L'attribut --security-gateway
permet d'activer l'utilisation de la passerelle SGD Gateway pour le groupe SGD. L'attribut définit les éléments suivants :
Les clients SGD qui peuvent accéder à une passerelle SGD Gateway selon leur adresse IP ou leur nom DNS.
L'adresse utilisées par les périphériques client pour contacter la passerelle SGD Gateway.
L'utilisation de l'attribut --security-gateway
est réservée aux connexions AIP. Le routage des connexions HTTP est géré par le service d'équilibrage de charge HTTP sur le composant de proxy inverse Apache de la passerelle.
Les modifications apportées à l'attribut --security-gateway
s'appliquent à tous les serveurs SGD du groupe.
La syntaxe de l'attribut --security-gateway
est la suivante :
--security-gateway filter-spec
...
Remplacez filter-spec
par une spécification de filtre du type :
client-ip-address
|*
:gateway protocol
:gateway-address
:gateway-port
La valeur client-ip-address
correspond à l'adresse IP du client SGD. Pour les connexions via la passerelle SGD Gateway, il s'agit de l'interface utilisée par la passerelle SGD Gateway pour se connecter aux serveurs SGD du groupe.
Un astérisque simple, *
, représente toutes les adresses IP.
La chaîne de l'adresse IP du client peut contenir les caractères génériques *
et ?
, *
pouvant correspondre à un groupe de caractères et ?
à un seul caractère. Par exemple :
192.169.10.*
correspond à toutes les adresses du réseau 192.169.10
.
192.169.10.12?
correspond à la plage d'adresses allant de 192.169.10.120
à 192.169.10.129
.
Si vous utilisez un équilibreur de charge externe avec la passerelle SGD Gateway, saisissez l'adresse de l'équilibreur de charge en tant que client-ip-address
.
La valeur gateway protocol
est sgdg
pour les connexions via la passerelle SGD Gateway, ou direct
pour les clients SGD qui se connectent directement à un groupe SGD, sans passer par la passerelle SGD Gateway.
La valeur gateway-address
est l'adresse externe de la passerelle SGD Gateway, ou d'un équilibreur de charge externe, le cas échéant. Il s'agit de l'adresse utilisée par les périphériques client pour contacter la passerelle SGD Gateway.
Pour les connexions direct
à un groupe SGD, spécifiez l'adresse du serveur principal dans le groupe.
La valeur gateway-port
correspond au port TCP que les périphériques client utilisent pour se connecter à la passerelle SGD Gateway, ou à un équilibreur de charge externe, le cas échéant.
Pour les connexions direct
à un groupe SGD, spécifiez le port du serveur principal du groupe.
Séparez les entrées filter-spec
multiples par une virgule et placez la chaîne entière entre guillemets ("
"
). Reportez-vous à la Section B.31, «
Utilisation de plusieurs filtres
».
La ligne suivante permet à tous les clients SGD de se connecter via le port TCP 443 de la passerelle SGD Gateway gateway1.example.com
.
$ tarantella config edit --security-gateway "*:sgdg:gateway1.example.com:443"
La ligne suivante permet à tous les clients SGD de se connecter via un équilibreur de charge externe, lb.example.com
.
$ tarantella config edit --security-gateway "*:sgdg:lb.example.com:443"
La ligne suivante permet à tous les clients SGD de se connecter directement à un groupe SGD, sans passer par la passerelle SGD Gateway. Le serveur principal du groupe est sgd1.example.com
.
$ tarantella config edit --security-gateway "*:direct:sgd1.example.com:443"
Vous pouvez utiliser plusieurs spécifications de filtre, comme indiqué dans l'exemple suivant.
Envisagez un déploiement classique, présenté à la Figure B.1, « Utilisation de plusieurs spécifications de filtre ». Le déploiement est basé sur une seule passerelle SGD Gateway, gateway1.example.com
, et sur un groupe SGD contenant deux serveurs SGD, sgd1.example.com
et sgd2.example.com
. Le serveur principal du groupe est sgd1.example.com
.
L'adresse de la passerelle SGD Gateway sur le réseau interne est 192.168.0.250
.
La spécification de filtre suivante peut être utilisée dans cet exemple :
"192.168.0.250:sgdg:gateway1.example.com:443,*:direct:sgd1.example.com:80"
Dans une configuration de ce type, les conditions suivantes s'appliquent :
Les connexions aux serveurs SGD du groupe sont autorisées de l'adresse IP de la passerelle SGD Gateway, 192.168.0.250
. Les clients SGD en dehors de l'entreprise se connectent via le port TCP 443 de la passerelle SGD Gateway, gateway1.example.com
.
Tous les autres clients SGD, par exemple ceux situés dans le réseau LAN, se connectent directement au port TCP 80 sur le serveur SGD principal, sgd1.example.com
. Ces connexions n'utilisent pas la passerelle SGD Gateway.
L'ordre des filtres est important. Si l'ordre des filtres est inversé, tous les clients SGD se connectent directement au serveur SGD, sgd1.example.com
.