3.6. Configuration de l'authentification de clé publique

Vous devez configurer le serveur Active Directory et les hôtes Oracle VDI avant de configurer le répertoire utilisateur dans Oracle VDI Manager.

Procédure

  1. Suivez les étapes de configuration 1 à 5 décrites pour l'authentification Kerberos. Reportez-vous à la section Section 3.5, « Configuration de l'authentification Kerberos ».

  2. Créez un certificat client pour chaque hôte Oracle VDI.

    Le keystore Oracle VDI du certificat client est situé dans /etc/opt/SUNWvda/sslkeystore et son mot de passe est changeit.

    1. Générez une paire de clés (privée et publique) pour le certificat client.

      Dans l'hôte Oracle VDI, connectez-vous en tant que super utilisateur (root) et servez-vous de l'utilitaire Java keytool pour générer la paire de clés dans le keystore Oracle VDI.

      keytool -genkey -keyalg rsa \
      -keystore /etc/opt/SUNWvda/sslkeystore \
      -storepass changeit -keypass changeit \
      -alias your_alias
      
    2. Créez une demande de signature de certificat (CSR, Certificate Signing Request) pour le certificat client.

      Dans l'hôte Oracle VDI, utilisez keytool pour générer la demande de certificat.

      keytool -certreq \
      -keystore /etc/opt/SUNWvda/sslkeystore \
      -storepass changeit -keypass changeit \
      -alias your_alias \
      -file certreq_file
      

      L'alias doit correspondre à celui utilisé lors de la création de la paire de clés. Les alias sont sensibles à la casse.

    3. Créez le certificat.

      1. Copiez le fichier CSR dans le serveur hébergeant Active Directory.

      2. Via Internet Explorer, accédez au site "http://localhost/certsrv".

      3. Connectez-vous.

      4. Dans la page des services de certificats Microsoft, cliquez sur Demander un certificat.

      5. Dans la page Demander un certificat, cliquez sur Demande de certificat avancée.

      6. Dans la page Demande de certificat avancée, cliquez sur Soumettez une demande de certificat en utilisant un fichier CMC ou PKCS #10 crypté en base 64 ou soumettez une demande de renouvellement en utilisant un fichier PKCS #7 codé en base 64.

      7. Dans·la·page·Soumettre une demande de certificat ou de renouvellement, collez le contenu de la demande de signature de certificat dans la zone de texte Demande enregistrée ou accédez au fichier CSR.

      8. Sélectionnez un modèle approprié dans la liste des Modèles de certificats.

        Il est recommandé d'utiliser un statut d'administrateur.

      9. Cliquez sur Soumettre.

      10. Dans la page Certificat délivré, vérifiez que Codé en base 64 est sélectionné, puis cliquez sur Télécharger la chaîne du certificat.

      11. Enregistrez le fichier du certificat.

    4. Importez le certificat dans l'hôte Oracle VDI.

      1. Copiez le fichier de certificat dans l'hôte Oracle VDI.

      2. Importez le certificat dans le keystore Oracle VDI.

        keytool -import \
        -keystore /etc/opt/SUNWvda/sslkeystore \
        -storepass changeit -keypass changeit \
        -trustcacerts -file certificate_file \
        -alias your_alias
        
  3. Redémarrez le service VDA.

    # /opt/SUNWvda/sbin/vda-service restart
  4. Configurez le répertoire utilisateur dans Oracle VDI Manager.

    1. Dans Oracle VDI Manager, accédez à Paramètres, puis à Société.

    2. Dans le tableau Sociétés, cliquez sur Nouveau.

      L'assistant Nouvelle société s'affiche.

    3. A l'étape Sélection du répertoire utilisateur, sélectionnez Active Directory.

    4. A l'étape Spécification de la connexion, configurez l'authentification avec clé publique.

      1. Sélectionnez Authentification avec clé publique.

      2. Dans le champ Domaine, entrez le nom de domaine Active Directory.

        Par exemple, ma.société.com.

    5. A l'étape Vérification du certificat, vérifiez l'exactitude des détails du certificat SSL.

    6. A l'étape Définir la société, saisissez les détails de la société.

      1. Dans le champ Nom, saisissez le nom de la société.

      2. (Facultatif) Dans le champ Non du domaine de messagerie, saisissez un ou plusieurs noms de domaines de messagerie.

        Saisissez plusieurs noms de domaines sous la forme d'une liste séparée par des virgules.

        Si vous saisissez un domaine de messagerie, les utilisateurs peuvent se connecter à l'aide de leur adresse e-mail.

      3. (Facultatif) Dans le champ Commentaires, saisissez toute remarque à propos de la société.

    7. A l'étape Vérification, vérifiez la configuration de la société et cliquez sur Terminer.

      La nouvelle société est ajoutée au tableau Sociétés.