L UCOPIA sera la passerelle par défaut pour les élèves et les enseignants.

Documents pareils
CONFIGURATION DE BASE. 6, Rue de l'industrie BP130 SOULTZ GUEBWILLER Cedex. Fax.: Tel.:

Utiliser le portail d accès distant Pour les personnels de l université LYON1

Manuel d installation UCOPIA Advance

Contrôle d accès Centralisé Multi-sites

Mettre en place un accès sécurisé à travers Internet

CONFIGURATION DE BASE

UCOPIA EXPRESS SOLUTION

CONFIGURATION DE BASE

VIDÉOSURVEILLANCE. Procédures de paramétrage des différentes box du marché

CONFIGURATION DE BASE

Procédure d utilisation et de paramétrage (filtrage) avec IPFIRE

UCOPIA SOLUTION EXPRESS

CONFIGURATION DE BASE

Routeurs de Services Unifiés DSR-1000N DSR-500N DSR-250N

La gamme express UCOPIA.

Bravo! Vous venez d acquérir un routeur large bande à 4 ports Conceptronic C100BRS4H.

SOMMAIRE. 3. Comment Faire? Description détaillée des étapes de configuration en fonction du logiciel de messagerie... 3

CAHIER DES CLAUSES TECHNIQUES

CONFIGURATION DE BASE

Contrôle d accès à Internet

Paramétrage des navigateurs

Protéger une machine réelle derrière une machine virtuelle avec pfsense

Configurer ma Livebox Pro pour utiliser un serveur VPN

Configurer le Serveur avec une adresse IP Statique (INTERFACE :FastEthernet) : et un masque

Configuration des VLAN

Installation d un serveur AmonEcole

TUTORIEL RADIUS. I. Qu est-ce que RADIUS? II. Création d un groupe et d utilisateur

TP : STATION BLANI 2000 SIMULATION DU RESEAU INFORMATIQUE

GUIDE POUR LE PLEXTALK Linio Pocket - LECTEUR DE Podcasts -

Guide de connexion Wi-Fi sur un hotspot ADP Télécom

Installation d un serveur virtuel : DSL_G624M

Manuel d utilisation de la plate-forme de gestion de parc UCOPIA. La mobilité à la hauteur des exigences professionnelles

Manuel d Installation et de Configuration Clic & Surf C&S 3.3

Mise en place d un firewall d entreprise avec PfSense

SUJET DES FINALES NATIONALES Sujet jour 1 version 1

CSI351 Systèmes d exploitation Instructions pour rouler Linux avec Virtual PC dans la salle de labo 2052

pfsense Manuel d Installation et d Utilisation du Logiciel

Livre blanc UCOPIA. La mobilité à la hauteur des exigences professionnelles

Guide de connexion au service Nomade sous les environnements Microsoft Windows 7

Table des matières Nouveau Plan d adressage... 3

Mise en œuvre d une Gateway HTTP/HTTPS avec un serveur de Présentation en DMZ

Configurez votre Neufbox Evolution

Contrôleur de communications réseau. Guide de configuration rapide DN

Plateforme PAYZEN. Intégration du module de paiement pour la plateforme Magento version 1.3.x.x. Paiement en plusieurs fois. Version 1.

Etape 1 : Connexion de l antenne WiFi et mise en route

Configuration du nouveau Bureau Virtuel (BV) collaboratif de Lyon I

IPS-Firewalls NETASQ SPNEGO

Les cahiers pratiques de Anonymat.org. SocksCap32. Edition du 20 Octobre 2000

Guide d'installation Application PVe sur poste fixe

IPCOP 1.4.x. Mise en œuvre du Pare Feu. Des Addons

ALOHA Load Balancer Guide de démarrage

TCP/IP, NAT/PAT et Firewall

RTE Technologies. RTE Geoloc. Configuration avec Proxy ou Firewall

But de cette présentation

ProCurve Manager Plus 2.2

Guide de configuration. Logiciel de courriel

Authentification sur réseau sans-fil Utilisation d un serveur radius Expérience du CENBG

ADMINISTRATION, GESTION ET SECURISATION DES RESEAUX

Ici se présente un petit récapitulatif de ce qu il se passe sur le réseau : les connexions bloquées, le matériel du boitier, les mises à jour, etc.

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

1 LE L S S ERV R EURS Si 5

2. Réservation d une visioconférence

Sécurisation des accès au CRM avec un certificat client générique

WIFI sécurisé en entreprise (sur un Active Directory 2008)

L exemple d un serveur Proxy sous Windows NT 4 SERVER MICROSOFT PROXY SERVER 2 Installation et configuration Auteur : Eliane Bouillaux SERIA5

Réalisation d un portail captif d accès authentifié à Internet

Sécurité des réseaux sans fil

11/04/2014 Document Technique des Services Disponibles. 16/04/2014. Document Technique des Services Disponibles.

ProCurve Access Control Server 745wl

Personnaliser le serveur WHS 2011

WIFI (WIreless FIdelity)

INSTALLATION D UN PORTAIL CAPTIF PERSONNALISE PFSENSE

Découvrez notre solution Alternative Citrix / TSE

CAMERA DOME AMELIORÉE DE SURVEILLANCE EN RÉSEAU GUIDE D INSTALLATION

Configuration de l adressage IP sur le réseau local LAN

MANUEL D INSTALLATION D UN PROXY

Réseau - Sécurité - Métrologie - Data Center. Le leader du marché allemand des UTM débarque en France avec des arguments forts!

Gestionnaire des services Internet (IIS)

Disque Dur Internet «Découverte» Guide d utilisation du service

DIR-635 : Serveur virtuel

GUIDE D INSTALLATION DE FIREWALL OPEN SOURCE

Guide Utilisateur Transnet

domovea Portier tebis

Manuel Extranet : guide de demande de réservation de salles, de matériel et de services. Table des matières

POVERELLO KASONGO Lucien SIO 2, SISR SITUATION PROFESSIONNELLE OCS INVENTORY NG ET GLPI

Configuration d un Client VPN «TheGreenBow» 1) Création d un compte utilisateur dans la base LDAP Netasq

ALOHA Load Balancer 2.5. Guide de démarrage rapide. EXCELIANCE ALOHA 2.5 Guide de démarrage rapide 30/01/2008 1/17

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.

Fiche produit. Important: Disponible en mode SaaS et en mode dédié

Guide de connexion ROUTEUR THOMSON SPEEDTOUCH 510 Internet Oléane Open

Belgacom Forum TM 3000 Manuel d utilisation

INSTALLATION ET LANCEMENT DU CONNECTEUR E-SIDOC

Cisco Certified Network Associate

UCOPIA COMMUNICATIONS

Guide de l utilisateur Mikogo Version Windows

Groupe Eyrolles, 2006, ISBN : X

TP N 1 : Installer un serveur trixbox.

CONFIGURATION IP. HESTIA FRANCE S.A.S 2, rue du Zécart TEMPLEUVE +33 (0) (0) Site internet:

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Transcription:

Portail Captif UCOPIA La demande L UCOPIA sera la passerelle par défaut pour les élèves et les enseignants. - Les élèves ne pourront pas s identifier sur le portail captif pour sortir sur internet. Ils auront, cependant, accès à une liste d URL «libres» sous forme de liens cliquables présents sur le portail ou de favoris IE injectés par une GPO à l ouverture de session, par exemple. - Les enseignants s identifieront sur le portail captif pour accéder à internet. UCOPIA sera interfacé avec un annuaire externe pour la procédure d authentification (AD ou LDAP). - Les Agents n auront besoin du portail pour accéder à internet. Lors de l ouverture de session Windows, une GPO poussera une configuration de proxy WEB pour le navigateur. Ainsi, les agents ne passeront pas par la même passerelle par défaut pour accéder à internet.

1. Infrastructure FWSM Vlan 993 172.16.0.1 Internet Firewall CheckPoint 172.16.0.104 10.254.1.6 Vlan 930 Ucopia 1 DSIT Vlan 934 : 10.254.2.25 Vlan 204 : 10.204.11.251 Vlan 930 : 10.254.1.1 Ucopia 2 HDM Vlan 934 : 10.254.2.26 Vlan 204 : 10.204.11.252 Vlan 930 : 10.254.1.2 Vlan 204 Ucopia Virtuel Vlan 934 : 10.254.2.27 Vlan 204 : 10.204.11.250 Vlan 930 : 10.254.1.3 Annuaire Active Directory Abonnés Wireless Lan Controler 10.204.11.253 Srvmedservice 10.0.0.6 Vlan CAP WAP SSID BMVR Architecture Wifi - Accès Abonnés Médiathèque Le système est composé de 2 boitiers UCOPIA dont les adresses IP sont : 10.254.2.25 et 10.254.26 et dont l interfaces web de configurations sont accessibles par les url : 10.254.2.25/admin 10.254.2.26/admin Pour assurer une redondance, les 2 équipements fonctionnent en mode Actif / Passif (Seul 1 fonctionne et l autre prend le relai en cas de panne ou de surcharge de l autre) Ainsi l équipement actif à un instant donné n étant pas toujours le même, une IP virtuelle est créé pour permettre la consultation de l état du portail captif. L interface de l UCOPIA virtuelle est accessible par : 10.254.2.27/admin

1.1. Portail captif dans un VLAN de TEST Les tests pour la création d un nouveau portail captif seront réalisé dans un VLAN local dédié (VLAN ID : 203 Port 8 du switch) 1.2. Configuration d une nouvelle entrée Configuration Réseau Réseaux d entrée Ajouter L adresse réseau est : 10.203.0.0/24 L adresse IP du contrôleur : 10.203.0.253/24 VLAN : 203 Type de réseau : Réseau local bien qu il s agit en réalité d un réseau routé Le label : Test-écoles Nom de la zone d entrée : écoles Pour les essais, le service DHC est désactivé et notre machine sera adressée manuellement. Détails Après validation, un nouveau réseau d entrée dont le label est : test-écoles apparaît dans la liste.

La fonction DHCP étant désactivé, la configuration IP de carte réseau de la machine utilisée est en manuelle. Nous n utiliserons pas la fonction DHCP relay du routeur. 1.3. Préparation du matériel d interconnexion Le matériel utilisé est un routeur Cisco 881. Les interfaces 0, 1,2 et 3 (niveau 2) seront placées dans le Vlan Natif (1) sur lequel le poste client de test sera placé. IP du VLAN 1 : 10.246.0.254/24 L interface 4, connectée au boitier Ucopia aura pour adresse IP 10.203.0.1/24 Le routage est de type statique. Une route par défaut sera ajoutée 0.0.0.0 0.0.0.0 10.203.0.254 Extrait de la start-up config interface FastEthernet0 interface FastEthernet1 interface FastEthernet2 interface FastEthernet3 interface FastEthernet4 ip address 10.203.0.1 255.255.255.0 ip virtual-reassembly in duplex auto speed auto interface Vlan1 description Link to Machines ip address 10.246.0.254 255.255.255.0 ip virtual-reassembly in ip forward-protocol nd no ip http server no ip http secure-server ip route 0.0.0.0 0.0.0.0 10.203.0.254 Nous n utilisons pas de relai DHCP car tous les sites concernés par le portail possèdent leurs propres serveurs DHCP.

Pour les tests, la machine cliente sera adressée manuellement Configuration IP Adresse IP v4 : 10.246.0.10 Masque de sous-réseau : 255.255.255.0 Passerelle par défaut : 10.246.0.254 DNS : 10.203.0.254 Schéma VISIO 1.4. Création d une zone d entrée Les zones peuvent décrire un lieu. Exemple : dans une entreprise : Une zone d accueil Une zone de bureaux Il est possible de spécifier au niveau d un profil utilisateur des zones d entrée et de sortie. Plusieurs zones d entrée peuvent être associées à un profil utilisateur. Cela signifie que l utilisateur est autorisé à se connecter quand il se trouve sur l une de ces zones.

1.5. Association de la zone à un réseau d entrée Pour associer une zone à un réseau d entrée allez à Configuration Réseau d entrée. Sélectionnez le nom de la zone d entrée désirée et valider les modifications en cliquant sur modifier. 2. Gestion de profil La création d un profil destiné aux enseignants va nous permettre définir une politique de droits d accès en fonction d un type de population. Attention : les modifications sont à faire sur tous les boitiers 2.1. Création d un profil Administration Profils Ajouter

L ID correspond au nom donné au profil et sera utilisé pour l affecter à un utilisateur par exemple. 2.2. Les services disponibles Les droits d accès File Transfert / Instant Messaging / Microsoft Network / Remote Access / SSH / Telnet / Ucopia_Administration / VPN / Watch_Mail / Web_proxy / Web / Printers / Mail Pour les tests nous allons créer un profil pour les enseignants dont l ID est : ens.test.id Les droits d accès autorisés pour ce profil sont : Web Printers Mail Vous pouvez définir la validité de la création du profil, alloué un quota d utilisation avec un paramètre de re-créditation ou non et des plages horaires de connexion. Vous pouvez par exemple, créer un profil qui sera valide du 01/02/2014 à 0h00 au 31/03/2014 23h59. Les utilisateurs associés à ce profil ne pourront se connecter que du Lundi au Vendredi de 8h00 à 20:00. Ils bénéficieront d un crédit d utilisation de 50 heures pour lequel ils devront patienter 10 jours pour sa re-créditation en cas d épuisement du solde.

Un profil peut être autorisé à se connecter en fonction de sa zone d entrée. D autres options sont disponibles tels que : Reconnaissance des équipements des utilisateurs par @Mac pour une identification automatique La redirection vers des proxys Web avec configuration de liste de ports Filtrage WEB 2.3. Options avancées - Utilisation d un annuaire externe dans le processus d authentification. Cette section permet d utiliser un LDAP ou un AD externe pour authentifier les utilisateurs d un profil sur le portail captif. Pour interfacer un LDAP ou un AD avec l UCOPIA, il faut aller à Configuration Authentification- Annuaire.

- Utilisateurs simultanés Il est possible d autoriser ou pas l utilisation de plusieurs utilisateurs avec le même couple identifiant / mot de passe. - Contrôle du débit des utilisateurs (QOS) Pour préserver les ressources du réseau, il est possible de limiter le débit de la bande passante montante et descendante. - Déconnexion forcée des utilisateurs Cette fonctionnalité permet de déconnecter un utilisateur quel que soit les paramètres en fonction d un temps écoulé. Quand tous les paramètres sont définis, cliquez sur Valider Pour voir un aperçu des paramètres du profil, cliquez sur son ID. 3. Gestion des utilisateurs 3.1. Les annuaires pour l authentification des utilisateurs Les boitiers UTOPIA possèdent leur propre annuaire ce qui permet une identification locale des utilisateurs du portail captif. Il est toutes fois possible de les interfacer avec des annuaires externes du type Microsoft Active Directory ou un LDAP. Attention : L ouverture de ports sera nécessaire. Pour cela, allez à Configuration Authentification Annuaires

Pour connecter un nouvel annuaire, cliquez sur Ajouter et remplissez les champs du formulaire avec les informations adéquats. 3.2. Création d un utilisateur «local» Pour tester le fonctionnement du portail captif sans AD, il faut créer un utilisateur qui utilisera l annuaire UCOPIA pour l authentification. Administration Utilisateurs

Cliquez sur l icône «+» en bas à gauche de la liste champs obligatoires. puis remplissez les Sélectionnez le profil auquel vous souhaitez associer l utilisateur. Vous pouvez également gérer les équipements de l utilisateur et la validité (plages horaires, quotas ) 4. Création et mise en œuvre du portail captif Pour la création de modèles visuels, l association et la configuration de portails, rendez-vous à Configuration Personnalisation - Portails 4.1. Configurations Pour ajouter une nouvelle configuration, cliquez sur Configurations de la rubrique portails, puis cliquez sur Ajouter une configuration.

Plusieurs modes de fonctionnement sont disponibles. Nous choisirons le mode Standard. Ainsi l utilisateur s authentifiera avec un couple login/mot de passe. D autres options intéressantes sont disponibles mais ne sont pas utiles dans notre contexte. La configuration reste celle par défaut.

4.2. Association Pour associé une configuration de portail à une zone d entrée, cliquez sur l onglet Association de la page des portails puis cliquez sur Ajouter une association. Sélectionnez dans les menus déroulants, la zone, la configuration et le mode visuel que vous souhaitez associer. 4.3. Test fonctionnel du portail captif Nous lançons le navigateur Web de la machine client. Le portail captif s ouvre bien. Après identification, un petit encart résume les droits d accès, un lien permet d accéder à l url requêtée et un bouton permet de se déconnecter.

5. Fonction Architecture multi sites centralisée Les dernières mises à jour des boitiers UCOPIA incluent une fonction permettant de les faire fonctionner sur des réseaux routés. Nous n avons pas utilisé cette méthode car celle-ci ne semble pas fonctionner. La page ci-dessous détaille les tests que nous avons réalisés. 5.1. Les sites distants sont reliés en niveau 3 Dans ce cas, UCOPIA fonctionne en faisant abstraction des informations niveau 2. Attention pour fonctionner, une route statique doit être indiquée. Les restrictions : Seul le mode d authentification par portail Web est possible Les postes clients sur le site distant doivent être configurés en DHCP Le portail d authentification doit être en mode réauthentification automatique 5.2. Route statique Les routes statiques servent à contacter une ressource réseau située sur un réseau routé différent du LAN sur lequel se situe le contrôleur UCOPIA. Pour ajouter une nouvelle route statique : Configuration Routes statiques Ajouter Interface : VLAN d'entrée 934 (10.254.2.24/29) Adresse de passerelle : 10.254.2.30 Adresse du sous-réseau distant : 10.246.0.0 Masque du sous-réseau distant : 255.255.255.0

5.3. Activer le DHCP pour le réseau d entrée Paramètres obligatoires à renseigner : Adresse IP du routeur par défaut : 10.246.0.254 Adresse IP du serveur DNS : 172.16.0.2 (DNS RM) 5.4. Relai DHCP Il est faut utiliser l agent relai DHCP du routeur Cisco pour relayer, dans chaque sous-réseau, les demandes d adresse IP des clients. Nous ne sommes pas parvenus à faire fonctionner le Boitier UCOPIA en niveau 3 avec cette fonctionnalité. 6. Problèmes rencontrés 6.1. Déconnexion en niveau 3 et 2 Lorsque l utilisateur ouvre son navigateur WEB, il est automatiquement redirigé vers e portail ou il lui est demandé de s identifier avec un couple login/mot de passe.

Tant que l utilisateur n est pas authentifié, tout le trafic est bloqué. Si les identifiants saisis sont valides la fenêtre ci-dessous apparait. Le client est alors identifié et il peut naviguer quel que soit le navigateur Web utilisé. L utilisateur doit garder cette fenêtre ouverte pendant toute la durée de la session et cliquer sur le bouton Déconnexion lorsqu il souhaite se déloguer et ainsi refermer l accès à internet. Dysfonctionnement Si l utilisateur ferme cette fenêtre sans s être déconnecté au préalable, la session ne peut plus être interrompue. Après avoir fermé la page Web ci-dessus, il est impossible de l ouvrir de nouveau. La navigation fonctionne même après un reboot de la machine. Seul un changement de l adresse IP de la machine client permet de mettre fin à la session.

Problèmes de sécurité L utilisateur ne peut plus mettre fin à sa session, un cache associant IP/session ne se vide pas. N importe quel poste peut alors contourner l identification en utilisant cette adresse IP avoir à usurper l adresse MAC. Nous avons réalisé les mêmes tests en niveau 2 (pas de réseau routé) et le problème est le même. Il ne semble y avoir aucun mécanisme permettant de détecter les oublis de déconnexion ni aucune protection contre le vol de session par usurpation des paramètres réseau. Contournement En cas d oubli de déconnexion, il est possible de retourner sur la page d authentification avec l URL https://controller.mobile.lan/. Il faut s identifier à nouveau pour pouvoir se déconnecter. 6.2. Gestion des URLS libres Procédure d ajout d URLs libres Dans l interface de gestion du boitier UCOPIA Configuration Personnalisation URLS en accès libre Ajouter Il faut d abord Ajouter les URLS une par une et en fonction du protocole (http ou HTTPS). Il est impossible d importer une liste à partir d un fichier txt, csv Après avoir défini une liste d urls accessibles sans authentification, il faut encore l associer à un portail.

Configuration Portails Modèles visuels Le Nom de votre modèle Editer le modèle Choisissez le format (Laptop, tablette ) Chaque URL doit être à un calque qu il faut nommer. Le champ Texte, sert à écrire un mot ou une phrase qui apparaîtra sur le portail et qui fera office de lien vers l url libre associée. Si vous ne voulez pas qu un lien vers une l URL apparaisse sur le portail captif pour y accéder en la saisissant dans la barre d adresse, laisser le champ Texte blanc ne fonctionne pas. Après avoir enregistré la nouvelle URL, vous devez la modifier : Texte Editer un texte Sélectionnez le nom du calque correspondant. Dans le champ Texe ajouter les informations suivantes : <a href="nom symbolique de l url "></a> Exemple : <a href="ac-aix-marseille"> </a> Si vous souhaitez ajouter un lien sur le portail, taper votre texte entre les balises <a href..> et </a> Exemple : <a href="ac-aix-marseille">ac-aix-marseille </a> La procédure d importation proposée par UCOPIA convient pour définir quelques exceptions. Nous avons plus de 180 URLS à importer. Cette technique ne convient pas.

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back