通常,用户信息已存储在 Active Directory 或 LDAP 服务器中。在创建池并将用户分配给桌面之前,您必须配置所需的 Active Directory/LDAP 服务器和 Oracle VDI。以下信息介绍了 Oracle VDI 支持的用户目录类型。
对于与 Microsoft Active Directory 集成的生产平台,建议选择 Active Directory 集成。在 Oracle VDI 主机上,Active Directory 集成需要进行其他配置(Kerberos 配置和时间同步)。要快速设置 Active Directory 集成(例如为了测试目的),可以使用 LDAP 类型,请参见第 4.1.2 节 “LDAP 类型”。
有关所支持的 Active Directory 版本的详细信息,请参见第 4.2 节 “支持的用户目录”。
Active Directory 中的用户可用于桌面和池分配,并将能够通过 Oracle VDI 访问桌面。除该基本功能外,Active Directory 集成还提供以下功能:
通过 Active Directory 集成,将可以访问一个林中的所有用户并将这些用户用于桌面和池分配。这意味着,该林的不同子域中的用户将能够通过 Oracle VDI 访问桌面。
有关所支持的林配置的详细信息,请参见第 4.10 节 “关于复杂林配置”。
Active Directory 集成允许在 Oracle VDI 删除克隆的桌面时从 Active Directory 中删除计算机条目。
当 Windows 桌面(在 Oracle VDI 中克隆)通过 Sysprep 加入域时,通常会在 Active Directory 中创建一个新计算机条目。用 Kerberos 验证配置 Oracle VDI 允许 Oracle VDI 在删除未使用的桌面时从 Active Directory 中删除计算机条目。这样可以避免相应桌面已被长期销毁而计算机条目却在 Active Directory 中堆积的情况。
Active Directory 集成允许用户在其密码过期之前(可选操作)或过期之后(强制性操作),在 Active Directory 服务器中更新其密码(第 7.2.6 节 “如何更改用户密码”)。
您可以从以下支持的 Active Directory 类型中进行选择:
Kerberos 验证 - 与 Microsoft Active Directory 集成时,通常会选择 Kerberos 验证。
有关更多信息,请参见第 4.5 节 “如何设置 Kerberos 验证”部分。
公钥验证 - 用于在域控制器需要 LDAP 签名时与 Microsoft Active Directory 集成,请参见:http://support.microsoft.com/kb/935834。
有关更多信息,请参见第 4.6 节 “如何设置公钥验证”部分。
如果要与其他类型的 LDAP 目录集成或者快速设置 Active Directory 集成,建议选择 LDAP 集成。该设置简单明了,无需进行额外的配置。
有关所支持的 LDAP 目录的详细信息,请参见第 4.2 节 “支持的用户目录”。
LDAP 集成仅允许用户在其密码过期之前,在目录服务器中更新其密码(第 7.2.6 节 “如何更改用户密码”)。如果用户密码过期,则该用户必须使用与 Oracle VDI 不相关的客户提供的流程来更新其密码。
LDAP 集成为验证提供了三种安全类型:“匿名“、“简单“和“安全“。
匿名验证 - 对于快速与 LDAP 服务器集成非常有用,但不建议用于生产环境。仅当 LDAP 服务器支持匿名验证时才能选择匿名验证。Active Directory 不支持匿名验证。
有关更多信息,请参见第 4.7 节 “如何设置匿名验证”部分。
简单验证 - 对于与除 Active Directory 以外的 LDAP 目录集成的生产平台,建议选择简单验证。如果与 Active Directory 集成,请使用 Kerberos 验证,参见第 4.5 节 “如何设置 Kerberos 验证”。Active Directory 中的默认限制会阻止 LDAP 简单验证中的密码更新。
有关更多信息,请参见第 4.8 节 “如何设置简单验证”部分。
安全验证 - 如果目录支持安全验证,该验证对于保护通过 SSL 的连接很有用。
有关更多信息,请参见第 4.9 节 “如何设置安全验证”部分。
用户从 Oracle VDI 获得桌面(通过桌面选定器)时,Oracle VDI 会将用户凭证传递给该桌面,因此用户在登录该桌面时不必重新输入其凭证。Oracle VDI 验证用户的一种方式是通过其电子邮件地址,但是,电子邮件地址在桌面端不是有效的用户名。
Oracle VDI
在将凭证传递给桌面之前,会通过从用户目录中检索用户
ID
属性和用户的默认域尝试将电子邮件地址解析为
username@domain 格式。如果使用
LDAP,Oracle VDI
将无法检测到默认域,因此,您需要使用
vda directory-setprops 命令来设置
directory.default.domain
属性。如果未设置此属性,用户必须再次在桌面端进行验证。
如果您对用户目录集成有深入了解,并且要针对用户目录优化 Oracle VDI,请参阅以下部分: