Cette section fournit toutes les procédures qui peuvent être requises lors de l'utilisation de Sun Ray Software sur Oracle Solaris 10 Trusted Extensions. Pour plus d'informations, reportez-vous à Oracle Solaris 10 8/11 Trusted Extensions Administrator's Procedures.
Oracle Solaris 10 utilise des zones pour permettre à des environnements de système d'exploitation virtualisés de coexister dans une instance unique d'Oracle Solaris, ce qui permet aux processus de s'exécuter de manière isolée par rapport aux autres activités du système pour une sécurité et un contrôle renforcés. Sun Ray Software est uniquement pris en charge dans la zone globale.
En fonction de votre environnement Sun Ray, effectuez les procédures suivantes en tant qu'utilisateur root à partir de ADMIN_LOW (zone globale).
Cette procédure est requise si votre serveur Sun Ray est configuré sur un réseau privé. Reportez-vous à la rubrique Chapitre 19, Autres configurations réseau pour plus d'informations.
Utilisez les modèles de sécurité de la console de gestion Solaris (SMC) pour affecter le modèle cipso
au serveur Sun Ray. Affectez à tous les autres périphériques Sun Ray situés sur le réseau une étiquette admin_low
. Le modèle admin_low
est affecté à la plage d'adresses IP que vous envisagez d'utiliser dans la commande utadm.
Le fichier /etc/security/tsol/tnrhdb
doit contenir les entrées suivantes une fois cette opération terminée :
192.168.128.1:cipso 192.168.128.0:admin_low
Connectez-vous en tant qu'utilisateur root à partir de ADMIN_LOW (zone globale).
Démarrez la console de gestion Solaris (SMC).
# smc &
Effectuez les sélections suivantes :
Dans la console SMC, sélectionnez Outils de gestion > Select hostname:Scope=Files, Policy=TSOL
.
Sélectionnez System Configuration > Computers and Networks > Security Templates > cipso
.
Dans la barre de menus, sélectionnez Action > Properties > Hosts Assigned to Template
.
Sélectionnez Host
et saisissez l'adresse IP de l'interconnexion Sun Ray
(par exemple, 192.168.128.1).
Cliquez sur Add
puis sur OK
.
Sélectionnez System Configuration > Computers and Networks > Security Families > admin_low
.
Dans la barre de menus, sélectionnez Action > Properties > Hosts Assigned to Template
.
Sélectionnez Wildcard
.
Saisissez l'adresse IP du réseau d'interconnexion Sun Ray (192.168.128.0).
Cliquez sur Add
puis sur OK
.
Affectez à tous les serveurs Sun Ray du groupe de basculement une étiquette cipso
.
Sélectionnez System Configuration > Computers and Networks > Security Families > cipso
.
Dans la barre de menus, sélectionnez Action > Properties > Hosts Assigned to Template
.
Sélectionnez Host
et saisissez l'adresse IP de l'autre serveur Sun Ray
Cliquez sur Add
puis sur OK
.
Redémarrez le serveur Sun Ray.
# /usr/sbin/reboot
Un port multiniveau partagé doit être ajouté à la zone globale pour les services Sun Ray afin de bénéficier d'un accès à partir de la zone étiquetée.
Connectez-vous en tant qu'utilisateur root à partir de ADMIN_LOW (zone globale).
Démarrez la console de gestion Solaris (SMC).
# smc &
Accédez aux outils de gestion.
Sélectionnez hostname:Scope=Files, Policy=TSOL
.
Sélectionnez System Configuration > Computers and Networks > Trusted Network Zones > global
.
Dans la barre de menus, sélectionnez Action > Properties
.
Cliquez sur Add
sous Multilevel Ports for Shared IP Addresses
.
Ajoutez 7007 en tant que Port Number
, sélectionnez TCP
comme Protocol
puis cliquez OK
.
Répétez l'étape précédente pour les ports 4120, 7010 et 7015.
Redémarrez les services réseau à l'aide de la commande suivante :
# svcadm restart svc:/network/tnctl
Vérifiez que ces ports sont répertoriés en tant que ports partagés en exécutant la commande suivante :
# /usr/sbin/tninfo -m global
Redémarrez le serveur Sun Ray.
# /usr/sbin/reboot
L'entrée par défaut dans /etc/security/tsol/tnzonecfg
rend trois affichages disponibles (6001-6003). Augmentez le nombre de ports de serveur X disponible en fonction des besoins.
Connectez-vous en tant qu'utilisateur root à partir de ADMIN_LOW (zone globale).
Démarrez la console de gestion Solaris (SMC).
# smc &
Accédez aux outils de gestion.
Sélectionnez l'option hostname:Scope=Files, Policy=TSOL
.
Sélectionnez System Configuration > Computers and Networks > Trusted Network Zones > global
.
Dans la barre de menus, sélectionnez Action > Properties
.
Sous Multilevel Ports for Zone's IP Addresses
, sélectionnez 6000-6003/tcp
.
Cliquez sur Remove
.
Sélectionnez Add > Enable Specify A Port Range
.
Saisissez 6000
dans Begin Port Range Number
et 6050
(pour 50 affichages) dans End Port Range Number
.
Sélectionnez TCP
en tant que Protocol
.
Cliquez sur OK
.
Redémarrez le serveur Sun Ray.
# /usr/sbin/reboot
Cette procédure décrit la procédure de configuration du connecteur Windows sur Oracle Solaris Trusted Extensions.
Afin que le connecteur Windows fonctionne correctement sur un serveur Oracle Solaris Trusted Extensions, le serveur Windows Terminal Server doit être disponible au niveau souhaité.
En tant que superutilisateur, ouvrez une fenêtre shell sur le serveur Sun Ray.
Pour éviter que des erreurs ne surviennent si les paramètres de l'environnement utilisateur sont propagés, utilisez la commande suivante :
% su - root
Rendez un système Windows disponible pour le modèle public
.
Démarrez la console de gestion Solaris.
# smc &
Effectuez les sélections suivants sous Outils de gestion :
Sélectionnez hostname:Scope=Files, Policy=TSOL
.
Sélectionnez System Configuration > Computers and Networks > Security Templates > public
.
Sélectionnez Action > Properties > Hosts Assigned to Template
.
Sélectionnez Host
.
Saisissez l'adresse IP sur le système Windows, par exemple, 10.6.100.100.
Cliquez sur Add
.
Cliquez sur OK
.
Configurez le port 7014 en tant que port multiniveau partagé pour le démon uttscpd.
Si la console de gestion Solaris n'est pas déjà en cours d'exécution, démarrez-la :
# smc &
Sélectionnez hostname:Scope=Files, Policy=TSOL
.
Sélectionnez System Configuration > Computers and Networks > Trusted Network Zones > global
.
Sélectionnez Action > Properties
.
Activez les ports en cliquant sur Add
sous Multilevel Ports for Shared IP Addresses
.
Ajoutez 7014 en tant que Port Number
, sélectionnez TCP
en tant que Protocol
, puis cliquez sur OK
.
Redémarrez les services réseau.
# svcadm restart svc:/network/tnctl
Vérifiez que ce port est répertorié en tant que port partagé.
# /usr/sbin/tninfo -m global
Créez des entrées pour le démon uttscpd dans chaque zone locale.
L'entrée de fichier /etc/services
pour le démon proxy SRWC est créée automatiquement dans la zone globale au moment de la configuration. Les entrées correspondantes doivent être créées dans les zones locales.
Ces entrées peuvent être créées manuellement ou via un montage en loopback du fichier /etc/services
de la zone globale vers les zones locales pour un accès en lecture.
Pour créer cette entrée manuellement, insérez l'entrée suivante dans le fichier de zone locale.
uttscpd 7014/tcp # SRWC proxy daemon
Montez en loopback le répertoire /etc/opt/SUNWuttsc
dans chaque zone locale. L'exemple suivant montre comment effectuer cette opération pour la zone locale appelée public
.
# zoneadm -z public halt # zonecfg -z public zonecfg:public> add fs zonecfg:public:fs> set dir=/etc/opt/SUNWuttsc zonecfg:public:fs> set special=/etc/opt/SUNWuttsc zonecfg:public:fs> set type=lofs zonecfg:public:fs> end # zoneadm -z public boot
(Facultatif) Pour la vérification du fonctionnement du pair TLS, assurez-vous que les certificats d'autorité de confiance sont disponibles dans le dossier /etc/sfw/openssl/certs
de chaque zone locale.
Redémarrez le serveur Sun Ray.
# /usr/sbin/reboot