staging.inyokaproject.org

Hallo zusammen,

bei einigen Ubuntu-Installationen die als VM laufen setzen wir VNC für Remotedesktopverbindungen ein. Der Zugriff erfolgt hierbei über Apache Guacamole. Hierzu wird im Guacamole für die Anmeldung am Ubuntu-VNC Username und Passwort vom VNC-Dienst hinterlegt.

Es kommt sehr häufig vor, dass der VNC-Dienst auf den Ubuntu-Maschinen Probleme bereitet. Man muss sich dann lokal an Ubuntu anmelden um den VNC-Dienst zu reparieren. Erst dann klappt die VNC-Verbindung wieder.

Es kommt ausschließlich Ubuntu TLS zum Einsatz, bis vor kurzem 20.04, jetzt aktuell nur noch 22.04.

Die Probleme treten meist nach Updates von Ubuntu auf. Beim Update von 20.04 auf 22.04, aber auch und insbesondere bei den regelmäßigen Updates. Ich weiß noch nicht, ob die Verbindungen dann meist nach dem Neustart nicht mehr möglich sind oder ob es schon vor dem Neustart, nachdem die Updates eingespielt sind, nicht mehr geht. Auf jeden Fall ist nach dem Neustart dann meist keine VNC-Verbindung mehr möglich.

Die Ausprägungen sind hierbei unterschiedlich. Es ist schon vorgekommen, dass der VNC-Dienst nach dem Neustart dann vollständig ausgeschaltet war, meist ist es aber nur so, dass der VNC-Server plötzlich ein neues Passwort gesetzt hat (der VNC-User bleibt meistens gleich).

Die Lösung sieht dann in der Regel so aus, dass ich mich lokal anmelde, in die VNC-Einstellungen gehe, dort dann einfach nur das alte VNC-Passwort wieder eintrage weil ein neu generiertes drin steht und schon kommt Guacamole auch wieder auf Ubuntu drauf.

Mittlerweile habe ich bei einem Ubuntu 22.04 mit tagesaktuellem Patchstand von gestern aber das Problem, dass die VM nicht mal nach einem Reboot mehr das altes Passwort behält. Wenn ich also das VNC-passwort setze funktioniert der Zugriff über VNC/Guacamole erstmal wieder. Ein einfacher Neustart reicht jedoch aus und das Passwort ist wieder durch ein zufälliges, neues Passwort gesetzt.

Das ist ja nicht Sinn eines Remote-Desktop Servers, dass dieser ständig durch Login am lokalen Bildschirm gefixt werden muss.

Mein wichtigste Anliegen ist: Welche Möglichkeiten gibt es, diesen Dienst zu härten, so dass er nicht mehr durch Updates und ähnliches verbogen wird?

Ein anderes Problem mit dem Dienst ist folgendes:

Ich hab die Ubuntu-Maschinen so eingestellt, dass sie sich ohne Anmeldefester starten und direkt in den Desktop mit einem voreingestellten User booten. Das deshalb, weil der VNC-Server keine Verbindungen zulässt wenn kein Nutzer angemeldet ist. Das führt auch dazu, dass wenn sich ein Nutzer abmeldet oder den Screen lock aktiviert, keine VNC-Verbindungen mehr möglich sind.

Hab ich VNC hier nur falsch konfiguriert oder etwas übersehen? Wie kann ich den Dienst so einrichten, dass man jederzeit eine VNC-Verbindung aufbauen kann, auch wenn kein User angemeldet ist oder der Screen gelockt ist?

Vielen Dank für euren Support.

Hallo,

ich würde mich nicht als VNC-Sepzialist bezeichnen und mit der Nutzung von VNC über Guacamole habe ich praktisch gar keine Erfahrung. Ich habe nur vor ziemlich genau einem Jahr das HowTo TigerVNC getestet und bin da doch auf einige Stolpersteine gestoßen, die ich Dir mal aus meiner Erinnerung darstelle und Dir vielleicht helfen können auf die richtige Lösung zu kommen:

Erst mal noch vorweg:

• Es gibt zwei Arten von VNC-Server-Diensten. Solche die das Display des aktuell angemeldeten Nutzers übertragen. Diese Art von VNC braucht man in aller Regel, wenn man z.B. per Fernwartung zur Hilfe kommen möchte. Also eigentlich nicht Euer Anwendungsfall, aber dann eben doch, soweit es den GDM3 Login-Screen betrifft, der AFAIK unter dem Benutzer root läuft. Frage wäre, ob Ihr den Login mittels Guacamole damit realisieren müsst. Ich würde mal denken, dass das wahrscheinlich auch anders gehen müsste/könnte/sollte.

• Dann gibt es noch VNC-Server-Dienste, die nicht das Display bzw. die Session eines angemeldeten Nutzers übertragen, sondern die eine solche Session "virtuell" erst initiieren und diese virtuelle Session dann übertragen können. Das ist das was man als ein Arbeiten aus der Ferne auf dem Server, so ähnlich wie bei einem Terminal-Server, bezeichnen kann und nach meinem Verständnis der von Euch gewünschte Anwendungsfall ist. Dieser wird im Prinzip von dem HowTo TigerVNC dargestellt, wäre dann aber noch an Euer Guacamole-Setup zu adaptieren. Übrigens heißt der Verweis auf TigerVNC nicht, dass man diese VNC-Spielart zwangsweise nur mit TigerVNC umsetzen kann, nur bin ich persönlich mit dieser Variante eben beim Testen des HowTos erstmalig in Berührung gekommen.

So nun noch speziell zu dem VNC-Server-Dienst in der "Terminal-Server"-Variante:

• Wenn man sich am Ubuntu-Rechner lokal grafisch anmeldet, dann kann für diesen Nutzer nicht gleichzeitig eine virtuelle durch VNC übertragbare Session initiiert werden.

• Die Session bezeichne ich deswegen als virtuell, weil man Sie lokal auf dem Rechner zu dem man sich verbindet dann nicht zu Gesicht bekommen kann und hat rein gar nichts mit virtuellen Maschinen wie z.B. qemu/kvm zu tun.

• Das Initiieren einer virtuellen Session ist technisch offenbar gar nicht so trivial und dieser Vorgang musste zumindest bei TigerVNC über die letzten Versionen hinweg an systemd angepasst werden und da gab es z.B. unter 20.04 einen Bug, der beim Starten einer virtuellen Gnome-Session über VNC nur zu einem schwarzen Bildschirm führte und auch sonst lief die Umstellung über ein zwei TigerVNC-Versionen hinweg etwas rumpelig.

• Nach dem was ich für den Test recherchiert habe, verhält sich Gnome beim Initiiren am zickigsten. Plasma macht weniger, aber wohl auch noch häufiger Probleme - zumindest bei besagter VNC-Variante.

• Probleme die ich in diesem Zusammenhang hatte hingen fast immer mit dem nicht richtigen Setzen von Umgebungsvariablen für die virtuelle Session zusammen. Häufig - aber nicht immer - konnte ich solche Bugs durch "händisches" Setzen über ~/.xsessionrc umschiffen.

Vielleicht helfen diese Infos Euch ja zumindest in die richtige Richtung nach dem Problem suchen zu können. Ich denken, dass Eure Probleme ähnlich gelagert sein könnten, auch wenn Ihr kein TigerVNC verwendet - kann das aber nicht mit Sicherheit sagen.

LG, Newubunti

Danke für deine Rückmeldung.

Guacamole ist eigentlich nichts weiter als ein Client für SSH, RDP, VNC (und noch ein, zwei andere Protokolle). Alles was Guacamole macht, ist die Ausgabe der Remotesession in HTML5 über eine Website auszugeben. Thats it. Insofern macht es keinen Unterschied, ob man Guacamole nutzt oder einen richtigen VNC-Client.

Wir nutzen den VNC-Dienst, der unter den Systemeinstellungen im Tab "Sharing" grafisch zur Verfügung steht. Welchen Dienst Ubuntu hier standardmäßig startet, weiß ich nicht.

Genau, der zweite Punkt ist das, was wir eigentlich machen wollen. Ich bin mir aber nicht sicher, ob dieser Default-VNC einfach nur den Screen übeträgt, oder eine Terminalsession öffnet. Ich würde aber mal ersteres vermuten, denn wie gesagt klappt das ganze ja nur, wenn bereits ein User lokal angemeldet wurde oder Ubuntu Autologin drin hat. Außerdem kann man am "Bildschirm" auch verfolgen, was der VNC-User so treibt.

Mittlerweile hab ich an mehreren Stellen gelesen, dass es wohl typisch bei gnome ist, dass man sich nur in angemeldete User-Sessions einloggen kann. Seit 22.04 scheint wohl auch RDP-Support da zu sein (musst ich mal testen). Aber das Problem ist: Auch RDP läuft nur im user mode. Terminalsessions nicht möglich.

Das Tutorial für Tiger VNC hab ich mal überflogen, aber es ist halt etwas aufwendig. Wenn wir irgendwelchen Mitarbeiten so eine VM bereitstellen wollen, dann sollte eine Terminal-Remoteverbindung möglichst Out of the Box klappen. Klar, wir könnten eine VM konfigurieren und Vorlagen erstellen, trotzdem bleibt da eine gewisse Restarbeit um die daraus erstellte neue VM für den NUtzer individuell anzupassen.

Vielleicht ist Ubuntu nicht unbedingt die richtige Distribution für unseren Anwendungsfall.

nixnoob schrieb:

Wir nutzen den VNC-Dienst, der unter den Systemeinstellungen im Tab "Sharing" grafisch zur Verfügung steht. Welchen Dienst Ubuntu hier standardmäßig startet, weiß ich nicht.

Genau, der zweite Punkt ist das, was wir eigentlich machen wollen. Ich bin mir aber nicht sicher, ob dieser Default-VNC einfach nur den Screen übeträgt, oder eine Terminalsession öffnet.

Der überträgt nur den Bildschirm des gerade angemeldeten Benutzers. Was auch irgendwie logisch ist, weil man es ja auch in der laufenden Desktop-Session aktiviert/deaktiviert.

Mittlerweile hab ich an mehreren Stellen gelesen, dass es wohl typisch bei gnome ist, dass man sich nur in angemeldete User-Sessions einloggen kann.

Das stimmt so IMO nicht bzw. ist die Frage, wie das auf den jeweiligen Seiten, die Du gelesen hast genau gemeint war. TigerVNC erstellt wie gesagt z.B. eine Gnome-Session auf dem "Server"-Rechner und stellt diese Session zur Verbindung mittels VNC-Client bereit.

Unter 22.04 funktioniert das auch mit Gnome. Bei 20.04 funktionierte es vor einem Jahr aufgrund des Bugs nicht. Ob der Bug-Fix an 20.04 zurückgeflossen ist, weiß ich nicht - denke aber mal eher nein.

Das Tutorial für Tiger VNC hab ich mal überflogen, aber es ist halt etwas aufwendig.

Naja, es ist technisch bedingt halt insofern aufwendiger, als dass zunächst eben erst noch eine Session gestartet werden muss, die dann über VNC übertragen werden kann.

Beim einfachen Screensharing wird halt einfach die schon bestehende Session des gerade angemeldeten Benutzers übertragen. Da muss sich "der VNC-Server" halt nicht auch noch um den Starte der Sesssion kümmern.

Vielleicht ist Ubuntu nicht unbedingt die richtige Distribution für unseren Anwendungsfall.

IMO verwendet Ihr für Euren Anwendungsfall mit dem Screensharing den falschen Dienst - wobei ich aber auch noch nicht genau verstanden habe, wie Euer Anwendungsfall genau aussieht.

Verbindet sich da ein Nutzer über Remote zu seinem eigenen Desktop-Rechner? Oder arbeiten mehrere Nutzer auf ein und dem selben Server direkt oder läuft auf einem großen Server, jeweils eine VM pro Nutzer auf die dann über VNC zugegriffen wird?

LG, Newubunti

Vielen Dank für deine Diskussionsfreude.

Der Anwendungsfall ist: Die VMs werden in der Regel zum Entwickeln und Testen von Software oder zum Testen des Zusammenspiels mehrerer Programme genutzt. Die Ubuntu VM hängt in einem Projektnetz, an dem dann jeweils auch physische Geräte (Sensoren, etc.) beteilgt sind. Unsere Entwickler (also mehrere) sollen Zugriff auf diese VM haben, damit jeder mit seiner speziellen Expertise auf der VM entwickeln kann. Die Entwickler installieren sich die Entwicklungsumgebung (GIT etc.) dann selbst auf die VM und testen dann auf der VM.

Wenn Dir TigerVNC für Eure Anwendungsfall zu aufwendig erscheint, dann bietet vielleicht der folgende Beitrag eine Lösungsmöglichkeit:

https://tips.graphica.com.au/ubuntu-and-remote-gnome-desktop/

Zumindest erklärt Dir das IMO - zumindest teilweise - die bei Euch auftretenden Probleme.

LG, Newubunti

nixnoob schrieb:

... Es ist schon vorgekommen, dass der VNC-Dienst nach dem Neustart dann vollständig ausgeschaltet war, meist ist es aber nur so, dass der VNC-Server plötzlich ein neues Passwort gesetzt hat (der VNC-User bleibt meistens gleich).

Der Grund für dieses Verhalten ist in dem folgenden Thread 🇬🇧 beschrieben:

https://askubuntu.com/questions/1403943/22-04-remote-desktop-sharing-authentication-password-changes-every-reboot:

Die IMO beste Lösunge bzw. den besten Workaround für das Problem beschreibt die folgende Antwort 🇬🇧:

https://askubuntu.com/questions/1403943/22-04-remote-desktop-sharing-authentication-password-changes-every-reboot/1409857#1409857

LG, Newubunti