Guide de Scurit Alcatel-Lucent OmniVista 4760 Network Management System All Rights Reserved Alcatel-Lucent 2010 Informations lgales : Alcatel, Lucent, Alcatel-Lucent et le logo Alcatel-Lucent sont des marques dAlcatel-Lucent. Toutes les autres marques appartiennent leurs propritaires respectifs. Les informations prsentes sont sujettes modification sans pravis. Alcatel-Lucent ne peut tre tenu pour responsable de linexactitude de ces informations. Copyright 2010 Alcatel-Lucent. Tous droits rservs. Le marquage CE indique que ce produit est conforme aux directives communautaires suivantes : - 2004/108/EC (Compatibilit lectromagntique) - 2006/95/EC (Scurit Basse Tension) - 1999/5/EC (R&TTE) Chapitre 1 Introduction Chapitre 2 Procdure recommande pour le dploiement dune solution OmniVista 4760 en environnement scuris 2.1 Choix et configuration du systme dexploitation ..................... 2.1 2.2 Dfinition de lenvironnement rseau ............................................. 2.1 2.3 Scurisation des donnes PCX ......................................................... 2.3 2.4 Scurisation des donnes de l'OmniVista 4760 .......................... 2.3 2.5 Bonnes pratiques en cas de dtection dune faille de scurit ........................................................................................................................ 2.3 Chapitre 3 Dploiement d'OmniVista 4760 dans un environnement Windows scuris 3.1 Gnralits ............................................................................................... 3.1 3.2 Compatibilit avec le systme dexploitation .............................. 3.1 3.2.1 Gnralits .................................................................................................... 3.1 Sommaire Gui!c !c Sccuriic 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 0-1 3.2.2 Type de matriel ............................................................................................ 3.1 3.2.3 Systme dexploitation et Service Pack ......................................................... 3.2 3.2.4 Personnalisation de Windows (suppression de services et de fichiers) ........ 3.2 3.2.5 mulation Windows : VM-Ware, MS Virtual Server 2005 .............................. 3.3 3.2.6 Services constructeur .................................................................................... 3.3 3.2.7 Carte mre ..................................................................................................... 3.3 3.3 Compatibilit et utilisation des services Windows .................... 3.4 3.3.1 Au cours de linstallation / mise jour ........................................................... 3.4 3.3.2 En cours de fonctionnement .......................................................................... 3.5 3.4 Outils de scurit ................................................................................... 3.9 3.4.1 Compatibilit avec les logiciels antivirus ....................................................... 3.9 3.4.2 Compatibilit avec le pare-Feu Windows .....................................................3.10 3.4.3 Compatibilit avec un proxy .........................................................................3.13 3.4.4 Renforcement de la scurit avec SynAttackProtect ...................................3.13 3.4.5 Renforcement de la scurit avec DEP ........................................................3.14 3.5 Compatibilit avec les applications externes .............................3.14 3.5.1 tude de compatibilit ..................................................................................3.14 3.5.2 Compatibilit en termes de performances ....................................................3.15 3.5.3 Fichiers dll ....................................................................................................3.15 3.5.4 Java Run Time .............................................................................................3.15 3.5.5 Ports et Services IP ......................................................................................3.16 3.5.6 Compatibilit avec les outils de sauvegarde PC ..........................................3.16 3.5.7 Compatibilit avec les outils de connexion distance .................................3.16 3.5.8 Compatibilits avec d'autres applications AlcatelLucent ..........................3.17 3.6 Gestion de comptes Windows utiliss par le serveur OmniVista 4760 ......................................................................................3.18 3.6.1 Compte pour installation ...............................................................................3.18 3.6.2 Compte utiliser pour le lancement dun client OmniVista 4760 .................3.18 3.6.3 Oprations de maintenance avec ressources rseau ..................................3.18 3.6.4 Planification de lexportation ou de limpression de rapports ........................3.23 3.6.5 Archivage et restauration des fichiers de taxation ........................................3.24 3.6.6 Collecteur de fichiers de taxation .................................................................3.25 3.6.7 Rception dalarmes urgentes de lOmniPCX Office ....................................3.26 3.7 Gestion du partage de rpertoires ..................................................3.26 3.7.1 Gestion de lOmniPCX Office .......................................................................3.26 3.7.2 Partage de OmniVista 4760_ARC ................................................................3.27 Gui!c !c Sccuriic 0-2 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 3.7.3 Autres partages ............................................................................................3.28 3.8 Envoi de message lectronique (e-mails) ....................................3.28 Chapitre 4 Dploiement dOmniVista 4760 dans une configuration rseau scurise 4.1 Trafic IP sur serveur OmniVista 4760 ............................................. 4.1 4.2 Trafic IP sur client OmniVista 4760 .................................................. 4.6 4.3 Trafic IP sur OmniPCX Enterprise pour la gestion de l'OmniVista 4760 ..................................................................................... 4.6 4.4 Trafic IP sur l'OmniPCX Office pour la gestion de l'OmniVista 4760 ............................................................................................................. 4.7 4.5 Trafic IP sur un hyperviseur ............................................................... 4.8 4.6 Trafic IP sur un 4059 ............................................................................. 4.9 4.7 Fonctionnement de l'OmniVista 4760 sur un rseau VPN/NAT ........................................................................................................................ 4.9 4.7.1 PRSENTATION ........................................................................................... 4.9 4.7.2 Protocole VPN/NAT ....................................................................................... 4.9 4.7.3 Accs du client OmniVista 4760 au serveur via NAT ...................................4.10 4.7.4 Accs du serveur OmniVista 4760 l'Alcatel-Lucent OmniPCX Enterprise Communication Server via NAT ...................................................................4.12 4.7.5 Accs du serveur OmniVista 4760 l'OmniPCX Office via NAT .................4.12 4.7.6 Accs du serveur OmniVista 4760 au client d'annuaire Web 4059 via NAT 4.12 4.7.7 Dpannage du transfert FTP ........................................................................4.12 Chapitre 5 Scurisation des donnes PCX en cas de gestion par un serveur OmniVista 4760 5.1 Alcatel-Lucent OmniPCX Enterprise CS ........................................ 5.1 5.1.1 Mise en uvre de Connexion SSH ............................................................... 5.1 Gui!c !c Sccuriic 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 0-3 5.1.2 Scurisation de l'accs l'Alcatel-Lucent OmniPCX Enterprise CS ............. 5.4 5.2 OmniPCX Office ...................................................................................... 5.5 5.2.1 Configuration ................................................................................................ 5.5 5.2.2 Synchronisation des donnes OmniPCX Office ............................................ 5.5 5.2.3 Accs Internet ................................................................................................ 5.5 Chapitre 6 Scurisation des donnes OmniVista 4760 6.1 Configuration autonome ...................................................................... 6.1 6.2 Dploiement du protocole IPSec dans une configuration serveur-clients distants ....................................................................... 6.1 6.2.1 Configuration requise .................................................................................... 6.1 6.2.2 Implmentation .............................................................................................. 6.1 6.2.3 Restriction ...................................................................................................... 6.2 6.2.4 Configuration ................................................................................................ 6.2 6.3 Scurit daccs aux applications OmniVista 4760 ................... 6.7 6.3.1 Application Scurit ....................................................................................... 6.7 6.3.2 Confidentialit des donnes dannuaire ........................................................ 6.9 6.3.3 Confidentialit des donnes de taxation et dobservation de trafic ..............6.12 6.4 Procdure de changement des mots de passe ..........................6.12 6.5 Scurisation des notifications dalarmes urgentes OmniPCX Office .........................................................................................................6.14 6.6 Scuriser laccs lannuaire LDAP par des applications externes. ...................................................................................................6.14 6.7 Autres Recommandations .................................................................6.14 Gui!c !c Sccuriic 0-4 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic Ce guide de scurit a pour objectif de fournir aux administrateurs de l'Alcatel-Lucent OmniVista 4760 Network Management System (dsign par OmniVista 4760 dans ce document) les informations ncessaires la prise en compte des lments de scurit lors du dploiement ainsi que les mthodes appliquer pour scuriser ce systme de gestion des OmniPCX Alcatel-Lucent. La section 2 prsente la procdure suivre pour dployer l'OmniVista 4760 dans un environnement contenant des lments de scurit et pour renforcer la scurit de la gestion d'OmniPCX par lintermdiaire de l'OmniVista 4760. Les informations et procdures requises pour chacune de ces tapes sont dtailles dans les sections suivantes : - Les sections 3 et 4 fournissent les recommandations et informations prendre en compte avant d'intgrer l'OmniVista 4760 dans un environnement scuris (au niveau du systme d'exploitation ou du rseau), ainsi que les procdures appliquer pour que certaines applications de l'OmniVista 4760 fonctionnent avec les ressources rseau. - Les sections 5 et 6 indiquent les moyens mettre en uvre pour renforcer la scurit des donnes collectes ou gres par l'OmniVista 4760. La section 7 indique l'URL de l'quipe de rsolution des incidents de scurit pour les produits Alcatel-Lucent et comment rapporter une vulnrabilit de scurit. Chapitre 1 lntroductlon 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 1-1 Chapitre 1 |nirc!uciicn 1-2 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 2.1 Choix et configuration du systme dexploitation Recommandations : - Serveur OmniVista 4760 : Windows 2003 SP2 recommand Profil de scurit recommand : serveur membre. Pare-feu : activ, accepter les exceptions concernant les programmes utiliss par le serveur OmniVista 4760. - Client OmniVista 4760 : Windows XP SP3 recommand Pare-feu : activ, accepter les exceptions concernant les programmes utiliss par le client OmniVista 4760. - Mise jour avec Windows Update : Uniquement pour patch de scurit. Installer les hotfixes de scurit de Windows. Lors de linstallation, il est ncessaire de slectionner les options permettant ensuite de dsinstaller tout hotfix ou service pack de Windows. Antivirus : activer et assurer la mise jour dun systme antivirus sur les ordinateurs hbergeant les applications OmniVista 4760 (client ou serveur). - Mise en oeuvre: Voir module Scurit - Deploying the OmniVista 4760 in a Secure Windows Environment pour le dploiement de lapplication OmniVista 4760 dans un environnement Windows scuris. La mise en place de profils de scurit Windows a pour effet darrter certains services systme ; il faut donc sassurer que les services ncessaires linstallation et au fonctionnement du serveur OmniVista 4760 sont dmarrs. 2.2 Dfinition de lenvironnement rseau Note : Ce guide de scurit prsente les solutions mettre en uvre en cas de connectivit ethernet entre les quipements OmniPCX et OmniVista 4760. Dans le cas dune autre connectivit (PPP), les mmes recommandations et procdures pourront tre appliques mais des protocoles et services supplmentaires devront tre activs. Il est par ailleurs possible dajouter un niveau dauthentification supplmentaire en cas dactivation du protocole PPP. Recommandations : Chapitre 2 Procedure recommundee pour Ie depIolement dune soIutlon Om- 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 2-1 Figure 2.1 : Exemple de dploiement sur un rseau priv client (intranet) Les clients OmniVista 4760 distants sont facultatifs. Ninstaller que les clients utiles. La configuration autonome (client local au serveur) rduit le risque dattaque contre le serveur OmniVista 4760. Pour renforcer la scurit du serveur OmniVista 4760 : - Installer le serveur dans le mme sous-rseau que les PCX. - Lancer les applications OmniVista 4760 partir de clients OmniVista 4760 connects au serveur via un tunnel Ipsec. Choix de limplmentation dans des domaines Windows : Le serveur OmniVista 4760 et ses clients distants peuvent tre configurs dans un groupe de travail (les clients doivent tre dans le mme groupe de travail que le serveur) et non dans des domaines Windows. Ceci facilite la configuration du serveur (et de ses services) et permet dviter les impacts des modifications de droits de scurit des domaines du rseau. Mais, dans ce contexte, le serveur ne pourra pas utiliser les ressources situes hors de ce Workgroup (imprimante, disques de sauvegardes ...etc). Lorsque le serveur OmniVista 4760 et ses clients distants sont configurs dans un domaine Windows, suivre les recommandations des sections 3.5 et 3.6 pour ouvrir laccs aux ressources rseau tout en conservant un bon niveau de scurit. Mise en oeuvre: Se reporter la section module Scurit - Deploying the OmniVista 4760 in a Secure Network Configuration pour le dploiement de lapplication OmniVista 4760 dans un environnement rseau contenant des lments de scurit. Chapitre 2 Prccc!urc rcccnnan!cc pcur |c !cp|cicncni !unc sc|uiicn OnniVisia 4760 cn cntircnncncni sccurisc 2-2 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 2.3 Scurisation des donnes PCX - Recommandations : OmniPCX Enterprise : dployer la scurit SSH (disponible uniquement pour les OXE>= 6.0) et le controle daccs OmniPCX Office : suivre les recommandations de scurit fournies par le support technique dOmniPCX Office. - Mise en oeuvre: Voir module Scurit - How to Secure the OmniVista 4760 Data? pour renforcer la scurit des donnes dun OmniPCX Alcatel-Lucent en cas de gestion distance par un serveur OmniVista 4760. Se reporter aux notices de scurit respectives des systmes OmniPCX. 2.4 Scurisation des donnes de l'OmniVista 4760 - Recommandations : Mettre en uvre les outils de scurit des applications OmniVista 4760 (voir section 6) : Dployer Ipsec dans une configuration serveur- clients distants Mettre en uvre la scurit daccs aux applications OmniVista 4760 Procder de faon rgulire aux changements de mots de passe Scuriser laccs lannuaire LDAP par des applications externes Suivre les recommandations de scurit de Microsoft lorsquelles sont compatibles avec le fonctionnement des applications OmniVista 4760. - Mise en oeuvre: Voir module Scurit - How to Secure the OmniVista 4760 Data? pour renforcer la scurit des donnes dun OmniVista 4760. 2.5 Bonnes pratiques en cas de dtection dune faille de scurit - La faille concerne un composant Microsoft : Installer les hotfixes de scurit de Windows correspondant la faille. - La faille de scurit concerne un composant utilis par l'OmniVista 4760 : Programmer une sauvegarde rgulire du serveur OmniVista 4760. Contacter le service Support Technique d'Alcatel-Lucent pour signaler cette faille de scurit. Installer, ds sa sortie, la version de l'OmniVista 4760 implmentant le correctif de scurit. - La faille de scurit concerne une application externe l'OmniVista 4760 : Programmer une sauvegarde rgulire du serveur OmniVista 4760. Contacter le fournisseur de lapplication externe concerne et suivre ses recommandations de scurit. Si ces dernires savrent incompatibles avec les recommandations de scurit dcrites dans ce guide, contacter le service Support Technique d'Alcatel-Lucent. Prccc!urc rcccnnan!cc pcur |c !cp|cicncni !unc sc|uiicn OnniVisia 4760 cn cntircnncncni sccurisc 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 2-3 Chapitre 2 Prccc!urc rcccnnan!cc pcur |c !cp|cicncni !unc sc|uiicn OnniVisia 4760 cn cntircnncncni sccurisc 2-4 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic Objectif de ce chapitre : fournir les procdures et paramtrages appliquer pour dployer et utiliser l'OmniVista 4760 dans un environnement Windows scuris (systme dexploitation scuris par des lments et mthodes de scurit). 3.1 Gnralits Le dploiement de l'OmniVista 4760 dans un environnement Windows requiert les conditions suivantes : - Compatibilit entre l'OmniVista 4760 et le systme d'exploitation. - Activation des services Windows requis pour linstallation et le fonctionnement de l'OmniVista 4760, et dsactivation des services gnant linstallation ou le fonctionnement de l'OmniVista 4760. - Compatibilit entre l'OmniVista 4760 et les outils de scurit installs dans lenvironnement Windows. - Compatibilit entre l'OmniVista 4760 et les autres applications externes installes dans le mme environnement. - Configuration de comptes Windows et de ressources rseau pour un fonctionnement scuris. 3.2 Compatibilit avec le systme dexploitation 3.2.1 Gnralits La compatibilit entre l'OmniVista 4760 et un systme dexploitation inclut les conditions suivantes : - Compatibilit avec le matriel - Compatibilit avec le Systme dexploitation - Compatibilit avec les services packs installs - Compatibilit avec le type dinstallation du systme dexploitation - Compatibilit avec la personnalisation (ou le paramtrage spcifique) du systme dexploitation install Il importe donc de se conformer aux prrequis du manuel dinstallation de l'OmniVista 4760, ainsi quaux procdures dinstallation et de dsinstallation de l'OmniVista 4760. 3.2.2 Type de matriel Certains fabricants de PC peuvent spcifier le type de systme dexploitation. Par consquent, avant mme denvisager la compatibilit de l'OmniVista 4760, s'assurer que le matriel peut prendre en charge le systme dexploitation choisi. - Exemple Le serveur HP/Compaq ML370 ne prend pas en charge les systmes d'exploitation de poste de travail ou professionnels. Seul un systme d'exploitation serveur peut tre utilis (Windows Chapitre 3 DepIolement dOmnlVlstu 4760 duns un entlronnement Wln- 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 3-1 XP Professionnel, Windows 2003, Vista, etc.). Sur certains PC, en particulier le HP ML370G4, l'installation du Service Pack 1 pour Windows 2003 Server ncessite la mise jour du Bios et de certains pilotes. 3.2.3 Systme dexploitation et Service Pack - Compatibilit Le tableau ci-aprs indique les versions de Windows et les Service Packs pris en charge par la version R5.1.1 de lapplication OmniVista 4760. tableau 3.1 : Configuration requise Petite capacit Moyenne capacit Grande capacit Capacit d'abonns <250 abonns 250 5 000 utilisateurs > 5 000 abonns Systme d'exploitation Windows XP Professionnel (Service Pack 3) Windows 2003 Serveur Standard Edition (Service Pack 2 minimum obligatoire) Windows Vista Windows 2003 Ser- veur Standard Edition (Service Pack 2 mini- mum obligatoire) Navigateur Internet Mozilla FireFox 2.0 Internet Explorer version 7.0 - Incompatibilits connues : Les fonctions de contrleur de domaine, de serveur Web et de serveur FTP livres avec le systme dexploitation ne doivent pas tre installes. 3.2.4 Personnalisation de Windows (suppression de services et de fichiers) compter de la version R5.1.1, les services Telephony et Remote Access Connection manager ne sont requis que pour la connexion PPP. Pour des raisons de scurit, il faut dsactiver le service Remote Access Connection manager lorsque la connexion PPP n'est pas utilise. La dsactivation du service Remote Access Connection manager arrte le service NMC Comserver. Pour vous assurer que le service NMC Comserver est arrt, modifiez le fichier NMComserver.log. L'indication No modem indique que le service NMC Comserver est arrt. Pendant l'accs la configuration PCX, le message suivant s'affiche : No URL Scheme specified. La dsactivation du service Server interdit lutilisation des partages Windows. En particulier, ceux situs sous 4760_arc ne seront plus visibles, ce qui empchera l'installation de l'OmniVista 4760 pendant la phase : Launch svShareName. La solution dans ce cas consiste relancer le service Server. Par dfaut, sous Windows, chaque fichier possde un nom long et un nom court (exemple : C:\program file et C:\program~1). Ce comportement de Windows ne doit pas tre modifi. En effet, la suppression des noms de fichier courts empcherait laccs la base de donnes Sybase pendant linstallation et donc empcherait linstallation du serveur OmniVista 4760. Exemple : Chapitre 3 Ocp|cicncni !OnniVisia 4760 !ans un cntircnncncni Win!cus sccurisc 3-2 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic Sybase est install sous C:\program files\Sybase\SQL Anywhere 9. - Si les noms courts sont autoriss, l'OmniVista 4760 peut accder C:\progra~1\SQLany~1\win32\dbisql. - Dans le cas contraire, l'OmniVista 4760 tente d'utiliser C:\program files\Sybase\SQL Anywhere 9\win32\dbisql, ce qui gnre une erreur dans le fichier _4760_log_Setup\batch\dbsiql.log. Procdure pour activer la cration des noms courts : 1. Cliquer sur Dmarrer puis Excuter, puis saisir regedit et valider. 2. Dans le registre Windows, localisez la cl suivante HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem. 3. Modifiez la valeur DWORD de la faon suivante : NtfsDisable8dot3NameCreation = 0. 3.2.5 mulation Windows : VM-Ware, MS Virtual Server 2005 VM-Ware et MS Virtual Server permettent de dmarrer des machines virtuelles. Ainsi, plusieurs systmes d'exploitation peuvent s'excuter simultanment sur un seul serveur physique. Le serveur OmniVista 4760 est compatible avec la plate-forme Vmware partir de la version R5.1.1. Cependant, MS Virtual Server n'est toujours pas pris en charge, en particulier dans un environnement de production : il n'existe pas de tests de performance, ni de validation. Dans le cadre de l'OmniVista 4760, de tels outils ne pourront tre mis en uvre que pour des tests d'interface ou pour des captures dcran destines la documentation. 3.2.6 Services constructeur Les fabricants de PC fournissent des outils permettant d'administrer une base de PC installe. Ces outils peuvent utiliser des services ou des fichiers dll incompatibles dj prsents dans l'application OmniVista 4760. - Exemple de problmes connus : Les serveurs de la gamme Compaq/HP sont livrs avec les services Compaq/Agent Foundation. Ces services sappuient sur le service Windows SNMP. Si ce service SNMP est dmarr, linstallation choue. Les serveurs DELL sont livrs avec le service DELL open management qui sappuie sur une ancienne version du fichier dll de notification, JTC1012.dll. Lorsque cette DLL est charge avant celle de l'OmniVista 4760, les notifications ne sont plus prises en compte : dsinstallez l'utilitaire et vrifiez le chemin de Windows. 3.2.7 Carte mre Le serveur OmniVista 4760 doit pouvoir arrter, dsinstaller et rinstaller ses propres services NMC. Sur certains PC, le mode darrt et de redmarrage des services peut tre modifi. Cette modification empche le redmarrage du serveur OmniVista 4760. - Exemple de dysfonctionnement : arrt du PC - correction : Un arrt Windows envoie un signal vers les services pour leur demander de s'arrter. Si ce signal ne peut pas tre mis/intercept temps, le PC risque de redmarrer avec un tat transitoire: service en cours de suppression. Il faudra un second arrt du PC pour Ocp|cicncni !OnniVisia 4760 !ans un cntircnncncni Win!cus sccurisc 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 3-3 rellement supprimer ces services. Le problme apparat sur un PC Intel (fourni par PERTEC) lorsqu'il est quip de carte mre S815EBM1. Cette carte mre quipe les PC avec la rfrence : NEXPCS815E, NEX1120C. Arrter le service NMC service manager avant l'arrt du PC : Ecrire un script Stop.bat contenant la ligne net stop NMC Service Manager Forcer Windows excuter le script l'arrt du PC : Ouvrir le composant Stratgie de groupe en lanant C:\WINNT\SYSTEM32\gpedit.msc Slectionner Configuration ordinateur -> Paramtre Windows -> Scripts (dmarrage/arrt) -> Arrter le systme. Ajouter le fichier Stop.bat. 3.3 Compatibilit et utilisation des services Windows 3.3.1 Au cours de linstallation / mise jour - Installation du serveur OmniVista 4760 : Le tableau ci-aprs rpertorie les services Windows devant tre dmarrs pendant linstallation du serveur OmniVista 4760. tableau 3.2 : Services Windows requis pour l'installation de l'OmniVista 4760 Nom affich Nom Image Commentaires Protected Storage ProtectedStorage Lsass.exe Remote procedure call RPCSS SvcHost.exe Security account ma- nager sasms Lsass.exe Network Connections Network Connections SvcHost.exe Windows Firewall/In- ternet Connection Sharing (ICS) SharedAccess SvcHost.exe NetBIOS over TCP/IP driver (Direct hosted SMB traffic mode) Netbt.sys Ncessaire en cas dutilisation de par- tages rseau. NetBIOS over TCP/IP driver (NBT mode) Netbt.sys Ncessaire en cas dutilisation de par- tages rseau. TCP/IP NetBIOS hel- per LmHosts SvcHost.exe Ncessaire en cas dutilisation de Net- BIOS over TCP/IP DNS client DnsCache SvcHost.exe Obligatoire pendant linstallation du ser- veur OmniVista 4760, ce service pourra tre dsactiv aprs linstallation. Chapitre 3 Ocp|cicncni !OnniVisia 4760 !ans un cntircnncncni Win!cus sccurisc 3-4 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic Serveur LanmanServer SvcHost.exe Le tableau ci-aprs rpertorie les services Windows devant tre arrts pendant linstallation du serveur OmniVista 4760. tableau 3.3 : Services Windows arrter pour l'installation du serveur OmniVista 4760 Nom affich Nom Image Commentaires Application Layer Ga- teway Service Agl Agl.exe Il faut dsactiver le service AGL pendant linstallation de l'Omni- Vista 4760. - Installation du client v : Le tableau ci-aprs rpertorie les services Windows devant tre arrts pendant linstallation du client OmniVista 4760. tableau 3.4 : Services Windows arrter pour l'installation du client OmniVista 4760 Nom affich Nom Image Commentaires Application Layer Ga- teway Service Agl Agl.exe Il faut dsactiver le service AGL pendant linstallation de l'Omni- Vista 4760. 3.3.2 En cours de fonctionnement - Serveur Alcatel-Lucent Le tableau ci-aprs rpertorie les services devant tre dmarrs pour un fonctionnement normal du serveur v. Nom affich Nom Nom de limage Commentaires Protected Sto- rage ProtectedStorage Lsass.exe Remote proce- dure call RPCSS SvcHost.exe Security account manager sasms Lsass.exe Network Connec- tions Network Connec- tions SvcHost.exe Windows Fire- wall/Internet Connection Sha- ring (ICS) SharedAccess SvcHost.exe Remote Access Connection Ma- nager RasMan SvcHosts.exe Remote Adminis- tration Service srvcsurg srvcsurg.exe Telephony TapiSrv SvcHosts.exe Ocp|cicncni !OnniVisia 4760 !ans un cntircnncncni Win!cus sccurisc 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 3-5 Nom affich Nom Nom de limage Commentaires Plug And Play PlugPlay Services.exe IPSec Services PolicyAgent Lsass.exe Ncessaire lorsque le protocole IP- Sec est utilis pour: Accder au serveur OmniVista 4760 depuis un client distant OmniVista 4760. Utilisez le logiciel OMC sur un client distant OmniVista 4760 pour accder au rpertoire LDAP partir d'une application ex- terne : 4059, duplication LDAP, OXE-Phonebook, etc. Routing and Re- mote Access RemoteAccess SvcHosts.exe Englobe des fonctionnalits de pare- feu et nest pas compatible avec le pare-feu de Windows. Dans ce cas, vous devez arrter le pare-feu de Windows et le service ICS de par- tage de connexion Internet. Service ncessaire pour la remonte dalarmes urgentes dOmniPCX Of- fice en connectivit PPP unique- ment. NetBIOS over TCP/IP driver (Direct hosted SMB traffic mode) Netbt.sys Ncessaire pour lutilisation de res- sources rseau partages. TCP/IP NetBIOS helper LmHosts SvcHost.exe Net Logon NetLogon Lsass.exe Ncessaire en cas de partages r- seau pour : Accder des ressources r- seau depuis le serveur OmniVis- ta 4760 Accder aux annuaires du ser- veur 4760 Configurer OmniPCX Office (utilisation du logiciel OMC sur le serveur OmniVista 4760 ou sur des clients distants) Serveur LanmanServer SvcHost.exe Ncessaire en cas dutilisation de partages rseau pour : Accder aux annuaires du ser- veur 4760 Configurer OmniPCX Office (utilisation du logiciel OMC sur le serveur OmniVista 4760 ou sur des clients distants) Chapitre 3 Ocp|cicncni !OnniVisia 4760 !ans un cntircnncncni Win!cus sccurisc 3-6 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic Nom affich Nom Nom de limage Commentaires Workstation ser- vice LanmanWorsta- tion SvcHost.exe Ncessaire en cas dutilisation de partages rseau pour : Accder des ressources r- seau depuis le serveur OmniVis- ta 4760 Accder aux annuaires du ser- veur 4760 Configurer OmniPCX Office (utilisation du logiciel OMC sur le serveur OmniVista 4760 ou sur des clients distants) Print Spooler Spooler Spoolsv.exe Ncessaire pour imprimer dans les cas suivants : Utilisation de limprimante r- seau depuis le serveur OmniVis- ta 4760 Impression de rapports Apache Apache httpd.exe NMC Alarm Ser- ver NMC Alarm Ser- ver FaultMana- ger.exe Serveur d'audit NMC Serveur d'audit NMC AuditServer.exe NMC Communi- cation Server NMC Communi- cation Server ComServer.exe NMC CMISE Ser- ver NMC CMISE Ser- ver cmisd.exe NMC Execu- tables Launcher NMC Execu- tables Launcher execdEx.exe NMC Extractor NMC Extractor extractor.exe NMC GCS NMC GCS GCSAdmin.exe Administration Server Administration Server NMC GCS Config Server NMC GCS Config Server GCSConfig.exe NMC License Server NMC License Server LicenseSer- ver.exe NMC Loader NMC Loader loader.exe NMC Save Res- tore NMC Save Res- tore save_restore.exe NMC Scheduler NMC Scheduler scheduler.exe NMC Security Server NMC Security Server securityser- ver.exe NMC PBX/Ldap Synchronization NMC PBX/Ldap Synchronization SyncL- dapPbx.exe Ocp|cicncni !OnniVisia 4760 !ans un cntircnncncni Win!cus sccurisc 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 3-7 Nom affich Nom Nom de limage Commentaires NMC Service Ma- nager NMC Service Ma- nager svc_mgr.exe NMC50 Data- Base NMC50 Data- Base dbsrv9.exe Orbacus Notify Service Orbacus Notify Service ns_service.exe SunOne Adminis- tration Server 5.2 SunOne Adminis- tration Server 5.2 ns-httpd.exe SunOne Directory Server 5.2 SunOne Directory Server 5.2 ns-slapd.exe ACAPI alarm ser- ver AcapiAlarmsSer- ver Plugger.exe Serveur ACAPI CMISE AcapiCmisd Cmisd.exe Serveur ACAPI CMISE Acapi communi- cation server AcapiComServer ComServer.exe Acapi GCS admi- nistration server AcapiGCSAdmin GCSAdmin.exe Acapi GCS administration server Acapi GCS conf server AcapiGCSConfig GCSAdmin.exe Acapi GCS LDAP server AcapiLDAPsSer- ver slapd.exe Acapi OpenLDAP Server ACAPI notifica- tion proxy AcapiNotification- Proxy Notification- Proxy.exe ACAPI rescue AcapiRescue rescue.exe ACAPI Service Manager AcapiSvcMgr svc_mgr.exe ACAPI Service Manager Alcatel Backup Service Alcatel Backup Service backup.exe Sauvegarde Alcatel DataAc- cess Service Alcatel DataAc- cess Service da- ta_access_servic e.exe fournit des donnes sur les utilisa- teurs et les applications Alcatel Database Server Alcatel Database Server dbsrv10.exe Alcatel Device Management Core Alcatel Device Management Core de- vice_managemen t_core.exe Alcatel Events Server Alcatel Events Server events_server.ex e Permet aux services d'envoyer des vnements et aux applications ou services d'ouvrir des abonnements pour recevoir ces vnements. Alcatel FLEXlm Service Alcatel FLEXlm Service Lmgrd.exe Chapitre 3 Ocp|cicncni !OnniVisia 4760 !ans un cntircnncncni Win!cus sccurisc 3-8 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic Nom affich Nom Nom de limage Commentaires Alcatel Logs Ro- tate Service Alcatel Logs Ro- tate Service alc_logs_rotate.e xe Fournit la rotation de journaux Alcatel OpenL- DAP-DB-Recover Alcatel OpenL- DAP-DB-Recover DBRecoverNT- Service.exe Alcatel OpenL- DAP-slapd Alcatel OpenL- DAP-slapd slapd.exe Alcatel PBX Ma- nagement Ser- vice Alcatel PBX Ma- nagement Ser- vice pcx_management _service.exe gre la configuration des abonns d'un rseau pbx Alcatel Supervi- sion Agent Alcatel Supervi- sion Agent supervi- sion_agent.exe Fournit un agent de supervision Alcatel Supervi- sion Client Alcatel Supervi- sion Client supervi- sion_client.exe Fournit un client de supervision Alcatel Unified Management Fra- mework Core Alcatel Unified Management Fra- mework Core uni- fied_managemen t_framework_cor e.exe Fournit un noyau d'infrastructure de gestion unifie Alcatel Universal Directory Access Service Alcatel Universal Directory Access Service univer- sal_directory_acc ess_service.exe Fournit un accs unifi aux rper- toires d'entreprise Apache 2.2.11 Apache 2.2.11 httpd.exe Apache/2.2.11 (Win32) mod_jk/1.2.25 mod_ssl/2.2.6 OpenSSL/0.9.7l Le tableau ci-aprs rpertorie les services devant tre arrts pendant le fonctionnement du serveur OmniVista 4760. tableau 3.6 : Services Windows arrter pour le fonctionnement du serveur OmniVista 4760 Nom affich Nom Nom de limage Commentaires Application Layer Ga- teway Service Agl Agl.exe Il faut dsactiver AGL. Cependant en cas de dysfonctionnement avec le pare-feu Win- dows, ICS (Internet Connection Sharing) ou un logiciel externe (tel quun logiciel anti virus ou tout logiciel incorporant des trans- ferts automatiques via FTP), il peut tre n- cessaire de dmarrer ALG. 3.4 Outils de scurit 3.4.1 Compatibilit avec les logiciels antivirus Ocp|cicncni !OnniVisia 4760 !ans un cntircnncncni Win!cus sccurisc 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 3-9 - Compatibilits : Les applications OmniVista 4760 (serveur et client) fonctionnent correctement en prsence dun systme antivirus MacAfee et Norton. - Autres logiciels antivirus : Tout autre systme antivirus peut tre dploy sur un PC hbergeant un serveur ou un client OmniVista 4760. En cas dincompatibilit dtecte, il est recommand de contacter le support OmniVista 4760. a. Cas de ralentissement du lancement client : Lantivirus est configur pour analyser les fichiers compresss et/ou dextension .jar. Dans ce cas, le premier lancement du client OmniVista 4760 est ralenti de 2 3 minutes. Sous McAfee, l'option d'extension de fichiers *.jar ou l'analyse interne des fichiers archive est active. Fonction Wormstopper: Lorsque lantivirus intgre la fonction Wormstopper, les e-mails de notification des alarmes sont bloqus. En effet, la plupart des nouveaux virus se propageant par courrier lectronique. WormStopper arrte les nouveaux virus diffuss par publipostage en dtectant l'activit. La fonction WormStopper : Dtecte l'envoi d'e-mails plus de 40 destinataires Dtecte l'envoi de plus de 5 e-mails en moins de 30 secondes Vrifie le contenu des e-mails rptitifs Vrifie les noms des binaires qui tentent d'envoyer des e-mails Lantivirus doit tre reconfigur pour permettre l'OmniVista 4760 d'mettre une alerte e-mail. L'OmniVista 4760 attend au minimum 3 secondes entre l'envoi de 2 e-mails. Si d'autres alertes surviennent, ce dlai est augment. La version 8 de MacAfee intgre cette fonction Wormstopper (Menu Advance ActiveShield setting). Il est recommand de dfinir sur 15 secondes le dlai d'autorisation d'envoi de 5 e-mails successifs. Si les binaires sont contrls pour ajouter le programme responsable de l'envoi d'e-mails : Sur le serveur, au niveau de l'option antivirus, ajoutez Javaw.exe, Extractor.exe, Faultmanager.exe. Sur le client, au niveau de l'option antivirus, ajoutez Javaw.exe. Configurer l'antivirus, l'option antispam et l'option wormstopper pour : activer le protocole de messagerie (smtp port 25) ; permettre aux binaires OmniVista 4760 (javaw.exe) d'utiliser le protocole de messagerie ; augmenter le nombre d'e-mails autoriss (par exemple, la fonction wormstopper peut limiter le nombre d'e-mails provenant d'un PC six par minute). 3.4.2 Compatibilit avec le pare-Feu Windows - Compatibilits et configuration : Le serveur et le client OmniVista 4760 sont compatibles avec le pare-feu de Windows XP SP3, Windows 2003 SP2 et Vista. Pendant linstallation ou la mise jour du serveur et du client OmniVista 4760, il est recommand daccepter la configuration du pare-feu de Windows dans le programme dinstallation. Cette configuration automatique sapplique uniquement au pare-feu Windows (sous Windows XP SP3 , Windows 2003 SP2 ou Vista). Chapitre 3 Ocp|cicncni !OnniVisia 4760 !ans un cntircnncncni Win!cus sccurisc 3-10 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic - Autres pare-feu : Pour tous les autres pare-feux, vous devez procder une configuration manuelle. Le pare-feu doit vous laisser pntrer par les ports IP ncessaires l'OmniVista 4760 sans dlai. Dans le cas de pare-feu mmoire dtat (statefull), il doit pouvoir grer une multi-connexion dun client vers un port prcis du serveur. Ct serveur OmniVista 4760 : Le tableau ci-aprs rpertorie les programmes dont il faut autoriser lexcution : tableau 3.7 : Programmes autoriser sur le serveur OmniVista 4760 Programme autoriser Emplacement par dfaut du programme Commentaires dbeng10.exe Sybase\SQL Anywhere 10\win32 dbisqlg.exe Sybase\SQL Anywhere 9\win32 scjview.exe Program- Files\SQLAnywhere10 \SybaseCentral5.0.0\win32 slapd.exe Netscape\server5\bin\slapd\ server\ httpd.exe 4760\Apache2\bin\ omc.exe Program Files\PCXTools\OMC\ Uniquement en cas de gestion dOmniPCX Office dbisql.exe Sybase\SQL Anywhere 9\win32\ iexplore.exe Internet Explorer\ Pour lutilisation dInternet Ex- plorer sinon autoriser le pro- gramme Firefox javaw.exe Program Files\Java\jre1.6.0.11\bin\ FaultManager.exe 4760\bin\ ComServer.exe 4760\bin\ cmisd.exe 4760\bin\ execdEx.exe 4760\bin\ extractor.exe 4760\bin\ GCSAdmin.exe 4760\bin\ GCSConfig.exe 4760\bin\ LicenseServer.exe 4760\bin\ loader.exe 4760\bin\ save_restore.exe 4760\bin\ scheduler.exe 4760\bin\ securityserver.exe 4760\bin\ SyncLdapPbx.exe 4760\bin\ Ocp|cicncni !OnniVisia 4760 !ans un cntircnncncni Win!cus sccurisc 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 3-11 svc_mgr.exe 4760\bin\ dbsrv9.exe Sybase\SQL Anywhere 9\Win32 ns_service.exe 4760\bin\ javaw.exe Alcatel-Lucent\Java_Develop- ment_Kit\bin Plugger.exe Alcatel-Lucent\Acapi\bin\ Cmisd.exe Alcatel-Lucent\Acapi\bin\ ComServer.exe Alcatel-Lucent\Acapi\bin\ GCSAdmin.exe Alcatel-Lucent\Acapi\bin\ GCSConfig.exe Alcatel-Lucent\Acapi\bin\ slapd.exe Alcatel-Lucent\Acapi\bin\ NotificationProxy.exe Alcatel-Lucent\Acapi\bin\ rescue.exe Alcatel-Lucent\Acapi\bin\ svc_mgr.exe Alcatel-Lucent\Acapi\bin\ backup.exe Alcatel-Lucent\Backup\ data_access_service.exe Alcatel-Lucent\DataAccess\ dbsrv10.exe Programmes\SQL Anywhere 10\win32\ de- vice_management_core.exe Alcatel-Lucent\ De- vice_Management_Core\ events_server.exe Alcatel-Lucent\Events_Server\ Lmgrd.exe Alcatel-Lucent\FlexLM\ alc_logs_rotate.exe Alcatel- Lucent\alc_logs_rotate\ DBRecoverNTService.exe Alcatel-Lucent\Ldap\ DBReco- verNTService\ slapd.exe Alcatel-Lucent\Ldap\ pcx_management_service.ex e Alcatel-Lucent\Pms\ supervision_agent.exe Alcatel-Lucent\Supervision_ Agent\ supervision_client.exe Alcatel-Lucent\Supervision_ Client\ unified_management_ frame- work_core.exe Alcatel-Lucent\Unified_ Mana- gement_Framework_ Core\ universal_directory_ ac- cess_service.exe Alcatel-Lucent\Udas\ httpd.exe Alcatel-Lucent\Apache\bin\ AuditServer.exe 4760\bin\ Le tableau ci-aprs rpertorie les ports devant tre ouverts pour un fonctionnement correct du serveur OmniVista 4760. Chapitre 3 Ocp|cicncni !OnniVisia 4760 !ans un cntircnncncni Win!cus sccurisc 3-12 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic tableau 3.8 : Liste des ports ouvrir sur le serveur OmniVista 4760 Usage Port : Protocole IPSec 500 UDP Client OmniVista 4760 30500 30509 TCP Ct client OmniVista 4760 : Le tableau ci-aprs rpertorie les programmes dont il faut autoriser lexcution : tableau 3.9 : Programmes autoriser sur le client OmniVista 4760 Programme autoriser Emplacement par dfaut du programme Commentaires omc.exe Program Files\PCXTools\OMC\ Uniquement en cas de gestion dOmniPCX Office iexplore.exe Internet Explorer\ Pour lutilisation dInternet Ex- plorer sinon autoriser le pro- gramme Firefox javaw.exe Program Files\Java\ jre1.6.0.11\bin\ Le tableau ci-aprs rpertorie les ports devant tre ouverts pour un fonctionnement correct du client OmniVista 4760. tableau 3.10 : Liste des ports ouvrir sur le client OmniVista 4760 Usage Protocole Port : Client OmniVista 4760 30500 30509 TCP 3.4.3 Compatibilit avec un proxy Le proxy web peut tre utilis quand le client : - ouvre la page Web daccueil du serveur OmniVista 4760 ; - consulte lannuaire via linterface Web. Dans ces deux cas, le port 80 est utilis par le client. En revanche, si le client OmniVista 4760 est lanc via un navigateur Web : - lensemble des ports IP du serveur client sera utilis ; - lutilisation du proxy par lapplet OmniVista 4760 doit tre dsactive. Sur le PC client : - Ouvrir le Panneau de configuration (sous XP, prciser l'affichage classique). - Slectionner licne Java Plug-in et, sous longlet Proxies, dcocher l'option Utiliser les paramtres du navigateur. 3.4.4 Renforcement de la scurit avec SynAttackProtect Windows inclut une protection contre les saturations de requtes SYN lorsquune attaque est dtecte. Cette protection est paramtrable laide de la valeur SynAttackProtect situ sous la Ocp|cicncni !OnniVisia 4760 !ans un cntircnncncni Win!cus sccurisc 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 3-13 clef de registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters. Par dfaut, sous Windows 2003 SP1, cette protection est active (SynAttackProtect=1) . Il est possible de renforcer le niveau de scurit en passant cette valeur 2 ; cependant, il est recommand de conserver la valeur par dfaut pour une meilleure stabilit du systme. 3.4.5 Renforcement de la scurit avec DEP La prvention de lexcution des donnes ou DEP (Data Execution Prevention) vise empcher lexcution de code inject dans une zone mmoire (stack ou heap). Cette technologie est base sur les rcentes volutions des processeurs Intel et AMD ; elle peut cependant fournir un certain niveau de protection sur les processeurs plus anciens. Cette technologie est active par dfaut sur Windows 2003 SP2 et Windows XP SP3. DEP arrte les applications qui tentent dexcuter du code localis dans une page mmoire. L'OmniVista 4760 fonctionne lorsque la technologie DEP est active. Si un composant intgr ou utilis par le serveur OmniVista 4760 est bloqu par le systme DEP, contacter le support technique d'Alcatel-Lucent. 3.5 Compatibilit avec les applications externes 3.5.1 tude de compatibilit Alcatel-Lucent ne prend pas en charge l'excution d'applications externes installes sur le systme hbergeant l'OmniVista 4760. - Avant de dployer un serveur OmniVista 4760 et dautres applications sur un mme PC ou serveur, il est fortement recommand deffectuer une tude de compatibilit pour vrifier, en particulier : - le serveur OmniVista 4760 et les services utiliss par les applications externes ; - la compatibilit en termes de performances ; - la compatibilit en termes dutilisation de lespace disque ; - la compatibilit des fichiers dll ; - la compatibilit de la version active de Java Run Time pour les applications Java ; - la compatibilit des ports et des services IP utiliss. En cas dincompatibilit de l'OmniVista 4760 avec une application externe, appeler l'assistance tlphonique. Les remarques dincompatibilit mises, seront prises en compte pour renseigner ce document, et tudier une possibilit de contournement ou de compatibilit dans une version future. Pour une question particulire sur la compatibilit, contactez les services professionnels d'Alcatel-Lucent l'adresse professional.services@alcatel-lucent.fr. - Recommandations : Il est recommand dinstaller lapplication du serveur OmniVista 4760 aprs toute autre application. En cas de dsinstallation dune application, il ne faut surtout pas confirmer la suppression des fichiers dll, car ceux-ci sont peut-tre ncessaires au serveur OmniVista 4760. Chapitre 3 Ocp|cicncni !OnniVisia 4760 !ans un cntircnncncni Win!cus sccurisc 3-14 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 3.5.2 Compatibilit en termes de performances Les applications externes qui cohabitent avec le serveur OmniVista 4760 : - ne doivent pas tre du type application serveur (serveur de messagerie) ; - ne doivent pas tre installes en tant que service. - Une fois lances, s'assurer que les applications externes nutiliseront pas toute la mmoire virtuelle du systme et quune fois fermes, elles libreront bien la mmoire utilise. 3.5.3 Fichiers dll Les fichiers dll utiliss par le serveur OmniVista 4760 ne doivent pas tre mis jour, ni tre remplacs par des versions diffrentes. Incompatibilits connues : - JTC1012.dll fourni sur un serveur DELL. - Fichier dll incompatible avec la version du systme d'exploitation. Lapplication Windows Office Edition pour Windows XP installe sur un PC Windows NT remplace les dll systme par des dll spcifiques Windows XP. Dans ce cas, linstallation du JRE peut chouer. - Erreur grave lors de linstallation du JRE 1.3.1_08: RPC Stub Error 0x80070725. Le site http ://java.com/fr/download/help/rpcstub.jsp propose dutiliser loutil Mcrepair de Microsoft pour restaurer les dll compatibles avec le systme dexploitation Windows. 3.5.4 Java Run Time Tout d'abord, dsactiver la mise jour automatique Java Run time. Dans le Panneau de configuration avec affichage classique, cliquer sur l'icne JRE et dsactiver l'option de mise jour. Si dautres applications java sont utilises sur ce PC : - Elles ne doivent pas rendre inutilisable la variable denvironnement Classpath. En effet, si celle-ci devient trop longue, linstallation choue. Pour vrifier si cette variable est dj initialise, entrer C :\classpath dans une fentre DOS. - Surveiller la version active de Java Run Time (JRE). Exemple de problme connu : Jusqu' la version OmniVista 4760 R2.1, l'application recherchait l'application JRE active livre avec cette version v. Cest pourquoi la version OmniVista 4760 R2.1 ne fonctionne pas si l'application JRE 1.4 est prsente. Pour vrifier la version par dfaut (celle prsente dans le rpertoire WinNT\System32), entrer la commande c:\java version dans une fentre DOS. partir de la version OmniVista 4760 R3.0, lapplication OmniVista 4760 ne prend plus le JRE par dfaut, mais recherche le JRE compatible dans la base de registres et renseigne le chemin d'accs du JRE : - directement dans la base de donnes LDAP pour les services et tches planifis ; - dans le batch de lancement du client OmniVista 4760 : RunNMC.bat.. Ocp|cicncni !OnniVisia 4760 !ans un cntircnncncni Win!cus sccurisc 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 3-15 3.5.5 Ports et Services IP - Ports : Lapplication externe ne doit pas utiliser l'un des ports IP ddis au serveur OmniVista 4760. Reportez-vous module Scurit - Deploying the OmniVista 4760 in a Secure Network Configuration pour connatre la liste des ports IP utiliss par l'application OmniVista 4760. Avant linstallation du serveur OmniVista 4760, vrifier la disponibilit des ports 80 (http WEB), 389 (LDAP) et 636 (LDAPS) : Dans une fentre DOS, entrer la commande c :\netstat n Si ladresse locale propose le port 80, 389 ou 636 en coute/connect (listening/established), cela signifie que le port est utilis. Il faudra alors, lors de linstallation du serveur OmniVista 4760, choisir un port http, LDAP ou LDAPS diffrent des ports dj utiliss. - Services : Le serveur OmniVista 4760 ne doit pas tre install si le service SNMP est dmarr. Arrtez le service SNMP avant la phase d'installation. Le serveur OmniVista 4760 possde un serveur LDAP. N'installez pas un autre serveur LDAP sur le mme port (389 par dfaut). Le serveur OmniVista 4760 hberge les fonctions de serveur WEB (Apache). Ne conservez pas ou n'installez pas un autre serveur WEB sur le mme port (80 par dfaut). Incompatibilits connues : Le systme Windows 2000 Server est livr en standard avec un serveur Web prt l'emploi. Par consquent, avant dinstaller lapplication OmniVista 4760, slectionner : Ajout ou suppression de programmes Ajouter ou supprimer des composant Windows Dsinstaller le composant Internet Information Server (I.I.S.) Windows 2000 / 2003 Server install en tant que contrleur de domaine comporte un serveur LDAP : Active Directory. Sur ce type de serveur, il nest pas autoris dinstaller le serveur OmniVista 4760. Linstallation du serveur OmniVista 4760 peut chouer avec le message Sun.log : port dj utilis . Dans ce cas, reprendre linstallation et entrer LDAP port= 390. 3.5.6 Compatibilit avec les outils de sauvegarde PC Lapplication du serveur OmniVista 4760 est toujours en tat actif. Par consquent, lutilisation dun outil de sauvegarde de disques pour sauvegarder lintgralit du disque peut chouer. En revanche, ce type doutil peut tre utilis pour rcuprer les sauvegardes effectues par le serveur OmniVista 4760. Incompatibilits connues : Lapplication de sauvegarde de PC distance, OpenSave, nest pas compatible avec lapplication Sun One Directory Server (utilise par le serveur OmniVista 4760). 3.5.7 Compatibilit avec les outils de connexion distance 3.5.7.1 Outil VPN Chapitre 3 Ocp|cicncni !OnniVisia 4760 !ans un cntircnncncni Win!cus sccurisc 3-16 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic Incompatibilits connues : Certains clients VPN utilisent des outils tels que le service SafeNet dans le programme NetScreenRemote. Ce programme empche linstallation dun serveur Sun One Directory Server et donc du serveur OmniVista 4760. 3.5.7.2 Terminal server, connexion de bureaux distants Les services Terminal Server, ou services de connexion de bureaux distants, (outil Microsoft) permettent de crer une session Windows sur un serveur ou un PC distant en ne ramenant sur son propre PC que linterface clavier-souris-affichage cran. La session Windows ne s'affiche pas sur l'ordinateur distant. Ces programmes peuvent tre utiliss des fins de maintenance, cependant : - Ils ne sont pas compatibles avec laccs la base de donnes Sybase. - Ils centralisent les ressources ncessaires au client sur la mme machine serveur. Incompatibilits connues : Linstallation du serveur OmniVista 4760 via les services Terminal Server, ou la connexion de bureaux distants choue. *LOG* ERROR: C:\PROGRA~1\Sybase\SQL Anywhere 9\win32\dbisqlc.exe Failed! For details, see log file dbisqlc.log *LOG* AskYesNo question : Error occurred! Souhaitez-vous tout de mme continuer ? Ne pas dpasser 1 client terminal serveur ou Connexion bureau distance. 3.5.7.3 PC Anywhere, IRC de Peregrine , NetOP de DanWare - Ces programmes permettent de prendre le contrle dune session Windows en cours sur un serveur ou un PC distant. Sur le PC local et la machine distante, la mme session Windows est visualise. Ces programmes doivent prendre en charge la prsentation java. - Incompatibilits connues : Avec PC Anywhere, laffichage java peut tre mal interprt, il peut tre ncessaire de rafrachir lcran pour chaque clic de souris. Avec PC Anywhere version 10.5 et suprieure, lorsque le service PCAnywhere-Host est lanc, le client OmniVista 4760 ne dmarre plus. Le problme est rsolu partir de la version 11.0 de PC Anywhere. 3.5.8 Compatibilits avec d'autres applications AlcatelLucent 3.5.8.1 Alcatel 47xx Les applications Alcatel 4715, 4730 et 4740 ne sont pas compatibles avec lapplication du serveur OmniVista 4760. 3.5.8.2 OmniVista 4760i (e-config) La version du Run Time Java, JRE, peut tre incompatible. Si les applications client OmniVista 4760 et client OmniVista 4760-i doivent cohabiter, installer les clients en tant quapplications et non en tant qu'applets Web. Ocp|cicncni !OnniVisia 4760 !ans un cntircnncncni Win!cus sccurisc 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 3-17 Incompatibilit connue : La version OmniVista 4760-i pour OmniPCX Enterprise R5.1.2 utilise le JRE 1.3.1_08. Lorsque le JRE 1.4 est prsent, lapplication se lance, mais lutilisation des listes droulantes ne fonctionne pas. Pour rsoudre ce problme : Modifier les fichiers .bat prsents dans le rpertoire 4760i\lib\ext et remplacer javaw.exe par son chemin daccs au format DOS : C:\progra~1\javasoft\JRE138DB~1.1_0\bin\javaw.exe () 3.5.8.3 Consoles AlcatelLucent 4059 et 4980 Les tests nont pas t effectus. Cependant, les besoins des 2 applications sont trs diffrents. Il nest toutefois pas recommand de faire cohabiter une application client temps rel et serveur de base de donnes. 3.5.8.4 CCD, CCS, CCAgent Le centre d'appels possde ses propres critres de compatibilit. La version java, en particulier, peut tre diffrente entre le client/serveur OmniVista 4760 et CCA. Dans leur fonctionnement actuel, les applications CCx sont incompatibles. Pour certains projets, une tude de compatibilit peut tre faite auprs de nos services professionnels, sous rserve de certaines conditions d'utilisation, l'adresse professional.services@alcatel-lucent.fr. 3.6 Gestion de comptes Windows utiliss par le serveur OmniVista 4760 3.6.1 Compte pour installation 3.6.1.1 Installation/dsinstallation du serveur OmniVista 4760 Le serveur OmniVista 4760 doit tre install et dsinstall l'aide d'un compte d'administrateur local Windows. 3.6.1.2 Installation dun client OmniVista 4760 distant Le client OmniVista 4760 doit tre install et dsinstall l'aide d'un compte d'administrateur local Windows. 3.6.2 Compte utiliser pour le lancement dun client OmniVista 4760 Louverture dun client OmniVista 4760 distant doit seffectuer partir dun compte Windows bnficiant de droits dcriture dans le rpertoire Client4760\Lib\ext. 3.6.3 Oprations de maintenance avec ressources rseau Le serveur OmniVista 4760 peut utiliser des ressources rseau pour les oprations de maintenance : Chapitre 3 Ocp|cicncni !OnniVisia 4760 !ans un cntircnncncni Win!cus sccurisc 3-18 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic - Sauvegarde/restauration des donnes OmniVista 4760 - Sauvegarde/ restauration des PCXs - Mise jour logiciel PCX - Copie temporaire des donnes (au cours des oprations de dfragmentation de bases de donnes, par exemple). Il est notamment recommand deffectuer les sauvegardes des donnes OmniVista 4760 sur un disque rseau pour disposer dune sauvegarde en cas d'arrt du PC hbergeant le serveur OmniVista 4760. Procdure : Ce mode de sauvegarde requiert lutilisation de comptes Windows : - Un compte bnficiant de droits d' administrateur local pour le service NMC SaveRestore, valide sur le serveur OmniVista 4760 et ayant le droit de placer des fichiers sur la machine distante. - Un compte pour le service NMC Executables Launcher, valide sur le serveur OmniVista 4760, avec accs aux rpertoires de la machine distante utiliss pour les oprations de maintenance. Attention : Veiller ne pas utiliser pour la sauvegarde sur machine distante, un rpertoire susceptible de contenir dautres donnes de sauvegarde. Ces donnes risqueraient dtre dtruites par le pro- cessus de purge automatique des sauvegardes qui supprime les fichiers antrieurs une date donne. 3.6.3.1 Cration de comptes et attribution des droits - Cration dun compte disposant de droits d'administrateur local sur l'ordinateur serveur (pour le service NMC SaveRestore) : Ouvrir loutil de gestion de l'ordinateur (Panneau de configuration/Outil dadministration). Dans la rubrique Utilisateurs et groupes locaux , slectionner le rpertoire Utilisateurs et crer un nouvel utilisateur : Nom : ADM4760 (par exemple) Mot de passe Lutilisateur ne peut pas changer de mot de passe Le mot de passe nexpire jamais. Modifiez les proprits de l'utilisateur ADM4760 : ajoutez-le dans la liste des membres du groupe Administrateurs et retirez-le de la liste des membres du groupe Utilisateurs . - Cration dun compte local sur l'ordinateur serveur OmniVista 4760 (pour le service NMC Executables Launcher) : Ouvrir loutil de gestion de l'ordinateur (Panneau de configuration/Outil dadministration). Dans la rubrique Utilisateurs et groupes locaux , slectionner le rpertoire Utilisateurs et crer un nouvel utilisateur : Nom : UTIL4760 (par exemple) Mot de passe Ocp|cicncni !OnniVisia 4760 !ans un cntircnncncni Win!cus sccurisc 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 3-19 Lutilisateur ne peut pas changer de mot de passe Le mot de passe nexpire jamais. Modifiez les proprits de l'utilisateur UTIL4760 : retirez-le de la liste des membres du groupe Utilisateurs . - Attribution des droits d'utilisateur Ouvrir loutil Stratgie de scurit locale (Panneau de Configuration/Outil dadministration). Dans la rubrique Stratgies locales , slectionner Attribution des droits utilisateur . Ajouter les droits suivants aux utilisateurs crs prcdemment (ADM4760 et UTIL4760) : "Accder cet ordinateur depuis le rseau" "Ouvrir une session en tant que service "Interdire l'ouverture d'une session locale 3.6.3.2 Configuration des services OmniVista 4760 pour l'utilisation des ressources rseau 3.6.3.2.1 Procdure avec utilisation de comptes locaux Cest la procdure recommande pour scuriser au mieux laccs des ressources rseau. Cette procdure peut tre applique quel que soit le domaine Windows ou le groupe de travail du serveur OmniVista 4760 et de la machine distante. Pour des raisons de scurit, il est cependant recommand dutiliser une machine distante situe dans le mme domaine ou groupe de travail que le serveur OmniVista 4760. On suppose que deux comptes (ADM4760 et UTIL4760) ont t crs sur le serveur OmniVista 4760 (en suivant la procdure de cration et dattribution des droits de la section Cration de comptes et attribution des droits ). 1. Crer les deux comptes (ADM4760 et UTIL4760) sur la machine distante : Ouvrir loutil de gestion de l'ordinateur (Panneau de configuration/Outil dadministration). Dans la rubrique Utilisateurs et groupes locaux , slectionner le rpertoire Utilisateurs et crer un nouvel utilisateur : Nom : ADM4760 Mot de passe : identique celui saisi pour lutilisateur ADM4760 sur le serveur OmniVista 4760. Lutilisateur ne peut pas changer de mot de passe Le mot de passe nexpire jamais. Modifiez les proprits de l'utilisateur ADM4760 : retirez-le de la liste des membres du groupe Utilisateurs . Refaire la mme opration pour lutilisateur UTIL4760. 2. Partager un rpertoire sur la machine distante pour les utilisateurs ADM4760 et UTIL4760 : Sur la machine distante, slectionner le rpertoire partager et le partager. Au besoin, modifier le nom de partage. Modifier les proprits de partage et de scurit. Chapitre 3 Ocp|cicncni !OnniVisia 4760 !ans un cntircnncncni Win!cus sccurisc 3-20 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic Nombre dutilisateurs autoriss : # 3 Dans la rubrique Autorisations , slectionner retirer tout le monde et ajouter les utilisateurs ADM4760 et UTIL760 avec des droits Contrle total. Dans la rubrique Mise en cache , slectionner l'option stipulant de ne pas autoriser la mise en cache des fichiers de ce dossier partag. Slectionnez l'onglet Scurit, puis ajoutez les utilisateurs ADM4760 et UTIL4760. Vrifiez les droits suivants : Modification , Affichage du contenu du dossier , Lecture , criture. 3. Sur le PC serveur, lancer une session Windows en tant que ADM4760. 4. Accorder au service NMC SaveRestore le droit dutiliser lutilisateur ADM4760. Pour ce faire : lancer lapplication Annuaire, puis cliquer sur longlet Systme, Au niveau de larborescence, accder au rpertoire NMC/Nom_du_serveur/servers/Nom_du_serveur/SaveRestore. Cliquer sur longlet Compte NT dans le volet de droite. Renseigner les attributs : Utilisateur = .\ADM4760 Mot de passe : mot de passe associ l'utilisateur ADM7460. 5. Accorder au service NMC Executables Launcher le droit dutiliser lutilisateur UTIL4760. Pour ce faire : lancer lapplication Annuaire, puis cliquer sur longlet Systme, Au niveau de larborescence, accder au rpertoire NMC/Nom_du_serveur/servers/Nom_du_serveur/Execdex. Cliquer sur longlet Compte NT dans le volet de droite. Renseigner les attributs : Utilisateur = .\UTIL4760 Mot de passe : mot de passe associ l'utilisateur UTIL4760 6. Lorsque le module Maintenance est lanc, il est alors possible de slectionner un disque rseau pour la sauvegarde. 3.6.3.2.2 Procdure valide dans un domaine Cette procdure pourra tre applique lorsque le client souhaite utiliser des comptes rseau pour les accs rseau du serveur OmniVista 4760. Cette solution prsente des failles de scurit : les comptes rseau (nom dutilisateur et mot de passe) peuvent tre intercepts puis utiliss sur lensemble des machines du rseau. Pour les besoins de cette procdure, nous supposerons que les machines sont installes dans le mme domaine DOMMACHINE et que les utilisateurs sont reconnus dans le domaine DOMUSER. On suppose que deux comptes (ADM4760 et UTIL4760) ont t crs sur le serveur OmniVista 4760 (en suivant la procdure de cration et dattribution des droits de la section Cration de comptes et attribution des droits ). 1. Partager un rpertoire sur la machine distante pour les utilisateurs DOMUSERADM4760 et DOMUSERUTIL4760 : Sur la machine distante, slectionner le rpertoire partager et le partager. Au besoin, modifier le nom de partage. Modifier les proprits de partage et de scurit : Ocp|cicncni !OnniVisia 4760 !ans un cntircnncncni Win!cus sccurisc 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 3-21 Nombre dutilisateurs autoriss : # 3 Dans la rubrique Autorisations , slectionner retirer tout le monde et ajouter les utilisateurs DOMUSERADM4760 et DOMUSERUTIL4760 avec les droits Contrle total. Dans la rubrique Mise en cache , slectionner l'option stipulant de ne pas autoriser la mise en cache des fichiers de ce dossier partag. Slectionnez l'onglet Scurit, puis ajoutez les utilisateurs DOMUSER\ADM4760 et DOMUSER\UTIL4760. Vrifiez les droits suivants : Modification , Affichage du contenu du dossier , Lecture , criture. 2. Sur le PC serveur, lancer une session Windows en tant que DOMUSER\ ADM4760. 3. Accorder au service NMC SaveRestore le droit dutiliser lutilisateur ADM4760. Pour ce faire : Lancer lapplication Annuaire, puis cliquer sur longlet Systme. Au niveau de larborescence, accder au rpertoire NMC/Nom_du_serveur/servers/Nom_du_serveur/SaveRestore. Cliquer sur longlet Compte NT dans le volet de droite. Renseigner les attributs : Utilisateur = DOMUSER\ADM4760 Mot de passe : mot de passe associ l'utilisateur ADM4760 4. Accorder au service NMC Executables Launcher le droit dutiliser lutilisateur UTIL4760. Pour ce faire : lancer lapplication Annuaire, puis cliquer sur longlet Systme, Au niveau de larborescence, accder au rpertoire NMC/Nom_du_serveur/servers/Nom_du_serveur/Execdex. Cliquer sur longlet Compte NT dans le volet de droite Renseigner les attributs : Utilisateur = DOMUSER\UTIL4760 Mot de passe : mot de passe associ l'utilisateur UTIL4760 5. Lorsque le module Maintenance est lanc, il est alors possible de slectionner un disque rseau pour la sauvegarde. 3.6.3.2.3 Procdure valide dans un groupe de travail Pour les besoins de cette procdure, nous supposerons que les machines sont installes dans le mme groupe de travail, WORKGROUP1, et que le PC serveur porte le nom PCSERVEUR. On suppose que deux comptes (ADM4760 et UTIL4760) ont t crs sur le serveur OmniVista 4760 (en suivant la procdure de cration et dattribution des droits de la section Cration de comptes et attribution des droits ). Sur la machine distante, crer les mmes comptes ADM4760 et UTIL4760 avec les mmes mots de passe. 1. Partager un rpertoire sur la machine distante pour les utilisateurs ADM4760 et UTIL4760 : Sur la machine distante, slectionner le rpertoire partager et le partager. Au besoin, modifier le nom de partage. Modifier les proprits de partage et de scurit : Nombre dutilisateurs autoriss : # 3 Chapitre 3 Ocp|cicncni !OnniVisia 4760 !ans un cntircnncncni Win!cus sccurisc 3-22 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic Dans la rubrique Autorisations , slectionner retirer tout le monde et ajouter les utilisateurs ADM4760 et UTIL4760 avec les droits Contrle total. Dans la rubrique Mise en cache , slectionner l'option stipulant de ne pas autoriser la mise en cache des fichiers de ce dossier partag. Slectionnez l'onglet Scurit, puis ajoutez les utilisateurs ADM4760 et UTIL4760. Vrifiez les droits suivants : Modification , Affichage du contenu du dossier , Lecture , criture. 2. Sur le PC serveur, lancer une session Windows en tant que ADM4760. 3. Accorder au service NMC SaveRestore le droit dutiliser cet utilisateur. Pour ce faire : lancer lapplication Annuaire, puis cliquer sur longlet Systme, Au niveau de larborescence, accder au rpertoire NMC/Nom_du_serveur/servers/Nom_du_serveur/SaveRestore. Cliquer sur longlet Compte NT dans le volet de droite. Renseigner les attributs : Utilisateur = PCSERVEUR \ADM4760 Mot de passe : votre mot de passe 4. Accorder au service NMC Executables Launcher le droit dutiliser lutilisateur UTIL4760. Pour ce faire : lancer lapplication Annuaire, puis cliquer sur longlet Systme, Au niveau de larborescence, accder au rpertoire NMC/Nom_du_serveur/servers/Nom_du_serveur/Execdex. Cliquer sur longlet Compte NT dans le volet de droite. Renseigner les attributs : Utilisateur = PCSERVEUR\UTIL4760 Mot de passe : votre mot de passe 5. Lorsque le module Maintenance est lanc, il est alors possible de slectionner un disque rseau pour la sauvegarde. 3.6.4 Planification de lexportation ou de limpression de rapports Le serveur OmniVista 4760 peut utiliser des ressources rseau pour l'exportation et l'impression de rapports planifies. Ces oprations requirent lutilisation dun compte Windows : Un compte pour le service NMC Executables Launcher, valide sur le serveur OmniVista 4760, avec accs aux rpertoires de la machine distante utiliss pour les oprations d'exportation. Procdure 1. Lancer une session Windows en tant qu'administrateur local du PC serveur 2. Cration dun compte local sur l'ordinateur serveur OmniVista 4760 pour le service NMC Executables Launcher : Voir Cration de comptes et attribution des droits 3. Dclaration dune imprimante pour le compte UTIL4760 : Fermer la session administrateur et ouvrir une session avec le compte cr prcdemment (UTIL4760). Dans le menu Dmarrer , slectionner Imprimantes et tlcopieurs Ocp|cicncni !OnniVisia 4760 !ans un cntircnncncni Win!cus sccurisc 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 3-23 Ajouter une imprimante en suivant les instructions de loutil de cration dimprimantes Fermer la session Windows Relancer une session Windows en tant quadministrateur local du PC serveur 4. Attribuer les droits des utilisateurs : Ouvrir loutil de Stratgie de scurit locale (Panneau de Configuration/Outil dadministration). Dans la rubrique Stratgies locales , slectionner Attribution des droits utilisateur . Ajouter les droits suivants lutilisateur cr prcdemment (UTIL4760) : Accder cet ordinateur depuis le rseau Ouvrir une session en tant que service Agir en tant que partie du systme d'exploitation Augmenter les quotas/ajuster les quotas mmoire Remplacer un jeton de niveau processus Interdire l'ouverture d'une session locale 5. Configuration des services OmniVista 4760 pour l'utilisation des ressources rseau : Suivre la procdure dcrite la section Configuration des services OmniVista 4760 pour l'utilisation des ressources rseau pour : Partager un rpertoire sur la machine distante pour le compte UTIL4760 (le compte ADM4760 nest pas utilis pour lexportation et limpression de rapport planifies). Accorder au service NMC Executables Launcher le droit dutiliser lutilisateur UTIL4760. Remarque : trois possibilits de configuration sont prsentes la section Configuration des services OmniVista 4760 pour l'utilisation des ressources rseau . Pour une meilleure scurit, suivre la procdure avec utilisation de comptes locaux. Note : La procdure dcrite ci-dessus ne doit tre applique quen cas de planification dexportations et dimpressions de rapports. En effet, les exportations et impressions directes de rapports dj gnrs (et toute autre impression non planifie) sont ralises en utilisant le contexte de scurit de lutilisateur du client OmniVista 4760 (compte Windows sur lequel a t lanc le client OmniVista 4760). Le service NMC Executables Launcher nintervient pas. 3.6.5 Archivage et restauration des fichiers de taxation Le serveur OmniVista 4760 peut utiliser des ressources rseau pour l'archivage et la restauration des fichiers de taxation. Ces oprations requirent lutilisation dun compte Windows : Un compte pour le service NMC Executables Launcher, valide sur le serveur OmniVista 4760, avec accs aux rpertoires de la machine distante utiliss pour les oprations d'archivage et de restauration. Procdure Pour crer ce compte, suivre la procdure dcrite la section 3.6.4. Remarques : Chapitre 3 Ocp|cicncni !OnniVisia 4760 !ans un cntircnncncni Win!cus sccurisc 3-24 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic - Pour les oprations darchivage et de restauration de fichiers, il nest pas ncessaire dattribuer une imprimante au compte utilis pour accder aux ressources rseau (UTIL4760). - Pour les oprations darchivage et de restauration de fichiers, les droits suivants sont facultatifs pour le compte UTIL4760. Agir en tant que partie du systme d'exploitation Augmenter les quotas/ajuster les quotas mmoire Remplacer un jeton de niveau processus 3.6.6 Collecteur de fichiers de taxation Le serveur OmniVista 4760 pourra utiliser des ressources rseau pour stocker les fichiers de taxation dun OmniPCX Entreprise (fonction de collecte de tickets). Cette opration requiert lutilisation de comptes Windows : - Un compte avec les droits d' administrateur local pour le service NMCSyncLdapPbx, valide sur le serveur OmniVista 4760 et ayant le droit de placer des fichiers sur la machine distante. - Un compte pour le service NMC Executables Launcher, valide sur le serveur OmniVista 4760, avec accs aux rpertoires de la machine distante utiliss pour les oprations de maintenance. Procdure : 1. Lancer une session Windows en tant qu'administrateur local du PC serveur 2. Cration dun compte ayant des droits administrateur local sur le PC serveur OmniVista 4760 (pour le service SyncLdapPbx). Voir Cration de comptes et attribution des droits 3. Cration dun compte local sur le PC serveur OmniVista 4760 pour le service NMC Executables Launcher. Voir Cration de comptes et attribution des droits 4. Attribuer les droits des utilisateurs : Ouvrir loutil Stratgie de scurit locale (Panneau de Configuration/Outil dadministration). Dans la rubrique Stratgies locales , slectionner Attribution des droits utilisateurs . Ajouter les droits suivants aux utilisateurs crs prcdemment (ADM4760 et UTIL4760) : Accder cet ordinateur depuis le rseau Ouvrir une session en tant que service Interdire l'ouverture d'une session locale 5. Configuration des services OmniVista 4760 pour l'utilisation des ressources rseau : Suivre la procdure dcrite la section Configuration des services OmniVista 4760 pour l'utilisation des ressources rseau pour : Partager un rpertoire sur la machine distante pour les comptes ADM4760 et UTIL4760 : Accorder au service SyncLdapPbx le droit dutiliser lutilisateur ADM4760. Accorder au service NMC Executables Launcher le droit dutiliser lutilisateur UTIL4760. Ocp|cicncni !OnniVisia 4760 !ans un cntircnncncni Win!cus sccurisc 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 3-25 Remarque : trois possibilits de configuration sont prsentes la section Configuration des services OmniVista 4760 pour l'utilisation des ressources rseau . Pour une meilleure scurit, suivre la procdure avec utilisation de comptes locaux (paragraphe a.) 6. Configuration du rpertoire de collecte sur le serveur OmniVista 4760 : Dans cette procdure, nous supposerons que la machine distante sur laquelle sera effectue la collecte des fichiers de taxation a pour nom PCdistant et que le rpertoire utilis pour la collecte a pour nom de partage Rpertoire_collecte. Sur l'OmniVista 4760, lancer l'application Annuaire, puis cliquer sur l'onglet Systme. Au niveau de larborescence, accder au rpertoire NMC/Nom_du_serveur/servers/Nom_du_serveur/Collector. Dans le volet de droite, indiquer le chemin du rpertoire de collecte dans lattribut Chemin : //RemotePC/Directory_Collection. 3.6.7 Rception dalarmes urgentes de lOmniPCX Office OmniPCX Office peut tre configur pour envoyer ses alarmes urgentes au serveur OmniVista 4760. Ceci requiert lutilisation dun compte Windows local sur le serveur OmniVista 4760. Procdure - Suivre la procdure dcrite dans le manuel dinstallation de l'OmniVista 4760 (section 13.3.4). - Lancer une session Windows en tant qu'administrateur local du PC serveur - Renforcement de la scurit en cas dutilisation du compte URGALARM : Ouvrir loutil Stratgie de scurit locale (Panneau de Configuration/Outil dadministration). Dans la rubrique Stratgies locales , slectionner Attribution des droits utilisateurs . Ajouter les droits suivants lutilisateur URGALARM : Accder cet ordinateur depuis le rseau Interdire l'ouverture d'une session locale 3.7 Gestion du partage de rpertoires 3.7.1 Gestion de lOmniPCX Office La gestion dcrite ci-dessous est ncessaire pour les oprations de sauvegarde, restauration, tlchargement et galement pour la configuration dOmniPCX Office. Les donnes OmniPCX Office sont sauvegardes par dfaut sur le PC serveur OmniVista 4760, dans le rpertoire 4760_ARC/OXO/data. Lors de linstallation de l'OmniVista 4760, ce rpertoire est partag sous le nom 4760-databases (ou 4760-pm5 en cas de mise jour depuis l'OmniVista 4760 version R3.x), en lecture seule pour tous. Attention : Lorsque le rpertoire 4760 server existe dj (par exemple, aprs la dsinstallation d'un serveur OmniVista 4760) et que son nom est partag, ce nom n'est pas modifi par le programme Chapitre 3 Ocp|cicncni !OnniVisia 4760 !ans un cntircnncncni Win!cus sccurisc 3-26 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic d'installation du serveur OmniVista 4760. Pour configurer OmniPCX Office partir du serveur OmniVista 4760, le nom Windows de partage de ce rpertoire doit tre identique au nom dfini dans le rpertoire systme OmniVista 4760 (ce nom est configur dans NmcConfiguration/ GlobalPreferences/Config/OXOAccess). Procdure 1. Lancer une session Windows en tant qu'administrateur local du PC serveur 2. Utilisation dun compte local sur le PC serveur OmniVista 4760 Vous pouvez utiliser le compte URGALARM cr au cours de l'installation du serveur OmniVista 4760. Par dfaut, le mot de passe de ce compte est URGALARM. Modifier ce mot de passe avant lutilisation du compte. On pourra utiliser un autre compte local. Pour la cration de ce type de compte, voir Cration de comptes et attribution des droits . Dans la suite de cette procdure, nous supposerons que le compte URGALARM a t choisi. 3. Configuration du serveur OmniVista 4760 pour l'utilisation du compte local Sur le serveur OmniVista 4760, lancer l'application Annuaire, puis cliquer sur l'onglet Systme. Au niveau de larborescence, accder au rpertoire NMC/NmcConfiguration/GlobalPreferences/Config/OXOAccess Dans le volet de droite, renseigner les attributs : Nom utilisateur pour l'accs au rpertoire partag = URGALARM Mot de passe pour laccs au rpertoire partag = mot de passe associ URGALARM. 4. Grer le partage du rpertoire 4760_ARC/OXO/data. Slectionner le rpertoire 4760_ARC/OXO/data. Vrifier le nom de partage. Ce nom de partage doit correspondre au nom renseign dans lattribut Nom de partage de lentre NmcConfiguration/GlobalPreferences/Config/OXOAccess de lannuaire systme de l'OmniVista 4760. Modifier les proprits de partage et de scurit : Nombre dutilisateurs autoriss : # 3 Dans la rubrique Autorisations , slectionner retirer tout le monde et ajouter l'utilisateur URGALARM avec les droits Contrle total . Dans la rubrique Mise en cache , slectionner l'option stipulant de ne pas autoriser la mise en cache des fichiers de ce dossier partag. Slectionnez l'onglet Scurit, puis ajoutez l'utilisateur URGALARM. Vrifiez les droits suivants : Modification , Affichage du contenu du dossier , Lecture , criture. Remarque : les versions logicielles susceptibles dtre tlcharges dans les PABX doivent se trouver dans le rpertoire OmniVista 4760_ARC/OXO/sw. Pour des raisons de scurit, il nest pas ncessaire de partager ce rpertoire. 3.7.2 Partage de OmniVista 4760_ARC Jusqu' la version OmniVista 4760 R4.0, le rpertoire 4760_ARC\accounting est partag pour les besoins des oprations de restauration de tickets de taxation. Le partage est ralis Ocp|cicncni !OnniVisia 4760 !ans un cntircnncncni Win!cus sccurisc 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 3-27 par le programme dinstallation du serveur OmniVista 4760 avec le nom de partage Accounting et le droit lecture pour tous les utilisateurs . partir de la version OmniVista 4760 R4.1, ce partage ntant plus ncessaire pour les oprations de restauration de tickets, il nest plus effectu par le programme dinstallation. 3.7.3 Autres partages Pour toutes les oprations de maintenance (sauvegarde/restauration de l'OmniVista 4760, sauvegarde/restauration et mise jour logicielle du PCX), darchivage, de restauration et de collecte de fichiers de taxation, et dexportation de rapports, le serveur OmniVista 4760 pourra utiliser des ressources rseau. La configuration des partages rseau et de lutilisation de comptes donnant accs ces partages doit tre ralise aprs linstallation du serveur OmniVista 4760 en suivant les procdures dcrites la section Gestion de comptes Windows utiliss par le serveur OmniVista 4760 . 3.8 Envoi de message lectronique (e-mails) L'OmniVista 4760 peut envoyer des alarmes, des rapports ou une notification de surveillance des fichiers taxation vers un serveur de messagerie lectronique. Pour cela, il faut indiquer le nom (ou ladresse IP) du serveur de messagerie utiliser pour ces envois. Il nest pas ncessaire pour lenvoi de messages lectroniques daccorder aux services OmniVista 4760 des droits pour lutilisation de comptes spcifiques. Chapitre 3 Ocp|cicncni !OnniVisia 4760 !ans un cntircnncncni Win!cus sccurisc 3-28 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic Objectif : ce chapitre rpertorie les ports et protocoles utiliss en cas de gestion dun Alcatel-Lucent OmniPCX Enterprise Communication Server par un serveur OmniVista 4760. Ceci doit tre pris en compte lors du dploiement de l'OmniVista 4760 dans un environnement rseau scuris, cest--dire contenant des lments de scurisation (pare-feu, DMZ, etc.). 4.1 Trafic IP sur serveur OmniVista 4760 Note 1 : Par dfaut, la scurit IPsec nest pas active entre le serveur OmniVista 4760 et un client OmniVista 4760. En cas d'utilisation de clients OmniVista 4760 distants, il est recommand d'activer la scurit IPsec. La liste des services et ports utiliss par le serveur OmniVista 4760 figure dans le tableau ci-aprs. tableau 4.1 : Services sur le serveur OmniVista 4760 Nom Type Protocole Numro de port Scurit Clients dis- tants HTTP Server HTTP TCP 80 Non Client 4760, Client an- nuaire 4760, 4059 (2) LDAP Server LDAP TCP 389 IPSec Client 4760, 4059, Dbor- dement an- nuaire PCX (1), Rplica- tion LDAP, Autres clients LDAP Serveur LDAP LDAP (sur SSL) TCP 636 SSL Client 4760, 4059, Dbor- dement an- nuaire PCX, Autres clients LDAP LDAP admi- nistration Ser- ver HTTP TCP 30010 IPSec Console dadministratio n SUN ONE Database ASA (SYBASE) ASA TCP 2638 ASA TCP 30011 IPSec Client 4760 Alarms Server GIIOP TCP 30012 IPSec Client 4760 CMISD Server CMISE TCP 30001 GIIOP TCP 30013 IPSec Chapitre 4 DepIolement dOmnlVlstu 4760 duns une conflgurutlon reseuu 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 4-1 Nom Type Protocole Numro de port Scurit Clients dis- tants Serveur de communica- tion GIIOP TCP 30014 IPSec Client 4760 Serveur de communica- tion GIIOP TCP 30014 IPSec Client 4760 ExecdEx Ser- ver GIIOP TCP 30015 IPSec Client 4760 Extractor Ser- ver GIIOP TCP 30016 IPSec Client 4760 GCS Admin Server GIIOP TCP 30017 IPSec Client 4760 GCS Config GIIOP TCP 30018 IPSec Client 4760 Server Li- cense Server GIIOP TCP 30019 IPSec Client 4760 Loader Server GIIOP TCP 30020 IPSec Notification Server GIIOP TCP 30022 IPSec Client 4760 Save / Res- tore Server GIIOP TCP 30023 IPSec Client 4760 Scheduler Server GIIOP TCP 30024 IPSec Client 4760 Security Ser- ver GIIOP TCP 30025 IPSec Client 4760 LDAP/PBX Synchroniza- tion server GIIOP TCP 30026 IPSec Audit Server GIIOP 30030 IP sec Telnet Proxy TELNET TCP 30100 30149 IPSec Client 4760 Chapitre 4 Ocp|cicncni !OnniVisia 4760 !ans unc ccnjiguraiicn rcscau sccuriscc 4-2 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic Nom Type Protocole Numro de port Scurit Clients dis- tants FTP Proxy Control TCP 30021 IPSec Client 4760 / OMC - OmniPCX Office < R3.0 FTP mode actif - R3.0 < = OmniPCX Office < R5.0 FTP mode pas- sif DATA TCP 30150 30299 IPSec 4760 Client/ OMC Seule- ment si FTP mode passif (R3.0 < = Om- niPCX Office < R5.0) DATA TCP 1024 5000 IPSec 4760 Client/ OMC Seule- ment si FTP mode actif (OmniPCX Of- fice < R3.0) OMC Configu- ration socket TCP 31000 IPSec Client 4760 / OMC (OmniPCX Of- fice < R5.0) OMC Down- loading socket TCP 31001 IPSec Client 4760 / OMC (OmniPCX Of- fice < R5.0) OMC debug socket TCP 6005 IPSec Client 4760 / OMC (OmniPCX Of- fice < R5.0) OMC configu- ration, down- loading, de- bug TCP 30028 SSL et IPSec Client 4760 / OMC (OmniPCX Of- fice > = R5.0) OMC Com Server on/off line TCP 30300 30349 IPSec Client 4760 / OMC Ocp|cicncni !OnniVisia 4760 !ans unc ccnjiguraiicn rcscau sccuriscc 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 4-3 Nom Type Protocole Numro de port Scurit Clients dis- tants Proxy HTTP HTTP, HTTPS, SSH 30028 IPSec (OmniPCX Of- fice R5.0) SSL et IPSec (OmniPCX Of- fice > = R5.0) Client 4760/Navigate ur Internet Ac- cess Client 4760 SNMP Agent SNMP UDP 161 Non Hyperviseur IPec ISAK UDP 500 ACD Configu- ration FTP ACTIVE TCP 32000 Non Serveur 4760 / OMC (OmniPCX Of- fice < R5.0) HTTPS TCO 30028 SSL et IPSec Client 4760 / OMC (OmniPCX Of- fice > = R5.0) ACD Statistics HTTP / SOAP TCP 30028 IPSec Serveur 4760 / OMC (OmniPCX Of- fice < R5.0) HTTPS/SOAP TCP 30028 SSL et IPSec Client 4760 / OMC (OmniPCX Of- fice > = R5.0) OTS HTTP / SOAP TCP 30028 IPSec Serveur 4760 / OMC Notification des alarmes urgentes Om- niPCX Office HTTP TCP 30029 Non Serveur 4760 / OmniPCX Of- fice > = R5.0 en connectivi- t IP Apache HTTP / SOAP TCP 8080 Non quipements SIP Apache HTTPS/SOAP TCP 8443 SSL Client 4760 - Sip Manager, WBM Client (1) : non compatible avec IP sec (systme dexploitation LINUX sur PCX). (2) : le client d'annuaire Web 4059 prend en compte seulement le numro de port 80 (non modifiable). Note 2 : - CORBA sappuie sur le protocole GIIOP - Les numros de port en gras (30020, par exemple) peuvent tre modifis dans le rpertoire systme, aprs l'installation du serveur OmniVista 4760. Conserver la taille des plages de numros de port, ne pas utiliser de ports connus. Si la connexion IP sec est active, la configuration IP sec ne Chapitre 4 Ocp|cicncni !OnniVisia 4760 !ans unc ccnjiguraiicn rcscau sccuriscc 4-4 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic tient pas compte des ports modifis. En cas de modification du numro de port par dfaut, excuter 4760>bin>IpsecUpdate.exe. Pour plus dinformations, contacter les services professionnels dAlcatel-Lucent. La liste ci-dessous rpertorie les services et ports utiliss par le serveur OmniVista 4760 en interne. Ces services ne doivent pas tre accessibles depuis l'extrieur du serveur OmniVista 4760. tableau 4.2 : Services internes sur le serveur OmniVista 4760 Nom Type Protocole Numro de port Scurit Clients dis- tants PMS RMI TCP 9757 Non API de PMS et notification de gestion FlexLM Propritaire TCP 27000 Cod Licences FlexLM-Dea- mon Propritaire TCP Ngociation dynamique sur 27000 cnx ou fixe dans le fichier de li- cence (ligne VENDEUR) Cod Licences (dmon Alca- tel) UDAS RMI TCP 9758 Non API de UDAS et notification de gestion FWK RMI TCP 9754 Non Liaison aux applications EVS RMI TCP 9760 Non Notification Sybase TCP 2638 Accs la base de don- nes LDAP Server LDAP TCP 8389 Non Accs la base de don- nes ACAPI CORBA TCP 8389 Non Accs la gestion OXE DTA RMI TCP 5009 Non Accs la gestion DTA RMI TCP 4445 Non Alarmes - RMI Tomcat TCP 10005 Non Port de main- tenance (arrt) Tomcat AJPv13 TCP 10009 Non Connexion Apache pour requte d'application UMF JNDI TCP 16400 Non Port JNDI UMF JMS TCP 16010 Non JMS UMF Propritaire TCP 55002 Non Dbogage Ocp|cicncni !OnniVisia 4760 !ans unc ccnjiguraiicn rcscau sccuriscc 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 4-5 UMF Propritaire TCP 44323 - 44552 Ports de notifi- cation 4.2 Trafic IP sur client OmniVista 4760 La liste des services et ports utiliss par le client OmniVista 4760 figure dans le tableau ci-aprs. tableau 4.3 : Services sur le nom de client OmniVista 4760 Type Protocole Numro de port Scurit Note CORBA R- ceptions des notifications alarmes GIIOP TCP 30500 30509 IPSec OMC- Status of communi- cation socket HTTP TCP 30510 30529 IPSec OMC - FTP data sockets Donnes TCP 1024 5000 IPSec ISAKMP UDP 500 IPSec Client 4760 Note : - Par dfaut, la scurit IPsec n'est pas active entre le serveur OmniVista 4760 et un client OmniV- ista 4760. - Les numros de port en caractres gras sont modifiables dans le fichier runnmc.bat, aprs installa- tion du client OmniVista 4760. - Sur le poste client, vous devez autoriser les connexions entrantes via le port Corba 30500 - 30509. Si cela nest pas fait, lapplication dalarmes sera vide et il ny aura pas de notification dalarme. La configuration du PCX choue aprs le chargement du MIB local : impossible de configurer la notifica- tion au client. 4.3 Trafic IP sur OmniPCX Enterprise pour la gestion de l'OmniVista 4760 La liste des services et ports utiliss par OmniPCX Entreprise figure dans le tableau ci-aprs. tableau 4.4 : Services sur un OmniPCX Enterprise Lx ou Ux Nom Type Protocole Numro de port Scurit Note CMISD TCP 2535 Non STAP UDP 2556 Non Chapitre 4 Ocp|cicncni !OnniVisia 4760 !ans unc ccnjiguraiicn rcscau sccuriscc 4-6 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic FTP server Control TCP 21 Non Mode PASV command par 4760 DATA TCP 1024 5000 Non OmniPCX En- terprise Ux 10000 20000 Non OmniPCX En- terprise Lx < 6.0 10000 20000 Non OmniPCX En- terprise Lx >= 6.0 Grable dans lOXE SSH TCP 22 oui OmniPCXEn- terprise Telnet TCP 23 Non 4.4 Trafic IP sur l'OmniPCX Office pour la gestion de l'OmniVista 4760 La liste des services et ports utiliss par le client OmniPCX Office figure dans le tableau ci-aprs. tableau 4.5 : Services sur un OmniPCX Office Nom Type Protocole Numro de port Scurit Note Configuration socket TCP 31000 Non OmniPCX Of- fice < R5.0 Downloading socket TCP 31001 Non OmniPCX Of- fice < R5.0 Debug socket TCP 6005 Non OmniPCX Of- fice < R5.0 Management socket TCP 31002 Non Ocp|cicncni !OnniVisia 4760 !ans unc ccnjiguraiicn rcscau sccuriscc 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 4-7 FTP server Control TCP 30021 Non - OmniPCX Office < R3.0 FTP mode actif - R3.0 < = OmniPCX Office < R5.0 mode pas- sif Donnes TCP Dfini par le systme (30020 par dfaut) Non Seulement si FTP mode passif (OmniPCX Of- fice < R5.0) OmniPCX Of- fice configura- tion (configuration, downloading, debug so- ckets) HTTPS TCP 443 SSL Client 4760 / OMC (OmniPCX Of- fice > = R5.0) Serveur HTTP pour accs In- ternet HTTP TCP 80 Non OmniPCX Of- fice R1.x HTTPS TCP 443 Oui OmniPCX Of- fice > = R2.0 Services ACD TCP 32000 Non R4.0 < = Om- niPCX Office < R5.0 HTTPS/SOAP TCP 443 SSL OmniPCX Of- fice > = R5,0 ACD Statistics HTTP / SOAP TCP 8892 Non R4.0 < = Om- niPCX Office < R5.0 HTTPS/SOAP TCP 443 SSL OmniPCX Of- fice > = R5,0 Serveur HTTP pour la col- lecte des don- nes Om- niPCX Office HTTP / SOAP TCP 8892 Non R4.0 < = Om- niPCX Office < R5.0 HTTPS/SOAP TCP 443 SSL OmniPCX Of- fice > = R5,0 4.5 Trafic IP sur un hyperviseur La liste des services et ports utiliss par un hyperviseur figure dans le tableau ci-aprs. tableau 4.6 : Services sur un hyperviseur Chapitre 4 Ocp|cicncni !OnniVisia 4760 !ans unc ccnjiguraiicn rcscau sccuriscc 4-8 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic Nom Type Protocole Numro de port Scurit Note SNMP Mana- ger SNMP Trap UDP 162 Non 4.6 Trafic IP sur un 4059 La liste des services et ports utiliss par lapplication 4059 figure dans le tableau ci-aprs. tableau 4.7 : Services sur lapplication 4059 Nom Type Protocole Numro de port Scurit Clients dis- tants 4059 TCP 7777 Non Serveur Omni- Vista 4760 4.7 Fonctionnement de l'OmniVista 4760 sur un rseau VPN/NAT 4.7.1 PRSENTATION Nous recommandons le dploiement de l'OmniVista 4760 sur un rseau local unique et dans l'intranet de lentreprise. Il sagit dun moyen simple de grer la connectivit et la scurit du serveur, du client et du PCX OmniVista 4760. Cependant, certains clients ont demand pouvoir dployer ce type de solution sur un rseau VPN/NAT, ceci ayant divers impacts, notamment sur les points suivants : - Connaissances et restrictions du protocole VPN/NAT - Matriel et logiciels requis pour la prise en charge du protocole VPN/NAT - Topologie du site client - Paramtres de l'OmniVista 4760 Pour plus dinformations ou en cas de problme avec le protocole NAT, nous vous recommandons de contacter les services professionnels dAlcatel-Lucent pour vous aider analyser votre rseau afin de trouver une solution. 4.7.2 Protocole VPN/NAT Un rseau VPN/NAT implique deux types dadresses IP : - ladresse PRIVE, disponible uniquement sur le rseau local ; - ladresse PUBLIQUE, disponible sur le rseau local externe. Le routeur NAT traduit les adresses IP prive et publique. Vous devez utiliser : - la traduction dadresses IP uniquement, pas la traduction de ports ; - la traduction dadresses IP statique uniquement, pas la traduction dynamique. Par dfaut, la traduction NAT nest pas conforme aux applications qui transportent les adresses IP. Ocp|cicncni !OnniVisia 4760 !ans unc ccnjiguraiicn rcscau sccuriscc 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 4-9 Ce type de protocole implique une requte de rappel incluant ladresse prive dorigine, non disponible sur le rseau local distant. Dans le cadre de la solution OmniVista 4760, cela concerne : - Le protocole FTP (utilis pour connecter les PCX) : Au cours dune session FTP, le client FTP connecte ladresse prive au serveur FTP. En mode passif (mode par dfaut), le transfert de donnes fait appel ladresse IP prive du serveur FTP. En mode actif, le transfert de donnes fait appel ladresse IP prive du client FTP. Puisque les adresses prives ne peuvent pas tre utilises directement, vous devez : activer un proxy FTP sur le routeur NAT ; supprimer la solution NAT. - Le protocole Corba (utilis pour connecter le client au serveur) : Lors dune session Corba, ladresse IP du client est envoye au serveur en cas de requte de rappel et en cas de ncessit de connexion directe entre le serveur et le client. Le routeur NAT nimplique pas de solution IP, car le routeur ne lit pas les messages Corba, et aucun proxy Corba nest disponible. Vous devez modifier linitialisation Corba ct client afin de transporter le nom dhte du client au lieu de ladresse IP. 4.7.3 Accs du client OmniVista 4760 au serveur via NAT Parmi les protocoles utiliss par le client OmniVista 4760 et le serveur OmniVista 4760, seul Corba est compatible avec NAT. Une solution ce problme est propose dans ce chapitre. 4.7.3.1 Topologie client Figure 4.1 : Exemple de topologie client relle Chapitre 4 Ocp|cicncni !OnniVisia 4760 !ans unc ccnjiguraiicn rcscau sccuriscc 4-10 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 4.7.3.2 Flux IP 4.7.3.3 Gestion spcifique Configuration du fichier Hosts Procdure : Nous supposerons quil ny a aucun service DNS pour cette connexion VPN. Modifier le fichier hosts local pour les deux systmes client et serveur (WinNT\Sytem32\driver\ etc\hosts) : - Sur le PC serveur, entrer ladresse IP correspondant au nom dhte du client visible sur LAN2. @Lan2_Client CLIENT CLIENT.LABO.FR - Sur le PC client, entrer ladresse IP correspondant au nom dhte du serveur visible sur LAN1. @VPN_Server SRV4760 SRV4760.ALCATEL.FR Modification Client Aprs la configuration du fichier hosts , le client et le serveur OmniVista 4760 peuvent communiquer en utilisant un protocole simple : http, ldap, etc. Mais les protocoles comme CORBA qui encapsulent lidentification ne sont pas compatibles avec NAT. Sur le serveur OmniVista 4760, CORBA est initialis en utilisant le nom dhte du serveur. Comme le fichier hte du client a pu tre modifi correctement, il n'y a pas de problme : le client OmniVista 4760 est capable d'tablir la connexion avec le serveur. Sur le client OmniVista 4760, CORBA est initialis en utilisant ladresse IP locale. Cette opration restreint l'utilisation de l'OmniVista 4760 : le serveur OmniVista 4760 ne parvient pas envoyer la notification sur le port 30500 30509 du client CORBA. - Il ny a pas dalarme sur le client Ocp|cicncni !OnniVisia 4760 !ans unc ccnjiguraiicn rcscau sccuriscc 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 4-11 - Le module configuration ne peut tre lanc Il est possible de modifier le paramtre client en suivant la procdure ci-dessous: - Localisez le programme du client : \Client4760\bin\runnmc.bat - Modifier ce fichier - Remplacer "IpNumeric=yes" par "IpNumeric=no". De cette faon, le nom dhte du client sera envoy au serveur OmniVista 4760. Lenvoi de la notification par le serveur peut alors seffectuer. Configuration du pare-feu Pour faire fonctionner les applications OmniVista 4760, il est ncessaire de mettre jour les rgles du pare-feu et dautoriser tout le trafic IP entre le client et le serveur. Procdure - Sassurer que les ports utiliss par le serveur OmniVista 4760 sont ouverts (sections 4.1 et 4.2). - Vrifiez l'adresse IP contrler : @LAN1, @LAN2 or @VPN. - Sur le serveur v, autoriser la connexion tous les services v - Sur le client v, autoriser la connexion sur le port de notification CORBA 30500 30509. Exemple Sur le pare-feu FW1, autoriser la connexion entrante pour le client OmniVista 4760 : IP=@LAN1_Client Port = 30500 30509 4.7.4 Accs du serveur OmniVista 4760 l'Alcatel-Lucent OmniPCX Enterprise Communication Server via NAT Parmi les protocoles utiliss par l'OmniVista 4760 et l'Alcatel-Lucent OmniPCX Enterprise CS, seul le protocole FTP nest pas compatible avec NAT. Vous devez donc activer le proxy FTP sur le routeur NAT. 4.7.5 Accs du serveur OmniVista 4760 l'OmniPCX Office via NAT Cette solution a t teste avec l'OmniVista 4760 sans NAT et PCX avec NAT. Dans cette solution, le PCX a pu accder l'adresse prive du serveur v Seul le protocole FTP est concern par le problme li au NAT. Il est tout de mme ncessaire dactiver le proxy FTP sur le routeur NAT. 4.7.6 Accs du serveur OmniVista 4760 au client d'annuaire Web 4059 via NAT La fonction d'appel en un clic du client d'annuaire Web ne prend pas en charge l'accs au serveur OmniVista 4760 via Nat. 4.7.7 Dpannage du transfert FTP - Pour lancer un transfert FTP sur OmniPCX Office en mode passif, procder comme suit : Lancer une console DOS Chapitre 4 Ocp|cicncni !OnniVisia 4760 !ans unc ccnjiguraiicn rcscau sccuriscc 4-12 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic Entrer c:>ftp <@IP_oxo> 30021 Entrer ftp>literal PASV Tenter dobtenir un fichier - Pour lancer un transfert FTP sur OmniPCX Enterprise en mode passif, procder comme suit : Lancer une console DOS Entrer c:>ftp <@ip_oxe> 21 Entrer ftp>literal PASV Tenter dobtenir un fichier Ocp|cicncni !OnniVisia 4760 !ans unc ccnjiguraiicn rcscau sccuriscc 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 4-13 Chapitre 4 Ocp|cicncni !OnniVisia 4760 !ans unc ccnjiguraiicn rcscau sccuriscc 4-14 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic Objectif : ce chapitre dcrit les moyens dployer (et leur mise en uvre) pour assurer la scurit des donnes dun OmniPCX en cas de gestion par un serveur OmniVista 4760. 5.1 Alcatel-Lucent OmniPCX Enterprise CS 5.1.1 Mise en uvre de Connexion SSH La connexion client vers l'Alcatel-Lucent OmniPCX Enterprise CS peut tre scurise par SSH. Dans ce cas, les clients de type console utilisent lapplication MindTerm. Cette application est excute sur le PC client. Elle se connecte en premier lieu au serveur OmniVista 4760 par le port 30028, puis tablit un tunnel SSH vers le PCX. La connexion est dcrite sous la forme : <LoginPCX> @ <nom_d'alias_de_l'hte> Note : Le rapatriement SFTP de fichiers est accessible par un menu de lapplication MindTerm. 5.1.1.1 Vrification de la prsence de la licence Scurit ct OmniVista 4760 La licence Scurit de l'OmniVista 4760 est obligatoire pour lutilisation du protocole SSH. Pour vrifier la prsence de la licence Scurit : 1. Lancer lapplication client OmniVista 4760 2. Dans la barre des menus, slectionner Aide, puis propos. Le tableau Licences vrifies saffiche. Si Scurit apparat, le verrou scurit est bien prsent. 5.1.1.2 Gestion de l'Alcatel-Lucent OmniPCX Enterprise CS Note 1 : La version minimum requise pour l'Alcatel-Lucent OmniPCX Enterprise CS est 6.0. 1. Ajout dun hte scuris Pour ajouter un hte scuris , suivre la procdure dcrite dans le tableau ci-aprs. Application Alcatel OmniPCX Enterprise > HyperTerminal Action Login : root Mot de passe Action netadmin m Chemin Security > Isolate Ethernet Interface and TCP accesses Avertissement : seules les machines dclares comme htes scuriss auront accs au PCX Souhaitez-vous scuriser vos accs Internet (o/n, o par dfaut) ? O Chemin Security > Restricted Ethernet Access Chapitre 5 Securlsutlon des donnees PCX en cus de gestlon pur un serteur 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 5-1 Enter the type of the trusted host(s) : 0. Routeur 1. CPU 2. 47XX (machines de gestion) 3. quipement IP (tlphone IP, INTIPA/INTIPB, GD, LIOE, etc. ) 4. PC Installer Quel est votre choix ? 2 Trusted host's IP name ? Entrer un nom qui correspond au serveur OmniVista 4760. Par exemple : serveur4760 Vous devez donner un nom contenant uniquement des lettres, chiffres et (.,-,_) et commenant par une lettre. La longueur maximum est de 64 caractres. Le nom indiqu ne figure pas dans la base de donnes d'htes. Lajouter et indiquer ladresse correspondante (o/n, n par dfaut) ? o Adresse IP de lhte scu- ris ? Entrer ladresse IP du serveur OmniVista 4760 (exemple : 10.2.6.10) Note 2 : Si le serveur OmniVista 4760 est dans un autre sous-rseau IP : Nom IP de la passerelle : saisir le nom de la passerelle (exemple : Routeur_passerelle) Le nom de passerelle indiqu ne figure pas dans la liste d'htes scuriss. Dabord ajouter la passerelle en tant qu'hte scuris, puis ajouter cet hte. Vous devez grer galement tous les quipements IP (cartes GD, INTIP, IP phones). Il est possible de dfinir des tranches de trusted hosts (pour les IP phones par exemple). 2. Configuration dune connexion SSH scurise Pour configurer une connexion SSH scurise, suivre la procdure dcrite dans le tableau ci-aprs. tableau 5.2 : Configuration dune connexion SSH scurise Action netadmin m Chemin Security > SSH Configuration Avertissement : vous devez disposer d'un systme homogne pour pou- voir amliorer la scurit avec SSH ! Amliorer la scurit avec SSH (o/n, o par dfaut) ? o 3. Vrification de la configuration SSH Pour vrifier la configuration SSH, suivre la procdure dcrite dans le tableau ci-aprs. tableau 5.3 : Vrification de la configuration SSH Action netadmin m Chemin Show curent configuration Accs Internet restreints Oui Scurit avec SSH Oui 5.1.1.3 Gestion de l'OmniVista 4760 (annuaire systme) Pour dclarer une connexion scurise au PCX via le protocole SSH/SFTP: Chapitre 5 Sccurisaiicn !cs !cnnccs PCX cn cas !c gcsiicn par un scrtcur OnniVisia 4760 5-2 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 1. Lancer lapplication Annuaire, puis cliquer sur longlet Systme. 2. Slectionner nmc > Rseau > Sous-rseau. 3. Slectionner le PCX dont la connexion doit tre scurise. 4. Cliquez sur longlet Connectivit. 5. Renseignez les attributs suivants : Connexion SSH : cocher la case pour autoriser une connexion SSH/SFTP. Nom d'hte : entrer un identifiant unique pour chaque PCX scuris (exemple : Nud3) Vous devez donner un nom contenant uniquement des lettres, chiffres et (.,-,_) et commenant par une lettre. Vous ne pouvez pas utiliser de caractres spcifiques (@,','' ...), ni de caractre espace. Note : Le nom dhte est utilis par lapplication MindTerm pour rechercher sur le serveur OmniVista 4760 les informations de connexion du PCX connecter. 5.1.1.4 Utilisation de la connexion scurise 5.1.1.5 Connexion SSH Pour tablir une connexion SSH : 1. Lancer lapplication Configuration, puis cliquer sur longlet Rseaux. 2. Slectionner nmc > Rseau > Sous-rseau. 3. Slectionner le PCX. 4. Via le menu contextuel, cliquer sur Connecter. 5. Renseignez les attributs suivants : Nom d'utilisateur : compte pour se connecter au PCX (exemple : mtcl) Mot de passe : mot de passe associ au nom dutilisateur 6. Lapplication MindTerm est utilise pour se connecter au PCX La connexion stablit via le proxy http et le port TCP 30028. Le serveur SSH de l'Alcatel-Lucent OmniPCX Enterprise CS est OpenSSH_22.3.Opl (SSH2). Le cypher est 3des 5.1.1.6 Connexion SFTP Pour rapatrier les fichiers via SFTP, suivre la procdure dcrite dans le tableau ci-aprs. tableau 5.4 : Connexion SFTP Application MindTerm Menu Plugins Objet Transfert de fichiers SFTP Action Slectionner les rpertoires sur la machine locale (PC client OmniVis- ta 4760) et sur la machine distante (OmniVista 4760). Transfrer les fichiers laide des flches Action Fermer Sccurisaiicn !cs !cnnccs PCX cn cas !c gcsiicn par un scrtcur OnniVisia 4760 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 5-3 5.1.2 Scurisation de l'accs l'Alcatel-Lucent OmniPCX Enterprise CS 5.1.2.1 Principe de fonctionnement La scurisation daccs permet de filtrer laccs la configuration OmniPCX 4400/Alcatel-Lucent OmniPCX Enterprise CS. Le filtrage peut se faire par le nom des serveurs OmniVista 4760 (les stations) et par les logins utiliss pour lancer le client OmniVista 4760 (les utilisateurs). La scurisation sapplique la connexion CMISE entre le serveur OmniVista 4760 et le PCX. 5.1.2.2 Configuration Afin dviter des erreurs et pour bien cerner un problme ventuel, il est conseill de suivre dans lordre les tapes de gestion dcrites ci-aprs. La gestion PCX se fait dans l'objet Scurit et Contrle d'accs. Procdure 1. Dans PCX, grer les stations sans mot de passe. Supprimer la station * . Ce caractre autorise la connexion de toutes les stations Attention 1 : Il nest pas possible de recrer ce caractre par les outils de gestion client. Pour plus d'informations, contacter le Support Technique dAlcatel-Lucent. Crer les stations (serveurs OmniVista 4760). Le nom correspond au nom du PC sur lequel est install le serveur OmniVista 4760. Le nom doit obligatoirement tre saisi en MAJUSCULES Ne pas indiquer de mot de passe pour linstant Garder pour linstant la relation avec la liste N1 des utilisateurs. 2. Dans l'OmniVista 4760, valider la scurit sans mot de passe : Dans lannuaire systme, onglet Connexion, cocher Accs scuris (pour configuration) 3. Tester la connexion en configuration au PCX 4. Dans PCX, grer une liste N2 des utilisateurs Crer une liste N2 des utilisateurs 5. Dans PCX, crer les utilisateurs dans la liste N2 des utilisateurs Le nom des utilisateurs correspond au login utilis pour lancer le client OmniVista 4760. Le nom doit obligatoirement tre saisi en MAJUSCULES. 6. Dans lobjet Station, affecter cette liste N2 aux stations. 7. Tester la connexion en configuration au PCX 8. Option de scurit : cration dun mot de passe CMISD Pour renforcer la scurit, il est possible de contrler la connexion par mot de passe : Ct OmniVista 4760, indiquer le mot de passe dans longlet Connectivit du PCX concern (mot de passe Cmisd) Ct PCX, indiquer ce mme mot de passe sur les stations correspondantes. Il faut respecter la casse (Majuscules/minuscules) En cas de modification du mot de passe ct OmniVista 4760, il peut tre ncessaire de relancer le client, et/ou de relancer le serveur CMISE du service NMC. Chapitre 5 Sccurisaiicn !cs !cnnccs PCX cn cas !c gcsiicn par un scrtcur OnniVisia 4760 5-4 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 9. Tester la connexion en configuration au PCX Attention 2 : L'utilisateur * est retir de la liste N1 ds qu'un autre utilisateur est cr dans cette liste. Il nest pas possible de recrer ce caractre par les outils de gestion client. Pour plus d'informations, contacter le Support Technique dAlcatel-Lucent. 5.1.2.3 Maintenance Pendant la configuration PCX (via mgr ou l'OmniVista 4760), il est impossible de rtablir les paramtres de scurit par dfaut : - station = * - utilisateur = * Pour rtablir les valeurs : - Ouvrir une session telnet sur PCX - Dsactiver MAO (mao off) - Lancer le multioutil SECURITY_ACCESS - Slectionner l'option 10 : Security access reinitialization - Activer MAO (mao on) 5.2 OmniPCX Office 5.2.1 Configuration Le serveur OmniVista 4760 prend en charge lexcution de lapplication OMC en mode HTTPS ( partir de la version R5.0 de l'OmniPCX Office). 5.2.2 Synchronisation des donnes OmniPCX Office Pour renforcer la confidentialit des donnes transfres depuis l'OmniPCX Office vers l'OmniVista 4760 (taxation, alarmes, licence), il est recommand de scuriser le rseau et de suivre les recommandations de scurit de l'OmniPCX Office. 5.2.3 Accs Internet Le serveur OmniVista 4760 prend en charge lexcution de lapplication Internet Access en mode HTTPS ( partir de la version R2.0 de l'OmniPCX Office). Sccurisaiicn !cs !cnnccs PCX cn cas !c gcsiicn par un scrtcur OnniVisia 4760 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 5-5 Chapitre 5 Sccurisaiicn !cs !cnnccs PCX cn cas !c gcsiicn par un scrtcur OnniVisia 4760 5-6 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic Objectif de ce chapitre : dcrire les moyens dployer (et leur mise en uvre) pour assurer la scurit des donnes dun serveur OmniVista 4760. 6.1 Configuration autonome L'OmniVista 4760 fonctionne en configuration autonome lorsquil ne communique quavec les PCX. Dans ce contexte : - Aucun client OmniVista 4760 distant nest install. - Aucun rpertoire ou disque rseau nest utilis. - Aucune imprimante rseau nest utilise. - Aucune application externe ne peut se connecter lannuaire LDAP du serveur OmniVista 4760. Il sagit de la configuration la plus scurise. Pour renforcer la scurit, il est recommand de : - Dsactiver les services Windows inutiles dans une configuration autonome (voir le descriptif des services dans , section 4.1 ). - Activer le pare-feu Windows. Aucune exception nest requise dans la configuration du pare-feu Windows pour le fonctionnement du serveur OmniVista 4760. 6.2 Dploiement du protocole IPSec dans une configuration serveur-clients distants Afin de renforcer la scurit des donnes changes entre le serveur OmniVista 4760 et ses clients distants, il est recommand dactiver lutilisation du protocole IPSec en suivant la procdure dcrite dans cette section. IPSec est une fonctionnalit propre Windows permettant de crypter la communication IP entre deux machines Windows. Pour le serveur et client OmniVista 4760, le mode IPsec est transparent. Seules les trames IP entrantes et sortantes des deux machines scurises sont modifies. 6.2.1 Configuration requise - Le service dexploitation de la machine client doit prendre en charge le protocole IPSec. - Les versions minimum requises sont Windows XP et 2003. - Un client LDAP comme OmniPCX Enterprise ou Linux ne peut donc pas rentrer dans ce mode IPSec. 6.2.2 Implmentation Limplmentation IPSec sous Windows est prsente comme une stratgie de scurit. Les points considrer avant limplmentation dIP-sec sont : Dfinition de lauthentification avec Kerberos : Chapitre 6 Securlsutlon des donnees Omnl- Vlstu 4760 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 6-1 - Utiliser un certificat dauthentification Windows. - Pour les PC dun groupe de travail, en labsence de Kerberos, lactivation du protocole IPsec avec lauthentification Kerberos bloque totalement la communication IP. Vous devez crire une authentification de cl partage sur chaque PC : client et serveur. - Pour les PC intgrs dans un domaine Windows, on peut utiliser le serveur Kerberos intgr dans le contrleur de domaine. - Sur chaque machine o lon trouve un client ou serveur OmniVista 4760, on doit pouvoir accder lordinateur depuis le rseau. Procdure : 1. Slectionnez Dmarrer > Paramtres > Panneau de configuration > Outils d'administration > Stratgie de scurit locale > Stratgies locales > Attribution des droits utilisateurs. 2. Slectionner le paramtre Accder cet ordinateur depuis le rseau. 3. Ajouter le groupe Rseau ou les utilisateurs rseau dans les droits daccs. Couverture de la stratgie Le mode IPSec peut concerner tout ou partie des ports IP. Alcatel-Lucent fournit deux types de stratgies qui permettent de scuriser uniquement les communications IP entre lapplication client et lapplication serveur. Remarque : pour utiliser des certificats, contactez les services professionnels d'Alcatel-Lucent. 6.2.3 Restriction - La stratgie propre au serveur OmniVista 4760 ne lui permet pas daccder en tant que client dautres serveurs OmniVista 4760. - Si les ports IP des services OmniVista 4760 sont modifis, la stratgie IPSec nest plus jour. - Si le client dispose dj d'une scurisation IPsec pour d'autres applications de serveur, la stratgie Alcatel-Lucent n'est pas complte. Dans ce cas, il faut intgrer le client IPsec la configuration existante. - Par dfaut, la stratgie IPSec d'Alcatel-Lucent pour le serveur OmniVista 4760 impose que tous les clients se connectent par IPSec. Ce choix peut tre modifi pour permettre des clients non scuriss daccder au serveur. Attention : Pour ces clients, les donnes et mot de passe passent en clair sur le rseau IP. Pour grer ces cas, il est conseill de faire appel aux services professionnels dAlcatel-Lucent (professional.services@alcatel-lucent.fr), afin de modifier la gestion par dfaut IPSec. Remarque : en cas de modification de lattribution des numros de port par dfaut, utilisez outil IpsecUpdate.exe (situ dans le rpertoire 4760\bin). 6.2.4 Configuration Procdure : 1. Import de la stratgie IP sec Sur les machines scuriser (clients et serveurs 4760, 4059, 4980, etc.), ouvrez la console MMC : Stratgie de scurit IP. Chapitre 6 Sccurisaiicn !cs !cnnccs OnniVisia 4760 6-2 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic Slectionner et ouvrir loutil Stratgie de scurit locale (Panneau de configuration/Outils dadministration/Paramtres de scurit). Figure 6.1 : Fentre Panneau de configuration A laide du menu contextuel, importer la stratgie IPSec. Sccurisaiicn !cs !cnnccs OnniVisia 4760 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 6-3 Figure 6.2 : Fentre Stratgie de scurit locale Sous Windows XP, slectionner le fichier 4760\data\ipsec\4760serverXP.ipsec . Pour un serveur Windows 2003, slectionnez le fichier 4760\data\ipsec\4760server.ipsec. Pour les clients Windows 2003 ou Windows XP, slectionner le fichier 4760client\lib\data\4760client.ipsec . 2. Configurer la mthode dauthentification Slectionner la stratgie de scurit IPsec du client ou du serveur OmniVista 4760. Dans le menu contextuel, cliquer sur Proprits. Chapitre 6 Sccurisaiicn !cs !cnnccs OnniVisia 4760 6-4 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic Figure 6.3 : Fentre Alcatel Proprits du serveur OmniVista 4760 Cliquer sur Modifier. Deux listes de filtres sont dfinies pour les communications IP entrantes et sortantes. Pour modifier le champ Authentification, cliquer sur longlet Mthodes dauthentification pour chacune des listes, puis sur Modifier. Sccurisaiicn !cs !cnnccs OnniVisia 4760 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 6-5 Figure 6.4 : Fentre Modifier les proprits de la mthode dauthentification Valider les modifications. 3. Affecter la stratgie de scurit : Slectionner la stratgie de scurit IPsec du client ou du serveur OmniVista 4760. Dans le menu contextuel, cliquer sur Attribuer. Activer le mode IPsec en affectant la stratgie Chapitre 6 Sccurisaiicn !cs !cnnccs OnniVisia 4760 6-6 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic Figure 6.5 : Fentre Stratgie de scurit locale 6.3 Scurit daccs aux applications OmniVista 4760 6.3.1 Application Scurit Le module de scurit implment dans le serveur OmniVista 4760 garantit et centralise la scurit daccs toutes les applications prsentes dans le serveur et accessibles via un client OmniVista 4760. Lapplication de scurit permet de restreindre ou dautoriser : - Le lancement et la gestion de la scurit pour chaque application - La lecture, la modification et la suppression des donnes prsentes par chaque application. - Ladministrateur peut exploiter ces droits de deux faons : Directement pour un utilisateur : dans ce cas, il gre, successivement pour chaque application, le mode daccs de lutilisateur, Via des groupes d'annuaires entreprise pralablement dfinis : dans ce cas, il octroie lutilisateur un profil global daccs un ensemble dapplications. Le manuel dadministration 3BH 19260 Section 10 Scurit prsente les groupes et utilisateurs prdfinis, leurs droits associs, ainsi que la gestion de nouveaux comptes dutilisateurs et de groupes. 6.3.1.1 Interface utilisateur Lors de louverture du client dadministration, seules les applications rpondant aux licences prsentes et pour lesquelles lutilisateur dispose dun droit daccs, seront accessibles. Dans le cas o lutilisateur ne dispose pas de tous les droits daccs : - Il ne verra pas les icnes des applications qui lui sont interdites. - Lors des oprations de gestion, une partie des donnes lui sera masque. Sccurisaiicn !cs !cnnccs OnniVisia 4760 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 6-7 - Les oprations dcriture/suppression pourront lui tre refuses. Dans ce cas, la fentre du journal de lapplication indique quil ne dispose pas de droits suffisants. 6.3.1.2 Administration par le serveur OmniVista 4760 Laccs aux applications et leurs donnes est soumis des rgles de scurit dfinies au niveau de la branche nmc\NmcApplications de lannuaire systme. Ces rgles sont appeles niveaux daccs. La gestion du serveur OmniVista 4760 permet : - daffecter par application, un niveau daccs chaque utilisateur ; - dexploiter un groupe prdfini qui accde un ensemble dapplications. Par dfaut, seul lutilisateur AdminNMC dispose de droits dans lapplication OmniVista 4760. Les groupes prdfinis utiliss pour accder aux applications sont vides. 6.3.1.3 Niveaux daccs - Globalement, chaque application offre les niveaux d'accs suivants : Lancement, Lecture, Modification, Gestion, Tout. - Des droits supplmentaires ont t ajouts pour sadapter aux besoins spcifiques des applications. Applications Droit spcifique Annuaire Prise en compte du champ Confidentialit des entres dannuaire. Pour les connexions directes au serveur annuaire (par 4059, 4980, OmniPCX En- treprise, la recherche de personnes de Windows, ...), le serveur utilise uni- quement les listes de contrles daccs dfinies dans la console du serveur LDAP. Pour plus dinformations, se reporter la section Confidentialit des donnes dannuaire . Alarme Action de correction prise en compte. Maintenance Restriction aux objets PCX par rapport PCX + 4760. Configuration Prise en compte du profil de configuration qui limite laccs aux objets du PCX. Ce droit est stock directement sous lattribut ACL de lentre NmcAp- plications\Configuration. Exemple d'attribution du profil 0 l'utilisateur AdminNMC : AL- LOW(0)USER("uid=AdminNmc, or=Administrators, or=Administration, y=Alcatel, y=Directoryroot"). Les objets soumis un profil particulier sont stocks sous la branche NmcAp- plications\Configuration. Comptabilit En plus du niveau daccs, les branches de lorganisation peuvent tre scu- rises en grant un domaine de visibilit. Procdure de gestion des niveaux daccs 1. Crer un login utilisateur : Lancer la gestion de l'OmniVista 4760 en tant quadministrateur AdminNmc. Ouvrir le module Annuaire (onglet Entreprise). Crer une nouvelle entre pour servir de login, de prfrence sous la branche Annuaire <Racine Entreprise>\Administration\Administrateur. Attribuer un mot de passe cette entre. Chapitre 6 Sccurisaiicn !cs !cnnccs OnniVisia 4760 6-8 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 2. Attribuer un droit daccs. Slectionner le menu Scurit \ Rapport. Note : il existe dj un utilisateur AdminNMC et divers groupes qui disposent de droits cette application. Ajouter le login dfini ci-dessus. Modifier le niveau daccs pour Modification. Tester une connexion avec ce login. Procdure de gestion des groupes prdfinis 1. Crer un login utilisateur. Lancer la gestion de l'OmniVista 4760 en tant quadministrateur AdminNmc. Ouvrir le module Annuaire, onglet Entreprise. Crer une nouvelle entre pour servir de login, de prfrence sous la branche Annuaire <Racine Entreprise>\Administration\Administrateur. Attribuer un mot de passe cette entre. 2. Attribuer un droit daccs (par exemple sur lapplication Rapport) : Slectionner le groupe Expert taxation sous la branche Annuaire <Racine Entreprise>\Administration\Groupes\. Modifier lattribut membre. Ajouter le login dfini ci-dessus. 6.3.2 Confidentialit des donnes dannuaire Le serveur OmniVista 4760 permet laccs des donnes de type annuaire via son interface Web. Pour accder au mode modification ou visualiser des donnes prives, il faut sauthentifier au moyen de licne Authentification. Lauthentification est valable jusqu ce que les fentres du navigateur Web soient toutes fermes. Afin de garantir la confidentialit des donnes de l'annuaire de l'OmniVista 4760, il est donc recommand : - De personnaliser la prsentation graphique de lannuaire Web afin de slectionner les donnes affiches et ditables dans lannuaire Web. - D'attribuer aux utilisateurs potentiels des droits d'accs aux entres d'annuaire et leurs attributs : pour cela, il existe des groupes et des niveaux d'accs prdfinis dans l'annuaire de l'OmniVista 4760. - De grer les instructions de contrle d'accs (ACI) du serveur LDAP de l'OmniVista 4760 : laccs aux entres dannuaire et leurs attributs est soumis des rgles de confidentialit dfinies au niveau du serveur LDAP. Ces rgles, appeles Instruction de Contrle dAccs (ACI), prdfinies dans lannuaire de l'OmniVista 4760, peuvent tre modifies. 6.3.2.1 Personnalisation de linterface utilisateur Cette personnalisation est dcrite dans la documentation utilisateur 3BH19260 Section 3 Annuaire Chapitre 8 Annuaire HTML Configuration. La personnalisation de linterface concerne : - Les images utilises dans la page HTML. Sccurisaiicn !cs !cnnccs OnniVisia 4760 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 6-9 - Les champs : affichs dans la prsentation des entres dannuaire sous forme de grille ; imprims aprs la slection dune grille ; affichs dans la prsentation des entres dannuaire sous forme de fiche ; affichs dans la prsentation dune entre dannuaire modifiable. - Le nombre dentres : prsent dans une grille ; renvoy suite une recherche dannuaire. La prsentation graphique de linterface annuaire Web est unique et sapplique tous les utilisateurs. Si lutilisateur na pas accs un champ, le label du champ sera visible mais la valeur du champ sera masque. Le choix des paramtres affichs napporte pas de confidentialit sur les champs non prsents. Au niveau de chaque entre, licne en forme de Loupe permet daccder tous les attributs. Pour personnaliser linterface : - Lancer la gestion de l'OmniVista 4760. - Ouvrir le module Annuaire. - Dans longlet Systme, accder nmc\NmcConfiguration\GlobalPreferences\DirectoryClient\DetailAttributes. - Modifier les paramtres. - Rafrachir la page Web de consultation de lannuaire. Note : Cette personnalisation est mise en cache dans le rpertoire 4760\WebClient\Preference\. En cas de restauration dune version ou de mise jour, effacer le contenu de ce rpertoire pour rinitialiser le cache. La prochaine connexion par un client annuaire recre ce cache automatiquement. 6.3.2.2 Attribution des droits daccs aux donnes dannuaire Laccs aux entres annuaires est contrl pour chaque entre par : - son attribut de confidentialit (Vert, Orange, Rouge et Administration 4760) ; - ses attributs privs/publics ; - son mode d'accs : lecture seule ou lecture + modification. Un accs anonyme permet de lancer lannuaire Web et de lire les attributs publics de toutes les entres de confidentialit dfinies sur Non renseign et Vert. Pour accder aux autres types dentres annuaires, aux attributs privs et la modification des entres, il faut une authentification (login et mot de passe) et lattribution dun droit dans lannuaire 4760. Procdure: pour attribuer un droit de consultation un utilisateur de lannuaire 4760, suivez la procdure ci-dessous : 1. Ouvrir le client OmniVista 4760 et utiliser un compte administrateur OmniVista 4760 pour vous connecter. 2. Ouvrir le module Annuaire. Chapitre 6 Sccurisaiicn !cs !cnnccs OnniVisia 4760 6-10 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 3. Crer une nouvelle entre pour servir de login, de prfrence sous la branche <Nom de lentreprise>\Administration\Administrateur, ou slectionner une entre existante (de type personne). 4. Attribuer un mot de passe cette entre. 5. Slectionner un groupe de consultation, par exemple Consultation partielle liste orange, sous la branche <Nom de lentreprise>\Administration\Groupes\. Modifier lattribut membre. Ajouter le login dfini ou slectionn prcdemment et valider. La documentation utilisateur 3BH 19260 Section10 Scurit prsente les groupes prdfinis et leurs droits associs. Une gestion quivalente au groupe prdfini de lannuaire entreprise consiste utiliser les niveaux daccs prdfinis de lannuaire. Lancer le menu Scurit Annuaire de l'OmniVista 4760 : Note 1 : Le groupe Consultation partielle liste orange possde dj le niveau daccs Consult. partielle liste or- ange. - Ajouter le login dfini ci-dessus. - Modifier le niveau daccs pour Consult. partielle liste orange. Note 2 : Quelle que soit la mthode, lattribution dun droit annuaire permet galement de lancer le client dadministration Annuaire. 6.3.2.3 Administration des ACI du serveur LDAP - Description des ACI Les instructions de contrle daccs (ACI) du serveur LDAP sont dfinies au niveau dune branche de lannuaire. Elle comporte les lments suivants : Elments Champ ACI Explication ACI Name ACI Nom de la rgle Utilisateur/ Groupes Userdn Liste des logins et groupe pouvant exploiter la rgle droite Autoriser Droits octroys par la rgle : lecture, criture, etc. Cible targetattr Attributs qui seront visibles Cible targetfilter Critre pour rechercher les entres annuaires qui se- ront visibles Syntaxe != Diffrent de ... Syntaxe || Ou logique... Par exemple, la rgle Anonymous1 , dcrite ci-dessous, dfinit la consultation anonyme, cest--dire la lecture seule pour les champs publics des entres dannuaire non confidentielles. Sccurisaiicn !cs !cnnccs OnniVisia 4760 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 6-11 (targetattr != "homePhone || homePostalAddress || carLicense || employeeNumber || costcen- terName || userPassword") (targetfilter != (|(cl=CL_O)(cl=CL_R)(cl=CL_A))) (version 3.0; ACI "Anonymous 1"; allow (read,compare,search) (userdn = "ldap :///anyone") ;) - Gestion des ACI Une gestion personnalise des ACI peut tre ralise pour : limiter les champs visibles lors dune connexion anonyme ; modifier le mode daccs (lecture, criture) des attributs, etc. Lexemple ci-dessous dcrit la procdure suivre pour modifier la rgle Anonymous1 . Objectif de la modification : interdire laccs au champ Mobile en consultation anonyme. Procdure : 1. Lancer la console dadministration du serveur LDAP. Login : cn=directory manager Mot de passe : celui saisi linstallation de l'OmniVista 4760. 2. Ouvrir larborescence jusqu Directory server 4760 et cliquer sur Open. 3. Au niveau de longlet Directory dans larbre, accder lentre o=Nom de la racine Annuaire entreprise. Les rgles daccs sont indiques (exemple 13 acis). 4. Afficher lditeur des rgles daccs pour la rgle Anonyme. Par le menu Objet \ Set Access Permission : Slectionner la rgle Anonymous1. Cliquer sur Modifier. 5. En dition manuelle, pour rendre Mobile non visible Insrer Mobile || aprs TargetAttr != pour obtenir TargetAttr != Mobile || HomePhone .... Valider la modification en slectionnant OK. 6. Tester votre modification en login anonyme (cest--dire non logu) : Via le Web, effectuer une recherche dentre dannuaire. Sur la fiche, la valeur du champ Mobile ne saffiche plus. 6.3.3 Confidentialit des donnes de taxation et dobservation de trafic Outre la dfinition de niveaux daccs, il est recommand de grer des domaines de visibilit de lorganisation de la taxation et de dfinir des profils de masquage. Ceci permet de renforcer la confidentialit des donnes de taxation et dobservation de trafic, accessibles depuis les interfaces des applications Taxation/Trafic/VoIP et Rapports. La mise en oeuvre des domaines de visibilit de lorganisation de la taxation est dcrite dans le manuel dadministration 3BH 19260 Section 10 Scurit. La gestion des profils de masquage et leur utilisation est dcrite dans le manuel dadministration 3BH 19260 Section 10 Taxation. 6.4 Procdure de changement des mots de passe Chapitre 6 Sccurisaiicn !cs !cnnccs OnniVisia 4760 6-12 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic Au cours de linstallation de l'OmniVista 4760, quatre mots de passe sont configurs : - Admin pour ladministrateur de lannuaire Netscape ; - Directory Manager pour le gestionnaire de lannuaire Netscape ; - AdminNmc pour ladministrateur OmniVista 4760 ; - DBA pour le compte daccs la base de donnes Sybase. - Gestionnaire de duplication utilis par LDAP pour les oprations de duplication Afin de renforcer la scurit daccs aux donnes du serveur OmniVista 4760 et la confidentialit de ces donnes, il est recommand de : - Ne pas utiliser AdminNmc aprs la gestion gnrale de l'OmniVista 4760. Crer dautres comptes administrateur ou gestionnaire afin de conserver les prfrences des diffrents utilisateurs, et conserver toujours un compte superviseur en cas de perte du mot de passe. - Compte tenu de lutilit des comptes dadministration, changer rgulirement leurs mots de passe respectifs et les conserver en mmoire. Procdure de mise jour des mots de passe des comptes dadministration des bases de donnes (Netscape et Sybase), AdminNMc et du gestionnaire de duplication. 1. Dans le rpertoire 4760\bin, cliquer deux fois sur licne ToolsOmnivista.exe et entrer le mot de passe de Directory Manager. La fentre suivante apparat : 2. Slectionner le choix 1 Password Update . Figure 6.6 : Fentre E:\4760\bin\ToolsOmnivista.exe 3. Slectionner le mot de passe mettre jour (choix 1 3). 4. Saisir le nouveau mot de passe deux fois. Sccurisaiicn !cs !cnnccs OnniVisia 4760 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 6-13 5. Slectionner 0 pour quitter. Attention : Dans le cas de sauvegardes programmes avec danciens mots de passe, celles-ci ne seront pas effectues. Re-programmez les sauvegardes en utilisant le nouveau mot de passe. Note : Aprs que le mot de passe du gestionnaire de duplication de l'esclave a t modifi, tous les contrats de duplication de l'OmniVista 4760 doivent tre mis jour. 6.5 Scurisation des notifications dalarmes urgentes OmniPCX Office Depuis la version R5.0 de l'OmniPCX Office, il est recommand de recevoir les alarmes urgentes sur le serveur OmniVista 4760 par notification HTTP afin dviter ltablissement dune connexion permanente entre le PCX et le serveur OmniVista 4760. En outre, lors de la configuration dOmniPCX Office dans lannuaire systme : - Choisir le mode HTTP avec authentification. - Choisir lutilisation dun proxy avec authentification 6.6 Scuriser laccs lannuaire LDAP par des applications externes. Des applications externes telles que lapplication Alcatel 4059, le dbordement LDAP pour lannuaire de l'Alcatel-Lucent OmniPCX Enterprise CS ou des outils de duplication LDAP peuvent se connecter lannuaire LDAP de l'OmniVista 4760. Afin de scuriser ces accs externes, il est fortement recommand de : - Activer IPsec sur le serveur OmniVista 4760 (voir module Scurit - How to Secure the OmniVista 4760 Data? - Deploying IPsec in a Remote Client-Server Configuration ). - Activer IPsec sur les machines hbergeant les applications externes. 6.7 Autres Recommandations Afin de renforcer la scurit du systme hbergeant le serveur OmniVista 4760, il est recommand de : - dsactiver les comptes Windows inutiliss ; - dsactiver les services Windows inutiles (voir le descriptif des services dans la section module Scurit - Deploying the OmniVista 4760 in a Secure Network Configuration - IP Traffic on Server ) ; - dsactiver la mise jour automatique de Windows (AutomaticUpdates) ; - utiliser un serveur ddi pour tlcharger les patches de scurit de Windows (fournis par Microsoft), puis les dployer sur le systme hbergeant le serveur OmniVista 4760 ; - protger l'accs au rpertoire 4760\bin : ce rpertoire contient les outils de connexion aux bases du serveur OmniVista 4760 ; Chapitre 6 Sccurisaiicn !cs !cnnccs OnniVisia 4760 6-14 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic - protger l'accs au rpertoire du serveur OmniVista 4760 4760\log : ce rpertoire peut contenir les donnes de connexion du serveur (login et mot de passe) ; - activer le pare-feu Windows, et ne slectionner que les exceptions utiles au fonctionnement en rseau du serveur OmniVista 4760 (suivant les fonctionnalits exploites sur le site client). - Alarmes urgentes de l'OmniPCX Office : HTTP/ login et authentification Sccurisaiicn !cs !cnnccs OnniVisia 4760 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 6-15 Chapitre 6 Sccurisaiicn !cs !cnnccs OnniVisia 4760 6-16 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic