Installation et configuration du CWAS dans une architecture à 2 pare-feux Sommaire SOMMAIRE... 1 PRE REQUIS DU SERVEUR WEB ACCESS... 2 INSTALLATION DU SERVEUR WEB ACCESS EN DMZ... 3 Installation de base avec le Cd-Rom CEGID... 3 Éléments de base de la configuration du serveur... 5 QUEL COMPTE POUR LANCER LE SERVICE WEB ACCESS?... 7 PREALABLES : FLUX RESEAUX... 7 Ports réseaux utilisés... 7 Passage du serveur Web en https... 7 PARAMETRAGES D INSTALLATION DANS L ACADEMIE DE NANTES.... 8 FONCTIONNEMENT DU SERVEUR CWAS EN DMZ... 12 Schéma du réseau... 12 Règles de flux, à définir sur les firewall... 12 Alan DAOULAS Compte rendu d installation CWAS CEGID Document administrateur 1/12
Pré requis du serveur Web Access Le matériel serveur faisant tourner la partie Serveur Web Access de CEGID doit respecter les caractéristiques suivantes : Réseau Ethernet, Fast Ethernet ou Gigabit étant conseillé Couche réseau TCP/IP v4 Système d exploitation Windows Server 2003 (Service Pack 2) 32 Bits Système d exploitation Windows Server 2008 32 Bits ou 64 Bits (x64) et R2 Place disque : recommandé 10% de la taille du disque en disponible, de préférence sur l'unité C: Puissance CPU : au minimum P4 (Intel Core : Solo, Duo ou Quad pour Windows Serveur 2008) Mémoire : o De base 1 Go pour le système d exploitation (2 Go pour Windows Serveur 2008) o Ajouter 20 Mo par session utilisateur simultanée : la mémoire du serveur Web Access est liée à la volumétrie sur la base SQL, au nombre de bases accessibles par le serveur Web Access L'installation du serveur Web Access doit obligatoirement s effectuer en connexion Administrateur sur le serveur. Le serveur Web Access étant réglé sur le port TCP 80 (port http) ou sur le port https (port 443), aucun autre serveur Web ne devra tourner sur ces ports (notamment le service IIS fourni par Microsoft). On considère qu un serveur Web Access peut supporter de 50 à 70 connexions clients simultanément. Remarque: Dans cette documentation, on considère que le PGI CEGID est déjà installé et opérationnel dans le vlan serveur et accessible depuis le vlan pédagogique. Alan DAOULAS Compte rendu d installation CWAS CEGID Document administrateur 2/12
Installation du serveur Web Access en DMZ Installation de base avec le Cd-Rom CEGID Mettre le Cd-Rom No1 de CEGID Business 2008 dans le lecteur du serveur. Laisser l'auto-run se lancer ou exécuter le programme "SetupCegid.exe" Choisir Serveur Web Access, puis Suivant (plusieurs fois) Sélectionner le modèle de serveur CEGID disponible dans l établissement. Cocher le module Serveur Cegid Web Access, puis Suivant Alan DAOULAS Compte rendu d installation CWAS CEGID Document administrateur 3/12
Saisir le nom de société et de serveur puis sélectionner le type de serveur approprié Accès via le compte ADMIN au niveau de la base SQL Choisir Suivant, jusqu au Terminer. Alan DAOULAS Compte rendu d installation CWAS CEGID Document administrateur 4/12
Éléments de base de la configuration du serveur Mettre en raccourci sur le bureau, le programme de contrôle du CWAS qui est stocké sous C:\CWS\PGIeMonitor.exe Puis le lancer. État du serveur Connexion au service Installation comme service Démarrage du service Arrêt du service Désinstallation du service Options de paramétrage Dans le cas d une configuration simple, le service Web Access est démarré et en fonctionnement sur l'unique carte réseau du serveur. Etat du serveur : Service en cours Seules les connexions courantes continuent, mais plus aucune nouvelle connexion ne sera acceptée Service arrêté Alan DAOULAS Compte rendu d installation CWAS CEGID Document administrateur 5/12
Dans l exemple ci-dessous, l IP du CWAS est 10.144.36.231, l IP du serveur PGI est 172.17.212.5. Cliquez sur le bouton Connecter pour récupérer l'état du service, puis sur le bouton Paramétrage. Nom d'hôte du serveur Port d écoute TCP Interface réseau avec les clients WA Accès aux réglages avancés Valeurs par défaut (sur une nouvelle installation) : Nom d'hôte = nom du serveur Port d'écoute = 80 Serveur de sérialisation = vide, donc lui-même (saisir l IP du serveur PGI) Serveur d'authentification = vide, donc lui-même (saisir l IP du serveur PGI) Imprimante par défaut = la première trouvée (installation par défaut par CEGID) Interface externe = Interface interne = première adresse IP trouvée Aucune option avancée d'activée /!\ Si vous modifiez l'une de ces options, il est préférable d'arrêter puis de redémarrer le service Web Access Alan DAOULAS Compte rendu d installation CWAS CEGID Document administrateur 6/12
Quel compte pour lancer le service Web Access? Le service doit être lancé par un compte ayant : Les droits d'administrateur sur le serveur Web Access La permission d ouvrir une session en tant que service au niveau stratégie de sécurité locale Préalables : flux réseaux Ports réseaux utilisés Liste exhaustive des ports réseaux TCP/UDP potentiellement utilisés : Port réseau Usage Réglable Portée Remarque TCP 80 Serveur Web Oui Client TCP 443 Serveur Web en https Non Client TCP 8081 Serveur métier Oui Client TCP 703 Flux de sérialisation Non Serveur Usage en mode Client/Serveur et avec les serveurs entre eux Passage du serveur Web en https Si le serveur Web Access est connecté sur Internet, il est recommandé qu il fonctionne en mode https. Dans ce contexte, seul le port TCP 443 est utilisé entre les clients Web Access et le serveur. La résolution de nom DNS doit être pleinement opérationnelle avec Internet. Il est fortement conseillé de choisir dès le début son mode de fonctionnement Web Access : http ou https Une fois ce mode choisi, https dans notre exemple, il faudra uniquement indiquer au client d'utiliser le mode de connexion. Partons du principe, comme exemple, que le nom du serveur sur Internet sera : cwas.nomduclient.com Il va falloir dans l'ordre : Avoir une adresse IP fixe ainsi qu'un nom de domaine dument déposé sur Internet Créer un enregistrement de type CName pour le serveur Web Access, indiquez ce nom comme nom d'hôte au niveau du serveur Web Access Générer un certificat avec ce nom d'hôte Passer le serveur Web Access en mode https Optionnellement : rediriger automatiquement les connexions client arrivant sur le port TCP 80 vers le port 443 Alan DAOULAS Compte rendu d installation CWAS CEGID Document administrateur 7/12
Paramétrages d installation dans l Académie de Nantes. Depuis la console du serveur Web Access, ouvrir PGIeMoniteur Cliquer sur Paramétrage Indiquer au niveau du champ Nom d'hôte le nom complet DNS du serveur, Soit dans notre exemple : cegid.lyc-vial-44.ac-nantes.fr Valider votre choix par OK Alan DAOULAS Compte rendu d installation CWAS CEGID Document administrateur 8/12
Relancer l'appel du paramétrage et cliquer sur Options avancées Cliquer sur le bouton Certificats Puis générer un certificat auto signé Rappeler la fenêtre Paramétrage => Options avancées Vous pouvez maintenant cocher Utiliser le protocol SSL (https) Alan DAOULAS Compte rendu d installation CWAS CEGID Document administrateur 9/12
Le nom d'hôte ainsi que le port TCP 443 sont maintenant non modifiables dans la fenêtre Paramétrage (conséquence de l'usage du mode SSL) Valider par OK Arrêter et redémarrer le serveur Web Access Enfin cliquez sur Connexion Alan DAOULAS Compte rendu d installation CWAS CEGID Document administrateur 10/12
Compléments d installation : Sur le serveur Web Access en DMZ : - Rajouter dans le fichier hosts (chemin : C:\WINDOWS\system32\drivers\etc\hosts) le nom du serveur PGI du lan (ici SRVPGI) - Rajouter dans le fichier hosts le nom du server SQL du cegidpgi.ini (ici SRVPGI) Sur le serveur PGI du Vlan serveurs : - Laisser le service CWAS (Web access), car il sert aussi de service pour la sérialisation. La connexion depuis les postes clients peut commencer via Internet Explorer et l'url : https://cegid.lyc-vial-44.acnantes.fr Alan DAOULAS Compte rendu d installation CWAS CEGID Document administrateur 11/12
Fonctionnement du serveur CWAS en DMZ Schéma du réseau Flux SQL, Serial Règles de flux, à ouvrir sur le Amon Un alias DNS cegid.lyc-vial-44.ac-nantes.fr a été créé pointant sur l'ip publique du lycée. De l extérieur : Port 443 de l extérieur vers le CWAS (pour l'attaque de https://cegid.lyc-vial-44.ac-nantes.fr) Port 3389 de l extérieur vers le CWAS (pour l'accès bureau à distance via mstsc des enseignants depuis chez eux) Du CWAS en DMZ vers CEGID en pédagogique : Remarques : Port TCP 703 (sérialisation CEGID) Port TCP 1433 (serveur SQL) Port UDP 1434 (connexion à la base de données CEGID) Sur Windows 2008 Server, il est conseillé de fermer les ports non utilisés du serveur Web Access au niveau de la configuration de son firewall, soit de fermer les ports TCP 80 et 8081 dans le cadre d un flux Internet exclusif en https. Soit par exemple via ces commandes de scripts (qui suppriment les règles établies au niveau du serveur Web Access) : netsh advfirewall firewall delete rule name="cegid Web Access Server" dir=in protocol=tcp localport=80 profile=any netsh advfirewall firewall delete rule name="cegid Web Access Server" dir=in protocol=tcp localport=8081 profile=any Alan DAOULAS Compte rendu d installation CWAS CEGID Document administrateur 12/12