11.4. Gestion des clés client

Un client (Sun Ray ou Oracle Virtual Desktop) qui prend en charge l'authentification client dispose d'une paire de clés publique-privée pour l'authentification client. La paire de clés d'un client est générée lorsque celui-ci s'initialise avec les microprogrammes appropriés.

Note

Les anciennes versions de microprogrammes ou les microprogrammes préinstallés dans les clients Sun Ray par défaut ne génèrent pas de clés et ne prennent pas en charge l'authentification client. Pour vous aider à identifier les microprogrammes préinstallés, notez que les versions de ces microprogrammes commencent par MfgPkg. Vous devez mettre à jour le microprogramme sur les clients Sun Ray pour que les clés soient générées.

Lorsqu'un client se connecte à un serveur et que l'authentification client est activée, le client envoie sa clé publique et un identificateur de client au serveur. L'identificateur d'un client Sun Ray est son adresse MAC. Initialement, le serveur peut uniquement vérifier que le client est le propriétaire de la clé soumise, mais ne peut pas vérifier que le client utilise légitimement l'ID client soumis.

Le serveur Sun Ray stocke une liste des clients connus avec leur clé publique dans le magasin de données Sun Ray. Une clé stockée peut être marquée comme étant validée pour indiquer que l'authenticité de la clé pour le client donné a été validée par intervention manuelle. Si aucune clé n'a été marquée comme validée pour un client, la fonction d'authentification client ne peut qu'assurer qu'un identificateur de client n'est pas utilisé par plusieurs clients ayant des clés différentes. L'authentification client authentifie l'identité réelle du client uniquement lorsque la clé a été vérifiée et marquée comme validée.

Note

Les clés des clients Oracle Virtual Desktop Client ne sont pas stockées dans le magasin de données et ne sont pas affichées par la commande utkeyadm ou l'interface graphique d'administration. Au lieu de cela, tout client Oracle Virtual Desktop Client utilise son empreinte de clé comme identificateur de client afin que l'authenticité de la clé pour l'ID donné soit établit automatiquement. Pour en savoir plus, reportez-vous à la Section 11.5, « Empreinte de clé ».

Par défaut, un client comportant une clé non validée obtient une session, excepté si son identificateur a été utilisé avec une clé différente. Plusieurs clés soumises à un client peuvent indiquer une attaque sur les sessions de ce client. Par conséquent, l'accès à la session est refusé pour ce client. L'utilisateur doit explicitement valider une des clés comme authentique de manière à réactiver l'accès pour le client.

Vous pouvez sélectionner une stratégie plus stricte qui requiert des identités client authentifiées et refuse l'accès à toute unité de bureau dont la clé n'est pas vérifiée et validée à l'aide de la commande utpolicy ou de l'interface graphique d'administration. Si vous choisissez d'utiliser cette stratégie, vous devez explicitement marquer la clé pour chaque nouveau client comme validée avant que le client puisse l'utiliser. Pour utiliser pleinement cette stratégie, vous devez également définir l'authentification client en mode de sécurité complète dans la configuration de la sécurité.

Vous pouvez exécuter la commande utkeyadm pour gérer les identités des clients et leurs clés associées. Toutes les clés utilisées pour un client sont répertoriées par les outils de gestion des clés.

La commande utkeyadm vous permet d'effectuer les actions suivantes :

Vous pouvez aussi consulter, valider ou supprimer des clés associées à un client via la page Propriétés du bureau de ce client dans l'interface graphique d'administration.