Guide de l'administrateur Access Gateway édition Advanced. Citrix Access Gateway 4.5 Citrix Access Suite

Guide de l'administrateur Access Gateway édition Advanced Citrix Access Gateway 4.5 Citrix Access Suite

Copyrights et marques de fabrique, de commerce et de service L'utilisation du produit documenté dans ce guide est soumise à votre acceptation préalable du contrat de licence. Le dossier Documentation du CD-ROM du produit contient des copies de ce contrat de licence. Les informations contenues dans ce document peuvent faire l'objet de modifications sans préavis. Sauf mention contraire, les sociétés, noms et données utilisés dans les exemples sont fictifs. Excepté pour l'impression d'une copie pour une utilisation personnelle, aucune partie de ce document ne peut être reproduite ou transmise, sous quelque forme, par quelque moyen, électronique ou mécanique, et pour quelque motif que ce soit, sans l'autorisation expresse et écrite de Citrix Systems, Inc. 2003-2006 Citrix Systems, Inc. Tous droits réservés. Citrix, Citrix Presentation Server, Citrix Access Gateway, ICA (Independent Computing Architecture), Access Suite, Citrix Program Neighborhood et SmoothRoaming sont des marques déposées ou des marques de fabrique, de commerce ou de service de Citrix Systems, Inc. aux États-Unis et dans d'autres pays. RSA Encryption 1996-1997 RSA Security Inc. Tous droits réservés. Autres marques de fabrique, de commerce et de service Adobe, Acrobat et PostScript sont des marques déposées ou des marques de fabrique, de commerce ou de service d'adobe Systems Incorporated aux États-Unis et/ou dans d'autres pays. Apple, Mac, Mac OS et Macintosh sont des marques déposées ou des marques de fabrique, de commerce ou de service d'apple Computer Inc. Flash et Shockwave sont des marques déposées ou des marques de fabrique, de commerce ou de service de Macromedia, Inc. aux États-Unis et/ou dans d'autres pays. Java est une marque déposée de Sun Microsystems, Inc. aux États-Unis et dans d'autres pays. Microsoft, MSDOS, Windows, Windows Server, Windows NT, Win32, Outlook, ActiveX, Active Directory et Vista sont des marques déposées ou des marques de fabrique, de commerce ou de service de Microsoft Corporation aux ÉtatsUnis et/ou dans d'autres pays. Lotus, Domino, Notes et inotes sont des marques de fabrique, de commerce ou de service d'international Business Machines Corporation aux États-Unis et/ou dans d'autres pays. Mozilla et Firefox sont des marques déposées ou des marques de fabrique, de commerce ou de service de Mozilla Foundation aux États- Unis et/ou dans d'autres pays. Netscape et Netscape Navigator sont des marques déposées de Netscape Communications Corp. aux États-Unis et dans d'autres pays. Secure Computing et SafeWord sont des marques déposées de Secure Computing Corporation. McAfee et VirusScan sont des marques déposées ou des marques de fabrique, de commerce ou de service de McAfee, Inc. et/ou de ses filiales aux États-Unis et/ou dans d'autres pays. Norton AntiVirus, Norton Personal Firewall, Symantec, Symantec AntiVirus Solution et Symantec Desktop Firewall sont des marques déposées ou des marques de fabrique, de commerce ou de service de Symantec Corporation aux États-Unis et/ou dans d'autres pays. OfficeScan, Trend Micro et Trend Micro Incorporated sont des marques de fabrique, de commerce ou de service de Trend Micro aux États-Unis et/ou dans d'autres pays. ZoneAlarm et Zone Labs sont des marques déposées ou des marques de fabrique, de commerce ou de service de Zone Labs LLC aux États-Unis et dans d'autres pays. Toutes les autres marques de fabrique, de commerce et de service, et autres marques déposées sont la propriété de leurs détenteurs respectifs. Code document : 19 septembre 2006 (JB)

TABLE DES MATIÈRES Table des matières Chapitre 1 Chapitre 2 Chapitre 3 Bienvenue Access Gateway édition Advanced.....................................13 SmartAccess....................................................13 SmoothRoaming.................................................14 Secure by Design.................................................14 Nouvelles fonctionnalités..........................................15 Nouveau nom....................................................16 Aide et informations supplémentaires Accès à la documentation produit......................................17 Conventions utilisées dans ce document...............................19 Conventions de ligne de commande..................................20 Assistance technique et services disponibles..............................20 Subscription Advantage...........................................21 Notification du centre de connaissances...............................21 Formations.........................................................21 Personnalisation du logiciel...........................................22 Planification de votre stratégie d'accès Étape 1 : évaluation de l'infrastructure de votre entreprise...................23 Étape 2 : analyse des risques...........................................27 Étape 3 : mise en œuvre de la stratégie d'accès............................27 Sécurisation de l'accès et des ressources à l'aide de stratégies..............28 Planification des configurations requises pour les clients.................28 Traversée de pare-feu.............................................29 Protection des données d'entreprise confidentielles......................30 Évaluation des types d'authentification..................................31 Authentification à un facteur........................................31 Authentification avancée...........................................32 Optimisation du taux de disponibilité....................................33

4 Guide de l administrateur Access Gateway édition Advanced Prise en compte des besoins des utilisateurs..............................34 Chapitre 4 Chapitre 5 Licences de l'édition Advanced Installation du système de licences Citrix................................37 Informations supplémentaires.......................................38 Obtention de licences................................................38 Détermination des licences requises..................................39 Délai de grâce des licences.........................................39 Environnements mixtes............................................39 Spécification du serveur de licences.....................................41 Ajout de raccourcis à la console License Management Console...............42 Installation d'advanced Access Control Planification de votre installation.......................................43 Tâches précédant l'installation......................................44 Tâches suivant l'installation.........................................45 Éléments requis sur les serveurs........................................46 Configurations requises............................................46 Configurations réseau requises.........................................48 Configurations requises pour les comptes................................48 Configurations requises pour le compte d'utilisateur Microsoft SQL Server..48 Configurations requises de compte de service..........................49 Utilisation des modèles de sécurité avec le compte de service.............50 Configurations requises pour les bases de données.........................51 Configurations requises pour le boîtier Access Gateway....................51 Configurations requises pour les fonctionnalités...........................51 Configurations requises pour l'aperçu HTML..........................51 Configurations requises pour la fonction Live Edit......................55 Configurations requises pour la synchronisation des emails...............55 Configurations requises pour le courrier électronique Web................56 Utilisation de Microsoft Windows Server 2003 Web Edition pour le courrier électronique Web....................................58 Configurations requises pour l'analyse de point de terminaison............58 Configurations requises pour l'authentification.........................59 Configurations requises pour l'intégration de Citrix Presentation Server.....61 Configurations requises pour contourner le proxy Web...................64 Conditions requises pour l'intégration de portails tiers....................64 Configurations requises pour les clients..................................65 Configurations requises pour les navigateurs Web......................65

5 Guide de l administrateur Access Gateway édition Advanced Configurations requises pour le client Live Edit........................68 Configurations requises pour le client d'analyse de point de terminaison.....68 Configurations requises pour le client Secure Access Client...............69 Configurations requises pour la console..................................69 Présentation générale de l'installation....................................70 Installation d'advanced Access Control..................................71 Désinstallation d'advanced Access Control............................72 Chapitre 6 Configuration d'advanced Access Control Configurations prises en charge........................................76 Configurations Access Gateway.....................................76 Configurations d'advanced Access Control............................77 Configurations de zone démilitarisée double...........................77 Modification de la configuration d'un serveur..........................85 Configuration de vos serveurs.........................................86 Présentation de l'outil Configuration de serveur.........................86 Procédure de configuration d'un serveur.................................87 Création d'une batterie de serveurs d'accès ou association à une batterie de serveurs d'accès..................................................87 Sélection d'une base de données.....................................88 Spécification d'un serveur de base de données existant...................88 Spécification d'un serveur de licences................................89 Sélection d'un chemin d'accès de site Web.............................90 Sécurisation du trafic du site Web à l'aide de SSL.......................90 Finalisation de la configuration du serveur.............................90 Activation d'advanced Access Control..................................90 Utilisation de la console Access Management Console.....................92 Installation de la console Access Management Console..................92 Utilisateurs et comptes............................................93 Déploiement de la console vers les administrateurs......................93 Interface utilisateur de la console Access Management Console............93 Démarrage de la console Access Management Console..................94 Utilisation de la découverte pour la recherche d'éléments dans un déploiement..............................................94 Personnalisation de l'affichage à l'aide de Mes vues.....................95 Configuration d'une batterie à partir du panneau Présentation générale.........95 Lien avec Citrix Presentation Server....................................96 Spécification de batteries de serveurs.................................97 Configuration de l'équilibrage de charge ou du basculement...............98 Configuration des modes d'adresse...................................98

6 Guide de l administrateur Access Gateway édition Advanced Configuration de la traduction d'adresse..............................100 Configuration du mode d'adresse Access Gateway.....................100 Association de sites Access Platform................................101 Configuration de points d'ouverture de session...........................101 Changement du nom d'un point d'ouverture de session..................104 Ouverture de session via un point d'ouverture de session spécifié............105 Mise à jour des informations de page d'ouverture de session................106 Modification des mots de passe expirés.................................106 Définition du point d'ouverture de session par défaut......................107 Suppression d'un point d'ouverture de session............................107 Configuration du boîtier Access Gateway...............................108 Configuration du split tunneling.......................................109 Configuration de réseaux accessibles................................110 Transmission des messages système...................................110 Configuration des propriétés de client..................................111 Configuration des propriétés de serveur.................................113 Configuration du contrôle d'accès ICA.................................114 Configuration de l'authentification avec Citrix Presentation Server...........115 Chapitre 7 Sécurisation des connexions utilisateur Configuration de l'authentification avancée..............................117 Configuration de l'authentification RADIUS et LDAP.....................118 Création de profils d'authentification RADIUS........................119 Création de profils d'authentification LDAP..........................120 Affectation de profils d'authentification à des points d'ouverture de session............................................122 Définition d'informations d'identification d'authentification pour les points d'ouverture de session................................123 Configuration de l'authentification RSA SecurID.........................125 Configuration de l'authentification SafeWord............................128 Configuration de l'authentification avancée avec SafeWord..............128 Configuration de l'authentification avec SafeWord uniquement...........129 Configuration de RADIUS avec SafeWord...........................130 Configuration de l'authentification approuvée............................133 Configuration du boîtier Access Gateway pour l'authentification approuvée......................................................133 Configuration d'advanced Access Control pour l'authentification approuvée......................................................134

7 Guide de l administrateur Access Gateway édition Advanced Chapitre 8 Chapitre 9 Ajout de ressources Création de ressources accessibles via un réseau privé virtuel (VPN).........137 Utilisation de la ressource Tout le réseau.............................138 Définition de ressources et conflits possibles..........................139 Création de ressources Web..........................................140 Inclusion des fichiers associés......................................142 Configuration de sites sécurisés avec SSL............................142 Ressources Web maintenant les sessions actives.......................142 Activation de l'authentification unique pour les ressources Web.............143 Configuration pour les sites utilisant une authentification à l'aide d'un formulaire..................................................144 Création de partages de fichiers.......................................144 Utilisation de jetons système dynamiques...............................147 Attributs Active Directory.........................................148 Création de groupes de ressources pour faciliter l'administration des stratégies......................................................148 Intégration de listes de ressources dans des portails tiers...................150 Contrôle de l'accès à l'aide de stratégies Contrôle des accès utilisateur.........................................152 Intégration de votre stratégie d'accès...................................153 Regroupement des ressources en fonction des besoins d'accès............153 Conception de stratégies répondant aux scénarios utilisateur.............153 Différence entre le contrôle d'accès et la publication....................155 Création de stratégies d'accès.........................................156 Dénomination des stratégies.......................................157 Configuration des paramètres de stratégie pour contrôler les actions des utilisateurs............................................158 Autorisation de l'accès à des contenus Web standard....................160 Autorisation de l'association de type de fichier........................161 Autorisation de l'aperçu HTML....................................161 Autorisation de l'envoi comme pièce jointe...........................162 Autorisation de la fonction Live Edit................................162 Autoriser l'ouverture de session.......................................163 Définitions des conditions d'affichage de la page d'ouverture de session.......163 Contournement de la réécriture d'url.................................167 Informations relatives à la réécriture d'url...........................167 Limites de l'accès par navigateur uniquement............................168 Création de stratégies de connexion....................................170

8 Guide de l administrateur Access Gateway édition Advanced Création de stratégies pour les connexions Presentation Server...........172 Définition des priorités des stratégies de connexion....................172 Création de filtres de stratégie........................................173 Création de filtres personnalisés.......................................175 Création de filtres d'analyse continue...................................177 Permission de l'accès à tout le réseau...................................179 Vérification des informations de stratégie à l'aide du gestionnaire de stratégies..........................................180 Chapitre 10 Chapitre 11 Intégration de Citrix Presentation Server Liaison entre Advanced Access Control et Citrix Presentation Server.........182 Intégration de l'interface Web........................................183 Affichage de plusieurs sites et mise en cache des informations d'identification..................................................185 Coordination des paramètres Advanced Access Control et des paramètres de l'interface Web...................................188 Configuration de l'association de type de fichier..........................189 Intégration à des portails tiers.........................................189 Vérification des configurations requises sur les machines clientes Création d'analyses de point de terminaison.............................193 Utilisation des résultats d'analyse pour filtrer les stratégies...............194 Utilisation de résultats d'analyse pour filtrer la visibilité de la page d'ouverture de session............................................195 Packs d'analyse....................................................195 Ajout de règles dans des analyses......................................196 Utilisation des résultats d'analyse dans d'autres analyses...................197 Modification des conditions et des règles...............................199 Modification des conditions disponibles..............................199 Modification des règles...........................................199 Utilisation d'ensembles de données pour les analyses......................200 Listes.........................................................200 Mappages......................................................200 Création des ensembles de données.................................200 Ajout de packs d'analyse.............................................202 Regroupement d'analyses.........................................203 Ajout de packs de langue..........................................203 Écriture de scripts et planification des mises à jour d'analyses...............203 Mise à jour des valeurs de propriété dans les analyses...................204

9 Guide de l administrateur Access Gateway édition Advanced Mise à jour des ensembles de données...............................205 Création d'analyses continues.........................................206 Chapitre 12 Chapitre 13 Accès sécurisé au courrier électronique d'entreprise Choix d'une solution de courrier électronique............................210 Accès aux applications de courrier électronique publiées...................211 Accès sécurisé au courrier électronique Web.............................212 Activation de l'accès au courrier électronique Web........................213 Intégration de l'accès au courrier électronique Web dans un portail tiers.......217 Accès sécurisé aux comptes de courrier électronique......................217 Possibilité de joindre des fichiers au courrier électronique Web..............220 Restriction sur les types de pièce jointe..............................221 Activation de l'accès au courrier électronique pour les machines de petite taille.....................................................222 Mise à jour du fichier Mapisvc.inf.....................................224 Déploiement d'advanced Access Control vers les utilisateurs Développement d'une stratégie de déploiement des logiciels clients..........228 Détermination de la responsabilité de l'installation des logiciels clients.....228 Options de déploiement prises en charge.............................230 Choix des clients à déployer.......................................232 Gestion des logiciels clients à l'aide du Pack de clients d'accès..............233 Logiciels clients disponibles pour le Pack de clients d'accès..............234 Création d'un pack de distribution de logiciels clients...................234 Distribution et installation de votre pack de logiciels clients..............234 Copie des logiciels clients sur un point de partage......................236 Téléchargement des logiciels clients à la demande........................236 Conditions du bon déroulement de l'ouverture de session avec le client Secure Access Client....................................239 Modification de l'adresse URL du point d'ouverture de session...........239 Modification des paramètres de délai du navigateur....................240 Modification des paramètres de durée de vie de ticket...................241 Conditions d'un déploiement sans problème.............................242 Communication des informations d'ouverture de session aux utilisateurs....243 Considérations en matière de sécurité du navigateur.......................244 Personnalisation des paramètres de sécurité du navigateur...............245 Personnalisation du message d'erreur d'ouverture de session................246

10 Guide de l administrateur Access Gateway édition Advanced Chapitre 14 Chapitre 15 Annexe A Annexe B Gestion de votre environnement Access Gateway Gestion à distance des batteries de serveurs d'accès.......................249 Contrôle de l'accès à partir de plusieurs consoles.......................251 Utilisation des groupes dans les attributions de stratégies................251 Sécurisation de la console Access Management Console à l'aide de COM+....251 Redémarrage des applications COM+...............................253 Ajout et suppression de batteries......................................254 Ajout et suppression de boîtiers Access Gateway.........................254 Modification du compte de service et des informations d'identification de base de données.................................................256 Modification des rôles d'un serveur....................................256 Suppression d'un serveur d'une batterie.................................257 Disponibilité des batteries de serveurs d'accès............................257 Exportation et importation des données de configuration................258 Contrôle des sessions...............................................260 Audit des accès aux ressources d'entreprise Configuration des fonctions d'audit....................................263 Interprétation des événements d'audit..................................267 Résolution des problèmes d'accès utilisateur aux ressources................268 Maintenance du journal d'audit........................................269 Glossaire Propriétés d'analyse Packs d'analyse d'anti-virus..........................................282 Analyses Citrix pour McAfee VirusScan.............................282 Analyses Citrix pour McAfee VirusScan Enterprise....................282 Analyses Citrix pour Norton AntiVirus Personal.......................283 Analyses Citrix pour Symantec AntiVirus Enterprise...................284 Analyses Citrix pour Trend OfficeScan..............................285 Analyses Citrix pour l'anti-virus du Centre de sécurité Windows..........286 Packs d'analyse de navigateur.........................................287 Analyses Citrix pour navigateurs...................................287 Analyses Citrix pour Internet Explorer...............................287 Analyses Citrix pour les mises à jour Internet Explorer..................288 Analyses Citrix pour Mozilla Firefox................................289 Analyses Citrix pour Netscape Navigator.............................290 Packs d'analyse de pare-feu..........................................291

11 Guide de l administrateur Access Gateway édition Advanced Analyses Citrix pour McAfee Desktop Firewall.......................291 Analyses Citrix pour McAfee Personal Firewall Plus...................292 Analyses Citrix pour le pare-feu Microsoft Windows...................293 Analyses Citrix pour Norton Personal Firewall........................293 Analyses Citrix pour le pare-feu du Centre de sécurité Windows..........294 Analyses Citrix pour ZoneAlarm...................................295 Analyses Citrix pour ZoneAlarm Pro................................295 Packs d'analyse d'identification de la machine............................296 Analyses Citrix pour l'appartenance à un domaine......................296 Analyses Citrix pour l'adresse MAC.................................297 Packs d'analyse divers...............................................298 Analyse Citrix de la bande-passante.................................298 Packs d'analyse du système d'exploitation...............................299 Analyses Citrix pour Macintosh....................................299 Analyses Citrix pour le service pack Microsoft Windows................299 Analyses Citrix pour les mises à jour Microsoft Windows...............300

12 Guide de l administrateur Access Gateway édition Advanced

CHAPITRE 1 Bienvenue Le boîtier Citrix Access Gateway est un boîtier VPN SSL universel. Il constitue un point d'accès sécurisé, unique et toujours disponible pour toutes les applications et tous les protocoles. Il présente tous les avantages des réseaux VPN IPSec et VPN SSL sans les inconvénients d'une mise en œuvre et d'une gestion coûteuses et délicates. Avec l'édition Advanced, Access Gateway contrôle avec précision non seulement les ressources auxquelles les utilisateurs peuvent accéder, mais aussi les actions qu'ils sont autorisés à effectuer sur ces ressources. En cela, il facilite la conformité à certaines dispositions réglementaires. Le boîtier Access Gateway fournit les meilleures conditions d'accès pour tout le monde : un accès sécurisé protégeant les données de l'entreprise, un accès aisé pour les utilisateurs ainsi qu'une administration et une gestion souples pour les départements informatiques. Access Gateway édition Advanced L'édition Advanced étend votre environnement Access Gateway avec le logiciel Advanced Access Control, qui fournit à vos utilisateurs les fonctions standard suivantes. SmartAccess SmartAccess se charge d'analyser les conditions d'accès et de fournir le niveau d'accès approprié sans compromettre la sécurité. Les niveaux d'accès accordés à un utilisateur (possibilité de prévisualiser les documents, de les modifier, etc.) varient en fonction de l'utilisateur, de son emplacement, de sa machine et du réseau qu'il utilise. Advanced Access Control offre SmartAccess au travers de deux phases clés : une phase de détection et une phase de réponse. Dans un premier temps, le système analyse le scénario d'accès de l'utilisateur. Il accorde ensuite le niveau d'accès qui convient lors de la phase de réponse. «Accordé» et «Refusé» ne sont plus les seules réponses fournies à une requête d'accès. Il est désormais possible de contrôler non seulement les ressources auxquelles un utilisateur peut accéder en fonction de son scénario d'accès, mais aussi la façon dont il peut utiliser les ressources auxquelles il accède.

14 Guide de l'administrateur Access Gateway édition Advanced Un utilisateur se connectant à partir d'un kiosque dans un aéroport pourrait, par exemple, être autorisé à prévisualiser ou lire des fichiers et des pièces jointes à ses emails, mais n'aurait pas le droit de télécharger, de modifier ou d'imprimer ces fichiers. Il pourrait, en revanche, être habilité à effectuer ces opérations à partir de son domicile. Advanced Access Control s'intègre de façon transparente avec Citrix Presentation Server afin de fournir aux organisations le même niveau de contrôle sur les applications publiées. SmoothRoaming Advanced Access Control prend en charge la technologie SmoothRoaming. Lorsque les utilisateurs changent de machine, passent d'un réseau à un autre ou se déplacent d'un lieu à un autre, ils peuvent désormais automatiquement bénéficier du niveau d'accès approprié configuré pour chaque nouveau cas de figure. Secure by Design Advanced Access Control a été conçu pour fournir aux utilisateurs une sécurité optimale. Il protège les informations de l'entreprise et assure l'intégrité du réseau. Les technologies SmartAccess, SmoothRoaming et Secure by Design interagissent en combinant les fonctionnalités suivantes. Sécurité de point de terminaison intégrée. Permet un contrôle continu en temps réel pour s'assurer que la machine cliente est sûre avant connexion et qu'elle le reste pendant toute la durée de la connexion au réseau. L'analyse de point de terminaison évalue plus en profondeur l'intégrité des machines se connectant et vous permet de personnaliser le niveau d'accès accordé dans les stratégies en fonction des résultats d'analyse. Connectivité VPN. Les ressources réseau permettent la connectivité VPN SSL directe aux serveurs, aux services et aux réseaux au sein du réseau local d'entreprise. Contrôles des actions. Ils permettent aux administrateurs de définir des stratégies autorisant ou interdisant la visualisation, la modification et l'enregistrement des documents en fonction de l'identité, de la machine, de l'emplacement et de la connexion de l'utilisateur. Prise en compte des machines portables. Modifie les interfaces de courrier électronique et de fichiers pour les ordinateurs de poche (PDA) et les machines de petite taille. Accès uniquement à l'aide d'un navigateur. Permet d'accéder à des sites Web, à des fichiers et au courrier électronique à l'aide d'un navigateur Web quelconque exécuté sur une machine quelconque. Vous pouvez effectuer un rendu automatique de document Microsoft Office pour l'aperçu HTML.

Chapitre 1 Bienvenue 15 Accès sécurisé au courrier électronique Web et aux fichiers. Permet d'accéder en toute sécurité à la messagerie de l'entreprise via Internet à partir d'une interface utilisateur de type Web. Permet aux utilisateurs d'accéder en toute sécurité à Microsoft Outlook et Lotus Notes en temps réel et de synchroniser les informations afin de travailler hors ligne. Permet d'accéder en toute sécurité aux partages de fichiers sur le réseau de l'entreprise via Internet à partir d'une interface utilisateur de type Web. Intégration avancée avec Presentation Server. Vous pouvez utiliser l'analyse de point de terminaison et l'emplacement de la machine cliente pour contrôler quelles applications publiées sont disponibles pour l'utilisateur. La technologie SmartAccess est donc étendue à Presentation Server et il est possible de recourir aux filtres Advanced Access Control pour contrôler le mappage des lecteurs clients, les opérations possibles à l'aide du Presse-papiers et le mappage des imprimantes locales. Prise en charge multilingue. Permet la prise en charge totale de l'anglais, du japonais, de l'allemand, du français et de l'espagnol pour le serveur et le client. Cryptage de données standard. Utilisation du système de cryptage SSL standard permettant un accès sécurisé aux ressources de l'entreprise. Plate-forme de gestion commune. Fournit une structure unifiée regroupant les outils de configuration, d'application de licences, de contrôle et de signalisation du client et du serveur. Cette structure unifiée contribue à la simplicité de l'administration, à la visibilité des activités et à la sécurité de l'entreprise. Nouvelles fonctionnalités Cette version apporte les nouvelles fonctionnalités et les améliorations suivantes. Prise en charge du format UPN et des informations d'identification UPN secondaires. Les utilisateurs qui ouvrent une session sur des réseaux internes avec des informations d'identification spécifiées au format UPN (User Principal Name) ou UPN secondaire peuvent ouvrir une session sur Access Gateway et accéder de façon transparente aux ressources d'entreprise telles que les sites Web publiés, les partages de fichiers et le courrier électronique Web. Accès étendu aux applications publiées à l'aide de Citrix Presentation Server. Les applications publiées à l'aide de Citrix Presentation Server sont accessibles en tant que sites Access Platform à partir de l'interface Access. Ceci permet aux utilisateurs d'accéder rapidement aux applications publiées et de les démarrer. Vous pouvez activer jusqu'à trois sites Access Platform

16 Guide de l'administrateur Access Gateway édition Advanced pour afficher des applications à partir de plusieurs batteries Presentation Server. Prise en charge d'équilibreurs de charge tiers. Outre ses fonctionnalités d'équilibrage de charge internes, Access Gateway édition Advanced prend en charge les configurations incluant des équilibreurs de charge tiers tels que Citrix Netscaler. Dans le cas où l'un des serveurs Advanced Access Control d'une batterie devient indisponible, les utilisateurs sont automatiquement routés vers un autre serveur Advanced Access Control. Accès étendu aux documents hébergés sur des sites Sharepoint. Les sites Microsoft Sharepoint auxquels l'accès s'effectue via le proxy Web conservent bon nombre des fonctions commandées par menu dont les utilisateurs ont besoin pour travailler sur des fichiers, telles que Supprimer, Modifier les propriétés et M'alerter. Prise en charge des déploiements de zone démilitarisée double. Les organisations peuvent fournir une couche supplémentaire de sécurité pour leurs ressources internes en déployant des boîtiers Access Gateway dans une configuration de zone démilitarisée en deux étapes. Des stratégies déterminent de manière dynamique la meilleure méthode en matière de mise à disposition des ressources. Vous pouvez configurer des stratégies pour déterminer la meilleure méthode pour accéder à des ressources en fonction de la bande passante de connexion des utilisateurs. La bande passante de connexion est calculée à l'aide de l'analyse de point de terminaison Citrix Bandwidth et le résultat est utilisé pour déterminer si les ressources telles que les applications publiées sont envoyées en streaming ou fournies à l'utilisateur via une session ICA. Nouveau nom Access Gateway édition Advanced est le nouveau nom des produits précédemment connus sous les noms d'access Gateway avec Advanced Access Control, Access Gateway Enterprise et MetaFrame Secure Access Manager.

CHAPITRE 2 Aide et informations supplémentaires Les rubriques de cette section expliquent comment obtenir des informations supplémentaires sur le produit et comment contacter Citrix. «Accès à la documentation produit», page 17 «Assistance technique et services disponibles», page 20 «Formations», page 21 «Personnalisation du logiciel», page 22 Accès à la documentation produit Votre documentation produit se compose de guides au format PDF, d'une documentation en ligne, d'informations sur les problèmes connus, d'une assistance à l'écran intégrée et du système d'aide de l'application. La documentation utilisateur est disponible par l'intermédiaire du système d'aide en ligne et de fichiers Adobe PDF (Portable Document Format). Les guides correspondent à différentes fonctions. Ainsi, toutes les informations destinées aux administrateurs ont été regroupées dans le guide Access Gateway Standard Edition Administrator s Guide. Vous trouverez ces guides dans le dossier \Documentation du CD-ROM du serveur. Fichiers de documentation sur les emplacements d'installation dans le répertoire C:\Program Files\Citrix\Access Gateway\Documentation\langue. Dans cet exemple, langue représente le code de langue (en pour l'anglais, fr pour le français, etc.).

18 Guide de l'administrateur Access Gateway édition Advanced Remarque : les guides en ligne sont disponibles au format Adobe PDF (Portable Document Format). Pour afficher ou imprimer la documentation PDF ou y effectuer des recherches, vous aurez besoin d'adobe Acrobat Reader 5.0.5 avec la fonction de recherche ou une des versions Adobe Reader 6.0 à 7.0. Vous pouvez télécharger ces produits gratuitement depuis le site Web d'adobe Systems à l'adresse suivante : http://www.adobe.com/. L'interface utilisateur offre une assistance intégrée conçue pour vous aider à réaliser les tâches souhaitées. Par exemple, dans la console Access Management Console, placer le pointeur de la souris sur une option a pour effet d'en afficher une description. Une aide en ligne est disponible dans de nombreux composants tels que la console. Vous pouvez accéder à l'aide en ligne à partir du menu ou du bouton Aide. La documentation suivante est incluse avec le logiciel : Les fichiers Readme figurant sur le CD-ROM Serveur présentent les informations les plus récentes sur les fonctionnalités, les problèmes connus et les modifications apportées à la documentation. Nous vous recommandons de prendre connaissance de ces informations avant d'installer le produit ou ses composants. Ce manuel, intitulé Guide de l'administrateur Access Gateway édition Advanced, décrit les concepts et procédures pour les administrateurs système chargés de planifier, concevoir, tester ou déployer le logiciel. Il contient des informations sur les fonctionnalités, sur l'installation et la configuration, ainsi que sur la maintenance des batteries de serveurs d'accès. Le Guide de mise à niveau Access Gateway édition Advanced fournit aux administrateurs système des procédures de mise à niveau depuis une version antérieure. Il contient des informations sur la sauvegarde des données de votre batterie de serveurs, la mise à niveau des composants de serveur et la migration des données et des informations de licence. Le Guide de démarrage du système de licences Citrix et le fichier Lisezmoi relatif aux licences décrivent les concepts et les procédures applicables au déploiement, à la maintenance et à l'utilisation des licences pour les produits Citrix.

Chapitre 2 Aide et informations supplémentaires 19 L'outil Portail d'administration d'access Gateway fournit une documentation supplémentaire relative au boîtier Access Gateway. Celle-ci comprend les guides Getting Started with Citrix Access Gateway Standard Edition, Access Gateway Standard Edition Pre-Installation Checklist et Access Gateway Standard Edition Administrator's Guide, ainsi qu'un fichier Lisez-moi. Pour nous faire part de vos commentaires sur la documentation, veuillez accéder au site www.citrix.com, puis cliquez sur Support > Knowledge Center > Product Documentation. Pour accéder au formulaire de remarques et suggestions, cliquez sur le lien Submit Documentation Feedback. Conventions utilisées dans ce document Cette documentation applique les conventions typographiques suivantes pour les menus, commandes, touches de clavier et les éléments de l'interface du programme. Convention Gras Italique %SystemRoot% Espacement fixe Signification Indique une commande, le nom d'un élément de l'interface tel qu'une zone de texte ou un bouton, ou des données entrées par l'utilisateur. Signale un emplacement réservé à des informations ou des paramètres que vous devez fournir. Exemple : si une procédure vous demande d'entrer un nom de fichier vous devez entrer le nom d un fichier. L'italique peut également indiquer un terme nouveau ou le titre d'un document. Désigne le répertoire du système Windows qui peut être WTSRV, WINNT, WINDOWS ou tout autre nom spécifié à l'installation de Windows. Texte apparaissant dans un fichier texte. { accolades } Renferment une série d'éléments dont l'un est nécessaire à l'instruction. Par exemple, { yes no } indique que vous devez saisir yes ou no. N'entrez pas les accolades. [ crochets ] Renferment les éléments facultatifs des instructions. Par exemple, [/ping] indique que vous pouvez saisir /ping dans la commande. N'entrez pas les crochets. (barre verticale) Sépare les éléments entre crochets ou accolades dans les instructions. Par exemple, { /hold /release /delete } indique que vous devez taper /hold ou /release ou /delete. (points de suspension) Indique que vous pouvez répéter le ou les élément(s) précédent(s) dans les instructions. Par exemple, / route:nommachine[, ] indique que vous pouvez saisir plusieurs noms de machine séparés par des virgules.

20 Guide de l'administrateur Access Gateway édition Advanced Conventions de ligne de commande Certains composants s'exécutent à partir d'une interface de ligne de commande DOS. Si vous n'êtes pas familiarisé avec les lignes de commande DOS, notez les informations suivantes. Les barres obliques et les traits d'union placés dans une ligne de commande ont leur importance et doivent être saisis exactement comme dans les instructions fournies. Les espaces présents dans une ligne de commande sont également importants. Ils doivent donc être saisis exactement comme dans les instructions fournies. Les programmes DOS disposent d'un système d'aide. Pour y accéder, il suffit d'entrer le nom de la commande suivi d'une barre oblique et d'un point d'interrogation. Exemple : C:>sessmon/? Assistance technique et services disponibles Le programme CSA (Citrix Solution Advisors) est la principale source d'assistance technique proposée par Citrix. Nos partenaires CSA sont formés et habilités à fournir un niveau d'assistance élevé auprès de nos clients. Veuillez contacter votre fournisseur pour obtenir une assistance directe ou consultez les coordonnées du partenaire CSA le plus proche à partir de l'adresse http:// www.citrix.com/support/. Outre le programme CSA, Citrix offre une large gamme d'outils d'assistance technique Web en libre accès et notamment : le centre de connaissances Citrix (Citrix Knowledge Center), outil interactif contenant des milliers de solutions techniques pour la maintenance de votre environnement Citrix ; des forums d'assistance technique dans lesquels vous pouvez participer à des discussions techniques et rechercher les réponses à des questions déjà posées par d'autres participants ; les derniers service packs, corrections à chaud et utilitaires que vous pouvez télécharger ; des clients téléchargeables à partir de l'adresse http://www.citrix.com/ download/. Autre source d'assistance, les services Citrix Preferred Support Services vous proposent une gamme d'options permettant de personnaliser le niveau et le type d'assistance pour les produits Citrix utilisés dans votre entreprise.

Chapitre 2 Aide et informations supplémentaires 21 Subscription Advantage Votre produit inclut un abonnement d'un an au programme Subscription Advantage. Le programme Citrix Subscription Advantage vous permet de disposer facilement des dernières versions et informations relatives aux produits Citrix. L'inscription à ce programme vous donne non seulement un accès automatique au téléchargement des dernières feature releases, mises à niveau et améliorations disponibles pendant votre période d'adhésion, mais elle vous donne aussi un accès prioritaire à d'importantes informations sur les technologies Citrix. Pour plus d'informations, veuillez visiter le site Web Citrix à l'adresse http:// www.citrix.com/services/ (sélectionnez Subscription Advantage). Vous pouvez également contacter votre représentant commercial Citrix, le support client Citrix Customer Care ou un membre du programme Citrix Solutions Advisors. Notification du centre de connaissances Le centre de connaissances Citrix vous permet de configurer des notifications. Configurer une notification sur un sujet qui vous intéresse vous permet d'être informé lorsque celui-ci est mis à jour. Vous êtes alors averti des mises à jour de base de connaissances ou de forum. Vous pouvez définir des notifications sur des catégories de produit, des types de document, des documents spécifiques, ainsi que sur des catégories ou des sujets de forum. Pour définir une notification, ouvrez une session sur le site Web d'assistance technique Citrix à l'adresse http://support.citrix.com. Après l'ouverture de session, cliquez sur My Watches, au haut à droite, puis suivez les instructions fournies. Formations Citrix propose de nombreuses formations avec instructeur ou via le Web. Les formations avec instructeur sont proposées dans des centres de formation agréés (CALC : Citrix Authorized Learning Center). Les centres CALC offrent des formations en salle de qualité et utilisent des manuels conçus par Citrix. De nombreux cours débouchent sur l'obtention d'un certificat. Les formations par le Web sont disponibles auprès des centres CALC, des revendeurs et sur le site Web de Citrix. Pour obtenir des informations sur les cours et les programmes de formations et certifications Citrix, veuillez visiter le site http://www.citrix.com/edu/.

22 Guide de l'administrateur Access Gateway édition Advanced Personnalisation du logiciel Le réseau CDN (Citrix Developer Network) est un programme d'inscription libre donnant accès à des kits d'outils de développement, à des informations techniques et à des programmes pilotes. Les distributeurs de logiciels et de matériels, les intégrateurs de systèmes, les utilisateurs autorisés ICA et les développeurs d'entreprise qui incorporent les solutions informatiques de Citrix à leurs produits peuvent accéder au réseau CDN à l'adresse http://apps.citrix.com/cdn/. Certaines opérations peuvent faire l'objet de scripts utilisant les kits de développement logiciel de Citrix (SDK). Le kit de développement logiciel (SDK) d'analyse de point de terminaison inclus avec votre logiciel prend en charge la personnalisation de cette analyse et se trouve sur le CD-ROM Serveur dans le dossier \Setup\EndpointAnalysisSDK.

CHAPITRE 3 Planification de votre stratégie d'accès Avant d'installer Advanced Access Control, il convient d'évaluer votre infrastructure et de réunir toutes les informations nécessaires afin d'élaborer une stratégie d'accès qui réponde précisément aux besoins de votre entreprise. La planification d'une stratégie d'accès implique trois étapes essentielles. «Étape 1 : évaluation de l'infrastructure de votre entreprise», page 23 «Étape 2 : analyse des risques», page 27 «Étape 3 : mise en œuvre de la stratégie d'accès», page 27 Chacune de ces étapes est décrite en détail dans les sections suivantes. Prenez soin de documenter vos découvertes tout au long de la procédure. Cela vous permettra de mieux prévoir la charge de travail à accomplir au cours du projet, de déterminer des délais réalistes pour la phase de mise en œuvre et de préparer des bancs d'essai et des tests afin de mesurer les progrès généraux. Étape 1 : évaluation de l'infrastructure de votre entreprise L'infrastructure d'une entreprise recouvre tous les éléments matériels qui constituent le réseau de l'entreprise (machines clientes, serveurs, équilibreurs de charge, pare-feu, etc.). Votre évaluation doit également prendre en compte les ressources que vous souhaitez rendre accessibles : applications, services, données, etc. Les principaux types de composant d'une infrastructure d'entreprise sont les suivants : applications Web (intranet, programme de messagerie Web, etc.) ; données d'entreprise (bases de données, documents, présentations, feuilles de calcul, etc.) ; serveurs (Exchange ou Notes/Domino, serveurs Web, serveurs de base de données, etc.).

24 Guide de l'administrateur Access Gateway édition Advanced Advanced Access Control vous permet de sécuriser et de contrôler l'accès des utilisateurs à toutes leurs ressources sur le réseau d'entreprise. Les figures suivantes présentent trois routes (VPN, navigateur, Presentation Server ICA) que vous pouvez fournir et combiner pour satisfaire une grande variété de besoins en accès à distance. Trafic VPN (réseau privé virtuel)

Trafic de navigateur Web Chapitre 3 Planification de votre stratégie d'accès 25

26 Guide de l'administrateur Access Gateway édition Advanced Trafic Presentation Server

Chapitre 3 Planification de votre stratégie d'accès 27 Après avoir identifié les éléments au sein de l'infrastructure d'entreprise, vous êtes en mesure de procéder à une analyse des risques et de définir une stratégie afin d'accorder le niveau d'accès approprié à ces ressources. Remarque : Advanced Access Control intègre une prise en charge de l'équilibrage de charge. Par conséquent, il n'est pas nécessaire de déployer un équilibreur de charge pour gérer les requêtes soumises aux serveurs Advanced Access Control. Étape 2 : analyse des risques En matière de contrôle d'accès, les vulnérabilités correspondent à la possibilité, pour des utilisateurs non autorisés, d'accéder aux ressources de l'entreprise. Il existe plusieurs méthodes d'estimation des risques, généralement basées sur des calculs de probabilités et de conséquences. Ainsi, pour chaque ressource de l'entreprise à laquelle vous fournissez un accès et pour chaque menace que vous identifiez, les questions à se poser sont : «Quelle est la probabilité que cette menace soit mise à exécution?» et «Quels seraient les dommages si cette menace était mise à exécution?». Pour déterminer les risques encourus lorsque vous donnez accès à une ressource de l'entreprise, trois facteurs déterminants doivent être pris en compte : le type de la ressource, le caractère sensible des données associées à cette ressource et l'environnement à partir duquel il est possible d'accéder à cette ressource. Il est malgré tout difficile de quantifier les risques en raison de leur nature subjective et des dommages qui en résultent. Le plus important, cependant, est de s'assurer que vos stratégies Advanced Access Control en matière de contrôle d'accès aux ressources présentent un niveau de risque acceptable. Il est intéressant, par exemple, de comparer les bénéfices que tire l'entreprise en permettant à certains utilisateurs d'accéder à des données confidentielles par rapport aux risques de dévoiler ces données, de façon accidentelle, à des sources qui ne sont pas dignes de confiance. Si votre analyse démontre que le risque est trop important, vous pouvez créer des stratégies limitant de façon encore plus stricte l'accès à ces données et minimisant ainsi les dangers associés à celui-ci. Étape 3 : mise en œuvre de la stratégie d'accès Après avoir collecté les informations nécessaires sur l'infrastructure de votre entreprise, identifié les ressources auxquelles vous souhaitez donner accès et procédé à une analyse des risques, vous êtes prêt à développer une stratégie d'accès. Cette étape consiste entre autres à déterminer comment vous allez intégrer Advanced Access Control à votre réseau existant.

28 Guide de l'administrateur Access Gateway édition Advanced Sécurisation de l'accès et des ressources à l'aide de stratégies Les stratégies permettent de mieux protéger votre réseau en contrôlant les ressources auxquelles les utilisateurs ont le droit d'accéder et les actions qu'ils sont autorisés à effectuer sur ces ressources. Avant de créer des stratégies, vous devez considérer les points suivants. Ressources. Identifiez les ressources que vous souhaitez rendre accessibles en prenant en compte les résultats de l'analyse de risques. Utilisateurs. Associez les stratégies aux utilisateurs appropriés. Scénarios d'accès. Développez des stratégies adaptées aux conditions d'accès des utilisateurs aux ressources de l'entreprise. Un scénario est défini par le point d'ouverture de session utilisé pour accéder au réseau, les résultats de l'analyse de point de terminaison, le type d'authentification appliqué ou une combinaison de ces éléments. Déterminez, par exemple, si les utilisateurs doivent être en mesure de consulter leur courrier électronique via Internet à partir d'un ordinateur portable de l'entreprise. Déterminez aussi les actions qu'ils doivent pouvoir effectuer après avoir accédé aux ressources. Par exemple, vous pouvez leur donner le droit de modifier des documents au moyen d'une application publiée, de prévisualiser un document au format HTML, etc. Pour obtenir une description détaillée de la mise en place de stratégies d'accès, veuillez consulter le chapitre «Contrôle de l'accès à l'aide de stratégies», page 151. Planification des configurations requises pour les clients Advanced Access Control fournit deux méthodes de vérification des informations relatives à la machine cliente. Les analyses continues vérifient les fichiers, les processus ou les entrées de registre requis sur les machines clientes se connectant à votre réseau. Ces analyses sont exécutées de façon répétée lors de la session de l'utilisateur pour vérifier que la machine cliente continue de satisfaire les conditions requises. Vous pouvez incorporer des analyses continues dans des stratégies de connexion afin de pouvoir mettre fin à la connexion si une analyse de fichier, de processus ou de registre n'est pas conforme à la valeur requise.

Chapitre 3 Planification de votre stratégie d'accès 29 Une analyse de point de terminaison permet de recueillir des informations au sujet d'une machine cliente (version du système d'exploitation, niveau de service pack, etc.). Une analyse est exécutée lorsqu'un utilisateur essaie de se connecter via un point d'ouverture de session. À la différence des analyses continues, les analyses de point de terminaison ne sont exécutées qu'une seule fois par session. Vous pouvez en incorporer les résultats dans des stratégies d'accès et définir ainsi l'accès à vos réseaux et ressources en fonction des informations réunies au sujet de la machine cliente. Par exemple, vous pouvez ne permettre l'accès à votre réseau d'entreprise à un employé travaillant à partir d'un ordinateur à son domicile que si une version requise d'un logiciel anti-virus est exécutée sur cet ordinateur. Pour plus d'informations sur l'incorporation d'analyses de point de terminaison et d'analyses continues dans vos stratégies d'accès, veuillez consulter le chapitre «Vérification des configurations requises sur les machines clientes», page 191. Traversée de pare-feu Access Gateway facilite la traversée des pare-feu et fournit une passerelle Internet sécurisée entre les serveurs Advanced Access Control et les machines clientes. Les pare-feu sont généralement utilisés dans les cas de figure suivants. Zones démilitarisées (DMZ). Dans ce scénario, les pare-feu servent à créer une zone démilitarisée à un ou deux niveaux afin de protéger le réseau d'entreprise du trafic Internet. Ce déploiement suppose que des utilisateurs externes traversent les pare-feu qui protègent le réseau d'entreprise avant d'accéder aux ressources de l'entreprise. Enclaves. Dans ce scénario, le rôle des pare-feu est de limiter le trafic entre des segments spécifiques du réseau. Par exemple, les administrateurs d'un hôpital ont intérêt de segmenter leur réseau local pour que les informations les plus sensibles (comme les dossiers des patients) soient accessibles uniquement à partir d'enclaves particulières au sein du réseau. Périmètre de sécurité autour de la batterie de serveurs d'accès. Dans ce scénario, les pare-feu protègent les serveurs Advanced Access Control d'éventuelles menaces au sein du réseau local de l'entreprise en formant un périmètre de sécurité autour de la batterie de serveurs d'accès. Ce type de déploiement empêche les utilisateurs d'accéder directement à la batterie de serveurs d'accès. Les entreprises combinent souvent ces trois types de déploiement afin de faire face aux différents types de risque. Pour plus d'informations sur les scénarios de déploiement d'access Gateway pris en charge, veuillez consulter le guide Access Gateway Standard Edition Administrator's Guide.

30 Guide de l'administrateur Access Gateway édition Advanced Protection des données d'entreprise confidentielles Les données confidentielles d'une entreprise (communément appelées propriété intellectuelle) représentent tout type d'information, d'application ou de service considéré comme appartenant à l'entreprise. Il s'agit, par exemple, des documents financiers, des données clientes ou des dossiers des employés. Le degré de sensibilité des données est fonction de l'impact d'une éventuelle perte de confidentialité ou d'intégrité de ces données. Ce degré de sensibilité dépend des aspects suivants. Dispositions réglementaires. Certains secteurs d'activité (santé, assurance et finance, par exemple) ont un devoir de secret imposé par des clauses légales de confidentialité très rigoureuses. De plus, l'environnement général exige des entreprises une connaissance pointue des règlements en vigueur dans les pays où elles exercent une activité. Implications légales. Il est essentiel de vérifier si la divulgation de données confidentielles soumises aux droits de propriété peut entraîner une action en justice de la part d'une tierce partie si celle-ci estime que ces données ont été communiquées à des utilisateurs non autorisés. Perte de compétitivité. Déterminez si votre entreprise pourrait rester compétitive en cas de perte d'informations cruciales. Imaginez, par exemple, que l'un des secrets de fabrication de votre entreprise tombe entre les mains de la concurrence. Image de l'entreprise. Étudiez l'impact sur votre entreprise en terme d'image si des intrus parvenaient à accéder à certaines informations confidentielles. Par exemple, imaginez qu'ils prennent connaissance des informations liées aux cartes de crédit de vos clients. Il est probable non seulement que vos clients demandent une réparation des dommages causés, mais aussi qu'ils perdent confiance en votre entreprise et cessent d'utiliser ses services. Le contrôle de propriété intellectuelle a pour objectif d'empêcher tout risque de violation des données d'entreprise confidentielles. Advanced Access Control vous permet de protéger la propriété intellectuelle de votre entreprise à l'aide des fonctions suivantes de contrôle d'accès et de stratégies associées.

Chapitre 3 Planification de votre stratégie d'accès 31 Aperçu HTML. Vous pouvez configurer les fichiers Microsoft Office (Word ou Excel, par exemple) pour les afficher au format HTML et non dans leur format de fichier natif. Les utilisateurs seront alors en mesure de consulter ces fichiers mais pas de les modifier. De plus, la suppression des fichiers HTML du cache de la machine cliente lorsque l'utilisateur termine la session permet d'éliminer les risques liés aux fichiers temporaires. Vous avez ainsi la garantie qu'aucune donnée n'est conservée par accident sur les machines clientes lorsque les utilisateurs ferment leur sessions. Intégration de Citrix Presentation Server. Vous pouvez configurer les fichiers de façon à les ouvrir à l'aide d'une application publiée au lieu d'une application locale exécutée sur une machine cliente. Cela permet de mieux protéger les données de propriété intellectuelle dans la mesure où celles-ci restent en permanence sur le réseau protégé de l'entreprise. Advanced Access Control et Citrix Presentation Server peuvent en outre partager les informations de stratégie afin d'activer, de façon sélective, certaines fonctionnalités pour certaines sessions d'application publiée (le mappage des lecteurs clients ou l'impression locale, par exemple). Pour plus d informations sur les filtres, veuillez consulter le chapitre «Contrôle de l'accès à l'aide de stratégies», page 151. Évaluation des types d'authentification L'authentification est le processus déterminant si un utilisateur est la personne qu'il prétend être. Advanced Access Control prend en charge l'authentification à un facteur et l'authentification avancée. Les options d'authentification sont décrites dans les sections qui suivent. Authentification à un facteur Ce type d'authentification est basé sur ce que l'utilisateur connaît (code secret, mot de passe, etc.). Lorsque l'authentification à un facteur est utilisée, les utilisateurs s'identifient auprès d'advanced Access Control en entrant leur nom d'utilisateur et leur mot de passe lors de l'ouverture de session. Lorsque les informations d'identification saisies sont correctes, il est conclu que l'utilisateur est bien l'utilisateur déclaré. L'authentification à un facteur présente les avantages suivants. Advanced Access Control est compatible avec l'authentification à un facteur Windows et LDAP. Cette méthode d'authentification n'implique donc aucune charge de travail ni aucun coût de mise en œuvre supplémentaire.

32 Guide de l'administrateur Access Gateway édition Advanced Il est facile d'annuler et de remplacer les mots de passe dont l'intégrité a été compromise. Les utilisateurs sont habitués à ce type d'authentification. L'authentification à un facteur présente les inconvénients suivants. Sans le savoir, les utilisateurs risquent de communiquer leurs mots de passe à des personnes malveillantes par le biais d'un stratagème quelconque ou d'une astuce technique. Il est impossible de se fier totalement à un mot de passe pour garantir l'authenticité de l'utilisateur dans la mesure où rien n'empêche les utilisateurs de partager leurs mots de passe. Il est fréquent qu'un utilisateur oublie de modifier son mot de passe après l'avoir communiqué à une autre personne dans un but quelconque. Plusieurs personnes peuvent ainsi ouvrir des sessions en utilisant les mêmes informations d'identification. Authentification avancée Ce type d'authentification combine une donnée connue de l'utilisateur à un deuxième élément d'information (possédé par l'utilisateur, comme un jeton matériel, ou connu par l'utilisateur, comme un mot de passe supplémentaire). Advanced Access Control fonctionne avec trois procédés de sécurité (RSA Security SecurID, Secure Computing SafeWord et RADIUS) permettant une authentification avancée. L'authentification avancée présente les avantages suivants. Elle permet d'augmenter la fiabilité générale du processus d'authentification. Demander un élément d'information supplémentaire aux utilisateurs (que ce soit un mot de passe supplémentaire ou un code à usage unique généré à partir d'un jeton matériel) permet de limiter considérablement les risques d'usurpation d'identité. Par exemple, pour accéder au réseau, un intrus devra non seulement connaître le mot de passe principal d'un utilisateur, mais également se procurer le mot de passe RADIUS ou le jeton matériel de cet utilisateur. Les solutions à base de jetons présentent un intérêt supplémentaire dans la mesure où les utilisateurs n'ont pas la possibilité de mémoriser leurs informations d'identification en vue d'un usage ultérieur. Vous avez ainsi la certitude qu'ils se conformeront aux recommandations d'usage en matière de sécurité et qu'ils ne pourront pas enregistrer les données d'identification sous forme électronique ni les inscrire sur un support papier.

Chapitre 3 Planification de votre stratégie d'accès 33 L'authentification avancée présente les inconvénients suivants. Les coûts de mise en œuvre sont conséquents. En plus du logiciel indispensable à la validation des données d'authentification avancée, les solutions à base de jetons nécessitent l'achat des jetons matériels. Les utilisateurs risquent de perdre, de se faire dérober ou d'oublier leurs jetons. Comparez les avantages et les inconvénients respectifs de l'authentification à un facteur et de l'authentification avancée. Pour certaines entreprises, la première méthode offre un niveau de sécurité suffisant. Si votre entreprise requiert une sécurité plus poussée, considérez une solution recourant à l'authentification avancée. Optimisation du taux de disponibilité Advanced Access Control intègre une prise en charge de l'équilibrage de charge. De plus, les serveurs Advanced Access Control prennent en charge diverses applications et techniques standard de mise en cluster des serveurs afin d'assurer un taux de disponibilité élevé et une continuité de service optimale. Lors de la planification de votre déploiement Advanced Access Control, envisagez une ou plusieurs des solutions suivantes. Sauvegarde des bases de données. La sauvegarde de votre base de données SQL Advanced Access Control permet de remédier à des problèmes tels qu'un échec de stockage de base de données, une erreur d'application ou une erreur d'utilisateur. Les sauvegardes sont souvent primordiales pour la restauration des données en cas de catastrophe naturelle (ouragan, incendie, inondation, etc.). Redondance matérielle. La redondance matérielle évite d'immobiliser le système en cas de problème matériel en détectant les composants défaillants avant qu'ils ne tombent en panne et en les isolant lorsque le problème survient. Pour bénéficier d'une redondance matérielle, assurez-vous que votre équipement dispose des configurations minimales requises indiquées dans la section «Éléments requis sur les serveurs», page 46. Essayez en outre de déterminer s'il est nécessaire d'appliquer la redondance pour les éléments suivants : commutateurs et routeurs par lesquels transite le trafic Advanced Access Control ; cartes d interface réseau des serveurs Advanced Access Control ; serveurs de bases de données.

34 Guide de l'administrateur Access Gateway édition Advanced Redondance de serveur. Chaque serveur Advanced Access Control d'une batterie de serveurs d'accès est configuré pour le rôle de serveur d'aperçu HTML par défaut. Par conséquent, chaque serveur ajouté à votre batterie agit comme serveur redondant afin de limiter la durée d'immobilisation en cas de panne de serveur. Si vous ne souhaitez pas affecter tous les serveurs de votre batterie à ce rôle, déployez un ou plusieurs serveurs pour chaque serveur Advanced Access Control ayant ce rôle activé. Pour plus d'informations sur l'attribution du rôle de serveur d'aperçu HTML, veuillez consulter la section «Modification des rôles d'un serveur», page 256. Redondance de base de données. Toutes les données Advanced Access Control sont stockées sur un serveur de base de données SQL. Pour vous assurer que ces données sont disponibles en permanence pour les utilisateurs, adoptez une ou plusieurs des stratégies suivantes : mise en cluster ; envoi de journaux ; équilibrage de charge réseau pour procéder à la commutation des serveurs SQL en cas de besoin ; «stretch clustering». Pour plus d'informations sur ces solutions à taux de disponibilité élevé, veuillez consulter votre documentation SQL. Prise en compte des besoins des utilisateurs Pour planifier une stratégie d'accès adaptée, il est essentiel d'analyser les besoins des utilisateurs. Vous pourrez ainsi en déduire le type d'accès dont chaque utilisateur a besoin pour travailler dans les meilleures conditions. Il est important de considérer les points suivants. Productivité. Créez des stratégies offrant aux utilisateurs le niveau d'accès nécessaire pour rester efficaces et productifs. Accès aux ressources. Répertoriez les ressources que vous devez mettre à la disposition des utilisateurs (messagerie, applications Web, applications publiées, partages de fichiers, etc.).

Chapitre 3 Planification de votre stratégie d'accès 35 Interface utilisateur. Déterminez l'interface qu'il convient de présenter par défaut aux utilisateurs lorsqu'ils ouvrent une session. Advanced Access Control comprend l'interface Access, une page Web affichant les ressources d'entreprise et le courrier électronique mis à la disposition d'un utilisateur. Vous pouvez aussi configurer une application Web telle qu'un site Citrix Access Platform ou un portail tiers en guise d'interface utilisateur par défaut. Travail en mode déconnecté. Déterminez si les utilisateurs ont besoin d'accéder régulièrement au réseau pour synchroniser leurs données et de travailler en mode déconnecté. Par exemple, les utilisateurs qui sont souvent en déplacement ont intérêt à accéder en toute sécurité à leur courrier électronique en temps réel et à synchroniser leurs données sur leurs machines clientes s'ils souhaitent rester productifs et continuer à travailler même lorsqu'ils ne sont plus reliés au réseau. Machines clientes. Advanced Access Control est compatible avec un grand nombre de machines clientes. Il est donc essentiel d'établir les profils matériels et logiciels des machines clientes de votre environnement (de considérer entre autres les tailles des machines, les systèmes d'exploitation utilisés, les types de navigateur, etc.) pour s'assurer qu'ils répondent aux configurations minimales requises pour Advanced Access Control. Pour plus d'informations sur les configurations requises pour les machines clientes, veuillez consulter la section «Configurations requises pour les clients», page 65. Accès par navigateur uniquement. Déterminez si les utilisateurs ont besoin d'accéder aux partages de fichiers réseau, au courrier électronique Web et aux sites Web internes à partir de machines clientes verrouillées empêchant le téléchargement d'un logiciel client. Dans ce cas, le seul logiciel client nécessaire pour accéder au réseau d'entreprise est un navigateur Web. Remarque : certaines applications Web ne permettent pas l'accès par navigateur uniquement. Pour plus d informations, veuillez consulter le chapitre «Limites de l'accès par navigateur uniquement», page 168.

36 Guide de l'administrateur Access Gateway édition Advanced

CHAPITRE 4 Licences de l'édition Advanced Le système de licences Citrix limite le nombre de sessions utilisateur simultanées au nombre de licences achetées. Si vous achetez 100 licences, vous pouvez ouvrir 100 sessions utilisateur à la fois. Quand un utilisateur met fin à une session, la licence est libérée pour l'utilisateur suivant. Un utilisateur qui se connecte sur plusieurs ordinateurs en même temps utilise une licence pour chaque session. Le processus d'attribution de licences comprend les étapes suivantes : «Installation du système de licences Citrix», page 37 (facultatif si vous avez déjà le système de licences Citrix) «Obtention de licences», page 38 «Spécification du serveur de licences», page 41 «Ajout de raccourcis à la console License Management Console», page 42 (facultatif) Installation du système de licences Citrix Access Gateway édition Advanced exige l'accès à au moins un serveur de licences partagé ou dédié exécutant le système de licences Citrix. Si votre portefeuille de produits comprend déjà d'autres produits Citrix, il est possible que vous disposiez déjà d'un serveur de licences pour stocker et gérer vos licences utilisateur. Dans ce cas, vous pouvez ignorer cette étape et passer à l'obtention de vos fichiers de licences. Remarque : Access Gateway édition Standard utilise un serveur de licences sur le boîtier Access Gateway et ne nécessite pas de serveur de licences Citrix dédié. Vous devez utiliser un serveur de licences dédié pour l'édition Advanced. Si vous effectuez une mise à niveau à partir de l'édition Standard et ne disposez pas encore d'un serveur de licences Citrix, vous devez en installer un. Vous pouvez installer et configurer le système de licences Citrix avant, pendant ou après l'installation d'access Gateway édition Advanced.

38 Guide de l'administrateur Access Gateway édition Advanced Obtention de licences Pour installer le système de licences Citrix, suivez les procédures du guide intitulé Guide de démarrage du système de licences Citrix, disponible : dans le centre de connaissances Citrix (http://support.citrix.com/) ; dans le dossier Documentation du CD-ROM du produit ; à partir de la commande Démarrer > Tous les programmes ou Programmes > Citrix > Access Gateway > Documentation sur un serveur exécutant Access Gateway édition Advanced. L'attribution des licences étant un moment crucial de l'installation de votre produit, Citrix conseille fortement de lire le guide des licences avant d'installer le système de licences Citrix. Informations supplémentaires Outre le Guide de démarrage du système de licences Citrix, vous trouverez une série d'articles destinés à vous fournir des informations plus détaillées pour des tâches ne faisant pas partie de l'installation proprement dite de vos composants de licences. Ces articles sont répertoriés dans le chapitre 3 du guide et se trouvent dans le centre de connaissances Citrix (http://support.citrix.com/). Si ce n'est déjà fait, vous devez obtenir des fichiers de licences à télécharger et copier sur votre serveur de licences. Les fichiers de licences contiennent les licences que vous avez attribuées pour un serveur de licences spécifié. Vous pouvez obtenir ces fichiers à partir de la zone du système de licences du site Web MyCitrix (http://www.mycitrix.com/). Avant de télécharger un fichier de licences, réfléchissez déjà au nom contextuel du serveur de licences qui stockera le fichier de licences et le nombre de licences que vous souhaitez attribuer à ce serveur. Vous trouverez plus de détails sur les informations à fournir et les étapes de téléchargement des fichiers de licences dans le Guide de démarrage du système de licences Citrix, disponible sur le CD-ROM du produit, à partir du menu Démarrer d'un serveur exécutant Access Gateway édition Advanced, ou de la zone Support du site Web Citrix (http://support.citrix.com).

Chapitre 4 Licences de l'édition Advanced 39 Détermination des licences requises Les utilisateurs se connectant via Access Gateway édition Advanced ont besoin de deux licences : une pour le boîtier Access Gateway et une pour le serveur Advanced Access Control. Aussi, assurez-vous que vous possédez un nombre adéquat de licences utilisateur Access Gateway et Access Gateway édition Advanced pour la prise en charge de votre déploiement. Les deux types de licences peuvent être regroupés dans un seul fichier pour copie sur le serveur de licences. Notez que chaque serveur utilise une des licences utilisateur simultanées Access Gateway édition Advanced. Lors du compte du nombre de licences requises, pensez à en inclure une pour chaque serveur. Délai de grâce des licences Un délai de grâce de 96 heures entre en vigueur à l'installation si vous pointez votre serveur Access Gateway édition Advanced vers un serveur de licences ne disposant pas de licences de produit installées. Un délai de grâce de 30 jours a lieu si la communication avec un serveur de licences est perdue après avoir contacté le serveur de licences avec succès au moins une fois. Durant le délai de grâce, les sessions utilisateur ne sont pas déconnectées. Cependant, il n'est pas possible de connecter de nouvelles sessions utilisateur. Si le délai de grâce expire avant que la communication soit établie avec un serveur de licences disposant des licences appropriées, toutes les sessions utilisateur actives sont déconnectées. Environnements mixtes Pour les environnements comprenant des déploiements différents (en d'autres termes, déploiements Access Gateway édition Standard et édition Advanced), vous pouvez attribuer le nombre désiré de licences aux différents déploiements lors de la génération de vos fichiers de licences. Pour attribuer de nouvelles licences ou des licences migrées 1. Ouvrez une session sur MyCitrix (http://www.mycitrix.com). 2. Choisissez Licences > Livraison > Livraison Produits éligibles, choisissez le type de programme de licences de votre licence, et suivez les instructions à l'écran afin de sélectionner les licences. Un certificat de livraison du produit vérifie la conversion des licences et présente les codes de licences qui en résultent.

40 Guide de l'administrateur Access Gateway édition Advanced Après avoir généré les nouveaux codes de licences, vous devez attribuer des licences aux fichiers de licences que vous avez copié vers le serveur de licences. L'attribution des licences vous permet de choisir le nombre de licences à inclure dans un fichier de licences ; vous pouvez attribuer toutes vos licences disponibles ou seulement une partie à tout moment. Le fichier de licences est un fichier texte signé numériquement contenant les licences et les informations du produit nécessaires au serveur de licences. Pour télécharger les fichiers de licences 1. Sur MyCitrix (http://www.mycitrix.com), choisissez Licences > Système d'activation Citrix > Activer ou affecter des licences. 2. Suivez les instructions d'attribution à l'écran. Notez que le Nom du serveur de licences est sensible à la casse. 3. Téléchargez le fichier de licences. Par défaut, le Système d'activation Citrix enregistre les fichiers à l'emplacement où vous avez utilisé la commande Enregistrer sous pour la dernière fois. Les fichiers de licences possèdent l'extension.lic. Dans l'éventualité où vous ne pourriez pas situer le fichier de licences téléchargé, effectuez une recherche sur les fichiers comportant une extension.lic sur votre ordinateur. Remarque : Si vous rencontrez des problèmes lors du téléchargement des fichiers de licences, contactez le service client Citrix Customer Care. Pour copier des licences vers le serveur de licences 1. Dans la console License Management Console, naviguez vers les pages Fichiers de licences de l'onglet Configuration. 2. Dans la page Fichiers de licences, cliquez sur Copier le fichier de licences sur ce serveur de licences, recherchez votre fichier de licences et copiez-le dans le serveur de licences. 3. Assurez-vous que le serveur de licences reconnaît le nouveau fichier en effectuant une des actions suivantes. Dans la console License Management Console, à partir de la page de bienvenue, cliquez sur Configurer le serveur de licences, puis sur Mettre à jour les données de licence.

Chapitre 4 Licences de l'édition Advanced 41 Si vous n'utilisez pas la console License Management Console, vous devez lancer une relecture du fichier. À partir d'une invite de commandes, accédez à C:\Program Files\CitrixLicensing\LS\ et tapez la commande suivante : lmreread -c @localhost Une fois que le serveur de licences reconnaît le fichier, vos produits Citrix peuvent être démarrés. Important : ne modifiez pas les fichiers de licences sans avoir connaissance de leur format. Vous pourriez les altérer par mégarde et rendre ainsi le système de licences inutilisable. Spécification du serveur de licences Tous les ordinateurs d'une batterie de serveurs d'accès doivent communiquer avec le même serveur de licences. Vous pouvez spécifier le serveur de licences au cours de l'installation initiale via l'outil Configuration de serveur, ou ultérieurement via le nœud de la batterie de la console Access Management Console. Pour spécifier un serveur de licences 1. Dans l'arborescence de la console, sélectionnez le nœud de la batterie de serveurs et choisissez Définir un serveur de licences sous Autres tâches. 2. Configurez les paramètres suivants : A. Nom d'hôte. Entrez le nom du serveur de licences. B. Numéro de port du serveur de licences. Il s'agit du numéro de port utilisé par le produit pour communiquer avec le serveur de licences. À moins que vous ne deviez effectuer des configurations pour prendre en compte un pare-feu ou que le port par défaut soit déjà utilisé, Citrix conseille de conserver le réglage par défaut du port.

42 Guide de l'administrateur Access Gateway édition Advanced Ajout de raccourcis à la console License Management Console Le composant enfichable License Management Console vous permet de créer un raccourci vers un ou plusieurs serveurs de licences. Vous avez la possibilité d'installer le composant enfichable en même temps que le produit ou de l'ajouter ultérieurement à partir du CD-ROM du produit. Utilisez le raccourci pour exécuter la console License Management Console à distance afin de gérer les licences de votre batterie. Pour créer un raccourci vers les serveurs de licences dans votre environnement 1. Dans l'arborescence de la console, cliquez sur le nœud Licences. 2. Dans la section Tâches courantes, cliquez sur Ajouter un raccourci vers un serveur de licences. 3. Pour Nom du serveur, tapez le nom DNS ou l'adresse IP du serveur de licences pour votre batterie.

CHAPITRE 5 Installation d'advanced Access Control L'installation d'advanced Access Control dépend de votre scénario de déploiement. Vous pouvez installer les composants de serveur sur un seul serveur physique ou répartir ces composants sur plusieurs serveurs. Les rubriques de cette section fournissent les informations suivantes : «Planification de votre installation», page 43 «Éléments requis sur les serveurs», page 46 «Configurations réseau requises», page 48 «Configurations requises pour les fonctionnalités», page 51 «Configurations requises pour l'authentification», page 59 «Configurations requises pour l'intégration de Citrix Presentation Server», page 61 «Configurations requises pour les clients», page 65 «Configurations requises pour la console», page 69 «Présentation générale de l'installation», page 70 «Installation d'advanced Access Control», page 71 Planification de votre installation Dans le cadre de votre stratégie d'accès, vous devez également prévoir l'installation des composants Access Gateway édition Advanced ainsi que les conditions requises pour les fonctionnalités que vous souhaitez mettre en place. Cette section offre une présentation générale des tâches à effectuer avant et après installation du logiciel Advanced Access Control.

44 Guide de l'administrateur Access Gateway édition Advanced Tâches précédant l'installation De nombreuses fonctions d'access Gateway édition Advanced exigent que certains composants soient installés ou paramètres configurés avant d'installer le logiciel Advanced Access Control. Le tableau suivant donne une vue d'ensemble de ces conditions requises pour vous aider à planifier votre installation. Des références à des informations supplémentaires sur chaque composant ou fonction sont incluses. Composant ou fonction Tâche requise Informations supplémentaires Boîtier Access Gateway Installez le (ou les) boîtier(s) Access Gateway Standard Edition Pre-Installation Checklist Access Gateway Standard Edition Administrator s Guide Serveur Advanced Access Control Serveur de base de données Vérifiez que le serveur répond à toutes les conditions matérielles et logicielles requises : Version de Microsoft Windows prise en charge ; Windows Installer 3.0 ou 3.1 ;.NET Framework 2.0 ; MDAC 2.7 ou 2.8. Définissez des extensions Web : ASP.NET (autorisé) ; Active Server Pages (ASP) (autorisé) ; Extensions serveur FrontPage (interdit) ; WebDAV (interdit). Vérifiez que la configuration réseau répond aux conditions requises Vérifiez que le compte de service répond aux conditions requises Installez le serveur de base de données et créez un compte utilisateur Redémarrez le serveur si vous effectuez l'installation sur le serveur Advanced Access Control «Configurations requises», page 46 «Configurations réseau requises», page 48 «Configurations requises de compte de service», page 49 «Configurations requises pour le compte d'utilisateur Microsoft SQL Server», page 48 «Configurations requises pour les bases de données», page 51 «Installation d'advanced Access Control», page 71

Chapitre 5 Installation d'advanced Access Control 45 Composant ou fonction Tâche requise Informations supplémentaires Serveur de licences Aperçu HTML Courrier électronique Web Installez le serveur de licences Citrix sur le serveur Advanced Access Control ou un serveur distinct Installez Microsoft Office (sans Outlook) sur le serveur Advanced Access Control Installez les Outils de gestion du système Microsoft Exchange et Administrateur Microsoft Exchange 5.5 sur le serveur Advanced Access Control Mettez à jour le fichier mapisvc.inf sur le serveur Advanced Access Control Guide de démarrage du système de licences Citrix «Configurations requises pour l'aperçu HTML», page 51 «Installation des Outils de gestion du système Microsoft Exchange et logiciel Administrateur», page 57 «Configurations requises pour l'interface de courrier électronique par défaut», page 57 Authentification RADIUS Installez Visual J#.NET 2.0 «Conditions requises pour RADIUS», page 59 Authentification RSA SecurID Installez RSA ACE/Agent pour Windows «Conditions requises pour SecurID», page 60 Secure Computing SafeWord Installez l'agent SafeWord «Conditions requises pour SafeWord», page 60 Access Management Console Si vous effectuez l'installation sur un poste de travail autonome, vérifiez que le logiciel requis est installé «Configurations requises pour la console», page 69 Tâches suivant l'installation Le tableau suivant présente les tâches à effectuer immédiatement après l'installation du logiciel Advanced Access Control. Des références à des informations supplémentaires sur chaque composant ou fonction sont incluses. Composant ou fonction Tâche requise Informations supplémentaires Boîtier Access Gateway Aperçu HTML Configurez les communications avec le(s) serveur(s) Advanced Access Control Pour afficher des fichiers PDF, installez et configurez le logiciel de conversion «Activation d'advanced Access Control», page 90 «Configurations requises pour l'aperçu HTML», page 51

46 Guide de l'administrateur Access Gateway édition Advanced Éléments requis sur les serveurs Avant de poursuivre l'installation du logiciel, vérifiez que les serveurs que vous utilisez disposent des éléments matériels et logiciels requis pour Advanced Access Control. Important : pour vous assurer que l'installation d'advanced Access Control s'effectue sans problème, utilisez des serveurs qui ne sont pas configurés comme contrôleurs de domaine. Durant l'installation, Advanced Access Control ajoute un compte de service au groupe Administrateurs local qui n'est pas présent sur un contrôleur de domaine. Si vous tentez d'installer Advanced Access Control sur un contrôleur de domaine, le compte de service ne peut pas être ajouté et l'installation échoue. Configurations requises PC avec un processeur à 550 MHz 768 Mo de mémoire physique 9 Go d'espace disque disponible Microsoft Windows 2000 Famille Server avec le Service Pack 4 ou Windows Server 2003, Standard Edition, Web Edition ou Enterprise Edition avec tous les service packs et mises à jour installés ; Services Internet (IIS) 5.0 ou 6.0. Microsoft Windows Installer 3.0 ou 3.1 Microsoft.NET Framework 2.0 MDAC (Microsoft Data Access Components) avec actualisation de la version 2.7 ou 2.8 Important : vous devez installer Windows Installer (WindowsInstaller- KB884016-v2-x86.exe),.NET Framework et l'actualisation MDAC 2.7 (mdac_typ.exe) avant d'installer Advanced Access Control. Les fichiers exécutables de Windows Installer,.NET Framework et de l'actualisation MDAC figurent sur le CD-ROM Serveur Advanced Access Control.

Chapitre 5 Installation d'advanced Access Control 47 Pour définir des extensions de services Web Avant d'installer Advanced Access Control, vous devez vous assurer que les extensions de services Web suivantes sont définies correctement dans le Gestionnaire des services Internet (IIS). Nom d'extension Requise pour les installations d'advanced Access Control? Statut dans le Gestionnaire des services Internet ASP.NET Oui Autorisé Active Server Pages Oui Autorisé (ASP) Extensions serveur FrontPage WebDAV Non. Doit être interdite pour permettre le bon fonctionnement du proxy Web. Non. Doit être interdite pour qu'outlook Web Access (OWA) affiche le contenu des boîtes de réception des utilisateurs. Interdit Interdit 1. Choisissez Démarrer > Programmes ou Tous les programmes > Outils d'administration > Gestionnaire des services Internet. 2. Développez le nœud de l'ordinateur local, puis sélectionnez Extensions du service Web. 3. Effectuez les sélections suivantes, selon les besoins : Sélectionnez ASP.NET, puis cliquez sur Autoriser. Sélectionnez Active Server Pages et cliquez sur Autoriser. Sélectionnez la page Extensions serveur FrontPage, puis cliquez sur Interdire. Sélectionnez WebDAV et cliquez sur Interdire. L'enregistrement d'asp.net est peut-être nécessaire si vous avez installé le.net Framework avant d'installer les Services Internet (IIS). Pour enregistrer ASP.NET, déterminez l'emplacement du fichier aspnet_regiis.exe, accédez à cet emplacement à partir d'une invite de commandes, puis entrez la commande aspnet_regiis.exe -i.

48 Guide de l'administrateur Access Gateway édition Advanced Configurations réseau requises Avant d'installer Advanced Access Control, assurez-vous que votre réseau dispose des configurations requises suivantes. Les ressources ou les ordinateurs auxquels les utilisateurs accéderont sont reliés aux serveurs sur lesquels vous allez déployer Advanced Access Control. Le serveur sur lequel vous allez installer Advanced Access Control est : membre du domaine auquel appartiennent les utilisateurs s'authentifiant sur le serveur, ou membre d'un domaine approuvant et approuvé par le(s) domaine(s) des utilisateurs devant être authentifiés. Dans un environnement à plusieurs domaines, des relations d'approbation sont établies pour que les utilisateurs de tous les domaines soient en mesure de s'identifier et d'accéder aux ressources. Pour fournir l'accès à Internet, un enregistrement d'hôte DNS effectue la correspondance entre une adresse IP publique et le boîtier Access Gateway. Remarque : pour configurer Advanced Access Control avec succès, le serveur doit appartenir à un domaine. Si le serveur Advanced Access Control est membre d'un groupe de travail et non d'un domaine, l'assistant de configuration de serveur ne s'exécute pas. Configurations requises pour les comptes Cette section décrit les comptes serveur requis pour l'installation d'advanced Access Control. Configurations requises pour le compte d'utilisateur Microsoft SQL Server Lors de la création d'une batterie de serveurs d'accès, Advanced Access Control vous demande de définir le compte à utiliser pour l'accès à SQL Server. Le compte spécifié doit permettre à Advanced Access Control de créer une base de données pour la batterie de serveurs d'accès, puis de se connecter à cette base de données.

Chapitre 5 Installation d'advanced Access Control 49 Pour créer la base de données au cours de l'installation, le compte doit au moins être inclus dans le rôle de serveur Créateurs de base de données au niveau de SQL Server. Après la création de la base de données par Advanced Access Control, l'utilisateur de base de données doit disposer des permissions db_datareader et db_datawriter. SQL Server 2000 prend en charge le mode d'authentification Windows, qui exige des comptes d'utilisateur Windows, et le mode mixte, qui autorise les comptes d'utilisateur Windows et les comptes SQL Server. Lors de l'installation d'advanced Access Control sur le premier serveur d'une batterie de serveurs d'accès, le programme d'installation crée la batterie et génère une base de données à laquelle il donne le nom de cette batterie. Il ne crée pas de bases de données supplémentaires lorsque vous ajoutez des serveurs à la batterie de serveurs d'accès. Remarque : les configurations requises concernant la création et l'accès de la base de données, fournies dans cette section concernent aussi bien l'authentification SQL Server que l'authentification Windows pour les comptes d'utilisateur de base de données. Configurations requises de compte de service Lorsque vous installez Advanced Access Control et créez une batterie de serveurs d'accès, l'assistant Configuration de serveur vous invite à spécifier le compte à utiliser pour la communication avec les services et les serveurs de la batterie. Ce compte est appelé compte de service. Le compte de service doit être un compte existant. Si vous ne disposez pas d'un compte de service, vous devez en créer un avant d'installer Advanced Access Control. Un compte de service doit satisfaire les conditions suivantes. Le compte de service doit être membre du groupe Administrateurs local de chaque serveur de la batterie. Le compte de service ne doit pas être désactivé et son mot de passe ne doit pas expirer. Les informations d'identification de ce compte ne doivent pas être modifiées. Si le compte de service est supprimé, la batterie de serveurs d'accès ne fonctionnera pas. Le compte de service ne peut être un compte d'utilisateur local que si vous créez une batterie de serveurs d'accès à serveur unique et n'avez pas l'intention de l'étendre. En d'autres termes, vous ne pouvez pas installer Advanced Access Control sur plusieurs serveurs si le compte de service correspond à un compte d'utilisateur local. Citrix recommande fortement d'utiliser un compte de domaine et non un compte d'utilisateur local lors de l'installation d'advanced Access Control.

50 Guide de l'administrateur Access Gateway édition Advanced Important : si vous spécifiez un compte d'utilisateur local comme compte de service, vérifiez que ce compte d'utilisateur local dispose des permissions de propriétaire de base de données pour la base de données qu'advanced Access Control crée lors de l'installation. Si le compte d'utilisateur local ne dispose pas des permissions de propriétaire de base de données, certaines fonctions peuvent ne pas être disponibles pour les utilisateurs. Dans un environnement Active Directory, lorsque vous spécifiez le nom d'utilisateur d'un compte de service au format UPN (User Principal Name) ou UPN secondaire, vous devez fournir le nom de domaine complet. Si nécessaire, vous pouvez changer le compte de service après l'installation d'advanced Access Control. Pour plus d'informations sur le changement des détails de compte de service, veuillez consulter la section «Modification du compte de service et des informations d'identification de base de données», page 256. Remarque : si vous déployez Advanced Access Control dans un environnement où une stratégie de groupes restreints permet de contrôler l'appartenance au groupe Administrateurs local, assurez-vous que l'utilisateur associé au compte de service figure dans l'un des groupes définis par la stratégie. Pour plus d'informations, veuillez consulter le kit de ressources Windows 2000 ou Windows 2003. Utilisation des modèles de sécurité avec le compte de service La stratégie informatique de votre entreprise peut exiger l'application de modèles de sécurité en vue de réduire la vulnérabilité de vos serveurs Windows. Le modèle hautement sécurisé (HiSECWS.INF) supprime le compte de service du groupe Administrateurs local s'il est appliqué après l'installation d'advanced Access Control. Après l'application de ce modèle de sécurité, pensez à replacer le compte de service dans le groupe Administrateurs local. Si vous ne le faites pas, Advanced Access Control ne fonctionnera pas correctement.

Chapitre 5 Installation d'advanced Access Control 51 Configurations requises pour les bases de données Access Gateway édition Advanced prend en charge les progiciels de base de données suivants : Microsoft SQL Server 2005 ; Microsoft SQL Server 2000 avec le Service Pack 4 ; Microsoft SQL Server Express 2005. Remarque : si vous installez Microsoft SQL Server et que vous créez une base de données avant d'installer Advanced Access Control, veillez à spécifier un assemblage non sensible à la casse lorsque vous créez la base de données. Cela garantit que les noms attribués aux ressources restent uniques, et empêche la création de ressources avec des noms en double. Configurations requises pour le boîtier Access Gateway Le boîtier Access Gateway est un boîtier VPN SSL universel qui fournit aux utilisateurs un accès contrôlé tant à des ressources applicatives qu'à des informations. Pour plus d'informations sur les configurations requises pour l'installation et l'utilisation du boîtier Access Gateway, veuillez consulter le guide Getting Started with Citrix Access Gateway Standard Edition. Configurations requises pour les fonctionnalités Vous pouvez utiliser Advanced Access Control pour permettre aux utilisateurs disposant d'un navigateur Web de visualiser des ressources Web et de les télécharger à partir de leurs machines clientes ou vers leurs machines clientes. Certaines fonctionnalités telles que Live Edit requièrent néanmoins un logiciel client supplémentaire. D'autres fonctionnalités nécessitent un logiciel serveur supplémentaire. Cette section fournit des informations destinées à vous aider à planifier l'accès aux fonctionnalités en fonction des configurations requises par celles-ci sur les machines clientes et les serveurs. Configurations requises pour l'aperçu HTML L'aperçu HTML permet aux utilisateurs de visualiser des fichiers tels que des documents Microsoft Office ou des fichiers Adobe Acrobat PDF en HTML.

52 Guide de l'administrateur Access Gateway édition Advanced Installation de Microsoft Office pour l'aperçu HTML Pour utiliser l'aperçu HTML pour visualiser des documents Microsoft Office, les logiciels suivants doivent être installés sur un serveur Web dans votre batterie de serveurs d'accès : Microsoft Word 2000, XP ou 2003 ; Microsoft Excel 2000, XP ou 2003 ; Microsoft Powerpoint 2000, XP ou 2003 ; Microsoft Visio 2002 ou 2003. Si vous installez ces programmes après Advanced Access Control, vous devez redémarrer le service du moteur d'activation Citrix (Citrix Activation Engine Service). Si vous utilisez l'aperçu HTML avec des documents Microsoft Office, prenez en compte les considérations suivantes : Microsoft Outlook doit être exclu de l'installation Office car il interfère avec les fonctions de courrier électronique Web d'advanced Access Control. Toutes les machines permettant l'aperçu HTML doivent disposer des licences Microsoft Office adéquates. Pour plus d'informations à ce sujet, veuillez consulter votre contrat de licence Microsoft Office. Si plusieurs serveurs sont configurés pour l'aperçu HTML, ils doivent utiliser la même version de Microsoft Office. Si ce n'est pas le cas, la visualisation d'un document à l'aide de l'aperçu HTML risque de varier d'un utilisateur à l'autre en fonction de la version de Microsoft Office employée pour effectuer le rendu du document. Pour plus d'informations sur l'utilisation de l'aperçu HTML pour permettre l'accès à des documents, veuillez consulter la section «Autorisation de l'aperçu HTML», page 161. Utilisation de macros avec l'aperçu HTML Lors de l'utilisation de l'aperçu HTML pour accéder à des documents Microsoft Office, il est possible d'exécuter des macros incorporées à ces documents. La visualisation d'un document intégrant des macros présente des risques pour votre déploiement car celles-ci peuvent être exécutées sur le serveur Advanced Access Control dans le contexte du compte de service.

Chapitre 5 Installation d'advanced Access Control 53 Avant la mise en place de l'aperçu HTML, évaluez chacune des stratégies suivantes pour atténuer ce risque potentiel : Configurez les options de chaque application Microsoft Office liées à la sécurité et aux macros pour vous conformer aux stratégies de sécurité réseau de votre organisation. Configurez chaque application Microsoft Office pour qu'elle s'exécute dans le contexte d'un compte d'utilisateur aux privilèges limités. Important : ces stratégies ne protègent pas contre les risques de sécurité éventuels liés aux problèmes fonctionnels rencontrés lors de l'utilisation des applications Microsoft Office (par exemple, si Microsoft Word se bloque à l'ouverture d'un document). Lors de l'évaluation de ces stratégies, tenez compte des recommandations de Microsoft concernant la sécurité du serveur et des applications, ainsi que des exigences de sécurité des informations de votre organisation. Pour désactiver les macros incorporées dans Microsoft Office 1. Démarrez l'application Microsoft Office installée sur le serveur Advanced Access Control. 2. Sélectionnez le niveau de sécurité le plus élevé disponible pour les macros dans la version de l'application Microsoft Office que vous utilisez. 3. Désélectionnez l'option permettant de faire confiance à tous les modèles et compléments installés. Pour plus d'informations sur la configuration des options de sécurité relatives aux macros dans les applications Microsoft Office, veuillez consulter la documentation ou le site Web Microsoft Office. Pour configurer l'exécution des applications Microsoft Office sous un compte d'utilisateur Cette procédure implique l'automatisation d'applications Office à l'aide d'un compte d'utilisateur sans surveillance. Pour plus d'informations sur cette approche et les considérations qui y sont associées, reportez-vous à l'article de base de connaissances Microsoft 288367, Comment configurer les applications Office pour qu'elles s'exécutent sous un compte d'utilisateur spécifique. 1. Ouvrez une session sur le serveur Advanced Access Control en tant qu'administrateur et créez un nouveau compte d'utilisateur. 2. Démarrez l'application Office à configurer et appuyez sur ALT+F11 pour charger l'éditeur Visual Basic for Applications (VBA).

54 Guide de l'administrateur Access Gateway édition Advanced 3. Fermez l'application et l'éditeur VBA. 4. Cliquez sur Démarrer > Exécuter et tapez DCOMCNFG pour ouvrir la console Services de composants. 5. À partir du nœud DCOM Config, localisez l'application Office à configurer. Elles sont répertoriées comme suit : Application Microsoft Excel, Présentation Microsoft PowerPoint, Document Microsoft Word. 6. Cliquez avec le bouton droit sur l'application et sélectionnez Propriétés. 7. Cliquez sur l'onglet Sécurité et effectuez les tâches suivantes : A. Sous Autorisations d'exécution et d'activation, sélectionnez Personnaliser, puis cliquez sur Modifier. B. Ajoutez le compte d'utilisateur créé et activez les autorisations Exécution locale et Activation locale. Vérifiez que les comptes SYSTEM, INTERACTIVE et Tout le monde sont présents. C. Sous Autorisations d'accès, sélectionnez Personnaliser, puis cliquez sur Modifier. D. Ajoutez le compte d'utilisateur créé et activez l'autorisation Accès local. 8. Dans l'onglet Identité, sélectionnez Cet utilisateur et entrez les informations d'identification du compte d'utilisateur créé. 9. Redémarrez le serveur. Répétez ces étapes pour chaque application Office à configurer. Une fois le serveur redémarré, lancez le Gestionnaire des tâches, puis démarrez chaque application pour vérifier qu'elle s'exécute sous le nouveau compte d'utilisateur. Utilisation de l'aperçu HTML avec des documents PDF Pour utiliser l'aperçu HTML avec des documents PDF, vous devez installer sur le serveur Advanced Access Control un logiciel de conversion du fichier PDF en HTML. Pour plus d'informations sur la configuration d'advanced Access Control pour afficher des fichiers PDF, reportez-vous à l'article du centre de connaissances Citrix CTX107543 : Personnalisation de l'aperçu HTML dans Advanced Access Control se trouvant sur le site Web Citrix.

Chapitre 5 Installation d'advanced Access Control 55 Configurations requises pour la fonction Live Edit Live Edit est un outil pratique permettant aux utilisateurs de travailler à distance sur des fichiers tels que des documents Word et des feuilles de calcul Excel à l'aide d'un navigateur Web. Pour tirer parti de Live Edit, les utilisateurs doivent installer les logiciels suivants sur leurs machines : Microsoft Internet Explorer 6.0 SP1 ; le contrôle ActiveX du client Live Edit ; l'application Microsoft Office qui convient parmi les suivantes : Microsoft Word 2000, XP ou 2003 ; Microsoft Excel 2000, XP ou 2003 ; Microsoft Powerpoint 2000, XP ou 2003 ; Microsoft Visio 2002 ou 2003. Remarque : après installation d'applications Microsoft Office, exécutez l'application pour la première fois avant d'utiliser Live Edit. Ceci garantit que les tâches postérieures à l'installation sont terminées et permet au client Live Edit d'afficher des documents pour édition sans retard. Pour plus d'informations sur les configurations nécessaires à l'exécution du client Live Edit, veuillez consulter la section «Configurations requises pour les clients», page 65. Pour plus d'informations sur l'utilisation de la fonction Live Edit pour permettre l'accès à des documents, veuillez consulter la section «Autorisation de la fonction Live Edit», page 162. Configurations requises pour la synchronisation des emails Cette fonction permet aux utilisateurs de synchroniser les dossiers d'e-mails situés sur leurs machines clientes avec les dossiers dont ils disposent sur les serveurs Microsoft Exchange ou Lotus Notes/Domino, afin de travailler en mode déconnecté. La synchronisation des e-mails nécessite : l'installation de Microsoft Outlook 2000, XP ou 2003, ou de Lotus Notes R5, R6 ou R7 sur la machine cliente ; l'installation du client Secure Access Client sur la machine cliente ;

56 Guide de l'administrateur Access Gateway édition Advanced un serveur de courrier électronique Microsoft Exchange ou Lotus Notes/ Domino. Pour plus d'informations sur les configurations requises pour le client Secure Access Client, veuillez consulter la section «Configurations requises pour les clients», page 65. Pour plus d'informations sur la synchronisation des e-mails, veuillez consulter la section «Accès sécurisé aux comptes de courrier électronique», page 217. Configurations requises pour le courrier électronique Web Vous pouvez fournir aux utilisateurs un accès aux ressources de courrier électronique de l'entreprise à l'aide du courrier électronique Web. L'interface de courrier électronique incluse par défaut permet aux utilisateurs d'accéder à leurs comptes de courrier électronique à partir d'une station de travail ou d'un ordinateur portable disposant d'un navigateur Web. Cette interface fonctionne uniquement avec les serveurs de courrier électronique Microsoft Exchange. Advanced Access Control prend également en charge Outlook Web Access, Lotus inotes/domino Web Access ainsi que d'autres interfaces de courrier électronique Web. Outlook Web Access et inotes ne fonctionnent pas sur les machines portables telles que les ordinateurs de poche (PDA). Le tableau suivant indique les composants requis pour chaque plate-forme de courrier électronique Web prise en charge. Courrier électronique Web Advanced Access Control Outlook Web Access inotes/domino Web Access Serveur de courrier électronique requis Microsoft Exchange Server, version 2000 ou 2003 avec les service packs et les mises à jour critiques installés Microsoft Exchange Server, version 2000 ou 2003 avec les service packs et les mises à jour critiques installés IBM Lotus Domino Server, version R6 ou R7 Outils d'administration de serveur requis Outils de gestion du système Microsoft Exchange Administrateur Microsoft Exchange 5.5 Outils de gestion du système Microsoft Exchange Administrateur Microsoft Exchange 5.5 Sans objet Navigateurs Web pris en charge Internet Explorer 6.0 SP1 Safari 1.1 et 1.3 Netscape Navigator 8.0 Mozilla Firefox 1.0 Internet Explorer 6.0 SP1 Internet Explorer 6.0 SP1

Chapitre 5 Installation d'advanced Access Control 57 Configurations requises pour l'interface de courrier électronique par défaut Si vous travaillez avec Microsoft Exchange 2000 et voulez utiliser l'interface de courrier électronique par défaut, vous devez installer les Outils de gestion du système Microsoft Exchange, puis mettre à jour le fichier mapisvc.inf sur le serveur Advanced Access Control. Pour plus d informations, veuillez consulter la section «Mise à jour du fichier Mapisvc.inf», page 224. Installation des Outils de gestion du système Microsoft Exchange et logiciel Administrateur Les Outils de gestion du système Microsoft Exchange et Administrateur Microsoft Exchange 5.5 fournissent les composants MAPI nécessaires à la fonctionnalité de courrier électronique Web. Ces outils sont pris en charge sur les systèmes d'exploitation suivants : Microsoft Windows 2000 Famille Server avec le Service Pack 3 ou 4 ; Windows Server 2003, Standard Edition ou Enterprise Edition. Lors de l'utilisation de ces outils, il est important d'effectuer les opérations suivantes : Installez les Outils de gestion du système Microsoft Exchange et Administrateur Microsoft Exchange 5.5 sur le serveur avant d'installer Advanced Access Control ou un autre logiciel tel que Microsoft Office. Cela permet de garantir que les composants MAPI (Messaging Application Programming Interface) sont installés correctement. Installez les versions des Outils de gestion du système Microsoft Exchange et d'administrateur Microsoft Exchange 5.5 incluses dans la version de Microsoft Exchange avec laquelle vous travaillez. Si elles ne correspondent pas, la fonction de courrier électronique Web risque de ne pas fonctionner correctement. Si vous utilisez Outlook Web Access pour votre interface de courrier électronique Web, assurez-vous que l'extension du service Web WebDAV a le statut «Interdit». Si cette extension a le statut «Autorisé», il est possible que les boîtes de réception des utilisateurs ne soient pas affichées correctement. Pour plus d'informations sur la configuration du courrier électronique Web, veuillez consulter la section «Accès sécurisé au courrier électronique Web», page 212.

58 Guide de l'administrateur Access Gateway édition Advanced Utilisation de Microsoft Windows Server 2003 Web Edition pour le courrier électronique Web Si vous utilisez Microsoft Windows Server 2003 Web Edition et disposez de Microsoft Exchange 2003 dans votre environnement, vous ne pouvez installer ni les Outils de gestion du système Microsoft Exchange, ni Administrateur Microsoft Exchange 5.5. Vous devez copier les composants MAPI dans le répertoire %SystemRoot%/system32 du serveur Advanced Access Control. Pour installer les composants MAPI sur un serveur exécutant Microsoft Windows Server 2003 Web Edition 1. Sur le serveur exécutant Microsoft Exchange 2003, copiez les fichiers suivants : mapi32.dll, mapisvc.inf. 2. Sur le serveur Advanced Access Control, collez les fichiers dans le répertoire %SystemRoot/system32. Configurations requises pour l'accès aux profils utilisateur Advanced Access Control stocke les profils utilisateur MAPI dans le dossier Temp situé dans le répertoire d'installation d'advanced Access Control. Les utilisateurs configurés pour le courrier électronique Web doivent posséder des droits en lecture/écriture sur ce dossier. Avant d'installer Advanced Access Control, vous devez ajouter les utilisateurs au groupe Utilisateurs sur tous les futurs serveurs Advanced Access Control. Le processus d'installation accorde les droits en lecture/écriture à ce groupe pour le dossier Temp. Configurations requises pour l'analyse de point de terminaison Il est possible de configurer des analyses de point de terminaison à exécuter sur les machines clientes afin de vérifier les mesures de protection prises sur ces machines (correctifs de système d'exploitation installés, logiciel anti-virus installé, etc.) avant de permettre aux utilisateurs d'accéder aux ressources. Les analyses de point de terminaison requièrent l'installation du client d'analyse de point de terminaison. Ce dernier peut être installé sous la forme d'un contrôle ActiveX, d'un module Netscape Navigator ou Firefox ou d'une application Windows 32 bits. Pour télécharger et installer le contrôle ActiveX, les utilisateurs doivent être membres du groupe «Administrateurs» ou du groupe «Utilisateurs avec pouvoir» de la machine cliente.

Chapitre 5 Installation d'advanced Access Control 59 Important : Si le client d'analyse de point de terminaison n'est pas installé sur le système client, l'utilisateur a seulement accès aux ressources pour lesquelles une analyse n'est pas requise. Pour plus d'informations sur les configurations nécessaires à l'exécution du client d'analyse de point de terminaison, veuillez consulter la section «Configurations requises pour les clients», page 65. Pour plus d'informations sur la configuration des analyses de point de terminaison, veuillez consulter la section «Création d'analyses de point de terminaison», page 193. Configurations requises pour l'authentification Advanced Access Control prend en charge l'utilisation des méthodes d'authentification suivantes pour renforcer la sécurité de votre déploiement : Microsoft Active Directory ; LDAP (Lightweight Directory Access Protocol) ; RADIUS (Remote Authentication Dial-In User Service) ; RSA SecurID 5.2 ou 6.0 ; Secure Computing SafeWord PremierAccess et SafeWord for Citrix. Conditions requises pour LDAP Pour utiliser LDAP avec Access Gateway édition Advanced, vous devez avoir un service d'annuaire compatible LDAP dans votre environnement, tel que Microsoft Active Directory, Novell edirectory ou IBM Directory Server. Important : les informations d'identification des utilisateurs spécifiées dans les formats UPN (User Principle Name) ou UPN secondaire ne sont pas prises en charge lors de l'utilisation de LDAP comme méthode d'authentification. Conditions requises pour RADIUS Pour utiliser ce protocole avec Access Gateway édition Advanced, vous devez installer Microsoft Visual J#.NET, version 2.0 (à l'aide du fichier exécutable vjredist.exe) sur le serveur avant d'y installer le logiciel Advanced Access Control. Ce fichier exécutable se trouve dans le dossier JSharp20 du CD-ROM Serveur Advanced Access Control.

60 Guide de l'administrateur Access Gateway édition Advanced Important : les informations d'identification des utilisateurs spécifiées dans les formats UPN (User Principle Name) ou UPN secondaire ne sont pas prises en charge lors de l'utilisation de RADIUS comme méthode d'authentification. Pour plus d'informations sur l'utilisation de RADIUS avec des points d'ouverture de session, veuillez consulter la section «Création de profils d'authentification RADIUS», page 119. Protocoles d'authentification RADIUS pris en charge Access Gateway édition Advanced prend en charge les configurations RADIUS recourant au protocole PAP pour l'authentification des utilisateurs. D'autres protocoles d'authentification tels que le protocole CHAP (Challenge-Handshake Authentication Protocol) ne sont pas pris en charge. Pour plus d'informations sur la configuration de l'authentification RADIUS, veuillez consulter la section «Création de profils d'authentification LDAP», page 120. Conditions requises pour SecurID Pour utiliser l'authentification SecurID avec Access Gateway édition Advanced, installez le logiciel RSA ACE/Agent pour Windows avant d'installer Advanced Access Control. Si vous installez Advanced Access Control avant d'installer ACE/Agent, l'authentification SecurID ne fonctionnera pas correctement. Pour plus d'informations sur les conditions requises pour l'installation de RSA SecurID, veuillez consulter la documentation produit RSA. Conditions requises pour SafeWord Pour utiliser l'authentification SafeWord avec Access Gateway édition Advanced : Procurez-vous la dernière version de l'agent SafeWord auprès de Secure Computing. Installez le logiciel Agent SafeWord sur le serveur avant d'installer le logiciel Advanced Access Control. Pour plus d'informations sur les conditions requises pour l'installation de SafeWord PremierAccess et SafeWord pour Citrix, veuillez consulter la documentation Secure Computing pour ces produits.

Chapitre 5 Installation d'advanced Access Control 61 Configurations requises pour l'intégration de Citrix Presentation Server Pour accéder aux ressources publiées avec Citrix Presentation Server à l'aide de l'association de type de fichier ou de l'interface Web, un utilisateur doit disposer d'un client Citrix Presentation Server sur sa machine cliente. Advanced Access Control prend en charge l'intégration avec les versions suivantes de Citrix Presentation Server : Citrix Presentation Server 4.0 ; MetaFrame Presentation Server 3.0 ; MetaFrame XP 1.0, Feature Release 3, Service Pack 4 ; MetaFrame pour UNIX 4.0. Remarque : Advanced Access Control prend en charge les stratégies d'application appliquées à l'aide de Citrix Presentation Server, version 4.0 ou ultérieure. Bien qu'advanced Access Control puisse communiquer avec des versions antérieures de Citrix Presentation Server, appliquer des stratégies d'application n'est pas possible avec ces versions. Vous pouvez configurer le point d'ouverture de session pour utiliser à la demande le client Web ou le client pour Java lorsqu'un utilisateur accède à une ressource publiée. Advanced Access Control prend en charge les clients Citrix Presentation Server suivants. Client Anglais Japonais Allemand Espagnol Français Client Citrix Presentation Server, version 9.2 Oui Oui Oui Oui Oui Client pour Java, version 9.4 Oui Oui Oui Oui Oui Client Web, version 9.2 Oui Oui Oui Oui Oui Pour plus d'informations sur les éléments nécessaires à l'exécution du client pour Java, veuillez consulter le Guide de l administrateur du client pour Java. Pour plus d'informations sur la configuration d'advanced Access Control pour l'accès aux ressources publiées, veuillez consulter la section «Autorisation de l'association de type de fichier», page 161.

62 Guide de l'administrateur Access Gateway édition Advanced Conditions requises pour Citrix Presentation Server pour UNIX Pour intégrer Advanced Access Control à Citrix Presentation Server pour UNIX, prenez en compte les considérations suivantes : Le contrôle de l'espace de travail n'est pas pris en charge. SmartAccess n'est pas pris en charge. L'Interface Web exigeant que les utilisateurs entrent un domaine lors de l'ouverture de session, les utilisateurs doivent saisir le mot «unix» comme domaine pour s'authentifier auprès de l'interface Web via Advanced Access Control. Configurations requises pour la fonction SmartAccess La fonction SmartAccess permet aux organisations de mieux contrôler l'accès et l'utilisation des applications publiées. Utiliser SmartAccess avec Advanced Access Control permet de contrôler les ressources auxquelles les utilisateurs ont accès (en fonction de leur scénario d'accès) et les actions qu'ils sont autorisés à effectuer sur ces ressources après y avoir accédé. SmartAccess s'intègre à l'interface Web de Citrix Presentation Server afin de donner aux organisations le même niveau de contrôle sur les applications publiées. Pour utiliser SmartAccess, vous devez disposer des composants suivants dans votre environnement : Citrix Access Gateway édition Advanced Citrix Presentation Server 4.0 Remarque : SmartAccess n'est pas pris en charge avec Citrix Presentation Server pour UNIX. Pour utiliser l'interface Web pour fournir l'accès aux applications publiées, vous devez aussi disposer des logiciels suivants : Console Access Suite 4.0 pour Citrix Presentation Server avec le correctif de l'extension d'interface Web 4.2 appliqué ; Interface Web de Citrix Presentation Server 4.0 ou 4.5 Vous devez aussi vous assurer que les paramètres de pare-feu et de traduction d'adresse sont identiques pour l'interface Web et pour Advanced Access Control. Pour plus d'informations sur la configuration de SmartAccess, veuillez consulter le Guide de l'administrateur de l'interface Web.

Chapitre 5 Installation d'advanced Access Control 63 Conditions requises pour les sites Access Platform multiples et la mise en cache des informations d'identification Advanced Access Control prend en charge l'affichage de trois sites Citrix Access Platform au maximum dans l'interface d'accès. Si les informations d'identification utilisées pour se connecter aux sites Access Platform sont différentes de celles utilisées pour Advanced Access Control, vous pouvez mettre en cache ces informations d'identification pour que les utilisateurs n'aient plus à les entrer. Ces fonctions exigent : Interface Web de Citrix Presentation Server 4.0 ou 4.5. Advanced Access Control pour authentifier des utilisateurs avec des informations d'identification Active Directory uniquement. La mise en cache des informations d'identification n'est pas prise en charge avec RADIUS, LDAP, RSA SecurID ou Secure Computing SafeWord. Configurations requises pour la fonction SmoothRoaming Les fonctionnalités SmoothRoaming de Citrix Presentation Server permettent aux utilisateurs un accès sans interruption aux informations. Ces fonctions incluent le contrôle de l'espace de travail, la fiabilité de session et la reconfiguration de session dynamique. Remarque : le contrôle de l'espace de travail n'est pas pris en charge avec Citrix Presentation Server pour UNIX. Vous pouvez utiliser les fonctionnalités SmoothRoaming avec Advanced Access Control pour donner aux utilisateurs la possibilité de changer de machines clientes et d'avoir accès à toutes leurs applications à l'ouverture d'une session. Pour tirer parti de SmoothRoaming, vous devez posséder l'édition Advanced ou l'édition Enterprise de Citrix Presentation Server 3.0 ou 4.0 sur un serveur de votre environnement. SmoothRoaming n'est pas disponible dans l'édition Standard de Citrix Presentation Server.

64 Guide de l'administrateur Access Gateway édition Advanced Configurations requises pour contourner le proxy Web Si vous souhaitez que les utilisateurs contournent le proxy Web lorsqu'ils accèdent à une ressource Web, vous pouvez les autoriser à accéder à la ressource à l'aide du client Secure Access Client. Pour plus d'informations sur les configurations nécessaires à l'exécution du client Secure Access Client, veuillez consulter la section «Configurations requises pour les clients», page 65. Conditions requises pour l'intégration de portails tiers Access Gateway édition Advanced prend en charge l'intégration à des portails tiers tels que Microsoft Sharepoint pour permettre un accès aisé à des ressources Web, partages de fichiers, courrier électronique Web et applications publiées. Pour intégrer Microsoft Sharepoint, une des versions suivantes doit être installée dans votre environnement : Microsoft Sharepoint 2001. Microsoft Sharepoint 2003. En principe, les utilisateurs peuvent travailler avec des documents gérés par Sharepoint à l'aide de commandes de menu. Lorsque les utilisateurs accèdent au site Sharepoint via le proxy Web, les options de menu exigeant ActiveX pour fonctionner ne sont pas disponibles. Le tableau suivant décrit ces options de menu : Option de menu Exige ActiveX? Disponible pour les utilisateurs par défaut? Afficher les propriétés Non Oui Modifier les propriétés Non Oui Modifier dans Microsoft Office Oui Non Supprimer Non Oui Restituer Non Oui Emprunter Non Oui Historique de versions Non Oui

Chapitre 5 Installation d'advanced Access Control 65 Option de menu Exige ActiveX? Disponible pour les utilisateurs par défaut? M'alerter Non Oui Discuter Oui Non Créer espace de travail du document Non Oui De plus, les options de menu personnalisé exigeant ActiveX pour fonctionner ne sont pas disponibles pour les utilisateurs lorsqu'ils accèdent à Sharepoint via le proxy Web. Configurations requises pour les clients Cette section décrit les configurations requises pour l'exécution des clients sur les plates-formes compatibles avec Advanced Access Control. Configurations requises pour les navigateurs Web Advanced Access Control permet l'utilisation de navigateurs Web sur les plates-formes suivantes. Machines Système d'exploitation Navigateur Web Ordinateurs de bureau Microsoft Windows : Windows XP Édition familiale ou Windows XP Professionnel SP2 Windows 2000 Professionnel SP4 Apple Macintosh OS X (version anglaise uniquement), version 10.3.9 ou ultérieure Internet Explorer 6.0 SP1 Netscape Navigator 8.0 Mozilla Firefox 1.5 Safari 2.0 Netscape Navigator 8.0 Mozilla Firefox 1.5 Red Hat Linux Netscape Navigator 8.0 Mozilla Firefox 1.0.4

66 Guide de l'administrateur Access Gateway édition Advanced Machines Système d'exploitation Navigateur Web Ordinateurs de poche et Smartphones PalmOS 5.4 (Palm Treo 650) Microsoft Windows Mobile 5.0 (UT Starcom/Verizon Wireless XV6700) Microsoft Windows Mobile 2003 (HP ipaq hw6515 Mobile Messenger) RIM BlackBerry (BlackBerry 7130e) Symbian (japonais uniquement) (Motorola FOMA M1000) PalmSource Web Browser 2.0 Internet Explorer Internet Explorer Navigateur Web par défaut Navigateur Web par défaut Remarque : pour utiliser Apple Macintosh OS X, il est important d'appliquer toutes les mises à jour, service packs et correctifs afin d'assurer le bon fonctionnement des fonctions Web.

Chapitre 5 Installation d'advanced Access Control 67 Le tableau suivant indique les langues prises en charge en fonction de la plate-forme et du navigateur Web. Navigateur Web Anglais Japonais Allemand Espagnol Français Internet Explorer 6.0 SP1 (Windows 2000/XP) Netscape Navigator 8.0 (Windows 2000/XP) Netscape Navigator 7.1 (Windows 2000/XP) Netscape Navigator 7.0 (Windows 2000/XP) Mozilla Firefox 1.5 (Windows 2000/XP) Oui Oui Oui Oui Oui Oui Non Non Non Non Oui Oui Oui Non Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Safari 2.0 (Mac OS X) Oui Non Non Non Non Netscape Navigator 7.1 (Mac OS X) Netscape Navigator 7.0 (Mac OS X) Mozilla Firefox 1.5 (Mac OS X) Oui Non Non Non Non Oui Non Non Non Non Oui Non Non Non Non Advanced Access Control fournit les contenus aux navigateurs Web clients à l'aide de pages Web codées en HTML et en JavaScript. Dans la plupart des cas, les configurations clientes standard sont compatibles avec Advanced Access Control. Vous devez vous assurer que les réglages suivants sont effectués pour chaque navigateur Web : autorisation de l'exécution des scripts JavaScript côté client ; autorisation du téléchargement des contrôles ActiveX signés ; autorisation du téléchargement des applets Java si vous autorisez l'accès aux applications publiées et limitez l'accès au client pour Java. Pour plus d'informations sur la configuration des navigateurs Web pour Advanced Access Control, veuillez consulter la section «Considérations en matière de sécurité du navigateur», page 244.

68 Guide de l'administrateur Access Gateway édition Advanced Configurations requises pour le client Live Edit Le client Live Edit est un contrôle ActiveX téléchargé automatiquement vers les navigateurs Web clients. Il offre aux utilisateurs la possibilité de modifier à distance des documents Microsoft Office. Les composants logiciels suivants sont nécessaires sur les postes de travail des utilisateurs devant utiliser le client Live Edit : Microsoft Windows 2000 ou XP avec tous les service packs et toutes les mises à jour critiques ; Microsoft Internet Explorer 6.0 SP1 avec activation des cookies et autorisation de charger les contrôles ActiveX signés. Remarque : les utilisateurs de Windows 2000 ou XP doivent faire partie du groupe «Administrateurs» ou «Utilisateurs avec pouvoir» pour être en mesure de télécharger et d'installer les contrôles ActiveX. Configurations requises pour le client d'analyse de point de terminaison Le client d'analyse de point de terminaison recueille des informations sur la machine (version du système d'exploitation, du logiciel anti-virus ou du navigateur Web, etc.) avant d'ouvrir une session Advanced Access Control. Ce client peut être distribué sous la forme d'un contrôle ActiveX, d'un module d'extension de navigateur ou d'une application Windows 32 bits. L'utilisation du client d'analyse de point de terminaison requiert l'installation des composants logiciels suivants sur les postes de travail des utilisateurs : Microsoft Windows 2000 ou XP avec tous les service packs et toutes les mises à jour critiques ; Microsoft Internet Explorer 6.0 SP1 avec activation des cookies et autorisation de charger les contrôles ActiveX signés si vous distribuez le contrôle ActiveX ; Netscape Navigator 8.0 si vous distribuez le module d'extension de navigateur ; Mozilla Firefox 1.5 si vous distribuez le module d'extension de navigateur.

Chapitre 5 Installation d'advanced Access Control 69 Remarque : les utilisateurs de Windows 2000 ou XP doivent faire partie du groupe «Administrateurs» ou «Utilisateurs avec pouvoir» pour être en mesure de télécharger et d'installer les contrôles ActiveX. Configurations requises pour le client Secure Access Client Le client Secure Access Client sert de proxy entre l'ordinateur client et le boîtier Access Gateway. Le client Secure Access Client peut être distribué comme une application de bureau pour les systèmes Microsoft Windows ou Linux. Il peut être téléchargé et installé automatiquement lorsqu'un utilisateur entre l'adresse Web sécurisée du boîtier Access Gateway et d'un point d'ouverture de session dans un navigateur Web. Remarque : les utilisateurs de Windows 2000 et les utilisateurs de Windows XP doivent faire partie du groupe «Administrateurs» ou «Utilisateurs avec pouvoir» pour être en mesure d'installer des applications. Les utilisateurs de Linux doivent avoir installé les packs tcl et tk pour pouvoir utiliser le client Secure Access Client. Le client Secure Access Client n'est pas pris en charge dans les déploiements de zone démilitarisée double. Si vous déployez Access Gateway édition Advanced dans une telle zone, les utilisateurs accèdent aux ressources uniquement via une connexion par navigateur seulement. Configurations requises pour la console La console Access Management Console constitue l'outil de configuration et d'administration d'advanced Access Control. Il est possible d'installer la console sur un serveur Advanced Access Control ou sur un poste de travail autonome. La console doit disposer au moins des éléments suivants : Windows Server 2003, Standard Edition, Enterprise Edition ou Datacenter Edition avec Service Pack 1 ; Microsoft Windows Server 2003, Édition 64 bits ; Windows XP Professionnel avec Service Pack 2 ; ou Windows 2000 Professionnel avec Service Pack 4 25 Mo d'espace disque ;.NET Framework version 2.0 ;

70 Guide de l'administrateur Access Gateway édition Advanced MDAC (Microsoft Data Access Components) avec actualisation de la version 2.7. Important : si vous installez la console sur le serveur Advanced Access Control, vous devez installer.net Framework et l'actualisation MDAC 2.7 (mdac_typ.exe) avant Advanced Access Control. Les fichiers exécutables de.net Framework et de l'actualisation MDAC 2.7 se trouvent sur le CD-ROM Serveur Advanced Access Control. Présentation générale de l'installation Cette section décrit les principales étapes de l'installation d'advanced Access Control. Citrix prend en charge le déploiement d'advanced Access Control sur un ou plusieurs serveurs. Pour prendre connaissance des informations importantes à considérer avant d'installer les produits Citrix, consultez les fichiers Lisez-moi (Readme) et les guides de l'administrateur des composants que vous prévoyez d'installer. Les fichiers Lisez-moi et les guides de l'administrateur sont disponibles dans le dossier Documentation du CD-ROM Serveur Advanced Access Control. Les grandes étapes de l'installation sont les suivantes. 1. Avant de débuter l'installation, assurez-vous à l'aide de Windows Update que les mises à jour critiques ont été installées sur les serveurs. 2. Vérifiez que vos serveurs disposent des configurations requises pour les composants et les fonctions que voulez utiliser. 3. Installez et configurez le système de licences Citrix. Veuillez consulter le fichier Lisez-moi pour le système de licences Citrix et le Guide de démarrage du système de licences Citrix, disponible dans le dossier Documentation du CD-ROM Serveur Advanced Access Control. Remarque : Citrix recommande de réaliser cette opération avant d'installer Advanced Access Control afin de réduire le temps nécessaire à la configuration du serveur et à l'accès des utilisateurs à cause du système de licences. Il est cependant possible d'installer le serveur de licences au cours ou à l'issue de la configuration du serveur. 4. Installez Advanced Access Control et la console Access Management Console. 5. Le cas échéant, installez des composants supplémentaires.

Chapitre 5 Installation d'advanced Access Control 71 6. Après avoir installé les composants, visitez les sections du site Web de Citrix relatives aux corrections à chaud et aux service packs de Citrix afin de télécharger et d'installer les éventuelles mises à jour critiques. Installation d'advanced Access Control L'assistant d'installation d'advanced Access Control vous guide tout au long de la procédure d'installation d'advanced Access Control et de ses composants. Pour installer Advanced Access Control 1. Insérez le CD-ROM Serveur Advanced Access Control dans le lecteur. L'écran de démarrage apparaît si l'exécution automatique du programme Autorun est activée. Si ce n'est pas le cas, accédez au répertoire racine du CD-ROM, puis cliquez deux fois sur AutoRun.exe. 2. Dans l'écran de démarrage, cliquez sur Access Gateway édition Advanced. 3. Lisez, puis acceptez les termes du contrat de licence Citrix. 4. Sélectionnez les composants voulus parmi les suivants. Serveur. Installe le logiciel serveur Advanced Access Control, y compris l'agent d'ouverture de session et les outils de configuration du serveur. Console de gestion. Installe l'outil de configuration et de gestion d'advanced Access Control et des autres produits de Citrix Access Suite. Access Management Console - Licences. Installe le composant logiciel enfichable de la console de licences. Pour plus d'informations à ce sujet, veuillez consulter la section «Interface utilisateur de la console Access Management Console», page 93. Access Management Console - Diagnostics.Installe le composant logiciel enfichable du Centre de diagnostic. Il est inutile d'installer ce composant sauf si un représentant des équipes d'assistance technique Citrix vous le demande. Pour plus d'informations sur ce composant enfichable, veuillez consulter la section «Interface utilisateur de la console Access Management Console», page 93. 5. Suivez les instructions fournies par l'assistant. À la fin de l'assistant, un écran affiche la progression du processus d'installation d'advanced Access Control. Après cette installation, vous pouvez configurer le serveur à l'aide de l'outil «Configuration de serveur». Vous pouvez également installer Advanced Access Control sur d'autres serveurs.

72 Guide de l'administrateur Access Gateway édition Advanced Pour démarrer la configuration de votre serveur, cliquez sur Terminer. Pour plus d'informations sur la configuration de votre serveur, veuillez consulter la section «Configuration de vos serveurs», page 86. Résolution des problèmes liés à l'installation Au cours de l'installation, Advanced Access Control crée le fichier journal CTXMSAM40_Install.log qui facilite la résolution des problèmes liés à l'installation du serveur. Ce fichier journal est enregistré par défaut dans un dossier temporaire. Pour déterminer l'emplacement de ce dossier, Advanced Access Control vérifie les variables d'environnement suivantes : TMP; TEMP ; USERPROFILE ; windir. Le premier chemin d'accès valide trouvé par Windows parmi ces variables est retenu comme emplacement des fichiers journaux d'installation. Vous pouvez remplacer ce chemin d'accès par défaut en définissant un nouveau chemin d'accès à l'aide du paramètre de ligne de commande /logfilepath CheminAccèsDossier à une invite de commandes. CheminAccèsDossier représente l'emplacement où vous souhaitez stocker les fichiers journaux d'installation. Désinstallation d'advanced Access Control Si vous voulez supprimer un composant Advanced Access Control d'un serveur, utilisez l'outil Ajout/Suppression de programmes dans le Panneau de configuration. Selon les fonctions sélectionnées lors de l'installation, supprimez ces composants dans l'ordre suivant : Citrix Access Gateway 4.5 (serveur) ; Citrix Access Gateway 4.5 (console) ; Citrix License Server Administration ; Citrix Access Management Console - Diagnostics ; Citrix Access Management Console - Structure.

Chapitre 5 Installation d'advanced Access Control 73 Remarque : si vous supprimez le composant Citrix Access Gateway Console avant le composant Citrix Access Gateway Server, le composant serveur ne peut être supprimé. Les composants Citrix License Server Administration et Citrix Access Management Console - Diagnostics peuvent être supprimés à tout moment lors de la désinstallation. Cependant, le composant Citrix Access Management Console - Structure doit être supprimé en dernier. Pour supprimer les composants Advanced Access Control 1. Choisissez Démarrer > Panneau de configuration >Ajout/Suppression de programmes. 2. Dans la fenêtre Ajout/Suppression de programmes, sélectionnez un composant Advanced Access Control. 3. Cliquez sur Modifier ou Supprimer. L'assistant vous invite à confirmer la suppression du logiciel. 4. Cliquez sur Oui ou Suivant pour supprimer le composant.

74 Guide de l'administrateur Access Gateway édition Advanced

CHAPITRE 6 Configuration d'advanced Access Control Après avoir installé Advanced Access Control, il est nécessaire de configurer chacun des serveurs de la batterie de serveurs d'accès. Les rubriques suivantes décrivent la configuration du serveur : «Configurations prises en charge», page 76 «Configuration de vos serveurs», page 86 «Procédure de configuration d'un serveur», page 87 «Activation d'advanced Access Control», page 90 «Utilisation de la console Access Management Console», page 92 «Configuration d'une batterie à partir du panneau Présentation générale», page 95 «Lien avec Citrix Presentation Server», page 96 «Configuration de points d'ouverture de session», page 101 «Ouverture de session via un point d'ouverture de session spécifié», page 105 «Mise à jour des informations de page d'ouverture de session», page 106 «Modification des mots de passe expirés», page 106 «Définition du point d'ouverture de session par défaut», page 107 «Suppression d'un point d'ouverture de session», page 107 «Configuration du boîtier Access Gateway», page 108 «Configuration du split tunneling», page 109 «Transmission des messages système», page 110 «Configuration des propriétés de client», page 111

76 Guide de l'administrateur Access Gateway édition Advanced «Configuration des propriétés de serveur», page 113 «Configuration du contrôle d'accès ICA», page 114 «Configuration de l'authentification avec Citrix Presentation Server», page 115 Configurations prises en charge Vous pouvez déployer Access Gateway édition Advanced de diverses manières pour répondre aux besoins de votre organisation. Les configurations prises en charge comprennent : un ou plusieurs boîtiers Access Gateway déployés dans la zone démilitarisée et le serveur Advanced Access Control déployé dans le réseau interne ; un ou plusieurs boîtiers Access Gateway déployés derrière un équilibreur de charge dans la zone démilitarisée et le serveur Advanced Access Control déployé dans le réseau interne ; un scénario de zone démilitarisée double où un boîtier Access Gateway est déployé dans la première zone démilitarisée, un ou plusieurs boîtiers Access Gateway sont déployés dans la seconde zone démilitarisée et le serveur Advanced Access Control est déployé dans le réseau interne. Configurations Access Gateway Selon les besoins de votre organisation, vous pouvez déployer un ou plusieurs boîtier(s) Access Gateway. Si votre déploiement comprend un équilibreur de charge et plusieurs boîtiers, configurez chaque boîtier en indiquant le même nom de domaine complet (FQDN) pour l'équilibreur de charge et ne spécifiez pas de serveur de basculement Access Gateway. L'équilibreur de charge gère l'équilibrage de charge et le basculement. Si votre déploiement comprend plusieurs boîtiers mais pas d'équilibreur de charge, configurez chaque boîtier en indiquant un nom de domaine complet unique et spécifiez les autres boîtiers pour désigner les serveurs de basculement. Pour plus d'informations sur le déploiement du boîtier Access Gateway, veuillez consulter le guide de démarrage Getting Started with Citrix Access Gateway Standard Edition.

Chapitre 6 Configuration d'advanced Access Control 77 Configurations d'advanced Access Control Advanced Access Control prend en charge les configurations de batterie de serveurs d'accès suivantes. Advanced Access Control sur un serveur unique. Installez Advanced Access Control sur un serveur unique. Le serveur intègre l'ensemble des composants nécessaires de la batterie de serveurs d'accès, y compris le serveur de base de données. Advanced Access Control sur un serveur unique et Microsoft SQL Server sur un autre serveur. Installez Microsoft SQL Server sur un serveur séparé. Installez Advanced Access Control et spécifiez le serveur de base de données SQL hébergeant la base de données de la batterie de serveurs. Advanced Access Control sur plusieurs serveurs. Installez Microsoft SQL Server sur un serveur de base de données distinct. Installez Advanced Access Control sur plusieurs serveurs. Configurations de zone démilitarisée double Vous pouvez déployer deux boîtiers Access Gateway dans une zone démilitarisée double pour contrôler l'accès aux ressources d'entreprise via Advanced Access Control. Dans une configuration de zone démilitarisée double, trois pare-feu divisent la zone démilitarisée en deux étapes afin d'offrir une couche supplémentaire de sécurité pour le réseau interne. Un boîtier Access Gateway réside dans la première zone démilitarisée, tandis qu'un ou plusieurs boîtiers Access Gateway résident dans la seconde. Le serveur Advanced Access Control réside dans le réseau interne. Le boîtier Access Gateway de la première zone démilitarisée gère les connexions client et remplit les fonctions de sécurité d'un VPN SSL. Ce boîtier Access Gateway crypte les connexions client, détermine le mode d'authentification des clients et contrôle l'accès aux serveurs dans le réseau interne. Le boîtier Access Gateway de la seconde zone démilitarisée sert de machine proxy. Ce boîtier Access Gateway permet au trafic ICA de traverser la seconde zone démilitarisée pour établir des connexions Presentation Server Client avec la batterie de serveurs d'accès. Les communications entre le boîtier Access Gateway de la première zone démilitarisée et Secure Ticket Authority (STA) dans le réseau interne s'effectuent également par l'intermédiaire du proxy Access Gateway de la seconde zone démilitarisée.

78 Guide de l'administrateur Access Gateway édition Advanced Remarque : le terme proxy Access Gateway désigne le boîtier Access Gateway déployé dans la seconde zone démilitarisée. Lorsque Access Gateway édition Advanced est déployé dans une configuration de zone démilitarisée double, le boîtier Access Gateway de la première zone démilitarisée peut communiquer avec tout nombre de boîtiers de la seconde zone. Cependant, le proxy Access Gateway de la seconde zone démilitarisée ne peut communiquer qu'avec un boîtier de la première zone démilitarisée. Des messages de notification du serveur Advanced Access Control sont envoyés par proxy via le boîtier Access Gateway de la seconde zone démilitarisée vers celui de la première. Pour plus d'informations sur la communication entre le boîtier Access Gateway et le proxy Access Gateway, veuillez consulter la section «Compréhension de la relation entre le boîtier Access Gateway et le proxy Access Gateway», page 78. Dans un déploiement de zone démilitarisée double, les utilisateurs se connectent au boîtier Access Gateway de la première zone démilitarisée avec un navigateur Web et un Client Citrix Presentation Server. Ils accèdent au point d'ouverture de session sur le serveur Advanced Access Control avec un navigateur Web pour accéder aux ressources d'entreprise. Ils se connectent avec un Client Citrix Presentation Server pour utiliser les ressources auxquelles ils ont accès telles que les applications publiées. Important : le client Secure Access Client n'est pas pris en charge dans les déploiements de zone démilitarisée double. Vous ne pouvez pas utiliser le client Secure Access Client pour accéder à des ressources réseau lorsque des boîtiers Access Gateway sont déployés dans une configuration de zone démilitarisée double. Compréhension de la relation entre le boîtier Access Gateway et le proxy Access Gateway Bien que le boîtier Access Gateway de la première zone démilitarisée puisse communiquer avec tout nombre de boîtiers proxy Access Gateway de la seconde zone démilitarisée, le proxy Access Gateway de la seconde zone démilitarisée ne peut communiquer qu'avec un seul boîtier Access Gateway de la première zone démilitarisée. Si vous déployez plusieurs boîtiers Access Gateway dans la première zone démilitarisée, il est conseillé de configurer chaque boîtier pour qu'il communique uniquement avec le proxy Access Gateway, lui-même configuré pour communiquer avec ce boîtier Access Gateway spécifique.

Chapitre 6 Configuration d'advanced Access Control 79 Par exemple, un administrateur possède deux boîtiers Access Gateway dans la première zone démilitarisée (nommés Boîtier 1 et Boîtier 2) et quatre boîtiers proxy Access Gateway dans la seconde zone démilitarisée (nommés Boîtier 4, Boîtier 5, Boîtier 6 et Boîtier 7). L'administrateur configure les boîtiers 4 et 5 pour communiquer avec le boîtier 1 ; et les boîtiers 6 et 7 communiquent avec le boîtier 2, comme illustré ci-dessous.

80 Guide de l'administrateur Access Gateway édition Advanced Lors de la configuration du boîtier 1 dans la première zone démilitarisée, l'administrateur active la communication uniquement avec le proxy Access Gateway configuré pour communiquer avec le boîtier 1. Par conséquent, l'administrateur configure le boîtier 1 pour communiquer avec les boîtiers 4 et 5 seulement. De même, l'administrateur configure le boîtier 2 pour communiquer avec les boîtiers 6 et 7 seulement. L'illustration ci-dessous décrit cette configuration. Dans cet exemple, chaque boîtier Access Gateway de la première zone démilitarisée communique avec un sous-ensemble de boîtiers proxy Access Gateway de la seconde zone démilitarisée. Cela garantit que les boîtiers proxy sont en mesure de répondre au boîtier Access Gateway approprié dans la première zone démilitarisée. Dans le cas contraire, les notifications du serveur Advanced Access Control seraient perdues et les utilisateurs ne seraient pas en mesure d'ouvrir une session et d'utiliser les ressources d'entreprise. Déploiement de configurations de zone démilitarisée double Le déploiement d'access Gateway édition Advanced dans une configuration de zone démilitarisée double implique les tâches suivantes : Installation des boîtiers Access Gateway dans les première et seconde zones démilitarisées.

Chapitre 6 Configuration d'advanced Access Control 81 Ajout des adresses IP et noms de domaine complets (FQDN) du serveur Advanced Access Control, le boîtier Access Gateway de la première zone démilitarisée et du proxy Access Gateway de la seconde zone démilitarisée au fichier Hosts des boîtiers Access Gateway des deux zones démilitarisées et du serveur Advanced Access Control. Cette tâche est requise si vous n'utilisez pas DNS dans votre environnement. Configuration du proxy Access Gateway de la seconde zone démilitarisée pour communiquer avec le boîtier Access Gateway de la première zone démilitarisée et le serveur Advanced Access Control. Configuration du boîtier Access Gateway de la première zone démilitarisée pour communiquer avec le proxy Access Gateway de la seconde zone démilitarisée. Configuration du boîtier Access Gateway de la première zone démilitarisée pour communiquer avec le serveur Advanced Access Control. Important : pour déployer cette configuration correctement, vous devez effectuer ces tâches dans l'ordre spécifié. Par exemple, si vous configurez le boîtier Access Gateway de la première zone démilitarisée avant de configurer le proxy Access Gateway de la seconde zone démilitarisée, vous recevrez des messages d'erreur et la communication entre les boîtiers ne se fera pas même si tous les paramètres sont correctement configurés. Étape 1 : Installation des boîtiers Access Gateway Le guide Access Gateway Standard Edition Administrator's Guide décrit en détail le processus d'installation du boîtier Access Gateway dans la première zone démilitarisée et du proxy Access Gateway dans la seconde zone démilitarisée. Une fois ces boîtiers installés, passez à l'étape 2. Étape 2 : Ajout d'entrées aux fichiers Hosts du boîtier Access Gateway et du serveur Advanced Access Control Les fichiers Hosts des boîtiers Access Gateway et du serveur Advanced Access Control se composent d'entrées utilisées pour résoudre des noms de domaine complets (FQDN) en adresses IP. Si vous n'utilisez pas DNS dans votre configuration de zone démilitarisée double, vous devez ajouter ces entrées. Utilisez l'outil Administration Tool pour ajouter les entrées suivantes au fichier Hosts : Sur le boîtier Access Gateway, ajoutez les noms de domaine complets (FQDN) et adresses IP du proxy Access Gateway dans la seconde zone démilitarisée et le serveur Advanced Access Control.

82 Guide de l'administrateur Access Gateway édition Advanced Sur le proxy Access Gateway, ajoutez les noms de domaine complets (FQDN) et adresses IP du boîtier Access Gateway dans la première zone démilitarisée et le serveur Advanced Access Control. Sur le serveur Advanced Access Control, utilisez un éditeur de texte pour ajouter les noms de domaine complets (FQDN) et adresses IP des boîtiers Access Gateway dans les deux zones démilitarisées au fichier Hosts. Pour ajouter des entrées au fichier Hosts sur le boîtier Access Gateway 1. Dans l'outil Administration Tool, cliquez sur l'onglet Access Gateway Cluster, puis développez la fenêtre du boîtier Access Gateway de la première zone démilitarisée. 2. Cliquez sur l'onglet Name Service Providers. 3. Sous Edit the HOSTS file, dans IP address, entrez l'adresse IP du proxy Access Gateway installé dans la seconde zone démilitarisée. 4. Dans FQDN, entrez le nom de domaine complet à associer à l'adresse IP saisie à l'étape précédente. Cliquez sur Add. 5. Répétez les étapes 3 et 4 pour ajouter des entrées pour tous boîtiers proxy Access Gateway restants installés dans la seconde zone démilitarisée et pour le serveur Advanced Access Control. Pour ajouter des entrées au fichier Hosts sur le serveur Advanced Access Control 1. Dans l'explorateur Windows, accédez au fichier Hosts dans le répertoire %SystemRoot\system32\drivers\etc. 2. Ouvrez le fichier à l'aide d'un éditeur de texte. 3. Sur une ligne distincte, tapez l'adresse IP et le nom de domaine complet associé de chaque boîtier. 4. Enregistrez le fichier Hosts. 5. Répétez les étapes 1 à 4 pour chaque serveur Advanced Access Control de votre batterie. Étape 3 : configuration des communications avec le proxy Access Gateway et Advanced Access Control Pour une configuration de zone démilitarisée double, vous devez d'abord configurer le proxy Access Gateway de la seconde zone démilitarisée pour qu'il communique avec le boîtier Access Gateway de la première zone démilitarisée et avec le serveur Advanced Access Control du réseau interne. Une fois cette étape terminée, le proxy Access Gateway est prêt à établir la communication avec le boîtier Access Gateway de la première zone démilitarisée.

Chapitre 6 Configuration d'advanced Access Control 83 Remarque : vous pouvez configurer le proxy Access Gateway pour communiquer avec un seul boîtier Access Gateway dans la première zone démilitarisée. Pour plus d'informations sur la communication entre le boîtier Access Gateway et le proxy Access Gateway, veuillez consulter la section «Compréhension de la relation entre le boîtier Access Gateway et le proxy Access Gateway», page 78. Pour configurer les communications entre le proxy Access Gateway et le boîtier Access Gateway Si plusieurs boîtiers sont installés dans la seconde zone démilitarisée, effectuez cette procédure sur chacun d'eux. 1. Dans l'outil Administration Tool, sélectionnez l'onglet Access Gateway Cluster, puis développez la fenêtre du boîtier de la seconde zone démilitarisée. 2. Sur l'onglet General Networking, dans DMZ Configuration, sélectionnez Second hop in double DMZ. 3. Dans Protocol, sélectionnez SOCKS over SSL ou SOCKS. 4. Dans Port, le port par défaut est 443 (pour les connexions sécurisées) ou 1080 (pour les connexions non sécurisées). 5. Cochez la case Advanced Access Control. 6. Dans FQDN of the first appliance in the DMZ, tapez le nom de domaine complet ou l'adresse IP du boîtier Access Gateway de la première zone démilitarisée. Si vous utilisez le protocole SOCKS over SSL, vous devez taper l'adresse FQDN. Si vous utilisez le protocole SOCKS, vous pouvez taper le nom de domaine complet ou l'adresse IP. 7. Cliquez sur Submit et redémarrez le proxy Access Gateway. Après avoir configuré le proxy Access Gateway, vous pouvez configurer le boîtier Access Gateway de la première zone démilitarisée. Étape 4 : Configuration des communications entre le boîtier Access Gateway et le proxy Access Gateway Dans une configuration de zone démilitarisée double, le boîtier Access Gateway de la première zone démilitarisée communique avec le proxy Access Gateway de la seconde zone démilitarisée pour acheminer des requêtes au serveur Advanced Access Control du réseau interne.

84 Guide de l'administrateur Access Gateway édition Advanced Remarque : si plusieurs boîtiers Access Gateway sont installés dans la première zone démilitarisée, vous devez configurer chacun d'eux pour communiquer avec un sous-ensemble de boîtiers de proxy Access Gateway. Pour plus d informations, veuillez consulter la section «Compréhension de la relation entre le boîtier Access Gateway et le proxy Access Gateway», page 78. Pour configurer les communications entre le boîtier Access Gateway et le proxy Access Gateway 1. Dans l'outil Administration Tool, cliquez sur l'onglet Access Gateway Cluster, puis développez la fenêtre du boîtier Access Gateway de la première zone démilitarisée. 2. Sur l'onglet General Networking, dans DMZ Configuration, sélectionnez First hop in double DMZ. 3. Cochez la case Configure for Advanced Access Control. Cliquez sur Add. 4. Dans la fenêtre Add appliance from second hop, procédez comme suit : Nom de domaine complet (FQDN) ou adresse IP. Entrez le nom de domaine complet ou l'adresse IP du proxy Access Gateway installé dans la seconde zone démilitarisée. Si vous utilisez le protocole SOCKS over SSL, vous devez entrer l'adresse FQDN. Si vous utilisez le protocole SOCKS, vous pouvez entrer le nom de domaine complet ou l'adresse IP. Remarque : ce nom de domaine complet ou cette adresse IP sont également utilisés par le serveur Advanced Access Control pour communiquer avec le proxy Access Gateway. Lorsque le serveur Advanced Access Control enregistre le boîtier Access Gateway dans la première zone démilitarisée, le nœud Boîtiers Access Gateway dans la console Access Management Console affiche les informations du proxy Access Gateway. Port. Le port par défaut pour une connexion SOCKS over SSL est 443. Pour une connexion SOCKS, le port par défaut est 1080. Vous pouvez modifier les ports par défaut selon les besoins.

Chapitre 6 Configuration d'advanced Access Control 85 Protocole. Sélectionnez SOCKS over SSL pour sécuriser la connexion SOCKS avec le proxy Access Gateway de la seconde zone démilitarisée avec SSL. Sélectionnez SOCKS pour ne pas sécuriser cette connexion. Second hop appliance MAC address. Entrez l'adresse MAC de la carte réseau associée à l'interface 0 sur le proxy Access Gateway installé dans la seconde zone démilitarisée. 5. Cliquez sur Validate pour vérifier que le boîtier Access Gateway de la première zone démilitarisée peut se connecter au proxy Access Gateway de la seconde zone démilitarisée à l'aide des adresse, protocole et port spécifiés. 6. Répétez les étapes 3 à 5 pour ajouter d'autres boîtiers à la liste Appliances in second hop. Remarque : le boîtier Access Gateway de la première zone démilitarisée utilise la liste Appliances in second hop pour équilibrer la charge des connexions aux boîtiers installés dans la seconde zone démilitarisée. 7. Cliquez sur Submit et redémarrez le boîtier Access Gateway. Étape 5 : Configuration des communications entre Access Gateway et Advanced Access Control Dans une configuration de zone démilitarisée double, le boîtier Access Gateway de la première zone démilitarisée communique avec le serveur Advanced Access Control par l'intermédiaire du proxy Access Gateway de la seconde zone démilitarisée. Pour configurer le boîtier Access Gateway de la première zone démilitarisée pour communiquer avec le serveur Advanced Access Control, veuillez consulter les instructions de la section «Activation d'advanced Access Control», page 90. Modification de la configuration d'un serveur À tout moment, vous pouvez apporter des modifications à la configuration de la batterie de serveurs d'accès à partir de la console. Lorsque vous installez plusieurs serveurs Advanced Access Control dans une même batterie de serveurs d'accès, il est possible de configurer certains serveurs pour assurer une restauration en cas de problème, améliorer les performances et augmenter la capacité de la batterie de serveurs pour qu'elle puisse prendre en charge plus d'utilisateurs. Pour plus d'informations sur la gestion des serveurs Advanced Access Control, veuillez consulter le chapitre «Gestion de votre environnement Access Gateway», page 249.

86 Guide de l'administrateur Access Gateway édition Advanced Configuration de vos serveurs Après avoir installé Advanced Access Control, vous pouvez configurer vos serveurs à l'aide de l'outil Configuration de serveur. Cette section décrit les tâches de configuration suivantes : création d'une batterie de serveurs d'accès ; sélection d'une base de données pour la batterie et spécification d'un serveur de base de données ; spécification du serveur de licences Citrix ; sélection d'un chemin d'accès de site Web et sécurisation du trafic de l'agent d'ouverture de session ; activation d'advanced Access Control. Présentation de l'outil Configuration de serveur Cet outil permet de procéder aux tâches de configuration préliminaire (création d'une batterie de serveurs d'accès et spécification d'un serveur de licences). Il permet notamment de désigner le compte à utiliser comme compte de service. Il ajoute le compte au groupe «Administrateurs» local et accorde les droits de stratégie de sécurité locale suivants : Agir en tant que partie du système d'exploitation ; Ouvrir une session en tant que tâche ; Ouvrir une session en tant que service. Important : l'outil Configuration de serveur ne peut pas créer de compte d'utilisateur SQL pour accéder à la base de données de la batterie de serveurs. Vous devez créer un compte dans SQL Enterprise Manager avant de modifier le compte d'utilisateur à utiliser pour l'accès à la base de données. Ce compte d'utilisateur doit disposer des privilèges d'administrateur système. L'outil Configuration de serveur n'ajoute pas le compte de service aux partages réseau. L'outil Configuration de serveur ne supprime pas les comptes de service précédents de la stratégie de sécurité locale ou des partages réseau. Par mesure de sécurité, vous pouvez supprimer les anciens comptes après avoir mis à jour les informations de compte à l'aide de l'outil.

Chapitre 6 Configuration d'advanced Access Control 87 L'outil de configuration de serveur permet d'effectuer les opérations suivantes : vérification des informations de compte ; mise à jour des services ; arrêt des services Advanced Access Control ; démarrage des services Advanced Access Control ; mise à jour des informations de compte de service interne ; mise à jour des informations de compte de base de données interne ; synchronisation de la batterie de serveurs d'accès. Procédure de configuration d'un serveur Après installation d'advanced Access Control, vous pouvez configurer un serveur à l'aide de l'outil Configuration de serveur. Pour démarrer l'outil Configuration de serveur Choisissez Démarrer > Programmes > Citrix > Access Gateway > Configuration de serveur. Création d'une batterie de serveurs d'accès ou association à une batterie de serveurs d'accès Lorsque vous installez Advanced Access Control sur un serveur, vous pouvez, au choix, créer une nouvelle batterie de serveurs d'accès ou ajouter le serveur à une batterie de serveurs d'accès existante. Créer une nouvelle batterie de serveurs d'accès Choisissez cette option si vous créez une batterie de serveurs d'accès. Le nom de la batterie de serveurs d'accès devient le nom de la base de données SQL Server. Cette option requiert des informations sur le système de licences, le compte de service et la base de données. S'associer à une batterie de serveurs d'accès existante. Choisissez cette option si vous avez l'intention d'ajouter un serveur à une batterie de serveurs d'accès existante. Cette option requiert des informations sur le compte de service et la base de données.

88 Guide de l'administrateur Access Gateway édition Advanced Sélection d'une base de données Lorsque vous créez une batterie de serveurs d'accès, l'outil de configuration de serveur vous demande d'indiquer si vous préférez utiliser un serveur de base de données SQL Server existant ou installer un moteur de base de données local. Le serveur de base de données stocke les données de configuration de la batterie de serveurs d'accès. Microsoft SQL Server Choisissez cette option si vous souhaitez utiliser une version de Microsoft SQL Server compatible comme serveur de base de données pour la batterie de serveurs d'accès. SQL Server peut fonctionner sur le même serveur exécutant Advanced Access Control ou sur un serveur de base de données distinct. Important : si vous voulez sélectionner une base de données SQL Server, vous devez d'abord vous assurer que le service SQL est en cours d'exécution sur ce serveur. Si ce n'est pas le cas, l'outil de configuration de serveur ne peut pas détecter le serveur. Microsoft SQL Server Express Choisissez cette option si vous voulez qu'advanced Access Control installe les composants nécessaires à un serveur de base de données local et crée une base de données pour la batterie de serveurs d'accès. L'outil de configuration de serveur recherche alors une instance de SQL Server Express appelée CitrixAAC. S'il ne la trouve pas, il installe cette instance pour vous. Remarque : utilisez l'option Microsoft SQL Server Express dans le cadre d'un déploiement pilote d'advanced Access Control. Citrix vous recommande d'utiliser Microsoft SQL Server pour les déploiements à grande échelle. Spécification d'un serveur de base de données existant Si vous choisissez d'utiliser une base de données Microsoft SQL Server, l'outil de configuration de serveur vous demande d'indiquer le serveur sur lequel SQL Server est installé. Serveur de base de données de batterie. Entrez le nom du serveur de base de données.

Chapitre 6 Configuration d'advanced Access Control 89 Nom de la batterie de serveurs d'accès. Entrez le nom de la batterie de serveurs d'accès que vous voulez créer ou à laquelle vous souhaitez associer le serveur. Accès à la base de données de configuration : compte de service. Sélectionnez cette option si vous souhaitez utiliser les informations d'identification de compte de service Advanced Access Control pour accéder à la base de données SQL. Accès à la base de données de configuration : authentification SQL. Sélectionnez cette option si vous souhaitez utiliser les informations d'identification de compte de base de données SQL pour accéder à la base de données SQL. Si vous choisissez cette option, vous devez aussi fournir le nom d'utilisateur et le mot de passe pour la base de données. Spécification d'un serveur de licences Lorsque vous créez une nouvelle batterie de serveurs d'accès, l'outil Configuration de serveur vous demande d'identifier le serveur de licences à utiliser pour valider votre installation du logiciel Advanced Access Control. Avant de continuer la configuration du serveur, vous devez sélectionner une des options suivantes. Utiliser un serveur de licences existant. Sélectionnez cette option si vous souhaitez désigner un serveur de licences que vous avez installé directement. Dans la zone Nom d'hôte, entrez le nom du serveur de licences que vous souhaitez utiliser. Si le serveur de licences utilise un autre port que le port 27000, désélectionnez la case Utiliser le port par défaut, puis entrez le port qui convient dans la zone Port du serveur de licences. Installer un nouveau serveur de licences sur cet ordinateur. Sélectionnez cette option si vous souhaitez installer un serveur de licences sur la même machine que le serveur exécutant Advanced Access Control. Lorsque vous aurez terminé la configuration du serveur, Advanced Access Control se chargera d'installer le serveur de licences. Ne pas configurer le système de licences maintenant. Sélectionnez cette option si vous souhaitez désigner un serveur de licences ultérieurement. Si vous ne spécifiez pas de serveur de licences, le message «Accès refusé» apparaîtra chaque fois qu'un utilisateur tentera d'ouvrir une session Advanced Access Control.

90 Guide de l'administrateur Access Gateway édition Advanced Sélection d'un chemin d'accès de site Web Le chemin d'accès d'un site Web correspond à l'emplacement auquel sont stockés tous les contenus Web d'advanced Access Control. Vérifiez le chemin d'accès de site Web détecté par Advanced Access Control pour vous assurer qu'il convient à votre déploiement. Pour redéfinir le chemin d'accès physique 1. Sélectionnez le site Web que vous avez l'intention de modifier. 2. Sélectionnez l'option Utiliser le chemin d'accès personnalisé pour le contenu Web. 3. Dans la zone Chemin d'accès, entrez le chemin d'accès physique que vous souhaitez utiliser pour le site Web. Vous pouvez également cliquer sur Parcourir afin d'accéder au répertoire que vous voulez utiliser. Sécurisation du trafic du site Web à l'aide de SSL Lors de la sélection d'un chemin d'accès de site Web, vous pouvez activer le protocole SSL (Secure Sockets Layer) afin de sécuriser les communications avec l'agent d'ouverture de session. Pour ce faire, sélectionnez l'option Sécuriser le trafic entre l'agent d'ouverture de session et le service d'authentification. Important : avant de configurer Advanced Access Control, assurez-vous de disposer des certificats numériques appropriés sur le serveur. Vous n'avez accès à cette option qu'à condition d'avoir activé SSL sur le serveur. Finalisation de la configuration du serveur L'outil Configuration de serveur affiche un récapitulatif des options et des paramètres de configuration sélectionnés. Après l'avoir consulté, cliquez sur Suivant pour démarrer la procédure de configuration du serveur. Après avoir effectué la configuration, cliquez sur Terminer, puis activez Advanced Access Control pour la gestion du boîtier Access Gateway. Activation d'advanced Access Control Pour bénéficier des fonctions de contrôle d'advanced Access Control, vous devez activer le boîtier Access Gateway afin de lui permettre de communiquer avec le serveur Advanced Access Control.

Chapitre 6 Configuration d'advanced Access Control 91 Remarque : si vous déployez Access Gateway édition Advanced dans une configuration de zone démilitarisée double, vous activez les communications avec Advanced Access Control une fois plusieurs autres tâches terminées. Pour plus d'informations sur ces dernières, veuillez consulter la section «Configurations de zone démilitarisée double», page 77. Pour activer les communications avec Advanced Access Control, vous effectuez les tâches suivantes à l'aide de l'outil Access Gateway Administration Tool : Dans l'onglet Name Service Providers, entrez les informations DNS et WINS relatives à votre serveur Advanced Access Control. Dans l'onglet Routes, configurez les routes IP en fonction de vos besoins. Dans l'onglet Advanced Options, sélectionnez Advanced Access Control, puis fournissez les informations correspondant au serveur. Après avoir effectué ces opérations et redémarré le boîtier, vous pouvez configurer les paramètres propres au boîtier à l'aide de l'outil Administration Tool. Pour plus d'informations sur l'utilisation de l'outil Administration Tool, veuillez consulter le guide Access Gateway Standard Edition Administrator's Guide. Important : lorsque la gestion des paramètres globaux des boîtiers Access Gateway est configurée pour être assurée par Advanced Access Control, les paramètres correspondants de l'outil Administration Tool sont désactivés et leurs valeurs sont supprimées. Si vous avez configuré ces paramètres dans l'outil Administration Tool avant d'activer Advanced Access Control, vous devez les configurer à nouveau dans la console Access Management Console. Pour plus d informations sur la configuration de ces paramètres dans la console, veuillez consulter la section «Configuration du boîtier Access Gateway», page 108. Lorsque l'administration des boîtiers n'est plus configurée pour être assurée par Advanced Access Control, les paramètres globaux des boîtiers Access Gateway configurés dans la console sont désactivés et leurs valeurs sont supprimées. Pour activer Advanced Access Control 1. Démarrez l'outil Access Gateway Administration Tool, puis sélectionnez un boîtier Access Gateway. 2. Dans l'onglet Access Gateway Cluster, cliquez sur Advanced Options. 3. Pour gérer le cluster Access Gateway à l'aide de la console Access Management Console, sélectionnez Advanced Access Control.

92 Guide de l'administrateur Access Gateway édition Advanced 4. Dans la zone Server running Advanced Access Control, entrez l'adresse IP ou le nom de domaine complet (FQDN) du serveur Advanced Access Control. Important : si vous avez spécifié le nom de domaine complet du serveur exécutant Advanced Access Control et ne pouvez pas vous connecter au serveur, vérifiez que vous avez désigné les serveurs DNS que vous voulez utiliser dans l'onglet Name Service Providers de l'outil Administration Tool. Il n'est pas nécessaire de désigner des serveurs DNS si vous spécifiez l'adresse IP du serveur Advanced Access Control. 5. Pour crypter les communications entre le boîtier Access Gateway et le serveur Advanced Access Control, sélectionnez Secure server communication. 6. Pour enregistrer vos modifications, cliquez sur Submit. 7. Redémarrez le boîtier Access Gateway. Utilisation de la console Access Management Console La console Access Management Console étend votre capacité à gérer votre déploiement en intégrant bon nombre des fonctions administratives de vos produits Citrix à la console MMC (Microsoft Management Console). La console Access Management Console est un composant logiciel enfichable autonome de la console MMC. Les fonctions de gestion sont fournies via un certain nombre d'outils (composants logiciels enfichables) que vous pouvez sélectionner lorsque vous installez la console Access Management Console ou à tout moment ultérieur. Installation de la console Access Management Console Avant d'installer un composant enfichable dans la console Access Management Console, assurez-vous d'avoir installé le logiciel Access Management Console - Structure, version 4.5. Si ce n'est pas le cas, l'installation du composant enfichable échoue. Il est impossible d'installer un composant enfichable s'il en existe une version plus récente sur votre serveur. Si vous tentez d'effectuer quand même cette opération, l'installation échoue. Avant d'installer une ancienne version d'un composant enfichable, désinstallez la version actuelle.

Chapitre 6 Configuration d'advanced Access Control 93 Utilisateurs et comptes Seuls les administrateurs Citrix peuvent utiliser la console Access Management Console. Vous devez par conséquent vous assurer que les privilèges d'administrateur appropriés ont été configurés avant de permettre à d'autres utilisateurs d'accéder à la console. N'exécutez pas la console dans deux sessions simultanées sur un même ordinateur en utilisant le même compte d'utilisateur. Les modifications effectuées sur la console au cours d'une session risquent de remplacer celles réalisées dans l'autre session. Déploiement de la console vers les administrateurs Pour apporter des modifications à un déploiement Advanced Access Control à l'aide de la console, un administrateur doit être autorisé à exécuter l'application COM+ Access Gateway Server. Pour plus d'informations sur l'accord de permissions COM+, veuillez consulter la section «Sécurisation de la console Access Management Console à l'aide de COM+», page 251. Interface utilisateur de la console Access Management Console L'interface utilisateur principale de la console Access Management Console est composée de 3 panneaux. Le panneau gauche contient l'arborescence de la console. Le panneau de tâches, au centre, affiche les tâches et outils d'administration. Ce panneau n'existe généralement pas dans les consoles MMC. Le panneau de détails, à droite, fournit diverses informations relatives aux éléments de votre déploiement et aux tâches associées. Les nœuds suivants apparaissent sous la racine de l'arborescence de la console. Alertes. Répertorie les alertes créées par tous les éléments de votre déploiement. Cliquez deux fois sur une alerte pour explorer en aval l'élément concerné. Résultats de la recherche. Permet d'afficher les résultats des recherches que vous avez effectuées. Pour effectuer une recherche standard ou avancée, cliquez sur Recherche dans le panneau de tâches. Mes vues. Vous permet de personnaliser les informations affichées dans le panneau de détails.

94 Guide de l'administrateur Access Gateway édition Advanced Des nœuds supplémentaires sont ajoutés après l'installation de certains composants enfichables de la console Access Management Console. Suivant les options choisies lors de l'installation de la console Access Management Console, les composants enfichables suivants peuvent être disponibles. Licences. Permet de démarrer la console License Management Console pour la gestion des licences de vos produits Citrix. Pour plus d'informations sur la console License Management Console, veuillez consulter le Guide de démarrage du système de licences Citrix. Centre de diagnostic. Permet de créer et de regrouper des journaux de traçage et de fournir des informations sur le système afin d'aider les équipes d'assistance technique Citrix à diagnostiquer vos problèmes. Démarrage de la console Access Management Console Pour démarrer la console Access Management Console Choisissez Démarrer > Programmes > Citrix > Consoles de gestion > Access Management Console. Utilisation de la découverte pour la recherche d'éléments dans un déploiement Avant de pouvoir utiliser la console Access Management Console pour gérer les éléments d'un déploiement, il est indispensable d'effectuer une découverte. À la différence d'une recherche effectuée à partir du panneau de tâches et qui permet de localiser des éléments existant déjà dans l'arborescence de la console, la découverte ajoute des éléments dans cette arborescence. Elle est effectuée à l'aide de la tâche Exécuter la découverte. Elle démarre automatiquement la première fois que vous ouvrez la console. Par la suite, vous pouvez exécuter la procédure de découverte à tout moment afin de localiser des produits ou des composants récemment installés et mettre à jour la console en cas d'ajout ou de suppression d'éléments dans votre déploiement. Par exemple, si des paramètres ont été modifiés à l'aide d'une autre instance de la console, vous devez exécuter une découverte pour obtenir les mises à jour correspondantes. Pour effectuer la découverte de tous les composants 1. Sélectionnez Ressources Citrix dans l'arborescence de la console. 2. Cliquez sur Exécuter la découverte dans le panneau de tâches.

Chapitre 6 Configuration d'advanced Access Control 95 Pour appliquer la découverte à un composant spécifique dans l'arborescence de la console, sélectionnez le composant en question, puis cliquez sur Exécuter la découverte. Il vous est conseillé d'exécuter régulièrement une découverte pour vous assurer que votre vue du déploiement correspond bien à la configuration actuelle. Exécutez une découverte dans les cas suivants. Vous avez installé ou supprimé un élément ou un composant Access Gateway Enterprise ou Advanced Access Control. La console ne reconnaît un élément ou un composant récemment installé qu'après l'exécution de la découverte. Des éléments ont été ajoutés ou supprimés dans un déploiement existant. L'actualisation de l'arborescence de la console, du panneau de détails et des tâches disponibles n'a lieu qu'à l'issue de la découverte. Vos privilèges d'administrateur ont été modifiés ou vous avez redéfini les privilèges personnalisés d'un administrateur. Les modifications apportées aux privilèges ne sont prises en compte dans la console qu'après l'exécution de la découverte. Personnalisation de l'affichage à l'aide de Mes vues Vous pouvez définir des affichages personnalisés (des vues) du panneau de détails. Les vues vous permettent d'accéder rapidement aux éléments que vous avez besoin de consulter régulièrement ou à des éléments disponibles dans différentes parties de la console, que vous voulez regrouper dans une même vue. Au lieu de devoir parcourir l'arborescence de la console de façon répétée, vous pouvez placer ces éléments dans une vue facilement accessible. Par exemple, vous pouvez créer une vue pour l'affichage des stratégies s'appliquant à des serveurs appartenant à différentes batteries de serveurs d'accès. Configuration d'une batterie à partir du panneau Présentation générale Pour vous aider à configurer votre déploiement, le panneau Présentation générale propose différents liens permettant d'accéder à plusieurs assistants très pratiques pour configurer le courrier électronique ou les stratégies d'accès, par exemple. Pour accéder au panneau Présentation générale 1. Sélectionnez le nœud Access Gateway dans le panneau de navigation.

96 Guide de l'administrateur Access Gateway édition Advanced 2. Dans la section Autres tâches du panneau de tâches, cliquez sur Présentation générale. Vous pouvez également cliquer avec le bouton droit de la souris sur le nœud Advanced Access Control ou le nœud de la batterie dans l'arborescence de la console, puis choisir Toutes les tâches > Présentation générale. Par défaut, le panneau Présentation générale est affiché dès que vous cliquez sur le nœud Access Gateway. Pour éviter l'affichage automatique de ce panneau, désélectionnez l'option Toujours afficher cette page dans la partie inférieure du panneau. Lien avec Citrix Presentation Server Vous pouvez lier une batterie de serveurs d'accès à des batteries Citrix Presentation Server. Cela vous permet de proposer des ressources publiées à l'aide de Citrix Presentation Server via une association de type de fichier ou l'interface Web. Lorsque l'association de type de fichier est autorisée par des stratégies, l'ouverture d'un document entraîne le démarrage d'une application associée, exécutée sur un serveur, puis l'ouverture du document dans cette application. Pour lier votre batterie de serveurs d'accès à des batteries Citrix Presentation Server, suivez les étapes ci-dessous. Spécifiez la ou les batterie(s) que vous voulez lier à votre batterie de serveurs d'accès. Configurez l'équilibrage de charge ou la séquence de basculement, si la batterie de serveurs est constituée de plusieurs serveurs. Définissez les modes d'adresse si la batterie de serveurs est protégée par un pare-feu configuré pour la traduction des adresses réseau (NAT). Avant de procéder à la liaison, assurez-vous que les conditions suivantes sont remplies dans Citrix Presentation Server. Les ressources publiées sont associées aux mêmes groupes d'utilisateurs que ceux associés aux ressources dans la batterie de serveurs d'accès. Chaque ressource publiée est configurée pour permettre les connexions via Access Gateway (l'option est l'un des paramètres de type d'accès disponibles dans la boîte de dialogue de propriétés des ressources publiées). L'option Faire confiance aux requêtes envoyées au Service XML Citrix est sélectionnée pour tous les serveurs (dans la boîte de dialogue de propriétés des serveurs).

Chapitre 6 Configuration d'advanced Access Control 97 Spécification de batteries de serveurs Créez une liste des batteries de serveurs accessibles aux utilisateurs d'access Gateway. Vous pouvez l'utiliser dans les propriétés de point d'ouverture de session pour désigner les batteries disponibles pour les utilisateurs du point d'ouverture de session. Chaque batterie de serveurs configurée est associée à une liste de serveurs que vous pouvez utiliser pour définir l'équilibrage de charge ou le mécanisme de basculement à appliquer au sein des serveurs de la batterie. Pour spécifier des batteries de serveurs 1. Dans l'arborescence de la console, sélectionnez le nœud de la batterie de serveurs d'accès, puis cliquez sur Modifier les propriétés de batterie dans la section Tâches courantes. 2. Sélectionnez la page Batterie Presentation Server, puis cliquez sur Nouveau. 3. Dans la zone Nom de batterie Citrix Presentation Server, entrez le nom ou l'adresse IP de la batterie à laquelle vous souhaitez lier votre batterie de serveurs d'accès. Remarque : Advanced Access Control accepte les noms de batterie de serveurs composés au maximum de 50 caractères. Si le nom de votre batterie de serveurs est trop long, entrez l'adresse IP. 4. Si vous souhaitez protéger la liaison entre Advanced Access Control et Citrix Presentation Server, sélectionnez l'option Sécuriser les communications avec la batterie à l'aide d'un protocole sécurisé. Remarque : pour appliquer un protocole sécurisé, vous devez disposer des certificats de client et de serveur appropriés installés sur les serveurs Advanced Access Control et les boîtiers Access Gateway. 5. Cliquez sur Suivant, puis sur Ajouter. 6. Dans la zone Nom de serveur, entrez le nom de machine du serveur Citrix Presentation Server.

98 Guide de l'administrateur Access Gateway édition Advanced Configuration de l'équilibrage de charge ou du basculement Vous pouvez équilibrer la charge des requêtes transmises aux serveurs Citrix Presentation Server. Le routage des requêtes suit la séquence de la liste de serveurs définie dans la boîte de dialogue Propriétés de batterie Presentation Server. La première requête est acheminée vers le premier serveur de la liste, la seconde vers le deuxième serveur et ainsi de suite. Lorsque le dernier serveur de la liste est atteint, le processus recommence à partir du premier serveur de la liste. Important : ne placez pas le collecteur de données ou l'explorateur ICA principal en tête de la liste de serveurs. La liste peut servir à déterminer l'ordre de basculement au cas où les communications avec un serveur ne sont plus possibles. Utilisez la fonction de basculement pour garantir un accès continu aux ressources publiées. La liste de serveurs peut servir à l'équilibrage de charge ou à la prise en charge du basculement, mais pas aux deux en même temps. Par défaut, la liste de serveurs est utilisée pour le basculement. Pour mettre en œuvre l'équilibrage de charge ou la prise en charge du basculement 1. Sélectionnez le nœud de la batterie de serveurs d'accès, puis cliquez sur Modifier les propriétés de batterie. 2. Sur la page Batteries Presentation Server, sélectionnez la batterie, puis cliquez sur Modifier. La boîte de dialogue Propriétés de batterie Presentation Server apparaît. 3. Sur la page Serveurs, utilisez les boutons Vers le haut et Vers le bas pour modifier l'ordre des serveurs. 4. Choisissez Équilibrer la charge des requêtes aux serveurs ou Définir la séquence de basculement pour les serveurs indisponibles. 5. Pour modifier la durée de retrait, changez la valeur affichée en minutes. Par défaut, un serveur est évité pendant cinq minutes. Configuration des modes d'adresse Si votre batterie de serveurs est derrière un pare-feu configuré pour la traduction d'adresse réseau (NAT), vous pouvez définir des paramètres pour déterminer l'adresse IP du serveur inclus dans les fichiers ICA.

Chapitre 6 Configuration d'advanced Access Control 99 Pour configurer les modes d'adresse en fonction des adresses IP des machines clientes 1. Sélectionnez le nœud de la batterie de serveurs d'accès, puis cliquez sur Modifier les propriétés de batterie. 2. Sur la page Batteries Presentation Server, sélectionnez la batterie, puis cliquez sur Modifier. 3. Sur la page Mode d'adresse, cliquez sur Nouveau. 4. Entrez l'adresse IP ou la plage d'adresses IP de provenance des requêtes de client (au format 255.255.255.255) dans la zone Adresse IP de machine cliente. Pour Access Gateway, indiquez l'adresse du boîtier Access Gateway. 5. Sélectionnez un mode dans la liste Mode d'adresse de serveur. Normal. L'adresse IP envoyée au client est l'adresse réelle du serveur. Il s'agit du réglage par défaut. Adresse secondaire. L'adresse IP envoyée au client est l'adresse secondaire du serveur. Les adresses secondaires sont configurées sur le serveur Citrix Presentation Server. Pour utiliser cette option, vous devez disposer d'un pare-feu pour lequel la traduction d'adresse réseau est activée et d'adresses IP secondaires attribuées aux serveurs. Pour plus d'informations sur la configuration des adresses secondaires, veuillez consulter le Guide de l'administrateur Citrix Presentation Server. Adresse traduite. L'adresse IP envoyée au client est fonction des mappages de traduction d'adresse configurés. Pour plus d informations, veuillez consulter la section «Configuration de la traduction d'adresse», page 100. Access Gateway. L'adresse IP envoyée au client est l'adresse réelle du boîtier Access Gateway. Pour utiliser cette option, vous devez également définir les paramètres Access Gateway. Pour plus d informations, veuillez consulter la section «Configuration du mode d'adresse Access Gateway», page 100. Vous pouvez attribuer des modes d'adresse pour des adresses IP spécifiques ou pour des plages d'adresses IP. Il est possible d'indiquer une plage d'adresses IP à l'aide d'astérisques, par exemple : 10.12.128.*. Un astérisque correspond alors à une valeur valide quelconque.

100 Guide de l'administrateur Access Gateway édition Advanced Configuration de la traduction d'adresse Si votre batterie de serveurs est derrière un pare-feu, vous pouvez masquer les adresses de serveur internes en suivant les étapes ci-dessous : mappage de l'adresse IP interne de chaque serveur sur une adresse IP externe ; spécification des adresses des machines clientes utilisant l'adresse traduite. Remarque : pour utiliser cette option, vous devez disposer d'un pare-feu pour lequel la traduction d'adresse réseau (NAT) est activée. Pour mapper l'adresse IP interne d'un serveur 1. Sélectionnez le nœud de la batterie de serveurs d'accès, puis cliquez sur Modifier les propriétés de batterie. 2. Sur la page Batteries Presentation Server, sélectionnez la batterie, puis cliquez sur Modifier. La boîte de dialogue Propriétés de batterie Presentation Server apparaît. 3. Sur la page Mode d'adresse, cliquez sur Traduction d'adresse. 4. Cliquez sur Nouveau. 5. Entrez l'adresse IP interne et le port du serveur Citrix Presentation Server. 6. Dans la zone Adresse après traduction, entrez l'adresse IP externe et le port que les clients devront utiliser pour se connecter au serveur. 7. Sur la page Mode d'adresse, cliquez sur Nouveau afin d'ouvrir la boîte de dialogue Nouveau mode d'adresse de machine cliente. Ajoutez l'adresse IP ou la plage d'adresses IP des machines clientes qui devront utiliser l'adresse traduite que vous venez de configurer. Sélectionnez Adresse traduite dans la liste Mode d'adresse de serveur. Les paramètres de traduction d'adresse ne s'appliquent que pour les adresses IP clientes spécifiées sur la page Mode d'adresse. Configuration du mode d'adresse Access Gateway Si vous fournissez l'accès à des applications à l'aide de Citrix Presentation Server, vous devez configurer le mode d'adresse de serveur. Le mode d'adresse de serveur détermine l'adresse IP de serveur envoyée aux utilisateurs lorsqu'ils démarrent des applications exécutées dans la batterie Citrix Presentation Server.

Chapitre 6 Configuration d'advanced Access Control 101 Pour configurer le mode d'adresse Access Gateway 1. Sélectionnez la batterie de serveurs d'accès, puis cliquez sur Modifier les propriétés de batterie. 2. Sur la page Batteries Presentation Server, sélectionnez la batterie, puis cliquez sur Modifier. 3. Sur la page Mode d'adresse, cliquez sur Access Gateway. 4. Sélectionnez l'option permettant de configurer Access Gateway. 5. Entrez le nom de serveur Access Gateway (exactement comme il apparaît sur le certificat de serveur) et le port. 6. Si les serveurs de votre batterie sont placés derrière un pare-feu et configurés pour utiliser des adresses secondaires traduites, sélectionnez l'option permettant d'utiliser des adresses secondaires. Association de sites Access Platform Si vous affichez plusieurs sites dans l'interface Access et souhaitez préserver les fonctions de contrôle de l'espace de travail, vous devez sélectionner un site Access Platform à associer à une batterie Presentation Server. Après avoir configuré et publié un site Access Platform comme ressource Web, vous pouvez le sélectionner à partir de la page Interface Web des propriétés de la batterie. Pour plus d informations, veuillez consulter la section «Affichage de plusieurs sites et mise en cache des informations d'identification», page 185. Configuration de points d'ouverture de session Le point d'ouverture de session définit la page d'ouverture de session mise à la disposition des utilisateurs et spécifie les réglages à appliquer aux sessions des utilisateurs : puissance d'authentification requise, clients à utiliser, page de démarrage et batteries de serveurs accessibles. Les sessions utilisateur héritent des propriétés du point d'ouverture de session via lequel elles sont ouvertes. Pour déterminer les points d'ouverture de session dont vous aurez besoin, vous devez disposer des informations suivantes. Les utilisateurs qui accéderont à votre déploiement. Les membres d'un service de l'entreprise peuvent demander leur propre point d'ouverture de session. Cela peut également être le cas de certains utilisateurs ayant une relation particulière avec votre entreprise (des partenaires commerciaux ou techniques, par exemple).

102 Guide de l'administrateur Access Gateway édition Advanced Les machines à partir desquelles les utilisateurs accéderont au point d'ouverture de session. Le point d'ouverture de session nécessaire pour accéder aux ressources depuis des machines de petite taille (depuis un ordinateur de poche, par exemple) peut être différent de celui utilisé pour les postes de travail. Les stratégies que vous souhaitez créer pour limiter l'accès aux ressources en fonction du point d'ouverture de session utilisé. Par exemple, les utilisateurs s'authentifiant à partir d'un point d'ouverture de session spécifique peuvent accéder à certaines ressources qui ne sont pas disponibles à partir des autres points d'ouverture de session. Pour plus d'informations sur l'utilisation de points d'ouverture de session dans les stratégies de contrôle d'accès aux ressources, veuillez consulter le chapitre «Contrôle de l'accès à l'aide de stratégies», page 151. Pour configurer un point d'ouverture de session dans votre déploiement, suivez les étapes ci-dessous. Créez le point d'ouverture de session à l'aide de la console ; Déployez le point d'ouverture de session à l'aide de l'outil Configuration de serveur. Pour créer un point d'ouverture de session 1. Dans l'arborescence de la console, sélectionnez Points d'ouverture de session. 2. Dans la section Tâches courantes du panneau de tâches, cliquez sur Créer un point d'ouverture de session. 3. Entrez un nom et une description uniques pour le nouveau point d'ouverture de session. 4. Sélectionnez une page de démarrage à l'aide d'une des options suivantes. Afficher la page de navigation par défaut. Permet d'afficher l'interface d'accès, une page de démarrage par défaut prédéfinie, disposant d'onglets pour le courrier électronique, les partages de fichiers et les applications Web. Afficher l'application de page de démarrage disposant de la plus haute priorité d'affichage. Cette option présente l'application Web en première position dans la liste d'ordre d'affichage. Pour modifier les priorités d'affichage, cliquez sur Définir l'ordre d'affichage.

Chapitre 6 Configuration d'advanced Access Control 103 5. Dans les pages Authentification et Configurer l'autorisation de groupe, sélectionnez la méthode d'authentification et l'autorité de groupe à adopter lorsqu'un utilisateur ouvre une session. Pour plus d'informations sur la configuration de l'authentification, veuillez consulter le chapitre «Sécurisation des connexions utilisateur», page 117. 6. Sur l'écran Ajouter des batteries Citrix Presentation Server, ajoutez les batteries que vous souhaitez rendre accessibles aux utilisateurs via l'association de type de fichier. Si vous utilisez l'interface Web pour fournir l'accès aux applications publiées, il n'est pas nécessaire d'ajouter des batteries pour le point d'ouverture de session. Pour plus d'informations sur l'utilisation de l'interface Web avec Advanced Access Control, veuillez consulter le chapitre «Intégration de Citrix Presentation Server», page 181. 7. Configurez les options relatives au son, à la taille des fenêtres et au contrôle de l'espace de travail. Remarque : le contrôle de l'espace de travail permet aux utilisateurs de se reconnecter à leurs applications ouvertes. Les utilisateurs ayant activé un logiciel de blocage de fenêtres popup sont invités à ouvrir chaque application dans une fenêtre indépendante. 8. Sur l'écran Configurer les clients, sélectionnez les clients que vous souhaitez déployer vers les utilisateurs lors des ouvertures de session. 9. Dans l'écran Spécifier les paramètres de session, définissez les options relatives à la méthode de sélection de domaine pour les utilisateurs et aux avertissements d'expiration de mot de passe. Remarque : les utilisateurs dont le mot de passe a expiré ne peuvent pas ouvrir de session Advanced Access Control. Pour savoir comment rétablir l'accès pour ces utilisateurs, veuillez consulter la section «Modification des mots de passe expirés», page 106. 10. Sur l'écran Délais de session, définissez l'intervalle, exprimé en minutes, pour les paramètres d'expiration suivants : Durée maximale de la session du client VPN. Durée pendant laquelle une session utilisant le client Secure Access est autorisée à rester active. La valeur par défaut de zéro signifie que la session reste active indéfiniment.

104 Guide de l'administrateur Access Gateway édition Advanced Durée maximale d'inactivité pour le trafic avant fin de la session. Durée pendant laquelle une session par navigateur uniquement ou une session utilisant le client Secure Access est autorisée à rester active lorsque aucune activité de trafic n'est détectée. Par défaut, ce délai est de 20 minutes. Vous pouvez augmenter cette valeur si les utilisateurs rencontrent des expirations de session excessives avec des fonctions telles que Live Edit, ne communicant pas avec le serveur Advanced Access Control afin de maintenir les sessions actives. Si vous entrez zéro pour ce paramètre, la session reste active quelle que soit l'inactivité. Durée maximale d'inactivité pour la souris et le clavier avant fin de la session VPN. Durée pendant laquelle une session utilisant le client Secure Access est autorisée à rester active lorsqu'aucune entrée de la souris ni du clavier n'est détectée. Si vous entrez zéro pour ce paramètre, la session reste active quelle que soit l'inactivité. 11. Sur l'écran Visibilité, optez soit pour l'affichage de la page d'ouverture de session pour les utilisateurs ouvrant leurs sessions via le boîtier Access Gateway, soit pour la définition de conditions pour l'affichage de cette page pour les utilisateurs ouvrant leurs sessions directement sur Advanced Access Control. Le point d'ouverture de session par défaut est toujours visible pour les utilisateurs ouvrant leurs sessions via le boîtier Access Gateway. Pour plus d informations sur l'utilisation de conditions pour l'affichage de la page d'ouverture de session, veuillez consulter la session «Définitions des conditions d'affichage de la page d'ouverture de session», page 163. Pour déployer un point d'ouverture de session 1. Choisissez Démarrer > Programmes ou Tous les programmes > Citrix > Access Gateway > Configuration de serveur. 2. Dans la page Points d'ouverture de session configurés, sélectionnez le point d'ouverture de session que vous voulez déployer. 3. Cliquez sur Déployer. Changement du nom d'un point d'ouverture de session Si vous renommez un point d'ouverture de session, n'oubliez pas de le redéployer pour permettre aux utilisateurs d'y accéder. Pour redéployer un point d'ouverture de session renommé, démarrez l'outil Configuration de serveur, puis sélectionnez le point d'ouverture de session renommé. Cliquez sur Mettre à jour pour redéployer le point d'ouverture de session.

Chapitre 6 Configuration d'advanced Access Control 105 Ouverture de session via un point d'ouverture de session spécifié Lorsque vous déployez un point d'ouverture de session, un dossier associé est créé dans un répertoire virtuel appelé CitrixLogonPoint. Une adresse URL pointant vers ce dossier permet alors d'accéder au point d'ouverture de session. Exemples : https://nomboîtier/citrixlogonpoint/nompointouverturesession NomBoîtier représente l'adresse IP ou le nom de domaine complet (FQDN) du boîtier Access Gateway et NomPointOuvertureSession représente le nom du dossier du point d'ouverture de session. Au cours de l'installation, Advanced Access Control génère un point d'ouverture de session, appelé SampleLogonPoint, prévu spécialement pour effectuer des tests. Pour accéder à ce point d'ouverture de session, utilisez l'adresse URL suivante : https://nomboîtier/citrixlogonpoint/samplelogonpoint NomBoîtier représente le nom de domaine complet (FQDN) ou l'adresse IP du boîtier Access Gateway. Important : l'exemple de point d'ouverture de session fourni est destiné exclusivement aux phases de test. Les stratégies par défaut créées pour ce point d'accès permettent à tout utilisateur authentifié de visualiser la page d'ouverture de session et d'ouvrir une session. Après avoir testé votre système, remplacez l'exemple de point d'ouverture de session ou modifiez les stratégies pour respecter vos consignes de sécurité réseau. Pour plus d informations, veuillez consulter le chapitre «Contrôle de l'accès à l'aide de stratégies», page 151. Les utilisateurs peuvent aussi accéder au point d'ouverture de session par défaut en entrant l'adresse URL suivante : https://nomboîtier/ NomBoîtier représente le nom de domaine complet (FQDN) ou l'adresse IP du boîtier Access Gateway. Pour plus d'informations sur les points d'ouverture de session par défaut, veuillez consulter la section «Définition du point d'ouverture de session par défaut», page 107. Pour plus d'informations sur la distribution des points d'ouverture de session aux utilisateurs, veuillez consulter le chapitre «Déploiement d'advanced Access Control vers les utilisateurs», page 227.

106 Guide de l'administrateur Access Gateway édition Advanced Mise à jour des informations de page d'ouverture de session Le boîtier Access Gateway stocke des copies des pages Web et des fichiers graphiques utilisés pour les pages d'ouverture de session affichées lorsque les utilisateurs accèdent à des ressources. Vous devez mettre ces fichiers à jour lorsque : vous déployez un nouveau point d'ouverture de session ; vous personnalisez une page d'ouverture de session existante ; vous redéployez un point d'ouverture de session renommé. Pour mettre à jour les fichiers de page d'ouverture de session sur le boîtier Access Gateway 1. Dans l'arborescence de la console, développez le nœud Points d'ouverture de session, puis sélectionnez le point d'ouverture de session que vous voulez mettre à jour. 2. Dans la section Tâches courantes, cliquez sur Actualiser les informations de page d'ouverture de session. Si le boîtier Access Gateway n'est pas disponible lors de l'exécution de cette tâche, la console affiche un message d'erreur indiquant que le boîtier Access Gateway n'est pas à jour. Si le boîtier Access Gateway devient disponible lors d'une nouvelle exécution de la tâche, la console affiche un message indiquant que la mise à jour a réussi. Modification des mots de passe expirés La page Paramètres de session de la boîte de dialogue de propriétés de point d'ouverture de session vous permet de spécifier le nombre de jours pendant lesquels les utilisateurs recevront un avertissement en cas d'expiration imminente de leur mot de passe. Les utilisateurs peuvent modifier leur mot de passe à tout moment au cours de cette période et continuer d'accéder aux ressources via le point d'ouverture de session. En revanche, ceux dont le mot de passe a expiré ne peuvent plus y accéder et ne sont pas invités à changer leur mot de passe expiré. Pour permettre à nouveau l'accès à un utilisateur dont le mot de passe a expiré, sélectionnez l'option L'utilisateur doit changer de mot de passe à la prochaine ouverture de session dans les propriétés du compte Windows de cet utilisateur. Lors de l'ouverture de session Advanced Access Control suivante de l'utilisateur, ce dernier est invité à modifier le mot de passe expiré.

Chapitre 6 Configuration d'advanced Access Control 107 Définition du point d'ouverture de session par défaut Les points d'ouverture de session par défaut permettent aux utilisateurs d'ouvrir une session sur la batterie de serveurs d'accès via le boîtier Access Gateway sans spécifier un point d'ouverture de session. Vous pouvez désigner le point d'ouverture de session par défaut à l'aide de la console. Lors de l'installation d'advanced Access Control, SampleLogonPoint est désigné point d'ouverture de session par défaut. Il ne peut pas exister plus d'un point d'ouverture de session par défaut. Lorsqu'un point d'ouverture de session par défaut a été défini, il devient automatiquement visible pour les utilisateurs ouvrant leurs sessions via le boîtier Access Gateway. Plus tard, si vous désignez un autre point d'ouverture de session par défaut, le point d'ouverture de session reste visible pour ces utilisateurs. Si vous voulez que le point d'ouverture de session ne soit visible que pour les utilisateurs ouvrant des sessions Advanced Access Control au sein du réseau d'entreprise, vous devez modifier les réglages de visibilité dans la boîte de dialogue de propriétés de ce point d'ouverture de session. Pour plus d'informations sur la configuration des points d'ouverture de session, veuillez consulter la section «Configuration de points d'ouverture de session», page 101. Pour définir un point d'ouverture de session par défaut 1. Dans l'arborescence de la console, développez le nœud Points d'ouverture de session, puis sélectionnez le point d'ouverture de session que vous voulez désigner comme point d'ouverture de session par défaut. 2. Dans Tâches courantes, cliquez sur Définir comme point d'ouverture de session par défaut. Suppression d'un point d'ouverture de session Pour supprimer un point d'ouverture de session de votre déploiement, effectuez les tâches suivantes. Supprimez les stratégies associées au point d'ouverture de session. Supprimez le point d'ouverture de session à partir de la console. Supprimez le répertoire virtuel du point d'ouverture de session du serveur Advanced Access Control à l'aide de l'outil Configuration de serveur.

108 Guide de l'administrateur Access Gateway édition Advanced Pour supprimer un point d'ouverture de session à partir de la console 1. Dans l'arborescence de la console, développez le nœud Points d'ouverture de session, puis sélectionnez le point d'ouverture de session à supprimer. 2. Dans la section Tâches courantes du panneau de tâches, cliquez sur Supprimer un point d'ouverture de session. Pour supprimer le répertoire virtuel d'un point d'ouverture de session du serveur 1. Choisissez Démarrer > Programmes ou Tous les programmes > Citrix > Access Gateway > Configuration de serveur. 2. Sur la page Points d'ouverture de session configurés, sélectionnez le point d'ouverture de session que vous voulez supprimer. 3. Cliquez sur Supprimer. Configuration du boîtier Access Gateway Pour activer toutes les fonctionnalités de contrôle d'accès d'advanced Access Control, configurez les paramètres de l'onglet Advanced Options dans l'outil Access Gateway Administration Tool. Vous pouvez également utiliser la console Access Management Console pour configurer les paramètres appliqués à l'ensemble des boîtiers Access Gateway de votre batterie de serveurs d'accès. Ces paramètres permettent : d'activer le split tunneling et de spécifier les réseaux accessibles via le boîtier Access Gateway ; d'effectuer la capture des messages de journal système ; d'activer les journaux SNMP (Simple Network Management Protocol) ; d'activer les fonctionnalités contrôlées par les communications entre le client Secure Access Client et le boîtier Access Gateway ; de créer des listes de contrôle d'accès de client (ACL).

Configuration du split tunneling Chapitre 6 Configuration d'advanced Access Control 109 Le split tunneling permet aux machines clientes de communiquer avec des ressources Internet publiques et avec votre réseau d'entreprise à l'aide d'une seule connexion. Activer le split tunneling peut améliorer l'efficacité de la connexion du client et minimise le nombre de messages d'accès refusé lorsque les utilisateurs accèdent à des ressources sur Internet ou sur votre réseau d'entreprise. Le split tunneling requiert la configuration d'une liste de réseaux accessibles permettant aux utilisateurs d'accéder aux ressources d'entreprise. Si cette liste n'est pas définie, les utilisateurs ne peuvent accéder à aucune ressource d'entreprise (même si une stratégie autorise cet accès). Désactiver le split tunneling maximise la sécurité des connections clientes et ne nécessite aucune configuration supplémentaire pour permettre aux utilisateurs d'accéder aux ressources d'entreprise. Lorsque le split tunneling est désactivé, tout le trafic réseau envoyé par le client Secure Access Client est routé via le boîtier Access Gateway (y compris le trafic vers des sites Web Internet publics). Par conséquent, un utilisateur ouvrant une session via le boîtier Access Gateway ne peut accéder qu'aux ressources que vous avez définies. Par défaut, l'accès à une ressource que vous n'avez pas définie (un site Web public, par exemple) est refusé. Pour configurer le split tunneling 1. Dans l'arborescence de la console, sélectionnez Boîtiers Access Gateway. 2. Dans la section Tâches courantes, cliquez sur Modifier les propriétés des boîtiers Access Gateway. 3. Sur la page Réseaux accessibles, sélectionnez ou désélectionnez l'option permettant d'activer le split tunneling. 4. Si vous activez le split tunneling, cliquez sur Nouveau pour configurer la liste des réseaux accessibles. 5. Dans la boîte de dialogue Nouveau réseau accessible, sélectionnez la méthode d'adressage que vous voulez utiliser. 6. Entrez l'adresse IP de destination et, en fonction de la méthode d'adressage sélectionnée, le masque de sous-réseau ou la longueur du préfixe réseau.

110 Guide de l'administrateur Access Gateway édition Advanced Configuration de réseaux accessibles Les réseaux accessibles sont les réseaux et sous-réseaux accessibles via Access Gateway lorsque le split tunneling est activé pour le client Secure Access Client. Les utilisateurs peuvent accéder à une adresse de serveur ou de sous-nœud si cette adresse est définie sur l'un des réseaux accessibles. Lorsqu'un utilisateur ouvre une session à l'aide du client Secure Access Client, la liste de contrôle d'accès (ACL) reçue lors de l'autorisation détermine les réseaux accessibles pour cet utilisateur. L'utilisation des réseaux accessibles comporte les limitations suivantes. Le client Secure Access Client ne reconnaît que 24 réseaux accessibles. Si votre organisation dispose de nombreux sous-réseaux et si vous voulez activer le split tunneling, vous devrez peut-être définir des sur-ensembles de réseaux afin de pouvoir définir tous les réseaux nécessaires au sein des 24 réseaux accessibles reconnus. Lorsque vous activez le split tunneling, toutes les ressources réseau que vous créez dans la console Access Management Console doivent faire partie des réseaux accessibles que vous avez définis. Si vous créez une ressource réseau en dehors des réseaux accessibles, les utilisateurs ne pourront pas y accéder (même si une stratégie autorise cet accès). La définition d'un réseau accessible dans la console Access Management Console requiert la spécification d'une destination à l'aide d'une adresse IP et d'un masque de sous-réseau ou à l'aide d'une adresse dans le système CIDR (Classless Inter- Domain Routing). Transmission des messages système Les journaux de messages système contiennent des informations pouvant être déterminantes pour la résolution des problèmes et donc importantes pour les équipes d'assistance technique. Vous pouvez transmettre des messages système à un serveur Syslog ou activer les journaux SNMP. Pour transmettre les messages Access Gateway à un serveur Syslog 1. Dans l'arborescence de la console, sélectionnez Boîtiers Access Gateway. 2. Dans la section Tâches courantes, cliquez sur Modifier les propriétés des boîtiers Access Gateway. 3. Sur la page Syslog et SNMP, dans la section Paramètres Syslog, entrez l'adresse IP ou le nom de domaine complet (FQDN) du serveur Syslog devant recevoir les messages système envoyés par Access Gateway.

Chapitre 6 Configuration d'advanced Access Control 111 4. Dans la zone de texte Sous-système Syslog (facility), sélectionnez la fonction à utiliser pour les messages capturés. Sélectionnez Niveau d'utilisateur pour les processus utilisateur génériques. Sélectionnez Utilisation locale 0 à 7 si vous avez défini une de ces fonctions pour les processus Access Gateway. Par exemple, un serveur Syslog peut avoir le paramètre Utilisation locale 0 défini pour les processus FTP anonymes tandis que la valeur Utilisation locale 1 est réservée aux processus Access Gateway. 5. Dans la zone de texte Intervalle de diffusion des statistiques, entrez l'intervalle de temps (en minutes) devant séparer deux messages système envoyés par Access Gateway. Si l'intervalle de diffusion est défini sur 0, la diffusion est continue. Pour activer la journalisation des messages SNMP Lorsque le protocole SNMP (Simple Network Management Protocol) est activé, le boîtier Access Gateway signale le groupe système MIB-II (1.3.6.1.2.1). Le boîtier Access Gateway ne permet pas l'utilisation de données SNMP spécifiques à Access Gateway. 1. Dans l'arborescence de la console, sélectionnez Boîtiers Access Gateway. 2. Dans la section Tâches courantes, cliquez sur Modifier les propriétés des boîtiers Access Gateway. 3. Sur la page Syslog et SNMP, dans la section Paramètres SNMP, sélectionnez Activer la journalisation des messages SNMP. 4. Dans la zone d'adresse ou de nom de serveur SNMP, tapez l'emplacement du serveur SNMP. Ce champ obligatoire n'a qu'une valeur d'information. 5. Dans la zone de texte Nom d'associé ou de contact SNMP, entrez le nom du contact. Cette zone de texte n'a qu'une valeur d'information. 6. Dans la zone de texte Communauté SNMP, entrez le nom de la communauté. Ce champ obligatoire n'a qu'une valeur d'information. 7. Dans la zone de texte Port, entrez le numéro de port. Configuration des propriétés de client La page Propriétés de client de la boîte de dialogue de propriétés des boîtiers Access Gateway permet le contrôle de divers paramètres affectant l'interaction entre le boîtier Access Gateway et le client Secure Access Client.

112 Guide de l'administrateur Access Gateway édition Advanced Pour configurer les propriétés de client 1. Dans l'arborescence de la console, sélectionnez Boîtiers Access Gateway. 2. Dans la section Tâches courantes, cliquez sur Modifier les propriétés des boîtiers Access Gateway. 3. Dans la page Propriétés de client, sélectionnez les options voulues parmi les suivantes. Requérir un certificat de client SSL pour les utilisateurs se connectant via un boîtier Access Gateway : si vous voulez bénéficier d'une authentification supplémentaire, sélectionnez cette option pour requérir des certificats pour les machines clientes Windows. Si un certificat de client est requis, il doit être fourni par l'administrateur réseau. Ce certificat est installé séparément dans le magasin de certificats à l'aide de la console MMC (Microsoft Management Console). Pour satisfaire cette condition requise, chaque ordinateur utilisé pour ouvrir une session via un boîtier Access Gateway doit disposer d'un certificat de client SSL au format P12. Activer le basculement interne : sélectionnez cette option si vous voulez permettre au client Secure Access Client de se connecter au boîtier Access Gateway à partir de la zone sécurisée par le pare-feu s'il n'est pas possible d'atteindre son adresse IP. Lorsque le basculement interne est configuré, le client bascule sur l'adresse IP interne du boîtier Access Gateway si l'accès n'est pas possible à l'aide de l'adresse IP externe. Le client Secure Access Client doit se connecter au moins une fois pour obtenir la liste de basculement. Cette liste est ensuite mise en cache dans le registre. Remarque : le basculement interne n'est pas possible pour les accès par navigateur uniquement. Activer le basculement entre boîtiers Access Gateway : vous pouvez configurer un boîtier Access Gateway pour permettre le basculement sur plusieurs boîtiers Access Gateway. Le basculement Access Gateway étant actif/actif, chaque boîtier Access Gateway peut servir de passerelle principale pour un ensemble d'utilisateurs différent.

Configuration des propriétés de serveur Chapitre 6 Configuration d'advanced Access Control 113 La page Propriétés du serveur des propriétés des boîtiers Access Gateway contrôle les paramètres relatifs à la sécurisation des communications entre le boîtier Access Gateway et Secure Access Client ainsi que les paramètres relatifs à l'amélioration des connexions Voix sur IP. Pour configurer les propriétés de serveur 1. Dans l'arborescence de la console, sélectionnez Boîtiers Access Gateway. 2. Dans la section Tâches courantes, cliquez sur Modifier les propriétés des boîtiers Access Gateway. 3. Dans la page Propriétés de serveur, sélectionnez les options souhaitées parmi les suivantes. Valider les certificats SSL sur le serveur dorsal : sélectionnez cette option si vous voulez que le boîtier Access Gateway valide les certificats de serveur SSL. Cela permet d'améliorer la sécurité pour les connexions internes effectuées à partir du boîtier Access Gateway. Il est important de valider les certificats de serveur SSL car cela peut contribuer à améliorer la sécurité et résister aux attaques telles que les attaques de l'«homme au milieu» («maninthemiddle»). Le boîtier Access Gateway requiert l'installation des certificats racines appropriés utilisés pour la signature des certificats de serveur. Améliorer la latence pour le trafic de voix sur IP :sélectionnez cette option pour améliorer la latence et la qualité audio du trafic de voix sur IP (VoIP) pour les connexions SSL. Si vous sélectionnez cette option, le boîtier Access Gateway utilise une clé de 56 bits pour le cryptage de ce trafic. Citrix vous recommande d'utiliser des algorithmes de cryptage puissants pour réduire les risques d'une attaque affectant le réseau d'entreprise. Pour plus d'informations sur l'amélioration des connexions VoIP effectuées via le boîtier Access Gateway, veuillez consulter le guide Access Gateway Standard Edition Administrator's Guide. 4. Sélectionnez l'algorithme de cryptage global à utiliser pour le cryptage symétrique des données lors des connexions SSL.

114 Guide de l'administrateur Access Gateway édition Advanced Configuration du contrôle d'accès ICA Citrix Presentation Server utilise le protocole ICA (Independent Computing Architecture) pour les communications entre ses clients et les serveurs. Si vous vous servez du boîtier Access Gateway comme d'un proxy pour placer le trafic ICA dans un tunnel sans client Secure Access Client, vous pouvez contrôler à quels serveurs Citrix Presentation Server les utilisateurs peuvent accéder. Pour cela, vous devez fournir une liste de contrôle d'accès (ACL) dans la console Access Management Console. Lorsqu'un utilisateur demande à accéder via le boîtier Access Gateway à une application publiée, l'autorisation ou le refus de l'accès est fonction de la liste de contrôle d'accès que vous avez fournie. Si vous utilisez l'interface Web pour fournir l'accès aux applications publiées via le boîtier Access Gateway, vous devez configurer les paramètres Secure Gateway de l'interface Web avec le nom de domaine complet (FQDN) du boîtier Access Gateway. Important : les listes de contrôle d'accès que vous spécifiez ne sont pas appliquées pour les applications publiées configurées comme des ressources réseau. Pour configurer le contrôle d'accès ICA 1. Dans l'arborescence de la console, sélectionnez Boîtiers Access Gateway. 2. Dans la section Tâches courantes, cliquez sur Modifier les propriétés des boîtiers Access Gateway. 3. Sur la page Contrôle d'accès ICA, sélectionnez l'option permettant un accès sans restriction ou celle utilisant une liste de contrôle d'accès pour limiter l'accès aux serveurs Citrix Presentation Server. 4. Pour définir une liste de contrôle d'accès, cliquez sur Nouvelle. 5. À l'aide des zones de texte Adresse IP de départ et Adresse IP de fin, définissez la plage d'adresses IP des serveurs Citrix Presentation Server que vous voulez inclure. 6. Entrez le numéro de port dans la zone de texte Port ou sélectionnez l'option permettant d'utiliser le port par défaut.

Chapitre 6 Configuration d'advanced Access Control 115 7. Dans la liste déroulante Protocole, sélectionnez le protocole que vous voulez utiliser. Pour permettre les connexions ICA/SOCKS aux serveurs sélectionnés, choisissez ICA. Cette option est généralement utilisée pour les serveurs Citrix Presentation Server acceptant les connexions ICA/SOCKS. Pour permettre les connexions CGP (Common Gateway Protocol) aux serveurs sélectionnés, choisissez CGP. Cette option est généralement utilisée pour les serveurs Citrix Presentation Server acceptant les connexions CGP. CGP permet de bénéficier de la fiabilité de session si vous activez cette fonctionnalité sur les serveurs sélectionnés. Configuration de l'authentification avec Citrix Presentation Server Citrix Presentation Server assure l'authentification et l'autorisation pour les clients en association avec l'interface Web et Secure Ticket Authority (STA). Pour fournir l'accès aux applications publiées à l'aide de l'interface Web via le boîtier Access Gateway, vous devez configurer les paramètres STA dans les propriétés des boîtiers. Vous pouvez également configurer ces paramètres pour préserver le contrôle de l'espace de travail lorsque vous activez l'affichage de plusieurs sites Access Platform dans l'interface d'accès. Pour configurer le boîtier Access Gateway pour utiliser Secure Ticket Authority 1. Dans l'arborescence de la console, sélectionnez Boîtiers Access Gateway. 2. Dans la section Tâches courantes, cliquez sur Modifier les propriétés des boîtiers Access Gateway. 3. Sur la page Secure Ticketing Authority, cliquez sur Nouveau. 4. Indiquez le nom de domaine complet (FQDN) ou l'adresse IP du serveur sur lequel STA est installé. 5. Pour sécuriser la connexion à STA, sélectionnez l'option Communication sécurisée. 6. Dans la zone de texte Chemin d'accès STA, entrez le chemin d'accès de STA. 7. Dans ID STA, tapez l'id du STA ou cliquez sur Récupérer l'id STA pour entrer automatiquement l'id en fonction du serveur et du chemin.

116 Guide de l'administrateur Access Gateway édition Advanced

CHAPITRE 7 Sécurisation des connexions utilisateur Access Gateway édition Advanced prend en charge l'authentification et l'autorisation pour les utilisateurs se connectant à partir d'emplacements distants. Advanced Access Control gère plusieurs types d'authentification y compris les produits Active Directory, LDAP, RADIUS, RSA SecurID et Secure Computing Safeword. Vous pouvez activer ces types d'authentification en configurant les propriétés de point d'ouverture de session dans la console Access Management Console. Lorsque vous configurez un point d'ouverture de session, vous sélectionnez les méthodes d'authentification et d'autorisation à utiliser. Par exemple, vous pouvez sélectionner LDAP pour authentifier les utilisateurs et Active Directory pour les autoriser à accéder à certaines ressources d'entreprise. Les sections suivantes expliquent comment configurer ces types d'authentification : «Configuration de l'authentification avancée», page 117 «Configuration de l'authentification RADIUS et LDAP», page 118 «Configuration de l'authentification RSA SecurID», page 125 «Configuration de l'authentification SafeWord», page 128 «Configuration de l'authentification approuvée», page 133 Configuration de l'authentification avancée Access Gateway édition Advanced prend en charge l'utilisation d'active Directory comme seul authentificateur et autorité de groupe, ainsi qu'avec une autre méthode d'authentification telle que RADIUS, RSA SecurID ou Secure Computing SafeWord. Lorsque vous configurez l'authentification avancée, seul Active Directory est autorisé comme autorité de groupe pour le point d'ouverture de session à utiliser.

118 Guide de l'administrateur Access Gateway édition Advanced Pour utiliser RADIUS avec Access Gateway édition Advanced, Visual J#.NET 2.0 doit être installé sur le serveur Advanced Access Control. Pour plus d'informations, veuillez consulter la section «Conditions requises pour RADIUS», page 59. Pour configurer un point d'ouverture de session avec authentification avancée Si vous configurez une authentification avancée avec RADIUS, assurez-vous de configurer un profil d'authentification RADIUS avant de configurer le point d'ouverture de session. Pour plus d'informations, veuillez consulter la section «Création de profils d'authentification RADIUS», page 119. 1. Dans l'arborescence de la console, sélectionnez le point d'ouverture de session à configurer. Pour plus d'informations sur la création d'un nouveau point d'ouverture de session, veuillez consulter la section «Configuration de points d'ouverture de session», page 101. 2. Dans la page Authentification, sous Authentification avancée, sélectionnez la méthode d'authentification à utiliser avec Active Directory. 3. Dans la page Configurer l'autorisation de groupe, seul Active Directory est sélectionné. Si vous utilisez un profil RADIUS avec Active Directory, choisissez si les serveurs RADIUS et Active Directory utilisent le même mot de passe. Si vous configurez une authentification avancée avec RADIUS, vous devez définir les informations d'identification d'authentification RADIUS pour le point d'ouverture de session. Pour plus d informations, veuillez consulter la section «Définition d'informations d'identification d'authentification pour les points d'ouverture de session», page 123. Pour plus d'informations sur la configuration de l'authentification avancée pour les produits SecurID et SafeWord, veuillez consulter les sections «Configuration de l'authentification RSA SecurID», page 125 et «Configuration de l'authentification avancée avec SafeWord», page 128. Configuration de l'authentification RADIUS et LDAP Pour utiliser l'authentification RADIUS ou LDAP lorsque les utilisateurs se connectent via un point d'ouverture de session, effectuez les tâches suivantes : Installez et configurez un serveur RADIUS ou LDAP. Créez des profils d'authentification RADIUS ou LDAP. Affectez le profil d'authentification à un point d'ouverture de session.

Chapitre 7 Sécurisation des connexions utilisateur 119 définition des informations d'identification d'authentification pour le point d'ouverture de session. Pour utiliser RADIUS avec Access Gateway édition Advanced, Visual J#.NET 2.0 doit être installé sur le serveur Advanced Access Control. Pour plus d'informations, veuillez consulter la section «Conditions requises pour RADIUS», page 59. Création de profils d'authentification RADIUS Les profils d'authentification vous permettent de configurer des paramètres RADIUS au niveau de la batterie et de les appliquer à un ou plusieurs points d'ouverture de session. La création d'un profil d'authentification RADIUS comprend les tâches suivantes. Définition de l'authentification RADIUS : spécification des serveurs RADIUS que vous voulez utiliser, de la durée avant annulation de l'authentification et de l'équilibrage des charges des serveurs ou du basculement. Définition de l'autorisation RADIUS à l'aide des attributs et valeurs configurés sur votre serveur RADIUS. Pour définir l'authentification RADIUS 1. Dans l'arborescence de la console, sélectionnez le nœud de la batterie de serveurs d'accès, puis cliquez sur Modifier les propriétés de batterie dans la section Tâches courantes. 2. Sélectionnez la page Profils d'authentification, puis cliquez sur Nouveau dans la rubrique RADIUS. Fournissez un nom et une description pour le profil. 3. Pour désigner un serveur RADIUS et les ports correspondants, cliquez sur Nouveau. 4. Si vous disposez de plusieurs serveurs RADIUS, sélectionnez l'usage de la liste de serveurs parmi les options suivantes. Équilibrer la charge des requêtes aux serveurs. Le routage des requêtes suit la séquence de la liste de serveurs : la première requête est transmise au premier serveur, la requête suivante est acheminée vers le deuxième serveur et ainsi de suite. Définir la séquence de basculement pour les serveurs indisponibles. Au cas où les communications avec un serveur ne sont plus possibles, un autre serveur de la liste prend le relais et assure ainsi la continuité des services d'authentification RADIUS pour les utilisateurs.

120 Guide de l'administrateur Access Gateway édition Advanced 5. Les boutons Vers le haut et Vers le bas vous permettent de modifier les positions des serveurs dans la liste. 6. Si vous voulez spécifier la durée pendant laquelle un serveur indisponible ne devrait pas être considéré dans la liste, modifiez la valeur de la zone de texte Durée de retrait des serveurs défectueux. Par défaut, cette durée est de 300 secondes. 7. Si vous souhaitez bénéficier de l'audit des événements RADIUS, sélectionnez l'option Activer l'audit RADIUS. 8. Si vous voulez modifier la durée de non réponse du serveur provoquant l'expiration de l'authentification de l'utilisateur, changez la valeur de la zone de texte Durée avant annulation d'authentification. Par défaut, l'authentification expire après 30 secondes. Pour définir l'autorisation RADIUS 1. Dans la boîte de dialogue Configuration de profil RADIUS, cliquez sur Configurer l'autorisation. 2. Dans la zone de texte Nom d'attribut de groupe, tapez le nom de groupe défini sur votre serveur RADIUS. 3. Entrez le Séparateur de groupes que vous voulez utiliser si la configuration RADIUS comprend plusieurs groupes d'utilisateurs. Le séparateur peut être un point, un point-virgule ou deux-points. 4. Dans la zone de texte Identificateur de fournisseur, entrez le numéro de code de vendeur entré sur votre serveur RADIUS. 5. Dans la zone de texte Type spécifié par le fournisseur, entrez le numéro d'attribut spécifié par le fournisseur. Création de profils d'authentification LDAP Les profils d'authentification vous permettent de configurer des paramètres LDAP au niveau de la batterie et de les appliquer à un ou plusieurs points d'ouverture de session. Pour permettre l'utilisation de l'authentification LDAP et de l'autorisation Active Directory pour les utilisateurs, les noms de groupe doivent être identiques (y compris la ou les casses utilisées). Pour créer un profil d'authentification LDAP 1. Dans l'arborescence de la console, sélectionnez le nœud de la batterie de serveurs d'accès, puis cliquez sur Modifier les propriétés de batterie dans la section Tâches courantes. 2. Sélectionnez la page Profils d'authentification, puis cliquez sur Nouveau dans la rubrique LDAP.

Chapitre 7 Sécurisation des connexions utilisateur 121 3. Fournissez un nom et une description pour le profil. 4. Indiquez le nom ou l'adresse IP du serveur LDAP que vous voulez utiliser. 5. Dans la zone de texte Port, tapez le numéro de port de serveur utilisé par votre serveur LDAP pour les requêtes LDAP. 6. Dans la zone de texte Nom unique d'administrateur, tapez le nom distinctif de l'administrateur ayant accès à votre serveur LDAP et le droit de consulter les entrées utilisateur dans le référentiel LDAP. Exemples de syntaxe pour ce champ : domaine/nom d'utilisateur ou=administrateurs,dc=ace,dc=com utilisateur@domaine.nom (pour Active Directory) cn=administrateur,cn=utilisateurs,dc=ace,dc=com Pour Active Directory, le nom de groupe, spécifié sous la forme cn=nomgroupe, est nécessaire. Le nom de groupe défini dans Access Gateway doit être identique à celui défini sur le serveur LDAP. Pour les autres annuaires LDAP, le nom de groupe est facultatif ou, si nécessaire, est spécifié sous la forme ou=nomgroupe. Le boîtier Access Gateway se lie au serveur LDAP à l'aide des informations d'identification d'administrateur puis recherche l'utilisateur. Après avoir trouvé l'utilisateur, le boîtier Access Gateway met fin à la liaison effectuée à l'aide des informations d'identification d'administrateur, puis se lie à l'aide des informations d'identification de l'utilisateur. 7. Dans la zone de texte Nom unique de base, tapez le nom distinctif sous lequel les recherches utilisateur doivent commencer. Le nom unique de base est généralement dérivé du nom unique (Bind DN) en supprimant le nom d'utilisateur et en spécifiant le groupe auquel les utilisateurs appartiennent. Exemples de syntaxe de nom unique de base : ou=utilisateurs,dc=ace,dc=com cn=utilisateurs,dc=ace,dc=com

122 Guide de l'administrateur Access Gateway édition Advanced 8. Dans la zone de texte Attribut LDAP pour les noms d'utilisateur, entrez l'attribut sous lequel Access Gateway doit rechercher les noms d'utilisateur pour le serveur LDAP en cours de configuration. Selon le service d'annuaire utilisé, tapez un des attributs suivants : Pour Active Directory, utilisez la valeur par défaut samaccountname. Pour Novell edirectory ou Lotus Domino, utilisez cn. Pour IBM Directory Server, utilisez uid. Pour Sun ONE Directory, utilisez uid ou cn. 9. Dans la zone de texte Attribut de groupe LDAP, tapez le nom de l'attribut de groupe permettant à Access Gateway d'obtenir les groupes associés à un utilisateur lors de l'autorisation. Selon le service d'annuaire utilisé, tapez un des attributs suivants : Pour Active Directory, utilisez la valeur par défaut memberof. Pour Novell edirectory, utilisez groupmembership. Pour IBM Directory Server, utilisez ibm-allgroups. Pour Sun ONE Directory, utilisez nsrole. Affectation de profils d'authentification à des points d'ouverture de session Après avoir configuré des profils d'authentification RADIUS ou LDAP, vous devez les affecter à un point d'ouverture de session. Vous pouvez affecter des profils d'authentification dans les propriétés des points d'ouverture de session, dans les pages Authentification et Configurer l'autorisation de groupe. Vous pouvez utiliser des profils RADIUS comme méthode exclusive d'authentification ou dans le cadre d'une authentification avancée avec Active Directory. Vous pouvez utiliser des profils LDAP uniquement comme méthode d'authentification exclusive. Si vous affectez un profil LDAP pour authentifier les utilisateurs, vous pouvez utiliser Active Directory ou un profil LDAP pour définir leurs autorisations. Si vous affectez un profil RADIUS pour l'authentification, vous pouvez choisir le profil LDAP ou RADIUS pour l'autorisation. Lors de l'utilisation d'un profil RADIUS pour l'authentification, vous devez utiliser le même profil pour l'autorisation.

Chapitre 7 Sécurisation des connexions utilisateur 123 Lorsque vous utilisez des profils RADIUS ou LDAP, vous pouvez spécifier la manière dont les utilisateurs accèdent aux ressources exigeant des informations d'identification Active Directory. Dans un scénario d'authentification avancée où Active Directory constitue l'autorité de groupe, vous pouvez spécifier si les serveurs Active Directory et RADIUS partagent le même mot de passe. Dans les scénarios où RADIUS ou LDAP servent à l'authentification et à l'autorisation des utilisateurs, vous pouvez activer l'authentification unique pour Active Directory. Ceci permet aux utilisateurs d'accéder facilement aux ressources, sans entrer leurs informations d'identification Active Directory. Pour ce faire, vous fournissez le domaine Active Directory par défaut. Les comptes d'utilisateur du domaine Active Directory par défaut correspondent à ceux des serveurs RADIUS ou LDAP. Pour affecter des profils d'authentification à un point d'ouverture de session 1. Dans l'arborescence de la console, sélectionnez le point d'ouverture de session à configurer. Pour plus d'informations sur la création d'un nouveau point d'ouverture de session, veuillez consulter la section «Configuration de points d'ouverture de session», page 101. 2. Dans la section Tâches courantes, cliquez sur Modifier un point d'ouverture de session. 3. Dans la page Authentification, sélectionnez le profil RADIUS ou LDAP à utiliser pour identifier les utilisateurs dans votre organisation. 4. Dans la page Configurer l'autorisation de groupe, sélectionnez le profil RADIUS ou LDAP à utiliser pour déterminer le niveau d'accès obtenu par les utilisateurs lors d'une authentification réussie. Une fois le profil d'authentification affecté au point d'ouverture de session, utilisez l'outil de configuration de serveur pour définir les informations d'identification d'authentification pour le profil. Définition d'informations d'identification d'authentification pour les points d'ouverture de session Les informations d'identification d'authentification des points d'ouverture de session se composent des secrets RADIUS globaux ou spécifiques aux serveurs ou mots de passe LDAP spécifiés. Avant de définir les informations d'identification d'authentification, assurez-vous qu'un profil d'authentification RADIUS ou LDAP a été affecté au point d'ouverture de session.

124 Guide de l'administrateur Access Gateway édition Advanced Si votre déploiement est configuré pour recourir à l'authentification RADIUS et que votre serveur RADIUS est configuré pour utiliser le protocole PAP, vous pouvez renforcer l'authentification des utilisateurs sur le point d'ouverture de session en associant un secret partagé puissant au serveur RADIUS. Il s'agit d'une séquence aléatoire d'au moins 22 caractères (lettres minuscules, majuscules, chiffres et signes de ponctuation). Si possible, créez des secrets partagés RADIUS à l'aide d'un programme de génération aléatoire. Pour améliorer la protection du trafic RADIUS, associez un secret partagé différent à chaque boîtier Access Gateway ou serveur Advanced Access Control. Lors de la définition des clients sur le serveur RADIUS, vous pouvez aussi attribuer un secret partagé distinct pour chaque client. Si vous le faites, vous devez configurer séparément chaque realm Access Gateway utilisant l'authentification RADIUS. Si vous synchronisez les configurations au sein d'un cluster de boîtiers Access Gateway; tous les boîtiers sont configurés avec le même secret. Pour associer des secrets partagés RADIUS 1. Sur le serveur Advanced Access Control, choisissez Démarrer > Programmes ou Tous les programmes > Citrix > Access Gateway > Configuration de serveur. 2. Cliquez sur Points d'ouverture de session configurés, puis sélectionnez le point d'ouverture de session que vous avez configuré pour utiliser l'authentification RADIUS. 3. Cliquez sur Informations d'identification. 4. Sous Serveurs RADIUS, sélectionnez Secret global pour tous les serveurs ou Secrets spécifiques aux serveurs. 5. Tapez le secret global dans les zones Secret d'authentification et Confirmer le secret d'authentification. 6. Pour les secrets spécifiques aux serveurs, cliquez deux fois sur l'adresse IP du serveur RADIUS, puis entrez le secret dans la zone Informations d'identification de serveur. Pour attribuer des mots de passe de serveur LDAP 1. Sur le serveur Advanced Access Control, choisissez Démarrer > Programmes ou Tous les programmes > Citrix > Access Gateway > Configuration de serveur. 2. Cliquez sur Points d'ouverture de session configurés, puis sélectionnez le point d'ouverture de session que vous avez configuré pour utiliser l'authentification LDAP. 3. Cliquez sur Informations d'identification.

Chapitre 7 Sécurisation des connexions utilisateur 125 4. Sous Serveurs LDAP, sélectionnez Mot de passe global pour tous les serveurs ou Mots de passe spécifiques aux serveurs. 5. Tapez le mot de passe global dans les zones Secret d'authentification et Confirmer le secret d'authentification. 6. Pour les mots de passe spécifiques aux serveurs, cliquez deux fois sur l'adresse IP du serveur LDAP, puis entrez le mot de passe dans la zone Informations d'identification de serveur. Configuration de l'authentification RSA SecurID Si vous utilisez RSA SecurID pour l'authentification, vous pouvez configurer Access Gateway édition Advanced pour authentifier l'accès des utilisateurs avec RSA ACE/Server. Le serveur Advanced Access Control agit comme hôte de l'agent RSA pour authentifier les utilisateurs qui tentent de se connecter. Vous pouvez configurer le serveur Advanced Access Control pour l'authentification avec RSA SecurID des manières suivantes : avec Active Directory, en tant que méthode d'authentification avancée ; comme la seule méthode d'authentification, où LDAP est utilisé comme l'autorité de groupe ; La configuration de l'authentification RSA SecurID se compose des tâches suivantes : Configurez le(s) serveur(s) Advanced Access Control en tant que RSA ACE/Agent et générez un fichier Sdconf.rec. Générez un fichier de certificat Sdroot pour le(s) serveur(s) Advanced Access Control et installez le logiciel RSA ACE/Agent. Testez l'authentification avec le serveur RSA SecurID. Configurez un point d'ouverture de session pour l'authentification RSA SecurID. Si vous utilisez RSA SecurID comme seule méthode d'authentification, assurezvous d'avoir effectué les tâches suivantes avant de configurer le point d'ouverture de session : création d'un profil d'authentification LDAP ; affectation du profil d'authentification au point d'ouverture de session ; définition des informations d'identification d'authentification pour le point d'ouverture de session.

126 Guide de l'administrateur Access Gateway édition Advanced Pour plus d informations, veuillez consulter les sections «Création de profils d'authentification LDAP», page 120, «Affectation de profils d'authentification à des points d'ouverture de session», page 122 et «Définition d'informations d'identification d'authentification pour les points d'ouverture de session», page 123. Pour configurer le serveur Advanced Access Control en tant que RSA ACE/ Agent 1. Sur l'ordinateur RSA ACE/Server, ouvrez la fenêtre d'administration de base de données RSA ACE/Server et cliquez sur Agent Host > Add Agent Host. 2. Dans la zone Name, tapez le nom de domaine complet (FQDN) du serveur Advanced Access Control. 3. Dans la zone de texte Network Address, entrez l'adresse IP du serveur Advanced Access Control. 4. Dans Agent Type, sélectionnez NetSP Agent. 5. Dans la fenêtre Database Administration, cliquez sur Agent Host > Generate Configuration Files, puis sur One Agent Host. 6. Cliquez deux fois sur le nom du serveur Advanced Access Control et enregistrez le fichier Sdconf.rec dans un dossier sur l'ordinateur. 7. Copiez le fichier Sdconf.rec dans le dossier %SystemRoot%/System32 sur le serveur Advanced Access Control. Pour générer un fichier de certificat Sdroot et installer RSA ACE/Agent 1. Sur le serveur Advanced Access Control, installez et lancez l'utilitaire de certificat RSA ACE/Agent. 2. Dans Current Directory, entrez le chemin du répertoire dans lequel vous souhaitez stocker le fichier de certificat. 3. Cliquez sur le bouton New Root Certificate and Keys. 4. Entrez le nom de votre organisation, votre pays et vos mots de passe clés. 5. Installez le logiciel RSA ACE/Agent pour Windows et sélectionnez les options d'installation suivantes : Dans Setup Type, sélectionnez Custom. Dans Custom Setup, sélectionnez Local Authentication Client uniquement. Toutes les autres options de client ne doivent pas être installées. 6. Lorsque vous y êtes invité, localisez le fichier de certificat Sdroot créé.

Chapitre 7 Sécurisation des connexions utilisateur 127 7. Suivez le reste des instructions à l'écran pour installer le logiciel RSA ACE/ Agent. 8. Redémarrez le serveur une fois l'installation terminée. Pour tester l'authentification avec RSA SecurID 1. Sur le serveur Advanced Access Control, cliquez sur Démarrer > Panneau de configuration > RSA ACE/Agent. 2. Dans l'onglet Main, cliquez sur le bouton Test Direct Authentication with RSA ACE/Server. 3. Dans la fenêtre RSA ACE/Server Configuration Information, cliquez sur le bouton RSA ACE/Server Test Directly et entrez l'id utilisateur et le code de jeton de l'utilisateur testé. Si le test réussit, le message «Successful Authentication» apparaît. Vous pouvez alors configurer des points d'ouverture de session pour utiliser l'authentification RSA SecurID. Pour configurer un point d'ouverture de session avec l'authentification RSA SecurID Si vous utilisez RSA SecurID comme seule méthode d'authentification, assurezvous que vous avez créé un profil d'authentification LDAP, affecté le profil au point d'ouverture de session et défini les informations d'identification d'authentification avant de configurer le point d'ouverture de session. Pour plus d informations, veuillez consulter les sections «Création de profils d'authentification LDAP», page 120 et «Définition d'informations d'identification d'authentification pour les points d'ouverture de session», page 123. 1. Dans l'arborescence de la console, sélectionnez le point d'ouverture de session à configurer. Pour plus d'informations sur la création d'un nouveau point d'ouverture de session, veuillez consulter la section «Configuration de points d'ouverture de session», page 101. 2. Dans la section Tâches courantes, cliquez sur Modifier un point d'ouverture de session. 3. Dans la page Authentification, sélectionnez une des options suivantes : Sous Authentification avancée, sélectionnez RSA pour utiliser SecurID avec Active Directory pour authentifier les utilisateurs. Sous Authentification, sélectionnez RSA pour utiliser SecurID comme seule méthode d'authentification.

128 Guide de l'administrateur Access Gateway édition Advanced 4. Si vous utilisez RSA SecurID comme seule méthode d'authentification, dans la page Configurer l'autorisation de groupe, sélectionnez le profil LDAP à utiliser. Configuration de l'authentification SafeWord La gamme de produits SafeWord fournit une authentification sécurisée à l'aide d'un code basé sur un jeton. Une fois le code utilisé, il est immédiatement invalidé par SafeWord et ne peut plus être utilisé. Access Gateway édition Advanced prend en charge l'authentification avec SafeWord for Citrix et SafeWord PremierAccess. Vous pouvez configurer le serveur Advanced Access Control pour l'authentification avec SafeWord des manières suivantes : avec Active Directory, en tant que méthode d'authentification avancée ; comme la seule méthode d'authentification, où LDAP est utilisé comme l'autorité de groupe ; avec RADIUS, où le serveur Advanced Access Control agit comme client RADIUS d'un serveur configuré avec le service Microsoft IAS (Internet Authentication Service). Configuration de l'authentification avancée avec SafeWord Lorsque vous configurez l'authentification avancée, Active Directory s'allie à SafeWord pour authentifier les utilisateurs et détermine le niveau d'accès dont ils disposent une fois une session ouverte. Pour configurer l'authentification avancée avec SafeWord, effectuez les tâches suivantes : Installez et configurez l'agent Secure Access Manager SafeWord for Citrix sur le serveur Advanced Access Control. Citrix recommande fortement de se procurer la dernière version du logiciel de l'agent auprès de Secure Computing pour garantir la réussite de l'authentification SafeWord. Veuillez consulter la documentation des produits Secure Computing pour plus d'informations sur la configuration de l'agent. Créez un point d'ouverture de session et configurez l'authentification et l'autorisation à l'aide de la console Access Management Console.

Chapitre 7 Sécurisation des connexions utilisateur 129 Pour configurer l'authentification avancée avec SafeWord 1. Sur le serveur Advanced Access Control, installez le logiciel agent Secure Access Manager SafeWord for Citrix situé sur le CD-ROM du produit SafeWord. Lorsque vous y êtes invité, acceptez l'option d'utilisation du dernier logiciel agent de Secure Computing, puis sélectionnez l'option Agent Secure Access Manager. 2. Redémarrez les services Advanced Access Control. Vous pouvez utiliser l'outil de configuration de serveur pour redémarrer tous les services simultanément. 3. Redémarrez l'application COM+ Citrix Access Gateway Server à partir de la console Services de composants. 4. Dans l'arborescence de la console, sélectionnez le point d'ouverture de session, puis cliquez sur Modifier un point d'ouverture de session dans la section Tâches courantes. Pour plus d'informations sur la création d'un nouveau point d'ouverture de session, veuillez consulter la section «Configuration de points d'ouverture de session», page 101. 5. Dans la page Authentification, sous Authentification avancée, sélectionnez SafeWord. Configuration de l'authentification avec SafeWord uniquement Lorsque vous configurez SafeWord comme la seule méthode d'authentification pour les utilisateurs, vous devez utiliser LDAP comme autorité de groupe. Pour utiliser SafeWord comme méthode d'authentification exclusive, effectuez les tâches suivantes : Installez et configurez l'agent Secure Access Manager SafeWord for Citrix sur le serveur Advanced Access Control. Citrix recommande fortement de se procurer la dernière version du logiciel de l'agent auprès de Secure Computing pour garantir la réussite de l'authentification SafeWord. Veuillez consulter la documentation des produits Secure Computing pour plus d'informations sur la configuration de l'agent. Créez un profil d'authentification LDAP que vous pouvez affecter au point d'ouverture de session en tant qu'autorité de groupe. Créez un point d'ouverture de session et configurez l'authentification et l'autorisation à l'aide de la console Access Management Console. Définissez les informations d'identification d'authentification pour le point d'ouverture de session.

130 Guide de l'administrateur Access Gateway édition Advanced Pour configurer l'authentification avec SafeWord uniquement 1. Sur le serveur Advanced Access Control, installez le logiciel agent Secure Access Manager SafeWord for Citrix situé sur le CD-ROM du produit SafeWord. Lorsque vous y êtes invité, acceptez l'option d'utilisation du dernier logiciel agent de Secure Computing, puis sélectionnez l'option Agent Secure Access Manager. 2. Redémarrez les services Advanced Access Control. Vous pouvez utiliser l'outil de configuration de serveur pour redémarrer tous les services simultanément. 3. Redémarrez l'application COM+ Citrix Access Gateway Server à partir de la console Services de composants. 4. Créez un profil d'authentification LDAP. Pour plus d informations, veuillez consulter la section «Création de profils d'authentification LDAP», page 120. 5. Dans l'arborescence de la console, sélectionnez le point d'ouverture de session, puis cliquez sur Modifier un point d'ouverture de session dans la section Tâches courantes. Pour plus d'informations sur la création d'un nouveau point d'ouverture de session, veuillez consulter la section «Configuration de points d'ouverture de session», page 101. 6. Dans la page Authentification, sélectionnez SafeWord. 7. Dans la page Configurer l'autorisation de groupe, sélectionnez le profil d'authentification LDAP à utiliser. Pour terminer la configuration, vous devez définir les informations d'identification d'authentification pour le point d'ouverture de session auquel vous avez affecté le profil LDAP. Pour plus d'informations, veuillez consulter la section «Définition d'informations d'identification d'authentification pour les points d'ouverture de session», page 123. Configuration de RADIUS avec SafeWord Pour authentifier les utilisateurs, SafeWord utilise le protocole RADIUS, Microsoft Internet Authentication Service (IAS) et une base de données utilisateur stockée sur un serveur Active Directory. Pour utiliser RADIUS avec Access Gateway édition Advanced, Visual J#.NET 2.0 doit être installé sur le serveur Advanced Access Control. Pour plus d'informations, veuillez consulter la section «Conditions requises pour RADIUS», page 59.

Chapitre 7 Sécurisation des connexions utilisateur 131 Pour utiliser RADIUS avec un des produits SafeWord, effectuez les tâches suivantes : Configurez Microsoft IAS (Internet Authentication Service) sur un serveur distinct et configurez le serveur Advanced Access Control en tant que client RADIUS. Créez un profil d'authentification RADIUS pour le serveur IAS. Pour utiliser LDAP comme autorité de groupe au lieu de RADIUS, vous devez également créer un profil d'authentification LDAP. Pour plus d informations, veuillez consulter la section «Configuration de l'authentification RADIUS et LDAP», page 118. Affectez le profil d'authentification au point d'ouverture de session. Si vous utilisez LDAP comme autorité de groupe, vous devez également affecter le profil d'authentification LDAP au point d'ouverture de session. Pour plus d informations, veuillez consulter la section «Affectation de profils d'authentification à des points d'ouverture de session», page 122. Définissez les informations d'identification d'authentification RADIUS pour le point d'ouverture de session. Si vous utilisez LDAP comme autorité de groupe, vous devez également définir les informations d'identification d'authentification LDAP. Pour plus d informations, veuillez consulter la section «Définition d'informations d'identification d'authentification pour les points d'ouverture de session», page 123. Sur le serveur SafeWord, installez et configurez le logiciel Agent IAS SafeWord. Pour configurer IAS ainsi qu'un client RADIUS Avant de continuer, vérifiez qu'ias est installé sur un serveur de votre environnement. Vous pouvez installer IAS à l'aide de l'option Ajouter ou supprimer des programmes du Panneau de configuration. Pour plus d'informations, veuillez consulter l'aide en ligne Windows. 1. Ouvrez la console MMC (Microsoft Management Console) et installez le composant enfichable pour IAS. 2. Dans le panneau gauche, cliquez à l'aide du bouton droit sur Stratégies d'accès distant et sélectionnez Nouvelle stratégie d'accès distant. L'assistant Nouvelle stratégie d'accès distant apparaît.

132 Guide de l'administrateur Access Gateway édition Advanced 3. Complétez l'assistant en utilisant les paramètres suivants : Configurez une stratégie personnalisée, puis tapez un nom de stratégie unique. Sélectionnez Groupes Windows pour la stratégie et sélectionnez le(s) groupe(s) contenant les utilisateurs à authentifier avec SafeWord. Sélectionnez Accorder l'autorisation d'accès distant et cliquez sur Modifier le profil. Dans l'onglet Authentification, désélectionnez les cases sélectionnées par défaut, puis sélectionnez uniquement Authentification non cryptée (PAP, SPAP). Cliquez sur l'onglet Avancé et supprimez les attributs qui apparaissent par défaut. Ajoutez ensuite l'attribut Spécifique au fournisseur Standard RADIUS. Dans la boîte Information des attributs spécifiques au fournisseur, sélectionnez Oui pour spécifier que l'attribut est conforme à la spécification RFC RADIUS. Cliquez sur Configurer les attributs et entrez les paramètres suivants : Dans la zone Numéro d'attribut assigné au fournisseur, tapez 0. Dans Format d'attribut, sélectionnez Chaîne. Dans Valeur d'attribut, entrez le(s) nom(s) de groupe spécifié(s) pour la stratégie. Par exemple, si vous avez spécifié les groupes Ventes et Finance, entrez CTXSUserGroups=ventes;finance. 4. Dans le panneau gauche de la console MMC, cliquez avec le bouton droit sur Clients RADIUS et sélectionnez Nouveau client RADIUS. 5. Tapez un nom pour le client et entrez l'adresse IP ou le nom de domaine complet (FQDN) du serveur Advanced Access Control. 6. Vérifiez que l'option Standard RADIUS est sélectionnée, puis fournissez un secret partagé que le serveur Advanced Access Control peut utiliser pour l'authentification avec le serveur RADIUS.

Chapitre 7 Sécurisation des connexions utilisateur 133 Pour configurer l'agent IAS SafeWord 1. Lancez l'agent IAS en cliquant sur Démarrer > Programmes ou Tous les programmes > Secure Computing > SafeWord > IAS Agent > Configure IAS Agent. 2. Cliquez sur Moteur d'authentification et entrez le nom d'hôte ou l'adresse IP du moteur d'authentification. 3. Cliquez sur Groupes et entrez le groupe d'utilisateurs et domaine des utilisateurs utilisant des jetons SafeWord. Configuration de l'authentification approuvée Pour renforcer davantage votre environnement Access Gateway, vous pouvez vous assurer que chaque boîtier Access Gateway se connectant à un serveur Advanced Access Control constitue une machine sécurisée. Pour ce faire, vous configurez chaque boîtier Access Gateway pour présenter un certificat de client à l'invite correspondante. Vous configurez ensuite chaque serveur Advanced Access Control pour demander le certificat de client à chaque boîtier Access Gateway de votre environnement. Configuration du boîtier Access Gateway pour l'authentification approuvée Avant de configurer le boîtier Access Gateway, vérifiez les points suivants : Le boîtier Access Gateway utilise SSL pour communiquer avec le serveur Advanced Access Control. Ceci est nécessaire car les répertoires virtuels auxquels le boîtier Access Gateway doit accéder sur le serveur Advanced Access Control sont sécurisés. Le boîtier Access Gateway approuve le certificat racine de l'autorité de certificat ayant émis le certificat de client. Sinon, vous devrez l'installer en tant que certificat racine approuvé. Vous avez obtenu un certificat de client d'une autorité de certificat reconnue de sorte que vous pouvez l'installer sur le boîtier Access Gateway. Pour vérifier que le boîtier Access Gateway utilise SSL 1. Ouvrez l'outil Access Gateway Administration Tool et sélectionnez le boîtier Access Gateway à partir de l'onglet Access Gateway Cluster. 2. Cliquez sur l'onglet Advanced Options. 3. Pour activer la communication SSL, cochez la case Secure server communication.

134 Guide de l'administrateur Access Gateway édition Advanced Pour installer le certificat racine en tant que certificat approuvé Avant d'installer le certificat racine, vérifiez qu'il est conforme au format de fichier Base64. Access Gateway ne reconnaît pas d'autres formats comme valides. 1. À partir de l'outil Administration Tool, sélectionnez le boîtier Access Gateway, puis cliquez sur l'onglet Administration. 2. Dans Manage trusted root certificates, cliquez sur Manage. 3. Dans Trusted Root Certificate Management, cliquez sur l'onglet Manage. 4. Cliquez sur Upload Trusted Root Certificate. 5. Sélectionnez le certificat racine à installer. 6. Réinitialisez le boîtier Access Gateway. Une fois le boîtier Access Gateway réinitialisé, vérifiez que le certificat racine apparaît dans l'onglet Trusted Issuers de la fenêtre Trusted Root Certificate Management. Vous pouvez alors installer le certificat de client. Pour installer le certificat de client sur le boîtier Access Gateway 1. Ouvrez l'outil Administration Tool et sélectionnez le boîtier Access Gateway à partir de l'onglet Access Gateway Cluster. 2. Cliquez sur l'onglet Administration, puis cliquez sur Parcourir pour télécharger une clé privée.pem et un certificat de client. 3. Localisez le certificat de client et entrez l'expression de passe lorsque vous y êtes invité. 4. Réinitialisez le boîtier Access Gateway. Une fois le certificat de client installé, vous pouvez configurer le serveur Advanced Access Control pour exiger le certificat du boîtier Access Gateway. Configuration d'advanced Access Control pour l'authentification approuvée Pour configurer le serveur Advanced Access Control afin d'exiger le certificat de client de chaque boîtier Access Gateway présent dans votre environnement, effectuez les tâches suivantes : 1. Créez ou affectez un certificat de serveur. 2. Ajoutez le certificat racine de l'autorité de certificat ayant émis le certificat de client Access Gateway à la liste de confiance correspondante sur le serveur.

Chapitre 7 Sécurisation des connexions utilisateur 135 3. Configurez les répertoires virtuels auxquels le boîtier Access Gateway accédera pour exiger des certificats de client. Pour créer ou affecter un certificat de serveur 1. Choisissez Démarrer > Tous les programmes > Outils d'administration > Gestionnaire des services Internet (IIS). 2. Développez le nœud de l'ordinateur local et celui des sites Web. 3. Cliquez avec le bouton droit sur le nœud Site Web par défaut et sélectionnez Propriétés. 4. Cliquez sur l'onglet Sécurité de répertoire, puis sur le bouton Certificat de serveur sous Communications sécurisées. 5. Suivez les instructions qui s'affichent dans l'assistant Certificat d'iis pour créer un nouveau certificat de serveur ou affecter un certificat existant. Une fois le certificat de serveur affecté, vous pouvez ajouter le certificat racine à la liste de certificats de confiance du serveur et configurer ce dernier pour exiger des certificats de client. Pour ajouter le certificat racine à la liste de certificats de confiance du serveur Advanced Access Control 1. Ouvrez le Gestionnaire des services Internet (IIS) et localisez le nœud site Web par défaut. 2. Cliquez avec le bouton droit sur le nœud Site Web par défaut et sélectionnez Propriétés. 3. Cliquez sur l'onglet Sécurité de répertoire, puis sur le bouton Modifier sous Communications sécurisées. 4. Cochez la case Activer la liste de certificats de confiance. 5. Cliquez sur le bouton Nouveau et suivez les instructions affichées pour terminer l'assistant Liste de certificats de confiance. Cet assistant vous permet d'ajouter le certificat racine correspondant au certificat de client du boîtier Access Gateway à la liste approuvée de certificats. Pour configurer le serveur pour exiger des certificats de client 1. Dans le Gestionnaire des services Internet (IIS), développez le nœud Site Web par défaut et localisez le nœud CitrixGatewayConfigService. 2. Cliquez avec le bouton droit sur le nœud CitrixGatewayConfigService et sélectionnez Propriétés. 3. Cliquez sur l'onglet Sécurité de répertoire, puis sur le bouton Modifier sous Communications sécurisées.

136 Guide de l'administrateur Access Gateway édition Advanced 4. Cochez la case Requérir un canal sécurisé. 5. Sous Certificats clients, sélectionnez Exiger les certificats clients. 6. Dans le Gestionnaire des services Internet (IIS), cliquez avec le bouton droit sur le nœud CitrixLogonAgentService et sélectionnez Propriétés. 7. Cliquez sur l'onglet Sécurité de répertoire, puis sur le bouton Modifier sous Communications sécurisées. 8. Cochez la case Requérir un canal sécurisé. 9. Sous Certificats clients, sélectionnez Exiger les certificats clients.

CHAPITRE 8 Ajout de ressources Pour contrôler vos ressources d'entreprise avec Advanced Access Control, ajoutez-les à la console, puis créez-leur des stratégies. Une ressource peut être une application, un site Web, un portail, un partage de fichiers, un service, un serveur, le courrier électronique ou la fonction de synchronisation du courrier électronique. D'une manière générale, il s'agit d'une ressource dont vous souhaitez accorder l'accès aux utilisateurs. Cette section explique comment et dans quel but configurer les différents types de ressources : Ressources réseau Ressources Web Partages de fichiers Pour plus d'informations sur la configuration de ressources e-mail, veuillez consulter la section «Accès sécurisé au courrier électronique d'entreprise», page 209. Création de ressources accessibles via un réseau privé virtuel (VPN) Les ressources réseau vous permettent de définir des sous-réseaux ou des serveurs du réseau d'entreprise, auxquels les utilisateurs peuvent se connecter directement via un tunnel VPN à l'aide du client Secure Access Client. Par défaut, les utilisateurs se voient refuser l'accès aux ressources réseau tant qu'aucune stratégie leur donnant des droits d'accès n'a été créée. Pour créer une ressource réseau 1. Dans l'arborescence de la console, sélectionnez Ressources réseau, puis cliquez sur Créer une ressource réseau dans la section Tâches courantes. 2. Dans l'assistant Nouvelle ressource réseau, fournissez un nom et une description pour cette ressource.

138 Guide de l'administrateur Access Gateway édition Advanced 3. Sur l'écran Spécifier des serveurs et des ports, cliquez sur Nouveau pour fournir les informations d'identification réseau, de protocole et de port de la ressource. Pour définir des sous-réseaux entiers, spécifiez des adresses réseaux avec des masques de sous-réseau. Par exemple, pour définir tous les serveurs du réseau 10.x.x.x, spécifiez le masque de sous-réseau 255.0.0.0. Pour définir un serveur, vous pouvez spécifier une adresse IP telle que 10.2.3.4 et le masque de sous-réseau 255.255.255.255. Pour le Port, vous pouvez spécifier plusieurs ports ou des plages en utilisant respectivement des virgules ou des tirets comme séparateur. Par exemple, l'entrée «22,80,110-120» indique que vous utilisez le port 22 et le port 80 ainsi que les ports 110 à 120 inclus. Le client Secure Access Client écoutera sur le port spécifié. 4. Indiquez si une stratégie par défaut doit être créée. Si vous créez une stratégie par défaut, vous pourrez modifier ses propriétés plus tard. Après avoir défini une ressource réseau, vous pouvez créer des stratégies pour en contrôler les paramètres de connexion et l'accès par les utilisateurs. La seule permission de contrôle d'accès que vous pouvez accorder pour une ressource réseau est celle d'accès (autoriser ou refuser). Les utilisateurs se connectant directement aux services définis par le sous-nœud réseau ou le port spécifié, le proxy Web n'est pas utilisé. La connexion aux ressources via le proxy Web est nécessaire si vous voulez personnaliser le niveau d'accès avec des contrôles d'opérations telles que l'aperçu HTML ou Live Edit. Les utilisateurs se connectant avec le client Secure Access Client peuvent visualiser une liste de leurs ressources réseau dans les propriétés du client. Utilisation de la ressource Tout le réseau La ressource Tout le réseau est une ressource prédéfinie permettant d'accorder ou de refuser l'accès à tous les serveurs et services du réseau sécurisé au moyen du client Secure Access Client. La notion de «réseau entier» peut être limitée si vous avez activé le split tunneling dans les propriétés globales pour le boîtier Access Gateway. Si le split tunneling est activé, la ressource Tout le réseau ne remplace pas la définition des réseaux accessibles. En d'autres termes, lorsque le split tunneling est activé, le réseau entier est équivalent à la définition des réseaux accessibles. Pour plus d'information sur le split tunneling et les réseaux accessibles, reportez-vous à la section «Configuration du split tunneling», page 109.

Chapitre 8 Ajout de ressources 139 Remarque : la ressource «Tout le réseau» inclut toutes les ressources du réseau sécurisé, y compris les serveurs et sous-réseaux ajoutés plus tard. Par exemple, si vous créez une stratégie d'accès incluant «Tout le réseau», puis ajoutez plus tard un serveur au réseau, ce nouveau serveur sera contrôlé par les paramètres de la stratégie existante. Pour plus d'informations sur la création de stratégies incluant «Tout le réseau», veuillez consulter la section «Permission de l'accès à tout le réseau», page 179. Définition de ressources et conflits possibles Vous pouvez configurer vos ressources d'entreprise de plusieurs façons. La variété des méthodes de configuration possibles peut être à l'origine de ressources se chevauchant. Par exemple, vous pouvez créer une ressource de partage de fichiers pour le partage de fichiers B sur le serveur A et créer une ressource réseau pour le serveur A. Les deux ressources se chevauchent car elles incluent toutes les deux le partage de fichiers B. Associer deux ressources se chevauchant à différentes stratégies peut entraîner des conflits entre des contrôles d'opérations appliqués aux éléments communs de ces deux ressources. Des chevauchements de définition peuvent se produire si vous utilisez des ressources réseau pour permettre l'accès à des serveurs, à des réseaux ou à des sous-réseaux entiers et en utilisez d'autres pour permettre l'accès à des partages de fichiers et à des ressources Web faisant partie de ces même serveurs, réseaux ou sous-réseaux. Le scénario présenté ci-dessous est un exemple de chevauchement. Le serveur A est un serveur comprenant des partages de fichiers et pour lequel une ressource réseau est définie. Une stratégie associée à la ressource réseau autorise tous les employés de l'entreprise à accéder au serveur à l'aide d'une connexion VPN à distance lorsqu'ils utilisent une machine cliente approuvée et la combinaison d'authentification Active Directory plus RSA SecurID avancée. Le partage de fichiers B est un dossier partagé du serveur A. Le partage de fichiers B est défini comme une ressource pouvant être accédée à l'aide d'un navigateur. Ce partage de fichiers est associé à une stratégie ne permettant l'accès qu'aux utilisateurs recourant à un point d'ouverture de session visible seulement sur le réseau interne de l'entreprise. Bien que la seconde stratégie ait été configurée pour limiter l'accès au partage de fichiers B, la première stratégie permet aux utilisateurs d'accéder à ce partage de fichiers via un tunnel VPN permettant l'accès au serveur entier.

140 Guide de l'administrateur Access Gateway édition Advanced Pour éviter les conflits : Définissez des ressources réseaux n'ayant pas en commun d'éléments accessibles à l'aide de navigateurs (partages de fichiers et ressources Web). Associez de telles ressources à la même stratégie. Création de ressources Web Les ressources Web définissent les applications, les sites ou les pages Web que vous voulez protéger à l'aide de stratégies. Il est possible de regrouper plusieurs adresses URL et de définir une seule ressource Web à l'aide de ce groupe. Par défaut, les utilisateurs n'ont accès à une ressource Web qu'après la création d'une stratégie leur accordant la permission d'y accéder. Pour créer une ressource Web 1. Dans l'arborescence de la console, sélectionnez Ressources Web, puis cliquez sur Créer une ressource Web dans la section Tâches courantes. 2. Fournissez un nom et une description pour la ressource. 3. Sur l'écran Configurer des adresses, cliquez sur Nouvelle, puis entrez l'adresse URL pour chaque adresse URL que vous voulez ajouter. Les adresses peuvent contenir : des répertoires virtuels mais pas de documents individuels ; Par exemple, vous pouvez entrer l'adresse http: // GestionRessourcesHumaines/Recrutement/ mais pas http://gestionressourceshumaines/entretien_type.html des jetons système dynamiques tels que http://www.monentreprise.com/users/#<fullname> Les adresses ne peuvent pas contenir : des expressions régulières générales telles que http://www.serveur[1-0]+.com/[a-za-z]+(a-za-z0-9)*/ des caractères génériques tels que *.MonURL.com ou http://www.*/direction/monentreprise.com.

Chapitre 8 Ajout de ressources 141 4. Dans la liste Type d'application, sélectionnez le type de l'application à laquelle l'adresse URL correspond. Le type d'application permet de déterminer si des informations spéciales sont nécessaires dans la configuration de l'adresse URL. Interface Web Citrix, version 4.2 ou ultérieure : correspond à une adresse URL pointant vers un site d'interface Web donnant aux utilisateurs l'accès à des applications publiées à l'aide de Citrix Presentation Server. Pour plus d informations, veuillez consulter la section «Intégration de l'interface Web», page 183. SharePoint : correspond à un site SharePoint. SharePoint avec interface Web Part : correspond à un composant Web Part conçu pour présenter l'interface Web Citrix au sein d'un site SharePoint. Prend en charge les fonctions SmartAccess par l'intermédiaire de l'interface Web. Application Web : correspond à l'adresse URL d'un site Web ne nécessitant aucune information de configuration spéciale. Il s'agit du réglage par défaut. Application Web (requiert des cookies de session) : correspond à des sites Web autorisés à recevoir des cookies. Par défaut, le proxy Web ne transmet pas les cookies aux adresses URL de redirection. Le proxy Web ne transmet pas les cookies pour le type par défaut (Application Web). 5. Dans la section Types d'authentification pris en charge de la boîte de dialogue Nouvelle URL, vous pouvez activer l'authentification unique pour l'accès au site lors de la sélection de la méthode d'authentification utilisée par le site. Pour plus d informations, veuillez consulter le chapitre «Activation de l'authentification unique pour les ressources Web», page 143. 6. Sélectionnez l'option de publication dans les listes de ressources des utilisateurs pour afficher cette ressource dans l'interface d'accès. L'adresse URL de la page de démarrage doit être construite exactement sur l'adresse URL spécifiée à l'étape 3. Par exemple, si vous entrez http://monentreprise.net pour l'adresse de la ressource, vous pouvez désigner une page au sein de ce site, telle que http:// MonEntreprise.net/Finances.aspx. Si votre service d'annuaire utilise le jeton «homepage», vous pouvez entrer #<HomePage> comme URL de page de démarrage. Pour plus d'informations sur l'utilisation des jetons, veuillez consulter la section «Utilisation de jetons système dynamiques», page 147.

142 Guide de l'administrateur Access Gateway édition Advanced Remarque : si vous activez Advanced Access Control pour afficher plusieurs sites Citrix Access Platform dans l'interface d'accès, vous devez publier le site afin de l'associer à une batterie Presentation Server. Pour plus d informations, veuillez consulter le chapitre «Affichage de plusieurs sites et mise en cache des informations d'identification», page 185. 7. Si les utilisateurs ne sont pas autorisés à utiliser des contrôles ActiveX ou s'ils utilisent diverses versions de navigateur, sélectionnez l'option permettant de recourir à une interface commune à tous les types de navigateur. Lorsque cette option est sélectionnée, une interface générique est présentée aux utilisateurs. Elle ne recourt à aucune technologie de navigation avancée telle qu'activex. 8. Indiquez si une stratégie par défaut doit être créée. Si vous créez une stratégie par défaut, vous pourrez modifier ses propriétés plus tard. Inclusion des fichiers associés Pour un site Web, assurez-vous d'inclure tous les fichiers requis par les pages du site (fichiers d'image stockés à un emplacement ou sur un serveur différent, par exemple) lors de la création de la ressource. Par exemple, si un site tel que www.citrix.com utilise des images stockées sur www.webimages.site.com, ajoutez l'adresse URL www.webimages.site.com à la ressource Web. Configuration de sites sécurisés avec SSL Lorsque vous créez des ressources Web contenant des adresses URL sécurisées à l'aide du protocole SSL (Secure Sockets Layer), vous devez vous assurer que tous les serveurs de la batterie de serveurs d'accès jouant le rôle de serveurs Web disposent du certificat racine pour les adresses URL sécurisées. Cela n'est pas nécessaire si l'accès au serveur hébergeant l'adresse URL se fait en contournant le proxy Web. Pour plus d'informations sur le contournement de la réécriture d'url, veuillez consulter la section «Contournement de la réécriture d'url», page 167. Ressources Web maintenant les sessions actives Les sessions utilisateur associées aux ressources et aux applications Web prennent généralement fin à l'issue du délai d'expiration défini pour le point d'ouverture de session par l'intermédiaire duquel les utilisateurs se connectent.

Chapitre 8 Ajout de ressources 143 Lors de la consultation d'une ressource Web recourant à un mécanisme de persistance, la session reste ouverte tant que l'utilisateur ne ferme pas la fenêtre d'affichage de la ressource Web. C'est le cas, par exemple, de la ressource Microsoft Outlook Web Access qui effectue des interrogations régulières pour vérifier l'arrivée de nouveaux e-mails. Ce mécanisme d'interrogation a pour effet de maintenir la session de l'utilisateur active jusqu'à la fermeture de la fenêtre Outlook Web Access. Activation de l'authentification unique pour les ressources Web Vous pouvez transmettre les informations d'identification des utilisateurs aux serveurs Web du réseau sécurisé configurés pour une authentification Windows de base, condensée (Digest) ou intégrée. Cette fonctionnalité permet de ne pas demander aux utilisateurs d'entrer leurs informations d'identification plusieurs fois pour accéder à des ressources Web. Par exemple, si le site Web d'une équipe de votre organisation est configuré pour l'authentification condensée (Digest), vous pouvez transmettre les informations d'identification avec lesquelles un utilisateur a ouvert sa session sur le boîtier Access Gateway à ce site. Si vous ne sélectionnez pas l'authentification condensée (Digest) pour l'adresse URL, les utilisateurs devront peut-être s'authentifier sur le site Web. L'authentification requise par un site Web dépend des paramètres de configuration du serveur Web hôte de ce site. Lors de la configuration d'une ressource Web, vous pouvez activer l'une des méthodes d'authentification suivantes pour chaque adresse URL. Authentification de base :les informations d'identification sont transmises au site Web sous forme de texte non crypté. Important : les informations d'identification étant transmises sous forme de texte non crypté, envisagez l'utilisation de SSL pour les sites Web recourant à l'authentification unique de base. Authentification condensée (Digest) : les informations d'identification hachées sont transmises au site Web à l'aide du mécanisme Digest. Authentification Windows intégrée : les informations d'identification hachées sont transmises au site Web à l'aide du mécanisme d'authentification intégrée. L'authentification NTLM ou Kerberos est utilisée, selon la configuration de votre serveur Web.

144 Guide de l'administrateur Access Gateway édition Advanced Attention : quelle que soit la méthode d'authentification unique appliquée, l'application Web cible reçoit dans un premier temps les informations d'identification ayant servi à ouvrir la session sur le boîtier Access Gateway. Accéder à un site Web nécessitant de fournir un deuxième jeu de données d'identification via Access Gateway aura éventuellement pour effet de placer ces informations en cache. Pour spécifier une méthode d'authentification unique pour un site Web 1. Dans l'arborescence de la console, sélectionnez la ressource Web, puis cliquez sur Modifier une ressource Web dans la section Tâches courantes. 2. Dans la page Adresses URL, sélectionnez l'adresse URL du site Web, puis cliquez sur Modifier. 3. Dans la section Types d'authentification pris en charge, sélectionnez la méthode d'authentification utilisée par le site Web. Configuration pour les sites utilisant une authentification à l'aide d'un formulaire Les sites Web qui requièrent une authentification par formulaire doivent être configurés avec le type d'application de l'application Web. Chaque adresse URL définie dans une ressource Web est associée à un type d'application. Pour les adresses URL associées au type d'application Application Web, les informations d'identification ne sont pas transmises et les utilisateurs peuvent être amenés à s'authentifier sur le site Web. Il s'agit du réglage par défaut. Vous devez utiliser cette option pour les sites nécessitant une authentification à l'aide d'un formulaire. Création de partages de fichiers Les partages de fichiers sont des répertoires, des dossiers ou des fichiers partagés de votre réseau, que vous souhaitez sécuriser à l'aide de stratégies. Vous pouvez regrouper plusieurs partages et les définir comme constituant une seule ressource. Regrouper des partages de fichiers permet de réduire le nombre de stratégies nécessaires car chaque stratégie créée pour une telle ressource s'applique à tous les partages du groupe. Par défaut, les utilisateurs se voient refuser l'accès aux partages de fichiers tant qu'aucune stratégie leur donnant des droits d'accès n'a été créée.

Chapitre 8 Ajout de ressources 145 Pour créer un partage de fichiers 1. Dans l'arborescence de la console, sélectionnez Ressources > Partages de fichiers, puis cliquez sur Créer un partage de fichiers dans la section Tâches courantes. 2. Fournissez un nom et une description pour la ressource. 3. Sur l'écran Configurer des adresses, cliquez sur Nouveau pour ajouter chaque élément partagé (sous la forme \\MonServeur\Dossier-Fichiers-partagés\). Vous pouvez inclure des adresses de fichier ou des adresses de dossier. Vous pouvez utiliser des jetons système dynamiques tels que #<username>. Pour que l'utilisation des jetons système soit possible, il est nécessaire que le compte de service défini dans Configuration de serveur soit un compte de domaine et non un compte local à la machine. 4. Dans la boîte de dialogue Partage de fichiers, sélectionnez Publier pour les utilisateurs dans leur liste de ressources pour afficher la ressource dans l'interface d'accès. 5. Indiquez si une stratégie par défaut doit être créée. Si vous créez une stratégie par défaut, vous pourrez modifier ses propriétés plus tard. Si vous ne sélectionnez pas l'option de publication de partage de fichiers, les utilisateurs pourront tout de même naviguer jusqu'au partage dans leurs navigateurs si une stratégie leur en accorde l'accès. Un partage de fichiers auquel un utilisateur a accès mais qui n'est pas publié est aussi accessible s'il est incorporé dans une page Web ou un e-mail. Chargement de documents volumineux dans les fichiers partagés Les utilisateurs qui accèdent à un partage de fichiers publié par le biais de l'interface d'accès peuvent charger des documents d'une taille égale ou supérieure à 100 Mo par défaut lorsque des stratégies les y autorisent. Pour permettre aux utilisateurs de charger des documents d'une taille supérieure, vous devez modifier le registre Windows.

146 Guide de l'administrateur Access Gateway édition Advanced Attention : une mauvaise utilisation de l'éditeur du Registre peut entraîner de sérieux problèmes et nécessiter la réinstallation du système d exploitation. Citrix ne peut garantir la possibilité de résoudre les problèmes provenant d'une mauvaise utilisation de l'éditeur du Registre. Vous êtes seul responsable de votre utilisation de l'éditeur du Registre. Effectuez une copie de sauvegarde de votre registre avant de le modifier. Pour permettre aux utilisateurs de charger des documents d'une taille supérieure à 100 Mo 1. Dans l'éditeur du Registre, accédez à la clé suivante : HKEY_LOCAL_MACHINE\SOFTWARE\CITRIX\MSAM\FEI 2. Cliquez sur Modifier > Nouveau > Valeur DWORD et saisissez MaxUploadSize dans le volet droit. 3. Cliquez avec le bouton droit de la souris sur la nouvelle valeur, puis sélectionnez Modifier. 4. Dans le champ Données de la valeur, saisissez la taille maximale du document en kilo-octets (Ko). Par exemple, pour spécifier une taille maximale de 120 Mo, saisissez 120 000. 5. Dans Base, sélectionnez Décimale.

Utilisation de jetons système dynamiques Chapitre 8 Ajout de ressources 147 Vous pouvez utiliser le remplacement de jeton dynamique dans les adresses UNC ou URL lorsque vous définissez des ressources qui peuvent obtenir des informations dynamiques auprès du service d'annuaire. Cette fonction permet le remplacement de certaines chaînes de caractères par des attributs utilisateur obtenus auprès des services Active Directory. Remarque : un attribut, obtenu auprès des services d'annuaires NT et LDAP (Lightweight Directory Access Protocol) peut être utilisé sans Active Directory. Il s'agit de l'attribut #<username>. Tous les attributs nécessitent l'utilisation d'active Directory. Par exemple, si une entreprise comptant des milliers d'employés fournit à chaque utilisateur un partage de fichiers unique portant son nom, il est plus judicieux d'utiliser un jeton qui sera par la suite remplacé automatiquement par le nom de chaque utilisateur que de lister chaque partage de fichiers pour définir le groupe de ressources. Pour que l'utilisation des jetons système soit possible, il est nécessaire que le compte de service défini dans l'outil Configuration de serveur pour Advanced Access Control soit un compte de domaine et non un compte local à la machine. Respectez la syntaxe suivante pour permettre le remplacement des jetons : #<Attribut> Exemples : \\Partages-publics\Services\#<Department>\Rapports http://inotes.mon-serveur.com/mail/#<username>.nsf

148 Guide de l'administrateur Access Gateway édition Advanced Attributs Active Directory Les attributs suivants peuvent être utilisés avec Active Directory. #<Department> #<displayname> #<Division> #<domain> #<EmployeeId> #<FirstName> #<FirstNameInitial> #<FullName> #<HomeDirectory> #<HomePage> #<Initials> #<LastName> #<LastNameInitial> #<MiddleName> #<OtherName> #<UPN> #<username> Création de groupes de ressources pour faciliter l'administration des stratégies Un groupe de ressources permet de réunir des ressources de types différents dans une même entité à laquelle il est ensuite possible d'appliquer des stratégies. Utiliser des groupes de ressources permet de réduire le nombre de stratégies nécessaires et facilite l'administration des stratégies. Les étapes de base du regroupement de ressources sont les suivantes. 1. Identifiez les ressources auxquelles vous voulez fournir l'accès à des utilisateurs pour un scénario d'accès donné. Par exemple, établissez une liste de toutes les ressources (en incluant le courrier électronique, les sites Web et les partages de fichiers) auxquelles les membres de votre équipe de vente doit pouvoir accéder à partir des ordinateurs portables de l'entreprise lorsqu'ils les utilisent en déplacement.

Chapitre 8 Ajout de ressources 149 2. Vérifiez que chaque ressource énumérée à l'étape 1 est configurée dans la console. Par exemple, si vous voulez inclure cinq sites Web d'entreprise et le courrier électronique Web, assurez-vous de la configuration d'au moins une ressource Web incluant ces sites et de la configuration du courrier électronique Web avant de créer le groupe de ressources. 3. Créez un groupe de ressources comprenant toutes les ressources que vous avez listées à l'étape 1. 4. Créez un filtre incluant les conditions requises pour le scénario d'accès. Par exemple, vous pouvez créer un filtre requérant l'authentification RSA de l'utilisateur, l'ouverture de session avec l'adresse URL de votre point d'ouverture de session «Ventes» et la réussite de certaines analyses de point de terminaison effectuées sur la machine cliente. 5. Créez une stratégie pour le groupe de ressources. Associez la stratégie au filtre que vous avez créé à l'étape 4 et sélectionnez les contrôles d'opérations voulus pour chaque ressource. Les utilisateurs ne peuvent pas voir les noms et les descriptions des groupes de ressources dans les listes de ressources. Ces noms et descriptions ne servent qu'à l'administration des groupes de ressources. Si vous publiez une ressource Web ou un partage de fichiers, les utilisateurs pourront voir la description de la ressource (et non la description du groupe de ressources) dans leurs listes de ressources. Chaque type de ressource dispose d'un assistant conçu pour vous guider lors de l'ajout d'une ressource. Les différents assistants sont disponibles dans la section Tâches courantes lorsque le nœud Ressources est sélectionné. Par défaut, les utilisateurs se voient refuser l'accès aux ressources que vous avez définies tant qu'aucune stratégie leur donnant des droits d'accès n'a été créée. Cette règle s'applique à toutes les ressources et à tous les groupes de ressources.

150 Guide de l'administrateur Access Gateway édition Advanced Intégration de listes de ressources dans des portails tiers Si vous voulez fournir aux utilisateurs les listes des ressources Web ou des partages de fichiers proposés dans Advanced Access Control, vous avez la possibilité d'intégrer ces listes à la solution de portail de votre choix. Ainsi, si vous utilisez Microsoft SharePoint comme portail d'entreprise ou point d'agrégation d'informations, vous pouvez présenter aux utilisateurs leur liste de ressources Web ou de partages de fichiers dans ce portail SharePoint. Pour intégrer les listes de ressources des utilisateurs dans un portail tiers 1. Configurez les ressources Web et les partages de fichiers pour les utilisateurs. 2. Configurez le visualiseur de site Web de votre portail afin d'afficher l'une des listes suivantes (ou les deux) : liste des ressources Web à l'adresse http://nomserveur/ CitrixSessionInit/URLList.aspx ; liste des partages de fichiers à l'adresse http://nomserveur/citrixfei/ myfiles.asp. NomServeur représente le nom d'un serveur Web sur lequel Access Gateway édition Advanced est exécuté.

CHAPITRE 9 Contrôle de l'accès à l'aide de stratégies Les stratégies permettent un contrôle précis de l'accès au niveau ressource. Elles permettent de définir les ressources auxquelles les utilisateurs peuvent accéder et les opérations qu'ils peuvent effectuer sur ces ressources. Vous pouvez tirer parti des filtres pour appliquer des stratégies en fonction des informations détectées sur la machine cliente, de l'identité des utilisateurs, de la puissance d'authentification et du lieu à partir duquel les utilisateurs ouvrent une session. Les filtres offrent la souplesse nécessaire pour adapter vos stratégies aux scénarios d'accès envisagés. Cette section explique comment élaborer et mettre en œuvre des stratégies de contrôle des ressources en fonction des conditions d'accès des utilisateurs. Les stratégies contribuent à améliorer la sécurité de votre réseau dans la mesure où elles permettent de contrôler les aspects suivants. Accès. Vous pouvez soumettre les connexions des utilisateurs à vos ressources au respect de critères de sécurité liés à l'identité, au mode d'authentification, à l'utilisation d'anti-virus, de pare-feu et de logiciels clients. Actions. Vous pouvez contrôler certaines actions spécifiques effectuées par les utilisateurs sur les ressources auxquelles ils accèdent par le biais du navigateur, sur la base des conditions d'accès de ces utilisateurs. Connexions. Vous pouvez contrôler les connexions Secure Access Client et appliquer les paramètres relatifs à ces connexions.

152 Guide de l'administrateur Access Gateway édition Advanced Contrôle des accès utilisateur Les stratégies vous aident à sécuriser le réseau d'entreprise en agissant avant même que les utilisateurs y ouvrent des sessions et vous permettent d'étendre votre contrôle jusqu'au niveau de chaque ressource. Les stratégies vous offrent les possibilités suivantes. Limitation des privilèges de connexion aux machines approuvées. Lorsque vous créez des stratégies pour la ressource «Autoriser l'ouverture de session», vous avez la possibilité de refuser des privilèges de connexion sauf si les machines clientes répondent aux critères de sécurité minimaux vérifiés au moyen d'analyses de point de terminaison. Utiliser des stratégies de connexion avec des analyses continues vous permet de contrôler les connexions Secure Access Client tout au long des sessions utilisateur et d'effectuer une déconnexion immédiate de toute machine cliente ne satisfaisant plus les conditions que vous avez définies. Limitation de la permission d'ouverture de session aux utilisateurs et machines approuvés. Lorsque vous configurez les propriétés de point d'ouverture de session, vous avez la possibilité de masquer la page d'ouverture de session aux utilisateurs travaillant depuis des machines clientes inconnues ou depuis des machines clientes ne répondant pas aux critères de sécurité en vigueur. Ceci permet d'empêcher un scénario dans lequel un programme malveillant exécuté sur la machine cliente prend connaissance des informations d'identification de l'utilisateur lors de l'entrée de celles-ci sur la page d'ouverture de session. Autorisation ou refus de certaines actions sur des ressources. Les utilisateurs satisfaisant aux critères de sécurité pour l'établissement d'une connexion doivent avoir la permission d'utiliser une ressource pour y accéder. Vous pouvez contrôler cet accès en définissant des stratégies pour chaque ressource ou groupe de ressources. Pour plus d'informations sur la création de stratégies, veuillez consulter la section «Création de stratégies d'accès», page 156. Par défaut, les utilisateurs ne sont pas habilités à accéder ou à intervenir sur les ressources de vos réseaux. Vous devez définir les ressources de la batterie de serveurs, puis créer des stratégies permettant l'accès à ces ressources ou le contrôle des actions effectuées par les utilisateurs sur ces ressources. Les stratégies Advanced Access Control ne peuvent, en aucun cas, se substituer aux paramètres de sécurité du système d'exploitation. Elles constituent une extension de ceux-ci. Par exemple, si un utilisateur se voit refuser l'accès à un partage de fichiers en vertu des paramètres de sécurité Windows NTFS (NT File System), il n'y aura aucun moyen de lui accorder le droit d'y accéder même si vous définissez des stratégies Access Gateway à cet effet.

Chapitre 9 Contrôle de l'accès à l'aide de stratégies 153 Remarque : l'accès aux applications et aux ressources publiées à l'aide de Citrix Presentation Server n'est pas contrôlé par les stratégies Advanced Access Control. Il dépend des propriétés du point d'ouverture de session utilisé par les utilisateurs et des permissions qui leur ont été attribuées dans Citrix Presentation Server. Intégration de votre stratégie d'accès La façon dont vous définissez les ressources et élaborez des stratégies dépend de votre stratégie globale en matière de contrôle d'accès. L'objectif est d'accorder à chaque utilisateur un niveau d'accès adapté à sa situation et aux conditions de sécurité. Cela a une incidence directe sur le mode de regroupement des ressources et sur la manière dont vous concevez les stratégies. Regroupement des ressources en fonction des besoins d'accès Avant de définir des ressources et de créer des stratégies, il convient de répartir les ressources dans des groupes de ressources reflétant leurs critères de sécurité respectifs. Regroupez les ressources en fonction de leurs similitudes. Par exemple, vous pouvez créer un groupe de ressources contenant plusieurs partages de fichiers et plusieurs ressources Web, nécessitant un accès très restreint lorsque les utilisateurs se connectent à distance. Vous pouvez créer un autre groupe contenant des ressources Web et des partages de fichiers auxquels vous voulez que les utilisateurs puissent accéder à la seule condition que les machines clientes utilisées soient approuvées. Conception de stratégies répondant aux scénarios utilisateur Définissez vos stratégies en tenant compte des scénarios de base auxquels les utilisateurs seront confrontés, tels que ceux présentés dans le tableau qui suit. Commencez par étudier quelques cas d'utilisation possibles. Définissez des ressources de types différents, regroupez-les dans des groupes de ressources, puis élaborez des stratégies couvrant tous les scénarios utilisateur requis pour votre organisation. Le tableau suivant propose plusieurs exemples de scénario dans lesquels les utilisateurs ne bénéficient pas tous du même niveau d'accès et des mêmes droits.

154 Guide de l'administrateur Access Gateway édition Advanced Machine de l'utilisateur Ordinateur de l'entreprise exécutant le logiciel antivirus requis Machine d'entreprise distante exécutant les logiciels antivirus et pare-feu requis Ressources accessibles par les utilisateurs Ensemble des réseaux d'entreprise et des systèmes de fichiers Intégralité des services de courrier électronique Portails d'entreprise et applications Web Applications publiées à l'aide de Citrix Presentation Server Autres applications Applications Web Applications de courrier électronique synchronisées Applications publiées à l'aide de Citrix Presentation Server Accès limité aux systèmes de fichiers Serveurs ou services définis comme des ressources réseau Actions possibles Téléchargement de fichiers depuis le serveur Téléchargement de fichiers vers le serveur Modification de fichiers sur la machine cliente locale Modification de fichiers sur des serveurs Citrix Presentation Server Envoi de documents sous forme de pièces jointes Modification et enregistrement de documents à l'aide du client Live Edit (contrôle ActiveX) sans avoir à les télécharger depuis/vers le serveur Mappage client ou impression des documents limités sur les serveurs Citrix Presentation Server Envoi de documents sous forme de pièces jointes Connexion VPN directe aux ressources réseau à l'aide du client Secure Access Client

Chapitre 9 Contrôle de l'accès à l'aide de stratégies 155 Machine de l'utilisateur Kiosque public exécutant un navigateur adéquat Ressources accessibles par les utilisateurs Applications Web Courrier électronique Web uniquement Accès limité aux applications publiées Actions possibles Prévisualisation des documents au format HTML Pas de mappage client ni d'impression des documents sur les serveurs Citrix Presentation Server Ordinateurs de poche (PDA) Courrier électronique Web uniquement Consultation du courrier électronique Web avec prise en charge du redimensionnement pour les machines de petite taille Prévisualisation des documents au format HTML avec prise en charge du redimensionnement pour les machines de petite taille Envoi de documents sous forme de pièces jointes Aucun accès aux applications Ordinateurs portables distants pour les administrateurs système gérant des situations critiques depuis leur domicile Accès total à certaines applications critiques définies comme des ressources réseau ou à la ressource Tout le réseau Connexion VPN directe aux ressources réseau à l'aide du client Secure Access Client Après avoir développé une stratégie d'accès, vous devez ensuite configurer les ressources, les stratégies et les filtres, et les combiner en tenant compte des consignes de sécurité de votre entreprise. Les ressources et les stratégies définissent le contrôle d'accès autorisé. Les filtres définissent à quels moments et dans quelles conditions l'accès est accordé. Différence entre le contrôle d'accès et la publication Accorder l'accès à une ressource grâce à un contrôle basé sur des stratégies et publier une ressource sont deux opérations distinctes. Lorsque vous définissez un partage de fichiers ou une ressource Web, vous avez la possibilité de publier la ressource, c'est-à-dire de la faire figurer à l'intention des utilisateurs sur l'interface d'accès ou les portails tiers. Les listes de partages de fichiers et de ressources Web intégrées peuvent également figurer sous forme de modules externes sur les portails d'entreprise tiers. Pour plus d'informations sur l'intégration des listes de ressources aux portails d'entreprise tiers, consultez la section «Intégration de listes de ressources dans des portails tiers», page 150.

156 Guide de l'administrateur Access Gateway édition Advanced En activant la permission «Accès» pour des ressources Web, vous autorisez l'utilisateur à consulter ces ressources avec un navigateur. L'application utilisée pour ouvrir une ressource et les opérations possibles sur cette ressource dépendent du groupe de paramètres de stratégie que vous avez défini pour cette ressource. La simple activation de la permission «Accès» pour une ressource n'autorise pas à atteindre cette ressource. Si vous activez la permission «Accès» pour une adresse URL mais ne publiez pas cette dernière, les utilisateurs ne pourront accéder à cette adresse URL que par le biais d'un lien placé sur une page Web ou, en cas de contournement du proxy Web, en entrant l'adresse URL dans leur navigateur. Vous devez créer une ressource Web ou une ressource réseau pour toute application à laquelle vous voulez que les utilisateurs puissent accéder à distance. Vous devez aussi créer des stratégies accordant aux utilisateurs la permission «Accès» pour cette ressource. La configuration de l'accès aux partages de fichiers est légèrement différente de l'accès aux ressources Web car vous ne choisissez pas la permission «Accès» pour les stratégies d'accès correspondantes. Un utilisateur peut visualiser une ressource de partage de fichiers à l'aide de son navigateur à condition que vous ayez publié la ressource et que la liste de contrôle d'accès (ACL) du système d'exploitation lui accorde le droit d'accès. Les stratégies s'appliquant aux partages de fichiers déterminent les utilisateurs autorisés à visualiser les partages de fichiers, les actions qu'ils peuvent effectuer sur les documents dans ces partages de fichiers et les conditions dans lesquelles ces actions peuvent être effectuées. Création de stratégies d'accès Vous devez créer des stratégies pour permettre l'accès des utilisateurs aux ressources. Par défaut, les utilisateurs ne disposent d'aucun droit d'accès à quelque ressource que ce soit. La définition d'une stratégie d'accès consiste à définir les utilisateurs ayant une permission d'accès, les conditions nécessaires à l'octroi de ces permissions d'accès et le détail de ces dernières. Pour créer une stratégie d'accès 1. Dans l'arborescence de la console, sélectionnez Stratégies, puis cliquez sur Créer une stratégie d'accès dans la section Tâches courantes. 2. Dans l'assistant Nouvelle stratégie d'accès, fournissez un nom et une description de la stratégie.

Chapitre 9 Contrôle de l'accès à l'aide de stratégies 157 3. Sur l'écran Sélectionner des ressources, sélectionnez les groupes de ressources et les ressources que la stratégie doit contrôler. Si cette stratégie doit contrôler l'accès à tous les serveurs et services visibles du réseau, sélectionnez Ressources réseau > Tout le réseau. Si cette stratégie doit inclure les conditions nécessaires pour qu'un utilisateur soit autorisé à ouvrir une session sur le réseau, sélectionnez la ressource Autoriser l'ouverture de session. Vérifiez vos sélections dans l'arborescence des ressources. Sélectionner ou désélectionner une catégorie de ressource (Partages de fichier, par exemple), a pour effet respectivement de sélectionner ou de désélectionner tous les éléments de cette catégorie. Pour afficher les sélections existantes dans une catégorie, développez le nœud correspondant. 4. Sur l'écran Configurer les paramètres, sélectionnez chaque paramètre voulu, puis sélectionnez Autoriser ou Refuser. Vérifiez vos sélections dans l'arborescence des paramètres. L'écran Configurer les paramètres permet de sélectionner des paramètres de stratégie pour des types de ressource que vous n'avez pas sélectionnés pour la stratégie. La stratégie n'applique les paramètres que pour les ressources sélectionnées pour la stratégie. 5. Sur l'écran Sélectionner un filtre, sélectionnez un filtre définissant les conditions devant être remplies pour que la stratégie soit appliquée. Si vous n'avez pas encore configuré de filtres, vous pouvez modifier la stratégie et lui associer un filtre ultérieurement. 6. Sur l'écran Sélectionner des utilisateurs, sélectionnez les utilisateurs auxquels la stratégie doit s'appliquer. Remarque : si plusieurs stratégies s'appliquent à une ressource, une stratégie qui refuse les droits d'accès est prioritaire sur d'autres stratégies qui les accordent. Dénomination des stratégies Les stratégies doivent avoir des noms uniques. Pour faciliter la gestion des stratégies, il est conseillé de suivre des conventions de dénomination logiques. Un contrôle précis des accès nécessitant de définir plusieurs stratégies par ressource, il est possible que le nombre de stratégies nécessaires devienne relativement important. Une convention de dénomination devrait pouvoir vous permettre d'identifier rapidement la ressource concernée et le niveau d'accès appliqué.

158 Guide de l'administrateur Access Gateway édition Advanced Vous pouvez instaurer une convention qui réponde aux besoins spécifiques de votre organisation. En règle générale, le nom de la stratégie devrait indiquer la ressource concernée. Une convention typique consiste à nommer les stratégies en utilisant le nom de ressource et une courte description du niveau d'accès correspondant à votre stratégie d'accès ou aux permissions autorisées. Exemples : Ressource Web X_accès complet_tous les utilisateurs ; Ressource Web X_accès limité_utilisateurs itinérants ; Ressource Web X_accès complet_administrateurs ; Partage de fichiers Z_toutes les actions_tous les utilisateurs ; Partage de fichiers Z_actions restreintes_machines inconnues. Rien ne vous empêche de modifier les noms des stratégies par défaut. Pour modifier le nom d'une stratégie 1. Sélectionnez la stratégie dans le panneau de détails (à droite) de la console. 2. Au bas du panneau de détails, cliquez sur Modifier les propriétés de stratégie. 3. Modifiez le nom de la stratégie dans la boîte de dialogue Propriétés de stratégie, puis enregistrez la stratégie. Configuration des paramètres de stratégie pour contrôler les actions des utilisateurs Les stratégies définies pour les ressources ouvertes via le navigateur (ressources Web, partages de fichiers, courrier électronique et centres d'accès) vous permettent de contrôler non seulement l'accès, mais aussi les types d'action que les utilisateurs peuvent effectuer sur la ressource. Les paramètres de stratégie vous permettent d'autoriser ou de refuser des contrôles d'opérations spécifiques. Ces paramètres peuvent être configurés dans l'assistant de stratégie ou dans la boîte de dialogue de propriétés de stratégie. Les paramètres de stratégie disponibles lors de la création d'une stratégie sont fonction du type de ressource que vous voulez protéger et de votre environnement. Ainsi, si la batterie de serveurs d'accès n'est liée à aucune batterie Citrix Presentation Server, le paramètre de permission d'association de type de fichier n'est pas disponible.

Chapitre 9 Contrôle de l'accès à l'aide de stratégies 159 Suivant le type de ressource et votre configuration de batterie, vous pouvez autoriser ou refuser les paramètres de stratégie suivants : Paramètre de stratégie Accès Bypass URL Rewriting (Éviter la réécriture d'url) Téléchargement Envoi comme pièce jointe Association de type de fichier Description Permet aux utilisateurs d'accéder à la ressource à l'aide d'un navigateur Web ou du client Secure Access Client. Dans le cas du courrier électronique Web, ce paramètre donne accès à l'ensemble des fonctionnalités fournies par l'application de courrier électronique Web (visualisation et envoi d'e-mails, gestion de calendrier, consultation du carnet d'adresses, etc) mais pas aux pièces jointes. L'accès aux pièces jointes des e-mails est autorisé grâce à la permission Envoi comme pièce jointe. Pour les ressources réseau, la permission «Accès» permet une connexion VPN directe à la ressource à l'aide du client Secure Access Client. La permission «Accès» est la seule qui puisse être configurée pour les ressources réseau. Permet la récupération d'une ressource Web par le navigateur sans que l'adresse URL de la ressource soit réécrite par le composant proxy Web d'advanced Access Control. Par défaut, les adresses URL sont réécrites par le proxy Web. Pour plus d informations, veuillez consulter le chapitre «Contournement de la réécriture d'url», page 167. Autorise l'envoi de documents ou de pièces jointes d'e-mail vers le navigateur de l'utilisateur sous la forme de contenus HTTP et leur enregistrement sur la machine cliente locale. Le navigateur traite alors le contenu en fonction de son type MIME. Autorise les utilisateurs à joindre des documents à leurs e-mails. Ce contrôle permet aux utilisateurs d'envoyer des documents par e-mail sans nécessité d'autres contrôles d'opérations (telles que Téléchargement) correspondant à l'envoi du document vers la machine cliente. Autorise les utilisateurs à ouvrir des documents à l'aide d'applications publiées à l'aide de Citrix Presentation Server. Cette permission autorise les utilisateurs à ouvrir et à modifier des documents enregistrés sur des serveurs situés dans un environnement approuvé, évitant ainsi l'envoi de ces documents sur leurs machines clientes. L'association de type de fichier ne peut être utilisée que pour les types de document associés à une application publiée et nécessite une configuration appropriée du point d'ouverture de session.

160 Guide de l'administrateur Access Gateway édition Advanced Paramètre de stratégie Aperçu HTML Live Edit Téléchargement vers le serveur Description Autorise les utilisateurs à visualiser des contenus non HTML dans un navigateur sans nécessiter l'exécution d'un logiciel client supplémentaire. Ceci est possible pour une large gamme de machines clientes (y compris pour les machines de petites tailles). Les utilisateurs ont besoin de ce contrôle d'accès ou du contrôle Téléchargement pour visualiser un document HTML sur un partage de fichiers. Cette fonctionnalité n'est disponible que pour les types de document pour lesquels un logiciel de conversion est installé sur un serveur Web de la batterie. Au moins un serveur Web doit disposer du logiciel de conversion et doit être désigné pour tenir le rôle de serveur d'aperçu HTML. Autorise les utilisateurs à modifier des documents distants à l'aide du client Live Edit (contrôle ActiveX). Un utilisateur peut alors facilement modifier et enregistrer des documents sans devoir les télécharger vers sa machine, puis les télécharger vers la machine distante dont ils proviennent. Autorise les utilisateurs à enregistrer de nouveaux documents et à remplacer des fichiers existants sur un partage de fichiers. Autorisation de l'accès à des contenus Web standard Le seul paramètre de stratégie s'appliquant aux contenus Web standard est le paramètre Accès. Le terme «contenu Web standard» fait référence aux types de document généralement visualisés à l'aide d'un navigateur. Ces documents sont simplement téléchargés vers la machine cliente comme c'est le cas lors d'une navigation ordinaire. Ils ne sont pas l'objet des divers contrôles d'accès (tel que pour l'aperçu HTML ou Live Edit, par exemple) applicables aux autres types de document. Les documents des types suivants sont considérés comme des contenus Web standard : Texte : Applications : Images : HTML, CSS, XML, X-component Script X-Java, S-Component GIF, JPEG, PNG

Chapitre 9 Contrôle de l'accès à l'aide de stratégies 161 Autorisation de l'association de type de fichier Autoriser l'association de type de fichier pour une ressource permet aux utilisateurs d'ouvrir la ressource à partir d'une application exécutée sur un serveur Citrix Presentation Server. S'il s'agit du seul moyen proposé pour modifier des documents d'une ressource, vous avez la garantie que les modifications seront effectuées sur le serveur et non pas sur la machine cliente, ce qui renforce la sécurité. Par exemple, vous pouvez autoriser l'association de type de fichier pour un partage de fichiers sur lequel les employés enregistrent des rapports de réunion de projet, mais ne pas autoriser les téléchargements. Pour permettre l'association de type de fichier, il est nécessaire que les conditions suivantes soient remplies : Les utilisateurs doivent disposer d'un Client Citrix Presentation Server sur leurs machines clientes. Les utilisateurs doivent établir leurs connexions via des points d'ouverture de session configurés pour Citrix Presentation Server. Les utilisateurs doivent être associés aux applications voulues dans Citrix Presentation Server. Citrix Presentation Server est configuré pour fonctionner avec Advanced Access Control. Autorisation de l'aperçu HTML Autoriser l'aperçu HTML donne aux utilisateurs la possibilité de visualiser des contenus non HTML dans un navigateur sans logiciel client supplémentaire. L'aperçu HTML permet d'afficher les documents : en lecture seule ; sur une vaste gamme de machines même lorsque l'application associée n'est pas disponible ; sur des machines de petites tailles (des ordinateurs de poche, par exemple). Cette fonction a été développée principalement pour permettre aux utilisateurs de visualiser des documents même lorsqu'ils ne possèdent pas l'application appropriée sur la machine cliente. Cela peut être utile pour les employés en déplacement désirant afficher des documents à partir de kiosques publics, de leurs ordinateurs de poche ou de machines n'appartenant pas à l'entreprise. Pour plus d'informations sur les configurations nécessaires pour prendre en charge l'aperçu HTML dans la batterie de serveurs, veuillez consulter la section «Configurations requises pour l'aperçu HTML», page 51.

162 Guide de l'administrateur Access Gateway édition Advanced Autorisation de l'envoi comme pièce jointe Autoriser l'envoi comme pièce jointe permet aux utilisateurs d'envoyer des documents par e-mail à partir d'un serveur distant, sans devoir télécharger les documents sur les machines clientes. Vous pouvez accorder ce contrôle d'accès en parallèle ou dans des conditions similaires à celles évoquées pour l'aperçu HTML. Cela peut présenter un intérêt, par exemple, pour les employés en déplacement lorsqu'ils utilisent des machines clientes non reconnues ou non approuvées. Ils sont alors capables de consulter des documents, de rédiger des commentaires dans une version Web de leur application de courrier électronique et de joindre ces documents à leur e-mail. Il n'est pas nécessaire pour cela qu'ils téléchargent le document sur la machine cliente. Autorisation de la fonction Live Edit Live Edit est une fonction très pratique qui permet aux utilisateurs de modifier des documents à distance à l'aide d'un contrôle ActiveX. Un utilisateur peut alors facilement modifier et enregistrer des documents sans devoir les télécharger vers sa machine, puis les télécharger vers la machine distante dont ils proviennent. Le fonctionnement de Live Edit dépend de certains autres contrôles d'opérations que vous pouvez autoriser ou non pour la même ressource. «Live Edit» autorisé sans autres contrôles d'opérations.les utilisateurs peuvent enregistrer le document à l'emplacement d'origine. «Live Edit» et «Envoi comme pièce jointe» autorisées.les utilisateurs peuvent enregistrer les documents sur leurs machines clientes locales et les envoyer par e-mail à partir de sessions Live Edit. «Live Edit» et «Téléchargement» autorisés.les utilisateurs peuvent enregistrer les documents sur leurs machines clientes locales. «Live Edit» et «Téléchargement vers le serveur» autorisés.les utilisateurs peuvent enregistrer les documents sur leurs machines clientes locales. Ils ont la possibilité de télécharger (enregistrer) les documents sur les partages de fichiers publiés. L'option Publier pour les utilisateurs dans leur liste de ressources est sélectionnée dans les propriétés des partages de fichiers publiés. Pour plus d'informations sur la configuration requise pour l'utilisation de Live Edit dans votre environnement, consultez la section «Configurations requises pour la fonction Live Edit», page 55.

Autoriser l'ouverture de session Chapitre 9 Contrôle de l'accès à l'aide de stratégies 163 Le privilège d'ouverture de session est considéré comme une ressource, ce qui vous permet de le sécuriser à l'aide de stratégies tout comme les autres ressources. Vous pouvez ainsi configurer des conditions requises supplémentaires (outre celle de fournir des informations d'identification authentifiables) que les utilisateurs doivent satisfaire pour pouvoir ouvrir une session sur votre réseau. Cette ressource est appelée : «Autoriser l'ouverture de session». Comme les autres ressources, elle peut être sélectionnée lors de la création d'une stratégie d'accès. Les utilisateurs ne peuvent ouvrir une session que si vous avez créé une stratégie d'accès leur permettant de le faire. Pour permettre aux utilisateurs d'ouvrir une session 1. Ouvrez la boîte de dialogue de propriétés d'une stratégie d'accès existante ou créez une nouvelle stratégie d'accès. Pour ouvrir la boîte de dialogue de propriétés d'une stratégie existante, sélectionnez Stratégies, puis cliquez sur Gérer les stratégies dans la section Tâches courantes. Recherchez la stratégie voulue, cliquez dessus avec le bouton droit de la souris, puis choisissez Modifier une stratégie. Pour créer une nouvelle stratégie, sélectionnez Stratégies dans l'arborescence de la console, puis cliquez sur Créer une stratégie d'accès dans la section Tâches courantes. 2. Sur la page Ressource, sélectionnez Autoriser l'ouverture de session. 3. Sur la page Paramètres, rechercher la ressource Autoriser l'ouverture de session, puis sélectionner Accès au-dessous. 4. Sélectionnez Activer cette stratégie pour contrôler ce paramètre, puis Autoriser à moins que refusé par une autre stratégie. Définitions des conditions d'affichage de la page d'ouverture de session Le point d'ouverture de session envoie la page d'ouverture de session au navigateur de la machine cliente, permettant ainsi à l'utilisateur d'entrer ses informations d'identification. Vous pouvez établir des conditions pour l'affichage de la page d'ouverture de session en requérant pour cela la réussite d'une analyse de point de terminaison.

164 Guide de l'administrateur Access Gateway édition Advanced Cette fonctionnalité vous permet de sécuriser votre page d'ouverture de session. Par exemple, vous pouvez créer une analyse de point de terminaison vérifiant que la machine cliente dispose au moins du niveau de protection anti-virus requis. Les machines clientes ne répondant pas à ce critère pourraient héberger un virus ou un programme destiné à enregistrer les frappes clavier d'un utilisateur à son insu. Ces programmes peuvent mémoriser et dérober les informations d'identification des utilisateurs lorsqu'ils ouvrent une session. Vous pouvez définir les conditions pour l'affichage de la page d'ouverture de session en modifiant les propriétés de point d'ouverture de session. Un utilisateur dont la machine cliente ne satisfait pas les conditions spécifiées et qui essaie d'ouvrir la page d'ouverture de session reçoit un message d'accès refusé. Si vous ne définissez aucune condition dans la section Visibilité des propriétés de ce point d'ouverture de session, tout utilisateur autorisé à accéder à l'adresse URL de la page d'ouverture de session peut visualiser cette page. Pour définir des conditions d'affichage de la page d'ouverture de session 1. Dans l'arborescence de la console, sélectionnez le point d'ouverture de session, puis cliquez sur Modifier un point d'ouverture de session dans la section Tâches courantes. 2. Dans la boîte de dialogue de propriétés du point d'ouverture de session, sélectionnez la page Visibilité. 3. Sélectionnez l'option Afficher la page d'ouverture de session. 4. Si vous voulez définir des conditions que la machine cliente se connectant doit remplir pour l'affichage de la page d'ouverture de session, définissez ces conditions à l'aide du constructeur d'expression. A. Insérez les opérateurs logiques AND, OR et NOT appropriés et cliquez sur Résultat d'analyse de point de terminaison pour sélectionner les analyses appropriées parmi celles déjà configurées. B. Vérifiez le résultat de l'instruction logique dans l'aperçu d'expression. Remarque : le constructeur d'expression n'est pas disponible tant que vous n'avez pas créé d'analyses de point de terminaison. L'objet Racine affiché dans le constructeur d'expression n'affecte pas l'expression logique. La racine correspond au début de l'arborescence de votre expression.

Chapitre 9 Contrôle de l'accès à l'aide de stratégies 165 Exemple 1 : expression utilisant une analyse Pour créer une expression requérant l'exécution sur la machine cliente d'une version au moins égale à une version minimale de McAfee VirusScan, cliquez sur Résultat d'analyse de point de terminaison, puis choisissez le résultat d'analyse pour l'application antivirus. Le constructeur d'expression contient alors : Analyses Citrix pour McAfee VirusScan.nom_analyse.McAfee VirusScan vérifié nom_analyse représente le nom que vous avez donné à l'analyse lors de sa création. Exemple 2 : création d'une expression conditionnelle avec l'opérateur OR Dans cet exemple, l'objectif est de représenter la condition suivante : «Afficher la page d'ouverture de session aux utilisateurs dont la machine cliente exécute une version au moins égale à une version minimale de McAfee VirusScan ou de McAfee VirusScan Enterprise». Avant de construire cette expression conditionnelle, vous devez créer une analyse de point de terminaison pour les versions minimales requises de McAfee VirusScan et de McAfee VirusScan Enterprise. Remarque : cet exemple requiert la configuration de deux analyses de point de terminaison pour vérifier si la machine cliente exécute McAfee VirusScan ou McAfee VirusScan Enterprise. Pour plus d'informations sur la création d'analyses, veuillez consulter la section «Création d'analyses de point de terminaison», page 193. 1. Sélectionnez l'objet Racine dans l'arborescence, puis cliquez sur OR. 2. Cliquez sur Résultat d'analyse de point de terminaison, puis choisissez le résultat d'analyse correspondant à McAfee VirusScan. 3. Cliquez sur Résultat d'analyse de point de terminaison, puis choisissez le résultat d'analyse correspondant à McAfee VirusScan Enterprise. L'arborescence de l'expression a alors la forme suivante. Racine OR Analyses Citrix pour McAfee VirusScan.nom_analyse. McAfee VirusScan vérifié Analyses Citrix pour McAfee VirusScan Enterprise. nom_analyse. McAfee VirusScan Enterprise vérifié nom_analyse représente les noms que vous avez donnés aux analyses.

166 Guide de l'administrateur Access Gateway édition Advanced Exemple 3 : création d'une expression conditionnelle avec l'opérateur NOT L'exemple suivant illustre la construction d'une expression conditionnelle utilisant l'opérateur NOT. Pour réussir cette condition complexe, la machine cliente doit disposer de la version requise de McAfee VirusScan ou de McAfee VirusScan Enterprise mais ne peut pas utiliser le navigateur Web Mozilla Firefox. Remarque : cet exemple requiert la configuration de trois analyses de point de terminaison pour vérifier si la machine client exécute McAfee VirusScan ou McAfee VirusScan Enterprise et vérifier également si la machine est connectée à l'aide du navigateur Mozilla Firefox. Pour plus d'informations sur la création d'analyses, veuillez consulter la section «Création d'analyses de point de terminaison», page 193. 1. Sélectionnez l'objet Racine dans l'arborescence, puis cliquez sur AND. 2. Cliquez sur OR. 3. Cliquez sur Résultat d'analyse de point de terminaison, puis choisissez le résultat d'analyse correspondant à McAfee VirusScan. 4. Cliquez sur Résultat d'analyse de point de terminaison, puis choisissez le résultat d'analyse correspondant à McAfee VirusScan Enterprise. 5. Sélectionnez l'objet AND créé à l'étape 1, puis cliquez sur NOT. 6. Cliquez sur Résultat d'analyse de point de terminaison, puis choisissez le résultat d'analyse correspondant à Mozilla Firefox. L'arborescence de l'expression a alors la forme suivante : Racine AND OR Analyses Citrix pour McAfee VirusScan.nom_analyse. McAfee VirusScan vérifié Analyses Citrix pour McAfee VirusScan Enterprise. nom_analyse. McAfee VirusScan Enterprise vérifié NOT Analyses Citrix pour Mozilla Firefox.nom_analyse. Connexion de Mozilla Firefox vérifiée nom_analyse représente les noms que vous avez donnés aux analyses. L'aperçu de l'expression affiche l'instruction logique suivante : ((Analyses Citrix pour McAfee VirusScan.nom_analyse. McAfee-VirusScan OU Analyses Citrix pour McAfee VirusScan Enterprise vérifié.nom_analyse. McAfee VirusScan Enterprise vérifié) AND (NON Analyses Citrix pour Mozilla Firefox.nom_analyse. Connexion de Mozilla Firefox vérifiée))

Chapitre 9 Contrôle de l'accès à l'aide de stratégies 167 nom_analyse représente les noms que vous avez donnés aux analyses. Remarque concernant cet exemple : Par défaut, l'opérateur NOT est équivalent à OR NOT. Si vous voulez utiliser la logique AND NOT, sélectionnez l'opérateur AND avant l'opérateur NOT, comme dans l'exemple précédent. Le pack d'analyse Mozilla Firefox vérifie un numéro de version minimum. Dans cet exemple, nous voulons vérifier toutes les versions connues. Pour les détecter, nous pouvons créer l'analyse pour vérifier que la machine cliente est connectée au moins à une version 0.1. Contournement de la réécriture d'url Par défaut, Access Gateway réécrit les adresses URL des ressources Web à l'aide d'un composant proxy Web prédéfini. Les serveurs Web de la batterie servent de proxies pour les adresses URL de ces ressources internes. Si vous paramétrez la stratégie pour contourner la réécriture d'url, vous réduisez les possibilités que vous avez de définir plusieurs niveaux d'accès. Cela se produit lorsque certains contrôles d'action (paramètres de stratégie) ne sont pas disponibles pour la ressource à moins que la réécriture des adresses URL par le proxy Web ne soit utilisée. Dans certaines documentations, on parle d'éviter ou de contourner le proxy Web. Il peut être préférable d'éviter la réécriture des adresses URL dans les cas suivants : pour améliorer les performances des serveurs Web de la batterie ; pour permettre des connexions SSL de bout en bout entre le navigateur de la machine cliente et le serveur Web hébergeant la ressource ; pour donner aux utilisateurs l'accès aux sites Web internes ne permettant pas ou ne fonctionnant pas correctement avec la réécriture d'url ; pour fournir un accès aux ressources Web stockées sur un serveur Web hébergeant Advanced Access Control. Informations relatives à la réécriture d'url Prenez en compte les informations suivantes lorsque vous décidez d'utiliser ou d'éviter la fonction de réécriture d'url : Si vous sélectionnez l'option Bypass URL Rewriting (Éviter la réécriture d'url) pour une ressource Web, toutes les adresses URL liées au nom d'hôte seront sujettes à l'option et le proxy Web ne sera pas utilisé pour elles. Par exemple, si vous sélectionnez l'option d'adresse

168 Guide de l'administrateur Access Gateway édition Advanced http://www.serveur1.entreprise.com/dossier1/dossier2, le proxy Web ne sera utilisé pour aucune adresse du domaine serveur1.entreprise.com, pas même pour les adresses non spécifiées dans la ressource Web. Les utilisateurs ne peuvent pas accéder aux ressources Web stockées sur le serveur Web hébergeant Advanced Access Control sauf si la fonction de réécriture d'url est évitée. Pour autoriser l'accès, vous devez créer une stratégie pour les ressources Web et sélectionner Bypass URL Rewriting dans les paramètres de la stratégie. Assurez-vous que les sites Web que vous rendez accessibles sont protégés contre d'éventuelles agressions, entre autres contre les attaques XSS (Cross-Site Scripting) et les injections SQL. En cas d'utilisation du proxy Web pour réécrire les URL des ressources Web, toutes les ressources semblent résider sur le serveur proxy Web. Dans ce cas, vous ne pouvez pas dépendre de la stratégie de script JavaScript «de même origine» pour empêcher des scripts malveillants d'un serveur d'accéder aux propriétés des ressources d'un autre serveur. En effet, les ressources de l'ensemble des serveurs semblent alors partager la même origine. Pour contourner la réécriture d'url Sélectionnez Bypass URL Rewriting dans les paramètres de la stratégie qui contrôle l'accès aux ressources Web. Important : lorsque vous définissez des ressources pour lesquelles la réécriture d'url doit être évitée, vous devez spécifier un serveur (par exemple, //serveur/). Toutes les adresses URL hébergées sur le serveur spécifié donnent alors lieu au contournement du proxy Web, même si elles apparaissent dans les propriétés d'autres ressources Web supposées ne pas contourner le proxy Web. Limites de l'accès par navigateur uniquement Si votre déploiement Advanced Access Control ne nécessite pas la présence de logiciels clients sur les machines clientes, il doit fournir un accès par navigateur uniquement. Dans ce cas, les utilisateurs n'ont besoin que d'un navigateur Web pour accéder aux ressources d'entreprise. La possibilité d'accéder par navigateur uniquement aux ressources Web dépend de la fonction de réécriture d'url du proxy Web. Certaines applications Web ne sont pas tout à fait compatibles avec la réécriture d'url ou ne permettent pas les fonctions de gestion de cookies nécessaires à l'accès par navigateur uniquement. Il est par conséquent préférable d'utiliser ces applications dans une interface de navigateur commune ou à l'aide d'un client via le boîtier Access Gateway.

Chapitre 9 Contrôle de l'accès à l'aide de stratégies 169 Plus une application Web tire parti des technologies avancées suivantes, plus il est probable de rencontrer des problèmes lors de son utilisation avec la fonction de réécriture d'url de proxy Web : animations Flash ; objets multimédias Shockwave ; contrôles ActiveX ; langages de script Java évolués. Prenez soin de tester le comportement des applications Web que vous avez l'intention de proposer par navigateur uniquement. Si elles ne se comportent pas comme prévu, envisagez les solutions suivantes. Contournement du proxy Web.Vous pouvez décider de contourner le proxy Web pour certains utilisateurs. Dans le cas d'utilisateurs distants (et éventuellement d'utilisateurs internes pour les déploiements d'enclaves sécurisées), cela implique l'utilisation du boîtier Access Gateway avec le client Secure Access Client. Pour plus d'informations sur le contournement du proxy, veuillez consulter la section «Contournement de la réécriture d'url», page 167. Ressources réseau. Pour permettre aux utilisateurs d'accéder directement à l'application à l'aide du client Secure Access Client, envisagez la création d'une ressource réseau. Les ressources réseau ne sont pas répertoriées dans les listes publiées des ressources des utilisateurs (comme, par exemple, sur l'interface d'accès). Interface de navigateur commune. Optez pour une interface de base indépendante du navigateur. Vous ne pourrez plus bénéficier dès lors d'un affichage ou de fonctionnalités évolué(es). Pour recourir à l'interface commune, ouvrez les propriétés de la ressource Web, accédez à la page Adresses URL, puis sélectionnez l'option Utiliser l'interface commune à tous les types de navigateur. Remarque : il n'est pas possible d'incorporer la fonctionnalité de basculement des boîtiers Access Gateway pour les utilisateurs accédant aux ressources Web par navigateur.

170 Guide de l'administrateur Access Gateway édition Advanced Création de stratégies de connexion Les stratégies de connexion contrôlent les connexions recourant au client Secure Access Client. Vous pouvez associer des filtres aux stratégies de connexion afin de définir quand celles-ci doivent être appliquées. Veillez à ne pas confondre les stratégies de connexion avec les stratégies d'accès : Stratégies de connexion : autorisent les connexions Secure Access Client et appliquent les paramètres relatifs à ces connexions. Vous devez autoriser l'utilisation du client Secure Access Client pour les connexions aux ressources réseau et pour la synchronisation des e-mails car ces types de ressource n'autorisent pas l'accès par navigateur uniquement. Les stratégies d'accès définissent les permissions d'accès aux ressources accordées à certains utilisateurs dans des conditions données. Par exemple, une stratégie d'accès détermine si oui ou non un groupe d'utilisateurs peut accéder à un partage de fichiers donné et si les utilisateurs de ce groupe peuvent accéder à l'aperçu HTML ou utiliser Live Edit pour modifier le fichier. Il est possible d'appliquer un filtre d'analyse continue à une stratégie de connexion. Un filtre d'analyse continue regroupe plusieurs analyses qui contrôlent en continu la connexion pendant toute la durée de la session de l'utilisateur. Si la machine cliente ne satisfait plus une des conditions requises définies dans le filtre d'analyse continue, la session est déconnectée. Pour créer une stratégie de connexion 1. Dans l'arborescence de la console, sélectionnez Stratégies > Stratégies de connexion, puis cliquez sur Créer une stratégie de connexion dans la section Tâches courantes. 2. Fournissez un nom et une description pour la stratégie.

Chapitre 9 Contrôle de l'accès à l'aide de stratégies 171 3. Configurez les paramètres de connexion que vous voulez appliquer en sélectionnant chacun de ces paramètres, puis en sélectionnant Oui ou Non pour l'autoriser ou le refuser. Vous devez autoriser le paramètre Démarrer le client Secure Access Client si accès autorisé pour permettre l'accès aux autres paramètres. Les paramètres disponibles sont les suivants. Effectuer une authentification après une reprise du système : force l'authentification si la machine cliente est passée en veille ou en veille prolongée. Effectuer une authentification après une interruption du réseau : force l'authentification si la connexion réseau a été interrompue. Activer le split DNS : permet le basculement vers un DNS local pour l'utilisateur si le DNS distant n'est pas disponible. Par défaut, Access Gateway ne vérifie qu'un DNS distant pour l'utilisateur. Exécuter les scripts d'ouverture de session : permet l'exécution des scripts d'ouverture de session Windows à l'établissement de la connexion. La fonction de partage du bureau permet aux utilisateurs de mettre en partage leur bureau avec d'autres utilisateurs connectés au boîtier Access Gateway depuis un client Secure Access Client. Les utilisateurs peuvent ensuite mettre leur bureau en partage en cliquant avec le bouton droit de la souris sur l'icône Secure Access Client dans la zone de notification Windows et en sélectionnant Partage du bureau. 4. Si vous voulez attribuer des adresses IP uniques aux machines clientes, ajoutez et définissez les groupes d'adresses qui seront utilisés pour l'attribution des alias d'adresse. Sur l'écran de Définir une configuration de groupe d'adresses IP, cliquez sur Nouveau pour ajouter chaque groupe d'adresses IP. Access Gateway : entrez l'adresse IP du boîtier Access Gateway. Passerelle : entrez l'adresse IP de la passerelle par défaut si vous en utilisez une. Si vous n'utilisez pas de passerelle par défaut, vous pouvez laisser cette zone de texte vide. Chaque plage IP devrait être valide et inutilisée sur le réseau. Pour éviter des conflits d'attribution, vérifiez que les plages IP que vous configurez pour chaque boîtier Access Gateway sont uniques. Vous ne devriez pas attribuer la ou les même(s) plage(s) IP à plusieurs boîtiers Access Gateway.

172 Guide de l'administrateur Access Gateway édition Advanced Remarque : si vous ajoutez des groupes d'adresses, vous devez redémarrer chaque boîtier Access Gateway de la batterie avant de disposer de ces groupes. Il est préférable de configurer les groupes IP lorsque ces redémarrages ne posent pas de problème. 5. Sélectionnez les filtres définissant les conditions nécessaires à l'application de la stratégie. Deux types de filtre sont disponibles : Des filtres définissant les conditions requises pour les points d'ouverture de session, l'authentification, les analyses de point de terminaison ou les certificats de client. Ce type de filtre vérifie les conditions requises une fois lors de l'ouverture de session. Des filtres d'analyse continue définissant des conditions requises en termes d'entrées de registre, de fichiers ou de processus à vérifier sur la machine cliente. Les conditions requises sont vérifiées pendant toute la durée de la session de l'utilisateur. 6. Sélectionnez les utilisateurs et les groupes d'utilisateurs auxquels la stratégie doit être appliquée. Création de stratégies pour les connexions Presentation Server Si vous créez des stratégies pour les connexions du client Secure Access Client à Citrix Presentation Server, vous devez : définir au moins un groupe d'adresses IP dans la boîte de propriétés de stratégie de connexion ; créer une ressource réseau incluant le ou les serveur(s) Presentation Server. Si aucun groupe d'adresses IP n'est défini, la machine cliente est identifiée par l'adresse IP du boîtier Access Gateway et se connecte directement au serveur Presentation Server sans être contrôlée par les stratégies attribuées aux ressources réseau définies pour les serveurs Presentation Server. Définition des priorités des stratégies de connexion Plusieurs stratégies de connexion pouvant s'appliquer à un même utilisateur, vous devez définir les priorités des stratégies de connexion. Les paramètres définis dans une stratégie de priorité plus élevée sont adoptés à la place de ceux d'une stratégie de priorité inférieure.

Chapitre 9 Contrôle de l'accès à l'aide de stratégies 173 Pour définir la priorité d'une stratégie de connexion 1. Dans l'arborescence de la console, sélectionnez Stratégies de connexion, puis cliquez sur Définir les priorités de stratégie de connexion dans la section Tâches courantes. 2. Sélectionnez une stratégie, puis utilisez les boutons fléchés afin de la déplacer vers la position voulue dans la liste établissant l'ordre de priorité. La stratégie ayant la plus haute priorité est affichée en haut de la liste. Création de filtres de stratégie Les filtres définissent dans quelles conditions une stratégie est appliquée. Exemple de description de stratégie : «Ne permettre que l'accès et l'aperçu HTML du partage de fichiers Rapports de ventes trimestriels pour les utilisateurs du service Ventes lorsqu'ils ouvrent une session à partir d'une machine cliente située en dehors du réseau sécurisé et disposant d'un certificat de client SSL.» La portion «lorsqu'ils ouvrent une session à partir d'une machine cliente située en dehors du réseau sécurisé et disposant d'un certificat de client SSL» de la description ci-dessus correspond à un filtre. Si vous authentifiez les utilisateurs distants via un point d'ouverture de session spécifique, vous pouvez effectuer un filtrage sur ce point d'ouverture de session et exiger l'utilisation d'un certificat de client. Vous pouvez configurer quatre types de condition pour un filtre. Points d'ouverture de session. Une condition de ce type applique la stratégie en fonction de l'adresse URL utilisée pour la connexion au réseau. Puissance d'authentification. Une condition de ce type applique la stratégie en fonction de l'authentification utilisée. Les options de filtre disponibles dépendent des configurations d'authentification définies. Pour plus d informations, veuillez consulter la section «Sécurisation des connexions utilisateur», page 117. Résultats d'analyse de point de terminaison. Une condition de ce type applique la stratégie en fonction des informations réunies par des analyses de point de terminaison effectuées sur la machine cliente. Vous devez configurer les analyses avant d'intégrer leurs résultats dans un filtre. Conditions de certificat de client requises. Une condition de ce type applique la stratégie en fonction de la présence de critères spécifiés dans le certificat de client SSL.

174 Guide de l'administrateur Access Gateway édition Advanced Les filtres sont nommés et il est possible de recourir à un même filtre pour plusieurs stratégies. Chaque stratégie n'utilise qu'un seul filtre. Pour obtenir des résultats équivalents à l'utilisation de plusieurs filtres, utilisez la fonction de filtre personnalisé. Elle permet de créer des filtres complexes contenant plusieurs filtres. Pour créer un filtre de stratégie Vous pouvez définir un filtre avant, pendant ou après la création de la stratégie à laquelle vous voulez l'associer. 1. Pour ouvrir l'assistant Nouveau filtre, effectuez l'une des opérations suivantes. Dans l'arborescence de la console, sélectionnez Stratégies > Filtres, puis cliquez sur Créer un filtre dans la section Tâches courantes. Sur l'écran Sélectionner un filtre d'un assistant de stratégie, cliquez sur Nouveau. 2. Fournissez un nom et une description pour le filtre. 3. Sélectionnez l'option Créer un filtre de base. 4. Si vous voulez appliquer la stratégie aux utilisateurs établissant une connexion via certains points d'ouverture de session, sélectionnez ces points d'ouverture de session. 5. Si vous souhaitez appliquer la stratégie en fonction de l'authentification utilisée, sélectionnez l'authentification. 6. Si vous voulez que la stratégie soit appliquée en fonction de résultats d'analyse de point de terminaison de la machine cliente, sélectionnez les résultats d'analyse voulus. 7. Si vous souhaitez appliquer la stratégie en fonction des informations requises dans un certificat de client SSL, sélectionnez Spécifier des critères de certificat de client SSL. Vous pouvez requérir la présence de certaines valeurs dans le certificat : nom commun, organisation, unité d'organisation. Vous ne pouvez pas spécifier de filtrage pour les valeurs de certificat de client SSL sauf si l'option de demande de certificats de client est sélectionnée dans les propriétés globales d'access Gateway (Boîtiers Access Gateway > Modifier les propriétés des boîtiers Access Gateway> Propriétés de client). N'utilisez pas de guillemets pour les valeurs nom commun, organisation ou unité d'organisation.

Chapitre 9 Contrôle de l'accès à l'aide de stratégies 175 Chacune des conditions de filtre est facultative. Par exemple, vous pouvez configurer un filtre fonction uniquement du point d'ouverture de session. L'opérateur logique appliqué pour combiner les conditions définies dans un filtre est l'opérateur AND. Les sélections effectuées au sein d'un type de condition sont combinées à l'aide de l'opérateur OR. Par exemple, si vos réglages de filtrage sont : Point d'ouverture de session A, Point d'ouverture de session B et Résultat d'analyse C, la stratégie est appliquée avec le filtrage suivant : (Point d'ouverture de session A ou Point d'ouverture de session B) et Résultat d'analyse C Création de filtres personnalisés Vous pouvez créer des filtres personnalisés recourant aux opérateurs logiques AND, OR et NOT. Les expressions logiques ainsi possibles vous permettent de créer des filtres adaptés à des scénarios plus complexes que ceux couverts par les filtres de base. Les filtres de base sont limités à la sélection de conditions combinées par l'assistant à l'aide de l'opérateur logique AND. Parce qu'ils sont créés à l'aide d'expressions logiques, les filtres personnalisés sont plus complexes et plus souples mais leur création est plus délicate. Il n'est pas obligatoire d'utiliser des filtres personnalisés. Des filtres de base peuvent suffire pour les configurations courantes. Pour faciliter l'administration, utilisez des filtres de base. Pour définir un filtre personnalisé à l'aide d'expressions logiques 1. Dans l'arborescence de la console, sélectionnez Stratégies > Filtres, puis cliquez sur Créer un filtre dans la section Tâches courantes. L'assistant Nouveau filtre apparaît. 2. Fournissez un nom et une description pour le filtre. 3. Sélectionnez l'option Créer un filtre personnalisé. 4. Sur l'écran Construire un filtre personnalisé, créez une expression représentant les conditions devant être remplies pour l'application de la stratégie à l'aide du constructeur d'expression logique. Créez l'expression logique en insérant les opérateurs AND, OR et NOT, ainsi que les éléments Point d'ouverture de session, Authentification, Résultat d'analyse de point de terminaison, Certificat de client ou d'autres filtres appropriés. L'objet Racine affiché dans le constructeur d'expression n'affecte pas l'expression logique. La racine correspond au début de l'arborescence de votre expression.

176 Guide de l'administrateur Access Gateway édition Advanced Exemple : création d'un filtre personnalisé Dans l'exemple considéré, votre stratégie de sécurité réseau consiste à refuser les privilèges d'ouverture de session aux utilisateurs des machines clientes exécutant Windows 2000, à moins que ces machines disposent du Service Pack 4 de Windows 2000 ou d'internet Explorer 6.0. L'objectif est de construire un filtre adapté à ce scénario et que vous pourrez ensuite associer à une stratégie intégrant le privilège «Autoriser l'ouverture de session». Avant de créer le filtre personnalisé, créez les analyses suivantes. 1. Utilisez le pack Analyses Citrix pour le service pack Windows afin de créer une analyse ayant les propriétés suivantes : conditions de règle : système d'exploitation = Windows 2000, paramètres régionaux de la machine cliente = tous ; Valeur de propriété à vérifier : Service Pack 4 2. Utilisez le pack Analyses Citrix pour Internet Explorer afin de créer une analyse ayant les propriétés suivantes : conditions de règle : système d'exploitation = Windows 2000, paramètres régionaux de la machine cliente = tous ; valeur de propriété à vérifier : version minimale requise : 6.0 Sur l'écran Construire un filtre personnalisé de l'assistant Nouveau filtre, suivez les étapes ci-dessous pour créer l'expression logique. 1. Cliquez sur OR. 2. Cliquez sur Résultat d'analyse de point de terminaison, puis choisissez le résultat d'analyse correspondant au Service Pack 4. 3. Cliquez sur le nœud OR déjà inséré, puis sur Résultat d'analyse de point de terminaison afin de sélectionner le résultat d'analyse correspondant à Internet Explorer, version 6.0. Le résultat apparaît sous la forme suivante : OR Analyses Citrix pour le service pack Windows.nom_analyse.Service pack Windows vérifié Analyses Citrix pour Internet Explorer.nom_analyse.Installation d'internet Explorer vérifiée nom_analyse représente les noms que vous avez donnés aux analyses. Pour d'autres exemples d'utilisation du constructeur d'expressions, consultez la section «Définitions des conditions d'affichage de la page d'ouverture de session», page 163.

Création de filtres d'analyse continue Chapitre 9 Contrôle de l'accès à l'aide de stratégies 177 Les filtres d'analyse continue utilisent des analyses continues pour définir les conditions requises pour l'application des stratégies de connexion. Chaque analyse continue vérifie un élément (fichier, processus ou entrée de registre) sur la machine cliente. Un filtre peut inclure une ou plusieurs analyses continues pour effectuer ses vérifications. Lorsqu'il est associé à une stratégie de connexion, le filtre définit toutes les conditions nécessaires devant être vérifiées par les analyses continues pour que la stratégie de connexion puisse être appliquée. Les stratégies Citrix Presentation Server peuvent utiliser des filtres de stratégie standard mais pas des filtres d'analyse continue. Pour plus d informations, veuillez consulter le chapitre «Intégration de Citrix Presentation Server», page 181. Pour plus d'informations sur les analyses continues, veuillez consulter la section «Création d'analyses continues», page 206. Pour créer un filtre d'analyse continue 1. Dans l'arborescence de la console, sélectionnez Stratégies > Filtres d'analyse continue, puis cliquez sur Créer un filtre dans la section Tâches courantes. 2. Fournissez un nom et une description pour le filtre. 3. Sur l'écran Configurer des conditions requises, créez une expression représentant les conditions que la machine cliente doit satisfaire à l'aide du constructeur d'expression logique. Insérez les opérateurs logiques AND, OR et NOT appropriés et cliquez sur Analyse de fichier, Analyse de processus et/ou Analyse de registre pour sélectionner les analyses appropriées parmi celles déjà configurées. L'objet Racine affiché dans le constructeur d'expression n'affecte pas l'expression logique. La racine correspond au début de l'arborescence de votre expression.

178 Guide de l'administrateur Access Gateway édition Advanced Exemple 1 : expression conditionnelle utilisant une analyse Dans cet exemple, l'objectif est de créer une expression requérant l'installation du fichier exécutable d'un logiciel anti-virus sur la machine cliente. Une analyse de fichier a déjà été configurée pour vérifier la présence de ce fichier. Sur l'écran Configurer des conditions requises de l'assistant de filtre d'analyse continue, cliquez sur Analyse de fichier, puis sélectionnez l'analyse de fichier. L'arborescence de l'expression a alors la forme suivante. Racine nom_analyse nom_analyse représente le nom que vous avez donné à l'analyse lors de sa création. Exemple 2 : expression conditionnelle utilisant deux analyses Dans cet exemple, l'objectif est de représenter la condition suivante : Les machines clientes doivent exécuter le processus de l'édition personnelle du parefeu A ou du pare-feu B. Avant de pouvoir construire l'expression conditionnelle correspondante, vous devez créer une analyse de processus pour le processus de l'édition personnelle du pare-feu A et une analyse de processus pour le processus de l'édition personnelle du pare-feu B. 1. Cliquez sur OR. 2. Cliquez sur Analyse de processus, puis sélectionnez l'analyse correspondant au processus de l'édition personnelle du pare-feu A. 3. Cliquez sur Analyse de processus, puis sélectionnez l'analyse correspondant au processus de l'édition personnelle du pare-feu B. L'arborescence de l'expression a alors la forme suivante. Racine OR nom_analyse_processus_a nom_analyse_processus_b nom_analyse_processus_a et nom_analyse_processus_b représentent les noms que vous avez donnés aux analyses. Pour d'autres exemples d'utilisation du constructeur d'expressions, consultez la section «Définitions des conditions d'affichage de la page d'ouverture de session», page 163.

Permission de l'accès à tout le réseau Chapitre 9 Contrôle de l'accès à l'aide de stratégies 179 La ressource «Tout le réseau» représente tous les serveurs et services visibles de votre réseau sécurisé. Si des stratégies autorisent la connexion et l'accès à cette ressource, un utilisateur du client Secure Access Client peut accéder à ces serveurs et services via un tunnel VPN créé entre sa machine cliente et le réseau. La ressource «Tout le réseau» est une ressource réseau prédéfinie dont les propriétés ne peuvent pas être modifiées ni supprimées. Pour contrôler les conditions devant être satisfaites pour permettre l'accès à cette ressource, vous devez créer des stratégies d'accès comme pour les autres types de ressources. La ressource «Tout le réseau» vous permet de : configurer rapidement votre déploiement et d'en tester l'accès ; fournir un accès sans limite à une classe spéciale d'utilisateurs (administrateurs devant disposer d'un accès global leur permettant d'effectuer des opérations de restauration en cas de catastrophe, par exemple) ; fournir un accès ouvert par défaut, puis ensuite de créer des stratégies refusant l'accès à des ressources spécifiques en fonction de vos consignes de sécurité. L'autorisation de l'accès à la ressource «Tout le réseau» comprend les étapes générales suivantes. 1. Créez une stratégie d'accès pour la ressource «Tout le réseau», permettant l'accès à certains utilisateurs sélectionnés. 2. Créez une stratégie de connexion permettant les connexions des utilisateurs. 3. Filtrez les stratégies en fonction des conditions que vous voulez faire respecter. La ressource «Tout le réseau» incluant tous les serveurs visibles du réseau, veillez à n'en autoriser l'accès que dans les conditions appropriées. L'accès fourni avec cette ressource est vaste.

180 Guide de l'administrateur Access Gateway édition Advanced Vérification des informations de stratégie à l'aide du gestionnaire de stratégies Le gestionnaire de stratégies permet de rechercher les stratégies par ressource, utilisateurs et filtres. Il permet également d'effectuer des recherches par mot clé. Les résultats vous aident dans la planification, la gestion et le dépannage des stratégies. Voici quelques exemples d'informations que le gestionnaire de stratégies permet d'obtenir rapidement. Rechercher toutes les stratégies affectant un utilisateur ou un groupe d'utilisateurs spécifié. Afficher toutes les stratégies relatives à une ressource spécifiée. Répertorier toutes les stratégies utilisant un filtre spécifié. Rechercher toutes les stratégies contrôlant la permission d'ouverture de session. Pour rechercher des stratégies et des paramètres 1. Ouvrez le gestionnaire de stratégies en sélectionnant Stratégies dans la console, puis Gérer les stratégies dans la section Tâches courantes. 2. Saisissez différents mots clés dans les champs Ressources, Utilisateur et Filtre, puis cliquez sur le bouton Rechercher. Par exemple, pour rechercher toutes les stratégies associées à «tous les utilisateurs authentifiés», saisissez «tous» dans le champ Utilisateur. Par défaut, toutes les stratégies sont affichées lorsque vous ouvrez le gestionnaire de stratégies. Vous pouvez à tout moment cliquer sur Effacer pour annuler les saisies des champs de critères et afficher de nouveau toutes les stratégies. Cliquez deux fois sur un filtre pour en afficher les propriétés. Cliquez deux fois sur n'importe quelle colonne pour afficher les propriétés de la stratégie. Cliquez sur un en-tête de colonne pour filtrer les entrées de cette colonne par ordre alphabétique. Cliquez de nouveau sur la colonne pour filtrer dans l'ordre inverse. Remarque : le gestionnaire de stratégies ne présente pas certains résultats filtrés du contrôle de stratégie aux clients connectés en temps réel, tels que le groupe de permissions d'accès obtenu après la prise en compte des analyses de point de terminaison ou des analyses continues.

CHAPITRE 10 Intégration de Citrix Presentation Server Vous pouvez intégrer Advanced Access Control avec Citrix Presentation Server afin que les utilisateurs puissent accéder facilement à toutes leurs ressources (y compris à leurs applications publiées) à partir d'une interface commune. Par exemple, il est possible d'incorporer un site Citrix Access Platform dans l'interface d'accès. L'interface d'accès est une page de navigation fournie avec Advanced Access Control qui peut répertorier des applications publiées disponibles à côté d'autres ressources accessibles, telles que les ressources Web, les partages de fichiers, etc. Vous pouvez aussi partager les informations collectées par Advanced Access Control afin d'étendre les possibilités de contrôle d'accès dont Citrix Presentation Server dispose grâce à ses stratégies. En intégrant des filtres Advanced Access Control dans des stratégies Citrix Presentation Server, vous pouvez contrôler à quelles applications publiées les utilisateurs peuvent accéder et quelles opérations ils peuvent effectuer dans ces applications après y avoir accédé. Vous pouvez ainsi créer des stratégies Citrix Presentation Server pour permettre différents scénarios d'accès en fonction de divers facteurs tels que la puissance d'authentification, le point d'ouverture de session et certaines informations relatives à la machine cliente (des résultats d'analyse de point de terminaison, par exemple). Il est ainsi possible d'inclure des informations d'analyse de point de terminaison collectées par Advanced Access Control dans une stratégie Citrix Presentation Server afin de déterminer l'accès à fournir pour une application publiée. Vous pouvez aussi activer de façon sélective le mappage des lecteurs clients, le copier-coller et l'impression locale en fonction du point d'ouverture de session utilisé pour accéder à l'application publiée.

182 Guide de l'administrateur Access Gateway édition Advanced La section suivante aborde les déploiements pris en charge ainsi que les procédures à suivre pour l'intégration de Citrix Presentation Server avec Advanced Access Control. Pour permettre la transmission des informations Advanced Access Control à Citrix Presentation Server pour l'évaluation des stratégies, vous devez aussi suivre les étapes ci-dessous : création d'au moins un filtre dans Advanced Access Control : pour plus d'informations sur la création de filtres, veuillez consulter la section «Création de filtres de stratégie», page 173. création de stratégies Citrix Presentation Server faisant référence à un ou plusieurs filtre(s) Advanced Access Control : pour plus d'informations sur la création de stratégies, veuillez consulter le Guide de l'administrateur Citrix Presentation Server. Remarque : les stratégies Citrix Presentation Server peuvent utiliser des filtres de stratégie standard mais pas des filtres d'analyse continue. Liaison entre Advanced Access Control et Citrix Presentation Server Pour permettre à Citrix Presentation Server d'autoriser les connexions à partir d'advanced Access Control, suivez les étapes ci-dessous. 1. Vérifiez que les ressources publiées sont associées aux mêmes groupes d'utilisateurs que ceux associés aux ressources dans la batterie de serveurs d'accès. 2. Dans Citrix Presentation Server : Activez Permettre les connexions via MetaFrame Secure Access Manager pour chaque ressource publiée (l'option est l'un des paramètres de type d'accès disponibles dans la boîte de dialogue de propriétés des ressources publiées). Dans la boîte de dialogue de propriétés de chaque serveur, sélectionnez l'option Faire confiance aux requêtes envoyées au Service XML Citrix.

Chapitre 10 Intégration de Citrix Presentation Server 183 3. Effectuez les étapes nécessaires à l'intégration des applications publiées dans votre déploiement. L'intégration peut être effectuée de l'une des manières suivantes. Intégration de l'interface Web Site Citrix Access Platform créé par l'interface Web. Permet l'affichage des applications publiées dans un site Citrix Access Platform. Pour plus d informations, veuillez consulter le chapitre «Intégration de l'interface Web», page 183. Association de type de fichier. Permet l'ouverture des documents dans une application associée exécutée sur un serveur dans une batterie Citrix Presentation Server. Pour plus d informations, veuillez consulter le chapitre «Configuration de l'association de type de fichier», page 189. Portails tiers. Permettent l'incorporation d'un site Citrix Access Platform dans un portail tiers (Microsoft SharePoint, par exemple). Pour plus d'informations, veuillez consulter la section «Intégration à des portails tiers», page 189. Advanced Access Control permet d'utiliser plusieurs méthodes pour l'intégration des sites Citrix Access Platform créés à l'aide de l'interface Web : Site Citrix Access Platform incorporé dans l'interface d'accès. Lorsque l'interface d'accès est utilisée comme page de démarrage par défaut, un site Citrix Access Platform est affiché à côté des partages de fichiers et des applications Web. Il est également possible de configurer l'interface d'accès pour afficher jusqu'à trois sites Presentation Server dans un onglet séparé. Site Citrix Access Platform configuré pour servir de page de démarrage par défaut pour un point d'ouverture de session. Une fois sa session ouverte, l'utilisateur accède au site Citrix Access Platform. Remarque : l'interface Web et sa documentation peuvent être téléchargées à partir du site Web Citrix, à l'adresse suivante : www.citrix.com.

184 Guide de l'administrateur Access Gateway édition Advanced Pour intégrer un site Citrix Access Platform Pour la création et la gestion des sites Citrix Access Platform intégrés avec Advanced Access Control, cette procédure nécessite l'utilisation de la version 4.2 de la console Access Management Console. La version 4.0 de la console ou de l'outil de ligne de commande ne permet pas de gérer des sites créés avec des versions ultérieures de la console. De plus, une fois qu'un site Citrix Access Platform est configuré avec la méthode d'accès Advanced Access Control, les utilisateurs ne peuvent y accéder que via Advanced Access Control. Les tentatives d'accès direct au site échouent. Suivez les étapes ci-dessous dans Advanced Access Control. 1. Configurez Citrix Presentation Server pour communiquer avec Advanced Access Control. Pour plus d'informations, veuillez consulter la section «Intégration de Citrix Presentation Server», page 181. 2. Créez une ressource Web pour le site Citrix Access Platform en adoptant les réglages suivants : Sélectionnez le type d'application Interface Web Citrix, version 4.2 ou ultérieure. Sélectionnez l'option Publier pour les utilisateurs dans leur liste de ressources. 3. Configurez les paramètres de stratégie adéquats pour la ressource Web faisant référence au site Citrix Access Platform. 4. Permettez l'accès au site Citrix Access Platform en adoptant l'une des méthodes ci-dessous : Faites en sorte que le site Citrix Access Platform s'affiche comme page de démarrage par défaut. Configurez un point d'ouverture de session utilisant l'application disposant de la plus haute priorité d'affichage comme page de démarrage. Faites en sorte que le site Citrix Access Platform soit l'application disposant de la plus haute priorité d'affichage. Incorporez un site Citrix Access Platform dans l'interface d'accès. Configurez un point d'ouverture de session pour utiliser l'interface d'accès comme page de démarrage. Le site Citrix Access Platform est incorporé sous la forme d'un cadre (frame) dans l'interface d'accès. Pour plus d'informations, veuillez consulter la section «Configuration de points d'ouverture de session», page 101.

Chapitre 10 Intégration de Citrix Presentation Server 185 Suivez les étapes ci-dessous dans l'interface Web. Pour plus d'informations sur la configuration de l'interface Web, veuillez consulter le Guide de l administrateur de l'interface Web. 1. Sélectionnez Utilisation d'advanced Access Control lors de la spécification d'une méthode d'accès pour le site. 2. Entrez l'adresse URL du service d'authentification d'advanced Access Control. Dans l'interface Web et dans Advanced Access Control, assurez-vous que les paramètres de contrôle de l'espace de travail, de basculement vers le client Java et de délai d'inactivité de session sont configurés correctement. Pour plus d'informations, veuillez consulter la section «Coordination des paramètres Advanced Access Control et des paramètres de l'interface Web», page 188. Affichage de plusieurs sites et mise en cache des informations d'identification Il est possible d'incorporer plusieurs sites Citrix Access Platform dans l'interface d'accès et de mettre en cache les informations d'identification utilisées lors de l'ouverture de session de ces derniers. Il est possible d'afficher jusqu'à trois sites Access Platform et d'autoriser chacun de ces sites à mémoriser ou non les informations d'identification nécessaires aux utilisateurs pour ouvrir une session. Utilisation de plusieurs sites Access Platform à partir de l'interface d'accès En autorisant l'affichage de plusieurs sites Access Platform dans l'interface d'accès, vous pouvez permettre l'accès à des applications publiées à partir de plusieurs batteries Presentation Server. Pour permettre l'affichage de ces sites dans Advanced Access Control, vous devez créer et exécuter un script Visual Basic modifiant les valeurs des champs CredentialCachingEnabled et MultipleWebInterfaceEnabled de la table FarmSettings de la base de données de configuration. Ce faisant, la présentation de l'interface d'accès change pour afficher jusqu'à trois sites. Les sites Access Platform apparaissent dans l'onglet Applications, tandis que le courrier électronique Web s'affiche dans l'onglet Courrier électronique. Les partages de fichiers et les sites Web publiés apparaissent quant à eux dans l'onglet de démarrage.

186 Guide de l'administrateur Access Gateway édition Advanced Utilisation de la mise en cache des informations d'identification Lorsque les utilisateurs ouvrent une session d'advanced Access Control, leurs informations d'identification sont transmises aux sites Access Platform. Si les informations d'identification fournies pour Advanced Access Control correspondent à celles utilisées pour le site Access Platform, l'ouverture de session de ce dernier se fait automatiquement. En outre, si le contrôle de l'espace de travail est activé au point d'ouverture de session, les applications publiées déconnectées dans la session précédente sont automatiquement reconnectées. En revanche, si les informations d'identification fournies sont différentes, les utilisateurs sont invités à saisir les informations d'identification correctes. Une fois leur session ouverte, les utilisateurs peuvent sélectionner l'option Mémoriser mon ouverture de session pour ne pas avoir à saisir de nouveau les informations d'identification du site Access Platform. Les utilisateurs peuvent également supprimer leurs informations d'identification mises en cache en cliquant sur l'icône Oublier mon ouverture de session. Remarque : si les utilisateurs décident de stocker des informations d identification fournies pour un site Access Platform et que leurs informations d'identification pour l'ouverture de session d'advanced Access Control sont modifiées par la suite, Advanced Access Control supprime automatiquement celles stockées lors de la prochaine ouverture de session. Les utilisateurs sont ensuite invités à saisir de nouveau leurs informations d'identification pour le site Access Platform. Lorsque la mise en cache des informations d'identification est activée, Advanced Access Control stocke lesdites informations dans la table UserData de la base de données de configuration. Lorsqu'un utilisateur ouvre une session, le proxy Web procède, dans la base de données de configuration, à la lecture des informations d'identification cryptées et les transfère au site Citrix Access Platform. Si la mise en cache des informations d'identification n'est pas activée ou si les informations mises en cache ne sont pas correctes, les utilisateurs sont invités à saisir les informations d'identification adéquates pour ouvrir une session du site Access Platform.

Chapitre 10 Intégration de Citrix Presentation Server 187 Maintien du contrôle de l'espace de travail Lorsque les utilisateurs ouvrent une session d'advanced Access Control, les informations d'identification saisies sont utilisées pour assurer le contrôle de l'espace de travail avec la batterie Presentation Server spécifiée dans les propriétés de batterie de serveur d'accès. Si des utilisateurs se servent d'un jeu d'informations d'identification pour ouvrir une session d'advanced Access Control et d'un autre pour ouvrir une session du site Access Platform, il est possible qu'ils ne puissent pas déconnecter ou reconnecter leurs applications lorsque l'affichage de plusieurs sites est activé. Pour conserver le contrôle de l'espace de travail pour les utilisateurs disposant de différents jeux d'informations d'identification, procédez comme suit : Associez chaque site Citrix Access Platform à la batterie lui correspondant, configurée dans Advanced Access Control. Définissez Secure Ticket Authority (STA) de façon à permettre l'authentification des utilisateurs auprès de la batterie. Pour plus d'informations sur la définition de STA, veuillez consulter la section «Configuration de l'authentification avec Citrix Presentation Server», page 115. Pour activer l'affichage de plusieurs sites Citrix Access Platform et autoriser la mise en cache des informations d'identification 1. Sur le serveur Advanced Access Control, créez un fichier.vbs contenant le script suivant : Dim object Dim farmsetting Set object = WScript.CreateObject("Citrix.Msam.Amc.BusinessObjects.FarmSett ingmanager") Set farmsetting = object.getfarmsetting () farmsetting.credentialcachingenabled = 1 farmsetting.multiplewebinterfaceenabled = 1 obj.updatefarmsetting (farmsetting) 2. Enregistrez, puis fermez le fichier. 3. Cliquez deux fois sur le fichier pour exécuter le script. Pour associer un site Citrix Access Platform à la batterie qui lui correspond Avant d'associer un site Access Platform à une batterie Presentation Server, vous devez configurer le site comme ressource Web et le publier pour le rendre accessible aux utilisateurs depuis l'interface d'accès. Si, lors de la configuration du site Access Platform comme ressource Web, vous ne sélectionnez pas Publier pour les utilisateurs dans leur liste de ressources, le site n'est pas disponible pour association avec une batterie Presentation Server.

188 Guide de l'administrateur Access Gateway édition Advanced 1. Dans l'arborescence de la console, sélectionnez le nœud de la batterie de serveurs d'accès, puis cliquez sur Modifier les propriétés de batterie dans la section Tâches courantes. 2. Sur la page Batteries Presentation Server, sélectionnez la batterie, puis cliquez sur Modifier. 3. Sur la page Interface Web, sélectionnez le site que vous souhaitez associer à la batterie. Pour assurer le fonctionnement du contrôle de l'espace de travail pour tous les utilisateurs, vous devez définir STA dans les propriétés des boîtiers Access Gateway. Pour plus d informations, veuillez consulter le chapitre «Configuration de l'authentification avec Citrix Presentation Server», page 115. Coordination des paramètres Advanced Access Control et des paramètres de l'interface Web Certains paramètres Citrix Presentation Server peuvent être configurés dans Advanced Access Control et dans l'interface Web. Cependant, plus d'un point d'ouverture de session peut faire référence à un site Citrix Access Platform intégré avec Advanced Access Control. Par conséquent, il est possible qu'un point d'ouverture de session incorpore le site Citrix Access Platform dans l'interface d'accès et qu'un autre point d'ouverture de session utilise le site comme page de démarrage par défaut. Cela peut entraîner des conflits avec certains paramètres d'application publiée. Pour assurer l'application voulue de vos réglages, suivez les instructions ci-dessous. Contrôle de l'espace de travail. Désélectionnez toutes les options de contrôle de l'espace de travail d'advanced Access Control pour tous les points d'ouverture de session dont la page de démarrage est un site Citrix Access Platform. Cela permet l'utilisation des paramètres configurés dans l'interface Web. Le contrôle de l'espace de travail peut être configuré à votre convenance pour tous les autres points d'ouverture de session. Basculement vers le client Java. Vérifiez que les points d'ouverture de session utilisant l'interface d'accès comme page de démarrage ont les mêmes réglages de basculement vers le client Java que le site Citrix Access Platform. Délai de session. Vérifiez que tous les points d'ouverture de session utilisent les mêmes réglages que le site Citrix Access Platform.

Chapitre 10 Intégration de Citrix Presentation Server 189 Configuration de l'association de type de fichier Lorsque l'association de type de fichier est autorisée, l'ouverture d'un document entraîne le démarrage d'une application associée sur un serveur de batterie Citrix Presentation Server. Par exemple, si un utilisateur ouvre un document sur un partage de fichiers configuré pour permettre l'association de type de fichier, le document est ouvert à l'aide d'une application publiée. L'association de type de fichier est disponible pour les ressources Web, les partages de fichiers et le courrier électronique Web. Pour configurer l'association de type de fichier pour les partages de fichiers, les ressources Web et le courrier électronique Web Avant de configurer l'association de type de fichier, vérifiez que les applications publiées dans Citrix Presentation Server sont configurées pour permettre les associations souhaitées. Par exemple, si vous souhaitez qu'une application publiée soit démarrée lorsque les utilisateurs ouvrent un fichier d'image bitmap (BMP), assurez-vous que les paramètres de l'application associent cette dernière aux fichiers.bmp. 1. Configurez Citrix Presentation Server pour communiquer avec Advanced Access Control. Pour plus d'informations, veuillez consulter la section «Intégration de Citrix Presentation Server», page 181. 2. Spécifiez la ou les batterie(s) que vous voulez lier à votre batterie de serveurs d'accès. Pour plus d'informations, veuillez consulter la section «Spécification de batteries de serveurs», page 97. 3. Spécifiez les batteries Citrix Presentation Server disponibles pour le point d'ouverture de session. Pour plus d'informations, veuillez consulter la section «Configuration de points d'ouverture de session», page 101. 4. Créez une stratégie d'accès pour le partage de fichiers, les ressources Web et les applications de courrier électronique Web, puis activez et autorisez la commande d'association de type de fichier. Pour plus d'informations, veuillez consulter la section «Configuration des paramètres de stratégie pour contrôler les actions des utilisateurs», page 158. Intégration à des portails tiers Vous pouvez intégrer un site Citrix Access Platform à un portail tiers (un portail SharePoint, par exemple) pour fournir une interface permettant d'accéder à des applications publiées, à des applications Web et à des contenus. Intégrer Advanced Access Control dans un tel déploiement permet un contrôle précis à base de stratégies sur les fichiers, les contenus et les applications Web et sur les applications publiées.

190 Guide de l'administrateur Access Gateway édition Advanced Important : l'interface Web pour Microsoft SharePoint est un composant Web part qui permet l'intégration d'une Interface Web dans SharePoint. Pour plus d'informations sur l'interface Web pour Microsoft SharePoint, veuillez consulter le site Web Citrix. L'intégration d'un site Citrix Access Platform ne peut être effectuée correctement que dans les portails tiers prenant en charge l'affichage des contenus Web IFRAME. Pour afficher un site Citrix Access Platform dans un portail 1. Configurez Citrix Presentation Server pour communiquer avec Advanced Access Control. Pour plus d'informations, veuillez consulter la section «Intégration de Citrix Presentation Server», page 181. 2. Créez une ressource Web pour le site Citrix Access Platform en adoptant les réglages suivants : Pour l'intégration avec SharePoint, sélectionnez le type d'application SharePoint avec Interface Web Part. Pour l'intégration avec un portail tiers générique, sélectionnez le type d'application Interface Web Citrix, version 4.2 ou ultérieure. 3. Sélectionnez l'option Publier pour les utilisateurs dans leur liste de ressources. 4. Configurez les paramètres de stratégie adéquats pour la ressource Web faisant référence au site Citrix Access Platform. 5. Créez une ressource Web pour le site SharePoint ou le portail tiers contenant le site Citrix Access Platform et configurez les paramètres de stratégie appropriés. 6. Dans l'interface Web, configurez un site Citrix Access Platform pour permettre l'accès à celui-ci au moyen d'advanced Access Control en : A. sélectionnant l'utilisation d'advanced Access Control lors de la spécification d'une méthode d'accès pour le site ; B. entrant l'adresse URL du service d'authentification d'advanced Access Control. 7. Dans l'interface Web et dans Advanced Access Control, assurez-vous que les paramètres de contrôle de l'espace de travail, de basculement vers le client Java et de délai d'inactivité de session sont configurés correctement. Pour plus d informations, veuillez consulter le chapitre «Coordination des paramètres Advanced Access Control et des paramètres de l'interface Web», page 188.

CHAPITRE 11 Vérification des configurations requises sur les machines clientes L'analyse de point de terminaison consiste à analyser une machine cliente et à recueillir diverses informations (présence et niveau de version du système d'exploitation, d'un logiciel anti-virus, d'un pare-feu ou d'un navigateur, par exemple). Cette analyse permet de s'assurer que la machine cliente possède les configurations requises avant de l'autoriser à se connecter à votre réseau. Vous pouvez assurer le contrôle de certains fichiers, certains processus et certaines entrées de registre sur la machine cliente pendant la session utilisateur pour vérifier que la machine continue de satisfaire les conditions requises. Les deux types d'analyse suivants sont disponibles : Les analyses de point de terminaison recueillent diverses informations concernant la machine cliente (présence et version du système d'exploitation, d'un logiciel anti-virus, d'un pare-feu ou d'un navigateur, par exemple). Ces informations peuvent faire partie d'un filtre dans le cadre d'une stratégie d'accès ou d'une stratégie de connexion. Une analyse de point de terminaison n'est exécutée qu'une seule fois à l'ouverture de session. Les analyses continues sont des analyses de la machine cliente effectuées de façon répétée tout au long de la session afin de vérifier que la machine cliente continue de satisfaire les conditions requises. Cette fonctionnalité empêche entre autre les utilisateurs de modifier l'état des conditions requises sur leurs machines clientes après l'établissement des connexions. Il existe différents types d'analyse continue : analyses de fichier, de processus et de registre. Pour plus d informations, veuillez consulter le chapitre «Création d'analyses continues», page 206.

192 Guide de l'administrateur Access Gateway édition Advanced Vous pouvez incorporer les informations détectées dans des stratégies afin d'accorder différents niveaux d'accès en fonction de la machine cliente. Par exemple, vous pouvez donner un accès complet avec permission de téléchargement aux utilisateurs itinérants se connectant à partir d'ordinateurs portables de l'entreprise, disposant d'un logiciel anti-virus et d'un pare-feu appropriés. En revanche, pour ceux qui se connectent à partir de kiosques ou d'ordinateurs personnels non approuvés, vous pouvez limiter le niveau d'accès offert à la prévisualisation des documents ou à leur modification sur des serveurs distants (sans téléchargement sur les machines clientes). L'analyse de point de terminaison effectue les opérations de base suivantes : examen initial de certaines informations sur la machine cliente pour déterminer les analyses à appliquer ; exécution de toutes les analyses applicables ; comparaison des valeurs de propriété détectées sur la machine cliente et des valeurs de propriété souhaitées répertoriées dans vos analyses configurées ; production d'un résultat confirmant ou non la présence des valeurs désirées. Lorsqu'un utilisateur essaie de se connecter via un point d'ouverture de session, la fonction d'analyse de point de terminaison vérifie les analyses filtrées pour le point d'ouverture de session. Toutes les analyses dont les conditions sont satisfaites par la machine cliente sont exécutées sur celle-ci à l'aide du logiciel client d'analyse de point de terminaison. Ces analyses produisent des résultats d'analyse : informations ou valeurs Vrai ou Faux relatives à des vérifications de propriétés. Remarque : les analyses Citrix pour Macintosh et les analyses Citrix pour type de navigateur ne nécessitent pas l'installation du logiciel client d'analyse de point de terminaison sur la machine cliente. Ces analyses peuvent directement recueillir leurs résultats à partir des informations que la machine cliente fournit au serveur, sans avoir recours au logiciel client d'analyse de point de terminaison. Notez que les analyses dont les conditions ne correspondent pas à la machine cliente ne sont pas exécutées sur cette dernière ; ce qui ne les empêche pas d'être associées à un résultat par défaut défini par le pack d'analyse (Faux, par exemple). L'analyse de point de terminaison se termine avant que la session de l'utilisateur n'utilise une licence.

Chapitre 11 Vérification des configurations requises sur les machines clientes 193 Pour configurer l'analyse de point de terminaison Pour configurer l'analyse de point de terminaison, suivez les étapes ci-dessous. 1. Identifiez les packs d'analyse permettant de vérifier les propriétés qui vous intéressent. 2. Créez des analyses en configurant les conditions de leur exécution et les propriétés à vérifier. 3. Ajoutez des règles supplémentaires si vous souhaitez qu'une analyse soit appliquée à plusieurs scénarios. 4. Utilisez les résultats des analyses dans des stratégies lorsque vous configurez des filtres de stratégie. 5. Déployez les logiciels clients vers vos utilisateurs. Vous pouvez consigner les analyses de point de terminaison dans un fichier journal via l'observateur d'événements. Pour obtenir plus d'informations sur l'audit des événements dans des fichiers journaux, veuillez consulter la section «Audit des accès aux ressources d'entreprise», page 263. Création d'analyses de point de terminaison Les analyses vérifient des propriétés spécifiques des machines clientes se connectant à votre réseau : version de logiciel anti-virus installée, appartenance à un domaine particulier, etc. Les analyses sont contrôlées par des règles qui définissent dans quelles conditions elles sont effectuées sur une machine cliente. Chaque règle inclut un ensemble de conditions, attributs dont la machine cliente doit disposer pour que l'analyse soit appliquée. La création d'une analyse inclut la définition des conditions requises pour l'exécution de l'analyse et la configuration des propriétés à vérifier. Remarque : pour obtenir plus d'informations sur les propriétés configurables d'une analyse spécifique, veuillez consulter la section «Propriétés d'analyse», page 281. Pour créer une analyse 1. Dans l'arborescence de la console, sélectionnez le pack d'analyse correspondant aux propriétés à analyser. 2. Dans la section Tâches courantes, cliquez sur Créer une analyse. 3. Donnez un nom à l'analyse.

194 Guide de l'administrateur Access Gateway édition Advanced 4. Sélectionnez les conditions d'exécution de l'analyse. 5. Donnez un nom de règle à l'ensemble de conditions et de propriétés que vous êtes en train de configurer. 6. Sélectionnez toutes les valeurs acceptables pour chaque condition. Une condition est remplie si la machine cliente satisfait une des valeurs que vous avez sélectionnée. L'assistant affiche un écran pour chaque condition. 7. Configurez les valeurs de propriété à vérifier. Par exemple, pour vous assurer que la machine cliente dispose d'une version de logiciel anti-virus ou d'une version ultérieure de ce logiciel, entrez le numéro de la version minimale. L'assistant affiche un écran pour chaque valeur de propriété que l'analyse vérifiera. Si l'analyse doit vérifier plusieurs valeurs de propriété, la machine cliente devra satisfaire toutes les conditions correspondantes. Les numéros de version doivent suivre le format type du produit spécifié et contenir au moins un point (par exemple, 2.1 ou 2.1.1). Pour obtenir plus d'informations sur les packs d'analyse individuels, ainsi que sur les propriétés pouvant être définies pour ces packs, veuillez consulter la section «Propriétés d'analyse», page 281. Après la création de l'analyse, vous pouvez ajouter des règles supplémentaires pour pouvoir l'appliquer à divers scénarios utilisateur. Utilisation des résultats d'analyse pour filtrer les stratégies Vous pouvez utiliser des résultats d'analyse de point de terminaison pour filtrer l'application des stratégies. Utiliser des résultats d'analyse pour le filtrage vous permet de sécuriser l'accès à votre réseau et à vos ressources en fonction des propriétés de la machine cliente utilisée pour la connexion. Le filtrage peut, par exemple, prendre en compte le niveau de protection de la machine cliente en termes de logiciels anti-virus ou pare-feu.

Chapitre 11 Vérification des configurations requises sur les machines clientes 195 Packs d'analyse Pour utiliser un résultat d'analyse dans une stratégie Les étapes suivantes décrivent la procédure générale à suivre pour utiliser les résultats d'analyse dans les stratégies. 1. Créez une analyse vérifiant les propriétés requises. 2. Créez un filtre de stratégie utilisant le résultat de l'analyse définie à l'étape 1. 3. Créez une stratégie et associez-la au filtre que vous avez créé à l'étape 2. Les étapes 2 et 3 ci-dessus peuvent être combinées dans l'assistant de stratégie. Utilisation de résultats d'analyse pour filtrer la visibilité de la page d'ouverture de session Vous pouvez utiliser les informations obtenues lors de l'analyse de la machine cliente pour filtrer l'accès à la page d'ouverture de session. Pour plus d informations, veuillez consulter le chapitre «Définitions des conditions d'affichage de la page d'ouverture de session», page 163. Les packs d'analyse vous permettent de créer des analyses vérifiant les propriétés des machines clientes, telles que la version de logiciel anti-virus installée. Chaque pack est conçu pour vérifier des propriétés ou des produits logiciels spécifiques. Les packs d'analyse sont répertoriés sous le nœud Analyse de point de terminaison de la console. Vous avez la possibilité d'examiner les propriétés d'un pack d'analyse dans la console et de lire les descriptions des résultats d'analyse correspondants. Les descriptions des résultats d'analyse permettent de savoir quelles sont les informations extraites ou vérifiées au sujet de la machine cliente. Le résultat d'une analyse peut se présenter sous deux formes différentes : Informations au sujet de la machine cliente. Par exemple, le pack «Analyses Citrix pour Trend OfficeScan» détecte et fournit une valeur correspondant à la version du produit Trend OfficeScan en cours d'exécution sur la machine cliente (si ce produit est en cours d'exécution). Valeur booléenne de type vrai/faux indiquant si les valeurs de propriété requises par l'analyse ont été détectées.

196 Guide de l'administrateur Access Gateway édition Advanced Pour visualiser les résultats d'analyse d'un pack d'analyse 1. Dans l'arborescence de la console, sélectionnez le pack d'analyse. 2. Dans le panneau de détails à droite, choisissez Propriétés dans le menu déroulant d'affichage. Le tableau des résultats d'analyse décrit chaque résultat généré par le pack. Ajout de règles dans des analyses Les règles sont des ensembles de conditions définissant quand appliquer une analyse et quelles valeurs de propriété vérifier. Il est possible d'appliquer plusieurs règles à une analyse. La première règle d'une analyse est définie à la création de l'analyse. Vous pouvez ensuite ajouter d'autres règles pour pouvoir appliquer l'analyse à divers scénarios. Par exemple, une analyse peut vérifier la présence de la version X d'un programme anti-virus sur les machines Windows NT. Vous pouvez ensuite créer une autre règle pour vérifier la présence de la version Y du même programme sur les machines dont le système d'exploitation est une version antérieure de Windows. Pour ajouter une règle 1. Sélectionnez l'analyse dans l'arborescence de la console, puis cliquez sur Créer une règle dans la section Tâches courantes. 2. Suivez les instructions fournies par l'assistant pour définir le nom de la règle, les conditions et les valeurs de propriété. Exemple : ajout de plusieurs règles dans une analyse Dans l'exemple considéré, la stratégie de sécurité réseau consiste à n'autoriser l'accès qu'aux utilisateurs des machines clientes disposant de Windows 2000 et de son Service Pack 4 ou de Windows XP et de son Service Pack 2. Une exception est acceptée pour les employés du bureau de Tokyo car le service informatique de ce bureau a décidé de ne pas installer le Service Pack 2 de Windows XP avant d'effectuer certains tests. Une analyse disposant de plusieurs règles peut vérifier la présence des services packs requis pour ces trois scénarios. L'environnement dispose d'un point d'ouverture de session appelé «Tokyo» pour les utilisateurs du bureau de Tokyo. Les points d'ouverture de session appliquent des paramètres aux connexions établies au moyen de leurs adresses URL. Pour créer une analyse permettant de vérifier les trois conditions requises du service pack, suivez les étapes ci-dessous.

Chapitre 11 Vérification des configurations requises sur les machines clientes 197 1. Utilisez le pack d'analyse Analyses Citrix pour le service pack Windows pour créer une analyse et sélectionnez la condition Point d'ouverture de session. 2. Définissez la première règle lors de la création de l'analyse. Effectuez les réglages suivants. Conditions : Définissez le système d'exploitation sur Windows 2000 et le point d'ouverture de session sur tous Valeur de propriété à vérifier : Définissez le service pack minimal requis sur Service Pack 4. 3. Ajoutez une seconde règle à l'analyse. Effectuez les réglages suivants. Conditions : Définissez le système d'exploitation sur Windows XP et le point d'ouverture de session sur tous, excepté Tokyo Valeur de propriété à vérifier : Définissez le service pack minimal requis sur Service Pack 2. 4. Ajoutez une troisième règle à l'analyse. Effectuez les réglages suivants. Conditions : Définissez le système d'exploitation sur Windows XP et le point d'ouverture de session sur Tokyo Valeur de propriété requise : Définissez le service pack minimal requis sur Service Pack 1. Utilisation des résultats d'analyse dans d'autres analyses Vous pouvez utiliser des résultats d'analyse dans d'autres analyses. Cela vous permet de faire dépendre l'exécution d'une analyse du résultat d'une autre analyse. Pour créer des conditions à partir des résultats d'une autre analyse Vous pouvez créer des conditions à partir de résultats d'analyse de trois façons différentes : Sélectionnez Analyse de point de terminaison ou choisissez une analyse dans l'arborescence de la console, puis cliquez sur Modifier la liste des conditions disponibles dans la section Tâches courantes. Dans l'écran Sélectionner les conditions de l'assistant Créer une analyse, sélectionnez Utiliser les résultats d'une autre analyse en tant que condition

198 Guide de l'administrateur Access Gateway édition Advanced Sélectionnez un résultat d'analyse dans la vue Propriétés d'une analyse, puis cliquez sur Créer une condition Exemple : utilisation du résultat d'une analyse en tant que condition Considérons l'exemple de deux divisions, Ventes et Finances, disposant chacune d'un domaine. La division Ventes requiert l'exécution du Programme anti-virus A sur les machines clientes se connectant à distance. La division Finances requiert l'exécution du Programme anti-virus B. Pour vérifier que les machines clientes exécutent la version de programme antivirus requise, suivez les étapes ci dessous. 1. Créez deux analyses de type Analyses Citrix pour l'appartenance à un domaine : une analyse de domaine Ventes pour vérifier que la machine cliente appartient au domaine Ventes ; une analyse de domaine Finances pour vérifier que la machine cliente appartient au domaine Finances. 2. Créez une analyse ne vérifiant que l'exécution du Programme anti-virus A sur les machines clientes du domaine Ventes. Sur l'écran Sélectionner les conditions de l'assistant Créer une analyse, cliquez sur Utiliser les résultats d'une autre analyse en tant que condition, puis désignez le résultat d'analyse pour le domaine Ventes, que vous avez créé à l'étape 1. Utilisez le résultat d'analyse «Domaine vérifié» de l'analyse de domaine Ventes comme condition et n'autorisez que la valeur «Vrai». 3. Créez une analyse ne vérifiant l'exécution du Programme anti-virus B que sur les machines clientes du domaine Finances. Sur l'écran Sélectionner les conditions de l'assistant Créer une analyse, cliquez sur Utiliser les résultats d'une autre analyse en tant que condition, puis désignez le résultat d'analyse pour le domaine Finances, que vous avez créé à l'étape 1. Utilisez le résultat d'analyse «Domaine vérifié» de l'analyse de domaine Finances comme condition et n'autorisez que la valeur «Vrai». Vous pouvez utiliser des résultats d'analyse dans des filtres personnalisés pour obtenir des résultats similaires dans des scénarios complexes.

Chapitre 11 Vérification des configurations requises sur les machines clientes 199 Modification des conditions et des règles Modification des conditions disponibles La liste des conditions disponibles d'une analyse est commune à toutes les règles de l'analyse. Les conditions disponibles sont celles que vous pouvez configurer pour les règles de l'analyse. Des interdépendances existent entre les diverses règles et conditions d'une analyse. Si vous modifiez la liste des conditions disponibles, prenez en compte les considérations suivantes : Si vous ajoutez une condition à la liste des conditions disponibles d'une analyse, toutes les règles existantes de l'analyse reçoivent la nouvelle condition avec toutes ses valeurs possibles sélectionnées. Pour vous assurer de ne pas modifier les conditions des règles existantes de façon inopportune, prenez soin de vérifier les propriétés des règles de l'analyse après avoir ajouté une condition à la liste des conditions disponibles. Pour retirer une condition de la liste des conditions disponibles d'une analyse, vous devez d'abord supprimer toutes les règles utilisant cette condition ou sélectionner toutes les valeurs possibles pour la condition dans chacune des règles l'utilisant. Modification des règles Il est possible de visualiser tous les paramètres de condition d'une règle dans la vue Propriétés de la règle. Par exemple, si vous ajoutez une condition à la liste des conditions disponibles d'une analyse, toutes les règles de cette analyse reçoivent la nouvelle condition avec toutes les valeurs sélectionnées pour cette dernière. Il peut être utile, dans certains cas, d'ajuster les paramètres copiés automatiquement dans les règles existantes. Pour modifier les paramètres de condition d'une règle, sélectionnez la règle dans l'arborescence de la console, puis choisissez Propriétés dans le menu déroulant d'affichage du panneau de détails à droite.

200 Guide de l'administrateur Access Gateway édition Advanced Utilisation d'ensembles de données pour les analyses Certaines analyses se réfèrent à un ensemble de données auquel elles comparent les résultats de l'analyse de la machine cliente. Par exemple, si la machine cliente doit disposer de plusieurs mises à jour du système d'exploitation, il est nécessaire de vérifier que toutes les mises à jour ont été installées. Dans cet exemple, l'ensemble de données utilisé comme référence est la liste des mises à jour requises. Les ensembles de données sont stockés dans la base de données de la batterie. Vous pouvez créer un ensemble de données en important un fichier CSV (valeurs séparées par des virgules) ou en fournissant les valeurs une à une. Listes Les listes sont des ensembles de données à une colonne fournissant plusieurs valeurs requises pour une seule propriété. Les packs d'analyse suivants utilisent des listes : Analyses Citrix pour les mises à jour Windows : vérifient si les machines clientes disposent de toutes les mises à jour listées dans un ensemble de données ; Analyses Citrix pour les mises à jour Internet Explorer : vérifient si les machines clientes disposent de toutes les mises à jour listées dans un ensemble de données. Mappages Les mappages, ensembles de données à deux colonnes, permettent de faire correspondre une valeur détectée sur la machine cliente à une autre valeur utilisée dans l'analyse. Par exemple, les analyses Citrix pour l'adresse MAC détectent l'adresse MAC de chaque carte réseau de la machine cliente. Les analyses se réfèrent à un ensemble de données à deux colonnes pour associer l'adresse (valeur de la première colonne) à un nom de groupe (valeur de la deuxième colonne). Les analyses se servent de ce mappage pour vérifier à quel groupe logique appartient la machine cliente. Création des ensembles de données Suivez la procédure ci-dessous pour créer un ensemble de données nommé, puis saisissez les données dans l'ensemble. Pour obtenir une liste (ensemble de données à une colonne), vous pouvez saisir les données manuellement ou les importer depuis un fichier.csv. Pour obtenir un mappage (ensemble de données à deux colonnes), vous devez importer les données initiales depuis un fichier.csv.

Chapitre 11 Vérification des configurations requises sur les machines clientes 201 Important : certains packs d'analyse sont sensibles à la casse ou aux casses utilisée(s) pour les valeurs d'ensemble de données. Évitez de créer des entrées ne différant que par la casse utilisée pour certains caractères. Par exemple, si vous utilisez le pack Analyses Citrix pour l'adresse MAC, il est possible de créer deux entrées pour une même adresse et de mapper ainsi cette dernière sur deux groupes différents. Une entrée peut associer l'adresse 00:50:8b:e8:f9:28 au groupe Finances. Une autre entrée peut associer la même adresse au groupe Ventes en utilisant la valeur 00:50:8B:E8:F9:28, différant uniquement par la casse utilisée. Les résultats d'analyse utilisant de telles entrées ne sont pas fiables. Pour créer un ensemble de données 1. Sélectionnez Analyse de point de terminaison dans l'arborescence de la console, puis cliquez sur Gérer les ensembles de données dans la section Tâches courantes. 2. Cliquez sur Nouveau. 3. Donnez un nom au nouvel ensemble de données. 4. Fournissez les données en utilisant l'une des méthodes suivantes : entrez le chemin d'accès d'un fichier CSV contenant les données initiales à importer (méthode à utiliser pour créer un ensemble à deux colonnes) ; ne fournissez pas de chemin d'accès afin de créer un ensemble de données formé d'une colonne vierge, puis ajoutez des valeurs en modifiant l'ensemble de données après l'avoir créé. Vous pouvez modifier un ensemble de données existant dans la boîte de dialogue Ensembles de données. Pour ouvrir la boîte de dialogue Ensembles de données, sélectionnez Analyse de point de terminaison dans l'arborescence de la console, puis cliquez sur Gérer les ensembles de données dans la section Tâches courantes. Exemple : vérification d'un ensemble de mises à jour requises Cet exemple décrit les étapes de création d'une analyse permettant de s'assurer que les machines clientes disposent des mises à jour requises pour la version 6.0 d'internet Explorer. 1. Utilisez le pack Analyses Citrix pour Internet Explorer pour créer une analyse vérifiant si la machine cliente dispose de la version 6.0 d'internet Explorer. 2. Créez un ensemble de données à une colonne répertoriant les mises à jour d'internet Explorer requises si la machine cliente dispose de la version 6.0.

202 Guide de l'administrateur Access Gateway édition Advanced Par exemple, vous pouvez utiliser les valeurs suivantes : KB834707, KB867232 et KB889293. 3. Utilisez le pack Analyses Citrix pour les mises à jour Internet Explorer pour créer une analyse vérifiant l'installation des mises à jour requises sur les machines clientes disposant de la version 6.0 d'internet Explorer. A. Sur l'écran Sélectionner les conditions de l'assistant Créer une analyse, cliquez sur Utiliser les résultats d'une autre analyse en tant que condition, puis désignez le résultat d'analyse identifiant la version de produit (provenant de l'analyse que vous avez créée à l'étape 1). Dans la boîte de dialogue Définir les valeurs, donnez un nom à cette nouvelle condition, puis ajoutez la valeur autorisée (6.0 dans notre exemple). B. Pour définir les valeurs de propriété des mises à jour requises, sélectionnez l'ensemble de données que vous avez créé à l'étape 2. Ajout de packs d'analyse Chaque pack d'analyse est conçu pour examiner un ensemble de propriétés pour un produit spécifique. Vous pouvez enrichir l'ensemble de packs d'analyse par défaut en en important de nouveaux. Le kit de développement logiciel (SDK) d'analyse de point de terminaison permet aux développeurs Citrix, à leurs partenaires et aux développeurs de votre entreprise de créer des packs d'analyse supplémentaires. Ce kit est disponible sur le CD-ROM de votre produit et sur le site Web Citrix à l'adresse www.citrix.com. Pour importer un pack d'analyse 1. Sélectionnez Analyse de point de terminaison ou un groupe d'analyses dans l'arborescence de la console, puis cliquez sur Importer un pack d'analyse dans la section Tâches courantes. Si vous souhaitez faire figurer le pack dans un groupe d'analyses, vous devez sélectionner ce groupe. Si vous sélectionnez le nœud Analyse de point de terminaison pour l'importation, le pack d'analyse n'apparaîtra pas dans un groupe d'analyses mais directement sous ce nœud. 2. Localisez le fichier du pack d'analyse, sélectionnez-le, puis cliquez sur OK.

Chapitre 11 Vérification des configurations requises sur les machines clientes 203 Regroupement d'analyses L'arborescence de la console présente plusieurs groupes d'analyses par défaut pour les catégories anti-virus, pare-feu, système d'exploitation, etc. Ils sont destinés à faciliter l'organisation des packs d'analyse et de leurs analyses et à vous permettre de trouver plus rapidement le pack ou l'analyse dont vous avez besoin. Vous pouvez créer et nommer vos propres groupes. Les groupes d'analyses servent à organiser les éléments au sein de l'arborescence de la console. Ils n'ont aucun effet sur le mode d'exécution des analyses. Pour créer un groupe d'analyse, sélectionnez Analyse de point de terminaison dans l'arborescence de la console, puis cliquez sur Créer un groupe d'analyse dans la section Tâches courantes. Ajout de packs de langue Un développeur de packs d'analyse peut créer des packs de langue afin d'étendre la liste des langues dans lesquelles un pack peut créer des analyses. Par exemple, il est possible de développer un pack d'analyse en anglais, puis d'ajouter par la suite des packs de langue en français, en allemand ou en espagnol. Les packs de langue sont généralement distribués sous la forme de fichiers CAB. Pour importer un pack de langue pour un pack d'analyse Sélectionnez Analyse de point de terminaison dans l'arborescence de la console, puis cliquez sur Importer un pack de langue dans la section Tâches courantes. Écriture de scripts et planification des mises à jour d'analyses Vous disposez de deux utilitaires de ligne de commande pour vous aider à écrire des scripts ou à planifier des mises à jour d'analyses. Vous pouvez les exécuter à partir d'une invite de commandes depuis l'emplacement par défaut suivant sur le serveur : \\Program Files\Citrix\Access Gateway\MSAMExtensions\ Remarque : après avoir utilisé ces utilitaires pour la console, vous devez exécuter une découverte afin de rechercher les nouvelles valeurs et de les afficher. Les deux sections suivantes décrivent ces utilitaires.

204 Guide de l'administrateur Access Gateway édition Advanced Mise à jour des valeurs de propriété dans les analyses L'utilitaire CtxEpaParamUpdate vous permet de mettre à jour les valeurs de propriété requises d'une analyse. Par exemple, si les machines clientes nécessitent une certaine version des signatures pour le logiciel anti-virus, vous pouvez créer un script afin de mettre à jour l'analyse lorsque vous souhaitez modifier le fichier de signatures à détecter. Cette commande a été conçue pour être exécutée comme une tâche planifiée sur un serveur disposant de la console Access Management Console. La syntaxe à utiliser est la suivante (elle comprend des guillemets) : ctxepaparamupdate uri_pack version_pack nom_analyse nom_règle nom_param nouvelle_valeur Les paramètres sont décrits dans le tableau suivant. Paramètre uri_pack version_pack nom_analyse nom_règle nom_param nouvelle_valeur Description Identificateur URI du pack d'analyse auquel l'analyse appartient. Les informations URI d'un pack d'analyse sont disponibles dans l'écran de la console de gestion Propriétés de ce pack. Version du pack d'analyse auquel l'analyse appartient. Les informations de version d'un pack d'analyse sont disponibles dans l'écran Propriétés de la console de gestion de ce pack. Nom de l'analyse dans laquelle la propriété est définie. Nom de la règle dans laquelle la valeur de propriété requise est définie. Nom du paramètre de la valeur requise. Le nom de paramètre et son réglage actuel apparaissent dans l'écran de la console de gestion Propriétés de la règle d'analyse. Nouvelle valeur. Si la propriété requise a une plage de valeurs restreinte, cette nouvelle valeur doit être comprise dans cette plage. Exemple : pour mettre à jour une analyse avec l'utilitaire CtxEpaParamUpdate Si vous souhaitez mettre à jour une analyse existante du pack Analyses Citrix pour McAfee VirusScan Enterprise. Pour obtenir la version de moteur requise 4.4 et la version des signatures 4641, saisissez le texte suivant : C:\Program Files\Citrix\Access Gateway\MSAMExtensions\ CtxEpaParamUpdate.exe C:\Program Files\Citrix\Access Gateway\

Chapitre 11 Vérification des configurations requises sur les machines clientes 205 Bin\EPAPackages\CitrixVSEMcAfee.cab 1.0 nom_analyse nom_règle VersionDesSignatures 4641 puis saisissez le texte suivant : C:\Program Files\Citrix\Access Gateway\MSAMExtensions\ CtxEpaParamUpdate.exe C:\Program Files\Citrix\Access Gateway\ Bin\EPAPackages\CitrixVSEMcAfee.cab 1.0 nom_analyse nom_règle VersionDuMoteur 4.4 (nom_analyse et nom_règle correspondent au nom de l'analyse et au nom de la règle). Mise à jour des ensembles de données L'utilitaire CtxEpaDataSetUpdate vous permet d'écrire des scripts de mise à jour ou de planifier des mises à jour des ensembles de données. Il peut être avantageux de créer un script pour automatiser une tâche telle que la mise à jour du numéro du fichier de signatures nécessaire pour un programme anti-virus. Utilisez les options suivantes (commutateurs) avec cet utilitaire. Commutateur Description Syntaxe /import /reimport /export /destroy /add /overwrite /remove Crée un nouvel ensemble de données en important un fichier CSV. Remplace le contenu d'un ensemble de données existant en important un nouveau fichier CSV. Exporte l'ensemble de données dans un fichier CSV. Supprime l'ensemble de données. Ajoute une valeur à l'ensemble de données spécifié. Remplace une entrée dans un ensemble de données de mappage (deux colonnes). Supprime une entrée dans un ensemble de données. ctxepadatasetupdate /import nom_fichier.csv nom_ensemble ctxepadatasetupdate /reimport nom_fichier.csv nom_ensemble ctxepadatasetupdate /export nom_fichier.csv nom_ensemble ctxepadatasetupdate /destroy nom_ensemble ctxepadatasetupdate /add nom_ensemble clé [valeur] ctxepadatasetupdate /add nom_ensemble clé [valeur] ctxepadatasetupdate /add nom_ensemble clé [valeur]

206 Guide de l'administrateur Access Gateway édition Advanced Les options de commande ci dessus acceptent les paramètres suivants : Paramètre nom_fichier.csv nom_ensemble clé valeur Description Le nom du fichier.csv comprenant l'ensemble de données Nom de l'ensemble de données Si l'ensemble de données correspond à une liste (ensemble de données à une colonne), il s'agit d'une valeur de la liste. Si l'ensemble de données correspond à un mappage (ensemble de données à deux colonnes), il s'agit de la valeur de la première colonne. Si l'ensemble de données correspond à un mappage (ensemble de données à deux colonnes), il s'agit de la valeur de la deuxième colonne. Si l'ensemble de données correspond à une liste (ensemble de données à une colonne), ce paramètre n'est pas disponible. Pour obtenir plus d'informations sur les ensembles de données, veuillez consulter la section «Utilisation d'ensembles de données pour les analyses», page 200. Pour situer les noms des paramètres dans les analyses Vous pouvez retrouver les noms des paramètres dans les propriétés d'analyse de la console. 1. Dans l'arborescence de la console, sélectionnez une règle associée à l'analyse, puis sélectionnez l'écran Propriétés dans le panneau de détails (à droite). 2. Sélectionnez la ligne affichant la propriété, puis référez-vous à la colonne Nom de paramètre. Création d'analyses continues Les analyses continues vérifient les fichiers, les processus ou les entrées de registre requis sur les machines clientes se connectant à votre réseau. Ces analyses sont exécutées de façon répétée lors de la session pour vérifier que la machine cliente continue de satisfaire les conditions requises. Les analyses continues permettent de définir des conditions requises pour les stratégies de connexion. Si le résultat d'une analyse de fichier, de processus ou de registre n'est pas conforme à la valeur requise par une stratégie de connexion, la connexion est interrompue.

Chapitre 11 Vérification des configurations requises sur les machines clientes 207 Chaque analyse continue vérifie un fichier, un processus ou une entrée de registre sur la machine cliente. Vous pouvez regrouper plusieurs analyses en créant un filtre d'analyse continue. Lorsqu'il est associé à une stratégie de connexion, le filtre représente les conditions requises à vérifier de façon continue durant la connexion. À la différence des filtres d'analyse continue, les autres filtres associés aux stratégies ne vérifient les conditions requises qu'à l'ouverture de session. Pour créer une analyse de fichier 1. Dans l'arborescence de la console, sélectionnez Stratégies > Analyses continues > Analyses de fichier, puis cliquez sur Créer une analyse de fichier dans la section Tâches courantes. 2. Donnez un nom à l'analyse. 3. Entrez le chemin d'accès. 4. Entrez les informations facultatives suivantes. Vous pouvez configurer l'analyse pour vérifier ces informations. Dans la zone de texte Daté au plus tôt du, saisissez la date à comparer avec la date de création du fichier. La signature numérique MD5 est automatiquement ajoutée à partir du chemin d'accès de fichier fourni. Vous pouvez modifier cette valeur si une signature différente est requise sur la machine cliente. La signature MD5 d'un fichier exécutable pouvant être différente d'une plate-forme à une autre, vérifiez que la signature que vous spécifiez est utilisée par vos machines clientes. Pour créer une analyse de processus 1. Dans l'arborescence de la console, sélectionnez Stratégies > Analyses continues > Analyses de processus, puis cliquez sur Créer une analyse de processus dans la section Tâches courantes. 2. Donnez un nom à l'analyse. 3. Entrez le nom du processus ou localisez le processus. 4. La signature numérique MD5 est automatiquement ajoutée à partir du chemin d'accès de fichier fourni. Vous pouvez modifier cette valeur si une signature différente est requise sur la machine cliente. La signature numérique MD5 n'est pas requise. La zone de texte peut rester vierge. La signature MD5 d'un fichier exécutable pouvant être différente d'une plate-forme à une autre, vérifiez que la signature que vous spécifiez est utilisée par vos machines clientes.

208 Guide de l'administrateur Access Gateway édition Advanced Pour créer une analyse de registre 1. Dans l'arborescence de la console, sélectionnez Stratégies > Analyses continues > Analyses de registre, puis cliquez sur Créer une analyse de registre dans la section Tâches courantes. 2. Donnez un nom à l'analyse. 3. Entrez les informations appropriées dans les zones de texte Chemin d'accès de registre, Type de registre, Nom d'entrée et Valeur d'entrée.

CHAPITRE 12 Accès sécurisé au courrier électronique d'entreprise Advanced Access Control vous permet de fournir un accès régi par des stratégies aux données hébergées sur des serveurs internes. Ces serveurs internes peuvent être des serveurs de courrier électronique. Lors de la configuration de votre point d'agrégation de contenus (intranet ou portail d'entreprise), vous pouvez fournir à vos utilisateurs un accès sécurisé à leurs comptes de courrier électronique. Grâce aux stratégies d'accès, vous pouvez définir les niveaux d'accès à accorder aux utilisateurs et les opérations que ceux-ci peuvent effectuer une fois que l'accès leur est accordé. Advanced Access Control vous offre les possibilités suivantes. Intégrer la solution de courrier électronique que vous utilisez avec l'accès à distance sécurisé fourni par Advanced Access Control. Ainsi, si vous utilisez Microsoft Outlook Web Access ou Lotus inotes/domino Web Access pour permettre aux utilisateurs d'accéder à leurs e-mails via le Web, vous pouvez intégrer ces solutions dans un point d'agrégation de contenus (votre intranet ou un portail d'entreprise, par exemple). Les utilisateurs ont alors accès à leurs e-mails à partir de ce point d'agrégation, que vous décidiez d'utiliser l'interface d'accès fourni avec Advanced Access Control ou un autre portail. Si vous n'utilisez ni Outlook Web Access, ni inotes/domino Web Access, vous pouvez recourir à l'interface de courrier électronique Web fournie avec Advanced Access Control pour permettre aux utilisateurs d'accéder à leurs e-mails via le Web. Permettre l'accès aux applications de courrier électronique publiées avec Citrix Presentation Server. Vous pouvez ajouter des liens vers ces applications publiées dans un site Web Presentation Server. Permettre aux utilisateurs de se connecter en toute sécurité à leurs comptes de courrier électronique sur les serveurs Microsoft Exchange ou Lotus Notes/Domino. Les utilisateurs ont alors accès à toutes les fonctions de courrier électronique et peuvent synchroniser leurs e-mails sur leurs machines clientes pour les consulter hors ligne.

210 Guide de l'administrateur Access Gateway édition Advanced Permettre aux utilisateurs disposant de machines de petite taille (d'ordinateur de poche, par exemple), d'accéder à leurs e-mails à distance et en toute sécurité. Permettre aux utilisateurs de joindre des fichiers stockés sur des points de partage réseau à leurs e-mails sans devoir télécharger ces fichiers sur leurs machines locales. Comme pour les autres ressources accessibles via Advanced Access Control, vous contrôlez l'accès aux fonctions de courrier électronique à l'aide de stratégies. Ainsi, vous pouvez créer une stratégie autorisant certains groupes d'utilisateurs à accéder au courrier électronique Web et en créer une autre pour empêcher certains groupes d'utilisateurs de synchroniser les données présentes dans leurs comptes de courrier électronique sur leurs machines clientes. Vous pouvez aussi créer une stratégie autorisant un groupe d'utilisateurs à télécharger les pièces jointes qu'ils reçoivent à l'aide du courrier électronique Web et en créer une autre pour empêcher un autre groupe d'utilisateurs de le faire. Remarque : si un destinataire accède à ses e-mails via Advanced Access Control et si un de ses e-mails contient un lien vers un partage de fichiers ou une ressource Web, l'accès à cette ressource requiert aussi une stratégie l'autorisant. En revanche, si le destinataire n'accède pas à ses e-mails via Advanced Access Control, aucune permission supplémentaire n'est nécessaire. La visualisation des pièces jointes n'est alors limitée par aucune stratégie. Choix d'une solution de courrier électronique Le choix d'une solution de courrier électronique dépend du type d'accès dont les utilisateurs ont besoin, des ressources dont vous disposez déjà sur votre réseau, du type de contrôle que vous voulez avoir sur les actions que les utilisateurs peuvent effectuer après avoir bénéficié d'un droit d'accès. Par exemple, si vous voulez que les utilisateurs puissent accéder à leurs comptes de courrier électronique en toute sécurité via Internet et si vous utilisez déjà Outlook Web Access, vous pouvez intégrer l'interface Outlook Web Access dans l'onglet Courrier électronique de l'interface d'accès inclus dans Advanced Access Control. Par contre, si vous voulez permettre l'accès à distance au courrier électronique et n'utilisez pas déjà une interface Web pour l'accès à vos serveurs de courrier électronique, vous pouvez utiliser l'interface de courrier électronique Web fournie avec Advanced Access Control.

Chapitre 12 Accès sécurisé au courrier électronique d'entreprise 211 Le tableau suivant liste les types d'accès possibles et les points à considérer pour chacun d'entre eux. Pour plus d'informations sur les configurations requises pour les différentes solutions de courrier électronique présentées dans ce chapitre, veuillez consulter la section «Configurations requises pour les fonctionnalités», page 51. Éléments requis sur les machines clientes Éléments requis sur les serveurs Prise en charge des machines de petite taille Application des stratégies lors de l'accès aux pièces jointes Courrier électronique Web avec Outlook Web Access ou inotes/ Domino Web Access Navigateur compatible. Veuillez consulter la documentation produit pour plus d'informations sur les configurations requises. Serveur de courrier électronique (Microsoft Exchange ou Lotus Notes/Domino) Non Oui Courrier électronique Web avec l'interface d'accès Navigateur compatible uniquement (aucun autre logiciel client requis) Microsoft Exchange (Notes/Domino non pris en charge dans cette configuration) Oui Oui Synchronisation des données de courrier électronique sur les machines clientes Logiciel de courrier électronique (Microsoft Outlook ou Lotus Notes) et client Secure Access Client Serveur de courrier électronique (Microsoft Exchange ou Lotus Notes/Domino) Non Non Application de courrier électronique publiée à l'aide de Citrix Presentation Server Client Presentation Server Citrix Presentation Server Non Non Accès aux applications de courrier électronique publiées Si vous fournissez déjà l'accès à des applications de courrier électronique publiées sur des serveurs internes à l'aide de Citrix Presentation Server, vous pouvez facilement intégrer l'accès à ces applications à votre déploiement Advanced Access Control.

212 Guide de l'administrateur Access Gateway édition Advanced Permettre d'accéder au courrier électronique à l'aide d'applications publiées permet d'étendre les possibilités SmartAccess d'advanced Access Control à Presentation Server en incorporant les données de stratégie d'advanced Access Control, telles que celles d'analyse de point de terminaison, aux stratégies Presentation Server. Ne permettre l'accès au courrier électronique que via une application publiée à l'aide de Presentation Server est la méthode la plus sûre pour fournir cet accès. En effet, les données concernées restent alors sur le réseau d'entreprise. Remarque : vous pouvez fournir plusieurs méthodes d'accès à distance en combinant différentes méthodes d'accès au courrier électronique. Ainsi, outre l'accès aux applications de courrier électronique publiées, vous pouvez aussi configurer une solution de courrier électronique Web. Pour permettre l'accès à une application de courrier électronique publiée 1. Publiez et configurez l'application de courrier électronique pour SmartAccess dans Presentation Server. 2. Configurez un site Web Presentation Server. Accès sécurisé au courrier électronique Web Advanced Access Control vous permet de fournir l'accès à des comptes de courrier électronique à l'aide des interfaces Web suivantes. L'interface de courrier électronique Web fournie avec Advanced Access Control permet aux utilisateurs d'accéder à leurs comptes de courrier électronique sur des serveurs Microsoft Exchange. Il n'est alors pas nécessaire de télécharger ou d'installer un logiciel client pour accéder aux e-mails. Il est seulement nécessaire de disposer d'un navigateur pris en charge. L'interface utilisateur de courrier électronique Web fournie avec Advanced Access Control est le seul moyen de fournir un accès au courrier électronique Web aux utilisateurs d'ordinateur de poche et autres machines de petite taille. Microsoft Outlook Web Access permet aux utilisateurs d'accéder à leurs comptes de courrier électronique sur des serveurs Microsoft Exchange. Lotus inotes/domino Web Access permet aux utilisateurs d'accéder à leurs comptes de courrier électronique sur des serveurs Lotus Notes/Domino.

Chapitre 12 Accès sécurisé au courrier électronique d'entreprise 213 Important : Advanced Access Control prend en charge un cluster dorsal (Notes/Domino ou Exchange) par batterie de serveurs d'accès. Cependant, vous pouvez configurer plusieurs serveurs Outlook Web Access si vous utilisez Exchange ou plusieurs serveurs inotes/domino Web Access si vous utilisez Lotus Notes/Domino. Si vous utilisez une solution de portail, vous pouvez intégrer à ces produits de portail l'interface de courrier électronique Web fournie avec Advanced Access Control. Pour plus d'informations, veuillez consulter la section «Intégration de l'accès au courrier électronique Web dans un portail tiers», page 217. Après configuration de l'accès au courrier électronique Web, les utilisateurs ont accès à leurs e-mails dans l'onglet Courrier électronique de l'interface d'accès. Vous pouvez configurer Advanced Access Control afin que l'interface par défaut présentée aux utilisateurs lorsqu'ils ouvrent une session sur Advanced Access Control soit l'interface de courrier électronique Web. Pour plus d'informations sur ce type de configuration, veuillez consulter la section «Configuration de points d'ouverture de session», page 101. Activation de l'accès au courrier électronique Web L'activation de l'accès au courrier électronique Web consiste à : configurer le courrier électronique Web dans Advanced Access Control ; créer des stratégies permettant l'accès à la ressource de courrier électronique. Ces étapes sont décrites ci-dessous. Pour configurer le courrier électronique Web pour Microsoft Exchange Pour permettre aux utilisateurs de recevoir et d'envoyer des e-mails via le Web avec Microsoft Exchange, suivez la procédure ci-dessous. 1. Dans l'arborescence de la console, sélectionnez Courrier électronique Web, puis cliquez sur Configurer le courrier électronique Web dans la section Tâches courantes. 2. Sélectionnez Microsoft Exchange. 3. Sélectionnez l'option Activer l'accès par le Web.

214 Guide de l'administrateur Access Gateway édition Advanced 4. Sélectionnez l une des interfaces Web suivantes. Interface de courrier électronique fournie avec Advanced Access Control : permet aux utilisateurs d'accéder aux fonctions de courrier électronique sans télécharger ou installer un logiciel client. Il leur est seulement nécessaire de disposer d'un navigateur pris en charge. Indiquez le nom NetBIOS, l'adresse IP ou le nom de domaine complet (FQDN) de votre serveur Microsoft Exchange. Affichez les e-mails au format HTML pour permettre l'utilisation des fonctions de formatage de texte avancées : numérotation, puces, alignement, liens vers des partages de fichiers et des pages Web, etc. Ne sélectionnez cette option que si les e-mails reçus proviennent de sources approuvées au sein de votre réseau d'entreprise. Attention : si les e-mails peuvent provenir de sources extérieures à votre réseau d'entreprise, configurez le courrier électronique Web pour les afficher au format texte. Ne pas le faire pourrait exposer vos serveurs Advanced Access Control et vos machines clientes à des attaques utilisant du code inséré dans des messages HTML. L'affichage des messages sous forme de textes simples permet de remédier à ce genre d'attaque. Par conséquent, Citrix recommande de configurer le courrier électronique Web pour afficher les messages au format texte lorsqu'ils sont susceptibles de provenir de sources extérieures à votre réseau d'entreprise. Microsoft Outlook Web Access : permet l'accès aux e-mails à l'aide d'outlook Web Access. Indiquez la page de démarrage de l'application ainsi que les adresses URL pour lesquelles l'application requiert l'accès. L'adresse de la page de démarrage devrait avoir le format suivant : http://nomserveur/exchange, NomServeur représentant le nom NetBIOS, l'adresse IP ou le nom de domaine complet (FQDN) de votre serveur Exchange. Si vous utilisez un équilibreur de charge pour gérer les serveurs Outlook Web Access, entrez l'adresse URL de cet équilibreur de charge pour définir la page de démarrage et ajoutez les serveurs Outlook Web Access à la liste des adresses URL accessibles pour l'application.

Chapitre 12 Accès sécurisé au courrier électronique d'entreprise 215 Remarque : pour permettre l'accès à un serveur entier, ajoutez http://nomserveur à la liste d'adresses URL. NomServeur représente le nom NetBIOS, l'adresse IP ou le nom de domaine complet (FQDN) de votre serveur Exchange. Cette configuration s'avère utile pour fournir l'accès à des serveurs consacrés à Microsoft Exchange. Sélectionnez l'option permettant d'utiliser l'interface commune à tous les types de navigateur pour supprimer les contrôles ActiveX et autres types d'affichage avancés propres à certains navigateurs. Citrix recommande de sélectionner cette option si des utilisateurs ne peuvent pas télécharger les contrôles ActiveX ou si les utilisateurs recourent à diverses versions de navigateur. Remarque : Citrix recommande de d'abord tester votre application de courrier électronique Web avec cette option désactivée. Si vous constatez alors que l'application n'est pas affichée correctement, sélectionnez l'option et vérifiez si le problème est résolu. Pour configurer le courrier électronique Web pour Lotus Notes/Domino Pour permettre aux utilisateurs de recevoir et d'envoyer des e-mails via le Web avec Lotus Notes/Domino, suivez la procédure ci-dessous. 1. Dans l'arborescence de la console, sélectionnez Courrier électronique Web, puis cliquez sur Configurer le courrier électronique Web dans la section Tâches courantes. 2. Sélectionnez Lotus Notes/Domino ou autre serveur de courrier électronique. 3. Sélectionnez Activer l'accès par le Web. 4. Indiquez la page de démarrage de l'application ainsi que les adresses URL pour lesquelles l'application requiert l'accès. Si vous utilisez un équilibreur de charge pour gérer les serveurs inotes, entrez l'adresse URL de cet équilibreur de charge pour définir la page de démarrage et ajoutez les serveurs inotes à la liste des adresses URL accessibles pour l'application.

216 Guide de l'administrateur Access Gateway édition Advanced Vous pouvez utiliser le remplacement de jeton dynamique pour permettre l'utilisation de liens explicites pour les fichiers de base de données d'utilisateur. Par exemple, entrez http://nomserveur/mail/#<username>.nsf. NomServeur représente le nom NetBIOS, l'adresse IP ou le nom de domaine complet (FQDN) de votre serveur Lotus Notes/Domino et le jeton username est remplacé par le nom d'utilisateur obtenu auprès des services d'annuaire Windows NT ou Active Directory. Pour obtenir une liste complète des jetons pris en charge par Advanced Access Control, veuillez consulter la section «Utilisation de jetons système dynamiques», page 147. Remarque : pour permettre l'accès à un serveur entier, ajoutez http:// NomServeur à la liste d'adresses URL. NomServeur représente le nom NetBIOS, l'adresse IP ou le nom de domaine complet (FQDN) de votre serveur Lotus Notes/Domino. Cette configuration s'avère utile pour fournir l'accès à des serveurs consacrés à Lotus Notes/Domino. 5. Sélectionnez l'option permettant d'utiliser l'interface commune à tous les types de navigateur pour supprimer les contrôles ActiveX et autres types d'affichage avancés propres à certains navigateurs. Citrix recommande de sélectionner cette option si des utilisateurs ne peuvent pas télécharger les contrôles ActiveX ou si les utilisateurs recourent à diverses versions de navigateur. Remarque : Citrix recommande de d'abord tester votre application de courrier électronique Web avec cette option désactivée. Si vous constatez alors que l'application n'est pas affichée correctement, sélectionnez l'option et vérifiez si le problème est résolu. 6. Sélectionnez la version appropriée de Lotus inotes/domino Web Access parmi les types d'application de courrier électronique disponibles. Après avoir configuré le courrier électronique Web, vous devez créer une stratégie permettant aux utilisateurs d'accéder au courrier électronique. Pour permettre à l'utilisateur d'accéder au courrier électronique, créez une stratégie en suivant les étapes décrites dans «Création de stratégies d'accès», page 156.

Chapitre 12 Accès sécurisé au courrier électronique d'entreprise 217 Remarque : pour qu'un destinataire puisse accéder à une pièce jointe d'un e-mail via Advanced Access Control, il est nécessaire qu'une stratégie de courrier électronique lui permette au moins l'une des opérations suivantes : le téléchargement, l'aperçu HTML ou Live Edit. L'association de type de fichier ne permet pas d'accéder aux pièces jointes du courrier électronique Web. Intégration de l'accès au courrier électronique Web dans un portail tiers Vous pouvez permettre aux utilisateurs d'accéder à leurs e-mails à partir de la solution de portail de votre choix en intégrant à cette dernière l'interface de courrier électronique Web fournie avec Advanced Access Control. Ainsi, si vous utilisez Microsoft SharePoint pour votre portail d'entreprise ou votre point d'agrégation d'informations, vous pouvez afficher l'interface de courrier électronique Web fournie avec Advanced Access Control au portail SharePoint. Pour intégrer l'interface de courrier électronique Web dans un portail tiers 1. Configurez l'interface de courrier électronique Web fournie avec Advanced Access Control. Pour plus d'informations, veuillez consulter la section «Accès sécurisé au courrier électronique Web», page 212. 2. Configurez le visualiseur de site Web de votre portail pour afficher l'interface de courrier électronique Web à l'adresse http://nomserveur/ citrixfei/classic.asp (NomServeur représente le nom du serveur Web exécutant Advanced Access Control). Accès sécurisé aux comptes de courrier électronique Advanced Access Control vous permet de fournir aux utilisateurs un accès sécurisé à leurs comptes de courrier électronique sur des serveurs Microsoft Exchange ou Lotus Notes/Domino. Important : pour pouvoir se connecter à leurs comptes de courrier électronique et synchroniser leurs e-mails sur leurs machines clientes, les utilisateurs doivent disposer du client Secure Access Client sur leurs machines clientes.

218 Guide de l'administrateur Access Gateway édition Advanced Lorsque cette fonction est configurée, les travailleurs itinérants, qu'ils soient connectés via le Web ou au sein de l'entreprise, peuvent se connecter en toute sécurité à leurs comptes de courrier électronique sur le serveur Exchange ou Lotus Notes/Domino et synchroniser l'application de courrier électronique installée localement avec les données stockées sur le serveur de courrier électronique de l'entreprise. Cela leur permet de disposer de leurs calendriers, tâches et contacts en temps réel lorsqu'ils sont connectés et de synchroniser leurs dossiers avant de travailler hors ligne. Cette fonctionnalité permet à un utilisateur disposant d'un ordinateur portable d'accéder à ses e-mails et de les synchroniser en toute sécurité lorsqu'il passe d'un poste de travail au bureau à son ordinateur portable, puis à son ordinateur personnel chez lui. Important : Advanced Access Control ne contrôle pas l'accès aux pièces jointes que les utilisateurs reçoivent lorsqu'ils se connectent à leurs comptes de courrier électronique à l'aide du client Secure Access Client. Si vous activez et configurez la fonction de synchronisation du courrier électronique, les utilisateurs peuvent accéder aux pièces jointes qu'ils reçoivent sans être restreints par une stratégie. La procédure générale présentée ci-dessous permet d'autoriser les utilisateurs à accéder à leurs comptes de courrier électronique et à les synchroniser sur leurs machines clientes. Configurez la fonction de synchronisation du courrier électronique. Créez une stratégie permettant aux utilisateurs de recourir à la fonction de synchronisation du courrier électronique. Ouvrez les ports appropriés sur le pare-feu entre le boîtier Access Gateway et les serveurs de courrier électronique internes. Ces étapes sont décrites ci-dessous. Pour configurer la synchronisation du courrier électronique 1. Dans l'arborescence de la console, sélectionnez Synchronisation des e- mails, puis cliquez sur Configurer la synchronisation des e-mails dans la section Tâches courantes. 2. Sélectionnez l'option Activer la synchronisation des e-mails.

Chapitre 12 Accès sécurisé au courrier électronique d'entreprise 219 3. Sélectionnez le serveur de courrier électronique approprié dans votre environnement. Si vous sélectionnez Microsoft Exchange, cliquez sur Nouveau pour entrer le nom NetBIOS, l'adresse IP ou le nom de domaine complet (FQDN) de votre serveur Exchange. Ajoutez plusieurs serveurs Exchange si les utilisateurs se connecteront à plus d'un serveur. Lorsque vous ajoutez un serveur Exchange, Advanced Access Control se connecte à l'hôte spécifié et détermine le port secondaire nécessaire pour l'interface MAPI (Messaging Application Programming Interface). Cette information est stockée, mais pas mise à jour de façon dynamique. Par conséquent, il est préférable que vous configuriez vos serveurs Exchange de sorte que tous les ports MAPI soient statiques. Si vous ne le faites pas, vous devrez reconfigurer la synchronisation des e-mails dans Advanced Access Control à chaque redémarrage de serveur Exchange. Si vous sélectionnez Lotus Notes/Domino, entrez le nom NetBIOS, l'adresse IP ou le nom de domaine complet (FQDN) de votre serveur Lotus Notes/Domino. Par défaut, le port 1352 est utilisé. Si nécessaire, modifiez le port. Remarque : si vous utilisez une application de courrier électronique TCP/IP autre qu'exchange et Notes/Domino, vous pouvez utiliser des ressources réseau pour permettre le même niveau de fonctionnalité que celui apporté par la synchronisation du courrier électronique. Pour plus d'informations sur la configuration de ressources réseau, veuillez consulter la section «Création de ressources accessibles via un réseau privé virtuel (VPN)», page 137. Après avoir configuré la synchronisation du courrier électronique, vous devez créer une stratégie permettant aux utilisateurs d'accéder à cette ressource. Pour créer une stratégie permettant la synchronisation des e-mails Créez une stratégie permettant aux utilisateurs de synchroniser leurs informations de courrier électronique sur leurs machines clientes en suivant la procédure fournie dans la section «Création de stratégies d'accès», page 156. Après avoir créé une stratégie permettant aux utilisateurs de synchroniser leurs informations de courrier électronique sur leurs machines clientes, vous devez configurer les ports de votre pare-feu pour permettre aux utilisateurs de se connecter.

220 Guide de l'administrateur Access Gateway édition Advanced Pour configurer votre pare-feu pour la synchronisation des e-mails 1. Démarrez votre application de pare-feu. 2. Effectuez les réglages de ports nécessaires pour votre environnement. Si le trafic entre votre serveur de courrier électronique et le serveur Access Gateway est sécurisé, les données transitent via le port 443. Possibilité de joindre des fichiers au courrier électronique Web Vous pouvez configurer Advanced Access Control pour permettre aux utilisateurs de joindre à leurs e-mails des documents accessibles à partir de ressources Web ou de partages de fichiers. Lorsque cette fonctionnalité est configurée, les utilisateurs peuvent visualiser et utiliser l'option permettant l'envoi comme pièce jointe pour les ressources Web et les partages de fichiers configurés. Ils peuvent aussi envoyer des fichiers comme pièces jointes lors de l'utilisation de la fonction Live Edit. Lorsque cette option est sélectionnée, le fichier est joint à l'aide de l'interface de courrier électronique Web configuré pour votre environnement. Pour configurer le courrier électronique Web pour permettre l'envoi de pièces jointes avec les e-mails 1. Dans l'arborescence de la console, sélectionnez Courrier électronique Web, puis cliquez sur Configurer le courrier électronique Web dans la section Tâches courantes. 2. Sur l'écran Activer le courrier électronique Web, sélectionnez l'option Activer l'envoi comme pièce jointe pour les partages de fichiers. 3. Une configuration supplémentaire dépend du serveur d'application de courrier électronique sélectionné. Microsoft Exchange. Indiquez le nom NetBIOS, l'adresse IP ou le nom de domaine complet (FQDN) de votre serveur Microsoft Exchange. Advanced Access Control utilise les informations de configuration de serveur Microsoft Exchange pour déterminer le serveur MAPI. Lotus Notes/Domino. Indiquez les noms ou adresses IP des serveurs SMTP (Simple Mail Transfer Protocol) et LDAP (Lightweight Directory Access Protocol).

Chapitre 12 Accès sécurisé au courrier électronique d'entreprise 221 Remarque : si vous utilisez des serveurs Notes/Domino, vérifiez que les restrictions de relais de port SMTP n'empêchent pas les utilisateurs situés en dehors du réseau d'entreprise d'envoyer des e-mails. Par exemple, vous pouvez configurer les serveurs Notes/Domino pour autoriser tous les utilisateurs authentifiés à envoyer des e-mails. Pour plus d'informations sur la configuration des restrictions de relais de port SMTP, veuillez consulter la documentation de votre produit Notes/Domino. 4. Créez une stratégie de partage de fichiers permettant d'envoyer des fichiers comme pièces jointes d'e-mail. Pour plus d informations à ce sujet, veuillez consulter la section «Autorisation de l'envoi comme pièce jointe», page 162. Restriction sur les types de pièce jointe L'interface de courrier électronique Web incluse avec Advanced Access Control permet deux niveaux de sécurité pour les pièces jointes. Le premier niveau de sécurité concerne les types de fichier bloqués par Advanced Access Control. Le second niveau de sécurité concerne les types de fichier qui peuvent être téléchargés vers les machines clientes des utilisateurs mais auxquels il n'est pas possible d'accéder à l'aide de l'aperçu HTML, de Live Edit ou de l'association de type de fichier. Le tableau ci-dessous présente les types de fichier concernés par défaut par chaque niveau de sécurité. Types de fichier Niveau 1 (types de fichier bloqués) Niveau 2 (types de fichier disponibles seulement en téléchargement).ade.adp.app.asx.bas.bat.chm.cmd.com.cpl.crt.csh.exe.fxp.hlp.hta.inf.ins.isp.js.jse.ksh.lnk.mda.mdb.mde.mdt.mdw.mdz.msc.msi.msp.mst.ops.pcd.pif.prf.prg.reg.scf.scr.sct.shb.shs.url.vb.vbe.vbs.wsc.wsf.wsh.ade.adp.asx.bas.bat.chm.cmd.com.cpl.crt.dcr.dir.exe.hlp.hta.htm.html.htc.inf.ins.isp.js.jse.lnk.mda.mdb.mde.mdz.mht.mhtml.msc.msi.msp.mst.pcd.pif.plg.prf.reg.scf.scr.sct.shb.shs.shtm.shtml.spl.stm.swf.url.vb.vbe.vbs.wsc.wsf.wsh.xml Vous pouvez ajouter ou supprimer des types de fichier de ces niveaux de sécurité à l'aide de l'éditeur du Registre. Un type de fichier listé dans les deux niveaux sera traité comme un type de fichier de niveau 1.

222 Guide de l'administrateur Access Gateway édition Advanced Attention : une mauvaise utilisation de l Éditeur du Registre peut entraîner de sérieux problèmes et nécessiter la réinstallation du système d exploitation. Citrix ne peut garantir la possibilité de résoudre les problèmes provenant d une mauvaise utilisation de l Éditeur du Registre. Vous êtes seul responsable de votre utilisation de l Éditeur du Registre. Effectuez une copie de sauvegarde de votre registre avant de le modifier. Pour modifier une liste de sécurité de types de fichier 1. Dans l Éditeur du Registre, accédez à la clé suivante : HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\MSAM\FEI\FileExt 2. Pour modifier la liste des types de fichier de niveau 1 (bloqués), changez la valeur NoActivations. Pour modifier la liste des types de fichier de niveau 2 (téléchargement uniquement), changez la valeur DownloadOnly. Remarque : chaque nouveau type de fichier doit être placé sur une ligne distincte sans espace supplémentaire et doit contenir le point précédant l'extension. Activation de l'accès au courrier électronique pour les machines de petite taille L'interface de courrier électronique Web fournie avec Advanced Access Control vous permet de fournir un accès au courrier électronique aux utilisateurs d'ordinateur de poche et autres machines de petite taille. Pour obtenir une liste des machines de petite taille prises en charge, veuillez consulter la section «Configurations requises pour les clients», page 65. Pour permettre aux utilisateurs de machines de petite taille d'accéder à leurs e-mails, effectuez l'une des opérations suivantes. Configurez l'interface de courrier électronique Web fournie avec Advanced Access Control pour qu'elle soit l'interface de courrier électronique Web par défaut. Tous les utilisateurs accèdent alors à leur courrier électronique Web à l'aide de cette interface, quels que soient les types de machine utilisés pour se connecter. Pour plus d'informations sur la configuration nécessaire pour utiliser l'interface de courrier électronique Web d'advanced Access Control comme interface par défaut, veuillez consulter la section «Accès sécurisé au courrier électronique Web», page 212.

Chapitre 12 Accès sécurisé au courrier électronique d'entreprise 223 Configurez l'interface de courrier électronique Web fournie avec Advanced Access Control pour qu'elle soit utilisée spécialement pour les utilisateurs se connectant à l'aide de machines de petite taille. Optez pour cette configuration si vous voulez que les utilisateurs se connectant à l'aide d'autres types de machine accèdent à l'interface Outlook Web Access. Si vous le faites, le point d'ouverture de session détecte si la connexion est effectuée à partir d'une machine de petite taille, puis, si c'est le cas, affiche automatiquement l'interface de courrier électronique Web d'advanced Access Control. Pour configurer l'interface de courrier électronique Web fournie avec Advanced Access Control pour qu'elle soit utilisée spécialement pour les utilisateurs se connectant à l'aide de machines de petite taille, suivez les instructions ci-dessous. Remarque : cette fonctionnalité n'est pas disponible pour les utilisateurs de Lotus inotes/domino Web Accesss. Pour configurer l'interface de courrier électronique Web pour son utilisation avec des machines de petite taille Lorsque vous configurez l'accès Web au serveur Exchange comme indiqué à la section Accès sécurisé au courrier électronique Web de la page 148, sélectionnez l'une des options suivantes : Interface de courrier électronique fournie avec Advanced Access Control : affiche l'interface fournie avec Advanced Access Control pour tous les utilisateurs (quelles que soient les tailles des machines utilisées pour les connexions). Advanced Access Control détecte la taille de la machine se connectant et présente l'interface appropriée pour cette connexion. Ainsi, Advanced Access Control affiche une interface de petite taille pour les utilisateurs se connectant à l'aide d'une machine de petite taille. Microsoft Outlook Web Access : activez la fonctionnalité Prendre en charge les machines de petites tailles. Advanced Access Control détecte la taille de la machine se connectant et affiche l'interface de courrier électronique fournie avec Advanced Access Control pour les utilisateurs se connectant à l'aide de machines de petites tailles. Microsoft Outlook Web Access est fourni pour les machines de tailles standard telles que les stations de travail et les ordinateurs personnels.

224 Guide de l'administrateur Access Gateway édition Advanced Mise à jour du fichier Mapisvc.inf Si vous travaillez avec Microsoft Exchange 2000 et souhaitez utiliser l'interface de courrier électronique Web par défaut, installez les Outils de gestion du système Microsoft Exchange avant d'installer Advanced Access Control. Mettez ensuite le fichier mapisvc.inf à jour. Si vous utilisez Microsoft Exchange 2003, il n'est pas nécessaire de modifier le fichier mapisvc.inf. Pour mettre le fichier mapisvc.inf à jour 1. Effectuez une copie du fichier mapisvc.inf. 2. Insérez les lignes suivantes. [SERVICES] MSEMS=Microsoft Exchange Server [MSEMS] PR_DISPLAY_NAME=Microsoft Exchange Server Sections=MSEMS_MSMail_Section PR_SERVICE_DLL_NAME=emsui.dll PR_SERVICE_ENTRY_NAME=EMSCfg PR_RESOURCE_FLAGS=SERVICE_SINGLE_COPY WIZARD_ENTRY_NAME=EMSWizardEntry Providers=ems_dsa, ems_mdb_public, ems_mdb_private PR_SERVICE_SUPPORT_FILES=emsui.dll, emsabp.dll, emsmdb.dll [Default Services] MSEMS=Microsoft Exchange Server [EMS_MDB_public] PR_RESOURCE_TYPE=MAPI_STORE_PROVIDER PR_PROVIDER_DLL_NAME=EMSMDB.DLL PR_RESOURCE_FLAGS=STATUS_NO_DEFAULT_STORE 66090003=06000000 660A0003=03000000 34140102=78b2fa70aff711cd9bc800aa002fc45a PR_DISPLAY_NAME=Public Folders PR_PROVIDER_DISPLAY=Microsoft Exchange Message Store [EMS_MDB_private] PR_PROVIDER_DLL_NAME=EMSMDB.DLL PR_RESOURCE_TYPE=MAPI_STORE_PROVIDER PR_RESOURCE_FLAGS=STATUS_PRIMARY_IDENTITY STATUS_DEFAULT_STORE STATUS_PRIMARY_STORE 66090003=0C000000 660A0003=01000000 34140102=5494A1C0297F101BA58708002B2A2517 PR_DISPLAY_NAME=Private Folders PR_PROVIDER_DISPLAY=Microsoft Exchange Message Store [EMS_DSA] PR_DISPLAY_NAME=Microsoft Exchange Directory Service PR_PROVIDER_DISPLAY=Microsoft Exchange Directory Service PR_PROVIDER_DLL_NAME=EMSABP.DLL PR_RESOURCE_TYPE=MAPI_AB_PROVIDER [MSEMS_MSMail_Section]

Chapitre 12 Accès sécurisé au courrier électronique d'entreprise 225 UID=13DBB0C8AA05101A9BB000AA002FC45A 66000003=01050000 66010003=04000000 66050003=03000000 66040003=02000000 3. Redémarrez l'application COM+ Access Gateway Server. Pour plus d informations, veuillez consulter le chapitre «Redémarrage des applications COM+», page 253.

226 Guide de l'administrateur Access Gateway édition Advanced

CHAPITRE 13 Déploiement d'advanced Access Control vers les utilisateurs La dernière étape du déploiement consiste à fournir aux utilisateurs les informations et les outils qui leur sont nécessaires pour accéder aux ressources d'entreprise. Il est alors nécessaire de déterminer si votre implémentation requiert la distribution de logiciels clients et, si c'est le cas, de développer une stratégie de déploiement de ces logiciels. La formation et la communication relatives à l'impact du déploiement sur l'environnement de travail des utilisateurs devraient aider ces derniers à s'adapter à leur nouvel environnement. Les rubriques de cette section abordent les points à prendre en compte lors du développement d'un plan d'ensemble pour le déploiement d'access Gateway édition Advanced vers les utilisateurs. «Développement d'une stratégie de déploiement des logiciels clients», page 228 «Gestion des logiciels clients à l'aide du Pack de clients d'accès», page 233 «Téléchargement des logiciels clients à la demande», page 236 «Conditions du bon déroulement de l'ouverture de session avec le client Secure Access Client», page 239 «Conditions d'un déploiement sans problème», page 242 «Considérations en matière de sécurité du navigateur», page 244 «Personnalisation du message d'erreur d'ouverture de session», page 246

228 Guide de l'administrateur Access Gateway édition Advanced Développement d'une stratégie de déploiement des logiciels clients Le déploiement logiciel est le processus de distribution et d'installation de logiciels sur des machines clientes. Si votre entreprise utilise déjà un processus de déploiement logiciel, étudiez la possibilité de recourir à ce processus pour le déploiement des clients Advanced Access Control. Si vous avez besoin de développer une stratégie, vous devez déterminer qui est responsable de l'installation des logiciels clients, puis vous devez créer une solution permettant l'application de cette décision. Les sections suivantes abordent les points à considérer pour la détermination des personnes responsables de l'installation des logiciels clients et celle des méthodes de déploiement devant prendre en charge ces cas d'utilisation. Détermination de la responsabilité de l'installation des logiciels clients Il existe plusieurs méthodes de déploiement des logiciels clients. Par exemple, il est possible d'automatiser le processus en téléchargeant et en installant les logiciels à partir d'un emplacement centralisé. Il est aussi possible de placer un pack d'installation sur un partage réseau et de fournir aux utilisateurs des instructions pour l'installation des logiciels sur leurs machines clientes. Avant de déterminer la méthode de déploiement à utiliser, vous devez déterminer qui est responsable de l'installation des logiciels sur les machines clientes. En fonction des besoins de votre entreprise, il se peut que les membres de l'équipe d'assistance, les utilisateurs, vous-même ou une combinaison de ces intervenants soyez responsables de cette tâche. La décision dépend entre autres des facteurs suivants : Besoins des utilisateurs et coûts administratifs. Tenez compte des besoins de vos utilisateurs. Leur expérience collective est primordiale pour l'adoption d'access Control dans votre entreprise. Si les coûts d'administration liés à la gestion d'un déploiement sont justifiés par les besoins de vos utilisateurs, vous pouvez confier la responsabilité d'installer les logiciels clients à une équipe spécialisée dans le domaine. Par contre, si ces coûts sont trop importants pour votre entreprise, vous pouvez confier cette responsabilité aux utilisateurs individuels.

Chapitre 13 Déploiement d'advanced Access Control vers les utilisateurs 229 Les compétences techniques de vos utilisateurs. Si vos utilisateurs ne disposent pas des connaissances techniques nécessaires, vous pouvez installer les logiciels pour eux. Dans un tel scénario, un service d'assistance technique ou d'informatique est responsable de l'installation des logiciels. Avant de confier la responsabilité d'effectuer les installations aux utilisateurs, prenez en compte les éventuels besoins en assistance qui en résulteront. Si les compétences techniques de vos utilisateurs sont limitées, les coûts de l'assistance associée à l'installation par les utilisateurs peuvent justifier un déploiement géré de façon centrale. Dans le cas contraire, il peut être avantageux de permettre aux utilisateurs d'installer les logiciels à partir d'un partage réseau. Nombre de machines clientes dans votre entreprise. Les moyennes et grandes entreprises tirent meilleur parti des déploiements gérés de façon centrale du fait d'un meilleur retour sur investissement par rapport aux solutions manuelles. Par conséquent, il peut leur être utile d'utiliser leurs infrastructures Microsoft Active Directory ou un outil de déploiement tiers standard tel que Systems Management Server. Par contre, les coûts associés à la planification et à la préparation d'un déploiement automatisé pourraient être plus importants que les avantages d'un tel déploiement. Ces entreprises devraient envisager d'autres méthodes de déploiement telles que la mise à disposition des logiciels clients sur un partage réseau ou une solution de déploiement à la demande. Ces deux méthodes sont décrites dans les sections suivantes. Consignes de sécurité de l'entreprise. Si les machines clientes de votre entreprise sont configurées de sorte que les utilisateurs n'ont pas les droits nécessaires pour y installer des logiciels, vous devez développer une stratégie autorisant une personne disposant de droits d'administrateur à effectuer l'installation. Dans ce type de scénario, les entreprises de grande taille devraient envisager d'utiliser un outil de déploiement tel que Systems Management Server. Les petites entreprises peuvent charger une personne disposant de droits d'administrateur d'installer les logiciels clients sur toutes les machines clientes à l'aide de packs d'installation placés sur un partage de fichiers. Politiques de gestion de l'entreprise. Si votre entreprise dispose d'un contrôle centralisé important sur le déploiement des logiciels clients (par exemple, si la distribution des logiciels est contrôlée à l'aide de Microsoft Systems Management Server), la mise à jour des machines clientes est plus fiable. Par conséquent, pour garantir que tous les utilisateurs disposent de logiciels à jour, il est recommandé de ne pas les autoriser à installer leurs propres clients mais de confier cette tâche à une équipe chargée de maintenir les logiciels clients à jour.

230 Guide de l'administrateur Access Gateway édition Advanced Facteurs de coût. Considérez le coût global associé à chaque type de déploiement en prenant en compte les coûts de planification, de préparation et de formation. Déterminez aussi si certains de ces coûts peuvent être justifiés par le retour sur investissements estimé sur la durée pendant laquelle la solution sera utilisée. Ainsi, à partir d'une certaine durée d'utilisation, le retour sur investissements d'une solution de gestion centralisée est généralement bien meilleur que celui d'une solution manuelle. Accès aux machines clientes. Si votre entreprise prend en charge les scénarios d'accès à distance tels que l'utilisation de kiosques Internet pour l'accès au courrier électronique, vous ne pourrez pas installer les logiciels clients sur ces machines distantes avant que les utilisateurs accèdent au réseau d'entreprise. Dans ce cas, envisagez une stratégie de déploiement à la demande consistant à configurer Advanced Access Control de sorte que les logiciels clients puissent être téléchargés automatiquement vers la machine cliente lorsque cela est nécessaire. Par contre, si les machines clientes sont facilement accessibles, il est préférable de déployer les logiciels clients avant que les utilisateurs accèdent à Advanced Access Control. Tous ces aspects sont à considérer pour déterminer qui devrait être responsable de l'installation des logiciels clients sur les machines clientes. Sélectionnez ensuite la solution de déploiement convenant le mieux pour votre entreprise. Options de déploiement prises en charge Advanced Access Control permet les types de déploiement suivants : Intégration avec les outils de déploiement logiciel d'entreprise. Il est possible de déployer les logiciels clients à l'aide d'une infrastructure Microsoft Active Directory ou d'un outil de déploiement MSI tiers standard tel que Systems Management Server. Si vous utilisez un outil prenant en charge les packs Windows Installer, vous pouvez créer un pack d'installation contenant les clients Advanced Access Control nécessaires pour votre environnement à l'aide du Pack de clients d'accès. Vous pouvez ensuite déployer et installer les logiciels sur les machines clientes à l'aide de votre outil de déploiement. Un outil de déploiement centralisé présente les avantages suivants : Possibilité de respecter les consignes de sécurité de l'entreprise. Par exemple, en installant les logiciels clients sans accorder de privilèges d'installation aux utilisateurs qui ne sont pas des administrateurs. Contrôle des versions des logiciels. Vous pouvez déployer et mettre à jour les logiciels clients de tous les utilisateurs simultanément.

Chapitre 13 Déploiement d'advanced Access Control vers les utilisateurs 231 Extensibilité. Possibilité d'étendre les capacités du système facilement pour prendre en charge plus d'utilisateurs. Aucun impact sur les utilisateurs. Vous pouvez déployer, tester et résoudre les problèmes d'installation sans impliquer les utilisateurs. Citrix recommande cette option lorsqu'il est préférable de maintenir un contrôle administratif de l'installation des logiciels clients et si les machines clientes sont accessibles. Point de partage réseau. Vous pouvez copier les packs d'installation sur un point de partage réseau. Par exemple, vous pouvez créer un pack d'installation contenant les clients nécessaires pour votre environnement à l'aide du Pack de clients d'accès et le copier sur un point de partage réseau. De plus, le CD-ROM Serveur contient les packs d'installation de certains logiciels clients. Citrix recommande de copier les packs d'installation sur un point de partage réseau lorsque les logiciels doivent être installés manuellement sur les machines clientes. Vous pouvez ainsi les copier sur un site FTP pour les utilisateurs distants responsables de l'installation des logiciels clients sur leurs ordinateurs à domicile. À la demande. Vous pouvez configurer le déploiement des logiciels clients afin qu'il ne soit effectué que lorsque c'est nécessaire. Les utilisateurs se connectent à leur réseau et les clients sont alors téléchargés automatiquement si nécessaire. Cette option est préférable lorsque les machines clientes ne sont pas accessibles (cas des kiosques Internet, par exemple). Votre stratégie de déploiement peut mettre en œuvre plusieurs de ces options. Ainsi, vous pouvez copier les packs d'installation sur un point de partage réseau pour les utilisateurs connectés via le réseau d'entreprise et activer le déploiement à la demande des clients pour les utilisateurs se connectant à partir de kiosques Internet. Le tableau ci-dessous répertorie les options de déploiement prises en charge pour chaque client. Logiciel client Client Secure Access Client Pris en charge par le Pack de clients d'accès À la demande Oui Oui Oui Client d'analyse de point Oui Oui Oui de terminaison Client Live Edit Oui Oui Non Client pour Java Non Oui Non Client Web Oui Oui Non Point de partage réseau

232 Guide de l'administrateur Access Gateway édition Advanced Remarque : Le client d'analyse de point de terminaison est disponible sous la forme de fichiers MSI et EXE sur le CD-ROM du serveur dans le répertoire \Setup\EndpointAnalysisClient\langue. De plus, le Pack de clients d'accès permet de créer des packs d'installation individuels pour certains composants clients. Pour plus d informations, veuillez consulter le chapitre «Gestion des logiciels clients à l'aide du Pack de clients d'accès», page 233. Choix des clients à déployer Si votre déploiement Advanced Access Control ne nécessite pas la présence de logiciels clients sur les machines clientes, il doit fournir un accès par navigateur uniquement. Dans ce cas, les utilisateurs n'ont besoin que d'un navigateur Web pour accéder aux ressources d'entreprise. Certaines fonctionnalités nécessitent cependant la présence de logiciels clients sur les machines des utilisateurs. Le tableau ci-dessous vous permet de déterminer si votre stratégie d'accès nécessite des logiciels clients. Pour plus d'informations sur les configurations requises pour une fonctionnalité, veuillez consulter la section «Configurations requises pour les fonctionnalités», page 51. Pour plus d'informations sur les configurations requises pour les logiciels clients, veuillez consulter la section «Configurations requises pour les clients», page 65. Remarque : les machines de petite taille ne sont pas compatibles avec les logiciels clients d'advanced Access Control. Par conséquent, les fonctionnalités nécessitant des logiciels clients ne sont pas disponibles sur ces machines. Fonctionnalité Logiciel client Pour plus d'informations, veuillez consulter la section... Vérification des configurations sur les machines clientes Modification et enregistrement des fichiers distants Accès aux comptes de courrier électronique et synchronisation des e-mails sur les machines clientes Client d'analyse de point de terminaison Client Live Edit Client Secure Access Client «Vérification des configurations requises sur les machines clientes», page 191 «Autorisation de la fonction Live Edit», page 162 «Accès sécurisé aux comptes de courrier électronique», page 217

Chapitre 13 Déploiement d'advanced Access Control vers les utilisateurs 233 Fonctionnalité Logiciel client Pour plus d'informations, veuillez consulter la section... Accès TCP aux services sur les serveurs de l'entreprise Accès aux applications publiées via l'association de type de fichier Contournement du proxy Web pour accéder aux ressources Client Secure Access Client Client Citrix Presentation Server pour Java ou client Web Client Secure Access Client «Création de ressources accessibles via un réseau privé virtuel (VPN)», page 137 «Configuration de l'association de type de fichier», page 189 «Contournement de la réécriture d'url», page 167 Gestion des logiciels clients à l'aide du Pack de clients d'accès Si vous décidez de contrôler le déploiement des logiciels clients, le Pack de clients d'accès vous permet de créer un pack Windows Installer pour des logiciels spécifiques. Après avoir créé le pack, vous pouvez le déployer à l'aide d'une infrastructure Microsoft Active Directory ou d'un outil de déploiement MSI tiers standard tel que Systems Management Server. Le Pack de clients d'accès contient certains composants clients de la suite Citrix Access Suite, ce qui vous permet de déployer rapidement et facilement les logiciels clients vers vos utilisateurs et d'en effectuer la maintenance à l'aide d'un pack Windows Installer. Après le déploiement de vos logiciels clients, vous pouvez mettre à jour vos installations simplement en créant et en déployant un pack d'installation mis à jour à l'aide de la dernière version du Pack de clients d'accès. Le Pack de clients d'accès est disponible dans la section de téléchargement (Download) du site Web Citrix, à l'adresse www.citrix.com. Il contient les dernières versions des logiciels clients et les corrections à chaud de certains composants clients de la suite Citrix Access Suite.

234 Guide de l'administrateur Access Gateway édition Advanced Logiciels clients disponibles pour le Pack de clients d'accès Composant Access Suite Citrix Presentation Server Access Gateway Citrix Password Manager Logiciel côté client Program Neighborhood, Agent Program Neighborhood, Client Web Client Secure Access Client, client Live Edit, client d'analyse de point de terminaison Agent Citrix Password Manager Création d'un pack de distribution de logiciels clients Vous pouvez exécuter le Pack de clients d'accès en mode administratif afin de sélectionner les composants clients que vous voulez livrer au sein du même pack. Pour activer le mode administratif, entrez la commande suivante à une invite de commandes : msiexec.exe /a [chemin d'accès du fichier MSI] Sélectionnez les composants clients voulus et personnalisez, si besoin est, le processus d'installation de chaque client. Pour créer un pack d'installation pour un composant client précis, ne sélectionnez que ce client. Si vous souhaitez réduire la taille globale du pack de distribution final, choisissez l'option permettant de supprimer les fichiers inutilisés. Remarque : chaque installation de client comprenant un client Citrix Presentation Server inclut le Centre de connexion Program Neighborhood, lequel permet aux utilisateurs d'obtenir des informations au sujet de leurs connexions ICA actuelles. Distribution et installation de votre pack de logiciels clients Après avoir créé votre pack de logiciels clients, vous pouvez le mettre à la disposition des utilisateurs sur un point de partage réseau ou le distribuer à l'aide de votre infrastructure Active Directory.

Chapitre 13 Déploiement d'advanced Access Control vers les utilisateurs 235 Les configurations des machines clientes doivent satisfaire les spécifications requises pour chacun des composants clients faisant partie du pack. Par exemple, si vous essayez d'installer un pack contenant le client Web et le client Secure Access Client sur une machine dont la configuration ne permet pas d'exécuter le client Secure Access Client, seul le client Web est installé. Le Pack de clients d'accès installe et met à niveau tous les clients disponibles en suivant les spécifications que vous avez définies lors de la création du pack. Chaque composant de votre pack de logiciels clients d'origine doit être inclus dans les packs de mise à niveau que vous créerez par la suite. Par exemple, si vous créez un pack de logiciels constitué du client d'analyse de point de terminaison et du client Web, les futurs packs de mise à niveau devront contenir ces deux logiciels clients. En effet, si vous créez plus tard un pack de mise à niveau ne comprenant que le client d'analyse de point de terminaison, le Pack de clients d'accès désinstallera le client Web. Important : les clients Gateway Client et Advanced Gateway Client ne sont pas pris en charge par Advanced Access Control. Ils ont donc été supprimés du Pack de clients d'accès. Le Pack de clients d'accès contient désormais le client Secure Access Client qui est le composant client remplaçant les clients Gateway Client et Advanced Gateway Client. Par conséquent, le Pack de clients d'accès désinstalle les clients Gateway Client et Advanced Gateway Client des machines clientes. Si des utilisateurs ont besoin des fonctions précédemment disponibles avec ces clients, incluez le client Secure Access Client dans votre pack. En revanche, si vous souhaitez intégrer ultérieurement le client Secure Access Client à votre environnement, créez un pack incluant les trois clients (client d'analyse de point de terminaison, client Web et client Secure Access Client). Lorsque ce pack d'installation est ensuite installé sur des machines clientes sur lesquelles votre pack d'origine a été installé, seul le client Secure Access Client est installé. Aucune modification n'est apportée aux deux autres clients (client d'analyse de point de terminaison et client Web). Une simple vérification est effectuée pour s'assurer qu'ils sont bien installés. Pour désinstaller un client préalablement installé ou mis à niveau à l'aide d'un pack Windows Installer, les utilisateurs doivent exécuter l'outil Ajout/ Suppression de programmes depuis le Panneau de configuration ou exécuter à nouveau le pack Windows Installer et sélectionner l'option Supprimer.

236 Guide de l'administrateur Access Gateway édition Advanced Important : pour installer les logiciels clients au moyen d'un pack Windows Installer, il est nécessaire que le service Windows Installer soit installé sur la machine cliente. Ce service est présent par défaut sur les systèmes Windows 2000. Pour installer des clients sur des machines clientes disposant d'une version antérieure du système d'exploitation Windows, vous devez utiliser le fichier exécutable autoextractible ou installer le composant Windows Installer 2.0 redistribuable pour Windows, disponible à l'adresse suivante : http:// www.microsoft.com/. Pour obtenir plus d'informations sur le Pack de clients d'accès ainsi qu'une liste complète des logiciels clients inclus, veuillez consulter la section de téléchargement (Download) du site Web Citrix, à l'adresse www.citrix.com. Copie des logiciels clients sur un point de partage Il est parfois préférable de placer les logiciels clients disponibles sur un point de partage réseau afin de permettre aux utilisateurs ou aux membres de l'équipe d'assistance de les installer lorsqu'ils en ont besoin. Le Pack de clients d'accès vous permet de créer un pack d'installation pour chaque composant client ou un pack d'installation unique contenant tous vos clients Advanced Access Control, en suivant les instructions ci-dessus. Par ailleurs, pour le client d'analyse de point de terminaison, vous pouvez utiliser le pack d'installation disponible sous la forme de fichiers EXE et MSI dans le répertoire \Setup\EndpointAnalysisClient\langue du CD-ROM du serveur. Téléchargement des logiciels clients à la demande Vous pouvez configurer les logiciels clients pour permettre leur téléchargement et leur installation sur les machines clientes au moment où ils sont nécessaires. Advanced Access Control prend en charge ce type de déploiement pour le client Secure Access Client, le client d'analyse de point de terminaison, le client Web et le client pour Java. Privilégiez cette option de déploiement pour les accès au réseau à partir de machines n'appartenant pas à l'entreprise (à partir de kiosques Internet, par exemple). Le déploiement à la demande du client Secure Access Client est configuré dans les stratégies de connexion. Si une stratégie de connexion est configurée pour démarrer le client Secure Access Client, Advanced Access Control détecte si ce client est déjà installé sur la machine cliente. Si c'est le cas, le client est démarré. Si ce n'est pas le cas, le client est téléchargé sur la machine cliente, puis démarré. Si le logiciel client ne peut pas être téléchargé sur la machine cliente, Advanced Access Control essaie de se connecter aux ressources à l'aide d'un accès par navigateur uniquement.

Chapitre 13 Déploiement d'advanced Access Control vers les utilisateurs 237 Important : l'accès aux applications Web configurées pour contourner le proxy Web, la synchronisation du courrier électronique et l'accès aux ressources réseau requièrent le client Secure Access Client. Si vous avez intégré Advanced Access Control avec une batterie de serveurs Presentation Server, vous avez la possibilité de désigner le client Presentation Server à déployer pour chaque point d'ouverture de session. Cela vous permet de configurer le déploiement des clients Presentation Server en fonction du scénario d'accès. Ainsi, il vous est possible de configurer des téléchargements de client à la demande pour un point d'ouverture de session accessible aux utilisateurs se connectant via Internet et de désactiver cette fonction pour le point d'ouverture de session disponible pour les utilisateurs d'une enclave sur le réseau d'entreprise. Pour permettre l'installation des clients à la demande, il convient de configurer le navigateur client pour qu'il accepte des logiciels clients prenant la forme de contrôles ActiveX, de modules externes ou d'applets Java. De plus, les utilisateurs travaillant sous Windows XP ou Windows 2000 doivent être membres du groupe «Administrateurs» ou «Utilisateurs avec pouvoir» pour être en mesure d'installer les logiciels en question sur leurs machines. Pour plus d'informations sur les configurations requises pour les logiciels clients, veuillez consulter la section «Configurations requises pour les clients», page 65. Vous ne pouvez pas configurer le déploiement à la demande du client d'analyse de point de terminaison. C'est Advanced Access Control qui, en fonction des stratégies associées au point d'ouverture de session, détermine si une analyse de point de terminaison est nécessaire. Si c'est le cas, Advanced Access Control vérifie si le client d'analyse de point de terminaison est présent sur la machine cliente. Si le client d'analyse de point de terminaison est détecté sur la machine cliente, il effectue les analyses appropriées. S'il n'est pas détecté, les utilisateurs sont invités à le télécharger et à l'installer sous la forme d'un contrôle ActiveX pour Internet Explorer ou d'un module externe dans le cas de Netscape Navigator ou de Firefox. Les utilisateurs refusant l'analyse et l'installation du client d'analyse de point de terminaison sur leurs machines clientes reçoivent le même niveau d'accès que si les stratégies associées à l'analyse étaient refusées. Ils peuvent alors recevoir un accès restreint, voire un refus d'accès. Déployez le client d'analyse de point de terminaison à l'avance si vous voulez éviter le téléchargement à la demande de ce client. Remarque : certaines informations d'analyse de point de terminaison sont mises en cache sur la machine cliente. Les utilisateurs peuvent vider leur cache à l'aide de l'outil Gérer l'analyse de point de terminaison (Démarrer > Programmes > Citrix > Client d'analyse de point de terminaison).

238 Guide de l'administrateur Access Gateway édition Advanced Pour configurer le déploiement à la demande des clients Presentation Server 1. Dans l'arborescence de la console, sélectionnez le point d'ouverture de session approprié, puis choisissez Modifier un point d'ouverture de session dans la section Tâches courantes. 2. Sur la page Clients, sélectionnez les clients que vous souhaitez déployer à la demande vers les utilisateurs. Client Web (ActiveX ou module Netscape). Sélectionnez cette option si aucun client Presentation Server n'est installé sur les machines clientes de vos utilisateurs. Sélectionnez l'option Utiliser le client pour Java si le client Web n'est pas utilisable pour déployer le client pour Java lorsqu'il n'est pas possible d'utiliser le client Web ou lorsque l'utilisateur n'autorise pas son téléchargement. Vous pouvez en outre configurer l'option Mettre automatiquement à jour le client Web à l'ouverture de session (ActiveX uniquement). Elle permet d'automatiser la mise à jour du logiciel client. Si vous ne voulez pas mettre à niveau l'installation existante du client sur l'ordinateur de chaque utilisateur, désélectionnez cette option. Client pour Java. Ce client est déployé en mode applet et ne requiert aucune installation. Le navigateur de l'utilisateur place l'applet Java en cache pendant la durée de la session. Il constitue une alternative pour les utilisateurs qui ne sont pas en mesure d'utiliser le client Web. Aucun (utiliser le client installé). Sélectionnez cette option si les logiciels clients requis ont déjà été déployés sur les machines clientes. Pour configurer le déploiement à la demande du client Secure Access Client 1. Dans l'arborescence de la console, sélectionnez Stratégies de connexion. 2. Cliquez deux fois sur la stratégie de connexion que vous voulez modifier. 3. Sur la page Paramètres, sélectionnez Démarrer le client Secure Access Client, puis cliquez sur Oui pour permettre l'application de ce paramètre pour la connexion. Pour plus d'informations sur la configuration du déploiement du client Secure Access Client, veuillez consulter le guide de l'administrateur d'access Gateway (Access Gateway Standard Edition Administrator's Guide).

Chapitre 13 Déploiement d'advanced Access Control vers les utilisateurs 239 Conditions du bon déroulement de l'ouverture de session avec le client Secure Access Client Les utilisateurs ne disposant pas du client Secure Access Client lorsqu'ils ouvrent une session doivent télécharger et installer ce dernier. Cependant, si le client Secure Access Client n'est pas installé et ne se connecte pas rapidement au boîtier Access Gateway, les utilisateurs rencontreront des problèmes pour accéder à la page de démarrage désignée pour le point d'ouverture de session. Pour éviter cela, vous pouvez effectuer les tâches suivantes : Sur le navigateur Web, activez la redirection des utilisateurs vers une URL en dehors du réseau interne. Modifier les paramètres de délai de navigateur Modifier les paramètres de durée de vie de ticket Modification de l'adresse URL du point d'ouverture de session Lorsqu'un utilisateur ouvre une session sur le boîtier Access Gateway, l'agent d'ouverture de session vérifie que l'utilisateur est bien autorisé à se connecter et, selon les stratégies définies, le navigateur Web de l'utilisateur essaie ou non de lancer le client Secure Access Client. Le navigateur Web redirige ensuite l'utilisateur vers la page de démarrage désignée pour le point d'ouverture de session. Par défaut, le navigateur Web redirige l'utilisateur vers la page Sessionlnit.aspx après 10 secondes, par le biais d'une adresse URL interne. Si le lancement du client Secure Access Client échoue au cours de cette période, l'utilisateur ne peut pas accéder aux ressources situées sur le réseau interne. Pour que les utilisateurs aient accès aux ressources dans ce cas de figure, activez le navigateur Web afin de rediriger les utilisateurs vers une adresse URL externe. Les utilisateurs sont alors redirigés vers la page Sessionlnit.aspx par le biais de l'adresse URL du boîtier Access Gateway (par exemple https:// AccessGatewayFQDN). Pour modifier l'adresse URL de redirection 1. Dans l'explorateur Windows, accédez au répertoire virtuel du point d'ouverture de session. Par exemple, accédez au répertoire C:\inetpub\wwwroot\CitrixLogonPoint\NomPointOuvertureSession (NomPointOuvertureSession représente le nom du point d'ouverture de session).

240 Guide de l'administrateur Access Gateway édition Advanced 2. Ouvrez le fichier Web.config dans un éditeur de texte, puis ajoutez la ligne suivante dans la section appsettings : <add key= AlwaysUseClientLessURL value= true /> 3. Répétez les étapes 1 et 2 pour tous les points d'ouverture de session que vous souhaitez modifier. Modification des paramètres de délai du navigateur Lorsqu'un utilisateur démarre le client Secure Access Client et ouvre une session sur le boîtier Access Gateway, son navigateur Web observe un délai avant d'afficher la page de démarrage, pendant que le client Secure Access Client établit une connexion avec le boîtier Access Gateway. Dans le cas de Mozilla Firefox ou de Netscape Navigator, le client Secure Access Client se connecte après une durée prédéfinie. Par défaut, cette durée est de 10 secondes. Si le client Secure Access Client ne s'est pas connecté pendant cette durée, le navigateur Web n'affichera la page de démarrage que si l'utilisateur actualise l'affichage du navigateur Web. Pour fournir suffisamment de temps pour la connexion du client Secure Access Client et permettre ainsi l'affichage de la page de démarrage à l'aide de Mozilla Firefox et de Netscape Navigator, vous pouvez augmenter le délai observé par le navigateur Web avant l'affichage de la page de démarrage. Pour cela, vous pouvez modifier la clé AdvancedGatewayClientActivationDelay du fichier web.config du point d'ouverture de session. Si vous décidez d'effectuer cette modification sur un serveur Advanced Access Control, vous devez le faire sur tous les serveurs de votre batterie de serveurs d'accès. Pour modifier les paramètres de délai de navigateur 1. Dans l'explorateur Windows, accédez au répertoire virtuel du point d'ouverture de session. Par exemple, accédez au répertoire C:\inetpub\wwwroot\CitrixLogonPoint\NomPointOuvertureSession (NomPointOuvertureSession représente le nom du point d'ouverture de session). 2. Ouvrez le fichier web.config dans un éditeur de texte, puis accédez à la ligne suivante. <add key= AdvancedGatewayClientActivationDelay value= 18 /> 3. Donnez à la clé la valeur correspondant au nombre de secondes que vous voulez fournir au client Secure Access Client pour l'établissement d'une connexion au boîtier Access Gateway. 4. Répétez les étapes 1 à 3 sur tous les autres serveurs Advanced Access Control.

Chapitre 13 Déploiement d'advanced Access Control vers les utilisateurs 241 Modification des paramètres de durée de vie de ticket Lorsqu'un utilisateur démarre le client Secure Access Client et ouvre une session sur le boîtier Access Gateway, son navigateur Web reçoit un ticket du service d'authentification Citrix. Ce ticket doit être utilisé avant l'expiration d'une durée prédéfinie. La durée par défaut est de 85 secondes. Si le ticket est utilisé pendant cette période, le navigateur Web de l'utilisateur affiche la page de démarrage. Si le client Secure Access Client ne s'est pas connecté pendant cette période, le ticket expire et le navigateur Web n'affiche pas la page de démarrage. L'utilisateur doit à nouveau accéder au point d'ouverture de session et recevoir un nouveau ticket. Pour fournir suffisamment de temps pour la connexion du client Secure Access Client et permettre une bonne utilisation des tickets, vous pouvez augmenter la durée de vie des tickets fournis aux utilisateurs. Pour cela, vous pouvez modifier les clés de profil de ticket accessibles dans le fichier web.config du service d'authentification Citrix. Si vous décidez d'effectuer cette modification sur un serveur Advanced Access Control, vous devez le faire sur tous les serveurs de votre batterie de serveurs d'accès. Pour modifier les paramètres de durée de vie de ticket 1. Dans l'explorateur Windows, accédez au répertoire Web du service d'authentification Citrix (C:\inetpub\wwwroot\CitrixAuthService). 2. Ouvrez le fichier web.config dans un éditeur de texte, puis accédez aux lignes suivantes. <add key= TicketProfile_SGC_CGP value= MULTIUSE,85,1200,true,true /> <add key= TicketProfile_ASGC_CGP value= MULTIUSE,85,1200,true,true /> 3. Modifiez la première valeur numérique des deux clés. Adoptez la valeur voulue pour la durée de validité des tickets (nombre de secondes à partir de leur délivrance). 4. Répétez les étapes 1 à 3 sur tous les autres serveurs Advanced Access Control.

242 Guide de l'administrateur Access Gateway édition Advanced Conditions d'un déploiement sans problème Après avoir mis en œuvre et testé votre stratégie de déploiement de logiciels clients, vous êtes prêt à communiquer aux utilisateurs les informations dont ils ont besoin pour accéder aux ressources d'entreprise via Advanced Access Control. Pour les tenir informés du déploiement prévu d'advanced Access Control, envisagez une méthode de communication formelle. Par exemple, publiez les informations correspondantes sur l'intranet de votre entreprise, prévoyez des séances de formation ou prévenez-les par e-mail. En cas de fortes contraintes budgétaires, évaluez si les bénéfices associés à certains coûts liés à votre stratégie de déploiement permettent réellement d'améliorer les résultats financiers de l'entreprise. Par exemple, les frais de formation peuvent être justifiés si la formation permet des économies en limitant le nombre des appels au service d'assistance technique. Voici les points à prendre en compte lors de la transmission d'informations supplémentaires aux utilisateurs. Logiciels clients. Selon votre stratégie de déploiement des clients, les utilisateurs devront éventuellement installer les logiciels clients sur leur propre machine. Dans ce scénario, n'oubliez pas d'indiquer aux utilisateurs l'emplacement du partage de fichiers à partir duquel ils peuvent accéder aux packs d'installation. Si vous avez mis en œuvre une stratégie de déploiement à la demande, demandez-leur d'accepter ces clients lorsqu'ils y sont invités. Pensez également à leur dire que s'ils refusent l'installation de client à la demande, ils ne pourront pas bénéficier de toutes les fonctionnalités dans leur session. Points d'ouverture de session. Si les utilisateurs ont la possibilité d'accéder au réseau d'entreprise à partir de plusieurs points d'ouverture de session, vous devez leur fournir toutes les adresses URL correspondantes. Par exemple, si vous avez créé deux points d'ouverture de session, un pour l'accès à partir d'une enclave réseau et un pour l'accès externe via Internet, les utilisateurs ont besoin de connaître leurs adresses URL. La section suivante contient des informations supplémentaires sur la communication des informations d'ouverture de session aux utilisateurs. Contrôle d'accès basé sur des stratégies. Prévenez les utilisateurs si vous avez mis en place une stratégie d'accès établissant différents niveaux d'accès aux ressources d'entreprise en fonction de plusieurs facteurs (tels que les résultats d'analyse de point de terminaison, le type d'authentification ou le point d'ouverture de session).

Chapitre 13 Déploiement d'advanced Access Control vers les utilisateurs 243 Par exemple, vous pouvez créer une stratégie permettant aux utilisateurs de télécharger un document lorsqu'ils y accèdent depuis une enclave réseau et une autre leur refusant ce niveau d'accès lorsqu'ils essaient d'ouvrir le document à partir de leur domicile. Cela permet notamment d'éviter les sources de confusion et de limiter les appels au service d'assistance technique. Communication des informations d'ouverture de session aux utilisateurs Les utilisateurs peuvent accéder à un point d'ouverture de session spécifique à l'aide de l'adresse URL suivante : https://nomdedomainecompletduboîtieraccessgateway/citrixlogonpoint/ NomPointOuvertureSession/ NomDeDomaineCompletDuBoîtierAccessGateway représente le nom de domaine complet (FQDN) du boîtier Access Gateway sur lequel vous avez déployé le point d'ouverture de session et NomPointOuvertureSession représente le nom du point d'ouverture de session. Par exemple, si le nom de domaine complet du boîtier Access Gateway est «serveurentreprise.mondomaine.com» et le nom du point d'ouverture de session est «distant», l'adresseurl pour l'ouverture de session est https:// serveurentreprise.mondomaine.com/citrixlogonpoint/distant. Les utilisateurs peuvent aussi accéder au point d'ouverture de session par défaut à l'aide de l'adresse URL suivante : https://nomdedomainecompletduboîtieraccessgateway/ NomDeDomaineCompletDuBoîtierAccessGateway représente le nom de domaine complet (FQDN) du boîtier Access Gateway sur lequel vous avez déployé le point d'ouverture de session.

244 Guide de l'administrateur Access Gateway édition Advanced Considérations en matière de sécurité du navigateur Certains réglages de sécurité personnalisés du navigateur Web risquent d'empêcher les utilisateurs d'accéder à Advanced Access Control. Veuillez donc respecter les consignes suivantes pour vous assurer que les utilisateurs puissent accéder aux serveurs appropriés sur votre réseau. Pour que les utilisateurs puissent accéder correctement aux ressources d'entreprise via Advanced Access Control, effectuez les réglages de navigateur suivants : Cookies. Advanced Access Control utilise des cookies de session qui ne sont pas stockés sur disque. Aucune tierce partie ne peut donc accéder à ces cookies. Ne pas autoriser les cookies de session empêche toute connexion à Advanced Access Control. Les utilisateurs ne peuvent plus dès lors ouvrir une session Advanced Access Control car cette opération requiert un cookie de session. Téléchargement de fichier. La désactivation du téléchargement de fichier empêche le téléchargement des fichiers du réseau d'entreprise, l'ouverture de sessions ICA transparentes et l'accès aux serveurs Web internes à l'extérieur de la batterie de serveurs d'accès. Scripts. La désactivation de la fonction Active scripting rend Advanced Access Control inaccessible. La désactivation des scripts d'applet Java empêche les utilisateurs de démarrer des applications publiées à l'aide du client pour Java. Modifiez les paramètres de sécurité uniquement pour les zones contenant des ressources accessibles via Advanced Access Control. Si vous faites totalement confiance aux sites de votre intranet d'entreprise, vous pouvez choisir le niveau de sécurité Faible pour la zone Intranet local. Si ce n'est pas le cas, optez pour un niveau de sécurité Moyennement bas ou Moyen. Plusieurs réglages de sécurité du navigateur nécessaires pour accéder aux serveurs Advanced Access Control sont désactivés lorsque les niveaux de sécurité Élevés sont adoptés. Par conséquent, si le niveau de sécurité Élevé est adopté pour la zone Intranet local, personnalisez les paramètres de sécurité du navigateur en procédant comme indiqué dans la section suivante. Si vous préférez conserver les réglages de sécurité par défaut et personnaliser certains paramètres de sécurité de vos serveurs Advanced Access Control, vous pouvez configurer chaque serveur de la batterie de serveurs d'accès pour qu'il soit un «site de confiance». Cela permet de redéfinir les paramètres de sécurité sans incidence sur les paramètres Internet et Intranet local.

Chapitre 13 Déploiement d'advanced Access Control vers les utilisateurs 245 Important : si votre batterie de serveurs d'accès requiert le protocole SSL, assurez-vous que ce protocole est nécessaire pour tous les sites de la zone Sites de confiance. Personnalisation des paramètres de sécurité du navigateur Le tableau suivant présente des réglages de sécurité supplémentaires du navigateur Internet Explorer nécessaires aux scénarios de déploiement faisant appel à un logiciel client. La plupart des paramètres cités sont accessibles depuis l'onglet Sécurité de la boîte de dialogue Options Internet. Scénario de déploiement Client d'analyse de point de terminaison Réglages requis Exécuter les contrôles ActiveX et les plugins (Activer) Contrôles Script ActiveX reconnus sûrs pour l'écriture de scripts (Activer) Téléchargement de fichier (Activer)

246 Guide de l'administrateur Access Gateway édition Advanced Scénario de déploiement Réglages requis Client Live Edit Exécuter les contrôles ActiveX et les plugins (Activer) Contrôles Script ActiveX reconnus sûrs pour l'écriture de scripts (Activer) Téléchargement de fichier (Activer) Client Web Exécuter les contrôles ActiveX et les plugins (Activer) Contrôles Script ActiveX reconnus sûrs pour l'écriture de scripts (Activer) Téléchargement de fichier (Activer) Ne pas enregistrer les pages cryptées sur le disque (Désactiver) Client pour Java Autorisations Java (Haute sécurité ou Personnalisée) Si vous sélectionnez Personnalisée, sélectionnez les options suivantes : Exécutez le contenu non signé (Exécuter en sandbox) Exécutez le contenu signé (Demander ou Activer) Ne pas enregistrer les pages cryptées sur le disque (Désactiver) Choisissez également Demander ou Activer pour toutes les Autorisations signées complémentaires Personnalisation du message d'erreur d'ouverture de session Un message d'accès refusé peut apparaître lors d'une tentative d'accès à la page d'ouverture de session. Cela peut se produire si l'utilisateur ne remplit pas les conditions définies dans une stratégie contrôlant la permission Autoriser l'ouverture de session ou les conditions configurées dans les propriétés de point d'ouverture de session pour l'affichage de la page d'ouverture de session. Vous pouvez modifier le contenu de la page d'accès refusé afin de fournir aux utilisateurs des informations de dépannage ou de les renvoyer vers une autre page Web contenant les solutions à un problème spécifique détecté. De plus, chaque point d'ouverture de session disposant de sa propre page d'accès refusé, vous pouvez personnaliser ce message pour prendre en compte les scénarios d'accès qui lui sont spécifiques.

Chapitre 13 Déploiement d'advanced Access Control vers les utilisateurs 247 Par exemple, il est possible d'y inclure les réponses aux questions fréquemment posées et les coordonnées du service d'assistance technique. Vous pouvez aussi personnaliser la page d'accès refusé en redirigeant les utilisateurs vers une page Web contenant des liens vers des packs d'installation de logiciel client. Vous pouvez créer et déployer un point d'ouverture de session dans le seul but de tester les modifications apportées à la page d'accès refusé. Lorsque vous serez prêt à intégrer la page personnalisée à votre environnement de production, il suffira de copier la page à l'emplacement approprié sur le serveur d'agent d'ouverture de session. Le message d'accès refusé est généré par un contrôle utilisateur ASP.NET qu'il est possible de modifier à l'aide d'un éditeur de texte prenant en charge les fichiers ASCX. Pour modifier le message d'accès refusé 1. Sur un serveur Advanced Access Control, accédez au répertoire suivant : %SystemDrive%:\inetpub\wwwrooot\Citrixlogonpoint\NomPointOuvertur esession NomPointOuvertureSession représente le nom du point d'ouverture de session associé à la page à personnaliser. 2. Faites une copie de sauvegarde du fichier disallowed.ascx. 3. Apportez les modifications voulues à disallowed.ascx. Par exemple, si vous disposez d'un site de dépannage appelé www.gotoassist.com, ajoutez l'instruction suivante à la fin du fichier disallowed.ascx : <a href="http://www.gotoassist.com/ph/button">cliquez ici pour démarrer GoToAssist</a> Attention : ne modifiez pas la logique définie dans la page car cela pourrait produire des résultats inattendus. 4. Répétez les étapes 1 à 3 pour personnaliser le message d'accès refusé des autres points d'ouverture de session. 5. Mettez à jour les fichiers de page d'ouverture de session sur le boîtier Access Gateway en suivant les instructions fournies dans la section «Mise à jour des informations de page d'ouverture de session», page 106.

248 Guide de l'administrateur Access Gateway édition Advanced

CHAPITRE 14 Gestion de votre environnement Access Gateway Après la configuration des serveurs de votre batterie de serveurs d'accès, la gestion de votre déploiement comprend plusieurs tâches vous permettant d'assurer l'efficacité et le bon fonctionnement de votre déploiement. Cette section aborde les points suivants : la gestion d'une batterie de serveurs d'accès à partir de diverses consoles ; la sécurisation de la console Access Management Console à l'aide de COM+ ; l'ajout et la suppression de batteries et de serveurs ; la modification du compte de service ou des informations d'identification pour la base de données ; la modification des rôles de serveur ; la minimisation de la durée d'immobilisation de votre batterie de serveurs d'accès ; le contrôle des sessions utilisateur. Gestion à distance des batteries de serveurs d'accès L'outil Access Gateway Administration Tool et la console Access Management Console vous permettent de gérer votre batterie de serveurs d'accès à partir d'un poste de travail distant. Vous pouvez installer l'outil Administration Tool à partir de l'outil Access Gateway Administration Portal. Pour installer la console Access Management Console, utilisez le CD-ROM du serveur Advanced Access Control.

250 Guide de l'administrateur Access Gateway édition Advanced Pour télécharger et installer l'outil Administration Tool 1. Dans un navigateur Web, entrez l'adresse URL du boîtier Access Gateway, puis fournissez vos informations d'identification d'administrateur. 2. Dans l'outil Access Gateway Administration Portal, cliquez sur Downloads. 3. Sous Administration, cliquez sur Download Access Gateway Administration Tool Installer. 4. Sélectionnez l'emplacement auquel vous voulez enregistrer le programme d'installation, puis cliquez sur Enregistrer. Le programme d'installation est téléchargé sur votre ordinateur. 5. À l'issue du téléchargement, accédez à l'emplacement auquel le fichier a été enregistré, puis cliquez deux fois sur le fichier. 6. Pour installer l'outil Administration Tool, suivez les instructions fournies par l'assistant. 7. Pour démarrer l'outil Administration Tool, cliquez sur Démarrer > Programmes > Citrix Access Gateway Administration Tool > Citrix Access Gateway Administration Tool. 8. Entrez les informations d'identification d'administrateur d'access Gateway dans les zones de texte Nom d'utilisateur et Mot de passe. Par défaut, le nom d'utilisateur et le mot de passe sont root et rootadmin. Pour installer la console Access Management Console 1. Insérez le CD-ROM Advanced Access Control ou démarrez le programme AutoRun.exe à partir d'une image du CD-ROM. 2. Cliquez sur Installations des produits, puis sur Advanced Access Control afin de démarrer le programme d'installation. 3. Acceptez les termes du contrat de licence, puis passez à l'écran Sélection des composants. 4. Sélectionnez Console de gestion et désélectionnez les autres composants sélectionnés par défaut. 5. Effectuez les étapes restantes de l'assistant.

Chapitre 14 Gestion de votre environnement Access Gateway 251 Contrôle de l'accès à partir de plusieurs consoles Lorsqu'une console se connecte à une batterie de serveurs d'accès, d'autres instances de la console peuvent gérer de façon active la batterie de serveurs en parallèle. En cas de modifications des mêmes paramètres de configuration, Advanced Access Control prend en compte la première modification enregistrée dans la base de données (comme l'atteste la valeur d'horodatage de la modification). Si deux modifications sont enregistrées en même temps, c'est celle qui possède la valeur d'horodatage la plus ancienne qui a priorité. Lors de la connexion d'une instance de la console à une batterie de serveurs, vous êtes averti si une autre instance est détectée. Une modification de configuration que vous effectuez alors peut ne pas être retenue à cause d'une modification apportée sur une autre instance de console. Cliquez sur Oui pour indiquer que vous avez pris connaissance du message et pour le fermer. Important : l'administration d'advanced Access Control à partir de plusieurs instances simultanées de la console présente un risque d'altération des données et d'instabilité dans les performances des serveurs. Citrix recommande d'utiliser une seule instance de la console à la fois pour la gestion d'une batterie de serveurs d'accès. Utilisation des groupes dans les attributions de stratégies Il est généralement recommandé de n'attribuer les stratégies qu'à des groupes d'utilisateurs de domaine ou des groupes d'autorité de compte. Si vous associez une stratégie à des utilisateurs locaux à partir d'une console se trouvant sur une station de travail distante, il est possible qu'un message d'erreur apparaisse lorsque vous modifiez la stratégie depuis une autre console. Vous pouvez supprimer ou modifier une telle stratégie locale à l'aide de la console exécutée sur le serveur Advanced Access Control. Sécurisation de la console Access Management Console à l'aide de COM+ Selon les besoins de votre organisation, vous pouvez autoriser la gestion de votre batterie de serveurs d'accès par d'autres administrateurs. À l'aide de la sécurité COM+ basée sur les rôles, vous pouvez spécifier les utilisateurs en mesure d'apporter des modifications à la batterie de serveurs d'accès à l'aide de la console Access Management Console.

252 Guide de l'administrateur Access Gateway édition Advanced Au cours de l'installation, Advanced Access Control crée les rôles de sécurité suivants pour l'application COM+ Access Gateway Server. Administrateurs. Les utilisateurs ayant ce rôle ne sont pas autorisés à modifier l'environnement Advanced Access Control à l'aide de la console. Non administrateurs de boîtier. Les utilisateurs ayant ce rôle ne sont autorisés à effectuer des modifications que sur les ressources et les stratégies. Ils ne sont pas autorisés à modifier les paramètres de boîtier Access Gateway. Les utilisateurs ayant ce rôle ne doivent pas avoir aussi le rôle Administrateurs. Si un utilisateur dispose des deux rôles, le rôle «Non administrateurs de boîtier» lui est appliqué. Système. Ce rôle intègre le compte de service et les comptes locaux qui ont besoin de l'accès à l'application COM+ du serveur Access Gateway. Si vous ajoutez des utilisateurs au rôle «Administrateurs» ou «Non administrateurs de boîtier», il est possible qu'ils aient accès à l'interface API publiée par l'application en plus de la console. Prenez en compte l'ensemble des risques avant d'ajouter des utilisateurs au rôle «Administrateurs». Important : les comptes faisant partie du rôle «Système» sont nécessaires au fonctionnement d'advanced Access Control. Vous devez aussi fermer la console Access Management Console avant d'ajouter des utilisateurs au rôle «Administrateurs» ou «Non administrateurs de boîtier». Si ces comptes système sont modifiés ou si la console est ouverte alors que la sécurité COM+ est appliquée, votre batterie de serveurs d'accès risque de s'arrêter de fonctionner et vous risquez de perdre des données. Pour permettre aux administrateurs d'utiliser la console Access Management Console 1. Fermez la console Access Management Console si celle-ci est ouverte. 2. Cliquez sur Démarrer > Programmes ou Tous les programmes > Outils d'administration > Services de composants. 3. Dans l'arborescence de la console, développez Services de composants > Ordinateurs > Poste de travail > Applications COM+.

Chapitre 14 Gestion de votre environnement Access Gateway 253 4. Développez le nœud Access Gateway Library > Rôles, puis sélectionnez le rôle approprié pour le ou les utilisateur(s) à ajouter : Pour autoriser le ou les administrateur(s) à accéder aux paramètres de boîtier et aux paramètres de batterie à l'aide de la console, développez Administrateurs. Pour autoriser le ou les administrateur(s) à accéder aux paramètres de batterie uniquement, développez Non administrateurs de boîtier. 5. Cliquez avec le bouton droit de la souris sur Utilisateurs, puis sélectionnez Nouveau. 6. Entrez le(s) compte(s) d'utilisateur que vous voulez ajouter, puis cliquez sur OK. 7. Redémarrez l'application COM+ Access Gateway Library. 8. Répétez les étapes 4 à 7 pour l'application COM+ Access Gateway Server. Redémarrage des applications COM+ Redémarrez l'application COM+ Access Gateway Server dans les cas suivants. Vous ajoutez des utilisateurs au rôle «Administrateurs» ou «Non administrateurs de boîtier» de sorte qu'ils puissent apporter des modifications à votre déploiement à partir de la console Access Management Console. Un composant (par exemple, les points d'ouverture de session ou la fonction de proxy Web) ne fonctionne pas correctement. Il s'agit d'une première mesure de résolution de problème. Vous voulez modifier un composant accédant à l'application COM+ Access Gateway Server (par exemple, le courrier électronique Web). Si, par exemple, vous modifiez Mapisvc.inf pour activer Microsoft Exchange 2000 et utiliser l'interface de courrier électronique par défaut, vous devez redémarrer l'application COM+ du serveur Access Gateway. Cela garantit que les modifications sont prises en compte au moment de l'exécution. Pour redémarrer l'application COM+ du serveur Access Gateway 1. Cliquez sur Démarrer > Programmes ou Tous les programmes > Outils d'administration > Services de composants. 2. Dans la fenêtre Services de composants, développez Ordinateurs > Mon poste de travail > Applications COM+. 3. Cliquez avec le bouton droit de la souris sur Access Gateway Server, puis sélectionnez Arrêter.

254 Guide de l'administrateur Access Gateway édition Advanced 4. Cliquez avec le bouton droit de la souris sur Access Gateway Server, puis sélectionnez Démarrer. Ajout et suppression de batteries Si votre déploiement se compose de plusieurs batteries de serveurs d'accès, vous pouvez les gérer à l'aide d'une seule console. Pour cela, vous ajoutez les autres batteries de serveurs d'accès à l'arborescence de la console. Pour ajouter une batterie de serveurs d'accès 1. Dans l'arborescence de la console, sélectionnez le nœud Access Gateway. 2. Dans la section Tâches courantes, cliquez sur Ajouter une batterie de serveurs d'accès. 3. Dans la zone Serveur, entrez le nom d'ordinateur ou l'adresse IP d'un serveur de la batterie que vous voulez ajouter. 4. Cliquez sur OK. La console Access Management Console se connecte alors à la batterie de serveurs d'accès et affiche le nœud correspondant dans son arborescence. Remarque : pour gérer plusieurs batteries de serveurs d'accès à partir d'instances de console exécutées sur d'autres machines, vous devez ajouter les batteries à chaque console. Pour supprimer une batterie de serveurs d'accès 1. Dans l'arborescence de la console, développez le nœud Access Gateway, puis sélectionnez la batterie à supprimer. 2. Dans la section Tâches courantes, cliquez sur Supprimer la batterie. Ajout et suppression de boîtiers Access Gateway Pour ajouter un boîtier Access Gateway à votre batterie de serveurs d'accès, effectuez les étapes suivantes. 1. Installez et configurez le boîtier en suivant les instructions fournies dans le guide Getting Started with Citrix Access Gateway Standard Edition. 2. Dans l'outil Access Gateway Administration Tool, activez Advanced Access Control pour l'administration de boîtiers. Pour plus d informations, veuillez consulter le chapitre «Activation d'advanced Access Control», page 90.

Chapitre 14 Gestion de votre environnement Access Gateway 255 3. Exécutez la découverte dans la console. Pour supprimer un boîtier Access Gateway de votre batterie de serveurs d'accès, effectuez les étapes suivantes. 1. Dans l'outil Access Gateway Administration Tool, désactivez Advanced Access Control pour l'administration de boîtiers et supprimez toutes les informations de batterie de serveurs d'accès. 2. Supprimez le boîtier Access Gateway de la console. La suppression d'un boîtier Access Gateway de la console entraîne seulement la suppression des informations d'inscription de la base de données de la batterie de serveurs d'accès. Si vous ne supprimez pas toutes les informations de batterie de serveurs d'accès de l'outil Access Gateway Administration Tool avant de supprimer le boîtier de la console, Advanced Access Control inscrit à nouveau le boîtier et l'affiche sous le nœud Boîtiers Access Gateway lors de la prochaine découverte. Pour désactiver l'administration d'un boîtier Access Gateway par la console 1. Démarrez l'outil Access Gateway Administration Tool, puis sélectionnez le boîtier Access Gateway à supprimer. 2. Cliquez sur l'onglet Advanced Options, puis désélectionnez l'option Advanced Access Control - includes an access server farm. 3. Dans la zone Server running Advanced Access Control, supprimez le nom du serveur Advanced Access Control. 4. Pour enregistrer vos modifications, cliquez sur Submit. 5. Redémarrez le boîtier Access Gateway. Pour supprimer un boîtier Access Gateway de la console 1. Dans l'arborescence de la console, développez Boîtiers Access Gateway, puis sélectionnez le boîtier Access Gateway à supprimer. 2. Cliquez sur Supprimer un boîtier d'une batterie, puis sur Oui afin de supprimer le boîtier Access Gateway de la batterie.

256 Guide de l'administrateur Access Gateway édition Advanced Modification du compte de service et des informations d'identification de base de données Vous pouvez modifier les informations d'identification du compte de service ou du compte d'accès SQL en cas de suppression, de désactivation ou de modification du mot de passe de l'un de ces comptes. Si les informations d'identification ne sont pas modifiées, Advanced Access Control ne fonctionne pas. Utilisez l'outil Configuration de serveur pour modifier les informations d'identification de ces comptes. Vous pouvez exécuter l'outil Configuration de serveur à tout moment sans interrompre le fonctionnement de la batterie. Cependant, il est indispensable de fermer la console sur l'ordinateur sur lequel elle est en cours d'exécution. Si la console est en cours d'exécution à distance et si les informations d'identification de compte sont modifiées, la console affiche un message d'erreur. Fermez, puis ouvrez de nouveau la console pour remédier à ce problème. L'outil Configuration de serveur et les informations de compte sont stockés sur chaque serveur Advanced Access Control. Pour utiliser cet outil, vous devez ouvrir une session sur le serveur en tant qu'administrateur. Pour modifier les informations d'identification de compte 1. Sur le serveur Advanced Access Control, sélectionnezdémarrer > Programmes ou Tous les programmes > Citrix > Advanced Access Control > Configuration du serveur. 2. Cliquez sur Compte de service pour modifier le nom d'utilisateur, le mot de passe ou le domaine du compte de service. Pour plus d'informations sur les éléments requis pour les comptes de service valides, veuillez consulter la section «Configurations requises de compte de service», page 49. 3. Cliquez sur Informations de batterie de serveurs pour modifier le serveur de base de données de la batterie, le nom de la batterie ou la méthode d'authentification de la base de données. Modification des rôles d'un serveur Chaque serveur Advanced Access Control est configuré pour le rôle de serveur d'aperçu HTML par défaut. Si vous ne souhaitez pas que tous les serveurs de votre batterie assurent ce rôle, vous pouvez l'activer ou le désactiver pour chaque serveur.

Chapitre 14 Gestion de votre environnement Access Gateway 257 Pour modifier les rôles d'un serveur 1. Dans l'arborescence de la console, sélectionnez Serveurs. 2. Dans la section Tâches courantes, cliquez sur Gérer les rôles de serveur. 3. Sélectionnez ou désélectionnez les cases des serveurs auxquels vous souhaitez attribuer un rôle d'aperçu HTML. Suppression d'un serveur d'une batterie Lorsque vous supprimez un serveur d'une batterie, les services que celui-ci fournit à votre batterie ne sont plus disponibles. Si vous souhaitez conserver ces services, assurez-vous qu'ils sont activés sur d'autres serveurs de la batterie. Pour supprimer un serveur d'une batterie de serveurs d'accès 1. Cliquez sur Exécuter la découverte pour vous assurer qu'advanced Access Control détecte tous les serveurs de la batterie. 2. Dans l'arborescence de la console, développez le nœud Serveurs. 3. Sélectionnez le serveur que vous voulez supprimer. 4. Dans la section Tâches courantes, cliquez sur Supprimer un serveur. Disponibilité des batteries de serveurs d'accès Advanced Access Control tient à jour les données de configuration, de session et les données relatives aux utilisateurs pour la batterie de serveurs d'accès dans une base de données SQL sur le serveur de base de données. Si le serveur de base de données devient indisponible, Advanced Access Control ne peut pas obtenir les données dont il a besoin pour répondre aux requêtes des utilisateurs et des serveurs. Si un serveur Advanced Access Control devient indisponible, les utilisateurs ne peuvent plus y ouvrir de session ou y accéder aux ressources. Cette section décrit les moyens existants pour assurer une disponibilité maximale de votre batterie de serveurs d'accès. Création d'une copie de sauvegarde de la base de données SQL. Après avoir créé une copie de sauvegarde initiale, vous devez vous assurer que la base de données est sauvegardée régulièrement à des intervalles appropriés. De plus, vous devez vérifier que les données peuvent être restaurées à partir de cette copie de sauvegarde.

258 Guide de l'administrateur Access Gateway édition Advanced Mise en cluster du serveur de base de données. La mise en cluster permet à un autre serveur de base de données de prendre le relais du premier serveur de base de données si celui-ci n'est plus disponible et d'assurer ainsi un fonctionnement continu de la batterie. Les serveurs en cluster sont «vus» par Advanced Access Control comme un serveur de base de données unique. Mise en cluster du serveur Advanced Access Control. Comme pour le serveur de base de données, la mise en cluster permet à un autre serveur Advanced Access Control de poursuivre les opérations d'un serveur devenu indisponible. Les utilisateurs peuvent alors continuer à ouvrir des sessions sur le serveur et à accéder aux ressources. Exportation et importation des données de configuration Vous pouvez exporter et importer vos données de configuration de batterie à l'aide de la console Access Management Console. Cela peut vous être utile si vous souhaitez enregistrer des données de configuration depuis une batterie située dans un environnement de transfert et les copier dans une batterie située dans un environnement de production. Un fichier.cab composé de fichiers XML compressés est créé lors de l'exportation de votre configuration de batterie. Les fichiers XML comprennent les données suivantes : Mes paramètres globaux de batterie tels que l'ordre dans lequel s'affichent les applications de la page de démarrage, le serveur de licence et les profils d'authentication Paramètres de la batterie du serveur Presentation Server Paramètres du réseau et des ressources Web Paramètres des points d'ouverture de session Paramètres de stratégie Paramètres d'analyse des points de terminaison Paramètres d'analyse continue Paramètres du boîtier Gateway

Chapitre 14 Gestion de votre environnement Access Gateway 259 Les données non exportées comprennent : Nom de batterie de serveurs d'accès les données qui ne sont valides que lorsque le serveur Advanced Access Control est en cours d'exécution, telles que les données de la session de l'utilisateur ; les informations du serveur telles que les noms des machines ; Après avoir exporté la configuration de votre batterie, vous pouvez importer le fichier.cab afin de restaurer la configuration sur un autre serveur exécutant la même version d'advanced Access Control. Avant d'exporter la configuration de votre batterie, prenez connaissance des conditions suivantes : Vous pouvez uniquement importer les fichiers.cab exportés à l'aide de la même version d'advanced Access Control. Par exemple, si vous exportez la configuration d'une batterie disposant de la version 4.5 d'advanced Access Control, vous ne pouvez importer les données de configuration que sur un autre serveur Advanced Access Control disposant de la version 4.5. Si vous importez les données de configuration sur un serveur disposant d'une autre version d'advanced Access Control, l'importation échoue. Remarque : si vous souhaitez importer des données de configuration depuis une version antérieure d'advanced Access Control, vous devez d'abord utiliser l'outil de migration pour préparer vos données à l'importation dans une batterie exécutant la version 4.5. Pour plus d'informations sur la migration vers la version 4.5 à partir d'une version antérieure d'advanced Access Control, veuillez consulter le Guide de mise à niveau Access Gateway édition Advanced. Les importations et les exportations incrémentielles des données de configuration des batteries ne sont pas prises en charge. Vous ne pouvez importer ou exporter que des configurations entières de batteries. Si vous importez des données de configuration de batterie, la configuration de batterie existante est supprimée et remplacée par les données importées. Important : avant d'importer les données de configuration de batterie, Citrix vous recommande de créer une copie de sauvegarde de la base de données SQL de la batterie.

260 Guide de l'administrateur Access Gateway édition Advanced Contrôle des sessions Pour exporter la configuration de batterie de votre serveur d'accès 1. Dans l'arborescence de la console, sélectionnez le nœud de batterie, puis cliquez sur Exporter la batterie dans la section Autres tâches. 2. Indiquez l'emplacement du fichier.cab que vous souhaitez créer. Lorsque vous cliquez sur Suivant, les fichiers XML sont compressés en fichier.cab et enregistrés à l'emplacement spécifié. Pour importer la configuration de batterie de votre serveur d'accès 1. Dans l'arborescence de la console, sélectionnez le nœud de batterie, puis cliquez sur Importer la batterie dans la section Autres tâches. 2. Saisissez l'emplacement du fichier.cab à importer. Lorsque vous cliquez sur Suivant, le fichier.cab est décompressé et les données de configuration existantes sont remplacées par les données importées. Le Visualiseur de session d'access Gateway édition Advanced est un outil de contrôle de session permettant aux administrateurs de vérifier l'accès de l'utilisateur à la batterie de serveurs d'accès et d'interrompre les sessions d'utilisateurs. Remarque : pour exécuter le Visualiseur de session, vous devez posséder les privilèges d'administrateur. Une session Advanced Access Control n'est pas nécessaire à l'exécution du Visualiseur de Session. Le Visualiseur de session affiche les données du serveur sur lequel vous avez ouvert une session ou les données d'autres serveurs Advanced Access Control. Ces données comprennent : Adresse IP de la machine cliente Nom d'utilisateur fourni pour l'ouverture de session Clients installés Point d'ouverture de session accédé et page de démarrage par défaut Nom du serveur Advanced Access Control auquel l'utilisateur est en train d'accéder

Chapitre 14 Gestion de votre environnement Access Gateway 261 Lorsque vous sélectionnez une session dans le panneau Sessions, les données de cette session apparaissent dans le panneau Valeurs de session. Vous pouvez classer les sessions en cliquant sur les en-têtes des colonnes du panneau Sessions. Pour accéder au Visualiseur de session Choisissez Démarrer > Programmes > Citrix > Access Gateway >Visualiseur de session. Pour interrompre les sessions 1. Dans le panneau Sessions, sélectionnez les sessions d'utilisateur que vous souhaitez interrompre. 2. Cliquez sur Supprimer. Si l'utilisateur essaie d'accéder aux ressources une fois la session interrompue, une page d'erreur apparaît et l'utilisateur doit ouvrir une nouvelle session.

262 Guide de l'administrateur Access Gateway édition Advanced

CHAPITRE 15 Audit des accès aux ressources d'entreprise Les fonctions de journalisation des événements d'advanced Access Control permettent de recueillir les informations nécessaires au contrôle de l'accès aux ressources d'entreprise. Les journaux d'événements présentent les avantages suivants : garantie de la conformité vis à vis de dispositions réglementaires ; garantie de la conformité vis à vis de directives internes à l'entreprise ; possibilité de prendre des mesures proactives pour éliminer les points vulnérables du système en évaluant les circonstances donnant lieu au contournement des conditions d'accès définies et en modifiant les stratégies d'accès pour résoudre ces éventuels problèmes ; référence disponible pour les membres de l'équipe d'assistance chargés de remédier aux problèmes d'accès aux ressources d'entreprise. Configuration des fonctions d'audit Vous pouvez configurer Advanced Access Control de sorte qu'il enregistre certaines activités spécifiques des utilisateurs à des fins d'audit. Par exemple, vous pouvez contrôler les résultats d'analyse de point de terminaison, les ouvertures de session et les tentatives d'accès aux ressources qui n'ont pas abouti (courrier électronique Web, partages de fichiers, etc.). Avant de configurer les paramètres des journaux d'événements, déterminez les informations que vous devez recueillir et activez la journalisation seulement pour les événements correspondants. Ceci permet de limiter l'impact de la journalisation sur les performances du système et l'utilisation de l'espace disque. De plus, limiter la journalisation aux seules informations en rapport avec le processus d'audit permet d'alléger la tâche d'évaluation de ces données.

264 Guide de l'administrateur Access Gateway édition Advanced Le tableau suivant décrit les événements disponibles pour la journalisation. Événement Résultats d'analyse de point de terminaison Refus de page d'ouverture de session Autorisation d'ouverture de session Refus d'ouverture de session Fermeture de session Délai de session Ressources Web : type MIME HTML Ressources Web : autres types MIME Ressources Web : types MIME d'image Partages de fichiers Description Consigne tous les résultats d'analyse de point de terminaison. Trois événements sont générés à chaque analyse. Le premier événement contient les données brutes de l'analyse de point de terminaison provenant de la machine cliente. Le deuxième événement contient les résultats (vrai/faux) basés sur l'analyse des données brutes dans Advanced Access Control. Le troisième événement contient les résultats (vrai/faux) spécifiques aux conditions requises par l'affichage de la page d'ouverture de session. Consigne un événement lorsqu'une page d'ouverture de session n'est pas présentée à l'utilisateur en raison des conditions requises configurées. Consigne un événement lorsqu'une authentification Windows NT a réussi auprès du contrôleur de domaine. Aucun événement n'est consigné si l'accès est refusé en raison de restrictions de stratégie, même si l'utilisateur fournit des informations d'identification valides. Consigne un événement lorsqu'une authentification Windows NT a échoué auprès du contrôleur de domaine ou lorsque la stratégie «Autoriser l'ouverture de session» refuse l'accès d'un utilisateur à la page d'ouverture de session. Consigne un événement lorsqu'un utilisateur ferme une session. Consigne un événement à l'expiration d'une session. Le délai d'inactivité de session pris en compte est un paramètre de point d'ouverture de session. Consigne un événement en cas d'accès à du contenu HTML au sein d'une ressource Web telle qu'une page HTML ou ASP. Consigne un événement en cas d'accès à du contenu non-html au sein d'une ressource Web de type JavaScript, Flash, XML, etc. Consigne un événement en cas d'accès à des images référencées dans une ressource Web, telles que des fichiers GIF ou JPEG. Consigne un événement en cas d'accès à un partage de fichiers ou à un document dans un partage de fichiers. Courrier électronique Web Consigne un événement en cas d'accès au courrier électronique Web : Outlook Web Access, inotes, interface de courrier électronique Web d'advanced Access Control, etc. Outlook Web Access et inotes utilisent le même ID d'événement (304) tandis que l'interface de courrier électronique Web d'advanced Access Control utilise l'id d'événement (306). Accès aux ressources refusé Consigne un événement lorsque l'accès à une ressource de la batterie de serveurs d'accès n'a pas abouti. Pour les ressources Web, seuls les échecs d'accès à une ressource de type MIME HTML donne lieu à une journalisation. Les échecs d'accès à une ressource de type MIME différent ne sont pas consignés dans le journal.

Chapitre 15 Audit des accès aux ressources d'entreprise 265 Important : la configuration du journal d'audit est définie au niveau de la batterie de serveurs d'accès et s'applique à toutes les ressources de la batterie. Par conséquent, si votre batterie de serveurs d'accès est répartie sur plusieurs serveurs, les journaux d'audit sont écrits sur chaque serveur de la batterie. Les principales étapes de la configuration de la journalisation des événements sont les suivantes. Spécifiez les événements à journaliser pour la batterie de serveurs d'accès. La console Access Management Console permet de spécifier les types des événements à journaliser sur les serveurs d'une batterie de serveurs d'accès. Configurez les paramètres de journalisation pour chaque serveur de la batterie. L'Observateur d'événements de Windows permet de configurer les paramètres de journalisation de chaque serveur (taille maximale de journal, condition de remplacement des événements, etc.). Par défaut, la taille maximale du journal d'audit CitrixAGE est de 5 120 Ko ; les événements sont conservés pendant sept jours avant d'être remplacés. Aucun nouvel événement n'est ajouté si la taille maximale du journal est atteinte et s'il n'existe pas d'événement de plus de sept jours. Si cette configuration ne répond pas à vos besoins en termes d'audit, envisagez d'augmenter la taille du fichier journal et de modifier les paramètres de remplacement des événements. Consolidez les journaux d'événements pour une visualisation centralisée. Chaque serveur d'une batterie de serveurs d'accès tient à jour son propre journal d'événements. L'outil Consolidation de journaux d'événements d'advanced Access Control vous permet de collecter les données de journalisation d'événements de chaque serveur de la batterie et de les afficher de façon centralisée. Après la collecte de ces données dans l'outil Consolidation de journaux d'événements, vous pouvez effectuer des analyses supplémentaires en recourant à divers rapports sur les accès des utilisateurs, les accès aux ressources, etc. Pour sélectionner les événements à journaliser pour une batterie de serveurs d'accès 1. Dans l'arborescence de la console, sélectionnez la batterie de serveurs d'accès à auditer, puis cliquez sur Modifier les propriétés de batterie dans la section Tâches courantes.

266 Guide de l'administrateur Access Gateway édition Advanced 2. Dans la page Journalisation d'événements, sélectionnez les options d'audit voulues parmi celles décrites ci-dessous. Pour obtenir une description détaillée de ces événements, reportez-vous au tableau de la section «Configuration des fonctions d'audit», page 263. Résultats d'analyse de point de terminaison Accès aux ressources autorisé ou refusé (ressources Web, partages de fichiers et courrier électronique Web) Données de point d'ouverture de session : refus de page d'ouverture de session, refus d'ouverture de session, autorisation d'ouverture de session, fermeture de session et expiration de session Remarque : pour générer des rapports sur les sessions dans l'outil Consolidation de journaux d'événements, vous devez activer l'événement «Autorisation d'ouverture de session». Pour configurer les paramètres de journalisation des serveurs Advanced Access Control Vous devez avoir ouvert une session en tant qu'administrateur ou membre du groupe «Administrateurs» pour configurer les informations d'audit Advanced Access Control dans l'observateur d'événements de Windows. Lorsque la fonction d'audit est activée et configurée dans Advanced Access Control, vous pouvez utiliser l'observateur d'événements de Windows pour configurer les paramètres de journal d'audit et notamment les paramètres suivants. Taille maximale du journal Définition des conditions de remplacement des événements Important : par défaut, la taille maximale du journal d'audit CitrixAGE est de 5 120 Ko ; les événements sont conservés pendant sept jours avant d'être remplacés. Aucun nouvel événement n'est ajouté si la taille maximale du journal est atteinte et s'il n'existe pas d'événement de plus de sept jours. Si cette configuration ne répond pas à vos besoins en termes d'audit, envisagez d'augmenter la taille du fichier journal et de modifier les paramètres de remplacement des événements. 1. Démarrez l'observateur d'événements de Windows sur un serveur Advanced Access Control. 2. Sélectionnez CitrixAGE Audit dans l'arborescence de la console.

Chapitre 15 Audit des accès aux ressources d'entreprise 267 3. Configurez les propriétés de journalisation comme il convient. 4. Répétez cette procédure pour chaque serveur de la batterie. Pour obtenir de l'aide sur l'utilisation de l'observateur d'événements de Windows, veuillez consulter la rubrique «Utilisation de l'observateur d'événements» de l'aide en ligne de Windows. Pour consolider les résultats de la journalisation des événements 1. Dans l'arborescence de la console, sélectionnez Access Gateway, puis cliquez sur Visualiser les événements dans la section Autres tâches. 2. Dans l'outil Consolidation de journaux d'événements, choisissez Fichier > Configurer. 3. Dans la zone de texte Intervalle d'interrogation, spécifiez l'intervalle de temps (en secondes) devant séparer deux collectes consécutives des données de journal d'audit des serveurs Advanced Access Control. 4. Sous Batteries disponibles, sélectionnez la batterie de serveurs d'accès dont vous voulez visualiser les données d'audit. 5. Cliquez sur Fichier > Collecter pour démarrer l'interrogation des serveurs Advanced Access Control. Important : des journalisations ou des interrogations trop nombreuses peuvent avoir un impact sur les performances système. Par conséquent, essayez de limiter la journalisation dans une batterie de serveurs d'accès aux événements dont vous avez besoin. De plus, évitez les interrogations de données de journal d'audit non nécessaires dans l'outil Consolidation de journaux d'événements. Interprétation des événements d'audit Les informations d'audit sont enregistrées dans l'observateur d'événements de Windows et sont spécifiques aux événements. Le tableau ci-dessous décrit ces informations. Champ DateTime UserName ServiceName Description Date et heure de la requête. Nom de l'utilisateur authentifié accédant à la ressource. Nom du composant Advanced Access Control effectuant la journalisation de la requête.

268 Guide de l'administrateur Access Gateway édition Advanced Champ Status Machine SessionID PolicyReference EPAReference Resource Data Description État de la requête (accepted : acceptée, denied : refusée, completed : terminée). Nom du serveur effectuant la journalisation de l'événement. Numéro de référence attribué à une session à l'issue de l'authentification utilisateur et de la validation de la licence. Ce numéro est utilisé pour effectuer le suivi des événements d'une session (autorisation d'ouverture de session, fermeture de session utilisateur et expiration de session, par exemple). Numéro de référence affecté aux tentatives refusées. Ce numéro est également présenté aux utilisateurs dont l'accès a été refusé. Numéro de référence attribué aux analyses de point de terminaison. L'analyse de point de terminaison fait référence à ce numéro avant qu'un utilisateur soit authentifié pour associer un ID de session à des résultats d'analyse. Nom ou identificateur URI (Uniform Resource Identifier) de la ressource demandée. Toute donnée supplémentaire spécifique à un message. Bien que la fonction de journalisation soit activée au niveau de la batterie de serveurs d'accès, chaque serveur gère son propre fichier journal. Pour rassembler les informations de journalisation de tous les serveurs de la batterie dans une même vue, utilisez l'outil Consolidation de journaux d'événements. Pour afficher les résultats de la journalisation 1. Dans l'arborescence de la console, sélectionnez Access Gateway, puis cliquez sur Visualiser les événements dans la section Autres tâches. 2. Triez les événements ou générez les rapports qui vous aideront à évaluer ces données. Résolution des problèmes d'accès utilisateur aux ressources De nombreuses raisons peuvent expliquer pourquoi un utilisateur n'est pas en mesure d'accéder à une ressource d'entreprise. Cela peut être dû, par exemple, à l'échec d'une analyse de point de terminaison, à des informations d'identification incorrectes ou encore à des restrictions liées à une stratégie. La plupart du temps, les utilisateurs n'ont pas connaissance du motif du refus de leur requête. Ils s'adressent donc à l'équipe d'assistance afin de remédier à leurs problèmes.

Chapitre 15 Audit des accès aux ressources d'entreprise 269 Tout refus d'accès à une ressource ou tout échec d'analyse de point de terminaison génère une valeur unique affichée dans le navigateur de l'utilisateur. Ces informations sont également consignées dans le journal d'événements (valeur PolicyReference ou EPAReference). Pour cette raison, veillez à demander aux utilisateurs de noter les numéros de référence et de fournir ces informations à l'équipe d'assistance car cela simplifie la résolution des problèmes. L'équipe d'assistance peut utiliser ces informations pour identifier rapidement l'événement correspondant et corriger le problème. De plus, l'équipe d'assistance a la possibilité d'utiliser le tableau de la section «Interprétation des événements d'audit», page 195, afin d'évaluer les événements. Maintenance du journal d'audit Plusieurs outils tiers permettent une maintenance avancée des journaux d'événements Windows. Par exemple, l'observateur d'événements de Windows et l'outil Consolidation de journaux d'événements ne prennent pas en charge la rotation automatique des journaux sans écraser les données existantes. Si votre entreprise requiert l'archivage régulier des données de journalisation, envisagez l'utilisation d'un outil tiers permettant d'automatiser ce processus. Cependant, dans certains cas, l'utilisation de l'observateur d'événements de Windows ou de l'outil Consolidation de journaux d'événements est adaptée, notamment pour réaliser des tâches de maintenance de base. Par exemple, il est parfois nécessaire de réimager un serveur d'une batterie de serveurs d'accès. Pour éviter la perte des données d'audit, recourez à l'observateur d'événements de Windows pour enregistrer le journal d'audit avant de réimager le serveur. Vos méthodes de gestion et de maintenance des journaux d'audit dépendent des besoins de votre entreprise. Évaluez les besoins de votre entreprise en termes d'audit et assurez-vous que votre solution y réponde.

270 Guide de l'administrateur Access Gateway édition Advanced

ANNEXE A Glossaire Accès à l'aide d'un navigateur uniquement. Moyen d'accéder aux ressources de l'entreprise sans utiliser d'autre logiciel client qu'un simple navigateur Web. Access Gateway Administration Desktop. Fenêtre dans laquelle les administrateurs peuvent contrôler l'activité réseau liée à Access Gateway. Administration Desktop intègre les outils suivants : Citrix Real-Time Monitor, Ethereal Network Analyzer, xnettools, My traceroute, fnetload, Gnome System Monitor et Workplace Switcher. Access Gateway Administration Portal. Interface Web permettant d'effectuer des tâches d'administration liées aux boîtiers Access Gateway. Administration Portal vous permet de télécharger d'autres outils d'administration à distance : Administration Desktop, Access Gateway Administration Tool, etc. Access Gateway Administration Tool. Console de gestion 32 bits pouvant être téléchargée à partir de l'outil Administration Portal et installée sur un ordinateur Windows sur le réseau sécurisé. L'outil Administration Tool permet de configurer les paramètres individuels de tous les boîtiers Access Gateway d'un cluster. Access Gateway Real-Time Monitor. Fenêtre de console listant les utilisateurs courants et certaines informations à leur sujet. L'outil Real-time Monitor permet de fermer la connexion VPN d'un utilisateur. L'outil Administration Desktop permet d'accéder à l'outil Real-Time Monitor. Activation de fichier. Actions qu'il est possible d'appliquer sur un fichier (aperçu HTML, actions Live Edit, téléchargement, ouverture d'application publiée grâce à l'association de type de fichier et envoi sous forme de pièce jointe). Administrateur Citrix. Administrateur système chargé de l'installation, de la configuration et de la maintenance des serveurs exécutant des produits Citrix Access Suite. Advanced Access Control. Fonctions et composants logiciels d'access Gateway édition Advanced, permettant d'activer un contrôle d'accès précis basé sur des stratégies. Advanced Access Control vous permet de contrôler l'accès des utilisateurs sur la base de facteurs tels que leur emplacement et leur authentification, l'analyse de point de terminaison et la vérification des machines clientes.

272 Guide de l'administrateur Access Gateway édition Advanced Analyse. Processus vérifiant des propriétés spécifiques sur les machines clientes se connectant à votre réseau : version de logiciel antivirus installée, appartenance à un domaine particulier, etc. Analyse continue. Analyse de la machine cliente effectuée de façon répétée tout au long de la session afin de vérifier que la machine cliente continue de satisfaire les conditions requises. Cette fonctionnalité empêche entre autre les utilisateurs de modifier l'état des conditions requises sur leurs machines clientes après l'établissement des connexions. Il existe différents types d'analyse continue : analyses de fichier, de processus et de registre. Analyse de fichier. Type d'analyse continue validant un fichier spécifié sur la machine cliente. Analyse de point de terminaison. Processus consistant à analyser une machine cliente et à recueillir diverses informations (présence et niveau de version du système d'exploitation, d'un logiciel anti-virus, d'un pare-feu ou d'un navigateur, par exemple). Une analyse de point de terminaison permet de s'assurer que la machine cliente possède les configurations requises avant de l'autoriser à se connecter. Ces informations peuvent faire partie d'un filtre dans le cadre d'une stratégie afin de déterminer le niveau d'accès approprié aux ressources d'entreprise. Une analyse de point de terminaison n'est exécutée sur la machine cliente qu'à l'ouverture de session. Veuillez aussi consulter l'entrée Analyse continue. Analyse de processus. Type d'analyse continue vérifiant l'exécution d'un processus spécifié sur la machine cliente. Analyse de registre. Type d'analyse continue validant un réglage de registre sur la machine cliente. Aperçu HTML. Nom du service permettant de prévisualiser les documents au format HTML au lieu de les télécharger dans leur format natif. Cette fonction fait également référence au rôle qu'un administrateur peut attribuer à un serveur dans le but de lui faire assurer ce service. Application publiée. Application installée sur un serveur ou dans une batterie de serveurs et configurée pour un accès multi-utilisateur à partir de clients via Citrix Presentation Server. Approuvé. Qualifie un utilisateur, un service ou une ressource spécifiquement autorisé(e) à accéder au réseau d'entreprise. Association de type de fichier. Méthode permettant d'ouvrir un document avec une application publiée sur un serveur Citrix Presentation Server et enregistrée pour ouvrir des documents de ce type. Authentification unique. Moyen permettant à Access Gateway de transmettre les informations d'identification de l'utilisateur à une autre ressource d'entreprise «ayant besoin» de ces informations. L'authentification unique est utilisée pour une seule connexion à l'interface Web dans un déploiement Access Gateway.

Annexe A Glossaire 273 Autoriser l'ouverture de session. Permission (droit d'ouvrir une session) gérée par le biais d'une stratégie. Cette permission, traitée comme une ressource, permet aux administrateurs de définir des critères que les utilisateurs doivent remplir en plus du processus d'authentification habituel. Batterie de serveurs (appelée aussi «ferme de serveurs»). Groupe de serveurs Citrix Presentation Server gérés comme une entité unique, avec des connexions physiques entre les serveurs et une base de données utilisée comme magasin de données de la batterie. Veuillez aussi consulter l'entrée Batterie de serveurs d'accès (appelée aussi «ferme de serveurs d'accès»). Batterie de serveurs d'accès (appelée aussi «ferme de serveurs d'accès»). Groupe logique de serveurs sur lesquels sont exécutés les services Advanced Access Control Services. Une batterie de serveurs d'accès se compose d'un ou de plusieurs ordinateurs en réseau exécutant des composants Advanced Access Control (tels qu'un serveur Web, un serveur de base de données, etc). Ces composants coopèrent pour fournir un accès aux ressources d'entreprise (sites Web, partages de fichiers et courrier électronique, par exemple). Veuillez aussi consulter l'entrée Batterie de serveurs (appelée aussi «ferme de serveurs»). Client d'analyse de point de terminaison. Contrôle ActiveX ou module externe de navigateur utilisé pour la détection des informations de configuration d'une machine (système d'exploitation utilisé, fichier de signatures de logiciel antivirus, etc.). Client Live Edit. Contrôle ActiveX pouvant être intégré à une application locale sur la machine de l'utilisateur afin de prendre en charge la fonction Live Edit. Client Presentation Server. Logiciel Citrix qui permet à un utilisateur de se connecter à des serveurs Presentation Server à partir de différents types de machine cliente. Client pour Java. Applet Java prenant en charge le démarrage et l'incorporation des applications publiées. Client Secure Access Client. Logiciel Citrix utilisé pour connecter les utilisateurs aux ressources réseau. Dans l'édition Standard, les utilisateurs accèdent à une URL sécurisée pour télécharger le logiciel et s'authentifier auprès du boîtier Access Gateway. Dans l'édition Advanced, les administrateurs créent une stratégie de connexion pour requérir l'utilisation du logiciel lorsque les utilisateurs accèdent à des points d'ouverture de session spécifiques. Une fois authentifiés, les utilisateurs peuvent télécharger le logiciel. Client Web. Contrôle ActiveX prenant en charge le démarrage et l'incorporation des applications publiées. Cluster. Groupe d'éléments matériels ou assimilés (par exemple, boîtiers Access Gateway ou serveurs Advanced Access Control) pouvant être gérés comme une entité unique.

274 Guide de l'administrateur Access Gateway édition Advanced Condition. (1) D'une manière générale, toute condition configurable nécessaire pour l'application d'une stratégie. Les stratégies peuvent disposer de plusieurs types de condition : condition d'analyse de point de terminaison, de point d'ouverture de session, d'authentification, etc. (2) Dans le contexte d'une analyse de point de terminaison, une condition est un attribut requis de la machine cliente et évalué lors de l'analyse de point de terminaison (système d'exploitation ou navigateur utilisé, par exemple). Une règle est un ensemble de conditions évaluées pour une machine cliente. Si toutes les conditions de la règle d'une analyse sont satisfaites par la machine cliente, l'analyse est appliquée et exécutée sur cette machine. Contrôle d'accès basé sur des stratégies. Possibilité d'accorder un accès adapté aux utilisateurs en fonction de leurs scénarios d'accès. Contrôles des actions. Permissions accordées aux utilisateurs pour l'utilisation des fichiers via Access Gateway édition Advanced (par exemple, le téléchargement, l'envoi en pièce jointe et l'association de type de fichier). Courrier électronique Web. Méthode permettant de recevoir, de rédiger et d'envoyer des e-mails à l'aide d'un navigateur Web au lieu d'une application de courrier électronique locale. Déploiement d'enclave. Scénario de déploiement dans lequel un réseau est segmenté ou fragmenté (à l'aide de pare-feu, par exemple) de manière à obliger les utilisateurs à ouvrir une session sur un point d'ouverture de session particulier. Endpoint policy (stratégie de point de terminaison). Expression booléenne définissant les fichiers, les processus ou les entrées de registre devant être présent(e)s sur la machine cliente pour que l'utilisateur puisse se connecter aux ressources de l'entreprise via le boîtier Access Gateway. Vous ne pouvez créer et utiliser des stratégies de point de terminaison que sur le boîtier. Si vous utilisez Access Gateway édition Advanced, cette fonctionnalité est configurée dans les propriétés de point d'ouverture de session, où vous pouvez spécifier la configuration requise sur la machine cliente pour que l'utilisateur accède à la page d'ouverture de session. Endpoint requirement (condition de point de terminaison requise). Fichier, processus ou entrée de registre dont la présence est nécessaire sur la machine cliente. Les conditions de point de terminaison requises sont configurées à l'aide de l'administration Access Gateway édition Standard. Après avoir été configurée, une condition de point de terminaison requise permet de créer une stratégie de point de terminaison qui peut être ajoutée à un ou plusieurs groupe(s) d'utilisateurs. Fiabilité de session. Élément de la collection de fonctions comprenant SmoothRoaming. La fiabilité de session permet aux sessions ICA (Independent Computing Architecture) de rester actives et disponibles sur l'écran de l'utilisateur lorsque la connectivité réseau est interrompue. La fiabilité de session utilise le protocole CGP (Common Gateway Protocol) qui restaure rapidement et en toute transparence la session de l'utilisateur.

Annexe A Glossaire 275 Filtre. Critères configurés (tels que des résultats d'analyse de point de terminaison, un type d'authentification ou un point d'ouverture de session) utilisés dans le cadre de stratégies pour déterminer l'accès aux ressources d'entreprise. Un filtre peut être utilisé par plusieurs stratégies. Un filtre peut faire partie des critères d'un autre filtre. Un seul filtre est autorisé par stratégie d'accès. Il est possible, en revanche, d'associer le même filtre à plusieurs stratégies d'accès. Vous pouvez, en outre, utiliser dans Citrix Presentation Server les filtres créés avec Access Gateway édition Advanced. Cela permet d'étendre les capacités SmartAccess aux applications publiées. Filtre d'analyse continue. Filtre utilisant des analyses continues pour définir les conditions requises pour l'application d'une stratégie de connexion. Chaque analyse continue vérifie un élément (fichier, processus ou entrée de registre) sur la machine cliente. Un filtre peut inclure une ou plusieurs analyses continues pour effectuer ses vérifications. Lorsqu'il est associé à une stratégie de connexion, le filtre définit toutes les conditions nécessaires devant être vérifiées par les analyses continues pour que la stratégie de connexion puisse être appliquée. Groupe d'utilisateurs. Dans Access Gateway édition Standard, collection d'utilisateurs, de stratégies et de ressources. Les groupes d'utilisateurs peuvent être configurés pour correspondre aux groupes d'utilisateurs configurés sur les serveurs d'authentification. Tous les utilisateurs locaux sont automatiquement ajoutés au groupe d'utilisateurs par défaut. Des utilisateurs peuvent également être ajoutés aux autres groupes d'utilisateurs configurés. Groupe de ressources. Combine plusieurs ressources de types différents en une ressource unique, permettant ainsi l'application de stratégies au résultat de l'agrégation. Groupe de synchronisation du courrier électronique. Liste des serveurs de courrier électronique accessibles en vue d'effectuer la synchronisation des e-mails. ICA (Independent Computing Architecture). Architecture utilisée par Citrix pour séparer la logique d'une application de son interface utilisateur. Avec ICA, seuls les frappes clavier, clics souris et mises à jour d'écran sont transmis entre le client et le serveur sur le réseau. La logique de l'application est exécutée sur le serveur. Interface d'accès. Page Web présentée à l'utilisateur et répertoriant les ressources d'entreprise disponibles : adresses URL, courrier électronique, fichiers, etc. Kit de développement logiciel (SDK) d'analyse de point de terminaison. Kit de développement logiciel permettant aux clients et aux partenaires de modifier et de créer des packs d'analyse de point de terminaison. Live Edit. Fonction permettant aux utilisateurs de modifier des documents à distance à l'aide du client Live Edit. Un utilisateur peut alors facilement modifier et enregistrer des documents sans devoir les télécharger vers sa machine, puis les télécharger vers la machine distante dont ils proviennent. Machine cliente. Tout matériel informatique utilisé pour accéder aux ressources d'entreprise.

276 Guide de l'administrateur Access Gateway édition Advanced Machine de petite taille. Machine cliente dont les capacités d'affichage sont limitées (ordinateur de poche, par exemple). Microsoft SQL Server Desktop Engine (MSDE). Moteur de base de données entièrement compatible avec SQL Server. La dernière version de MSDE, SQL Server Express 2005, peut être utilisée dans Access Gateway édition Advanced pour le stockage de données à la place du serveur Microsoft SQL Server. Veuillez aussi consulter l'entrée SQL Server Express. Mode kiosque. Mode utilisé dans Access Gateway édition Standard pour décrire un type d'accès limité aux ressources d'entreprise depuis des ordinateurs publics (ordinateurs disponibles dans les aéroports ou les hôtels, par exemple). Non approuvé. Qualifie un utilisateur, un service ou une ressource auquel ou à laquelle il est spécifiquement interdit d'accéder au réseau d'entreprise. Pack d'analyse. Pack de code permettant aux administrateurs de configurer des analyses de point de terminaison. Chaque pack d'analyse est conçu pour examiner un ensemble de propriétés pour un produit spécifique. Vous pouvez enrichir l'ensemble de packs d'analyse par défaut en en important de nouveaux. Le kit de développement logiciel (SDK) d'analyse de point de terminaison permet à Citrix, à ses partenaires et aux développeurs de votre entreprise de créer des packs d'analyse supplémentaires. Pack de clients d'accès. Outil utilisé par les administrateurs pour gérer la distribution et la mise à niveau des clients Access Suite. Permet aux administrateurs de déployer rapidement et facilement les logiciels clients vers les utilisateurs finals à l'aide d'un pack Windows Installer unique. Page de démarrage. Page présentée à l'utilisateur après authentification. Cette page peut être l'interface d'accès par défaut, un portail tiers ou l'interface d'accès au courrier électronique (inotes ou Outlook Web Access, par exemple). Page de refus d'accès. Page Web présentée aux utilisateurs lorsqu'un environnement client ne correspond pas à la configuration de base nécessaire pour accéder aux ressources réseau de l'entreprise. Partage de fichiers. Répertoire (UNC) d'un serveur de fichiers, partagé pour un groupe d'utilisateurs. Dans Access Gateway édition Standard, les partages de fichiers sont l'un des types de ressources d'entreprise auxquels les utilisateurs peuvent accéder lorsqu'ils sont connectés en mode kiosque. Dans Access Gateway édition Advanced, les partages de fichiers sont mis à la disposition des utilisateurs lorsqu'un administrateur les publie dans l'interface d'accès et configure des stratégies pour en autoriser l'accès. Point d'ouverture de session. Adresse URL de la page à partir de laquelle les utilisateurs accèdent aux ressources d'entreprise. Les paramètres de point d'ouverture de session permettent de définir l'accès aux batteries de serveurs, la configuration de l'interface d'accès et d'autres fonctions spécifiques aux sessions. Il est aussi possible d'utiliser un point d'ouverture de session comme un filtre dans des stratégies.

Annexe A Glossaire 277 Pre-authentication policy (stratégie de pré-authentification). Stratégie permettant aux utilisateurs d'ouvrir une session si un ensemble d'analyses valide la machine cliente. Vous ne pouvez créer de stratégies de pré-authentification qu'avec l'outil d'administration Access Gateway. Si vous utilisez Access Gateway édition Advanced, vous pouvez créer une stratégie d'ouverture de session pour des fonctionnalités similaires. Présentation spécifique à la machine. Affichage automatique de contenus adapté à une machine autre qu'un PC (ordinateur de poche, par exemple). Priorité de stratégie. Système permettant d'ordonner les stratégies sur une échelle de priorité afin de résoudre les conflits pouvant apparaître lorsque plusieurs stratégies sont applicables. Les paramètres d'une stratégie ayant une priorité élevée sont adoptés à la place de ceux d'une stratégie de priorité inférieure entrant en conflit avec eux. Profil d'authentification. Un profil d'authentification contient des paramètres de configuration définissant l'authentification à utiliser pour un point d'ouverture de session. Propriété intellectuelle, contrôle des droits. Utilisation de fonctions telles que l'aperçu HTML, l'association de type de fichier et le mappage des lecteurs clients pour garantir la protection des données confidentielles ou propriétaires. Le contrôle de propriété intellectuelle a pour objectif d'empêcher tout risque de violation des données d'entreprise confidentielles. Proxy Web. Composant de réécriture d'adresse URL d'access Gateway édition Advanced. Realm. Méthode d'authentification utilisée dans Access Gateway édition Standard pour spécifier l'étendue logique de l'accès accordé par un type spécifié d'authentification. Les realms sont remplacés dans l'édition Advanced par des paramètres de profil d'authentification. L'authentification du realm par défaut est effectuée en utilisant la liste d'utilisateurs locaux d'access Gateway. Il est possible de créer des realms supplémentaires pour LDAP, SafeWord, RADIUS et RSA SecurID ou de les utiliser comme realm par défaut. Règle. Dans le cadre d'une analyse de point de terminaison, ensemble de conditions définissant le moment où une analyse doit être appliquée et les valeurs de propriété à vérifier. Il est possible d'appliquer plusieurs règles à une analyse. La première règle d'une analyse est définie à la création de l'analyse. Vous pouvez ensuite ajouter d'autres règles pour pouvoir appliquer l'analyse à divers scénarios. Réseaux accessibles. Adresses IP des ordinateurs présents sur le réseau sécurisé, auxquels Access Gateway est autorisé à se connecter. Ressources. Partages de fichiers, ressources Web, courrier électronique et applications disponibles par l'intermédiaire d'access Gateway. Ressource de point de terminaison. Fichier, processus ou entrée de registre dont la présence est nécessaire sur la machine cliente pour ouvrir une session. Dans Access Gateway édition Standard, un groupe de ressources de point de terminaison est utilisé pour créer une stratégie de point de terminaison.

278 Guide de l'administrateur Access Gateway édition Advanced Ressource réseau. Définit des sous-réseaux ou des serveurs du réseau d'entreprise, auxquels les utilisateurs peuvent se connecter via Access Gateway à l'aide du client Secure Access Client sur des ports spécifiés. Après avoir défini des ressources réseau, vous pouvez créer des stratégies pour en contrôler les paramètres de connexion et l'accès par les utilisateurs. Ressource Web. Ensemble d'adresses URL ou d'applications Web correspondant à des chemins d'accès de répertoire virtuel tels que http://monentreprise/ MonDocument. Une ressource Web est une ressource d'entreprise mise à la disposition des utilisateurs par l'intermédiaire d'access Gateway. Résultat d'analyse. Résultat obtenu au cours d'une analyse de point de terminaison exécutée sur une machine cliente se connectant, dans le but de détecter ou de vérifier certaines informations au sujet de cette machine. Il existe deux types de résultat d'analyse. L'un correspond à une valeur de propriété détectée et transmise au sujet de la machine cliente (numéro de version d'un programme antivirus en cours d'exécution sur la machine, par exemple). L'autre se présente sous la forme d'une valeur booléenne (Vrai ou Faux) indiquant si la machine cliente a satisfait aux conditions de l'analyse. Scénario d'accès. Un scénario d'accès intègre toutes les informations relatives à l'utilisateur et à sa machine cliente, utilisées pour l'application des stratégies. En fonction du type de stratégie à évaluer, le scénario d'accès peut incorporer l'identité de l'utilisateur, la machine cliente, les informations détaillées obtenues lors d'analyses de point de terminaison, la méthode d'authentification employée, le point d'ouverture de session utilisé pour l'accès au réseau, etc. Serveur d'activation. Serveur chargé d'assurer des services d'activation de fichier tels que l'aperçu HTML, le téléchargement et Live Edit. Il héberge les services «Activation Host Service» et «Activation Engine Service», le premier agissant comme une «sandbox» pour le second afin d'activer le fichier. Serveur Web. Ordinateur chargé de fournir des pages Web aux navigateurs et d'autres types de fichier aux applications à l'aide du protocole HTTP (HyperText Transfer Protocol). Service XML Citrix. Service Windows assurant la communication entre Citrix Presentation Server, Access Gateway, l'interface Web et plusieurs clients Presentation Server. Services d'activation. Service assurant une activation de fichier équilibrée sans prise en compte de l'état (aperçu HTML, téléchargement et Live Edit). Session déconnectée. Session cliente sur le serveur Citrix Presentation Server, à laquelle le client n'est plus connecté mais dans laquelle les applications de l'utilisateur sont toujours en cours d'exécution. L'utilisateur peut se reconnecter à une session déconnectée. Si l'utilisateur ne se reconnecte pas avant un délai spécifié, le serveur met automatiquement fin à la session. SmartAccess. Fonction permettant aux organisations de contrôler les ressources auxquelles les utilisateurs ont accès (en fonction de leur scénario d'accès) et les actions qu'ils sont autorisés à effectuer sur ces ressources une fois qu'il y ont accédé. SmartAccess s'intègre à Citrix Presentation Server afin de donner aux organisations le même niveau de contrôle sur les applications publiées.

Annexe A Glossaire 279 SmoothRoaming. Possibilité d'accéder aux informations de façon continue lorsque les utilisateurs changent de machine, passent d'un réseau à un autre ou se déplacent d'un lieu à un autre. Cette fonction inclut le contrôle de l'espace de travail, la fiabilité de session et la reconfiguration de session dynamique. Split DNS. Fonctionnalité permettant le basculement vers le système DNS local d'un utilisateur lorsque le système DNS distant par défaut n'est pas disponible. Split tunneling. Fonctionnalité permettant aux machines clientes de n'envoyer via le tunnel VPN que le trafic destiné au réseau sécurisé. Lorsque le split tunneling est activé, les stratégies de groupe ne sont appliquées qu'à la carte réseau interne. Pour les connexions effectuées à partir de la zone protégée par le pare-feu, les stratégies de groupe ne sont pas appliquées au trafic vers les ressources externes ou vers les ressources locales du réseau. Ce trafic n'est pas crypté. SQL Server Express. Dernière version de MSDE. Pour plus d'informations, veuillez consulter la section Microsoft SQL Server Desktop Engine (MSDE). SSL (Secure Sockets Layer). Protocole de sécurité standard utilisé pour assurer le cryptage, l'authentification et l'intégrité des messages. Le protocole SSL garantit la sécurité des communications entre deux ordinateurs via un réseau public, permet l'authentification mutuelle des deux ordinateurs (en se référant à une autorité tierce «digne de confiance») et évite toute violation des communications. SSL prend en charge un grand nombre de jeux d'algorithmes. La version la plus récente du protocole SSL est Transport Layer Security (TLS). Stratégie d'accès. Stratégie appliquant des paramètres de configuration pour l'accès des utilisateurs lorsque certaines conditions sont remplies. Veuillez aussi consulter l'entrée Stratégie de connexion. Stratégie d'application. Stratégie pouvant être configurée pour un logiciel quelconque (applications Web, par exemple) lors de l'utilisation d'un boîtier Access Gateway. Les stratégies d'application vous permettent de limiter les applications à un emplacement réseau spécifié et de faire dépendre l'accès à une application de stratégies de point de terminaison. Stratégie de connexion. Stratégie qui autorise les connexions Secure Access Client et applique les paramètres relatifs à ces connexions. Vous devez autoriser l'utilisation du client Secure Access Client pour les connexions aux ressources réseau et pour la synchronisation des e-mails car ces types de ressource n'autorisent pas l'accès par navigateur uniquement. Synchronisation des e-mails. Comparaison de deux instances de compte de courrier électronique dans le but de leur faire contenir les mêmes informations. Cette fonction permet aux utilisateurs distants d'accéder à leur courrier électronique en temps réel lorsqu'ils travaillent en ligne et de synchroniser leurs dossiers avant de travailler hors ligne. Système d'activation Citrix (CAS). Système de gestion de licences Citrix (intégré à une zone sécurisée du site Web de Citrix) qui permet aux clients de générer des fichiers de licence pour les produits Access Suite. Le système CAS stocke une copie téléchargeable de chaque fichier de licence créé et peut produire une liste des licences enregistrées pour une organisation.

280 Guide de l'administrateur Access Gateway édition Advanced TLS (Transport Layer Security). Veuillez consulter la section SSL (Secure Sockets Layer). Type d'authentification. Type d'authentification utilisé : RADIUS, LDAP, SafeWord, etc. Utilisateurs locaux. Utilisateurs créés dans Access Gateway édition Standard. Configurés s'ils ne requièrent pas une authentification recourant à d'autres types d'authentification tels que RADIUS, SafeWord, RSA SecurID ou LDAP. Un realm destiné à une authentification locale doit être configuré sur le boîtier Access Gateway pour que les utilisateurs locaux puissent se connecter. Si le nom d'utilisateur n'est pas présent dans la liste d'utilisateurs du serveur d'authentification, les informations d'identification fournies sont comparées à celles de la liste d'utilisateurs locaux.

ANNEXE B Propriétés d'analyse Les packs d'analyse comprennent le logiciel permettant de créer des analyses recueillant les informations relatives aux machines clientes. Lors de la création d'analyses, vous devez généralement spécifier une ou plusieurs valeurs de propriété recherchées (version du système d'exploitation, niveau de service pack, etc.). Cette rubrique répertorie les propriétés pouvant être configurées pour les packs d'analyse Citrix. Pour plus d'informations sur la création d'analyses, veuillez consulter la section «Création d'analyses de point de terminaison», page 193. Remarque : vous pouvez accéder à cette rubrique à partir de l'aide en ligne du serveur exécutant le logiciel Advanced Access Control. Si vous souhaitez obtenir des informations sur certaines propriétés pendant la création d'analyses, utilisez votre aide en ligne pour localiser la rubrique correspondante. Les packs d'analyse sont classés par ordre alphabétique et répartis par type de propriété ou de produit analysé dans les groupes suivants : «Packs d'analyse d'anti-virus», page 282 «Packs d'analyse de navigateur», page 287 «Packs d'analyse de pare-feu», page 291 «Packs d'analyse d'identification de la machine», page 296 «Packs d'analyse divers», page 298 «Packs d'analyse du système d'exploitation», page 299

282 Guide de l'administrateur Access Gateway édition Advanced Packs d'analyse d'anti-virus Analyses Citrix pour McAfee VirusScan Détecte si la version requise du logiciel McAfee VirusScan (édition personnelle) est en cours d'exécution sur la machine cliente. Versions prises en charge VirusScan 2006 v.11.0.209 ou version antérieure Propriétés pouvant être spécifiées Nom de la propriété Version de compilation minimale requise Description/Format Notez que cette propriété est mal étiquetée et qu'elle apparaît en tant que «version du moteur minimale requise». Utilisez le format N.N (N représente un entier). Le numéro de version de compilation est fourni dans la boîte de dialogue «À propos» de l'application installée. Résultats d'analyse Nom du résultat d'analyse Description Version du programme McAfee VirusScan vérifié Il s'agit de la version du fichier exécutable du programme clé. Les numéros de version majeur et mineur sont identiques à ceux affichés dans l'interface utilisateur du programme. Les autres chiffres du numéro de version peuvent être ignorés lors de la saisie. Ce résultat booléen indique si la version minimale requise de l'application est en cours d'exécution sur la machine cliente. Analyses Citrix pour McAfee VirusScan Enterprise Détecte si le logiciel McAfee VirusScan (édition Enterprise) est en cours d'exécution sur la machine cliente. Versions prises en charge VirusScan Enterprise v.8.0i, signature 4825 ou version antérieure

Annexe B Propriétés d'analyse 283 Propriétés pouvant être spécifiées Nom de la propriété Version de moteur minimale requise Numéro de version du fichier de signatures minimal requis Description/Format Utilisez le format N.N. Par exemple 4.4. Notez que le registre et l'interface utilisateur de l'application peuvent afficher le numéro de version du moteur sous différents formats. Par exemple, la version 4.4 du moteur peut s'afficher «4400» dans l'interface utilisateur, et la même version du moteur peut s'afficher «4.4.00» dans le registre. Néanmoins, lorsque vous créez une analyse, vous devez saisir la «version du moteur minimale requise» au format 4.4. Utilisez le format N (N représente un entier). Résultats d'analyse Nom du résultat d'analyse Description McAfee Virus-Scan Enterprise vérifié Version de moteur Version des signatures Ce résultat booléen indique si cette application est en cours d'exécution sur la machine cliente. Indique la version de moteur de l'analyse à l'accès en cours d'exécution sur la machine cliente. Si ce produit n'est pas installé ou n'est pas en cours d'exécution, la version indiquée est 0.0.0.0. Indique la version du fichier de signatures utilisé sur la machine cliente. Si ce produit n'est pas installé ou n'est pas en cours d'exécution, la version indiquée est 0. Analyses Citrix pour Norton AntiVirus Personal Détecte si le logiciel Norton AntiVirus (édition personnelle) est en cours d'exécution sur la machine cliente. Versions prises en charge Norton AntiVirus 2006 v.12.2.0.13, signature 2006 0809.018, ou version antérieure

284 Guide de l'administrateur Access Gateway édition Advanced Propriétés pouvant être spécifiées Nom de la propriété Analyse la plus récente Version de produit minimale requise Numéro de version du fichier de signatures minimal requis Description/Format Cela correspond au nombre maximum de jours depuis l'exécution de la dernière analyse anti-virus complète du système. Zéro (0) signifie que toute analyse ou l'absence d'analyse est acceptable. Utilisez un entier compris entre 0 et 365. Utilisez le format N.N.N (N représente un entier). Utilisez le format AAAAMMJJ.NNN (AAAA : année sur quatre chiffres, MM : mois sur deux chiffres, JJ : jour sur deux chiffres, NNN : trois chiffres). Résultats d'analyse Nom du résultat d'analyse Description Norton AntiVirus vérifié Version du produit Version des signatures Indique si cette application est en cours d'exécution sur la machine cliente. Indique la version du logiciel en cours d'exécution sur la machine cliente. Si ce produit n'est pas installé ou n'est pas en cours d'exécution, la version indiquée est 0.0.0.0. Indique la version du fichier de signatures utilisé sur la machine cliente. Si ce produit n'est pas installé ou n'est pas en cours d'exécution, la version indiquée est 0.0.0.0. Analyses Citrix pour Symantec AntiVirus Enterprise Détecte si le logiciel Symantec AntiVirus Enterprise est en cours d'exécution sur la machine cliente. Versions prises en charge Symantec AntiVirus Enterprise v10.0.0.359, signature 2006 0809.018 ou version antérieure

Annexe B Propriétés d'analyse 285 Propriétés pouvant être spécifiées Nom de la propriété Version de produit minimale requise Numéro de version du fichier de signatures minimal requis Description/Format Utilisez le format N.N.N (N représente un entier). Utilisez le format AAAAMMJJ.NNN (AAAA : année sur quatre chiffres, MM : mois sur deux chiffres, JJ : jour sur deux chiffres, NNN : trois chiffres). Résultats d'analyse Nom du résultat d'analyse Description Symantec AV Enterprise vérifié Version du produit Version des signatures Indique si cette application est en cours d'exécution sur la machine cliente. Indique la version du logiciel en cours d'exécution sur la machine cliente. Si ce produit n'est pas installé ou n'est pas en cours d'exécution, la version indiquée est 0.0.0.0. Indique la version du fichier de signatures utilisé sur la machine cliente. Si ce produit n'est pas installé ou n'est pas en cours d'exécution, la version indiquée est 0.0.0.0. Analyses Citrix pour Trend OfficeScan Détecte si le logiciel anti-virus Trend OfficeScan est en cours d'exécution sur la machine cliente. Versions prises en charge Version 7.3, signature 3.645.00 ou version antérieure Propriétés pouvant être spécifiées Nom de la propriété Version de produit minimale requise Numéro de version du fichier de signatures minimal requis Description/Format Utilisez le format N.N (N représente un entier). Version (courte en trois chiffres) du fichier de signatures utilisé sur la machine cliente. Utilisez le format N (N représente un entier). Par exemple, pour la version 2.763, la version courte à saisir est 763.

286 Guide de l'administrateur Access Gateway édition Advanced Résultats d'analyse Nom du résultat d'analyse Description Trend OfficeScan vérifié Version du produit Version des signatures Indique si cette application est en cours d'exécution sur la machine cliente. Indique la version du logiciel en cours d'exécution sur la machine cliente. Si ce produit n'est pas installé ou n'est pas en cours d'exécution, la version indiquée est 0.0.0.0. Indique la version du fichier de signatures utilisé sur la machine cliente. Si ce produit n'est pas installé ou n'est pas en cours d'exécution, la version indiquée est - 1. Analyses Citrix pour l'anti-virus du Centre de sécurité Windows Détecte si le Centre de sécurité Windows signale un logiciel anti-virus sur la machine cliente. Hormis les conditions dans lesquelles l'analyse est appliquée, vous n'avez pas à spécifier de propriétés pour cette analyse. Notez que pour obtenir des résultats d'analyse corrects, le logiciel anti-virus doit être contrôlé par le biais du Centre de sécurité Windows. Si l'enregistrement du logiciel anti-virus dans le Centre de sécurité Windows est incorrect, l'analyse peut indiquer qu'il n'existe pas de logiciel anti-virus activé sur la machine cliente, alors qu'il y en a un. Assurez-vous que le Centre de sécurité Windows ait correctement enregistré les logiciels anti-virus jugés acceptables, ou vérifiez les informations relatives aux logiciels pris en charge sur la documentation du Centre de sécurité Windows. Versions prises en charge Windows XP SP2 - Centre de sécurité Résultats d'analyse Nom du résultat d'analyse Description Anti-virus activé Indique (Vrai/Faux) si le Centre de sécurité Windows signale un logiciel anti-virus sur la machine cliente.

Annexe B Propriétés d'analyse 287 Packs d'analyse de navigateur Analyses Citrix pour navigateurs Détecte si une personne se connecte depuis la machine cliente à l'aide du navigateur spécifié. Vous pouvez effectuer des analyses pour Microsoft Internet Explorer, Mozilla Firefox, Netscape Navigator, Safari ou pour un autre logiciel de navigation. Les analyses de ce pack ne nécessitent pas l'exécution du logiciel client sur la machine cliente. Les résultats d'analyse sont déterminés par l'examen des communications transmises par le navigateur de l'utilisateur. Versions prises en charge Microsoft Internet Explorer 6.0 ou version antérieure Mozilla Firefox 1.5.06 ou version antérieure Netscape Navigator 8.1 ou version antérieure Safari 2.0 ou version antérieure Propriétés pouvant être spécifiées Nom de la propriété Type de navigateur prévu Description/Format Il s'agit du navigateur à vérifier sur la machine cliente. Sélectionnez Microsoft Internet Explorer, Mozilla Firefox, Netscape Navigator, Safari ou Autre. Résultats d'analyse Nom du résultat d'analyse Description Type de navigateur vérifié Indique si (Vrai ou Faux) une personne se connecte depuis la machine cliente à l'aide du type de navigateur spécifié. Type de navigateur Fournit le type de navigateur du client. Le champ «Autre» est renseigné en cas d'utilisation d'un navigateur autre que Microsoft Internet Explorer, Mozilla Firefox, Netscape Navigator ou Safari. Analyses Citrix pour Internet Explorer Détecte si la version spécifiée du navigateur est installée sur la machine cliente.

288 Guide de l'administrateur Access Gateway édition Advanced Versions prises en charge Internet Explorer Version 6.0 Service Pack 2 ou version antérieure Propriétés pouvant être spécifiées Nom de la propriété Version minimale requise Description/Format Utilisez le format N.N.N.N, où N représente un entier. Vous pouvez spécifier une version sous une forme aussi simple que N.N ou aussi détaillée que N.N.N.N (par exemple, 6.0.3790.1830). Résultats d'analyse Nom du résultat d'analyse Description Version du produit Installation d'internet Explorer vérifiée Connexion d'internet Explorer vérifiée Version du fichier exécutable du programme clé. Les numéros de version majeur et mineur sont identiques à ceux affichés dans l'interface utilisateur du programme. Les autres chiffres du numéro de version peuvent être ignorés lors de la saisie. Ce résultat booléen indique si la version minimale requise ou la version ultérieure de l'application est en cours d'exécution sur la machine cliente. Ce résultat booléen indique si l'on utilise la version minimale ou la version ultérieure requise de l'application pour effectuer la connexion. Analyses Citrix pour les mises à jour Internet Explorer Détecte si la version (niveau de correctif et de mise à jour compris) du navigateur spécifié est installée sur la machine cliente. Versions prises en charge Internet Explorer Version 6.0 SP2 ou version antérieure

Annexe B Propriétés d'analyse 289 Propriétés pouvant être spécifiées Nom de la propriété Ensemble de données Description/Format Indique le nom d'un fichier d'ensemble de données comprenant les niveaux de version spécifiés et requis pour les corrections à chaud ou les mises à jour. Pour plus d'informations, veuillez consulter la section «Utilisation d'ensembles de données pour les analyses», page 200. Résultats d'analyse Nom du résultat d'analyse Description Correctif Internet Explorer vérifié Indique si les mises à jour spécifiées dans l'ensemble de données sont présentes sur la machine cliente. Analyses Citrix pour Mozilla Firefox Détecte si la version de Mozilla Firefox spécifiée est installée sur la machine cliente. Le pack d'analyse utilise les paramètres de registre Windows publiés. Versions prises en charge Firefox Version 1.5.06 ou version antérieure Propriétés pouvant être spécifiées Nom de la propriété Version minimale requise Description/Format Utilisez le format N.N.N.N, où N représente un entier. Vous pouvez spécifier une version sous une forme aussi simple que N.N ou aussi détaillée que N.N.N.N (par exemple, 1.0.3.3).

290 Guide de l'administrateur Access Gateway édition Advanced Résultats d'analyse Nom du résultat d'analyse Description Version du produit Installation de Mozilla Firefox vérifiée Connexion de Mozilla Firefox vérifiée Version du fichier exécutable du programme clé. Les numéros de version majeur et mineur sont identiques à ceux affichés dans l'interface utilisateur du programme. Les autres chiffres du numéro de version peuvent être ignorés lors de la saisie. Ce résultat booléen indique si la version minimale requise ou la version ultérieure de l'application est en cours d'exécution sur la machine cliente. Ce résultat booléen indique si l'on utilise la version minimale ou la version ultérieure requise de l'application pour effectuer la connexion. Analyses Citrix pour Netscape Navigator Détecte si la version de Netscape Navigator spécifiée est installée sur la machine cliente. Le pack d'analyse utilise les paramètres de registre Windows publiés. Versions prises en charge Netscape Navigator Version 8.1 ou version antérieure Propriétés pouvant être spécifiées Nom de la propriété Version minimale requise Description/Format Utilisez le format N.N.N.N, où N représente un entier. Vous pouvez spécifier une version sous une forme aussi simple que N.N ou aussi détaillée que N.N.N.N (par exemple, 8.0.3.3).

Annexe B Propriétés d'analyse 291 Résultats d'analyse Nom du résultat d'analyse Description Version du produit Installation de Netscape Navigator vérifiée Connexion de Netscape Navigator vérifiée Version du fichier exécutable du programme clé. Les numéros de version majeur et mineur sont identiques à ceux affichés dans l'interface utilisateur du programme. Les autres chiffres du numéro de version peuvent être ignorés lors de la saisie. Ce résultat booléen indique si la version minimale requise ou la version ultérieure de l'application est en cours d'exécution sur la machine cliente. Ce résultat booléen indique si l'on utilise la version minimale ou la version ultérieure requise de l'application pour effectuer la connexion. Packs d'analyse de pare-feu Analyses Citrix pour McAfee Desktop Firewall Détecte si la version spécifiée du pare-feu est installée sur la machine cliente. Versions prises en charge McAfee Desktop Firewall 8.5, compilation 260 ou version antérieure Propriétés pouvant être spécifiées Nom de la propriété Numéro de version minimale requise ou numéro de version et de compilation minimales combinées requises Description/Format Pour spécifier le numéro de version, utilisez le format suivant : N.N (N représente un entier). Pour spécifier les numéros de version et de compilation, utilisez le format suivant : N.N.NNN (N représente un entier).

292 Guide de l'administrateur Access Gateway édition Advanced Résultats d'analyse Nom du résultat d'analyse Description Version McAfee Desktop Firewall vérifié Version du fichier exécutable du programme clé. Les numéros de version majeur et mineur sont identiques à ceux affichés dans l'interface utilisateur du programme. Les autres chiffres du numéro de version peuvent être ignorés lors de la saisie. Ce résultat booléen indique si la version minimale requise de l'application est en cours d'exécution sur la machine cliente. Analyses Citrix pour McAfee Personal Firewall Plus Détecte si la version spécifiée du pare-feu est installée sur la machine cliente. Versions prises en charge McAfee Personal Firewall Plus 2006 Version 7.1.113 ou version antérieure Propriétés pouvant être spécifiées Nom de la propriété Numéro de version minimale requise Description/Format N.N (N représente un entier) Résultats d'analyse Nom du résultat d'analyse Description Version McAfee Personal Firewall Plus vérifié Version du fichier exécutable du programme clé. Les numéros de version majeur et mineur seront identiques à ceux affichés dans l'interface utilisateur du programme. Les autres chiffres du numéro de version peuvent être ignorés lors de la saisie. Ce résultat booléen indique si la version minimale requise de l'application est en cours d'exécution sur la machine cliente.

Annexe B Propriétés d'analyse 293 Analyses Citrix pour le pare-feu Microsoft Windows Détecte si une version de pare-feu Microsoft Windows ou de pare-feu de connexion Internet spécifiée est installée sur la machine cliente. Versions prises en charge L'analyse peut détecter les pare-feu suivants sur ces systèmes d'exploitation : Microsoft Windows XP, Édition Familiale ou Professionnel : pare-feu de connexion Internet. Microsoft Windows XP, Édition Familiale ou Professionnel, Service Pack 1 : pare-feu de connexion Internet. Microsoft Windows XP, Édition Familiale ou Professionnel, Service Pack 1 : pare-feu Windows. Microsoft Windows 2003 : pare-feu de connexion Internet. Propriétés pouvant être spécifiées Nom de la propriété Pare-feu Windows sans exception requis Description/Format Sélectionnez Vrai si le pare-feu Windows doit être actif sans exception. Sélectionnez Faux si le pare-feu de connexion Internet doit être actif sur toutes les connexions ou si le parefeu Windows doit être actif (avec exceptions). Veuillez consulter la rubrique «Ajout de règles dans des analyses», page 196 pour obtenir un exemple illustrant l'ajout de plusieurs règles avec exceptions dans une analyse. Résultats d'analyse Nom du résultat d'analyse Description Pare-feu Windows vérifié Ce résultat booléen indique si la version minimale requise de l'application est en cours d'exécution sur la machine cliente. Analyses Citrix pour Norton Personal Firewall Détecte si une version de Norton Personal Firewall spécifiée est installée sur la machine cliente.

294 Guide de l'administrateur Access Gateway édition Advanced Versions prises en charge Norton Personal Firewall 2006 Version 9.1.0.33 ou version antérieure Propriétés pouvant être spécifiées Nom de la propriété Numéro de version minimale requise Description/Format Utilisez le format N.N (N représente un entier). Résultats d'analyse Nom du résultat d'analyse Description Version Version Norton Personal Firewall Version du fichier exécutable du programme clé. Les numéros de version majeur et mineur sont identiques à ceux affichés dans l'interface utilisateur du programme. Les autres chiffres du numéro de version peuvent être ignorés lors de la saisie. Ce résultat booléen indique si la version requise de l'application est en cours d'exécution sur la machine cliente. Analyses Citrix pour le pare-feu du Centre de sécurité Windows Détecte si le Centre de sécurité Windows signale un pare-feu sur la machine cliente. Le Centre de sécurité Windows permet de contrôler différents éléments de sécurité sur une machine cliente exécutant le système d'exploitation Windows XP SP2. Hormis les conditions dans lesquelles l'analyse est appliquée, vous n'avez pas à spécifier de propriétés pour cette analyse. Notez que pour obtenir des résultats d'analyse corrects, le pare-feu doit être contrôlé par le biais du Centre de sécurité Windows. Si l'enregistrement d'un pare-feu dans le Centre de sécurité Windows est incorrect, l'analyse peut indiquer qu'il n'existe pas de pare-feu activé sur la machine cliente, même s'il y en a un. Assurez-vous que le Centre de sécurité Windows enregistre correctement les pare-feu jugés acceptables ou vérifiez les informations relatives aux logiciels pris en charge sur la documentation du Centre de sécurité Windows. Versions prises en charge Windows XP SP2 - Centre de sécurité

Annexe B Propriétés d'analyse 295 Résultats d'analyse Nom du résultat d'analyse Description Pare-feu activé Indique si (Vrai/Faux) le Centre de sécurité Windows signale un pare-feu sur la machine cliente. Analyses Citrix pour ZoneAlarm Détecte si une version spécifiée du pare-feu ZoneAlarm est installée sur la machine cliente. Versions prises en charge ZoneAlarm 2006 Version 6.5.731.00 ou version antérieure Propriétés pouvant être spécifiées Nom de la propriété Numéro de version minimale requise Description/Format Utilisez le format N.N (N représente un entier). Résultats d'analyse Nom du résultat d'analyse Description Version ZoneAlarm vérifié Version de l'exécutable du programme clé. Les numéros de version majeur et mineur sont identiques à ceux affichés dans l'interface utilisateur du programme. Les autres chiffres du numéro de version peuvent être ignorés lors de la saisie. Ce résultat booléen indique si la version minimale requise de l'application est en cours d'exécution sur la machine cliente. Analyses Citrix pour ZoneAlarm Pro Détecte si une version spécifiée du pare-feu ZoneAlarm Pro est installée sur la machine cliente. Versions prises en charge ZoneAlarm 2006 Version 6.5.731.00 ou version antérieure

296 Guide de l'administrateur Access Gateway édition Advanced Propriétés pouvant être spécifiées Nom de la propriété Numéro de version minimale requise Description/Format Utilisez le format N.N (N représente un entier). Résultats d'analyse Nom du résultat d'analyse Description Version de moteur ZoneAlarm Pro vérifié Version de l'exécutable du programme clé. Les numéros de version majeur et mineur sont identiques à ceux affichés dans l'interface utilisateur du programme. Les autres chiffres du numéro de version peuvent être ignorés lors de la saisie. Ce résultat booléen indique si la version minimale requise de l'application est en cours d'exécution sur la machine cliente. Packs d'analyse d'identification de la machine Analyses Citrix pour l'appartenance à un domaine Détecte si la machine cliente appartient à un domaine spécifié. Propriétés pouvant être spécifiées Nom de la propriété Un nom de domaine de client est requis Nom de domaine Description/Format Vrai signifie que la machine cliente doit appartenir à un domaine nommé. Faux signifie qu'il n'est pas nécessaire que la machine cliente appartienne à un domaine. Un nom de domaine valide. Les noms de groupe de travail ne sont pas valides.

Annexe B Propriétés d'analyse 297 Résultats d'analyse Nom du résultat d'analyse Description Domaine Domaine vérifié Le nom de domaine auquel appartient la machine cliente. Si le nom de domaine du client n'est pas nécessaire, le résultat est «inconnu». Indique si la machine cliente appartient au domaine spécifié. Analyses Citrix pour l'adresse MAC Détecte l'adresse MAC (Media Access Control) de chaque carte réseau de la machine cliente et la compare aux adresses MAC associées à des noms de groupe dans un ensemble de données. Pour cette analyse, vous devez créer un ensemble de données à deux colonnes répertoriant les adresses MAC valides associées à des noms de groupe. L'analyse détecte la carte réseau (première valeur ou première colonne de l'ensemble de données) et associe cette adresse à un nom de groupe (deuxième valeur ou deuxième colonne de l'ensemble de données). Les analyses se servent de ce mappage pour vérifier à quel groupe la machine cliente appartient. Les adresses MAC de ces ensembles de données doivent être au format NN:NN:NN:NN:NN:NN ; par exemple, 00:11:11:06:B3:E9. Utilisez deux points (:) en tant que séparateur pour ce format plutôt que le tiret (-). Important : ce pack d'analyse est sensible à la casse des données lors de leur traitement. Évitez de créer des entrées ne différant que par la casse utilisée. Par exemple, vous pouvez créer une entrée pour la même adresse et l'associer à deux groupes différents. Une entrée peut associer l'adresse 00:50:8b:e8:f9:28 au groupe Finances. Une autre entrée peut associer la même adresse au groupe Ventes en utilisant la valeur 00:50:8B:E8:F9:28, différant uniquement par la casse utilisée. Les résultats d'analyse utilisant de telles entrées ne sont pas fiables. Pour plus d'informations sur les ensembles de données, veuillez consulter la section «Utilisation d'ensembles de données pour les analyses», page 200. Propriétés pouvant être spécifiées Nom de la propriété Nom d'ensemble de données Nom de groupe Description/Format Nom du fichier d'un ensemble de données associant chaque adresse MAC à un nom de groupe. Nom d'un groupe auquel la carte réseau doit appartenir.

298 Guide de l'administrateur Access Gateway édition Advanced Résultats d'analyse Nom du résultat d'analyse Description Nom de groupe Adresse MAC correspondante Fournit le nom du groupe associé à l'adresse MAC de la carte réseau de la machine cliente. Ce résultat booléen indique si la carte réseau appartient au groupe d'adresses MAC spécifié. Packs d'analyse divers Analyse Citrix de la bande-passante Détermine le débit de connexion entre le client et l'application Access Gateway. Vous pouvez utiliser les résultats de cette analyse dans des stratégies visant à déterminer, par exemple, si les applications publiées peuvent être lancées. Cette analyse détermine le débit de connexion d'un client grâce à la lecture d'un fichier d'image et au calcul de la durée de lecture du fichier pendant l'analyse en cours d'exécution. Le fichier d'image Citrix_bw.gif est situé dans le dossier themes/default/images du répertoire virtuel du point d'ouverture de session. Pour modifier la taille du fichier d'image, écrasez ce fichier à l'aide d'un autre fichier du même nom. Notez que l'exactitude des résultats d'analyse dépend du temps alloué à l'exécution de l'analyse et de la taille du fichier d'image. Par exemple, la durée d'ouverture de session des utilisateurs disposant d'un accès bas-débit sera rallongée si le fichier d'image est de 72 Mo et si la durée de l'exécution de l'analyse est de 120 secondes. Toutefois, il est impossible de calculer le débit avec exactitude si l'exécution de l'analyse dure 5 secondes. Assurez-vous que la taille du fichier d'image et le temps alloué à l'exécution de l'analyse soient bien équilibrés de sorte que l'ouverture de session soit similaire pour les utilisateurs disposant d'un accès haut-débit et pour ceux disposant d'un accès bas-débit. Propriétés pouvant être spécifiées Nom de la propriété Accès désiré Durée Description/Format Niveau à partir duquel une connexion est considérée comme étant de «haut-débit». La durée maximale autorisée de l'analyse.

Annexe B Propriétés d'analyse 299 Résultats d'analyse Nom du résultat d'analyse Description Bande-passante Ce résultat booléen indique si la connexion du client correspond à l'accès spécifié. Packs d'analyse du système d'exploitation Analyses Citrix pour Macintosh Détecte si la machine cliente exécute le logiciel Mac OS. Les analyses de ce pack ne nécessitent pas l'exécution du logiciel client sur la machine cliente. Les résultats d'analyse sont déterminés par l'examen des communications transmises par le navigateur de l'utilisateur. Hormis les conditions dans lesquelles l'analyse est appliquée, vous n'avez pas à spécifier de propriétés pour cette analyse. Versions prises en charge Mac OSX Résultats d'analyse Nom du résultat d'analyse Description Le client est Macintosh. Indique si la machine cliente exécute le logiciel Mac OS. Analyses Citrix pour le service pack Microsoft Windows Détecte si le niveau de service pack du système d'exploitation exécuté sur la machine cliente est au moins égal au niveau minimum requis. Propriétés pouvant être spécifiées Nom de la propriété Service pack minimal requis Description/Format Sélectionnez une version de service pack Windows dans la liste déroulante. Sélectionnez Aucun pour détecter une version de système d'exploitation de base, sans correctif.

300 Guide de l'administrateur Access Gateway édition Advanced Résultats d'analyse Nom du résultat d'analyse Description Service Pack Service pack Windows vérifié Fournit la version du service pack en cours d'exécution sur la machine cliente. Ce résultat booléen indique si la condition de niveau de service pack minimum est satisfaite. Analyses Citrix pour les mises à jour Microsoft Windows Détecte si un ensemble de mises à jour du système d'exploitation spécifié est installé sur la machine cliente. Remarque : ce pack d'analyse requiert la création d'un ensemble de données à une colonne répertoriant les noms des mises à jour que vous voulez détecter. Propriétés pouvant être spécifiées Nom de la propriété Nom d'ensemble de données Description/Format Nom d'un fichier d'ensemble de données comportant une liste des mises à jour appropriées pour le système d'exploitation détecté. Résultats d'analyse Nom du résultat d'analyse Description Mises à jour Windows vérifiées Ce résultat booléen indique si les mises à jour spécifiées dans l'ensemble de données sont présentes sur la machine cliente.