L'iPasserelle est basée sur la distribution GNU/Linux SME Server, enrichie par différentes contributions. Cette distribution Linux est dérivée de la distribution Centos 5, elle même dérivée de Red Hat Entreprise Linux 5.
De base, votre iPasserelle intègre les services suivants:
La plupart de ces fonctions sont accessibles au travers d'un portail web: https://auth.<fc #FF0000>[DOMAIN]</fc>/
La page https://auth.[DOMAIN]/ vous permet d'accéder rapidement aux différentes applications installées sur votre iPasserelle. Tous les modules détaillés par la suite sont accessibles soit par le portail d'authentification, soit par le menu Paramètres Utilisateurs
Les menus présent sur cette page dépendent
Le portail d'authentification est basé sur les composants suivants:
L'application SOGo vous permet de:
Le server-manager 1) dispose d'un menu nommé Collecticiel vous permettant de configurer certains aspect de SOGo. Vous y trouverez notamment les options suivantes:
L'interface web User-Manager 2) permet aux utilisateurs de modifier les paramètres de remise de leur courriers électroniques. Les utilisateurs peuvent ainsi décider de renvoyer leurs mails vers un collaborateur, ou encore activer un message d'absence.
Sur cette même interface, les administrateurs disposent de plusieurs menus supplémentaires:
Ce menu permet de gérer les comptes utilisateurs de votre iPasserelle, vous pouvez créer, modifier, supprimer des comptes, mais également ré-initialiser les mots de passe, ou encore verrouiller certains utilisateurs
Lorsqu'un utilisateur est créé, 3 adresses mails sont automatiquement créées:
Ces 3 adresses mails sont équivalentes (les deux dernières étant des pseudonymes de la première)
Ce menu permet le réglages d'informations supplémentaires pour chaque utilisateur. Ces informations seront publiées dans l’annuaire LDAP de votre serveur.
Ce menu permet de gérer les groupes d'utilisateurs de votre iPasserelle. Les groupes seront utilisés pour définir les droits d'accès (par exemple pour les partages de fichiers)
Lors de la création d'un groupe d'utilisateur, une adresses mails du type nom_du_groupe@<fc #FF0000>[DOMAIN]</fc> est automatiquement créée. L'envoi d'un mail à cette adresse remettra une copie du mail à chaque membre du groupe.
Ce menu permet de visualiser l'espace disque occupé par les différent utilisateur, et éventuellement, d'appliquer une limite. Les volumes indiqués prennent en compte:
Ce menu permet de créer des alias de mails. Il est ainsi possible de créer un pseudonyme contact, pointant vers un utilisateur ou un groupe particulier. Les pseudonymes peuvent ensuite être modifiés, ou limités uniquement au réseau local.
Ce menu permet de créer des répertoires accessibles selon différentes méthodes:
La page de création (ou modification) d'un dossier est composé de quatre sections différentes:
Ce menu permet aux administrateurs de définir un message d'absence pour tout les autres utilisateurs. Il suffit ici de définir un message dans la zone de texte, et de sélectionner oui pour l'activer. Les variables $SUBJECT sera remplacée par le sujet du message. Il est recommandé de ne pas modifier la structure du message (les <br>), et de ne modifier que les parties textes.
Ce menu permet de relever les mails d'une boite externe (@wanadoo.fr par exemple), et de les injecter dans la boite mail principal des utilisateurs. Ainsi, l'iPasserelle permet de centraliser plusieurs boites en une seule (où tout sera sauvegardé régulièrement). La première chose à faire est d'activer le module, en cliquant sur le bouton Activer la récupération de messages (comme indiqué sur la capture d'écran).
Pour configurer la récupération de messages pour un utilisateur, il suffit de cliquer sur le lien créer correspondant à l'utilisateur (ce lien devient Modifier pour les utilisateurs ayant déjà au moins une boite mails récupérées). Sur cette première page, le paramètre le plus important est le mode de récupération. L'iPasserelle peut être configurée pour:
Les autres paramètres de cette page sont principalement pour des modes de fonctionnement avancé, et peuvent donc être laissés par défaut. Il faut maintenant cliquer sur Suivant
La page suivante permet de configurer la relève. Il suffit d'entrer:
Puis il faut cliquer sur Valider ce compte. Il est possible d'ajouter plusieurs comptes différents par utilisateur. Une fois tout les comptes configurés, il suffit de cliquer sur le bouton Valider les changements ! en bas à droite de la page.
Par défaut, l'iPasserelle relèvera les mails toutes les 15 minutes.
Ce menu permet de configurer des renvois de ports, ou de plage de port (UDP ou TCP) vers une machine du réseau local. Lors de l'ajout d'une règle, voici les paramètres disponibles:
QoS signifie Quality Of Service. Ce module permet de régler la priorité des flux sortants de votre iPasserelle. Bien régler la QoS est une étape importante pour fluidifier les connexions, éviter qu'un utilisateur ralentisse tout le réseau en téléchargeant massivement, et surtout, donner la plus haute priorité aux flux temps réels comme la VoIP.
En règle générale, seules les valeurs Uplink et Downlink (respectivement bande passante montante et bande passante descendante) doivent être configurées. Pour le reste, l'iPasserelle ajustera au mieux les différents flux. Les valeurs de Uplink et Downlink sont en kilo bits par seconde (et non pas en kilo octets). Pour un fonctionnement optimal, il faut mesurer les valeurs maximales de votre connexion Internet, et réduire légèrement ces valeurs (entre 80 et 90% des valeurs mesurées).
Ce menu permet de configurer des noms DNS pour votre réseau local. Il permet également de réserver des adresses IP fixes pour certaines machines en fonction de l'adresse MAC.
BackupPC est un logiciel de sauvegarde réseau. Ce dernier peut sauvegarder n'importe quelle machine du réseau, ou éventuellement des machines distantes selon plusieurs méthodes (smb, tar+ssh, rsync+ssh, rsyncd). Par défaut ce service sauvegarde de manière quotidienne votre iPasserelle (configuration, données, répertoires personnels utilisateurs, dossiers partagés, mails, bases de données etc…).
La configuration par défaut effectue une sauvegarde complète par mois, et une sauvegarde incrémentielle par jour. Les sauvegardes incrémentielles permettent d'économiser des ressources en ne sauvegardant que les fichiers modifiés ou ajoutés depuis la dernière sauvegarde complète. Les sauvegarde quotidiennes sont conservées sur une période d'un mois (les 30 dernières sauvegardes incrémentielles), alors que les sauvegardes complètes sont conservées sur une période d'un an (les 12 dernières sauvegardes complètes). Cette configuration pourra être ajustée en fonction de l'espace disponible et des besoins.
Le schéma de stockage de BackupPC permet d'économiser beaucoup d'espace disque en mutualisant (par des hardlinks) les fichiers identiques à travers les différents hôtes et les différents jeux de sauvegardes. De plus, les fichiers sont compressés avant le stockage. Ce fonctionnement permet en général d'atteindre des taux d'utilisation de 10:1 (1To de données sauvegardées n'occupe que 100Go réel sur l'espace de stockage).
Il est également possible (et conseillé) de configurer une exportation de ces sauvegardes hors site. Plusieurs méthodes sont disponibles, la plus simple étant une rotation de disques dur externes (USB ou eSATA)
L'interface d'administration de BackupPC est https://sas.[DOMAIN]/BackupPC
L'interface de BackupPC permet de gérer entièrement les sauvegardes, de la configuration:
à l'exploration des sauvegardes, et la restauration:
Cette interface permet également de vérifier l'état globale des sauvegardes:
Un des atouts majeur de ce logiciel est ça capacité à pouvoir explorer et restaurer les différentes versions des fichiers sauvegardés. En effet, à chaque nouvelle sauvegarde, si un fichier à été modifié, une nouvelle copie sera faite, sans écraser la/les versions précédentes. Un mode d'exploration spécial permet de visualiser rapidement le nombre de versions disponibles, les dates de créations, suppressions, modifications des fichiers etc…
La documentation complète est disponible sur le site officiel du projet: http://backuppc.sourceforge.net/
Ce module est basé sur les composants suivants: BackupPC
Ce menu permet de configurer le serveur OpenVPN.
OpenVPN est un serveur de connexion distantes sécurisées (VPN). Ce serveur permet de se connecter au réseau interne depuis l'extérieur, en créant un tunnel chiffré et authentifié.
OpenVPN utilise la couche SSL/TLS pour le chiffrement et l'authentification. Cette technique lui apporte des avantages par rapport à d'autres solutions comme Ipsec ou PPTP, par exemple, OpenVPN fonctionne très bien à travers une communication NATé, car il n'utilise qu'un seul port (UDP 1194 par défaut).
La configuration par défaut assure une sécurité maximale:
Le serveur VPN est pré-configuré, vous pouvez cependant modifier certains paramètres si vous le désirez
La page d'accueil vous permet d'accéder aux différents menus de configuration
Voici les champs à saisir lors de la création d'une règle de configuration:
Le site officiel du projet: http://openvpn.net/
Pour qu'un poste puisse se connecter à distance au réseau de l'entreprise, il faut tout d'abord créer un certificat. Pour cela, vous pouvez utiliser l'interface de gestion des certificats disponible dans le server-manager:
Sur cette page, cliquez sur le bouton Create a New Certificate
Dans le formulaire suivant, vous devrait remplir les champs suivants:
Après avoir valider, vous obtiendrez une page de confirmation. Vous n'avez qu'à valider une nouvelle fois pour que le certificat soit généré. Après la génération du certificat, vous reviendrez sur le formulaire de création (utile si vous devez créer plusieurs certificats d'un coup)
Vous devez maintenant télécharger le certificat nouvellement créé. Pour cela, cliquez à nouveau sur le menu Gestion des certificats dans le server-manager, puis allez sur le menu Manage Certificates
Cliquer sur le lien de téléchargement pour aller vers le formulaire de téléchargement (le lien de téléchargement est entouré en rouge sur la capture d'écran ci-dessus)
Dans le menu déroulant de cette page, sélectionnez le format PKCS#12 Bundle puis cliquez sur Download
Vous devez également télécharger la clef partagée, qui est accessible sur la page d'accueil du gestionnaire de certificats, en cliquant sur l'option Download the static pre-shared key
Client sous Microsoft Windows
Maintenant que vous avez les fichiers d'authentification, il ne reste plus qu'à préparer le fichier de configuration. Créez un fichier nommé config.ovpn, et coller l'exemple de fichier de configuration disponible dans le menu de configuration du serveur VPN
Dans ce fichier de configuration, modifiez simplement le nom du certificat (dans l'exemple, le certificat se nomme user.p12, remplacez simplement user par le nom du fichier .p12 que vous avez téléchargez tout à l'heure.
Maintenant, il faut installer le client OpenVPN. Ce client est accessible en téléchargement sur le site officiel: http://openvpn.net/index.php/open-source/downloads.html
L'installation doit être faite en tant qu'administrateur.
L'installation crée un dossier C:\Pogram Files\OpenVPN\config dans lequel vous devrait placer:
Une fois ces 3 fichiers placés dans le répertoire, vous pouvez lancer le client OpenVPN et initier la connexion.
Linux (avec Network-Manager)
Le logiciel de gestion des connexions réseaux par défaut sous linux s'appel NetworkManager. Il supporte plusieurs technologies de VPN, dont OpenVPN.
La première étape est de vérifier si le support d'OpenVPN est déjà présent, sinon, il faut l'installer. Sous debian et ses dérivés (comme ubuntu), le paquet s'appelle network-manager-openvpn-gnome ou network-manager-openvpn-kde (selon votre environnement de bureau). S'il n'est pas déjà installé, c'est le moment de le faire:
sudo apt-get install network-manager-openvpn-gnome
Pour les distribution Fedora et dérivées (RHEL, CentOS, Scientific Linux, ClearOS):
su -c 'yum install NetworkManager-openvpn'
Il faut créer un répertoire qui contiendra les certificats. Par exemple, le répertoire ~/vpn. On peut ensuite créer un sous répertoire par VPN configuré (il est possible d'avoir plusieurs connexions VPN):
Il faut maintenant récupérer les certificats au format PEM (PCKS12 est aussi supporté avec une version récente de NetworkManager, mais seulement si le certificat est protégé par un mot de passe)
Il vous faudra récupérer:
On peut afficher ce certificat depuis le lien “Display the root certificate (PEM encoded)” dans PHPki (Gestion des certificats). Il suffit ensuite de copier le contenu dans un fichier texte que l'on sauvegarde en tant que cacert.pem
Après avoir généré un certificat pour notre machine (de type “VPN Client Only” de préférence), on peut le télécharger depuis le lien de téléchargement correspondant, puis dans le menu déroulant, choisir “PEM certificate”
Une fois que tout ces fichiers sont placés dans le répertoire créé plus haut (~/vpn/bureau), on peut commencer la configuration de NetworkManager
Cliquer sur l'icône de NetworkManager, puis, sous menu VPN, et Configurer le VPN.
Dans le fenêtre ouverte, choisir “ajouter”
Dans le menu déroulant, sélectionner OpenVPN
Dans le nouvelle fenêtre, il faut entrer les paramètres de base:
Ensuite, cliquer sur le bouton “Avancé…” Dans l'onglet Général, cocher les cases “Utilisez la compression de données LZO” ainsi que “Utiliser un périphérique TAP”
Ensuite, sur l'onglet “Authentification TLS”, cocher la case utiliser une authentification TLS supplémentaire“, sélectionner le fichier takey.pem récupéré précédemment, et choisir 1 comme direction.
Il ne reste plus qu'à sauvegarder, et se connecter.
Ce menu vous permet de configurer le service de messagerie instantanée de votre iPasserelle.
Firewall-Services conseil l'utilisation du client gajim (http://gajim.org) sur les postes. Il possède de nombreux avantages:
Le module de messagerie instantanée est basé sur les composant suivants:
Ce module permet d'inventorier tout un parc de machine, et de remonter les information sur votre iPasserelle. Les inventaires de chaque machine contiendront:
Ce module permet également de déployer des logiciels sur tout le parc de machines.
La documentation complète est disponible sur le site du projet OCS Inventory
Ce module est basé sur les composants suivants:
Ce module vous permet de gérer tout votre parc (matériel, garanties, licences, stocks, les incidents etc…) Couplé au module d'inventaire, la majorité des éléments pourront être importés automatiquement.
La documentation complète est disponible sur le site du projet GLPI
Ce module est basé sur les composants suivants:
Ce module vous permet d'analyser tout le trafic réseau traversant l'iPasserelle. Vous pourrez classer les flux par protocole, source, destination, volumes de données etc…
La documentation est accessible sur le site officiel du projet Ntop
Ce module est basé sur les composants suivants:
Ce module transforme votre iPasserelle en un véritable commutateur téléphonique privé.
Il offre toutes les fonctions que l'on attends d'un PBX moderne, et bien plus encore…. L'interfaceIl permet de mettre en place rapidement et simplement un « dialplan » complet, attribuer plusieurs téléphones à une personne, configurer un répondeur, créer un groupe d'appel ou une file d'attente, ou bien encore un IVR.
La page d'accueil donne un aperçus rapide de l'état du système:
Voici une liste non exhaustive des modules disponibles:
La gestion des routes sortantes basée sur des expressions régulières permet de minimiser les coûts des appels:
Votre iPasserelle dispose également une interface en flash, appelée FOP (pour Flash Operator Panel) qui permet de surveiller en temps réel l'utilisation des lignes, l'occupation des agents etc… il est également possible d'initier des communications internes, ou de transférer des appels depuis cette interface:
Le serveur peut interconnecter toutes les technologies de téléphonie, RTC, RNIS, GSM, SIP, IAX etc…
Il est possible de souscrire des abonnements pour acheminer les appels par IP (SIP ou IAX), ou encore d'ajouter des passerelles GSM pour bénéficier de coûts avantageux.
La documentation complète de l'interface de configuration est disponible sur le site officiel du projet FreePBX
Ce module est basé sur les composants suivants:
Ce module permet de transformer votre iPasserelle en un véritable serveur de fax. Il permet de recevoir et d'émettre des fax (par mail ou en utilisant une imprimante virtuelle) depuis n'importe quel poste du réseau. Il permet également d'archiver et de transmettre par email les fax reçus, en fonction du numéro sur lequel le fax est réceptionné. Intégré au module de téléphonie, il permet de recevoir les fax sur la même ligne que les appels, ou d'utiliser une ligne dédiée.
Ce module est basé sur les composants suivants:
Chaque utilisateur dispose d'une adresse de messagerie, déclinable avec plusieurs noms de domaine (si déclarés sur le serveur) et autant de pseudonymes que nécessaire. Les caractéristiques du compte pour configurer un logiciel client de messagerie sont :
Serveur IMAP: sas.[DOMAIN] Sécurité: SSL Port: 993 (imap) Nom d'utilisateur: le login de l'utilisateur Mot de passe: le mot de passe unique de l'utilisateur Serveur sortant (smtp): sas.[DOMAIN] Sécurité: SSL Port 465 Authentification: identique au serveur entrant.
Voici la liste des attributs LDAP correspondants aux informations disponibles sur cette page:
Champs d'information | Attribut LDAP | Tag signature | Remarque |
---|---|---|---|
login | uid | Attribut standard | |
Prénom | givenName | __PRENOM__ | Attribut standard |
Nom | sn | __NOM__ | Attribut standard |
Service | ou | __SERVICE__ | Attribut standard |
Société | o | __ENTREPRISE__ | Attribut standard |
Adresse | street | __ADRESSE__ | Attribut standard (pour la signature, le tag __ADRESSE__ est rempalcé par la concaténation de Adresse Code postal Ville) |
Code postal | postalCode | __ADRESSE__ | Attribut standard (pour la signature, le tag __ADRESSE__est rempalcé par la concaténation de Adresse Code postal Ville) |
Ville | l | __ADRESSE__ | Attribut standard (pour la signature, le tag __ADRESSE__ est rempalcé par la concaténation de Adresse Code postal Ville) |
Téléphone | telephoneNumber | __TEL__ | Attribut standard (pour la signature, la mention Tel: est ajouté avant le numéro de téléphone) |
Téléphone portable | mobile | __MOBILE__ | Attribut standard (pour la signature, la mention Mobile: est ajouté avant le numéro de mobile) |
Téléphone interne | extensionNumber | Cet attribut non standard permet de stocker un numéro de téléphone interne (numéro court) différent du numéro de ligne directe (utile pour un annuaire interne) | |
Fax | facsimileTelephoneNumber | __FAX__ | Attribut standard (pour la signature, la mention Fax: est ajouté avant le numéro de fax) |
Fonction (4 champs disponibles) | title | __FONCTION__, __FONCTION2__, __FONCTION3__ et __FONCTION4__ | Attribut standard multi-valué |
Adresse Email préférée | preferredMail | __EMAIL__ | Attribut non standard permettant de spécifier l'adresse mail à utiliser par défaut (l'attribut standard mail étant multi-valué et contient automatiquement tout les alias valable pour l'utilisateur). L'adresse mail spécifie ici sera également la première de la liste dans l'attribut mail (qui lui est standard) |
Shell de connexion au serveur | loginShell | Cette valeur indique quel shell sera attribué à l'utilisateur lors de la connexion à l'iPasserelle. Il est recommandé de laisser le shell /usr/bin/rssh. Il est également possible de donner un shell bash (permettant alors un accès à l'iPasserelle en ligne de commande via SSH par exemple) | |
Shell de connexion aux postes de travail | desktopLoginShell | Cet attribut non standard permet de spécifier un shell alternatif, qui pourra être utilisé sur les autres stations de votre réseau. L'utilisation typique de cet attribut est lorsque vous désirez donner un shell /usr/bin/rssh sur l'iPasserelle elle-même, mais souhaitez donner un shell /bin/bash sur une station Linux du réseau utilisant l'annuaire LDAP de votre iPasserelle comme source d'autentification |
Le DN (Distinguish Name) est un identifiant unique sur un annuaire LDAP. Pour tous les utilisateurs, le DN est de la forme suivante:
uid=login,ou=Users,dc=domain,dc=tld
La plupart des applications utilisant un annuaire LDAP comme source d'authentification peuvent appliquer des filtres pour restreindre la listes des utilisateurs valides. Voici quelques exemple de filtres que vous pouvez utiliser:
Maintenant que vous avez compris le principe, vous pouvez utiliser toutes sortes de combinaisons ;)
Il est possible de générer automatiquement une signature de mail pour chaque utilisateur, en fonction d'un modèle prédéfini.
Pour cela, il suffit de placer les modèle dans le dossier (qui est créé automatiquement) templates_signature, qui se trouve sur la partage réseau nommé tools (ce partage est masqué par défaut, on peut toutefois y accéder en tapant directement \\sas\tools (Window) ou smb://sas/tools (Linux) dans la barre de navigation
Dans ce répertoire, il faut créer 2 fichiers:
Exemple:
__PRENOM__ __NOM__ __FONCTION__ __ENTREPRISE__ __ADRESSE__ __EMAIL__ __TEL__ __MOBILE__ __FAX__ Web: http://mon-entreprise.com
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/html4/strict.dtd"> <html><head> <meta content="text/html; charset=UTF-8" http-equiv="content-type"><title>signature mail</title></head><body> <table style="text-align: left; width: 95%;" border="0" cellpadding="2" cellspacing="2"> <tbody> <tr> <td style="vertical-align: bottom; width: 240px; height: 140px; text-align: center;"><img style="width: 238px; height: 130px;" alt="logo" src="http://extranet.mon-entreprise.com/images/logo.png" align="left"><br> </td> <td style="vertical-align: bottom; font-family: Helvetica,Arial,sans-serif; color: rgb(153, 153, 153); font-weight: bold; text-align: left;"><small>__PRENOM__ __NOM__ - __FONCTION__<br> <span style="font-weight: normal;">__ADRESSE__</span><br> __EMAIL__<br> __TEL__ __MOBILE__<br> __FAX__<br> </small></td> </tr> </tbody> </table> <br> </body></html>
Les différents champs seront remplacés par leur valeurs indiqué dans le panel Informations Utilisateurs. À chaque modification d'un utilisateur, la signature sera régénérée et placée dans son répertoire personnel (un répertoire signature sera créé automatiquement)