NetScreen Instant Virtual Extranet Platform

Transcription

Allows for variable-width spine. Assume for now that spine is 1.25" wide; maximum spine width is 2.5".
Juniper Networks, Inc. has sales offices worldwide.
For contact information, refer to www.juniper.net.
530-010089-01, Revision 1
A book with .25" spine would cut here.
A book with 2.5" spine would cut here.
Juniper Networks, Inc.
Printed on recycled paper
Juniper
Networks,
Inc.
A 1.25" spine would fold here.
A 2.5" spine would fold here.
NetScreen Secure Access
NetScreen Secure Access FIPS
NetScreen Secure Meeting
Administration
NetScreen Instant Virtual Extranet Platform
Cover size is 8.3 x 10.75".
This is the hardware version: has blue line and blue bar
1194 North Mathilda Avenue
Sunnyvale, CA 94089 USA
Phone 408 745 2000 or 888 JUNIPER
Fax 408 745 2100
™
CORPORATE HEADQUARTERS
M320 Internet Router Hardware Guide
™
M-series Routing Platforms
www.juniper.net
Juniper Networks NetScreen-SA
Juniper Networks NetScreen-SA FIPS
Juniper Networks NetScreen-SM
Administration
Version 4.1.1
1194 North Mathilda Avenue
Sunnyvale, CA 94089
États-Unis
408-745-2000
www.juniper.net
Référence : 411B080604
Juniper Networks, le logo Juniper Networks, NetScreen, NetScreen Technologies, le logo NetScreen, NetScreen-Global Pro, ScreenOS et GigaScreen sont des
marques déposées de Juniper Networks, Inc. aux États-Unis et dans d’autres pays.
Juniper Networks, le logo Juniper Networks, NetScreen, NetScreen Technologies, Neoteris, Neoteris-Secure Access, Neoteris-Secure Meeting, NetScreen-SA
1000, NetScreen-SA 3000, NetScreen-SA 5000, IVE, GigaScreen et le logo NetScreen sont des marques déposées de Juniper Networks, Inc. NetScreen-5GT,
NetScreen-5XP, NetScreen-5XT, NetsukeRéférence : 411B080604en-25, NetScreen-50, NetScreen-100, NetScreen-204, NetScreen-208, NetScreen-500,
NetScreen-5200, NetScreen-5400, NetScreen-Global PRO, NetScreen-Global PRO Express, NetScreen-Remote Security Client, NetScreen-Remote VPN Client,
NetScreen-IDP 10, NetScreen-IDP 100, NetScreen-IDP 500, GigaScreen ASIC, GigaScreen-II ASIC et NetScreen ScreenOS sont des marques commerciales de
Juniper Networks, Inc. Toutes les autres marques commerciales et marques déposées sont la propriété de leurs détenteurs respectifs.
Copyright © 2001 D. J. Bernstein. Copyright © 1985-2003 par le Massachusetts Institute of Technology. Tous droits réservés. Copyright © 2000 par
Zero-Knowledge Systems, Inc. Copyright © 2001 Dr Brian Gladman <[email protected]>, Worcester, Royaume-Uni. Tous droits réservés. Copyright
© 1989, 1991 Free Software Foundation, Inc. Copyright © 1989, 1991, 1992 par la Carnegie Mellon University. Travaux dérivés - 1996, 1998-2000.
Copyright © 1996, 1998-2000 The Regents of the University of California. Tous droits réservés. Copyright © 1999-2001 The OpenLDAP Foundation,
Redwood City, Californie, États-Unis. Tous droits réservés. L’autorisation de copier et de distribuer des copies intégrales de ce document a été accordée.
Copyright © 1995 Tatu Ylonen <[email protected]>, Espoo, Finlande. Tous droits réservés. Copyright © 1986 Gary S. Brown. Copyright © 1998 CORE SDI S.A.,
Buenos Aires, Argentine. Copyright © 1995, 1996 par David Mazieres <[email protected]>. Copyright © 1998-2002. The OpenSSL Project. Tous droits
réservés. Copyright © 1989-2001, Larry Wall. Tous droits réservés. Copyright © 1989, 1991 Free Software Foundation, Inc. Copyright © 1996-2002 Andy
Wardley. Tous droits réservés. Copyright © 1998-2002. Canon Research Centre Europe Ltd. Copyright © 1995-1998. Jean-loup Gailly et Mark Adler.
Juniper Networks NetScreen-SA, NetScreen-SA FIPS et NetScreen-SM Administration, version 4.1.1
Copyright © 2004, Juniper Networks, Inc.
Tous droits réservés. Imprimé aux États-Unis.
Rédacteurs : Carolyn A. Harding, Claudette deGiere, Dana Marcell
Rédacteurs en chef : Carolyn A. Harding, Claudette deGiere, Dana Marcell
Historique des versions
6 août 2004 — Version finale
Juniper Networks décline toute responsabilité quant à la présence d’imprécisions dans ce document. Juniper Networks se réserve le droit de modifier,
transférer ou réviser de toute autre manière la présente publication sans avertissement préalable.
Table des matières
Préface
....................................................................................................................... ix
Pièce 1. Série IVE ................................................................................................... 1
Présentation de la plate-forme Juniper Networks Instant Virtual Extranet ............ 3
Présentation générale d’Access Series ..................................................................... 7
Présentation générale d’Access Series FIPS ............................................................ 9
Présentation générale de la Meeting Series ............................................................ 13
Fonctionnalités de Secure Meeting ......................................................................... 14
Environnements pris en charge par Secure Meeting ............................................... 18
Dépannage de Secure Meeting ............................................................................... 19
Présentation de la gestion des accès ...................................................................... 21
Stratégies, règles & restrictions et conditions .......................................................... 21
Définition des exigences de sécurité ....................................................................... 24
Présentation générale des royaumes d’authentification ....................................... 29
Serveurs d’authentification ...................................................................................... 29
Stratégies d’authentification ..................................................................................... 30
Serveurs d’annuaires ...............................................................................................31
Onglet Correspondance de rôles ............................................................................. 31
Présentation générale des stratégies de ressources ............................................. 33
Définition des ressources pour une stratégie de ressources ................................... 37
Rédaction d’une règle détaillée ............................................................................... 43
Présentation générale des rôles d’utilisateur ......................................................... 45
Pièce 2. Fonctionnalités du système IVE ............................................. 49
Présentation générale de Central Manager ............................................................. 51
Présentation générale des certificats ...................................................................... 53
Certificats de serveur multiples ................................................................................ 55
Certificats d’applet ................................................................................................... 56
Hiérarchies de certificats .........................................................................................57
CRL .......................................................................................................................... 58
Présentation générale de la mise en cluster ........................................................... 61
Présentation générale de la mise en cluster ............................................................ 61
Déploiement de deux unités dans un cluster Actif/Passif ........................................ 62
Déploiement de plusieurs unités dans un cluster Actif/Actif .................................... 63
Synchronisation d’état ............................................................................................. 65
Déploiement d’un cluster dans un environnement Access Series FIPS ..................66

iii
Présentation générale de l’administration déléguée .............................................. 69
Présentation du Client courriel ................................................................................ 71
Choix d’un client de courriel ..................................................................................... 72
Utilisation d’un serveur de courriel normalisé .......................................................... 72
Utilisation du serveur Microsoft Exchange ............................................................... 73
Utilisation de Lotus Notes et d’un serveur de courriel Lotus Notes ......................... 75
Présentation de la défense de point final ................................................................ 77
Présentation générale du vérificateur d’hôte ........................................................... 78
Présentation générale du nettoyeur de cache ......................................................... 83
Présentation générale des appareils portables et des PDA .................................. 87
Enregistrement et Contrôle : présentation .............................................................. 91
Degrés de gravité du fichier journal ......................................................................... 92
Fichiers journaux filtres personnalisés ..................................................................... 93
Présentation de Network Connect ........................................................................... 95
Présentation générale du proxy intermédiaire ....................................................... 97
Présentation générale du Gestionnaire d’applications sécurisé .......................... 99
Présentation générale du Gestionnaire d’applications sécurisé Windows (W-SAM) 99
Présentation générale du Gestionnaire d’applications sécurisé Java (J-SAM) ..... 101
Prise en charge améliorée de MS Exchange ........................................................ 105
Prise en charge améliorée de Lotus Notes ............................................................ 107
Prise en charge améliorée de Citrix NFuse ........................................................... 108
Présentation générale de Secure Meeting ............................................................ 111
Présentation générale de l’ouverture de session unique .................................... 113
Présentation générale de la SSO distante ............................................................. 114
Présentation générale du langage SAML .............................................................. 115
Explication des profils SAML SSO ......................................................................... 117
Explication des stratégies de contrôle d’accès ...................................................... 120
Création d’une relation approuvée entre des systèmes compatibles SAML ......... 121
Pièce 3. Configuration du système IVE ............................................... 127
Configuration de la page État ................................................................................. 129
Onglet Vue d’ensemble ......................................................................................... 129
Onglet Utilisateurs actifs ........................................................................................ 134
Onglet Planification de réunions ............................................................................ 136
Configuration de la page Planification .................................................................. 137
Configuration de la page Configuration ................................................................ 139
Onglet Licence ....................................................................................................... 140
Onglet Sécurité > Options de sécurité ................................................................... 142
Onglet Sécurité > Vérificateur d’hôte ..................................................................... 144
Onglet Sécurité > Nettoyeur de cache ................................................................... 148
iv

Onglet Sécurité > Journaux côté client .................................................................. 151
Onglet Certificats > Certificats de serveur .............................................................152
Onglet Certificats > Certificats de l’autorité de certification ...................................161
Onglet Certificats > Certificat d’applet ...................................................................168
Onglet NCP ............................................................................................................ 169
Onglet Types de client ........................................................................................... 171
Configuration de la page Réseau ........................................................................... 175
Onglet Vue d’ensemble ......................................................................................... 176
Onglet Port interne > Paramètres ..........................................................................178
Onglet Port interne > Ports virtuels ........................................................................ 180
Onglet Port interne > Trajets statiques .................................................................. 181
Onglet Port interne > Cache ARP ..........................................................................183
Onglet Port externe > Paramètres ......................................................................... 184
Onglet Port externe > Ports virtuels ....................................................................... 186
Onglet Port externe > Trajets statiques ................................................................. 187
Onglet Port externe > Cache ARP ......................................................................... 188
Onglet Hôtes ..........................................................................................................189
Onglet Network Connect ........................................................................................ 189
Configuration de la page Mise en grappes ........................................................... 193
Onglet Créer ..........................................................................................................194
Onglet Ajouter ........................................................................................................ 196
Onglet État ............................................................................................................. 199
Onglet Propriétés ................................................................................................... 204
Procédure de la console série ............................................................................... 206
Configuration de la page Surveillance des journaux ........................................... 209
Onglet Événements, Accès des utilisateurs et Accès des administrateurs ........... 209
Onglet SNMP ......................................................................................................... 217
Onglet Statistiques ................................................................................................. 221
Configuration de la page d’ouverture de session ................................................223
Onglet Stratégies d’ouverture de session .............................................................. 223
Onglet Page d’ouverture de session ...................................................................... 229
Onglet Serveurs ..................................................................................................... 236
Configuration d’une instance ACE/Server .............................................................239
Configuration d’une instance Active Directory ou Domaine NT .............................243
Configuration d’une instance de serveur anonyme ............................................... 247
Configuration d’une instance de serveur de certificats .......................................... 249
Configuration d’une instance de serveur LDAP ..................................................... 253
Configuration d’une instance de serveur IVE locale .............................................. 258
Configuration d’une instance de serveur NIS ........................................................ 265
Configuration d’une instance de serveur RADIUS ................................................. 267
Configuration d’une instance de serveur Netegrity SiteMinder .............................. 271
Affichage et suppression des sessions utilisateur ................................................. 297
Configuration de la page Délégation ..................................................................... 299
Onglet Général > Vue d’ensemble ......................................................................... 301
Onglet Général > Restrictions................................................................................ 303
Onglet Général > Options de session.................................................................... 305
Onglet Général > Options IU ................................................................................. 307

v
Onglet Système ..................................................................................................... 308
Onglet Utilisateurs > Rôles .................................................................................... 311
Onglet Utilisateurs > Domaines d’authentification ................................................. 313
Onglet Stratégies de ressources ........................................................................... 315
Configuration d’un domaine d’authentification .................................................... 317
Onglet Général ...................................................................................................... 317
Onglet Stratégie d’authentification ......................................................................... 319
Onglet Correspondance de rôles ........................................................................... 320
Configuration de la page Rôles .............................................................................. 330
Onglet Général > Vue d’ensemble ......................................................................... 333
Onglet Général > Restrictions................................................................................ 334
Onglet Général > Options de session.................................................................... 336
Onglet Général > Options IU ................................................................................. 340
Onglet Web > Signets ............................................................................................ 343
Onglet Web > Options ........................................................................................... 345
Onglet Fichiers > Signets Windows ....................................................................... 347
Onglet Fichiers > Signets UNIX ............................................................................. 348
Onglet Fichiers > Options ...................................................................................... 349
Onglets SAM > Applications .................................................................................. 353
Onglet SAM > Options ........................................................................................... 360
Onglet Telnet/SSH > Sessions .............................................................................. 365
Onglet Telnet/SSH > Options ................................................................................ 366
Configuration de la page Services de terminal Windows .................................... 369
Onglet Services de terminal Windows > Sessions ................................................ 369
Onglet Services de terminal Windows > Options................................................... 370
Onglet Réunions .................................................................................................... 373
Onglet Network Connect ........................................................................................ 377
Configuration de la page Nouvel utilisateur ......................................................... 379
Configuration de la page Web ................................................................................ 381
Onglet Accès ......................................................................................................... 385
Onglet Mise en cache > Stratégies ........................................................................ 386
Onglet Mise en cache > Options ............................................................................ 388
Onglet Java > Contrôle d’accès ............................................................................. 389
Onglet Java > Signature de code .......................................................................... 390
Onglet Réécriture > Réécriture sélective ............................................................... 392
Onglet Réécriture > Proxy intermédiaire ................................................................ 393
Onglet SSO distante > POST de formulaire .......................................................... 395
Onglet SSO distante > En-têtes/Cookies ............................................................... 397
Onglet SAML > SSO .............................................................................................. 398
Onglet SAML > Contrôle d’accès ........................................................................... 403
Onglet Proxy Web > Stratégies ............................................................................. 406
Onglet Proxy Web > Serveurs ............................................................................... 408
Onglet Lancer JSAM .............................................................................................. 408
Onglet Options ....................................................................................................... 410
Configuration de la page Fichiers .......................................................................... 413
Onglet Windows > Accès ....................................................................................... 414
vi

Onglet Windows > Données d’identification .......................................................... 415
Onglet UNIX/NFS .................................................................................................. 418
Onglet Codage ....................................................................................................... 420
Onglet Options ....................................................................................................... 421
Configuration de la page SAM ................................................................................423
Onglet Accès ......................................................................................................... 424
Onglet Options ....................................................................................................... 426
Configuration de la page Telnet/SSH ..................................................................... 427
Onglet Accès ......................................................................................................... 428
Onglet Options ....................................................................................................... 429
Configuration de la page Stratégies des services de terminal Windows ........... 431
Onglet Accès ......................................................................................................... 431
Onglet Options ....................................................................................................... 433
Configuration de la page Network Connect .......................................................... 435
Onglet Accès ......................................................................................................... 436
Onglet Pools d’adresses IP ................................................................................... 437
Onglet Réseaux de split-tunneling ......................................................................... 439
Configuration de la page Réunions ....................................................................... 441
Configuration de la page Client de courriel .......................................................... 445
Configuration de la page Système ......................................................................... 449
Onglet Plate-forme ................................................................................................. 449
Onglet Mise à niveau/Mise à niveau inférieure ......................................................450
Onglet Options ....................................................................................................... 451
Onglet Systèmes d’installation ............................................................................... 452
Configuration de la page Importer/Exporter ......................................................... 455
Onglet Configuration .............................................................................................. 455
Onglet Comptes d’utilisateur .................................................................................. 458
Onglet Importer/Exporter XML ............................................................................... 459
Configuration de la page Pousser Config .............................................................463
Configuration de la page Archivage ...................................................................... 467
Onglet Serveur FTP ............................................................................................... 467
Onglet Sauvegardes locales .................................................................................. 470
Configuration de la page Dépannage .................................................................... 473
Onglet Sessions d’utilisateurs > Simulation ........................................................... 473
Sessions d’utilisateurs > Suivi des stratégies ........................................................ 477
Onglet Enregistrement des sessions ..................................................................... 480
Onglet Instantané du système ............................................................................... 481
Onglet Vidage TCP ................................................................................................ 482
Onglet Commandes ............................................................................................... 484
Onglet Débogage à distance ................................................................................. 484
Onglet Journal de débogage ................................................................................. 485

vii
Pièce 4. Informations supplémentaires ............................................... 487
Annexe A. Utilisation de la console série IVE............................................................ 489
Annexe B. Rédaction d’expressions personnalisées ............................................... 499
Variables système et exemples ............................................................................. 504
Annexe C. Pages d’ouverture de session personnalisables.................................... 513
Compréhension du langage des outils pour modèles ......................................... 514
Utilisation des modèles de samples.zip ................................................................ 518
Pages de pré-authentification IVE ......................................................................... 519
Pages de pré-authentification ACE ........................................................................ 530
Pages de pré-authentification ACE avec Netegrity ................................................ 531
Pages de gestion du mot de passe ....................................................................... 531
Utilisation des modèles de SoftID.zip .................................................................... 532
Utilisation des modèles de Kiosk.zip ..................................................................... 533
Annexe D. vérificateur d’hôte Interfaces.................................................................... 535
Interface client du vérificateur d’hôte .................................................................... 536
Interface d’intégration de serveur du vérificateur d’hôte .................................... 540
Annexe E. Utilisation du lanceur W-SAM ................................................................... 545
Exécution manuelle de scripts ............................................................................... 547
Exécution automatique de scripts .......................................................................... 548
Annexe F. Utilisation du service d’installation Juniper ............................................ 551
Compatibilité avec les antivirus ............................................................................. 551
Installation sur des systèmes clients ..................................................................... 552
Annexe G. XML des graphes du tableau de bord Central Manager......................... 553
Annexe H. Authentification et autorisation : organigramme.................................... 557
Annexe I. Configuration des options de gestion des accès..................................... 561
Restrictions d’adresse IP source ........................................................................... 562
Restrictions de navigateur ..................................................................................... 563
Restrictions de certificat ......................................................................................... 565
Restriction de mot de passe .................................................................................. 566
Restrictions Vérificateur d’hôte .............................................................................. 567
Restrictions du nettoyeur de cache ....................................................................... 568
Index .......................................................................................................................... 571
viii

Préface
Le présent guide fournit toutes les informations requises pour comprendre,
configurer et gérer un système NetScreen Instant Virtual Extranet (IVE),
à savoir :
• Une présentation qui vous permettra de vous familiariser avec les
produits Access Series et Meeting Series et le système sous-jacent de
gestion des accès
• Une présentation des fonctionnalités élémentaires et avancées, ainsi
que des options de mise à niveau
• Des instructions pour la configuration et la gestion de votre Système IVE
ou de votre cluster
Public visé
Le présent guide est destiné aux administrateurs système chargés de
la configuration de l’un des produits Access Series et Meeting Series
suivants :
NetScreen-SA 1000
NetScreen-SA 3000
NetScreen-SA 5000
NetScreen-SA FIPS
NetScreen-SM 3000
Informations complémentaires
Pour obtenir de l’aide au cours de l’installation, reportez-vous au guide
d’installation fourni avec le produit. Pour télécharger la dernière version du
système d’exploitation IVE et le Guide d’administration correspondant, au
format PDF, ainsi que les notes de version, rendez-vous sur le site du
service d’assistance de Juniper Networks.

ix
Guide d’administration de NetScreen Secure Access et Secure Meeting
x

Pièce 1
Série IVE
Cette section décrit la plate-forme NetScreen Instant Virtual Extranet (IVE),
les gammes de produits Access Series et Meeting Series développées sur
cette plate-forme et le système de gestion des accès utilisé par les produits
Access Series et Meeting Series.
Table des matières
Présentation de la plate-forme Juniper Networks Instant Virtual Extranet ....3
Présentation générale d’Access Series.................................................... 7
Présentation générale d’Access Series FIPS........................................... 9
Présentation générale de la Meeting Series........................................... 13
Présentation de la gestion des accès..................................................... 21
Présentation générale des royaumes d’authentification......................... 29
Présentation générale des stratégies de ressources ............................. 33
Présentation générale des rôles d’utilisateur.......................................... 45
Présentation générale de Secure Meeting ............................................111
Série IVE

1
2

Série IVE
Présentation de la plate-forme Juniper Networks Instant
Virtual Extranet
La plate-forme Juniper Networks Instant Virtual Extranet (IVE) est
l’infrastructure matérielle et logicielle sous-jacente de tous les systèmes
VPN SSL et Secure Meeting de Juniper Networks. Ces produits vous
permettent d’offrir à vos employés, partenaires et clients, où qu’ils se
trouvent, un accès sécurisé et contrôlé aux serveurs de fichiers de votre
entreprise, à ses serveurs web, à sa messagerie native et à ses clients
de courriel, à ses serveurs hébergés, etc., à l’aide de n’importe quel
navigateur web.
Qu’est-ce que la plate-forme Instant Virtual Extranet?
La plate-forme Instant Virtual Extranet est un robuste système réseau qui
offre un niveau de sécurité élevé en servant d’intermédiaire dans les flux de
données échangés entre les utilisateurs externes et les ressources internes,
telles que :
• Serveurs MS Terminal
• Serveurs MS Exchange
• Serveurs Lotus Notes
• Serveurs de courriel Internet
• Applications basées sur un terminal (IBM 3270, VT100)
• Documents sur des serveurs de fichiers
• Applications d’entreprise basées sur le Web
• Pages d’intranet
Les produits qui reposent sur la plate-forme IVE rendent superflus tout
déploiement d’outils pour extranet dans une DMZ traditionnelle ainsi que la
fourniture d’un VPN d’accès distant aux employés. La plate-forme IVE sert
d’intermédiaire pour l’échange de données entre les connexions externes,
qui lui transmettent des demandes sécurisées, et les ressources internes,
auxquelles il soumet les demandes émanant d’utilisateurs authentifiés.

3
Figure 1 : Un Système IVE fonctionnant avec un LAN
Comment fonctionnent les produits basés sur la plate-forme IVE ?
La plate-forme IVE fait office de passerelle sécurisée active au niveau des
applications et sert d’intermédiaire pour toutes les demandes entre le
réseau Internet public et les ressources internes de l’entreprise. Toutes
les demandes qui accèdent au système IVE sont déjà chiffrées par le
navigateur de l’utilisateur final, à l’aide d’un chiffrement 128 bits ou 168
bits SSL/HTTPS. Les demandes non chiffrées sont rejetées. Chaque
demande est soumise à des stratégies de contrôle d’accès définies par
un administrateur (y compris une authentification à deux facteurs ou des
certificats numériques côté client) avant d’être transmise à vos ressources
internes. Comme la plate-forme IVE fournit une couche de sécurité robuste
entre le réseau Internet public et les ressources internes, l’administrateur
ne doit pas passer son temps à gérer les stratégies de sécurité et corriger
les défaillances de sécurité pour les multiples applications et serveurs Web
déployés dans la DMZ présentée au public.
La plate-forme Instant Virtual Extranet sert d’intermédiaire pour
l’accès à de nombreux types d’applications et de ressources, à l’aide
de simples technologies de navigateurs Web. L’utilisateur peut accéder
par authentification aux ressources protégées via une session extranet
hébergée par le système. À partir de tout navigateur Web connecté à
Internet, l’utilisateur peut accéder, par le biais d’une session Web sécurisée,
à des applications d’entreprise riches basées sur le Web, à des applications
Java, à des partages de fichiers, à des hôtes de terminal et à d’autres
applications client/serveur, telles que Microsoft Outlook et Lotus Notes.
Comment configurer les produits basés sur la plate-forme IVE ?
Pour configurer les systèmes IVE, vous devez effectuer les cinq tâches de
base suivantes au moyen de la Console Web de l’administrateur :
1. Définition des rôles d’administrateur et d’utilisateur.
Emplacement de la Console Web : Utilisateur > Rôles et
Administrateurs > Délégation
4

Les rôles définissent les paramètres de session des utilisateurs (paramètres
de session et option), les paramètres de personnalisation (personnalisation
de l’interface utilisateur et signets) et les fonctionnalités d’accès activées.
Les systèmes NetScreen-SA SSL VPN offrent plusieurs fonctionnalités
d’accès, à savoir la navigation sur le Web, dans les fichiers et dans les
applications, Telnet/SSH, les services terminal ainsi que l’accès au
réseau, aux réunions et au courriel. contrôlent à quelles ressources les
utilisateurs et les administrateurs peuvent accéder. Par exemple, vous
pouvez créer un rôle permettant aux utilisateurs d’accéder à des
répertoires réseau tout en leur refusant l’accès au Web.
Un système IVE est préconfiguré de sorte à inclure un rôle d’utilisateur
(« Utilisateurs ») et deux rôles d’administrateur (« .Administrateurs » et
« .Administrateurs en lecture seule »).
2. Définition de stratégies de ressources.
Emplacement de la Console Web : Stratégies de ressources
Les stratégies de ressources contrôlent de façon renforcée les ressources
auxquelles les utilisateurs et les administrateurs sont susceptibles
d’accéder. Par exemple, si vous avez activé l’accès aux fichiers au niveau
du rôle, vous pouvez créer une stratégie de ressources qui refuse l’accès
à des répertoires spécifiques sur le réseau de l’entreprise. Lors de la
configuration d’une stratégie de ressources, vous devez préciser quels
rôles utilisent cette stratégie.
Le système IVE NetScreen-SA est préconfiguré avec des stratégies de
ressources permettant à tous les utilisateurs de naviguer sur le Web et
dans les fichiers.
3. Définition des serveurs d’authentification et d’autorisation.
Emplacement de la Console Web : Système > Ouverture de session >
Serveurs
Les serveurs d’authentification et d’autorisation authentifient les
données d’identification de l’utilisateur et déterminent les privilèges
de ce dernier dans le système. Par exemple, vous pouvez utiliser un
serveur de certificat pour authentifier les utilisateurs à partir des attributs
de certificat côté client de ces derniers, puis utiliser un serveur LDAP pour
autoriser les utilisateurs à partir de valeurs contenues dans une liste
d’annulation de certificat (CRL).
Le système IVE est préconfiguré avec un serveur d’authentification local
(« Système Local ») pour authentifier les utilisateurs et un serveur
d’authentification local (« Administrateurs ») pour authentifier les
administrateurs. Au minimum, vous devez ajouter des utilisateurs sur
ces serveurs afin de permettre aux utilisateurs d’accéder au système.
4. Définition de domaines d’authentification.
Emplacement de la Console Web : Utilisateurs > Authentification et
Administrateurs > Authentification
Les domaines d’authentification contiennent des stratégies spécifiant les
conditions que l’utilisateur ou l’administrateur doit remplir afin de pouvoir
ouvrir une session dans les systèmes IVE. Par exemple, vous pouvez
utiliser une stratégie d’authentification pour spécifier que les utilisateurs
peuvent accéder au système uniquement s’ils ouvrent une session à
partir d’une adresse IP particulière ou par l’intermédiaire d’un navigateur
particulier. Lors de la configuration d’un domaine d’authentification, vous
devez créer des règles afin de faire correspondre les utilisateurs aux rôles
et spécifier le ou les serveurs que le système doit utiliser pour authentifier
les membres du domaine et les autoriser.

5
Le système IVE est préconfiguré avec un domaine (« Utilisateurs »)
qui fait correspondre tous les utilisateurs authentifiés par le serveur
« Système Local » au rôle « Utilisateurs ». Le système est également
préconfiguré avec un domaine (« Admin Users ») qui fait correspondre
tous les utilisateurs authentifiés par le serveur « Administrateurs » au
rôle « .Administrateurs ».
5. Définition de stratégies d’ouverture de session.
Emplacement de la Console Web : Système > Ouverture de session >
Stratégies d’ouverture de session
Les stratégies d’ouverture de session définissent les URL employées par
les utilisateurs et les administrateurs pour ouvrir une session dans le
système IVE. Par exemple, si vous achetez le pack Avancé pour un
système NetScreen-SA, vous pouvez utiliser des stratégies d’ouverture
de session afin de créer une URL d’ouverture de session pour votre
service commercial et une autre pour votre service expédition. Une
stratégie d’ouverture de session doit être associée à un ou plusieurs
royaumes lors de sa configuration. Seuls les membres des domaines
spécifiés pourront alors ouvrir une session dans le système à l’aide de
l’URL définie dans la stratégie.
Le système IVE est préconfiguré avec deux stratégies d’ouverture de
session : l’une permet aux membres du domaine « Admin Users »
d’ouvrir une session à l’aide de l’URL « */admin », l’autre permet aux
membres du domaine « Utilisateurs » d’ouvrir une session à l’aide de
l’URL « */ ».
6

Présentation générale d’Access Series
La famille de systèmes Juniper Networks NetScreen Secure Access fournit
toute une gamme de fonctionnalités de modularité, de disponibilité élevée
et de sécurité pour les entreprises. Ces fonctionnalités permettent d’accroître
l’accès distant sécurisé aux ressources réseau. Quelques heures suffisent
pour configurer le système NetScreen-SA afin d’offrir aux utilisateurs un
accès sécurisé :
• aux sites Web internes et aux applications Web de l’entreprise, y
compris des applets Java côté client, à l’aide d’ordinateurs portables ou
de bureau, ou encore d’appareils sans fil de type Pocket PC (standard) ;
• aux serveurs de fichiers internes de l’entreprise (NFS et CIFS) ainsi
qu’aux fonctions de transfert de fichiers vers et depuis n’importe quel
répertoire (standard) ;
• aux clients de messagerie natifs, comme Microsoft Outlook et IBM/Lotus
Notes, à partir de n’importe quel PC ;
• aux clients de courriel reposant sur des normes, comme Microsoft
Outlook Express, Netscape Communicator et Eudora (Qualcomm), à
partir de n’importe quel PC ;
• aux applications client/serveur, comme Citrix ICA Client, pcAnywhere et
les services MS Terminal Server, à partir de n’importe quel PC ;
• aux serveurs hébergés, via Telnet et SSH, à partir de n’importe quel PC.
• à des fonctions de collaboration sécurisées, y compris la planification de
réunions, la présentation de réunions à distance, le contrôle distant du
bureau du présentateur et les discussions par échange de messages
texte (option de mise à niveau de Secure Meeting).
Vos employés, partenaires et clients n’ont besoin que d’un navigateur
web standard pour PC (IE/Netscape/AOL/Pocket IE) et d’une connexion à
Internet pour accéder à la page d’accueil intuitive du Système IVE. Cette
page fournit la fenêtre à partir de laquelle vos utilisateurs peuvent, en toute
sécurité, naviguer sur le web ou sur des serveurs de fichiers, employer des
applications d’entreprises compatibles HTML, démarrer le proxy d’applications
client/serveur ou lancer une session de terminal1.
L’installation, la configuration et l’administration d’un système VPN SSL
ou Secure Meeting sont des tâches particulièrement aisées. Vous pouvez
monter le robuste système réseau en armoire en quelques minutes. Une
fois la connexion au réseau effectuée, il suffit d’entrer quelques paramètres
système et réseau initiaux, à l’aide de la console série, pour pouvoir
accéder à la Console Web. La Console Web est une interface Web qui vous
permet de configurer et d’administrer le système en fonction des besoins
1. Les fonctionnalités disponibles dépendent du produit NetScreen Access Series et des options de mise à
niveau que vous avez acquises.

7
de votre entreprise. Les caractéristiques suivantes font de l’installation un
vrai jeu d’enfant et permettent une administration efficace de votre système :
• Intégration de serveur aisée : le système IVE se branche aux serveurs
d’authentification existants de l’entreprise (LDAP, RADIUS, NIS, Domaine
Windows NT, Active Directory, Netegrity SiteMinder et RSA ACE/Server).
Il n’est pas nécessaire d’apporter des modifications aux serveurs Web et
de fichiers ou aux réseaux internes.
• Authentification de certificat : protection des applications sans modification
des ressources internes. Il suffit de choisir les certificats numériques
comme composants de la stratégie d’authentification du royaume.
• Degré élevé de disponibilité et de redondance : aucun temps
d’indisponibilité pour les utilisateurs dans les rares cas de défaillance,
et échange de trafic dynamique qui synchronise les paramètres des
utilisateurs, ceux du système et les données des sessions utilisateur
(dans le cadre d’une mise en grappes).
• Stratégie de pare-feu simple : seul un accès SSL au système IVE est
requis depuis l’extérieur.
• Contrôle de l’accès aux ressources au niveau des fichiers et adresses
URL à l’aide du système de gestion des accès IVE 4.0 (royaumes
d’authentification, rôles d’utilisateur et stratégies de ressources).
• Journalisation centralisée, au niveau des applications, qui consigne
les actions des administrateurs et des utilisateurs, les demandes de
connexion, de fichiers et web, ainsi que les erreurs système.
• Mises à jour des logiciels système via Internet.
• Prise en charge des systèmes SNMP et DMZ.
8

Présentation générale d’Access Series FIPS
Les FIPS ou Federal Information Processing Standards sont des
normes du National Institute of Standards and Technology relatives au
déchiffrement de clé et au chiffrement de données. NetScreen Access
Series FIPS est un système NetScreen Instant Virtual Extranet standard
A5000 ou A3000 équipé d’un module de cryptographie certifié FIPS. Le
module de protection par le matériel inviolable installé sur un système
Access Series FIPS est certifié conforme à la norme de sécurité FIPS 140-2
de niveau 3. Ce module exécute la gestion de clé de chiffrement privée et
les négociations SSL, tout en assurant la conformité aux normes FIPS et en
assurant, à la place du système, les tâches d’infrastructure à clé publique
(PKI – Public Key Infrastructure), gourmandes en ressources système.
La procédure de configuration pour les administrateurs du système
Access Series FIPS est presque identique pour les administrateurs
non Access Series FIPS, ne nécessitant que des changements mineurs
de configuration au cours des processus d’initialisation, de mise en
cluster et de génération de certificats. Dans les rares cas où les tâches
d’administration sont différentes, ce guide inclut les instructions
appropriées pour les administrateurs d’Access Series et ceux du système
Access Series FIPS. Pour les utilisateurs finaux, le système Access Series
FIPS est exactement identique à un système Access Series standard.
Comment fonctionne NetScreen Access Series FIPS ?
Lorsque vous installez un système Access Series FIPS, la console série IVE
vous accompagne dans la procédure pour créer un environnement sécurisé
par la console série. Un environnement sécurisé est un système de
gestion de clé utilisé par le système Access Series FIPS et comprenant les
éléments suivants :
• Module de cryptographie : le module de cryptographie (parfois aussi
appelé module de protection par le matériel ou HSM – Hardware security
module) fourni avec Access Series FIPS inclut du matériel et un micrologiciel
directement installés sur le système. Un environnement sécurisé peut
contenir un module de cryptographie unique (environnement standard)
ou plusieurs modules (environnement en grappe). Toutefois, un système
Access Series FIPS unique est toujours équipé d’un module de
cryptographie unique.
• Clé d’environnement sécurisé : une clé d’environnement sécurisé
est une clé chiffrée Triple DES unique qui protège toutes les autres clés
d’application au sein d’un environnement sécurisé. Comme l’exigent les
Federal Information Processing Standards, vous ne pouvez pas importer
cette clé dans un environnement sécurisé : vous devez directement l’y
créer à partir d’un module de cryptographie. Dans un environnement en
grappe, tous les modules au sein de l’environnement sécurisé partagent
la même clé d’environnement sécurisé. (Pour plus d’informations,

9
reportez-vous à la section « Déploiement de deux unités dans un cluster
Actif/Passif », page 62.)
• Cartes à puce : Une carte à puce est un dispositif de clé démontable
identique à une carte de crédit. Une carte à puce authentifie les
utilisateurs, leur permettant l’accès à des données et processus variés,
contrôlés par le module de matériel de cryptographie. Au cours de la
procédure d’initialisation, vous devez relier le lecteur de cartes à puce
que nous fournissons au module de cryptographie puis insérer une de
vos cartes à puce dans le lecteur. Au cours de la procédure d’initialisation,
la carte à puce est transformée en carte administrateur qui permet
au titulaire de carte d’accéder à l’environnement sécurisé. (Pour
plus d’informations, reportez-vous à la section « Créer des cartes
administrateur supplémentaires (Access Series FIPS uniquement) »,
page 495.)
• Données chiffrées : les données chiffrées hôtes dans un environnement
Access Series FIPS contiennent les clés et autres données nécessaires
pour partager des informations de manière sécurisée.
Ces éléments se verrouillent réciproquement pour créer un environnement
sécurisé complet. Quand vous ouvrez le système, celui-ci confirme que
l’environnement sécurisé est valide et que le module de cryptographie est
en mode de fonctionnement, avant de commencer les opérations normales.
Vous pouvez définir le module de cryptographie en mode de fonctionnement
à l’aide d’un commutateur de matériel situé à l’extérieur du module. Les
paramètres du commutateur incluent :
• I : Mode d’initialisation. Utilisez ce paramètre lors de l’initialisation
du module de cryptographie avec un nouvel environnement sécurisé
ou lors de l’ajout d’un module à un environnement sécurisé existant
dans une grappe du système IVE. Notez que lorsque vous définissez
le commutateur sur I et lancez l’installation, vous devez terminer la
procédure. Dans le cas contraire, l’environnement sécurisé n’est
initialisé qu’en partie, ce qui le rend inutilisable.
• O : Mode de fonctionnement. Utilisez ce paramètre pour mettre le
module de cryptographie en mode de fonctionnement après initialisation.
Remarque : vous devez mettre le commutateur sur O avant que le
module ne soit mis sous tension afin de prévenir l’unité que vous voulez
commencer un traitement courant. Autrement, le module vous invite par
la console série à rejoindre l’environnement sécurisé existant ou en
initialise un nouveau.
• M : Mode de maintenance. Dans des mises à jour ultérieures, ce
paramètre servira à actualiser le micrologiciel dans le module de
cryptographie. (pas encore pris en charge.)
Pour plus d’information sur l’initialisation du module et la création d’un
nouvel environnement sécurisé, reportez-vous au guide de démarrage
rapide fourni avec le produit.
Création de cartes administrateur
Lorsque vous recevez votre produit Access Series FIPS, six cartes à puce
sont comprises dans le coffret. Une carte à puce est un dispositif de clé
démontable que vous devez utiliser pour accéder à certaines données et certains
processus essentiels contrôlés par le module de cryptographie. Le système
10

Access Series FIPS vous demande d’abord d’utiliser une de vos cartes à
puce lors de l’initialisation du module de cryptographie à l’aide de la
console série. Au cours de ce processus, le système Access Series FIPS
crée un environnement sécurisé et transforme la carte à puce en carte
administrateur qui permet au titulaire de la carte d’accéder à cet
environnement sécurisé.
Une fois le module initialisé, vous n’avez plus besoin de la carte
administrateur pour exécuter les opérations normales du système IVE.
Cependant, vous devez utiliser la carte administrateur à chaque fois que
vous voulez :
• Ajouter un autre dispositif Access Series FIPS à un cluster (page 196)
• Réinitialiser un module à l’aide d’un environnement sécurisé nouveau ou
différent (page 497)
• Créer des cartes administrateur supplémentaires (page 495)
En règle générale, toute opération du système Access Series FIPS que
vous devez exécuter à l’aide de la console série IVE nécessite une carte
administrateur.
Remarque : A chaque fois que vous modifiez votre environnement sécurisé, vous
devez définir la manière de traiter vos cartes administrateur existantes. Vos choix
impliquent que :
- Vous devez réinitialiser vos cartes administrateur existantes en fonction du nouvel environnement sécurisé.
- Vous devez utiliser des cartes administrateur pré-initialisées au nouvel environnement sécurisé et laisser vos cartes administrateur inchangées. Remarque : si
vous choisissez cette option, vous ne pourrez pas utiliser les anciennes cartes
inchangées pour accéder au nouvel environnement sécurisé.
En raison du caractère essentiel des cartes administrateur pour les
opérations du système Access Series FIPS et la sécurité des clés au sein
de l’environnement sécurisé, nous vous recommandons fortement de
prendre les précautions suivantes :
• Créez plusieurs cartes administrateur.
Vous ne pouvez remplacer une carte administrateur à moins de posséder
une autre carte valide et la phrase de passe pour l’ensemble. Le module
de cryptographie ne stocke pas les données de restauration de carte
administrateur. C’est pourquoi nous vous recommandons fortement
de créer au moins une carte administrateur pour les opérations
d’administration standard et une autre à des fins de sauvegarde.
Vous risquez sinon de perdre votre seule carte administrateur et par
conséquent l’accès à votre environnement sécurisé et aux données
qu’il stocke.
• Stockez une carte administrateur de sauvegarde dans un
emplacement sécurisé.
Gardez toujours votre ou vos cartes administrateur de sauvegarde dans
un emplacement sécurisé, séparé de la carte que vous utilisez pour les
opérations d’administration standard afin d’éviter qu’un événement
indésirable ne vous fasse perdre toutes vos cartes administrateur à la
fois (comme par exemple lors d’un incendie ou d’un vol).

11
• Lors de la perte d’une carte administrateur, écrasez toutes les
cartes administrateur restantes.
Si vous perdez ou endommagez une carte administrateur, créez
immédiatement un nouvel environnement sécurisé et écrasez toutes
les cartes restantes de l’ancien environnement sécurisé. Dans le cas
contraire, un intrus muni d’une ancienne carte administrateur serait
capable d’accéder à d’anciennes données hôtes stockées sur une bande
en réserve ou sur un autre hôte. A l’aide des anciennes données hôtes
ou de l’ancienne carte, l’intrus aurait la possibilité de recréer vos clés.
• Protégez la phrase passe de la carte administrateur.
Pour plus de sécurité, ne gardez aucune trace écrite de votre phrase de
passe, ne la communiquez jamais à des utilisateurs non approuvés et
n’utilisez pas de phrase de passe trop facile à deviner. En protégeant
votre phrase de passe, vous augmentez la sécurité de vos opérations d’un
niveau supplémentaire.
• Utilisez votre carte administrateur uniquement avec des sources
connues et approuvées.
Procurez-vous des cartes à puce auprès de sources approuvées, n’insérez
jamais une carte à puce dans un lecteur de carte à puce non approuvé et
n’insérez jamais une carte à puce non approuvée dans votre lecteur de
carte à puce.
12

Présentation générale de la Meeting Series
Secure Meeting permet aux utilisateurs du système IVE de planifier et tenir
des réunions en ligne de manière sécurisée, impliquant à la fois les utilisateurs
du système IVE et des utilisateurs externes. Au cours des réunions, les
utilisateurs peuvent partager leur bureau et leurs applications via une
connexion sécurisée, permettant ainsi à tout participant à la réunion de
partager instantanément des données électroniques qui s’affichent à l’écran.
Les participants à la réunion peuvent aussi collaborer en ligne en toute
sécurité en contrôlant à distance les bureaux des uns et des autres et en
discutant par échange de messages texte, utilisant une fenêtre d’application
séparée qui n’interfère pas avec la présentation. Juniper fournit Secure
Meeting sur deux systèmes différents :
• Système Meeting Series : ce système est un serveur de réunion
spécialisé, destiné aux environnements où les réunions sont très
fréquentes.
• Système Access Series avec mise à niveau Secure Meeting : la
mise à niveau Secure Meeting est destinée aux utilisateurs de systèmes
Access Series qui présentent moins d’exigences en matière de réunions.
Avec cette option, le serveur qui exécute les réunions sert également
à l’intermédiation de demandes entre le réseau Internet public et les
ressources internes de l’entreprise.
La procédure de configuration pour les administrateurs de systèmes Meeting
Series et Access Series est pratiquement identique, ces deux systèmes étant
bâtis sur la plate-forme IVE. Dans les rares cas où les tâches d’administration
sont différentes, ce guide inclut les instructions appropriées pour les
administrateurs d’Access Series et ceux de Meeting Series.
Pour connaître les fonctionnalités et les exigences système, reportez-vous
aux sections suivantes :
Fonctionnalités de Secure Meeting ........................................................ 14
Environnements pris en charge par Secure Meeting ............................. 18
Pour plus d’informations sur la configuration, reportez-vous aux sections
suivantes :
Activation et configuration de réunions pour les rôles d’utilisateur....... 373
Configuration de la page Réunions ...................................................... 441
Modification des paramètres réseau du port interne (interface LAN) ... 178

13
Si vous souhaitez obtenir des instructions sur la surveillance et la résolution
des problèmes, reportez-vous aux sections suivantes :
(Systèmes Meeting Series uniquement) Affichage de l’utilisation de la
capacité du système............................................................................. 130
Permet de visualiser et d’annuler les réunions planifiées..................... 136
Dépannage de Secure Meeting.............................................................. 19
Remarque : Les procédures ci-dessous complètent les procédures de configuration IVE standard fournies dans tout ce guide.
Fonctionnalités de Secure Meeting
Les fonctionnalités de Secure Meeting sont les suivantes :
Planification de réunions ........................................................................ 14
Création de réunions instantanées......................................................... 15
Participation à une réunion..................................................................... 16
Participation à une réunion..................................................................... 16
Exécution de réunions ............................................................................ 17
Planification de réunions
Chaque réunion Secure Meeting en ligne doit être planifiée par un utilisateur
du système IVE. Grâce à l’interface de la passerelle sécurisée, le créateur
de la réunion indique les détails de la réunion, y compris son nom, sa
description, la date de début, l’heure de début, sa récurrence, sa durée,
son mot de passe, une liste des invités et leur adresse de courriel.
Lorsqu’il dresse la liste des invités, le créateur de la réunion doit les
regrouper dans une catégorie :
• Invités IVE : un invité IVE (aussi appelé invité interne au réseau) est
un utilisateur du système IVE qui ouvre une session sur le même cluster
ou Système IVE que le créateur de la réunion.
• Invités externes au système IVE : un invité externe au système IVE
(aussi appelé invité externe au réseau) est un utilisateur externe au
système IVE ou un utilisateur du système IVE qui ouvre une session sur
un cluster ou Système IVE différent de celui du créateur de la réunion.1
Lorsque le créateur de la réunion enregistre la réunion, Secure Meeting
l’affiche dans la page Réunions pour les invités IVE autorisés à prendre
part à la réunion.2 Si vous décidez d’activer un serveur de courriel SMTP
(Simple Mail Transfer Protocol), Secure Meeting envoie également un courriel
de notification à chaque invité possédant une adresse de courriel connue.
Secure Meeting se procure les adresses de courriel à deux endroits :
• Page Préférences : un utilisateur IVE peut entrer son adresse de
courriel dans la page Préférences de la page d’accueil IVE. Dans ce cas,
1. Bien que Secure Meeting demande aux invités externes au système IVE de saisir leur nom au cours de
l’ouverture de session, leur nom n’est pas authentifié. Secure Meeting utilise les ID et mots de passe de
réunion uniquement pour authentifier les invités externes au système IVE.
2. Si vous désactivez Secure Meeting au niveau du rôle, la page Réunions n’est pas visible par les
utilisateurs qui se connectent à ce rôle, et ce, même s’ils sont invités à prendre part à une réunion.
14

Secure Meeting utilise automatiquement cette adresse lorsque la personne
est invitée à une réunion.
• Page Créer une réunion : le créateur de la réunion peut entrer
manuellement (ou remplacer) les adresses de courriel des invités à la
réunion lorsqu’il planifie ou modifie une réunion.
Le courriel contient les détails de la réunion, un lien que l’invité peut utiliser
pour participer à la réunion, ainsi qu’un autre lien qu’il peut utiliser pour
vérifier si son système est compatible ou non avec Secure Meeting. Les
participants peuvent rejoindre la réunion quinze minutes avant le début
planifié de la réunion. (Pour plus d’informations, reportez-vous à la section
« Environnements pris en charge par Secure Meeting », page 18.)
Création de réunions instantanées
Le créateur de la réunion peut choisir de contourner la plupart des étapes
de planification d’une réunion en créant une réunion instantanée. La
fonctionnalité de réunion instantanée permet aux utilisateurs IVE de créer
une réunion et d’y participer en deux étapes simples : Dans un premier
temps, l’utilisateur doit cliquer sur Réunion instantanée. Dans ce cas,
Secure Meeting effectue automatiquement les opérations suivantes :
• Génération d’une réunion possédant un nom et un mot de passe
uniques.
• Planification de la réunion pour qu’elle commence immédiatement.
• Définition d’une durée de 60 minutes.
• Ajout du créateur de la réunion comme seul invité.
• Affichage de la page Participer à la réunion sur le bureau du créateur.
Il suffit ensuite au créateur de la réunion de cliquer sur Commencer la
réunion pour commencer.
Les réunions instantanées sont le plus souvent utilisées dans le cadre de
l’assistance. Ainsi, il se peut qu’un utilisateur IVE doive aider un client à
résoudre un problème avec une application. Grâce à Secure Meeting,
l’utilisateur IVE peut rapidement créer une réunion instantanée et faire
du client le présentateur. Le client peut ensuite ouvrir l’application qui
pose problème et la partager. Alors que le client reproduit le problème,
l’utilisateur IVE peut aisément voir ce que fait le client par le biais de la
fenêtre de visualisation de Secure Meeting. L’utilisateur IVE peut alors
résoudre le problème ou montrer comment y remédier à l’aide de la
fonction du contrôleur ; il suffit au client de donner le contrôle à l’utilisateur
IVE de sorte qu’il puisse utiliser sa souris et son clavier pour exploiter
l’application partagée.
Remarque : Comme le créateur de la réunion est le seul invité à une réunion
instantanée, il ne peut pas compter sur les notifications par courriel pour
communiquer des détails à d’autres invités. Il doit fournir à ces derniers les
informations requises pour participer à la réunion, comme l’URL de la réunion,
son ID et son mot de passe (ces informations figurent sur la page Participer à la
réunion), ou revenir en arrière et ajouter manuellement des invités via la page
Détails de la réunion après avoir créé la réunion. En outre, comme le créateur de
la réunion est le seul invité IVE, il est la seule personne pouvant assumer la
direction pendant la réunion.

15
Participation à une réunion
Pour participer à une réunion, les invités Secure Meeting doivent accéder au
site de la réunion sur le serveur Secure Meeting (IVE)1, en utilisant l’une
des méthodes suivantes :
• Utilisation du lien figurant sur la page Réunions (invités IVE
uniquement).
• Utilisation du lien fourni dans le courriel de notification.
• Saisie de l’URL de la réunion dans un navigateur Web.
Pour obtenir l’URL d’une réunion, le créateur de la réunion peut consulter la
page Participer à la réunion. Tout invité à la réunion peut connaître l’URL
de la réunion en entrant les valeurs appropriées dans l’URL suivante :
https://<YourIVE>/meeting/<MeetingID>
où :
• <YourIVE> est le nom et le domaine du système IVE hébergeant la
réunion, comme par exemple iveserver.yourcompany.com. Secure
Meeting extrait ce nom du champ Nom d’hôte de l’onglet Système >
Réseau > Vue d’ensemble, s’il a été défini. Dans le cas contraire,
Secure Meeting extrait le nom IVE du navigateur du créateur de la
réunion.
• meeting est une chaîne littérale. (Cette chaîne est toujours la même.)
Notez que meeting doit commencer par un « m » minuscule.
• <MeetingID> est le numéro d’identification à 8 bits unique généré par
Secure Meeting pour la réunion. Si l’utilisateur n’inclut pas l’ID de
réunion dans l’URL, Secure Meeting l’invite à le saisir lorsqu’il se
connecte à la réunion.
Exemple :
https://connect.acmegizmo.com/Meeting/86329712
Participation à une réunion
Lorsqu’un invité décide de participer à une réunion, Secure Meeting télécharge
un client Windows ou une applet Java2 sur son système. Ce composant
côté client contient une visionneuse de réunion, des outils de présentation
et une application de messagerie textuelle. Dès que Secure Meeting a lancé
le client Windows ou l’applet Java sur le bureau de l’utilisateur, ce dernier
devient participant à la réunion et peut commencer à participer à la
1. Secure Meeting assure ses réunions en ligne sur le système IVE, permettant à la fois aux utilisateurs du
système IVE et aux autres utilisateurs de participer aux réunions. Cependant, les participants à la réunion
externes au système IVE ne peuvent accéder à rien d’autres sur le système IVE que la réunion à laquelle
ils ont été invités.
2. Secure Meeting télécharge une applet Java pour des utilisateurs non Windows. Notez que si Secure
Meeting tente d’exécuter une applet Java via la machine virtuelle Java (JVM) Sun et qu’un fichier
proxy.pac réside sur le système local de l’utilisateur, le message « Veuillez patienter, installation du
client Secure Meeting... » s’affiche en boucle. Pour remédier à ce problème, ouvrez le Panneau de
configuration > Java Plug-in, cliquez sur l’onglet Proxies, désactivez la case à cocher « Utiliser les
paramètres du navigateur », puis entrez l’URL du fichier .pac (http://10.10.10.10/proxy.pac, par exemple)
dans la zone URL de configuration automatique du proxy.
16

réunion. Lorsqu’un participant accède à une réunion, il peut commencer à
envoyer des messages texte à d’autres participants via la fenêtre
Discussion Secure Meeting.
Exécution de réunions
L’animateur de la réunion est responsable du démarrage de la réunion
et de l’attribution du rôle de présentateur. Avant sa participation, les
autres participants peuvent uniquement discuter. Il leur est impossible
de consulter ou d’effectuer une présentation, car l’animateur est également
le présentateur par défaut de la réunion. Le présentateur, ou tout
participant à la réunion qu’il aura désigné, débute la présentation de la
réunion en partageant son bureau ou ses applications avec les autres
participants. Dès que le présentateur commence le partage, une visionneuse
de réunion s’ouvre automatiquement sur le bureau de tous les participants
à la réunion et affiche les applications partagées du présentateur1.
L’animateur est également chargé d’expulser des participants de la réunion
si nécessaire, de prolonger la réunion si elle dépasse la durée planifiée et
de clore la réunion lorsqu’elle est terminée. L’animateur de la réunion peut
déléguer ses responsabilités à un autre participant au cours de la réunion,
à condition que ce dernier utilise l’environnement approprié. Il peut, en
outre, désigner tout autre utilisateur IVE comme animateur et tout autre
utilisateur Windows ou Macintosh comme présentateur.
Le présentateur de la réunion peut également transférer des responsabilités
à un autre participant en désignant un contrôleur. Un contrôleur utilise sa
souris et son clavier personnels pour contrôler à distance le bureau ou les
applications partagés du présentateur. Notez que le présentateur peut
transférer les droits de contrôle à distance à n’importe quel autre participant ;
il ne doit pas nécessairement s’agir de participants IVE, ou d’utilisateurs
Windows ou Macintosh. Lorsque le présentateur veut reprendre le contrôle
de ses applications contrôlées à distance, il lui suffit de cliquer n’importe où
et Secure Meeting réattribue le contrôle au présentateur.
1. Secure Meeting ne peut pas afficher le contenu du bureau du présentateur de la réunion s’il est verrouillé.

17
Environnements pris en charge par Secure Meeting
Secure Meeting est conçu pour fonctionner dans divers environnements,
comme le montre le tableau suivant. Pour faire fonctionner Secure Meeting,
les utilisateurs IVE et les autres participants doivent utiliser l’un des systèmes
d’exploitation définis ci-dessous, l’un des navigateurs indiqués et activer au
moins l’un des composants du navigateur :
Systèmes d’exploitation
Navigateurs
Composants du
navigateur1
Windows 98 DE
Windows 2000
Windows NT 4.0 (sp 6)
Internet Explorer 5,0
Internet Explorer 5.5 (sp2)
Internet Explorer 6.0
Netscape Navigator 7.1
ActiveX
MS JVM
Sun JVM 1.4.1_01 ou
version ultérieure
Windows ME
Internet Explorer 5.5 (sp2)
ActiveX
MS JVM
Sun JVM 1.4.1_01 ou
version ultérieure
Windows XP
ActiveX
MS JVM
Sun JVM 1.4.1_01 ou
version ultérieure
Mac OSX 10.2.82
Safari 1.0
Sun JVM 1.4.1_01 ou
version ultérieure
Mac OSX 10.3.32
Safari 1.2.1
Sun JVM 1.4.1_01 ou
version ultérieure
Linux RedHat 7,33
Mozilla 1.6
Mozilla 1,34
Sun JVM 1.4.1_01 ou
version ultérieure
Linux RedHat 9.03
Mozilla 1.64
Sun JVM 1.4.1_01 ou
version ultérieure
1
Outre l’activation d’au moins un des composants de navigateur répertoriés dans
cette section, les utilisateurs Secure Meeting doivent activer JavaScript et les
cookies. Pour plus d’informations sur l’activation de ces composants, consultez
l’aide de votre navigateur Web ou la rubrique « Participation à une réunion » dans
l’aide du système IVE.
2
Les utilisateurs Macintosh peuvent partager leur bureau en cours de réunion,
mais pas les applications. Notez également que ces utilisateurs doivent disposer
d’au moins 256 Mo de mémoire.
3
Les utilisateurs Linux ne peuvent pas jouer le rôle de présentateurs lors d’une
réunion.
4
Secure Meeting n’a pas été testé avec Mozilla 1.1.1.
Outre la consultation de la liste fournie dans cette section, vous pouvez
utiliser le vérificateur de compatibilité Secure Meeting afin de déterminer
si votre système est compatible avec Secure Meeting. Pour utiliser cette
fonctionnalité, accédez à la page d’ouverture de session de la réunion en
utilisant l’URL de la réunion (https://YourIVE/Meeting) ou le courriel
18

d’invitation, puis cliquez sur Vérifier la compatibilité de la réunion.
Secure Meeting détermine votre niveau de compatibilité et suggère les
éventuelles mises à jour qui garantiront une compatibilité totale. Nous
attirons toutefois votre attention sur le fait que le vérificateur de compatibilité
Secure Meeting ne contrôle pas tous les facteurs qui peuvent influer sur
la manière dont vous vivrez la réunion. Exigences et restrictions
supplémentaires :
• Secure Meeting ne prend pas en charge l’exécution de réunions dans
des environnements IVE qui utilisent le mode d’autorisation 2.x (mode
héritage) du système IVE.
• Secure Meeting ne prend pas en charge les modes d’affichage supérieurs
à « Couleurs 32 bits » (pour plus d’informations, reportez-vous à la
section « Configuration de la page Réunions », page 441), ni les
résolutions d’écran supérieures à 2048 x 2048 pixels.
• Secure Meeting ne prend pas en charge le partage des applications de
diffusion de média en continu.
• Il est conseillé d’installer un certificat de niveau production sur le
serveur Secure Meeting (c’est-à-dire le système IVE) lorsque vous
utilisez Secure Meeting en combinaison avec un certificat SSL. Si vous
installez un certificat SSL auto-signé, il se peut que les utilisateurs de
Secure Meeting éprouvent des difficultés à se connecter aux réunions
(comme indiqué dans la section « Certificats de serveur multiples »,
page 55). Si vous décidez d’employer un certificat auto-signé, invitez les
participants à la réunion à installer ce certificat avant de prendre part à
la réunion. Dans Internet Explorer, l’utilisateur doit cliquer sur Afficher
le certificat, puis sur Installer le certificat lorsque le message
d’erreur s’affiche.
Dépannage de Secure Meeting
Si vous, ou vos utilisateurs finals, rencontrez un problème dans Secure
Meeting, utilisez l’une des méthodes suivantes :
• Désinstallation du client Secure Meeting de votre système
Si vous éprouvez des difficultés à démarrer Secure Meeting, cliquez sur le
lien Participer à une réunion : dépannage de la page Participer à la
réunion, puis cliquez sur Désinstaller. Cliquez sur Revenir à Participer
à la réunion et tentez de nouveau de démarrer la réunion. La prochaine
fois que vous tenterez de participer à une réunion, Secure Meeting mettra
votre client à jour afin d’y installer la version la plus récente.
• Vérification de la compatibilité de votre système
Participer à une réunion ou la présenter peut se révéler problématique si
votre configuration système n’est pas compatible avec Secure Meeting.
Pour déterminer si votre système est compatible, accédez à la page
d’ouverture de session de la réunion et cliquez sur Vérifier la
compatibilité de la réunion.
• Reportez-vous au fichier PDF des messages d’erreur de Secure
Meeting
Le fichier PDF des messages d’erreur de Secure Meeting présente
les erreurs que vous pouvez rencontrer lors de la configuration ou
de l’utilisation de Secure Meeting et il explique comment les traiter.
Ce fichier PDF est disponible sur le site d’assistance de Juniper.

19
• Contacter le service d’assistance de Juniper
Si vous rencontrez une erreur que vous ne parvenez pas à résoudre à
l’aide des méthodes ci-dessus, envoyez une description précise du
problème en question au service d’assistance de Juniper. Indiquez la
marche à suivre pour reproduire le problème, le texte du message
d’erreur, le système d’exploitation de votre système IVE et son numéro
de version, et joignez les fichiers journaux d’administrateur IVE, les
fichiers journaux d’installation et les fichiers journaux côté client.
Accès aux fichiers journaux d’installation et de client
Secure Meeting installe des fichiers clients dans différents répertoires, en
fonction de votre système d’exploitation et de vos autorisations. Notez que
vous pouvez désactiver la journalisation côté client à l’aide des options de
l’onglet Système > Configuration > Sécurité > Journaux côté client de
la Console Web.
Les utilisateurs Windows disposant de droits Administrateur ou Utilisateur
avec pouvoir doivent consulter :
• C:\Program Files\Neoteris\Secure Meeting
<numéro_version>\dsCboxUI.log
• C:\Windows -ou- WINNT\Downloaded Program Files\NeoterisSetup.log
Les utilisateurs Windows disposant de privilèges standard doivent
consulter1:
• C:\Documents and Settings\<nomutilisateur>\Local
Settings\Temp\Neoteris\Secure Meeting
<numéro_version>\dsCboxUI.log
• C:\Documents and Settings\<nom_d’utilisateur>\Local
Settings\Temp\Neoteris\Neoteris\NeoterisSetup.log -etNeoterisSetupApp.log
Les utilisateurs Macintosh ou Linux doivent consulter : \tmp\dsCboxUI.log.
Ces utilisateurs doivent, en outre, copier/coller le contenu de leurs consoles
Java dans un fichier distinct qu’ils enverront au service d’assistance de Juniper.
Accès aux fichiers journaux d’administrateur
Les fichiers journaux d’administrateur sont accessibles via la page Système >
Journal/Surveillance de la Console Web. Lorsque vous chargez des
journaux, notez qu’il en existe trois : le journal des événements, le journal
d’accès des utilisateurs et le journal d’accès des administrateurs.
1. Il se peut que les utilisateurs ne disposant pas de droits d’administration ne puissent pas trouver
les fichiers journaux, car ils sont masqués. Pour activer l’affichage des fichiers masqués dans
l’Explorateur Windows, sélectionnez Options des dossiers dans le menu Outils. Ensuite, dans
l’onglet Affichage, activez l’option Afficher les fichiers et dossiers cachés, puis cliquez sur OK.
20

Présentation de la gestion des accès
Les systèmes VPN SSL et Secure Meeting vous permettent de sécuriser les
ressources de votre entreprise sur la base de stratégies d’authentification,
de profils d’utilisateurs et de ressources. Grâce à ces trois niveaux de
contrôle, vous pouvez administrer la gestion des accès qui convient le
mieux à votre entreprise, quelle que soit son ampleur. Vous pouvez ainsi
définir les exigences, en termes de sécurité, auxquelles les utilisateurs
doivent se conformer pour ouvrir une session sur le système, pour accéder
aux fonctionnalités du système, voire pour accéder à des adresses URL,
fichiers et autres ressources spécifiques du serveur. Le système IVE
applique les stratégies, règles, restrictions et conditions que vous avez
configurées pour empêcher les utilisateurs d’accéder à des ressources et à
du contenu non autorisés et d’en télécharger.
Pour plus d’informations, reportez-vous à la section :
Stratégies, règles & restrictions et conditions......................................... 21
Définition des exigences de sécurité ...................................................... 24
Stratégies, règles & restrictions et conditions
L’accessibilité des ressources commence par le royaume d’authentification.
Un royaume d’authentification est un ensemble de ressources
d’authentification, à savoir :
• Un serveur d’authentification, qui vérifie que l’utilisateur est bien celui
qu’il prétend être. Le système IVE transfère les données d’identification
saisies par un utilisateur sur une page d’ouverture de session à un
serveur d’authentification (page 236).
• Une stratégie d’authentification, qui définit les exigences de sécurité
du royaume qui doivent être satisfaites avant que le système IVE envoie
les données d’identification d’un utilisateur à un serveur d’authentification
en vue de leur vérification (page 223).
• Un serveur d’annuaires, qui est en fait un serveur LDAP qui fournit
des informations sur l’utilisateur et le groupe au système IVE et que
celui-ci utilise pour faire correspondre des utilisateurs à un ou plusieurs
rôles d’utilisateur (page 253).
• Des règles de correspondance de rôles, qui sont les conditions qu’un
utilisateur doit remplir pour que le système Système IVE le fasse
correspondre à un ou plusieurs rôles d’utilisateur. Ces conditions sont
basées sur les informations d’utilisateur renvoyées par le serveur
d’annuaires du royaume ou le nom de l’utilisateur (page 320).
Un ou plusieurs royaumes d’authentification sont associés à une page
d’ouverture de session Système IVE. S’il existe plusieurs royaumes pour

21
une même page d’ouverture de session, l’utilisateur doit en choisir un
avant de soumettre ses données d’identification. Lorsqu’un utilisateur
communique ses informations d’identification, le système Système IVE
vérifie la stratégie d’authentification définie pour le royaume sélectionné.
L’utilisateur doit répondre aux exigences de sécurité que vous avez définies
pour la stratégie d’authentification d’un royaume, sans quoi le système
Système IVE ne transférera pas ses données d’identification au serveur
d’authentification.
Au niveau du royaume, vous pouvez définir des exigences de sécurité
axées sur divers critères : adresse IP source de l’utilisateur, navigateur
à partir duquel l’utilisateur accède au système Système IVE, existence
chez l’utilisateur d’un certificat côté client, longueur du mot de passe
de l’utilisateur, présence du vérificateur d’hôte sur l’ordinateur de
l’utilisateur ou son emploi afin de veiller au respect des stratégies, ou
encore présence ou exécution de Nettoyeur de cache sur l’ordinateur de
l’utilisateur. Si l’utilisateur répond aux exigences définies par la stratégie
d’authentification du royaume, le système Système IVE transfère ses
données d’identification au serveur d’authentification approprié.
Si l’utilisateur passe la phase d’authentification, le système Système
IVE évalue les règles de correspondance de rôles définies pour le
royaume afin de déterminer les rôles qui doivent lui être affectés.
Un rôle est une entité définie qui détermine les propriétés de session
IVE pour les utilisateurs qui correspondent au rôle. Ces propriétés
comprennent des informations telles que les délais de temporisation de
session, les signets et les fonctionnalités d’accès activées : navigation
sur le Web, exploration de fichiers, gestionnaire d’applications sécurisé,
Telnet/SSH, services de terminal Windows, Network Connect, Secure
Meeting et client de messagerie. La configuration d’un rôle fait office de
deuxième niveau de contrôle d’accès aux ressources. Le rôle détermine
non seulement les mécanismes d’accès disponibles pour un utilisateur,
mais il permet en outre de définir des restrictions auxquelles les utilisateurs
doivent satisfaire avant d’être mis en correspondance avec un rôle. En cas
de non-respect des exigences de sécurité définies, le système Système IVE
n’établit pas de correspondance entre l’utilisateur et le rôle.
Au niveau des rôles, vous pouvez définir des exigences de sécurité axées
sur divers critères : adresse IP source de l’utilisateur, navigateur utilisé,
existence chez l’utilisateur d’un certificat côté client, présence du vérificateur
d’hôte sur l’ordinateur de l’utilisateur ou son emploi afin de veiller au respect
des stratégies, ou encore présence ou exécution de Nettoyeur de cache
sur l’ordinateur de l’utilisateur. Si l’utilisateur répond aux exigences définies
par une règle de correspondance de rôles ou les restrictions d’un rôle1, le
système Système IVE le fait correspondre au rôle. Lorsqu’un utilisateur fait
la demande de ressources dorsales accessibles au rôle, le système évalue
les stratégies de ressources correspondantes de la fonctionnalité d’accès.
Une stratégie de ressources est un ensemble de noms de ressources
(adresses URL, noms d’hôtes et paires adresse IP/masque de réseau, par
exemple) auquel vous pouvez accorder ou refuser l’accès ou l’exécution
d’autres actions propres à la ressource, telles qu’une réécriture ou une mise
1. Vous pouvez définir des exigences de sécurité applicables à un rôle à deux endroits différents, à savoir :
dans les règles de correspondance de rôles d’un royaume d’authentification (à l’aide d’expressions
personnalisées) ou en définissant des restrictions dans la définition du rôle. Le système Système IVE
évalue les exigences définies dans ces deux emplacements pour s’assurer que l’utilisateur s’y conforme
avant de le mettre en correspondance avec un rôle.
22

en cache. La stratégie de ressources fait office de troisième niveau de
contrôle d’accès aux ressources. Bien qu’un rôle puisse accorder l’accès
à certains types de fonctions et ressources (telles que des signets et
des applications), c’est aux stratégies de ressources qu’il appartient de
contrôler si un utilisateur peut accéder ou non à une ressource spécifique.
Ces stratégies peuvent même définir des conditions qui, si elles sont
remplies, refusent ou accordent à l’utilisateur l’accès à un fichier ou un
partage de serveur. Les conditions en question peuvent être axées sur
des exigences de sécurité que vous avez vous-même définies. En cas de
non-respect de ces exigences de sécurité, le système Système IVE ne
traite pas la demande de l’utilisateur.
Au niveau de la ressource, vous pouvez définir des exigences de sécurité
axées sur divers critères : adresse IP source de l’utilisateur, navigateur
utilisé, existence chez l’utilisateur d’un certificat côté client, heure d’émission
de la demande, présence du vérificateur d’hôte sur l’ordinateur de l’utilisateur
ou son emploi afin de veiller au respect des stratégies, ou encore présence
ou exécution de Nettoyeur de cache sur l’ordinateur de l’utilisateur. Si
l’utilisateur répond aux exigences définies par les conditions d’une stratégie
de ressources, le système Système IVE lui accorde ou lui refuse l’accès à la
ressource demandée. Vous pouvez activer l’accès Web au niveau du rôle,
par exemple, et un utilisateur associé au rôle peut émettre une demande
Web. Il est également possible de configurer une stratégie de ressources
Web afin de rejeter les demandes vers un chemin ou une adresse URL
donnée lorsque le vérificateur d’hôte trouve un fichier inadmissible sur
l’ordinateur de l’utilisateur. Dans ce cas de figure, le système IVE vérifie si
le vérificateur d’hôte est en cours d’exécution et indique que l’ordinateur
de l’utilisateur est conforme à la stratégie vérificateur d’hôte demandée.
Si l’ordinateur de l’utilisateur est conforme, ce qui signifie qu’aucun fichier
inadmissible n’a été trouvé, le système IVE autorise l’utilisateur à accéder à
la ressource Web demandée.
Figure 2 : Gestion des accès
Cette illustration présente l’ordre dans lequel le système Système IVE évalue les stratégies,
les règles, les restrictions et les conditions lorsqu’un utilisateur a soumis ses données
d’identification sur une page d’ouverture de session.

23
Définition des exigences de sécurité
Le Système IVE met les fonctions et options suivantes à la disposition des
administrateurs et utilisateurs dans le but de faciliter la définition des
exigences de sécurité :
IP source ................................................................................................ 24
Navigateur .............................................................................................. 24
Certificat ................................................................................................. 25
Mot de passe .......................................................................................... 26
vérificateur d’hôte ................................................................................... 26
Nettoyeur de cache ................................................................................ 26
IP source
Vous pouvez limiter l’accès au système Système IVE et aux ressources en
fonction de l’adresse IP :
• Lorsque des administrateurs ou utilisateurs tentent d’ouvrir une
session sur le Système IVE
L’utilisateur doit ouvrir une session à partir d’un ordinateur dont la
paire adresse IP/masque de réseau répond aux exigences IP source
définies pour le royaume d’authentification sélectionné. Si l’ordinateur
de l’utilisateur ne dispose pas de la paire adresse IP/masque de réseau
requise par le royaume, le système ne transfère pas les données
d’identification de l’utilisateur au serveur d’authentification et l’utilisateur
se voit refuser l’accès au système Système IVE.
• Lorsque des administrateurs ou des utilisateurs sont associés à
un rôle
L’utilisateur authentifié doit être connecté à partir d’un ordinateur dont
la paire adresse IP/masque de réseau répond aux exigences IP source
définies pour chaque rôle auquel le système est susceptible de le faire
correspondre. Si l’ordinateur en question ne dispose pas de la paire
adresse IP/masque de réseau requise par un rôle, le système Système
IVE ne fait pas correspondre l’utilisateur à ce rôle.
• Lorsque des utilisateurs demandent une ressource
L’utilisateur authentifié et autorisé doit émettre une demande de
ressources à partir d’un ordinateur dont la paire adresse IP/masque de
réseau répond aux exigences IP source définies pour la stratégie de
ressources correspondant à la demande. Si l’ordinateur de l’utilisateur
ne dispose pas de la paire adresse IP/masque de réseau requise par la
ressource, le système Système IVE en interdit l’accès à l’utilisateur.
Navigateur
fonction du type de navigateur :
L’utilisateur doit ouvrir une session à partir d’un navigateur dont la chaîne
utilisateur-agent répond aux exigences définies à ce niveau pour le
royaume d’authentification sélectionné. Si le royaume « autorise » la
chaîne utilisateur-agent du navigateur, le système transmet les données
24

d’identification de l’utilisateur au serveur d’authentification. En revanche,
si le royaume « refuse » cette chaîne, le système Système IVE ne
transmet pas les données d’identification.
un rôle
L’utilisateur authentifié doit être connecté à partir d’un navigateur dont
la chaîne utilisateur-agent répond aux exigences définies à ce niveau
pour chaque rôle auquel le système est susceptible de le faire correspondre.
Si la chaîne utilisateur-agent ne répond pas aux exigences d’autorisation
ou de refus pour un rôle, le système Système IVE ne fait pas correspondre
l’utilisateur à ce rôle.
L’utilisateur authentifié et autorisé doit émettre une demande de ressources
à partir d’un navigateur dont la chaîne utilisateur-agent répond aux
exigences d’autorisation ou de refus définies pour la stratégie de ressources
correspondant à la demande. Si la chaîne utilisateur-agent ne répond pas
aux exigences d’autorisation ou de refus pour une ressource, le système
Système IVE en interdit l’accès à l’utilisateur.
Certificat
exigeant des certificats côté client :
L’utilisateur doit ouvrir une session à partir d’un ordinateur possédant le
certificat côté client indiqué (obtenu auprès de l’autorité de certification
appropriée et présentant d’éventuelles exigences en ce qui concerne la
paire champ/valeur). Si l’ordinateur de l’utilisateur ne possède pas les
informations de certification requises par le royaume, l’utilisateur peut
néanmoins accéder à la page d’ouverture de session. Cependant, dès que
le Système IVE détermine que le navigateur de l’utilisateur ne possède
pas le certificat, il ne transmet pas les informations d’identification de
l’utilisateur au serveur d’authentification et l’utilisateur ne peut donc pas
accéder aux fonctionnalités du système.
un rôle
L’utilisateur authentifié doit être connecté à partir d’un ordinateur
répondant aux exigences définies en matière de certificat côté client
(autorité de certification appropriée et éventuelles exigences relatives
à la paire champ/valeur) pour chaque rôle auquel le système est
susceptible de le faire correspondre. Si l’ordinateur en question ne
dispose pas des informations de certification requises par un rôle, le
système Système IVE ne fait pas correspondre l’utilisateur à ce rôle.
L’utilisateur authentifié et autorisé doit émettre une demande de
ressources à partir d’un ordinateur répondant aux exigences définies
en matière de certificat côté client (autorité de certification appropriée
et éventuelles exigences relatives à la paire champ/valeur) pour la
stratégie de ressources correspondant à la demande. Si l’ordinateur en
question ne dispose pas des informations de certification requises par
une ressource, le système Système IVE ne fait pas correspondre
l’utilisateur à cette ressource.

25
Mot de passe
fonction de la longueur du mot de passe :
Lorsque des administrateurs ou utilisateurs tentent d’ouvrir une
session sur le système IVE.
L’utilisateur doit saisir un mot de passe dont la longueur est conforme aux
exigences définies pour le royaume. Notez que les enregistrements
d’administrateurs et d’utilisateurs locaux sont stockés dans le serveur
d’authentification Système IVE. Ce serveur exige une longueur minimale
de 6 caractères, et ce, quelle que soit la valeur définie pour la stratégie
d’authentification du royaume.
vérificateur d’hôte
Vous pouvez limiter l’accès au Système IVE et aux ressources en exigeant
la présence de vérificateur d’hôte :
L’utilisateur doit ouvrir une session à partir d’un ordinateur conforme aux
stratégies vérificateur d’hôte définies pour le royaume. Si l’ordinateur en
question ne répond pas aux exigences des stratégies vérificateur d’hôte
définies pour le royaume, le Système IVE ne transfère pas les données
d’identification de l’utilisateur au serveur d’authentification et l’utilisateur
se voit refuser l’accès au système.
un rôle
conforme aux stratégies vérificateur d’hôte définies pour chaque rôle
auquel le système Système IVE est susceptible de le faire correspondre.
Si l’ordinateur de l’utilisateur ne répond pas aux exigences des stratégies
vérificateur d’hôte définies pour un rôle, le système ne fait pas
correspondre l’utilisateur à ce rôle.
L’utilisateur authentifié et autorisé doit émettre une demande de ressources
à partir d’un ordinateur conforme aux stratégies vérificateur d’hôte
définies pour la stratégie de ressources correspondant à la demande.
Si l’ordinateur de l’utilisateur ne répond pas aux exigences des stratégies
vérificateur d’hôte définies pour une ressource, le système en interdit
l’accès à l’utilisateur.
Nettoyeur de cache
exigeant Nettoyeur de cache :
L’utilisateur doit ouvrir une session à partir d’un ordinateur conforme aux
stratégies Nettoyeur de cache définies pour le royaume. Si l’ordinateur
en question ne répond pas aux exigences des stratégies Nettoyeur de
cache définies pour le royaume, le Système IVE ne transfère pas les
données d’identification de l’utilisateur au serveur d’authentification et
l’utilisateur se voit refuser l’accès au système.
26

un rôle
répondant à la condition Nettoyeur de cache (à savoir, être installé ou
s’exécuter sur la station de travail de l’utilisateur, selon la configuration)
définie pour chaque rôle auquel le système Système IVE est susceptible
de le faire correspondre Si l’ordinateur de l’utilisateur ne répond pas à la
condition Nettoyeur de cache définie pour un rôle, le système ne fait pas
L’utilisateur authentifié et autorisé doit être connecté à partir d’un
ordinateur répondant à la condition Nettoyeur de cache (à savoir, être
installé ou s’exécuter sur la station de travail de l’utilisateur, selon la
configuration) définie pour la stratégie de ressources correspondant à
la demande. Si l’ordinateur de l’utilisateur ne répond pas à la condition
Nettoyeur de cache définie pour une ressource, le système en interdit
l’accès à l’utilisateur.

27
28

Présentation générale des royaumes d’authentification
Un royaume d’authentification est un ensemble de ressources
d’authentification, à savoir :
• Un serveur d’authentification, qui vérifie que l’utilisateur est bien celui
qu’il prétend être. Le Système IVE transfère les données d’identification
saisies par un utilisateur sur une page d’ouverture de session à un
serveur d’authentification (page 29).
• Une stratégie d’authentification, qui définit les exigences de sécurité
du royaume qui doivent être satisfaites avant que le Système IVE envoie
les données d’identification d’un utilisateur à un serveur d’authentification
en vue de leur vérification (page 30).
• Un serveur d’annuaires, qui est en fait un serveur LDAP qui fournit
des informations sur l’utilisateur et le groupe au Système IVE et que
celui-ci utilise pour faire correspondre des utilisateurs à un ou plusieurs
rôles d’utilisateur (page 31).
• Des règles de correspondance de rôles, qui sont les conditions qu’un
utilisateur doit remplir pour que le Système IVE le fasse correspondre à
un ou plusieurs rôles d’utilisateur. Ces conditions sont basées sur les
informations d’utilisateur renvoyées par le serveur d’annuaires du
royaume ou le nom de l’utilisateur (page 31).
Serveurs d’authentification
Un serveur d’authentification est une base de données qui stocke les
données d’identification (nom d’utilisateur et mot de passe) des utilisateurs
et, en règle générale, des informations sur les groupes. Lorsqu’un utilisateur
se connecte à un système Système IVE, il définit un royaume d’authentification, qui est associé à un serveur d’authentification. Si l’utilisateur répond
aux conditions définies par la stratégie d’authentification du royaume, le
système transfère les données d’identification de l’utilisateur au serveur
d’authentification correspondant. Ce serveur d’authentification est chargé
de vérifier que l’utilisateur existe bien et qu’il est bien celui qu’il prétend
être. Après avoir vérifié l’utilisateur, le serveur d’authentification envoie
l’approbation au système Système IVE et, si le royaume utilise également
le serveur comme serveur d’annuaires/attributs, il envoie les informations
sur le groupe de l’utilisateur ou d’autres attributs. Le système Système
IVE évalue ensuite les règles de correspondance de rôles du royaume afin
de déterminer avec quels rôles d’utilisateur l’utilisateur peut être mis en
correspondance.

29
Pour définir un serveur d’authentification utilisable par un royaume, vous
devez tout d’abord configurer une instance de serveur sur la page System >
Signing In > Servers. Lorsque vous enregistrez les paramètres du
serveur, le nom de ce dernier (attribué à l’instance) s’affiche dans la liste
déroulante Authentication server de l’onglet General du royaume. Si le
serveur est un serveur LDAP ou Active Directory, le nom de l’instance
s’affiche également dans la liste déroulante Directory/Attribute server
de l’onglet General du royaume. Vous pouvez utiliser le même serveur
LDAP ou Active Directory pour les tâches d’authentification et d’autorisation
d’un royaume et l’autorisation de n’importe quel nombre de royaumes
différents qui emploient d’autres serveurs pour l’authentification.
La plate-forme NetScreen Instant Virtual Extranet prend en charge les
serveurs d’authentification les plus courants, comme Domaine Windows NT,
Active Directory, RADIUS, LDAP, NIS, RSA ACE/Server et Netegrity
SiteMinder. Il vous permet de créer une ou plusieurs bases de données
locales d’utilisateurs authentifiés par le Système IVE. Pour une présentation
générale des serveurs et des informations de configuration, reportez-vous
aux sections suivantes :
•
•
•
•
•
•
•
•
•
Configuration d’une instance ACE/Server .....................................................239
Configuration d’une instance Active Directory ou Domaine NT.....................243
Configuration d’une instance de serveur anonyme .......................................247
Configuration d’une instance de serveur de certificats ..................................249
Configuration d’une instance de serveur LDAP.............................................253
Configuration d’une instance de serveur IVE locale ......................................258
Configuration d’une instance de serveur Netegrity SiteMinder......................271
Configuration d’une instance de serveur NIS ................................................265
Configuration d’une instance de serveur RADIUS.........................................267
Remarque : Un serveur d’authentification doit être capable de contacter le
Système IVE. Si un serveur d’authentification tel que RSA ACE/Server n’emploie
pas d’adresse IP pour les hôtes agents, le serveur d’authentification doit être
capable de résoudre le nom d’hôte Système IVE, par l’intermédiaire d’une entrée
DNS ou d’une entrée dans le fichier d’hôte du serveur d’authentification.
Stratégies d’authentification
Une stratégie d’authentification est un ensemble de règles qui
contrôlent un aspect de la gestion des accès : la présentation ou non
de la page d’ouverture de session d’un royaume à un utilisateur. La
stratégie d’authentification fait partie de la configuration du royaume
d’authentification. Elle définit les règles dont le Système IVE doit tenir
compte avant de présenter une page d’ouverture de session à un
utilisateur. Si l’utilisateur répond aux conditions définies par la stratégie
d’authentification du royaume, le système présente la page d’ouverture
de session correspondante à l’utilisateur, puis transfère les données
d’identification de ce dernier au serveur d’authentification approprié.
Si le serveur parvient à authentifier l’utilisateur, le système Système
IVE passe au processus d’évaluation des rôles.
30

Serveurs d’annuaires
Un serveur d’annuaires est une base de données qui stocke des
informations sur les utilisateurs et, en règle générale, sur les groupes.
Vous pouvez configurer un royaume d’authentification de manière à ce
qu’il emploie un serveur d’annuaires pour récupérer les informations
relatives aux groupes ou aux utilisateurs. Ces informations seront
employées dans les règles de correspondance de rôles et les stratégies
de ressources. Pour l’heure, le système IVE prend en charge les serveurs
LDAP à cette fin, ce qui signifie que vous pouvez employer un serveur
LDAP pour l’authentification et l’autorisation. Vous devez simplement
définir une instance de serveur, après quoi le nom de l’instance du serveur
LDAP s’affiche dans les listes déroulantes Authentication server et
Directory/Attribute server de l’onglet General d’un royaume. Vous
pouvez utiliser un même serveur pour un nombre indéfini de royaumes.
Outre LDAP, vous pouvez utiliser un serveur RADIUS pour récupérer des
attributs d’utilisateurs utilisables dans les règles de correspondance de
rôles. Cependant, contrairement aux instances de serveur LDAP, une
instance de serveur RADIUS ne s’affiche pas dans la liste déroulante
Serveur d’annuaires/d’attributs d’un royaume. Pour utiliser un serveur
RADIUS afin de récupérer des informations sur les utilisateurs, il suffit de
définir son instance dans la liste Serveur d’authentification, puis de
choisir Aucun dans la liste Serveur d’annuaires/d’attributs. Vous devez
ensuite configurer les règles de correspondance de rôles de manière à
utiliser les attributs provenant du serveur RADIUS, lesquels figurent dans
une liste d’attributs sur la page Règle de correspondance de rôles si vous
avez choisi l’option Règle basée sur un attribut d’utilisateur.
Pour plus d’informations sur la définition d’un serveur d’annuaires,
reportez-vous à la section « Création d’un domaine d’authentification »,
page 317. Pour plus d’informations sur la définition d’attributs LDAP ou
RADIUS dans les règles de correspondance de rôles, reportez-vous à la
section « Définition des règles de correspondance de rôles pour un domaine
d’authentification », page 320.
Onglet Correspondance de rôles
Une règle de correspondance de rôles est une règle définie dans le
format suivant :
Si la condition définie est|n’est pas vraie, faire correspondre l’utilisateur aux
rôles sélectionnés.
La création d’une règle de correspondance de rôles s’effectue dans
l’onglet Correspondance de rôles1 d’un royaume d’authentification.
Lorsque vous cliquez sur Nouvelle règle dans cet onglet, la page Règle
de correspondance de rôles s’affiche et présente un éditeur en ligne qui
1. Pour les administrateurs, la création de règles de correspondance de rôles s’effectue dans l’onglet
Administrateurs > Authentification > Sélectionner royaume > Correspondance de rôles. Pour les
utilisateurs, la création de règles de correspondance de rôles s’effectue dans l’onglet Utilisateurs >
Authentification > Sélectionner royaume > Correspondance de rôles.

31
permet de définir la règle. Cet éditeur vous fait parcourir les trois étapes
de création d’une règle, à savoir :
1. Définissez le type de condition sur lequel la règle sera basée. Les options
disponibles sont les suivantes :
•
Nom d’utilisateur
•
Attribut utilisateur
•
Certificat ou attribut de certificat
•
Appartenance à un groupe
•
Expressions personnalisées
2. Définissez la condition à évaluer, ce qui consiste à :
1
Définir un ou plusieurs noms d’utilisateurs, attributs d’utilisateurs,
attributs de certificats, groupes (LDAP) ou expressions, en fonction du
type de condition sélectionnée à l’étape 1.
2
Déterminer à quoi les valeurs doivent correspondre. Il peut s’agir d’une
liste de noms d’utilisateurs, de valeurs d’attributs d’utilisateur provenant
d’un serveur RADIUS ou LDAP, de valeurs de certificats côté client (valeurs
statiques ou comparées à des attributs LDAP), de groupes LDAP ou
d’expressions personnalisées prédéfinies.
3. Choisir les rôles à attribuer à l’utilisateur authentifié.
Le Système IVE compile une liste de rôles disponibles auxquels un
utilisateur peut correspondre ; ces rôles sont déterminés par les règles
de correspondance de rôles auxquelles l’utilisateur satisfait. Le système
évalue ensuite la définition de chaque rôle afin de déterminer si l’utilisateur
satisfait aux éventuelles restrictions de rôle. Le système Système IVE
utilise ces informations pour compiler une liste de rôles valides, qui sont
les rôles pour lesquels l’utilisateur répond à des exigences supplémentaires.
Enfin, le système procède à une fusion permissive des rôles valides ou en
présente une liste à l’utilisateur, en fonction de la configuration définie dans
l’onglet Correspondance de rôles du royaume.
Pour plus d’informations sur les rôles, reportez-vous à la section
« Présentation générale des rôles d’utilisateur », page 45. Pour plus
d’informations sur la définition de règles de correspondance de rôles,
reportez-vous à la section « Définition des règles de correspondance de
rôles pour un domaine d’authentification », page 320.
32

Présentation générale des stratégies de ressources
Une stratégie de ressources est une règle système qui définit des
ressources et des actions pour une fonctionnalité d’accès précise. Une
ressource peut être un serveur ou un fichier accessible via un Système IVE,
tandis qu’une action consiste à « autoriser » ou « interdire » l’exécution
ou non d’une fonction par une ressource. Chaque fonctionnalité d’accès
possède un ou plusieurs types de stratégies, qui déterminent la réponse
du Système IVE à une demande d’utilisateur ou la manière d’activer une
fonctionnalité d’accès (dans le cas de Secure Meeting et du client de
courriel). Vous pouvez également définir des règles détaillées pour une
stratégie de ressources, qui vous permettent d’évaluer des exigences
supplémentaires pour des demandes d’utilisateur précises.
Cette section fournit des informations sur les sujets suivants :
Types de stratégies de ressources......................................................... 33
Composants d’une stratégie de ressources ........................................... 34
Évaluation d’une stratégie de ressources............................................... 35
Définition des ressources pour une stratégie de ressources.................. 37
Rédaction d’une règle détaillée .............................................................. 43
Types de stratégies de ressources
• Stratégies de ressources Web : la fonctionnalité d’accès Web
comprend les types de stratégies de ressources suivants :
•
Accès : détermine les ressources Web que les utilisateurs peuvent
ou non parcourir (page 385).
•
Mise en cache : détermine pour quelles ressources Web le système
IVE envoie ou modifie les en-têtes de page (page 386).
•
Accès Java : détermine à quels serveurs les applets Java peuvent se
connecter (page 389).
•
Signature Java : détermine si les applets Java doivent être de
nouveau signées à l’aide d’un certificat d’applet ou du certificat IVE
par défaut (page 390).
•
Réécriture sélective : détermine les ressources que le système IVE
réécrit ou non (page 392).
•
Proxy intermédiaire : définit les applications Web pour lesquelles le
système IVE effectue une intermédiation minimale (page 393).
•
POST de formulaire : détermine si les données d’identification IVE
d’un utilisateur doivent ou non être directement envoyées au
formulaire d’ouverture de session d’une application Web dorsale
(page 395).
•
Cookies/en-têtes : détermine si les cookies et les en-têtes doivent ou
non être directement envoyés au formulaire d’ouverture de session
d’une application Web dorsale (page 397).

33
• Stratégies de ressources fichiers : la fonctionnalité d’accès aux
fichiers comprend les types de stratégies de ressources suivants :
•
Accès Windows : détermine les ressources de fichiers Windows que
les utilisateurs peuvent ou non parcourir (page 414).
•
Données d’identification Windows : détermine les ressources de
fichiers Windows pour lesquelles vous, ou les utilisateurs, devez
fournir des données d’identification supplémentaires (page 415).
•
Accès UNIX/NFS : détermine les ressources de fichiers UNIX/NFS
que les utilisateurs peuvent ou non parcourir (page 418).
• Stratégies de ressources Secure Application Manager : la
fonctionnalité d’accès Secure Application Manager possède un type de
stratégie de ressources : Autorisation ou refus de l’utilisation de J-SAM
ou W-SAM par les applications pour établir des connexions de socket
(page 423).
• Stratégies de ressources Telnet/SSH : la fonctionnalité d’accès
Telnet/SSH possède un seul type de stratégie de ressources :
Autorisation ou refus de l’accès aux serveurs indiqués (page 427).
• Stratégies de ressources Network Connect : la fonctionnalité
d’accès Network Connect possède deux types de stratégie de
ressources : Autorisation ou refus de l’accès aux serveurs indiqués
et définition de pools d’adresses IP (page 435).
• Stratégies de ressources de Secure Meeting : la fonctionnalité
d’accès Secure Meeting possède un seul type de stratégie de
ressources : Activation ou désactivation des notifications par courriel
aux personnes invitées à une réunion sécurisée (page 441).
• Stratégies de ressources Client de courriel sécurisé : la
fonctionnalité d’accès Client de courriel sécurisé possède un seul type
de stratégie de ressources : Activation ou désactivation de la prise en
charge du client de courriel (page 445).
Composants d’une stratégie de ressources
Une stratégie de ressources comprend les informations suivantes :
• Ressources : Ensemble de noms de ressources (URL, noms d’hôtes
ou combinaisons adresse IP/masque réseau) qui définit les ressources
auxquelles la stratégie s’applique. Vous pouvez définir une ressource en
employant un caractère générique comme préfixe pour la correspondance
avec les noms d’hôtes. La stratégie par défaut d’une stratégie est
l’astérisque (*), qui signifie que la stratégie s’applique à toutes les
ressources associées. Pour plus d’informations, reportez-vous à la
section « Définition des ressources pour une stratégie de ressources »,
page 37.
• Rôles : Liste facultative de rôles d’utilisateur auxquels cette stratégie
s’applique. Par défaut, la stratégie s’applique à tous les rôles.
• Action : L’action que le Système IVE doit effectuer lorsqu’un utilisateur
demande la ressource correspondant à la liste Ressource. Une action
peut déterminer si la ressource est autorisée ou non à exécuter ou à
ne pas exécuter une action, comme la réécriture de contenu Web ou
l’autorisation de connexions de socket Java.
34

• Règles détaillées : Liste facultative d’éléments qui détermine les
détails des ressources (comme une URL précise, un chemin d’accès de
répertoire, un fichier ou un type de fichier) auxquelles vous voulez
appliquer une action différente ou pour lesquelles vous voulez évaluer
des conditions avant d’appliquer l’action. Vous pouvez définir une ou
plusieurs règles et indiquer l’ordre dans lequel le système IVE les
évaluera. Pour plus d’informations, reportez-vous à la section
« Rédaction d’une règle détaillée », page 43.
Évaluation d’une stratégie de ressources
Lorsque le Système IVE reçoit une demande d’utilisateur, il évalue les
stratégies de ressources correspondant au type de demande. Lorsqu’il
traite la stratégie qui correspond à la ressource demandée, il applique
l’action définie à la demande. Cette action est définie dans l’onglet Général
ou l’onglet Règles détaillées de la stratégie. Par exemple, si un utilisateur
demande une page Web, le système IVE sait qu’il doit employer les
stratégies de ressources Web. Dans le cas de demandes Web, le système
IVE commence toujours par les stratégies de réécriture Web (Réécriture
sélective et Proxy intermédiaire) pour déterminer s’il doit ou non traiter la
demande. Si aucune de ces stratégies n’est d’application (ou si aucune
n’est définie), le système IVE évalue ensuite les stratégies d’accès Web
jusqu’à en trouver une qui s’applique à la ressource demandée.
Le Système IVE évalue un ensemble de stratégies de ressources pour
une fonctionnalité d’accès en commençant par le haut. En d’autres termes,
il commence par la stratégie numéro 1, puis descend dans la liste de
stratégies jusqu’à trouver une stratégie appropriée. Si vous avez défini des
règles détaillées pour la stratégie correspondante, le système IVE évalue
les règles de haut en bas, en commençant par la règle numéro 1 et en
s’arrêtant lorsqu’il trouve une ressource correspondante dans la liste
Ressource de la règle. Le schéma suivant illustre le déroulement général
d’une procédure d’évaluation de stratégie :
Figure 3 : Procédure d’évaluation d’une stratégie de ressources
Détails relatifs à chaque étape d’évaluation :
1. Le « rôle de session » d’un utilisateur est basé sur le ou les rôles
auxquels il est attribué au cours du processus d’authentification. Les
fonctionnalités d’accès activées pour un utilisateur sont déterminées
par la configuration de correspondance de rôles d’un royaume
2. Les fonctionnalités d’accès au Web et aux fichiers possèdent plusieurs
types de stratégies de ressources. Dès lors, le système IVE détermine
tout d’abord le type de demande (page Web, applet Java ou fichier
UNIX, par exemple), puis évalue les stratégies de ressources associées
à la demande. Dans le cas de la fonctionnalité d’accès au Web, les
stratégies de réécriture sont évaluées en premier lieu pour chaque

35
demande Web. Les autres fonctionnalités d’accès (Secure Application
Manager, accès sécurisé par terminal, Secure Meeting et client de
courriel sécurisé) ne possèdent qu’une seule stratégie de ressources.
3. Une règle détaillée peut être employée à deux usages :
•
Pour définir les ressources auxquelles une action s’applique à un
niveau plus précis. Par exemple, si vous définissez un serveur Web
dans les paramètres de stratégie principaux d’une stratégie de
ressources d’accès au Web, vous pouvez créer une règle plus
détaillée qui définit un chemin d’accès précis sur ce serveur, puis
modifier l’action pour ce chemin d’accès.
•
Pour exiger que l’utilisateur réponde à des conditions précises,
écrites sous la forme d’expressions booléennes ou d’expressions
personnalisées, afin d’appliquer l’action. Pour plus d’informations,
reportez-vous à la section « Rédaction d’une règle détaillée »,
page 43.
4. Le système IVE cesse de traiter les stratégies de ressources dès que la
ressource demandée est trouvée dans la liste Ressource ou la règle
détaillée d’une stratégie.
36

Définition des ressources pour une stratégie de ressources
Le moteur de la plate-forme IVE qui évalue les stratégies de ressources
exige que les ressources figurant dans la liste Ressources d’une stratégie
emploient un format normalisé. Cette section décrit les formats normalisés
disponibles pour la définition de ressources de type Web, fichiers et
serveurs. Lorsqu’un utilisateur tente d’accéder à une ressource précise, le
Système IVE compare la ressource demandée aux ressources définies dans
les stratégies correspondantes, en commençant par la première stratégie
d’une liste. Lorsque le moteur fait correspondre une ressource demandée
à une ressource définie dans la liste Ressources d’une stratégie, il évalue
les autres contraintes de la stratégie et retourne l’action appropriée au
système (aucune autre stratégie n’est évaluée). Si aucune stratégie n’est
d’application, le système évalue les signets à autorisation automatique
(s’ils sont définis). Dans le cas contraire, l’action par défaut de la stratégie
est retournée.
Les formats normalisés requis sont décrits dans les sections suivantes :
•
•
•
•
•
Définition de ressources Web (38)
Définition de ressources de fichiers Windows (39)
Définition de ressources de fichiers UNIX (40)
Définition de ressources de type serveur (41)
Définition de pools d’adresses IP (42)
Considérations générales au sujet des formats normalisés
• Si un composant de chemin d’accès se termine par une barre oblique et
un astérisque (/*), il correspond au nœud feuille et à tous les éléments
sous-jacents. Si le composant de chemin d’accès se termine par une
barre oblique et un signe de pourcentage (/%), il correspond au nœud
feuille et à tous les éléments situés un niveau en dessous.
Par exemple :
/intranet/* correspond à :
/intranet
/intranet/home.html
/intranet/elee/public/index.html
/intranet/% correspond à :
/intranet
/intranet/home.html
mais PAS à /intranet/elee/public/index.html
• Le nom d’hôte et l’adresse IP de la ressource sont transférés simultanément
au moteur de stratégie. Si un serveur figurant dans la liste Ressources
d’une stratégie est défini sous la forme d’une adresse IP, l’évaluation est
basée sur cette dernière. Dans le cas contraire, le moteur tente de faire
correspondre les deux noms d’hôte. Il n’effectue pas de recherche DNS
inversée afin de déterminer l’adresse IP.
• Si le nom d’un hôte figurant dans la liste Ressources d’une stratégie
n’est pas un nom complet (par exemple si « juniper » est défini au lieu
de « intranet.juniper.net »), le moteur réalise l’évaluation telle quelle,
sans procéder à une qualification supplémentaire du nom d’hôte.

37
Définition de ressources Web
Format normalisé : [protocole://]hôte[:ports][/chemin]
Les quatre composants sont les suivants :
• Protocole (facultatif)
Valeurs possibles : http et https (non sensibles à la casse)
Si le protocole n’est pas fourni, http et https sont supposés. Si un
protocole est fourni, le délimiteur « :// » est obligatoire. Aucun caractère
spécial n’est admis.
• Hôte (obligatoire)
Valeurs possibles :
•
Nom d’hôte DNS
Par exemple : www.juniper.com
Les caractères spéciaux suivants sont admis :
•
*
Correspond à TOUS les caractères.
%
Correspond à n’importe quel caractère sauf le point (.).
?
Correspond précisément à un caractère.
Adresse IP/masque réseau
L’adresse IP doit posséder le format suivant : a.b.c.d
Le masque réseau peut posséder l’un des deux formats suivants :
•
Préfixe : bits d’ordre fort
•
IP : a.b.c.d
Par exemple : 10.11.149.2/24 ou 10.11.149.2/255.255.255.0
Aucun caractère spécial n’est admis.
• Ports (facultatif)
Valeurs possibles :
*
Correspond à TOUS les ports ; aucun autre caractère spécial
n’est admis.
port[,port]* Liste de ports distincts, délimitée par des virgules. Les
numéros de ports valides sont compris entre 1 et 65535.
[port1][port2]
Plage de ports, de port1 à port2.
Remarque : Il est possible de combiner des listes de ports et des plages de
ports, comme dans l’exemple suivant : 80,443,8080-8090
Si le port n’est pas fourni, le port par défaut est attribué : 80 pour http
et 443 pour https Si un port est fourni, le délimiteur « : » est obligatoire.
38

• Chemin d’accès (facultatif)
Si le chemin d’accès n’est pas fourni, le système utilise l’astérisque (*),
c’est-à-dire que TOUS les ports correspondent. Si un chemin est fourni,
le délimiteur « / » est obligatoire. Aucun autre caractère spécial n’est
admis.
Exemples :
•
http://www.juniper.com:80/*
•
https://www.juniper.com:443/intranet/*
•
*.yahoo.com:80,443/*
•
%.danastreet.net:80/share/users/<USER>/*
Définition de ressources de fichiers Windows
Format normalisé : \\serveur[\partage[\chemin]]
Les trois composants sont les suivants :
• Serveur (obligatoire)
Valeurs possibles :
•
Nom d’hôte
La variable système <USER> peut être utilisée.
•
adresse IP
Les deux barres obliques inverses initiales sont obligatoires.
• Partage (facultatif)
Si le partage n’est pas fourni, le système emploie l’astérisque (*),
c’est-à-dire que TOUS les chemins correspondent. La variable système
<USER> est admise.
*
Correspond à n’importe quel caractère.
%
Correspond à n’importe quel caractère, sauf la barre oblique
inverse (\).
?
Si le chemin d’accès n’est pas fourni, le système suppose l’emploi de
la barre oblique arrière, qui signifie que seuls les dossiers de niveau
supérieur sont mis en correspondance.

39
Exemples :
•
\\%.danastreet.net\share\<USER>\*
•
\\*.juniper.com\dana\*
•
\\10.11.0.10\share\web\*
•
\\10.11.254.227\public\%.doc
Définition de ressources de fichiers UNIX
Format normalisé : serveur[/chemin]
Les deux composants sont les suivants :
• Serveur (obligatoire)
Valeurs possibles :
•
Nom d’hôte
La variable système <USER> peut être utilisée.
•
adresse IP
Les deux barres obliques inverses initiales sont obligatoires.
*
Correspond à n’importe quel caractère.
%
Correspond à n’importe quel caractère, sauf la barre oblique
inverse (\).
?
Si le chemin d’accès n’est pas fourni, le système suppose l’emploi de
la barre oblique arrière, qui signifie que seuls les dossiers de niveau
supérieur sont mis en correspondance.
Exemples :
40

•
%.danastreet.net/share/users/<USER>/*
•
*.juniper.com/dana/*
•
10.11.0.10/web/*
•
10.11.254.227/public/%.txt
Définition de ressources de type serveur
Format normalisé : [protocole://]hôte[:ports]
Les trois composants sont les suivants :
• Protocole (facultatif)
Remarque : Uniquement disponible pour les stratégies Network Connect.
Pour les autres stratégies de ressources de fonctionnalité d’accès, comme
Secure Application Manager et Telnet/SSH, ce composant ne peut pas être
indiqué.
Valeurs admises, non sensibles à la casse :
•
tcp
•
udp
•
icmp
Si le protocole n’est pas fourni, le système emploie les trois protocoles.
Si un protocole est fourni, le délimiteur « :// » est obligatoire. Aucun
caractère spécial n’est admis.
• Hôte (obligatoire)
Valeurs possibles :
•
Nom d’hôte DNS
Par exemple : www.juniper.com
•
*
Correspond à TOUS les caractères.
%
Correspond à n’importe quel caractère sauf le point (.).
?
Adresse IP/masque réseau
Le masque réseau peut posséder l’un des deux formats suivants :
•
Préfixe : bits d’ordre fort
•
IP : a.b.c.d
Par exemple : 10.11.149.2/24 ou 10.11.149.2/255.255.255.0
Aucun caractère spécial n’est admis.

41
• Ports (facultatif)
Valeurs possibles :
*
Correspond à TOUS les ports ; aucun autre caractère spécial
n’est admis.
port[,port]* Liste de ports distincts, délimitée par des virgules. Les
numéros de ports valides sont compris entre 1 et 65535.
[port1][port2]
Plage de ports, de port1 à port2.
Remarque : Il est possible de combiner des listes de ports et des plages de
ports, comme dans l’exemple suivant : 80,443,8080-8090
Si le port n’est pas fourni, le port par défaut est attribué : 80 pour http
et 443 pour https Si un port est fourni, le délimiteur « : » est obligatoire.
Exemples :
•
<USER>.danastreet.net:5901-5910
•
10.10.149.149:22,23
•
tcp://10.11.0.10:80
•
udp://10.11.0.10:*
Définition de pools d’adresses IP
Format normalisé : plage_ip
La plage_ip peut être définie sous la forme « a.b.c.d-e », où le dernier
composant de l’adresse IP est une plage délimitée par un tiret (-). Aucun
caractère spécial n’est admis.
Exemple :
10.10.10.1-100
42

Rédaction d’une règle détaillée
Les fonctionnalités d’accès Web, fichiers, Secure Application Manager,
Telnet/SSH et Network Connect permettent de préciser les stratégies de
ressources pour chaque serveur Web, de fichiers, d’applications et Telnet.
Les fonctionnalités d’accès Secure Meeting et Client de courriel possèdent
toutes deux une stratégie qui s’applique de manière globale. Dans ces deux
cas, vous devez définir les paramètres de serveur utilisés pour chaque rôle
qui autorise ces fonctionnalités d’accès. Pour toutes les autres fonctionnalités
d’accès, vous pouvez définir n’importe quel nombre de stratégies de
ressources et, pour chacune d’elles, définir une ou plusieurs règles
détaillées.
Une règle détaillée est une extension d’une stratégie de ressources, qui
peut définir :
• Des1 informations supplémentaires sur les ressources, comme un
chemin d’accès, un répertoire, un fichier ou un type de fichier précis,
pour les ressources figurant dans l’onglet Général.
• Une action différente de celle définie dans l’onglet Général (bien que les
options soient identiques).
• Les conditions qui doivent être remplies pour que la règle détaillée soit
d’application.
Dans nombre de cas, la stratégie de ressources de base, c’est-à-dire les
informations définies dans l’onglet Général d’une stratégie de ressources,
fournit un contrôle d’accès suffisant à une ressource :
Si un utilisateur appartenant aux (rôles définis) tente d’accéder aux
(ressources définies), EXÉCUTER l’(action définie pour la ressource).
Il peut s’avérer nécessaire de définir une ou plusieurs règles détaillées pour
une stratégie lorsque vous souhaitez exécuter une action en fonction d’une
combinaison d’autres informations, qui peuvent être :
• les propriétés d’une ressource, comme son en-tête, sa chaîne contenttype ou son type de fichier ;
• les propriétés d’un utilisateur, comme son nom d’utilisateur et les rôles
auxquels il correspond ;
• les propriétés d’une session, comme l’adresse IP source ou le type de
navigateur d’un utilisateur, l’exécution du vérificateur d’hôte ou du
nettoyeur de cache sur son ordinateur, l’heure ou des attributs de
certificats.
Les règles détaillées accroissent la flexibilité du contrôle d’accès aux
ressources. Elles permettent en effet d’exploiter des informations existantes
sur les ressources et les autorisations pour définir des exigences différentes
pour des utilisateurs différents auxquels la stratégie de ressources de base
s’applique.
1. Notez qu’il est également possible de définir la même liste de ressources (que celle de l’onglet Général)
pour une règle détaillée, si cette dernière n’est destinée qu’à appliquer des conditions à une demande
d’utilisateur.

43
Pour rédiger une règle détaillée pour une stratégie de ressources :
1. Sur la page Nouvelle stratégie d’une stratégie de ressources, entrez
les informations requises sur les ressources et les rôles.
2. Dans la section Action, choisissez Utiliser des règles détaillées, puis
cliquez sur Enregistrer les modifications.
3. Dans l’onglet Règles détaillées, cliquez sur Nouvelle règle.
4. Sur la page Règle détaillée :
1
Dans la section Action, configurez l’action à exécuter si l’utilisateur
correspond à une ressource dans la liste the Redsource (facultatif).
Notez que l’action définie dans l’onglet Général est exécutée par
défaut.
2
Dans la section Ressources, entrez l’un des éléments suivants
(obligatoire) :
3
4
•
la liste de ressources figurant dans l’onglet Général, en tout ou
en partie ;
•
un chemin d’accès ou un fichier précis sur le(s) serveur(s)
figurant dans l’onglet Général, en employant éventuellement des
caractères génériques. Pour plus d’informations sur l’emploi de
caractères génériques dans une liste Ressources, reportez-vous
à la documentation de la stratégie de ressources correspondante.
•
un type de fichier, éventuellement précédé d’un chemin d’accès,
ou simplement */*.file_extension de fichier afin d’indiquer les
fichiers portant cette extension dans n’importe quel chemin
d’accès du ou des serveurs figurant dans l’onglet Général.
Dans la section Conditions, entrez une ou plusieurs expressions pour
l’exécution de l’action (facultatif) :
•
Expressions booléennes : vous pouvez rédiger une ou plusieurs
expressions booléennes à l’aide des variables système et des
opérateurs NOT, OR et AND. Pour connaître la liste des variables
disponibles dans les stratégies de ressources, reportez-vous à la
section « Variables système et exemples », page 504.
•
Expressions personnalisées : vous pouvez rédiger une ou plusieurs
expressions personnalisées en employant la syntaxe appropriée.
Pour plus d’informations sur la syntaxe et les variables, reportezvous à la section « Rédaction d’expressions personnalisées »,
page 499. Notez que les expressions personnalisées ne sont
disponibles que dans la licence avancée.
Cliquez sur Enregistrer les modifications.
5. Dans l’onglet Règles détaillées, classez les règles en fonction de l’ordre
dans lequel le système IVE doit les évaluer. N’oubliez pas que lorsque le
système IVE fait correspondre la ressource demandée par l’utilisateur à
une ressource de la liste Ressource d’une règle, il exécute l’action
définie et cesse de traiter les règles (et les autres stratégies de
ressources).
44

Présentation générale des rôles d’utilisateur
Un rôle d’utilisateur est une entité qui définit les paramètres de session
d’utilisateur (paramètres et options de la session), les paramètres de
personnalisation (personnalisation de l’interface utilisateur et signets),
ainsi que les fonctionnalités d’accès activées (accès au Web, aux fichiers,
aux applications, à Telnet/SSH, aux services de terminal, au réseau, aux
réunions et au courriel). Le rôle d’utilisateur ne définit pas le contrôle
d’accès aux ressources ni d’autres options basées sur les ressources
pour une demande individuelle. Par exemple, un rôle d’utilisateur peut
déterminer si un utilisateur peut ou non naviguer sur le Web. Toutefois,
les ressources Web précises auxquelles l’utilisateur pourra accéder sont
définies par des stratégies de ressources Web, qui sont configurées
séparément.
Cette section fournit des informations sur les sujets suivants :
Types de rôles ........................................................................................ 45
Composants d’un rôle............................................................................. 46
Évaluation des rôles ............................................................................... 47
Pour plus d’informations sur la création d’un rôle d’utilisateur, reportez-vous
à la section « Configuration de la page Rôles », page 330.
Types de rôles
Le Système IVE prend en charge deux types de rôles d’utilisateur :
• Administrateurs
Un rôle d’administrateur est une entité qui détermine les fonctions
de gestion d’un Système IVE et les propriétés de session pour les
administrateurs qui correspondent au rôle. Vous pouvez personnaliser
un rôle d’administrateur en sélectionnant les jeux de fonctionnalités
de Système IVE et les rôles d’utilisateur que les membres du rôle
d’administrateur peuvent visualiser et gérer. Pour plus d’informations,
reportez-vous à la section « Configuration de la page Délégation »,
page 299.
• Utilisateurs
Un rôle d’utilisateur est une entité qui définit les paramètres de session
d’utilisateur, les paramètres de personnalisation et les fonctionnalités
d’accès activées. Vous pouvez personnaliser un rôle d’utilisateur en
activant des fonctionnalités d’accès IVE spécifiques, en définissant des
signets Web, d’application et de session, ainsi qu’en configurant les
paramètres de session pour les fonctionnalités d’accès activées. Pour plus
d’informations, reportez-vous à la section « Configuration de la page
Rôles », page 330.

45
Composants d’un rôle
Un rôle d’utilisateur comprend les informations suivantes :
• Restrictions du rôle : accessibilité de l’utilisateur au rôle selon les
exigences en matière d’adresse IP source, d’agent utilisateur, de
certificat côté client, de vérificateur d’hôte et de nettoyeur de cache
qui doivent être remplies avant que l’utilisateur puisse être mis en
correspondance avec ce rôle.
• Paramètres de session : paramètres de session, comme les valeurs
de délai (inactivité, durée maximale et rappel), l’avertissement de délai
dépassé, la session itinérante et l’ouverture de session unique, ainsi
qu’options de session, comme la mise en cache persistante des mots
de passe, les cookies de session persistants et le transfert de demandes
de navigateur.
• Options d’interface utilisateur : paramètres de personnalisation,
comme la page d’ouverture de session, l’en-tête et le pied de page, et
l’affichage ou le masquage de la barre d’outils de navigation. Si l’utilisateur
correspond à plusieurs rôles, le système IVE affiche l’interface utilisateur
qui correspond au premier rôle avec lequel l’utilisateur est mis en
correspondance.
• Paramètres Web : activation ou non de la fonctionnalité d’accès Web,
signets Web définis pour ce rôle et options de navigation sur le Web. Ces
dernières peuvent comprendre les éléments suivants :
•
Options de navigation : possibilité pour l’utilisateur d’entrer des URL,
autorisation d’applets Java, masquage des noms d’hôte lors de la
navigation, ouverture des pages non réécrites dans une nouvelle
fenêtre.
•
Options de signets : possibilité pour l’utilisateur d’ajouter des signets,
autorisation automatique des signets de rôle.
•
Options de cookies : cookies persistants.
• Paramètres des fichiers : activation ou non de la fonctionnalité
d’accès aux fichiers, signets de fichiers définis pour ce rôle et options
de navigation dans les fichiers. Ces dernières peuvent comprendre les
•
Fichiers réseau Windows : possibilité pour les utilisateurs de naviguer
sur les partages de fichiers réseau, d’ajouter des signets et d’ajouter
des signets personnels aux dossiers Windows.
•
Fichiers réseau UNIX : possibilité pour les utilisateurs de naviguer sur
les partages de fichiers réseau, d’ajouter des signets et d’ajouter des
signets personnels aux dossiers UNIX/NFS.
• Paramètres Telnet/SSH : activation ou non de la fonctionnalité
d’accès par terminal sécurisé, stockage des paramètres de session
Telnet/SSH dans des signets pour ce rôle et options Telnet/SSH.
Ces dernières peuvent comprendre les éléments suivants :
•
Possibilité pour l’utilisateur d’ajouter des sessions.
•
Autorisation automatique des sessions Telnet/SSH pour le rôle.
• Paramètres SAM : activation ou non de la fonctionnalité d’accès
Secure Application Manager (y compris le choix du type, J-SAM ou
W-SAM), stockage des applications J-SAM ou W-SAM dans des signets
pour ce rôle et options SAM. Ces dernières peuvent comprendre les
46

•
Options générales de Secure Application Manager : lancement
automatique de Secure Application Manager, désinstallation
automatique de Secure Application Manager, autorisation
automatique des serveurs d’application.
•
Options SAM Windows : mise à jour automatique de Secure
Application Manager.
•
Options SAM Java : possibilité pour l’utilisateur d’ajouter des
applications, correspondance d’hôte automatique.
• Paramètres de Network Connect : activation ou non de la
fonctionnalité d’accès Network Connect et option d’autorisation de
l’accès au sous-réseau local.
• Paramètres de Secure Meeting : activation ou non de la fonctionnalité
d’accès Secure Meeting et options de Secure Meeting. Ces dernières
peuvent comprendre les éléments suivants :
•
Options générales : participation et création, exigences en matière
d’authentification, diffusion de mots de passe, contrôle à distance.
•
Paramètres de stratégie pour le nombre de réunions planifiées, les
réunions simultanées, le nombre de participants simultanés à une
réunion, la durée des réunions.
Pour plus d’informations sur la configuration, reportez-vous à la section
« Configuration de la page Rôles », page 330.
Évaluation des rôles
Le moteur de correspondance de rôles de la plate-forme IVE détermine le
rôle de session d’un utilisateur, ou les autorisations combinées valides
pour une session d’utilisateur, de la manière suivante :
1. Le Système IVE commence l’évaluation des règles par la première règle
figurant dans l’onglet Correspondance de rôles du royaume
d’authentification auquel l’utilisateur parvient à se connecter.
2. Le système détermine si l’utilisateur remplit les conditions de la règle.
Si c’est le cas :
1
Le système ajoute les rôles correspondants à une liste de « rôles
appropriés » avec lesquels l’utilisateur peut être mis en correspondance.
2
Le système détermine si l’option « arrêt si correspondance » est
configurée ou non. Si elle l’est, le moteur passe à l’étape 5.
3. Le Système IVE évalue la règle suivante de l’onglet Correspondance de
rôles du royaume d’authentification, en procédant comme à l’étape 2.
Cette opération est répétée pour toutes les règles suivantes, jusqu’à ce
que toutes les règles de correspondance de rôles aient été évaluées et
que le système dispose d’une liste complète de rôles appropriés.
4. Le système Système IVE évalue la définition de chaque rôle dans la
liste de rôles appropriés afin de déterminer si l’utilisateur satisfait aux
éventuelles restrictions de rôle. Le système IVE utilise ces informations
pour compiler une liste de rôles valides, qui sont les rôles pour lesquels
l’utilisateur répond à des exigences supplémentaires.
Si la liste des rôles valides ne contient qu’un seul élément, le système
attribue l’utilisateur à ce rôle. Dans le cas contraire, le système continue
le processus d’évaluation.

47
5. Le système Système IVE évalue le paramètre défini dans l’onglet
Correspondance de rôles pour les utilisateurs attribués à plusieurs rôles :
•
Fusionner les paramètres pour tous les rôles attribués
Si vous choisissez cette option, le système Système IVE effectue
une fusion permissive de tous les rôles d’utilisateur valides afin de
déterminer le rôle de session global (net) d’une session d’utilisateur.
•
L’utilisateur doit sélectionner l’un des rôles attribués
Si vous choisissez cette option, le système Système IVE présente
une liste de rôles appropriés à l’utilisateur authentifié. L’utilisateur
doit sélectionner un rôle dans cette liste, après quoi le système IVE
attribue l’utilisateur à ce rôle pour la durée de la session d’utilisateur.
Instructions pour la fusion permissive
Une fusion permissive est une fusion qui combine des fonctionnalités et
des paramètres activés en respectant les instructions suivantes :
• Toute fonctionnalité d’accès activée dans un rôle est prioritaire par
rapport à la même fonctionnalité désactivée dans un autre rôle. Par
exemple, si un rôle auquel un utilisateur correspond n’autorise pas
Secure Meeting, alors qu’un autre rôle l’autorise, l’utilisateur est
autorisé à employer pour cette session d’utilisateur.
• Dans le cas du gestionnaire d’applications sécurisé, le système IVE
active la version qui correspond au premier rôle qui active cette
fonctionnalité. En outre, le système IVE fusionne les paramètres de
tous les rôles correspondant à la version sélectionnée.
• Dans le cas d’options d’interface utilisateur, le système Système IVE
applique les paramètres qui correspondent au premier rôle avec lequel
l’utilisateur est mis en correspondance.
• Dans le cas de délais de session, le système Système IVE applique à la
session de l’utilisateur la valeur la plus élevée trouvée dans les rôles.
• Si plusieurs rôles autorisent la fonctionnalité de session itinérante, le
système Système IVE fusionne les masques de réseau afin de formuler
un masque de réseau supérieur pour la session.
48

Pièce 2
Fonctionnalités du système IVE
Cette section décrit les fonctionnalités des produits Access Series. Certaines
d’entre elles requièrent une licence complémentaire.
Table des matières
Présentation générale de Central Manager............................................ 51
Présentation générale des certificats ..................................................... 53
Présentation générale de la mise en cluster .......................................... 61
Présentation générale de l’administration déléguée............................... 69
Présentation du Client courriel ............................................................... 71
Présentation générale du vérificateur d’hôte .......................................... 78
Présentation générale du nettoyeur de cache........................................ 83
Présentation générale des appareils portables et des PDA ................... 87
Enregistrement et Contrôle : présentation.............................................. 91
Présentation de Network Connect.......................................................... 95
Présentation générale du proxy intermédiaire........................................ 97
Présentation générale du Gestionnaire d’applications sécurisé............. 99
Présentation générale de Secure Meeting ............................................111
Présentation générale de l’ouverture de session unique...................... 113

49
50

Présentation générale de Central Manager
Central Manager est un système à deux niveaux (client/serveur) qui vous
permet de gérer de multiples systèmes IVE, qu’ils soient mis en clusters ou
non. Central Manager inclut :
• Un tableau de bord système
La fonctionnalité tableau de bord de Central Manager affiche des alarmes
et des graphiques de la capacité système qui vous permettent de
surveiller facilement le système. (page 129)
• Optimisation de l’enregistrement et de la surveillance
Grâce à la fonctionnalité d’enregistrement, vous pouvez créer des
filtres personnalisés qui vous permettent de visualiser et d’enregistrer
uniquement les messages journaux que vous sélectionnez, au format de
votre choix. (page 209)
• fonctionnalité Pousser configuration
La fonctionnalité Pousser configuration vous permet de pousser facilement
les paramètres d’un système IVE à l’autre pour une gestion centralisée
pratique. (page 463)
• Mises à niveau sans temps d’arrêt
La fonctionnalité de mise à niveau sans temps d’arrêt vous permet
d’accélérer les mises à niveau à travers un cluster, en veillant à ce qu’un
membre du cluster soit toujours fonctionnel lors du processus de mise à niveau.
(page 450)
• Optimisation de l’interface utilisateur
La Console Webpour Central Manager inclut une apparence améliorée.

51
52

Présentation générale des certificats
Le Système IVE utilise l’infrastructure à clé publique (PKI) pour sécuriser
les données qu’il envoie aux clients par Internet. L’infrastructure PKI
(infrastructure à clé publique) est une méthode sécurisée qui utilise des
clés publiques et privées pour chiffrer et déchiffrer les informations. Ces clés
sont activées et stockées à l’aide de certificats numériques. Un certificat
numérique est un fichier électronique chiffré publié qui établit les données
d’identification d’un serveur Web ou d’un utilisateur pour les transactions
client-serveur. Pour établir les données d’identification et sécuriser les
transactions de session IVE, le Système IVE utilise les types de certificats
numériques suivants :
• Certificats de serveur
Un certificat de serveur aide à sécuriser le trafic réseau à destination ou
en provenance du Système IVE en utilisant des éléments tels que le nom
de votre société, une copie de sa clé publique, la signature numérique de
l’autorité de certification (CA) qui a émis le certificat, un numéro de série
et une date d’expiration.
Lors de la réception de données chiffrées en provenance du Système IVE,
le navigateur du client commence par vérifier la validation du certificat
du Système IVE et par s’assurer que l’utilisateur approuve l’autorité de
certification qui a émis ce certificat. Si l’utilisateur n’a pas encore fait
savoir qu’il approuve l’émetteur du certificat du Système IVE, le navigateur
Web l’invite à accepter ou à installer le certificat.
Lorsque vous initialisez le Système IVE, ce dernier crée localement un
certificat numérique temporaire auto-signé qui permet aux utilisateurs de
pouvoir utiliser sans attendre votre système1. Si vous ne souhaitez pas
utiliser le certificat numérique auto-signé du système, vous importerez
peut-être malgré tout un fichier de certificat numérique de serveur et
la clé correspondante dans le Système IVE. Pour plus d’informations,
reportez-vous à la section « Onglet Certificats > Certificats de serveur »,
page 152. Si vous détenez une licence Advanced, vous pourrez importer
plusieurs certificats de serveur dans le système Système IVE. Pour plus
d’informations, reportez-vous à la section « Certificats de serveur
multiples », page 55.
Remarque : Si vous possédez une licence Baseline, vous ne pouvez installer
qu’un certificat CA racine sur le système IVE et valider les utilisateurs à l’aide
du certificat CA côté client correspondant.
• Certificats d’applet
Un certificat d’applet (désigné également sous le nom de certificat de
signature de code) est un type de certificat côté serveur qui signe de
1. Bien que le chiffrement du certificat auto-signé créé au cours de l’initialisation soit tout à fait sûr, les
utilisateurs reçoivent un avertissement de sécurité à chaque fois qu’ils ouvrent une session sur le
Système IVE, car ce certificat n’a pas été émis par une autorité de certification (CA) approuvée.
Pour une utilisation en production, il est conseillé d’obtenir un certificat numérique émis par une
autorité de certification approuvée.

53
nouveau les applets Java passant par l’intermédiaire du Système IVE.
Vous pouvez utiliser le certificat d’applet auto-signé préchargé sur le
Système IVE ou installer votre propre certificat de signature de code.
Pour plus d’informations, reportez-vous à la section « Certificats
d’applet », page 56.
Ces types de certificats sont les seuls à être requis pour une configuration
de base du Système IVE. Le Système IVE peut utiliser un certificat d’applet
et un certificat de serveur uniques pour respectivement signer de nouveau
tous les applets Java et servir d’intermédiaire pour toutes les autres
interactions basées sur l’infrastructure PKI.
Si toutefois ces certificats de base ne répondent pas à vos besoins, vous
pouvez installer de multiples certificats d’applet et de serveur sur le Système IVE ou utiliser des certificats de CA afin de valider les utilisateurs. Un
certificat de CA vous permet de contrôler l’accès aux domaines, aux rôles
et aux stratégies de ressources à partir des certificats ou de leurs attributs.
Par exemple, vous pouvez spécifier que les utilisateurs doivent présenter un
certificat côté client valide, avec l’attribut OU défini sur « votresociété.com »,
afin d’ouvrir une session dans le domaine d’authentification « Utilisateurs ».
Pour plus d’informations sur les vérifications de certificat de domaine, de
rôle et de stratégie de ressources, reportez-vous à la section « Restrictions
de certificat », page 565.
Pour pouvoir utiliser des certificats de CA, vous devez installer et activer
les certificats nécessaires sur le système IVE et installer les certificats
côté client correspondants sur les navigateurs Web de vos utilisateurs
finals. Lors de la validation d’utilisateurs possédant des certificats de CA,
le système IVE vérifie que le certificat n’a pas expiré ou qu’il n’est pas
corrompu ; il vérifie également que le certificat est signé par une autorité
de certification reconnue par le système IVE. Si le certificat de CA est en
chaîne (comme décrit ci-dessous), le système IVE suit également la
chaîne d’émetteurs jusqu’à l’autorité de certification racine, vérifiant la
validité de chaque émetteur. Pour plus d’informations, reportez-vous à la
section « Onglet Certificats > Certificats de l’autorité de certification »,
page 161.
Le Système IVE prend en charge les fonctionnalités supplémentaires
suivantes avec les certificats de CA :
• Serveurs de certificat
Un serveur de certificat est un type de serveur d’authentification
local qui vous permet d’authentifier les utilisateurs d’un système IVE
uniquement à partir de leurs attributs de certificat plutôt que par un
serveur d’authentification standard (tel que LDAP ou SiteMinder) ou
qu’en demandant des certificats ou des attributs de certificat spécifiques.
Pour plus d’informations, reportez-vous à la section « Configuration d’une
instance de serveur de certificats », page 249.
• Hiérarchies de certificats
Au sein d’une hierarchie de certificat, un certificat racine se divise en un
ou plusieurs certificats secondaires (appelés certificats intermédiaires).
Chaque certificat intermédiaire (appelé également certificat en chaîne)
traite les demandes pour une partie du domaine de l’autorité de certification
racine. Par exemple, vous pouvez créer un certificat racine qui traite
toutes les demandes dirigées vers le domaine « votresociété.com » puis
le diviser en différents certificats intermédiaires pour les demandes vers
« partenaires.votresociété.com » et « employés.votresociété.com ».
Vous pouvez également créer des relations approuvées entre différentes
54

hiérarchies de certificats. Pour plus d’informations, reportez-vous à la
section « Hiérarchies de certificats », page 57.
• Listes d’annulation de certificat
L’annulation de certificat est un mécanisme permettant à une autorité
de certification d’annuler un certificat avant sa date d’expiration. Une
liste d’annulation de certificat (CRL) est une liste des certificats
annulés émise par une autorité de certification. Dans ces listes, chaque
entrée contient le numéro de série du certificat annulé, ainsi que la date
et la raison de son annulation. L’autorité de certification peut annuler un
certificat pour différentes raisons, telles que le départ de l’employé pour
qui le certificat est émis, la compromission de la clé privée du certificat
ou encore la perte ou le vol du certificat côté client. Une fois qu’un
certificat est annulé par l’autorité de certification, le système IVE peut
en conséquence refuser l’accès aux utilisateurs présentant un certificat
annulé. Pour plus d’informations, reportez-vous à la section « CRL »,
page 58.
Certificats de serveur multiples
Lorsque plusieurs certificats de serveur sont utilisés, chaque certificat traite
la validation pour un nom de domaine totalement qualifié (FQDN) ou un nom
d’hôte distinct et peut être émis par une autorité de certification différente.
Vous pouvez utiliser de multiples certificats racine en combinaison avec de
multiples URL d’ouverture de session. Avec la fonctionnalité URL d’ouverture
de session multiples, vous pouvez autoriser l’accès au système IVE à partir
de noms d’hôtes multiples en créant une URL d’ouverture de session
différente pour chaque nom d’hôte ou nom de domaine totalement qualifié.
Ensuite, vous pouvez créer des exigences d’authentification et des pages
d’ouverture de session distinctes pour chaque URL d’ouverture de session
(page 223). Avec la fonctionnalité certificats de serveur multiples, vous
pouvez utiliser différents certificats pour valider les utilisateurs ouvrant
une session avec chacun de ces noms d’hôte ou noms de domaine
totalement qualifiés. Par exemple, vous pouvez associer un certificat
avec le site partenaires.votresociété.com et un autre avec le site
employés.votresociété.com.
Pour activer les certificats de serveur multiples, vous devez :
1. Spécifier les adresses IP à partir desquelles les utilisateurs peuvent
accéder au système IVE puis créer, pour chacune, un port virtuel.
Un port virtuel active un alias IP sur un port physique. Afin de créer
des ports virtuels pour :
•
Utilisateurs internes
Utilisez les paramètres dans l’onglet Système > Réseau > Port
interne > Port virtuel afin de créer des ports virtuels pour les
utilisateurs tels que des employés qui ouvrent une session dans le
système IVE depuis l’intérieur de votre réseau interne (page 180).
•
Utilisateurs externes
Utilisez les paramètres dans l’onglet Système > Réseau > Port
externe > Port virtuel afin de créer des ports virtuels pour les
utilisateurs tels que des clients et des partenaires qui ouvrent une
session dans le système IVE depuis l’extérieur de votre réseau interne
(page 186).

55
2. Envoyez vos certificats de serveur au système IVE. Vous pouvez
importer les certificats à partir de la page Système > Configuration >
Certificats > Certificats de serveur de la Console Web (page 152)
ou de la page Maintenance > Importer/Exporter > Configuration
système de la Console Web (page 152). Envoyez un certificat de
serveur pour chaque domaine (nom d’hôte) que vous souhaitez
héberger sur le système IVE.
3. Spécifiez les ports virtuels devant être associés avec les certificats
par le système IVE à l’aide des paramètres dans l’onglet Système >
Configuration > Certificats > Certificats de serveur. Lorsqu’un
utilisateur essaie d’ouvrir une session dans le système IVE à l’aide de
l’adresse IP définie dans un port virtuel, le système IVE utilise le
certificat associé au port virtuel afin de lancer la transaction SSL
(page 180).
Certificats d’applet
Lorsque le système IVE sert d’intermédiaire pour une applet Java signée,
il signe de nouveau l’applet à l’aide d’un certificat auto-signé émis par une
autorité de certification racine non standard approuvée. Si un utilisateur
demande une applet qui exécute des tâches présentant un risque
potentiellement élevé, comme l’accès à des serveurs réseau, le navigateur
de l’utilisateur affiche un message de sécurité avertissant que la racine
n’est pas une racine approuvée. Pour éviter cet avertissement, vous pouvez
importer un certificat de signature de code que le système IVE emploie
pour signer de nouveau les applets pour lesquelles il sert d’intermédiaire.
Les certificats de signature de code suivants sont pris en charge :
• Certificat Microsoft Authenticode
Le système IVE emploie ce certificat pour signer les applets tournant
sur JVM MS ou SUN. Notez que nous prenons en charge les certificats
Microsoft Authenticode émis par VeriSign uniquement.
• Certificat JavaSoft
Le système IVE emploie ce certificat pour signer les applets tournant sur
JVM SUN. Notez que nous prenons en charge les certificats JavaSoft émis
par VeriSign et Thawte uniquement.
Pour choisir le certificat de signature de code à importer, tenez compte des
dépendances suivantes des navigateurs :
• Internet Explorer
En règle générale, Internet Explorer tournant sur de nouveaux ordinateurs
où Windows XP est préinstallé exécute la JVM SUN, ce qui signifie que
le système IVE doit signer de nouveau les applets à l’aide du certificat
JavaSoft.
Internet Explorer tournant sur un PC Windows 98 ou 2000 ou sur un PC
qui a subi une mise à niveau vers Windows XP exécute généralement la
JVM MS, ce qui signifie que le système IVE doit signer de nouveau les
applets à l’aide du certificat Authenticode.
• Netscape
Les navigateurs Netscape ne prennent en charge que la JVM SUN, ce qui
signifie que le système IVE doit signer de nouveau les applets à l’aide du
certificat JavaSoft.
56

Remarques complémentaires à l’attention des utilisateurs de JVM SUN :
• Par défaut, le complément Java met en cache une applet avec le certificat
de signature de code produit lorsqu’un utilisateur accède à cette applet.
Dès lors, même après l’importation d’un certificat de signature de code
sur le système IVE, le navigateur continuera à fournir le certificat initial
aux applets. Pour éviter que les utilisateurs de la JVM SUN ne reçoivent
un certificat non approuvé pour les applets auxquelles ils auraient accédé
avant l’importation d’un certificat de signature de code, ils doivent vider
la mémoire cache du complément Java. Ils peuvent également désactiver
la mise en cache, mais cette option peut dégrader les performances,
l’applet devant être chargée à chaque fois qu’un utilisateur y accède.
• Le complément Java gère sa propre liste de certificats de serveurs Web
approuvés, qui diffère de la liste des certificats approuvés du navigateur.
Lorsqu’un utilisateur accède à une applet, la JVM SUN établit sa propre
connexion (en plus de celle du navigateur) au serveur Web où est stockée
l’applet. L’utilisateur peut ensuite accepter le certificat du serveur Web
en plus du certificat de signature de code. Dans un tel cas, l’utilisateur
doit cliquer sur l’option « Toujours accepter » pour le certificat du serveur
Web. En raison d’un délai intégré au complément Java, si l’utilisateur
attend trop longtemps avant d’activer cette option pour le certificat du
serveur Web, l’applet n’est pas chargée.
Hiérarchies de certificats
Au sein d’une hiérarchie de certificat, un certificat racine unique se divise
en un ou plusieurs certificats intermédiaires. Le certificat racine est émis
par une autorité de certification (CA) racine ; il est auto-signé et fait
office d’autorité principale pour la totalité du domaine. Chaque certificat
intermédiaire est signé par une autorité de certification intermédiaire ; il
est approuvé par le certificat qui se situe au-dessus de lui dans la chaîne
et valide les utilisateurs dans une sous-section du domaine.
Pour activer l’authentification dans un environnement de certificats en
chaîne, vous devez installer les certificats côté client appropriés sur le
navigateur Web de chaque utilisateur puis envoyer les certificats de CA
correspondants au système IVE par la page Système > Configuration >
Certificats > Certificats de CA de la Console Web.
Remarque : Avec une licence Baseline, vous ne pouvez pas installer une chaîne
dont les certificats sont émis par différentes autorités de certification. L’autorité de
certification qui signe le certificat situé au plus bas de la chaîne doit également
signer tous les autres certificats de la chaîne (certificat racine excepté, puisque
auto-signé).
Pour l’envoi de la chaîne de certificats au système IVE, vous devez utiliser
l’une des méthodes suivantes :
• Importez la totalité de la chaîne de certificats en une seule fois
Lors de l’installation d’une chaîne de certificats contenue dans un seul
fichier, le système IVE importe le certificat racine et tout sous-certificat
dont les parents se trouvent dans le fichier ou sur le système IVE. Vous
pouvez inclure les certificats dans le fichier d’importation dans n’importe
quel ordre.

57
• Importez les certificats un par un par ordre décroissant
Lors de l’installation d’une chaîne de certificats contenue dans plusieurs
fichiers, le système IVE exige que vous installiez d’abord le certificat
racine, puis les autres certificats de la chaîne par ordre décroissant.
Lorsque vous installez des certificats en chaîne en appliquant l’une de ces
méthodes, le système IVE relie automatiquement les certificats dans l’ordre
approprié et les affiche de façon hiérarchique dans la Console Web.
Remarque : Si vous installez de multiples certificats sur le navigateur Web d’un
utilisateur, le navigateur invite ce dernier à choisir quel certificat utiliser afin qu’il
puisse ouvrir une session dans le système IVE.
Pour plus d’informations, reportez-vous à la section « Onglet Certificats >
Certificats de l’autorité de certification », page 161.
CRL
Une liste d’annulation de certificat (CRL) constitue une méthode pour
annuler un certificat côté client. Comme son nom l’indique, la liste d’annulation
de certificat (CRL) est une liste de certificats annulés émise par une autorité
de certification ou un émetteur de CRL délégué. Le système IVE prend en
charge les CRL de base, qui incluent tous les certificats annulés de la
société dans une seule liste unifiée.
Le système IVE sait quelle CRL utiliser en vérifiant le certificat du client.
(Lors de l’émission d’un certificat, l’autorité de certification inclut dans le
certificat les informations relatives à ce dernier qui sont contenues dans la
CRL.) Afin de s’assurer qu’il reçoit les informations de CRL les plus à jour,
le système IVE contacte régulièrement un point de distribution CRL afin
d’obtenir une liste mise à jour des certificats annulés. Un point de
distribution CRL (CDP) est un emplacement sur un serveur d’annuaire
LDAP ou un serveur Web où une autorité de certification publie des CRL.
Le système IVE télécharge la CRL depuis le point de distribution CRL à
l’intervalle de temps spécifié dans la CRL, à l’intervalle que vous spécifiez
lors de la configuration de la CRL et au moment que vous choisissez pour
télécharger manuellement la CRL.
Bien que les autorités de certification incluent les informations de CRL
dans les certificats côté client, elles n’y incluent pas systématiquement les
informations de point de distribution de CRL. Afin d’indiquer au système
IVE l’emplacement du point de distribution CRL d’un certificat, une autorité
de certification peut utiliser l’une des méthodes suivantes :
• Spécifier le(s) point(s) de distribution CRL dans le certificat
de CA
Lorsque l’autorité de certification émet un certificat de CA, elle peut
inclure un attribut spécifiant l’emplacement du ou des points de
distribution CRL que le système IVE doit contacter. Si plusieurs points
de distribution CRL sont spécifiés, le système IVE choisit le premier
répertorié dans le certificat puis se rabat sur les points de distribution
suivants si nécessaire.
58

• Spécifier le(s) point(s) de distribution CRL dans les certificats
client
Lorsque l’autorité de certification émet des certificats côté client, elle
peut inclure un attribut spécifiant l’emplacement du ou des points de
distribution CRL que le système IVE doit contacter. Si plusieurs points
de distribution CRL sont spécifiés, le système IVE choisit le premier
répertorié dans le certificat puis se rabat sur les points de distribution
suivants si nécessaire.
Remarque : Si vous optez pour cette méthode, l’utilisateur reçoit une erreur
lors de sa première tentative d’ouverture de session dans le système IVE car
aucune information de CRL n’est disponible. Une fois que le système IVE a
reconnu le certificat du client et extrait l’emplacement de la CRL, il peut
commencer à télécharger la CRL puis valider le certificat de l’utilisateur. Pour
pouvoir ouvrir une session dans le système IVE, l’utilisateur doit patienter
quelques secondes avant d’essayer de se reconnecter.
• Demander à l’administrateur de saisir manuellement
l’emplacement du point de distribution de la CRL
Si l’autorité de certification n’inclut pas l’emplacement CDP dans les
certificats client ou de CA, vous devez spécifier manuellement comment
télécharger l’objet CRL entier lors de la configuration du système IVE.
Vous pouvez spécifier un point de distribution CRL principal et secondaire.
(La saisie manuelle de l’emplacement du CDP offre la plus grande
flexibilité car elle vous évite d’émettre de nouveau les certificats si vous
changez d’emplacement de CDP.)
Le système IVE vérifie le certificat de l’utilisateur par rapport à la CRL
appropriée lors de l’authentification. S’il détermine que le certificat de
l’utilisateur est valide, le système IVE met en cache les attributs du certificat
et les applique, si nécessaire, lors des vérifications de stratégie de ressources
et de rôle. S’il détermine que le certificat de l’utilisateur n’est pas valide, s’il
ne peut contacter la CRL appropriée ou si la CRL a expiré, le système IVE
refuse l’accès à l’utilisateur.
Important :
• Le système IVE prend en charge uniquement les CRL au format PEM ou
DER signées par l’autorité de certification pour laquelle s’appliquent les
annulations.
• Le système IVE enregistre uniquement la première CRL d’un fichier PEM.
• Le système IVE ne prend pas en charge l’extension de la CRL du Point de
Distribution Émetteur (IDP).
« Activation de la vérification des CRL », page 164.

59
60

Présentation générale de la mise en cluster
Vous pouvez acquérir une licence de mise en cluster afin de déployer de deux à
huit systèmes Secure Access Series ou Secure Access Series FIPS au sein d’un
cluster. La plate-forme IVE prend en charge les configuration Active/Passive ou
Active/Active sur un LAN ou un WAN afin d’offrir une disponibilité élevée, une
modularité accrue et des fonctionnalités d’équilibrage de charge.
La présente section fournit une présentation générale de la mise en cluster.
Les procédures se trouvent dans les sections suivantes :
Définition et initialisation d’une grappe ................................................. 194
Ajout d’un système IVE à une grappe par le biais de sa Console Web ....196
Indiquez un système IVE à ajouter à une grappe................................. 199
Gestion des paramètres réseau pour les nœuds de la grappe ............ 200
Désactivation des nœuds pour mettre à niveau le fichier de service
de la grappe ......................................................................................... 201
Définition des paramètres actif/passif, des paramètres actif/actif et
des autres paramètres de la grappe..................................................... 204
Suppression d’une grappe ................................................................... 205
Ajout d’un système IVE à une grappe par le biais de sa Console Web ....196
Présentation générale de la mise en cluster
Pour définir une cluster sur un système IVE, vous devez définir trois données :
1
le nom du cluster ;
2
le mot de passe qui sera partagé par les membres du cluster ;
3
le nom qui identifiera l’ordinateur dans le cluster.
Après avoir défini ces informations sur la page Système > Mise en
cluster>, cliquez sur Créer le cluster afin de créer le cluster et d’y
ajouter l’ordinateur. Après avoir créé le cluster, la page Mise en cluster
présente un onglet État et un onglet Propriétés qui remplacent les onglets
Participer et Créer d’origine. L’onglet État présente le nom, le type et la
configuration (active/active ou active/passive) du cluster, vous permet de
définir de nouveaux membres et de gérer les membres existants, et fournit
des informations générales sur l’état du cluster. L’onglet Propriétés vous
permet de modifier le nom du cluster et de définir les paramètres de
configuration, de synchronisation et de contrôle d’état.
Après avoir défini et initialisé un cluster, vous devez définir les systèmes
IVE qui y seront ajoutés. Lorsqu’un système IVE est identifié en tant que

61
membre prévu, vous pouvez l’ajouter au cluster par l’intermédiaire des
composants suivants :
• Console Web
Si un système IVE configuré fonctionne comme système autonome,
vous pouvez le faire prendre part à un cluster via sa Console Web.
• Console série
Si un système IVE utilise sa configuration d’usine, vous pouvez le faire
prendre part à un cluster via sa console série en entrant un minimum
d’informations pendant la configuration initiale.
Lorsqu’un système IVE entre dans un cluster, il initialise son état à partir
d’un membre existant défini par vos soins. Le nouveau membre envoie
une demande de synchronisation au membre existant. Le membre existant
envoie l’état du système au nouveau membre, ce qui a pour effet de
remplacer toutes les données système sur cet appareil. Par la suite, les
membres du cluster synchronisent leurs données lorsque l’état d’un membre
est modifié. La communication entre les membres du cluster est chiffrée,
de manière à empêcher les attaques depuis l’intérieur du pare-feu de
l’entreprise. Chaque système IVE emploie le mot de passe partagé pour
déchiffrer les communications provenant d’un autre membre du cluster.
Pour des raisons de sécurité, le mot de passe du cluster n’est pas synchronisé
sur les systèmes IVE. Notez que, pendant la synchronisation, le nouveau
nœud reçoit le fichier de service, qui met le nœud à niveau s’il exécute un
fichier de service plus ancien.
Déploiement de deux unités dans un cluster Actif/Passif....................... 62
Déploiement de plusieurs unités dans un cluster Actif/Actif ................... 63
Synchronisation d’état ............................................................................ 65
Déploiement d’un cluster dans un environnement Access Series FIPS .. 66
Déploiement de deux unités dans un cluster Actif/Passif
Vous pouvez déployer les plates-formes NetScreen Access 1000, 3000 et
5000 sous la forme d’une paire en cluster en mode Actif/Passif. Dans ce
mode, un système IVE sert activement les demandes des utilisateurs et
l’autre tourne passivement en arrière-plan afin de synchroniser les données
d’état, comme l’état du système, le profil des utilisateurs et les messages
de journal. Les demandes des utilisateurs à l’adresse VIP (adresse IP
virtuelle) du cluster sont transmises au système IVE actif. Si le système IVE
actif n’est plus disponible, le système en attente commence immédiatement
à servir les demandes des utilisateurs. Les utilisateurs ne doivent pas se
reconnecter, mais il se peut que certaines informations de session IVE
saisies quelques secondes avant l’indisponibilité du système actif, comme
les cookies et les mots de passe, n’aient pas été synchronisées sur le
système IVE actuel. Dans ce cas, il peut être nécessaire que les utilisateurs
se reconnectent de nouveau aux serveurs Web dorsaux.
Le schéma suivant représente une configuration de cluster IVE IVE utilisant
deux systèmes IVE dont les ports externes sont activés. Notez que ce mode
n’augmente pas le débit ou la capacité des utilisateurs, mais qu’il fournit
une redondance qui permet de compenser toute défaillance système
imprévue.
62

Figure 4 : Paire en cluster actif/passif
Cette illustration représente un cluster actif/passif déployé dans le réseau. Les demandes
d’utilisateurs IVE sont transmises à l’adresse VIP du cluster, qui les achemine à l’ordinateur
actuellement actif.
Déploiement de plusieurs unités dans un cluster Actif/Actif
En mode Actif/Actif, tous les ordinateurs du cluster traitent activement les
demandes des utilisateurs envoyées par un système externe d’équilibrage
de charge ou un DNS en séquence périodique. Le système d’équilibrage
de charge héberge l’adresse VIP du cluster et achemine les demandes
d’utilisateurs à un système IVE défini dans son groupe de cluster, selon
le routage SIP (Source IP). Si un système IVE est désactivé, le système
d’équilibrage de charge ajuste la charge sur les systèmes IVE actifs. Les
utilisateurs ne doivent pas se reconnecter, mais il se peut que certaines
informations de session IVE saisies quelques secondes avant l’indisponibilité
du système actif, comme les cookies et les mots de passe, n’aient pas
été synchronisées sur le système IVE actuel. Dans ce cas, il peut être
nécessaire que les utilisateurs se reconnectent de nouveau aux serveurs
Web dorsaux.
Le cluster IVE ne procède à aucune opération de repli automatique ou
d’équilibrage de charge, mais il synchronise les données d’état (données
du système, des utilisateurs et de journal) entre les membres du cluster.
Lorsqu’un système IVE redevient disponible, le système d’équilibrage de
charge ajuste de nouveau la charge pour la répartir entre tous les membres
actifs. Ce mode offre un débit et des performances accrus aux moments où
la charge est maximale, mais il n’augmente pas la modularité au-delà du
nombre total d’utilisateurs couverts par la licence.
Le système IVE héberge une page HTML qui fournit l’état de service pour
chaque système IVE d’un cluster. Les systèmes externes d’équilibrage de
charge peuvent consulter cette ressource pour déterminer la manière la
plus efficace de distribuer la charge entre les nœuds du cluster.

63
Pour effectuer un contrôle d’état pour un nœud, procédez comme suit :
• À partir d’un navigateur — entrez l’adresse :
https://<NomHôteIVE>/dana-na/healthcheck/healthcheck.cgi
• À l’aide d’un système externe d’équilibrage de charge — Configurez une
stratégie de contrôle d’état pour l’envoi de la demande suivante aux
nœuds du cluster :
GET /dana-na/healthcheck/healthcheck.cgi HTTP/1.1\nHôte : Hôte local
Le nœud renvoie l’une des deux valeurs :
•
Chaîne « Cluster Enabled » — Le nœud est actif
•
500 — Erreur, arrête de transférer les demandes des utilisateurs au
nœud
Le schéma suivant représente un cluster IVE en configuration Active/Active
où les systèmes IVE possèdent des ports externes activés.
Figure 5 : Configuration active/active
Cette illustration représente une configuration de cluster Actif/Actif déployée derrière un
système externe d’équilibrage de charge. Vous pouvez déployer une paire en cluster en mode
Actif/Actif. Les demandes des utilisateurs du système IVE sont transmises à l’adresse VIP du
cluster définie sur le système d’équilibrage de charge, qui les envoie à l’ordinateur approprié.
64

Synchronisation d’état
La synchronisation d’état IVE se déroule uniquement via les cartes interface
réseau internes (NIC). Chaque membre du cluster doit posséder le mot de
passe du cluster pour pouvoir communiquer avec les autres membres. Les
membres du cluster synchronisent leurs données lorsque l’état d’un membre
est modifié. Les données d’état d’un cluster IVE peuvent être persistantes
(stockées en permanence sur le système IVE) ou transitoires (uniquement
stockées sur le système IVE pendant la session de l’utilisateur). Les données
d’état IVE se divisent en plusieurs catégories, à savoir :
• État système : cet état est persistant et ne varie pas souvent.
•
Paramètres réseau
•
Configurations des serveurs d’authentification
•
Configurations des groupes d’autorisation, comme les données sur la
liste de contrôle d’accès, les signets, la messagerie et les applications.
• Profils d’utilisateur : ces données peuvent être persistantes ou
transitoires, selon que vous avez ou non activé les cookies persistants
et la mise en cache persistante des mots de passe. Si vous n’avez pas
activé ces fonctionnalités, les données sont transitoires et sont reprises
dans la catégorie suivante.
•
Signets utilisateur : persistants
•
Cookies d’utilisateur persistants : si la fonction de cookies persistants
est activée, le système IVE stocke les cookies des utilisateurs pour
les sites Web qui publient des cookies persistants.
•
Mots de passe d’utilisateur persistants : si la fonction de mise en
cache des mots de passe est activée, l’utilisateur peut décider de
stocker ses informations d’identification pour les applications et les
sites Web.
• Session d’utilisateur : cet état est transitoire et dynamique. Les données
d’une session d’utilisateur comprennent :
•
le cookie de session IVE de l’utilisateur ;
•
les informations de profil d’utilisateur transitoire, qui comprennent
les cookies et les mots de passe uniquement stockés pendant la
session de l’utilisateur.
• État de surveillance : cet état persistant est dynamique et se compose
de messages de journal1.
Que vous déployez un cluster en mode Actif/Passif ou en mode Actif/Actif,
le système IVE est responsable de la synchronisation des données entre les
membres du cluster. Le système IVE synchronise immédiatement toutes les
données du système, les données des profils d’utilisateur et les cookies de
session d’utilisateur IVE. De la sorte, si un membre du cluster devient hors
ligne, les utilisateurs ne doivent pas se reconnecter au système IVE. Un
léger décalage se produit lorsque le système IVE synchronise les données
de profil des sessions d’utilisateur et d’état de surveillance. Dès lors, si
un membre passe hors ligne, il peut être nécessaire à l’utilisateur de se
reconnecter à certaines applications web dorsales, et il se peut que les
1. Lorsque vous ajoutez un système IVE à un cluster, le dirigeant du cluster n’envoie pas de messages de
journal au nouveau membre. En outre, les messages de journal ne sont pas synchronisés entre les
membres d’un cluster lorsqu’un membre redémarre ses services ou qu’un ordinateur hors ligne revient en
ligne. Par contre, quand tous les ordinateurs sont en ligne, les messages de journal sont synchronisés.

65
administrateurs ne puissent pas accéder aux journaux sur l’ordinateur
victime de la défaillance.
Vous pouvez également configurer les paramètres de synchronisation pour
améliorer les performances :
• Définition du protocole de synchronisation
Si vous exécutez au moins trois systèmes IVE dans un cluster à plusieurs
unités ou plusieurs sites, vous pouvez décider d’utiliser le protocole de
synchronisation convenant le mieux à la configuration matérielle du
réseau, à savoir :
•
Monodiffusion
Le système IVE envoie le même message à chaque nœud du cluster.
Il s’agit du seul protocole de synchronisation disponible pour deux
clusters de nœud et les clusters multisites.
•
Multidiffusion
Le système IVE envoie un message à tous les nœuds de cluster du
réseau.
•
Diffusion
Le système IVE envoie un message à tous les ordinateurs du réseau,
mais les nœuds extérieurs au cluster l’ignorent.
Remarque : Le paramètre de transport configuré sur la page de propriétés de
la mise en cluster n’est utilisé que par les membres du même site (sousréseau identique). Par exemple, au sein d’un site de cluster unique de quatre
nœuds, vous pouvez choisir d’employer la méthode de synchronisation en
multidiffusion, mais ce site ne peut communiquer qu’avec d’autres sites
utilisant la méthode en monodiffusion.
• Synchronisation ou non des messages de journal
Les messages de journal peuvent imposer une lourde charge au réseau
et dégrader les performances du cluster. Il est conseillé de désactiver
cette option, notamment dans une configuration à plusieurs éléments.
Déploiement d’un cluster dans un environnement Access Series FIPS
Outre le partage d’état, de profil utilisateur, de session utilisateur et des
données d’état de surveillance, les membres d’un cluster Access Series
FIPS partagent également des données mondiales sécurisées. Tous les
membres d’un cluster partagent la même clé privée et sont accessibles
en utilisant les mêmes cartes administrateur. Comme la modification
d’un environnement sécurisé requiert un accès physique à un module
cryptographique, les membres d’un cluster Access Series FIPS ne
peuvent pas partager toutes leurs données en utilisant le processus de
synchronisation IVE standard. Pour créer un cluster Access Series FIPS,
vous devez plutôt :
1. Créer un cluster de machines Access Series FIPS via la
Console Web.
Comme avec un cluster IVE standard, chaque nœud d’un cluster Access
Series FIPS est initialisé à l’aide des données d’état du système à partir
du membre de cluster spécifié, écrasant toutes les données existantes de
la machine nœud.
66

2. Mettre manuellement à jour l’environnement sécurisé de
chaque machine.
Après avoir créé un cluster, vous devez initialiser chaque nœud de cluster
avec l’environnement sécurisé du membre spécifié à l’aide d’une carte
administrateur pré-initialisée à l’environnement sécurisé, d’un lecteur de
carte à puce et de la console série.
De la même façon, si vous voulez modifier un environnement sécurisé
existant sur un cluster, vous devez mettre à jour individuellement chaque
module cryptographique d’un membre de cluster à l’aide d’une carte
administrateur, d’un lecteur de carte à puce et de la console série IVE. Pour
plus d’informations, reportez-vous à la section « Annexe A : », page 489.

67
68

Présentation générale de l’administration déléguée
Le système de gestion d’accès de la plate-forme IVE vous permet de
déléguer, par le biais de rôles d’administrateur, plusieurs tâches de gestion
d’un Système IVE à différents administrateurs1. Un rôle d’administrateur
est une entité spécifiée qui définit les fonctions de gestion du système IVE
et les propriétés des sessions pour les administrateurs correspondant à ce
rôle. Vous pouvez personnaliser un rôle d’administrateur en définissant
l’ensemble des fonctionnalités IVE, les rôles d’utilisateur, les domaines
d’authentification et les stratégies de ressources que les membres de ce
rôle sont autorisés à consulter et à gérer. Notez que les administrateurs
délégués peuvent uniquement gérer des rôles d’utilisateur, des domaines
et des stratégies de ressources. Ils ne peuvent pas gérer les composants
de l’administrateur.
Vous pouvez choisir de créer un rôle d’administrateur appelé « Administrateur
de l’assistance technique » et de l’attribuer à des utilisateurs qui seront
chargés de répondre aux appels d’utilisateurs rencontrant des problèmes
techniques de niveau 1, en leur permettant, par exemple, de comprendre
pour quelle raison ils ne peuvent pas accéder à une application Web ou
à une page du système IVE. Pour faciliter le dépannage, vous devez
configurer le rôle des « administrateurs de l’assistance technique » de la
manière suivante :
• Donnez aux administrateurs de l’assistance technique l’accès en écriture
sur la page Système > Enregistrement/Contrôle pour leur permettre
de consulter et de filtrer les journaux du système IVE et de retrouver
des événements essentiels dans les historiques des sessions utilisateurs,
ainsi que sur la page Maintenance > Dépannage pour qu’ils puissent
localiser les problèmes survenus sur des systèmes individuels.
• Donnez aux administrateurs de l’assistance technique l’accès en lecture
sur les pages Utilisateur > Rôles pour leur permettre de comprendre
quels sont les signets, les partages et les applications disponibles pour
chaque rôle d’utilisateur, et Stratégie de ressources, pour qu’ils
puissent consulter les stratégies pouvant empêcher les utilisateurs
d’accéder à leurs signets, partages et applications.
• Refusez l’accès aux administrateurs de l’assistance technique sur les
pages Systèmeet Maintenance, qui servent principalement à configurer
les paramètres du système, tels que l’installation des licences et des
service packs, mais non à résoudre les problèmes des utilisateurs.
1. Outre les rôles d’administrateur délégué que vous pouvez créer, le système IVE contient deux types
d’administrateurs de base : les super-administrateurs (.Rôle d’administrateur), qui peuvent réaliser toutes
les tâches d’administration par le biais de la Console Web, et les administrateurs en lecture seule (.Rôle
d’administrateur en lecture seule), qui peuvent consulter, mais non modifier, la configuration complète du
système IVE par le biais de la Console Web. Les super-administrateurs et les administrateurs en lecture
seule sont disponibles sur tous les produits du système IVE.

69
Utilisez les paramètres de la page Administrateurs > Délégation
(page 299) afin de créer des rôles d’administrateur différents et
personnaliser leur accès à la Console Web.
70

Présentation du Client courriel
La prise en charge du courriel fournie par votre système IVE dépend des
fonctions en option couvertes par la licence de votre serveur IVE.
• Option de mise à jour Client courriel sécurisé
Si vous disposez de l’option de mise à jour Client courriel sécurisé,
le système IVE prend en charge les protocoles IMAP4 (Internet Mail
Application Protocol), POP3 (Post Office Protocol) et SMTP (Simple
Mail Transfer Protocol). Vous pouvez aisément permettre un accès
aux serveurs de courriel IMAP/POP/SMTP de l’entreprise en indiquant
le serveur de courriel, la session de courriel et les informations
d’authentification sur la page Stratégies de ressources > Paramètres
de courriel page (page 445).
• Option de mise à jour Gestionnaire d’applications sécurisé
Si vous disposez de l’option de mise à niveau Gestionnaire d’applications
sécurisé, le système IVE prend en charge le protocole MAPI natif de
Microsoft Exchange et le protocole natif Lotus Notes. Vous pouvez
permettre l’accès à votre serveur Microsoft Exchange ou Lotus Notes
via la page Utilisateur > Rôles >SAM > Applications (page 353).
Important : Si votre licence de serveur IVE comprend l’option de mise à jour
Secure Application Manager, qui prend en charge le protocole MAPI natif de
Microsoft Exchange et le protocole natif Lotus Notes, la présente section n’est
pas d’application.
L’option de mise à jour Client de courriel sécurisé permet aux utilisateurs
d’employer des clients de courriel normalisés pour accéder au courriel de
l’entreprise en toute sécurité à partir d’emplacements distants, sans devoir
employer de logiciels supplémentaires tels qu’un client VPN. Le serveur IVE
fonctionne avec tout serveur de courriel prenant en charge les protocoles
IMAP4 (Internet Mail Application Protocol), POP3 (Post Office Protocol) et
SMTP (Simple Mail Transfer Protocol), comme le serveur Microsoft Exchange
et le serveur de courriel Lotus Notes, qui fournissent des interfaces
IMAP4/POP3/SMTP.
Le serveur IVE est placé entre le client distant et votre serveur de courriel.
Il fait office de proxy de courriel sécurisé. Le client distant utilise le serveur
IVE comme serveur de courriel (virtuel) et envoie le courrier à l’aide du
protocole SSL. Le serveur IVE met fin aux connexions SSL du client et
transfère le trafic de courriel déchiffré dans le LAN à votre serveur de courriel.
Le serveur IVE convertit ensuite le trafic non chiffré du serveur de courriel
en trafic S-IMAP (IMAP sécurisé), S-POP (POP sécurisé) et S-SMTP (SMTP
sécurisé) respectivement, puis le transfère via SSL au client de courriel.

71
Choix d’un client de courriel ................................................................... 72
Utilisation d’un serveur de courriel normalisé......................................... 72
Utilisation du serveur Microsoft Exchange ............................................. 73
Utilisation de Lotus Notes et d’un serveur de courriel Lotus Notes ........ 75
Choix d’un client de courriel
Le système IVE prend en charge les clients de courriel suivants :
• Outlook 2000 et 2002
• Outlook Express 5.5 et 6.x
• Netscape Messenger 4.7x et Netscape Mail 6.2
Les utilisateurs qui ont besoin d’un accès distant au courriel se répartissent
généralement en deux catégories :
• Utilisateurs de portables à usage professionnel
Ces utilisateurs emploient le même ordinateur portable au bureau et en
déplacement.
• Télétravailleurs
Ces utilisateurs emploient un ordinateur différent à domicile et au bureau.
Avant de recommander un client de courriel à vos utilisateurs, prenez
connaissance des sections suivantes, relatives à la manière dont les clients
pris en charge interagissent avec :
• des serveurs de courriel normalisés, y compris le serveur de courriel
Lotus Notes (page 72)
• et le serveur Microsoft Exchange (page 73)
Remarque : Vous trouverez des instructions de configuration pour chacun des
clients de courriel pris en charge sur le site du service d’assistance.
Utilisation d’un serveur de courriel normalisé
Le IVE fonctionne avec les serveurs de courriel compatibles avec les
protocoles IMAP4, POP3 et SMTP.
Serveurs de courriel IMAP
• Utilisateurs de portables à usage professionnel : Ils peuvent
employer n’importe lequel des six clients de courriel pris en charge.
Il est conseillé que tous les utilisateurs emploient le même client, configuré
pour pointer vers le serveur IVE, au bureau et en déplacement, pour
pouvoir travailler en toute transparence.
• Télétravailleurs : Ils peuvent employer n’importe lequel des six clients
de courriel pris en charge pour accéder, à distance, au serveur IMAP via
le système IVE.
72

Serveurs de courriel POP
employer n’importe lequel des quatre clients de courriel Outlook*. Il est
conseillé que tous les utilisateurs emploient le même client, configuré
pour pointer vers le serveur IVE, au bureau et en déplacement, pour
pouvoir travailler en toute transparence.
• Télétravailleurs : Ils peuvent employer n’importe lequel des quatre
clients de courriel Outlook* pour accéder, à distance, au serveur POP via
le système IVE.
Les clients de courriel Netscape ne peuvent pas être employés en mode
POP pour l’accès distant, car ils ne prennent pas en charge le protocole
S-POP requis par le serveur IVE pour la transmission sécurisée de données.
*
Utilisation du serveur Microsoft Exchange
Le serveur Microsoft Exchange prend en charge :
• les clients MAPI (Messaging Application Programming Interface) natifs
• les clients IMAP ;
• les clients POP ;
• Outlook Web Access (OWA)
Le serveur IVE permet d’accéder au serveur Microsoft Exchange à l’aide de
clients IMAP et POP au moyen de l’option de mise à jour Client de courriel
sécurisé, et via OWA à l’aide de la fonction de navigation Web sécurisée.
Si vous voulez fournir un accès au serveur Microsoft Exchange par
l’intermédiaire du protocole MAPI natif, la licence de votre système IVE
doit comprendre l’option de mise à jour Secure Application Manager.
Exchange Server et clients IMAP
Si le serveur de courriel de votre entreprise est un serveur Exchange, nous
supposerons que les ordinateurs de bureau des employés sont configurés
pour utiliser le client de courriel Outlook 2000 ou 2002 en mode MAPI natif.
employer les clients de courriel Outlook Express ou Netscape pour
accéder, à distance, au serveur Exchange via le système IVE.1
• Télétravailleurs : Ils peuvent employer n’importe lequel des six clients
de courriel pris en charge pour accéder, à distance, au serveur Exchange
via le système IVE, en supposant qu’aucun compte MAPI ne soit
configuré sur l’ordinateur distant.
1. Le client Outlook 2000 n’accepte qu’une configuration de serveur de courriel, qui serait dans ce cas le
mode MAPI natif. Il serait dès lors impossible aux utilisateurs d’employer le même client pour un accès
distant. Le client Outlook 2002 prend en charge des configurations de serveur MAPI et IMAP simultanées,
mais il n’accepte pas l’accès IMAP lorsque le compte MAPI est hors ligne, ce qui interdit aux utilisateurs
distants de récupérer leur courriel.

73
Lorsqu’un utilisateur exécute les clients Outlook Express ou Netscape en
mode IMAP, tenez compte du comportement suivant en matière de gestion
des dossiers :
• En cas d’emploi de clients de courriel Outlook Express
Les messages supprimés apparaissent dans la boîte de réception d’Outlook
Express et sont barrés. Ils ne sont pas déplacés vers le dossier Éléments
supprimés du serveur Exchange, ce qui se fait en cas d’emploi du client
Outlook 2000 ou 2002. Lorsque l’utilisateur purge les messages supprimés
dans un client Outlook Express, ils sont définitivement effacés. Les
utilisateurs d’Outlook Express devraient plutôt :
•
Faire glisser manuellement les messages qu’ils veulent supprimer dans
le dossier Éléments supprimés qui se trouve dans les Dossiers
locaux (il s’agit de dossiers qui sont définis par défaut). Ce dossier
est synchronisé avec le dossier Éléments supprimés du serveur
Exchange, ce qui permet à l’utilisateur de récupérer ultérieurement
des messages supprimés.
•
Laisser les messages supprimés dans la boîte de réception d’Outlook
Express et, la prochaine fois qu’ils se connectent à leur programme
Outlook 2000 ou 2002, déplacer ces messages vers le dossier
Éléments supprimés.
• En cas d’emploi de clients de courriel Netscape
Les messages supprimés sont déplacés vers le dossier Corbeille de
Netscape et ne figurent plus dans la boîte de réception de Netscape, mais
ils ne disparaissent pas de la boîte de réception d’Outlook 2000 ou 2002,
sauf si l’utilisateur :
1
configure le programme Netscape de manière à déplacer les messages
supprimés vers le dossier Corbeille, puis active l’option de suppression
du contenu de la boîte de réception à la sortie du programme.
2
N’exécutez qu’un programme à la fois et quittez-le quand vous avez
terminé. La boîte de réception de l’autre programme pourra ainsi être
synchronisée avec le serveur et afficher les mêmes messages.
En outre, les messages envoyés sont déplacés vers le dossier Envoyés
de Netscape (ou tout autre dossier défini par l’utilisateur). Si l’utilisateur
souhaite que les messages envoyés s’affichent dans le dossier Éléments
envoyés du serveur Microsoft Exchange, il doit les faire glisser
manuellement du dossier Envoyés de Netscape vers le dossier Éléments
envoyés.
Exchange Server et clients POP
Si le serveur de courriel de votre entreprise est un serveur Exchange, nous
supposerons que les ordinateurs de bureau des employés sont configurés
pour utiliser le client de courriel Outlook 2000 ou 2002 en mode MAPI natif.
employer les clients de courriel Outlook Express pris en charge* pour
accéder, à distance, au serveur Exchange via le système IVE.
• Télétravailleurs : Ils peuvent employer n’importe lequel des quatre
clients Outlook* pour accéder, à distance, au serveur Exchange via le
système IVE, en supposant qu’aucun compte MAPI ne soit configuré
sur l’ordinateur distant.
74

Les clients de courriel Netscape ne peuvent pas être employés en mode
POP pour l’accès distant, car ils ne prennent pas en charge le protocole
S-POP requis par le serveur IVE pour la transmission sécurisée de données.
*
Exchange Server et OWA
Pour fournir un accès OWA à votre serveur Exchange et permettre aux
utilisateurs d’y accéder à l’aide de la fonction de navigation Web du système
IVE, il suffit de déployer OWA comme application Web sur votre intranet.
Aucune autre configuration n’est nécessaire pour déployer un système OWA
en dehors de votre réseau.
Remarque : L’emploi du serveur IVE pour accéder à OWA (Outlook Web Access)
permet de protéger le serveur Web IIS OWA des attaques standard, telles que
Nimda. Cette méthode est par conséquent bien plus sûre que le placement direct
d’OWA sur Internet.\
Utilisation de Lotus Notes et d’un serveur de courriel Lotus Notes
Le serveur de courriel Lotus Notes fournit des interfaces POP3 et IMAP4 qui
permettent aux utilisateurs de récupérer leur courriel depuis une configuration
de courriel Lotus Notes par l’intermédiaire du système IVE. Pour déterminer
quel client de courriel recommander aux utilisateurs de courriel de votre
entreprise qui doivent accéder, à distance, au serveur de courriel Lotus,
reportez-vous à la section relative à l’emploi de serveurs de courriel
normalisés à la page « Utilisation d’un serveur de courriel normalisé »,
page 72.

75
76

Présentation de la défense de point final
Juniper Networks a mis au point l’initiative J.E.D.I. (Juniper Endpoint
Defense Initiative) afin d’offrir une solution complète d’évaluation de la
fiabilité des points finals SSL VPN. J.E.D.I. emploie une approche en
couches afin de toucher toute la gamme de risques que les points finals
peuvent représenter pour le réseau de votre entreprise. Les composants
J.E.D.I. permettent de sécuriser les systèmes des utilisateurs dans votre
réseau et en dehors avant de les autoriser à ses connecter à votre Système
IVE. Les composants J.E.D.I. sont les suivants :
• Contrôles d’hôte natifs et mise en œuvre selon les stratégies
Le système de contrôle d’hôte natif (également baptisé vérificateur d’hôte)
est un composant IVE natif qui permet d’effectuer des contrôles de point
final sur les hôtes qui se connectent au système IVE. Le vérificateur
d’hôte permet de vérifier que les processus, fichiers, entrées de registre,
ports ou produits de sécurité de point final tiers intégrés concernés sont
bien conformes à vos exigences avant d’autoriser un utilisateur à accéder
à un royaume, un rôle ou une stratégie de ressources IVE. Par exemple,
vous pouvez utiliser la fonctionnalité de vérification de produits tiers du
vérificateur d’hôte pour déterminer qu’un utilisateur ne peut accéder qu’à
un rôle IVE précis s’il a activé un pare-feu personnel sur son système.
Vous pouvez également employer des contrôles d’hôte dans une intégration
à configuration dispersée avec des systèmes qui ne sont pas encore
compatibles avec J.E.D.I. Pour plus d’informations, reportez-vous à la
section « Présentation générale du vérificateur d’hôte », page 78.
• Interface client du vérificateur d’hôte
L’interface client du vérificateur d’hôte est une API qui permet de
communiquer avec des DLL à l’aide du vérificateur d’hôte ou avec des
DLL compatibles J.E.D.I. L’interface permet d’ordonner au vérificateur
d’hôte d’exécuter une DLL que vous avez déjà installée sur le système de
l’utilisateur ou distribuée au sein d’une image de système d’exploitation
valide pour toute l’entreprise. Cette DLL peut être un programme qui
vérifie la conformité aux images d’entreprise, aux logiciels antivirus et
aux clients de pare-feu personnel. Le vérificateur d’hôte exécute la DLL
indiquée lorsqu’un utilisateur se connecte au système IVE, ses actions
ultérieures dépendant de la réussite ou de l’échec renvoyé par la DLL.
Par exemple, vous pouvez interdire à un utilisateur d’accéder au IVE
si le logiciel de vérification du client échoue. Pour plus d’informations,
reportez-vous à la section « Interface client du vérificateur d’hôte »,
page 536.
• Interface d’intégration de serveur du vérificateur d’hôte
L’interface d’intégration de serveur du vérificateur d’hôte est une API
qui permet d’intégrer étroitement un système compatible J.E.D.I. au
système IVE. Tout comme l’interface client du vérificateur d’hôte, vous
pouvez employer l’interface d’intégration de serveur du vérificateur
d’hôte pour ordonner au vérificateur d’hôte d’exécuter des logiciels tiers
sur le client, comme des contrôles d’intégrité d’hôte, des détecteurs
d’antiprogrammes et des environnements virtuels. Cette interface vous
permet également de déterminer, avec une granularité maximale, ce que

77
le vérificateur d’hôte doit faire en fonction du résultat de ces différents
contrôles de stratégie réalisés par les applications tierces. Vous pouvez
appeler ces stratégies de manière à faire correspondre, de manière
dynamique, les utilisateurs aux royaumes, aux rôles et aux ressources
en fonction des stratégies individuelles figurant dans votre ensemble de
logiciels. Pour plus d’informations, reportez-vous à la section « Interface
d’intégration de serveur du vérificateur d’hôte », page 540.
• Nettoyeur de cache
Le Nettoyeur de cache est un composant IVE natif qui permet de supprimer
les données résiduelles, comme les fichiers temporaires ou les caches
d’applications, de l’ordinateur d’un utilisateur après une session IVE. Le
Nettoyeur de cache contribue à sécuriser le système de l’utilisateur en
évitant que les utilisateurs suivants puissent trouver des copies temporaires
des fichiers que l’utilisateur précédent a consultés. Pour plus d’informations,
reportez-vous à la section « Présentation générale du nettoyeur de
cache », page 83.
Ces composants de défense de point final permettent de mettre au point
une approche de protection en couches, afin de gérer et de fournir divers
contrôles de point final à partir du système IVE. Par exemple, vous pouvez
décider de vérifier la présence de logiciels antivirus et de pare-feu personnel
avant d’autoriser un utilisateur à accéder à un royaume IVE, de lancer si
nécessaire le logiciel sur le système de l’utilisateur, de faire correspondre
l’utilisateur à des rôles en fonction de stratégies définies dans votre propre
DLL, puis de limiter davantage l’accès aux différentes ressources en fonction
de l’existence de logiciels de détection de logiciels espions. Vous pouvez
ensuite utiliser le Nettoyeur de cache pour supprimer les fichiers résiduels
et effacer le cache des applications de l’utilisateur lorsque ce dernier a
terminé sa session IVE.
Présentation générale du vérificateur d’hôte
Le vérificateur d’hôte est un agent côté client qui effectue des contrôles de
point final sur les hôtes qui se connectent au système IVE. Vous pouvez
faire appel au vérificateur d’hôte avant d’afficher une page d’ouverture de
session IVE pour un utilisateur ainsi que lors de l’évaluation d’une règle de
correspondance de rôles ou d’une stratégie de ressources. Le système IVE
peut vérifier les propriétés de point final sur les hôtes à l’aide de :
• L’implémentation Vérificateur d’hôte d’une application de
sécurité de point final prise en charge
Le contrôle ActiveX appelle l’intégration du vérificateur d’hôte du logiciel
de sécurité de point final tiers et observe la valeur renvoyée pour définir
si le fonctionnement du logiciel est conforme aux stratégies configurées.
Le système IVE prend actuellement en charge une intégration stricte du
vérificateur d’hôte avec :
78

•
Sygate Enforcement API
•
Sygate Security Agent
•
Zone Labs : ZoneAlarm Pro et Zone Labs Integrity
•
McAfee Desktop Firewall 8.0
•
InfoExpress CyberGatekeeper Agent
• Intégration du vérificateur d’hôte à l’aide d’une DLL personnalisée
L’interface client du vérificateur d’hôte permet de rédiger une DLL qui
réalise des vérifications côté client personnalisées. Cette DLL doit être
installée sur chaque ordinateur client.
• Vérification des attributs
Le contrôle ActiveX recherche les empreintes de l’application indiquée,
dont les processus, les fichiers et les entrées dans la base de registres.
Pour plus d’informations, reportez-vous à la section
• « Définition des stratégies du vérificateur d’hôte », page 79
• « Déploiement des stratégies du vérificateur d’hôte », page 80
• « Installation du vérificateur d’hôte », page 81
• « Exécution des stratégies du vérificateur d’hôte », page 82
Définition des stratégies du vérificateur d’hôte
Pour pouvoir utiliser le vérificateur d’hôte comme outil de mise en œuvre
de stratégie à des fins de gestion des points final, vous devez créer des
stratégies de vérificateur d’hôte globales au niveau du système, puis les
mettre en œuvre au niveau des royaumes, des rôles et des stratégies de
ressources.
Lorsque vous créez des stratégies de vérificateur d’hôte dans la Console
Web, vous devez définir des méthodes de vérification d’hôte et/ou des
paramètres de règles. Une méthode de vérification d’hôte est la mise
en œuvre, par le vérificateur d’hôte, d’un produit de sécurité de point final
tiers. Une méthode détermine si une application est en cours d’exécution,
conformément aux stratégies que vous avez définies. Actuellement, le
vérificateur d’hôte offre des méthodes pour les logiciels suivants :
• Sygate Enforcement API
• Sygate Security Agent
• Zone Labs : ZoneAlarm Pro et Zone Labs Integrity
• McAfee Desktop Firewall 8.0
• InfoExpress CyberGatekeeper Agent
Une règle de vérification d’hôte est une exigence à laquelle un client doit
répondre pour que le vérificateur d’hôte renvoie une valeur de réussite au
système IVE. Vous pouvez indiquer cinq types de règles :
• Vérification NHC de fournisseur tiers
Utilisez cette règle pour préciser l’emplacement d’une DLL personnalisée
rédigée à l’aide de l’interface client du vérificateur d’hôte. Le vérificateur
d’hôte demande à la DLL de réaliser des vérifications côté client
personnalisées. Si la DLL renvoie une valeur de réussite au vérificateur
d’hôte, le système IVE considère que la règle est respectée. Pour plus
d’informations sur la création d’une DLL personnalisée à l’aide de
l’interface client du vérificateur d’hôte, reportez-vous à la section
« Interface client du vérificateur d’hôte », page 536.
• Vérification de port
Les vérifications de port contrôlent les connexions réseau qu’un client
peut générer au cours d’une session. Utilisez cette règle pour que

79
certains ports d’un ordinateur client soient ouverts ou fermés afin de
permettre à l’utilisateur d’accéder au système IVE.
• Vérification de processus
Les vérifications de processus contrôlent les logiciels qu’un client peut
exécuter au cours d’une session. Utilisez cette règle pour qu’un ordinateur
client exécute ou non un certain processus afin de permettre à l’utilisateur
d’accéder au système IVE.
• Vérification de fichier
Utilisez cette règle pour qu’un ordinateur client possède ou non un certain
fichier afin de permettre à l’utilisateur d’accéder au système IVE. Vous
pouvez également utiliser les vérifications de fichiers pour évaluer l’âge
des fichiers requis et accorder ou refuser l’accès en conséquence.
• Vérification des paramètres du registre
Les vérifications de paramètres de registre contrôlent les images PC de
l’entreprise, les configurations de systèmes et les paramètres logiciels
dont un client doit disposer pour pouvoir accéder au système IVE. Utilisez
cette règle pour qu’un ordinateur client possède certains paramètres de
registre afin de permettre à l’utilisateur d’accéder au système IVE. Vous
pouvez également utiliser les vérifications de registre pour évaluer l’âge
des fichiers requis et accorder ou refuser l’accès en conséquence.
Vous pouvez sélectionner n’importe quelle méthode ou règle pour le
vérificateur d’hôte afin qu’il vérifie qu’un client dispose des propriétés de
point final nécessaires. Ces règles sont combinées afin de créer une stratégie
que le vérificateur d’hôte vérifie sur le client. Pour plus d’informations sur la
configuration, reportez-vous à la section « Onglet Sécurité > Vérificateur
d’hôte », page 144.
Vous pouvez également définir des stratégies de vérificateur d’hôte à l’aide
de l’interface d’intégration de serveur du vérificateur d’hôte. Les stratégies
définies de la sorte sont reconnues par le système IVE lorsque vous lui
envoyez le fichier d’intégration tiers. Pour plus d’informations, reportezvous à la section « Interface d’intégration de serveur du vérificateur
Déploiement des stratégies du vérificateur d’hôte
Lorsque vous avez créé des stratégies globales, vous pouvez limiter l’accès
au système IVE et aux ressources en exigeant la présence du vérificateur
d’hôte dans :
• Stratégie d’authentification de royaume
Lorsque les administrateurs ou utilisateurs tentent d’ouvrir une session
automatique sur le système IVE, le système IVE évalue la stratégie
d’authentification du domaine indiqué afin de déterminer si les exigences
de pré-authentification incluent le vérificateur d’hôte. Vous pouvez
configurer une stratégie d’authentification de domaine pour télécharger
le vérificateur d’hôte, télécharger le vérificateur d’hôte et appliquer les
stratégies du vérificateur d’hôte indiquées pour ce domaine, ou ne pas
faire appel au vérificateur d’hôte. L’utilisateur doit ouvrir une session
conforme aux exigences du vérificateur d’hôte indiquées pour le
domaine. Si ce n’est pas le cas, le système IVE ne transfère pas les
données d’identification de l’utilisateur au serveur d’authentification et
l’utilisateur se voit refuser l’accès au système IVE.
80

• Rôle d’utilisateur
Lorsque le système IVE détermine la liste des rôles auxquels un administrateur ou un utilisateur peut correspondre, il évalue les restrictions
relatives à chaque rôle afin de déterminer si le rôle implique que l’ordinateur de l’utilisateur respecte certaines stratégies du vérificateur
d’hôte. Dans ce cas, si l’ordinateur de l’utilisateur ne respecte pas les
stratégies spécifiées du vérificateur d’hôte, le système IVE ne fait pas
• Stratégie de ressources
Lorsqu’un utilisateur demande une ressource, le système IVE évalue
les règles détaillées de la stratégie de ressources afin de déterminer si
la ressource implique que l’ordinateur de l’utilisateur respecte certaines
stratégies du vérificateur d’hôte. Le système IVE refuse l’accès à la
ressource si l’ordinateur de l’utilisateur ne respecte pas les stratégies
spécifiées du vérificateur d’hôte.
Vous pouvez stipuler que le système IVE ne doit évaluer vos stratégies de
vérificateur d’hôte que quand l’utilisateur tente d’accéder pour la première
fois au royaume, au rôle ou à la ressource qui fait référence à la stratégie
concernée, ou décider que le système IVE devra régulièrement réévaluer
les stratégies au cours de la session de l’utilisateur. Si vous optez pour
une évaluation périodique des stratégies de vérificateur d’hôte, le système
IVE fera correspondre les utilisateurs aux rôles de manière dynamique et
autorisera les utilisateurs à accéder aux nouvelles ressources en fonction
de l’évaluation la plus récente. Pour plus d’informations, reportez-vous à la
section « Exécution des stratégies du vérificateur d’hôte », page 82.
Installation du vérificateur d’hôte
Si vous mettez en œuvre, au niveau des royaumes, des rôles ou des
ressources, une stratégie qui exige la présence du vérificateur d’hôte,
vous devez fournir un mécanisme qui permettra au système IVE ou à
l’utilisateur d’installer le vérificateur d’hôte sur l’ordinateur client. Dans le
cas contraire, lorsque le système IVE évaluera la stratégie du vérificateur
d’hôte, l’ordinateur de l’utilisateur sera en situation d’échec, car le client
du vérificateur d’hôte ne sera pas présent et ne pourra donc pas renvoyer
de réussite.
Vous pouvez employer deux méthodes pour installer le vérificateur d’hôte
sur le système d’un utilisateur :
• INstallation automatique du vérificateur d’hôte par le système IVE
Vous pouvez activer l’installation automatique via la page
Utilisateur/Administrateur > Royaume d’authentification >
Stratégie d’authentification > Vérificateur d’hôte de la Console
Web. Dans ce cas, le système IVE évalue l’option au niveau du royaume
lorsque l’utilisateur accède à la page d’ouverture de session IVE, puis il
détermine si la version actuelle du vérificateur d’hôte est bien installée
sur l’ordinateur de l’utilisateur. Si le contrôle du vérificateur d’hôte n’est
pas installé, le système IVE l’installe.
• Installation manuelle du vérificateur d’hôte par l’utilisateur ou
l’administrateur
Vous pouvez télécharger le système d’installation du vérificateur d’hôte
depuis la page Maintenance > Système > Systèmes d’installation
de la console Web, puis l’employer pour installer manuellement le
contrôle ActiveX du vérificateur d’hôte sur le système de l’utilisateur.

81
Remarque : L’utilisateur doit activer ActiveX sur son ordinateur pour pouvoir
employer le vérificateur d’hôte. Par défaut, l’utilisateur doit en outre posséder une
autorisation d’accès de niveau Administrateur. Si ce n’est pas le cas, utilisez le
service Système d’installation Juniper, accessible sur la page Maintenance >
Système > Systèmes d’installation de la Console Web, pour contourner ce
problème.
Exécution des stratégies du vérificateur d’hôte
Lorsque l’utilisateur tente d’accéder au système IVE, le vérificateur d’hôte
évalue ses stratégies dans l’ordre suivant :
1. Évaluation initiale
Lorsqu’un utilisateur tente d’accéder pour la première fois à la page
d’ouverture de session IVE, le vérificateur d’hôte effectue une évaluation
initiale.1 Le vérificateur d’hôte emploie les méthodes et les règles que
vous définissez dans vos stratégies pour s’assurer si le client répond à
vos exigences de point final, après quoi il transmet les résultats de ce
contrôle au système IVE. Le vérificateur d’hôte procède à l’évaluation
initiale que vous ayez ou non mis en œuvre des stratégies de vérificateur
d’hôte au niveau des royaumes, des rôles ou des stratégies de ressources.
Notez que le système IVE attend pendant 120 secondes que le vérificateur
d’hôte envoie un résultat de réussite ou d’échec de l’évaluation initiale
avant de décider que le délai d’attente a expiré. Si le système IVE ne
reçoit pas de résultat de la part du vérificateur d’hôte, il affiche un message
d’erreur et renvoie l’utilisateur à la page d’ouverture de session. Dans le
cas contraire, le système IVE passe à l’évaluation des stratégies au niveau
du royaume.
2. Stratégies au niveau du royaume
Le système IVE emploie les résultats provenant de l’évaluation initiale du
vérificateur d’hôte afin de déterminer à quels royaumes l’utilisateur peut
accéder. Ensuite, le système IVE présente les royaumes à l’utilisateur
ou les masque. Il ne l’autorise à se connecter qu’aux royaumes activés
pour la page d’ouverture de session et dont les exigences en matière
de vérificateur d’hôte sont remplies. Si l’utilisateur ne répond pas aux
conditions de vérificateur d’hôte requises par l’un des royaumes disponibles,
le système IVE n’affiche pas la page d’ouverture de session. Il affiche au
contraire un message d’erreur qui indique que l’ordinateur n’est pas
conforme à la stratégie de point final.
Notez que le vérificateur d’hôte n’effectue un contrôle au niveau du
royaume que quand l’utilisateur se connecte pour la première fois au
système IVE. Si l’état de l’utilisateur change au cours de sa session, le
système IVE ne le supprime pas du royaume actuel et ne lui accorde pas
l’accès à un nouveau royaume en fonction de son nouvel état.
3. Stratégies au niveau des rôles
Lorsque l’utilisateur s’est connecté à un royaume, le système IVE évalue
les stratégies au niveau des rôles et fait correspondre l’utilisateur au(x)
rôle(s) dont les conditions de vérificateur d’hôte sont remplies. Le
système IVE affiche ensuite la page d’accueil IVE pour l’utilisateur, en
activant les options autorisées par les rôles correspondants.
1. Si l’utilisateur accède à la page d’ouverture de session puis qu’il ferme le navigateur ou ne se connecte
pas au système IVE, le vérificateur d’hôte continue à tourner sur son ordinateur. Le vérificateur d’hôte
sera fermé correctement la prochaine fois que l’utilisateur se connectera au système IVE depuis ce
même ordinateur.
82

Si le vérificateur d’hôte renvoie un état différent au cours d’une
évaluation périodique, le système IVE refait correspondre, de manière
dynamique, l’utilisateur aux rôles correspondant aux nouveaux résultats.
Si l’utilisateur final perd ses droits vis-à-vis de tous les rôles disponibles
au cours d’une des évaluations périodiques, le système IVE met fin à la
4. Stratégies au niveau des ressources
Lorsque le système IVE a autorisé l’utilisateur à accéder à la page d’accueil,
il peut arriver que cet utilisateur tente d’accéder à une ressource contrôlée
par une stratégie de ressources. Dans ce cas, le système IVE détermine
si l’action définie dans cette stratégie doit ou non être effectuée en
fonction du dernier état renvoyé par le vérificateur d’hôte.
Si le vérificateur d’hôte renvoie un état différent au cours d’une évaluation
périodique, ce nouvel état n’influe que sur les nouvelles ressources
auxquelles l’utilisateur tente d’accéder. Par exemple, s’il parvient à ouvrir
une session Network Connect puis que la prochaine vérification d’hôte au
niveau des ressources échoue, il peut continuer à accéder à la session
Network Connect ouverte. Le système IVE ne l’empêchera d’y accéder
que s’il tente d’ouvrir une nouvelle session Network Connect. Le système
IVE vérifie le dernier état renvoyé par le vérificateur d’hôte dès que
l’utilisateur tente d’accéder à une nouvelle ressource Web ou d’ouvrir une
nouvelle session du Gestionnaire d’applications sécurisé, de Network
Connect ou de l’Accès par terminal sécurisé.
Que la recherche réussisse ou non, le vérificateur d’hôte reste sur le client,
dans le répertoire C:\Program Files\Neoteris\Host Checker. L’utilisateur
peut désinstaller manuellement l’agent en exécutant le programme
uninstall.exe figurant dans ce répertoire. Le répertoire contient également
un fichier journal, qui est réécrit à chaque exécution du vérificateur d’hôte.
Pour plus d’informations sur les options de gestion des accès, reportez-vous
à la section « Présentation de la gestion des accès », page 21. Les instructions
relatives à la configuration de royaumes, de rôles et de ressources figurent
dans la section « Restrictions Vérificateur d’hôte », page 567.
Présentation générale du nettoyeur de cache
Le Nettoyeur de cache est un agent côté client qui supprime les données
résiduelles, comme les fichiers temporaires ou les caches d’application,
laissées sur l’ordinateur d’un utilisateur après une session IVE. Par exemple,
lorsqu’un utilisateur ouvre une session sur le système IVE à partir d’une
borne Internet et ouvre un document Microsoft Word à l’aide d’un plug-in
de navigateur, Nettoyeur de cache supprime la copie temporaire du fichier
Word stockée dans le cache du navigateur (dossier Windows) à la fermeture
de la session. En supprimant la copie, Nettoyeur de cache empêche les
autres utilisateurs de la borne de trouver et d’ouvrir le document Word
une fois que l’utilisateur du système IVE a fermé sa session. Vous pouvez
également configurer le Nettoyeur de cache de sorte qu’il efface le contenu
d’hôtes et de domaines spécifiques, ainsi que des fichiers et dossiers
particuliers.
Vous pouvez limiter l’accès au système IVE et aux ressources en exigeant la
présence de Nettoyeur de cache dans les éléments suivants :
• Stratégie d’authentification de royaume
Lorsque les administrateurs ou utilisateurs tentent d’ouvrir une session
automatique sur le système IVE, le système IVE évalue la stratégie

83
d’authentification du domaine indiqué afin de déterminer si les exigences
de pré-authentification incluent le Nettoyeur de cache. Vous pouvez
configurer une stratégie d’authentification de royaume de manière à
télécharger Nettoyeur de cache, à télécharger Nettoyeur de cache, puis
à en lancer l’exécution, ou à ne pas exiger la présence deNettoyeur de
cache. L’utilisateur doit ouvrir une session conforme aux exigences du
Nettoyeur de cache indiquées pour le domaine. Si ce n’est pas le cas, le
système IVE ne transfère pas les données d’identification de l’utilisateur
au serveur d’authentification et l’utilisateur se voit refuser l’accès au
système IVE.
• Rôle d’utilisateur
Lorsque le système IVE détermine la liste des rôles disponibles auxquels
un administrateur ou un utilisateur peut correspondre, il évalue les
restrictions de chaque rôle afin de déterminer s’ils exigent l’exécution de
Nettoyeur de cache sur le poste de travail de l’utilisateur. Si l’exécution
de Nettoyeur de cache est requise, mais que l’ordinateur de l’utilisateur
ne l’exécute pas, le IVE ne fait pas correspondre l’utilisateur à ce rôle.
Lorsqu’un utilisateur demande une ressource, le système IVE évalue
les règles détaillées de la stratégie de ressources afin de déterminer si
Nettoyeur de cache doit ou non être installé ou exécuté sur le poste de
travail de l’utilisateur. Le système IVE interdit l’accès à la ressource si
l’ordinateur de l’utilisateur ne remplit pas la condition Nettoyeur de cache.
Pour plus d’informations, reportez-vous à la section
• « Exécution du nettoyeur de cache », page 84
• « Onglet Sécurité > Nettoyeur de cache », page 148
• « Restrictions du nettoyeur de cache », page 568
Exécution du nettoyeur de cache
Si vous souhaitez exiger la présence de Nettoyeur de cache dans un rôle
ou une stratégie de ressources, vous devez, au minimum, installer l’agent
lorsque l’utilisateur se connecte et configurer, pour ce faire, la stratégie
d’authentification du royaume. S’il est configuré, le système IVE télécharge
le contrôle ActiveX sur le système de l’utilisateur.
Vous pouvez stipuler que le système IVE ne doit évaluer vos stratégies
de Nettoyeur de cache que lorsque l’utilisateur tente pour la première
fois d’accéder au royaume, au rôle ou à la ressource qui fait référence à
la stratégie de Nettoyeur de cache. Vous pouvez également utiliser les
paramètres de l’onglet Système > Configuration > Sécurité > Nettoyeur
de cache1 pour déterminer que le système IVE doit régulièrement réévaluer
les stratégies au cours de la session de l’utilisateur. Si vous optez pour une
évaluation périodique des stratégies de Nettoyeur de cache, le système
IVE fera correspondre les utilisateurs aux rôles de manière dynamique et
autorisera les utilisateurs à accéder aux nouvelles ressources en fonction
de l’évaluation la plus récente. Le système IVE emploie la même logique
pour effectuer des évaluations périodiques de Nettoyeur de cache que celle
qui lui sert aux évaluations périodiques de vérificateur d’hôte. Pour plus
d’informations, reportez-vous à la section « Exécution des stratégies du
vérificateur d’hôte », page 82.
1. Les utilisateurs qui disposent de pare-feu personnel voient apparaître une entrée de journal chaque fois
que le Nettoyeur de cache nettoie le cache.
84

Remarque : L’utilisateur doit activer ActiveX sur son ordinateur pour pouvoir
employer le Nettoyeur de cache. Les contrôles ActiveX sont activés automatiquement pour les administrateurs et les utilisateurs avec pouvoir des systèmes
Windows 2000. Les utilisateurs standard doivent les activer manuellement. Pour
activer les contrôles ActiveX dans Internet Explorer, choisissez Outils > Options
Internet > Sécurité > Niveau personnalisé, puis activez les composants ActiveX
en utilisant la boîte de dialogue Paramètres de sécurité.
Nettoyeur de cache effectue un nettoyage final dans les cas suivants :
• L’utilisateur ferme clairement sa session
Lorsque l’utilisateur clique sur Déconnexion sur la page d’accueil IVE,
Nettoyeur de cache procède à un nettoyage final, puis se désinstalle du
système de l’utilisateur.
• Le délai de la session de l’utilisateur est dépassé
Lorsque le délai d’une session d’utilisateur est dépassé, Nettoyeur de
cache procède à un nettoyage et, si l’utilisateur ouvre une nouvelle
session, il en effectue un autre. Le Nettoyeur de cache détecte le
dépassement de délai d’une session, car il contrôle régulièrement la
validité de la session selon la fréquence que vous avez définie dans
l’onglet Système > Configuration > Sécurité > Nettoyeur de cache
(voir « Onglet Sécurité > Nettoyeur de cache », page 148).
Remarque : Lors de la vérification de la validité d’une session d’utilisateur,
Nettoyeur de cache se connecte au système IVE. Cette action peut déclencher des messages d’avertissement sur les pare-feu personnels. L’utilisateur
doit autoriser ce type de trafic pour permettre le bon fonctionnement de Nettoyeur de cache.
• Un système client redémarre après un arrêt anormal
Si le Nettoyeur de cache se termine de manière anormale en raison d’un
problème système, de session ou de connexion réseau, il effectue un
nettoyage final puis se désinstalle du système de l’utilisateur après le
redémarrage de ce dernier. Notez que le Nettoyeur de cache est incapable
de consigner des données au journal après son arrêt.
Nettoyeur de cache n’écrit pas d’entrées dans le journal IVE standard, mais
consigne les données dans un fichier texte temporaire côté client :
c:\Program Files\Neoteris\Cache Cleaner\dsCacheCleaner.log
Ce journal chiffré est supprimé lorsque Nettoyeur de cache se désinstalle.
Vous pouvez désactiver la journalisation côté client dans l’onglet Système >
Configuration > Sécurité > Journaux côté client.
Important : Nettoyeur de cache ne nettoie pas l’historique du navigateur, ne
supprime pas les fichiers que l’utilisateur a explicitement enregistrés, ne supprime
pas les plug-ins Internet Explorer et les contrôles ActiveX, et ne supprime pas les
entrées dans index.dat (table privée d’URL gérée par Internet Explorer).
Pour plus d’informations sur les options de gestion des accès, reportez-vous
à la section « Présentation de la gestion des accès », page 21.

85
86

Présentation générale des appareils portables et des PDA
En plus de permettre aux utilisateurs d’accéder au système IVE depuis
des bornes et des stations de travail standard, le système IVE permet
également aux utilisateurs finals d’accéder à ce système depuis des PDA,
des appareils portables et des téléphones intelligents connectés tels que
i-Mode et Pocket PC. Lorsqu’un utilisateur se connecte depuis un PDA ou un
appareil portable, le système IVE determine les pages et les fonctionnalités
IVE à afficher en se basant sur les paramètres de la page Système >
Configuration > Types de client de la Console Web. Par défaut, les
paramètres de cette page spécifient cette information lors d’un accès au
système IVE en utilisant :
• appareil i-Mode
Le système IVE affiche pour l’utilisateur des pages HTML (cHMTL)
condensées sans tableaux, images, JavaScript, Java ni cadres. Selon les
fonctionnalités que vous activez par la Console Web, l’utilisateur final
peut naviguer sur le Web, cliquer sur le lien de signets Web, ouvrir une
session unique vers d’autres applications et modifier ses préférences
(y compris vider son cache et modifier son mot de passe IVE/LDAP). Le
système IVE permet aux utilisateurs i-Mode d’accéder aux fonctionnalités
prises en charge à l’aide de clés d’accès sur le clavier de leur téléphone
ou au moyen d’une navigation standard de type naviguer-et-sélectionner.
• appareil Pocket PC
Le système IVE affiche des pages HTML mobiles avec des tableaux, des
images, des cadres et JavaScript, mais il ne traite pas Java. Selon les
fonctionnalités que vous activez par la Console Web, l’utilisateur final
peut accéder à Mobile Notes, naviguer sur le Web, cliquer sur le lien
de signets Web, ouvrir une session unique vers d’autres applications et
modifier ses préférences (y compris vider son cache et modifier son mot
de passe IVE/LDAP).
Les utilisateurs de PDA et d’appareils portables ne peuvent accéder ni à la
Console Web ni à la plus grande partie des options avancées du système
IVE telles que la navigation dans les fichiers, Network Connect, Secure
Application Manager, Secure Meeting, Telnet/SSH, le Client courriel, le
vérificateur d’hôte et Cache Cleaner car, de façon générale, les PDA et les
appareils portables ne prennent pas en charge les contrôles ActiveX, Java
ou JavaScript dont dépendent ces fonctionnalités.
Notez également que les utilisateurs i-Mode ne peuvent accéder aux
options basées sur un cookie, y compris les cookies de session ainsi que
l’authentification et l’autorisation SiteMinder, car la plupart des navigateurs
i-Mode ne prennent pas en charge les témoins de connexion. Le système
IVE réécrit les hyperliens pour inclure l’ID de la session dans l’URL au lieu
d’utiliser des cookies. Le système IVE lit l’ID de session lorsque l’utilisateur
accède à l’URL.

87
Configuration du système IVE pour les PDA et les appareils portables
Afin de configurer correctement le système IVE pour qu’il fonctionne avec
les PDA et les appareils portables, vous devez :
1. Activer l’accès au niveau du système.
Si vous souhaitez prendre en charge des navigateurs autres que ceux
proposés par défaut avec le système IVE, vous devez saisir les chaînes
utilisateur-agent des systèmes d’exploitation des PDA et des appareils
portables que vous voulez prendre en charge dans l’onglet Système >
Configuration > Types de client (page 171). Pour une liste complète
des navigateurs de PDA et d’appareils portables pris en charge par le
système IVE, reportez-vous au document Plates-formes prises en charge
publié sur le site Web du service d’assistance.
2. Évaluez vos rôles et vos stratégies de ressources utilisateur.
Selon les fonctionnalités IVE que vous avez activées, vous devrez peutêtre modifier vos stratégies de ressources et vos rôles actuels pour les
utilisateurs de PDA et d’appareils portables ou en créer de nouveaux.
Remarque :
•
Les utilisateurs d’appareils portables ne peuvent accéder ni aux
rôles ni aux stratégies qui requièrent le vérificateur d’hôte ou Cache
Cleaner, car ce type d’appareil ne prend généralement pas en charge
les contrôles ActiveX, Java ou JavaScript dont dépendent ces
fonctionnalités. Vous pouvez désactiver ces options à l’aide des
onglets suivants :
•
Utilisateurs > Rôles > [Rôle] > Général > Restrictions
•
Stratégies de ressources > Web > Accès > [Stratégie] >
Règles détaillées
•
Les utilisateurs d’appareils portables peuvent avoir des difficultés à
lire des noms de rôle longs sur leur petit écran. Si vous demandez
aux utilisateurs de faire une sélection dans une liste de rôles lors de
leur ouverture de session, vous devrez peut-être raccourcir les noms
de rôle dans l’onglet Utilisateurs > Rôles > [Rôle] > Général >
Vue d’ensemble.
•
Les utilisateurs d’appareils portables peuvent avoir des difficultés à
lire des noms de signet longs sur leur petit écran. Vous pouvez
modifier des signets Web à l’aide des onglets suivants :
•
•
Utilisateurs > Rôles > [Rôle] > Web > Signets
•
Stratégies de ressources > Web > Accès > [Stratégie] >
Général
Bien que les fonctionnalités avancées telles que la navigation dans
les fichiers et Secure Application Manager ne soient pas prises en
charge par les PDA et les appareils portables, il n’est pas nécessaire
de les désactiver dans les stratégies de ressources et de rôles
appliquées par les utilisateurs d’appareils de ce type. Le système
IVE ne propose absolument pas ces options aux utilisateurs
d’appareils portables.
3. Évaluez vos serveurs d’authentification et d’autorisation.
Le système IVE prend en charge les mêmes serveurs d’authentification
et d’autorisation tant pour les utilisateurs de PDA et d’appareils portables
que pour les utilisateurs standard, à l’exception du serveur de stratégie
Netegrity SiteMinder. SiteMinder dépend des cookies, qui ne sont pas pris
en charge par les navigateurs i-Mode.
88

4. Évaluez vos domaines.
Selon les fonctionnalités IVE que vous avez activées, vous devrez
peut-être modifier vos domaines actuels pour les utilisateurs de PDA
et d’appareils portables ou en créer de nouveaux. Remarque :
•
Les utilisateurs d’appareils portables ne peuvent accéder au système
IVE lorsqu’ils essaient d’ouvrir une session dans un domaine qui
requiert le vérificateur d’hôte ou Cache Cleaner, car ce type d’appareil
ne prend généralement pas en charge les contrôles ActiveX, Java ou
JavaScript dont dépendent ces fonctionnalités. Vous pouvez désactiver
ces options à l’aide des onglets secondaires de la page Système >
Configuration > Sécurité.
•
Les utilisateurs d’appareils portables ne peuvent effectuer
d’authentification par rapport à un serveur Netegrity SiteMinder.
Vous pouvez choisir un autre serveur d’authentification pour le
domaine dans l’onglet Utilisateurs > Authentification >
[Domaine] > Général.
•
Les utilisateurs d’appareils portables peuvent avoir des difficultés
à lire des noms de domaine longs sur leur petit écran. Si vous
demandez aux utilisateurs de faire une sélection dans une liste de
domaines lors de leur ouverture de session, vous devrez peut-être
raccourcir les noms de domaine dans l’onglet Utilisateurs >
Authentification > [Domaine] > Général.
5. Évaluez la stratégie d’ouverture de session que vous souhaitez
utiliser.
Si vous souhaitez utiliser une page d’ouverture de session différente
pour les utilisateurs de Pocket PC, vous pouvez la définir dans l’onglet
Système > Ouverture de session > Pages d’ouverture de session
puis créer une stratégie d’ouverture de session faisant référence à la
page à l’aide des options dans l’onglet Système > Ouverture de
session > Stratégies d’ouverture de session. Si vous détenez la
licence avancée, vous pouvez également créer une page d’ouverture de
session personnalisée à l’aide des fichiers modèles Pocket PC disponibles
dans le dossier sample.zip.

89
90

Enregistrement et Contrôle : présentation
Les fichiers journaux du système IVE sont des fichiers texte stockés sur le
Système IVE qui enregistrent les événements système. Le Système IVE
génère trois fichiers journaux principaux :
• Journal Événements—Ce fichier journal contient divers événements
système, comme les délais d’expiration des sessions (y compris les
délais d’inactivité et la longueur maximale des sessions), les erreurs
et avertissements système, les demandes de vérification de la
connectivité du serveur et les notifications de redémarrage du service
IVE (le processus de surveillance du système IVE vérifie régulièrement
le serveur IVE et le redémarre si le système IVE ne répond pas).
• Journal accès utilisateur—Ce fichier journal contient des informations
sur les dates d’accès des utilisateurs au système, le nombre d’utilisateurs
simultanés par intervalles d’une heure (enregistrement toutes les heures),
les ouvertures et fermetures de session, les demandes de fichiers
effectuées par les utilisateurs et les demandes Web.
• Journal accès administrateur—Ce fichier journal contient des
informations administratives, dont les modifications apportées par
l’administrateur aux paramètres des utilisateurs, du système et du
réseau (par exemple, les modifications apportées aux délais d’expiration
des sessions), l’activation/la désactivation de la navigation dans les URL
et dans les signets créés par l’utilisateur, ainsi que des informations sur
l’appareil et le serveur. Il crée également une entrée de fichier journal à
chaque fois qu’un administrateur ouvre et ferme une session ou modifie
les licences du système.
Les pages Enregistrement/Contrôle du système > permettent de
définir les événements enregistrés et la taille maximale du fichier du journal
système, ainsi que de choisir si les événements doivent être consignés
sur le serveur syslog en plus de leur enregistrement local. Les pages
Enregistrement/Contrôle du système > permettent également de
visualiser le nombre d’événements défini, d’enregistrer les fichiers
journaux sur un réseau et d’effacer les journaux.
Lorsque la taille maximale configurée de l’un des fichiers journaux est
atteinte (200 Mo par défaut), les données actuelles sont transférées vers
un fichier journal de sauvegarde. Un nouveau fichier vide est alors créé
pour tous les messages de journal ultérieurs (nouveau). A l’aide du
visualiseur de journal, l’administrateur peut consulter les 5 000 messages
de journal les plus récents (limite d’affichage du visualiseur). Si le fichier
journal utilisé contient moins de 5 000 messages de journal, des messages
de journal plus anciens provenant du fichier de journal de sauvegarde sont
affichés, totalisant 5 000 messages de journal. Cela fait apparaître les

91
fichiers journaux sous une forme unique, même s’ils sont stockés
séparément, en fonction de la taille maximale de fichier journal configurée.
Important : Lorsque vous choisissez de sauvegarder les messages journaux ou
d’utiliser la fonction d’archivage FTP sur la page Maintenance > Archivage, le
fichier journal de sauvegarde est ajouté au fichier journal actuel et le tout est
téléchargé comme un fichier journal unique. Si les fichiers journaux ne sont pas
archivés ou enregistrés à nouveau au moment de leur transfert, les messages de
journal les plus anciens (qui sont sauvegardés dans le fichier journal de
sauvegarde) seront perdus.
De plus, vous pouvez employer un outil de gestion réseau tel que HP
OpenView pour surveiller le Système IVE en tant qu’agent SNMP. La plateforme IVE prend en charge SNMP v2, déploie une MIB (base d’informations
de gestion) privée et définit ses propres interruptions. Pour permettre à
votre station de gestion de réseau de traiter ces interruptions, vous devez
télécharger le fichier MIB NetScreen et définir les informations appropriées
pour les recevoir.
Remarque : Pour surveiller les statistiques système vitales, comme l’utilisation du
processeur, chargez le fichier MIB UC-Davis dans votre application de gestion
SNMP. Vous pouvez vous procurer ce fichier MIB à l’adresse suivante : http://netsnmp.sourceforge.net/UCD-SNMP-MIB.txt.
Degrés de gravité du fichier journal........................................................ 92
Fichiers journaux filtres personnalisés ................................................... 93
Configuration de la page Surveillance des journaux ............................ 209
Degrés de gravité du fichier journal
Les événements des fichiers journaux événements, accès utilisateur et
accès administrateur sont classés selon la procédure suivante :
• Critique (degré de gravité 10)—Lorsque le système IVE ne peut
servir les demandes des utilisateurs et des administrateurs ou qu’il
perd la fonctionnalité d’une majorité de ses sous-systèmes, il inscrit
un événement critique dans le journal.
• Majeur (degrés de gravité 8 et 9)—Lorsque le système IVE perd la
fonctionnalité d’un ou de plusieurs sous-systèmes mais que les utilisateurs
peuvent toujours accéder à l’appareil pour d’autres mécanismes d’accès,
le système IVE inscrit un événement majeur dans le journal.
• Mineur (degrés de gravité 5 à 7)—Lorsque le système IVE rencontre
une erreur qui ne correspond pas à une panne majeure d’un sous-système,
il inscrit un événement mineur dans le journal. Les événements mineurs
correspondent généralement à des échecs de demandes individuelles.
• Info (degrés de gravité 1 à 4)—Lorsque le système IVE affiche un
message de notification quand un utilisateur final fait une demande ou
qu’un administrateur effectue une modification, le système IVE inscrit
un événement d’information dans le journal.
92

Fichiers journaux filtres personnalisés
Le pack Central Manager vous permet de filtrer les données et de les
formater dans vos fichiers journaux événements, accès utilisateur et accès
administrateur.
Lorsque vous filtrez des fichiers journaux, le système Système IVE
n’enregistre que les messages spécifiés lors de la requête du filtre. Par
exemple, vous pouvez créer une requête qui enregistre seulement les
entrées d’une plage d’adresses IP particulière ou celles d’utilisateurs
connectés à un domaine spécifique. Pour créer une requête, utilisez la
langue d’expression personnalisée du système IVE.
Lorsque vous formatez des fichiers journaux, le système Système IVE modifie
simplement l’aspect des messages journaux en fonction de vos spécifications.
Le format des journaux n’influe pas sur les données enregistrées par le
système, mais uniquement sur la manière dont ce dernier affiche les données.
Le Système IVE inclut des formats de journaux standard, WELF et W3C,
mais vous pouvez également créer votre propre format personnalisé. Pour
créer un format personnalisé, utilisez les champs journaux.
« Configuration de la page Surveillance des journaux », page 209.

93
94

Présentation de Network Connect
L’option Network Connect fournit aux utilisateurs une expérience de VPN
sans client. Elle fait office de mécanisme d’accès distant supplémentaire
aux ressources de l’entreprise, à l’aide du Système IVE. Cette fonctionnalité
prend en charge tous les modes d’accès à Internet (par téléphone, large
bande et LAN) depuis l’ordinateur client. Elle fonctionne au moyen de proxies
et de pare-feu côté client qui permettent le trafic SSL via le port 443.
Lorsqu’un utilisateur démarre Network Connect, tout le trafic venant du client
est transmis par l’intermédiaire du tunnel Network Connect sécurisé. Le
seul trajet faisant exception concerne le trafic lancé par d’autres fonctions
compatibles IVE, comme la navigation sur le web et dans les fichiers ainsi
que Telnet/SSH. Si vous ne souhaitez pas activer d’autres fonctionnalités
IVE pour certains utilisateurs, créez un rôle d’utilisateur pour lequel seule
l’option Network Connect est activée et assurez-vous que les utilisateurs
correspondant à ce rôle ne sont pas également associés à d’autres rôles
qui activent d’autres fonctionnalités IVE.
Lorsque Network Connect est actif, le client devient nœud sur le LAN
distant (d’entreprise) et devient invisible sur le LAN local de l’utilisateur ;
le système Système IVE fait office de passerelle DNS pour le client et ignore
tout du LAN local de l’utilisateur. Cependant, l’utilisateur peut définir des
trajets statiques sur son PC pour continuer à accéder au LAN local tout en
étant connecté au LAN distant. Comme le trafic PC passe par le tunnel
Network Connect pour accéder à vos ressources d’entreprise internes,
veillez à ce que d’autres hôtes situés dans le réseau local d’un utilisateur
ne puissent pas se connecter au PC qui exécute Network Connect.
Vous pouvez vous assurer que d’autres hôtes situés dans le LAN local
d’un utilisateur distant ne peuvent pas atteindre les ressources d’entreprise
internes en refusant aux utilisateurs l’accès au sous-réseau local (configuré
dans l’onglet Utilisateurs > Rôles > Nom du rôle > Network Connect).
Si vous n’autorisez pas l’accès à un sous-réseau local, le Système IVE met
fin aux sessions Network Connect lancées par les clients pour lesquels des
trajets statiques ont été définis. Vous pouvez également exiger que les
clients exécutent des solutions de sécurité pour point final, comme un
pare-feu personnel, avant de lancer une session d’accès distant de niveau
réseau. Le vérificateur d’hôte, qui effectue des contrôles de sécurité de
point final sur les hôtes qui se connectent au Système IVE, peut vérifier que
les clients emploient un logiciel de sécurité pour point final. Reportez-vous
à la section « Présentation générale du vérificateur d’hôte », page 78 pour
plus d’informations.
Pour plus d’informations sur la configuration des stratégies de ressources
de Network Connect, reportez-vous à la section « Configuration de la page
Network Connect », page 435.

95
Exécution de Network Connect
L’agent Network Connect (NC) fonctionne comme suit :
1. Un utilisateur se connecte à un Système IVE et clique sur le lien Network
Connect de la page d’accueil des utilisateurs finals du Système IVE
(si vous n’avez pas configuré Network Connect de manière à ce qu’il
démarre automatiquement).
2. Le Système IVE télécharge un contrôle ActiveX sur l’ordinateur client.
Ce contrôle effectue les opérations suivantes :
1
Le système détecte si Network Connect est installé. Si ce n’est pas le
cas, le système Système IVE installe le logiciel requis. Cette action ne
s’effectue qu’une fois.
2
Le service côté client Network Connect envoie une demande au Système
IVE en vue d’initialiser la connexion à l’aide d’une adresse IP figurant
dans le pool IP prédéfini (sur la base des stratégies Pool d’adresses IP
qui s’appliquent au rôle de cet utilisateur).
3
L’icône de Network Connect s’affiche dans la barre des tâches système.
3. Le Système IVE alloue une adresse IP (à partir d’une stratégie de
ressources Pool d’adresses IP Network Connect) et attribue une adresse
IP unique au service Network Connect tournant sur le client.
4. Le service Network Connect côté client utilise l’adresse IP attribuée
pour communiquer avec le processus Network Connect tournant sur le
Système IVE.
5. Le processus Network Connect côté client utilise l’adresse IP de serveur
que vous définissez sur la page Système > Réseau > Network
Connect afin de communiquer avec les ressources de l’entreprise.
Figure 6 : Communication client/serveur Network Connect
Le service côté client Network Connect communique avec le processus Network Connect côté
serveur tournant sur le Système IVE. Ce processus transfère les demandes du client vers les
ressources de l’entreprise.
96

Présentation générale du proxy intermédiaire
Le proxy intermédiaire permet de définir les applications Web auxquelles
le système IVE fournit une intermédiation minimale. Contrairement à la
fonctionnalité traditionnelle de proxy inverse, qui ne réécrit également que
certaines parties d’une réponse de serveur mais requiert des modifications
du réseau ainsi qu’une configuration complexe, cette fonctionnalité vous
demande uniquement de définir les serveurs d’applications et la manière
dont le système IVE reçoit les demandes de clients pour ces serveurs
d’applications :
• Via un port IVE
Lorsque vous définissez une application qui emploiera le proxy
intermédiaire comme intermédiaire, vous devez définir un port sur
lequel le système IVE recherche les demandes de clients au serveur
d’applications. Lorsque le système IVE reçoit une demande de client
pour le serveur d’applications, il la transmet au port indiqué de ce
serveur. Si vous sélectionnez cette option, vous devez ouvrir le trafic
vers le port IVE indiqué sur le pare-feu de votre entreprise.
• Par résolution DNS externe
Lorsque vous définissez une application qui emploiera le proxy intermédiaire comme intermédiaire, vous devez définir un alias pour le nom
d’hôte du serveur d’applications. Vous devez ajouter une entrée pour
cet alias à votre DNS externe qui effectue la résolution sur le système
IVE. Lorsque le système IVE reçoit une demande de client pour l’alias,
il la transmet au port défini pour le serveur d’applications.
Cette option peut être utile si votre entreprise applique des stratégies
restrictives par rapport à l’ouverture de ports de pare-feu pour l’accès
au système IVE. En cas d’emploi de cette option, il est conseillé d’inclure
dans l’alias de chaque nom d’hôte la même sous-chaîne de domaine
que votre nom d’hôte IVE, et de charger un certificat de serveur avec
caractère générique sur le système IVE, au format suivant : *.domaine.com.
Par exemple, si votre système IVE possède l’adresse
serveurive.votresociété.com, l’alias de nom d’hôte doit posséder le
format serveurapp.votresociété.com et le format du certificat avec
caractère générique serait *.votresociété.com. Si vous n’utilisez pas de
certificat avec caractère générique, le navigateur des clients affichera
un avertissement relatif au contrôle de nom du certificat lorsque les
utilisateurs accèderont à un serveur d’applications, car l’alias du nom
d’hôte de ce dernier ne correspond pas au nom de domaine du certificat.
Ce comportement n’empêche toutefois pas les utilisateurs d’accéder au
serveur d’applications.

97
Exemples
Si votre système IVE possède l’adresse serveurive.votresociété.com et que
vous disposez d’un serveur Oracle à l’adresse oracle.réseausociété.net:8000,
vous pouvez définir les paramètres d’application suivants lors de la définition
d’un port IVE :
Serveur : oracle.réseausociété.net
Port : 8000
Port IVE: 11000
Lorsque le système IVE reçoit du trafic client Oracle envoyé à
serveurive.votresociété.com:11000, il le transfère à
oracle.réseausociété.net:8000.
Ou alors, si vous voulez définir un alias de nom d’hôte, vous pouvez
configurer l’application à l’aide des paramètres suivants :
Serveur : oracle.réseausociété.net
Port : 8000
Alias IVE: oracle.votresociété.com
Lorsque le système IVE reçoit du trafic de client Oracle envoyé à
oracle.votresociété.com, il le transfère à oracle.réseausociété.net:8000.
Si vous choisissez d’acheminer les demandes de clients vers le système
IVE sur la base d’un alias de nom d’hôte, vous devez également ajouter le
système IVE à votre serveur DNS externe. Cette option peut être utile si
votre entreprise applique des stratégies restrictives par rapport à l’ouverture
de ports de pare-feu vers des serveurs internes ou des serveurs de la DMZ.
Tout comme dans le cas du moteur d’intermédiation central, l’option de
proxy intermédiaire offre une sécurité accrue par rapport au gestionnaire
d’applications sécurisé. En effet, lorsqu’elle est activée pour une application,
le système IVE permet uniquement au client d’envoyer du trafic de couche
7 dirigé vers des ports d’applications fixes du réseau de l’entreprise. Utilisez
cette option pour permettre au système IVE de prendre en charge des
applications dont les composants sont incompatibles avec le moteur d’intermédiation du contenu, comme les applets Java des applications de la suite
e-business Oracle ou des applets exécutées dans une machine virtuelle
Java non prise en charge.
Remarque : L’option de proxy intermédiaire ne fonctionne que pour les applications qui écoutent des ports fixes et où le client n’effectue pas de connexions de
socket directes.
Pour savoir comment définir les applications pour lesquelles le système
IVE effectue une intermédiation minimale, reportez-vous à la section
« Rédaction d’une stratégie de ressources de proxy intermédiaire »,
page 393.
98

Présentation générale du Gestionnaire d’applications sécurisé
L’option de mise à jour Gestionnaire d’applications sécurisé permet
un accès distant sécurisé, au niveau des applications, aux serveurs de
l’entreprise à partir d’applications clientes. Vous pouvez mettre en œuvre
deux versions du Gestionnaire d’applications sécurisé :
• Version Windows (W-SAM)
La version Windows du Gestionnaire d’applications sécurisé est une
solution Windows-32 de redirection transparente des connexions TCP
sortantes selon les applications ou selon les hôtes, en toute sécurité, via
le système IVE. Le logiciel W-SAM peut être téléchargé et lancé à l’aide
d’un contrôle ActiveX hébergé sur le système IVE ou du programme de
démarrage W-SAM préinstallé sur un client. Pour plus d’informations,
reportez-vous à la section « Présentation générale du Gestionnaire
d’applications sécurisé Windows (W-SAM) », page 99.
• Version Java (J-SAM)
La version Java du Gestionnaire d’applications sécurisé permet la prise en
charge d’applications client/serveur à port TCP statique, y compris une
prise en charge améliorée de Microsoft MAPI, Lotus Notes et Citrix NFuse.
J-SAM fournit également une prise en charge NetBIOS qui permet aux
utilisateurs de mettre en correspondance des lecteurs avec des ressources
protégées spécifiées. Cette version fonctionne sans problème dans de
nombreuses configurations de réseau, mais elle ne prend pas en charge
les applications client/serveur à port dynamique basées sur TCP ni les
connexions lancées par le serveur ni le trafic UDP. J-SAM affecte 20-30 Mo
de RAM lors du fonctionnement (la quantité totale de mémoire dépend de
la JVM utilisée) et, si la mise en cache est activée, peut laisser un fichier
.jar sur un ordinateur client. Pour plus d’informations, reportez-vous à la
section « Présentation générale du Gestionnaire d’applications sécurisé
Java (J-SAM) », page 101.
Remarque : À l’heure actuelle, la machine virtuelle Sun JVM version 1.4.1 ou
ultérieure est prise en charge par les plates-formes Windows, Linux et
Macintosh. La machine virtuelle JVM MS basée sur la version 1.1 du JRE Sun
est également prise en charge sur Windows.
Présentation générale du Gestionnaire d’applications sécurisé Windows (W-SAM)
La version Windows du Gestionnaire d’applications sécurisé (W-SAM) est
un service qui emploie le dispositif LSP (Layered Service Provider) pour
sécuriser le trafic provenant d’applications clientes tournant sur un PC.
Les composants du service LSP sont installés sur un PC client à l’aide de :
• un contrôle ActiveX qui télécharge à partir du système IVE lorsqu’un
utilisateur lance le Gestionnaire d’applications sécurisé depuis la page
d’accueil IVEou

99
• Le programme de démarrage W-SAM avec script, préinstallé sur un PC
client. Dans ce cas, vous devez distribuer le programme d’installation
aux utilisateurs, qui doivent disposer des autorisations de niveau
Administrateur sur leur PC afin que le programme de démarrage puisse
télécharger et installer W-SAM lorsqu’il est appelé. (Reportez-vous à la
section « Téléchargement d’applications du gestionnaire d’applications
sécurisé Windows », page 362 pour plus d’informations.)
Lorsque le programme de démarrage est installé sur un PC, W-SAM peut
être appelé de deux façons :
•
L’utilisateur peut lancer W-SAM par le biais d’une fenêtre d’invite de
commande, à l’aide des arguments de ligne de commande de W-SAM.
•
Une application ou un script peut lancer W-SAM en transmettant des
paramètres au programme de démarrage. Par exemple, un fichier
batch du PC peut appeler le programme de démarrage W-SAM lorsque
l’ordinateur est amorcé.
Remarque : Pour plus d’informations sur les arguments de ligne de commande et les codes de retour, reportez-vous à la « », page 545.
Après avoir appelé W-SAM,1 ce dernier intercepte :
• les appels de connexion TCP des applications configurées sur le
système IVE ;
• les demandes DNS pour les Noms d’hôtes de destination configurés
sur le système IVE.
Pendant une session W-SAM, une fenêtre d’état est exécutée dans la
barre des tâches système, sous la forme d’un processus. L’utilisateur peut
double-cliquer sur cette icône afin de connaître l’état actuel de la session et
de voir la liste des applications et des hôtes pour lesquels le Gestionnaire
d’applications sécurisé sert d’intermédiaire.
Communication client/serveur via W-SAM
Le schéma suivant présente l’interaction entre une application cliente et son
serveur via le système IVE.
1. L’utilisateur clique sur l’élément Gestionnaire d’applications sécurisé du
menu IVE pour lancer le Gestionnaire d’applications sécurisé Windows.
Le système IVE télécharge le contrôle ActiveX sur l’ordinateur client. Ce
contrôle configure l’ordinateur client de manière à exécuter des services
côté client (LSP) qui sécuriseront le trafic des applications. L’icône de la
fenêtre d’état du Gestionnaire d’applications sécurisé s’affiche dans la
barre des tâches système.
2. L’utilisateur démarre une application définie par l’administrateur ou
lance un processus qui demande des données depuis un hôte précis.
Lorsque l’application cliente ou le processus tente de se connecter à
la ressource, le Gestionnaire d’applications sécurisé intercepte la
demande.
1. Vous pouvez configurer le Gestionnaire d’applications sécurisé de manière à ce qu’il démarre
automatiquement quand un utilisateur ouvre une session. Les utilisateurs peuvent supplanter ce
paramètre via le menu Système > Préférences du système IVE. Si le démarrage automatique du
Gestionnaire d’applications sécurisé est désactivé, les utilisateurs doivent le lancer manuellement en
cliquant sur son lien dans le menu de la page d’accueil IVE.
100

3. Le Gestionnaire d’applications sécurisé transfère le nom d’hôte au
système IVE via SSL. Le système IVE résout le nom d’hôte et renvoie
l’adresse IP de l’hôte cible au Gestionnaire d’applications sécurisé.
4. Le Gestionnaire d’applications sécurisé configure automatiquement un
canal de transfert de port à l’aide d’une adresse IP localhost prédéfinie.
Figure 7 : Gestionnaire d’applications sécurisé Windows
Présentation générale du Gestionnaire d’applications sécurisé Java (J-SAM)
La version Java du Gestionnaire d’applications sécurisé (J-SAM) assure le
transfert de port sécurisé pour les applications tournant sur un ordinateur
distant. Le système IVE attribue une adresse IP en boucle unique à chaque
serveur d’application que vous définissez pour un port précis. Par exemple,
si vous entrez :
app1.masociété.com, app2.masociété.com, app3.masociété.com, ...
pour un port unique, le système IVE attribuera une adresse IP en boucle
unique à chaque application :
127.0.1.10, 127.0.1.11, 127.0.1.12, ...
Lorsqu’un utilisateur télécharge J-SAM, il surveille les adresses en boucle
attribuées par le système IVE (sur le port client correspondant défini pour
le serveur d’applications) afin de détecter les demandes de clients aux
serveurs d’applications du réseau. J-SAM encapsule les données de la
demande et transfère les données chiffrées au système IVE sous la forme
de trafic SSL. Le système IVE déchiffre ensuite les données et les transfère
au port de serveur indiqué du serveur d’applications de votre réseau. Le
serveur d’applications renvoie sa réponse au système IVE, qui les encapsule
de nouveau puis transfère les données à J-SAM. J-SAM déchiffre la réponse
du serveur et transfère les données à l’application cliente. Pour l’application
cliente tournant sur l’ordinateur local, J-SAM apparaît comme le serveur
d’applications. Pour le serveur d’applications de votre réseau, le système
IVE apparaît comme l’application cliente.

101
J-SAM fournit également :
•
•
•
Prise en charge améliorée de MS Exchange ................................................105
Prise en charge améliorée de Lotus Notes....................................................107
Prise en charge améliorée de Citrix NFuse ...................................................108
Communication client/serveur via J-SAM
Le schéma suivant présente l’interaction entre une application cliente et son
serveur via le système IVE. Cette illustration suppose que l’utilisateur a
défini une adresse IP localhost comme serveur dans l’application cliente.
1. L’utilisateur démarre une application cliente figurant sur la page IVE
Applications clientes. L’application résout le serveur distant sur
localhost.
2. L’application cliente se connecte à J-SAM, qui tourne sur l’ordinateur de
l’utilisateur, et commence à envoyer des demandes.
3. J-SAM encapsule et transfère toutes les demandes du client au système
IVE via SSL.
4. Le système IVE déchiffre les données du client et les transfère au
serveur d’applications indiqué.
5. Le serveur d’applications répond en envoyant des données au serveur IVE.
6. Le système IVE encapsule et transfère la réponse du serveur d’applications
à J-SAM via SSL.
7. J-SAM déchiffre les données du serveur d’applications et les transfère à
l’application cliente.
Figure 8 : Gestionnaire d’applications sécurisé Java
Cette illustration suppose que l’utilisateur a défini une adresse IP localhost comme serveur
dans l’application cliente.
Résolution du nom d’hôte sur localhost
Pour que cette solution puisse fonctionner, une application cliente de
l’ordinateur de l’utilisateur doit résoudre le serveur d’applications sur
lui-même (localhost), de manière à permettre à J-SAM de capturer et de
transférer par port, en toute sécurité, les données destinées au serveur
d’applications via le système IVE. J-SAM peut effectuer un mappage d’hôte
102

automatique, en modifiant le fihier hosts du client, afin de faire correspondre
les serveurs d’applications à localhost. Pour que J-SAM puisse éditer le
fichier hosts sur le PC d’un utilisateur, cet utilisateur doit posséder les
autorisations appropriées sur l’ordinateur client.
• Les utilisateurs de Windows 2000 peuvent appartenir à n’importe
quel groupe d’utilisateurs. Cependant, pour la prise en charge Exchange
MAPI, les utilisateurs doivent disposer au moins des privilèges
d’utilisateur avec pouvoir sur leurs ordinateurs.
• Les utilisateurs de Windows XP doivent disposer des autorisations de
niveau Administrateur sur leurs ordinateurs.
• Les utilisateurs de Linux (RedHat) doivent démarrer le navigateur
qui lancera J-SAM en tant que root.
• Les utilisateurs de Macintosh doivent donner le mot de passe
Administrateur lorsque le système J-SAM les y invite.
Si les utilisateurs ne disposent pas des autorisations appropriées sur leurs
ordinateurs, le système J-SAM ne peut pas éditer automatiquement le
fichier hosts, ce qui empêche la résolution du nom d’hôte sur localhost.
Voici d’autres solutions pour les utilisateurs qui ne disposent pas des
autorisations appropriées :
• L’utilisateur peut configurer son serveur DNS externe afin de résoudre
les serveurs d’applications sur localhost. Si vous configurez votre
serveur DNS externe de manière à employer une adresse localhost au
lieu du nom d’hôte du serveur d’applications, les utilisateurs distants
doivent configurer l’ordre dans lequel leur ordinateur recherche les
serveurs DNS, afin de commencer par le DNS de l’entreprise.
• Vous pouvez assouplir les autorisations sur le répertoire etc et sur le
fichier etc\hosts pour permettre au système J-SAM d’apporter les
modifications nécessaires.
• L’utilisateur peut configurer une application cliente de manière à
employer l’adresse localhost attribuée par le système IVE. Il entrera
généralement le nom d’hôte du serveur d’applications. Reportez-vous
à la section « Détermination de l’adresse en boucle attribuée par le
système IVE », page 104 pour plus d’informations.
Accès à des ports privilégiés pour les utilisateurs de Macintosh et de Linux
Les utilisateurs de Linux n’ont pas accès aux ports en dessous de 1024,
sauf s’ils ont ouvert une session en tant que racine sur leur ordinateur.
Les utilisateurs de Macintosh n’ont pas accès aux ports en dessous de
1024, sauf s’ils donnent le mot de passe Administrateur lorsque le système
J-SAM les y invite. Pour prendre en charge des applications (telles qu’une
application Telnet) qui s’exécutent sur des ports privilégiés (ports en
dessous de 1024), effectuez les actions suivantes :
• Les utilisateurs doivent démarrer le navigateur qui lancera J-SAM en
tant que root.
• Vous ou l’utilisateur devez définir un numéro de port client égal ou
supérieur au port 1024 lors de l’ajout de l’application à la liste
Applications clientes.

103
Par exemple, si l’utilisateur définit le port client 2041 et le port serveur
23 pour une application Telnet, la commande à employer pour l’exécuter
est la suivante :
telnet loopbackIP 2041
où loopbackIP correspond à l’adresse IP en boucle attribuée au serveur
d’applications par le système IVE. J-SAM surveille le trafic de l’application
Telnet sur le port 2041 et le transfère au système IVE. Le système IVE
transfère ensuite le trafic au port 23 du serveur de destination. Pour plus
d’informations sur la définition de l’adresse en boucle attribuée par le
système IVE, reportez-vous à la section « Détermination de l’adresse en
boucle attribuée par le système IVE », page 104.
Détermination de l’adresse en boucle attribuée par le système IVE
Les utilisateurs ne peuvent pas modifier le serveur DNS de l’entreprise
pour les applications qu’ils ajoutent en vue du transfert par port. Si vous
permettez aux utilisateurs de définir des applications pour le système
J-SAM vers un proxy, les utilisateurs doivent configurer une application
cliente de manière à employer l’adresse localhost attribuée par le système IVE.
Ils entreront généralement le nom d’hôte du serveur. Le volet Détails de la
fenêtre de navigateur J-SAM affiche l’adresse IP en boucle attribuée par
le système IVE, ainsi que le port défini par l’utilisateur. Pour déterminer
l’adresse IP attribuée par le système IVE à une application spécifiée sur la
page Applications clientes du système IVE, l’utilisateur doit redémarrer le
Gestionnaire d’applications sécurisé après avoir ajouté l’application.
L’adresse en boucle attribuée à l’application apparaît sur le volet Détails de
la fenêtre de navigateur Gestionnaire d’applications sécurisé :
Figure 9 : Volet Détails du Gestionnaire d’applications sécurisé Java (J-SAM)
Dans l’application cliente, l’utilisateur doit entrer l’adresse en boucle
attribuée par le système IVEcomme serveur d’application. Par exemple,
si un utilisateur souhaite accéder à un serveur Telnet derrière le pare-feu
de votre entreprise, il doit suivre les étapes suivantes :
1. Sur la page Applications clientes du système IVE, cliquez sur Ajouter
une application.
104

2. Sur la page Ajouter une application, indiquez :
•
Le nom de domaine totalement qualifié ou l’adresse IP du serveur
dans la zone Serveur distant, par exemple terminalserver.juniper.com.
•
Le port sur lequel le système J-SAM doit détecter le trafic client vers
le serveur dans la zone Port client, par exemple 3389.
•
Le port sur lequel le serveur distant doit détecter le trafic de
l’application cliente (J-SAM) dans la zone Port serveur, par
exemple 3389.
3. Cliquez sur Ajouter pour enregistrer les informations.
4. Fermez la fenêtre de navigateur Gestionnaire d’applications sécurisé.
5. Sur la page Applications clientes du système IVE, cliquez sur Ouvrir
session pour redémarrer le Gestionnaire d’applications sécurisé.
6. Dans la fenêtre de navigateur Gestionnaire d’applications sécurisé,
cliquez sur Détails.
7. Dans l’onglet Détails, vérifiez l’adresse en boucle attribuée par le
système IVE au serveur distant, par exemple 127.0.1.18.
8. Dans l’application cliente, telle que Connexion de bureau à distance,
indiquez l’adresse en boucle dans la zone de configuration pour le
serveur. Cette zone apparaît à différents endroits pour différentes
applications. Les utilisateurs peuvent entrer cette information par le
biais d’un assistant de configuration ou de toute autre boîte de dialogue
de configuration.
Prise en charge améliorée de MS Exchange
Les utilisateurs distants peuvent employer le client Microsoft Outlook sur
leur PC pour accéder au courriel, à leurs calendriers et à d’autres fonctions
d’Outlook par l’intermédiaire du système IVE. Cette capacité n’exige aucune
modification sur le client Outlook et ne requiert pas de connexion de couche
réseau, telle que VPN. Cette fonctionnalité, qui exige l’installation de la
machine virtuelle JVM Microsoft ou Sun sur le PC client, est prise en charge
sur les PC tournant sous Windows 2000 (avec Internet Explorer 5.5 ou 6.0).
Elle est également compatible avec les PC tournant sous Windows 98 (avec
Internet Explorer 5.5) ou Windows XP (avec Internet Explorer 6.0).
Pour rendre cette fonctionnalité accessible aux utilisateurs distants, les
paramètres réseau du PC de ces derniers doivent résoudre le nom des
serveurs Exchange incorporés dans le client Outlook sur le PC local
(127.0.0.1, l’adresse IP localhost par défaut) pour permettre une médiation
sûre du trafic pour le compte du client Outlook. Il est conseillé de configurer
le système IVE pour qu’il résolve automatiquement les noms d’hôtes des
serveurs Exchange sur le localhost, en mettant temporairement à jour le
fichier hosts sur un ordinateur client à l’aide de l’option de correspondance
d’hôte automatique.
Le schéma suivant décrit les interactions entre le client Outlook et un
serveur Exchange via le système IVE. Cette illustration suppose que le
système IVE est configuré de manière à effectuer la correspondance
d’hôte automatique.

105
1. L’utilisateur démarre le client MS Outlook. Outlook tente de contacter le
serveur Exchange exchange1.votresociété.com. Le système IVE résout le
nom d’hôte du serveur Exchange sur 127.0.0.1 (localhost) grâce à des
modifications temporaires du fichier hosts.
2. Outlook se connecte au Gestionnaire d’applications sécurisé tournant
sur le PC de l’utilisateur puis commence à envoyer des demandes de
courriel.
3. Le Gestionnaire d’applications sécurisé encapsule toutes les demandes
du client Outlook et les transfère au système IVE via SSL.
4. Le système IVE déchiffre les données du client et examine la demande
MAPI afin de trouver le serveur Exchange cible. La demande est ensuite
transmise à ce serveur cible.
5. Chaque demande figurant dans le protocole MAPI code le serveur cible
de la demande. Lorsque des demandes MAPI parviennent depuis le
Gestionnaire d’applications sécurisé, le serveur IVE les examine toutes
puis les envoie au serveur cible approprié. Cette opération se déroule de
manière transparente, même s’il existe plusieurs serveurs Exchange.
6. Le serveur Exchange répond en envoyant des données de courriel au
système IVE.
7. Le système IVE encapsule et transfère la réponse du serveur Exchange
au Gestionnaire d’applications sécurisé via SSL.
8. Le Gestionnaire d’applications sécurisé déchiffre les informations
envoyées par le système IVE et transfère la réponse MAPI normale du
serveur Exchange au client Outlook.
Figure 10 : Gestionnaire d’applications sécurisé Java et prise en charge améliorée
de MS Exchange
Cette illustration représente le système IVE configuré pour utiliser la correspondance d’hôte
automatique pour le client MS Outlook.
Mises à jour du registre Windows
Lorsque le Gestionnaire d’applications sécurisé démarre, il met à jour le
paramètre du registre de Windows Rpc_Binding_Order de l’utilisateur. Cette
clé est ajoutée au registre lors de l’installation du client Outlook. Elle
106

détermine la séquence de protocoles utilisée par le client pour communiquer
avec le serveur Exchange.
La valeur d’origine de ce paramètre est la suivante :
ncalrpc,ncacn_ip_tcp,ncacn_spx,ncacn_np,netbios,ncacn_vns_spp
La valeur après l’utilisation initiale du Gestionnaire d’applications sécurisé
est la suivante :
ncalrpc,ncacn_http,ncacn_ip_tcp,ncacn_spx,ncacn_np,netbios,ncacn_vns_
spp
La modification apportée à la clé Rpc_Binding_Order ne concerne que le
fonctionnement du Gestionnaire d’applications sécurisé et n’influe en rien
sur le PC de l’utilisateur.
Important : Pour utiliser le client Outlook par l’intermédiaire de la version Java du
Gestionnaire d’applications sécurisé, les utilisateurs de PC Windows doivent
posséder des autorisations de niveau Administrateur.
Prise en charge améliorée de Lotus Notes
Les utilisateurs distants peuvent employer le client Lotus Notes sur leur
PC pour accéder au courriel, à leurs calendriers et à d’autres fonctions par
l’intermédiaire du système IVE. Cette capacité n’exige aucune modification
sur le client Lotus Notes et ne requiert pas de connexion de couche réseau,
telle que VPN. Cette fonctionnalité, qui requiert la machine virtuelle JVM
Microsoft ou Sun, est prise en charge sur les PC tournant sous Windows
2000 (avec Internet Explorer 5.5 ou 6.0).
Pour rendre cette fonctionnalité accessible aux utilisateurs distants, ils
doivent configurer le client Lotus Notes de manière à employer « localhost »
comme paramètre d’emplacement distant. Le Gestionnaire d’applications
sécurisé intercepte ensuite les connexions demandées par le client Lotus
Notes. Le schéma suivant décrit les interactions entre le client Lotus Notes
et un serveur Lotus Notes via le système IVE.
1. L’utilisateur démarre le client Lotus Notes avec le paramètre Emplacement
local. Le client examine le réglage du proxy (localhost, c’est-à-dire le
PC de l’utilisateur) pour son paramètre Emplacement local.
2. Le client Lotus Notes se connecte au Gestionnaire d’applications sécurisé
et commence à envoyer des demandes de courriel.
3. Le Gestionnaire d’applications sécurisé encapsule et transfère les
demandes du client Lotus Notes au système IVE via SSL.
4. Le système IVE déchiffre les données du client et examine la demande
Lotus Notes afin de trouver le serveur Lotus Notes cible. La demande est
ensuite transmise à ce serveur cible.
Chaque demande figurant dans le protocole MAPI code le serveur cible de
la demande. Lorsque les demandes Lotus Notes arrivent depuis le proxy
d’application, le serveur IVE obtient les informations sur le serveur cible
à partir des demandes, qu’il envoie au serveur cible approprié. Cette
opération se déroule dès lors de manière transparente, même si un
utilisateur accède à plusieurs serveurs Lotus Notes.

107
5. Le serveur Lotus Notes répond en envoyant des données de courriel au
système IVE.
6. Le système IVE encapsule et transfère la réponse du serveur Lotus
Notes au Gestionnaire d’applications sécurisé via SSL.
7. Le Gestionnaire d’applications sécurisé déchiffre les informations
envoyées par le système IVE et transfère la réponse MAPI normale du
serveur Lotus Notes au client Lotus Notes.
Figure 11 :
Gestionnaire d’applications sécurisé Java et prise en charge améliorée
de Lotus Notes
Cette illustration présente la valeur d’emplacement distant du client Lotus Notes à configurer
sur le localhost.
Prise en charge améliorée de Citrix NFuse
Lorsqu’un utilisateur accède à un serveur NFuse et sélectionne une
application, ce serveur envoie un fichier ICA au client. Lorsque le système
IVE réécrit le fichier ICA, il remplace les noms d’hôtes et les adresses IP
par des adresses IP localhost prédéfinies. Le client ICA envoie ensuite des
demandes d’applications à l’une des adresses IP localhost. Le Gestionnaire
d’applications sécurisé encapsule les données et les envoie au système IVE.
Le système IVE déchiffre les données et les envoie au serveur MetaFrame
approprié via le port 1494.
Liste de compatibilité
• Serveur MetaFrameTM : versions 1.8, XP 1.0, y compris service packs
1 et 2
• Serveur Web NFuse : versions 1.5, 1.6 et 1.7
• Clients ICA :
108

•
Windows 32 bits : Client PN version 7.0 et client Web version 6.3
•
Les utilisateurs du voisinage de programmes doivent définir le
serveur et les applications auxquels ils veulent accéder à l’aide du
client PN. Cette version du système IVE ne prend pas en charge le
mécanisme de découverte à l’aide duquel les applications résidant
sur un serveur MetaFrame sont présentées aux utilisateurs du
voisinage de programmes.
•
Java : version 6.2 pour le client autonome et versions 6.2 et 6.3
pour le mode applet. Pour pouvoir utiliser le mode applet du client
Java, veiller à activer la prise en charge des applets Java sur la page
Web > Général.
Remarque :
Le système IVE est une alternative au déploiement du CSG.

109
110

Présentation générale de Secure Meeting
Secure Meeting permet aux utilisateurs du système IVE de planifier et
tenir des réunions en ligne de manière sécurisée, impliquant à la fois les
utilisateurs du système IVE et des utilisateurs externes. Au cours des
réunions, les utilisateurs peuvent partager leur bureau et leurs applications
via une connexion sécurisée, permettant ainsi à tout participant à la réunion
de partager instantanément des données électroniques qui s’affichent à
l’écran. Les participants à la réunion peuvent aussi collaborer en ligne en
toute sécurité en contrôlant à distance les bureaux des uns et des autres
et en discutant par échange de messages texte, utilisant une fenêtre
d’application séparée qui n’interfère pas avec la présentation. Juniper
fournit Secure Meeting sur deux systèmes différents :
• Système Meeting Series : ce système est un serveur de réunion
spécialisé, destiné aux environnements où les réunions sont très
fréquentes.
• Système Access Series avec mise à niveau Secure Meeting : la
mise à niveau Secure Meeting est destinée aux utilisateurs de systèmes
Access Series qui présentent moins d’exigences en matière de réunions.
Avec cette option, le serveur qui exécute les réunions sert également
à l’intermédiation de demandes entre le réseau Internet public et les
ressources internes de l’entreprise.
La procédure de configuration pour les administrateurs de systèmes Meeting
Series et Access Series est pratiquement identique, ces deux systèmes étant
bâtis sur la plate-forme IVE. Dans les rares cas où les tâches d’administration
sont différentes, ce guide inclut les instructions appropriées pour les
administrateurs d’Access Series et ceux de Meeting Series.
Pour plus d’informations, reportez-vous à la section « Présentation générale
de la Meeting Series », page 13.

111
112

Présentation générale de l’ouverture de session unique
L’ouverture de session unique (SSO) est un processus permettant aux
utilisateurs pré-authentifiés du système IVE d’accéder aux ressources
protégées par un autre système de gestion des accès sans avoir à saisir
de nouveau leurs données d’identification. Le système IVE fournit plusieurs
dispositifs SSO :
• SSO distant
Le système IVE offre une intégration souple avec toute application utilisant
une action POST statique dans un formulaire HTML pour ouvrir une session.
Une fois le système correctement configuré, vous pouvez envoyer des
données d’identification IVE, des attributs LDAP et des attributs de
certificat à une application compatible Web ; vous pouvez également
définir des cookies et des en-têtes, permettant aux utilisateurs d’accéder
à l’application sans devoir passer par une nouvelle authentification.
Pour activer SSO sur une application Web, vous devez créer une stratégie
de ressources Web (URL) par l’intermédiaire du système IVE. Dans la
stratégie, vous devez spécifier l’URL de la page d’ouverture de session de
l’application Web ainsi que les données d’identification IVE, les valeurs
d’en-tête et les cookies que vous devez envoyer à l’application. Vous
devez ensuite permettre aux utilisateurs au sein d’un rôle d’avoir accès
à la stratégie de ressources.
Pour plus d’informations, reportez-vous à la section « Présentation
générale de la SSO distante », page 114.
• Serveur de stratégie Netegrity SiteMinder
Le système IVE offre une intégration stricte avec le serveur de stratégie
Netegrity SiteMinder. Une fois le système correctement configuré, vous
pouvez authentifier les utilisateurs IVE à l’aide d’un serveur de stratégie
puis leur permettre d’accéder aux ressources protégées par SiteMinder
sans devoir passer par une nouvelle authentification (à condition que leur
accès soit autorisé selon le niveau de protection approprié). En outre,
vous pouvez procéder à une nouvelle authentification des utilisateurs
par l’intermédiaire du système IVE s’ils demandent des ressources pour
lesquelles leur niveau de protection actuel est inapproprié ; vous pouvez
également permettre aux utilisateurs d’ouvrir une session sur le serveur
de stratégie dans un premier temps, puis d’accéder au système IVE sans
devoir passer par une nouvelle authentification.
Pour activer SSO entre Netegrity SiteMinder et le système IVE, vous
devez configurer une instance de serveur SiteMinder par l’intermédiaire
du système IVE puis associer le serveur à un domaine d’authentification.
Tous les utilisateurs qui ouvrent une session par l’intermédiaire du
domaine peuvent procéder à une ouverture de session unique pour
accéder aux ressources protégées par Netegrity.
générale de Netegrity SiteMinder », page 271.

113
• SAML
Le système IVE offre une intégration souple avec les systèmes de gestion
des accès sélectionnés qui utilisent le langage SAML (Security Assertion
Markup Language) pour communiquer avec d’autres systèmes. Lorsque
la configuration est correctement effectuée, les utilisateurs peuvent
ouvrir une session dans le système IVE puis accéder aux ressources
protégées par le système de gestion des accès sans devoir passer par
une nouvelle authentification.
Pour activer SSO sur une ressource protégée par un système compatible
SAML, vous devez créer une stratégie de ressources Web (URL) par
l’intermédiaire du système IVE. Dans la stratégie, vous devez configurer
une relation approuvée entre le système IVE et le système de gestion des
accès compatible SAML en fournissant des informations sur les deux
systèmes et en indiquant le dispositif qu’ils doivent utiliser pour partager
les informations. Vous devez ensuite permettre aux utilisateurs au sein
d’un rôle d’avoir accès à la stratégie de ressources.
générale du langage SAML », page 115.
Présentation générale de la SSO distante
L’ouverture de session unique (SSO) distante est une fonctionnalité qui
vous permet de spécifier la page d’ouverture de session de l’URL d’une
application à laquelle vous souhaitez que le système IVE envoie les données
d’identification d’un utilisateur, évitant alors à ce dernier de saisir une
nouvelle fois ces données lorsqu’il accède à de multiples applications
dorsales. Vous pouvez également spécifier des valeurs de formulaires et
des en-têtes personnalisés supplémentaires (y compris des cookies) à
envoyer à un formulaire d’ouverture de session d’une application.
La configuration de la SSO distante consiste à spécifier les stratégies de
ressources Web :
• Stratégie POST du formulaire
Ce type de stratégie de SSO distante spécifie l’URL de la page d’ouverture
de session de l’application vers laquelle vous voulez envoyer des données
IVE, ainsi que les données à envoyer. Ces données peuvent inclure le nom
d’utilisateur et le mot de passe IVE de l’utilisateur, ainsi que des données
système stockées par des variables système (« Variables système et
exemples », page 504). Vous pouvez également indiquer si les utilisateurs
peuvent ou non modifier ces informations. Pour plus d’informations sur la
configuration, reportez-vous à la section « Onglet SSO distante > POST
de formulaire », page 395.
• Stratégie d’en-têtes/de cookies
Ce type de stratégie de SSO distante spécifie les ressources, telles
que les applications personnalisées, auxquelles vous pouvez envoyer
des cookies et des en-têtes personnalisés. Pour plus d’informations
sur la configuration, reportez-vous à la section « Onglet SSO distante >
En-têtes/Cookies », page 397.
Si les données d’identification IVE d’un utilisateur diffèrent de celles
requises par l’application dorsale, l’utilisateur peut accéder à l’application
en utilisant d’autres méthodes :
114

• En ouvrant une session manuellement
L’utilisateur peut accéder rapidement à l’application dorsale en saisissant
manuellement ses données d’identification dans la page d’ouverture de
session de l’application. L’utilisateur peut également (mais ce n’est pas
obligatoire) stocker en permanence ses données d’identification et
d’autres informations nécessaires dans le système IVE par l’intermédiaire
de la page Préférences avancées, comme expliqué ci-dessous.
• En spécifiant les données d’identification requises sur le
système IVE
L’utilisateur doit fournir au système IVE les données d’identification
correctes en les configurant par l’intermédiaire de la page Préférences
avancées. Une fois les informations définies, l’utilisateur doit fermer sa
session et en ouvrir une autre pour enregistrer ses données d’identification
sur le système IVE. Ensuite, lorsque l’utilisateur clique de nouveau sur le
signet SSO distante pour ouvrir une session dans l’application, le système
IVE envoie les données d’identification mises à jour.
Remarque : Utilisez la fonctionnalité SSO distante pour transmettre des données
aux applications disposant d’actions POST statiques dans leurs formulaires
HTML. Il n’est pas pratique d’utiliser SSO distant avec des applications qui
utilisent des actions URL POST modifiées régulièrement, des expirations basées
sur l’heure ou des actions POST générées au moment de la création du
formulaire.
Présentation générale du langage SAML
La fonctionnalité SAML vous permet d’échanger des informations sur
l’état de l’utilisateur et de la session entre le système IVE et un autre
système approuvé de gestion des accès qui prend en charge le langage
SAML. Le langage SAML offre un mécanisme permettant à deux systèmes
incompatibles de créer et d’échanger des informations d’authentification et
d’autorisation à l’aide d’une structure XML, évitant ainsi aux utilisateurs de
saisir de nouveau leurs données d’identification lorsqu’ils accèdent à de
multiples applications ou domaines1. Le système IVE utilise la version 1.1
de SAML.
Les échanges SAML dépendent d’une relation approuvée entre deux
systèmes ou domaines. Au cours des échanges, l’un des systèmes fait
office d’autorité SAML (également appelée partie d’assertion ou partie
réactive SAML) chargée de valider les informations sur l’utilisateur. L’autre
système fait office de partie utilisatrice (également appelée destinataire
SAML) qui s’appuie sur la déclaration (également désignée sous le terme
d’assertion) établie par l’autorité SAML. Si elle choisit d’approuver l’autorité
SAML, la partie utilisatrice authentifie ou autorise l’utilisateur en s’appuyant
sur les informations fournies par cette autorité.
Par exemple, un utilisateur IVE authentifié dénommé John Smith peut
tenter d’accéder à une ressource protégée par un système de gestion
des accès. Le système IVE agit alors en tant qu’autorité SAML et déclare :
1. Le langage SAML est développé par le Security Services Technical Committee (SSTC) de l’organisme
de normalisation OASIS. Pour une présentation technique générale de SAML, reportez-vous au site
Web d’OASIS : http://www.oasis-open.org/committees/download.php/5836/sstc-saml-tech-overview1.1-draft-03.pdf

115
« L’utilisateur est John Smith. Il a été authentifié à l’aide d’un mot de
passe ». Le système de gestion des accès (la partie utilisatrice) reçoit
cette déclaration et choisit d’approuver le système IVE (acceptant alors
l’identification de l’utilisateur par le système IVE comme exacte).
Le système de gestion des accès peut toujours choisir de refuser à
l’utilisateur l’accès à la ressource demandée (parce que John Smith ne
possède pas de privilèges d’accès suffisants sur le système, par exemple)
tout en approuvant les informations envoyées par le système IVE.
Pour plus d’informations sur la configuration d’une relation approuvée,
reportez-vous à la section « Création d’une relation approuvée entre des
systèmes compatibles SAML », page 121.
Lors de la configuration du système IVE, vous pouvez utiliser SAML pour
effectuer les opérations suivantes :
• Authentification par ouverture de session unique (SSO)
Lors d’une transaction SAML SSO, un utilisateur IVE authentifié est
connecté sans interruption à un autre système, sans avoir à saisir de
nouveau ses données d’identification. Dans ce type de transaction, le
système IVE est l’autorité SAML. Il fait une déclaration d’authentication,
dans laquelle il indique le nom d’utilisateur de l’utilisateur et la façon dont
ce dernier a été authentifié. Si la partie utilisatrice (appelée service
d’assertion de consommateurs dans les transactions SAML SSO) choisit
d’approuver le système IVE, l’utilisateur est connecté sans interruption
à un service d’assertion de consommateurs à l’aide du nom d’utilisateur
contenu dans la déclaration. Pour plus d’informations, reportez-vous à la
section « Explication des profils SAML SSO », page 117.
• Autorisation de contrôle d’accès
Lors d’une transaction de contrôle d’accès SAML, le système IVE
demande au système de gestion des accès si l’utilisateur possède ou non
des droits d’accès. Dans ce type de transaction, le système IVE est la
partie utilisatrice (également appelée point de renforcement du respect
de la stratégie dans les transactions de contrôle d’accès). Il assimile une
déclaration de décision d’autorisation établie par le système de gestion
des accès (autorité SAML), qui indique à quoi l’utilisateur est autorisé à
accéder, et la fait respecter. Si l’autorité SAML (également appelée point
de décision de la stratégie dans les transactions de contrôle d’accès)
déclare que l’utilisateur du système IVE possède les privilèges d’accès
suffisants, ce dernier peut alors accéder à la ressource demandée.
Pour plus d’informations, reportez-vous à la section « Explication des
stratégies de contrôle d’accès », page 120.
Pour configurer SAML par le système IVE, vous devez configurer une
stratégie de ressources Web pour une URL. Dans cette stratégie, vous
devez fournir des informations sur le système IVE, le système approuvé de
gestion des accès et le dispositif à utiliser pour le partage des informations.
Vous devez ensuite permettre aux utilisateurs du système IVE au sein d’un
rôle d’avoir accès à la stratégie de ressources. Pour plus d’informations,
reportez-vous à la section « Onglet SAML > SSO », page 398 ou « Onglet
SAML > Contrôle d’accès », page 403.
Important :
• Le système IVE ne prend pas en charge les déclarations d’attribut qui
indiquent des détails spécifiques sur l’utilisateur (comme « John Smith
est un membre du groupe privilégié »).
116

• Le système IVE n’accepte pas les déclarations d’authentification
émanant d’autres autorités SAML. Lors d’une transaction SAML SSO,
l’utilisateur doit d’abord ouvrir une session dans le système IVE.
• Le système IVE ne génère pas de déclarations de décision d’autorisation,
il ne fait que les assimiler.
• En plus de fournir aux utilisateurs un accès à une URL à partir de la
déclaration de décision d’autorisation émise par une autorité SAML, le
système IVE vous permet également de définir les droits d’accès des
utilisateurs à une URL à l’aide de mécanismes basés uniquement sur le
système IVE (onglet Stratégies de ressources > Web > Accès). Si
vous définissez les contrôles d’accès par l’intermédiaire du système IVE
et d’une autorité SAML, chacune de ces deux sources doit autoriser
l’accès à une URL afin que l’utilisateur puisse y accéder. Par exemple,
vous pouvez configurer une stratégie d’accès au système IVE qui refuse
l’accès à www.google.com pour les membres du rôle « Utilisateurs »
mais configurer une autre stratégie SAML basant les droits d’accès de
l’utilisateur sur un attribut dans un système de gestion des accès. Même
si le système de gestion des accès autorise les utilisateurs à accéder à
www.google.com, ces derniers se voient toujours refuser l’accès selon la
stratégie d’accès du système IVE.
• Lorsqu’il leur est demandé si l’utilisateur peut accéder à une ressource,
les systèmes de gestion des accès qui prennent en charge SAML peuvent
envoyer une réponse notifiant une autorisation, un refus ou une indécision.
Si le système IVE reçoit une réponse indéterminée, il refuse l’accès à
l’utilisateur.
• Les délais d’expiration des sessions sur le système IVE et sur votre
système de gestion des accès peuvent ne pas correspondre. Si le cookie
de session du système de gestion des accès d’un utilisateur expire avant
le cookie du système IVE (cookie DSID), l’ouverture de session unique
entre les deux systèmes est interrompue. L’utilisateur est obligé d’ouvrir
une nouvelle session lorsqu’il dépasse le délai d’expiration du système
de gestion des accès.
Explication des profils SAML SSO
Lors de l’activation des transactions SSO vers un système approuvé de
gestion des accès, vous devez indiquer si ce système doit « tirer » les
informations relatives à l’utilisateur du système IVE ou si ce dernier doit les
« pousser » vers le système de gestion des accès. Indiquez la méthode de
communication devant être utilisée par les deux systèmes en sélectionnant
un profil lors de la configuration. Un profil est une méthode utilisée par
deux sites approuvés pour transférer une déclaration SAML. Lors de la
configuration du système IVE, vous pouvez choisir d’utiliser un profil POST
ou artefact.
Profil artefact
Lorsque vous choisissez de communiquer à l’aide du profil artefact
(également appelé profil Navigateur/Artefact), le serveur approuvé de

117
gestion des accès « tire » les informations d’authentification du système
IVE, comme indiqué dans le schéma suivant :
Pour transmettre les informations, le système IVE et un service d’assertion
de consommateurs (ACS) utilisent le processus suivant :
1. L’utilisateur essaie d’accéder à une ressource
Un utilisateur ouvre une session dans le système IVE et essaie d’accéder
à une ressource protégée sur un serveur Web.
2. Le système IVE envoie une demande HTTP ou HTTPS GET à l’ACS
Le système IVE intercepte la demande et vérifie s’il a déjà effectué
l’opération SSO nécessaire pour répondre à la demande. Si ce n’est pas
le cas, le système IVE crée une déclaration d’authentification et transmet
au service d’assertion de consommateurs une variable de requête HTTP
appelée artefact.
Un artefact est non seulement une chaîne codée au format base-64
qui contient l’ID source du site source (c’est-à-dire une chaîne de 20
octets faisant référence au système IVE), mais également une chaîne
générée de façon aléatoire qui fait office de titre pour la déclaration
d’authentification. (Notez qu’un titre expire 5 minutes après l’envoi de
l’artefact ; par conséquent, si le service d’assertion de consommateurs
ne réagit qu’après un délai de 5 minutes, le système IVE n’envoie pas de
déclaration. Notez également que le système IVE rejette un titre après sa
première utilisation afin d’éviter qu’il ne soit utilisé deux fois.)
3. L’ACS envoie une demande SAML au système IVE
Le service d’assertion de consommateurs utilise l’ID source envoyé lors
de l’étape précédente afin de déterminer l’emplacement du système IVE.
Le service envoie ensuite une demande de déclaration dans un message
SOAP à l’adresse suivante sur le système IVE :
https://<IVEhostname>/dana-ws/saml.ws
La demande inclut le titre de déclaration transmis à l’étape précédente.
Important : Le système IVE prend en charge les artefacts de type 0x0001
uniquement. Ce type d’artefact transmet une référence à l’emplacement du
site source (c’est-à-dire l’ID source du système IVE) plutôt que d’envoyer
l’emplacement lui-même. Pour traiter les artefacts de type 0x0001, le service
d’assertion de consommateurs doit conserver un tableau qui associe les ID
source aux emplacements de sites source partenaires.
118

4. Le système IVE envoie une déclaration d’authentification à l’ACS
Le système IVE utilise le titre de déclaration inclus dans la demande afin
de trouver la déclaration appropriée dans son cache, puis renvoie la
déclaration d’authentification au service d’assertion de consommateurs.
La déclaration non signée contient l’identité de l’utilisateur et le dispositif
utilisé par ce dernier pour ouvrir une session dans le système IVE.
5. L’ACS envoie un cookie au système IVE
Le service d’assertion de consommateurs accepte la déclaration puis
renvoie un cookie au système IVE qui permet d’activer la session de
l’utilisateur.
6. Le système IVE envoie le cookie au serveur Web
Le système IVE met en cache le cookie afin de traiter les demandes
futures. Le système IVE envoie ensuite le cookie dans une demande
HTTP au serveur Web dont le nom de domaine correspond au domaine
du cookie. Le serveur Web ouvre la session sans demander à l’utilisateur
ses données d’identification.
Profil POST
Lorsque vous choisissez de communiquer à l’aide d’un profil POST
(également appelé profil Navigateur/POST), le système IVE « pousse »
les données d’authentification vers le système de gestion des accès à l’aide
d’une commande POST HTTP au moyen d’une connexion SSL 3.0, comme
indiqué dans le schéma suivant :
Pour transmettre les informations, le système IVE et un système de gestion
des accès (AM) utilisent le processus suivant :
2. Le système IVE envoie une déclaration
Le système IVE intercepte la demande et vérifie s’il a déjà effectué
l’opération SSO nécessaire pour répondre à la demande. Si ce n’est pas
le cas, le système IVE crée une déclaration d’authentification qu’il signe
numériquement et qu’il envoie directement au serveur de gestion des
accès. Puisque la déclaration est signée, le serveur de gestion des accès
doit approuver l’autorité de certificat utilisée pour émettre le certificat.
Notez que vous devez configurer le certificat utilisé par le système IVE
pour signer la déclaration.

119
3. L’AM établit une session
Si l’utilisateur dispose des autorisations nécessaires, le serveur de gestion
des accès renvoie un cookie au système IVE qui permet d’activer la
4. Le système IVE envoie le cookie au serveur Web
Le système IVE met en cache le cookie afin de traiter les demandes
futures. Le système IVE envoie ensuite le cookie dans une demande HTTP
au serveur Web dont le nom de domaine correspond au domaine du
cookie. Le serveur Web ouvre la session sans demander à l’utilisateur
ses données d’identification.
Explication des stratégies de contrôle d’accès
Lors de l’activation de transactions de contrôle d’accès pour un système
approuvé de gestion des accès, ce dernier échange des informations avec le
système IVE en appliquant la méthode décrite dans le schéma suivant :
Pour transmettre les informations, le système IVE et un système de gestion
des accès (AM) utilisent le processus suivant :
2. Le système IVE envoie une requête de décision d’autorisation
Si le système IVE a déjà fait une demande d’autorisation et que celle-ci
est encore valide, il utilise cette demande. (La demande d’autorisation
est valide pour la durée spécifiée dans la Console Web IVE.) Si le système
IVE ne possède pas de demande d’autorisation valide, il envoie une
requête de décision d’autorisation au système de gestion des accès.
La requête contient l’identité de l’utilisateur et la ressource nécessaire
au système de gestion des accès pour procéder à l’autorisation.
3. L’AM envoie une déclaration de décision d’autorisation
Le système de gestion des accès envoie un POST HTTP contenant
un message SOAP, dans lequel se trouve la déclaration de décision
d’autorisation. La déclaration de décision d’autorisation contient une
notification d’autorisation, de refus ou d’indécision.
120

4. Le système IVE envoie la demande au navigateur Web
Si la déclaration de décision d’autorisation notifie une autorisation, le
système IVE autorise l’accès à l’utilisateur. Si ce n’est pas le cas, le
système IVE affiche une page d’erreur informant l’utilisateur qu’il ne
dispose pas des autorisations d’accès requises.
Création d’une relation approuvée entre des systèmes compatibles SAML
Afin de vous assurer que les systèmes compatibles SAML transmettent des
informations uniquement entre sources approuvées, vous devez créer une
relation approuvée entre les applications qui envoient et reçoivent des
informations. Pour créer une relation approuvée entre le système IVE et
une autre application compatible SAML, vous devez configurer, sur chaque
système, les types d’informations suivants :
URL d’application approuvées.............................................................. 121
Émetteur ............................................................................................... 121
Certificats.............................................................................................. 122
Identité de l’utilisateur........................................................................... 124
URL d’application approuvées
Dans une relation approuvée, vous devez fournir aux systèmes compatibles
SAML les URL dont ils ont besoin pour établir un contact. Dans certaines
transactions, seul le système ayant lancé la transaction (le système IVE) a
besoin de connaître l’URL de l’autre système. (Le système IVE utilise l’URL
pour lancer la transaction.) Dans d’autres transactions (transactions SSO
utilisant des profils artefact), vous devez configurer chaque système avec
l’URL de l’autre.
La liste ci-dessous répertorie les différents types de transactions et les URL
que vous devez configurer pour chacun d’eux :
• transactions SSO : profil artefact
Sur le système IVE, vous devez saisir l’URL du service d’assertion de
consommateurs. Par exemple : https://hostname/acs
Vous devez également saisir l’URL suivante pour le système IVE dans le
service d’assertion de consommateurs. https://<IVEhostname>/danaws/saml.ws
• transactions SSO : profil POST
Sur le système IVE, vous devez saisir l’URL du service d’assertion de
consommateurs. Par exemple : https://hostname/acs
• Transactions de contrôle d’accès
Sur le système IVE, vous devez saisir l’URL du service Web SAML. Par
exemple : https://hostname/ws
Émetteur
Avant d’accepter une déclaration d’un autre système, une entité compatible
SAML doit approuver l’émetteur de cette déclaration. Vous pouvez contrôler
les émetteurs approuvés par un système en spécifiant les chaînes uniques
des émetteurs approuvés lors de la configuration du système. (Lorsqu’un
émetteur envoie une déclaration, il s’identifie en incluant sa chaîne unique

121
dans la déclaration. Les applications compatibles SAML utilisent généralement
des noms d’hôtes afin d’identifier les émetteurs, mais le standard SAML
permet aux applications d’utiliser n’importe quelle chaîne.) Si vous ne
configurez pas le système pour qu’il reconnaisse la chaîne unique d’un
émetteur, il n’acceptera pas les déclarations de cet émetteur.
La liste ci-dessous répertorie les différents types de transactions et les
émetteurs que vous devez configurer pour chacun d’eux :
• transactions SSO
Vous devez spécifier sur le système IVE une chaîne unique (généralement
son nom d’hôte) qu’il pourra utiliser pour s’identifier, puis configurer le
système de gestion des accès pour qu’il reconnaisse cette chaîne.
• Transactions de contrôle d’accès
Vous devez spécifier sur le système de gestion des accès une chaîne
unique (généralement son nom d’hôte) qu’il pourra utiliser pour s’identifier,
puis configurer le système IVE pour qu’il reconnaisse cette chaîne.
Certificats
Lors de transactions SSL, le serveur doit présenter un certificat au client ;
celui-ci doit ensuite vérifier (au minimum) qu’il approuve l’autorité de
certificat ayant émis le certificat du serveur avant d’accepter les informations.
Vous pouvez configurer toutes les transactions SAML du système IVE pour
qu’elles utilisent SSL (HTTPS). Les sections suivantes répertorient les
différents types de transactions ainsi que les exigences en matière de
certificats qui s’appliquent à chacun d’eux.
transactions SSO : profil artefact
Les transactions à profil artefact impliquent de nombreuses communications
entre le système IVE et le système de gestion des accès, dans les deux
sens. Les méthodes que vous utilisez pour transmettre les données et
authentifier les deux systèmes déterminent les certificats que vous devez
installer et configurer. La liste ci-dessous répertorie les différentes options
de configuration de profils artefact qui requièrent des configurations de
certificat particulières :
• Toutes les transactions de profils artefact
Quelle que soit votre configuration de profil artefact, vous devez installer
le certificat émis par la CA qui a signé le certificat du serveur Web IVE sur
le système de gestion des accès. (Le système IVE exige que le système
de gestion des accès utilise une connexion SSL lors d’une demande de
déclaration d’authentification. Dans une connexion SSL, l’instigateur doit
approuver le système auquel il se connecte. En installant le certificat
de CA sur le système de gestion des accès, vous vous assurez que ce
système approuvera la CA qui aura émis le certificat du système IVE.)
• Envoi d’artefacts via une connexion SSL (demandes HTTPS GET)
Si vous choisissez d’envoyer des artefacts au système de gestion des
accès via une connexion SSL, vous devez installer le certificat de CA
racine de ce système sur le système IVE. (Dans une connexion SSL,
l’instigateur doit approuver le système auquel il se connecte. En installant
le certificat de CA du système de gestion des accès sur le système IVE,
vous vous assurez que ce dernier approuvera la CA qui aura émis ce
certificat.) Vous pouvez installer la CA racine à partir de la page Système >
Configuration > Certificats > Certificats de CA de la Console Web
122

(page 161). Si vous ne souhaitez pas envoyer d’artefacts via une connexion
SSL, il n’est pas nécessaire d’installer de certificats supplémentaires.
Pour activer des communications basées sur SSL depuis le système
IVE vers le système de gestion des accès, saisissez une URL commençant
par HTTPS dans le champ URL SAML du service d’assertion de
consommateurs lors de la configuration du système IVE. Vous devrez
peut-être également activer SSL sur le système de gestion des accès.
• Transactions utilisant l’authentification au moyen de certificats
Si vous choisissez d’authentifier le système de gestion des accès à l’aide
d’un certificat, vous devez :
•
Installer le certificat de CA racine du système de gestion des accès
sur le système IVE. Vous pouvez installer la CA racine à partir de la
page Système > Configuration > Certificats > Certificats de CA
de la Console Web (page 161).
•
Spécifier les valeurs de certificat que le système IVE doit utiliser pour
valider le système de gestion des accès. Vous devez utiliser des
valeurs correspondant à celles contenues dans le certificat du serveur
de gestion des accès.
Si vous choisissez de ne pas authentifier le système de gestion des accès
ou d’utiliser l’authentification par nom d’utilisateur/mot de passe, il n’est
pas nécessaire d’installer de certificats supplémentaires.
Transactions SSO : profil POST
Lors d’une transaction de profil POST, le système IVE envoie des déclarations
d’authentification signées au système de gestion des accès. Généralement,
il envoie ces déclarations via une connexion SSL (recommandée), mais
dans certaines configurations, il peut les envoyer via une connexion HTTP
standard. La liste ci-dessous répertorie les différentes options de configuration
de profils POST qui requièrent des configurations de certificat particulières :
• Toutes les transactions de profils POST
Quelle que soit votre configuration de profil POST, vous devez spécifier
le certificat que le système IVE doit utiliser pour signer ses déclarations.
Vous pouvez choisir un certificat à partir de la page Stratégies de
ressources > Web > SAML > SSO > [Stratégie] > Général de la
Console Web (page 398). Vous devez ensuite installer le certificat du
système IVE sur le système de gestion des accès. Vous pouvez
télécharger le certificat du système IVEà partir de la page Système >
Configuration > Certificats > Certificats de serveur > [Certificat] >
Détails du certificat (page 152).
• Envoi de données POST via une connexion SSL (HTTPS)
Si vous choisissez d’envoyer des déclarations au système de gestion
des accès via une connexion SSL, vous devez installer le certificat de
CA racine de ce système sur le système IVE. (Dans une connexion SSL,
l’instigateur doit approuver le système auquel il se connecte. En installant
le certificat du système de gestion des accès sur le système IVE, vous
vous assurez que ce dernier approuvera la CA qui aura émis ce certificat.)
Vous pouvez installer la CA racine à partir de la page Système >
Configuration > Certificats > Certificats de CA de la Console Web
(page 161). Si vous ne souhaitez pas envoyer de déclarations via une
connexion SSL, il n’est pas nécessaire d’installer de certificats
supplémentaires.
Pour activer des communications basées sur SSL depuis le système IVE
vers le système de gestion des accès, saisissez une URL commençant par

123
HTTPS dans le champ URL SAML du service d’assertion de
consommateurs lors de la configuration du système IVE. Vous devrez
peut-être également activer SSL sur le système de gestion des accès.
Transactions de contrôle d’accès
Lors d’une transaction de contrôle d’accès, le système IVE envoie une
requête de décision d’autorisation au système de gestion des accès. Afin de
vous assurer que le système de gestion des accès répond à la requête, vous
devez déterminer les options de certificat requises par votre configuration.
La liste ci-dessous répertorie les différentes options de configuration de
contrôles d’accès qui requièrent des configurations de certificat
particulières :
• Envoi de données d’autorisation via une connexion SSL
Si vous choisissez de vous connecter au système de gestion des accès via
une connexion SSL, vous devez installer le certificat de CA racine de ce
système sur le système IVE. (Dans une connexion SSL, l’instigateur doit
approuver le système auquel il se connecte. En installant le certificat du
système de gestion des accès sur le système IVE, vous vous assurez que
ce dernier approuvera la CA qui aura émis ce certificat.) Vous pouvez
installer la CA racine à partir de la page Système > Configuration >
Certificats > Certificats de CA de la Console Web (page 161).
• Transactions utilisant l’authentification au moyen de certificats
Si vous choisissez l’authentification au moyen de certificats, vous devez
configurer le système de gestion des accès pour qu’il approuve la CA
qui a émis le certificat du système IVE. Éventuellement, vous pouvez
également choisir d’accepter le certificat en vous appuyant sur les
options supplémentaires suivantes :
•
Télécharger la clé publique du certificat du système IVE sur le
système de gestion des accès.
•
Valider le système IVE à l’aide d’attributs de certificat spécifiques.
Ces options exigent que vous spécifiiez le certificat devant être transmis
par le système IVE au système de gestion des accès. Vous pouvez choisir
un certificat à partir de la page Stratégies de ressources > Web >
SAML > Contrôle d’accès > [Stratégie] > Général de la Console Web
(page 403).
Afin de déterminer comment configurer votre système de gestion des
accès pour qu’il valide le certificat du système IVE, reportez-vous à la
documentation de votre système de gestion des accès. Si votre système
de gestion des accès n’exige pas l’authentification au moyen de certificats
ou s’il utilise l’authentification par nom d’utilisateur/mot de passe, il n’est
pas nécessaire de configurer le système IVE pour la transmission de
certificats au serveur de gestion des accès. Si vous ne spécifiez aucune
méthode approuvée, votre système de gestion des accès peut accepter
des demandes d’autorisation émanant de n’importe quel système.
Identité de l’utilisateur
Dans une relation approuvée, les deux entités doivent s’accorder sur la
méthode d’identification des utilisateurs à employer. Vous pouvez choisir de
partager un nom d’utilisateur entre les systèmes, de sélectionner un LDAP
ou un attribut de certificat utilisateur à partager entre les systèmes ou de
coder en dur l’ID d’un utilisateur (vous pouvez par exemple choisir de
définir le champ Nom du sujet sur « invité » afin d’autoriser facilement
l’accès entre les systèmes).
124

Pour vous assurer que les deux systèmes transmettent les informations
courantes sur les utilisateurs, vous devez spécifier les informations que le
système IVE doit transmettre à l’aide d’options dans la section Identité
de l’utilisateur de la page Stratégies de ressources > Web > SAML >
SSO > [Stratégie] > Général (page 398) et de la page Stratégies de
ressources > Web > SAML > Contrôle d’accès > [Stratégie] > Général
(page 403) de la Console Web. Choisissez un nom d’utilisateur ou un
attribut qui sera reconnu par le système de gestion des accès.

125
126

Pièce 3
Configuration du système IVE
Cette section fournit des informations de configuration et de maintenance
pour les produits Access Series.
Table des matières
Configuration de la page État ............................................................... 129
Configuration de la page Planification .................................................. 137
Configuration de la page Configuration ................................................ 139
Configuration de la page Réseau ......................................................... 175
Configuration de la page Mise en grappes........................................... 193
Configuration de la page Surveillance des journaux ............................ 209
Configuration de la page d’ouverture de session ................................. 223
Configuration de la page Délégation .................................................... 299
Configuration d’un domaine d’authentification...................................... 317
Configuration de la page Rôles ............................................................ 330
Configuration de la page Nouvel utilisateur.......................................... 379
Configuration de la page Web .............................................................. 381
Configuration de la page Fichiers......................................................... 413
Configuration de la page SAM.............................................................. 423
Configuration de la page Telnet/SSH ................................................... 427
Configuration de la page Services de terminal Windows ..................... 369
Configuration de la page Network Connect.......................................... 435
Configuration de la page Réunions ...................................................... 441
Configuration de la page Client de courriel .......................................... 445
Configuration de la page Système ....................................................... 449
Configuration de la page Importer/Exporter ......................................... 455
Configuration de la page Pousser Config............................................. 463
Configuration de la page Archivage ..................................................... 467
Configuration de la page Dépannage................................................... 473

127
128

Configuration de la page État
La page Système > État contient les onglets suivants :
Onglet Vue d’ensemble ........................................................................ 129
Onglet Utilisateurs actifs....................................................................... 134
Onglet Planification de réunions........................................................... 136
Vous pouvez utiliser les onglets de la page Système > État pour :
Affichage de l’utilisation de la capacité du système ............................. 130
Téléchargement de données XML à partir de graphes ........................ 131
Indication de la plage horaire et des données à afficher dans les
graphes............................................................................................. 131
Configuration de l’apparence des graphes........................................... 132
Affichage des événements critiques du système ................................. 132
Téléchargement du fichier de service actuel ........................................ 133
Modification de la date et de l’heure du système ................................. 134
Permet de surveiller les utilisateurs connectés au système IVE .......... 134
Permet de visualiser et d’annuler les réunions planifiées..................... 136
Onglet Vue d’ensemble
Lorsque vous vous connectez à la Console Web, la page Système > État
est sélectionnée et affiche l’onglet Vue d’ensemble. Cet onglet résume
les détails relatifs au serveur IVE et aux utilisateurs du système. Lorsque
vous apportez des modifications sur d’autres pages de la Console Web,
les informations correspondantes de l’onglet Vue d’ensemble sont mises
à jour.
Remarque : Cet onglet est la page d’accueil de tous les administrateurs, y
compris les administrateurs délégués sans accès en lecture ou en écriture aux
onglets Système > État.
Vous pouvez utiliser cette page pour effectuer les tâches suivantes :
Affichage de l’utilisation de la capacité du système ............................. 130
Téléchargement de données XML à partir de graphes ........................ 131
Indication de la plage horaire et des données à afficher dans les
graphes............................................................................................. 131
Configuration de l’apparence des graphes........................................... 132
Affichage des événements critiques du système ................................. 132
Téléchargement du fichier de service actuel ........................................ 133
Modification de la date et de l’heure du système ................................. 134

129
5
Affichage de l’utilisation de la capacité du système
Le tableau de bord Central Manager des systèmes Access Series et Meeting
Series fournit des graphes d’utilisation de capacité qui permettent de
déterminer aisément quelle capacité du système vous utilisez de manière
régulière. Pour pouvoir employer ces informations ailleurs, à des fins de
création de rapports, exportez-les dans un fichier XML à l’aide des options
de la page Maintenance > Importer/Exporter > Configuration.
Ces graphes s’affichent dans l’onglet Système > État > Vue d’ensemble
lorsque vous ouvrez la Console Web. Ils présentent les informations
suivantes :
• Utilisateurs simultanés
Ce graphe présente le nombre d’utilisateurs connectés au système IVE.
Dans un environnement en cluster, le graphe possède deux lignes. La
première présente le nombre d’utilisateurs locaux connectés au nœud
sélectionné dans la liste déroulante et la seconde, le nombre d’utilisateurs
simultanés connectés au cluster entier.
• Réunions simultanées (système Secure Meeting uniquement)
Ce graphe présente le nombre de réunions actuellement en cours. Dans
un environnement en cluster, le graphe possède deux lignes. La première
présente le nombre de réunions en cours sur le nœud sélectionné dans
la liste déroulante, et la seconde le nombre de réunions en cours sur le
cluster entier.
• Résultats par seconde
Ce graphe présente le nombre de résultats en cours de traitement par le
système IVE. Dans un environnement en cluster, vous pouvez choisir un
système IVE dans la liste déroulante afin de déterminer le nœud dont les
données sont affichées. Le graphe possède quatre lignes : nombre de
résultats, nombre de résultats Web, nombre de résultats de fichiers et
nombre de résultats client/serveur.
• Utilisation de la mémoire virtuelle (échange) et du processeur
Ce graphe présente le taux d’utilisation actuel du processus et de la
mémoire. Dans un environnement en cluster, vous pouvez choisir un
système IVE dans la liste déroulante afin de déterminer le nœud dont
les données sont affichées.
• Débit
Ce graphe présente la quantité de données (en Ko) en cours de traitement.
Dans un environnement en cluster, vous pouvez choisir un système IVE
dans la liste déroulante afin de déterminer le nœud dont les données sont
affichées. Le graphe possède quatre lignes : entrées externes, sorties
externes, entrées internes et sorties internes.
Vous pouvez également utiliser la fenêtre Paramètres de page pour
configurer les graphes que le système IVE affiche dans le tableau de bord,
ainsi que la période visée.
130

Figure 12 : Page Système > Etat > Vue d’ensemble
5
Téléchargement de données XML à partir de graphes
Pour télécharger des données de graphe vers un fichier XML :
1. Dans la Console Web, choisissez Système > État > Vue d’ensemble.
2. Cliquez sur le bouton Modifier correspondant au graphe que vous
souhaitez télécharger.
3. Indiquez le répertoire dans lequel vous souhaitez enregistrer le fichier
XML, puis cliquez sur Enregistrer.
5
Indication de la plage horaire et des données à afficher dans les graphes
Pour indiquer la plage horaire et les données affichées dans les
graphes :
2. Cliquez sur Paramètres de page.

131
3. Sélectionnez les graphes à afficher.
4. Sélectionnez la plage temporelle à représenter sur les graphes.
Les intervalles peuvent aller d’une heure à un an.
5. Indiquez la fréquence d’actualisation des graphes.
6. Cliquez sur Enregistrer les modifications.
Figure 13 : Système > État > Vue d’ensemble > Paramètres de page
5
Configuration de l’apparence des graphes
Pour indiquer les couleurs et l’épaisseur des lignes affichées dans
les graphes :
2. Cliquez sur le bouton Modifier correspondant au graphe que vous
souhaitez modifier.
3. Utilisez les paramètres de la boîte de dialogue Paramètres du graphe
pour modifier la couleur de fond, les couleurs des lignes du graphe, la
couleur du texte, la couleur des lignes et l’épaisseur des lignes affichées
dans le graphe.
5
Affichage des événements critiques du système
Le tableau de bord Central Manager pour systèmes Access Series et
Meeting Series permet de visualiser les 10 derniers événements critiques
du système. La fenêtre Moniteur d’événements permet d’accéder
rapidement aux problèmes critiques du système et d’y remédier. Lorsque
vous avez ouvert la fenêtre Moniteur d’événements, il peut être utile
de la laisser ouverte et de surveiller en permanence les événements du
système pendant que vous naviguez dans la Console Web pour accomplir
des tâches standard de maintenance et de configuration.
Pour visualiser rapidement les événements critiques du système :
2. Cliquez sur Événements critiques. La fenêtre Moniteur d’événements
présente la gravité et le message de tout événement critique enregistré
dans le fichier journal du système.
132

3. Cliquez sur Actualiser pour afficher les événements les plus récents
(facultatif).
4. Cliquez sur Afficher tout pour accéder à l’onglet Système >
Journal/Surveillance > Événements > Journal, qui affiche tous les
événements, de type informatif au type critique (facultatif). Pour plus
d’informations, reportez-vous à la section « Configuration de la page
Surveillance des journaux », page 209.
Figure 14 : Système > État > Vue d’ensemble > Événements critiques
5
Téléchargement du fichier de service actuel
L’onglet Système > État > Vue d’ensemble permet de télécharger le
fichier de service actuellement installé sur le système IVE, de manière à
l’enregistrer et à l’installer sur un autre système IVE.
Pour télécharger votre fichier de service actuel :
2. Cliquez sur Télécharger le fichier (versions Central Manager) ou sur le
lien en regard de Version fichier logiciel système.
3. Cliquez sur Enregistrer.
4. Définissez le nom et l’emplacement du fichier de service.
Figure 15 : Système > État > Vue d’ensemble > Télécharger le fichier

133
5
Modification de la date et de l’heure du système
Vous devez régler l’heure du système pour pouvoir enregistrer précisément
les événements système et les transferts de fichiers par les utilisateurs.
Vous pouvez utiliser un serveur NTP (Network Time Protocol) pour synchroniser le système IVE avec un ensemble d’ordinateurs ou vous pouvez régler
manuellement l’heure du système IVE.
Pour modifier la date et l’heure du système :
2. Dans la section Date & heure système, cliquez sur Modifier.
3. Sélectionnez un fuseau horaire dans le menu Fuseau horaire.
Le système IVE gère automatiquement le passage à l’heure d’été.
4. Utilisez l’une des méthodes suivantes pour définir l’heure du système :
•
Utilisation d’un serveur NTP
Activez l’option Utiliser un serveur NTP, entrez l’adresse IP ou le
nom du serveur, puis définissez un intervalle de mise à jour.
•
Réglage manuel de l’heure
Activez l’option Régler l’heure manuellement et entrez les valeurs
de date et d’heure. Vous pouvez également cliquer sur Obtenir
depuis le navigateur afin de remplir les zones Date et Heure.
Figure 16 : Système > État > Vue d’ensemble > Date et heure
Onglet Utilisateurs actifs
5
Permet de surveiller les utilisateurs connectés au système IVE
La page Utilisateurs actifs permet de surveiller les utilisateurs connectés
au système IVE. Elle présente le nom de chaque utilisateur, son royaume
134

d’authentification, son rôle et son heure de connexion. Notez que les
utilisateurs non IVE qui sont connectés à une réunion sécurisée sont
répertoriés en tant que membres du rôle « Rôle d’utilisateur Secure
Meeting ».
Remarque : Le système IVE affiche « N/A » dans les colonnes Royaume et Rôle
pour les utilisateurs non IVE qui se sont connectés au système IVE pour participer
à une réunion Secure Meeting.
Pour surveiller les utilisateurs connectés au système IVE :
1. Dans la Console Web, choisissez Système > État > Utilisateurs actifs.
2. Effectuez les actions suivantes (facultatif) :
•
•
•
Clôture de la session IVE d’un utilisateur :
•
Pour forcer la déconnexion d’un ou plusieurs utilisateurs finaux ou
administrateurs, activez les cases à cocher en regard des noms
concernés, puis cliquez sur Supprimer session.
•
Pour forcer la déconnexion de tous les utilisateurs finaux
actuellement connectés, cliquez sur Supprimer toutes les
sessions. Si vous voulez déconnecter des administrateurs, vous
devez les choisir un à un, puis cliquer sur le bouton Supprimer
session.
Choix des données affichées et de leur ordre :
•
Pour afficher un utilisateur précis, entrez son nom d’utilisateur
dans le champ Afficher les utilisateurs nommés, puis cliquez
sur Mettre à jour. Si vous ignorez le nom précis de l’utilisateur,
vous pouvez utiliser le caractère générique *. Par exemple, si un
utilisateur se nomme « Christian Martin », mais que vous ne vous
souvenez plus si son nom d’utilisateur est « Chris » ou « Christian »,
tapez Chris* dans le champ Afficher les utilisateurs nommés.
Le système IVE affichera la liste de tous les utilisateurs dont le
nom d’utilisateur commence par les lettres Chris.
•
Pour déterminer le nombre d’utilisateurs et d’administrateurs
affichés sur la page Utilisateurs actifs, entrez un nombre dans le
champ Afficher N utilisateurs, puis cliquez sur Mettre à jour.
•
Pour trier le tableau des utilisateurs et administrateurs actuellement
connectés, cliquez sur un en-tête de colonne.
•
Pour actualiser le contenu de la page, cliquez sur Mettre à jour.
Lien vers des onglets apparentés :
•
Pour modifier le royaume d’authentification d’un utilisateur,
cliquez sur le lien Royaume en regard de son nom et suivez
les instructions de la section « Configuration d’un domaine
•
Pour modifier le rôle d’un utilisateur, cliquez sur le lien Rôle
en regard de son nom et suivez les instructions de la section
« Configuration de la page Délégation », page 299 (s’il s’agit
d’un administrateur) ou « Configuration de la page Rôles »,
page 330 (s’il s’agit d’un utilisateur final).

135
Figure 17 : Système > État > Utilisateurs actifs
Onglet Planification de réunions
5
Permet de visualiser et d’annuler les réunions planifiées.
La page Planification de réunions (système Access Series) ou
Planification (système Meeting Series) permet d’afficher toutes les
réunions actuellement planifiées sur le système IVE et d’en annuler si
nécessaire. (Pour obtenir une description de l’option Secure Meeting,
reportez-vous à la section « Présentation générale de Secure Meeting »,
page 111.)
Pour visualiser et annuler des réunions planifiées :
1. Dans la Console Web, choisissez Système > État > Planification de
réunion (système Access Series) ou Système > Planification (système
Meeting Series). Le système IVE affiche des informations en temps réel
sur toutes les réunions en cours ou planifiées, à savoir :
•
Heure et état
Heure et durée planifiées pour la réunion, ainsi que son état actuel.
•
Détails de la réunion
Nom, ID et exigences de mots de passe de la réunion. Cette colonne
comprend également un lien Détails qui permet d’afficher des
informations sur la réunion et d’y prendre part.
•
Rôle de Réunion
Affiche le rôle du créateur de la réunion. Si le créateur était connecté
à plusieurs rôles quand il a créé la réunion (c’est-à-dire qu’il est
membre de plusieurs rôles et que le système est configuré pour
effectuer une fusion permissive), Secure Meeting choisit un rôle selon
les principes décrits dans la section « Onglet Réunions », page 373.
•
Rôles des participants
Affiche les rôles des participants connectés à la réunion, le nombre
de participants connectés à chaque rôle et la limite du nombre de
participants de chaque rôle. Notez que les participants non IVE sont
affichés sous le rôle d’utilisateur du créateur de la réunion. Pour plus
d’informations sur la manière dont les participants sont attribués à
des rôles et la façon de fixer des limites par rôle, reportez-vous à
la section « Activation et configuration de réunions pour les rôles
d’utilisateur », page 373.
136

2. Utilisez l’une des méthodes suivantes pour modifier le mode d’affichage
de la réunion (facultatif) :
•
Sélectionnez une plage temporelle (quotidienne, hebdomadaire,
en cours, planifiée) dans les onglets des groupes (système Meeting
Series) ou la liste déroulante (système Access Series) afin de
déterminer quelles réunions sont affichées.
•
Cliquez sur l’un des en-têtes de colonnes soulignés pour déterminer
l’ordre de tri des réunions actuellement affichées.
3. Cliquez sur le lien Détails sous une réunion pour afficher des informations
à son sujet et éventuellement y prendre part (facultatif).
4. Cliquez sur l’icône de suppression dans la colonne de droite pour annuler
une réunion (facultatif).
Important : L’annulation d’une réunion entraîne sa suppression définitive du
système IVE. Il est impossible de restaurer une réunion qui a été annulée.
Figure 18 : Système > État > Planification de réunions
Configuration de la page Planification
La page Planification (système Meeting Series) permet de visualiser toutes
les réunions actuellement planifiées sur le système IVE et éventuellement
d’en annuler. Pour plus d’informations, reportez-vous à la section « Onglet
Planification de réunions », page 136.

137
138

Configuration de la page Configuration
La page Système > Configuration contient les onglets suivants :
Onglet Licence ..................................................................................... 140
Onglet Sécurité > Options de sécurité.................................................. 142
Onglet Sécurité > Vérificateur d’hôte.................................................... 144
Onglet Sécurité > Nettoyeur de cache ................................................. 148
Onglet Sécurité > Journaux côté client................................................. 151
Onglet Certificats > Certificats de serveur ............................................ 152
Onglet Certificats > Certificats de l’autorité de certification .................. 161
Onglet Certificats > Certificat d’applet .................................................. 168
Onglet NCP .......................................................................................... 169
Onglet Types de client .......................................................................... 171
Vous pouvez utiliser les onglets de la page Système > Configuration
pour :
Entrée ou mise à jour d’une licence de système IVE ........................... 140
Définition des options de sécurité au niveau du système..................... 142
Définition de restrictions Vérificateur d’hôte ......................................... 144
Création d’une stratégie globale côté client.......................................... 145
Téléchargement du programme d’installation du vérificateur d’hôte .... 148
Spécification des paramètres globaux du nettoyeur de cache ............. 148
Spécification des paramètres de journalisation côté client................... 151
Importation d’un certificat et d’une clé privée existants ........................ 153
Importation d’un certificat de serveur renouvelé employant la clé
privée existante .................................................................................... 155
Téléchargement d’un certificat de serveur et d’une clé privée à
partir du système IVE ........................................................................... 156
Association d’un certificat avec un port virtuel...................................... 157
Création d’une demande de signature de certificat (CSR) pour un
nouveau certificat ................................................................................. 158
Importation d’un certificat signé créé à partir d’une CSR ..................... 159
Chargement des certificats de l’autorité de certification sur le
système IVE ............................................................................... 161
Renouvellement d’un certificat de l’autorité de certification.................. 163
Activation de la vérification des CRL .................................................... 164
Affichage des détails du certificat de l’autorité de certification ............. 166
Importation d’un certificat de signature de code................................... 168
Définition des options NCP pour les clients Windows et Java ............. 169
Gestion des agents-utilisateurs ............................................................ 171

139
Onglet Licence
Le système IVE est fourni avec une licence vous offrant un accès de base
à IVE1. Toutefois, pour tirer pleinement avantage de votre système, vous
devez vous connecter à la Console Web et entrer les licences que Juniper
vous communique par courriel. Le courriel peut contenir jusqu’à trois types
de licences :
• Licence du produit : une licence de produit détermine le nombre
de systèmes IVE que vous pouvez regrouper ainsi que le nombre
d’utilisateurs simultanés qui peuvent se connecter au système. Par
exemple, la licence de votre produit peut vous permettre de créer
une grappe de 4 éléments A5000 avec 2 500 utilisateurs simultanés.
• Licence du fichier de mise à jour : une licence de fichier de mise à
jour vous permet d’utiliser un groupe de fonctions. Par exemple, vous
pouvez posséder une licence Central Manager vous permettant d’utiliser
la fonction de panneau d’affichage du système IVE pour surveiller les
capacités du système, la fonction de poussée de configuration pour
pousser des paramètres d’un système IVE vers un autre, la fonction
anti-indisponibilité pour accélérer les mises à niveau, la fonction de
sauvegarde pour enregistrer les fichiers de sauvegarde en local et la
fonction de consignation dans les journaux pour personnaliser le format
de vos fichiers-journaux.
• Mise à jour de la licence de fonction : une mise à jour de la licence
de fonction vous permet d’utiliser une fonction individuelle. Par exemple,
il se peut que vous disposiez d’une licence Secure Terminal vous
permettant de sécuriser l’accès aux serveurs hébergés par le biais de
Telnet et SSH à partir du PC de n’importe quel utilisateur.
L’onglet Système > Configuration > Licence vous permet d’entrer les
codes de licence de votre site, d’afficher les dates d’expiration et de les
supprimer (le cas échéant).
Remarque : Veillez à prendre connaissance de l’accord de licence, accessible
depuis la page Licence, avant d’entrer la licence. L’accord de licence figurant sur
l’onglet Licence est identique au texte affiché dans la console série lors de la
configuration initiale.
5
Entrée ou mise à jour d’une licence de système IVE
Pour entrer ou mettre à jour vos licences IVE :
1. Sur la Console Web, sélectionnez Système > Configuration > Licence.
2. Cliquez sur le lien accord de licence. Prenez connaissance de l’accord
de licence puis, si vous marquez votre accord avec ses dispositions,
passez à l’étape suivante.
3. Entrez le nom de votre société et votre code de licence, puis cliquez sur
Enregistrer les modifications.
1. La licence de base du système IVE vous permet de créer 5 comptes utilisateur locaux, autorise deux
utilisateurs à se connecter simultanément et fournit des fonctions de recherche de base de fichiers sur
le Web, sous Windows et sous UNIX/NFS.
140

Figure 19 : Système > Configuration > Licence

141
Onglet Sécurité > Options de sécurité
L’onglet Système > Configuration > Sécurité > Options de sécurité
vous permet de modifier les paramètres de sécurité sans défaut pour votre
système IVE. Il est conseillé d’employer les paramètres de sécurité par
défaut, qui garantissent une sécurité maximale. Il peut toutefois être
nécessaire de les modifier si vos utilisateurs sont incapables d’utiliser
certains navigateurs ou d’accéder à certaines pages web.
5
Définition des options de sécurité au niveau du système
Si l’un de vos utilisateurs rencontre des difficultés à accéder à certaines
pages Web, envisagez de modifier les paramètres suivants.
• Version admise de SSL et TLS
Le IVE exige par défaut SSL en version 3 et TLS. Les navigateurs plus
anciens utilisent la version 2 de SSL. Vous pouvez inviter les utilisateurs
à mettre à jour leur navigateur ou à modifier le paramètre de manière à
accepter les versions 2 et 3 de SSL.
• Capacité de chiffrement admise
Le système IVE exige par défaut un chiffrement 128 bits et vous pouvez
aussi spécifier que le système IVE exige par défaut un chiffrement 168
bits. Il se peut que d’anciens navigateurs antérieurs à 2000 (année
qui a vu les États-Unis modifier leurs lois en matière d’exportation qui
exigeaient que les exportations internationales emploient un chiffrement
40 bits) emploient toujours le chiffrement 40 bits. Vous pouvez inviter les
utilisateurs à effectuer la mise à jour vers un navigateur employant un
chiffrement 128 bits, ou modifier la capacité de chiffrement requise afin
d’autoriser le chiffrement 40 bits.
Remarque : Lorsque vous utilisez un chiffrement 168 bits sur le système IVE,
certains navigateurs Web peuvent continuer à afficher un chiffrement 128 bits
(le verrou doré sur la barre d’état du navigateur) même si la connexion est à
168 bits. Ceci peut être dû à une limitation des capacités du navigateur.
• Navigation sur des sites SSL
Le système IVE permet la navigation sur des sites SSL internes (précédés
de la mention https://) et accepte tous les certificats (temporaires ou
non) par défaut. Si vous ne voulez pas que les utilisateurs naviguent sur
des sites possédant des certificats émis par une autorité de certification
externe valide par l’intermédiaire du système IVE, désactivez cette
fonctionnalité.
•
Intermédiation d’authentification de base
Le système IVE peut faire office d’intermédiaire pour les données
d’identification des utilisateurs, de manière à empêcher les utilisateurs
d’accéder à des ressources en employant les données d’identification
d’un autre utilisateur stockées en mémoire cache. En outre, le système
IVE peut réutiliser les données d’identification des utilisateurs afin de
permettre une ouverture de session unique pour d’autres sites de
l’intranet. Si vous activez l’option d’ouverture de session unique, le
système IVE veille à ce que les données d’identification ne soient
transmises que dans l’intranet de l’entreprise.
142

• Supprimez tous les cookies à la fin de la session
Pour rendre les choses plus simples, le système IVE définit des cookies
persistants, tels que le cookie du dernier domaine et le dernier URL de
connexion, sur la machine de l’utilisateur. Si vous souhaitez plus de
sécurité ou de confidentialité, vous pouvez choisir de ne pas les définir.
• Incluez le cookie de la session IVE dans l’URL
Mozilla 1.6 et Safari peuvent ne pas transmettre les cookies à la machine
virtuelle de Java, ce qui empêche les utilisateurs d’exécuter des applets
JSAM et Java. Pour prendre en charge ces navigateurs, le système IVE
peut inclure le cookie de la session utilisateur dans l’URL qui lance l’applet
JSAM ou Java. Par défaut, cette option est activée, mais si vous avez des
inquiétudes concernant le fait d’exposer le cookie dans l’URL, vous
pouvez désactiver cette fonction.
Figure 20 : Système > Configuration > Sécurité > Options de sécurité

143
Onglet Sécurité > Vérificateur d’hôte
L’onglet Système > Configuration > Sécurité > Vérificateur d’hôte
permet d’effectuer les tâches suivantes :
Création d’une stratégie globale côté client.......................................... 145
Création d’une stratégie globale côté serveur ...................................... 148
Téléchargement du programme d’installation du vérificateur d’hôte .... 148
5
Définition de restrictions Vérificateur d’hôte
Vous pouvez définir des options globales du vérificateur d’hôte s’appliquant
à tous les utilisateurs pour lesquels le vérificateur d’hôte est nécessaire
dans une stratégie d’authentification, une règle de correspondance des
rôles ou une stratégie de ressources.
Pour définir des restrictions Vérificateur d’hôte :
1. Sur la Console Web, sélectionnez Système > Configuration > Sécurité >
Vérificateur d’hôte.
2. Sous Options :
•
Dans la zone Effectuer une vérification toutes les X minutes,
entrez l’intervalle selon lequel le vérificateur d’hôte doit être exécuté
sur un ordinateur client. Si l’ordinateur client ne répond pas aux
conditions des stratégies du vérificateur d’hôte requises par un rôle
ou une stratégie de ressources, le système IVE refuse les demandes
utilisateur associées.
Par exemple, il se peut qu’un utilisateur exécute une application
anti-virus spécifique d’un fournisseur tiers pour établir une
correspondance au Rôle A, ce qui permet des connexions réseau à
partir d’un emplacement externe. Si l’ordinateur client de l’utilisateur
exécute l’application anti-virus requise lorsque l’utilisateur se
connecte au système IVE, l’utilisateur établit une correspondance au
Rôle A et reçoit toutes les autorisations d’accès associées à celui-ci.
Toutefois, si l’application anti-virus cesse de tourner pendant la session
utilisateur, lors de l’exécution suivante du vérificateur d’hôte, l’utilisateur
ne répond pas aux conditions de sécurité du Rôle A et perd donc tous
les privilèges d’accès relatifs au Rôle A.
Important : Si vous entrez une valeur de zéro, le vérificateur d’hôte n’est
exécuté sur l’ordinateur client que quand l’utilisateur se connecte pour la
première fois au système IVE.
•
Activez l’option Mise à jour automatique du vérificateur d’hôte
si vous voulez que le système IVE télécharge automatiquement
l’application Vérificateur d’hôte sur l’ordinateur client lorsque la
version du vérificateur d’hôte qui se trouve sur le système IVE
est plus récente que celle qui est installée sur le client. Si vous
sélectionnez cette option, tenez compte des points suivants :
•
144

L’utilisateur doit posséder des autorisations de niveau Administrateur
pour que le système IVE installe automatiquement l’application
Vérificateur d’hôte sur le client.
•
Si un utilisateur désinstalle le vérificateur d’hôte puis ouvre une
session sur un système IVE pour lequel l’option Mise à jour
automatique du vérificateur d’hôte n’est pas activée, il ne lui
est plus possible d’accéder au vérificateur d’hôte.
Figure 21 : Système > Configuration > Sécurité > Vérificateur d’hôte
5
Création d’une stratégie globale côté client
Vous pouvez créer des stratégies Vérificateur d’hôte globales qui
garantissent que les processus côté client, les fichiers, les entrées de
registre, les ports ou les produits de sécurité de point final tiers intégrés
soient conformes à vos exigences. Une fois ces stratégies créées, vous
pouvez les appeler au niveau des royaumes, des rôles et des ressources.
Pour créer une stratégie Vérificateur d’hôte globale :
1. Sur la Console Web, sélectionnez Système > Configuration >
Sécurité > Vérificateur d’hôte.
2. Sous Stratégies, cliquez sur Nouveau.
3. Sur la page Configuration, entrez un nom dans le champ Nom de la
stratégie, puis cliquez sur Continuer.

145
4. Sous Méthode de vérification des hôtes, sélectionnez les options
souhaitées parmi les suivantes (facultatif) :
•
Sygate Enforcement API : exige qu’un produit Sygate Personal
Firewall soit installé sur l’ordinateur client.
•
Sygate Security Agent : exige qu’un produit Sygate Security Agent
soit installé sur l’ordinateur client.
•
Zone Labs : Zone Alarm Pro et Zone Labs Integrity : exige que
Zone Alarm Pro ou Zone Labs Integrity soit installé sur l’ordinateur
client.
•
McAfee Desktop Firewall 8.0 : exige que McAfee Desktop Firewall
8.0 soit installé sur l’ordinateur client.
•
InfoExpress CyberGatekeeper Agent : exige que InfoExpress
CyberGatekeeper Agent soit installé sur l’ordinateur client.
5. Sous Définition des règles, sélectionnez un type de règle (voir page 79
pour obtenir des descriptions) dans la liste déroulante, puis cliquez sur
Ajouter (facultatif). La boîte de dialogue de configuration relative à la
règle apparaît. Dans la boîte de la dialogue de configuration pour :
•
•
•
•
Contrôle NHC de fournisseur tiers:
1
Entrez le nom de la DLL.
2
Entrez l’emplacement de la DLL sur les machines client (chemin et
nom du fichier).
3
Vérification des attributs : Ports:
1
Entrez une liste des ports ou des plages de ports séparée par une
virgule (sans espaces), telle que : 1234,11000-11999,1235.
2
Sélectionnez Requis pour que ces ports soient ouverts sur
l’ordinateur client ou Refuser pour que ces ports soient fermés.
3
Vérification des attributs : Processus :
1
Entrez le nom d’un processus (fichier exécutable), tel que :
good-app.exe.
2
Sélectionnez Requis pour que ce processus soit exécuté dans le
Gestionnaire des tâches ou Refuser pour que ce processus ne soit
pas exécuté.
3
Spécifiez la valeur du total de contrôle MD5 de chaque fichier
exécutable auquel vous souhaitez que la stratégie s’applique
(facultatif). Par exemple, un exécutable peut présenter des
valeurs de total de contrôle MD5 divergentes sur un ordinateur
de bureau, sur un ordinateur portable ou sur des versions de
Windows différentes. Spécifiez chaque valeur valide.
4
Vérification des attributs : Fichier :
1
Entrez le nom d’un fichier (n’importe quel type de fichier), tel
que : \Temp\Bad-file.doc.
Important : Vous ne pouvez pas inclure de variables dans le chemin
d’accès au fichier.
146

2
Sélectionnez Requis pour que ce fichier soit présent sur
l’ordinateur client ou Refuser pour que ce fichier ne soit pas
présent.
3
Spécifiez l’âge maximal (en jours) pour un fichier (facultatif).
Si le fichier est antérieur au nombre de jours défini, le client ne
respecte pas la condition de la vérification des attributs.
Conseil :
Utilisez cette option pour vérifier l’âge des signatures de virus.
Assurez-vous de spécifier le chemin vers un fichier (dans le champ
Nom du fichier) dont l’horodateur indique quand les signatures
des virus ont été mises à jour pour la dernière fois, par exemple
une base de données des signatures de virus ou un fichier journal
mis à jour à chaque fois que la base de données est mise à jour.
Par exemple, si vous utilisez TrendMicro, vous pouvez spécifier :
C:\Program Files\Trend Micro\OfficeScan Client\TmUpdate.ini.
•
4
Spécifiez la valeur du total de contrôle MD5 de chaque fichier
exécutable auquel vous souhaitez que la stratégie s’applique
(facultatif).
5
Vérification des attributs : Paramètre de registre:
1
Sélectionnez une clé racine dans la liste déroulante.
2
Entrez le chemin menant au dossier de l’application de la clé
secondaire de registre.
3
Entrez le nom de la valeur de la clé requise (facultatif). Ce nom
apparaît dans la colonne Nom de l’éditeur de registre.
4
Sélectionnez le type de valeur de la clé (chaîne, binaire ou dword)
dans la liste déroulante (facultatif). Ce type apparaît dans la
colonne Type de l’éditeur de registre.
5
Définissez la valeur de clé de registre requise (facultatif). Cette
information apparaît dans la colonne Données de l’éditeur de
registre.
Si la valeur de la clé représente une version d’application, cochez
la case version minimale pour activer la version spécifiée ou des
versions plus récentes de l’application. Le système IVE utilise le tri
lexical pour déterminer si le client contient la version spécifiée ou
une version ultérieure. Par exemple :
3.3.3 est plus récent que 3.3
4.0 est plus récent que 3.3
4.0a est plus récent que 4.0b
4.1 est plus récent que 3.3.1
Conseil :
Cette option vous permet de spécifier des informations de version
pour une application antivirus afin de vous assurer que le logiciel
antivirus du client est actuel.
6
Remarque : Si vous ne spécifiez que la clé et la clé secondaire, le vérificateur d’hôte contrôle simplement la présence du dossier de la clé secondaire dans le registre.

147
7
5
Répétez ce processus pour ajouter une autre règle à la stratégie
Vérificateur d’hôte. Lorsque vous avez terminé d’ajouter des règles,
cliquez sur Enregistrer les modifications. Le système IVE ajoute la
stratégie à la page Vérificateur d’hôte Configuration.
Création d’une stratégie globale côté serveur
Vous pouvez créer des stratégies Vérificateur d’hôte globales qui exécutent,
sur les ordinateurs clients, des logiciels que vous avez téléchargé sur le
système IVE. Une fois ces stratégies créées, vous pouvez les appeler au
niveau des royaumes, des rôles et des ressources. Pour plus d’informations,
reportez-vous à la section « Interface d’intégration de serveur du vérificateur
Pour créer une stratégie Vérificateur d’hôte globale :
Sécurité > Vérificateur d’hôte.
2. Sous Stratégies, cliquez sur Nouvelle stratégie tierce.
3. Entrez le nom qui identifiera le fichier ZIP sur le système IVE.
4. Accédez au répertoire local où votre fichier ZIP est stocké.
5. Cliquez sur Enregistrer les modifications. Le système IVE ajoute les
stratégies définies dans votre fichier ZIP à la page Vérificateur d’hôte
Configuration.
5
Téléchargement du programme d’installation du vérificateur d’hôte
Pour télécharger l’application Vérificateur d’hôte sous la forme d’un fichier
exécutable Windows, accédez à Maintenance > Système > Programmes
d’installation. Pour plus d’informations sur le téléchargement du vérificateur
d’hôte, reportez-vous à la section « Téléchargement d’une application ou
d’un service », page 453.
Onglet Sécurité > Nettoyeur de cache
L’onglet Système > Configuration > Sécurité > Nettoyeur de cache
vous permet de spécifier la fréquence à laquelle le nettoyeur de cache
tourne et met à jour l’état du système IVE, de même que les données
spécifiques du cache du navigateur et du répertoire à effacer. Reportez-vous
à « Présentation générale du nettoyeur de cache », page 83 pour obtenir de
plus amples informations sur cette fonctionnalité.
5
Spécification des paramètres globaux du nettoyeur de cache
Pour définir les paramètres globaux du nettoyeur de cache :
1. Dans la Console Web, sélectionnez Système > Configuration >
Sécurité > Nettoyeur de cache.
2. En haut de la page :
1
148

Dans la zone Fréquence de nettoyage, définissez la fréquence à
laquelle le nettoyeur de cache tourne. Les valeurs valides vont de 1 à
60 minutes. Chaque fois que le nettoyeur de cache tourne, il efface le
cache du navigateur ainsi que les fichiers et dossiers spécifiés dans les
rubriques Cache du navigateur et Fichiers et dossiers ci-dessous.
2
Dans la zone Fréquence de mise à jour de l’état, entrez la
fréquence à laquelle le système IVE attend que le nettoyeur de
cache se mette à jour. Les valeurs valides vont de 1 à 60 minutes.
3
Cochez la case Désinstaller le nettoyeur de cache à la déconnexion
si vous souhaitez que le système IVE désinstalle le nettoyeur de
cache de l’ordinateur client à la fin d’une session utilisateur (facultatif).
3. Sous Cache du navigateur, entrez un ou plusieurs noms d’hôte ou
domaines (les caractères génériques sont autorisés). Lorsqu’une session
utilisateur se termine, le nettoyeur de cache supprime tous les contenus
du cache du navigateur provenant de ces serveurs. Le nettoyeur de
cache efface également ces contenus lorsqu’il tourne à l’intervalle de
nettoyage spécifié dans la fréquence.
Remarque : Le système IVE ne résout pas les noms d’hôtes. Par conséquent,
entrez toutes les représentations possibles d’un serveur, telles que son nom
d’hôte, son FQDN et son adresse IP.
4. Sous Fichiers et dossiers :
1
2
Spécifiez :
•
le nom d’un fichier que le nettoyeur de cache doit supprimer ou
•
le chemin de répertoire complet vers un dossier dont le nettoyeur
de cache doit supprimer le contenu. Si vous spécifiez un répertoire,
sélectionnez Effacer les sous-dossiers pour également effacer
les contenus des sous-répertoires de ce répertoire.
Cochez la case N’effacer les dossiers qu’à la fin de la session
si vous souhaitez que le nettoyeur de cache efface les contenus
uniquement à la fin de la session utilisateur. Sinon, le nettoyeur de
cache efface également les fichiers et les dossiers à l’intervalle de
nettoyage spécifié dans la fréquence.
5. Cliquez sur Enregistrer les modifications pour enregistrer ces
paramètres globalement.

149
Figure 22 : Système > Configuration > Sécurité > Nettoyeur de cache
150

Onglet Sécurité > Journaux côté client
L’onglet Système > Configuration > Sécurité > Journaux côté client vous
permet d’activer la journalisation côté client pour les fonctions Vérificateur
d’hôte, Nettoyeur de cache, Secure Meeting, W-SAM et Network Connect.
Lorsque vous activez cette option pour une fonction, le système IVE rédige
un journal chiffré côté client sur tout client utilisant la fonction. Le système
IVE ajoute des éléments au fichier journal à chaque fois que la fonction est
appelée pendant les sessions utilisateur suivantes. Cette fonction est utile
lorsque vous travaillez avec l’équipe d’assistance afin déboguer des
problèmes avec la fonction correspondante.
Important : Étant donné que ces paramètres sont globaux, le système IVE rédige
un fichier journal sur tous les clients utilisant la fonction pour laquelle vous activez
la journalisation côté client. Par ailleurs, le système IVE ne supprime pas les
journaux côté client. Les utilisateurs doivent supprimer manuellement les fichiers
journaux de leurs clients. Ces fichiers utilisent une extension .log et sont stockés
dans des répertoires correspondant à la fonction dans C:\Program Files\
Neoteris.
5
Spécification des paramètres de journalisation côté client
Pour spécifier les paramètres globaux de journalisation côté client :
Sécurité > Journaux côté client.
2. Sélectionnez les fonctions souhaitées pour lesquelles le système
IVE rédige des journaux côté client. Les options disponibles sont les
suivantes :
•
Vérificateur d’hôte : le système IVE rédige dsHostChecker.log dans
C:\Program Files\Neoteris\Host Checker.
•
Nettoyeur de cache : le système IVE rédige dsCacheCleaner.log dans
C:\Program Files\Neoteris\Cache Cleaner.
•
Réunions : le système IVE rédige dsCboxUI.log ou NeoterisSetup.log.
L’emplacement de ces fichiers dépend de la configuration du système
des utilisateurs. Si vos utilisateurs sont :
•
des utilisateurs de Windows avec des privilèges d’administrateur
ou d’utilisateur avec pouvoir : C:\Program Files\Neoteris\Secure
Meeting <numéro_version>\dsCboxUI.log ou
C:\Windows -ou- WINNT\Downloaded Program
Files\NeoterisSetup.log
•
des utilisateurs de Windows avec des privilèges standard :
C:\Documents and Settings\<nom_utilisateur>\Local
Settings\Temp\Neoteris\Secure Meeting
<numéro_version>\dsCboxUI.log ou C:\Documents and
Settings\<nom_utilisateur>\Local
Settings\Temp\Neoteris\setup\NeoterisSetup.log -etNeoterisSetupApp.log
•
des utilisateurs Macintosh ou Linux : \tmp\dsCboxUI.log.

151
•
Network Connect : le système IVE rédige ncsvc.log dans C:\Program
Files\Neoteris\Network Connect.
3. Cliquez sur Enregistrer les modifications pour enregistrer ces
paramètres globalement.
Remarque : Pour les nouveaux systèmes IVE 4.x, les trois options sont
désactivées par défaut. Si vous mettez votre système IVE à niveau à partir d’une
configuration 3., les trois options de journalisation sont activées par défaut.
Figure 23 : Système > Configuration > Sécurité > Journaux côté client
Onglet Certificats > Certificats de serveur
Le système IVE prend en charge les certificats du serveur X.509 dans les
formats de codage DER et PEM (les extensions de fichiers comprennent
.cer, .crt, .der et .pem) de même que PKCS #12 (les extensions de fichiers
comprennent .pfx et .p12).
Vous pouvez utiliser l’onglet Système > Configuration > Certificats >
Certificat de serveur pour :
Importation d’un certificat et d’une clé privée existants ........................ 153
Importation d’un certificat de serveur renouvelé employant la clé
privée existante.............................................................................. 155
Téléchargement d’un certificat de serveur et d’une clé privée à
partir du système IVE ........................................................................... 156
Association d’un certificat avec un port virtuel...................................... 157
Création d’une demande de signature de certificat (CSR) pour un
nouveau certificat ................................................................................. 158
Importation d’un certificat signé créé à partir d’une CSR ..................... 159
système IVE...................................................................................... 161
Importation d’un certificat de signature de code................................... 168
152

5
Importation d’un certificat et d’une clé privée existants
Vous pouvez créer des certificats de serveur web à partir de serveurs tels
qu’Apache, IIS, Sun ONE (anciennement iPlanet) ou Netscape, puis importer
ces certificats dans le système IVE. Pour exporter un certificat de serveur et
une clé privée numériques, suivez les instructions de votre serveur web en
matière d’exportation de certificats. Utilisez ensuite l’onglet Certificats de
serveur pour importer ces fichiers.
Important :
• Lorsque vous exportez un certificat à partir d’un autre serveur Web,
remarquez qu’il doit être chiffré et que vous devez exporter le mot de
passe avec le certificat.
• Vous ne pouvez pas importer une clé privée de certificat de serveur
web sur un ordinateur Access Series FIPS, car la clé est créée dans un
environnement incompatible FIPS. Toutefois, vous pouvez importer une clé
de certificat à partir d’un autre système IVE, accompagné de l’environnement
sécurisé. Pour plus d’informations, reportez-vous à la section « Importation
d’un fichier de configuration du système », page 455.
Pour importer un certificat de serveur et une clé privée numériques
existants :
Certificats > Certificats de serveur.
2. Cliquez sur Importer le certificat et la clé.
3. Choisissez l’écran approprié pour l’importation du certificat :
•
Si le certificat et la clé sont placés dans le même fichier, utilisez
l’écran Le fichier de certificat contient la clé privée.
•
Si le certificat et la clé sont placés dans des fichiers distincts, utilisez
l’écran Le certificat et la clé privée sont des fichiers distincts.
•
Si le certificat et la clé figurent dans un fichier de configuration IVE,
utilisez la page Importer via fichier de configuration IVE.
4. Dans l’écran approprié, accédez au fichier contenant le certificat et la
clé. Si le fichier est chiffré, entrez la clé du mot de passe.
5. Cliquez sur Importer.

153
Figure 24 : Système > Configuration > Certificats > Certificats de serveur
Figure 25 : Système > Configuration > Certificats > Certificats de serveur >
Importer le certificat et la clé
154

5
Importation d’un certificat de serveur renouvelé employant la clé privée existante
Vous pouvez renouveler un certificat de serveur de deux manières :
• Soumission d’une nouvelle CSR à une autorité de certification
Ce mode de renouvellement d’un certificat est plus sûr, car l’autorité de
certification génère un nouveau certificat et une nouvelle clé, l’ancienne
clé privée étant mise au rebut. Pour employer ce mode de renouvellement,
vous devez tout d’abord créer une CSR à l’aide de la Console Web. Pour
plus d’informations, reportez-vous à la section « Création d’une demande
de signature de certificat (CSR) pour un nouveau certificat », page 158.
Important : Vous ne pouvez pas importer une clé privée de certificat de
serveur web sur un ordinateur Access Series FIPS, car la clé est créée dans
un environnement incompatible FIPS.
• Demande de renouvellement basée sur la CSR soumise
précédemment à l’autorité de certification
Ce mode de renouvellement d’un certificat est moins sûr, car l’autorité de
certification génère un certificat qui emploie la clé privée existante.
Important : Lorsque vous commandez un certificat renouvelé, vous devez
resoumettre votre CSR d’origine ou vous assurer que l’administration de
certification possède un enregistrement du CSR soumis pour votre certificat
actuel.
Pour importer un certificat de serveur renouvelé qui emploie la clé privée
existante :
1. Suivez les instructions de votre autorité de certification pour renouveler
un certificat acquis précédemment auprès de celle-ci.
Important : Veillez à entrer les informations qui ont été employées dans la
CSR d’origine. Votre autorité de certification emploiera ces informations pour
créer un nouveau certificat correspondant à la clé existante.
Certificats > Certificats de serveur. (Figure 24, page 154)
3. Cliquez sur le lien correspond au certificat à renouveler : (Figure 25,
page 154)
4. Cliquez sur Renouveler le certificat.
5. Dans le formulaire Renouveler le certificat, naviguez jusqu’au fichier
du certificat renouvelé, entrez le mot de passe de la clé de certificat,
puis cliquez sur Importer.

155
Figure 26 : Système > Configuration > Certificats > Certificats de serveur > Détails
du certificat
Renouveler le certificat
5
Téléchargement d’un certificat de serveur et d’une clé privée à partir du système IVE
Si vous créez une stratégie de ressources SAML, vous devez créer une
relation de confiance entre le système IVE et votre système de gestion
des accès. (Les relations de confiance garantissent que les systèmes
compatibles SAML ne transmettent des informations que vers et à partir
de sources fiables.) Si vous choisissez de créer une stratégie de ressources
SAML SSO à l’aide d’un profil POST, le processus de création d’une relation
de confiance consiste notamment à installer le certificat de serveur du
système IVE sur le système de gestion des accès. La page Certificats de
serveur vous permet de télécharger aisément le certificat du Système IVE
de manière à pouvoir l’installer sur votre système de gestion des accès.
156

Pour télécharger un certificat de serveur à partir du système IVE :
2. Cliquez sur le lien correspond au certificat à enregistrer. (Figure 25,
page 154)
3. Cliquez sur Télécharger.
4. Naviguez jusqu’à l’emplacement où vous souhaitez enregistrer le
certificat et cliquez sur Enregistrer.
5
Association d’un certificat avec un port virtuel
Si vous choisissez d’associer plusieurs noms d’hôtes à un seul système IVE,
vous devez spécifier quels certificats le système IVE doit employer pour
valider les utilisateurs se connectant aux différents noms d’utilisateur.
Les options disponibles sont les suivantes :
• Associez tous les noms d’hôte avec un seul certificat générique
Avec cette méthode, vous utilisez un seul certificat générique pour valider
tous les utilisateurs, indépendamment du nom d’utilisateur employé pour
se connecter au système IVE. Un certificat générique comprend un
élément variable dans le nom de domaine, ce qui permet aux utilisateurs
de se connecter à partir de plusieurs hôtes au « même » domaine. Par
exemple, si vous créez un certificat générique pour *.votresociété.com,
le système IVE utilise le même certificat pour authentifier les utilisateurs
qui se connectent à salariés.votresociété.com de la même manière
que pour authentifier les utilisateurs qui ouvrent une session sur
partenaires.votresociété.com.
• Associez chaque nom d’hôte à son propre certificat
Avec cette méthode, vous associez différents noms d’hôte avec des
certificats différents Toutefois, étant donné que le système IVE ne connaît
pas le nom d’hôte que l’utilisateur final emploie pour se connecter au
système IVE, vous devez créer un port virtuel pour chaque nom d’hôte,
puis associer vos certificats avec les ports virtuels. Un port virtuel active
un alias IP sur un port physique. Par exemple, vous pouvez choisir de
créer deux ports virtuels sur un seul système, en faisant correspondre le
premier à l’adresse IP 10.10.10.1 (ventes.votresociété.com) et le second
à l’adresse IP 10.10.10.2 (partenaires.votresociété.com). Ensuite, vous
pouvez associer un certificat propre à chacun de ces ports virtuels, afin
de permettre au système IVE d’authentifier différents utilisateurs au
moyen de différents certificats.
Pour associer différents certificats à des ports virtuels différents :
1. Sur la Console Web, naviguez jusqu’à l’onglet Système > Réseau >
Port interne (page 180) ou jusqu’à l’onglet Port externe (page 180).
Ensuite, créez vos ports virtuels à l’aide des paramètres de la page
Ports virtuels.
2. Importez les certificats de serveur que vous souhaitez utiliser pour
valider les certificats utilisateur. Vous pouvez importer les certificats à
partir de la page Système > Configuration > Certificats > Certificats
de serveur de la Console Web (page 153) ou de la page Maintenance >
Importer/Exporter > Configuration système de la Console Web
(page 152).

157
3. Sur la page Système > Configuration > Certificats > Certificats de
serveur, cliquez sur le lien correspondant à un certificat à utiliser pour
valider les certificats utilisateur. (Figure 25, page 154)
4. Sous Certificats présents sur ces ports, spécifiez le(s) port(s) que le
système IVE doit associer au certificat : vous pouvez choisir des ports
internes ou externes ainsi que des ports primaires ou virtuels, mais
vous ne pouvez pas choisir un port déjà associé à un autre certificat.
(Figure 26, page 156)
6. Répétez les étapes 3 à 6 pour chacun des certificats à utiliser pour
authentifier les utilisateurs.
5
Création d’une demande de signature de certificat (CSR) pour un nouveau certificat
Si votre société ne possède pas de certificat numérique pour ses serveurs
web ou si vous utilisez un système Access Series FIPS, vous pouvez créer
une demande de signature de certificat (CSR, certificate signing request)
par l’intermédiaire de la Console Web, puis envoyer la demande à une
autorité de certification en vue de son traitement. Lorsque vous créez une
CSR par l’intermédiaire de la Console Web, une clé privée correspondant à
cette CSR est créée localement. Si vous supprimez la CSR à tout moment,
ce fichier sera lui aussi supprimé, ce qui vous empêchera d’installer un
certificat signé généré à partir de la CSR.
Important : N’envoyez pas plusieurs CSR en même temps à une autorité de
certification. Celle-ci risquerait de vous facturer à plusieurs reprises. Vous pouvez
consulter les détails de toutes les demandes en attente que vous avez
précédemment soumises en cliquant sur le lien Détails de la requête de
signature de certificat dans l’onglet Certificats de serveur.
Pour créer une demande de signature de certificat :
2. Sous Demandes de signature de certificat, cliquez sous Nouvelle CSR.
3. Entrez les informations requises, puis cliquez sur Créer CSR.
4. Suivez les instructions qui s’affichent à l’écran, qui expliquent quelles
informations envoyer à l’autorité de certification, et comment procéder.
5. Lorsque vous recevez le certificat signé de l’autorité de certification,
importez son fichier en suivant les instructions ci-dessous.
Remarque : Lorsque vous envoyez une CSR à une autorité de certification, il
se peut que vous soyez invité à définir le type de serveur web sur lequel le
certificat a été créé, ou le type de serveur web auquel il est destiné.
Sélectionnez apache (si plusieurs options comportant la chaîne apache sont
disponibles, vous pouvez choisir n’importe laquelle). De même, si vous êtes
invité à choisir le format de certificat à télécharger, sélectionnez le format
standard.
158

Nouvelle demande de signature de certificat
5
Importation d’un certificat signé créé à partir d’une CSR
Si vous créez un CSR par le biais de la Console Web, le système IVE affiche
un lien CSR en attente pour la CSR dans l’onglet Certificats de serveur
jusqu’à ce que vous importiez le certificat de serveur signé distribué par
l’autorité de certification.
Pour importer un certificat de serveur signé créé à partir d’une CSR :
2. Sous Demandes de signature de requête, cliquez sur le lien CSR en
attente correspondant au certificat signé.
3. Sous Importer le certificat signé, naviguez jusqu’au fichier du
certificat reçu de l’autorité de certification, puis cliquez sur Importer.

159
Demande de signature de certificat en attente
160

Onglet Certificats > Certificats de l’autorité de certification
L’onglet Système > Configuration > Certificats > Certificat de
l’autorité de certification vous permet d’importer des certificats de
l’autorité de certification et de configurer les options des certificats de
l’autorité de certification. Le système IVE prend en charge les certificats
X.509 CA aux formats de codage DER et PEM.
Cette section comprend les procédures suivantes :
système IVE...................................................................................... 161
5
Chargement des certificats de l’autorité de certification sur le système IVE
Si vous souhaitez que les utilisateurs fournissent un certificat côté client
pour ouvrir une session sur le système IVE, vous devez charger le certificat
de l’autorité de certification correspondant sur le système IVE. Le système
IVE utilise le certificat chargé pour vérifier la validité du certificat produit
par le navigateur.
Important :
• Lorsque vous utilisez des certificats côté client, nous vous recommandons
vivement de former vos utilisateurs à fermer leurs navigateurs web
après s’être déconnecté du système IVE. Dans le cas contraire, d’autres
utilisateurs pourraient utiliser leurs sessions de navigateur ouvertes
pour accéder aux ressources protégées par certificat sur le système IVE
sans ré-authentification. (Après le chargement d’un certificat côté client,
tant Internet Explorer que Netscape mettent en mémoire cache les
données d’identification et la clé privée du certificat. Les navigateurs
conservent ces informations en mémoire cache jusqu’à ce que l’utilisateur
ferme le navigateur (ou, dans certains cas, jusqu’à ce qu’il redémarre la
station de travail). Pour plus d’informations, consultez la page suivante :
http://support.microsoft.com/?kbid=290345.) Pour rappeler aux
utilisateurs de fermer leurs navigateurs, vous pouvez modifier le
message de déconnexion dans l’onglet Système > Connexion > Pages
d’ouverture de session (page 229).
• Le chargement d’un certification d’une autorité de certification sur le
système IVE ne permet pas l’authentification SSL côté client. Vous
devez utiliser un serveur de certificats (page 249) ou activer des
restrictions de certificat dans la page Administrateurs/Utilisateurs >
Authentification > [Royaume] > Stratégie d’authentification >
Certificat de la Console Web pour permettre une authentification SSL
côté client.
• Lorsque vous chargez une chaîne de certificats sur le système IVE,
vous devez installer les certificats un à la fois dans l’ordre décroissant
en commençant par le certificat racine (fichiers DER ou PEM) ou charger
un seul fichier sur le système IVE contenant l’ensemble de la chaîne de
certificats (fichiers PEM uniquement). A l’aide de l’une de ces méthodes,
vous vous assurez que le système IVE puisse lier les certificats dans le
bon ordre.

161
• Si vous disposez d’une licence Baseline, vous ne pouvez importer qu’un
certificat d’autorité de certification sur le système IVE.
Pour charger les certificats de l’autorité de certification sur le
système IVE :
1. Installez un certificat côté client par l’intermédiaire du navigateur de
l’utilisateur. Pour plus d’informations, consultez la documentation du
navigateur.
2. Sur la Console Web, choisissez Système > Configuration > Certificats >
Certificats de l’autorité de certification.
3. Cliquez sur Importer le certificat de l’autorité de certification.
4. Naviguez jusqu’au certificat de l’autorité de certification que vous
souhaitez charger sur le système IVE et cliquez sur Importer le
certificat.
5. Déterminez quels domaines doivent utiliser le certificat pour authentifier
les utilisateurs, puis activez le certificat pour les domaines utilisant les
paramètres de l’onglet Utilisateurs> Authentification > [Royaume] >
Stratégie d’authentification > Certificat.
6. Suivez les instructions de l’annexe B pour spécifier les attributs
d’identificateur unique X.509 que les utilisateurs doivent présenter
pour une authentification, un accès aux rôles ou un accès aux stratégies
de ressources ou pour activer l’authentification des certificats pour
les domaines d’administrateurs en plus des domaines d’utilisateurs
(facultatif).
Figure 30 : Système > Configuration > Certificats > Certificats de l’autorité de
certification
162

certification > Importer le certificat
certification > Importer le certificat > Certificat de l’autorité de
certification
5
Renouvellement d’un certificat de l’autorité de certification
Pour renouveler un certificat de l’autorité de certification, votre autorité de
certification doit émettre un nouveau certificat utilisant la même clé privée
à votre intention, puis charger le nouveau certificat sur le système IVE.

163
Pour importer un certificat renouvelé de l’autorité de certification sur
le système IVE :
Certificats > Certificat de l’autorité de certification. (Figure 30,
page 162)
2. Cliquez sur le lien correspond au certificat à renouveler : (Figure 32,
page 163)
3. Cliquez sur Renouveler le certificat.
4. Naviguez jusqu’au certificat de l’autorité de certification renouvelé que
vous souhaitez charger sur le système IVE et cliquez sur Importer le
certificat.
certification > Renouveler le certificat de l’autorité de certification
5
Activation de la vérification des CRL
Vous pouvez activer et périodiquement télécharger des listes de révocation
des certificats (CRL) à partir des points de distribution des CRL (CDP) afin
de vérifier la validité continue des certificats côté client.
Pour activer la vérification des CRL :
page 162)
2. Cliquez sur le lien correspondant au certificat pour lequel vous souhaitez
activer la vérification des CRL. (Figure 32, page 163)
3. Cliquez sur Options de vérification des CRL.
4. Sous Points de distribution des CRL, spécifiez l’emplacement où le
système IVE doit trouver des informations d’accès pour le CDP. Les
options disponibles sont les suivantes :
•
Aucun CDP (aucune vérification des CRL)
Lorsque vous sélectionnez cette option, le système IVE ne vérifie
pas les CRL émises par l’autorité de certification. Par conséquent,
vous ne devez pas entrer de paramètres pour accéder au CDP qui
a émis la CRL.
•
CDP spécifié(s) dans le certificat de l’autorité de certification
Lorsque vous sélectionnez cette option, le système IVE vérifie
l’attribut du point de distribution des CRL dans le certificat et affiche
les URI des CDP qu’il trouve sur la page Options de vérification des
164

CRL. Si le certificat de l’autorité de certification ne comprend pas
toutes les informations requises pour accéder au CDP, spécifiez les
informations supplémentaires nécessaires :
•
•
Serveur CDP : (LDAP uniquement) Entrez l’emplacement du
serveur CDP. Lorsque vous utilisez le protocole LDAP, entrez
l’adresse IP ou le nom d’hôte (par exemple, ldap.domaine.com).
•
Attribut des CRL : (LDAP uniquement) Entrez l’attribut LDAP
sur l’objet sur l’objet contenant les CRL (par exemple,
CertificateRevocationList).
•
DN Admin, MotDePasse : (LDAP uniquement) Si le serveur CDP
ne permet pas de recherches anonymes de la CRL, entrez le DN
et le mot de passe administrateur requis pour s’identifier sur le
serveur CDP.
CDP spécifiés dans les certificats client
Si le certificat client ne comprend pas toutes les informations requises
pour accéder au CDP, spécifiez les informations supplémentaires
nécessaires :
•
Serveur CDP : (LDAP uniquement) Entrez l’emplacement du
serveur CDP. Lorsque vous utilisez le protocole LDAP, entrez
l’adresse IP ou le nom d’hôte (par exemple, ldap.domaine.com).
•
Attribut des CRL : (LDAP uniquement) Entrez l’attribut LDAP
sur l’objet sur l’objet contenant les CRL (par exemple,
CertificateRevocationList).
•
DN Admin, MotDePasse : (LDAP uniquement) Si le serveur CDP
ne permet pas de recherches anonymes de la CRL, entrez le DN
et le mot de passe administrateur requis pour s’identifier sur le
serveur CDP.
CDP configuré manuellement
Lorsque vous sélectionnez cette option, le système IVE accède au
CDP que vous spécifiez. Entrez l’URL du CDP primaire et, de manière
facultative, d’un CDP de sauvegarde. Pour un serveur LDAP, utilisez
le syntaxe : ldap://Server/BaseDN?attribute?Scope?Filter. Pour un
serveur web, entrez le chemin complet vers l’objet de la CRL. Par
exemple :
http://domain.com/CertEnroll/CompanyName%20CA%20Server.crl
En outre, si le serveur CDP ne permet pas de recherches anonymes
de la CRL, entrez le DN et le mot de passe administrateur requis pour
s’identifier sur le serveur CDP. (LDAP uniquement)
Remarque : Si vous choisissez de télécharger des CDP à l’aide d’une
méthode, puis en sélectionnez une autre, le système IVE supprime du disque
tous les CDP téléchargés avec la méthode précédente.
5. Dans le champ Fréquence de téléchargement des CRL, spécifiez à
quelle fréquence le système IVE doit télécharger les CRL du CDP.
6. Si vous souhaitez vérifier la validité du certificat de l’autorité de
certification (en plus des certificats côté client) sur la base des CRL
spécifiées aux étapes précédentes, sélectionnez Vérifier le certificat
de l’autorité de certification sur la page Certificat de l’autorité de
certification.
Important :
•
Lorsque vous choisissez de vérifier un certificat intermédiaire,
assurez-vous que les CRL sont disponibles pour tous les certificats

165
de l’autorité de certification situés en amont de celui-ci dans la
chaîne. Lorsque vous vérifiez un certificat de l’autorité de certification,
le système IVE vérifie également toutes les autorités de certification
émettrices situées en amont du certificat dans la chaîne.
•
Si vous sélectionnez cette option, mais n’activez pas la vérification
des CRL, le système IVE vérifie le certificat de l’autorité de certification
sur la base du CDP de l’émetteur. Si aucune CRL n’est active pour
l’émetteur, l’authentification de l’utilisateur échoue.
7. Cliquez sur Mettre à jour maintenant pour télécharger manuellement
la CRL depuis le CDP (facultatif).
8. Cliquez sur Enregistrer les modifications. Le système IVE télécharge
la CRL à l’aide de la méthode spécifiée (le cas échéant) et affiche les
détails de vérification de la CRL (décrits dans la rubrique suivante).
certification > Options de vérification des CRL
5
Affichage des détails du certificat de l’autorité de certification
Vous pouvez afficher une vaste gamme de détails sur chacun des certificats
installés sur le système IVE.
Pour afficher les détails du certificat de l’autorité de certification :
page 162)
2. Cliquez sur le certificat à afficher. (Figure 32, page 163)
166

3. Sous Certificat, utilisez la flèche située en regard des noms de champ
suivants pour afficher les détails du certificat :
•
Emis pour
Nom et attributs de l’entité pour laquelle le certificat a été émis.
•
Emis par
Nom et attributs de l’entité qui a émis le certificat. Remarquez que la
valeur de ce champ doit correspondre au champ Emis pour (pour les
certificats racine) ou au champ Emis pour du premier certificat en
amont dans la chaîne (pour les certificats intermédiaires).
•
Dates de validité
Délai pendant lequel le certificat est valide. Si votre certificat a expiré,
reportez-vous aux instructions de la rubrique « Renouvellement d’un
certificat de l’autorité de certification », page 163.
•
Détails
Comprend différents détails sur le certificat, et notamment sa
version, le numéro de série, l’algorithme de la signature, les points
de distribution des CRL, le type d’algorithme de la clé publique et la
clé publique. Remarquez que, s’il se peut que le système IVE affiche
un point de distribution des CRL dans le champ Détails, il n’active pas
le CDP à moins que vous le choisissiez. Pour plus d’informations,
reportez-vous à la section « Activation de la vérification des CRL »,
page 164.
4. Sous Vérification des CRL pour les certificats client, affichez les
détails des CRL activées pour ce certificat :
•
Activer
Affiche une coche si le système IVE est configuré de manière à utiliser
la CRL à partir de ce CDP.
•
Points de distribution des CRL
L’emplacement du point de distribution des CRL à partir duquel les
certificats client sont validés. Ce champ indique également si la
dernière tentative visant à télécharger la CRL à partir du CDP a
réussi ou non.
•
État
Indique l’état de la CRL (OK, Aucune CRL, Expirée, Téléchargement
en cours), la taille de la CRL ainsi que le nombre de révocations
contenues dans la CRL.
•
Dernière mise à jour
Indique la dernière fois que le système IVE a téléchargé une CRL à
partir du point de distribution des CRL spécifié. Contient également
un lien vous permettant d’enregistrer la version actuelle de la CRL du
système IVE.
•
Mise à jour suivante
Indique la fois suivante que le système IVE doit télécharger une CRL
à partir du point de distribution des CRL spécifié. Remarquez qu’un
intervalle de téléchargement est spécifié dans la CRL et dans la page
de configuration des CRL du système IVE - la valeur affichée ici est
inférieure à ces deux valeurs.

167
Onglet Certificats > Certificat d’applet
L’onglet Système > Configuration > Certificats > Certificat d’applet vous
permet d’importer des certificats de signature de code pour vos utilisateurs,
de la manière décrite sous « Certificats d’applet », page 56.
5
Importation d’un certificat de signature de code
Pour importer un certificat de signature de code :
Certificats > Certificats d’applet.
2. Dans la zone Certificats de signature d’applet, cliquez sur Importer
les certificats.
3. Sur la page Importer les certificats, accédez aux fichiers appropriés de
certificats de signature de code, entrez les informations relatives à la clé
de mot de passe, puis cliquez sur Importer.
4. Utilisez les paramètres de l’onglet Stratégies de ressources > Web >
Java > Signature de code afin de spécifier les ressources re-signées par
le certificat d’applet.
168

Figure 35 : Système > Configuration > Certificats > Certificats d’applet
Onglet NCP
Le système Instant Virtual Extranet utilise les types de protocoles internes
suivants pour communiquer entre le serveur IVE et les applications client :
• Network Communications Protocol (NCP)
Le système IVE utilise NCP pour communiquer via SSL avec les
applications client Windows, dont le client Secure Meeting Windows,
W-SAM et Network Connect.
• NCP optimisé (oNCP)
NCP optimisé (oNCP) améliore considérablement les débits des
applications client via NCP étant donné qu’il présente des améliorations
en termes d’efficacité du protocole, de gestion des connexions et de
compression des données. oNCP n’est pris en charge que sur les clients
Windows 2000 et Windows XP.
• Java Communications Protocol (JCP)
Le système IVE utilise JCP pour communiquer avec les applications client
Java, dont le client Secure Meeting Java, J-SAM et le programme de
réécriture Java.
5
Définition des options NCP pour les clients Windows et Java
Pour définir les options NCP :
1. Sur la Console Web, sélectionnez Système > Configuration > NCP.

169
2. (clients Windows) Sous Sélection automatique de NCP, sélectionnez :
•
Sélection automatique activée (recommandée) Utilisez l’oNCP par
défaut. Si vous sélectionnez cette option, le système IVE utilise oNCP
pour la plupart des communications client/serveur, puis passe au NCP
standard lorsque cela est nécessaire. Le système IVE retourne à NCP
si l’utilisateur tourne sur une plate-forme non prise en charge ou si
l’application client ne parvient pas à ouvrir une connexion TCP directe
sur le système IVE pour une raison quelconque (par exemple, la
présence d’un proxy, d’une temporisation, d’une déconnexion).
•
Sélection automatique désactivée Utilisez toujours le NCP standard.
Cette option est essentiellement fournie à des fins de compatibilité
descendante.
3. (clients Java) Sous Temporisation de la connexion en lecture,
définissez l’intervalle de temporisation pour les clients Java (15-120
secondes). Si les méthodes d’accès sécurisé côté client ne reçoivent pas
de données du système IVE pendant l’intervalle spécifié, elles essaient
d’établir une connexion au système IVE. Remarquez que cette valeur ne
s’applique pas à l’inactivité de l’utilisateur dans les applications client.
4. (clients Windows) Sous Délai d’inactivité des connexions, définissez
l’intervalle d’inactivité de la connexion. Cet intervalle d’inactivité détermine
la fréquence à laquelle le système IVE gère les connexions inactives
pour les méthodes d’accès sécurité de Windows côté client.
Figure 36 : Système > Configuration > NCP
170

Onglet Types de client
L’onglet Types de client vous permet de spécifier les types de systèmes
à partir desquels vos clients peuvent ouvrir une session ainsi que le type
de page HTML que le système IVE affiche dans ce cas. Pour obtenir plus
d’informations, reportez-vous à « Présentation générale des appareils
portables et des PDA », page 87.
5
Gestion des agents-utilisateurs
Pour gérer les agents-utilisateurs :
1. Sur la Console Web, sélectionnez Système > Configuration > Types
de client.
2. Entrez la chaîne utilisateur-agent correspondant au(x) système(s)
d’exploitation à prendre en charge. Vous pouvez rester aussi vague ou
spécifique que vous le souhaitez. Par exemple, vous pouvez utiliser le
paramètre par défaut du système IVE de *DoCoMo* pour l’appliquer
à tous les systèmes d’exploitation DoCoMo ou vous pouvez créer une
chaîne telle que DoCoMo/1.0/P502i/c10 pour l’appliquer à un type
unique de système d’exploitation DoCoMo. Vous pouvez utiliser les
caractères génériques * et ? dans votre chaîne.
Les chaînes utilisateur-agent par défaut qui sont préactivés sur le
système IVE comprennent :
•
*DoCoMo* : Tous les systèmes d’exploitation DoCoMo (i-mode)
•
*Windows CE* : tous les systèmes d’exploitation Pocket PC
•
*Symbian OS* : tous les systèmes d’exploitation Symbian
•
*SonyEricsson* : tous les systèmes d’exploitation Sony Ericsson
•
* : tous les autres systèmes d’exploitation.
Remarque : Les chaînes agent-utilisateur du système IVE ne sont pas sensibles à la casse.
3. Spécifiez quel type de HTML le système IVE doit afficher pour les
utilisateurs qui se connectent à partir du système d’exploitation spécifié
à l’étape précédente. Les options disponibles sont les suivantes :
•
HTML standard : le système IVE affiche toutes les fonctions HTML
standard, y compris les tableaux, les graphiques pleine taille,
JavaScript, Java, les cadres et les cookies. Idéal pour les navigateurs
standard, tels que Netscape, Mozilla et Internet Explorer.
•
Compact HTML : le système IVE affiche des pages HTML compatibles
compactes qui ne contiennent pas de tableaux, de graphiques, de
JavaScript, de Java, de cadres ni de cookies. Idéal pour les
navigateurs iMode.
Important : Le système IVE réécrit les hyperliens pour inclure l’ID de la
session dans l’URL au lieu d’utiliser des cookies.
•
HTML mobile : le système IVE affiche des pages compatibles HTML
mobiles qui peuvent contenir des tableaux, de petits graphiques, du

171
JavaScript, des cadres et des cookies, mais ne contient pas de Java.
Idéal pour les navigateurs Pocket PC.
4. Spécifiez l’ordre dans lequel vous souhaitez que le système IVE évalue
les agents-utilisateurs. Le système IVE applique la première règle de
la liste correspondant au système de l’utilisateur. Par exemple, vous
pouvez créer les correspondances type HTML/chaînes agents-utilisateurs
suivantes dans l’ordre suivant :
1
Chaîne agent-utilisateur : *DoCoMo* Correspondances avec :
HTML compact
2
Chaîne agent-utilisateur : DoCoMo/1.0/P502i/c10
Correspondances avec : HTML mobile
Si un utilisateur se connecte à partir du système d’exploitation spécifié
dans la seconde ligne, le système IVE affiche les pages HTML compactes
pour lui, et non le HTML mobile plus robuste, étant donné que sa chaîne
agent-utilisateur correspond au premier poste de la liste.
Pour trier les correspondances de la liste, cochez la case située en regard
d’un poste, puis utilisez les flèches dirigées vers le haut et vers le bas
pour le déplacer vers le bon emplacement de la liste.
5. Cochez la case Activation du masque du mot de passe pour HTML
compact si vous souhaitez masquer les mots de passe entrés dans
iMode et dans les autres dispositifs utilisant le HTML compact. (Les
dispositifs qui n’utilisent pas le HTML compact masquent les mots
de passe indépendamment de l’activation ou non de cette case.)
Remarquez que si les mots de passe de vos utilisateurs iMode
contiennent des caractères non numériques, vous devez désactiver
le masquage du mot de passe étant donné que les dispositifs iMode
n’autorisent que les données numériques dans les champs de mot de
passe standard. Si vous désactivez le masquage, les mots de passe
sont toujours transmis de manière sécurisée, mais sont invisibles sur
l’écran de l’utilisateur.
172

Figure 37 : Système > Configuration > Types de client

173
174

Configuration de la page Réseau
La page Système > Réseau contient les onglets suivants :
Onglet Vue d’ensemble ........................................................................ 176
Onglet Port interne > Paramètres......................................................... 178
Onglet Port interne > Ports virtuels ...................................................... 180
Onglet Port interne > Trajets statiques ................................................. 181
Onglet Port interne > Cache ARP ........................................................ 183
Onglet Port externe > Paramètres........................................................ 184
Onglet Port externe > Ports virtuels ..................................................... 186
Onglet Port externe > Trajets statiques ................................................ 187
Onglet Port externe > Cache ARP ....................................................... 188
Onglet Hôtes ........................................................................................ 189
Définition de trajets statiques pour le trafic réseau du port interne ...... 181
Les onglets de la page Système > Réseau permettent de :
Configuration des paramètres réseau généraux .................................. 176
Modification des paramètres réseau du port interne (interface LAN) ... 178
Création de ports virtuels sur l’interface interne ................................... 180
Définition de trajets statiques pour le trafic réseau du port interne ...... 181
Ajout d’une entrée statique................................................................... 183
Activation du port externe (interface DMZ)........................................... 184
Création de ports virtuels sur l’interface externe .................................. 186
Définition de trajets statiques pour le trafic réseau du port externe ..... 187
Ajout d’une entrée statique................................................................... 188
Permet de définir les Noms d’hôtes que le système IVE résoudra
localement. ........................................................................................... 189
Téléchargement du programme d’installation de Network Connect..... 190
Définition des filtres IP que le système IVE doit appliquer aux pools
IP de Network Connect......................................................................... 190

175
Onglet Vue d’ensemble
5
Configuration des paramètres réseau généraux
La page Vue d’ensemble permet de voir l’état des ports internes et
externes, de définir un nom d’hôte pour le système IVE et de paramétrer
la résolution d’un nom DNS, un serveur Windows Internet Naming Service
(WINS) et le navigateur maître pour le système IVE. Notez que sur cette
page s’affichent les paramètres DNS et WINS entrés via la console série
pendant la configuration initiale.
Pour configurer des paramètres réseau généraux
1. Dans la Console Web, sélectionnez Système > Réseau > Vue
d’ensemble.
2. Dans la section Identité réseau, entrez le nom complet du système
IVE. Ce nom d’hôte est utilisé par Secure Meeting lors d’appels SMTP
et de l’intégration d’URL de réunion dans les courriels de notification
(page 441). Ce nom d’hôte est utilisé par le proxy intermédiaire en tant
qu’alias du nom d’hôte du serveur d’applications (page 393).
Remarque : Si vos Système IVE sont mis en cluster, le nom d’hôte spécifié
pour l’identité réseau est synchronisé à l’échelle du cluster. Néanmoins, pour
les clusters multisites, il est conseillé de supplanter ce paramètre et de définir
des noms d’hôte différents pour chaque nœud du cluster à l’aide des options
de la page Système > Mise en cluster.
3. Pour la résolution des noms DNS, mettez à jour les adresses DNS
principale et secondaire ainsi que le nom de domaine DNS par défaut
pour chaque Système IVE.
Dans ces champs, vous pouvez entrer une liste de domaines DNS séparés
par des virgules ; le système IVE les recherche dans leur ordre d’apparition
dans la liste.
4. Pour le Réseau Windows :
•
Entrez le nom ou l’adresse IP d’un serveur WINS (Windows Internet
Naming Service) local ou distant que vous utilisez pour associer des
noms de postes de travail et des emplacements à des adresses IP
(le cas échéant).
•
Cliquez sur Navigateur(s) maître(s) afin de sélectionner un
serveur WINS, un contrôleur de domaine ou un autre serveur, au
sein du domaine IVE, qui réponde aux appels NETBIOS et associe
des noms de postes de travail et des emplacements à des adresses
IP (le cas échéant). Ajoutez le navigateur principal via la page
Réseau Windows – Définir le navigateur maître.
5. Cochez la case Activer la découverte réseau afin de permettre au
système IVE de découvrir les dossiers partagés de Windows.
176

Figure 38 : Système > Réseau > Vue d’ensemble

177
Onglet Port interne > Paramètres
Lorsque vous installez le Système IVE, vous entrez les paramètres de base
pour la connexion au LAN à l’aide du port interne de l’appareil. Ce port
interne traite toutes les demandes WAN et LAN à n’importe quelle ressource
et surveille les demandes de navigation sur le web ou dans les fichiers,
d’authentification et de courrier sortant. Après avoir configuré votre
système IVE, vous pouvez utiliser l’onglet Système > Réseau > Port
interne > Paramètres pour mettre à jour les paramètres initiaux, si
besoin. (Alternativement, vous pouvez déployer l’appareil en mode à deux
ports, de manière à surveiller les connexions SSL Web et celles de proxy de
courriel entrantes sur un port externe, comme décrit à la section « Onglet
Port externe > Paramètres », page 184.)
5
Modification des paramètres réseau du port interne (interface LAN)
L’onglet Port interne permet de modifier les paramètres réseau que vous
avez définis au cours de la configuration initiale.
Remarque : La plupart des champs de cette page sont préremplis avec les
paramètres définis au cours de l’installation du système IVE.
Pour modifier les paramètres réseau du port interne (interface LAN) :
1. Dans la Console Web, sélectionnez Système > Réseau > Port interne >
Paramètres.
2. Dans la section Informations de port, mettez à jour l’adresse IP, le
masque réseau, la passerelle et les paramètres de vitesse de liaison
pour chaque système Système IVE. Par défaut, ces champs sont
remplis avec les paramètres entrés lors de la configuration initiale du
système IVE.
3. Dans le champ Délai de ping ARP, définissez le délai d’attente maximal
du système IVE pour répondre aux demandes ARP (Address Resolution
Protocol) avant la déconnexion. Les Système IVE mis en cluster envoient
des demandes ARP1 aux passerelles d’autres Système IVE afin de
déterminer s’ils communiquent correctement entre eux.
Important : Si le système IVE ne fonctionne pas dans un environnement mis
en cluster, il n’utilise pas ce paramètre. Si vos systèmes IVE sont mis en
cluster, le délai d’attente spécifié est synchronisé à l’échelle du cluster. Pour
les clusters multisites, vous pouvez supplanter ce paramètre pour chaque
nœud de cluster à l’aide des options de la page Système > Mise en cluster.
Cependant, soyez prudent en modifiant ce paramètre dans les clusters en
mode actif/passif, du fait que le système IVE utilise également le paramètre
Délai de ping ARP de l’onglet Interne comme minuteur de défaillance du VIP.
1. Le système IVE effectue deux demandes ARP, l’une sur la passerelle du port interne et l’autre sur celle du
port externe, lorsqu’il essaie d’établir une communication dans le cluster.
178

4. Dans le champ MTU, spécifiez une unitémaximale de transmission pour
l’interface interne du système IVE.
Remarque : Il est conseillé d’utiliser le paramètre par défaut (1500), à moins
que vous n’ayez à modifier ce paramètre pour des raisons de dépannage.
Figure 39 : Système > Réseau > Port interne > Paramètres

179
Onglet Port interne > Ports virtuels
5
Création de ports virtuels sur l’interface interne
Les paramètres de cet onglet vous permettent de créer des ports virtuels
pour des utilisateurs tels que les employés ouvrant une session IVE à
partir de votre réseau interne. Un port virtuel active un alias IP sur un
port physique et partage tous les paramètres réseau (à l’exception de
l’adresse IP) avec le port interne ou externe qui l’héberge. Un alias IP est
une adresse IP liée à un port virtuel. (Notez que l’alias IP est différent de
l’adresse IP principale du système IVE, qui constitue un paramètre requis
pour la configuration du système IVE lors de la procédure d’initialisation.)
Vous pouvez combiner l’utilisation de ports virtuels avec la fonction certificats
de serveurs multiples afin de permettre aux utilisateurs d’accéder au même
système IVE avec des alias IP différents (page 157).
Par exemple, vous pouvez choisir de créer deux ports virtuels sur un seul
système, en faisant correspondre le premier à l’adresse IP 10.10.10.1
(ventes.votresociété.com) et le second à l’adresse IP 10.10.10.2
(partenaires.votresociété.com). Ensuite, vous pouvez associer un certificat
propre à chacun de ces ports virtuels, afin de permettre au système IVE
d’authentifier différents utilisateurs au moyen de différents certificats.
Lors de la configuration des ports virtuels sur un système IVE mis en
cluster, notez que tous les nœuds du cluster partagent des informations sur
le port virtuel. Pour un cluster en mode actif/actif, les noms du port virtuel
sont les mêmes à l’échelle du cluster, mais les alias IP définis dans les ports
virtuels diffèrent d’un nœud à l’autre. Pour un cluster en mode actif/passif,
tant les noms des ports virtuels que les alias IP sont partagés à l’échelle du
cluster. (Au sein d’un cluster en mode actif/passif, lorsque le second nœud
prend le contrôle d’un cluster, il hérite de l’alias IP du premier nœud et les
active.)
Pour créer un port virtuel sur un système IVE autonome :
Ports virtuels.
2. Cliquez sur Nouveau port.
3. Entrez un nom unique pour le port virtuel.
4. Entrez un alias IP unique à lui associer. N’utilisez pas une adresse IP
déjà associée à un autre port virtuel. Notez que si vous n’entrez pas
d’adresse IP, le système IVE n’active pas le port virtuel.
Pour créer un port virtuel sur un nœud de cluster :
Ports virtuels.
2. Dans la liste déroulante Paramètres de, sélectionnez Cluster entier
puis cliquez sur Mettre à jour.
180

4. Entrez un nom unique pour le port virtuel puis cliquez sur Enregistrer
les modifications. Le système IVE ajoute le nom du port virtuel à la
liste des Ports virtuels et permet l’accès à chaque nœud du cluster.
5. Cliquez sur le lien d’un nœud pour accéder à la page de configuration de
l’adresse IP. Entrez un alias IP unique à lui associer. N’utilisez pas une
adresse IP déjà associée à un autre port virtuel. Notez que si vous
n’entrez pas d’adresse IP, le système IVE n’active pas le port virtuel.
6. Cliquez sur Enregistrer les modifications. La page Ports virtuels
renvoie à l’onglet du port virtuel. Si nécessaire, sélectionnez à nouveau
Cluster entier dans la liste déroulante Paramètres de, puis répétez
l’étape 5.
Figure 40 : Système > Réseau > Port interne > Ports virtuels — Cluster entier
Onglet Port interne > Trajets statiques
5
Définition de trajets statiques pour le trafic réseau du port interne
L’onglet Trajets statiques sert à ajouter des entrées à la table de routage.
Notez que toutes les demandes de connexion aux ressources internes
s’effectuent depuis le système IVE, indépendamment des paramètres de
trajet. Les paramètres de trajet du port externe ne sont employés que pour
l’acheminement de paquets associés aux connexions lancées par un client
distant. Pour plus d’informations, reportez-vous à la section « Onglet Port
externe > Paramètres », page 184.
Pour définir des trajets statiques :
Trajets statiques.
2. Entrez les informations requises puis cliquez sur Ajouter.

181
Figure 41 : Système > Réseau > Port interne > Trajets statiques
182

Onglet Port interne > Cache ARP
La mise en cache ARP vous permet de déterminer l’adresse physique (MAC)
d’un périphérique en réseau, tel qu’un routeur ou un serveur d’applications
dorsales, qui se connecte au système IVE. Utilisez l’onglet Cache ARP pour
gérer les types d’entrées ARP (Address Resolution Protocol) suivants :
• Entrées statiques
Vous pouvez ajouter une entrée ARP statique au cache associé aux
adresses IP et MAC. Le système IVE stocke les entrées statiques pendant
la réinitialisation et les active de nouveau après cette opération. Les
entrées statiques sont toujours présentes sur le système IVE.
• Entrées dynamiques
Le réseau « apprend à reconnaître » les entrées ARP dynamiques au
cours d’une utilisation et d’une interaction normales avec d’autres
périphériques réseau. Le système IVE met en cache les entrées
dynamiques pendant 20 minutes au maximum et les supprime à
l’occasion d’une réinitialisation (ou lorsque vous les supprimez
manuellement).
Vous pouvez consulter les entrées dynamiques et statiques du cache ARP et
les en supprimer, ainsi qu’y ajouter des entrées statiques. Si vous possédez
des systèmes IVE mis en cluster, notez que les informations du cache ARP
sont spécifiques au nœud.
5
Ajout d’une entrée statique
Pour ajouter une entrée statique :
Cache ARP.
2. Entrez l’adresse IP et l’adresse physique dans leurs champs
respectifs, en haut du tableau.
Remarque : Notez que si vous ajoutez une entrée contenant une adresse IP
existante, le système IVE remplace l’entrée existante par votre nouvelle
entrée. Notez également que le système IVE ne vérifie pas la validité des
adresses MAC.
3. Cliquez sur Ajouter.

183
Figure 42 : Système > Réseau > Port interne > Cache ARP
Onglet Port externe > Paramètres
L’interface externe DMZ (demilitarized zone) surveille et sert uniquement
les demandes entrantes provenant d’utilisateurs connectés au système IVE.
Avant d’envoyer un paquet, le système IVE détermine s’il est associé à une
connexion TCP lancée par un utilisateur via l’interface externe. Si c’est le
cas, le système IVE envoie le paquet à l’interface externe. Tous les autres
paquets accèdent à l’interface interne. Les trajets définis pour chaque
interface s’appliquent lorsque le système IVE a déterminé s’il doit employer
l’interface interne ou l’interface externe. Aucune demande n’est lancée par
le système IVE à partir de l’interface externe. Cette dernière n’accepte
aucune autre connexion (à l’exception des connexions ping et traceroute).
Toutes les demandes vis-à-vis d’une ressource sont lancées depuis
l’interface interne. (Pour plus d’informations, reportez-vous à la section
« Onglet Port interne > Paramètres », page 178.)
5
Activation du port externe (interface DMZ)
L’onglet Port externe permet d’activer la fonctionnalité DMZ. Notez que
si vous activez la fonctionnalité DMZ, les administrateurs, par défaut, ne
pourront plus ouvrir de session à partir d’un emplacement externe. Vous
pouvez ouvrir le port externe pour les administrateurs à l’aide de l’onglet
Administrateurs > Authentification > Stratégie d’authentification >
IP source.
Pour activer le port externe :
1. Dans la Console Web, sélectionnez Système > Réseau > Port externe >
Paramètres.
184

2. Dans Utiliser un port externe, sélectionnez Activer.
3. Dans la section Informations de port, entrez l’adresse IP, le masque
réseau, la passerelle et les informations relatives à la vitesse de liaison
du port externe du système IVE. En règle générale, vous devez utiliser
les paramètres de la page Port interne > puis remplacer les informations
du port interne par une adresse IP, un masque réseau et une passerelle
locaux.
4. Dans le champ Délai de ping ARP, définissez le délai d’attente maximal
du système IVE pour répondre aux demandes ARP (Address Resolution
Protocol) avant la déconnexion. Les Système IVE mis en cluster envoient
des demandes ARP1 aux passerelles d’autres Système IVE afin de
déterminer s’ils communiquent correctement entre eux.
Remarque : Si vos systèmes IVE sont mis en cluster, le délai d’attente
spécifié est synchronisé à l’échelle du cluster. Néanmoins, pour les clusters
multisites, vous pouvez supplanter ce paramètre pour chaque nœud de
cluster à l’aide des options de la page Système > Mise en cluster. Si le
système IVE n’est pas exécuté dans un environnement mis en cluster, il
n’utilise pas ce paramètre.
5. Dans le champ MTU, spécifiez une unitémaximale de transmission pour
l’interface externe du système IVE.
Remarque : Il est conseillé d’utiliser le paramètre par défaut (1500), à moins
que vous n’ayez à modifier ce paramètre pour des raisons de dépannage.
1. Le système IVE effectue deux demandes ARP, l’une sur la passerelle du port interne et l’autre sur celle du
port externe, lorsqu’il essaie d’établir une communication dans le cluster.

185
Figure 43 : Système > Réseau > Port externe > Paramètres
Onglet Port externe > Ports virtuels
5
Création de ports virtuels sur l’interface externe
Les paramètres de cet onglet vous permettent de créer des ports virtuels
pour des utilisateurs tels que les clients et les partenaires ouvrant une
session IVE à partir d’un réseau externe, comme l’explique la section
« Onglet Port interne > Ports virtuels », page 180.
Pour créer un port virtuel sur un système IVE autonome :
Ports virtuels.
3. Entrez un nom unique pour le port virtuel.
4. Entrez un alias IP unique à lui associer. N’utilisez pas une adresse IP
déjà associée à un autre port virtuel. Notez que si vous n’entrez pas
d’adresse IP, le système IVE n’active pas le port virtuel.
6. Utilisez les paramètres de l’onglet Système > Configuration >
Certificats > Certificats de serveur pour associer le port virtuel à un
certificat de serveur (page 157).
186

Pour créer un port virtuel sur un nœud de cluster :
Ports virtuels.
2. Dans la liste déroulante Paramètres de, sélectionnez Cluster entier
4. Entrez un nom unique pour le port virtuel puis cliquez sur Enregistrer
les modifications. Le système IVE ajoute le nom du port virtuel à la
liste des Ports virtuels et permet l’accès à chaque nœud du cluster.
5. Cliquez sur le lien d’un nœud pour accéder à la page de configuration de
l’adresse IP. Entrez un alias IP unique à lui associer. N’utilisez pas une
adresse IP déjà associée à un autre port virtuel. Notez que si vous
n’entrez pas d’adresse IP, le système IVE n’active pas le port virtuel.
6. Cliquez sur Enregistrer les modifications. La page Ports virtuels
renvoie à l’onglet du port virtuel. Si nécessaire, sélectionnez à nouveau
Cluster entier dans la liste déroulante Paramètres de, puis répétez
l’étape 5.
Figure 44 : Système > Réseau > Port externe > Ports virtuels
Onglet Port externe > Trajets statiques
5
Définition de trajets statiques pour le trafic réseau du port externe
L’onglet Trajets statiques sert à ajouter des entrées à la table de routage.
Notez que toutes les demandes de connexion aux ressources internes
s’effectuent depuis le système IVE, indépendamment des paramètres de
trajet. Les paramètres de trajet du port externe ne sont employés que pour
l’acheminement de paquets associés aux connexions lancées par un client
distant. Pour plus d’informations, reportez-vous à la section « Onglet Port
externe > Paramètres », page 184.

187
Pour définir des trajets statiques :
Trajets statiques.
2. Entrez les informations requises puis cliquez sur Ajouter.
Onglet Port externe > Cache ARP
La mise en cache ARP vous permet de déterminer l’adresse physique (MAC)
d’un périphérique en réseau, tel qu’un routeur ou un serveur d’applications
dorsales, qui se connecte au système IVE. Utilisez l’onglet Cache ARP pour
gérer les types d’entrées ARP (Address Resolution Protocol) suivants :
• Entrées statiques
Vous pouvez ajouter une entrée ARP statique au cache associé aux
adresses IP et MAC. Le système IVE stocke les entrées statiques pendant
la réinitialisation et les active de nouveau après cette opération. Les
entrées statiques sont toujours présentes sur le système IVE.
• Entrées dynamiques
Le réseau « apprend à reconnaître » les entrées ARP dynamiques au
cours d’une utilisation et d’une interaction normales avec d’autres
périphériques réseau. Le système IVE met en cache les entrées
dynamiques pendant 20 minutes au maximum et les supprime à
l’occasion d’une réinitialisation (ou lorsque vous les supprimez
manuellement).
Vous pouvez consulter les entrées dynamiques et statiques du cache ARP et
les en supprimer, ainsi qu’y ajouter des entrées statiques. Si vous possédez
des systèmes IVE mis en cluster, notez que les informations du cache ARP
sont spécifiques au nœud.
5
Ajout d’une entrée statique
Pour ajouter une entrée statique :
Cache ARP.
2. Entrez l’adresse IP et l’adresse physique dans leurs champs respectifs,
en haut du tableau.
Remarque : Notez que si vous ajoutez une entrée contenant une adresse IP
existante, le système IVE remplace l’entrée existante par votre nouvelle
entrée. Notez également que le système IVE ne vérifie pas la validité des
adresses MAC.
3. Cliquez sur Ajouter.
188

Onglet Hôtes
5
Permet de définir les Noms d’hôtes que le système IVE résoudra localement.
L’onglet Hôtes permet de définir les noms d’hôtes que le système IVE
pourra résoudre localement sur des adresses IP. Cette fonctionnalité peut
être utile si :
• votre serveur DNS n’est pas accessible au système IVE ;
• vous employez WINS pour accéder aux serveurs du LAN ;
• La stratégie de sécurité de votre entreprise ne permet pas de dresser la
liste des serveurs internes sur un DNS externe ou exige que les noms
d’hôtes internes soient masqués.
Si vous entrez des correspondances de noms d’hôtes dans l’onglet
Système > Paramètres réseau > Hôtes d’un cluster, ces paramètres
sont transmis aux autres nœuds.
Pour définir les noms d’hôtes que le système IVE résoudra
localement :
1. Dans la Console Web, sélectionnez l’onglet Système > Réseau >
Hôtes.
2. Entrez une adresse IP, une liste, délimitée par des virgules, des Noms
d’hôtes qui sont résolus sur l’adresse IP et un commentaire (facultatif)
de 200 mots au maximum, puis cliquez sur Ajouter.
Figure 45 : Système > Réseau > Hôtes
Onglet Network Connect
Utilisez l’onglet Network Connect pour définir des filtres IP que le système
IVE appliquera aux pools IP de Network Connect. Pour plus d’informations,
reportez-vous à la section « Présentation de Network Connect », page 95.

189
Figure 46 :
5
Système > Réseau > Network Connect
Téléchargement du programme d’installation de Network Connect
Pour télécharger l’application Network Connect sous la forme d’un fichier
exécutable Windows, accédez à Maintenance > Système > Programmes
d’installation. Reportez-vous à la section « Téléchargement d’une
application ou d’un service », page 453 pour plus d’informations.
5
Définition des filtres IP que le système IVE doit appliquer aux pools IP de Network
Connect
Les nœuds d’un cluster partagent les informations de configuration, ce qui
signifie que les systèmes IVE de différents réseaux partagent un pool IP.
Comme tout nœud IVE peut recevoir du client une demande de démarrage
de session Network Connect, vous devez définir un filtre IP pour ce nœud
qui filtre uniquement les adresses réseau qui sont disponibles pour ce
nœud. Lorsque le nœud de cluster reçoit une demande de création de
session Network Connect, il attribue les deux adresses IP à la session
provenant du pool IP filtré.
Pour ajouter une adresse IP à la liste de filtres de Network Connect :
1. Dans la Console Web, sélectionnez Système > Réseau > Network
Connect.
2. Définissez une combinaison d’adresse IP/de masque de réseau puis
cliquez sur Ajouter. Le système IVE applique les filtres définis sur cette
page aux stratégies de ressources de pool IP de Network Connect qui
s’appliquent à la demande d’un utilisateur.
190

Figure 47 : Système > Réseau > Network Connect

191
192

Configuration de la page Mise en grappes
Avant de créer une grappe, assurez-vous que tous les nœuds IVE souhaités
se trouvent sur la même plate-forme matérielle (par exemple, toutes les
machines Access Series 3000) et exécutent la même version du fichier de
service. Si vous avez acheté le Juniper Networks NetScreen-SA Central
Manager, vous pouvez créer une grappe à l’aide du système IVE exécutant
la dernière version du système d’exploitation, puis ajouter des nœuds
supplémentaires à l’aide de la fonctionnalité « mise à niveau et jonction ».
Lorsque vous ajoutez un nœud à une grappe à l’aide de cette fonction, le
premier nœud IVE met à jour le nœud de la jonction avec le fichier de
service le plus récent. Cette fonctionnalité ne fonctionne que lorsque tous
les systèmes IVE IVE exécutent la version 4.0 ou ultérieure du système
d’exploitation.
Reportez-vous à la section « Présentation générale de la mise en cluster »,
page 61 pour plus d’informations.
Important : Il est conseillé de tout d’abord déployer une grappe dans un environnement de test et de ne passer à l’environnement de production qu’après avoir testé les
configurations de votre domaine d’authentification, de votre rôle utilisateur et des stratégies de ressources, de même que toutes les applications que vos utilisateurs finaux
peuvent utiliser.
Si un système IVE n’appartient à une grappe, sa page Système > Mise en
grappes contient ces deux onglets :
Onglet Créer ......................................................................................... 194
Onglet Ajouter ...................................................................................... 196
Les onglets Créer1 et Ajouter vous permettent d’effectuer les opérations
suivantes :
Définition et initialisation d’une grappe ................................................. 194
Ajout d’un système IVE à une grappe par le biais de sa Console Web......196
Remarque : Pour d’informations sur l’ajout d’un système IVE non initialisé sur
une grappe, reportez-vous à « Entrée d’un système IVE dans une grappe au
moyen de sa console série », page 206.
Si un système IVE appartient à une grappe, sa page Système > Mise en
grappes contient les deux onglets suivants :
Onglet État............................................................................................ 199
Onglet Propriétés ................................................................................. 204
Les onglets Etat et Propriétés vous permettent d’effectuer les opérations
suivantes :
de la grappe ..................................................................................................201
1. L’onglet Créer n’apparaît pas sur un système IVE sans licence de grappe.

193
des autres paramètres de la grappe.........................................................204
Onglet Créer
L’onglet Créer vous permet de définir et d’initialiser une grappe. La
définition d’une grappe consiste à définir un nom de grappe et un mot
de passe, de même qu’un nom pour le premier membre de la grappe.
Après avoir créé la grappe, l’onglet Créer est remplacé par un onglet Etat.
Utilisez cet onglet pour définir d’autres systèmes IVE à ajouter à la grappe.
Ensuite, ajoutez ces systèmes IVE à la grappe par l’intermédiaire de l’onglet
Mise en grappes > Ajouter de chaque système IVE. (Si vous souhaitez
ajouter un système IVE non initialisé à une grappe, reportez-vous à
« Entrée d’un système IVE dans une grappe au moyen de sa console
série », page 206.)
Remarque : Vous ne pouvez pas créer de grappe, à moins que vous ayez entré
une licence de grappe.
5
Définition et initialisation d’une grappe
Si vous exécutez des systèmes IVE autonomes à mettre en grappe, il
est conseillé de commencer par configurer des paramètres système et
utilisateur sur un seul ordinateur avant de créer une grappe. Employez
ensuite ce même ordinateur pour créer la grappe. Cet ordinateur sera
intégré à la grappe au cours de sa création. Lorsque d’autres systèmes
IVE rejoignent la grappe, cet ordinateur propage sa configuration sur le
nouveau membre de la grappe.
Pour définir et initialiser une grappe :
1. Configurez un système IVE à l’aide des données appropriés du système,
d’utilisateur, de ressources et d’application.
2. Sur la Console Web du système IVE configuré, sélectionnez l’onglet
Système > Configuration > Licence, puis entrez votre code de licence
pour activer la fonction de mise en grappes et l’onglet Mise en grappes >
Créer.
3. Sélectionnez Système > Mise en grappes > Créer, entrez un nom pour la
grappe, un mot de passe de la grappe et un nom pour cet ordinateur tel
que ive-1.
Remarque : Vous devrez entrer de nouveau ce mot de passe lors de la configuration d’autres systèmes IVE qui feront partie de la grappe. Tous les ordinateurs de la grappe emploieront ce mot de passe pour communiquer.
4. Cliquez sur Créer la grappe. Lorsque vous êtes invité à confirmer la
création de la grappe, cliquez sur Créer. Lorsque le système IVE
initialise la grappe, la page Mise en grappes affiche les onglets État et
Propriétés. Utilisez l’onglet Etat pour spécifier d’autres membres de la
grappe (page 199) avant d’essayer d’ajouter un autre système IVE à la
nouvelle grappe.
194

Figure 48 : Système > Mise en grappes > Créer — Page initiale
Figure 49 : Système > Mise en grappes > Etat — Après la création d’une grappe
Cette illustration présente la page Mise en grappes après la création d’une grappe.
L’ordinateur sur lequel vous définissez la grappe en devient le premier membre.

195
Onglet Ajouter
Utilisez l’onglet Ajouter pour ajouter un système IVE à une grappe
existante. La manière dont vous ajoutez un système IVE à une grappe
dépend du fait de savoir si le système IVE est configuré ou non initialisé
(avec ses réglages d’usine). Dans un système IVE réglé en usine, il est
conseillé d’utiliser la console série (page 206), car cette procédure n’exige
que la saisie d’un minimum d’informations pour permettre à l’ordinateur de
faire partie de la grappe.
Dans un environnement Access Series FIPS, vous devez utiliser la Console Web
pour ajouter un système IVE à une grappe. Vous devez également avoir un
accès physique :
• Les modules cryptographiques installés dans les panneaux avant des
Système IVE des membres de la grappe
• Un lecteur de carte à puce
• à une carte administrateur pré-initialisée à l’environnement sécurisé du
membre actif de la grappe
5
Ajout d’un système IVE à une grappe par le biais de sa Console Web
Avant d’ajouter un système IVE à une grappe (soit par le biais de la console
web ou de la console série), vous devez faire connaître son identité à la
grappe. Pour spécifier un système IVE que vous souhaitez ajouter à une
grappe, reportez-vous à « Indiquez un système IVE à ajouter à une grappe »,
page 199. Remarquez que si un système IVE ne possède pas de licence de
grappe, il ne possède qu’un onglet Mise en grappes > Ajouter.
Important : Si vous voulez ajouter à une grappe un système IVE fonctionnant
actuellement en mode autonome par l’intermédiaire de sa Console Web, il doit
exécuter un fichier de service d’une version identique ou antérieure sur la même
plate-forme matérielle que les autres membres.
Pour ajouter un système IVE à une grappe par le biais de sa
Console Web :
1. Dans la Console Web d’un membre actif de la grappe, cliquez sur l’onglet
Réseau > Mise en grappes > Etat, puis spécifiez le système IVE à
ajouter à la grappe. Reportez-vous à la section « Indiquez un système
IVE à ajouter à une grappe », page 199.
2. Sur la Console Web du système IVE à ajouter à une grappe :
1
Sélectionnez l’onglet Système > Configuration > Licence et entrez la
licence afin d’activer la fonction de mise en grappes.
2
Choisissez l’onglet Système > Mise en grappes > Ajouter et entrez :
•
nom de la grappe dans laquelle vous voulez entrer ;
•
mot de passe de la grappe, défini lors de la création de cette
dernière ;
•
adresse IP d’un membre actif de la grappe.
3. Cliquez sur Entrer dans la grappe. Lorsque vous êtes invité à confirmer
l’ajout à la grappe, cliquez sur Ajouter. Lorsque le système IVE entre
dans la grappe, il se peut que vous deviez vous ré-identifier.
196

4. (Environnements Access Series FIPS uniquement) Initialiser le nœud à
l’environnement sécurisé d’un membre actif de la grappe à l’aide des
instructions ci-après.
Pour initialiser l’environnement sécurisé d’un membre d’une grappe
FIPS via la console série :
1. Branchez le lecteur de carte à puce dans le port du lecteur du module
cryptographique sur le panneau avant du système IVE.
2. Insérez une carte administrateur pré-initialisée à l’environnement
sécurisé du membre actif de la grappe dans le lecteur de carte à puce,
les contacts se faisant face.
3. Réglez le commutateur de mode du module cryptographique O (mode
de fonctionnement) s’il n’est pas déjà sur cette position.
4. Connectez-vous à la console série de l’appareil. Pour plus
d’informations, reportez-vous à la section « Annexe A : », page 489.
5. Mettez l’appareil hors tension puis sous tension et surveillez sa console
série. Quand le logiciel système démarre, un message vous informera
que l’appareil va être amorcé comme système IVE autonome, et que
vous pouvez appuyer sur Tab pour accéder aux options de mise en
grappes. Dès que ce message s’affiche, appuyez sur la touche Tab.
Remarque : Vous n’avez que cinq secondes pour appuyer sur Tab. Si l’appareil commence son amorçage en mode autonome, attendez que l’opération se
termine puis redémarrez-le.
6. Entrez le nombre destiné à entrer dans la grappe existante.
7. Entrez les informations d’initialisation qui vous sont demandées.
Remarque : Lorsque vous avez initialisez des membres d’une grappe Access
Series FIPS avec le même environnement de sécurité, il se peut que vous deviez
désactiver et réactiver la grappe par le biais de la Console Web. Vous n’êtes plus
obligé d’utiliser la console série une fois que les membres de la grappe sont tous
membres du même environnement sécurisé.
Figure 50 : Système > Mise en grappes > Ajouter — Entrée dans une grappe
Ce système IVE (ive-2) ne possède pas la même licence que ive-1, le membre d’origine de la
grappe, ce qui est reflété par l’autre interface utilisateur.

197
Figure 51 : Système > Mise en grappes > Etat — Redémarrage des services sur le
nouveau membre de la grappe
Si le nouveau nœud synchronise son état avec le membre de la grappe existant, l’état de
chaque nœud indique « Activé » ou « Activé, en transition ».
Figure 52 : Système > Mise en grappes > Etat — Après la transition du nœud
Lorsque le nouveau nœud est entrée dans la grappe, sa page Mise en grappes affiche les
onglets Etat et Propriétés. Les données d’état du membre d’origine de la grappe, y compris
les données du système, de l’utilisateur et de la licence, existent sur le nouveau membre de
la grappe. Dans cet exemple, la coloration de l’interface utilisateur du membre d’origine se
reflète sur le nouveau nœud.
198

Onglet État
L’onglet Etat vous permet d’effectuer les opérations suivantes :
de la grappe ..................................................................................................201
Le Tableau 1, page 202 décrit les information affichées sur l’onglet Etat
ainsi que les diverses tâches de gestion que vous pouvez effectuer, y
compris la désactivation, l’activation et la suppression d’un nœud IVE
d’une grappe.
5
Indiquez un système IVE à ajouter à une grappe
Avant qu’un système IVE puisse entrer dans une grappe, vous devez
spécifier son identité réseau sur un membre actif de la grappe.
Pour définir un système IVE que vous voulez ajouter à une grappe
existante :
1. Sur la Console Web d’un membre actif de la grappe, sélectionnez
l’onglet Système > Mise en grappes > Etat.
2. Cliquez sur Ajouter un membre pour indiquer un système IVE qui
viendra s’ajouter à la grappe.
1
Entrez le nom du membre.
2
Entrez l’adresse IP interne de l’ordinateur.
3
Entrez l’adresse IP externe de l’ordinateur si nécessaire. Notez que le
champ Adresse IP externe ne s’affiche pas si vous n’avez pas activé le
port externe dans l’onglet Système > Réseau > Port externe.
4
Modifiez les paramètres du masque de réseau et de la passerelle pour le
nœud si nécessaire.
5
Cliquez sur Ajouter un nœud.
6
Lorsque vous êtes invité à confirmer l’ajout du nouveau membre, cliquez
sur Ajouter.
7
Répétez l’opération pour chaque système IVE que vous voulez ajouter à
une grappe.

199
Figure 53 : Système > Mise en grappes > Etat — Définition d’un système IVE à
ajouter à une grappe
Figure 54 : Système > Mise en grappes > Etat — Après la définition d’un nouveau
membre
5
Gestion des paramètres réseau pour les nœuds de la grappe
Pour modifier les paramètres réseau pour une grappe ou pour chaque nœud
individuel d’une grappe, vous devez utiliser les pages Système > Réseau.
Une fois une grappe créée, ces pages proposent une liste déroulante à
partir de laquelle vous pouvez sélectionner l’ensemble de la grappe ou un
nœud spécifique à modifier. Lorsque vous enregistrez les modifications sur
une page Réseau, les paramètres sont sauvegardés pour la grappe ou
le nœud de grappe spécifié. Si vous modifiez les paramètres réseau de
l’ensemble de la grappe, ils se propagent à chaque nœud de la grappe.
Remarque : Vous pouvez accéder à une page Réseau spécifique au nœud en
cliquant sur le nom du nœud dans la colonne Nom du membre de l’onglet Mise
en grappes > Etat.
200

Figure 55 : Pages Système > Réseau
5
Désactivation des nœuds pour mettre à niveau le fichier de service de la grappe
Si vous avez acheté Juniper Networks NetScreen-SA Central Manager, il vous
suffit d’installer un fichier de service plus récent sur un nœud de la grappe.
Lorsque le processus d’installation se termine et que le nœud de la grappe
se réamorce, il indique aux autres nœuds qu’ils doivent se mettre à niveau.
Reportez-vous à « Installation d’un fichier de service logiciel Juniper »,
page 450 pour plus d’informations sur l’installation d’un fichier de service.
Si vous n’exécutez pas Juniper Networks NetScreen-SA Central Manager,
vous devez désactiver manuellement un nœud, mettre son fichier de service
à niveau, puis activer le nœud une fois le processus de mise à niveau terminé.
Important : Vous ne pouvez pas ramener les membres de la grappe à des versions du
fichier de service antérieures à celle actuellement installée. Vous pouvez renvoyer
chaque membre de la grappe à son état précédent, avant son intégration à la grappe, en
commençant par désactiver chaque nœud de la grappe, puis en exécutant la fonction de
retour en arrière de la manière décrite dans l’« Annexe A : », page 489.
Désactivation des nœuds pour mettre à niveau un fichier de service
de la grappe :
1. Connectez-vous à la Console Web du nœud que vous voulez mettre
à jour.
2. Choisissez Mise en grappes > Etat, cochez la case située en regard
du nom du nœud, puis cliquez sur Désactiver.
3. Suivez les instructions d’installation du fichier de service dans « Installation
d’un fichier de service logiciel Juniper », page 450.
4. Revenez à Mise en grappes > Etat, cochez la case située en regard du
nom du nœud, puis cliquez sur Activer.

201
Tableau 1 : Onglet Mise en grappes > État
Élément d’interface
utilisateur
202

Description
Bouton Ajouter un
membre
Cliquez sur ce bouton pour indiquer un système IVE qui
viendra s’ajouter à la grappe. Vous devez effectuer cette
opération pour chaque système IVE que vous comptez
ajouter à la grappe.
Bouton Activer
Cliquez sur ce bouton pour activer un nœud précédemment
désactivé. Lorsque vous réactivez un nœud, toutes les
informations d’état sont synchronisées sur ce dernier.
Bouton Désactiver
Cliquez sur ce bouton pour désactiver un nœud et
l’empêcher de participer à la grappe. Le nœud conserve
l’attention de la grappe, mais ne participe pas aux
synchronisations de l’état et ne reçoit pas de requêtes
des utilisateurs, à moins que les membres se connectent
directement à ce nœud.
Bouton Supprimer
Cliquez sur ce bouton pour supprimer le ou les nœuds
sélectionnés de la grappe. Après sa suppression, le nœud
fonctionne en mode autonome.
Colonne Nom du
membre
Présente la liste de tous les nœuds appartenant à la grappe.
Vous pouvez cliquer sur le nom d’un nœud pour modifier
son nom et ses paramètres réseau.
Colonne Adresse IP
interne
Affiche l’adresse IP interne du membre de la grappe à l’aide
de la notation CIDR (Classless Inter Domain Routing).
Colonne Adresse IP
externe
Affiche l’adresse IP externe du membre de la grappe à l’aide
de la notation CIDR (Classless Inter Domain Routing).
Notez que cette colonne ne présente que l’adresse IP
externe du dirigeant de la grappe, sauf si vous définissez
une adresse différente pour le nœud sur sa page de
paramètres réseau, accessible par un clic sur son nom dans
la colonne Nom du membre. Si vous modifiez l’adresse
IP externe sur la page Réseau > Paramètres réseau,
cette modification s’applique à tous les nœuds de la grappe.
Tableau 1 : Onglet Mise en grappes > État suite
Élément d’interface
utilisateur
Colonne État
Description
Indique l’état dans lequel le nœud se trouve :
• feu vert/activé : traite les demandes des utilisateurs
et participe à la synchronisation de la grappe.
• feu orange/en transition : adhésion à la grappe en
cours
• feu rouge/désactivé : ne traite pas les demandes
des utilisateurs et ne participe pas à la synchronisation
de la grappe.
Remarque : L’état d’un nœud est considéré comme
« autonome » s’il est déployé en dehors d’une grappe
ou s’il est supprimé d’une grappe.
Colonne Notes
Présente l’état de la connexion du nœud à la grappe.
Cet état peut être l’un des suivants :
• OK : le nœud participe activement à la grappe.
• Transition : le nœud passe du mode autonome au
mode activé.
• Injoignable : le nœud n’a pas conscience de la présence
de la grappe. Un membre de la grappe peut être
« injoignable » même s’il est en ligne et peut faire
l’objet d’une commande ping. Les motifs possibles
sont notamment les suivants : son mot de passe n’est
pas correct, il ne connaît pas l’existence de tous les
nœuds de la grappe, il est configuré avec un mode de
communication de groupe différent, il exécute une
autre version de fichier de service ou l’ordinateur est
désactivé.
Colonne Sync Rank
Indique l’ordre dans lequel les nœuds de la grappe doivent
être synchronisés.
Remarque : cette option n’est disponible qu’avec une
licence Central Manager.

203
Onglet Propriétés
L’onglet Propriétés vous permet d’effectuer les opérations suivantes :
des autres paramètres de la grappe..................................................... 204
5
Définition des paramètres actif/passif, des paramètres actif/actif et des autres
paramètres de la grappe
L’onglet Propriétés vous permet de modifier le nom d’une grappe, de
définir dans quelle configuration exécuter une grappe (actif/passif ou
actif/actif), de spécifier les paramètres de synchronisation et de contrôle
d’état ou de supprimer une grappe.
Pour modifier les propriétés d’une grappe :
1. Sur la Console Web d’un membre actif de la grappe, choisissez l’onglet
Système > Mise en grappes > Propriétés.
2. Modifiez le champ Nom de la grappe pour modifier le nom de la grappe
(facultatif).
3. Sous Paramètres de configuration, sélectionnez :
•
Actif/Passif pour exécuter une paire de grappes en mode actif/passif.
Ensuite, définissez une adresse VIP (adresse IP virtuelle) et une
adresse VIP externe si le port externe est activé.
Remarque : Pour exécuter une grappe à deux éléments en mode
actif/passif, le système IVE doit se trouver sur le même sous-réseau.
•
Actif/Actif pour exécuter une grappe de deux ou plusieurs nœuds
en mode actif/actif à l’aide d’un système externe d’équilibrage de
la charge.
Remarque : Pour modifier une grappe actif/passif à deux éléments en une
grappe actif/actif avec plus de deux nœuds, commencez par modifier la
configuration de la grappe à deux éléments en actif/actif, puis ajoutez les
nœuds supplémentaires.
4. Sous Paramètres de synchronisation, sélectionnez :
•
un protocole de synchronisation à utiliser lorsque vous synchroniser
les données entre les nœuds (voir « Synchronisation d’état », page 65
pour obtenir une description des paramètres de synchronisation) ;
•
le type de données à synchroniser, y compris les messages du journal
et les données utilisateur.
5. Sous Paramètres de contrôle d’état, indiquez le nombre d’échecs
ping ARP autorisés avant que l’interface interne du système IVE soit
désactivé et décidez s’il convient de désactiver l’interface externe du
système IVE si l’interface interne échoue.
204

5
Suppression d’une grappe
Si vous supprimez une grappe, tous les nœuds commencent à tourner en
tant que systèmes IVE autonomes.
Pour supprimer une grappe :
1. Sur la Console Web d’un membre active de la grappe, choisissez l’onglet
Système > Mise en grappes > Propriétés.
2. Choisissez la commande Supprimer la grappe. Au terme de cette
opération, tous les nœuds de la grappe commencent à fonctionner
sous la forme de systèmes IVE autonomes.
Figure 56 : Système > Mise en grappes > Propriétés

205
Procédure de la console série
Vous pouvez ajouter un système IVE à une grappe par le biais de sa console
série, sauf lorsque vous exécutez un environnement Access Series FIPS, ce
qui nécessite d’ajouter chaque système IVE par le biais de la Console Web.
Si vous ajoutez un système IVE réglé en usine à une grappe, nous vous
conseillons d’utiliser la console série. Celle-ci vous permettra d’ajouter une
grappe existante pendant le processus d’initialisation en entrant un nombre
d’informations minimum. Lorsqu’un système IVE entre dans une grappe, il
reçoit les paramètres d’état de la grappe ce qui écrase tous les paramètres
sur un ordinateur avec une configuration existante et fournit aux nouvelles
machines les informations préliminaires requises.
5
Entrée d’un système IVE dans une grappe au moyen de sa console série
Avant de pouvoir ajouter un système IVE configuré ou réglé en usine à
une grappe, vous devez porter son identité à la connaissance de la grappe.
Pour spécifier un système IVE que vous souhaitez ajouter à une grappe,
reportez-vous à « Indiquez un système IVE à ajouter à une grappe »,
page 199.
Important : Si vous voulez ajouter à une grappe un système IVE fonctionnant
actuellement en mode autonome par l’intermédiaire de sa Console Web, il doit
exécuter un fichier de service d’une version identique ou antérieure sur la même
plate-forme matérielle que les autres membres.
Pour ajouter un système IVE à une grappe par le biais de sa
console série :
1. Sur la Console Web d’un membre existant de la grappe, choisissez
l’onglet Système > Mise en grappes > Etat et spécifiez le système IVE à
ajouter à la grappe. Reportez-vous à la section « Indiquez un système
IVE à ajouter à une grappe », page 199.
2. Connectez-vous à la console série de l’ordinateur à ajouter à la grappe.
Pour plus d’informations, reportez-vous à la section « Annexe A : »,
page 489.
3. Mettez l’appareil hors tension puis sous tension et surveillez sa console
série. Quand le logiciel système démarre, un message vous informera
que l’appareil va être amorcé comme système IVE autonome, et que
vous pouvez appuyer sur Tab pour accéder aux options de mise en
grappes. Dès que ce message s’affiche, appuyez sur la touche Tab.
Remarque : Vous n’avez que cinq secondes pour appuyer sur Tab. Si l’appareil
commence son amorçage en mode autonome, attendez que l’opération se
termine puis redémarrez-le.
206

Figure 57 : Console série — Option d’entrée dans la grappe
4. Entrez le nombre destiné à entrer dans une grappe existante.
5. Entrez les informations demandées, à savoir :
•
l’adresse IP interne d’un membre actif de la grappe ;
•
le mot de passe de la grappe, que vous avez entré lors de la
définition de la grappe ;
•
le nom de l’ordinateur que vous voulez ajoute (dans cet exemple,
il s’agit deive-2) ;
•
l’adresse IP interne de l’ordinateur que vous voulez ajouter ;
•
le masque réseau de l’ordinateur que vous voulez ajouter ;
•
la passerelle de l’ordinateur que vous voulez ajouter.
Le membre actif de la grappe vérifie le mot de passe de la grappe et
s’assure que le nom et l’adresse IP du nouvel ordinateur correspondent
à ceux spécifiés dans la Console Web, sur la page Système > Mise
en grappes > Ajout d’un membre à la grappe. Si les données
d’identification sont valides, le membre actif copie toutes ses données
d’état sur le nouveau membre de la grappe, et notamment les données
de licence, de certificat, d’utilisateur et de système.

207
Figure 58 : Console série : définition du nouveau membre de la grappe
Figure 59 : Console série : confirmation de l’entrée dans la grappe
6. Entrez le nombre pour continuer l’opération d’entrée dans la grappe
existante. Lorsque vous voyez apparaître le message confirmant que
l’ordinateur est entré dans la grappe, vérifiez l’onglet Système > Mise
en grappes > Etat d’un membre actif de la grappe afin de vous assurer
que l’état du nouveau membre est un feu vert, ce qui indique que le
système IVE est un nœud actif de la grappe.
208

Configuration de la page Surveillance des journaux
La page Système > Surveillance des journaux contient les onglets
suivants :
Onglet Événements, Accès des utilisateurs et Accès des
administrateurs ................................................................................. 209
Onglet SNMP ....................................................................................... 217
Onglet Statistiques................................................................................ 221
Les onglets de la page Système > Surveillance des journaux permettent
d’effectuer les actions suivantes :
Enregistrement, visualisation ou effacement du fichier journal ............ 210
Choix des événements à enregistrer dans le fichier journal................. 212
Création de filtres et des formats personnalisés pour les fichiers
journaux ............................................................................................ 216
Surveillance du système IVE comme agent SNMP.............................. 217
Permet d’afficher les statistiques relatives au système ........................ 221
Pour plus d’informations sur les journaux IVE et les fonctionnalités de
surveillance, reportez-vous à la section « Enregistrement et Contrôle :
présentation », page 91.
Onglet Événements, Accès des utilisateurs et Accès des administrateurs
Les pages Système > Journaux/Surveillance > Événements, Accès des
utilisateurs et Accès des administrateurs permettent de filtrer et de
mettre en forme le journal des événements (qui contient les événements
du système), le journal d’accès des utilisateurs (qui contient les demandes
et les modifications des utilisateurs finaux) et le journal d’accès des
administrateurs (qui contient les modifications des administrateurs).
Les pages Événements, Accès des utilisateurs et Accès des
administrateurs comprennent toutes les onglets suivants :
Onglet Journal ...................................................................................... 210
Onglet Paramètres ............................................................................... 212
Onglet Filtres ........................................................................................ 216
Remarque : Les journaux des événements, des accès des utilisateurs et des
accès des administrateurs sont trois fichiers distincts. Bien que les instructions de
configuration de base soient identiques pour chacun d’eux, la modification des
paramètres d’un des fichiers n’influe pas sur ceux des autres. Pour plus
d’informations sur le contenu de chaque fichier, reportez-vous à la section
« Enregistrement et Contrôle : présentation », page 91.

209
Onglet Journal
5
Enregistrement, visualisation ou effacement du fichier journal
Pour enregistrer, visualiser ou effacer le fichier journal des
événements :
1. Dans la Console Web, choisissez Système > Journal/Surveillance.
2. Cliquez sur l’onglet Événements, Accès des utilisateurs ou Accès des
administrateurs, puis choisissez Journal.
3. (Central Manager uniquement) Dans la liste Afficher par filtre,
choisissez le filtre personnalisé que le système IVE doit utiliser pour
filtrer les données.
4. Entrez un nombre dans la zone Afficher, puis cliquez sur Mettre à jour
si vous voulez modifier le nombre d’entrées de journal affichées en une
fois par le système IVE.
5. Pour enregistrer manuellement le fichier journal, cliquez sur Enregistrer
le journal sous, accédez à l’emplacement désiré sur le réseau, entrez
un nom de fichier puis cliquez sur Enregistrer.
6. Pour effacer le journal local et le fichier log.old, cliquez sur Effacer
le journal.
Remarque : L’effacement du journal local n’influe pas sur les événements
enregistrés par le serveur syslog. Les événements ultérieurs seront enregistrés dans un nouveau fichier journal local.
210

Figure 60 : Système > Journal/Surveillance > Journal d’accès des utilisateurs >
Journal

211
Onglet Paramètres
5
Choix des événements à enregistrer dans le fichier journal
Les options de l’onglet Paramètres permettent de déterminer ce que le
système IVE enregistre dans le fichier journal, quels serveurs syslog il
emploie pour stocker les fichiers journaux et la taille maximale des fichiers.
Remarque : Vous pouvez également utiliser la page Archivage pour enregistrer
automatiquement les journaux à un emplacement accessible par FTP. Pour plus
d’informations, reportez-vous à la section « Configuration de la page Archivage »,
page 467.
Pour définir les paramètres du journal des événements :
administrateurs, puis choisissez Paramètres.
3. Dans la liste Taille max du journal, entrez la taille maximale du fichier
du journal local. La limite est fixée à 500 Mo. Le journal système
affichera des données jusqu’à ce que la taille indiquée soit atteinte.
Remarque : Taille max du journal est un paramètre interne qui correspond
le plus précisément à la taille des journaux mis en forme selon le format
Standard. Si vous choisissez un format plus détaillé tel que WELF, il se peut
que la taille des fichiers journaux dépasse la limite définie ici.
4. Dans la zone Sélectionner les événements à enregistrer, activez les
cases à cocher correspondant à chaque type d’événement que vous
voulez consigner dans le fichier journal local.
Remarque : Si vous désactivez la case à cocher Statistiques de l’onglet
Événements, le système IVE ne consigne pas les statistiques dans le fichier
journal, mais il continue à les afficher dans l’onglet Système > Journal/
Surveillance > Statistiques (page 221).
5. Dans la section Serveurs syslog, entrez des informations sur les
serveurs syslog où vous voulez stocker vos fichiers journaux (facultatif).
1
Définissez le nom ou l’adresse IP du serveur syslog.
2
Entrez l’infrastructure du serveur. Le système IVE comprend 8
infrastructures (LOCAL0 à LOCAL7) que vous pouvez faire
correspondre à des infrastructures de votre serveur syslog.
3
(Central Manager uniquement) Choisissez le filtre à appliquer au
fichier journal.
4
Cliquez sur Ajouter.
5
Répétez éventuellement l’opération pour plusieurs serveurs en
employant des formats et filtres différents pour des serveurs et des
infrastructures différents.
Important : Assurez-vous que votre serveur syslog accepte les messages à
l’aide des paramètres suivants : facility = LOG_USER et level = LOG_INFO.
212

Figure 61 : Système > Journal/Surveillance > Journal des événements >
Paramètres

213
Figure 62 : Système > Journal/Surveillance > Journal d’accès des utilisateurs >
Paramètres
214

Figure 63 : Système > Journal/Surveillance > Journal d’accès des administrateurs >
Paramètres

215
Onglet Filtres
Les contrôles de l’onglet Filtres permettent de créer des filtres de journaux
personnalisés ainsi que de modifier ou de supprimer le jeu de filtres
prédéfinis :
5
•
Standard (par défaut) : ce filtre de journal met en forme la date,
l’heure, le nœud, l’adresse IP source, les utilisateurs, le royaume,
l’ID d’événement IVE et le message du journal.
•
WELF : ce filtre WebTrends Enhanced Log Format (WELF) personnalisé
combines le format WELF standard et des informations relatives aux
royaumes, aux rôles et aux messages du Système IVE.
•
Rapport d’accès WELF-SRC-2.0 : ce filtre ajoute les requêtes d’accès
à notre filtre WELF personnalisé. Vous pouvez l’utiliser aisément avec
le système SRC de NetIQ afin de générer des rapports sur les méthodes
d’accès des utilisateurs.
•
W3C : le format de fichier journal étendu du World Wide Web
Consortium emploie un format ASCII personnalisable avec de
nombreux champs différents. Visitez le site http://www.w3.org
pour plus d’informations sur ce format. Seul le journal des accès
utilisateur propose ce filtre parmi ses options.
Création de filtres et des formats personnalisés pour les fichiers journaux
Les options de l’onglet Filtres permettent de déterminer les données à
enregistrer dans vos fichiers journaux, ainsi que leur format. Cette option
n’est disponible qu’avec une licence Central Manager.
administrateurs, puis choisissez Filtres.
3. Effectuez l’une des opérations suivantes :
•
Pour modifier un filtre existant, cliquez sur son nom.
•
Pour créer un nouveau filtre, cliquez sur Nouveau filtre.
4. Entrez le nom du filtre.
Important : Si vous sélectionnez un format, puis que vous lui donnez un
nouveau nom dans la zone Nom du filtre, le système IVE ne crée pas un
nouveau format de filtre personnalisé basé sur le format existant. Il se
contente de remplacer le format existant en utilisant les modifications que
vous avez apportées.
5. Cliquez sur Par défaut pour définir le filtre sélectionné comme valeur
par défaut pour le type de fichier journal. Vous pouvez définir des filtres
par défaut différents pour les journaux des événements, d’accès des
utilisateurs et d’accès des administrateurs.
6. Les options de la section Requête permettent de déterminer le sousensemble de données que le système IVE enregistre dans le journal.
1
216

Dans la section Date de début, cliquez sur Date la plus ancienne
pour écrire tous les journaux à partir de la première date disponible
stockée dans le fichier journal. Vous pouvez aussi entrer une date
manuellement.
2
Dans la section Date de fin, cliquez sur Date la plus récente
pour écrire tous les journaux jusqu’à la dernière date disponible
stockée dans le fichier journal. Vous pouvez aussi entrer une date
manuellement.
3
Dans la section Requête, utilisez le langage d’expressions
personnalisées IVE pour déterminer le sous-ensemble de données
que le système IVE enregistre dans le journal.
7. Utilisez l’une des options de la section Format d’exportation pour
déterminer le format des données du journal :
•
Sélectionnez Standard, WELF ou W3C pour mettre en forme les
entrées de journal selon l’un de ces formats normalisés. Pour plus
d’informations, reportez-vous à la section « Fichiers journaux filtres
personnalisés », page 93.
•
Choisissez l’option Personnalisé, puis entrez le format que vous
voulez employer dans la zone Format. Lorsque vous entrez un
format, entourez les variables de signes de pourcentage (par
exemple, %user%). Tous les autres caractères dans la zone sont
traités comme des valeurs littérales.
Figure 64 : Système > Journal/Surveillance > Journaux d’accès des
administrateurs > Filtres
Onglet SNMP
5
Surveillance du système IVE comme agent SNMP
Cet onglet permet d’employer un outil de gestion réseau tel que HP
OpenView pour surveiller le système IVE comme agent SNMP. Le système
IVE prend en charge SNMP (Simple Network Management Protocol) v2,
déploie une MIB (base d’informations de gestion) privée et définit ses
propres interruptions. Pour permettre à votre station de gestion de réseau

217
de traiter ces interruptions, vous devez télécharger le fichier MIB Juniper
Networks et définir les informations appropriées pour les recevoir.
Remarque : Pour surveiller les statistiques système vitales du système IVE,
comme l’utilisation du processeur, chargez le fichier MIB UC-Davis dans votre
application de gestion SNMP. Vous pouvez vous procurer ce fichier MIB à
l’adresse suivante : http://net-snmp.sourceforge.net/UCD-SNMP-MIB.txt.
Pour définir les paramètres SNMP :
1. Dans la Console Web, choisissez Système > Journal/Surveillance >
SNMP.
2. Cliquez sur le lien Fichier MIB Juniper Networks afin d’accéder au
fichier MIB, puis enregistrez ce fichier dans un emplacement réseau
depuis votre navigateur. (Pour une description des objets Obtention et
Interruption du fichier MIB, consultez les tableaux ci-après.)
3. Dans la section Propriétés de l’agent entrez les informations dans les
zones suivantes, puis cliquez sur Enregistrer les modifications :
•
Entrez, dans les zones Nom système, Emplacement système et
Contact système, des informations qui décrivent l’agent IVE
(facultatif).
•
Entrez une chaîne dans le champ Communauté (obligatoire).
Remarque : Pour pouvoir interroger le système IVE, votre station de gestion de réseau doit lui envoyer cette chaîne. Pour arrêter le démon SNMP,
effacez le contenu de le champ Communauté.
4. Dans la section Interruptions, indiquez les serveurs auxquels le
système IVE doit envoyer les interruptions qu’il génère, en entrant les
informations dans les zones suivantes, puis en cliquant sur Ajouter :
•
le nom d’hôte du serveur ou son adresse IP ;
•
le port surveillé par le serveur (généralement le port 162) ;
•
la chaîne de communauté requise par la station de gestion de réseau
(si nécessaire).
6. Sur votre station de gestion de réseau :
218

1
Téléchargez le fichier MIB Juniper Networks.
2
Entrez la chaîne de communauté requise pour interroger le système
IVE (voir étape 3).
3
Configurez le logiciel de gestion de réseau pour qu’il reçoive les
interruptions IVE.
Tableau 2 : Objets MIB Juniper Networks : Obtentions
Objet
Description
logFullPercent
Indique le pourcentage de la taille du fichier disponible
complété par le journal courant.
signedInWebUsers
Indique le nombre d’utilisateurs ayant ouvert une session
sur le système IVE via un navigateur Web.
signedInMailUsers
Indique le nombre d’utilisateurs ayant ouvert une session
sur le Client de courriel.
productName
Indique le nom du produit IVE sous licence.
productVersion
Indique la version logicielle du système IVE.
Tableau 3 : Objets MIB Juniper Networks : Interruptions
Objet
Description
iveLogNearlyFull
L’un des journaux (système, accès des utilisateurs
ou accès des administrateurs) est à 90 % plein.
Lorsque cette interruption est envoyée, le paramètre
logFullPercent (% d’écriture du fichier journal) est
également envoyé.
iveLogFull
L’un des journaux (système, accès des utilisateurs ou
accès des administrateurs) est rempli.
iveMaxConcurrentUsersSignedIn Le nombre maximal d’utilisateurs autorisés à se
connecter simultanément est actuellement atteint,
plus 10 %.

219
Tableau 3 : Objets MIB Juniper Networks : Interruptions suite
Objet
Description
iveTooManyFailedLoginAttempts Un trop grand nombre de tentatives de connexions
infructueuses à partir d’une adresse IP spécifique s’est
produit. Se déclenche lorsque l’authentification d’un
utilisateur échoue 180 fois en une heure. Après avoir
reçu ce message, l’adresse IP de l’utilisateur est
verrouillée pendant 2 minutes avant que l’utilisateur
ne puisse rouvrir une session. Si l’authentification de
l’utilisateur échoue 90 autres fois en 30 minutes,
son adresse IP est à nouveau verrouillée. Ce cycle
continue de la même façon, le temps et le nombre de
tentatives accordés étant divisés par deux à chaque
cycle. Lors du troisième cycle, l’utilisateur est verrouillé
au bout de 45 tentatives infructueuses en 15 minutes ;
lors du quatrième cycle, l’utilisateur est verrouillé au
bout de 23 tentatives infructueuses en 8 minutes ;
et ainsi de suite...
blockedIP (IP source de tentatives de connexion) est
également envoyé.
externalAuthServerUnreachable
Un serveur d’authentification externe ne répond pas
aux demandes d’authentification.
authServerName (% d’écriture du fichier journal)(nom
du serveur indisponible) est également envoyé.
220

iveStart
Le système IVE vient d’être mis sous tension.
iveShutdown
Le système IVE vient d’être arrêté.
iveReboot
Le système IVE vient d’être redémarré.
archiveServerUnreachable
Le système IVE est incapable d’atteindre le serveur
d’archivage FTP configuré.
archiveServerLoginFailed
Le système IVE est incapable de se connecter au
serveur d’archivage FTP configuré.
archiveFileTransferFailed
Le système IVE ne peut transférer l’archivage vers le
serveur d’archivage FTP configuré.
Figure 65 : Système > Journal/Surveillance > SNMP
Onglet Statistiques
5
Permet d’afficher les statistiques relatives au système
Toutes les heures, le système IVE consigne les données suivantes :
• Charge maximale des utilisateurs Web
• Charge maximale des utilisateurs du courriel
• Nombre d’accès aux URL
• Nombre d’accès aux fichiers
La page Statistiques présente ces informations pour les sept derniers
jours. Ces informations sont consignées chaque semaine dans le journal du
système. Notez que la mise à jour du système IVE entraîne l’effacement de
toutes les statistiques. Par contre, si vous configurez le système de manière
à consigner les statistiques toutes les heures, les anciennes statistiques
seront toujours disponibles dans le fichier journal après une mise à jour.

221
Pour afficher les statistiques du système :
1. Dans la Console Web, choisissez Système > Journal/Surveillance >
Statistiques.
2. Faites défiler la page pour visualiser les quatre catégories de données.
Figure 66 : Système > Journal/Surveillance > Statistiques
222

Configuration de la page d’ouverture de session
La page Système > Ouverture de session contient les onglets suivants :
Onglet Stratégies d’ouverture de session............................................. 223
Onglet Page d’ouverture de session .................................................... 229
Onglet Serveurs ................................................................................... 236
Les onglets de la page Système > Ouverture de session vous
permettent de :
Création et configuration des stratégies d’ouverture de session.......... 224
Spécification de l’ordre d’évaluation des stratégies d’ouverture
de session ........................................................................................ 226
Activation et désactivation des stratégies d’ouverture de session ....... 228
Création ou modification d’une page d’ouverture de session standard..229
Création de pages d’ouverture de session personnalisées.................. 232
Archivage des modèles dans un fichier ZIP ......................................... 234
Envoyez le fichier ZIP contenant les pages d’ouverture de session
personnalisées au système IVE ........................................................... 235
Affectez le fichier ZIP contenant les pages d’ouverture de session
personnalisées à une URL ................................................................... 235
Confirmation du fonctionnement de vos pages d’ouverture de session
personnalisées........................................................................................236
Définition d’une instance de serveur d’authentification ........................ 236
Onglet Stratégies d’ouverture de session
Les stratégies d’ouverture de session définissent les URL employées par les
utilisateurs et les administrateurs pour accéder au système IVE. Si vous
disposez d’une licence Baseline, vous pouvez configurer deux stratégies
d’ouverture de session, une pour les administrateurs et l’autre pour les
utilisateurs. Lorsque vous configurez ces stratégies, vous devez associer
chacune d’entre elles aux royaumes appropriés. Par exemple, pour permettre
à tous les administrateurs de se connecter au système IVE, vous devez
ajouter tous leurs royaumes d’authentification à la stratégie d’ouverture
de session des administrateurs.
Si vous disposez d’une licence Advanced, vous pouvez créer plusieurs
stratégies d’ouverture de session, en associant différentes pages d’ouverture
de session à des URL différentes. Une stratégie d’ouverture de session doit
être associée à un ou plusieurs royaumes lors de sa configuration. Seuls les
membres des domaines d’authentification spécifiés pourront alors ouvrir
une session à l’aide de l’URL définie dans la stratégie. Dans la stratégie
d’ouverture de session, vous pouvez également définir différentes pages
d’ouverture de session à associer à différentes URL.
Par exemple, vous pouvez créer des stratégies d’ouverture de session
spécifiant que :
• Les membres du royaume « Partenaires » peuvent ouvrir une session
dans le système IVE à l’aide des URL : partenaire1.votresociété.com et
partenaire2.votresociété.com. Les utilisateurs qui ouvrent une session

223
dans la première URL voient s’afficher la page d’ouverture de session
« Partenaires 1 » et les utilisateurs qui ouvrent une session dans
la seconde URL voient s’afficher la page d’ouverture de session
« Partenaires 2 ».
• Les membres des royaumes « Local » et « Distant » peuvent ouvrir une
session dans le système IVE à l’aide de l’URL :
employés.votresociété.com. Dans ce cas, les membres voient s’afficher
la page d’ouverture de session « Employés ».
• Les membres du royaume « Admin Users » peuvent ouvrir une session
dans le système IVE à l’aide de l’URL : accès.votresociété.com/super.
Dans ce cas, les membres voient s’afficher la page d’ouverture de
session « Administrateurs ».
Lorsque vous définissez des stratégies d’ouverture de session, vous pouvez
utiliser différents noms d’hôte (tels que partenaires.votresociété.com et
employés.votresociété.com) ou différents chemins d’accès (tels que
votresociété.com/partenaires et votresociété.com/employés) afin de
différencier les URL.
Important : Si vous différenciez des URL à l’aide de noms d’hôte, vous devez
associer chaque nom d’hôte avec son certificat propre ou envoyer un certificat
générique au système IVE à l’aide des options de la page Système >
Configuration > Certificats > Certificats de serveur.
5
Création et configuration des stratégies d’ouverture de session
1. Dans la Console Web, sélectionnez Système > Ouverture de session >
Stratégies d’ouverture de session.
2. Pour créer une nouvelle stratégie d’ouverture de session, cliquez sur
Nouveau. Sinon, pour modifier une stratégie existante, cliquez sur une
URL dans la colonne URL administrateur ou URL utilisateur.
Remarque : Si vous possédez une licence Secure Meeting, la stratégie
*/réunion apparaît dans la colonne URL utilisateur. Vous ne pouvez utiliser
cette stratégie que pour modifier la page d’ouverture de session standard qui
s’affiche pour les utilisateurs de Secure Meeting. Toutefois, vous ne pouvez
pas modifier l’URL qu’ils utilisent pour accéder à une réunion ou pour créer
une page d’ouverture de session personnalisée pour les réunions.
3. Sélectionnez Utilisateurs ou Administrateurs pour spécifier le type
d’utilisateur autorisé à ouvrir une session dans le système IVE à l’aide
de la stratégie.
4. Dans le champ URL d’ouverture de session, saisissez l’URL que vous
souhaitez associer à la stratégie.
•
Pour préciser que toutes les URL administrateur du ou des royaumes
spécifiés doivent utiliser la page d’ouverture de session, saisissez
*/admin.
•
Pour préciser que toutes les URL utilisateur final du ou des royaumes
spécifiés doivent utiliser la page d’ouverture de session, saisissez */.
Remarque : Vous ne pouvez utiliser que des caractères génériques (*) dans
la section du nom d’hôte de l’URL. Le système IVE ne reconnaît pas ces
caractères dans le chemin d’accès de l’URL.
5. Saisissez une Description pour la stratégie (facultatif).
224

6. Sélectionnez une page d’ouverture de session. Vous pouvez sélectionner
la page par défaut du système IVE, une variante de la page d’ouverture
de session standard ou une page personnalisée que vous avez créée à
l’aide de la fonctionnalité personnalisable de l’IU. Pour plus d’informations,
reportez-vous à la section « Onglet Page d’ouverture de session »,
page 229.
7. Sous Domaine d’authentification, précisez les royaumes correspondant
à la stratégie et la manière dont les utilisateurs et les administrateurs
doivent effectuer une sélection parmi ces royaumes. Si vous sélectionnez :
• L’utilisateur saisit le nom du royaume
La stratégie d’ouverture de session est mise en correspondance avec
tous les domaines d’authentification, mais le système IVE ne fournit
pas de liste des royaumes permettant à l’utilisateur ou à l’administrateur
d’effectuer sa sélection. L’utilisateur ou l’administrateur doit saisir
manuellement le nom du royaume dans la page d’ouverture de session.
•
L’utilisateur effectue sa sélection dans une liste de domaines
La stratégie d’ouverture de session correspond uniquement aux
domaines d’authentification que vous avez choisis. Le système IVE
présente cette liste de royaumes à l’utilisateur ou à l’administrateur
lors de l’ouverture d’une session dans le système IVE et lui permet
d’en sélectionner un dans la liste. (Notez que le système IVE n’affiche
pas de liste déroulante des domaines d’authentification si l’URL ne
correspond qu’à un seul royaume et qu’il utilise automatiquement le
royaume spécifié.
Figure 67 : Système > Ouverture de session > Stratégies d’ouverture de session

225
Figure 68 : Système > Ouverture de session > Stratégies d’ouverture de session >
[Sélectionner stratégie]
5
Spécification de l’ordre d’évaluation des stratégies d’ouverture de session
Le système IVE évalue les stratégies d’ouverture de session administrateur
en respectant l’ordre dans lequel elles sont répertoriées sur la page
Stratégies d’ouverture de session, puis il évalue les stratégies
d’ouverture de session utilisateur. Lorsque le système trouve une URL
correspondant exactement, il interrompt l’évaluation et affiche la page
d’ouverture de session appropriée pour l’administrateur ou l’utilisateur.
Par exemple, vous pouvez définir deux stratégies d’ouverture de session
administrateur avec deux URL différentes :
• La première stratégie utilise l’URL */admin et correspond à la page
d’ouverture de session administrateur par défaut.
• La seconde stratégie utilise l’URL votresociété.com/admin et correspond
à une page d’ouverture de session administrateur personnalisée.
Si vous répertoriez les stratégies dans cet ordre sur la page Stratégies
d’ouverture de session, le système IVE ne pourra ni évaluer ni utiliser
la seconde stratégie car la seconde URL est comprise dans la première.
Même si un administrateur ouvre une session à l’aide de l’URL
votresociété.com/admin, le système IVE affiche la page d’ouverture de
session administrateur par défaut. Cependant, si vous répertoriez les
stratégies dans l’ordre inverse, le système IVE affichera la page d’ouverture
226

de session administrateur personnalisée pour les administrateurs accédant
au système IVE à l’aide de l’URL votresociété.com/admin.
Notez que le système IVE n’accepte que les caractères génériques dans la
section du nom d’hôte de l’URL et ne met en correspondance que les URL
basées sur le chemin d’accès exact. Par exemple, vous pouvez définir deux
stratégies d’ouverture de session administrateur avec deux chemins d’accès
d’URL différents :
• La première stratégie utilise l’URL */marketing et correspond à une
page d’ouverture de session personnalisée pour l’ensemble du service
Marketing.
• La seconde stratégie utilise l’URL */marketing/jean et correspond à une
page d’ouverture de session personnalisée conçue exclusivement pour
Jean du service Marketing.
Si vous répertoriez les stratégies dans cet ordre sur la page Stratégies
d’ouverture de session, le système IVE affiche la page d’ouverture de
session personnalisée de Jean lorsque celui-ci utilise l’URL
votresociété.com/marketing/jean pour accéder au système IVE. Il ne voit
pas s’afficher la page d’ouverture de session Marketing, même si elle est
répertoriée et évaluée en premier, car la section du chemin d’accès de son
URL ne correspond pas exactement à l’URL définie dans la première stratégie.
Pour modifier l’ordre d’évaluation des stratégies d’ouverture de
session administrateur :
2. Sélectionnez une stratégie d’ouverture de session dans la liste URL
administrateur.
3. Cliquez sur les flèches haut et bas pour modifier la position de la
stratégie sélectionnée dans la liste.

227
Figure 69 : Système > Ouverture de session > Stratégies d’ouverture de session
(réordonner)
5
Activation et désactivation des stratégies d’ouverture de session
Pour activer et désactiver des stratégies d’ouverture de session :
2. Pour activer ou désactiver :
228

•
Une stratégie en particulier—Cochez la case située en regard de la
stratégie que vous souhaitez modifier, puis cliquez sur Activer ou
Désactiver.
•
Toutes les stratégies utilisateur—Cochez ou décochez la case
Accès réservé aux administrateurs.
Onglet Page d’ouverture de session
Une page d’ouverture de session définit les propriétés personnalisées dans
la page d’accueil de l’utilisateur final, telles que le texte d’accueil, l’aide
explicative, le logo, l’en-tête et le pied de page. Le système IVE vous
permet de créer deux types de pages d’ouverture de session à présenter
aux utilisateurs et aux administrateurs :
• Pages d’ouverture de session standard
Les pages d’ouverture de session sont créées par Juniper et sont incluses
dans toutes les versions du système IVE. Notez que les pages pouvant
être modifiées à l’aide de l’onglet Système > Ouverture de session >
Page d’ouverture de session sont également considérées comme
des pages d’ouverture de session standard. Pour plus d’informations,
reportez-vous à la section « Pages d’ouverture de session standard »,
page 229.
• Pages d’ouverture de session personnalisées
Les pages d’ouverture de session personnalisées sont des pages THTML
que vous créez à l’aide des outils de développement de modèles et
envoyez au système IVE sous la forme d’un fichier ZIP archivé. Les pages
d’ouverture de session personnalisées constituent des fonctionnalités
sous licence qui vous permettent d’utiliser vos propres pages plutôt que
d’avoir à modifier la page d’ouverture de session incluse dans le système
IVE. Pour plus d’informations, reportez-vous à la section « Pages
d’ouverture de session personnalisées », page 231.
Pages d’ouverture de session standard
Les pages d’ouverture de session standard du système IVE comprennent :
• une page d’ouverture de session par défaut
Par défaut, le système IVE est configuré de manière à afficher cette page
lorsque les utilisateurs ouvrent une session dans le système IVE.
• Page d’ouverture de session de réunion
Le système IVE affiche cette page lorsque les utilisateurs ouvrent une
session de réunion. Cette page est disponible uniquement si vous
installez une licence Secure Meeting sur le système IVE.
À l’aide de l’onglet Pages d’ouverture de session, vous pouvez modifier
ces pages ou créer une nouvelle page d’ouverture de session standard pour
le système IVE contenant le texte, le logo, les couleurs et le texte du
message d’erreur personnalisés.
5
Création ou modification d’une page d’ouverture de session standard
Pour créer ou modifier une page d’ouverture de session standard :
Pages d’ouverture de session.

229
2. Si vous souhaitez :
•
Créer une nouvelle page—Cliquez sur Nouvelle page.
•
Modifier une page existante—Sélectionnez le lien correspondant à
la page que vous souhaitez modifier.
3. Entrez le nom qui identifiera la page.
4. Dans la section Texte personnalisé, modifiez si nécessaire le texte
utilisé par défaut pour les différents libellés affichés. Lorsque vous
ajoutez du texte dans le champ Instructions, notez que vous devrez
peut-être mettre en forme le texte et ajouter des liens à l’aide des
balises HTML suivantes : <i>, <b>, <br>, <font> et <a href>. Cependant,
le système IVE ne réécrit pas les liens sur la page d’ouverture de session
(puisque l’utilisateur n’a pas encore été authentifié) ; vous devez donc
vous diriger uniquement vers des sites externes. Les liens vers des sites
disposant d’un pare-feu seront inopérants.
5. Dans la section En-tête, définissez le fichier d’image du logo personnalisé
qui figurera dans l’en-tête, ainsi que la couleur de l’en-tête.
6. Dans la section Messages d’erreur personnalisés, modifiez le texte
par défaut apparaissant lorsque les utilisateurs rencontrent des erreurs
de certificat. (Non disponible pour la page d’ouverture de session de
Secure Meeting.)
7. Pour fournir à vos utilisateurs une aide personnalisée ou des instructions
complémentaires, sélectionnez Afficher le bouton Aide, entrez le libellé
du bouton, puis définissez un fichier HTML à envoyer au système IVE.
Notez que le système IVE n’affiche ni les images ni les autres types de
contenu auxquels cette page HTML fait référence. (Non disponible pour
la page d’ouverture de session de Secure Meeting.)
8. Cliquez sur Enregistrer les modifications. Les modifications entrent
immédiatement en vigueur, mais il peut être nécessaire d’actualiser les
sessions en cours pour que les utilisateurs les voient.
Remarque : Cliquez sur Rétablir les paramètres par défaut pour réinitialiser
l’apparence de la page d’ouverture de session, de la page d’accueil des
utilisateurs du système IVE et de la Console Web.
Figure 70 : Système > Ouverture de session > Pages d’ouverture de session
230

Figure 71 : Système > Ouverture de session > Pages d’ouverture de session >
[Sélectionner page]
Pages d’ouverture de session personnalisées
Les pages d’ouverture de session personnalisables constituent une
fonctionnalité qui vous permet de personnaliser l’apparence et l’ergonomie
des pages de gestion des mots de passe et de pré-authentification affichées
par le système IVE à l’intention des administrateurs et des utilisateurs
finals. Vous pouvez utiliser cette fonctionnalité pour personnaliser un
grand nombre de pages. Pour obtenir une liste complète, reportez-vous à
l’« Appendix C : », page 513.

231
Remarque : Vous ne pouvez pas personnaliser les pages standard du système
IVE que l’utilisateur voit s’afficher après authentification, telles que la page de
signets, les pages de navigation dans les fichiers ou les pages d’aide destinées
aux utilisateurs finals. Cependant, vous pouvez utiliser l’option URL de page de
départ dans l’onglet Utilisateurs > Rôles > [Rôle] > Général > Options IU afin
de diriger les utilisateurs vers votre page personnalisée plutôt que vers la page
d’accueil standard du système IVE. De là, vous pouvez interconnecter les
utilisateurs avec les pages de votre choix. En utilisant cette option conjointement
avec la fonctionnalité relative aux pages d’ouverture de session personnalisables,
vous pouvez faire en sorte que les utilisateurs ne visualisent aucune des pages
les plus courantes du système IVE.
Suivez les étapes ci-dessous pour créer vos pages personnalisées et
les activer :
Création de pages d’ouverture de session personnalisées.................. 232
Archivage des modèles dans un fichier ZIP ......................................... 234
Envoyez le fichier ZIP contenant les pages d’ouverture de session
personnalisées au système IVE ........................................................... 235
Affectez le fichier ZIP contenant les pages d’ouverture de session
personnalisées à une URL ................................................................... 235
Confirmation du fonctionnement de vos pages d’ouverture de session
personnalisées ..................................................................................... 236
5
Création de pages d’ouverture de session personnalisées
Juniper a choisi de présenter les pages personnalisées à l’aide du système
de traitement des outils de développement de modèles1. En choisissant ce
système, nous vous permettons d’utiliser le langage de développement
de modèles pour ajouter un comportement dynamique à vos pages
personnalisées (comme décrit à la section « Compréhension du langage des
outils pour modèles », page 514). L’activation de vos pages grâce à ce
système est très simple : lorsque vous personnalisez les pages de votre
systèmeIVE, vous êtes susceptible d’utiliser votre éditeur HTML favori
pour créer le HTML, le CSS et le JavaScript à partir des modèles que
nous fournissons. Sinon, vous pouvez également utiliser le langage de
développement de modèles pour ajouter des instructions conditionnelles,
des structures en boucle et des comportements dynamiques sur vos pages.
Vous devez ensuite enregistrer vos fichiers en tant que fichiers modèles
(THTML). (Par exemple, si vous souhaitez modifier la page d’ouverture
de session standard du système IVE, vous devez l’enregistrer sous
Pageouverture.thtml plutôt que sous Pageouverture.html.) Lorsque vous
effectuez cette opération, le système IVE reconnaît les pages personnalisées
et les utilise de préférence à ses propres pages HTML standard.
Lorsque vous créez une page personnalisée pour le système IVE, il est
vivement recommandé de commencer avec les modèles du système IVE.
Ces modèles contiennent tous les champs de mise en forme, de variables et
JavaScript requis que vous devez envoyer au système IVE par l’intermédiaire
de vos pages personnalisées. Par ailleurs, les modèles des fichiers ZIP
contiennent un code facultatif susceptible de vous aider dans la création
de vos pages. Pour plus d’informations, reportez-vous à la section
« Appendix C : », page 514.
1. Les pages d’ouverture de session personnalisées ont été créées avec la version 2.09 des outils de
développement de modèles et sont prises en charge par cette dernière.
232

Lorsque vous créez des pages personnalisées, notez que :
• Vous devez savoir utiliser HTML et JavaScript pour créer des pages
personnalisées dans le système IVE.
• Les utilisateurs ne peuvent ouvrir aucune session dans le système IVE
si vos modèles ne contiennent pas toutes les données requises. Par
conséquent, nous recommandons vivement d’utiliser les modèles types
pour la création de vos pages.
• Lorsque vous créez un lien vers une ressource qui ne se trouve pas dans
le système IVE, vous devez utiliser le chemin d’accès absolu précédé de
http://. Par exemple :
http://www.google.com
• Lorsque vous créez une référence à une ressource dans votre fichier ZIP,
vous pouvez utiliser, au choix, le HTML standard pour référencer les
fichiers avec les extensions .txt, .html, .gif, .jpg, .js, .pdf, .css, .class,
.jar et .cab, ou le langage de développement de modèles pour les
fichiers possédant l’extension .thtml. Par exemple :
<a href= “lien.gif”>Cliquez ici</a>
<% INCLURE Pageouverture.thtml %>
• Lorsque vous créez une référence au répertoire parent d’une ressource
dans votre fichier ZIP, vous pouvez utiliser la convention « .. » ou la
variable <% Accueil %> pour référencer le répertoire principal. Par
exemple :
<% Accueil %>/images/logo.gif
../images/logo.gif
• Si vous souhaitez prendre en charge plusieurs langages, vous devez
créer des pages séparées pour chaque langage, enregistrer ces dernières
dans des fichiers ZIP distincts (tels que français.zip et anglais.zip),
associer chacun de ces fichiers à une URL spécifique et inviter les
utilisateurs à ouvrir une session dans l’URL correspondante en fonction
du langage qu’ils souhaitent employer.
• Vous ne pouvez pas personnaliser les pages standard du système IVE
que l’utilisateur voit s’afficher après authentification, telles que la page
de signets, les pages de navigation dans les fichiers ou les pages d’aide
destinées aux utilisateurs finals.
• Comme pour l’édition 4.1, chaque modèle personnalisé fourni dans le
système IVE comprend un numéro de version. Ne modifiez pas ce numéro.
Pour accéder aux fichiers types dans le système IVE, procédez
comme suit :
1. Ouvrez une session dans la Console Web en tant qu’administrateur.
2. Sélectionnez Système > Ouverture de session > Pages d’ouverture
de session. (Figure 71, page 231)
3. Cliquez sur Envoyer les pages personnalisées.

233
4. Sélectionnez l’un des fichiers suivants à télécharger :
•
Sample
•
SoftID
•
Kiosk
5. Enregistrez-le dans un répertoire local.
Figure 72 : Système > Ouverture de session > Pages d’ouverture de session>
Envoyer les pages personnalisées
5
Archivage des modèles dans un fichier ZIP
Une fois que vous avez créé vos pages personnalisées, vous devez archiver
tous vos modèles ainsi que les images, feuilles de style, applets et fichiers
JavaScript de support dans un fichier ZIP. Lorsque vous créez votre archive,
notez que :
• Vous ne pouvez pas inclure de fichiers .cgi dans votre fichier ZIP. Le cas
échéant, le système IVE refuse l’envoi.
• La taille totale du ou des fichiers ZIP que vous envoyez au système IVE
ne doit pas excéder 7,5 Mo.
• Vous devez inclure tous les fichiers modèles (.thtml) dans le répertoire
principal de votre fichier ZIP décompressé.
• Vous devez inclure LoginPage.thtml, ExceedConcurrent.thtml, SSL.thtml
et Logout.thtml à la racine de votre archive, même si vous ne souhaitez
pas que le système IVE utilise tous ces fichiers. Si vous n’effectuez pas
cette opération, le système IVE refuse l’envoi.
• Si vous choisissez de ne pas inclure l’une (ou plusieurs) des pages
facultatives (telles que SelectRoles.thtml ou PleaseWait.thtml) dans
votre fichier ZIP, le système IVE utilise ses propres pages standard
afin de garantir une fonctionnalité optimale aux utilisateurs. Toutefois,
afin d’assurer une certaine continuité, le système IVE insère dans ses
propres pages standard tous les éléments d’en-tête éventuels que vous
avez spécifiés pour la page d’ouverture de session par défaut. Pour
définir des éléments d’en-tête personnalisés, utilisez les paramètres de
l’onglet Système > Ouverture de session > Pages d’ouverture de
session de la Console Web.
234

5
Envoyez le fichier ZIP contenant les pages d’ouverture de session personnalisées au
système IVE
Une fois vos modèles et vos fichiers de support archivés sur un fichier ZIP,
vous devez envoyer ce dernier au système IVE.
Pour envoyer votre fichier ZIP au système IVE, procédez comme suit :
2. Sélectionnez Système > Ouverture de session > Pages d’ouverture
de session.
3. Cliquez sur Envoyer les pages personnalisées. (Figure 72, page 234)
4. Entrez le nom qui identifiera le fichier ZIP sur le système IVE.
Important : Si vous choisissez un nom identique à celui d’un autre fichier ZIP
se trouvant déjà sur le système IVE, celui-ci remplace l’archive existante par la
nouvelle archive et n’enregistre que la version actuelle.
5. Naviguez jusqu’au fichier ZIP contenant vos pages personnalisées.
6. Cochez la case Ignorer les contrôles de validation pendant l’envoi
si vous ne souhaitez pas que le système IVE vérifie que vos modèles
contiennent bien toutes les variables requises. Pour obtenir une liste des
variables requises, reportez-vous aux commentaires figurant dans les
modèles types fournis avec le système IVE ainsi qu’aux descriptions
de la section « Appendix C : », page 513. Le système IVE effectue
des contrôles de validation après avoir reçu le fichier que vous lui
avez envoyé mais avant de l’enregistrer dans le répertoire spécifié sur
le serveur.
Important : Nous vous recommandons de laisser cette option désactivée,
sauf si êtes en train de réaliser des tests rapides dans un environnement non
opérationnel.
5
Affectez le fichier ZIP contenant les pages d’ouverture de session personnalisées à
une URL
Après avoir envoyé le fichier ZIP contenant les pages d’ouverture de session
au système IVE, vous devez l’associer à une URL d’ouverture de session.
Pour affecter le fichier ZIP à une URL d’ouverture de session,
procédez comme suit :
2. Sélectionnez Système > Ouverture de session > Stratégies
d’ouverture de session. (Figure 67, page 225)
3. Cliquez sur l’URL que vous souhaitez associer aux pages personnalisées.
4. Dans la liste Page d’ouverture de session, sélectionnez le nom spécifié
à la section précédente.

235
5
Confirmation du fonctionnement de vos pages d’ouverture de session personnalisées
Pour confirmer que le système IVE utilise vos pages personnalisées, ouvrez
une session dans l’URL spécifiée à la section précédente et confirmez que
vous pouvez visualiser les pages.
Onglet Serveurs
Les serveurs d’authentification authentifient les données d’identification de
l’utilisateur et les serveurs d’autorisation fournissent des informations sur
l’utilisateur, que le système IVE utilise pour déterminer les droits dont
celui-ci dispose dans le système. Par exemple, vous pouvez spécifier une
instance de serveur de certificat pour authentifier les utilisateurs à partir de
leurs attributs de certificat côté client, puis créer une instance de serveur
LDAP pour autoriser les utilisateurs en fonction des valeurs contenues
dans une liste d’annulation de certificat (CRL). Pour plus d’informations
sur les serveurs d’authentification, reportez-vous à la section « Serveurs
5
Définition d’une instance de serveur d’authentification
Pour définir une instance de serveur, procédez comme suit :
1. Définissez les paramètres pour une instance de serveur distincte.
•
Configuration d’une instance ACE/Server (page 239)
•
Définition d’une instance de serveur Active Directory ou Domaine
Windows NT (page 243)
•
Configuration d’une instance de serveur anonyme (page 247)
•
Configuration d’une instance de serveur de certificats (page 249)
•
Configuration d’une instance de serveur LDAP (page 253)
•
Configuration d’une instance de serveur IVE locale (page 258)
•
Configuration d’une instance de serveur Netegrity SiteMinder
(page 271)
•
Configuration d’une instance de serveur NIS (page 265)
•
Configuration d’une instance de serveur RADIUS (page 267)
Remarque : Lorsque vous déterminez le type de serveur à sélectionner,
notez que :
•
Vous ne pouvez créer qu’un seul ACE et une seule instance de
serveur Radius par système IVE.
•
Si vous authentifiez votre serveur Active Directory à l’aide de :
•
•
Protocole NTLM—Sélectionnez Active Directory/Domaine
Windows NT (page 243)
•
Protocole LDAP —Sélectionnez Serveur LDAP (page 253)
Si vous créez une instance de serveur afin d’authentifier les
administrateurs (page 258), vous devez sélectionner
AuthenticationIVE.
2. Spécifiez les royaumes devant être utilisés par le serveur pour
l’authentification et l’autorisation d’administrateurs et d’utilisateurs
(page 317).
236

3. Si vous configurez le serveur d’authentification local du système IVE,
définissez, les comptes utilisateur locaux. Pour plus d’informations,
reportez-vous à la section (page 258).
Figure 73 : Système > Ouverture de session > Serveurs

237
238

Configuration d’une instance ACE/Server
Cette rubrique comprend les sections suivantes :
Présentation générale d’ACE/Server.................................................... 239
Définition d’une instance de serveur ACE/Server ................................ 240
Génération d’un fichier de configuration ACE/Agent ............................ 242
Présentation générale d’ACE/Server
Lorsque vous authentifiez les utilisateurs à l’aide d’un système RSA
ACE/Server, ces derniers peuvent se connecter de deux manières :
• Par l’intermédiaire de la page d’ouverture de session du système
IVE standard :
L’utilisateur accède à la page d’ouverture de session IVE standard, où
il entre son nom d’utilisateur et son mot de passe (composé de son PIN
et de la valeur actuelle de son jeton matériel ou logiciel SecurID RSA).
Le système IVE transmet les données d’identification de l’utilisateur à
ACE/Server.
• Par l’intermédiaire de la page Authentification RSA SecurID :
Si un logiciel RSA SecurID est installé sur le système de l’utilisateur, il
peut accéder à la page Authentification RSA SecurID en employant
une URL du format suivant : https://IVE/login/InstanceServeur, puis
entrer son PIN. En fonction de la configuration RSA, il peut également
être invité à entrer son nom d’utilisateur. Lorsque le Système IVE a
confirmé la validité de la demande d’ouverture de session, il autorise le
logiciel RSA SecurID à transmettre, de manière transparente, une valeur
de jeton à ACE/Server par son intermédiaire.
Si ACE/Server authentifie l’utilisateur, il peut accéder au Système IVE. Dans
le cas contraire, ACE/Server :
• interdit à l’utilisateur d’accéder au système
si ses données d’identification n’ont pas été reconnues ;
• renvoie l’utilisateur à la page d’ouverture de session du système
IVE standard
s’il tente d’ouvrir une session sur la page Authentification RSA
SecurID au moyen d’un ordinateur où le logiciel SecurID n’est pas
installé ;
• invite l’utilisateur à générer un nouveau PIN (mode Nouveau
PIN)
si l’utilisateur se connecte pour la première fois au système IVE.
(L’utilisateur recevra des invites différentes en fonction de la méthode
employée pour ouvrir sa session. Si l’utilisateur se connecte à l’aide
de la page Authentification RSA SecurID, il recevra les invites RSA
de création d’un nouveau PIN. Dans le cas contraire, il recevra les
invites du système IVE.) Notez que l’utilisateur doit disposer d’un PIN
temporaire pour l’ouverture de session initiale ;
• invite l’utilisateur à entrer son jeton suivant (mode Jeton
suivant)
si le jeton entré par l’utilisateur ne correspond pas à celui attendu par
ACE/Server. (Le mode Jeton suivant est transparent pour les utilisateurs

239
qui ouvrent une session sur la page Authentification RSA SecurID.
Le logiciel RSA SecurID transmet le jeton à ACE/Server, via le Système
IVE, sans intervention de l’utilisateur.
Lorsqu’un utilisateur accède au mode Nouveau PIN ou Jeton suivant, il
dispose de trois minutes pour entrer les informations demandées avant
que le système IVE annule la transaction et invite l’utilisateur à saisir de
nouveau ses données d’identification.
Le système IVE peut traiter au maximum 200 transactions ACE/Server à
n’importe quel moment donné. Une transaction dure le temps nécessaire
pour effectuer l’authentification par rapport au ACE/Server. Par exemple,
quand un utilisateur se connecte au système IVE, la transaction ACE/Server
est lancée lorsque l’utilisateur soumet sa demande d’authentification et se
termine une fois que l’ACE/Server a fini de traiter la demande. L’utilisateur
peut ensuite garder sa IVE ouverte, bien que sa transaction ACE/Server
soit fermée.
Le système IVE prend en charge les fonctionnalités ACE/Server suivantes :
mode Nouveau PIN, mode Jeton suivant, chiffrement DES/SDI, chiffrement
AES, prise en charge ACE/Server esclave, verrouillage de nom et mise en
grappe. Le système IVE prend également en charge les modes Nouveau
PIN et Jeton suivant de RSA SecurID par l’intermédiaire du protocole
RADIUS.
Remarque : En raison de limitations UNIX de la bibliothèque ACE/Server, vous
ne pouvez définir qu’une configuration ACE/Server. Pour plus d’informations sur
la génération d’un fichier de configuration ACE/Agent pour le Système IVE sur le
serveur ACE, reportez-vous à la section « Génération d’un fichier de configuration
ACE/Agent », page 242.
5
Définition d’une instance de serveur ACE/Server
Remarque : Vous ne pouvez ajouter qu’une instance de serveur ACE/Server.
Pour définir une instance ACE/Server :
1. Générez un fichier de configuration ACE/Agent (sdconf.rec) pour le
système IVE sur le serveur ACE (page 242).
Serveurs.
240

•
Pour créer une nouvelle instance de serveur sur le système IVE,
sélectionnez ACE Server dans la liste Nouveau puis cliquez sur
Nouveau serveur.
•
Pour mettre à jour une instance de serveur existante, cliquez sur
le lien correspondant dans la liste Serveurs d’authentification/
d’autorisation.
4. Entrez le nom qui identifiera l’instance de serveur.
Remarque : Si vos utilisateurs finals transmettent des jetons logiciels SecurID
à l’ACE/Server, il peut être utile d’éviter l’emploi d’espaces ou d’autres
caractères non alphanumériques dans le nom de l’instance du serveur. Pour
transmettre en toute transparence des valeurs de jetons logiciels SecurID à
l’ACE/Server, l’utilisateur doit accéder à la page Authentification RSA SecurID
à l’aide de l’URL suivante : https://IVE/login/ServerInstance (où IVE est
l’adresse IP ou le nom d’hôte du Système IVE et ServerInstance le nom
défini ci-dessus). Si le nom de votre instance de serveur comprend des
espaces ou d’autres caractères non alphanumériques, l’utilisateur doit insérer
des caractères d’échappement (comme %20) dans l’URL.
5. Spécifiez un port par défaut dans le champ Port ACE. Notez que le
système IVE n’utilise ce paramètre que si aucun port n’est spécifié dans
le fichier sdconf.rec.
6. Importez le fichier de configuration RSA ACE/Agent. Veillez à mettre
à jour ce fichier sur le système IVE à chaque fois que vous apportez
des modifications au fichier source. De même, si vous supprimez le
fichier d’instance du système IVE, accédez à l’application Gestion de la
configuration ACE Server, comme l’explique la section « Génération d’un
fichier de configuration ACE/Agent », page 242, et désactivez la case à
cocher Envoyer secret de nœud.
7. Cliquez sur Enregistrer les modifications. Si vous créez l’instance de
serveur pour la première fois, les onglets Paramètres et Utilisateurs
s’affichent.
(page 317).
Remarque : Pour plus d’informations sur la surveillance et la suppression des
sessions des utilisateurs connectés via le serveur, reportez-vous à la section
« Affichage et suppression des sessions utilisateur », page 297.
Figure 74 : Système > Ouverture de session > Serveurs > Serveur ACE

241
5
Génération d’un fichier de configuration ACE/Agent
Si vous utilisez l’ACE/Server pour l’authentification, vous devez générer un
fichier de configuration ACE/Agent (sdconf.rec) pour le système IVE sur le
serveur ACE.
Pour générer un fichier de configuration ACE/Agent :
1. Démarrez l’application Gestion de la configuration ACE Server et cliquez
sur Hôte agent.
2. Cliquez sur Ajouter un hôte agent.
3. Dans la zone Nom, entrez le nom de l’agent IVE.
4. Dans la zone Adresse réseau, entrez l’adresse IP du système IVE.
5. Entrez un site configuré sur votre serveur ACE.
6. Dans la zone Type d’agent, choisissez Serveur de communication.
7. Dans la zone Type de chiffrement, choisissez DES.
8. Assurez-vous que la case à cocher Envoyer secret de nœud n’est pas
activée (lors de la création d’un nouvel agent).
La première fois que le serveur ACE authentifie une demande envoyée
par le système IVE, il active la case à cocher Envoyer secret de nœud.
Si vous voulez, par la suite, que le serveur ACE envoie un nouveau secret
de nœud au système IVE lors de la demande d’authentification suivante,
1
Cliquez sur la case à cocher Envoyer secret de nœud pour la désactiver.
2
Ouvrez une session dans la Console Web du système IVE et choisissez
Système > Ouverture de session > Serveurs.
3
Cliquez sur le nom du serveur ACE dans la liste Serveurs
d’authentification/d’autorisation.
4
Sous Fichier de vérification du nœud, sélectionnez la case à cocher
correspondante et cliquez sur Supprimer. Grâce à cette opération, le
système IVE et le serveur ACE restent synchronisés. De même, si vous
supprimez le fichier de vérification du système IVE, désactivez la case à
cocher Envoyer secret de nœud sur le serveur ACE.
9. Cliquez sur Attribuer serveurs actifs et sélectionnez votre serveur ACE.
10. Cliquez sur Générer fichier de configuration. Lorsque vous ajoutez le
serveur ACE au système IVE, vous importez ce fichier de configuration.
242

Configuration d’une instance Active Directory ou Domaine NT
Lorsque vous authentifiez les utilisateurs à l’aide d’un contrôleur de domaine
principal NT ou d’Active Directory, ceux-ci se connectent au système IVE à
l’aide du nom d’utilisateur et du mot de passe qu’ils emploient pour accéder
à leur bureau Windows. Le système IVE prend en charge l’authentification
Windows NT et Active Directory à l’aide de l’authentification NTLM ou
Kerberos. Si vous configurez un serveur Active Directory natif, vous
pouvez récupérer des informations de groupe sur le serveur afin de les
utiliser dans les règles de correspondance de rôles d’un domaine. Dans
ce cas, vous devez spécifier le serveur Active Directory comme serveur
d’authentification du domaine, puis créer une règle de correspondance de
rôles basée sur l’appartenance à un groupe. Le système IVE affiche tous
les groupes du contrôleur de domaine configuré, ainsi que les domaines
approuvés par ce dernier. Reportez-vous à la section « Définition des règles
de correspondance de rôles pour un domaine d’authentification », page 320
pour plus d’informations.
Remarque :
• Le système IVE respecte les relations approuvées dans les environnements
Active Directory et Windows NT et n’interpelle l’utilisateur que si le
serveur lui envoie une sommation.
• Lors de l’envoi de données d’identification utilisateur à un serveur Active
Directory, le système IVE emploie Kerberos si ce dernier est pris en
charge par le serveur ; sinon, il emploie NTLM.
5
Définition d’une instance de serveur Active Directory ou Domaine Windows NT
Pour définir un serveur Active Directory ou Domaine Windows NT :
Serveurs.
•
sélectionnez Active Directory/Windows NT dans la liste Nouveau
puis cliquez sur Nouveau serveur.
•
d’autorisation.
4. Définissez le nom ou l’adresse IP du contrôleur de domaine principal ou
d’Active Directory.
5. Définissez l’adresse IP du contrôleur de domaine secondaire ou d’Active
Directory. (facultatif)
6. Entrez le nom de domaine des utilisateurs auxquels vous voulez
accorder l’accès. Cochez la case Autoriser la qualification du
domaine en tant que partie du nom d’utilisateur afin de permettre
aux utilisateurs de saisir un nom de domaine dans le champ Nom
d’utilisateur de la page d’ouverture de session du système IVE au
format : domaine\nomutilisateur.

243
7. Saisissez un nom d’utilisateur et un mot de passe administrateur afin
que le serveur active :
•
La gestion du mot de passe, disponible pour les domaines utilisant
un serveur LDAP ou Active Directory dans le cadre du processus
d’authentification. (Activez cette option dans l’onglet Stratégie
d’authentification > Mot de passe du domaine.)
•
Le système IVE, pour récupérer le nom de domaine Kerberos sur le
serveur (si celui-ci prend en charge Kerberos).
Remarque : Une fois les modifications enregistrées, le système IVE masque
le mot de passe à l’aide de cinq astérisques, quelle que soit sa longueur.
8. Dans la section Options supplémentaires :
•
Sélectionnez Utiliser LDAP pour obtenir le nom de domaine
Kerberos si vous souhaitez que le système IVE récupère le nom
de domaine Kerberos sur le serveur Active Directory à l’aide des
données d’identification administrateur spécifiées.
•
Saisissez le nom de domaine Kerberos, si vous le connaissez, dans le
champ Spécifier le nom de domaine Kerberos.
s’affichent.
(page 317).
244

Figure 75 : Système > Ouverture de session > Serveurs > Active
Directory/Windows NT

245
246

Configuration d’une instance de serveur anonyme
La fonctionnalité serveur anonyme permet aux utilisateurs d’accéder au
système IVE sans avoir à fournir de nom d’utilisateur ou de mot de passe.
À la place, lorsqu’un utilisateur saisit l’URL d’une page d’ouverture de session
configurée pour être authentifiée par rapport à un serveur anonyme, le
système IVE ignore la page d’ouverture de session IVE standard et affiche
directement la page d’accueil IVE.
Vous pouvez choisir d’utiliser l’authentification anonyme si vous pensez que
les ressources sur le système IVE ne requièrent pas un niveau de sécurité
élevé ou que les autres mesures de sécurité offertes par le système IVE
sont suffisantes. Par exemple, vous pouvez créer un rôle d’utilisateur avec
un accès aux ressources internes limité, puis authentifier ce rôle avec une
stratégie exigeant seulement des utilisateurs qu’ils ouvrent une session à
partir d’une adresse IP résidant sur votre réseau interne. Cette méthode
présuppose que si un utilisateur peut accéder à votre réseau interne, il est
habilité à visualiser les ressources limitées fournies par le biais du rôle
d’utilisateur.
Lors de la définition et de la surveillance d’une instance de serveur
anonyme, prenez en compte les éléments suivants :
• Vous ne pouvez ajouter qu’une seule configuration de serveur anonyme.
• Vous ne pouvez pas authentifier d’administrateurs à l’aide d’un serveur
anonyme.
• Lors de la configuration, vous devez choisir le serveur anonyme à la
fois comme serveur d’authentification et comme serveur d’annuaires/
d’attributs dans l’onglet Utilisateurs > Authentification > Général
(page 317).
• Lors de la création de règles de correspondance de rôles dans l’onglet
Utilisateurs > Authentification > Correspondance de rôles
(page 320), le système IVE ne vous permet pas de créer de règles de
correspondance s’appliquant à des utilisateurs spécifiques (comme
« Joe »), le serveur anonyme ne collectant pas les informations relatives
au nom d’utilisateur. Vous pouvez uniquement créer des règles de
correspondance de rôles à partir d’un nom d’utilisateur par défaut (*),
d’attributs de certificat ou d’expressions personnalisées.
• Pour des raisons de sécurité, vous devrez peut-être limiter le nombre
d’utilisateurs qui ouvrent une session à partir d’un serveur anonyme
à une certaine heure. Pour ce faire, utilisez l’option dans l’onglet
Utilisateurs > Authentification > [Domaine] > Stratégie
d’authentification > Limites (où [Domaine] est le royaume configuré
pour utiliser le serveur anonyme afin d’authentifier les utilisateurs)
(page 319).
• Vous ne pouvez pas visualiser et supprimer les sessions d’utilisateurs
anonymes via un onglet Utilisateurs (contrairement aux sessions
d’autres serveurs d’authentification), car le système IVE ne peut
afficher des données de session individuelles sans collecter de noms
d’utilisateur.

247
5
Définition d’une instance de serveur anonyme
Pour définir un serveur anonyme :
Serveurs.
•
sélectionnez Serveur anonymedans la liste Nouveau puis cliquez
sur Nouveau serveur.
•
d’autorisation.
l’autorisation d’utilisateurs (page 317).
Figure 76 : Système > Ouverture de session > Serveurs > Serveur anonyme
248

Configuration d’une instance de serveur de certificats
La fonctionnalité de serveur de certificats permet l’authentification des
utilisateurs selon les attributs figurant dans des certificats côté client.
Vous pouvez utiliser le serveur de certificats seul ou en combinaison avec
un autre serveur pour authentifier les utilisateurs et les faire correspondre
à des rôles.
Vous pouvez, par exemple, décider d’authentifier les utilisateurs en fonction
de leurs seuls attributs de certificat. Si le système IVE détermine que le
certificat de l’utilisateur est valide, il le connecte à l’aide des attributs
de certificat que vous avez indiqués et ne l’invite pas à entrer un nom
d’utilisateur ou un mot de passe.
Vous pouvez également décider d’authentifier les utilisateurs en transmettant
leurs attributs de certificat côté client à un second serveur d’authentification
(LDAP, par exemple). Dans ce cas, le serveur de certificats détermine tout
d’abord si le certificat de l’utilisateur est valide. Le système IVE peut
ensuite utiliser des règles de correspondance de rôles au niveau du
royaume pour comparer les attributs de certificat aux attributs LDAP de
l’utilisateur. S’il ne trouve aucune correspondance, le système IVE peut
refuser ou limiter l’accès de l’utilisateur en fonction de vos spécifications.
Important : Lors de l’utilisation de certificats côté client, il est vivement conseillé
d’inviter les utilisateurs finaux à fermer leurs navigateurs Web après la
déconnexion du système IVE. Dans le cas contraire, d’autres utilisateurs
pourraient en effet profiter des sessions ouvertes pour accéder à des ressources
protégées par un certificat sur le système IVE sans se réauthentifier. (Après avoir
chargé un certificat côté client, Internet Explorer et Netscape mettent tous deux
en cache les données d’identification et la clé privée qui y sont stockées. Les
navigateurs conservent ces informations en mémoire cache jusqu’à ce que
l’utilisateur ferme le navigateur (ou, dans certains cas, jusqu’à ce qu’il redémarre
la station de travail). Pour plus d’informations, consultez la page suivante :
http://support.microsoft.com/?kbid=290345.) Pour rappeler aux utilisateurs de
fermer leurs navigateurs, vous pouvez modifier le message de déconnexion dans
l’onglet Système > Ouverture de session > Pages d’ouverture de session.
5
Définition d’une configuration de serveur de certificats
Lorsque vous définissez un serveur de certificats sur le système IVE, vous
devez effectuer les opérations suivantes :
1. Utilisez les paramètres de l’onglet Système > Configuration >
Certificats > Certificats CA pour importer le certificat CA utilisé pour
signer les certificats côté client.
2. Créez une instance de serveur de certificats :
1
Accédez à Système > Ouverture de session > Serveurs.
2
Choisissez Serveur de certificats dans la liste Nouveau, puis
cliquez sur Nouveau serveur.
3
Entrez le nom qui identifiera l’instance de serveur.
4
Dans le champ Modèle de nom d’utilisateur, indiquez comment le
système IVE doit créer un nom d’utilisateur. Vous pouvez utiliser toute
combinaison de variables de certificat dans des crochets en chevron et

249
du texte en clair. Pour connaître la liste des variables de certificat,
reportez-vous à la section « Variables système et exemples », page 504.
Remarque : Si vous choisissez un attribut de certificat comportant plusieurs
valeurs, le système IVE utilise la première valeur pour laquelle une
correspondance a été trouvée. Si vous entrez, par exemple, <certDN.OU>
et que l’utilisateur possède deux valeurs pour l’attribut (ou=management,
ou=sales), le système IVE utilise la valeur « management ». Pour utiliser
toutes les valeurs, ajoutez l’attribut SEP à la variable. Par exemple, si vous
entrez <certDN.OU SEP=”:”> le système IVE utilise « management:sales ».
5
Cliquez sur Enregistrer les modifications. Si vous créez l’instance de
s’affichent.
Remarque : Pour plus d’informations sur la surveillance et la suppression
des sessions des utilisateurs connectés via le serveur, reportez-vous à la
section « Affichage et suppression des sessions utilisateur », page 297.
3. Si vous souhaitez vérifier les attributs de certificat auprès d’un serveur
LDAP, utilisez les paramètres de la page Système > Ouverture de
session > Serveurs pour créer une instance de serveur LDAP. Notez
que vous devez utiliser la section Recherche d’entrées d’utilisateur de
la page de configuration LDAP pour récupérer les attributs spécifiques
aux utilisateurs que vous voulez vérifier via le certificat.
4. Les paramètres de l’onglet Utilisateurs > Authentification >
Authentification > Général ou Administrateurs > Authentification >
Général vous permettent d’indiquer les royaumes qui doivent employer
le serveur de certificats pour authentifier les utilisateurs. (Vous pouvez
également utiliser les paramètres de ces onglets pour indiquer les
royaumes qui doivent utiliser un serveur LDAP pour vérifier les attributs
de certificat.)
5. Les paramètres de la page Système > Ouverture de session >
Stratégies d’ouverture de session permettent d’associer les royaumes
configurés dans l’étape précédente à des URL d’ouverture de session
spécifiques.
6. Si vous souhaitez limiter l’accès des utilisateurs à des royaumes, rôles
ou stratégies de ressources selon des attributs de certificat spécifiques,
utilisez les paramètres décrits dans la section « Restrictions de
certificat », page 565.
250

Figure 77 : Système > Ouverture de session > Serveurs > Serveur de certificats

251
252

Configuration d’une instance de serveur LDAP
Le système IVE prend en charge deux options d’authentification spécifiques
au protocole LDAP :
• Non chiffrée, où le nom d’utilisateur et le mot de passe sont envoyés
par le système IVE au service d’annuaires LDAP sous forme de texte
simple non codé ;
• LDAPS, où les données de la session d’authentification LDAP sont
chiffrées par le système IVE à l’aide du protocole SSL (Secure Socket
Layer) avant d’être envoyées au service d’annuaires LDAP.
Le système IVE prend également en charge la gestion dynamique de mots
de passe et de groupes LDAP. La fonctionnalité de gestion de mots de passe
permet aux utilisateurs authentifiés au moyen d’un serveur LDAP de gérer
leurs mots de passe dans le système IVE à l’aide des stratégies définies sur
le serveur LDAP1. Par exemple, si un utilisateur tente de se connecter au
système IVE avec un mot de passe LDAP qui va bientôt expirer, le système
IVE saisit la notification de mot de passe expiré, la présente à l’utilisateur
sur l’interface du système IVE et renvoie la réponse de l’utilisateur au
serveur LDAP sans demander à l’utilisateur de se connecter séparément au
serveur LDAP.
Définition d’une instance de serveur LDAP .......................................... 253
Fonctions de gestion de mots de passe LDAP prises en charge ......... 255
5
Définition d’une instance de serveur LDAP
Pour définir une instance de serveur LDAP, procédez comme suit :
Serveurs.
•
sélectionnez Serveur LDAPdans la liste Nouveau puis cliquez sur
Nouveau serveur.
•
d’autorisation.
4. Entrez le nom ou l’adresse IP du serveur LDAP que le système IVE
emploie pour valider vos utilisateurs.
5. Définissez le port surveillé par le serveur LDAP. Il s’agit généralement du
port 389 dans le cas d’une connexion non chiffrée et du port 636 en cas
d’emploi de SSL.
6. Définissez les paramètres des serveurs LDAP secondaires (facultatif).
Le système IVE utilise les serveurs indiqués en cas de défaillance.
Chaque demande d’authentification est d’abord transmise au serveur
1. La gestion du mot de passe LDAP est un élément couvert par la licence.

253
LDAP principal puis, si celui-ci n’est pas disponible, aux serveurs
secondaires indiqués.
Remarque : Les serveurs LDAP secondaires doivent posséder la même
version que le serveur LDAP principal. Il est également recommandé de
spécifier l’adresse IP d’un serveur LDAP secondaire plutôt que son nom d’hôte,
afin d’accélérer le traitement en cas de défaillance en évitant d’avoir à résoudre
le nom d’hôte en adresse IP.
7. Indiquez si la connexion entre le système IVE et le service d’annuaires
LDAP doit ou non être chiffrée ou si elle doit utiliser SSL (LDAP).
8. Indiquez le type de serveur LDAP par rapport auquel vous souhaitez
authentifier les utilisateurs.
9. Cliquez sur Tester la connexion pour vérifier la connexion entre le
Système IVE et les serveurs LDAP indiqués. (facultatif)
10. Cochez la case Authentification requise pour rechercher dans LDAP
si le système IVE doit procéder à l’authentification par rapport au
répertoire LDAP pour effectuer une recherche ou modifier des mots
de passe à l’aide de la fonctionnalité de gestion de mots de passe
(page 255). Saisissez ensuite un identificateur unique (DN) et un mot
de passe administrateur.
Exemple de DN :
CN=Administrateur,CN=Utilisateurs,DC=eng,DC=Juniper,DC=com
11. Sous Trouver les entrées utilisateur, spécifiez les éléments suivants :
•
DN de base à partir de laquelle vous pouvez lancer la recherche
d’entrées utilisateur.
Exemple : DC=eng,DC=Juniper,DC=com
•
Filtre si vous souhaitez affiner la recherche.
Exemple : samAccountname=<USER>
ou
cn=<USER>
•
Tapez <USER> (en majuscules) dans le filtre pour utiliser dans la
recherche le nom d’utilisateur saisi sur la page d’ouverture de
session.
•
Définissez un filtre qui renvoie 0 ou 1 identificateur unique
d’utilisateur par utilisateur ; si plusieurs identificateurs uniques
sont renvoyés, le système IVE utilise le premier à avoir été
renvoyé.
12. Le système IVE prend en charge à la fois les groupes statiques et les
groupes dynamiques. Pour activer la recherche de groupes, vous devez
spécifier la méthode de recherche de groupes sur le serveur LDAP pour
le système IVE. Sous Détermination de l’appartenance à un groupe,
définissez les éléments suivants :
•
DN de base à partir de laquelle vous pouvez lancer la recherche de
groupes d’utilisateurs.
•
Filtre si vous souhaitez affiner la recherche.
•
Attribut de membre pour identifier tous les membres d’un groupe
statique.
Exemple d’Active Directory : membre
Exemple iPlanet : membreunique
•
Attribut de requête pour spécifier une requête LDAP dans le but
d’identifier tous les membres d’un groupe dynamique.
Exemple iPlanet : URLmembre
254

•
Niveau de groupe imbriqué pour spécifier le nombre de niveaux au
sein d’un groupe dans lesquels l’utilisateur doit effectuer sa recherche.
Notez que plus ce nombre est important, plus la requête demande de
temps. Il est donc recommandé de ne pas spécifier plus de 2 niveaux
pour effectuer la recherche.
13. Sous Lier les options, sélectionnez :
•
Liaison simple pour envoyer les données d’identification d’un
utilisateur en clair (pas de chiffrement) au service d’annuaires LDAP.
•
Liaison StartTLS pour chiffrer les données d’identification d’un
utilisateur à l’aide du protocole TLS (Transport Layer Security) avant
que ces dernières soient envoyées au service d’annuaires LDAP par le
système IVE.
s’affichent.
(page 317).
Fonctions de gestion de mots de passe LDAP prises en charge
Cette section décrit les stratégies de mots de passe, le verrouillage et les
fonctions de validation LDAP que le système IVE prend en charge lorsqu’il
effectue l’authentification par rapport à Microsoft Active Directory, Sun
iPlanet et les serveurs LDAP Novell eDirectory. Ces fonctions doivent être
définies dans le serveur LDAP avant que le système IVE ne transmette les
messages, les fonctions et les restrictions correspondants aux utilisateurs
finaux. Lors de l’authentification par rapport à un serveur LDAP générique,
tel que IBM Secure Directory, le système IVE authentifie l’utilisateur et lui
permet uniquement de changer son mot de passe. Concernant l’utilisation
d’Active Directory, notez les éléments suivants :
• La mise à jour d’une stratégie peut prendre jusqu’à 90 minutes à Active
Directory. Les paramètres de l’ancienne stratégie sont effectifs jusqu’à ce
qu’Active Directory ait complètement actualisé la nouvelle stratégie.
• Pour prendre en charge la modification de mots de passe lorsque vous
utilisez la gestion de mots de passe d’Active Directory, activez LDAPS sur
le serveur Active Directory, par exemple en important un certificat SSL
signé et valide dans le magasin de certificats personnels (disponible en
utilisant le MMC et en choisissant l’outil d’intégration de certificats). Le
sujet CN de ce certificat doit correspondre exactement au nom d’hôte du
serveur Active Directory. Le certificat SSL doit être signé par une CA
approuvée et peut inclure des CA locales, dans la mesure où celles-ci
sont approuvées. Remarque : le certificat racine doit être installé dans
le magasin de certificats racine afin de pouvoir établir l’approbation.

255
Fonctions de stratégies de mot de passe prises en charge :
• Authentifier l’utilisateur IVE par rapport au serveur LDAP.
• Permettre à l’utilisateur de modifier son mot de passe LDAP via la page
Préférences > système du système IVE.
• Déconnecter l’utilisateur du système IVE après modification réussie de
son mot de passe LDAP.
• Demander à l’utilisateur de modifier son mot de passe LDAP la prochaine
fois qu’il se connecte au système IVE.
Remarque : si vous activez cette fonction à l’aide d’un serveur iPlanet, vous
devez vous connecter au Directory Manager et modifier le mot de passe de
l’utilisateur afin de redéfinir l’utilisateur. La prochaine fois que l’utilisateur se
connecte en utilisant son nouveau mot de passe, le système IVE l’invite à
changer de mot de passe.
• Indiquer à l’utilisateur quand son mot de passe LDAP a expiré.
• Avertir l’utilisateur 14 jours avant l’expiration de son mot de passe LDAP.
Remarque : Si vous activez cette option à l’aide d’un :
- Serveur iPlanet : le système IVE ne reconnaît que les stratégies d’expiration
de mot de passe au niveau des utilisateurs et non au niveau des groupes.
- Serveur Active Directory : définir la date d’expiration d’un compte n’a pas
d’effet sur la date d’expiration du mot de passe de l’utilisateur.
Fonctions de verrouillage de mot de passe prises en charge :
• Verrouiller l’utilisateur hors du système IVE et du serveur LDAP, si son
mot de passe est désactivé ou verrouillé.
Fonctions de validation de mot de passe prises en charge :
• Appliquer une longueur minimale de mot de passe LDAP.
• Appliquer un « âge » minimal au mot de passe LDAP, pour éviter que
l’utilisateur ne change son mot de passe trop fréquemment.
• Appliquer des conditions complexes de mot de passe LDAP pour éviter
que l’utilisateur n’intègre son nom d’utilisateur, son prénom ou son
nom de famille dans son mot de passe, en lui demandant d’inclure des
caractères issus de trois des catégories suivantes : lettres majuscules
latines, lettres minuscules latines, chiffres et caractères non
alphanumériques (par exemple : !, $, %).
• Respecter l’historique du mot de passe LDAP de l’utilisateur.
Si vous définissez la valeur de l’historique du mot de passe à 0, l’utilisateur peut
réutiliser le même mot de passe.
256

Figure 78 : Système > Ouverture de session > Serveurs > Serveur LDAP

257
Configuration d’une instance de serveur IVE locale
Le système IVE vous permet de créer une ou plusieurs bases de données
locales d’utilisateurs authentifiés par le système IVE. Il peut être utile de
créer des enregistrements d’utilisateurs locaux pour les utilisateurs qui sont
normalement vérifiés par un serveur d’authentification externe que vous
envisagez de désactiver, ou si vous voulez créer un groupe d’utilisateurs
temporaires. Notez que tous les comptes administrateur sont stockés
sous la forme d’enregistrements locaux, mais que vous pouvez choisir
d’authentifier les administrateurs au moyen d’un serveur externe à partir
des instructions répertoriées à la section « Définition d’une stratégie de
domaine d’authentification », page 319.
Cette section comprend les procédures suivantes :
Définition d’une instance de serveur IVE locale ................................... 258
Création d’utilisateurs locaux................................................................ 260
Gestion des comptes d’utilisateur......................................................... 261
Délégation de droits d’administration des utilisateurs aux
utilisateurs finals ............................................................................... 262
5
Définition d’une instance de serveur IVE locale
Lorsque vous définissez une nouvelle instance de serveur IVE, vous devez
lui attribuer un nom unique et configurer les options de mot de passe et
la gestion des mots de passe. Ces options de mot de passe permettent de
déterminer la longueur du mot de passe, les caractères admis et l’autorisation
ou non des doublons. Le cas échéant, vous pouvez autoriser les utilisateurs
à modifier leur mot de passe et les contraindre à changer de mot de passe
après un nombre de jours précis. Vous pouvez également inviter l’utilisateur
à modifier le mot de passe dans un certain délai avant son échéance.
Pour définir un serveur IVE local :
Serveurs.
•
sélectionnez Authentification IVE dans la liste Nouveau puis cliquez
•
d’autorisation.
3. Entrez un nom qui identifiera la nouvelle instance du serveur, ou modifiez
le nom d’un serveur existant.
4. Définissez les options de mot de passe :
1
258

Dans la zone Options de mot de passe, entrez le nombre minimal de
caractères des mots de passe.
2
Fixez la longueur maximale des mots de passe (facultatif). La longueur
maximale ne peut pas être inférieure à la longueur minimale. Il n’existe
pas de limite maximale.
Remarque : Si vous voulez que tous les mots de passe soient de longueur
identique, fixez la même valeur pour la longueur minimale et la longueur
maximale.
3
Activez la case à cocher Le mot de passe doit comporter au moins_
chiffres puis entrez le nombre de chiffres que les mots de passe doivent
comporter (facultatif). Ne demandez pas un nombre de chiffres supérieur
à la valeur de l’option Longueur maximale.
4
Activez la case à cocher Le mot de passe doit comporter au moins_
lettres puis entrez le nombre de lettres que les mots de passe doivent
comporter (facultatif). Ne demandez pas un nombre de lettres supérieur
à la valeur de l’option Longueur maximale. Si vous activez l’option cidessus, le total des deux options ne peut pas dépasser la valeur indiquée
dans l’option Longueur maximale.
5
Activez la case à cocher Le mot de passe doit comporter une
combinaison de MAJUSCULES et de minuscules si vous voulez
que tous les mots de passe comprennent une combinaison de lettres en
majuscules et en minuscules (facultatif).
Important : Si vous exigez une combinaison de majuscules et de minuscules, exigez en outre que les mots de passe contiennent au moins deux
lettres.
6
Activez la case à cocher Le mot de passe doit différer du nom
d’utilisateur si le mot de passe ne peut pas être identique au nom
d’utilisateur (facultatif).
7
Activez la case à cocher Les nouveaux mots de passe doivent
différer du mot de passe précédent si le nouveau mot de passe ne
peut pas être identique au mot de passe précédent (facultatif).
5. Définissez les options de gestion des mots de passe :
1
Dans la zone Gestion des mots de passe, activez la case à cocher
Autoriser les utilisateurs à modifier leurs mots de passe si vous
voulez que les utilisateurs puissent modifier leurs mots de passe
(facultatif).
2
Activez la case à cocher Forcer le changement de mot de passe
après _ jours et entrez le nombre de jours après lequel les mots de
passe expirent (facultatif).
Remarque : La valeur par défaut est fixée à 64 jours, mais vous pouvez
choisir n’importe quel nombre.
3
Activez la case à cocher Inviter les utilisateurs à changer de mot de
passe _ jours avant l’expiration du mot de passe actuel puis entrez
le nombre de jours, avant l’expiration, à partir duquel l’utilisateur sera
invité à changer de mot de passe (facultatif).
Remarque : La valeur par défaut est fixée à 14 jours, mais vous pouvez
la fixer à n’importe quel nombre jusqu’à celui qui figure dans l’option
précédente.

259
serveur pour la première fois, les onglets Utilisateurs et Admin
utilisateurs s’affichent.
Après avoir défini les options de mot de passe et les options de gestion des
mots de passe, vous devez déterminer quels royaumes doivent utiliser le
serveur pour authentifier et autoriser les administrateurs et les utilisateurs.
Utilisez l’option Permettre la gestion des mots de passe de la page
Administrateurs/Utilisateurs > Authentification > Royaume >
Stratégie d’authentification > Mot de passe pour déterminer si le
royaume hérite ou non des paramètres de gestion des mots de passe du
serveur IVE local. Reportez-vous à la section « Définition d’une restriction
de longueur de mot de passe », page 566 pour plus d’informations sur
l’activation de la gestion des mots de passe.
Figure 79 : Système > Ouverture de session > Serveurs > Authentification locale IVE
5
Création d’utilisateurs locaux
Lorsque vous créez un serveur d’authentification IVE, vous devez définir
des enregistrements d’utilisateurs locaux pour cette base de données. Un
enregistrement d’utilisateur local comprend un nom d’utilisateur, le nom
complet de l’utilisateur et son mot de passe. Il peut être utile de créer
des enregistrements d’utilisateurs locaux pour les utilisateurs qui sont
normalement vérifiés par un serveur d’authentification externe que vous
envisagez de désactiver, ou si vous voulez créer rapidement un groupe
d’utilisateurs temporaires.
260

Pour créer des enregistrements d’utilisateurs locaux pour un serveur
d’authentification IVE :
1. Dans la Console Web, effectuez l’une des opérations suivantes :
•
Choisissez Système > Ouverture de session > Serveurs, cliquez
sur la base de données IVE à laquelle vous souhaitez ajouter un
compte utilisateur, sélectionnez l’onglet Utilisateurs et cliquez sur
Nouveau.
•
Choisissez Utilisateurs > Nouvel utilisateur.
2. Entrez un nom d’utilisateur. Remarque :
•
N’incluez pas la chaîne « ~~ » dans un nom d’utilisateur.
•
Si vous voulez modifier le nom d’utilisateur d’un utilisateur après
avoir créé son compte, vous devez créer un nouveau compte.
3. Entrez le nom complet de l’utilisateur.
4. Entrez le mot de passe et confirmez-le.
Important : Assurez-vous que le mot de passe que vous avez entré est bien
conforme aux options de mot de passe définies pour le serveur IVE associé.
5. Activez la case à cocher Inviter l’utilisateur à changer de mot de
passe à la prochaine ouverture de session si vous voulez que
l’utilisateur modifie son mot de passe lors de sa première ouverture
de session.
6. (page Utilisateurs > Nouvel utilisateur uniquement) Dans la liste
Authentifier par, sélectionnez la base de données IVE à laquelle vous
souhaitez ajouter un compte utilisateur.
7. Cliquez sur Enregistrer les modifications. L’enregistrement de
l’utilisateur est ajouté à la base de données IVE.
Figure 80 : Utilisateurs > Ouverture de session > Serveurs > Authentification IVE
locale > Utilisateurs > Nouvel utilisateur
5
Gestion des comptes d’utilisateur
La page de configuration pour les serveurs d’authentification IVE locaux
contient l’onglet Utilisateurs que vous pouvez utiliser pour visualiser,
modifier et supprimer des comptes utilisateur IVE actifs.

261
Pour gérer un compte d’utilisateur local :
Serveurs.
2. Cliquez sur le lien du serveur approprié dans la liste Serveurs
3. Sélectionnez l’onglet Utilisateurs.
•
Entrez un nom d’utilisateur dans le champ Afficher les utilisateurs
nommés et cliquez sur Mettre à jour afin de rechercher un
utilisateur spécifique.
Vous pouvez également utiliser le caractère générique *. Ce caractère
représente n’importe quel nombre de caractères. Par exemple, si vous
voulez rechercher tous les noms d’utilisateurs contenant les lettres jo,
tapez *jo* dans le champ Afficher les utilisateurs nommés. La
recherche respecte la casse. Pour afficher de nouveau la liste des
comptes dans son intégralité, tapez * ou effacez le contenu du champ
•
Entrez un nombre dans le champ Afficher X utilisateurs et cliquez
sur Mettre à jour afin de contrôler le nombre d’utilisateurs affichés
sur la page.
•
Cochez la case à située en regard de chacun des utilisateurs et
cliquez sur Supprimer pour mettre fin à leurs sessions IVE.
Figure 81 : Système > Ouverture de session > Serveurs > Authentification IVE
locale > Utilisateurs
5
Délégation de droits d’administration des utilisateurs aux utilisateurs finals
L’onglet Système > Ouverture de session > Admin utilisateurs permet
de déléguer des droits d’administration utilisateur à certains utilisateurs
finals, y compris l’ajout d’utilisateurs à un serveur d’authentification IVE local,
la suppression d’utilisateurs et la modification de leur nom complet ou celle de
leurs mots de passe. Toutes ces opérations s’effectuent via le menu Admin
utilisateur de la page d’accueil de la passerelle sécurisée.
262

Remarque : Les utilisateurs disposant de droits administratifs ne peuvent gérer
que des serveurs d’authentification IVE locaux. Notez en outre que les utilisateurs
disposant de droits administratifs ne peuvent gérer ni les royaumes, ni les
correspondances de rôles. Par conséquent, il est conseillé d’activer la fonction
Admin utilisateurs uniquement si les règles de correspondance des rôles du
domaine d’authentification permettent aux utilisateurs « introuvables » (*) d’ouvrir
une session sur le système IVE. Les utilisateurs disposant de droits administratifs
pourront ainsi ajouter de nouveaux utilisateurs sans l’intervention de l’administrateur.
(Si les correspondances de rôles sont automatiques, l’utilisateur disposant de
droits administratifs n’a pas besoin de recourir à l’administrateur pour faire
correspondre manuellement les nouveaux utilisateurs à un rôle.)
Pour déléguer des droits d’administration des utilisateurs à un
utilisateur final :
Serveurs.
2. Sélectionnez l’instance locale du serveur d’authentification IVE que
l’utilisateur disposant de droits administratifs pourra gérer, puis cliquez
sur l’onglet Admin utilisateurs.
Remarque : Les utilisateurs disposant de droits administratifs ne peuvent gérer
que des serveurs d’authentification IVE.
3. Entrez le Nom d’utilisateur de l’utilisateur qui devra gérer les comptes
pour le serveur d’authentification sélectionné. Il n’est pas nécessaire
d’ajouter cet utilisateur en tant qu’utilisateur local sur le serveur
qu’il gère.
Remarque : Évitez toute erreur lors de la saisie du nom d’utilisateur de l’utilisateur avec droits administratifs.
4. Sélectionnez le Domaine d’authentification auquel est associé
l’utilisateur disposant de droits administratifs lors de son ouverture
de session dans le système IVE.
5. Cliquez sur Ajouter. Le système IVE ajoute le nouvel utilisateur avec
droits administratifs à la liste Admin utilisateurs au format suivant :
nomutilisateur@nomserveur.
6. Si l’utilisateur disposant de droits administratifs que vous avez spécifié
est associé à plusieurs royaumes, répétez éventuellement les étapes 3 à
5 pour chaque royaume. Il pourra ainsi gérer le serveur indépendamment
du compte employé pour la connexion au système IVE.
7. Pour supprimer les droits d’administratifs d’un utilisateur, sélectionnez
son nom dans la liste Admin utilisateurs, puis cliquez sur Supprimer.
Remarque : Pour plus d’informations sur la gestion des utilisateurs à partir de la
page d’accueil de la passerelle sécurisée, consultez la rubrique d’aide des
utilisateurs finals relative à l’ajout et à la modification d’utilisateurs. Il s’agit de l’aide
disponible sur le système IVE en cas de connexion en tant qu’utilisateur final.

263
Figure 82 : Système > Ouverture de session > Serveurs > Authentification IVE
locale > Admin utilisateurs
264

Configuration d’une instance de serveur NIS
Si vous authentifiez les utilisateurs à l’aide d’un serveur UNIX/NIS, le IVE
vérifie que le nom d’utilisateur et le mot de passe entrés sur la page
d’ouverture de session correspondent bien à une combinaison valide d’ID
et de nom d’utilisateur sur le serveur NIS. Notez que le nom d’utilisateur
soumis au système IVE ne peut pas contenir deux tildes successives (~~).
Remarque : Vous ne pouvez utiliser l’authentification NIS avec le système IVE
que si vos mots de passe sont stockés sur le serveur NIS au format Crypt ou
MD5. Notez également que vous ne pouvez ajouter qu’une seule configuration de
serveur NIS sur le système IVE, mais que vous pouvez l’utiliser pour authentifier
autant de royaumes que nécessaire.
5
Définition d’une instance de serveur NIS
Pour définir une instance de serveur NIS, procédez comme suit :
Serveurs.
•
sélectionnez NIS Server dans la liste Nouveau puis cliquez sur
Nouveau serveur.
•
d’autorisation.
4. Définissez le nom ou l’adresse IP du serveur NIS.
5. Définissez le nom de domaine du serveur NIS.
s’affichent.
(page 317).

265
Figure 83 : Système > Ouverture de session > Serveurs > Serveur NIS
266

Configuration d’une instance de serveur RADIUS
Si vous authentifiez les utilisateurs à l’aide d’un serveur RADIUS, vous
devez configurer ce dernier afin qu’il reconnaisse le IVE comme client, puis
définir un secret partagé que le serveur RADIUS utilisera pour authentifier
la demande du client.
Le système IVE prend en charge les systèmes d’authentification standard
de RADIUS, à savoir :
• Access-Request
• Access-Accept
• Access-Reject
• Access-Challenge
Le IVE prend également en charge le système RSA ACE/Server à l’aide du
protocole RADIUS et d’un jeton SecurID (disponible auprès de Sécurité
Dynamics). Si vous employez SecurID pour authentifier les utilisateurs,
ceux-ci doivent fournir leur ID d’utilisateur et une chaîne composée d’un
PIN et de la valeur du jeton.
Lors de la définition d’un serveur RADIUS, le système IVE permet à
l’administrateur d’employer des expressions de défi figées dans le code
(par défaut) qui prennent en charge Defender 4.0 et certains déploiements
de serveurs RADIUS (comme Steelbelted-RADIUS and RSA RADIUS) ou
d’entrer des expressions de défi personnalisées qui permettent au système
IVE de fonctionner avec de nombreux déploiements différents de RADIUS
et de nouvelles versions du serveur RADIUS, comme Defender 5.0.
Le système IVE recherche la réponse dans le paquet Access-Challenge
provenant du serveur et émet un défi approprié de jeton suivant, de
nouveau pin ou de code générique pour l’utilisateur.
Utilisation d’un serveur PassGo Defender RADIUS
Si vous employez un serveur PassGo Defender RADIUS, le processus
d’ouverture de session utilisateur se déroule comme suit :
1. L’utilisateur se connecte au système IVE à l’aide d’un nom d’utilisateur
et d’un mot de passe. Le système IVE transmet ces données d’identification
à Defender.
2. Defender envoie une chaîne de défi unique au système IVE, qui la
communique à l’utilisateur.
3. L’utilisateur entre la chaîne de défi dans un jeton Defender, qui génère
une chaîne de réponse.
4. L’utilisateur entre la chaîne de réponse sur le système IVE puis clique
sur Connexion.
Utilisation de l’authentification CASQUE
L’authentification CASQUE emploie un mécanisme d’authentification par
défi/réponse basé sur les jetons, à l’aide d’un lecteur CASQUE installé sur
le système client. Lorsqu’il est configuré pour l’authentification CASQUE,
le serveur RADIUS émet un défi avec une réponse correspondant à
l’expression de défi personnalisée (:([0-9a-zA-Z/+=]+):). Le système IVE

267
génère ensuite une page intermédiaire qui lance automatiquement le
lecteur CASQUE installé sur le système de l’utilisateur.
Remarque : Si le lecteur CASQUE ne démarre pas automatiquement, cliquez sur
le lien Démarrer le lecteur CASQUE.
L’utilisateur doit ensuite employer son jeton de réponse optique CASQUE
pour générer le code correspondant, entrer ce code dans la zone Réponse
puis cliquer sur Connexion.
Figure 84 : Page de défi/réponse pour authentification CASQUE avec lecteur
CASQUE
5
Définition d’un serveur RADIUS
Pour définir un serveur RADIUS :
Serveurs.
•
sélectionnez Serveur Radius dans la liste Nouveau puis cliquez sur
Nouveau serveur.
•
d’autorisation.
4. Définissez le nom ou l’adresse IP du serveur RADIUS.
5. Entrez la valeur de port du serveur RADIUS. Il s’agit généralement
du port 1812, mais certains systèmes plus anciens peuvent utiliser le
port 1645.
6. Entrez une chaîne définissant le secret partagé. Vous devrez également
entrer cette chaîne lors de la configuration du serveur RADIUS afin de
reconnaître l’ordinateur IVE comme client.
7. Entrez l’intervalle pendant lequel le système IVE attend une réponse du
serveur RADIUS avant de décider que le délai de connexion est dépassé.
8. Entrez le nombre de tentatives de connexion par le système IVE en cas
d’échec de la première tentative.
268

9. Entrez un serveur RADIUS secondaire que le système IVE emploiera si le
serveur principal (défini dans cette instance) n’est pas accessible. Pour
le serveur secondaire, entrez le serveur :
•
Nom ou adresse IP
•
Valeur de port
•
Secret partagé
Remarque : Veillez à définir une instance pour ce serveur RADIUS secondaire.
10. Ajoutez une expression de défi personnalisée (facultatif). Il existe
trois types d’expressions de défi qui sont toutes réglées sur leur
valeur par défaut préalablement complétée. L’option personnalisée
permet à l’administrateur de configurer le motif de chaîne réel afin
qu’il corresponde à n’importe lequel des trois modes. Pour ajouter
une expression personnalisée, activez l’option Personnalisée sous
le type d’expression de défi approprié, puis ajoutez une expression
personnalisée dans la zone de texte correspondante.
Remarque : Si vous utilisez l’authentification CASQUE, entrez :([0-9a-zAZ/+=]+): comme expression personnalisée pour l’Expression de défi
générique d’ouverture de session.
s’affichent.
(page 317).

269
Figure 85 : Système > Ouverture de session > Serveurs > Serveur Radius
5
Configurez le serveur RADIUS pour qu’il reconnaisse le IVE
Vous devez configurer le serveur RADIUS pour qu’il reconnaisse le serveur
Système IVE, en définissant :
• Le nom d’hôte attribué au Système IVE.
• L’adresse IP réseau du Système IVE.
• le type de client Système IVE (le cas échéant). Si cette option est
disponible, sélectionnez Serveur de transaction unique ou une option
équivalente ;
• le type de chiffrement à employer pour authentifier les communications
des clients. L’option choisie doit correspondre au type de client ;
• Le secret partagé que vous avez entré dans la Console Web pour le
serveur RADIUS, à la page Système > Ouverture de session >
Serveurs > Serveur Radius.
270

Configuration d’une instance de serveur Netegrity SiteMinder
Les rubriques abordées sont les suivantes :
Présentation générale de Netegrity SiteMinder.................................... 271
Configuration de SiteMinder pour une utilisation avec le système IVE 275
Configuration du système IVE pour l’utiliser avec SiteMinder .............. 283
Présentation générale de Netegrity SiteMinder
Lorsque vous configurez le système IVE pour qu’il authentifie les utilisateurs
avec un serveur de stratégie Netegrity SiteMinder, il transmet les données
d’identification de l’utilisateur à SiteMinder pendant la phase d’authentification.
Une fois que SiteMinder a reçu ces données, il peut employer l’authentification
standard du nom d’utilisateur et du mot de passe, les jetons ACE SecurID
ou les certificats côté clients pour authentifier les données d’identification
(comme expliqué à la section « Authentification à l’aide de plusieurs
systèmes », page 272).
Le système IVE transmet également une ressource protégée à SiteMinder
pendant la phase d’authentification, afin de déterminer le royaume qu’il
doit utiliser pour authentifier l’utilisateur. Pendant la transmission de la
ressource protégée, SiteMinder autorise l’URL de l’utilisateur par rapport au
royaume associé à la ressource et permet à l’utilisateur d’accéder librement
à toutes les ressources dont le niveau de protection est inférieur ou égal à
celui de la ressource transmise par le système IVE (comme expliqué à la
section « Configuration du système IVE afin d’accorder aux utilisateurs
différentes ressources protégées », page 283). Si l’utilisateur essaie
d’accéder à une ressource Web dotée d’un niveau de protection supérieur,
la demande est gérée par SiteMinder ou par le système IVE (comme
expliqué à la section « Réauthentification des utilisateurs disposant de
niveaux de protection insuffisants », page 273).
À partir du système IVE, une ouverture de session unique est autorisée
sur les ressources protégées de SiteMinder à l’aide de cookies SMSESSION.
Un cookie SMSESSION est un jeton de sécurité qui stocke les données
d’identification et le niveau de protection d’un utilisateur. Selon votre
configuration, l’agent Web de SiteMinder ou le système IVE crée un cookie
SMSESSION pour stocker les données d’ouverture de session puis l’envoie
vers les emplacements suivants, afin d’éviter à l’utilisateur de s’authentifier
à nouveau s’il souhaite accéder à des ressources supplémentaires :
• Le système IVE
Si l’utilisateur essaie d’accéder à une ressource SiteMinder à partir de
sa session IVE (par exemple, à partir de la page de navigation IVE),
le système IVE transmet son cookie SMSESSION mis en cache à l’agent
Web afin de procéder à l’authentification.
• Le navigateur Web de l’utilisateur
Si l’utilisateur essaie d’accéder à une ressource SiteMinder hors de sa
session IVE (par exemple, à partir de son compte Yahoo!), SiteMinder
transmet le cookie SMSESSION mis en cache dans le navigateur Web
de l’utilisateur à l’agent Web afin de procéder à son authentification.
Si vous activez l’option Ouverture de session automatique (page 287),
le système IVE peut également utiliser des cookies SMSESSION afin de
permettre une ouverture de session IVE unique à partir d’une ressource

271
SiteMinder. Lorsqu’un agent Web envoie les données d’identification du
système IVE, ce dernier autorise l’accès à l’utilisateur (si ces données
sont valides) et le fait correspondre au royaume IVE et au rôle que vous
avez définis.
Pour créer des cookies SMSESSION, vous pouvez utiliser un agent Web IVE
personnalisé (créé avec la version 5.5 de Netegrity SDK) ou un agent Web
standard. Si vous utilisez :
• l’agent Web IVE personnalisé
Le système IVE authentifie les utilisateurs et crée des cookies
SMSESSION. Si vous activez cette option, vous devez mettre à jour
votre environnement SiteMinder afin d’accepter les cookies tiers
(page 288).
• l’agent Web standard
Le système IVE envoie les données d’identification à un agent Web
standard que vous avez déjà configuré. L’agent web crée ensuite des
cookies SMSESSION. Si vous activez cette option, vous ne pouvez utiliser
ni les modes Nouveau pin et Jeton suivant, ni l’authentification de
certificats côté client (page 288).
Important :
• Au moment de la mise sous presse du présent manuel, Juniper Networks
prend en charge la version 6.0 du serveur Netegrity Siteminder avec les
versions agent standard 6, 5QMR5 et 4QMR6.
• SiteMinder ne stocke pas l’adresse IP dans le cookie SMSESSION et ne
peut donc pas la transférer au Système IVE.
• SiteMinder envoie le cookie SMSESSION au système IVE en tant que
cookie persistant. Pour une sécurité optimale, le système IVE redéfinit le
cookie persistant en cookie de session après authentification.
• Lorsque vous activez l’ouverture de session unique entre le système
IVE et SiteMinder, le système IVE ignore toute session IVE et tout délai
d’inactivité. À la place, il utilise la session et les délais d’inactivité définis
par le biais du royaume SiteMinder.
Authentification à l’aide de plusieurs systèmes
Dans SiteMinder, un système d’authentification constitue un moyen de
collecter les données d’identification d’un utilisateur et de déterminer son
identité. Vous pouvez créer différents systèmes d’authentification et leur
associer différents niveaux de protection. Par exemple, vous pouvez créer
deux systèmes, l’un offrant un niveau de protection faible aux utilisateurs
en les authentifiant uniquement en fonction des certificats côté client, et
l’autre offrant un niveau de protection plus élevé, basé sur l’authentification
de jetons ACE SecurID. Le système IVE fonctionne avec les systèmes
d’authentification SiteMinder suivants :
• Authentification basique du nom d’utilisateur et du mot de passe
Le nom de l’utilisateur et son mot de passe sont transmis au serveur de
stratégie SiteMinder. Le serveur de stratégie peut ensuite les authentifier
lui-même ou les transmettre à un autre serveur chargé de l’authentification.
272

• Authentification de jetons ACE SecurID
Le serveur de stratégie SiteMinder authentifie les utilisateurs en fonction
du nom d’utilisateur et du mot de passe générés par un jeton ACE SecurID.
• Authentification de certificat côté client
Le serveur de stratégie SiteMinder authentifie les utilisateurs en fonction
de leurs données d’identification côté client1. Si vous choisissez cette
méthode d’authentification, le système IVE affiche encore la page
d’ouverture de session standard pour les utilisateurs, en leur demandant
leur nom d’utilisateur et leur mot de passe2, mais il suffit à ces derniers
de laisser ces champs vides et de cliquer sur Envoyer si ni le système
IVE, ni le serveur SiteMinder n’exigent un nom d’utilisateur et un mot
de passe.
Important : Si vous choisissez d’authentifier les utilisateurs avec cette
méthode, vous devez importer le certificat client dans le système IVE, via
l’onglet Système > Certificats > Certificats de CA (page 161).
Pour plus d’informations sur la configuration, reportez-vous à la section :
Création d’un système d’authentification SiteMinder pour le
système IVE...................................................................................... 277
Configuration du système IVE pour l’utiliser avec plusieurs systèmes
d’authentification .................................................................................. 283
Réauthentification des utilisateurs disposant de niveaux de protection
insuffisants
Lors de la configuration du système IVE, vous devez définir une ressource
protégée de manière à contrôler le niveau de protection autorisé pour
la session SiteMinder de l’tilisateur, comme indiqué dans la section
« Présentation générale de Netegrity SiteMinder », page 271. Néanmoins,
si un utilisateur essaie d’accéder à une ressource Web exigeant un niveau
de protection plus élevé que celui auquel il est autorisé à accéder, le
système IVE peut également procéder à une réauthentification en le
dirigeant vers une page intermédiaire (à condition d’avoir activé l’option
Ressource pour niveau de protection insuffisant (page 291) lors de la
configuration du système IVE).
La page intermédiaire du système IVEcontient deux options :
• Continuer—Lorsque l’utilisateur sélectionne cette option, le système
IVE ferme sa session en cours, l’invite à fournir les données d’identification requises pour la ressource dotée du niveau de protection le plus
élevé3 et le dirige vers la page à laquelle il essaie d’accéder, si ses
données sont valides.
1. L’authentification côté client SiteMinder est indépendante de l’authentification de certificat côté client du
système IVE. Si vous sélectionnez les deux, l’authentification est d’abord effectuée par le système IVE à
l’aide des paramètres IVE de configuration. Si l’authentification réussit, les valeurs de certificat sont alors
transmises à SiteMinder afin qu’il procède à l’authentification.
2. Si vous ne souhaitez pas afficher la page d’ouverture de session standard IVE pour les utilisateurs, vous
pouvez la modifier à l’aide de la fonctionnalité de personnalisation des pages d’ouverture de session,
disponible sur le site d’assistance de Juniper.
3. Si l’utilisateur se sert du vérificateur d’hôte ou du Cache Cleaner et choisit de ne pas entrer ses données
d’identification à l’invite du système IVE, l’exécution de l’application (vérificateur d’hôte ou Cache Cleaner)
se poursuit sur le système de l’utilisateur jusqu’à ce que sa session IVE expire.

273
• Annuler—Lorsque l’utilisateur sélectionne cette option, il est renvoyé à
la page précédente.
Si, au contraire, vous choisissez de ne pas procéder à la réauthentification
par le biais du sytème IVE, le processus de réauthentification dépend du
fait que le serveur de stratégie renvoie ou non une URL de système
d’authentification à l’utilisateur. Si le serveur de stratégie :
• ne renvoie pas d’URL de système d’authentification—Le système
IVE renvoie un message d’échec de validation à l’utilisateur et procède
à une réauthentification via la page welcome.cgi standard. L’utilisateur
est invité à ouvrir une nouvelle session mais conserve son niveau de
protection d’origine, ce qui peut encore l’empêcher d’ouvrir une session
sur la page souhaitée.
• renvoie une URL de système d’authentification—Le système IVE
redirige l’utilisateur vers un agent Web standard afin de procéder à une
réauthentification.
Pour plus d’informations sur le processus de réauthentification du système
IVE, reportez-vous à la section « Création d’un système d’authentification
SiteMinder pour le système IVE », page 277.
Définition du nom d’utilisateur
Grâce aux différents systèmes d’authentification et points d’ouverture de
session qu’il propose, le système IVE peut obtenir un nom d’utilisateur soit
à partir de diverses sources, telles qu’un en-tête de serveur de stratégie ou
un attribut de certificat, soit à partir de la page d’ouverture de session IVE.
Les différentes méthodes permettant aux utilisateurs d’accéder au système
IVE et la manière dont le système IVE détermine le nom d’utilisateur de
chacun d’eux sont répertoriées ci-dessous. Lorsqu’un utilisateur :
• ouvre une session par l’intermédiaire de la page d’ouverture de
session IVE standard.
Le système IVE vérifie d’abord le nom d’utilisateur renvoyé par le serveur
de stratégie dans son en-tête de réponse OnAuthAccept. Si SiteMinder ne
définit aucun nom d’utilisateur, le système IVE utilise le nom entré par
l’utilisateur lors de l’ouverture de session. En revanche, si ni SiteMinder,
ni l’utilisateur ne fournissent de nom d’utilisateur du fait que ce dernier
s’est authentifié à l’aide d’un certificat client, le système IVE utilise la
valeur UserDN définie par le serveur de stratégie.
• ouvre automatiquement une session IVE à l’aide des données
d’identification de SiteMinder.
Le système IVE vérifie d’abord le nom d’utilisateur renvoyé par le serveur
de stratégie dans son en-tête de réponse OnAuthAccept. Si SiteMinder ne
définit aucun nom d’utilisateur, le système IVE vérifie le cookie SMSESSION.
En revanche, si SiteMinder ne remplit ni l’en-tête de réponse, ni le cookie
SMSESSION avec un nom d’utilisateur, le système IVE utilise la valeur
UserDN contenue dans le cookie SMSESSION.
Après avoir déterminé le nom d’utilisateur, le système IVE l’enregistre dans
son cache de session et s’y réfère lorsqu’un utilisateur souhaite accéder à
des ressources supplémentaires (comme expliqué à la section « Présentation
générale de Netegrity SiteMinder », page 271).
Afin de renvoyer au système IVE un nom d’utilisateur correct, vous devez
configurer la réponse OnAuthAccept sur le serveur de stratégie SiteMinder,
274

comme indiqué à la section « Création d’une paire règle/réponse pour
transmettre les noms d’utilisateurs au système IVE », page 280.
Configuration de SiteMinder pour une utilisation avec le système IVE
Les procédures décrites ci-après permettent de configurer un serveur de
stratégie SiteMinder afin de l’utiliser avec le système IVE. Ces instructions
relatives à la configuration de SiteMinder ne sont pas exhaustives. Elles
sont uniquement destinées à vous permettre de faire fonctionner SiteMinder
avec le système IVE. Pour des informations approfondies sur la configuration
de SiteMinder, consultez la documentation de votre serveur de stratégie
SiteMinder.
Remarque : Les instructions indiquées dans le présent manuel concernent la
version 5.5 du serveur de stratégie SiteMinder. Elles peuvent varier légèrement si
vous utilisez une autre version.
Pour configurer le système IVE comme agent Web sur un serveur de
stratégie SiteMinder , vous devez :
1. Configuration du système IVE comme agent Web sur SiteMinder
(page 275)
2. Création d’un système d’authentification SiteMinder pour le
système IVE (page 277)
3. Création d’un domaine SiteMinder pour le système IVE (page 278)
4. Création d’un royaume SiteMinder pour le système IVE (page 279)
5. Création d’une paire règle/réponse pour transmettre les noms
d’utilisateurs au système IVE (page 280)
6. Création d’une stratégie SiteMinder dans le domaine (page 282)
5
Configuration du système IVE comme agent Web sur SiteMinder
Sur SiteMinder, un agent contrôle l’accès en filtrant les demandes de
l’utilisateur. Par exemple, lorsqu’un utilisateur demande l’accès à une
ressource protégée, l’agent l’invite à fournir les données d’identification
définies selon un système d’authentification et envoie ces informations au
serveur de stratégie SiteMinder. Un agent Web est un agent qui fonctionne
uniquement avec un serveur Web. Lorsque vous configurez SiteMinder pour
l’utiliser avec le système IVE, vous devez configurer le système IVE comme
agent Web.
Pour configurer le système IVE comme agent Web sur un serveur de
stratégie SiteMinder :
1. Dans l’interface d’administration de SiteMinder, cliquez sur l’onglet
Système.
2. Cliquez avec le bouton droit de la souris sur Agents et sélectionnez
Créer un agent.
3. Entrez un nom pour l’agent Web et (éventuellement) une description.
Notez que vous devez entrer ce nom lors de la création d’un royaume
SiteMinder (page 279) et de la configuration du système IVE (page 285).
4. Vous devez cocher la case Prendre en charge les agents 4.x pour que
la compatibilité avec le système IVE soit effective.

275
5. Dans Type d’agent, sélectionnez SiteMinder, puis choisissez Agent
Web dans la liste déroulante. Vous devez sélectionner ce paramètre
pour assurer la compatibilité avec le système IVE.
6. Dans la zone Adresse IP ou nom d’hôte, entrez le nom ou l’adresse
IP du système IVE.
7. Dans le champ Secret partagé, entrez un secret pour l’agent Web
et confirmez-le. Notez que vous devez entrer ce secret lors de la
configuration du système IVE (page 285).
8. Cliquer sur OK.
Figure 86 : Boîte de dialogue de l’agent SiteMinder
276

5
Création d’un système d’authentification SiteMinder pour le système IVE
Dans SiteMinder, un système d’authentification constitue un moyen
de collecter les données d’identification d’un utilisateur et de déterminer
son identité.
Pour configurer un système d’authentification SiteMinder pour le
système IVE :
Système.
2. Cliquez avec le bouton droit de la souris sur Systèmes d’authentification
et sélectionnez Créer un système d’authentification.
3. Entrez un nom pour le système et (éventuellement) une description.
Notez que vous devez entrer ce nom lors de la configuration du royaume
SiteMinder (page 279).
4. Dans Type de système d’authentification, sélectionnez l’une des
options suivantes :
•
Modèle de base
•
Modèle HTML
•
Modèle SecurID HTML1
•
Modèle Cert Client X509
•
Authentification basique et Cert Client X509
Important :
•
Le système IVE prend uniquement en charge les types de systèmes
d’authentification répertoriés ici.
•
Vous devez sélectionner Modèle HTML si vous souhaitez que le
système IVE procède à une réauthentification (comme indiqué à la
section « Réauthentification des utilisateurs disposant de niveaux de
protection insuffisants », page 273).
•
Si vous sélectionnez Modèle Cert Client X509 ou Authentification
basique et Cert Client X509, vous devez importer le certificat dans
le système IVE par l’intermédiaire de l’onglet Système > Certificats >
Certificats de CA (page 161).
5. Entrez un niveau de protection pour le système. Notez que ce niveau de
protection s’applique au royaume SiteMinder que vous associez à ce
système (page 279).
6. Sélectionnez Stratégies de mot de passe activées pour ce système
d’authentification si vous souhaitez réauthentifier les utilisateurs
demandant l’accès à des ressources dont le niveau de protection est
plus élevé que celui auquel ils sont autorisés à accéder.
7. Dans l’onglet Configuration du système, entrez les options requises
par le type de système d’authentification. Si vous souhaitez que le
système IVE réauthentifie les utilisateurs demandant l’accès à des
ressources dont le niveau de protection est plus élevé que celui auquel
ils sont autorisés à accéder, vous devez entrer les paramètres suivants :
1. Si vous utilisez une authentification SecurID, vous devez sélectionner Modèle SecurID HTML (au lieu de
Modèle HTML). Le choix de cette option permet au serveur de stratégie d’envoyer des codes d’échec
d’ouverture de session ACE au système IVE.

277
•
Dans Nom du serveur, entrez le nom d’hôte IVE (par exemple,
ventes.votresociété.net).
•
Cochez la case Utiliser la connexion SSL.
•
Dans Cible, entrez l’URL d’ouverture de session IVE définie dans
cette première étape et le paramètre « ive=1 » (par exemple,
/highproturl?ive=1).
Remarque : Lorsque vous enregistrez vos modifications, ive=1 disparaît
de la cible. C’est normal. Le serveur de stratégie inclut ive=1 dans l’URL
complète du système d’authentification envoyée au système IVE, comme
vous pouvez le constater dans le champ Paramètre de l’onglet Avancé.
•
Décochez la case Permettre au système d’authentification
d’enregistrer les données d’identification.
•
Laissez le champ Liste d’attributs complémentaire vide.
8. Cliquer sur OK.
Important : Pour plus d’informations sur la manière de configurer le système
IVE afin qu’il gère plusieurs systèmes d’authentification, reportez-vous à la
section « Configuration du système IVE pour l’utiliser avec plusieurs systèmes
Figure 87 : Boîte de dialogue du système d’authentification SiteMinder
5
Création d’un domaine SiteMinder pour le système IVE
Sur SiteMinder, un domaine de stratégie est un regroupement logique
de ressources associées à un ou plusieurs répertoires. Les domaines de
stratégie contiennent des royaumes, des réponses et des stratégies.
Lorsque vous configurez le système IVE pour l’utiliser avec SiteMinder,
vous devez autoriser l’accès des utilisateurs du système IVE à une
ressource SiteMinder au sein d’un royaume, puis grouper le royaume
dans un domaine.
278

Pour configurer un domaine SiteMinder pour le système IVE, sélectionnez
dans l’interface d’administration de SiteMinder l’onglet Système, cliquez
avec le bouton droit de la souris sur Domaines et sélectionnez Créer un
domaine. Sinon, cliquez sur Domaines et sélectionnez un domaine
SiteMinder existant. Notez que vous devez ajouter un royaume à ce
domaine (page 279).
Figure 88 : Boîte de dialogue du domaine SiteMinder
5
Création d’un royaume SiteMinder pour le système IVE
Sur SiteMinder, un royaume est un cluster de ressources au sein d’un
domaine de stratégie, qui sont regroupées en fonction des conditions de
sécurité. Lorsque vous configurez SiteMinder pour l’utiliser avec le système
IVE, vous devez définir les royaumes auxquels les utilisateurs du système
IVE peuvent accéder.
Pour configurer un royaume SiteMinder pour le système IVE :
Domaines.
2. Étendez le domaine que vous avez créé pour le système IVE (page 278).
3. Cliquez avec le bouton droit de la souris sur Royaumes et sélectionnez
Créer un royaume.
4. Entrez un nom pour le royaume et (éventuellement) une description.
5. Dans le champ Agent, sélectionnez l’agent Web que vous avez créé pour
le système IVE (page 275).
6. Dans le champ Filtre de ressources, entrez une ressource protégée.
Cette ressource hérite du niveau de protection défini dans le système
d’authentification correspondant. Pour le niveau de protection par
défaut, entrez /ive-authentication. Notez que vous devez entrer cette
ressource lors de la configuration du système IVE (page 285).
7. Dans la liste des systèmes d’authentification, sélectionnez le système
que vous avez créé pour IVE (page 277).
8. Cliquer sur OK.

279
Figure 89 : Boîte de dialogue du royaume SiteMinder
5
Création d’une paire règle/réponse pour transmettre les noms d’utilisateurs au
système IVE
Sur SiteMinder, vous pouvez utiliser des règles pour déclencher des
réponses en cas d’événements d’authentification ou d’autorisation. Une
réponse transmet des attributs d’utilisateur, des attributs d’identificateur
unique (DN), du texte statique ou des réponses actives personnalisées
du serveur de stratégie SiteMinder à un agent SiteMinder. Lorsque vous
configurez SiteMinder pour l’utiliser avec le système IVE, vous devez
créer une règle qui se déclenche dès qu’un utilisateur passe la phase
d’authentification. Ensuite, vous devez créer une réponse correspondante
qui transmette le nom d’utilisateur à l’agent Web du système IVE.
Pour créer une nouvelle règle :
Domaines.
2. Étendez le domaine que vous avez créé pour le système IVE (page 278),
puis les Royaumes.
3. Cliquez avec le bouton droit de la souris sur le royaume que vous avez
créé pour le système IVE (page 279) et sélectionnez Créer une règle
dans un royaume.
4. Entrez un nom pour la règle et (éventuellement) une description.
5. Dans Action, sélectionnez Événements d’authentification, puis
OnAuthAccept dans la liste déroulante.
6. Sélectionnez Activées.
7. Cliquer sur OK.
280

Figure 90 : Boîte de dialogue de la règle SiteMinder
Pour créer une nouvelle réponse :
Domaines.
2. Étendez le domaine que vous avez créé pour le système IVE (page 278).
3. Cliquez avec le bouton droit de la souris sur Réponses et sélectionnez
Créer une réponse.
4. Entrez un nom pour la réponse et (éventuellement) une description.
5. Cliquez sur SiteMinder puis sélectionnez l’agent Web IVE (page 275).
6. Cliquez sur Créer.
7. Dans la liste des attributs, sélectionnez WebAgent-HTTP-HeaderVariable.
8. Dans Genre d’attribut, sélectionnez Statique.
9. Dans Nom de variable, entrez IVEUSERNAME.
10. Cliquer sur OK.

281
Figure 91 : Éditeur d’attribut de réponse SiteMinder
5
Création d’une stratégie SiteMinder dans le domaine
Sur SiteMinder, une stratégie associe les utilisateurs à des règles. Pour
configurer une stratégie SiteMinder dans un domaine, sélectionnez dans
l’interface d’administration SiteMinder l’onglet Domaines, choisissez le
domaine auquel vous souhaitez ajouter une stratégie, cliquez avec le
bouton droit de la souris sur Stratégies puis sélectionnez Créer une
stratégie.
Figure 92 : Boîte de dialogue de la stratégie SiteMinder
282

Configuration du système IVE pour l’utiliser avec SiteMinder
Cette section contient les instructions suivantes, permettant de configurer
le système IVE afin de l’utiliser avec un serveur de stratégie SiteMinder :
Configuration du système IVE afin d’accorder aux utilisateurs
différentes ressources protégées .............................................................283
Définition d’une instance de serveur Netegrity SiteMinder................... 284
5
d’authentification
Pour configurer le système IVE afin de l’utiliser avec plusieurs systèmes
d’authentification SiteMinder, vous devez :
1. Configurer les systèmes d’authentification sur le serveur de stratégie
SiteMinder. Pour plus d’informations, reportez-vous à la section
« Création d’un système d’authentification SiteMinder pour le
système IVE », page 277.
2. Créer différentes instances IVE du serveur de stratégie, à savoir une
instance pour chaque système d’authentification que vous souhaitez
utiliser. Pour plus d’informations, reportez-vous à la section « Définition
d’une instance de serveur Netegrity SiteMinder », page 284.
3. Associer chaque instance IVE à un système d’authentification SiteMinder
différent. (Effectuez ces associations par référence : entrez une ressource
protégée lors de la configuration du système IVE qui corresponde au
système d’authentification SiteMinder que vous souhaitez utiliser.)
4. Associer chaque instance IVE à une URL d’ouverture de session IVE
différente. Pour plus d’informations, reportez-vous à la section
« Création et configuration des stratégies d’ouverture de session »,
page 224.
Pendant la production, l’utilisateur se connecte au système IVE à l’aide de
l’une de ces URL. Le système IVE envoie à SiteMinder la ressource protégée
associée à l’URL et, selon la ressource, SiteMinder détermine quel est le
type de système à utiliser pour authentifier l’utilisateur. Le système IVE
collecte ensuite les données d’identification requises par le système
d’authentification et les transmet à SiteMinder pour qu’il procède à
l’authentification.
5
Configuration du système IVE afin d’accorder aux utilisateurs
différentes ressources protégées
Pour configurer le système IVE afin d’accorder aux utilisateurs l’accès
à plusieurs ressources protégées de SiteMinder (et par association,
à différents niveaux de protection), vous devez :
1. Définir les ressources devant être protégées par le serveur SiteMinder.
Chacune de ces ressources hérite du niveau de protection du système
d’authentification SiteMinder correspondant. Pour plus d’informations,
reportez-vous à la section « Création d’un royaume SiteMinder pour le
système IVE », page 279.
2. Créer différentes instances IVE du serveur de stratégie, à savoir une
instance pour chaque ressource protégée et chaque niveau de protection

283
correspondant que vous souhaitez autoriser. Pour plus d’informations,
reportez-vous à la section « Définition d’une instance de serveur
Netegrity SiteMinder », page 284.
3. Associer chaque instance IVE à un filtre de ressources de niveau royaume
différent. (Entrez une ressource protégée lors de la configuration du
système IVE qui corresponde au filtre de ressources SiteMinder que
vous souhaitez autoriser.)
4. Associer chaque instance IVE à une URL d’ouverture de session IVE
différente. Lors de la définition de l’URL, faites correspondre la section
du chemin d’accès de l’URL au filtre de ressources SiteMinder. Par
exemple, vous pouvez définir les URL suivantes :
https://employés.votresociété.com/ventes
https://employés.votresociété.com/ingénierie
Lorsque les utilisateurs ouvrent une session sur la première URL, ils ont
accès à la ressource protégée « ventes ». Lorsqu’ils ouvrent une session
sur la deuxième URL, l’accès à la ressource protégée « ingénierie » leur
est accordé.
Pour définir une ressource par défaut (ive-authentication), entrez « * »
dans la section du chemin d’accès de l’URL. Pour plus d’informations,
reportez-vous à la section « Création et configuration des stratégies
d’ouverture de session », page 224.
Pendant la production, l’utilisateur se connecte au système IVE à l’aide de
l’une de ces URL. Le système IVE extrait la ressource protégée de l’URL et
authentifie l’utilisateur par rapport au royaume approprié.
5
Définition d’une instance de serveur Netegrity SiteMinder
Dans le système IVE, vous pouvez configurer différentes instances du
serveur SiteMinder. Une instance constitue un ensemble d’options de
configuration définissant la manière dont le système IVE interagit avec le
serveur de stratégie SiteMinder. Notez que chaque instance doit inclure les
paramètres de configuration pour le même serveur de stratégie SiteMinder.
Pour définir une instance de serveur Netegrity SiteMinder :
Serveurs.
•
sélectionnez Serveur SiteMinder dans la liste Nouveau puis cliquez
•
d’autorisation.
3. Configurez le serveur à l’aide des paramètres décrits à la section
Tableau 4.
5. Définissez les options de configuration avancées de SiteMinder
(facultatif) à l’aide des paramètres décrits à la section Tableau 5.
284

6. Spécifiez les royaumes IVE devant être utilisés par le serveur pour
authentifier et autoriser les administrateurs et les utilisateurs
(page 319).
Tableau 4 : Options de configuration de Netegrity SiteMinder
Option
Description
Nom
Entrez le nom qui identifiera l’instance de serveur.
Serveur de
stratégie
Entrez le nom ou l’adresse IP du serveur de stratégie SiteMinder
que vous souhaitez utiliser pour l’authentification des utilisateurs.
Serveur(s)
Entrez une liste de serveurs de stratégie secondaires (facultatif),
secondaire(s),
délimités par des virgules. Sélectionnez ensuite un mode de
Mode de résolution résolution des défaillances :
des défaillances
• Sélectionnez Oui pour que le système Système IVE utilise
toujours le serveur de stratégie principal, sauf en cas de
défaillance.
• Sélectionnez Non pour que le système Système IVE équilibre
les charges entre les différents serveurs de stratégie spécifiés.
Secret,
Nom d’agent
Entrez le secret partagé et le nom d’agent spécifié à la section
« Configuration du système IVE comme agent Web sur
SiteMinder », page 275. Veillez à respecter la casse.
Lors de la
déconnexion,
rediriger vers
Spécifiez une URL vers laquelle les utilisateurs seront redirigés
lorsqu’ils seront déconnectés du système IVE (facultatif). Si vous
laissez ce champ vide, la page d’ouverture de session IVE par
défaut s’affiche pour les utilisateurs.
Important : Pour des raisons de compatibilité descendante,
le champ Lors de la déconnexion, rediriger vers est présent
dans cette version du produit, mais il doit être supprimé. Si vous
souhaitez rediriger les utilisateurs vers une page d’ouverture de
session différente, il est plutôt conseillé d’utiliser la fonction de
personnalisation des pages d’ouverture de session (page 229).
Ressource
protégée
Spécifiez la ressource protégée définie à la section « Création
d’un royaume SiteMinder pour le système IVE », page 279. Le
système IVE utilise cette URL pour définir le niveau de protection
de l’utilisateur pour la session. Si vos utilisateurs ouvrent une
session sur l’URL « * » (page d’ouverture de session IVE par
défaut), entrez « /ive-authentication » pour définir le niveau de
protection sur la valeur IVE par défaut.
Remarque : vous devez entrer une barre oblique (/) au début de
la ressource (par exemple, « /ive-authentification »).

285
Option
Description
Action de ressource (Lecture seule) Pour les nouvelles instances de serveur SiteMinder,
le système IVE définit l’action de ressource sur GET. Si votre
instance SiteMinder est mise à niveau à partir d’une instance 3.x,
le système IVE utilise l’action de ressource (par exemple, GET,
POST ou PUT) que vous avez sélectionnée au préalable. Notez
que pour modifier la valeur d’une action de ressource existante
en GET, vous devez supprimer l’instance de serveur SiteMinder
existante puis en créer une nouvelle qui utilise GET.
Paramètres des cookies SMSESSION :
Domaine de cookie Entrez le domaine de cookie du système IVE. (Un domaine de
cookie est un domaine dans lequel les cookies de l’utilisateur
sont actifs ; le système IVE envoie les cookies au navigateur de
l’utilisateur dans ce domaine.) Remarque :
• Les domaines multiples doivent être séparés par des virgules.
Par exemple : ventes.monorg.com, marketing.monorg.com
• Les noms de domaine sont sensibles à la casse.
• Il est impossible d’utiliser des caractères génériques.
Par exemple, si vous définissez « .juniper.net », l’utilisateur doit
accéder au système IVE par l’URL « http://ive.juniper.net » afin de
s’assurer que son cookie SMSESSION est renvoyé au système IVE.
286

Protocole
(Lecture seule) Indique que le système IVE utilise un protocole
HTTPS pour envoyer les cookies au navigateur Web de l’utilisateur.
Domaine du
fournisseur
de cookie
Entrez le ou les domaines Internet auxquels le système IVE envoie
le cookie SMSESSION à l’aide de la même procédure que celle
décrite dans le champ Domaine de cookie. (Un Domaine du
fournisseur de cookie permet une ouverture de session unique
sur plusieurs domaines de cookie. Il permet aux informations d’un
utilisateur de circuler avec lui lorsqu’il navigue d’un domaine à
l’autre.) Si vous avez configuré un fournisseur de cookie pour
permettre une ouverture de session unique sur plusieurs domaines
de cookie, entrez le domaine du fournisseur de cookie. Sinon,
entrez le ou les domaines des agents Web pour lesquels
l’ouverture de session unique est souhaitée. Par exemple :
.juniper.net, .netscreen.com
Protocole
Sélectionnez HTTPS pour envoyer des cookies en toute sécurité,
si d’autres agents Web sont configurés de manière à accepter les
cookies sécurisés, ou HTTP pour envoyer des cookies de façon
non sécurisée.
Option
Description
Paramètres d’authentification SiteMinder :
Ouverture
de session
automatique
Cochez la case Ouverture de session automatique afin d’ouvrir
automatiquement une session IVE pour les utilisateurs qui possèdent
un cookie SMSESSION valide. Ensuite, sélectionnez le domaine
d’authentification correspondant aux utilisateurs. Si vous activez
cette option, tenez compte des points suivants :
• Si un utilisateur ouvre automatiquement une session avec
une URL associée à plusieurs domaines d’authentification,
le système IVE connecte l’utilisateur au royaume défini dans
l’onglet Système > Ouverture de session > Serveurs >
[Serveur SiteMinder] de la Console Web IVE (et non à l’URL
définie dans l’onglet Système > Ouverture de session >
Stratégies d’ouverture de session).
• Si le niveau de protection associé au cookie SMSESSION de
l’utilisateur est différent de celui du royaume IVE, le système
IVE utilise celui qui est associé au cookie.
• Pour permettre l’ouverture de session unique d’un autre
agent Web sur le système IVE, celui-ci doit valider un cookie
SMSESSION existant créé par un agent Web standard.
• Les seules restrictions de royaume et de rôle que le système
IVE prend en charge avec la fonctionnalité Ouverture de
session automatique sont l’adresse IP, le navigateur et les
vérifications du nombre d’utilisateurs connectés simultanément.
Les restrictions de rôle et de royaume non prises en charge
concernent le mot de passe et le certificat (qui ne peuvent
s’appliquer aux utilisateurs ayant ouvert une session
automatique), le vérificateur d’hôte et Cache Cleaner.
• Le système IVE ne prend pas en charge la fonctionnalité
Ouverture de session automatique pour les rôles
d’administrateur. Cette fonctionnalité est uniquement
disponible pour les utilisateurs finals.
Pour attribuer des
rôles d’utilisateur,
utilisez ce domaine
Sélectionnez un domaine d’authentification pour les utilisateurs
connectés automatiquement. Le système IVE fait correspondre
l’utilisateur à un rôle en fonction des règles de correspondance
de rôles définies dans le royaume sélectionné.
Remarque : Si vous faites correspondre les rôles aux
utilisateurs en fonction du nom d’utilisateur, reportez-vous à la
section « Définition du nom d’utilisateur », page 274, pour plus
d’informations sur les noms d’utilisateur compatibles avec le
système IVE.

287
Option
Description
Authentification à
l’aide d’un agent
personnalisé
Activez cette option si vous souhaitez effectuer l’authentification à
l’aide de l’agent Web personnalisé du système IVE. Notez que si
vous activez cette option, vous devez également :
• Mettre à jour tous vos agents Web standard pour qu’ils soient
conformes à la QMR (Quarterly Maintenance Release : révision
trimestrielle) d’agent de SiteMinder appropriée afin d’accepter
les cookies créés par le système IVE. Si vous exécutez des
agents Web de SiteMinder version 5, utilisez le correctif QMR5
disponible sur le site Web de Netegrity.
• Paramétrez l’attribut Accepter cookie tiers (AcceptTPCookie)
sur « oui » dans le fichier de configuration de l’agent Web
(webagent.conf) ou sur « 1 » dans le registre Windows
du serveur Web IIS. L’emplacement de cet attribut dépend de
la version de SiteMinder et du serveur Web que vous utilisez.
Pour plus d’informations, consultez la documentation de votre
serveur SiteMinder.
Authentification
par l’envoi d’un
formulaire HTML
Activez cette option si vous préférez envoyer les données
d’identification d’un utilisateur à un agent Web standard déjà
configuré plutôt que de contacter directement le serveur de
stratégie SiteMinder. Si vous activez cette option, l’agent Web
contacte lui-même le serveur de stratégie afin de déterminer la
page d’ouverture de session appropriée à afficher pour l’utilisateur.
Pour configurer le système IVE afin qu’il « fasse office de
navigateur » et qu’il envoie les données d’identification à l’agent
Web standard, vous devez entrer les informations définies cidessous. Pour trouver facilement ces informations, vous pouvez :
1
Ouvrir un navigateur Web et entrer l’URL de l’agent Web
standard que vous souhaitez utiliser. Par exemple :
http://webagent.juniper.net
2
Noter l’URL de la page d’ouverture de session SiteMinder qui
s’affiche. Par exemple :
http://webagent.juniper.net/siteminderagent/forms/login.fcc?TY
PE=33554433&REALMOID=06-2525fa65-5a7f-11d5-9ee00003471b786c&GUID=&SMAUTHREASON=0&TARGET=$SM
$http%3a%2f%2fwebagent%2ejuniper%2enet%2fportal%2find
ex%2ejsp
3
Extraire les informations de l’URL à entrer dans les champs
suivants.
Remarque :
• L’option Authentification par l’envoi d’un formulaire HTML
ne vous permet d’utiliser ni les modes Nouveau pin et Jeton
suivant de SecurID, ni l’authentification de certificat côté client,
ni les interruptions SNMP.
• L’option Autoriser pendant l’authentification ne peut pas
être utilisée avec l’option Envoi d’un formulaire HTML.
• Vous pouvez authentifier les utilisateurs à l’aide de cette
option, mais pour leur accorder une autorisation, vous
devez sélectionner Authentification à l’aide d’un agent
personnalisé.
288

Option
Description
Cible
URL sur le serveur Web externe compatible Netegrity. Dans l’URL
de la page d’ouverture de session de l’agent Web, la cible apparaît
après l’expression &TARGET=$SM$. Par exemple, dans l’URL
présentée ci-dessus (page 288), la cible est :
http%3a%2f%2fwebagent%2ejuniper%2enet%2fportal%2findex%
2ejsp
Après avoir converti les caractères spéciaux (%3a = deux points,
%2f = barre oblique inverse, %2e = point), la cible finale est :
http://webagent.juniper.net/portal/index.jsp
Protocole
Protocole de communication entre le système IVE et l’agent Web
indiqué. Utilisez HTTP pour la communication non sécurisée et
HTTPS pour la communication sécurisée. Dans l’URL de la page
d’ouverture de session de l’agent Web, le protocole apparaît en
premier. Par exemple, dans l’URL présentée ci-dessus (page 288),
le protocole est HTTP.
Agent Web
Nom de l’agent Web à partir duquel le système IVE doit obtenir
les cookies SMSESSION. Cette zone ne peut pas contenir une
adresse IP. (La définition d’une adresse IP comme agent Web
empêche certains navigateurs d’accepter les cookies.) Dans
l’URL de la page d’ouverture de session de l’agent Web, l’agent
Web apparaît à la suite du protocole. Par exemple, dans l’URL
présentée ci-dessus (page 288), l’agent Web est :
webagent.juniper.net
Port
Port 80 pour HTTP ou port 443 pour HTTPS.
Chemin d’accès
Chemin d’accès de la page d’ouverture de session de l’agent
Web. Notez que le chemin d’accès doit commencer par une barre
oblique inverse (/). Dans l’URL de la page d’ouverture de session
de l’agent Web, le chemin d’accès apparaît à la suite de l’agent
Web. Par exemple, dans l’URL présentée ci-dessus (page 288),
le chemin d’accès est : /siteminderagent/forms/login.fcc
Paramètres
Paramètres d’envoi à envoyer lorsqu’un utilisateur ouvre une
session. _ _USER_ _, _ _PASS_ _ et _ _TARGET_ _ font partie
des variables SiteMinder courantes que vous pouvez utiliser.
Elles sont remplacées par le nom d’utilisateur et le mot de passe
entrés par l’utilisateur sur la page d’ouverture de session de
l’agent Web, ainsi que par la valeur définie dans le champ Cible.
Ce sont les paramètres par défaut de login.fcc ; si vous avez
personnalisé la configuration, vous devrez peut-être les modifier.

289
Option
Description
Si l’authentification Entrez une URL différente pour les utilisateurs qui ouvrent une
échoue, rediriger
session sur le système IVE par le biais du dispositif d’ouverture
vers
de session automatique (page 287). Le système IVE redirige les
utilisateurs vers l’URL spécifiée s’il ne réussit pas à les authentifier
et si aucune réponse de redirection n’est envoyée par le serveur de
stratégie SiteMinder. Si vous laissez ce champ vide, les utilisateurs
sont invités à ouvrir une nouvelle session sur le système IVE.
Remarque :
• Les utilisateurs qui se connectent par le biais de la page
d’ouverture de session du système IVE sont toujours
redirigés vers cette page en cas d’échec de la procédure
• Si vous utilisez l’option de personnalisation de l’IU (Pages
personnalisées) (page 229), notez que le système IVE vous
redirige vers welcome.cgi dans deux cas. Vous devez
représenter ces deux cas dans votre page personnalisée :
Session et délais d’inactivité : /danana/auth/welcome.cgi?p=timed-out
Échec de la validation de cookie : /danana/auth/welcome.cgi?p=failed
Utilisation de SiteMinder pour l’autorisation :
290

Autorisation des
demandes par
rapport au serveur
de stratégie
SiteMinder
Choisissez d’utiliser les règles du serveur de stratégie SiteMinder
afin d’autoriser les demandes de ressources Web de l’utilisateur.
Si vous activez cette option, veillez à créer les règles appropriées
dans SiteMinder, commençant par le nom du serveur suivi d’une
barre oblique, comme dans les exemples suivants :
« www.yahoo.com/ », « www.yahoo.com/* » et
« www.yahoo.com/r/f1 ». Pour plus d’informations, consultez la
documentation de votre serveur SiteMinder.
Si l’autorisation
échoue, rediriger
vers
Entrez une URL alternative vers laquelle les utilisateurs seront
redirigés si le système IVE ne réussit pas à les authentifier et si
aucune réponse de redirection n’est envoyée par le serveur de
stratégie SiteMinder. Si vous laissez ce champ vide, les utilisateurs
sont invités à ouvrir une nouvelle session sur le système IVE.
Option
Description
Ressource
pour niveau
de protection
insuffisant
Entrez une ressource sur l’agent Web vers lequel les utilisateurs
seront redirigés par le système IVE s’ils ne disposent pas des
autorisations suffisantes.
Lorsque l’utilisateur accède à une ressource dotée d’un niveau
de protection plus élevé que celui de son cookie SMSESSION,
il arrive sur une page d’ouverture de session sécurisée. Ensuite,
après réauthentification, il obtient un cookie SMSESSION doté
d’un niveau de protection supérieur et est redirigé vers une page
Web. Le type de page Web affichée par le système IVE dépend
de la méthode de réauthentification que vous utilisez* :
• Un agent Web standard avec « FCCCompatMode = oui »
Si vous paramétrez le mode de compatibilité de collecte des
données d’identification de formulaire (FCC)** de votre agent
Web sur « oui », les utilisateurs sont redirigés vers la page que
vous avez définie dans le champ Ressource pour niveau de
protection insuffisant. Remarque :
- Vous devez rediriger les utilisateurs vers une page de l’agent
Web standard. Le système IVE ne peut pas diriger l’utilisateur
vers la ressource à laquelle il souhaitait accéder à l’origine.
- Il n’est pas nécessaire d’entrer l’URL complète qui permet
d’accéder à la ressource (par exemple :
https://ventes.votresociété.com/,
DanaInfo=www.stdwebagent.com+index.html) ; il suffit d’entrer
le nom de la ressource (index.html).
• Un agent Web standard avec « FCCCompatMode = non »
Si vous paramétrez le mode de compatibilité de collecte des
données d’identification de formulaire (FCC)** de votre agent
Web sur « oui », les utilisateurs sont redirigés vers la page que
vous avez définie dans le champ Ressource pour niveau
de protection insuffisant. Si vous laissez ce champ vide, en
revanche, l’utilisateur est redirigé vers la ressource à laquelle il
souhaitait accéder à l’origine.
• Le système IVE
Si la réauthentification est effectuée via le système IVE, les
utilisateurs sont redirigés vers la page IVE intermédiaire décrite
à la section « Réauthentification des utilisateurs disposant de
niveaux de protection insuffisants », page 273. Notez que si
vous souhaitez que le système IVE redirige l’utilisateur vers la
ressource à laquelle il souhaitait accéder à l’origine, vous devez
activer l’option Suivi des demandes de navigateur de la
page Utilisateurs > Rôles > [Rôle] > Général > Options de
session dans la Console Web du système IVE. (Si vous
laissez ce champ vide mais que vous n’activez pas cette option,
le système IVE redirige l’utilisateur vers la page IVE standard
des signets utilisateur.)
* Pour plus d’informations sur la définition d’une méthode de
réauthentification, reportez-vous à la section « Création d’un système
d’authentification SiteMinder pour le système IVE », page 277.
** Lorsqu’un utilisateur demande l’accès à une ressource protégée,
SiteMinder l’achemine vers un FCC (forms credential collector) qui
appelle ensuite un formulaire Web du serveur de stratégie pour
collecter les données d’identification.

291
Option
Description
Autorisation
ignorée pour les
fichiers avec
extensions
Entrez les extensions de fichiers correspondant aux types de
fichiers qui ne nécessitent pas d’autorisation. Vous devez entrer
les extensions de chacun des types de fichiers que vous souhaitez
ignorer, en les séparant par des virgules. Par exemple, entrez
« .gif, .jpeg, .jpg, .bmp » afin d’ignorer divers types d’images.
Vous ne pouvez pas utiliser de caractères génériques (tels que*,
*.* ou .*) pour ignorer une plage de types de fichiers.
Tableau 5 : Options de configuration avancées de Netegrity
SiteMinder
Option
Description
Intervalle
d’interrogation
Entrez la fréquence à laquelle le système IVE interroge le serveur
de stratégie SiteMinder pour chercher une nouvelle clé.
Nombre maximal
de connexions
Contrôle le nombre maximal de connexions simultanées que le
système IVE peut ouvrir sur le serveur de stratégie. La valeur par
défaut est 20.
Nombre maximal de Contrôle le nombre maximal de demandes traitées par la
demandes/connexi connexion du serveur de stratégie avant que le système IVE ne
ons
coupe la connexion. Si nécessaire, réglez les paramètres afin
d’améliorer les performances. La valeur par défaut est 1000.
Délai d’inactivité
292

Contrôle le nombre maximal de minutes pendant lesquelles
une connexion au serveur de stratégie peut rester inactive
(la connexion ne traite pas de demandes) avant que le système
IVE ne coupe la connexion. Le paramètre par défaut « Aucun »
permet de n’avoir aucune limite temporelle.
SiteMinder
Option
Description
Autoriser pendant
l’authentification
Cette option indique qu’immédiatement après l’authentification,
le système IVE doit rechercher les attributs de l’utilisateur sur
le serveur de stratégie, afin de déterminer si l’utilisateur est
véritablement authentifié. Par exemple, si votre serveur Netegrity
authentifie des utilisateurs en fonction d’un paramètre de serveur
LDAP, vous pouvez sélectionner cette option afin d’indiquer à IVE
d’authentifier les utilisateurs via le serveur Netegrity, puis de les
autoriser via le serveur LDAP avant de leur accorder l’accès. Si
l’authentification ou l’autorisation échoue, l’utilisateur est redirigé
vers la page configurée sur le serveur de stratégie.
Remarque :
• Si vous n’activez pas cette option et que les options d’autorisation
sont sélectionnées dans l’onglet Utilisateurs de stratégie >
Exclure de l’utilitaire de configuration du serveur de stratégie,
un utilisateur dont l’authentification a été refusée peut tout de
même accéder au système IVE. Le système IVE ne vérifie
pas les droits d’autorisation de l’utilisateur et ne lui refuse pas
l’accès tant que ce dernier n’essaie pas d’accéder à une
ressource protégée.
• Le système IVE envoie la même ressource au serveur
de stratégie, que ce soit en vue de l’autorisation ou de
l’authentification.
• Cette option n’est pas prise en charge avec l’option
Authentification par l’envoi d’un formulaire HTML
(page 288), ni avec l’option Ouverture de session
automatique (page 287).
Activation du
délai de tolérance
de session
Validation du
cookie toutes les
X secondes
Pour éviter de vérifier le cookie SMSESSION d’un utilisateur à
chaque fois que celui-ci demande l’accès à la même ressource,
il suffit d’indiquer au système IVE de considérer le cookie comme
étant valide sur une période donnée. Pendant cette période, le
système IVE suppose que son cookie mis en cache est valide,
ce qui lui évite de le revalider par rapport au serveur de stratégie.
Si vous n’activez pas cette option, le système IVE vérifie le cookie
SMSESSION de l’utilisateur à chaque demande. Notez que la
valeur entrée pour cette option n’a aucune incidence sur la
vérification de la session ou du délai d’inactivité.
Données de
requête ignorées
Par défaut, lorsqu’un utilisateur demande l’accès à une ressource,
le système IVE envoie l’URL complète de cette ressource (y
compris le paramètre de requête) au serveur de stratégie et met en
cache le résultat de la demande d’autorisation pendant 10 minutes.
Activez cette option pour que le système IVE utilise la réponse
mise en cache (à condition que seul le paramètre de requête soit
différent) au lieu de contacter à nouveau le serveur de stratégie
si l’utilisateur demande l’accès à la même ressource que celle
spécifiée dans l’URL en cache.

293
SiteMinder
294

Option
Description
Port Comptes
La valeur de ce champ doit correspondre à la valeur du port
Comptes entrée via la console de gestion du serveur de stratégie
Netegrity. Ce champ correspond par défaut à la valeur 44441,
définie à l’origine sur le serveur de stratégie.
Port
Authentification
Authentification entrée via la console de gestion du serveur de
stratégie Netegrity. Ce champ correspond par défaut à la valeur
44442, définie à l’origine sur le serveur de stratégie.
Port Autorisation
Autorisation entrée via la console de gestion du serveur de
stratégie Netegrity. Ce champ correspond par défaut à la valeur
44443, définie à l’origine sur le serveur de stratégie.
Vider cache
Utilisez cette option pour supprimer le cache de ressources du
système IVE, où sont conservées les informations de ressources
pendant 10 minutes.
Figure 93 : Système > Ouverture de session > Serveurs > Serveur SiteMinder

295
Figure 94 : Système > Ouverture de session > Serveurs > Serveur SiteMinder >
Avancé
296

Affichage et suppression des sessions utilisateur
5
Affichage et suppression des sessions utilisateur IVE actives
La page de configuration pour la plupart des serveurs d’authentification
IVE contient un onglet Utilisateurs que vous pouvez utiliser pour visualiser
et supprimer des sessions utilisateur IVE actives. Les types de serveurs
d’authentification n’affichant pas cet onglet incluent les suivants :
• Serveur anonyme—Le système IVE ne peut afficher de données de
session individuelles sur les utilisateurs se connectant via un serveur
anonyme car il ne collecte ni les noms d’utilisateurs, ni d’autres données
d’identification concernant les utilisateurs qui se connectent par ce biais.
• Serveur IVE local—Le système IVE affiche un onglet Utilisateurs
locaux au lieu d’un onglet Utilisateurs pour les serveurs IVE locaux,
vous permettant d’ajouter et de supprimer des comptes utilisateur
plutôt que des sessions utilisateur.
Pour tous les autres types de serveurs d’authentification, vous pouvez
visualiser et supprimer des sessions utilisateur actives en suivant les
instructions ci-dessous.
Pour visualiser et supprimer une session utilisateur active :
1. Dans la Console Web, choisissez Système > Ouverture de session >
Serveurs.
2. Cliquez sur le lien correspondant dans la liste Serveurs
3. Sélectionnez l’onglet Utilisateurs.
•
Entrez un nom d’utilisateur dans le champ Afficher les utilisateurs
nommés et cliquez sur Mettre à jour afin de rechercher un
utilisateur spécifique.
Vous pouvez également utiliser le caractère générique *. Ce caractère
représente n’importe quel nombre de caractères. Par exemple, si vous
voulez rechercher tous les noms d’utilisateurs contenant les lettres jo,
tapez *jo* dans le champ Afficher les utilisateurs nommés. La
recherche respecte la casse. Pour afficher de nouveau la liste des
comptes dans son intégralité, tapez * ou effacez le contenu du champ
•
Entrez un nombre dans le champ Afficher X utilisateurs et cliquez
sur Mettre à jour afin de contrôler le nombre d’utilisateurs affichés
sur la page.
•
Cochez la case à située en regard de chacun des utilisateurs et
cliquez sur Supprimer pour mettre fin à leurs sessions IVE.

297
Figure 95 : Système > Ouverture de session > Serveurs > [Sélectionner un serveur] >
Utilisateurs
298

Configuration de la page Délégation
La page Administrateurs > Délégation vous permet de définir des
privilèges d’administration (lecture seule, lecture/écriture, refuser) pour
diverses tâches système, telles que la mise en réseau, la configuration
de la mise en grappes et la journalisation, ainsi que les fonctionnalités
relatives à la gestion des rôles d’utilisateur définis sur le système. Pour
plus d’informations, reportez-vous à la section « Présentation générale de
l’administration déléguée », page 69.
La page Administrateurs > Délégation contient les onglets suivants :
Onglet Général > Vue d’ensemble ....................................................... 301
Onglet Général > Restrictions .............................................................. 303
Onglet Général > Options de session .................................................. 305
Onglet Général > Options IU ................................................................ 307
Onglet Système .................................................................................... 308
Onglet Utilisateurs > Rôles................................................................... 311
Onglet Utilisateurs > Domaines d’authentification................................ 313
Onglet Stratégies de ressources .......................................................... 315
Vous pouvez utiliser les onglets de la page Administrateurs > Délégation
pour :
Créer, modifier et supprimer des rôles d’administrateur....................... 299
Gestion des paramètres et options généraux d’un rôle........................ 301
Définition des options de gestion des accès pour le rôle ..................... 303
Définition des paramètres d’itinérance et de temps de la session ....... 305
Personnalisation de la page d’accueil IVE pour les utilisateurs du rôle...307
Délégation des tâches de gestion du système ..................................... 308
Délégation de la gestion des rôles d’utilisateur à un rôle
d’administrateur ............................................................................. 311
Délégation de la gestion des domaines d’utilisateur ............................ 313
Délégation de privilèges d’administrateur pour les stratégies de
ressources ........................................................................................ 315
5
Créer, modifier et supprimer des rôles d’administrateur
Lorsque vous accédez à la page Administrateurs > Délégation, la page
Rôles d’administrateur délégués s’affiche. Elle vous permet de créer,
de modifier et de supprimer des rôles d’administrateur, ainsi que de définir
des options d’interface utilisateur et de session par défaut pour les rôles
d’administrateur délégués.
Pour créer un rôle d’administrateur, procédez comme suit :
1. Sélectionnez Administrateurs > Délégation dans la Console Web.
•
Cliquez sur Nouveau rôle pour créer un rôle d’administrateur avec
les paramètres par défaut.
•
Cochez la case en regard d’un rôle d’administrateur existant et
cliquez ensuite sur Copier pour copier le rôle et ses autorisations

299
personnalisées. Nous attirons votre attention sur le fait qu’il
est impossible de copier les rôles par défaut du système
(.Administrateurs et .Administrateurs en lecture seule).
3. Affectez un Nom (obligatoire) et une Description (facultatif) au
nouveau rôle, puis cliquez sur Enregistrer les modifications.
4. Modifiez les paramètres du rôle en suivant les instructions des sections :
•
« Onglet Général > Vue d’ensemble », page 301
•
« Onglet Système », page 308
•
« Onglet Utilisateurs > Rôles », page 311
•
« Onglet Utilisateurs > Domaines d’authentification », page 313
•
« Onglet Stratégies de ressources », page 315
Figure 96 : Administrateurs > Délégation
Figure 97 : Administrateurs > Délégation > Nouveau rôle
Pour modifier un rôle d’administrateur existant, procédez comme suit :
2. Cliquez sur le nom du rôle d’administrateur à modifier.
300

3. Modifiez les paramètres du rôle en suivant les instructions des sections :
•
« Onglet Général > Vue d’ensemble », page 301
•
« Onglet Système », page 308
•
« Onglet Utilisateurs > Rôles », page 311
•
« Onglet Utilisateurs > Domaines d’authentification », page 313
•
« Onglet Stratégies de ressources », page 315
Remarque : Si vous sélectionnez l’un des rôles d’administrateur par défaut de
IVE (.Administrateurs ou .Administrateurs en lecture seule), vous pouvez uniquement modifier les paramètres de l’onglet Général (étant donné que les rôles
d’administrateur IVE par défaut ont toujours accès aux fonctions définies par le
biais des onglets Système, Utilisateurs et Stratégies de ressources).
Pour supprimer un rôle d’administrateur existant, procédez
comme suit :
2. Cochez la case en regard du rôle d’administrateur que vous souhaitez
supprimer, puis cliquez sur Supprimer.
3. Cliquez sur Supprimer pour confirmer la suppression du rôle
sélectionné.
Remarque : Les rôles .Administrateurs et .Administrateurs en lecture seule ne
peuvent pas être supprimés, car il s’agit de rôles par défaut définis sur le système
IVE.
Pour définir les options par défaut pour tous les rôles
d’administrateur délégués, procédez comme suit :
2. Cliquez sur Options par défaut.
3. Modifiez les paramètres des onglets Options de session et Options
IU en suivant les instructions des sections « Onglet Général > Vue
d’ensemble », page 301, puis cliquez sur Enregistrer les modifications.
Ces paramètres deviennent les nouvelles valeurs par défaut pour tous
les nouveaux rôles d’administrateur délégués.
Onglet Général > Vue d’ensemble
5
Gestion des paramètres et options généraux d’un rôle
L’onglet Général > Vue d’ensemble vous permet de modifier le nom et
la description d’un rôle, ainsi que d’activer ou de désactiver les options
d’interface utilisateur et de session.
Pour gérer des options et des paramètres de rôle généraux, procédez
comme suit :
1. Dans la Console Web, sélectionnez Administrateurs > Délégation>
Nom du rôle > Général> Vue d’ensemble.

301
2. Créez un libellé pour le rôle d’administrateur délégué à l’aide des
champs Nom et Description (facultatif).
3. Sous Options, cochez les options suivantes :
•
Options de session pour appliquer au rôle les paramètres configurés
dans l’onglet Général > Options de session.
•
Options IU pour appliquer au rôle les paramètres configurés dans
l’onglet Général > Options IU.
4. Cliquez sur Enregistrer les modifications pour appliquer les
paramètres au rôle.
Figure 98 : Administrateurs > Délégation > [Rôle] > Général > Vue d’ensemble
302

Onglet Général > Restrictions
L’onglet Général > Restrictions vous permet de définir les options de
gestion d’accès relatives au rôle. Le système IVE associe uniquement
les administrateurs délégués à ce rôle s’ils respectent les restrictions
spécifiées. Pour plus d’informations sur la gestion des accès, reportezvous à la section « Présentation de la gestion des accès », page 21.
5
Définition des options de gestion des accès pour le rôle
Pour définir les options de gestion d’accès du rôle, procédez comme suit :
Nom du rôle > Général> Restrictions.
2. Cliquez sur l’onglet correspondant à l’option que vous souhaitez
configurer pour le rôle :
•
IP source (page 562)
•
Navigateur (page 563)
•
Certificat (page 565)
•
Vérificateur d’hôte(page 567)
Vous pouvez configurer un nombre illimité d’options de gestion
d’accès pour le rôle. Si un administrateur ne respecte pas l’ensemble
des restrictions, le système IVE n’associe pas l’administrateur délégué
au rôle.
Figure 99 : Administrateurs > Délégation > [Rôle] > Général > Restrictions >
IP source

303
Navigateur
Certificat
304

Vérificateur d’hôte
Onglet Général > Options de session
L’onglet Général > Options de session vous permet de définir les
capacités d’itinérance et les limites temporelles d’une session. Cochez la
case Options de session dans l’onglet Général > Vue d’ensemble pour
activer ces paramètres pour le rôle.
5
Définition des paramètres d’itinérance et de temps de la session
Pour définir les options de session générales, procédez comme suit :
Nom du rôle > Général > Options de session.
2. Dans la zone Durée de vie de la session, paramétrez les options
suivantes :
•
Délai d’inactivité — Indiquez le nombre de minutes pendant
lesquelles une session d’administrateur peut rester inactive avant
d’être fermée. La valeur minimale est fixée à 3 minutes. La limite
de session inactive est fixée par défaut à dix minutes. En d’autres
termes, si la session d’un administrateur est inactive pendant dix
minutes, le système IVE ferme la session et consigne l’événement
dans le journal système (à moins que vous n’activiez les
avertissements de délai de session décrits ci-dessous).
•
Longueur maximale de la session — Indiquez le nombre de
minutes pendant lesquelles une session d’administrateur active
peut rester ouverte avant d’être fermée. La valeur minimale est
fixée à 3 minutes. Par défaut, une session d’administrateur peut
durer soixante minutes, après quoi le système IVE ferme la session
et consigne l’événement dans le journal système.

305
3. Sous Session itinérante, définissez les options suivantes :
•
Activé — Cette option permet d’activer les sessions itinérantes
pour les utilisateurs associés à ce groupe. Une session d’utilisateur
itinérant fonctionne sur des adresses IP source. Ce faisant, les
administrateurs mobiles (utilisateurs de portables) possédant des
adresses IP dynamiques peuvent se connecter au système IVE
depuis un emplacement, puis continuer à travailler depuis un autre.
Toutefois, certains navigateurs peuvent présenter des faiblesses qui
permettraient à un code dangereux de voler les cookies d’utilisateur.
Un utilisateur mal intentionné pourrait dès lors employer un cookie
de session IVE volé pour se connecter au système IVE.
•
Limiter au sous-réseau — Cette option permet de limiter la session
itinérante au sous-réseau local spécifié dans le champ Masque
réseau. Les administrateurs peuvent ouvrir une session à partir
d’une adresse IP, puis la poursuivre à partir d’une autre, pour autant
que la nouvelle adresse IP se trouve dans le même sous-réseau.
•
Désactivé — Cette option permet de désactiver les sessions itinérantes
pour les administrateurs associés à ce rôle. Les administrateurs
qui ouvrent une session à partir d’une adresse IP ne peuvent pas
poursuivre de session IVE active à partir d’une autre adresse. Les
sessions d’administrateur sont liées à l’adresse IP source initiale.
Figure 103 : Administrateurs > Délégation > [Rôle] > Général > Options de session
306

Onglet Général > Options IU
L’onglet Administrateurs > Délégation> Nom du rôle > Général >
Options IU vous permet de définir des paramètres personnalisés pour
la page d’accueil IVE destinée aux administrateurs associés à ce rôle.
Cette page d’accueil IVE est, en fait, l’interface Web présentée aux
administrateurs IVE authentifiés. Cochez la case Options IU dans l’onglet
Général > Vue d’ensemble pour activer ces paramètres pour le rôle.
5
Personnalisation de la page d’accueil IVE pour les utilisateurs du rôle
Pour personnaliser la page d’accueil IVE pour les utilisateurs du rôle,
Nom du rôle > Général > Options IU
2. Dans la section En-tête, définissez le fichier d’image du logo
personnalisé qui figurera dans l’en-tête, ainsi que la couleur de l’en-tête.
3. Dans la section Menus de navigation, indiquez si vous souhaitez
afficher des menus de navigation hiérarchiques. Les menus de
navigation hiérarchiques sont des menus dynamiques qui s’affichent
lorsque vous positionnez le pointeur de la souris sur l’un des menus
du volet de gauche de la Console Web. Les options disponibles sont
les suivantes :
•
Activation automatique—Le système IVE détermine si
l’administrateur a ouvert une session à partir d’une plate-forme
prise en charge et active ou désactive les menus hiérarchiques en
conséquence.
•
Activé—Le système IVE active les menus hiérarchiques, quelle que
soit la plate-forme. Si l’administrateur a ouvert une session à partir
d’une plate-forme non reconnue, il lui sera peut-être impossible
d’utiliser les menus hiérarchiques, bien qu’ils aient été activés.
•
Désactivé—Le système IVE désactive les menus hiérarchiques
pour tous les membres du rôle.
Remarque :
•
Pour plus d’informations sur les environnements prenant en charge
les menus hiérarchiques, consultez le document IVE Supported
Platforms Document sur le site Web d’assistance de Juniper
Networks.
•
Si vous avez effectué une mise à niveau du système à partir de la
version 4.0, vous devez vider le cache du navigateur ou lancer un
nouveau navigateur afin d’utiliser les menus hiérarchiques.
•
Les menus hiérarchiques sont pris en charge uniquement avec les
sous-menus Système, Stratégies de ressources et Maintenance
de la Console Web.
5. Cliquez sur Rétablir les paramètres par défaut pour réinitialiser
l’apparence de la page d’ouverture de session, de la page d’accueil
des administrateurs du système IVE et de la Console Web.

307
Figure 104 : Administrateurs > Délégation > [Rôle] > Général > Options IU
Onglet Système
5
Délégation des tâches de gestion du système
Cet onglet vous permet de déléguer diverses tâches de gestion du système
IVE à différents rôles d’administrateur. Tenez compte des points suivants
lors de la délégation de privilèges :
• Tous les administrateurs disposent d’un accès en lecture (au minimum)
à la page d’accueil de Console Web (Système > État > Vue
d’ensemble), et ce, quel que soit le niveau de privilège sélectionné.
• Les administrateurs délégués ne disposent pas d’un accès en écriture
aux pages leur permettant de modifier leurs propres privilèges. Seuls
les rôles d’administrateur fournis avec le système (.Administrateurs
et .Administrateurs en lecture seule) peuvent accéder à ces pages :
308

•
Administrateurs > Authentification
•
Administrateurs > Délégation
•
Utilisateurs > Nouvel utilisateur
•
Maintenance > Importer/Exporter (dans cette page, le rôle
.Administrateurs en lecture seule peut exporter des paramètres,
mais pas en importer.)
•
Maintenance > Pousser Config
•
Maintenance > Archivage > Sauvegardes locales
• L’option Réunions de la page Administrateurs > Délégation >
[Rôle] > Stratégies de ressources permet de contrôler l’accès de la
délégation à la page Planification des réunions.
Pour définir des privilèges d’administration pour un rôle
d’administrateur, procédez comme suit :
2. Sélectionnez le rôle d’administrateur à modifier.
3. Sélectionnez l’onglet Système.
4. Indiquez le niveau d’accès que vous souhaitez affecter au rôle
d’administrateur pour chaque ensemble principal d’onglets Console
Web (Tâches système, Ouverture de session et Tâches de
maintenance) en sélectionnant l’une des options suivantes :
•
Refuser tout—Indique que les membres du rôle d’administrateur
ne peuvent ni visualiser, ni modifier les paramètres de la catégorie.
•
Lire tout—Indique que les membres du rôle d’administrateur
peuvent visualiser tous les paramètres de la catégorie ; aucune
modification n’est autorisée.
•
Écrire tout—Indique que les membres du rôle d’administrateur
peuvent modifier tous les paramètres de la catégorie.
•
Paramètres personnalisés—Cette option vous permet de
sélectionner des privilèges d’administrateur (Refuser, Lire ou
Écrire) pour chaque fonctionnalité de la catégorie.

309
Figure 105 : Administrateurs > Délégation > [Rôle] > Système
310

Onglet Utilisateurs > Rôles
Cet onglet vous permet de définir les rôles d’utilisateur que le rôle
d’administrateur est habilité à gérer. Tenez compte des points suivants
lors de la délégation des privilèges de gestion de rôles :
• Les administrateurs délégués peuvent uniquement gérer des rôles
d’utilisateur.
• Les administrateurs délégués ne peuvent pas gérer de nouveaux rôles
d’utilisateur, copier des rôles existants ou en supprimer.
• Si vous accordez à l’administrateur délégué un accès en lecture ou en
écriture à toute fonction d’un rôle d’utilisateur, le système IVE lui octroie
également un accès en lecture à la page Utilisateurs > Rôle > [Rôle] >
Général > Vue d’ensemble correspondante.
• Si vous accordez à l’administrateur délégué un accès en écriture à une
stratégie de ressource via la page Administrateurs > Délégation >
[Rôle d’administrateur] > Système, il lui sera possible de créer une
stratégie de ressource applicable à tout rôle d’utilisateur, et ce, même si
vous ne lui accordez pas un accès en lecture au rôle.
5
Délégation de la gestion des rôles d’utilisateur à un rôle d’administrateur
Pour définir des privilèges de gestion des rôles pour un rôle
3. Sélectionnez l’onglet Utilisateurs > Rôles.
4. Sous Rôles d’utilisateur délégués, indiquez si l’administrateur est
habilité à gérer tous les rôles ou uniquement les rôles sélectionnés. Si
vous souhaitez uniquement autoriser l’administrateur à gérer les rôles
d’utilisateur sélectionnés, choisissez-les dans la liste Rôle disponible,
puis cliquez sur Ajouter.
5. Indiquez les pages du rôle d’utilisateur que l’administrateur délégué
est habilité à gérer en sélectionnant l’une des options suivantes :
•
peuvent modifier toutes les pages du rôle d’utilisateur.
•
Paramètres personnalisés—Cette option vous permet de sélectionner
des privilèges d’administrateur (Refuser, Lire ou Écrire) pour
chaque page du rôle d’utilisateur.
6. Sous Déléguer en tant que rôles en lecture seule, sélectionnez les
rôles d’utilisateur auxquels vous souhaitez confier un accès en lecture
à l’administrateur, mais pas la possibilité de les gérer.

311
Remarque : Si vous accordez à la fois un accès en lecture seule et un accès
en écriture sur une fonctionnalité, le système IVE octroie l’accès le plus
permissif. Par exemple, si vous sélectionnez l’option Les administrateurs
peuvent gérer TOUS les rôles sous Rôles d’utilisateur délégués, puis
choisissez le rôle « Utilisateurs » dans la section Déléguer en tant que rôles
en lecture seule, le système IVE accorde au rôle d’administrateur délégué
des privilèges de gestion complets sur le rôle « Utilisateurs ».
Figure 106 : Administrateurs > Délégation > [Rôle] > Utilisateur > Rôles
312

Onglet Utilisateurs > Domaines d’authentification
Cet onglet vous permet de définir les domaines d’authentification utilisateur
que le rôle d’administrateur est habilité à gérer. Tenez compte des points
suivants lors de la délégation des privilèges de gestion de domaines :
• Les administrateurs délégués peuvent uniquement gérer des domaines
d’utilisateur.
• Les administrateurs délégués ne peuvent pas gérer de nouveaux
domaines d’utilisateur, copier des domaines existants ou en supprimer.
• Si vous accordez à l’administrateur délégué un accès en lecture ou en
écriture à toute page de domaine d’utilisateur, le système IVE lui octroie
également un accès en lecture à la page Utilisateur > Authentification >
[Domaine] > Général correspondante.
5
Délégation de la gestion des domaines d’utilisateur
Pour définir des privilèges de gestion des domaines pour un rôle
3. Sélectionnez l’onglet Utilisateurs > Domaines d’authentification.
4. Sous Domaines d’utilisateur délégués, indiquez si l’administrateur
est habilité à gérer tous les domaines d’authentification utilisateur ou
uniquement ceux qui ont été sélectionnés. Si vous souhaitez uniquement
autoriser l’administrateur à gérer les domaines sélectionnés, choisissezles dans la liste Rôle disponible, puis cliquez sur Ajouter.
5. Indiquez les pages des domaines d’authentification utilisateur que
l’administrateur délégué est habilité à gérer en sélectionnant l’une des
options suivantes :
•
peuvent modifier toutes les pages des domaines d’authentification
utilisateur.
•
Écrire) pour chaque page du domaine d’authentification utilisateur.
6. Sous Déléguer en tant que domaines en lecture seule, sélectionnez
les domaines d’authentification utilisateur auxquels vous souhaitez
confier un accès en lecture à l’administrateur, mais pas la possibilité
de les gérer.
Remarque : Si vous accordez à la fois un accès en lecture seule et un accès
en écriture sur une page du domaine d’authentification, le système IVE octroie
l’accès le plus permissif. Par exemple, si vous sélectionnez l’option Les
administrateurs peuvent gérer TOUS les domaines sous Domaines
d’utilisateur délégués, puis choisissez le rôle « Utilisateurs » dans la section
Déléguer en tant que domaines en lecture seule, le système IVE accorde
au rôle d’administrateur délégué des privilèges de gestion complets sur le
domaine « Utilisateurs ».

313
Figure 107 : Administrateurs > Délégation > [Rôle] > Utilisateur > Domaines
314

Onglet Stratégies de ressources
Cet onglet vous permet de définir les stratégies de ressources que le rôle
d’administrateur est habilité à gérer. Lors de la délégation des privilèges
de gestion des stratégies de ressources, notez que les administrateurs
délégués ne sont pas habilités à modifier les caractéristiques suivantes
de ces stratégies :
• La ressource proprement dite (à savoir, l’adresse IP ou le nom de l’hôte)
• L’ordre dans lequel le système IVE évalue les stratégies de ressources.
5
Délégation de privilèges d’administrateur pour les stratégies de ressources
Pour déléguer des privilèges d’administrateur pour les stratégies
de ressources, procédez comme suit :
3. Sélectionnez l’onglet Stratégies de ressources.
4. Indiquez le niveau d’accès que vous souhaitez accorder au rôle
d’administrateur pour chaque sous-menu Stratégies de ressources
en sélectionnant l’une des options suivantes :
•
Refuser tout—Indique que les membres du rôle d’administrateur
ne peuvent ni visualiser, ni modifier les stratégies de ressources.
•
Lire tout—Indique que les membres du rôle d’administrateur
peuvent visualiser toutes les stratégies de ressources ; aucune
modification n’est toutefois autorisée.
•
peuvent modifier toutes les stratégies de ressources.
•
Écrire) pour chaque type de stratégie de ressource ou pour chaque
stratégie en particulier.
5. Si vous souhaitez définir des niveaux d’accès personnalisés pour une
stratégie, procédez comme suit :
1
Sélectionnez Paramètres personnalisés (ci-dessus).
2
Cliquez sur le lien Stratégies d’accès supplémentaires en regard
de la catégorie appropriée. (Par exemple, si vous souhaitez contrôler
l’accès à une stratégie de ressource qui, elle-même, contrôle l’accès à
www.google.com, sélectionnez le lien Stratégies d’accès supplémentaires
en regard de Web.)
3
Sélectionnez le niveau d’accès de la stratégie (Refuser, Lire ou Écrire).
4
Sous Stratégies d’accès, sélectionnez la stratégie de ressource pour
laquelle vous souhaitez fournir un niveau d’accès personnalisé, puis
cliquez sur Ajouter.

315
Figure 108 : Administrateurs > Délégation > [Rôle] > Stratégie de ressources
316

Configuration d’un domaine d’authentification
Les menus Administrateurs > Authentification et Utilisateurs >
Authentification pointent vers les pages domaines d’authentification
des utilisateurs correspondants. Ces pages vous permettent de créer et de
gérer des domaines d’authentification système.
Une page Domaines d’authentification contient les onglets suivants :
Onglet Général ..................................................................................... 317
Onglet Stratégie d’authentification........................................................ 319
Onglet Correspondance de rôles.......................................................... 320
Utilisez les onglets de la page Domaines d’authentification pour :
Création d’un domaine d’authentification ............................................. 317
Définition d’une stratégie de domaine d’authentification ...................... 319
Définition des règles de correspondance de rôles pour un domaine
Utilisez le catalogue de serveur............................................................ 323
Onglet Général
L’onglet Général vous permet de créer un domaine d’authentification.
Pour plus d’informations sur les domaines, reportez-vous à la section
« Présentation générale des royaumes d’authentification », page 29.
5
Création d’un domaine d’authentification
Pour créer un domaine d’authentification, procédez comme suit :
1. Dans la Console Web, sélectionnez Administrateurs >
Authentification ou Utilisateurs > Authentification.
2. Cliquez sur Nouveau sur la page Domaines d’authentification
appropriée.
3. Sur la page Nouveau royaume d’authentification :
1
Entrez un nom pour ce domaine.
2
Entrez la description du domaine. (facultatif)
3
Cochez la case Ouvrir la page Correspondance de rôles lors de
l’édition si vous souhaitez que l’onglet Correspondance de rôles soit
sélectionné lorsque vous ouvrez le domaine en vue de le modifier.
4. Dans la section Serveurs, désignez :
•
Un serveur d’authentification à utiliser pour authentifier les
utilisateurs qui ouvrent une session sur ce domaine.
•
Un serveur d’annuaires/d’attributs à utiliser afin de récupérer des
informations sur les attributs et groupes des utilisateurs pour les
règles de correspondance de rôles et les stratégies de ressources.
(facultatif)

317
5. Cliquez sur Enregistrer les modifications pour créer le domaine sur
le système IVE. Les onglets Général, Stratégie d’authentification
et Correspondance de rôles relatifs au domaine d’authentification
s’affichent.
6. Exécutez les étapes de configuration ci-dessous :
1
Configurez une ou plusieurs règles de correspondance de rôles.
(page 320)
2
Configurez une stratégie d’authentification pour le domaine. (page 319)
Figure 109 : Utilisateurs | Administrateurs > Authentification > Nom du domaine >
Général
318

Onglet Stratégie d’authentification
L’onglet Stratégie d’authentification vous permet de créer une stratégie
de domaine d’authentification. Pour plus d’informations sur les domaines,
reportez-vous à la section « Présentation générale des royaumes
5
Définition d’une stratégie de domaine d’authentification
Pour définir une stratégie de domaine d’authentification, procédez
comme suit :
1. Dans la Console Web, sélectionnez Administrateurs > Authentification
ou Utilisateurs > Authentification.
2. Sélectionnez un domaine sur la page Domaines d’authentification
appropriée, puis cliquez sur l’onglet Stratégie d’authentification.
3. Sur la page Stratégie d’authentification, configurez l’une ou plusieurs
des options de gestion d’accès ci-dessous :
•
•
•
•
Mot de passe(page 566)
•
•
Nettoyeur de cache1 (page 568)
•
Limites (page 319)
Limite du nombre d’utilisateurs simultanés
Outre les options de gestion d’accès configurables pour une stratégie
d’authentification, vous pouvez limiter le nombre d’utilisateurs simultanés.
Pour configurer ce paramètre, suivez le chemin ci-dessous :
• Administrateurs > Authentification > Domaine sélectionné > Stratégie
d’authentification > Limites
• Utilisateurs > Authentification > Domaine sélectionné > Stratégie
d’authentification > Limites
Un utilisateur qui entre une adresse URL pointant vers l’une des pages
d’ouverture de session de ce domaine doit répondre aux exigences
définies en termes de séances simultanées et de gestion des accès
relatives à la stratégie d’authentification. Dans le cas contraire, le
système IVE n’affichera pas la page d’ouverture de session.
1. Non disponible dans les domaines d’administrateur.

319
Stratégie d’authentification
Onglet Correspondance de rôles
L’onglet Correspondance de rôles vous permet de définir des règles de
correspondance de rôles pour un domaine d’authentification. Pour obtenir
des informations sur les éléments suivants :
• Domaines, reportez-vous à la section « Présentation générale des
royaumes d’authentification », page 29.
• Rôles, reportez-vous à la section « Présentation générale des rôles
d’utilisateur », page 45.
5
Définition des règles de correspondance de rôles pour un domaine d’authentification
Lorsque vous créez une règle qui utilise des attributs utilisateur LDAP, des
informations de groupe LDAP ou des expressions personnalisées, vous
devez utiliser le catalogue de serveur.Pour plus d’informations sur ce
catalogue, reportez-vous à la section « Utilisez le catalogue de serveur »,
page 323.
Pour définir des règles de correspondance de rôles pour un domaine
d’authentification, procédez comme suit :
1. Dans la Console Web, sélectionnez Administrateurs > Authentification
ou Utilisateurs > Authentification.
320

2. Sélectionnez un domaine sur la page domaines d’authentification
appropriée, puis cliquez sur l’onglet Correspondance de rôles.
3. Cliquez sur Nouvelle règle pour accéder à la page Règle de correspondance
de rôles. Cette page met à votre disposition un éditeur en ligne destiné
à la définition de la règle.
4. Sélectionnez l’une des options suivantes dans la liste Règle basée sur :
•
Nom d’utilisateur
Nom d’utilisateur est le IVE nom d’utilisateur saisi dans la page
d’ouverture de session. Sélectionnez cette option si vous souhaitez
faire correspondre des utilisateurs à des rôles en fonction de leur
nom d’utilisateur IVE. Ce type de règle est disponible pour tous les
domaines.
•
Attribut utilisateur
Attribut utilisateur est un attribut utilisateur provenant d’un serveur
RADIUS ou LDAP. Sélectionnez cette option si vous souhaitez faire
correspondre des utilisateurs à des rôles sur la base d’un attribut
provenant du serveur correspondant. Ce type de règle est disponible
uniquement pour les domaines qui utilisent un serveur RADIUS
comme serveur d’authentification ou un serveur LDAP comme serveur
d’annuaires ou d’authentification.
•
Certificat ou Attribut de certificat
Certificat ou Attribut de certificat est un attribut pris en charge par le
certificat côté client des utilisateurs. Sélectionnez cette option si vous
souhaitez faire correspondre des utilisateurs à des rôles en fonction
de leurs attributs de certificat. L’option Certificat est disponible pour
tous les domaines ; l’option Attribut de certificat est disponible
uniquement pour les domaines qui utilisent LDAP comme serveur
d’annuaires ou d’authentification.
•
Appartenance à un groupe
Appartenance à un groupe est une information de groupe en
provenance d’un serveur LDAP ou d’un serveur Active Directory
natif que vous ajoutez à l’onglet Groupes du catalogue de serveur.
Sélectionnez cette option si vous souhaitez faire correspondre des
utilisateurs à des rôles sur la base d’informations de groupe LDAP ou
Active Directory. Ce type de règle est disponible uniquement pour les
domaines qui utilisent un serveur LDAP comme serveur d’annuaires
ou d’authentification ou un serveur Active Directory dans le cadre de
l’authentification. (Nous attirons votre attention sur l’impossibilité de
définir un serveur Active Directory comme serveur d’authentification
pour un domaine.)
•
Expressions personnalisées
L’option Expressions personnalisées est constituée d’une ou de
plusieurs expressions personnalisées que vous définissez dans le
catalogue de serveur. Sélectionnez cette option si vous souhaitez faire
correspondre des utilisateurs à des rôles sur la base d’expressions
personnalisées. Ce type de règle est disponible pour tous les
domaines.
5. Sous Règle, indiquez la condition à évaluer, laquelle correspond au
type de règle sélectionné et comprend les éléments suivants :
1
Définition d’un(e) ou de plusieurs noms d’utilisateur, attributs
d’utilisateur RADIUS ou LDAP, attributs de certificat, groupes LDAP
ou expressions personnalisées.
2
Définition des éléments auxquels la (les) valeur(s) doit (doivent)
correspondre. Il peut s’agir d’une liste de noms d’utilisateurs IVE,

321
de valeurs d’attribut d’utilisateur d’un serveur RADIUS ou LDAP, de
valeurs de certificat côté client (attributs statiques ou LDAP), de groupes
LDAP ou d’expressions personnalisées.
6. Sous ...Affectez ces rôles:
1
Désignez les rôles à affecter à l’utilisateur authentifié en ajoutant des
rôles à la liste Rôles sélectionnés.
2
Cochez la case Arrêter d’évaluer les règles si l’utilisateur répond
au conditions de cette règle si vous souhaitez que le système IVE
cesse d’évaluer les règles de correspondance de rôles si l’utilisateur
répond aux conditions définies pour ladite règle.
7. Cliquez sur Enregistrer les modifications pour créer la règle dans
l’onglet Correspondance de rôles. Une fois la création des règles
terminée :
•
Prenez soin de les classer dans l’ordre dans lequel vous souhaitez
que le système IVE les évalue. Cette tâche se révèle particulièrement
importante lorsque vous souhaitez mettre fin au traitement des
règles de correspondance de rôles lors de la détection d’une
correspondance.
•
Indiquez si vous souhaitez fusionner les paramètres pour tous les
rôles affectés. Reportez-vous à la section « Instructions pour la
fusion permissive », page 48.
Correspondance de rôles
322

5
Utilisez le catalogue de serveur
Le catalogue de serveur est une fenêtre secondaire qui vous permet de
définir des informations supplémentaires que le système IVE devra utiliser
lors de la mise en correspondance d’utilisateurs et de rôles, dont :
• Attributs
L’onglet Attributs du catalogue de serveur affiche la liste des attributs
LDAP courants, tels que cn, uid, membre unique et membre de. Cet onglet
est disponible uniquement lors de l’accès au catalogue d’un serveur LDAP.
Vous pouvez utiliser cet onglet pour gérer les attributs d’un serveur LDAP
en ajoutant des valeurs au catalogue de serveur de son IVE et en en
supprimant. Notez que le système IVE conserve une copie locale des
valeurs du serveur LDAP ; aucun attribut n’est ajouté ou supprimé du
dictionnaire de votre serveur LDAP.
• Groupes
L’onglet Groupes de catalogues de serveur offre un mécanisme qui
facilite la récupération d’informations de groupe à partir d’un serveur
LDAP, ainsi que leur ajout au catalogue de serveur IVE du serveur. Il vous
appartient de définir le BaseDN de vos groupes et éventuellement un filtre
pour lancer la recherche. Si vous ne savez pas avec certitude quel est le
conteneur de vos groupes, vous pouvez définir la racine du domaine
en tant que BaseDN, tel que dc=juniper, dc=com.La page de recherche
renvoie la liste des groupes à partir de votre serveur. Vous pouvez alors
y sélectionner les groupes à saisir dans la liste Groupes.
Remarque : La valeur BaseDN définie dans la page de configuration du
serveur LDAP sous « Trouver les entrées utilisateur » est la valeur BaseDN
par défaut. Par défaut, la valeur Filtre est (cn=*).
Vous pouvez également utiliser l’onglet Groupes pour définir des groupes.
Vous devez définir le nom de domaine pleinement qualifié (FQDN) d’un
groupe, tel que cn=GoodManagers, ou=HQ, ou=Juniper, o=com, c=US.
L’attribution d’un libellé au groupe qui s’affiche dans la liste Groupes n’est
toutefois pas obligatoire. Notez que cet onglet est disponible uniquement
lors de l’accès au catalogue d’un serveur LDAP.
• Expressions
L’onglet Expressions de catalogue de serveur offre un mécanisme
permettant d’écrire des expressions personnalisées pour la règle de
correspondance de rôles. Pour plus d’informations sur les expressions
personnalisées, reportez-vous à l’« Annexe B : », page 499.
Figure 112 : Onglet Attributs de catalogue de serveur > — Ajout d’un attribut

323
Figure 113 : L’attribut ajouté dans le catalogue de serveur est disponible pour la
règle de correspondance de rôles
324

Figure 114 : Onglet catalogue de serveur > Groupes — Ajout de groupes LDAP

325
Figure 115 : Onglet catalogue de serveur > Groupes — Ajout de groupes Active
Directory
326

Figure 116 : Les groupes LDAP ajoutés dans le catalogue de serveur sont
disponibles pour la règle de correspondance de rôles
Figure 117 : Les groupes AD ajoutés dans le catalogue de serveur sont disponibles
pour la règle de correspondance de rôles

327
Figure 118 : Onglet Catalogue de serveur > Expressions — Ajout d’une expression
personnalisée
328

Figure 119 : L’expression personnalisée ajoutée dans le catalogue de serveur est
disponible pour la règle de correspondance de rôles

329
Configuration de la page Rôles
Le menu Utilisateurs > Rôles permet d’accéder à la page Roles des
utilisateurs. Cette page sert à créer et à gérer des rôles d’utilisateur dans
le système. Pour créer un rôle, cliquez sur Nouveau rôle, puis entrez un
nom et éventuellement une description. Ce nom s’affiche dans la liste
Rôles de la page Rôles. Cliquez sur le nom d’un rôle pour entamer sa
configuration au moyen des onglets Rôle.
La page Utilisateurs > Rôles contient les onglets suivants :
Onglet Général > Vue d’ensemble ....................................................... 333
Onglet Général > Restrictions .............................................................. 334
Onglet Général > Options de session .................................................. 336
Onglet Général > Options IU ................................................................ 340
Onglet Web > Signets........................................................................... 343
Onglet Web > Options .......................................................................... 345
Onglet Fichiers > Signets Windows...................................................... 347
Onglet Fichiers > Signets UNIX............................................................ 348
Onglet Fichiers > Options..................................................................... 349
Onglets SAM > Applications................................................................. 353
Onglet SAM > Options.......................................................................... 360
Onglet Telnet/SSH > Sessions ............................................................. 365
Onglet Telnet/SSH > Options ............................................................... 366
Onglet Services de terminal Windows > Sessions ............................... 369
Onglet Services de terminal Windows > Options ................................. 370
Onglet Réunions................................................................................... 373
Onglet Network Connect ...................................................................... 377
Les onglets de la page Utilisateurs > Rôles permettent d’effectuer les
actions suivantes :
Gestion des paramètres et options généraux d’un rôle........................ 333
Définition des options de gestion des accès pour le rôle ..................... 335
Définition de paramètres de durée de session d’utilisateur, d’itinérance,
de persistance et de demandes ...............................................................336
Personnalisation de la page d’accueil IVE pour les utilisateurs du rôle...340
Permet de créer des signets vers des ressources Web. ...................... 343
Définition d’options générales de navigation sur le Web...................... 345
Permet de créer des signets vers des ressources Windows................ 347
Permet de créer des signets vers des ressources UNIX...................... 348
Définition d’options générales de navigation dans les fichiers ............. 350
Choix des applications et des serveurs qui seront sécurisés par WSAM .354
Choix des applications qui seront sécurisées par JSAM...................... 355
Configurez votre serveur DNS externe et les ordinateurs des
utilisateurs (si nécessaire) ................................................................ 358
Configurez un PC qui se connecte au système IVE par l’intermédiaire
d’un serveur proxy web. ....................................................................... 359
330

Définition des options générales du gestionnaire d’applications
sécurisé ......................................................................................... 360
sécurisé Windows................................................................................. 361
Téléchargement d’applications du gestionnaire d’applications
Définition des options du gestionnaire d’applications sécurisé Java.... 362
Création de signets pour les sessions de terminal sécurisées............. 365
Définition d’options Telnet/SSH générales ........................................... 367
Création de signets pour une session Services de terminal Windows . 369
Définition d’options générales pour les services de terminal Windows ...371
Activation et configuration de réunions pour les rôles d’utilisateur....... 373
Définition des options de split-tunneling et de lancement automatique
de Network Connect .................................................................................377

331
332

Onglet Général > Vue d’ensemble
L’onglet Général > Vue d’ensemble vous permet de modifier le nom et la
description d’un rôle, ainsi que d’activer ou de désactiver les options de
session et d’interface utilisateur et d’activer les fonctionnalités d’accès.
Lorsque vous activez une fonctionnalité d’accès, veillez à créer les
stratégies de ressources correspondantes.
5
Gestion des paramètres et options généraux d’un rôle
Pour gérer les paramètres et options généraux d’un rôle, procédez
comme suit :
1. Dans la Console Web, sélectionnez Utilisateurs > Rôles > Nom du
rôle > Général> Vue d’ensemble.
2. Modifiez si nécessaire le nom et la description, puis cliquez sur
Enregistrer les modifications. (facultatif)
3. Sous Options, cochez les options suivantes :
•
Options de session pour appliquer au rôle les paramètres configurés
dans l’onglet Général > Options de session.
•
Options IU pour appliquer au rôle les paramètres configurés dans
l’onglet Général > Options IU.
4. Dans la section Fonctionnalités d’accès, sélectionnez les fonctionnalités
que vous voulez activer pour le rôle. Les options disponibles sont les
suivantes : Web, Fichiers, Secure Application Manager (version Windows
ou Java), Telnet/SSH, Réunions, Client de courriel et Network Connect.
5. Cliquez sur Enregistrer les modifications pour appliquer les paramètres
au rôle.

333
Figure 120 : Utilisateurs > Rôles > NomRôle > Général > Vue d’ensemble
Onglet Général > Restrictions
L’onglet Général > Restrictions vous permet de définir les options de
gestion d’accès relatives au rôle. Le système IVE tient compte de ces
restrictions lorsqu’il s’agit de déterminer s’il doit ou non faire correspondre
un utilisateur au rôle. Le système IVE ne fait pas correspondre les
utilisateurs à ce rôle, sauf s’ils répondent aux restrictions indiquées.
Pour plus d’informations sur la gestion des accès, reportez-vous à la
section « Présentation de la gestion des accès », page 21.
334

5
Définition des options de gestion des accès pour le rôle
Pour définir les options de gestion des accès pour le rôle, procédez
comme suit :
rôle > Général > Restrictions.
2. Cliquez sur l’onglet correspondant à l’option que vous souhaitez
configurer pour le rôle :
•
•
•
•
•
Cache Cleaner (page 568)
Vous pouvez configurer un nombre illimité d’options de gestion d’accès
pour le rôle. Si un utilisateur ne respecte pas l’ensemble des restrictions,
le système IVE ne fait pas correspondre l’utilisateur au rôle.
Figure 121 : Utilisateurs > Rôles > NomRôle > Général > Restrictions

335
Onglet Général > Options de session
L’onglet Général > Session permet de définir les limites temporelles des
sessions, les fonctionnalités d’itinérance, la persistance des sessions et des
mots de passe, les options de suivi des demandes, ainsi que le Activité
d’application pour le délai d’inactivité. Cochez la case Options de session
dans l’onglet Général > Vue d’ensemble pour activer ces paramètres pour
le rôle.
5
Définition de paramètres de durée de session d’utilisateur, d’itinérance,
de persistance et de demandes
Pour définir les options de session générales, procédez comme suit :
rôle > Général > Options de session.
2. Dans la zone Durée de vie de la session, paramétrez les options
suivantes :
•
Délai d’inactivité : indiquez le nombre de minutes pendant
lesquelles une session d’utilisateur non administratif peut rester
inactive avant d’être fermée. La valeur minimale est fixée à 3
minutes. La limite de session inactive est fixée par défaut à dix
minutes. En d’autres termes, si la session d’un utilisateur est inactive
pendant dix minutes, le système IVE ferme la session et consigne
l’événement dans le journal système (à moins que vous n’activiez
les avertissements de délai de session décrits ci-dessous).
•
Longueur de session max. : indiquez le nombre de minutes
pendant lesquelles une session d’utilisateur non administratif active
peut rester ouverte avant d’être fermée. La valeur minimale est fixée
à 3 minutes. Par défaut, une session d’utilisateur peut durer soixante
minutes, après quoi le système IVE ferme la session et consigne
l’événement dans le journal système.
•
Heure de rappel : indiquez le moment où le systèmeIVE doit
afficher un message aux utilisateurs non administratifs pour les
avertir de l’imminence d’un délai d’inactivité ou de session.
Indiquez le temps en minutes avant le délai d’expiration.
3. Dans la section Activer l’avertissement de délai de session,
sélectionnez Activé pour que les utilisateurs non administratifs soient
avertis lorsqu’ils sont sur le point d’atteindre une limite de session ou
d’inactivité. Ces avertissements invitent les utilisateurs à prendre les
mesures appropriées lorsqu’ils atteignent les limites de leur session
ou les délais d’inactivité. Ils les aident à enregistrer les données du
formulaire en cours qui seraient autrement perdues. Les utilisateurs
approchant de la limite de délai d’inactivité sont invités à réactiver leur
session. Les utilisateurs approchant de la limite temporelle de session
sont invités à enregistrer leurs données.
Par exemple, un utilisateur IVE peut, sans le savoir, atteindre le délai
d’inactivité défini pour son groupe d’autorisation lorsqu’il utilise un client
courriel configuré pour fonctionner avec le système IVE. Cela est dû au
fait que le système IVE ne reçoit pas de données lorsque l’utilisateur écrit
un courriel. Cependant, si l’avertissement de délai de session est activé,
le système IVE invite l’utilisateur à réactiver sa session IVE avant que la
session n’expire et force la session IVE de l’utilisateur à prendre fin.
336

Cet avertissement donne à l’utilisateur l’opportunité d’enregistrer son
courriel en cours de composition.
4. Dans la section Session itinérante, choisissez :
•
Activé — Cette option permet d’activer les sessions itinérantes
pour les utilisateurs associés à ce groupe. Une session d’utilisateur
itinérant fonctionne sur des adresses IP source. Ce faisant, les
utilisateurs mobiles (utilisateurs de portables) possédant des
adresses IP dynamiques peuvent se connecter au système IVE
depuis un emplacement, puis continuer à travailler depuis un autre.
Toutefois, certains navigateurs peuvent présenter des faiblesses qui
permettraient à un code dangereux de voler les cookies d’utilisateur.
Un utilisateur mal intentionné pourrait dès lors employer un cookie
de session IVE volé pour se connecter au système IVE.
•
Limiter au sous-réseau — Cette option permet de limiter la session
itinérante au sous-réseau local spécifié dans le champ Masque
réseau. Les utilisateurs peuvent ouvrir une session à partir d’une
adresse IP puis la poursuivre à partir d’une autre, pour autant que
la nouvelle adresse IP se trouve dans le même sous-réseau.
•
Désactivée — Cette option permet d’interdire les sessions
itinérantes pour les utilisateurs correspondant à ce rôle. Les
utilisateurs qui ouvrent une session à partir d’une adresse IP ne
peuvent pas poursuivre de session IVE active à partir d’une autre
adresse. Les sessions d’utilisateur sont liées à l’adresse IP source
initiale.
5. Dans la section Session persistante, sélectionnez Activée pour
écrire le cookie de sessionIVE sur le disque dur du client, de manière
à sauvegarder les données d’identification IVE de l’utilisateur pendant
toute la durée de la session IVE.
Par défaut, le cookie de session IVE est supprimé de la mémoire du
navigateur lorsque celui-ci est fermé. La longueur de la session IVE
est déterminée par la valeur du délai d’inactivité et celle de la durée
maximale de session, que vous définissez pour le rôle. La session
IVE ne prend pas fin lorsque l’utilisateur ferme son navigateur. Elle
ne le fait que quand l’utilisateur se déconnecte du système IVE. Si
un utilisateur ferme la fenêtre de son navigateur sans se déconnecter,
n’importe quel utilisateur peut ouvrir une autre instance du même
navigateur pour accéder au système IVE sans produire d’informations
d’identification valides.
Remarque : Il est conseillé de n’activer cette fonctionnalité que pour les rôles
dont les membres doivent accéder à des applications qui exigent des informations d’identification IVE. Veillez, en outre, à ce que ces utilisateurs aient bien
conscience de l’importance de se déconnecter du système IVE lorsqu’ils ont
terminé.
6. Dans la section Mise en cache persistante des mots de passe,
choisissez Activée pour autoriser les mots de passe mis en cache à
persister d’une session à l’autre pour un groupe.
Le système IVE prend en charge l’authentification de base NTLM et HTTP
ainsi que les serveurs configurés de manière à accepter l’ouverture de
session NTLM et anonyme. Le système IVE met en cache les mots de
passe d’authentification de base NTLM et HTTP fournis par les utilisateurs,
qui ne sont pas invités sans cesse à entrer les mêmes informations
d’identification pour se connecter au serveur IVE ou à une autre ressource
du domaine NT. Par défaut, le serveur IVE efface les mots de passe mis
en cache lorsqu’un utilisateur se déconnecte. Les utilisateurs peuvent

337
supprimer les mots de passe en cache par l’intermédiaire de la page
Préférences avancées.
7. Dans la section Suivi des demandes de navigateur, sélectionnez
Activé pour autoriser le système IVE à satisfaire une demande
d’utilisateur effectuée après une session d’utilisateur ayant expiré,
après la ré-authentification de l’utilisateur.
8. Dans la section Activité d’application pour le délai d’inactivité,
sélectionnez Activé pour ignorer les activités initiées par des applications
Web (comme le sondage de courriels) lorsqu’il s’agit de déterminer si
une session est active. Si vous désactivez cette option, un test ping
périodique ou une autre activité d’application peut empêcher un délai
d’inactivité.
9. Cliquez sur Enregistrer les modifications pour appliquer les paramètres
au rôle.
338

Figure 122 : Utilisateurs > Rôles > NomRôle > Général > Options de session

339
Onglet Général > Options IU
L’onglet Administrateurs > Options IU vous permet de définir des
paramètres personnalisés pour la page d’accueil IVE des utilisateurs
correspondant à ce rôle. La page d’accueil IVE est, en fait, l’interface
Web présentée aux utilisateurs IVE authentifiés. Cochez la case Options
IU dans l’onglet Général > Vue d’ensemble pour activer ces paramètres
pour le rôle.
5
Personnalisation de la page d’accueil IVE pour les utilisateurs du rôle
Pour personnaliser la page d’accueil IVE pour les utilisateurs d’un
rôle, procédez comme suit :
rôle > Général > Options IU.
2. Dans les sections Texte personnalisé et Messages d’erreur
personnalisés, modifiez si nécessaire le texte utilisé par défaut pour
les différents libellés affichés.
3. Dans la section En-tête, définissez le fichier d’image du logo personnalisé
qui figurera dans l’en-tête, ainsi que la couleur de l’en-tête.
4. Pour présenter à vos utilisateurs une aide personnalisée ou des
instructions complémentaires, sélectionnez Afficher le bouton Aide,
entrez le libellé du bouton, puis définissez un fichier HTML à envoyer
au système IVE. Notez que le système IVE n’affiche ni les images ni
les autres types de contenu auxquels cette page HTML fait référence.
6. Cliquez sur Rétablir les paramètres par défaut pour réinitialiser
l’apparence de la page d’ouverture de session, de la page d’accueil
des utilisateurs du système IVE et de la Console Web.
340

Figure 123 : Utilisateurs > Rôles > NomRôle > Général > Options IU

341
342

Onglet Web > Signets
L’onglet Web > Signets permet de créer des signets Web qui figureront sur
la page d’accueil des utilisateurs correspondant à ce rôle. Vous pouvez
insérer le nom d’utilisateur IVE de l’utilisateur dans le chemin de l’URL pour
permettre un accès par ouverture de session unique aux applications Web
dorsales.
5
Permet de créer des signets vers des ressources Web.
Pour créer un signet vers une ressource Web :
rôle > Web > Signets.
2. Cliquez sur Nouveau signet, puis procédez comme suit sur la page
Nouveau signet Web :
1
Entrez un nom et une description pour le signet Web (opération
facultative). Ces informations s’affichent sur la page d’accueil IVE au
lieu de l’URL.
2
Entrez l’URL à enregistrer comme signet. Si vous voulez insérer le
nom d’utilisateur de l’utilisateur, tapez <USER> (en majuscules) à
l’endroit approprié dans l’URL.
3
Dans la section Autorisation automatique, cliquez sur Signet
à autorisation automatique pour permettre au système IVE de
créer automatiquement une stratégie de ressources d’accès Web
correspondante. Notez que cette fonctionnalité s’applique uniquement
aux signets de rôle et non aux signets créés par les utilisateurs.
Sélectionnez ensuite :
•
Seulement cette URL pour permettre aux utilisateurs d’accéder
uniquement à l’URL.
•
Tout sous cette URL pour permettre aux utilisateurs d’accéder à
tout chemin sous l’URL.
3. Cliquez sur Enregistrer ou sur Enregistrer + Nouveau pour ajouter un
nouvel élément.

343
Figure 124 : Utilisateurs > Rôles > NomRôle > Web > Signets > Nouveau signet
344

Onglet Web > Options
L’onglet Web > Options permet de définir des options générales de
navigation sur le Web.
5
Définition d’options générales de navigation sur le Web
Pour définir des options générales de navigation sur le Web :
rôle > Web > Optons.
2. Dans la section Navigation, choisissez les options à activer pour les
utilisateurs :
•
L’utilisateur peut taper des URL : cette option permet à l’utilisateur
d’entrer des URL sur la page d’accueil et d’accéder à des sites Internet.
•
Autoriser les applets Java : cette option permet aux utilisateurs
d’accéder à des pages Web contenant des applets Java côté client.
Le serveur IVE apparaît, pour le serveur d’application, comme un
navigateur employant SSL. Le système IVE traite de manière
transparente les demandes HTTP et les connexions TCP lancées
par une applet Java, et il gère les applets Java signées.
Si vous activez cette fonctionnalité, l’utilisateur peut lancer des
applets Java et exécuter des applications déployées sous la forme
d’applets Java côté client, comme le client Java Virtual Computing
(VNC), le client Java Citrix NFuse, le client Web WRQ Reflections et
Lotus WebMail. Cette fonctionnalité s’emploie en combinaison avec les
stratégies de ressources Signature de code Java.
•
•
Masquer les noms d’hôte en cours de navigation : cette option
permet de masquer les ressources cibles dans les URL auxquelles
les utilisateurs accèdent. Lorsque vous sélectionnez cette option,
les adresses IP et les noms d’hôte sont masqués dans les éléments
suivants :
•
Barre d’adresses du navigateur web de l’utilisateur (lorsque
l’utilisateur accède à une page)
•
Barre d’état du navigateur web de l’utilisateur (lorsque l’utilisateur
pointe le curseur sur un hyperlien)
•
Fichiers source HTML (lorsque l’utilisateur choisit d’afficher la
source)
•
Le codage du nom d’hôte empêche les observateurs occasionnels
de noter l’URL d’une ressource interne en masquant le serveur
cible au sein de l’URL sans masquer le nom du chemin d’accès
complet, le fichier cible ou le numéro de port. Par exemple, si
un utilisateur accède au site www.msn.com sans avoir activé la
réécriture sélective ni le codage du nom d’hôte, l’URL suivante est
affichée dans la barre d’adresses du navigateur Web :
http://www.msn.com/
Ouverture des pages non réécrites dans une nouvelle fenêtre :
cette option permet, lorsqu’un utilisateur accède à une page qui
n’est pas réécrite (voir la section « Rédaction d’une stratégie de
ressources de réécriture sélective », page 392), de forcer le contenu
à s’afficher dans une nouvelle fenêtre. Cela peut aider l’utilisateur à
se souvenir qu’une session sécurisée est toujours ouverte.

345
3. Dans la section Signets, sélectionnez L’utilisateur peut ajouter des
signets pour permettre aux utilisateurs de créer des signets Web
personnels sur la page d’accueil IVE.
4. Dans la section Cookies, activez l’option Cookies persistants pour
permettre aux utilisateurs qui appartiennent à ce rôle de personnaliser
leur expérience de navigation en stockant des cookies persistants. Par
défaut, le IVE efface les cookies web stockés au cours d’une session
d’utilisateur. Si vous activez cette option, les utilisateurs peuvent
supprimer les cookies par l’intermédiaire de la page Préférences
avancées.
Figure 125 : Utilisateurs > Rôles > NomRôle > Web > Options
346

Onglet Fichiers > Signets Windows
L’onglet Fichiers > Signets Windows permet de créer des signets
Windows qui figureront sur la page d’accueil des utilisateurs correspondant
à ce rôle. Vous pouvez insérer le nom d’utilisateur IVE de l’utilisateur dans
le chemin de l’URL pour permettre un accès rapide aux répertoires réseau
de l’utilisateur.
Lorsqu’un utilisateur IVE navigue dans des fichiers sur un serveur Dfs, ce
dernier utilise les données de configuration de site stockées dans Active
Directory pour renvoyer les références Dfs au système IVE dans l’ordre
correct. Les références aux serveurs les plus proches sont placées plus
haut dans la liste que les références aux serveurs plus éloignés Les clients
essaient les références selon leur ordre de réception. Si une demande
émane d’un client qui se trouve sur un sous-réseau qui ne figure pas dans
cette liste, le serveur ignorera d’où provient le client et lui renverra la liste
de références dans un ordre arbitraire. Cette situation pourrait contraindre
les demandes Dfs provenant du système IVE (qui fait office de client dans
ce cas) à accéder à un serveur bien plus éloigné. À son tour, cette situation
pourrait provoquer d’importants retards, en particulier si le système IVE
tente d’accéder à un serveur non disponible à partir du sous-réseau où
réside le système IVE. Si le système IVE est installé sur un sous-réseau
qui ne se trouve pas dans la liste du serveur Dfs, l’administrateur Dfs peut
utiliser l’utilitaire « Sites et services Active Directory » du contrôleur de
domaine pour ajouter le sous-réseau du système IVE au site approprié.
5
Permet de créer des signets vers des ressources Windows.
Pour créer un signet vers une ressource Windows :
1. Dans la Console Web, sélectionnez Utilisateurs > Rôles> Nom du
rôle > Files > Signets Windows.
2. Cliquez sur Nouveau signet, puis accédez au serveur et au partage,
ou entrez leur nom. Définissez un chemin si vous voulez restreindre
davantage l’accès. Si vous voulez insérer le nom d’utilisateur de
l’utilisateur, tapez <USER> (en majuscules) à l’endroit approprié dans
le chemin d’accès. Si vous entrez un nom et une description pour le
signet, ces informations s’afficheront sur la page d’accueil IVE, au
lieu du nom du serveur/partage.
Remarque : Il peut être impossible de marquer un serveur Windows à l’aide
d’un signet. Vous devez définir à la fois le serveur et le nom du partage.
3. Pour l’option Apparence, vous pouvez choisir :
•
Apparaître comme un signet sur la page d’accueil et lors de la
navigation dans les fichiers si vous souhaitez que le signet figure
sur la page d’accueil d’un utilisateur et qu’il apparaisse lors de
l’exploration des fichiers réseau.
•
Apparaître uniquement lors de la navigation dans les fichiers
si vous souhaitez que le signet apparaisse uniquement lors de
4. Pour l’option Accès, cliquez sur Permettre l’autorisation d’accès
automatique à ce signet si vous souhaitez que le système IVE crée
automatiquement une stratégie de ressources d’accès Windows

347
correspondante. Notez que cette fonctionnalité s’applique uniquement
aux signets de rôle et non aux signets créés par les utilisateurs.
Sélectionnez ensuite :
•
Accès en lecture-écriture pour permettre aux utilisateurs
d’enregistrer des fichiers sur le serveur.
•
Inclure les sous-dossiers pour permettre aux utilisateurs de
visualiser des fichiers dans les répertoires en dessous du chemin
du signet indiqué.
5. Cliquez sur Enregistrer les modifications ou sur Enregistrer + Nouveau
pour ajouter un nouvel élément.
Figure 126 : Utilisateurs > Rôles > NomRôle > Fichiers > Signets Windows >
Nouveau signet
Onglet Fichiers > Signets UNIX
L’onglet Fichiers > Signets UNIX permet de créer des signets UNIX/NFS
qui figureront sur la page d’accueil IVE. Vous pouvez insérer le nom
d’utilisateur IVE de l’utilisateur dans le chemin de l’URL pour permettre
un accès rapide aux répertoires réseau de l’utilisateur.
5
Permet de créer des signets vers des ressources UNIX.
Pour créer un signet vers une ressource UNIX/NFS :
rôle > Files > Signets UNIX.
2. Cliquez sur Nouveau signet, puis entrez le nom d’hôte ou l’adresse IP
du serveur, ainsi que le chemin d’accès au partage. Si vous voulez
insérer le nom d’utilisateur de l’utilisateur, tapez <USER> (en majuscules)
à l’endroit approprié dans le chemin d’accès. Si vous entrez un nom et
348

une description pour le signet, ces informations s’afficheront sur la page
d’accueil IVE, au lieu du nom du serveur/chemin d’accès.
3. Pour l’option Apparence, vous pouvez choisir :
•
Apparaître comme un signet sur la page d’accueil et lors de la
navigation dans les fichiers si vous souhaitez que le signet figure
sur la page d’accueil d’un utilisateur et qu’il apparaisse lors de
•
Apparaître uniquement lors de la navigation dans les fichiers
si vous souhaitez que le signet apparaisse uniquement lors de
4. Pour l’option Accès, cliquez Permettre l’autorisation d’accès
automatique à ce signet si vous souhaitez que le système IVE crée
automatiquement une stratégie de ressources UNIX/NFS correspondante.
Notez que cette fonctionnalité s’applique uniquement aux signets de rôle
et non aux signets créés par les utilisateurs. Sélectionnez ensuite :
•
Accès en lecture-écriture pour permettre aux utilisateurs
•
Inclure les sous-dossiers pour permettre aux utilisateurs de
visualiser des fichiers dans les répertoires en dessous du chemin
du signet indiqué.
5. Cliquez sur Enregistrer les modifications ou sur Enregistrer + Nouveau
pour ajouter un nouvel élément.
Figure 127 : Utilisateurs > Rôles > NomRôle > Fichiers > Signets UNIX
Onglet Fichiers > Options
L’onglet Fichiers > Options permet de définir des options de navigation
réseau Windows et UNIX/NFS, y compris la capacité de visualiser des
ressources et de créer des signets vers des dossiers. Ces options s’utilisent
en combinaison avec les stratégies de ressources de fichiers.

349
5
Définition d’options générales de navigation dans les fichiers
Pour définir des options générales de navigation dans les fichiers :
1. Dans la Console Web, sélectionnez Utilisateurs> Rôles > Nom du
rôle > Web > Optons.
2. Dans la section Fichiers réseau Windows, choisissez les options à
activer pour les utilisateurs :
•
L’utilisateur peut parcourir les partages de fichiers réseau :
cette option permet aux utilisateurs de visualiser et de créer des
signets vers des ressources sur les partages de fichiers Windows
disponibles.
•
L’utilisateur peut ajouter des signets : cette option permet aux
utilisateurs de visualiser et de créer des signets vers des ressources
sur les partages de fichiers UNIX disponibles.
3. Dans la section Fichiers réseau UNIX, choisissez les options à activer
pour les utilisateurs :
•
L’utilisateur peut parcourir les partages de fichiers réseau :
cette option permet aux utilisateurs de visualiser et de créer des
signets vers des ressources sur les partages de fichiers UNIX
disponibles.
•
L’utilisateur peut ajouter des signets : cette option permet aux
utilisateurs de visualiser et de créer des signets vers des ressources
sur les partages de fichiers UNIX disponibles.
•
Autoriser les partages à montage automatique : cette option permet
aux utilisateurs d’accéder à des partages à montage automatique
définis sur un serveur NIS.
350

Figure 128 : Utilisateurs > Rôles > NomRôle > Fichiers > Options

351
352

Onglets SAM > Applications
L’onglet SAM > Applications permet de choisir les applications
client/serveur pour lesquelles le gestionnaire d’applications sécurisé
fera office d’intermédiaire. Cet onglet présente des options différentes en
fonction de la version de SAM activée pour le rôle. Si vous avez choisi :
• WSAM, reportez-vous à la section « Choix des applications et des
serveurs qui seront sécurisés par WSAM », page 354.
• JSAM, reportez-vous à la section « Choix des applications qui seront
sécurisées par JSAM. », page 355.
Figure 129 : Utilisateurs > Rôles > NomRôle > SAM > Applications

353
5
Choix des applications et des serveurs qui seront sécurisés par WSAM
L’onglet Applications permet d’indiquer les applications et serveurs pour
lesquels WSAM sécurisera le trafic. Lorsque WSAM est téléchargé sur un
PC client, il contient les informations que vous configurez dans l’onglet
Applications pour le rôle. Lorsqu’un utilisateur démarre1 le gestionnaire
d’applications sécurisé, WSAM intercepte les demandes des applications
clientes aux serveurs de votre réseau interne ainsi que les demandes de
processus tournant sur le client aux hôtes internes. Pour définir ces
ressources dans l’onglet Applications, vous devez configurer deux listes :
• Liste des applications prises en charge par WSAM
Cette liste contient les applications pour lesquelles WSAM doit sécuriser
le trafic client/serveur entre le client et le système IVE.
• Liste des serveurs autorisés pour WSAM
Cette liste contient les hôtes pour lesquelles WSAM doit sécuriser le trafic
client/serveur entre le client et le système IVE.
Important : Notez que pour accéder à un partage à l’aide de WSAM avec
NetBIOS, vous devez définir explicitement le nom NetBIOS du serveur
(chaîne alphanumérique pouvant comporter 15 caractères) à deux endroits :
sur la page Ajouter un serveur et dans une stratégie de ressources SAM.
Les caractères génériques ne sont pas pris en charge pour l’instant.
Alternativement, vous pouvez activer l’option Autorisation automatique
des serveurs d’application dans l’onglet SAM > Options, après quoi
le système IVE créera automatiquement une stratégie de ressources SAM
permettant d’accéder à ce serveur.
Pour choisir les applications et les serveurs qui seront sécurisés
par WSAM :
1. Dans la Console Web, sélectionnez Utilisateurs > Rôles> Nom du
rôle > SAM > Applications.
2. Choisissez, dans la liste Applications prises en charge par WSAM, les
ressources pour lesquelles WSAM sécurise le trafic client/serveur entre
le client et le système IVE :
1
Cliquez sur Ajouter une application.
2
Entrez le nom de l’application et éventuellement une description.
Ces informations s’affichent sur la page Applications clientes pour
les utilisateurs du système IVE.
3
Choisissez :
•
Application standard : pour sélectionner Citrix NFuse, Lotus
Notes ou Microsoft Outlook/Exchange.
•
Application personnalisée : pour définir une application
client/serveur personnalisée. Dans le champ Nom de fichier,
entrez le nom du fichier exécutable. Vous pouvez également
définir le chemin d’accès de ce fichier et le hachage MD5 de
l’exécutable. (facultatif)
1. Vous pouvez configurer le gestionnaire d’applications sécurisé de manière à ce qu’il démarre
automatiquement quand un utilisateur ouvre une session. Les utilisateurs peuvent supplanter ce
paramètre via le menu Système > Préférences du système IVE. Si le démarrage automatique du
gestionnaire d’applications sécurisé est désactivé, les utilisateurs doivent le lancer manuellement en
cliquant sur son lien dans le menu de la page d’accueil IVE.
354

Si vous entrez un hachage MD5, WSAM vérifie que la valeur du total
de contrôle de l’exécutable correspond bien à cette valeur. Si la valeur
ne correspond pas, WSAM signale à l’utilisateur que l’identité de
l’application n’a pas pu être vérifiée, et il ne transfère pas les
connexions de l’application au système IVE.
4
Cliquez sur Enregistrer les modifications ou sur Enregistrer +
Nouveau.
3. Choisissez, dans la liste Serveurs autorisés par WSAM, les ressources
pour lesquelles WSAM sécurise le trafic client/serveur entre le client et le
système IVE :
1
Cliquez sur Ajouter les serveurs.
2
Entrez le nom de l’hôte (les caractères génériques « * » et « ? » sont
admis) ou une paire IP/masque de réseau. Si vous définissez plusieurs
ports pour un hôte, créez des entrées distinctes pour chacun d’eux.
3
Cliquez sur Ajouter.
4. Configurez une stratégie de ressources Gestionnaire d’applications
sécurisé afin de préciser à quelles ressources de l’entreprise (selon
la combinaison adresse IP/port) le système IVE peut envoyer une
demande d’application ou d’hôte.
Alternativement, vous pouvez activer l’option Autorisation automatique
des serveurs d’application dans l’onglet SAM > Options, après quoi le
système IVE créera automatiquement une stratégie de ressources SAM
permettant d’accéder au serveur indiqué. Notez qu’il est nécessaire
d’activer cette option avant de définir l’application ou le serveur, faute
de quoi vous devrez créer une stratégie de ressources SAM.
5
Choix des applications qui seront sécurisées par JSAM.
L’onglet SAM > Applications permet d’indiquer les applications pour
lesquelles JSAM sécurisera le trafic. Notez que, pour que la version Java
du Gestionnaire d’applications sécurisé fonctionne, l’application cliente
doit se connecter au PC local où le Gestionnaire d’applications sécurisé
tourne comme serveur d’applications. La procédure conseillée de mise en
correspondance des serveurs d’applications et du PC local d’un utilisateur
consiste à employer la correspondance d’hôte automatique. Celle-ci permet
au système IVE de modifier automatiquement le fichier hosts du PC de
manière à diriger les serveurs d’applications vers le localhost en vue d’un
transfert de ports sécurisé.
Important : Pour que la correspondance d’hôte automatique fonctionne sur un
PC Windows, l’utilisateur doit posséder des autorisations de niveau Administrateur, afin de permettre au Gestionnaire d’applications sécurisé de modifier le
fichier hosts. Si l’utilisateur ne possède pas d’autorisations de niveau Administrateur, la fenêtre Gestionnaire d’applications sécurisé affiche un message d’erreur,
et l’utilisateur est dans l’impossibilité d’accéder aux applications client/serveur. Si
votre stratégie de sécurité vous interdit d’accorder des autorisations d’administrateur aux utilisateurs, vous pouvez configurer vos serveurs DNS externes comme
l’explique la section « Configurez votre serveur DNS externe et les ordinateurs
des utilisateurs (si nécessaire) », page 358.
Lorsque JSAM est téléchargé sur un ordinateur client, il contient les
informations que vous configurez dans l’onglet SAM > Applications pour
le rôle. Lorsque l’utilisateur clique sur Applications clientes, JSAM démarre
et intercepte les demandes sur les ports indiqués, puis procède à leur

355
transfert de port sécurisé vers le système IVE. Le système IVE transfère
ensuite les données vers le port défini pour le serveur d’applications.
Remarque :
• A l’heure actuelle, la machine virtuelle Sun JVM en version 1.4.1 ou
ultérieure est prise en charge sur les plates-formes Windows, Linux et
Macintosh. La machine virtuelle JVM MS basée sur la version 1.1 du JRE
Sun est également prise en charge sur Windows.
• Pour activer la connexion d’un lecteur à un serveur, vous devez utiliser le
port 139 en tant que port à la fois client et serveur pour le serveur.
Pour les utilisateurs de Windows XP, JSAM modifie automatiquement le
registre pour désactiver le port 445, ce qui oblige Windows XP à utiliser
le port 139 pour la connexion du lecteur. Les utilisateurs de Windows XP
doivent redémarrer leur ordinateur afin que la modification du registre
soit prise en compte. Pour désactiver la modification du registre effectuée
par JSAM, les utilisateurs peuvent cliquer sur le bouton Rétablir les
paramètres du système sur la page Préférences avancéesdu système
IVE. Pour réactiver la modification, ils doivent redémarrer le système
à nouveau.
Pour choisir les applications qui seront sécurisées par JSAM :
rôle > SAM > Applications.
2. Entrez le nom de l’application et éventuellement une description.
Ces informations s’affichent sur la page Applications clientes pour
les utilisateurs du système IVE.
3. Choisissez :
•
Application standard : pour sélectionner Citrix NFuse, Lotus Notes
ou Microsoft Outlook/Exchange.
•
Application personnalisée :
1
Dans le champ Serveur, entrez le nom DNS ou l’adresse IP du
serveur.
2
Dans la zone Port serveur, entrez le port sur lequel le serveur distant
recherche les connexions clientes.
Par exemple, pour transférer le trafic Telnet d’un ordinateur distant,
définissez le port 23 comme port client (sur lequel JSAM est à l’écoute)
et comme port serveur (sur lequel le serveur Telnet est à l’écoute).
Remarque : Pour activer la connexion d’un lecteur à cette ressource,
entrez 139 comme port de serveur.
3
Dans le champ Port local, entrez le port sur lequel JSAM doit
rechercher les connexions d’applications clientes.
En règle générale, le port local possède la même valeur que le port
serveur. Il n’en diffèrera que pour les utilisateurs de Linux ou de
Macintosh qui veulent ajouter des applications pour transfert de port
qui emploient des ports inférieurs à 1024.
Remarque : Pour activer la connexion d’un lecteur à cette ressource,
entrez 139 comme port de serveur.
356

Vous pouvez configurer plusieurs applications sur un port, comme
app1.masociété.com, app2.masociété.com, app3.masociété.com. Le
système IVE attribue une adresse en boucle (127.0.1.10, 127.0.1.11,
127.0.1.12) à chaque application. JSAM surveille ensuite ces adresses
en boucle multiples sur le port indiqué. Par exemple, si du trafic
transite par l’adresse 127.0.1.12 sur le port indiqué, le système IVE
transfère ce trafic à l’hôte de destination app3.masociété.com.
4
Activez la case à cocher Autoriser le gestionnaire d’applications
sécurisé à sélectionner de manière dynamique un port disponible...
si JSAM surveille plusieurs hôtes sur le même port et que vous voulez
que JSAM sélectionne un port disponible lorsque le port client indiqué
est occupé. Pour pouvoir employer cette option, l’application cliente doit
vous permettre de définir le numéro de port pour la connexion.
4. Cliquez sur Enregistrer les modifications ou sur Enregistrer +
Nouveau.
5. Dans la section Permettre la correspondance d’hôte automatique
(version Java uniquement), choisissez Activé, puis cliquez sur
Enregistrer les modifications si vos utilisateurs emploient des PC.
Les applications clientes doivent résoudre les serveurs d’applications
sur une adresse IP de localhost. Si vous ne voulez pas activer la
correspondance d’hôte automatique pour les utilisateurs de PC distants
ou si vos utilisateurs emploient Linux, vous devez configurer votre
serveur DNS externe pour qu’il résolve les noms de serveur d’applications
sur le localhost d’un utilisateur. Pour plus de détails, reportez-vous à la
« Configurez votre serveur DNS externe et les ordinateurs des
utilisateurs (si nécessaire) », page 358.
6. Si le PC d’un utilisateur distant est configuré de manière à utiliser
un proxy web dans Internet Explorer, configurez l’ordinateur client
pour qu’il contourne le serveur proxy lorsque l’utilisateur lance des
applications qui doivent se connecter au Secure Application Manager.
Reportez-vous à la section « Configurez un PC qui se connecte au
système IVE par l’intermédiaire d’un serveur proxy web. », page 359.
7. Ajoutez des domaines DNS au système IVE si vous utilisez plusieurs
domaines internes, comme société-a.com et société-b.com. Ainsi, des
noms tels que app1.société-a.com et app2.société-b.com seront résolus
correctement.
1
Cliquez sur le menu Réseau > Paramètres réseau.
2
Dans la section Résolution de nom DNS, ajoutez une liste de domaines,
séparés par des virgules, dans la zone Domaines DNS.
3
Tâches supplémentaires pour JSAM
Cette section présente des tâches qu’il peut être nécessaire d’accomplir en
fonction des applications client/serveur que vous configurez pour J-SAM
et du système d’exploitation employé par vos utilisateurs. Vous y trouverez
également des instructions relatives au test de J-SAM depuis votre entreprise.

357
Les rubriques abordées sont les suivantes :
• Configurez votre serveur DNS externe et les ordinateurs des
utilisateurs (si nécessaire) (358)
• Configurez un PC qui se connecte au système IVE par l’intermédiaire
d’un serveur proxy web. (359)
5
Configurez votre serveur DNS externe et les ordinateurs des
utilisateurs (si nécessaire)
Les applications clientes doivent résoudre les Noms d’hôtes des serveurs
sur JSAM, qui sert de proxy pour les données échangées entre un client
et un serveur. Sur les PC Windows, les Noms d’hôtes des serveurs sont
stockés dans le fichier hosts. Pour intercepter les données à l’aide de JSAM,
les noms des serveurs figurant dans ce fichier doivent être résolus sur
l’ordinateur local (localhost), de manière à permettre au système IVE de
servir d’intermédiaire dans le trafic. La procédure conseillée de mise en
correspondance des serveurs d’applications et du PC local d’un utilisateur
consiste à employer l’option de correspondance d’hôte automatique (voir
(page 361)). Celle-ci permet au système IVE de modifier automatiquement
le fichier hosts du PC de manière à diriger les serveurs d’applications vers le
localhost en vue d’un transfert de ports sécurisé.
Pour que le système IVE puisse effectuer la correspondance d’hôte
automatique, les utilisateurs de PC doivent posséder des autorisations
de niveau administrateur sur leur ordinateur. Si vos utilisateurs de PC ne
possèdent pas ces autorisations, vous devez veiller à ce que les noms
de vos serveurs d’applications internes soient résolus en externe sur le
localhost d’un PC, en ajoutant des entrées à votre serveur DNS externe
tourné vers Internet, de la manière suivante :
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
app1.société-a.com
app2.société-b.com
exchange1.société-a.com
exchange1.société-b.com
Si l’application cliente emploie un nom non qualifié pour le serveur
d’applications, l’utilisateur doit définir des suffixes DNS. Le PC pourra
ainsi joindre le suffixe et contacter votre serveur DNS externe pour la
résolution du nom. Par exemple, un client MS Outlook emploie généralement
un nom non qualifié pour un serveur MS Exchange. Pour que le nom qualifié
soit résolu sur 127.0.0.1, les utilisateurs doivent définir les suffixes DNS
appropriés sur leur PC. L’ajout de noms de domaine n’influe pas sur les
autres opérations sur le PC, y compris l’emploi de l’application cliente
depuis l’entreprise.
Pour configurer un PC d’utilisateur à l’aide de suffixes DNS
(Windows 2000) :
1. Dans le menu Démarrer de Windows, cliquez sur Paramètres >
Connexions réseau et accès à distance > Connexion par le réseau local,
puis sur Propriétés.
2. Sélectionnez Protocole Internet (TCP/IP) puis cliquez sur Propriétés.
3. Cliquez sur Avancé puis sur l’onglet DNS.
358

4. Cliquez sur Ajouter ces suffixes DNS puis sur Ajouter.
5. Ajoutez les domaines internes de votre entreprise comme suffixes DNS
supplémentaires.
5
Configurez un PC qui se connecte au système IVE par l’intermédiaire d’un serveur
proxy web.
Cette procédure n’est d’application que si le PC d’un utilisateur distant est
configuré pour utiliser un proxy Web dans Internet Explorer. Elle garantit
que les applications clientes contactent le Secure Application Manager au
lieu de tenter de contacter le proxy web.
Pour configurer un PC qui se connecte au système IVE par
l’intermédiaire d’un serveur proxy Web dans Internet Explorer :
1. Dans le menu Outils d’Internet Explorer, choisissez Options Internet.
2. Dans l’onglet Connexions, cliquez sur le bouton Paramètres du
réseau local.
3. Dans la section Serveur proxy, cliquez sur le bouton Avancé.
4. Dans la zone Exceptions, entrez les adresses pour lesquelles vous ne
voulez pas utiliser de serveur proxy. Entrez toutes les adresses (noms
d’hôtes et localhost) employées par l’application cliente lors de la
connexion via Secure Application Manager.
Exemples :
Si votre serveur d’applications est appl.société.com, entrez les
exceptions suivantes :
app1;app1.société.com;127.0.0.1
Si votre serveur Exchange est exchange.société.com, entrez les
exceptions suivantes :
exchange;exchange.société.com;127.0.0.1

359
Onglet SAM > Options
Utilisez l’onglet SAM > Options pour effectuer les tâches suivantes :
sécurisé........................................................................................... 360
sécurisé Windows.....................................................................................361
Téléchargement d’applications du gestionnaire d’applications
Définition des options du gestionnaire d’applications sécurisé Java.... 362
5
Définition des options générales du gestionnaire d’applications sécurisé
Pour définir les options générales du gestionnaire d’applications
sécurisé :
1. Dans la Console Web, sélectionnez Utilisateurs > Rôles > Nom du rôle >
SAM > Options.
2. Parmi les options du gestionnaire d’applications sécurisé, choisissez
celles que vous voulez activer pour les utilisateurs :
•
Démarrage automatique de Secure Application Manager :
si cette option est activée, le système IVE lance automatiquement
Secure Application Manager lorsqu’un utilisateur se connecte.
Si vous ne sélectionnez pas Oui, les utilisateurs doivent démarrer
manuellement Secure Application Manager à partir du menu
Applications clientes.
•
Désinstallation automatique de Secure Application Manager : si
cette option est activée, le système IVE désinstalle automatiquement
Secure Application Manager lorsqu’un utilisateur se déconnecte.
•
Autorisation automatique des serveurs d’applications : si
cette option est activée, le système IVE crée automatiquement une
stratégie de ressources SAM qui permet d’accéder au serveur indiqué
dans les listes d’applications et de serveurs WSAM, ainsi que dans la
liste d’applications JSAM.
360

Figure 130 : Utilisateurs > Rôles > Nom du rôle > SAM > Options — Options
générales
5
Définition des options générales du gestionnaire d’applications sécurisé Windows
Pour définir les options du gestionnaire d’applications sécurisé
Windows :
rôle > SAM > Options.
2. Dans la section Options SAM Windows :
1
2
Sélectionnez Mise à jour automatique du gestionnaire
d’applications sécurisé si vous souhaitez que le système IVE
télécharge automatiquement le gestionnaire d’applications sécurisé sur
un ordinateur client lorsque la version du gestionnaire d’applications
sécurisé sur le système IVE est plus récente que celle installée sur le
client. Si vous sélectionnez cette option, tenez compte des points
suivants :
•
L’utilisateur doit posséder des autorisations de niveau Administrateur
pour que le système IVE installe automatiquement le gestionnaire
d’applications sécurisé sur le client.
•
Si un utilisateur désinstalle le gestionnaire d’applications sécurisé
puis ouvre une session sur un système IVE pour lequel l’option
Mise à jour automatique du gestionnaire d’applications sécurisé
n’est pas activée, il ne lui est plus possible d’accéder au gestionnaire
d’applications sécurisé.
Entrez le chemin d’accès et le nom d’un fichier batch, d’une application
ou d’un fichier de service Win32 que vous souhaitez exécuter après le
démarrage ou la fin d’une session WSAM. Par exemple, si vous souhaitez
mettre fin à une application, puis la redémarrer, vous pouvez utiliser
PSKILL.exe (un utilitaire tiers qui met fin aux processus sur des
systèmes locaux ou distants). Ce fichier doit être installé sur le client

361
ou stocké sur un répertoire réseau accessible. Il doit, en outre, appeler
le programme de démarrage WSAM.
Remarque : Vous pouvez utiliser des variables Windows, telles que
path%WINDIR%\system32\log, pour vous assurer que le système IVE est
capable de localiser le fichier sur différentes plates-formes.
Figure 131 : Utilisateurs > Rôles > Nom du rôle > SAM > Options — Options WSAM
5
Téléchargement d’applications du gestionnaire d’applications sécurisé Windows
Pour télécharger des applications du gestionnaire d’applications sécurisé
Windows, accédez à l’onglet Maintenance > Système > Programmes
d’installation. Pour plus d’informations sur le téléchargement
d’applications WSAM, reportez-vous à la section « Téléchargement d’une
application ou d’un service », page 453.
5
Définition des options du gestionnaire d’applications sécurisé Java
Pour définir les options du gestionnaire d’applications sécurisé Java :
rôle > SAM > Options.
2. Dans la section Options SAM Java, sélectionnez les options à activer
pour les utilisateurs :
•
L’utilisateur peut ajouter des applications : cette option permet
aux utilisateurs d’ajouter des applications. Pour que les utilisateurs
puissent ajouter des applications, ils doivent connaître le nom DNS
du serveur d’applications ainsi que les ports client/serveur.
Lorsque vous activez cette option, les utilisateurs peuvent configurer
le transfert de port vers n’importe quel hôte ou port de votre entreprise.
Avant d’autoriser les utilisateurs à ajouter des applications, assurezvous que cette fonctionnalité est bien compatible avec vos procédures
de sécurité. Si un utilisateur ajoute une application, elle lui sera
toujours accessible par la suite, même si vous modifiez ou désactivez
cette fonctionnalité ultérieurement.
•
Correspondance d’hôte automatique : cette option permet à
Secure Application Manager de modifier le fichier hosts du PC
Windows et de remplacer les entrées des serveurs d’applications
Windows par localhost. Ces entrées reprennent leurs valeurs initiales
lorsque l’utilisateur ferme le Gestionnaire d’applications sécurisé.
Pour que la version Java du Gestionnaire d’applications sécurisé
fonctionne, l’application cliente doit se connecter au PC local où
le Gestionnaire d’applications sécurisé tourne comme serveur
d’applications. La procédure conseillée de mise en correspondance
362

des serveurs d’applications et du PC local d’un utilisateur consiste à
employer la correspondance d’hôte automatique. Celle-ci permet au
système IVE de modifier automatiquement le fichier hosts du PC de
manière à diriger les serveurs d’applications vers le localhost du PC en
vue d’un transfert de ports sécurisé. Alternativement, vous pouvez
configurer votre serveur DNS externe.
•
Ignorer la recherche de proxy Web dans le registre : si cette
option est activée, JSAM ne recherche pas de proxy Web dans le
registre d’un utilisateur Certains utilisateurs ne sont pas autorisés à
examiner leurs registres. Par conséquent, si JSAM tente de le faire,
un message d’erreur peut s’afficher pour indiquer aux utilisateurs
qu’ils ne disposent pas des autorisations requises. Cette option fait
en sorte que ce message ne s’affiche pas.
•
Fermer automatiquement la fenêtre JSAM à la déconnexion :
si cette option est activée, JSAM est automatiquement fermé
lorsqu’un utilisateur se déconnecte du système IVE en cliquant sur
Déconnexion dans la fenêtre de navigateur IVE. JSAM continue
à fonctionner si l’utilisateur se contente de fermer la fenêtre de
navigateur.
Figure 132 : Utilisateurs > Rôles > Nom du rôle > SAM > Options — Options JSAM

363
364

Onglet Telnet/SSH > Sessions
L’onglet Telnet/SSH > Sessions permet de créer des signets de sessions
de terminal sécurisées qui figureront sur la page d’accueil des utilisateurs
correspondant à ce rôle Ce type d’onglet définit les informations sur les
sessions de terminal pour les sessions Telnet ou SSH que les utilisateurs
pourraient lancer. Ces sessions permettent d’accéder à divers périphériques
en réseau, comme des serveurs UNIX, des périphériques réseau et d’autres
applications héritées qui utilisent des services de terminal.
Si vous activez l’option de mise à jour Accès par terminal sécurisé
(Telnet/SSH), mais que vous n’autorisez pas les utilisateurs à créer leurs
propres signets (page 366), veillez à configurer des signets de session pour
eux. Dans le cas contraire, les utilisateurs ne pourront pas employer cette
fonctionnalité.
Vos utilisateurs peuvent copier et coller l’adresse URL qu’ils ont créée avec
des paramètres personnalisés sur n’importe quel document Web, s’ils
souhaitent que d’autres utilisateurs accèdent à une session Telnet ou SSH.
Remarque : À l’heure actuelle, la JVM Sun en version 1.4.1 ou ultérieure est
prise en charge.
5
Création de signets pour les sessions de terminal sécurisées
Pour créer un signet pour des sessions de terminal sécurisées :
rôle > Telnet/SSH > Sessions.
2. Cliquez sur Ajouter une session, puis entrez les informations obligatoires,
qui sont indiquées par un astérisque (*). Si vous entrez le nom et la
description d’un signet, ces informations s’afficheront sur la page
Sessions de terminal.
3. Cliquez sur Enregistrer les modifications ou sur Enregistrer + Nouveau.

365
Figure 133 : Utilisateurs > Rôles > NomRôle > Telnet/SSH > Sessions
Onglet Telnet/SSH > Options
L’onglet Telnet/SSH > Options permet aux utilisateurs de créer leurs
propres signets Telnet/SSH, d’accéder à une session de terminal et de
configurer le système IVE en vue de créer des stratégies de ressources
Telnet/SSH autorisant l’accès aux serveurs indiqués dans les signets de
session.
Lorsque vous autorisez des utilisateurs à accéder à une session de terminal,
deux méthodes leur sont proposées :
• Utilisation de la page d’accueil IVE
Les utilisateurs peuvent indiquer le serveur et le port auxquels ils
souhaitent accéder dans le champ Adresse de la page d’accueil IVE.
Les formats valides pour l’URL sont les suivants :
•
Telnet://hôte:port
•
SSH://hôte:port
Par exemple : Telnet://terminalserver.yourcompany.com:3389
• Utilisation de la barre d’adresse du navigateur Web
Les utilisateurs peuvent saisir le serveur et le port auxquels ils souhaitent
accéder (ainsi que des paramètres de session, comme la taille de police
et de fenêtre) dans les barres d’adresses de leurs navigateurs Web à
l’aide du protocole Web standard. Par exemple :
https://iveserver/dana/term/newlaunchterm.cgi?protocol=telnet&host=
termsrv.yourcompany.com&port=23&username=jdoe&fontsize=12&buffer=80
0&size=80x25
366

5
Définition d’options Telnet/SSH générales
Pour définir des options Telnet/SSH générales
rôle > Telnet/SSH > Options.
2. Activez l’option L’utilisateur peut ajouter des sessions pour permettre
aux utilisateurs de définir leurs propres signets de session et d’accéder à
une session de terminal à l’aide de la syntaxe telnet:// et ssh://, ainsi
que de la syntaxe /dana/term/newlaunchterm.cgi. Si vous activez cette
option, le bouton Ajouter session de terminal s’affichera sur la page
Sessions de terminal la prochaine fois que l’utilisateur actualisera la
page d’accueil IVE.
3. Activez l’option Autorisation automatique des sessions Telnet/SSH
pour le rôle pour permettre au système IVE d’accéder aux ressources
définies dans le signet de session (plutôt que de devoir créer des
stratégies de ressources). Notez que cela s’applique uniquement aux
signets de rôle et non aux signets utilisateur.
Figure 134 : Utilisateurs > Rôles > NomRôle > Telnet/SSH > Options

367
368

Configuration de la page Services de terminal Windows
La page Services de terminal Windows comprend les onglets suivants :
Onglet Services de terminal Windows > Sessions ............................... 369
Onglet Services de terminal Windows > Options ................................. 370
Onglet Services de terminal Windows > Sessions
Les services de terminal Windows permettent aux utilisateurs d’employer
des applications Windows tournant sur un serveur de terminal. Lors de
l’emploi d’une application sur le serveur de terminal, ce dernier ne transmet
que les informations relatives au clavier, à la souris et à l’écran via le réseau.
Lorsque vous activez l’option de mise à niveau Services de terminal Windows
via la Console Web IVE, vous devez créer des signets vers des serveurs de
terminal ou autoriser les utilisateurs à en créer. Les utilisateurs pourront
ensuite se connecter aux serveurs de terminal via une connexion IVE en
cliquant simplement sur les signets correspondants. Les utilisateurs peuvent
ouvrir simultanément plusieurs sessions sur le même serveur de terminal
ou sur des serveurs différents.
Utilisez l’onglet Services de terminal Windows > Sessions pour créer
des signets pour les utilisateurs qui correspondent à ce rôle. Un signet de
services de terminal définit des informations sur les serveurs de terminal
auxquels les utilisateurs peuvent se connecter et (éventuellement) les
applications qu’ils peuvent employer sur le serveur de terminal. Les signets
que vous définissez s’affichent sur la page Services de terminal
Windows de la console des utilisateurs finals.
Remarque : Cette fonctionnalité n’est prise en charge que sur les systèmes
Windows où l’utilisateur a activé les composants ActiveX ou possède des
autorisations d’administrateur.
5
Création de signets pour une session Services de terminal Windows
1. Dans la Console Web, choisissez Utilisateurs > Rôles > NomRôle >
Services de terminal Windows > Sessions.
2. Cliquez sur Ajouter une session.
3. Entrez un nom pour le signet et (éventuellement) une description.
4. Dans la zone Hôte, entrez le nom d’hôte ou l’adresse IP du serveur de
terminal.
5. Dans la liste Taille d’écran, choisissez la taille que le système IVE
devra donner à la fenêtre du serveur de terminal sur le poste de travail
de l’utilisateur.
6. Si vous ne voulez pas obliger l’utilisateur à se connecter au serveur de
terminal, entrez un nom d’utilisateur et un mot de passe valides dans
la section Authentification. Le système IVE transmet ces données

369
d’identification au serveur de terminal lorsque l’utilisateur clique sur
ce signet.
Remarque : Vous ne pouvez entrer que des données d’identification statiques
dans les zones Nom d’utilisateur et Mot de passe. Le système IVE n’accepte
pas les variables.
7. Si vous ne voulez autoriser l’utilisateur à accéder qu’à des applications
précises sur le serveur de terminal, utilisez la section Démarrer
application pour définir les informations suivantes au sujet des
applications accessibles à l’utilisateur :
•
Chemin vers l’application : indiquez où le fichier exécutable de
l’application se trouve sur le serveur de terminal. Par exemple,
vous pouvez entrer le chemin d’accès suivant pour l’application
Microsoft Word :
C:\Program Files\Microsoft Office\Office10\WinWord.exe
•
Répertoire de travail : indiquez où le serveur de terminal doit
placer les fichiers temporaires de l’application. Par exemple, vous
pouvez stipuler que Microsoft Word enregistrera, par défaut, ses
fichiers dans le dossier suivant :
C:\Temp
8. Dans la section Connexion aux périphériques, sélectionnez les
ressources locales auxquelles l’utilisateur peut accéder via sa session
de services de terminal :
•
Connexion aux lecteurs locaux : connecte le lecteur local de
l’utilisateur au serveur de terminal, ce qui permet à l’utilisateur de
copier des informations depuis celui-ci vers les répertoires de son
client local.
•
Connexion aux imprimantes locales : connecte l’imprimante
locale de l’utilisateur au serveur de terminal, ce qui permet à
l’utilisateur d’imprimer des informations depuis celui-ci sur son
imprimante locale.
Remarque : Si vous activez des ressources locales via le serveur de terminal,
chaque utilisateur ne peut accéder qu’à ses propres ressources locales. Par
exemple, l’utilisateur 1 ne peut pas accéder aux répertoires locaux de
l’utilisateur 2.
9. Cliquez sur Enregistrer les modifications ou sur Enregistrer + Nouveau.
Onglet Services de terminal Windows > Options
L’onglet Services de terminal Windows > Options permet d’autoriser les
utilisateurs à créer leurs propres signets de services de terminal, ainsi
que de configurer le système IVE de manière à créer des stratégies de
ressources Services de terminal Windows qui autoriseront l’accès aux
serveurs définis dans les signets de services de terminal.
370

5
Définition d’options générales pour les services de terminal Windows
Pour définir des options générales pour les services de terminal
Windows :
1. Dans la Console Web, choisissez Utilisateurs > Rôles > NomRôle >
Services de terminal Windows > Options.
2. Activez l’option L’utilisateur peut ajouter des sessions pour autoriser
les utilisateurs à définir leurs propres signets de services de terminal.
Si vous activez cette option, le bouton Ajouter session de services de
terminal Windows s’affichera sur la page Services de terminal
Windows la prochaine fois que l’utilisateur actualisera la console
d’utilisateur IVE.
3. Activez l’option Autorisation automatique des sessions Services
de terminal Windows pour le rôle pour permettre au système IVE
d’accéder aux ressources définies dans le signet de services de terminal
(plutôt que de devoir créer des stratégies de ressources). Notez que cela
s’applique uniquement aux signets de rôle et non aux signets utilisateur.

371
372

Onglet Réunions
L’onglet Réunions permet de déterminer les rôles d’utilisateur qui peuvent
planifier des réunions (comme expliqué dans la section « Présentation
générale de Secure Meeting », page 111), de contrôler les niveaux de
sécurité pour les réunions qu’ils créent et de gérer le niveau des ressources
système employées par les réunions à un moment donné.
Lorsque vous créez des rôles d’utilisateur, notez que si vos utilisateurs
correspondent à plusieurs rôles et que vous avez choisi de les fusionner
(page 48), toutes les options de la page Utilisateur > Rôles > Réunions,
à l’exception des paramètres de stratégie, sont fusionnés afin de favoriser
l’accessibilité des paramètres, plutôt que leur sécurité. Lorsque vous
appliquez les paramètres de stratégie qui contrôlent le nombre de réunions
et de participants admis par rôle, Secure Meeting examine les différents
rôles en tentant d’un trouver un dont la limite n’a pas encore été atteinte.
Par exemple, vous pouvez indiquer que les rôles ci-dessous peuvent
planifier le nombre de réunions suivant :
• Ingénierie : 25 réunions
• Direction : 50 réunions
• Ventes : 200 réunions
Si Jean correspond à tous ces rôles (dans l’ordre indiqué) et qu’il tente
de planifier une réunion, Secure Meeting vérifie tout d’abord si la limite
du nombre de réunions planifiées pour le rôle Ingénierie a été atteinte.
Si c’est le cas, Secure Meeting vérifie la limite du rôle Direction. Si cette
limite a été atteinte, Secure Meeting vérifie la limite du rôle Ventes.
Ce n’est que si les limites de tous ces rôles ont été atteintes que Secure
Meeting affiche un message pour prévenir Jean que la limite du nombre
de réunions planifiées a été atteinte et qu’il ne peut pas créer une réunion.
Il est impossible de limiter le nombre de réunions ou d’utilisateurs de
réunions au niveau d’un royaume.
5
Activation et configuration de réunions pour les rôles d’utilisateur
Pour activer et configurer des réunions :
1. Dans la Console Web, sélectionnez Utilisateurs > Rôles
2. Sélectionnez un rôle.
3. Dans l’onglet Général > Vue d’ensemble, activez la case à cocher
Réunions, puis cliquez sur Enregistrer les modifications.
Important : Si vous n’activez pas la case à cocher Réunions, les utilisateurs
ne pourront pas créer de réunions, en planifier ou consulter la page
Réunions. Toutefois, ils pourront toujours participer aux réunions auxquelles
ils sont invités en utilisant le lien figurant dans leur courriel d’invitation ou en
entrant directement l’URL de la réunion dans leur navigateur Web.
4. Cliquez sur l’onglet Réunions.

373
5. Dans la section Options de réunion, indiquez le niveau d’accès à
fournir aux utilisateurs :
•
Autoriser l’utilisateur à participer à des réunions permet
de désactiver la création et la planification de réunions, tout en
permettant aux utilisateurs d’accéder à la page Réunions afin de
prendre part aux réunions auxquelles ils sont invités.
•
Permettre aux utilisateurs de créer des réunions et d’y
participer permet aux utilisateurs de créer, de planifier et d’accéder
à des réunions par le biais de la page Réunions.
6. Définissez les Exigences d’authentification que les utilisateurs doivent
appliquer aux réunions qu’ils créent :
•
Mot de passe de réunion facultatif (accessibilité accrue) : le créateur
de la réunion pourra décider si la participation à la réunion est ou non
protégée par un mot de passe. Si vous choisissez cette option, toute
personne connaissant l’URL de la réunion, son numéro d’ID et son
éventuel mot de passe peut y prendre part, même si elle n’utilise pas
le système IVE.
•
Exiger un mot de passe de réunion (sécurité accrue) : le créateur de
la réunion doit définir un mot de passe pour celle-ci ou employer le
mot de passe généré par Secure Meeting. Si vous choisissez cette
option, toute personne connaissant l’URL de la réunion, son numéro
d’ID et son mot de passe peut y prendre part, même si elle n’utilise
pas le système IVE.
•
Exiger le mot de passe généré par le serveur (encore plus sûr) :
le créateur de la réunion doit employer le mot de passe généré par
Secure Meeting. Si vous choisissez cette option, toute personne
connaissant l’URL de la réunion, son numéro d’ID et son mot de
passe peut y prendre part, même si elle n’utilise pas le système IVE.
•
Exiger l’authentification par la passerelle sécurisée (sécurité
maximale) : avec cette option, seuls les utilisateurs invités authentifiés
sur la passerelle sécurisée IVE pourront assister aux réunions. Si
vous choisissez cette option, le créateur de la réunion ne doit pas
créer de mot de passe pour celle-ci, car tous les utilisateurs doivent
s’authentifier par l’intermédiaire de la passerelle sécurisée IVE.
7. Définissez la méthode de Distribution du mot de passe que les créateurs
de réunion doivent employer :
374

•
Ne pas afficher le mot de passe dans le courriel de notification
(sécurité accrue) : les créateurs de réunion doivent distribuer
manuellement le mot de passe de la réunion aux invités (plutôt
que de le distribuer dans l’envoi automatique de notification par
courriel de Secure Meeting). L’omission du mot de passe dans le
courriel de la réunion accroît la sécurité de la réunion.
•
Afficher le mot de passe dans le courriel de notification (accessibilité
accrue) : permet de distribuer automatiquement le mot de passe de
la réunion dans l’envoi de notification par courriel de Secure Meeting.
•
Autoriser le créateur de la réunion à décider : permet au créateur de
la réunion de déterminer si le mot de passe de la réunion doit être
distribué dans l’envoi automatique de notification par courriel de
Secure Meeting.
8. Indiquez si vous voulez autoriser les présentateurs de la réunion à
partager le contrôle de leurs bureaux et applications avec d’autres
participants à la réunion, en choisissant l’une des options suivantes
dans la section Contrôle distant :
•
Permettre le contrôle à distance des fenêtres partagées
(fonctionnalité accrue) : permet au présentateur ou à l’animateur
de la réunion de céder le contrôle du bureau et des applications
de bureau du présentateur à tout autre participant à la réunion,
y compris ceux qui n’utilisent pas le système IVE.
•
Désactiver le contrôle à distance (sécurité accrue) : permet de
réserver le contrôle du bureau et des applications de bureau du
présentateur de la réunion à ce dernier.
9. Dans la section Paramètres de stratégie de la réunion, indiquez si vous
voulez ou non restreindre les ressources employées par les utilisateurs
de Secure Meeting.
•
Activez la case à cocher Limiter le nombre de réunions simultanées
et entrez une valeur correspondante pour définir le nombre maximal
de réunions pouvant être organisées à tout moment par les membres
du rôle.
•
Activez la case à cocher Limiter le nombre de participants simultanés
à la réunion et entrez une valeur correspondante pour définir le
nombre maximal de personnes pouvant participer simultanément à
des réunions planifiées par des membres du rôle.
•
Activez la case à cocher Limiter la durée des réunions (minutes)
et entrez une valeur correspondante pour définir la durée maximale
(en minutes) d’une réunion.
Important : Le système IVE limite également le nombre de réunions auxquelles les utilisateurs peuvent participer: Chaque utilisateur ne peut participer
qu’à une seule réunion à la fois par ordinateur et ne peut pas participer à plus
de 10 réunions successives sur une période de 3 minutes. Ces limites viennent s’ajouter aux limitations en matière de réunions et d’utilisateurs définies
par votre licence de Secure Meeting.
10. Cliquez sur Enregistrer les modifications. Le système IVE ajoute un
lien Réunion aux pages d’accueil de la passerelle sécurisée pour les
utilisateurs figurant dans le rôle indiqué.

375
Figure 135 : Utilisateurs > Rôles > NomRôle > Réunions
376

Onglet Network Connect
L’onglet Network Connect permet de définir les options de split-tunneling et
de lancement automatique pour un rôle.
5
Définition des options de split-tunneling et de lancement automatique
de Network Connect
Pour définir les options de split-tunneling et de lancement
automatique de Network Connect :
rôle > Network Connect.
2. Dans la section Méthode de split-tunneling, sélectionnez l’une des
options suivantes :
•
Désactiver le split-tunneling : tout le trafic réseau en provenance
du client transite par le tunnel Network Connect. Lorsque Network
Connect établit une connexion avec le système IVE, ce dernier
supprime tout sous-réseau local prédéfini et toute route hôte/hôte
susceptible de provoquer un comportement de type split-tunneling.
Si des modifications sont apportées à la table de routage locale
lors d’une session Network Connect active, le système IVE met fin
à la session.
•
Autoriser l’accès au sous-réseau local : le système IVE préserve
le trajet de sous-réseau local sur le client, en conservant l’accès à
des ressources locales, comme des imprimantes. Il se peut que la
table de routage locale soit modifiée lors de la session Network
Connect.
•
Autoriser l’accès au sous-réseau local avec moniteur de
changement de trajet : dès le lancement d’une session Network
Connect, toute modification apportée à la table de routage locale
met fin à la session. Cette option préserve l’accès à des ressources
locales, comme des imprimantes.
•
Autoriser le split-tunneling : cette option exige que vous
définissiez les réseaux Network Connect vers lesquels le trafic doit
être acheminé via le système IVE en établissant des stratégies de
ressources de split-tunneling (voir « Écriture d’une stratégie de
ressources pour les réseaux de split-tunneling Network Connect »,
page 439). Network Connect modifie les trajets des clients de
manière à ce que le trafic destiné à ces réseaux accède à Network
Connect et que le reste du trafic transite par l’adaptateur physique
local. Le système IVE tente de résoudre toutes les demandes DNS
via l’adaptateur physique, puis transmet celles qui ont échoué à
l’adaptateur Network Connect.
3. Dans la section Options de lancement automatique, sélectionnez
Lancement automatique de Network Connect pour lancer
automatiquement Network Connect lorsqu’un utilisateur authentifié
correspond à un ou plusieurs rôles qui autorise Network Connect.

377
Figure 136 : Utilisateurs > Rôles > NomRôle > Network Connect
378

Configuration de la page Nouvel utilisateur
5
Création d’utilisateurs locaux
Si vous choisissez « Authentification IVE » comme type de serveur
d’authentification, vous devez définir des enregistrements d’utilisateurs
locaux pour cette base de données. Un enregistrement d’utilisateur local
comprend un nom d’utilisateur, le nom complet de l’utilisateur et son mot
de passe. Il peut être utile de créer des enregistrements d’utilisateurs
locaux pour les utilisateurs qui sont normalement vérifiés par un serveur
d’authentification externe que vous envisagez de désactiver, ou si vous
voulez créer rapidement un groupe d’utilisateurs temporaires.
Pour créer des enregistrements d’utilisateurs locaux pour
l’authentification IVE locale :
1. Dans la Console Web, effectuez l’une des opérations suivantes :
•
Choisissez Système > Ouverture de session > Serveurs, cliquez
sur la base de données IVE à laquelle vous souhaitez ajouter un
compte utilisateur, sélectionnez l’onglet Utilisateurs et cliquez sur
Nouveau.
•
Choisissez Utilisateurs > Nouvel utilisateur.
2. Entrez un nom d’utilisateur, le nom complet de l’utilisateur et un mot
de passe. Remarque :
•
N’incluez pas la chaîne « ~~ » dans un nom d’utilisateur.
•
Si vous voulez modifier le nom d’utilisateur d’un utilisateur après
avoir créé son compte, vous devez créer un nouveau compte.
3. (page Utilisateurs > Nouvel utilisateur uniquement) Dans la liste
Authentifier par, sélectionnez la base de données IVE à laquelle vous
souhaitez ajouter un compte utilisateur.
4. Cliquez sur Enregistrer les modifications. L’enregistrement de
l’utilisateur est ajouté à la base de données IVE.
Figure 137 : Utilisateurs > Nouvel utilisateur

379
380

Configuration de la page Web
La page Stratégies de ressources > Web contient les onglets suivants :
Onglet Accès ........................................................................................ 385
Onglet Mise en cache > Stratégies....................................................... 386
Onglet Mise en cache > Options .......................................................... 388
Onglet Java > Contrôle d’accès ........................................................... 389
Onglet Java > Signature de code ......................................................... 390
Onglet Réécriture > Réécriture sélective.............................................. 392
Onglet Réécriture > Proxy intermédiaire .............................................. 393
Onglet SSO distante > POST de formulaire......................................... 395
Onglet SSO distante > En-têtes/Cookies ............................................. 397
Onglet SAML > SSO ............................................................................ 398
Onglet SAML > Contrôle d’accès ......................................................... 403
Onglet Proxy Web > Stratégies ............................................................ 406
Onglet Proxy Web > Serveurs.............................................................. 408
Onglet Lancer JSAM ............................................................................ 408
Onglet Options ..................................................................................... 410
Les onglets de la page Stratégies de ressources > Web permettent
d’effectuer les opérations suivantes :
Rédaction d’une stratégie de ressources d’accès Web........................ 385
Rédaction d’une stratégie de ressources de mise en cache Web........ 386
Définition des options de mise en cache .............................................. 388
Rédaction d’une stratégie de ressources de contrôle d’accès Java..... 389
Rédaction d’une stratégie de ressources de signature de code Java .. 391
Rédaction d’une stratégie de ressources de réécriture sélective ......... 392
Rédaction d’une stratégie de ressources de proxy intermédiaire......... 393
Rédaction d’une stratégie de ressources POST de formulaire de SSO
distante......................................................................................................395
Rédaction d’une stratégie de ressources En-têtes/Cookies SSO ........ 397
Rédaction d’une stratégie de ressources de profil d’artefact SSO SAML ..398
Rédaction d’une stratégie de ressources de profil POST SSO SAML . 401
Rédaction d’une stratégie de ressources de contrôle d’accès SAML .. 404
Rédaction d’une stratégie de ressources de proxy Web ...................... 406
Définition de serveurs proxy Web......................................................... 408
Rédaction d’une stratégie de ressources Lancement de J-SAM.......... 409
Définition des options de ressources Web ........................................... 410

381
Rédaction d’une stratégie de ressources Web
Lorsque vous activez la fonctionnalité d’accès Web pour un rôle, vous devez
créer des stratégies de ressources qui déterminent à quelles ressources un
utilisateur peut accéder, si le système IVE doit ou non réécrire le contenu
demandé par l’utilisateur, ainsi que les exigences de mise en cache, d’applets
et d’ouverture de session unique. Pour chaque demande Web, le système
IVE évalue tout d’abord les stratégies de réécriture que vous configurez1.
Si la demande de l’utilisateur concerne une ressource définie comme « ne
pas réécrire » par une stratégie de ressources de réécriture sélective ou de
proxy intermédiaire, le système IVE transfère cette demande à la ressource
dorsale appropriée. Dans le cas contraire, le système IVE continue à évaluer
les stratégies de ressources correspondant à la demande, comme les
stratégies de ressources Java dans le cas d’une demande de chargement
d’applet Java. Après avoir fait correspondre la demande d’un utilisateur
à une ressource indiquée dans la stratégie appropriée, le système IVE
effectue l’action définie pour la ressource.
Lors de la rédaction d’une stratégie de ressources Web, vous devez fournir
des informations essentielles :
• Ressources : Une stratégie de ressources doit définir une ou plusieurs
ressources auxquelles la stratégie s’applique. Lors de la rédaction
d’une stratégie Web, vous devez définir des serveurs Web ou des URL
précises. Reportez-vous à la section « Définition de ressources Web »,
page 38.
• Rôles : Une stratégie de ressources doit définir les rôles auxquels elle
s’applique. Lorsqu’un utilisateur effectue une demande, le système IVE
détermine quelles stratégies s’appliquent au rôle, puis il évalue les
stratégies qui correspondent à la demande.
• Actions : Chaque type de stratégie de ressources accomplit une action
précise, qui consiste à autoriser ou à interdire une ressource à accomplir
ou non une fonction spécifique, comme la réécriture de contenu, la
signature supplémentaire d’une applet ou l’envoi de données Web.
Vous pouvez également rédiger des règles détaillées qui appliquent
davantage de conditions à une demande d’utilisateur. Reportez-vous
à la section « Rédaction d’une règle détaillée », page 43.
1. Si vous ne configurez pas de stratégies de ressources de « réécriture », le système IVE continue le
processus d’évaluation à l’aide des stratégies qui s’appliquent à la demande de l’utilisateur.
382

Figure 138 : Stratégies de ressources > Web > Accès > Nouvelle stratégie
Cette illustration représente une page de configuration Nouvelle stratégie type pour une
stratégie de ressources Web. Pour plus d’informations sur la saisie d’informations dans la liste
Ressources, reportez-vous à la section « Définition des ressources pour une stratégie de
ressources », page 37.

383
Figure 139 : Stratégies de ressources > Web > Accès > Nouvelle stratégie >
Règle détaillée
Cette figure illustre la manière d’ajouter une règle détaillée à une stratégie. Reportez-vous à la
section « Rédaction d’une règle détaillée », page 43 pour plus d’informations.
Figure 140 : Stratégies de ressources > Web > Accès > Nouvelle stratégie >
Règle détaillée ajouté
384

Onglet Accès
L’onglet Accès permet de rédiger une stratégie de ressources Web qui
contrôle les ressources Web auxquelles les utilisateurs peuvent accéder
pour se connecter à Internet, à l’intranet ou à l’extranet. Vous pouvez
refuser ou autoriser l’accès à des ressources Web selon des plages d’URL
ou d’adresses IP. Dans le cas des URL, vous pouvez employer les caractères
génériques « * » et « ? » pour définir plusieurs Noms d’hôtes et chemins
d’accès. Au niveau des ressources définies par nom d’hôte, vous pouvez
également choisir le protocole HTTP, HTTP ou les deux.
5
Rédaction d’une stratégie de ressources d’accès Web
Pour rédiger une stratégie de ressources d’accès Web :
1. Dans la Console Web, sélectionnez Stratégies de ressources > Web >
Accès.
2. Sur la page Stratégies d’accès Web, cliquez sur Nouvelle stratégie.
3. Sur la page Nouvelle stratégie, entrez :
1
le nom à attribuer à cette stratégie ;
2
la description de la stratégie (facultatif)
4. Dans la section Ressources, indiquez les ressources auxquelles
cette stratégie s’applique. Reportez-vous à la section « Définition de
ressources Web », page 38 pour plus d’informations. Pour activer la
correspondance selon l’adresse IP ou la casse pour ces ressources,
reportez-vous à la section « Définition des options de ressources Web »,
page 410.
5. Dans la section Rôles, choisissez :
• La stratégie s’applique à TOUS les rôles
Pour appliquer cette stratégie à tous les utilisateurs.
• La stratégie s’applique aux rôles SÉLECTIONNÉS
Pour n’appliquer cette stratégie qu’aux utilisateurs correspondant à
des rôles figurant dans la liste Rôles sélectionnés. Veillez à ajouter
des rôles à cette liste à partir de la liste Rôles disponibles.
• La stratégie s’applique aux rôles DIFFÉRENTS de ceux qui sont
sélectionnés ci-dessous
Pour appliquer cette stratégie à tous les utilisateurs, sauf ceux qui
correspondent aux rôles de la liste Rôles sélectionnés. Veillez à
ajouter des rôles à cette liste à partir de la liste Rôles disponibles.
6. Dans la section Action, choisissez :
• Autoriser l’accès
Pour autoriser l’accès aux ressources indiquées dans la liste Ressources.
• Refuser l’accès
Pour refuser l’accès aux ressources indiquées dans la liste Ressources.
• Utiliser des règles détaillées
Pour définir une ou plusieurs règles détaillées pour cette stratégie.
Reportez-vous à la section « Rédaction d’une règle détaillée »,

385
8. Sur la page Stratégies d’accès Web, classez les stratégies selon l’ordre
une ressource de la liste Ressources d’une stratégie (ou d’une règle
détaillée), il exécute l’action définie et cesse le traitement des
stratégies.
Les illustrations de la section « Rédaction d’une stratégie de ressources
Web », page 382 fournissent un exemple de stratégie de ressources Web.
Onglet Mise en cache > Stratégies
L’onglet Mise en cache > Stratégies permet de rédiger une stratégie de
ressources Web qui détermine le contenu Web mis en cache sur l’ordinateur
d’un utilisateur. Par défaut, la mise en cache des navigateurs est désactivée,
le système IVE marquant dès lors toutes les pages envoyées aux utilisateurs
distants comme impossibles à mettre en cache. Ce paramètre empêche que
les pages confidentielles soient stockées sur un ordinateur distant après
qu’un utilisateur a fermé son navigateur. Cette option peut ralentir la
navigation en forçant la récupération continue d’informations, ce qui peut
poser des problèmes de performances sur les connexions très lentes.
Vous pouvez également définir une stratégie qui permet la mise en cache
de certaines informations, comme des images dont la taille ne dépasse pas
une limite précise.
Prise en charge des navigateurs
Les directives de contrôle de la mise en cache sont des normes W3C prises
en charge par tous les navigateurs compatibles. Les navigateurs ci-dessous,
pris en charge par IVE, sont compatibles avec les en-tête de contrôle de la
mise en cache :
• Win2k-IE5.5 SP2
• Win2k-IE6.0
• Win98-Netscape4.79
• Win98-IE5.5 SP2
• MacOS9.2-IE5.1.5
• MacOSx-IE5.2
5
Rédaction d’une stratégie de ressources de mise en cache Web
Pour rédiger une stratégie de ressources de mise en cache Web :
Mise en cache > Stratégies.
2. Sur la page Stratégies de mise en cache Web, cliquez sur Nouvelle
stratégie.
1
2
386

page 410.
•
La stratégie s’applique à TOUS les rôles
•
La stratégie s’applique aux rôles SÉLECTIONNÉS
•
La stratégie s’applique aux rôles DIFFÉRENTS de ceux qui sont
•
Mise en cache intelligente (envoie des en-têtes appropriés pour le
contenu et le navigateur)
Si le système IVE détecte la chaîne « msie » ou « windows-mediaplayer » dans l’en-tête utilisateur-agent et que la demande concerne
un fichier de média, il n’envoie pas les en-têtes de réponse cache ou
cache-control:no-store.
Exemple :
(if content type
if content type
if content type
if content type
file extension
)
has "audio/x-pn-realaudio" OR
begins with "video/" OR
begins with "audio/" OR
is "application/octet-stream" and the
begins with "rm" or "ram"
Dans ces cas, le système IVE supprime l’en-tête cache-control du
serveur d’origine, et les informations peuvent être stockées en
mémoire cache. Ce comportement garantit le bon fonctionnement
des fichiers de médias.
Si le système IVE détecte « msie » ou « windows-media-player »
dans l’en-tête utilisateur-agent et que :
•
la demande concerne des fichiers Flash, .xls, .pps, .ppt,
•
la chaîne content-type est application/, text/rtf, text/xml, model/,
ou
•
le serveur d’origine envoie un en-tête content-disposition,
le système IVE envoie l’en-tête cache-control:no-store et supprime
l’en-tête cache-control du serveur d’origine.
Dans tous les autres cas, le système IVE ajoute des en-têtes de
réponse pragma:no-cache ou cache-control:no-store.
Remarque : Les fichiers Citrix .ica et QuickPlace font l’objet d’un traitement particulier. Les fichiers .ica Citrix peuvent toujours être mis en cache
et reçoivent l’en-tête cache-control-private. Les fichiers QuickPlace qui ne
correspondent pas à une règle précise (prioritaire) reçoivent les en-têtes
CCNS et cache-control:private.

387
•
Ne pas mettre en cache (envoyer « Cache Control: No Store »)
Le système IVE supprime l’en-tête cache-control du serveur d’origine
et ajoute un en-tête de réponse cache-control:no-store si la chaîne
utilisateur-agent envoyée par le navigateur contient « msie » ou
« windows-media-player ».
•
Ne pas mettre en cache (envoyer « Pragma: No Cache »)
Le système IVE ajoute les en-têtes pragma:no-cache et cachecontrol:no-cache à la réponse. En outre, le système IVE ne transfère
pas les en-têtes de mise en cache du serveur d’origine, comme age,
date, etag, last-modified ou expires.
•
Mettre en cache (ne pas ajouter/modifier les en-têtes de mise en
cache)
Le système IVE n’ajoute pas les en-têtes de réponse pragma:nocache ou cache-control:no-store et transfère les en-têtes de mise
en cache du serveur d’origine.
•
Utiliser des règles détaillées
8. Sur la page Stratégies de mise en cache Web, classez les stratégies
selon l’ordre dans lequel le système IVE doit les évaluer. N’oubliez pas
que lorsque le système IVE fait correspondre la ressource demandée
par l’utilisateur à une ressource de la liste Ressources d’une stratégie
(ou d’une règle détaillée), il exécute l’action définie et cesse le
traitement des stratégies.
Onglet Mise en cache > Options
L’onglet Mise en cache > Options permet de définir la taille maximale des
fichiers d’image mis en cache sur un client. Si l’en-tête content-type du
serveur d’origine commence par « image/ » et que l’en-tête content-length
définit une taille inférieure à la valeur maximale configurée pour cette
option, le système IVE transfère les en-têtes de mise en cache du serveur
d’origine. Dans le cas contraire, le système IVE traite la demande comme si
la mise en cache était désactivée.
5
Définition des options de mise en cache
Pour définir des options de mise en cache :
Mise en cache > Options.
2. Sur la page Options de mise en cache, cliquez sur Nouvelle stratégie.
388

Figure 141 : Stratégies de ressources > Web > Mise en cache > Options
Onglet Java > Contrôle d’accès
L’onglet Java > Contrôle d’accès permet de rédiger une stratégie de
ressources Web qui détermine les serveurs et ports auxquels les applets
Java peuvent se connecter.
5
Rédaction d’une stratégie de ressources de contrôle d’accès Java
Pour rédiger une stratégie de ressources de contrôle d’accès Java :
Java > Contrôle d’accès.
2. Sur la page Stratégies d’accès Java, cliquez sur Nouvelle stratégie.
1
2
page 410.
•
•

389
•
•
Autoriser l’accès de socket
Pour permettre aux applets Java de se connecter aux serveurs
(et éventuellement aux ports) figurant dans la liste Ressources.
•
Refuser l’accès de socket
Pour empêcher les applets Java de se connecter aux serveurs
•
8. Sur la page Stratégies d’accès Java, classez les stratégies selon l’ordre
détaillée), il exécute l’action définie et cesse le traitement des stratégies.
Onglet Java > Signature de code
L’onglet Java > Signature de code permet de rédiger une stratégie de
ressources Web qui détermine la manière dont le système IVE réécrit les
applets Java. Par défaut, lorsque le système IVE sert d’intermédiaire pour
une applet Java signée, il signe de nouveau l’applet à l’aide de son propre
certificat, qui n’est pas enchaîné à un certificat racine standard. Si un
utilisateur demande une applet qui exécute des tâches présentant un risque
potentiellement élevé, comme l’accès à des serveurs réseau, le navigateur
de l’utilisateur affiche un message de sécurité avertissant que la racine
n’est pas une racine approuvée. Pour éviter cet avertissement, vous pouvez
importer un certificat de signature de code que le système IVE emploie
pour signer de nouveau les applets pour lesquelles il sert d’intermédiaire.
Pour plus d’informations sur les certificats de signature de code, reportezvous à la section « Certificats d’applet », page 56.
Lors de la configuration de l’onglet Certificats d’applet, indiquez les
serveurs à partir desquels vous approuvez les applets. Vous pouvez entrer
une adresse IP de serveur ou un nom de domaine. Le système IVE ne signe
de nouveau que les applets servies par un serveur approuvé. Si un utilisateur
demande une applet d’un serveur ne figurant pas dans la liste, le système
IVE n’utilise pas les certificats de production importés pour signer l’applet,
ce qui signifie que le navigateur affiche un message d’avertissement pour
l’utilisateur. Pour les utilisateurs de la JVM Sun, le système IVE s’assure en
outre que l’autorité de certification racine du certificat d’origine de l’applet
figure dans sa liste d’autorités de certification racines approuvées.
390

5
Rédaction d’une stratégie de ressources de signature de code Java
Pour rédiger une stratégie de ressources de signature de code Java
Java > Contrôle d’accès.
2. Sur la page Stratégies de signature Java, cliquez sur Nouvelle stratégie.
1
2
page 410.
•
•
•
•
Signer de nouveau les applets à l’aide du certificat d’applet
Pour permettre aux applets Java de se connecter aux serveurs
•
Signer de nouveau les applets à l’aide du certificat par défaut
Pour empêcher les applets Java de se connecter aux serveurs
•
8. Sur la page Stratégies de signature Java, classez les stratégies selon
l’ordre dans lequel le système IVE doit les évaluer. N’oubliez pas que
lorsque le système IVE fait correspondre la ressource demandée par
l’utilisateur à une ressource de la liste Ressources d’une stratégie (ou
d’une règle détaillée), il exécute l’action définie et cesse le traitement
des stratégies.

391
Onglet Réécriture > Réécriture sélective
L’onglet Réécriture > Réécriture sélective permet de rédiger une stratégie
de ressources Web afin de définir une liste d’hôtes pour lesquels vous
voulez que le système IVE serve d’intermédiaire pour le contenu, ainsi que
les exceptions à cette liste. Par défaut, le système IVE sert d’intermédiaire
pour toutes les demandes des utilisateurs aux hôtes Web, sauf si vous
l’avez configuré pour qu’il serve les demandes à certains hôtes à l’aide
d’un mécanisme différent, comme le gestionnaire d’applications sécurisé.
Créez une stratégie de réécriture sélective si vous ne voulez pas que le
système IVE serve d’intermédiaire pour le trafic à partir de sites Web
résidant en dehors du réseau de l’entreprise, comme yahoo.com, ou si
vous ne voulez pas qu’il serve d’intermédiaire pour les applications
client/serveur que vous avez déployées sous la forme de ressources Web,
comme Microsoft OWA (Outlook Web Access).
5
Rédaction d’une stratégie de ressources de réécriture sélective
Pour rédiger une stratégie de ressources de réécriture sélective :
Réécriture > Réécriture sélective.
2. Sur la page Stratégies de réécriture Web, cliquez sur Nouvelle stratégie.
1
2
4. Dans la section Ressources, indiquez les ressources auxquelles cette
stratégie s’applique. Reportez-vous à la section « Définition de ressources
Web », page 38 pour plus d’informations. Pour activer la correspondance
selon l’adresse IP ou la casse pour ces ressources, reportez-vous à la
section « Définition des options de ressources Web », page 410.
•
•
•
•
Réécrire le contenu
Le système IVE sert d’intermédiaire pour tout le contenu Web
provenant des ressources figurant dans la liste Ressources.
392

•
Ne pas réécrire le contenu
Le système IVE ne sert pas d’intermédiaire pour le contenu Web
provenant des ressources figurant dans la liste Ressources. Lorsqu’un
utilisateur fait la demande d’une ressource à laquelle cette option
s’applique, le système IVE affiche une page contenant un lien vers la
ressource demandée et invite l’utilisateur à cliquer sur ce lien. Le lien
ouvre la ressource dans une nouvelle fenêtre de navigateur, et la page
à partir de laquelle la demande a été lancée à l’origine est toujours
affichée dans le système IVE.
•
8. Sur la page Stratégies de réécriture Web, classez les stratégies selon
des stratégies.
Onglet Réécriture > Proxy intermédiaire
L’onglet Réécriture > Proxy intermédiaire permet de rédiger une stratégie
de ressources Web qui définit les applications Web pour lesquelles le système
IVE n’effectue qu’une intermédiation minimale. Pour créer une stratégie de
ressources de proxy intermédiaire, vous devez définir deux éléments :
• l’application Web qui emploiera le proxy intermédiaire comme
intermédiaire ;
• la manière dont le système IVE recherchera les demandes de clients
au serveur d’applications.
Pour plus d’informations sur cette fonctionnalité, reportez-vous à la section
« Présentation générale du proxy intermédiaire », page 97.
5
Rédaction d’une stratégie de ressources de proxy intermédiaire
Pour rédiger une stratégie de ressources de proxy intermédiaire :
Réécriture > Proxy intermédiaire.
2. Sur la page Stratégies de proxy intermédiaire, cliquez sur Nouvelle
stratégie.
1
2

393
4. Dans le champ URL, entrez le nom d’hôte ou l’adresse IP d’un serveur
d’applications, ainsi que le port de l’URL utilisée pour l’accès interne à
l’application.
5. Choisissez la manière dont vous voulez activer la fonctionnalité de proxy
intermédiaire :
•
Utiliser un nom d’hôte virtuel
Si vous sélectionnez cette option, définissez un alias de nom d’hôte
pour le serveur d’applications. Lorsque le système IVE reçoit une
demande de client pour l’alias de nom d’hôte du serveur d’applications,
il la transmet au port indiqué de ce serveur dans le champ URL.
Important : Si vous sélectionnez cette option, vous devez également
définir le nom et le nom d’hôte du système IVE dans la section Identité
réseau de l’onglet Système > Réseau > Port interne.
•
Utiliser le portIVE
Si vous choisissez cette option, indiquez un port IVE unique entre
11000 et 11099. Le système IVE recherche les demandes de clients
au serveur d’applications sur le port IVE indiqué et transfère les
demandes au port de serveur d’applications indiqué dans le champ
URL.
6. Dans la section Action, indiquez la méthode que le système IVE utilisera
pour servir d’intermédiaire au trafic :
•
Réécrire XML
•
Réécrire liens externes
8. Sur la page Stratégies de proxy intermédiaire, classez les stratégies
que lorsque le système IVE fait correspondre l’application demandée par
l’utilisateur à une application indiquée dans la liste Ressources d’une
stratégie (ou d’une règle détaillée), il exécute l’action définie et cesse le
9. Si vous sélectionnez :
•
•
Utiliser un nom d’hôte virtuel, vous devez également :
1
ajouter une entrée pour chaque alias de nom d’hôte de serveur
d’applications dans votre DNS externe qui effectue la résolution sur
le système IVE ;
2
charger un certificat de serveur avec caractère générique sur le
système IVE (recommandé).
Utiliser un port IVE, ouvrez le trafic sur le port IVE indiqué pour
le serveur d’applications dans le pare-feu de votre entreprise
Remarque : Si votre application écoute plusieurs ports, configurez chaque
port d’application sous la forme d’une entrée distincte de proxy intermédiaire, chacune possédant un port IVE distinct. Si vous comptez accéder
au serveur à l’aide de Noms d’hôtes ou d’adresse IP différents, configurez
chacune de ces options séparément. Dans ce cas, vous pouvez utiliser le
même port IVE.
394

Onglet SSO distante > POST de formulaire
L’onglet SSO distante > POST de formulaire permet de rédiger une
stratégie de ressources Web qui définit les applications Web auxquelles le
systèmeIVE envoie des données (qui peuvent être le nom d’utilisateur et le
mot de passe IVE d’un utilisateur), ainsi que les données système stockées
par les variables système. Pour plus d’informations sur cette fonctionnalité,
reportez-vous à la section « Présentation générale de la SSO distante »,
page 114.
5
Rédaction d’une stratégie de ressources POST de formulaire de SSO distante
Pour rédiger une stratégie de ressources POST de formulaire de
SSO distante :
SSO distante > POST de formulaire.
2. Sur la page Stratégies de POST de formulaire, cliquez sur Nouvelle
stratégie.
1
2
•
•
•
•
Effectuer l’action POST définie ci-dessous
Le système IVE effectue une action POST de formulaire à l’aide des
données d’utilisateur indiquées dans la section Détails POST, qu’il
envoie à l’URL définie lorsqu’un utilisateur fait la demande d’une
ressource figurant dans la liste Ressources.
•
Ne PAS effectuer l’action POST définie ci-dessous
Le système IVE n’effectue pas d’action POST de formulaire à l’aide des
données d’utilisateur indiquées dans la section Détails POST.

395
•
7. Dans la section Détails POST, définissez :
•
l’URL de la page d’ouverture de session de l’application Web dorsale.
Activez l’option Refuser la connexion directe pour cette ressource
si vous ne voulez pas que les utilisateurs puissent accéder directement à
l’URL.
•
les données d’utilisateur à envoyer et l’autorisation de modification
d’utilisateur :
•
Libellé d’utilisateur : le libellé qui s’affiche sur la page
Préférences avancées d’un utilisateur dans le système IVE.
Ce champ est obligatoire si vous autorisez ou exigez que les
utilisateurs modifient les données à envoyer aux applications
dorsales.
•
Nom : le nom qui identifie les données de la zone Valeur.
(L’application dorsale devrait attendre ce nom.)
•
Valeur : la valeur à envoyer au formulaire pour le Nom indiqué.
Vous pouvez entrer des données statiques ou une variable système.
Vous trouverez la liste des variables valides dans la « Variables
système et exemples », page 504.
•
Paramètre Modifiable par l’utilisateur ? : choisissez Non
modifiable si vous ne voulez pas que l’utilisateur puisse modifier
les informations de le champ Valeur. Choisissez L’utilisateur
PEUT modifier la valeur si vous voulez autoriser l’utilisateur à
définir les données pour une application dorsale. Choisissez
L’utilisateur DOIT modifier la valeur si les utilisateurs doivent
entrer des données supplémentaires pour pouvoir accéder à une
application dorsale. Si vous choisissez l’un des deux derniers
paramètres, une zone de saisie de données s’affiche sur la page
Préférences avancées de l’utilisateur dans le système IVE. Cette
zone porte le libellé que vous avez saisi dans le champ Libellé
d’utilisateur. Si vous renseignez la zone Valeur, ces données
s’affichent dans la zone, mais elles ne peuvent pas être modifiées.
9. Sur la page Stratégies POST de formulaire, classez les stratégies selon
des stratégies.
396

Onglet SSO distante > En-têtes/Cookies
L’onglet SSO distante > En-têtes/Cookies permet de rédiger une
stratégie de ressource Web qui définit les applications Web personnalisées
auxquelles le système IVE envoie des cookies et des en-têtes personnalisés.
Pour plus d’informations sur cette fonctionnalité, reportez-vous à la section
« Présentation générale de la SSO distante », page 114.
5
Rédaction d’une stratégie de ressources En-têtes/Cookies SSO
Pour rédiger une stratégie de ressources En-têtes/Cookies SSO :
SSO distante > En-têtes/Cookies.
2. Sur la page Stratégies d’en-têtes/cookies, cliquez sur Nouvelle
stratégie.
1
2
•
•
•
•
Ajouter les en-têtes comme défini ci-dessous
Le système IVE envoie les données d’utilisateur indiquées dans la
section Détails POST à l’URL définie lorsqu’un utilisateur fait la
demande d’une ressource figurant dans la liste Ressources.
•
Ne PAS ajouter les en-têtes comme défini ci-dessous
Le système IVE n’envoie pas les données d’utilisateur indiquées dans
la section Détails POST à l’URL définie lorsqu’un utilisateur fait la
demande d’une ressource figurant dans la liste Ressources.
•

397
7. Dans la section En-têtes et valeurs, définissez :
•
Nom d’en-tête : le texte que le système IVE enverra comme données
d’en-tête.
•
Valeur : la valeur de l’en-tête indiqué.
9. Sur la page Stratégies d’en-têtes/cookies, classez les stratégies selon
des stratégies.
Onglet SAML > SSO
L’onglet SAML > SSO permet de rédiger une stratégie de ressources
Web qui détermine les systèmes de gestion des accès compatibles SAML
avec lesquels le système IVE interagit (comme indiqué dans la section
« Présentation générale du langage SAML », page 115). Le système IVE
prend en charge l’ouverture de session SAML unique sur plusieurs services
d’abonné à assertions, ce qui peut inclure des applications ou des domaines.
Pour configurer des stratégies SSO SAML sur plusieurs systèmes de ce
type, définissez une stratégie de ressources distincte pour chacun d’eux.
Cette section présente les instructions suivantes pour la configuration de
stratégies de ressources SSO SAML :
• « Rédaction d’une stratégie de ressources de profil d’artefact SSO
SAML », page 398
• « Rédaction d’une stratégie de ressources de profil POST SSO SAML »,
page 401
5
Rédaction d’une stratégie de ressources de profil d’artefact SSO SAML
Lorsque vous choisissez de communiquer à l’aide du profil d’artefact,
le serveur de gestion des accès approuvé « récupère » les informations
d’authentification à partir du système IVE, comme indiqué dans la section
« Profil artefact », page 117.
Important : Si vous configurez le système IVE de sorte qu’il utilise des profils
d’artefacts, vous devez installer le certificat de serveur Web du système IVE sur le
service d’abonné à assertions (comme indiqué dans la section « Certificats »,
page 122).
Pour rédiger une stratégie de ressources de profil d’artefact SSO SAML :
SAML > SSO.
2. Sur la page Stratégies Web, cliquez sur Nouvelle stratégie.
398

3. Sur la page Stratégie SSO SAML, entrez :
1
2
page 410.
•
•
•
•
Utiliser la demande SSO SAML défini ci-dessous
Le système IVE exécute une demande SSO vers l’URL indiquée à l’aide
des données définies dans la section Détails SSO SAML. Le système
IVE effectue la demande SSO lorsqu’un utilisateur tente d’accéder à
une ressource SAML figurant dans la liste Ressources.
•
Ne PAS utiliser SAML
Le système IVE n’effectue pas de demande SSO.
•
7. Dans la section Détails SSO SAML, définissez :
•
URL du service d’abonné à assertions SAML
Entrez l’adresse URL que le système IVE doit utiliser pour contacter le
service d’abonné à assertions (en l’occurrence, le serveur de gestion
des accès). Par exemple : https://hostname/acs. (Notez que le système
IVE utilise également ce champ pour déterminer le destinataire SAML
de ses assertions.)
Important : Si vous entrez une adresse URL qui commence par HTTPS,
vous devez installer le CA racine du service d’abonné à assertions sur le
système IVE (comme indiqué dans la section « Certificats », page 122).
•
Profil
Sélectionnez Artefact pour indiquer que le service d’abonné à
assertions doit « récupérer » des informations à partir du système
IVE lors de transactions SSO.

399
•
ID Source
Entrez l’ID source du système IVE. Si vous entrez une :
•
chaîne en texte clair : le système IVE la convertit, y ajoute
des caractères ou en retranche afin d’obtenir une longueur de
20 octets.
•
chaîne codée en Base64 : le système IVE la décode et s’assure
que sa taille est de 20 octets.
Si votre système de gestion des accès nécessite des ID source codés
en Base64, vous pouvez créer une chaîne de 20 octets, puis utiliser
un outil tel que OpenSSL pour le coder en Base64.
Important : L’identifiant IVE (c’est-à-dire l’ID source) doit correspondre à
l’URL suivante sur le service d’abonné à assertions (comme indiqué dans
la section « URL d’application approuvées », page 121) :
https://<IVEhostname>/dana-ws/saml.ws
•
Émetteur
Entrez une chaîne unique que le système IVE peut utiliser pour
s’identifier lorsqu’il génère des assertions (il s’agit généralement de
son nom d’hôte).
Important : Vous devez configurer le service d’abonné à assertions de
telle sorte qu’il reconnaisse la chaîne unique du système IVE (comme
indiqué dans la section « Émetteur », page 121).
8. Dans la section Identité de l’utilisateur, indiquez comment le système
IVE et le service d’abonné à assertions doivent identifier l’utilisateur :
•
Type de nom d’objet
Indiquez la méthode que le système IVE et le service d’abonné à
assertions doivent utiliser pour identifier l’utilisateur :
•
•
DN : envoie le nom d’utilisateur sous la forme d’un attribut DN
(identificateur unique).
•
Adresse courriel : envoie le nom d’utilisateur sous la forme
d’une adresse courriel.
•
Windows : envoie le nom d’utilisateur sous la forme d’un nom
d’utilisateur de domaine qualifié Windows.
•
Autre : envoie le nom d’utilisateur dans un autre format convenu
conjointement par le système IVE et le service d’abonné à
assertions.
Nom d’objet
Utilisez les variables décrites dans la section « Variables système
et exemples », page 504 pour indiquer le nom d’utilisateur que le
système IVE doit transmettre au service d’abonné à assertions.
Une autre méthode consiste à saisir un texte statique.
Important : Vous devez envoyer un nom d’utilisateur ou un attribut reconnaissable par le service d’abonné à assertions (comme indiqué dans la
section « Identité de l’utilisateur », page 124).
400

9. Dans la section Authentification du service Web, indiquez la méthode
d’authentification que le système IVE doit utiliser pour authentifier le
service d’abonné à assertions :
•
Aucun
Ne pas authentifier le service d’abonné à assertions.
•
Nom d’utilisateur
Authentifier le service d’abonné à assertions à l’aide d’un nom
d’utilisateur et d’un mot de passe. Entrez le nom d’utilisateur et le
mot de passe que le service d’abonné à assertions doit envoyer au
système IVE.
•
Attribut de certificat
Authentifier le service d’abonné à assertions à l’aide d’attributs de
certificats. Entrez les attributs que le service d’abonné à assertions
doit envoyer au système IVE (un attribut par ligne). Par exemple :
cn=ventes. Vous devez utiliser des valeurs correspondant à celles
présentes dans le certificat du service d’abonné à assertions.
Important : Si vous sélectionnez cette option, vous devez installer le CA
racine du service d’abonné à assertions sur le système IVE (comme
indiqué dans la section « Certificats », page 122).
10. Domaine de cookie : entrez une liste de domaines, séparés par des
virgules, auxquels envoyer le cookie SSO.
12. Sur la page Stratégies SSO SAML, classez les stratégies selon l’ordre
5
Rédaction d’une stratégie de ressources de profil POST SSO SAML
Lorsque vous choisissez de communiquer à l’aide du profil d’artefact, le
système IVE « envoie » les informations d’authentification à partir du
système de gestion des accès, comme indiqué dans la section « Profil
POST », page 119.
Important : Si vous configurez le système IVE en vue d’utiliser des profils POST,
vous devez installer le CA racine du service d’abonné à assertions sur le
systèmeIVE et déterminer la méthode que le service en question utilisera pour
approuver le certificat (comme indiqué dans la section « Certificats », page 122).
Pour rédiger une stratégie de ressources de profil POST SSO SAML :
SAML > SSO.
2. Sur la page Stratégies Web, cliquez sur Nouvelle stratégie.

401
3. Sur la page Stratégie SSO SAML, entrez :
1
2
page 410.
•
•
•
•
Utiliser la demande SSO SAML défini ci-dessous
Le système IVE exécute une demande SSO vers l’URL indiquée à l’aide
des données définies dans la section Détails SSO SAML. Le système
IVE effectue la demande SSO lorsqu’un utilisateur tente d’accéder à
une ressource SAML figurant dans la liste Ressources.
•
Ne PAS utiliser SAML
Le système IVE n’effectue pas de demande SSO.
•
7. Dans la section Détails SSO SAML, définissez :
•
URL du service d’abonné à assertions SAML
Entrez l’adresse URL que le système IVE doit utiliser pour contacter le
service d’abonné à assertions (en l’occurrence, le serveur de gestion
des accès). Par exemple : https://hostname/acs.
•
Profil
Sélectionnez POST pour indiquer que le système IVE doit « envoyer »
des informations à partir du service d’abonné à assertions lors de
transactions SSO.
•
Émetteur
Entrez une chaîne unique que le système IVE peut utiliser pour
s’identifier lorsqu’il génère des assertions (il s’agit généralement de
son nom d’hôte).
Important : Vous devez configurer le service d’abonné à assertions de
telle sorte qu’il reconnaisse la chaîne unique du système IVE (comme
402

•
Certificat de signature
Indiquez le certificat que le système IVE devra utiliser pour signer ses
assertions.
IVE et le service d’abonné à assertions doivent identifier l’utilisateur :
•
Indiquez la méthode que le système IVE et le service d’abonné à
assertions doivent utiliser pour identifier l’utilisateur :
•
•
•
•
•
conjointement par le système IVE et le service d’abonné à
assertions.
Nom d’objet
Utilisez les variables décrites dans la section « Variables système
et exemples », page 504 pour indiquer le nom d’utilisateur que le
système IVE doit transmettre au service d’abonné à assertions.
Une autre méthode consiste à saisir un texte statique.
Important : Vous devez envoyer un nom d’utilisateur ou un attribut reconnaissable par le service d’abonné à assertions (comme indiqué dans la
section « Identité de l’utilisateur », page 124).
9. Domaine de cookie : entrez une liste de domaines, séparés par des
virgules, auxquels envoyer le cookie SSO.
11. Sur la page Stratégies SSO SAML, classez les stratégies selon l’ordre
dans lequel le système IVE doit les évaluer. N’oubliez pas que lorsque
le système IVE fait correspondre la ressource demandée par l’utilisateur
à une ressource de la liste Ressources d’une stratégie (ou d’une règle
Onglet SAML > Contrôle d’accès
L’onglet SAML > Contrôle d’accès permet de rédiger une stratégie de
ressources Web qui détermine les systèmes de gestion des accès compatibles
SAML avec lesquels le système IVE interagit. Pour plus d’informations sur
cette fonctionnalité, reportez-vous à la section « Présentation générale du
langage SAML », page 115. Le système IVE prend en charge l’autorisation
de contrôle d’accès SAML vers plusieurs systèmes de gestion des accès.
Pour configurer des stratégies de contrôle d’accès SAML sur plusieurs
applications, définissez une stratégie de ressources distincte pour
chacune d’elles.

403
5
Rédaction d’une stratégie de ressources de contrôle d’accès SAML
Lorsque vous optez pour l’activation des transactions de contrôle d’accès,
le système IVE interroge le service Web SAML afin de prendre les décisions
qui s’imposent en matière d’autorisation (comme indiqué dans la section
« Explication des stratégies de contrôle d’accès », page 120).
Important : Si vous configurez le système IVE de manière à utiliser les transactions de contrôle d’accès, vous devez installer le CA racine du service Web SAML
sur le système IVE (comme indiqué dans la section « Certificats », page 122).
Pour rédiger une stratégie de ressources de contrôle d’accès SAML :
Contrôle d’accès SAML.
2. Sur la page Stratégies de contrôle d’accès SAML, cliquez sur Nouvelle
stratégie.
1
2
page 410.
•
•
•
•
Utiliser les vérifications Contrôle d’accès SAML définies
ci-dessous
Le système IVE exécute une vérification du contrôle d’accès vers l’URL
indiquée à l’aide des données définies dans la section Détails de
contrôle d’accès SAML.
•
Ne pas utiliser l’accès SAML
Le système IVE n’effectue pas de vérification du contrôle d’accès.
•
404

7. Dans la section Détails de contrôle d’accès SAML, définissez :
•
URL du service Web SAML
Entrez l’URL du serveur SAML du système de gestion des accès.
Par exemple : https://hostname/ws.
•
Émetteur
Entrez le nom d’hôte de l’émetteur qui, dans la plupart des cas,
correspond au nom d’hôte du système de gestion des accès.
Important : Vous devez entrer une chaîne unique que le service Web
SAML utilisera pour s’identifier dans les assertions d’autorisation (comme
IVE et le service Web SAML doivent identifier l’utilisateur :
•
Indiquez la méthode que le système IVE et le service Web SAML
doivent utiliser pour identifier l’utilisateur :
•
•
•
•
•
conjointement par le système IVE et le service Web SAML.
Nom d’objet
Utilisez les variables décrites dans la section « Variables système et
exemples », page 504 pour indiquer le nom d’utilisateur que le
système IVE doit transmettre au service Web SAML. Une autre
méthode consiste à saisir un texte statique.
Important : Vous devez envoyer un nom d’utilisateur ou un attribut
reconnaissable par le service Web SAML (comme indiqué dans la section
« Identité de l’utilisateur », page 124).
9. Dans la section Authentification du service Web, indiquez la méthode
d’authentification que le service Web SAML devra utiliser pour authentifier
le système IVE :
•
Aucun
Ne pas authentifier le système IVE.
•
Nom d’utilisateur
Authentifier le système IVE à l’aide d’un nom d’utilisateur et d’un
mot de passe. Entrez le nom d’utilisateur et le mot de passe que le
système IVE doit envoyer au service Web.
•
Attribut de certificat
Authentifiez le système IVE à l’aide d’un certificat signé par une
autorité de certification approuvée. Si plusieurs certificats sont
installés sur le système IVE, utilisez la liste déroulante afin de
sélectionner celui à envoyer au service Web.

405
Important : Si vous sélectionnez cette option, vous devez installer le
certificat du serveur Web IVE sur le serveur Web du système de gestion
des accès et déterminer la méthode utilisée par le service Web SAML pour
approuver le certificat (comme indiqué dans la section « Certificats »,
page 122).
10. Dans la section Options, choisissez :
•
Durée maximale du cache
Vous pouvez éliminer la surcharge induite par la génération d’une
décision d’autorisation à chaque fois que l’utilisateur demande la
même adresse URL en indiquant que le système IVE doit mettre en
cache les réponses d’autorisation du système de gestion des accès.
Indiquez la durée pendant laquelle le système IVE doit mettre les
réponses en cache (en secondes).
•
Données de requête ignorées
Par défaut, lorqu’un utilisateur demande une ressource, le système
IVE envoie toute l’adresse URL y afférente (y compris le paramètre de
requête) au service Web SAML et met l’URL en cache. Vous pouvez
indiquer que le système IVE doit supprimer la chaîne de requête de
l’URL avant de demander une autorisation ou de mettre en cache la
réponse d’autorisation.
12. Sur la page Stratégies de contrôle d’accès SAML, classez les stratégies
que lorsque le système IVE fait correspondre la ressource demandée par
des stratégies.
Onglet Proxy Web > Stratégies
L’onglet Proxy Web > Stratégies permet de rédiger une stratégie de
ressources Web qui définit les applications Web personnalisées auxquelles
le système IVE envoie des cookies et des en-têtes personnalisés. Pour
plus d’informations sur cette fonctionnalité, reportez-vous à la section
« Présentation générale de la SSO distante », page 114.
5
Rédaction d’une stratégie de ressources de proxy Web
Pour rédiger une stratégie de ressources de proxy Web :
Proxy Web > Stratégies.
2. Sur la page Proxy Web Stratégies, cliquez sur Nouvelle stratégie.
406

1
2
page 410.
•
•
•
•
Accéder directement aux ressources Web
Le système IVE sert d’intermédiaire pour la demande de l’utilisateur
à un serveur dorsal et la réponse du serveur à l’utilisateur pour les
demandes de ressources figurant dans la liste Ressources.
•
Accéder aux ressources Web via un proxy Web
Le système IVE n’envoie pas les données d’utilisateur indiquées dans
la section Détails POST à l’URL définie lorsqu’un utilisateur fait la
demande d’une ressource figurant dans la liste Ressources. Si vous
choisissez cette option, veillez à définir les paramètres du serveur
proxy Web dans la liste déroulante. Pour définir des serveurs proxy
Web, reportez-vous à la section « Onglet Proxy Web > Serveurs »,
page 408.
•
8. Sur la page Stratégies d’en-têtes/cookies, classez les stratégies selon
des stratégies.

407
Onglet Proxy Web > Serveurs
Vous pouvez transmettre toutes les demandes web effectuées via le système
IVE à un proxy web, au lieu d’employer ce système pour une connexion
directe aux serveurs web. Cette fonctionnalité peut s’avérer utile si la
stratégie de sécurité de votre réseau exige une telle configuration ou si
vous voulez employer un proxy Web de mise en cache pour améliorer les
performances.
Remarque : Pour l’heure, le système IVE ne prend pas en charge l’authentification
de proxy Web. Si vous voulez employer la fonction de proxy Web IVE, vous devez
configurer votre proxy Web pour qu’il accepte les utilisateurs non authentifiés.
5
Définition de serveurs proxy Web
L’onglet Proxy Web permet de définir des serveurs pour les stratégies de
ressources de proxy Web.
Pour définir des serveurs proxy Web :
Proxy Web > Serveurs.
2. Dans la section Serveurs proxy Web, entrez le nom ou l’adresse IP du
serveur proxy Web, ainsi que le numéro de port surveillé par le serveur
proxy, puis cliquez sur Ajouter. Répétez cette étape pour définir des
serveurs proxy Web supplémentaires.
Figure 142 : Stratégies de ressources > Web > Proxy Web > Serveurs
Onglet Lancer JSAM
L’onglet Lancer JSAM permet de rédiger une stratégie de ressources Web
définissant l’adresse URL pour laquelle le système IVE lance automatiquement
J-SAM sur le client. Le système IVE lance J-SAM dans deux cas :
• Lorsqu’un utilisateur entre l’adresse URL dans le champ Adresse de la
page d’accueil IVE.
• Lorsqu’un utilisateur clique sur un signet Web (configuré par un
administrateur) pointant vers l’URL sur la page d’accueil IVE.
408

Cette fonctionnalité se révèle particulièrement utile si vous activez des
applications qui nécessitent J-SAM mais ne souhaitez pas obliger les
utilisateurs à exécuter inutilement J-SAM. Cependant, elle exige que les
utilisateurs accèdent à l’URL par le biais de la page d’accueil IVE. Si
l’utilisateur entre l’URL dans le champ Adresse d’un navigateur, le système
IVE ne satisfait pas la demande.
Important : Le système IVE offre une intégration poussée avec Citrix. Si vous
indiquez Citrix comme application J-SAM standard, le système IVE lance automatiquement J-SAM lorsqu’un utilisateur sélectionne un fichier ICA, et ce même si
l’URL n’est pas configurée en tant que stratégie de ressources.
5
Rédaction d’une stratégie de ressources Lancement de J-SAM
Pour rédiger une stratégie de ressources Lancement de J-SAM :
Lancer JSAM.
2. Sur la page Lancement automatique de JSAM Stratégies, cliquez sur
Nouvelle stratégie.
1
2
la description de la stratégie (facultatif).
4. Dans la section Ressources, indiquez les URL auxquelles cette stratégie
s’applique. Reportez-vous à la section « Définition de ressources Web »,
page 38 pour plus d’informations. Pour activer la correspondance selon
l’adresse IP ou la casse pour ces ressources, reportez-vous à la section
« Définition des options de ressources Web », page 410.
•
•
•
•
Lancer JSAM pour cette URL
Le système IVE télécharge le gestionnaire d’applications sécurisé Java
sur le client, puis sert l’URL demandée.
Important : J-SAM démarre automatiquement pour l’URL indiquée à la
condition qu’un utilisateur entre l’URL ou sélectionne un signet pointant
vers cette URL sur la page d’accueilIVE (Navigation > Signets).

409
•
Ne pas lancer JSAM pour cette URL
Le système IVE ne télécharge pas le gestionnaire d’applications
sécurisé Java sur le client pour l’URL demandée. Cette option est
utile si vous souhaitez désactiver temporairement le lancement
automatique de J-SAM pour les URL indiquées.
•
Onglet Options
L’onglet Options permet de définir des options de ressources Web
applicables à vos stratégies de ressources Web. Les options disponibles
sont les suivantes :
• Correspondance selon l’adresse IP pour les ressources de stratégies
basées sur le nom d’hôte : le système IVE recherche l’adresse IP
correspondant à chaque nom d’hôte indiqué dans une stratégie de
ressources Web. Lorsqu’un utilisateur tente d’accéder à un serveur en
indiquant une adresse IP au lieu du nom d’hôte, le système IVE compare
l’adresse IP à sa liste d’adresse IP mise en cache afin de déterminer si
elle correspond à un nom d’hôte. Si une correspondance est trouvée,
le système IVE l’accepte comme une correspondance de stratégie et
applique l’action indiquée pour la stratégie de ressources.
Remarque : Cette option ne s’applique pas aux noms d’hôtes qui comprennent des caractères génériques et des paramètres.
• L’option Correspondance en fonction de la casse pour les
composants de chaîne Chemin d’accès et Requête dans les
ressources Web oblige les utilisateurs à saisir une URL sensible à la
casse pointant vers une ressource. Vous pouvez, par exemple, utiliser
cette option pour transmettre des données de mot de passe ou de nom
d’utilisateur dans une URL.
Lorsque vous activez une option de stratégie de ressources de fichiers,
le système IVE compile une liste de noms d’hôtes définis dans le champ
Ressources pour chaque stratégie de ressources Web. Le système IVE
applique ensuite les options activées à cette liste complète de noms d’hôtes.
5
Définition des options de ressources Web
Pour définir des options de ressources Web :
Options.
410

2. Sélectionnez :
•
Correspondance selon l’adresse IP pour les ressources de stratégies
basées sur le nom d’hôte
•
Correspondance en fonction de la casse pour les composants de
chaîne Chemin d’accès et Requête dans les ressources Web
Figure 143 : Stratégies de ressources > Web > Options

411
412

Configuration de la page Fichiers
La page Stratégies de ressources > Fichiers contient les onglets
suivants :
Onglet Windows > Accès ..................................................................... 414
Onglet Windows > Données d’identification ......................................... 415
Onglet UNIX/NFS ................................................................................. 418
Onglet Codage ..................................................................................... 420
Onglet Options ..................................................................................... 421
Les onglets de la page Stratégies de ressources > Fichiers permettent
Rédaction d’une stratégie de ressources d’accès Windows ................ 414
Rédaction d’une stratégie de ressources de données d’identification
Windows ............................................................................................... 416
Rédaction d’une stratégie de ressources UNIX/NFS ........................... 418
Définition du codage d’internationalisation pour le trafic IVE ............... 420
Définition des options de ressources de fichiers .................................. 421
Rédaction d’une stratégie de ressources de fichiers
Lorsque vous activez la fonctionnalité d’accès aux fichiers pour un rôle,
vous devez créer des stratégies de ressources qui déterminent les ressources
Windows et UNIX/NFS auxquelles un utilisateur peut accéder, ainsi que le
codage à employer lors de la communication avec des partages de fichiers
Windows et NFS. Lorsqu’un utilisateur effectue une demande de fichier, le
système IVE évalue les stratégies de ressources correspondant à la demande,
comme les stratégies de ressources d’accès Windows pour une demande
de chargement d’un document MS Word (fichier .doc). Après avoir fait
correspondre la demande d’un utilisateur à une ressource indiquée dans
la stratégie appropriée, le système IVE effectue l’action définie pour la
ressource.
Lors de la rédaction d’une stratégie de ressources de fichiers, vous devez
fournir des informations essentielles :
ressources auxquelles la stratégie s’applique. Lors de la rédaction d’une
stratégie de fichiers, vous devez définir des serveurs de fichiers ou des
partages précis. Reportez-vous aux sections « Définition de ressources
de fichiers Windows », page 39 et « Définition de ressources de fichiers
UNIX », page 40.
• Actions : Chaque type de stratégie de ressources accomplit une section
précise, qui consiste à autoriser ou à interdire une ressource ou à
accomplir ou non une fonction déterminée, comme l’autorisation d’écriture
dans un répertoire. Vous pouvez également rédiger des règles détaillées
qui appliquent davantage de conditions à une demande d’utilisateur.
Reportez-vous à la section « Rédaction d’une règle détaillée », page 43.

413
Onglet Windows > Accès
L’onglet Windows > Accès permet de rédiger une stratégie de ressources
de fichiers qui détermine les ressources Windows auxquelles les utilisateurs
peuvent accéder. Pour définir les ressources Windows, entrez leur serveur
et le partage et définissez éventuellement le chemin d’accès à un dossier
spécifique.
5
Rédaction d’une stratégie de ressources d’accès Windows
Pour rédiger une stratégie de ressources d’accès Windows :
1. Dans la Console Web, sélectionnez Stratégies de ressources > Fichier >
Windows > Accès.
2. Sur la page Stratégies d’accès aux fichiers Windows, cliquez sur
1
2
stratégie s’applique. Reportez-vous à la section « Définition de
ressources de fichiers Windows », page 39 pour plus d’informations.
•
•
•
•
Autoriser l’accès
Activez l’option Lecture seule pour empêcher les utilisateurs
•
Refuser l’accès
•
8. Sur la page Stratégies d’accès aux fichiers Windows, classez les
stratégies selon l’ordre dans lequel le système IVE doit les évaluer.
414

N’oubliez pas que lorsque le système IVE fait correspondre la ressource
demandée par l’utilisateur à une ressource de la liste Ressources d’une
Figure 144 : Stratégies de ressources > Fichiers > Windows > Accès > Nouvelle
stratégie
Onglet Windows > Données d’identification
L’onglet Windows > Données d’identification permet de rédiger une
stratégie de ressources de fichiers qui vous offre la possibilité de définir
des données d’identification que le système IVE soumettra à un serveur
de fichiers lorsqu’une demande d’utilisateur correspond à une ressource
figurant dans la liste Ressource. Vous pouvez également configurer le
système IVE de sorte qu’il invite les utilisateurs à entrer leurs données
d’identification.

415
5
Rédaction d’une stratégie de ressources de données d’identification Windows
Pour rédiger une stratégie de ressources de données d’identification
Windows :
Windows > Données d’identification.
2. Sur la page Stratégies de données d’identification Windows, cliquez sur
1
2
ressources de fichiers Windows », page 39 pour plus d’informations.
•
•
•
•
Utiliser les données d’identification définies
Cette option permet de définir les données d’identification
d’administrateur que le système IVE soumet aux ressources
figurant dans la liste Ressources au niveau des dossiers et des
fichiers. Le serveur de navigation dans les fichiers du système IVE
laisse toutefois les connexions à un serveur\partage ouvertes. Dès
lors, la connexion à un dossier différent du même partage à l’aide
d’un compte différent risque de ne pas fonctionner correctement.
Si les données d’identification indiquées ne fonctionnent pas, le
système IVE invite l’utilisateur à en saisir à l’aide d’une page
intermédiaire.
•
Demander les données d’identification des utilisateurs
Si un partage de fichiers sur une ressource figurant dans la liste
Ressources exige des données d’identification, le système IVE servira
d’intermédiaire pour cette demande en présentant une demande
d’identification dans le système. L’utilisateur doit entrer les données
d’identification pour le partage auquel il tente d’accéder.
•
416

8. Sur la page Stratégies d’accès aux fichiers Windows, classez les
Figure 145 : Stratégies de ressources > Fichiers > Windows > Données
d’identification > Nouvelle stratégie

417
Onglet UNIX/NFS
L’onglet UNIX/NFS permet de rédiger une stratégie de ressources de
fichiers qui détermine les ressources UNIX/NFS auxquelles les utilisateurs
peuvent accéder. Pour définir des ressources UNIX/NFS, entrez le nom
d’hôte ou l’adresse IP du serveur, puis définissez éventuellement le chemin
d’accès à un partage précis.
5
Rédaction d’une stratégie de ressources UNIX/NFS
Pour rédiger une stratégie de ressources UNIX/NFS :
1. Dans la Console Web, choisissez Stratégies de ressources > Fichier >
UNIX/NFS.
2. Sur la page Stratégies d’accès aux fichiers UNIX/NFS, cliquez sur
1
2
ressources de fichiers UNIX », page 40 pour plus d’informations.
•
•
•
•
Activez l’option Lecture seule pour empêcher les utilisateurs
•
Refuser l’accès
•
8. Sur la page Stratégies d’accès aux fichiers UNIX/NFS, classez les
418

Figure 146 : Stratégies de ressources > Fichiers > UNIX/NFS > Nouvelle stratégie

419
Onglet Codage
L’onglet Fichiers > Codage permet de déterminer la manière dont le
système IVE code les données en cas d’interaction avec des serveurs
de fichiers.
5
Définition du codage d’internationalisation pour le trafic IVE
Pour définir le codage d’internationalisation pour le trafic IVE :
1. Dans la Console Web, sélectionnez Stratégies de ressources >
Fichier > Codage.
2. Sélectionnez l’option appropriée :
•
Europe occidentale (ISO-8859-1)
•
Chinois simplifié (CP936)
•
Chinois simplifié (GB2312)
•
Chinois traditionnel (CP936)
•
Chinois traditionnel (Big5)
•
Japonais (Shift-JIS)
•
Coréen
Figure 147 : Stratégies de ressources > Fichiers > Codage
420

Onglet Options
L’onglet Options permet de définir des options de ressources de fichiers
applicables à vos stratégies de ressources de fichiers. Les options
disponibles sont les suivantes :
• Correspondance selon l’adresse IP pour les ressources de stratégies
basées sur le nom d’hôte : le système IVE recherche l’adresse IP
correspondant à chaque nom d’hôte indiqué dans une stratégie de
ressources de fichiers. Lorsqu’un utilisateur tente d’accéder à un serveur
en indiquant une adresse IP au lieu du nom d’hôte, le système IVE
compare l’adresse IP à sa liste d’adresse IP mise en cache afin de
déterminer si elle correspond à un nom d’hôte. Si une correspondance
est trouvée, le système IVE l’accepte comme une correspondance de
stratégie et applique l’action indiquée pour la stratégie de ressources.
Remarque : Cette option ne s’applique pas aux noms d’hôtes qui comprennent des caractères génériques et des paramètres.
• L’option Correspondance en fonction de la casse pour les
composants de chaîne Chemin d’accès et Requête dans les
ressources Web oblige les utilisateurs à saisir une URL sensible à la
casse pointant vers une ressource. Vous pouvez utiliser cette option
pour transmettre des données de mot de passe ou de nom d’utilisateur
dans une URL.
Remarque : Cette option ne s’applique pas aux serveurs Windows.
Lorsque vous activez une option de stratégie de ressources de fichiers,
le système IVE compile une liste de noms d’hôtes définis dans le champ
Ressources pour chaque stratégies de ressources de fichiers. Le système
IVE applique ensuite les options activées à cette liste complète de noms
d’hôtes.
5
Définition des options de ressources de fichiers
Pour définir des options de ressources de fichiers :
Options.
2. Sélectionnez :
•
Correspondance selon l’adresse IP pour les ressources de stratégies
basées sur le nom d’hôte
•
Correspondance en fonction de la casse pour les composants
de chaîne Chemin d’accès et Requête dans les ressources Web

421
Figure 148 : Stratégies de ressources > Fichiers > Options
422

Configuration de la page SAM
La page Stratégies de ressources > SAM contient les onglets suivants :
Onglet Accès ........................................................................................ 424
Onglet Options ..................................................................................... 426
Les onglets de la page Stratégies de ressources > SAM permettent
Rédaction d’une stratégie de ressources Gestionnaire d’applications
sécurisé ................................................................................................ 424
Définition de l’option de ressources SAM............................................. 426
L’option de mise à niveau Gestionnaire d’applications sécurisé permet aux
utilisateurs d’accéder aux serveurs d’application par le biais d’un tunnel
SSL chiffré comme s’ils se trouvaient sur le LAN de l’entreprise. Pour plus
d’informations, reportez-vous à la section « Présentation générale du
Gestionnaire d’applications sécurisé », page 99.
Rédaction d’une stratégie de ressources SAM
Lorsque vous activez la fonction d’accès Gestionnaire d’applications
sécurisé pour un rôle, vous devez créer des stratégies de ressources
qui spécifient à quels serveurs d’application un utilisateur peut accéder.
Ces stratégies s’appliquent aux versions Java et Windows du gestionnaire
d’applications sécurisé (J-SAM et W-SAM, respectivement). Lorsqu’un
utilisateur effectue une demande sur un serveur d’application, le système
IVE évalue les stratégies de ressources SAM. Si le système IVE fait
correspondre la demande d’un utilisateur à une ressource indiquée dans
une stratégie SAM, le système IVE effectue l’action définie pour la
ressource.
Lors de la rédaction d’une stratégie de ressources SAM, vous devez fournir
des informations essentielles :
ressources auxquelles la stratégie s’applique. Lorsque vous écrivez une
stratégie SAM, vous devez spécifier les serveurs d’application auxquels
un utilisateur peut se connecter.
stratégies qui correspondent à la demande. Les stratégies de ressources
SAM s’appliquent aux demandes d’utilisateurs effectuées par le biais de
la version J-SAM ou W-SAM.
• Actions : Une stratégie de ressources Secure Application Manager
autorise ou refuse l’accès à un serveur d’application.

423
Onglet Accès
L’onglet Accès permet d’écrire une stratégie de ressources Gestionnaire
d’applications sécurisé qui détermine les ressources auxquelles les
utilisateurs peuvent accéder.
5
Rédaction d’une stratégie de ressources Gestionnaire d’applications sécurisé
Pour rédiger une stratégie de ressources Gestionnaire d’applications
sécurisé :
1. Dans la Console Web, sélectionnez Stratégies de ressources > SAM >
Accès.
2. Sur la page Gestionnaire d’applications sécurisé - Stratégies,
cliquez sur Nouvelle stratégie.
1
2
4. Dans la section Ressources, indiquez les serveurs d’application
auxquels cette stratégie s’applique.
•
•
•
•
Autoriser l’accès de socket
Pour autoriser l’accès aux serveurs d’application indiqués dans la liste
Ressources.
•
Refuser l’accès de socket
Pour refuser l’accès aux serveurs d’application indiqués dans la liste
Ressources.
•
8. Sur la page Gestionnaire d’applications sécurisé - Stratégies d’accès,
triez les stratégies en fonction de la manière dont vous souhaitez que le
système IVE les évalue. N’oubliez pas que lorsque le système IVE fait
correspondre la ressource demandée par l’utilisateur à une ressource de
424

la liste Ressources d’une stratégie (ou d’une règle détaillée), il exécute
l’action définie et cesse le traitement des stratégies.
Figure 149 : Stratégies de ressources > SAM > Accès > Nouvelle stratégie

425
Onglet Options
Cet onglet Options vous permet de spécifier l’option de ressources SAM
pour faire correspondre les adresses IP aux noms d’hôtes spécifiés en
tant que ressources dans vos stratégies de ressources SAM. Lorsque
vous activez cette option, le système IVE recherche les adresses IP
correspondant à chaque nom d’hôte spécifié dans une stratégie de
ressources SAM. Lorsqu’un utilisateur tente d’accéder à un serveur en
indiquant une adresse IP au lieu du nom d’hôte, le système IVE compare
l’adresse IP à sa liste d’adresse IP mise en cache afin de déterminer si
elle correspond à un nom d’hôte. Si une correspondance est trouvée, le
système IVE l’accepte comme une correspondance de stratégie et applique
l’action indiquée pour la stratégie de ressources.
Lorsque vous activez cette option, le système IVE compile une liste des
noms d’hôtes spécifiés dans le champ Ressources de chaque stratégie de
ressources SAM. Le système IVE applique ensuite l’option à cette liste
complète de noms d’hôtes.
Remarque : Cette option ne s’applique pas aux noms d’hôtes qui comprennent
des caractères génériques et des paramètres.
5
Définition de l’option de ressources SAM
Pour définir l’option de ressources SAM :
1. Dans la Console Web, sélectionnez Stratégies de ressources > SAM >
Options.
2. Sélectionnez Correspondance selon l’adresse IP pour les ressources
de stratégies basées sur le nom d’hôte.
Figure 150 : Stratégies de ressources > SAM > Options
426

Configuration de la page Telnet/SSH
La page Stratégies de ressources > Telnet/SSH contient les onglets
suivants :
Onglet Accès ........................................................................................ 428
Onglet Options ..................................................................................... 429
Utilisez la page Stratégies de ressources > Telnet/SSH pour :
Rédaction d’une stratégie de ressources Telnet/SSH .......................... 428
Définition de l’option de ressources Telnet/SSH................................... 430
L’option de mise à niveau Accès par terminal sécurisé permet aux
utilisateurs de se connecter aux hôtes de serveurs internes en clair à
l’aide des protocoles Telnet ou de communiquer via une session SSH
(Secure Shell) chiffrée par le biais d’une émulation de session de terminal
basée sur le web. Cette fonction prend en charge les applications et les
protocoles suivants :
• Protocoles de réseau
•
Telnet
•
SSH
• Paramètres de terminal
•
VT100, VT320 et dérivés
•
Tampons d’écran
• Sécurité
•
Sécurité web/client via SSL
•
Sécurité de l’hôte : SSH (si vous le souhaitez)
Écriture d’une stratégie de ressources Telnet/SSH
Lorsque vous activez la fonction d’accès Telnet/SSH pour un rôle, vous
devez créer des stratégies de ressources qui spécifient à quels serveurs
distants un utilisateur peut accéder. Si le système IVE fait correspondre
la demande d’un utilisateur à une ressource indiquée dans une stratégie
Telnet/SSH, le système IVE effectue l’action définie pour la ressource.
Lors de la rédaction d’une stratégie de ressources Telnet/SSH, vous devez
fournir des informations essentielles :
ressources auxquelles la stratégie s’applique. Lorsque vous écrivez une
stratégie Telnet/SSH, vous devez spécifier les serveurs distants auxquels
un utilisateur peut se connecter.
• Actions : Une stratégie de ressources Telnet/SSH autorise ou refuse
l’accès à un serveur.

427
Onglet Accès
L’onglet Accès permet d’écrire une stratégie de ressources Telnet/SSH qui
détermine les ressources auxquelles les utilisateurs peuvent accéder.
5
Rédaction d’une stratégie de ressources Telnet/SSH
Pour rédiger une stratégie de ressources Telnet/SSH :
1. Dans la Console Web, choisissez Stratégies de ressources >
Telnet/SSH > Accès.
2. Sur la page Telnet/SSH - Stratégies, cliquez sur Nouvelle stratégie.
1
2
4. Dans la section Ressources, indiquez les serveurs auxquels cette
stratégie s’applique.
•
Pour autoriser l’accès aux serveurs indiqués dans la liste Ressources.
•
Refuser l’accès
Pour refuser l’accès aux serveurs indiqués dans la liste Ressources.
•
8. Sur la page Telnet/SSH - Stratégies, triez les stratégies en fonction de
la manière dont vous souhaitez que le système IVE les évalue. N’oubliez
pas que lorsque le système IVE fait correspondre la ressource demandée
par l’utilisateur à une ressource de la liste Ressources d’une stratégie
(ou d’une règle détaillée), il exécute l’action définie et cesse le traitement
des stratégies.
428

Figure 151 : Stratégies de ressources > Telnet/SSH > Accès > Nouvelle stratégie
Onglet Options
L’onglet Options vous permet de spécifier l’option de ressources Telnet/SSH
pour faire correspondre les adresses IP aux noms d’hôtes spécifiés en tant
que ressources dans vos stratégies de ressources Telnet/SSH. Lorsque vous
activez cette option, le système IVE recherche l’adresse IP correspondant à
chaque nom d’hôte spécifié dans une stratégie de ressources Telnet/SSH.
Lorsqu’un utilisateur tente d’accéder à un serveur en indiquant une adresse IP
au lieu du nom d’hôte, le système IVE compare l’adresse IP à sa liste
d’adresse IP mise en cache afin de déterminer si elle correspond à un nom
d’hôte. Si une correspondance est trouvée, le système IVE l’accepte comme
une correspondance de stratégie et applique l’action indiquée pour la
stratégie de ressources.

429
ressources Telnet/SSH. Le système IVE applique ensuite l’option à cette
liste complète de noms d’hôtes.
5
Définition de l’option de ressources Telnet/SSH
Pour définir l’option de ressources Telnet/SSH :
Telnet/SSH > Options.
Figure 152 : Stratégies de ressources > Telnet/SSH > Options
430

Configuration de la page Stratégies des services de terminal Windows
La page Stratégies de ressources > Services de terminal Windows
contient les onglets suivants :
Onglet Accès ........................................................................................ 431
Onglet Options ..................................................................................... 433
Utilisez la page Stratégies de ressources > Services de terminal
Windows pour :
Rédaction d’une stratégie de ressources Services de terminal
Windows ........................................................................................ 431
Définition de l’option de ressources Services de terminal Windows .... 434
Rédiger une stratégie de ressources Services de terminal Windows
L’option de mise à niveau Services de terminal Windows permet aux
utilisateurs de se connecter à des serveurs de terminal par l’intermédiaire
de leurs sessions IVE. Lorsque vous activez la fonctionnalité Services de
terminal Windows pour un rôle, vous devez créer des stratégies de ressources
qui spécifient à quels serveurs distants un utilisateur peut accéder.
Lors de la rédaction d’une stratégie de ressources Services de terminal
Windows, vous devez fournir des informations essentielles :
ressources auxquelles la stratégie s’applique. Lors de la rédaction d’une
stratégie de ressources Services de terminal Windows, vous devez
définir le serveur de terminal auquel les utilisateurs peuvent se
connecter.
• Actions : Une stratégie de ressources Services de terminal Windows
autorise ou refuse l’accès à un serveur de terminal.
Onglet Accès
L’onglet Accès permet d’écrire une stratégie de ressources Services de
terminal Windows qui détermine les ressources auxquelles les utilisateurs
peuvent accéder.
5
Rédaction d’une stratégie de ressources Services de terminal Windows
Pour rédiger une stratégie de ressources Telnet/SSH :
Services de terminal Windows > Accès.
2. Sur la page Stratégies Services de terminal Windows, cliquez sur

431
1
2
4. Dans la section Ressources, indiquez les serveurs auxquels cette
stratégie s’applique.
•
•
•
•
Pour autoriser l’accès aux serveurs indiqués dans la liste Ressources.
•
Refuser l’accès
Pour refuser l’accès aux serveurs indiqués dans la liste Ressources.
•
8. Sur la page Stratégies Services de terminal Windows, classez les
432

Figure 153 : Onglet Stratégies de ressources > Services de terminal Windows >
Accès > Nouvelle stratégie
Onglet Options
L’onglet Options permet de faire correspondre les adresses IP aux
noms d’hôte définis comme ressources dans vos stratégies de ressources
Services de terminal. Lorsque vous activez cette option, le système IVE
recherche l’adresse IP correspondant à chaque nom d’hôte spécifié dans
une stratégie de ressources Services de terminal Windows. Lorsqu’un
utilisateur tente d’accéder à un serveur en indiquant une adresse IP
au lieu du nom d’hôte, le système IVE compare l’adresse IP à sa liste
d’adresse IP mise en cache afin de déterminer si elle correspond à un
nom d’hôte. Si une correspondance est trouvée, le système IVE l’accepte
comme une correspondance de stratégie et applique l’action indiquée
pour la stratégie de ressources.

433
ressources Services de terminal Windows. Le système IVE applique ensuite
l’option à cette liste complète de noms d’hôtes.
5
Définition de l’option de ressources Services de terminal Windows
Pour définir l’option de ressources Services de terminal Windows :
Services de terminal Windows > Options.
Figure 154 : Onglet Stratégies de ressources > Services de terminal Windows >
Options
434

Configuration de la page Network Connect
L’option de mise à jour Network Connect fournit un accès distant de niveau
réseau, sécurisé et basé sur SSL, à toutes les ressources d’application de
l’entreprise, à l’aide du système IVE.
Important : Les utilisateurs doivent disposer des privilèges d’administrateur ou
d’utilisateur avec pouvoir sur leur PC Windows pour activer le système IVE pour
installer l’agent de Network Connect.
La page Stratégies de ressources > Network Connect contient les
onglets suivants :
Onglet Accès
Onglet Pools d’adresses IP
Onglet Réseaux de split-tunneling
Les onglets de la page Stratégies de ressources > Network Connect
permettent d’effectuer les opérations suivantes :
Écriture d’une stratégie de ressources pour l’accès à Network Connect
Écriture d’une stratégie de ressources Pool d’adresses IP Network Connect
Écriture d’une stratégie de ressources pour les réseaux de split-tunneling
Network Connect
Configuration de Network Connect
La fonctionnalité d’accès Network Connect exige que vous créiez des
stratégies de ressources qui déterminent à quelles ressources un utilisateur
peut accéder, ainsi que des pools IP à partir desquels le Système IVE peut
attribuer des adresses IP à l’agent côté client de Network Connect. En
outre, vous devez configurer votre routeur pour pointer vers l’adresse IP
du port interne du Système IVE en tant que passerelle pour les trajets des
réponses réseau aux demandes des clients.
Remarques concernant les grappes
Si vous utilisez une grappe multi-sites et que chaque nœud utilise
différentes adresses réseau, vous devez effectuer les opérations suivantes :
• Configurez une stratégie Pool d’adresses IP comptant pour les
différentes adresses réseau utilisées par chaque nœud de la grappe.
• Pour chaque nœud de la grappe, indiquez un filtre IP filtrant uniquement
les adresses réseau disponibles sur ce nœud.
• Créez un pointeur sur votre routeur vers l’adresse IP du port interne
de chaque nœud de grappe. Chaque adresse IP indiquée sur le routeur
doit se trouver sur le même sous-réseau que le nœud de grappe
correspondant.

435
Onglet Accès
L’onglet Accès vous permet d’écrire une stratégie de ressources Network
Connect qui détermine à quelles ressources les utilisateurs peuvent se
connecter à l’aide de Network Connect.
5 Écriture d’une stratégie de ressources pour l’accès à Network Connect
Pour écrire une stratégie de ressources pour l’accès à Network
Connect :
Network Connect > Accès.
2. Sur la page Network Connect - Stratégies d’accès, cliquez sur
1
2
stratégie s’applique. Reportez-vous à la section Définition de ressources
de type serveur pour plus d’informations.
• Autoriser l’accès
• Refuser l’accès
Pour refuser l’accès aux ressources indiquées dans la liste
Ressources.
• Utiliser des règles détaillées
Pour définir des règles de stratégies de ressources imposant des
restrictions supplémentaires aux ressources spécifiées. Reportez-vous
à la section Rédaction d’une règle détaillée pour plus d’informations.
8. Sur la page Network Connect Stratégies d’accès, triez les stratégies
en fonction de la manière dont vous souhaitez que le système IVE les
évalue. N’oubliez pas que lorsque le système IVE fait correspondre la
436

ressource demandée par l’utilisateur à une ressource de la liste
Ressources d’une stratégie (ou d’une règle détaillée), il exécute l’action
définie et cesse le traitement des stratégies.
Figure 155 : Stratégies de ressources > Network Connect > Accès > NomStratégie >
Nouvelle stratégie
Onglet Pools d’adresses IP
L’onglet Pools d’adresses IP vous permet d’écrire une stratégie de
ressources spécifiant la stratégie de ressources Network Connect qui définit
un pool IP à partir duquel le système IVE affecte une adresse IP aux
processus côté client et serveur pour une session Network Connect.
Lorsqu’un système IVE reçoit une demande d’un client en vue de démarrer
une session Network Connect, il attribue une adresse IP à l’agent Network
Connect côté client. Le système IVE affecte cette adresse IP sur la base des
stratégies Pool d’adresses IP qui s’appliquent au rôle d’un utilisateur.
Les nœuds d’une grappe multi-sites partagent les informations de
configuration, ce qui signifie que les systèmes IVE de différents réseaux

437
partagent un pool IP. Comme tout nœud IVE peut recevoir du client une
demande de démarrage de session Network Connect, vous devez définir
un filtre IP pour ce nœud qui filtre uniquement les adresses réseau qui sont
disponibles pour ce nœud. Lorsque le nœud de grappe reçoit une demande
de création d’une session Network Connect, il attribue les d’adresse IP pour
la session provenant du pool IP filtré.
5 Écriture d’une stratégie de ressources Pool d’adresses IP Network Connect
Pour écrire une stratégie de ressources Pool d’adresses IP Network
Connect :
Network Connect > Pools d’adresses IP.
2. Sur la page Network Connect - Stratégies d’adresses IP, cliquez sur
1
2
4. Dans la section Resources, définissez les adresses IP ou une plage
d’adresses IP que le système IVE pourra affecter aux clients qui exécutent
le service Network Connect. Pour obtenir plus d’informations sur la
manière d’écrire une page d’adresses IP, reportez-vous à Définition de
pools d’adresses IP.
Remarque : Si vous exécutez une grappe à plusieurs éléments sur un réseau
LAN ou WAN, vérifiez que le pool IP contient les adresses correctes pour
chaque nœud de la grappe. Puis configurez un filtre IP pour chaque nœud à
appliquer à ce pool IP.
•
•
•
7. Sur la page Network Connect - Stratégies d’adresses IP, triez les
stratégies en fonction de la manière dont vous souhaitez que le système
IVE les évalue. N’oubliez pas que lorsque le système IVE fait correspondre
la ressource demandée par l’utilisateur à une ressource de la liste
Ressources d’une stratégie (ou d’une règle détaillée), il exécute l’action
définie et cesse le traitement des stratégies.
438

Onglet Réseaux de split-tunneling
L’onglet Réseaux de split-tunneling vous permet d’écrire une stratégie de
ressources Network Connect qui spécifie les réseaux internes pour lesquels
le système IVE gère le trafic.
5 Écriture d’une stratégie de ressources pour les réseaux de split-tunneling
Network Connect
Pour écrire une stratégie de ressources pour les réseaux de
split-tunneling Network Connect :
Network Connect > Réseaux de split-tunneling.
2. Sur la page Network Connect - Stratégies de split-tunneling, cliquez
sur Nouvelle stratégie.
1
2
4. Dans la section Ressources, spécifiez une combinaison adresse
IP/masque de réseau pour chaque réseau dont le système IVE gère le
trafic. Vous pouvez également utiliser la notation « / » (barre oblique)
pour spécifier ces réseaux.
•
•
•
7. Sur la page Network Connect - Stratégies de split-tunneling, triez
les stratégies en fonction de la manière dont vous souhaitez que le
système IVE les évalue. N’oubliez pas que lorsque le système IVE fait
correspondre la ressource demandée par l’utilisateur à une ressource de
la liste Ressources d’une stratégie (ou d’une règle détaillée), il exécute
l’action définie et cesse le traitement des stratégies.

439
Figure 156 : Stratégies de ressources > Network Connect > Split-tunneling >
Nouvelle stratégie
440

Configuration de la page Réunions
Utilisez la page Stratégies de ressources > Réunions pour :
Rédaction d’une stratégie de ressources de notification par courriel
Secure Meeting .................................................................................... 442
L’option de mise à niveau Secure Meeting permet aux utilisateurs de
planifier et d’organiser des réunions interentreprises en ligne par le biais
d’une page Web intuitive. Pour plus d’informations, reportez-vous à la
section « Présentation générale de Secure Meeting », page 111.
Rédaction d’une stratégie de ressources Secure Meeting
Contrairement aux autres fonctions d’accès, Secure Meeting ne possède
qu’une seule stratégie de ressources qui s’applique à tous les rôles pour
lesquels cette fonction est activée. Lorsque vous activez la fonction d’accès
Secure Meeting pour un rôle, vous devez créer une stratégie de ressources
unique spécifiant si le système IVE doit activer les éléments suivants :
• adaptation de l’horaire des réunions à l’heure d’été/heure d’hiver ;
• présentations couleurs 32 bits pendant les réunions ;
• notifications automatiques par courriel aux personnes invitées par
Secure Meeting.
Si vous choisissez d’activer les notifications aux personnes invitées par
courriel, vous devez utiliser un serveur SMTP accessible à l’IVE pour router
les courriels des réunions.
Important :
Si vous activez un serveur SMTP en vue de l’utiliser avec Secure Meeting,
vous devez également définir un nom d’hôte virtuel pour votre Système
IVE dans la zone Nom d’hôte de l’onglet Système > Réseau > Vue
d’ensemble. Ce nom d’hôte est utilisé par Secure Meeting lors de
l’intégration d’URL de réunion dans les courriels de notification et d’appels
SMTP. Si votre système IVE correspond à plusieurs noms et si vous ne
définissez pas de nom d’hôte virtuel, il se peut que vous deviez préciser le
nom que les utilisateurs du système IVE utilisent pour ouvrir une session,
avant de créer une réunion. Par exemple, si votre système IVE correspond
à un nom interne (par exemple sales.acmegizmo.com) qui n’est accessible
que sur le pare-feu de votre entreprise et à un autre nom (par exemple
partners.acmegizmo.com) qui est accessible de partout, les utilisateurs
du système IVE doivent ouvrir une session avec partners.acmegizmo.com
avant de créer des réunions. Autrement, les invités externes au système
IVE recevront des notifications par courriel contenant des liens vers des
systèmes IVE auxquels ils ne peuvent se connecter.

441
5
Rédaction d’une stratégie de ressources de notification par courriel Secure Meeting
Pour rédiger une stratégie de ressources Secure Meeting :
Réunions.
2. Dans la liste Respectez le PHE dans ce fuseau horaire, indiquez le
fuseau horaire dans lequel l’IVE réside. Lorsque vous le faites, toutes
les réunions héritent des réglages de passage à l’heure d’été pour le
fuseau spécifié par défaut. Ou sélectionnez Ne respectez pas le PHE
pour empêcher l’IVE d’effectuer les adaptations relatives au passage à
l’heure d’été.
Remarque : Les utilisateurs peuvent choisir d’ignorer le passage à l’heure
d’été de leur fuseau horaire sur une base individuelle par le biais de leur page
Préférences. S’ils le font, toutes les modifications apportées sur la page
Règles des réunions ne les concernent pas.
3. Sélectionnez Activer les présentations 32 bits (couleurs réelles)
pour permettre aux utilisateurs d’effectuer des présentations couleurs
réalistes. Par défaut, Secure Meeting présente les applications aux
utilisateurs à l’aide de couleurs identiques à celles de l’ordinateur du
présentateur (jusqu’à 32 bits). Toutefois, si vous ne sélectionnez pas
cette option et si un utilisateur présente une application en couleurs
32 bits, Secure Meeting modifie l’image à 16 bits pour optimiser les
performances.
4. Dans la rubrique Notifications des réunions par courriel, sélectionnez
Activé pour activer un serveur de courriel SMTP. Ensuite :
•
Dans le champ SMTP Server, entrez l’adresse IP ou le nom d’hôte
d’un serveur SMTP qui peut acheminer le trafic courriel du système
aux personnes invitées à la réunion.
•
Dans les champs Nom d’utilisateur SMTP et Mot de passe SMTP,
entrez un nom d’utilisateur et un mot de passe valides pour le
serveur de courriel SMTP spécifié (si le serveur SMTP en a besoin).
•
Entrez votre adresse de courriel ou celle d’un autre administrateur
dans la zone Courriel SMTP. Secure Meeting utilisera cette adresse
comme adresse d’expéditeur si l’auteur d’un courriel ne configure pas
sa propre adresse sur le système IVE.
6. Configurez les paramètres Secure Meeting relatifs aux rôles individuels à
l’aide des instructions de « Onglet Réunions », page 373.
442

Figure 157 : Stratégies de ressources > Réunions

443
444

Configuration de la page Client de courriel
Utilisez la page Stratégies de ressources > Client de courrielpour :
Rédigez une stratégie de ressources du serveur de courriel Client de
courriel.................................................................................................. 445
L’option de mise à niveau Client de courriel sécurisé permet aux utilisateurs
d’accéder aux applications de courriel standard, telles que Outlook Express,
Netscape Communicator ou Eudora de Qualcomm, à l’aide d’un navigateur
Web standard et d’une connexion Internet. Pour plus d’informations,
reportez-vous à la section « Présentation du Client courriel », page 71.
Rédigez une stratégie de ressources Client de courriel
Lorsque vous activez la fonctionnalité d’accès Client de courriel pour un
rôle, vous devez créer une stratégie de ressources spécifiant des paramètres
de serveur de courriel. Contrairement aux autres fonctionnalités d’accès, le
client de courriel sécurisé ne possède qu’une seule stratégie de ressources
qui s’applique à tous les rôles pour lesquels cette fonction est activée. Si
vous choisissez d’activer le service de client de courriel pour les utilisateurs,
vous devez spécifier des informations sur le serveur de courriel IMAP/POP/SMTP
ainsi que des paramètres d’authentification des utilisateurs. Le système IVE
fait office de proxy de courriel pour ce serveur.
Le système IVE prend en charge différents serveurs de courriel. Vous
pouvez exiger que tous les utilisateurs emploient un serveur de courriel
par défaut ou leur permettre de définir un serveur de courriel SMTP et
IMAP ou POP personnalisé. Si vous permettez aux utilisateurs de spécifier
un serveur de courriel personnalisé, l’utilisateur doit définir les paramètres
du serveur par le biais de l’ IVE. Le serveur IVE assure la gestion des noms
d’utilisateurs de courriel, afin d’éviter tout conflit entre les noms.
5
Rédigez une stratégie de ressources du serveur de courriel Client de courriel
Pour rédiger une stratégie de ressources du serveur de courriel
Client de courriel :
1. Dans la Console Web, sélectionnez Stratégies de ressources > Client
de courriel.
2. Sous Prise en charge du client de courriel, cliquez sur Activé.
3. Sous Mode d’authentification du courriel, sélectionnez une option :
•
Session de courriel basée sur le Web
Les utilisateurs doivent suivre une procédure unique de configuration
du courriel pour le système IVE. Il leur faudra ensuite configurer leur
client de courriel de manière à employer le nom d’utilisateur et le mot
de passe générés lors de la configuration du courriel sur le système
IVE. Il est préférable que les utilisateurs ouvrent une session sur le
système IVE pour démarrer une session de courriel. (par défaut)
•
Authentification combinée IVE et serveur de courriel
Les utilisateurs configurent leur client de courriel de manière à
employer les informations d’identification suivantes :

445
•
Nom d’utilisateur : Le nom d’utilisateur ordinaire de l’utilisateur
sur le serveur de courriel, ou un nom d’utilisateur généré par lors
de la configuration du courriel sur le système IVE, si l’une des
situations suivantes est d’application :
- l’utilisateur possède plusieurs noms d’utilisateur sur des
serveurs de courriel ;
- le nom d’utilisateur sur le serveur IVE et sur le serveur de
courriel sont différents.
•
Mot de passe : Le mot de passe IVE de l’utilisateur, suivi
d’un caractère de séparation d’informations d’identification
personnalisable, suivi du mot de passe de l’utilisateur sur le
serveur de courriel.
Les utilisateurs ne doivent pas ouvrir une session sur le système IVE
pour utiliser le courriel.
•
Authentification du serveur de courriel uniquement
Les utilisateurs configurent leur client de courriel de manière à
employer leur nom d’utilisateur et leur mot de passe ordinaires sur le
serveur de courriel. Les utilisateurs ne doivent pas ouvrir une session
sur le système IVE pour configurer ou utiliser le courriel.
Remarque : Vos utilisateurs peuvent aisément déterminer leur nom
d’utilisateur et leur mot de passe pour le courriel en consultant la page
Configuration du courriel.
4. Dans la section Informations par défaut du serveur, entrez les
informations sur votre serveur de courriel. Le système IVE fait office
de proxy de courriel pour ce serveur.
Important : Vos ne pouvez définir qu’un serveur de courriel par défaut. Si les
utilisateurs doivent récupérer du courrier à partir de plusieurs serveurs SMTP
et POP ou IMAP, autorisez-les à définir des serveurs de courriel supplémentaires en activant la case à cocher appropriée. Si vous permettez aux utilisateurs de définir des serveurs personnalisés, ils devront entrer les informations
relatives au serveur une seule fois dans la page Configuration du courriel IVE.
5. Sous Informations sur la session de courriel, spécifiez :
•
la valeur du délai d’inactivité qui détermine le délai pendant lequel
la session de courriel peut rester inactive avant que l’IVE mette un
terme à la session du client de courriel ;
•
la valeur de la longueur de session max. qui détermine le délai
pendant lequel la session de courriel de l’utilisateur peut rester active
avant que l’IVE mette un terme à la session du client de courriel.
446

Figure 158 : Stratégies de ressources > Client de courriel

447
448

Configuration de la page Système
La page Maintenance > Système contient les onglets suivants :
Onglet Plate-forme ............................................................................... 449
Onglet Mise à niveau/Mise à niveau inférieure..................................... 450
Onglet Options ..................................................................................... 451
Onglet Systèmes d’installation ............................................................. 452
Vous pouvez utiliser les onglets de la page Maintenance > Système pour :
Réinitialisation, arrêt et test de la connectivité ..................................... 449
Installation d’un fichier de service logiciel Juniper................................ 450
Activation du contrôle de version et des cartes d’accélération............. 451
Téléchargement d’une application ou d’un service .............................. 453
Onglet Plate-forme
5
Réinitialisation, arrêt et test de la connectivité
La page Plate-forme vous permet de redémarrer, de réinitialiser, d’arrêter
et de tester la connectivité du système IVE, ainsi que de visualiser des
données du système (telles que le nom d’hôte IVE et la date de la dernière
réinitialisation). Reportez-vous à l’« Annexe A : », page 489 pour plus
d’informations sur le traitement des situations suivantes :
• Vous avez oublié vos données d’identification.
• Vous avez défini des limitations IP qui vous empêchent de vous
connecter à l’appareil.
• Vous voulez revenir à l’état précédent du système.
• Vous voulez rétablir les réglages d’usine.
Pour tester la connectivité du système, le redémarrer, le réinitialiser
ou l’arrêter, procédez comme suit :
1. Dans la Console Web, sélectionnez Maintenance > Système >
Plate-yforme.
2. Sélectionnez l’une des options suivantes :
•
Redémarrer le système IVE—Redémarre le système IVE.
•
Réinitialiser le système IVE—Réinitialise le système IVE.
•
Arrêter le système IVE—Arrête le système IVE, vous obligeant
ainsi à appuyer sur le bouton de réinitialisation de l’appareil pour
redémarrer le serveur. Notez que l’appareil reste sous tension après
l’arrêt du serveur.
•
Tester la connectivité au serveur—Envoie une commande ping
ICMP à partir du système IVE vers tous les serveurs que le système
peut utiliser et établit un rapport sur leur connectivité. L’état de
chaque serveur est indiqué dans la section Résultats de connectivité
au serveur.

449
Figure 159 : Maintenance > Système > Plate-forme
Onglet Mise à niveau/Mise à niveau inférieure
Vous pouvez installer un fichier de service différent en vous procurant le
logiciel sur le site Web du service d’assistance Juniper, puis en le chargeant
par l’intermédiaire de la Console Web. Les fichiers de service sont chiffrés
et signés, ce qui permet au serveur IVE de n’accepter que les fichiers
valides publiés par Juniper. Cette mesure évite au serveur IVE d’accepter
des fichiers contenant des chevaux de Troie.
Cette fonctionnalité est généralement utilisée pour effectuer une mise à
jour vers de nouvelles versions du logiciel système. Vous pouvez aussi
l’utiliser pour revenir à une version antérieure, ou pour supprimer tous vos
paramètres de configuration actuelle et repartir « de zéro ». Vous pouvez
aussi revenir à une date système antérieure à l’aide de la console série,
comme l’explique la section « Retour à un état système antérieur »,
page 490.
Remarque : L’installation d’un fichier de service peut prendre plusieurs minutes et
nécessite la réinitialisation du système IVE. Les données système existantes
étant sauvegardées au cours de cette procédure, vous pouvez réduire la durée
d’installation en vidant votre journal système avant de vous lancer dans l’installation d’un fichier de service.
5
Installation d’un fichier de service logiciel Juniper
Avant d’installer un nouveau fichier de service, vous devez exporter la
configuration système actuelle, les comptes d’utilisateurs, les signets
utilisateur et les informations de stratégie en suivant les instructions de
la section « Configuration de la page Importer/Exporter », page 455.
Pour installer un fichier de service :
1. Visitez le site Web du service d’assistance Juniper et procurez-vous le
fichier de service de votre choix.
2. Dans la Console Web, sélectionnez Maintenance > Système > Mettre
à niveau/mettre à niveau inférieur.
3. Cliquez sur Parcourir pour rechercher sur votre disque dur le fichier de
service téléchargé depuis le site du service d’assistance. Si vous voulez
supprimer vos paramètres de configuration actuels tout en continuant à
450

employer la même version du système IVE, choisissez le fichier de
service actuellement installé sur ce système.
4. Si vous revenez à une version antérieure du fichier de service, ou si
vous voulez supprimer vos paramètres de configuration, cliquez sur
Supprimer toutes les données du système et des utilisateurs.
Important : Si vous utilisez cette fonctionnalité pour revenir en arrière et
supprimer du système toutes les données sur le système et les utilisateurs,
vous devrez rétablir la connectivité réseau avant de reconfigurer le système.
Notez, en outre, qu’il est impossible de revenir à une version IVE antérieure à
la version 3.1.
5. Sélectionnez le fichier de service, puis cliquez sur Installer
maintenant.
Figure 160 : Maintenance > Système > Mettre à niveau/mettre à niveau inférieur
Onglet Options
5
Activation du contrôle de version et des cartes d’accélération
Pour garantir l’actualité et la sécurité de votre système, le système IVE
peut vous informer automatiquement de la disponibilité de correctifs et
de mises à jour essentiels au logiciel. Pour ce faire, il communique les
données suivantes à Juniper : le nom de votre société, un hachage MD5
de vos paramètres de licence, ainsi que des informations décrivant la
version actuelle du logiciel. La page Options vous permet également
d’activer des cartes d’accélération pour optimiser les performances.
Remarque : Les paramètres des cartes d’accélération ne sont visibles que si
vous avez acheté un système IVE A5000 équipé de la carte correspondante.
Pour activer les mises à jour automatiques et les cartes d’accélération,
1. Dans la Console Web, sélectionnez Maintenance > Système > Options.

451
2. Cochez la case Contrôle automatique de la version pour être informé
automatiquement de la disponibilité de correctifs et de mises à jour
essentiels pour le logiciel.
Important : Pour votre sécurité, il est vivement conseillé d’activer ce service
automatique ; en cas de besoin, vous pouvez toutefois le désactiver.
3. Cochez la case Activer la compression gzip pour réduire la quantité de
données envoyées aux navigateurs prenant en charge la compression
HTTP. Pour certains utilisateurs, cela peut se traduire par des
téléchargements de pages plus rapides.
4. Cochez la case Accélérateur SSL pour confier à la carte d’accélération
les opérations de chiffrement et de déchiffrement des négociations SSL
réalisées habituellement par le système (facultatif).
5. Cochez la case Accélérateur ZIP pour compresser toutes les données
HTML, JavaScript et CSS utilisées lors d’une navigation Web ou une
exploration de fichiers (facultatif).
Figure 161 : Maintenance > Système > Options
Onglet Systèmes d’installation
L’onglet Systèmes d’installation comprend plusieurs applications et un
service téléchargeables. Vous pouvez télécharger l’application ou le service
en tant que fichier exécutable de Windows, lequel vous permet de :
•
Distribuer le fichier sur des ordinateurs clients à l’aide d’outils de
diffusion de logiciels. Cette option vous permet d’installer l’application
ou le service en question sur des ordinateurs clients dont les utilisateurs
ne disposent pas de privilèges de niveau Administrateur, qui sont
obligatoires pour procéder à l’installation.
•
Envoyer l’exécutable dans un référentiel sécurisé de sorte que les
utilisateurs qui possèdent les autorisations de niveau Administrateur
puissent télécharger et installer la version appropriée.
Ces options vous permettent de contrôler la version de l’application ou du
service qui s’exécute sur des ordinateurs clients.
452

5
Téléchargement d’une application ou d’un service
• Service d’installation Juniper : le service d’installation Juniper
permet aux utilisateurs de télécharger, d’installer, de mettre à niveau
et d’exécuter des applications côté client sans posséder de privilèges
de niveau Administrateur. Reportez-vous à l’« Annexe F : », page 551
pour plus d’informations sur la compatibilité de W-SAM et W-SAM avec
les antivirus NetBIOS, ainsi que sur l’alimentation de systèmes clients.
• Vérificateur d’hôte : le vérificateur d’hôte est un agent côté client qui
effectue des contrôles de sécurité de point final sur les hôtes qui se
connectent au système IVE.
Important : Si vous décidez de distribuer le vérificateur d’hôte, veillez à
désactiver l’option Mise à jour automatique du vérificateur d’hôte
de la page Système > Configuration > Sécurité > Vérificateur
d’hôte (voir « Définition de restrictions Vérificateur d’hôte », page 144). Dans
le cas contraire, le système IVE téléchargera sur l’ordinateur d’un utilisateur
l’application Vérificateur d’hôte, dont la version risque de ne pas être identique
à la version distribuée.
• Programme d’installation autonome de W-SAM : ce programme
comprend la version de base de W-SAM.
• Programme d’installation autonome de W-SAM avec NetBios : ce
programme comprend la version NetBIOS de W-SAM, laquelle permet
aux utilisateurs de connecter des lecteurs sur des ressources Windows.
• Programme d’installation de W-SAM avec scripts : cet outil permet
de démarrer W-SAM manuellement à partir d’une ligne de commande ou
automatiquement à partir d’un fichier par lots, d’une application qui
effectue un appel shell ou d’un service Win32. Pour plus d’informations
sur les arguments de ligne de commande et les codes de retour,
reportez-vous à l’« Annexe E : », page 545.
Important : Si vous décidez de distribuer W-SAM, veillez à désactiver l’option
Mise à jour automatique du gestionnaire d’applications sécurisé de la page
Utilisateurs > Rôles > NomRôle > SAM > Options (voir « Définition
des options générales du gestionnaire d’applications sécurisé Windows »,
page 361) et à enregistrer les modifications. Si cette option est activée, le
système IVE télécharge automatiquement une version plus récente de
W-SAM sur le client, ce qui se traduira par un manque d’uniformité au niveau
des versions de W-SAM utilisées. De plus, si un utilisateur ne dispose pas
des privilèges d’administration, la mise à jour échouera et il se peut que
W-SAM ne fonctionne plus.
• Network Connect : cette option fournit aux utilisateurs une expérience
de VPN sans client. Elle fait office de mécanisme d’accès distant supplémentaire aux ressources de l’entreprise, à l’aide du système IVE.
Pour télécharger une application ou un service :
1. Dans la Console Web, sélectionnez Maintenance > Système >
Programmes d’installation.
2. Cliquez sur le lien Télécharger à droite de l’application ou du service
que vous voulez télécharger. La boîte de dialogue Téléchargement de
fichier s’affiche.

453
3. Cliquez sur le bouton Enregistrer de la boîte de dialogue Téléchargement
de fichier. La boîte de dialogue Enregistrer sous s’affiche.
4. Choisissez l’emplacement approprié dans la boîte de dialogue
Enregistrer sous.
5. Cliquez sur le bouton Enregistrer de la boîte de dialogue Enregistrer
sous.
Figure 162 : Maintenance > Système > Programmes d’installation
454

Configuration de la page Importer/Exporter
La page Maintenance > Importer/Exporter contient les onglets
suivants :
Onglet Configuration ............................................................................ 455
Onglet Comptes d’utilisateur ................................................................ 458
Onglet Importer/Exporter XML.............................................................. 459
Vous pouvez utiliser les onglets de la page Maintenance >
Importer/Exporter pour :
Exportation d’un fichier de configuration du système ........................... 455
Importation d’un fichier de configuration du système ........................... 455
Exportation de comptes d’utilisateurs locaux ....................................... 458
Importation de comptes d’utilisateurs locaux........................................ 458
Exportation de paramètres réseau, de rôles et de stratégies de
ressources ............................................................................................ 459
Importation de paramètres réseau, de rôles et de stratégies de
ressources ............................................................................................ 462
Onglet Configuration
Cet onglet permet d’exporter ou d’importer un fichier de configuration du
système. Le fichier de configuration du système contient tous les paramètres
relatifs au système entier et au réseau. Pour plus d’informations sur la
définition d’un programme d’archivage de la configuration du serveur,
reportez-vous à la section « Planification de l’archivage des données
système sur un serveur FTP externe », page 467.
5
Exportation d’un fichier de configuration du système
Pour exporter un fichier de configuration du système :
1. Dans la Console Web, cliquez sur Système > Importer/Exporter >
Configuration.
2. Dans la zone Exporter, entrez un mot de passe si vous voulez protéger
le fichier de configuration à l’aide d’un mot de passe.
3. Cliquez sur Enregistrer la configuration sous pour enregistrer le fichier.
Important : Lorsque vous exportez un fichier de configuration Access Series
FIPS, des informations relatives à l’environnement sécurisé de l’appareil sont
contenues dans le fichier. C’est pourquoi vous avez besoin d’une carte
administrateur associée à l’environnement sécurisé pour vous permettre
d’importer correctement le fichier de configuration vers un autre appareil.
5
Importation d’un fichier de configuration du système
Lors de l’importation d’un fichier de configuration du système, vous pouvez
exclure le certificat du serveur et les paramètres d’adresse IP ou de réseau
du serveur IVE des informations importées. Par exemple, pour configurer

455
plusieurs systèmes IVE derrière un système d’équilibrage de charge,
importez toutes les données à l’exception de l’adresse IP. Pour configurer
un système IVE comme serveur de sauvegarde, importez toutes les
données à l’exception du certificat numérique et des paramètres réseau.
Remarque :
• Lors de l’importation d’un fichier de configuration contenant des
licences, le système IVE donne la priorité à toute licence existante
installée actuellement sur le système IVE. L’importation des licences
archivées intervient uniquement s’il n’existe actuellement aucune
licence sur le système IVE.
• Vous pouvez importer un fichier de configuration Access Series FIPS
dans une machine non Access Series FIPS, et inversement, à condition
de ne pas inclure le certificat et l’environnement sécurisé dans
l’importation.
Pour importer un fichier de configuration :
Configuration.
2. Indiquez si vous voulez importer le certificat du serveur. Le certificat
n’est pas importé, sauf si vous activez la case à cocher Importer
certificat(s) de serveur ?.
Important : Lorsque vous importez un certificat de serveur vers un système
Access Series FIPS, vous devez choisir un certificat qui utilise une clé privée
compatible FIPS. Afin d’assurer la compatibilité FIPS, choisissez un certificat
et les clés privées d’environnement sécurisé correspondantes qui ont été
générées sur un système Access Series FIPS.
3. Sélectionnez l’une des options d’importation suivantes :
•
Importer tout (sauf le(s) certificat(s) de serveur) : cette option
importe tous les paramètres de configuration à l’exception des
certificats de serveur.
•
Importer tout sauf l’adresse IP : cette option n’exclut que
l’adresse IP du fichier de configuration importé. Si vous excluez
l’adresse IP, l’adresse IP du serveur ne changera pas après
l’importation du fichier.
•
Importer tout sauf les paramètres réseau : cette option importe
tous les paramètres de configuration à l’exception des paramètres
réseau. Si vous excluez les paramètres réseau, les informations
figurant sur la page Système >Paramètres réseau (paramètres
port interne, port externe et trajet statique) ne changent pas après
l’importation du fichier.
•
Importer uniquement le(s) certificat(s) de serveur : cette option
importe uniquement les certificats de serveur. Veillez à activer la case
à cocher Importer certificat(s) de serveur ? si vous utilisez cette
option.
4. Accédez au fichier de configuration, nommé system.cfg par défaut.
5. Entrez le mot de passe que vous avez défini pour le fichier. Si vous
n’avez défini aucun mot de passe avant d’exporter le fichier, laissez
cette zone à blanc.
456

6. Cliquez sur Importer la configuration.
Important : Lorsque vous importez un certificat de serveur et son environnement
sécurisé correspondant vers un appareil Access Series FIPS, vous devez finir
d’initialiser l’environnement sécurisé à l’aide de la console série et d’une carte
administrateur associée au nouvel environnement sécurisé importé. Pour plus
d’informations, reportez-vous à la section « Restauration d’un environnement
sécurisé archivé (Access Series FIPS uniquement) », page 497.
Figure 163 : Maintenance > Importer/Exporter > Configuration

457
Onglet Comptes d’utilisateur
Cet onglet permet d’exporter ou d’importer des comptes d’utilisateurs
locaux. Le fichier des comptes d’utilisateurs contient tous les utilisateurs
locaux que vous avez définis pour les serveurs d’authentification locaux.
Pour plus d’informations sur la définition d’un programme d’archivage pour
les enregistrements d’utilisateurs, reportez-vous à la section « Planification
de l’archivage des données système sur un serveur FTP externe »,
page 467.
5
Exportation de comptes d’utilisateurs locaux
Pour exporter un fichier de configuration du système :
Configuration.
2. Dans la zone Exporter, entrez un mot de passe si vous voulez protéger
le fichier de configuration à l’aide d’un mot de passe.
3. Cliquez sur Enregistrer la configuration sous pour enregistrer le fichier.
5
Importation de comptes d’utilisateurs locaux
Pour importer des comptes d’utilisateurs locaux :
Comptes d’utilisateur.
2. Accédez au fichier de configuration, nommé user.cfg par défaut.
3. Entrez le mot de passe que vous avez défini pour le fichier. Si vous
n’avez défini aucun mot de passe avant d’exporter le fichier, laissez cette
zone à blanc.
4. Cliquez sur Importer la configuration.
458

Figure 164 : Maintenance > Importer/Exporter > Comptes d’utilisateur
Onglet Importer/Exporter XML
Les pages Maintenance > Importer/Exporter > Importer/Exporter XML
permettent d’exporter les paramètres réseau, les rôles d’administrateur
délégués, les rôles d’utilisateur et les stratégies de ressources sélectionnés
depuis un système IVE, puis de les importer sur un autre IVE. Si vous
disposez de Juniper Networks NetScreen-SA Central Manager, vous pouvez
également utiliser la fonction d’envoi de configuration (page 463) pour copier
les rôles et les stratégies de ressources d’un système IVE vers un autre.
Important : Il est déconseillé de modifier la structure d’un fichier XML avant de
l’importer dans un système IVE. Vous pouvez modifier les valeurs dans le fichier
XML, mais toute modification apportée à la structure risque de provoquer des
erreurs de configuration difficiles à détecter et à résoudre.
5
Exportation de paramètres réseau, de rôles et de stratégies de ressources
Pour exporter des paramètres réseau, des rôles et des stratégies de
ressources, procédez comme suit :
1. Dans la Console Web, cliquez sur Maintenance > Importer/Exporter >
Importer/Exporter XML > Exporter.
2. Cliquez sur le bouton Sélectionner tout pour exporter tous les
paramètres réseau, les rôles et les stratégies. Dans le cas contraire :
1
Activez la case à cocher Exporter les paramètres réseau pour
exporter les paramètres réseau, y compris les paramètres de port
interne et externe.
2
Activez la case à cocher Exporter Rôles d’administrateur délégués
pour copier des rôles d’administration déléguée, puis :
•
Sélectionnez Tous les rôles pour copier tous les rôles
d’administration déléguée.

459
•
3
4
Cliquez sur Rôles sélectionnés, sélectionnez des rôles dans la
liste Rôles disponibles, puis cliquez sur Ajouter pour ne copier
que certains rôles.
Activez la case à cocher Exporter Rôles d’utilisateur pour copier des
rôles d’utilisateur, puis :
•
Sélectionnez Tous les rôles pour copier tous les rôles
d’administrateur délégués.
•
Cliquez sur Rôles sélectionnés, sélectionnez des rôles dans la
liste Rôles disponibles, puis cliquez sur Ajouter pour ne copier
que certains rôles.
Activez la case à cocher Exporter Stratégies de ressource pour
copier des stratégies de ressources. Cochez ensuite les cases
correspondant aux types de stratégies que vous souhaitez copier
(stratégies de contrôle d’accès, de mise en cache ou de réécriture
sélective, par exemple).
3. Cliquez sur Exporter... pour enregistrer les informations dans un
fichier XML.
460

Figure 165 : Maintenance > Importer/Exporter > Importer/Exporter XML > Exporter

461
5
Importation de paramètres réseau, de rôles et de stratégies de ressources
Pour importer des paramètres réseau, des rôles et des stratégies de
ressources, procédez comme suit :
1. Dans la Console Web, cliquez sur Maintenance > Importer/Exporter >
Importer/Exporter XML > Importer.
2. Accédez au répertoire contenant le fichier de données XML à importer.
3. Cochez la case Remplacer et copier les paramètres pour remplacer
(et non ajouter) les paramètres en double sur le système IVE cible par
ceux situés dans le fichier XML et les copier (facultatif).
4. Cliquez sur Importer. La page Résultats de l’importation XML
s’affiche et présente des informations sur les paramètres réseau, les
rôles et les stratégies de ressources importés.
5. Cliquez sur OK pour revenir à la page Importer.
Figure 166 : Maintenance > Importer/Exporter > Importer/Exporter XML > Importer
462

Configuration de la page Pousser Config
5
Copie de rôles et de stratégies de ressources entre des systèmes IVE
La page Maintenance > Pousser Config vous permet de copier des
rôles d’administration déléguée, des rôles d’utilisateur et des stratégies de
ressources d’un système IVE vers un autre à l’aide de la fonction Pousser
Configuration. Cette dernière garantit une gestion aisée de la configuration
à l’échelle de l’entreprise, sans qu’il faille procéder à une mise en grappe
des Système IVE. La fonction Pousser Configuration vous permet ainsi de
déterminer, avec précision, les rôles d’administration déléguée, les rôles
d’utilisateur et les types de stratégies de ressources que vous souhaitez
copier à l’échelle de l’entreprise. Nous attirons votre attention sur le fait
que cette fonction n’est disponible qu’avec la solution Central Manager
(page 51).
Pour pousser une configuration, vous devez créer des comptes d’administrateurs sur les deux systèmes IVE. La fonction Pousser Configuration utilise
ensuite les informations de l’administrateur pour ouvrir automatiquement
une session sur le système IVE cible lors de l’envoi de la configuration.
Veuillez tenir compte des points suivants lors de la création des comptes
d’administrateurs :
• Vous devez établir une correspondance avec le rôle .Administrateurs,
ce qui se traduit par la création d’un « super administrateur » disposant
de tous les privilèges d’administration.
• Le compte d’administrateur IVE cible doit utiliser une authentification
par mot de passe statique ou des jetons à deux facteurs n’utilisant pas
l’authentification de type demande d’accès/réponse. (Par exemple, les
certificats, Soft ID et Defender Authentication ne sont pas pris en charge.)
• L’administrateur ne doit pas être obligé de sélectionner un rôle pour
ouvrir une session sur le système IVE cible. Veuillez tenir compte de
cette remarque lors de la configuration du compte d’administrateur.
(Par exemple, vous ne pouvez pas faire correspondre un utilisateur
à plusieurs rôles, y compris le rôle d’administrateur de poussée de
configuration, puis omettre de fusionner ces rôles de façon permissive.)
Il est conseillé de créer un compte destiné exclusivement aux
administrateurs de poussée de configuration afin de s’assurer que
ces derniers ne soient pas tenus de choisir un rôle lors de la procédure
d’ouverture de session et de distinguer clairement les actions des
administrateurs de poussée de configuration dans vos fichiers journaux.
Pour pousser des ressources et des rôles sélectionnés d’un système
IVE vers un autre, procédez comme suit :
1. Créez des comptes d’administrateurs sur les deux Système IVE. Pour
plus d’informations, reportez-vous à la section « Configuration de la
page Délégation », page 299. (Voir les restrictions ci-dessus.)
2. Dans la Console Web, sélectionnez Maintenance > Pousser Config.
3. Sous URL de connexion cible hôte, entrez l’adresse URL de
l’administrateur du système IVE vers lequel vous souhaitez pousser
des rôles et des stratégies de ressources. Par exemple :
https://10.10.10.10/admin.

463
4. Entrez le nom d’utilisateur, le mot de passe et le domaine d’authentification
d’un compte d’administrateur du système IVE cible qui fournit des
privilèges d’administration complets.
5. Cochez la case Ecraser les copies des paramètres si vous souhaitez
écraser, sur le système IVE cible, des rôles d’utilisateur, des rôles
d’administration déléguée et des stratégies de ressources qui portent
le même nom qu’un objet équivalent sur le système IVE source.
6. Cochez la case Rôles d’administrateur délégués pour copier des rôles
d’administration déléguée sur le système IVE cible, puis :
•
Sélectionnez Tous les rôles pour copier tous les rôles d’administration
déléguée sur le système IVE cible.
•
Cliquez sur Rôles sélectionnés, sélectionnez des rôles dans la liste
Rôles disponibles, puis cliquez sur Ajouter pour ne copier que
certains rôles sur le système IVE cible.
7. Cochez la case Rôles d’utilisateur pour copier des rôles d’utilisateur sur
le système IVE cible, puis :
•
Sélectionnez Tous les rôles pour copier tous les rôles d’administrateur
délégués sur le système IVE cible.
•
Cliquez sur Rôles sélectionnés, sélectionnez des rôles dans la liste
Rôles disponibles, puis cliquez sur Ajouter pour ne copier que
certains rôles sur le système IVE cible.
8. Cochez la case Stratégies de ressources pour copier des stratégies
de ressources sur le système IVE cible. Cochez ensuite les cases
correspondant aux types de stratégies que vous souhaitez copier
(stratégies de contrôle d’accès, de mise en cache ou de réécriture
sélective, par exemple).
9. Cliquez sur Pousser configuration pour copier les ressources et les
rôles sélectionnés sur le système IVE cible. Le système IVE affiche
l’état de l’opération d’envoi au bas de la page Maintenance > Pousser
config du système IVE source.
464

Figure 167 : Maintenance > Pousser Config

465
466

Configuration de la page Archivage
La page Maintenance > Archivage contient l’onglet suivant :
Onglet Serveur FTP.............................................................................. 467
Onglet Sauvegardes locales................................................................. 470
Vous pouvez utiliser les onglets de la page Maintenance > Archivage pour :
Planification de l’archivage des données système sur un serveur FTP
externe ................................................................................................. 467
Enregistrement d’un instantané de votre configuration actuelle........... 470
Rétablissement de l’état du système ou du compte d’utilisateur à
partir d’un instantané ............................................................................ 470
Onglet Serveur FTP
5
Planification de l’archivage des données système sur un serveur FTP externe
Vous pouvez définir un archivage quotidien ou hebdomadaire des fichiers
journaux du système, des fichiers de configuration et des comptes
d’utilisateurs. Le système IVE emploie le protocole FTP pour archiver les
fichiers sur le serveur et dans le répertoire de votre choix, aux jours et à
l’heure indiqués. Les fichiers de configuration et les comptes d’utilisateur
sont chiffrés afin de garantir la sécurité de leur transmission par FTP et de
leur stockage sur d’autres serveurs.
Le nom des fichiers d’archive indique la date et l’heure d’archivage, comme
ci-dessous :
• Événements système : Log d’accès NetScreen-date-heure
• Événements utilisateur : Log d’événements NetScreen-date-heure
• Événements administrateur : Log d’administrateur NetScreen-date-heure
• Fichiers de configuration du système : Conf NetScreen-date-heure
• Comptes d’utilisateur : Comptes d’utilisateur NetScreen-date-heure
Pour définir les paramètres d’archivage :
1. Dans la Console Web, sélectionnez Maintenance > Archivage >
Archivage FTP.
2. Dans la zone Archive Paramètres, indiquez le serveur de destination,
un répertoire et vos données d’identification FTP sur ce serveur. N’entrez
pas de lettre d’unité dans le nom du répertoire de destination, comme
suit : netscreen/log.
•
Sur un ordinateur UNIX, entrez un chemin absolu ou relatif, en
fonction du répertoire de base de l’utilisateur.
•
Sur un ordinateur Windows, entrez un chemin relatif au dossier
ftproot.

467
3. Dans la zone Programme d’archivage, activez la case à cocher en
regard d’un ou plusieurs des composants suivants afin de les archiver :
•
Archivage du journal des événements (page 91)
•
Archivage du journal d’accès des utilisateurs (page 91)
•
Archivage du journal d’accès des administrateurs (page 91)
•
Archivage de la configuration du système (page 455)
•
Archivage des comptes d’utilisateur (page 458)
4. Définissez la fréquence d’archivage pour chaque composant sélectionné.
Parmi les options pour chaque composant, planifiez l’archivage en utilisant
n’importe quelle combinaison de jours de la semaine, week-end inclus.
5. Définissez l’heure précise à laquelle les données doivent être archivées,
ou choisissez un archivage toutes les heures, ce qui produit 24 fichiers
possédant un horodatage exclusif.
6. Sélectionnez un filtre de journaux dans la liste déroulante. Reportezvous à la section « Onglet Filtres », page 216 pour plus d’informations
sur les types de filtres.
7. Indiquez si vous voulez que les fichiers journaux des événements
système, des accès et des administrateurs soient effacés après
l’archivage (facultatif).
8. Entrez un mot de passe si vous voulez crypter les archives des
configurations système ou des comptes d’utilisateur au moyen d’un
mot de passe (facultatif).
468

Figure 168 : Maintenance > Archivage > Serveur FTP

469
Onglet Sauvegardes locales
5
Enregistrement d’un instantané de votre configuration actuelle
Central Manager pour systèmes Access Series et Meeting Series vous
permet d’enregistrer des instantanés de votre configuration système et de
vos comptes d’utilisateurs actuels directement dans le système IVE. Vous
pourrez ensuite utiliser ces configurations pour rétablir le système IVE ou
une grappe de systèmes IVE dans l’état spécifié dans le fichier chiffré.
Notez que ces fichiers contiennent uniquement des informations de
configuration ; ils ne comportent aucun journal.
Vous pouvez enregistrer un maximum de 5 instantanés de configurations
système et de 5 instantanés de comptes d’utilisateurs dans le système IVE.
Si vous essayez de dépasser cette limite, le système IVE remplace l’instantané
le plus ancien par le nouveau. Si vous ne souhaitez pas écraser l’instantané
le plus ancien, choisissez-en un autre avant d’enregistrer le plus récent.
Pour enregistrer la configuration système actuelle, procédez
comme suit :
Sauvegardes locales.
2. Cliquez sur Enregistrer la configuration ou Enregistrez les comptes
d’utilisateur. Le système IVE ajoute un nouvel instantané à la liste ;
il nomme cet instantané à l’aide de la date et de l’heure actuelles.
5
Rétablissement de l’état du système ou du compte d’utilisateur à partir d’un
instantané
Vous pouvez utiliser des instantanés système ou utilisateur pour mettre à
jour un seul système IVE ou une grappe. Si vous optez pour la restauration
d’un système IVE activé dans le cadre d’une grappe, ce système IVE
« envoie » automatiquement la configuration vers tous les autres membres
de la grappe. La grappe est désactivée jusqu’à ce que tous ses membres
aient mis à jour leurs paramètres à l’aide de la configuration de
l’instantané. Ils doivent ensuite redémarrer et réactiver la grappe.
Pour remplacer votre configuration par les paramètres d’un fichier
de sauvegarde, procédez comme suit :
Sauvegardes locales.
2. Cochez la case en regard du fichier de sauvegarde de la configuration
système ou du compte d’utilisateur que vous souhaitez utiliser pour
restaurer votre système.
3. Si vous effectuez une restauration à partir d’une configuration système,
indiquez si vous souhaitez ou non utiliser les paramètres relatifs au
certificat, à l’adresse IP et au réseau contenus dans le fichier de
configuration. Veuillez tenir compte des points suivants si vous procédez
à une mise à niveau :
•
470

d’un système Access Series FIPS—Si vous décidez d’importer un
certificat, vous devez opter pour un certificat qui utilise une clé privée
compatible FIPS. Afin d’assurer la compatibilité FIPS, choisissez un
certificat et les clés privées d’environnement sécurisé correspondantes
qui ont été générées sur un système Access Series FIPS.
•
d’une grappe complète—Il est conseillé d’être prudent lors de
l’intégration des paramètres réseau. Il se peut que les adresses IP
et d’autres paramètres ne s’appliquent pas à tous les membres de la
grappe. Dès lors, l’intercommunication peut s’avérer impossible au
sein de la grappe si les paramètres sont envoyés à tous les membres.
4. Cliquez sur Restaurer. Le système IVE doit redémarrer pour que les
modifications soient prises en compte. Après le redémarrage, vous
devez vous reconnecter au système IVE afin d’accéder à la Console Web.
Figure 169 : Maintenance > Archivage > Sauvegardes locales

471
472

Configuration de la page Dépannage
La page Maintenance > Dépannage contient les onglets suivants :
Onglet Sessions d’utilisateurs > Simulation ......................................... 473
Sessions d’utilisateurs > Suivi des stratégies....................................... 477
Onglet Enregistrement des sessions.................................................... 480
Onglet Instantané du système.............................................................. 481
Onglet Vidage TCP............................................................................... 482
Onglet Commandes.............................................................................. 484
Onglet Débogage à distance ................................................................ 484
Onglet Journal de débogage ................................................................ 485
Vous pouvez utiliser les onglets de la page Maintenance > Dépannage
pour :
Simulation d’une session d’utilisateur................................................... 473
Enregistrement d’un fichier de trace de stratégie ................................. 478
Permet d’enregistrer un fichier de trace à des fins de débogage ......... 480
Permet de capturer un instantané de l’état du système IVE. ............... 481
Permet de capturer les en-têtes des paquets réseau........................... 482
Permet d’exécuter une commande ARP, ping, traceroute ou nslookup ..484
Active le débogage à distance pour le service d’assistance Juniper.... 484
Activation du journal de débogage ....................................................... 485
Onglet Sessions d’utilisateurs > Simulation
5
Simulation d’une session d’utilisateur
Cet onglet vous permet de résoudre les problèmes en simulant les
événements à la source de ces problèmes. L’onglet Simulation vous
permet de créer des sessions d’utilisateur virtuelles sans obliger les
utilisateurs finaux réels à ouvrir une session sur le système IVE et recréer
leurs problèmes. Cet onglet vous offre également la possibilité de tester de
nouvelles stratégies d’authentification et d’autorisation avant de les utiliser
dans un environnement de production.
Pour utiliser le simulateur, vous devez indiquer les événements que
vous souhaitez simuler (vous pouvez, par exemple, créer une session
virtuelle dans laquelle « Jean Untel » ouvre une session sur le royaume
« Utilisateurs » à 6H00 à partir d’un navigateur Netscape). Vous devez
ensuite désigner les événements à enregistrer et à consigner dans la
simulation. Les principaux types d’événements que vous pouvez consigner
dans le journal de simulation sont au nombre de trois :
• Pré-authentification
Le système IVE simule des contrôles de pré-authentification, aux niveaux
du rôle et du royaume, pour l’utilisateur virtuel et enregistre les
messages de journal qui en résultent dans le journal de simulation.

473
• Correspondance de rôles
Le système IVE simule des contrôles de correspondance de rôles,
détermine le rôle de la simulation en fonction des règles de correspondance
établies et enregistre les messages de journal qui en résultent dans le
journal de simulation.
• Stratégies de ressources
Le système IVE simule le traitement des stratégies de ressources pour
l’utilisateur virtuel et enregistre les messages de journal qui en résultent
dans le journal de simulation.
Pour simuler une session d’utilisateur, procédez comme suit :
1. Dans la Console Web, sélectionnez Maintenance > Dépannage >
Sessions d’utilisateur > Simulation.
2. Entrez le nom de la requête dans le champ Nom de la requête.
3. Dans le champ Username, entrez le nom de l’utilisateur IVE dont vous
souhaitez simuler l’expérience. Remarque : vous pouvez utiliser un
caractère générique (*) en lieu et place d’un nom d’utilisateur. Par
exemple, si vos utilisateurs ouvrent une session sur un serveur
anonyme, vous pouvez utiliser le caractère générique (*) dans la
mesure où il vous est impossible de connaître le nom d’utilisateur
interne que le système IVE leur attribuera.
4. Dans le menu déroulant Royaume, sélectionnez le royaume de
l’utilisateur IVE dont vous souhaitez simuler l’expérience.
5. Pour déterminer si le système IVE applique un type de stratégie de
ressource spécifique à la session d’un utilisateur :
•
Entrez la ressource que vous souhaitez simuler dans le champ
Ressource.
•
Sélectionnez un type de stratégie dans la liste déroulante
Ressource.
•
Précisez les types de stratégies que vous souhaitez consigner à l’aide
des cases à cocher de la section Événements à consigner.
Si vous souhaitez, par exemple, déterminer si un utilisateur est en
mesure d’accéder au site Web de Yahoo, tapez « http://www.yahoo.com »
dans le champ Ressource, sélectionnez Web dans la liste déroulante,
puis cochez la case Accès dans la section Événements à consigner.
6. Pour déterminer si un utilisateur peut ouvrir une session sur le système
IVE, cochez la case Pré-authentification.
7. Pour déterminer s’il est possible d’établir une correspondance entre un
utilisateur et un rôle spécifique, cochez la case Correspondance de
rôles. Remarque : cette option vérifie si les résultats de la correspondance
de rôles sont consignés dans le journal du simulateur, et non si le
système IVE exécute des règles de correspondance de rôles. En effet,
l’exécution de ces règles est systématique, même si vous ne cochez pas
cette case.
8. Dans la section Variables, utilisez une combinaison de texte et de
variables afin de créer une expression personnalisée reflétant les
mêmes valeurs que celles de la session réelle de l’utilisateur confronté
à un problème. Par exemple, si vous souhaitez créer une session
dans laquelle l’utilisateur se connecte au système IVE à 6H00, entrez
« time = 6:00 AM » dans le champ Variables. Pour plus d’informations
sur la création d’une expression personnalisée, reportez-vous à
l’« Annexe B : », page 499. Pour visualiser la syntaxe d’une variable
474

donnée, cliquez sur la flèche située en regard de celle-ci dans le
Dictionnaire de variables.
Important : Si vous ne parvenez pas à créer une expression personnalisée
contenant l’adresse IP de l’utilisateur virtuel, le système IVE opte pour votre
adresse IP actuelle. Notez également que si vous utilisez la variable de rôle
pour spécifier le rôle de l’utilisateur virtuel (rôle = « Users », par exemple), le
système IVE ignore les résultats en provenance des règles de correspondance
de rôles et affecte l’utilisateur virtuel au(x) rôle(s) que vous avez indiqué(s).
9. Sélectionnez l’une des options suivantes :
•
Exécuter la simulation—Exécute la simulation indiquée et crée un
fichier journal à l’écran.
•
Enregistrer la requête—Enregistre la requête.
•
Enregistrer la requête et exécuter la simulation—Exécute la
simulation indiquée et l’enregistre en vue d’une utilisation ultérieure.
10. Après avoir exécuté la simulation, sélectionnez Enregistrer le journal
sous pour enregistrer les résultats dans un fichier texte.

475
Figure 170 : Maintenance > Dépannage > Session d’utilisateur > Simulation
476

Sessions d’utilisateurs > Suivi des stratégies
Cet onglet vous permet de résoudre les problèmes en opérant un suivi
des événements lorsqu’un utilisateur ouvre une session sur un royaume.
Lorsque vous enregistrez un fichier de trace de stratégie pour un utilisateur,
le système IVE affiche des entrées de journal répertoriant les actions de
l’utilisateur. Il indique également la raison pour laquelle l’accès à diverses
fonctions (accès à un serveur Web ou de fichiers, par exemple) lui a été
accordé ou refusé.
Vous pouvez, par exemple, créer un royaume « Ressources humaines » et
créer deux règles de correspondances de rôles au sein de ce royaume :
• All Employees
Dans ce rôle, vous pouvez uniquement activer la navigation sur le Web.
Pour faire correspondre des utilisateurs au rôle, utilisez la règle : if
username = *, map to « All Employees. » En d’autres termes, tout
utilisateur autorisé à ouvrir une session sur le royaume, se voit associer
automatiquement au rôle « All Employees ».
• Human Resources Staff
Dans ce rôle, vous activez les fonctionnalités Web, fichier et réunion.
Pour faire correspondre des utilisateurs au rôle, utilisez la règle : if LDAP
group=human resources, map to « Human Resources Staff. » En d’autres
termes, un utilisateur doit appartenir au groupe « humanresources » sur
le serveur d’authentification LDAP pour être associé au rôle.
Peut-être penserez-vous que Jean doit être membre des deux rôles.
Cependant, lorsqu’il ouvre une session sur le système IVE, il ne peut
pas accéder à la fonctionnalité d’exploration de fichiers ou Secure Meeting
activée dans le rôle « Human Resources Staff ». Lorsque vous activez la
fonction de suivi des stratégies afin de déterminer pourquoi Jean ne peut
pas accéder à toutes les fonctionnalités escomptées, les entrées de journal
suivantes peuvent s’afficher :
Figure 171 : Maintenance > Dépannage > Sessions d’utilisateurs > Suivi des
stratégies > Fichier de suivi des stratégies

477
La consultation du fichier de trace vous permet de déterminer le problème à
l’entrée PTR10218 :
joe(human resources realm)-No match on rule ‘group.humanresources’
Cette entrée indique que le système IVE n’a pas associé Jean au rôle
« Human Resource Staff », car il n’est pas membre du groupe
« humanresources » sur le serveur LDAP.
5
Enregistrement d’un fichier de trace de stratégie
Utilisez cet onglet si vos utilisateurs rencontrent des problèmes pour
accéder aux fonctions qu’ils s’attendent à utiliser dans leurs rôles. Les
événements consignés dans le fichier de trace de stratégie peuvent vous
aider à diagnostiquer ces problèmes. Notez que les journaux d’accès des
utilisateurs sont établis uniquement pour les stratégies sélectionnées sous
Événements à consigner.
Pour créer un fichier de trace de stratégie, procédez comme suit :
Sessions d’utilisateur > Suivi des stratégies.
2. Dans le champ Utilisateur, entrez le nom de l’utilisateur IVE dont vous
souhaitez opérer le suivi. Vous pouvez utiliser un caractère générique
(*) en lieu et place d’un nom d’utilisateur. Par exemple, si vos utilisateurs
ouvrent une session sur un serveur anonyme, vous pouvez utiliser le
caractère générique (*) dans la mesure où il vous est impossible de
connaître le nom d’utilisateur interne que le système IVE leur attribuera.
3. Sélectionnez le royaume de l’utilisateur dans le champ Royaume. Notez
que le système IVE ne vous autorise pas à sélectionner un royaume qui
établit une correspondance avec un serveur d’authentification anonyme.
4. Sous Événements à consigner, sélectionnez les types d’événements
que vous souhaitez écrire dans le fichier journal de suivi des stratégies.
5. Cliquez sur Commencer l’enregistrement. Après avoir lancé l’enregistrement, invitez l’utilisateur à ouvrir une session sur le système IVE.
6. Cliquez sur Afficher le journal pour visualiser les entrées du journal.
7. Cliquez sur Arrêter l’enregistrement lorsque vous avez obtenu
suffisamment d’informations.
8. Passez en revue les messages du fichier journal afin de déterminer la
cause du comportement imprévu. Si vous ne parvenez pas à identifier le
problème et à le résoudre, cliquez sur Enregistrer le journal sous pour
enregistrer une copie du fichier journal sur votre réseau. Soumettez
ensuite le fichier au service d’assistance de Juniper.
9. Cliquez sur Effacer le journal pour vider le contenu du fichier journal
ou cliquez sur Supprimer la trace pour effectuer non seulement cette
opération mais, en sus, supprimer les entrées des champs Nom
d’utilisateur et Royaume.
478

Figure 172 : Maintenance > Dépannage > Sessions d’utilisateur > Suivi des
stratégies

479
Onglet Enregistrement des sessions
5
Permet d’enregistrer un fichier de trace à des fins de débogage
Cet onglet permet d’enregistrer un fichier de trace qui consignera les
actions des utilisateurs accédant à un site Web qui ne s’affiche pas
correctement via le système IVE. Si vous employez cette option, le
système IVE force l’utilisateur indiqué à ouvrir une nouvelle session,
puis il commence à enregistrer toutes ses actions. Notez que le système
IVE avertit l’utilisateur que ses actions sont enregistrées.
Pour enregistrer un fichier de trace :
Enregistrement des sessions.
2. Entrez le nom de l’utilisateur.
3. Cochez la case Ignorer le cache du navigateur pour ne pas inclure
ces informations supplémentaires dans l’enregistrement (facultatif).
4. Cliquez sur Commencer l’enregistrement.
5. Invitez l’utilisateur à accéder au site Web qui pose un problème.
6. Cliquez sur Arrêter l’enregistrement.
7. Cliquez sur dsrecord.log pour télécharger le fichier sur un ordinateur du
réseau. Vous pouvez supprimer les données confidentielles à l’aide d’un
éditeur de texte.
8. Envoyez ensuite le fichier par courrier électronique au service
d’assistance Juniper.
Figure 173 : Maintenance > Dépannage > Enregistrement des sessions
480

Onglet Instantané du système
5
Permet de capturer un instantané de l’état du système IVE.
Cet onglet permet de capturer un instantané de l’état du système IVE.
Lorsque vous utilisez cette option, le système IVE exécute divers utilitaires
afin de récolter des détails sur son état, comme la quantité de mémoire
utilisée, les performances de page, le nombre de processus en cours
d’exécution, la durée d’activité du système, le nombre de descripteurs de
fichiers ouverts, les ports en cours d’utilisation et les messages de journal
Access Series FIPS. Le système IVE peut stocker dix instantanés, regroupés
dans un fichier de « vidage » chiffré que vous pouvez télécharger sur un
ordinateur du réseau, puis envoyer par courriel au service d’assistance
de Juniper.
Pour capturer un instantané de l’état du système IVE :
Instantané du système.
2. Cochez la case Inclure la configuration du système pour inclure les
informations relatives à la configuration du système dans l’instantané
(facultatif).
3. Cochez la case Inclure et effacer le journal de débogage pour inclure,
dans votre instantané système, le fichier journal créé par le biais de
l’onglet Journal de débogage (page 485).
4. Cliquez sur Capturer un instantané.
5. Lorsque la capture de l’instantané est terminée, cliquez sur Télécharger
afin de télécharger le fichier sur un ordinateur du réseau.
7. Lorsque vous avez terminé, cliquez sur Supprimer pour supprimer
l’instantané.

481
Figure 174 : Maintenance > Dépannage > Instantané du système
Onglet Vidage TCP
5
Permet de capturer les en-têtes des paquets réseau.
Cet onglet permet de capturer les en-têtes des paquets réseau. Les résultats
sont enregistrés dans un fichier de « vidage » chiffré que vous pouvez
télécharger sur un ordinateur du réseau, puis envoyer par courrier au
service d’assistance de Juniper.
Pour capturer les en-têtes de paquets réseau :
Vidage TCP.
2. Indiquez sur quel port IVE vous voulez que les en-têtes de paquets
réseau soient capturés.
3. Désactivez le mode Promiscuité de manière à ne capturer que les
paquets destinés au système IVE.
4. Cliquez sur Démarrer la capture.
5. Cliquez sur Arrêter la capture pour arrêter le processus de capture et
créer un fichier chiffré.
6. Cliquez sur Télécharger pour télécharger le fichier sur un ordinateur
du réseau.
482

Figure 175 : Maintenance > Dépannage > Vidage TCP (création du fichier de vidage)
Figure 176 : Maintenance > Dépannage > Vidage TCP (après la création du fichier
de vidage)

483
Onglet Commandes
5
Permet d’exécuter une commande ARP, ping, traceroute ou nslookup
Cet onglet permet d’exécuter des commandes UNIX afin de tester la
connectivité réseau du système IVE.
Pour exécuter des commandes UNIX afin de tester la connectivité
réseau du système IVE :
Commandes.
2. Dans la liste Commande, choisissez la commande à exécuter.
3. Dans la zone Serveur cible, entrez l’adresse IP du serveur cible.
4. Cliquez sur OK pour exécuter la commande.
Figure 177 : Maintenance > Dépannage > Commandes
Onglet Débogage à distance
5
Active le débogage à distance pour le service d’assistance Juniper.
Cet onglet permet d’autoriser le service d’assistance de Juniper à exécuter
des outils de débogage sur votre système IVE de production. Pour activer
cette option, vous devez contacter le service d’assistance de Juniper afin de
vous procurer un code de débogage et un hôte auquel votre système IVE se
connectera.
Pour permettre le débogage à distance :
1. Contactez le service d’assistance de Juniper pour définir les conditions
d’une session de débogage à distance.
Débogage à distance.
3. Entrez le code de débogage fourni par le service d’assistance de Juniper.
4. Entrez le nom d’hôte fourni par le service d’assistance de Juniper.
5. Cliquez sur Permettre le débogage pour permettre à l’équipe du
service d’assistance de Juniper d’accéder au système IVE.
484

6. Avertissez le service d’assistance de Juniper de la possibilité d’accéder à
votre système IVE.
7. Cliquez sur Interdire le débogage quand leservice d’assistance de
Juniper vous informe de la fin de la session de débogage à distance.
Figure 178 : Maintenance > Dépannage > Débogage à distance
Onglet Journal de débogage
5
Activation du journal de débogage
L’onglet Journal de débogage vous permet de créer un journal de débogage
à envoyer au service d’assistance de Juniper. N’utilisez cet onglet que si le
service d’assistance vous y invite.
Pour activer le journal de débogage, procédez comme suit :
Débogage à distance.
2. Cochez la case Activer le journal de débogage.
3. Indiquez la taille du journal, le niveau de détail, ainsi que le code
d’événement spécifié par le service d’assistance de Juniper.
4. Sélectionnez l’onglet Maintenance > Dépannage > Instantané
du système.
5. Cochez la case Inclure et effacer le journal de débogage.
6. Cliquez sur Capturer un instantané pour créer un fichier contenant
le journal de débogage.
7. Cliquez sur Télécharger.
8. Joignez le fichier d’instantané à un message électronique et envoyez-le
au service d’assistance de Juniper.

485
Figure 179 : Maintenance > Dépannage > Journal de débogage
486

Pièce 4
Informations supplémentaires
Cette section fournit des informations de configuration supplémentaires
pour les produits Access Series.
Table des matières
Utilisation de la console série IVE ........................................................ 489
Rédaction d’expressions personnalisées ............................................. 499
Pages d’ouverture de session personnalisables .................................. 513
Interface client du vérificateur d’hôte.................................................... 536
Utilisation du lanceur W-SAM............................................................... 545
Utilisation du service d’installation Juniper ........................................... 551
XML des graphes du tableau de bord Central Manager....................... 553
Configuration des options de gestion des accès .................................. 561
Authentification et autorisation : organigramme ................................... 557

487
488

Annexe A.
Utilisation de la console série IVE
Cette annexe explique comment se connecter à la console série d’un
Système IVE et d’y accomplir les tâches prises en charge. Les rubriques
abordées sont les suivantes :
Connexion à la console série d’un Système IVE.................................. 489
Retour à un état système antérieur ...................................................... 490
Rétablissement des réglages d’usine du Système IVE ........................ 492
Exécution des tâches de restauration courantes.................................. 494
Créer des cartes administrateur supplémentaires (Access Series FIPS
uniquement) ..............................................................................................495
Créer un nouvel environnement sécurisé (Access Series FIPS
uniquement) ......................................................................................... 496
Restauration d’un environnement sécurisé archivé (Access Series
FIPS uniquement).....................................................................................497
5
Connexion à la console série d’un Système IVE
Avant d’accomplir des tâches à l’aide de la console série d’un Système IVE,
vous devez la connecter à une console de terminal ou un ordinateur portable.
Pour vous connecter à la console série d’un Système IVE :
1. Reliez une console de terminal ou un ordinateur portable au Système
IVE à l’aide d’un câble croisé null-modem. Ce câble est fourni avec le
produit. N’employez pas de câble série direct.
2. Configurez un utilitaire d’émulation de terminal, comme HyperTerminal,
de manière à employer les paramètres de connexion série suivants :
•
9600 bits par seconde
•
8 bits, pas de parité (8N1)
•
1 bit d’arrêt
•
Pas de contrôle de flux

489
3. Appuyez sur Entrée jusqu’à ce que la console série IVE s’affiche.
Remarque : Si vous utilisez un système Access Series FIPS et que vous êtes
connecté à la console série pour la première fois, vous devez également régler le
commutateur de mode du module cryptographique sur la position I (mode
d’initialisation).
Figure 180 : Console série IVE
5
Retour à un état système antérieur
Remarque : Vous pouvez aussi revenir à un état système antérieur à l’aide de la
Console Web, comme l’explique la rubrique « Installation d’un fichier de service
logiciel Juniper », page 450.
Le Système IVE stocke des informations sur la configuration actuelle du
système et sur l’état précédent de celle-ci. Si vous mettez à niveau votre
fichier serveur et que vous décidez qu’il est nécessaire de revenir à l’état
antérieur de votre appareil, il est conseillé de procéder comme indiqué
ci-dessous :
1. Recherchez les fichiers de configuration du système et des utilisateurs
précédemment exportés et contenant les données d’état souhaitées.
(Cette étape suppose que vous avez sauvegardé les données du
système et des utilisateurs en exportant les fichiers via le menu
Maintenance > Importer/Exporter de la Console Web.)
2. Téléchargez le fichier de service du système d’exploitation IVE souhaité
à partir du site d’assistance de Juniper : http://www.juniper.net/support/
3. Importez le fichier de service du système d’exploitation IVE sélectionné
via le menu Maintenance > Système > Mise à niveau/ Mise à
niveau inférieure de la Console Web.
4. Importez les fichiers de configuration du système et des utilisateurs
choisis à l’étape 1.
S’il vous est impossible d’accéder à la Console Web, connectez-vous à la
console série afin d’effectuer un retour en arrière du système, jusqu’à l’état
antérieur du système.
490

Remarque :
- Si vous n’avez pas encore procédé à la mise à niveau du système d’exploitation
IVE, il n’existe aucun état antérieur auquel vous pourriez revenir, et cette option
n’est pas disponible. Si vous avez effectué une mise à niveau du système
d’exploitation IVE, les données de configuration du système et des utilisateurs
créées après cette mise à niveau seront effacées, sauf si vous exportez les
fichiers de configuration les plus récents avant d’effectuer le retour en arrière,
puis que vous les importez par la suite.
- Si vous utilisez un système Access Series FIPS et que vous voulez revenir à un
environnement sécurisé antérieur, suivez les instructions de la section
« Récupération d’un environnement sécurisé archivé (Access Series FIPS
uniquement) » à la page 232.
Pour rétablir l’état antérieur du système d’exploitation IVE :
1. Connectez-vous à la console série du Système IVE (page 489).
2. Dans une fenêtre de navigateur, ouvrez une session dans la Console Web.
3. Choisissez Maintenance > Système > Plate-forme.
4. Sur la page Redémarrer maintenant puis revenez à la fenêtre de
l’utilitaire de console. Un message vous avertit que le système est en
train de redémarrer.
5. Après quelques instants, vous êtes invité à appuyer sur la touche Tab
pour accéder aux options. Appuyez sur la touche Tab. Quand vous êtes
invité à définir la configuration à charger, tapez rollback puis appuyez
sur la touche Entrée.
Après avoir cliqué sur Redémarrer maintenant sur la page Maintenance > Système >
Plate-forme.
Remarque :
- Si vous attendez plus de cinq secondes pour entrer votre choix, la configuration
actuelle du système est automatiquement chargée et vous devrez revenir à
la Console Web puis cliquez sur Redémarrer maintenant pour recommencer le
processus.
- Si vous avez déjà effectué un retour en arrière du système, l’option correspondante n’est plus disponible tant que vous ne procédez pas à une nouvelle mise
à niveau du système d’exploitation IVE.
L’état de retour en arrière du serveur est affiché à l’écran. À la fin de
l’opération, vous êtes invité à appuyer sur la touche Entrée pour modifier
les paramètres du système. Vous revenez ainsi aux options de configuration

491
initiales. Lorsque vous avez terminé d’entrer les données, il suffit de fermer
la fenêtre de l’utilitaire.
5
Rétablissement des réglages d’usine du Système IVE
Dans de rares cas, il peut être nécessaire de rétablir les réglages d’usine
initiaux du Système IVE. Avant d’employer cette option avancée de
restauration du système, contactez le service d’assistance de Juniper
(http://www.juniper.net/support/). Si possible, exportez les données
de configuration du système et des utilisateurs les plus récentes avant
d’effectuer le rétablissement des réglages d’usine.
Pour rétablir les réglages d’usine :
1. Connectez-vous à la console série (page 489).
2. Dans une fenêtre de navigateur, ouvrez une session dans la Console Web.
3. Choisissez Maintenance > Système > Plate-forme.
4. Sur la page Redémarrer maintenant puis revenez à la fenêtre de
l’utilitaire de console. Un message vous avertit que le système est en
train de redémarrer.
5. Après quelques instants, vous êtes invité à appuyer sur la touche Tab
pour accéder aux options. Appuyez sur la touche Tab. Quand vous êtes
invité à définir la configuration à charger, tapez factory-reset puis
appuyez sur la touche Entrée.
Après avoir cliqué sur Redémarrer maintenant sur la page Maintenance > Système >
Plate-forme.
Remarque : Si vous attendez plus de cinq secondes avant de faire votre choix, la
configuration actuelle du système est chargée automatiquement. Vous devrez
revenir à la Console Web et cliquer sur Redémarrer maintenant pour redémarrer la procédure.
6. Lorsque vous êtes invité à confirmer le rétablissement des réglages
d’usine, tapez proceed puis appuyez sur la touche Entrée.
492

Après la décision de rétablissement des réglages d’usine.
Le système commence à rétablir les réglages d’origine de l’appareil et
affiche plusieurs écrans de données. Après plusieurs minutes, vous êtes
invité à appuyer sur la touche Tab pour choisir les options de
configuration.
Après le rétablissement des réglages d’usine
7. Lorsque vous êtes invité à appuyer sur la touche Tab, vous pouvez :
•
attendre le démarrage automatique de l’option par défaut (current), ou
•
appuyer sur Tab, taper current puis appuyer sur Entrée.
Vous êtes ensuite invité à entrer les paramètres de configuration initiaux
de l’appareil. Pour plus d’informations sur la procédure à employer,
reportez-vous au guide de démarrage rapide fourni avec le produit.
Ce guide est également disponible en format PDF sur le site du service
d’assistance de Juniper (http://www.juniper.net/support/).
Au terme de la procédure d’initialisation, vous pouvez effectuer la mise à
niveau vers la version la plus récente du système d’exploitation IVE, puis
importer les fichiers de configuration du système et des utilisateurs
enregistrés précédemment, afin de rétablir le dernier état fonctionnel
de votre appareil.

493
5
Exécution des tâches de restauration courantes
Si vous avez oublié votre nom d’utilisateur et/ou votre mot de passe
d’administrateur IVE, si vous êtes dans l’impossibilité d’accéder à votre
appareil en raison des paramètres d’erreurs de configuration, ou si vous
avez modifié l’adresse IP du Système IVE et que vous ne parvenez plus
à accéder à celui-ci, vous pouvez modifier les paramètres de l’appareil
à l’aide de la console série. Pour ce faire, il vous suffit de suivre les
instructions de la rubrique « Connexion à la console série d’un Système
IVE », page 489 puis de choisir la tâche de configuration appropriée.
• Outils et paramètres réseau
Vous permet de modifier les paramètres réseau standard, d’imprimer
une table de routage, d’imprimer ou d’effacer un cache ARP, d’envoyer
un ping à un autre serveur, de tracer une route vers un serveur, de
supprimer des routes statiques et d’ajouter une entrée ARP.
• Création d’un nom d’utilisateur et d’un mot de passe
d’administrateur.
Vous permet de créer un nouveau compte de super-administrateur.
• Affichage du journal
Vous permet d’afficher la configuration du système, les journaux des
utilisateurs ou les journaux d’accès de l’administrateur par le biais de la
console série. Remarquez que vous devez entrer « q » pour retourner
aux options de la console série avant d’afficher les journaux.
• Réamorçage/Fermeture/Redémarrage de ce système IVE
Vous permet de réamorcer, de fermer ou de redémarrer le Système IVE
sans utiliser la Console Web.
• Basculement de la protection du mot de passe pour la console
Vous permet de protéger la console série par mot de passe. Lorsque vous
basculez cette option pour l’activer, seuls les super-administrateurs ont
une autorisation d’accès.
• Création d’une session de super-administrateur
Vous permet de créer une session de restauration sur la Console Web,
même si vous avez configuré l’Système IVE pour bloquer l’accès de tous
les administrateurs. Lorsque vous sélectionnez cette option, le système
génère un jeton temporaire valide pendant trois minutes. Entrez l’URL
suivante dans une fenêtre de navigateur : https://<ive-host>/danana/auth/recover.cgi. Ensuite, entrez le jeton temporaire lorsque vous
êtes invité à vous connecter à la Console Web.
Important : Lorsque vous sélectionnez cette option, le Système IVE empêche
les autres administrateurs de se connecter à la Console Web avant que vous
vous soyez connecté à l’URL spécifiée et que vous ayez initié une session à
l’aide de votre jeton. Le système bloque les autres tentatives de connexion, de
manière à ce que vous puissiez corriger les éventuels problèmes de configuration
survenus sans générer de conflit avec une autre session.
494

• Remplacement du jeu de cartes administrateur (Access Series
FIPS uniquement)
Vous permet de créer des cartes administrateur supplémentaires pour un
environnement sécurisé. Reportez-vous à la rubrique suivante pour plus
de détails.
Remarque : Si vous utilisez un système Access Series FIPS et que vous avez
appuyé sur l’interrupteur d’effacement du module cryptographique, réglez le
commutateur du mode de ce dernier en position O (mode de fonctionnement) puis
redémarrez le système. Il est inutile d’accéder à la console série pour restauration.
5
Créer des cartes administrateur supplémentaires (Access Series FIPS uniquement)
Afin de créer des cartes administrateur supplémentaires pour un environnement sécurisé, vous devez avoir un accès physique aux éléments suivants :
• Un module cryptographique qui appartient à l’environnement sécurisé.
• Une carte administrateur pré-initialisée avec l’environnement sécurisé
• Une ou plusieurs cartes à puce ou cartes administrateur non formatées
contenant des données que vous pouvez écraser en toute sécurité
Remarque : Si vous avez besoin de cartes à puce supplémentaires, veuillez
contacter le distributeur IVE.
Pour créer des cartes administrateur supplémentaires pour un
environnement sécurisé :
cryptographique qui appartient à l’environnement sécurisé. Le port se
trouve sur le panneau avant du système IVE.
2. Insérez une carte administrateur pré-initialisée pour l’environnement
sécurisé dans le lecteur de carte à puce, les contacts se faisant face.
3. Réglez le commutateur de mode du module cryptographique O (mode
de fonctionnement) s’il n’est pas déjà sur cette position.
4. Connectez-vous à la console série (page 489).
5. Sélectionnez Remplacer le jeu de cartes administrateur dans la liste
des tâches de configuration.
6. Entrez la phrase de passe pour l’environnement sécurisé.
7. Lorsque vous y êtes invité, insérez dans le lecteur de carte à puce, une
carte à puce ou une carte administrateur non formatée dont vous pouvez
écraser les données en toute sécurité. Les contacts de la carte doivent se
faire face.
8. Entrez les informations d’initialisation supplémentaires qui vous sont
demandées.
9. Répétez l’étape 7 pour toutes les cartes à créer.
10. Conservez au moins une carte administrateur dans un emplacement
sécurisé.

495
5
Créer un nouvel environnement sécurisé (Access Series FIPS uniquement)
Vous ne pouvez pas commencer à utiliser un ordinateur Access Series
FIPS avant d’avoir créé un environnement sécurisé sur celui-ci. Dans
certains cas, vous devrez cependant écraser l’environnement sécurisé et
le remplacer par un nouvel environnement. Par exemple, si vous perdez
une carte administrateur, il est conseillé de créer un environnement sécurisé
totalement nouveau pour éviter qu’une source non approuvée ne trouve la
carte et n’accède à votre environnement sécurisé. Il vous faudra peut-être
créer aussi un nouvel environnement sécurisé si vous ne vous souvenez pas
de la phrase de passe de votre environnement sécurisé d’origine.
Afin de créer un nouvel environnement sécurisé, vous devez avoir un accès
physique aux éléments suivants :
• Le module cryptographique qui appartient à l’environnement sécurisé
• Une ou plusieurs cartes à puce ou cartes administrateur non formatées
contenant des données que vous pouvez écraser en toute sécurité
Important : Vos anciennes cartes administrateur ne fonctionneront pas avec le
nouvel environnement sécurisé jusqu’à ce que vous les reformatiez avec les données correspondant au nouvel environnement sécurisé. Remarquez également
que lorsque vous définissez le commutateur sur I et lancez l’installation, vous
devez terminer la procédure. Dans le cas contraire, l’environnement sécurisé
n’est initialisé qu’en partie, ce qui le rend inutilisable.
Pour plus d’informations sur le remplacement d’un environnement sécurisé
par un environnement sécurisé existant, reportez-vous à la rubrique
« Restauration d’un environnement sécurisé archivé (Access Series
FIPS uniquement) », page 497.
Pour créer un nouvel environnement sécurisé sur un système IVE
autonome :
2. Insérez dans le lecteur de carte à puce, une carte à puce ou une carte
administrateur non formatée contenant des données que vous pouvez écraser
en toute sécurité. Les contacts de la carte doivent se faire face.
3. Réglez le commutateur de mode du module cryptographique en position
I (mode d’initialisation).
4. Accédez à la console série du système IVE et redémarrez le système
(page 489).
6. Replacez le commutateur de mode du module cryptographique en
position O (mode de fonctionnement) lorsque vous y êtes invité.
7. Créez un nouveau certificat de serveur qui partage la clé privée du
nouvel environnement sécurisé (page 158).
496

Pour créer un nouvel environnement sécurisé sur un environnement
en grappe :
1. Connectez-vous à la Console Web d’un nœud de grappe que vous voulez
reformater en fonction d’un nouvel environnement sécurisé. Pour accéder
à la Console Web d’un nœud, entrez son adresse IP interne suivie de
« /admin » dans un navigateur. Par exemple : https://x.x.x.x/admin
2. Dans l’onglet Système > Mise en grappes > État, activez la case à
cocher en regard du nom du nœud dans la colonne Membres de la
grappe, puis cliquez sur Désactiver.
3. Initialisez le membre de la grappe avec un environnement sécurisé.
Cas de figure possibles :
•
S’il s’agit du premier nœud de la grappe, créez un nouvel
environnement sécurisé (page 496).
•
S’il s’agit d’un nœud ultérieur de la grappe, initialisez l’ordinateur
avec l’environnement sécurisé existant de la grappe (page 498).
4. Revenez à l’onglet Système > Mise en grappes > État du nœud,
activez la case à cocher en regard du nom du nœud dans la colonne
Membres de la grappe, puis cliquez sur Activer.
5. Suivez cette procédure pour chaque nœud de la grappe.
5
Restauration d’un environnement sécurisé archivé (Access Series FIPS uniquement)
Dans de rares cas, vous devrez peut-être restaurer votre système à l’aide
d’un environnement sécurisé archivé. L’environnement sécurisé archivé
peut être une version antérieure ou la même version de l’environnement
sécurisé qui existe déjà sur votre système. Pour restaurer votre système,
vous devrez avoir accès au fichier de configuration du système (par défaut
system.cfg) qui contient l’environnement sécurisé archivé et le certificat
correspondant.
Par ailleurs, si vous écrasez l’environnement sécurisé et le remplacez par
un autre environnement sécurisé, vous devez avoir un accès physique aux
• Tous les modules cryptographiques qui appartiennent à l’environnement
sécurisé
• Une carte administrateur pré-initialisée avec l’environnement sécurisé et
une phrase de passe administrateur à importer
Pour importer un environnement sécurisé existant dans un système
IVE autonome :
1. Importez le fichier de configuration du système qui contient l’environnement sécurisé archivé et le certificat correspondant dans le système IVE
(page 455). Si nécessaire, initialisez ensuite l’environnement sécurisé.
Si le fichier de configuration contient une archive :

497
•
du même environnement sécurisé que celui déjà présent sur
l’ordinateur, aucune configuration supplémentaire n’est nécessaire ;
•
d’un environnement sécurisé différent de celui déjà présent sur
l’ordinateur, vous devez initialiser le nouvel environnement sécurisé.
Important : Si vous importez un fichier de configuration contenant un environnement sécurisé différent, notez que vos cartes administrateur existantes ne
fonctionneront pas avec l’environnement sécurisé importé jusqu’à ce que vous
les reformatiez avec les données correspondant au nouvel environnement
sécurisé. Remarquez également que lorsque vous définissez le commutateur
sur I et lancez l’installation, vous devez terminer la procédure. Dans le cas
contraire, l’environnement sécurisé n’est initialisé qu’en partie, ce qui le rend
inutilisable.
3. Insérez une carte administrateur pré-initialisée avec l’environnement
sécurisé importé dans le lecteur de carte à puce, les contacts se
faisant face.
4. Réglez le commutateur de mode du module cryptographique en position
I (mode d’initialisation).
5. Accédez à la console série du système IVE et redémarrez le système
(page 489).
7. Replacez le commutateur de mode du module cryptographique en
position O (mode de fonctionnement) lorsque vous y êtes invité.
Pour importer un environnement sécurisé existant dans une grappe :
1. Connectez-vous à la Console Web du nœud de grappe que vous
voulez reformater en fonction d’un nouvel environnement sécurisé.
Pour accéder à la Console Web d’un nœud, entrez son adresse IP
interne suivie de « /admin » dans un navigateur. Par exemple :
https://x.x.x.x/admin
2. Dans l’onglet Système > Mise en grappes > État, activez la case à
cocher en regard du nom du nœud dans la colonne Membres de la
grappe, puis cliquez sur Désactiver.
3. Importez un environnement sécurisé archivé dans le membre de la
grappe, de la manière décrite à la rubrique précédente.
4. Au terme de l’installation, revenez à l’onglet Système > Mise en
grappes > État du nœud, activez la case à cocher en regard du nom du
nœud dans la colonne Membres de la grappe, puis cliquez sur Activer.
Suivez cette procédure pour chaque nœud de la grappe.
498

Annexe B.
Rédaction d’expressions personnalisées
Le système IVE permet de rédiger des expressions personnalisées qui
sont évaluées dans les règles de correspondance de rôles, les stratégies
de ressources et les requêtes de filtrage de journaux. Une expression
personnalisée est une combinaison de variables que le système IVE évalue
en tant qu’objet booléen ayant une valeur vraie, fausse ou erreur. Les
expressions personnalisées facilitent le contrôle des accès aux ressources
en permettant de définir des instructions complexes pour l’évaluation des
stratégies et les requêtes dans les journaux. Vous pouvez rédiger des
expressions personnalisées dans les formats suivants :
Syntaxe des expressions personnalisées
variable opérateurComparaison
isEmpty (variable)
isUnknown (variable)
(exprPerso)
NOT exprPerso
! exprPerso
exprPerso OR exprPerso
exprPerso || exprPerso
exprPerso AND exprPerso
exprPerso && exprPerso
variable
valeurSimple
(valeurSimple)
(ORValeurs)
(ANDValeurs)
(heure TO heure)
(jour TO jour)

499
où :
variable est une variable système. Le nom d’une variable est une chaîne délimitée
par des points. Chaque composant peut contenir les caractères de a à z,
de A à Z et de 0 à 9, mais ne peut pas commencer par un chiffre (0 à 9).
Les noms de variables sont sensibles à la casse. Pour plus d’informations
sur les variables système qui peuvent être employées dans les règles de
correspondance de rôles et les stratégies de ressources, reportez-vous à
la section « Variables système et exemples », page 5041.
Syntaxe de mise entre guillemets pour les variables
Le système IVE prend en charge une syntaxe de mise entre guillemets
pour les variables d’expressions personnalisées. Cette syntaxe vous
permet d’utiliser n’importe quel caractère, à l’exception du point (« . »)
dans un nom d’attribut d’utilisateur. Pour donner leur valeur littérale aux
caractères d’un nom d’attribut, citez tout ou une partie du nom de la
variable à l’aide d’accolades { }. Par exemple, les expressions ci-dessous
sont équivalentes :
userAttr.{Login-Name} = ‘xyz’
userAttr.Login{-}Name = ‘xyz’
{userAttr.Login-Name} = ‘xyz’
userA{ttr.L}{ogin-}Name = ‘xyz’
Caractères d’échappement pris en charge dans des citations :
\\
représente une \ (barre oblique inverse)
\{
représente une { (accolade ouverte)
\}
représente une } (accolade fermée)
\hh représente une valeur hexadécimale où hh sont deux caractères
compris entre [0 et 9, A et F, et a et f].
Exemples :
userAttr.{Tree Frog} = ‘kermit’
userAttr.{Tree\20Frog} = ‘kermit’
Remarques : • Le nombre de guillemets qu’il est possible d’utiliser dans un nom
de variable n’est pas limité.
• Vous pouvez utiliser la syntaxe de mise entre guillemets avec
n’importe quelle variable, et pas seulement avec les variables
userAttr.*.
• Vous ne devez utiliser des accolades que lors de la rédaction
d’expressions personnalisées.
opérateurComparaison est l’un des éléments suivants :
500

=
égal à : s’emploie avec les chaînes, les nombres et les noms
complets.
!=
non égal à : s’emploie avec les chaînes, les nombres et les
noms complets.
<
inférieur à : s’emploie avec les nombres.
<=
inférieur ou égal à : s’emploie avec les nombres.
>
supérieur à : s’emploie avec les nombres.
>=
supérieur ou égal à : s’emploie avec les nombres.
valeurSimple est l’un des éléments suivants :
• chaîne : chaîne entre guillemets qui peut contenir des caractères
génériques.
• adresse IP : a.b.c.d
• sous-réseau : a.b.c.d/comptageBitsSous-réseau ou
a.b.c.d/masqueréseau
• nombre : entier positif ou négatif
• jour2 : SUN MON TUE WED THU FRI SAT
Remarque au sujet des chaînes :
• Une chaîne peut contenir tous les caractères sauf <nl> et <cr>.
• Les comparaisons de chaînes ne sont pas sensibles à la casse.
• Les chaînes peuvent être entourées de guillemets simples ou doubles.
Une chaîne entre guillemets peut contenir des caractères génériques,
à savoir l’astérisque (*), le point d’interrogation (?) et les crochets ([ ]).
Reportez-vous à la section « Mise en correspondance des caractères
génériques », page 502.
• Les comparaisons variable opérateurComparaison variable sont
évaluées sans mise en correspondance des caractères génériques.
• Utilisez une barre oblique inverse pour donner une valeur littérale aux
caractères suivants :
guillemet simple (’) — \’
guillemet double (") — \"
barre oblique inverse (\) — \\
hexadécimal — \hh [0-9a-fA-F]
time2 est l’heure du jour dans l’un des formats suivants :
HH:MM — 24 heures
HH:MMam — 12 heures
HH:MMpm — 12 heures
H:MM — 24 heures
H:MMam — 12 heures
H:MMpm — 12 heures
ORValeur est une chaîne qui contient une ou plusieurs comparaisons OR :
variable opérateurComparaison (nombre OR nombre...)
variable opérateurComparaison (chaîne OR chaîne ...)
ANDValeur est une chaîne qui contient une ou plusieurs comparaisons AND :
variable opérateurComparaison (nombre AND nombre...)
variable opérateurComparaison (chaîne AND chaîne ...)
isEmpty est une fonction qui examine un argument avec nom de variable unique
(variable) et renvoie une valeur booléenne. isEmpty() est vraie si la variable
est inconnue ou est une valeur de longueur zéro, une chaîne de longueur
zéro ou une liste vide.
Exemple : isEmpty(userAttr.terminationDate)

501
isUnknown est une fonction qui examine un argument avec nom de variable unique
(variable) et renvoie une valeur booléenne. isUnknown() est vraie si la
variable n’est pas définie. Les attributs d’utilisateur (variables userAttr.*)
sont inconnus si l’attribut n’est pas défini dans LDAP ou si la recherche
d’attribut a échoué (par exemple, si le serveur LDAP n’est pas accessible).
Exemple : isUnknown(userAttr.bonusProgram)
NOT, ! est l’opérateurComparaison de négation logique. L’expression niée est
vraie si exprPerso est fausse et elle est fausse si exprPerso est vraie3.
OR, || est l’opérateur logique OR ou || (ils sont équivalents)3.
AND, && est l’opérateur logique AND ou && (ils sont équivalents)3.
exprPerso est une expression rédigée dans la syntaxe d’expression personnalisée
(voir ci-dessus).
1 Lorsque vous rédigez une expression personnalisée dans un champ d’interrogation de
journal, vous devez utiliser des variables de journal système.
2 Les comparaisons de date et d’heure sont évaluées selon le fuseau horaire du système IVE.
Les calculs de plage de jours (jour TO jour) commencent par le premier jour et avancent
jusqu’à ce que le second jour soit atteint. Dans des calculs de plage horaire (heure TO heure),
la première valeur doit être antérieure à la seconde. Seules des variables temporelles peuvent
être comparées à des valeurs de date et d’heure. Les variables temporelles sont : time.* et
loginTime.*
3 Les opérateurs NOT, AND et OR sont évalués de la priorité la plus haute à la priorité la plus
basse, dans l’ordre suivant : NOT (de la droite), AND (de la gauche), OR (de la gauche)
Mise en correspondance des caractères génériques
Vous pouvez utiliser des caractères génériques dans une chaîne entre
guillemets. Les caractères génériques admis sont les suivants :
• astérisque (*)
Un astérisque correspond à toute séquence de zéro caractère ou plus.
• point d’interrogation (?)
Le point d’interrogation correspond à n’importe quel caractère unique.
• crochets ([ ])
Les crochets font correspondre un caractère parmi une plage de
caractères disponibles placés entre eux. Deux caractères séparés par
un tiret (-) correspondent aux deux caractères dans la plage indiquée et
aux caractères qui les séparent d’un point de vue lexical. Par exemple,
’dept[0-9]’ correspond aux chaînes « dept0 », « dept1 », etc., jusque
« dept9 ».
Pour donner aux caractères génériques leur valeur littérale, placez-les entre
crochets. Par exemple, l’expression ’ userAttr.x = "value[*]" ’ est vraie si
l’attribut x est exactement "valeur*".
502

Variables de nom complet
Vous pouvez comparer un nom complet (DN) à un autre DN ou à une chaîne ;
par contre, les caractères génériques sont ignorés. Les comparaisons sont
sensibles à la casse, les espaces sont ignorés et l’ordre des clés DN est pris
en compte.
Lorsqu’une expression compare un DN à une chaîne, cette dernière est
convertie en nom complet avant l’évaluation. Si la chaîne ne peut pas être
convertie (en raison d’une erreur de syntaxe), la comparaison échoue.
Les variables DN sont :
• userDN
• certDN
• certIssuerDN

503
Variables système et exemples
Remarque : Cette liste ne comprend pas les variables utilisées dans une
requête de filtrage ou un format d’exportation d’un journal système.
Variables
Description
Exemples
auth
Nom du serveur
d’authentification qui
authentifie un utilisateur.
auth = ‘MonServeurLDAP’
L’état de Cache Cleaner.
Valeurs possibles :
cacheCleanerStatus = 1
Disponible dans :
• règles de correspondance de rôles
• règles de stratégies
de ressources
cacheCleaner
Disponible dans :
de ressources
1 – s’il est en cours
d’exécution
0 – dans les autres cas
certAttr.<cert-attr>
Attributs d’un certificat
côté client. Exemples
d’attributs certAttr :
Disponible dans :
de ressources
• configuration LDAP
• champs de paramètre
SSO
C – pays
CN – nom courant
description – description
emailAddress – adresse
de courriel
GN – prénom
initials – initiales
L – nom de la localité
O – organisation
OU – unité
organisationnelle
SN – nom
serialNumber – numéro
de série
ST – état ou province
title – titre
UI – identifiant unique
Utilisez cette variable
pour vous assurer que
le client de l’utilisateur
possède un certificat
côté client avec la ou
les valeurs indiquées.
504

cacheCleanerStatus = 0
certAttr.OU = ‘Groupe produits vente’
Valeur de nom alternatif
de sujet provenant d’un
certificat côté client, où
<Alt-attr> peut être :
certAttr.altName.email =
"jean@société.com"
.Email
.directoryName
.DNS
.URI
.ipAddress
.registeredId
certAttr.altName.ipAddress =
10.10.83.2
Numéro de série du
certificat de client.
certAttr.SerialNumber =
userAttr.certSerial
de ressources
SSO
Notez que tous les
caractères autres que
[0-9 a-f A-F] sont
éliminés d’une chaîne
avant la comparaison
avec certAttr.SN. Les
caractères génériques
ne sont pas pris en
charge.
certAttr.SerialNumber = "6f:05:45:ab"
certDN
Nom complet du sujet du
certificat de client. Les
ne sont pas admis.
certDN = ‘cn=John
Harding,ou=eng,c=Société’
CertAttr.altName.<Altattr>
Disponible dans :
de ressources
SSO
certAttr.SerialNumber
Disponible dans :
Disponible dans :
de ressources
certAttr.altName.directoryName =
"cn=jean, ou=société, o=com"
certDN = userDN (fait correspondre le
DN du sujet du certificat au DN de
l’utilisateur LDAP)
certDN = userAttr.x509SubjectName
certDN = (‘cn=John
Harding,ou=eng,c=Société’ ou
‘cn=Julia Yount,ou=eng,c=Société’)
certDN.<subject-attr> Toute variable du DN
du sujet du certificat de
Disponible dans :
client, où subject-attr est
• règles de corresponle nom de la clé RDN.
dance de rôles
Sert à tester les
de ressources
différents attributs de
DN de sujet dans un
certificat x.509 standard.
SSO
certDN.OU = ‘société’
certDNText
certDNText = ‘cn=John
Disponible dans :
de ressources
SSO
DN d’utilisateur du
certificat de client,
stocké sous la forme
d’une chaîne. Seules
les comparaisons de
chaînes à cette valeur
sont admises.
certDN.E = ‘jean@société.com’
certDN.ST = ‘CA’

505
certIssuerDN
Disponible dans :
de ressources
certIssuerDN.<issuerattr>
Disponible dans :
de ressources
SSO
certIssuerDNText
Disponible dans :
de ressources
SSO
group.<group-name>
Disponible dans :
de ressources
Important :
Seuls les groupes
évalués pour les règles
de correspondance de
rôles sont disponibles
dans les règles
détaillées (conditions)
des stratégies de
ressources.
Il est conseillé d’utiliser
la variable « groups »
plutôt que group.<groupname>, qui est pris en
charge uniquement à des
fins de rétrocompatibilité.
506

Nom complet du sujet de
l’émetteur du certificat
de client. Cette variable
fonctionne comme un
attribut DN standard,
tel que CertDN. Les
ne sont pas admis.
certIssuerDN = ‘cn=John
Toute variable du DN du
sujet de l’émetteur du
certificat de client, où
issuer-attr est le nom
de la clé RDN.
certIssuerDN.OU = ‘société’
DN de sujet de
l’émetteur du certificat
de client, stocké sous
la forme d’une chaîne.
Seules les comparaisons
de chaînes à cette
valeur sont admises.
certIssuerDNText = ‘cn=John
Appartenance de
l’utilisateur à un groupe,
tel qu’indiqué par le
serveur d’annuaires
ou d’authentification
de royaume.
group.preferredPartner
certIssuerDN = userAttr.x509Issuer
certIssuerDN = (‘ou=eng,c=Société’
or ’ou=opérations,c=Société’)
certIssuerDN.ST = ‘CA’
group.goldPartner ou
group.silverPartner
group.employees and time.month = 9
Exemples de combinaisons :
Remarque :
Les caractères
d’espacement ne sont
pas pris en charge,
comme par exemple :
group.sales managers
Autoriser tous les partenaires dont
l’état est actif du lundi au vendredi
et les partenaires privilégiés du lundi
au samedi :
((group.partners and time = (Mon to
Fri)) or
(group.preferredPartners and time =
(Mon to Sat))) and
userAttr.partnerStatus = ’active’
Remarque :
group.sales managers non pris en
charge.
groups
Disponible dans :
de ressources
SSO
hostCheckerPolicy
Disponible dans :
Liste de groupes, telle
qu’elle est fournie par le
serveur d’annuaires ou
d’authentification de
royaume.
groups=(‘sales managers’)
Stratégies Host Checker
remplies par le client.
hostCheckerPolicy = (‘Norton’ and
‘Sygate’) and cacheCleanerStatus = 1
L’heure à laquelle
l’utilisateur envoie ses
données d’identification
au système IVE. L’heure
est basée sur l’heure du
système IVE.
loginTime = (8:00am to 5:00pm)
de ressources
SSO
loginTime
Disponible dans :
de ressources
SSO
loginTime.day
Disponible dans :
de ressources
loginTime.dayOfWeek
Disponible dans :
de ressources
loginTime= (Mon to Fri)
Remarque : En cas
d’utilisation de cette
variable dans un champ
de paramètre SSO, la
variable renvoie l’heure
de la chaîne UNIX.
Le numéro du jour
(1 à 31) où l’utilisateur
envoie ses données
d’identification au
système IVE. L’heure
est basée sur l’heure
du système IVE.
loginTime.day = 3
Le numéro du jour de la
semaine où l’utilisateur
envoie ses données
système IVE.
dayOfWeek peut être
défini sur [0-6], 0 étant
le dimanche.
loginTime.dayOfWeek != (0 OR 6)
loginTime.dayOfWeek = (1 to 5)
loginTime.dayOfWeek = (monday to
friday)
loginTime.dayOfWeek = 5
loginTime.dayOfWeek = friday

507
loginTime.dayOfYear
Disponible dans :
de ressources
loginTime.month
Disponible dans :
de ressources
loginTime.year
Disponible dans :
de ressources
networkIf
Disponible dans :
de ressources
SSO
Royaume
Disponible dans :
de ressources
SSO
508

Le numéro du jour de
l’année où l’utilisateur
envoie ses données
système IVE.
dayOfYear peut être
défini sur [0-365].
loginTime.dayOfYear = 100
Le mois où l’utilisateur
envoie ses données
système IVE. month
peut être défini sur
[1-12], où 1 = janvier.
loginTime.month >= 4 AND
loginTime.month <=9
L’année où l’utilisateur
envoie ses données
système IVE. year
peut être défini sur
[1900-2999].
loginTime.year = 2005
L’interface réseau sur
laquelle la demande de
l’utilisateur est reçue.
Valeurs possibles :
internal ou external
sourceIp = 192.168.1.0/24 and
networkIf = internal
Nom du royaume
Realm = (‘GoldPartners’ or
d’authentification auquel ‘SilverPartners’)
l’utilisateur est connecté.
Remarque : Une condition AND
échoue dans tous les cas, car un
utilisateur ne peut se connecter qu’à
un seul royaume au cours d’une
session.
Rôle
Disponible dans :
de ressources
• SSO
sourceIP
Disponible dans :
de ressources
SSO
time
Disponible dans :
de ressources
Liste de tous les rôles
d’utilisateur pour la
session.
Role = (‘sales’ or ‘engineering’)
Role = (‘Sales’ AND ‘Support’)
Dans SSO, si vous
voulez envoyer tous les
rôles à des applications
dorsales, utilisez <role
sep = ";"> - où sep est la
chaîne de séparation de
valeurs multiples.
L’adresse IP de
l’ordinateur sur lequel
l’utilisateur s’authentifie.
Vous pouvez définir le
masque réseau à l’aide
du numéro de bit ou
selon le format de
masque réseau :
‘255.255.0.0’
L’heure à laquelle la
règle de correspondance de rôles ou la
règle de la stratégie de
ressources est évaluée.
L’heure peut être au
format 12 heures ou
24 heures.
sourceIP = 192.168.10.20
sourceIP = 192.168.1.0/24 and
networkIf internal
userAttr.dept = (‘eng’ or ‘it’) and
sourceIP = 10.11.0.0/16
sourceIP = 192.168.10.0/24 (Class C)
est égal à
sourceIP =
192.168.10.0/255.255.255.0
time = (09:00:00 to 17:00:00)
time = (09:00 to 17:00)
time = (Mon to Fri)
Autoriser les managers et leurs
assistants à accéder du lundi au
vendredi :
userAttr.employeeType =
(‘*manager*’ or ‘*assistant*’) and
group.executiveStaff and
time = (Mon to Fri)
time.day
Disponible dans :
de ressources
Le numéro du jour
(1 à 31) où l’utilisateur
envoie ses données
système IVE. L’heure
est basée sur l’heure
du système IVE.
loginTime.day = 3

509
time.dayOfWeek
Disponible dans :
de ressources
time.dayOfYear
Disponible dans :
de ressources
time.month
Disponible dans :
de ressources
time.year
Disponible dans :
de ressources
utilisateur
Disponible dans :
de ressources
SSO
510

Le jour de la semaine où
la règle de correspondance de rôles ou la
Valeurs possibles :
time.dayOfweek = (Mon to Fri)
time.dayOfWeek = (mon to fri) and
time = (9:00am to 5:00pm)
time.dayOfWeek = (sat to sun) and
time = (8:00 to 23:00)
Mon, Tue, Wed, Thu, Fri,
Sat, Sun
Le jour de l’année où
la règle de correspondance de rôles ou la
Valeurs possibles :
1-365.
time.dayOfYear = 100
Le mois où la règle de
correspondance de
rôles ou la règle de la
stratégie de ressources
est évaluée. Valeurs
possibles : 1-12
time.month >= 9 and time.month <=
12 and time.year = 2004
L’année où la règle de
correspondance de
rôles ou la règle de la
stratégie de ressources
est évaluée. L’année
peut être définie sur
[1900-2999].
time.year = 2005
Nom d’utilisateur IVE.
Si l’utilisateur se
connecte à un serveur
d’authentification de
certificats, le nom
d’utilisateur IVE de
l’utilisateur est identique
à CertDN.cn.
user = ‘steve’ and time = mon
group.employees and time.month = 9
user = ‘steve’
user = ‘steve*’
user = (‘steve’ or ‘*jankowski’)
userAgent
Disponible dans :
Chaîne utilisateur-agent
du navigateur.
userAgent = ‘*MSIE*’
Attributs d’utilisateurs
chargés depuis un
serveur d’annuaires ou
d’authentification LDAP
ou RADIUS.
userAttr.building = (‘HQ*’ or
‘MtView[1-3]’)
de ressources
SSO
userAttr.<auth-attr>
Disponible dans :
de ressources
SSO
Important :
Seuls les attributs
évalués pour les règles
de correspondance
de rôles sont disponibles
dans les règles détaillées
(conditions) des stratégies
de ressources.
userAttr.dept = (‘sales’ and ‘eng’)
userAttr.dept = (‘eng’ or ‘it’ or
‘custsupport’)
userAttr.division = ‘sales’
userAttr.employeeType != ‘contractor’
userAttr.salaryGrade > 10
userAttr.salesConfirmed >=
userAttr.salesQuota
Exemples négatifs :
userAttr.company != "Acme Inc" or
not group.contractors
not (user = ‘guest’ or group.demo)
Autoriser les managers et leurs
assistants à accéder du lundi au
vendredi :
userAttr.employeeType =
(‘*manager*’ or ‘*assistant*’) and
group.executiveStaff and
time = (Mon to Fri)
Autoriser tous les partenaires dont
l’état est actif du lundi au vendredi
et les partenaires privilégiés du
lundi au samedi :
((group.partners and time = (Mon to
Fri)) or
(group.preferredPartners and time =
(Mon to Sat))) and
userAttr.partnerStatus = ‘active’

511
userDN
Disponible dans :
de ressources
userDN.<user-attr>
Disponible dans :
de ressources
SSO
userDNText
Disponible dans :
de ressources
SSO
512

Le DN d’utilisateur
provenant d’un serveur
LDAP. Si l’utilisateur
est authentifié par le
serveur LDAP, ce DN
provient du serveur
d’authentification. Dans
le cas contraire, le DN
provient du serveur
d’annuaires/attributs du
royaume. Les caractères
génériques ne sont pas
admis.
userDN = ‘cn=John
Harding,ou=eng,c=Company’
Toute variable du DN
d’utilisateur, où user-attr
est le nom de la clé
RDN.
userDN.ou = ‘eng’
DN d’utilisateur stocké
sous la forme d’une
chaîne. Seules les
comparaisons de
chaînes à cette valeur
sont admises.
userDNText = ‘cn=John
userDN = certDN
Annexe C.
Pages d’ouverture de session personnalisables
Les pages d’ouverture de session personnalisables constituent une
fonctionnalité qui vous permet de personnaliser l’apparence et l’ergonomie
des pages de gestion des mots de passe et de pré-authentification affichées
par le système IVE à l’intention des administrateurs et des utilisateurs
finals. Vous pouvez utiliser cette fonction pour personnaliser les pages
contenues dans les fichiers suivants :
• Sample.zip
Le fichier zip contient plusieurs pages IVE standard, dont des pages
de pré-authentification IVE standard, des pages de pré-authentification
ACE, des pages de pré-authentification ACE destinées à être utilisées
avec Netegrity SiteMinder et des pages de gestion du mot de passe. Pour
obtenir une liste complète, reportez-vous à l’« Utilisation des modèles de
samples.zip », page 518.
• SoftID.zip
Le fichier zip contient plusieurs pages destinées à être utilisées avec
le client RSA Soft ID. Pour obtenir une liste complète, reportez-vous à
l’« Utilisation des modèles de SoftID.zip », page 532.
• Kiosk.zip
Ce fichier zip contient plusieurs pages destinées à être employées par les
utilisateurs de Kiosk. Pour obtenir une liste complète, reportez-vous à
l’« Utilisation des modèles de Kiosk.zip », page 533.
Pour personnaliser les pages IVE, vous devez utiliser le langage des outils
pour modèles. Pour plus d’informations, reportez-vous à la section
« Compréhension du langage des outils pour modèles », page 514.

513
Compréhension du langage des outils pour modèles
Cette rubrique comprend une brève description du langage des outils
pour modèles destiné aux utilisateurs d’IVE. Elle décrit les directives et les
opérateurs les plus courants que les concepteurs peuvent utiliser lorsqu’ils
créent une page personnalisée pour l’IVE. Pour obtenir des informations
complètes sur les outils pour modèles, rendez-vous à l’adresse
http://www.template-toolkit.org.
Une page Web créée à l’aide des outils pour modèles ressemble à un page
Web standard. Elle peut comprendre du HTML, du XML et du JavaScript.
Toutefois, contrairement à une page Web standard, elle peut également
inclure des directives des outils pour modèles, que vous pouvez utiliser
pour ajouter un comportement dynamique à vos pages.
Une directive est une simple instruction qui indique au processeur de
modèles qu’il doit effectuer une action et remplacer la directive d’origine
par le résultat de cette action dans le document. Vous pouvez utiliser des
directives destinées à de nombreux buts, tells que pour parcourir une
liste de valeurs (FOREACH), pour créer des instructions conditionnelles
(IF/UNLESS/ELSE) ou pour inclure et traiter un autre fichier modèle
(INCLUDE).
Lorsque vous utilisez des directives dans votre code, remarquez que :
• les directives sont sensibles à la casse et sont toutes rédigées en
MAJUSCULES ;
• vous devez insérez les directives dans les balises de marquage
’<%’ et ’%>’.
Important : La documentation relative aux outils pour modèles comprend des
exemples d’utilisation des balises avec parenthèses anguleuses pour marquer
les directives. L’IVE ne reconnaît que les balises de marquages avec parenthèses anguleuses.
• vous pouvez incorporer des directives à n’importe quel endroit d’une
ligne de texte ;
• vous pouvez répartir les directives sur plusieurs lignes ;
• vous pouvez utiliser le caractère # pour indiquer des commentaires
dans une directive. Le langage des outils pour modèles ignore les
caractères après le caractère # ;
• le langage des outils pour modèles ignore généralement les espaces
vierges non significatifs dans la directive.
Outre les directives, vous pouvez également utiliser le langage des outils
pour modèles pour inclure des boucles, des substitutions conditionnelles,
des substitutions variables et d’autres fichiers de modèles dans votre page.
514

Les rubriques suivantes décrivent les tâches, directives et opérations
courantes des outils pour modèles que vous souhaitez utiliser dans vos
pages personnalisées :
Ouverture et mise à jour des variables et des fichiers.......................... 515
directive GET .................................................................................. 515
directive SET .................................................................................. 515
Création d’instructions conditionnelles ................................................. 516
Opérateurs conditionnels................................................................ 516
Directives IF et ELSIF..................................................................... 516
Directives SWITCH et CASE .......................................................... 517
Création de constructions en boucle .................................................... 517
Directives non prises en charge ........................................................... 518
Pour obtenir de plus amples informations sur les directives supplémentaires
que vous pouvez utiliser dans le langage des outils pour modèles, telles
que INCLUDE et INSERT, reportez-vous à la documentation des outils pour
modèles, disponible à l’adresse http://www.template-toolkit.org.
Ouverture et mise à jour des variables et des fichiers
directive GET
La directive GET récupère et affiche la valeur de la variable nommée.
<% GET foo %>
Le mot-clé GET est facultatif. Une variable peut être spécifiée seule dans
une balise de directive.
<% foo %>
directive SET
La directive SET vous permet d’affecter une valeur à des variables
temporaires.
<% SET title = ‘Hello World’ %>
Le mot-clé SET est facultatif.
<% title = ‘Hello World’ %>

515
Création d’instructions conditionnelles
Opérateurs conditionnels
Vous pouvez utiliser les opérateurs conditionnels suivants :
Opérateur
Description
==
est égal à
!=
n’est pas égal à
<
est inférieur à
<=
est égal ou inférieur à
>
est supérieur à
>=
est égal ou supérieur à
&&
et
||
ou
!
pas
et
et
ou
ou
pas
pas
Directives IF et ELSIF
Vous pouvez utiliser les directivesIF et ELSIF pour construire un comportement
conditionnel. Remarquez qu’il s’agit de directives en bloc, ce qui signifie que
vous devez employer la directive END pour indiquer où s’arrête chaque bloc.
Vous pouvez imbriquer des blocs à l’infini, pour autant que vous incluiez
une instruction de fin pour chacun d’entre eux.
<%IF LoginPageErrorCode == 1 002 %>
<b> Votre nom d’utilisateur ou votre mot de passe est incorrect.
Veuillez rentrer vos données d’identification. </b>
<%ELSIF LoginPageErrorCode == 1 006 %>
<b> Le système est en cours de maintenance. Seuls les
administrateurs sont autorisés à se connecter actuellement.</b>
<% END %>
516

Directives SWITCH et CASE
Vous pouvez utiliser les directives SWITCH et CASE pour construire un test
conditionnel multidirectionnel. Remarquez qu’il s’agit de directives en bloc,
ce qui signifie que vous devez employer la directive END pour indiquer où
s’arrête chaque bloc. Vous pouvez imbriquer des blocs à l’infini, pour autant
que vous incluiez une instruction de fin pour chacun d’entre eux.
<% SWITCH loginPageErrorCode %>
<% CASE 1 001 %>
<b> Votre session a expiré. </b>
<% CASE 1 006 %>
administrateurs sont autorisés à se connecter actuellement. </b>
<% CASE %> # default ...
<% END %>
Création de constructions en boucle
Vous pouvez utiliser des directives telles que FOREACH et WHILE pour
effectuer des boucles dans des blocs de code. Remarquez qu’il s’agit de
directives en bloc, ce qui signifie que vous devez employer la directive END
pour indiquer où s’arrête chaque bloc. Vous pouvez imbriquer des blocs à
l’infini, pour autant que vous incluiez une instruction de fin pour chacun
d’entre eux.
Par exemple, le code de page d’ouverture de session suivant parcourt tous
les domaines d’authentification et les affiche dans une liste de sélection.
L’exemple utilise également les valeurs IVE prédéfinies RealmList et
domaine.
<select size="1" name="realm">
<% FOREACH r = RealmList %>
<option value=“<% r %>”><% r %> </option>
<% END %>
</select>

517
Directives non prises en charge
Juniper ne prend pas en charge les directives USE, INTERPOLATE, TAGS, PERL
ou RAWPERL lorsque vous créez des pages IVE personnalisées. En outre,
nous vous déconseillons d’utiliser les directives CALL ou FILTER.
Utilisation des modèles de samples.zip
Le fichier samples.zip contient les modèles suivants, que vous pouvez
personnaliser afin de les utiliser dans votre propre environnement.
Remarquez que tous les modèles marqués par un * sont nécessaires
dans le fichier zip chargé.
Pages de pré-authentification IVE ........................................................ 519
LoginPage.thtml* ............................................................................ 519
Logout.thtml*................................................................................... 528
ExceededConcurrent.thtml*............................................................ 528
SSL.thtml*....................................................................................... 529
PleaseWait.thtml ............................................................................. 529
SelectRole.thtml.............................................................................. 529
Pages de pré-authentification ACE ...................................................... 530
NewPin.thtml................................................................................... 530
NextToken.thtml .............................................................................. 530
GeneratePin.thtml........................................................................... 530
ShowSystemPin.thtml..................................................................... 531
Cancel.thtml.................................................................................... 531
Pages de pré-authentification ACE avec Netegrity .............................. 531
SM-NewPinSelect.thtml .................................................................. 531
SM-NewPinSystem.thtml ................................................................ 531
SM-NewUserPin.thtml .................................................................... 531
SM-NextToken.thtml ....................................................................... 531
Pages de gestion du mot de passe ...................................................... 531
Defender.thtml ................................................................................ 531
GraceLoginUsed.thtml .................................................................... 532
PasswordChange.thtml................................................................... 532
PasswordExpiration.thtml ............................................................... 532
Remarque : Vous pouvez personnaliser toutes les pages énumérées ici pour
Pocket PC. Les modèles Pocket PC sont identiques aux autres modèles contenus
dans ce fichier zip, si ce n’est qu’il sont adaptés à un écran de visualisation plus
petit et vous ne devez pas les ajouter au fichier zip. Tous les modèles Pocket PC
utilisent les mêmes noms que leurs homologues « plein écran », mais ils se
distinguent par l’ajout de « ppc » au nom du fichier. Par exemple, le modèle
« plein écran » pour la page d’ouverture de session est appelé LoginPage.thtml
et son homologue Pocket PC LoginPage-ppc.thtml. Pour obtenir de plus
amples informations sur un modèle Pocket PC, reportez-vous à la rubrique
relative au modèle « plein écran » correspondant.
518

Pages de pré-authentification IVE
Vous pouvez personnaliser diverses pages de pré-authentification
IVE standard, y compris la page d’ouverture de session standard
(LoginPage.thtml), la page d’échec de l’authentification (SSL.thtml), la
page de fermeture de session (Logout.thtml), la page d’avertissement
d’ouverture de session (ExceededConcurrent.thtml), la page de démarrage
du vérificateur d’hôte et du nettoyeur de cache (PleaseWait.thtml) ainsi
que la page de sélection d’un rôle (SelectRole.thtml).
Remarque : Remarquez que tous les modèles marqués par un * sont nécessaires
dans le fichier zip chargé.
LoginPage.thtml*
Vous devez toujours inclure LoginPage.thtml dans votre fichier zip, même
si vous utilisez un serveur d’authentification qui ne requiert pas de nom
d’utilisateur ou de mot de passe. Il s’agit de la page d’ouverture de session
IVE standard qui collecte le nom de l’utilisateur, le mot de passe et le
domaine d’authentification et affiche une erreur si l’authentification échoue.
Pour obtenir des informations sur le masquage de cette page vis-à-vis des
utilisateurs authentifiés sur la base :
• d’un serveur anonyme, reportez-vous à la section « Authentification
anonyme », page 527 ;
• d’un serveur de certificats, reportez-vous à la section « Authentification
des certificats », page 527 ;
• d’un serveur Netegrity SiteMinder avec une authentification des
certificats côté client, reportez-vous à la section « Fonction Login() »,
page 520.
JavaScript
L’en-tête dans LoginPage.thtml contient plusieurs fonctions JavaScript.
La plupart de ces fonctions gèrent des cas où vous associez plusieurs
domaines d’authentification à une seule URL d’ouverture de session.
Fonction SetLastRealm(sValue)
Utilisez cette fonction si vous souhaitez permettre aux utilisateurs de
sélectionner plusieurs domaines dans la page d’ouverture de session.
Lorsque l’utilisateur s’identifie, cette fonction obtient le domaine
d’authentification sélectionné par l’utilisateur et définit une date d’expiration (30 jours) concernant le délai pendant lequel IVE s’en souvient.
function SetLastRealm(sValue) {
var dtExpire = new Date();
dtExpire.setDate(dtExpire.getDate() + 30);

519
document.cookie = "lastRealm=" +
escape(sValue) + "; expires=" + dtExpire.toGMTString();
}
Fonction Login()
Cette fonction comprend deux actions :
• Se souvenir du domaine d’authentification sélectionné
Utilisez cette action de la fonction si vous souhaitez permettre aux
utilisateurs de sélectionner plusieurs domaines dans la page d’ouverture
de session. La fonction vérifie qu’un domaine existe, puis se souvient du
domaine d’authentification actuellement sélectionné.
• Etablir le fuseau horaire de l’utilisateur
Obligatoire. La fonction utilise la variable tz_offset (décalage du fuseau
horaire) et la fonction getTimezoneOffset() pour déterminer le fuseau
horaire de l’utilisateur.
function Login() {
// Remember currently selected auth realm
if (document.frmLogin.realm != null &&
document.frmLogin.realm.type == "select-one") {
SetLastRealm(
document.frmLogin.realm.options
[document.frmLogin.realm.selectedIndex].text);
}
if (document.frmLogin.tz_offset != null) {
var wdate = new Date (95, 12, 1);
var sdate = new Date (95, 6, 1);
var winter = (-1) * wdate.getTimezoneOffset();
var summer = (-1) * sdate.getTimezoneOffset();
document.frmLogin.tz_offset.value = winter < summer ? winter :
summer;
}
return true;
}
520

Fonction GetCookieValue(sName)
Il s’agit d’une fonction d’aide générique qui récupère une valeur à partir
d’un cookie, crée une chaîne de la longueur de la valeur, puis renseigne
la chaîne avec la valeur.
function GetCookieValue(sName) {
var s = document.cookie;
sName += "=";
// where nv pair starts
var nStart = s.indexOf(sName);
if (nStart == -1)
return "";
else
nStart += sName.length;
// if more values, clip, otherwise just get rest of string
var nEnd = document.cookie.indexOf(";", nStart);
if (nEnd == -1)
s = unescape(s.substring(nStart));
else
s = unescape(s.substring(nStart, nEnd));
return s;
}
Fonction recallLastRealmUsed()
La fonction vérifie qu’un domaine existe, puis obtient le dernier domaine
d’authentification sélectionné.

521
function recallLastRealmUsed() {
if (document.frmLogin.realm != null &&
document.frmLogin.realm.type == "select-one") {
// try to remember which auth realm was last used
var sLastRealm = GetCookieValue("lastRealm");
if (sLastRealm.length > 0) {
var cmb = document.frmLogin.realm;
var nNumRealms = cmb.options.length;
for (var n=0; n < nNumRealms; n++) {
if (cmb.options[n].text == sLastRealm) {
cmb.selectedIndex = n;
}
}
}
}
}
Fonction FinishLoad()
La fonction vérifie qu’un domaine existe, renseigne la zone correspondante
et active la zone du nom d’utilisateur. Appelez cette fonction lorsque le
chargement de la page est terminé afin de vous assurer que les zones
obligatoires sont bien présentes avant de les activer.
function FinishLoad() {
recallLastRealmUsed();
if (document.frmLogin.username != null) {
document.frmLogin.username.focus();
}
}
522

Si vous authentifiez les utilisateurs par le biais d’un serveur Netegrity
SiteMinder utilisant une authentification des certificats côté client, il se peut
que vous souhaitiez masquer la page d’ouverture de session IVE standard
par rapport aux utilisateurs. Pour poster les données sur IVE sans que
les utilisateurs soient invités à saisir des données d’identification, vous
pouvez utiliser la version modifiée souhaitée de la fonction FinishLoad().
Remarquez que cette fonction n’ignore la page d’ouverture de session que
si aucune erreur ne survient pendant le chargement de la page :
function FinishLoad() {
recallLastRealmUsed();
<% IF !LoginPageErrorCode %>
Login();
document.frmLogin.submit();
<% END %>
}
Si vous identifiez les utilisateurs par le biais d’un serveur d’authentification
anonyme ou d’un serveur d’authentification des certificats et si vous
souhaitez ignorer la page d’ouverture de session IVE standard, reportezvous à « Authentification anonyme », page 527 ou à « Authentification des
certificats », page 527.
Champs du formulaire
LoginPage.thtml contient plusieurs champs de formulaire à poster :
tz_offset
Obligatoire. La fonction Login() utilise la valeur tz_offset (décalage du
fuseau horaire) pour déterminer le fuseau horaire de l’utilisateur.
<input type="hidden" name="tz_offset">
Nom de l’utilisateur
Ce champ est obligatoire pour tous les types de serveurs d’authentification,
à l’exception des serveurs anonymes et des serveurs de certificats. Login.cgi
(un script Perl sur l’IVE) transmet la valeur nom d’utilisateur postée ici au
serveur d’authentification approprié.
<input type="text" name="username">
Mot de passe
Ce champ est obligatoire pour tous les types de serveurs d’authentification,
à l’exception des serveurs anonymes et des serveurs de certificats. Login.cgi
transmet la valeur mot de passe postée ici au serveur d’authentification
approprié.
<input type="password" name="password">

523
Royaume
Obligatoire. Login.cgi transmet la valeur domaine postée ici au serveur
d’authentification approprié.
<% IF RealmList.size == 0 %>
<td>LoginRealm</td><td> </td><td>
<input type="text" name="realm" size="20">
</td>
<% ELSIF RealmList.size == 1 %>
<input type="hidden" name="realm" value="<% RealmList.0 %>"">
<% ELSE %>
<td>LoginRealm</td><td> </td><td>
<select size="1" name="realm">
<% FOREACH r = RealmList %>
<option value="<% r %>" ><% r %></option>
<% END %>
</select>
Définition du formulaire
LoginPage.thtml contient la définition de formulaire suggérée suivante.
Dans cette définition de formulaire, la plupart des éléments sont
obligatoires :
<form name="frmLogin" action="login.cgi" method="post"
autocomplete="off" onsubmit="return Login()">
Nom
(Obligatoire) Définit le nom du formulaire. Ce nom est utilisé par le code
serveur IVE.
name="frmLogin"
Action
(Obligatoire) Exécute le script Perl login.cgi sur le IVE.
action="login.cgi"
524

Méthode
(Obligatoire) Poste les valeurs du formulaire sur login.cgi.
method="post"
autocomplete
(Facultatif) Empêche le formulaire de remplir automatiquement les entrées
des champs du nom d’utilisateur ou du domaine d’authentification à l’aide
des valeurs mises en cache.
autocomplete="off"
onsubmit
(Obligatoire si vous utilisez Secure Meeting) Renvoie la valeur de décalage
du fuseau horaire définie par la fonction Login().
onsubmit="return Login()"
Variables
Vous pouvez utiliser les variables suivantes dans ce modèle :
LoginPageErrorMessage
Obligatoire. Texte du message d’erreur IVE que vous pouvez afficher
pour les utilisateurs. Ce texte correspond à un code renvoyé par
LoginPageErrorCode. Remarquez que vous ne pouvez pas modifier ce
texte sur l’IVE, mais vous pouvez inclure du code dans votre modèle pour
afficher un autre texte basé sur le code d’erreur renvoyé par la variable
LoginPageErrorCode. Par exemple :
<b> Votre nom d’utilisateur ou votre mot de passe est incorrect.
Veuillez rentrer vos données d’identification. </b>
<%ELSIF LoginPageErrorCode == 1 006 %>
administrateurs sont autorisés à se connecter actuellement.</b>
<% END %>

525
LoginPageErrorCode
Codes pour les erreurs que vous pouvez afficher pour les utilisateurs.
Les erreurs éventuelles que l’utilisateur peut voir sur cette page ainsi que
le texte correspondant renvoyé par la variable LoginPageErrorMessage sont
décrites ci-dessous :
Message d’erreur
Code
d’erreur
Commentaires
Nom d’utilisateur ou mot de passe non 1002
valide.
Cette connexion requiert un certificat
numérique.
1003
Certificat numérique non valide.
1004
Seuls les administrateurs peuvent se
connecter.
1006
Connexion non admise à l’aide de ce
navigateur.
1008
Aucun serveur d’autorisation défini pour 1009
cet utilisateur.
Nombre maximal d’utilisateurs
simultanés dépassé.
1010
L’IP a été bloqué en raison du nombre
excessif de tentatives d’ouverture de
session simultanées.
1011
Le mot de passe est trop court.
1012
L’ouverture de session est désactivée 1018
pour les administrateurs. Vous pourrez
réessayer dans quelques minutes.
Affiché lorsqu’un super
administrateur est connecté
et que l’IVE se trouve en
mode de restauration.
Votre nouveau PIN a été enregistré.
Veillez à ne pas l’oublier.
1019
Utilisé uniquement avec
l’authentification ACE.
Modification du mot de passe réussie.
1020
Utilisé avec la fonction de
gestion du mot de passe.
Compte désactivé.
1021
Compte bloqué.
1022
Compte expiré.
1023
Ce domaine a atteint la limite maximale 1027
du nombre de sessions.
526

Message d’erreur
Code
d’erreur
Accès refusé. Veuillez réessayer
d’ouvrir une session à l’aide d’un
nom d’hôte (par exemple,
https://service.votresociété) au
lieu d’une adresse IP (telle que
http://10.11.12.13).
1029
Vous ne possédez pas les bons
privilèges pour accéder au système.
Veuillez contacter votre administrateur
pour plus d’informations.
1030
Commentaires
Utilisé uniquement avec
l’authentification Netegrity
SiteMinder.
RealmList
Liste des domaines disponibles pour l’utilisateur.
Accueil
Fait référence au répertoire de niveau supérieur de votre fichier zip. Vous
pouvez utiliser cette variable ou la convention « .. » pour faire référence au
répertoire de niveau supérieur. Par exemple, les deux références suivantes
sont valides :
<% Accueil %>/images/logo.gif
../images/logo.gif
Authentification anonyme
L’IVE définit cette valeur à « vrai » (true) si le domaine d’authentification
est un serveur anonyme. Vous pouvez utiliser cette variable si vous
souhaitez spécifier que les utilisateurs s’identifiant dans un domaine
anonyme ne doivent pas voir les champs du nom d’utilisateur et du mot
de passe dans la page d’ouverture de session. Si vous le faites, l’IVE
n’affiche la page d’ouverture de session pour les utilisateurs que quand
ils rencontrent l’une des erreurs décrites dans « LoginPageErrorCode »,
page 526.
Authentification des certificats
L’IVE définit cette valeur à « vrai » (true) si le domaine d’authentification
est un serveur de certificats. Vous pouvez utiliser cette variable si vous
souhaitez spécifier que les utilisateurs s’identifiant dans un domaine de
certificats ne doivent pas voir les champs du nom d’utilisateur et du mot
de passe dans la page d’ouverture de session. Si vous le faites, l’IVE
n’affiche la page d’ouverture de session pour les utilisateurs que quand
ils rencontrent l’une des erreurs décrites dans « LoginPageErrorCode »,
page 526. (Pour obtenir de plus amples informations sur le masquage de
cette page par rapport aux utilisateurs identifiés sur la base d’un serveur

527
Netegrity SiteMinder utilisant une authentification des certifications côté
client, reportez-vous à « Fonction Login() », page 520.)
Logout.thtml*
Vous devez toujours inclure Logout.thtml dans votre fichier zip. Il
s’agit d’une page IVE standard qui affiche une erreur si l’utilisateur se
déconnecte, si la session de l’utilisateur expire ou si l’IVE désinstalle le
vérificateur d’hôte ou le nettoyeur de cache du système de l’utilisateur.
Ce modèle contient JavaScript pour la détection, l’arrêt, l’installation et
la désinstallation des composants, des images et des textes du vérificateur
d’hôte et du nettoyeur de cache à afficher pour les utilisateurs pendant que
l’IVE effectue ses actions, et JavaScript ferme et ouvre la fenêtre J-SAM.
Ce modèle comprend également les variables demandant aux utilisateurs
d’attendre pendant l’installation des composants, un lien que les utilisateurs
peuvent utiliser pour se reconnecter à l’IVE et les variables des messages
d’erreur.
Lorsque vous configurez la variable LoginPageErrorMessage comprise dans
ce modèle, remarquez que le texte affiché pour les utilisateurs par l’IVE
correspond à un code renvoyé par LoginPageErrorCode. Vous ne pouvez pas
modifier ce texte sur l’IVE, mais vous pouvez inclure du code dans votre
modèle pour afficher un autre texte basé sur le code d’erreur renvoyé par
la variable LoginPageErrorCode. Par exemple :
<b> Votre session de passerelle sécurisée s’est terminée en raison
d’une trop longue inactivité.</b>
<% END %>
Vous trouverez ci-dessous une description des erreurs éventuelles que le
LoginPageErrorCode peut renvoyer, ainsi que le texte correspondant renvoyé
par la variable LoginPageErrorMessage :
Message d’erreur
Code d’erreur
Délai d’expiration maximal de la session atteint.
1000
Délai d’inactivité.
1001
Pour obtenir des informations détaillées sur JavaScript et sur les variables
décrits ici, reportez-vous aux commentaires du modèle.
ExceededConcurrent.thtml*
Vous devez toujours inclure ExceededConcurrent.thtml dans votre fichier
zip. Il s’agit d’une page IVE standard qui affiche un avertissement relatifs
aux performances destiné à l’utilisateur quand trop d’utilisateurs simultanés
sont connectés à l’IVE. Ce modèle ne contient pas ni JavaScript ni
formulaires. Toutefois, il contient un lien facultatif vers starter.cgi, qui
528

permet aux utilisateurs de se connecter à l’IVE, ainsi que des variables de
messages d’erreur. Pour plus d’informations, reportez-vous aux
commentaires du modèle.
SSL.thtml*
Vous devez toujours inclure SSL.thtml dans votre fichier zip. Il s’agit d’une
page IVE standard qui affiche une erreur si l’authentification échoue et si
l’utilisateur n’est pas autorisé à se connecter à l’IVE. Ce modèle ne contient
pas ni JavaScript ni formulaires. Toutefois, il ne contient pas de variables de
messages d’erreur. Pour plus d’informations, reportez-vous aux commentaires
du modèle.
PleaseWait.thtml
Vous pouvez choisir de personnaliser ce modèle si vous avez configuré
le vérificateur d’hôte ou le nettoyeur de cache au niveau du domaine.
Cette page vous permet de contrôler le démarrage du vérificateur d’hôte
et le nettoyeur de cache pendant la pré-authentification et la postauthentification.
Ce modèle contient JavaScript pour la détection, l’arrêt, l’installation et la
désinstallation des composants du vérificateur d’hôte et du nettoyeur de
cache ainsi que des images et des textes à afficher pour les utilisateurs
pendant que l’IVE effectue ces actions. Ce modèle contient également
JavaScript qui vérifie périodiquement l’état de l’utilisateur afin de
déterminer si le vérificateur d’hôte ou le nettoyeur de cache est chargé
sur son système et le redirige vers la page d’ouverture de session
(welcome.cgi) si nécessaire.
Ce modèle comprend également des variables demandant à l’utilisateur
d’attendre pendant l’installation des composants, une variable de message
d’erreur, une variable enregistrant l’heure à laquelle la page est chargée
pour la première fois et une variable d’état pour les composants du
vérificateur d’hôte et du nettoyeur de cache.
Pour obtenir des informations détaillées sur JavaScript et sur les variables
décrits ici, reportez-vous aux commentaires du modèle.
SelectRole.thtml
Vous pouvez choisir de personnaliser ce modèle si vous avez affecté vos
utilisateurs à plusieurs rôles, mais n’avez pas fusionné ces rôles de manière
permissive. Cette page apparaît après la page d’ouverture de session et
affiche une liste de rôles parmi lesquels l’utilisateur peut faire son choix.
Pour obtenir des informations détaillées sur le JavaScript facultatif, sur la
définition du formulaire, sur les champs du formulaire et sur les variables
de ce modèle, reportez-vous aux commentaires du modèle.

529
Pages de pré-authentification ACE
Vous pouvez personnaliser cinq pages de pré-authentification ACE :
• NewPin.thtml
Ce modèle invite les utilisateurs ACE à entrer un nouveau code PIN ou
à créer un code PIN système avant de se connecter à l’IVE. Lorsque
vous configurez la variable secid_pinselectmode (qui définit le mode
de sélection du code PIN de l’utilisateur), remarquez que les valeurs
possibles sont notamment les suivantes :
Mode
Description
0
L’utilisateur doit utiliser le code PIN système. Il ne peut pas entrer
le sien.
1
L’utilisateur peut entrer son propre code PIN ou utiliser le code PIN
système.
2
L’utilisateur doit entrer son propre code PIN. Il ne peut pas utiliser le
code PIN système.
Lorsque vous configurez la variable secid_pinserr (qui enregistre le code
et le message d’erreur qui informent l’utilisateur s’il s’est trompé lors de
la saisie de son code PIN), remarquez que les valeurs possibles sont
notamment les suivantes :
Code
Valeur
0
Un nouveau code PIN est requis.
1
Les deux codes PIN entrés ne correspondent pas.
2
Le format du code PIN n’est pas valide.
3
La longueur du code PIN n’est pas valide.
• NextToken.thtml
Ce modèle invite l’utilisateur à vérifier ses données d’identification en
entrant son code de jeton SecurID.
• GeneratePin.thtml
Ce modèle permet à l’utilisateur de créer un code PIN système. Lorsque
vous configurez la variable secid_pinselectmode (qui définit le mode
de sélection du code PIN de l’utilisateur), remarquez que les valeurs
possibles sont notamment les suivantes :
530

Mode
Description
0
L’utilisateur doit utiliser le code PIN système. Il ne peut pas entrer
le sien.
1
L’utilisateur peut entrer son propre code PIN ou utiliser le code PIN
système.
2
L’utilisateur doit entrer son propre code PIN. Il ne peut pas utiliser le
code PIN système.
• ShowSystemPin.thtml
Ce modèle affiche le code PIN système pour l’utilisateur.
• Cancel.thtml
Ce modèle affiche un message pour l’utilisateur l’informant du fait que sa
demande d’ouverture de session a été annulée.
Pour obtenir des informations sur JavaScript, les définitions de formulaire,
les champs de formulaire et les variables contenus dans ces modèles,
reportez-vous aux commentaires des modèles.
Pages de pré-authentification ACE avec Netegrity
Vous pouvez personnaliser quatre pages de pré-authentification ACE afin de
les utiliser avec Netegrity SiteMinder :
• SM-NewPinSelect.thtml
Ce modèle invite l’utilisateur à entrer un nouveau code PIN ou à créer un
code PIN système avant de se connecter à l’IVE.
• SM-NewPinSystem.thtml
Ce modèle permet à l’utilisateur de créer un code PIN système s’il
sélectionne l’option PIN Système dans la page SM-NewPinSelect.thtml.
• SM-NewUserPin.thtml
Ce modèle invite l’utilisateur à créer un code PIN s’il sélectionne l’option
Entrer le code PIN dans la page SM-NewPinSelect.thtml. Il détermine
également si les deux codes PIN entrés par l’utilisateur correspondent
et alerte l’utilisateur si nécessaire. Lorsque vous configurez la variable
secid_pinserr (qui enregistre le code et le message d’erreur qui
informent l’utilisateur s’il s’est trompé lors de la saisie de son code PIN),
remarquez que les valeurs possibles sont notamment les suivantes :
Code
Valeur
0
Attribution d’un nouveau PIN
1
Les deux codes PIN entrés ne correspondent pas
• SM-NextToken.thtml
Pages de gestion du mot de passe
Vous pouvez personnaliser quatre pages de gestion du mot de passe :
• Defender.thtml
Ce modèle invite l’utilisateur Radius à entrer son code PIN et à fournir les
valeurs de défi appropriées à partir du serveur.

531
• GraceLoginUsed.thtml
Ce modèle indique à l’utilisateur combien de fois de plus il peut se
connecter à l’aide de son nom d’utilisateur et son mot de passe actuels.
• PasswordChange.thtml
Ce modèle signale à l’utilisateur que son mot de passe va expirer et
l’invite à le modifier.
• PasswordExpiration.thtml
Ce modèle signale à l’utilisateur que son mot de passe a expiré et l’invite
à le modifier.
Utilisation des modèles de SoftID.zip
Le fichier SoftID.zip vous permet de personnaliser les pages IVE afin
de les utiliser avec le client RSA Soft ID. Ce fichier zip contient les
modèles suivants :
• Cancel.thtml
Ce modèle permet à l’utilisateur de créer un code PIN système. Pour plus
d’informations, reportez-vous à la section « Cancel.thtml », page 531.
• ExceededConcurrent.thtml
Ce modèle affiche un avertissement relatif aux performances pour
l’utilisateur lorsque le nombre d’utilisateurs connectés simultanément à
l’IVE est trop élevé. Vous devez toujours inclure ce modèle dans votre
fichier zip.
• LoginPage.thtml*
Ce modèle appelle le client RSA Soft ID, ce qui permet à l’utilisateur de
se connecter à l’IVE à l’aide de l’authentification Soft ID. Vous devez
toujours inclure ce modèle dans votre fichier zip.
• Logout.thtml
Ce modèle affiche une erreur si l’utilisateur se déconnecte, si la session
de l’utilisateur expire ou si l’IVE désinstalle le vérificateur de l’hôte ou
le nettoyeur de cache du système de l’utilisateur. Pour obtenir de plus
amples informations, reportez-vous à « Logout.thtml* », page 528. Vous
devez toujours inclure ce modèle dans votre fichier zip.
• NewPin.thtml
à créer un code PIN système avant de se connecter à l’IVE. Pour plus
d’informations, reportez-vous à la section « NewPin.thtml », page 530.
• NextToken.thtml
• PleaseWait.thtml
Ce modèle détecte, arrête, installe et désinstalle les composants du
vérificateur d’hôte et du nettoyeur de cache, affiche des images et des
textes pour les utilisateurs pendant que l’IVE effectue ces actions et
532

vérifie périodiquement l’état de l’utilisateur afin de déterminer si le
vérificateur d’hôte ou le nettoyeur de cache est chargé sur son système
et le redirige vers la page d’ouverture de session (welcome.cgi) si
nécessaire. Pour plus d’informations, reportez-vous à la section
« PleaseWait.thtml », page 529.
• SelectRole.thtml
Ce modèle de page apparaît après la page d’ouverture de session et
affiche une liste de rôles parmi lesquels l’utilisateur peut faire son choix.
Vous pouvez choisir de personnaliser ce modèle si vous avez affecté vos
utilisateurs à plusieurs rôles, mais n’avez pas fusionné ces rôles de
manière permissive.
• SSL.thtml
Ce modèle affiche une erreur si l’authentification échoue et si l’utilisateur
n’est pas autorisé à se connecter à l’IVE. Vous devez toujours inclure ce
modèle dans votre fichier zip.
Utilisation des modèles de Kiosk.zip
Le fichier Kiosk.zip vous permet de personnaliser les pages IVE afin que
les utilisateurs de Kiosk puissent les employer. Ce fichier zip contient les
modèles suivants :
• Cancel.thtml
Ce modèle permet à l’utilisateur de créer un code PIN système. Pour plus
d’informations, reportez-vous à la section « Cancel.thtml », page 531.
• ExceededConcurrent.thtml
Ce modèle affiche un avertissement relatif aux performances pour
l’utilisateur lorsque le nombre d’utilisateurs connectés simultanément à
l’IVE est trop élevé. Vous devez toujours inclure ce modèle dans votre
fichier zip.
• GeneratePin.thtml
Ce modèle permet à l’utilisateur de créer un code PIN système. Pour
plus d’informations, reportez-vous à la section « GeneratePin.thtml »,
page 530.
• keyboarddemo.thtml
Ce modèle contient des exemples d’invites HTML permettant aux
utilisateurs d’entrer des données sans se servir du clavier. La saisie
sans clavier contribue à éviter les attaques « d’espions des claviers ».

533
• LoginPage.thtml
Ce modèle permet à l’utilisateur de se connecter à l’IVE à l’aide de
l’authentification Soft ID. Vous devez toujours inclure ce modèle dans
votre fichier zip.
• Logout.thtml
Ce modèle affiche une erreur si l’utilisateur se déconnecte, si la session
de l’utilisateur expire ou si l’IVE désinstalle le vérificateur de l’hôte ou
le nettoyeur de cache du système de l’utilisateur. Pour obtenir de plus
amples informations, reportez-vous à « Logout.thtml* », page 528.
Vous devez toujours inclure ce modèle dans votre fichier zip.
• NewPin.thtml
à créer un code PIN système avant de se connecter à l’IVE. Pour plus
d’informations, reportez-vous à la section « NewPin.thtml », page 530.
• NextToken.thtml
• PleaseWait.thtml
Ce modèle détecte, arrête, installe et désinstalle les composants du
vérificateur d’hôte et du nettoyeur de cache, affiche des images et des
textes pour les utilisateurs pendant que l’IVE effectue ces actions et
vérifie périodiquement l’état de l’utilisateur afin de déterminer si le
vérificateur d’hôte ou le nettoyeur de cache est chargé sur son système
et le redirige vers la page d’ouverture de session (welcome.cgi) si
nécessaire. Pour plus d’informations, reportez-vous à la section
« PleaseWait.thtml », page 529.
• ShowSystemPin.thtml
Ce modèle affiche le code PIN système pour l’utilisateur.
• SSL.thtml
Ce modèle affiche une erreur si l’authentification échoue et si l’utilisateur
n’est pas autorisé à se connecter à l’IVE. Vous devez toujours inclure ce
modèle dans votre fichier zip.
534

Annexe D.
vérificateur d’hôte Interfaces
Un Système IVE comporte deux API qui permettent d’intégrer des
fonctionnalités tierces :
• Interface client du vérificateur d’hôte
L’interface client du vérificateur d’hôte est une API qui permet d’exécuter
vos propres DLL à l’aide du vérificateur d’hôte. L’interface permet
d’ordonner au vérificateur d’hôte d’exécuter une DLL que vous avez déjà
installée sur le système de l’utilisateur ou distribuée au sein d’une image
de système d’exploitation valide pour toute l’entreprise. Cette DLL peut
être un programme qui vérifie la conformité aux images d’entreprise, aux
logiciels antivirus et aux clients de pare-feu personnel. Le vérificateur
d’hôte exécute la DLL indiquée lorsqu’un utilisateur se connecte au
système IVE, ses actions ultérieures dépendant de la réussite ou de
l’échec renvoyé par la DLL. Par exemple, vous pouvez interdire à un
utilisateur d’accéder au Système IVE si le logiciel de vérification du client
échoue. Pour plus d’informations, reportez-vous à la section « Interface
client du vérificateur d’hôte », page 536.
• Interface d’intégration de serveur du vérificateur d’hôte
L’interface d’intégration de serveur du vérificateur d’hôte est une API qui
permet une intégration étroite de vos DLL et des fichiers correspondants
dans le Système IVE. Tout comme l’interface client du vérificateur d’hôte,
vous pouvez employer l’interface d’intégration de serveur du vérificateur
d’hôte pour ordonner au vérificateur d’hôte d’exécuter vos logiciels
sur le client, comme des contrôles d’intégrité d’hôte, des détecteurs
d’antiprogrammes et des environnements virtuels. Cette interface vous
permet également de définir très précisément ce que le vérificateur
d’hôte doit faire en fonction du résultat renvoyé par la DLL. Ces actions
peuvent inclure la mise en correspondance d’utilisateurs à des royaumes,
rôles et stratégies de ressources différents selon le résultat des différentes
stratégies de vos logiciels. Pour plus d’informations, reportez-vous à
la section « Interface d’intégration de serveur du vérificateur d’hôte »,
page 540.

535
Interface client du vérificateur d’hôte
L’interface client du vérificateur d’hôte permet de communiquer avec une
application tierce de sécurité de point final via son API et d’examiner les
valeurs renvoyées afin de vérifier la fiabilité de l’ordinateur client. À l’heure
actuelle, la fonctionnalité vérificateur d’hôte IVE permet une intégration
étroite, via l’interface client du vérificateur d’hôte, avec Sygate Enforcement
API, Sygate Security Agent, Zone Labs ZoneAlarm Pro, Zone Labs Integrity,
McAfee Desktop Firewall 8.0 et InfoExpress CyberGatekeeper Agent. Pour
la prise en charge d’autres applications de sécurité de point final, ou
d’applications sans API, la plate-forme IVE comporte une bibliothèque
d’API génériques écrites en langage de programmation C. L’API Windows
est baptisée API d’interface client du vérificateur d’hôte. Elle contient la
fonction NHC_EndpointSecure(), qui vérifie la configuration du point final.
L’intégration de l’interface client du vérificateur d’hôte comprend
généralement les étapes suivantes :
1. Un administrateur IVE active le vérificateur d’hôte pour le royaume,
la ressource ou le rôle désiré. Pour ce royaume, rôle ou ressource,
l’administrateur définit une règle de vérification NHC tierce sur la
page vérificateur d’hôte de la Console Web. Cette règle détermine
l’emplacement de votre DLL personnalisée sur un ordinateur client.
2. Le Système IVE télécharge un programme d’installation ActiveX avec
le fichier d’interface client du vérificateur d’hôte sur l’ordinateur client
d’un utilisateur authentifié qui tente d’accéder au royaume, au rôle ou
à la ressource.
3. Le fichier d’interface client du vérificateur d’hôte charge votre DLL
personnalisée à partir de son emplacement sur le client. Avant d’appeler
la fonction NHC_EndpointSecure(), le fichier appelle la fonction Windows
WinVerifyTrust() en vue de valider la signature numérique de la DLL.
Reportez-vous à la section « Signature de votre DLL personnalisée »,
page 536 pour plus d’informations sur le fonctionnement pour
l’utilisateur.
4. Le fichier d’interface client du vérificateur d’hôte appelle la fonction
NHC_EndpointSecure(). Si la fonction renvoie NHC_STATUS_SECURE, le
contrôle de sécurité de point final du produit tiers réussit et le Système
IVE fait correspondre l’utilisateur ay royaume, au rôle ou à la ressource.
Si le contrôle de sécurité de point final échoue pour une stratégie au
niveau du royaume, l’utilisateur reçoit une erreur qui indique que
l’ordinateur n’est pas conforme à la stratégie de sécurité de point final,
après quoi il est renvoyé à la page d’ouverture de session. Si vous avez
indiqué l’URL d’une page affichant un message d’échec, cette page
s’ouvre alors dans une autre fenêtre de navigateur. Si le contrôle de
sécurité de point final échoue pour une stratégie au niveau d’un rôle
ou d’une ressource, le Système IVE se borne à ne pas faire correspondre
l’utilisateur au rôle ou à la ressource en question.
Signature de votre DLL personnalisée
Il est vivement conseillé de signer numériquement votre DLL personnalisée
afin de garantir l’intégrité de son contenu. Avant d’appeler votre DLL, le
536

vérificateur d’hôte appelle la fonction Windows WinVerifyTrust() pour
tenter d’en vérifier la fiabilité DLL.
• Si votre DLL n’est pas signée numériquement et que les paramètres de
sécurité du navigateur de l’utilisateur sont moyens ou élevés, l’utilisateur
est averti que la DLL n’est pas signée et qu’il est impossible d’en vérifier
la fiaibilité. L’utilisateur peut décider de continuer, auquel cas le
vérificateur d’hôte appelle la DLL. Si la fonction NHC_EndpointSecure()
renvoie NHC_STATUS_SECURE, l’utilisateur est mis en correspondance avec
le royaume, le rôle ou la ressource. Si l’utilisateur décide d’annuler
l’opération, le IVE ne le fait pas correspondre au royaume, au rôle ou
à la ressource.
• Si la DLL est dotée d’une signature numérique mais que WinVerifyTrust()
est incapable d’en vérifier la fiabilité, l’utilisateur en est informé.
L’utilisateur peut décider de continuer, auquel cas le vérificateur d’hôte
appelle la fonctionNHC_EndpointSecure(). Si cette fonction renvoie
NHC_STATUS_SECURE, l’utilisateur est mis en correspondance avec le
royaume, le rôle ou la ressource. Si l’utilisateur décide d’annuler
l’opération, le Système IVE ne le fait pas correspondre au royaume,
au rôle ou à la ressource.
• Si la DLL est signée numériquement et que WinVerifyTrust() en
confirme la fiabilité, l’utilisateur est informé que le fournisseur de
contenu et son intégrité ont été vérifiés, après quoi il peut décider de
continuer. Si l’utilisateur décide de continuer, le vérificateur d’hôte
appelle NHC_EndpointSecure(). Si cette fonction renvoie NHC_STATUS_SECURE,
l’utilisateur est mis en correspondance avec le royaume, le rôle ou la
ressource.
Déploiement et maintenance de vos DLL personnalisées
Pour déployer vos DLL personnalisées, vous devez :
• Au niveau du système, configurez la fonctionnalité vérificateur d’hôte
de manière à ce qu’elle appelle votre DLL personnalisée et indiquez le
chemin d’accès (avec le nom de fichier) de la DLL sur les ordinateurs
clients.
• Installez la DLL sur les ordinateurs clients appropriés ou distribuez-la
au sein de l’image PC de l’entreprise.
• Créez un royaume à privilèges réduits auquel les utilisateurs peuvent
accéder en cas d’échec du contrôle de sécurité de point final, puis
rendez la DLL accessible sur une page configurée en tant que signet
IVE pour ces utilisateurs.
• Vérifiez l’horodateur de la DLL pour vous assurer qu’il s’agit bien de
sa version la plus récente. Si le contrôle de sécurité de point final
échoue, envoyez les utilisateurs à une « page sûre » qui leur permet
de s’authentifier et de télécharger la version actuelle de la DLL.
API du vérificateur d’hôte NetScreen (NHC)
Cette section contient les définitions des fonctions de l’API du NHC.

537
Définitions de l’API NHC
#define NHC_STATUS_SECURE
1
#define NHC_STATUS_SUCCESS
0
#define NHC_STATUS_FAILURE
-1
#define NHC_STATUS_UNSECURE
-2
#define NHC_STATUS_BADPARAMETER
-3
NHC_EndpointSecure() Obligatoire
La fonction NHC_EndpointSecure vérifie la sécurité du point final en fonction
des critères définis par le responsable de sa mise en œuvre.
Syntaxe :
NHC_API int WINAPI NHC_EndpointSecure(void);
Paramètres :
Aucun
Valeurs renvoyées :
• NHC_STATUS_SECURE
Le client du point final est sécurisé.
• NHC_STATUS_UNSECURE
Le client du point final n’est pas sécurisé.
• NHC_STATUS_FAILURE
L’application de point final ne fonctionne pas.
• NHC_STATUS_BADPARAMETER
Une erreur interne s’est produite ; le client du point final doit être
considéré comme non sécurisé.
Fichier d’en-tête C : neoterisGenericAPI.h
Incluez le fichier d’en-tête suivant dans votre DLL :
/*
neoterisGenericAPI.h:
Ce fichier d’en-tête définit l’API générique d’intégration au
vérificateur d’hôte.
538

*/
#ifndef NEOTERISGENERICAPI_H
#define NEOTERISGENERICAPI_H
#ifdef __cplusplus
extern "C"
{
#endif
#ifdef NHC_EXPORTS
#define NHC_API __declspec(dllexport)
#else
#define NHC_API __declspec(dllimport)
#endif
#define NHC_STATUS_SECURE
1
#define NHC_STATUS_SUCCESS
0
#define NHC_STATUS_FAILURE
-1
#define NHC_STATUS_UNSECURE
-2
#define NHC_STATUS_BADPARAMETER
-3
NHC_API int WINAPI NHC_EndpointSecure(void);
/*
Paramètres : Aucun
Valeurs renvoyées :
NHC_STATUS_SECURE si le client du point final est sécurisé.
NHC_STATUS_UNSECURE si le client du point final n’est pas
sécurisé.
NHC_STATUS_FAILURE si l’application de point final n’est pas
en cours d’exécution.

539
NHC_STATUS_BADPARAMETER si une erreur interne s’est
produite ;
le client de point final doit être considéré comme non
sécurisé.
*/
#ifdef __cplusplus
}
#endif
#endif //NEOTERISGENERICAPI_H
Interface d’intégration de serveur du vérificateur d’hôte
L’interface d’intégration de serveur du vérificateur d’hôte contient une
bibliothèque d’API générique en langage de programmation C++. Cette
section décrit l’API et explique comment la mettre en œuvre pour l’utiliser
avec le vérificateur d’hôte.
Déploiement d’applications tierces via le vérificateur d’hôte
Pour déployer des applications tierces via le vérificateur d’hôte, vous devez
effectuer les tâches suivantes :
1. Création d’un fichier global de sécurité de point final (540)
2. Chargement du fichier global via le système IVE (541)
3. Configuration du vérificateur d’hôte en vue d’utiliser le fichier
global (541)
Création d’un fichier global de sécurité de point final
Un fichier global de sécurité de point final est un ensemble de fichiers qui
couvrent vos fonctionnalités tierces. Lors de la création d’un fichier global,
vous devez inclure les types de fichiers suivants :
• DLL d’interface
Une DLL d’interface est un programme qui exécute vos fonctions
spécialisées sur le client. Lors de la création de votre DLL, vous devez
fournir une interface entre vos modules et le vérificateur d’hôte à l’aide
des fonctions définies dans l’interface d’intégration de serveur du
vérificateur d’hôte.
• Fichier de définition de fichier global
Un fichier de définition de fichier global définit le nom de votre DLL
d’interface ainsi que les stratégies du vérificateur d’hôte que vous avez
540

définies dans votre DLL. Ce fichier doit contenir une définition par ligne,
en employant le format suivant :
HCIF-Main : <NomDLL>
HCIF-Policy : <NomStratégie>
Notez que si vous n’incluez pas de stratégies dans votre fichier global, le
vérificateur d’hôte se contente d’imposer l’exécution du fichier global sur
le client. Si vous établissez des stratégies à l’aide de ce fichier, elles
deviennent disponibles par l’intermédiaire de la Console Web IVE, où
vous pouvez les déployer au niveau des royaumes, des rôles et des
stratégies de ressources.
Pour que le système IVE reconnaisse votre fichier de définition de
stratégie, vous devez le baptiser MANIFEST.HCIF et le placer dans un
dossier nommé META-INF.
• Fichier d’en-tête de l’interface d’intégration de serveur du
vérificateur d’hôte
Le fichier d’en-tête de l’interface d’intégration de serveur du vérificateur
d’hôte (hcif.h) définit les fonctions de l’interface d’intégration de serveur
du vérificateur d’hôte que vous devez utiliser dans votre DLL. Vous devez
ajouter ce fichier dans le dossier include de votre fichier global pour
pouvoir utiliser les fonctions fournies avec l’interface d’intégration de
serveur du vérificateur d’hôte. Une copie de ce fichier est jointe au SDK
fourni avec le produit.
Outre ces fichiers obligatoires, vous pouvez également ajouter vos propres
fichiers de données dans le fichier global.
Chargement du fichier global via le système IVE
Lorsque vous avez créé votre fichier global de sécurité de point final,
vous devez l’archiver dans un fichier ZIP puis l’envoyer au système IVE au
moyen de la page Système > Configuration > Sécurité > vérificateur
d’hôte de la Console Web. Notez que lorsqu’un fichier global a été envoyé
via le système IVE, il est impossible de le modifier sur le serveur. Vous
devez le modifier sur votre système local, supprimer la version du serveur
puis envoyer la version modifiée au système IVE.
Configuration du vérificateur d’hôte en vue d’utiliser le fichier global
Lorsque vous avez envoyé un fichier global valide, le système IVE ouvre
automatiquement les stratégies qu’il contient sur les pages de configuration
des royaumes, des rôles et des stratégies de ressources de la Console Web.
Vous pouvez ensuite utiliser ces pages pour mettre les stratégies en
oeuvre. Lorsqu’un utilisateur tente d’accéder à un royaume, un rôle ou
une ressource protégé par l’une de ces stratégies, le système IVE exécute
le programme que vous avez envoyé au serveur.
Création de votre DLL d’interface
Lorsque vous créez une DLL d’interface afin d’exécuter vos fonctions
spécialisées sur les ordinateurs des utilisateurs, vous devez employer les
fonctions fournies dans l’interface d’intégration du vérificateur d’hôte pour :
1. Fournir un point d’entrée à la DLL (542)
2. Créer une structure de module pour votre DLL (542)

541
3. Créer une instance pour votre module (542)
4. Vérifier la version de l’API utilisée pour compiler votre module (543)
5. Installer votre fichier global de sécurité de point final sur l’ordinateur
de l’utilisateur (543)
6. Effectuer des contrôles de sécurité de point final (543)
7. Arrêter la DLL et nettoyer les fichiers temporaires (543)
8. Supprimer le fichier global de l’ordinateur de l’utilisateur (543)
Les étapes requises et les fonctions correspondantes sont illustrées sur le
schéma suivant :
Remarque :
• Toutes les fonctions décrites dans cette section figurent dans le fichier
d’exemple hcif.cpp fourni dans le SDK.
• Vous pouvez vérifier si votre fichier global est conforme aux normes
décrites dans cette section à l’aide de l’utilitaire hciftool.exe fourni
dans le SDK.
Fonction DllMain()
La fonction DllMain() permet de définir un point d’entrée pour votre DLL
dans le cadre principal du vérificateur d’hôte. Cette fonction avertit le
vérificateur d’hôte qu’il doit exécuter votre DLL tierce. Lorsque vous ajoutez
la fonction DllMain() à votre projet, vous devez copier et utiliser la version
qui se trouve dans le fichier d’exemple hcif.cpp fourni avec le SDK.
Fonction HCIF_Module()
La fonction HCIF_Module() permet de créer une structure pour votre DLL.
Toutes les autre fonctions décrites dans cette section doivent être appelées
depuis la fonction HCIF_Module().
Fonction HCIF_CreateInstance()
La fonction HCIF_CreateInstance() sert à créer une instance de votre
service et à créer un point d’entrée pour la DLL. Le cadre vérificateur
d’hôte appelle la fonction HCIF_CreateInstance() pour obtenir un pointeur
vers la structure HCIF_Module.
542

Fonction HCIF_Version()
La fonction HCIF_Version() permet de renvoyer la version de l’API
vérificateur d’hôte qui a été utilisée pour compiler le module. Le cadre
vérificateur d’hôte utilise la valeur renvoyée (stockée dans la macro
HCIF_API_Version) pour comparer la version du module à celle qui figure
sur le serveur.
Fonction HCIF_Install()
La fonction HCIF_Install() permet de fournir les fichiers requis du système
IVE à celui de l’utilisateur. Dans la fonction HCIF_Install(), vous pouvez
utiliser la fonction C standard getFile pour récupérer les fichiers envoyés
au système IVE et les copier dans le répertoire par défaut du vérificateur
d’hôte sur le système de l’utilisateur : <Répertoire>\Neoteris\Host Checker
(où <Répertoire> est l’emplacement de vos applications, comme :
C:\Program Files).
Fonction HCIF_Check()
La fonction HCIF_Check() permet d’effectuer les contrôles côté client.
Vous pouvez utiliser la fonction HCIF_Check() pour exécuter les modules
d’exécutiuon essentiels de votre fichier global. Ces modules doivent vérifier
la conformité du point final aux stratégies configurées, puis renvoyer une
valeur de TRUE si le contrôle a réussi ou FALSE s’il a échoué.
Fonction HCIF_Terminate()
La fonction HCIF_Terminate() permet d’effectuer un nettoyage final à la
fin d’une session (libération des ressources, suppression des fichiers
temporaires et rétablissement d’entrées de registre). Le cadre Host
Checker appelle la fonction HCIF_Terminate() à la fin de la session IVE
de l’utilisateur.
Fonction HCIF_Uninstall()
La fonction HCIF_Uninstall() permet d’éliminer toute trace de votre module
du système de l’utilisateur. Le cadre vérificateur d’hôte appelle la fonction
HCIF_Uninstall() après la fonction HCIF_Terminate().

543
544

Annexe E.
Utilisation du lanceur W-SAM
Le lanceur W-SAM est un outil destiné à connecter un utilisateur au
système IVE, puis à télécharger et à lancer W-SAM. Le lanceur fournit
une interface de ligne de commande qu’un script ou une application peu
appeler. Par exemple, vous pouvez rédiger une application qui appelle
l’exécutable W-SAM lorsque cela est nécessaire.
Pour utiliser le lanceur W-SAM, vous devez effectuer les tâches suivantes :
• Rédigez un script, un fichier batch, un service ou une application qui
appellent le lanceur W-SAM à l’aide des arguments de ligne de commande.
Vous devez distribuer ce fichier à chaque PC client qui en a besoin.
• Téléchargez le lanceur W-SAM depuis le système IVE et distribuez-le à
vos utilisateurs.
Utilisez les arguments de ligne de commande du Tableau 1 pour appeler
le lanceur W-SAM.
Important : Si vous activez l’option Session persistante de l’onglet Utilisateurs >
Rôles > NomRôle > Général > Options de session, le système IVE met en
cache le nom d’utilisateur et le mot de passe dans le cookie de session
persistant après la première authentification réussie. Cette situation
pose un risque de sécurité potentiel, car le lanceur W-SAM utilise les
informations stockées dans le cookie de session persistant pour toutes
les tentatives de connexion suivantes au cours de la même session,
même si vous mettez fin à la connexion à W-SAM. Pour plus d’informations sur les sessions persistantes, reportez-vous à la section « Onglet
Général > Options de session », page 336.
Tableau 1 : Arguments de ligne de commande W-SAM
Argument
Action
-start
Entame la connexion W-SAM.
-stop
Met un terme à la connexion W-SAM et déconnecte
l’utilisateur.

545
Tableau 1 : Arguments de ligne de commande W-SAM suite
Argument
Action
-version
Affiche les informations de version de W-SAM, puis
se ferme.
-help
Affiche les arguments disponibles.
-noupgrade
Annule la mise à niveau automatique du logiciel W-SAM.
-reboot.
Se réamorce automatiquement si la mise à jour le demande.
Si le témoin de réamorçage n’est pas activé, W-SAM se
ferme et ne se réamorce pas pendant une mise à niveau.
Veillez à activer le témoin de réamorçage si W-SAM
fonctionne automatiquement sur un PC distant.
-u <user>
Spécifie le nom de l’utilisateur.
-p <password>
Spécifie le mot de passe d’authentification.
-loginscript file
Spécifie l’emplacement et le nom du fichier de script à
exécuter lorsque W-SAM démarre. Cette commande est
prioritaire sur un fichier de script spécifié sur la page
Utilisateurs > Rôles > Nom du rôle > SAM >
Options.
-postscript file
Spécifie l’emplacement et le nom du fichier de script à
exécuter lorsque W-SAM est fermé. Cette commande
est prioritaire sur un fichier de script spécifié sur la page
Utilisateurs > Rôles > Nom du rôle > SAM >
Options.
-u <URL>
Spécifie l’URL d’ouverture de session pour le système IVE.
-r <realm>
Spécifie le domaine auquel l’IVE soumet les données
d’identification de l’utilisateur.
-verbose
Invite les utilisateurs à effectuer des saisies dans les boîtes
de dialogue.
Le Tableau 2 énumère les codes possibles que le lanceur W-SAM renvoie
lorsqu’il se ferme.
Tableau 2 : Codes de retour des applications
546

Code
Description
0
Réussite
1
Arguments non valides
2
Connexion impossible.
3
Données d’identification non valides
Tableau 2 : Codes de retour des applications suite
Code
Description
4
Rôle non spécifié (données d’identification correspondant à
plusieurs rôles)
5
Erreur de pré-authentification (le vérificateur d’hôte ou le
nettoyeur de cache ne s’est pas chargé)
6
Echec de l’installation
7
Réamorçage requis (si ‘-reboot’ n’était pas spécifié)
Exécution manuelle de scripts
Les utilisateurs peuvent spécifier manuellement des scripts à exécuter
lorsqu’une session W-SAM commence ou se termine avec des arguments de
ligne de commande. Si vous avez spécifié des scripts à exécuter par le biais
de la Console Web, sur la page Utilisateurs > Rôles > NomRôle > SAM >
Options, le script configuré ne s’exécute pas si un utilisateur appelle
manuellement W-SAM à l’aide du lanceur et spécifie un autre script.
Pour lancer un script après le début d’une session W-SAM :
A l’invite de la commande, entrez :
-loginscript file
suivi d’une variable système ou d’un nom/emplacement de fichier de script.
Pour lancer un script à la fin d’une session W-SAM :
A l’invite de la commande, entrez :
-postscript file
suivi d’une variable système ou du nom/emplacement de fichier de script.
Remarque :
• Placez les variables système, chemins des fichiers et noms des fichiers
entre guillemets.
• Faites précéder et suivre les variables système d’un signe de
pourcentage (%)
Exemple :
-loginscript file “%program files:%\Internet Explorer\IEXPLORER.EXE”

547
Exécution automatique de scripts
Exemple de fichier batch
L’exemple suivant démontre comment utiliser le lanceur W-SAM pour
appeler W-SAM. Cet exemple de fichier batch génère des messages
d’erreur lorsque W-SAM démarre :
SamControl –start –url %1 –user %2 –password %3 –realm %4
if errorlevel 1 goto error_invalid_args
if errorlevel 2 goto error_connect
if errorlevel 3 goto error_credentials
if errorlevel 4 goto error_role
if errorlevel 5 goto error_preauth
if errorlevel 6 goto error_install
if errorlevel 7 goto error_reboot
:error_invalid_args
@echo invalid arguments
goto done
:error_connect
@echo could not connect
goto done
:error_credentials
@echo invalid credentials
goto done
:error_role
@echo invalid role
goto done
:error_preauth
@echo pre auth version checking
goto done
:error_install
@echo install failed
goto done
:error_reboot
@echo reboot required
goto done
:error_success
@echo Secure Application Manager has started
goto done
:done
548

Exemple d’API Win32
CHAR szCmd = “SamLauncher.exe –stop”;
DWORD dwExitCode = 0;
STARTUPINFO si;
PROCESS_INFORMATION pi;
ZeroMemory(&si, sizeof(si));
si.cb = sizeof(si);
ZeroMemory(&pi, sizeof(pi));
if (!CreateProcess(NULL, szCmd, NULL, NULL, FALSE,
0, NULL, NULL, &si, &pi)) {
printf( "CreateProcess(%s) failed %d", szCmd, GetLastError());
return -1;
}
WaitForSingleObject(pi.hProcess, 20000);
GetExitCodeProcess(&pi.hProcess, &dwExitCode);
CloseHandle(pi.hProcess);
CloseHandle(pi.hThread);
printf(“SamLauncher return %d\n”, dwExitCode);
return 0;

549
550

Annexe F.
Utilisation du service d’installation Juniper
Le service d’installation Juniper gère les processus d’installation de logiciels
sur le client, ainsi que les tâches de désinstallation, de mise à niveau et
d’annulation de mise à niveau. Comme ces tâches exigent des autorisations
d’administrateur, le service tourne sous le compte Système local du client
(un compte de haut niveau possédant un accès total au système) et
s’enregistre dans le gestionnaire de contrôle des services (SCM) de
Windows. Un contrôle ActiveX ou une applet Java tournant dans le
navigateur Web de l’utilisateur communique les détails des processus
d’installation à effectuer via un canal sécurisé entre le système IVE et
le client.
Compatibilité avec les antivirus
Le service d’installation Juniper est compatible avec de nombreux programmes
antivirus courants. Le tableau suivant présente la compatibilité de plusieurs
applications antivirus avec WSAM et WSAM avec NetBIOS.
Remarque : Si un conflit se produit, le système IVE bloque le téléchargement et
affiche un message d’erreur qui explique le conflit.
Logiciel antivirus
Version
WSAM
WSAM avec
NetBIOS
Norton AntiVirus
2003
Non
Oui
Norton AntiVirus
2004
Non
Oui
Norton AntiVirus Professional
2004
Non
Oui
Symantec AntiVirus Corporate Edition
8.0
Non
Non
McAfee
7.0
Oui
Non
McAfee
8.0
Non
Non
Trend Micro PC-cillin
2004
Non
Non

551
Installation sur des systèmes clients
Tenez compte des remarques suivantes lorsque vous installez le service
d’installation Juniper sur un système client :
• Vous devez posséder des autorisations de niveau administrateur pour
pouvoir installer le service d’installation Juniper
• Veillez à ce que le système d’installation de Microsoft Windows existe
déjà sur le système client avant d’installer le service d’installation
Juniper.
• Comme le service d’installation Juniper emploie le système d’installation
de Microsoft Windows, votre entreprise peut exploiter tout système
automatisé d’installation poussée qui seraient déjà disponibles, comme
le SMS, les enveloppes d’installation, etc.
• Le service d’installation Juniper s’installe, sur l’ordinateur client, à
l’emplacement suivant :
C:\Program Files\Neoteris\Installer Service\NeoterisSetupService.exe
• Le service démarre automatiquement lors de l’installation et pendant le
démarrage du système client.
• Le service figure dans la liste Services (Local) sous l’appellation Service
d’installation Juniper.
552

Annexe G.
XML des graphes du tableau de bord Central
Manager
Si vous avez installé la mise à niveau Central Manager sur votre système
Access Series ou Meeting Series, le tableau de bord système s’affiche
lorsque vous ouvrez la console de l’administrateur. Ce tableau de bord
affiche des graphes de capacité système qui permettent de surveiller
aisément votre système, comme l’explique la section « Affichage de
l’utilisation de la capacité du système », page 130.
Si vous voulez analyser ou afficher les informations de ces graphes à
l’aide de vos propres outils, vous pouvez employer la fonctionnalité de
téléchargement de graphe. Depuis le tableau de bord système, vous
pouvez télécharger les données de chaque graphe sous la forme d’un
fichier XML. Vous pouvez ensuite utiliser vos propres outils pour remettre
en forme les données de ces fichiers XML ou les analyser.
Schémas XML des graphes du tableau de bord Central Manager
Les fichiers XML des graphes du tableau de bord système contiennent tous
les mêmes éléments XML de base :
• <xport>
Élément de niveau supérieur.
• <meta>
Élément de deuxième niveau.
• <start>
Heure à laquelle le système a récolté le premier point de données pour
le graphe, en format UTC.
• <step>
Intervalle, en secondes, selon lequel le système a collecté des points
de données. Par exemple, l’entrée XML suivante indique que le système
collecte les données toutes les minutes : <step>60</step>
• <end>
Heure à laquelle le système a récolté le dernier point de données pour le
graphe, en format UTC.
• <rows>
Nombre de points de données collectés pour le graphe.

553
• <columns>
Nombre de valeurs de mesure collectées pour le graphe. (Ce nombre
correspond au nombre de ligne affichées dans le graphe de la console
de l’administrateur.)
• <legend>
Contient une liste de sous-éléments <entry> qui définissent le nom de
chaque valeur de mesure collectée pour les graphes. Par exemple, les
sous-éléments du graphe Utilisateurs simultanés peuvent contenir :
<legend>
<entry>Utilisateurs locaux</entry>
<entry>Utilisateurs simultanés</entry>
</legend>
• <data>
Contient une liste de sous-éléments <row> qui contiennent les données
périodiques collectées pour chaque entrée. Chaque élément <row>
contient un sous-élément <t> qui contient l’heure à laquelle le système
a collecté les données, ainsi que des sous-élements <v> pour chaque
élément de données. Par exemple, une ligne du graphe Utilisateurs
simultanés peut contenir :
<data>
<row>
<t>1089748980</t><v>2.1000000000e+01</v><v>2.1000000000e+01</v>
</row>
Exemple de schéma XML
L’exemple suivant présente la sortie XML d’un graphe Utilisateurs
simultanés. Notez que pour ne pas produire un exemple trop long,
certains éléments <row> d’origine ont été supprimés.
<xport>
<meta>
<start>1089748980</start>
<step>60</step>
<end>1089763440</end>
<rows>242</rows>
<columns>2</columns>
<legend>
<entry>Utilisateurs locaux</entry>
<entry>Utilisateurs simultanés</entry>
554

</legend>
</meta>
<data>
<row>
<t>1089748980</t><v>2.1000000000e+01</v><v>2.1000000000e+01</v>
</row>
<row>
<t>1089749040</t><v>2.1000000000e+01</v><v>2.1000000000e+01</v>
</row>
<row>
<t>1089749100</t><v>2.1000000000e+01</v><v>2.1000000000e+01</v>
</row>
...
<row>
<t>1089763440</t><v>NaN</v><v>NaN</v>
</row>
</data>
</xport>

555
556

Annexe H.
Authentification et autorisation : organigramme
Le présent organigramme montre les transactions qui ont lieu entre un
utilisateur et le Système IVE ainsi que le Système IVE et un domaine
d’authentification. L’organigramme commence lorsqu’un utilisateur entre
l’URL d’une page d’ouverture de session d’un Système IVE et se termine
lorsqu’il met un terme à la session de manière proactive.

557
Figure 185 : Etape 1 de 3 : Le système IVE authentifie l’utilisateur.
558

Figure 186 : Etape 2 de 3 : Le système IVE affecte l’utilisateur à un ou plusieurs rôles
d’utilisateur.

559
Figure 187 : Etape 3 de 3 : Le système IVE évalue les stratégies de ressources
correspondant à la demande de l’utilisateur.
560

Annexe I.
Configuration des options de gestion des accès
Le Système IVE permet de sécuriser les ressources de l’entreprise à trois
niveaux :
• Royaume
Au niveau du royaume, les exigences de gestion des accès sont définies
dans la stratégie d’authentification.
• Rôle
Au niveau des rôles, les exigences de gestion des accès sont définies dans
les règles de correspondance des rôles de la stratégie d’authentification
ou au moyen des options de restriction pour le rôle.
Au niveau de la stratégie de ressources, les exigences de gestion des
accès sont définies par la rédaction de conditions pour les règles.
Pour plus d’informations sur la configuration de la gestion des accès,
reportez-vous aux sections suivantes :
Définition des restrictions d’adresse IP source..................................... 562
Définition des restrictions de navigateur............................................... 563
Définition de restrictions de certificat côté client................................... 565
Définition d’une restriction de longueur de mot de passe..................... 566
Définition des restrictions du nettoyeur de cache................................. 568
Vous trouverez des informations générales dans la section « Présentation
de la gestion des accès », page 21.

561
Restrictions d’adresse IP source
Une restriction d’adresse IP source permet de déterminer les adresses IP
à partir desquelles les utilisateurs peuvent accéder à une page d’ouverture
de session IVE, être mis en correspondance avec un rôle ou accéder à
une ressource.
5
Définition des restrictions d’adresse IP source
Pour définir des restrictions d’adresse IP source :
• Au niveau du royaume
Accédez à :
•
Administrateurs > Authentification > SélectionnerRoyaume >
Stratégie d’authentification > IP source
•
Utilisateurs > Authentification > SélectionnerRoyaume > Stratégie
d’authentification > IP source
• Au niveau du rôle
Accédez à :
•
Administrateurs > Délégation > SélectionnerRôle > Général >
Restrictions > IP source
•
Utilisateurs > Authentification > SélectionnerRoyaume >
Correspondance de rôles> Sélecti