NEOTERIS INSTANT VIRTUAL EXTRANET. Guide d administration

NEOTERIS INSTANT VIRTUAL EXTRANET Guide d administration

NEOTERIS INSTANT VIRTUAL EXTRANET Guide d administration

2001-2003 Neoteris, Inc. Tous droits réservés. Toutes les informations figurant dans le présent document sont la propriété de Neoteris, Inc. Ce document est susceptible d être modifié sans avertissement préalable. Il peut être mis à jour, remplacé ou rendu obsolète à tout moment par d autres documents. Les descriptions figurant dans le présent document n impliquent pas l octroi de licences de création, d utilisation, de vente, de licence ou de tout autre mode de transfert de technologies requises pour le déploiement de systèmes ou de composants conformes à cette spécification. Neoteris, Inc. décline tout droit vis-à-vis des technologies décrites dans la présente spécification, quant à des droits de brevet, des droits de propriété intellectuelle, des marques commerciales, des secrets commerciaux ou tout autre droit de propriété existant ou futur. Neoteris, Inc. ne donne aucune garantie, explicite ou implicite, y compris (sans limitation) toute garantie d adéquation à des fins commerciales ou à tout usage particulier. Neoteris, Inc. 940 Stewart Drive Sunnyvale, CA 94085 États-Unis Téléphone : 408-962-8200 Fax : 408-962-8201 Pour toute information, veuillez envoyer un courriel à l adresse suivante : help@support.neoteris.com Référence : 101-1001-001 C (072203 cay)

iii Table des matières Chapitre 1. Présentation du système Neoteris IVE... 1 Qu est-ce que l IVE?... 1 Comment fonctionne le système IVE?... 2 Que peut faire le système IVE?... 3 Chapitre 2. Administration de paramètres au niveau du système... 5 Menu Système > Paramètres... 5 Affichage de l état du système, redémarrage, arrêt et ping des serveurs connectés... 6 Permet d entrer ou de mettre à jour la licence du système... 8 Permet de modifier les paramètres de sécurité et de performance au niveau du système...10 Permet de définir les règles de mise en cache des informations...13 Permet de définir l heure du système...16 Permet de configurer, de visualiser, d effacer et d enregistrer le journal système... 18 Permet d afficher les statistiques relatives au système...22 Permet de planifier l archivage des informations sur le système...23 Permet d enregistrer un fichier de trace à des fins de débogage...26 Permet de capturer un instantané de l état du système IVE...27 Permet de capturer les en-têtes des paquets réseau...28 Permet d exécuter une commande ARP, ping, traceroute ou nslookup...30 Active le débogage à distance du système Service d assistance de Neoteris... 31 Permet de définir les restrictions d ouverture de session pour tout le système... 32 Permet de définir les options d ouverture de session pour tout le système... 33 Permet de définir le codage international employé...36 Menu Système > Apparence...37 Permet de personnaliser l apparence du système IVE...37 Permet de personnaliser la page d ouverture de session IVE...39 Menu Système > Certificats...42 Importation d un certificat de serveur et d une clé privée existants...44

iv Importation d un certificat de serveur renouvelé employant une clé privée existante...46 Création d une demande de signature de certificat (CSR) pour un nouveau certificat de serveur...48 Importation d un certificat de serveur signé créé à partir d une CSR...50 Permet d importer un certificat racine pour la vérification...52 Importation d un certificat de signature de code...55 Menu Système > Importer/Exporter...57 Exportation d un fichier de configuration du système...57 Importation d un fichier de configuration du système...58 Exportation de comptes d utilisateurs locaux...59 Importation de comptes d utilisateurs locaux...60 Exportation de listes de contrôle d accès et de signets...63 Importation de listes de contrôle d accès et de signets...63 Menu Système > Installation d un fichier de service...65 Installation d un fichier de service logiciel Neoteris...65 Menu Système > Réunions sécurisées...66 Permet l envoi par courriel de notifications au sujet des réunions...67 Permet de visualiser et d annuler les réunions planifiées...69 Chapitre 3. Administration de l authentification et des autorisations dans IVE...71 Authentification et autorisation : présentation...72 Serveurs d authentification pris en charge...75 Serveur d authentification local IVE...75 Active Directory ou Domaine Windows NT...75 Serveur LDAP...76 Serveur NIS...76 Serveur RADIUS...77 ACE/Server...78 Serveur Netegrity SiteMinder...79 Authentification & Autorisation > menu Administrateurs...82 Permet de créer, de modifier et de rechercher des comptes dans le groupe Administrateurs...82

v Permet de définir les limites temporelles des sessions du groupe Administrateurs...86 Permet de définir le serveur à employer pour l authentification du groupe Administrateurs...87 Permet de définir les restrictions d adresses IP pour le groupe Administrateurs... 89 Permet de définir les exigences en matière de certificats pour le groupe Administrateurs...91 Menu Authentification & Autorisation > Serveurs d authentification...92 Définition d une instance de serveur d authentification...92 Étape 1 : Définissez les informations sur le serveur et l option de mise en correspondance entre utilisateurs et groupes.... 92 Configuration d un serveur de recherche de groupes...97 Étape 2 : Définissez les informations de correspondance des groupes.... 98 Étape 3 : Création d utilisateurs locaux (authentification IVE locale uniquement).. 101 Étape 4 : Délégation de droits administratifs aux utilisateurs (authentification IVE locale uniquement)... 104 Délégation de droits d administration des utilisateurs aux utilisateurs finals... 104 Informations supplémentaires de configuration du serveur d authentification... 107 Définition d une instance de serveur Active Directory ou Domaine Windows NT... 107 Définition d une instance de serveur LDAP...108 Définition d une instance de serveur NIS...112 Définition d une instance de serveur RADIUS...113 Définition d une instance de serveur ACE/Server...116 Génération d un fichier de configuration ACE/Agent...117 Définition d une instance Netegrity SiteMinder...119 Configuration du système IVE comme agent web sur un serveur de stratégie SiteMinder...123 Authentification & Autorisation > menu Groupes d autorisation...125 Affiche la synthèse des paramètres des groupes d autorisation...126 Présentation générale de Network Connect...128 Activation et configuration de Network Connect...129 Permet de définir les limites temporelles et les capacités d itinérance des groupes d autorisation...132 Permet de définir la persistance des informations d identification des utilisateurs et des cookies de session IVE...134 Permet d examiner les correspondances entre serveurs et groupes...136 Permet de limiter les adresses IP à partir desquelles les utilisateurs peuvent ouvrir une session...137

vi Permet de limiter les navigateurs à partir desquelles les utilisateurs peuvent ouvrir une session...138 Permet d exiger que les ordinateurs clients possèdent un certificat valide... 141 Exécution d un contrôle de sécurité de point final côté client...144 Permet de définir les paramètres généraux de navigation sur le web...147 Configuration des hôtes pour l option de réécriture sélective...151 Activation et définition des paramètres du proxy intermédiaire...152 Permet de contrôler l accès aux ressources web...156 Permet de créer des signets vers des ressources web...159 Permet de définir à quels serveurs les applets Java peuvent se connecter... 161 Permet de contrôler l accès réseau Windows et UNIX/NFS...162 Permet de contrôler l accès aux ressources Windows...163 Permet de créer des signets vers des ressources Windows...167 Permet de contrôler l accès aux ressources UNIX/NFS...169 Permet de créer des signets vers des ressources UNIX...171 Permet d activer l option de mise à jour Client courriel sécurisé...173 Permet de définir des paramètres généraux pour les applications client/serveur... 175 Options supplémentaires en cas d activation de J-SAM...177 Permet de créer des signets pour les sessions de terminal sécurisées...181 Présentation générale du Gestionnaire d applications sécurisé Windows (W-SAM).. 183 Choisissez les applications et les hôtes qui seront sécurisés par W-SAM...185 Présentation générale du Gestionnaire d applications sécurisé Java (J-SAM)... 190 Définition d applications clientes pour le transfert de ports J-SAM...193 Configurez votre serveur DNS externe et les ordinateurs des utilisateurs (si nécessaire)...198 Configurez un PC qui se connecte au système IVE par l intermédiaire d un serveur proxy web...199 Testez J-SAM depuis votre entreprise...200 Prise en charge améliorée de MS Exchange...201 Choix des serveurs MS Exchange autorisés...204 Prise en charge améliorée de Lotus Notes...205 Choix des serveurs Lotus Notes autorisés...207 Configuration du client Lotus Notes...208 Prise en charge améliorée de Citrix NFuse...210 Modification des paramètres par défaut de Citrix NFuse...211 Activation et configuration de réunions pour les groupes d autorisation...212 Authentification & Autorisation > menu Importer des utilisateurs...216 Création d un fichier texte contenant les enregistrements des utilisateurs... 216 Importation de paramètres d utilisateurs et de groupes sur un serveur d authentification...218

vii Authentification & Autorisation > menu Utilisateurs actifs...219 Permet de surveiller les utilisateurs connectés au système IVE...219 Chapitre 4. Administration des paramètres réseau IVE...221 Configuration des paramètres réseau généraux du système IVE...222 Configuration d une grappe de serveurs IVE...223 Présentation générale de la mise en grappes...224 Déploiement d une grappe en mode Actif/Passif...225 Déploiement d une grappe en mode Actif/Actif...226 Synchronisation d état...227 Configuration du système IVE comme proxy web...229 Configuration de l option de mise à jour Client courriel sécurisé...230 Choix d un client de courriel...231 Utilisation d un serveur de courriel normalisé...231 Utilisation du serveur Microsoft Exchange...232 Utilisation de Lotus Notes et d un serveur de courriel Lotus Notes...235 Surveillance du système IVE comme agent SNMP...235 Menu Réseau > Paramètres réseau...236 Permet de modifier les paramètres réseau du port interne (interface LAN)... 236 Permet d activer le port externe (interface DMZ)...237 Permet de définir des trajets statiques pour le trafic réseau...239 Permet de définir les Noms d hôtes que le système IVE résoudra localement... 240 Menu Réseau > Mise en grappes...242 Définition et initialisation d une grappe...242 Ajout d un système IVE à une grappe au moyen de sa console série...244 Ajout d un système IVE à une grappe au moyen de sa console de l administrateur 249 Mise à jour d une grappe...251 Permet de gérer les nœuds d une grappe et de définir de nouveaux membres... 252 Permet de modifier les propriétés d une grappe ou de la supprimer...256 Menu Réseau > Proxy web...258 Permet de configurer un proxy web...258

viii Menu Réseau > Paramètres de courriel...261 Permet de configurer un serveur de courriel IMAP/POP/SMTP et les paramètres d authentification des utilisateurs...261 Menu Réseau > SNMP...264 Annexe A. Utilisation de la console série Neoteris...267 Connexion à la console série IVE...267 Retour à une date système antérieure...268 Rétablissement des réglages d usine de l appareil Neoteris...271 Exécution des tâches de restauration courantes...274

ix Éléments de menu d interface utilisateur Menus Système Menu Système > Paramètres... 5 Onglet Général... 6 Onglet Licence... 8 Onglet secondaire Sécurité > Général... 10 Onglet secondaire Sécurité > Mise en cache du contenu... 13 Onglet Heure... 16 Onglet secondaire Journal > Affichage... 18 Onglet secondaire Journal > Paramètres... 18 Onglet Statistiques... 22 Onglet Archivage... 23 Onglet secondaire Débogage > Trace... 26 Onglet secondaire Débogage > État... 27 Onglet secondaire Débogage > Vidage TCP... 28 Onglet secondaire Débogage > Commandes... 30 Onglet secondaire Débogage > Débogage à distance... 31 Onglet secondaire Options d ouverture de session > Restrictions... 32 Onglet secondaire Options d ouverture de session > Mode d autorisation... 33 Menu Système > Apparence... 37 Onglet Général... 37 Onglet Page d ouverture de session... 39 Menu Système > Certificats... 42 Onglet Certificat de serveur... 43 Onglet Certificat de CA... 52 Onglet Certificat d applet... 54 Menu Système > Importer/Exporter... 57 Onglet Configuration... 57 Onglet Comptes d utilisateur... 59 Onglet Listes de contrôle d accès & signets... 61 Menu Système > Installation d un fichier de service... 65 Menu Système > Réunions sécurisées... 66 Onglet Général... 67

x Onglet Planification... 69 Menus Authentification & Autorisation Authentification & Autorisation > menu Administrateurs... 82 Onglet Membres... 82 Onglet Session... 86 Onglet secondaire Authentification > Serveur d authentification... 87 Onglet secondaire Authentification > Restrictions d adresses... 89 Onglet secondaire Authentification > Certificat... 91 Menu Authentification & Autorisation > Serveurs d authentification... 92 Authentification & Autorisation > menu Groupes d autorisation... 125 Onglet secondaire Général > Vue d ensemble... 126 Onglet secondaire Général > Network Connect... 128 Onglet secondaire Général > Session... 132 Onglet secondaire Général > Options... 134 Onglet secondaire Authentification > Serveur d authentification... 136 Onglet secondaire Authentification > Restrictions d adresses... 137 Onglet secondaire Authentification > Restrictions des navigateurs... 138 Onglet secondaire Authentification > Certificat... 141 Onglet secondaire Authentification > Certificat... 143 Onglet secondaire Web > Général... 147 Onglet secondaire Web > Contrôle d accès... 156 Onglet secondaire Web > Signets... 159 Onglet secondaire Web > Liste de contrôle d accès socket Java... 161 Onglet secondaire Fichiers > Général... 162 Onglet secondaire Fichiers > Accès Windows... 163 Onglet secondaire Fichiers > Signets Windows... 167 Onglet secondaire Fichiers > Accès UNIX... 169 Onglet secondaire Fichiers > Signets UNIX... 171 Onglet Client courriel... 173 Onglet secondaire Applications > Général... 175 Onglet secondaire Applications > Sessions de terminal... 181 Onglet secondaire Applications > Gestionnaire d applications sécurisé (W-SAM)... 183 Onglet secondaire Applications > Gestionnaire d applications sécurisé (J-SAM)... 190 Onglet secondaire Applications > MS Exchange (J-SAM)... 201 Onglet secondaire Applications > Lotus Notes (J-SAM)... 205 Onglet secondaire Applications > Citrix NFuse (J-SAM)... 210 Onglet Réunions... 212

xi Menu Authentification & Autorisation > Utilisateurs actifs... 216 Menu Authentification & Autorisation > Utilisateurs actifs... 219 Menus Paramètres réseau Onglet Port interne... 236 Onglet Port externe... 237 Onglet Trajets statiques... 239 Onglet Hôtes... 240 Menu Réseau > Mise en grappes... 242 Onglet État... 252 Onglet Propriétés... 256 Menu Réseau > Proxy web... 258 Menu Réseau > Paramètres de courriel... 261 Menu Réseau > SNMP... 264

xii

xiii Préface Le présent guide vous fournira toutes les informations requises pour configurer et gérer le Neoteris Instant Virtual Extranet (IVE), à savoir : une présentation qui vous permettra de vous familiariser avec les caractéristiques du produit ; les procédures d installation et de configuration duserveur Neoteris IVE ; des instructions relatives à l administration du système. Public visé Le présent guide est destiné aux administrateurs système chargés de l installation et de la configuration d un Système Neoteris IVE. Informations complémentaires Pour obtenir de l aide en cours d installation, vous pouvez envoyer un courriel à l adresse help@support.neoteris.com ou compléter un formulaire de demande d assistance sur le site http://support.neoteris.com. Pour obtenir un fichier de service logiciel, accédez au site http://support.neoteris.com. Pour plus d informations sur la mise à niveau de votre configuration, accédez au site www.neoteris.com ou envoyez un courriel à l adresse sales@neoteris.com.

xiv

1 Chapitre 1 Présentation du système Neoteris IVE Le système Neoteris Instant Virtual Extranet (IVE) vous permet d offrir à vos employés, partenaires et clients, où qu ils se trouvent, un accès sécurisé et contrôlé aux serveurs de fichiers de votre entreprise, à ses serveurs web, à sa messagerie native et à ses clients de courriel, à ses serveurs hébergés, etc., à l aide de n importe quel navigateur web. Qu est-ce que l IVE? Le Neoteris IVE est un robuste système réseau qui offre un niveau de sécurité élevé en servant d intermédiaire dans les flux de données échangés entre les utilisateurs externes et les ressources internes, telles que : Serveurs MS Terminal Serveurs MS Exchange Serveurs Lotus Notes Serveurs de courriel Internet Applications basées sur un terminal (IBM 3270, VT100) Documents sur des serveurs de fichiers Applications d entreprise basées sur le web Pages d intranet Le système Neoteris IVE rend superflu tout déploiement d outils pour extranet dans une DMZ traditionnelle, ainsi que la fourniture d un VPN d accès distant aux employés. Le système IVE sert d intermédiaire entre les connexions externes, qui lui transmettent des demandes sécurisées, et les ressources internes, auxquelles il soumet les demandes de la part d utilisateurs authentifiés.

2 CHAPITRE 1 Présentation du système Neoteris IVE Figure 1 : Le Système Neoteris IVE fonctionnant avec un LAN Comment fonctionne le système IVE? Le système Neoteris IVE fait office de passerelle sécurisée active au niveau des applications et servant d intermédiaire pour toutes les demandes entre le réseau Internet public et les ressources internes de l entreprise. Toutes les demandes qui accèdent au système IVE sont déjà chiffrées par le navigateur de l utilisateur final, à l aide d un chiffrement 128 bits SSL/HTTPS. Les demandes non chiffrées sont rejetées. Chaque demande est soumise à des stratégies de contrôle d accès et d autorisation définies par un administrateur (qui comprennent une authentification à deux facteurs ou des certificats numériques côté client) avant d être transmises à vos ressources internes. Comme le système IVE fournit une couche de sécurité robuste entre le réseau Internet public et les ressources internes, l administrateur ne doit pas passer son temps à gérer les stratégies de sécurité et corriger les défaillances de sécurité pour les multiples applications et serveurs web déployés dans la DMZ présentée au public. Le système IVE sert d intermédiaire pour l accès à de nombreux types d applications et de ressources, à l aide de simples technologies de navigateur web. L utilisateur peut accéder sans authentification aux ressources protégées via une session extranet hébergée par le Neoteris IVE. À partir de tout navigateur web connecté à Internet, l utilisateur peut accéder à des

Système Neoteris Instant Virtual Extranet Guide d administration 3 applications d entreprise riches basées sur le web, à des applications Java, à des partages de fichiers ou à des hôtes de terminal. Quant aux utilisateurs employant des ordinateurs portables et des applications client/serveur, comme Microsoft Outlook ou Lotus Notes, ils peuvent accéder aux applications en activant un proxy par l intermédiaire de cette même session web sécurisée. Que peut faire le système IVE? La famille de produits Neoteris Access Series fournit toute une gamme de fonctionnalités de modularité, de disponibilité élevée et de sécurité pour les entreprises. Ces fonctionnalités permettent d accroître l accès sécurisé aux ressources réseau. En quelques heures à peine, vous pouvez offrir aux utilisateurs un accès sécurisé : aux sites web internes et aux applications web de l entreprise, y compris des applets Java côté client, à l aide d ordinateurs portables ou de bureau, ou encore d appareils sans fil de type Pocket PC (standard) ; aux serveurs de fichiers internes de l entreprise (NFS et CIFS) ainsi qu aux fonctions de transfert de fichiers vers et depuis n importe quel répertoire (standard) ; aux clients de messagerie natifs, comme Microsoft Outlook et IBM/Lotus Notes, à partir de n importe quel PC (option de mise à niveau Client courriel sécurisé) ; aux clients de courriel reposant sur des normes, comme Microsoft Outlook Express, Netscape Communicator et Eudora (Qualcomm), à partir de n importe quel PC (option de mise à niveau Gestionnaire d applications sécurisé) ; aux applications client/serveur, comme Citrix ICA Client, pcanywhere et les services MS Terminal Server, à partir de n importe quel PC (option de mise à niveau Gestionnaire d applications sécurisé) ; aux serveurs hébergés via Telnet et SSH, à partir de n importe quel PC (option de mise à niveau Accès par terminal sécurisé) ; à des fonctions de collaboration sécurisées, y compris la planification de réunions, la présentation de réunions à distance, le contrôle distant du bureau du présentateur et les discussions par échange de messages texte (option Secure Meeting). Vos employés, partenaires et clients n ont besoin que d un navigateur web standard pour PC (IE/Netscape/AOL/Pocket IE) et d une connexion à Internet pour accéder à la page d accueil intuitive d IVE. Cette page fournit la fenêtre à partir de laquelle vos utilisateurs peuvent, en toute sécurité, naviguer sur le web ou sur des serveurs de fichiers, employer des applications d entreprises

4 CHAPITRE 1 Présentation du système Neoteris IVE compatibles HTML, démarrer le proxy d applications client/serveur ou lancer une session de terminal 1. L installation, la configuration et l administration de l IVE sont des tâches particulièrement aisées. Le système IVE est un équipement réseau robuste qui s installe en armoire en quelques minutes à peine. Une fois la connexion au réseau effectuée, il suffit d entrer quelques paramètres système et réseau initiaux, à l aide de la console série, pour pouvoir accéder à la console de l administrateur. La console de l administrateur est une interface web qui vous permet de configurer et d administrer l IVE en fonction des besoins de votre entreprise. Les caractéristiques suivantes font de l installation un vrai jeu d enfant et permettent une administration efficace de votre système : Intégration de serveur aisée : l IVE se branche aux serveurs d authentification existants de l entreprise (LDAP, RADIUS, NIS, Domaine Windows NT, Active Directory et RSA ACE/Server). Il n est pas nécessaire d apporter des modifications aux serveurs web et de fichiers ou aux réseaux internes. Authentification par certificats : protection des applications sans modification des ressources internes. Il suffit de choisir les certificats numériques comme composant du plan d authentification du système IVE (option de mise à niveau Certificats numériques côté client). Degré élevé de disponibilité et de redondance : aucun temps d indisponibilité pour les utilisateurs dans les rares cas de défaillance, et échange de trafic dynamique qui synchronise les paramètres des utilisateurs, ceux du système et les données des sessions utilisateur (option de mise à niveau Mise en grappes). Stratégie de pare-feu simple : seul un accès SSL au Système Neoteris IVE est requis depuis l extérieur. Contrôle des accès reposant sur les groupes, au niveau des fichiers et des URL (standard sur les systèmes Access 3000 et Access 5000). Journalisation centralisée, au niveau des applications, qui consigne les actions des administrateurs et des utilisateurs, les demandes de connexion, de fichiers et web, ainsi que les erreurs système. Mises à jour des logiciels système via Internet. Prise en charge SNMP et DMZ. 1. Les fonctionnalités disponibles dépendent du produit Neoteris Access Series et des options de mise à niveau que vous avez acquises.

5 Chapitre 2 Administration de paramètres au niveau du système L administration du système IVE consiste à configurer et gérer les paramètres au niveau du système, les serveurs d authentification, les groupes d authentification et les paramètres réseau. Le présent chapitre décrit les tâches de maintenance au niveau du système et les paramètres qui influent sur tous les utilisateurs finals d IVE, que vous pouvez configurer par l intermédiaire des menus Système : Menu Système > Paramètres...5 Menu Système > Apparence... 37 Menu Système > Certificats... 42 Menu Système > Importer/Exporter... 57 Menu Système > Installation d un fichier de service... 65 Menu Système > Réunions sécurisées... 66 Menu Système > Paramètres Les onglets Système > Paramètres vous permettent d accomplir les tâches système suivantes : Affichage de l état du système, redémarrage, arrêt et ping des serveurs connectés (6) Permet d entrer ou de mettre à jour la licence du système (8) Permet de modifier les paramètres de sécurité et de performance au niveau du système (10) Permet de définir l heure du système (16) Permet de configurer, de visualiser, d effacer et d enregistrer le journal système (18) Permet d afficher les statistiques relatives au système (22)

6 CHAPITRE 2 Administration de paramètres au niveau du système Permet de planifier l archivage des informations sur le système (23) Permet d enregistrer un fichier de trace à des fins de débogage (26) Permet de capturer un instantané de l état du système IVE (27) Permet de capturer les en-têtes des paquets réseau (28) Permet d exécuter une commande ARP, ping, traceroute ou nslookup (30) Active le débogage à distance du système Service d assistance de Neoteris (31) Permet de définir les restrictions d ouverture de session pour tout le système (32) Permet de définir les options d ouverture de session pour tout le système (33) Permet de définir le codage international employé (36) Onglet Général Affichage de l état du système, redémarrage, arrêt et ping des serveurs connectés Lorsque vous ouvrez une session dans la console de l administrateur, le menu Système > Paramètres > Général est sélectionné et présente la page Général. Cette page résume les détails relatifs au serveur IVE et aux utilisateurs du système. Lorsque vous apportez des modifications sur d autres pages, les informations correspondantes de la page Général sont mises à jour. Cette page vous permet également d effectuer les actions suivantes : Redémarrage du Serveur Neoteris IVE par un clic sur Redémarrer maintenant. Arrêt du Serveur Neoteris IVE par un clic sur Arrêter. Le serveur s arrête. Vous devez appuyer sur le bouton de réinitialisation de l appareil pour redémarrer le serveur. Notez que l appareil reste sous tension après l arrêt du serveur. Envoi d un ping ICMP depuis le Serveur Neoteris IVE à tous les serveurs que le système IVE peut utiliser, et rapport sur leur connectivité, par un clic sur Connectivité des serveurs. L état de chaque serveur est indiqué dans la section Notices.

Système Neoteris Instant Virtual Extranet Guide d administration 7 Reportez-vous à «Annexe A : Utilisation de la console série Neoteris», page 267 pour plus d informations sur le traitement des situations suivantes : Vous avez oublié vos données d identification. Vous avez défini des limitations IP qui vous empêchent de vous connecter à l appareil. Vous voulez revenir à l état précédent du système. Vous voulez rétablir les réglages d usine. Figure 2 : Système > Paramètres > Général

8 CHAPITRE 2 Administration de paramètres au niveau du système Onglet Licence Permet d entrer ou de mettre à jour la licence du système Le Système Neoteris IVE est couvert en licence pour diverses options qui sont déterminées par : la capacité activée sur le système (c est-à-dire le nombre d utilisateurs connectés simultanément) ; le niveau de support produit que vous avez acheté ; les fonctions en option activées (contrôles d accès des groupes, certificats numériques côté client, proxy de courriel sécurisé, messagerie sécurisée, accès sécurisé par terminal et applications client/serveur sécurisées). Le Système Neoteris IVE est fourni par défaut avec une licence d usine qui permet : la navigation sur le web et dans les systèmes de fichiers Windows et UNIX/NFS ; une capacité système pour deux utilisateurs simultanés et cinq comptes d utilisateur locaux. Lorsque vous avez ouvert une session dans la console de l administrateur, vous devez entrer la licence que Neoteris vous a fait parvenir par courriel. La page Licence vous permet d entrer et de gérer le code de licence de votre site. Veillez à prendre connaissance de l accord de licence, accessible depuis la page Licence, avant d entrer la licence. L accord de licence figurant sur la page Licence est identique au texte affiché dans la console série lors de la configuration initiale. Pour entrer ou mettre à jour une licence IVE : 1. Dans la console de l administrateur, cliquez sur l onglet Système > Paramètres > Licence. 2. Cliquez sur le lien accord de licence. Prenez connaissance de l accord de licence puis, si vous marquez votre accord avec ses dispositions, passez à l étape suivante. 3. Entrez le nom de votre société et votre code de licence, puis cliquez sur Entrée.

Système Neoteris Instant Virtual Extranet Guide d administration 9 Figure 3 : Système > Paramètres > Licence

10 CHAPITRE 2 Administration de paramètres au niveau du système Onglet secondaire Sécurité > Général Permet de modifier les paramètres de sécurité et de performance au niveau du système Les pages Sécurité vous permettent de modifier les paramètres de sécurité par défaut de votre Serveur Neoteris IVE. Il est conseillé d employer les paramètres de sécurité par défaut, qui garantissent une sécurité maximale. Il peut toutefois être nécessaire de les modifier si vos utilisateurs sont incapables d utiliser certains navigateurs ou d accéder à certaines pages web. Dans de tels cas, vous pouvez tenter de modifier les paramètres suivants : Version admise de SSL et TLS Le Serveur Neoteris IVE exige par défaut SSL en version 3 et TLS. Les navigateurs plus anciens utilisent la version 2 de SSL. Vous pouvez inviter les utilisateurs à mettre à jour leur navigateur, ou modifier le paramètre de manière à accepter les versions 2 et 3 de SSL. Capacité de chiffrement admise Le Serveur Neoteris IVE exige par défaut un chiffrement 128 bits. Il se peut que d anciens navigateurs antérieurs à 2000 (année qui a vu les États- Unis modifier leurs lois en matière d exportation qui exigeaient que les exportations internationales emploient un chiffrement 40 bits) emploient toujours le chiffrement 40 bits. Vous pouvez inviter les utilisateurs à effectuer la mise à jour vers un navigateur employant un chiffrement 128 bits, ou modifier la capacité de chiffrement requise afin d autoriser le chiffrement 40 bits. Navigation sur des sites SSL Le Serveur Neoteris IVE permet la navigation sur des sites SSL internes (précédés de la mention https://) et accepte tous les certificats (temporaires ou non) par défaut. Si vous ne voulez pas que les utilisateurs naviguent sur des sites possédant des certificats émis par une autorité de certification externe valide par l intermédiaire du système IVE, désactivez cette fonctionnalité. Intermédiation d authentification de base Le serveur Neoteris IVE peut faire office d intermédiaire pour les données d identification des utilisateurs, de manière à empêcher les utilisateurs d accéder à des ressources en employant les données d identification d un autre utilisateur stockées en mémoire cache. En outre, le système IVE peut réutiliser les données d identification des utilisateurs afin de permettre une ouverture de session unique pour d autres sites de l intranet. Si vous activez l option d ouverture de session unique, le système IVE veille à ce que les données d identification ne soient transmises que dans l intranet de l entreprise.

Système Neoteris Instant Virtual Extranet Guide d administration 11 Longueur du mot de passe d ouverture de session Par défaut, le système IVE exige que les mots de passe que les utilisateurs entrent sur la page d ouverture de session possèdent au moins quatre caractères. Il se peut que le serveur d authentification qui sert à valider les données d identification des utilisateurs exige une longueur minimale différente. Ainsi, la base de données d authentification locale IVE exige des mots de passe d une longueur minimale de six caractères. Contrôle de version automatique Pour garantir l actualité et la sécurité de votre système, le système IVE peut vous informer automatiquement de l existence de correctifs et de mises à jour essentiels du logiciel. Pour ce faire, il communique les données suivantes à Neoteris : le nom de votre société, un hachage MD5 de vos paramètres de licence, ainsi que des informations qui décrivent la version actuelle du logiciel (pour plus d informations, consultez la documentation). Pour votre sécurité, il est vivement conseillé d activer ce service automatique ; en cas de besoin, vous pouvez toutefois le désactiver. La page Sécurité > Général vous permet non seulement de définir les paramètres de sécurité, mais aussi d activer des cartes d accélération qui améliorent les performances. Notez que les paramètres suivants ne sont visibles que si vous avez acheté un IVE A5000 équipé de la carte correspondante : SSL Accelerator La carte SSL Accelerator améliore les performances en assurant, à la place du système IVE, le chiffrement et le déchiffrement des négociations SSL. ZIP Accelerator La carte ZIP Accelerator améliore les performances en compressant toutes les données HTML, JavaScript et CSS utilisées lors d une navigation web ou parmi des fichiers. Pour modifier les paramètres de sécurité et de performances : 1. Dans la console de l administrateur, cliquez sur l onglet Système > Paramètres > Sécurité > Général. 2. Activez les options désirées puis cliquez sur Enregistrer les modifications.

12 CHAPITRE 2 Administration de paramètres au niveau du système Figure 4 : Système > Paramètres > Sécurité > Général

Système Neoteris Instant Virtual Extranet Guide d administration 13 Onglet secondaire Sécurité > Mise en cache du contenu Permet de définir les règles de mise en cache des informations Par défaut, la mise en cache des navigateurs est désactivée, le système IVE marquant dès lors toutes les pages envoyées aux utilisateurs distants comme impossibles à mettre en cache. Ce paramètre empêche que les pages confidentielles soient stockées sur un ordinateur distant après qu un utilisateur a fermé son navigateur. Cette option peut ralentir la navigation en forçant la récupération continue d informations, ce qui peut poser des problèmes de performances sur les connexions très lentes. Vous pouvez alternativement définir des règles de mise en cache qui permettent la mise en cache de certaines informations, comme les images dont la taille ne dépasse pas une limite précise. Pour chaque demande des utilisateurs, le système IVE examine les règles de mise en cache définies, qui peuvent concerner le serveur d origine, le fichier demandé ou le paramètre content-length communiqué par le serveur d origine. Si une règle correspondante est trouvée, le système IVE emploie la stratégie de mise en cache définie, qui peut déterminer l une des deux options suivantes d interdiction de la mise en cache d informations : Pragma: No-Cache (PNC) Si cette règle est définie, le moteur d intermédiation ajoute des en-têtes pragma:no-cache et cache-control:no-cache à la réponse. En outre, le système IVE ne transfère pas les en-têtes de mise en cache du serveur d origine, comme age, date, etag, last-modified ou expires. Cache-Control: No-Store (CCNS) Si l administrateur a choisi la règle CCNS, le moteur d intermédiation supprime l en-tête de contrôle de mise en cache du serveur d origine et ajoute un en-tête de réponse «cache-control:no-store» si la chaîne d agent utilisateur envoyée par le navigateur contient msie ou windows-media-player. Pour les autres agents utilisateur, le système IVE ajoute les en-têtes de réponse PNC et CCNS et ne transfère pas les en-têtes de mise en cache du serveur d origine. Si vous choisissez de ne pas définir des informations comme impossibles à mettre en cache, par exemple en ne modifiant pas la stratégie du serveur d origine, le système IVE n ajoute pas les en-têtes de réponse pragma:no-cache ou cache-control:no-store, mais il transfère les en-têtes de mise en cache du serveur d origine.

14 CHAPITRE 2 Administration de paramètres au niveau du système Si aucune règle définie ne correspond, le système IVE tient compte des règles prédéfinies dans le moteur d intermédiation : Autoriser la mise en cache Le système IVE n ajoute pas les en-têtes de réponse pragma:no-cache ou cache-control:no-store et transfère les en-têtes de mise en cache du serveur d origine. Autoriser uniquement la mise en cache pour les images en dessous d une taille précise Le système IVE examine l en-tête «content-type» du serveur d origine, qui doit débuter par «image/», ainsi que l en-tête content-length, qui doit définir une taille inférieure à la taille maximale définie. Si le système IVE détermine qu une demande concerne une image de taille appropriée, il n ajoute pas les en-têtes de réponse pragma:no-cache ou cache-control:nostore et il transfère les en-têtes de mise en cache du serveur d origine. Dans le cas contraire, le système IVE traite la demande comme si la mise en cache était désactivée. Désactiver la mise en cache Le système IVE ne transfère pas les en-têtes de mise en cache du serveur d origine. Si le système IVE détecte la chaîne msie ou windows-media-player dans l en-tête utilisateur-agent et que la demande concerne un fichier de média, il n envoie pas les en-têtes de réponse cache ou cache-control:nostore. Par exemple : (if content type has "audio/x-pn-realaudio" OR if content type begins with "video/" OR if content type begins with "audio/" OR if content type is "application/octet-stream" and the file extension begins with "rm" or "ram" ) Dans ces cas, le système IVE supprime l en-tête de contrôle de mise en cache du serveur d origine, et les informations peuvent être stockées en mémoire cache. Ce comportement garantit le bon fonctionnement des fichiers de médias. Si le système IVE détecte la chaîne msie ou windows-media-player dans l en-tête utilisateur-agent et que la demande concerne certains types de fichier, il n envoie pas l en-tête pragma:no-cache, mais bien l en-tête cache-control:no-store ; il supprime en outre l en-tête de contrôle de mise en cache du serveur d origine. Ce comportement s applique dans les cas suivants :

Système Neoteris Instant Virtual Extranet Guide d administration 15 Fichiers Flash,.xls,.pps,.ppt. Si la chaîne «content-type» contient application/, text/rtf, text/xml, model/. Si le serveur d origine envoie un en-tête «content-disposition». Pour le reste, si la règle de désactivation de la mise en cache est appliquée, le système IVE ajoute les en-têtes de réponse pragma:no-cache ou cache-control:no-store. Remarque : Les fichiers.ica Citrix et QuickPlace font l objet d un traitement particulier. Les fichiers.ica Citrix peuvent toujours être mis en cache et reçoivent l en-tête cache-control-private. Les fichiers QuickPlace qui ne correspondent pas à une règle précise (prioritaire) reçoivent les en-têtes CCNS et cache-control:private. Prise en charge des navigateurs Les directives de contrôle de la mise en cache sont des normes W3C prises en charge par tous les navigateurs compatibles. Les navigateurs ci-dessous, pris en charge par IVE, sont compatibles avec les en-tête de contrôle de la mise en cache : Win2k-IE5.5 SP2 Win2k-IE6.0 Win98-Netscape4.79 Win98-IE5.5 SP2 MacOS9.2-IE5.1.5 MacOSx-IE5.2

16 CHAPITRE 2 Administration de paramètres au niveau du système Figure 5 : Système > Paramètres > Sécurité > Mise en cache du contenu Onglet Heure Permet de définir l heure du système Vous devez régler l heure du système pour pouvoir enregistrer précisément les événements système et les transferts de fichiers par les utilisateurs. Pour régler l heure du système : 1. Dans la console de l administrateur, cliquez sur l onglet Système > Paramètres > Heure pour accéder à la page Heure. La date, l heure et le fuseau horaire actuels de l appareil s affichent en haut de la page. 2. Utilisez l une des méthodes suivantes pour définir l heure du système : Utilisation d un serveur NTP Choisissez Oui dans la zone «Utiliser un serveur NTP?», entrez l adresse IP ou le nom du serveur, définissez un intervalle de mise à jour puis cliquez sur Enregistrer les modifications.

Système Neoteris Instant Virtual Extranet Guide d administration 17 Définition manuelle de l heure du système Entrez la date et l heure, puis cliquez sur Enregistrer les modifications. Vous pouvez également cliquer sur Obtenir depuis le navigateur afin de remplir les zones Date et Heure. 3. Sélectionnez un fuseau horaire dans le menu Fuseau horaire puis cliquez sur Enregistrer les modifications. Le système IVE gère automatiquement le passage à l heure d été. Figure 6 : Système > Paramètres > Heure

18 CHAPITRE 2 Administration de paramètres au niveau du système Onglets secondaires Journal > Affichage et Journal > Paramètres Permet de configurer, de visualiser, d effacer et d enregistrer le journal système Le journal système est un fichier texte stocké sur le Serveur Neoteris IVE et qui enregistre les événements système suivants : Modifications, par l administrateur, des paramètres des utilisateurs, du système et du réseau (par exemple modification des délais d expiration des sessions, activation/désactivation de la navigation dans les URL et les signets créés par l utilisateur, ou informations sur l appareil et les serveurs) Ouverture et fermeture de session par les utilisateurs Délais d expiration des sessions, c est-à-dire les délais d inactivité et la longueur maximale des sessions Erreurs système et avertissements Demandes de fichiers par les utilisateurs Demandes web Nombre d utilisateurs simultanés par intervalle d une heure (enregistrement toutes les heures) Notifications de redémarrage du service IVE (le processus de surveillance IVE vérifie régulièrement le serveur IVE et le redémarre s il ne répond pas) Demandes de contrôle de la connectivité du serveur La page Log Paramètres permet de définir les événements enregistrés et la taille maximale du fichier du journal système, ainsi que de choisir si les événements doivent être consignés sur le serveur syslog en plus de leur enregistrement local. La page Affichage journal permet de visualiser le nombre d événements défini, d enregistrer le fichier journal sur un réseau et d effacer le journal. Lorsque la taille maximale du fichier journal est atteinte, les données actuelles sont transférées dans le fichier log.old. Le système garantit ainsi que la taille du fichier ne dépasse pas la limite maximale tout en vous permettant d accéder à une quantité de données deux fois plus importante, par l intermédiaire du fichier journal actuel et de l ancien. Important : Assurez-vous que votre serveur syslog accepte les messages à l aide des paramètres suivants : facility = LOG_USER et level = LOG_INFO.

Système Neoteris Instant Virtual Extranet Guide d administration 19 Pour plus d informations sur la manière de définir l intervalle d archivage du journal système, reportez-vous à la section «Permet de planifier l archivage des informations sur le système», page 23. Pour définir les paramètres du journal : 1. Dans la console de l administrateur, cliquez sur l onglet secondaire Système > Paramètres > Journal > Paramètres afin d accéder à la page Paramètres du journal système. 2. Définissez la taille maximale du fichier journal local. La limite est fixée à 500 Mo. Le journal système affichera des données jusqu à ce que la taille indiquée soit atteinte. 3. Activez les événements qui devront être consignés dans le fichier journal local. Si vous voulez que ces événements soient également enregistrés dans votre fichier syslog réseau, indiquez le nom ou l adresse IP du serveur syslog. 4. Cliquez sur Enregistrer les modifications. Les modifications entrent immédiatement en vigueur.

20 CHAPITRE 2 Administration de paramètres au niveau du système Figure 7 : Système > Paramètres > Log > Paramètres Pour visualiser, enregistrer ou effacer le fichier journal système : 1. Dans la console de l administrateur, cliquez sur l onglet secondaire Système > Paramètres > Journal > Affichage afin d accéder à la page Affichage du journal système. Cette page présente les données les plus récentes du système pour la journée en cours.

Système Neoteris Instant Virtual Extranet Guide d administration 21 2. Effectuez l une des opérations suivantes : Pour limiter le nombre d événements affichés à la fois, entrez le nombre de messages désiré puis cliquez sur Mettre à jour. Pour enregistrer le fichier journal, cliquez sur Enregistrer le journal sous, accédez à l emplacement désiré sur le réseau, entrez un nom de fichier puis cliquez sur Enregistrer. Pour effacer le journal local et le fichier log.old, cliquez sur Effacer le journal. Remarque : L effacement du journal local n influe pas sur les événements enregistrés par le serveur syslog. Les événements ultérieurs seront enregistrés dans un nouveau fichier journal local. Figure 8 : Système > Paramètres > Journal > Affichage

22 CHAPITRE 2 Administration de paramètres au niveau du système Onglet Statistiques Permet d afficher les statistiques relatives au système Toutes les heures, le système IVE consigne les données suivantes : Charge maximale des utilisateurs web Charge maximale des utilisateurs du courriel Nombre d accès aux URL Nombre d accès aux fichiers La page Statistiques présente ces informations pour les sept derniers jours. Ces informations sont enregistrées dans le journal système une fois par semaine ainsi qu après chaque mise à niveau. Pour afficher les statistiques du système : 1. Dans la console de l administrateur, cliquez sur l onglet Système > Paramètres > Statistiques pour accéder à la page Statistiques. 2. Faites défiler la page pour visualiser les quatre catégories de données.

Système Neoteris Instant Virtual Extranet Guide d administration 23 Figure 9 : Système > Paramètres > Statistiques Onglet Archivage Permet de planifier l archivage des informations sur le système Vous pouvez définir un archivage quotidien ou hebdomadaire des fichiers journaux du système, des fichiers de configuration et des comptes d utilisateur. Le système IVE emploie le protocole FTP pour archiver les fichiers sur le serveur et dans le répertoire de votre choix, aux jours et à l heure indiqués. Les fichiers

24 CHAPITRE 2 Administration de paramètres au niveau du système de configuration et les comptes d utilisateur sont chiffrés afin de garantir la sécurité de leur transmission par FTP et de leur stockage sur d autres serveurs. Le nom des fichiers d archive indique la date et l heure d archivage, comme ci-dessous : Fichiers journaux du système : NeoterisLog-date-heure Fichiers de configuration du système : NeoterisConf-date-heure Comptes d utilisateur : NeoterisUserAccounts-date-heure Pour définir les paramètres d archivage : 1. Dans la console de l administrateur, cliquez sur l onglet Système > Paramètres > Archivage pour accéder à la page Archivage. 2. Dans la zone Archive Paramètres, indiquez le serveur de destination, un répertoire et vos données d identification FTP sur ce serveur. N entrez pas de lettre d unité dans le nom du répertoire de destination, comme suit : neoteris/log. Sur un ordinateur UNIX, entrez un chemin absolu ou relatif, en fonction du répertoire de base de l utilisateur. Sur un ordinateur Windows, entrez un chemin relatif au dossier ftproot. 3. Pour chaque type de données archivées, définissez la fréquence d archivage. Dans le cas des fichiers journaux du système, vous pouvez choisir d effacer le fichier journal après son archivage. 4. Cliquez sur Enregistrer les modifications.

Système Neoteris Instant Virtual Extranet Guide d administration 25 Figure 10 : Système > Paramètres > Archivage

26 CHAPITRE 2 Administration de paramètres au niveau du système Onglet secondaire Débogage > Trace Permet d enregistrer un fichier de trace à des fins de débogage Cet onglet permet d enregistrer un fichier de trace qui consignera les actions des utilisateurs accédant à un site web qui ne s affiche pas correctement. Si vous employez cette option, le système IVE force l utilisateur indiqué à ouvrir une nouvelle session, puis il commence à enregistrer toutes ses actions. Notez que le système IVE avertit l utilisateur que ses actions sont enregistrées. Pour enregistrer un fichier de trace : 1. Dans la console de l administrateur, cliquez sur l onglet Système > Paramètres > Débogage > Trace. 2. Entrez le nom de l utilisateur puis cliquez sur Commencer l enregistrement. 3. Invitez l utilisateur à accéder au site web qui pose un problème. 4. Cliquez sur Arrêter l enregistrement. 5. Cliquez sur Télécharger pour télécharger le fichier sur un ordinateur du réseau. Vous pouvez supprimer les données confidentielles à l aide d un éditeur de texte. 6. Envoyez le fichier par courriel à l adresse help@support.neoteris.com, à des fins de vérification.

Système Neoteris Instant Virtual Extranet Guide d administration 27 Figure 11 : Système > Paramètres > Débogage > Trace Onglet secondaire Débogage > État Permet de capturer un instantané de l état du système IVE Cet onglet permet de capturer un instantané de l état du système IVE. Lorsque vous employez cette option, le système IVE exécute divers utilitaires afin de récolter des détails sur son état, comme la quantité de mémoire utilisée, les performances de page, le nombre de processus en cours d exécution, la durée d activité du système, le nombre de descripteurs de fichiers ouverts et les ports en cours d utilisation. Le système IVE peut stocker dix instantanés, regroupés dans un fichier «de vidage» chiffré que vous pouvez télécharger sur un ordinateur du réseau puis envoyer par courriel au service d assistance de Neoteris. Pour capturer un instantané de l état du système IVE : 1. Dans la console de l administrateur, cliquez sur l onglet Système > Paramètres > Débogage > État. 2. Cliquez sur Créer instantané.