本节介绍了 SGD 服务器支持的平台和要求。
以下硬件要求应用作指导,而不是用作准确的衡量工具。要获得与硬件要求有关的详细帮助信息,请与 Oracle 销售办公室联系。
对 SGD 托管服务器的要求应根据以下方面综合考虑:
安装和运行 SGD 所需要的条件
每个用户登录到主机上的 SGD 并运行应用程序所需要的条件
以下是安装和运行 SGD 的要求:
2 GB 的可用磁盘空间
2 GB 的 RAM
1 GHz 处理器
网络接口卡
这是在操作系统本身所需条件的基础上额外需要的,并假定服务器仅用于 SGD。
以下是支持用户登录到 SGD 并运行应用程序的要求:
每个用户最少 50 MB
每个用户 50 MHz
实际的 CPU 和内存要求可能会根据所使用的应用程序而有很大不同。
下表列出了 SGD 支持的安装平台。
操作系统 | 支持的版本 |
---|---|
SPARC 平台上的 Oracle Solaris | Solaris 10 8/11(更新 10) Solaris 11 Solaris 10 8/11(更新 10)Trusted Extensions Solaris 11 Trusted Extensions |
x86 平台上的 Oracle Solaris | Solaris 10 8/11(更新 10) Solaris 11 Solaris 10 8/11(更新 10)Trusted Extensions Solaris 11 Trusted Extensions |
Oracle Linux(32 位和 64 位) | 5.7 5.8 6.2 6.3 |
在 Oracle Linux 上得到认证的 Oracle 产品也会在 Red Hat Enterprise Linux 上得到认证和支持,因为这两个分发版本之间存在隐式兼容。Oracle 未在 Red Hat Enterprise Linux 产品上运行任何其他测试。
您可能必须对操作系统进行一些修改。如果不进行这些修改,SGD 可能无法正确安装或正常运行。
对于 Oracle Solaris 平台,可能需要进行以下操作系统修改:
在 Solaris 10 平台上,必须至少安装最终用户 Oracle Solaris 分发才能获得 SGD 所需的库。
在 Solaris 11 平台上,必须至少安装
slim_install
软件包组。
如果未安装这些软件包组,则无法安装 SGD。
Oracle Solaris 的 TCP 熔合功能可能会导致 SGD 所使用的某些本地套接字连接出现问题。请在安装 SGD 前按如下所述禁用 TCP 熔合功能:
将以下行添加到
/etc/system
文件的底部。
set ip:do_tcp_fusion = 0x0
重新引导服务器。
在 Oracle Solaris 11 平台上,SGD
将管理员特权分配给
/etc/user_attr
文件中第一个具有 roles=root
属性的条目。请确保您知道此 Oracle Solaris
用户的凭证。
安装后,可以使用以下命令配置 SGD 管理员:
# tarantella object edit --name "o=Tarantella System Objects/cn=Administrator" \ --useruser-name
--surnamefamily-name
对于 Oracle Linux 平台,可能需要进行以下操作系统修改:
Oracle Linux 的默认 /etc/hosts
文件仅包含一个条目,该条目错误地将
SGD
主机的主机名映射为本地回送地址
127.0.0.1
。
编辑 /etc/hosts
文件以删除此映射,并添加一个新条目,将
SGD 主机名映射为 SGD
主机的网络 IP 地址。SGD
主机名不能映射为本地回送 IP 地址。
在 Oracle Linux 6 平台上进行安装时,请选择桌面或软件开发工作站软件包组。这可确保安装默认 SGD Webtop 所需的软件包。所需软件包包含图形管理工具和 X 客户端,如 xterm 和 gnome-terminal。
您也可以选择在安装过程中选择另一个软件包组,然后使用 "Customize Now"(立即定制)选项添加 "Desktops"(桌面)类别中的所需软件包。
Oracle 虚拟化环境支持 SGD,可以在其中安装此软件。如果使用不受支持的虚拟环境时遇到问题,您可能要在非虚拟化的操作系统中验证问题以确保问题与虚拟化产品无关。
Oracle Solaris 平台支持在区域中安装。SGD 可以安装在全局区域中或者一个或多个非全局区域中。不支持同时安装在全局区域和非全局区域中。
在 Oracle Solaris Trusted Extensions 平台上,必须在有标签区域中安装 SGD。不要将 SGD 安装在全局区域中。
仅支持从以下版本升级到 SGD 版本 4.71:
Oracle Secure Global Desktop 软件版本 4.70.909
Oracle Secure Global Desktop 软件版本 4.63.907
Oracle Secure Global Desktop 软件版本 4.62.913
Oracle Secure Global Desktop 软件版本 4.61.915
Oracle Secure Global Desktop 软件版本 4.60.911
如果要从任何其他版本的 SGD 升级,请与 Oracle 技术支持人员联系。
要安装 SGD,必须拥有超级用户 (root) 特权。
在可以安装 SGD 之前,系统上必须具有
ttaserv
和 ttasys
用户以及 ttaserv
组。
ttasys
用户拥有 SGD
服务器所使用的所有文件和进程。ttaserv
用户拥有 SGD Web
服务器所使用的所有文件和进程。
SGD 服务器不需要超级用户 (root)
特权即可运行。SGD 服务器需要以 root
用户身份启动,然后降级到 ttasys
用户。
如果在这些用户和组未就绪的情况下尝试安装该软件,安装程序将停止,不对系统进行任何更改,并显示一条消息告知您所需采取的措施。此消息包含一个安装脚本的详细信息,您可以运行该脚本以创建所需的用户和组。
如果您需要手动创建所需的用户和组,必须遵循以下要求:
用户名必须是 ttaserv
和
ttasys
。
组名必须是 ttaserv
。
您可以使用任意用户标识号 (user identification
number, UID
) 或组 ID
(GID
)。UID
和
GID
可以不同。
这两个用户都必须将 ttaserv
设为其主组。
这两个用户必须具有一个有效的 shell,例如 /bin/sh。
这两个用户必须具有可写的起始目录。
为了安全起见,请锁定这些帐户(例如,使用
passwd -l
命令)。
使用 useradd 和 groupadd 命令创建这些用户。例如:
# groupadd ttaserv # useradd -g ttaserv -s /bin/sh -d /home/ttasys -m ttasys # useradd -g ttaserv -s /bin/sh -d /home/ttaserv -m ttaserv # passwd -l ttasys # passwd -l ttaserv
要检查系统上是否正确设置了
ttasys
和 ttaserv
用户帐户,请使用以下命令。
# su ttasys -c "/usr/bin/id -a" # su ttaserv -c "/usr/bin/id -a"
如果系统设置正确,该命令的输出将类似于以下示例。
uid=1002(ttaserv) gid=1000(ttaserv) groups=1000(ttaserv) uid=1003(ttasys) gid=1000(ttaserv) groups=1000(ttaserv)
必须配置网络以供 SGD 使用。以下是主要要求:
主机必须具有可被所有客户端解析的域名系统 (Domain Name System, DNS) 条目。
使用 DNS 查找和反向查找主机必须始终成功。
所有客户端设备都必须使用 DNS。
安装 SGD 时,系统将询问您要用于 SGD 服务器的 DNS 名称。DNS 名称必须符合以下要求:
在包含防火墙的网络中,请使用可将 SGD 主机标识为位于防火墙内部的 DNS 名称。
始终使用 SGD 主机的全限定 DNS
名称。例如,boston.example.com
。
《Oracle Secure Global Desktop 管理指南》中包含有关 SGD 所使用的所有端口以及如何在有防火墙的条件下使用 SGD 的详细信息。下面列出了常用端口。
客户端设备必须能够与以下 TCP 端口上的 SGD 建立传输控制协议/Internet 协议 (Transmission Control Protocol/Internet Protocol, TCP/IP) 连接。
80-用于客户端设备与 SGD Web 服务器之间的 HTTP 连接。端口号可能会因安装时所选的端口而有所不同。
443-用于客户端设备与 SGD Web 服务器之间的通过安全套接字层的 HTTP (HTTP over Secure Sockets Layer, HTTPS) 连接。
3144-用于 SGD Client 与 SGD 服务器之间的标准(非加密)连接。
5307-用于 SGD Client 与 SGD 服务器之间的安全连接。安全连接使用安全套接字层 (Secure Sockets Layer, SSL)。
对于默认的安全模式安装(启用 SGD 安全服务并使用 HTTPS),只有端口 443 和 5307 必须在防火墙内部打开。
对于标准模式安装(连接不受保护),端口 80、3144 和 5307 都必须在防火墙内部打开。这是因为 SGD Client 起初会在端口 5307 上进行安全连接。该连接建立后,连接将降级为端口 3144 上的标准连接。
要运行应用程序,SGD 必须能够与应用服务器建立 TCP/IP 连接。应用程序的类型决定了必须要打开的 TCP 端口,例如:
22-用于使用安全 Shell (Secure Shell, SSH) 的 X 应用程序和字符应用程序
23-用于使用 Telnet 的 Windows 应用程序、X 应用程序和字符应用程序
3389-用于使用 Windows 远程桌面服务的 Windows 应用程序
6010 及以上-用于 X 应用程序
在 SGD 中,阵列是一个共享配置信息的 SGD 服务器集合。因为阵列中的各个 SGD 服务器共享有关用户会话和应用程序会话的信息,同步不同 SGD 主机上的时钟就变得非常重要。使用网络时间协议 (Network Time Protocol, NTP) 软件或 rdate 命令可确保所有 SGD 主机上的时钟保持同步。
SGD Web 服务器包含预配置的供 SGD 使用的一个 Apache Web 服务器以及一个 Tomcat JavaServer Pages (JSP) 技术容器。
SGD Web 服务器包含多个组件。下表列出了最近发行版的 SGD 的 Web 服务器组件版本。
组件名称 | SGD 版本 4.71 | SGD 版本 4.70 | SGD 版本-4.63 |
---|---|---|---|
| 2.2.24 | 2.2.22 | 2.2.24 |
| 1.0.0k | 1.0.0j | 1.0.0k |
| 1.2.37 | 1.2.37 | 1.2.37 |
| 7.0.37 | 7.0.29 | 6.0.36 |
| 1.4 | 1.4 | 1.4 |
Apache Web 服务器包括所有标准的 Apache 模块作为共享对象。
用于 Tomcat JSP 技术容器的最小 Java 虚拟机 (Java Virtual Machine, JVM) 软件堆大小为 256 兆字节。
以下是 SGD 支持的用于验证用户的机制:
轻量目录访问协议 (Lightweight Directory Access Protocol, LDAP) 版本 3
Microsoft Active Directory
网络信息服务 (Network Information Service, NIS)
RSA SecurID
Web 服务器验证(HTTP/HTTPS 基本验证),包括公钥基础结构 (public key infrastructure, PKI) 客户端证书
支持基于以下版本的 Active Directory 进行 Active Directory 验证和 LDAP 验证:
Windows Server 2003
Windows Server 2003 R2
Windows Server 2008
Windows Server 2008 R2
SGD 支持标准 LDAP 协议版本 3。您可以对任何符合 LDAP 版本 3 的目录服务器使用 LDAP 验证。不过,SGD 仅支持以下目录服务器:
Oracle Internet Directory 11gR1(所有 11.1.1.x.0 发行版)
Oracle Directory Server Enterprise Edition 版本 11gR1
Microsoft Active Directory,如“支持的 Active Directory 版本”一节所示
Sun Directory Server 6.3 或更高版本
其他目录服务器可能可以运行,但是不受支持。
Novell eDirectory 不再是受支持的 LDAP 目录服务器。
SGD 支持 TLS 版本 1.0 和 SSL 版本 3.0。
SGD 支持保密性增强的电子邮件 (Privacy Enhanced Mail, PEM) Base-64 编码 X.509 证书。这些证书具有以下结构:
-----BEGIN CERTIFICATE-----
...certificate
...
-----END CERTIFICATE-----
SGD 支持 SSL 证书的拥有者替代名称
(Subject Alternative Name, subjectAltName
)
扩展。SGD
还支持对域名的第一部分使用 *
通配符,例如 *.example.com
。
SGD 包含对大量证书颁发机构 (Certificate
Authority, CA)
的支持。/opt/tarantella/etc/data/cacerts.txt
文件中包含 SGD 所支持的所有 CA 证书的
X.500 标识名 (Distinguished Name, DN) 和 MD5
签名。需要额外配置才能支持由不受支持的 CA
所签名的 SSL 证书。支持中间
CA,但如果链中任一证书是由不受支持的 CA
签名的,则可能需要额外配置。
SGD 支持使用外部硬件 SSL 加速器,但需要额外配置。
SGD 支持以下密码套件:
RSA_WITH_AES_256_CBC_SHA
RSA_WITH_AES_128_CBC_SHA
RSA_WITH_3DES_EDE_CBC_SHA
RSA_WITH_RC4_128_SHA
RSA_WITH_RC4_128_MD5
RSA_WITH_DES_CBC_SHA
SGD 支持两种类型的打印:PDF 打印和打印机直接打印。
对于 PDF 打印,SGD 使用
Ghostscript
将打印作业转换为可移植文档格式 (Portable Document
Format, PDF) 文件。Ghostscript 分发必须包含
ps2pdf
程序。为获得最佳效果,请在 SGD
主机上安装 Ghostscript 的最新版本。
SGD 支持打印机直接打印到
PostScript、打印机命令语言 (Printer Command Language,
PCL)
以及连接到用户的客户端设备的仅文本打印机。SGD
tta_print_converter
脚本针对客户端打印机执行正确格式化打印作业所需的任何转换。tta_print_converter
脚本使用 Ghostscript 从 Postscript 转换为
PCL。要支持此转换,必须在 SGD
服务器上安装
Ghostscript。为获得最佳效果,请下载并安装附加字体。
SGD 软件中不包含 Ghostscript。