Gestion de comptes Windows utilisés par le serveur OmniVista 4760

In document Guide de Sécurité. Alcatel-Lucent OmniVista 4760 Network Management System (Page 30-35)

3.6.1 Compte pour installation

3.6.1.1 Installation/désinstallation du serveur OmniVista 4760

Le serveur OmniVista 4760 doit être installé et désinstallé à l'aide d'un compte d'administrateur local Windows.

3.6.1.2 Installation d’un client OmniVista 4760 distant

Le client OmniVista 4760 doit être installé et désinstallé à l'aide d'un compte d'administrateur local Windows.

3.6.2 Compte à utiliser pour le lancement d’un client OmniVista 4760

L’ouverture d’un client OmniVista 4760 distant doit s’effectuer à partir d’un compte Windows bénéficiant de droits d’écriture dans le répertoireClient4760\Lib\ext.

3.6.3 Opérations de maintenance avec ressources réseau

Le serveur OmniVista 4760 peut utiliser des ressources réseau pour les opérations de maintenance :

- Sauvegarde/restauration des données OmniVista 4760 - Sauvegarde/ restauration des PCXs

- Mise à jour logiciel PCX

- Copie temporaire des données (au cours des opérations de défragmentation de bases de données, par exemple).

Il est notamment recommandé d’effectuer les sauvegardes des données OmniVista 4760 sur un disque réseau pour disposer d’une sauvegarde en cas d'arrêt du PC hébergeant le serveur OmniVista 4760.

Procédure :

Ce mode de sauvegarde requiert l’utilisation de comptes Windows :

- Un compte bénéficiant de droits d'« administrateur local » pour le service NMC SaveRestore, valide sur le serveur OmniVista 4760 et ayant le droit de placer des fichiers sur la machine distante.

- Un compte pour le service NMC Executables Launcher, valide sur le serveur OmniVista 4760, avec accès aux répertoires de la machine distante utilisés pour les opérations de maintenance.

Attention :

Veiller à ne pas utiliser pour la sauvegarde sur machine distante, un répertoire susceptible de contenir d’autres données de sauvegarde. Ces données risqueraient d’être détruites par le pro-cessus de purge automatique des sauvegardes qui supprime les fichiers antérieurs à une date donnée.

3.6.3.1 Création de comptes et attribution des droits

- Création d’un compte disposant de droits d'administrateur local sur l'ordinateur serveur (pour le serviceNMC SaveRestore) :

• Ouvrir l’outil de gestion de l'ordinateur (Panneau de configuration/Outil d’administration).

• Dans la rubrique « Utilisateurs et groupes locaux », sélectionner le répertoire « Utilisateurs » et créer un nouvel utilisateur :

• Nom :ADM4760(par exemple)

• Mot de passe

• L’utilisateur ne peut pas changer de mot de passe

• Le mot de passe n’expire jamais.

• Modifiez les propriétés de l'utilisateurADM4760: ajoutez-le dans la liste des membres du groupe « Administrateurs » et retirez-le de la liste des membres du groupe

«Utilisateurs».

- Création d’un compte local sur l'ordinateur serveur OmniVista 4760 (pour le service NMC Executables Launcher) :

• Ouvrir l’outil de gestion de l'ordinateur (Panneau de configuration/Outil d’administration).

• Dans la rubrique « Utilisateurs et groupes locaux », sélectionner le répertoire «Utilisateurs» et créer un nouvel utilisateur :

• Nom :UTIL4760(par exemple)

• Mot de passe

• L’utilisateur ne peut pas changer de mot de passe Le mot de passe n’expire jamais.

• Modifiez les propriétés de l'utilisateur UTIL4760 : retirez-le de la liste des membres du groupe «Utilisateurs».

- Attribution des droits d'utilisateur

• Ouvrir l’outil Stratégie de sécurité locale (Panneau de Configuration/Outil d’administration).

• Dans la rubrique « Stratégies locales », sélectionner « Attribution des droits utilisateur».

• Ajouter les droits suivants aux utilisateurs créés précédemment (ADM4760 et UTIL4760) :

• "Accéder à cet ordinateur depuis le réseau"

• "Ouvrir une session en tant que service»

• "Interdire l'ouverture d'une session locale»

3.6.3.2 Configuration des services OmniVista 4760 pour l'utilisation des ressources réseau

3.6.3.2.1 Procédure avec utilisation de comptes locaux

C’est la procédure recommandée pour sécuriser au mieux l’accès des ressources réseau.

Cette procédure peut être appliquée quel que soit le domaine Windows ou le groupe de travail du serveur OmniVista 4760 et de la machine distante. Pour des raisons de sécurité, il est cependant recommandé d’utiliser une machine distante située dans le même domaine ou groupe de travail que le serveur OmniVista 4760.

On suppose que deux comptes (ADM4760 et UTIL4760) ont été créés sur le serveur OmniVista 4760 (en suivant la procédure de création et d’attribution des droits de la section Création de comptes et attribution des droits).

1. Créer les deux comptes (ADM4760etUTIL4760) sur la machine distante :

• Ouvrir l’outil de gestion de l'ordinateur (Panneau de configuration/Outil d’administration).

• Dans la rubrique « Utilisateurs et groupes locaux », sélectionner le répertoire «Utilisateurs» et créer un nouvel utilisateur :

• Nom :ADM4760

• Mot de passe : identique à celui saisi pour l’utilisateur ADM4760 sur le serveur OmniVista 4760.

• L’utilisateur ne peut pas changer de mot de passe

• Le mot de passe n’expire jamais.

• Modifiez les propriétés de l'utilisateurADM4760: retirez-le de la liste des membres du groupe «Utilisateurs».

• Refaire la même opération pour l’utilisateurUTIL4760.

2. Partager un répertoire sur la machine distante pour les utilisateurs ADM4760 et UTIL4760:

• Sur la machine distante, sélectionner le répertoire à partager et le partager.

• Au besoin, modifier le nom de partage.

• Modifier les propriétés de partage et de sécurité.

• Nombre d’utilisateurs autorisés : # 3

• Dans la rubrique «Autorisations», sélectionner retirer «tout le monde» et ajouter les utilisateursADM4760etUTIL760avec des droits Contrôle total.

• Dans la rubrique « Mise en cache », sélectionner l'option stipulant de ne pas autoriser la mise en cache des fichiers de ce dossier partagé.

• Sélectionnez l'onglet Sécurité, puis ajoutez les utilisateurs ADM4760 et UTIL4760. Vérifiez les droits suivants : «Modification », « Affichage du contenu du dossier », «Lecture», «Écriture».

3. Sur le PC serveur, lancer une session Windows en tant queADM4760.

4. Accorder au service NMC SaveRestore le droit d’utiliser l’utilisateur ADM4760. Pour ce faire :

• lancer l’application Annuaire, puis cliquer sur l’onglet Système,

• Au niveau de l’arborescence, accéder au répertoire

NMC/Nom_du_serveur/servers/Nom_du_serveur/SaveRestore.

• Cliquer sur l’ongletCompte NTdans le volet de droite.

• Renseigner les attributs :

• « Utilisateur » = .\ADM4760

• Mot de passe : mot de passe associé à l'utilisateurADM7460.

5. Accorder au service NMC Executables Launcher le droit d’utiliser l’utilisateur UTIL4760. Pour ce faire :

• lancer l’application Annuaire, puis cliquer sur l’onglet Système,

• Au niveau de l’arborescence, accéder au répertoire

NMC/Nom_du_serveur/servers/Nom_du_serveur/Execdex.

• Cliquer sur l’ongletCompte NTdans le volet de droite.

• Renseigner les attributs :

• « Utilisateur » = .\UTIL4760

• Mot de passe : mot de passe associé à l'utilisateurUTIL4760

6. Lorsque le moduleMaintenanceest lancé, il est alors possible de sélectionner un disque réseau pour la sauvegarde.

3.6.3.2.2 Procédure valide dans un domaine

Cette procédure pourra être appliquée lorsque le client souhaite utiliser des comptes réseau pour les accès réseau du serveur OmniVista 4760.

Cette solution présente des failles de sécurité : les comptes réseau (nom d’utilisateur et mot de passe) peuvent être interceptés puis utilisés sur l’ensemble des machines du réseau. Pour les besoins de cette procédure, nous supposerons que les machines sont installées dans le même domaineDOMMACHINEet que les utilisateurs sont reconnus dans le domaineDOMUSER.

On suppose que deux comptes (ADM4760 et UTIL4760) ont été créés sur le serveur OmniVista 4760 (en suivant la procédure de création et d’attribution des droits de la section Création de comptes et attribution des droits).

1. Partager un répertoire sur la machine distante pour les utilisateurs DOMUSERADM4760 et DOMUSERUTIL4760:

• Sur la machine distante, sélectionner le répertoire à partager et le partager.

• Au besoin, modifier le nom de partage.

• Modifier les propriétés de partage et de sécurité :

• Nombre d’utilisateurs autorisés : # 3

• Dans la rubrique «Autorisations», sélectionner retirer «tout le monde» et ajouter les utilisateurs DOMUSERADM4760 et DOMUSERUTIL4760 avec les droits Contrôle total.

• Dans la rubrique « Mise en cache », sélectionner l'option stipulant de ne pas autoriser la mise en cache des fichiers de ce dossier partagé.

• Sélectionnez l'onglet Sécurité, puis ajoutez les utilisateurs DOMUSER\ADM4760 et DOMUSER\UTIL4760. Vérifiez les droits suivants : « Modification »,

« Affichage du contenu du dossier », « Lecture », « Écriture».

2. Sur le PC serveur, lancer une session Windows en tant queDOMUSER\ ADM4760.

3. Accorder au service NMC SaveRestore le droit d’utiliser l’utilisateur ADM4760. Pour ce faire :

• Lancer l’application Annuaire, puis cliquer sur l’ongletSystème.

• Au niveau de l’arborescence, accéder au répertoire

NMC/Nom_du_serveur/servers/Nom_du_serveur/SaveRestore.

• Cliquer sur l’ongletCompte NTdans le volet de droite.

• Renseigner les attributs :

• « Utilisateur » = DOMUSER\ADM4760

• Mot de passe : mot de passe associé à l'utilisateurADM4760

4. Accorder au service NMC Executables Launcher le droit d’utiliser l’utilisateur UTIL4760. Pour ce faire :

• lancer l’application Annuaire, puis cliquer sur l’onglet Système,

• Au niveau de l’arborescence, accéder au répertoire

NMC/Nom_du_serveur/servers/Nom_du_serveur/Execdex.

• Cliquer sur l’onglet Compte NT dans le volet de droite

• Renseigner les attributs :

• « Utilisateur » = DOMUSER\UTIL4760

• Mot de passe : mot de passe associé à l'utilisateurUTIL4760

5. Lorsque le moduleMaintenanceest lancé, il est alors possible de sélectionner un disque réseau pour la sauvegarde.

3.6.3.2.3 Procédure valide dans un groupe de travail

Pour les besoins de cette procédure, nous supposerons que les machines sont installées dans le même groupe de travail,WORKGROUP1, et que le PC serveur porte le nomPCSERVEUR.

On suppose que deux comptes (ADM4760 et UTIL4760) ont été créés sur le serveur OmniVista 4760 (en suivant la procédure de création et d’attribution des droits de la section Création de comptes et attribution des droits).

Sur la machine distante, créer les mêmes comptes ADM4760etUTIL4760 avec les mêmes mots de passe.

1. Partager un répertoire sur la machine distante pour les utilisateurs ADM4760 et UTIL4760:

• Sur la machine distante, sélectionner le répertoire à partager et le partager.

• Au besoin, modifier le nom de partage.

• Modifier les propriétés de partage et de sécurité :

• Nombre d’utilisateurs autorisés : # 3

• Dans la rubrique «Autorisations», sélectionner retirer «tout le monde» et ajouter les utilisateursADM4760etUTIL4760avec les droits Contrôle total.

• Dans la rubrique « Mise en cache », sélectionner l'option stipulant de ne pas autoriser la mise en cache des fichiers de ce dossier partagé.

• Sélectionnez l'onglet Sécurité, puis ajoutez les utilisateurs ADM4760 et UTIL4760. Vérifiez les droits suivants : « Modification », « Affichage du contenu du dossier », « Lecture », « Écriture».

2. Sur le PC serveur, lancer une session Windows en tant queADM4760.

3. Accorder au serviceNMC SaveRestorele droit d’utiliser cet utilisateur. Pour ce faire :

• lancer l’application Annuaire, puis cliquer sur l’onglet Système,

• Au niveau de l’arborescence, accéder au répertoire

NMC/Nom_du_serveur/servers/Nom_du_serveur/SaveRestore.

• Cliquer sur l’ongletCompte NTdans le volet de droite.

• Renseigner les attributs :

• « Utilisateur » = PCSERVEUR \ADM4760

• Mot de passe : votre mot de passe

4. Accorder au service NMC Executables Launcher le droit d’utiliser l’utilisateur UTIL4760. Pour ce faire :

• lancer l’application Annuaire, puis cliquer sur l’onglet Système,

• Au niveau de l’arborescence, accéder au répertoire

NMC/Nom_du_serveur/servers/Nom_du_serveur/Execdex.

• Cliquer sur l’ongletCompte NTdans le volet de droite.

• Renseigner les attributs :

• « Utilisateur » = PCSERVEUR\UTIL4760

• Mot de passe : votre mot de passe

5. Lorsque le moduleMaintenanceest lancé, il est alors possible de sélectionner un disque réseau pour la sauvegarde.

3.6.4 Planification de l’exportation ou de l’impression de rapports

Le serveur OmniVista 4760 peut utiliser des ressources réseau pour l'exportation et l'impression de rapports planifiées. Ces opérations requièrent l’utilisation d’un compte Windows :

Un compte pour le service NMC Executables Launcher, valide sur le serveur OmniVista 4760, avec accès aux répertoires de la machine distante utilisés pour les opérations d'exportation.

Procédure

In document Guide de Sécurité. Alcatel-Lucent OmniVista 4760 Network Management System (Page 30-35)

Related documents