Un client (Sun Ray ou Oracle Virtual Desktop) qui prend en charge l'authentification client dispose d'une paire de clés publique-privée pour l'authentification client. La paire de clés d'un client est générée lorsque celui-ci s'initialise avec les microprogrammes appropriés.
Les anciennes versions de microprogrammes ou les microprogrammes préinstallés dans les clients Sun Ray par défaut ne génèrent pas de clés et ne prennent pas en charge l'authentification client. Pour vous aider à identifier les microprogrammes préinstallés, notez que les versions de ces microprogrammes commencent par MfgPkg
. Vous devez mettre à jour le microprogramme sur les clients Sun Ray pour que les clés soient générées.
Lorsqu'un client se connecte à un serveur et que l'authentification client est activée, le client envoie sa clé publique et un identificateur de client au serveur. L'identificateur d'un client Sun Ray est son adresse MAC. Initialement, le serveur peut uniquement vérifier que le client est le propriétaire de la clé soumise, mais ne peut pas vérifier que le client utilise légitimement l'ID client soumis.
Le serveur Sun Ray stocke une liste des clients connus avec leur clé publique dans le magasin de données Sun Ray. Une clé stockée peut être marquée comme étant validée pour indiquer que l'authenticité de la clé pour le client donné a été validée par intervention manuelle. Si aucune clé n'a été marquée comme validée pour un client, la fonction d'authentification client ne peut qu'assurer qu'un identificateur de client n'est pas utilisé par plusieurs clients ayant des clés différentes. L'authentification client authentifie l'identité réelle du client uniquement lorsque la clé a été vérifiée et marquée comme validée.
Les clés des clients Oracle Virtual Desktop Client ne sont pas stockées dans le magasin de données et ne sont pas affichées par la commande utkeyadm ou l'interface graphique d'administration. Au lieu de cela, tout client Oracle Virtual Desktop Client utilise son empreinte de clé comme identificateur de client afin que l'authenticité de la clé pour l'ID donné soit établit automatiquement. Pour en savoir plus, reportez-vous à la Section 11.3.1, « Empreinte de clé ».
Par défaut, un client comportant une clé non validée obtient une session, excepté si son identificateur a été utilisé avec une clé différente. Plusieurs clés soumises à un client peuvent indiquer une attaque sur les sessions de ce client. Par conséquent, l'accès à la session est refusé pour ce client. L'utilisateur doit explicitement valider une des clés comme authentique de manière à réactiver l'accès pour le client.
Vous pouvez sélectionner une stratégie plus stricte qui requiert des identités client authentifiées et refuse l'accès à toute unité de bureau dont la clé n'est pas vérifiée et validée à l'aide de la commande utpolicy ou de l'interface graphique d'administration. Si vous choisissez d'utiliser cette stratégie, vous devez explicitement marquer la clé pour chaque nouveau client comme validée avant que le client puisse l'utiliser. Pour utiliser pleinement cette stratégie, vous devez également définir l'authentification client en mode de sécurité complète dans la configuration de la sécurité.
Vous pouvez exécuter la commande utkeyadm pour gérer les identités des clients et leurs clés associées. Toutes les clés utilisées pour un client sont répertoriées par les outils de gestion des clés.
La commande utkeyadm vous permet d'effectuer les actions suivantes :
répertorier les clés associées aux clients connus et leurs états ;
valider une clé client après avoir vérifié son authenticité. Si plusieurs clés non validées sont stockées pour un client, toutes les autres clés sont supprimées lorsque l'une d'entre elles est validée comme authentique.
supprimer les entrées de clés non valides ou obsolètes ;
exporter des données de clés pour toutes les identités client, ou pour celles sélectionnées, afin d'en obtenir une sauvegarde et de les transférer vers d'autres instances du serveur Sun Ray ;
importer des données de clés exportées sur cette instance du serveur Sun Ray ou sur une autre.
Vous pouvez aussi consulter, valider ou supprimer des clés associées à un client via la page Propriétés du bureau de ce client dans l'interface graphique d'administration.
Une empreinte de clé est le nom d'une clé visible par l'utilisateur. Elle est générée par hachage MD5 des données de la clé publique.
Vous pouvez visualiser l'empreinte de clé d'un client dans le panneau de la clé. Pour afficher le panneau de la clé, appuyez sur Arrêt-K sur un clavier Oracle ou sur Ctrl + Pause + K sur un clavier non Oracle . Pour vérifier l'authenticité d'une clé de client, vous pouvez comparer l'empreinte de clé affichée dans le panneau de cette clé avec celle affichée par la commande utkeyadm pour le même client.
Les clés des clients Sun Ray sont initialement considérées comme non validées et leur authenticité par rapport à un client donné doit être validée par une intervention manuelle. Les clés Oracle Virtual Desktop Client sont toujours considérées comme automatiquement validées, car l'ID par lequel un client Desktop Access Client est identifié est dérivé de manière unique de cette clé.
La procédure suivante définit la stratégie selon laquelle une clé validée est requise pour que l'accès à un client soit accordé. Pour activer une stratégie plus stricte, vous devez également configurer la stratégie de sécurité afin qu'elle exige l'authentification des clients à partir de tous les clients, comme décrit à la Section 11.2.5, « Forçage de l'authentification client à partir de tous les clients ».
Affichez les stratégies actives :
# utpolicy Current Policy: -a -g -z both -k pseudo -u pseudo
Définissez la stratégie d'authentification du client avec l'option -c
:
# utpolicy -a -g -z both -k pseudo -u pseudo -c
Redémarrez les services Sun Ray:
# utstart
Sur la page de l'onglet Avancé > Stratégie du système
, sélectionnez l'option Confirmation de clé client requise sous la section Authentification de .
Redémarrez tous les serveurs du groupe de serveurs.
Cette procédure est requise si un client reçoit une icône Keyerror (49) ou Session Refused (50) à cause d'un conflit ou d'une non validation de clés. Une fois la clé validée, vous devez déconnecter le client en redémarrant ou en insérant et en retirant une carte à puce pour accéder à une session après la modification.
Affichez les clés (empreintes de clés) non validées pour tous les clients ou pour certains d'entre eux.
Afin de déterminer si une clé de client non validée appartient à ce dernier, affichez l'empreinte de la clé pour ce client en appuyant sur Stop-K.
# utkeyadm -a -c IEEE802.000000ee0d6b 1 key confirmed . # utkeyadm -a -c IEEE802.00000f85f52f -k 1c:d4:b9:31:9d:f0:00:ba:db:ad:65:6c:8e:80:4d:b3 1 key confirmed .
Rendez-vous sur la page Propriétés de l'unité de bureau pour un client particulier.
Dans le tableau des clés du client, sélectionnez une clé et cliquez sur Valider.
Si vous êtes certain que tous les clients nécessitant une validation de clé ont été connectés au groupe de serveurs (leurs clés authentiques sont stockées sur le serveur) et si vous êtes certain qu'aucun client non souhaité ne possède des clés stockées sur le serveur, vous pouvez également valider en une seule fois toutes les clés non validées. Si des clés entrent en conflit pour un client spécifique, ce dernier est ignoré.
Affichez toutes les clés de client.
# utkeyadm -l -H
Exemple :
# utkeyadm -l -H CID TYPE KEY-FINGERPRINT STATUS IEEE802.00000adc1a7a DSA* 4f:98:25:60:3b:fe:00:ba:db:ad:56:32:c3:e2:8b:3e confirmed IEEE802.00000f85f52f DSA* 1c:d4:b9:31:9d:f0:00:ba:db:ad:65:6c:8e:80:4d:b3 unconfirmed IEEE802.00000f85f52f DSA* 4f:98:25:60:3b:fe:00:ba:db:ad:56:32:c3:e2:8b:3e unconfirmed IEEE802.00000fe4d445 DSA* 13:d0:d4:47:aa:7f:00:ba:db:ad:26:3a:17:25:11:24 unconfirmed IEEE802.000000ee0d6b DSA* d0:d7:d0:57:12:18:00:ba:db:ad:b7:0f:5a:c0:8b:13 unconfirmed
Validez toutes les clés de client non validées.
# utkeyadm -a -U Skipping cid=IEEE802.00000f85f52f: Multiple (2) keys found. 2 keys confirmed.
En utilisant l'exemple précédent, les clés de client non validées pour IEEE802.00000fe4d445
et IEEE802.000000ee0d6b
sont validées.
Pour afficher l'empreinte de clé d'un client, appuyez sur la combinaison de touches Stop + K sur un clavier Oracle ou sur Ctrl + Pause + K sur un clavier non-Oracle.
Si le panneau des clés ne s'affiche pas, il est possible qu'un ancien microprogramme ne prenant pas en charge l'authentification soit installé dans le client.
Si le message Aucune clé disponible
s'affiche, le client a toujours le microprogramme MfgPkg
préinstallé ou un bug est présent.
Cette procédure montre comment afficher les clés des clients dans le magasin de données. Pour connaître d'autres manières d'afficher les clés des clients, reportez-vous à la page de manuel utkeyadm
.
Utilisez la commande utkeyadm.
# utkeyadm -l -H
Exemple :
# utkeyadm -l -H CID TYPE KEY-FINGERPRINT STATUS IEEE802.00000adc1a7a DSA* 4f:98:25:60:3b:fe:00:ba:db:ad:56:32:c3:e2:8b:3e confirmed IEEE802.00000f85f52f DSA* 1c:d4:b9:31:9d:f0:00:ba:db:ad:65:6c:8e:80:4d:b3 unconfirmed IEEE802.00000f85f52f DSA* 4f:98:25:60:3b:fe:00:ba:db:ad:56:32:c3:e2:8b:3e unconfirmed IEEE802.00000fe4d445 DSA* 13:d0:d4:47:aa:7f:00:ba:db:ad:26:3a:17:25:11:24 unconfirmed IEEE802.000000ee0d6b DSA* d0:d7:d0:57:12:18:00:ba:db:ad:b7:0f:5a:c0:8b:13 unconfirmed
Pour plusieurs clients, cliquez sur l'onglet Unités de bureau.
La colonne Client Key Status (Etat de la clé client) indique si la clé du client est validée ou non, si le client possède plusieurs clés non validées, ce qui entraîne un conflit, ou s'il possède une clé ou non. Les valeurs d'état de la clé client possibles sont None (Aucune), Unconfirmed (Non validée), Confirmed (Validée), Conflict (Conflit), Automatic (Automatique) ou Invalid (Non valide).
Cette procédure montre comment afficher les clés des clients dans le magasin de données. Pour connaître d'autres manières d'afficher les clés des clients, reportez-vous à la page de manuel utkeyadm
.
Utilisez la commande utkeyadm.
# utkeyadm [-l|-L] -c cid
-H
où
correspond à l'ID du client et cid
-L
affiche des informations d'audit supplémentaires.
L'exemple suivant affiche toutes les clés du client IEEE802.0003ba0d93af, ainsi que d'autres informations d'audit.
# utkeyadm -L -c IEEE802.0003ba0d93af -H CID TYPE KEY-FINGERPRINT STATUS CREATED CONFIRMED CONFIRMED BY IEEE802.0003ba0d93af DSA* 4f:98:25:60:3b:fe:d6:f8:fb:38:56:32:c3:e2:8b:3e unconfirmed 2009-06-01 05:08:50 UTC -
Pour un seul client, rendez-vous sur la page de ses propriétés.
Le tableau des clés du client indique les clés connues et leurs états pour ce client.
Pour supprimer une clé de client spécifique, utilisez la commande suivante :
# utkeyadm -d -ccid
-kkey-id
où
correspond à l'ID du client à qui appartient la clé et cid
est l'empreinte de la clé.
key-id
Exemple :
# utkeyadm -d -c IEEE802.00000f85f52f -k 1c:d4:b9:31:9d:f0:00:ba:db:ad:65:6c:8e:80:4d:b3 1 key deleted .