Ce chapitre fournit des informations spécifiques concernant les systèmes d'exploitation Solaris et Linux.
Pour accéder aux données de configuration à partir de Configuration Manager, un client de bureau a besoin de JavaTM Desktop System Configuration Agent. Configuration Agent communique avec le référentiel des données de configuration distantes ainsi qu'avec les adaptateurs et intègre les données dans des systèmes de configuration spécifiques. Les systèmes de configuration actuellement pris en charge sont GConf, Java Preferences, Mozilla Preferences et StarOffice Registry.
Configuration Agent est un élément intégré aux différents packages répertoriés dans le tableau suivant :
Nom du package Solaris |
Nom du RPM Linux |
Description |
---|---|---|
SUNWapbas |
apoc-base |
Bibliothèques partagées de Configuration |
SUNWapmsc |
apoc-misc |
Fichiers divers de Configuration Agent |
SUNWapoc |
apoc |
Configuration Agent |
SUNWapdc |
apoc-config |
Assistant de Configuration Agent |
Lorsque vous installez ces packages, les fichiers requis par cette API sont installés. Vous pouvez installer les packages manuellement ou par le biais de l'installation Java Desktop System. Une fois l'installation terminée, vous devez configurer et activer Configuration Agent sur votre système.
Pour accéder aux données de configuration distantes, Configuration Agent a besoin de quelques informations d'initialisation, telles que le nom d'hôte et le port du serveur LDAP. Ces informations figurent dans un ensemble de fichiers de propriétés, notamment policymgr.properties, apocd.properties et os.properties. Ces fichiers sont stockés localement dans le répertoire /etc/apoc. Vous pouvez modifier ces fichiers de propriétés manuellement ou utiliser l'assistant de configuration de Configuration Agent.
L'assistant de configuration intègre une interface graphique utilisateur qui vous guide dans les paramètres requis de Configuration Agent. Un écran d'aide est disponible pour chaque page de l'assistant. Vous pouvez lancer l'assistant en tant que super utilisateur (racine) par le biais du script /usr/bin/apoc-config. Une entrée de menu est également disponible sur le bureau sous Préférences/Système/Paramètres réseau ou sous Matériel///Carte réseau dans le gestionnaire de fichiers Nautilus
.
Vous pouvez également démarrer l'assistant sans lancer l'interface graphique. Par exemple, exécutez /usr/bin/apoc-config -nodisplay pour démarrer l'assistant en mode console.
Les clés du fichier de propriétés associées sont indiquées entre parenthèses, le cas échéant.
Identificateur du serveur (Server) : nom d'hôte du serveur LDAP.
Port du serveur (Port) : numéro de port du serveur LDAP.
Suffixe (BaseDn) : DN de base du référentiel LDAP.
État : état de Configuration Agent. La case à cocher peut être utilisée pour activer ou désactiver Configuration Agent. Pour pouvoir utiliser le référentiel de configuration, Configuration Agent doit être actif. L'activation inclut automatiquement l'enregistrement nécessaire avec inetd.
Pour activer ou désactiver manuellement Configuration Agent, connectez-vous en tant que racine et tapez la commande /usr/lib/apocd enable ou /usr/lib/apocd disable.
Identificateur de l'hôte (HostIdentifier) : peut être “HostName” ou “IPAddress”. L'identificateur défini doit être configuré pour correspondre au contenu de l'attribut LDAP utilisé pour identifier les hôtes. Cet attribut est défini dans les fichiers de mappage sous la forme Host/UniqueIdAttribute.
Type d'authentification de Configuration Agent : peut être “Anonyme” ou “Simple”. Si vous sélectionnez “Anonyme”, les champs Nom d'utilisateur complet et Mot de passe sont automatiquement désactivés.
Nom d'utilisateur complet (AuthDn) : DN complet d'un utilisateur ayant des droits d'accès en lecture et en recherche dans le référentiel.
Mot de passe (Password) : mot de passe d'un utilisateur LDAP enregistré.
Si l'accès anonyme est activé dans le répertoire, les paramètres Nom d'utilisateur complet et Mot de passe peuvent rester vierges.
Type d'authentification pour les applications (AuthType) : peut être “Anonyme” ou “GSSAPI”, selon le mode d'authentification des utilisateurs employé par le serveur LDAP.
Pour plus d'informations, reportez-vous aux sections Accès aux données / Authentification des utilisateurs.
Configuration Agent utilise deux ports :
Port de l'agent (DaemonPort) : utilisé par l'agent pour communiquer avec les applications clientes (la valeur par défaut est 38900).
Port d'administration (DaemonAdminPort) : utilisé par le contrôleur de l'agent, apocd, pour communiquer avec l'agent (la valeur par défaut est 38901).
Configuration Agent recherche régulièrement les changements apportés aux données de configuration en utilisant deux intervalles :
Intervalle de détection général (ChangeDetectionInterval) : intervalle (en minutes) entre les cycles de détection des changements des données de configuration des applications (ou clients) de bureau.
Si vous indiquez la valeur -1, la détection des changements est désactivée.
Intervalle pour les paramètres de l'agent (DaemonChangeDetectionInterval) : intervalle en minutes entre les cycles de détection des changements des paramètres de configuration propres à l'agent.
Si vous indiquez la valeur -1, la détection des changements est désactivée.
Vous pouvez utiliser l'intervalle de détection général pour affiner la propagation des modifications des données de configuration distantes sur les applications côté client. La valeur entrée pour ce paramètre correspond à la durée maximum (en minutes) qui s'écoule avant que les modifications apportées à distance ne se reflètent dans les applications clientes.
Si vous indiquez des valeurs peu élevées, l'activité de Configuration Agent et du serveur LDAP est augmentée. Vous devez donc ajuster avec précaution la valeur de ces paramètres. Par exemple, dans une phase de déploiement initial, vous pouvez définir une valeur égale à une minute de manière à pouvoir tester facilement l'impact de la configuration distante sur les applications clientes. Une fois le test terminé, rétablissez la valeur initiale du paramètre.
Vous pouvez configurer les paramètres suivants :
Répertoire de données (DataDir) : répertoire utilisé pour stocker les données d'exécution. Le répertoire par défaut est /var/opt/apoc.
Durée de stockage des données cachées (TimeToLive) : intervalle en minutes pendant lequel les données de configuration qui ne sont pas hors ligne demeurent dans la base de données locale.
Cycle de libération de la mémoire (GarbageCollectionInterval) : intervalle en minutes entre les cycles de libération de la mémoire dans la base de données de configuration locale.
Nombre maximal de threads des clients (MaxClientThreads) : nombre maximal de demandes des clients pouvant être traitées simultanément.
Nombre maximal de connexions des clients (MaxClientConnections) : nombre maximal de connexions des clients.
Taille maximale des demandes (MaxRequestSize) : taille maximale des demandes des clients.
Délai d'expiration de connexion (ConnectTimeout) : indique l'intervalle accordé au serveur LDAP pour répondre à une demande de connexion. La valeur par défaut est une seconde.
Niveau du journal (LogLevel) : niveau de détail dans les fichiers journaux des agents. Le niveau de détail d'enregistrement doit être une valeur cohérente avec les niveaux d'enregistrement des événements Java. Par ordre décroissant de gravité, ces niveaux sont :
GRAVE
AVERTISSEMENT
INFO
CONFIG
FIN
PLUS FIN
LE PLUS FIN
La plupart des paramètres de fonctionnement, à l'exception des paramètres Répertoire de données et Délai d'expiration de connexion, peuvent être gérés centralement à l'aide des stratégies correspondantes stockées sur le serveur LDAP. Si vous souhaitez utiliser cette fonction, n'adaptez pas les paramètres correspondants à l'aide de l'assistant. Utilisez plutôt les stratégies de Configuration Agent disponibles dans Configuration Manager pour spécifier centralement les paramètres de fonctionnement.
À l'exception des paramètres “Répertoire de données” et “Délai d'expiration de connexion”, les paramètres de fonctionnement stockés sur le serveur LDAP par le biais de Configuration Manager prennent automatiquement effet lors du prochain cycle de détection des changements de la configuration de l'agent (voir DaemonChangeDetectionInterval).
Tous les paramètres modifiés en local nécessitent le rechargement ou le redémarrage de Configuration Agent. Cette opération s'effectue automatiquement si vous utilisez l'assistant de configuration.
Pour redémarrer manuellement Configuration Agent, assurez-vous qu'aucune application client n'est en cours d'exécution, connectez-vous en tant que racine, puis tapez la commande /usr/lib/apoc/apocd restart.
Configuration Agent extrait des informations du serveur LDAP en fonction de l'ID de connexion d'un utilisateur de bureau. Le paramètre User/UniqueIdAttribute du fichier de mappage organisationnel associe l'ID de connexion à une entité d'utilisateur sur le serveur LDAP. Configuration Agent extrait également des informations relatives à l'hôte, par exemple son nom ou son adresse IP. Les informations sont associées à une entité d'hôte sur le serveur LDAP par le biais du paramètre Host/UniqueIdAttribute du fichier de mappage organisationnel.
Il existe deux méthodes d'accès au serveur LDAP, à savoir la méthode anonyme et la méthode GSSAPI. Aucune action n'est requise sur le bureau pour un accès anonyme. Pour la méthode GSSAPI, des informations d'identification Kerberos doivent être obtenues sur le bureau. Pour intégrer l'obtention des informations d'identification de Kerberos à la connexion de l'utilisateur, le module pam_krb5 doit être installé et configuré sur l'hôte Java Desktop System.
Vous pouvez utiliser gdm pour intégrer Kerberos à la connexion de l'utilisateur, par exemple, en utilisant le fichier /etc/pam.d/gdm :
#%PAM-1.0 auth required pam_unix2.so nullok #set_secrpc auth optional pam_krb5.so use_first_pass missing_keytab_ok ccache=SAFE putenv_direct account required pam_unix2.so password required pam_unix2.so #strict=false session required pam_unix2.so # trace or none session required pam_devperm.so session optional pam_console.so |
Si vous intégrez Kerberos à la connexion de l'utilisateur de cette manière, vous devez activer la prise en charge de Kerberos par l'économiseur d'écran. Par exemple, vous pouvez utiliser le fichier /etc/pam.d/xscreensaver suivant :
auth required pamkrb5.so use_first_pass missing_keytab_ok ccache=SAFE putenv_direct |
L'adaptateur GConf est un élément du package SUNWapoc-adapter-gconf pour Solaris et du RPM apoc-adapter-gconf pour Linux. Lorsque vous installez l'adaptateur à partir du package ou RPM correspondant, le chemin d'accès aux sources de données GConf dans /etc/gconf/2/path est mis à jour afin d'inclure les sources Configuration Manager. Les deux sources de données fournies par l'adaptateur sont les suivantes :
“apoc:readonly:” : fournit un accès à des paramètres non protégés à partir des stratégies. Insérez cette source de données après les paramètres de l'utilisateur et avant les paramètres par défaut locaux.
“apoc:readonly:mandatory@” : fournit un accès à des paramètres protégés à partir des stratégies. Insérez cette source de données après les paramètres obligatoires locaux et avant les paramètres de l'utilisateur.
L'adaptateur Java Preferences est un élément du package SUNWapcj pour Solaris et du RPM apoc-adapter-java pour Linux. Lorsque vous installez l'adaptateur à partir du package ou du RPM correspondant, les fichiers requis sont ajoutés au répertoire /opt/SUNWapcj sous Solaris ou au répertoire /opt/apocjava sous Linux.
L'adaptateur Mozilla est un élément du package SUNWmozapoc-adapter pour Solaris et du RPM mozilla-apoc-integration pour Linux. Lorsque vous installez l'adaptateur à partir du package ou du RPM correspondant, les fichiers requis sont ajoutés à une installation existante de Mozilla et sont automatiquement enregistrés.
L'adaptateur StarOffice est inclus dans une installation StarOffice standard et permet d'accéder aux données de configuration de stratégie sans que des modifications spéciales ne soient nécessaires.