2.2. Tâches de configuration de SGD Gateway

Cette section inclut des instructions permettant de configurer les connections utilisées par la passerelle SGD Gateway.

Les tâches de configuration suivantes sont décrites :

2.2.1. Connexions entre le périphérique client et la passerelle SGD Gateway

La configuration des connexions entre le périphérique client et une passerelle SGD Gateway suppose d'effectuer les tâches de configuration suivantes :

  1. (Facultatif) Configurez les ports et les connexions utilisés par la passerelle SGD Gateway.

    Vous avez configuré ces paramètres lors de l'installation de la passerelle.

    Pour modifier ces paramètres, reportez-vous à la section Section 2.2.1.1, « Procédure de configuration des ports et des connexions à la passerelle SGD Gateway ».

  2. (Facultatif) Sur la passerelle SGD Gateway, installez un certificat SSL pour les connexions client.

    Reportez-vous à la section Section 2.2.1.2, « Procédure d'installation d'un certificat SSL pour les connexions client dans le keystore du client ».

2.2.1.1. Procédure de configuration des ports et des connexions à la passerelle SGD Gateway

Vous pouvez conserver cette procédure si vous souhaitez modifier les paramètres spécifiés lors de l'installation de la passerelle SGD Gateway.

  1. Connectez-vous à l'hôte en tant que superutilisateur (utilisateur root) à l'hôte SGD Gateway.

  2. Exécutez la commande gateway config create.

    # /opt/SUNWsgdg/bin/gateway config create

    Répondez aux questions qui s'affichent pour configurer les éléments suivants :

    • Paramètres de port SGD Gateway. Interface et port que la passerelle SGD Gateway utilise pour les connexions entrantes.

    • Point d'entrée réseau. Adresse IP, ou nom DNS, et port que les périphériques client utilisent pour se connecter à la passerelle SGD Gateway. Le point d'entrée ne correspond pas toujours à l'adresse de la passerelle SGD Gateway. Selon la configuration de votre réseau, il peut s'agir de l'adresse d'un équilibreur de charge ou d'un autre périphérique externe.

    • Connexions sécurisées. Indiquez s'il faut sécuriser les connexions entre la passerelle SGD Gateway et les serveurs SGD du groupe. Pour utiliser des connexions sécurisées, les serveurs SGD du groupe doivent s'exécuter en mode sécurisé.

  3. Enregistrez les paramètres de connexion et de port.

    La passerelle SGD Gateway est alors configurée selon les paramètres spécifiés.

2.2.1.2. Procédure d'installation d'un certificat SSL pour les connexions client dans le keystore du client

Le certificat SSL que la passerelle SGD Gateway utilise pour les connexions client est appelé le certificat SSL SGD Gateway. Le certificat SSL est enregistré dans le keystore du client, /opt/SUNWsgdg/proxy/etc/keystore.client.

Par défaut, la passerelle SGD Gateway utilise un certificat SSL SGD Gateway auto-signé pour les connexions client. Vous pouvez toutefois remplacer le certificat SSL auto-signé par un certificat signé par une autorité de certification (AC).

La procédure suivante suppose que vous disposez d'un certificat SSL signé par une AC.

La clé privée que vous installez doit être au format PEM (Privacy Enhanced Mail).

  1. Connectez-vous à l'hôte en tant que superutilisateur (utilisateur root) à l'hôte SGD Gateway.

  2. Copiez le certificat SSL et la clé privée correspondante sur l'hôte SGD Gateway.

  3. Importez le certificat SSL et la clé privée dans le keystore du client.

    Utilisez la commande gateway sslkey import, comme suit :

    # /opt/SUNWsgdg/bin/gateway sslkey import \
    --keyfile temp.key \
    --keyalg RSA \
    --certfile example.com.pem
    

    Ici, le fichier de certificat example.com.pem et la clé privée codée RSA correspondante, temp.key, sont importées dans le keystore du client.

    Le certificat SSL auto-signé existant dans le keystore du client est écrasé.

  4. (Facultatif) Redémarrez la passerelle SGD Gateway.

    Attention

    Appliquez cette étape uniquement si vous n'avez pas effectué de configuration initiale de la passerelle SGD Gateway. Le redémarrage de la passerelle SGD Gateway à ce stade de la configuration initiale entraîne l'affichage d'un message d'erreur, car la configuration initiale de la passerelle n'est pas finalisée.

    Redémarrez la passerelle SGD Gateway si vous remplacez le certificat SSL sur une passerelle SGD Gateway qui est déjà configurée et en cours d'exécution.

    Note

    Le redémarrage de la passerelle SGD Gateway déconnecte toutes les sessions utilisateur et les sessions d'application qui s'exécutent via la passerelle SGD Gateway.

    Sur l'hôte SGD Gateway, exécutez la commande suivante :

    # /opt/SUNWsgdg/bin/gateway restart

2.2.2. Connexions entre la passerelle SGD Gateway et le serveur SGD

Les connexions entre une passerelle SGD Gateway et les serveurs SGD du groupe sont basés sur des certificats qui leur permettent de s'octroyer des autorisations mutuelles. La définition de ces connexions suppose d'effectuer les tâches de configuration suivantes :

  1. Installez les certificats de serveur SGD sur la passerelle SGD Gateway.

    Reportez-vous à la section Section 2.2.2.1, « Procédure d'installation des certificats de serveur SGD ».

  2. Installez le certificat SGD Gateway dans le groupe SGD.

    Reportez-vous à la section Section 2.2.2.2, « Procédure d'installation des certificats SGD Gateway dans le groupe SGD ».

  3. Configurez les connexions client SGD pour la passerelle SGD Gateway.

    Reportez-vous à la section Section 2.2.2.3, « Procédure de configuration des connexions client SGD ».

2.2.2.1. Procédure d'installation des certificats de serveur SGD

Pour utiliser cette procédure, les serveurs SGD du groupe doivent s'exécuter en mode sécurisé.

Dans une installation classique, un serveur SGD est configuré automatiquement pour utiliser les connexions sécurisées. Reportez-vous à la section "Connexions sécurisées aux serveurs SGD" du chapitre 1 du Oracle Secure Global Desktop Administration Guide for Release 4.7 pour plus d'informations sur l'activation des services de sécurité sur un serveur SGD.

Répétez la procédure suivante pour chaque serveur SGD du groupe.

  1. Connectez-vous à l'hôte en tant que superutilisateur (utilisateur root) à l'hôte SGD.

  2. Copiez le certificat AC du serveur SGD dans le répertoire du keystore de la passerelle SGD Gateway.

    Le certificat AC d'un serveur SGD se trouve à l'emplacement /opt/tarantella/var/info/certs/PeerCAcert.pem sur l'hôte SGD.

    Note

    Il s'agit du même certificat AC que le serveur SGD utilise pour sécuriser les communications intragroupes.

    Le répertoire du keystore de la passerelle SGD Gateway est le suivant : /opt/SUNWsgdg/proxy/etc.

    Lorsque vous copiez le certificat AC, il est recommandé de renommer le fichier de certificat pour faciliter l'identification du contenu du fichier et du serveur SGD auquel il est associé.

  3. Copiez le certificat SSL issu du serveur SGD dans le répertoire du keystore de la passerelle SGD Gateway.

    Le certificat SSL d'un serveur SGD qui s'exécute en mode sécurisé se trouve à l'emplacement /opt/tarantella/var/tsp/cert.pem sur l'hôte SGD.

    Le répertoire du keystore de la passerelle SGD Gateway est le suivant : /opt/SUNWsgdg/proxy/etc.

    Lorsque vous copiez le certificat SSL, il est recommandé de renommer le fichier de certificat pour faciliter l'identification du contenu du fichier et du serveur SGD auquel il est associé.

  4. Connectez-vous à l'hôte en tant que superutilisateur (utilisateur root) à l'hôte SGD Gateway.

  5. Importez les certificats dans le keystore de la passerelle SGD Gateway.

    # /opt/SUNWsgdg/bin/gateway server add --server sgd-server1 \
    --certfile /opt/SUNWsgdg/proxy/etc/PeerCAcert.pem --url https://sgd1.example.com \
    --ssl-certfile /opt/SUNWsgdg/proxy/etc/cert.pem
    

    L'option --server définit les noms utilisés lors du stockage des certificats dans le keystore. Dans cet exemple, le certificat AC est stocké sous l'alias sgd-server1 et le certificat SSL sous l'alias sgd-server1-ssl.

    https://sgd1.example.com est l'URL du serveur Web SGD.

  6. Redémarrez la passerelle SGD Gateway.

    Note

    Le redémarrage de la passerelle SGD Gateway déconnecte toutes les sessions utilisateur et les sessions d'application qui s'exécutent via la passerelle SGD Gateway.

    Sur l'hôte SGD Gateway, exécutez la commande suivante :

    # /opt/SUNWsgdg/bin/gateway restart

2.2.2.2. Procédure d'installation des certificats SGD Gateway dans le groupe SGD

Répétez la procédure suivante pour chaque passerelle SGD Gateway.

  1. Exportez le certificat SGD Gateway.

    1. Connectez-vous à l'hôte en tant que superutilisateur (utilisateur root) à l'hôte SGD Gateway.

    2. Exportez le certificat SGD Gateway du keystore de la passerelle SGD Gateway.

      Utilisez la commande gateway cert export comme suit :

      # /opt/SUNWsgdg/bin/gateway cert export --certfile gateway1.pem
      

      Le certificat est exporté dans le fichier gateway1.pem.

    3. Copiez le certificat dans le répertoire /opt/tarantella/var/tsp du serveur SGD principal du groupe.

      Lorsque vous exportez le certificat, il est recommandé de nommer le fichier de certificat de sorte à faciliter l'identification de la passerelle SGD Gateway dont il est issu.

    4. Modifiez les autorisations de fichier et la propriété du certificat de la passerelle.

      # chmod 600 /opt/tarantella/var/tsp/gateway1.pem
      # chown ttasys:ttaserv /opt/tarantella/var/tsp/gateway1.pem
      
  2. Enregistrez la passerelle SGD Gateway auprès du groupe SGD.

    1. Sur le serveur SGD principal, connectez-vous en tant que superutilisateur (utilisateur root).

    2. Importez le certificat SGD Gateway.

      # tarantella gateway add --name sgd-gateway1 \
      --certfile /opt/tarantella/var/tsp/gateway1.pem
      

      sgd-gateway1 correspondant au nom utilisé par SGD pour identifier la passerelle SGD Gateway et gateway1.pem le nom du fichier de certificat SGD Gateway.

      Pour enregistrer plusieurs passerelles SGD Gateway en même temps, utilisez l'option --file de la commande tarantella gateway add. Reportez-vous à la section Section B.27, « La commande tarantella gateway » pour plus d'informations.

      Les modifications apportées à la configuration à l'aide de la commande tarantella gateway add sont répliquées sur les autres serveurs SGD du groupe.

2.2.2.3. Procédure de configuration des connexions client SGD

  1. Configurez les connexions client SGD qui utilisent la passerelle SGD Gateway.

    Sur le serveur SGD principal, définissez l'attribut global --security-gateway pour spécifier les clients SGD qui peuvent utiliser la passerelle SGD Gateway, en fonction de leur adresse IP ou nom DNS.

    Pour indiquer que toutes les connexions client SGD doivent être acheminées via le port TCP 443 d'une passerelle SGD Gateway gateway1.example.com, utilisez la commande suivante :

    $ tarantella config edit --security-gateway \
    "*:sgdg:gateway1.example.com:443"
    

    Pour indiquer que toutes les connexions client SGD doivent être acheminées via le port TCP 443 d'un équilibreur de charge externe, lb.example.com, utilisez la commande suivante :

    $ tarantella config edit --security-gateway \
    "*:sgdg:lb.example.com:443"
    
    Note

    Les modifications apportées à l'attribut --security-gateway s'appliquent à tous les serveurs SGD du groupe. Les modifications s'appliquent uniquement aux nouvelles sessions utilisateur.

    Reportez-vous à la section Section B.31, « L'attribut --security-gateway » pour plus d'informations sur l'utilisation de l'attribut --security-gateway afin de définir plusieurs filtres de connexion client SGD.

2.2.3. Connexions entre le périphérique client et l'équilibreur de charge

La configuration des connexions entre le périphérique client et un équilibreur de charge suppose d'effectuer les tâches de configuration suivantes :

  1. Configurez l'équilibrage de charge de sorte qu'il accepte les connexions provenant des périphériques client.

    Pour plus d'informations sur la procédure à suivre, reportez-vous à la documentation de votre équilibreur de charge.

  2. (Facultatif) Installez le certificat SSL de la passerelle SGD Gateway sur l'équilibreur de charge.

    Pour plus d'informations sur la procédure à suivre, reportez-vous à la documentation de votre équilibreur de charge.

2.2.4. Connexions entre l'équilibreur de charge et la passerelle SGD Gateway

La configuration des connexions entre un équilibreur de charge et la passerelle SGD Gateway suppose d'effectuer les tâches de configuration suivantes :

  1. Configurez les ports et les connexions utilisés par la passerelle SGD Gateway.

    Reportez-vous à la section Section 2.2.1.1, « Procédure de configuration des ports et des connexions à la passerelle SGD Gateway ».

  2. (Facultatif) Sur la passerelle SGD Gateway, installez un certificat SSL pour les connexions client entrantes.

    Reportez-vous à la section Section 2.2.1.2, « Procédure d'installation d'un certificat SSL pour les connexions client dans le keystore du client ».