Sun Java Desktop System Configuration Manager, version 1 - Guide d'installation

Chapitre 5 Composants de bureau - Linux

Pour accéder aux données de configuration à partir de Configuration Manager, un client de bureau a besoin de Sun Java^TM Desktop System Configuration Agent. Configuration Agent communique avec le référentiel des données de configuration distantes ainsi qu'avec les adaptateurs, et il intègre les données dans des systèmes de configuration spécifiques. Les systèmes de configuration actuellement pris en charge sont GConf, les Préférences de Mozilla et le registre de StarOffice.

Tous ces composants sont livrés et installés avec Java Desktop System.

Accès aux données / Authentification des utilisateurs

Configuration Agent extrait des informations du serveur LDAP en fonction de l'ID de connexion d'un utilisateur de bureau. Le paramètre User/UniqueIdAttribute du fichier de mappage organisationnel associe l'ID de connexion à une entité d'utilisateur sur le serveur LDAP. Configuration Agent extrait également des informations relatives à l'hôte, par exemple son nom ou son adresse IP. Les informations sont associées à une entité d'hôte sur le serveur LDAP par le biais du paramètre Host/UniqueIdAttribute du fichier de mappage organisationnel.

Il existe deux méthodes d'accès au serveur LDAP, à savoir la méthode anonyme et la méthode GSSAPI. Aucune action n'est requise sur le bureau pour un accès anonyme. Pour la méthode GSSAPI, des informations d'identification Kerberos doivent être obtenues sur le bureau. Pour intégrer l'obtention des informations d'identification Kerberos à la connexion de l'utilisateur, le module pam_krb5() doit être installé et configuré sur l'hôte Java Desktop System. Vous trouverez des exemples de configuration pour le module pam() dans le répertoire /usr/share/doc/packages/pam_krb5/README.SuSE du CD-ROM Java Desktop System. Vous pouvez également utiliser la commande gdm pour intégrer Kerberos à la connexion de l'utilisateur, par exemple en utilisant le fichier /etc/pam.d/gdm suivant :

#%PAM-1.0
auth   required    pam_unix2.so  nullok #set_secrpc
auth   optional  pam_krb5.so use_first_pass missing_keytab_ok ccache=SAFE putenv_direct
account required    pam_unix2.so 
password required    pam_unix2.so  #strict=false
session required    pam_unix2.so  # trace or none
session required    pam_devperm.so 
session optional    pam_console.so

Configuration Agent

Configuration Agent fait partie du package apoc. Lorsque vous installez le RPM correspondant, les fichiers requis pour cette API sont installés et enregistrés avec inetd. Vous pouvez installer le RPM manuellement ou par le biais de l'installation Java Desktop System.

Informations d'initialisation

Pour accéder aux données de configuration distantes, l'emplacement du serveur LDAP doit être fourni à Configuration Agent. Vous pouvez ajouter cet emplacement avec l'outil de configuration autoYaST de YaST2 ou en éditant manuellement le fichier de propriétés policymgr.properties figurant dans le répertoire /opt/apoc/lib. Dans YaST2, vous pouvez ajouter ces données dans la section Réseau/Options avancées .

Figure 5–1 Java Desktop System Configuration Agent dans YaST

Les informations suivantes sont requises pour exécuter Configuration Agent :

Remarque –

Les clés du fichier de propriétés associées sont indiquées entre parenthèses, le cas échéant.

Nom d'hôte (Server) : nom d'hôte du serveur LDAP.
Port (Port) : numéro de port du serveur LDAP.
Nom d'utilisateur pour l'accès à la métaconfiguration (AuthDn) : DN complet d'un utilisateur ayant des droits d'accès en lecture et en recherche dans le référentiel.

Remarque –
Si l'accès anonyme est activé dans le répertoire, ce paramètre peut rester vide.
Mot de passe pour l'accès à la métaconfiguration (Password) : mot de passe d'un utilisateur LDAP enregistré.

Remarque –
Si l'accès anonyme est activé dans le répertoire, ce paramètre peut rester vide.
Mécanisme d'authentification pour l'accès aux données de stratégie (AuthType) : anonyme ou GSSAPI selon le mode d'authentification des utilisateurs employé par le serveur LDAP.
Emplacement racine (BaseDn) : DN de base du référentiel LDAP.
Identificateur de l'hôte (HostIdentifier) : peut être HostName ou IPAddress et doit être configuré pour correspondre au contenu de l'attribut LDAP utilisé pour identifier les hôtes. Cet attribut est défini dans les fichiers de mappage sous la forme Host/UniqueIdAttribute.
Délai d'expiration de connexion (Connect Timeout)\~: indique la durée en secondes au bout de laquelle les tentatives de connexion au serveur LDAP expirent. La valeur par défaut est 1 seconde.

Remarque –

Lorsque vous modifiez les paramètres d'initialisation et de fonctionnement, vous devez redémarrer Configuration Agent.

Avant de redémarrer Configuration Agent sur le bureau, vérifiez qu'aucune des applications clientes associées n'est en cours d'exécution, connectez-vous en tant que racine et tapez la commande /opt/apoc/bin/apocd restart.

Paramètres de fonctionnement

Vous pouvez configurer les paramètres de fonctionnement de Configuration Agent localement ou à distance. Pour configurer les paramètres localement, éditez le fichier apocd.properties dans le répertoire /opt/apoc/lib. Pour configurer les paramètres à distance, utilisez la stratégie Configuration Agent dans Configuration Manager. Les paramètres suivants peuvent être configurés dans le fichier de propriétés\~:

DaemonPort\~: port sur lequel Configuration Agent écoute les communications provenant de ses clients sur le bureau
MaxClientThreads\~: nombre maximal de demandes des clients pouvant être traitées simultanément\~;
MaxClientConnections\~: nombre maximal de connexions des clients\~;
MaxRequestSize\~: taille maximale de demandes des clients\~;
DaemonChangeDetectionInterval\~: intervalle en minutes entre les cycles de détection des changements pour cette liste de paramètres de configuration\~;
ChangeDetectionInterval\~: intervalle en minutes entre les cycles de détection des changements pour les données de configuration des clients\~;
GarbageCollectionInterval\~: intervalle en minutes entre les cycles de libération de la mémoire dans la base de données de configuration locale\~;
TimeToLive\~: intervalle en minutes pendant lequel les données de configuration qui ne sont pas hors ligne demeurent dans la base de données locale\~;
LogLevel\~: niveau de détail dans les fichiers journaux de l'agent.

Le paramètre DaemonPort peut uniquement être modifié localement et nécessite un redémarrage de l'agent pour que les modifications soient prises en compte. Tous les autres paramètres sont pris en compte au prochain cycle de détection des changements de la configuration de l'agent. Le niveau de détail d'enregistrement spécifié dans LogLevel doit être une valeur cohérente avec les niveaux d'enregistrement des événements Java. Par ordre décroissant de gravité, ces niveaux sont\~ : GRAVE, AVERTISSEMENT, INFO, CONFIG, FIN, PLUS FIN et LE PLUS FIN.

Propagation des changements de données de configuration

Vous pouvez utiliser le paramètre ChangeDetectionInterval décrit dans la section Paramètres de fonctionnement pour définir la propagation des changements de données de configuration à distance sur les applications côté client. La valeur que vous indiquez pour ce paramètre correspond à la durée maximale en minutes s'écoulant avant que les changements effectués à distance ne soient reflétés dans les applications clientes. Si vous indiquez des valeurs peu élevées pour ChangeDetectionInterval, l'activité de Configuration Agent et du serveur LDAP est augmentée. Vous devez donc ajuster avec précaution la valeur de ce paramètre. Par exemple, dans une phase de déploiement initial, vous pouvez définir une valeur égale à une minute de manière à pouvoir tester facilement l'impact de la configuration distante sur les applications clientes. Une fois le test terminé, rétablissez la valeur initiale du paramètre.

Informations relatives aux ports de Configuration Agent

Configuration Agent utilise deux ports\~:

le port du démon (par défaut, le 38900), utilisé par le démon pour communiquer avec les applications clientes.
Le port d'administration du démon (par défaut, le 38901) utilisé par le programme de contrôle du démon, apocdct1, pour communiquer avec le démon.

Modification du port du démon\~ :

Pour modifier le port du démon, vous devez modifier la propriété DaemonPort dans le fichier apocd.properties du démon et les entrées apocd dans /etc/services et /etc/inetd.conf. Ensuite, redémarrez le démon et rechargez inetd.

Modification du port d'administration du démon\~:

Pour modifier le port d'administration du démon, vous devez modifier la propriété DaemonAdminPort dans le fichier apocd.properties du démon. Ensuite, redémarrez le démon.

Adaptateur GConf

L'adaptateur GConf fait partie du package apoc-adapter-gconf. Lorsque vous installez l'adaptateur à partir du RPM correspondant, le chemin d'accès des sources de données GConf dans /etc/gconf/2/path est mis à jour pour inclure les sources de Configuration Manager. Une sauvegarde de l'ancien chemin d'accès est stockées dans /etc/gconf/2/path.apocBackup. Si l'ancien chemin d'accès fait référence à des sources de données personnalisées, vous devrez mettre à jour le chemin d'accès en fusionnant les changements du chemin d'accès par défaut avec le chemin d'accès de Manager nouvellement installé. Les deux sources de données fournies par l'adaptateur sont les suivantes\~:

“apoc:readonly:”\~: fournit un accès à des paramètres non protégés à partir des stratégies. Insérez cette source de données après les paramètres de l'utilisateur et avant les paramètres par défaut locaux.
“apoc:readonly:mandatory@”\~: fournit un accès à des paramètres protégés à partir des stratégies. Insérez cette source de données après les paramètres obligatoires locaux et avant les paramètres de l'utilisateur.

Adaptateur Mozilla

L'adaptateur Mozilla fait partie du package mozilla-apoc-integration. Lorsque vous installez l'adaptateur à partir du RPM correspondant, les fichiers requis sont ajoutés à une installation existante de Mozilla et sont automatiquement enregistrés.

Adaptateur StarOffice

L'adaptateur StarOffice est inclus dans une installation StarOffice standard et permet d'accéder aux données de configuration de stratégie sans que des modifications spéciales ne soient nécessaires.