2.5. Ports et protocoles du pare-feu

2.5.1. Pare-feu placés entre les clients et Oracle VDI
2.5.2. Pare-feu placés entre Oracle VDI et les répertoires utilisateur
2.5.3. Pare-feu placés entre Oracle VDI et les fournisseurs de bureau
2.5.4. Pare-feu placé entre les hôtes d'un Centre Oracle VDI

Les pare-feu éventuellement utilisés pour protéger les différentes parties d'un réseau doivent être configurés de manière à autoriser les connexions requises par Oracle VDI.

2.5.1. Pare-feu placés entre les clients et Oracle VDI

Les clients doivent pouvoir se connecter à n'importe quel hôte du Centre Oracle VDI.

Le tableau suivant répertorie les ports que vous devez ouvrir pour autoriser ces connexions.

Source

Destination

Port

Protocole

Objectif

Client

Serveur Web Oracle VDI

1800

TCP

Connexions HTTP à Oracle VDI Manager.

Ces connexions sont redirigées vers le port 1801.

Client

Serveur Web Oracle VDI

1801

TCP

Connexions HTTPS à Oracle VDI Manager.

Client

Serveur Web Oracle VDI

1802

TCP

Connexions HTTPS à l'API des services Web des clients VDI.

Client

Oracle VDI

3389

TCP

Connexions RDP au courtier RDP Oracle VDI.

Clients Sun Ray

Oracle VDI

Divers

Divers

Pour plus d'informations, reportez-vous à la section Ports et protocoles du guide Sun Ray Software 5.3 Administration Guide.

2.5.2. Pare-feu placés entre Oracle VDI et les répertoires utilisateur

Tous les hôtes d'un Centre Oracle VDI doivent pouvoir se connecter à n'importe quel répertoire utilisateur configuré.

Le tableau suivant répertorie les ports que vous devez ouvrir pour autoriser ces connexions.

Source

Destination

Port

Protocole

Objectif

Oracle VDI

Serveur Windows

53

UDP

Recherches DNS dans Active Directory.

Oracle VDI

Serveur Windows

88

TCP ou UDP

Authentification des utilisateurs dans Active Directory.

Oracle VDI

Annuaire LDAP

389

TCP

Authentification des utilisateurs dans un annuaire LDAP.

Oracle VDI

Serveur Windows

464

TCP ou UDP

Permet aux utilisateurs de modifier leur mot de passe lorsqu'il est arrivé à expiration.

Oracle VDI

Serveur d'annuaire LDAP

636

TCP

Authentification des utilisateurs via une connexion sécurisée à un annuaire LDAP.

Oracle VDI

Serveur Windows

3268

TCP

Authentification des utilisateurs dans Active Directory.

Ports requis pour les annuaires de type Active Directory

Chaque hôte Oracle VDI doit pouvoir se connecter à Active Directory sur les ports suivants :

  • Port 53 pour les recherches DNS dans Active Directory

  • Ports 88 et 464 pour l'authentification Kerberos auprès d'un Centre de distribution de clés (KDC)

  • Port 389 pour la connexion LDAP sécurisée à un contrôleur de domaine

  • Port 3268 pour la connexion LDAP sécurisée à un serveur de catalogue global

Oracle VDI effectue plusieurs recherches DNS pour détecter les informations LDAP. Pour que ces recherches fonctionnent, il est essentiel que votre DNS soit correctement configuré et autorise l'envoi des informations requises depuis Active Directory.

Les ports 88 et 464 sont les ports utilisés en standard pour l'authentification Kerberos auprès d'un Centre de distribution de clés (KDC). Ces ports peuvent être configurés. Selon la taille des paquets et votre configuration Kerberos, les connexions à ces ports peuvent utiliser le protocole TCP ou UDP. Le port 464 est uniquement requis pour les opérations de modification de mot de passe.

Ports requis pour les annuaires de type LDAP

Les ports standard utilisés pour les connexions aux annuaires LDAP sont le port 389 pour les connexions standard (authentification simple) et le port 636 pour les connexions sécurisées (authentification sécurisée). Ces ports peuvent être configurés.

2.5.3. Pare-feu placés entre Oracle VDI et les fournisseurs de bureau

Pour pouvoir exécuter des bureaux, tous les hôtes du Centre Oracle VDI doivent pouvoir se connecter à n'importe quel hôte de fournisseur de bureau configuré et à ses hôtes de stockage associés.

Les ports utilisés pour les connexions dépendent du type de fournisseur de bureau et du fait que le stockage soit géré ou non par Oracle VDI.

Le tableau suivant répertorie les ports que vous devez ouvrir pour autoriser ces connexions.

Source

Destination

Port

Protocole

Objectif

Oracle VDI

Hôte de stockage

22

TCP

Gestion du stockage via SSH.

Uniquement requis pour les fournisseurs de bureau Oracle VM VirtualBox et Hyper-V.

Oracle VDI

Hôte VirtualBox

22

TCP

Utilisé pour exécuter certaines commandes Oracle VM VirtualBox via SSH.

Uniquement requis pour le fournisseur de bureau Oracle VM VirtualBox.

Oracle VDI

Hôte de virtualisation

443

TCP

Connexions HTTPS aux services Web destinés à l'approvisionnement et la gestion des bureaux virtuels, ou connexions HTTPS pour la Gestion à distance de Windows (WinRM).

Uniquement requis pour les fournisseurs de bureau Oracle VM VirtualBox, Microsoft Hyper-V, VMware vCenter et Microsoft Remote Desktop.

Oracle VDI

Hôte de stockage

3260

TCP

Connexions iSCSI lors de la copie de disques virtuels pour des raisons de gestion, par exemple lorsque des bureaux sont importés ou copiés vers un hôte de stockage pour leur clonage.

Uniquement requis pour les fournisseurs de bureau Oracle VM VirtualBox et Hyper-V.

Hôte VirtualBox ou Microsoft Hyper-V

Hôte de stockage

3260

TCP

Connexions iSCSI servant à connecter des machines virtuelles à leurs disques virtuels.

Uniquement requis pour les fournisseurs de bureau Oracle VM VirtualBox et Hyper-V.

Oracle VDI

Hôte de virtualisation

3389

TCP

Connexions Microsoft RDP aux bureaux virtuels.

Hôte VirtualBox

Hôte VirtualBox

7777

TCP

Requis pour OCFS2 (Oracle Cluster File System version 2) pour les hôtes VirtualBox sur les plates-formes Oracle Linux et les hôtes utilisent un iSCSI ou un stockage Sun ZFS.

Oracle VDI

Hôte VirtualBox

18083

TCP

Connexions HTTPS aux services Web pour l'approvisionnement et la gestion de bureaux virtuels.

Requis uniquement pour les fournisseurs de bureau Oracle VM VirtualBox lorsqu'un utilisateur non root est sélectionné pour exécuter VirtualBox.

Oracle VDI

Hôte VirtualBox

49152 à 65534

TCP

Connexions RDP (VRDP) VirtualBox aux bureaux virtuels.

Uniquement requis pour le fournisseur de bureau Oracle VM VirtualBox lorsque VRDP est sélectionné en tant que protocole de bureau.

Les ports 22, 443, 3389, 18083 et 49152-65534 sont configurables.

Sur les hôtes VirtualBox, le port HTTPS est configuré lorsque vous installez VirtualBox. Les ports VRDP ne sont requis que si le protocole VRDP est utilisé pour connecter les bureaux. Pour plus de détails, consultez Choix entre VRDP et MS-RDP. La plage des ports utilisés est configurable, reportez-vous à la section Configuration de la plage de ports VRDP pour plus d'informations.

2.5.4. Pare-feu placé entre les hôtes d'un Centre Oracle VDI

Il arrive qu'un réseau contienne des pare-feu placés entre les hôtes d'un Centre Oracle VDI, par exemple lorsqu'il existe plusieurs lieux de travail contenant chacun un hôte Oracle VDI. Les hôtes Oracle VDI doivent pouvoir se connecter à n'importe quel autre membre du Centre Oracle VDI.

Le tableau suivant répertorie les ports que vous devez ouvrir pour autoriser ces connexions.

Source

Destination

Port

Protocole

Objectif

Hôte Oracle VDI secondaire

Hôte Oracle VDI principal

123

UDP

Connexions NTP (Network time connection) à l'hôte principal.

Uniquement requis si NTP n'est pas activé sur l'hôte secondaire.

Oracle VDI

Autre hôte Oracle VDI

3307

TCP

Connexions à la base de données MySQL Server intégrée.

Oracle VDI

Hôte de la base de données MySQL distante

Configurable

Configurable

Connexion à une base de données MySQL distante.

Uniquement requis lorsqu'une base de données MySQL distante est sélectionnée lors de la configuration d'un Centre Oracle VDI.

Oracle VDI

Autre hôte Oracle VDI

11172

TCP

Utilisé entre le connecteur JMX-MP et Cacao.

Utilisé par la commande cacaoadm

Oracle VDI

Autre hôte Oracle VDI

11173

TCP

Utilisé entre le connecteur de flux de commandes et Cacao.

Utilisé par les commandes vda et vda-center

Oracle VDI

Autre hôte Oracle VDI

11174

TCP

Utilisé entre le connecteur JMX RMI et Cacao.

Utilisé par le Oracle VDI Manager et pour les communications entre les agents du Centre Oracle VDI.

Logiciel Sun Ray

Logiciel Sun Ray

Divers

Divers

Pour plus d'informations, reportez-vous à la section Ports et protocoles du guide Sun Ray Software 5.3 Administration Guide.

Dans les hôtes Oracle VDI, le port 3303 est également utilisé pour la connexion entre la commande vda client et l'hôte Oracle VDI. Ce port est lié à l'hôte local et peut être configuré.