Généralement, les informations concernant les utilisateurs sont stockées sur un serveur LDAP ou Active Directory. Pour pouvoir assigner des utilisateurs à des bureaux, vous devez préalablement configurer le serveur Active Directory/LDAP souhaité, ainsi que l'infrastructure Oracle VDI. Les informations suivantes décrivent les types de répertoires d'utilisateurs pris en charge par Oracle VDI.
L'intégration Active Directory est recommandée pour les plates-formes de production intégrées à Microsoft Active Directory. L'intégration Active Directory requiert une configuration supplémentaire (configuration Kerberos et synchronisation de l'heure) dans les hôtes Oracle VDI. Pour configurer rapidement l'intégration Active Directory, par exemple pour des tests, vous pouvez utiliser les Types LDAP (voir la Section 4.1.2, « Types LDAP »).
Pour plus d'informations sur les versions d'Active Directory prises en charge, reportez-vous à la Section 4.2, « Répertoires d'utilisateurs pris en charge ».
Les utilisateurs issus de l'annuaire Active Directory peuvent être utilisés pour les assignations de pools et de bureaux et pourront accéder aux bureaux fournis par Oracle VDI. Outre cette fonction de base, l'intégration Active Directory offre les fonctionnalités suivantes :
L'intégration Active Directory permet d'accéder à tous les utilisateurs issus d'une forêt et de leur assigner des pools et des bureaux. En d'autres termes, les utilisateurs issus des différents sous-domaines de la forêt pourront accéder à des bureaux à partir de Oracle VDI.
Pour plus d'informations sur les configurations de forêt prises en charge, reportez-vous à la Section 4.10, « À propos des configurations de forêt complexes ».
L'intégration Active Directory permet de supprimer les entrées d'ordinateur d'Active Directory lors de la suppression de bureaux clonés par Oracle VDI.
Lorsqu'un bureau Windows (cloné dans Oracle VDI) rejoint un domaine via Sysprep, une nouvelle entrée d'ordinateur est généralement créée dans Active Directory. La configuration de Oracle VDI à l'aide de l'authentification Kerberos permet à Oracle VDI de supprimer les entrées d'ordinateur d'Active Directory lors de la suppression de·bureaux non utilisés. Cela permet d'éviter l'accumulation d'entrées dans Active Directory lorsque les bureaux correspondants ont été supprimés depuis longtemps.
L'intégration Active Directory permet aux utilisateurs de mettre à jour leur mot de passe (Section 7.2.6, « Modification du mot de passe utilisateur ») dans le serveur Active Directory avant son expiration (facultatif) ou après son expiration (obligatoire).
Vous avez le choix entre les types Active Directory pris en charge suivants :
Authentification Kerberos : type généralement choisi lors de l'intégration à Microsoft Active Directory.
Pour plus d'informations, reportez-vous à la Section 4.5, « Configuration de l'authentification Kerberos ».
Authentification avec clé publique : type à utiliser pour une intégration à Microsoft Active Directory lorsque le contrôleur de domaine exige une signature LDAP. (Voir http://support.microsoft.com/kb/935834).
Pour plus d'informations, reportez-vous à la Section 4.6, « Configuration de l'authentification avec clé publique ».
L'intégration LDAP est recommandée pour l'intégration à d'autres types d'annuaires LDAP ou pour configurer rapidement l'intégration à Active Directory. La procédure est simple et ne nécessite pas de configuration supplémentaire.
Pour plus d'informations sur les répertoires LDAP pris en charge, reportez-vous à la Section 4.2, « Répertoires d'utilisateurs pris en charge ».
L'intégration LDAP permet aux utilisateurs de mettre à jour leur mot de passe (Section 7.2.6, « Modification du mot de passe utilisateur ») dans le serveur d'annuaire uniquement avant son expiration. Lorsque son mot de passe arrive à expiration, l'utilisateur doit obligatoirement le mettre à jour par le biais d'un processus fourni par le client et externe à l'infrastructure Oracle VDI.
L'intégration LDAP offre trois types de sécurité pour l'authentification : anonyme, simple et sécurisée :
Authentification anonyme : utile pour l'intégration rapide à un serveur LDAP, mais non recommandée pour les environnements de production. L'authentification anonyme est possible uniquement si le serveur LDAP la prend en charge. Active Directory ne prend pas en charge l'authentification anonyme.
Pour plus d'informations, reportez-vous à la Section 4.7, « Configuration de l'authentification anonyme ».
Authentification simple : recommandée pour les plates-formes de production intégrées aux annuaires LDAP autres qu'Active Directory. Dans le cas d'une intégration à Active Directory, utilisez l'authentification Kerberos (voir la Section 4.5, « Configuration de l'authentification Kerberos »). Une restriction par défaut d'Active Directory empêche les mises à jour de mot de passe à partir d'une authentification LDAP simple.
Pour plus d'informations, reportez-vous à la Section 4.8, « Configuration d'une authentification simple ».
Authentification sécurisée : utile pour sécuriser les connexions par SSL, si l'annuaire les prend en charge.
Pour plus d'informations, reportez-vous à la Section 4.9, « Configuration de l'authentification sécurisée ».
Lorsqu'un utilisateur obtient un bureau de l'infrastructure Oracle VDI (via la Sélection de bureau), Oracle VDI transmet les informations d'identification de l'utilisateur au bureau afin qu'il n'ait pas besoin de les ressaisir lors de l'ouverture de session. Oracle VDI permet aux utilisateurs de s'authentifier par leur adresse électronique. Au niveau du bureau, l'adresse électronique n'est cependant pas un nom d'utilisateur valide.
Avant de transmettre les informations d'identification au
bureau, Oracle VDI tente de convertir l'adresse
électronique au format nomutilisateur@domaine en
récupérant l'attribut ID et le domaine par
défaut de l'utilisateur dans le répertoire
des utilisateurs. Lorsque LDAP est utilisé,
Oracle VDI ne peut pas détecter le domaine par
défaut. Vous devez donc définir la
propriété
directory.default.domain
à l'aide
de la commande vda directory-setprops. Si
vous ne définissez pas cette propriété, les
utilisateurs devront s'authentifier de nouveau au niveau du
bureau.
Si vous maîtrisez l'intégration des répertoires d'utilisateurs et souhaitez optimiser Oracle VDI pour le vôtre, consultez les sections ci-après :