Cette section inclut des instructions permettant de configurer les connections utilisées par la passerelle SGD Gateway.
Les tâches de configuration suivantes sont décrites :
Section 2.2.1, « Connexions entre le périphérique client et la passerelle SGD Gateway »
Section 2.2.2, « Connexions entre la passerelle SGD Gateway et le serveur SGD »
Section 2.2.3, « Connexions entre le périphérique client et l'équilibreur de charge »
Section 2.2.4, « Connexions entre l'équilibreur de charge et la passerelle SGD Gateway »
La configuration des connexions entre le périphérique client et une passerelle SGD Gateway suppose d'effectuer les tâches de configuration suivantes :
(Facultatif) Configurez les ports et les connexions utilisés par la passerelle SGD Gateway.
Vous avez configuré ces paramètres lors de l'installation de la passerelle.
Pour modifier ces paramètres, reportez-vous à la section Section 2.2.1.1, « Procédure de configuration des ports et des connexions à la passerelle SGD Gateway ».
(Facultatif) Sur la passerelle SGD Gateway, installez un certificat SSL pour les connexions client.
Reportez-vous à la section Section 2.2.1.2, « Procédure d'installation d'un certificat SSL pour les connexions client dans le keystore du client ».
Vous pouvez conserver cette procédure si vous souhaitez modifier les paramètres spécifiés lors de l'installation de la passerelle SGD Gateway.
Connectez-vous à l'hôte en tant que superutilisateur (utilisateur root) à l'hôte SGD Gateway.
Exécutez la commande gateway config create.
# /opt/SUNWsgdg/bin/gateway config create
Répondez aux questions qui s'affichent pour configurer les éléments suivants :
Paramètres de port SGD Gateway. Interface et port que la passerelle SGD Gateway utilise pour les connexions entrantes.
Point d'entrée réseau. Adresse IP, ou nom DNS, et port que les périphériques client utilisent pour se connecter à la passerelle SGD Gateway. Le point d'entrée ne correspond pas toujours à l'adresse de la passerelle SGD Gateway. Selon la configuration de votre réseau, il peut s'agir de l'adresse d'un équilibreur de charge ou d'un autre périphérique externe.
Connexions sécurisées. Indiquez s'il faut sécuriser les connexions entre la passerelle SGD Gateway et les serveurs SGD du groupe. Pour utiliser des connexions sécurisées, les serveurs SGD du groupe doivent s'exécuter en mode sécurisé.
Enregistrez les paramètres de connexion et de port.
La passerelle SGD Gateway est alors configurée selon les paramètres spécifiés.
Le certificat SSL que la passerelle SGD Gateway utilise pour les connexions client est appelé le certificat SSL SGD Gateway. Le certificat SSL est enregistré dans le keystore du client, /opt/SUNWsgdg/proxy/etc/keystore.client
.
Par défaut, la passerelle SGD Gateway utilise un certificat SSL SGD Gateway auto-signé pour les connexions client. Vous pouvez toutefois remplacer le certificat SSL auto-signé par un certificat signé par une autorité de certification (AC).
La procédure suivante suppose que vous disposez d'un certificat SSL signé par une AC.
La clé privée que vous installez doit être au format PEM (Privacy Enhanced Mail).
Connectez-vous à l'hôte en tant que superutilisateur (utilisateur root) à l'hôte SGD Gateway.
Copiez le certificat SSL et la clé privée correspondante sur l'hôte SGD Gateway.
Importez le certificat SSL et la clé privée dans le keystore du client.
Utilisez la commande gateway sslkey import, comme suit :
# /opt/SUNWsgdg/bin/gateway sslkey import \ --keyfiletemp.key
\ --keyalg RSA \ --certfileexample.com.pem
Ici, le fichier de certificat example.com.pem
et la clé privée codée RSA correspondante, temp.key
, sont importées dans le keystore du client.
Le certificat SSL auto-signé existant dans le keystore du client est écrasé.
(Facultatif) Redémarrez la passerelle SGD Gateway.
Appliquez cette étape uniquement si vous n'avez pas effectué de configuration initiale de la passerelle SGD Gateway. Le redémarrage de la passerelle SGD Gateway à ce stade de la configuration initiale entraîne l'affichage d'un message d'erreur, car la configuration initiale de la passerelle n'est pas finalisée.
Redémarrez la passerelle SGD Gateway si vous remplacez le certificat SSL sur une passerelle SGD Gateway qui est déjà configurée et en cours d'exécution.
Le redémarrage de la passerelle SGD Gateway déconnecte toutes les sessions utilisateur et les sessions d'application qui s'exécutent via la passerelle SGD Gateway.
Sur l'hôte SGD Gateway, exécutez la commande suivante :
# /opt/SUNWsgdg/bin/gateway restart
Les connexions entre une passerelle SGD Gateway et les serveurs SGD du groupe sont basés sur des certificats qui leur permettent de s'octroyer des autorisations mutuelles. La définition de ces connexions suppose d'effectuer les tâches de configuration suivantes :
Installez les certificats de serveur SGD sur la passerelle SGD Gateway.
Reportez-vous à la section Section 2.2.2.1, « Procédure d'installation des certificats de serveur SGD ».
Installez le certificat SGD Gateway dans le groupe SGD.
Reportez-vous à la section Section 2.2.2.2, « Procédure d'installation des certificats SGD Gateway dans le groupe SGD ».
Configurez les connexions client SGD pour la passerelle SGD Gateway.
Reportez-vous à la section Section 2.2.2.3, « Procédure de configuration des connexions client SGD ».
Pour utiliser cette procédure, les serveurs SGD du groupe doivent s'exécuter en mode sécurisé.
Dans une installation classique, un serveur SGD est configuré automatiquement pour utiliser les connexions sécurisées. Reportez-vous à la section "Connexions sécurisées aux serveurs SGD" du chapitre 1 du Oracle Secure Global Desktop Administration Guide for Release 4.7 pour plus d'informations sur l'activation des services de sécurité sur un serveur SGD.
Répétez la procédure suivante pour chaque serveur SGD du groupe.
Connectez-vous à l'hôte en tant que superutilisateur (utilisateur root) à l'hôte SGD.
Copiez le certificat AC du serveur SGD dans le répertoire du keystore de la passerelle SGD Gateway.
Le certificat AC d'un serveur SGD se trouve à l'emplacement /opt/tarantella/var/info/certs/PeerCAcert.pem
sur l'hôte SGD.
Il s'agit du même certificat AC que le serveur SGD utilise pour sécuriser les communications intragroupes.
Le répertoire du keystore de la passerelle SGD Gateway est le suivant : /opt/SUNWsgdg/proxy/etc
.
Lorsque vous copiez le certificat AC, il est recommandé de renommer le fichier de certificat pour faciliter l'identification du contenu du fichier et du serveur SGD auquel il est associé.
Copiez le certificat SSL issu du serveur SGD dans le répertoire du keystore de la passerelle SGD Gateway.
Le certificat SSL d'un serveur SGD qui s'exécute en mode sécurisé se trouve à l'emplacement /opt/tarantella/var/tsp/cert.pem
sur l'hôte SGD.
Le répertoire du keystore de la passerelle SGD Gateway est le suivant : /opt/SUNWsgdg/proxy/etc
.
Lorsque vous copiez le certificat SSL, il est recommandé de renommer le fichier de certificat pour faciliter l'identification du contenu du fichier et du serveur SGD auquel il est associé.
Connectez-vous à l'hôte en tant que superutilisateur (utilisateur root) à l'hôte SGD Gateway.
Importez les certificats dans le keystore de la passerelle SGD Gateway.
# /opt/SUNWsgdg/bin/gateway server add --serversgd-server1
\ --certfile /opt/SUNWsgdg/proxy/etc/PeerCAcert.pem --urlhttps://sgd1.example.com
\ --ssl-certfile /opt/SUNWsgdg/proxy/etc/cert.pem
L'option --server
définit les noms utilisés lors du stockage des certificats dans le keystore. Dans cet exemple, le certificat AC est stocké sous l'alias sgd-server1
et le certificat SSL sous l'alias sgd-server1-ssl
.
https://sgd1.example.com
est l'URL du serveur Web SGD.
Redémarrez la passerelle SGD Gateway.
Le redémarrage de la passerelle SGD Gateway déconnecte toutes les sessions utilisateur et les sessions d'application qui s'exécutent via la passerelle SGD Gateway.
Sur l'hôte SGD Gateway, exécutez la commande suivante :
# /opt/SUNWsgdg/bin/gateway restart
Répétez la procédure suivante pour chaque passerelle SGD Gateway.
Exportez le certificat SGD Gateway.
Connectez-vous à l'hôte en tant que superutilisateur (utilisateur root) à l'hôte SGD Gateway.
Exportez le certificat SGD Gateway du keystore de la passerelle SGD Gateway.
Utilisez la commande gateway cert export comme suit :
# /opt/SUNWsgdg/bin/gateway cert export --certfile gateway1.pem
Le certificat est exporté dans le fichier gateway1.pem
.
Copiez le certificat dans le répertoire /opt/tarantella/var/tsp
du serveur SGD principal du groupe.
Lorsque vous exportez le certificat, il est recommandé de nommer le fichier de certificat de sorte à faciliter l'identification de la passerelle SGD Gateway dont il est issu.
Modifiez les autorisations de fichier et la propriété du certificat de la passerelle.
# chmod 600 /opt/tarantella/var/tsp/gateway1.pem
# chown ttasys:ttaserv /opt/tarantella/var/tsp/gateway1.pem
Enregistrez la passerelle SGD Gateway auprès du groupe SGD.
Sur le serveur SGD principal, connectez-vous en tant que superutilisateur (utilisateur root).
Importez le certificat SGD Gateway.
# tarantella gateway add --namesgd-gateway1
\ --certfile /opt/tarantella/var/tsp/gateway1.pem
sgd-gateway1
correspondant au nom utilisé par SGD pour identifier la passerelle SGD Gateway et gateway1.pem
le nom du fichier de certificat SGD Gateway.
Pour enregistrer plusieurs passerelles SGD Gateway en même temps, utilisez l'option --file
de la commande tarantella gateway add. Reportez-vous à la section Section B.27, « La commande tarantella gateway » pour plus d'informations.
Les modifications apportées à la configuration à l'aide de la commande tarantella gateway add sont répliquées sur les autres serveurs SGD du groupe.
Configurez les connexions client SGD qui utilisent la passerelle SGD Gateway.
Sur le serveur SGD principal, définissez l'attribut global --security-gateway
pour spécifier les clients SGD qui peuvent utiliser la passerelle SGD Gateway, en fonction de leur adresse IP ou nom DNS.
Pour indiquer que toutes les connexions client SGD doivent être acheminées via le port TCP 443 d'une passerelle SGD Gateway gateway1.example.com
, utilisez la commande suivante :
$ tarantella config edit --security-gateway \ "*:sgdg:gateway1.example.com
:443
"
Pour indiquer que toutes les connexions client SGD doivent être acheminées via le port TCP 443 d'un équilibreur de charge externe, lb.example.com
, utilisez la commande suivante :
$ tarantella config edit --security-gateway \ "*:sgdg:lb.example.com
:443
"
Les modifications apportées à l'attribut --security-gateway
s'appliquent à tous les serveurs SGD du groupe. Les modifications s'appliquent uniquement aux nouvelles sessions utilisateur.
Reportez-vous à la section Section B.31, « L'attribut --security-gateway » pour plus d'informations sur l'utilisation de l'attribut --security-gateway
afin de définir plusieurs filtres de connexion client SGD.
La configuration des connexions entre le périphérique client et un équilibreur de charge suppose d'effectuer les tâches de configuration suivantes :
Configurez l'équilibrage de charge de sorte qu'il accepte les connexions provenant des périphériques client.
Pour plus d'informations sur la procédure à suivre, reportez-vous à la documentation de votre équilibreur de charge.
(Facultatif) Installez le certificat SSL de la passerelle SGD Gateway sur l'équilibreur de charge.
Pour plus d'informations sur la procédure à suivre, reportez-vous à la documentation de votre équilibreur de charge.
La configuration des connexions entre un équilibreur de charge et la passerelle SGD Gateway suppose d'effectuer les tâches de configuration suivantes :
Configurez les ports et les connexions utilisés par la passerelle SGD Gateway.
Reportez-vous à la section Section 2.2.1.1, « Procédure de configuration des ports et des connexions à la passerelle SGD Gateway ».
(Facultatif) Sur la passerelle SGD Gateway, installez un certificat SSL pour les connexions client entrantes.
Reportez-vous à la section Section 2.2.1.2, « Procédure d'installation d'un certificat SSL pour les connexions client dans le keystore du client ».