Guide de Sécurité. Alcatel-Lucent OmniVista 4760 Network Management System

(1)

Guide de Sécurité

(2)

Les informations présentées sont sujettes à modification sans préavis.

Alcatel-Lucent ne peut être tenu pour responsable de l’inexactitude de ces informations.

Copyright © 2010 Alcatel-Lucent. Tous droits réservés.

Le marquage CE indique que ce produit est conforme aux directives communautaires suivantes :

- 2004/108/EC (Compatibilité électromagnétique) - 2006/95/EC (Sécurité Basse Tension)

- 1999/5/EC (R&TTE)

(3)

Chapitre 1 Introduction

Chapitre 2 Procédure recommandée pour le déploiement d’une solution OmniVista 4760 en environnement sécurisé

Choix et configuration du système d’exploitation ...

^2.1

Définition de l’environnement réseau ...

^2.1

Sécurisation des données PCX ...

^2.3

Sécurisation des données de l'OmniVista 4760 ...

^2.3

Bonnes pratiques en cas de détection d’une faille de sécurité

...

2.3

Chapitre 3 Déploiement d'OmniVista 4760 dans un environnement Windows sécurisé

Généralités ...

^3.1

Compatibilité avec le système d’exploitation ...

^3.1

Généralités ...

^3.1

(4)

Personnalisation de Windows (suppression de services et de fichiers) ...

^3.2

Émulation Windows : VM-Ware, MS Virtual Server 2005 ...

^3.3

Services constructeur ...

3.3

Carte mère ...

^3.3

Compatibilité et utilisation des services Windows ...

^3.4

Au cours de l’installation / mise à jour ...

3.4

En cours de fonctionnement ...

^3.5

Outils de sécurité ...

^3.9

Compatibilité avec les logiciels antivirus ...

^3.9

Compatibilité avec le pare-Feu Windows ...

^3.10

Compatibilité avec un proxy ...

3.13

Renforcement de la sécurité avec SynAttackProtect ...

^3.13

Renforcement de la sécurité avec DEP ...

^3.14

Compatibilité avec les applications externes ...

3.14

Étude de compatibilité ...

^3.14

Compatibilité en termes de performances ...

^3.15

Fichiers dll ...

^3.15

Java Run Time ...

^3.15

Ports et Services IP ...

3.16

Compatibilité avec les outils de sauvegarde PC ...

^3.16

Compatibilité avec les outils de connexion à distance ...

^3.16

Compatibilités avec d'autres applications Alcatel—Lucent ...

3.17

Gestion de comptes Windows utilisés par le serveur

OmniVista 4760 ...

^3.18

Compte pour installation ...

^3.18

Compte à utiliser pour le lancement d’un client OmniVista 4760 ...

3.18

Opérations de maintenance avec ressources réseau ...

^3.18

Planification de l’exportation ou de l’impression de rapports ...

^3.23

Archivage et restauration des fichiers de taxation ...

3.24

Collecteur de fichiers de taxation ...

^3.25

Réception d’alarmes urgentes de l’OmniPCX Office ...

^3.26

Gestion du partage de répertoires ...

^3.26

Gestion de l’OmniPCX Office ...

^3.26

Partage de OmniVista 4760_ARC ...

3.27

(5)

Chapitre 4 Déploiement d’OmniVista 4760 dans une configuration réseau sécurisée

Trafic IP sur serveur OmniVista 4760 ...

^4.1

Trafic IP sur client OmniVista 4760 ...

4.6

Trafic IP sur OmniPCX Enterprise pour la gestion de

l'OmniVista 4760 ...

^4.6

Trafic IP sur l'OmniPCX Office pour la gestion de l'OmniVista 4760 ...

^4.7

Trafic IP sur un hyperviseur ...

^4.8

Trafic IP sur un 4059 ...

4.9

Fonctionnement de l'OmniVista 4760 sur un réseau VPN/NAT

...

^4.9

PRÉSENTATION ...

^4.9

Protocole VPN/NAT ...

4.9

Accès du client OmniVista 4760 au serveur via NAT ...

^4.10

Accès du serveur OmniVista 4760 à l'Alcatel-Lucent OmniPCX Enterprise

Communication Server via NAT ...

^4.12

Accès du serveur OmniVista 4760 à l'OmniPCX Office via NAT ...

^4.12

Accès du serveur OmniVista 4760 au client d'annuaire Web 4059 via NAT

^4.12

Dépannage du transfert FTP ...

^4.12

Chapitre 5 Sécurisation des données PCX en cas de gestion par un serveur OmniVista 4760

Alcatel-Lucent OmniPCX Enterprise CS ...

^5.1

Mise en œuvre de Connexion SSH ...

^5.1

(6)

Configuration ...

^5.5

Synchronisation des données OmniPCX Office ...

^5.5

Accès Internet ...

5.5

Chapitre 6 Sécurisation des données OmniVista 4760

Configuration autonome ...

^6.1

Déploiement du protocole IPSec dans une configuration

serveur-clients distants ...

6.1

Configuration requise ...

^6.1

Implémentation ...

^6.1

Restriction ...

6.2

Configuration ...

^6.2

Sécurité d’accès aux applications OmniVista 4760 ...

^6.7

Application Sécurité ...

^6.7

Confidentialité des données d’annuaire ...

^6.9

Confidentialité des données de taxation et d’observation de trafic ...

6.12

Procédure de changement des mots de passe ...

^6.12

Sécurisation des notifications d’alarmes urgentes OmniPCX Office ...

^6.14

Sécuriser l’accès à l’annuaire LDAP par des applications

externes. ...

^6.14

Autres Recommandations ...

6.14

(7)

Ce guide de sécurité a pour objectif de fournir aux administrateurs de l'Alcatel-Lucent OmniVista 4760 Network Management System (désigné par OmniVista 4760 dans ce document) les informations nécessaires à la prise en compte des éléments de sécurité lors du déploiement ainsi que les méthodes à appliquer pour sécuriser ce système de gestion des OmniPCX Alcatel-Lucent.

La section 2 présente la procédure à suivre pour déployer l'OmniVista 4760 dans un environnement contenant des éléments de sécurité et pour renforcer la sécurité de la gestion d'OmniPCX par l’intermédiaire de l'OmniVista 4760.

Les informations et procédures requises pour chacune de ces étapes sont détaillées dans les sections suivantes :

- Les sections 3 et 4 fournissent les recommandations et informations à prendre en compte avant d'intégrer l'OmniVista 4760 dans un environnement sécurisé (au niveau du système d'exploitation ou du réseau), ainsi que les procédures à appliquer pour que certaines applications de l'OmniVista 4760 fonctionnent avec les ressources réseau.

- Les sections 5 et 6 indiquent les moyens à mettre en œuvre pour renforcer la sécurité des données collectées ou gérées par l'OmniVista 4760.

La section 7 indique l'URL de l'équipe de résolution des incidents de sécurité pour les produits Alcatel-Lucent et comment rapporter une vulnérabilité de sécurité.

(8)

(9)

2.1 Choix et configuration du système d’exploitation

Recommandations :

- Serveur OmniVista 4760 :

• Windows 2003 SP2 recommandé

• Profil de sécurité recommandé : serveur membre.

• Pare-feu : activé, accepter les exceptions concernant les programmes utilisés par le serveur OmniVista 4760.

- Client OmniVista 4760 :

• Windows XP SP3 recommandé

• Pare-feu : activé, accepter les exceptions concernant les programmes utilisés par le client OmniVista 4760.

- Mise à jour avec Windows Update : Uniquement pour patch de sécurité.

Installer les hotfixes de sécurité de Windows. Lors de l’installation, il est nécessaire de sélectionner les options permettant ensuite de désinstaller tout hotfix ou service pack de Windows.

• Antivirus : activer et assurer la mise à jour d’un système antivirus sur les ordinateurs hébergeant les applications OmniVista 4760 (client ou serveur).

- Mise en oeuvre:

• Voir module Sécurité - Deploying the OmniVista 4760 in a Secure Windows Environment pour le déploiement de l’application OmniVista 4760 dans un environnement Windows sécurisé.

• La mise en place de profils de sécurité Windows a pour effet d’arrêter certains services système ; il faut donc s’assurer que les services nécessaires à l’installation et au fonctionnement du serveur OmniVista 4760 sont démarrés.

2.2 Définition de l’environnement réseau

Note :

Ce guide de sécurité présente les solutions à mettre en œuvre en cas de connectivité ethernet entre les équipements OmniPCX et OmniVista 4760.

Dans le cas d’une autre connectivité (PPP), les mêmes recommandations et procédures pourront être appliquées mais des protocoles et services supplémentaires devront être activés. Il est par ailleurs possible d’ajouter un niveau d’authentification supplémentaire en cas d’activation du protocole PPP.

Recommandations :

(10)

Figure 2.1 : Exemple de déploiement sur un réseau privé client (intranet) Les clients OmniVista 4760 distants sont facultatifs. N’installer que les clients utiles.

La configuration autonome (client local au serveur) réduit le risque d’attaque contre le serveur OmniVista 4760.

Pour renforcer la sécurité du serveur OmniVista 4760 :

- Installer le serveur dans le même sous-réseau que les PCX.

- Lancer les applications OmniVista 4760 à partir de clients OmniVista 4760 connectés au serveur via un tunnel Ipsec.

Choix de l’implémentation dans des domaines Windows :

Le serveur OmniVista 4760 et ses clients distants peuvent être configurés dans un groupe de travail (les clients doivent être dans le même groupe de travail que le serveur) et non dans des domaines Windows.

Ceci facilite la configuration du serveur (et de ses services) et permet d’éviter les impacts des modifications de droits de sécurité des domaines du réseau. Mais, dans ce contexte, le serveur ne pourra pas utiliser les ressources situées hors de ce Workgroup (imprimante, disques de sauvegardes ...etc).

Lorsque le serveur OmniVista 4760 et ses clients distants sont configurés dans un domaine Windows, suivre les recommandations des sections 3.5 et 3.6 pour ouvrir l’accès aux ressources réseau tout en conservant un bon niveau de sécurité.

Mise en oeuvre:

Se reporter à la sectionmodule Sécurité - Deploying the OmniVista 4760 in a Secure Network Configuration pour le déploiement de l’application OmniVista 4760 dans un environnement réseau contenant des éléments de sécurité.

(11)

2.3 Sécurisation des données PCX

- Recommandations :

• OmniPCX Enterprise : déployer la sécurité SSH (disponible uniquement pour les OXE>= 6.0) et le controle d’accès

• OmniPCX Office : suivre les recommandations de sécurité fournies par le support technique d’OmniPCX Office.

- Mise en oeuvre:

• Voir module Sécurité - How to Secure the OmniVista 4760 Data? pour renforcer la sécurité des données d’un OmniPCX Alcatel-Lucent en cas de gestion à distance par un serveur OmniVista 4760.

• Se reporter aux notices de sécurité respectives des systèmes OmniPCX.

2.4 Sécurisation des données de l'OmniVista 4760

- Recommandations :

Mettre en œuvre les outils de sécurité des applications OmniVista 4760 (voir section 6) :

• Déployer Ipsec dans une configuration serveur- clients distants

• Mettre en œuvre la sécurité d’accès aux applications OmniVista 4760

• Procéder de façon régulière aux changements de mots de passe

• Sécuriser l’accès à l’annuaire LDAP par des applications externes

• Suivre les recommandations de sécurité de Microsoft lorsqu’elles sont compatibles avec le fonctionnement des applications OmniVista 4760.

- Mise en oeuvre:

Voirmodule Sécurité - How to Secure the OmniVista 4760 Data?pour renforcer la sécurité des données d’un OmniVista 4760.

2.5 Bonnes pratiques en cas de détection d’une faille de sécurité

- La faille concerne un composant Microsoft :

Installer les hotfixes de sécurité de Windows correspondant à la faille.

- La faille de sécurité concerne un composant utilisé par l'OmniVista 4760 :

• Programmer une sauvegarde régulière du serveur OmniVista 4760.

• Contacter le service Support Technique d'Alcatel-Lucent pour signaler cette faille de sécurité.

• Installer, dès sa sortie, la version de l'OmniVista 4760 implémentant le correctif de sécurité.

- La faille de sécurité concerne une application externe à l'OmniVista 4760 : Programmer une sauvegarde régulière du serveur OmniVista 4760.

Contacter le fournisseur de l’application externe concernée et suivre ses recommandations de sécurité. Si ces dernières s’avèrent incompatibles avec les recommandations de sécurité décrites dans ce guide, contacter le service Support Technique d'Alcatel-Lucent.

(12)

(13)

Objectif de ce chapitre : fournir les procédures et paramétrages à appliquer pour déployer et utiliser l'OmniVista 4760 dans un environnement Windows sécurisé (système d’exploitation sécurisé par des éléments et méthodes de sécurité).

3.1 Généralités

Le déploiement de l'OmniVista 4760 dans un environnement Windows requiert les conditions suivantes :

- Compatibilité entre l'OmniVista 4760 et le système d'exploitation.

- Activation des services Windows requis pour l’installation et le fonctionnement de l'OmniVista 4760, et désactivation des services gênant l’installation ou le fonctionnement de l'OmniVista 4760.

- Compatibilité entre l'OmniVista 4760 et les outils de sécurité installés dans l’environnement Windows.

- Compatibilité entre l'OmniVista 4760 et les autres applications externes installées dans le même environnement.

- Configuration de comptes Windows et de ressources réseau pour un fonctionnement sécurisé.

3.2 Compatibilité avec le système d’exploitation

3.2.1 Généralités

La compatibilité entre l'OmniVista 4760 et un système d’exploitation inclut les conditions suivantes :

- Compatibilité avec le matériel

- Compatibilité avec le Système d’exploitation - Compatibilité avec les services packs installés

- Compatibilité avec le type d’installation du système d’exploitation

- Compatibilité avec la personnalisation (ou le paramétrage spécifique) du système d’exploitation installé

Il importe donc de se conformer aux prérequis du manuel d’installation de l'OmniVista 4760, ainsi qu’aux procédures d’installation et de désinstallation de l'OmniVista 4760.

3.2.2 Type de matériel

Certains fabricants de PC peuvent spécifier le type de système d’exploitation. Par conséquent, avant même d’envisager la compatibilité de l'OmniVista 4760, s'assurer que le matériel peut prendre en charge le système d’exploitation choisi.

- Exemple

Le serveur HP/Compaq ML370 ne prend pas en charge les systèmes d'exploitation de poste de travail ou professionnels. Seul un système d'exploitation serveur peut être utilisé (Windows

(14)

XP Professionnel, Windows 2003, Vista, etc.). Sur certains PC, en particulier le HP ML370G4, l'installation du Service Pack 1 pour Windows 2003 Server nécessite la mise à jour du Bios et de certains pilotes.

3.2.3 Système d’exploitation et Service Pack

- Compatibilité

Le tableau ci-après indique les versions de Windows et les Service Packs pris en charge par la version R5.1.1 de l’application OmniVista 4760.

tableau 3.1 : Configuration requise

Petite capacité Moyenne capacité Grande capacité Capacité d'abonnés <250 abonnés 250 à

5 000 utilisateurs

> 5 000 abonnés Système d'exploitation Windows XP Professionnel (Service Pack 3)

Windows 2003 Serveur Standard Edition (Service Pack 2 minimum obligatoire) Windows Vista

Windows 2003 Ser- veur Standard Edition (Service Pack 2 minimum obligatoire) Navigateur Internet Mozilla FireFox 2.0

Internet Explorer version 7.0 - Incompatibilités connues :

Les fonctions de contrôleur de domaine, de serveur Web et de serveur FTP livrées avec le système d’exploitation ne doivent pas être installées.

3.2.4 Personnalisation de Windows (suppression de services et de fichiers)

À compter de la version R5.1.1, les services Telephony et Remote Access Connection manager ne sont requis que pour la connexion PPP.

Pour des raisons de sécurité, il faut désactiver le service Remote Access Connection manager lorsque la connexion PPP n'est pas utilisée.

La désactivation du service Remote Access Connection manager arrête le service NMC Comserver.

Pour vous assurer que le service NMC Comserver est arrêté, modifiez le fichier NMComserver.log. L'indication No modem indique que le service NMC Comserver est arrêté.

Pendant l'accès à la configuration PCX, le message suivant s'affiche : No URL Scheme specified.

La désactivation du service Serverinterdit l’utilisation des partages Windows. En particulier, ceux situés sous 4760_arc ne seront plus visibles, ce qui empêchera l'installation de l'OmniVista 4760 pendant la phase :Launch svShareName.

La solution dans ce cas consiste à relancer le serviceServer.

Par défaut, sous Windows, chaque fichier possède un nom long et un nom court (exemple : C:\program file et C:\program~1). Ce comportement de Windows ne doit pas être modifié. En effet, la suppression des noms de fichier courts empêcherait l’accès à la base de données Sybase pendant l’installation et donc empêcherait l’installation du serveur OmniVista 4760.

Exemple :

(15)

Sybase est installé sousC:\program files\Sybase\SQL Anywhere 9.

- Si les noms courts sont autorisés, l'OmniVista 4760 peut accéder à C:\progra~1\SQLany~1\win32\dbisql.

- Dans le cas contraire, l'OmniVista 4760 tente d'utiliser C:\program files\Sybase\SQL Anywhere 9\win32\dbisql, ce qui génère une erreur dans le fichier _4760_log_Setup\batch\dbsiql.log.

Procédure pour activer la création des noms courts :

1. Cliquer sur Démarrer puis Exécuter, puis saisir regedit et valider.

2. Dans le registre Windows, localisez la clé suivante

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem.

3. Modifiez la valeur DWORD de la façon suivante :NtfsDisable8dot3NameCreation = 0.

3.2.5 Émulation Windows : VM-Ware, MS Virtual Server 2005

VM-Ware et MS Virtual Server permettent de démarrer des machines virtuelles. Ainsi, plusieurs systèmes d'exploitation peuvent s'exécuter simultanément sur un seul serveur physique.

Le serveur OmniVista 4760 est compatible avec la plate-forme Vmware à partir de la version R5.1.1. Cependant, MS Virtual Server n'est toujours pas pris en charge, en particulier dans un environnement de production : il n'existe pas de tests de performance, ni de validation.

Dans le cadre de l'OmniVista 4760, de tels outils ne pourront être mis en œuvre que pour des tests d'interface ou pour des captures d’écran destinées à la documentation.

3.2.6 Services constructeur

Les fabricants de PC fournissent des outils permettant d'administrer une base de PC installée.

Ces outils peuvent utiliser des services ou des fichiers dll incompatibles déjà présents dans l'application OmniVista 4760.

- Exemple de problèmes connus :

Les serveurs de la gamme Compaq/HP sont livrés avec les services Compaq/Agent Foundation. Ces services s’appuient sur le service Windows SNMP. Si ce service SNMP est démarré, l’installation échoue.

Les serveurs DELL sont livrés avec le service DELL open management qui s’appuie sur une ancienne version du fichier dll de notification, JTC1012.dll. Lorsque cette DLL est chargée avant celle de l'OmniVista 4760, les notifications ne sont plus prises en compte : désinstallez l'utilitaire et vérifiez le chemin de Windows.

3.2.7 Carte mère

Le serveur OmniVista 4760 doit pouvoir arrêter, désinstaller et réinstaller ses propres services NMC. Sur certains PC, le mode d’arrêt et de redémarrage des services peut être modifié.

Cette modification empêche le redémarrage du serveur OmniVista 4760.

- Exemple de dysfonctionnement : arrêt du PC - correction :

Un arrêt Windows envoie un signal vers les services pour leur demander de s'arrêter. Si ce signal ne peut pas être émis/intercepté à temps, le PC risque de redémarrer avec un état transitoire: service en cours de suppression. Il faudra un second arrêt du PC pour

(16)

réellement supprimer ces services.

Le problème apparaît sur un PC Intel (fourni par PERTEC) lorsqu'il est équipé de carte mère S815EBM1. Cette carte mère équipe les PC avec la référence : NEXPCS815E, NEX1120C.

Arrêter le service NMC service manager avant l'arrêt du PC :

• Ecrire un script Stop.bat contenant la ligne net stop « NMC Service Manager »

• Forcer Windows à exécuter le script à l'arrêt du PC :

• Ouvrir le composant Stratégie de groupe en lançant

C:\WINNT\SYSTEM32\gpedit.msc

• Sélectionner Configuration ordinateur -> Paramètre Windows ->

Scripts (démarrage/arrêt) -> Arrêter le système.

• Ajouter le fichierStop.bat.

3.3 Compatibilité et utilisation des services Windows

3.3.1 Au cours de l’installation / mise à jour

- Installation du serveur OmniVista 4760 :

Le tableau ci-après répertorie les services Windows devant être démarrés pendant l’installation du serveur OmniVista 4760.

tableau 3.2 : Services Windows requis pour l'installation de l'OmniVista 4760

Nom affiché Nom Image Commentaires

Protected Storage ProtectedStorage Lsass.exe Remote procedure

call

RPCSS SvcHost.exe

Security account manager

sasms Lsass.exe

Network Connections Network Connections SvcHost.exe Windows Firewall/In-

ternet Connection Sharing (ICS)

SharedAccess SvcHost.exe

NetBIOS over TCP/IP driver (Direct hosted SMB traffic mode)

Netbt.sys Nécessaire en cas d’utilisation de partages réseau.

NetBIOS over TCP/IP driver (NBT mode)

Netbt.sys Nécessaire en cas d’utilisation de partages réseau.

TCP/IP NetBIOS helper

LmHosts SvcHost.exe Nécessaire en cas

d’utilisation de Net- BIOS over TCP/IP

DNS client DnsCache SvcHost.exe Obligatoire pendant

l’installation du serveur OmniVista 4760, ce service pourra être désactivé après l’installation.

(17)

Serveur LanmanServer SvcHost.exe

Le tableau ci-après répertorie les services Windows devant être arrêtés pendant l’installation du serveur OmniVista 4760.

tableau 3.3 : Services Windows à arrêter pour l'installation du serveur OmniVista 4760

Application Layer Ga- teway Service

Agl Agl.exe Il faut désactiver le

service AGL pendant l’installation de l'Omni- Vista 4760.

- Installation du client v :

Le tableau ci-après répertorie les services Windows devant être arrêtés pendant l’installation du client OmniVista 4760.

tableau 3.4 : Services Windows à arrêter pour l'installation du client OmniVista 4760

Agl Agl.exe Il faut désactiver le

service AGL pendant l’installation de l'Omni- Vista 4760.

3.3.2 En cours de fonctionnement

- Serveur Alcatel-Lucent

Le tableau ci-après répertorie les services devant être démarrés pour un fonctionnement normal du serveur v.

Nom affiché Nom Nom de l’image Commentaires

Protected Sto- rage

ProtectedStorage Lsass.exe Remote proce-

dure call

RPCSS SvcHost.exe

Security account manager

sasms Lsass.exe

Network Connec- tions

SvcHost.exe Windows Fire-

wall/Internet Connection Sha- ring (ICS)

SharedAccess SvcHost.exe

Remote Access Connection Ma- nager

RasMan SvcHosts.exe

Remote Adminis- tration Service

srvcsurg srvcsurg.exe

Telephony TapiSrv SvcHosts.exe

(18)

Nom affiché Nom Nom de l’image Commentaires Plug And Play PlugPlay Services.exe

IPSec Services PolicyAgent Lsass.exe Nécessaire lorsque le protocole IP- Sec est utilisé pour:

• Accéder au serveur OmniVista 4760 depuis un client distant OmniVista 4760.

• Utilisez le logiciel OMC sur un client distant OmniVista 4760 pour accéder au répertoire LDAP à partir d'une application externe : 4059, duplication LDAP, OXE-Phonebook, etc.

Routing and Re- mote Access

RemoteAccess SvcHosts.exe Englobe des fonctionnalités de pare- feu et n’est pas compatible avec le pare-feu de Windows. Dans ce cas, vous devez arrêter le pare-feu de Windows et le service ICS de partage de connexion Internet.

Service nécessaire pour la remontée d’alarmes urgentes d’OmniPCX Of- fice en connectivité PPP uniquement.

NetBIOS over TCP/IP driver (Direct hosted SMB traffic mode)

Netbt.sys Nécessaire pour l’utilisation de ressources réseau partagées.

TCP/IP NetBIOS helper

LmHosts SvcHost.exe

Net Logon NetLogon Lsass.exe Nécessaire en cas de partages ré- seau pour :

• Accéder à des ressources ré- seau depuis le serveur OmniVis- ta 4760

• Accéder aux annuaires du serveur 4760

• Configurer OmniPCX Office (utilisation du logiciel OMC sur le serveur OmniVista 4760 ou sur des clients distants)

Serveur LanmanServer SvcHost.exe Nécessaire en cas d’utilisation de partages réseau pour :

(19)

Nom affiché Nom Nom de l’image Commentaires Workstation ser-

vice

LanmanWorsta- tion

SvcHost.exe Nécessaire en cas d’utilisation de partages réseau pour :

• Accéder à des ressources ré- seau depuis le serveur OmniVis- ta 4760

Print Spooler Spooler Spoolsv.exe Nécessaire pour imprimer dans les cas suivants :

• Utilisation de l’imprimante ré- seau depuis le serveur OmniVis- ta 4760

• Impression de rapports

Apache Apache httpd.exe

NMC Alarm Ser- ver

FaultMana- ger.exe Serveur d'audit

NMC

Serveur d'audit NMC

AuditServer.exe NMC Communi-

cation Server

NMC Communi- cation Server

ComServer.exe NMC CMISE Ser-

ver

NMC CMISE Ser- ver

cmisd.exe NMC Execu-

tables Launcher

NMC Execu- tables Launcher

execdEx.exe NMC Extractor NMC Extractor extractor.exe

NMC GCS NMC GCS GCSAdmin.exe

Administration Server

NMC GCS Config Server

GCSConfig.exe NMC License

Server

NMC License Server

LicenseSer- ver.exe NMC Loader NMC Loader loader.exe NMC Save Res-

tore

NMC Save Res- tore

save_restore.exe NMC Scheduler NMC Scheduler scheduler.exe NMC Security

Server

NMC Security Server

securityserver.exe NMC PBX/Ldap

Synchronization

NMC PBX/Ldap Synchronization

SyncL- dapPbx.exe

(20)

Nom affiché Nom Nom de l’image Commentaires NMC Service Ma-

nager

NMC Service Ma- nager

svc_mgr.exe NMC50 Data-

Base

NMC50 Data- Base

dbsrv9.exe Orbacus Notify

Service

Orbacus Notify Service

ns_service.exe SunOne Adminis-

tration Server 5.2

SunOne Adminis- tration Server 5.2

ns-httpd.exe SunOne Directory

Server 5.2

SunOne Directory Server 5.2

ns-slapd.exe ACAPI alarm ser-

ver

AcapiAlarmsSer- ver

Plugger.exe Serveur ACAPI

CMISE

AcapiCmisd Cmisd.exe Serveur ACAPI CMISE Acapi communi-

cation server

AcapiComServer ComServer.exe Acapi GCS admi-

nistration server

AcapiGCSAdmin GCSAdmin.exe Acapi GCS administration server Acapi GCS conf

server

AcapiGCSConfig GCSAdmin.exe Acapi GCS LDAP

server

AcapiLDAPsSer- ver

slapd.exe Acapi OpenLDAP Server ACAPI notifica-

tion proxy

AcapiNotification- Proxy

Notification- Proxy.exe ACAPI rescue AcapiRescue rescue.exe ACAPI Service

Manager

AcapiSvcMgr svc_mgr.exe ACAPI Service Manager Alcatel Backup

Service

Alcatel Backup Service

backup.exe Sauvegarde Alcatel DataAc-

cess Service

Alcatel DataAc- cess Service

da-

ta_access_servic e.exe

fournit des données sur les utilisateurs et les applications

Alcatel Database Server

dbsrv10.exe Alcatel Device

Management Core

Alcatel Device Management Core

de-

vice_managemen t_core.exe Alcatel Events

Server

Alcatel Events Server

events_server.ex e

Permet aux services d'envoyer des événements et aux applications ou services d'ouvrir des abonnements pour recevoir ces événements.

Alcatel FLEXlm Service

Lmgrd.exe

(21)

Nom affiché Nom Nom de l’image Commentaires Alcatel Logs Ro-

tate Service

Alcatel Logs Ro- tate Service

alc_logs_rotate.e xe

Fournit la rotation de journaux Alcatel OpenL-

DAP-DB-Recover

Alcatel OpenL- DAP-DB-Recover

DBRecoverNT- Service.exe Alcatel OpenL-

DAP-slapd

Alcatel OpenL- DAP-slapd

slapd.exe Alcatel PBX Ma-

nagement Ser- vice

Alcatel PBX Ma- nagement Ser- vice

pcx_management _service.exe

gère la configuration des abonnés d'un réseau pbx

Alcatel Supervi- sion Agent

supervi- sion_agent.exe

Fournit un agent de supervision Alcatel Supervi-

sion Client

Alcatel Supervi- sion Client

supervi- sion_client.exe

Fournit un client de supervision Alcatel Unified

Management Fra- mework Core

Alcatel Unified Management Fra- mework Core

uni-

fied_managemen t_framework_cor e.exe

Fournit un noyau d'infrastructure de gestion unifiée

Alcatel Universal Directory Access Service

univer-

sal_directory_acc ess_service.exe

Fournit un accès unifié aux réper- toires d'entreprise

Apache 2.2.11 Apache 2.2.11 httpd.exe Apache/2.2.11 (Win32) mod_jk/1.2.25 mod_ssl/2.2.6 OpenSSL/0.9.7l

Le tableau ci-après répertorie les services devant être arrêtés pendant le fonctionnement du serveur OmniVista 4760.

tableau 3.6 : Services Windows à arrêter pour le fonctionnement du serveur OmniVista 4760

Nom affiché Nom Nom de l’image Commentaires

Agl Agl.exe Il faut désactiver AGL.

Cependant en cas de dysfonctionnement avec le pare-feu Win- dows, ICS (Internet Connection Sharing) ou un logiciel externe (tel qu’un logiciel anti virus ou tout logiciel incorporant des trans- ferts automatiques via FTP), il peut être né- cessaire de démarrer ALG.

3.4 Outils de sécurité

3.4.1 Compatibilité avec les logiciels antivirus

(22)

- Compatibilités :

Les applications OmniVista 4760 (serveur et client) fonctionnent correctement en présence d’un système antivirus MacAfee et Norton.

- Autres logiciels antivirus :

Tout autre système antivirus peut être déployé sur un PC hébergeant un serveur ou un client OmniVista 4760. En cas d’incompatibilité détectée, il est recommandé de contacter le support OmniVista 4760.

a. Cas de ralentissement du lancement client :

L’antivirus est configuré pour analyser les fichiers compressés et/ou d’extension .jar.

Dans ce cas, le premier lancement du client OmniVista 4760 est ralenti de 2 à 3 minutes.

• Sous McAfee, l'option d'extension de fichiers *.jar ou l'analyse interne des fichiers archive est activée.

Fonction Wormstopper:

Lorsque l’antivirus intègre la fonction Wormstopper, les e-mails de notification des alarmes sont bloqués. En effet, la plupart des nouveaux virus se propageant par courrier électronique. WormStopper arrête les nouveaux virus diffusés par publipostage en détectant l'activité.

La fonction WormStopper :

• Détecte l'envoi d'e-mails à plus de 40 destinataires

• Détecte l'envoi de plus de 5 e-mails en moins de 30 secondes

• Vérifie le contenu des e-mails répétitifs

• Vérifie les noms des binaires qui tentent d'envoyer des e-mails

L’antivirus doit être reconfiguré pour permettre à l'OmniVista 4760 d'émettre une alerte e-mail. L'OmniVista 4760 attend au minimum 3 secondes entre l'envoi de 2 e-mails. Si d'autres alertes surviennent, ce délai est augmenté.

La version 8 de MacAfee intÃ¨gre cette fonction Wormstopper (Menu Advance ActiveShield setting). Il est recommandé de définir sur 15 secondes le délai d'autorisation d'envoi de 5 e-mails successifs.

Si les binaires sont contrôlés pour ajouter le programme responsable de l'envoi d'e-mails :

• Sur le serveur, au niveau de l'option antivirus, ajoutez Javaw.exe, Extractor.exe, Faultmanager.exe.

• Sur le client, au niveau de l'option antivirus, ajoutezJavaw.exe.

Configurer l'antivirus, l'option antispam et l'option wormstopper pour :

• activer le protocole de messagerie (smtp port 25) ;

• permettre aux binaires OmniVista 4760 (javaw.exe) d'utiliser le protocole de messagerie ;

• augmenter le nombre d'e-mails autorisés (par exemple, la fonction wormstopper peut limiter le nombre d'e-mails provenant d'un PC à six par minute).

3.4.2 Compatibilité avec le pare-Feu Windows

- Compatibilités et configuration :

Le serveur et le client OmniVista 4760 sont compatibles avec le pare-feu de Windows XP SP3, Windows 2003 SP2 et Vista.

Pendant l’installation ou la mise à jour du serveur et du client OmniVista 4760, il est recommandé d’accepter la configuration du pare-feu de Windows dans le programme d’installation. Cette configuration automatique s’applique uniquement au pare-feu Windows (sous Windows XP SP3 , Windows 2003 SP2 ou Vista).

(23)

- Autres pare-feu :

Pour tous les autres pare-feux, vous devez procéder à une configuration manuelle. Le pare-feu doit vous laisser pénétrer par les ports IP nécessaires à l'OmniVista 4760 sans délai. Dans le cas de pare-feu à mémoire d’état (statefull), il doit pouvoir gérer une multi-connexion d’un client vers un port précis du serveur.

Côté serveur OmniVista 4760 :

Le tableau ci-après répertorie les programmes dont il faut autoriser l’exécution : tableau 3.7 : Programmes à autoriser sur le serveur OmniVista 4760 Programme à autoriser Emplacement par défaut du

programme

Commentaires

dbeng10.exe Sybase\SQL Anywhere

10\win32

dbisqlg.exe Sybase\SQL Anywhere

9\win32

scjview.exe Program-

Files\SQLAnywhere10

\SybaseCentral5.0.0\win32

slapd.exe Netscape\server5\bin\slapd\

server\

httpd.exe 4760\Apache2\bin\

omc.exe Program

Files\PCXTools\OMC\

Uniquement en cas de gestion d’OmniPCX Office

dbisql.exe Sybase\SQL Anywhere

9\win32\

iexplore.exe Internet Explorer\ Pour l’utilisation d’Internet Ex- plorer sinon autoriser le programme Firefox

javaw.exe Program

Files\Java\jre1.6.0.11\bin\

FaultManager.exe 4760\bin\

ComServer.exe 4760\bin\

cmisd.exe 4760\bin\

execdEx.exe 4760\bin\

extractor.exe 4760\bin\

GCSAdmin.exe 4760\bin\

GCSConfig.exe 4760\bin\

LicenseServer.exe 4760\bin\

loader.exe 4760\bin\

save_restore.exe 4760\bin\

scheduler.exe 4760\bin\

securityserver.exe 4760\bin\

SyncLdapPbx.exe 4760\bin\

(24)

svc_mgr.exe 4760\bin\

dbsrv9.exe Sybase\SQL Anywhere

9\Win32

ns_service.exe 4760\bin\

javaw.exe Alcatel-Lucent\Java_Develop- ment_Kit\bin

Plugger.exe Alcatel-Lucent\Acapi\bin\

Cmisd.exe Alcatel-Lucent\Acapi\bin\

ComServer.exe Alcatel-Lucent\Acapi\bin\

GCSAdmin.exe Alcatel-Lucent\Acapi\bin\

GCSConfig.exe Alcatel-Lucent\Acapi\bin\

slapd.exe Alcatel-Lucent\Acapi\bin\

NotificationProxy.exe Alcatel-Lucent\Acapi\bin\

rescue.exe Alcatel-Lucent\Acapi\bin\

svc_mgr.exe Alcatel-Lucent\Acapi\bin\

backup.exe Alcatel-Lucent\Backup\

data_access_service.exe Alcatel-Lucent\DataAccess\

dbsrv10.exe Programmes\SQL Anywhere

10\win32\

de-

vice_management_core.exe

Alcatel-Lucent\ De- vice_Management_Core\

events_server.exe Alcatel-Lucent\Events_Server\

Lmgrd.exe Alcatel-Lucent\FlexLM\

alc_logs_rotate.exe Alcatel-

Lucent\alc_logs_rotate\

DBRecoverNTService.exe Alcatel-Lucent\Ldap\ DBReco- verNTService\

slapd.exe Alcatel-Lucent\Ldap\

pcx_management_service.ex e

Alcatel-Lucent\Pms\

supervision_agent.exe Alcatel-Lucent\Supervision_

Agent\

supervision_client.exe Alcatel-Lucent\Supervision_

Client\

unified_management_ frame- work_core.exe

Alcatel-Lucent\Unified_ Mana- gement_Framework_ Core\

universal_directory_ ac- cess_service.exe

Alcatel-Lucent\Udas\

httpd.exe Alcatel-Lucent\Apache\bin\

AuditServer.exe 4760\bin\

Le tableau ci-après répertorie les ports devant être ouverts pour un fonctionnement correct du serveur OmniVista 4760.

(25)

tableau 3.8 : Liste des ports à ouvrir sur le serveur OmniVista 4760

Usage Port : Protocole

IPSec 500 UDP

Client OmniVista 4760 30500 à 30509 TCP

Côté client OmniVista 4760 :

Le tableau ci-après répertorie les programmes dont il faut autoriser l’exécution : tableau 3.9 : Programmes à autoriser sur le client OmniVista 4760 Programme à autoriser Emplacement par défaut du

programme

Commentaires

omc.exe Program

Files\PCXTools\OMC\

Uniquement en cas de gestion d’OmniPCX Office

iexplore.exe Internet Explorer\ Pour l’utilisation d’Internet Ex- plorer sinon autoriser le programme Firefox

javaw.exe Program Files\Java\

jre1.6.0.11\bin\

Le tableau ci-après répertorie les ports devant être ouverts pour un fonctionnement correct du client OmniVista 4760.

tableau 3.10 : Liste des ports à ouvrir sur le client OmniVista 4760

Usage Protocole Port :

Client OmniVista 4760 30500 à 30509 TCP

3.4.3 Compatibilité avec un proxy

Le proxy web peut être utilisé quand le client :

- ouvre la page Web d’accueil du serveur OmniVista 4760 ; - consulte l’annuaire via l’interface Web.

Dans ces deux cas, le port 80 est utilisé par le client.

En revanche, si le client OmniVista 4760 est lancé via un navigateur Web : - l’ensemble des ports IP du serveur client sera utilisé ;

- l’utilisation du proxy par l’applet OmniVista 4760 doit être désactivée.

Sur le PC client :

- Ouvrir le Panneau de configuration (sous XP, préciser l'affichage classique).

- Sélectionner l’icône Java Plug-in et, sous l’onglet Proxies, décocher l'option Utiliser les paramètres du navigateur.

3.4.4 Renforcement de la sécurité avec SynAttackProtect

Windows inclut une protection contre les saturations de requêtes SYN lorsqu’une attaque est détectée. Cette protection est paramétrable à l’aide de la valeur SynAttackProtect situé sous la

(26)

clef de registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters.

Par défaut, sous Windows 2003 SP1, cette protection est activée (SynAttackProtect=1) . Il est possible de renforcer le niveau de sécurité en passant cette valeur à 2 ; cependant, il est recommandé de conserver la valeur par défaut pour une meilleure stabilité du système.

3.4.5 Renforcement de la sécurité avec DEP

La prévention de l’exécution des données ou DEP (Data Execution Prevention) vise à empêcher l’exécution de code injecté dans une zone mémoire (stack ou heap). Cette technologie est basée sur les récentes évolutions des processeurs Intel et AMD ; elle peut cependant fournir un certain niveau de protection sur les processeurs plus anciens. Cette technologie est activée par défaut sur Windows 2003 SP2 et Windows XP SP3.

DEP arrête les applications qui tentent d’exécuter du code localisé dans une page mémoire.

L'OmniVista 4760 fonctionne lorsque la technologie DEP est activée. Si un composant intégré ou utilisé par le serveur OmniVista 4760 est bloqué par le système DEP, contacter le support technique d'Alcatel-Lucent.

3.5 Compatibilité avec les applications externes

3.5.1 Étude de compatibilité

Alcatel-Lucent ne prend pas en charge l'exécution d'applications externes installées sur le système hébergeant l'OmniVista 4760.

- Avant de déployer un serveur OmniVista 4760 et d’autres applications sur un même PC ou serveur, il est fortement recommandé d’effectuer une étude de compatibilité pour vérifier, en particulier :

- le serveur OmniVista 4760 et les services utilisés par les applications externes ; - la compatibilité en termes de performances ;

- la compatibilité en termes d’utilisation de l’espace disque ; - la compatibilité des fichiers dll ;

- la compatibilité de la version active de Java Run Time pour les applications Java ; - la compatibilité des ports et des services IP utilisés.

En cas d’incompatibilité de l'OmniVista 4760 avec une application externe, appeler l'assistance téléphonique. Les remarques d’incompatibilité émises, seront prises en compte pour renseigner ce document, et étudier une possibilité de contournement ou de compatibilité dans une version future.

Pour une question particulière sur la compatibilité, contactez les services professionnels d'Alcatel-Lucent à l'adresseprofessional.services@alcatel-lucent.fr.

- Recommandations :

Il est recommandé d’installer l’application du serveur OmniVista 4760 après toute autre application.

En cas de désinstallation d’une application, il ne faut surtout pas confirmer la suppression des fichiers dll, car ceux-ci sont peut-être nécessaires au serveur OmniVista 4760.

(27)

3.5.2 Compatibilité en termes de performances

Les applications externes qui cohabitent avec le serveur OmniVista 4760 : - ne doivent pas être du type application serveur (serveur de messagerie) ; - ne doivent pas être installées en tant que service.

- Une fois lancées, s'assurer que les applications externes n’utiliseront pas toute la mémoire virtuelle du système et qu’une fois fermées, elles libèreront bien la mémoire utilisée.

3.5.3 Fichiers dll

Les fichiers dll utilisés par le serveur OmniVista 4760 ne doivent pas être mis à jour, ni être remplacés par des versions différentes.

Incompatibilités connues :

- JTC1012.dllfourni sur un serveur DELL.

- Fichier dll incompatible avec la version du système d'exploitation. L’application Windows Office Edition pour Windows XP installée sur un PC Windows NT remplace les dll système par des dll spécifiques à Windows XP. Dans ce cas, l’installation du JRE peut échouer.

- Erreur grave lors de l’installation duJRE 1.3.1_08: RPC Stub Error 0x80070725.

Le site http ://java.com/fr/download/help/rpcstub.jsp propose d’utiliser l’outil Mcrepair de Microsoft pour restaurer les dll compatibles avec le système d’exploitation Windows.

3.5.4 Java Run Time

Tout d'abord, désactiver la mise à jour automatique Java Run time. Dans le Panneau de configuration avec affichage classique, cliquer sur l'icône JRE et désactiver l'option de mise à jour.

Si d’autres applications java sont utilisées sur ce PC :

- Elles ne doivent pas rendre inutilisable la variable d’environnementClasspath. En effet, si celle-ci devient trop longue, l’installation échoue. Pour vérifier si cette variable est déjà initialisée, entrerC :\classpathdans une fenêtre DOS.

- Surveiller la version active de Java Run Time (JRE).

Exemple de problème connu :

Jusqu'à la version OmniVista 4760 R2.1, l'application recherchait l'application JRE active livrée avec cette version v. C’est pourquoi la version OmniVista 4760 R2.1 ne fonctionne pas si l'application JRE 1.4 est présente.

Pour vérifier la version par défaut (celle présente dans le répertoireWinNT\System32), entrer la commandec:\java –versiondans une fenêtre DOS.

À partir de la version OmniVista 4760 R3.0, l’application OmniVista 4760 ne prend plus le JRE par défaut, mais recherche le JRE compatible dans la base de registres et renseigne le chemin d'accès du JRE :

- directement dans la base de données LDAP pour les services et tâches planifiés ; - dans le batch de lancement du client OmniVista 4760 :RunNMC.bat..

(28)

3.5.5 Ports et Services IP

- Ports :

L’application externe ne doit pas utiliser l'un des ports IP dédiés au serveur OmniVista 4760. Reportez-vous à module Sécurité - Deploying the OmniVista 4760 in a Secure Network Configuration pour connaître la liste des ports IP utilisés par l'application OmniVista 4760.

Avant l’installation du serveur OmniVista 4760, vérifier la disponibilité des ports 80 (http WEB), 389 (LDAP) et 636 (LDAPS) :

• Dans une fenêtre DOS, entrer la commandec :\netstat –n

• Si l’adresse locale propose le port 80, 389 ou 636 en écoute/connecté (listening/established), cela signifie que le port est utilisé. Il faudra alors, lors de l’installation du serveur OmniVista 4760, choisir un port http, LDAP ou LDAPS différent des ports déjà utilisés.

- Services :

Le serveur OmniVista 4760 ne doit pas être installé si le service SNMP est démarré.

Arrêtez le service SNMP avant la phase d'installation.

Le serveur OmniVista 4760 possède un serveur LDAP. N'installez pas un autre serveur LDAP sur le même port (389 par défaut).

Le serveur OmniVista 4760 héberge les fonctions de serveur WEB (Apache). Ne conservez pas ou n'installez pas un autre serveur WEB sur le même port (80 par défaut).

Le système Windows 2000 Server est livré en standard avec un serveur Web prêt à l'emploi. Par conséquent, avant d’installer l’application OmniVista 4760, sélectionner :

• Ajout ou suppression de programmes

• Ajouter ou supprimer des composant Windows

• Désinstaller le composantInternet Information Server(I.I.S.)

Windows 2000 / 2003 Server installé en tant que contrôleur de domaine comporte un serveur LDAP : Active Directory. Sur ce type de serveur, il n’est pas autorisé d’installer le serveur OmniVista 4760.

L’installation du serveur OmniVista 4760 peut échouer avec le message « Sun.log : port déjà utilisé ». Dans ce cas, reprendre l’installation et entrer LDAP port=

390.

3.5.6 Compatibilité avec les outils de sauvegarde PC

L’application du serveur OmniVista 4760 est toujours en état actif. Par conséquent, l’utilisation d’un outil de sauvegarde de disques pour sauvegarder l’intégralité du disque peut échouer. En revanche, ce type d’outil peut être utilisé pour récupérer les sauvegardes effectuées par le serveur OmniVista 4760.

L’application de sauvegarde de PC à distance, OpenSave, n’est pas compatible avec l’applicationSun One Directory Server(utilisée par le serveur OmniVista 4760).

3.5.7 Compatibilité avec les outils de connexion à distance

3.5.7.1 Outil VPN

(29)

Certains clients VPN utilisent des outils tels que le service SafeNet dans le programme NetScreenRemote. Ce programme empêche l’installation d’un serveur Sun One Directory Server et donc du serveur OmniVista 4760.

3.5.7.2 Terminal server, connexion de bureaux distants

Les services Terminal Server, ou services de connexion de bureaux distants, (outil Microsoft) permettent de créer une session Windows sur un serveur ou un PC distant en ne ramenant sur son propre PC que l’interface clavier-souris-affichage écran. La session Windows ne s'affiche pas sur l'ordinateur distant.

Ces programmes peuvent être utilisés à des fins de maintenance, cependant : - Ils ne sont pas compatibles avec l’accès à la base de données Sybase.

- Ils centralisent les ressources nécessaires au client sur la même machine serveur.

L’installation du serveur OmniVista 4760 via les services Terminal Server, ou la connexion de bureaux distants échoue.

*LOG* ERROR: C:\PROGRA~1\Sybase\SQL Anywhere 9\win32\dbisqlc.exe Failed!

For details, see log file dbisqlc.log

*LOG* AskYesNo question : Error occurred! Souhaitez-vous tout de même continuer ?

Ne pas dépasser 1 client terminal serveur ou Connexion bureau à distance.

3.5.7.3 PC Anywhere, IRC de Peregrine , NetOP de DanWare

- Ces programmes permettent de prendre le contrôle d’une session Windows en cours sur un serveur ou un PC distant. Sur le PC local et la machine distante, la même session Windows est visualisée. Ces programmes doivent prendre en charge la présentation java.

- Incompatibilités connues :

Avec PC Anywhere, l’affichage java peut être mal interprété, il peut être nécessaire de rafraîchir l’écran pour chaque clic de souris.

Avec PC Anywhere version 10.5 et supérieure, lorsque le service PCAnywhere-Host est lancé, le client OmniVista 4760 ne démarre plus. Le problème est résolu à partir de la version 11.0 de PC Anywhere.

3.5.8 Compatibilités avec d'autres applications Alcatel—Lucent

3.5.8.1 Alcatel 47xx

Les applications Alcatel 4715, 4730 et 4740 ne sont pas compatibles avec l’application du serveur OmniVista 4760.

3.5.8.2 OmniVista 4760i (e-config)

La version du Run Time Java, JRE, peut être incompatible. Si les applications client OmniVista 4760 et client OmniVista 4760-i doivent cohabiter, installer les clients en tant qu’applications et non en tant qu'applets Web.

(30)

Incompatibilité connue :

La version OmniVista 4760-i pour OmniPCX Enterprise R5.1.2 utilise le JRE 1.3.1_08.

Lorsque le JRE 1.4 est présent, l’application se lance, mais l’utilisation des listes déroulantes ne fonctionne pas.

Pour résoudre ce problème :

Modifier les fichiers .bat présents dans le répertoire 4760i\lib\ext et remplacer javaw.exepar son chemin d’accès au format DOS :

C:\progra~1\javasoft\JRE138DB~1.1_0\bin\javaw.exe ()

3.5.8.3 Consoles Alcatel–Lucent 4059 et 4980

Les tests n’ont pas été effectués. Cependant, les besoins des 2 applications sont très différents. Il n’est toutefois pas recommandé de faire cohabiter une application client temps réel et serveur de base de données.

3.5.8.4 CCD, CCS, CCAgent

Le centre d'appels possède ses propres critères de compatibilité. La version java, en particulier, peut être différente entre le client/serveur OmniVista 4760 et CCA.

Dans leur fonctionnement actuel, les applications CCx sont incompatibles. Pour certains projets, une étude de compatibilité peut être faite auprès de nos services professionnels, sous

réserve de certaines conditions d'utilisation, à l'adresse

professional.services@alcatel-lucent.fr.

3.6 Gestion de comptes Windows utilisés par le serveur OmniVista 4760

3.6.1 Compte pour installation

3.6.1.1 Installation/désinstallation du serveur OmniVista 4760

Le serveur OmniVista 4760 doit être installé et désinstallé à l'aide d'un compte d'administrateur local Windows.

3.6.1.2 Installation d’un client OmniVista 4760 distant

Le client OmniVista 4760 doit être installé et désinstallé à l'aide d'un compte d'administrateur local Windows.

3.6.2 Compte à utiliser pour le lancement d’un client OmniVista 4760

L’ouverture d’un client OmniVista 4760 distant doit s’effectuer à partir d’un compte Windows bénéficiant de droits d’écriture dans le répertoireClient4760\Lib\ext.

3.6.3 Opérations de maintenance avec ressources réseau

Le serveur OmniVista 4760 peut utiliser des ressources réseau pour les opérations de maintenance :

(31)

- Sauvegarde/restauration des données OmniVista 4760 - Sauvegarde/ restauration des PCXs

- Mise à jour logiciel PCX

- Copie temporaire des données (au cours des opérations de défragmentation de bases de données, par exemple).

Il est notamment recommandé d’effectuer les sauvegardes des données OmniVista 4760 sur un disque réseau pour disposer d’une sauvegarde en cas d'arrêt du PC hébergeant le serveur OmniVista 4760.

Procédure :

Ce mode de sauvegarde requiert l’utilisation de comptes Windows :

- Un compte bénéficiant de droits d'« administrateur local » pour le service NMC SaveRestore, valide sur le serveur OmniVista 4760 et ayant le droit de placer des fichiers sur la machine distante.

- Un compte pour le service NMC Executables Launcher, valide sur le serveur OmniVista 4760, avec accès aux répertoires de la machine distante utilisés pour les opérations de maintenance.

Attention :

Veiller à ne pas utiliser pour la sauvegarde sur machine distante, un répertoire susceptible de contenir d’autres données de sauvegarde. Ces données risqueraient d’être détruites par le pro- cessus de purge automatique des sauvegardes qui supprime les fichiers antérieurs à une date donnée.

3.6.3.1 Création de comptes et attribution des droits

- Création d’un compte disposant de droits d'administrateur local sur l'ordinateur serveur (pour le serviceNMC SaveRestore) :

• Ouvrir l’outil de gestion de l'ordinateur (Panneau de configuration/Outil d’administration).

• Dans la rubrique « Utilisateurs et groupes locaux », sélectionner le répertoire « Utilisateurs » et créer un nouvel utilisateur :

• Nom :ADM4760(par exemple)

• Mot de passe

• L’utilisateur ne peut pas changer de mot de passe

• Le mot de passe n’expire jamais.

• Modifiez les propriétés de l'utilisateurADM4760: ajoutez-le dans la liste des membres du groupe « Administrateurs » et retirez-le de la liste des membres du groupe

«Utilisateurs».

- Création d’un compte local sur l'ordinateur serveur OmniVista 4760 (pour le service NMC Executables Launcher) :

• Dans la rubrique « Utilisateurs et groupes locaux », sélectionner le répertoire «Utilisateurs» et créer un nouvel utilisateur :

• Nom :UTIL4760(par exemple)

• Mot de passe

(32)

• L’utilisateur ne peut pas changer de mot de passe Le mot de passe n’expire jamais.

• Modifiez les propriétés de l'utilisateur UTIL4760 : retirez-le de la liste des membres du groupe «Utilisateurs».

- Attribution des droits d'utilisateur

• Ouvrir l’outil Stratégie de sécurité locale (Panneau de Configuration/Outil d’administration).

• Dans la rubrique « Stratégies locales », sélectionner « Attribution des droits utilisateur».

• Ajouter les droits suivants aux utilisateurs créés précédemment (ADM4760 et UTIL4760) :

• "Accéder à cet ordinateur depuis le réseau"

• "Ouvrir une session en tant que service»

• "Interdire l'ouverture d'une session locale»

3.6.3.2 Configuration des services OmniVista 4760 pour l'utilisation des ressources réseau

3.6.3.2.1 Procédure avec utilisation de comptes locaux

C’est la procédure recommandée pour sécuriser au mieux l’accès des ressources réseau.

Cette procédure peut être appliquée quel que soit le domaine Windows ou le groupe de travail du serveur OmniVista 4760 et de la machine distante. Pour des raisons de sécurité, il est cependant recommandé d’utiliser une machine distante située dans le même domaine ou groupe de travail que le serveur OmniVista 4760.

On suppose que deux comptes (ADM4760 et UTIL4760) ont été créés sur le serveur OmniVista 4760 (en suivant la procédure de création et d’attribution des droits de la section Création de comptes et attribution des droits).

1. Créer les deux comptes (ADM4760etUTIL4760) sur la machine distante :

• Dans la rubrique « Utilisateurs et groupes locaux », sélectionner le répertoire «Utilisateurs» et créer un nouvel utilisateur :

• Nom :ADM4760

• Mot de passe : identique à celui saisi pour l’utilisateur ADM4760 sur le serveur OmniVista 4760.

• L’utilisateur ne peut pas changer de mot de passe

• Le mot de passe n’expire jamais.

• Modifiez les propriétés de l'utilisateurADM4760: retirez-le de la liste des membres du groupe «Utilisateurs».

• Refaire la même opération pour l’utilisateurUTIL4760.

2. Partager un répertoire sur la machine distante pour les utilisateurs ADM4760 et UTIL4760:

• Sur la machine distante, sélectionner le répertoire à partager et le partager.

• Au besoin, modifier le nom de partage.

• Modifier les propriétés de partage et de sécurité.

(33)

• Nombre d’utilisateurs autorisés : # 3

• Dans la rubrique «Autorisations», sélectionner retirer «tout le monde» et ajouter les utilisateursADM4760etUTIL760avec des droits Contrôle total.

• Dans la rubrique « Mise en cache », sélectionner l'option stipulant de ne pas autoriser la mise en cache des fichiers de ce dossier partagé.

• Sélectionnez l'onglet Sécurité, puis ajoutez les utilisateurs ADM4760 et UTIL4760. Vérifiez les droits suivants : «Modification », « Affichage du contenu du dossier », «Lecture», «Écriture».

3. Sur le PC serveur, lancer une session Windows en tant queADM4760.

4. Accorder au service NMC SaveRestore le droit d’utiliser l’utilisateur ADM4760. Pour ce faire :

• lancer l’application Annuaire, puis cliquer sur l’onglet Système,

• Au niveau de l’arborescence, accéder au répertoire

NMC/Nom_du_serveur/servers/Nom_du_serveur/SaveRestore.

• Cliquer sur l’ongletCompte NTdans le volet de droite.

• Renseigner les attributs :

• « Utilisateur » = .\ADM4760

• Mot de passe : mot de passe associé à l'utilisateurADM7460.

5. Accorder au service NMC Executables Launcher le droit d’utiliser l’utilisateur UTIL4760. Pour ce faire :

NMC/Nom_du_serveur/servers/Nom_du_serveur/Execdex.

• « Utilisateur » = .\UTIL4760

• Mot de passe : mot de passe associé à l'utilisateurUTIL4760

6. Lorsque le moduleMaintenanceest lancé, il est alors possible de sélectionner un disque réseau pour la sauvegarde.

3.6.3.2.2 Procédure valide dans un domaine

Cette procédure pourra être appliquée lorsque le client souhaite utiliser des comptes réseau pour les accès réseau du serveur OmniVista 4760.

Cette solution présente des failles de sécurité : les comptes réseau (nom d’utilisateur et mot de passe) peuvent être interceptés puis utilisés sur l’ensemble des machines du réseau. Pour les besoins de cette procédure, nous supposerons que les machines sont installées dans le même domaineDOMMACHINEet que les utilisateurs sont reconnus dans le domaineDOMUSER.

1. Partager un répertoire sur la machine distante pour les utilisateurs DOMUSERADM4760 et DOMUSERUTIL4760:

• Modifier les propriétés de partage et de sécurité :

(34)

• Dans la rubrique «Autorisations», sélectionner retirer «tout le monde» et ajouter les utilisateurs DOMUSERADM4760 et DOMUSERUTIL4760 avec les droits Contrôle total.

• Sélectionnez l'onglet Sécurité, puis ajoutez les utilisateurs DOMUSER\ADM4760 et DOMUSER\UTIL4760. Vérifiez les droits suivants : « Modification »,

« Affichage du contenu du dossier », « Lecture », « Écriture».

2. Sur le PC serveur, lancer une session Windows en tant queDOMUSER\ ADM4760.

3. Accorder au service NMC SaveRestore le droit d’utiliser l’utilisateur ADM4760. Pour ce faire :

• Lancer l’application Annuaire, puis cliquer sur l’ongletSystème.

• « Utilisateur » = DOMUSER\ADM4760

• Mot de passe : mot de passe associé à l'utilisateurADM4760

• Cliquer sur l’onglet Compte NT dans le volet de droite

• « Utilisateur » = DOMUSER\UTIL4760

• Mot de passe : mot de passe associé à l'utilisateurUTIL4760

3.6.3.2.3 Procédure valide dans un groupe de travail

Pour les besoins de cette procédure, nous supposerons que les machines sont installées dans le même groupe de travail,WORKGROUP1, et que le PC serveur porte le nomPCSERVEUR.

Sur la machine distante, créer les mêmes comptes ADM4760etUTIL4760 avec les mêmes mots de passe.

1. Partager un répertoire sur la machine distante pour les utilisateurs ADM4760 et UTIL4760:

• Modifier les propriétés de partage et de sécurité :

(35)

• Dans la rubrique «Autorisations», sélectionner retirer «tout le monde» et ajouter les utilisateursADM4760etUTIL4760avec les droits Contrôle total.

• Sélectionnez l'onglet Sécurité, puis ajoutez les utilisateurs ADM4760 et UTIL4760. Vérifiez les droits suivants : « Modification », « Affichage du contenu du dossier », « Lecture », « Écriture».

2. Sur le PC serveur, lancer une session Windows en tant queADM4760.

3. Accorder au serviceNMC SaveRestorele droit d’utiliser cet utilisateur. Pour ce faire :

• « Utilisateur » = PCSERVEUR \ADM4760

• Mot de passe : votre mot de passe

• « Utilisateur » = PCSERVEUR\UTIL4760

• Mot de passe : votre mot de passe

3.6.4 Planification de l’exportation ou de l’impression de rapports

Le serveur OmniVista 4760 peut utiliser des ressources réseau pour l'exportation et l'impression de rapports planifiées. Ces opérations requièrent l’utilisation d’un compte Windows :

Un compte pour le service NMC Executables Launcher, valide sur le serveur OmniVista 4760, avec accès aux répertoires de la machine distante utilisés pour les opérations d'exportation.

Procédure

1. Lancer une session Windows en tant qu'administrateur local du PC serveur

2. Création d’un compte local sur l'ordinateur serveur OmniVista 4760 pour le service NMC Executables Launcher:

VoirCréation de comptes et attribution des droits

3. Déclaration d’une imprimante pour le compteUTIL4760:

• Fermer la session administrateur et ouvrir une session avec le compte créé précédemment (UTIL4760).

• Dans le menu «Démarrer», sélectionner «Imprimantes et télécopieurs»