Alcatel-Lucent OmniVista 4760 Network Management System Guide de Sécurité Alcatel-Lucent OmniVista 4760 Network Management System All Rights Reserved Alcatel-Lucent 2010
Informations légales : Alcatel, Lucent, Alcatel-Lucent et le logo Alcatel-Lucent sont des marques d Alcatel-Lucent. Toutes les autres marques appartiennent à leurs propriétaires respectifs. Les informations présentées sont sujettes à modification sans préavis. Alcatel-Lucent ne peut être tenu pour responsable de l inexactitude de ces informations. Copyright 2010 Alcatel-Lucent. Tous droits réservés. Le marquage CE indique que ce produit est conforme aux directives communautaires suivantes : - 2004/108/EC (Compatibilité électromagnétique) - 2006/95/EC (Sécurité Basse Tension) - 1999/5/EC (R&TTE)
Chapitre 1 Introduction Chapitre 2 Procédure recommandée pour le déploiement d une solution OmniVista 4760 en environnement sécurisé Choix et configuration du système d exploitation... 2.1 Définition de l environnement réseau... 2.1 Sécurisation des données PCX... 2.3 Sécurisation des données de l'omnivista 4760... 2.3 Bonnes pratiques en cas de détection d une faille de sécurité... 2.3 Chapitre 3 Déploiement d'omnivista 4760 dans un environnement Windows sécurisé Généralités... 3.1 Compatibilité avec le système d exploitation... 3.1 Généralités... 3.1 0-1
Type de matériel... 3.1 Système d exploitation et Service Pack... 3.2 Personnalisation de Windows (suppression de services et de fichiers)... 3.2 Émulation Windows : VM-Ware, MS Virtual Server 2005... 3.3 Services constructeur... 3.3 Carte mère... 3.3 Compatibilité et utilisation des services Windows... 3.4 Au cours de l installation / mise à jour... 3.4 En cours de fonctionnement... 3.5 Outils de sécurité... 3.9 Compatibilité avec les logiciels antivirus... 3.9 Compatibilité avec le pare-feu Windows...3.10 Compatibilité avec un proxy...3.13 Renforcement de la sécurité avec SynAttackProtect...3.13 Renforcement de la sécurité avec DEP...3.14 Compatibilité avec les applications externes...3.14 Étude de compatibilité...3.14 Compatibilité en termes de performances...3.15 Fichiers dll...3.15 Java Run Time...3.15 Ports et Services IP...3.16 Compatibilité avec les outils de sauvegarde PC...3.16 Compatibilité avec les outils de connexion à distance...3.16 Compatibilités avec d'autres applications Alcatel Lucent...3.17 Gestion de comptes Windows utilisés par le serveur OmniVista 4760...3.18 Compte pour installation...3.18 Compte à utiliser pour le lancement d un client OmniVista 4760...3.18 Opérations de maintenance avec ressources réseau...3.18 Planification de l exportation ou de l impression de rapports...3.23 Archivage et restauration des fichiers de taxation...3.24 Collecteur de fichiers de taxation...3.25 Réception d alarmes urgentes de l OmniPCX Office...3.26 Gestion du partage de répertoires...3.26 Gestion de l OmniPCX Office...3.26 Partage de OmniVista 4760_ARC...3.27 0-2
Autres partages...3.28 Envoi de message électronique (e-mails)...3.28 Chapitre 4 Déploiement d OmniVista 4760 dans une configuration réseau sécurisée Trafic IP sur serveur OmniVista 4760... 4.1 Trafic IP sur client OmniVista 4760... 4.6 Trafic IP sur OmniPCX Enterprise pour la gestion de l'omnivista 4760... 4.6 Trafic IP sur l'omnipcx Office pour la gestion de l'omnivista 4760... 4.7 Trafic IP sur un hyperviseur... 4.8 Trafic IP sur un 4059... 4.9 Fonctionnement de l'omnivista 4760 sur un réseau VPN/NAT... 4.9 PRÉSENTATION... 4.9 Protocole VPN/NAT... 4.9 Accès du client OmniVista 4760 au serveur via NAT...4.10 Accès du serveur OmniVista 4760 à l'alcatel-lucent OmniPCX Enterprise Communication Server via NAT...4.12 Accès du serveur OmniVista 4760 à l'omnipcx Office via NAT...4.12 Accès du serveur OmniVista 4760 au client d'annuaire Web 4059 via NAT 4.12 Dépannage du transfert FTP...4.12 Chapitre 5 Sécurisation des données PCX en cas de gestion par un serveur OmniVista 4760 Alcatel-Lucent OmniPCX Enterprise CS... 5.1 Mise en œuvre de Connexion SSH... 5.1 0-3
Sécurisation de l'accès à l'alcatel-lucent OmniPCX Enterprise CS... 5.4 OmniPCX Office... 5.5 Configuration... 5.5 Synchronisation des données OmniPCX Office... 5.5 Accès Internet... 5.5 Chapitre 6 Sécurisation des données OmniVista 4760 Configuration autonome... 6.1 Déploiement du protocole IPSec dans une configuration serveur-clients distants... 6.1 Configuration requise... 6.1 Implémentation... 6.1 Restriction... 6.2 Configuration... 6.2 Sécurité d accès aux applications OmniVista 4760... 6.7 Application Sécurité... 6.7 Confidentialité des données d annuaire... 6.9 Confidentialité des données de taxation et d observation de trafic...6.12 Procédure de changement des mots de passe...6.12 Sécurisation des notifications d alarmes urgentes OmniPCX Office...6.14 Sécuriser l accès à l annuaire LDAP par des applications externes....6.14 Autres Recommandations...6.14 0-4
Ce guide de sécurité a pour objectif de fournir aux administrateurs de l'alcatel-lucent OmniVista 4760 Network Management System (désigné par OmniVista 4760 dans ce document) les informations nécessaires à la prise en compte des éléments de sécurité lors du déploiement ainsi que les méthodes à appliquer pour sécuriser ce système de gestion des OmniPCX Alcatel-Lucent. La section 2 présente la procédure à suivre pour déployer l'omnivista 4760 dans un environnement contenant des éléments de sécurité et pour renforcer la sécurité de la gestion d'omnipcx par l intermédiaire de l'omnivista 4760. Les informations et procédures requises pour chacune de ces étapes sont détaillées dans les sections suivantes : - Les sections 3 et 4 fournissent les recommandations et informations à prendre en compte avant d'intégrer l'omnivista 4760 dans un environnement sécurisé (au niveau du système d'exploitation ou du réseau), ainsi que les procédures à appliquer pour que certaines applications de l'omnivista 4760 fonctionnent avec les ressources réseau. - Les sections 5 et 6 indiquent les moyens à mettre en œuvre pour renforcer la sécurité des données collectées ou gérées par l'omnivista 4760. La section 7 indique l'url de l'équipe de résolution des incidents de sécurité pour les produits Alcatel-Lucent et comment rapporter une vulnérabilité de sécurité. 1-1
Chapitre 1 1-2
2.1 Choix et configuration du système d exploitation Recommandations : - Serveur OmniVista 4760 : Windows 2003 SP2 recommandé Profil de sécurité recommandé : serveur membre. Pare-feu : activé, accepter les exceptions concernant les programmes utilisés par le serveur OmniVista 4760. - Client OmniVista 4760 : Windows XP SP3 recommandé Pare-feu : activé, accepter les exceptions concernant les programmes utilisés par le client OmniVista 4760. - Mise à jour avec Windows Update : Uniquement pour patch de sécurité. Installer les hotfixes de sécurité de Windows. Lors de l installation, il est nécessaire de sélectionner les options permettant ensuite de désinstaller tout hotfix ou service pack de Windows. Antivirus : activer et assurer la mise à jour d un système antivirus sur les ordinateurs hébergeant les applications OmniVista 4760 (client ou serveur). - Mise en oeuvre: Voir module Sécurité - Deploying the OmniVista 4760 in a Secure Windows Environment pour le déploiement de l application OmniVista 4760 dans un environnement Windows sécurisé. La mise en place de profils de sécurité Windows a pour effet d arrêter certains services système ; il faut donc s assurer que les services nécessaires à l installation et au fonctionnement du serveur OmniVista 4760 sont démarrés. 2.2 Définition de l environnement réseau Note : Ce guide de sécurité présente les solutions à mettre en œuvre en cas de connectivité ethernet entre les équipements OmniPCX et OmniVista 4760. Dans le cas d une autre connectivité (PPP), les mêmes recommandations et procédures pourront être appliquées mais des protocoles et services supplémentaires devront être activés. Il est par ailleurs possible d ajouter un niveau d authentification supplémentaire en cas d activation du protocole PPP. Recommandations : 2-1
Chapitre 2 Figure 2.1 : Exemple de déploiement sur un réseau privé client (intranet) Les clients OmniVista 4760 distants sont facultatifs. N installer que les clients utiles. La configuration autonome (client local au serveur) réduit le risque d attaque contre le serveur OmniVista 4760. Pour renforcer la sécurité du serveur OmniVista 4760 : - Installer le serveur dans le même sous-réseau que les PCX. - Lancer les applications OmniVista 4760 à partir de clients OmniVista 4760 connectés au serveur via un tunnel Ipsec. Choix de l implémentation dans des domaines Windows : Le serveur OmniVista 4760 et ses clients distants peuvent être configurés dans un groupe de travail (les clients doivent être dans le même groupe de travail que le serveur) et non dans des domaines Windows. Ceci facilite la configuration du serveur (et de ses services) et permet d éviter les impacts des modifications de droits de sécurité des domaines du réseau. Mais, dans ce contexte, le serveur ne pourra pas utiliser les ressources situées hors de ce Workgroup (imprimante, disques de sauvegardes...etc). Lorsque le serveur OmniVista 4760 et ses clients distants sont configurés dans un domaine Windows, suivre les recommandations des sections 3.5 et 3.6 pour ouvrir l accès aux ressources réseau tout en conservant un bon niveau de sécurité. Mise en oeuvre: Se reporter à la section module Sécurité - Deploying the OmniVista 4760 in a Secure Network Configuration pour le déploiement de l application OmniVista 4760 dans un environnement réseau contenant des éléments de sécurité. 2-2
2.3 Sécurisation des données PCX - Recommandations : OmniPCX Enterprise : déployer la sécurité SSH (disponible uniquement pour les OXE>= 6.0) et le controle d accès OmniPCX Office : suivre les recommandations de sécurité fournies par le support technique d OmniPCX Office. - Mise en oeuvre: Voir module Sécurité - How to Secure the OmniVista 4760 Data? pour renforcer la sécurité des données d un OmniPCX Alcatel-Lucent en cas de gestion à distance par un serveur OmniVista 4760. Se reporter aux notices de sécurité respectives des systèmes OmniPCX. 2.4 Sécurisation des données de l'omnivista 4760 - Recommandations : Mettre en œuvre les outils de sécurité des applications OmniVista 4760 (voir section 6) : Déployer Ipsec dans une configuration serveur- clients distants Mettre en œuvre la sécurité d accès aux applications OmniVista 4760 Procéder de façon régulière aux changements de mots de passe Sécuriser l accès à l annuaire LDAP par des applications externes Suivre les recommandations de sécurité de Microsoft lorsqu elles sont compatibles avec le fonctionnement des applications OmniVista 4760. - Mise en oeuvre: Voir module Sécurité - How to Secure the OmniVista 4760 Data? pour renforcer la sécurité des données d un OmniVista 4760. 2.5 Bonnes pratiques en cas de détection d une faille de sécurité - La faille concerne un composant Microsoft : Installer les hotfixes de sécurité de Windows correspondant à la faille. - La faille de sécurité concerne un composant utilisé par l'omnivista 4760 : Programmer une sauvegarde régulière du serveur OmniVista 4760. Contacter le service Support Technique d'alcatel-lucent pour signaler cette faille de sécurité. Installer, dès sa sortie, la version de l'omnivista 4760 implémentant le correctif de sécurité. - La faille de sécurité concerne une application externe à l'omnivista 4760 : Programmer une sauvegarde régulière du serveur OmniVista 4760. Contacter le fournisseur de l application externe concernée et suivre ses recommandations de sécurité. Si ces dernières s avèrent incompatibles avec les recommandations de sécurité décrites dans ce guide, contacter le service Support Technique d'alcatel-lucent. 2-3
Chapitre 2 2-4
Objectif de ce chapitre : fournir les procédures et paramétrages à appliquer pour déployer et utiliser l'omnivista 4760 dans un environnement Windows sécurisé (système d exploitation sécurisé par des éléments et méthodes de sécurité). 3.1 Généralités Le déploiement de l'omnivista 4760 dans un environnement Windows requiert les conditions suivantes : - Compatibilité entre l'omnivista 4760 et le système d'exploitation. - Activation des services Windows requis pour l installation et le fonctionnement de l'omnivista 4760, et désactivation des services gênant l installation ou le fonctionnement de l'omnivista 4760. - Compatibilité entre l'omnivista 4760 et les outils de sécurité installés dans l environnement Windows. - Compatibilité entre l'omnivista 4760 et les autres applications externes installées dans le même environnement. - Configuration de comptes Windows et de ressources réseau pour un fonctionnement sécurisé. 3.2 Compatibilité avec le système d exploitation 3.2.1 Généralités La compatibilité entre l'omnivista 4760 et un système d exploitation inclut les conditions suivantes : - Compatibilité avec le matériel - Compatibilité avec le Système d exploitation - Compatibilité avec les services packs installés - Compatibilité avec le type d installation du système d exploitation - Compatibilité avec la personnalisation (ou le paramétrage spécifique) du système d exploitation installé Il importe donc de se conformer aux prérequis du manuel d installation de l'omnivista 4760, ainsi qu aux procédures d installation et de désinstallation de l'omnivista 4760. 3.2.2 Type de matériel Certains fabricants de PC peuvent spécifier le type de système d exploitation. Par conséquent, avant même d envisager la compatibilité de l'omnivista 4760, s'assurer que le matériel peut prendre en charge le système d exploitation choisi. - Exemple Le serveur HP/Compaq ML370 ne prend pas en charge les systèmes d'exploitation de poste de travail ou professionnels. Seul un système d'exploitation serveur peut être utilisé (Windows 3-1
Chapitre 3 XP Professionnel, Windows 2003, Vista, etc.). Sur certains PC, en particulier le HP ML370G4, l'installation du Service Pack 1 pour Windows 2003 Server nécessite la mise à jour du Bios et de certains pilotes. 3.2.3 Système d exploitation et Service Pack - Compatibilité Le tableau ci-après indique les versions de Windows et les Service Packs pris en charge par la version R5.1.1 de l application OmniVista 4760. tableau 3.1 : Configuration requise Petite capacité Moyenne capacité Grande capacité Capacité d'abonnés <250 abonnés 250 à 5 000 utilisateurs Système d'exploitation Windows XP Professionnel (Service Pack 3) Windows 2003 Serveur Standard Edition (Service Pack 2 minimum obligatoire) Windows Vista Navigateur Internet Mozilla FireFox 2.0 Internet Explorer version 7.0 > 5 000 abonnés Windows 2003 Serveur Standard Edition (Service Pack 2 minimum obligatoire) - Incompatibilités connues : Les fonctions de contrôleur de domaine, de serveur Web et de serveur FTP livrées avec le système d exploitation ne doivent pas être installées. 3.2.4 Personnalisation de Windows (suppression de services et de fichiers) À compter de la version R5.1.1, les services Telephony et Remote Access Connection manager ne sont requis que pour la connexion PPP. Pour des raisons de sécurité, il faut désactiver le service Remote Access Connection manager lorsque la connexion PPP n'est pas utilisée. La désactivation du service Remote Access Connection manager arrête le service NMC Comserver. Pour vous assurer que le service NMC Comserver est arrêté, modifiez le fichier NMComserver.log. L'indication No modem indique que le service NMC Comserver est arrêté. Pendant l'accès à la configuration PCX, le message suivant s'affiche : No URL Scheme specified. La désactivation du service Server interdit l utilisation des partages Windows. En particulier, ceux situés sous 4760_arc ne seront plus visibles, ce qui empêchera l'installation de l'omnivista 4760 pendant la phase : Launch svsharename. La solution dans ce cas consiste à relancer le service Server. Par défaut, sous Windows, chaque fichier possède un nom long et un nom court (exemple : C:\program file et C:\program~1). Ce comportement de Windows ne doit pas être modifié. En effet, la suppression des noms de fichier courts empêcherait l accès à la base de données Sybase pendant l installation et donc empêcherait l installation du serveur OmniVista 4760. Exemple : 3-2
Sybase est installé sous C:\program files\sybase\sql Anywhere 9. - Si les noms courts sont autorisés, l'omnivista 4760 peut accéder à C:\progra~1\SQLany~1\win32\dbisql. - Dans le cas contraire, l'omnivista 4760 tente d'utiliser C:\program files\sybase\sql Anywhere 9\win32\dbisql, ce qui génère une erreur dans le fichier _4760_log_Setup\batch\dbsiql.log. Procédure pour activer la création des noms courts : 1. Cliquer sur Démarrer puis Exécuter, puis saisir regedit et valider. 2. Dans le registre Windows, localisez la clé suivante HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem. 3. Modifiez la valeur DWORD de la façon suivante : NtfsDisable8dot3NameCreation = 0. 3.2.5 Émulation Windows : VM-Ware, MS Virtual Server 2005 VM-Ware et MS Virtual Server permettent de démarrer des machines virtuelles. Ainsi, plusieurs systèmes d'exploitation peuvent s'exécuter simultanément sur un seul serveur physique. Le serveur OmniVista 4760 est compatible avec la plate-forme Vmware à partir de la version R5.1.1. Cependant, MS Virtual Server n'est toujours pas pris en charge, en particulier dans un environnement de production : il n'existe pas de tests de performance, ni de validation. Dans le cadre de l'omnivista 4760, de tels outils ne pourront être mis en œuvre que pour des tests d'interface ou pour des captures d écran destinées à la documentation. 3.2.6 Services constructeur Les fabricants de PC fournissent des outils permettant d'administrer une base de PC installée. Ces outils peuvent utiliser des services ou des fichiers dll incompatibles déjà présents dans l'application OmniVista 4760. - Exemple de problèmes connus : Les serveurs de la gamme Compaq/HP sont livrés avec les services Compaq/Agent Foundation. Ces services s appuient sur le service Windows SNMP. Si ce service SNMP est démarré, l installation échoue. Les serveurs DELL sont livrés avec le service DELL open management qui s appuie sur une ancienne version du fichier dll de notification, JTC1012.dll. Lorsque cette DLL est chargée avant celle de l'omnivista 4760, les notifications ne sont plus prises en compte : désinstallez l'utilitaire et vérifiez le chemin de Windows. 3.2.7 Carte mère Le serveur OmniVista 4760 doit pouvoir arrêter, désinstaller et réinstaller ses propres services NMC. Sur certains PC, le mode d arrêt et de redémarrage des services peut être modifié. Cette modification empêche le redémarrage du serveur OmniVista 4760. - Exemple de dysfonctionnement : arrêt du PC - correction : Un arrêt Windows envoie un signal vers les services pour leur demander de s'arrêter. Si ce signal ne peut pas être émis/intercepté à temps, le PC risque de redémarrer avec un état transitoire: service en cours de suppression. Il faudra un second arrêt du PC pour 3-3
Chapitre 3 réellement supprimer ces services. Le problème apparaît sur un PC Intel (fourni par PERTEC) lorsqu'il est équipé de carte mère S815EBM1. Cette carte mère équipe les PC avec la référence : NEXPCS815E, NEX1120C. Arrêter le service NMC service manager avant l'arrêt du PC : Ecrire un script Stop.bat contenant la ligne net stop «NMC Service Manager» Forcer Windows à exécuter le script à l'arrêt du PC : Ouvrir le composant Stratégie de groupe en lançant C:\WINNT\SYSTEM32\gpedit.msc Sélectionner Configuration ordinateur -> Paramètre Windows -> Scripts (démarrage/arrêt) -> Arrêter le système. Ajouter le fichier Stop.bat. 3.3 Compatibilité et utilisation des services Windows 3.3.1 Au cours de l installation / mise à jour - Installation du serveur OmniVista 4760 : Le tableau ci-après répertorie les services Windows devant être démarrés pendant l installation du serveur OmniVista 4760. tableau 3.2 : Services Windows requis pour l'installation de l'omnivista 4760 Nom affiché Nom Image Commentaires Protected Storage ProtectedStorage Lsass.exe Remote procedure call Security account manager RPCSS sasms SvcHost.exe Lsass.exe Network Connections Network Connections SvcHost.exe Windows Firewall/Internet Connection Sharing (ICS) NetBIOS over TCP/IP driver (Direct hosted SMB traffic mode) NetBIOS over TCP/IP driver (NBT mode) TCP/IP NetBIOS helper SharedAccess SvcHost.exe Netbt.sys Netbt.sys Nécessaire en cas d utilisation de partages réseau. Nécessaire en cas d utilisation de partages réseau. LmHosts SvcHost.exe Nécessaire en cas d utilisation de Net- BIOS over TCP/IP DNS client DnsCache SvcHost.exe Obligatoire pendant l installation du serveur OmniVista 4760, ce service pourra être désactivé après l installation. 3-4
Serveur LanmanServer SvcHost.exe Le tableau ci-après répertorie les services Windows devant être arrêtés pendant l installation du serveur OmniVista 4760. tableau 3.3 : Services Windows à arrêter pour l'installation du serveur OmniVista 4760 Nom affiché Nom Image Commentaires Application Layer Gateway Service Agl Agl.exe Il faut désactiver le service AGL pendant l installation de l'omni- Vista 4760. - Installation du client v : Le tableau ci-après répertorie les services Windows devant être arrêtés pendant l installation du client OmniVista 4760. tableau 3.4 : Services Windows à arrêter pour l'installation du client OmniVista 4760 Nom affiché Nom Image Commentaires Application Layer Gateway Service Agl Agl.exe Il faut désactiver le service AGL pendant l installation de l'omni- Vista 4760. 3.3.2 En cours de fonctionnement - Serveur Alcatel-Lucent Le tableau ci-après répertorie les services devant être démarrés pour un fonctionnement normal du serveur v. Nom affiché Nom Nom de l image Commentaires Protected Storage Remote procedure call Security account manager Network Connections Windows Firewall/Internet Connection Sharing (ICS) Remote Access Connection Manager Remote Administration Service ProtectedStorage Lsass.exe RPCSS sasms Network Connections SharedAccess RasMan srvcsurg SvcHost.exe Lsass.exe SvcHost.exe SvcHost.exe SvcHosts.exe srvcsurg.exe Telephony TapiSrv SvcHosts.exe 3-5
Chapitre 3 Nom affiché Nom Nom de l image Commentaires Plug And Play PlugPlay Services.exe IPSec Services PolicyAgent Lsass.exe Nécessaire lorsque le protocole IP- Sec est utilisé pour: Accéder au serveur OmniVista 4760 depuis un client distant OmniVista 4760. Utilisez le logiciel OMC sur un client distant OmniVista 4760 pour accéder au répertoire LDAP à partir d'une application externe : 4059, duplication LDAP, OXE-Phonebook, etc. Routing and Remote Access NetBIOS over TCP/IP driver (Direct hosted SMB traffic mode) TCP/IP NetBIOS helper RemoteAccess SvcHosts.exe Englobe des fonctionnalités de parefeu et n est pas compatible avec le pare-feu de Windows. Dans ce cas, vous devez arrêter le pare-feu de Windows et le service ICS de partage de connexion Internet. Service nécessaire pour la remontée d alarmes urgentes d OmniPCX Office en connectivité PPP uniquement. LmHosts Netbt.sys SvcHost.exe Nécessaire pour l utilisation de ressources réseau partagées. Net Logon NetLogon Lsass.exe Nécessaire en cas de partages réseau pour : Accéder à des ressources réseau depuis le serveur OmniVista 4760 Accéder aux annuaires du serveur 4760 Configurer OmniPCX Office (utilisation du logiciel OMC sur le serveur OmniVista 4760 ou sur des clients distants) Serveur LanmanServer SvcHost.exe Nécessaire en cas d utilisation de partages réseau pour : Accéder aux annuaires du serveur 4760 Configurer OmniPCX Office (utilisation du logiciel OMC sur le serveur OmniVista 4760 ou sur des clients distants) 3-6
Nom affiché Nom Nom de l image Commentaires Workstation service LanmanWorstation SvcHost.exe Nécessaire en cas d utilisation de partages réseau pour : Accéder à des ressources réseau depuis le serveur OmniVista 4760 Accéder aux annuaires du serveur 4760 Configurer OmniPCX Office (utilisation du logiciel OMC sur le serveur OmniVista 4760 ou sur des clients distants) Print Spooler Spooler Spoolsv.exe Nécessaire pour imprimer dans les cas suivants : Utilisation de l imprimante réseau depuis le serveur OmniVista 4760 Impression de rapports Apache Apache httpd.exe NMC Alarm Server Serveur d'audit NMC NMC Communication Server NMC CMISE Server NMC Executables Launcher Serveur d'audit NMC NMC Communication Server NMC CMISE Server NMC Executables Launcher NMC Alarm Server FaultManager.exe AuditServer.exe ComServer.exe cmisd.exe execdex.exe NMC Extractor NMC Extractor extractor.exe NMC GCS NMC GCS GCSAdmin.exe Administration Server NMC GCS Config Server NMC License Server Administration Server NMC GCS Config Server NMC License Server GCSConfig.exe LicenseServer.exe NMC Loader NMC Loader loader.exe NMC Save Restore save_restore.exe NMC Scheduler NMC Scheduler scheduler.exe NMC Security Server NMC PBX/Ldap Synchronization NMC Security Server NMC PBX/Ldap Synchronization NMC Save Restore securityserver.exe SyncLdapPbx.exe 3-7
Chapitre 3 Nom affiché Nom Nom de l image Commentaires NMC Service Manager NMC50 Data- Base Orbacus Notify Service SunOne Administration Server 5.2 SunOne Directory Server 5.2 Serveur ACAPI CMISE Acapi communication server Acapi GCS administration server Acapi GCS conf server Acapi GCS LDAP server ACAPI notification proxy NMC Service Manager NMC50 Data- Base Orbacus Notify Service SunOne Administration Server 5.2 SunOne Directory Server 5.2 ACAPI alarm server AcapiAlarmsServer svc_mgr.exe dbsrv9.exe ns_service.exe ns-httpd.exe ns-slapd.exe Plugger.exe AcapiCmisd Cmisd.exe Serveur ACAPI CMISE AcapiComServer ComServer.exe AcapiGCSAdmin GCSAdmin.exe Acapi GCS administration server AcapiGCSConfig AcapiLDAPsServer AcapiNotification- Proxy GCSAdmin.exe slapd.exe Notification- Proxy.exe ACAPI rescue AcapiRescue rescue.exe ACAPI Service Manager Alcatel Backup Service Alcatel DataAccess Service Alcatel Database Server Alcatel Device Management Core Alcatel Events Server Alcatel FLEXlm Service Acapi OpenLDAP Server AcapiSvcMgr svc_mgr.exe ACAPI Service Manager Alcatel Backup Service Alcatel DataAccess Service Alcatel Database Server Alcatel Device Management Core Alcatel Events Server Alcatel FLEXlm Service backup.exe data_access_servic e.exe dbsrv10.exe device_managemen t_core.exe events_server.ex e Lmgrd.exe Sauvegarde fournit des données sur les utilisateurs et les applications Permet aux services d'envoyer des événements et aux applications ou services d'ouvrir des abonnements pour recevoir ces événements. 3-8
Nom affiché Nom Nom de l image Commentaires Alcatel Logs Rotate Service Alcatel OpenL- DAP-DB-Recover Alcatel OpenL- DAP-slapd Alcatel PBX Management Service Alcatel Supervision Agent Alcatel Supervision Client Alcatel Unified Management Framework Core Alcatel Universal Directory Access Service Alcatel Logs Rotate Service Alcatel OpenL- DAP-DB-Recover Alcatel OpenL- DAP-slapd Alcatel PBX Management Service Alcatel Supervision Agent Alcatel Supervision Client alc_logs_rotate.e xe DBRecoverNT- Service.exe slapd.exe pcx_management _service.exe supervision_agent.exe supervision_client.exe Alcatel Unified unified_managemen Management Framework Core t_framework_cor e.exe Alcatel Universal Directory Access Service universal_directory_acc ess_service.exe Fournit la rotation de journaux gère la configuration des abonnés d'un réseau pbx Fournit un agent de supervision Fournit un client de supervision Fournit un noyau d'infrastructure de gestion unifiée Fournit un accès unifié aux répertoires d'entreprise Apache 2.2.11 Apache 2.2.11 httpd.exe Apache/2.2.11 (Win32) mod_jk/1.2.25 mod_ssl/2.2.6 OpenSSL/0.9.7l Le tableau ci-après répertorie les services devant être arrêtés pendant le fonctionnement du serveur OmniVista 4760. tableau 3.6 : Services Windows à arrêter pour le fonctionnement du serveur OmniVista 4760 Nom affiché Nom Nom de l image Commentaires Application Layer Gateway Service Agl Agl.exe Il faut désactiver AGL. Cependant en cas de dysfonctionnement avec le pare-feu Windows, ICS (Internet Connection Sharing) ou un logiciel externe (tel qu un logiciel anti virus ou tout logiciel incorporant des transferts automatiques via FTP), il peut être nécessaire de démarrer ALG. 3.4 Outils de sécurité 3.4.1 Compatibilité avec les logiciels antivirus 3-9
Chapitre 3 - Compatibilités : Les applications OmniVista 4760 (serveur et client) fonctionnent correctement en présence d un système antivirus MacAfee et Norton. - Autres logiciels antivirus : Tout autre système antivirus peut être déployé sur un PC hébergeant un serveur ou un client OmniVista 4760. En cas d incompatibilité détectée, il est recommandé de contacter le support OmniVista 4760. a. Cas de ralentissement du lancement client : L antivirus est configuré pour analyser les fichiers compressés et/ou d extension.jar. Dans ce cas, le premier lancement du client OmniVista 4760 est ralenti de 2 à 3 minutes. Sous McAfee, l'option d'extension de fichiers *.jar ou l'analyse interne des fichiers archive est activée. Fonction Wormstopper: Lorsque l antivirus intègre la fonction Wormstopper, les e-mails de notification des alarmes sont bloqués. En effet, la plupart des nouveaux virus se propageant par courrier électronique. WormStopper arrête les nouveaux virus diffusés par publipostage en détectant l'activité. La fonction WormStopper : Détecte l'envoi d'e-mails à plus de 40 destinataires Détecte l'envoi de plus de 5 e-mails en moins de 30 secondes Vérifie le contenu des e-mails répétitifs Vérifie les noms des binaires qui tentent d'envoyer des e-mails L antivirus doit être reconfiguré pour permettre à l'omnivista 4760 d'émettre une alerte e-mail. L'OmniVista 4760 attend au minimum 3 secondes entre l'envoi de 2 e-mails. Si d'autres alertes surviennent, ce délai est augmenté. La version 8 de MacAfee intã gre cette fonction Wormstopper (Menu Advance ActiveShield setting). Il est recommandé de définir sur 15 secondes le délai d'autorisation d'envoi de 5 e-mails successifs. Si les binaires sont contrôlés pour ajouter le programme responsable de l'envoi d'e-mails : Sur le serveur, au niveau de l'option antivirus, ajoutez Javaw.exe, Extractor.exe, Faultmanager.exe. Sur le client, au niveau de l'option antivirus, ajoutez Javaw.exe. Configurer l'antivirus, l'option antispam et l'option wormstopper pour : activer le protocole de messagerie (smtp port 25) ; permettre aux binaires OmniVista 4760 (javaw.exe) d'utiliser le protocole de messagerie ; augmenter le nombre d'e-mails autorisés (par exemple, la fonction wormstopper peut limiter le nombre d'e-mails provenant d'un PC à six par minute). 3.4.2 Compatibilité avec le pare-feu Windows - Compatibilités et configuration : Le serveur et le client OmniVista 4760 sont compatibles avec le pare-feu de Windows XP SP3, Windows 2003 SP2 et Vista. Pendant l installation ou la mise à jour du serveur et du client OmniVista 4760, il est recommandé d accepter la configuration du pare-feu de Windows dans le programme d installation. Cette configuration automatique s applique uniquement au pare-feu Windows (sous Windows XP SP3, Windows 2003 SP2 ou Vista). 3-10
- Autres pare-feu : Pour tous les autres pare-feux, vous devez procéder à une configuration manuelle. Le pare-feu doit vous laisser pénétrer par les ports IP nécessaires à l'omnivista 4760 sans délai. Dans le cas de pare-feu à mémoire d état (statefull), il doit pouvoir gérer une multi-connexion d un client vers un port précis du serveur. Côté serveur OmniVista 4760 : Le tableau ci-après répertorie les programmes dont il faut autoriser l exécution : tableau 3.7 : Programmes à autoriser sur le serveur OmniVista 4760 Programme à autoriser Emplacement par défaut du programme Commentaires dbeng10.exe dbisqlg.exe scjview.exe slapd.exe httpd.exe omc.exe dbisql.exe Sybase\SQL Anywhere 10\win32 Sybase\SQL Anywhere 9\win32 Program- Files\SQLAnywhere10 \SybaseCentral5.0.0\win32 Netscape\server5\bin\slapd\ server\ 4760\Apache2\bin\ Program Files\PCXTools\OMC\ Sybase\SQL Anywhere 9\win32\ Uniquement en cas de gestion d OmniPCX Office iexplore.exe Internet Explorer\ Pour l utilisation d Internet Explorer sinon autoriser le programme Firefox javaw.exe FaultManager.exe ComServer.exe cmisd.exe execdex.exe extractor.exe GCSAdmin.exe GCSConfig.exe LicenseServer.exe loader.exe save_restore.exe scheduler.exe securityserver.exe SyncLdapPbx.exe Program Files\Java\jre1.6.0.11\bin\ 4760\bin\ 4760\bin\ 4760\bin\ 4760\bin\ 4760\bin\ 4760\bin\ 4760\bin\ 4760\bin\ 4760\bin\ 4760\bin\ 4760\bin\ 4760\bin\ 4760\bin\ 3-11
Chapitre 3 svc_mgr.exe dbsrv9.exe ns_service.exe javaw.exe Plugger.exe Cmisd.exe ComServer.exe GCSAdmin.exe GCSConfig.exe slapd.exe NotificationProxy.exe rescue.exe svc_mgr.exe backup.exe data_access_service.exe dbsrv10.exe Alcatel-Lucent\Java_Development_Kit\bin device_management_core.exe events_server.exe Lmgrd.exe alc_logs_rotate.exe DBRecoverNTService.exe slapd.exe pcx_management_service.ex e supervision_agent.exe supervision_client.exe unified_management_ framework_core.exe universal_directory_ access_service.exe httpd.exe AuditServer.exe 4760\bin\ Sybase\SQL Anywhere 9\Win32 4760\bin\ Alcatel-Lucent\Acapi\bin\ Alcatel-Lucent\Acapi\bin\ Alcatel-Lucent\Acapi\bin\ Alcatel-Lucent\Acapi\bin\ Alcatel-Lucent\Acapi\bin\ Alcatel-Lucent\Acapi\bin\ Alcatel-Lucent\Acapi\bin\ Alcatel-Lucent\Acapi\bin\ Alcatel-Lucent\Acapi\bin\ Alcatel-Lucent\Backup\ Alcatel-Lucent\DataAccess\ Programmes\SQL Anywhere 10\win32\ Alcatel-Lucent\Events_Server\ Alcatel-Lucent\FlexLM\ Alcatel-Lucent\ Device_Management_Core\ Alcatel- Lucent\alc_logs_rotate\ Alcatel-Lucent\Ldap\ DBRecoverNTService\ Alcatel-Lucent\Ldap\ Alcatel-Lucent\Pms\ Alcatel-Lucent\Supervision_ Agent\ Alcatel-Lucent\Supervision_ Client\ Alcatel-Lucent\Unified_ Management_Framework_ Core\ Alcatel-Lucent\Udas\ Alcatel-Lucent\Apache\bin\ 4760\bin\ Le tableau ci-après répertorie les ports devant être ouverts pour un fonctionnement correct du serveur OmniVista 4760. 3-12
tableau 3.8 : Liste des ports à ouvrir sur le serveur OmniVista 4760 Usage Port : Protocole IPSec 500 UDP Client OmniVista 4760 30500 à 30509 TCP Côté client OmniVista 4760 : Le tableau ci-après répertorie les programmes dont il faut autoriser l exécution : tableau 3.9 : Programmes à autoriser sur le client OmniVista 4760 Programme à autoriser Emplacement par défaut du programme Commentaires omc.exe Program Files\PCXTools\OMC\ Uniquement en cas de gestion d OmniPCX Office iexplore.exe Internet Explorer\ Pour l utilisation d Internet Explorer sinon autoriser le programme Firefox javaw.exe Program Files\Java\ jre1.6.0.11\bin\ Le tableau ci-après répertorie les ports devant être ouverts pour un fonctionnement correct du client OmniVista 4760. tableau 3.10 : Liste des ports à ouvrir sur le client OmniVista 4760 Usage Protocole Port : Client OmniVista 4760 30500 à 30509 TCP 3.4.3 Compatibilité avec un proxy Le proxy web peut être utilisé quand le client : - ouvre la page Web d accueil du serveur OmniVista 4760 ; - consulte l annuaire via l interface Web. Dans ces deux cas, le port 80 est utilisé par le client. En revanche, si le client OmniVista 4760 est lancé via un navigateur Web : - l ensemble des ports IP du serveur client sera utilisé ; - l utilisation du proxy par l applet OmniVista 4760 doit être désactivée. Sur le PC client : - Ouvrir le Panneau de configuration (sous XP, préciser l'affichage classique). - Sélectionner l icône Java Plug-in et, sous l onglet Proxies, décocher l'option Utiliser les paramètres du navigateur. 3.4.4 Renforcement de la sécurité avec SynAttackProtect Windows inclut une protection contre les saturations de requêtes SYN lorsqu une attaque est détectée. Cette protection est paramétrable à l aide de la valeur SynAttackProtect situé sous la 3-13
Chapitre 3 clef de registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters. Par défaut, sous Windows 2003 SP1, cette protection est activée (SynAttackProtect=1). Il est possible de renforcer le niveau de sécurité en passant cette valeur à 2 ; cependant, il est recommandé de conserver la valeur par défaut pour une meilleure stabilité du système. 3.4.5 Renforcement de la sécurité avec DEP La prévention de l exécution des données ou DEP (Data Execution Prevention) vise à empêcher l exécution de code injecté dans une zone mémoire (stack ou heap). Cette technologie est basée sur les récentes évolutions des processeurs Intel et AMD ; elle peut cependant fournir un certain niveau de protection sur les processeurs plus anciens. Cette technologie est activée par défaut sur Windows 2003 SP2 et Windows XP SP3. DEP arrête les applications qui tentent d exécuter du code localisé dans une page mémoire. L'OmniVista 4760 fonctionne lorsque la technologie DEP est activée. Si un composant intégré ou utilisé par le serveur OmniVista 4760 est bloqué par le système DEP, contacter le support technique d'alcatel-lucent. 3.5 Compatibilité avec les applications externes 3.5.1 Étude de compatibilité Alcatel-Lucent ne prend pas en charge l'exécution d'applications externes installées sur le système hébergeant l'omnivista 4760. - Avant de déployer un serveur OmniVista 4760 et d autres applications sur un même PC ou serveur, il est fortement recommandé d effectuer une étude de compatibilité pour vérifier, en particulier : - le serveur OmniVista 4760 et les services utilisés par les applications externes ; - la compatibilité en termes de performances ; - la compatibilité en termes d utilisation de l espace disque ; - la compatibilité des fichiers dll ; - la compatibilité de la version active de Java Run Time pour les applications Java ; - la compatibilité des ports et des services IP utilisés. En cas d incompatibilité de l'omnivista 4760 avec une application externe, appeler l'assistance téléphonique. Les remarques d incompatibilité émises, seront prises en compte pour renseigner ce document, et étudier une possibilité de contournement ou de compatibilité dans une version future. Pour une question particulière sur la compatibilité, contactez les services professionnels d'alcatel-lucent à l'adresse professional.services@alcatel-lucent.fr. - Recommandations : Il est recommandé d installer l application du serveur OmniVista 4760 après toute autre application. En cas de désinstallation d une application, il ne faut surtout pas confirmer la suppression des fichiers dll, car ceux-ci sont peut-être nécessaires au serveur OmniVista 4760. 3-14
3.5.2 Compatibilité en termes de performances Les applications externes qui cohabitent avec le serveur OmniVista 4760 : - ne doivent pas être du type application serveur (serveur de messagerie) ; - ne doivent pas être installées en tant que service. - Une fois lancées, s'assurer que les applications externes n utiliseront pas toute la mémoire virtuelle du système et qu une fois fermées, elles libèreront bien la mémoire utilisée. 3.5.3 Fichiers dll Les fichiers dll utilisés par le serveur OmniVista 4760 ne doivent pas être mis à jour, ni être remplacés par des versions différentes. Incompatibilités connues : - JTC1012.dll fourni sur un serveur DELL. - Fichier dll incompatible avec la version du système d'exploitation. L application Windows Office Edition pour Windows XP installée sur un PC Windows NT remplace les dll système par des dll spécifiques à Windows XP. Dans ce cas, l installation du JRE peut échouer. - Erreur grave lors de l installation du JRE 1.3.1_08: RPC Stub Error 0x80070725. Le site http ://java.com/fr/download/help/rpcstub.jsp propose d utiliser l outil Mcrepair de Microsoft pour restaurer les dll compatibles avec le système d exploitation Windows. 3.5.4 Java Run Time Tout d'abord, désactiver la mise à jour automatique Java Run time. Dans le Panneau de configuration avec affichage classique, cliquer sur l'icône JRE et désactiver l'option de mise à jour. Si d autres applications java sont utilisées sur ce PC : - Elles ne doivent pas rendre inutilisable la variable d environnement Classpath. En effet, si celle-ci devient trop longue, l installation échoue. Pour vérifier si cette variable est déjà initialisée, entrer C :\classpath dans une fenêtre DOS. - Surveiller la version active de Java Run Time (JRE). Exemple de problème connu : Jusqu'à la version OmniVista 4760 R2.1, l'application recherchait l'application JRE active livrée avec cette version v. C est pourquoi la version OmniVista 4760 R2.1 ne fonctionne pas si l'application JRE 1.4 est présente. Pour vérifier la version par défaut (celle présente dans le répertoire WinNT\System32), entrer la commande c:\java version dans une fenêtre DOS. À partir de la version OmniVista 4760 R3.0, l application OmniVista 4760 ne prend plus le JRE par défaut, mais recherche le JRE compatible dans la base de registres et renseigne le chemin d'accès du JRE : - directement dans la base de données LDAP pour les services et tâches planifiés ; - dans le batch de lancement du client OmniVista 4760 : RunNMC.bat.. 3-15
Chapitre 3 3.5.5 Ports et Services IP - Ports : L application externe ne doit pas utiliser l'un des ports IP dédiés au serveur OmniVista 4760. Reportez-vous à module Sécurité - Deploying the OmniVista 4760 in a Secure Network Configuration pour connaître la liste des ports IP utilisés par l'application OmniVista 4760. Avant l installation du serveur OmniVista 4760, vérifier la disponibilité des ports 80 (http WEB), 389 (LDAP) et 636 (LDAPS) : Dans une fenêtre DOS, entrer la commande c :\netstat n Si l adresse locale propose le port 80, 389 ou 636 en écoute/connecté (listening/established), cela signifie que le port est utilisé. Il faudra alors, lors de l installation du serveur OmniVista 4760, choisir un port http, LDAP ou LDAPS différent des ports déjà utilisés. - Services : Le serveur OmniVista 4760 ne doit pas être installé si le service SNMP est démarré. Arrêtez le service SNMP avant la phase d'installation. Le serveur OmniVista 4760 possède un serveur LDAP. N'installez pas un autre serveur LDAP sur le même port (389 par défaut). Le serveur OmniVista 4760 héberge les fonctions de serveur WEB (Apache). Ne conservez pas ou n'installez pas un autre serveur WEB sur le même port (80 par défaut). Incompatibilités connues : Le système Windows 2000 Server est livré en standard avec un serveur Web prêt à l'emploi. Par conséquent, avant d installer l application OmniVista 4760, sélectionner : Ajout ou suppression de programmes Ajouter ou supprimer des composant Windows Désinstaller le composant Internet Information Server (I.I.S.) Windows 2000 / 2003 Server installé en tant que contrôleur de domaine comporte un serveur LDAP : Active Directory. Sur ce type de serveur, il n est pas autorisé d installer le serveur OmniVista 4760. L installation du serveur OmniVista 4760 peut échouer avec le message «Sun.log : port déjà utilisé». Dans ce cas, reprendre l installation et entrer LDAP port= 390. 3.5.6 Compatibilité avec les outils de sauvegarde PC L application du serveur OmniVista 4760 est toujours en état actif. Par conséquent, l utilisation d un outil de sauvegarde de disques pour sauvegarder l intégralité du disque peut échouer. En revanche, ce type d outil peut être utilisé pour récupérer les sauvegardes effectuées par le serveur OmniVista 4760. Incompatibilités connues : L application de sauvegarde de PC à distance, OpenSave, n est pas compatible avec l application Sun One Directory Server (utilisée par le serveur OmniVista 4760). 3.5.7 Compatibilité avec les outils de connexion à distance 3.5.7.1 Outil VPN 3-16
Incompatibilités connues : Certains clients VPN utilisent des outils tels que le service SafeNet dans le programme NetScreenRemote. Ce programme empêche l installation d un serveur Sun One Directory Server et donc du serveur OmniVista 4760. 3.5.7.2 Terminal server, connexion de bureaux distants Les services Terminal Server, ou services de connexion de bureaux distants, (outil Microsoft) permettent de créer une session Windows sur un serveur ou un PC distant en ne ramenant sur son propre PC que l interface clavier-souris-affichage écran. La session Windows ne s'affiche pas sur l'ordinateur distant. Ces programmes peuvent être utilisés à des fins de maintenance, cependant : - Ils ne sont pas compatibles avec l accès à la base de données Sybase. - Ils centralisent les ressources nécessaires au client sur la même machine serveur. Incompatibilités connues : L installation du serveur OmniVista 4760 via les services Terminal Server, ou la connexion de bureaux distants échoue. *LOG* ERROR: C:\PROGRA~1\Sybase\SQL Anywhere 9\win32\dbisqlc.exe Failed! For details, see log file dbisqlc.log *LOG* AskYesNo question : Error occurred! Souhaitez-vous tout de même continuer? Ne pas dépasser 1 client terminal serveur ou Connexion bureau à distance. 3.5.7.3 PC Anywhere, IRC de Peregrine, NetOP de DanWare - Ces programmes permettent de prendre le contrôle d une session Windows en cours sur un serveur ou un PC distant. Sur le PC local et la machine distante, la même session Windows est visualisée. Ces programmes doivent prendre en charge la présentation java. - Incompatibilités connues : Avec PC Anywhere, l affichage java peut être mal interprété, il peut être nécessaire de rafraîchir l écran pour chaque clic de souris. Avec PC Anywhere version 10.5 et supérieure, lorsque le service PCAnywhere-Host est lancé, le client OmniVista 4760 ne démarre plus. Le problème est résolu à partir de la version 11.0 de PC Anywhere. 3.5.8 Compatibilités avec d'autres applications Alcatel Lucent 3.5.8.1 Alcatel 47xx Les applications Alcatel 4715, 4730 et 4740 ne sont pas compatibles avec l application du serveur OmniVista 4760. 3.5.8.2 OmniVista 4760i (e-config) La version du Run Time Java, JRE, peut être incompatible. Si les applications client OmniVista 4760 et client OmniVista 4760-i doivent cohabiter, installer les clients en tant qu applications et non en tant qu'applets Web. 3-17
Chapitre 3 Incompatibilité connue : La version OmniVista 4760-i pour OmniPCX Enterprise R5.1.2 utilise le JRE 1.3.1_08. Lorsque le JRE 1.4 est présent, l application se lance, mais l utilisation des listes déroulantes ne fonctionne pas. Pour résoudre ce problème : Modifier les fichiers.bat présents dans le répertoire 4760i\lib\ext et remplacer javaw.exe par son chemin d accès au format DOS : C:\progra~1\javasoft\JRE138DB~1.1_0\bin\javaw.exe () 3.5.8.3 Consoles Alcatel Lucent 4059 et 4980 Les tests n ont pas été effectués. Cependant, les besoins des 2 applications sont très différents. Il n est toutefois pas recommandé de faire cohabiter une application client temps réel et serveur de base de données. 3.5.8.4 CCD, CCS, CCAgent Le centre d'appels possède ses propres critères de compatibilité. La version java, en particulier, peut être différente entre le client/serveur OmniVista 4760 et CCA. Dans leur fonctionnement actuel, les applications CCx sont incompatibles. Pour certains projets, une étude de compatibilité peut être faite auprès de nos services professionnels, sous réserve de certaines conditions d'utilisation, à l'adresse professional.services@alcatel-lucent.fr. 3.6 Gestion de comptes Windows utilisés par le serveur OmniVista 4760 3.6.1 Compte pour installation 3.6.1.1 Installation/désinstallation du serveur OmniVista 4760 Le serveur OmniVista 4760 doit être installé et désinstallé à l'aide d'un compte d'administrateur local Windows. 3.6.1.2 Installation d un client OmniVista 4760 distant Le client OmniVista 4760 doit être installé et désinstallé à l'aide d'un compte d'administrateur local Windows. 3.6.2 Compte à utiliser pour le lancement d un client OmniVista 4760 L ouverture d un client OmniVista 4760 distant doit s effectuer à partir d un compte Windows bénéficiant de droits d écriture dans le répertoire Client4760\Lib\ext. 3.6.3 Opérations de maintenance avec ressources réseau Le serveur OmniVista 4760 peut utiliser des ressources réseau pour les opérations de maintenance : 3-18
- Sauvegarde/restauration des données OmniVista 4760 - Sauvegarde/ restauration des PCXs - Mise à jour logiciel PCX - Copie temporaire des données (au cours des opérations de défragmentation de bases de données, par exemple). Il est notamment recommandé d effectuer les sauvegardes des données OmniVista 4760 sur un disque réseau pour disposer d une sauvegarde en cas d'arrêt du PC hébergeant le serveur OmniVista 4760. Procédure : Ce mode de sauvegarde requiert l utilisation de comptes Windows : - Un compte bénéficiant de droits d'«administrateur local» pour le service NMC SaveRestore, valide sur le serveur OmniVista 4760 et ayant le droit de placer des fichiers sur la machine distante. - Un compte pour le service NMC Executables Launcher, valide sur le serveur OmniVista 4760, avec accès aux répertoires de la machine distante utilisés pour les opérations de maintenance. Attention : Veiller à ne pas utiliser pour la sauvegarde sur machine distante, un répertoire susceptible de contenir d autres données de sauvegarde. Ces données risqueraient d être détruites par le processus de purge automatique des sauvegardes qui supprime les fichiers antérieurs à une date donnée. 3.6.3.1 Création de comptes et attribution des droits - Création d un compte disposant de droits d'administrateur local sur l'ordinateur serveur (pour le service NMC SaveRestore) : Ouvrir l outil de gestion de l'ordinateur (Panneau de configuration/outil d administration). Dans la rubrique «Utilisateurs et groupes locaux», sélectionner le répertoire «Utilisateurs» et créer un nouvel utilisateur : Nom : ADM4760 (par exemple) Mot de passe L utilisateur ne peut pas changer de mot de passe Le mot de passe n expire jamais. Modifiez les propriétés de l'utilisateur ADM4760 : ajoutez-le dans la liste des membres du groupe «Administrateurs» et retirez-le de la liste des membres du groupe «Utilisateurs». - Création d un compte local sur l'ordinateur serveur OmniVista 4760 (pour le service NMC Executables Launcher) : Ouvrir l outil de gestion de l'ordinateur (Panneau de configuration/outil d administration). Dans la rubrique «Utilisateurs et groupes locaux», sélectionner le répertoire «Utilisateurs» et créer un nouvel utilisateur : Nom : UTIL4760 (par exemple) Mot de passe 3-19
Chapitre 3 L utilisateur ne peut pas changer de mot de passe Le mot de passe n expire jamais. Modifiez les propriétés de l'utilisateur UTIL4760 : retirez-le de la liste des membres du groupe «Utilisateurs». - Attribution des droits d'utilisateur Ouvrir l outil Stratégie de sécurité locale (Panneau de Configuration/Outil d administration). Dans la rubrique «Stratégies locales», sélectionner «Attribution des droits utilisateur». Ajouter les droits suivants aux utilisateurs créés précédemment (ADM4760 et UTIL4760) : "Accéder à cet ordinateur depuis le réseau" "Ouvrir une session en tant que service» "Interdire l'ouverture d'une session locale» 3.6.3.2 Configuration des services OmniVista 4760 pour l'utilisation des ressources réseau 3.6.3.2.1 Procédure avec utilisation de comptes locaux C est la procédure recommandée pour sécuriser au mieux l accès des ressources réseau. Cette procédure peut être appliquée quel que soit le domaine Windows ou le groupe de travail du serveur OmniVista 4760 et de la machine distante. Pour des raisons de sécurité, il est cependant recommandé d utiliser une machine distante située dans le même domaine ou groupe de travail que le serveur OmniVista 4760. On suppose que deux comptes (ADM4760 et UTIL4760) ont été créés sur le serveur OmniVista 4760 (en suivant la procédure de création et d attribution des droits de la section Création de comptes et attribution des droits ). 1. Créer les deux comptes (ADM4760 et UTIL4760) sur la machine distante : Ouvrir l outil de gestion de l'ordinateur (Panneau de configuration/outil d administration). Dans la rubrique «Utilisateurs et groupes locaux», sélectionner le répertoire «Utilisateurs» et créer un nouvel utilisateur : Nom : ADM4760 Mot de passe : identique à celui saisi pour l utilisateur ADM4760 sur le serveur OmniVista 4760. L utilisateur ne peut pas changer de mot de passe Le mot de passe n expire jamais. Modifiez les propriétés de l'utilisateur ADM4760 : retirez-le de la liste des membres du groupe «Utilisateurs». Refaire la même opération pour l utilisateur UTIL4760. 2. Partager un répertoire sur la machine distante pour les utilisateurs ADM4760 et UTIL4760 : Sur la machine distante, sélectionner le répertoire à partager et le partager. Au besoin, modifier le nom de partage. Modifier les propriétés de partage et de sécurité. 3-20
Nombre d utilisateurs autorisés : # 3 Dans la rubrique «Autorisations», sélectionner retirer «tout le monde» et ajouter les utilisateurs ADM4760 et UTIL760 avec des droits Contrôle total. Dans la rubrique «Mise en cache», sélectionner l'option stipulant de ne pas autoriser la mise en cache des fichiers de ce dossier partagé. Sélectionnez l'onglet Sécurité, puis ajoutez les utilisateurs ADM4760 et UTIL4760. Vérifiez les droits suivants : «Modification», «Affichage du contenu du dossier», «Lecture», «Écriture». 3. Sur le PC serveur, lancer une session Windows en tant que ADM4760. 4. Accorder au service NMC SaveRestore le droit d utiliser l utilisateur ADM4760. Pour ce faire : lancer l application Annuaire, puis cliquer sur l onglet Système, Au niveau de l arborescence, accéder au répertoire NMC/Nom_du_serveur/servers/Nom_du_serveur/SaveRestore. Cliquer sur l onglet Compte NT dans le volet de droite. Renseigner les attributs : «Utilisateur» =.\ADM4760 Mot de passe : mot de passe associé à l'utilisateur ADM7460. 5. Accorder au service NMC Executables Launcher le droit d utiliser l utilisateur UTIL4760. Pour ce faire : lancer l application Annuaire, puis cliquer sur l onglet Système, Au niveau de l arborescence, accéder au répertoire NMC/Nom_du_serveur/servers/Nom_du_serveur/Execdex. Cliquer sur l onglet Compte NT dans le volet de droite. Renseigner les attributs : «Utilisateur» =.\UTIL4760 Mot de passe : mot de passe associé à l'utilisateur UTIL4760 6. Lorsque le module Maintenance est lancé, il est alors possible de sélectionner un disque réseau pour la sauvegarde. 3.6.3.2.2 Procédure valide dans un domaine Cette procédure pourra être appliquée lorsque le client souhaite utiliser des comptes réseau pour les accès réseau du serveur OmniVista 4760. Cette solution présente des failles de sécurité : les comptes réseau (nom d utilisateur et mot de passe) peuvent être interceptés puis utilisés sur l ensemble des machines du réseau. Pour les besoins de cette procédure, nous supposerons que les machines sont installées dans le même domaine DOMMACHINE et que les utilisateurs sont reconnus dans le domaine DOMUSER. On suppose que deux comptes (ADM4760 et UTIL4760) ont été créés sur le serveur OmniVista 4760 (en suivant la procédure de création et d attribution des droits de la section Création de comptes et attribution des droits ). 1. Partager un répertoire sur la machine distante pour les utilisateurs DOMUSERADM4760 et DOMUSERUTIL4760 : Sur la machine distante, sélectionner le répertoire à partager et le partager. Au besoin, modifier le nom de partage. Modifier les propriétés de partage et de sécurité : 3-21
Chapitre 3 Nombre d utilisateurs autorisés : # 3 Dans la rubrique «Autorisations», sélectionner retirer «tout le monde» et ajouter les utilisateurs DOMUSERADM4760 et DOMUSERUTIL4760 avec les droits Contrôle total. Dans la rubrique «Mise en cache», sélectionner l'option stipulant de ne pas autoriser la mise en cache des fichiers de ce dossier partagé. Sélectionnez l'onglet Sécurité, puis ajoutez les utilisateurs DOMUSER\ADM4760 et DOMUSER\UTIL4760. Vérifiez les droits suivants : «Modification», «Affichage du contenu du dossier», «Lecture», «Écriture». 2. Sur le PC serveur, lancer une session Windows en tant que DOMUSER\ ADM4760. 3. Accorder au service NMC SaveRestore le droit d utiliser l utilisateur ADM4760. Pour ce faire : Lancer l application Annuaire, puis cliquer sur l onglet Système. Au niveau de l arborescence, accéder au répertoire NMC/Nom_du_serveur/servers/Nom_du_serveur/SaveRestore. Cliquer sur l onglet Compte NT dans le volet de droite. Renseigner les attributs : «Utilisateur» = DOMUSER\ADM4760 Mot de passe : mot de passe associé à l'utilisateur ADM4760 4. Accorder au service NMC Executables Launcher le droit d utiliser l utilisateur UTIL4760. Pour ce faire : lancer l application Annuaire, puis cliquer sur l onglet Système, Au niveau de l arborescence, accéder au répertoire NMC/Nom_du_serveur/servers/Nom_du_serveur/Execdex. Cliquer sur l onglet Compte NT dans le volet de droite Renseigner les attributs : «Utilisateur» = DOMUSER\UTIL4760 Mot de passe : mot de passe associé à l'utilisateur UTIL4760 5. Lorsque le module Maintenance est lancé, il est alors possible de sélectionner un disque réseau pour la sauvegarde. 3.6.3.2.3 Procédure valide dans un groupe de travail Pour les besoins de cette procédure, nous supposerons que les machines sont installées dans le même groupe de travail, WORKGROUP1, et que le PC serveur porte le nom PCSERVEUR. On suppose que deux comptes (ADM4760 et UTIL4760) ont été créés sur le serveur OmniVista 4760 (en suivant la procédure de création et d attribution des droits de la section Création de comptes et attribution des droits ). Sur la machine distante, créer les mêmes comptes ADM4760 et UTIL4760 avec les mêmes mots de passe. 1. Partager un répertoire sur la machine distante pour les utilisateurs ADM4760 et UTIL4760 : Sur la machine distante, sélectionner le répertoire à partager et le partager. Au besoin, modifier le nom de partage. Modifier les propriétés de partage et de sécurité : Nombre d utilisateurs autorisés : # 3 3-22
Dans la rubrique «Autorisations», sélectionner retirer «tout le monde» et ajouter les utilisateurs ADM4760 et UTIL4760 avec les droits Contrôle total. Dans la rubrique «Mise en cache», sélectionner l'option stipulant de ne pas autoriser la mise en cache des fichiers de ce dossier partagé. Sélectionnez l'onglet Sécurité, puis ajoutez les utilisateurs ADM4760 et UTIL4760. Vérifiez les droits suivants : «Modification», «Affichage du contenu du dossier», «Lecture», «Écriture». 2. Sur le PC serveur, lancer une session Windows en tant que ADM4760. 3. Accorder au service NMC SaveRestore le droit d utiliser cet utilisateur. Pour ce faire : lancer l application Annuaire, puis cliquer sur l onglet Système, Au niveau de l arborescence, accéder au répertoire NMC/Nom_du_serveur/servers/Nom_du_serveur/SaveRestore. Cliquer sur l onglet Compte NT dans le volet de droite. Renseigner les attributs : «Utilisateur» = PCSERVEUR \ADM4760 Mot de passe : votre mot de passe 4. Accorder au service NMC Executables Launcher le droit d utiliser l utilisateur UTIL4760. Pour ce faire : lancer l application Annuaire, puis cliquer sur l onglet Système, Au niveau de l arborescence, accéder au répertoire NMC/Nom_du_serveur/servers/Nom_du_serveur/Execdex. Cliquer sur l onglet Compte NT dans le volet de droite. Renseigner les attributs : «Utilisateur» = PCSERVEUR\UTIL4760 Mot de passe : votre mot de passe 5. Lorsque le module Maintenance est lancé, il est alors possible de sélectionner un disque réseau pour la sauvegarde. 3.6.4 Planification de l exportation ou de l impression de rapports Le serveur OmniVista 4760 peut utiliser des ressources réseau pour l'exportation et l'impression de rapports planifiées. Ces opérations requièrent l utilisation d un compte Windows : Un compte pour le service NMC Executables Launcher, valide sur le serveur OmniVista 4760, avec accès aux répertoires de la machine distante utilisés pour les opérations d'exportation. Procédure 1. Lancer une session Windows en tant qu'administrateur local du PC serveur 2. Création d un compte local sur l'ordinateur serveur OmniVista 4760 pour le service NMC Executables Launcher : Voir Création de comptes et attribution des droits 3. Déclaration d une imprimante pour le compte UTIL4760 : Fermer la session administrateur et ouvrir une session avec le compte créé précédemment (UTIL4760). Dans le menu «Démarrer», sélectionner «Imprimantes et télécopieurs» 3-23
Chapitre 3 Ajouter une imprimante en suivant les instructions de l outil de création d imprimantes Fermer la session Windows Relancer une session Windows en tant qu administrateur local du PC serveur 4. Attribuer les droits des utilisateurs : Ouvrir l outil de Stratégie de sécurité locale (Panneau de Configuration/Outil d administration). Dans la rubrique «Stratégies locales», sélectionner «Attribution des droits utilisateur». Ajouter les droits suivants à l utilisateur créé précédemment (UTIL4760) : Accéder à cet ordinateur depuis le réseau Ouvrir une session en tant que service Agir en tant que partie du système d'exploitation Augmenter les quotas/ajuster les quotas mémoire Remplacer un jeton de niveau processus Interdire l'ouverture d'une session locale 5. Configuration des services OmniVista 4760 pour l'utilisation des ressources réseau : Suivre la procédure décrite à la section Configuration des services OmniVista 4760 pour l'utilisation des ressources réseau pour : Partager un répertoire sur la machine distante pour le compte UTIL4760 (le compte ADM4760 n est pas utilisé pour l exportation et l impression de rapport planifiées). Accorder au service NMC Executables Launcher le droit d utiliser l utilisateur UTIL4760. Remarque : trois possibilités de configuration sont présentées à la section Configuration des services OmniVista 4760 pour l'utilisation des ressources réseau. Pour une meilleure sécurité, suivre la procédure avec utilisation de comptes locaux. Note : La procédure décrite ci-dessus ne doit être appliquée qu en cas de planification d exportations et d impressions de rapports. En effet, les exportations et impressions directes de rapports déjà générés (et toute autre impression non planifiée) sont réalisées en utilisant le contexte de sécurité de l utilisateur du client OmniVista 4760 (compte Windows sur lequel a été lancé le client OmniVista 4760). Le service NMC Executables Launcher n intervient pas. 3.6.5 Archivage et restauration des fichiers de taxation Le serveur OmniVista 4760 peut utiliser des ressources réseau pour l'archivage et la restauration des fichiers de taxation. Ces opérations requièrent l utilisation d un compte Windows : Un compte pour le service NMC Executables Launcher, valide sur le serveur OmniVista 4760, avec accès aux répertoires de la machine distante utilisés pour les opérations d'archivage et de restauration. Procédure Pour créer ce compte, suivre la procédure décrite à la section 3.6.4. Remarques : 3-24
- Pour les opérations d archivage et de restauration de fichiers, il n est pas nécessaire d attribuer une imprimante au compte utilisé pour accéder aux ressources réseau (UTIL4760). - Pour les opérations d archivage et de restauration de fichiers, les droits suivants sont facultatifs pour le compte UTIL4760. Agir en tant que partie du système d'exploitation Augmenter les quotas/ajuster les quotas mémoire Remplacer un jeton de niveau processus 3.6.6 Collecteur de fichiers de taxation Le serveur OmniVista 4760 pourra utiliser des ressources réseau pour stocker les fichiers de taxation d un OmniPCX Entreprise (fonction de collecte de tickets). Cette opération requiert l utilisation de comptes Windows : - Un compte avec les droits d'«administrateur local» pour le service NMCSyncLdapPbx, valide sur le serveur OmniVista 4760 et ayant le droit de placer des fichiers sur la machine distante. - Un compte pour le service NMC Executables Launcher, valide sur le serveur OmniVista 4760, avec accès aux répertoires de la machine distante utilisés pour les opérations de maintenance. Procédure : 1. Lancer une session Windows en tant qu'administrateur local du PC serveur 2. Création d un compte ayant des droits administrateur local sur le PC serveur OmniVista 4760 (pour le service SyncLdapPbx). Voir Création de comptes et attribution des droits 3. Création d un compte local sur le PC serveur OmniVista 4760 pour le service NMC Executables Launcher. Voir Création de comptes et attribution des droits 4. Attribuer les droits des utilisateurs : Ouvrir l outil Stratégie de sécurité locale (Panneau de Configuration/Outil d administration). Dans la rubrique «Stratégies locales», sélectionner «Attribution des droits utilisateurs». Ajouter les droits suivants aux utilisateurs créés précédemment (ADM4760 et UTIL4760) : Accéder à cet ordinateur depuis le réseau Ouvrir une session en tant que service Interdire l'ouverture d'une session locale 5. Configuration des services OmniVista 4760 pour l'utilisation des ressources réseau : Suivre la procédure décrite à la section Configuration des services OmniVista 4760 pour l'utilisation des ressources réseau pour : Partager un répertoire sur la machine distante pour les comptes ADM4760 et UTIL4760 : Accorder au service SyncLdapPbx le droit d utiliser l utilisateur ADM4760. Accorder au service NMC Executables Launcher le droit d utiliser l utilisateur UTIL4760. 3-25
Chapitre 3 Remarque : trois possibilités de configuration sont présentées à la section Configuration des services OmniVista 4760 pour l'utilisation des ressources réseau. Pour une meilleure sécurité, suivre la procédure avec utilisation de comptes locaux (paragraphe a.) 6. Configuration du répertoire de collecte sur le serveur OmniVista 4760 : Dans cette procédure, nous supposerons que la machine distante sur laquelle sera effectuée la collecte des fichiers de taxation a pour nom PCdistant et que le répertoire utilisé pour la collecte a pour nom de partage Répertoire_collecte. Sur l'omnivista 4760, lancer l'application Annuaire, puis cliquer sur l'onglet Système. Au niveau de l arborescence, accéder au répertoire NMC/Nom_du_serveur/servers/Nom_du_serveur/Collector. Dans le volet de droite, indiquer le chemin du répertoire de collecte dans l attribut Chemin : //RemotePC/Directory_Collection. 3.6.7 Réception d alarmes urgentes de l OmniPCX Office OmniPCX Office peut être configuré pour envoyer ses alarmes urgentes au serveur OmniVista 4760. Ceci requiert l utilisation d un compte Windows local sur le serveur OmniVista 4760. Procédure - Suivre la procédure décrite dans le manuel d installation de l'omnivista 4760 (section 13.3.4). - Lancer une session Windows en tant qu'administrateur local du PC serveur - Renforcement de la sécurité en cas d utilisation du compte URGALARM : Ouvrir l outil Stratégie de sécurité locale (Panneau de Configuration/Outil d administration). Dans la rubrique «Stratégies locales», sélectionner «Attribution des droits utilisateurs». Ajouter les droits suivants à l utilisateur URGALARM : Accéder à cet ordinateur depuis le réseau Interdire l'ouverture d'une session locale 3.7 Gestion du partage de répertoires 3.7.1 Gestion de l OmniPCX Office La gestion décrite ci-dessous est nécessaire pour les opérations de sauvegarde, restauration, téléchargement et également pour la configuration d OmniPCX Office. Les données OmniPCX Office sont sauvegardées par défaut sur le PC serveur OmniVista 4760, dans le répertoire 4760_ARC/OXO/data. Lors de l installation de l'omnivista 4760, ce répertoire est partagé sous le nom 4760-databases (ou 4760-pm5 en cas de mise à jour depuis l'omnivista 4760 version R3.x), en lecture seule pour tous. Attention : Lorsque le répertoire «4760 server» existe déjà (par exemple, après la désinstallation d'un serveur OmniVista 4760) et que son nom est partagé, ce nom n'est pas modifié par le programme 3-26
d'installation du serveur OmniVista 4760. Pour configurer OmniPCX Office à partir du serveur OmniVista 4760, le nom Windows de partage de ce répertoire doit être identique au nom défini dans le répertoire système OmniVista 4760 (ce nom est configuré dans NmcConfiguration/ GlobalPreferences/Config/OXOAccess). Procédure 1. Lancer une session Windows en tant qu'administrateur local du PC serveur 2. Utilisation d un compte local sur le PC serveur OmniVista 4760 Vous pouvez utiliser le compte URGALARM créé au cours de l'installation du serveur OmniVista 4760. Par défaut, le mot de passe de ce compte est URGALARM. Modifier ce mot de passe avant l utilisation du compte. On pourra utiliser un autre compte local. Pour la création de ce type de compte, voir Création de comptes et attribution des droits. Dans la suite de cette procédure, nous supposerons que le compte URGALARM a été choisi. 3. Configuration du serveur OmniVista 4760 pour l'utilisation du compte local Sur le serveur OmniVista 4760, lancer l'application Annuaire, puis cliquer sur l'onglet Système. Au niveau de l arborescence, accéder au répertoire NMC/NmcConfiguration/GlobalPreferences/Config/OXOAccess Dans le volet de droite, renseigner les attributs : Nom utilisateur pour l'accès au répertoire partagé = URGALARM Mot de passe pour l accès au répertoire partagé = mot de passe associé à URGALARM. 4. Gérer le partage du répertoire 4760_ARC/OXO/data. Sélectionner le répertoire 4760_ARC/OXO/data. Vérifier le nom de partage. Ce nom de partage doit correspondre au nom renseigné dans l attribut «Nom de partage» de l entrée NmcConfiguration/GlobalPreferences/Config/OXOAccess de l annuaire système de l'omnivista 4760. Modifier les propriétés de partage et de sécurité : Nombre d utilisateurs autorisés : # 3 Dans la rubrique «Autorisations», sélectionner retirer «tout le monde» et ajouter l'utilisateur URGALARM avec les droits «Contrôle total». Dans la rubrique «Mise en cache», sélectionner l'option stipulant de ne pas autoriser la mise en cache des fichiers de ce dossier partagé. Sélectionnez l'onglet Sécurité, puis ajoutez l'utilisateur URGALARM. Vérifiez les droits suivants : «Modification», «Affichage du contenu du dossier», «Lecture», «Écriture». Remarque : les versions logicielles susceptibles d être téléchargées dans les PABX doivent se trouver dans le répertoire OmniVista 4760_ARC/OXO/sw. Pour des raisons de sécurité, il n est pas nécessaire de partager ce répertoire. 3.7.2 Partage de OmniVista 4760_ARC Jusqu'à la version OmniVista 4760 R4.0, le répertoire 4760_ARC\accounting est partagé pour les besoins des opérations de restauration de tickets de taxation. Le partage est réalisé 3-27
Chapitre 3 par le programme d installation du serveur OmniVista 4760 avec le nom de partage «Accounting» et le droit «lecture» pour «tous les utilisateurs». À partir de la version OmniVista 4760 R4.1, ce partage n étant plus nécessaire pour les opérations de restauration de tickets, il n est plus effectué par le programme d installation. 3.7.3 Autres partages Pour toutes les opérations de maintenance (sauvegarde/restauration de l'omnivista 4760, sauvegarde/restauration et mise à jour logicielle du PCX), d archivage, de restauration et de collecte de fichiers de taxation, et d exportation de rapports, le serveur OmniVista 4760 pourra utiliser des ressources réseau. La configuration des partages réseau et de l utilisation de comptes donnant accès à ces partages doit être réalisée après l installation du serveur OmniVista 4760 en suivant les procédures décrites à la section Gestion de comptes Windows utilisés par le serveur OmniVista 4760. 3.8 Envoi de message électronique (e-mails) L'OmniVista 4760 peut envoyer des alarmes, des rapports ou une notification de surveillance des fichiers taxation vers un serveur de messagerie électronique. Pour cela, il faut indiquer le nom (ou l adresse IP) du serveur de messagerie à utiliser pour ces envois. Il n est pas nécessaire pour l envoi de messages électroniques d accorder aux services OmniVista 4760 des droits pour l utilisation de comptes spécifiques. 3-28
Objectif : ce chapitre répertorie les ports et protocoles utilisés en cas de gestion d un Alcatel-Lucent OmniPCX Enterprise Communication Server par un serveur OmniVista 4760. Ceci doit être pris en compte lors du déploiement de l'omnivista 4760 dans un environnement réseau sécurisé, c est-à-dire contenant des éléments de sécurisation (pare-feu, DMZ, etc.). 4.1 Trafic IP sur serveur OmniVista 4760 Note 1 : Par défaut, la sécurité IPsec n est pas active entre le serveur OmniVista 4760 et un client OmniVista 4760. En cas d'utilisation de clients OmniVista 4760 distants, il est recommandé d'activer la sécurité IPsec. La liste des services et ports utilisés par le serveur OmniVista 4760 figure dans le tableau ci-après. tableau 4.1 : Services sur le serveur OmniVista 4760 Nom Type Protocole Numéro de port Sécurité Clients distants HTTP Server HTTP TCP 80 Non Client 4760, Client annuaire 4760, 4059 (2) LDAP Server LDAP TCP 389 IPSec Client 4760, 4059, Débordement annuaire PCX (1), Réplication LDAP, Autres clients LDAP Serveur LDAP LDAP (sur SSL) LDAP administration Server Database ASA (SYBASE) TCP 636 SSL Client 4760, 4059, Débordement annuaire PCX, Autres clients LDAP HTTP TCP 30010 IPSec Console d administratio n SUN ONE ASA TCP 2638 ASA TCP 30011 IPSec Client 4760 Alarms Server GIIOP TCP 30012 IPSec Client 4760 CMISD Server CMISE TCP 30001 GIIOP TCP 30013 IPSec 4-1
Chapitre 4 Nom Type Protocole Numéro de port Serveur de communication Serveur de communication ExecdEx Server Extractor Server GCS Admin Server Sécurité Clients distants GIIOP TCP 30014 IPSec Client 4760 GIIOP TCP 30014 IPSec Client 4760 GIIOP TCP 30015 IPSec Client 4760 GIIOP TCP 30016 IPSec Client 4760 GIIOP TCP 30017 IPSec Client 4760 GCS Config GIIOP TCP 30018 IPSec Client 4760 Server License Server GIIOP TCP 30019 IPSec Client 4760 Loader Server GIIOP TCP 30020 IPSec Notification Server Save / Restore Server Scheduler Server Security Server LDAP/PBX Synchronization server GIIOP TCP 30022 IPSec Client 4760 GIIOP TCP 30023 IPSec Client 4760 GIIOP TCP 30024 IPSec Client 4760 GIIOP TCP 30025 IPSec Client 4760 GIIOP TCP 30026 IPSec Audit Server GIIOP 30030 IP sec Telnet Proxy TELNET TCP 30100 à 30149 IPSec Client 4760 4-2
Nom Type Protocole Numéro de port Sécurité Clients distants FTP Proxy Control TCP 30021 IPSec Client 4760 / OMC - OmniPCX Office < R3.0 FTP mode actif - R3.0 < = OmniPCX Office < R5.0 FTP mode passif OMC Configuration socket OMC Downloading socket OMC debug socket OMC configuration, downloading, debug OMC Com Server on/off line DATA TCP 30150 à 30299 IPSec 4760 Client/ OMC Seulement si FTP mode passif (R3.0 < = OmniPCX Office < R5.0) DATA TCP 1024 à 5000 IPSec 4760 Client/ OMC Seulement si FTP mode actif (OmniPCX Office < R3.0) TCP 31000 IPSec Client 4760 / OMC (OmniPCX Office < R5.0) TCP 31001 IPSec Client 4760 / OMC (OmniPCX Office < R5.0) TCP 6005 IPSec Client 4760 / OMC (OmniPCX Office < R5.0) TCP 30028 SSL et IPSec Client 4760 / OMC (OmniPCX Office > = R5.0) TCP 30300 à 30349 IPSec Client 4760 / OMC 4-3
Chapitre 4 Nom Type Protocole Numéro de port Proxy HTTP HTTP, HTTPS, SSH Sécurité 30028 IPSec (OmniPCX Office R5.0) SSL et IPSec (OmniPCX Office > = R5.0) Clients distants Client 4760/Navigate ur Internet Access Client 4760 SNMP Agent SNMP UDP 161 Non Hyperviseur IPec ISAK UDP 500 ACD Configuration FTP ACTIVE TCP 32000 Non Serveur 4760 / OMC (OmniPCX Office < R5.0) HTTPS TCO 30028 SSL et IPSec Client 4760 / OMC (OmniPCX Office > = R5.0) ACD Statistics HTTP / SOAP TCP 30028 IPSec Serveur 4760 / OMC (OmniPCX Office < R5.0) HTTPS/SOAP TCP 30028 SSL et IPSec Client 4760 / OMC (OmniPCX Office > = R5.0) OTS HTTP / SOAP TCP 30028 IPSec Serveur 4760 / OMC Notification des alarmes urgentes OmniPCX Office HTTP TCP 30029 Non Serveur 4760 / OmniPCX Office > = R5.0 en connectivité IP Apache HTTP / SOAP TCP 8080 Non Équipements SIP Apache HTTPS/SOAP TCP 8443 SSL Client 4760 - Sip Manager, WBM Client (1) : non compatible avec IP sec (système d exploitation LINUX sur PCX). (2) : le client d'annuaire Web 4059 prend en compte seulement le numéro de port 80 (non modifiable). Note 2 : - CORBA s appuie sur le protocole GIIOP - Les numéros de port en gras (30020, par exemple) peuvent être modifiés dans le répertoire système, après l'installation du serveur OmniVista 4760. Conserver la taille des plages de numéros de port, ne pas utiliser de ports connus. Si la connexion IP sec est activée, la configuration IP sec ne 4-4
tient pas compte des ports modifiés. En cas de modification du numéro de port par défaut, exécuter 4760>bin>IpsecUpdate.exe. Pour plus d informations, contacter les services professionnels d Alcatel-Lucent. La liste ci-dessous répertorie les services et ports utilisés par le serveur OmniVista 4760 en interne. Ces services ne doivent pas être accessibles depuis l'extérieur du serveur OmniVista 4760. tableau 4.2 : Services internes sur le serveur OmniVista 4760 Nom Type Protocole Numéro de port Sécurité PMS RMI TCP 9757 Non API de PMS et notification de gestion FlexLM Propriétaire TCP 27000 Codé Licences Clients distants FlexLM-Deamon Propriétaire TCP Négociation dynamique sur 27000 cnx ou fixe dans le fichier de licence (ligne VENDEUR) Codé Licences (démon Alcatel) UDAS RMI TCP 9758 Non API de UDAS et notification de gestion FWK RMI TCP 9754 Non Liaison aux applications EVS RMI TCP 9760 Non Notification Sybase TCP 2638 Accès à la base de données LDAP Server LDAP TCP 8389 Non Accès à la base de données ACAPI CORBA TCP 8389 Non Accès à la gestion OXE DTA RMI TCP 5009 Non Accès à la gestion DTA RMI TCP 4445 Non Alarmes - RMI Tomcat TCP 10005 Non Port de maintenance (arrêt) Tomcat AJPv13 TCP 10009 Non Connexion Apache pour requête d'application UMF JNDI TCP 16400 Non Port JNDI UMF JMS TCP 16010 Non JMS UMF Propriétaire TCP 55002 Non Débogage 4-5
Chapitre 4 UMF Propriétaire TCP 44323-44552 Ports de notification 4.2 Trafic IP sur client OmniVista 4760 La liste des services et ports utilisés par le client OmniVista 4760 figure dans le tableau ci-après. CORBA Réceptions des notifications alarmes OMC- Status of communication socket OMC - FTP data sockets tableau 4.3 : Services sur le nom de client OmniVista 4760 Type Protocole Numéro de port Sécurité GIIOP TCP 30500 à 30509 HTTP TCP 30510 à 30529 Données TCP 1024 à 5000 IPSec IPSec Note IPSec ISAKMP UDP 500 IPSec Client 4760 Note : - Par défaut, la sécurité IPsec n'est pas activée entre le serveur OmniVista 4760 et un client OmniVista 4760. - Les numéros de port en caractères gras sont modifiables dans le fichier runnmc.bat, après installation du client OmniVista 4760. - Sur le poste client, vous devez autoriser les connexions entrantes via le port Corba 30500-30509. Si cela n est pas fait, l application d alarmes sera vide et il n y aura pas de notification d alarme. La configuration du PCX échoue après le chargement du MIB local : impossible de configurer la notification au client. 4.3 Trafic IP sur OmniPCX Enterprise pour la gestion de l'omnivista 4760 La liste des services et ports utilisés par OmniPCX Entreprise figure dans le tableau ci-après. tableau 4.4 : Services sur un OmniPCX Enterprise Lx ou Ux Nom Type Protocole Numéro de port Sécurité CMISD TCP 2535 Non STAP UDP 2556 Non Note 4-6
FTP server Control TCP 21 Non Mode PASV commandé par 4760 DATA TCP 1024 à 5000 Non OmniPCX Enterprise Ux 10000 à 20000 10000 à 20000 Non Non OmniPCX Enterprise Lx < 6.0 OmniPCX Enterprise Lx >= 6.0 Gérable dans l OXE SSH TCP 22 oui OmniPCXEnterprise Telnet TCP 23 Non 4.4 Trafic IP sur l'omnipcx Office pour la gestion de l'omnivista 4760 La liste des services et ports utilisés par le client OmniPCX Office figure dans le tableau ci-après. tableau 4.5 : Services sur un OmniPCX Office Nom Type Protocole Numéro de port Sécurité Configuration socket Downloading socket Note TCP 31000 Non OmniPCX Office < R5.0 TCP 31001 Non OmniPCX Office < R5.0 Debug socket TCP 6005 Non OmniPCX Office < R5.0 Management socket TCP 31002 Non 4-7
Chapitre 4 FTP server Control TCP 30021 Non - OmniPCX Office < R3.0 FTP mode actif - R3.0 < = OmniPCX Office < R5.0 mode passif OmniPCX Office configuration (configuration, downloading, debug sockets) Serveur HTTP pour accès Internet Données TCP Défini par le système (30020 par défaut) Non Seulement si FTP mode passif (OmniPCX Office < R5.0) HTTPS TCP 443 SSL Client 4760 / OMC (OmniPCX Office > = R5.0) HTTP TCP 80 Non OmniPCX Office R1.x HTTPS TCP 443 Oui OmniPCX Office > = R2.0 Services ACD TCP 32000 Non R4.0 < = OmniPCX Office < R5.0 HTTPS/SOAP TCP 443 SSL OmniPCX Office > = R5,0 ACD Statistics HTTP / SOAP TCP 8892 Non R4.0 < = OmniPCX Office < R5.0 Serveur HTTP pour la collecte des données OmniPCX Office HTTPS/SOAP TCP 443 SSL OmniPCX Office > = R5,0 HTTP / SOAP TCP 8892 Non R4.0 < = OmniPCX Office < R5.0 HTTPS/SOAP TCP 443 SSL OmniPCX Office > = R5,0 4.5 Trafic IP sur un hyperviseur La liste des services et ports utilisés par un hyperviseur figure dans le tableau ci-après. tableau 4.6 : Services sur un hyperviseur 4-8
Nom Type Protocole Numéro de port SNMP Manager SNMP Trap UDP 162 Non Sécurité Note 4.6 Trafic IP sur un 4059 La liste des services et ports utilisés par l application 4059 figure dans le tableau ci-après. tableau 4.7 : Services sur l application 4059 Nom Type Protocole Numéro de port Sécurité Clients distants 4059 TCP 7777 Non Serveur Omni- Vista 4760 4.7 Fonctionnement de l'omnivista 4760 sur un réseau VPN/NAT 4.7.1 PRÉSENTATION Nous recommandons le déploiement de l'omnivista 4760 sur un réseau local unique et dans l'intranet de l entreprise. Il s agit d un moyen simple de gérer la connectivité et la sécurité du serveur, du client et du PCX OmniVista 4760. Cependant, certains clients ont demandé à pouvoir déployer ce type de solution sur un réseau VPN/NAT, ceci ayant divers impacts, notamment sur les points suivants : - Connaissances et restrictions du protocole VPN/NAT - Matériel et logiciels requis pour la prise en charge du protocole VPN/NAT - Topologie du site client - Paramètres de l'omnivista 4760 Pour plus d informations ou en cas de problème avec le protocole NAT, nous vous recommandons de contacter les services professionnels d Alcatel-Lucent pour vous aider à analyser votre réseau afin de trouver une solution. 4.7.2 Protocole VPN/NAT Un réseau VPN/NAT implique deux types d adresses IP : - l adresse PRIVÉE, disponible uniquement sur le réseau local ; - l adresse PUBLIQUE, disponible sur le réseau local externe. Le routeur NAT traduit les adresses IP privée et publique. Vous devez utiliser : - la traduction d adresses IP uniquement, pas la traduction de ports ; - la traduction d adresses IP statique uniquement, pas la traduction dynamique. Par défaut, la traduction NAT n est pas conforme aux applications qui transportent les adresses IP. 4-9
Chapitre 4 Ce type de protocole implique une requête de rappel incluant l adresse privée d origine, non disponible sur le réseau local distant. Dans le cadre de la solution OmniVista 4760, cela concerne : - Le protocole FTP (utilisé pour connecter les PCX) : Au cours d une session FTP, le client FTP connecte l adresse privée au serveur FTP. En mode passif (mode par défaut), le transfert de données fait appel à l adresse IP privée du serveur FTP. En mode actif, le transfert de données fait appel à l adresse IP privée du client FTP. Puisque les adresses privées ne peuvent pas être utilisées directement, vous devez : activer un proxy FTP sur le routeur NAT ; supprimer la solution NAT. - Le protocole Corba (utilisé pour connecter le client au serveur) : Lors d une session Corba, l adresse IP du client est envoyée au serveur en cas de requête de rappel et en cas de nécessité de connexion directe entre le serveur et le client. Le routeur NAT n implique pas de solution IP, car le routeur ne lit pas les messages Corba, et aucun proxy Corba n est disponible. Vous devez modifier l initialisation Corba côté client afin de transporter le nom d hôte du client au lieu de l adresse IP. 4.7.3 Accès du client OmniVista 4760 au serveur via NAT Parmi les protocoles utilisés par le client OmniVista 4760 et le serveur OmniVista 4760, seul Corba est compatible avec NAT. Une solution à ce problème est proposée dans ce chapitre. 4.7.3.1 Topologie client Figure 4.1 : Exemple de topologie client réelle 4-10
4.7.3.2 Flux IP 4.7.3.3 Gestion spécifique Configuration du fichier «Hosts» Procédure : Nous supposerons qu il n y a aucun service DNS pour cette connexion VPN. Modifier le fichier «hosts» local pour les deux systèmes client et serveur (WinNT\Sytem32\driver\ etc\hosts) : - Sur le PC serveur, entrer l adresse IP correspondant au nom d hôte du client visible sur LAN2. @Lan2_Client CLIENT CLIENT.LABO.FR - Sur le PC client, entrer l adresse IP correspondant au nom d hôte du serveur visible sur LAN1. @VPN_Server SRV4760 SRV4760.ALCATEL.FR Modification Client Après la configuration du fichier «hosts», le client et le serveur OmniVista 4760 peuvent communiquer en utilisant un protocole simple : http, ldap, etc. Mais les protocoles comme CORBA qui encapsulent l identification ne sont pas compatibles avec NAT. Sur le serveur OmniVista 4760, CORBA est initialisé en utilisant le nom d hôte du serveur. Comme le fichier hôte du client a pu être modifié correctement, il n'y a pas de problème : le client OmniVista 4760 est capable d'établir la connexion avec le serveur. Sur le client OmniVista 4760, CORBA est initialisé en utilisant l adresse IP locale. Cette opération restreint l'utilisation de l'omnivista 4760 : le serveur OmniVista 4760 ne parvient pas à envoyer la notification sur le port 30500 30509 du client CORBA. - Il n y a pas d alarme sur le client 4-11
Chapitre 4 - Le module configuration ne peut être lancé Il est possible de modifier le paramètre client en suivant la procédure ci-dessous: - Localisez le programme du client : \Client4760\bin\runnmc.bat - Modifier ce fichier - Remplacer "IpNumeric=yes" par "IpNumeric=no". De cette façon, le nom d hôte du client sera envoyé au serveur OmniVista 4760. L envoi de la notification par le serveur peut alors s effectuer. Configuration du pare-feu Pour faire fonctionner les applications OmniVista 4760, il est nécessaire de mettre à jour les règles du pare-feu et d autoriser tout le trafic IP entre le client et le serveur. Procédure - S assurer que les ports utilisés par le serveur OmniVista 4760 sont ouverts (sections 4.1 et 4.2). - Vérifiez l'adresse IP à contrôler : @LAN1, @LAN2 or @VPN. - Sur le serveur v, autoriser la connexion à tous les services v - Sur le client v, autoriser la connexion sur le port de notification CORBA 30500 30509. Exemple Sur le pare-feu FW1, autoriser la connexion entrante pour le client OmniVista 4760 : IP=@LAN1_Client Port = 30500 30509 4.7.4 Accès du serveur OmniVista 4760 à l'alcatel-lucent OmniPCX Enterprise Communication Server via NAT Parmi les protocoles utilisés par l'omnivista 4760 et l'alcatel-lucent OmniPCX Enterprise CS, seul le protocole FTP n est pas compatible avec NAT. Vous devez donc activer le proxy FTP sur le routeur NAT. 4.7.5 Accès du serveur OmniVista 4760 à l'omnipcx Office via NAT Cette solution a été testée avec l'omnivista 4760 sans NAT et PCX avec NAT. Dans cette solution, le PCX a pu accéder à l'adresse privée du serveur v Seul le protocole FTP est concerné par le problème lié au NAT. Il est tout de même nécessaire d activer le proxy FTP sur le routeur NAT. 4.7.6 Accès du serveur OmniVista 4760 au client d'annuaire Web 4059 via NAT La fonction d'appel en un clic du client d'annuaire Web ne prend pas en charge l'accès au serveur OmniVista 4760 via Nat. 4.7.7 Dépannage du transfert FTP - Pour lancer un transfert FTP sur OmniPCX Office en mode passif, procéder comme suit : Lancer une console DOS 4-12
Entrer c:>ftp <@IP_oxo> 30021 Entrer ftp>literal PASV Tenter d obtenir un fichier - Pour lancer un transfert FTP sur OmniPCX Enterprise en mode passif, procéder comme suit : Lancer une console DOS Entrer c:>ftp <@ip_oxe> 21 Entrer ftp>literal PASV Tenter d obtenir un fichier 4-13
Chapitre 4 4-14
Objectif : ce chapitre décrit les moyens à déployer (et leur mise en œuvre) pour assurer la sécurité des données d un OmniPCX en cas de gestion par un serveur OmniVista 4760. 5.1 Alcatel-Lucent OmniPCX Enterprise CS 5.1.1 Mise en œuvre de Connexion SSH La connexion client vers l'alcatel-lucent OmniPCX Enterprise CS peut être sécurisée par SSH. Dans ce cas, les clients de type console utilisent l application MindTerm. Cette application est exécutée sur le PC client. Elle se connecte en premier lieu au serveur OmniVista 4760 par le port 30028, puis établit un tunnel SSH vers le PCX. La connexion est décrite sous la forme : <LoginPCX> @ <nom_d'alias_de_l'hôte> Note : Le rapatriement SFTP de fichiers est accessible par un menu de l application MindTerm. 5.1.1.1 Vérification de la présence de la licence «Sécurité» côté OmniVista 4760 La licence «Sécurité» de l'omnivista 4760 est obligatoire pour l utilisation du protocole SSH. Pour vérifier la présence de la licence «Sécurité» : 1. Lancer l application client OmniVista 4760 2. Dans la barre des menus, sélectionner Aide, puis À propos. Le tableau Licences vérifiées s affiche. Si Sécurité apparaît, le verrou sécurité est bien présent. 5.1.1.2 Gestion de l'alcatel-lucent OmniPCX Enterprise CS Note 1 : La version minimum requise pour l'alcatel-lucent OmniPCX Enterprise CS est 6.0. 1. Ajout d un «hôte sécurisé» Pour ajouter un «hôte sécurisé», suivre la procédure décrite dans le tableau ci-après. Application Action Alcatel OmniPCX Enterprise > HyperTerminal Login : root Mot de passe Action netadmin m Chemin Security > Isolate Ethernet Interface and TCP accesses Avertissement : seules les machines déclarées comme hôtes sécurisés auront accès au PCX Souhaitez-vous sécuriser vos accès Internet (o/n, o par défaut)? O Chemin Security > Restricted Ethernet Access 5-1
Chapitre 5 Enter the type of the trusted host(s) : 0. Routeur 1. CPU 2. 47XX (machines de gestion) 3. Équipement IP (téléphone IP, INTIPA/INTIPB, GD, LIOE, etc. ) 4. PC Installer Quel est votre choix? 2 Trusted host's IP name? Entrer un nom qui correspond au serveur OmniVista 4760. Par exemple : serveur4760 Vous devez donner un nom contenant uniquement des lettres, chiffres et (.,-,_) et commençant par une lettre. La longueur maximum est de 64 caractères. Le nom indiqué ne figure pas dans la base de données d'hôtes. L ajouter et indiquer l adresse correspondante (o/n, n par défaut)? o Adresse IP de l hôte sécurisé? Entrer l adresse IP du serveur OmniVista 4760 (exemple : 10.2.6.10) Note 2 : Si le serveur OmniVista 4760 est dans un autre sous-réseau IP : Nom IP de la passerelle : saisir le nom de la passerelle (exemple : Routeur_passerelle) Le nom de passerelle indiqué ne figure pas dans la liste d'hôtes sécurisés. D abord ajouter la passerelle en tant qu'hôte sécurisé, puis ajouter cet hôte. Vous devez gérer également tous les équipements IP (cartes GD, INTIP, IP phones). Il est possible de définir des tranches de trusted hosts (pour les IP phones par exemple). 2. Configuration d une connexion SSH sécurisée Pour configurer une connexion SSH sécurisée, suivre la procédure décrite dans le tableau ci-après. tableau 5.2 : Configuration d une connexion SSH sécurisée Action netadmin m Chemin Security > SSH Configuration Avertissement : vous devez disposer d'un système homogène pour pouvoir améliorer la sécurité avec SSH! Améliorer la sécurité avec SSH (o/n, o par défaut)? o 3. Vérification de la configuration SSH Pour vérifier la configuration SSH, suivre la procédure décrite dans le tableau ci-après. tableau 5.3 : Vérification de la configuration SSH Action netadmin m Chemin Accès Internet restreints Sécurité avec SSH Show curent configuration 5.1.1.3 Gestion de l'omnivista 4760 (annuaire système) Pour déclarer une connexion sécurisée au PCX via le protocole SSH/SFTP: Oui Oui 5-2
1. Lancer l application Annuaire, puis cliquer sur l onglet Système. 2. Sélectionner nmc > Réseau > Sous-réseau. 3. Sélectionner le PCX dont la connexion doit être sécurisée. 4. Cliquez sur l onglet Connectivité. 5. Renseignez les attributs suivants : Connexion SSH : cocher la case pour autoriser une connexion SSH/SFTP. Nom d'hôte : entrer un identifiant unique pour chaque PCX sécurisé (exemple : Nœud3) Vous devez donner un nom contenant uniquement des lettres, chiffres et (.,-,_) et commençant par une lettre. Vous ne pouvez pas utiliser de caractères spécifiques (@,',''...), ni de caractère espace. Note : Le nom d hôte est utilisé par l application MindTerm pour rechercher sur le serveur OmniVista 4760 les informations de connexion du PCX à connecter. 5.1.1.4 Utilisation de la connexion sécurisée 5.1.1.5 Connexion SSH Pour établir une connexion SSH : 1. Lancer l application Configuration, puis cliquer sur l onglet Réseaux. 2. Sélectionner nmc > Réseau > Sous-réseau. 3. Sélectionner le PCX. 4. Via le menu contextuel, cliquer sur Connecter. 5. Renseignez les attributs suivants : Nom d'utilisateur : compte pour se connecter au PCX (exemple : mtcl) Mot de passe : mot de passe associé au nom d utilisateur 6. L application MindTerm est utilisée pour se connecter au PCX La connexion s établit via le proxy http et le port TCP 30028. Le serveur SSH de l'alcatel-lucent OmniPCX Enterprise CS est OpenSSH_22.3.Opl (SSH2). Le cypher est 3des 5.1.1.6 Connexion SFTP Pour rapatrier les fichiers via SFTP, suivre la procédure décrite dans le tableau ci-après. tableau 5.4 : Connexion SFTP Application MindTerm Menu Plugins Objet Action Transfert de fichiers SFTP Transférer les fichiers à l aide des flèches Action Sélectionner les répertoires sur la machine locale (PC client OmniVista 4760) et sur la machine distante (OmniVista 4760). Fermer 5-3
Chapitre 5 5.1.2 Sécurisation de l'accès à l'alcatel-lucent OmniPCX Enterprise CS 5.1.2.1 Principe de fonctionnement La sécurisation d accès permet de filtrer l accès à la configuration OmniPCX 4400/Alcatel-Lucent OmniPCX Enterprise CS. Le filtrage peut se faire par le nom des serveurs OmniVista 4760 (les stations) et par les logins utilisés pour lancer le client OmniVista 4760 (les utilisateurs). La sécurisation s applique à la connexion CMISE entre le serveur OmniVista 4760 et le PCX. 5.1.2.2 Configuration Afin d éviter des erreurs et pour bien cerner un problème éventuel, il est conseillé de suivre dans l ordre les étapes de gestion décrites ci-après. La gestion PCX se fait dans l'objet Sécurité et Contrôle d'accès. Procédure 1. Dans PCX, gérer les stations sans mot de passe. Supprimer la station «*». Ce caractère autorise la connexion de toutes les stations Attention 1 : Il n est pas possible de recréer ce caractère par les outils de gestion client. Pour plus d'informations, contacter le Support Technique d Alcatel-Lucent. Créer les stations (serveurs OmniVista 4760). Le nom correspond au nom du PC sur lequel est installé le serveur OmniVista 4760. Le nom doit obligatoirement être saisi en MAJUSCULES Ne pas indiquer de mot de passe pour l instant Garder pour l instant la relation avec la liste N 1 des utilisateurs. 2. Dans l'omnivista 4760, valider la sécurité sans mot de passe : Dans l annuaire système, onglet Connexion, cocher Accès sécurisé (pour configuration) 3. Tester la connexion en configuration au PCX 4. Dans PCX, gérer une liste N 2 des utilisateurs Créer une liste N 2 des utilisateurs 5. Dans PCX, créer les utilisateurs dans la liste N 2 des utilisateurs Le nom des utilisateurs correspond au login utilisé pour lancer le client OmniVista 4760. Le nom doit obligatoirement être saisi en MAJUSCULES. 6. Dans l objet Station, affecter cette liste N 2 aux stations. 7. Tester la connexion en configuration au PCX 8. Option de sécurité : création d un mot de passe CMISD Pour renforcer la sécurité, il est possible de contrôler la connexion par mot de passe : Côté OmniVista 4760, indiquer le mot de passe dans l onglet Connectivité du PCX concerné (mot de passe Cmisd) Côté PCX, indiquer ce même mot de passe sur les stations correspondantes. Il faut respecter la casse (Majuscules/minuscules) En cas de modification du mot de passe côté OmniVista 4760, il peut être nécessaire de relancer le client, et/ou de relancer le serveur CMISE du service NMC. 5-4
9. Tester la connexion en configuration au PCX Attention 2 : L'utilisateur «*» est retiré de la liste N 1 dès qu'un autre utilisateur est créé dans cette liste. Il n est pas possible de recréer ce caractère par les outils de gestion client. Pour plus d'informations, contacter le Support Technique d Alcatel-Lucent. 5.1.2.3 Maintenance Pendant la configuration PCX (via mgr ou l'omnivista 4760), il est impossible de rétablir les paramètres de sécurité par défaut : - station = * - utilisateur = * Pour rétablir les valeurs : - Ouvrir une session telnet sur PCX - Désactiver MAO (mao off) - Lancer le multioutil SECURITY_ACCESS - Sélectionner l'option 10 : Security access reinitialization - Activer MAO (mao on) 5.2 OmniPCX Office 5.2.1 Configuration Le serveur OmniVista 4760 prend en charge l exécution de l application OMC en mode HTTPS (à partir de la version R5.0 de l'omnipcx Office). 5.2.2 Synchronisation des données OmniPCX Office Pour renforcer la confidentialité des données transférées depuis l'omnipcx Office vers l'omnivista 4760 (taxation, alarmes, licence), il est recommandé de sécuriser le réseau et de suivre les recommandations de sécurité de l'omnipcx Office. 5.2.3 Accès Internet Le serveur OmniVista 4760 prend en charge l exécution de l application Internet Access en mode HTTPS (à partir de la version R2.0 de l'omnipcx Office). 5-5
Chapitre 5 5-6
Objectif de ce chapitre : décrire les moyens à déployer (et leur mise en œuvre) pour assurer la sécurité des données d un serveur OmniVista 4760. 6.1 Configuration autonome L'OmniVista 4760 fonctionne en configuration autonome lorsqu il ne communique qu avec les PCX. Dans ce contexte : - Aucun client OmniVista 4760 distant n est installé. - Aucun répertoire ou disque réseau n est utilisé. - Aucune imprimante réseau n est utilisée. - Aucune application externe ne peut se connecter à l annuaire LDAP du serveur OmniVista 4760. Il s agit de la configuration la plus sécurisée. Pour renforcer la sécurité, il est recommandé de : - Désactiver les services Windows inutiles dans une configuration autonome (voir le descriptif des services dans, section 4.1 ). - Activer le pare-feu Windows. Aucune exception n est requise dans la configuration du pare-feu Windows pour le fonctionnement du serveur OmniVista 4760. 6.2 Déploiement du protocole IPSec dans une configuration serveur-clients distants Afin de renforcer la sécurité des données échangées entre le serveur OmniVista 4760 et ses clients distants, il est recommandé d activer l utilisation du protocole IPSec en suivant la procédure décrite dans cette section. IPSec est une fonctionnalité propre à Windows permettant de crypter la communication IP entre deux machines Windows. Pour le serveur et client OmniVista 4760, le mode IPsec est transparent. Seules les trames IP entrantes et sortantes des deux machines sécurisées sont modifiées. 6.2.1 Configuration requise - Le service d exploitation de la machine client doit prendre en charge le protocole IPSec. - Les versions minimum requises sont Windows XP et 2003. - Un client LDAP comme OmniPCX Enterprise ou Linux ne peut donc pas rentrer dans ce mode IPSec. 6.2.2 Implémentation L implémentation IPSec sous Windows est présentée comme une stratégie de sécurité. Les points à considérer avant l implémentation d IP-sec sont : Définition de l authentification avec Kerberos : 6-1
Chapitre 6 - Utiliser un certificat d authentification Windows. - Pour les PC d un groupe de travail, en l absence de Kerberos, l activation du protocole IPsec avec l authentification Kerberos bloque totalement la communication IP. Vous devez écrire une authentification de clé partagée sur chaque PC : client et serveur. - Pour les PC intégrés dans un domaine Windows, on peut utiliser le serveur Kerberos intégré dans le contrôleur de domaine. - Sur chaque machine où l on trouve un client ou serveur OmniVista 4760, on doit pouvoir accéder à l ordinateur depuis le réseau. Procédure : 1. Sélectionnez Démarrer > Paramètres > Panneau de configuration > Outils d'administration > Stratégie de sécurité locale > Stratégies locales > Attribution des droits utilisateurs. 2. Sélectionner le paramètre Accéder à cet ordinateur depuis le réseau. 3. Ajouter le groupe Réseau ou les utilisateurs réseau dans les droits d accès. Couverture de la stratégie Le mode IPSec peut concerner tout ou partie des ports IP. Alcatel-Lucent fournit deux types de stratégies qui permettent de sécuriser uniquement les communications IP entre l application client et l application serveur. Remarque : pour utiliser des certificats, contactez les services professionnels d'alcatel-lucent. 6.2.3 Restriction - La stratégie propre au serveur OmniVista 4760 ne lui permet pas d accéder en tant que client à d autres serveurs OmniVista 4760. - Si les ports IP des services OmniVista 4760 sont modifiés, la stratégie IPSec n est plus à jour. - Si le client dispose déjà d'une sécurisation IPsec pour d'autres applications de serveur, la stratégie Alcatel-Lucent n'est pas complète. Dans ce cas, il faut intégrer le client IPsec à la configuration existante. - Par défaut, la stratégie IPSec d'alcatel-lucent pour le serveur OmniVista 4760 impose que tous les clients se connectent par IPSec. Ce choix peut être modifié pour permettre à des clients non sécurisés d accéder au serveur. Attention : Pour ces clients, les données et mot de passe passent en clair sur le réseau IP. Pour gérer ces cas, il est conseillé de faire appel aux services professionnels d Alcatel-Lucent (professional.services@alcatel-lucent.fr), afin de modifier la gestion par défaut IPSec. Remarque : en cas de modification de l attribution des numéros de port par défaut, utilisez outil IpsecUpdate.exe (situé dans le répertoire 4760\bin). 6.2.4 Configuration Procédure : 1. Import de la stratégie IP sec Sur les machines à sécuriser (clients et serveurs 4760, 4059, 4980, etc.), ouvrez la console MMC : Stratégie de sécurité IP. 6-2
Sélectionner et ouvrir l outil Stratégie de sécurité locale (Panneau de configuration/outils d administration/paramètres de sécurité). Figure 6.1 : Fenêtre Panneau de configuration A l aide du menu contextuel, importer la stratégie IPSec. 6-3
Chapitre 6 Figure 6.2 : Fenêtre Stratégie de sécurité locale Sous Windows XP, sélectionner le fichier «4760\data\ipsec\4760serverXP.ipsec». Pour un serveur Windows 2003, sélectionnez le fichier 4760\data\ipsec\4760server.ipsec. Pour les clients Windows 2003 ou Windows XP, sélectionner le fichier «4760client\lib\data\4760client.ipsec». 2. Configurer la méthode d authentification Sélectionner la stratégie de sécurité IPsec du client ou du serveur OmniVista 4760. Dans le menu contextuel, cliquer sur Propriétés. 6-4
Figure 6.3 : Fenêtre Alcatel Propriétés du serveur OmniVista 4760 Cliquer sur Modifier. Deux listes de filtres sont définies pour les communications IP entrantes et sortantes. Pour modifier le champ Authentification, cliquer sur l onglet Méthodes d authentification pour chacune des listes, puis sur Modifier. 6-5
Chapitre 6 Figure 6.4 : Fenêtre Modifier les propriétés de la méthode d authentification Valider les modifications. 3. Affecter la stratégie de sécurité : Sélectionner la stratégie de sécurité IPsec du client ou du serveur OmniVista 4760. Dans le menu contextuel, cliquer sur Attribuer. Activer le mode IPsec en affectant la stratégie 6-6
Figure 6.5 : Fenêtre Stratégie de sécurité locale 6.3 Sécurité d accès aux applications OmniVista 4760 6.3.1 Application Sécurité Le module de sécurité implémenté dans le serveur OmniVista 4760 garantit et centralise la sécurité d accès à toutes les applications présentes dans le serveur et accessibles via un client OmniVista 4760. L application de sécurité permet de restreindre ou d autoriser : - Le lancement et la gestion de la sécurité pour chaque application - La lecture, la modification et la suppression des données présentées par chaque application. - L administrateur peut exploiter ces droits de deux façons : Directement pour un utilisateur : dans ce cas, il gère, successivement pour chaque application, le mode d accès de l utilisateur, Via des groupes d'annuaires entreprise préalablement définis : dans ce cas, il octroie à l utilisateur un profil global d accès à un ensemble d applications. Le manuel d administration 3BH 19260 Section 10 Sécurité présente les groupes et utilisateurs prédéfinis, leurs droits associés, ainsi que la gestion de nouveaux comptes d utilisateurs et de groupes. 6.3.1.1 Interface utilisateur Lors de l ouverture du client d administration, seules les applications répondant aux licences présentes et pour lesquelles l utilisateur dispose d un droit d accès, seront accessibles. Dans le cas où l utilisateur ne dispose pas de tous les droits d accès : - Il ne verra pas les icônes des applications qui lui sont interdites. - Lors des opérations de gestion, une partie des données lui sera masquée. 6-7
Chapitre 6 - Les opérations d écriture/suppression pourront lui être refusées. Dans ce cas, la fenêtre du journal de l application indique qu il ne dispose pas de droits suffisants. 6.3.1.2 Administration par le serveur OmniVista 4760 L accès aux applications et à leurs données est soumis à des règles de sécurité définies au niveau de la branche nmc\nmcapplications de l annuaire système. Ces règles sont appelées niveaux d accès. La gestion du serveur OmniVista 4760 permet : - d affecter par application, un niveau d accès à chaque utilisateur ; - d exploiter un groupe prédéfini qui accède à un ensemble d applications. Par défaut, seul l utilisateur AdminNMC dispose de droits dans l application OmniVista 4760. Les groupes prédéfinis utilisés pour accéder aux applications sont vides. 6.3.1.3 Niveaux d accès - Globalement, chaque application offre les niveaux d'accès suivants : Lancement, Lecture, Modification, Gestion, Tout. - Des droits supplémentaires ont été ajoutés pour s adapter aux besoins spécifiques des applications. Applications Annuaire Alarme Droit spécifique Prise en compte du champ Confidentialité des entrées d annuaire. Pour les connexions directes au serveur annuaire (par 4059, 4980, OmniPCX Entreprise, la recherche de personnes de Windows,...), le serveur utilise uniquement les listes de contrôles d accès définies dans la console du serveur LDAP. Pour plus d informations, se reporter à la section Confidentialité des données d annuaire. Action de correction prise en compte. Maintenance Restriction aux objets PCX par rapport à PCX + 4760. Configuration Comptabilité Prise en compte du profil de configuration qui limite l accès aux objets du PCX. Ce droit est stocké directement sous l attribut ACL de l entrée NmcApplications\Configuration. Exemple d'attribution du profil 0 à l'utilisateur AdminNMC : AL- LOW(0)USER("uid=AdminNmc, or=administrators, or=administration, y=alcatel, y=directoryroot"). Les objets soumis à un profil particulier sont stockés sous la branche NmcApplications\Configuration. En plus du niveau d accès, les branches de l organisation peuvent être sécurisées en gérant un domaine de visibilité. Procédure de gestion des niveaux d accès 1. Créer un login utilisateur : Lancer la gestion de l'omnivista 4760 en tant qu administrateur AdminNmc. Ouvrir le module Annuaire (onglet Entreprise). Créer une nouvelle entrée pour servir de login, de préférence sous la branche Annuaire <Racine Entreprise>\Administration\Administrateur. Attribuer un mot de passe à cette entrée. 6-8
2. Attribuer un droit d accès. Sélectionner le menu Sécurité \ Rapport. Note : il existe déjà un utilisateur AdminNMC et divers groupes qui disposent de droits à cette application. Ajouter le login défini ci-dessus. Modifier le niveau d accès pour Modification. Tester une connexion avec ce login. Procédure de gestion des groupes prédéfinis 1. Créer un login utilisateur. Lancer la gestion de l'omnivista 4760 en tant qu administrateur AdminNmc. Ouvrir le module Annuaire, onglet Entreprise. Créer une nouvelle entrée pour servir de login, de préférence sous la branche Annuaire <Racine Entreprise>\Administration\Administrateur. Attribuer un mot de passe à cette entrée. 2. Attribuer un droit d accès (par exemple sur l application Rapport) : Sélectionner le groupe Expert taxation sous la branche Annuaire <Racine Entreprise>\Administration\Groupes\. Modifier l attribut membre. Ajouter le login défini ci-dessus. 6.3.2 Confidentialité des données d annuaire Le serveur OmniVista 4760 permet l accès à des données de type annuaire via son interface Web. Pour accéder au mode modification ou visualiser des données privées, il faut s authentifier au moyen de l icône Authentification. L authentification est valable jusqu à ce que les fenêtres du navigateur Web soient toutes fermées. Afin de garantir la confidentialité des données de l'annuaire de l'omnivista 4760, il est donc recommandé : - De personnaliser la présentation graphique de l annuaire Web afin de sélectionner les données affichées et éditables dans l annuaire Web. - D'attribuer aux utilisateurs potentiels des droits d'accès aux entrées d'annuaire et à leurs attributs : pour cela, il existe des groupes et des niveaux d'accès prédéfinis dans l'annuaire de l'omnivista 4760. - De gérer les instructions de contrôle d'accès (ACI) du serveur LDAP de l'omnivista 4760 : l accès aux entrées d annuaire et à leurs attributs est soumis à des règles de confidentialité définies au niveau du serveur LDAP. Ces règles, appelées «Instruction de Contrôle d Accès» (ACI), prédéfinies dans l annuaire de l'omnivista 4760, peuvent être modifiées. 6.3.2.1 Personnalisation de l interface utilisateur Cette personnalisation est décrite dans la documentation utilisateur 3BH19260 Section 3 Annuaire Chapitre 8 Annuaire HTML Configuration. La personnalisation de l interface concerne : - Les images utilisées dans la page HTML. 6-9
Chapitre 6 - Les champs : affichés dans la présentation des entrées d annuaire sous forme de grille ; imprimés après la sélection d une grille ; affichés dans la présentation des entrées d annuaire sous forme de fiche ; affichés dans la présentation d une entrée d annuaire modifiable. - Le nombre d entrées : présenté dans une grille ; renvoyé suite à une recherche d annuaire. La présentation graphique de l interface annuaire Web est unique et s applique à tous les utilisateurs. Si l utilisateur n a pas accès à un champ, le label du champ sera visible mais la valeur du champ sera masquée. Le choix des paramètres affichés n apporte pas de confidentialité sur les champs non présentés. Au niveau de chaque entrée, l icône en forme de Loupe permet d accéder à tous les attributs. Pour personnaliser l interface : - Lancer la gestion de l'omnivista 4760. - Ouvrir le module Annuaire. - Dans l onglet Système, accéder à nmc\nmcconfiguration\globalpreferences\directoryclient\detailattributes. - Modifier les paramètres. - Rafraîchir la page Web de consultation de l annuaire. Note : Cette personnalisation est mise en cache dans le répertoire 4760\WebClient\Preference\. En cas de restauration d une version ou de mise à jour, effacer le contenu de ce répertoire pour réinitialiser le cache. La prochaine connexion par un client annuaire recrée ce cache automatiquement. 6.3.2.2 Attribution des droits d accès aux données d annuaire L accès aux entrées annuaires est contrôlé pour chaque entrée par : - son attribut de confidentialité (Vert, Orange, Rouge et Administration 4760) ; - ses attributs privés/publics ; - son mode d'accès : lecture seule ou lecture + modification. Un accès anonyme permet de lancer l annuaire Web et de lire les attributs publics de toutes les entrées de confidentialité définies sur Non renseigné et Vert. Pour accéder aux autres types d entrées annuaires, aux attributs privés et à la modification des entrées, il faut une authentification (login et mot de passe) et l attribution d un droit dans l annuaire 4760. Procédure: pour attribuer un droit de consultation à un utilisateur de l annuaire 4760, suivez la procédure ci-dessous : 1. Ouvrir le client OmniVista 4760 et utiliser un compte administrateur OmniVista 4760 pour vous connecter. 2. Ouvrir le module Annuaire. 6-10
3. Créer une nouvelle entrée pour servir de login, de préférence sous la branche <Nom de l entreprise>\administration\administrateur, ou sélectionner une entrée existante (de type personne). 4. Attribuer un mot de passe à cette entrée. 5. Sélectionner un groupe de consultation, par exemple Consultation partielle liste orange, sous la branche <Nom de l entreprise>\administration\groupes\. Modifier l attribut membre. Ajouter le login défini ou sélectionné précédemment et valider. La documentation utilisateur 3BH 19260 Section10 Sécurité présente les groupes prédéfinis et leurs droits associés. Une gestion équivalente au groupe prédéfini de l annuaire entreprise consiste à utiliser les niveaux d accès prédéfinis de l annuaire. Lancer le menu Sécurité Annuaire de l'omnivista 4760 : Note 1 : Le groupe Consultation partielle liste orange possède déjà le niveau d accès Consult. partielle liste orange. - Ajouter le login défini ci-dessus. - Modifier le niveau d accès pour Consult. partielle liste orange. Note 2 : Quelle que soit la méthode, l attribution d un droit annuaire permet également de lancer le client d administration Annuaire. 6.3.2.3 Administration des ACI du serveur LDAP - Description des ACI Les instructions de contrôle d accès (ACI) du serveur LDAP sont définies au niveau d une branche de l annuaire. Elle comporte les éléments suivants : Eléments Champ ACI Explication ACI Name ACI Nom de la règle Utilisateur/ Groupes Userdn Liste des logins et groupe pouvant exploiter la règle À droite Autoriser Droits octroyés par la règle : lecture, écriture, etc. Cible targetattr Attributs qui seront visibles Cible targetfilter Critère pour rechercher les entrées annuaires qui seront visibles Syntaxe!= Différent de... Syntaxe Ou logique... Par exemple, la règle «Anonymous1», décrite ci-dessous, définit la consultation anonyme, c est-à-dire la lecture seule pour les champs publics des entrées d annuaire non confidentielles. 6-11
Chapitre 6 (targetattr!= "homephone homepostaladdress carlicense employeenumber costcentername userpassword") (targetfilter!= ( (cl=cl_o)(cl=cl_r)(cl=cl_a))) (version 3.0; ACI "Anonymous 1"; allow (read,compare,search) (userdn = "ldap :///anyone") ;) - Gestion des ACI Une gestion personnalisée des ACI peut être réalisée pour : limiter les champs visibles lors d une connexion anonyme ; modifier le mode d accès (lecture, écriture) des attributs, etc. L exemple ci-dessous décrit la procédure à suivre pour modifier la règle «Anonymous1». Objectif de la modification : interdire l accès au champ Mobile en consultation anonyme. Procédure : 1. Lancer la console d administration du serveur LDAP. Login : cn=directory manager Mot de passe : celui saisi à l installation de l'omnivista 4760. 2. Ouvrir l arborescence jusqu à Directory server 4760 et cliquer sur Open. 3. Au niveau de l onglet Directory dans l arbre, accéder à l entrée o=nom de la racine Annuaire entreprise. Les règles d accès sont indiquées (exemple 13 acis). 4. Afficher l éditeur des règles d accès pour la règle Anonyme. Par le menu Objet \ Set Access Permission : Sélectionner la règle Anonymous1. Cliquer sur Modifier. 5. En édition manuelle, pour rendre Mobile non visible Insérer Mobile après TargetAttr!= pour obtenir TargetAttr!= Mobile HomePhone... Valider la modification en sélectionnant OK. 6. Tester votre modification en login anonyme (c est-à-dire non logué) : Via le Web, effectuer une recherche d entrée d annuaire. Sur la fiche, la valeur du champ Mobile ne s affiche plus. 6.3.3 Confidentialité des données de taxation et d observation de trafic Outre la définition de niveaux d accès, il est recommandé de gérer des domaines de visibilité de l organisation de la taxation et de définir des profils de masquage. Ceci permet de renforcer la confidentialité des données de taxation et d observation de trafic, accessibles depuis les interfaces des applications Taxation/Trafic/VoIP et Rapports. La mise en oeuvre des domaines de visibilité de l organisation de la taxation est décrite dans le manuel d administration 3BH 19260 Section 10 Sécurité. La gestion des profils de masquage et leur utilisation est décrite dans le manuel d administration 3BH 19260 Section 10 Taxation. 6.4 Procédure de changement des mots de passe 6-12
Au cours de l installation de l'omnivista 4760, quatre mots de passe sont configurés : - Admin pour l administrateur de l annuaire Netscape ; - Directory Manager pour le gestionnaire de l annuaire Netscape ; - AdminNmc pour l administrateur OmniVista 4760 ; - DBA pour le compte d accès à la base de données Sybase. - Gestionnaire de duplication utilisé par LDAP pour les opérations de duplication Afin de renforcer la sécurité d accès aux données du serveur OmniVista 4760 et la confidentialité de ces données, il est recommandé de : - Ne pas utiliser AdminNmc après la gestion générale de l'omnivista 4760. Créer d autres comptes administrateur ou gestionnaire afin de conserver les préférences des différents utilisateurs, et conserver toujours un compte superviseur en cas de perte du mot de passe. - Compte tenu de l utilité des comptes d administration, changer régulièrement leurs mots de passe respectifs et les conserver en mémoire. Procédure de mise à jour des mots de passe des comptes d administration des bases de données (Netscape et Sybase), AdminNMc et du gestionnaire de duplication. 1. Dans le répertoire 4760\bin, cliquer deux fois sur l icône ToolsOmnivista.exe et entrer le mot de passe de Directory Manager. La fenêtre suivante apparaît : 2. Sélectionner le choix 1 «Password Update». Figure 6.6 : Fenêtre E:\4760\bin\ToolsOmnivista.exe 3. Sélectionner le mot de passe à mettre à jour (choix 1 à 3). 4. Saisir le nouveau mot de passe deux fois. 6-13
Chapitre 6 5. Sélectionner 0 pour quitter. Attention : Dans le cas de sauvegardes programmées avec d anciens mots de passe, celles-ci ne seront pas effectuées. Re-programmez les sauvegardes en utilisant le nouveau mot de passe. Note : Après que le mot de passe du gestionnaire de duplication de l'esclave a été modifié, tous les contrats de duplication de l'omnivista 4760 doivent être mis à jour. 6.5 Sécurisation des notifications d alarmes urgentes OmniPCX Office Depuis la version R5.0 de l'omnipcx Office, il est recommandé de recevoir les alarmes urgentes sur le serveur OmniVista 4760 par notification HTTP afin d éviter l établissement d une connexion permanente entre le PCX et le serveur OmniVista 4760. En outre, lors de la configuration d OmniPCX Office dans l annuaire système : - Choisir le mode HTTP avec authentification. - Choisir l utilisation d un proxy avec authentification 6.6 Sécuriser l accès à l annuaire LDAP par des applications externes. Des applications externes telles que l application Alcatel 4059, le débordement LDAP pour l annuaire de l'alcatel-lucent OmniPCX Enterprise CS ou des outils de duplication LDAP peuvent se connecter à l annuaire LDAP de l'omnivista 4760. Afin de sécuriser ces accès externes, il est fortement recommandé de : - Activer IPsec sur le serveur OmniVista 4760 (voir module Sécurité - How to Secure the OmniVista 4760 Data? - Deploying IPsec in a Remote Client-Server Configuration ). - Activer IPsec sur les machines hébergeant les applications externes. 6.7 Autres Recommandations Afin de renforcer la sécurité du système hébergeant le serveur OmniVista 4760, il est recommandé de : - désactiver les comptes Windows inutilisés ; - désactiver les services Windows inutiles (voir le descriptif des services dans la section module Sécurité - Deploying the OmniVista 4760 in a Secure Network Configuration - IP Traffic on Server ) ; - désactiver la mise à jour automatique de Windows (AutomaticUpdates) ; - utiliser un serveur dédié pour télécharger les patches de sécurité de Windows (fournis par Microsoft), puis les déployer sur le système hébergeant le serveur OmniVista 4760 ; - protéger l'accès au répertoire 4760\bin : ce répertoire contient les outils de connexion aux bases du serveur OmniVista 4760 ; 6-14
- protéger l'accès au répertoire du serveur OmniVista 4760 4760\log : ce répertoire peut contenir les données de connexion du serveur (login et mot de passe) ; - activer le pare-feu Windows, et ne sélectionner que les exceptions utiles au fonctionnement en réseau du serveur OmniVista 4760 (suivant les fonctionnalités exploitées sur le site client). - Alarmes urgentes de l'omnipcx Office : HTTP/ login et authentification 6-15
Chapitre 6 6-16