7.3. SGD Web 服务器和管理控制台

本节包含 SGD 和 SGD 管理控制台附带的 Web 服务器的相关信息。

本节包括以下主题:

7.3.1. SGD Web 服务器介绍

当您安装 SGD 时,也将安装 SGD Web 服务器。SGD Web 服务器已进行了预配置,可以与 SGD 一起使用。《Oracle Secure Global Desktop 发行版 4.7 平台支持和发行说明》中列出了 SGD Web 服务器附带的组件,该文档位于 http://www.oracle.com/technetwork/documentation/sgd-193668.html

如果 SGD 主机上存在现有的 Web 服务器,这不会受 SGD Web 服务器影响,因为 SGD Web 服务器侦听不同的端口。

您可以使用标准的 Apache 指令来配置 SGD Web 服务器。有关详细信息,请参见 Apache 文档

您可以使用 tarantella start webservertarantella stop webservertarantella restart webserver 命令独立于 SGD 服务器来控制 SGD Web 服务器。

7.3.2. 保护 SGD Web 服务器的安全

默认情况下,SGD Web 服务器被配置为安全 HTTPS Web 服务器,并且共享用于 SGD 安全服务的 SGD 服务器 SSL 证书。

默认情况下为 SGD Web 服务器禁用了目录索引。这意味着用户无法浏览 SGD Web 服务器上的目录。

如果您需要增强的安全性,我们提供了 SGD Web 服务器使用的 httpd.conf Apache 配置文件的一个更安全的版本。有关该文件的更多详细信息,请参见第 7.3.2.1 节 “httpd.conf.secure 文件”

7.3.2.1. httpd.conf.secure 文件

httpd.conf.secure 文件是一个 Apache 服务器配置文件,用于配置 SGD Web 服务器以获得增强的安全性。该文件是 SGD 分发包附带的文件,位于 SGD 主机上的 /opt/tarantella/webserver/apache/apache-version/conf/httpd.conf.secure 中。

与 SGD Web 服务器使用的标准 httpd.conf 文件相比,httpd.conf.secure 文件提供了以下附加的安全功能:

  • 禁用 SGD 未使用的 Apache 模块

  • 不允许访问 SGD Web 服务器上的 /cgi-bin 目录

要在先前已受保护的 SGD 服务器上使用 httpd.conf.secure,您必须在安装 httpd.conf.secure 文件之前禁用 SGD 服务器上的安全性。然后您可以为 SGD 服务器启用安全服务,如第 1.5 节 “与 SGD 服务器的安全连接”中所述。

小心

如果您已使用 tarantella security enable 命令自动在 SGD 服务器上配置安全性,请不要使用 httpd.conf.secure

7.3.3. 使用管理控制台

本节介绍了如何运行管理控制台。其中还包括了在使用管理控制台时如何避免某些常见问题的详细信息。

7.3.3.1. 用于管理控制台的受支持浏览器

要显示管理控制台,可以使用某个受支持的浏览器。浏览器必须启用 JavaScript 编程语言。《Oracle Secure Global Desktop 发行版 4.7 平台支持和发行说明》中列出了受支持的浏览器,该文档位于 http://www.oracle.com/technetwork/documentation/sgd-193668.html

小心

使用管理控制台时,请不要使用浏览器的 "Back"(后退)按钮。而是,请使用 "Jump to Object View"(跳至对象视图)和 "Jump to Navigation View"(跳至导航视图)链接或 "Object History"(对象历史记录)列表,以通过管理控制台页面进行导航。

7.3.3.2. 启动管理控制台

管理控制台在阵列中的主 SGD 服务器上运行时性能最佳。

您可以通过以下方式启动管理控制台:

  • 在 SGD 管理员的 Webtop 上单击 "Administration Console"(管理控制台)链接。

  • 在 SGD Web 服务器欢迎页面上单击 "Launch the Oracle Secure Global Desktop Administration Console"(启动 Oracle Secure Global Desktop 管理控制台)链接,网址为 https://server.example.com,其中 server.example.com 是 SGD 服务器的名称。

  • 转至 https://server.example.com/sgdadmin URL。

注意

管理控制台仅可供 SGD 管理员使用。要使用管理控制台,您必须以 SGD 管理员身份登录。

7.3.3.3. 在其他 Web 应用程序容器上部署管理控制台

仅当与 SGD Web 服务器配合使用时,管理控制台才受支持。

管理控制台是通过一个 Web 应用程序归档 (web application archive, WAR) 文件 (sgdadmin.war) 提供的。不支持使用该文件在其他 Web 应用服务器上重新部署管理控制台。

7.3.3.4. 避免 SGD 数据存储更新问题

您可以从阵列中的任意 SGD 服务器使用管理控制台对 SGD 数据存储执行操作,例如创建新对象以及编辑对象属性。

当您编辑 SGD 数据存储时,您所做的更改将被发送到主 SGD 服务器。主 SGD 服务器然后将这些更改复制到阵列中的所有辅助服务器。

通过从主 SGD 服务器运行管理控制台,可以避免由以下原因产生的问题:

  • 慢速网络。如果网络速度缓慢,则可能会返回“未找到对象”或“未创建对象”错误。如果配置更改未正确显示,还可能会出现陈旧数据问题。

  • 主服务器关闭。如果主服务器关闭或不可用,将无法应用 SGD 数据存储更改。

7.3.3.5. 使用管理控制台执行阵列操作

使用管理控制台执行阵列操作(如阵列连接或阵列分离)时有以下限制:

  • 请使用主 SGD 服务器。在主服务器上运行管理控制台可以避免数据复制问题。另请参见第 7.3.3.4 节 “避免 SGD 数据存储更新问题”

  • 阵列操作中涉及的所有服务器必须在正常运行。例如,您无法使用管理控制台来分离已关闭的辅助服务器。请改用 tarantella array detach 命令。

  • 阵列操作中涉及的所有服务器上的时钟必须保持同步。例如,如果某台辅助服务器的时钟不同步且时间差超过一分钟,则无法添加该服务器。可以使用 NTP 软件或 rdate 命令确保所有 SGD 主机上的时钟保持同步。

7.3.4. 管理控制台配置设置

管理控制台 Web 应用程序的部署描述符包含用于控制管理控制台运行的设置。部署描述符是以下文件:

/opt/tarantella/webserver/tomcat/tomcat-version/sgdadmin/WEB-INF/web.xml

本节介绍了部署描述符中您可能希望配置的设置。大多数设置是上下文参数,包含在 <context-param> 元素中。不得更改 web.xml 文件中的任何其他设置。

在处理部署描述符设置时,请注意以下事项:

  • 只有当您明白您在做什么时才应更改 web.xml

  • 请始终创建并保留原始 web.xml 的备份,以防您需要恢复到先前的版本。有关如何执行此操作的建议,请参见第 7.6.2 节 “备份和恢复 SGD 安装”

  • 在更改 web.xml 之后,必须始终重新启动 SGD Web 服务器以使更改生效。

  • web.xml 的更改仅应用于托管着管理控制台的服务器。

  • 不得更改包含在 web.xml 中的可扩展标记语言 (Extensible Markup Language, XML) 元素的顺序。

7.3.4.1. 搜索结果的数目

com.sun.tta.confmgr.DisplayLimit 上下文参数允许您配置可以在管理控制台中显示的最大搜索结果数。默认值为 150。如果结果超过了显示限制,则管理控制台会显示一条消息。增大显示限制可能会影响性能。将显示限制设置为 0 可以查看不限数量的搜索结果。

7.3.4.2. 同步等待期限

仅当您从辅助服务器运行管理控制台并在 SGD 数据存储中创建或编辑对象时才会使用 com.sun.tta.confmgr.ArraySyncPeriod 上下文参数。此参数允许您配置管理控制台在继续操作之前等待更改被复制到阵列中的时间段(以毫秒为单位)。默认值为 250。管理控制台将等待此设置的两倍时间(默认为 0.5 秒),然后继续执行操作。

7.3.4.3. DNS 查找

默认情况下,SGD 使用 ANY 查询类执行 DNS 查找。某些防火墙配置可能会阻止此类 DNS 查找。这可能会导致出现问题,例如当使用管理控制台配置 Active Directory 验证时。

要将管理控制台配置为使用 IN 查询类执行所有 DNS 查找,请将 sgd.naming.dns.in_class_only 上下文参数设置为 true

7.3.4.4. 搜索和显示 LDAP 数据

com.sun.tta.confmgr.LdapSearchTimeLimit 上下文参数允许您配置用来搜索轻量目录访问协议 (Lightweight Directory Access Protocol, LDAP) 目录的最长时间(以毫秒为单位)。默认值为 0,表示搜索时间不受限制。只有当 LDAP 目录服务器特别慢时,才应更改此上下文参数。

当您在管理控制台的 "Repository"(系统信息库)列表中选择了 "Local + LDAP"(本地 + LDAP)时,下列上下文参数用于过滤 LDAP 数据显示:

  • 导航树使用的过滤器。这些过滤器为下列上下文参数:

    • com.sun.tta.confmgr.LdapContainerFilter

    • com.sun.tta.confmgr.LdapUserFilter

    • com.sun.tta.confmgr.LdapGroupFilter

  • 搜索 LDAP 目录时使用的过滤器。这些过滤器为下列上下文参数:

    • com.sun.tta.confmgr.LdapContainerSearchFilter

    • com.sun.tta.confmgr.LdapUserSearchFilter

    • com.sun.tta.confmgr.LdapGroupSearchFilter

  • 在 "Assigned Applications"(分配的应用程序)选项卡上为用户配置文件装入 LDAP 分配时使用的过滤器。这是 com.sun.tta.confmgr.LdapMemberFilter 上下文参数。

这些上下文参数包含管理控制台视为 LDAP 容器、用户和组的定义。您可能希望更改这些过滤器以提高性能,或更改这些 LDAP 对象类型的定义以便与 LDAP 目录中使用的对象类型相匹配。

例如,如果您的 LDAP 目录使用 computer 对象类,请编辑 com.sun.tta.confmgr.LdapUserFilter 上下文参数以删除 (!(objectclass=computer)) 条目。

如果更改了导航树的过滤器,为避免不一致,您可能需要更改用于 LDAP 搜索的过滤器。

7.3.4.5. 会话超时

session-timeout 设置定义当管理控制台中没有活动时(意思是没有 HTTP 请求)用户注销前的时间段。默认设置为 30 分钟,可以确保无人参与的管理控制台会话不会无限期地处于打开状态。

注意

session-timeout 设置独立于非活动用户会话的超时属性 (tarantella-config-array-webtopsessionidletimeout)。

7.3.5. 保护对管理控制台的访问

由于管理控制台是一个 Web 应用程序,因此可以控制允许对其进行访问的客户端设备。例如,您可以通过配置 SGD Web 服务器以使用 Apache <Location> 指令来执行此操作,如以下示例所示:

<Location /sgdadmin>
   Order Deny,Allow
   Deny from all
   Allow from 129.156.4.240
</Location> 

在此示例中,仅允许 IP 地址为 129.156.4.240 的客户端设备访问 SGD Web 服务器上的 /sgdadmin 目录。/sgdadmin 目录包含管理控制台的主页。

有关如何配置 <Location> 指令的更多信息,请查看 Apache 文档