Contrôle d accès à Internet

Transcription

1 Web : support@cogilab.com Contrôle d accès à Internet Manuel utilisateur version 6.3

2 Copyright Cogilab 2015, tous droits réservés. Toute reproduction, modification ou diffusion de ce document est interdite sans l accord écrit préalable de la société Cogilab. Les marques Cogilab et SurfPass sont déposées à l INPI. Toutes les autres marques citées dans ce document appartiennent à leurs propriétaires respectifs. 2

3 Sommaire INTRODUCTION PRÉSENTATION DE SURFPASS...6 CONSEILS D'UTILISATION...6 JOINDRE COGILAB...6 INSTALLATION... 7 INSTALLATION DU SERVEUR...7 Serveur sans passerelle...7 Serveur en mode passerelle...7 Exemple de passerelle avec 2 cartes réseaux...8 INSTALLATION DE LA CONSOLE D ADMINISTRATION SUR UNE MACHINE DÉDIÉE (OPTIONNEL)...8 INSTALLATION DES CLIENTS (OPTIONNEL EN MODE PASSERELLE)...8 PREMIÈRE UTILISATION DE LA CONSOLE D ADMINISTRATION...9 Structure générale de l administration...9 Identification manuelle ou automatique des utilisateurs...9 Fin de session utilisateur en mode passerelle, sans module client...9 Filtrage par liste noire ou liste blanche...9 Filtrage des sites de vidéos, des réseaux sociaux...9 Saisie des numéros de série...9 Modification des mots de passe par défaut...10 COMPTE DE CONFIGURATION...10 Options d installation...10 Adresse de la machine serveur...11 Adresse de machine base de données...11 Serveur Web local...11 Configuration du serveur de secours...11 Configuration du serveur de base de données...13 Ouverture de la console d administration...13 NUMÉROS DE SÉRIE...13 IMPORTATION DES PARAMÈTRES DEPUIS SURFPASS V3.6, V4, V DÉSINSTALLATION DE SURFPASS...13 ADMINISTRATION STRUCTURE GÉNÉRALE DE L ADMINISTRATION...14 GESTION DES COMPTES UTILISATEURS...15 Les différents types de comptes utilisateurs dans SurfPass...15 Ajout d un nouveau compte...15 Modification d un compte...16 Suppression d un compte...16 Exporter la liste des utilisateurs...16 Importer une liste d utilisateurs...16 Mettre à jour la liste des utilisateurs...16 GESTION DES GROUPES UTILISATEURS...17 Ajout d un nouveau groupe...17 Modification d un groupe...17 Suppression d un groupe...17 Fonctions avancées...18 Exporter la liste des groupes utilisateurs...18 GESTION DES PROFILS UTILISATEURS...19 Ajout d un nouveau profil...19 Modification d un profil...19 Suppression d un profil...19 Edition d un profil...20 Général...20 Filtrage...21

4 Plages horaires...24 Gestion des applications...25 Démarrage auto...26 Fonctions avancées...26 GESTION DES COMPTES STATIONS...27 Ajout d un nouveau compte...27 Modification d un compte...27 Suppression d un compte...28 GESTION DES GROUPES STATIONS...29 Ajout d un nouveau groupe...29 Modification d un groupe...30 Suppression d un groupe...30 Fonctions avancées...30 GESTION DES PROFILS STATIONS...31 Ajout d un nouveau profil...31 Modification d un profil...31 Suppression d un profil...31 Edition d un profil...32 Général...32 Filtrage...33 Gestion des applications...35 Démarrage auto...36 Proxy...37 Fonctions avancées...37 ONGLET «GLOBAL»...38 Général...38 Saisie du numéro de série licence site...38 Listes de filtrage...38 Mise à jour des listes...39 Edition des listes...40 Ajout d une nouvelle liste de filtrage...40 Modification d une liste de filtrage...41 Suppression d une liste de filtrage...41 Proxy pour le téléchargement des listes distantes...41 Historique...42 Routage sous-réseaux...43 Redirection de port...43 Création stations auto...44 MISE EN ŒUVRE DU FILTRAGE...45 Présence d un proxy...45 Tout bloquer sauf quelques ports (80, 443 )...45 Profils utilisateurs et profils stations...45 Interdire / autoriser un thème de filtrage...45 Listes blanches...45 Paramétrage...45 Liens externes...45 Autoriser les s...45 Autoriser tous les sites https...46 Listes noires...46 Comment savoir quelle liste est à l origine d un blocage de site...46 Quand utiliser le blocage sans affichage...46 Création de liste locale...46 Quand faire ses propres listes...46 SafeSearch...46 Thèmes des listes noires de l université de Toulouse...46 Vidéos...46 Réseaux sociaux...46 SYNCHRONISATION AVEC ACTIVE DIRECTORY...48 Présentation...48 Fonctionnement...48 Correspondance des groupes utilisateurs SurfPass / Active Directory

5 Activation / désactivation...48 HISTORIQUE TEMPS REEL RECHARGEMENT Rechargement des comptes...51 UTILISATION CONNEXION À INTERNET...52 Portail captif...52 Agent d authentification Windows...52 Client optionnel...52 NAVIGATION...53 DÉCONNEXION...54 Portail captif...54 Agent d authentification Windows...54 Client optionnel...54 MAINTENANCE INSTALLATION SILENCIEUSE...55 LA SÉCURITÉ AVEC LE SERVEUR DE BASES DE DONNÉES FIREBIRD...55 SAUVEGARDES...55 CHANGEMENT DE SERVEUR...55 SCRIPTS DE MAINTENANCE...56 RÉPARATION DE BASE CORROMPUE...56 CONSEILS POUR LES TRÈS GRANDS SITES

6 Introduction Présentation de SurfPass SurfPass est un logiciel pour contrôler l accès internet d un réseau complet. Il est utilisé dans les entreprises, les administrations, les établissements scolaires ainsi que dans les sites ouverts aux publics comme les cybercentres et les médiathèques. Voici les principales caractéristiques de SurfPass 6 : Fonctionnement en mode passerelle ou en poste à poste. Portail captif et prise en charge de plusieurs sous-réseaux (mode passerelle). Blocage et filtrage d Internet. Filtrage par analyse des contenus et avec la liste noire de l université de Toulouse (plus d un million de sites). Centralisation des comptes et de tous les paramètres dans une base de données SQL. Gestion des utilisateurs et des stations par des groupes et des profils. Plages horaires par profil utilisateur. Historique détaillé en différé et en temps réel. Possibilité de synchronisation avec Active Directory. Les comptes utilisateurs peuvent fonctionner avec un crédit limité ou illimité de temps (version Premium). Contrôle des applications (version Premium). Conseils d'utilisation Si le filtrage ou le blocage d Internet ne fonctionne pas, vérifier si votre accès à Internet utilise un proxy. Si c est le cas, il suffit de configurer le Profil station / Générique / Proxy en ajoutant une nouvelle règle correspondant au paramétrage de votre proxy. Si vous avez connaissance de sites suspects non répertoriés dans les différentes listes noires, vous êtes vivement encouragé à les soumettre ici : N oubliez pas de faire régulièrement des sauvegardes de la base de données (voir chapitre «Maintenance»). Joindre COGILAB Nous vous invitons à envoyer vos suggestions et vos remarques à l'adresse suivante : support@cogilab.com Vous pouvez aussi visiter notre site Web pour être informé des dernières versions : Vous pouvez laisser votre adresse en bas de n importe quelle page du site Web de Cogilab pour être prévenu par courriel des dernières versions disponibles. 6

7 Installation Le même logiciel est installé sur les machines serveur, administration et dans certains cas sur les clients. C est le choix des options d installation qui détermine le rôle entre serveur et clients. Si une précédente version de SurfPass est déjà installée, il faut la désinstaller avant l installation de la version 6. Installation du serveur La machine doit être sous Windows 10, 8.1, Windows 8, Windows 7, Windows 2012 R2, Windows 2012, Windows 2008 R2. Ce n est pas obligatoirement un «vrai» serveur au sens Windows server. Le framework.net 4.5 ou supérieur doit être installé pour que toutes les fonctions comme le téléchargement des listes fonctionnent. Lien disponible à la page téléchargement de SurfPass ou par les mises à jour facultatives de Windows. Ce framework est présent d origine avec Windows 8 / 2012 et suivants, il n y a rien à installer. Le serveur Web IIS Express 8 doit être installé, il est utilisé pour le portail captif et l affichage d informations. Activation ASP.NET 4.5 : sur Windows 7 et 2008 R2, l'activation de ASP.NET 4.5 se fait lors de l'installation du framework.net 4.5. L'activation est nécessaire pour Windows 10, 8.x et 2012/R2 : panneau de configuration / Programmes et fonctionnalités / Activer ou désactiver des fonctionnalités de Windows (à gauche). Pour Windows 10 : Activer ou désactiver les fonctionnalités de Windows /.Net Framework advanced services (ou «Services.NET Framework avancés») / ASP.NET 4.6. Pour Windows 2012/R2 : Installation basée sur un rôle ou une fonctionnalité / Web Server (IIS) / Application development / ASP.NET 4.5. Pour Windows 8.x : Services.NET Framework 4.5 avancés / ASP.NET 4.5. Options d installation : activer uniquement «Installer le serveur». Laisser les autres paramètres par défaut. Il faut laisser comme adresse de serveur et de base de données «localhost». La machine serveur peut être la même que la machine d administration ou une machine cliente. La console d administration est toujours installée. Serveur sans passerelle L installation du serveur est terminée. Le port TCP 3050 doit être ouvert sur le serveur. Serveur en mode passerelle La machine passerelle doit avoir au moins deux interfaces Ethernet : L une avec une adresse IP appartenant au réseau public, réseau où se trouve le routeur principal donnant l accès Internet (box). L autre interface a une adresse dans le sous-réseau privé, réseau des machines à contrôler. SurfPass effectue le routage entre ces deux cartes ainsi que la translation d adresse (NAT). C est lors du routage entre les interfaces que le filtrage est effectué. Une fois l installation du serveur terminée, entrer dans la console d administration «SPAdmin» avec le nom «admin» et le mot de passe «cogilab», puis aller dans l onglet «Global» / «Routage sous-réseaux». Ajouter au moins une route, en sélectionnant la carte Ethernet privée du sous-réseau à filtrer et la carte Ethernet publique (WAN) du sous-réseau où est le routeur principal, Laisser NAT actif. Il est possible de créer autant de routes qu il y a de sous-réseaux privés. Puis redémarrer la machine. Tous les ports utilisés doivent être ouverts dans le firewall du serveur, notamment sur la carte LAN privée : 3050, 5030, Clients du sous-réseau privé avec adresses IP statiques : dans les paramètres réseaux, il faut modifier l adresse de la passerelle par défaut qui devient l IP de l interface privée du serveur SurfPass. Les autres paramètres comme le DNS ne changent pas. Clients du sous-réseau privé avec adresses IP dynamiques : il faut installer sur la passerelle un logiciel serveur DHCP / relais DNS comme dhcpserver.de ou Tftpd32. Le paramétrer pour qu il soit actif sur le réseau privé LAN. Il est aussi possible d utiliser le serveur DHCP de Windows Server. Le serveur DHCP peut être sur une autre machine du même réseau privé LAN de la passerelle. Clients Wi-Fi : installer un serveur DHCP comme expliqué précédemment. Le point d accès Wi-Fi est connecté au réseau privé LAN. Il est configuré en mode pont et non pas en mode routeur qui doit être complètement désactivé (pas de upnp, pas de serveur DHCP, DNS, etc ). 7

8 Exemple de passerelle avec 2 cartes réseaux Sous-réseau WAN public : adresse / masque Sous-réseau LAN privé : adresse / masque Routeur et DNS principal : Configuration carte WAN (publique) de la passerelle : Passerelle par défaut : , DNS : Configuration carte LAN (privée) de la passerelle : Passerelle par défaut : (vide), DNS : (vide) Configuration d un client : IP : , Passerelle par défaut : , DNS : Installation de la console d administration sur une machine dédiée (optionnel) La machine doit être sous Windows 10, 8.1, Windows 8, Windows 7, Windows 2012 R2, Windows 2012, Windows 2008 R2. Le framework.net 4.5 doit être installé, sinon erreur lors du lancement de la console d administration. Le lien est disponible à la page téléchargement de SurfPass ou par les mises à jour facultatives de Windows. Ce framework est présent d origine avec Windows 8 / 2012 et suivants, il n y a rien à installer. Options d installation : tout désactiver. La machine d administration peut être la même que la machine serveur ou qu une machine cliente, le module d administration est systématiquement installé. Les ports TCP 3050 et 5030 doivent être ouverts sur cette machine. Installation des clients (optionnel en mode passerelle) La machine doit être sous Windows 10, 8.1, Windows 8, Windows 7, Windows 2012 R2, Windows 2012, Windows 2008 R2. SurfPass est compatible avec les serveurs TSE Remote Desktop / Citrix. Le déploiement des clients peut être fait automatiquement par GPO. Mode passerelle : Options d installation : agent d authentification Windows uniquement, pas de module serveur. Laisser tous les autres paramètres par défaut, y compris localhost pour l adresse du serveur. le port 5030 doit être ouvert sur le client, c est le serveur qui se connecte au client et non l inverse. Une fois l agent d authentification installé, il faut déplacer le client du groupe stations Générique vers le groupe stations Remote Desktop. La seule différence entre ces deux groupes est la déclaration de la présence du module d authentification dans Remote Desktop. La prise en compte sera effective pour les prochaines sessions utilisateurs et non pas pour les sessions en cours. Si l installation de l agent n est pas possible (par exemple sur Windows XP ou Vista) il est possible de démarrer le script PowerShell Disconnect_SP.ps1 présent à la racine de l installation de SurfPass : C:\Program Files\Cogilab\SurfPass6\Disconnect_SP.ps1, lancé par le planificateur de tâches ou une GPO au démarrage de la session Windows. Si une session SurfPass était déjà ouverte sur la même machine, elle sera fermée. Cela permet d avoir un historique et un filtrage plus juste quand une même machine est utilisée par plusieurs personnes et que les personnes oublient de se déconnecter via la page status.aspx à la fin d une session ouverte par le portail captif. Il est possible d installer le client optionnel en plus de l agent d authentification. Dans ce cas l adresse du serveur ne doit plus être localhost mais l adresse de la carte LAN de la passerelle. Mode sans passerelle : Le module serveur et le module client facultatif doivent être installés sur chaque client. Ne pas installer l agent d authentification Windows L adresse du serveur est celle du serveur et non pas «localhost». L adresse de la base de données reste «localhost». Le port TCP 5030 doit être ouvert sur la machine serveur. 8

9 Première utilisation de la console d administration Par le menu démarrer / Tous les programmes / Cogilab / SurfPass6 / SPAdmin à partir de la session Windows utilisée pour l installation de SurfPass. Le nom est «admin» et le mot de passe est «cogilab». Par défaut tous les mots de passe dans l administration sont «cogilab». Structure générale de l administration - Chaque fois qu une fiche est modifiée, il faut appuyer sur le bouton vert «Valider» en haut pour enregistrer les modifications. - Les utilisateurs appartiennent à des groupes utilisateurs dont les droits sont définis par un profil utilisateur. Les stations appartiennent aussi à des groupes définis par des profils. - Le profil station est actif lorsque la machine est au repos, qu il n y a pas d utilisateur SurfPass connecté. Sinon, c est le profil de l utilisateur actuellement connecté qui s applique. Les profils utilisateurs et stations sont mutuellement exclusifs, un seul est actif à la fois, y compris pour les règles de filtrage. - Les paramètres dans l onglet «Global» sont partagés par tout le système. Par exemple si une liste de filtrage est désactivée dans Global / Listes de Filtrage / Editions des listes, elle sera également désactivée dans tous les profils qui l utilisent, même si les règles correspondantes sont toujours actives. - Les règles de filtrages, les listes de filtrage et les autres paramètres représentés sous forme tabulaire apparaissent sur un fond blanc quand elles sont activées et sur un fond gris quand elles sont désactivées. Identification manuelle ou automatique des utilisateurs - Identification automatique : le nom de l utilisateur est celui de la machine. - Si l agent d authentification Windows est installé sur les clients ou le serveur TSE : le nom de l utilisateur SurfPass est celui de l utilisateur Windows courant. - Identification manuelle : o En mode passerelle, sans agent client : portail captif. o Le module client optionnel est installé : par la boite d identification SurfPass. Par défaut, SurfPass fonctionne en identification automatique (pas d identification ou alors transparente par Active Directory). Pour forcer l identification manuelle, avec le portail captif ou la boite d identification du client SurfPass, il faut aller sur l onglet «Profils Stations» / «Générique» / onglet «Général» puis désactiver «Identification automatique», ou sélectionner le groupe ou le profil Portail. Si l identification est faite par le module client optionnel SurfPass, activer dans option d affichage «Toujours afficher la boite d identification au repos». Le groupe stations «Portail» force l identification par le portail car l option «Identification automatique» est déjà désactivée. Le groupe stations par défaut peut être défini par plages d adresses IP du client, dans «Global» / «Création stations auto». Fin de session utilisateur en mode passerelle, sans module client Une session se termine : - Par fin des droits de l utilisateur : temps épuisé, plages horaires, etc... - Par inactivité : le délai par défaut est de 2 heures. Il est possible de réduire cette valeur jusqu à 5 minutes dans le profil stations / onglet «Général» / «Déconnecter si réseau inactif pendant ()». - Manuellement : en appelant depuis le navigateur du client l URL : IP de l interface privée>:8080/status.aspx Filtrage par liste noire ou liste blanche Par défaut le filtrage fonctionne en liste noire : tout est autorisé sauf ce qui est explicitement interdit par des règles d adresses simples ou des listes d adresses. Pour obtenir le fonctionnement en liste blanche (tout interdit sauf ce qui est explicitement autorisé), il faut aller dans le profil utilisateur correspondant, onglet «Filtrage» et décocher la première case : «Autoriser toutes les connexions (hors règles)» et confirmer avec le bouton «Valider». Ensuite ajouter des règles d autorisation. Filtrage des sites de vidéos, des réseaux sociaux Pour les sites comme Youtube ou Dailymotion, il suffit d activer les listes audio-video ou filehosting. Facebook est dans la liste social_networks. L activation ou la désactivation d une liste se fait dans l onglet «Global» / «Listes de filtrage» / «Edition des listes». Saisie des numéros de série Sauf en période d évaluation, le ou les numéros de série doivent être saisis dans les 30 jours suivant l installation : - Cas d une licence site : Onglet «Global» / «Général». Enregistrer le changement par «Valider». 9

10 - Cas de licences par machine : Onglet «Stations», saisie d un numéro distinct pour chaque station : sélection à gauche de la station, saisie dans la fiche de droite du numéro, enregistrer le changement par «Valider». Une fois le délai dépassé, le routage reste actif mais il n y a plus aucun filtrage ni historique. Modification des mots de passe par défaut Par défaut tous les mots de passe sont «cogilab». Il est nécessaire de les modifier pour : - le compte admin - Le compte crédit - Les comptes utilisateurs test, test1 et test2 qui peuvent être supprimés. Compte de Configuration Le compte de configuration permet de prendre la main localement sur le serveur et sur chaque client, en toute circonstance, même lorsque le client n est pas connecté à un serveur SurfPass ni même à un réseau local. Le compte de configuration est le seul moyen de modifier les paramètres locaux à chaque machine, c est-à-dire ceux qui ne sont pas centralisés dans la base de données. L accès au compte de configuration nécessite les droits Windows administrateur. Pour accéder à ce compte depuis le bureau de Windows : Menu démarrer / Tous les programmes / Cogilab / SurfPass6 / SPConfig. Si SurfPass est installé sur un serveur de domaine, il le détecte et demande si le filtrage doit être activé sur cette machine. Il est conseillé de répondre non, sauf pour les passerelles et les serveurs TSE. Le compte de configuration Options d installation - Installer serveur : installe toutes les fonctions du serveur ainsi que le filtrage local et en passerelle. 10

11 - Installer l agent d authentification Windows : installe l agent d authentification pour les clients Windows et les serveurs TSE. Les utilisateurs sont alors authentifiés par leur session Windows, de façon transparente. Cet agent est optionnel et ne concerne que les clients Windows situés derrière une passerelle SurfPass. - Installer module client facultatif. Ce module permet l identification manuelle des utilisateurs. Il est nécessaire pour certaines fonctionnalités de la version premium comme le contrôle des applications. Adresse de la machine serveur Ce paramètre n est à modifier que pour les clients où sont installés l agent authentification ou le module client. - Adresse de la machine serveur : il faut laisser «localhost» comme adresse lors de l installation de SurfPass sur la machine serveur ou passerelle. Pour les clients connectés à un serveur ou une passerelle, il faut mettre l adresse de la machine passerelle ou serveur. - Port de la machine serveur : par défaut, le serveur SurfPass utilise le port TCP Adresse de machine base de données Ce paramètre n est à modifier que si plusieurs serveurs / passerelles partagent une base de données commune. - Adresse : adresse du serveur de base de données, de préférence sous la forme de son adresse IP, ou «localhost» pour le serveur, la passerelle. - Port : par défaut le port de la base de données est Si le port est différent, il doit aussi être modifié dans le répertoire d installation de SurfPass : \Firebird\firebird.conf. Serveur Web local Cette option doit être activée sur la machine serveur. Elle permet d afficher les messages d erreur et le portail captif. - Port HTTP : port utilisé par le navigateur des clients pour se connecter au serveur Web de SurfPass. - Activer HTTPS : l identification dans le portail captif se fait non plus en HTTP mais en HTTPS. Par défaut la clé est auto-signée, ce qui provoque un message d avertissement du navigateur. Pour ne plus avoir ces messages, il faut soit ajouter une exception dans le navigateur, soit installer un certificat SSL issu d un vendeur. - Port HTTPS : port utilisé par le navigateur des clients pour se connecter au serveur Web de SurfPass pour le portail captif quand l option HTTPS est active. Configuration du serveur de secours Le compte de configuration (Avancé) - Adresse du serveur de secours: Il est important de laisser ce champ vide s il n y a pas de serveur de secours. - Port de la machine serveur : par défaut, le serveur SurfPass utilise le port TCP Bouton «Base de données» : accès aux paramètres du serveur de base de données principale. 11

12 - Bouton «Base de données de secours» : accès aux paramètres du serveur de base de données de secours. 12

13 Configuration du serveur de base de données Le compte de configuration (base de données) Les paramètres de la base de données principale et de secours sont : adresse, port, login, password. Il est conseillé de laisser tous les autres paramètres par défaut tant que l installation n est pas complètement terminée. Ces paramètres sont pris en compte sur la machine serveur et ignorés sur les clients. Ouverture de la console d administration L accès à la configuration et à l administration depuis le bureau de Windows : Menu démarrer / Tous les programmes / Cogilab / SurfPass6 / SPAdmin. On accède alors à la boîte de dialogue suivante : La touche de tabulation permet de passer d un champ à un autre. La touche «Entrée» correspond à appuyer sur le bouton «OK». Comme pour tous les autres comptes utilisateurs, le nom est «admin», le mot de passe par défaut est «cogilab». Pour des raisons de sécurité, il est nécessaire de le changer rapidement. Numéros de série Le numéro de série est saisi après l'installation de SurfPass. Dans le cas de licence par ordinateur, le numéro de série est saisi pour l'ordinateur correspondant: onglet "Stations", cliquer sur l'ordinateur correspondant à gauche et entrer le numéro de série dans le champ correspondant à droite. Les numéros doivent être différents pour chaque machine. Pour une licence site, le numéro est entré une seule fois dans l'onglet «Global» / «Général». Importation des paramètres depuis SurfPass v3.6, v4, v5 La sélection de l ancienne base à importer se fait depuis l onglet «Global» / sous-onglet «Outils». Désinstallation de SurfPass Il existe 2 façons de désinstaller SurfPass. - Dans le panneau de configuration de Windows, Ajouter/Supprimer programmes, SurfPass6. - En ligne de commande, dans le répertoire c:\program Files\Cogilab\SurfPass6, entrez la commande: «spconfig /Uninstall <entrée>». Les droits administrateur Windows sont requis. Voici la procédure complète : Menu «démarrer» / «Tous les programmes» / «Accessoires» / «invite de commande». Puis entrez : (en incluant les guillemets) 13

14 "c:\program Files\Cogilab\SurfPass6\spconfig" /Uninstall<entrée> C est le mode de désinstallation à utiliser en cas d échec de la procédure normale de désinstallation. Administration Lors de la première installation, SurfPass utilise une base de données pré-définie, avec des groupes, des profils et plusieurs comptes utilisateurs d exemples. Tous ces paramètres peuvent être modifiés ou supprimés. Parmi les comptes utilisateurs, il y a un compte d administration «admin» et un compte de rechargement «credit». Les mots de passe doivent être changés, par défaut c est «cogilab» pour tous les comptes. Le compte «admin» ne peut pas être supprimé, son mot de passe peut être changé. Test est un compte utilisateur illimité, test1 est un compte utilisateur limité avec un crédit de 1 heure et test2 est un compte utilisateur illimité non filtré. Des groupes et profils sont prédéfinis pour d autres valeurs de compte. On accède à la console d administration depuis la session Windows qui a servi à installer SurfPass: Menu démarrer / Tous les programmes / Cogilab / SurfPass6 / SPAdmin. Une fois la console d administration ouverte, la liste des comptes apparaît. La couleur de la colonne de droite indique l état d un compte : Gris : compte d administration ou de rechargement (crédit). Bleu : compte utilisateur illimité. Vert : compte utilisateur limité avec un crédit de temps disponible. Rouge : compte utilisateur limité avec solde épuisé. Orange : compte utilisateur limité avec un solde de temps inférieur au quart de la valeur initiale (bientôt vide). Structure générale de l administration SurfPass gère distinctement les deux entités suivantes : les utilisateurs du système. Les stations (machines clientes) contrôlées par SurfPass. Les utilisateurs et les stations sont : Organisés en groupes (groupes utilisateurs et groupe de stations). Caractérisés par des profils (profils utilisateurs et profils stations). Les comptes utilisateurs et stations ont très peu de paramètres. La plupart des paramètres sont définis au niveau des profils utilisateurs ou des profils stations. En résumé : Chaque utilisateur et chaque station appartiennent à un groupe. Un groupe se caractérise par un nom et un profil. Un profil contient la plupart des paramètres d un utilisateur ou d une station. Le profil station est utilisé quand SurfPass est au repos, le profil utilisateur s applique en cours de session utilisateur SurfPass. Un seul est actif à la fois. Par défaut, tous les mots de passe sont «cogilab». Pour des raisons de sécurité, il est indispensable de les changer le plus rapidement possible, pour tous les comptes utilisateurs, y compris ceux d administration et de crédit. Pour changer un mot de passe, il suffit d effacer les points de l ancien mot de passe (on ne peut jamais visualiser un mot de passe) dans la fiche de l utilisateur puis de ressaisir un nouveau mot de passe à la place, et enfin de le valider avec le bouton vert. 14

15 Gestion des comptes utilisateurs Onglet «Utilisateurs» Les différents types de comptes utilisateurs dans SurfPass Le choix du type de compte utilisateur se fait à travers le choix du groupe d appartenance du compte, car à un groupe utilisateur correspond un profil utilisateur. Les comptes utilisateurs destinés à l utilisateur final : Ils peuvent fonctionner avec un crédit de temps limité ou illimité. Les comptes d administration : Ils donnent accès à tous les paramètres de SurfPass, hormis les paramètres locaux de chaque machine, accessible localement avec le compte de configuration. A l installation de SurfPass, ce sont les comptes «admin» et «credit» (comptes de rechargement). Les droits d accès à l administration, l historique, le temps réel et le rechargement sont des droits distincts, qui peuvent être donnés les uns indépendamment des autres. Ajout d un nouveau compte Appuyer sur le bouton «Ajouter» (croix bleue) en haut à gauche, puis remplir la fiche dans la section droite de la fenêtre. Un compte utilisateur comprend Un nom d utilisateur. Un mot de passe. Un groupe. Le choix du groupe détermine le fonctionnement du compte, car le choix du groupe définit également le profil qui va s appliquer au compte utilisateur. C est le choix du groupe qui détermine si le compte est un compte administrateur, un compte utilisateur avec limitation de temps, etc Un nom convivial tel qu il apparaît dans la liste des utilisateurs. Si ce champ est laissé vide, il prend la valeur du nom utilisateur. Si c est un compte de la famille administrateur, il est possible de définir les droits donnés à ce compte : administration principale, Création / rechargement de compte, Historique, Temps réel. Si c est un compte utilisateur avec limitation de temps, il est possible de visualiser et de modifier le temps restant, sans la forme heures : minutes. Le temps indiqué est celui stocké dans la base de données, et ne reflète pas la valeur exacte d une session en cours. Pour cela, il faut aller dans la partie «Temps réel». Date début / fin de validité : permet de limiter dans le temps la validité du compte utilisateur. Désactiver : permet de désactiver temporairement un compte, sans l effacer. Une fois la fiche remplie, il faut la valider avec le bouton vert «Valider» en haut à droite. 15

16 Modification d un compte Sélectionnez le compte dans la liste de gauche, puis modifiez ses paramètres dans la fiche à droite, et validez avec le bouton vert «Valider» en haut à droite. Pour annuler une modification en cours, sortez par «Annuler» en haut à droite. Suppression d un compte Sélectionnez le compte dans la liste, puis appuyez sur le bouton «Supprimer» (signe moins bleu) en haut à gauche. La sélection multiple est possible. Exporter la liste des utilisateurs Cette option permet de convertir en html la liste des comptes utilisateur, par exemple pour les imprimer. Pour cela, appuyez sur le bouton «Export» en haut à gauche. Importer une liste d utilisateurs Cette option permet de créer automatiquement un grand nombre de comptes utilisateur. Appuyez sur le bouton «Import» en haut à gauche. Indiquez le groupe utilisateur dans lequel vont être importés les nouveaux comptes puis ensuite le chemin d accès au fichier texte contenant la déclaration des comptes. Si le fichier texte contient des accents, il doit être encodé en UTF-8 et non en ANSI. Cette option est disponible dans le menu «Enregistrer sous» des éditeurs de texte comme le bloc-notes. Structure d un fichier texte d import : Commentaire : toute ligne commençant par le caractère #. Les champs sont séparés soit par une tabulation, soit par le caractère ;, soit par le caractère :. Les espaces ne sont pas des séparateurs. De 1 à 5 champs par ligne. S il y a moins de 5 champs, les champs manquants sont automatiquement définis par SurfPass. Les 5 champs sont : nom utilisateur, mot de passe, groupe utilisateur, nom convivial, crédit du compte. Si un seul champ : c est le nom utilisateur. Dans ce cas, mot de passe = nom utilisateur, groupe utilisateur = groupe d import, nom convivial = nom utilisateur, crédit du compte = quota du profil de son groupe d import. Si deux champs : nom utilisateur puis mot de passe. Dans ce cas, groupe utilisateur = groupe d import, nom convivial = nom utilisateur, crédit du compte = quota du profil de son groupe d import. Si trois champs : nom utilisateur puis mot de passe puis groupe utilisateur. Dans ce cas, nom convivial = nom utilisateur, crédit du compte = quota du profil de son groupe utilisateur. Si quatre champs : nom utilisateur puis mot de passe puis groupe utilisateur puis nom convivial. Dans ce cas, crédit du compte = quota du profil de son groupe utilisateur. Si cinq champs : nom utilisateur puis mot de passe puis groupe utilisateur puis nom convivial puis crédit de temps en secondes. Mettre à jour la liste des utilisateurs Cette option force le rechargement des comptes utilisateurs depuis la base de données. Pour cela, appuyez sur le bouton «Rafraichir» en haut à gauche. 16

17 Gestion des groupes utilisateurs Un groupe utilisateurs correspond à un ensemble d utilisateurs qui partagent exactement le même paramétrage et les mêmes droits. Il doit toujours y avoir dans SurfPass au moins un groupe utilisateur. Plusieurs groupes utilisateurs peuvent utiliser le même profil utilisateur. Onglet «Groupes utilisateurs» Ajout d un nouveau groupe Appuyez sur le bouton «Ajouter» (croix bleue) en haut à gauche, puis remplissez la fiche dans la section droite de la fenêtre. Nom du groupe : il est important de bien choisir le nom du groupe, car il n est plus possible de le modifier après la validation. Profil : choix du profil utilisateur qui définit les droits des utilisateurs du groupe. Désactiver : permet de désactiver temporairement un groupe de comptes utilisateurs, sans les effacer. Supprimer les utilisateurs inactifs : supprime les comptes utilisateurs qui n ont pas été utilisés depuis un certain nombre de jours. Par exemple pour les espaces publics. Restriction des groupes stations : permet d activer le bouton «Modifier liste» pour choisir le ou les groupes de stations que le groupe d utilisateurs aura le droit d utiliser, les autres groupes stations sont alors interdits. Date début / fin de validité : permet de limiter dans le temps la validité des comptes utilisateurs du groupe. Modification d un groupe Sélectionner le groupe dans la liste de gauche, puis modifier ses paramètres dans la fiche à droite, puis valider avec le bouton vert «Valider» en haut à droite. Pour annuler une modification en cours, sortez par «Annuler» en haut à droite. Suppression d un groupe Sélectionner le groupe dans la liste, puis appuyez sur le bouton «Supprimer» (signe moins bleu) en haut à gauche. La sélection multiple est possible. Si le groupe contient au moins un utilisateur, la suppression est impossible. 17

18 Fonctions avancées Fonctions «Avancé» groupe utilisateurs Le bouton «avancé» en haut à gauche permet : D effacer tous les utilisateurs appartenant à un groupe. De changer les utilisateurs de groupe. C est un moyen pour renommer un groupe : l administrateur crée un nouveau groupe paramétré comme l ancien. L ancien groupe est le groupe cible, le nouveau groupe est le groupe source. Exporter la liste des groupes utilisateurs Cette option permet de convertir en html la liste des groupes utilisateurs, par exemple pour les imprimer. Pour cela, appuyer sur le bouton «Export» en haut à gauche. 18

19 Gestion des profils utilisateurs Le profil utilisateur définit le comportement de SurfPass au début d une session utilisateur et pendant une session utilisateur. Un profil utilisateur définit un ensemble de paramètres utilisateurs. A chaque utilisateur correspond un et un seul profil, défini dans son groupe d appartenance. Plusieurs groupes d utilisateurs peuvent utiliser le même profil utilisateurs. Onglet «Profils utilisateurs», sous-onglet «général» Ajout d un nouveau profil Appuyez sur le bouton «Ajouter» (croix bleue) en haut à gauche, puis remplissez la fiche dans la section droite de la fenêtre. Il faut bien le choisir, car il n est plus possible de le modifier après. L édition du profil s étend sur 5 onglets : Général, Filtrage, Plages horaires, Applications, Démarrage. Seuls les 3 premiers apparaissent dans la version Express. Modification d un profil Sélectionnez le profil dans la liste de gauche, puis modifiez ses paramètres dans la fiche à droite, puis validez avec le bouton vert «Valider» en haut à droite dans chaque onglet à droite contenant une modification. Pour annuler une modification en cours, sortez par «Annuler» en haut à droite. Suppression d un profil Sélectionnez le profil dans la liste, puis appuyez sur le bouton «Supprimer» (signe moins bleu) en haut à gauche. La sélection multiple est possible. Si le profil est utilisé par au moins un groupe, la suppression est impossible. 19

20 Edition d un profil Général Définit la nature générale des comptes utilisateurs qui utiliseront le profil : administrateur, ou utilisateur simple. Nom du profil : il est important de bien choisir le nom du profil, car il n est plus possible de le modifier après la validation. Le type de compte : utilisateur, administrateur. Si administrateur, les paramètres suivants sont ignorés. Le type de crédit : limité, illimité, illimité avec comptage. Ce dernier permet de compter le temps sans imposer de limite. Ne concerne que la version Premium. Le crédit temps si le compte est de type limité ou avec comptage. Cette valeur est proposée par défaut lors des opérations de crédit. C est également la valeur utilisée pour le rechargement de tous les comptes à la fois et par l opération de rechargement automatique. Ne concerne que la version Premium. Le rechargement automatique : s il est sélectionné, les comptes sont automatiquement rechargés à un intervalle de temps donné. Le rechargement se fait alors en début de session. Ne concerne que la version Premium. Ajouter solde résiduel : Si cette option est sélectionnée, lors des opérations de crédit l ancienne valeur se cumule avec la nouvelle. Sinon, le montant du rechargement remplace le solde courant. Ne concerne que la version Premium. Ne pas archiver les sites visités : seuls le début et la fin de la session sont conservés dans l historique, sans les sites Web visités. Interdire usage simultané même compte : interdit l usage simultané d un même compte illimité sur plusieurs machines. Les comptes avec limitation de temps ne peuvent jamais être utilisés simultanément. Prévenir l utilisateur : Permet de prévenir l utilisateur par un message que son crédit de temps est bientôt épuisé. Ne concerne que la version Premium avec l agent client optionnel installé. 20

21 Filtrage Définit un ensemble de règles pour interdire ou autoriser des sites Internet ou des adresses pendant la session utilisateur. Les règles qui apparaissent sur un fond grisé sont désactivées. Autoriser toutes les connexions (hors règles) : définit le comportement par défaut du filtrage. Si cette case est cochée, l accès à Internet est libre, sauf exceptions données par les règles d interdictions. C est l option à choisir pour fonctionner en liste noire (tout autorisé sauf quelques sites).si cette option n est pas cochée, aucun accès à Internet n est possible sauf exceptions données dans les règles d autorisation. C est le fonctionnement en liste blanche : tout interdit, sauf quelques sites. Afficher message d avertissement blocage : si cochée, SurfPass avertit par un message l utilisateur chaque fois qu il tente d accéder à un site interdit. Dans le cas de filtrage de site publicitaire, il est conseillé de ne pas sélectionner cette case afin de ne pas être dérangé par l affichage très fréquent du message d avertissement. L affichage ou pas du message d avertissement ne change pas le fonctionnement du filtrage. En général cette option est active dans un fonctionnement en liste noire, et désactivée en liste blanche, une fois la liste établie (les messages sont pratiques pour sa mise au point). Filtrage par liste : active ou désactive toutes les règles basées sur des listes de filtrage. Filtrage par analyse de contenu : active ou désactive le filtrage par analyse de contenu. Thème de filtrage par analyse de contenu : un ou plusieurs thèmes peuvent être choisis. Si tous les thèmes sont désactivés, le filtrage par analyse de contenu est désactivé. Niveau de filtrage par analyse de contenu : plus le niveau est élevé, plus le filtrage sera sensible, avec éventuellement des risques de faux-positifs. Valeurs conseillées : 1-2 pour adultes, 3-4 pour adolescents, 5-7 pour pré-adolescents, 8-10 pour jeunes enfants. Options de contrôle par DNS inverse : lorsque SurfPass ne peut pas déterminer le nom de domaine correspondant à une adresse IP, il effectue une requête DNS qui peut prendre un certain temps. Il est possible de désactiver cette option, soit pour les accès distants, soit pour le réseau local. Il est conseillé de désactiver le reverse DNS en local, car les réseaux locaux n ont pas toujours de serveur de DNS en local. Onglet «Filtrage» d un profil utilisateur Les boutons «Ajouter», «Supprimer» en haut à droite permettent d ajouter ou de supprimer une règle simple ou de liste. Il existe deux modes de fonctionnement pour le filtrage : Par liste noire : tous les sites sont autorisés, sauf quelques-uns. Dans cas il faut cocher la case «Autorise les connexions quand aucune règle applicable» et ajouter des règles de blocages pour les sites interdits. 21

22 Par liste blanche : par défaut tout est interdit, sauf quelques sites. Dans ce cas il ne faut pas cocher la case «Autorise les connexions quand aucune règle applicable» et ajouter des règles d autorisation pour les quelques sites qui ne doivent pas être bloqués. Les différents paramètres d une règle simple sont : L action : Autorise ou Refuse. Le type d adresse: Toutes, Domaines (exemple : surfpass.com) dans ce cas il est conseillé de ne pas mettre www. au début, URL (exemple : surfpass.com/index.html), IP (exemple , * ), ou Newsgroup. Adresse : L adresse correspondante au type. Le port (à choisir dans la liste ou à taper dans la zone de saisie). La priorité. Elle ne sert qu en cas de conflit entre deux règles. Par exemple interdire *.com et autoriser surfpass.com. Dans ce cas, la règle avec la priorité la plus élevée gagne. Commentaire : description facultative de la règle. Désactivé : la règle n est pas active. Silencieux : pas d avertissement utilisateur ni d historique en cas de blocage. Les différents paramètres d une règle liste sont : L action : Autorise ou Refuse. Le type d adresse: Domaines (exemple : surfpass.com), URL (exemple : surfpass.com/index.html), IP (exemple , * ), ou Newsgroup. Nom de la liste : nom de la liste. Le port (à choisir dans la liste ou à taper dans la zone de saisie). La priorité. Elle ne sert qu en cas de conflit entre deux règles. Commentaire : description facultative de la règle. Désactivé : la règle n est pas active. Silencieux : pas d avertissement utilisateur ni d historique en cas de blocage. Edition d une règle de filtrage type adresse dans un profil utilisateur 22

23 23 Edition d une règle de filtrage type liste de domaines dans un profil utilisateur

24 Plages horaires Définit un ensemble de plages horaires pour chaque jour de la semaine. Onglet «Plages horaires» d un profil utilisateur La case «Tous les jours identiques à lundi» évite d entrer les mêmes valeurs pour chaque jour de la semaine s ils sont identiques (à valider en haut à gauche par le bouton «Valider»). Il est possible d interdire l accès à certaines heures, de forcer le profil utilisateur pour avoir par exemple un filtrage différent selon l heure de la journée ou encore de modifier le décompte du temps : par exemple un coefficient de 50 au lieu de 100 aura pour effet une baisse de la tarification de 50% pendant cette plage horaire. Lorsqu une plage est à cheval sur minuit, il faut la décomposer en deux plages : une avant minuit, et une autre à partir de 00h00 le lendemain. Les boutons «Ajouter», «Supprimer» permettent d ajouter ou de supprimer une plage pour un jour de la semaine. 24

25 Gestion des applications SurfPass permet de contrôler les applications Windows par l autorisation de certaines applications et l interdiction de toutes les autres. Cet onglet ne concerne que la version Premium avec le module client optionnel. Onglet «Applications» d un profil utilisateur La gestion des applications dans le profil utilisateur permet d autoriser un nombre limité d applications pendant une session utilisateur. Si la liste contient au moins une application, toutes les applications qui ne sont pas dans la liste sont interdites. Si la liste est vide, aucune application n est interdite. La case «Désactiver la gestion des applications» permet d ignorer les applications dans la liste sans avoir à les effacer, par exemple pour faire des tests (à valider en haut à gauche par le bouton «Valider»). Pour connaître le nom d un exécutable correspondant à une application, il suffit de faire «Ctrl+Alt+Supp» puis gestion des tâches. C est le nom tel qu il apparaît dans la colonne de gauche, par exemple «iexplore.exe». Les boutons «Ajouter», «Supprimer» en haut à droite permettent d ajouter ou de supprimer une application dans la liste. 25

26 Démarrage auto SurfPass permet de lancer automatiquement des programmes en début de session utilisateur (ex : le navigateur). Cet onglet ne concerne que la version Premium avec le module client optionnel. La case «Désactiver les démarrages automatiques» permet d ignorer les applications à lancer, par exemple pour faire des tests (à valider en haut à gauche par le bouton «Valider»). Onglet «Démarrage auto» d un profil utilisateur Les boutons «Ajouter», «Supprimer» permettent d ajouter ou de supprimer un programme dans la liste. Fonctions avancées Fonctions profil utilisateur «Avancé» Le bouton «avancé» en haut à gauche permet : De remplacer un profil cible par un profil source dans tous les groupes qui utilisent le profil source. C est un moyen pour renommer un profil : On crée un nouveau profil, on le paramètre comme l ancien puis on remplace l ancien par le nouveau partout. De copier le contenu d un profil vers un autre. Permet de copier séparément les paramètres de filtrage, de plages horaires, des applications et des démarrages. Cette fonction permet de créer un profil proche d un profil déjà existant très rapidement. 26

27 Gestion des comptes stations A chaque machine contrôlée par SurfPass correspond un compte station qui appartient à un groupe de stations auquel s applique un profil de stations. Il y a autant de comptes stations qu il y a de stations contrôlées par SurfPass sur le réseau, et il y a au moins un groupe station et un profil station. Lors de la première session d une machine contrôlée par SurfPass, SurfPass crée automatiquement un compte station correspondant au nom de la machine et avec le groupe «générique». Le groupe comme les autres paramètres peut être modifié par la suite. Onglet «Stations» Ajout d un nouveau compte Appuyez sur le bouton «Ajouter» (croix bleue) en haut à gauche, puis remplissez la fiche dans la section droite de la fenêtre. Si une machine change de nom ou est retirée du réseau, il faut supprimer l ancien compte. Une même machine peut apparaître plusieurs fois si elle possède plusieurs interfaces Ethernet. Un compte station comprend : Un nom, tel qu il apparaît dans «voisinage réseau» ou son adresse IP. Un groupe. Le choix du groupe détermine le fonctionnement du compte, car le choix du groupe définit également le profil qui va s appliquer au compte station. L option Ignorer en routage sous-réseaux. Le trafic réseau de la station continue d être routé, mais il n y a pas de filtrage ni d historique. Cette option est destinée aux stations ou aux serveurs qui intègrent déjà un serveur de filtrage complet et qui partagent la même base de données. Cela évite un historique et un filtrage en double. Une description (facultatif). Numéro de série de la station. Dans le cas d une licence site, il n y a rien à saisir ici. Dans le cas de licence par machine il faut entrer ici le numéro de série de la station, un même numéro de série ne peut être utilisé que pour une seule machine. Un compte station indique les informations : Date de la création de la machine Date du dernier démarrage de la machine Son adresse MAC Sa dernière adresse IPv4 Sa dernière adresse IPv6 Le nom du dernier utilisateur Modification d un compte Sélectionnez le compte dans la liste de gauche, puis modifiez ses paramètres dans la fiche à droite, puis validez avec le bouton vert «Valider» en haut à droite. Pour annuler une modification en cours, sortez par «Annuler» en haut à droite. 27

28 Suppression d un compte Sélectionnez le compte dans la liste, puis appuyez sur le bouton «Supprimer» (signe moins bleu) en haut à gauche. La sélection multiple est possible. 28

29 Gestion des groupes stations Un groupe station correspond à un ensemble de stations qui partagent exactement le même paramétrage et les mêmes droits. Il doit toujours y avoir dans SurfPass au moins un groupe station. Plusieurs groupes stations peuvent utiliser le même profil station. Quatre groupes sont créés à l installation : - Administrateur : réservé aux machines d administration et serveur, aucun filtrage actif par défaut. - Générique : c est le groupe par défaut des clients. - Portail : force l identification par le portail captif. Ce groupe utilise le profil stations Portail dont la seule différence avec le profil Générique est la désactivation de l identification automatique. - Remote Desktop : ce groupe ne comprend que des machines possédant l agent d authentification Windows installé. Ne jamais mettre dans ce groupe une machine qui n a pas l agent d authentification Windows installé sinon la navigation sera très ralentie. Onglet «Groupes stations» Ajout d un nouveau groupe Appuyez sur le bouton «Ajouter» (croix bleue) en haut à gauche, puis remplissez la fiche dans la section droite de la fenêtre. Nom du groupe : il est important de bien choisir le nom du groupe, car il n est plus possible de le modifier après la validation. Profil : choix du profil station qui définit les droits des stations du groupe. Désactiver : permet de désactiver temporairement un compte, sans l effacer. Supprimer les stations inactives : supprime les stations qui n ont pas été utilisées depuis un certain nombre de jours. Par exemple pour les hotspots Wi-Fi publics. Restriction des groupes utilisateurs : permet d activer le bouton «Modifier liste» pour choisir le ou les groupes utilisateurs que le groupe station aura le droit d utiliser, les autres groupes d utilisateurs sont alors interdits. Agent d authentification Windows installé : si cette option est active, toutes les stations de ce groupe doivent avoir l agent d authentification Windows installé. Si une machine ne l a pas, la navigation sera ralentie sur cette machine car le serveur tentera de se connecter à l agent d authentification. Cet agent effectue l authentification Active Directory, pour les machines avec plusieurs utilisateurs comme les serveurs TSE. Il remplace le portail captif. 29

30 Modification d un groupe Sélectionnez le groupe dans la liste de gauche, puis modifiez ses paramètres dans la fiche à droite, puis validez avec le bouton vert «Valider» en haut à droite. Pour annuler une modification en cours, sortez par «Annuler» en haut à droite. Suppression d un groupe Sélectionnez le groupe dans la liste, puis appuyez sur le bouton «Supprimer» (signe moins bleu) en haut à gauche. La sélection multiple est possible. Si le groupe est utilisé par au moins une station, la suppression est impossible. Fonctions avancées Fonctions «Avancé» groupes stations Le bouton «avancé» en haut à gauche permet : D effacer toutes les stations appartenant à un groupe. De remplacer un groupe cible par un groupe source pour toutes les stations qui utilisent le groupe source. C est un moyen pour renommer un groupe en créant un nouveau groupe paramétré comme l ancien. 30

31 Gestion des profils stations D une façon générale, le profil station définit le comportement de SurfPass en fin de session utilisateur et hors session utilisateur, lorsque SurfPass est au repos. Un profil station définit un ensemble de paramètres stations. Il doit toujours y avoir dans SurfPass au moins un profil station. A chaque station correspond un et un seul profil, défini dans son groupe d appartenance. Plusieurs groupes de stations peuvent utiliser le même profil station. A la première installation, SurfPass crée trois profils stations : le premier s appelle «Administration» et convient particulièrement à un poste d administration car il est transparent : il ne bloque pas les accès Internet, même lorsque SurfPass est au repos et qu il n y a pas de session en cours. Pour tous les autres cas, le profil «Générique» est le plus adapté si l identification est automatique, ou le profil «Portail» si l identification doit se faire par le portail captif. Onglet «Profils stations» Ajout d un nouveau profil Appuyez sur le bouton «Ajouter» (croix bleue) en haut à gauche, puis remplissez la fiche dans la section droite de la fenêtre. Il faut bien le choisir, car il n est plus possible de le changer après. L édition du profil s étend sur 5 onglets : Général, Filtrage, Applications, Démarrage, Proxy. Modification d un profil Sélectionnez le profil dans la liste de gauche, puis modifiez ses paramètres dans la fiche à droite, puis validez avec le bouton vert «Valider» en haut à droite dans chaque onglet de droite contenant une modification. Pour annuler une modification en cours, sortez par «Annuler» en haut à droite. Suppression d un profil Sélectionnez le profil dans la liste, puis appuyez sur le bouton «Supprimer» (signe moins bleu) en haut à gauche. La sélection multiple est possible. Si le profil est utilisé par au moins un groupe, la suppression est impossible. 31

32 Edition d un profil Général Définit la nature générale des comptes stations qui utiliseront le profil. Nom du profil : il est important de bien choisir le nom du profil, car il n est plus possible de le modifier après la validation. Déconnecter si réseau inactif pendant : termine la session de l utilisateur au bout d un certain temps d inactivité Internet. Activer les traces. Si cette case n est pas activée, aucun historique n est conservé. Ne pas archiver les sites visités : conserve un historique (début / fin de session, rechargements, erreurs ) mais pas les sites visités. Action en fin de session. Permet de fermer la session Windows courante, de redémarrer la machine ou de l éteindre après la fin d une session utilisateur SurfPass. Il est possible de préciser un délai d inactivité avant l exécution de l action. Le délai d inactivité correspond à une période continue où aucune session SurfPass n a été ouverte. L action n est exécutée qu une seule fois, le délai n est réarmé qu après une session utilisateur. (version Premium) Après un délai de : délai d inactivité de l action de fin de session. Identification automatique : Si cette option est sélectionnée, SurfPass démarre automatiquement une session avec un compte utilisateur dont le nom est celui de la machine ou le nom de l utilisateur Windows si l agent optionnel d authentification Windows est installé sur les clients. Création automatique des comptes : quand un compte Windows est utilisé pour la première fois avec SurfPass, SurfPass peut le créer automatiquement dans sa propre base d utilisateur. Le nom d utilisateur SurfPass est exactement le même nom que le nom de l utilisateur Windows. Pour déterminer le groupe SurfPass d appartenance du compte utilisateur SurfPass à créer, SurfPass cherche s il existe un groupe de domaine pour le compte Windows qui a exactement le même nom qu un groupe utilisateur SurfPass. Si c est le cas, le nouveau compte SurfPass fera partie de ce groupe SurfPass. Groupe utilisateur par défaut : nom du groupe utilisateur utilisé lors de la création automatique de comptes si le groupe n a pas pu être déterminé autrement (correspondance entre un nom de groupe utilisateurs SurfPass et un nom de groupe utilisateurs Active Directory). Sécurité : options pour fermer les applications ouvertes en fin de session et pour interdire toutes les applications hors session utilisateur, lorsque SurfPass est au repos. (version Premium) Options d affichage pour le module client optionnel : - Afficher les bulles d information : Affiche les messages utilisateur dans la zone de notification. - Toujours afficher la boîte d identification au repos : Affiche en permanence la boîte d identification lorsque SurfPass est au repos (hors session utilisateur). - Masquer les icônes inactives de la zone de notification (à côté de l horloge). Si cette option est active, l icône «SP» peut disparaître après un certain temps d inactivité. - Masquer l icône de SurfPass («SP» en bas à droite, à côté de l heure). Pas de comptage de temps. Si cette option est activée, les comptes utilisateurs limités ne seront pas décomptés lors des connexions sur les machines dépendantes de ce profil. 32

33 Filtrage Définit un ensemble de règles pour interdire ou autoriser des sites Internet ou des adresses lorsque SurfPass est au repos, c est-à-dire hors session utilisateur. Les adresses qui doivent être accessibles en permanence comme la mise à jour d un antivirus sont ajoutées ici. Le comportement par défaut est défini par la case «Autorise toutes les connexions (hors règles)», les règles constituent des exceptions à ce comportement par défaut. Le plus souvent cette case n est pas cochée pour un profil station car en général l accès à Internet est bloqué hors session utilisateur sauf pour les adresses locales. Les règles qui apparaissent sur un fond grisé sont désactivées. Autorise toutes les connexions (hors règles) : définit Le comportement par défaut du filtrage. Si cette case est cochée, l accès à Internet est libre, sauf exceptions données par les règles d interdictions. Sauf rares exceptions, cette case ne doit pas être cochée dans un profil station, sinon l accès à Internet est libre même lorsqu il n y a pas d utilisateur connecté. Afficher message d avertissement blocage : si cochée, SurfPass avertit par un message l utilisateur chaque fois qu il tente d accéder à un site interdit. Dans le cas de filtrage de site publicitaire, il est conseillé de ne pas sélectionner cette case afin de ne pas être dérangé par l affichage très fréquent du message d avertissement. L affichage ou pas du message d avertissement ne change pas le fonctionnement du filtrage. Filtrage par liste : active ou désactive toutes les règles basées sur des listes de filtrage. Les paramètres suivants sont les mêmes que pour le profil utilisateur, mais ne sont en général pas utilisés dans le profil station. Onglet «Filtrage» d un profil station Les boutons «Ajouter», «Supprimer» en haut à droite permettent d ajouter ou de supprimer une règle simple ou de liste. Il existe deux modes de fonctionnement pour le filtrage : Par liste noire : tous les sites sont autorisés, sauf quelques-uns. Dans cas il faut cocher la case «Autorise les connexions quand aucune règle applicable» et ajouter des règles de blocages pour les sites interdits. Par liste blanche : Par défaut tout est interdit, sauf quelques sites. Dans ce cas il ne faut pas cocher la case «Autorise les connexions quand aucune règle applicable» et ajouter des règles d autorisation pour les quelques sites qui ne doivent pas être bloqués. Les différents paramètres d une règle simple sont : L action : Autorise ou Refuse. Le type d adresse: Toutes, Domaines (exemple : surfpass.com) dans ce cas il est conseillé de ne pas mettre www, URL (exemple : surfpass.com/index.html), IP (exemple , * ), ou Newsgroup. 33

34 Adresse : L adresse correspondante au type. Le port (à choisir dans la liste ou à taper dans la zone de saisie). La priorité. Elle ne sert qu en cas de conflit entre deux règles. Par exemple interdire *.com et autoriser surfpass.com. Dans ce cas, la règle avec la priorité la plus élevée gagne. Commentaire : description facultative de la règle. Désactivé : la règle n est pas active. Silencieux : pas d avertissement utilisateur ni d historique en cas de blocage. Les différents paramètres d une règle liste sont : L action : Autorise ou Refuse. Le type d adresse: Domaines (exemple : surfpass.com) dans ce cas il est conseillé de ne pas mettre www. au début, URL (exemple : surfpass.com/index.html), IP (exemple , * ), ou Newsgroup. Nom de la liste : nom de la liste. Le port (à choisir dans la liste ou à taper dans la zone de saisie). La priorité. Elle ne sert qu en cas de conflit entre deux règles. Commentaire : description facultative de la règle. Désactivé : la règle n est pas active. Silencieux : pas d avertissement utilisateur ni d historique en cas de blocage. Edition d une règle de filtrage dans profil stations 34

35 Gestion des applications SurfPass permet de contrôler les applications Windows par l autorisation de certaines et l interdiction de toutes les autres. Cet onglet ne concerne que la version Premium avec le module client optionnel. Onglet «Applications» d un profil station La gestion des applications dans le profil station permet d interdire toutes les applications lorsque SurfPass est au repos, hors session utilisateur. Si la liste contient au moins une application, toutes les applications qui ne sont pas dans la liste sont interdites. Si la liste est vide, aucune application n est interdite. Pour connaître le nom d un exécutable correspondant à une application, il suffit de faire «Ctrl+Alt+Supp» puis gestion des tâches. C est le nom tel qu il apparaît dans la colonne de gauche, par exemple «iexplore.exe». La case «Désactiver la gestion des applications» permet d ignorer les applications dans la liste sans avoir à les effacer, par exemple pour faire des tests. Les boutons «Ajouter», «Supprimer» en haut à droite permettent d ajouter ou de supprimer une application dans la liste. 35

36 Démarrage auto SurfPass permet de lancer automatiquement des programmes en fin de session utilisateur. Cet onglet ne concerne que la version Premium avec le module client optionnel. La case «Désactiver les démarrages automatiques» permet d ignorer les applications à lancer, par exemple pour faire des tests (à valider en haut à gauche par le bouton «Valider»). Onglet «Démarrage auto» d un profil station Les boutons «Ajouter», «Supprimer» en haut à droite permettent d ajouter ou de supprimer un programme dans la liste. 36

37 Proxy Si un proxy Web est utilisé, il faut ajouter une entrée de type Http, l adresse et le port du serveur proxy. Onglet «Proxy» d un profil station Fonctions avancées Fonctions profil station «Avancé» Le bouton «avancé» en haut à gauche permet : De remplacer un profil cible par un profil source dans tous les groupes qui utilisent le profil cible. C est un moyen pour renommer un profil : On crée un nouveau profil, on le paramètre comme l ancien puis on remplace l ancien par le nouveau partout. De copier le contenu d un profil vers un autre. Permet de copier séparément les paramètres de filtrage, d applications, de démarrage et de proxy. Cette fonction permet de créer un profil proche d un profil déjà existant très rapidement. 37

38 Onglet «Global» Cet onglet regroupe les paramètres d administration communs à tout le système. Général Saisie du numéro de série licence site Dans le cas de l utilisation d une licence site de SurfPass, c est ici qu il faut entrer le numéro de série correspondant. Dans ce cas, les numéros de série de chaque station doivent être laissés vides. En période d évaluation, le nombre de jours restant avant l expiration est indiqué ici. Onglet «Global», sous-onglet «Général» Listes de filtrage SurfPass permet d utiliser plusieurs listes de filtrage, blanches ou noires. Les listes peuvent être soit téléchargées directement par Internet, comme par exemple les listes noires de l université de Toulouse, soit importées localement. Les listes définies ici sont utilisables dans les règles de filtrage des profils utilisateurs (actif pendant une session utilisateur) et dans les règles de filtrage des profils stations (actif hors session utilisateur, au repos). Il est possible de mettre à jour toutes les listes en une seule opération. 38

39 Mise à jour des listes Onglet «Global», sous-onglet «Listes de filtrage / Mise à jour» Mode mise à jour : Si automatique, les listes sont automatiquement téléchargées par Internet à intervalle régulier : tous les jours, toutes les semaines, tous les mois. Téléchargement manuel : force le téléchargement de toutes les listes aussi bien locales que distantes qui ont l attribut «téléchargement manuel» actif. 39

40 Edition des listes Les listes qui apparaissent à gauche avec un fond grisé sont désactivées. Pour activer ou désactiver une liste, il suffit de la sélectionner à gauche puis de modifier l option de désactivation à droite, et de valider le changement avec le bouton «Valider» en haut à droite. Onglet «Global», sous-onglet «Listes de filtrage / Edition des listes» Ajout d une nouvelle liste de filtrage Appuyez sur le bouton «Ajouter» en haut à gauche. Ensuite il faut remplir les différents champs : Source : provenance de la liste, par exemple «Toulouse» pour la liste de l université de Toulouse. Nom liste : thème de la liste : Adult, Warez, Violence, Publicité Nom du fichier. Par exemple certaines listes contiennent un fichier «domains» et un fichier «urls». Serveur distant : à valider si la liste doit être téléchargée (pas présente localement sur la machine). Serveur http : adresse du serveur http où la liste doit être téléchargée. Chemin : chemin du fichier dans le serveur http. Pour les listes locales, non téléchargées, le chemin de la liste est c:\program files\cogilab\surfpass6\lists\<source>\<nom liste>\<fichier>. Archive multi-listes : à activer dans le cas où plusieurs listes de plusieurs thèmes sont réunies dans une même archive. Le nom de l archive globale est alors à remplir dans le champ «Archive». Nom de l archive, dans le cas où plusieurs listes de plusieurs thèmes sont réunies dans un même fichier d archive (Mode multi-listes). Mise à jour manuelle : à valider pour que la liste soit mise à jour lors des mises à jour globales. Mise à jour automatique : à valider pour que la liste soit mise à jour lors des mises à jour automatiques. Ignorer format IP : si cette case est cochée, les adresses de la liste au format IP ne seront pas prises en compte. Désactivée : si cette case est cochée, la liste n est plus utilisée pour les opérations de filtrage, sans être effacée, pour tous les profils. Dernière mise à jour : contient la date de la dernière mise à jour réussie. Nombre d entrées : nombre de sites (d adresses) ou de pages dans la liste. 40

41 Taille : Taille de la liste en octets. Modification d une liste de filtrage Sélectionnez la liste dans la liste de gauche, puis modifiez ses paramètres dans la fiche à droite, et validez avec le bouton vert «Valider» en haut à droite. Pour annuler une modification en cours, sortez par «Annuler» en haut à droite. Suppression d une liste de filtrage Sélectionnez la liste, puis appuyez sur le bouton «Supprimer» (signe moins bleu) en haut à gauche. La sélection multiple est possible. Proxy pour le téléchargement des listes distantes Si le téléchargement des listes passe par un proxy depuis la machine serveur, celui-ci doit être configuré ici. Dans les autres cas le champ doit rester vide. Le format est adresse:port, par exemple :8080. Onglet «Global», sous-onglet «Listes de filtrage / Proxy téléchargement» 41

42 Historique Cet onglet regroupe les paramètres de l historique qui ne doivent être accessible qu à l administrateur. Type rotation : automatique (dont la fréquence est le paramètre ci-dessous) ou manuel. Dans ce dernier cas, l historique n est effacé que par l administrateur. Durée de conservation : profondeur de l historique. Tout effacer : effacement manuel de l historique. Onglet «Global», sous-onglet «Historique» 42

43 Routage sous-réseaux Cet onglet permet de mettre en œuvre le mode passerelle de SurfPass. Onglet «Global», sous-onglet «Routage sous-réseaux» Nom routes sous-réseaux : nom de la route, uniquement à titre indicatif. Interface privée (LAN) : interface du sous-réseau dont le trafic doit être routé et filtré. Interface publique (WAN) : interface du sous-réseau où se trouve le routeur principal. NAT : translation d adresses pour le protocole IPv4. Désactivé : permet de désactiver une route sans l effacer. Redirection de port Description : description de la redirection de port, uniquement à titre indicatif. Port source : port entrant à rediriger. IP destination : adresse IP vers laquelle le port est redirigé. Port destination : port sur la machine de destination. Protocole : TCP, UDP ou les deux. Remarques : - Si les machines à contrôler ont une IP statique : Il suffit de modifier dans le paramétrage de leur carte réseau l adresse de la passerelle qui devient l IP de l interface privée de la passerelle. Les autres paramètres comme le DNS ne changent pas. - Si les machines à contrôler ont une IP dynamique (Wifi) : installer sur la passerelle un logiciel serveur DHCP / relais DNS comme dhcpserver.de ou Tftpd32 paramétré pour qu il soit actif sur l interface privée de la passerelle. Le point d accès Wifi est installé en mode pont. Remarque: le serveur DHCP peut être installé sur n'importe quel ordinateur du réseau privé (LAN), pas nécessairement sur la passerelle. 43

44 Création stations auto Cet onglet permet de choisir dans quel groupe stations les nouvelles stations sont ajoutées en fonction de leur adresse IP. Par défaut les nouvelles stations sont dans le groupe stations «Générique». Description de la plage : nom de la plage d adresse IP, uniquement à titre indicatif. Adresse IP début : première adresse IP de la plage Adresse IP fin : dernière adresse IP de la plage Groupe stations par défaut : nom du groupe auquel les nouvelles stations de la plage sont ajoutées. Onglet «Global», sous-onglet «Création stations auto» 44

45 Mise en œuvre du filtrage Toutes les modifications de paramétrage doivent faire l objet d une validation par le bouton vert «Valider» en haut. Présence d un proxy Si l accès au web passe par un proxy, celui-ci doit être configuré dans l onglet «Proxy» du profil station. Si le proxy n est pas déclaré, le filtrage, l historique et le téléchargement des listes ne sont pas opérationnels. Si le téléchargement des listes depuis le serveur passe par un proxy, il faut le déclarer dans Global / Listes de filtrage / Proxy de téléchargement. Tout bloquer sauf quelques ports (80, 443 ) Dans le profil utilisateur correspondant, onglet filtrage : - Autoriser toutes les connexions (hors règles) : décoché. - Règles simples : ajouter une règle simple par port à autoriser avec les paramètres suivants : * Action : autorise * Type adresse : toutes * Port : choix du port dans la liste ou saisie numérique (par exemple web ou 80) * Priorité : basse. Profils utilisateurs et profils stations Le choix du filtrage (liste blanche ou noire, sites autorisés ou interdits ) se fait dans l onglet «Filtrage» du profil utilisateur correspondant, par exemple «Illimité». Il existe un autre onglet «Filtrage» dans le profil station, ce profil n est actif que lorsqu il n y a pas de session utilisateur en cours. Interdire / autoriser un thème de filtrage Les thèmes sont présents dans l analyse de contenu et dans les listes noires. Dans le cas des listes, il y a deux façons d activer ou de désactiver un thème : - Si la modification porte sur tous les profils utilisateurs, il faut activer ou désactiver directement la liste concernée dans Global / Listes de filtrage / Edition des listes. - Si la modification ne porte que sur un seul profil ou quelques-uns, il faut activer ou désactiver la règle de filtrage qui utilise la liste, dans l onglet filtrage du ou des profils utilisateurs concernés. Listes blanches Paramétrage En mode liste blanche, les paramètres généraux de l onglet «Filtrage» doivent être paramétrés ainsi : - Autoriser toutes les connexions (hors règles) : Désactivé - Afficher message avertissement blocage : Activé pendant la mise au point, désactivé ensuite. - Filtrage par listes : Activé que si la liste blanche est une liste séparée et non pas un ensemble de règles simples. Dans le cas d une liste séparée, toutes les autres listes doivent êtres désactivées dans les règles de listes. - Filtrage par analyse de contenu : Désactivé. - Les règles dans un fonctionnement en liste blanche doivent être des règles d autorisation et non pas de blocage. Liens externes - Certains sites contiennent des redirections vers d autres sites. Pour les déterminer afin de les ajouter en liste blanche, il suffit d ouvrir une courte session dans un compte utilisateur SurfPass en liste noire (ou non filtré) avec ces sites, puis dès la fin de la session venir consulter l historique qui contient tous ces sites cachés, qu il suffira de rajouter en liste blanche. - Certains sites contiennent des appels externes, comme par exemple vers des régies publicitaires ou d analyse de trafic. Ces sites déclenchent le blocage de SurfPass en liste blanche. Pour cette raison, il est conseillé de désactiver «Afficher message d avertissement blocage» dans l onglet «Filtrage» lorsque le filtrage fonctionne en mode liste blanche. - Il est toutefois conseillé de garder l affichage du blocage pendant la mise au point de la liste blanche. Autoriser les s En mode liste blanche, tout est bloqué y compris les s via un serveur externe au réseau local. Pour les autoriser il suffit d'ajouter deux règles d'autorisation dans l'onglet filtrage du profil utilisateur : - Règle 1: 45

46 Action : Autorise Type adresse : Toutes Port : smtp (prédéfini dans la liste des ports, ou éventuellement smtps) Priorité : moyenne Désactivé, silencieux : pas cochés - Règle 2: Action : Autorise Type adresse : Toutes Port : pop3 (prédéfini dans la liste des ports, ou éventuellement pop3s) Priorité : moyenne Désactivé, silencieux : pas cochés Autoriser tous les sites https Pour autoriser tous les sites https, il suffit d ajouter une règle d autorisation sur tous les domaines sur le port «Https». Listes noires Comment savoir quelle liste est à l origine d un blocage de site La page de blocage l indique, ainsi que l historique (sites interdits). Si rien n est indiqué, c est l analyse de contenu. Quand utiliser le blocage sans affichage Le paramètre d une règle de blocage sans affichage est utile dans le cas des listes noires de type publicité ou d affichage de videos (liste file hosting, audio-video). Par exemple cela évite l affichage du blocage temporaire si une page autorisée contient une zone youtube. Création de liste locale - La liste est créée dans un éditeur de texte, et stockée dans un répertoire dont l arborescence est, le chemin de la liste est c:\program files\cogilab\surfpass6\lists\<source>\<nom liste>\<fichier>. - Ensuite la déclarer dans l'onglet liste («Global» / «Listes de filtrages» / «Edition des listes»). - Importer la liste une première fois, vérifier que le nombre d entrées est correct. - Puis créer les règles d'utilisation de type liste dans le profil utilisateur correspondant. - Une liste est en soi neutre. C'est la règle qui en fait une liste d'autorisation ou d'interdiction Quand faire ses propres listes Il est conseillé d utiliser une liste locale quand le nombre de sites est supérieur à 100. La création d une liste est un peu plus complexe que l utilisation de règles simples, mais elle a l avantage ne pas avoir de limite, et de pouvoir être sauvegardée indépendamment. SafeSearch Il est conseillé aux espaces accueillant des enfants d activer la fonction SafeSearch des moteurs de recherche Google et Bing. Ce filtrage est complémentaire et indépendant de SurfPass. Google : Bing : Thèmes des listes noires de l université de Toulouse Vidéos Youtube, Dailymotion sont présents dans les listes audio-video et filehosting. Réseaux sociaux Facebook est dans la liste social_networks. NOM DE LA LISTE DEFAUT DESCRIPTION adult black Des sites adultes allant de l'érotique à la pornographie dure. agressif black Quelques sites racistes, antisémites, incitant à la haine. astrology black Astrologie audio-video black Quelques sites orientés vers l'audio et la vidéo. blog black Quelques sites hébergeant des blogs. 46

47 celebrity black Tout ce qui concerne l actualité dite people cleaning white Nettoyage, Antivirus, etc dangerous_material black Moyens de créer du matériel dangereux (explosif, poison, etc.) dating black Sites de rencontres drogue black Drogue. filehosting black Sites qui hébergent des contenus (vidéo, images, son) financial black Informations financières, bourses. forums black Forums gambling black Sites de jeux en ligne, casino, etc. games black Sites de jeux, en ligne, ou de distributions de jeux. hacking black Sites de piratage et d'agressions informatiques. liste_bu white Une liste très "univ-tlse1.fr" de sites éducatifs pour notre bibliothèque. marketingware black Sites de marketing très spéciaux mixed_adult black Sites qui contiennent des portions adultes non structurées mobile-phone black Sites pour les mobiles (sonneries, etc.). phishing black Sites de phishing, de pièges bancaires, ou autres. publicite black Publicité radio black Sites de radio sur Internet redirector black Quelques sites qui permettent de contourner les filtres. sect black Secte sexual_education white Sites qui parlent d éducation sexuelle et qui peuvent être détectés comme pornographiques shopping black Sites de vente et achat en ligne Social_networks black Réseaux sociaux (Facebook, MySpace ). strict_redirector black Comme redirector, mais avec les moteurs de recherche classiques. strong_redirector black Comme strict_redirector, mais, pour google et autres, on ne bloque que certains termes. tricheur black Sites qui expliquent comme tricher aux examens. warez black Sites de logiciels pirates. webmail black Webmail que l'on trouve sur internet (hotmail, webmail.univ-tlse1.fr, etc.) 47

48 Synchronisation avec Active Directory Présentation La synchronisation Active Directory nécessite l installation sur les clients de l agent d authentification Windows, disponible dans le compte de configuration de SurfPass : «Installer l agent d authentification Windows». Il n est pas nécessaire d activer les autres options sur les postes clients. Ensuite il faut déclarer le client dans la console d administration dans un groupe stations où l agent est activé, comme par exemple le groupe stations «Remote Desktop». Ne jamais mettre une station dans ce groupe si l agent n est pas présent, la navigation serait fortement ralentie. Fonctionnement Par défaut la synchronisation est automatique et transparente, il n y a pas d importation à faire. SurfPass possède sa propre liste d utilisateurs, ce qui lui permet de fonctionner même sans synchronisation Windows / Active Directory, de manière autonome. Chaque fois qu un utilisateur se connecte pour la première fois à Windows après l installation de SurfPass, son compte est automatiquement ajouté à la liste des utilisateurs SurfPass. Pour l utilisateur, SurfPass est alors complètement transparent, il s identifie comme habituellement uniquement dans le Winlogon, il n y a pas d identification supplémentaire propre à SurfPass. La synchronisation fonctionne non seulement avec les comptes utilisateurs Windows sur Active Directory, mais aussi pour les comptes utilisateurs Windows locaux. L historique reprend pour une session donnée le nom de la machine Windows et le nom de l utilisateur Windows. Correspondance des groupes utilisateurs SurfPass / Active Directory Le groupe d un utilisateur déjà existant peut facilement être modifié dans sa fiche, onglet «Utilisateurs». Il est possible d affecter chaque utilisateur à un groupe personnalisé de manière automatisée, dès la création automatique du compte. Pour cela, il suffit de créer dans SurfPass des groupes utilisateurs avec exactement le même nom (caste, accents ) que les groupes utilisateurs concernés dans Active Directory. Lors de la création automatique, SurfPass cherche une correspondance de noms entre au moins un des groupes utilisateurs AD du nouveau compte et un groupe d utilisateurs SurfPass. S il la trouve, l utilisateur est automatiquement ajouté dans le groupe correspondant. Si SurfPass ne peut pas faire la correspondance entre un groupe utilisateur SurfPass et un groupe utilisateur AD identique, SurfPass choisit pour groupe le groupe par défaut défini dans l onglet «Profils stations» / «Générique» / «Général». Activation / désactivation L onglet «Profils stations» / «Générique» / «Général» contient les paramètres relatifs au mode d identification. Si l option «Identification automatique» est cochée, l identification est automatique, sinon elle est manuelle. Les changements doivent être validés avec le bouton vert «Valider» en haut à droite. Le changement sera pris en compte après la réouverture d'une session utilisateur. 48

49 Historique Il est possible de consulter les historiques des stations dont le paramètre «Ne pas sauvegarder les sites» n est pas activé dans le profil utilisateur et le profil station. Onglet «Historique» Il existe 4 formes de rapports : Evènements : Connexions / déconnexions, sites visités, rechargements, erreurs par ordre chronologique. Consommations : temps consommé par les utilisateurs, rechargement des comptes. Sites autorisés : Tous les sites qui n ont pas été bloqués. Sites interdits : Tous les sites qui ont été bloqués. La visualisation de l historique commence par les choix suivants : Le choix du rapport (Consommations, Evènements, Sites autorisés, Sites refusés). La période (aujourd hui, hier) que l on peut personnaliser avec les dates/heures de début et de fin. Les utilisateurs (tous, un groupe, un seul). Les stations (toutes, un groupe, une seule). Une fois ces choix établis, il suffit d appuyer sur le bouton «Afficher» ou «Rapport». 49

50 Temps réel SurfPass permet de surveiller en temps réel l utilisation d Internet sur un réseau local. Ce mode conserve en mémoire la dernière heure d utilisation. Les rapports sont identiques à l historique, il est possible de filtrer par groupe de stations, et de rafraichir automatiquement l écran avec le bouton «Démarrage auto». Onglet «Temps réel» 50

51 Rechargement Rechargement des comptes Le rechargement ne concerne pas les comptes d administration, de rechargement ni les comptes utilisateurs illimités. Le cadre de gauche permet de recharger un compte existant. Le bouton «rafraichir» force la relecture depuis la base de données, mais ne reflète pas toujours la valeur exacte d un compte en cours d utilisation. Pour cela, il faut utiliser le module «Temps réel». Le cadre de droite permet de créer un nouveau compte utilisateur. Onglet «Rechargement» 51

52 Utilisation Connexion à Internet Portail captif Si le profil station n a pas l option «Identification automatique» activée et en l absence d agent client, il est nécessaire de s identifier dans le portail captif pour pouvoir accéder à Internet. Le portail captif ne peut pas être appelé directement, mais en tentant d ouvrir un site extérieur vers lequel l utilisateur est redirigé après l identification. Ce site doit être un site HTTP et non pas un site HTTPS. Si la page d accueil du navigateur est Google, l adresse de cette page doit avoir la valeur suivante dans les paramètres du navigateur : Après l authentification dans le portail captif, il y aura une redirection automatique vers la version HTTPS du site. Si l authentification NTLM / Kerberos est active sur la machine cliente, la boite de dialogue n est pas affichée et c est le nom de l utilisateur Windows authentifié qui est utilisé pour l identification SurfPass. Agent d authentification Windows Dans ce mode l ouverture de la session utilisateur SurfPass est automatique, le nom de l utilisateur SurfPass est le même que celui de la session Windows courante. Client optionnel Lorsque l installation de SurfPass avec le client optionnel est terminée, une icône «SP» est ajoutée dans la barre des tâches, en bas à droite à côté de l horloge. Pour ouvrir une connexion utilisateur, cliquez sur l icône «SP» et la boîte de connexion de SurfPass apparaît : Fenêtre de SurfPass ouverte 1. Cliquer sur l icône SP en bas à droite si la boite d identification n est pas affichée. 2. Saisir le nom et le mot de passe d un compte utilisateur déjà existant. La touche «Tab» permet de passer d un champ à l autre. Si un des deux champs est laissé vide, SurfPass le traite ainsi : Nom utilisateur = mot de passe = champ saisi. 52

53 3. Cliquer sur le bouton «Connecter» ou appuyez sur «Entrée» Navigation Une fois la connexion établie, il est possible d exécuter tous les programmes Internet (navigateurs, ...). SurfPass est transparent pendant l utilisation tant que les services et les adresses utilisés sont autorisés. Dans le cas contraire la boîte de dialogue suivante apparaît : L utilisateur a tenté un accès interdit 53

54 Déconnexion Portail captif Une session se termine : - Par fin des droits de l utilisateur : temps épuisé, plages horaires, etc... - Par inactivité : le délai par défaut est de 2 heures. Il est possible de réduire cette valeur jusqu à 5 minutes dans le profil stations / onglet «Général» / «Déconnecter si réseau inactif pendant ()». - Manuellement : en appelant depuis le navigateur du client l URL : IP de l interface privée>:8080/status.aspx Agent d authentification Windows La déconnexion se fait automatiquement au moment de la fermeture de la session Windows. Client optionnel 1. Cliquer sur l icône SP en bas à droite si la boite d identification n est pas affichée. 2. Cliquer sur le bouton «Déconnecter» Lorsque le compte de l'utilisateur s'approche de la valeur de l'alarme, l'utilisateur est prévenu du nombre de minutes qu'il lui reste. Il peut ainsi prévoir plus facilement la fin de sa session. 54