Oracle VDI utilise plusieurs filtres et listes d'attributs LDAP pour rechercher et interpréter les données stockées dans le répertoire d'utilisateurs.
Cette section explique comment Oracle VDI utilise les filtres LDAP et les attributs pour effectuer les différentes recherches dans le répertoire d'utilisateurs nécessaire à chaque tâche.
Reportez-vous à la Section C.1, « Modification des filtres et des attributs LDAP » pour en savoir plus sur la modification de ces filtres.
Vous pouvez utiliser les outils d'administration (Oracle VDI Manager ou l'interface de ligne de commande) pour rechercher des utilisateurs et des groupes et les affecter à des bureaux ou à des pools.
La logique de la recherche est la suivante :
Les utilisateurs sont recherchés en premier :
le filtre utilisé pour la recherche des
utilisateurs est :
(
.
&ldap.user.object.filter
ldap.user.search.filter
)
le paramètre substituable
$SEARCH_STRING
est remplacé
par *criteria*
, le terme criteria
correspondant à la chaîne saisie dans le
champ de recherche de Oracle VDI Manager. Si cette
chaîne contient déjà un
caractère générique « * », le
paramètre substituable
$SEARCH_STRING
est simplement
remplacé par criteria
.
Les groupes sont ensuite recherchés comme suit :
Le filtre utilisé pour la recherche des
utilisateurs est :
(
.
&ldap.group.object.filter
ldap.group.search.filter
)
le $SEARCH_STRING
paramètre
substituable est remplacé par
*criteria*
, où le terme
criteria correspondant à la chaîne saisie
dans le champ de recherche de Oracle VDI Manager. Si cette
chaîne contient déjà un
caractère générique « * », le
paramètre substituable
$SEARCH_STRING
est simplement
remplacé par criteria
.
Si le paramètre global
ldap.search.wildcard
est
désactivé, le caractère substituable
$SEARCH_STRING
est remplacé par
criteria
(sans être entouré de
caractères génériques). Ceci permet de
limiter les résultats renvoyés correspondant
exactement à la chaîne tapée, ce qui est
utile pour les répertoires utilisateur distribués
et très volumineux pour lesquels la recherche à
l'aide de caractères génériques est
trop longue.
Les caractères génériques sont
ajoutés par défaut lorsque la valeur par
défaut de ldap.search.wildcard
est
activée.
Lors de la demande de bureau pour un utilisateur, Oracle VDI doit d'abord rechercher le DN utilisateur correspondant à l'ID utilisateur avant de résoudre les affectations de pool/bureau pour le DN utilisateur. Si l'authentification client est activée, l'attribut de l'ID utilisateur est également utilisé pour l'authentification.
Les attributs utilisés pour la mise en correspondance de
l'ID utilisateur sont définis dans
ldap.userid.attributes
.
L'appartenance à un groupe est résolue
à l'aide des attributs définis dans
ldap.user.member.attributes
et
ldap.group.member.attributes
.
La profondeur du groupe imbriqué est limitée à 3.
Oracle VDI résout également
l'appartenance au groupe principal spécifique
à Active Directory. Les attributs utilisés pour la
résolution de l'appartenance au groupe principal
sont définis dans
ldap.group.short.attributes
et
ldap.user.member.attributes
.
Pour améliorer les performances et réduire le volume des données stockées dans le répertoire d'utilisateurs, les entrées d'utilisateur et de groupe extraites par Oracle VDI sont mises en cache. Les entrées stockées dans le cache LDAP expirent après un délai de 10 minutes.
Pour l'instant, il est impossible de modifier le délai d'expiration du cache LDAP ou de vider le cache.