9.2. Répertoire utilisateur

9.2.1. J'ai des problèmes avec l'utilisation du répertoire utilisateur. Puis-je ajuster le niveau du journal pour obtenir plus d'informations ?
9.2.2. L'authentification Kerberos auprès d'Active Directory fonctionne pendant un certain temps, puis s'arrête.
9.2.3. Puis-je utiliser PKI à la place de Kerberos pour l'authentification auprès d'Active Directory ?
9.2.4. Quel est le type d'accès privilégié requis pour le répertoire utilisateur ?
9.2.5. Puis-je désactiver la fonction de nettoyage automatique des objets ordinateur dans Active directory ?

9.2.1. J'ai des problèmes avec l'utilisation du répertoire utilisateur. Puis-je ajuster le niveau du journal pour obtenir plus d'informations ?

Oui, vous pouvez augmenter le niveau des détails affichés dans les journaux.

Par défaut, tous les messages du service Oracle VDI sont enregistrés dans les fichiers journaux du conteneur Cacao (voir la Section 8.3.2, « Vérification des fichiers journaux de Oracle VDI »). Pour augmenter le niveau de journalisation des services d'annuaire, exécutez la commande suivante en tant qu'utilisateur root :

# cacaoadm set-filter -i vda -p com.sun.directoryservices=ALL
# cacaoadm set-filter -i vda -p com.sun.sgd=ALL

Dans les plates-formes Linux, la commande cacaoadm est dans /opt/sun/cacao2/bin.

Après avoir modifié le niveau de journalisation, redémarrez le service Oracle VDI :

# /opt/SUNWvda/sbin/vda-service restart

Après avoir redémarré le service Oracle VDI, reproduisez le problème et consultez le journal Cacao (voir la Section 8.3.2, « Vérification des fichiers journaux de Oracle VDI »).

Pour réinitialiser les paramètres par défaut du niveau de journalisation des services d'annuaire, exécutez la commande suivante en tant qu'utilisateur root :

# cacaoadm set-filter -i vda -p com.sun.directoryservices=NULL
# cacaoadm set-filter -i vda -p com.sun.sgd=NULL

Redémarrez ensuite le service Oracle VDI :

# /opt/SUNWvda/sbin/vda-service restart

9.2.2. L'authentification Kerberos auprès d'Active Directory fonctionne pendant un certain temps, puis s'arrête.

Une solution temporaire à ce problème consiste à exécuter la commande suivante dans chaque hôte Oracle VDI :

kinit -V administrator@MY.DOMAIN

Il peut s'agir :

  1. D'un problème de synchronisation des horloges

    Vérifiez que les contrôleurs de domaine et les serveurs Oracle VDI sont connectés au même serveur NTP.

  2. D'un problème de configuration de Kerberos

    Vérifiez que le fichier de configuration de Kerberos (krb5.conf) contient la section libdefaults et définit le paramètre default_realmcomme dans l'exemple suivant :

    [libdefaults]
    default_realm = MY.COMPANY.COM
    
    [realms]
    MY.COMPANY.COM = {
    kdc = my.windows.host
    }
    
    [domain_realm]
    .my.company.com = MY.COMPANY.COM
    my.company.com = MY.COMPANY.COM

9.2.3. Puis-je utiliser PKI à la place de Kerberos pour l'authentification auprès d'Active Directory ?

Vous pouvez évidemment utiliser l'authentification PKI. Celle-ci devrait fournir les mêmes fonctions (y compris la suppression d'ordinateurs dans Active Directory) que l'authentification Kerberos.

9.2.4. Quel est le type d'accès privilégié requis pour le répertoire utilisateur ?

Pour le type d'authentification LDAP :

  • Accès en lecture à l'ensemble de la base des utilisateurs et des groupes, de sorte que Oracle VDI puisse rechercher des utilisateurs et résoudre les bureaux assignés aux utilisateurs qui se connectent. (si Active Directory est utilisé avec un seul domaine, il s'agit généralement de l'emplacement CN=Users,DC=my,DC=domain,DC=com).

  • Si Active Directory est utilisé, accès en lecture à l'emplacement CN=Configuration,DC=my,DC=domain,DC=com. Ce dernier est utilisé par Oracle VDI pour pré-renseigner le champ du domaine dans la boîte de dialogue de connexion des utilisateurs finaux avec le domaine ou la liste des sous-domaines. Cela n'étant pas obligatoire, lorsque cet accès n'est pas accordé à Oracle VDI, le champ du domaine reste vide dans la boîte de dialogue de connexion.

Pour le type d'authentification Active Directory :

  • Accès en lecture à l'ensemble de la base des utilisateurs et des groupes, de sorte que Oracle VDI puisse rechercher des utilisateurs et résoudre les bureaux assignés aux utilisateurs qui se connectent. (si Active Directory est utilisé avec un seul domaine, il s'agit généralement de l'emplacement CN=Users,DC=my,DC=domain,DC=com).

  • Accès en lecture à l'emplacement CN=Configuration,DC=my,DC=domain,DC=com. Ce dernier est utilisé par Oracle VDI pour pré-renseigner le champ du domaine dans la boîte de dialogue de connexion des utilisateurs finaux avec le domaine ou la liste des sous-domaines. Cela n'étant pas obligatoire, lorsque cet accès n'est pas accordé à Oracle VDI, le champ du domaine reste vide dans la boîte de dialogue de connexion.

  • Accès en écriture à l'emplacement des ordinateurs. Il s'agit généralement de l'emplacement CN=Computers,DC=my,DC=domain,DC=com lorsqu'un hôte Windows est joint au domaine mon.domaine.com. L'accès en écriture à l'emplacement des ordinateurs est utilisé par Oracle VDI pour supprimer l'entrée de l'ordinateur correspondant dans Active Directory lorsqu'un bureau cloné (VM) est détruit. L'entrée de l'ordinateur est automatiquement créée par Active Directory lorsque le bureau Windows cloné est joint au domaine, généralement selon les instructions du processus Sysprep. L'accès en écriture n'est pas obligatoire. Si vous fournissez un utilisateur qui ne dispose pas d'un tel accès, Oracle VDI ne pourra pas supprimer les entrées des ordinateurs dans Active Directory et le nombre de ces entrées dans votre annuaire Active Directory augmentera progressivement. Cela ne se produira que si vous utilisez le clonage des bureaux Windows.

9.2.5. Puis-je désactiver la fonction de nettoyage automatique des objets ordinateur dans Active directory ?

Lorsque vous utilisez Active Directory et qu'un bureau Windows rejoint un domaine, un nouvel objet ordinateur est créé dans Active Directory. Si vous utilisez l'authentification Kerberos, Oracle VDI supprime automatiquement l'objet ordinateur d'Active Directory lorsqu'un bureau est supprimé.

Vous pouvez désactiver ce comportement en configurant la propriété domain-cleanup pour le pool, comme suit :

/opt/SUNWvda/sbin/vda pool-setprops -p domain-cleanup=disabled <pool>