Manuel d installation UCOPIA Advance

Transcription

1 Manuel d installation UCOPIA Advance La mobilité à la hauteur des exigences professionnelles Version 4.3

2 Table des matières 1. Introduction Installation Connexion à l outil d administration UCOPIA Installation de la licence UCOPIA Installation automatique Installation manuelle Configuration réseau Configuration des paramètres de base du contrôleur Configuration des VLAN d entrée Configuration des VLAN de sortie Configuration des routes statiques de sortie Configuration du serveur de temps Configuration du serveur DNS Configuration des options de filtrage Configuration de l authentification Configuration des annuaires d authentification Configuration des certificats Configuration RADIUS Configuration Windows Configuration Shibboleth Configuration du «Zéro configuration» Configuration du mécanisme «IP fixe» Configuration du service Web Configuration du service de redirection vers un serveur de messagerie Configuration du serveur d impression Personnalisation Personnalisation des portails UCOPIA Configuration des chartes Configuration des champs additionnels Personnalisation des tickets de connexion Configuration d URL en accès libre Configuration du mécanisme de journalisation Critères d activation de la journalisation Purge de la base de données des journaux Configuration de la haute disponibilité Redondance Répartition de charge Configuration de la redondance et de la répartition de charge Configuration multi-contrôleurs Configuration des services externes de communication Configuration du service de SMS Configuration du service de messagerie ( ) Configuration du service PayPal Configuration du service PMS Configuration du service PPS

3 5.9. Configuration des interfaces avec le contrôleur UCOPIA Interface SNMP Interface Syslog Configuration des éléments actifs Configuration des points d accès Wi-Fi Configuration des commutateurs Mise en service A. Protocole PMS/FIAS

4 Liste des illustrations 2.1. Schéma d installation d UCOPIA Advance Découverte UPnP sous Windows XP Page d authentification à l outil d administration UCOPIA Advance Page d accueil d UCOPIA Advance sans licence Téléchargement de la documentation Installation de la licence UCOPIA Enregistrement automatique de licence Installation manuelle de licence Génération du fichier de licence Enregistrement manuel de la licence Restauration de licence Page d accueil de la configuration UCOPIA Advance Items du menu Réseau Configuration des paramètres de base du contrôleur Configuration des VLAN d entrée Ajout d un VLAN d entrée Exemple de configuration d un VLAN d entrée Exemple de configuration des paramètres DHCP pour un VLAN d entrée Ajout d une plage d'adresses DHCP Ajout d un bail fixe Configuration des VLAN de sortie Ajout d un VLAN de sortie Exemple de création d un VLAN de sortie Politique de sortie par défaut pour le VLAN natif Ajout d une politique de sortie Exemple de configuration de VLANs de sortie supplémentaires Exemple de politiques de sortie Configuration des routes statiques de sortie Ajout d une route statique Exemple de configuration d une route statique Configuration du serveur de temps Configuration du serveur DNS Test d un serveur DNS Configuration d une politique DNS Ajout d un nouvel enregistrement DNS Exemple de configuration d un enregistrement DNS Configuration des options de filtrage UCOPIA Définition d'un nouvel accès Ajout d'une ouverture de port Ajout d'une redirection de port Items du menu Authentification Configuration des annuaires d authentification Configuration d un annuaire d authentification Configuration des paramètres généraux d un annuaire externe Configuration des paramètres de connexion à un annuaire externe Active Directory Configuration des paramètres de connexion à un annuaire externe LDAP Configuration des paramètres de recherche de profil (Active Directory) Configuration des paramètres de recherche de profil (LDAP)

5 Configuration des comptes de délégation associés à un annuaire... Configuration des cascades d annuaires... Exemple de configuration de cascades d annuaires... Chargement des certificats... Visualisation du contenu d un certificat... Configuration du RADIUS UCOPIA... Exemple de configuration des NAS... Configuration par défaut des realms... Configuration du RADIUS UCOPIA en mode proxy... Exemple de configuration d un realm... Options avancées d authentification RADIUS... Configuration de l authentification transparente Windows... Exemple d enregistrement dans un domaine Windows... Écran d'accueil de la configuration Shibboleth... Création d'une nouvelle configuration Shibboleth... Enregistrement sur le réseau RENATER... Items du menu Zéro configuration... Configuration du mode «IP fixe»... Configuration du service Web... Configuration de la redirection vers un proxy parent... Configuration du service de redirection vers un serveur de messagerie... Choix des modes de configuration de redirection SMTP... Exemple de configuration de redirection SMTP... Exemple de configuration du relai SMTP... Configuration des imprimantes... Choix du protocole de l'imprimante locale, ou réseau... Saisie de l'adresse de l'imprimante... Description de l 'imprimante... Choix du fabricant de l'imprimante... Choix du modèle de l'imprimante... Définition des options de l'imprimante... Visualisation d une imprimante configurée... Affichage d information détaillée pour une imprimante... Items du menu Personnalisation... Configuration des portails UCOPIA... Tableau des associations... Tableau des configurations... Tableau des modèles visuels... Ajout d'une association... Configuration d'une association... Activation/désactivation d'une association... Association ajoutée... Modification d'une association... Ajout d une configuration de portail captif... Exemple de configuration d un portail hébérgé (avec redirection)... Exemple de configuration d un portail externe... Exemple de configuration des langues du portail captif... Exemple de portail captif UCOPIA... Portail captif "welcome" avec enregistrement libre... Auto-enregistrement libre d un utilisateur depuis le portail captif... Configuration du portail captif avec enregistrement libre

6 5.89. Portail captif «welcome» avec enregistrement par SMS Auto-enregistrement par SMS d un utilisateur depuis le portail captif Configuration du portail captif avec enregistrement par SMS Portail captif avec enregistrement par Auto-enregistrement par d un utilisateur depuis le portail captif Exemple de configuration du portail captif avec enregistrement par Mail Portail captif avec paiement en ligne Enregistrement lors d un paiement en ligne Choix d un forfait avant paiement en ligne Configuration du portail captif avec paiement en ligne Exemple de portail captif avec utilisation de forfaits (PMS) Exemple de feedback utilisateur après un choix de forfait Exemple de configuration du portail captif avec utilisation d un PMS Portail captif avec utilisation d un PPS Exemple de configuration du portail captif avec utilisation de cartes prépayées (PPS) Portail captif avec authentification Shibboleth Exemple de feedback utilisateur après authentification Exemple de configuration du portail captif avec authentification Shibboleth Modification d'une configuration de portail captif Ajout d'une configuration de portail de délégation Exemple de champs d'enregistrement des utilisateurs pour le portail de délégation Exemple de configuration des langues du portail de délégation Modification d'une configuration de portail de délégation Ajout d'un modèle visuel Exemple de configuration d'un nouveau modèle visuel Exemple d'ajout d'un modèle visuel Edition d'un modèle visuel Choix du type de modèle visuel à éditer Éditeur de modèle visuel de portail Modification d'un modèle visuel Exportation du modèle visuel Importation d'un modèle externe Configuration des chartes Ajout d'une charte Charte de type Texte Charte de type Fichier Charte de type URL Personnalisation des champs additionnels Ajout de champs additionnels Portail de délégation avec champs additionnels Personnalisation des tickets de connexion Exemple de configuration d un ticket de connexion au format A Exemple de ticket de connexion au format A Exemple de configuration d un ticket de connexion au format badge Exemple de ticket de connexion au format badge Configuration des URL en accès libre Ajout d une URL HTTP en accès libre Exemple d URL en accès libre URL HTTP en accès libre Ajout d'une URL HTTPS en accès libre Configuration de la journalisation

7 Exemple de configuration de critères pour la purge des journaux Génération des fichiers de sauvegarde Activation de la compression des sauvegardes de journaux Suppression automatique des fichiers de sauvegarde Exemple de configuration d export FTP des journaux Configuration du mécanisme de répartition de charge : étape Configuration du mécanisme de répartition de charge : étape Configuration du mécanisme de répartition de charge : étape Exemple de configuration pour 3 contrôleurs dont 2 en répartition de charge et 1 redondant Configuration du mécanisme de répartition de charge : étape Exemple de 3 contrôleurs dont 2 actifs et un passif Administration centralisée depuis un contrôleur principal Items du menu Multi-contrôleurs sur le contrôleur principal Configuration d un contrôleur principal Exemple de configuration des ports de communication en environnement multi contrôleurs Configuration des contrôleurs secondaires Ajout d un contrôleur secondaire Item du menu Multi-contrôleurs sur un contrôleur secondaire Information d association principal/secondaire Items du menu Services externes Configuration des comptes SMS Ajout d un compte SMS Exemple de configuration d un compte SMS Configuration des comptes de messagerie Ajout d un compte de messagerie Exemple de configuration d un compte mail Configuration PayPal Configuration du portail UCOPIA avec paiement en ligne Configuration de l interface PMS Configuration des paramètres de connexion au PMS Configuration du système PPS Configuration des paramètres de connexion au PPS Items du menu Interfaces UCOPIA Configuration de l interface SNMP Exportation Syslog Configuration de l'exportation Syslog

8 Introduction 1 Introduction Ce manuel s adresse aux administrateurs système et/ou réseaux ayant en charge l installation et la configuration d UCOPIA Advance. UCOPIA Advance est constitué d un boîtier (ou Appliance) se positionnant entre l infrastructure d accueil des utilisateurs (Wifi et/ou filaire) et le réseau local de l entreprise. UCOPIA Advance assure les grandes fonctions suivantes : Authentification des utilisateurs Gestion des droits d accès par profil utilisateur en fonction du lieu et de l heure Confidentialité des données Accès «Zéro Configuration» pour les utilisateurs Provisionnement des comptes par délégation et/ou auto-enregistrement Supervision et journalisation Intégration avec le réseau existant Déploiement multi-sites Haute disponibilité Nous présenterons dans ce manuel la façon d installer et de configurer UCOPIA Advance. Pour son administration, consultez le manuel «Manuel d Administration UCOPIA Advance». Note Pour désigner UCOPIA Advance dans ce manuel, nous utiliserons indifféremment le terme de «boîtier» ou de «contrôleur». Le terme de contrôleur est en particulier utilisé par les interfaces graphiques des outils d administration UCOPIA. 8

9 Installation 2 Installation UCOPIA Advance s installe en coupure logique (ou physique) entre le LAN d entreprise et le réseau d accueil des utilisateurs (Wifi et/ou filaire). Tous les flux en provenance ou à destination des utilisateurs doivent traverser le boîtier UCOPIA. Pour cela, le boîtier UCOPIA est équipé de deux cartes Ethernet, l une étant reliée au LAN, l autre sur le réseau d accueil. L installation s effectue comme suit : Branchement d un câble Ethernet reliant l interface eth0 (OUT) du boîtier UCOPIA vers le LAN. Branchement d un câble Ethernet reliant l interface eth1 (IN) du boîtier UCOPIA vers l infrastructure d accueil Wifi et/ou filaire (exemple : commutateur sur lequel sont branchés les points d accès). Branchement secteur 220 V ou 110 V. Voici le schéma d installation d UCOPIA Advance : Figure 2.1. Schéma d installation d UCOPIA Advance Note Il est possible de brancher sur le boîtier UCOPIA, côté eth1, des postes utilisateurs connectés en filaire. Avertissement Si UCOPIA est directement relié à un modem ADSL côté eth0, celui-ci doit assurer la fonction de routeur. 9

10 Installation Avertissement Effectuez tous les branchements avant de démarrer le boîtier UCOPIA. 10

11 Connexion à l outil d administration UCOPIA 3 Connexion à l outil d administration UCOPIA Se connecter à l outil d administration nécessite d accéder au contrôleur UCOPIA. Le contrôleur peut être découvert grâce aux annonces UPnP qu il émet sur le réseau à intervalles réguliers sur toutes ses interfaces réseau. Note Le service UPnP peut être désactivé (aucune annonce n est émise). L intervalle d émission des annonces peut être modifié. Voir Section 5.1.1, «Configuration des paramètres de base du contrôleur». Avertissement Pour bénéficier de cette découverte, il est nécessaire de disposer sur le poste administrateur d un client UPnP installé et activé. Un poste administrateur pourra alors facilement avoir accès au contrôleur en parcourant les périphériques découverts par UPnP, comme le montre la capture d écran ci-dessous : Figure 3.1. Découverte UPnP sous Windows XP L accès au contrôleur pourra se faire grâce à l adresse de périphérique fournie dans l annonce UPnP. Cette adresse étant basée sur l adresse IP du contrôleur, celui-ci devra toujours disposer d une adresse valide. Dans le cas où aucun serveur DHCP n est présent sur le réseau pour lui en fournir une, le contrôleur utilisera le mécanisme auto-ip pour effectuer cette tâche. 11

12 Connexion à l outil d administration UCOPIA Dans l exemple ci-dessus, l adresse du contrôleur sera L outil d administration sera accessible à l adresse Note Si toutefois, le poste administrateur ne dispose pas de client UPnP, l accès à l outil d administration se fait en ouvrant depuis votre ordinateur un navigateur Internet à l adresse suivante : controller.mobile.lan/admin Vous devez au préalable connecter votre ordinateur au boîtier UCOPIA, en suivant une des méthodes présentées ci-dessous : 1. Reliez votre ordinateur à l interface eth1 (IN) du boîtier UCOPIA à l aide d un câble réseau. 2. Reliez votre ordinateur au commutateur sur lequel sont branchés les points d accès à l aide d un câble réseau droit, ce commutateur étant lui-même relié au boîtier UCOPIA. 3. Associez-vous à un point d accès relié au boîtier UCOPIA, en utilisant le SSID qui a été configuré à cet effet. La page d authentification s affiche : Figure 3.2. Page d authentification à l outil d administration UCOPIA Advance Entrez votre login et mot de passe afin de vous authentifier. Une fois authentifié, la page de bienvenue s affiche. Par défaut, le login est admin et le mot de passe est ucopia. Avertissement Le contrôleur UCOPIA impose de changer le mot de passe administrateur. Pour cela, consultez la documentation «Manuel d Administration UCOPIA Advance», Section «Exploitation»). 12

13 Connexion à l outil d administration UCOPIA Figure 3.3. Page d accueil d UCOPIA Advance sans licence Avertissement La page d accueil indique que la licence doit être préalablement installée (voir Section suivante). Note À tout moment, il est possible de redémarrer ou d arrêter le boîtier UCOPIA en cliquant respectivement sur «Redémarrer» ou «Arrêter». La documentation est disponible en ligne en cliquant sur «Documentation» dans la barre de menus. Les documentations proposées sont téléchargeables au format PDF en français et en anglais comme le montre la copie d écran ci-dessous. Figure 3.4. Téléchargement de la documentation 13

14 Connexion à l outil d administration UCOPIA Note Si la licence n est pas encore installée, l ensemble de la documentation est proposée (gamme Express et Advance). 14

15 Installation de la licence UCOPIA 4 Installation de la licence UCOPIA L installation de la licence UCOPIA est indispensable pour assurer le fonctionnement du boîtier UCOPIA. La licence définit la gamme et le modèle du boîtier UCOPIA (Advance 100, Advance 200, etc.). Note À ce stade, la plupart des fonctions de l outil d administration sont interdites. Seules sont autorisées les fonctions permettant d associer le boîtier UCOPIA au réseau, ainsi que les fonctions d ouverture du tunnel de maintenance et d installation de la licence. Cliquez sur l item «Exploitation» de la barre de menu, puis sur l item «Licence» dans le menu à gauche de la fenêtre. La page de mise à jour de la licence s affiche : Figure 4.1. Installation de la licence UCOPIA 4.1. Installation automatique Renseignez les champs correspondant aux coordonnées de la société installatrice et du client final. Cliquez sur «Installer la licence» Avertissement Le contrôleur UCOPIA doit être configuré de telle sorte qu il puisse accéder à Internet et donc à la plate-forme qui délivre les licences. En cas de succès, un message s affiche indiquant que la licence s est correctement installée. 15

16 Installation de la licence UCOPIA Figure 4.2. Enregistrement automatique de licence Dans le cas contraire, effectuez une installation manuelle Installation manuelle Pour réaliser une installation manuelle de licence, suivez les étapes ci-dessous. 1. Ouvrez le cadre de mise à jour manuelle de la licence en cliquant sur l icône «+». La page suivante s affiche : Figure 4.3. Installation manuelle de licence 2. Cliquez sur le lien : ment-paltform.com/gestion/licence.php] [ La page suivante s affiche : 16

17 Installation de la licence UCOPIA Figure 4.4. Génération du fichier de licence 3. Recopiez l expression affichée dans le captcha code. Entrez le numéro de série du contrôleur UCOPIA ainsi que les coordonnées de la société installatrice et celles de la société cliente. Cliquez sur «Valider». 4. Un fichier «license.tgz» est proposé en téléchargement. Enregistrez ce fichier sur votre poste. 5. Importez ce fichier sur le contrôleur à l aide du bouton «Parcourir». 6. Enregistrez la licence en cliquant sur «Enregistrer». Une fois la licence enregistrée, un message de confirmation s affiche, par exemple : Figure 4.5. Enregistrement manuel de la licence L ensemble des menus est maintenant opérationnel. Si toutefois, la licence n est pas valide, il est possible de restaurer la précédente licence en cliquant sur le bouton «Restaurer l ancienne licence» comme indiqué dans la copie d écran ci-dessous. 17

18 Installation de la licence UCOPIA Figure 4.6. Restauration de licence Note En cas de problèmes, envoyez un mail à en indiquant le numéro de série du contrôleur UCOPIA, les coordonnées des sociétés installatrice et cliente, ainsi que la nature des problèmes rencontrés. 18

19 5 UCOPIA Advance est préconfiguré pour une mise en service rapide. L interface eth0 côté LAN est préconfigurée en mode client DHCP. Trois interfaces réseaux virtuelles (VLAN) sont préconfigurées sur eth1 : VLAN natif /24 : ce VLAN est utilisé pour l administration des éléments actifs (points d accès Wi-Fi par exemple) ; VLAN /24 : ce VLAN peut être associé à l authentification de type portail web ; VLAN /24 : ce VLAN peut être associé à l authentification de type 802.1x/EAP. Un ensemble de services est également préconfiguré. De plus, vous trouverez deux profils («managers» et «guest») déjà créés avec un utilisateur pour chacun d entre eux («manager» et «guest1»). Les mots de passe associés à ces utilisateurs sont respectivement xdr22nbv et ucopia. Avertissement Les mots de passe des comptes utilisateurs préconfigurés sont bien sûr à modifier le plus rapidement possible. Pour effectuer l ensemble des configurations du boîtier UCOPIA Advance, cliquez sur l item «Configuration» de la barre de menu. La page suivante s affiche : Figure 5.1. Page d accueil de la configuration UCOPIA Advance Les options de configuration sont classées par catégorie. Réseau Cette catégorie va permettre de configurer l ensemble des paramètres réseau du boîtier UCOPIA : le nom du contrôleur, les VLAN d entrée et de sortie, les routes statiques de sortie, le serveur de temps, etc. 19

20 Authentification Cette catégorie est consacrée à la configuration des mécanismes d authentification, les annuaires intervenant dans l authentification, le serveur RADIUS embarqué dans le boîtier UCOPIA, l authentification transparente Windows, etc. Zéro configuration Il s agit ici de configurer les mécanismes permettant à un utilisateur d utiliser son poste et ses applications sans configuration préalable : utilisation d un poste en IP fixe, redirection Web et , service d imprimante virtuelle. Personnalisation Cette catégorie va permettre de configurer les portails captifs et de délégation (formats, modes de fonctionnement, aspects visuels, etc.), d ajouter des champs additionnels pour la description des comptes utilisateurs, de personnaliser les tickets de connexion délivrés par l outil d administration déléguée, ainsi que de définir des URL accessibles avant authentification. Journalisation Il s agit ici de choisir les informations qui seront journalisées (sessions, trafic, URL) ainsi que les critères de purge de la base de données (critères temporels ou de taille). Il est également possible de configurer l export automatique des sauvegardes de journaux via le protocole FTP. Haute disponibilité (optionnel) La redondance et la répartition de charge sont configurables dans cette section. Multi-contrôleurs Dans le cas de l utilisation du contrôleur UCOPIA dans un contexte multi-contrôleurs (environnement multi-sites et/ou redondance/répartition de charge), il sera possible de configurer un contrôleur principal et des contrôleurs secondaires. Services externes UCOPIA utilise des services tels que SMS ou pour, par exemple, transmettre des identifiants de connexion à l utilisateur. Il s agit de définir dans cette catégorie les différents comptes SMS, ou PayPal qui pourront être utilisés dans le produit UCOPIA. Interfaces avec le contrôleur Cette catégorie permet de configurer les interfaces de communication avec le contrôleur UCOPIA. Nous trouvons une interface SNMP permettant de superviser UCOPIA depuis un outil de supervision du marché. Nous trouvons également des interfaces permettant d interopérer avec des outils de type PMS et PPS (cartes prépayées) pour des besoins de facturation de services. Et enfin la possibilité d exporter des informations vers un serveur Syslog Configuration réseau Cliquez sur l item «Réseau» proposé en partie gauche de la fenêtre. Le sous-menu s affiche et propose les items suivants : 20

21 Figure 5.2. Items du menu Réseau Configuration des paramètres de base du contrôleur Cliquez sur l item «Contrôleur» du sous-menu. La page suivante s affiche : 21

22 Figure 5.3. Configuration des paramètres de base du contrôleur Le premier bloc permet de définir le nom du contrôleur et son nom de domaine sur les VLAN d entrée et les VLAN de sortie. Le nom du contrôleur UCOPIA est par défaut : controller, et son domaine : ucopia.mobile. Si vous souhaitez enregistrer le contrôleur UCOPIA dans un domaine Windows, vous devez renseigner le champ «Groupe de travail Netbios». Par défaut, celui-ci est UCOPIA. Le bloc «Service d annonce du contrôleur par UpnP» permet d activer ou de désactiver le service UpnP qui permet de découvrir le contrôleur sur le réseau. Ce service est activé par défaut. Le bloc «Sécurité» met en œuvre un mécanisme permettant de détecter les attaques de type ARP poisoning et d y remédier. Ces attaques peuvent provenir d utilisateurs se trouvant sur les VLAN d entrée du contrôleur UCOPIA. 22

23 Le bloc «Nature du réseau» permet de configurer le contrôleur UCOPIA pour qu il puisse s adapter à différents types d architecture réseau et plus particulièrement au cas d une architecture multi sites avec UCOPIA centralisé. Dans le cas d une architecture multi sites centralisée, trois cas de figure peuvent se présenter : Les sites distants sont reliés en niveau 2 au site principal («Réseau commuté»). Dans ce cas, l ensemble des fonctionnalités UCOPIA sont opérationnelles, notamment toutes celles associées aux VLAN (zones, multi portails, etc.). Il s agit de la configuration par défaut. Les sites distants sont reliés en niveau 3 au site principal («Réseau routé»). Dans ce cas, UCOPIA fonctionne en faisant abstraction des informations niveau 2 avec toutefois quelques restrictions : (1) seul le mode d authentification par portail Web est possible, (2) les postes clients sur le site distant doivent être configurés en DHCP, (3) le portail d authentification doit être en mode «réauthentification automatique». Certains sites sont reliés en niveau 2, d autres en niveau 3 («Réseau commuté et routé»). Le bloc «Configuration des interfaces» permet, pour chaque interface : de modifier la taille des paquets (en octets) pouvant être transmis en une seule fois (sans fragmentation) en sortie du contrôleur, de choisir le mode «autonégociation» ou pas (sélectionné par défaut), la vitesse de transmission. Le statut actuel du contrôleur est affiché concernant la vitesse réelle du lien. Le bloc «Interface de sortie» permet de visualiser pour eth0 la configuration en termes de MTU et de vitesse de lien. Le bloc «Interface d entrée» permet de visualiser pour eth1 la configuration en termes de MTU et de vitesse de lien Configuration des VLAN d entrée Cliquez sur l item «VLAN d entrée» du sous-menu. La page ci-dessous s affiche. Par défaut, 3 VLAN sont préconfigurés. 23

24 Figure 5.4. Configuration des VLAN d entrée VLAN 1 (natif) ( /24) : ce VLAN est utilisé pour l administration des équipements actifs. VLAN 2 ( /24) : ce VLAN peut être associé à une authentification de type portail Web. VLAN 3 ( /24) : ce VLAN peut être associé à une authentification de type 802.1x/EAP. Sur chaque VLAN, le serveur DHCP peut être activé ou pas, ainsi que les outils d administration. Une pastille verte indique la disponibilité, une pastille rouge la non disponibilité. Note Si dans les colonnes «Accès administration»» ou «Accès délégation» le lien «Filtrage avancé» apparaît, cela indique que l accès aux outils d administration a été personnalisé via l éditeur de filtrage (voir Section 5.1.7, «Configuration des options de filtrage»). Cliquez sur le lien pour accéder à l éditeur de filtrage. Pour ajouter un nouveau VLAN d entrée, cliquez sur le bouton «Ajouter». La page suivante s affiche : 24

25 Figure 5.5. Ajout d un VLAN d entrée Bloc «Paramètres réseau» Il s agit tout d abord de renseigner les paramètres réseau : l ID du VLAN («Numéro de VLAN»), l adresse IP du boîtier UCOPIA («Adresse IP du contrôleur»), le masque de sous-réseau («Masque de sous-réseau») et la zone d entrée («Zone d entrée»). Concernant l utilisation des zones d entrée, reportez-vous à la documentation «Manuel d Administration UCOPIA Advance», Section «Administration des zones». Bloc «Accès aux outils d administration» Il est ensuite possible de permettre à un utilisateur connecté sur ce VLAN d accéder aux outils d administration (outil d administration et/ou outil d administration déléguée). Par défaut, l accès est autorisé sur les VLAN préconfigurés. Pour donner accès à un outil d administration, il suffit de cocher la case correspondante. 25

26 Figure 5.6. Exemple de configuration d un VLAN d entrée Astuce Pour contrôler de manière fine les accès aux ressources du contrôleur, y compris à l'outil d'administration, à partir des VLAN ou d'autres entités réseau, voir Section , «Accès au contrôleur». Bloc «Paramètres DHCP» Si vous souhaitez que le serveur DHCP soit activé sur ce VLAN, il faut cocher la case «Activer le serveur DHCP pour ce VLAN» et renseigner les paramètres DHCP correspondants. Figure 5.7. Exemple de configuration des paramètres DHCP pour un VLAN d entrée 26

27 Le bouton «Calculer les paramètres DHCP» permet de calculer automatiquement les champs obligatoires. Plages d'adresses. Vous pouvez définir la ou les plages d'adresses IP qui seront attribuées aux clients DHCP. Pour cela cliquez sur le lien «Ajouter une plage». Le formulaire suivant s affiche : Figure 5.8. Ajout d une plage d'adresses DHCP Renseignez l'adresse de début puis celle de fin de la nouvelle plage. Baux fixes. Si vous souhaitez qu'une machine dont on connaît l adresse MAC obtienne toujours la même adresse IP, il faut définir un bail fixe. Pour cela cliquez sur le bouton «Ajouter un bail fixe». Le formulaire suivant s affiche : Figure 5.9. Ajout d un bail fixe Renseigner l adresse MAC et l adresse IP de la machine pour chaque machine concernée. Cliquez sur «Valider» pour confirmer la création du VLAN. Les VLAN peuvent être supprimés ou modifiés après leur création (ainsi que les VLAN préconfigurés). Pour cela, dans le tableau des VLAN, sélectionnez le VLAN à supprimer ou à modifier, à l aide de la case à cocher correspondante, et cliquez sur «Supprimer» ou «Modifier» Configuration des VLAN de sortie UCOPIA Advance offre la possibilité d aiguiller le flux d un utilisateur en sortie du boîtier UCOPIA sur un VLAN particulier. La redirection s effectue en fonction du profil de l utilisateur (voir documentation «Manuel d Administration UCOPIA Advance», pour associer un VLAN à un profil utilisateur). Cliquez sur l item «VLAN de sortie» du sous-menu proposé en partie gauche de la fenêtre. La page suivante s affiche : 27

28 Figure Configuration des VLAN de sortie Le VLAN 1 est préconfiguré. Il correspond au VLAN natif. Le champ «Adresse IP du contrôleur» correspond soit à l adresse IP octroyée par le service DHCP du réseau d entreprise, soit à l adresse IP fixe spécifiée dans la configuration du VLAN. Si le boîtier n est pas connecté au réseau, son adresse sera choisie dans la plage /16. Le champ «Mode d adressage» précise si le mode DHCP pour ce VLAN est actif ou pas (il affiche «DHCP» si le mode est activé ; il affiche «Fixe» sinon). Avertissement La prise en compte d une adresse IP attribuée par DHCP est activée sur un seul des VLAN de sortie. Par défaut, DHCP est activé sur le VLAN natif. Les champs «Accès administration» et «Accès délégation» indiquent si l accès aux outils d administration est autorisé depuis le VLAN (vert : autorisé, rouge : interdit). L accès aux outils d administration depuis le VLAN natif est par défaut autorisé. Note Si dans les colonnes «Accès administration» ou «Accès délégation» le lien «Filtrage avancé» apparaît, cela indique que l accès aux outils d administration a été personnalisé via l éditeur de filtrage (voir Section 5.1.7, «Configuration des options de filtrage»). Cliquez sur le lien pour accéder à l éditeur de filtrage. 28

29 Le champ «Sortie par défaut» indique si ce VLAN correspond à la sortie par défaut du boîtier UCOPIA. Pour ajouter un nouveau VLAN de sortie, cliquez sur le bouton «Ajouter». La page suivante s affiche : Figure Ajout d un VLAN de sortie Vous devez renseigner tout d abord les informations réseau : l ID du VLAN («Numéro de VLAN»), l adresse IP du boîtier UCOPIA («Adresse IP du contrôleur»), le masque de sous-réseau («Masque de sous-réseau») et la passerelle («Passerelle»). Le VLAN peut être configuré pour être la sortie par défaut. Pour cela, il faut cocher la case «Activer comme sortie par défaut». Avertissement Pour pouvoir activer l option «Sortie par défaut», il faut qu aucun serveur DHCP ne soit activé sur les interfaces de sortie, sinon c est l interface sur laquelle est activé DHCP qui sera sortie. Par défaut, c est l interface eth0 qui est configurée en DHCP. 29

30 Vous pouvez ensuite permettre à un utilisateur connecté sur ce VLAN d accéder aux outils d administration (outil d administration et/ou outil d administration déléguée). Figure Exemple de création d un VLAN de sortie Astuce Pour contrôler de manière fine les accès aux ressources du contrôleur, y compris à l'outil d'administration, à partir des VLAN ou d'autres entités réseau, voir Section , «Accès au contrôleur». Les VLAN peuvent être supprimés ou modifiés après leur création. Pour cela, dans le tableau des VLAN, sélectionnez le VLAN à supprimer ou à modifier, à l aide de la case à cocher correspondante, et cliquez sur «Supprimer» ou «Modifier». Avertissement Le VLAN natif ne peut être supprimé Configuration des politiques de sortie locales À chaque VLAN de sortie, il est possible de définir et d associer une politique de sortie permettant de spécifier à quelle zone de sortie est associé le VLAN ainsi que son mode d adressage réseau (NAT ou routage). Par ailleurs, nous rappelons qu une zone de sortie peut être associée à un profil utilisateur afin que les flux des utilisateurs appartenant à ce profil soient redirigés dans la zone appropriée (voir documentation «Manuel d Administration UCOPIA Advance», Section «Administration des profils utilisateur»). Les politiques de sortie sont locales car elles s appliquent à un et un seul contrôleur : celui sur lequel elles sont configurées. Par défaut, une seule politique de sortie est définie. Elle est associée au VLAN 1 natif. Cette politique indique que le VLAN 1 est associé à la zone Défaut, et que tous les utilisateurs de tous les profils (les deux profils préconfigurés) sont NATtés en utilisant l adresse IP de l interface eth0. La copie d écran cidessous décrit la configuration de cette politique par défaut. 30

31 Figure Politique de sortie par défaut pour le VLAN natif Pour créer une politique de sortie, cliquez sur le bouton «Ajouter» du tableau de politiques. La page suivante s affiche : Figure Ajout d une politique de sortie Il faut tout d abord spécifier la zone associée à la politique. Si aucune zone n existe, il est possible de la créer directement depuis ce formulaire. Il faut ensuite renseigner le numéro de VLAN qui sera associé à la politique, ainsi que le mode d adressage réseau (Routage ou NAT). Dans le cas du choix du mode NAT, il est possible soit d utiliser l adressage de l interface correspondante, soit de spécifier l adresse IP de NAT choisie. Il faut ensuite sélectionner les profils utilisateurs qui appliqueront cette politique de sortie. Choisissez les profils en les sélectionnant dans la liste des profils disponibles, les ajouter à l aide du bouton «<<<Ajouter» dans le liste des profils concernés. Enfin, il est possible d ajouter des VLAN additionnels dans la politique de sortie. Pour certains besoins spécifiques, il peut être nécessaire d accéder à plusieurs VLAN distincts. Par exemple, un utilisateur redirigé par défaut vers un VLAN d accès Internet mais qui voudrait accéder à un serveur isolé sur un autre VLAN. Pour ajouter un VLAN supplémentaire, cliquez sur le lien «VLAN supplémentaires accessibles par politique» afin de faire apparaître l écran de configuration. La liste de gauche affiche les VLAN disponibles pouvant être ajoutés. Il est possible de restreindre l accès à une adresse IP particulière. Exemple : 31

32 Figure Exemple de configuration de VLANs de sortie supplémentaires Ci-dessous, nous trouvons un exemple pour lequel deux politiques de sortie sont définies pour deux populations d utilisateurs : les Étudiants et les Professeurs. La politique pour les Étudiants est associée à la zone Pédagogique, et la politique pour les Professeurs à la zone Laboratoires. Le trafic des Étudiants est NATté et redirigé dans le VLAN 1 en sortie d UCOPIA. Le trafic des Professeurs est routé et redirigé dans le VLAN 5 en sortie d UCOPIA. Figure Exemple de politiques de sortie Configuration des routes statiques de sortie Les routes statiques servent en général à contacter une ressource réseau située sur un réseau routé différent du LAN sur lequel se situe le contrôleur UCOPIA. 32

33 On rencontre par exemple cette configuration dans les cas suivants : Si le contrôleur UCOPIA est interfacé avec un annuaire LDAP sur un LAN différent, il faut alors paramétrer une route statique afin d indiquer la passerelle (équipement du LAN sur lequel se situe le contrôleur) qui sera utilisée pour contacter le réseau distant. Si le poste d administration (ou administration déléguée) se trouve sur un réseau distant différent du LAN sur lequel se situe le contrôleur UCOPIA, il faut alors paramétrer une route statique afin d indiquer la passerelle qui sera utilisée par le contrôleur pour atteindre le poste de l administrateur. Pour configurer les routes statiques, cliquez sur l item «Routes statiques» du sous-menu en partie gauche de la fenêtre. La page suivante s affiche : Figure Configuration des routes statiques de sortie Pour ajouter une nouvelle route statique, cliquez sur le bouton «Ajouter». La page suivante s affiche : 33

34 Figure Ajout d une route statique Configurez les paramètres réseau, par exemple : Figure Exemple de configuration d une route statique Configuration du serveur de temps Pour configurer le serveur de temps, cliquez sur l item «Serveur de temps» du sous-menu en partie gauche de la fenêtre. La page suivante s affiche : 34

35 Figure Configuration du serveur de temps Vous pouvez choisir le fuseau horaire approprié (Europe/Paris par défaut), puis configurer la date et l heure. La configuration de la date et de l heure peut être réalisée soit automatiquement via un serveur NTP, soit manuellement Configuration du serveur DNS UCOPIA embarque un serveur DNS (Domain Name System) qui se comporte comme un relai DNS vers ses propres serveurs DNS. Le relai DNS peut être personnalisé en fonction du profil de l utilisateur ou de l interface d entrée d UCOPIA. La table d enregistrements DNS peut être enrichie afin de résoudre des adresses additionnelles. Pour configurer le serveur DNS, cliquez sur l item «Serveur DNS» du sous-menu en partie gauche de la fenêtre. La page suivante s affiche : 35

36 Figure Configuration du serveur DNS La première étape de configuration consiste à définir l adresse du DNS principal et éventuellement celle du DNS secondaire. La taille maximale des paquets est personnalisable afin de pouvoir communiquer avec tout serveur DNS. Cela permet notamment de facilite le transfert de paquets dont la taille est supérieure à 512 octets. Par défaut, la taille maximale est fixée à 1280 octets. Elle peut être relevée jusqu à 4096 octets. Pour chacun des DNS (principal et secondaire), il est possible d effectuer un test afin de s assurer que le DNS est correctement configuré. Pour cela, utilisez les boutons «Tester» associés aux DNS. Le test affiche la fenêtre suivante. 36

37 Figure Test d un serveur DNS Renseignez le nom de domaine et le type de requête. Les requêtes pouvant être testées sont décrites dans le tableau ci-dessous. Le nombre d envois pour chaque requête peut être spécifié. Type de requête DNS Signification A fait correspondre un nom d hôte à une adresse IPv4 de 32 bits distribués sur quatre octets, ex. : AAAA fait correspondre un nom d hôte à une adresse IPv6 de 128 bits distribués sur seize octets MX définit les serveurs de messagerie pour le domaine NS définit les serveurs DNS du domaine SOA donne les informations générales de la zone : serveur principal, de contact, différentes durées dont celle d expiration, numéro de série de la zone SRV propose des fonctionnalités avancées comme le taux de répartition de charge pour un service donné, standardisé dans la RFC 2782 [ tools.ietf.org/html/rfc2782] Configuration du relai DNS par politique Le relai DNS peut être configuré par politique, soit en fonction du profil de l utilisateur, soit en fonction de l interface d entrée du contrôleur UCOPIA. Si aucune politique n est définie, seuls les DNS primaires et secondaires seront utilisés. Pour configurer une politique, cliquez sur le bouton «Ajouter» du tableau des politiques DNS. La page suivante s affiche : 37

38 Figure Configuration d une politique DNS Nommer la politique et renseignez le type de politique (profil ou VLAN d entrée). Politique par VLAN d entrée La politique par VLAN d entrée ne s applique qu avant authentification de l utilisateur sur le portail captif. Si les serveurs DNS du contrôleur UCOPIA sont des serveurs internes (ex. : un contrôleur de domaine pour la résolution des machines internes), il est alors intéressant d appliquer des politiques DNS différentes aux utilisateurs en fonction du VLAN d entrée. Pour un VLAN d entrée visiteur, il sera conseillé d adresser des serveurs DNS publics afin que les utilisateurs ne puissent pas résoudre de nom de machines internes. Politique par profil La politique par profil ne s appliquera qu une fois l utilisateur authentifié. Sur un VLAN d entrée non sécurisé, UCOPIA peut adresser des serveurs DNS publics avant l authentification de l utilisateur. Une fois l utilisateur appartenant à un profil «employé», le contrôleur pourra adresser les serveurs DNS du domaine interne Ajout d enregistrements DNS Il est possible d enrichir le serveur DNS avec de nouveaux Enregistrements DNS. 38

39 Pour ajouter un enregistrement DNS, cliquez sur le bouton «Ajouter» du tableau de DNS. La page suivante s affiche : Figure Ajout d un nouvel enregistrement DNS Pour chaque entrée DNS, il est possible de spécifier le nom DNS (ex. : fr.ucopia.org) et l adresse IP d une machine. Il est également possible de compléter automatiquement le nom du domaine lors de l envoi de la réponse DNS, et ce aussi bien en entrée qu en sortie. Par exemple, pour un domaine ayant pour nom «mobile.lan» et une imprimante Wi-Fi se trouvant coté eth1 ayant comme adresse IP et pour nom «Printer», il sera possible d effectuer une complétion automatique avec le nom du domaine lors de l envoi de la réponse DNS. La réponse sera par conséquent «Printer.mobile.lan». Exemple : Figure Exemple de configuration d un enregistrement DNS 39

40 Recommandations d usage des DNS Les utilisateurs se connectant via le portail UCOPIA ont la possibilité d effectuer des requêtes DNS avant authentification. Ceci permet d éviter le problème de pollution de cache DNS, nuisible aux applications (et notamment à la plupart des navigateurs) mettant en œuvre un cache DNS et ne respectant pas les indications de durée de validité des réponses DNS. Il est de ce fait possible dans certaines conditions de faire transiter des informations avant authentification, et ce à très faible débit. Il est donc recommandé à des fins de sécurité de mettre en œuvre les dispositions suivantes : Configurer le serveur DNS utilisé par UCOPIA vers un serveur DNS sans accès Internet, ce qui évite les problèmes de requêtes DNS récursives. L utilisation d un proxy Web ayant accès à Internet est alors recommandée par l usage du service Web. Configurer le serveur DNS utilisé par UCOPIA vers un serveur DNS ne supportant pas les requêtes DNS récursives et/ou possédant des fonctionnalités de détection de trafic DNS suspect Configuration des options de filtrage UCOPIA propose plusieurs options ayant trait au mécanisme de filtrage UCOPIA. Pour utiliser ces options, cliquez sur l item «Filtrage» du sous-menu en partie gauche de la fenêtre. La page suivante s affiche : Figure Configuration des options de filtrage UCOPIA Accès au contrôleur L'onglet «Accès au contrôleur» permet de gérer les ouvertures de flux à destination des services du contrôleur. 40

41 Pour ajouter un nouvel accès, cliquez sur le bouton «Ajouter» : Figure Définition d'un nouvel accès Chaque entrée du tableau correspond à la combinaison d'un service et d'une ou plusieurs sources : Service Outils d'administration : donner accès à l'outil d'administration UCOPIA. Portails de délégation : donner accès aux portails de délégation. Annuaire LDAP : donner accès à l annuaire LDAP interne du contrôleur UCOPIA. Ceci permet à des outils tiers de récupérer des informations sur les utilisateurs et leur profil. Agent SNMP : donner accès aux informations SNMP interne du contrôleur UCOPIA. Voir aussi Section 5.9.1, «Interface SNMP». CLI : accès à distance directement en ligne de commande CLI Web : accès à la ligne de commande à travers l'interface Web. Base SQL des journaux : donne un accès direct à la base de données SQL des journaux, par exemple pour automatiser la production de rapports spécifiques ou réaliser un couplage avec un outil tiers. Important Contactez UCOPIA Communications pour connaître les identifiants qui vous permettront de vous connecter à la base de données. La documentation du schéma SQL vous sera également communiquée. Tous les accès : tous les accès ci-dessus. Sources Vous pouvez définir pour le service choisi, une ou plusieurs sources depuis lesquelles l'accès à ce service sera autorisé : zone, VLAN sous-réseau ou hôte. Pour ajouter une nouvelle source, cliquez sur le bouton «Ajouter une source» : Ouverture de port L onglet «Ouverture de port» permet de «traverser» le contrôleur avec ouverture du filtrage. Pour réaliser une ouverture de port, cliquez sur le bouton «Ajouter» : Exemple : le port 2000 depuis la zone d'entrée par défaut vers la zone de sortie par défaut, sans autorisation. 41

42 Figure Ajout d'une ouverture de port Source : la source depuis laquelle l'ouverture est permise (VLAN d entrée ou de sortie, zone d entrée ou de sortie, sous-réseau unique («Hôte»). Logguer le trafic de cette ouverture : choisir Oui pour enregistrer tout le trafic dans les journaux de connexion. Ouverture d'un accès prédéfini : Cette option permet de choisir un accès spécifique au lieu de définir manuellement destination protocoles et ports. Par exemple «Service Unik» permet d assurer une compatibilité avec les téléphones Unik. Une fois l option cochée, le contrôleur UCOPIA laisse passer les flux en provenance de ces téléphones. Destination : destination autorisée. Protocoles : protocoles autorisés (TCP/UDP, UDP, etc.). Ports source : ports sources à autoriser. Ports destination : ports de destination à autoriser Redirection de port L onglet «Redirection de port» permet de «rebondir» sur le contrôleur, de l interface d entrée vers la sortie ou inversement. Pour réaliser une redirection de port, cliquez sur le bouton «Ajouter» : Figure Ajout d'une redirection de port Source : la source par laquelle est émise la demande de rebond (VLAN d entrée ou de sortie, zone d entrée ou de sortie, sous-réseau unique («Hôte»).[p6] 42

43 Destination initiale : destination à atteindre avant rebond. Hôte de destination modifiée de destination après rebond. Protocoles : protocoles utilisés pour la redirection (TCP/UDP, UDP, etc.). Ports initiaux : ports avant rebond. Ports modifiés : ports après rebond. Important Les ports ne peuvent être renseignés que si et seulement si les protocoles utilisés sont TCP/UCP, TCP ou UDP. Exemple : atteindre un point d accès Wi-Fi à partir du LAN Configuration de l authentification Cliquez sur l item «Authentification» proposé en partie gauche de la fenêtre. Le sous-menu s affiche, proposant les items suivants : Figure Items du menu Authentification Configuration des annuaires d authentification UCOPIA Advance a la capacité d utiliser un ou plusieurs annuaires pour réaliser l authentification des utilisateurs. Les annuaires impliqués dans l authentification doivent être conformes au standard LDAP (type OpenLDAP, ActiveDirectory). Des mécanismes de cascade peuvent être mis en place afin de séquencer la recherche d un utilisateur sur plusieurs annuaires. L annuaire interne UCOPIA, qui est utilisé pour le stockage des profils utilisateurs, peut également être utilisé dans le processus d authentification. En effet, les utilisateurs créés depuis l outil d administration déléguée (généralement des utilisateurs de type visiteur), sont stockés dans l annuaire interne UCOPIA. Il est donc possible de mettre en cascade l annuaire d entreprise et l annuaire UCOPIA. Le mécanisme de cascade d annuaires met en œuvre plusieurs annuaires et peut être associé à un mode d authentification en particulier. Lors de la spécification d une cascade d annuaires, il faut préciser quels sont les annuaires impliqués, l ordre dans lequel les annuaires seront interrogés, et enfin le mode d authentification (portail ou 802.1x/EAP) pour lequel la cascade s applique. Cliquez sur l item «Annuaires» du sous-menu proposé en partie gauche de la fenêtre. La page suivante s affiche : 43

44 Figure Configuration des annuaires d authentification Le tableau résume les annuaires configurés et disponibles pour intervenir dans les processus d authentification. Par défaut, seul l annuaire UCOPIA est proposé (noté local). Le bloc «Séquence de recherche dans les annuaires» permet de définir d une part les cascades d annuaires pour les modes d authentification par portail et 802.1x/EAP (voir Section , «Configuration d une cascade d annuaires») et d autre part la cascade d annuaires pour l authentification des administrateurs délégués. Pour définir un nouvel annuaire, cliquez sur le bouton «Ajouter» du tableau des annuaires d authentification. La page suivante s affiche : 44

45 Figure Configuration d un annuaire d authentification La configuration de l annuaire s effectue en suivant les étapes présentées ci-dessous : 1. Bloc «Paramètres généraux». Configurer les paramètres généraux de l annuaire. Nom de l annuaire : nom de l annuaire. Ce nom sera utilisé pour désigner l annuaire dans la spécification des mécanismes de cascade. Type d annuaire : l annuaire peut être l annuaire UCOPIA interne, un annuaire de type Active Directory ou tout autre annuaire standard LDAP (OpenLDAP, Apple OpenDirectory, etc.). Exemple : Figure Configuration des paramètres généraux d un annuaire externe 45

46 Note L annuaire UCOPIA est configuré par défaut. Il correspond à l annuaire interne embarqué dans le boîtier UCOPIA. Avertissement Si l annuaire est de type Active Directory et que vous souhaitez mettre en œuvre une authentification PEAP, vous devez enregistrer le contrôleur UCOPIA dans le domaine Windows. Pour cela, cliquez sur le lien en début de page (voir Section 5.2.4, «Configuration Windows»). 2. Bloc «Paramètres de connexion». Configurer les paramètres de connexions à l annuaire : Adresse IP : adresse IP de l annuaire ; Port : numéro de port de l annuaire en fonction du protocole choisi (LDAP : 389, LDAPS : 636 en standard) ; Bind DN : ce champ représente le «Distinguished Name» de l administrateur de l annuaire. L authentification peut être anonyme. Pour cela, cochez la case «Anonyme» ; Mot de passe : mot de passe de l administrateur de l annuaire. Exemple 1 : Figure Configuration des paramètres de connexion à un annuaire externe Active Directory Exemple 2 : Figure Configuration des paramètres de connexion à un annuaire externe LDAP Avertissement La nomenclature LDAP doit être respectée afin de désigner le «Bind DN». Note Vous pouvez utiliser le bouton «Tester les paramètres» pour vérifier que la connexion avec l annuaire s établit correctement. 3. Bloc «Paramètres de recherche». Configurer les paramètres de recherche de profil 46

47 Les champs suivants sont utilisés pour déterminer le profil de l utilisateur (ou groupe) en fonction d informations présentes dans l annuaire externe. Base DN : le «Distinguished Name» correspondant à l entrée dans l annuaire à partir de laquelle la recherche s effectue. Filtre de recherche : filtre LDAP permettant de rechercher l utilisateur. Attribut du profil / Profil par défaut : le premier champ «Attribut de profil» permet de spécifier le nom de l attribut LDAP spécifiant le profil de l utilisateur. Si cet attribut n est pas spécifié ou s il n est pas renseigné dans l annuaire, le champ «Profil par défaut» sera utilisé. Attribut du mot de passe de l utilisateur / Encodage : le nom de l attribut LDAP spécifiant le mot de passe de l utilisateur et son type d encodage. Cette option est utilisée dans le cas où un attribut différent de l attribut standard est utilisé pour le mot de passe. En particulier, l utilisation d un autre attribut est indispensable si l on souhaite utiliser un annuaire LDAP qui n est pas Active Directory avec une authentification de type PEAP. Le mot de passe peut être en clair (Encodage = User-Password) ou chiffré (Encodage = NT-Password). Attribut de contrôle / Valeur attendue : un attribut de l annuaire externe qui peut être utilisé dans le processus d authentification. Il faut spécifier, d une part, le nom de l attribut et, d autre part, la valeur attendue de cet attribut. Par exemple, un attribut qui indique si un utilisateur a accepté une charte ou s il a payé son forfait. Attribut du nom : attribut permettant de récupérer le nom de l utilisateur afin de le stocker dans les journaux UCOPIA. Attribut du prénom : attribut permettant de récupérer le prénom de l utilisateur afin de le stocker dans les journaux UCOPIA. Avertissement La nomenclature LDAP doit être respectée afin de désigner le «Base DN». Avertissement L utilisation de l attribut de contrôle est nécessairement liée à un profil utilisateur. En effet, l attribut ne sera impliqué dans le processus d authentification que si l option «Utiliser les attributs de contrôle» est configurée dans le profil utilisateur (voir documentation «Manuel d Administration UCOPIA Advance», Section «Administration des profils utilisateur»). Exemple 1 : 47

48 Figure Configuration des paramètres de recherche de profil (Active Directory) Exemple 2 : Figure Configuration des paramètres de recherche de profil (LDAP) Note Vous pouvez utiliser le bouton «Tester les paramètres» pour vérifier que les paramètres sont corrects. 4. Si l annuaire a vocation à être utilisé pour l authentification des administrateurs délégués, cochez la case «Activer l accès». Figure Configuration des comptes de délégation associés à un annuaire Choisissez le compte de délégation qui sera utilisé pour les administrateurs délégués qui s authentifieront depuis cet annuaire. 5. Cliquez sur «Valider». 48

49 Configuration d une cascade d annuaires Le second bloc de la page intitulé «Séquence de recherche dans les annuaires» permet de décrire trois cascades d annuaires associées respectivement au mode d authentification par portail Web, au mode 802.1x/EAP et à l authentification des administrateurs délégués. Pour les deux premières cascades (portail et EAP), par défaut, seul l annuaire interne UCOPIA est défini (local). Ces cascades fonctionnent donc par défaut avec ce seul annuaire. Pour la cascade associée à l authentification des administrateurs délégués, aucun annuaire n est défini par défaut. Note Les administrateurs délégués définis localement ont automatiquement accès à l outil d administration. Pour modifier les cascades d annuaires, cliquez sur le bouton «Modifier» du bloc «Séquence de recherche dans les annuaires». Pour chacune des trois cascades, il est possible de choisir quels seront les annuaires impliqués dans la cascade, et l ordre d interrogation des annuaires. Exemple : 3 annuaires sont définis (Employés, Partenaires et local). La cascade pour l authentification Portail fait intervenir les trois annuaires alors que la cascade EAP seulement deux. La cascade pour les administrateurs délégués fait intervenir le seul annuaire Employés. L ordre de priorité est spécifié en utilisant les boutons «Monter» ou «Descendre», comme indiqué dans la copie d écran ci-dessous : 49

50 Figure Configuration des cascades d annuaires Une fois les cascades spécifiées, la page de configuration des annuaires s affiche comme suit : 50

51 Figure Exemple de configuration de cascades d annuaires Note Plusieurs annuaires UCOPIA peuvent intervenir dans une cascade d annuaires. Par exemple, dans le cas d une architecture multi-contrôleurs UCOPIA, il est possible d interroger en premier lieu l annuaire UCOPIA du contrôleur Principal puis l annuaire local du contrôleur Secondaire. Pour cela, il faudra ajouter l annuaire UCOPIA du contrôleur Principal dans la liste des annuaires configurés. Cette architecture peut s avérer nécessaire pour garantir le fonctionnement du contrôleur Secondaire en cas de coupure réseau entre le contrôleur Principal et le Secondaire Configuration des certificats Le contrôleur UCOPIA utilise ses propres certificats pour, d une part, l authentification HTTPS par portail Web et, d autre part, la mise en œuvre du protocole EAP/PEAP ou EAP/TTLS par le serveur RADIUS embarqué dans le contrôleur. Pour charger d autres certificats dans le contrôleur UCOPIA, cliquez sur l item «Certificats» du sousmenu proposé en partie gauche de la fenêtre. La page suivante s affiche : 51

52 Figure Chargement des certificats Pour chaque type de certificat, chargez les certificats en utilisant les boutons «Parcourir», puis cliquez sur «Valider». Un clic sur un lien (exemple : «Certificat du contrôleur UCOPIA») permet de visualiser le contenu du certificat dans l encadré «Contenu du certificat». Le certificat peut également être téléchargé. Exemple : Figure Visualisation du contenu d un certificat Note Par défaut, UCOPIA utilise des certificats signés GlobalSign. 52

53 Configuration RADIUS UCOPIA embarque son propre serveur RADIUS. Celui-ci peut être utilisé directement en tant que serveur d authentification ou en mode proxy vers un ou plusieurs serveurs RADIUS externes. Note Nous rappelons que le protocole RADIUS repose principalement sur un serveur (le serveur RADIUS), relié à une base d identification (base de données, annuaire LDAP, etc.) et un client RADIUS, appelé NAS (Network Access Server), faisant office d intermédiaire entre l utilisateur final (appelé supplicant) et le serveur. L ensemble des transactions entre le client RADIUS et le serveur RADIUS est chiffré et authentifié grâce à un secret partagé. Pour configurer le serveur RADIUS UCOPIA, cliquez sur l item «Radius» du sous-menu proposé en partie gauche de la fenêtre. La page suivante s affiche : Figure Configuration du RADIUS UCOPIA Le bloc «Paramètres EAP» permet de configurer les paramètres pour une authentification 802.1x/ EAP. Les certificats pour RADIUS peuvent être téléchargés en cliquant sur le lien «Certificats du serveur RADIUS». Concernant le mécanisme de réauthentification EAP, il est possible de choisir entre 3 cas : (1) pas de réauthentification, (2) une réauthentification qui sera contrôlée par le NAS (point d accès, par exemple), (3) une réauthentification gérée par le RADIUS UCOPIA avec un 53

54 temps de réauthentification configurable en secondes (par défaut, le temps est configuré à 40 secondes). Le bloc «Configuration des NAS» permet de configurer, d une part, le secret partagé nécessaire au chiffrement et, d autre part, le VLAN d administration des NAS (les NAS seront les points d accès dans le cas d une architecture Wi-Fi). Le secret partagé est par défaut testing123 ; le VLAN d administration est par défaut le VLAN 1. Pour configurer un NAS, cliquez sur le bouton «Ajouter». Exemple : Figure Exemple de configuration des NAS Le cadre «Options avancées pour l authentification RADIUS» permet de définir certaines options concernant la configuration RADIUS. Cliquez sur «Valider» Configuration du RADIUS UCOPIA en mode proxy Le RADIUS UCOPIA peut se configurer en mode proxy pour interroger un ou plusieurs RADIUS externes. L aiguillage vers le RADIUS externe s opère grâce à un «realm». Le «realm» va donc servir à déterminer vers quel serveur RADIUS le serveur RADIUS UCOPIA doit envoyer sa requête. Il existe trois catégories de realm : Le realm nommé ou distant Il s agit de la partie de l identifiant utilisateur qui se trouve après le «@». Par exemple, si l identifiant est «[email protected] [mailto:[email protected]]», le realm sera «truc.com». La requête sera donc envoyée au serveur RADIUS du domaine truc.com. Il faut néanmoins que ce serveur soit correctement configuré dans le mécanisme de proxy. Le realm vide (NULL) Le realm n est pas explicitement mentionné dans l identifiant utilisateur (exemple : identifiant «jdupond»). Dans ce cas, la requête sera envoyée à un serveur qui sera précisé lors de la configuration proxy. Le realm par défaut (DEFAULT) Le realm existe mais n est pas connu de la configuration. Dans ce cas, la requête sera envoyée à un serveur qui sera précisé lors de la configuration proxy. 54

55 Par défaut, le RADIUS UCOPIA sera utilisé pour à la fois le realm NULL et le realm DEFAULT, comme le montre la configuration par défaut ci-dessous : Figure Configuration par défaut des realms Note Le serveur RADIUS UCOPIA est noté «LOCAL» dans la configuration proxy. Pour utiliser le serveur RADIUS UCOPIA comme proxy, cliquez sur le bouton «Ajouter» du tableau «Configuration des realms et des serveurs proxy RADIUS». La page suivante s affiche : Figure Configuration du RADIUS UCOPIA en mode proxy Il faut tout d abord définir le nom du realm puis le RADIUS sur lequel le realm sera opérant. Pour utiliser le RADIUS UCOPIA, cliquez sur le bouton «RADIUS LOCAL». 55

56 Pour utiliser un RADIUS distant, cliquez sur le bouton «RADIUS DISTANT», puis renseignez les informations permettant d identifier le serveur RADIUS d autorité associé au realm, à savoir l adresse IP du serveur RADIUS, le numéro de port sur lequel il est accessible, et son secret. Il faut également choisir le profil utilisateur qui sera utilisé par défaut. En effet, le mécanisme de proxy RADIUS ne permet pas de rechercher le profil de l utilisateur dans l annuaire distant. Afin de faire de la facturation (ou accounting), il faut définir le port d accounting. Dans ce cas, les messages standard RADIUS Accounting seront envoyés au RADIUS distant. Les messages sont par exemple Acc-start (pour une authentification réussie et un démarrage de session), Acc-Stop (pour une déconnexion et fin de session) ou alors un message de type Session-Timeout pour le cas d utilisation de crédit temps. Le port standard d accounting est le port Certains RADIUS serveurs ont besoin de connaître le realm (par exemple, si l utilisateur est déclaré en tant que [email protected] [mailto:[email protected]] sur le RADIUS distant). Dans ce cas, il faudra cocher la case «Transmettre le realm au RADIUS distant». Exemple : Figure Exemple de configuration d un realm Configuration des options avancées de configuration RADIUS Pour configurer les options avancées, ouvrir le cadre «Options avancées pour l authentification RADIUS». Les options s affichent comme suit. 56

57 Figure Options avancées d authentification RADIUS La première option permet de coupler l authentification RADIUS avec le portail Web. En effet, le serveur RADIUS est généralement utilisé dans le cas d une architecture d authentification basée sur le protocole 802.1x. Avec UCOPIA, il est possible d utiliser RADIUS couplé à une authentification de type portail Web. La résultante de ce couplage permet, d une part, de bénéficier de la simplicité de l authentification par portail (aucun prérequis sur le poste de l utilisateur) et, d autre part, de bénéficier de la puissance de RADIUS et, en particulier, des mécanismes de proxy. Pour mettre en œuvre ce couplage, il suffit de cocher la case «Activer». Si un poste utilisateur est configuré en 802.1x PEAP/MsCHAPv2 et est rattaché à un domaine Windows, la machine envoie plusieurs types d authentification. La première authentification est «l authentification machine» où l identifiant envoyé est un identifiant propre à la machine. Une fois l authentification machine envoyée, l utilisateur s identifie (ouverture de session Windows). À ce moment, une deuxième authentification est envoyée par la machine avec, comme identifiant, celui de la session utilisateur du domaine. La deuxième option permet alors de configurer UCOPIA afin de décider quelle authentification sera prise en charge par notre serveur RADIUS : utilisateurs seuls (défaut), machines seules, utilisateurs et machines, machines du domaine uniquement (une fois l authentification machine réussie, on mémorise l adresse MAC) ainsi que les utilisateurs. Cochez la case correspondante. Il est également possible de désactiver l authentification Configuration Windows Pour enregistrer le contrôleur UCOPIA dans un domaine Windows, cliquez sur l item «Windows» du sous-menu en partie gauche de la fenêtre. La page suivante s affiche : 57

58 Figure Configuration de l authentification transparente Windows Nous rappelons que cet enregistrement est nécessaire si l on souhaite s interfacer avec un annuaire Active Directory et utiliser le protocole d authentification 802.1x/PEAP. Il faut renseigner les champs du bloc «Enregistrement dans un domaine Windows». Exemple : Figure Exemple d enregistrement dans un domaine Windows Si d autres serveurs Windows doivent être déclarés, pour assurer une redondance par exemple, utilisez le bloc «Déclaration des serveurs Windows miroirs» en spécifiant leurs adresses IP Configuration Shibboleth Shibboleth est un mécanisme de propagation d'identités, développé par le consortium Internet2, qui regroupe un grand nombre d'universités et centres de recherches. L'authentification «Shibboleth» permet de partager des informations d'identité entre établissements scolaires, universitaires, etc. Ce mécanisme permet à un établissement de demander à un autre établissement s'il connaît un utilisateur en particulier, et quel est son profil. Un peu de vocabulaire IdP : Identity provider Fournisseur d'identité 58

59 SP : Service provider Fournisseur de service DS : Discovery Service Service de découverte Procédure 5.1. Déroulement de l'authentification Shibboleth côté portail 1. Lorsqu'un utilisateur veut s'authentifier, il est redirigé vers une page listant l'ensemble des universités de la communauté (le DS). Une fois qu'il a choisi son institution, il est redirigé vers l'idp de son institution. En général c'est une page dans laquelle il y a un formulaire identifiant/mot de passe et le logo de l'établissement. 2. Si l'authentification est réussie, l'utilisateur est redirigé sur le portail. l'idp fournit au contrôleur un ensemble d'attributs dont l'attribut affiliation (ou rôle). Cet attribut va être utilisé pour tenter de faire correspondre cet utilisateur à un profil UCOPIA. Le contrôleur va tenter de donner à l'utilisateur le profil le plus élevé possible compte tenu des différentes affiliations retournées par l'idp, en essayant de les faire correspondre, sans tenir compte de la casse. Par exemple, si l'attribut d'affiliation retourné est affiliation: member;student;manager, et que le contrôleur propose les profils Student et Manager, l'utilisateur aura les privilèges du profil manager. Pour configurer l authentification Shibboleth, cliquez sur l item «Shibboleth» du sous-menu en partie gauche de la fenêtre. Figure Écran d'accueil de la configuration Shibboleth Procédure 5.2. Ajout d'une configuration Shibboleth 1. Pour ajouter une nouvelle configuration, cliquez sur le bouton «Ajouter» 2. Remplissez les champs requis, et fournissez les fichiers de certificat. 59

60 Figure Création d'une nouvelle configuration Shibboleth Configuration active : Permet de définir la configuration actuelle en tant que configuration active pour être utilisée dans les portails captifs. Une seule configuration peut être active à un moment donné. Par conséquent, activer cette configuration désactivera toutes les autres. Nom de la configuration : Le nom interne au boîtier UCOPIA, permettant de faire référence à cette configuration, notamment dans la configuration du portail. Fédération : Permet de définir la fédération à laquelle appartiendra le contrôleur. Afin de faciliter la configuration du contrôleur, les métadonnées et les certificats des fédérations RENATER sont pré-remplis. Si vous choisissez une autre fédération, vous devrez fournir son URL de métadonnées ainsi que son certificat. Méta données de la fédération : Permet de définir l'url des métadonnées de la fédération. Le contrôleur consulte cette URL toutes les heures afin de vérifier si d'autres IdP se sont rajoutés. Si tel est le cas, des règles de filtrages sont rajoutées afin de permettre l'accès vers ces IdP avant authentification. Dans le cas des fédérations RENATER, cette URL est prédéfinie. Service de découverte : Permet de définir l'url du service de découverte Shibboleth (Discovery Service). Dans le cas des fédérations RENATER, des valeurs par défaut sont proposées. Cependant, le service n'est pas garanti. Les utilisateurs sont invités à déclarer leur propre service de découverte. Certificat de la fédération : Ce certificat est fourni par la fédération. Il servira à chiffrer les messages émanant du contrôleur. Dans le cas des fédérations RENATER, ce certificat est prédéfini. Identifiant de l'entité : URL permettant d'identifier de manière unique le contrôleur au sein de la fédération. L'URL n'a pas besoin de pointer vers un serveur. Il est cependant recommandé d'utiliser une URL dont le nom de domaine vous appartient. Cette même URL devra, par la suite, être spécifiée dans le formulaire d'adhésion à fédération dans le champ 'Entity ID'. Il faut compter un délai d'une à 3 heures pour que les IdP prennent en compte votre adhésion (ou vos modifications). Exemple : Profil par défaut : Quand un utilisateur shibboleth est authentifié, le fournisseur d'identité (IdP) fournit au contrôleur ses 'affiliations' dans les attributs edupersonprimaryaffiliation et edupersonaffiliation. Renater se base les recommandations SupAnn pour définir les affiliations: student, faculty, staff, employee, member, affiliate, alum, researcher, retired, emeritus, etc. Se référer à la documentation CRU [ pour plus d'information sur les affiliations. Le contrôleur essaie de trouver une correspondance entre ces affiliations et les profils définis sur le contrôleur. Si une correspondance est trouvée, le profil 60

61 sera affecté à l'utilisateur pour la durée de la session. Par contre, si aucune correspondance n'est trouvée, l'utilisateur se voit affecté au profil par défaut défini par le champ ci-contre. Si vous souhaitez différencier le service en fonction de l'affiliation, vous devez définir sur le contrôleur des profils portant le même nom. Exemple 5.1. Exemple 1 edupersonprimaryaffiliation : Researcher edupersonaffiliation : Member, Student, Researcher Profils du contrôleur : guest, managers, researcher, student Profil qui sera utilisé : researcher Exemple 5.2. Exemple 2 edupersonprimaryaffiliation : Researcher edupersonaffiliation : Member, Student, Researcher Profils du contrôleur : guest, managers, student Profil qui sera utilisé : student Exemple 5.3. Exemple 3 edupersonprimaryaffiliation : Researcher edupersonaffiliation : Member, Student, Researcher Profils du contrôleur : guest, managers Profil qui sera utilisé : profil par défaut Certificat du service (x.509) : Ce certificat est utilisé pour chiffrer tous les messages émis par les IdP et à destination du contrôleur. Il doit donc être renseigné dans le formulaire d'adhésion à la fédération. Il sera inclus dans les méta données et diffusé à tous les IdP de la fédération. Si vous laissez ce champ vide, le contrôleur auto-générera un certificat auto signé. Clé privée du certificat de service : Cette clé privée ne doit être connue que par le contrôleur. Elle servira à déchiffrer les messages qui lui sont destinés. Elle peut éventuellement être protégée par un mot de passe (ci-dessous) Mot de passe de la clé privée du certificat de service : (Optionnel) Mot de passe de chiffrement de la clé privée. URL du service shibboleth : À renseigner dans le champ correspondant dans le formulaire d'adhésion à la fédération URL du service AssertionConsumerService SAML 1.0 : À renseigner dans le champ correspondant dans le formulaire d'adhésion à la fédération URL du service AssertionConsumerService SAML 2.0 : À renseigner dans le champ correspondant dans le formulaire d'adhésion à la fédération 3. Enregistrez vous en tant que nouveau fournisseur de service (Service Provider : SP) sur le réseau RENATER [ en reprenant les informations fournies dans le formulaire à l'étape précédente. 61

62 Figure Enregistrement sur le réseau RENATER 5.3. Configuration du «Zéro configuration» Le «zéro configuration» va permettre à un utilisateur du réseau contrôlé par UCOPIA d accéder aux ressources autorisées par son profil sans configuration préalable de son poste ou de ses applications. Cliquez sur l item «Zéro configuration» proposé en partie gauche de la fenêtre. Le sous-menu s affiche et propose les items suivants : Figure Items du menu Zéro configuration Configuration du mécanisme «IP fixe» Le mode «IP fixe» permet d activer le mécanisme permettant à un utilisateur de se connecter avec une adresse IP fixe quelconque. Si ce mécanisme est désactivé, l utilisateur devra absolument être en mode DHCP pour pouvoir se connecter. Ce mode est configurable sur chaque VLAN d entrée. 62

63 Pour activer le mode «IP fixe», cliquez sur l item «IP fixe» du sous-menu en partie gauche de la fenêtre. La page suivante s affiche : Figure Configuration du mode «IP fixe» Sélectionnez le VLAN sur lequel le mode «IP fixe» sera activé (case à cocher), puis cliquez sur le bouton «Activer». Le statut est affiché en vert quand le mode est activé, en rouge sinon. Par défaut, le mode n est activé sur aucun VLAN Configuration du service Web Ce mode va permettre à un utilisateur d utiliser son navigateur Internet, quelle que soit la configuration proxy de celui-ci. Cliquez sur l item «Web» du sous-menu proposé en partie gauche de la fenêtre. La page suivante s affiche : 63

64 Figure Configuration du service Web Le premier bloc va permettre de spécifier les ports proxy du navigateur Web client pris en charge par le contrôleur UCOPIA. On distingue deux cas : les ports pris en charge pour la redirection vers le portail d authentification (avant authentification) et les ports pris en charge après authentification. Les ports doivent être séparés par des «;». Par défaut, seuls les ports 8080 et 3128 sont pris en compte. Avertissement les ports HTTPS (443) et FTP (21) ne sont pas pris en charge par le module «zéro configuration» du contrôleur. Le deuxième bloc va être utilisé dans le cas où l on souhaite que les flux HTTP des utilisateurs soient redirigés vers un proxy Web d entreprise. Par défaut, aucune redirection n est configurée. Si vous souhaitez activer le service de redirection vers un proxy Web parent, il faut cocher la case «Activer la redirection vers le proxy web pour les ports», et renseigner les champs relatifs au proxy Web à utiliser, l adresse IP du proxy, ainsi que son port d écoute. Si le proxy d entreprise requiert une authentification, il faut cocher la case «Activer l authentification vers le proxy parent». Deux choix sont alors possibles : une authentification pour un compte unique ou une authentification pour chaque compte utilisateur. Dans le cas d un compte unique, il faut sélectionner l option et renseigner les identifiants du compte, à savoir les champs «Login» et «Mot de passe». Dans le cas des comptes utilisateurs, il est fortement recommandé de renseigner également les identifiants du compte qui sera utilisé pour authentifier le contrôleur. 64

65 Note L authentification par compte utilisateur permet d envoyer au proxy parent des informations relatives à l utilisateur (login et mot de passe). Le proxy pourra alors utiliser ces informations pour appliquer des politiques de sécurité par utilisateur ou profil utilisateur (filtrage d URL par exemple). Figure Configuration de la redirection vers un proxy parent Le troisième bloc permet d activer le filtrage d URL dans le cas d une utilisation conjointe du contrôleur UCOPIA avec le produit de filtrage d URL Olféo. Pour cela, cochez la case «Activer le filtrage des URLs». Le dernier bloc permet à travers le protocole WPAD (Web Proxy Autodiscovery Protocol) de configurer automatiquement les navigateurs Web des utilisateurs (clients du proxy Web). Pour cela, il faut télécharger un fichier wpad.dat sur le contrôleur UCOPIA. En cas de téléchargement erroné, vous pouvez restaurer le fichier précédent à l aide du bouton «Restaurer». Cliquez sur le bouton «Valider» à chaque étape Configuration du service de redirection vers un serveur de messagerie Si vous souhaitez que les flux SMTP des utilisateurs soient redirigés vers un serveur de messagerie d entreprise, il faut activer le service de redirection vers un serveur de messagerie. Par défaut, aucune redirection n est configurée. Cliquez sur l item «Messagerie» du sous-menu proposé en partie gauche de la fenêtre. La page suivante s affiche : 65

66 Figure Configuration du service de redirection vers un serveur de messagerie Cochez la case «Activer». Deux modes sont proposés, comme le montre la page suivante : 66

67 Figure Choix des modes de configuration de redirection SMTP Mode Redirection Il permet que l ensemble des flux SMTP soit redirigé vers un serveur de messagerie. Sélectionnez le mode redirection en cochant la case «Rediriger le trafic SMTP vers un serveur de messagerie», et renseignez le champ «Adresse IP». Exemple : Figure Exemple de configuration de redirection SMTP Cliquez sur le bouton «Valider». Mode Relai SMTP 67

68 Il permet l activation du relai SMTP UCOPIA afin de relayer les s vers un compte de messagerie. Pour cela, sélectionnez le mode en cochant la case «Utiliser le relai SMTP du contrôleur», et renseignez les champs suivants : Adresse IP ou DNS : à défaut de fournir l adresse IP du serveur de messagerie, un nom DNS peut être spécifié ; Identifiant du compte : par exemple [email protected] ; Mot de passe du compte : le mot de passe associé au compte. Exemple : Figure Exemple de configuration du relai SMTP Cliquez sur le bouton «Valider». Avertissement Attention : le mode Relai SMTP ne fonctionnera pas si : le serveur de messagerie bloque les messages dont l adresse de l expéditeur n est pas identique à celle spécifiée pour le compte ; le serveur de messagerie masque l adresse des expéditeurs. Le bouton «Tester les paramètres» permet de vérifier, avant validation, que les paramètres sont corrects Configuration du serveur d impression UCOPIA Advance propose un mécanisme permettant aux utilisateurs d imprimer sur une imprimante sans avoir à installer le pilote correspondant. En effet, UCOPIA Advance, grâce à son serveur d impression, mettra le pilote de l imprimante à disposition de l utilisateur de façon transparente. Pour mettre en œuvre ce service, il faut indiquer à UCOPIA Advance quelles sont les imprimantes qui pourront être proposées à l utilisateur dans ce mode transparent. 68

69 Pour configurer les imprimantes, cliquez sur l item «Imprimantes» du sous-menu proposé en partie gauche de la fenêtre. La page suivante s affiche : Figure Configuration des imprimantes Par défaut, aucune imprimante n est configurée Ajouter une imprimante Selon la configuration de l'imprimante, le contrôleur pourra la détecter automatiquement en cliquant sur «Découvrir des imprimantes réseau». Sinon, vous devrez effectuer tout l'installation manuellement. Procédure 5.3. Découverte automatique 1. Cliquez sur «Découvrir des imprimantes réseau» 2. Suivez la procédure suivante. Procédure 5.4. Installation manuelle 1. Cliquez sur le bouton «Ajouter une imprimante». 2. Choisissez l'imprimante souhaitée si celle-ci a été découverte automatiquement, ou sinon la manière dont elle est connectée. 69

70 Figure Choix du protocole de l'imprimante locale, ou réseau 3. Entrez l'adresse permettant de référencer cette imprimante s'il s'agit d'une imprimante réseau. Figure Saisie de l'adresse de l'imprimante 4. Décrivez cette imprimante afin que les utilisateurs sachent de quelle imprimante il s'agit. Figure Description de l 'imprimante 70

71 Partager cette imprimante Cochez cette case pour partager l'imprimante via le réseau Samba (SMB/CIFS). 5. Sélectionnez le fabriquant de l imprimante, ou choisissez directement un fichier PPD s'il vous a été fourni par le fournisseur de l'imprimante. Figure Choix du fabricant de l'imprimante 6. Sélectionnez le modèle de l imprimante 71

72 Figure Choix du modèle de l'imprimante 7. Choisissez les options de configuration par défaut de cette nouvelle imprimante. 72

73 Figure Définition des options de l'imprimante Note Il s'agit là des options par défaut, que l'utilisateur pourra redéfinir pour chaque tâche d'impression. Une fois l imprimante ajoutée, elle apparaît dans la page des imprimantes. 73

74 Figure Visualisation d une imprimante configurée Administrer les imprimantes Pour afficher davantage de détails sur une imprimante, cliquez sur son nom dans le tableau. Figure Affichage d information détaillée pour une imprimante Sur cette page, plusieurs actions sont possibles pour administrer l imprimante : Maintenance : commandes de maintenance de l'imprimante (pages de test, nettoyage, arrêt/démarrage) et des tâches soumises (rejet, déplacement, purge) Administration Modifier l'imprimante : permet de relancer l'assistant de configuration : Section , «Ajouter une imprimante». 74

75 Supprimer l'imprimante : définitivement du contrôleur. Définir les options de l'imprimante : permet d'accéder à l'interface de définition des options par défaut de l'imprimante : Figure 5.68, «Définition des options de l'imprimante». Définir par défaut : cette imprimante sera proposée par défaut à l'utilisateur. Tâches : affiche la liste des tâches soumises à cette imprimante : les boutons permettent de basculer entre tâches actives ou terminées. Le champ de recherche permet de filtrer les tâches en affichant uniquement les tâches dont le nom contient la chaîne recherchée Personnalisation Cliquez sur l item «Personnalisation» proposé en partie gauche de la fenêtre. Le sous-menu s affiche et propose les items suivants : Figure Items du menu Personnalisation Personnalisation des portails UCOPIA Cette section concerne d une part les portails captifs utilisés pour l authentification des utilisateurs et d autre part les portails de délégation utilisés pour la création de comptes utilisateur. Il est possible de créer autant de portails que souhaité. Une fois un portail créé, il pourra être associé à une ou plusieurs zones. Chaque portail peut être personnalisé dans son mode de fonctionnement et dans son apparence. Cliquez sur l item «Portails» du sous-menu proposé en partie gauche de la fenêtre. La page suivante s affiche : 75

76 Figure Configuration des portails UCOPIA Un portail se configure en créant une «association». Une association met en relation une zone, un mode de fonctionnement de portail (appelé «Configuration») et un modèle visuel de portail (aspect graphique). Une association peut être active ou inactive. Par défaut, trois associations actives sont préconfigurées décrivant chacune un portail. Sur la zone d entrée «Default» sont définis un portail captif et un portail de délégation. Sur la zone de sortie «Default» est défini un portail de délégation. Le tableau de configuration des portails propose 3 onglets permettant de visualiser respectivement les associations, les configurations et les modèles visuels. 1. Onglet Associations Pour visualiser le tableau des associations, cliquez sur l onglet «Associations». Figure Tableau des associations Le tableau des associations présente les colonnes suivantes : Nom de la zone : le nom de la zone d entrée ou de sortie sur laquelle s applique l association. Nom de la configuration : nom de la configuration en relation avec l association. Type de portail : Portail captif ou Portail de délégation. 76

77 Nom du modèle visuel : nom du modèle visuel de portail en relation avec l association. Statut : vert indique que l association est active, rouge inactive. Actions : icônes permettant de modifier ou de supprimer l association. Note : modification de l association Note : suppression de l association 2. Onglet Configurations Pour visualiser le tableau des configurations, cliquez sur l onglet «Configurations». Figure Tableau des configurations Une configuration par défaut («default-portal») est proposée pour le portail captif, une autre pour le portail de délégation («default-deleg»). Le tableau des configurations présente les colonnes suivantes : Nom de la configuration : le nom de la configuration classé par type de portail. Formats: les différents formats pour lesquels le portail est défini. Les formats possibles sont : PC, Tablette, Smartphone. Modes de fonctionnement : les différents modes de fonctionnement du portail. Les modes possibles sont : Standard, Auto, Libre, SMS, Mail, PayPal, PMS et PPS. Hébergé : pastille verte si le portail est hébergé par le contrôleur UCOPIA, pastille grise sinon. Zones : le nombre de zones auxquelles s applique la configuration. Modèles : le nombre de modèles visuels auxquels s applique la configuration. Actions : icônes permettant de modifier ou de supprimer la configuration. : modification de la configuration : suppression de la configuration 3. Onglet Modèles visuels Pour visualiser le tableau des modèles visuels, cliquez sur l onglet «Modèles visuels». 77

78 Figure Tableau des modèles visuels Il existe deux catégories de modèles, les modèles d usine qui ne sont pas modifiables directement et les modèles créés par l administrateur. Les modèles d usine sont les suivants : welcome :un modèle aux couleurs et design UCOPIA. neutral : le même aspect visuel que welcome mais en utilisant des couleurs neutres. Il peut ainsi s adapter plus facilement aux contraintes d une charte graphique. classic : un portail sobre pour complète personnalisation. Un modèle par défaut est prédéfini pouvant être utilisé pour les portails captif et de délégation, il se nomme «default» et est basé sur le modèle d usine «welcome». Le tableau des modèles visuels présente les colonnes suivantes : Nom du modèle : le nom du modèle visuel. Zones : le nombre de zones auxquelles s applique le modèle visuel. Configurations : le nombre de configurations auxquelles s applique le modèle visuel. Edition : icônes permettant de visualiser le modèle ou bien de lancer l éditeur graphique de modèles. : visualisation du modèle : édition du modèle Actions : icônes permettant d exporter, de modifier ou de supprimer le modèle visuel. : exportation du code HTML pour personnalisation avancée : modification du modèle : suppression du modèle Ajout d une association Pour ajouter une nouvelle association, cliquez sur l onglet «Associations» du tableau des portails, puis cliquez sur le lien «Ajouter une association». Utilisez le lien se trouvant sur la ligne «Zones d entrée» pour créer une association sur une zone d entrée. Utilisez le lien se trouvant sur la ligne «Zones de sortie» pour créer une association sur une zone de sortie. Par exemple, pour une configuration d une association sur une zone d entrée, la page suivante s affiche. 78

79 Figure Ajout d'une association Vous devez choisir la zone correspondant à l association, puis les configurations des portails captif et délégation et enfin le modèle visuel. L association peut être activée en cochant la case «Active». Figure Configuration d'une association Dans le cas où vous souhaitez activer l association et qu une association active sur la même zone existe, une popup demande confirmation de l action à exécuter. Il est donc possible de désactiver l association existante au profit de la nouvelle. 79

80 Figure Activation/désactivation d'une association La nouvelle association apparaît dans le tableau des associations. Figure Association ajoutée Modification d une association Pour modifier une association, cliquez sur l icône de modification correspondante. Par exemple, dans le cas d une association mettant en œuvre une zone d entrée et un portail captif, la page de modification suivante s affiche. 80

81 Figure Modification d'une association Il est alors possible de modifier la configuration et le modèle visuel. L association peut être activée ou désactivée Ajout d une configuration de portail captif Pour ajouter une nouvelle configuration, cliquez sur l onglet «Configurations» du tableau des portails, puis cliquez sur le lien «Ajouter une configuration». Utilisez le lien se trouvant sur la ligne «Portail captif». La page suivante s affiche : 81

82 Figure Ajout d une configuration de portail captif Dans un premier temps, il faut nommer la configuration dans le champ «Nom de la configuration». Optionnellement, il est possible de renforcer la sécurité du portail en ajoutant un mot de passe permettant de déverrouiller le portail lors de son utilisation (champ «Mot de passe de sécurisation du portail»). Cette fonction peut être utilisée en conjonction avec un mode de fonctionnement de type auto-enregistrement de l utilisateur (voir ci-dessous les modes Libre, SMS ou Mail) afin d éviter qu une personne non autorisée puisse s enregistrer sur le portail et obtenir des identifiants de connexion. Note Le mot de passe de sécurisation du portail sera le même pour tous les utilisateurs du portail. Suivre les étapes ci-dessous pour configurer le portail. 82

83 Hébergement du portail IL faut spécifier s il s agit d un portail hébergé par le boîtier UCOPIA, ou d un portail externe, c està-dire hébergé par un autre serveur (portail d entreprise par exemple). Portail hébergé par le contrôleur : le portail est hébergé par le contrôleur UCOPIA et son mode de fonctionnement doit être spécifié (voir Section , «Fonctionnement du portail captif en fonction des différents modes»). Il est également possible de rediriger l utilisateur vers un portail externe à UCOPIA avant qu il ne revienne sur le portail hebergé par UCOPIA. Ce fonctionnement peut être utile pour demander à l utilisateur des informations particulières, etc. Pour activer ce mode, cochez la case «Redirection vers un portail externe avant le portail du contrôleur», et renseignez l URL de redirection vers le portail externe. Ce mode est compatible avec les différents modes de fonctionnement du portail UCOPIA. Exemple : Figure Exemple de configuration d un portail hébérgé (avec redirection) Avertissement L URL définissant le chemin d accès au portail externe doit être déclarée comme URL en accès libre, c est-à-dire accessible avant authentification (voir Section 5.4.5, «Configuration d URL en accès libre»). Sur le portail externe, vous devez créer un lien hypertexte et utiliser le code PHP suivant pour revenir vers le portail UCOPIA. Pour revenir sur le portail UCOPIA : <a href=<?= $_GET['redirect'];?>>Cliquez ici pour vous authentifier</a> Pour revenir sur la page d enregistrement du portail UCOPIA (mode SMS, ou PayPal) : <a href='<?= redirectsub?>'>cliquez ici pour vous inscrire</a> Portail externe : dans ce cas, le portail UCOPIA est inhibé, et on utilise uniquement un portail externe. L utilisateur est automatiquement redirigé vers le portail dont l adresse est indiquée dans le champ «URL de redirection». Avertissement L URL définissant le chemin d accès au portail externe doit être déclarée comme URL en accès libre, c est-à-dire accessible avant authentification (voir Section 5.4.5, «Configuration d URL en accès libre»). Exemple : 83

84 Figure Exemple de configuration d un portail externe Avertissement En cas d utilisation unique d un portail externe, il faudra que celui-ci soit enrichi avec les fonctions d authentification UCOPIA. Pour cela, UCOPIA fournit une API permettant de réaliser les fonctions d authentification dans tous les modes de fonctionnement (standard, SMS, , etc.). Choix du format du portail Le format du portail va permettre de définir un portail adapté à un type de matériel utilisateur. Quatre types de formats sont proposés : PC : les matériels de type PC utiliseront ce portail. Tablette : les matériels de type tablette se verront attribuer ce portail. Il sera nécessaire de définir un graphisme approprié lors de la personnalisation de celui-ci (voir Section , «Mode avec utilisation de cartes prépayées (PPS)»). Smartphone : les matériels de type PDA, smart phone, etc., se verront attribuer ce portail. Il sera nécessaire de définir un graphisme approprié lors de la personnalisation de celui-ci (voir Section , «Personnalisation graphique et création de modèles visuels»). Dégradé : le matériel n'est pas reconnu, un portail minimal est proposé. Le contrôleur UCOPIA reconnaît automatiquement le type de matériel, et applique le portail correspondant. Modes de fonctionnement Le portail UCOPIA propose différents modes de fonctionnement : Portail standard : l utilisateur s authentifie avec un couple login/mot de passe. Son compte doit avoir été préalablement créé. Portail avec enregistrement libre : l utilisateur s auto-enregistre sur le portail et reçoit ses identifiants directement sur le portail. Connexion automatique : dans ce mode il n y a pas de portail, l utilisateur est redirigé vers une page Web que l on peut spécifier. Dès lors que la redirection est effectuée, l utilisateur est authentifié. Portail avec enregistrement par SMS : l utilisateur s auto-enregistre sur le portail UCOPIA, et reçoit son mot de passe par SMS. Portail avec enregistrement par mail : l utilisateur s auto-enregistre sur le portail UCOPIA, et reçoit ses identifiants par mail. Portail avec paiement en ligne via PayPal : l utilisateur peut acheter un temps de connexion ou crédit temps en réalisant un paiement en ligne. Portail avec utilisation d un logiciel de facturation (PMS) : ce mode s utilise dans le cas d une interaction avec un système de facturation (PMS). L utilisateur choisit son forfait sur le portail UCOPIA. Portail avec utilisation de cartes prépayées (PPS) : ce mode s utilise dans le cas d une interaction avec un système de cartes prépayées. 84

85 Portail avec authentification Shibboleth : ce mode permet de déléguer l'authentification des utilisateurs à un fournisseur d'identité d'une communauté d'établissements. Sélectionnez le mode souhaité. Voir les sections suivantes pour configurer chacun de ces modes. Note Certains modes peuvent s utiliser conjointement. Il est par exemple possible de définir un portail fonctionnant avec enregistrement par SMS ou enregistrement par Mail. Il faut dans ce cas cocher les deux cases associées aux deux modes de portail. Options d enregistrement Auto-génération de l identifiant utilisateur à l enregistrement Cette option donne la possibilité à l utilisateur de choisir son propre identifiant. Elle ne s applique pas aux portails SMS ou Mail Auto-génération du mot de passe utilisateur à l enregistrement Cette option donne la possibilité à l utilisateur de choisir son mot de passe. Elle ne s applique pas aux portails SMS ou Mail. Définir une charte régissant l utilisation des informations personnelles Cette option affiche une charte à accepter ou refuser (case à cocher) dans le cas où des informations personnelles seraient demandées à l utilisateur. Saisie du numéro de téléphone à l enregistrement Si cette option est sélectionnée, il sera demandé à l utilisateur de renseigner son numéro de téléphone sur le portail. Ne s applique pas au portail SMS. Saisie de l adresse à l enregistrement Si cette option est sélectionnée, il sera demandé à l utilisateur de renseigner son numéro de téléphone sur le portail. Ne s applique pas au portail Mail. Options générales Définir une charte régissant l utilisation des services. Dans le cas où une charte doit être acceptée par l utilisateur, il est possible d ajouter sur le portail une case à cocher qui devra impérativement être cochée pour que l utilisateur puisse s authentifier (voir Section 5.4.2, «Configuration des chartes»). Définir une URL vers laquelle sera redirigé l utilisateur une fois connecté En mode standard, une fois l utilisateur authentifié, un lien apparaît sur le portail captif «Cliquez ici pour atteindre la page initialement demandée». Cette option permet de forcer la redirection vers une autre page spécifiée dans le champ «URL de redirection». Options utilisateur Permettre à l utilisateur de modifier son mot de passe Après une première authentification, un lien apparaîtra sur le portail donnant la possibilité à l utilisateur de modifier le mot de passe initial. 85

86 Avertissement Le lien permettant de changer de mot de passe n apparaîtra qu une fois la première authentification de l utilisateur réussie. Forcer l utilisateur à modifier son mot de passe à la première connexion Cette option oblige l utilisateur à modifier son mot de passe à la première connexion. Définition des langues Il est possible de choisir, d une part, la langue par défaut du portail et, d autre part, les langues qui seront laissées au choix de l utilisateur sur le portail. Dans l exemple ci-dessous, le français est utilisé par défaut, et le choix est laissé à l utilisateur d afficher le portail dans toutes les langues disponibles. Figure Exemple de configuration des langues du portail captif L exemple suivant montre un portail en mode visuel «welcome», en format PC, avec un mode de fonctionnement par défaut. Les différentes langues sont laissées au choix de l utilisateur. 86

87 Figure Exemple de portail captif UCOPIA Fonctionnement du portail captif en fonction des différents modes Mode standard L utilisateur s authentifie avec un couple login/mot de passe. Son compte doit préalablement avoir été créé. Il s agit du mode par défaut Mode connexion automatique Dans ce mode, l utilisateur est redirigé vers une page spécifiée dans le champ «URL de redirection automatique». Dès lors que la redirection est effectuée, l utilisateur est authentifié. Note Si le champ «URL de redirection automatique» n est pas renseigné, l utilisateur sera redirigé vers la page Web qu il avait initialement demandée. Avertissement Ce mode crée un profil et un utilisateur générique qui seront utilisés pour l'authentification des utilisateurs Mode avec enregistrement libre L utilisateur s auto-enregistre sur le portail captif UCOPIA en cliquant sur le bouton intitulé «Recevez vos identifiants sur ce portail» (voir copie d écran ci-dessous). 87

88 Figure Portail captif "welcome" avec enregistrement libre L utilisateur renseigne les champs «Identifiant», «Mot de passe», «Nom» et «Prénom» (voir copie d écran ci-dessous). L utilisateur peut ensuite s authentifier de façon standard sur le portail avec ses identifiants. Le compte de l utilisateur est automatiquement créé dans l annuaire UCOPIA. Son profil utilisateur sera celui qui est spécifié lors de la configuration du mode. 88

89 Figure Auto-enregistrement libre d un utilisateur depuis le portail captif Pour effectuer la configuration de ce mode, sélectionnez le mode «Portail avec enregistrement libre», puis : Choisissez, parmi les profils disponibles, le profil que l utilisateur obtiendra dans ce mode. Exemple : Figure Configuration du portail captif avec enregistrement libre Mode avec enregistrement par SMS L utilisateur s auto-enregistre sur le portail captif UCOPIA en cliquant sur le bouton «SMS» (voir copie d écran ci-dessous). 89

90 Figure Portail captif «welcome» avec enregistrement par SMS L utilisateur renseigne les champs «Nom», «Prénom» et «Numéro de téléphone» (voir copie d écran ci-dessous). Le mot de passe est envoyé par SMS sur le téléphone portable de l utilisateur. L utilisateur peut ensuite s authentifier de façon standard sur le portail, son login sera son numéro de téléphone. Le compte de l utilisateur est automatiquement créé dans l annuaire UCOPIA. Son profil utilisateur sera celui qui est spécifié lors de la configuration du mode. 90

91 Figure Auto-enregistrement par SMS d un utilisateur depuis le portail captif Avertissement Ce mode suppose un abonnement auprès d un fournisseur de SMS. Se renseigner auprès d UCOPIA Communications. Il faut, avant de pouvoir configurer ce type de portail, créer un compte qui sera associé à une plateforme de SMS proposée par le contrôleur UCOPIA. Pour cela, il faut se rendre dans le menu «Services externes», item «SMS» (voir Section 5.8.1, «Configuration du service de SMS» pour davantage de détails). Une fois le compte créé, sélectionnez le mode «Portail avec enregistrement par SMS», puis : Sélectionnez le compte associé à une plate-forme d envoi de SMS parmi ceux proposés. Choisissez, parmi les profils disponibles, le profil que l utilisateur obtiendra dans ce mode. Exemple : 91

92 Figure Configuration du portail captif avec enregistrement par SMS Mode avec enregistrement par Mail L utilisateur s auto-enregistre sur le portail captif UCOPIA en cliquant soit sur le bouton (voir copie d écran ci-dessous). Figure Portail captif avec enregistrement par L utilisateur renseigne les champs «Nom», «Prénom» et «Adresse » (voir copie d écran ci-dessous). Les identifiants de connexion sont envoyés par mail à l adresse spécifiée, et l utilisateur dispose d un temps limité pour consulter sa messagerie, et ainsi prendre connaissance de son mot de passe. L utilisateur peut ensuite s authentifier de façon standard sur le portail. Le compte de l utilisateur est automatiquement créé dans l annuaire UCOPIA. Son profil utilisateur sera celui qui est spécifié lors de la configuration du mode. Les temps dont dispose l utilisateur pour consulter son mail ainsi que les protocoles ouverts permettant la lecture du message sont configurables. 92

93 Figure Auto-enregistrement par d un utilisateur depuis le portail captif Il faut, avant de pouvoir configurer ce type de portail, créer un compte qui sera associé à un serveur de messagerie proposé par le contrôleur UCOPIA. Pour cela, il faut se rendre dans le menu «Services externes», item «Mail» (voir Section 5.8.2, «Configuration du service de messagerie ( )» pour davantage de détails). Une fois le compte créé, sélectionnez le mode «Portail avec enregistrement par Mail», puis : Sélectionnez le compte associé à un serveur de messagerie parmi ceux proposés. Choisissez, parmi les profils disponibles, le profil que l utilisateur obtiendra dans ce mode. Configurez l'ouverture temporaire de l'accès réseau. En effet, l utilisateur devant consulter sa messagerie pour prendre connaissance de son mot de passe, le réseau doit être ouvert pendant le temps nécessaire et suffisant à la consultation de la messagerie. Le temps d ouverture s exprime en minutes dans le champ «Durée d ouverture». L ouverture du réseau peut être restreinte à certains protocoles que l on peut sélectionner dans le champ «Service ouvert». Un service «Watch_Mail» est prédéfini pour cet usage (HTTPS, HTTPS, POP, IMAP, ). Optionnellement, imposez que les adresses de messagerie appartiennent à certains domaines. Pour cela cliquez sur «Ajouter un nom de domaine» et renseignez le nom de domaine. 93

94 Figure Exemple de configuration du portail captif avec enregistrement par Mail Mode avec paiement en ligne via PayPal L utilisateur s auto-enregistre sur le portail captif UCOPIA en effectuant un paiement en ligne. Ce paiement en ligne est associé à l achat d un forfait à choisir sur le portail. Pour s enregistrer, l utilisateur clique sur le portail soit le bouton de paiement en ligne (voir copie d écran ci-dessous). Figure Portail captif avec paiement en ligne L utilisateur renseigne les champs «Identifiant», «Mot de passe», «Nom» et «Prénom» (voir copie d écran ci-dessous). 94

95 Une fois le forfait choisi, l utilisateur est redirigé vers le site PayPal sur lequel il peut payer son forfait, soit en utilisant son compte PayPal, soit en utilisant sa carte de crédit. Si la transaction s est effectuée avec succès, l utilisateur peut se connecter sur le portail en utilisant les identifiants qu il a choisis. Les identifiants peuvent être envoyés à l utilisateur par SMS si la configuration du contrôleur l autorise. Figure Enregistrement lors d un paiement en ligne 95

96 Figure Choix d un forfait avant paiement en ligne Note Afin d assurer la traçabilité de la connexion, les informations nominatives (Nom, Prénom) de l utilisateur sont dans tous les cas récupérées depuis PayPal et enregistrées dans les journaux UCOPIA. Il faut, avant de pouvoir configurer ce type de portail, créer un compte PayPal et configurer UCOPIA avec les informations relatives à ce compte. Pour cela, il faut se rendre dans le menu «Services externes», item «PayPal» (voir Section 5.8.3, «Configuration du service PayPal» pour davantage de détails). Le portail PayPal fonctionne avec la notion de forfait. Le forfait est défini par l administrateur UCOPIA. Cela peut être un forfait 1h, 3h, ou forfait « s», ou forfait «Tous les jours ouvrés de 16h à 18h», etc. Les forfaits sont proposés au choix de l utilisateur sur le portail captif avant paiement (voir documentation «Manuel d Administration UCOPIA Advance», Section «Administration des forfaits»). Sélectionnez le mode «Portail avec paiement en ligne via PayPal», puis : Sélectionnez le ou les forfaits à présenter sur le portail. Choisissez si les identifiants de l utilisateur lui seront envoyés par SMS. Les options possibles sont «Jamais», «Sur demande de l utilisateur» ou «Toujours». Pour l envoi par SMS, il faut préalablement interfacer le contrôleur UCOPIA avec une plate-forme de SMS (voir Section 5.8.1, «Configuration du service de SMS»). Exemple : 96

97 Figure Configuration du portail captif avec paiement en ligne Avertissement Ce mode suppose que l administrateur ait définie au préalable des forfaits (voir la documentation «Manuel d administration UCOPIA Advance», Section «Administration des forfaits». Avertissement Ce mode suppose que l administrateur de la solution UCOPIA (ou son représentant) ait créé au préalable un compte PayPal. Ce compte doit avoir le statut «Premier» ou «Business» Mode avec utilisation d un logiciel de facturation (PMS) Le couplage UCOPIA/PMS (Property Management System) fonctionne avec une notion de forfait. Le forfait est défini par l administrateur UCOPIA. Cela peut être un forfait 1h, 3h, ou forfait « s», ou forfait «Tous les jours ouvrés de 16h à 18h», etc. Les forfaits sont proposés au choix de l utilisateur sur le portail UCOPIA après authentification. Les deux copies d écran suivantes montrent un exemple de portail captif avec choix de 2 forfaits, ainsi que le feedback affiché une fois le choix effectué. 97

98 Figure Exemple de portail captif avec utilisation de forfaits (PMS) 98

99 Figure Exemple de feedback utilisateur après un choix de forfait Pour la configuration de ce mode, il faut sélectionner le mode «Portail avec utilisation d un logiciel de facturation (PMS)» et choisir le ou les forfaits qui seront présentés à l utilisateur sur le portail. Figure Exemple de configuration du portail captif avec utilisation d un PMS Avertissement Ce mode suppose que l administrateur ait défini au préalable des forfaits (voir la documentation «Manuel d administration UCOPIA Advance», Section «Administration des forfaits». 99

100 Avertissement Ce mode suppose que l administrateur ait configuré au préalable la connexion avec le logiciel de facturation PMS, voir Section 5.8.4, «Configuration du service PMS» Mode avec utilisation de cartes prépayées (PPS) Le couplage UCOPIA/PPS (Pre-Paid System) fonctionne avec des cartes prépayées. À chaque carte est associé un temps de connexion. L utilisateur s authentifie sur le portail avec l identifiant de sa carte et un captcha code. Le temps octroyé par la carte et le temps consommé s affichent sur le portail après authentification. La copie d écran suivante montre un exemple de portail UCOPIA PPS. Figure Portail captif avec utilisation d un PPS Pour la configuration de ce mode, il faut sélectionner le mode «Portail avec utilisation de cartes prépayées (PPS)», puis définir le profil qui sera associé à tous les utilisateurs utilisant le mode PPS. 100

101 Figure Exemple de configuration du portail captif avec utilisation de cartes prépayées (PPS) Avertissement Ce mode suppose que l administrateur ait configuré au préalable la connexion avec le logiciel de cartes prépayées PPS, voir Section 5.8.5, «Configuration du service PPS» Mode par authentification Shibboleth Ce mode permet d'authentifier des utilisateurs référencés par un tiers fournisseur d'identité. Figure Portail captif avec authentification Shibboleth L'utilisateur indique son établissement d'origine et ses identifiants, puis est authentifié par le service tiers. 101

102 Figure Exemple de feedback utilisateur après authentification Figure Exemple de configuration du portail captif avec authentification Shibboleth Avertissement Ce mode suppose que l administrateur ait configuré au préalable l'authentification Shibboleth, voir Section 5.2.5, «Configuration Shibboleth» Modification d une configuration de portail captif Pour modifier une configuration de portail captif, cliquez dans le tableau des configurations sur l icône de modification correspondant à la configuration à modifier. Exemple : 102

103 Figure Modification d'une configuration de portail captif La page de modification est identique à la page de création Ajout d une configuration de portail de délégation Pour ajouter une nouvelle configuration, cliquez sur l onglet «Configurations» du tableau des portails, puis cliquez sur le lien «Ajouter une configuration». Utilisez le lien se trouvant sur la ligne «Portail de délégation». La page suivante s affiche : Figure Ajout d'une configuration de portail de délégation Dans un premier temps, il faut nommer la configuration dans le champ «Nom de la configuration». Suivre les étapes ci-dessous pour configurer le portail de délégation. Options administrateur délégué Permettre à l administrateur délégué de modifier son mot de passe Après une première authentification, un lien apparaîtra sur le portail donnant la possibilité à l administrateur délégué de modifier le mot de passe initial. 103

104 Avertissement Le lien permettant de changer de mot de passe n apparaîtra qu une fois la première authentification de l administrateur délégué réussie. Forcer l administrateur délégué à modifier son mot de passe à la première connexion Cette option oblige l administrateur délégué à modifier son mot de passe à la première connexion. Options d enregistrement des utilisateurs En plus des champs additionnels pouvant être ajoutés lors de la création d un compte utilisateur (depuis le portail de délégation et/ou l outil d administration), il est possible d ajouter sur le portail de délégation 3 champs supplémentaires. L avantage de ces champs est qu ils sont typés, ils seront donc stockés dans les journaux utilisateurs sous leur nom respectif. Les 3 champs sont «Numéro de téléphone», «Adresse » et «Adresse MAC». Exemple : Figure Exemple de champs d'enregistrement des utilisateurs pour le portail de délégation Définition des langues Il est possible de choisir, d une part, la langue par défaut du portail et, d autre part, les langues qui seront laissées au choix de l administrateur délégué sur le portail. Exemple : Figure Exemple de configuration des langues du portail de délégation Modification d une configuration de portail de délégation Pour modifier une configuration de portail de délégation, cliquez dans le tableau des configurations sur l icône de modification correspondant à la configuration à modifier. Exemple : 104

105 Figure Modification d'une configuration de portail de délégation La page de modification est identique à la page de création Personnalisation graphique et création de modèles visuels Les portails peuvent être personnalisés aux couleurs de l entreprise à travers un éditeur graphique (excepté dans le cas du choix de fonctionnement en mode «Connexion automatique» qui est sans portail). Avant de pouvoir effectuer une personnalisation, il faut ajouter (ou modifier) un modèle visuel. Pour ajouter un modèle visuel cliquez sur l onglet «Modèles visuels» du tableau des portails et cliquez sur le lien «Ajouter un modèle visuel». La page suivante s affiche. Figure Ajout d'un modèle visuel Définissez le nom du nouveau modèle visuel puis la source de modèle (usine, personnel, externe). Suivant la nature du modèle, les modèles disponibles seront proposés. Avertissement Le modèle d usine «welcome» n est pas modifiable. Il faut utiliser les modèles «classic» ou «neutral». Par exemple, pour créer un nouveau modèle basé sur le modèle d usine «neutral», la configuration sera la suivante : 105

106 Figure Exemple de configuration d'un nouveau modèle visuel Le nouveau modèle apparaît alors dans le tableau des modèles. Figure Exemple d'ajout d'un modèle visuel Le nouveau modèle «mon-modèle» est maintenant éditable à travers l éditeur graphique. Pour éditer un modèle à travers l éditeur graphique, cliquez sur l icône d édition se trouvant sur la ligne du modèle visuel à modifier. Figure Edition d'un modèle visuel Une fenêtre propose de personnaliser soit le portail captif soit le portail de délégation. Dans le cas d un portail captif, les différents formats (PC, tablette, smartphone) sont proposés. Figure Choix du type de modèle visuel à éditer 106

107 Le choix effectué, cliquez sur «Editer». L éditeur de modèle visuel s affiche alors comme ci-dessous. Figure Éditeur de modèle visuel de portail Note Consultez la documentation «Manuel d utilisation de l éditeur de portail UCOPIA» pour l utilisation de l éditeur de portail UCOPIA Modification de modèles visuels Pour modifier un modèle visuel de portail, cliquez dans le tableau des configurations sur l icône de modification correspondant au modèle visuel à modifier. Exemple : Figure Modification d'un modèle visuel La page de modification est identique à celle de création Personnalisation graphique avancée Pour des besoins de personnalisation avancée, il est possible de modifier le source HTML du modèle visuel. 107

108 Pour cela, cliquez sur l onglet «Modèles visuels» du tableau des portails et cliquez sur l icône d exportation se trouvant sur la ligne du modèle visuel à modifier. Figure Exportation du modèle visuel Le code du modèle visuel du portail se présente sous la forme d une archive à télécharger. Une fois le code modifié et personnalisé, il sera possible de le réimporter dans le contrôleur à utilisant l icône de modification du modèle visuel. Lors de la modification du modèle visuel, il faudra sélectionner «externe» comme source de modèles et importer le fichier décrivant le modèle modifié en utilisant le bouton «Parcourir». Figure Importation d'un modèle externe Avertissement Une fois le code HTML du portail modifié et réimporté dans le contrôleur, il n est plus éditable à travers l éditeur graphique. Note Consultez la documentation «Personnalisation avancée du portail captif UCOPIA» pour réaliser une personnalisation avancée d un portail UCOPIA Configuration des chartes Les chartes peuvent être utilisées sur le portail captif pour deux usages. 1. Demander à l utilisateur d accepter une charte avant de pouvoir s authentifier. Cette charte peut par exemple indiquer à l utilisateur que l ensemble de son trafic sera tracé. 2. Demander à l utilisateur d accepter une charte quand on lui demande des informations personnelles telles que adresse mail ou numéro de téléphone. Cette charte peut par exemple demander si ces informations peuvent être utilisées à des fins marketing. Cliquez sur l item «Chartes» du sous-menu proposé en partie gauche de la fenêtre. La page suivante s affiche : 108

109 Figure Configuration des chartes Pour ajouter une charte, cliquez sur le bouton «Ajouter» du tableau des chartes. La page suivante s affiche. Figure Ajout d'une charte 109

110 Il faut nommer la charte dans le champ «Nom de la charte», puis choisir le type de la charte et les langues dans lesquelles la charte sera affichée. Sélectionnez le type de charte. Les différents types sont les suivants : Texte : le texte de la charte est directement affiché sur le portail Il faut renseigner le texte qui apparaitra sur le portail. Figure Charte de type Texte Fichier : la charte se trouve dans un fichier hébergé par le contrôleur. IL faut renseigner le texte du lien qui permettra de visualiser la charte, ce lien s affichera sur le portail. Puis charger le fichier contenant la charte. Figure Charte de type Fichier URL : la charte est accessible à partir d une URL Il faut renseigner le texte du lien qui permettra de visualiser la charte, ce lien s affichera sur le portail. Puis choisir l URL dans la liste des URLs déclarées en libre accès. Figure Charte de type URL Avertissement L URL permettant d accéder à la charte devra être définie sous forme d URL en accès libre. Les informations relatives à la charte devront être renseignées pour chacune des langues souhaitées. Si ce n est pas le cas, la langue définie dans le champ «Langue par défaut» sera utilisée. Une nouvelle langue peut être ajoutée en cliquant sur le bouton «Ajouter» du champ «Ajouter une langue». Une langue peut-être supprimée en cliquant sur l icône «croix» correspondant à la langue à supprimer Configuration des champs additionnels Lors de la création d un compte utilisateur soit à travers l outil d administration, soit à travers le portail de délégation, il est possible de définir des champs additionnels permettant de décrire l utilisateur (nom de société, numéro de carte d identité, etc.) Les champs additionnels s ajouteront aux trois champs obligatoires, à savoir l identifiant, le nom et le prénom de l utilisateur. Pour chaque champ ajouté, il faudra indiquer si ce champ est obligatoire ou non, ainsi que son intitulé dans chacune des langues disponibles. 110

111 Pour ajouter des champs additionnels, cliquez sur l item «Champs additionnels» du sous-menu proposé en partie gauche de la fenêtre. La page suivante s affiche : Figure Personnalisation des champs additionnels Choisissez le nombre de champs additionnels, 3 maximum et renseignez le nom des champs. Exemple : Ajout d un champ optionnel «Numéro de chambre» et d un champ obligatoire «Carte d identité». 111

112 Figure Ajout de champs additionnels Note La langue peut être choisie par défaut. Il n est donc pas nécessaire de renseigner le libellé du champ dans toutes les langues. Les champs non renseignés prendront la valeur du champ correspondant à la langue par défaut. Cliquez sur «Valider». Dans le cadre de cet exemple, la page de l outil d administration déléguée permettant de renseigner les informations nominatives de l utilisateur s affichera comme suit : 112

113 Figure Portail de délégation avec champs additionnels Personnalisation des tickets de connexion Vous pouvez personnaliser les tickets de connexion générés par l outil d administration déléguée UCOPIA. Vous pouvez en particulier remplacer le logo UCOPIA par celui de l organisation, ajouter du texte en dessous de ce logo, choisir les langues et, dans le cas d un ticket au format badge, choisir les informations affichées. Cliquez sur l item «Tickets de connexion» du sous-menu proposé en partie gauche de la fenêtre. La page suivante s affiche : 113

114 Figure Personnalisation des tickets de connexion Le bloc «Configuration du logo» permet de modifier le logo qui apparaît en entête des tickets de connexion (format A4 et badge). Le logo actuellement utilisé est affiché dans le bloc. Pour le remplacer, cliquez sur «Parcourir...» pour sélectionner le nouveau logo. Cliquez sur «Valider». Avertissement Seuls les formats JPEG et PNG sont acceptés pour les logos. La taille du logo ne doit pas être supérieure à 2 Mo. Le bloc «Paramètres du format A4» permet d ajouter du texte sur le ticket et d en choisir la langue. Entrez votre texte dans le champ prévu à cet effet. Ce texte apparaîtra en dessous du logo. Il faut au préalable sélectionner la langue dans laquelle le texte est rédigé. Si vous souhaitez rédiger un texte en plusieurs langues, il faut pour chaque langue sélectionner la langue, et entrer le texte dans le champ de texte. 114

115 Si l on ne souhaite pas renseigner un texte pour chacune des langues, sélectionner la langue par défaut qui sera utilisée pour l affichage du texte qui n est pas traduit. Le bloc «Paramètre du format badge» permet de choisir les informations qui seront affichées sur le ticket en format badge. En effet, le format badge étant par définition réduit, il n est pas possible d afficher l ensemble des informations du ticket. Les nom, prénom, login, mot de passe et profil de l utilisateur pourront être affichés. Si l administrateur a défini des champs additionnels, ils seront également proposés à l affichage. Le bouton «Visualiser le badge» permet d avoir un aperçu de l impression du badge. Exemple : Figure Exemple de configuration d un ticket de connexion au format A4 L affichage de ce ticket au format A4 sera le suivant : 115

116 Figure Exemple de ticket de connexion au format A4 Exemple : 116

117 Figure Exemple de configuration d un ticket de connexion au format badge Pour obtenir un aperçu de l affichage en format badge, cliquez sur le bouton «Visualiser le badge». Avec l exemple ci-dessus, la page suivante s affiche : Figure Exemple de ticket de connexion au format badge Pour valider, cliquez sur le bouton «Valider». Note Le logo apparaît toujours en haut et à gauche en format badge. Avertissement Le texte libre n apparaît pas dans les tickets de connexion au format badge. 117

118 Configuration d URL en accès libre Si vous souhaitez que les utilisateurs puissent accéder à certaines URLs avant authentification, il faut les spécifier dans cette section. Cliquez sur l item «URLs en accès libre» du sous-menu proposé en partie gauche de la fenêtre. La page suivante s affiche : Figure Configuration des URL en accès libre Pour ajouter une URL HTTP, cliquez sur le bouton «Ajouter» du premier tableau. La page suivante s affiche : 118

119 Figure Ajout d une URL HTTP en accès libre Il existe deux façons de décrire des URL en accès libre. 1. En spécifiant l URL complète (ex. : Dans ce cas, toute l arborescence est accessible. 2. En spécifiant des motifs (ex. : *.ucopia.*), ce qui permet de filtrer des arborescences d un domaine soit en spécifiant le nom du domaine (dans ce cas, on a toute l arborescence), soit en spécifiant des motifs permettant de filtrer des arborescences du domaine. La case à cocher «Toujours accessible» permet de rendre utilisable l URL même si celle-ci n est utilisée par aucun portail d authentification. Exemple : Figure Exemple d URL en accès libre Cliquez sur «Valider». Une fois l URL spécifiée, un statut indique si l URL est utilisée par un des services UCOPIA (portail UCOPIA par exemple). Figure URL HTTP en accès libre 119

120 Pour ajouter une URL HTTPS, cliquez sur le bouton «Ajouter» du second tableau. La page suivante s affiche : Figure Ajout d'une URL HTTPS en accès libre Contrairement aux URLs HTTP, seule les URLs complètes peuvent être spécifiées. Cliquez sur «Valider» Configuration du mécanisme de journalisation Il est possible d une part, de contrôler quel type d information sera journalisée (sessions, URL, etc.) et, d autre part, de décider quels sont les critères sur lesquels la base de données sera «nettoyée» (partiellement ou totalement). Pour accéder à la gestion de la base de données, cliquez sur l item «Journalisation» du menu en partie gauche de la fenêtre, puis sur l item «Configuration» du sous-menu. La page suivante s affiche : 120

121 Figure Configuration de la journalisation Critères d activation de la journalisation Le bloc «Journalisation activée pour» permet d activer partiellement la journalisation, en activant par exemple la journalisation des sessions et en désactivant la journalisation des URL. Par défaut, la journalisation des sessions, des URL et du trafic licite (paquets TCP et UDP) est activée. Les paquets rejetés ne sont pas journalisés. Avertissement Si la journalisation des sessions est désactivée, il ne sera pas possible de visualiser en temps réel les utilisateurs connectés. Cette option est également obligatoire pour la journalisation des URL et des paquets TCP et UDP Purge de la base de données des journaux Le bloc «Purge des journaux» propose de définir les critères à partir desquels sera déclenchée l action de purge de la base de données. Les choix suivants sont proposés : Tous les n Mo : la base de données est vidée tous les n mégaoctets. Toutes les n sessions : la base de données est vidée toutes les n sessions. 121

122 Fréquence personnalisée : la base de données est vidée périodiquement, tous les jours, semaines ou mois. Il est possible de préciser, suivant les cas, l heure ou le jour. Exemple : Figure Exemple de configuration de critères pour la purge des journaux Avertissement Quelles que soient les valeurs configurées dans le formulaire, la purge de la base de données des journaux sera forcée si la taille excède 1 Go Génération des fichiers de sauvegarde UCOPIA peut gérer automatiquement les sauvegardes des journaux. Chaque fois que la base est vidée, un fichier est alors créé. Il faut, pour cela, s assurer que la case «Réaliser une sauvegarde des journaux lors de la purge» est cochée. Figure Génération des fichiers de sauvegarde Les fichiers de sauvegarde sont au format «tar», et sont générés avec le nom suivant : <date de début sauvegarde>-<heure>_<date de fin sauvegarde>-<heure>.tar.bz2 avec <date> = aaaammjj et <heure> = hhmm Compression des fichiers de sauvegarde Afin d optimiser la place occupée par les sauvegardes de journaux sur le disque dur de l appliance UCOPIA, il est proposé de les compresser. Par défaut, la compression est activée pour les sauvegardes datant de plus de 7 jours. Ce nombre de jours est configurable. Figure Activation de la compression des sauvegardes de journaux 122

123 Pour désactiver le mécanisme de compression, décochez la case «Activer la compression automatique des sauvegardes». Note La compression/décompression des fichiers de sauvegarde de journaux peut s effectuer manuellement pour chacun d eux. Voir documentation «Manuel d Administration UCOPIA Advance», Section «Gestion des journaux» Suppression des fichiers de sauvegarde Les fichiers de sauvegarde peuvent être supprimés automatiquement après une période de temps donnée. Par défaut, la période de conservation est de 1 an. Pour désactiver la suppression automatique, décochez sur la case «Activer la suppression automatique des sauvegardes». Figure Suppression automatique des fichiers de sauvegarde Exportation automatique des fichiers de sauvegarde Afin d automatiser l exportation des fichiers de sauvegarde des journaux, il est possible de les transférer via FTP sur une machine tierce. Note Il est fortement recommandé de configurer ce mécanisme pour (1) assurer une sauvegarde des journaux sur une plate-forme autre que le boîtier UCOPIA, et (2) éviter de saturer le disque dur UCOPIA. En effet, si le disque dur arrive à saturation, un mécanisme de rotation circulaire s active, et les journaux les plus anciens seront remplacés par les plus récents. Avertissement Les fichiers de sauvegarde seront transférés à chaque fois que la base de données est purgée. Pour activer l export, cochez la case «Activer l exportation des sauvegardes» puis renseignez les champs relatifs au serveur FTP (Nom du serveur et Port). Le champ «URI» correspond au répertoire dans lequel les fichiers de sauvegardes seront transférés (répertoire à prendre en compte depuis la racine du serveur FTP). Deux modes d authentification au serveur FTP sont proposés : le mode anonyme qui ne nécessite pas d identifiants, et le mode qui nécessite un login et un mot de passe. Décochez la case «Activez l authentification anonyme» pour le mode avec authentification, et renseignez le login et mot de passe. 123

124 Exemple : Figure Exemple de configuration d export FTP des journaux Le bouton «Tester les paramètres FTP» permet de vérifier, avant validation, que les paramètres sont corrects. Si, pour des raisons d optimisation de l espace disque, vous ne souhaitez pas conserver les sauvegardes sur le contrôleur UCOPIA une fois celles-ci transférées, cochez la case «Supprimer les sauvegardes du contrôleur après un export réussi». Note L exportation/importation des fichiers de sauvegarde des journaux peut être réalisée manuellement pour chacun d eux. Voir documentation «Manuel d Administration UCOPIA Advance», Section «Gestion des journaux» Configuration de la haute disponibilité UCOPIA Advance permet de mettre en place une architecture de redondance afin de ne pas interrompre le service du contrôleur UCOPIA en cas de défaillance de la machine. Pour ce faire, il faudra déployer au moins deux contrôleurs ayant la capacité de se suppléer l un l autre. UCOPIA propose également un mécanisme de répartition de charge qui peut permettre à plusieurs boîtiers UCOPIA de se répartir les connexions des utilisateurs. 124

125 Le basculement d un boîtier UCOPIA à l autre s effectue grâce à une adresse IP virtuelle. En effet, à un instant donné, seul un boîtier dispose de l adresse virtuelle. En cas de panne d un boîtier actif, le boîtier de redondance prend connaissance de la panne grâce au protocole VRRP (Virtual Router Redundancy Protocol), et récupère l adresse IP virtuelle. Il devient ainsi le nouveau boîtier actif, tout en assurant une totale transparence pour les utilisateurs. Ce mécanisme s applique également entre boîtiers actifs en cas de défaillance de l un deux. Avertissement La redondance et la répartition de charge sont disponibles en option. Une licence appropriée doit être installée sur les contrôleurs. Avertissement La redondance et la répartition de charge doivent être configurés AVANT toute configuration multi contrôleurs Redondance Le modèle de redondance UCOPIA est un modèle Actif/Passif mettant en œuvre au moins deux boîtiers UCOPIA, un seul étant actif à un instant donné. Les boîtiers UCOPIA intervenant dans une architecture de redondance dialoguent entre eux et peuvent par conséquent s apercevoir de la défaillance de leur confrère Répartition de charge La répartition de charge est un modèle Actif/Actif. Elle répartit de façon automatique les utilisateurs entre les différents boîtiers UCOPIA. Ce mode inclut également une redondance entre les boîtiers, qui peut s opérer de deux façons. Si tous les boîtiers sont actifs : lors d une panne, les utilisateurs connectés sur le boîtier défaillant seront pris en charge par les autres boîtiers actifs. Il s agit alors d une redondance «dégradée». En effet, si deux boîtiers, par exemple Advance 100, sont configurés en répartition de charge, 200 connexions simultanées se répartissent sur les deux boîtiers. Si l un des deux boîtiers tombe en panne, seules 100 connexions simultanées seront possibles sur le boîtier restant opérationnel. Il est possible d avoir un boîtier de redondance passif qui assure la redondance des boîtiers actifs Configuration de la redondance et de la répartition de charge Pour configurer la redondance et la répartition de charge, cliquez sur l item «Haute disponibilité» dans le menu à gauche de la fenêtre, puis sur l item «Redondance et répartition de charge» du sous-menu. La page suivante s affiche : 125

126 Figure Configuration du mécanisme de répartition de charge : étape 1 Pour activer la redondance et répartition de charge, cochez la case «Activer». La page suivante s affiche : 126

127 Figure Configuration du mécanisme de répartition de charge : étape 2 L adresse IP ainsi que le type de licence sur lequel s opère la configuration s affichent. Le type de licence précise si la redondance ou la répartition de charge est disponible, et le modèle de boîtier en termes de connexions simultanées (exemple : Répartition de charge 1000 connexions, ou Redondance 500 connexions). L étape suivante consiste à préciser l interface de communications entre les contrôleurs. Cette interface peut s établir sur un des VLAN d entrée ou de sortie. Les communications inter-contrôleurs incluent les messages du protocole VRRP. Entrez le nombre de contrôleurs UCOPIA devant être configurés en redondance et/ou répartition de charge. Renseignez ensuite les adresses IP des contrôleurs. Cliquez sur «Valider». La page suivante s affiche : 127

128 Figure Configuration du mécanisme de répartition de charge : étape 3 L étape suivante consiste à renseigner le VRID initial. Un VRID (Virtual Router Identifier) permet de définir l adresse MAC virtuelle associée à une interface réseau physique. Les adresses MAC virtuelles sont alors de la forme E <i>XX</i> où <i>xx</i> est le VRID. Chaque contrôleur actif nécessite 2 adresses MAC virtuelles (une pour l interface d entrée, une pour l interface de sortie) donc 2 VRID. Pour N contrôleurs, il faut alors 2xN VRID. Le champ VRID initial permet de spécifier le début de cette plage de VRID. Entrez le nombre de contrôleurs actifs. Avertissement Le nombre de contrôleurs actifs doit être cohérent avec les licences des contrôleurs impliqués. En effet, pour qu un contrôleur soit actif, il faudra qu il dispose d une licence «Répartition de charge». 128

129 Par exemple, pour un groupe de 3 contrôleurs dont 2 actifs, la page de configuration serait la suivante : Figure Exemple de configuration pour 3 contrôleurs dont 2 en répartition de charge et 1 redondant Renseignez les adresses IP virtuelles pour chacun des VLAN d entrée et de sortie. Plusieurs contrôleurs pouvant être actifs, il faudra renseigner les IP virtuelles pour autant de nœuds que de contrôleurs actifs. Les adresses IP virtuelles doivent être uniques. 129

130 Note Un nœud représente un ensemble d IP virtuelles s appliquant à un contrôleur actif à un moment donné. Dans l exemple ci-dessus, nous avons 2 contrôleurs actifs, 5 VLAN d entrée et 1 VLAN de sortie. Deux contrôleurs étant potentiellement actifs, il faudra renseigner les IP virtuelles pour deux nœuds. Figure Configuration du mécanisme de répartition de charge : étape 4 Cliquez sur «Valider». L état des contrôleurs (Actif ou Passif) s affiche dans la colonne «État» du tableau des contrôleurs. Il est également mentionné, pour chaque contrôleur actif, les nœuds pris en charge. Exemple : Figure Exemple de 3 contrôleurs dont 2 actifs et un passif 130

131 5.7. Configuration multi-contrôleurs Une architecture multi-contrôleurs UCOPIA peut être déployée dans le cadre d une architecture multi-sites. Dans une architecture multi-contrôleurs, il existe un contrôleur «principal» et des contrôleurs «secondaires». Le contrôleur principal permettra d administrer de façon centralisée tous les contrôleurs secondaires. Dès lors qu une configuration principal/secondaires est mise en place, des onglets apparaissent sur chaque écran de configuration et de supervision du contrôleur principal. Chaque onglet correspond à un contrôleur secondaire. La copie d écran suivante montre un boîtier principal ayant en charge l administration de 2 contrôleurs secondaires. L accès aux boîtiers secondaires s opère très simplement en sélectionnant l onglet du contrôleur à administrer. Dans cet exemple, on administre les VLAN d entrée sur le contrôleur secondaire de Poitiers à partir du contrôleur principal de Châtillon. Figure Administration centralisée depuis un contrôleur principal De plus, toute opération d administration concernant les utilisateurs, profils et services (c est-à-dire tout ce qui est stocké dans l annuaire UCOPIA) peut être réalisée depuis n importe quel contrôleur (principal ou secondaire). Toute modification est automatiquement répercutée sur les autres contrôleurs par une mécanique de réplication d annuaire «à chaud». 131

132 Avertissement Si les mécanismes de redondance et de répartition de charge doivent être mis en œuvre, ils doivent être configurés AVANT toute configuration multi contrôleurs. Pour définir un contrôleur comme principal, cliquez sur l item «Multi-contrôleurs» proposé en partie gauche de la fenêtre. Le sous-menu s affiche et propose les items suivants : Figure Items du menu Multi-contrôleurs sur le contrôleur principal Il faut, en premier lieu, définir un contrôleur principal. Cliquez sur l item «Contrôleur principal» du sous-menu. La page suivante s affiche : Figure Configuration d un contrôleur principal Il faut renseigner le nom du site et le nom du contrôleur qui seront utilisés pour identifier le contrôleur principal dans l architecture multi sites. Les noms par défaut sont respectivement local et local. Il faut ensuite renseigner l interface réseau qui permettra au contrôleur principal d interagir avec les contrôleurs secondaires. Si toutefois l interaction du principal avec les secondaires s effectue à travers d un NAT, il faut renseigner les ports à utiliser. Pour cela, ouvrez le cadre «Options avancées», et renseignez les champs suivants : 132

133 Port d accès HTTPS : port sur lequel le serveur Web du contrôleur principal est joignable par les secondaires. Port d accès LDAPS : port sur lequel l annuaire LDAP du contrôleur principal est joignable par les secondaires. Exemple : Figure Exemple de configuration des ports de communication en environnement multi contrôleurs Il s agit ensuite de configurer les contrôleurs secondaires. Cliquez sur l item «Contrôleurs secondaires» du sous-menu. La page suivante s affiche : Figure Configuration des contrôleurs secondaires Pour ajouter un contrôleur secondaire, cliquez sur le bouton «Ajouter». La page suivante s affiche : 133

134 Figure Ajout d un contrôleur secondaire Il faut renseigner le nom du site et du contrôleur secondaire, puis les paramètres qui vont permettre au contrôleur principal d atteindre le secondaire, à savoir l adresse IP du secondaire. Le cadre «Options avancées» permet, comme pour la configuration du principal, de configurer les ports à utiliser en cas de NAT. Avertissement Dans le cas d une architecture multi-contrôleurs, le réseau séparant le contrôleur principal du contrôleur secondaire est généralement routé (niveau 3). Il est donc nécessaire de configurer les «forward de ports» adéquats sur chacun des ports utilisés. Une fois l association principal/secondaires réalisée, un contrôleur secondaire permettra de visualiser l information d association. Sur un contrôleur secondaire, cliquez sur l item «Multi-contrôleurs» proposé en partie gauche de la fenêtre. Le sous-menu s affiche et propose les items suivants : Figure Item du menu Multi-contrôleurs sur un contrôleur secondaire Cliquez sur l item «Informations globales» du sous-menu. La page suivante s affiche : 134

135 Figure Information d association principal/secondaire Cette page résume les informations de l association entre le contrôleur principal et son secondaire Configuration des services externes de communication Le contrôleur UCOPIA peut être amené à utiliser des services de messagerie ou de SMS pour communiquer avec les utilisateurs, par exemple pour communiquer des identifiants de connexion (login, mot de passe, etc.). Il peut également être en relation avec des outils tiers tels que PMS ou serveurs de cartes prépayés (PPS) ou PayPal afin de facturer les connexions. Les services de messagerie et de SMS pourront être utilisés soit depuis le portail Web UCOPIA pour envoi du mot de passe de l utilisateur (voir Section , «Mode avec enregistrement libre» et Section , «Mode avec enregistrement par Mail»), soit depuis l outil d administration délégué pour envoi des informations de connexion à l utilisateur (identifiants, plages horaires autorisées, etc.). Les services de facturation donneront lieu à des portails dédiés (voir Section , «Mode avec utilisation d un logiciel de facturation (PMS)») Cliquez sur l item «Services externes» proposé en partie gauche de la fenêtre. Le sous-menu s affiche et propose les items suivants : Figure Items du menu Services externes 135

136 Configuration du service de SMS Avertissement Ce mode suppose un abonnement auprès d un fournisseur de SMS. Se renseigner auprès d UCOPIA Communications. Pour configurer un compte de SMS, cliquez sur l item «SMS» du sous-menu. La page suivante s affiche : Figure Configuration des comptes SMS Pour chaque compte SMS créé, le tableau indique l opérateur choisi, le type d envoi (HTTP ou SMTP), le nombre de portails, ainsi que le nombre de profils de type administrateur délégué utilisant ce compte. Pour ajouter un nouveau compte de SMS, cliquez sur le bouton «Ajouter». La page suivante s affiche : 136

137 Figure Ajout d un compte SMS Il faut en premier lieu choisir la plate-forme de SMS parmi celles proposées. Il faut en conséquence renseigner les champs suivants : Nom du compte : identifiant libre permettant de nommer le compte. Opérateur d envoi des SMS : il s agit de sélectionner la plate-forme d envoi de SMS parmi celles proposées. Nous rappelons qu une inscription auprès de la plate-forme choisie est nécessaire afin d obtenir les identifiants de connexion. Identifiant du compte : login du compte associé à la plate-forme de SMS. Mot de passe du compte : mot de passe du compte associé à la plate-forme de SMS. Identifiant client : identifiant client (donné par la plate-forme de SMS). Il est ensuite possible de personnaliser le contenu du SMS suivant l usage qui en est fait. Le SMS sera composé d un message d accueil pouvant se décliner en fonction des langues disponibles. Le message d accueil sera construit à l aide d un template. Un template sera composé de texte et de variables dynamiques. Les variables seront encadrées par le caractère «%». Les variables dynamiques pourront être le login (%login%), le mot de passe (%password%), le nom (%lastname%), le prénom (%firstname%) et le profil (%profile%) de l utilisateur. Le login et le mot de passe sont obligatoires. Exemple : 137

138 Figure Exemple de configuration d un compte SMS Le bouton «Ré-initialiser les templates» permet de remettre tous les templates dans leur format par défaut. Utilisez le Bouton «Tester les paramètres» pour vous assurer de la véracité des informations renseignées. Cliquez sur le bouton «Valider» pour valider le compte SMS. Note La langue peut être choisie par défaut. Il n est donc pas nécessaire de renseigner le message d accueil dans toutes les langues. Les champs non renseignés prendront la valeur du champ correspondant à la langue par défaut Configuration du service de messagerie ( ) Pour configurer un compte de messagerie, cliquez sur l item «Services externes» proposé en partie gauche de la fenêtre, puis sur l item «Mail» du sous-menu. La page suivante s affiche : 138

139 Figure Configuration des comptes de messagerie Le tableau indique, pour chaque compte créé, le serveur de messagerie, le nombre de portails ainsi que le nombre de profils de type administrateur délégué utilisant ce compte. Pour ajouter un nouveau compte de messagerie, cliquez sur le bouton «Ajouter». La page suivante s affiche : 139

140 Figure Ajout d un compte de messagerie Il faut renseigner les champs suivants : Nom du compte : identifiant libre permettant de nommer le compte. Adresse IP ou DNS du serveur de messagerie : il s agit de préciser soit l adresse IP du serveur de messagerie, soit le nom DNS du serveur. Port : numéro de port sur lequel la communication avec le serveur de messagerie s établit. Utiliser une connexion sécurisée : cochez la case si vous souhaitez une connexion sécurisée sur les ports 587 (TLS) ou 465 (SSL). Identifiant du compte : login du compte de messagerie. Mot de passe du compte : mot de passe du compte de messagerie. Adresse mail du compte : adresse mail qui sera utilisée pour envoyer le message. Adresse de réponse au mail : adresse mail utilisée en cas de nécessité de réponse. Message présent en début de mail : message qui sera inclus systématiquement au début de chaque mail envoyé. Exemple : 140

141 Figure Exemple de configuration d un compte mail Utilisez le Bouton «Tester les paramètres» pour vous assurer de la véracité des informations renseignées. Cliquez sur le bouton «Valider» Configuration du service PayPal UCOPIA s interface avec PayPal afin qu un utilisateur puisse acheter depuis le portail UCOPIA un temps de connexion. L utilisateur pourra utiliser son compte PayPal ou sa carte de crédit. Le couplage PayPal/UCOPIA fonctionne avec une notion de forfait. Le forfait est défini par l administrateur UCOPIA. Cela peut être un forfait 1h, 3h, ou forfait « s», ou forfait «Tous les jours ouvrés de 16h à 18h», etc. Les forfaits sont proposés au choix de l utilisateur sur le portail UCOPIA. Avertissement Cette configuration suppose que l administrateur de la solution UCOPIA (ou son représentant) ait créé au préalable un compte PayPal. Ce compte doit avoir le statut «Premier» ou «Business» et «vérifié». Pour mettre en œuvre l interface PayPal, cliquez sur l item «PayPal» du sous-menu. La page suivante s affiche : 141

142 Figure Configuration PayPal Il faut renseigner les informations relatives au compte PayPal : Adresse utilisée comme identifiant du compte PayPal. Identifiant du certificat PayPal. Il faut, pour récupérer cet identifiant, (1) exporter le certificat en cliquant sur le lien «Export du certificat», (2) uploader le certificat sur le site de PayPal, (3) noter l identifiant remis par PayPal. Cliquez sur le premier bouton «Tester les paramètres» pour vérifier que les informations entrées sont correctes. Ensuite, il faut renseigner les informations relatives à l API PayPal. Renseignez les informations permettant d utiliser l API PayPal (identifiant, mot de passe et signature). Cette API est destinée à récupérer les informations de paiement. Cliquez sur le deuxième bouton «Tester les paramètres» pour tester la connexion à PayPal. Exemple : 142

143 Figure Configuration du portail UCOPIA avec paiement en ligne Configuration du service PMS Le contrôleur UCOPIA s interface avec des produits de type PMS (Property Management System). Les PMS sont des produits de gestion clients, et se rencontrent plus particulièrement dans les environnements hôteliers ou hospitaliers. Ils permettent l enregistrement des clients, la facturation, etc. Il existe un mode de portail UCOPIA dédié à ce fonctionnement (voir Section Section , «Mode avec utilisation d un logiciel de facturation (PMS)»). Avertissement L interface avec ces produits s appuie sur le protocole FIAS. En conséquence, seuls les PMS compatibles FIAS pourront dialoguer avec UCOPIA. Pour utiliser tout autre PMS ne respectant pas ce protocole, contactez UCOPIA Communications. Le couplage PMS/UCOPIA fonctionne avec une notion de forfait. Le forfait est défini par l administrateur UCOPIA. Cela peut être un forfait 1h, 3h, ou forfait « s», ou forfait «Tous les jours ouvrés de 16h à 18h», etc. Les forfaits sont proposés au choix de l utilisateur sur le portail UCOPIA. Le dialogue PMS/UCOPIA se déroule comme suit : 1. Tout d abord, une synchronisation entre les deux produits afin de créer les comptes dans UCOPIA pour les clients déjà présents (dans l hôtel par exemple). 2. PMS -> UCOPIA : envoi de l ordre de création de compte utilisateur quand un nouveau client arrive. Le compte est créé dans UCOPIA avec des identifiants générés automatiquement à partir d information telles que le nom et le prénom de l utilisateur, son numéro de chambre, etc. (configurable). 3. L utilisateur pourra modifier son mot de passe depuis le portail UCOPIA après sa première authentification. 4. Portail UCOPIA : authentification de l utilisateur et choix du forfait. 5. UCOPIA -> PMS : envoi du type de forfait choisi par l utilisateur. 6. PMS ->UCOPIA : envoi de l ordre de fermeture du compte utilisateur quand le client s en va. Pour mettre en œuvre l interface PMS, cliquez sur l item «PMS» du sous-menu. La page suivante s affiche : 143

144 Figure Configuration de l interface PMS Avant de pouvoir activer la connexion avec un PMS, vous devez au préalable créer au moins un forfait. La configuration d un forfait est décrite dans le manuel «Manuel d administration UCOPIA Advance», Section «Configuration des forfaits». Une fois un ou plusieurs forfait créés, cochez la case «Activer le système PMS». Le formulaire suivant s affiche : 144

145 Figure Configuration des paramètres de connexion au PMS 145

146 Il faut renseigner les champs suivant : Accès au serveur PMS Adresse du serveur : l adresse IP du serveur sur lequel se trouve le PMS. Port du serveur : le port sur lequel l échange avec le PMS sera réalisé. Identifiant de l émetteur : un identifiant à définir en accord avec le PMS. L indicateur «Statut» indique si la connexion avec le PMS est active ou non. Validité des comptes À la réception d un message de type check-out, deux actions sont possibles. Le compte utilisateur n est plus valide immédiatement (défaut) ou le compte n est plus valide à partir de 12h et N jours, le nombre de jours étant configurable. Template de création des comptes Un mécanisme de template permet de définir le format des identifiants de l utilisateur. Les templates sont construits à partir de clés. Les clés disponibles sont les suivantes : %title% : la civilité ou le titre de l utilisateur %lastname% : le nom de l utilisateur %firstname% : le prénom de l utilisateur %roomnumber% : le numéro de chambre %guestnumber% : le numéro de client Exemple : login = dupond123 (%lastname%%roomnunber) mot de passe = jean (%firstname%) Du texte peut être positionné entre chaque clé. login = Chambre123 (Chambre%roomnunber) Codage du mot de passe Le mot de passe peut être chiffré ou pas. Un mot de passe chiffré correspond aux 8 premiers caractères de l empreinte SHA1 du mot de passe (prénom ou nom). Pas de chiffrement par défaut. Communication Il est possible de préciser le type d encodage utilisé par le serveur PMS : ISO (défaut), UTF-8 ou CP850. Facturation des services L information de facturation (POST CHARGE) sera envoyée toutes les N secondes au PMS. Le temps entre chaque vérification est configurable. Utilisateurs sans choix de forfaits Les utilisateurs identifiés par le PMS comme n ayant pas à choisir de forfaits seront créés en utilisant le profil sélectionné. Cliquez sur «Valider». 146

147 Configuration du service PPS Le contrôleur UCOPIA s interface avec des produits de type PPS (Pre Paid System). Ce type de produit fonctionne avec des cartes que l utilisateur achète (cartes prépayées). À chaque carte est associé un temps de connexion. Il existe un mode de portail UCOPIA dédié à ce fonctionnement (voir Section , «Personnalisation graphique et création de modèles visuels»). Avertissement L interface PPS fonctionne avec les serveurs StreamWIDE. Pour utiliser tout autre PPS, contactez UCOPIA Communications. Le dialogue PPS/UCOPIA se déroule comme suit : 1. L utilisateur s authentifie sur le portail UCOPIA en renseignant le numéro de carte et le captcha code (image affichant un mot de 8 caractères). 2. UCOPIA -> PPS : le numéro de carte permet de faire une demande de crédit temps auprès du serveur PPS. Le PPS alloue du temps par tranche de N minutes renouvelable. Le compte de l utilisateur est automatiquement créé dans UCOPIA. Le login de l utilisateur sera le numéro GUID fourni par le PPS associé au numéro de carte. Son mot de passe sera le captcha code. Son groupe sera celui par défaut défini lors de la configuration du portail. L utilisateur visualise sur le portail le temps de connexion associé à la carte et le temps de connexion consommé. 3. UCOPIA -> PPS : lors de la déconnexion de l utilisateur, UCOPIA envoie au PPS le temps de connexion consommé par l utilisateur. Le compte de l utilisateur est automatiquement supprimé de la base de comptes UCOPIA. Pour mettre en œuvre l interface PPS, cliquez sur l item «PPS» du sous-menu. La page suivante s affiche : Figure Configuration du système PPS 147

148 Il faut configurer les paramètres permettant d établir la connexion avec le PPS. Pour cela, cochez la case «Activer le système PPS». Le formulaire suivant s affiche : Figure Configuration des paramètres de connexion au PPS Il faut renseigner les champs suivant : Version du PPS : ou 1.5 URL de l interface XMLRPC : l URL pointe sur le fichier PHP qui contient le serveur XMLRPC qui traite les demandes (début de session, demande de crédit temps, fin de session, validité d une carte, etc.). Exemple : Adresse APN : nom du serveur Internet qui fournit le service, ex: gprs.streamwide.com. Label du sous-trafic : Sous-trafic du trafic DATA. Prend la valeur DATA. IP : l adresse IP trunk utilisée pour initier la connexion avec le PPS, par défaut Mode de facturation : champ non modifiable correspondant au mode de facturation. Il s agit d une facturation au temps (TIME) Configuration des interfaces avec le contrôleur UCOPIA UCOPIA propose à des fins de supervision des interfaces de communication standards telles que SNMP ou Syslog. Cliquez sur l item «Interfaces avec le contrôleur» proposé en partie gauche de la fenêtre. Le sousmenu s affiche et propose les items suivants : Figure Items du menu Interfaces UCOPIA Interface SNMP Les contrôleurs UCOPIA intègrent un agent SNMP, ce qui leur permet d être supervisés depuis un outil de supervision compatible SNMP (appelé Manager SNMP). Une MIB (Management Information Base) standard MIB-2 est proposée afin de permettre le dialogue entre l outil de supervision et l agent UCOPIA. 148

149 Pour mettre en œuvre l interface SNMP, cliquez sur l item «SNMP» du sous-menu. La page suivante s affiche : Figure Configuration de l interface SNMP Note Pour autoriser un accès sur l'interface SNMP, consultez Section , «Accès au contrôleur». Astuce La MIB UCOPIA est téléchargeable en cliquant sur le lien «Télécharger la MIB du contrôleur» Configuration de l'agent SNMP Ce bloc permet de configurer l'accès aux ressources SNMP, selon la version SNMP du client. Vous pouvez choisir d'activer l'une ou l'autre des versions (V2 ou V3), et pour chacune d'elle les paramètres d'accès en lecture ou lecture et écriture. Paramètres SNMP version 2 Nom de la communauté : il s'agit de l'identifiant/mot de passe utilisé pour accéder aux ressources. 149

150 Limiter l'accès aux OIDs : cliquez sur «Ajouter une exclusion» pour spécifier un ou plusieurs OIDs auxquels l'accès sera interdit. Paramètres SNMP version 3 Identifiant : l'identifiant à utiliser pour ce mode d'accès Niveau de sécurité : choisissez un niveau de sécurité et les algorithmes et mot de passe à utiliser pour chacun d'entre eux. Limiter l'accès aux OIDs : cliquez sur «Ajouter une exclusion» pour spécifier un ou plusieurs OIDs auxquels l'accès sera interdit Configuration des alertes SNMP Les alertes ( traps ) UCOPIA permettent de surveiller l'état du contrôleur, ainsi que l ensemble des services actifs (serveur Web, annuaire LDAP, serveur RADIUS, etc.). 1. Vous devez commencer par définir les récepteurs SNMP de ces alertes : cliquez sur «Ajouter un récepteur» et définissez son protocole, adresse IP et protocole. 2. Choisissez ensuite les évènements survenant sur les caractéristiques du contrôleur lui-même qui déclencheront une alerte : Interfaces réseau : une interface réseau change d'état. Espace disque : l'espace disponible devient inférieur à la valeur spécifiée. Charge système : la charge système dépasse un seuil sur l'une des périodes de références : 1 minute, 5 minutes, 15 minutes. Les valeurs indiquées représentent les facteurs multiplicateurs qui seront appliqués en fonction du nombre de CPU présents sur le contrôleur. Ainsi si le contrôleur possède 4 CPUs les valeurs seront multipliées par 4 pour avoir les valeurs réelles des seuils. Espace d'échange (SWAP) : la taille de l'espace d'échange dépasse un certain volume. Cette valeur devrait rester minime en toutes circonstances sur le contrôleur. 3. Vous pouvez enfin cocher les cases correspondant aux services du contrôleur à surveiller Interface Syslog Certains événements système contenus dans le fichier Syslog UCOPIA peuvent être exportés vers un serveur Syslog externe. Pour exporter les événements Syslog, cliquez sur l item «Syslog» du sous-menu en partie gauche de la fenêtre. La page suivante s affiche. 150

151 Figure Exportation Syslog Cochez la case «Activer l externalisation des journaux Syslog» et renseignez les champs suivants : Adresse IP : adresse IP du serveur Syslog. Port : numéro de port utilisé pour la communication avec le serveur Syslog. Puis, sélectionner le type d événements à exporter : Serveur d adresses (DHCP) Serveur RADIUS Serveur de déconnexion automatique Serveur d authentification Exemple : Figure Configuration de l'exportation Syslog Cliquez sur «Valider». 151

152 Configuration des éléments actifs 6 Configuration des éléments actifs Les éléments actifs mentionnés dans ce chapitre correspondent soit au point d accès Wi-Fi soit aux commutateurs sur lesquels les postes utilisateurs s associent ou se connectent Configuration des points d accès Wi-Fi Les points d accès doivent être configurés en fonction de l infrastructure réseau dans laquelle ils doivent s intégrer. Par ailleurs, leur configuration dépend des modes d authentification choisis et des options de chiffrement. Voici, suivant les cas, les configurations à effectuer : Dans le cas d un point d accès «lourd», attribution d une adresse IP fixe au point d accès (ex. : ). Définition d un ou plusieurs SSID Plusieurs SSID seront définis si l on veut mettre en œuvre plusieurs modes d authentification sur le même point d accès, un par SSID. Par exemple, il sera possible de définir un SSID en libre accès avec une authentification de type portail, et un autre SSID avec une authentification 802.1x/EAP. Il faudra associer un VLAN à chaque SSID. Avertissement Le point d accès doit supporter la fonction multi SSID/VLAN. Configuration pour une authentification 802.1x/EAP. Il faut configurer l adresse IP du serveur d authentification RADIUS (ex. : ) et le secret partagé avec ce serveur. Configuration du chiffrement radio standard Activer WEP ou WPA/WPA2 PSK (TKIP ou AES) ou i Configuration des commutateurs Lors de la création de nouveaux réseaux Wi-Fi, il est nécessaire d isoler dans de nouveaux VLAN le trafic utilisateur, afin de mettre le contrôleur UCOPIA en coupure entre les WLAN et le réseau LAN/ WAN. Nous avons vu qu à chaque SSID créé sur les points d accès correspond un nouveau VLAN qui doit être transporté sur chacun des éléments actifs reliant le point d accès à l interface eth1 (IN) du contrôleur UCOPIA. Le transport des VLAN se fait par la déclaration des VID sur chacun des commutateurs de chaîne. Ces VID sont ceux qui ont été créés sur les points d accès (ex. : VID 2 : invite/portail, VID 3 : administratifs/802.1x et VID 4 : administration des bornes). Avertissement Le VID de l interface eth0 (OUT) du contrôleur UCOPIA doit être différent du VID de l interface eth1 (IN). 152

153 Configuration des éléments actifs Sur ces commutateurs, plusieurs types de ports doivent être configurés. Si plusieurs commutateurs font partie de la chaîne, les VID doivent être affectés aux ports de STACK. Sur le commutateur où est branché le contrôleur UCOPIA, les ports à configurer sont ceux où sont connectés : L interface eth1 (IN) d UCOPIA ; Les points d accès «lourds» ou l interface OUT du contrôleur Wireless (AP légers). L encapsulation 802.1q ou le mode TRUNK doit être activé pour chacun de ces ports physiques, ainsi que l affectation des VLAN Wi-Fi et le VLAN d administration des bornes. Exemple : UCOPIA est branché sur le LAN existant en sortie de contrôleur sur le VLAN 1. Les VLAN d entrée 2 et 3 ont été déclarés sur le contrôleur, chacun correspondant à un SSID créé sur le point d accès. Nous voulons également isoler le trafic d authentification RADIUS sur le VLAN d administration des bornes. Pour cela, nous allons déclarer les VLAN 2, 3 et 4 dans les bases de chacun des commutateurs, puis déclarer nos TRUNK de la manière suivante sur chaque port physique qui relie points d accès, contrôleurs Wi-Fi, eth1 du contrôleur UCOPIA et port de STACK. Ports UCOPIA et points d accès : VLAN 2 : TAG, VLAN 3 : TAG, VLAN 4 : UNTAG Ports de STACK des commutateurs : VLAN 2 : TAG, VLAN 3 : TAG, VLAN 4 : TAG 153

154 Mise en service 7 Mise en service Une fois UCOPIA Advance et les éléments actifs installés et configurés, il faut créer des profils utilisateurs et des utilisateurs. Pour cela, consultez la documentation «Manuel d Administration UCOPIA Advance». Pour réaliser des connexions Wi-Fi (ou filaires) à travers UCOPIA, consultez la documentation «Manuel d utilisation du portail UCOPIA». 154

155 Protocole PMS/FIAS Annexe A. Protocole PMS/FIAS Les primitives du protocole FIAS mises en œuvre par UCOPIA sont les suivantes : Synchronisation LS, LA, LE, LD, DS, DE Mouvements Client GI (Check-in) avec les champs : RN : numéro de chambre G# : identifiant unique du client GT : civilité GF : prénom GN : nom GO (Check-Out) avec les champs : RN : numéro de chambre G# : identifiant unique du client GT : civilité GF : prénom GN : nom GV : si la valeur est 1, l'utilisateur est créé avec le profil par défaut et ne choisira pas de forfait. GC (Guest-Change) avec les champs : RN : nouveau numéro de chambre RO : ancien numéro de chambre G# : identifiant unique du client GT : civilité GF : prénom GN : nom XL (Message texte pour le client) avec les champs : G# : identifiant unique du client MI : id du message MT : le message texte RN : numéro de chambre Facturation PS (Post-Charge) avec les champs : RN : numéro de chambre PTC : charge directe SO : identifiant de l émetteur TA : montant du forfait P# : numéro de la requête CT : description PA (Post-Answer) avec les champs : 155

156 Protocole PMS/FIAS AS : statut de la réponse CT : description RN : numéro de chambre 156