安装和配置 Oracle VDI 时,您还需要安装和配置 Sun Ray 软件 的捆绑发行版本,请参见第 1.5 节 “关于 Oracle VDI 软件包”。
为了帮助不熟悉 Sun Ray 软件 的 Oracle VDI 管理员,捆绑的 Sun Ray 软件 已进行专门配置,以与 Oracle VDI 一起使用。本部分中的信息仅包含使用 Sun Ray 客户机对 Oracle VDI 桌面进行访问所需的信息。
熟悉 Sun Ray 软件 的管理员可能需要更改默认配置以满足他们的需求。附录 B, 与 Oracle VDI 捆绑在一起的软件的默认值中包含默认配置的详细信息。
有关 Sun Ray 软件 和 Sun Ray 客户机的详细信息,请参见位于 http://www.oracle.com/technetwork/documentation/sun-ray-193669.html 中的 Sun Ray 产品文档。
Sun Ray 软件 通常用于提供对标准 UNIX 或 Linux 平台桌面会话的访问。但是,使用 Sun Ray Kiosk 模式也可以支持其他会话类型。Oracle VDI 随附了预定义的 Kiosk 会话,称为 Oracle Virtual Desktop Infrastructure。此 Kiosk 会话使用 Sun Ray Windows 连接器建立到虚拟机的远程桌面协议 (Remote Desktop Protocol, RDP) 连接。
通常,Sun Ray Kiosk 会话在用户将智能卡(令牌)插入 Sun Ray 客户机时启动。首先会显示登录对话框,用户在该对话框中输入用户名、密码,以及 Windows 域(可选)。成功进行验证后,系统会联系 Oracle VDI 服务以确定分配给用户的桌面。如果有多个桌面可用,则会显示桌面选定器屏幕。用户选择桌面后,Sun Ray Windows 连接器会启动,并连接到运行该桌面的虚拟机。如果虚拟机未运行,则在虚拟机启动的同时会显示等待屏幕。有关实例,请参见第 7.2.3 节 “如何使用 Sun Ray 客户机访问桌面”。
用户无需使用智能卡登录。默认情况下,对智能卡和非智能卡访问均启用 Kiosk 会话。
默认情况下,所有用户必须向 Oracle VDI 进行验证才能访问桌面。Oracle VDI 服务将访问用户目录以验证提供的用户凭证。如果验证成功,则将建立到选定桌面的连接。这些凭证可以传递到 Windows 客操作系统,以便用户可以自动登录到他们的桌面。
可以禁用向 Oracle VDI 进行验证,请参见第 7.2.7 节 “如何禁用客户端验证”。如果禁用客户机验证,用户必须插入智能卡,或者提供用户名和密码(在登录对话框中)才能访问他们的桌面。可用的桌面是分配给令牌或者分配给用户名的桌面。在这种情况下,最佳做法是将桌面操作系统配置为需要验证。
也可以禁用登录和桌面选定器对话框。如果禁用桌面选定器,则用户始终连接到他们的默认桌面,而无需向 Oracle VDI 进行验证。由于用户不能通过输入用户名或密码来访问他们的桌面,因此您必须禁用客户机验证。如果执行此操作,则用户必须插入智能卡来启用 Oracle VDI,以确定池或桌面分配。
可以通过许多会话参数来配置 Kiosk 会话的外观和行为。有以下两类参数:
桌面选定器选项:这些设置用于 VDA 会话,可影响登录和桌面选定器对话框。
Sun Ray Windows 连接器选项:这些设置用于 Sun Ray Windows 连接器(也称为 uttsc),可影响 RDP 连接的质量。
在本部分的其余内容中会介绍这些选项。第 7.2.2 节 “如何更改捆绑的 Sun Ray Kiosk 会话”介绍如何配置和应用这些选项。
下表显示可用的桌面选定器选项。
参数 | 说明 |
---|---|
| 禁用登录和桌面选定器对话框。 |
| 在“域“字段中设置默认域。 |
| 使用指定域填充“域“下拉列表。
示例: |
| 指定用户登录后应用的超时(以秒计)。 默认超时时间为三分钟。 |
| 用于显示登录和桌面选定器对话框的 Java Runtime Environment (JRE) 的路径。
示例: |
| 启用“用户名“字段。 通常,“用户名“字段为只读。使用此选项可使用户以其他用户名登录。 |
| 隐藏“用户名“字段。 |
| 隐藏“域“字段。 |
| 显示“密码“字段。 |
| 使用分辨率列表填充“屏幕分辨率“菜单(在“更多选项“下)。
示例: |
| 启用 verbose 记录。
日志级别为
|
| 禁用数码锁定,导航或方向键处于活动状态 默认情况下,数码锁定处于启用状态,而导航或方向键处于非活动状态。 |
以前的 Oracle VDI
发行版本支持这些选项的长格式,例如
--no-desktop-selector
而非
-n
。这些长选项已停用,请勿使用它们。
如果使用 -n
选项禁用登录和桌面选定器对话框,则用户不能通过输入用户名或密码来访问他们的桌面。如果使用此选项,则您还必须禁用客户机验证。请参见第 7.2.7 节 “如何禁用客户端验证”。用户必须插入智能卡才能访问他们的默认桌面。
如果使用 -v
选项启用 verbose
记录,则其他日志消息会输出为标准错误
(stderr)。可以在以下位置查看日志消息:
Oracle Solaris
平台:/var/dt/Xerrors
Oracle Linux
平台:/var/opt/SUNWkio/home/utku<XX>/.xsession-errors
默认情况下,Oracle VDI
登录和桌面选定器对话框使用 Oracle VDI
随附的 JRE。但是,可以使用 -j
选项指定替代
JRE。为了获得最佳的语言环境支持和最新的 Java
Swing 功能改进,请使用 Java 6。
默认情况下,当用户从他们的桌面断开连接时,他们会返回到 Oracle VDI 登录对话框。要更改此行为以使用户返回到桌面选定器对话框,请以 root 用户身份运行以下命令。
# /opt/SUNWvda/sbin/vda settings-setprops -p client.logout.always=Disabled
如果更改此设置,则用户使用位于屏幕顶部的 Sun Ray Windows 连接器工具栏中的 "X" 按钮或者 Windows“开始“菜单中的“断开连接“按钮时,他们会返回到桌面选定器对话框。如果用户以任何其他方式断开连接,则他们将会注销。
默认情况下,桌面选定器对话框具有一个“重置“按钮,该按钮使用户可以重新引导桌面。要对所有用户隐藏“重置“按钮,请以 root 用户身份运行以下命令:
# /opt/SUNWvda/sbin/vda settings-setprops -p client.desktop.reset=Disabled
如果更改此设置,则只有为用户分配多个桌面时,才会显示桌面选定器对话框。如果仅为用户分配了一个桌面,则不会显示桌面选定器对话框。
uttsc 手册页包含完整的受支持选项列表。
登录 Sun Ray Administration GUI。
转至“高级“选项卡。
单击“Kiosk 模式“链接。
系统会显示“Kiosk 模式“页面。
单击“编辑“按钮。
系统会显示“编辑 Kiosk 模式“页面。
在“参数“字段中,键入所需的 Kiosk 会话参数。
Kiosk 会话参数的语法为:
desktop selector options
--uttsc options
第 7.2.1 节 “关于 Oracle VDI Sun Ray Kiosk 会话”中介绍了 Oracle VDI 的可用 Kiosk 选项。
例如:
-d vdatest -j /usr/java6 -- -E wallpaper -E theming
单击 "OK"(确定)。
(可选)执行 Sun Ray 服务冷重启。
新设置将仅对新 Kiosk 会话生效。要对现有会话实施这些设置,您必须执行 Sun Ray 服务冷重启。这会终止所有现有会话并根据需要创建新 Kiosk 会话。
进入“服务器“选项卡。
选择 Oracle VDI 环境中的所有服务器。
单击“冷重启“。
此操作可能需要几分钟时间才能完成。
本部分提供用户如何使用 Sun Ray 客户机(Sun Ray 硬件或 Oracle Virtual Desktop Client)访问桌面的示例。
根据 Sun Ray Kiosk 会话的配置,用户可能需要先进行登录,然后才能访问桌面。如果为用户分配了多个桌面,则他们还能选择桌面。有关更多详细信息,请参见第 7.2.1 节 “关于 Oracle VDI Sun Ray Kiosk 会话”。
在此示例中,用户先登录 Oracle VDI,然后再选择要访问的桌面。
登录 Oracle VDI。
将智能卡(令牌)插入到连接到 Oracle VDI 主机的 Sun Ray 客户机。令牌将分配给池,或者直接分配给桌面。
系统会显示登录对话框。
用户必须提供用户名、密码,以及 Windows 域(可选)。
选择桌面或池。
成功进行验证后,系统会确定分配给用户的桌面和池。如果为用户分配了多个桌面,则会显示桌面选定器对话框。如果仅分配了一个桌面,则不会显示此对话框。
使用桌面。
用户选择桌面后,Sun Ray Windows 连接器会启动并显示该桌面。
用户可以通过将鼠标向上移动到屏幕顶部并在远程桌面下拉菜单中单击 "X",随时与桌面断开连接。此时,用户将与当前的桌面会话断开连接,系统会显示桌面选定器对话框或登录对话框。
对于通过 Windows RDP 连接的桌面,Windows 开始菜单中还会提供一个 Disconnect(断开)按钮。通过 Oracle VM VirtualBox (VRDP) 连接的桌面不具有此按钮。
在此示例中,用户不需要登录 Oracle VDI,而仅可访问他们的默认桌面。
启动桌面。
将智能卡(令牌)插入到连接到 Oracle VDI 主机的 Sun Ray 客户机。令牌将分配给池,或者直接分配给桌面。
Oracle VDI 会确定分配给用户的默认桌面。在此示例中,桌面尚未运行,因此,在桌面启动的同时会显示等待屏幕。
登录桌面。
在此示例中,由于客操作系统的配置需要用户名和密码(还可能需要 Windows 域),因此会显示标准 Windows 登录屏幕。
使用桌面。
成功进行验证后,系统会显示桌面。该行为与标准 Windows PC 的行为相同。
多监视器功能支持使用连接到 Sun Ray 客户机或 Sun Ray 多显示端组的多个监视器。可以将桌面配置为跨多个监视器显示一个桌面会话,或者跨多个监视器显示多个桌面会话。
该功能至少要求 Sun Ray 客户机(如 Sun Ray 2FS 或 Sun Ray 3 Plus)连接有两个监视器并启用桌面选定器。如果需要两个以上的屏幕,则可以将 Sun Ray 多显示端组配置为连接几个 DTU。
如果为用户分配了多个桌面,并且有多个监视器可用,则用户可以通过桌面选定器来选择并连接到多个桌面。
桌面将按照它们列出的顺序显示。例如,第一个桌面将显示在第一个监视器上。要更改桌面的显示顺序,用户必须进行注销或关闭 Sun Ray Windows 连接器会话,返回到桌面选定器。之前已显示的桌面将标记有监视器图标。如果选择标记有监视器的某个桌面,则会显示箭头,可以通过这些箭头将每个桌面上移或下移到适当的位置。如果桌面已经重新排序,则用户可以重新选择他们要查看的桌面,然后单击“连接“。
多监视器功能依靠的是 Oracle VM VirtualBox 的多远程监视器功能,它允许每个 Oracle VDI 桌面会话最多配置八个监视器。Oracle VM VirtualBox 托管并使用 VRDP 的 Windows XP 和 Windows 7 来宾支持“多监视器“功能。
从一台 Sun Ray 客户机转移到另一台客户机可能会在不存在的监视器上留下一些打开的窗口。在这种情况下,最终用户必须转至“控制面板“,启动“显示属性“应用程序,并修改可用监视器的数目。之后,不可见监视器中的所有窗口才会显示到现有监视器上。这使得用户可以再次看到所有窗口。
Sun Ray 2FS 和 Sun Ray 3 Plus 客户机支持两个监视器。要创建一个大型监视器阵列,可以将几个 Sun Ray 客户机连接在一起以构成一个多显示端组。在配置多显示端组时,请确保禁用 XINERAMA。请参见《Sun Ray 软件 5.2 管理指南》中的“多监视器配置“一章。
多显示端组可用于通过多个屏幕显示在 Oracle VM VirtualBox 上托管的多个桌面或者一个桌面。
编辑模板,将显示属性配置为将桌面扩展到多个监视器。
如果您使用 Sysprep,请勿执行此步骤,因为在克隆期间会删除监视器配置。如果使用 FastPrep,将会保留监视器配置。
在模板中,转至“开始“菜单,然后选择“控制面板“。
转至“外观和个性化“→“个性化“→“显示设置“。
选择“标识监视器“并放置监视器。
为池中的桌面配置所需的监视器数目。
在 Oracle VDI Manager 中,转至“池“,然后选择池。
转至“设置“选项卡。
在“Sun Ray 客户机“部分的“监视器“列表中选择所需数目的监视器。
通过使每个监视器具有一个图形卡来配置虚拟机。
重新启动池中所有运行的桌面。
您必须重新启动所有运行的桌面,以便在虚拟机中能够检测到图形卡更改。如果您未执行此操作,在用户连接他们的桌面时可能会遇到连接问题。已关机的现有桌面会在下次开机时检测到图形卡更改。
转至“桌面“选项卡。
选择池中所有运行的桌面。
请选择“计算机状态“为已关机的桌面以外的所有桌面。
单击“重新启动“。
必须单独配置现有桌面中的显示属性,以将桌面扩展到多个监视器。
在每个 Oracle VDI 主机上都已配置 Sun Ray Administration GUI,并且可以对其进行访问。这样便可以轻松修改 Kiosk 会话参数等 Sun Ray 配置设置(请参见后续部分)。
转至
https://
。
<服务器名称>
:1660
如果输入 http://
URL,您将重定向到 https://
URL。
浏览器会显示安全性警告,提示您接受安全性证书。
接受安全性证书。
显示登录屏幕。
以超级用户身份 (root) 使用相应的密码登录。
Oracle VDI 不使用通常在 Sun Ray 软件 安装过程中配置的默认 "admin" 用户帐户。
在 Sun Ray 客户机中工作的最终用户可通过桌面登录/选定器对话框更新用户目录中的密码。
如果禁用客户机验证,将不提供密码更改功能,请参见第 7.2.7 节 “如何禁用客户端验证”。
Oracle VDI 在以下目录服务器上支持密码更改功能:
Active Directory(来自 Windows Server 2003 和 2008)
Oracle Directory Server Enterprise Edition
为将用户目录与 Oracle VDI 集成而选择的验证类型(请参见第 4.1 节 “关于用户目录集成”)会影响密码更改功能:
Kerberos 验证(请参见第 4.5 节 “如何设置 Kerberos 验证”)和公钥验证(请参见第 4.6 节 “如何设置公钥验证”)允许最终用户在密码过期之前以及之后更改密码。
LDAP 匿名验证(第 4.7 节 “如何设置匿名验证”)、LDAP 简单验证(第 4.8 节 “如何设置简单验证”)和 LDAP 安全验证(第 4.9 节 “如何设置安全验证”)只允许最终用户在密码过期之前更改密码。在这样的配置中,如果用户密码过期,则最终用户需要使用与 Oracle VDI 不相关的客户提供的流程来更新其密码。
Active Directory 中的默认限制会阻止 LDAP 简单验证中的密码更新。
如果使用 Kerberos 验证(请参见第 4.5 节 “如何设置 Kerberos 验证”)或公钥验证(请参见第 4.6 节 “如何设置公钥验证”)与 Active Directory 服务器集成:
最终用户在登录对话框中输入登录凭证(请参见第 7.2.3 节 “如何使用 Sun Ray 客户机访问桌面”)。
系统检测到用户密码已过期,并将用户定向到密码更改对话框,用户可以在这里键入其旧密码和新密码(新密码需要输入两次)。
在成功进行密码更新后,将使用新密码对用户进行验证,而系统提供的屏幕与常规成功验证之后显示的屏幕相同(请参见第 7.2.3 节 “如何使用 Sun Ray 客户机访问桌面”)。
如果使用 LDAP 类型的验证(请参见第 4.1 节 “关于用户目录集成”):
最终用户在登录对话框中输入登录凭证(请参见第 7.2.3 节 “如何使用 Sun Ray 客户机访问桌面”)。
系统检测到用户密码已过期并向最终用户显示错误消息。
最终用户必须使用由客户提供的替代流程来更新密码,然后才能再次登录。
只能从桌面选择器对话框中访问此功能,当最终用户只有一个适用的桌面时不会向其显示此对话框。
所有类型的用户目录验证(请参见第 4.1 节 “关于用户目录集成”)都提供了此功能(前提是目录服务器支持最终用户更改其密码):
在桌面选定器对话框的底部提供了一个“更多选项“菜单,该菜单包含“更改密码“条目。第 7.2.3 节 “如何使用 Sun Ray 客户机访问桌面”
用户单击“更改密码“后,该用户将被定向到密码更改对话框,用户可以在这里键入其旧密码和新密码(新密码需要输入两次)。
用户可以取消其密码更改,然后返回到桌面选定器屏幕,而不进行任何更改。
用户确认密码更改后,其密码将在目录服务器中进行更新,然后该用户将返回到桌面选定器屏幕,并且系统会显示一条确认消息。
由于以下原因,密码更新可能会失败:
最终用户未键入正确的旧密码。
新密码不符合目录服务器的密码策略(不允许重用旧密码、不满足密码复杂度要求)。
如果使用 Active Directory 服务器,Kerberos 配置将不允许进行密码更改。有关设置 Kerberos 验证的帮助,请参见第 4.5 节 “如何设置 Kerberos 验证”。
验证类型不允许进行密码更改。请参见第 7.2.6 节 “如何更改用户密码”中介绍的限制。
如遇问题,请查看日志文件,参见第 9.3.2 节 “如何查看 Oracle VDI 日志文件”。
所有用户在访问任何桌面之前,都必须进行自我验证。通常,会要求用户提供用户名/密码组合(还可能要求提供 Windows 域)。然后,Oracle VDI 服务将访问用户目录以验证提供的用户凭证。如果验证成功,则会建立与所需桌面的连接-否则将拒绝该连接。用户名/密码也将转发到运行桌面的客操作系统-这样,用户便会自动登录到桌面,而无需通过其他登录屏幕。
自动登录仅适用于 Windows RDP - 转发用户凭证尚不适用于 VRDP 和非 Windows 操作系统。
如果需要,可以禁用 Oracle VDI 服务级别的验证。但是,之后需要特别关注用户的桌面设置,以免打开有害的安全漏洞。例如,最好将桌面配置为在显示实际桌面内容之前始终显示自己的登录屏幕。这样,仍需进行验证,但现在是仅在客操作系统级别执行验证。此设置还允许利用更高级的验证方法,Oracle VDI 服务对这些方法不提供现成可用的支持。
出于安全考虑,建议始终启用验证,除非简单的用户名/密码验证无法满足要求。
如果验证应由 Oracle VDI 服务执行,可以使用 VDA 管理 CLI 进行配置。
检查当前配置的验证策略:
# /opt/SUNWvda/sbin/vda settings-getprops -p clientauthentication
启用验证(默认):
# /opt/SUNWvda/sbin/vda settings-setprops -p clientauthentication=Enabled
禁用验证:
# /opt/SUNWvda/sbin/vda settings-setprops -p clientauthentication=Disabled
以下过程表明如何在 Oracle VDI 环境中为 Sun Ray 软件 客户机配置屏幕锁定。
如果使用办公漫游功能,在最初插入智能卡时您必须进行验证才能访问已分配的桌面。但是,您登录到桌面会话后,可以通过移除智能卡并将其重新插入来移动到其他 Sun Ray 客户机,而无需再次登录。这实际是办公漫游功能的优点之一。
不过,有些组可能认为此方案构成安全问题。例如,如果您没有控制好您的智能卡,其他人员可能无需输入任何密码,即可使用该智能卡访问您的桌面会话。
启用桌面屏幕锁定会强制您在每次插入智能卡时都提供密码,即使在您当前已登录到桌面会话时。登录屏幕上的域字段和用户字段已经输入内容。
默认情况下,会禁用桌面屏幕锁定。
要检查当前的桌面屏幕锁定策略,请输入以下命令:
# /opt/SUNWvda/sbin/vda settings-getprops -p clientscreenlock
要启用桌面屏幕锁定,请输入以下命令:
# /opt/SUNWvda/sbin/vda settings-setprops -p clientscreenlock=Enabled
要禁用桌面屏幕锁定(默认设置),请输入以下命令:
# /opt/SUNWvda/sbin/vda settings-setprops -p clientscreenlock=Disabled