支持客户端验证的客户端(Sun Ray Client 或 Oracle Virtual Desktop Client)具有用于客户端验证的公钥/私钥对。客户端的密钥对在客户端首次使用适当的固件进行引导时生成。
较旧版本的固件或出厂时预安装在 Sun Ray Client 上的固件不能生成密钥,因此不支持客户端验证。请注意,预先安装的固件版本均以 MfgPkg 开始,您可以据此识别预先安装的固件。您必须更新 Sun Ray Client 上的固件才能生成密钥。
当客户端连接到服务器且启用了客户端验证时,客户端会将其公钥和客户端标识符发送到服务器。对于 Sun Ray Client,客户端标识符为其 MAC 地址。最初,服务器只能验证客户端是否是所提交的密钥的所有者,而不能验证客户端是否合法使用所提交的客户端 ID。
Sun Ray 服务器在 Sun Ray 数据存储库中存储已知客户端及其公钥的列表。可将已存储密钥标记为已确认,表示已通过人为介入确认了给定客户端的密钥真实性。如果没有将客户端的密钥标记为已确认,客户端验证功能就只能确保客户端标识符不会被多个具有不同密钥的不同客户端使用。仅当密钥已被验证且被标记为已确认时,客户端验证才能真正验证客户端的身份。
Oracle Virtual Desktop Client 的密钥没有存储在数据存储库中,因此不会通过 utkeyadm 命令或管理 GUI 显示。实际上,Oracle Virtual Desktop Client 使用其密钥指纹作为客户端标识符,这样就会自动确定给定 ID 密钥的真实性。有关更多信息,请参见第 11.5 节 “密钥指纹”。
默认情况下,除非通过其他密钥使用了客户端的身份,否则可向具有未确认密钥的客户端授予会话。如果针对某个客户端提交了多个密钥,则表示该客户端的会话可能遭到攻击,因此会拒绝该客户端的会话访问权。用户需要明确确认其中一个密钥为可信密钥,才能重新启用客户端的访问权。
可以选择更严格的策略,即需要已验证的客户端身份,并拒绝对没有使用 utpolicy 命令或管理 GUI 验证并确认过其密钥的任何客户端的访问。如果选择使用此策略,必须将每个新客户端的密钥明确标记为“已确认”,然后才能使用客户端。为了充分有效地应用此策略,还应该在安全配置中将客户端验证模式设置为“硬安全模式”。
可以使用 utkeyadm 命令管理客户端身份及其关联密钥。可以使用密钥管理工具列出用于客户端的所有密钥。
使用 utkeyadm 命令可以执行以下操作:
列出与已知客户端关联的密钥及其状态
验证客户端密钥的真实性后,对其进行确认。如果针对一个客户端存储了多个未确认的密钥,那么当其中一个密钥被确认为真实密钥后,所有其他密钥都将被删除。
删除无效或过时的密钥条目
导出所有或所选客户端身份的密钥数据,用于备份以及传送至其他 Sun Ray 服务器实例
导入在当前或其他 Sun Ray 服务器实例上导出的密钥数据
也可以通过管理 GUI 中的客户端的 "Desktop Properties"(桌面属性)页面来查看、确认或删除客户端的关联密钥。