Oracle Secure Global Desktop 部署考虑事项
- 1. 更新履历
- 2. 概要
- 3. 系统要求和支持
- 4. 虚拟化支持
- 5. 支持的应用程序和协议
- 6. 网络需求
- 7. Microsoft Windows 远程桌面服务
- 8. X和字符应用程序
- 9. SGD增强模块
- 10. SGD Web服务器
- 11. 支持的身份认证机制
- 12. SGD Gateway
- 13. 阵列的故障转移
- 14. 支持的Active Directory版本
- 15. 支持的SecurID版本
- 16. 支持的Oracle Identity Management
- 17. SSL支持
- 18. SGD 客户端
- 19. 支持的代理服务器
- 20. 打印支持
- 21. 支持的智能卡
- 22. 附录1:Oracle Secure Global Desktop整体构架图
更新履历
- 2016年1月: 基于SGD 5.2版本更新
- 2015年5月: 中文版初版
- 2013年5月: 初版,仅英文
概要
本文描述了Oracle Secure Global Desktop部署的设计和测试过程的整体过程。目的是帮助IT部门制定应用程序的部署策略,以满足IT部门和业务部门的需求。
如果你还不知道Oracle Secure Global Desktop是什么的话,请参考这篇文章。
目前IT组织的最大挑战就是为分散在各个地域的用户提供对其特定工作区(应用程序和桌面)的即时,可靠,无性能退化的访问。此外,管理者也需要对这些分散到各个地域的工作区进行集中的访问管理。这并不容易。很多客户通过使用Oracle Secure Global Desktop部署工作区来为其数以千计的员工解决这一问题。Oracle Secure Global Desktop能够成为该问题的理想解决方案的优势如下:
- 一致的用户体验: 用户可以使用几乎任何设备,简单地从浏览器访问一个URL,就可以在任何地方来访问他们的工作区。
- 无需客户端软件: IT部门无需在每一个用户终端上维护一份客户端软件,因为用户可以通过任意支持的浏览器来访问Oracle Secure Global Desktop。在桌面设备上无需客户端软件意味着应用程序完全可以在服务器端进行更新,极大的减少了IT环境更新给用户带来的时间损耗。
- 移动会话: 用户可以在Oracle Secure Global Desktop工作区中暂停,继续,或者终止会话。用户可以暂停会话,然后在别的地方从其他设备继续会话(比如,在公司的电脑上暂停会话,然后回到家中用平板设备继续会话)。加之,无需去维护世界各地无数用户桌面上的客户端软件,从总体上极大地削减了IT部门的管理费用。
- 简化和内容控制: Oracle Secure Global Desktop内置了对用户可访问的应用程序和环境的集中管理。具有负载均衡的应用服务器池使得添加,删除,修改服务器等操作对最终用户完全透明。
- 性能: Oracle Secure Global Desktop使用的自适应网络协议(AIP),智能阵列路由算法(IAR),以及其他各种性能上的优势,使得SGD即使在高延迟的WLAN环境下,也会有很好的性能表现。这非常关键,因为IT部门往往会有分散在世界各地的用户,这些用户会在日常工作中访问多个应用。
- 监视: 通过在Oracle Enterprise Manager Grid Control中创建一个自定义的Oracle Secure Global Desktop基准表,IT部门能够持续的监视多个部署指标,诸如:1)每天的资源利用峰值,2)用户数量,3)性能等,并把这些指标用一张简明的仪表盘来显示出来,便于与管理层和运维部门进行共享。
系统要求和支持
注意,下面的硬件要求仅作为参考,请不要看成精确的度量标准。
运行Oracle Secure Global Desktop的服务器环境可以计算如下(注意:对客户端的要求是不一样的,本文后续会涉及):
- 为了安装和运行Oracle Secure Global Desktop需要什么
- 每个用户登录和运行应用程序又需要什么
安装和运行Oracle Secure Global Desktop的要求如下:
- 2GB的空闲磁盘空间
- 2GB的内存
- 1GHz处理器
- 网卡
这是除操作系统本身所需的资源之外的要求,且假设此服务器只用于运行Oracle Secure Global Desktop。为支持用户登录并且运行应用程序,还有以下的要求:
- 每个用户约80MB的内存
- 每个用户约50MHz的CPU
作为一个典型的用户,在工作区中有10个应用程序,并且运行两个应用程序(这里假设为Windows应用程序)的话,需要大约80MB的内存。对于500个用户的部署,其中每个普通用户运行两个应用程序的话,总计可能需要40GB的内存,5-15GHz的CPU。一个典型的应用程序使用大概10-30MHz的CPU,但是实际上CPU的使用率取决于应用程序自身。某些繁忙的应用程序可能会用到50-100MHz的CPU。
TABLE 1. 支持的安装平台
| 操作系统 | 支持的版本 |
|---|---|
| Oracle Solaris on SPARC platforms | • Solaris 10 [至少为版本8/11 (update 10)] • Solaris 11 • Trusted Extensions versions of the above |
| Oracle Solaris on x86 platforms | • Solaris 10 [至少为版本8/11 (update 10)] • Solaris 11 • Trusted Extensions versions of the above |
| Oracle Linux (仅64位) | • 5 (至少为版本5.8) • 6 (至少为版本6.2) |
虚拟化支持
受支持的安装平台也会在Type 1 (bare metal) hypervisor 或者Type 2 hypervisor上受到支持。比如,Oracle VM VirtualBox,Oracle VM Server for x86,或者Oracle VM for SPARC (以前称作 Sun Logical Domains or LDoms)。在其他第三方hypervisor上报告的问题会在Oracle的hypervisor进行相应的测试,如果问题不会再现,用户需要联系相应的虚拟化厂商以取得帮助。
对于Oracle Solaris 平台来说,支持在区域(zone)中安装SGD。Oracle Secure Global Desktop可以安装在全局区域(global zone)中,也可以安装在一个或者多个非全局区域(non-global zone)中。但是,不支持在全局区域和非全局区域中同时安装SGD。
在Oracle Solaris Trusted Extensions平台中,SGD必须被安装在标记的区域(labeled zone)中。不要在全局区域中安装SGD。
支持的应用程序和协议
可以使用Oracle Secure Global Desktop来访问如下类型的应用程序:
- Microsoft Windows
- Oracle Solaris,Linux,HP-UX,以及AIX 应用程序服务器的X应用程序
- Oracle Solaris,Linux,HP-UX,以及AIX 应用程序服务器的字符应用程序
- IBM大型主机以及AS/400系统的应用程序
- 使用HTML和Java技术的Web应用程序
Oracle Secure Global Desktop支持使用如下的协议来访问应用程序:
- Microsoft Remote Desktop Protocol (RDP)至少是5.2版本
- X11
- HTTP
- HTTPS
- SSH 至少版本2
- Telnet VT, American National Standards Institute (ANSI)
- TN3270E
- TN5250
网络需求
使用Oracle Secure Global Desktop的话,必须配置网络。主要要求如下:
- 主机必须拥有所有客户机都能够解析到的域名系统(DNS)
- 对于任意主机的DNS正向查找和反向查找必须是成功的
- 所有的客户机必须使用DNS
- 在安装Oracle Secure Global Desktop时,需要输入Oracle Secure Global Desktop服务器的DNS名称,该DNS名称有如下要求:
- 在包含防火墙的网络中,使用防火墙内部可识别的DNS名称作为Oracle Secure Global Desktop主机名
- 总是使用完整域名。比如:对于
example域,请使用us.example.com。
默认情况下,Oracle Secure Global Desktop在DNS请求时使用ANY类型作为查找类型。某些防火墙的配置会拦截此类型的DNS请求。这会导致问题,特别是在使用管理控制台来配置Active Directory认证时。
从命令行配置时,如果不使用完整域名的话,在一些需要指定Oracle Secure Global Desktop的DNS名称的命令(如tarantella array join)后,会输出一条警告信息。
《Oracle Secure Global Desktop 管理指南》描述了Oracle Secure Global Desktop使用的所有端口的详细信息,以及如何配置防火墙。
下面列出了通常使用的端口。客户端设备必须能够在这些TCP端口上进行TCP/IP连接。
- 80 - 客户端与Oracle Secure Global Desktop Web服务器间的HTTP连接。该端口号取决于安装时选择的端口号。
- 443 - 客户端与Oracle Secure Global Desktop Web服务器间的HTTPs连接。
- 3144 - Oracle Secure Global Desktop客户端与Oracle Secure Global Desktop服务器之间的标准(非安全)连接
5307 - Oracle Secure Global Desktop客户端与Oracle Secure Global Desktop服务器之间的安全连接。安全连接使用SSL。
注意:Oracle Secure Global Desktop客户端与Oracle Secure Global Desktop服务器之间的连接总是安全的。当首次安装SGD时,TCP端口5307必须开放给SGD。
要运行应用程序,Oracle Secure Global Desktop必须建立到应用程序服务器的TCP/IP连接。应用程序的类型决定了需要开放的TCP端口号,例如:
- 22 – 使用SSH的X应用程序以及字符应用程序
- 23 – 使用Telnet的Windows,X,以及字符应用程序
- 3389 – 使用Windows Terminal Services的Windows应用程序
- 6010 以上 – X 应用程序
在使用Oracle Secure Global Desktop时,客户端设备永远不会直接连接到应用程序服务器。取而代之,客户端设备先会使用HTTP或者HTTPS以及Oracle的自适应网络协议(AIP)来连接到Oracle Secure Global Desktop。之后,Oracle Secure Global Desktop才会代替用户连接到应用程序服务器。
客户端设备通过如下的方式连接到Oracle Secure Global Desktop服务器:
- HTTP连接: 这是到Oracle Secure Global Desktop的Web服务器的连接。在Oracle Secure Global Desktop的Web服务,Oracle Secure Global Desktop的认证中使用,用以显示工作区。
- AIP连接: 这是在Oracle Secure Global Desktop客户端与Oracle Secure Global Desktop服务器之间的连接。用于显示应用程序。
为保证这些连接的安全性,请将Oracle Secure Global Desktop的Web服务器配置为安全Web服务器(HTTPS),并且开启Oracle Secure Global Desktop安全Web服务。
注意:SGD Gateway可以在客户端与Oracle Secure Global Desktop服务器间提供更高级别的安全性。在使用SGD Gateway时,客户端设备不会直接连接到Oracle Secure Global Desktop服务器上。
通过Oracle Secure Global Desktop服务器与应用程序服务器间的连接,可以用来启动应用程序服务器上的应用程序,从应用程序中收发数据,如键盘按下,显示更新等。
Oracle Secure Global Desktop与应用程序服务器间的安全级别取决于应用程序服务器的类型及其所使用的协议。
当使用Telnet协议时,所有的通信和密码传输都是以明文方式进行的。为保证到UNIX或者Linux应用程序服务器连接的安全性,请使用SSH。SSH会加密所有Oracle Secure Global Desktop主机间的连接,而且密码在传输前也会被加密。默认情况下,Oracle Secure Global Desktop会通过使用X认证来阻止未认证用户对X显示的访问,从而保证X显示的安全性。
Windows应用程序使用微软远程桌面协议(Microsoft Remote Desktop Protocol,RDP)。即,所有的通信过程都是加密过的,所以到Windows应用程序服务器的连接也是安全的。
安全水平还取决于运行Web应用程序的Web服务器,如下:
- HTTP Web服务器 - 所有的通信都没有加密
- HTTPS Web服务器 - 所有的通信都有加密
为了在Web应用程序服务器上使用安全连接,请使用HTTPS Web服务器。
为了能通过代理服务器连接到Oracle Secure Global Desktop,客户端设备可能会需要配置代理服务器的地址和端口号。Oracle Secure Global Desktop中也可能需要进行配置,以便能为客户端提供关于服务器端代理服务器的信息。
Microsoft Windows 远程桌面服务
Oracle Secure Global Desktop并不包含Microsoft Windows远程桌面服务的许可证。如果需要访问由Microsoft操作系统产品提供的远程桌面服务器功能,还需要从Microsoft购买额外的许可证。请先咨询你所使用的Microsoft操作系统产品相关的许可证协议,从而决定需要购买哪种类型的许可证。
Oracle Secure Global Desktop支持如下版本Microsoft Windows的RDP连接:
- Windows Server 2012, 2012 R2
- Windows Server 2008, 2008 R2
- Windows Server 2003, 2003 R2
- Windows 7 SP1
- Windows 8, 8.1
在Windows 7和Windows 8平台中,只支持Windows桌面会话功能。单独运行应用程序是不被支持的。显然,在这两个平台下,也不支持无缝窗口的应用程序。
Oracle Secure Global Desktop 支持如下Windows远程桌面服务功能:
- 音频录制
- 音频重定向
- 剪贴板重定向
- COM端口映射
- 压缩
- 驱动器重定向
- 多显示器
- 网络安全性(加密级别)
- 会话目录
- 智能卡设备重定向
- 时区重定向
- Windows打印机映射
Windows Server 2008 R2 和 Windows 7 支持最高为 44.1 kHz 的音频位速率。默认情况下,SGD 支持最高为 22.05kHz 的位速率。要支持最高为 44.1 kHz 的位速率,请在管理控制台中依次转至Global Settings(全局设置)和 ClientDevice(客户端设备)选项卡,并选择 Windows Audio: High Quality(Windows 音频:高质量)选项。
Oracle Secure Global Desktop在Windows远程桌面服务器会话中支持8位,16位,24位和32位的色深。
在Windows Server 2008,Windows Server 2008 R2和Windows 7平台中,也可以使用32位色深。为了显示32位色,客户端设备也必须能够显示32位色。
15位色深是不支持的。如果远程桌面服务器中指定了这样的色深,Oracle Secure Global Desktop会自动将色深调整为8位。
在Oracle Secure Global Desktop中,只能使用低级别的,或是与客户端相兼容的,或是高级别的加密。Oracle Secure Global Desktop不支持美国联邦信息处理标准 (Federal Information Processing Standards,FIPS)级别的加密。
从Microsoft Windows Server 2003开始,可以在服务器认证时使用传输层安全性(TLS)来加密终端服务器的通信过程。Oracle Secure Global Desktop不支持使用TLS。
X和字符应用程序
为了运行X应用程序和字符应用程序,Oracle Secure Global Desktop必须能够连接到应用程序服务器。Oracle Secure Global Desktop支持SSH和Telnet连接方式。SSH是安全连接的最佳选择。
Oracle Secure Global Desktop支持SSH v2或以上版本。由于SSH版本兼容性的问题,请在Oracle Secure Global Desktop服务器和应用程序服务器之间使用同一主要版本的SSH,v2或者v3。
如果使用SSH连接到X应用程序,还必须开启X转发。X转发功能的开启,可以通过配置SSH来实现,也可以在Oracle Secure Global Desktop中进行配置来实现。
Oracle Secure Global Desktop支持X安全性扩展。X安全性扩展只能工作在支持 -Y 选项的SSH版本中。对于OpenSSH来说,可以是版本3.8或以上版本。
Oracle Secure Global Desktop中包含了一个基于X11R7.6的X服务器。SGD支持如下X扩展的X应用程序:
- BIG-REQUESTS
- Composite
- DAMAGE
- DOUBLE-BUFFER
- GLX
- Generic Event Extension
- MIT-SCREEN-SAVER
- MIT-SHM
- RANDR
- RECORD
- RENDER
- SGI-GLX
- SHAPE
- SYNC
- X-Resource
- XC-MISC
- XFIXES
- XINERAMA
- XInputExtension
- XKEYBOARD
- XTEST
不支持下面的X扩展:
- XVIDEO
默认情况下,除了C和POSIX之外的locale语言设置下,Oracle Secure Global Desktop为所有UNIX平台的应用程序运行一个输入法(IM)程序。
SGD增强模块
SGD增强模块是Oracle Secure Global Desktop中一个软件组件,该组件能够安装在应用程序服务器上,当通过Oracle Secure Global Desktop显示和使用应用程序时提供如下增强机能:
- 高级负载均衡
- 客户端驱动器映射(只限于UNIX或者Linux平台)
- 无缝窗口(只限于Windows平台)
- 音频支持 (只限于UNIX或者Linux平台)
下表列出了SGD增强模块支持的安装平台:
TABLE 2. SGD增强模块支持的安装平台
| 操作系统 | 支持的版本 |
|---|---|
| Microsoft Windows (64位) | Windows Server 2008 R2, 2012 R2 |
| Oracle Solaris on SPARC platforms | Solaris 10 8/11 (update 10) or later Solaris 11 Trusted Extensions versions of the above |
| Oracle Solaris on x86 platforms | Solaris 10 8/11 (update 10) or later Solaris 11 Trusted Extensions versions of the above |
| Oracle Linux (32位和64位) | 5 6 |
SGD Web服务器
SGD Web服务器由Apache Web服务器和一个Tomcat JavaServer Pages(JSP)容器组成,为使用Oracle Secure Global Desktop而预先进行了配置。
TABLE 3. SGD Web服务器组件
| 组件名称 | SGD5.2中的组件版本 | SGD5.0中的组件版本 | SGD4.7中的组件版本 |
|---|---|---|---|
| Apache HTTP Server | 2.2.29 | 2.2.24 | 2.2.22 |
| OpenSSL | 1.0.1l | 1.0.0.k | 1.0.0.j |
| mod_jk | 1.2.40 | 1.2.37 | 1.2.37 |
| Apache Jakarta Tomcat | 7.0.57 | 7.0.37 | 7.0.29 |
| Apache Axis | 1.4 | 1.4 | 1.4 |
Apache Web服务器中包含了所有标准Apache模块作为共享对象。
Tomcat JSP容器中Java虚拟机(JVM)的最小堆内存配置是256MB。
支持的身份认证机制
对Oracle Secure Global Desktop用户作身份认证时支持如下的身份认证机制:
- 轻量级目录访问协议(LDAP) v3
- Microsoft Active Directory
- Network Information Service (NIS)
- Microsoft Windows域
- RSA SecurID
- Web服务器认证(HTTP/HTTPS 基本认证), 包含客户端证书的PKI
SGD Gateway
SGD Gateway是部署在隔离区(DMZ)中,Oracle Secure Global Desktop阵列之前的一个代理服务器。它使得Oracle Secure Global Desktop阵列能够部署在组织的内部网络之中。此外,在所有的连接到达阵列中Oracle Secure Global Desktop服务器之前,这些连接能够在DMZ中被认证。
SGD Gateway负责管理HTTP连接的负载均衡,因此不再需要使用Oracle Secure Global Desktop中内置的JSP负载均衡页面。
SGD Gateway由如下组件组成:
- 路由代理器 (Routing Proxy):是一个基于Java技术的应用程序,负责到Oracle Secure Global Desktop服务器的自适应网络协议(AIP)数据连接和Web Socket连接的路由功能。路由代理器的秘钥库中包含了SGD Gateway安全连接的证书和私钥。路由代理器使用路由令牌来管理AIP连接。路由令牌是一条经过签名和加密的信息,该令牌能够识别到Oracle Secure Global Desktop服务器路由的原地址和目的地址。
- 反向代理器 (Reverse Proxy):是一个Apache Web服务器,配置成反向代理模式。反向代理器也负责执行HTTP连接的负载均衡功能。
下表列出了受支持的SGD Gateway的安装平台:
TABLE 4. 受支持的SGD Gateway的安装平台
| 操作系统 | 支持的版本 |
|---|---|
| Oracle Solaris on SPARC platforms | • Solaris 10 [至少版本 8/11 (update 10)] • Solaris 11 |
| Oracle Solaris on x86 platforms | • Solaris 10 [至少版本 8/11 (update 10)] • Solaris 11 |
| Oracle Linux (仅64位) | • 5 (至少版本5.8) • 6 (至少版本 6.2) |
默认情况下,SGD Gateway被配置成最大支持同时100个HTTP连接,同时512个自适应网络协议(AIP)连接和同时512个Web Socket连接。《Oracle Secure Global Desktop 管理指南》的Appendix C中详细描述了如何对SGD Gateway进行调整以支持相应数量的用户。
Oracle Secure Global Desktop 服务器与SGD Gateway整合部署时,有如下需求:
- 安全模式:默认情况下,SGD Gateway使用安全连接连接到Oracle Secure Global Desktop服务器。因此必须在Oracle Secure Global Desktop服务器上开启安全连接。不能开启防火墙转发功能。
- 整合模式:在整合模式下,Oracle Secure Global Desktop客户端不能配置成连接到Oracle Secure Global Desktop服务器。
- Oracle Secure Global Desktop版本:最好使用与SGD Gateway相同版本(或高版本)的Oracle Secure Global Desktop服务器。
- 时钟同步:Oracle Secure Global Desktop服务器与SGD Gateway的系统时钟同步非常重要。请使用Network Time Protocol (NTP) 或者
rdate命令来保证时钟同步。
随SGD Gateway提供的Apache Web服务器版本是Apache 2.2.29。它包含了反向代理和负载均衡的标准Apache模块。这些模块作为动态共享对象(DSO)模块被安装进来。
SGD Gateway支持如下SSL连接的加密方式:
- SSL_RSA_WITH_RC4_128_MD5
- SSL_RSA_WITH_RC4_128_SHA
- TLS_RSA_WITH_AES_128_CBC_SHA
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_DHE_RSA_WITH_AES_128_CBC_SHA
- TLS_DHE_RSA_WITH_AES_256_CBC_SHA
- TLS_DHE_DSS_WITH_AES_128_CBC_SHA
- TLS_DHE_DSS_WITH_AES_256_CBC_SHA
- SSL_RSA_WITH_3DES_EDE_CBC_SHA
- SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA
- SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
也支持如下的加密方式,但是这些方式必须由用户来配置,请参考《Oracle Secure Global Desktop 管理指南》。
- SSL_RSA_WITH_DES_CBC_SHA
- SSL_DHE_RSA_WITH_DES_CBC_SHA
- SSL_DHE_DSS_WITH_DES_CBC_SHA
- SSL_RSA_EXPORT_WITH_RC4_40_MD5
- SSL_RSA_EXPORT_WITH_DES40_CBC_SHA
- SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA
- SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA
阵列的故障转移
阵列是指一组共享配置信息的Oracle Secure Global Desktop服务器集合。
由于阵列中的Oracle Secure Global Desktop服务器之间会共享关于用户会话以及应用程序会话的信息,所以在Oracle Secure Global Desktop主机之间功保持时钟同步很重要。请使用Network Time Protocol (NTP)软件或者rdate命令来保证所有Oracle Secure Global Desktop主机的时钟同步。
Oracle Secure Global Desktop阵列的故障转移默认是未开启的。
当阵列的故障转移启用时,在主服务器出现故障时,阵列会进行自我修复。
在阵列故障转移中,阵列中的辅助服务器会自动提升为主服务器。
在故障转移之后,Oracle Secure Global Desktop支持阵列的自动恢复。
故障转移过程,及其随后的恢复到原来阵列状态的过程叫做阵列回弹。
只有当要加入阵列的服务器时钟与阵列中其他服务器上的时钟同步时,才可以进行阵列添加操作。如果时间差超过1分钟的话,阵列添加操作会失败。
支持的Active Directory版本
Active Directory认证和LDAP认证时,支持如下版本的Active Directory:
- Windows Server 2003
- Windows Server 2003 R2
- Windows Server 2008
- Windows Server 2008 R2
- Windows Server 2012
- Windows Server 2012 R2
- 受支持的 LDAP 目录
Oracle Secure Global Desktop支持标准LDAP协议 v3。可以使用与LDAP v3兼容的任何目录服务器来作LDAP身份认证。但是,Oracle Secure Global Desktop仅支持如下版本的目录服务器:
- Oracle Unified Directory 11gR1 (11.1.1.x), 11gR2 (11.1.2.x)
- Oracle Internet Directory 11gR1 (11.1.1.x), 11gR2 (11.1.2.x)
- Oracle Directory Server Enterprise Edition 11gR1 (11.1.1.x)
- 以下Windows服务器版本中的Microsoft Active Directory:
- 2003
- 2003 R2
- 2008
- 2008 R2
- 2012
- 2012 R2
其他目录服务器可能会正常工作,但是不被官方支持。
支持的SecurID版本
Oracle Secure Global Desktop可以与如下版本的RSA Authentication Manager (也就是之前的ACE/Server)一起工作。
- 7.1 SP2, 7.1 SP3, 7.1 SP4
- 8.0, 8.1
Oracle Secure Global Desktop支持系统生成的PIN和用户创建的PIN。
支持的Oracle Identity Management
Oracle Secure Global Desktop可以与如下版本的Oracle Identity Management一起工作:
- Oracle Identity Management 11gR2 (11.1.2.x)
SSL支持
Oracle Secure Global Desktop支持TLS版本1.0,1.1以及1.2。
Oracle Secure Global Desktop支持Privacy Enhanced Mail (PEM) Base 64-encoded X.509证书。这种证书的结构如下:
-----BEGIN CERTIFICATE-----
...certificate...
-----END CERTIFICATE-----
Oracle Secure Global Desktop支持SSL证书的Subject Alternative Name(subjectAltName)扩展。
Oracle Secure Global Desktop也支持使用 *通配符来匹配域名的开始部分,例如,*.example.com。
Oracle Secure Global Desktop包含了对很多认证机构(CA)的支持。
在/opt/tarantella/etc/data/cacerts.txt文件中包含了SGD支持的所有CA证书的X.500 Distinguished Names (DNs) 和 MD5签名。对于未支持的CA签发的SSL证书,需要做额外的配置才能被支持。中级CA机构也是受支持的,但是如果认证链中的存在任何由未支持CA签发的证书,就需要做额外的配置。
Oracle Secure Global Desktop支持使用外部硬件SSL加速器,但是需要额外的配置。
Oracle Secure Global Desktop支持如下加密方式:
- RSA_WITH_AES_256_CBC_SHA
- RSA_WITH_AES_128_CBC_SHA
- RSA_WITH_3DES_EDE_CBC_SHA
- RSA_WITH_RC4_128_SHA
- RSA_WITH_RC4_128_MD5
- RSA_WITH_DES_CBC_SHA
SGD 客户端
下表列出了SGD客户端支持的客户端平台。同时也包含了在整合模式下使用SGD客户端时,受支持的浏览器和操作系统平台。
TABLE 6. 受支持的客户端平台
| 受支持的客户端平台 | 受支持的浏览器 |
|---|---|
| Microsoft Windows 8, 8.1 (32位和64位)仅限桌面模式 | Internet Explorer 10, 11 Mozilla Firefox 31.5 ESR, 34 Chrome |
| Microsoft Windows 7 (32位和64位) | Internet Explorer 10, 11 Mozilla Firefox 31.5 ESR, 34 Chrome |
| Sun Ray Software on Oracle Solaris (x86 and SPARC platforms): Solaris 10 8/11 (update 10) or later Solaris 11 |
Mozilla Firefox |
| Sun Ray Software on Oracle Linux (32位和64位): Oracle Linux 5 Oracle Linux 6 |
Mozilla Firefox Chrome |
| Oracle Linux (32位和64位): Oracle Linux 5 Oracle Linux 6 |
Mozilla Firefox 31.5 ESR, 34 Chrome |
| Ubuntu Linux 12.04, 14.04 (32位和64位) | Mozilla Firefox 31.5 ESR, 34 Chrome |
| Mac OS X 10.9, 10.10 | Safari 7, 8 Mozilla Firefox Chrome |
| Apple iPad on: iOS 7 iOS 8 |
Safari |
| Google Nexus 7 and Google Nexus 10 on: Android 4.0.3 and later Android 5 |
Chrome |
| Acer Chromebook and HP Chromebook on: Chrome OS 38.0 |
Chrome |
无论是在Mac OS X上还是iPad客户端设备上,Oracle Secure Global Desktop的管理员控制台都不支持Safari浏览器。
不支持测试版或者预览版的浏览器。
浏览器中必须启用JavaScript支持,必须能接受cookie。
在桌面环境中,为了支持如下机能,浏览器还必须启用对Java技术的支持:
- SGD客户端的自动下载和安装
- 从用户默认的浏览器中获取代理服务器设置
如果Java技术不可用的话,可以手动下载和安装SGD客户端。手动安装包在所有支持的客户端平台下都可以使用。
作为Java技术的插件,支持的版本是1.7和1.8。
在使用如iPad的平板设备时,Oracle Secure Global Desktop使用了基于HTML5的客户端来显示应用程序和桌面,这时会在一个新的标签页中显示(比如,在Safari浏览器中)。Oracle Secure Global Desktop的工作区也可以通过Safari浏览器来访问。
当用户在同一设备和浏览器上开启多个用户会话时,用户会话会进行合并,而不是用新会话顶替现有会话。对于这种用户会话的参与方式,浏览器必须配置为接受永久cookie。如果不允许永久cookie的话,用户会话总会被关闭,这会导致应用程序窗口消失。
为了最佳的效果,客户端设备必须配置成至少上千种色。
SGD客户端和工作区支持如下多国语言:
- English
- French
- German
- Italian
- Japanese
- Korean
- Portuguese (Brazilian)
- Spanish
- 简体中文
- 繁体中文
支持的代理服务器
在通过代理服务器连接到Oracle Secure Global Desktop时,代理服务器必须支持隧道功能。可以使用HTTP,Secure (SSL)或者SOCKS v5的代理服务器。对于SOCKS v5的代理服务器来说,Oracle Secure Global Desktop支持基本认证和No Authentication Required方式。在服务器端无需任何配置。
打印支持
Oracle Secure Global Desktop支持两种打印方式:PDF打印和打印机直接打印。
- 对于PDF打印来说,Oracle Secure Global Desktop使用Ghostscript来把打印任务转换为PDF格式的文件。Ghostscript的发行版中必须包含ps2pdf程序。为保证最佳效果,请安装最新版本的Ghostscript。
- Oracle Secure Global Desktop支持客户端设备上的如PostScript,Printer Command Language (PCL)以及纯文本打印机的直接打印。Oracle Secure Global Desktop的
tta_print_converter脚本会为客户端打印机正确地格式化打印任务。tta_print_converter脚本使用Ghostscript把Postscript转化成PCL。为支持这种转换过程,Oracle Secure Global Desktop服务器上必须先安装Ghostscript。为了保证最佳效果,请下载和安装其他需要的字体。
为了使用PDF打印,在客户端设备上必须安装PDF查看器。Oracle Secure Global Desktop默认支持如下PDF查看器:
TABLE 7. 受支持的PDF查看器
| 客户端平台 | 默认的PDF查看器 |
|---|---|
| Microsoft Windows platforms | Adobe Reader, 至少版本4.0 |
| Sun Ray Software on Oracle Solaris (SPARC platforms) | GNOME PDF Viewer (gpdf) Adobe Reader (acroread) |
| Sun Ray Software on Oracle Solaris (x86 platforms) | GNOME PDF Viewer (gpdf) |
| Oracle Linux | GNOME PDF Viewer (gpdf) Evince Document Viewer (evince) X PDF Reader (xpdf) |
| Mac OS X | Preview App (/Applications/Preview.app) |
在Windows应用程序服务器上默认的PDF打印驱动是HP Color LaserJet 2800 Series PS。在平板设备上,会使用浏览器插件来显示PDF文件。
支持的智能卡
Oracle Secure Global Desktop中可以使用与任何Microsoft远程桌面服务支持的,与PC智能卡(PC/SC)兼容的智能卡和读卡器。
附录1:Oracle Secure Global Desktop整体构架图
