke kompilaci ze zdrojáků mi byla snaha rozchodit zvuk v Xrdp - podpora pro přesměrování zvuku je v Xrdp těžce experimentální a je potřeba sestavovat z gitu.

Předehra: patchujeme xrdp

Když jsem začal experimentovat s Xrdp a podporou přesměrování zvuku, v logách jsem až moc často viděl segfault xrdp-chansrv a také přesměrování zvuku vždy přestalo chodit po odpojení a připojení k RDP session. Naštěstí se nejednalo o nic složitého a za dvě odpoledne jsem dal dohromady patch. Správce Xrdp mergnul pull request téměř bez řečí a teď už tedy stačí buildovat z gitu a zvuk by měl šlapat ok.

Kompilujeme Xrdp

Ještě než se pustíme do samotné kompilace, tak bych doporučil buildovat na vyhrazeném stroji (přece jen vytvořit/naklonovat VM nic nestojí) a nechat produkční instalaci čistou. Jen je potřeba použít stejný --prefix jako bude na cílovém stroji a také nezapomenout na cílovém stroji nainstalovat závislosti (aptitude show xrdp a nainstalovat balíčky z "Depends" a "Recommends").

Nejdříve je potřeba nainstalovat závislosti:

aptitude build-dep xrdp
aptitude install git vnc4server pkg-config

A kompilujeme:

git clone https://github.com/FreeRDP/xrdp.git
cd xrdp
# git checkout d90431a # mnou testovana verza
./bootstrap
./configure --prefix=/opt/xrdp
make
su
make install

A ještě trocha poinstalačního tuningu:

1. Vytvoříme uživatele pod kterým xrdp poběží

   useradd xrdp
   mkdir /var/run/xrdp
   chown xrdp:xrdp /var/run/xrdp
   chown -R xrdp /opt/xrdp/var/
   

2. Opravíme init script
   1. Přidáme "/opt/xrdp/bin" a "/opt/xrdp/sbin" na začátek PATH
   2. změníne DAEMON na /opt/xrdp/sbin/xrdp
   3. změníme RSAKEYS na /opt/xrdp/etc/xrdp/rsakeys.ini
   4. změníme USERID na xrdp (X11rdp backend nebude použit)
   5. V těle init scriptu změníme /usr/sbin/xrdp-sesman na /opt/xrdp/sbin/xrdp-sesman (jedná se o několik výskytů)

   ln -s /opt/xrdp/etc/init.d/xrdp /etc/init.d/
   update-rc.d xrdp defaults
   

3. Vygenerujeme klíče a nastavíme práva

   cd /opt/xrdp
   bin/xrdp-keygen xrdp etc/xrdp/rsakeys.ini
   chown xrdp /opt/xrdp/etc/xrdp/rsakeys.ini
   

service xrdp start

Teď můžeme otestovat připojení z klienta (např. xfreerdp adresa_serveru; pro přihlášení je potřeba vybrat "sesman-Xvnc" - doporučuji odstranit nepotřebné možnosti smazáním příslušných sekcí z /opt/xrdp/etc/xrdp/xrdp.ini), ale nečekejte že už bude chodit zvuk .

Xrdp pulse audio sink

K rozchození zvuku je ještě potřeba zkompilovat a nainstalovat speciálni sink pro PulseAudio. Pokud vás zajímá návod v originále, tak koukněte sem.

Začneme instalací pulseaudio a build závislostí

aptitude install pulseaudio pavucontrol
aptitude build-dep pulseaudio

Nyní je potřeba stáhnout zdrojáky samotného PulseAudio (ne, -dev balíčky opravdu nestačí, protože .h soubory, které budou potřeba nejsou součástí stabilního API).

pulseaudio --version
wget http://freedesktop.org/software/pulseaudio/releases/pulseaudio-2.0.tar.gz # 2.0 je verze v Debian Wheezy
tar xfz pulseaudio-2.0.tar.gz
cd pulseaudio-2.0
./configure

Nyní můžeme zkompilovat xrdp pulseaudio sink

cd $ZdrojakyXRDP/sesman/chansrv/pulse/

V Makefile je potřeba upravit PULSE_DIR na cestu ke zdrojákům pulseaudio.

make
# překopírujeme hotový modul do systemového adresáře s pulseaudio moduly
cp module-xrdp-sink.so /usr/lib/pulse-2.0/modules/

A teď už stačí nakonfigurovat PulseAudio aby tento modul používalo.

Do /etc/pulse/default.pa přidáme řádek "load-module module-xrdp-sink" pod ".fail". Ukázkový /etc/pulse/default.pa pak může vypadat napřkílad takto:

.nofail
.fail
load-module module-augment-properties
load-module module-xrdp-sink
load-module module-native-protocol-unix

Také upravíme (resp. vytvoříme) /etc/asound.conf:

pcm.pulse {
type pulse
}

ctl.pulse {
type pulse
}

pcm.!default {
type pulse
}

ctl.!default {
type pulse
}

Vyresetujeme pulseaudio a pomocí "pavucontrol", případně "pacmd list-sinks", ověříme že se používá xrdp sink.

pulseaudio --kill
pulseaudio --start
pacmd list-sinks

Konečně můžeme zkusit Xrdp i s přesměrováním zvuku!

# pro jistotu ještě vyresetujeme xrdp
service xrdp force-stop
service xrdp start

Je potřeba si dát pozor a ověřit, že klient podporuje přesměrování zvuku (rdpsnd) a je správně nakonfigurován. V případě xfreerdp by mělo fungovat:

xfreerdp --plugin rdpsnd --data alsa -- adresa_serveru

případně

xfreerdp --plugin rdpsnd --data pulse -- adresa_serveru

V nových verzích ale už můžou být parametry jiné, takže rozhodně doporučuji kouknout se do dokumentace.

Kompilujeme guacamole

Guacamole podporuje přesměrování zvuku pro RDP od verze 0.7, takže bychom mohli jednoduše použít balíčky přímo od vývojářů Guacamole, ale když už máme ze zdrojáků Xrdp, tak si zkompilujeme i nejnovější guacamole (resp. guacamole-server (=guacd) ).

Jako vždy začneme instalací build závislostí:

aptitude build-dep libguac3 libguac-client-rdp0 libguac-client-vnc0
aptitude remove libguac3 libguac-dev # abychom zamezili pripadnym konfliktum!
aptitude install libssh-dev

Stáhneme nejnovější zdrojáky, zkompilujeme a nainstalujme do /opt/guacamole:

wget http://downloads.sourceforge.net/project/guacamole/current/source/guacamole-server-0.8.2.tar.gz
tar xf guacamole-server-0.8.2.tar.gz 
cd guacamole-server-0.8.2/
./configure --prefix=/opt/guacamole --with-init-dir=/opt/guacamole/etc/init.d/
make
make install

Vytvoříme symlinky pro freerdp moduly, které guacamole používá pro přesměrování zvuku. Cílový adresář (v mém případě /usr/lib/x86_64-linux-gnu/freerdp/) se bude lišit v závislosti na distribuci/architektuře (na Debianu/Ubuntu pomůže "dpkg -L libfreerdp-plugins-standard")

ln -s /opt/guacamole/lib/freerdp/* /usr/lib/x86_64-linux-gnu/freerdp/

Příjde mi zbytečné, aby guacd bežel pod rootem, takže ještě lehká poinstalační úprava:

useradd guacamole
mkdir /opt/guacamole/run
chown guacamole:guacamole /opt/guacamole/run

A následná úprava init scriptu:

1. Změníme pidfile na "/opt/guacamole/run/$prog.pid"
2. Ve funkci start změníme řádek

   getpid > /dev/null || $exec -p "$pidfile"

   na

   getpid > /dev/null || sudo -u guacamole -- $exec -p "$pidfile"

Přidáme init skript do /etc/init.d a pustíme guacd:

ln -s /opt/guacamole/etc/init.d/guacd /etc/init.d
update-rc.d guacd defaults
service guacd start

Nyní ještě zbývá stáhnout a nakonfigurovat "Guacamole Web Application" (aka guacamole-client), což je jednoduchá webová aplikace napsaná v Javě, která sedí mezi guacd a web browserem. Narozdíl od minulého dílu, nepoužijeme overkill řešení v podobě tomcat, ale minimalistický Winstone (respektivě jeho fork udržovaný vývojáři Jenkins). V tomto případě ani nebudeme kompilovat, ale využijeme přenositelnosti Javy a stáhneme hotový .war soubor.

aptitude install libjenkins-winstone-java openjdk-6-jre
mkdir /opt/guacweb
cd /opt/guacweb
wget http://downloads.sourceforge.net/project/guacamole/current/binary/guacamole-0.8.2.war

Nyní je na řadě samozřejmě konfigurace - výchozí konfiguráky je možné získat například z githubu a nebo z tarballu se zdrojákama (viz ukázka).

wget http://sourceforge.net/projects/guacamole/files/current/source/guacamole-client-0.8.2.tar.gz
tar xfz guacamole-client-0.8.2.tar.gz
mkdir etc
cp guacamole-client-0.8.2/guacamole/doc/example/* etc/
rm -rf guacamole-client-0.8.2 guacamole-client-0.8.2.tar.gz

V guacamole.properties změníme hodnotu basic-user-mapping na /opt/guacweb/etc/user-mapping.xml.

Samotný user-mapping.xml upravíme podle potřeby - to XML je celkem jednoduché a jednoznačné (dokumentace v originále). Například:

<user-mapping>
    <authorize username="luv" password="abclinuxu">
        <protocol>rdp</protocol>
        <param name="hostname">localhost</param>
        <param name="port">3389</param>
    </authorize>
</user-mapping>

Teď už stačí pustit winstone (opět, je zbytečné aby bežel jako root). Osobně jsem se tady neobtěžoval s init skriptem, ale prostě přidal ten druhý řádek do /etc/rc.local.

useradd guacweb
nohup sudo -u guacweb GUACAMOLE_HOME="/opt/guacweb/etc/" -- java -jar /usr/share/java/jenkins-winstone.jar --warfile=/opt/guacweb/guacamole-0.8.2.war --httpPort=8080 --ajp13Port=-1 &

Nyní už konečně můžeme vítězoslavně v prohlížeči otevřít "http://adresa_serveru:8080" a doufat, že bude fungovat i zvuk . Mě zvuk fungoval správně bohužel pouze v Chromium (resp Chrome).

Závěrem bych ještě velice doporučil přidat před winstone reverzní proxy (lighttpd funguje skvěle) a povolil připojení pouze přes HTTPS a také změnil heslo v user-mapping.xml na md5 hash - obojí jsem popsal na konci minulého dílu (winstone bude poslouchat pouze na localhostu pokud mu dáte parametr --httpListenAddress=127.0.0.1).

       

Tiskni Sdílej:

Komentáře

Vložit další komentář

Založit nové vlákno • Nahoru