10.3. Répertoire utilisateur

10.3.1. Accroissement de la journalisation pour résoudre les problèmes du répertoire utilisateur
10.3.2. L'authentification Kerberos auprès d'Active Directory fonctionne pendant un certain temps, puis s'arrête.
10.3.3. Puis-je utiliser PKI à la place de Kerberos pour l'authentification auprès d'Active Directory ?
10.3.4. Quel est le type d'accès privilégié requis pour le répertoire utilisateur ?
10.3.5. Puis-je désactiver la fonction de nettoyage automatique des objets ordinateur dans Active directory ?

10.3.1. Accroissement de la journalisation pour résoudre les problèmes du répertoire utilisateur

Vous pouvez accroître les informations affichées pour les répertoires utilisateur dans les fichiers journaux du conteneur d'agents communs (Cacao) afin de vous aider à résoudre des problèmes. Une journalisation du débogage supplémentaire peut également permettre de dépanner les connexions Kerberos dans Active directory.

Pour accroître la journalisation pour les répertoires utilisateur :

  1. Connectez-vous à l'hôte Oracle VDI en tant qu'utilisateur root.

  2. Arrêtez le service Oracle VDI.

    # /opt/SUNWvda/sbin/vda-service stop
  3. (Tous les types de répertoires utilisateur) Activez la journalisation supplémentaire pour les répertoires utilisateur.

    # cacaoadm set-filter -i vda -p com.sun.directoryservices=ALL
    # cacaoadm set-filter -i vda -p com.sun.sgd=ALL

    Dans les plates-formes Linux, la commande cacaoadm est dans /opt/sun/cacao2/bin.

  4. (Kerberos uniquement) Activez la journalisation du débogage pour Kerberos.

    1. Récupérez les paramètres Java actuels pour l'instance VDA Cacao.

      # cacaoadm get-param -i vda java-flags --value
    2. Notez les paramètres ou copie-les dans un fichier texte afin de pouvoir les réinitialiser ultérieurement.

    3. Pour modifier les paramètres Java de l'instance VDA Cacao, y compris les paramètres d'origine et le paramètre de débogage Kerberos.

      # cacaoadm set-param -i vda java-flags=original-Java-settings -Dsun.security.krb5.debug=true 
      
  5. Démarrez le service Oracle VDI.

    # /opt/SUNWvda/sbin/vda-service start
  6. Recréez le problème et consultez le fichier journal de Cacao (reportez-vous à la section Section 8.5.4, « Vérification des fichiers journaux Oracle VDI »).

    La journalisation du répertoire et la journalisation Kerberos sont des sorties des journaux Cacao.

Lorsque vous avez obtenu les informations dont vous avez besoin, réinitialisez la journalisation aux valeurs par défaut :

  1. Connectez-vous à l'hôte Oracle VDI en tant qu'utilisateur root.

  2. Arrêtez le service Oracle VDI.

    # /opt/SUNWvda/sbin/vda-service stop
  3. (Tous les types de répertoires utilisateur) Désactivez la journalisation supplémentaire pour les répertoires utilisateur.

    # cacaoadm set-filter -i vda -p com.sun.directoryservices=NULL
    # cacaoadm set-filter -i vda -p com.sun.sgd=NULL

    Dans les plates-formes Linux, la commande cacaoadm est dans /opt/sun/cacao2/bin.

  4. (Kerberos uniquement) Désactivez la journalisation du débogage supplémentaire pour Kerberos.

    Réinitialisez les paramètres Java pour l'instance VDA Cacao à leurs valeurs d'origine.

    # cacaoadm set-param -i vda java-flags=original-Java-settings 
    
  5. Démarrez le service Oracle VDI.

    # /opt/SUNWvda/sbin/vda-service start

10.3.2. L'authentification Kerberos auprès d'Active Directory fonctionne pendant un certain temps, puis s'arrête.

Une solution temporaire à ce problème consiste à exécuter la commande suivante dans chaque hôte Oracle VDI :

kinit -V administrator@MY.DOMAIN

Il peut s'agir :

  1. D'un problème de synchronisation des horloges

    Vérifiez que les contrôleurs de domaine et les serveurs Oracle VDI se connectent au même serveur NTP.

  2. D'un problème de configuration de Kerberos

    Vérifiez que le fichier de configuration de Kerberos (krb5.conf) contient la section [libdefaults] et définit le paramètre default_realm comme dans l'exemple suivant :

    [libdefaults]
    default_realm = MY.COMPANY.COM
    
    [realms]
    MY.COMPANY.COM = {
    kdc = my.windows.host
    }
    
    [domain_realm]
    .my.company.com = MY.COMPANY.COM
    my.company.com = MY.COMPANY.COM

10.3.3. Puis-je utiliser PKI à la place de Kerberos pour l'authentification auprès d'Active Directory ?

Vous pouvez évidemment utiliser l'authentification PKI. Celle-ci devrait fournir les mêmes fonctions (y compris la suppression d'ordinateurs dans Active Directory) que l'authentification Kerberos.

10.3.4. Quel est le type d'accès privilégié requis pour le répertoire utilisateur ?

Pour Active Directory (avec Kerberos ou LDAP) :

  • Accès en lecture à tous les utilisateurs et groupes.

    Cette information est obligatoire. Oracle VDI doit pouvoir rechercher des utilisateurs et résoudre les bureaux assignés aux utilisateurs qui s'y connectent. Si Active Directory contient un seul domaine, il s'agit en général du conteneur CN=Users.

  • Accès en écriture au conteneur des ordinateurs.

    Cette information est facultative. Active directory crée automatiquement un entrée d'ordinateur quand un bureau Windows rejoint le domaine configuré dans la préparation du système. Oracle VDI supprime l'entrée d'ordinateur quand un bureau Windows est supprimé. Si Oracle VDI n'a pas d'accès en écriture, les entrées d'ordinateurs ne peuvent pas être supprimées d'Active Directory. Généralement, le conteneur d'ordinateur est OU=Computers.

  • Accès en lecture au conteneur CN=Configuration.

    Cette information est facultative. Oracle VDI utilise cette option pour peupler le champ Domaine sur l'écran de connexion au bureau avec le domaine ou une liste de sous-domaines. Si Oracle VDI n'a pas d'accès en lecture, le champ Domaine sur l'écran de connexion au bureau est vide.

Pour tous les autres types de répertoire utilisateur, l'accès en lecture au DN de base configuré est requis. Oracle VDI doit pouvoir rechercher des utilisateurs et résoudre les bureaux assignés aux utilisateurs qui s'y connectent.

10.3.5. Puis-je désactiver la fonction de nettoyage automatique des objets ordinateur dans Active directory ?

Lorsque vous utilisez Active Directory et qu'un ordinateur de bureau Windows rejoint un domaine, un nouvel objet ordinateur est créé dans Active Directory. Oracle VDI supprime automatiquement l'objet ordinateur depuis Active Directory chaque fois qu'un bureau est supprimé.

Vous pouvez désactiver ce comportement en configurant la propriété domain-cleanup pour un pool, comme suit :

/opt/SUNWvda/sbin/vda pool-setprops -p domain-cleanup=disabled pool