禁用客户端验证的原因包括:
减少管理系统开销:禁用客户端验证可以节省管理服务器上客户端密钥所需的时间,但是会降低安全性。
避免升级期间产生日志消息:如果使用较旧的服务器升级故障转移组中的 Sun Ray 服务器,升级的服务器会重复产生日志消息,这些消息表示其无法存储密钥数据,服务器会将所有密钥视为未确认。升级完整个组后,应该启用客户端验证。
禁用客户端验证会导致安全性风险。请确保在禁用客户端验证之前已经了解可能造成的后果。
禁用客户端验证适用于所有后续连接,而无需重新启动 Sun Ray 服务器。
使用以下命令禁用客户端验证:
# utcrypto -a auth_up_type=none
如果非默认安全策略已存在,则请使用 -m
而非 -a
。
要启用客户端验证,请将 auth_up_type
值设置为 default
。
在 "Advanced"(高级)-> "Security"(安全性)页面中,取消选择 "Client Authentication"(客户端验证),然后单击 "Save"(保存)。
如果您不需要允许对运行较旧版本固件的客户端的访问,则可要求从所有客户端进行验证,以提高安全性。
使用以下命令来强制客户端验证。
# utcrypto -m auth_up_type=DSA auth_mode=hard
如果非默认安全策略已存在,则请使用 -a
而非 -m
。
导航至 "Advanced"(高级)->"Security"(安全性)页面。
选择 "Client Authentication"(客户端验证),然后选择 "Hard"(硬)作为 "Security Mode"(安全模式)。
单击 "Save"(保存)。
Sun Ray 客户端密钥最初会被视为未经确认的密钥,需要人工介入才能确认为特定客户端的真实密钥。Oracle Virtual Desktop Client 密钥总是会被自动视为确认的密钥(自动确认),因为标识 Desktop Access Client 的 ID 唯一地派生于其密钥。
以下过程所设置的策略要求在授予对客户端的访问权限之前提供经确认的密钥。要实施更强的策略,您还应设置安全性策略,以要求从所有客户端进行客户端验证,如第 11.8.2 节 “如何强制从所有客户端进行客户端验证”中所述。
查看当前策略:
# utpolicy Current Policy: -a -g -z both -k pseudo -u pseudo
使用 -c
选项设置客户端验证策略:
# utpolicy -a -g -z both -k pseudo -u pseudo -c
重新启动 Sun Ray 服务:
# utstart
在 "Advanced"(高级)->"System Policy"(系统策略)选项卡页上的 "Client Authentication"(客户端验证)部分,选择 "Client Key Confirmation Required"(需要确认客户端密钥)选项。
重新启动服务器组中的所有服务器。