LinuxでOmnissa Workspace ONE Tunnelを利用してみる (クライアント設定編)

-

LinuxでOmnissa Workspace ONE Tunnelを利用してみる (クライアント設定編)


前回の『LinuxでOmnissa Workspace ONE Tunnelを利用してみる (UEM設定編)』に引き続き、 Linux クライアントである Ubuntu 24.04.1 LTS 環境にてセットアップを実施していきます。

Using Workspace ONE Tunnel on Ubuntu



Workspace ONE Tunnel for Linux セットアップ

Workspace ONE Tunnel for Linux の取得

Workspace ONE Tunnel for Linux のインストールファイルは、Omnissa Customer Connect から取得が可能です。

ダウンロードには Omnissa Customer Connect アカウントでのサインインが必要です。


執筆時点の2025年2月では、以下のパスからたどることができました。

[Product and Accounts] > [All Products] > [Omnissa Workspace ONE Tunnel - View Download Components] > [Workspace ONE Tunnel for Linux - Go to Downloads] > [DOWNLOAD NOW]

以下のリンクにて、プラットフォーム別の選択ページを直接開くことも可能です。

Download Omnissa Workspace ONE Tunnel


Workspace ONE Tunnel for Linux のインストール

取得したインストールファイルを Linux デバイス上に配置します。

今回は一般ユーザーのホームフォルダ直下へ配置した例として記載しています。

  1. インストールファイルに実行権限を付与
    ~$ chmod u+x ws1tunclient_installer_24.12.0b64.sha.a5d6bae_amd64.run
  2. インストールを実施
    ~$ sudo ./ws1tunclient_installer_24.12.0b64.sha.a5d6bae_amd64.run
  3. メッセージに従い『y』を入力して Enter キーを押下
    Navigate to the following URL to view Omnissa End User License Agreement.
https://www.omnissa.com/legal-center/
Please type y to accept, n otherwise:
  4. 完了メッセージが表示されることを確認
    Verifying archive integrity...  100%   SHA256 checksums are OK. All good.
Uncompressing WS1 Linux Tunnel  100%  



Installing WS1 Tunnel...

Installing ws1tunclient.service...
Finished, cli: ws1tunctl


Workspace ONE Tunnel for Linux インストール後の確認

インストール後の状態を確認していきます。


Workspace ONE Tunnel for Linux は、 systemd サービスとして登録が行われます。
デフォルトで有効化されており、再起動時に自動起動されます。

~$ systemctl status  ws1tunclient.service 
● ws1tunclient.service - WS1 Linux Tunnel Service
     Loaded: loaded (/usr/lib/systemd/system/ws1tunclient.service; enabled; preset: enabled)
     Active: active (running) since Tue 2025-02-06 19:55:21 JST; 18s ago
   Main PID: 4297 (ws1tunclient)
      Tasks: 8 (limit: 4558)
     Memory: 9.4M (peak: 20.9M)
        CPU: 159ms
     CGroup: /system.slice/ws1tunclient.service
             └─4297 /opt/ws1/tunnelclient/bin/ws1tunclient --config-dir /etc/opt/ws1/tunnelclient --log-level info


Workspace ONE Tunnel for Linux のセットアップに利用する ws1tunctl コマンドのヘルプを表示してみます。

~$ ws1tunctl --help
tunnel application.

Usage:
  ws1tunctl [command]

Available Commands:
  completion  Generate the autocompletion script for the specified shell
  enroll      Enroll the device.
  help        Help about any command
  log         logging related
  start       A brief description of your command
  status      A brief description of your command
  stop        A brief description of your command
  sync        Sync config against server
  unenroll    Unenroll the device
  version     Get the version of the client

Flags:
  -h, --help   help for ws1tunctl

Use "ws1tunctl [command] --help" for more information about a command.


 ws1tunctl コマンドの enroll オプションに関するヘルプを表示してみます。

~$ ws1tunctl enroll --help
Usage:
  ws1tunctl enroll [flags]

Flags:
  -u, --user string     username for enrollment
  -p, --pass string     password for enrollment
  -g, --group string    organization group ID to which client will enroll
  -s, --server string   Uem URL to which client will enroll
  -h, --help            help for enroll


Workspace ONE Tunnel for Linux のステータスを表示してみます。

~$ ws1tunctl status
 Enrollment

 Status  unenrolled

現時点では登録されていないため『unenrolled』と表示されました。


Workspace ONE Tunnel for Linux のセットアップ

Omnissa Workspace ONE UEM への登録を行います。

  1. 登録用コマンドを実行
    ※前述の enroll のヘルプも参考にしてください。
    ~$ ws1tunctl enroll -s <デバイス サービス FQDN> -g <組織グループ ID> -u <加入ユーザー ID>
  2. 加入ユーザーのパスワードを入力して Enter キーを押下
    Enter Password:
  3. セットアップが正常に完了することを確認
    Enrolling...   [success]
Fetching Config...   [success]
Requesting Credentials...   [success]

Enrollment successful!

 to start vpn: "ws1tunctl start"

For privacy related information regarding this product, see /opt/ws1/tunnelclient/PrivacyPolicy.txt


Workspace ONE Tunnel for Linux セットアップ後の確認

    Omnissa Workspace ONE UEM への登録後の状態を確認していきます。

    Workspace ONE Tunnel for Linux のステータスを表示してみます。

    ~$ ws1tunctl status
 Enrollment

 Status       enrolled               
 Server       https://dsXXXX.awmdm.com 
 Tenant       a5-linux        
 User         a5              
 Last Synced  never                  

 VPN Connection

 Status  inited

    登録先のサーバー情報等が表示されます。
    セットアップのみではトンネルが開始されないため『VPN Connection』は『inited』と表示されています。
    また、トンネルを開始するまでデバイス トラフィック規則の取得は行われていないようです。


    トンネルの利用開始

    トンネルの利用を開始するコマンドを実行します。

    1. トンネル利用開始コマンドを実行
      ~$ ws1tunctl start
    2. トンネルが開始されることを確認
      prepared...
connecting...
started


    トンネル利用開始後の確認

    トンネルを開始して Omnissa Unified Access Gateway と接続後の状態を確認していきます。


    Workspace ONE Tunnel for Linux のステータスを表示してみます。

    ~$ ws1tunctl status
 Enrollment

 Status       enrolled                      
 Server       https://dsXXXX.awmdm.com       
 Tenant       a5-linux                      
 User         a5                            
 Last Synced  2025-02-06 20:50:44 +0900 JST 

 VPN Connection

 Status   activated (Since: 2025-02-06 20:50:45 +0900 JST) 
 Server   tunnel.a5tkht.test (192.168.101.188)             
 Tun IP   192.168.105.86                                   
 Tun MTU  1460

    同期が行われて接続先の Omnissa Unified Access Gateway 情報とステータスが表示されています。


    引数『-d』を付与することで、取得しているデバイス トラフィック規則の情報を表記できます。

    ~$ ws1tunctl status
 Enrollment

 Status       enrolled                      
 Server       https://dsXXXX.awmdm.com       
 Tenant       a5-linux                      
 User         a5                            
 Last Synced  2025-02-06 20:50:44 +0900 JST 

 VPN Connection

 Status   activated (Since: 2025-02-06 20:50:45 +0900 JST) 
 Server   tunnel.a5tkht.test (192.168.101.188)             
 Tun IP   192.168.105.86                                   
 Tun MTU  1460                                             

 Device Traffic Rule

 PRIO  APPLICATIONS  DESTINATIONS  ACTION 
    1  firefox       *.a5.test     tunnel 
  999  *             *             bypass

    設定通り、ランク1としてアプリケーション名、宛先、アクションが表示されています。


    IP アドレス情報を確認してみます。

    ~$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host noprefixroute 
       valid_lft forever preferred_lft forever
2: ens32: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 00:0c:29:24:20:96 brd ff:ff:ff:ff:ff:ff
    altname enp2s0
    inet 192.168.132.129/24 brd 192.168.132.255 scope global dynamic noprefixroute ens32
       valid_lft 1411sec preferred_lft 1411sec
    inet6 fe80::20c:29ff:fe24:2096/64 scope link 
       valid_lft forever preferred_lft forever
5: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1460 qdisc fq_codel state UNKNOWN group default qlen 500
    link/none 
    inet 192.168.105.86/32 scope global tun0
       valid_lft forever preferred_lft forever
    inet6 fe80::ac40:6243:e4b1:8665/64 scope link stable-privacy 
       valid_lft forever preferred_lft forever

    トンネルが開始されている状態ではインターフェース『tun0』が追加されていることが分かりました。


    ws1tunctl コマンドの動作例

    新規登録、ステータス確認以外でも有用なコマンドの動作を確認してみました。


    トンネルの利用停止

    ~$ ws1tunctl stop
deactivating...
stopped


    トンネル構成の手動同期

    ~$ ws1tunctl sync
sync successful

    通常はトンネル開始時に自動同期されますが、サービス再起動をせずに手動同期することも可能でした。


    Workspace ONE Tunnel for Linux のバージョン確認

    ~$ ws1tunctl version
Workspace ONE Linux Client

Cli: v24.12.0b64.sha.a5d6bae
Client daemon: v24.12.0b64.sha.a5d6bae


    Omnissa Workspace ONE UEM からの登録解除

    ~$ ws1tunctl unenroll
Post "http://localhost/v1/unenroll": EOF

    インストール直後の状態に戻ります。

    なお、他のテナントへの再加入を行う場合は、サービス再起動を行うまで証明書が正常に送付できない問題が発生したため、注意が必要です。



    Omnissa Workspace ONE UEM 登録状態の確認

    スタンドアローンモードでの登録を行った場合でも、 Omnissa Workspace ONE UEM 上にデバイスエントリーが登録されます。

    ただし、通常の『UEM 管理対象』ではなく、『アプリレベル』での登録となるため、デバイス管理機能はありません。


    Omnissa Workspace ONE UEM コンソール デバイス表示

    『アプリレベルによる管理』として表示されています。

    Tunnel Standalone Mode

    また、登録時にユーザー情報を入力しており、デバイスフレンドリ名には反映されていますが、『概要』内の『ユーザー情報』にはユーザー情報は表示されませんでした。

    デバイス管理がされているわけではないため、利用可能なコマンドも限られたものとなります。


    トンネルデバイスの管理用の登録情報となるため、このデバイスエントリーを削除することで、対象デバイスのトンネル接続を停止することが可能です。


    おわりに

    今回は Linux 環境で Workspace ONE Tunnel for Linux のセットアップを実施していきました。

    機能的には概ね問題なく利用できているものの、現時点ではスタンドアローンモードのみで利用できる状況というのがネックになると思います。

    なお、Omnissa Workspace ONE UEM 2406 の時点では、 Linux 用デバイスプロファイルのペイロードとして『トンネル』が表示されていることを確認しています。

    ただし、執筆時点ではペイロードとしては追加できず、利用することができない状況です。

    Tunnel 機能をデバイスプロファイルがサポートされることで、 Linux クライアントのデバイス管理に関するレベルが上がるため、実用的になりつつあると感じています。

    コメント

    コメントを投稿

    このブログの人気の投稿

    Mac 上の Boot Camp Windows 環境を VMware Fusion へインポートしてみる

    -
    Mac 上の Boot Camp Windows 環境を VMware Fusion へインポートしてみる Mac デバイスにて Windows OS をネイティブに起動するための仕組みとして Boot Camp があります。 筆者は5年前に購入した Mac mini (2018) を利用していましたが、米 Apple 社が Intel Mac の製造を終了したこともあり Windows デバイスへ戻ることとしました。 その際に Boot Camp Windows 環境を仮想マシンとして移動させたいと思い実施したので、その流れを紹介していきます。
    Read more »

    【自宅ラボ】vSphere の USB NIC を自動認識させてみる

    -
    【自宅ラボ】vSphere の USB NIC を自動認識させてみる 前回導入した " USB Network Native Driver for ESXi " ですが、ドキュメント上にも記載されているとおり、導入のみでは起動時の処理の都合上、仮想スイッチとの紐付けが毎回解除されてしまいます。 対処方法は手順はドキュメントに記載されておりますが、細かな情報無しに読み解く必要がある状況でしたので、設定方法を解説してみます。
    Read more »

    Androidデバイスの画面をリアルタイムで投影する方法

    -
    Androidデバイスの画面をリアルタイムで投影する方法 製品のデモや操作内容の共有のために、Android デバイスの画面をリアルタイムでモニターやプロジェクターで投影したい場合、外部製品が必要となります。 iPhone の場合は専用の HDMI アダプターや、 iPhone 15 Pro 以降であれば UDB-C to HDMI ケーブルを用いることで相性問題等はなく表示できますが、 Android の場合はデバイスにより実現可否が異なります。 デバイスによっては使用できない方法や、出先での利用が難しいものなどもあるので、今回はメジャーな方式について整理してみたいと思います。
    Read more »

    【自宅ラボ】VCSA のリストアを実施してみる (vSphere 8)

    -
    【自宅ラボ】VCSA のリストアを実施してみる (vSphere 8) vSphere 環境において、vCenter Server は全 ESXi の管理や、vCenter Server 上で管理している情報等、重要な情報が多数格納されており、バックアップの取得が推奨されています。 バックアップしたものは復元が行えることを確認しておかなければいざというときに復元できない事態となる恐れもあるため、今回は 前回取得したバックアップ を用いてリストアを実施した結果を紹介します。
    Read more »