Solution Olfeo Guide d'intégration

Transcription

1 Solution Olfeo Guide d'intégration Copyright Olfeo Version:1.0.14

2

3 Informations légales Copyrights Copyright 2013 Olfeo. Tous droits réservés. Cette documentation ne peut être utilisé que dans le cadre d'un contrat de licence logiciel avec la société Olfeo. Aucune partie de cette publication ne doit être reproduite, transmise, transcrite, conservée dans un système d'archivage ou convertie en un quelconque langage machine, sous quelque forme ou quelque moyen que ce soit sans autorisation écrite antérieure d'olfeo. Olfeo vous accorde des droits limités vous autorisant à imprimer ou à effectuer d'autres reproductions de toute documentation informatique pour votre propre utilisation, dans la mesure où ces reproductions comportent la mention de copyright d'olfeo. Nul autre droit sous copyright n'est accordé sans autorisation écrite antérieure d'olfeo. Les sujets traités dans cette documentation sont sujet au changement sans avertissement préalable. Trademarks Olfeo est une marque déposée internationalement par la société Olfeo. Ce document contient des noms, des logos, des composants logiciels ou matériels qui sont la propriété d'éditeurs ou de fabricants tiers: Linux est une marque déposée de Linus Torvalds. Microsoft, Windows, Active Directory, Hyper-V, Internet Explorer et leurs logos respectifs sont des marques déposées de Microsoft Corporation. NTLM est le protocole développé par la société Microsoft Corporation. Check Point, FireWall-1, SmartDashboard, SmartCenter, OPSEC et leurs logos respectifs sont des marques déposées ou des marques commerciales de Check Point Software Technologies Limited. Netasq et son logo sont des marques déposées de Netasq (S.A). edirectory est une marque commerciale de Novell, Inc. OpenLDAP est une marque commerciale de OpenLDAP Foundation. ClamAV est une marque déposée de Sourcefire, Inc. Websense est une marque déposée de Websense, Inc. WISP est le protocole développé par la société Websense, Inc. Cisco, Pix, ASA sont des marques commerciales ou des marques déposées de Cisco Technology, Inc. Nagios est un marque déposée de Nagios Enterprises, Llc. Firefox est une marque déposée de la Fondation Mozilla. HTML, XML, XHTML et W3C sont des marques commerciales ou des marques déposées de W3C, World Wide Web Consortium, Massachusetts Institute of Technology. Squid est le logiciel proxy distribué selon les termes de la licence GPL (GNU General Public License). ICAP est le protocole documenté dans la RFC Tous les autres noms de marque mentionnés dans ce manuel ou dans toute autre documentation fournie avec les produits Olfeo sont des marques commerciales ou des marques déposées de leurs propriétaires respectifs.

4

5 Contacts Olfeo 15, boulevard Poissonnière Paris France Service relation client Que vous soyez partenaire ou utilisateur final de la solution Olfeo, la "Relation Clients Olfeo" est à votre écoute pour toutes remarques et demandes. Mail: Tél: +33 (0) Support technique Olfeo L'accès au support est réservé aux clients ayant souscrit l'option "Support Direct Éditeur". Si vous souhaitez bénéficier d'un contact direct avec nos ingénieurs techniques, nous vous remercions de vous rapprocher de votre interlocuteur Client en appelant le Service Client. Mail: Tél: +33 (0) Parrainage Vous êtes déjà client de la solution Olfeo et souhaitez nous orienter sur l'un de vos contacts intéressé par notre solution? Contactez-nous afin de bénéficier de nos propositions de parrainage. Mail: Service reclassement d url Cette adresse est mise à votre disposition par Olfeo. Vous pouvez l'utiliser pour demander une étude sur une recatégorisation éventuelle d'une url. Mail: [email protected] Service documentation Cette adresse vous permet d'envoyer des commentaires ou des demandes de correction concernant la documentation des produits Olfeo. Mail: [email protected]

6

7 Sommaire Chapitre 1: Choisir son architecture d'intégration Les architectures d'intégration L'intégration proxy L'intégration couplage L'intégration capture Tableau récapitulatif: Architectures d'intégration et fonctionnalités Arbre d'aide à la décision Chapitre 2: Choisir son architecture d'authentification/identification Les architectures d'authentification et d'identification Authentification transparente (NTLM ou Kerberos) Authentification par annuaire LDAP Authentification par portail captif Authentification par portail public Identification transparente Identification par couplage Identification par coupure Identification par copie de trafic Tableau récapitulatif: Architectures d'intégration et authentification/identification Chapitre 3: Réaliser son intégration Réaliser une intégration proxy Réaliser une intégration proxy explicite Réaliser une intégration proxy transparent Réaliser une intégration couplage Filtrer des URLs avec Squid (Olfeo) (Recommandé) Filtrer des URLs ou du contenu avec Squid (ICAP) Filtrer des URLs avec Check Point (OPSEC) Filtrer des URLs avec Netasq (ICAP) Filtrer des URLs avec Cisco (WISP) Réaliser une intégration capture Réaliser une intégration capture en coupure Réaliser une intégration capture par copie de trafic Chapitre 4: Mettre en place l'authentification/identification Mettre en place une authentification transparente Ajouter un annuaire Active Directory et provisionner les utilisateurs Joindre la solution Olfeo au domaine Windows Ajouter une authentification transparente au proxy HTTP ou FTP over HTTP Mettre en place authentification annuaire LDAP Ajouter un annuaire LDAP et provisionner les utilisateurs Créer une zone d'authentification Ajouter une authentification LDAP au proxy HTTP ou FTP over HTTP Ajouter un authentification au proxy FTP ou SOCKS Configurer le poste client Mettre en place une authentification par portail captif...76 Solution Olfeo / Guide d'intégration / 7

8 Ajouter un annuaire Créer une zone d'authentification Mettre en place le portail captif LDAP Mettre en place le portail captif NTLM Configurer le poste client...84 Mettre en place une authentification par portail public Créer des pages personnalisées Ajouter un annuaire Ajouter un portail public Créer les droits d'accès pour les opérateurs Créer un ticket pour un utilisateur Mettre en place le portail public Configurer le poste client...96 Mettre en place une identification transparente...96 Mettre en place une identification capture en coupure...97 Mettre en place une identification capture par copie de trafic Chapitre 5: Intégrer en haute-disponibilité Architecture de haute disponibilité Olfeo Domaine Olfeo Cluster Olfeo Serveur de logs secondaire Répartition de charge Créer un domaine Olfeo Joindre un domaine Olfeo Créer un cluster Ajouter un serveur de logs secondaire Chapitre 6: Superviser la solution Olfeo Superviser avec Nagios (Supervision SNMP) Configurer la solution Olfeo pour interagir avec SNMP Configurer Nagios Chapitre 7: Syntaxes Syntaxe Regex Glossaire Solution Olfeo / Guide d'intégration / 8

9 Chapitre 1 Choisir son architecture d'intégration Sujets : Les architectures d'intégration Tableau récapitulatif: Architectures d'intégration et fonctionnalités Arbre d'aide à la décision

10 1 Choisir son architecture d'intégration Les architectures d'intégration L'un des avantages de la solution Olfeo est sa grande flexibilité d'intégration dans un réseau. Afin de rendre plus intuitive l'insertion de votre solution Olfeo dans votre architecture nous allons détailler les différents types d'intégration possibles et leur fonctionnement. L'intégration proxy L'intégration proxy permet d'insérer dans votre architecture le proxy inclut dans la solution Olfeo. L'intégration proxy permet de mettre en place un intermédiaire pour accéder à un autre réseau, généralement internet. Cet intermédiaire devient alors mandataire, il prend la place des postes dans leurs communications. Lorsque des clients veulent accéder à des ressources réseau (Pages web, fichiers, vidéos...) ils émettent des requêtes qui sont alors reçues par le proxy de la solution Olfeo. Le proxy se substitue alors aux demandeurs originaux pour effectuer le traitement à leur place puis leur envoie le résultat. Si vous désirez utiliser le mode d'intégration proxy un choix doit cependant être réalisé entre ses deux modes de fonctionnement que sont: Le proxy explicite. Le proxy transparent. Remarque: Pour découvrir les fonctionnalités Olfeo disponibles pour l'intégration proxy veuillez vous référer au chapitre: Tableau récapitulatif: Architectures d'intégration et fonctionnalités à la page 15. L'intégration proxy explicite Solution Olfeo / Guide d'intégration / 10

11 1 Choisir son architecture d'intégration Le proxy incorporé dans la solution Olfeo est configuré en mode explicite lorsque les logiciels des postes clients sont conscients de communiquer avec un proxy. En effet ceux-ci doivent être configurés avec l'adresse du proxy pour pouvoir communiquer avec lui. L'intégration proxy transparent Le proxy incorporé dans la solution Olfeo est configuré de manière à intercepter les trames du réseau. Pour les utilisateurs cette interception est faite de manière transparente car les postes clients ne sont pas conscients de communiquer avec un proxy. En effet aucune configuration spécifique n'est réalisée sur les postes clients et ceux-ci se comportent de manière native sans savoir qu'ils communiquent au travers d'un proxy. Une autre manière de réaliser un intégration proxy transparent est d'utiliser un équipement tiers qui redirigera le trafic vers le proxy Olfeo. Remarque: L'intérêt majeur d'un proxy transparent est de pouvoir fonctionner sans avoir à configurer l'ensemble des applicatifs des postes clients. Il existe deux manières d'intégrer le proxy transparent: Solution Olfeo / Guide d'intégration / 11

12 1 Choisir son architecture d'intégration Table 1: Possibilités d'intégration du proxy transparent Proxy transparent par redirection de trafic Proxy transparent en coupure Cette intégration est réalisée par la mise en place d'une redirection du trafic sur une machine tiers (typiquement un firewall). Le flux réseau sélectionné par l'administrateur est alors transféré au proxy Olfeo. Cette intégration est compatible avec l'olfeo Box, l'appliance virtuelle Olfeo ou la solution logicielle Olfeo. Cette intégration est réalisée par la mise en coupure du proxy Olfeo. L'intégration proxy transparent en coupure ne peut être réalisée qu'avec une Olfeo Box car elle nécessite l'utilisation d'un pont réseau. L'intégration couplage Il est possible d'intégrer votre solution Olfeo en la couplant à des équipements tiers présents sur le réseau (Firewall, routeur, boitier UTM etc.). Solution Olfeo / Guide d'intégration / 12

13 1 Choisir son architecture d'intégration Pour pouvoir communiquer avec ces machines tiers la solution Olfeo utilise des connecteurs. Ces connecteurs sont des interfaces qui permettent de dialoguer dans un des protocoles connus de la machine tiers. Grâce aux connecteurs la machine tiers est capable d'interroger la solution Olfeo pour lui demander d'effectuer certains traitements. L'un des avantages de cette solution est ainsi de pouvoir s'adapter à une architecture déjà existante pour pouvoir: Ajouter les fonctionnalités gérées par la solution Olfeo. Soulager la charge gérée par la machine tiers en déléguant certaines de ses tâches à la solution Olfeo. L'intégration capture Il est possible d'intégrer la solution Olfeo de façon à ce que celle-ci écoute les requêtes en transaction sur le réseau. L'intégration capture permet de réaliser une analyse du trafic. En fonction du trafic écouté, la solution Olfeo sera capable d'interférer ou non avec le réseau selon des règles prédéfinies par l'administrateur. L'avantage de la solution capture est de permettre une intégration si votre équipement tiers n'est pas compatible et si vous ne souhaitez pas une intégration proxy. Remarque: L'intégration capture est la seule intégration utilisable pour effectuer du filtrage protocolaire. Remarque: Si vous désirez utiliser l'intégration capture un choix doit cependant être réalisé entre deux types d'architectures: L'intégration capture en coupure. L'intégration capture par copie de trafic. L'intégration capture en coupure L'intégration capture en coupure permet à la solution Olfeo de s'insérer entre deux portions de réseau. Solution Olfeo / Guide d'intégration / 13

14 1 Choisir son architecture d'intégration L'intégration capture en coupure permet de réaliser une écoute du trafic lorsque celui-ci traverse la solution Olfeo. Cette intégration est réalisée par le biais d'un pont réseau utilisant deux interfaces physiques de type bridge. Remarque: Cette intégration n'est possible qu'avec une Olfeo Box. L'intégration capture par copie de trafic L'intégration capture par copie de trafic permet à la solution Olfeo de s'insérer en écoutant une copie du trafic originel. L'intégration capture par copie de trafic est réalisée par le biais d'un port de switch configuré en mirroring. Le mirroring de port permet au switch de renvoyer à l'olfeo une copie du trafic réseau. Bien que la solution Olfeo analyse une copie du Solution Olfeo / Guide d'intégration / 14

15 1 Choisir son architecture d'intégration trafic, elle peut cependant effectuer des opérations de blocage dans le traffic originel si une connectivité supplémentaire est ajoutée au Switch. Avertissement: L'intégration par copie de trafic est impossible avec une appliance virtuelle Olfeo sous Hyper-V. En effet Hyper-V ne supporte pas le mode promiscuité permettant de lire l'intégralité du trafic d'un réseau. Tableau récapitulatif: Architectures d'intégration et fonctionnalités En fonction des différents types d'intégration proposés, des fonctionnalités dans la solution Olfeo peuvent s'avérer incompatibles. Dans le tableau suivant se trouve la liste complète des fonctionnalités disponibles en fonction de chaque intégration. Proxy Couplage Capture Fonctionnalité/Intégration Proxy explicite Proxy transparent Couplage Capture par coupure Capture par copie de trafic Filtrage URL HTTP HTTPS1 FTP_over_HTTP HTTP HTTP HTTPS (selon équipement) Antivirus HTTP FTP_over_HTTP FTP SOCKS RTSP TCP HTTP RTSP Protocole ICAP uniquement Non Cache/QoS HTTP FTP_over_HTTP HTTP FTP_over_HTTP Non Non Filtrage protocolaire Non Non Non Oui Portail public Oui Oui Oui Oui HTTP HTTPS (mais pas de page de blocage) Remarque: Si une fonctionnalité s'avère indisponible, la solution Olfeo peut cependant combiner plusieurs types d'intégration afin de disposer d'un maximum de fonctionnalités. Le type d'intégration idéal est le mode proxy, car il peut être facilement complété par un autre mode. 1 Le HTTPs ne permet pas d'interaction avec l'utilisateur. Il est par exemple impossible d'envoyer une page de blocage à l'utilisateur ou de réaliser une authentification par portail captif. Solution Olfeo / Guide d'intégration / 15

16 1 Choisir son architecture d'intégration Arbre d'aide à la décision Voici ci-dessous un arbre d'aide à la décision vous permettant de choisir au mieux votre architecture d'intégration. Illustration 1: Arbre d'aide à la décision du choix de l'architecture d'intégration Solution Olfeo / Guide d'intégration / 16

17 Chapitre 2 Choisir son architecture d'authentification/identification Sujets : Les architectures d'authentification et d'identification Tableau récapitulatif: Architectures d'intégration et authentification/identification

18 2 Choisir son architecture d'authentification/identification Les architectures d'authentification et d'identification La solution Olfeo offre différentes architectures permettant soit d'authentifier les utilisateurs soit de capter leur identité. Connaitre l'identité de l'utilisateur peut s'avérer capital pour avoir des statistiques ou des politiques de filtrage personnalisées ou encore des logs discernant le trafic de chaque utilisateur. Dans ce chapitre, chacune des architectures d'authentification ou d'exploitation seront détaillées et expliquées afin que le choix de l'architecture retenue s'opère de manière instinctive. Authentification transparente (NTLM ou Kerberos) L'authentification transparente par NTLM ou Kerberos est réalisée par l'intégration de la solution Olfeo dans un domaine Windows. A la différence d'autres types d'authentification, elle est réalisée à l'insu de l'utilisateur car la solution Olfeo va chercher à vérifier que celui-ci dispose bien d'une session valide sur le domaine. Si un utilisateur du domaine a au préalable ouvert une session Windows sur son poste client, l'authentification est automatiquement validée par la solution Olfeo. Utiliser une authentification transparente peut s'avérer judicieuse dans les cas suivants: Vous cherchez à utiliser la base de sécurité centralisée de votre domaine Windows. Vous cherchez à simplifier l'administration de vos utilisateurs grâce à une seule base de comptes commune. Vous cherchez à disposer d'une solution facile à utiliser minimisant les demandes d'authentification. Avertissement: La solution Olfeo peut gérer plusieurs annuaires, elle ne peut cependant être inclue qu'à un seul domaine Windows à la fois. Il est cependant possible d'utiliser plusieurs domaines grâce à la mise en place de relations d'approbation. Remarque: L'implémentation Kerberos Microsoft empêche un fonctionnement du mode d'authentification Kerberos en clusters Olfeo. Si vous nécessitez des fonctions de haute disponibilité en mode d'authentification Kerberos il est recommandé d'utiliser la configuration de vos proxys par proxy.pac et de définir dans vos proxy.pac vos différents proxys pour bénéficier d'un comportement de fail-over. Voici ci-dessous l'ensemble des étapes réalisées lors de la phase d'authentification sur la solution Olfeo. Solution Olfeo / Guide d'intégration / 18

19 2 Choisir son architecture d'authentification/identification Illustration 2: Authentification transparente par NTLM ou Kerberos Étape Description 0 (Étape préalable) Lors de son ouverture de session Windows, l'utilisateur s'authentifie auprès de l'annuaire Active Directory du domaine. 1 L'utilisateur tente d'accéder à Internet. 2 La solution Olfeo répond par une demande d'authentification. 3 Le poste de l'utilisateur envoie à la solution Olfeo la preuve de son authentification Windows avec NTLM. Si l'utilisateur a une session ouverte sur le domaine, ceci se fait automatiquement. Si l'utilisateur n'a pas de session de domaine d'ouverte, le navigateur fait apparaitre un popup que l'utilisateur remplira avec son login et son mot de passe sur le domaine. 4 La solution Olfeo vérifie la preuve auprès du serveur d'annuaire Active Directory. 5 Le serveur Active Directory valide la preuve d'authentification. 6 L'utilisateur peut accéder à Internet. Avertissement: Prérequis: La solution Olfeo est intégrée au domaine. Authentification par annuaire LDAP La solution Olfeo peut réaliser l'authentification des utilisateurs en s'interfaçant avec un annuaire LDAP. Utiliser une authentification par annuaire LDAP peut s'avérer judicieuse dans les cas suivants: Vous disposez déjà d'un annuaire LDAP gérant vos utilisateurs. Vous disposez d'un annuaire Active Directory mais vous souhaitez gérer les utilisateurs de la solution Olfeo de manière séparée. Voici ci-dessous l'ensemble des étapes réalisées lors de la phase d'authentification sur la solution Olfeo. Solution Olfeo / Guide d'intégration / 19

20 2 Choisir son architecture d'authentification/identification Illustration 3: Authentification par annuaire LDAP Étape Description 1 L'utilisateur tente d'accéder à Internet. 2 La solution Olfeo répond par une demande d'authentification. 3 L'utilisateur envoie à la solution Olfeo son login et son mot de passe. 4 La solution Olfeo vérifie le login et le mot de passe auprès de l'annuaire LDAP. 5 Le serveur d'annuaire LDAP valide l'authentification. 6 L'utilisateur peut accéder à Internet. Authentification par portail captif La solution Olfeo permet de mettre en place un portail captif. Le portail captif est une technique consistant à forcer le navigateur de l'utilisateur à afficher une page Web d'authentification en provenance de la solution Olfeo. L'utilisateur s'authentifie en entrant son login et son mot de passe qui seront validés auprès d'un ou plusieurs annuaires. Remarque: Dans la solution Olfeo les pages du portail captif sont configurables et personnalisables par l'administrateur et permettent ainsi une adaptation des informations à diffuser aux utilisateurs. Utiliser une authentification par portail captif peut s'avérer judicieuse dans les cas suivants: Vous disposez d'une application cliente pouvant afficher une page Web (typiquement un navigateur Web). Vous disposez d'une application cliente pouvant afficher une page Web mais ne gérant pas de mécanisme d'authentification. Vous souhaitez diffuser une page d'authentification personnalisée et adaptée à votre entreprise. Si vous désirez utiliser un portail captif pour réaliser l'authentification de vos utilisateurs, un choix doit être réalisé entre ses deux modes d'authentification: Portail captif avec authentification LDAP. Solution Olfeo / Guide d'intégration / 20

21 2 Choisir son architecture d'authentification/identification Portail captif avec authentification NTLM. Authentification par portail captif LDAP L'authentification par portail captif LDAP permet d'envoyer une page web d'authentification à l'utilisateur. Voici ci-dessous l'ensemble des étapes réalisées lors de la phase d'authentification sur à la solution Olfeo. Illustration 4: Identification par portail captif LDAP Étape Description 1 L'utilisateur tente d'accéder à Internet. 2 La solution Olfeo répond par une page web d'authentification. 3 L'utilisateur envoie à la solution Olfeo son login et son mot de passe en remplissant la page web. 4 La solution Olfeo vérifie le login et le mot de passe auprès de l'annuaire LDAP. 5 Le serveur d'annuaire LDAP valide l'authentification. 6 L'utilisateur peut accéder à Internet. Authentification par portail captif NTLM L'authentification par portail captif NTLM permet d'envoyer une page web d'authentification à l'utilisateur tout comme le portail captif LDAP. Toutefois la page du portail captif ne sera envoyée qu'à la suite d'un échec d'authentification par NTLM. Remarque: Afin de pouvoir faire fonctionner le portail captif NTLM il faut au préalable inclure la solution Olfeo au domaine. Voici ci-dessous l'ensemble des étapes réalisées lors de la phase d'authentification avec la solution Olfeo. La solution Olfeo permettant de gérer plusieurs annuaires, nous différencierons deux cas: Solution Olfeo / Guide d'intégration / 21

22 2 Choisir son architecture d'authentification/identification Le cas d'un utilisateur disposant d'un compte sur le domaine. Le cas d'un utilisateur disposant d'un compte sur un autre annuaire que celui du domaine. Avertissement: Si le poste client ne sait pas gérer NTLM, il ne proposera jamais de popup d'authentification NTLM. La solution Olfeo réagira à cette condition par l'envoi de la page d'authentification Web du portail captif. L'utilisateur pourra ainsi grâce à cette page s'authentifier auprès de l'active Directory du domaine ou auprès d'un autre annuaire. Illustration 5: Utilisateur disposant d'un compte sur le domaine Étape 0 (Étape préalable) Description Lors de son ouverture de session Windows, l'utilisateur s'authentifie auprès de l'annuaire Active Directory du domaine. 1 L'utilisateur tente d'accéder à Internet. 2 La solution Olfeo répond par une demande d'authentification. 3 Si l'utilisateur a ouvert un session sur le domaine (ayant réalisé l'étape 0), le poste de l'utilisateur envoie à la solution Olfeo la preuve de son authentification Windows. 4 La solution Olfeo vérifie la preuve auprès du serveur d'annuaire Active Directory. 5 Le serveur Active Directory valide la preuve d'authentification. 6 L'utilisateur peut accéder à Internet. Solution Olfeo / Guide d'intégration / 22

23 2 Choisir son architecture d'authentification/identification Illustration 6: Utilisateur disposant d'un compte sur un autre annuaire que celui du domaine Étape Description 1 L'utilisateur tente d'accéder à Internet. 2 La solution Olfeo répond par une demande d'authentification. 3 L'utilisateur ne disposant pas d'une authentification valide sur le domaine, un popup d'authentification sur le domaine apparait. L'utilisateur choisit d'annuler l'authentification du domaine (ou échoue à s'authentifier sur le domaine). 4 La solution Olfeo répond par une page web d'authentification (portail captif). 5 L'utilisateur envoie à la solution Olfeo son login et son mot de passe en remplissant la page web. 6 Le serveur d'annuaire LDAP valide l'authentification. 7 L'utilisateur peut accéder à Internet. Authentification par portail public Depuis la version 5.75 de la solution Olfeo, il est possible de s'authentifier sur un portail spécifique particulièrement adapté aux espaces publics. Tout comme le portail captif, le portail public présente une page d'authentification à l'utilisateur. Cependant à la différence d'autres types d'authentification, la gestion des comptes utilisateurs du portail public est interne à la solution Olfeo et est réalisée par un opérateur disposant d'un portail dédié que lui aura créé l'administrateur. A l'aide de ce portail l'opérateur créera des tickets qu'il attribuera aux utilisateurs. Un ticket est un droit à consommer, il contient un couple login/mot de passe qu'il transmettra à l'utilisateur ainsi que des caractéristiques spécifiques (quotas de temps, quota de volume, plages horaires autorisées, durée de validité etc.). Le nombre de portails opérateurs ainsi que les types de tickets associés sont illimités et laissés à la charge de l'administrateur. Voici ci-dessous l'ensemble des étapes réalisées lors de la phase d'authentification au portail public Olfeo. Solution Olfeo / Guide d'intégration / 23

24 2 Choisir son architecture d'authentification/identification Utiliser une authentification par portail public peut s'avérer judicieuse dans les cas suivants: Vous souhaitez déléguer la création et la gestion des accès à un opérateur. Vous souhaitez disposer d'une gestion des comptes interne à la solution Olfeo. Vous souhaitez lier des caractéristiques spécifiques aux comptes utilisateurs (quota de temps, quotas de volume, plages horaires autorisées, durée de validité etc.). Illustration 7: Authentification par portail public Étape Description 0 L'opérateur crée un ticket sur le portail opérateur et transmet le login/mot de passe créé à l'utilisateur. 1 L'utilisateur tente d'accéder à Internet. 2 La solution Olfeo répond par une page d'authentification. 3 L'utilisateur envoie à la solution Olfeo le couple login/mot de passe qui lui a été fourni par l'opérateur. 4 La solution Olfeo vérifie la validité du couple "login/mot de passe" ainsi que les caracteristiques liées au ticket dans sa base interne. 5 L'utilisateur peut accéder à Internet. Identification transparente L'identification transparente est réalisée par la mise en place d'un agent Olfeo sur les postes des utilisateurs du domaine. Lors de la phase d'ouverture de session Windows l'agent Olfeo transmettra les informations de l'identité de l'utilisateur et de l'adresse IP sur laquelle cette ouverture de session a eu lieu. Utiliser une identification transparente peut s'avérer judicieuse dans les cas suivants: Vous ne nécessitez pas que vos utilisateurs soient authentifiés. Vous pouvez facilement déployer l'agent Olfeo sur les postes clients par GPO ou tout autre mécanisme. Solution Olfeo / Guide d'intégration / 24

25 2 Choisir son architecture d'authentification/identification Vos utilisateurs n'ouvrent qu'une session Windows par poste client. Voici ci-dessous l'ensemble des étapes réalisées lors de la phase de capture de l'identité de l'utilisateur. Illustration 8: Identification transparente Étape Description 0a (Étape préalable) Lors de son ouverture de session Windows, l'utilisateur s'authentifie auprès de l'annuaire Active Directory du domaine. 0b (Étape préalable) L'agent Olfeo envoie à la solution Olfeo l'identité de l'utilisateur ainsi que le nom de la machine sur laquelle celui-ci est logué. 1 L'utilisateur tente d'accéder à Internet. 2 La solution met en relation l'adresse IP de l'utilisateur avec son identité et permet à l'utilisateur d'accéder à Internet. Avertissement: La solution Olfeo doit être au préalable intégrée au domaine et l'agent Olfeo doit être installé sur le poste de l'utilisateur. Identification par couplage La solution Olfeo peut capter l'identité des utilisateurs en s'interfaçant avec une machine tiers. Celle-ci transmettra alors l'identité de l'utilisateur à la solution Olfeo dans le protocole dans lequel ils dialoguent. Un proxy Squid peut par exemple envoyer l'identité de l'utilisateur à la solution Olfeo par le biais du protocole ICAP. Ou encore, un firewall-1 de Check Point peut envoyer l'identité de l'utilisateur à travers le protocole OPSEC. Utiliser une identification par couplage peut s'avérer judicieuse dans les cas suivants: Vous disposez déjà d'une machine tiers réalisant l'authentification des utilisateurs. Solution Olfeo / Guide d'intégration / 25

26 2 Choisir son architecture d'authentification/identification Vous ne souhaitez pas modifier l'architecture de votre réseau en remplaçant la machine tiers et nécessitez par définition l'utilisation d'une intégration couplage. Voici ci-dessous l'ensemble des étapes réalisées lors de la phase de capture de l'identité de l'utilisateur. Illustration 9: Identification par couplage Étape Description 1 L'utilisateur tente d'accéder à Internet. 2 La machine tiers interroge l'olfeo et lui envoie l'identité de l'utilisateur. 3 La machine Olfeo répond à la machine tiers. 4 L'utilisateur peut accéder à Internet. Remarque: Prérequis: La solution Olfeo est intégrée en couplage avec la machine tiers. Identification par coupure La solution Olfeo peut capter l'identité des utilisateurs lorsque celle-ci est positionnée en coupure. En effet grâce à sa position en amont d'un proxy tiers, la solution Olfeo voit transiter les échanges d'authentification NTLM entre le proxy tiers et l'utilisateur. La solution Olfeo est ainsi capable de capturer l'identifiant de l'utilisateur lorsque celui-ci est envoyé au proxy tiers. Utiliser une identification par coupure peut s'avérer judicieuse dans les cas suivants: Vous disposez déjà d'un proxy tiers réalisant l'authentification des utilisateurs. Vous ne souhaitez pas modifier l'architecture de votre réseau en remplaçant le proxy tiers et nécessitez capter l'identité des utilisateurs de manière transparente. Avertissement: Attention l'identification par coupure fonctionne uniquement avec le protocole NTLM. Ainsi l'authentification par NTLM doit être l'unique configuration disponible sur la machine tiers pour authentifier les utilisateurs. Voici ci-dessous l'ensemble des étapes réalisées lors de la phase de capture de l'identité de l'utilisateur. Solution Olfeo / Guide d'intégration / 26

27 2 Choisir son architecture d'authentification/identification Illustration 10: Identification par coupure Étape Description 1 L'utilisateur tente d'accéder à Internet. 2 La machine tiers répond par une demande d'authentification NTLM ou LDAP. 3 L'utilisateur envoie à la machine tiers son login et son mot de passe. Lorsque le login traverse la solution Olfeo celui-ci est capturé. 4 La machine tiers vérifie le login et le mot de passe auprès de l'annuaire Active Directory ou LDAP. 5 Le serveur d'annuaire Active Directory ou LDAP valide l'authentification. 6 L'utilisateur peut accéder à Internet. Remarque: Dans le cas de l'authentification par NTLM, la solution Olfeo n'a pas besoin d'être intégrée au domaine Windows. Elle doit cependant être reliée à l'annuaire pour synchroniser la liste des comptes utilisateurs. Identification par copie de trafic Dans une intégration par copie de trafic, la solution Olfeo peut capter l'identité de l'utilisateur lorsque celui-ci s'authentifie auprès d'une machine tiers. Utiliser une identification par copie de trafic peut s'avérer judicieuse dans les cas suivants: Vous disposez déjà d'un proxy tiers réalisant l'authentification des utilisateurs. Vous ne souhaitez pas modifier l'architecture de votre réseau en remplaçant la machine tiers et nécessitez capter l'identité des utilisateurs de manière transparente. Vous ne souhaitez pas que la solution Olfeo soit positionnée en coupure. Solution Olfeo / Guide d'intégration / 27

28 2 Choisir son architecture d'authentification/identification Avertissement: Attention l'identification par coupure fonctionne uniquement avec le protocole NTLM. Ainsi l'authentification par NTLM doit être l'unique configuration disponible sur la machine tiers pour authentifier les utilisateurs. Voici ci-dessous l'ensemble des étapes réalisées lors de la phase de capture de l'identité de l'utilisateur. Illustration 11: Identification par copie de trafic Étape Description 1 L'utilisateur tente d'accéder à Internet. 2 La machine tiers répond par une demande d'authentification NTLM ou LDAP. 3 3-L'utilisateur envoie à la machine tiers son login et son mot de passe. 3'- La solution Olfeo recevant une copie du trafic arrive à capter le login de l'utilisateur. 4 La machine tiers vérifie le login et le mot de passe auprès de l'annuaire Active Directory ou LDAP. 5 Le serveur d'annuaire Active Directory ou LDAP valide l'authentification. 6 L'utilisateur peut accéder à Internet. Tableau récapitulatif: Architectures d'intégration et authentification/ identification En fonction du type d'intégration choisi, voici ci-dessous la liste des possibilités d'authentification ou d'identification disponibles. En fonction des différents types d'intégration proposés, des possibilités d'authentification ou d'identification dans la solution Olfeo peuvent s'avérer incompatibles. Dans le tableau suivant se trouve la liste complète des possibilités d'authentification ou d'identification en fonction de chaque intégration. Solution Olfeo / Guide d'intégration / 28

29 2 Choisir son architecture d'authentification/identification Proxy Couplage Écoute Intégration/Fonctionnalité Proxy explicite Authentification transparente Oui NTLM ou Kerberos (avec un HTTP annuaire Active Directory) FTP_over_HTTP Proxy transparent Couplage Capture par coupure Capture par copie de trafic Non Non (Réalisé par la machine tiers) Sans objet Sans objet Non Non (Réalisé par la machine tiers) Sans objet Sans objet Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui HTTPS Authentification LDAP par annuaire Oui HTTP HTTPS FTP_over_HTTP FTP SOCKS Par portail captif Oui (authentification HTTP classique) FTP_over_HTTP Authentification par portail captif Par portail captif Oui (authentification HTTP NTLM) FTP_over_HTTP Authentification par portail public HTTP FTP_over_HTTP Oui HTTP FTP_over_HTTP Oui Oui HTTP FTP_over_HTTP HTTP FTP_over_HTTP Identification transparente Oui (Identification par agent Olfeo) Oui Oui Oui Oui (relation login = IP client) (relation login = IP client) (relation login = IP client) (relation login = IP client) (relation login = IP client) Identification sans agent Olfeo Sans Objet Sans Objet Oui Oui Oui OLFEO ICAP OPSEC NTLM Basique NTLM Basique Solution Olfeo / Guide d'intégration / 29

30

31 Chapitre 3 Réaliser son intégration Sujets : Réaliser une intégration proxy Réaliser une intégration couplage Réaliser une intégration capture

32 3 Réaliser son intégration Réaliser une intégration proxy Réaliser une intégration proxy explicite Réaliser une intégration proxy HTTP explicite 1. Rendez-vous à la page de configuration du proxy HTTP en suivant les menus [Proxy Cache QoS] > [HTTP]. Section: Ports en écoute 2. Dans la section Ports en écoute ajoutez un port en écoute grâce au bouton. a) Saisissez l'adresse IP et le port de l'interface sur laquelle le proxy doit être positionné en écoute. La syntaxe utilisée pour spécifier le port d'écoute TCP à utiliser vous permet de restreindre l'adresse IP sur laquelle le proxy HTTP correspondant est disponible. La syntaxe à utiliser est la suivante: adresseip:porttcp Remarque: Si vous souhaitez écouter sur toutes les adresses IP de la machine locale saisissez l'adresse IP: Voici ci-dessous un exemple de déclaration d'adresse IP et de port d'écoute: :3129 b) Pour mettre en place un proxy explicite vérifiez que la case à cocher Proxy transparent à la fin de votre port proxy en écoute n'est pas validée. c) Si vous ne désirez pas propager les adresses IP locales des postes clients dialoguant avec le proxy, cliquez sur [Masquer les adresses IP locales]. Remarque: Cette option permet d'éviter la génération d'en-têtes HTTP de type "HTTP X-ForwardedFor" qui citent généralement l'adresse IP du client pour lequel le proxy réalise une action. Pour des questions de sécurité il est généralement préférable de ne pas divulguer des informations concernant son réseau local, il est donc conseillé d'activer cette option. Section: Types de requêtes autorisées par port de destination 3. Ajoutez un type de requête à l'aide de l'icône. Solution Olfeo / Guide d'intégration / 32

33 3 Réaliser son intégration La section "Type de requête par port de destination" vous permet de définir les ports destination interrogeables par le proxy et les protocoles qui leur correspondent. L'administrateur peut ainsi décider d'autoriser ou de bloquer des actions concernant les ports destinations demandés par les utilisateurs. a) Saisissez un port destination dans le champ de la colonne Port. Remarque: Vous pouvez saisir une plage de ports en séparant le port de début et le port de fin par un "-". Par exemple: Remarque: Vous pouvez saisir plusieurs ports dans une requête en les séparant par un espace. Par exemple: b) Sélectionnez les protocoles que vous souhaitez autoriser sur ces ports destination en validant les cases à cocher des colonnes Navigation, FTP sur HTTP, WebDAV, Raw/SSL. Les quatre protocoles possibles sont les suivants: Navigation: Autorise la navigation HTTP standard. FTP sur HTTP: Autorise l'utilisation du protocole FTP encapsulé dans HTTP (FTP over HTTP) et permet ainsi le téléchargement de fichiers. Ce protocole peut être utilisé si votre application cliente supporte ce protocole. Les navigateurs Internet peuvent généralement utiliser ce protocole lorsque le proxy HTTP est utilisé comme proxy FTP. WebDAV: Autorise le protocole de collaboration basé sur HTTP permettant la gestion de fichiers partagés et stockés sur un serveur Web. Raw/SSL: Autorise les flux de type SSL. c) Si vous désirez [utiliser le mode passif étendu pour le FTP sur HTTP], activez la case à cocher. Ce mode permet au proxy Olfeo d'utiliser la commande EPSV et ainsi d'effectuer des requêtes FTP compatibles avec IPv6. Vous pouvez vous référer à la RFC FTP Extensions for IPv6 and NATs pour plus d'informations. Avertissement: Du fait de l'utilisation de la commande EPSV et de l'utilisation d'ipv6 cette option peut s'avérer incompatible avec les anciens firewalls. Section: Chaînage proxy 4. Si le proxy de la solution Olfeo doit être chainé à un proxy parent, activez la case à cocher [Utiliser un proxy parent] dans la section Chaînage proxy. Remplissez de plus les champs suivants: a) L'adresse IPv4 du proxy parent dans le champ [Hôte]. b) Le port TCP du proxy parent dans le champ [Port]. c) Le nom de [Identifiant]. l'utilisateur à utiliser pour s'authentifier auprès du proxy parent dans le champ d) Le mot de passe de l'utilisateur à utiliser pour s'authentifier auprès du proxy parent dans le champ [Mot de passe]. Section Filtrage d'url 5. Si vous désirez réaliser du filtrage d'urls, activez la case à cocher [Filtrer les URLs] dans la section Filtrage d'url. Si nécessaire remplissez de plus les champs suivants: Solution Olfeo / Guide d'intégration / 33

34 3 Réaliser son intégration a) [Ne pas mémoriser les autorisations]. Pour des questions de performance, la solution Olfeo cache en mémoire les autorisations obtenues par les différentes sessions de navigation de vos utilisateurs. Cette optimisation permet d'éviter des vérifications d'autorisation pour un même site internet (domaine internet) déjà autorisé. L'activation de cette case à cocher forcera donc une vérification d'autorisation systématique à chaque navigation même pour les sites déjà visités. b) [Nombre de redirecteurs]. Ce champ contrôle le nombre de processus internes de la solution Olfeo chargés de la gestion des autorisations de la navigation HTTP. La valeur par défaut de 70 devrait convenir pour la majorité des installations de la solution Olfeo. Généralement Olfeo recommande de ne pas modifier cette valeur sauf sur instruction explicite de son support technique. c) [Bypass si le service de filtrage n'est pas disponible]. Cette case à cocher permet de contrôler le comportement du proxy HTTP Olfeo si le service de filtrage d'url n'est plus disponible. Par défaut la navigation sera bloquée sauf si vous activez cette case à cocher. d) [Délai avant une autre connexion après une erreur]. Ce champ contrôle une temporisation qui peut être insérée au niveau du proxy HTTP Olfeo lorsqu'une erreur de connexion vers un site Web intervient. La temporisation par défaut de 30 secondes convient dans la majorité des cas. 6. Cliquez sur le bouton [Valider] pour enregistrer les changements. Réaliser une intégration proxy FTP Pour rappel le proxy FTP Olfeo ne supporte que le mode passif de ce protocole du fait de la nature non sécurisée du mode actif. 1. Rendez-vous à la page de configuration du proxy FTP en suivant les menus [Proxy Cache QoS] > [FTP]. Section: Liste des proxys 2. Dans la section [Liste des proxys] ajoutez un port en écoute grâce au bouton. a) Saisissez un nom pour le proxy FTP nouvellement créé dans le champ [Libellé]. b) Saisissez un port d'écoute TCP pour le proxy FTP nouvellement créé. 3. Dans la colonne Actif, vérifiez que le proxy FTP ajouté est bien actif. Un proxy actif se présente grâce à l'icône:. 4. Cliquez sur le bouton [Valider] pour enregistrer les changements. 5. Rendez-vous à la page d'options de votre proxy FTP nouvellement créé en cliquant sur le lien de la colonne [Options]. 6. Si nécessaire positionnez un nombre maximum de connexions sortantes autorisées par le proxy dans le champ [Limite de connexions]. Par défaut, la valeur 0, indique un nombre illimité. 7. Si le proxy de la solution Olfeo doit être chainé à un proxy parent, activez la case à cocher [Activé] dans la section Utiliser un proxy parent. Remplissez de plus les champs suivants: a) L'adresse IPv4 du proxy parent dans le champ [Hôte]. b) Le port TCP du proxy parent dans le champ [Port]. c) Le type d'authentification dans le menu déroulant [Authentification]. Solution Olfeo / Guide d'intégration / 34

35 3 Réaliser son intégration Identique au client: Les identifiants et les mots de passe fournis au proxy FTP Olfeo seront transférés au proxy parent. Aucune: Le proxy parent ne nécessite aucune authentification. Définie ci-dessous: Cette configuration permet de renseigner un identifiant et un mot de passe spécifique pour authentifier le proxy FTP Olfeo auprès de son proxy FTP parent. Si vous choisissez cette configuration veuillez remplir l'identifiant ainsi que son mot de passe à utiliser pour s'authentifier auprès du proxy parent dans le champ [Identifiant]. d) La manière dont le protocole FTP effectue sa phase de connexion avec le proxy et le site distant. SITE effectue la séquence de connexion suivante: USER "utilisateur proxy" PASSWORD "password utilisateur proxy" SITE "site ftp distant" USER "utilisateur ftp distant" PASSWORD "password utilisateur ftp distant" effectue la séquence de connexion suivante: USER "utilisateur proxy" PASSWORD "password utilisateur proxy" USER "utilisateur ftp ftp distant" PASSWORD "password utilisateur ftp distant" OPEN effectue la séquence de connexion suivante: USER "utilisateur proxy" PASSWORD "password utilisateur proxy" OPEN "site ftp distant" USER "utilisateur ftp distant" PASSWORD "password utilisateur ftp distant" Identique au client s'adapte à la séquence utilisée par le programme client. 8. Cliquez sur le bouton [Valider] pour enregistrer les changements. Réaliser une intégration proxy RTSP 1. Rendez-vous à la page de configuration du proxy RTSP en suivant les menus [Proxy Cache QoS] > [RTSP]. Section: Liste des proxys 2. Dans la section [Liste des proxies] ajoutez un proxy RTSP grâce au bouton. a) Saisissez un nom pour le proxy RTSP nouvellement créé dans le champ [Libellé]. b) Saisissez un port d'écoute TCP pour le proxy RTSP nouvellement créé. 3. Dans la colonne Actif, vérifiez que le proxy RTSP ajouté est bien actif. Un proxy actif se présente grâce à l'icône:. 4. Cliquez sur le bouton [Valider] pour enregistrer les changements. Solution Olfeo / Guide d'intégration / 35

36 3 Réaliser son intégration Réaliser une intégration proxy TCP 1. Rendez-vous à la page de configuration du proxy TCP en suivant les menus [Proxy Cache QoS] > [TCP]. Section: Liste des proxys 2. Dans la section Liste des proxies ajoutez un proxy TCP grâce au bouton. a) Saisissez un nom pour le proxy TCP nouvellement créé dans le champ [Libellé]. b) Saisissez un port d'écoute TCP pour le proxy TCP nouvellement créé. 3. Dans la colonne Actif, vérifiez que le proxy TCP ajouté est bien actif. Un proxy actif se présente grâce à l'icône:. 4. Cliquez sur le bouton [Valider] pour enregistrer les changements. 5. Rendez-vous à la page d'options de votre proxy TCP nouvellement créé en cliquant sur le lien de la colonne Options. 6. Ajoutez l'adresse IP et le port de destination vers lequel les informations seront renvoyées. Remarque: Le format a utiliser est ip:port. 7. Cliquez sur le bouton [Valider] pour enregistrer les changements. Réaliser une intégration proxy SOCKS 1. Rendez-vous à la page de configuration du proxy SOCKS en suivant les menus [Proxy Cache QoS] > [SOCKS]. Section: Liste des proxys 2. Dans la section Liste des proxies ajoutez un proxy SOCKS grâce au bouton. a) Saisissez un nom pour le proxy SOCKS nouvellement créé dans le champ [Libellé]. b) Saisissez un port d'écoute TCP pour le proxy SOCKS nouvellement créé. 3. Dans la colonne Actif, vérifiez que le proxy SOCKS ajouté est bien actif. Un proxy actif se présente grâce à l'icône:. 4. Cliquez sur le bouton [Valider] pour enregistrer les changements. Réaliser une intégration proxy transparent Proxy transparent par redirection de trafic L'intégration proxy transparent par redirection du trafic fonctionne par l'insertion du proxy Olfeo dans le trafic réseau. Cette insertion est rendue possible par une redirection du trafic vers le proxy Olfeo depuis une machine tiers (en général un firewall). L'avantage de cette solution est de pouvoir fonctionner avec l'olfeo Box, l'appliance virtuelle Olfeo et la solution logicielle Olfeo. Solution Olfeo / Guide d'intégration / 36

37 3 Réaliser son intégration Illustration 12: Intégration proxy transparent par redirection du trafic Remarque: L'administrateur est libre de rediriger uniquement le trafic qu'il souhaite proxyfier de manière transparente. La règle de transfert du trafic peut par exemple ne concerner que le trafic reçu sur le port 80 (HTTP) de la machine tiers et ne pas concerner le trafic reçu sur le port 21 (FTP). Mettre en place la redirection de flux Il n'existe pas de procédure spécifique décrivant la mise en place de la redirection du flux depuis la machine tiers car elle dépend du matériel en votre possession. Loguez-vous sur votre machine tiers et ajoutez les règles de redirection nécessaires avec pour destination l'adresse IP du proxy Olfeo et le port destination du proxy qui sera créé dans la procédure suivante (Création d'une intégration proxy HTTP transparent à la page 37). Généralement la redirection de flux se fait à travers une redirection de port (port forwarding ou port mapping). Création d'une intégration proxy HTTP transparent 1. Rendez-vous à la page de configuration du proxy HTTP en suivant les menus [Proxy Cache QoS] > [HTTP]. Section: Ports en écoute 2. Dans la section Ports en écoute ajoutez un port en écoute grâce au bouton. a) Saisissez l'adresse IP et le port de l'interface sur laquelle le proxy doit être positionné en écoute. La syntaxe utilisée pour spécifier le port d'écoute TCP à utiliser vous permet de restreindre l'adresse IP sur laquelle le proxy HTTP correspondant est disponible. La syntaxe à utiliser est la suivante: adresseip:porttcp Remarque: Si vous souhaitez écouter sur toutes les adresses IP de la machine locale saisissez l'adresse IP: Solution Olfeo / Guide d'intégration / 37

38 3 Réaliser son intégration Voici ci-dessous un exemple de déclaration d'adresse IP et de port d'écoute: :3129 b) Pour mettre en place un proxy transparent cliquez sur la case à cocher Proxy transparent à la fin de votre port proxy en écoute nouvellement créé. c) Si vous ne désirez pas propager les adresses IP locales des postes clients dialoguant avec le proxy, cliquez sur [Masquer les adresses IP locales]. Remarque: Cette option permet d'éviter la génération d'en-têtes HTTP de type "HTTP X-ForwardedFor" qui citent généralement l'adresse IP du client pour lequel le proxy réalise une action. Pour des questions de sécurité il est généralement préférable de ne pas divulguer des informations concernant son réseau local, il est donc conseillé d'activer cette option. Section: Types de requêtes autorisées par port de destination 3. Ajoutez un type de requête à l'aide de l'icône. La section "Type de requête par port de destination" vous permet de définir les ports destination interrogeables par le proxy et les protocoles qui leur correspondent. L'administrateur peut ainsi décider d'autoriser ou de bloquer des actions concernant les ports destinations demandés par les utilisateurs. a) Saisissez un port destination dans le champ de la colonne Port. Remarque: Vous pouvez saisir une plage de ports en séparant le port de début et le port de fin par un "-". Par exemple: Remarque: Vous pouvez saisir plusieurs ports dans une requête en les séparant par un espace. Par exemple: b) Sélectionnez les protocoles que vous souhaitez autoriser sur ces ports destination en validant les cases à cocher des colonnes Navigation, FTP sur HTTP, WebDAV, Raw/SSL. Les quatre protocoles possibles sont les suivants: Navigation: Autorise la navigation HTTP standard. FTP sur HTTP: Autorise l'utilisation du protocole FTP encapsulé dans HTTP (FTP over HTTP) et permet ainsi le téléchargement de fichiers. Ce protocole peut être utilisé si votre application cliente supporte ce protocole. Les navigateurs Internet peuvent généralement utiliser ce protocole lorsque le proxy HTTP est utilisé comme proxy FTP. WebDAV: Autorise le protocole de collaboration basé sur HTTP permettant la gestion de fichiers partagés et stockés sur un serveur Web. Raw/SSL: Autorise les flux de type SSL. Solution Olfeo / Guide d'intégration / 38

39 3 Réaliser son intégration c) Si vous désirez [utiliser le mode passif étendu pour le FTP sur HTTP], activez la case à cocher. Ce mode permet au proxy Olfeo d'utiliser la commande EPSV et ainsi d'effectuer des requêtes FTP compatibles avec IPv6. Vous pouvez vous référer à la RFC FTP Extensions for IPv6 and NATs pour plus d'informations. Avertissement: Du fait de l'utilisation de la commande EPSV et de l'utilisation d'ipv6 cette option peut s'avérer incompatible avec les anciens firewalls. Section: Chaînage proxy 4. Si le proxy de la solution Olfeo doit être chainé à un proxy parent, activez la case à cocher [Utiliser un proxy parent] dans la section Chaînage proxy. Remplissez de plus les champs suivants: a) L'adresse IPv4 du proxy parent dans le champ [Hôte]. b) Le port TCP du proxy parent dans le champ [Port]. c) Le nom de [Identifiant]. l'utilisateur à utiliser pour s'authentifier auprès du proxy parent dans le champ d) Le mot de passe de l'utilisateur à utiliser pour s'authentifier auprès du proxy parent dans le champ [Mot de passe]. Section Filtrage d'url 5. Si vous désirez réaliser du filtrage d'urls, activez la case à cocher [Filtrer les URLs] dans la section Filtrage d'url. Si nécessaire remplissez de plus les champs suivants: a) [Ne pas mémoriser les autorisations]. Pour des questions de performance, la solution Olfeo cache en mémoire les autorisations obtenues par les différentes sessions de navigation de vos utilisateurs. Cette optimisation permet d'éviter des vérifications d'autorisation pour un même site internet (domaine internet) déjà autorisé. L'activation de cette case à cocher forcera donc une vérification d'autorisation systématique à chaque navigation même pour les sites déjà visités. b) [Nombre de redirecteurs]. Ce champ contrôle le nombre de processus internes de la solution Olfeo chargés de la gestion des autorisations de la navigation HTTP. La valeur par défaut de 70 devrait convenir pour la majorité des installations de la solution Olfeo. Généralement Olfeo recommande de ne pas modifier cette valeur sauf sur instruction explicite de son support technique. c) [Bypass si le service de filtrage n'est pas disponible]. Cette case à cocher permet de contrôler le comportement du proxy HTTP Olfeo si le service de filtrage d'url n'est plus disponible. Par défaut la navigation sera bloquée sauf si vous activez cette case à cocher. d) [Délai avant une autre connexion après une erreur]. Ce champ contrôle une temporisation qui peut être insérée au niveau du proxy HTTP Olfeo lorsqu'une erreur de connexion vers un site Web intervient. La temporisation par défaut de 30 secondes convient dans la majorité des cas. 6. Cliquez sur le bouton [Valider] pour enregistrer les changements. Proxy transparent en coupure L'intégration en coupure du proxy transparent est rendue possible par l'insertion dans le réseau du pont réseau de l'olfeo Box. Lorsque le flux traverse le pont de l'olfeo Box celui-ci est a lors proxyfié. Solution Olfeo / Guide d'intégration / 39

40 3 Réaliser son intégration Avertissement: Cette intégration n'est possible qu'avec une Olfeo Box. Illustration 13: Intégration proxy transparent en coupure L'intégration proxy transparent s'effectue en deux étapes: La première étape consiste à configurer le proxy transparent. La deuxième étape consiste à configurer le pont réseau de l'olfeo Box. Création d'une intégration proxy HTTP transparent 1. Rendez-vous à la page de configuration du proxy HTTP en suivant les menus [Proxy Cache QoS] > [HTTP]. Section: Ports en écoute 2. Dans la section Ports en écoute ajoutez un port en écoute grâce au bouton. a) Saisissez l'adresse IP et le port de l'interface sur laquelle le proxy doit être positionné en écoute. La syntaxe utilisée pour spécifier le port d'écoute TCP à utiliser vous permet de restreindre l'adresse IP sur laquelle le proxy HTTP correspondant est disponible. La syntaxe à utiliser est la suivante: adresseip:porttcp Remarque: Si vous souhaitez écouter sur toutes les adresses IP de la machine locale saisissez l'adresse IP: Solution Olfeo / Guide d'intégration / 40

41 3 Réaliser son intégration Voici ci-dessous un exemple de déclaration d'adresse IP et de port d'écoute: :3129 b) Pour mettre en place un proxy transparent cliquez sur la case à cocher Proxy transparent à la fin de votre port proxy en écoute nouvellement créé. c) Si vous ne désirez pas propager les adresses IP locales des postes clients dialoguant avec le proxy, cliquez sur [Masquer les adresses IP locales]. Remarque: Cette option permet d'éviter la génération d'en-têtes HTTP de type "HTTP X-ForwardedFor" qui citent généralement l'adresse IP du client pour lequel le proxy réalise une action. Pour des questions de sécurité il est généralement préférable de ne pas divulguer des informations concernant son réseau local, il est donc conseillé d'activer cette option. Section: Types de requêtes autorisées par port de destination 3. Ajoutez un type de requête à l'aide de l'icône. La section "Type de requête par port de destination" vous permet de définir les ports destination interrogeables par le proxy et les protocoles qui leur correspondent. L'administrateur peut ainsi décider d'autoriser ou de bloquer des actions concernant les ports destinations demandés par les utilisateurs. a) Saisissez un port destination dans le champ de la colonne Port. Remarque: Vous pouvez saisir une plage de ports en séparant le port de début et le port de fin par un "-". Par exemple: Remarque: Vous pouvez saisir plusieurs ports dans une requête en les séparant par un espace. Par exemple: b) Sélectionnez les protocoles que vous souhaitez autoriser sur ces ports destination en validant les cases à cocher des colonnes Navigation, FTP sur HTTP, WebDAV, Raw/SSL. Les quatre protocoles possibles sont les suivants: Navigation: Autorise la navigation HTTP standard. FTP sur HTTP: Autorise l'utilisation du protocole FTP encapsulé dans HTTP (FTP over HTTP) et permet ainsi le téléchargement de fichiers. Ce protocole peut être utilisé si votre application cliente supporte ce protocole. Les navigateurs Internet peuvent généralement utiliser ce protocole lorsque le proxy HTTP est utilisé comme proxy FTP. WebDAV: Autorise le protocole de collaboration basé sur HTTP permettant la gestion de fichiers partagés et stockés sur un serveur Web. Raw/SSL: Autorise les flux de type SSL. Solution Olfeo / Guide d'intégration / 41

42 3 Réaliser son intégration c) Si vous désirez [utiliser le mode passif étendu pour le FTP sur HTTP], activez la case à cocher. Ce mode permet au proxy Olfeo d'utiliser la commande EPSV et ainsi d'effectuer des requêtes FTP compatibles avec IPv6. Vous pouvez vous référer à la RFC FTP Extensions for IPv6 and NATs pour plus d'informations. Avertissement: Du fait de l'utilisation de la commande EPSV et de l'utilisation d'ipv6 cette option peut s'avérer incompatible avec les anciens firewalls. Section: Chaînage proxy 4. Si le proxy de la solution Olfeo doit être chainé à un proxy parent, activez la case à cocher [Utiliser un proxy parent] dans la section Chaînage proxy. Remplissez de plus les champs suivants: a) L'adresse IPv4 du proxy parent dans le champ [Hôte]. b) Le port TCP du proxy parent dans le champ [Port]. c) Le nom de [Identifiant]. l'utilisateur à utiliser pour s'authentifier auprès du proxy parent dans le champ d) Le mot de passe de l'utilisateur à utiliser pour s'authentifier auprès du proxy parent dans le champ [Mot de passe]. Section Filtrage d'url 5. Si vous désirez réaliser du filtrage d'urls, activez la case à cocher [Filtrer les URLs] dans la section Filtrage d'url. Si nécessaire remplissez de plus les champs suivants: a) [Ne pas mémoriser les autorisations]. Pour des questions de performance, la solution Olfeo cache en mémoire les autorisations obtenues par les différentes sessions de navigation de vos utilisateurs. Cette optimisation permet d'éviter des vérifications d'autorisation pour un même site internet (domaine internet) déjà autorisé. L'activation de cette case à cocher forcera donc une vérification d'autorisation systématique à chaque navigation même pour les sites déjà visités. b) [Nombre de redirecteurs]. Ce champ contrôle le nombre de processus internes de la solution Olfeo chargés de la gestion des autorisations de la navigation HTTP. La valeur par défaut de 70 devrait convenir pour la majorité des installations de la solution Olfeo. Généralement Olfeo recommande de ne pas modifier cette valeur sauf sur instruction explicite de son support technique. c) [Bypass si le service de filtrage n'est pas disponible]. Cette case à cocher permet de contrôler le comportement du proxy HTTP Olfeo si le service de filtrage d'url n'est plus disponible. Par défaut la navigation sera bloquée sauf si vous activez cette case à cocher. d) [Délai avant une autre connexion après une erreur]. Ce champ contrôle une temporisation qui peut être insérée au niveau du proxy HTTP Olfeo lorsqu'une erreur de connexion vers un site Web intervient. La temporisation par défaut de 30 secondes convient dans la majorité des cas. 6. Cliquez sur le bouton [Valider] pour enregistrer les changements. Création d'un pont réseau 1. Rendez-vous à la page de configuration en suivant les menus [Paramétrage] > [Réseau] > [Interfaces]. 2. Cliquez sur l'interface [br(x)] correspondant aux deux interfaces physiques utilisées sur votre Olfeo Box. Solution Olfeo / Guide d'intégration / 42

43 3 Réaliser son intégration Voici par exemple sur la façade de l'olfeo Box, les deux ports physiques utilisés par le pont br0: Section: Information 3. Activez la case à cocher [Activé]. Section: Configuration ipv4 4. Afin de réaliser votre intégration avec le proxy transparent, vous devez attribuer une adresse IP à votre pont réseau. En conséquence, choisissez soit le mode de configuration [DHCP] soit le mode de configuration [STATIC] dans le champ Mode. [DHCP]: L'adresse IP du bridge sera envoyée par votre serveur DHCP. [STATIC]: Vous devrez dans ce cas saisir l'adresse IP, le masque de sous-réseau et l'adresse IP de la passerelle. Section: Configuration redirection 5. Pour rediriger votre trafic entrant vers votre proxy transparent Olfeo sélectionnez le port TCP 3129 dans le champ [Port de redirection] puis positionnez les ports qui seront redirigés vers le proxy. Par exemple pour rediriger les ports 80 à 81, 8080 et 8000 la syntaxe à utiliser est: 80-81, 8080, Cliquez sur le bouton [Valider] pour enregistrer les changements. Réaliser une intégration couplage Filtrer des URLs avec Squid (Olfeo) (Recommandé) L'intégration avec un proxy Squid se fait à l'aide du protocole Olfeo. Ce type de filtrage est recommandé car le trafic généré par le protocole Olfeo est nettement moindre que celui généré par le protocole ICAP. Le traitement est donc plus efficace car les machines sont soumises à une charge moins importante. Remarque: Notons de plus que le protocole Olfeo est compatible avec un proxy Squid de version 2 ou 3. Voici ci-dessous un exemple d'intégration simple de la solution Olfeo avec un proxy Squid. Au travers d'une de ses interfaces le proxy Squid interroge la solution Olfeo pour filtrer le trafic provenant de l'utilisateur. Solution Olfeo / Guide d'intégration / 43

44 3 Réaliser son intégration Illustration 14: Architecture d'intégration avec un proxy Squid utilisant le protocole Olfeo Configurer la solution Olfeo pour s'intégrer avec le protocole Olfeo 1. Rendez-vous à la page de configuration en suivant les menus [Paramétrage] > [Architecture] > [Intégration]. 2. Cliquez sur le lien [Ajoutez un mode d'intégration] de la colonne Libellé. 3. Sélectionnez [Je m'intègre à un de mes équipements] dans le menu [Mode d'intégration]. 4. Saisissez un nom décrivant le mode d'intégration dans le champ [Libellé]. 5. Cliquez sur le bouton [Suivant]. Section: Paramétrage 6. Choisissez la connexion de type Squid dans le menu [Type de connexion]. Section: Paramètres du connecteur 7. Choisissez le mode de transport Tcp dans le menu [Mode]. 8. Saisissez un numéro de port qui sera utilisé pour la connexion avec Squid. La valeur par défaut est: Cliquez sur le bouton [Terminer] pour enregistrer les changements. Copier le programme squid_wrapper d'olfeo Afin de communiquer avec la solution Olfeo le proxy Squid appelle un binaire développé par Olfeo. C'est ce binaire qui effectuera la communication avec la solution Olfeo dans le protocole Olfeo. Le binaire du nom de squid_wrapper doit donc être copié sur le serveur exécutant Squid. 1. Connectez vous sur votre serveur Squid. 2. Copiez l'exécutable squid_wrapper dans le répertoire /usr/bin/ de votre serveur. Solution Olfeo / Guide d'intégration / 44

45 3 Réaliser son intégration L'un des solutions les plus simples pour copier le squid_wrapper est d'utiliser scp (utilitaire de commande s'appuyant sur ssh). Remarque: Le binaire squid_wrapper développé par Olfeo se trouve sur la solution Olfeo dans le répertoire: /opt/olfeo5/chroot/opt/olfeo5/bin/ si votre solution Olfeo est une appliance virtuelle. /opt/olfeo5/bin/ si votre solution Olfeo est une Olfeo box. La commande se présentera comme suit: scp /usr/bin/ Voici par exemple la ligne de commande à exécuter sur le serveur Squid pour copier le squid_wrapper d'une appliance virtuelle Olfeo: scp /usr/bin/ Voici par exemple la ligne de commande à exécuter sur le serveur Squid pour copier le squid_wrapper d'une Olfeo Box: scp /usr/bin/ Paramétrer Squid pour filtrer le trafic avec le squid_wrapper Afin de communiquer avec la solution Olfeo le proxy Squid appelle un binaire développé par Olfeo nommé squid_wrapper. Après avoir copié le squid_wrapper sur le serveur Squid, la configuration du serveur Squid doit être modifiée pour permettre l'appel au binaire squid_wrapper. 1. Connectez vous sur votre serveur Squid. 2. Éditez le fichier de configuration de Squid. Par défaut le fichier se trouve dans: /etc/squid3/squid3.conf /etc/squid/squid.conf 3. Saisissez l'appel au binaire Olfeo squid_wrapper. url_rewrite_program /usr/bin/squid_wrapper --squid25 --host Description des directives: url_rewrite_program /usr/bin/squid_wrapper --host url_rewrite_program: Appel à un programme de redirection. --host adresseipolfeo: Paramètre de squid_wrapper précisant l'adresse IP de la solution Olfeo. 4. Créez le répertoire /opt/olfeo5/data/ dans votre serveur Squid. mkdir /opt/olfeo5/data/ Solution Olfeo / Guide d'intégration / 45

46 3 Réaliser son intégration 5. Copiez le fichier dictionnary du répertoire /opt/olfeo5/data/ de la solution Olfeo dans répertoire / opt/olfeo5/data/ du serveur Squid. olfeo@olfeo: scp /opt/olfeo5/data/dictionnary root@serveursquid:/opt/olfeo5/data/ Avertissement: A chaque mise à jour de l'olfeo, il est possible que ce fichier soit modifié. Veuillez dans ce cas réaliser de nouveau cette étape consitant à copier le fichier dictionnary du répertoire /opt/ olfeo5/data/ de la solution Olfeo dans répertoire /opt/olfeo5/data/ du serveur Squid 6. Saisissez le nombre de processus squid_wrapper à exécuter. url_rewrite_children 70 Avertissement: Si le nombre de processus squid_wrapper exécuté n'est pas assez élevé, Squid sera ralentit car il ne pourra pas exécuter suffisamment de requêtes en parallèle. A l'inverse si trop de processus squid_wrapper sont instanciés, ils consommeront de trop de RAM et des ressources systèmes. La valeur par défaut est Sauvegardez les modifications réalisées dans le fichier de configuration de Squid. 8. Rechargez la configuration du proxy Squid pour appliquer les modifications. /etc/init.d/squid reload Filtrer des URLs ou du contenu avec Squid (ICAP) A partire de la version 3 de Squid, l'intégration avec la solution Olfeo peut être réalisé avec le protocole ICAP. Voici ci-dessous un exemple d'intégration simple de la solution Olfeo avec un proxy Squid. Au travers d'une de ses interfaces le proxy Squid interroge la solution Olfeo pour filtrer le trafic provenant de l'utilisateur. Illustration 15: Architecture d'intégration avec un proxy Squid utilisant le protocole Icap Solution Olfeo / Guide d'intégration / 46

47 3 Réaliser son intégration Avertissement: Squid ne supporte le protocole ICAP qu'à partir de la version 3. Vérifiez que vous disposez bien d'une version 3 ou supérieure de Squid avant de continuer. Configurer la solution Olfeo pour s'intégrer avec ICAP 1. Rendez-vous à la page de configuration en suivant les menus [Paramétrage] > [Architecture] > [Intégration]. 2. Cliquez sur le lien [Ajoutez un mode d'intégration] de la colonne Libellé. 3. Sélectionnez [Je m'intègre à un de mes équipements] dans le menu [Mode d'intégration]. 4. Saisissez un nom décrivant le mode d'intégration dans le champ [Libellé]. 5. Cliquez sur le bouton [Suivant]. Section: Paramétrage 6. Choisissez la connexion de type ICAP-->Autre dans le menu [Type de connexion]. Section: Paramètres du connecteur 7. Choisissez le mode de transport Tcp dans le menu [Mode]. 8. Saisissez un numéro de port qui sera utilisé pour la connexion avec Squid. La valeur par défaut est: Cliquez sur le bouton [Terminer] pour enregistrer les changements. Paramétrer Squid pour filtrer des URLs ou du contenu avec ICAP Voici ci-dessous la configuration à réaliser dans le fichier de configuration de Squid pour qu'il communique en ICAP avec la solution Olfeo. Le fichier de configuration suivant est basé sur une version 3 de Squid. Pour rappel seule les versions 3.0 ou supérieures de Squid peuvent gérer 1. Connectez-vous sur le serveur Proxy exécutant Squid. 2. Éditez le fichier de configuration de Squid. Par défaut le fichier se trouve dans: /etc/squid3/squid3.conf /etc/squid/squid.conf 3. Saisissez l'activation du module ICAP dans le fichier de configuration. icap_enable on Description des directives: icap_enable on: Active le module ICAP. Solution Olfeo / Guide d'intégration / 47

48 3 Réaliser son intégration 4. Si besoin, saisissez l'activation du filtrage de contenu. icap_preview_enable on Description des directives: icap_preview_enable on: Active le mode preview. Le mode preview est essentiel pour effectuer du filtrage de contenu dans la solution Olfeo. 5. Saisissez l'activation de l'identification des clients. icap_send_client_ip on icap_send_client_username on icap_client_username_encode on icap_client_username_header X-Authenticated-User Description des directives: icap_send_client_ip on: Transmet l'adresse ip du poste de l'utilisateur à la solution Olfeo. icap_send_client_username on: Transmet le nom de l'utilisateur authentifié par Squid à la solution Olfeo. icap_client_username_encode on: Transmet le nom de l'utilisateur codé en base64 à la solution Olfeo. Pour des questions de sécurité, il est recommandé d'activer cette configuration. icap_client_username_header X-Authenticated-User: Transmet le nom de l'utilisateur en positionnant le champ X-Authenticated-User dans l'entête de la requête HTTP. 6. Saisissez les informations d'activation du service ICAP. # # Activation service # icap_service service_reqmod reqmod_precache 0 bypass=0 icap:// :1344/reqmod adaptation_service_set class_reqmod service_reqmod Description des directives: icap_service service_reqmod reqmod_precache 0 bypass=0 icap://adresseipolfeo:portolfeo/reqmod service_reqmod: Nom donné au service. reqmod_precache 0: Précise que la requête doit être envoyée à la solution Olfeo avant la mise en cache. bypass=0: Positionné à 0, le service ne peut pas être contourné même si la solution Olfeo est injoignable. Positionné à 1 le service est désactivé lorsque la solution Olfeo est injoignable (le proxy squid continue de fonctionner mais sans le filtrage de la solution Olfeo). adaptation_service_set class_reqmod service_reqmod adaptation_service_set: Active la configuration de class_reqmod et de service_reqmod. 7. Sauvegardez les modifications réalisées dans le fichier de configuration de Squid. 8. Rechargez la configuration du proxy Squid pour appliquer les modifications. /etc/init.d/squid reload Filtrer des URLs avec Check Point (OPSEC) L'intégration avec un firewall Check Point se fait à partir du protocole OPSEC. Solution Olfeo / Guide d'intégration / 48

49 3 Réaliser son intégration Voici ci-dessous un exemple d'intégration simple de la solution Olfeo avec un FireWall-1 de Check Point. Au travers d'une de ses interfaces le FireWall-1 de Check Point pourra interroger la solution Olfeo pour le filtrage du trafic provenant de l'utilisateur. Illustration 16: Architecture d'intégration avec un Check Point Firewall-1 Configurer la solution Olfeo pour s'intégrer avec OPSEC 1. Rendez-vous à la page de configuration en suivant les menus [Paramétrage] > [Architecture] > [Intégration]. 2. Cliquez sur le lien [Ajoutez un mode d'intégration] de la colonne Libellé. 3. Sélectionnez [Je m'intègre à un de mes équipements] dans le menu [Mode d'intégration]. 4. Saisissez un nom décrivant le mode d'intégration dans le champ [Libellé]. 5. Cliquez sur le bouton [Suivant]. Section: Paramétrage 6. Choisissez la connexion de type Check Point dans le menu [Type de connexion]. Section: Paramètres du connecteur 7. Choisissez le mode de transport Tcp dans le menu [Mode]. 8. Saisissez le numéro de port qui sera utilisé pour la connexion avec Check Point. 9. Cliquez sur le bouton [Terminer] pour enregistrer les changements. Ajouter la solution Olfeo dans Smartcenter 1. Connectez-vous sur l'utilitaire Smartdashboard. 2. Rendez-vous à la page gestion des objets services à l'aide du menu [Manage] > [Servers and OPSEC Applications]. Solution Olfeo / Guide d'intégration / 49

50 3 Réaliser son intégration Fenêtre: Services 3. Cliquez sur le bouton [New...] > [OPSEC Application...]. Fenêtre: OPSEC Application Properties / Onglet: Général 4. Entrez un nom décrivant l'objet application de la solution Olfeo dans le champ [Name]. Par exemple: Olfeo_OPSEC 5. Entrez un commentaire décrivant l'application de la solution Olfeo dans le champ [Comment]. Par exemple: Olfeo Filtering Application 6. Créez un nouveau hôte correspondant à la machine exécutant la solution Olfeo en cliquant sur le bouton [New...]. a) Entrez un nom correspondant à la machine exécutant la solution Olfeo dans le champ [Name]. Par exemple: Olfeo b) Entrez l'adresse IP de la solution Olfeo dans le champ [IP Address]. c) Entrez un commentaire décrivant la machine exécutant la solution Olfeo dans le champ [Comment]. d) Cliquez sur le bouton [OK] pour enregistrer les changements. Fenêtre: OPSEC Application Properties / Onglet: Général 7. Sélectionnez l'entrée User Defined dans le menu [Vendor]. 8. Validez la case à cocher [UFP] ("URL Filtering protocol") dans la liste Server Entities. 9. Rendez-vous dans l'onglet [UFP Options] qui vient d'apparaitre. Fenêtre: OPSEC Application Properties / Onglet: UFP Options 10. Sélectionnez le service TCP FW1_ufp dans le menu [Service]. 11. Validez la case à cocher [Use early versions compatibility mode]. 12. Validez la case [Clear (opsec)]. 13. Cliquez sur le bouton [Get dictionary...] pour obtenir la liste des catégories du serveur UFP. 14. Cliquez sur le bouton [OK] pour enregistrer les changements. Fenêtre: OPSEC Application Properties / Onglet: Général 15. Cliquez sur le bouton [Close] pour revenir à l'écran principal. Ajouter les URLs bloquées par Olfeo dans Smartcenter 1. Connectez-vous sur l'utilitaire Smartdashboard. 2. Rendez-vous à la page gestion des objets services à l'aide du menu [Manage] > [Ressources]. Fenêtre: Ressources 3. Cliquez sur le bouton [New...] > [URI...]. Solution Olfeo / Guide d'intégration / 50

51 3 Réaliser son intégration Fenêtre: URI Resources Properties / Onglet: General 4. Entrez un nom décrivant la ressource URI dans le champ [Name]. Par exemple: Olfeo_blocked_URIs 5. Entrez un commentaire décrivant la ressource URI dans le champ [Comment]. Par exemple: Olfeo Filtering Application 6. Validez la case [Enforce URI capabilities]. 7. Validez les cases à cocher [Transparent] et [Proxy] dans la section Connection Methods. 8. Validez la case [None] dans la section Exception Track. 9. Validez la case [UFP] dans la section URI Match Specification Type. 10. Rendez-vous dans l'onglet [Match] URI Resources Properties / Onglet: Match 11. Sélectionnez le serveur OPSEC créé préalablement lors du chapitre Ajouter la solution Olfeo dans Smartcenter à la page 49 grâce au menu [UFP Server]. Par exemple: Olfeo_OPSEC 12. Sélectionnez l'entrée No caching dans le menu [UFP caching control]. 13. Dans la liste des catégories, validez la case à cocher de la catégorie [Blocked]. 14. Validez la case à cocher [Ignore UFP server after connection failure]. 15. Saisissez la valeur de 3 tentatives dans le champ [Number of failures before ignoring the UFP server]. 16. Saisissez la valeur de 60 secondes de timeout dans le champ [Timeout before reconnect to UFP server]. 17. Cliquez sur le bouton [OK] pour enregistrer les changements. Fenêtre: Resources 18. Cliquez sur le bouton [Close] pour revenir à l'écran principal. Paramétrer le firewall Check Point pour filtrer le trafic Pour activer le filtrage de la solution Olfeo il faut créer deux règles de filtrage dans le firewall Check Point à l'aide de l'utilitaire Smartdashboard. La première règle consiste à filtrer le trafic HTTP des postes clients avec la solution Olfeo. La deuxième consiste à autoriser le trafic HTTP des postes clients. 1. Connectez-vous sur l'utilitaire Smartdashboard. 2. Rendez-vous à la page gestion des objets services à l'aide du menu [Manage] > [Network objects]. Fenêtre: Network objects 3. Cliquez sur le bouton [New...] > [Network] pour ajouter un objet décrivant le réseau contenant les postes clients. Fenêtre: Network Properties / Onglet: General 4. Saisissez un nom décrivant le réseau contenant les postes clients dans le champ [Name]. Solution Olfeo / Guide d'intégration / 51

52 3 Réaliser son intégration Par exemple: web_clients_network 5. Saisissez l'adresse réseau du réseau contenant les postes clients dans le champ [Network Address]. Par exemple: Saisissez le masque du réseau contenant le les postes clients dans le champ [Net Mask]. Par exemple: Cliquez sur [OK] pour enregistrer les changements. Fenêtre: Network Objects 8. Cliquez sur le bouton [Close] pour revenir à l'écran principal. Fenêtre: Principale. Afin de faire fonctionner le filtrage de la solution Olfeo en couplage avec la solution Check Point nous allons créer deux règles firewall comme illustré ci-dessous: Table 2: Règles firewall NO. Name Source 1 Destination VPN Service Action Track * Any * Any Traffic dns accept None Network_internal_interface 2 web_filtering_1 Network_internal_interface * Any * Any Traffic http->olfeo_blocked_uris reject Log 3 web_filtering_2 Network_internal_interface * Any * Any Traffic http accept Log * Any * Any * Any Traffic * Any reject Log 4 9. Rendez-vous à l'onglet Firewall de la fenêtre principale. 10. Sélectionnez la règle à partir de laquelle vous souhaitez ajouter la règle de filtrage d'urls gérée par la solution Olfeo. 11. Ajoutez une règle de filtrage à l'aide du menu [Rules] > [Add rule] > [Below]. a) Dans la règle nouvellement crée, saisissez un nom décrivant la règle de filtrage dans la case de la colonne NAME. Par exemple: web_filtering b) Cliquez sur la case de la colonne SOURCE de la règle nouvellement crée et appuyez ensuite sur le bouton. c) Sélectionnez le réseau des postes clients créé préalablement. Par exemple: web_clients_network d) Cliquez sur la case de la colonne SERVICE de la règle nouvellement crée puis effectuez un [Clic droit] et sélectionnez le menu [Add With Resource...]. e) Sélectionnez le champ http dans le champ [Service]. f) Saisissez la ressource préalablement créée dans le champ [Resource]. Par exemple: olfeo_blocked_uris Solution Olfeo / Guide d'intégration / 52

53 3 Réaliser son intégration g) Cliquez sur la case de la colonne ACTION de la règle nouvellement crée et effectez un [Clic droit] et sélectionnez [Reject]. h) Cliquez sur [OK] pour enregistrer les changements. 12. Ajoutez une règle de filtrage à l'aide du menu [Rules] > [Add rule] > [Below]. a) Dans la règle nouvellement crée, saisissez un nom décrivant la règle de filtrage dans la case de la colonne NAME. Par exemple: web_allow_rule b) Cliquez sur la case de la colonne SOURCE de la règle nouvellement crée et appuyez ensuite sur le bouton. c) Sélectionnez le réseau des postes clients créé préalablement. Par exemple: web_clients_network d) Cliquez sur la case de la colonne SERVICE de la règle nouvellement crée et appuyez ensuite sur le bouton. e) Sélectionnez le champ http dans le champ [Service]. f) Cliquez sur la case de la colonne ACTION de la règle nouvellement crée et effectez un [Clic droit] et sélectionnez [Accept]. 13. Enregistrez la nouvelle configuration à l'aide du menu [File] > [Save]. 14. Installez la politique crée sur votre Firewall Check Point à l'aide du menu [Policy] > [Install...]. Fenêtre: Install policy 15. Sélectionnez votre Firewall dans la liste des destinations possibles. 16. Cliquez sur le bouton [OK] pour déployer les règles sur votre Firewall. 17. Cliquez sur le bouton [Close] pour revenir à l'écran principal. Filtrer des URLs avec Netasq (ICAP) L'intégration avec un boitier Netasq se fait à partir du protocole ICAP. Avertissement: Dans le cadre d'une telle intégration, c'est le proxy du Netasq qui est utilisé. Afin de pouvoir appliquer les politiques par utilisateurs, groupes, etc... il est donc nécessaire d'effectuer l'authentification de ces utilisateurs via le Netasq et le paramétrage SPNEGO. Remarque: Dans le cas où le Netasq n'est utilisé qu'en firewall, et que vous vous appuyez sur le proxy Olfeo, l'utilisation de l'intégration ICAP n'est pas nécessaire et c'est le proxy Olfeo qui s'occupera de l'authentification (transparente NTLM avec AD, edirectory, openldap, etc...). Si vous voulez réaliser un intégration proxy veuillez vous référer au chapitre Réaliser une intégration proxy à la page 32. Voici ci-dessous un exemple d'intégration simple de la solution Olfeo avec un firewall Netasq. Au travers d'une de ses interfaces le firewall Netasq interroge la solution Olfeo pour filtrer le trafic provenant de l'utilisateur. Solution Olfeo / Guide d'intégration / 53

54 3 Réaliser son intégration Illustration 17: Architecture d'intégration avec un Firewall Netasq Configurer la solution Olfeo pour s'intégrer avec ICAP 1. Rendez-vous à la page de configuration en suivant les menus [Paramétrage] > [Architecture] > [Intégration]. 2. Cliquez sur le lien [Ajoutez un mode d'intégration] de la colonne Libellé. 3. Sélectionnez [Je m'intègre à un de mes équipements] dans le menu [Mode d'intégration]. 4. Saisissez un nom décrivant le mode d'intégration dans le champ [Libellé]. 5. Cliquez sur le bouton [Suivant]. Section: Paramétrage 6. Choisissez la connexion de type Netasq dans le menu [Type de connexion]. Section: Paramètres du connecteur 7. Choisissez le mode de transport Tcp dans le menu [Mode]. 8. Saisissez un numéro de port qui sera utilisé pour la connexion avec Netasq. Par exemple: Cliquez sur le bouton [Terminer] pour enregistrer les changements. Paramétrer Netasq pour filtrer des URLs avec ICAP La présente procédure a été réalisée à partir d'un dispositif de sécurité Netasq de Série U. 1. Connectez-vous au logiciel d'administration "Netasq Unified Manager". 2. Rendez-vous à la page de configuration en suivant les menus [Proxy] > [Proxy HTTP]. Solution Olfeo / Guide d'intégration / 54

55 3 Réaliser son intégration Fenêtre: Configuration du proxy HTTP 3. Sélectionnez le menu Icap Reqmod. 4. Activez la case à cocher [Activer le module Icap reqmod]. 5. Saisissez un nom de service dans le champ [Nom du service ICAP]. Par exemple: OlfeoService 6. Cliquez sur le bouton [Machine Icap]. Fenêtre: Base d'objets 7. Cliquez sur le bouton [Nouveau] puis sur le sous menu [Machine]. Fenêtre: Création d'une machine 8. Saisissez le nom de la machine dans le champ [Nom de la machine]. Par exemple: olfeobox 9. Saisissez l'adresse IP de votre solution Olfeo dans le champ [Adresse IP]. 10. Cliquez sur le bouton [Suivant]. 11. (Optionnel) Saisissez un texte dans le champ [Description]. Machine chargée du filtrage. 12. Cliquez sur le bouton [Terminer]. Fenêtre: Base d'objets 13. Sélectionnez la machine nouvellement crée en sélectionnant son nom dans la colonne Objets. 14. Cliquez sur le bouton [OK]. Fenêtre: Configuration du proxy HTTP 15. Cliquez sur le [port Icap]. Fenêtre: Base d'objets 16. Cliquez sur le bouton [Nouveau] puis sur le sous menu [Service]. Fenêtre: Création d'un service 17. Saisissez un nom pour le service dans le champ [Nom du service]. Par exemple: icapolfeo 18. Sélectionnez la case à cocher [Port] puis saisissez le numéro du port TCP dans le champ [Valeur (1 à 65535)]. Remarque: La valeur à entrer correspond à celle utilisée dans le chapitre Configurer la solution Olfeo pour s'intégrer avec ICAP à la page 54. Par exemple: Choisissez TCP dans le menu du service [Protocoles du service]. Solution Olfeo / Guide d'intégration / 55

56 3 Réaliser son intégration 20. Cliquez sur le bouton [Suivant]. 21. (Optionnel) Saisissez un texte dans le champ [Description]. Port de la machine chargée du filtrage. 22. Cliquez sur le bouton [Terminer]. Fenêtre: Base d'objets 23. Sélectionnez le service nouvellement crée en sélectionnant son nom dans la colonne Objets. 24. Cliquez sur le bouton [OK]. Fenêtre: Configuration du proxy HTTP 25. Cliquez sur le bouton [OK]. Filtrer des URLs avec Cisco (WISP) L'intégration avec un firewall Cisco PIX ou ASA se fait à partir du protocole propriétaire WISP de la société Websense. Voici ci-dessous un exemple d'intégration simple de la solution Olfeo avec un firewall Cisco ASA. Au travers d'une de ses interfaces le firewall ASA interroge la solution Olfeo pour filtrer le trafic provenant de l'utilisateur. Illustration 18: Architecture d'intégration avec un Cisco ASA Configurer la solution Olfeo pour s'intégrer avec WISP 1. Rendez-vous à la page de configuration en suivant les menus [Paramétrage] > [Architecture] > [Intégration]. 2. Cliquez sur le lien [Ajoutez un mode d'intégration] de la colonne Libellé. 3. Sélectionnez [Je m'intègre à un de mes équipements] dans le menu [Mode d'intégration]. 4. Saisissez un nom décrivant le mode d'intégration dans le champ [Libellé]. Solution Olfeo / Guide d'intégration / 56

57 3 Réaliser son intégration 5. Cliquez sur le bouton [Suivant]. Section: Paramétrage 6. Choisissez la connexion de type Cisco dans le menu [Type de connexion]. Section: Paramètres du connecteur 7. Choisissez le mode de transport Tcp dans le menu [Mode]. 8. Saisissez un numéro de port qui sera utilisé pour la connexion avec Cisco. La valeur par défaut est: Cliquez sur le bouton [Terminer] pour enregistrer les changements. Paramétrer le firewall Cisco PIX/ASA pour filtrer le trafic Voici ci-dessous les commandes à effectuer pour configurer votre firewall PIX/ASA. Ce document suppose que l'administrateur a au-préalable configuré l'ensemble des interfaces nécessaires à savoir: une interface entrante pour le trafic provenant de l'utilisateur et une interface sortante pour le trafic destiné à Internet. L'administrateur utilisera l'une de ces deux interfaces pour communiquer avec la solution Olfeo. Si nécessaire l'administrateur pourra configurer une troisième interface qu'il dédiera à la communication avec la solution Olfeo. La liste des commandes suivantes est basée sur un Cisco ASA 5505 dont la version logicielle est Connectez vous sur le firewall Cisco ASA en ligne de commande. 2. Activez les commandes privilégiées. asa802> enable 3. Rentrez le mot de passe de l'administrateur. 4. Rentrez dans le mode de configuration du Cisco ASA. asa802> configure terminal 5. Ajoutez le serveur de filtrage Olfeo à la configuration. asa802(config)# url-server (interfaceolfeo) vendor websense host adresseipolfeo timeout 30 protocol TCP version 4 connections 5 Par exemple: asa802(config)# url-server (inside) vendor websense host timeout 30 protocol TCP version 4 connections 5 6. Définissez les règles de filtrage qui seront traitées par la solution Olfeo. asa802(config)# filter url numeroport adresseipsourceafiltrer masquereseauipsourceafiltrer adresseipsourceafiltrer masquereseauipdestinationafiltrer allow Avertissement: L'adresse ou le masque réseau signifie toutes les adresses Ip ou tous les masques réseaux. Le paramètre allow est optionnel et permet d'atuoriser le trafic lorsque la solution Olfeo est indisponible. Solution Olfeo / Guide d'intégration / 57

58 3 Réaliser son intégration Par exemple pour demander à la solution Olfeo de filtrer tout le trafic http: asa802(config)# filter url http allow 7. Configurez le nombre de réponses HTTP qui peuvent être mises en tampon pendant l'attente de la solution Olfeo. url-block block NombreDeBlockDuTampon Par exemple: asa802(config)# url-block block Configurez la mémoire à allouer au tampon de traitement des URLs. asa802(config)# url-block url-mempool memoireenkb Cette valeur s'échelonne de 2 KB à KB. Par exemple: asa802(config)# url-block url-mempool Sauvegardez la configuration. asa802(config)# copy running-config startup-config Réaliser une intégration capture Réaliser une intégration capture en coupure Afin de mettre en place un intégration capture en coupure vous devez disposer d'une Olfeo Box. La mise en place de l'intégration capture en coupure se réalise alors en deux étapes. La première étape consiste à mettre en place un pont réseau entre deux interfaces physiques de type bridge. La deuxième étape consiste à créer un mode d'intégration capture. Création du pont réseau 1. Rendez-vous à la page de configuration en suivant les menus[paramétrage] > [Réseau] > [Interfaces]. 2. Cliquez sur l'interface [br(x)] correspondant aux deux interfaces physiques utilisées sur votre Olfeo Box. Voici par exemple sur la façade de l'olfeo Box, les deux ports physiques utilisés par le pont br0: Section: Information 3. Activez la case à cocher [Activé]. Section: Configuration ipv4 4. Choisissez le mode de configuration IPv4 dans le champ [Mode]. Solution Olfeo / Guide d'intégration / 58

59 3 Réaliser son intégration [DHCP]: L'adresse IP du bridge sera envoyée par votre serveur DHCP. [STATIC]: Vous devrez dans ce cas saisir l'adresse IP, le masque de sous-réseau et l'adresse IP de la passerelle. [No adress]: Dans ce cas votre pont réseau fonctionnera au niveau 2 de la couche OSI et n'aura pas d'adresse IP d'attribuée. Remarque: L'intérêt d'avoir un pont réseau avec une adresse IP attribuée peut servir à économiser une interface réseau. En effet il est ainsi possible à l'administrateur d'accéder à la console d'administration Olfeo au travers de cette IP sans avoir à lui dédier une autre interface. Section: Configuration redirection 5. Dans la section Configuration de redirection saisissez " " dans le champ [port de redirection] afin de ne pas créer de redirection. 6. Cliquez sur le bouton [Valider] pour enregistrer les changements. Création de l'intégration capture 1. Rendez-vous à la page de configuration en suivant les menus[paramétrage] > [Architecture]. 2. Cliquez sur [Ajouter un mode d'intégration]. a) Saisissez un nom pour le nouveau mode d'intégration dans le champ [Libellé]. b) Choisissez [Je capture le réseau] dans le champ [Mode d'intégration]. 3. Cliquez sur le bouton [Suivant] pour passer à la fenêtre suivante. Section: Paramètres du connecteur 4. Choisissez l'interface du pont réseau br(x) ( par exemple br0) sur laquelle sera réalisée la capture dans le champ [Interface de capture]. 5. Choisissez l'interface réseau sur laquelle les trames de blocages seront émises dans le champ [Interface pour l'injection]. 6. Si vous capturez des paquets contenant des entêtes VLANs 802.1q et que vous souhaitez que ces entêtes soient émises dans les paquets d'injection, validez la case à cocher [Copier les en-têtes 802.1q dans les paquets injectés]. Avertissement: Vérifiez que vous avez bien positionné vos interfaces dans les VLANs correspondants. 7. Choisissez l'adresse MAC à utiliser lors de l'envoi des pages de blocage dans le champ [Source MAC]. Il vous faudra choisir entre les deux choix suivants: [Utiliser celle du routeur] vous permettra d'envoyer les paquets d'injection avec comme adresse MAC source l'adresse du routeur qui envoie le trafic à l'olfeo. Danger: Certains switchs considèrent le fait de voir la même adresse MAC (celle du routeur) circuler sur des interfaces différentes comme un comportement anormal du réseau ou une faille de sécurité. Afin de répondre à ce comportement anormal ou à la faille de sécurité, ils peuvent décider de bloquer les ports en question. Solution Olfeo / Guide d'intégration / 59

60 3 Réaliser son intégration [Interface pour l'injection] vous permettra d'envoyer les paquets d'injection avec comme adresse MAC source l'adresse de l'interface d'injection. Remarque: Cette solution n'est pas sujette à un blocage du switch car à la différence du choix précédent l'adresse MAC du routeur n'est pas utilisée. 8. Si vous souhaitez ignorer les flux HTTP et HTTPS, cliquez sur la case à cocher [Ignorer le trafic d'url (http/ https)]. 9. Si vous souhaitez ne pas effectuer de filtrage protocolaire, cliquez sur la case à cocher [Ignorer le trafic protocolaire]. 10. Cliquez sur le bouton [Terminer] pour enregistrer les changements. Réaliser une intégration capture par copie de trafic La mise en place de l'intégration capture par copie de trafic se réalise en deux étapes. La première étape consiste à configurer en mirroring un port du switch de votre réseau afin qu'il renvoie une copie du trafic du réseau des postes clients vers la solution Olfeo. La deuxième étape consiste à créer un mode d'intégration capture. Création de l'intégration capture 1. Si vous disposez d'une Olfeo Box, attribuez une adresse IP à l'interface choisie pour la capture en suivant les menus [Paramétrage] > [Réseau] > [Interfaces]. Avertissement: Dans le cas d'une appliance virtuelle ou d'une installation logicielle, l'administrateur devra avoir attribué une adresse IP à l'interface qui sera utilisée pour la capture. a) Cliquez sur le lien de l'interface que vous utiliserez pour la capture dans la colonne Interface. b) Activez l'interface en validant la case à cocher [Activé]. c) Choisissez le type de mode de configuration à attribuer à votre interface dans la liste déroulante [Mode]. Dans le cas d'une intégration par capture seules les deux options suivantes sont possibles: [DHCP]: Vous permet de configurer une adresse IP de manière automatique grâce au protocole DHCP. [Static]: Vous permet de configurer une adresse IP statique. Si vous choisissez cette option remplissez de plus les champs: [Adresse IP]. [Masque de sous-réseau]. [Passerelle]. 2. Rendez-vous à la page de configuration en suivant les menus [Paramétrage] > [Architecture]. 3. Cliquez sur [Ajouter un mode d'intégration]. a) Saisissez un nom pour le nouveau mode d'intégration dans le champ [Libellé]. b) Choisissez [Je capture le réseau] dans le champ [Mode d'intégration]. 4. Cliquez sur le bouton [Suivant] pour passer à la fenêtre suivante. Solution Olfeo / Guide d'intégration / 60

61 3 Réaliser son intégration Section: Paramètres du connecteur 5. Choisissez l'interface réseau sur laquelle sera réalisée la capture dans le champ [Interface de capture]. 6. Choisissez l'interface réseau sur laquelle les trames de blocages seront émises dans le champ [Interface pour l'injection]. 7. Si vous capturez des paquets contenant des entêtes VLANs 802.1q et que vous souhaitez que ces entêtes soient émises dans les paquets d'injection, validez la case à cocher [Copier les en-têtes 802.1q dans les paquets injectés]. Avertissement: Vérifiez que vous avez bien positionné vos interfaces dans les VLANs correspondants. 8. Choisissez l'adresse MAC à utiliser lors de l'envoi des pages de blocage dans le champ [Source MAC]. Il vous faudra choisir entre les deux choix suivants: [Utiliser celle du routeur] vous permettra d'envoyer les paquets d'injection avec comme adresse MAC source l'adresse du routeur qui envoie le trafic à l'olfeo. [Interface pour l'injection] vous permettra d'envoyer les paquets d'injection avec comme adresse MAC source l'adresse de l'interface d'injection. 9. Si vous souhaitez ignorer les flux HTTP et HTTPS, cliquez sur la case à cocher [Ignorer le trafic d'url (http/ https)]. 10. Si vous souhaitez ne pas effectuer de filtrage protocolaire, cliquez sur la case à cocher [Ignorer le trafic protocolaire]. 11. Cliquez sur le bouton [Terminer] pour enregistrer les changements. Solution Olfeo / Guide d'intégration / 61

62

63 Chapitre 4 Mettre en place l'authentification/identification Sujets : Mettre en place une authentification transparente Mettre en place authentification annuaire LDAP Mettre en place une authentification par portail captif Mettre en place une authentification par portail public Mettre en place une identification transparente Mettre en place une identification capture en coupure Mettre en place une identification capture par copie de trafic

64 4 Mettre en place l'authentification/identification Mettre en place une authentification transparente Ajouter un annuaire Active Directory et provisionner les utilisateurs Provisionner les utilisateurs de l'annuaire permet d'identifier l'ensemble des utilisateurs auxquels il sera possible d'appliquer une règle de filtrage ou des statistiques. 1. Rendez-vous à la page de paramétrage des annuaires en suivant les menus [Paramétrage] > [Authentification] > [Annuaires]. 2. Cliquez sur [Ajouter un annuaire]. Section: Configurer l'annuaire 3. Saisissez un nom dans le champ [Libellé de l'annuaire]. Section: Connexion 4. Choisissez Active Directory dans la liste [Type LDAP]. 5. Saisissez l'adresse IPv4 ou le nom dns de l'annuaire dans le champ [Hôtes]. 6. Si vous souhaitez que les échanges avec l'annuaire utilisent le protocole LDAP sur une connexion SSL validez la case à cocher [LDAPs]. 7. Si vous voulez que les groupes et utilisateurs soient synchronisés en une seule requête, activez la case à cocher [Désactiver la pagination]. Remarque: Par défaut Olfeo utilise un mode de réponse paginée pour la synchronisation des utilisateurs et des groupes. Olfeo recommande de garder le mode de pagination activé, ce mode étant plus approprié pour la synchronisation avec de larges annuaires d'entreprise. 8. Saisissez le port d'écoute de l'annuaire sur la machine hôte spécifiée. Remarque: Le port par défaut pour les annuaires LDAP est Cliquez sur [Tester et récupérer la basedn]. Cette action permettra non seulement de tester la connexion à l'annuaire mais aussi de récupérer la base DN. En cas de succès: Le texte Connection Success apparaitra à la droite du bouton [Tester et récupérer la basedn]. Le champ [Base DN] se remplira avec les informations récupérées dans la base DN. 10. Saisissez le login de l'utilisateur autorisé à se connecter à l'annuaire dans le champ [Bind DN]. Avertissement: Un Bind DN s'écrit selon la syntaxe: Par exemple: Solution Olfeo / Guide d'intégration / 64

65 4 Mettre en place l'authentification/identification 11. Saisissez le mot de passe de l'utilisateur autorisé à se connecter à l'annuaire dans le champ [Mot de passe]. 12. Cliquez sur [Terminer] pour enregistrer le paramétrage de la connexion à l'annuaire. Résultat: La page est rechargée. Section: Connexion 13. Si vous souhaitez spécifier un timeout pour l'attente de la réponse de l'annuaire saisissez en secondes le temps maximum d'attente dans le champ [Temporisation]. Par exemple: 60 secondes 14. Si vous souhaitez planifier la synchronisation de votre annuaire cochez la case [Planification] et ensuite saisissez l'heure ou un délai de synchronisation. Exemple de synchronisation chaque nuit à 01h05: 01 : 05 Exemple de synchronisation toutes les 15 minutes entre 01h00 et 02h00: 01 : */15 Exemple de synchronisation toutes les 30 minutes pour toutes les heures: * : */30 Pour information la syntaxe utilisée est la même que celle utilisée par crontab. Veuillez vous référer à la page de manuel de crontab pour plus d'informations. Section: Domaine Cette section est spécifique aux domaines Microsoft Active Directory. Ces champs sont nécessaires pour joindre votre solution Olfeo à votre domaine Active Directory, et donc pour la mise en oeuvre des méthodes d'authentification reposants sur Kerberos et NTLM. 15. Saisissez le nom de votre domaine Active Directory dans le champ [Domaine]. Par exemple: labs.mycompany.com 16. Saisissez en MAJUSCULES le nom Netbios de votre domaine dans le champ [Workgroup]. Par exemple: LABS 17. Si vous utilisez un serveur NTP distinct du serveur Active Directory validez la case à cocher [Utiliser un serveur NTP distinct]. Avertissement: La configuration du serveur NTP devra être réalisée dans le champ Serveurs NTP grâce au menu [Paramétrage] > [Système] > [Date]. 18. Si vous utilisez un serveur DNS distinct du serveur Active Directory validez la case à cocher [Utiliser un serveur DNS distinct]. Section: Options avancées des groupes 19. Si vous souhaitez spécifier une partie de l'annuaire sur laquelle effectuer la synchronisation des groupes saisissez sa base DN dans le champ [Base DN des groupes]. Par exemple: ou=siege, o=masociete, c=fr 20. Si vous souhaitez spécifier quel objectclass LDAP est utilisé pour représenter les groupes dans l'annuaire saisissez celui-ci dans le champ [Classe des groupes]. Par exemple: organizationalunit 21. Si vous souhaitez spécifier l'attribut LDAP contenant le libellé des groupes. Il peut être nécessaire de spécifier cet attribut si le libellé des groupes dans les objets groupes n'est pas l'attribut standard CN. Par exemple: name Solution Olfeo / Guide d'intégration / 65

66 4 Mettre en place l'authentification/identification 22. Si vos groupes sont aussi des unités organisationnelles validez la case à cocher [Les groupes sont des conteneurs]. Les groupes synchronisés seront donc des objets ayant cette propriété. 23. Si les groupes d'appartenance d'un utilisateur sont définis comme un attribut des utilisateurs, validez la case à cocher [Les groupes sont un attribut de l'utilisateur]. Bien que disponible cette option est très rarement utilisée car il est plus normal de se reposer sur une arborescence classique des utilisateurs et de leurs groupes d'appartenance. 24. Si vous souhaitez spécifier un attribut des objets groupes à utiliser dans les statistiques Olfeo saisissez le dans le champ [Attribut LDAP pour le libellé]. Section: Options avancées des utilisateurs 25. Si vous souhaitez restreindre l'arborescence de l'annuaire sur laquelle la synchronisation des utilisateurs sera effectuée, saisissez la base DN correspondante dans le champ [Base DN des utilisateurs]. 26. Si votre annuaire contient le nom de la politique Olfeo à appliquer dans un attribut de l'objet utilisateur, saisissez le nom de l'attribut correspondant dans le champ [Attribut de l'identifiant de politique]. 27. Si vous souhaitez utiliser une classe d'objet pour spécifier les utilisateurs à synchroniser dans l'annuaire, saisissez la classe de l'objet utilisée dans le champ Classe des utilisateurs. 28. Si vous souhaitez utiliser un attribut LDAP comme clé primaire afin d'assurer que les utilisateurs sont identifiés de manière unique dans Olfeo, saisissez l'attribut utilisé dans le champ [Attribut LDAP pour la clé primaire]. 29. Si vous souhaitez utiliser un attribut LDAP spécifique pour le login 30. Si vous souhaitez spécifier l'attribut utilisateur contenant le libellé de l'utilisateur, saisissez l'attribut utilisé dans le champ [Attribut LDAP pour le libellé]. Section: Groupes 31. Cliquez sur le bouton [Synchroniser les groupes disponibles] pour obtenir la liste des groupes disponibles dans votre annuaire en fonction des critères avancés définis dans les cadres précédents. 32. Sélectionnez les groupes à utiliser pour la synchronisation des utilisateurs dans les groupes disponibles et ajoutez les dans la liste des [Groupes synchronisés]. Pour ajouter ou supprimer un groupe utilisez le bouton ou le bouton. 33. Positionnez la priorité de synchronisation des groupes en contrôlant leurs positions dans la liste [Groupes synchronisés]. Pour positionner la priorité de synchronisation, sélectionnez un groupe et utilisez les boutons déplacer dans la liste. ou pour le Avertissement: L'ordre de synchronisation des groupes est important car un utilisateur peut appartenir à plusieurs groupes de l'annuaire. Section: Liste des utilisateurs 34. Provisionnez les utilisateurs des groupes sélectionnés dans la liste des [Groupes synchronisés] grâce au bouton [Synchroniser les utilisateurs]. Résultat: Un message vous indique le nombre d'utilisateurs synchronisés. 35. Cliquez sur le bouton [Valider] pour enregistrer les changements. Solution Olfeo / Guide d'intégration / 66

67 4 Mettre en place l'authentification/identification Joindre la solution Olfeo au domaine Windows Joindre la solution Olfeo au domaine permet que les informations de sécurité des utilisateurs soient constamment synchronisés avec le serveur de domaine principal. Pour joindre la solution Olfeo au domaine vous devez posséder un compte utilisateur dans le domaine auquel vous voulez joindre l'ordinateur. Avertissement: Attention si vous devez intégrer deux machines Olfeo au domaine Windows comme c'est par exemple le cas dans un cluster Olfeo, veuillez vérifier que vos deux machines utilisent des noms différents! Le nom utilisé par votre machine Olfeo apparait dans le menu [Paramétrage] > [Réseau] > [Serveur]. Si vous souhaitez modifier le nom de votre machine utilisez la procédure du Guide d'installation Olfeo. 1. Rendez-vous à la page permettant de rejoindre un domaine Windows en suivant les menus [Paramétrage] > [Authentification] > [Joindre le domaine Windows]. Section: Authentification 2. Sélectionnez l'annuaire Active Directory à joindre dans la liste [Serveurs Active Directory]. 3. Saisissez le login possédant les privilèges nécessaires pour ajouter la solution Olfeo au domaine dans le champ [Login]. Avertissement: La syntaxe à utiliser est: Par exemple: 4. Saisissez le mot de passe de l'utilisateur dans le champ [Mot de passe]. 5. Cliquez sur le bouton [Joindre le domaine]. Avertissement: La solution Olfeo ne peut faire partie que d'un seul Domaine Windows à un instant t. Assurez vous donc de mettre en place les bonnes relations d'approbation entre domaines si vous devez identifier des utilisateurs appartenant à des domaines différents. Résultat: Le message d'état [Status] apparait précisant le nom du serveur LDAP auquel s'est joint à la solution Olfeo. Ajouter une authentification transparente au proxy HTTP ou FTP over HTTP 1. Rendez-vous à la page permettant de configurer l'authentification d'un proxy en suivant les menus [Proxy cache QoS] > [HTTP] > [Authentification]. Section: Module 2. Choisissez dans le type d'authentification à utiliser pour le proxy HTTP dans le menu [Mode d'authentification]. La liste des choix possibles pour réaliser authentification transparente est: [NTLM (Active Directory)]: Le proxy HTTP Olfeo supporte la méthode d'authentification NTLM over HTTP spécifiée par Microsoft. Cette méthode nécessite l'utilisation d'un annuaire Microsoft ActiveDirectory 2003 ou supérieur. [Kerberos]: Ce type d'authentification permet d'utiliser l'authentification Kerberos Microsoft auprès d'un annuaire ActiveDirectory Solution Olfeo / Guide d'intégration / 67

68 4 Mettre en place l'authentification/identification [Kerberos 2008]: Ce mode d'authentification est identique au mode Kerberos mais s'applique à un annuaire ActiveDirectory 2008 ou de version supérieure. 3. Modifiez éventuellement le nombre de processus d'authentification instanciés dans le champ [Nombre d'instances]. Le nombre d'instances correspond au nombre de demandes d'authentifications qui peuvent être traitées en parallèle à un instant donné. Le nombre d'instances par défaut: 15 Section: Règles 4. Dans la section [Règle] sélectionnez la règle qui sera appliquée par défaut dans la liste [Par défaut]. Voici les différents choix possibles: [Pas d'authentification]: Dans ce cas aucune demande authentification ne sera réalisée pour la règle nouvellement crée. [ip2login]: ip2login est un mécanisme intégré dans la solution Olfeo permettant de mémoriser l'adresse IP d'une machine avec laquelle une authentification a déjà été réalisée. [Authentification]: Dans ce cas le proxy réalisera une authentification à l'aide du protocole choisit à l'étape 2. Avertissement: L'action par défaut est d'authentifier les utilisateurs. Si vous ne souhaitez pas authentifier vos utilisateurs, sélectionnez [Pas d'authentification]. 5. Ajoutez une règle d'authentification grâce au bouton. 6. Dans la règle nouvellement créée, cliquez sur le lien de la colonne Sources si vous souhaitez restreindre ce champ à un groupe précis. a) A l'aide du menu Sélectionner choisissez le type de sources à utiliser. Si vous choisissez une source de type [Plages d'ips] ajoutez ensuite une plage d'adresse IP grâce au bouton Pour finir saisissez les informations concernant votre plage, à savoir: Une adresse IP de début. Une adresse IP de fin. Une description de la plage d'adresse.. b) Cliquez sur le bouton [Valider] pour enregistrer les changements. 7. Dans la règle nouvellement créée, cliquez sur le lien de la colonne User-Agent pour spécifier le type d'applications clientes sur laquelle la règle d'authentification s'applique. Remarque: Dans cette fenêtre vous pouvez désactiver l'authentification des clients http ne supportant pas l'authentification. a) Dans la colonne Actif validez les cases à cocher des expressions rationnelles correspondant aux applications choisies. Par exemple: Appareils mobile ou Applications Java. b) Cliquez sur le bouton [Valider] pour enregistrer les changements. 8. Dans la règle nouvellement créée, cliquez sur le lien de la colonne Ports du proxy pour spécifier le ou les ports du proxy sur laquelle la règle d'authentification s'applique. a) Sélectionnez les ports du proxy concernés dans la colonne Port. Solution Olfeo / Guide d'intégration / 68

69 4 Mettre en place l'authentification/identification b) Cliquez sur le bouton [Valider] pour enregistrer les changements. 9. Dans la règle nouvellement créée, cliquez sur le lien de la colonne Destination a) Sélectionnez le type de destination à traiter dans le menu [Sélectionner]. Si vous avez choisi [URL (regex)] saisissez une expression régulière regex dans le champ [URL]. Si vous avez choisi [Liste d'urls] validez vos listes d'urls dans la colonne [Libellé]. 10. Dans la règle nouvellement créée, cliquez sur le lien de la colonne Authentification. a) Sélectionnez le type d'authentification à traiter dans la colonne Libellé. Voici les différents choix possibles: [Pas d'authentification]: Dans ce cas aucune demande authentification ne sera réalisée pour la règle nouvellement crée. [ip2login]: ip2login est un mécanisme intégré dans la solution Olfeo permettant de mémoriser l'adresse IP d'une machine avec laquelle une authentification a déjà été réalisée. [Authentification]: Dans ce cas le type d'authentification par défaut définit préalablement. 11. Positionnez l'ordre de priorité dans lequel vous souhaitez que votre règle soit exécutée grâce aux flèches et. 12. Dans la colonne Actif, vérifiez que la règle ajoutée est bien active. Une règle active se présente grâce à l'icône:. 13. Cliquez sur le bouton [Valider] pour enregistrer les changements. Mettre en place authentification annuaire LDAP Ajouter un annuaire LDAP et provisionner les utilisateurs 1. Rendez-vous à la page de paramétrage des annuaires en suivant les menus [Paramétrage] > [Authentification] > [Annuaires]. 2. Cliquez sur [Ajouter un annuaire]. Section: Configurer l'annuaire 3. Saisissez un nom dans le champ [Libellé de l'annuaire]. Section: Connexion 4. Choisissez le type d'annuaire que vous utilisez dans la liste [Type LDAP]. Remarque: Si vous disposez d'un annuaire OpenLdap veuillez choisir [Autre annuaire]. 5. Saisissez l'adresse IPv4 ou le nom dns de l'annuaire dans le champ [Hôtes]. 6. Si vous souhaitez que les échanges avec l'annuaire utilisent le protocole LDAP sur une connexion SSL validez la case à cocher [LDAPs]. Solution Olfeo / Guide d'intégration / 69

70 4 Mettre en place l'authentification/identification 7. Si vous voulez que les groupes et utilisateurs soient synchronisés en une seule requête, activez la case à cocher [Désactiver la pagination]. Remarque: Par défaut Olfeo utilise un mode de réponse paginée pour la synchronisation des utilisateurs et des groupes. Olfeo recommande de garder le mode de pagination activé, ce mode étant plus approprié pour la synchronisation avec de larges annuaires d'entreprise. 8. Saisissez le port d'écoute de l'annuaire sur la machine hôte spécifiée. Remarque: Le port par défaut pour les annuaires LDAP est Cliquez sur [Tester et récupérer la basedn]. Cette action permettra non seulement de tester la connexion à l'annuaire mais aussi de récupérer la Base DN à la page 115. En cas de succès: Le texte Connection Success apparaitra à la droite du bouton [Tester et récupérer la basedn]. Le champ [Base DN] se remplira avec les informations récupérées dans la base DN. 10. Saisissez le login de l'utilisateur autorisé à se connecter à l'annuaire dans le champ [Bind DN]. Avertissement: Un Bind DN LDAP s'écrit selon la syntaxe: CN=admin,DC=olfeo-test,DC=lab 11. Saisissez le mot de passe de l'utilisateur autorisé à se connecter à l'annuaire dans le champ [Mot de passe]. 12. Cliquez sur [Terminer] pour enregistrer le paramétrage de la connexion à l'annuaire. Résultat: La page est rechargée. Section: Connexion 13. Si vous souhaitez spécifier un timeout pour l'attente de la réponse de l'annuaire saisissez en secondes le temps maximum d'attente dans le champ [Temporisation]. Par exemple: 60 secondes 14. Si vous souhaitez planifier la synchronisation de votre annuaire cochez la case [Planification] et ensuite saisissez l'heure ou un délai de synchronisation. Exemple de synchronisation chaque nuit à 01h05: 01 : 05 Exemple de synchronisation toutes les 15 minutes entre 01h00 et 02h00: 01 : */15 Exemple de synchronisation toutes les 30 minutes pour toutes les heures: * : */30 Pour information la syntaxe utilisée est la même que celle utilisée par crontab. Veuillez vous référer à la page de manuel de crontab pour plus d'informations. Section: Options avancées des groupes 15. Si vous souhaitez spécifier une partie de l'annuaire sur laquelle effectuer la synchronisation des groupes saisissez sa base DN dans le champ [Base DN des groupes]. Par exemple: ou=siege, o=masociete, c=fr Solution Olfeo / Guide d'intégration / 70

71 4 Mettre en place l'authentification/identification 16. Si vous souhaitez spécifier quel objectclass LDAP est utilisé pour représenter les groupes dans l'annuaire saisissez celui-ci dans le champ [Classe des groupes]. Par exemple: organizationalunit 17. Si vous souhaitez spécifier l'attribut LDAP contenant le libellé des groupes. Il peut être nécessaire de spécifier cet attribut si le libellé des groupes dans les objets groupes n'est pas l'attribut standard CN. Par exemple: name 18. Si vos groupes sont aussi des unités organisationnelles validez la case à cocher [Les groupes sont des conteneurs]. Les groupes synchronisés seront donc des objets ayant cette propriété. 19. Si les groupes d'appartenance d'un utilisateur sont définis comme un attribut des utilisateurs, validez la case à cocher [Les groupes sont un attribut de l'utilisateur]. Bien que disponible cette option est très rarement utilisée car il est plus normal de se reposer sur une arborescence classique des utilisateurs et de leurs groupes d'appartenance. 20. Si vous souhaitez spécifier un attribut des objets groupes à utiliser dans les statistiques Olfeo saisissez le dans le champ [Attribut LDAP pour le libellé]. Section: Options avancées des utilisateurs 21. Si vous souhaitez restreindre l'arborescence de l'annuaire sur laquelle la synchronisation des utilisateurs sera effectuée, saisissez la base DN correspondante dans le champ [Base DN des utilisateurs]. 22. Si votre annuaire contient le nom de la politique Olfeo à appliquer dans un attribut de l'objet utilisateur, saisissez le nom de l'attribut correspondant dans le champ [Attribut de l'identifiant de politique]. 23. Si vous souhaitez utiliser une classe d'objet pour spécifier les utilisateurs à synchroniser dans l'annuaire, saisissez la classe de l'objet utilisée dans le champ Classe des utilisateurs. 24. Si vous souhaitez utiliser un attribut LDAP comme clé primaire afin d'assurer que les utilisateurs sont identifiés de manière unique dans Olfeo, saisissez l'attribut utilisé dans le champ [Attribut LDAP pour la clé primaire]. 25. Si vous souhaitez utiliser un attribut LDAP spécifique pour le login 26. Si vous souhaitez spécifier l'attribut utilisateur contenant le libellé de l'utilisateur, saisissez l'attribut utilisé dans le champ [Attribut LDAP pour le libellé]. Section: Groupes 27. Cliquez sur le bouton [Synchroniser les groupes disponibles] pour obtenir la liste des groupes disponibles dans votre annuaire en fonction des critères avancés définis dans les cadres précédents. 28. Sélectionnez les groupes à utiliser pour la synchronisation des utilisateurs dans les groupes disponibles et ajoutez les dans la liste des [Groupes synchronisés]. Pour ajouter ou supprimer un groupe utilisez le bouton ou le bouton. 29. Positionnez la priorité de synchronisation des groupes en contrôlant leurs positions dans la liste [Groupes synchronisés]. Pour positionner la priorité de synchronisation, sélectionnez un groupe et utilisez les boutons déplacer dans la liste. ou pour le Avertissement: L'ordre de synchronisation des groupes est important car un utilisateur peut appartenir à plusieurs groupes de l'annuaire. Solution Olfeo / Guide d'intégration / 71

72 4 Mettre en place l'authentification/identification Section: Liste des utilisateurs 30. Provisionnez les utilisateurs des groupes sélectionnés dans la liste des [Groupes synchronisés] grâce au bouton [Synchroniser les utilisateurs]. Résultat: Un message vous indique le nombre d'utilisateurs synchronisés. 31. Cliquez sur le bouton [Valider] pour enregistrer les changements. Créer une zone d'authentification Pour une population donnée il peut parfois exister plusieurs possibilités d'authentification. Dans la solution Olfeo vous pouvez regrouper l'ensemble de ces possibilités d'authentification au sein d'une "zone". Une zone contient ainsi la liste des possibilités d'authentification à interroger de manière séquentielle. 1. Rendez-vous à la page permettant de configurer des zone en suivant les menus [Paramétrage] > [Authentification] > [Modes]. Section: Mode d'authentification 2. Saisissez un nom pour la nouvelle liste d'urls dans le champ [Libellé]. 3. Saisissez une description dans le champ [Description]. Section: Propriétés 4. Dans la section Propriétés ajoutez une possibilité d'authentification grâce au bouton. 5. Dans l'entrée nouvellement créée, cliquez sur le lien de la colonne [Type de module]. a) Sélectionnez le type d'authentification que vous souhaitez utiliser dans le menu [Sélectionner un type de module]. b) En fonction du choix précédent saisissez la méthode d'authentification à utiliser. Si vous avez choisi LDAP sélectionnez l'annuaire à utiliser dans le champ [Sélectionner un annuaire]. Si vous avez choisi un compte invité saisissez le nom de l'identifiant dans le champ [Identifiant de l'utilisateur]. c) Cliquez sur le bouton [Valider] pour enregistrer les changements. 6. Effectuez les étapes 4 à 5 autant de fois que nécessaires pour constituer votre zone d'authentification. 7. Cliquez sur le bouton [Créer] pour enregistrer les changements. Ajouter une authentification LDAP au proxy HTTP ou FTP over HTTP 1. Rendez-vous à la page permettant de configurer l'authentification d'un proxy en suivant les menus [Proxy cache QoS] > [HTTP] > [Authentification]. Section: Module 2. Choisissez dans le type d'authentification à utiliser pour le proxy HTTP dans le menu [Mode d'authentification]. Pour réaliser une authentification LDAP est: Solution Olfeo / Guide d'intégration / 72

73 4 Mettre en place l'authentification/identification [Basic - zone d'auth]: Ce mode d'authentification nécessite l'utilisation des zones d'authentification Olfeo. Suivant le nombre de zones d'authentifications configurées un ou plusieurs modes d'authentifications basiques seront disponibles. Remarque: En mode d'authentification basique, le proxy réclamera une authentification à chaque navigation. La mise en cache par le navigateur client des identifiants de sécurité permettra une demande d'authentification par pop-up unique lors de la première navigation ou si les identifiants de sécurités ont expirés. 3. Modifiez éventuellement le nombre de processus d'authentification instanciés dans le champ [Nombre d'instances]. Le nombre d'instances correspond au nombre de demandes d'authentifications qui peuvent être traitées en parallèle à un instant donné. Le nombre d'instances par défaut: 15 Section: Règles 4. Dans la section [Règle] sélectionnez la règle qui sera appliquée par défaut dans la liste [Par défaut]. Voici les différents choix possibles: [Pas d'authentification]: Dans ce cas aucune demande authentification ne sera réalisée pour la règle nouvellement crée. [ip2login]: ip2login est un mécanisme intégré dans la solution Olfeo permettant de mémoriser l'adresse IP d'une machine avec laquelle une authentification a déjà été réalisée. [Authentification]: Dans ce cas le proxy réalisera une authentification à l'aide du protocole choisit à l'étape 2. Avertissement: L'action par défaut est d'authentifier les utilisateurs. Si vous ne souhaitez pas authentifier vos utilisateurs, sélectionnez [Pas d'authentification]. 5. Ajoutez une règle d'authentification grâce au bouton. 6. Dans la règle nouvellement créée, cliquez sur le lien de la colonne Sources si vous souhaitez restreindre ce champ à un groupe précis. a) A l'aide du menu Sélectionner choisissez le type de sources à utiliser. Si vous choisissez une source de type [Plages d'ips] ajoutez ensuite une plage d'adresse IP grâce au bouton Pour finir saisissez les informations concernant votre plage, à savoir: Une adresse IP de début. Une adresse IP de fin. Une description de la plage d'adresse.. b) Cliquez sur le bouton [Valider] pour enregistrer les changements. 7. Dans la règle nouvellement créée, cliquez sur le lien de la colonne User-Agent pour spécifier le type d'applications clientes sur laquelle la règle d'authentification s'applique. Remarque: Dans cette fenêtre vous pouvez désactiver l'authentification des clients http ne supportant pas l'authentification. a) Dans la colonne Actif validez les cases à cocher des expressions rationnelles correspondant aux applications choisies. Solution Olfeo / Guide d'intégration / 73

74 4 Mettre en place l'authentification/identification Par exemple: Appareils mobile ou Applications Java. b) Cliquez sur le bouton [Valider] pour enregistrer les changements. 8. Dans la règle nouvellement créée, cliquez sur le lien de la colonne Ports du proxy pour spécifier le ou les ports du proxy sur laquelle la règle d'authentification s'applique. a) Sélectionnez les ports du proxy concernés dans la colonne Port. b) Cliquez sur le bouton [Valider] pour enregistrer les changements. 9. Dans la règle nouvellement créée, cliquez sur le lien de la colonne Destination a) Sélectionnez le type de destination à traiter dans le menu [Sélectionner]. Si vous avez choisi [URL (regex)] saisissez une expression régulière regex dans le champ [URL]. Si vous avez choisi [Liste d'urls] validez vos listes d'urls dans la colonne [Libellé]. 10. Dans la règle nouvellement créée, cliquez sur le lien de la colonne Authentification. a) Sélectionnez le type d'authentification à traiter dans la colonne Libellé. Voici les différents choix possibles: [Pas d'authentification]: Dans ce cas aucune demande authentification ne sera réalisée pour la règle nouvellement crée. [ip2login]: ip2login est un mécanisme intégré dans la solution Olfeo permettant de mémoriser l'adresse IP d'une machine avec laquelle une authentification a déjà été réalisée. [Authentification]: Dans ce cas le type d'authentification par défaut définit préalablement. 11. Positionnez l'ordre de priorité dans lequel vous souhaitez que votre règle soit exécutée grâce aux flèches et. 12. Dans la colonne Actif, vérifiez que la règle ajoutée est bien active. Une règle active se présente grâce à l'icône:. 13. Cliquez sur le bouton [Valider] pour enregistrer les changements. Ajouter un authentification au proxy FTP ou SOCKS 1. Rendez-vous à la page permettant de configurer l'authentification d'un proxy FTP en suivant les menus [Proxy cache QoS] > [FTP] > [Authentification] ou d'un proxy SOCKS en suivant les menus [Proxy cache QoS] > [SOCKS] > [Authentification]. 2. Ajoutez une règle d'authentification grâce au bouton. 3. Dans la règle nouvellement créée, cliquez sur le lien de la colonne Plage horaire puis sélectionnez la plage horaire à utiliser en cliquant sur le lien de la colonne [Libellé]. Remarque: Vous pouvez créer des plages horaires spécifiques en vous rendant à la page [Charte] > [Plages horaires]. 4. Dans la règle nouvellement créée, cliquez sur le lien de la colonne Sources. a) A l'aide du menu Sélectionner choisissez le type de sources à utiliser. Solution Olfeo / Guide d'intégration / 74

75 4 Mettre en place l'authentification/identification Si vous choisissez une source de type [Plages d'ips] ajoutez ensuite une plage d'adresse IP grâce au bouton Pour finir saisissez les informations concernant votre plage, à savoir: Une adresse IP de début. Une adresse IP de fin. Une description de la plage d'adresse.. b) Cliquez sur le bouton [Valider] pour enregistrer les changements. 5. Dans la règle nouvellement créée, cliquez sur le lien de la colonne Zone pour spécifier la zone d'authentification à appliquer. a) Dans la colonne [Actif] validez la colonne des expressions rationnelles correspondant aux applications choisies. Par exemple: Appareils mobiles ou Applications Java. b) Cliquez sur le bouton [Valider] pour enregistrer les changements. 6. Dans la règle nouvellement créée, cliquez sur le lien de la colonne Ports du proxy pour spécifier le ou les ports du proxy sur laquelle la règle d'authentification s'applique. a) Sélectionnez les ports du proxy concernés dans la colonne [Port]. b) Cliquez sur le bouton [Valider] pour enregistrer les changements. 7. Dans la règle nouvellement créée, cliquez sur le lien de la colonne Destination a) Sélectionnez le type de destination à traiter dans le menu [Sélectionner]. Si vous avez choisi [URL (regex)] saisissez une expression régulière regex dans le champ [URL]. Si vous avez choisi [Liste d'urls] validez vos listes d'urls dans la colonne [Libellé]. 8. Dans la règle nouvellement créée, cliquez sur le lien de la colonne Authentification. a) Sélectionnez le type d'authentification à traiter dans la colonne [Libellé]. Voici les différents choix possibles: [Pas d'authentification]: Dans ce cas aucune demande authentification ne sera réalisée pour la règle nouvellement crée. [ip2login]: ip2login est un mécanisme intégré dans la solution Olfeo permettant de mémoriser l'adresse IP d'une machine avec laquelle une authentification a déjà été réalisée. [Authentification]: Dans ce cas le type d'authentification par défaut définit préalablement. 9. Positionnez l'ordre de priorité dans lequel vous souhaitez que votre règle soit exécutée grâce aux flèches et. 10. Dans la colonne Actif, vérifiez que la règle ajoutée est bien active. Une règle active se présente grâce à l'icône:. 11. Cliquez sur le bouton [Valider] pour enregistrer les changements. Configurer le poste client Dans le cas d'une intégration proxy, une configuration du poste client est nécessaire pour qu'il fonctionne avec la solution Olfeo. Pour cela saisissez dans les paramètres proxy des applications clientes: L'adresse IP de la solution Olfeo. Le port du proxy Olfeo (3129 par défaut). Solution Olfeo / Guide d'intégration / 75

76 4 Mettre en place l'authentification/identification Mettre en place une authentification par portail captif Ajouter un annuaire Ajouter un annuaire LDAP et provisionner les utilisateurs 1. Rendez-vous à la page de paramétrage des annuaires en suivant les menus [Paramétrage] > [Authentification] > [Annuaires]. 2. Cliquez sur [Ajouter un annuaire]. Section: Configurer l'annuaire 3. Saisissez un nom dans le champ [Libellé de l'annuaire]. Section: Connexion 4. Choisissez le type d'annuaire que vous utilisez dans la liste [Type LDAP]. Remarque: Si vous disposez d'un annuaire OpenLdap veuillez choisir [Autre annuaire]. 5. Saisissez l'adresse IPv4 ou le nom dns de l'annuaire dans le champ [Hôtes]. 6. Si vous souhaitez que les échanges avec l'annuaire utilisent le protocole LDAP sur une connexion SSL validez la case à cocher [LDAPs]. 7. Si vous voulez que les groupes et utilisateurs soient synchronisés en une seule requête, activez la case à cocher [Désactiver la pagination]. Remarque: Par défaut Olfeo utilise un mode de réponse paginée pour la synchronisation des utilisateurs et des groupes. Olfeo recommande de garder le mode de pagination activé, ce mode étant plus approprié pour la synchronisation avec de larges annuaires d'entreprise. 8. Saisissez le port d'écoute de l'annuaire sur la machine hôte spécifiée. Remarque: Le port par défaut pour les annuaires LDAP est Cliquez sur [Tester et récupérer la basedn]. Cette action permettra non seulement de tester la connexion à l'annuaire mais aussi de récupérer la Base DN à la page 115. En cas de succès: Le texte Connection Success apparaitra à la droite du bouton [Tester et récupérer la basedn]. Le champ [Base DN] se remplira avec les informations récupérées dans la base DN. 10. Saisissez le login de l'utilisateur autorisé à se connecter à l'annuaire dans le champ [Bind DN]. Solution Olfeo / Guide d'intégration / 76

77 4 Mettre en place l'authentification/identification Avertissement: Un Bind DN LDAP s'écrit selon la syntaxe: CN=admin,DC=olfeo-test,DC=lab 11. Saisissez le mot de passe de l'utilisateur autorisé à se connecter à l'annuaire dans le champ [Mot de passe]. 12. Cliquez sur [Terminer] pour enregistrer le paramétrage de la connexion à l'annuaire. Résultat: La page est rechargée. Section: Connexion 13. Si vous souhaitez spécifier un timeout pour l'attente de la réponse de l'annuaire saisissez en secondes le temps maximum d'attente dans le champ [Temporisation]. Par exemple: 60 secondes 14. Si vous souhaitez planifier la synchronisation de votre annuaire cochez la case [Planification] et ensuite saisissez l'heure ou un délai de synchronisation. Exemple de synchronisation chaque nuit à 01h05: 01 : 05 Exemple de synchronisation toutes les 15 minutes entre 01h00 et 02h00: 01 : */15 Exemple de synchronisation toutes les 30 minutes pour toutes les heures: * : */30 Pour information la syntaxe utilisée est la même que celle utilisée par crontab. Veuillez vous référer à la page de manuel de crontab pour plus d'informations. Section: Options avancées des groupes 15. Si vous souhaitez spécifier une partie de l'annuaire sur laquelle effectuer la synchronisation des groupes saisissez sa base DN dans le champ [Base DN des groupes]. Par exemple: ou=siege, o=masociete, c=fr 16. Si vous souhaitez spécifier quel objectclass LDAP est utilisé pour représenter les groupes dans l'annuaire saisissez celui-ci dans le champ [Classe des groupes]. Par exemple: organizationalunit 17. Si vous souhaitez spécifier l'attribut LDAP contenant le libellé des groupes. Il peut être nécessaire de spécifier cet attribut si le libellé des groupes dans les objets groupes n'est pas l'attribut standard CN. Par exemple: name 18. Si vos groupes sont aussi des unités organisationnelles validez la case à cocher [Les groupes sont des conteneurs]. Les groupes synchronisés seront donc des objets ayant cette propriété. 19. Si les groupes d'appartenance d'un utilisateur sont définis comme un attribut des utilisateurs, validez la case à cocher [Les groupes sont un attribut de l'utilisateur]. Bien que disponible cette option est très rarement utilisée car il est plus normal de se reposer sur une arborescence classique des utilisateurs et de leurs groupes d'appartenance. 20. Si vous souhaitez spécifier un attribut des objets groupes à utiliser dans les statistiques Olfeo saisissez le dans le champ [Attribut LDAP pour le libellé]. Section: Options avancées des utilisateurs 21. Si vous souhaitez restreindre l'arborescence de l'annuaire sur laquelle la synchronisation des utilisateurs sera effectuée, saisissez la base DN correspondante dans le champ [Base DN des utilisateurs]. 22. Si votre annuaire contient le nom de la politique Olfeo à appliquer dans un attribut de l'objet utilisateur, saisissez le nom de l'attribut correspondant dans le champ [Attribut de l'identifiant de politique]. Solution Olfeo / Guide d'intégration / 77

78 4 Mettre en place l'authentification/identification 23. Si vous souhaitez utiliser une classe d'objet pour spécifier les utilisateurs à synchroniser dans l'annuaire, saisissez la classe de l'objet utilisée dans le champ Classe des utilisateurs. 24. Si vous souhaitez utiliser un attribut LDAP comme clé primaire afin d'assurer que les utilisateurs sont identifiés de manière unique dans Olfeo, saisissez l'attribut utilisé dans le champ [Attribut LDAP pour la clé primaire]. 25. Si vous souhaitez utiliser un attribut LDAP spécifique pour le login 26. Si vous souhaitez spécifier l'attribut utilisateur contenant le libellé de l'utilisateur, saisissez l'attribut utilisé dans le champ [Attribut LDAP pour le libellé]. Section: Groupes 27. Cliquez sur le bouton [Synchroniser les groupes disponibles] pour obtenir la liste des groupes disponibles dans votre annuaire en fonction des critères avancés définis dans les cadres précédents. 28. Sélectionnez les groupes à utiliser pour la synchronisation des utilisateurs dans les groupes disponibles et ajoutez les dans la liste des [Groupes synchronisés]. Pour ajouter ou supprimer un groupe utilisez le bouton ou le bouton. 29. Positionnez la priorité de synchronisation des groupes en contrôlant leurs positions dans la liste [Groupes synchronisés]. Pour positionner la priorité de synchronisation, sélectionnez un groupe et utilisez les boutons déplacer dans la liste. ou pour le Avertissement: L'ordre de synchronisation des groupes est important car un utilisateur peut appartenir à plusieurs groupes de l'annuaire. Section: Liste des utilisateurs 30. Provisionnez les utilisateurs des groupes sélectionnés dans la liste des [Groupes synchronisés] grâce au bouton [Synchroniser les utilisateurs]. Résultat: Un message vous indique le nombre d'utilisateurs synchronisés. 31. Cliquez sur le bouton [Valider] pour enregistrer les changements. Ajouter un annuaire Active Directory et provisionner les utilisateurs Provisionner les utilisateurs de l'annuaire permet d'identifier l'ensemble des utilisateurs auxquels il sera possible d'appliquer une règle de filtrage ou des statistiques. 1. Rendez-vous à la page de paramétrage des annuaires en suivant les menus [Paramétrage] > [Authentification] > [Annuaires]. 2. Cliquez sur [Ajouter un annuaire]. Section: Configurer l'annuaire 3. Saisissez un nom dans le champ [Libellé de l'annuaire]. Solution Olfeo / Guide d'intégration / 78

79 4 Mettre en place l'authentification/identification Section: Connexion 4. Choisissez Active Directory dans la liste [Type LDAP]. 5. Saisissez l'adresse IPv4 ou le nom dns de l'annuaire dans le champ [Hôtes]. 6. Si vous souhaitez que les échanges avec l'annuaire utilisent le protocole LDAP sur une connexion SSL validez la case à cocher [LDAPs]. 7. Si vous voulez que les groupes et utilisateurs soient synchronisés en une seule requête, activez la case à cocher [Désactiver la pagination]. Remarque: Par défaut Olfeo utilise un mode de réponse paginée pour la synchronisation des utilisateurs et des groupes. Olfeo recommande de garder le mode de pagination activé, ce mode étant plus approprié pour la synchronisation avec de larges annuaires d'entreprise. 8. Saisissez le port d'écoute de l'annuaire sur la machine hôte spécifiée. Remarque: Le port par défaut pour les annuaires LDAP est Cliquez sur [Tester et récupérer la basedn]. Cette action permettra non seulement de tester la connexion à l'annuaire mais aussi de récupérer la base DN. En cas de succès: Le texte Connection Success apparaitra à la droite du bouton [Tester et récupérer la basedn]. Le champ [Base DN] se remplira avec les informations récupérées dans la base DN. 10. Saisissez le login de l'utilisateur autorisé à se connecter à l'annuaire dans le champ [Bind DN]. Avertissement: Un Bind DN s'écrit selon la syntaxe: Par exemple: 11. Saisissez le mot de passe de l'utilisateur autorisé à se connecter à l'annuaire dans le champ [Mot de passe]. 12. Cliquez sur [Terminer] pour enregistrer le paramétrage de la connexion à l'annuaire. Résultat: La page est rechargée. Section: Connexion 13. Si vous souhaitez spécifier un timeout pour l'attente de la réponse de l'annuaire saisissez en secondes le temps maximum d'attente dans le champ [Temporisation]. Par exemple: 60 secondes 14. Si vous souhaitez planifier la synchronisation de votre annuaire cochez la case [Planification] et ensuite saisissez l'heure ou un délai de synchronisation. Exemple de synchronisation chaque nuit à 01h05: 01 : 05 Exemple de synchronisation toutes les 15 minutes entre 01h00 et 02h00: 01 : */15 Exemple de synchronisation toutes les 30 minutes pour toutes les heures: * : */30 Solution Olfeo / Guide d'intégration / 79

80 4 Mettre en place l'authentification/identification Pour information la syntaxe utilisée est la même que celle utilisée par crontab. Veuillez vous référer à la page de manuel de crontab pour plus d'informations. Section: Domaine Cette section est spécifique aux domaines Microsoft Active Directory. Ces champs sont nécessaires pour joindre votre solution Olfeo à votre domaine Active Directory, et donc pour la mise en oeuvre des méthodes d'authentification reposants sur Kerberos et NTLM. 15. Saisissez le nom de votre domaine Active Directory dans le champ [Domaine]. Par exemple: labs.mycompany.com 16. Saisissez en MAJUSCULES le nom Netbios de votre domaine dans le champ [Workgroup]. Par exemple: LABS 17. Si vous utilisez un serveur NTP distinct du serveur Active Directory validez la case à cocher [Utiliser un serveur NTP distinct]. Avertissement: La configuration du serveur NTP devra être réalisée dans le champ Serveurs NTP grâce au menu [Paramétrage] > [Système] > [Date]. 18. Si vous utilisez un serveur DNS distinct du serveur Active Directory validez la case à cocher [Utiliser un serveur DNS distinct]. Section: Options avancées des groupes 19. Si vous souhaitez spécifier une partie de l'annuaire sur laquelle effectuer la synchronisation des groupes saisissez sa base DN dans le champ [Base DN des groupes]. Par exemple: ou=siege, o=masociete, c=fr 20. Si vous souhaitez spécifier quel objectclass LDAP est utilisé pour représenter les groupes dans l'annuaire saisissez celui-ci dans le champ [Classe des groupes]. Par exemple: organizationalunit 21. Si vous souhaitez spécifier l'attribut LDAP contenant le libellé des groupes. Il peut être nécessaire de spécifier cet attribut si le libellé des groupes dans les objets groupes n'est pas l'attribut standard CN. Par exemple: name 22. Si vos groupes sont aussi des unités organisationnelles validez la case à cocher [Les groupes sont des conteneurs]. Les groupes synchronisés seront donc des objets ayant cette propriété. 23. Si les groupes d'appartenance d'un utilisateur sont définis comme un attribut des utilisateurs, validez la case à cocher [Les groupes sont un attribut de l'utilisateur]. Bien que disponible cette option est très rarement utilisée car il est plus normal de se reposer sur une arborescence classique des utilisateurs et de leurs groupes d'appartenance. 24. Si vous souhaitez spécifier un attribut des objets groupes à utiliser dans les statistiques Olfeo saisissez le dans le champ [Attribut LDAP pour le libellé]. Section: Options avancées des utilisateurs 25. Si vous souhaitez restreindre l'arborescence de l'annuaire sur laquelle la synchronisation des utilisateurs sera effectuée, saisissez la base DN correspondante dans le champ [Base DN des utilisateurs]. 26. Si votre annuaire contient le nom de la politique Olfeo à appliquer dans un attribut de l'objet utilisateur, saisissez le nom de l'attribut correspondant dans le champ [Attribut de l'identifiant de politique]. Solution Olfeo / Guide d'intégration / 80

81 4 Mettre en place l'authentification/identification 27. Si vous souhaitez utiliser une classe d'objet pour spécifier les utilisateurs à synchroniser dans l'annuaire, saisissez la classe de l'objet utilisée dans le champ Classe des utilisateurs. 28. Si vous souhaitez utiliser un attribut LDAP comme clé primaire afin d'assurer que les utilisateurs sont identifiés de manière unique dans Olfeo, saisissez l'attribut utilisé dans le champ [Attribut LDAP pour la clé primaire]. 29. Si vous souhaitez utiliser un attribut LDAP spécifique pour le login 30. Si vous souhaitez spécifier l'attribut utilisateur contenant le libellé de l'utilisateur, saisissez l'attribut utilisé dans le champ [Attribut LDAP pour le libellé]. Section: Groupes 31. Cliquez sur le bouton [Synchroniser les groupes disponibles] pour obtenir la liste des groupes disponibles dans votre annuaire en fonction des critères avancés définis dans les cadres précédents. 32. Sélectionnez les groupes à utiliser pour la synchronisation des utilisateurs dans les groupes disponibles et ajoutez les dans la liste des [Groupes synchronisés]. Pour ajouter ou supprimer un groupe utilisez le bouton ou le bouton. 33. Positionnez la priorité de synchronisation des groupes en contrôlant leurs positions dans la liste [Groupes synchronisés]. Pour positionner la priorité de synchronisation, sélectionnez un groupe et utilisez les boutons déplacer dans la liste. ou pour le Avertissement: L'ordre de synchronisation des groupes est important car un utilisateur peut appartenir à plusieurs groupes de l'annuaire. Section: Liste des utilisateurs 34. Provisionnez les utilisateurs des groupes sélectionnés dans la liste des [Groupes synchronisés] grâce au bouton [Synchroniser les utilisateurs]. Résultat: Un message vous indique le nombre d'utilisateurs synchronisés. 35. Cliquez sur le bouton [Valider] pour enregistrer les changements. Créer une zone d'authentification Pour une population donnée il peut parfois exister plusieurs possibilités d'authentification. Dans la solution Olfeo vous pouvez regrouper l'ensemble de ces possibilités d'authentification au sein d'une "zone". Une zone contient ainsi la liste des possibilités d'authentification à interroger de manière séquentielle. 1. Rendez-vous à la page permettant de configurer des zone en suivant les menus [Paramétrage] > [Authentification] > [Modes]. Section: Mode d'authentification 2. Saisissez un nom pour la nouvelle liste d'urls dans le champ [Libellé]. 3. Saisissez une description dans le champ [Description]. Solution Olfeo / Guide d'intégration / 81

82 4 Mettre en place l'authentification/identification Section: Propriétés 4. Dans la section Propriétés ajoutez une possibilité d'authentification grâce au bouton. 5. Dans l'entrée nouvellement créée, cliquez sur le lien de la colonne [Type de module]. a) Sélectionnez le type d'authentification que vous souhaitez utiliser dans le menu [Sélectionner un type de module]. b) En fonction du choix précédent saisissez la méthode d'authentification à utiliser. Si vous avez choisi LDAP sélectionnez l'annuaire à utiliser dans le champ [Sélectionner un annuaire]. Si vous avez choisi un compte invité saisissez le nom de l'identifiant dans le champ [Identifiant de l'utilisateur]. c) Cliquez sur le bouton [Valider] pour enregistrer les changements. 6. Effectuez les étapes 4 à 5 autant de fois que nécessaires pour constituer votre zone d'authentification. 7. Cliquez sur le bouton [Créer] pour enregistrer les changements. Mettre en place le portail captif LDAP 1. Rendez-vous à la page de mise en place du filtrage en suivant les menus [Charte] > [Utilisateurs]. 2. Sélectionnez l'onglet [Accès] correspondant au contrôle des accès aux ressources distantes (pages, fichiers téléchargés par FTP, vidéos etc). Onglet: Accès 3. Ajoutez une règle de filtrage grâce au bouton. 4. Dans la règle nouvellement créée, si vous souhaitez mettre en place une plage horaire cliquez sur le lien de la colonne [Plage horaire] puis sélectionnez une plage horaire. 5. Dans la règle nouvellement créée, si vous souhaitez restreindre la mise en place du portail captif à une souspopulation d'utilisateurs ou à une sous population de postes clients cliquez sur le lien de la colonne [Source]. Sélectionnez ensuite le type de sous-population sur lequel vous voulez effectuer le filtrage grâce au menu [Sélectionner]. a) Si vous voulez spécifier une plage d'adresse IP sélectionnez [Plage d'ips]. Saisissez ensuite une adresse [IP de début], une adresse [IP de fin] ainsi qu'une [Description de la plage IP]. Notez que vous pouvez ajouter une ou plusieurs autres plages d'adresses IP grâce au bouton. Pour finir cliquez sur [Valider]. b) Si vous voulez spécifier un ensemble d'utilisateurs sélectionnez [Utilisateurs]. Sélectionnez ensuite les utilisateurs en activant les cases à cocher de la colonne [Nom]. Pour finir cliquez sur [Valider]. 6. Dans la règle nouvellement créée, si vous souhaitez spécifier un type de protocole sélectionnez la colonne [Flux]. Sélectionnez ensuite le ou les protocoles sur lesquels vous voulez effectuer le filtrage en activant les cases à cocher de la colonne [Libellé]. 7. Dans la règle nouvellement créée, cliquez sur le lien de la colonne [Destination] puis cliquez sur le type de destination sur lequel vous appliquerez votre règle grâce au menu [Sélectionner]. a) Si vous voulez filtrer des URLs par le bais d'une expression régulière regex cliquez sur [URL (regex)] puis saisissez l'expression régulière dans le champ [Url]. Pour finir cliquez sur [Valider]. Solution Olfeo / Guide d'intégration / 82

83 4 Mettre en place l'authentification/identification b) Si vous voulez filtrer des URLs par le biais d'un liste cliquez sur [Listes d'urls] puis saisissez une des listes d'urls que vous aurez préalablement définie. Pour finir cliquez sur [Valider]. c) Si vous voulez filtrer des URLs par le biais d'une liste de catégories cliquez sur [Listes de catégories] puis saisissez une des listes de catégories que vous aurez préalablement définie. Pour finir cliquez sur [Valider]. d) Si vous voulez filtrer du Web 2.0 cliquez sur [Listes Web 2.0] dans ce cas puis saisissez une liste de catégories Web 2.0 préalablement définie dans. Pour finir cliquez sur [Valider]. e) Si vous voulez filtrer des catégories cliquez sur [Destination] puis saisissez une ou plusieurs catégories. Pour finir cliquez sur [Valider]. 8. Dans la règle nouvellement créée, cliquez sur l'image de la colonne [Action]. a) Sélectionnez [Portail captif] dans le menu [Sélectionner]. b) Sélectionnez la zone d'authentification créée au chapitre Créer une zone d'authentification à la page 72 dans le menu [Portail]. c) Cliquez sur le bouton [Valider] pour enregistrer les changements. Onglet: Accès 9. Cliquez sur le bouton [Valider] pour enregistrer les changements dans la liste des règles d'accès. Mettre en place le portail captif NTLM 1. Rendez-vous à la page de mise en place du filtrage en suivant les menus [Charte] > [Utilisateurs]. 2. Sélectionnez l'onglet [Accès] correspondant au contrôle des accès aux ressources distantes (pages, fichiers téléchargés par FTP, vidéos etc). Onglet: Accès 3. Ajoutez une règle de filtrage grâce au bouton. 4. Dans la règle nouvellement créée, si vous souhaitez mettre en place une plage horaire cliquez sur le lien de la colonne [Plage horaire] puis sélectionnez une plage horaire. 5. Dans la règle nouvellement créée, si vous souhaitez restreindre la mise en place du portail captif à une souspopulation d'utilisateurs ou à une sous population de postes clients cliquez sur le lien de la colonne [Source]. Sélectionnez ensuite le type de sous-population sur lequel vous voulez effectuer le filtrage grâce au menu [Sélectionner]. a) Si vous voulez spécifier une plage d'adresse IP sélectionnez [Plage d'ips]. Saisissez ensuite une adresse [IP de début], une adresse [IP de fin] ainsi qu'une [Description de la plage IP]. Notez que vous pouvez ajouter une ou plusieurs autres plages d'adresses IP grâce au bouton. Pour finir cliquez sur [Valider]. b) Si vous voulez spécifier un ensemble d'utilisateurs sélectionnez [Utilisateurs]. Sélectionnez ensuite les utilisateurs en activant les cases à cocher de la colonne [Nom]. Pour finir cliquez sur [Valider]. 6. Dans la règle nouvellement créée, si vous souhaitez spécifier un type de protocole sélectionnez la colonne [Flux]. Sélectionnez ensuite le ou les protocoles sur lesquels vous voulez effectuer le filtrage en activant les cases à cocher de la colonne [Libellé]. Solution Olfeo / Guide d'intégration / 83

84 4 Mettre en place l'authentification/identification 7. Dans la règle nouvellement créée, cliquez sur le lien de la colonne [Destination] puis cliquez sur le type de destination sur lequel vous appliquerez votre règle grâce au menu [Sélectionner]. a) Si vous voulez filtrer des URLs par le bais d'une expression régulière regex cliquez sur [URL (regex)] puis saisissez l'expression régulière dans le champ [Url]. Pour finir cliquez sur [Valider]. b) Si vous voulez filtrer des URLs par le biais d'un liste cliquez sur [Listes d'urls] puis saisissez une des listes d'urls que vous aurez préalablement définie. Pour finir cliquez sur [Valider]. c) Si vous voulez filtrer des URLs par le biais d'une liste de catégories cliquez sur [Listes de catégories] puis saisissez une des listes de catégories que vous aurez préalablement définie. Pour finir cliquez sur [Valider]. d) Si vous voulez filtrer du Web 2.0 cliquez sur [Listes Web 2.0] dans ce cas puis saisissez une liste de catégories Web 2.0 préalablement définie dans. Pour finir cliquez sur [Valider]. e) Si vous voulez filtrer des catégories cliquez sur [Destination] puis saisissez une ou plusieurs catégories. Pour finir cliquez sur [Valider]. 8. Dans la règle nouvellement créée, cliquez sur l'image de la colonne [Action]. a) Sélectionnez [Portail captif] dans le menu [Sélectionner]. b) Sélectionnez la zone d'authentification créée au chapitre Créer une zone d'authentification à la page 72 dans le menu [Portail]. c) Comme votre zone d'authentification contient un annuaire active directory et que vous souhaitez mettre en place l'authentification par NTLM, validez la case à cocher [Utiliser NTLM]. d) Cliquez sur le bouton [Valider] pour enregistrer les changements. Si vous souhaitez disposer de l'authentification transparente par NTLM (envoi automatique du token d'authentification à travers NTLM lorsque vous êtes déjà connecté au domaine), n'oubliez pas de configurer votre navigateur comme expliqué dans le chapitre Mettre en place le portail captif NTLM à la page 83. Configurer le poste client Dans le cas d'une intégration proxy, une configuration du poste client est nécessaire pour qu'il fonctionne avec la solution Olfeo. Pour cela saisissez dans les paramètres proxy des applications clientes: L'adresse IP de la solution Olfeo. Le port du proxy Olfeo (3129 par défaut). Cas de l'authentification transparente par NTLM Si vous souhaitez disposer de l'authentification transparente par NTLM (envoi automatique du token d'authentification à travers NTLM lorsque vous êtes déjà connecté au domaine) vous devez configurer votre navigateur pour que cette action soit automatique. En fonction de votre navigateur positionnez les valeurs suivantes: Solution Olfeo / Guide d'intégration / 84

85 4 Mettre en place l'authentification/identification Firefox Internet explorer Ouvrez Firefox et saisissez "about:config" dans la barre de configuration. Positionnez la valeur [network.automatic-ntlmauth.allow-proxies] à True. Cette option permet d'utiliser le système pour authentifier de manière transparente les utilisateurs avec leur authentifiant de domaine. Saisissez l'adresse IP du ou des Olfeo dans le champ [network.automatic-ntlm-auth.trusted-uris]. Cette option permet de définir les machines autorisées à authentifier directement sur NTLM. Rendez vous à la page [Outils] > [Options Internet] > [Sécurité] > [Intranet local] puis cliquez sur le bouton [Sites]. Cliquez sur [Avancé]. Décochez la case [Exiger un serveur sécurisé ( pour tous les sites de cette zone]. Cliquez sur [Fermer]. Cliquez sur [OK]. Cliquez sur [OK]. Mettre en place une authentification par portail public Créer des pages personnalisées Ajouter un jeu de messages personnalisé Les jeux de messages correspondent aux textes des pages Web qui seront affichées aux utilisateurs du portail public. Ils ont personnalisables pour pouvoir être adapté à l'environnement de votre entité (langue utilisée, design de la page, logo etc.). 1. Rendez-vous à la page de paramétrage des portails publics en suivant les menus [Portail Public] > [Messages] > [Messages]. 2. Cliquez sur [Ajouter un jeu de messages]. Section: Ajouter un jeu de messages 3. Saisissez un nom pour le nouveau jeu de messages dans le champ [Libellé]. 4. Saisissez une description dans le champ [Description]. 5. Cliquez sur le bouton [Créer] pour enregistrer le nouveau jeu de messages. Section: Langues 6. Cliquez sur la langue de votre choix dans la colonne Langues. a) Si la langue de votre choix n'existe, cliquez sur le bouton pour ajouter une langue. b) Sélectionnez la langue à ajouter dans la colonne Libellé. c) Cliquez sur le bouton [Valider] pour enregistrer les changements. Section: Formulaire d'identification 7. Saisissez dans les champs [Titre du formulaire], [Champ identifiant], [Champ mot de passe], [Bouton de connexion], [Bouton déconnexion], [Libellé autoriser les popups], [Libellé montrer le popup de déconnexion], [Libellé confirmation de déconnexion], [Libellé redirection dans...], [Libellé expiration], [Libellé début de validité], [Erreur d'authentification] le texte personnalisé que vous voulez présenter à vos utilisateurs. Solution Olfeo / Guide d'intégration / 85

86 4 Mettre en place l'authentification/identification Section: Ticket imprimé 8. Saisissez dans les champs [Salutation], [Présentation], [Légende], [Informations du compte], [Message] le texte personnalisé que vous voulez présenter à vos utilisateurs. Section: Divers 9. Saisissez dans le champ [Créer un compte], [Bouton créer] le texte personnalisé que vous voulez présenter à vos utilisateurs. 10. Cliquez sur le bouton [Valider] pour enregistrer les changements. Ajouter un jeu de modèles personnalisé Les jeux de modèles correspondent à la définition des pages Web qui seront affichées aux utilisateurs du portail public. Ils ont personnalisables pour pouvoir être adapté à l'environnement de votre entité (langue utilisée, design de la page, logo etc.). 1. Rendez-vous à la page de paramétrage des portails publics en suivant les menus [Portail Public] > [Messages] > [Modèles]. 2. Cliquez sur [Ajouter un jeu de modèles]. Section: Ajouter un jeu de modèles 3. Saisissez un nom pour le nouveau jeu de messages dans le champ [Libellé]. 4. Saisissez une description dans le champ [Description]. 5. Cliquez sur le bouton [Enregistrer] pour enregistrer les changements. 6. Cliquez sur le Jeu de modèle nouvellement créé dans la colonne Libellé. Section: Éléments 7. Cliquez sur le lien de la colonne [En-tête], [Pied de Page], [Impression], [Portail Public] en fonction du code HTML que vous souhaitez modifier. Section: En-tête 8. Apportez au code HTML les modifications que vous souhaitez. 9. Cliquez sur le bouton [Valider] pour enregistrer les modifications du code HTML. Section: Image 10. Si vous souhaitez ajouter une image et la référencer dans votre code cliquez sur le bouton [Parcourir...]. La variable se présente de la manière suivante: <?cs var:page.img.1?> où le chiffre "1" représente le numéro de l'image. Voici ci-dessous deux exemples de balise HTML contenant la variable correspondant à votre image: <img src='<?cs var:page.img.1?>' /> <div style='background-image:url (<?cs var:page.img.1?>);'>... </div> 11. Cliquez sur le bouton [Valider] pour enregistrer les changements. Solution Olfeo / Guide d'intégration / 86

87 4 Mettre en place l'authentification/identification Prévisualiser le résultat de la personnalisation 1. Rendez-vous à la page de prévisualisation des pages du portail public en suivant les menus [Portail Public] > [Messages] > [Prévisualisation]. Section: Option 2. Sélectionnez la langue voulue dans la liste [Langue]. 3. Sélectionnez le jeu de messages dans la liste [Messages]. 4. Sélectionnez le jeu de modèles dans la liste [Modèle]. 5. Sélectionnez le type de page dans la liste [Type de page]. Section: Prévisualisation 6. En fonction des choix précédents la page voulue apparait dans la section Prévisualisation. Ajouter un annuaire Ajouter un annuaire LDAP et provisionner les utilisateurs 1. Rendez-vous à la page de paramétrage des annuaires en suivant les menus [Paramétrage] > [Authentification] > [Annuaires]. 2. Cliquez sur [Ajouter un annuaire]. Section: Configurer l'annuaire 3. Saisissez un nom dans le champ [Libellé de l'annuaire]. Section: Connexion 4. Choisissez le type d'annuaire que vous utilisez dans la liste [Type LDAP]. Remarque: Si vous disposez d'un annuaire OpenLdap veuillez choisir [Autre annuaire]. 5. Saisissez l'adresse IPv4 ou le nom dns de l'annuaire dans le champ [Hôtes]. 6. Si vous souhaitez que les échanges avec l'annuaire utilisent le protocole LDAP sur une connexion SSL validez la case à cocher [LDAPs]. 7. Si vous voulez que les groupes et utilisateurs soient synchronisés en une seule requête, activez la case à cocher [Désactiver la pagination]. Remarque: Par défaut Olfeo utilise un mode de réponse paginée pour la synchronisation des utilisateurs et des groupes. Olfeo recommande de garder le mode de pagination activé, ce mode étant plus approprié pour la synchronisation avec de larges annuaires d'entreprise. 8. Saisissez le port d'écoute de l'annuaire sur la machine hôte spécifiée. Solution Olfeo / Guide d'intégration / 87

88 4 Mettre en place l'authentification/identification Remarque: Le port par défaut pour les annuaires LDAP est Cliquez sur [Tester et récupérer la basedn]. Cette action permettra non seulement de tester la connexion à l'annuaire mais aussi de récupérer la Base DN à la page 115. En cas de succès: Le texte Connection Success apparaitra à la droite du bouton [Tester et récupérer la basedn]. Le champ [Base DN] se remplira avec les informations récupérées dans la base DN. 10. Saisissez le login de l'utilisateur autorisé à se connecter à l'annuaire dans le champ [Bind DN]. Avertissement: Un Bind DN LDAP s'écrit selon la syntaxe: CN=admin,DC=olfeo-test,DC=lab 11. Saisissez le mot de passe de l'utilisateur autorisé à se connecter à l'annuaire dans le champ [Mot de passe]. 12. Cliquez sur [Terminer] pour enregistrer le paramétrage de la connexion à l'annuaire. Résultat: La page est rechargée. Section: Connexion 13. Si vous souhaitez spécifier un timeout pour l'attente de la réponse de l'annuaire saisissez en secondes le temps maximum d'attente dans le champ [Temporisation]. Par exemple: 60 secondes 14. Si vous souhaitez planifier la synchronisation de votre annuaire cochez la case [Planification] et ensuite saisissez l'heure ou un délai de synchronisation. Exemple de synchronisation chaque nuit à 01h05: 01 : 05 Exemple de synchronisation toutes les 15 minutes entre 01h00 et 02h00: 01 : */15 Exemple de synchronisation toutes les 30 minutes pour toutes les heures: * : */30 Pour information la syntaxe utilisée est la même que celle utilisée par crontab. Veuillez vous référer à la page de manuel de crontab pour plus d'informations. Section: Options avancées des groupes 15. Si vous souhaitez spécifier une partie de l'annuaire sur laquelle effectuer la synchronisation des groupes saisissez sa base DN dans le champ [Base DN des groupes]. Par exemple: ou=siege, o=masociete, c=fr 16. Si vous souhaitez spécifier quel objectclass LDAP est utilisé pour représenter les groupes dans l'annuaire saisissez celui-ci dans le champ [Classe des groupes]. Par exemple: organizationalunit 17. Si vous souhaitez spécifier l'attribut LDAP contenant le libellé des groupes. Il peut être nécessaire de spécifier cet attribut si le libellé des groupes dans les objets groupes n'est pas l'attribut standard CN. Par exemple: name 18. Si vos groupes sont aussi des unités organisationnelles validez la case à cocher [Les groupes sont des conteneurs]. Les groupes synchronisés seront donc des objets ayant cette propriété. Solution Olfeo / Guide d'intégration / 88

89 4 Mettre en place l'authentification/identification 19. Si les groupes d'appartenance d'un utilisateur sont définis comme un attribut des utilisateurs, validez la case à cocher [Les groupes sont un attribut de l'utilisateur]. Bien que disponible cette option est très rarement utilisée car il est plus normal de se reposer sur une arborescence classique des utilisateurs et de leurs groupes d'appartenance. 20. Si vous souhaitez spécifier un attribut des objets groupes à utiliser dans les statistiques Olfeo saisissez le dans le champ [Attribut LDAP pour le libellé]. Section: Options avancées des utilisateurs 21. Si vous souhaitez restreindre l'arborescence de l'annuaire sur laquelle la synchronisation des utilisateurs sera effectuée, saisissez la base DN correspondante dans le champ [Base DN des utilisateurs]. 22. Si votre annuaire contient le nom de la politique Olfeo à appliquer dans un attribut de l'objet utilisateur, saisissez le nom de l'attribut correspondant dans le champ [Attribut de l'identifiant de politique]. 23. Si vous souhaitez utiliser une classe d'objet pour spécifier les utilisateurs à synchroniser dans l'annuaire, saisissez la classe de l'objet utilisée dans le champ Classe des utilisateurs. 24. Si vous souhaitez utiliser un attribut LDAP comme clé primaire afin d'assurer que les utilisateurs sont identifiés de manière unique dans Olfeo, saisissez l'attribut utilisé dans le champ [Attribut LDAP pour la clé primaire]. 25. Si vous souhaitez utiliser un attribut LDAP spécifique pour le login 26. Si vous souhaitez spécifier l'attribut utilisateur contenant le libellé de l'utilisateur, saisissez l'attribut utilisé dans le champ [Attribut LDAP pour le libellé]. Section: Groupes 27. Cliquez sur le bouton [Synchroniser les groupes disponibles] pour obtenir la liste des groupes disponibles dans votre annuaire en fonction des critères avancés définis dans les cadres précédents. 28. Sélectionnez les groupes à utiliser pour la synchronisation des utilisateurs dans les groupes disponibles et ajoutez les dans la liste des [Groupes synchronisés]. Pour ajouter ou supprimer un groupe utilisez le bouton ou le bouton. 29. Positionnez la priorité de synchronisation des groupes en contrôlant leurs positions dans la liste [Groupes synchronisés]. Pour positionner la priorité de synchronisation, sélectionnez un groupe et utilisez les boutons déplacer dans la liste. ou pour le Avertissement: L'ordre de synchronisation des groupes est important car un utilisateur peut appartenir à plusieurs groupes de l'annuaire. Section: Liste des utilisateurs 30. Provisionnez les utilisateurs des groupes sélectionnés dans la liste des [Groupes synchronisés] grâce au bouton [Synchroniser les utilisateurs]. Résultat: Un message vous indique le nombre d'utilisateurs synchronisés. 31. Cliquez sur le bouton [Valider] pour enregistrer les changements. Solution Olfeo / Guide d'intégration / 89

90 4 Mettre en place l'authentification/identification Ajouter un annuaire Active Directory et provisionner les utilisateurs Provisionner les utilisateurs de l'annuaire permet d'identifier l'ensemble des utilisateurs auxquels il sera possible d'appliquer une règle de filtrage ou des statistiques. 1. Rendez-vous à la page de paramétrage des annuaires en suivant les menus [Paramétrage] > [Authentification] > [Annuaires]. 2. Cliquez sur [Ajouter un annuaire]. Section: Configurer l'annuaire 3. Saisissez un nom dans le champ [Libellé de l'annuaire]. Section: Connexion 4. Choisissez Active Directory dans la liste [Type LDAP]. 5. Saisissez l'adresse IPv4 ou le nom dns de l'annuaire dans le champ [Hôtes]. 6. Si vous souhaitez que les échanges avec l'annuaire utilisent le protocole LDAP sur une connexion SSL validez la case à cocher [LDAPs]. 7. Si vous voulez que les groupes et utilisateurs soient synchronisés en une seule requête, activez la case à cocher [Désactiver la pagination]. Remarque: Par défaut Olfeo utilise un mode de réponse paginée pour la synchronisation des utilisateurs et des groupes. Olfeo recommande de garder le mode de pagination activé, ce mode étant plus approprié pour la synchronisation avec de larges annuaires d'entreprise. 8. Saisissez le port d'écoute de l'annuaire sur la machine hôte spécifiée. Remarque: Le port par défaut pour les annuaires LDAP est Cliquez sur [Tester et récupérer la basedn]. Cette action permettra non seulement de tester la connexion à l'annuaire mais aussi de récupérer la base DN. En cas de succès: Le texte Connection Success apparaitra à la droite du bouton [Tester et récupérer la basedn]. Le champ [Base DN] se remplira avec les informations récupérées dans la base DN. 10. Saisissez le login de l'utilisateur autorisé à se connecter à l'annuaire dans le champ [Bind DN]. Avertissement: Un Bind DN s'écrit selon la syntaxe: Par exemple: 11. Saisissez le mot de passe de l'utilisateur autorisé à se connecter à l'annuaire dans le champ [Mot de passe]. 12. Cliquez sur [Terminer] pour enregistrer le paramétrage de la connexion à l'annuaire. Solution Olfeo / Guide d'intégration / 90

91 4 Mettre en place l'authentification/identification Résultat: La page est rechargée. Section: Connexion 13. Si vous souhaitez spécifier un timeout pour l'attente de la réponse de l'annuaire saisissez en secondes le temps maximum d'attente dans le champ [Temporisation]. Par exemple: 60 secondes 14. Si vous souhaitez planifier la synchronisation de votre annuaire cochez la case [Planification] et ensuite saisissez l'heure ou un délai de synchronisation. Exemple de synchronisation chaque nuit à 01h05: 01 : 05 Exemple de synchronisation toutes les 15 minutes entre 01h00 et 02h00: 01 : */15 Exemple de synchronisation toutes les 30 minutes pour toutes les heures: * : */30 Pour information la syntaxe utilisée est la même que celle utilisée par crontab. Veuillez vous référer à la page de manuel de crontab pour plus d'informations. Section: Domaine Cette section est spécifique aux domaines Microsoft Active Directory. Ces champs sont nécessaires pour joindre votre solution Olfeo à votre domaine Active Directory, et donc pour la mise en oeuvre des méthodes d'authentification reposants sur Kerberos et NTLM. 15. Saisissez le nom de votre domaine Active Directory dans le champ [Domaine]. Par exemple: labs.mycompany.com 16. Saisissez en MAJUSCULES le nom Netbios de votre domaine dans le champ [Workgroup]. Par exemple: LABS 17. Si vous utilisez un serveur NTP distinct du serveur Active Directory validez la case à cocher [Utiliser un serveur NTP distinct]. Avertissement: La configuration du serveur NTP devra être réalisée dans le champ Serveurs NTP grâce au menu [Paramétrage] > [Système] > [Date]. 18. Si vous utilisez un serveur DNS distinct du serveur Active Directory validez la case à cocher [Utiliser un serveur DNS distinct]. Section: Options avancées des groupes 19. Si vous souhaitez spécifier une partie de l'annuaire sur laquelle effectuer la synchronisation des groupes saisissez sa base DN dans le champ [Base DN des groupes]. Par exemple: ou=siege, o=masociete, c=fr 20. Si vous souhaitez spécifier quel objectclass LDAP est utilisé pour représenter les groupes dans l'annuaire saisissez celui-ci dans le champ [Classe des groupes]. Par exemple: organizationalunit 21. Si vous souhaitez spécifier l'attribut LDAP contenant le libellé des groupes. Il peut être nécessaire de spécifier cet attribut si le libellé des groupes dans les objets groupes n'est pas l'attribut standard CN. Par exemple: name 22. Si vos groupes sont aussi des unités organisationnelles validez la case à cocher [Les groupes sont des conteneurs]. Les groupes synchronisés seront donc des objets ayant cette propriété. Solution Olfeo / Guide d'intégration / 91

92 4 Mettre en place l'authentification/identification 23. Si les groupes d'appartenance d'un utilisateur sont définis comme un attribut des utilisateurs, validez la case à cocher [Les groupes sont un attribut de l'utilisateur]. Bien que disponible cette option est très rarement utilisée car il est plus normal de se reposer sur une arborescence classique des utilisateurs et de leurs groupes d'appartenance. 24. Si vous souhaitez spécifier un attribut des objets groupes à utiliser dans les statistiques Olfeo saisissez le dans le champ [Attribut LDAP pour le libellé]. Section: Options avancées des utilisateurs 25. Si vous souhaitez restreindre l'arborescence de l'annuaire sur laquelle la synchronisation des utilisateurs sera effectuée, saisissez la base DN correspondante dans le champ [Base DN des utilisateurs]. 26. Si votre annuaire contient le nom de la politique Olfeo à appliquer dans un attribut de l'objet utilisateur, saisissez le nom de l'attribut correspondant dans le champ [Attribut de l'identifiant de politique]. 27. Si vous souhaitez utiliser une classe d'objet pour spécifier les utilisateurs à synchroniser dans l'annuaire, saisissez la classe de l'objet utilisée dans le champ Classe des utilisateurs. 28. Si vous souhaitez utiliser un attribut LDAP comme clé primaire afin d'assurer que les utilisateurs sont identifiés de manière unique dans Olfeo, saisissez l'attribut utilisé dans le champ [Attribut LDAP pour la clé primaire]. 29. Si vous souhaitez utiliser un attribut LDAP spécifique pour le login 30. Si vous souhaitez spécifier l'attribut utilisateur contenant le libellé de l'utilisateur, saisissez l'attribut utilisé dans le champ [Attribut LDAP pour le libellé]. Section: Groupes 31. Cliquez sur le bouton [Synchroniser les groupes disponibles] pour obtenir la liste des groupes disponibles dans votre annuaire en fonction des critères avancés définis dans les cadres précédents. 32. Sélectionnez les groupes à utiliser pour la synchronisation des utilisateurs dans les groupes disponibles et ajoutez les dans la liste des [Groupes synchronisés]. Pour ajouter ou supprimer un groupe utilisez le bouton ou le bouton. 33. Positionnez la priorité de synchronisation des groupes en contrôlant leurs positions dans la liste [Groupes synchronisés]. Pour positionner la priorité de synchronisation, sélectionnez un groupe et utilisez les boutons déplacer dans la liste. ou pour le Avertissement: L'ordre de synchronisation des groupes est important car un utilisateur peut appartenir à plusieurs groupes de l'annuaire. Section: Liste des utilisateurs 34. Provisionnez les utilisateurs des groupes sélectionnés dans la liste des [Groupes synchronisés] grâce au bouton [Synchroniser les utilisateurs]. Résultat: Un message vous indique le nombre d'utilisateurs synchronisés. 35. Cliquez sur le bouton [Valider] pour enregistrer les changements. Solution Olfeo / Guide d'intégration / 92

93 4 Mettre en place l'authentification/identification Ajouter un portail public 1. Rendez-vous à la page de paramétrage des portails publics en suivant les menus [Portail Public] > [Portails]. Section: Portail 2. Saisissez un nom pour le nouveau portail public dans le champ [Libellé]. 3. Saisissez une description dans le champ [Description]. 4. Choisissez le jeu de messages que vous souhaitez dans le menu [Messages]. 5. Choisissez le jeu de modèles que vous souhaitez dans le menu [Jeu de modèles]. Section: Champs 6. Si vous souhaitez ajouter des champs supplémentaires aux champs par défaut affichés dans la page Web du portail public cliquez sur le bouton. a) Saisissez le lien dans le champ [Libellé]. b) Si vous souhaitez que ce champ soit saisi obligatoirement par l'utilisateur, validez la case à cocher de la colonne Obligatoire. 7. Positionnez l'ordre dans lequel les champs doivent apparaitre grâce aux flèches et. 8. Cliquez sur le bouton [Valider] pour enregistrer les changements. Créer les droits d'accès pour les opérateurs 1. Rendez-vous à la page de paramétrage des droits d'accès du portails public en suivant les menus [Portail Public] > [Droits d'accès]. 2. Cliquez sur [Ajouter un profil d'opérateur]. Section: Opérateur 3. Saisissez un nom pour le nouvel opérateur dans le champ [Libellé]. 4. Saisissez une description dans le champ [Description]. Section: Sélection des droits 5. Ajoutez le ou les portails qui seront gérés par l'opérateur grâce au bouton. Fenêtre: Portails 6. Sélectionnez le ou les portails concernés en activant les cases à cocher de la colonne Libellé. 7. Cliquez sur le bouton [Valider] pour enregistrer les changements. Solution Olfeo / Guide d'intégration / 93

94 4 Mettre en place l'authentification/identification Fenêtre: Type de ticket 8. Sélectionnez le ou les types de tickets que l'opérateur pourra attribuer en activant les cases à cocher de la colonne Libellé. 9. Cliquez sur le bouton [Valider] pour enregistrer les changements. Fenêtre: Droit 10. Choisissez les types de droits que l'opérateur pourra utiliser en activant les cases à cocher de la colonne Libellé. 11. Cliquez sur le bouton [Valider] pour enregistrer les changements. Section: Sélection des utilisateurs 12. Sélectionnez le ou les comptes utilisateurs qui effectueront le rôle d'opérateur dans l'un des annuaires préalablement ajoutés lors du chapitre Ajouter un annuaire à la page Cliquez sur le bouton [Créer] pour enregistrer les changements. Créer un ticket pour un utilisateur 1. A l'aide de votre navigateur accédez au portail opérateur Olfeo en suivant les menus [Portail Public] > [Portails] > [Portails]. situé à l'adresse où "xxx.xxx.xxx.xxx" représente l'adresse IP de la solution Olfeo. 2. Loguez-vous en utilisant le login de l'opérateur. 3. Rendez-vous à la page de paramétrage du portail public en suivant le menu [Création de compte]. Section: Sélection du portail 4. Sélectionnez le portail à manipuler en validant la case à cocher du portail correspondant. Section: Créer un utilisateur sur le portail 5. Rentrez un identifiant dans le champ [Identifiant]. 6. Rentrez un mot de passe dans le champ [Mot de passe]. 7. Choisissez la langue de l'utilisateur dans le champ [Langue]. 8. Rentrez le numéro de téléphone de l'utilisateur dans le champ [Téléphone]. 9. Rentrez votre dans le champ [ ]. 10. Si vous avez ajouté des champs supplémentaires lors de la création du portail public (chapitre Créer un ticket pour un utilisateur à la page 94), saisissez les champs supplémentaires. Section: Attribution de droits 11. Choisissez votre type de ticket dans la colonne profil. 12. Cliquez sur le bouton [Créer] pour créer le ticket. Solution Olfeo / Guide d'intégration / 94

95 4 Mettre en place l'authentification/identification Mettre en place le portail public 1. Rendez-vous à la page de mise en place du filtrage en suivant les menus [Charte] > [Utilisateurs]. 2. Sélectionnez l'onglet [Accès] correspondant au contrôle des accès aux ressources distantes (pages, fichiers téléchargés par FTP, vidéos etc). Onglet: Accès 3. Ajoutez une règle de filtrage grâce au bouton. 4. Dans la règle nouvellement créée, si vous souhaitez mettre en place une plage horaire cliquez sur le lien de la colonne [Plage horaire] puis sélectionnez une plage horaire. 5. Dans la règle nouvellement créée, si vous souhaitez restreindre la mise en place du portail captif à une souspopulation d'utilisateurs ou à une sous population de postes clients cliquez sur le lien de la colonne [Source]. Sélectionnez ensuite le type de sous-population sur lequel vous voulez effectuer le filtrage grâce au menu [Sélectionner]. a) Si vous voulez spécifier une plage d'adresse IP sélectionnez [Plage d'ips]. Saisissez ensuite une adresse [IP de début], une adresse [IP de fin] ainsi qu'une [Description de la plage IP]. Notez que vous pouvez ajouter une ou plusieurs autres plages d'adresses IP grâce au bouton. Pour finir cliquez sur [Valider]. b) Si vous voulez spécifier un ensemble d'utilisateurs sélectionnez [Utilisateurs]. Sélectionnez ensuite les utilisateurs en activant les cases à cocher de la colonne [Nom]. Pour finir cliquez sur [Valider]. 6. Dans la règle nouvellement créée, si vous souhaitez spécifier un type de protocole sélectionnez la colonne [Flux]. Sélectionnez ensuite le ou les protocoles sur lesquels vous voulez effectuer le filtrage en activant les cases à cocher de la colonne [Libellé]. 7. Dans la règle nouvellement créée, cliquez sur le lien de la colonne [Destination] puis cliquez sur le type de destination sur lequel vous appliquerez votre règle grâce au menu [Sélectionner]. a) Si vous voulez filtrer des URLs par le bais d'une expression régulière regex cliquez sur [URL (regex)] puis saisissez l'expression régulière dans le champ [Url]. Pour finir cliquez sur [Valider]. b) Si vous voulez filtrer des URLs par le biais d'un liste cliquez sur [Listes d'urls] puis saisissez une des listes d'urls que vous aurez préalablement définie. Pour finir cliquez sur [Valider]. c) Si vous voulez filtrer des URLs par le biais d'une liste de catégories cliquez sur [Listes de catégories] puis saisissez une des listes de catégories que vous aurez préalablement définie. Pour finir cliquez sur [Valider]. d) Si vous voulez filtrer du Web 2.0 cliquez sur [Listes Web 2.0] dans ce cas puis saisissez une liste de catégories Web 2.0 préalablement définie dans. Pour finir cliquez sur [Valider]. e) Si vous voulez filtrer des catégories cliquez sur [Destination] puis saisissez une ou plusieurs catégories. Pour finir cliquez sur [Valider]. 8. Dans la règle nouvellement crée, cliquez sur l'image de la colonne [Action]. a) Sélectionnez [Portail captif] dans le menu [Sélectionner]. b) Sélectionnez le portail public créé au chapitre précédent dans le menu [Portail]. c) Cliquez sur le bouton [Valider] pour enregistrer les changements. Solution Olfeo / Guide d'intégration / 95

96 4 Mettre en place l'authentification/identification Onglet: Accès 9. Cliquez sur le bouton [Valider] pour enregistrer les changements dans la liste des règles d'accès. Configurer le poste client Dans le cas d'une intégration proxy, une configuration du poste client est nécessaire pour qu'il fonctionne avec la solution Olfeo. Pour cela saisissez dans les paramètres proxy des applications clientes: L'adresse IP de la solution Olfeo. Le port du proxy Olfeo (3129 par défaut). Mettre en place une identification transparente Afin de mettre en place une identification transparente un agent Olfeo doit être déployé sur l'ensemble des postes clients. Voici ci-dessous la procédure d'installation de l'agent Olfeo sur un poste client. Cette procédure est manuelle, pour déployer l'agent Olfeo sur l'ensemble des postes des utilisateurs du domaine il est conseillé d'utiliser une stratégie de groupe (GPO). 1. Téléchargez le fichier zip contenant l'agent "Olfeo Windows SSO Agent" à l'adresse suivante: download/. Remarque: Utilisez les identifiants fournis dans le bon de livraison Olfeo qui vous a été transmis. 2. Décompressez le fichier.zip de l'agent Olfeo. 3. Créez sur votre poste client Windows un répertoire dans lequel sera déposé le fichier exécutable de l'agent Olfeo. Par exemple: C:\Program Files\Olfeo 4. Déposez les fichiers décompressés dans le répertoire créé préalablement. 5. Exécutez le logiciel d'édition de base de registre regedit. 6. Rendez-vous à la clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. 7. Ajoutez une valeur 'chaine' (string) de nom Olfeo. 8. Modifiez la chaine Olfeo nouvellement créée et positionnez y la valeur: "C:\chemin\vers\agent olfeo.exe" adress_ip_olfeo. Par exemple: "C:\Program Files\Olfeo\agent olfeo.exe" Si vous utilisez le pare-feu de Windows ou un autre pare-feu, ajoutez une règle permettant au port 9124 de communiquer avec la solution Olfeo. 10. Dorénavant lorsqu'un utilisateur se loguera sur un poste client, l'agent Olfeo enverra à la solution Olfeo le nom de l'utilisateur ainsi que le nom de la machine sur laquelle celui-ci s'est logué. Remarque: Si vous désirez vérifier que la communication entre le poste client et la solution Olfeo fonctionne, contrôlez en surfant sur Internet que le login de votre utilisateur apparait bien dans l'activité temps réel par le biais du menu [Statistiques] > [Temps réel]. Si le login n'apparait pas vérifiez que le nom DNS du poste client peut être résolu depuis la solution Olfeo, si ce n'est pas le cas effectuez les modifications nécessaires. Solution Olfeo / Guide d'intégration / 96

97 4 Mettre en place l'authentification/identification Mettre en place une identification capture en coupure Il n'existe pas de configuration spécifique à mettre en place pour réaliser une identification capture en coupure. La véritable configuration à réaliser se situe au niveau du positionnement de la solution Olfeo dans le réseau. En effet l'identification en coupure se base sur une intégration capture en coupure (voir Réaliser une intégration capture en coupure à la page 58) réalisée devant un proxy tiers. Lors des échanges d'authentification entre l'utilisateur et le proxy tiers, le proxy Olfeo peut ainsi capter automatiquement le login de l'utilisateur. Avertissement: Pour rappel: ce mécanisme ne fonctionne qu'avec une authentification proxy basée sur NTLM. Mettre en place une identification capture par copie de trafic Tout comme l'identification capture en coupure, il n'existe pas de configuration spécifique à mettre en place pour réaliser une identification capture par copie de trafic. La véritable configuration à réaliser se situe au niveau du positionnement de la solution Olfeo dans le réseau. En effet l'identification par copie de trafic se base sur une intégration capture par copie de trafic (voir Réaliser une intégration capture par copie de trafic à la page 60) réalisée devant un proxy tiers. Lors des échanges d'authentification entre l'utilisateur et le proxy tiers, le proxy Olfeo peut ainsi capter automatiquement le login de l'utilisateur. Avertissement: Pour rappel: ce mécanisme ne fonctionne qu'avec une authentification proxy basée sur NTLM. Solution Olfeo / Guide d'intégration / 97

98

99 Chapitre 5 Intégrer en haute-disponibilité Sujets : Architecture de haute disponibilité Olfeo Créer un domaine Olfeo Joindre un domaine Olfeo Créer un cluster Ajouter un serveur de logs secondaire

100 5 Intégrer en haute-disponibilité Architecture de haute disponibilité Olfeo La solution de haute disponibilité Olfeo repose sur deux concepts complémentaires qui sont les domaines Olfeo et les clusters Olfeo. Domaine Olfeo Un domaine Olfeo est un ensemble de machines Olfeo dont une est déclarée comme machine Maître. La machine Maître a la responsabilité de la configuration de l'ensemble des machines Olfeo du domaine. Ainsi la quasi totalité des modifications de configuration doit être réalisée sur la machine Maître pour être diffusée à l'ensemble des machines Esclaves. Illustration 19: Gestion de la configuration dans un domaine Olfeo Remarque: Lorsqu'une machine esclave est rentrée dans un domaine Olfeo la plupart des menus de la Console d'administration Olfeo deviennent inaccessibles. Seules restent les menus qui sont spécifiques à la machine (configuration réseau, gestions du démarrage/arrêt des services, gestion de la sauvegarde...). Dans un domaine Olfeo, la machine Maître centralise les logs et les statistiques du cluster. Lorsque la machine Maître se retrouve indisponible, les informations concernant les logs et les statistiques sont stockées temporairement sur les machines Esclaves puis sont retransmises à la machine Maître lorsqu'elle redevient disponible. Il est cependant possible de créer un serveur de logs secondaire servant de backup. Cluster Olfeo Un cluster Olfeo permet d'assurer la disponibilité des services Olfeo à l'aide d'adresses IP virtuelles. Sur chaque noeud d'un cluster Olfeo, une adresse IP virtuelle est attribuée ainsi que l'adresse IP de backup d'un autre noeud Olfeo. Ainsi lorsqu'un noeud d'un cluster Olfeo est indisponible, son adresse IP virtuelle est alors basculée sur son noeud de backup. En fonctionnement nominal, un cluster Olfeo peut être utilisé indifféremment comme cluster actif/actif ou actif/passif. Solution Olfeo / Guide d'intégration / 100

101 5 Intégrer en haute-disponibilité Illustration 20: Cluster Olfeo en fonctionnement nominal Illustration 21: Cluster Olfeo avec une machine indisponible Solution Olfeo / Guide d'intégration / 101

102 5 Intégrer en haute-disponibilité Danger: Lorsqu'un noeud est indisponible, la machine recevant l'adresse IP du noeud défectueux voit son trafic se multiplier. Il est donc capital d'organiser son réseau et la charge des machines en fonction de ce trafic supplémentaire pouvant survenir lors d'une défaillance. Serveur de logs secondaire Dans un domaine Olfeo, il est possible de créer des serveurs de logs secondaires. Les serveurs de logs secondaires permettent de stocker les logs centralisés normalement par le serveur primaire lorsque celui-ci est inaccessible. Une fois accessible de nouveau, les logs stockés sur les serveurs de logs secondaires sont synchronisées avec le serveur primaire sans perte d'information. Dans un domaine Olfeo, les serveurs de logs secondaires sont contenus dans une liste qui est diffusée à l'ensemble des machines du domaine. Ainsi chaque machine du domaine Olfeo parcourt la liste des serveurs de logs et envoie ses logs au premier serveur qu'il peut contacter. Avertissement: Lors de la création d'un serveur de log secondaire, l'ensemble des logs historiques stockés sur le serveur primaire sont synchronisés. Puisque l'ensemble des informations sont dupliquées, il est important de prévoir un stockage suffisant sur le serveur de log secondaire. Avertissement: Il est préférable de réaliser cette création dans les heures creuses ou dès l'intégration de la solution Olfeo. Répartition de charge Trois solutions existent pour effectuer la répartition de charge entre les différents noeuds du cluster Olfeo: Load-balancing par proxy.pac La première des solutions pour réaliser de la répartition de charge au sein d'un cluster Olfeo est d'intégrer dans les navigateurs des postes clients un fichier de configuration "proxy.pac". Un fichier "proxy.pac" contient un script indiquant au navigateur l'adresse IP et le port du proxy à utiliser. Une solution simple permettant de répartir la charge sur les différents noeuds d'un cluster Olfeo est de diviser les postes en fonction de leur adresse IP. Par exemple dans un cluster à deux noeuds les adresses IP paires utiliseront le proxy1 et les adresses impaires le proxy2, ou encore dans un cluster à trois noeuds répartir les adresses des proxy1 proxy2 et proxy3 toutes les 3 adresses IP des postes clients. Pour que chaque poste client utilise un proxy en fonction de son adresse IP il faut intégrer à son navigateur un script de configuration "proxy.pac". C'est grâce à ce script que le navigateur saura quel proxy il devra utiliser. Solution Olfeo / Guide d'intégration / 102

103 5 Intégrer en haute-disponibilité Illustration 22: Load-balancing par proxy.pac Voici ci-dessous un exemple de proxy.pac utilisable pour un cluster à deux noeuds. Solution Olfeo / Guide d'intégration / 103

104 5 Intégrer en haute-disponibilité Remarque: Notez que l'adresse IP du proxy1 est , que l'adresse IP du proxy2 est et que 3129 est le port de ces deux proxys. function FindProxyForURL(url, host) { var myip = myipaddress(); var ipbits = myip.split("."); // Récupération du dernier octet de l'adresse IP var myseg = parseint(ipbits[3]); // Modulo % 2 if((myseg % 2) == 0) // PAIR { // Utiliser le proxy s'il est disponible // Sinon utiliser le proxy (Haute-disponibilité) return "PROXY :3129"; } else // IMPAIR { // Utiliser le proxy s'il est disponible // Sinon utiliser le proxy (Haute-disponibilité) return "PROXY :3129"; } } Voici ci-dessous un exemple de proxy.pac utilisable pour un cluster à trois noeuds: function FindProxyForURL(url, host) { var myip = myipaddress(); var ipbits = myip.split("."); var myseg = parseint(ipbits[3]); // Modulo % 3 switch (myseg % 3) { case 0: return "PROXY :3129"; case 1: return "PROXY :3129"; case 2: return "PROXY :3129"; } } Load-balancing par DNS Une autre solution simple pour réaliser de la répartition de charge au sein d'un cluster Olfeo est de mettre en place un round-robin DNS. Le round-robin DNS fonctionne en envoyant une liste d'adresses IP qui sera modifiée à chaque résolution d'un même nom de domaine. Dans le cas d'un cluster Olfeo, la mise en place d'un load-balancing DNS s'effectue en deux étapes: 1. La première étape consiste à attribuer un nom de domaine au cluster et à enregistrer dans le serveur DNS l'ensemble des adresses IP le constituant. 2. La deuxième étape consiste à entrer le nom de domaine du cluster Olfeo en tant que proxy dans le navigateur des postes clients. Ainsi à chaque tentative de résolution du nom de domaine du cluster, le poste client recevra une liste d'adresses IP dont l'ordre est modifié selon l'algorithme du tourniquet (round-robin). Le poste client recevant la liste d'adresses IP tentera d'utiliser la première adresse IP de la liste. Or comme l'ordre des adresses IP est attribué à tour de rôle à chaque interrogation DNS, une répartition de charge s'effectue alors sur les noeuds du cluster. Solution Olfeo / Guide d'intégration / 104

105 5 Intégrer en haute-disponibilité Le schéma suivant illustre le fonctionnement du load balancing en fonction des interrogations DNS de olfeo.mycompany.com: A la première interrogation DNS, le poste client recevra la Liste1 et essaiera donc de contacter l'ip1. A l' interrogation DNS suivante, le poste client recevra la Liste2 et essaiera donc de contacter l'ip2. A l' interrogation DNS suivante, le poste client recevra la Liste3 et essaiera donc de contacter l'ip3. A l' interrogation DNS suivante, le poste client recevra la Liste1 et essaiera donc de contacter l'ip1.... Illustration 23: Load-balancing par DNS Voici ci-dessous un exemple de fichier de configuration de serveur DNS utilisé pour réaliser un load-balancing DNS sur le nom olfeo.mycompany.com: olfeo olfeo olfeo IN IN IN A A A Solution Olfeo / Guide d'intégration / 105

106 5 Intégrer en haute-disponibilité Voici ci-dessous le résultat que vous devez obtenir sur un poste client effectuant trois ping consecutifs: ping olfeo.mycompany.lan PING olfeo.mycompany.lan ( ) 56(84) bytes of data. 64 bytes from olfeo-306.local ( ): icmp_req=1 ttl=64 time=1.30 ms 64 bytes from olfeo-306.local ( ): icmp_req=2 ttl=64 time=0.132 ms ping olfeo.mycompany.lan PING olfeo.mycompany.lan ( ) 56(84) bytes of data. 64 bytes from olfeo-298.local ( ): icmp_req=1 ttl=64 time=81.4 ms 64 bytes from olfeo-298.local ( ): icmp_req=2 ttl=64 time=0.173 ms ping olfeo.mycompany.lan PING olfeo.mycompany.lan ( ) 56(84) bytes of data. 64 bytes from olfeo.local ( ): icmp_req=1 ttl=64 time=2.71 ms 64 bytes from olfeo.local ( ): icmp_req=2 ttl=64 time=0.162 ms Load-balancing externe La solution Olfeo est entièrement compatible avec des répartiteurs de charge externe. Si vous souhaitez utiliser un répartiteur de charge externe à la solution Olfeo, utilisez les adresses IP virtuelles du cluster Olfeo. Créer un domaine Olfeo 1. Si l'architecture d'authentification nécessite que votre solution Olfeo soit jointe au domaine Windows veuillez réaliser cette opération avant la création du domaine Olfeo. Remarque: Cette opération peut être réalisée à l'aide des chapitres Ajouter un annuaire Active Directory et provisionner les utilisateurs à la page 64 et Joindre la solution Olfeo au domaine Windows à la page Loguez-vous sur la machine Maître. 3. Rendez-vous à la page de configuration en suivant les menus [Paramétrage] > [Haute disponibilité] > [Domaine Olfeo]. (Maître) Section: Domaine Olfeo 4. Cliquez sur le bouton [Créez un domaine Olfeo] puis attendez la fin de création du domaine Olfeo. Joindre un domaine Olfeo 1. Loguez-vous sur la machine Maître. 2. Rendez-vous à la page de configuration en suivant les menus [Paramétrage] > [Haute disponibilité] > [Domaine Olfeo]. (Maître) Section: Liste des noeuds 3. Cliquez sur le lien [Ajouter un hôte au domaine]. (Maître) Section: Paramétrage 4. Saisissez un nom décrivant le nouveau membre du domaine Olfeo dans le champ [Nom]. 5. Saisissez l'adresse IP du nouveau membre dans le champ [Adresse IP]. Solution Olfeo / Guide d'intégration / 106

107 5 Intégrer en haute-disponibilité 6. Cliquez sur le bouton [Créer]. (Maître) Section: Liste des noeuds 7. Dans la liste des Noeuds notez l'id du membre correspondant au nouveau membre du domaine Olfeo. 8. Loguez-vous sur la machine Esclave. 9. Rendez-vous à la page de configuration de domaine en suivant les menus [Paramétrage] > [Haute disponibilité] > [Domaine Olfeo]. (Esclave) Section: Domaine Olfeo 10. Cliquez sur le lien [Joindre un domaine Olfeo]. (Esclave) Section: Joindre un domaine 11. Saisissez dans le champ [ID du membre] correspondant à votre machine et qui apparait dans la liste des membres du domaine de la machine Maître (se référer à l'étape 7 à la page 107). Par exemple: Saisissez l'adresse IP de la machine Maître dans le champ [Adresse IP du Maître]. 13. Cliquez sur le bouton [joindre le domaine] puis attendez que votre machine soit joint au domaine. Avertissement: Après avoir joint le domaine, la Console d'administration Olfeo présentera la page de login. Remarque: Lorsqu'une machine esclave est rentrée dans un domaine Olfeo la plupart des menus de la Console d'administration Olfeo deviennent inaccessibles. Seuls restent les menus qui sont spécifiques à la machine (configuration réseau, gestions du démarrage/arrêt des services, gestion de la sauvegarde...). (Esclave) Section: Domaine Olfeo 14. Pour vérifier que votre machine est correctement jointe au domaine, rendez-vous à la page de configuration de domaine en suivant les menus [Paramétrage] > [Haute disponibilité] > [Domaine Olfeo] et vérifiez que la phrase «Vous êtes actuellement joint à un domaine» apparait. Remarque: Dans la liste des Noeuds du domaine Olfeo de la machine Maître, la machine joint au domaine doit être passée à l'état «En ligne». Créer un cluster 1. Loguez-vous sur la machine Maître. 2. Rendez-vous à la page de configuration des clusters en suivant les menus [Paramétrage] > [Haute disponibilité] > [Clusters]. (Maître) Section: Paramètres de haute disponibilité 3. Saisissez l'adresse mail destination qui vous servira à recevoir un mail de notification du basculement des noeuds du cluster dans le champ [ de notification]. Solution Olfeo / Guide d'intégration / 107

108 5 Intégrer en haute-disponibilité 4. Saisissez l'adresse mail source qui enverra le mail de notification du basculement des noeuds du cluster dans le champ [Expéditeur des s]. 5. Cliquez sur le lien [Ajouter un cluster]. (Maître) Section: Paramétrage 6. Saisissez un nom identifiant votre cluster dans le champ [Nom]. 7. Saisissez un descriptif de votre cluster dans le champ [Description]. 8. Saisissez mot de passe dans le champ [Mot de passe] (le mot de passe est un secret commun permettant aux machines membres d'être autorisées à communiquer entre elles). 9. Saisissez un chiffre entre 1 et 254 dans le champ [Premier ID VRRP]. Le premier identifiant VRRP est un identifiant à utiliser pour la gestion des noeuds. 10. Saisissez l'interface réseau des membres du cluster qui sera utilisée pour envoyer votre message de viabilité entre les différents membres du cluster à l'aide du menu [Interface du réseau]. 11. Sélectionnez dans la liste [Membres du cluster] l'ensemble des machines qui participeront à ce cluster. Slave1 Master Slave2 Remarque: Afin de réaliser un sélection multiple, utilisez les touches Shift ou Ctrl. 12. Pour chaque machine sélectionnée dans la liste [Membres du cluster] saisissez une adresses IP virtuelle dans le champ [IP virtuelles]. Par exemple pour 3 machines sélectionnées: Cliquez sur le bouton [Valider]. Ajouter un serveur de logs secondaire 1. Loguez-vous sur la machine Maître. 2. Rendez-vous à la page de configuration des clusters en suivant les menus [Paramétrage] > [Haute disponibilité] > [Réplication des logs]. (Maître) Section: Paramétrage 3. Sélectionner dans la liste [Hôtes disponibles] un ou plusieurs hôtes qui deviendront serveurs de logs secondaires. 4. Cliquez sur la flèche pour ajouter les hôtes sélectionnés à la liste des [Serveur de logs]. 5. Cliquez sur le bouton [Valider]. Solution Olfeo / Guide d'intégration / 108

109 Chapitre 6 Superviser la solution Olfeo Sujets : Superviser avec Nagios (Supervision SNMP)

110 6 Superviser la solution Olfeo Superviser avec Nagios (Supervision SNMP) Nagios est une application permettant la surveillance système et réseau. Il est possible de superviser la solution Olfeo à l'aide de Nagios. Pour cela il faut au préalable disposer d'un serveur de supervision Nagios Core installé avec l'ensemble des plugins Nagios. Si vous ne disposez pas d'un serveur de supervision Nagios référez vous à la documentation d'installation "Nagios Quickstart Installation Guides" ( Configurer la solution Olfeo pour interagir avec SNMP 1. Rendez-vous à la page de configuration en suivant les menus [Paramétrage] > [Supervision] > [SNMP]. Section: SNMP 2. Saisissez dans le champ [SNMP] l'adresse IP du serveur Nagios qui sera autorisée à accéder à la solution Olfeo. 3. Saisissez le nom de la communauté à utiliser dans le champ [Communauté]. Remarque: La communauté par défaut est: public. 4. Cliquez sur le bouton [Valider] pour enregistrer les changements. Configurer Nagios 1. Nagios fonctionne avec des fichiers de configuration définissant les machines à superviser. Relevez dans le fichier nagios.cfg le répertoire où sont situés les fichiers de configuration des machines à superviser (variables cfg_dir). 2. Positionnez un fichier de configuration olfeo.cfg dans le répertoire de configuration des machines à superviser. Solution Olfeo / Guide d'intégration / 110

111 6 Superviser la solution Olfeo Voici ci dessous un exemple de configuration sur lequel vous pouvez vous appuyer. # Define the Olfeo host to be supervised. # Modify the Olfeo adress with the adress of your Olfeo solution define host { use generic-host host_name olfeo alias Olfeo solution address check_command check-host-alive } # Check the amount of used disk space on all mounted file systems # A warning is raised if one file system has only 20% free space left. # An alert is raised if one file system has only 10% free space left. define service { use generic-service host_name olfeo service_description Olfeo Disk Space check_command check_all_disks!20%!10% } # Check the current system load average # Be careful! The load depends on the cpu core number. # This example is made for a mono core cpu. # For more information please refer to the check_load plugin documentation define service { use generic-service host_name olfeo service_description Olfeo Load check_command check_load!5.0!4.0!3.0!10.0!6.0!4.0 } # Check the status of each network interface define service { use generic-service host_name olfeo service_description Olfeo Interface Status check_command check_ifstatus!public } # Check the SSH server define service { use host_name service_description check_command } generic-service olfeo Olfeo SSH Status check_ssh # Check the Olfeo proxy (Try to connect the TCP 3129 port) define service { use generic-service host_name olfeo service_description Olfeo Proxy TCP Status check_command check_tcp!3129 } 3. Relancez le daemon nagios à l'aide de la commande /etc/init.d/nagios restart. 4. Loguez-vous sur la console de supervision Nagios et vérifiez que la solution Olfeo apparait bien dans le menu [hosts] et que les services de l'olfeo apparaissent bien dans le menu [services]. Solution Olfeo / Guide d'intégration / 111

112

113 Chapitre 7 Syntaxes Sujets : Syntaxe Regex

114 7 Syntaxes Syntaxe Regex Les Regex ou Expression régulière permettent de créer des motifs selon vos besoins. Les Regex utilisent la syntaxe suivante comme ceci :. : Correspond à n'importe quel symbole. [abc] : Correspond à la lettre a ou b ou c. * : Correspond à une répétition (0, 1 ou plusieurs fois le symbole précèdent). + : Correspond à une répétition (1 ou plusieurs fois le symbole précèdent).? : Correspond à une répétition (0 ou 1 fois le symbole précèdent). ^ : Correspond à un symbole début de la chaîne de caractère. $ : Correspond à une fin de chaîne de caractère. () : Correspond à un groupe de symboles. : Correspond au symbole logique "ou". \ : Permet de protéger un caractère. Exemples: "porte(manteau)?": Matche porte et portemanteau mais pas manteau. ".*": Matche n'importe quelle chaîne de caractère. "[bb]ateau": Matche bateau et Bateau. "(chaise porte)": Matche chaise ou porte. "monsite\.fr" matche monsite.fr mais pas monsitexfr.com. Avertissement: Attention le "." remplace n'importe quel caractère, il ne correspond pas au point du domaine. Exemples: ".*yahoo.*" matche toutes les urls contenant yahoo "www\.yahoo\..*" matche toutes les adresses commençant par (Comme par exemple: Solution Olfeo / Guide d'intégration / 114

115 Glossaire Active Directory (AD) Active Directory est la mise en œuvre par Microsoft des services d'annuaire LDAP pour les systèmes d'exploitation Windows. L'objectif principal d'active Directory est de fournir des services centralisés d'identification et d'authentification à un réseau d'ordinateurs utilisant le système Windows. Annuaire Un annuaire est une base de données hiérarchisée qui stocke et organise les informations sur les utilisateurs et les ressources d'un réseau. Base DN La Base DN est le sommet d'un arbre DIT (Voir Directory Information Tree pour plus d information ). Il contient le nom unique de l'objet de base d'où commencera une recherche dans un annuaire. Un exemple de base DN est: DC=mycompany, DC=com. Bind DN Le Bind DN correspond à un utilisateur autorisé à se connecter à un annuaire LDAP ou Active Directory. Un exemple de Bind DN Active Directory est: [email protected] exemple de Bind DN LDAP est: CN=administrator, DC=mycompany, DC=com. Cache Une mémoire cache ou antémémoire est, en informatique, une mémoire qui enregistre temporairement des copies de données provenant d'une ou plusieurs sources afin de pouvoir la restituer de manière rapide ultérieurement. Dans le cas d Olfeo, le proxy met en cache de nombreuses données (pages web, images, fichiers etc.) qui passent à travers lui. Si un client venait à redemander ces données, le proxy cache sera ainsi capable de restituer ces informations par le biais de la mémoire cache (sans avoir au préalable à interroger le serveur destinataire). La cache procure ainsi deux avantages, il optimise la bande passante et permet de diminuer le temps d accès. Capture C'est l'acte d'examiner l'ensemble du trafic qui circule sur un réseau. Dans le cas d'olfeo les modes d'intégration permettant de faire de la capture sont: Ecoute et Coupure. Categorie La catégorie est un groupe permettant de classifier la base d URLs d Olfeo selon des thèmes. Exemples de catégories: Armes, drogues, contrefaçon Cle SSL La sécurisation des transactions par SSL est basée sur un échange de clés entre client et serveur. De nos jours la méthode de cryptage la plus couramment utilisée par SSL est le cryptage asymétrique qui repose sur l'utilisation d'une clé publique (qui est diffusée) et d'une clé privée (gardée secrète), l'une permettant de coder le message et l'autre de le décoder. Cluster Olfeo Groupe de machines assurant une continuité de service via des IP virtuelles. Un domaine Olfeo peut inclure plusieurs clusters distincts. Console d administration Olfeo La console d'administration Olfeo est un portail Web par lequel sont réalisées les fonctions de configuration de la solution Olfeo. Domain Name System (DNS) ("système de noms de domaine") Le DNS est un service permettant d'établir une correspondance entre une adresse IP et un nom de domaine et, plus généralement, de trouver une information à partir d'un nom de domaine. Dynamic Host Configuration Protocol (DHCP) DHCP est un protocole réseau dont le rôle est d'assurer la configuration automatique des paramètres IP d une station, notamment en lui affectant automatiquement une adresse IP et un masque de sous-réseau. DHCP peut aussi configurer l'adresse de la passerelle par défaut et des serveurs de noms DNS. edirectory edirectory est un annuaire développé par Novell basé sur la norme X.500. Esclave (dans un domaine Olfeo) Toute machine d'un domaine Olfeo qui n'est pas le Maître. Dans une machine esclave, des menus sont désactivés dans l'interface d'administration Web car la configuration est réalisée sur la machine Maître. Expression régulière ou expression rationnelle (REGEX) Solution Olfeo / Guide d'intégration / 115

116 Regex est en une chaîne de caractères qui décrit un ensemble de chaînes de caractères possibles selon une syntaxe précise. File Transfer Protocol (FTP) FTP, est un protocole de communication destiné à l'échange informatique de fichiers sur un réseau TCP/IP. La variante de FTP protégée par les protocoles SSL s'appelle FTPS. HyperText Transfer Protocol (HTTP) L'HyperText Transfer Protocol est un protocole de communication chargé de transférer des documents hypertextes ou des documents hypermédia entre un serveur et un client web (navigateur). HTTPS (avec S pour secured, soit «sécurisé») est la variante du HTTP sécurisée par l'usage des protocoles SSL ou TLS. Ip2login Ip2login est un mécanisme intégré dans la solution Olfeo permettant de mémoriser l'adresse IP d'une machine avec laquelle une authentification a été réalisée et ainsi d'effectuer une association utilisateur/adresse IP. Ce mécanisme est particulièrement pratique pour éviter des demandes d'authentification répétitives à chaque connexion pouvant gêner l'utilisateur dans son utilisation quotidienne. La durée de la relation utilisateur/ip est de 24h par défaut mais peut être modifiée grâce à la console d'administration Olfeo. Kerberos Créé au Massachusetts Institute of Technology (MIT), Kerberos est un protocole d'authentification réseau sécurisé qui repose sur un mécanisme de clés secrètes et l'utilisation de tickets et non de mots de passe en clair, évitant ainsi le risque d'interception frauduleuse des mots de passe des utilisateurs. Maitre (dans un domaine Olfeo) Machine de référence qui permet de paramétrer la configuration de l'ensemble du Domaine Olfeo. C'est elle qui conserve et centralise les logs. Network Time Protocol (NTP) ("Protocole d Heure Réseau") Le Protocole d'heure Réseau (Network Time Protocol ou NTP) est un protocole qui permet de synchroniser, via un réseau informatique, l'horloge locale d'un ordinateur avec une autre machine servant de référence. NT Lan Manager (NTLM) NTLM est un protocole d authentification sécurisé utilisé dans diverses implémentations des protocoles réseau Microsoft. Dans les réseaux reposant sur un annuaire Active Directory il a progressivement été remplacé par le protocole Kerberos, lequel apporte un niveau de sécurité plus élevé. Politique de filtrage La politique de filtrage est un ensemble d'autorisations ou de restrictions appliquées aux utilisateurs informatiques d'une organisation. Portail captif Page de blocage contenant une demande d'authentification renvoyé par la solution Olfeo lors d'une demande d'accès à un serveur Web. Proxy ("Mandataire") Un proxy est un programme servant d'intermédiaire pour accéder à un autre réseau, généralement Internet. Il préserve aussi l'anonymat des utilisateurs en agissant en leur nom, d'où le terme de mandataire. Les proxys sont aussi généralement utilisés pour assurer la sécurité du réseau local, accélérer la navigation, filtrer et loguer les requêtes des utilisateurs. Proxy explicite Un proxy est dit explicite lorsque les applications clientes doivent être configurées pour communiquer avec lui. Les applications clientes sont ainsi conscientes de communiquer avec un proxy, d'où le terme explicite. Proxy transparent Un proxy est dit transparent lorsque les applications clientes (ainsi que l'utilisateur) ne sont pas conscientes de communiquer avec un proxy. SOCKS Socks est un protocole permettant d'établir des connexions réseau en passant par un proxy de type SOCKS. Squid Squid est un proxy open-source disposant d'une mémoire cache. Tickets Olfeo Un ticket est un droit d'accès à durée limitée donné à un utilisateur du portail public. Uniform Resource Identifier (URI) Un URI ( identifiant uniforme de ressource) est une courte chaine de caractères identifiant la ressource d'un réseau (Par exemple une page Web) et qui respecte la syntaxe définie pour le World Wide Web. Virtual Lan (VLAN) ("Réseau Local Virtuel") Solution Olfeo / Guide d'intégration / 116

117 Un Réseau Local Virtuel est un type de réseau informatique permettant de regrouper différentes machines d'un réseau physique au sein d'un même réseau logique. Les VLAN permettent d'améliorer la gestion du réseau, d'augmenter la bande passante, de séparer les flux, de segmenter la taille d'un domaine de broadcast de créer un ensemble logique isolé pour améliorer la sécurité. Solution Olfeo / Guide d'intégration / 117

118 Solution Olfeo / Guide d'intégration / 118