2.1. Serveur SGD : configuration requise et compatibilité

Cette section décrit les plates-formes prises en charge et la configuration requise pour installer des serveurs SGD.

2.1.1. Configuration matérielle requise pour SGD

Les indications de configuration matérielle suivantes sont fournies à titre indicatif et non restrictif. Pour obtenir une aide supplémentaire au sujet de la configuration matérielle requise, contactez un bureau des ventes Oracle.

Le calcul de la configuration requise pour un serveur hébergeant SGD doit prendre en compte l'intégralité des points suivants :

  • Configuration nécessaire pour installer et exécuter SGD

  • Configuration nécessaire pour chaque utilisateur qui se connecte à SGD sur l'hôte et exécute des applications

La configuration suivante est requise pour l'installation et l'exécution de SGD :

  • 2 Go d'espace disque libre

  • 2 Go de RAM

  • Processeur 1 GHz

  • Carte d'interface réseau

Ces éléments viennent s'ajouter à la configuration nécessaire pour le système d'exploitation lui-même et supposent que l'utilisation du serveur est dédiée à SGD.

La configuration suivante est requise pour prendre en charge les utilisateurs qui se connectent à SGD et exécutent des applications :

  • 50 Mo minimum pour chaque utilisateur

  • 50 MHz pour chaque utilisateur

Attention

La configuration réelle requise pour la CPU et la mémoire varient considérablement selon les applications utilisées.

2.1.2. Plates-formes d'installation prises en charge par SGD

Le tableau suivant répertorie les plates-formes d'installation prises en charge par SGD.

Système d'exploitation

Versions prises en charge

Oracle Solaris sur plates-formes SPARC

Solaris 10 8/11 (mise à jour 10)

Solaris 11

Solaris 10 8/11 (mise à jour 10) Trusted Extensions

Solaris 11 Trusted Extensions

Oracle Solaris sur plates-formes x86

Solaris 10 8/11 (mise à jour 10)

Solaris 11

Solaris 10 8/11 (mise à jour 10) Trusted Extensions

Solaris 11 Trusted Extensions

Oracle Linux (32 bits et 64 bits)

5.7

5.8

6.2

6.3

Les produits Oracle certifiés sur Oracle Linux sont également certifiés et pris en charge sur Red Hat Enterprise Linux en raison de la compatibilité implicite entre les deux distributions. Oracle n'exécute pas de test supplémentaire sur les produits Red Hat Enterprise Linux.

2.1.2.1. Modifications du système d'exploitation

Vous pouvez être amené à apporter des modifications aux systèmes d'exploitation. Sans ces modifications, il est possible que SGD ne s'installe pas correctement ou ne fonctionne pas correctement.

2.1.2.1.1. Oracle Solaris

Pour les plates-formes Oracle Solaris, voici les modifications qu'il peut être nécessaire d'apporter aux systèmes d'exploitation :

  • Vous devez installer au minimum la distribution Oracle Solaris utilisateur final afin d'obtenir les bibliothèques nécessaires à SGD. Sans cela, SGD ne peut pas être installé.

  • La fonction TCP Fusion d'Oracle Solaris risque de poser des problèmes avec certaines connexions de socket locales utilisées par SGD. Désactivez la fonction TCP Fusion avant d'installer SGD, comme suit :

    1. Ajoutez la ligne suivante à la fin du fichier /etc/system.

      set ip:do_tcp_fusion = 0x0
    2. Redémarrez le serveur.

  • Sur les plates-formes Oracle Solaris 11, SGD affecte des privilèges d'administration à la première entrée du fichier /etc/user_attr qui possède l'attribut roles=root. Assurez-vous de connaître les données d'identification de cet utilisateur Oracle Solaris.

    Après l'installation, l'administrateur SGD peut être configuré à l'aide de la commande suivante :

    # tarantella object edit --name "o=Tarantella System Objects/cn=Administrator" \
     --user user-name --surname family-name
2.1.2.1.2. Oracle Linux

Pour les plates-formes Oracle Linux, voici les modifications qu'il peut falloir apporter aux systèmes d'exploitation :

  • Le fichier /etc/hosts pour Oracle Linux contient une seule entrée, qui fait correspondre à tort le nom d'hôte de l'hôte SGD à l'adresse loopback locale, 127.0.0.1.

    Modifiez le fichier /etc/hosts de sorte à retirer ce mappage et ajoutez une entrée qui mappe le nom de l'hôte SGD à l'adresse IP réseau de l'hôte SGD. Le nom d'hôte de SGD ne doit pas être mappé à l'adresse IP de loopback locale.

  • Lors de l'installation sur les plates-formes Oracle Linux 6, choisissez le groupe de paquetages Desktop ou Software Development Workstation. Cela permet de s'assurer que les paquetages requis pour le bureau Web SGD par défaut sont installés. Les paquetages requis incluent des outils d'administration graphiques et des clients X tels que xterm et gnome-terminal.

    Vous pouvez également choisir un autre groupe de paquetages lors de l'installation et sélectionnez l'option Personnaliser maintenant pour ajouter les paquetages requis dans la catégorie Environnements de bureau.

2.1.2.1.3. Applications 5250 et 3270

Les modifications suivantes sont nécessaires à la prise en charge des applications 5250 et 3270 :

  • Plates-formes Linux. La bibliothèque libXm.so.3 est requise. Cette bibliothèque est disponible dans le paquetage OpenMotif 2.2.

  • Plates-formes Solaris 11. Installez le paquetage motif comme suit :

    # pkg install motif

2.1.2.2. Prise en charge de la virtualisation

Les plates-formes d'installation de SGD sont prises en charge sur un hyperviseur Type 1 (sans système d'exploitation) ou un hyperviseur Type 2 (hébergé), par exemple Oracle VM VirtualBox, VMWare ou Oracle VM Server pour SPARC (anciennement connu sous le nom Sun Logical Domains ou LDoms).

L'installation dans les zones est prise en charge pour les plates-formes Oracle Solaris. SGD peut être installé dans la zone globale ou dans une ou plusieurs zones non globales. L'installation aussi bien dans la zone globale que dans une zone non globale n'est pas prise en charge.

Sur les plates-formes Oracle Solaris Trusted Extensions, vous devez installer SGD dans une zone étiquetée. N'installez pas SGD dans la zone globale.

2.1.2.3. Déclassements des plates-formes d'installation SGD prises en charge

Le tableau suivant répertorie les plates-formes d'installation SGD qui ont été déclassées.

Version de SGD

Plates-formes qui ne sont plus prises en charge

4.70

Red Hat Enterprise Linux 5.5 et 5.6

Oracle Enterprise Linux 5.5 et 5.6

D'Oracle Solaris 10 jusqu'à Solaris 10 9/10 (mise à jour 9) compris

4.60

OpenSolaris (toutes versions)

Red Hat Enterprise Linux version 5.0 à 5.4

De l'O/S Solaris 10 jusqu'à Solaris 10 5/09 (mise à jour 7) compris

SUSE Linux Enterprise Server 10

2.1.3. Chemins de mise à niveau pris en charge

Les mises à niveau vers la version 4.70 de SGD sont uniquement prises en charge à partir des versions suivantes :

  • Oracle Secure Global Desktop Software version 4.62.913

  • Oracle Secure Global Desktop Software version 4.61.915

  • Oracle Secure Global Desktop Software version 4.60.911

Si vous souhaitez effectuer une mise à niveau à partir d'une autre version de SGD, contactez le support Oracle.

2.1.4. Version de la technologie Java

Le tableau suivant indique les versions JDK fournies avec SGD.

Version de SGD

Version de JDK

4.70

1.6.0_33

4.62

1.6.0_29

4.61

1.6.0_24

4.60

1.6.0_21

2.1.5. Utilisateurs et privilèges requis

Pour installer SGD, vous devez disposer des privilèges superutilisateur (root).

Le système doit compter des utilisateurs ttaserv et ttasys et un groupe ttaserv avant que SGD puisse être installé.

L'utilisateur ttasys possède tous les fichiers et les processus utilisés par le serveur SGD. L'utilisateur ttaserv possède tous les fichiers et les processus utilisés par le serveur Web SGD.

L'exécution du serveur SGD ne nécessite pas de privilèges superutilisateur (root). Le serveur SGD démarre avec le compte utilisateur root avant de passer au compte utilisateur ttasys.

Si vous tentez d'installer le logiciel alors que les utilisateurs et le groupe requis ne sont pas mis en place, le programme d'installation s'interrompt. Aucune modification n'est apportée au système et un message indique la procédure à suivre. Le message indique les informations détaillées d'un script d'installation que vous pouvez exécuter pour créer les utilisateurs et le groupe requis.

Si vous devez créer manuellement les utilisateurs et le groupe requis, voici les conditions nécessaires :

  • Les noms d'utilisateur doivent être ttaserv et ttasys.

  • Le nom de groupe doit être ttaserv.

  • Vous pouvez utiliser n'importe quel numéro d'identification utilisateur (UID) ou ID de groupe (GID). Les numéros UID et GID peuvent être différents.

  • Le groupe ttaserv doit constituer le groupe principal des deux utilisateurs.

  • Les deux utilisateurs doivent posséder un shell valide, par exemple /bin/sh.

  • Les deux utilisateurs doivent posséder un répertoire personnel inscriptible.

  • Pour des raisons de sécurité, verrouillez ces comptes, par exemple à l'aide de la commande passwd -l.

Créez ces utilisateurs à l'aide des commandes useradd et groupadd. Par exemple :

# groupadd ttaserv
# useradd -g ttaserv -s /bin/sh -d /home/ttasys -m ttasys
# useradd -g ttaserv -s /bin/sh -d /home/ttaserv -m ttaserv
# passwd -l ttasys
# passwd -l ttaserv

Pour vérifier si les comptes utilisateur ttasys et ttaserv sont correctement configurés sur votre système, exécutez les commandes suivantes.

# su ttasys -c "/usr/bin/id -a"
# su ttaserv -c "/usr/bin/id -a"

Si le système est configuré correctement, la sortie de la commande doit être proche des exemples suivants :

uid=1002(ttaserv) gid=1000(ttaserv) groups=1000(ttaserv)
uid=1003(ttasys) gid=1000(ttaserv) groups=1000(ttaserv)

2.1.6. Configuration réseau requise

Vous devez configurer votre réseau en vue d'une utilisation avec SGD. Voici les principaux éléments de la configuration requise :

  • Les hôtes doivent disposer d'entrées DNS (Domain Name System) pouvant être résolues par chacun des clients.

  • Les recherches DNS et les recherches inverses d'un hôte ne doivent jamais échouer.

  • Tous les périphériques client doivent utiliser DNS.

  • Lors de l'installation de SGD, une invite vous demande le nom DNS à utiliser pour le serveur SGD. Le nom DNS doit répondre aux exigences suivantes :

    • Dans un réseau comprenant un pare-feu, utilisez le nom DNS sous lequel l'hôte SGD est connu à l'intérieur du pare-feu.

    • Veillez à toujours utiliser des noms DNS complets pour l'hôte SGD. Par exemple, boston.example.com.

Le manuel Oracle Secure Global Desktop Administration Guide for Release 4.7 possède des informations détaillées sur les ports utilisés par SGD et sur le fonctionnement de SGD avec des pare-feu. La liste ci-dessous répertorie les ports les plus couramment utilisés.

Les périphériques client doivent pouvoir établir des connexions TCP/IP (Transmission Control Protocol/Internet Protocol) avec SGD sur les ports TCP suivants :

  • 80 - Pour les connexions HTTP entre des périphériques client et le serveur Web SGD. Le numéro de port peut varier selon le choix effectué lors de l'installation.

  • 443 - Pour les connexions HTTPS (HTTP over Secure Sockets Layer) entre des périphériques client et le serveur Web SGD.

  • 3144 - Pour les connexions standard (non chiffrées) entre le client SGD et le serveur SGD.

  • 5307 - Pour les connexions sécurisées entre le client SGD et le serveur SGD. Les connexions sécurisées utilisent le chiffrement SSL (Secure Sockets Layer).

Note

Pour une installation par défaut en mode sécurisé dans laquelle vous activez les services de sécurité SGD et utilisez le protocole HTTPS, seuls les ports 443 et 5307 doivent être ouverts dans le pare-feu.

Pour une installation en mode standard dans laquelle les connexions ne sont pas sécurisées, les ports 80, 3144 et 5307 doivent être ouverts dans le pare-feu. En effet, le client SGD établit initialement une connexion sécurisée sur le port 5307. Une fois la connexion établie, celle-ci redevient une connexion standard sur le port 3144.

Pour exécuter des applications, SGD doit pouvoir établir des connexions TCP/IP avec les serveurs d'applications. Le type d'application à exécuter détermine quel port TCP ouvrir, par exemple :

  • 22 – Pour les applications X et à traitement de caractère qui utilisent le protocole SSH (Secure Shell)

  • 23 – Pour les applications Windows, X et à traitement de caractère qui utilisent Telnet

  • 3389 – Pour les applications Windows qui utilisent Windows Services Remote Desktop

  • 6010 et au-delà – Pour les applications X

2.1.7. Synchronisation d'horloge

Dans SGD, un groupe se définit comme un ensemble de serveurs SGD qui partagent des informations de configuration. Etant donné que les serveurs SGD d'un groupe partagent les informations relatives aux sessions utilisateur et aux sessions d'application, il est important de synchroniser les horloges des hôtes SGD. Pour vérifier que les horloges de tous les hôtes SGD sont synchronisées, utilisez le logiciel Network Time Protocol (NTP) ou la commande rdate.

2.1.8. Serveur Web SGD

Le serveur Web SGD est composé d'un serveur Web Apache et d'un conteneur de technologie JavaServer Pages (JSP) Tomcat préconfiguré pour être utilisé avec SGD.

Le serveur Web SGD est composé de plusieurs éléments. Le tableau suivant répertorie les versions des composants du serveur Web correspondant aux éditions récentes de SGD.

Nom du composant

Version de SGD  4.70

Version de SGD  4.62

Version de SGD  4.61

Version de SGD  4.60

Serveur HTTP Apache

2.2.22

2.2.21

2.2.17

2.2.16

OpenSSL

1.0.0.j

1.0.0.e

1.0.0.d

1.0.0a

mod_jk

1.2.37

1.2.32

1.2.31

1.2.27

Apache Jakarta Tomcat

7.0.29

6.0.33

6.0.32

6.0.29

Apache Axis

1.4

1.4

1.4

1.4

Le serveur Web Apache comprend tous les modules Apache standard sous forme d'objets partagés.

La taille minimale du segment de mémoire logicielle de JVM (Java Virtual Machine) du conteneur de technologie JSP Tomcat est de 256 méga-octets.

2.1.9. Mécanismes d'authentification pris en charge

Les mécanismes suivants sont pris en charge pour l'authentification d'utilisateurs dans SGD :

  • LDAP (Lightweight Directory Access Protocol) version 3

  • Microsoft Active Directory

  • NIS (Network Information Service)

  • RSA SecurID

  • Authentification du serveur Web (authentification de base HTTP/HTTPS), y compris les certificats client PKI (Public Key Infrastructure)

2.1.9.1. Versions prises en charge d'Active Directory

L'authentification Active Directory et l'authentification LDAP sont prises en charge dans les versions suivantes d'Active Directory :

  • Windows Server 2003

  • Windows Server 2003 R2

  • Windows Server 2008

  • Windows Server 2008 R2

2.1.9.2. Annuaires LDAP pris en charge

SGD prend en charge la version 3 du protocole LDAP standard. Vous pouvez utiliser l'authentification LDAP avec n'importe quel serveur d'annuaire compatible avec LDAP version 3. Toutefois, SGD prend uniquement en charge les serveurs d'annuaire suivants :

Il est possible que d'autres serveurs d'annuaire fonctionnent sans être officiellement pris en charge.

Novell eDirectory ne fait plus partie des serveurs d'annuaire LDAP pris en charge.

2.1.9.3. Versions prises en charge de SecurID

SGD fonctionne avec les versions 4, 5, 6 et 7 de RSA Authentication Manager (anciennement connu sous le nom ACE/Server).

SGD prend en charge les codes PIN générés par le système et les codes PIN créés par l'utilisateur.

2.1.10. Prise en charge du chiffrement SSL

SGD prend en charge TLS version 1.0 et SSL version 3.0.

SGD prend en charge les certificats X.509 codés en base 64 PEM (Privacy Enhanced Mail). Ces certificats possèdent la structure suivante :

-----BEGIN CERTIFICATE-----

...certificate...

-----END CERTIFICATE-----

SGD prend en charge l'extension Autre nom de l'objet (subjectAltName) pour les certificats SSL. SGD prend également en charge l'utilisation du caractère générique * dans la première partie du nom de domaine, par exemple *.example.com.

SGD inclut la prise en charge de plusieurs autorités de certification (AC). Le fichier /opt/tarantella/etc/data/cacerts.txt contient les noms distinctifs (DN) X.500 et les signatures MD5 de tous les certificats AC pris en charge par SGD. Un paramétrage supplémentaire est requis pour assurer la prise en charge des certificats SSL signés par une autorité de certification non prise en charge. Les AC intermédiaires sont prises en charge, mais des étapes de configuration supplémentaires peuvent être nécessaires si l'un des certificats de la chaîne est signé par une AC non prise en charge.

SGD prend en charge l'utilisation des accélérateurs SSL matériels externes à l'aide de paramétrages appropriés.

SGD prend en charge les suites de chiffrement suivantes :

  • RSA_WITH_AES_256_CBC_SHA

  • RSA_WITH_AES_128_CBC_SHA

  • RSA_WITH_3DES_EDE_CBC_SHA

  • RSA_WITH_RC4_128_SHA

  • RSA_WITH_RC4_128_MD5

  • RSA_WITH_DES_CBC_SHA

2.1.11. Prise en charge de l'impression

SGD prend en charge deux types d'impression : l'impression PDF et l'impression Printer-Direct.

Pour l'impression PDF, SGD utilise Ghostscript pour convertir les travaux d'impression en fichiers PDF (Portable Document Format). Votre distribution Ghostscript doit inclure le programme ps2pdf. Pour de meilleurs résultats, installez la dernière version de Ghostscript sur l'hôte SGD.

SGD prend en charge l'impression Printer-Direct sur les imprimantes PostScript, PCL (Printer Command Language) et texte seul connectées au périphérique client de l'utilisateur. Le script SGD tta_print_converter effectue toutes les conversions nécessaires en vue de formater les travaux d'impression correctement pour l'imprimante client. Le script tta_print_converter utilise Ghostscript pour convertir du format Postscript à PCL. Pour prendre en charge cette conversion, Ghostscript doit être installé sur le serveur SGD. Pour de meilleurs résultats, téléchargez et installez des polices supplémentaires.

Ghostscript n'est pas inclus dans le logiciel SGD.