2.5. Ports et protocoles du pare-feu

2.5.1. Pare-feu placés entre les clients et Oracle VDI
2.5.2. Pare-feu placés entre Oracle VDI et les répertoires utilisateur
2.5.3. Pare-feu placés entre les fournisseurs de bureau et les centres Oracle VDI
2.5.4. Pare-feu placés entre les hôtes et un centre Oracle VDI

Les pare-feu éventuellement utilisés pour protéger les différentes parties d'un réseau doivent être configurés de manière à autoriser les connexions requises par Oracle VDI.

2.5.1. Pare-feu placés entre les clients et Oracle VDI

Les clients doivent pouvoir se connecter à n'importe quel hôte d'un centre Oracle VDI.

Le tableau suivant répertorie les ports que vous devez ouvrir pour autoriser ces connexions.

Tableau 2.2. Pare-feu placés entre les clients et les hôtes Oracle VDI

Source

Destination

Port

Protocole

Objectif

Client

Serveur Web Oracle VDI

1800

TCP

Connexions HTTP à Oracle VDI Manager.

Ces connexions sont redirigées vers le port 1801.

Client

Serveur Web Oracle VDI

1801

TCP

Connexions HTTPS à Oracle VDI Manager.

Client

Serveur Web Oracle VDI

1802

TCP

Connexions HTTPS à l'API des services Web des clients VDI.

Client

Hôte Oracle VDI

3389

TCP

Connexions RDP au courtier RDP Oracle VDI.

Clients Sun Ray Client

Hôte Oracle VDI

Divers

Divers

Reportez-vous au chapitre Ports et protocoles du Guide d'administration Sun Ray Software pour plus d'informations.


2.5.2. Pare-feu placés entre Oracle VDI et les répertoires utilisateur

Tous les hôtes d'un centre Oracle VDI doivent pouvoir se connecter à n'importe quel répertoire utilisateur configuré.

Le tableau suivant répertorie les ports que vous devez ouvrir pour autoriser ces connexions.

Tableau 2.3. Ports des pare-feu placés entre les hôtes Oracle VDI et les répertoires utilisateur

Source

Destination

Port

Protocole

Objectif

Hôte Oracle VDI

Serveur Windows

53

UDP

Recherches DNS dans Active Directory.

Hôte Oracle VDI

Serveur Windows

88

TCP ou UDP

Authentification des utilisateurs dans Active Directory.

Hôte Oracle VDI

Annuaire LDAP

389

TCP

Authentification des utilisateurs dans un annuaire LDAP.

Hôte Oracle VDI

Serveur Windows

464

TCP ou UDP

Permet aux utilisateurs de modifier leur mot de passe lorsqu'il est arrivé à expiration.

Hôte Oracle VDI

Serveur d'annuaire LDAP

636

TCP

Authentification des utilisateurs via une connexion sécurisée à un annuaire LDAP.

Hôte Oracle VDI

Serveur Windows

3268

TCP

Authentification des utilisateurs dans Active Directory.


Ports requis pour les annuaires de type Active Directory

Chaque hôte Oracle VDI doit pouvoir se connecter à Active Directory sur les ports suivants :

  • Port 53 pour les recherches DNS dans Active Directory

  • Ports 88 et 464 pour l'authentification Kerberos auprès d'un Centre de distribution de clés (KDC)

  • Port 389 pour la connexion LDAP sécurisée à un contrôleur de domaine

  • Port 3268 pour la connexion LDAP sécurisée à un serveur de catalogue global

Oracle VDI effectue plusieurs recherches DNS pour détecter les informations LDAP. Pour que ces recherches fonctionnent, il est essentiel que votre DNS soit correctement configuré et autorise l'envoi des informations requises depuis Active Directory.

Les ports 88 et 464 sont les ports utilisés en standard pour l'authentification Kerberos auprès d'un Centre de distribution de clés (KDC). Ces ports peuvent être configurés. Selon la taille des paquets et votre configuration Kerberos, les connexions à ces ports peuvent utiliser le protocole TCP ou UDP. Le port 464 est uniquement requis pour les opérations de modification de mot de passe.

Ports requis pour les annuaires de type LDAP

Les ports standard utilisés pour les connexions aux annuaires LDAP sont le port 389 pour les connexions standard (authentification simple) et le port 636 pour les connexions sécurisées (authentification sécurisée). Ces ports peuvent être configurés.

2.5.3. Pare-feu placés entre les fournisseurs de bureau et les centres Oracle VDI

Pour pouvoir exécuter des bureaux, tous les hôtes du centre Oracle VDI doivent pouvoir se connecter à n'importe quel hôte de fournisseur de bureau configuré et à ses hôtes de stockage associés.

Le tableau suivant répertorie les ports que vous devez ouvrir pour autoriser ces connexions.

Tableau 2.4. Ports des pare-feu placés entre les hôtes Oracle VDI et les hôtes de fournisseur de bureau

Source

Destination

Port

Protocole

Objectif

Hôte Oracle VDI

Hôte de stockage

22

TCP

Gestion du stockage via SSH.

Uniquement requis pour les fournisseurs de bureau Oracle VM VirtualBox et Hyper-V.

Hôte Oracle VDI

Hôte VirtualBox

22

TCP

Utilisé pour exécuter certaines commandes Oracle VM VirtualBox via SSH.

Uniquement requis pour les fournisseurs de bureau Oracle VM VirtualBox.

Hôte VirtualBox

Serveur de gestion App-V

332

TCP

Utilisé pour des connexions RTSPS (Real Time Streaming Protocol) sécurisées pour exécuter des applications App-V.

Uniquement requis pour les fournisseurs de bureau Oracle VM VirtualBox lorsque les référentiels App-V sont utilisés.

Hôte Oracle VDI

Hôte de virtualisation

443

TCP

Connexions HTTPS aux services Web destinés à l'approvisionnement et la gestion des bureaux virtuels, ou connexions HTTPS pour la Gestion à distance de Windows (WinRM).

Uniquement requis pour les fournisseurs de bureau Oracle VM VirtualBox, Microsoft Hyper-V, VMware vCenter et Microsoft Remote Desktop.

Hôte VirtualBox

Serveur de gestion App-V

554

TCP

Utilisé pour des connexions RTSP (Real Time Streaming Protocol) pour exécuter des applications App-V.

Uniquement requis pour les fournisseurs de bureau Oracle VM VirtualBox lorsque les référentiels App-V sont utilisés.

Hôte VirtualBox ou Microsoft Hyper-V

Hôte de stockage

3260

TCP

Connexions iSCSI servant à connecter des machines virtuelles à leurs disques virtuels.

Uniquement requis pour les fournisseurs de bureau Oracle VM VirtualBox et Hyper-V.

Hôte Oracle VDI

Hôte de virtualisation

3389

TCP

Connexions Microsoft RDP aux bureaux virtuels.

Hôte VirtualBox

Hôte VirtualBox

7777

TCP

Requis pour OCFS2 (Oracle Cluster File System version 2) pour les hôtes VirtualBox sur les plates-formes Oracle Linux et les hôtes utilisent un iSCSI ou un stockage Sun ZFS.

Hôte Oracle VDI

Hôte VirtualBox

18083

TCP

Connexions HTTPS aux services Web pour l'approvisionnement et la gestion de bureaux virtuels.

Requis uniquement pour les fournisseurs de bureau Oracle VM VirtualBox lorsqu'un utilisateur non root est sélectionné pour exécuter VirtualBox.

Hôte Oracle VDI

Hôte VirtualBox

49152 à 65534

TCP

Connexions RDP (VRDP) VirtualBox aux bureaux virtuels.

Uniquement requis pour les fournisseurs de bureau Oracle VM VirtualBox lorsque VRDP est sélectionné en tant que protocole de bureau.

Hôte VirtualBox

Serveur de gestion App-V

49152 à 65535

TCP

Utilisé pour les connexions RTP (Real Time Transport Protocol) et RTCP (Real Time Control Protocol) pour exécuter les applications App-V.

Uniquement requis pour les fournisseurs de bureau Oracle VM VirtualBox lorsque les référentiels App-V sont utilisés.


Les ports 22, 443, 3389, 18083 et 49152-65534 sont configurables.

Sur les hôtes VirtualBox, le port HTTPS est configuré lorsque vous installez VirtualBox. Les ports VRDP ne sont requis que si le protocole VRDP est utilisé pour connecter les bureaux. Reportez-vous à la section Section 5.1.2, « Choix entre VRDP et MS-RDP ». La plage des ports utilisés est configurable, reportez-vous à la section Section 4.1.5, « Configuration de la plage de ports VRDP ».

Si vous utilisez les référentiels App-V, les ports 554 et 49152-65535 sont utilisés par défaut pour les connexions aux serveurs de gestion App-V. Si RTSPS est utilisé, seul le port 332 est requis. Les ports 332 et 554 sont configurables. Reportez-vous à la section Microsoft Support Article 932017 pour plus d'informations.

2.5.4. Pare-feu placés entre les hôtes et un centre Oracle VDI

Il arrive qu'un réseau contienne des pare-feu placés entre les hôtes d'un centre Oracle VDI, par exemple lorsqu'il existe plusieurs lieux de travail contenant chacun un hôte Oracle VDI. Les hôtes Oracle VDI doivent pouvoir se connecter à n'importe quel membre du centre Oracle VDI.

Le tableau suivant répertorie les ports que vous devez ouvrir pour autoriser ces connexions.

Tableau 2.5. Ports des pare-feu placés entre les hôtes Oracle VDI

Source

Destination

Port

Protocole

Objectif

Hôte secondaire Oracle VDI

Hôte principal Oracle VDI

123

UDP

Connexions NTP (Network time connection) à l'hôte principal.

Uniquement requis si NTP n'est pas activé sur l'hôte secondaire.

Hôte Oracle VDI

Un autre hôte Oracle VDI

3307

TCP

Connexions à la base de données MySQL Server intégrée.

Hôte Oracle VDI

Hôte de la base de données MySQL distante

Configurable

Configurable

Connexion à une base de données MySQL distante.

Uniquement requis lorsqu'une base de données MySQL distante est sélectionnée lors de la configuration d'un centre Oracle VDI.

Hôte Oracle VDI

Un autre hôte Oracle VDI

11172

TCP

Utilisé entre le connecteur JMX-MP et Cacao.

Utilisé par la commande cacaoadm

Hôte Oracle VDI

Un autre hôte Oracle VDI

11173

TCP

Utilisé entre le connecteur de flux de commandes et Cacao.

Utilisé par les commandes vda et vda-center

Hôte Oracle VDI

Un autre hôte Oracle VDI

11174

TCP

Utilisé entre le connecteur JMX RMI et Cacao.

Utilisé par le Oracle VDI Manager et pour la communication entre les agents de centre Oracle VDI.

Logiciel Sun Ray

Logiciel Sun Ray

Divers

Divers

Reportez-vous au chapitre Ports et protocoles du Guide d'administration Sun Ray Software pour plus d'informations.


Dans les hôtes Oracle VDI, le port 3303 est également utilisé pour la connexion entre la commande vda client et l'hôte Oracle VDI. Ce port est lié à l'hôte local et peut être configuré.

Les ports 11172-11174 sont les ports par défaut utilisés pour Cacao. Si ces ports ne sont pas disponibles lors de l'installation d'Oracle VDI, les ports disponibles suivants sont sélectionnés. Utilisez la commande cacaoadm list-params -i vda pour connaître les ports utilisés.