Manuel d`installation UCOPIA Advance

Transcription

Manuel d’installation UCOPIA
Advance
La mobilité à la hauteur des exigences
professionnelles
Version 4.3
Manuel d’installation UCOPIA Advance
Table des matières
1. Introduction ............................................................................................................................. 8
2. Installation .............................................................................................................................. 9
3. Connexion à l’outil d’administration UCOPIA ........................................................................... 11
4. Installation de la licence UCOPIA .......................................................................................... 15
4.1. Installation automatique .............................................................................................. 15
4.2. Installation manuelle ................................................................................................... 16
5. Configuration du contrôleur UCOPIA ...................................................................................... 19
5.1. Configuration réseau .................................................................................................. 20
5.1.1. Configuration des paramètres de base du contrôleur ......................................... 21
5.1.2. Configuration des VLAN d’entrée ...................................................................... 23
5.1.3. Configuration des VLAN de sortie ..................................................................... 27
5.1.4. Configuration des routes statiques de sortie ...................................................... 32
5.1.5. Configuration du serveur de temps ................................................................... 34
5.1.6. Configuration du serveur DNS .......................................................................... 35
5.1.7. Configuration des options de filtrage ................................................................. 40
5.2. Configuration de l’authentification ................................................................................ 43
5.2.1. Configuration des annuaires d’authentification ................................................... 43
5.2.2. Configuration des certificats ............................................................................. 51
5.2.3. Configuration RADIUS ..................................................................................... 53
5.2.4. Configuration Windows .................................................................................... 57
5.2.5. Configuration Shibboleth .................................................................................. 58
5.3. Configuration du « Zéro configuration » ....................................................................... 62
5.3.1. Configuration du mécanisme « IP fixe » ............................................................ 62
5.3.2. Configuration du service Web ........................................................................... 63
5.3.3. Configuration du service de redirection vers un serveur de messagerie ................ 65
5.3.4. Configuration du serveur d’impression .............................................................. 68
5.4. Personnalisation ......................................................................................................... 75
5.4.1. Personnalisation des portails UCOPIA .............................................................. 75
5.4.2. Configuration des chartes ............................................................................... 108
5.4.3. Configuration des champs additionnels ........................................................... 110
5.4.4. Personnalisation des tickets de connexion ....................................................... 113
5.4.5. Configuration d’URL en accès libre ................................................................. 118
5.5. Configuration du mécanisme de journalisation ............................................................ 120
5.5.1. Critères d’activation de la journalisation ........................................................... 121
5.5.2. Purge de la base de données des journaux ..................................................... 121
5.6. Configuration de la haute disponibilité ........................................................................ 124
5.6.1. Redondance .................................................................................................. 125
5.6.2. Répartition de charge ..................................................................................... 125
5.6.3. Configuration de la redondance et de la répartition de charge ........................... 125
5.7. Configuration multi-contrôleurs .................................................................................. 131
5.8. Configuration des services externes de communication ............................................... 135
5.8.1. Configuration du service de SMS .................................................................... 136
5.8.2. Configuration du service de messagerie (email) ............................................... 138
5.8.3. Configuration du service PayPal ..................................................................... 141
5.8.4. Configuration du service PMS ........................................................................ 143
5.8.5. Configuration du service PPS ......................................................................... 147
© 2012 Ucopia
2
5.9. Configuration des interfaces avec le contrôleur UCOPIA ............................................. 148
5.9.1. Interface SNMP ............................................................................................. 148
5.9.2. Interface Syslog ............................................................................................. 150
6. Configuration des éléments actifs ......................................................................................... 152
6.1. Configuration des points d’accès Wi-Fi ...................................................................... 152
6.2. Configuration des commutateurs ............................................................................... 152
7. Mise en service ................................................................................................................... 154
A. Protocole PMS/FIAS ........................................................................................................... 155
© 2012 Ucopia
3
Liste des illustrations
2.1. Schéma d’installation d’UCOPIA Advance ............................................................................. 9
3.1. Découverte UPnP sous Windows XP .................................................................................. 11
3.2. Page d’authentification à l’outil d’administration UCOPIA Advance ......................................... 12
3.3. Page d’accueil d’UCOPIA Advance sans licence .................................................................. 13
3.4. Téléchargement de la documentation .................................................................................. 13
4.1. Installation de la licence UCOPIA ........................................................................................ 15
4.2. Enregistrement automatique de licence ............................................................................... 16
4.3. Installation manuelle de licence ........................................................................................... 16
4.4. Génération du fichier de licence .......................................................................................... 17
4.5. Enregistrement manuel de la licence ................................................................................... 17
4.6. Restauration de licence ...................................................................................................... 18
5.1. Page d’accueil de la configuration UCOPIA Advance ............................................................ 19
5.2. Items du menu Réseau ...................................................................................................... 21
5.3. Configuration des paramètres de base du contrôleur ............................................................ 22
5.4. Configuration des VLAN d’entrée ........................................................................................ 24
5.5. Ajout d’un VLAN d’entrée ................................................................................................... 25
5.6. Exemple de configuration d’un VLAN d’entrée ..................................................................... 26
5.7. Exemple de configuration des paramètres DHCP pour un VLAN d’entrée ............................... 26
5.8. Ajout d’une plage d'adresses DHCP .................................................................................... 27
5.9. Ajout d’un bail fixe ............................................................................................................. 27
5.10. Configuration des VLAN de sortie ..................................................................................... 28
5.11. Ajout d’un VLAN de sortie ................................................................................................ 29
5.12. Exemple de création d’un VLAN de sortie .......................................................................... 30
5.13. Politique de sortie par défaut pour le VLAN natif ................................................................ 31
5.14. Ajout d’une politique de sortie ........................................................................................... 31
5.15. Exemple de configuration de VLANs de sortie supplémentaires ........................................... 32
5.16. Exemple de politiques de sortie ........................................................................................ 32
5.17. Configuration des routes statiques de sortie ....................................................................... 33
5.18. Ajout d’une route statique ................................................................................................. 34
5.19. Exemple de configuration d’une route statique ................................................................... 34
5.20. Configuration du serveur de temps .................................................................................... 35
5.21. Configuration du serveur DNS ........................................................................................... 36
5.22. Test d’un serveur DNS ..................................................................................................... 37
5.23. Configuration d’une politique DNS ..................................................................................... 38
5.24. Ajout d’un nouvel enregistrement DNS .............................................................................. 39
5.25. Exemple de configuration d’un enregistrement DNS ........................................................... 39
5.26. Configuration des options de filtrage UCOPIA .................................................................... 40
5.27. Définition d'un nouvel accès .............................................................................................. 41
5.28. Ajout d'une ouverture de port ............................................................................................ 42
5.29. Ajout d'une redirection de port .......................................................................................... 42
5.30. Items du menu Authentification ......................................................................................... 43
5.31. Configuration des annuaires d’authentification .................................................................... 44
5.32. Configuration d’un annuaire d’authentification ..................................................................... 45
5.33. Configuration des paramètres généraux d’un annuaire externe ............................................ 45
5.34. Configuration des paramètres de connexion à un annuaire externe Active Directory .............. 46
5.35. Configuration des paramètres de connexion à un annuaire externe LDAP ............................ 46
5.36. Configuration des paramètres de recherche de profil (Active Directory) ................................ 48
5.37. Configuration des paramètres de recherche de profil (LDAP) .............................................. 48
© 2012 Ucopia
4
5.38.
5.39.
5.40.
5.41.
5.42.
5.43.
5.44.
5.45.
5.46.
5.47.
5.48.
5.49.
5.50.
5.51.
5.52.
5.53.
5.54.
5.55.
5.56.
5.57.
5.58.
5.59.
5.60.
5.61.
5.62.
5.63.
5.64.
5.65.
5.66.
5.67.
5.68.
5.69.
5.70.
5.71.
5.72.
5.73.
5.74.
5.75.
5.76.
5.77.
5.78.
5.79.
5.80.
5.81.
5.82.
5.83.
5.84.
5.85.
5.86.
5.87.
5.88.
Configuration des comptes de délégation associés à un annuaire ........................................
Configuration des cascades d’annuaires ............................................................................
Exemple de configuration de cascades d’annuaires ............................................................
Chargement des certificats ................................................................................................
Visualisation du contenu d’un certificat ..............................................................................
Configuration du RADIUS UCOPIA ...................................................................................
Exemple de configuration des NAS ...................................................................................
Configuration par défaut des realms ..................................................................................
Configuration du RADIUS UCOPIA en mode proxy ............................................................
Exemple de configuration d’un realm .................................................................................
Options avancées d’authentification RADIUS .....................................................................
Configuration de l’authentification transparente Windows ....................................................
Exemple d’enregistrement dans un domaine Windows ........................................................
Écran d'accueil de la configuration Shibboleth ....................................................................
Création d'une nouvelle configuration Shibboleth ................................................................
Enregistrement sur le réseau RENATER ...........................................................................
Items du menu Zéro configuration .....................................................................................
Configuration du mode « IP fixe » .....................................................................................
Configuration du service Web ...........................................................................................
Configuration de la redirection vers un proxy parent ...........................................................
Configuration du service de redirection vers un serveur de messagerie ................................
Choix des modes de configuration de redirection SMTP .....................................................
Exemple de configuration de redirection SMTP ..................................................................
Exemple de configuration du relai SMTP ...........................................................................
Configuration des imprimantes ..........................................................................................
Choix du protocole de l'imprimante locale, ou réseau .........................................................
Saisie de l'adresse de l'imprimante ....................................................................................
Description de l 'imprimante ..............................................................................................
Choix du fabricant de l'imprimante .....................................................................................
Choix du modèle de l'imprimante ......................................................................................
Définition des options de l'imprimante ................................................................................
Visualisation d’une imprimante configurée ..........................................................................
Affichage d’information détaillée pour une imprimante .........................................................
Items du menu Personnalisation .......................................................................................
Configuration des portails UCOPIA ....................................................................................
Tableau des associations ..................................................................................................
Tableau des configurations ...............................................................................................
Tableau des modèles visuels ............................................................................................
Ajout d'une association .....................................................................................................
Configuration d'une association .........................................................................................
Activation/désactivation d'une association ..........................................................................
Association ajoutée ...........................................................................................................
Modification d'une association ...........................................................................................
Ajout d’une configuration de portail captif ...........................................................................
Exemple de configuration d’un portail hébérgé (avec redirection) .........................................
Exemple de configuration d’un portail externe ....................................................................
Exemple de configuration des langues du portail captif .......................................................
Exemple de portail captif UCOPIA .....................................................................................
Portail captif "welcome" avec enregistrement libre ..............................................................
Auto-enregistrement libre d’un utilisateur depuis le portail captif ..........................................
Configuration du portail captif avec enregistrement libre ......................................................
© 2012 Ucopia
48
50
51
52
52
53
54
55
55
56
57
58
58
59
60
62
62
63
64
65
66
67
67
68
69
70
70
70
71
72
73
74
74
75
76
76
77
78
79
79
80
80
81
82
83
84
86
87
88
89
89
5
5.89. Portail captif « welcome » avec enregistrement par SMS .................................................... 90
5.90. Auto-enregistrement par SMS d’un utilisateur depuis le portail captif .................................... 91
5.91. Configuration du portail captif avec enregistrement par SMS ............................................... 92
5.92. Portail captif avec enregistrement par email ....................................................................... 92
5.93. Auto-enregistrement par email d’un utilisateur depuis le portail captif ................................... 93
5.94. Exemple de configuration du portail captif avec enregistrement par Mail ............................... 94
5.95. Portail captif avec paiement en ligne ................................................................................. 94
5.96. Enregistrement lors d’un paiement en ligne ........................................................................ 95
5.97. Choix d’un forfait avant paiement en ligne ......................................................................... 96
5.98. Configuration du portail captif avec paiement en ligne ........................................................ 97
5.99. Exemple de portail captif avec utilisation de forfaits (PMS) .................................................. 98
5.100. Exemple de feedback utilisateur après un choix de forfait ................................................. 99
5.101. Exemple de configuration du portail captif avec utilisation d’un PMS .................................. 99
5.102. Portail captif avec utilisation d’un PPS ........................................................................... 100
5.103. Exemple de configuration du portail captif avec utilisation de cartes prépayées (PPS) ........ 101
5.104. Portail captif avec authentification Shibboleth ................................................................. 101
5.105. Exemple de feedback utilisateur après authentification .................................................... 102
5.106. Exemple de configuration du portail captif avec authentification Shibboleth ....................... 102
5.107. Modification d'une configuration de portail captif ............................................................. 103
5.108. Ajout d'une configuration de portail de délégation ........................................................... 103
5.109. Exemple de champs d'enregistrement des utilisateurs pour le portail de délégation ............ 104
5.110. Exemple de configuration des langues du portail de délégation ........................................ 104
5.111. Modification d'une configuration de portail de délégation ................................................. 105
5.112. Ajout d'un modèle visuel ............................................................................................... 105
5.113. Exemple de configuration d'un nouveau modèle visuel .................................................... 106
5.114. Exemple d'ajout d'un modèle visuel ............................................................................... 106
5.115. Edition d'un modèle visuel ............................................................................................. 106
5.116. Choix du type de modèle visuel à éditer ........................................................................ 106
5.117. Éditeur de modèle visuel de portail ................................................................................ 107
5.118. Modification d'un modèle visuel ..................................................................................... 107
5.119. Exportation du modèle visuel ......................................................................................... 108
5.120. Importation d'un modèle externe .................................................................................... 108
5.121. Configuration des chartes .............................................................................................. 109
5.122. Ajout d'une charte ......................................................................................................... 109
5.123. Charte de type Texte .................................................................................................... 110
5.124. Charte de type Fichier .................................................................................................. 110
5.125. Charte de type URL ...................................................................................................... 110
5.126. Personnalisation des champs additionnels ...................................................................... 111
5.127. Ajout de champs additionnels ........................................................................................ 112
5.128. Portail de délégation avec champs additionnels .............................................................. 113
5.129. Personnalisation des tickets de connexion ..................................................................... 114
5.130. Exemple de configuration d’un ticket de connexion au format A4 ..................................... 115
5.131. Exemple de ticket de connexion au format A4 ................................................................ 116
5.132. Exemple de configuration d’un ticket de connexion au format badge ................................ 117
5.133. Exemple de ticket de connexion au format badge ........................................................... 117
5.134. Configuration des URL en accès libre ............................................................................ 118
5.135. Ajout d’une URL HTTP en accès libre ............................................................................ 119
5.136. Exemple d’URL en accès libre ...................................................................................... 119
5.137. URL HTTP en accès libre ............................................................................................. 119
5.138. Ajout d'une URL HTTPS en accès libre ......................................................................... 120
5.139. Configuration de la journalisation ................................................................................... 121
© 2012 Ucopia
6
5.140. Exemple de configuration de critères pour la purge des journaux .....................................
5.141. Génération des fichiers de sauvegarde ..........................................................................
5.142. Activation de la compression des sauvegardes de journaux .............................................
5.143. Suppression automatique des fichiers de sauvegarde .....................................................
5.144. Exemple de configuration d’export FTP des journaux ......................................................
5.145. Configuration du mécanisme de répartition de charge : étape 1 .......................................
5.148. Exemple de configuration pour 3 contrôleurs dont 2 en répartition de charge et 1 redondant ........................................................................................................................................
5.150. Exemple de 3 contrôleurs dont 2 actifs et un passif ........................................................
5.151. Administration centralisée depuis un contrôleur principal .................................................
5.152. Items du menu Multi-contrôleurs sur le contrôleur principal ..............................................
5.153. Configuration d’un contrôleur principal ............................................................................
5.154. Exemple de configuration des ports de communication en environnement multi contrôleurs .......................................................................................................................................
5.155. Configuration des contrôleurs secondaires .....................................................................
5.156. Ajout d’un contrôleur secondaire ....................................................................................
5.157. Item du menu Multi-contrôleurs sur un contrôleur secondaire ...........................................
5.158. Information d’association principal/secondaire .................................................................
5.159. Items du menu Services externes ..................................................................................
5.160. Configuration des comptes SMS ....................................................................................
5.161. Ajout d’un compte SMS ................................................................................................
5.162. Exemple de configuration d’un compte SMS ...................................................................
5.163. Configuration des comptes de messagerie .....................................................................
5.164. Ajout d’un compte de messagerie ..................................................................................
5.165. Exemple de configuration d’un compte mail ....................................................................
5.166. Configuration PayPal ....................................................................................................
5.167. Configuration du portail UCOPIA avec paiement en ligne ................................................
5.168. Configuration de l’interface PMS ....................................................................................
5.169. Configuration des paramètres de connexion au PMS ......................................................
5.170. Configuration du système PPS ......................................................................................
5.171. Configuration des paramètres de connexion au PPS .......................................................
5.172. Items du menu Interfaces UCOPIA ................................................................................
5.173. Configuration de l’interface SNMP .................................................................................
5.174. Exportation Syslog ........................................................................................................
5.175. Configuration de l'exportation Syslog .............................................................................
© 2012 Ucopia
122
122
122
123
124
126
127
128
129
130
130
131
132
132
133
133
134
134
135
135
136
137
138
139
140
141
142
143
144
145
147
148
148
149
151
151
7
Introduction
1 Introduction
Ce manuel s’adresse aux administrateurs système et/ou réseaux ayant en charge l’installation et la
configuration d’UCOPIA Advance.
UCOPIA Advance est constitué d’un boîtier (ou Appliance) se positionnant entre l’infrastructure d’accueil
des utilisateurs (Wifi et/ou filaire) et le réseau local de l’entreprise.
UCOPIA Advance assure les grandes fonctions suivantes :
Authentification des utilisateurs
Gestion des droits d’accès par profil utilisateur en fonction du lieu et de l’heure
Confidentialité des données
Accès « Zéro Configuration » pour les utilisateurs
Provisionnement des comptes par délégation et/ou auto-enregistrement
Supervision et journalisation
Intégration avec le réseau existant
Déploiement multi-sites
Haute disponibilité
Nous présenterons dans ce manuel la façon d’installer et de configurer UCOPIA Advance. Pour son
administration, consultez le manuel « Manuel d’Administration UCOPIA Advance ».
Note
Pour désigner UCOPIA Advance dans ce manuel, nous utiliserons indifféremment le terme de « boîtier » ou de « contrôleur ». Le terme de contrôleur est en particulier utilisé par les interfaces graphiques des outils d’administration UCOPIA.
© 2012 Ucopia
8
Installation
2 Installation
UCOPIA Advance s’installe en coupure logique (ou physique) entre le LAN d’entreprise et le réseau
d’accueil des utilisateurs (Wifi et/ou filaire). Tous les flux en provenance ou à destination des utilisateurs
doivent traverser le boîtier UCOPIA. Pour cela, le boîtier UCOPIA est équipé de deux cartes Ethernet,
l’une étant reliée au LAN, l’autre sur le réseau d’accueil.
L’installation s’effectue comme suit :
Branchement d’un câble Ethernet reliant l’interface eth0 (OUT) du boîtier UCOPIA vers le LAN.
Branchement d’un câble Ethernet reliant l’interface eth1 (IN) du boîtier UCOPIA vers l’infrastructure
d’accueil Wifi et/ou filaire (exemple : commutateur sur lequel sont branchés les points d’accès).
Branchement secteur 220 V ou 110 V.
Voici le schéma d’installation d’UCOPIA Advance :
Figure 2.1. Schéma d’installation d’UCOPIA Advance
Note
Il est possible de brancher sur le boîtier UCOPIA, côté eth1, des postes utilisateurs connectés en
filaire.
Avertissement
Si UCOPIA est directement relié à un modem ADSL côté eth0, celui-ci doit assurer la fonction de
routeur.
© 2012 Ucopia
9
Installation
Avertissement
Effectuez tous les branchements avant de démarrer le boîtier UCOPIA.
© 2012 Ucopia
10
Connexion à l’outil d’administration UCOPIA
3 Connexion à l’outil d’administration UCOPIA
Se connecter à l’outil d’administration nécessite d’accéder au contrôleur UCOPIA. Le contrôleur peut
être découvert grâce aux annonces UPnP qu’il émet sur le réseau à intervalles réguliers sur toutes ses
interfaces réseau.
Note
Le service UPnP peut être désactivé (aucune annonce n’est émise). L’intervalle d’émission des annonces peut être modifié. Voir Section 5.1.1, « Configuration des paramètres de base du contrôleur ».
Avertissement
Pour bénéficier de cette découverte, il est nécessaire de disposer sur le poste administrateur d’un
client UPnP installé et activé.
Un poste administrateur pourra alors facilement avoir accès au contrôleur en parcourant les périphériques découverts par UPnP, comme le montre la capture d’écran ci-dessous :
Figure 3.1. Découverte UPnP sous Windows XP
L’accès au contrôleur pourra se faire grâce à l’adresse de périphérique fournie dans l’annonce UPnP.
Cette adresse étant basée sur l’adresse IP du contrôleur, celui-ci devra toujours disposer d’une adresse
valide. Dans le cas où aucun serveur DHCP n’est présent sur le réseau pour lui en fournir une, le
contrôleur utilisera le mécanisme auto-IP pour effectuer cette tâche.
© 2012 Ucopia
11
Dans l’exemple ci-dessus, l’adresse du contrôleur sera 10.0.0.113. L’outil d’administration sera accessible à l’adresse https://10.0.0.113/admin.
Note
Si toutefois, le poste administrateur ne dispose pas de client UPnP, l’accès à l’outil d’administration
se fait en ouvrant depuis votre ordinateur un navigateur Internet à l’adresse suivante : https://
controller.mobile.lan/admin
Vous devez au préalable connecter votre ordinateur au boîtier UCOPIA, en suivant une des méthodes
présentées ci-dessous :
1. Reliez votre ordinateur à l’interface eth1 (IN) du boîtier UCOPIA à l’aide d’un câble réseau.
2. Reliez votre ordinateur au commutateur sur lequel sont branchés les points d’accès à l’aide d’un câble
réseau droit, ce commutateur étant lui-même relié au boîtier UCOPIA.
3. Associez-vous à un point d’accès relié au boîtier UCOPIA, en utilisant le SSID qui a été configuré
à cet effet.
La page d’authentification s’affiche :
Figure 3.2. Page d’authentification à l’outil d’administration UCOPIA Advance
Entrez votre login et mot de passe afin de vous authentifier. Une fois authentifié, la page de bienvenue
s’affiche. Par défaut, le login est admin et le mot de passe est ucopia.
Avertissement
Le contrôleur UCOPIA impose de changer le mot de passe administrateur. Pour cela, consultez la
documentation « Manuel d’Administration UCOPIA Advance », Section « Exploitation »).
© 2012 Ucopia
12
Figure 3.3. Page d’accueil d’UCOPIA Advance sans licence
Avertissement
La page d’accueil indique que la licence doit être préalablement installée (voir Section suivante).
Note
À tout moment, il est possible de redémarrer ou d’arrêter le boîtier UCOPIA en cliquant respectivement sur « Redémarrer » ou « Arrêter ».
La documentation est disponible en ligne en cliquant sur « Documentation » dans la barre de menus.
Les documentations proposées sont téléchargeables au format PDF en français et en anglais comme
le montre la copie d’écran ci-dessous.
Figure 3.4. Téléchargement de la documentation
© 2012 Ucopia
13
Note
Si la licence n’est pas encore installée, l’ensemble de la documentation est proposée (gamme Express et Advance).
© 2012 Ucopia
14
Installation de la licence UCOPIA
4 Installation de la licence UCOPIA
L’installation de la licence UCOPIA est indispensable pour assurer le fonctionnement du boîtier UCOPIA.
La licence définit la gamme et le modèle du boîtier UCOPIA (Advance 100, Advance 200, etc.).
Note
À ce stade, la plupart des fonctions de l’outil d’administration sont interdites. Seules sont autorisées
les fonctions permettant d’associer le boîtier UCOPIA au réseau, ainsi que les fonctions d’ouverture
du tunnel de maintenance et d’installation de la licence.
Cliquez sur l’item « Exploitation » de la barre de menu, puis sur l’item « Licence » dans le menu à
gauche de la fenêtre.
La page de mise à jour de la licence s’affiche :
Figure 4.1. Installation de la licence UCOPIA
4.1. Installation automatique
Renseignez les champs correspondant aux coordonnées de la société installatrice et du client final.
Cliquez sur « Installer la licence »
Avertissement
Le contrôleur UCOPIA doit être configuré de telle sorte qu’il puisse accéder à Internet et donc à la
plate-forme qui délivre les licences.
En cas de succès, un message s’affiche indiquant que la licence s’est correctement installée.
© 2012 Ucopia
15
Figure 4.2. Enregistrement automatique de licence
Dans le cas contraire, effectuez une installation manuelle.
4.2. Installation manuelle
Pour réaliser une installation manuelle de licence, suivez les étapes ci-dessous.
1. Ouvrez le cadre de mise à jour manuelle de la licence en cliquant sur l’icône « + ». La page suivante
s’affiche :
Figure 4.3. Installation manuelle de licence
2. Cliquez sur le lien :
https://services-management-platform.com/gestion/license.php
ment-paltform.com/gestion/licence.php]
[https://services-manage-
La page suivante s’affiche :
© 2012 Ucopia
16
Figure 4.4. Génération du fichier de licence
3. Recopiez l’expression affichée dans le captcha code. Entrez le numéro de série du contrôleur
UCOPIA ainsi que les coordonnées de la société installatrice et celles de la société cliente. Cliquez
sur « Valider ».
4. Un fichier « license.tgz » est proposé en téléchargement. Enregistrez ce fichier sur votre poste.
5. Importez ce fichier sur le contrôleur à l’aide du bouton « Parcourir… ».
6. Enregistrez la licence en cliquant sur « Enregistrer ».
Une fois la licence enregistrée, un message de confirmation s’affiche, par exemple :
Figure 4.5. Enregistrement manuel de la licence
L’ensemble des menus est maintenant opérationnel.
Si toutefois, la licence n’est pas valide, il est possible de restaurer la précédente licence en cliquant sur
le bouton « Restaurer l’ancienne licence » comme indiqué dans la copie d’écran ci-dessous.
© 2012 Ucopia
17
Figure 4.6. Restauration de licence
Note
En cas de problèmes, envoyez un mail à [email protected] [mailto:[email protected]] en indiquant le numéro de série du contrôleur UCOPIA, les coordonnées des sociétés installatrice et cliente,
ainsi que la nature des problèmes rencontrés.
© 2012 Ucopia
18
Configuration du contrôleur UCOPIA
5 Configuration du contrôleur UCOPIA
UCOPIA Advance est préconfiguré pour une mise en service rapide.
L’interface eth0 côté LAN est préconfigurée en mode client DHCP.
Trois interfaces réseaux virtuelles (VLAN) sont préconfigurées sur eth1 :
VLAN natif 192.168.100.0/24 : ce VLAN est utilisé pour l’administration des éléments actifs (points
d’accès Wi-Fi par exemple) ;
VLAN 2 192.168.200.0/24 : ce VLAN peut être associé à l’authentification de type portail web ;
VLAN 3 192.168.250.0/24 : ce VLAN peut être associé à l’authentification de type 802.1x/EAP.
Un ensemble de services est également préconfiguré. De plus, vous trouverez deux profils (« managers » et « guest ») déjà créés avec un utilisateur pour chacun d’entre eux (« manager » et « guest1 »).
Les mots de passe associés à ces utilisateurs sont respectivement xdr22nbv et ucopia.
Avertissement
Les mots de passe des comptes utilisateurs préconfigurés sont bien sûr à modifier le plus rapidement
possible.
Pour effectuer l’ensemble des configurations du boîtier UCOPIA Advance, cliquez sur l’item « Configuration » de la barre de menu. La page suivante s’affiche :
Figure 5.1. Page d’accueil de la configuration UCOPIA Advance
Les options de configuration sont classées par catégorie.
Réseau
Cette catégorie va permettre de configurer l’ensemble des paramètres réseau du boîtier UCOPIA :
le nom du contrôleur, les VLAN d’entrée et de sortie, les routes statiques de sortie, le serveur de
temps, etc.
© 2012 Ucopia
19
Authentification
Cette catégorie est consacrée à la configuration des mécanismes d’authentification, les annuaires intervenant dans l’authentification, le serveur RADIUS embarqué dans le boîtier UCOPIA,
l’authentification transparente Windows, etc.
Zéro configuration
Il s’agit ici de configurer les mécanismes permettant à un utilisateur d’utiliser son poste et ses applications sans configuration préalable : utilisation d’un poste en IP fixe, redirection Web et email,
service d’imprimante virtuelle.
Personnalisation
Cette catégorie va permettre de configurer les portails captifs et de délégation (formats, modes de
fonctionnement, aspects visuels, etc.), d’ajouter des champs additionnels pour la description des
comptes utilisateurs, de personnaliser les tickets de connexion délivrés par l’outil d’administration
déléguée, ainsi que de définir des URL accessibles avant authentification.
Journalisation
Il s’agit ici de choisir les informations qui seront journalisées (sessions, trafic, URL) ainsi que les
critères de purge de la base de données (critères temporels ou de taille). Il est également possible
de configurer l’export automatique des sauvegardes de journaux via le protocole FTP.
Haute disponibilité (optionnel)
La redondance et la répartition de charge sont configurables dans cette section.
Multi-contrôleurs
Dans le cas de l’utilisation du contrôleur UCOPIA dans un contexte multi-contrôleurs (environnement multi-sites et/ou redondance/répartition de charge), il sera possible de configurer un contrôleur principal et des contrôleurs secondaires.
Services externes
UCOPIA utilise des services tels que SMS ou email pour, par exemple, transmettre des identifiants
de connexion à l’utilisateur. Il s’agit de définir dans cette catégorie les différents comptes SMS,
email ou PayPal qui pourront être utilisés dans le produit UCOPIA.
Interfaces avec le contrôleur
Cette catégorie permet de configurer les interfaces de communication avec le contrôleur UCOPIA.
Nous trouvons une interface SNMP permettant de superviser UCOPIA depuis un outil de supervision du marché. Nous trouvons également des interfaces permettant d’interopérer avec des outils
de type PMS et PPS (cartes prépayées) pour des besoins de facturation de services. Et enfin la
possibilité d’exporter des informations vers un serveur Syslog.
5.1. Configuration réseau
Cliquez sur l’item « Réseau » proposé en partie gauche de la fenêtre. Le sous-menu s’affiche et propose
les items suivants :
© 2012 Ucopia
20
Figure 5.2. Items du menu Réseau
5.1.1. Configuration des paramètres de base du contrôleur
Cliquez sur l’item « Contrôleur » du sous-menu. La page suivante s’affiche :
© 2012 Ucopia
21
Figure 5.3. Configuration des paramètres de base du contrôleur
Le premier bloc permet de définir le nom du contrôleur et son nom de domaine sur les VLAN d’entrée
et les VLAN de sortie. Le nom du contrôleur UCOPIA est par défaut : controller, et son domaine :
ucopia.mobile.
Si vous souhaitez enregistrer le contrôleur UCOPIA dans un domaine Windows, vous devez renseigner le champ « Groupe de travail Netbios ». Par défaut, celui-ci est UCOPIA.
Le bloc « Service d’annonce du contrôleur par UpnP » permet d’activer ou de désactiver le
service UpnP qui permet de découvrir le contrôleur sur le réseau. Ce service est activé par défaut.
Le bloc « Sécurité » met en œuvre un mécanisme permettant de détecter les attaques de type ARP
poisoning et d’y remédier. Ces attaques peuvent provenir d’utilisateurs se trouvant sur les VLAN
d’entrée du contrôleur UCOPIA.
© 2012 Ucopia
22
Le bloc « Nature du réseau » permet de configurer le contrôleur UCOPIA pour qu’il puisse s’adapter
à différents types d’architecture réseau et plus particulièrement au cas d’une architecture multi sites
avec UCOPIA centralisé.
Dans le cas d’une architecture multi sites centralisée, trois cas de figure peuvent se présenter :
Les sites distants sont reliés en niveau 2 au site principal (« Réseau commuté »). Dans ce
cas, l’ensemble des fonctionnalités UCOPIA sont opérationnelles, notamment toutes celles
associées aux VLAN (zones, multi portails, etc.). Il s’agit de la configuration par défaut.
Les sites distants sont reliés en niveau 3 au site principal (« Réseau routé »). Dans ce cas,
UCOPIA fonctionne en faisant abstraction des informations niveau 2 avec toutefois quelques
restrictions : (1) seul le mode d’authentification par portail Web est possible, (2) les postes
clients sur le site distant doivent être configurés en DHCP, (3) le portail d’authentification doit
être en mode « réauthentification automatique ».
Certains sites sont reliés en niveau 2, d’autres en niveau 3 (« Réseau commuté et routé »).
Le bloc « Configuration des interfaces » permet, pour chaque interface :
de modifier la taille des paquets (en octets) pouvant être transmis en une seule fois (sans
fragmentation) en sortie du contrôleur,
de choisir le mode « autonégociation » ou pas (sélectionné par défaut),
la vitesse de transmission. Le statut actuel du contrôleur est affiché concernant la vitesse réelle
du lien.
Le bloc « Interface de sortie » permet de visualiser pour eth0 la configuration en termes de MTU
et de vitesse de lien.
Le bloc « Interface d’entrée » permet de visualiser pour eth1 la configuration en termes de MTU
et de vitesse de lien.
5.1.2. Configuration des VLAN d’entrée
Cliquez sur l’item « VLAN d’entrée » du sous-menu. La page ci-dessous s’affiche. Par défaut, 3 VLAN
sont préconfigurés.
© 2012 Ucopia
23
Figure 5.4. Configuration des VLAN d’entrée
VLAN 1 (natif) (192.168.100.0/24) : ce VLAN est utilisé pour l’administration des équipements
actifs.
VLAN 2 (192.168.200.0/24) : ce VLAN peut être associé à une authentification de type portail Web.
VLAN 3 (192.168.250.0/24) : ce VLAN peut être associé à une authentification de type 802.1x/EAP.
Sur chaque VLAN, le serveur DHCP peut être activé ou pas, ainsi que les outils d’administration. Une
pastille verte indique la disponibilité, une pastille rouge la non disponibilité.
Note
Si dans les colonnes « Accès administration » » ou « Accès délégation » le lien « Filtrage avancé » apparaît, cela indique que l’accès aux outils d’administration a été personnalisé via l’éditeur de
filtrage (voir Section 5.1.7, « Configuration des options de filtrage »). Cliquez sur le lien pour accéder
à l’éditeur de filtrage.
Pour ajouter un nouveau VLAN d’entrée, cliquez sur le bouton « Ajouter ». La page suivante s’affiche :
© 2012 Ucopia
24
Figure 5.5. Ajout d’un VLAN d’entrée
Bloc « Paramètres réseau »
Il s’agit tout d’abord de renseigner les paramètres réseau : l’ID du VLAN (« Numéro de VLAN »),
l’adresse IP du boîtier UCOPIA (« Adresse IP du contrôleur »), le masque de sous-réseau
(« Masque de sous-réseau ») et la zone d’entrée (« Zone d’entrée »).
Concernant l’utilisation des zones d’entrée, reportez-vous à la documentation « Manuel
d’Administration UCOPIA Advance », Section « Administration des zones ».
Bloc « Accès aux outils d’administration »
Il est ensuite possible de permettre à un utilisateur connecté sur ce VLAN d’accéder aux outils
d’administration (outil d’administration et/ou outil d’administration déléguée). Par défaut, l’accès est
autorisé sur les VLAN préconfigurés.
Pour donner accès à un outil d’administration, il suffit de cocher la case correspondante.
© 2012 Ucopia
25
Figure 5.6. Exemple de configuration d’un VLAN d’entrée
Astuce
Pour contrôler de manière fine les accès aux ressources du contrôleur, y compris à l'outil
d'administration, à partir des VLAN ou d'autres entités réseau, voir Section 5.1.7.1, « Accès au contrôleur ».
Bloc « Paramètres DHCP »
Si vous souhaitez que le serveur DHCP soit activé sur ce VLAN, il faut cocher la case « Activer le
serveur DHCP pour ce VLAN » et renseigner les paramètres DHCP correspondants.
Figure 5.7. Exemple de configuration des paramètres DHCP pour un VLAN d’entrée
© 2012 Ucopia
26
Le bouton « Calculer les paramètres DHCP » permet de calculer automatiquement les champs
obligatoires.
Plages d'adresses. Vous pouvez définir la ou les plages d'adresses IP qui seront attribuées aux
clients DHCP. Pour cela cliquez sur le lien « Ajouter une plage ». Le formulaire suivant s’affiche :
Figure 5.8. Ajout d’une plage d'adresses DHCP
Renseignez l'adresse de début puis celle de fin de la nouvelle plage.
Baux fixes. Si vous souhaitez qu'une machine dont on connaît l’adresse MAC obtienne toujours
la même adresse IP, il faut définir un bail fixe. Pour cela cliquez sur le bouton « Ajouter un bail
fixe ». Le formulaire suivant s’affiche :
Figure 5.9. Ajout d’un bail fixe
Renseigner l’adresse MAC et l’adresse IP de la machine pour chaque machine concernée.
Cliquez sur « Valider » pour confirmer la création du VLAN.
Les VLAN peuvent être supprimés ou modifiés après leur création (ainsi que les VLAN préconfigurés).
Pour cela, dans le tableau des VLAN, sélectionnez le VLAN à supprimer ou à modifier, à l’aide de la
case à cocher correspondante, et cliquez sur « Supprimer » ou « Modifier ».
5.1.3. Configuration des VLAN de sortie
UCOPIA Advance offre la possibilité d’aiguiller le flux d’un utilisateur en sortie du boîtier UCOPIA sur
un VLAN particulier. La redirection s’effectue en fonction du profil de l’utilisateur (voir documentation
« Manuel d’Administration UCOPIA Advance », pour associer un VLAN à un profil utilisateur).
Cliquez sur l’item « VLAN de sortie » du sous-menu proposé en partie gauche de la fenêtre. La page
suivante s’affiche :
© 2012 Ucopia
27
Figure 5.10. Configuration des VLAN de sortie
Le VLAN 1 est préconfiguré. Il correspond au VLAN natif. Le champ « Adresse IP du contrôleur »
correspond soit à l’adresse IP octroyée par le service DHCP du réseau d’entreprise, soit à l’adresse IP
fixe spécifiée dans la configuration du VLAN. Si le boîtier n’est pas connecté au réseau, son adresse
sera choisie dans la plage 169.254.0.0./16. Le champ « Mode d’adressage » précise si le mode DHCP
pour ce VLAN est actif ou pas (il affiche « DHCP » si le mode est activé ; il affiche « Fixe » sinon).
Avertissement
La prise en compte d’une adresse IP attribuée par DHCP est activée sur un seul des VLAN de sortie.
Par défaut, DHCP est activé sur le VLAN natif.
Les champs « Accès administration » et « Accès délégation » indiquent si l’accès aux outils
d’administration est autorisé depuis le VLAN (vert : autorisé, rouge : interdit). L’accès aux outils
d’administration depuis le VLAN natif est par défaut autorisé.
Note
Si dans les colonnes « Accès administration » ou « Accès délégation » le lien « Filtrage avancé
» apparaît, cela indique que l’accès aux outils d’administration a été personnalisé via l’éditeur de
filtrage (voir Section 5.1.7, « Configuration des options de filtrage »). Cliquez sur le lien pour accéder
à l’éditeur de filtrage.
© 2012 Ucopia
28
Le champ « Sortie par défaut » indique si ce VLAN correspond à la sortie par défaut du boîtier UCOPIA.
Pour ajouter un nouveau VLAN de sortie, cliquez sur le bouton « Ajouter ». La page suivante s’affiche :
Figure 5.11. Ajout d’un VLAN de sortie
Vous devez renseigner tout d’abord les informations réseau : l’ID du VLAN (« Numéro de VLAN »),
l’adresse IP du boîtier UCOPIA (« Adresse IP du contrôleur »), le masque de sous-réseau (« Masque
de sous-réseau ») et la passerelle (« Passerelle »).
Le VLAN peut être configuré pour être la sortie par défaut. Pour cela, il faut cocher la case « Activer
comme sortie par défaut ».
Avertissement
Pour pouvoir activer l’option « Sortie par défaut », il faut qu’aucun serveur DHCP ne soit activé sur
les interfaces de sortie, sinon c’est l’interface sur laquelle est activé DHCP qui sera sortie. Par défaut,
c’est l’interface eth0 qui est configurée en DHCP.
© 2012 Ucopia
29
Vous pouvez ensuite permettre à un utilisateur connecté sur ce VLAN d’accéder aux outils
d’administration (outil d’administration et/ou outil d’administration déléguée).
Figure 5.12. Exemple de création d’un VLAN de sortie
Astuce
Pour contrôler de manière fine les accès aux ressources du contrôleur, y compris à l'outil
d'administration, à partir des VLAN ou d'autres entités réseau, voir Section 5.1.7.1, « Accès au contrôleur ».
Les VLAN peuvent être supprimés ou modifiés après leur création. Pour cela, dans le tableau des VLAN,
sélectionnez le VLAN à supprimer ou à modifier, à l’aide de la case à cocher correspondante, et cliquez
sur « Supprimer » ou « Modifier ».
Avertissement
Le VLAN natif ne peut être supprimé.
5.1.3.1. Configuration des politiques de sortie locales
À chaque VLAN de sortie, il est possible de définir et d’associer une politique de sortie permettant de
spécifier à quelle zone de sortie est associé le VLAN ainsi que son mode d’adressage réseau (NAT ou
routage). Par ailleurs, nous rappelons qu’une zone de sortie peut être associée à un profil utilisateur
afin que les flux des utilisateurs appartenant à ce profil soient redirigés dans la zone appropriée (voir
documentation « Manuel d’Administration UCOPIA Advance », Section « Administration des profils
utilisateur »).
Les politiques de sortie sont locales car elles s’appliquent à un et un seul contrôleur : celui sur lequel
elles sont configurées.
Par défaut, une seule politique de sortie est définie. Elle est associée au VLAN 1 natif. Cette politique
indique que le VLAN 1 est associé à la zone Défaut, et que tous les utilisateurs de tous les profils (les
deux profils préconfigurés) sont NATtés en utilisant l’adresse IP de l’interface eth0. La copie d’écran cidessous décrit la configuration de cette politique par défaut.
© 2012 Ucopia
30
Figure 5.13. Politique de sortie par défaut pour le VLAN natif
Pour créer une politique de sortie, cliquez sur le bouton « Ajouter » du tableau de politiques. La page
Figure 5.14. Ajout d’une politique de sortie
Il faut tout d’abord spécifier la zone associée à la politique. Si aucune zone n’existe, il est possible de la
créer directement depuis ce formulaire. Il faut ensuite renseigner le numéro de VLAN qui sera associé
à la politique, ainsi que le mode d’adressage réseau (Routage ou NAT).
Dans le cas du choix du mode NAT, il est possible soit d’utiliser l’adressage de l’interface correspondante, soit de spécifier l’adresse IP de NAT choisie.
Il faut ensuite sélectionner les profils utilisateurs qui appliqueront cette politique de sortie. Choisissez les
profils en les sélectionnant dans la liste des profils disponibles, les ajouter à l’aide du bouton « <<<Ajouter » dans le liste des profils concernés.
Enfin, il est possible d’ajouter des VLAN additionnels dans la politique de sortie. Pour certains besoins
spécifiques, il peut être nécessaire d’accéder à plusieurs VLAN distincts. Par exemple, un utilisateur
redirigé par défaut vers un VLAN d’accès Internet mais qui voudrait accéder à un serveur isolé sur un
autre VLAN.
Pour ajouter un VLAN supplémentaire, cliquez sur le lien « VLAN supplémentaires accessibles par
politique » afin de faire apparaître l’écran de configuration.
La liste de gauche affiche les VLAN disponibles pouvant être ajoutés. Il est possible de restreindre
l’accès à une adresse IP particulière.
Exemple :
© 2012 Ucopia
31
Figure 5.15. Exemple de configuration de VLANs de sortie supplémentaires
Ci-dessous, nous trouvons un exemple pour lequel deux politiques de sortie sont définies pour deux
populations d’utilisateurs : les Étudiants et les Professeurs. La politique pour les Étudiants est associée à
la zone Pédagogique, et la politique pour les Professeurs à la zone Laboratoires. Le trafic des Étudiants
est NATté et redirigé dans le VLAN 1 en sortie d’UCOPIA. Le trafic des Professeurs est routé et redirigé
dans le VLAN 5 en sortie d’UCOPIA.
Figure 5.16. Exemple de politiques de sortie
5.1.4. Configuration des routes statiques de sortie
Les routes statiques servent en général à contacter une ressource réseau située sur un réseau routé
différent du LAN sur lequel se situe le contrôleur UCOPIA.
© 2012 Ucopia
32
On rencontre par exemple cette configuration dans les cas suivants :
Si le contrôleur UCOPIA est interfacé avec un annuaire LDAP sur un LAN différent, il faut alors
paramétrer une route statique afin d’indiquer la passerelle (équipement du LAN sur lequel se situe
le contrôleur) qui sera utilisée pour contacter le réseau distant.
Si le poste d’administration (ou administration déléguée) se trouve sur un réseau distant différent
du LAN sur lequel se situe le contrôleur UCOPIA, il faut alors paramétrer une route statique afin
d’indiquer la passerelle qui sera utilisée par le contrôleur pour atteindre le poste de l’administrateur.
Pour configurer les routes statiques, cliquez sur l’item « Routes statiques » du sous-menu en partie
gauche de la fenêtre. La page suivante s’affiche :
Figure 5.17. Configuration des routes statiques de sortie
Pour ajouter une nouvelle route statique, cliquez sur le bouton « Ajouter ». La page suivante s’affiche :
© 2012 Ucopia
33
Figure 5.18. Ajout d’une route statique
Configurez les paramètres réseau, par exemple :
Figure 5.19. Exemple de configuration d’une route statique
5.1.5. Configuration du serveur de temps
Pour configurer le serveur de temps, cliquez sur l’item « Serveur de temps » du sous-menu en partie
© 2012 Ucopia
34
Figure 5.20. Configuration du serveur de temps
Vous pouvez choisir le fuseau horaire approprié (Europe/Paris par défaut), puis configurer la date et
l’heure. La configuration de la date et de l’heure peut être réalisée soit automatiquement via un serveur
NTP, soit manuellement.
5.1.6. Configuration du serveur DNS
UCOPIA embarque un serveur DNS (Domain Name System) qui se comporte comme un relai DNS vers
ses propres serveurs DNS. Le relai DNS peut être personnalisé en fonction du profil de l’utilisateur ou
de l’interface d’entrée d’UCOPIA. La table d’enregistrements DNS peut être enrichie afin de résoudre
des adresses additionnelles.
Pour configurer le serveur DNS, cliquez sur l’item « Serveur DNS » du sous-menu en partie gauche de
la fenêtre. La page suivante s’affiche :
© 2012 Ucopia
35
Figure 5.21. Configuration du serveur DNS
La première étape de configuration consiste à définir l’adresse du DNS principal et éventuellement celle
du DNS secondaire.
La taille maximale des paquets est personnalisable afin de pouvoir communiquer avec tout serveur DNS.
Cela permet notamment de facilite le transfert de paquets dont la taille est supérieure à 512 octets. Par
défaut, la taille maximale est fixée à 1280 octets. Elle peut être relevée jusqu’à 4096 octets.
Pour chacun des DNS (principal et secondaire), il est possible d’effectuer un test afin de s’assurer que
le DNS est correctement configuré. Pour cela, utilisez les boutons « Tester » associés aux DNS.
Le test affiche la fenêtre suivante.
© 2012 Ucopia
36
Figure 5.22. Test d’un serveur DNS
Renseignez le nom de domaine et le type de requête. Les requêtes pouvant être testées sont décrites
dans le tableau ci-dessous. Le nombre d’envois pour chaque requête peut être spécifié.
Type de requête DNS
Signification
A
fait correspondre un nom d’hôte à une adresse IPv4 de 32 bits distribués
sur quatre octets, ex. : 123.234.1.2
AAAA
fait correspondre un nom d’hôte à une adresse IPv6 de 128 bits distribués sur seize octets
MX
définit les serveurs de messagerie pour le domaine
NS
définit les serveurs DNS du domaine
SOA
donne les informations générales de la zone : serveur principal, email
de contact, différentes durées dont celle d’expiration, numéro de série
de la zone
SRV
propose des fonctionnalités avancées comme le taux de répartition de
charge pour un service donné, standardisé dans la RFC 2782 [http://
tools.ietf.org/html/rfc2782]
5.1.6.1. Configuration du relai DNS par politique
Le relai DNS peut être configuré par politique, soit en fonction du profil de l’utilisateur, soit en fonction
de l’interface d’entrée du contrôleur UCOPIA. Si aucune politique n’est définie, seuls les DNS primaires
et secondaires seront utilisés.
Pour configurer une politique, cliquez sur le bouton « Ajouter » du tableau des politiques DNS. La page
© 2012 Ucopia
37
Figure 5.23. Configuration d’une politique DNS
Nommer la politique et renseignez le type de politique (profil ou VLAN d’entrée).
Politique par VLAN d’entrée
La politique par VLAN d’entrée ne s’applique qu’avant authentification de l’utilisateur sur le portail
captif. Si les serveurs DNS du contrôleur UCOPIA sont des serveurs internes (ex. : un contrôleur
de domaine pour la résolution des machines internes), il est alors intéressant d’appliquer des politiques DNS différentes aux utilisateurs en fonction du VLAN d’entrée. Pour un VLAN d’entrée visiteur, il sera conseillé d’adresser des serveurs DNS publics afin que les utilisateurs ne puissent pas
résoudre de nom de machines internes.
Politique par profil
La politique par profil ne s’appliquera qu’une fois l’utilisateur authentifié. Sur un VLAN d’entrée non
sécurisé, UCOPIA peut adresser des serveurs DNS publics avant l’authentification de l’utilisateur.
Une fois l’utilisateur appartenant à un profil « employé », le contrôleur pourra adresser les serveurs
DNS du domaine interne.
5.1.6.2. Ajout d’enregistrements DNS
Il est possible d’enrichir le serveur DNS avec de nouveaux Enregistrements DNS.
© 2012 Ucopia
38
Pour ajouter un enregistrement DNS, cliquez sur le bouton « Ajouter » du tableau de DNS. La page
Figure 5.24. Ajout d’un nouvel enregistrement DNS
Pour chaque entrée DNS, il est possible de spécifier le nom DNS (ex. : fr.ucopia.org) et l’adresse IP
d’une machine. Il est également possible de compléter automatiquement le nom du domaine lors de
l’envoi de la réponse DNS, et ce aussi bien en entrée qu’en sortie.
Par exemple, pour un domaine ayant pour nom « mobile.lan » et une imprimante Wi-Fi se trouvant coté
eth1 ayant comme adresse IP 192.168.100.1 et pour nom « Printer », il sera possible d’effectuer une
complétion automatique avec le nom du domaine lors de l’envoi de la réponse DNS. La réponse sera
par conséquent « Printer.mobile.lan ».
Exemple :
Figure 5.25. Exemple de configuration d’un enregistrement DNS
© 2012 Ucopia
39
5.1.6.3. Recommandations d’usage des DNS
Les utilisateurs se connectant via le portail UCOPIA ont la possibilité d’effectuer des requêtes DNS avant
authentification. Ceci permet d’éviter le problème de pollution de cache DNS, nuisible aux applications
(et notamment à la plupart des navigateurs) mettant en œuvre un cache DNS et ne respectant pas les
indications de durée de validité des réponses DNS.
Il est de ce fait possible dans certaines conditions de faire transiter des informations avant authentification, et ce à très faible débit.
Il est donc recommandé à des fins de sécurité de mettre en œuvre les dispositions suivantes :
Configurer le serveur DNS utilisé par UCOPIA vers un serveur DNS sans accès Internet, ce qui
évite les problèmes de requêtes DNS récursives. L’utilisation d’un proxy Web ayant accès à Internet
est alors recommandée par l’usage du service Web.
Configurer le serveur DNS utilisé par UCOPIA vers un serveur DNS ne supportant pas les requêtes
DNS récursives et/ou possédant des fonctionnalités de détection de trafic DNS suspect.
5.1.7. Configuration des options de filtrage
UCOPIA propose plusieurs options ayant trait au mécanisme de filtrage UCOPIA.
Pour utiliser ces options, cliquez sur l’item « Filtrage » du sous-menu en partie gauche de la fenêtre.
Figure 5.26. Configuration des options de filtrage UCOPIA
5.1.7.1. Accès au contrôleur
L'onglet « Accès au contrôleur » permet de gérer les ouvertures de flux à destination des services
du contrôleur.
© 2012 Ucopia
40
Pour ajouter un nouvel accès, cliquez sur le bouton « Ajouter » :
Figure 5.27. Définition d'un nouvel accès
Chaque entrée du tableau correspond à la combinaison d'un service et d'une ou plusieurs sources :
Service
Outils d'administration : donner accès à l'outil d'administration UCOPIA.
Portails de délégation : donner accès aux portails de délégation.
Annuaire LDAP : donner accès à l’annuaire LDAP interne du contrôleur UCOPIA. Ceci permet
à des outils tiers de récupérer des informations sur les utilisateurs et leur profil.
Agent SNMP : donner accès aux informations SNMP interne du contrôleur UCOPIA. Voir aussi
Section 5.9.1, « Interface SNMP ».
CLI : accès à distance directement en ligne de commande
CLI Web : accès à la ligne de commande à travers l'interface Web.
Base SQL des journaux : donne un accès direct à la base de données SQL des journaux,
par exemple pour automatiser la production de rapports spécifiques ou réaliser un couplage
avec un outil tiers.
Important
Contactez UCOPIA Communications pour connaître les identifiants qui vous permettront de vous
connecter à la base de données. La documentation du schéma SQL vous sera également communiquée.
Tous les accès : tous les accès ci-dessus.
Sources
Vous pouvez définir pour le service choisi, une ou plusieurs sources depuis lesquelles l'accès à ce
service sera autorisé : zone, VLAN sous-réseau ou hôte.
Pour ajouter une nouvelle source, cliquez sur le bouton « Ajouter une source » :
5.1.7.2. Ouverture de port
L’onglet « Ouverture de port » permet de « traverser » le contrôleur avec ouverture du filtrage.
Pour réaliser une ouverture de port, cliquez sur le bouton « Ajouter » :
Exemple : le port 2000 depuis la zone d'entrée par défaut vers la zone de sortie par défaut, sans autorisation.
© 2012 Ucopia
41
Figure 5.28. Ajout d'une ouverture de port
Source : la source depuis laquelle l'ouverture est permise (VLAN d’entrée ou de sortie, zone
d’entrée ou de sortie, sous-réseau ou @IP unique (« Hôte »).
Logguer le trafic de cette ouverture : choisir Oui pour enregistrer tout le trafic dans les journaux
de connexion.
Ouverture d'un accès prédéfini : Cette option permet de choisir un accès spécifique au lieu de définir manuellement destination protocoles et ports. Par exemple « Service Unik » permet d’assurer
une compatibilité avec les téléphones Unik. Une fois l’option cochée, le contrôleur UCOPIA laisse
passer les flux en provenance de ces téléphones.
Destination : destination autorisée.
Protocoles : protocoles autorisés (TCP/UDP, UDP, etc.).
Ports source : ports sources à autoriser.
Ports destination : ports de destination à autoriser.
5.1.7.3. Redirection de port
L’onglet « Redirection de port » permet de « rebondir » sur le contrôleur, de l’interface d’entrée vers
la sortie ou inversement.
Pour réaliser une redirection de port, cliquez sur le bouton « Ajouter » :
Figure 5.29. Ajout d'une redirection de port
Source : la source par laquelle est émise la demande de rebond (VLAN d’entrée ou de sortie, zone
d’entrée ou de sortie, sous-réseau ou @IP unique (« Hôte »).[p6]
© 2012 Ucopia
42
Destination initiale : destination à atteindre avant rebond.
Hôte de destination modifiée : @IP de destination après rebond.
Protocoles : protocoles utilisés pour la redirection (TCP/UDP, UDP, etc.).
Ports initiaux : ports avant rebond.
Ports modifiés : ports après rebond.
Important
Les ports ne peuvent être renseignés que si et seulement si les protocoles utilisés sont TCP/UCP,
TCP ou UDP.
Exemple : atteindre un point d’accès Wi-Fi à partir du LAN.
5.2. Configuration de l’authentification
Cliquez sur l’item « Authentification » proposé en partie gauche de la fenêtre. Le sous-menu s’affiche,
proposant les items suivants :
Figure 5.30. Items du menu Authentification
5.2.1. Configuration des annuaires d’authentification
UCOPIA Advance a la capacité d’utiliser un ou plusieurs annuaires pour réaliser l’authentification des
utilisateurs. Les annuaires impliqués dans l’authentification doivent être conformes au standard LDAP
(type OpenLDAP, ActiveDirectory). Des mécanismes de cascade peuvent être mis en place afin de
séquencer la recherche d’un utilisateur sur plusieurs annuaires.
L’annuaire interne UCOPIA, qui est utilisé pour le stockage des profils utilisateurs, peut également être
utilisé dans le processus d’authentification. En effet, les utilisateurs créés depuis l’outil d’administration
déléguée (généralement des utilisateurs de type visiteur), sont stockés dans l’annuaire interne UCOPIA.
Il est donc possible de mettre en cascade l’annuaire d’entreprise et l’annuaire UCOPIA.
Le mécanisme de cascade d’annuaires met en œuvre plusieurs annuaires et peut être associé à un
mode d’authentification en particulier. Lors de la spécification d’une cascade d’annuaires, il faut préciser
quels sont les annuaires impliqués, l’ordre dans lequel les annuaires seront interrogés, et enfin le mode
d’authentification (portail ou 802.1x/EAP) pour lequel la cascade s’applique.
Cliquez sur l’item « Annuaires » du sous-menu proposé en partie gauche de la fenêtre. La page suivante
s’affiche :
© 2012 Ucopia
43
Figure 5.31. Configuration des annuaires d’authentification
Le tableau résume les annuaires configurés et disponibles pour intervenir dans les processus
d’authentification. Par défaut, seul l’annuaire UCOPIA est proposé (noté local).
Le bloc « Séquence de recherche dans les annuaires » permet de définir d’une part les cascades
d’annuaires pour les modes d’authentification par portail et 802.1x/EAP (voir Section 5.2.1.1, « Configuration d’une cascade d’annuaires ») et d’autre part la cascade d’annuaires pour l’authentification des
administrateurs délégués.
Pour définir un nouvel annuaire, cliquez sur le bouton « Ajouter » du tableau des annuaires
d’authentification. La page suivante s’affiche :
© 2012 Ucopia
44
Figure 5.32. Configuration d’un annuaire d’authentification
La configuration de l’annuaire s’effectue en suivant les étapes présentées ci-dessous :
1. Bloc « Paramètres généraux ». Configurer les paramètres généraux de l’annuaire.
Nom de l’annuaire : nom de l’annuaire. Ce nom sera utilisé pour désigner l’annuaire dans la
spécification des mécanismes de cascade.
Type d’annuaire : l’annuaire peut être l’annuaire UCOPIA interne, un annuaire de type Active
Directory ou tout autre annuaire standard LDAP (OpenLDAP, Apple OpenDirectory, etc.).
Exemple :
Figure 5.33. Configuration des paramètres généraux d’un annuaire externe
© 2012 Ucopia
45
Note
L’annuaire UCOPIA est configuré par défaut. Il correspond à l’annuaire interne embarqué dans le
boîtier UCOPIA.
Avertissement
Si l’annuaire est de type Active Directory et que vous souhaitez mettre en œuvre une authentification
PEAP, vous devez enregistrer le contrôleur UCOPIA dans le domaine Windows. Pour cela, cliquez
sur le lien en début de page (voir Section 5.2.4, « Configuration Windows »).
2. Bloc « Paramètres de connexion ». Configurer les paramètres de connexions à l’annuaire :
Adresse IP : adresse IP de l’annuaire ;
Port : numéro de port de l’annuaire en fonction du protocole choisi (LDAP : 389, LDAPS : 636
en standard) ;
Bind DN : ce champ représente le « Distinguished Name » de l’administrateur de l’annuaire.
L’authentification peut être anonyme. Pour cela, cochez la case « Anonyme » ;
Mot de passe : mot de passe de l’administrateur de l’annuaire.
Exemple 1 :
Figure 5.34. Configuration des paramètres de connexion à un annuaire externe Active Directory
Exemple 2 :
Figure 5.35. Configuration des paramètres de connexion à un annuaire externe LDAP
Avertissement
La nomenclature LDAP doit être respectée afin de désigner le « Bind DN ».
Note
Vous pouvez utiliser le bouton « Tester les paramètres » pour vérifier que la connexion avec
l’annuaire s’établit correctement.
3. Bloc « Paramètres de recherche ». Configurer les paramètres de recherche de profil
© 2012 Ucopia
46
Les champs suivants sont utilisés pour déterminer le profil de l’utilisateur (ou groupe) en fonction
d’informations présentes dans l’annuaire externe.
Base DN : le « Distinguished Name » correspondant à l’entrée dans l’annuaire à partir de laquelle
la recherche s’effectue.
Filtre de recherche : filtre LDAP permettant de rechercher l’utilisateur.
Attribut du profil / Profil par défaut : le premier champ « Attribut de profil » permet de spécifier
le nom de l’attribut LDAP spécifiant le profil de l’utilisateur. Si cet attribut n’est pas spécifié ou s’il
n’est pas renseigné dans l’annuaire, le champ « Profil par défaut » sera utilisé.
Attribut du mot de passe de l’utilisateur / Encodage : le nom de l’attribut LDAP spécifiant le
mot de passe de l’utilisateur et son type d’encodage. Cette option est utilisée dans le cas où un
attribut différent de l’attribut standard est utilisé pour le mot de passe. En particulier, l’utilisation
d’un autre attribut est indispensable si l’on souhaite utiliser un annuaire LDAP qui n’est pas Active
Directory avec une authentification de type PEAP. Le mot de passe peut être en clair (Encodage
= User-Password) ou chiffré (Encodage = NT-Password).
Attribut de contrôle / Valeur attendue : un attribut de l’annuaire externe qui peut être utilisé
dans le processus d’authentification. Il faut spécifier, d’une part, le nom de l’attribut et, d’autre
part, la valeur attendue de cet attribut. Par exemple, un attribut qui indique si un utilisateur a
accepté une charte ou s’il a payé son forfait.
Attribut du nom : attribut permettant de récupérer le nom de l’utilisateur afin de le stocker dans
les journaux UCOPIA.
Attribut du prénom : attribut permettant de récupérer le prénom de l’utilisateur afin de le stocker
dans les journaux UCOPIA.
Avertissement
La nomenclature LDAP doit être respectée afin de désigner le « Base DN ».
Avertissement
L’utilisation de l’attribut de contrôle est nécessairement liée à un profil utilisateur. En effet, l’attribut
ne sera impliqué dans le processus d’authentification que si l’option « Utiliser les attributs de
contrôle » est configurée dans le profil utilisateur (voir documentation « Manuel d’Administration
UCOPIA Advance », Section « Administration des profils utilisateur »).
Exemple 1 :
© 2012 Ucopia
47
Figure 5.36. Configuration des paramètres de recherche de profil (Active Directory)
Exemple 2 :
Figure 5.37. Configuration des paramètres de recherche de profil (LDAP)
Note
Vous pouvez utiliser le bouton « Tester les paramètres » pour vérifier que les paramètres sont
corrects.
4. Si l’annuaire a vocation à être utilisé pour l’authentification des administrateurs délégués, cochez la
case « Activer l’accès ».
Figure 5.38. Configuration des comptes de délégation associés à un annuaire
Choisissez le compte de délégation qui sera utilisé pour les administrateurs délégués qui
s’authentifieront depuis cet annuaire.
5. Cliquez sur « Valider ».
© 2012 Ucopia
48
5.2.1.1. Configuration d’une cascade d’annuaires
Le second bloc de la page intitulé « Séquence de recherche dans les annuaires » permet de décrire
trois cascades d’annuaires associées respectivement au mode d’authentification par portail Web, au
mode 802.1x/EAP et à l’authentification des administrateurs délégués. Pour les deux premières cascades (portail et EAP), par défaut, seul l’annuaire interne UCOPIA est défini (local). Ces cascades fonctionnent donc par défaut avec ce seul annuaire. Pour la cascade associée à l’authentification des administrateurs délégués, aucun annuaire n’est défini par défaut.
Note
Les administrateurs délégués définis localement ont automatiquement accès à l’outil d’administration.
Pour modifier les cascades d’annuaires, cliquez sur le bouton « Modifier » du bloc « Séquence de
recherche dans les annuaires ».
Pour chacune des trois cascades, il est possible de choisir quels seront les annuaires impliqués dans
la cascade, et l’ordre d’interrogation des annuaires.
Exemple : 3 annuaires sont définis (Employés, Partenaires et local). La cascade pour l’authentification
Portail fait intervenir les trois annuaires alors que la cascade EAP seulement deux. La cascade pour les
administrateurs délégués fait intervenir le seul annuaire Employés.
L’ordre de priorité est spécifié en utilisant les boutons « Monter » ou « Descendre », comme indiqué
dans la copie d’écran ci-dessous :
© 2012 Ucopia
49
Figure 5.39. Configuration des cascades d’annuaires
Une fois les cascades spécifiées, la page de configuration des annuaires s’affiche comme suit :
© 2012 Ucopia
50
Figure 5.40. Exemple de configuration de cascades d’annuaires
Note
Plusieurs annuaires UCOPIA peuvent intervenir dans une cascade d’annuaires. Par exemple, dans le
cas d’une architecture multi-contrôleurs UCOPIA, il est possible d’interroger en premier lieu l’annuaire
UCOPIA du contrôleur Principal puis l’annuaire local du contrôleur Secondaire. Pour cela, il faudra
ajouter l’annuaire UCOPIA du contrôleur Principal dans la liste des annuaires configurés. Cette architecture peut s’avérer nécessaire pour garantir le fonctionnement du contrôleur Secondaire en cas
de coupure réseau entre le contrôleur Principal et le Secondaire.
5.2.2. Configuration des certificats
Le contrôleur UCOPIA utilise ses propres certificats pour, d’une part, l’authentification HTTPS par portail
Web et, d’autre part, la mise en œuvre du protocole EAP/PEAP ou EAP/TTLS par le serveur RADIUS
embarqué dans le contrôleur.
Pour charger d’autres certificats dans le contrôleur UCOPIA, cliquez sur l’item « Certificats » du sousmenu proposé en partie gauche de la fenêtre. La page suivante s’affiche :
© 2012 Ucopia
51
Figure 5.41. Chargement des certificats
Pour chaque type de certificat, chargez les certificats en utilisant les boutons « Parcourir… », puis
cliquez sur « Valider ».
Un clic sur un lien (exemple : « Certificat du contrôleur UCOPIA ») permet de visualiser le contenu du
certificat dans l’encadré « Contenu du certificat ». Le certificat peut également être téléchargé.
Exemple :
Figure 5.42. Visualisation du contenu d’un certificat
Note
Par défaut, UCOPIA utilise des certificats signés GlobalSign.
© 2012 Ucopia
52
5.2.3. Configuration RADIUS
UCOPIA embarque son propre serveur RADIUS. Celui-ci peut être utilisé directement en tant que serveur d’authentification ou en mode proxy vers un ou plusieurs serveurs RADIUS externes.
Note
Nous rappelons que le protocole RADIUS repose principalement sur un serveur (le serveur RADIUS),
relié à une base d’identification (base de données, annuaire LDAP, etc.) et un client RADIUS, appelé
NAS (Network Access Server), faisant office d’intermédiaire entre l’utilisateur final (appelé supplicant)
et le serveur. L’ensemble des transactions entre le client RADIUS et le serveur RADIUS est chiffré
et authentifié grâce à un secret partagé.
Pour configurer le serveur RADIUS UCOPIA, cliquez sur l’item « Radius » du sous-menu proposé en
partie gauche de la fenêtre. La page suivante s’affiche :
Figure 5.43. Configuration du RADIUS UCOPIA
Le bloc « Paramètres EAP » permet de configurer les paramètres pour une authentification 802.1x/
EAP. Les certificats pour RADIUS peuvent être téléchargés en cliquant sur le lien « Certificats du
serveur RADIUS ». Concernant le mécanisme de réauthentification EAP, il est possible de choisir entre 3 cas : (1) pas de réauthentification, (2) une réauthentification qui sera contrôlée par le
NAS (point d’accès, par exemple), (3) une réauthentification gérée par le RADIUS UCOPIA avec un
© 2012 Ucopia
53
temps de réauthentification configurable en secondes (par défaut, le temps est configuré à 40 secondes).
Le bloc « Configuration des NAS » permet de configurer, d’une part, le secret partagé nécessaire au chiffrement et, d’autre part, le VLAN d’administration des NAS (les NAS seront les points
d’accès dans le cas d’une architecture Wi-Fi). Le secret partagé est par défaut testing123 ; le VLAN
d’administration est par défaut le VLAN 1.
Pour configurer un NAS, cliquez sur le bouton « Ajouter ».
Exemple :
Figure 5.44. Exemple de configuration des NAS
Le cadre « Options avancées pour l’authentification RADIUS » permet de définir certaines options concernant la configuration RADIUS.
Cliquez sur « Valider ».
5.2.3.1. Configuration du RADIUS UCOPIA en mode proxy
Le RADIUS UCOPIA peut se configurer en mode proxy pour interroger un ou plusieurs RADIUS externes.
L’aiguillage vers le RADIUS externe s’opère grâce à un « realm ». Le « realm » va donc servir à déterminer vers quel serveur RADIUS le serveur RADIUS UCOPIA doit envoyer sa requête.
Il existe trois catégories de realm :
Le realm nommé ou distant
Il s’agit de la partie de l’identifiant utilisateur qui se trouve après le « @ ». Par exemple, si l’identifiant
est « [email protected] [mailto:[email protected]] », le realm sera « truc.com ». La requête sera
donc envoyée au serveur RADIUS du domaine truc.com. Il faut néanmoins que ce serveur soit
correctement configuré dans le mécanisme de proxy.
Le realm vide (NULL)
Le realm n’est pas explicitement mentionné dans l’identifiant utilisateur (exemple : identifiant « jdupond »). Dans ce cas, la requête sera envoyée à un serveur qui sera précisé lors de la configuration
proxy.
Le realm par défaut (DEFAULT)
Le realm existe mais n’est pas connu de la configuration. Dans ce cas, la requête sera envoyée à
un serveur qui sera précisé lors de la configuration proxy.
© 2012 Ucopia
54
Par défaut, le RADIUS UCOPIA sera utilisé pour à la fois le realm NULL et le realm DEFAULT, comme
le montre la configuration par défaut ci-dessous :
Figure 5.45. Configuration par défaut des realms
Note
Le serveur RADIUS UCOPIA est noté « LOCAL » dans la configuration proxy.
Pour utiliser le serveur RADIUS UCOPIA comme proxy, cliquez sur le bouton « Ajouter » du tableau
« Configuration des realms et des serveurs proxy RADIUS ». La page suivante s’affiche :
Figure 5.46. Configuration du RADIUS UCOPIA en mode proxy
Il faut tout d’abord définir le nom du realm puis le RADIUS sur lequel le realm sera opérant.
Pour utiliser le RADIUS UCOPIA, cliquez sur le bouton « RADIUS LOCAL ».
© 2012 Ucopia
55
Pour utiliser un RADIUS distant, cliquez sur le bouton « RADIUS DISTANT », puis renseignez
les informations permettant d’identifier le serveur RADIUS d’autorité associé au realm, à savoir
l’adresse IP du serveur RADIUS, le numéro de port sur lequel il est accessible, et son secret. Il faut
également choisir le profil utilisateur qui sera utilisé par défaut. En effet, le mécanisme de proxy
RADIUS ne permet pas de rechercher le profil de l’utilisateur dans l’annuaire distant.
Afin de faire de la facturation (ou accounting), il faut définir le port d’accounting. Dans ce cas, les
messages standard RADIUS Accounting seront envoyés au RADIUS distant. Les messages sont
par exemple Acc-start (pour une authentification réussie et un démarrage de session), Acc-Stop
(pour une déconnexion et fin de session) ou alors un message de type Session-Timeout pour le
cas d’utilisation de crédit temps. Le port standard d’accounting est le port 1813.
Certains RADIUS serveurs ont besoin de connaître le realm (par exemple, si l’utilisateur est déclaré en
tant que [email protected] [mailto:[email protected]] sur le RADIUS distant). Dans ce cas, il faudra cocher
la case « Transmettre le realm au RADIUS distant ».
Exemple :
Figure 5.47. Exemple de configuration d’un realm
5.2.3.2. Configuration des options avancées de configuration RADIUS
Pour configurer les options avancées, ouvrir le cadre « Options avancées pour l’authentification
RADIUS ». Les options s’affichent comme suit.
© 2012 Ucopia
56
Figure 5.48. Options avancées d’authentification RADIUS
La première option permet de coupler l’authentification RADIUS avec le portail Web. En effet, le
serveur RADIUS est généralement utilisé dans le cas d’une architecture d’authentification basée sur
le protocole 802.1x. Avec UCOPIA, il est possible d’utiliser RADIUS couplé à une authentification
de type portail Web. La résultante de ce couplage permet, d’une part, de bénéficier de la simplicité
de l’authentification par portail (aucun prérequis sur le poste de l’utilisateur) et, d’autre part, de
bénéficier de la puissance de RADIUS et, en particulier, des mécanismes de proxy.
Pour mettre en œuvre ce couplage, il suffit de cocher la case « Activer ».
Si un poste utilisateur est configuré en 802.1x PEAP/MsCHAPv2 et est rattaché à un domaine
Windows, la machine envoie plusieurs types d’authentification. La première authentification est
« l’authentification machine » où l’identifiant envoyé est un identifiant propre à la machine. Une
fois l’authentification machine envoyée, l’utilisateur s’identifie (ouverture de session Windows). À
ce moment, une deuxième authentification est envoyée par la machine avec, comme identifiant,
celui de la session utilisateur du domaine.
La deuxième option permet alors de configurer UCOPIA afin de décider quelle authentification sera
prise en charge par notre serveur RADIUS :
utilisateurs seuls (défaut),
machines seules,
utilisateurs et machines,
machines du domaine uniquement (une fois l’authentification machine réussie, on mémorise
l’adresse MAC) ainsi que les utilisateurs.
Cochez la case correspondante.
Il est également possible de désactiver l’authentification.
5.2.4. Configuration Windows
Pour enregistrer le contrôleur UCOPIA dans un domaine Windows, cliquez sur l’item « Windows » du
sous-menu en partie gauche de la fenêtre. La page suivante s’affiche :
© 2012 Ucopia
57
Figure 5.49. Configuration de l’authentification transparente Windows
Nous rappelons que cet enregistrement est nécessaire si l’on souhaite s’interfacer avec un annuaire
Active Directory et utiliser le protocole d’authentification 802.1x/PEAP.
Il faut renseigner les champs du bloc « Enregistrement dans un domaine Windows ».
Exemple :
Figure 5.50. Exemple d’enregistrement dans un domaine Windows
Si d’autres serveurs Windows doivent être déclarés, pour assurer une redondance par exemple, utilisez
le bloc « Déclaration des serveurs Windows miroirs » en spécifiant leurs adresses IP.
5.2.5. Configuration Shibboleth
Shibboleth est un mécanisme de propagation d'identités, développé par le consortium Internet2, qui
regroupe un grand nombre d'universités et centres de recherches. L'authentification « Shibboleth » permet de partager des informations d'identité entre établissements scolaires, universitaires, etc. Ce mécanisme permet à un établissement de demander à un autre établissement s'il connaît un utilisateur en
particulier, et quel est son profil.
Un peu de vocabulaire
IdP : Identity provider
© 2012 Ucopia
Fournisseur d'identité
58
SP : Service provider
Fournisseur de service
DS : Discovery Service
Service de découverte
Procédure 5.1. Déroulement de l'authentification Shibboleth côté portail
1.
Lorsqu'un utilisateur veut s'authentifier, il est redirigé vers une page listant l'ensemble des universités de la communauté (le DS). Une fois qu'il a choisi son institution, il est redirigé vers l'IdP de
son institution.
En général c'est une page dans laquelle il y a un formulaire identifiant/mot de passe et le logo de
l'établissement.
2.
Si l'authentification est réussie, l'utilisateur est redirigé sur le portail. l'IdP fournit au contrôleur un
ensemble d'attributs dont l'attribut affiliation (ou rôle). Cet attribut va être utilisé pour tenter de faire
correspondre cet utilisateur à un profil UCOPIA. Le contrôleur va tenter de donner à l'utilisateur le
profil le plus élevé possible compte tenu des différentes affiliations retournées par l'IdP, en essayant
de les faire correspondre, sans tenir compte de la casse. Par exemple, si l'attribut d'affiliation retourné est affiliation: member;student;manager, et que le contrôleur propose les profils
Student et Manager, l'utilisateur aura les privilèges du profil manager.
Pour configurer l’authentification Shibboleth, cliquez sur l’item « Shibboleth » du sous-menu en partie
gauche de la fenêtre.
Figure 5.51. Écran d'accueil de la configuration Shibboleth
Procédure 5.2. Ajout d'une configuration Shibboleth
1.
Pour ajouter une nouvelle configuration, cliquez sur le bouton « Ajouter »
2.
Remplissez les champs requis, et fournissez les fichiers de certificat.
© 2012 Ucopia
59
Figure 5.52. Création d'une nouvelle configuration Shibboleth
Configuration active : Permet de définir la configuration actuelle en tant que configuration
active pour être utilisée dans les portails captifs. Une seule configuration peut être active à un
moment donné. Par conséquent, activer cette configuration désactivera toutes les autres.
Nom de la configuration : Le nom interne au boîtier UCOPIA, permettant de faire référence
à cette configuration, notamment dans la configuration du portail.
Fédération : Permet de définir la fédération à laquelle appartiendra le contrôleur. Afin de faciliter la configuration du contrôleur, les métadonnées et les certificats des fédérations RENATER sont pré-remplis. Si vous choisissez une autre fédération, vous devrez fournir son URL
de métadonnées ainsi que son certificat.
Méta données de la fédération : Permet de définir l'URL des métadonnées de la fédération. Le
contrôleur consulte cette URL toutes les heures afin de vérifier si d'autres IdP se sont rajoutés.
Si tel est le cas, des règles de filtrages sont rajoutées afin de permettre l'accès vers ces IdP
avant authentification. Dans le cas des fédérations RENATER, cette URL est prédéfinie.
Service de découverte : Permet de définir l'URL du service de découverte Shibboleth (Discovery Service). Dans le cas des fédérations RENATER, des valeurs par défaut sont proposées.
Cependant, le service n'est pas garanti. Les utilisateurs sont invités à déclarer leur propre service de découverte.
Certificat de la fédération : Ce certificat est fourni par la fédération. Il servira à chiffrer les
messages émanant du contrôleur. Dans le cas des fédérations RENATER, ce certificat est
prédéfini.
Identifiant de l'entité : URL permettant d'identifier de manière unique le contrôleur au sein de
la fédération. L'URL n'a pas besoin de pointer vers un serveur. Il est cependant recommandé
d'utiliser une URL dont le nom de domaine vous appartient. Cette même URL devra, par la
suite, être spécifiée dans le formulaire d'adhésion à fédération dans le champ 'Entity ID'. Il faut
compter un délai d'une à 3 heures pour que les IdP prennent en compte votre adhésion (ou
vos modifications). Exemple : https://www.mondomaine.com/controleur1.
Profil par défaut : Quand un utilisateur shibboleth est authentifié, le fournisseur d'identité
(IdP) fournit au contrôleur ses 'affiliations' dans les attributs eduPersonPrimaryAffiliation et
eduPersonAffiliation. Renater se base les recommandations SupAnn pour définir les affiliations: student, faculty, staff, employee, member, affiliate, alum, researcher, retired, emeritus,
etc. Se référer à la documentation CRU [http://www.cru.fr/documentation/supann] pour plus
d'information sur les affiliations. Le contrôleur essaie de trouver une correspondance entre ces
affiliations et les profils définis sur le contrôleur. Si une correspondance est trouvée, le profil
© 2012 Ucopia
60
sera affecté à l'utilisateur pour la durée de la session. Par contre, si aucune correspondance
n'est trouvée, l'utilisateur se voit affecté au profil par défaut défini par le champ ci-contre. Si vous
souhaitez différencier le service en fonction de l'affiliation, vous devez définir sur le contrôleur
des profils portant le même nom.
Exemple 5.1. Exemple 1
eduPersonPrimaryAffiliation : Researcher
eduPersonAffiliation : Member, Student, Researcher
Profils du contrôleur : guest, managers, researcher, student
Profil qui sera utilisé : researcher
Profils du contrôleur : guest, managers, student
Profil qui sera utilisé : student
Profils du contrôleur : guest, managers
Profil qui sera utilisé : profil par défaut
Certificat du service (x.509) : Ce certificat est utilisé pour chiffrer tous les messages émis par
les IdP et à destination du contrôleur. Il doit donc être renseigné dans le formulaire d'adhésion
à la fédération. Il sera inclus dans les méta données et diffusé à tous les IdP de la fédération.
Si vous laissez ce champ vide, le contrôleur auto-générera un certificat auto signé.
Clé privée du certificat de service : Cette clé privée ne doit être connue que par le contrôleur. Elle servira à déchiffrer les messages qui lui sont destinés. Elle peut éventuellement être
protégée par un mot de passe (ci-dessous)
Mot de passe de la clé privée du certificat de service : (Optionnel) Mot de passe de chiffrement de la clé privée.
URL du service shibboleth : À renseigner dans le champ correspondant dans le formulaire
d'adhésion à la fédération
URL du service AssertionConsumerService SAML 1.0 : À renseigner dans le champ correspondant dans le formulaire d'adhésion à la fédération
URL du service AssertionConsumerService SAML 2.0 : À renseigner dans le champ correspondant dans le formulaire d'adhésion à la fédération
3.
Enregistrez vous en tant que nouveau fournisseur de service (Service Provider : SP) sur le réseau RENATER [https://services-federation.renater.fr/gestion?federation=test], en reprenant les informations fournies dans le formulaire à l'étape précédente.
© 2012 Ucopia
61
Figure 5.53. Enregistrement sur le réseau RENATER
5.3. Configuration du « Zéro configuration »
Le « zéro configuration » va permettre à un utilisateur du réseau contrôlé par UCOPIA d’accéder aux
ressources autorisées par son profil sans configuration préalable de son poste ou de ses applications.
Cliquez sur l’item « Zéro configuration » proposé en partie gauche de la fenêtre. Le sous-menu s’affiche
et propose les items suivants :
Figure 5.54. Items du menu Zéro configuration
5.3.1. Configuration du mécanisme « IP fixe »
Le mode « IP fixe » permet d’activer le mécanisme permettant à un utilisateur de se connecter avec
une adresse IP fixe quelconque. Si ce mécanisme est désactivé, l’utilisateur devra absolument être en
mode DHCP pour pouvoir se connecter. Ce mode est configurable sur chaque VLAN d’entrée.
© 2012 Ucopia
62
Pour activer le mode « IP fixe », cliquez sur l’item « IP fixe » du sous-menu en partie gauche de la
fenêtre. La page suivante s’affiche :
Figure 5.55. Configuration du mode « IP fixe »
Sélectionnez le VLAN sur lequel le mode « IP fixe » sera activé (case à cocher), puis cliquez sur le
bouton « Activer ».
Le statut est affiché en vert quand le mode est activé, en rouge sinon. Par défaut, le mode n’est activé
sur aucun VLAN.
5.3.2. Configuration du service Web
Ce mode va permettre à un utilisateur d’utiliser son navigateur Internet, quelle que soit la configuration
proxy de celui-ci.
Cliquez sur l’item « Web » du sous-menu proposé en partie gauche de la fenêtre. La page suivante
s’affiche :
© 2012 Ucopia
63
Figure 5.56. Configuration du service Web
Le premier bloc va permettre de spécifier les ports proxy du navigateur Web client pris en charge
par le contrôleur UCOPIA. On distingue deux cas : les ports pris en charge pour la redirection vers
le portail d’authentification (avant authentification) et les ports pris en charge après authentification.
Les ports doivent être séparés par des « ; ». Par défaut, seuls les ports 8080 et 3128 sont pris
en compte.
Avertissement
les ports HTTPS (443) et FTP (21) ne sont pas pris en charge par le module « zéro configuration »
du contrôleur.
Le deuxième bloc va être utilisé dans le cas où l’on souhaite que les flux HTTP des utilisateurs
soient redirigés vers un proxy Web d’entreprise. Par défaut, aucune redirection n’est configurée.
Si vous souhaitez activer le service de redirection vers un proxy Web parent, il faut cocher la case
« Activer la redirection vers le proxy web pour les ports », et renseigner les champs relatifs au
proxy Web à utiliser, l’adresse IP du proxy, ainsi que son port d’écoute.
Si le proxy d’entreprise requiert une authentification, il faut cocher la case « Activer
l’authentification vers le proxy parent ». Deux choix sont alors possibles : une authentification
pour un compte unique ou une authentification pour chaque compte utilisateur.
Dans le cas d’un compte unique, il faut sélectionner l’option et renseigner les identifiants du compte,
à savoir les champs « Login » et « Mot de passe ».
Dans le cas des comptes utilisateurs, il est fortement recommandé de renseigner également les
identifiants du compte qui sera utilisé pour authentifier le contrôleur.
© 2012 Ucopia
64
Note
L’authentification par compte utilisateur permet d’envoyer au proxy parent des informations relatives
à l’utilisateur (login et mot de passe). Le proxy pourra alors utiliser ces informations pour appliquer
des politiques de sécurité par utilisateur ou profil utilisateur (filtrage d’URL par exemple).
Figure 5.57. Configuration de la redirection vers un proxy parent
Le troisième bloc permet d’activer le filtrage d’URL dans le cas d’une utilisation conjointe du contrôleur UCOPIA avec le produit de filtrage d’URL Olféo. Pour cela, cochez la case « Activer le filtrage
des URLs ».
Le dernier bloc permet à travers le protocole WPAD (Web Proxy Autodiscovery Protocol) de configurer automatiquement les navigateurs Web des utilisateurs (clients du proxy Web). Pour cela, il
faut télécharger un fichier wpad.dat sur le contrôleur UCOPIA. En cas de téléchargement erroné,
vous pouvez restaurer le fichier précédent à l’aide du bouton « Restaurer ».
Cliquez sur le bouton « Valider » à chaque étape.
5.3.3. Configuration du service de redirection vers un serveur de messagerie
Si vous souhaitez que les flux SMTP des utilisateurs soient redirigés vers un serveur de messagerie
d’entreprise, il faut activer le service de redirection vers un serveur de messagerie. Par défaut, aucune
redirection n’est configurée.
Cliquez sur l’item « Messagerie » du sous-menu proposé en partie gauche de la fenêtre. La page
© 2012 Ucopia
65
Figure 5.58. Configuration du service de redirection vers un serveur de messagerie
Cochez la case « Activer ». Deux modes sont proposés, comme le montre la page suivante :
© 2012 Ucopia
66
Figure 5.59. Choix des modes de configuration de redirection SMTP
Mode Redirection
Il permet que l’ensemble des flux SMTP soit redirigé vers un serveur de messagerie. Sélectionnez le
mode redirection en cochant la case « Rediriger le trafic SMTP vers un serveur de messagerie »,
et renseignez le champ « Adresse IP ».
Exemple :
Figure 5.60. Exemple de configuration de redirection SMTP
Cliquez sur le bouton « Valider ».
Mode Relai SMTP
© 2012 Ucopia
67
Il permet l’activation du relai SMTP UCOPIA afin de relayer les emails vers un compte de messagerie. Pour cela, sélectionnez le mode en cochant la case « Utiliser le relai SMTP du contrôleur »,
et renseignez les champs suivants :
Adresse IP ou DNS : à défaut de fournir l’adresse IP du serveur de messagerie, un nom DNS
peut être spécifié ;
Identifiant du compte : par exemple [email protected] ;
Mot de passe du compte : le mot de passe associé au compte.
Exemple :
Figure 5.61. Exemple de configuration du relai SMTP
Avertissement
Attention : le mode Relai SMTP ne fonctionnera pas si :
le serveur de messagerie bloque les messages dont l’adresse email de l’expéditeur n’est pas
identique à celle spécifiée pour le compte ;
le serveur de messagerie masque l’adresse email des expéditeurs.
Le bouton « Tester les paramètres » permet de vérifier, avant validation, que les paramètres sont
corrects.
5.3.4. Configuration du serveur d’impression
UCOPIA Advance propose un mécanisme permettant aux utilisateurs d’imprimer sur une imprimante
sans avoir à installer le pilote correspondant. En effet, UCOPIA Advance, grâce à son serveur
d’impression, mettra le pilote de l’imprimante à disposition de l’utilisateur de façon transparente. Pour
mettre en œuvre ce service, il faut indiquer à UCOPIA Advance quelles sont les imprimantes qui pourront être proposées à l’utilisateur dans ce mode transparent.
© 2012 Ucopia
68
Pour configurer les imprimantes, cliquez sur l’item « Imprimantes » du sous-menu proposé en partie
Figure 5.62. Configuration des imprimantes
Par défaut, aucune imprimante n’est configurée
5.3.4.1. Ajouter une imprimante
Selon la configuration de l'imprimante, le contrôleur pourra la détecter automatiquement en cliquant sur
« Découvrir des imprimantes réseau ». Sinon, vous devrez effectuer tout l'installation manuellement.
Procédure 5.3. Découverte automatique
1.
Cliquez sur « Découvrir des imprimantes réseau »
2.
Suivez la procédure suivante.
Procédure 5.4. Installation manuelle
1.
Cliquez sur le bouton « Ajouter une imprimante ».
2.
Choisissez l'imprimante souhaitée si celle-ci a été découverte automatiquement, ou sinon la manière dont elle est connectée.
© 2012 Ucopia
69
Figure 5.63. Choix du protocole de l'imprimante locale, ou réseau
3.
Entrez l'adresse permettant de référencer cette imprimante s'il s'agit d'une imprimante réseau.
Figure 5.64. Saisie de l'adresse de l'imprimante
4.
Décrivez cette imprimante afin que les utilisateurs sachent de quelle imprimante il s'agit.
Figure 5.65. Description de l 'imprimante
© 2012 Ucopia
70
Partager cette imprimante
Cochez cette case pour partager l'imprimante via le réseau Samba (SMB/CIFS).
5.
Sélectionnez le fabriquant de l’imprimante, ou choisissez directement un fichier PPD s'il vous a été
fourni par le fournisseur de l'imprimante.
Figure 5.66. Choix du fabricant de l'imprimante
6.
Sélectionnez le modèle de l’imprimante
© 2012 Ucopia
71
Figure 5.67. Choix du modèle de l'imprimante
7.
Choisissez les options de configuration par défaut de cette nouvelle imprimante.
© 2012 Ucopia
72
Figure 5.68. Définition des options de l'imprimante
Note
Il s'agit là des options par défaut, que l'utilisateur pourra redéfinir pour chaque tâche d'impression.
Une fois l’imprimante ajoutée, elle apparaît dans la page des imprimantes.
© 2012 Ucopia
73
Figure 5.69. Visualisation d’une imprimante configurée
5.3.4.2. Administrer les imprimantes
Pour afficher davantage de détails sur une imprimante, cliquez sur son nom dans le tableau.
Figure 5.70. Affichage d’information détaillée pour une imprimante
Sur cette page, plusieurs actions sont possibles pour administrer l’imprimante :
Maintenance : commandes de maintenance de l'imprimante (pages de test, nettoyage, arrêt/démarrage) et des tâches soumises (rejet, déplacement, purge)
Administration
Modifier l'imprimante : permet de relancer l'assistant de configuration : Section 5.3.4.1, « Ajouter une imprimante ».
© 2012 Ucopia
74
Supprimer l'imprimante : définitivement du contrôleur.
Définir les options de l'imprimante : permet d'accéder à l'interface de définition des options
par défaut de l'imprimante : Figure 5.68, « Définition des options de l'imprimante ».
Définir par défaut : cette imprimante sera proposée par défaut à l'utilisateur.
Tâches : affiche la liste des tâches soumises à cette imprimante : les boutons permettent de basculer entre tâches actives ou terminées. Le champ de recherche permet de filtrer les tâches en
affichant uniquement les tâches dont le nom contient la chaîne recherchée.
5.4. Personnalisation
Cliquez sur l’item « Personnalisation » proposé en partie gauche de la fenêtre. Le sous-menu s’affiche
Figure 5.71. Items du menu Personnalisation
5.4.1. Personnalisation des portails UCOPIA
Cette section concerne d’une part les portails captifs utilisés pour l’authentification des utilisateurs et
d’autre part les portails de délégation utilisés pour la création de comptes utilisateur.
Il est possible de créer autant de portails que souhaité. Une fois un portail créé, il pourra être associé
à une ou plusieurs zones.
Chaque portail peut être personnalisé dans son mode de fonctionnement et dans son apparence.
Cliquez sur l’item « Portails » du sous-menu proposé en partie gauche de la fenêtre. La page suivante
s’affiche :
© 2012 Ucopia
75
Figure 5.72. Configuration des portails UCOPIA
Un portail se configure en créant une « association ». Une association met en relation une zone, un
mode de fonctionnement de portail (appelé « Configuration ») et un modèle visuel de portail (aspect
graphique).
Une association peut être active ou inactive.
Par défaut, trois associations actives sont préconfigurées décrivant chacune un portail.
Sur la zone d’entrée « Default » sont définis un portail captif et un portail de délégation.
Sur la zone de sortie « Default » est défini un portail de délégation.
Le tableau de configuration des portails propose 3 onglets permettant de visualiser respectivement les
associations, les configurations et les modèles visuels.
1. Onglet Associations
Pour visualiser le tableau des associations, cliquez sur l’onglet « Associations ».
Figure 5.73. Tableau des associations
Le tableau des associations présente les colonnes suivantes :
Nom de la zone : le nom de la zone d’entrée ou de sortie sur laquelle s’applique l’association.
Nom de la configuration : nom de la configuration en relation avec l’association.
Type de portail : Portail captif ou Portail de délégation.
© 2012 Ucopia
76
Nom du modèle visuel : nom du modèle visuel de portail en relation avec l’association.
Statut : vert indique que l’association est active, rouge inactive.
Actions : icônes permettant de modifier ou de supprimer l’association.
Note
: modification de l’association
Note
: suppression de l’association
2. Onglet Configurations
Pour visualiser le tableau des configurations, cliquez sur l’onglet « Configurations ».
Figure 5.74. Tableau des configurations
Une configuration par défaut (« default-portal ») est proposée pour le portail captif, une autre pour le
portail de délégation (« default-deleg »).
Le tableau des configurations présente les colonnes suivantes :
Nom de la configuration : le nom de la configuration classé par type de portail.
Formats: les différents formats pour lesquels le portail est défini. Les formats possibles sont :
PC, Tablette, Smartphone.
Modes de fonctionnement : les différents modes de fonctionnement du portail. Les modes
possibles sont : Standard, Auto, Libre, SMS, Mail, PayPal, PMS et PPS.
Hébergé : pastille verte si le portail est hébergé par le contrôleur UCOPIA, pastille grise sinon.
Zones : le nombre de zones auxquelles s’applique la configuration.
Modèles : le nombre de modèles visuels auxquels s’applique la configuration.
Actions : icônes permettant de modifier ou de supprimer la configuration.
: modification de la configuration
: suppression de la configuration
3. Onglet Modèles visuels
Pour visualiser le tableau des modèles visuels, cliquez sur l’onglet « Modèles visuels ».
© 2012 Ucopia
77
Figure 5.75. Tableau des modèles visuels
Il existe deux catégories de modèles, les modèles d’usine qui ne sont pas modifiables directement
et les modèles créés par l’administrateur.
Les modèles d’usine sont les suivants :
welcome :un modèle aux couleurs et design UCOPIA.
neutral : le même aspect visuel que welcome mais en utilisant des couleurs neutres. Il peut ainsi
s’adapter plus facilement aux contraintes d’une charte graphique.
classic : un portail sobre pour complète personnalisation.
Un modèle par défaut est prédéfini pouvant être utilisé pour les portails captif et de délégation, il se
nomme « default » et est basé sur le modèle d’usine « welcome ».
Le tableau des modèles visuels présente les colonnes suivantes :
Nom du modèle : le nom du modèle visuel.
Zones : le nombre de zones auxquelles s’applique le modèle visuel.
Configurations : le nombre de configurations auxquelles s’applique le modèle visuel.
Edition : icônes permettant de visualiser le modèle ou bien de lancer l’éditeur graphique de
modèles.
: visualisation du modèle
: édition du modèle
Actions : icônes permettant d’exporter, de modifier ou de supprimer le modèle visuel.
: exportation du code HTML pour personnalisation avancée
: modification du modèle
: suppression du modèle
5.4.1.1. Ajout d’une association
Pour ajouter une nouvelle association, cliquez sur l’onglet « Associations » du tableau des portails, puis
cliquez sur le lien « Ajouter une association ». Utilisez le lien se trouvant sur la ligne « Zones d’entrée »
pour créer une association sur une zone d’entrée. Utilisez le lien se trouvant sur la ligne « Zones de
sortie » pour créer une association sur une zone de sortie.
Par exemple, pour une configuration d’une association sur une zone d’entrée, la page suivante s’affiche.
© 2012 Ucopia
78
Figure 5.76. Ajout d'une association
Vous devez choisir la zone correspondant à l’association, puis les configurations des portails captif et
délégation et enfin le modèle visuel.
L’association peut être activée en cochant la case « Active ».
Figure 5.77. Configuration d'une association
Dans le cas où vous souhaitez activer l’association et qu’une association active sur la même zone existe,
une popup demande confirmation de l’action à exécuter. Il est donc possible de désactiver l’association
existante au profit de la nouvelle.
© 2012 Ucopia
79
Figure 5.78. Activation/désactivation d'une association
La nouvelle association apparaît dans le tableau des associations.
Figure 5.79. Association ajoutée
5.4.1.2. Modification d’une association
Pour modifier une association, cliquez sur l’icône de modification correspondante.
Par exemple, dans le cas d’une association mettant en œuvre une zone d’entrée et un portail captif, la
page de modification suivante s’affiche.
© 2012 Ucopia
80
Figure 5.80. Modification d'une association
Il est alors possible de modifier la configuration et le modèle visuel. L’association peut être activée ou
désactivée.
5.4.1.3. Ajout d’une configuration de portail captif
Pour ajouter une nouvelle configuration, cliquez sur l’onglet « Configurations » du tableau des portails,
puis cliquez sur le lien « Ajouter une configuration ». Utilisez le lien se trouvant sur la ligne « Portail
captif ».
© 2012 Ucopia
81
Figure 5.81. Ajout d’une configuration de portail captif
Dans un premier temps, il faut nommer la configuration dans le champ « Nom de la configuration ».
Optionnellement, il est possible de renforcer la sécurité du portail en ajoutant un mot de passe permettant
de déverrouiller le portail lors de son utilisation (champ « Mot de passe de sécurisation du portail »).
Cette fonction peut être utilisée en conjonction avec un mode de fonctionnement de type auto-enregistrement de l’utilisateur (voir ci-dessous les modes Libre, SMS ou Mail) afin d’éviter qu’une personne non
autorisée puisse s’enregistrer sur le portail et obtenir des identifiants de connexion.
Note
Le mot de passe de sécurisation du portail sera le même pour tous les utilisateurs du portail.
Suivre les étapes ci-dessous pour configurer le portail.
© 2012 Ucopia
82
Hébergement du portail
IL faut spécifier s’il s’agit d’un portail hébergé par le boîtier UCOPIA, ou d’un portail externe, c’està-dire hébergé par un autre serveur (portail d’entreprise par exemple).
Portail hébergé par le contrôleur : le portail est hébergé par le contrôleur UCOPIA et son
mode de fonctionnement doit être spécifié (voir Section 5.4.1.4, « Fonctionnement du portail
captif en fonction des différents modes »).
Il est également possible de rediriger l’utilisateur vers un portail externe à UCOPIA avant qu’il
ne revienne sur le portail hebergé par UCOPIA. Ce fonctionnement peut être utile pour demander à l’utilisateur des informations particulières, etc. Pour activer ce mode, cochez la case
« Redirection vers un portail externe avant le portail du contrôleur », et renseignez l’URL
de redirection vers le portail externe. Ce mode est compatible avec les différents modes de
fonctionnement du portail UCOPIA.
Exemple :
Figure 5.82. Exemple de configuration d’un portail hébérgé (avec redirection)
Avertissement
L’URL définissant le chemin d’accès au portail externe doit être déclarée comme URL en accès libre,
c’est-à-dire accessible avant authentification (voir Section 5.4.5, « Configuration d’URL en accès
libre »).
Sur le portail externe, vous devez créer un lien hypertexte et utiliser le code PHP suivant pour
revenir vers le portail UCOPIA.
Pour revenir sur le portail UCOPIA :
<a href=<?= $_GET['redirect']; ?>>Cliquez ici pour vous authentifier</a>
Pour revenir sur la page d’enregistrement du portail UCOPIA (mode SMS, email ou PayPal) :
<a href='<?= redirectsub ?>'>Cliquez ici pour vous inscrire</a>
Portail externe : dans ce cas, le portail UCOPIA est inhibé, et on utilise uniquement un portail
externe. L’utilisateur est automatiquement redirigé vers le portail dont l’adresse est indiquée
dans le champ « URL de redirection ».
Avertissement
L’URL définissant le chemin d’accès au portail externe doit être déclarée comme URL en accès libre,
c’est-à-dire accessible avant authentification (voir Section 5.4.5, « Configuration d’URL en accès
libre »).
Exemple :
© 2012 Ucopia
83
Figure 5.83. Exemple de configuration d’un portail externe
Avertissement
En cas d’utilisation unique d’un portail externe, il faudra que celui-ci soit enrichi avec les fonctions
d’authentification UCOPIA. Pour cela, UCOPIA fournit une API permettant de réaliser les fonctions
d’authentification dans tous les modes de fonctionnement (standard, SMS, email, etc.).
Choix du format du portail
Le format du portail va permettre de définir un portail adapté à un type de matériel utilisateur. Quatre
types de formats sont proposés :
PC : les matériels de type PC utiliseront ce portail.
Tablette : les matériels de type tablette se verront attribuer ce portail. Il sera nécessaire de
définir un graphisme approprié lors de la personnalisation de celui-ci (voir Section 5.4.1.4.8,
« Mode avec utilisation de cartes prépayées (PPS) »).
Smartphone : les matériels de type PDA, smart phone, etc., se verront attribuer ce portail. Il
sera nécessaire de définir un graphisme approprié lors de la personnalisation de celui-ci (voir
Section 5.4.1.8, « Personnalisation graphique et création de modèles visuels »).
Dégradé : le matériel n'est pas reconnu, un portail minimal est proposé.
Le contrôleur UCOPIA reconnaît automatiquement le type de matériel, et applique le portail correspondant.
Modes de fonctionnement
Le portail UCOPIA propose différents modes de fonctionnement :
Portail standard : l’utilisateur s’authentifie avec un couple login/mot de passe. Son compte
doit avoir été préalablement créé.
Portail avec enregistrement libre : l’utilisateur s’auto-enregistre sur le portail et reçoit ses
identifiants directement sur le portail.
Connexion automatique : dans ce mode il n’y a pas de portail, l’utilisateur est redirigé vers
une page Web que l’on peut spécifier. Dès lors que la redirection est effectuée, l’utilisateur est
authentifié.
Portail avec enregistrement par SMS : l’utilisateur s’auto-enregistre sur le portail UCOPIA,
et reçoit son mot de passe par SMS.
Portail avec enregistrement par mail : l’utilisateur s’auto-enregistre sur le portail UCOPIA,
et reçoit ses identifiants par mail.
Portail avec paiement en ligne via PayPal : l’utilisateur peut acheter un temps de connexion
ou crédit temps en réalisant un paiement en ligne.
Portail avec utilisation d’un logiciel de facturation (PMS) : ce mode s’utilise dans le cas
d’une interaction avec un système de facturation (PMS). L’utilisateur choisit son forfait sur le
portail UCOPIA.
Portail avec utilisation de cartes prépayées (PPS) : ce mode s’utilise dans le cas d’une
interaction avec un système de cartes prépayées.
© 2012 Ucopia
84
Portail avec authentification Shibboleth : ce mode permet de déléguer l'authentification des
utilisateurs à un fournisseur d'identité d'une communauté d'établissements.
Sélectionnez le mode souhaité. Voir les sections suivantes pour configurer chacun de ces modes.
Note
Certains modes peuvent s’utiliser conjointement. Il est par exemple possible de définir un portail
fonctionnant avec enregistrement par SMS ou enregistrement par Mail. Il faut dans ce cas cocher
les deux cases associées aux deux modes de portail.
Options d’enregistrement
Auto-génération de l’identifiant utilisateur à l’enregistrement
Cette option donne la possibilité à l’utilisateur de choisir son propre identifiant. Elle ne s’applique
pas aux portails SMS ou Mail
Auto-génération du mot de passe utilisateur à l’enregistrement
Cette option donne la possibilité à l’utilisateur de choisir son mot de passe. Elle ne s’applique
pas aux portails SMS ou Mail.
Définir une charte régissant l’utilisation des informations personnelles
Cette option affiche une charte à accepter ou refuser (case à cocher) dans le cas où des
informations personnelles seraient demandées à l’utilisateur.
Saisie du numéro de téléphone à l’enregistrement
Si cette option est sélectionnée, il sera demandé à l’utilisateur de renseigner son numéro de
téléphone sur le portail. Ne s’applique pas au portail SMS.
Saisie de l’adresse e-mail à l’enregistrement
Si cette option est sélectionnée, il sera demandé à l’utilisateur de renseigner son numéro de
téléphone sur le portail. Ne s’applique pas au portail Mail.
Options générales
Définir une charte régissant l’utilisation des services.
Dans le cas où une charte doit être acceptée par l’utilisateur, il est possible d’ajouter sur le
portail une case à cocher qui devra impérativement être cochée pour que l’utilisateur puisse
s’authentifier (voir Section 5.4.2, « Configuration des chartes »).
Définir une URL vers laquelle sera redirigé l’utilisateur une fois connecté
En mode standard, une fois l’utilisateur authentifié, un lien apparaît sur le portail captif « Cliquez ici pour atteindre la page initialement demandée ». Cette option permet de forcer la
redirection vers une autre page spécifiée dans le champ « URL de redirection ».
Options utilisateur
Permettre à l’utilisateur de modifier son mot de passe
Après une première authentification, un lien apparaîtra sur le portail donnant la possibilité à
l’utilisateur de modifier le mot de passe initial.
© 2012 Ucopia
85
Avertissement
Le lien permettant de changer de mot de passe n’apparaîtra qu’une fois la première authentification
de l’utilisateur réussie.
Forcer l’utilisateur à modifier son mot de passe à la première connexion
Cette option oblige l’utilisateur à modifier son mot de passe à la première connexion.
Définition des langues
Il est possible de choisir, d’une part, la langue par défaut du portail et, d’autre part, les langues qui
seront laissées au choix de l’utilisateur sur le portail.
Dans l’exemple ci-dessous, le français est utilisé par défaut, et le choix est laissé à l’utilisateur
d’afficher le portail dans toutes les langues disponibles.
Figure 5.84. Exemple de configuration des langues du portail captif
L’exemple suivant montre un portail en mode visuel « welcome », en format PC, avec un mode de
fonctionnement par défaut. Les différentes langues sont laissées au choix de l’utilisateur.
© 2012 Ucopia
86
Figure 5.85. Exemple de portail captif UCOPIA
5.4.1.4. Fonctionnement du portail captif en fonction des différents modes
5.4.1.4.1. Mode standard
L’utilisateur s’authentifie avec un couple login/mot de passe. Son compte doit préalablement avoir été
créé. Il s’agit du mode par défaut.
5.4.1.4.2. Mode connexion automatique
Dans ce mode, l’utilisateur est redirigé vers une page spécifiée dans le champ « URL de redirection
automatique ». Dès lors que la redirection est effectuée, l’utilisateur est authentifié.
Note
Si le champ « URL de redirection automatique » n’est pas renseigné, l’utilisateur sera redirigé vers
la page Web qu’il avait initialement demandée.
Avertissement
Ce mode crée un profil et un utilisateur générique qui seront utilisés pour l'authentification des utilisateurs.
5.4.1.4.3. Mode avec enregistrement libre
L’utilisateur s’auto-enregistre sur le portail captif UCOPIA en cliquant sur le bouton intitulé «Recevez
vos identifiants sur ce portail » (voir copie d’écran ci-dessous).
© 2012 Ucopia
87
Figure 5.86. Portail captif "welcome" avec enregistrement libre
L’utilisateur renseigne les champs « Identifiant », « Mot de passe », « Nom » et « Prénom » (voir
copie d’écran ci-dessous). L’utilisateur peut ensuite s’authentifier de façon standard sur le portail avec
ses identifiants. Le compte de l’utilisateur est automatiquement créé dans l’annuaire UCOPIA. Son profil
utilisateur sera celui qui est spécifié lors de la configuration du mode.
© 2012 Ucopia
88
Figure 5.87. Auto-enregistrement libre d’un utilisateur depuis le portail captif
Pour effectuer la configuration de ce mode, sélectionnez le mode « Portail avec enregistrement libre»,
puis :
Choisissez, parmi les profils disponibles, le profil que l’utilisateur obtiendra dans ce mode.
Exemple :
Figure 5.88. Configuration du portail captif avec enregistrement libre
5.4.1.4.4. Mode avec enregistrement par SMS
L’utilisateur s’auto-enregistre sur le portail captif UCOPIA en cliquant sur le bouton « SMS » (voir copie
d’écran ci-dessous).
© 2012 Ucopia
89
Figure 5.89. Portail captif « welcome » avec enregistrement par SMS
L’utilisateur renseigne les champs « Nom », « Prénom » et « Numéro de téléphone » (voir copie d’écran
ci-dessous). Le mot de passe est envoyé par SMS sur le téléphone portable de l’utilisateur. L’utilisateur
peut ensuite s’authentifier de façon standard sur le portail, son login sera son numéro de téléphone.
Le compte de l’utilisateur est automatiquement créé dans l’annuaire UCOPIA. Son profil utilisateur sera
celui qui est spécifié lors de la configuration du mode.
© 2012 Ucopia
90
Figure 5.90. Auto-enregistrement par SMS d’un utilisateur depuis le portail captif
Avertissement
Ce mode suppose un abonnement auprès d’un fournisseur de SMS. Se renseigner auprès d’UCOPIA
Communications.
Il faut, avant de pouvoir configurer ce type de portail, créer un compte qui sera associé à une plateforme de SMS proposée par le contrôleur UCOPIA. Pour cela, il faut se rendre dans le menu « Services
externes », item « SMS » (voir Section 5.8.1, « Configuration du service de SMS » pour davantage
de détails).
Une fois le compte créé, sélectionnez le mode « Portail avec enregistrement par SMS », puis :
Sélectionnez le compte associé à une plate-forme d’envoi de SMS parmi ceux proposés.
Exemple :
© 2012 Ucopia
91
Figure 5.91. Configuration du portail captif avec enregistrement par SMS
5.4.1.4.5. Mode avec enregistrement par Mail
L’utilisateur s’auto-enregistre sur le portail captif UCOPIA en cliquant soit sur le bouton email (voir copie
d’écran ci-dessous).
Figure 5.92. Portail captif avec enregistrement par email
L’utilisateur renseigne les champs « Nom », « Prénom » et « Adresse e-mail » (voir copie d’écran
ci-dessous). Les identifiants de connexion sont envoyés par mail à l’adresse spécifiée, et l’utilisateur
dispose d’un temps limité pour consulter sa messagerie, et ainsi prendre connaissance de son mot de
passe. L’utilisateur peut ensuite s’authentifier de façon standard sur le portail. Le compte de l’utilisateur
est automatiquement créé dans l’annuaire UCOPIA. Son profil utilisateur sera celui qui est spécifié lors
de la configuration du mode. Les temps dont dispose l’utilisateur pour consulter son mail ainsi que les
protocoles ouverts permettant la lecture du message sont configurables.
© 2012 Ucopia
92
Figure 5.93. Auto-enregistrement par email d’un utilisateur depuis le portail captif
Il faut, avant de pouvoir configurer ce type de portail, créer un compte qui sera associé à un serveur de
messagerie proposé par le contrôleur UCOPIA. Pour cela, il faut se rendre dans le menu « Services
externes », item « Mail » (voir Section 5.8.2, « Configuration du service de messagerie (email) » pour
davantage de détails).
Une fois le compte créé, sélectionnez le mode « Portail avec enregistrement par Mail », puis :
Sélectionnez le compte associé à un serveur de messagerie parmi ceux proposés.
Configurez l'ouverture temporaire de l'accès réseau.
En effet, l’utilisateur devant consulter sa messagerie pour prendre connaissance de son mot de
passe, le réseau doit être ouvert pendant le temps nécessaire et suffisant à la consultation de la
messagerie. Le temps d’ouverture s’exprime en minutes dans le champ « Durée d’ouverture ».
L’ouverture du réseau peut être restreinte à certains protocoles que l’on peut sélectionner dans le
champ « Service ouvert ». Un service « Watch_Mail » est prédéfini pour cet usage (HTTPS, HTTPS,
POP, IMAP, …).
Optionnellement, imposez que les adresses de messagerie appartiennent à certains domaines.
Pour cela cliquez sur « Ajouter un nom de domaine » et renseignez le nom de domaine.
© 2012 Ucopia
93
Figure 5.94. Exemple de configuration du portail captif avec enregistrement par Mail
5.4.1.4.6. Mode avec paiement en ligne via PayPal
L’utilisateur s’auto-enregistre sur le portail captif UCOPIA en effectuant un paiement en ligne. Ce paiement en ligne est associé à l’achat d’un forfait à choisir sur le portail.
Pour s’enregistrer, l’utilisateur clique sur le portail soit le bouton de paiement en ligne (voir copie d’écran
ci-dessous).
Figure 5.95. Portail captif avec paiement en ligne
L’utilisateur renseigne les champs « Identifiant », « Mot de passe », « Nom » et « Prénom » (voir
copie d’écran ci-dessous).
© 2012 Ucopia
94
Une fois le forfait choisi, l’utilisateur est redirigé vers le site PayPal sur lequel il peut payer son forfait,
soit en utilisant son compte PayPal, soit en utilisant sa carte de crédit. Si la transaction s’est effectuée
avec succès, l’utilisateur peut se connecter sur le portail en utilisant les identifiants qu’il a choisis.
Les identifiants peuvent être envoyés à l’utilisateur par SMS si la configuration du contrôleur l’autorise.
Figure 5.96. Enregistrement lors d’un paiement en ligne
© 2012 Ucopia
95
Figure 5.97. Choix d’un forfait avant paiement en ligne
Note
Afin d’assurer la traçabilité de la connexion, les informations nominatives (Nom, Prénom) de
l’utilisateur sont dans tous les cas récupérées depuis PayPal et enregistrées dans les journaux
UCOPIA.
Il faut, avant de pouvoir configurer ce type de portail, créer un compte PayPal et configurer UCOPIA avec
les informations relatives à ce compte. Pour cela, il faut se rendre dans le menu « Services externes »,
item « PayPal » (voir Section 5.8.3, « Configuration du service PayPal » pour davantage de détails).
Le portail PayPal fonctionne avec la notion de forfait. Le forfait est défini par l’administrateur UCOPIA.
Cela peut être un forfait 1h, 3h, ou forfait « emails », ou forfait « Tous les jours ouvrés de 16h à 18h », etc.
Les forfaits sont proposés au choix de l’utilisateur sur le portail captif avant paiement (voir documentation
« Manuel d’Administration UCOPIA Advance », Section « Administration des forfaits »).
Sélectionnez le mode « Portail avec paiement en ligne via PayPal », puis :
Sélectionnez le ou les forfaits à présenter sur le portail.
Choisissez si les identifiants de l’utilisateur lui seront envoyés par SMS. Les options possibles sont
« Jamais », « Sur demande de l’utilisateur » ou « Toujours ». Pour l’envoi par SMS, il faut préalablement interfacer le contrôleur UCOPIA avec une plate-forme de SMS (voir Section 5.8.1, « Configuration du service de SMS »).
Exemple :
© 2012 Ucopia
96
Figure 5.98. Configuration du portail captif avec paiement en ligne
Avertissement
Ce mode suppose que l’administrateur ait définie au préalable des forfaits (voir la documentation
« Manuel d’administration UCOPIA Advance », Section « Administration des forfaits ».
Avertissement
Ce mode suppose que l’administrateur de la solution UCOPIA (ou son représentant) ait créé au
préalable un compte PayPal. Ce compte doit avoir le statut « Premier » ou « Business ».
5.4.1.4.7. Mode avec utilisation d’un logiciel de facturation (PMS)
Le couplage UCOPIA/PMS (Property Management System) fonctionne avec une notion de forfait. Le
forfait est défini par l’administrateur UCOPIA. Cela peut être un forfait 1h, 3h, ou forfait « emails », ou
forfait « Tous les jours ouvrés de 16h à 18h », etc. Les forfaits sont proposés au choix de l’utilisateur
sur le portail UCOPIA après authentification.
Les deux copies d’écran suivantes montrent un exemple de portail captif avec choix de 2 forfaits, ainsi
que le feedback affiché une fois le choix effectué.
© 2012 Ucopia
97
Figure 5.99. Exemple de portail captif avec utilisation de forfaits (PMS)
© 2012 Ucopia
98
Figure 5.100. Exemple de feedback utilisateur après un choix de forfait
Pour la configuration de ce mode, il faut sélectionner le mode « Portail avec utilisation d’un logiciel
de facturation (PMS) » et choisir le ou les forfaits qui seront présentés à l’utilisateur sur le portail.
Figure 5.101. Exemple de configuration du portail captif avec utilisation d’un PMS
Avertissement
Ce mode suppose que l’administrateur ait défini au préalable des forfaits (voir la documentation
« Manuel d’administration UCOPIA Advance », Section « Administration des forfaits ».
© 2012 Ucopia
99
Avertissement
Ce mode suppose que l’administrateur ait configuré au préalable la connexion avec le logiciel de
facturation PMS, voir Section 5.8.4, « Configuration du service PMS ».
5.4.1.4.8. Mode avec utilisation de cartes prépayées (PPS)
Le couplage UCOPIA/PPS (Pre-Paid System) fonctionne avec des cartes prépayées. À chaque carte
est associé un temps de connexion. L’utilisateur s’authentifie sur le portail avec l’identifiant de sa carte
et un captcha code. Le temps octroyé par la carte et le temps consommé s’affichent sur le portail après
authentification.
La copie d’écran suivante montre un exemple de portail UCOPIA PPS.
Figure 5.102. Portail captif avec utilisation d’un PPS
Pour la configuration de ce mode, il faut sélectionner le mode « Portail avec utilisation de cartes
prépayées (PPS) », puis définir le profil qui sera associé à tous les utilisateurs utilisant le mode PPS.
© 2012 Ucopia
100
Figure 5.103. Exemple de configuration du portail captif avec utilisation de cartes prépayées (PPS)
Avertissement
Ce mode suppose que l’administrateur ait configuré au préalable la connexion avec le logiciel de
cartes prépayées PPS, voir Section 5.8.5, « Configuration du service PPS ».
5.4.1.4.9. Mode par authentification Shibboleth
Ce mode permet d'authentifier des utilisateurs référencés par un tiers fournisseur d'identité.
Figure 5.104. Portail captif avec authentification Shibboleth
L'utilisateur indique son établissement d'origine et ses identifiants, puis est authentifié par le service tiers.
© 2012 Ucopia
101
Figure 5.105. Exemple de feedback utilisateur après authentification
Figure 5.106. Exemple de configuration du portail captif avec authentification Shibboleth
Avertissement
Ce mode suppose que l’administrateur ait configuré au préalable l'authentification Shibboleth, voir
Section 5.2.5, « Configuration Shibboleth ».
5.4.1.5. Modification d’une configuration de portail captif
Pour modifier une configuration de portail captif, cliquez dans le tableau des configurations sur l’icône
de modification correspondant à la configuration à modifier.
Exemple :
© 2012 Ucopia
102
Figure 5.107. Modification d'une configuration de portail captif
La page de modification est identique à la page de création.
5.4.1.6. Ajout d’une configuration de portail de délégation
Pour ajouter une nouvelle configuration, cliquez sur l’onglet « Configurations » du tableau des portails,
puis cliquez sur le lien « Ajouter une configuration ». Utilisez le lien se trouvant sur la ligne « Portail
de délégation ».
Figure 5.108. Ajout d'une configuration de portail de délégation
Dans un premier temps, il faut nommer la configuration dans le champ « Nom de la configuration ».
Suivre les étapes ci-dessous pour configurer le portail de délégation.
Options administrateur délégué
Permettre à l’administrateur délégué de modifier son mot de passe
Après une première authentification, un lien apparaîtra sur le portail donnant la possibilité à
l’administrateur délégué de modifier le mot de passe initial.
© 2012 Ucopia
103
Avertissement
Le lien permettant de changer de mot de passe n’apparaîtra qu’une fois la première authentification
de l’administrateur délégué réussie.
Forcer l’administrateur délégué à modifier son mot de passe à la première connexion
Cette option oblige l’administrateur délégué à modifier son mot de passe à la première
connexion.
Options d’enregistrement des utilisateurs
En plus des champs additionnels pouvant être ajoutés lors de la création d’un compte utilisateur
(depuis le portail de délégation et/ou l’outil d’administration), il est possible d’ajouter sur le portail
de délégation 3 champs supplémentaires.
L’avantage de ces champs est qu’ils sont typés, ils seront donc stockés dans les journaux utilisateurs sous leur nom respectif. Les 3 champs sont « Numéro de téléphone », « Adresse email » et
« Adresse MAC ».
Exemple :
Figure 5.109. Exemple de champs d'enregistrement des utilisateurs pour le portail de délégation
Définition des langues
Il est possible de choisir, d’une part, la langue par défaut du portail et, d’autre part, les langues qui
seront laissées au choix de l’administrateur délégué sur le portail.
Exemple :
Figure 5.110. Exemple de configuration des langues du portail de délégation
5.4.1.7. Modification d’une configuration de portail de délégation
Pour modifier une configuration de portail de délégation, cliquez dans le tableau des configurations sur
l’icône de modification correspondant à la configuration à modifier.
Exemple :
© 2012 Ucopia
104
Figure 5.111. Modification d'une configuration de portail de délégation
La page de modification est identique à la page de création.
5.4.1.8. Personnalisation graphique et création de modèles visuels
Les portails peuvent être personnalisés aux couleurs de l’entreprise à travers un éditeur graphique (excepté dans le cas du choix de fonctionnement en mode « Connexion automatique » qui est sans portail).
Avant de pouvoir effectuer une personnalisation, il faut ajouter (ou modifier) un modèle visuel. Pour
ajouter un modèle visuel cliquez sur l’onglet « Modèles visuels » du tableau des portails et cliquez sur
le lien « Ajouter un modèle visuel ». La page suivante s’affiche.
Figure 5.112. Ajout d'un modèle visuel
Définissez le nom du nouveau modèle visuel puis la source de modèle (usine, personnel, externe).
Suivant la nature du modèle, les modèles disponibles seront proposés.
Avertissement
Le modèle d’usine « welcome » n’est pas modifiable. Il faut utiliser les modèles « classic » ou « neutral ».
Par exemple, pour créer un nouveau modèle basé sur le modèle d’usine « neutral », la configuration
sera la suivante :
© 2012 Ucopia
105
Figure 5.113. Exemple de configuration d'un nouveau modèle visuel
Le nouveau modèle apparaît alors dans le tableau des modèles.
Figure 5.114. Exemple d'ajout d'un modèle visuel
Le nouveau modèle « mon-modèle » est maintenant éditable à travers l’éditeur graphique.
Pour éditer un modèle à travers l’éditeur graphique, cliquez sur l’icône d’édition se trouvant sur la ligne
du modèle visuel à modifier.
Figure 5.115. Edition d'un modèle visuel
Une fenêtre propose de personnaliser soit le portail captif soit le portail de délégation.
Dans le cas d’un portail captif, les différents formats (PC, tablette, smartphone) sont proposés.
Figure 5.116. Choix du type de modèle visuel à éditer
© 2012 Ucopia
106
Le choix effectué, cliquez sur « Editer ».
L’éditeur de modèle visuel s’affiche alors comme ci-dessous.
Figure 5.117. Éditeur de modèle visuel de portail
Note
Consultez la documentation « Manuel d’utilisation de l’éditeur de portail UCOPIA » pour
l’utilisation de l’éditeur de portail UCOPIA.
5.4.1.9. Modification de modèles visuels
Pour modifier un modèle visuel de portail, cliquez dans le tableau des configurations sur l’icône de
modification correspondant au modèle visuel à modifier.
Exemple :
Figure 5.118. Modification d'un modèle visuel
La page de modification est identique à celle de création
5.4.1.10. Personnalisation graphique avancée
Pour des besoins de personnalisation avancée, il est possible de modifier le source HTML du modèle
visuel.
© 2012 Ucopia
107
Pour cela, cliquez sur l’onglet « Modèles visuels » du tableau des portails et cliquez sur l’icône
d’exportation se trouvant sur la ligne du modèle visuel à modifier.
Figure 5.119. Exportation du modèle visuel
Le code du modèle visuel du portail se présente sous la forme d’une archive à télécharger. Une fois le
code modifié et personnalisé, il sera possible de le réimporter dans le contrôleur à utilisant l’icône de
modification du modèle visuel.
Lors de la modification du modèle visuel, il faudra sélectionner « externe » comme source de modèles
et importer le fichier décrivant le modèle modifié en utilisant le bouton « Parcourir ».
Figure 5.120. Importation d'un modèle externe
Avertissement
Une fois le code HTML du portail modifié et réimporté dans le contrôleur, il n’est plus éditable à
travers l’éditeur graphique.
Note
Consultez la documentation « Personnalisation avancée du portail captif UCOPIA » pour réaliser
une personnalisation avancée d’un portail UCOPIA.
5.4.2. Configuration des chartes
Les chartes peuvent être utilisées sur le portail captif pour deux usages.
1. Demander à l’utilisateur d’accepter une charte avant de pouvoir s’authentifier. Cette charte peut par
exemple indiquer à l’utilisateur que l’ensemble de son trafic sera tracé.
2. Demander à l’utilisateur d’accepter une charte quand on lui demande des informations personnelles
telles que adresse mail ou numéro de téléphone. Cette charte peut par exemple demander si ces
informations peuvent être utilisées à des fins marketing.
Cliquez sur l’item « Chartes » du sous-menu proposé en partie gauche de la fenêtre. La page suivante
s’affiche :
© 2012 Ucopia
108
Figure 5.121. Configuration des chartes
Pour ajouter une charte, cliquez sur le bouton « Ajouter » du tableau des chartes. La page suivante
s’affiche.
Figure 5.122. Ajout d'une charte
© 2012 Ucopia
109
Il faut nommer la charte dans le champ « Nom de la charte», puis choisir le type de la charte et les
langues dans lesquelles la charte sera affichée.
Sélectionnez le type de charte. Les différents types sont les suivants :
Texte : le texte de la charte est directement affiché sur le portail
Il faut renseigner le texte qui apparaitra sur le portail.
Figure 5.123. Charte de type Texte
Fichier : la charte se trouve dans un fichier hébergé par le contrôleur.
IL faut renseigner le texte du lien qui permettra de visualiser la charte, ce lien s’affichera sur le
portail. Puis charger le fichier contenant la charte.
Figure 5.124. Charte de type Fichier
URL : la charte est accessible à partir d’une URL
Il faut renseigner le texte du lien qui permettra de visualiser la charte, ce lien s’affichera sur le portail.
Puis choisir l’URL dans la liste des URLs déclarées en libre accès.
Figure 5.125. Charte de type URL
Avertissement
L’URL permettant d’accéder à la charte devra être définie sous forme d’URL en accès libre.
Les informations relatives à la charte devront être renseignées pour chacune des langues souhaitées.
Si ce n’est pas le cas, la langue définie dans le champ « Langue par défaut » sera utilisée.
Une nouvelle langue peut être ajoutée en cliquant sur le bouton « Ajouter » du champ « Ajouter une
langue ». Une langue peut-être supprimée en cliquant sur l’icône « croix » correspondant à la langue
à supprimer.
5.4.3. Configuration des champs additionnels
Lors de la création d’un compte utilisateur soit à travers l’outil d’administration, soit à travers le portail
de délégation, il est possible de définir des champs additionnels permettant de décrire l’utilisateur (nom
de société, numéro de carte d’identité, etc.)
Les champs additionnels s’ajouteront aux trois champs obligatoires, à savoir l’identifiant, le nom et le
prénom de l’utilisateur. Pour chaque champ ajouté, il faudra indiquer si ce champ est obligatoire ou non,
ainsi que son intitulé dans chacune des langues disponibles.
© 2012 Ucopia
110
Pour ajouter des champs additionnels, cliquez sur l’item « Champs additionnels» du sous-menu proposé en partie gauche de la fenêtre. La page suivante s’affiche :
Figure 5.126. Personnalisation des champs additionnels
Choisissez le nombre de champs additionnels, 3 maximum et renseignez le nom des champs.
Exemple : Ajout d’un champ optionnel « Numéro de chambre » et d’un champ obligatoire « Carte
d’identité ».
© 2012 Ucopia
111
Figure 5.127. Ajout de champs additionnels
Note
La langue peut être choisie par défaut. Il n’est donc pas nécessaire de renseigner le libellé du champ
dans toutes les langues. Les champs non renseignés prendront la valeur du champ correspondant
à la langue par défaut.
Dans le cadre de cet exemple, la page de l’outil d’administration déléguée permettant de renseigner les
informations nominatives de l’utilisateur s’affichera comme suit :
© 2012 Ucopia
112
Figure 5.128. Portail de délégation avec champs additionnels
5.4.4. Personnalisation des tickets de connexion
Vous pouvez personnaliser les tickets de connexion générés par l’outil d’administration déléguée
UCOPIA. Vous pouvez en particulier remplacer le logo UCOPIA par celui de l’organisation, ajouter du
texte en dessous de ce logo, choisir les langues et, dans le cas d’un ticket au format badge, choisir les
informations affichées.
Cliquez sur l’item « Tickets de connexion » du sous-menu proposé en partie gauche de la fenêtre.
© 2012 Ucopia
113
Figure 5.129. Personnalisation des tickets de connexion
Le bloc « Configuration du logo » permet de modifier le logo qui apparaît en entête des tickets
de connexion (format A4 et badge).
Le logo actuellement utilisé est affiché dans le bloc. Pour le remplacer, cliquez sur « Parcourir... »
pour sélectionner le nouveau logo.
Avertissement
Seuls les formats JPEG et PNG sont acceptés pour les logos. La taille du logo ne doit pas être
supérieure à 2 Mo.
Le bloc « Paramètres du format A4 » permet d’ajouter du texte sur le ticket et d’en choisir la langue.
Entrez votre texte dans le champ prévu à cet effet. Ce texte apparaîtra en dessous du logo. Il faut
au préalable sélectionner la langue dans laquelle le texte est rédigé. Si vous souhaitez rédiger un
texte en plusieurs langues, il faut pour chaque langue sélectionner la langue, et entrer le texte dans
le champ de texte.
© 2012 Ucopia
114
Si l’on ne souhaite pas renseigner un texte pour chacune des langues, sélectionner la langue par
défaut qui sera utilisée pour l’affichage du texte qui n’est pas traduit.
Le bloc « Paramètre du format badge » permet de choisir les informations qui seront affichées sur
le ticket en format badge. En effet, le format badge étant par définition réduit, il n’est pas possible
d’afficher l’ensemble des informations du ticket. Les nom, prénom, login, mot de passe et profil de
l’utilisateur pourront être affichés. Si l’administrateur a défini des champs additionnels, ils seront
également proposés à l’affichage. Le bouton « Visualiser le badge » permet d’avoir un aperçu de
l’impression du badge.
Exemple :
Figure 5.130. Exemple de configuration d’un ticket de connexion au format A4
L’affichage de ce ticket au format A4 sera le suivant :
© 2012 Ucopia
115
Figure 5.131. Exemple de ticket de connexion au format A4
Exemple :
© 2012 Ucopia
116
Figure 5.132. Exemple de configuration d’un ticket de connexion au format badge
Pour obtenir un aperçu de l’affichage en format badge, cliquez sur le bouton « Visualiser le badge ».
Avec l’exemple ci-dessus, la page suivante s’affiche :
Figure 5.133. Exemple de ticket de connexion au format badge
Pour valider, cliquez sur le bouton « Valider ».
Note
Le logo apparaît toujours en haut et à gauche en format badge.
Avertissement
Le texte libre n’apparaît pas dans les tickets de connexion au format badge.
© 2012 Ucopia
117
5.4.5. Configuration d’URL en accès libre
Si vous souhaitez que les utilisateurs puissent accéder à certaines URLs avant authentification, il faut
les spécifier dans cette section.
Cliquez sur l’item « URLs en accès libre » du sous-menu proposé en partie gauche de la fenêtre. La
page suivante s’affiche :
Figure 5.134. Configuration des URL en accès libre
Pour ajouter une URL HTTP, cliquez sur le bouton « Ajouter » du premier tableau. La page suivante
s’affiche :
© 2012 Ucopia
118
Figure 5.135. Ajout d’une URL HTTP en accès libre
Il existe deux façons de décrire des URL en accès libre.
1. En spécifiant l’URL complète (ex. : www.ucopia.com). Dans ce cas, toute l’arborescence est accessible.
2. En spécifiant des motifs (ex. : www.ucopia.*; *.ucopia.*), ce qui permet de filtrer des arborescences
d’un domaine soit en spécifiant le nom du domaine (dans ce cas, on a toute l’arborescence), soit en
spécifiant des motifs permettant de filtrer des arborescences du domaine.
La case à cocher « Toujours accessible » permet de rendre utilisable l’URL même si celle-ci n’est
utilisée par aucun portail d’authentification.
Exemple :
Figure 5.136. Exemple d’URL en accès libre
Une fois l’URL spécifiée, un statut indique si l’URL est utilisée par un des services UCOPIA (portail
UCOPIA par exemple).
Figure 5.137. URL HTTP en accès libre
© 2012 Ucopia
119
Pour ajouter une URL HTTPS, cliquez sur le bouton « Ajouter » du second tableau. La page suivante
s’affiche :
Figure 5.138. Ajout d'une URL HTTPS en accès libre
Contrairement aux URLs HTTP, seule les URLs complètes peuvent être spécifiées.
5.5. Configuration du mécanisme de journalisation
Il est possible d’une part, de contrôler quel type d’information sera journalisée (sessions, URL, etc.) et,
d’autre part, de décider quels sont les critères sur lesquels la base de données sera « nettoyée » (partiellement ou totalement).
Pour accéder à la gestion de la base de données, cliquez sur l’item « Journalisation » du menu en
partie gauche de la fenêtre, puis sur l’item « Configuration » du sous-menu.
© 2012 Ucopia
120
Figure 5.139. Configuration de la journalisation
5.5.1. Critères d’activation de la journalisation
Le bloc « Journalisation activée pour » permet d’activer partiellement la journalisation, en activant
par exemple la journalisation des sessions et en désactivant la journalisation des URL. Par défaut, la
journalisation des sessions, des URL et du trafic licite (paquets TCP et UDP) est activée. Les paquets
rejetés ne sont pas journalisés.
Avertissement
Si la journalisation des sessions est désactivée, il ne sera pas possible de visualiser en temps réel
les utilisateurs connectés. Cette option est également obligatoire pour la journalisation des URL et
des paquets TCP et UDP.
5.5.2. Purge de la base de données des journaux
Le bloc « Purge des journaux » propose de définir les critères à partir desquels sera déclenchée l’action
de purge de la base de données.
Les choix suivants sont proposés :
Tous les n Mo : la base de données est vidée tous les n mégaoctets.
Toutes les n sessions : la base de données est vidée toutes les n sessions.
© 2012 Ucopia
121
Fréquence personnalisée : la base de données est vidée périodiquement, tous les jours, semaines
ou mois. Il est possible de préciser, suivant les cas, l’heure ou le jour.
Exemple :
Figure 5.140. Exemple de configuration de critères pour la purge des journaux
Avertissement
Quelles que soient les valeurs configurées dans le formulaire, la purge de la base de données des
journaux sera forcée si la taille excède 1 Go.
5.5.2.1. Génération des fichiers de sauvegarde
UCOPIA peut gérer automatiquement les sauvegardes des journaux. Chaque fois que la base est vidée,
un fichier est alors créé. Il faut, pour cela, s’assurer que la case « Réaliser une sauvegarde des journaux lors de la purge » est cochée.
Figure 5.141. Génération des fichiers de sauvegarde
Les fichiers de sauvegarde sont au format « tar », et sont générés avec le nom suivant :
<date de début sauvegarde>-<heure>_<date de fin sauvegarde>-<heure>.tar.bz2
avec <date> = aaaammjj et <heure> = hhmm
5.5.2.2. Compression des fichiers de sauvegarde
Afin d’optimiser la place occupée par les sauvegardes de journaux sur le disque dur de l’appliance
UCOPIA, il est proposé de les compresser. Par défaut, la compression est activée pour les sauvegardes
datant de plus de 7 jours. Ce nombre de jours est configurable.
Figure 5.142. Activation de la compression des sauvegardes de journaux
© 2012 Ucopia
122
Pour désactiver le mécanisme de compression, décochez la case « Activer la compression automatique des sauvegardes ».
Note
La compression/décompression des fichiers de sauvegarde de journaux peut s’effectuer manuellement pour chacun d’eux. Voir documentation « Manuel d’Administration UCOPIA Advance », Section « Gestion des journaux ».
5.5.2.3. Suppression des fichiers de sauvegarde
Les fichiers de sauvegarde peuvent être supprimés automatiquement après une période de temps donnée. Par défaut, la période de conservation est de 1 an. Pour désactiver la suppression automatique,
décochez sur la case « Activer la suppression automatique des sauvegardes ».
Figure 5.143. Suppression automatique des fichiers de sauvegarde
5.5.2.4. Exportation automatique des fichiers de sauvegarde
Afin d’automatiser l’exportation des fichiers de sauvegarde des journaux, il est possible de les transférer
via FTP sur une machine tierce.
Note
Il est fortement recommandé de configurer ce mécanisme pour (1) assurer une sauvegarde des
journaux sur une plate-forme autre que le boîtier UCOPIA, et (2) éviter de saturer le disque dur
UCOPIA. En effet, si le disque dur arrive à saturation, un mécanisme de rotation circulaire s’active,
et les journaux les plus anciens seront remplacés par les plus récents.
Avertissement
Les fichiers de sauvegarde seront transférés à chaque fois que la base de données est purgée.
Pour activer l’export, cochez la case « Activer l’exportation des sauvegardes » puis renseignez les
champs relatifs au serveur FTP (Nom du serveur et Port).
Le champ « URI » correspond au répertoire dans lequel les fichiers de sauvegardes seront transférés
(répertoire à prendre en compte depuis la racine du serveur FTP).
Deux modes d’authentification au serveur FTP sont proposés : le mode anonyme qui ne nécessite
pas d’identifiants, et le mode qui nécessite un login et un mot de passe. Décochez la case « Activez
l’authentification anonyme » pour le mode avec authentification, et renseignez le login et mot de passe.
© 2012 Ucopia
123
Exemple :
Figure 5.144. Exemple de configuration d’export FTP des journaux
Le bouton « Tester les paramètres FTP » permet de vérifier, avant validation, que les paramètres sont
corrects.
Si, pour des raisons d’optimisation de l’espace disque, vous ne souhaitez pas conserver les sauvegardes
sur le contrôleur UCOPIA une fois celles-ci transférées, cochez la case « Supprimer les sauvegardes
du contrôleur après un export réussi ».
Note
L’exportation/importation des fichiers de sauvegarde des journaux peut être réalisée manuellement
pour chacun d’eux. Voir documentation « Manuel d’Administration UCOPIA Advance », Section
« Gestion des journaux ».
5.6. Configuration de la haute disponibilité
UCOPIA Advance permet de mettre en place une architecture de redondance afin de ne pas interrompre
le service du contrôleur UCOPIA en cas de défaillance de la machine. Pour ce faire, il faudra déployer
au moins deux contrôleurs ayant la capacité de se suppléer l’un l’autre.
UCOPIA propose également un mécanisme de répartition de charge qui peut permettre à plusieurs
boîtiers UCOPIA de se répartir les connexions des utilisateurs.
© 2012 Ucopia
124
Le basculement d’un boîtier UCOPIA à l’autre s’effectue grâce à une adresse IP virtuelle. En effet, à un
instant donné, seul un boîtier dispose de l’adresse virtuelle. En cas de panne d’un boîtier actif, le boîtier
de redondance prend connaissance de la panne grâce au protocole VRRP (Virtual Router Redundancy
Protocol), et récupère l’adresse IP virtuelle. Il devient ainsi le nouveau boîtier actif, tout en assurant une
totale transparence pour les utilisateurs. Ce mécanisme s’applique également entre boîtiers actifs en
cas de défaillance de l’un deux.
Avertissement
La redondance et la répartition de charge sont disponibles en option. Une licence appropriée doit
être installée sur les contrôleurs.
Avertissement
La redondance et la répartition de charge doivent être configurés AVANT toute configuration multi
contrôleurs.
5.6.1. Redondance
Le modèle de redondance UCOPIA est un modèle Actif/Passif mettant en œuvre au moins deux boîtiers
UCOPIA, un seul étant actif à un instant donné. Les boîtiers UCOPIA intervenant dans une architecture
de redondance dialoguent entre eux et peuvent par conséquent s’apercevoir de la défaillance de leur
confrère.
5.6.2. Répartition de charge
La répartition de charge est un modèle Actif/Actif. Elle répartit de façon automatique les utilisateurs entre
les différents boîtiers UCOPIA.
Ce mode inclut également une redondance entre les boîtiers, qui peut s’opérer de deux façons.
Si tous les boîtiers sont actifs : lors d’une panne, les utilisateurs connectés sur le boîtier défaillant
seront pris en charge par les autres boîtiers actifs. Il s’agit alors d’une redondance « dégradée ».
En effet, si deux boîtiers, par exemple Advance 100, sont configurés en répartition de charge, 200
connexions simultanées se répartissent sur les deux boîtiers. Si l’un des deux boîtiers tombe en
panne, seules 100 connexions simultanées seront possibles sur le boîtier restant opérationnel.
Il est possible d’avoir un boîtier de redondance passif qui assure la redondance des boîtiers actifs.
5.6.3. Configuration de la redondance et de la répartition de charge
Pour configurer la redondance et la répartition de charge, cliquez sur l’item « Haute disponibilité » dans
le menu à gauche de la fenêtre, puis sur l’item « Redondance et répartition de charge » du sous-menu.
© 2012 Ucopia
125
Figure 5.145. Configuration du mécanisme de répartition de charge : étape 1
Pour activer la redondance et répartition de charge, cochez la case « Activer ».
© 2012 Ucopia
126
L’adresse IP ainsi que le type de licence sur lequel s’opère la configuration s’affichent. Le type de licence
précise si la redondance ou la répartition de charge est disponible, et le modèle de boîtier en termes de
connexions simultanées (exemple : Répartition de charge – 1000 connexions, ou Redondance – 500
connexions).
L’étape suivante consiste à préciser l’interface de communications entre les contrôleurs. Cette interface
peut s’établir sur un des VLAN d’entrée ou de sortie. Les communications inter-contrôleurs incluent les
messages du protocole VRRP.
Entrez le nombre de contrôleurs UCOPIA devant être configurés en redondance et/ou répartition de
charge. Renseignez ensuite les adresses IP des contrôleurs.
Cliquez sur « Valider ». La page suivante s’affiche :
© 2012 Ucopia
127
L’étape suivante consiste à renseigner le VRID initial. Un VRID (Virtual Router Identifier) permet de
définir l’adresse MAC virtuelle associée à une interface réseau physique. Les adresses MAC virtuelles
sont alors de la forme 00-00-5E-00-01-<i>XX</i> où <i>XX</i> est le VRID. Chaque contrôleur
actif nécessite 2 adresses MAC virtuelles (une pour l’interface d’entrée, une pour l’interface de sortie)
donc 2 VRID. Pour N contrôleurs, il faut alors 2xN VRID. Le champ VRID initial permet de spécifier le
début de cette plage de VRID.
Entrez le nombre de contrôleurs actifs.
Avertissement
Le nombre de contrôleurs actifs doit être cohérent avec les licences des contrôleurs impliqués. En
effet, pour qu’un contrôleur soit actif, il faudra qu’il dispose d’une licence « Répartition de charge ».
© 2012 Ucopia
128
Par exemple, pour un groupe de 3 contrôleurs dont 2 actifs, la page de configuration serait la suivante :
Figure 5.148. Exemple de configuration pour 3 contrôleurs dont 2 en répartition de charge et 1 redondant
Renseignez les adresses IP virtuelles pour chacun des VLAN d’entrée et de sortie. Plusieurs contrôleurs
pouvant être actifs, il faudra renseigner les IP virtuelles pour autant de nœuds que de contrôleurs actifs.
Les adresses IP virtuelles doivent être uniques.
© 2012 Ucopia
129
Note
Un nœud représente un ensemble d’IP virtuelles s’appliquant à un contrôleur actif à un moment
donné.
Dans l’exemple ci-dessus, nous avons 2 contrôleurs actifs, 5 VLAN d’entrée et 1 VLAN de sortie. Deux
contrôleurs étant potentiellement actifs, il faudra renseigner les IP virtuelles pour deux nœuds.
L’état des contrôleurs (Actif ou Passif) s’affiche dans la colonne « État » du tableau des contrôleurs. Il
est également mentionné, pour chaque contrôleur actif, les nœuds pris en charge.
Exemple :
Figure 5.150. Exemple de 3 contrôleurs dont 2 actifs et un passif
© 2012 Ucopia
130
5.7. Configuration multi-contrôleurs
Une architecture multi-contrôleurs UCOPIA peut être déployée dans le cadre d’une architecture multi-sites. Dans une architecture multi-contrôleurs, il existe un contrôleur « principal » et des contrôleurs
« secondaires ».
Le contrôleur principal permettra d’administrer de façon centralisée tous les contrôleurs secondaires.
Dès lors qu’une configuration principal/secondaires est mise en place, des onglets apparaissent sur
chaque écran de configuration et de supervision du contrôleur principal. Chaque onglet correspond à
un contrôleur secondaire.
La copie d’écran suivante montre un boîtier principal ayant en charge l’administration de 2 contrôleurs secondaires. L’accès aux boîtiers secondaires s’opère très simplement en sélectionnant l’onglet du contrôleur à administrer. Dans cet exemple, on administre les VLAN d’entrée sur le contrôleur secondaire de
Poitiers à partir du contrôleur principal de Châtillon.
Figure 5.151. Administration centralisée depuis un contrôleur principal
De plus, toute opération d’administration concernant les utilisateurs, profils et services (c’est-à-dire tout
ce qui est stocké dans l’annuaire UCOPIA) peut être réalisée depuis n’importe quel contrôleur (principal
ou secondaire). Toute modification est automatiquement répercutée sur les autres contrôleurs par une
mécanique de réplication d’annuaire « à chaud ».
© 2012 Ucopia
131
Avertissement
Si les mécanismes de redondance et de répartition de charge doivent être mis en œuvre, ils doivent
être configurés AVANT toute configuration multi contrôleurs.
Pour définir un contrôleur comme principal, cliquez sur l’item « Multi-contrôleurs » proposé en partie
gauche de la fenêtre. Le sous-menu s’affiche et propose les items suivants :
Figure 5.152. Items du menu Multi-contrôleurs sur le contrôleur principal
Il faut, en premier lieu, définir un contrôleur principal. Cliquez sur l’item « Contrôleur principal » du
sous-menu. La page suivante s’affiche :
Figure 5.153. Configuration d’un contrôleur principal
Il faut renseigner le nom du site et le nom du contrôleur qui seront utilisés pour identifier le contrôleur
principal dans l’architecture multi sites. Les noms par défaut sont respectivement local et local.
Il faut ensuite renseigner l’interface réseau qui permettra au contrôleur principal d’interagir avec les
contrôleurs secondaires.
Si toutefois l’interaction du principal avec les secondaires s’effectue à travers d’un NAT, il faut renseigner
les ports à utiliser. Pour cela, ouvrez le cadre « Options avancées », et renseignez les champs suivants :
© 2012 Ucopia
132
Port d’accès HTTPS : port sur lequel le serveur Web du contrôleur principal est joignable par les
secondaires.
Port d’accès LDAPS : port sur lequel l’annuaire LDAP du contrôleur principal est joignable par
les secondaires.
Exemple :
Figure 5.154. Exemple de configuration des ports de communication en environnement multi contrôleurs
Il s’agit ensuite de configurer les contrôleurs secondaires. Cliquez sur l’item « Contrôleurs secondaires » du sous-menu. La page suivante s’affiche :
Figure 5.155. Configuration des contrôleurs secondaires
Pour ajouter un contrôleur secondaire, cliquez sur le bouton « Ajouter ». La page suivante s’affiche :
© 2012 Ucopia
133
Figure 5.156. Ajout d’un contrôleur secondaire
Il faut renseigner le nom du site et du contrôleur secondaire, puis les paramètres qui vont permettre au
contrôleur principal d’atteindre le secondaire, à savoir l’adresse IP du secondaire.
Le cadre « Options avancées » permet, comme pour la configuration du principal, de configurer les
ports à utiliser en cas de NAT.
Avertissement
Dans le cas d’une architecture multi-contrôleurs, le réseau séparant le contrôleur principal du contrôleur secondaire est généralement routé (niveau 3). Il est donc nécessaire de configurer les « forward
de ports » adéquats sur chacun des ports utilisés.
Une fois l’association principal/secondaires réalisée, un contrôleur secondaire permettra de visualiser
l’information d’association.
Sur un contrôleur secondaire, cliquez sur l’item « Multi-contrôleurs » proposé en partie gauche de la
fenêtre. Le sous-menu s’affiche et propose les items suivants :
Figure 5.157. Item du menu Multi-contrôleurs sur un contrôleur secondaire
Cliquez sur l’item « Informations globales » du sous-menu. La page suivante s’affiche :
© 2012 Ucopia
134
Figure 5.158. Information d’association principal/secondaire
Cette page résume les informations de l’association entre le contrôleur principal et son secondaire.
5.8. Configuration des services externes de communication
Le contrôleur UCOPIA peut être amené à utiliser des services de messagerie ou de SMS pour communiquer avec les utilisateurs, par exemple pour communiquer des identifiants de connexion (login, mot de
passe, etc.). Il peut également être en relation avec des outils tiers tels que PMS ou serveurs de cartes
prépayés (PPS) ou PayPal afin de facturer les connexions.
Les services de messagerie et de SMS pourront être utilisés soit depuis le portail Web UCOPIA pour
envoi du mot de passe de l’utilisateur (voir Section 5.4.1.4.3, « Mode avec enregistrement libre » et
Section 5.4.1.4.5, « Mode avec enregistrement par Mail »), soit depuis l’outil d’administration délégué
pour envoi des informations de connexion à l’utilisateur (identifiants, plages horaires autorisées, etc.).
Les services de facturation donneront lieu à des portails dédiés (voir Section 5.4.1.4.7, « Mode avec
utilisation d’un logiciel de facturation (PMS) »)
Cliquez sur l’item « Services externes » proposé en partie gauche de la fenêtre. Le sous-menu s’affiche
Figure 5.159. Items du menu Services externes
© 2012 Ucopia
135
5.8.1. Configuration du service de SMS
Avertissement
Ce mode suppose un abonnement auprès d’un fournisseur de SMS. Se renseigner auprès d’UCOPIA
Communications.
Pour configurer un compte de SMS, cliquez sur l’item « SMS » du sous-menu. La page suivante s’affiche :
Figure 5.160. Configuration des comptes SMS
Pour chaque compte SMS créé, le tableau indique l’opérateur choisi, le type d’envoi (HTTP ou SMTP),
le nombre de portails, ainsi que le nombre de profils de type administrateur délégué utilisant ce compte.
Pour ajouter un nouveau compte de SMS, cliquez sur le bouton « Ajouter ». La page suivante s’affiche :
© 2012 Ucopia
136
Figure 5.161. Ajout d’un compte SMS
Il faut en premier lieu choisir la plate-forme de SMS parmi celles proposées. Il faut en conséquence
renseigner les champs suivants :
Nom du compte : identifiant libre permettant de nommer le compte.
Opérateur d’envoi des SMS : il s’agit de sélectionner la plate-forme d’envoi de SMS parmi celles
proposées. Nous rappelons qu’une inscription auprès de la plate-forme choisie est nécessaire afin
d’obtenir les identifiants de connexion.
Identifiant du compte : login du compte associé à la plate-forme de SMS.
Mot de passe du compte : mot de passe du compte associé à la plate-forme de SMS.
Identifiant client : identifiant client (donné par la plate-forme de SMS).
Il est ensuite possible de personnaliser le contenu du SMS suivant l’usage qui en est fait. Le SMS sera
composé d’un message d’accueil pouvant se décliner en fonction des langues disponibles. Le message
d’accueil sera construit à l’aide d’un template. Un template sera composé de texte et de variables dynamiques. Les variables seront encadrées par le caractère « % ».
Les variables dynamiques pourront être le login (%login%), le mot de passe (%password%), le nom
(%lastname%), le prénom (%firstname%) et le profil (%profile%) de l’utilisateur. Le login et le mot
de passe sont obligatoires.
Exemple :
© 2012 Ucopia
137
Figure 5.162. Exemple de configuration d’un compte SMS
Le bouton « Ré-initialiser les templates » permet de remettre tous les templates dans leur format par
défaut.
Utilisez le Bouton « Tester les paramètres » pour vous assurer de la véracité des informations renseignées.
Cliquez sur le bouton « Valider » pour valider le compte SMS.
Note
La langue peut être choisie par défaut. Il n’est donc pas nécessaire de renseigner le message
d’accueil dans toutes les langues. Les champs non renseignés prendront la valeur du champ correspondant à la langue par défaut.
5.8.2. Configuration du service de messagerie (email)
Pour configurer un compte de messagerie, cliquez sur l’item « Services externes » proposé en partie
gauche de la fenêtre, puis sur l’item « Mail » du sous-menu. La page suivante s’affiche :
© 2012 Ucopia
138
Figure 5.163. Configuration des comptes de messagerie
Le tableau indique, pour chaque compte créé, le serveur de messagerie, le nombre de portails ainsi que
le nombre de profils de type administrateur délégué utilisant ce compte.
Pour ajouter un nouveau compte de messagerie, cliquez sur le bouton « Ajouter ». La page suivante
s’affiche :
© 2012 Ucopia
139
Figure 5.164. Ajout d’un compte de messagerie
Il faut renseigner les champs suivants :
Nom du compte : identifiant libre permettant de nommer le compte.
Adresse IP ou DNS du serveur de messagerie : il s’agit de préciser soit l’adresse IP du serveur
de messagerie, soit le nom DNS du serveur.
Port : numéro de port sur lequel la communication avec le serveur de messagerie s’établit.
Utiliser une connexion sécurisée : cochez la case si vous souhaitez une connexion sécurisée
sur les ports 587 (TLS) ou 465 (SSL).
Identifiant du compte : login du compte de messagerie.
Mot de passe du compte : mot de passe du compte de messagerie.
Adresse mail du compte : adresse mail qui sera utilisée pour envoyer le message.
Adresse de réponse au mail : adresse mail utilisée en cas de nécessité de réponse.
Message présent en début de mail : message qui sera inclus systématiquement au début de
chaque mail envoyé.
Exemple :
© 2012 Ucopia
140
Figure 5.165. Exemple de configuration d’un compte mail
Utilisez le Bouton « Tester les paramètres » pour vous assurer de la véracité des informations renseignées.
5.8.3. Configuration du service PayPal
UCOPIA s’interface avec PayPal afin qu’un utilisateur puisse acheter depuis le portail UCOPIA un temps
de connexion. L’utilisateur pourra utiliser son compte PayPal ou sa carte de crédit.
Le couplage PayPal/UCOPIA fonctionne avec une notion de forfait. Le forfait est défini par
l’administrateur UCOPIA. Cela peut être un forfait 1h, 3h, ou forfait « emails », ou forfait « Tous les jours
ouvrés de 16h à 18h », etc. Les forfaits sont proposés au choix de l’utilisateur sur le portail UCOPIA.
Avertissement
Cette configuration suppose que l’administrateur de la solution UCOPIA (ou son représentant) ait
créé au préalable un compte PayPal. Ce compte doit avoir le statut « Premier » ou « Business »
et « vérifié ».
Pour mettre en œuvre l’interface PayPal, cliquez sur l’item « PayPal » du sous-menu. La page suivante
s’affiche :
© 2012 Ucopia
141
Figure 5.166. Configuration PayPal
Il faut renseigner les informations relatives au compte PayPal :
Adresse email utilisée comme identifiant du compte PayPal.
Identifiant du certificat PayPal. Il faut, pour récupérer cet identifiant, (1) exporter le certificat en
cliquant sur le lien « Export du certificat », (2) uploader le certificat sur le site de PayPal, (3) noter
l’identifiant remis par PayPal.
Cliquez sur le premier bouton « Tester les paramètres » pour vérifier que les informations entrées sont
correctes.
Ensuite, il faut renseigner les informations relatives à l’API PayPal.
Renseignez les informations permettant d’utiliser l’API PayPal (identifiant, mot de passe et signature). Cette API est destinée à récupérer les informations de paiement.
Cliquez sur le deuxième bouton « Tester les paramètres » pour tester la connexion à PayPal.
Exemple :
© 2012 Ucopia
142
Figure 5.167. Configuration du portail UCOPIA avec paiement en ligne
5.8.4. Configuration du service PMS
Le contrôleur UCOPIA s’interface avec des produits de type PMS (Property Management System). Les
PMS sont des produits de gestion clients, et se rencontrent plus particulièrement dans les environnements hôteliers ou hospitaliers. Ils permettent l’enregistrement des clients, la facturation, etc.
Il existe un mode de portail UCOPIA dédié à ce fonctionnement (voir Section Section 5.4.1.4.7, « Mode
avec utilisation d’un logiciel de facturation (PMS) »).
Avertissement
L’interface avec ces produits s’appuie sur le protocole FIAS. En conséquence, seuls les PMS compatibles FIAS pourront dialoguer avec UCOPIA. Pour utiliser tout autre PMS ne respectant pas ce
protocole, contactez UCOPIA Communications.
Le couplage PMS/UCOPIA fonctionne avec une notion de forfait. Le forfait est défini par l’administrateur
UCOPIA. Cela peut être un forfait 1h, 3h, ou forfait « emails », ou forfait « Tous les jours ouvrés de 16h
à 18h », etc. Les forfaits sont proposés au choix de l’utilisateur sur le portail UCOPIA.
Le dialogue PMS/UCOPIA se déroule comme suit :
1. Tout d’abord, une synchronisation entre les deux produits afin de créer les comptes dans UCOPIA
pour les clients déjà présents (dans l’hôtel par exemple).
2. PMS -> UCOPIA : envoi de l’ordre de création de compte utilisateur quand un nouveau client arrive. Le
compte est créé dans UCOPIA avec des identifiants générés automatiquement à partir d’information
telles que le nom et le prénom de l’utilisateur, son numéro de chambre, etc. (configurable).
3. L’utilisateur pourra modifier son mot de passe depuis le portail UCOPIA après sa première authentification.
4. Portail UCOPIA : authentification de l’utilisateur et choix du forfait.
5. UCOPIA -> PMS : envoi du type de forfait choisi par l’utilisateur.
6. PMS ->UCOPIA : envoi de l’ordre de fermeture du compte utilisateur quand le client s’en va.
Pour mettre en œuvre l’interface PMS, cliquez sur l’item « PMS » du sous-menu. La page suivante
s’affiche :
© 2012 Ucopia
143
Figure 5.168. Configuration de l’interface PMS
Avant de pouvoir activer la connexion avec un PMS, vous devez au préalable créer au moins un forfait.
La configuration d’un forfait est décrite dans le manuel « Manuel d’administration UCOPIA Advance »,
Section « Configuration des forfaits ».
Une fois un ou plusieurs forfait créés, cochez la case « Activer le système PMS ». Le formulaire suivant
s’affiche :
© 2012 Ucopia
144
Figure 5.169. Configuration des paramètres de connexion au PMS
© 2012 Ucopia
145
Il faut renseigner les champs suivant :
Accès au serveur PMS
Adresse du serveur : l’adresse IP du serveur sur lequel se trouve le PMS.
Port du serveur : le port sur lequel l’échange avec le PMS sera réalisé.
Identifiant de l’émetteur : un identifiant à définir en accord avec le PMS.
L’indicateur « Statut » indique si la connexion avec le PMS est active ou non.
Validité des comptes
À la réception d’un message de type ‘check-out’, deux actions sont possibles. Le compte utilisateur
n’est plus valide immédiatement (défaut) ou le compte n’est plus valide à partir de 12h et N jours,
le nombre de jours étant configurable.
Template de création des comptes
Un mécanisme de template permet de définir le format des identifiants de l’utilisateur.
Les templates sont construits à partir de clés. Les clés disponibles sont les suivantes :
%title% : la civilité ou le titre de l’utilisateur
%lastname% : le nom de l’utilisateur
%firstname% : le prénom de l’utilisateur
%roomnumber% : le numéro de chambre
%guestnumber% : le numéro de client
Exemple :
login = dupond123 (%lastname%%roomnunber)
mot de passe = jean (%firstname%)
Du texte peut être positionné entre chaque clé.
login = Chambre123 (Chambre%roomnunber)
Codage du mot de passe
Le mot de passe peut être chiffré ou pas. Un mot de passe chiffré correspond aux 8 premiers
caractères de l’empreinte SHA1 du mot de passe (prénom ou nom). Pas de chiffrement par défaut.
Communication
Il est possible de préciser le type d’encodage utilisé par le serveur PMS : ISO-8859-1 (défaut),
UTF-8 ou CP850.
Facturation des services
L’information de facturation (POST CHARGE) sera envoyée toutes les N secondes au PMS. Le
temps entre chaque vérification est configurable.
Utilisateurs sans choix de forfaits
Les utilisateurs identifiés par le PMS comme n’ayant pas à choisir de forfaits seront créés en utilisant
le profil sélectionné.
© 2012 Ucopia
146
5.8.5. Configuration du service PPS
Le contrôleur UCOPIA s’interface avec des produits de type PPS (Pre Paid System). Ce type de produit
fonctionne avec des cartes que l’utilisateur achète (cartes prépayées). À chaque carte est associé un
temps de connexion.
Il existe un mode de portail UCOPIA dédié à ce fonctionnement (voir Section 5.4.1.8, « Personnalisation
graphique et création de modèles visuels »).
Avertissement
L’interface PPS fonctionne avec les serveurs StreamWIDE. Pour utiliser tout autre PPS, contactez
UCOPIA Communications.
Le dialogue PPS/UCOPIA se déroule comme suit :
1. L’utilisateur s’authentifie sur le portail UCOPIA en renseignant le numéro de carte et le captcha code
(image affichant un mot de 8 caractères).
2. UCOPIA -> PPS : le numéro de carte permet de faire une demande de crédit temps auprès du serveur
PPS. Le PPS alloue du temps par tranche de N minutes renouvelable. Le compte de l’utilisateur est
automatiquement créé dans UCOPIA. Le login de l’utilisateur sera le numéro GUID fourni par le PPS
associé au numéro de carte. Son mot de passe sera le captcha code. Son groupe sera celui par défaut
défini lors de la configuration du portail. L’utilisateur visualise sur le portail le temps de connexion
associé à la carte et le temps de connexion consommé.
3. UCOPIA -> PPS : lors de la déconnexion de l’utilisateur, UCOPIA envoie au PPS le temps de
connexion consommé par l’utilisateur. Le compte de l’utilisateur est automatiquement supprimé de
la base de comptes UCOPIA.
Pour mettre en œuvre l’interface PPS, cliquez sur l’item « PPS » du sous-menu. La page suivante
s’affiche :
Figure 5.170. Configuration du système PPS
© 2012 Ucopia
147
Il faut configurer les paramètres permettant d’établir la connexion avec le PPS. Pour cela, cochez la
case « Activer le système PPS ». Le formulaire suivant s’affiche :
Figure 5.171. Configuration des paramètres de connexion au PPS
Il faut renseigner les champs suivant :
Version du PPS : 1.3.6 ou 1.5
URL de l’interface XMLRPC : l’URL pointe sur le fichier PHP qui contient le serveur XMLRPC
qui traite les demandes (début de session, demande de crédit temps, fin de session, validité d’une
carte, etc.).
Exemple : http://@IP/ppsxml/prepaid.xml_rpc.server.php
Adresse APN : nom du serveur Internet qui fournit le service, ex: gprs.streamwide.com.
Label du sous-trafic : Sous-trafic du trafic DATA. Prend la valeur DATA.
IP : l’adresse IP trunk utilisée pour initier la connexion avec le PPS, par défaut 10.10.10.10.
Mode de facturation : champ non modifiable correspondant au mode de facturation. Il s’agit d’une
facturation au temps (TIME).
5.9. Configuration des interfaces avec le contrôleur UCOPIA
UCOPIA propose à des fins de supervision des interfaces de communication standards telles que SNMP
ou Syslog.
Cliquez sur l’item « Interfaces avec le contrôleur » proposé en partie gauche de la fenêtre. Le sousmenu s’affiche et propose les items suivants :
Figure 5.172. Items du menu Interfaces UCOPIA
5.9.1. Interface SNMP
Les contrôleurs UCOPIA intègrent un agent SNMP, ce qui leur permet d’être supervisés depuis un outil
de supervision compatible SNMP (appelé Manager SNMP).
Une MIB (Management Information Base) standard MIB-2 est proposée afin de permettre le dialogue
entre l’outil de supervision et l’agent UCOPIA.
© 2012 Ucopia
148
Pour mettre en œuvre l’interface SNMP, cliquez sur l’item « SNMP » du sous-menu. La page suivante
s’affiche :
Figure 5.173. Configuration de l’interface SNMP
Note
Pour autoriser un accès sur l'interface SNMP, consultez Section 5.1.7.1, « Accès au contrôleur ».
Astuce
La MIB UCOPIA est téléchargeable en cliquant sur le lien « Télécharger la MIB du contrôleur ».
5.9.1.1. Configuration de l'agent SNMP
Ce bloc permet de configurer l'accès aux ressources SNMP, selon la version SNMP du client.
Vous pouvez choisir d'activer l'une ou l'autre des versions (V2 ou V3), et pour chacune d'elle les paramètres d'accès en lecture ou lecture et écriture.
Paramètres SNMP version 2
Nom de la communauté : il s'agit de l'identifiant/mot de passe utilisé pour accéder aux ressources.
© 2012 Ucopia
149
Limiter l'accès aux OIDs : cliquez sur « Ajouter une exclusion » pour spécifier un ou plusieurs OIDs auxquels l'accès sera interdit.
Paramètres SNMP version 3
Identifiant : l'identifiant à utiliser pour ce mode d'accès
Niveau de sécurité : choisissez un niveau de sécurité et les algorithmes et mot de passe à
utiliser pour chacun d'entre eux.
Limiter l'accès aux OIDs : cliquez sur « Ajouter une exclusion » pour spécifier un ou plusieurs OIDs auxquels l'accès sera interdit.
5.9.1.2. Configuration des alertes SNMP
Les alertes (“traps”) UCOPIA permettent de surveiller l'état du contrôleur, ainsi que l’ensemble des services actifs (serveur Web, annuaire LDAP, serveur RADIUS, etc.).
1.
Vous devez commencer par définir les récepteurs SNMP de ces alertes : cliquez sur « Ajouter un
récepteur » et définissez son protocole, adresse IP et protocole.
2.
Choisissez ensuite les évènements survenant sur les caractéristiques du contrôleur lui-même qui
déclencheront une alerte :
Interfaces réseau : une interface réseau change d'état.
Espace disque : l'espace disponible devient inférieur à la valeur spécifiée.
Charge système : la charge système dépasse un seuil sur l'une des périodes de références :
1 minute, 5 minutes, 15 minutes.
Les valeurs indiquées représentent les facteurs multiplicateurs qui seront appliqués en fonction
du nombre de CPU présents sur le contrôleur. Ainsi si le contrôleur possède 4 CPUs les valeurs
seront multipliées par 4 pour avoir les valeurs réelles des seuils.
Espace d'échange (SWAP) : la taille de l'espace d'échange dépasse un certain volume. Cette
valeur devrait rester minime en toutes circonstances sur le contrôleur.
3.
Vous pouvez enfin cocher les cases correspondant aux services du contrôleur à surveiller.
5.9.2. Interface Syslog
Certains événements système contenus dans le fichier Syslog UCOPIA peuvent être exportés vers un
serveur Syslog externe.
Pour exporter les événements Syslog, cliquez sur l’item « Syslog » du sous-menu en partie gauche de
la fenêtre. La page suivante s’affiche.
© 2012 Ucopia
150
Figure 5.174. Exportation Syslog
Cochez la case « Activer l’externalisation des journaux Syslog » et renseignez les champs suivants :
Adresse IP : adresse IP du serveur Syslog.
Port : numéro de port utilisé pour la communication avec le serveur Syslog.
Puis, sélectionner le type d’événements à exporter :
Serveur d’adresses (DHCP)
Serveur RADIUS
Serveur de déconnexion automatique
Serveur d’authentification
Exemple :
Figure 5.175. Configuration de l'exportation Syslog
© 2012 Ucopia
151
Configuration des éléments actifs
6 Configuration des éléments actifs
Les éléments actifs mentionnés dans ce chapitre correspondent soit au point d’accès Wi-Fi soit aux
commutateurs sur lesquels les postes utilisateurs s’associent ou se connectent.
6.1. Configuration des points d’accès Wi-Fi
Les points d’accès doivent être configurés en fonction de l’infrastructure réseau dans laquelle ils doivent
s’intégrer.
Par ailleurs, leur configuration dépend des modes d’authentification choisis et des options de chiffrement.
Voici, suivant les cas, les configurations à effectuer :
Dans le cas d’un point d’accès « lourd », attribution d’une adresse IP fixe au point d’accès (ex. :
192.168.100.200).
Définition d’un ou plusieurs SSID
Plusieurs SSID seront définis si l’on veut mettre en œuvre plusieurs modes d’authentification sur le
même point d’accès, un par SSID.
Par exemple, il sera possible de définir un SSID en libre accès avec une authentification de type portail,
et un autre SSID avec une authentification 802.1x/EAP.
Il faudra associer un VLAN à chaque SSID.
Avertissement
Le point d’accès doit supporter la fonction multi SSID/VLAN.
Configuration pour une authentification 802.1x/EAP.
Il faut configurer l’adresse IP du serveur d’authentification RADIUS (ex. : 192.168.100.254) et le
secret partagé avec ce serveur.
Configuration du chiffrement radio standard
Activer WEP ou WPA/WPA2 PSK (TKIP ou AES) ou 802.11i.
6.2. Configuration des commutateurs
Lors de la création de nouveaux réseaux Wi-Fi, il est nécessaire d’isoler dans de nouveaux VLAN le
trafic utilisateur, afin de mettre le contrôleur UCOPIA en coupure entre les WLAN et le réseau LAN/
WAN. Nous avons vu qu’à chaque SSID créé sur les points d’accès correspond un nouveau VLAN qui
doit être transporté sur chacun des éléments actifs reliant le point d’accès à l’interface eth1 (IN) du
contrôleur UCOPIA.
Le transport des VLAN se fait par la déclaration des VID sur chacun des commutateurs de chaîne.
Ces VID sont ceux qui ont été créés sur les points d’accès (ex. : VID 2 : invite/portail, VID 3 :
administratifs/802.1X et VID 4 : administration des bornes).
Avertissement
Le VID de l’interface eth0 (OUT) du contrôleur UCOPIA doit être différent du VID de l’interface eth1
(IN).
© 2012 Ucopia
152
Configuration des éléments actifs
Sur ces commutateurs, plusieurs types de ports doivent être configurés. Si plusieurs commutateurs font
partie de la chaîne, les VID doivent être affectés aux ports de STACK.
Sur le commutateur où est branché le contrôleur UCOPIA, les ports à configurer sont ceux où sont
connectés :
L’interface eth1 (IN) d’UCOPIA ;
Les points d’accès « lourds » ou l’interface OUT du contrôleur Wireless (AP légers).
L’encapsulation 802.1q ou le mode TRUNK doit être activé pour chacun de ces ports physiques, ainsi
que l’affectation des VLAN Wi-Fi et le VLAN d’administration des bornes.
Exemple :
UCOPIA est branché sur le LAN existant en sortie de contrôleur sur le VLAN 1. Les VLAN d’entrée
2 et 3 ont été déclarés sur le contrôleur, chacun correspondant à un SSID créé sur le point d’accès.
Nous voulons également isoler le trafic d’authentification RADIUS sur le VLAN d’administration des
bornes. Pour cela, nous allons déclarer les VLAN 2, 3 et 4 dans les bases de chacun des commutateurs,
puis déclarer nos TRUNK de la manière suivante sur chaque port physique qui relie points d’accès,
contrôleurs Wi-Fi, eth1 du contrôleur UCOPIA et port de STACK.
Ports UCOPIA et points d’accès : VLAN 2 : TAG, VLAN 3 : TAG, VLAN 4 : UNTAG
Ports de STACK des commutateurs : VLAN 2 : TAG, VLAN 3 : TAG, VLAN 4 : TAG
© 2012 Ucopia
153
Mise en service
7 Mise en service
Une fois UCOPIA Advance et les éléments actifs installés et configurés, il faut créer des profils utilisateurs et des utilisateurs. Pour cela, consultez la documentation « Manuel d’Administration UCOPIA
Advance ». Pour réaliser des connexions Wi-Fi (ou filaires) à travers UCOPIA, consultez la documentation « Manuel d’utilisation du portail UCOPIA ».
© 2012 Ucopia
154
Protocole PMS/FIAS
Annexe A. Protocole PMS/FIAS
Les primitives du protocole FIAS mises en œuvre par UCOPIA sont les suivantes :
Synchronisation
LS, LA, LE, LD, DS, DE
Mouvements Client
GI (Check-in) avec les champs :
–
RN : numéro de chambre
–
G# : identifiant unique du client
–
GT : civilité
–
GF : prénom
–
GN : nom
GO (Check-Out) avec les champs :
–
–
–
GT : civilité
–
GF : prénom
–
GN : nom
–
GV : si la valeur est 1, l'utilisateur est créé avec le profil par défaut et ne choisira pas de
forfait.
GC (Guest-Change) avec les champs :
–
RN : nouveau numéro de chambre
–
RO : ancien numéro de chambre
–
–
GT : civilité
–
GF : prénom
–
GN : nom
XL (Message texte pour le client) avec les champs :
–
–
MI : id du message
–
MT : le message texte
–
Facturation
PS (Post-Charge) avec les champs :
–
–
PTC : charge directe
–
SO : identifiant de l’émetteur
–
TA : montant du forfait
–
P# : numéro de la requête
–
CT : description
PA (Post-Answer) avec les champs :
© 2012 Ucopia
155
Protocole PMS/FIAS
–
AS : statut de la réponse
–
CT : description
–
© 2012 Ucopia
156

Manuel d`installation UCOPIA Advance

Transcription

Similar documents

Langue et langage informatique Expérience - Dfcg

Vascular Complications - CHU-IMAA

6 Carte électronique

c - Vidal Particuliers

sga 6000 sga 6000 intégral sga 6000 intégral +

et PRB4075S (RTR)

SGS 600

Régler les problèmes de son (Seven/XP)

comment synchroniser vos contacts

Catalogue AUTOMATEL 2012 S T