Guide de Sécurité. Alcatel-Lucent OmniVista 4760 Network Management System

Transcription

1 Alcatel-Lucent OmniVista 4760 Network Management System Guide de Sécurité Alcatel-Lucent OmniVista 4760 Network Management System All Rights Reserved Alcatel-Lucent 2010

2 Informations légales : Alcatel, Lucent, Alcatel-Lucent et le logo Alcatel-Lucent sont des marques d Alcatel-Lucent. Toutes les autres marques appartiennent à leurs propriétaires respectifs. Les informations présentées sont sujettes à modification sans préavis. Alcatel-Lucent ne peut être tenu pour responsable de l inexactitude de ces informations. Copyright 2010 Alcatel-Lucent. Tous droits réservés. Le marquage CE indique que ce produit est conforme aux directives communautaires suivantes : /108/EC (Compatibilité électromagnétique) /95/EC (Sécurité Basse Tension) /5/EC (R&TTE)

3 Chapitre 1 Introduction Chapitre 2 Procédure recommandée pour le déploiement d une solution OmniVista 4760 en environnement sécurisé Choix et configuration du système d exploitation Définition de l environnement réseau Sécurisation des données PCX Sécurisation des données de l'omnivista Bonnes pratiques en cas de détection d une faille de sécurité Chapitre 3 Déploiement d'omnivista 4760 dans un environnement Windows sécurisé Généralités Compatibilité avec le système d exploitation Généralités

4 Type de matériel Système d exploitation et Service Pack Personnalisation de Windows (suppression de services et de fichiers) Émulation Windows : VM-Ware, MS Virtual Server Services constructeur Carte mère Compatibilité et utilisation des services Windows Au cours de l installation / mise à jour En cours de fonctionnement Outils de sécurité Compatibilité avec les logiciels antivirus Compatibilité avec le pare-feu Windows Compatibilité avec un proxy Renforcement de la sécurité avec SynAttackProtect Renforcement de la sécurité avec DEP Compatibilité avec les applications externes Étude de compatibilité Compatibilité en termes de performances Fichiers dll Java Run Time Ports et Services IP Compatibilité avec les outils de sauvegarde PC Compatibilité avec les outils de connexion à distance Compatibilités avec d'autres applications Alcatel Lucent Gestion de comptes Windows utilisés par le serveur OmniVista Compte pour installation Compte à utiliser pour le lancement d un client OmniVista Opérations de maintenance avec ressources réseau Planification de l exportation ou de l impression de rapports Archivage et restauration des fichiers de taxation Collecteur de fichiers de taxation Réception d alarmes urgentes de l OmniPCX Office Gestion du partage de répertoires Gestion de l OmniPCX Office Partage de OmniVista 4760_ARC

5 Autres partages Envoi de message électronique ( s) Chapitre 4 Déploiement d OmniVista 4760 dans une configuration réseau sécurisée Trafic IP sur serveur OmniVista Trafic IP sur client OmniVista Trafic IP sur OmniPCX Enterprise pour la gestion de l'omnivista Trafic IP sur l'omnipcx Office pour la gestion de l'omnivista Trafic IP sur un hyperviseur Trafic IP sur un Fonctionnement de l'omnivista 4760 sur un réseau VPN/NAT PRÉSENTATION Protocole VPN/NAT Accès du client OmniVista 4760 au serveur via NAT Accès du serveur OmniVista 4760 à l'alcatel-lucent OmniPCX Enterprise Communication Server via NAT Accès du serveur OmniVista 4760 à l'omnipcx Office via NAT Accès du serveur OmniVista 4760 au client d'annuaire Web 4059 via NAT 4.12 Dépannage du transfert FTP Chapitre 5 Sécurisation des données PCX en cas de gestion par un serveur OmniVista 4760 Alcatel-Lucent OmniPCX Enterprise CS Mise en œuvre de Connexion SSH

6 Sécurisation de l'accès à l'alcatel-lucent OmniPCX Enterprise CS OmniPCX Office Configuration Synchronisation des données OmniPCX Office Accès Internet Chapitre 6 Sécurisation des données OmniVista 4760 Configuration autonome Déploiement du protocole IPSec dans une configuration serveur-clients distants Configuration requise Implémentation Restriction Configuration Sécurité d accès aux applications OmniVista Application Sécurité Confidentialité des données d annuaire Confidentialité des données de taxation et d observation de trafic Procédure de changement des mots de passe Sécurisation des notifications d alarmes urgentes OmniPCX Office Sécuriser l accès à l annuaire LDAP par des applications externes Autres Recommandations

7 Ce guide de sécurité a pour objectif de fournir aux administrateurs de l'alcatel-lucent OmniVista 4760 Network Management System (désigné par OmniVista 4760 dans ce document) les informations nécessaires à la prise en compte des éléments de sécurité lors du déploiement ainsi que les méthodes à appliquer pour sécuriser ce système de gestion des OmniPCX Alcatel-Lucent. La section 2 présente la procédure à suivre pour déployer l'omnivista 4760 dans un environnement contenant des éléments de sécurité et pour renforcer la sécurité de la gestion d'omnipcx par l intermédiaire de l'omnivista Les informations et procédures requises pour chacune de ces étapes sont détaillées dans les sections suivantes : - Les sections 3 et 4 fournissent les recommandations et informations à prendre en compte avant d'intégrer l'omnivista 4760 dans un environnement sécurisé (au niveau du système d'exploitation ou du réseau), ainsi que les procédures à appliquer pour que certaines applications de l'omnivista 4760 fonctionnent avec les ressources réseau. - Les sections 5 et 6 indiquent les moyens à mettre en œuvre pour renforcer la sécurité des données collectées ou gérées par l'omnivista La section 7 indique l'url de l'équipe de résolution des incidents de sécurité pour les produits Alcatel-Lucent et comment rapporter une vulnérabilité de sécurité. 1-1

8 Chapitre 1 1-2

9 2.1 Choix et configuration du système d exploitation Recommandations : - Serveur OmniVista 4760 : Windows 2003 SP2 recommandé Profil de sécurité recommandé : serveur membre. Pare-feu : activé, accepter les exceptions concernant les programmes utilisés par le serveur OmniVista Client OmniVista 4760 : Windows XP SP3 recommandé Pare-feu : activé, accepter les exceptions concernant les programmes utilisés par le client OmniVista Mise à jour avec Windows Update : Uniquement pour patch de sécurité. Installer les hotfixes de sécurité de Windows. Lors de l installation, il est nécessaire de sélectionner les options permettant ensuite de désinstaller tout hotfix ou service pack de Windows. Antivirus : activer et assurer la mise à jour d un système antivirus sur les ordinateurs hébergeant les applications OmniVista 4760 (client ou serveur). - Mise en oeuvre: Voir module Sécurité - Deploying the OmniVista 4760 in a Secure Windows Environment pour le déploiement de l application OmniVista 4760 dans un environnement Windows sécurisé. La mise en place de profils de sécurité Windows a pour effet d arrêter certains services système ; il faut donc s assurer que les services nécessaires à l installation et au fonctionnement du serveur OmniVista 4760 sont démarrés. 2.2 Définition de l environnement réseau Note : Ce guide de sécurité présente les solutions à mettre en œuvre en cas de connectivité ethernet entre les équipements OmniPCX et OmniVista Dans le cas d une autre connectivité (PPP), les mêmes recommandations et procédures pourront être appliquées mais des protocoles et services supplémentaires devront être activés. Il est par ailleurs possible d ajouter un niveau d authentification supplémentaire en cas d activation du protocole PPP. Recommandations : 2-1

10 Chapitre 2 Figure 2.1 : Exemple de déploiement sur un réseau privé client (intranet) Les clients OmniVista 4760 distants sont facultatifs. N installer que les clients utiles. La configuration autonome (client local au serveur) réduit le risque d attaque contre le serveur OmniVista Pour renforcer la sécurité du serveur OmniVista 4760 : - Installer le serveur dans le même sous-réseau que les PCX. - Lancer les applications OmniVista 4760 à partir de clients OmniVista 4760 connectés au serveur via un tunnel Ipsec. Choix de l implémentation dans des domaines Windows : Le serveur OmniVista 4760 et ses clients distants peuvent être configurés dans un groupe de travail (les clients doivent être dans le même groupe de travail que le serveur) et non dans des domaines Windows. Ceci facilite la configuration du serveur (et de ses services) et permet d éviter les impacts des modifications de droits de sécurité des domaines du réseau. Mais, dans ce contexte, le serveur ne pourra pas utiliser les ressources situées hors de ce Workgroup (imprimante, disques de sauvegardes...etc). Lorsque le serveur OmniVista 4760 et ses clients distants sont configurés dans un domaine Windows, suivre les recommandations des sections 3.5 et 3.6 pour ouvrir l accès aux ressources réseau tout en conservant un bon niveau de sécurité. Mise en oeuvre: Se reporter à la section module Sécurité - Deploying the OmniVista 4760 in a Secure Network Configuration pour le déploiement de l application OmniVista 4760 dans un environnement réseau contenant des éléments de sécurité. 2-2

11 2.3 Sécurisation des données PCX - Recommandations : OmniPCX Enterprise : déployer la sécurité SSH (disponible uniquement pour les OXE>= 6.0) et le controle d accès OmniPCX Office : suivre les recommandations de sécurité fournies par le support technique d OmniPCX Office. - Mise en oeuvre: Voir module Sécurité - How to Secure the OmniVista 4760 Data? pour renforcer la sécurité des données d un OmniPCX Alcatel-Lucent en cas de gestion à distance par un serveur OmniVista Se reporter aux notices de sécurité respectives des systèmes OmniPCX. 2.4 Sécurisation des données de l'omnivista Recommandations : Mettre en œuvre les outils de sécurité des applications OmniVista 4760 (voir section 6) : Déployer Ipsec dans une configuration serveur- clients distants Mettre en œuvre la sécurité d accès aux applications OmniVista 4760 Procéder de façon régulière aux changements de mots de passe Sécuriser l accès à l annuaire LDAP par des applications externes Suivre les recommandations de sécurité de Microsoft lorsqu elles sont compatibles avec le fonctionnement des applications OmniVista Mise en oeuvre: Voir module Sécurité - How to Secure the OmniVista 4760 Data? pour renforcer la sécurité des données d un OmniVista Bonnes pratiques en cas de détection d une faille de sécurité - La faille concerne un composant Microsoft : Installer les hotfixes de sécurité de Windows correspondant à la faille. - La faille de sécurité concerne un composant utilisé par l'omnivista 4760 : Programmer une sauvegarde régulière du serveur OmniVista Contacter le service Support Technique d'alcatel-lucent pour signaler cette faille de sécurité. Installer, dès sa sortie, la version de l'omnivista 4760 implémentant le correctif de sécurité. - La faille de sécurité concerne une application externe à l'omnivista 4760 : Programmer une sauvegarde régulière du serveur OmniVista Contacter le fournisseur de l application externe concernée et suivre ses recommandations de sécurité. Si ces dernières s avèrent incompatibles avec les recommandations de sécurité décrites dans ce guide, contacter le service Support Technique d'alcatel-lucent. 2-3

12 Chapitre 2 2-4

13 Objectif de ce chapitre : fournir les procédures et paramétrages à appliquer pour déployer et utiliser l'omnivista 4760 dans un environnement Windows sécurisé (système d exploitation sécurisé par des éléments et méthodes de sécurité). 3.1 Généralités Le déploiement de l'omnivista 4760 dans un environnement Windows requiert les conditions suivantes : - Compatibilité entre l'omnivista 4760 et le système d'exploitation. - Activation des services Windows requis pour l installation et le fonctionnement de l'omnivista 4760, et désactivation des services gênant l installation ou le fonctionnement de l'omnivista Compatibilité entre l'omnivista 4760 et les outils de sécurité installés dans l environnement Windows. - Compatibilité entre l'omnivista 4760 et les autres applications externes installées dans le même environnement. - Configuration de comptes Windows et de ressources réseau pour un fonctionnement sécurisé. 3.2 Compatibilité avec le système d exploitation Généralités La compatibilité entre l'omnivista 4760 et un système d exploitation inclut les conditions suivantes : - Compatibilité avec le matériel - Compatibilité avec le Système d exploitation - Compatibilité avec les services packs installés - Compatibilité avec le type d installation du système d exploitation - Compatibilité avec la personnalisation (ou le paramétrage spécifique) du système d exploitation installé Il importe donc de se conformer aux prérequis du manuel d installation de l'omnivista 4760, ainsi qu aux procédures d installation et de désinstallation de l'omnivista Type de matériel Certains fabricants de PC peuvent spécifier le type de système d exploitation. Par conséquent, avant même d envisager la compatibilité de l'omnivista 4760, s'assurer que le matériel peut prendre en charge le système d exploitation choisi. - Exemple Le serveur HP/Compaq ML370 ne prend pas en charge les systèmes d'exploitation de poste de travail ou professionnels. Seul un système d'exploitation serveur peut être utilisé (Windows 3-1

14 Chapitre 3 XP Professionnel, Windows 2003, Vista, etc.). Sur certains PC, en particulier le HP ML370G4, l'installation du Service Pack 1 pour Windows 2003 Server nécessite la mise à jour du Bios et de certains pilotes Système d exploitation et Service Pack - Compatibilité Le tableau ci-après indique les versions de Windows et les Service Packs pris en charge par la version R5.1.1 de l application OmniVista tableau 3.1 : Configuration requise Petite capacité Moyenne capacité Grande capacité Capacité d'abonnés <250 abonnés 250 à utilisateurs Système d'exploitation Windows XP Professionnel (Service Pack 3) Windows 2003 Serveur Standard Edition (Service Pack 2 minimum obligatoire) Windows Vista Navigateur Internet Mozilla FireFox 2.0 Internet Explorer version 7.0 > abonnés Windows 2003 Serveur Standard Edition (Service Pack 2 minimum obligatoire) - Incompatibilités connues : Les fonctions de contrôleur de domaine, de serveur Web et de serveur FTP livrées avec le système d exploitation ne doivent pas être installées Personnalisation de Windows (suppression de services et de fichiers) À compter de la version R5.1.1, les services Telephony et Remote Access Connection manager ne sont requis que pour la connexion PPP. Pour des raisons de sécurité, il faut désactiver le service Remote Access Connection manager lorsque la connexion PPP n'est pas utilisée. La désactivation du service Remote Access Connection manager arrête le service NMC Comserver. Pour vous assurer que le service NMC Comserver est arrêté, modifiez le fichier NMComserver.log. L'indication No modem indique que le service NMC Comserver est arrêté. Pendant l'accès à la configuration PCX, le message suivant s'affiche : No URL Scheme specified. La désactivation du service Server interdit l utilisation des partages Windows. En particulier, ceux situés sous 4760_arc ne seront plus visibles, ce qui empêchera l'installation de l'omnivista 4760 pendant la phase : Launch svsharename. La solution dans ce cas consiste à relancer le service Server. Par défaut, sous Windows, chaque fichier possède un nom long et un nom court (exemple : C:\program file et C:\program~1). Ce comportement de Windows ne doit pas être modifié. En effet, la suppression des noms de fichier courts empêcherait l accès à la base de données Sybase pendant l installation et donc empêcherait l installation du serveur OmniVista Exemple : 3-2

15 Sybase est installé sous C:\program files\sybase\sql Anywhere 9. - Si les noms courts sont autorisés, l'omnivista 4760 peut accéder à C:\progra~1\SQLany~1\win32\dbisql. - Dans le cas contraire, l'omnivista 4760 tente d'utiliser C:\program files\sybase\sql Anywhere 9\win32\dbisql, ce qui génère une erreur dans le fichier _4760_log_Setup\batch\dbsiql.log. Procédure pour activer la création des noms courts : 1. Cliquer sur Démarrer puis Exécuter, puis saisir regedit et valider. 2. Dans le registre Windows, localisez la clé suivante HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem. 3. Modifiez la valeur DWORD de la façon suivante : NtfsDisable8dot3NameCreation = Émulation Windows : VM-Ware, MS Virtual Server 2005 VM-Ware et MS Virtual Server permettent de démarrer des machines virtuelles. Ainsi, plusieurs systèmes d'exploitation peuvent s'exécuter simultanément sur un seul serveur physique. Le serveur OmniVista 4760 est compatible avec la plate-forme Vmware à partir de la version R Cependant, MS Virtual Server n'est toujours pas pris en charge, en particulier dans un environnement de production : il n'existe pas de tests de performance, ni de validation. Dans le cadre de l'omnivista 4760, de tels outils ne pourront être mis en œuvre que pour des tests d'interface ou pour des captures d écran destinées à la documentation Services constructeur Les fabricants de PC fournissent des outils permettant d'administrer une base de PC installée. Ces outils peuvent utiliser des services ou des fichiers dll incompatibles déjà présents dans l'application OmniVista Exemple de problèmes connus : Les serveurs de la gamme Compaq/HP sont livrés avec les services Compaq/Agent Foundation. Ces services s appuient sur le service Windows SNMP. Si ce service SNMP est démarré, l installation échoue. Les serveurs DELL sont livrés avec le service DELL open management qui s appuie sur une ancienne version du fichier dll de notification, JTC1012.dll. Lorsque cette DLL est chargée avant celle de l'omnivista 4760, les notifications ne sont plus prises en compte : désinstallez l'utilitaire et vérifiez le chemin de Windows Carte mère Le serveur OmniVista 4760 doit pouvoir arrêter, désinstaller et réinstaller ses propres services NMC. Sur certains PC, le mode d arrêt et de redémarrage des services peut être modifié. Cette modification empêche le redémarrage du serveur OmniVista Exemple de dysfonctionnement : arrêt du PC - correction : Un arrêt Windows envoie un signal vers les services pour leur demander de s'arrêter. Si ce signal ne peut pas être émis/intercepté à temps, le PC risque de redémarrer avec un état transitoire: service en cours de suppression. Il faudra un second arrêt du PC pour 3-3

16 Chapitre 3 réellement supprimer ces services. Le problème apparaît sur un PC Intel (fourni par PERTEC) lorsqu'il est équipé de carte mère S815EBM1. Cette carte mère équipe les PC avec la référence : NEXPCS815E, NEX1120C. Arrêter le service NMC service manager avant l'arrêt du PC : Ecrire un script Stop.bat contenant la ligne net stop «NMC Service Manager» Forcer Windows à exécuter le script à l'arrêt du PC : Ouvrir le composant Stratégie de groupe en lançant C:\WINNT\SYSTEM32\gpedit.msc Sélectionner Configuration ordinateur -> Paramètre Windows -> Scripts (démarrage/arrêt) -> Arrêter le système. Ajouter le fichier Stop.bat. 3.3 Compatibilité et utilisation des services Windows Au cours de l installation / mise à jour - Installation du serveur OmniVista 4760 : Le tableau ci-après répertorie les services Windows devant être démarrés pendant l installation du serveur OmniVista tableau 3.2 : Services Windows requis pour l'installation de l'omnivista 4760 Nom affiché Nom Image Commentaires Protected Storage ProtectedStorage Lsass.exe Remote procedure call Security account manager RPCSS sasms SvcHost.exe Lsass.exe Network Connections Network Connections SvcHost.exe Windows Firewall/Internet Connection Sharing (ICS) NetBIOS over TCP/IP driver (Direct hosted SMB traffic mode) NetBIOS over TCP/IP driver (NBT mode) TCP/IP NetBIOS helper SharedAccess SvcHost.exe Netbt.sys Netbt.sys Nécessaire en cas d utilisation de partages réseau. Nécessaire en cas d utilisation de partages réseau. LmHosts SvcHost.exe Nécessaire en cas d utilisation de Net- BIOS over TCP/IP DNS client DnsCache SvcHost.exe Obligatoire pendant l installation du serveur OmniVista 4760, ce service pourra être désactivé après l installation. 3-4

17 Serveur LanmanServer SvcHost.exe Le tableau ci-après répertorie les services Windows devant être arrêtés pendant l installation du serveur OmniVista tableau 3.3 : Services Windows à arrêter pour l'installation du serveur OmniVista 4760 Nom affiché Nom Image Commentaires Application Layer Gateway Service Agl Agl.exe Il faut désactiver le service AGL pendant l installation de l'omni- Vista Installation du client v : Le tableau ci-après répertorie les services Windows devant être arrêtés pendant l installation du client OmniVista tableau 3.4 : Services Windows à arrêter pour l'installation du client OmniVista 4760 Nom affiché Nom Image Commentaires Application Layer Gateway Service Agl Agl.exe Il faut désactiver le service AGL pendant l installation de l'omni- Vista En cours de fonctionnement - Serveur Alcatel-Lucent Le tableau ci-après répertorie les services devant être démarrés pour un fonctionnement normal du serveur v. Nom affiché Nom Nom de l image Commentaires Protected Storage Remote procedure call Security account manager Network Connections Windows Firewall/Internet Connection Sharing (ICS) Remote Access Connection Manager Remote Administration Service ProtectedStorage Lsass.exe RPCSS sasms Network Connections SharedAccess RasMan srvcsurg SvcHost.exe Lsass.exe SvcHost.exe SvcHost.exe SvcHosts.exe srvcsurg.exe Telephony TapiSrv SvcHosts.exe 3-5

18 Chapitre 3 Nom affiché Nom Nom de l image Commentaires Plug And Play PlugPlay Services.exe IPSec Services PolicyAgent Lsass.exe Nécessaire lorsque le protocole IP- Sec est utilisé pour: Accéder au serveur OmniVista 4760 depuis un client distant OmniVista Utilisez le logiciel OMC sur un client distant OmniVista 4760 pour accéder au répertoire LDAP à partir d'une application externe : 4059, duplication LDAP, OXE-Phonebook, etc. Routing and Remote Access NetBIOS over TCP/IP driver (Direct hosted SMB traffic mode) TCP/IP NetBIOS helper RemoteAccess SvcHosts.exe Englobe des fonctionnalités de parefeu et n est pas compatible avec le pare-feu de Windows. Dans ce cas, vous devez arrêter le pare-feu de Windows et le service ICS de partage de connexion Internet. Service nécessaire pour la remontée d alarmes urgentes d OmniPCX Office en connectivité PPP uniquement. LmHosts Netbt.sys SvcHost.exe Nécessaire pour l utilisation de ressources réseau partagées. Net Logon NetLogon Lsass.exe Nécessaire en cas de partages réseau pour : Accéder à des ressources réseau depuis le serveur OmniVista 4760 Accéder aux annuaires du serveur 4760 Configurer OmniPCX Office (utilisation du logiciel OMC sur le serveur OmniVista 4760 ou sur des clients distants) Serveur LanmanServer SvcHost.exe Nécessaire en cas d utilisation de partages réseau pour : Accéder aux annuaires du serveur 4760 Configurer OmniPCX Office (utilisation du logiciel OMC sur le serveur OmniVista 4760 ou sur des clients distants) 3-6

19 Nom affiché Nom Nom de l image Commentaires Workstation service LanmanWorstation SvcHost.exe Nécessaire en cas d utilisation de partages réseau pour : Accéder à des ressources réseau depuis le serveur OmniVista 4760 Accéder aux annuaires du serveur 4760 Configurer OmniPCX Office (utilisation du logiciel OMC sur le serveur OmniVista 4760 ou sur des clients distants) Print Spooler Spooler Spoolsv.exe Nécessaire pour imprimer dans les cas suivants : Utilisation de l imprimante réseau depuis le serveur OmniVista 4760 Impression de rapports Apache Apache httpd.exe NMC Alarm Server Serveur d'audit NMC NMC Communication Server NMC CMISE Server NMC Executables Launcher Serveur d'audit NMC NMC Communication Server NMC CMISE Server NMC Executables Launcher NMC Alarm Server FaultManager.exe AuditServer.exe ComServer.exe cmisd.exe execdex.exe NMC Extractor NMC Extractor extractor.exe NMC GCS NMC GCS GCSAdmin.exe Administration Server NMC GCS Config Server NMC License Server Administration Server NMC GCS Config Server NMC License Server GCSConfig.exe LicenseServer.exe NMC Loader NMC Loader loader.exe NMC Save Restore save_restore.exe NMC Scheduler NMC Scheduler scheduler.exe NMC Security Server NMC PBX/Ldap Synchronization NMC Security Server NMC PBX/Ldap Synchronization NMC Save Restore securityserver.exe SyncLdapPbx.exe 3-7

20 Chapitre 3 Nom affiché Nom Nom de l image Commentaires NMC Service Manager NMC50 Data- Base Orbacus Notify Service SunOne Administration Server 5.2 SunOne Directory Server 5.2 Serveur ACAPI CMISE Acapi communication server Acapi GCS administration server Acapi GCS conf server Acapi GCS LDAP server ACAPI notification proxy NMC Service Manager NMC50 Data- Base Orbacus Notify Service SunOne Administration Server 5.2 SunOne Directory Server 5.2 ACAPI alarm server AcapiAlarmsServer svc_mgr.exe dbsrv9.exe ns_service.exe ns-httpd.exe ns-slapd.exe Plugger.exe AcapiCmisd Cmisd.exe Serveur ACAPI CMISE AcapiComServer ComServer.exe AcapiGCSAdmin GCSAdmin.exe Acapi GCS administration server AcapiGCSConfig AcapiLDAPsServer AcapiNotification- Proxy GCSAdmin.exe slapd.exe Notification- Proxy.exe ACAPI rescue AcapiRescue rescue.exe ACAPI Service Manager Alcatel Backup Service Alcatel DataAccess Service Alcatel Database Server Alcatel Device Management Core Alcatel Events Server Alcatel FLEXlm Service Acapi OpenLDAP Server AcapiSvcMgr svc_mgr.exe ACAPI Service Manager Alcatel Backup Service Alcatel DataAccess Service Alcatel Database Server Alcatel Device Management Core Alcatel Events Server Alcatel FLEXlm Service backup.exe data_access_servic e.exe dbsrv10.exe device_managemen t_core.exe events_server.ex e Lmgrd.exe Sauvegarde fournit des données sur les utilisateurs et les applications Permet aux services d'envoyer des événements et aux applications ou services d'ouvrir des abonnements pour recevoir ces événements. 3-8

21 Nom affiché Nom Nom de l image Commentaires Alcatel Logs Rotate Service Alcatel OpenL- DAP-DB-Recover Alcatel OpenL- DAP-slapd Alcatel PBX Management Service Alcatel Supervision Agent Alcatel Supervision Client Alcatel Unified Management Framework Core Alcatel Universal Directory Access Service Alcatel Logs Rotate Service Alcatel OpenL- DAP-DB-Recover Alcatel OpenL- DAP-slapd Alcatel PBX Management Service Alcatel Supervision Agent Alcatel Supervision Client alc_logs_rotate.e xe DBRecoverNT- Service.exe slapd.exe pcx_management _service.exe supervision_agent.exe supervision_client.exe Alcatel Unified unified_managemen Management Framework Core t_framework_cor e.exe Alcatel Universal Directory Access Service universal_directory_acc ess_service.exe Fournit la rotation de journaux gère la configuration des abonnés d'un réseau pbx Fournit un agent de supervision Fournit un client de supervision Fournit un noyau d'infrastructure de gestion unifiée Fournit un accès unifié aux répertoires d'entreprise Apache Apache httpd.exe Apache/ (Win32) mod_jk/ mod_ssl/2.2.6 OpenSSL/0.9.7l Le tableau ci-après répertorie les services devant être arrêtés pendant le fonctionnement du serveur OmniVista tableau 3.6 : Services Windows à arrêter pour le fonctionnement du serveur OmniVista 4760 Nom affiché Nom Nom de l image Commentaires Application Layer Gateway Service Agl Agl.exe Il faut désactiver AGL. Cependant en cas de dysfonctionnement avec le pare-feu Windows, ICS (Internet Connection Sharing) ou un logiciel externe (tel qu un logiciel anti virus ou tout logiciel incorporant des transferts automatiques via FTP), il peut être nécessaire de démarrer ALG. 3.4 Outils de sécurité Compatibilité avec les logiciels antivirus 3-9

22 Chapitre 3 - Compatibilités : Les applications OmniVista 4760 (serveur et client) fonctionnent correctement en présence d un système antivirus MacAfee et Norton. - Autres logiciels antivirus : Tout autre système antivirus peut être déployé sur un PC hébergeant un serveur ou un client OmniVista En cas d incompatibilité détectée, il est recommandé de contacter le support OmniVista a. Cas de ralentissement du lancement client : L antivirus est configuré pour analyser les fichiers compressés et/ou d extension.jar. Dans ce cas, le premier lancement du client OmniVista 4760 est ralenti de 2 à 3 minutes. Sous McAfee, l'option d'extension de fichiers *.jar ou l'analyse interne des fichiers archive est activée. Fonction Wormstopper: Lorsque l antivirus intègre la fonction Wormstopper, les s de notification des alarmes sont bloqués. En effet, la plupart des nouveaux virus se propageant par courrier électronique. WormStopper arrête les nouveaux virus diffusés par publipostage en détectant l'activité. La fonction WormStopper : Détecte l'envoi d' s à plus de 40 destinataires Détecte l'envoi de plus de 5 s en moins de 30 secondes Vérifie le contenu des s répétitifs Vérifie les noms des binaires qui tentent d'envoyer des s L antivirus doit être reconfiguré pour permettre à l'omnivista 4760 d'émettre une alerte . L'OmniVista 4760 attend au minimum 3 secondes entre l'envoi de 2 s. Si d'autres alertes surviennent, ce délai est augmenté. La version 8 de MacAfee intã gre cette fonction Wormstopper (Menu Advance ActiveShield setting). Il est recommandé de définir sur 15 secondes le délai d'autorisation d'envoi de 5 s successifs. Si les binaires sont contrôlés pour ajouter le programme responsable de l'envoi d' s : Sur le serveur, au niveau de l'option antivirus, ajoutez Javaw.exe, Extractor.exe, Faultmanager.exe. Sur le client, au niveau de l'option antivirus, ajoutez Javaw.exe. Configurer l'antivirus, l'option antispam et l'option wormstopper pour : activer le protocole de messagerie (smtp port 25) ; permettre aux binaires OmniVista 4760 (javaw.exe) d'utiliser le protocole de messagerie ; augmenter le nombre d' s autorisés (par exemple, la fonction wormstopper peut limiter le nombre d' s provenant d'un PC à six par minute) Compatibilité avec le pare-feu Windows - Compatibilités et configuration : Le serveur et le client OmniVista 4760 sont compatibles avec le pare-feu de Windows XP SP3, Windows 2003 SP2 et Vista. Pendant l installation ou la mise à jour du serveur et du client OmniVista 4760, il est recommandé d accepter la configuration du pare-feu de Windows dans le programme d installation. Cette configuration automatique s applique uniquement au pare-feu Windows (sous Windows XP SP3, Windows 2003 SP2 ou Vista). 3-10

23 - Autres pare-feu : Pour tous les autres pare-feux, vous devez procéder à une configuration manuelle. Le pare-feu doit vous laisser pénétrer par les ports IP nécessaires à l'omnivista 4760 sans délai. Dans le cas de pare-feu à mémoire d état (statefull), il doit pouvoir gérer une multi-connexion d un client vers un port précis du serveur. Côté serveur OmniVista 4760 : Le tableau ci-après répertorie les programmes dont il faut autoriser l exécution : tableau 3.7 : Programmes à autoriser sur le serveur OmniVista 4760 Programme à autoriser Emplacement par défaut du programme Commentaires dbeng10.exe dbisqlg.exe scjview.exe slapd.exe httpd.exe omc.exe dbisql.exe Sybase\SQL Anywhere 10\win32 Sybase\SQL Anywhere 9\win32 Program- Files\SQLAnywhere10 \SybaseCentral5.0.0\win32 Netscape\server5\bin\slapd\ server\ 4760\Apache2\bin\ Program Files\PCXTools\OMC\ Sybase\SQL Anywhere 9\win32\ Uniquement en cas de gestion d OmniPCX Office iexplore.exe Internet Explorer\ Pour l utilisation d Internet Explorer sinon autoriser le programme Firefox javaw.exe FaultManager.exe ComServer.exe cmisd.exe execdex.exe extractor.exe GCSAdmin.exe GCSConfig.exe LicenseServer.exe loader.exe save_restore.exe scheduler.exe securityserver.exe SyncLdapPbx.exe Program Files\Java\jre \bin\ 4760\bin\ 4760\bin\ 4760\bin\ 4760\bin\ 4760\bin\ 4760\bin\ 4760\bin\ 4760\bin\ 4760\bin\ 4760\bin\ 4760\bin\ 4760\bin\ 4760\bin\ 3-11

24 Chapitre 3 svc_mgr.exe dbsrv9.exe ns_service.exe javaw.exe Plugger.exe Cmisd.exe ComServer.exe GCSAdmin.exe GCSConfig.exe slapd.exe NotificationProxy.exe rescue.exe svc_mgr.exe backup.exe data_access_service.exe dbsrv10.exe Alcatel-Lucent\Java_Development_Kit\bin device_management_core.exe events_server.exe Lmgrd.exe alc_logs_rotate.exe DBRecoverNTService.exe slapd.exe pcx_management_service.ex e supervision_agent.exe supervision_client.exe unified_management_ framework_core.exe universal_directory_ access_service.exe httpd.exe AuditServer.exe 4760\bin\ Sybase\SQL Anywhere 9\Win \bin\ Alcatel-Lucent\Acapi\bin\ Alcatel-Lucent\Acapi\bin\ Alcatel-Lucent\Acapi\bin\ Alcatel-Lucent\Acapi\bin\ Alcatel-Lucent\Acapi\bin\ Alcatel-Lucent\Acapi\bin\ Alcatel-Lucent\Acapi\bin\ Alcatel-Lucent\Acapi\bin\ Alcatel-Lucent\Acapi\bin\ Alcatel-Lucent\Backup\ Alcatel-Lucent\DataAccess\ Programmes\SQL Anywhere 10\win32\ Alcatel-Lucent\Events_Server\ Alcatel-Lucent\FlexLM\ Alcatel-Lucent\ Device_Management_Core\ Alcatel- Lucent\alc_logs_rotate\ Alcatel-Lucent\Ldap\ DBRecoverNTService\ Alcatel-Lucent\Ldap\ Alcatel-Lucent\Pms\ Alcatel-Lucent\Supervision_ Agent\ Alcatel-Lucent\Supervision_ Client\ Alcatel-Lucent\Unified_ Management_Framework_ Core\ Alcatel-Lucent\Udas\ Alcatel-Lucent\Apache\bin\ 4760\bin\ Le tableau ci-après répertorie les ports devant être ouverts pour un fonctionnement correct du serveur OmniVista

25 tableau 3.8 : Liste des ports à ouvrir sur le serveur OmniVista 4760 Usage Port : Protocole IPSec 500 UDP Client OmniVista à TCP Côté client OmniVista 4760 : Le tableau ci-après répertorie les programmes dont il faut autoriser l exécution : tableau 3.9 : Programmes à autoriser sur le client OmniVista 4760 Programme à autoriser Emplacement par défaut du programme Commentaires omc.exe Program Files\PCXTools\OMC\ Uniquement en cas de gestion d OmniPCX Office iexplore.exe Internet Explorer\ Pour l utilisation d Internet Explorer sinon autoriser le programme Firefox javaw.exe Program Files\Java\ jre \bin\ Le tableau ci-après répertorie les ports devant être ouverts pour un fonctionnement correct du client OmniVista tableau 3.10 : Liste des ports à ouvrir sur le client OmniVista 4760 Usage Protocole Port : Client OmniVista à TCP Compatibilité avec un proxy Le proxy web peut être utilisé quand le client : - ouvre la page Web d accueil du serveur OmniVista 4760 ; - consulte l annuaire via l interface Web. Dans ces deux cas, le port 80 est utilisé par le client. En revanche, si le client OmniVista 4760 est lancé via un navigateur Web : - l ensemble des ports IP du serveur client sera utilisé ; - l utilisation du proxy par l applet OmniVista 4760 doit être désactivée. Sur le PC client : - Ouvrir le Panneau de configuration (sous XP, préciser l'affichage classique). - Sélectionner l icône Java Plug-in et, sous l onglet Proxies, décocher l'option Utiliser les paramètres du navigateur Renforcement de la sécurité avec SynAttackProtect Windows inclut une protection contre les saturations de requêtes SYN lorsqu une attaque est détectée. Cette protection est paramétrable à l aide de la valeur SynAttackProtect situé sous la 3-13

26 Chapitre 3 clef de registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters. Par défaut, sous Windows 2003 SP1, cette protection est activée (SynAttackProtect=1). Il est possible de renforcer le niveau de sécurité en passant cette valeur à 2 ; cependant, il est recommandé de conserver la valeur par défaut pour une meilleure stabilité du système Renforcement de la sécurité avec DEP La prévention de l exécution des données ou DEP (Data Execution Prevention) vise à empêcher l exécution de code injecté dans une zone mémoire (stack ou heap). Cette technologie est basée sur les récentes évolutions des processeurs Intel et AMD ; elle peut cependant fournir un certain niveau de protection sur les processeurs plus anciens. Cette technologie est activée par défaut sur Windows 2003 SP2 et Windows XP SP3. DEP arrête les applications qui tentent d exécuter du code localisé dans une page mémoire. L'OmniVista 4760 fonctionne lorsque la technologie DEP est activée. Si un composant intégré ou utilisé par le serveur OmniVista 4760 est bloqué par le système DEP, contacter le support technique d'alcatel-lucent. 3.5 Compatibilité avec les applications externes Étude de compatibilité Alcatel-Lucent ne prend pas en charge l'exécution d'applications externes installées sur le système hébergeant l'omnivista Avant de déployer un serveur OmniVista 4760 et d autres applications sur un même PC ou serveur, il est fortement recommandé d effectuer une étude de compatibilité pour vérifier, en particulier : - le serveur OmniVista 4760 et les services utilisés par les applications externes ; - la compatibilité en termes de performances ; - la compatibilité en termes d utilisation de l espace disque ; - la compatibilité des fichiers dll ; - la compatibilité de la version active de Java Run Time pour les applications Java ; - la compatibilité des ports et des services IP utilisés. En cas d incompatibilité de l'omnivista 4760 avec une application externe, appeler l'assistance téléphonique. Les remarques d incompatibilité émises, seront prises en compte pour renseigner ce document, et étudier une possibilité de contournement ou de compatibilité dans une version future. Pour une question particulière sur la compatibilité, contactez les services professionnels d'alcatel-lucent à l'adresse professional.services@alcatel-lucent.fr. - Recommandations : Il est recommandé d installer l application du serveur OmniVista 4760 après toute autre application. En cas de désinstallation d une application, il ne faut surtout pas confirmer la suppression des fichiers dll, car ceux-ci sont peut-être nécessaires au serveur OmniVista

27 3.5.2 Compatibilité en termes de performances Les applications externes qui cohabitent avec le serveur OmniVista 4760 : - ne doivent pas être du type application serveur (serveur de messagerie) ; - ne doivent pas être installées en tant que service. - Une fois lancées, s'assurer que les applications externes n utiliseront pas toute la mémoire virtuelle du système et qu une fois fermées, elles libèreront bien la mémoire utilisée Fichiers dll Les fichiers dll utilisés par le serveur OmniVista 4760 ne doivent pas être mis à jour, ni être remplacés par des versions différentes. Incompatibilités connues : - JTC1012.dll fourni sur un serveur DELL. - Fichier dll incompatible avec la version du système d'exploitation. L application Windows Office Edition pour Windows XP installée sur un PC Windows NT remplace les dll système par des dll spécifiques à Windows XP. Dans ce cas, l installation du JRE peut échouer. - Erreur grave lors de l installation du JRE 1.3.1_08: RPC Stub Error 0x Le site http ://java.com/fr/download/help/rpcstub.jsp propose d utiliser l outil Mcrepair de Microsoft pour restaurer les dll compatibles avec le système d exploitation Windows Java Run Time Tout d'abord, désactiver la mise à jour automatique Java Run time. Dans le Panneau de configuration avec affichage classique, cliquer sur l'icône JRE et désactiver l'option de mise à jour. Si d autres applications java sont utilisées sur ce PC : - Elles ne doivent pas rendre inutilisable la variable d environnement Classpath. En effet, si celle-ci devient trop longue, l installation échoue. Pour vérifier si cette variable est déjà initialisée, entrer C :\classpath dans une fenêtre DOS. - Surveiller la version active de Java Run Time (JRE). Exemple de problème connu : Jusqu'à la version OmniVista 4760 R2.1, l'application recherchait l'application JRE active livrée avec cette version v. C est pourquoi la version OmniVista 4760 R2.1 ne fonctionne pas si l'application JRE 1.4 est présente. Pour vérifier la version par défaut (celle présente dans le répertoire WinNT\System32), entrer la commande c:\java version dans une fenêtre DOS. À partir de la version OmniVista 4760 R3.0, l application OmniVista 4760 ne prend plus le JRE par défaut, mais recherche le JRE compatible dans la base de registres et renseigne le chemin d'accès du JRE : - directement dans la base de données LDAP pour les services et tâches planifiés ; - dans le batch de lancement du client OmniVista 4760 : RunNMC.bat

28 Chapitre Ports et Services IP - Ports : L application externe ne doit pas utiliser l'un des ports IP dédiés au serveur OmniVista Reportez-vous à module Sécurité - Deploying the OmniVista 4760 in a Secure Network Configuration pour connaître la liste des ports IP utilisés par l'application OmniVista Avant l installation du serveur OmniVista 4760, vérifier la disponibilité des ports 80 (http WEB), 389 (LDAP) et 636 (LDAPS) : Dans une fenêtre DOS, entrer la commande c :\netstat n Si l adresse locale propose le port 80, 389 ou 636 en écoute/connecté (listening/established), cela signifie que le port est utilisé. Il faudra alors, lors de l installation du serveur OmniVista 4760, choisir un port http, LDAP ou LDAPS différent des ports déjà utilisés. - Services : Le serveur OmniVista 4760 ne doit pas être installé si le service SNMP est démarré. Arrêtez le service SNMP avant la phase d'installation. Le serveur OmniVista 4760 possède un serveur LDAP. N'installez pas un autre serveur LDAP sur le même port (389 par défaut). Le serveur OmniVista 4760 héberge les fonctions de serveur WEB (Apache). Ne conservez pas ou n'installez pas un autre serveur WEB sur le même port (80 par défaut). Incompatibilités connues : Le système Windows 2000 Server est livré en standard avec un serveur Web prêt à l'emploi. Par conséquent, avant d installer l application OmniVista 4760, sélectionner : Ajout ou suppression de programmes Ajouter ou supprimer des composant Windows Désinstaller le composant Internet Information Server (I.I.S.) Windows 2000 / 2003 Server installé en tant que contrôleur de domaine comporte un serveur LDAP : Active Directory. Sur ce type de serveur, il n est pas autorisé d installer le serveur OmniVista L installation du serveur OmniVista 4760 peut échouer avec le message «Sun.log : port déjà utilisé». Dans ce cas, reprendre l installation et entrer LDAP port= Compatibilité avec les outils de sauvegarde PC L application du serveur OmniVista 4760 est toujours en état actif. Par conséquent, l utilisation d un outil de sauvegarde de disques pour sauvegarder l intégralité du disque peut échouer. En revanche, ce type d outil peut être utilisé pour récupérer les sauvegardes effectuées par le serveur OmniVista Incompatibilités connues : L application de sauvegarde de PC à distance, OpenSave, n est pas compatible avec l application Sun One Directory Server (utilisée par le serveur OmniVista 4760) Compatibilité avec les outils de connexion à distance Outil VPN 3-16

29 Incompatibilités connues : Certains clients VPN utilisent des outils tels que le service SafeNet dans le programme NetScreenRemote. Ce programme empêche l installation d un serveur Sun One Directory Server et donc du serveur OmniVista Terminal server, connexion de bureaux distants Les services Terminal Server, ou services de connexion de bureaux distants, (outil Microsoft) permettent de créer une session Windows sur un serveur ou un PC distant en ne ramenant sur son propre PC que l interface clavier-souris-affichage écran. La session Windows ne s'affiche pas sur l'ordinateur distant. Ces programmes peuvent être utilisés à des fins de maintenance, cependant : - Ils ne sont pas compatibles avec l accès à la base de données Sybase. - Ils centralisent les ressources nécessaires au client sur la même machine serveur. Incompatibilités connues : L installation du serveur OmniVista 4760 via les services Terminal Server, ou la connexion de bureaux distants échoue. *LOG* ERROR: C:\PROGRA~1\Sybase\SQL Anywhere 9\win32\dbisqlc.exe Failed! For details, see log file dbisqlc.log *LOG* AskYesNo question : Error occurred! Souhaitez-vous tout de même continuer? Ne pas dépasser 1 client terminal serveur ou Connexion bureau à distance PC Anywhere, IRC de Peregrine, NetOP de DanWare - Ces programmes permettent de prendre le contrôle d une session Windows en cours sur un serveur ou un PC distant. Sur le PC local et la machine distante, la même session Windows est visualisée. Ces programmes doivent prendre en charge la présentation java. - Incompatibilités connues : Avec PC Anywhere, l affichage java peut être mal interprété, il peut être nécessaire de rafraîchir l écran pour chaque clic de souris. Avec PC Anywhere version 10.5 et supérieure, lorsque le service PCAnywhere-Host est lancé, le client OmniVista 4760 ne démarre plus. Le problème est résolu à partir de la version 11.0 de PC Anywhere Compatibilités avec d'autres applications Alcatel Lucent Alcatel 47xx Les applications Alcatel 4715, 4730 et 4740 ne sont pas compatibles avec l application du serveur OmniVista OmniVista 4760i (e-config) La version du Run Time Java, JRE, peut être incompatible. Si les applications client OmniVista 4760 et client OmniVista 4760-i doivent cohabiter, installer les clients en tant qu applications et non en tant qu'applets Web. 3-17

30 Chapitre 3 Incompatibilité connue : La version OmniVista 4760-i pour OmniPCX Enterprise R5.1.2 utilise le JRE 1.3.1_08. Lorsque le JRE 1.4 est présent, l application se lance, mais l utilisation des listes déroulantes ne fonctionne pas. Pour résoudre ce problème : Modifier les fichiers.bat présents dans le répertoire 4760i\lib\ext et remplacer javaw.exe par son chemin d accès au format DOS : C:\progra~1\javasoft\JRE138DB~1.1_0\bin\javaw.exe () Consoles Alcatel Lucent 4059 et 4980 Les tests n ont pas été effectués. Cependant, les besoins des 2 applications sont très différents. Il n est toutefois pas recommandé de faire cohabiter une application client temps réel et serveur de base de données CCD, CCS, CCAgent Le centre d'appels possède ses propres critères de compatibilité. La version java, en particulier, peut être différente entre le client/serveur OmniVista 4760 et CCA. Dans leur fonctionnement actuel, les applications CCx sont incompatibles. Pour certains projets, une étude de compatibilité peut être faite auprès de nos services professionnels, sous réserve de certaines conditions d'utilisation, à l'adresse professional.services@alcatel-lucent.fr. 3.6 Gestion de comptes Windows utilisés par le serveur OmniVista Compte pour installation Installation/désinstallation du serveur OmniVista 4760 Le serveur OmniVista 4760 doit être installé et désinstallé à l'aide d'un compte d'administrateur local Windows Installation d un client OmniVista 4760 distant Le client OmniVista 4760 doit être installé et désinstallé à l'aide d'un compte d'administrateur local Windows Compte à utiliser pour le lancement d un client OmniVista 4760 L ouverture d un client OmniVista 4760 distant doit s effectuer à partir d un compte Windows bénéficiant de droits d écriture dans le répertoire Client4760\Lib\ext Opérations de maintenance avec ressources réseau Le serveur OmniVista 4760 peut utiliser des ressources réseau pour les opérations de maintenance : 3-18

31 - Sauvegarde/restauration des données OmniVista Sauvegarde/ restauration des PCXs - Mise à jour logiciel PCX - Copie temporaire des données (au cours des opérations de défragmentation de bases de données, par exemple). Il est notamment recommandé d effectuer les sauvegardes des données OmniVista 4760 sur un disque réseau pour disposer d une sauvegarde en cas d'arrêt du PC hébergeant le serveur OmniVista Procédure : Ce mode de sauvegarde requiert l utilisation de comptes Windows : - Un compte bénéficiant de droits d'«administrateur local» pour le service NMC SaveRestore, valide sur le serveur OmniVista 4760 et ayant le droit de placer des fichiers sur la machine distante. - Un compte pour le service NMC Executables Launcher, valide sur le serveur OmniVista 4760, avec accès aux répertoires de la machine distante utilisés pour les opérations de maintenance. Attention : Veiller à ne pas utiliser pour la sauvegarde sur machine distante, un répertoire susceptible de contenir d autres données de sauvegarde. Ces données risqueraient d être détruites par le processus de purge automatique des sauvegardes qui supprime les fichiers antérieurs à une date donnée Création de comptes et attribution des droits - Création d un compte disposant de droits d'administrateur local sur l'ordinateur serveur (pour le service NMC SaveRestore) : Ouvrir l outil de gestion de l'ordinateur (Panneau de configuration/outil d administration). Dans la rubrique «Utilisateurs et groupes locaux», sélectionner le répertoire «Utilisateurs» et créer un nouvel utilisateur : Nom : ADM4760 (par exemple) Mot de passe L utilisateur ne peut pas changer de mot de passe Le mot de passe n expire jamais. Modifiez les propriétés de l'utilisateur ADM4760 : ajoutez-le dans la liste des membres du groupe «Administrateurs» et retirez-le de la liste des membres du groupe «Utilisateurs». - Création d un compte local sur l'ordinateur serveur OmniVista 4760 (pour le service NMC Executables Launcher) : Ouvrir l outil de gestion de l'ordinateur (Panneau de configuration/outil d administration). Dans la rubrique «Utilisateurs et groupes locaux», sélectionner le répertoire «Utilisateurs» et créer un nouvel utilisateur : Nom : UTIL4760 (par exemple) Mot de passe 3-19

32 Chapitre 3 L utilisateur ne peut pas changer de mot de passe Le mot de passe n expire jamais. Modifiez les propriétés de l'utilisateur UTIL4760 : retirez-le de la liste des membres du groupe «Utilisateurs». - Attribution des droits d'utilisateur Ouvrir l outil Stratégie de sécurité locale (Panneau de Configuration/Outil d administration). Dans la rubrique «Stratégies locales», sélectionner «Attribution des droits utilisateur». Ajouter les droits suivants aux utilisateurs créés précédemment (ADM4760 et UTIL4760) : "Accéder à cet ordinateur depuis le réseau" "Ouvrir une session en tant que service» "Interdire l'ouverture d'une session locale» Configuration des services OmniVista 4760 pour l'utilisation des ressources réseau Procédure avec utilisation de comptes locaux C est la procédure recommandée pour sécuriser au mieux l accès des ressources réseau. Cette procédure peut être appliquée quel que soit le domaine Windows ou le groupe de travail du serveur OmniVista 4760 et de la machine distante. Pour des raisons de sécurité, il est cependant recommandé d utiliser une machine distante située dans le même domaine ou groupe de travail que le serveur OmniVista On suppose que deux comptes (ADM4760 et UTIL4760) ont été créés sur le serveur OmniVista 4760 (en suivant la procédure de création et d attribution des droits de la section Création de comptes et attribution des droits ). 1. Créer les deux comptes (ADM4760 et UTIL4760) sur la machine distante : Ouvrir l outil de gestion de l'ordinateur (Panneau de configuration/outil d administration). Dans la rubrique «Utilisateurs et groupes locaux», sélectionner le répertoire «Utilisateurs» et créer un nouvel utilisateur : Nom : ADM4760 Mot de passe : identique à celui saisi pour l utilisateur ADM4760 sur le serveur OmniVista L utilisateur ne peut pas changer de mot de passe Le mot de passe n expire jamais. Modifiez les propriétés de l'utilisateur ADM4760 : retirez-le de la liste des membres du groupe «Utilisateurs». Refaire la même opération pour l utilisateur UTIL Partager un répertoire sur la machine distante pour les utilisateurs ADM4760 et UTIL4760 : Sur la machine distante, sélectionner le répertoire à partager et le partager. Au besoin, modifier le nom de partage. Modifier les propriétés de partage et de sécurité. 3-20

33 Nombre d utilisateurs autorisés : # 3 Dans la rubrique «Autorisations», sélectionner retirer «tout le monde» et ajouter les utilisateurs ADM4760 et UTIL760 avec des droits Contrôle total. Dans la rubrique «Mise en cache», sélectionner l'option stipulant de ne pas autoriser la mise en cache des fichiers de ce dossier partagé. Sélectionnez l'onglet Sécurité, puis ajoutez les utilisateurs ADM4760 et UTIL4760. Vérifiez les droits suivants : «Modification», «Affichage du contenu du dossier», «Lecture», «Écriture». 3. Sur le PC serveur, lancer une session Windows en tant que ADM Accorder au service NMC SaveRestore le droit d utiliser l utilisateur ADM4760. Pour ce faire : lancer l application Annuaire, puis cliquer sur l onglet Système, Au niveau de l arborescence, accéder au répertoire NMC/Nom_du_serveur/servers/Nom_du_serveur/SaveRestore. Cliquer sur l onglet Compte NT dans le volet de droite. Renseigner les attributs : «Utilisateur» =.\ADM4760 Mot de passe : mot de passe associé à l'utilisateur ADM Accorder au service NMC Executables Launcher le droit d utiliser l utilisateur UTIL4760. Pour ce faire : lancer l application Annuaire, puis cliquer sur l onglet Système, Au niveau de l arborescence, accéder au répertoire NMC/Nom_du_serveur/servers/Nom_du_serveur/Execdex. Cliquer sur l onglet Compte NT dans le volet de droite. Renseigner les attributs : «Utilisateur» =.\UTIL4760 Mot de passe : mot de passe associé à l'utilisateur UTIL Lorsque le module Maintenance est lancé, il est alors possible de sélectionner un disque réseau pour la sauvegarde Procédure valide dans un domaine Cette procédure pourra être appliquée lorsque le client souhaite utiliser des comptes réseau pour les accès réseau du serveur OmniVista Cette solution présente des failles de sécurité : les comptes réseau (nom d utilisateur et mot de passe) peuvent être interceptés puis utilisés sur l ensemble des machines du réseau. Pour les besoins de cette procédure, nous supposerons que les machines sont installées dans le même domaine DOMMACHINE et que les utilisateurs sont reconnus dans le domaine DOMUSER. On suppose que deux comptes (ADM4760 et UTIL4760) ont été créés sur le serveur OmniVista 4760 (en suivant la procédure de création et d attribution des droits de la section Création de comptes et attribution des droits ). 1. Partager un répertoire sur la machine distante pour les utilisateurs DOMUSERADM4760 et DOMUSERUTIL4760 : Sur la machine distante, sélectionner le répertoire à partager et le partager. Au besoin, modifier le nom de partage. Modifier les propriétés de partage et de sécurité : 3-21

34 Chapitre 3 Nombre d utilisateurs autorisés : # 3 Dans la rubrique «Autorisations», sélectionner retirer «tout le monde» et ajouter les utilisateurs DOMUSERADM4760 et DOMUSERUTIL4760 avec les droits Contrôle total. Dans la rubrique «Mise en cache», sélectionner l'option stipulant de ne pas autoriser la mise en cache des fichiers de ce dossier partagé. Sélectionnez l'onglet Sécurité, puis ajoutez les utilisateurs DOMUSER\ADM4760 et DOMUSER\UTIL4760. Vérifiez les droits suivants : «Modification», «Affichage du contenu du dossier», «Lecture», «Écriture». 2. Sur le PC serveur, lancer une session Windows en tant que DOMUSER\ ADM Accorder au service NMC SaveRestore le droit d utiliser l utilisateur ADM4760. Pour ce faire : Lancer l application Annuaire, puis cliquer sur l onglet Système. Au niveau de l arborescence, accéder au répertoire NMC/Nom_du_serveur/servers/Nom_du_serveur/SaveRestore. Cliquer sur l onglet Compte NT dans le volet de droite. Renseigner les attributs : «Utilisateur» = DOMUSER\ADM4760 Mot de passe : mot de passe associé à l'utilisateur ADM Accorder au service NMC Executables Launcher le droit d utiliser l utilisateur UTIL4760. Pour ce faire : lancer l application Annuaire, puis cliquer sur l onglet Système, Au niveau de l arborescence, accéder au répertoire NMC/Nom_du_serveur/servers/Nom_du_serveur/Execdex. Cliquer sur l onglet Compte NT dans le volet de droite Renseigner les attributs : «Utilisateur» = DOMUSER\UTIL4760 Mot de passe : mot de passe associé à l'utilisateur UTIL Lorsque le module Maintenance est lancé, il est alors possible de sélectionner un disque réseau pour la sauvegarde Procédure valide dans un groupe de travail Pour les besoins de cette procédure, nous supposerons que les machines sont installées dans le même groupe de travail, WORKGROUP1, et que le PC serveur porte le nom PCSERVEUR. On suppose que deux comptes (ADM4760 et UTIL4760) ont été créés sur le serveur OmniVista 4760 (en suivant la procédure de création et d attribution des droits de la section Création de comptes et attribution des droits ). Sur la machine distante, créer les mêmes comptes ADM4760 et UTIL4760 avec les mêmes mots de passe. 1. Partager un répertoire sur la machine distante pour les utilisateurs ADM4760 et UTIL4760 : Sur la machine distante, sélectionner le répertoire à partager et le partager. Au besoin, modifier le nom de partage. Modifier les propriétés de partage et de sécurité : Nombre d utilisateurs autorisés : #

35 Dans la rubrique «Autorisations», sélectionner retirer «tout le monde» et ajouter les utilisateurs ADM4760 et UTIL4760 avec les droits Contrôle total. Dans la rubrique «Mise en cache», sélectionner l'option stipulant de ne pas autoriser la mise en cache des fichiers de ce dossier partagé. Sélectionnez l'onglet Sécurité, puis ajoutez les utilisateurs ADM4760 et UTIL4760. Vérifiez les droits suivants : «Modification», «Affichage du contenu du dossier», «Lecture», «Écriture». 2. Sur le PC serveur, lancer une session Windows en tant que ADM Accorder au service NMC SaveRestore le droit d utiliser cet utilisateur. Pour ce faire : lancer l application Annuaire, puis cliquer sur l onglet Système, Au niveau de l arborescence, accéder au répertoire NMC/Nom_du_serveur/servers/Nom_du_serveur/SaveRestore. Cliquer sur l onglet Compte NT dans le volet de droite. Renseigner les attributs : «Utilisateur» = PCSERVEUR \ADM4760 Mot de passe : votre mot de passe 4. Accorder au service NMC Executables Launcher le droit d utiliser l utilisateur UTIL4760. Pour ce faire : lancer l application Annuaire, puis cliquer sur l onglet Système, Au niveau de l arborescence, accéder au répertoire NMC/Nom_du_serveur/servers/Nom_du_serveur/Execdex. Cliquer sur l onglet Compte NT dans le volet de droite. Renseigner les attributs : «Utilisateur» = PCSERVEUR\UTIL4760 Mot de passe : votre mot de passe 5. Lorsque le module Maintenance est lancé, il est alors possible de sélectionner un disque réseau pour la sauvegarde Planification de l exportation ou de l impression de rapports Le serveur OmniVista 4760 peut utiliser des ressources réseau pour l'exportation et l'impression de rapports planifiées. Ces opérations requièrent l utilisation d un compte Windows : Un compte pour le service NMC Executables Launcher, valide sur le serveur OmniVista 4760, avec accès aux répertoires de la machine distante utilisés pour les opérations d'exportation. Procédure 1. Lancer une session Windows en tant qu'administrateur local du PC serveur 2. Création d un compte local sur l'ordinateur serveur OmniVista 4760 pour le service NMC Executables Launcher : Voir Création de comptes et attribution des droits 3. Déclaration d une imprimante pour le compte UTIL4760 : Fermer la session administrateur et ouvrir une session avec le compte créé précédemment (UTIL4760). Dans le menu «Démarrer», sélectionner «Imprimantes et télécopieurs» 3-23

36 Chapitre 3 Ajouter une imprimante en suivant les instructions de l outil de création d imprimantes Fermer la session Windows Relancer une session Windows en tant qu administrateur local du PC serveur 4. Attribuer les droits des utilisateurs : Ouvrir l outil de Stratégie de sécurité locale (Panneau de Configuration/Outil d administration). Dans la rubrique «Stratégies locales», sélectionner «Attribution des droits utilisateur». Ajouter les droits suivants à l utilisateur créé précédemment (UTIL4760) : Accéder à cet ordinateur depuis le réseau Ouvrir une session en tant que service Agir en tant que partie du système d'exploitation Augmenter les quotas/ajuster les quotas mémoire Remplacer un jeton de niveau processus Interdire l'ouverture d'une session locale 5. Configuration des services OmniVista 4760 pour l'utilisation des ressources réseau : Suivre la procédure décrite à la section Configuration des services OmniVista 4760 pour l'utilisation des ressources réseau pour : Partager un répertoire sur la machine distante pour le compte UTIL4760 (le compte ADM4760 n est pas utilisé pour l exportation et l impression de rapport planifiées). Accorder au service NMC Executables Launcher le droit d utiliser l utilisateur UTIL4760. Remarque : trois possibilités de configuration sont présentées à la section Configuration des services OmniVista 4760 pour l'utilisation des ressources réseau. Pour une meilleure sécurité, suivre la procédure avec utilisation de comptes locaux. Note : La procédure décrite ci-dessus ne doit être appliquée qu en cas de planification d exportations et d impressions de rapports. En effet, les exportations et impressions directes de rapports déjà générés (et toute autre impression non planifiée) sont réalisées en utilisant le contexte de sécurité de l utilisateur du client OmniVista 4760 (compte Windows sur lequel a été lancé le client OmniVista 4760). Le service NMC Executables Launcher n intervient pas Archivage et restauration des fichiers de taxation Le serveur OmniVista 4760 peut utiliser des ressources réseau pour l'archivage et la restauration des fichiers de taxation. Ces opérations requièrent l utilisation d un compte Windows : Un compte pour le service NMC Executables Launcher, valide sur le serveur OmniVista 4760, avec accès aux répertoires de la machine distante utilisés pour les opérations d'archivage et de restauration. Procédure Pour créer ce compte, suivre la procédure décrite à la section Remarques : 3-24

37 - Pour les opérations d archivage et de restauration de fichiers, il n est pas nécessaire d attribuer une imprimante au compte utilisé pour accéder aux ressources réseau (UTIL4760). - Pour les opérations d archivage et de restauration de fichiers, les droits suivants sont facultatifs pour le compte UTIL4760. Agir en tant que partie du système d'exploitation Augmenter les quotas/ajuster les quotas mémoire Remplacer un jeton de niveau processus Collecteur de fichiers de taxation Le serveur OmniVista 4760 pourra utiliser des ressources réseau pour stocker les fichiers de taxation d un OmniPCX Entreprise (fonction de collecte de tickets). Cette opération requiert l utilisation de comptes Windows : - Un compte avec les droits d'«administrateur local» pour le service NMCSyncLdapPbx, valide sur le serveur OmniVista 4760 et ayant le droit de placer des fichiers sur la machine distante. - Un compte pour le service NMC Executables Launcher, valide sur le serveur OmniVista 4760, avec accès aux répertoires de la machine distante utilisés pour les opérations de maintenance. Procédure : 1. Lancer une session Windows en tant qu'administrateur local du PC serveur 2. Création d un compte ayant des droits administrateur local sur le PC serveur OmniVista 4760 (pour le service SyncLdapPbx). Voir Création de comptes et attribution des droits 3. Création d un compte local sur le PC serveur OmniVista 4760 pour le service NMC Executables Launcher. Voir Création de comptes et attribution des droits 4. Attribuer les droits des utilisateurs : Ouvrir l outil Stratégie de sécurité locale (Panneau de Configuration/Outil d administration). Dans la rubrique «Stratégies locales», sélectionner «Attribution des droits utilisateurs». Ajouter les droits suivants aux utilisateurs créés précédemment (ADM4760 et UTIL4760) : Accéder à cet ordinateur depuis le réseau Ouvrir une session en tant que service Interdire l'ouverture d'une session locale 5. Configuration des services OmniVista 4760 pour l'utilisation des ressources réseau : Suivre la procédure décrite à la section Configuration des services OmniVista 4760 pour l'utilisation des ressources réseau pour : Partager un répertoire sur la machine distante pour les comptes ADM4760 et UTIL4760 : Accorder au service SyncLdapPbx le droit d utiliser l utilisateur ADM4760. Accorder au service NMC Executables Launcher le droit d utiliser l utilisateur UTIL

38 Chapitre 3 Remarque : trois possibilités de configuration sont présentées à la section Configuration des services OmniVista 4760 pour l'utilisation des ressources réseau. Pour une meilleure sécurité, suivre la procédure avec utilisation de comptes locaux (paragraphe a.) 6. Configuration du répertoire de collecte sur le serveur OmniVista 4760 : Dans cette procédure, nous supposerons que la machine distante sur laquelle sera effectuée la collecte des fichiers de taxation a pour nom PCdistant et que le répertoire utilisé pour la collecte a pour nom de partage Répertoire_collecte. Sur l'omnivista 4760, lancer l'application Annuaire, puis cliquer sur l'onglet Système. Au niveau de l arborescence, accéder au répertoire NMC/Nom_du_serveur/servers/Nom_du_serveur/Collector. Dans le volet de droite, indiquer le chemin du répertoire de collecte dans l attribut Chemin : //RemotePC/Directory_Collection Réception d alarmes urgentes de l OmniPCX Office OmniPCX Office peut être configuré pour envoyer ses alarmes urgentes au serveur OmniVista Ceci requiert l utilisation d un compte Windows local sur le serveur OmniVista Procédure - Suivre la procédure décrite dans le manuel d installation de l'omnivista 4760 (section ). - Lancer une session Windows en tant qu'administrateur local du PC serveur - Renforcement de la sécurité en cas d utilisation du compte URGALARM : Ouvrir l outil Stratégie de sécurité locale (Panneau de Configuration/Outil d administration). Dans la rubrique «Stratégies locales», sélectionner «Attribution des droits utilisateurs». Ajouter les droits suivants à l utilisateur URGALARM : Accéder à cet ordinateur depuis le réseau Interdire l'ouverture d'une session locale 3.7 Gestion du partage de répertoires Gestion de l OmniPCX Office La gestion décrite ci-dessous est nécessaire pour les opérations de sauvegarde, restauration, téléchargement et également pour la configuration d OmniPCX Office. Les données OmniPCX Office sont sauvegardées par défaut sur le PC serveur OmniVista 4760, dans le répertoire 4760_ARC/OXO/data. Lors de l installation de l'omnivista 4760, ce répertoire est partagé sous le nom 4760-databases (ou 4760-pm5 en cas de mise à jour depuis l'omnivista 4760 version R3.x), en lecture seule pour tous. Attention : Lorsque le répertoire «4760 server» existe déjà (par exemple, après la désinstallation d'un serveur OmniVista 4760) et que son nom est partagé, ce nom n'est pas modifié par le programme 3-26

39 d'installation du serveur OmniVista Pour configurer OmniPCX Office à partir du serveur OmniVista 4760, le nom Windows de partage de ce répertoire doit être identique au nom défini dans le répertoire système OmniVista 4760 (ce nom est configuré dans NmcConfiguration/ GlobalPreferences/Config/OXOAccess). Procédure 1. Lancer une session Windows en tant qu'administrateur local du PC serveur 2. Utilisation d un compte local sur le PC serveur OmniVista 4760 Vous pouvez utiliser le compte URGALARM créé au cours de l'installation du serveur OmniVista Par défaut, le mot de passe de ce compte est URGALARM. Modifier ce mot de passe avant l utilisation du compte. On pourra utiliser un autre compte local. Pour la création de ce type de compte, voir Création de comptes et attribution des droits. Dans la suite de cette procédure, nous supposerons que le compte URGALARM a été choisi. 3. Configuration du serveur OmniVista 4760 pour l'utilisation du compte local Sur le serveur OmniVista 4760, lancer l'application Annuaire, puis cliquer sur l'onglet Système. Au niveau de l arborescence, accéder au répertoire NMC/NmcConfiguration/GlobalPreferences/Config/OXOAccess Dans le volet de droite, renseigner les attributs : Nom utilisateur pour l'accès au répertoire partagé = URGALARM Mot de passe pour l accès au répertoire partagé = mot de passe associé à URGALARM. 4. Gérer le partage du répertoire 4760_ARC/OXO/data. Sélectionner le répertoire 4760_ARC/OXO/data. Vérifier le nom de partage. Ce nom de partage doit correspondre au nom renseigné dans l attribut «Nom de partage» de l entrée NmcConfiguration/GlobalPreferences/Config/OXOAccess de l annuaire système de l'omnivista Modifier les propriétés de partage et de sécurité : Nombre d utilisateurs autorisés : # 3 Dans la rubrique «Autorisations», sélectionner retirer «tout le monde» et ajouter l'utilisateur URGALARM avec les droits «Contrôle total». Dans la rubrique «Mise en cache», sélectionner l'option stipulant de ne pas autoriser la mise en cache des fichiers de ce dossier partagé. Sélectionnez l'onglet Sécurité, puis ajoutez l'utilisateur URGALARM. Vérifiez les droits suivants : «Modification», «Affichage du contenu du dossier», «Lecture», «Écriture». Remarque : les versions logicielles susceptibles d être téléchargées dans les PABX doivent se trouver dans le répertoire OmniVista 4760_ARC/OXO/sw. Pour des raisons de sécurité, il n est pas nécessaire de partager ce répertoire Partage de OmniVista 4760_ARC Jusqu'à la version OmniVista 4760 R4.0, le répertoire 4760_ARC\accounting est partagé pour les besoins des opérations de restauration de tickets de taxation. Le partage est réalisé 3-27

40 Chapitre 3 par le programme d installation du serveur OmniVista 4760 avec le nom de partage «Accounting» et le droit «lecture» pour «tous les utilisateurs». À partir de la version OmniVista 4760 R4.1, ce partage n étant plus nécessaire pour les opérations de restauration de tickets, il n est plus effectué par le programme d installation Autres partages Pour toutes les opérations de maintenance (sauvegarde/restauration de l'omnivista 4760, sauvegarde/restauration et mise à jour logicielle du PCX), d archivage, de restauration et de collecte de fichiers de taxation, et d exportation de rapports, le serveur OmniVista 4760 pourra utiliser des ressources réseau. La configuration des partages réseau et de l utilisation de comptes donnant accès à ces partages doit être réalisée après l installation du serveur OmniVista 4760 en suivant les procédures décrites à la section Gestion de comptes Windows utilisés par le serveur OmniVista Envoi de message électronique ( s) L'OmniVista 4760 peut envoyer des alarmes, des rapports ou une notification de surveillance des fichiers taxation vers un serveur de messagerie électronique. Pour cela, il faut indiquer le nom (ou l adresse IP) du serveur de messagerie à utiliser pour ces envois. Il n est pas nécessaire pour l envoi de messages électroniques d accorder aux services OmniVista 4760 des droits pour l utilisation de comptes spécifiques. 3-28

41 Objectif : ce chapitre répertorie les ports et protocoles utilisés en cas de gestion d un Alcatel-Lucent OmniPCX Enterprise Communication Server par un serveur OmniVista Ceci doit être pris en compte lors du déploiement de l'omnivista 4760 dans un environnement réseau sécurisé, c est-à-dire contenant des éléments de sécurisation (pare-feu, DMZ, etc.). 4.1 Trafic IP sur serveur OmniVista 4760 Note 1 : Par défaut, la sécurité IPsec n est pas active entre le serveur OmniVista 4760 et un client OmniVista En cas d'utilisation de clients OmniVista 4760 distants, il est recommandé d'activer la sécurité IPsec. La liste des services et ports utilisés par le serveur OmniVista 4760 figure dans le tableau ci-après. tableau 4.1 : Services sur le serveur OmniVista 4760 Nom Type Protocole Numéro de port Sécurité Clients distants HTTP Server HTTP TCP 80 Non Client 4760, Client annuaire 4760, 4059 (2) LDAP Server LDAP TCP 389 IPSec Client 4760, 4059, Débordement annuaire PCX (1), Réplication LDAP, Autres clients LDAP Serveur LDAP LDAP (sur SSL) LDAP administration Server Database ASA (SYBASE) TCP 636 SSL Client 4760, 4059, Débordement annuaire PCX, Autres clients LDAP HTTP TCP IPSec Console d administratio n SUN ONE ASA TCP 2638 ASA TCP IPSec Client 4760 Alarms Server GIIOP TCP IPSec Client 4760 CMISD Server CMISE TCP GIIOP TCP IPSec 4-1

42 Chapitre 4 Nom Type Protocole Numéro de port Serveur de communication Serveur de communication ExecdEx Server Extractor Server GCS Admin Server Sécurité Clients distants GIIOP TCP IPSec Client 4760 GIIOP TCP IPSec Client 4760 GIIOP TCP IPSec Client 4760 GIIOP TCP IPSec Client 4760 GIIOP TCP IPSec Client 4760 GCS Config GIIOP TCP IPSec Client 4760 Server License Server GIIOP TCP IPSec Client 4760 Loader Server GIIOP TCP IPSec Notification Server Save / Restore Server Scheduler Server Security Server LDAP/PBX Synchronization server GIIOP TCP IPSec Client 4760 GIIOP TCP IPSec Client 4760 GIIOP TCP IPSec Client 4760 GIIOP TCP IPSec Client 4760 GIIOP TCP IPSec Audit Server GIIOP IP sec Telnet Proxy TELNET TCP à IPSec Client

43 Nom Type Protocole Numéro de port Sécurité Clients distants FTP Proxy Control TCP IPSec Client 4760 / OMC - OmniPCX Office < R3.0 FTP mode actif - R3.0 < = OmniPCX Office < R5.0 FTP mode passif OMC Configuration socket OMC Downloading socket OMC debug socket OMC configuration, downloading, debug OMC Com Server on/off line DATA TCP à IPSec 4760 Client/ OMC Seulement si FTP mode passif (R3.0 < = OmniPCX Office < R5.0) DATA TCP 1024 à 5000 IPSec 4760 Client/ OMC Seulement si FTP mode actif (OmniPCX Office < R3.0) TCP IPSec Client 4760 / OMC (OmniPCX Office < R5.0) TCP IPSec Client 4760 / OMC (OmniPCX Office < R5.0) TCP 6005 IPSec Client 4760 / OMC (OmniPCX Office < R5.0) TCP SSL et IPSec Client 4760 / OMC (OmniPCX Office > = R5.0) TCP à IPSec Client 4760 / OMC 4-3

44 Chapitre 4 Nom Type Protocole Numéro de port Proxy HTTP HTTP, HTTPS, SSH Sécurité IPSec (OmniPCX Office R5.0) SSL et IPSec (OmniPCX Office > = R5.0) Clients distants Client 4760/Navigate ur Internet Access Client 4760 SNMP Agent SNMP UDP 161 Non Hyperviseur IPec ISAK UDP 500 ACD Configuration FTP ACTIVE TCP Non Serveur 4760 / OMC (OmniPCX Office < R5.0) HTTPS TCO SSL et IPSec Client 4760 / OMC (OmniPCX Office > = R5.0) ACD Statistics HTTP / SOAP TCP IPSec Serveur 4760 / OMC (OmniPCX Office < R5.0) HTTPS/SOAP TCP SSL et IPSec Client 4760 / OMC (OmniPCX Office > = R5.0) OTS HTTP / SOAP TCP IPSec Serveur 4760 / OMC Notification des alarmes urgentes OmniPCX Office HTTP TCP Non Serveur 4760 / OmniPCX Office > = R5.0 en connectivité IP Apache HTTP / SOAP TCP 8080 Non Équipements SIP Apache HTTPS/SOAP TCP 8443 SSL Client Sip Manager, WBM Client (1) : non compatible avec IP sec (système d exploitation LINUX sur PCX). (2) : le client d'annuaire Web 4059 prend en compte seulement le numéro de port 80 (non modifiable). Note 2 : - CORBA s appuie sur le protocole GIIOP - Les numéros de port en gras (30020, par exemple) peuvent être modifiés dans le répertoire système, après l'installation du serveur OmniVista Conserver la taille des plages de numéros de port, ne pas utiliser de ports connus. Si la connexion IP sec est activée, la configuration IP sec ne 4-4

45 tient pas compte des ports modifiés. En cas de modification du numéro de port par défaut, exécuter 4760>bin>IpsecUpdate.exe. Pour plus d informations, contacter les services professionnels d Alcatel-Lucent. La liste ci-dessous répertorie les services et ports utilisés par le serveur OmniVista 4760 en interne. Ces services ne doivent pas être accessibles depuis l'extérieur du serveur OmniVista tableau 4.2 : Services internes sur le serveur OmniVista 4760 Nom Type Protocole Numéro de port Sécurité PMS RMI TCP 9757 Non API de PMS et notification de gestion FlexLM Propriétaire TCP Codé Licences Clients distants FlexLM-Deamon Propriétaire TCP Négociation dynamique sur cnx ou fixe dans le fichier de licence (ligne VENDEUR) Codé Licences (démon Alcatel) UDAS RMI TCP 9758 Non API de UDAS et notification de gestion FWK RMI TCP 9754 Non Liaison aux applications EVS RMI TCP 9760 Non Notification Sybase TCP 2638 Accès à la base de données LDAP Server LDAP TCP 8389 Non Accès à la base de données ACAPI CORBA TCP 8389 Non Accès à la gestion OXE DTA RMI TCP 5009 Non Accès à la gestion DTA RMI TCP 4445 Non Alarmes - RMI Tomcat TCP Non Port de maintenance (arrêt) Tomcat AJPv13 TCP Non Connexion Apache pour requête d'application UMF JNDI TCP Non Port JNDI UMF JMS TCP Non JMS UMF Propriétaire TCP Non Débogage 4-5

46 Chapitre 4 UMF Propriétaire TCP Ports de notification 4.2 Trafic IP sur client OmniVista 4760 La liste des services et ports utilisés par le client OmniVista 4760 figure dans le tableau ci-après. CORBA Réceptions des notifications alarmes OMC- Status of communication socket OMC - FTP data sockets tableau 4.3 : Services sur le nom de client OmniVista 4760 Type Protocole Numéro de port Sécurité GIIOP TCP à HTTP TCP à Données TCP 1024 à 5000 IPSec IPSec Note IPSec ISAKMP UDP 500 IPSec Client 4760 Note : - Par défaut, la sécurité IPsec n'est pas activée entre le serveur OmniVista 4760 et un client OmniVista Les numéros de port en caractères gras sont modifiables dans le fichier runnmc.bat, après installation du client OmniVista Sur le poste client, vous devez autoriser les connexions entrantes via le port Corba Si cela n est pas fait, l application d alarmes sera vide et il n y aura pas de notification d alarme. La configuration du PCX échoue après le chargement du MIB local : impossible de configurer la notification au client. 4.3 Trafic IP sur OmniPCX Enterprise pour la gestion de l'omnivista 4760 La liste des services et ports utilisés par OmniPCX Entreprise figure dans le tableau ci-après. tableau 4.4 : Services sur un OmniPCX Enterprise Lx ou Ux Nom Type Protocole Numéro de port Sécurité CMISD TCP 2535 Non STAP UDP 2556 Non Note 4-6

47 FTP server Control TCP 21 Non Mode PASV commandé par 4760 DATA TCP 1024 à 5000 Non OmniPCX Enterprise Ux à à Non Non OmniPCX Enterprise Lx < 6.0 OmniPCX Enterprise Lx >= 6.0 Gérable dans l OXE SSH TCP 22 oui OmniPCXEnterprise Telnet TCP 23 Non 4.4 Trafic IP sur l'omnipcx Office pour la gestion de l'omnivista 4760 La liste des services et ports utilisés par le client OmniPCX Office figure dans le tableau ci-après. tableau 4.5 : Services sur un OmniPCX Office Nom Type Protocole Numéro de port Sécurité Configuration socket Downloading socket Note TCP Non OmniPCX Office < R5.0 TCP Non OmniPCX Office < R5.0 Debug socket TCP 6005 Non OmniPCX Office < R5.0 Management socket TCP Non 4-7

48 Chapitre 4 FTP server Control TCP Non - OmniPCX Office < R3.0 FTP mode actif - R3.0 < = OmniPCX Office < R5.0 mode passif OmniPCX Office configuration (configuration, downloading, debug sockets) Serveur HTTP pour accès Internet Données TCP Défini par le système (30020 par défaut) Non Seulement si FTP mode passif (OmniPCX Office < R5.0) HTTPS TCP 443 SSL Client 4760 / OMC (OmniPCX Office > = R5.0) HTTP TCP 80 Non OmniPCX Office R1.x HTTPS TCP 443 Oui OmniPCX Office > = R2.0 Services ACD TCP Non R4.0 < = OmniPCX Office < R5.0 HTTPS/SOAP TCP 443 SSL OmniPCX Office > = R5,0 ACD Statistics HTTP / SOAP TCP 8892 Non R4.0 < = OmniPCX Office < R5.0 Serveur HTTP pour la collecte des données OmniPCX Office HTTPS/SOAP TCP 443 SSL OmniPCX Office > = R5,0 HTTP / SOAP TCP 8892 Non R4.0 < = OmniPCX Office < R5.0 HTTPS/SOAP TCP 443 SSL OmniPCX Office > = R5,0 4.5 Trafic IP sur un hyperviseur La liste des services et ports utilisés par un hyperviseur figure dans le tableau ci-après. tableau 4.6 : Services sur un hyperviseur 4-8

49 Nom Type Protocole Numéro de port SNMP Manager SNMP Trap UDP 162 Non Sécurité Note 4.6 Trafic IP sur un 4059 La liste des services et ports utilisés par l application 4059 figure dans le tableau ci-après. tableau 4.7 : Services sur l application 4059 Nom Type Protocole Numéro de port Sécurité Clients distants 4059 TCP 7777 Non Serveur Omni- Vista Fonctionnement de l'omnivista 4760 sur un réseau VPN/NAT PRÉSENTATION Nous recommandons le déploiement de l'omnivista 4760 sur un réseau local unique et dans l'intranet de l entreprise. Il s agit d un moyen simple de gérer la connectivité et la sécurité du serveur, du client et du PCX OmniVista Cependant, certains clients ont demandé à pouvoir déployer ce type de solution sur un réseau VPN/NAT, ceci ayant divers impacts, notamment sur les points suivants : - Connaissances et restrictions du protocole VPN/NAT - Matériel et logiciels requis pour la prise en charge du protocole VPN/NAT - Topologie du site client - Paramètres de l'omnivista 4760 Pour plus d informations ou en cas de problème avec le protocole NAT, nous vous recommandons de contacter les services professionnels d Alcatel-Lucent pour vous aider à analyser votre réseau afin de trouver une solution Protocole VPN/NAT Un réseau VPN/NAT implique deux types d adresses IP : - l adresse PRIVÉE, disponible uniquement sur le réseau local ; - l adresse PUBLIQUE, disponible sur le réseau local externe. Le routeur NAT traduit les adresses IP privée et publique. Vous devez utiliser : - la traduction d adresses IP uniquement, pas la traduction de ports ; - la traduction d adresses IP statique uniquement, pas la traduction dynamique. Par défaut, la traduction NAT n est pas conforme aux applications qui transportent les adresses IP. 4-9

50 Chapitre 4 Ce type de protocole implique une requête de rappel incluant l adresse privée d origine, non disponible sur le réseau local distant. Dans le cadre de la solution OmniVista 4760, cela concerne : - Le protocole FTP (utilisé pour connecter les PCX) : Au cours d une session FTP, le client FTP connecte l adresse privée au serveur FTP. En mode passif (mode par défaut), le transfert de données fait appel à l adresse IP privée du serveur FTP. En mode actif, le transfert de données fait appel à l adresse IP privée du client FTP. Puisque les adresses privées ne peuvent pas être utilisées directement, vous devez : activer un proxy FTP sur le routeur NAT ; supprimer la solution NAT. - Le protocole Corba (utilisé pour connecter le client au serveur) : Lors d une session Corba, l adresse IP du client est envoyée au serveur en cas de requête de rappel et en cas de nécessité de connexion directe entre le serveur et le client. Le routeur NAT n implique pas de solution IP, car le routeur ne lit pas les messages Corba, et aucun proxy Corba n est disponible. Vous devez modifier l initialisation Corba côté client afin de transporter le nom d hôte du client au lieu de l adresse IP Accès du client OmniVista 4760 au serveur via NAT Parmi les protocoles utilisés par le client OmniVista 4760 et le serveur OmniVista 4760, seul Corba est compatible avec NAT. Une solution à ce problème est proposée dans ce chapitre Topologie client Figure 4.1 : Exemple de topologie client réelle 4-10

51 Flux IP Gestion spécifique Configuration du fichier «Hosts» Procédure : Nous supposerons qu il n y a aucun service DNS pour cette connexion VPN. Modifier le fichier «hosts» local pour les deux systèmes client et serveur (WinNT\Sytem32\driver\ etc\hosts) : - Sur le PC serveur, entrer l adresse IP correspondant au nom d hôte du client visible sur CLIENT CLIENT.LABO.FR - Sur le PC client, entrer l adresse IP correspondant au nom d hôte du serveur visible sur SRV4760 SRV4760.ALCATEL.FR Modification Client Après la configuration du fichier «hosts», le client et le serveur OmniVista 4760 peuvent communiquer en utilisant un protocole simple : http, ldap, etc. Mais les protocoles comme CORBA qui encapsulent l identification ne sont pas compatibles avec NAT. Sur le serveur OmniVista 4760, CORBA est initialisé en utilisant le nom d hôte du serveur. Comme le fichier hôte du client a pu être modifié correctement, il n'y a pas de problème : le client OmniVista 4760 est capable d'établir la connexion avec le serveur. Sur le client OmniVista 4760, CORBA est initialisé en utilisant l adresse IP locale. Cette opération restreint l'utilisation de l'omnivista 4760 : le serveur OmniVista 4760 ne parvient pas à envoyer la notification sur le port du client CORBA. - Il n y a pas d alarme sur le client 4-11

52 Chapitre 4 - Le module configuration ne peut être lancé Il est possible de modifier le paramètre client en suivant la procédure ci-dessous: - Localisez le programme du client : \Client4760\bin\runnmc.bat - Modifier ce fichier - Remplacer "IpNumeric=yes" par "IpNumeric=no". De cette façon, le nom d hôte du client sera envoyé au serveur OmniVista L envoi de la notification par le serveur peut alors s effectuer. Configuration du pare-feu Pour faire fonctionner les applications OmniVista 4760, il est nécessaire de mettre à jour les règles du pare-feu et d autoriser tout le trafic IP entre le client et le serveur. Procédure - S assurer que les ports utilisés par le serveur OmniVista 4760 sont ouverts (sections 4.1 et 4.2). - Vérifiez l'adresse IP à - Sur le serveur v, autoriser la connexion à tous les services v - Sur le client v, autoriser la connexion sur le port de notification CORBA Exemple Sur le pare-feu FW1, autoriser la connexion entrante pour le client OmniVista 4760 : IP=@LAN1_Client Port = Accès du serveur OmniVista 4760 à l'alcatel-lucent OmniPCX Enterprise Communication Server via NAT Parmi les protocoles utilisés par l'omnivista 4760 et l'alcatel-lucent OmniPCX Enterprise CS, seul le protocole FTP n est pas compatible avec NAT. Vous devez donc activer le proxy FTP sur le routeur NAT Accès du serveur OmniVista 4760 à l'omnipcx Office via NAT Cette solution a été testée avec l'omnivista 4760 sans NAT et PCX avec NAT. Dans cette solution, le PCX a pu accéder à l'adresse privée du serveur v Seul le protocole FTP est concerné par le problème lié au NAT. Il est tout de même nécessaire d activer le proxy FTP sur le routeur NAT Accès du serveur OmniVista 4760 au client d'annuaire Web 4059 via NAT La fonction d'appel en un clic du client d'annuaire Web ne prend pas en charge l'accès au serveur OmniVista 4760 via Nat Dépannage du transfert FTP - Pour lancer un transfert FTP sur OmniPCX Office en mode passif, procéder comme suit : Lancer une console DOS 4-12

53 Entrer c:>ftp Entrer ftp>literal PASV Tenter d obtenir un fichier - Pour lancer un transfert FTP sur OmniPCX Enterprise en mode passif, procéder comme suit : Lancer une console DOS Entrer c:>ftp <@ip_oxe> 21 Entrer ftp>literal PASV Tenter d obtenir un fichier 4-13

54 Chapitre

55 Objectif : ce chapitre décrit les moyens à déployer (et leur mise en œuvre) pour assurer la sécurité des données d un OmniPCX en cas de gestion par un serveur OmniVista Alcatel-Lucent OmniPCX Enterprise CS Mise en œuvre de Connexion SSH La connexion client vers l'alcatel-lucent OmniPCX Enterprise CS peut être sécurisée par SSH. Dans ce cas, les clients de type console utilisent l application MindTerm. Cette application est exécutée sur le PC client. Elle se connecte en premier lieu au serveur OmniVista 4760 par le port 30028, puis établit un tunnel SSH vers le PCX. La connexion est décrite sous la forme : <nom_d'alias_de_l'hôte> Note : Le rapatriement SFTP de fichiers est accessible par un menu de l application MindTerm Vérification de la présence de la licence «Sécurité» côté OmniVista 4760 La licence «Sécurité» de l'omnivista 4760 est obligatoire pour l utilisation du protocole SSH. Pour vérifier la présence de la licence «Sécurité» : 1. Lancer l application client OmniVista Dans la barre des menus, sélectionner Aide, puis À propos. Le tableau Licences vérifiées s affiche. Si Sécurité apparaît, le verrou sécurité est bien présent Gestion de l'alcatel-lucent OmniPCX Enterprise CS Note 1 : La version minimum requise pour l'alcatel-lucent OmniPCX Enterprise CS est Ajout d un «hôte sécurisé» Pour ajouter un «hôte sécurisé», suivre la procédure décrite dans le tableau ci-après. Application Action Alcatel OmniPCX Enterprise > HyperTerminal Login : root Mot de passe Action netadmin m Chemin Security > Isolate Ethernet Interface and TCP accesses Avertissement : seules les machines déclarées comme hôtes sécurisés auront accès au PCX Souhaitez-vous sécuriser vos accès Internet (o/n, o par défaut)? O Chemin Security > Restricted Ethernet Access 5-1

56 Chapitre 5 Enter the type of the trusted host(s) : 0. Routeur 1. CPU 2. 47XX (machines de gestion) 3. Équipement IP (téléphone IP, INTIPA/INTIPB, GD, LIOE, etc. ) 4. PC Installer Quel est votre choix? 2 Trusted host's IP name? Entrer un nom qui correspond au serveur OmniVista Par exemple : serveur4760 Vous devez donner un nom contenant uniquement des lettres, chiffres et (.,-,_) et commençant par une lettre. La longueur maximum est de 64 caractères. Le nom indiqué ne figure pas dans la base de données d'hôtes. L ajouter et indiquer l adresse correspondante (o/n, n par défaut)? o Adresse IP de l hôte sécurisé? Entrer l adresse IP du serveur OmniVista 4760 (exemple : ) Note 2 : Si le serveur OmniVista 4760 est dans un autre sous-réseau IP : Nom IP de la passerelle : saisir le nom de la passerelle (exemple : Routeur_passerelle) Le nom de passerelle indiqué ne figure pas dans la liste d'hôtes sécurisés. D abord ajouter la passerelle en tant qu'hôte sécurisé, puis ajouter cet hôte. Vous devez gérer également tous les équipements IP (cartes GD, INTIP, IP phones). Il est possible de définir des tranches de trusted hosts (pour les IP phones par exemple). 2. Configuration d une connexion SSH sécurisée Pour configurer une connexion SSH sécurisée, suivre la procédure décrite dans le tableau ci-après. tableau 5.2 : Configuration d une connexion SSH sécurisée Action netadmin m Chemin Security > SSH Configuration Avertissement : vous devez disposer d'un système homogène pour pouvoir améliorer la sécurité avec SSH! Améliorer la sécurité avec SSH (o/n, o par défaut)? o 3. Vérification de la configuration SSH Pour vérifier la configuration SSH, suivre la procédure décrite dans le tableau ci-après. tableau 5.3 : Vérification de la configuration SSH Action netadmin m Chemin Accès Internet restreints Sécurité avec SSH Show curent configuration Gestion de l'omnivista 4760 (annuaire système) Pour déclarer une connexion sécurisée au PCX via le protocole SSH/SFTP: Oui Oui 5-2

57 1. Lancer l application Annuaire, puis cliquer sur l onglet Système. 2. Sélectionner nmc > Réseau > Sous-réseau. 3. Sélectionner le PCX dont la connexion doit être sécurisée. 4. Cliquez sur l onglet Connectivité. 5. Renseignez les attributs suivants : Connexion SSH : cocher la case pour autoriser une connexion SSH/SFTP. Nom d'hôte : entrer un identifiant unique pour chaque PCX sécurisé (exemple : Nœud3) Vous devez donner un nom contenant uniquement des lettres, chiffres et (.,-,_) et commençant par une lettre. Vous ne pouvez pas utiliser de caractères spécifiques (@,',''...), ni de caractère espace. Note : Le nom d hôte est utilisé par l application MindTerm pour rechercher sur le serveur OmniVista 4760 les informations de connexion du PCX à connecter Utilisation de la connexion sécurisée Connexion SSH Pour établir une connexion SSH : 1. Lancer l application Configuration, puis cliquer sur l onglet Réseaux. 2. Sélectionner nmc > Réseau > Sous-réseau. 3. Sélectionner le PCX. 4. Via le menu contextuel, cliquer sur Connecter. 5. Renseignez les attributs suivants : Nom d'utilisateur : compte pour se connecter au PCX (exemple : mtcl) Mot de passe : mot de passe associé au nom d utilisateur 6. L application MindTerm est utilisée pour se connecter au PCX La connexion s établit via le proxy http et le port TCP Le serveur SSH de l'alcatel-lucent OmniPCX Enterprise CS est OpenSSH_22.3.Opl (SSH2). Le cypher est 3des Connexion SFTP Pour rapatrier les fichiers via SFTP, suivre la procédure décrite dans le tableau ci-après. tableau 5.4 : Connexion SFTP Application MindTerm Menu Plugins Objet Action Transfert de fichiers SFTP Transférer les fichiers à l aide des flèches Action Sélectionner les répertoires sur la machine locale (PC client OmniVista 4760) et sur la machine distante (OmniVista 4760). Fermer 5-3

58 Chapitre Sécurisation de l'accès à l'alcatel-lucent OmniPCX Enterprise CS Principe de fonctionnement La sécurisation d accès permet de filtrer l accès à la configuration OmniPCX 4400/Alcatel-Lucent OmniPCX Enterprise CS. Le filtrage peut se faire par le nom des serveurs OmniVista 4760 (les stations) et par les logins utilisés pour lancer le client OmniVista 4760 (les utilisateurs). La sécurisation s applique à la connexion CMISE entre le serveur OmniVista 4760 et le PCX Configuration Afin d éviter des erreurs et pour bien cerner un problème éventuel, il est conseillé de suivre dans l ordre les étapes de gestion décrites ci-après. La gestion PCX se fait dans l'objet Sécurité et Contrôle d'accès. Procédure 1. Dans PCX, gérer les stations sans mot de passe. Supprimer la station «*». Ce caractère autorise la connexion de toutes les stations Attention 1 : Il n est pas possible de recréer ce caractère par les outils de gestion client. Pour plus d'informations, contacter le Support Technique d Alcatel-Lucent. Créer les stations (serveurs OmniVista 4760). Le nom correspond au nom du PC sur lequel est installé le serveur OmniVista Le nom doit obligatoirement être saisi en MAJUSCULES Ne pas indiquer de mot de passe pour l instant Garder pour l instant la relation avec la liste N 1 des utilisateurs. 2. Dans l'omnivista 4760, valider la sécurité sans mot de passe : Dans l annuaire système, onglet Connexion, cocher Accès sécurisé (pour configuration) 3. Tester la connexion en configuration au PCX 4. Dans PCX, gérer une liste N 2 des utilisateurs Créer une liste N 2 des utilisateurs 5. Dans PCX, créer les utilisateurs dans la liste N 2 des utilisateurs Le nom des utilisateurs correspond au login utilisé pour lancer le client OmniVista Le nom doit obligatoirement être saisi en MAJUSCULES. 6. Dans l objet Station, affecter cette liste N 2 aux stations. 7. Tester la connexion en configuration au PCX 8. Option de sécurité : création d un mot de passe CMISD Pour renforcer la sécurité, il est possible de contrôler la connexion par mot de passe : Côté OmniVista 4760, indiquer le mot de passe dans l onglet Connectivité du PCX concerné (mot de passe Cmisd) Côté PCX, indiquer ce même mot de passe sur les stations correspondantes. Il faut respecter la casse (Majuscules/minuscules) En cas de modification du mot de passe côté OmniVista 4760, il peut être nécessaire de relancer le client, et/ou de relancer le serveur CMISE du service NMC. 5-4

59 9. Tester la connexion en configuration au PCX Attention 2 : L'utilisateur «*» est retiré de la liste N 1 dès qu'un autre utilisateur est créé dans cette liste. Il n est pas possible de recréer ce caractère par les outils de gestion client. Pour plus d'informations, contacter le Support Technique d Alcatel-Lucent Maintenance Pendant la configuration PCX (via mgr ou l'omnivista 4760), il est impossible de rétablir les paramètres de sécurité par défaut : - station = * - utilisateur = * Pour rétablir les valeurs : - Ouvrir une session telnet sur PCX - Désactiver MAO (mao off) - Lancer le multioutil SECURITY_ACCESS - Sélectionner l'option 10 : Security access reinitialization - Activer MAO (mao on) 5.2 OmniPCX Office Configuration Le serveur OmniVista 4760 prend en charge l exécution de l application OMC en mode HTTPS (à partir de la version R5.0 de l'omnipcx Office) Synchronisation des données OmniPCX Office Pour renforcer la confidentialité des données transférées depuis l'omnipcx Office vers l'omnivista 4760 (taxation, alarmes, licence), il est recommandé de sécuriser le réseau et de suivre les recommandations de sécurité de l'omnipcx Office Accès Internet Le serveur OmniVista 4760 prend en charge l exécution de l application Internet Access en mode HTTPS (à partir de la version R2.0 de l'omnipcx Office). 5-5

60 Chapitre 5 5-6

61 Objectif de ce chapitre : décrire les moyens à déployer (et leur mise en œuvre) pour assurer la sécurité des données d un serveur OmniVista Configuration autonome L'OmniVista 4760 fonctionne en configuration autonome lorsqu il ne communique qu avec les PCX. Dans ce contexte : - Aucun client OmniVista 4760 distant n est installé. - Aucun répertoire ou disque réseau n est utilisé. - Aucune imprimante réseau n est utilisée. - Aucune application externe ne peut se connecter à l annuaire LDAP du serveur OmniVista Il s agit de la configuration la plus sécurisée. Pour renforcer la sécurité, il est recommandé de : - Désactiver les services Windows inutiles dans une configuration autonome (voir le descriptif des services dans, section 4.1 ). - Activer le pare-feu Windows. Aucune exception n est requise dans la configuration du pare-feu Windows pour le fonctionnement du serveur OmniVista Déploiement du protocole IPSec dans une configuration serveur-clients distants Afin de renforcer la sécurité des données échangées entre le serveur OmniVista 4760 et ses clients distants, il est recommandé d activer l utilisation du protocole IPSec en suivant la procédure décrite dans cette section. IPSec est une fonctionnalité propre à Windows permettant de crypter la communication IP entre deux machines Windows. Pour le serveur et client OmniVista 4760, le mode IPsec est transparent. Seules les trames IP entrantes et sortantes des deux machines sécurisées sont modifiées Configuration requise - Le service d exploitation de la machine client doit prendre en charge le protocole IPSec. - Les versions minimum requises sont Windows XP et Un client LDAP comme OmniPCX Enterprise ou Linux ne peut donc pas rentrer dans ce mode IPSec Implémentation L implémentation IPSec sous Windows est présentée comme une stratégie de sécurité. Les points à considérer avant l implémentation d IP-sec sont : Définition de l authentification avec Kerberos : 6-1

62 Chapitre 6 - Utiliser un certificat d authentification Windows. - Pour les PC d un groupe de travail, en l absence de Kerberos, l activation du protocole IPsec avec l authentification Kerberos bloque totalement la communication IP. Vous devez écrire une authentification de clé partagée sur chaque PC : client et serveur. - Pour les PC intégrés dans un domaine Windows, on peut utiliser le serveur Kerberos intégré dans le contrôleur de domaine. - Sur chaque machine où l on trouve un client ou serveur OmniVista 4760, on doit pouvoir accéder à l ordinateur depuis le réseau. Procédure : 1. Sélectionnez Démarrer > Paramètres > Panneau de configuration > Outils d'administration > Stratégie de sécurité locale > Stratégies locales > Attribution des droits utilisateurs. 2. Sélectionner le paramètre Accéder à cet ordinateur depuis le réseau. 3. Ajouter le groupe Réseau ou les utilisateurs réseau dans les droits d accès. Couverture de la stratégie Le mode IPSec peut concerner tout ou partie des ports IP. Alcatel-Lucent fournit deux types de stratégies qui permettent de sécuriser uniquement les communications IP entre l application client et l application serveur. Remarque : pour utiliser des certificats, contactez les services professionnels d'alcatel-lucent Restriction - La stratégie propre au serveur OmniVista 4760 ne lui permet pas d accéder en tant que client à d autres serveurs OmniVista Si les ports IP des services OmniVista 4760 sont modifiés, la stratégie IPSec n est plus à jour. - Si le client dispose déjà d'une sécurisation IPsec pour d'autres applications de serveur, la stratégie Alcatel-Lucent n'est pas complète. Dans ce cas, il faut intégrer le client IPsec à la configuration existante. - Par défaut, la stratégie IPSec d'alcatel-lucent pour le serveur OmniVista 4760 impose que tous les clients se connectent par IPSec. Ce choix peut être modifié pour permettre à des clients non sécurisés d accéder au serveur. Attention : Pour ces clients, les données et mot de passe passent en clair sur le réseau IP. Pour gérer ces cas, il est conseillé de faire appel aux services professionnels d Alcatel-Lucent (professional.services@alcatel-lucent.fr), afin de modifier la gestion par défaut IPSec. Remarque : en cas de modification de l attribution des numéros de port par défaut, utilisez outil IpsecUpdate.exe (situé dans le répertoire 4760\bin) Configuration Procédure : 1. Import de la stratégie IP sec Sur les machines à sécuriser (clients et serveurs 4760, 4059, 4980, etc.), ouvrez la console MMC : Stratégie de sécurité IP. 6-2

63 Sélectionner et ouvrir l outil Stratégie de sécurité locale (Panneau de configuration/outils d administration/paramètres de sécurité). Figure 6.1 : Fenêtre Panneau de configuration A l aide du menu contextuel, importer la stratégie IPSec. 6-3

64 Chapitre 6 Figure 6.2 : Fenêtre Stratégie de sécurité locale Sous Windows XP, sélectionner le fichier «4760\data\ipsec\4760serverXP.ipsec». Pour un serveur Windows 2003, sélectionnez le fichier 4760\data\ipsec\4760server.ipsec. Pour les clients Windows 2003 ou Windows XP, sélectionner le fichier «4760client\lib\data\4760client.ipsec». 2. Configurer la méthode d authentification Sélectionner la stratégie de sécurité IPsec du client ou du serveur OmniVista Dans le menu contextuel, cliquer sur Propriétés. 6-4

65 Figure 6.3 : Fenêtre Alcatel Propriétés du serveur OmniVista 4760 Cliquer sur Modifier. Deux listes de filtres sont définies pour les communications IP entrantes et sortantes. Pour modifier le champ Authentification, cliquer sur l onglet Méthodes d authentification pour chacune des listes, puis sur Modifier. 6-5

66 Chapitre 6 Figure 6.4 : Fenêtre Modifier les propriétés de la méthode d authentification Valider les modifications. 3. Affecter la stratégie de sécurité : Sélectionner la stratégie de sécurité IPsec du client ou du serveur OmniVista Dans le menu contextuel, cliquer sur Attribuer. Activer le mode IPsec en affectant la stratégie 6-6

67 Figure 6.5 : Fenêtre Stratégie de sécurité locale 6.3 Sécurité d accès aux applications OmniVista Application Sécurité Le module de sécurité implémenté dans le serveur OmniVista 4760 garantit et centralise la sécurité d accès à toutes les applications présentes dans le serveur et accessibles via un client OmniVista L application de sécurité permet de restreindre ou d autoriser : - Le lancement et la gestion de la sécurité pour chaque application - La lecture, la modification et la suppression des données présentées par chaque application. - L administrateur peut exploiter ces droits de deux façons : Directement pour un utilisateur : dans ce cas, il gère, successivement pour chaque application, le mode d accès de l utilisateur, Via des groupes d'annuaires entreprise préalablement définis : dans ce cas, il octroie à l utilisateur un profil global d accès à un ensemble d applications. Le manuel d administration 3BH Section 10 Sécurité présente les groupes et utilisateurs prédéfinis, leurs droits associés, ainsi que la gestion de nouveaux comptes d utilisateurs et de groupes Interface utilisateur Lors de l ouverture du client d administration, seules les applications répondant aux licences présentes et pour lesquelles l utilisateur dispose d un droit d accès, seront accessibles. Dans le cas où l utilisateur ne dispose pas de tous les droits d accès : - Il ne verra pas les icônes des applications qui lui sont interdites. - Lors des opérations de gestion, une partie des données lui sera masquée. 6-7