L'iPasserelle est basée sur la distribution GNU/Linux SME Server, enrichie par différentes contributions. Cette distribution Linux est dérivée de la distribution Centos 5, elle même dérivée de Red Hat Entreprise Linux 5.

De base, votre iPasserelle intègre les services suivants:

• Gestion des comptes utilisateurs et des groupes sans limite de nombre
• Serveur web complet
  • Apache 2.2
  • PHP 5.2.10
  • MySQL 5.0
  • Perl
• Serveur FTP
  • ProFTPd
• Serveur de mails multi-protocoles (POP(s), IMAP(s), SMTP(s), Webmail)
  • qmail (MTA, POP3)
  • qpsmtpd (SMTP)
  • dovecot (IMAP)
  • spamassassin (anti-spam)
  • ClamAV (anti-virus)
  • SOGo (webmail, gestion de contacts et d'agenda)
• Protection anti-virus pour les partages réseau (ClamAV)
• Contrôleur de domaine NT et partage de fichiers
  • Samba
• Gestion de quota (limite d'espace disque par utilisateur)
• Proxy cache
  • Squid
• Serveur de sauvegarde
  • BackupPC
• Services VPN sécurisés (pour utilisateurs itinérants et interconnexion de sites)
  • OpenVPN
• Authentification centralisée des applications Web
  • LemonLDAP::NG

La plupart de ces fonctions sont accessibles au travers d'un portail web: https://auth.<fc #FF0000>[DOMAIN]</fc>/

La page https://auth.[DOMAIN]/ vous permet d'accéder rapidement aux différentes applications installées sur votre iPasserelle. Tous les modules détaillés par la suite sont accessibles soit par le portail d'authentification, soit par le menu Paramètres Utilisateurs

Les menus présent sur cette page dépendent

• Des options installées sur votre iPasserelle
• Des droits de l'utilisateur connecté

Le portail d'authentification est basé sur les composants suivants:

• LemonLDAP::NG

L'application SOGo vous permet de:

• Lire vos mails
• Gérer vos contacts
• Gérer votre agenda
• Partager vos contacts et agenda avec vos collaborateurs
• Organiser des réunions
• Etc…

Le server-manager ¹⁾ dispose d'un menu nommé Collecticiel vous permettant de configurer certains aspect de SOGo. Vous y trouverez notamment les options suivantes:

• État: permet de désactiver le service
• Notification des changements de droit d'accès: dès qu'un utilisateur donnera de nouveaux droits à ces informations (carnets d'adresse ou agenda), les utilisateurs concernés en seront informés par mail
• Rappel par mail: donne aux utilisateurs la possibilité de recevoir un mail de rappel avant leurs rendez-vous
• Comptes externes: permet aux utilisateurs de relever des boites IMAP externes depuis SOGo
• Accès publique: permet aux utilisateurs d'autoriser des accès publique (sans authentification) sur certaines ressources. <fc #FF0000>Attention</fc>, si cette option est mal utilisée, elle peut compromettre la confidentialité de certaines données
• Groupes autorisés: cette option permet de limiter l'accès à SOGo uniquement aux membres de certains groupes. Si aucun groupe n'est sélectionné, alors tout les utilisateurs du sysème y auront accès.

L'interface web User-Manager ²⁾ permet aux utilisateurs de modifier les paramètres de remise de leur courriers électroniques. Les utilisateurs peuvent ainsi décider de renvoyer leurs mails vers un collaborateur, ou encore activer un message d'absence.

Sur cette même interface, les administrateurs disposent de plusieurs menus supplémentaires:

Ce menu permet de gérer les comptes utilisateurs de votre iPasserelle, vous pouvez créer, modifier, supprimer des comptes, mais également ré-initialiser les mots de passe, ou encore verrouiller certains utilisateurs

Lorsqu'un utilisateur est créé, 3 adresses mails sont automatiquement créées:

• login@<fc #FF0000>[DOMAIN]</fc>
• prénom.nom@<fc #FF0000>[DOMAIN]</fc>
• prénom_nom@<fc #FF0000>[DOMAIN]</fc>

Ces 3 adresses mails sont équivalentes (les deux dernières étant des pseudonymes de la première)

Ce menu permet le réglages d'informations supplémentaires pour chaque utilisateur. Ces informations seront publiées dans l’annuaire LDAP de votre serveur.

Ce menu permet de gérer les groupes d'utilisateurs de votre iPasserelle. Les groupes seront utilisés pour définir les droits d'accès (par exemple pour les partages de fichiers)

Lors de la création d'un groupe d'utilisateur, une adresses mails du type nom_du_groupe@<fc #FF0000>[DOMAIN]</fc> est automatiquement créée. L'envoi d'un mail à cette adresse remettra une copie du mail à chaque membre du groupe.

Ce menu permet de visualiser l'espace disque occupé par les différent utilisateur, et éventuellement, d'appliquer une limite. Les volumes indiqués prennent en compte:

• Les mails des utilsiateurs
• Les fichiers dans les dossiers personnels
• Les fichiers dans les dossiers partagés (quand un utilisateur crée, ou copie un fichier sur l'iPasserelle, le fichier lui appartient, et le volume du ficher est comptabilisé)

Ce menu permet de créer des alias de mails. Il est ainsi possible de créer un pseudonyme contact, pointant vers un utilisateur ou un groupe particulier. Les pseudonymes peuvent ensuite être modifiés, ou limités uniquement au réseau local.

Ce menu permet de créer des répertoires accessibles selon différentes méthodes:

La page de création (ou modification) d'un dossier est composé de quatre sections différentes:

• Nom du dossier partagé: le nom du répertoire, ce nom doit être composé uniquement de lettre minuscules, de chiffres, de traits d'unions et d'underscores. Il doit commencer par une lettre minuscule
• Description: Une description qui sera affichée dans les favoris réseaux. La description peut contenir des majuscules et des espaces, mais pas de caractères accentués.

• Matrice des droits d'accès: Ce tableau permet de définir quels groupe d'utilisateurs aura accès aux données, et si cet accès doit se limiter en lecture seule, ou en lecture/écriture. Les membres des groupes non cochés n'auront aucun accès. Les utilisateurs obtiendront les permissions les plus élevées (dans l'exemple ci-dessus, si un utilisateur est membre des groupes “admins”, “equipe” et “group1”, cet utilisateur aura accès à ce dossier en lecture/écriture)

• Paramètres d'accès par le protocole SMB/CIFS: SMB/CIFS est le nom du protocole utilisé par les machines Windows (accessible par les favoris réseaux)
  • Accès SMB: ce paramètre permet de définir l'accès au dossier par le réseau Windows. Trois valeurs sont possibles:
    • Activé, visible: C'est le mode par défaut. Le dossier apparaîtra dans les favoris réseaux
    • Activé, masqué: Le dossier sera accessible, mais n'apparaîtra pas dans les favoris réseau. Pour y accéder, il faudra connaître le nom exacte du dossier, et taper dans la barre d'adresse de l'explorateur de fichier, par exemple “\\sas\doc”
    • Aucun accès: ce répertoire ne sera pas accessible par le protocole SMB/CIFS
  • Corbeille: Par défaut, Windows ne gère pas de corbeille pour les fichiers présent sur un partagé réseau. La suppression d'un fichier est donc immédiate et irréversible. Ce paramètre permet à l'iPasserelle de gérer une corbeille dans le dossier lui-même. Si cette option est activée, lors de la suppression d'un fichier (ou d'un dossier), Windows pensera l'avoir supprimé. En réalité, l'iPasserelle l'aura déplacé dans le répertoire “Recycle Bin” de dossier partagé. Lors de la suppression d'un élément, toute l'arborescence est re-créée dans le répertoire Recycle Bin, afin de trouver plus facilement les objets supprimés. Les options disponibles sont:
    • Désactivé: Aucune fonction de corbeille réseau ne sera activée. La suppression d'un éléments depuis un client supprimera le fichier du serveur
    • Activé, conserver la dernière version: active la corbeille en réseau. Si deux fichiers portant le même nom sont supprimés, seules la dernières version se trouvera dans la corbeille
    • Activé, conserve toutes les versions: si deux fichiers portant le même nom sont supprimés, un suffix sera ajouté pour les différencier (_1, _2 etc…)
  • Durée de conservation: Ce paramètre permet de définir le temps de conservation des éléments dans la corbeille réseau. Ce paramètre est ignoré si la corbeille est désactivé. Au delà de la période indiquée, les éléments de la corbeille (dossier Recylce Bin) seront purgés, afin de libérer l'espace disque.

• Paramètres d'accès par le protocole HTTP/HTTPS/WEBDAV
  • Accès Web: ce paramètre permet de définir l'accès au dossier par le web. Plusieurs mode sont possibles:
    • Aucun accès: le contenu de ce répertoire ne sera pas accessible par le web
    • Tout internet (aucun mot de passe requis): le contenu de ce répertoire sera accessible depuis n'importe où sur Internet. Aucun mot de passe ne sera demandé. Les permissions ne seront effectives que pour l'accès par SMB/CIFS
    • Tout Internet (mot de passe requis): le contenu sera accessible depuis n'importe où sur Internet. Un mot de passe sera demandé pour y accéder. Seuls les utilisateurs ayant au minimum accès en lecture seule pourront y accéder.
    • Tout Internet (mot de passe requis en dehors des réseaux locaux): Même fonctionnement que le précédent, mais les connexions depuis le réseau local ne nécessiteront aucun mot de passe.
    • Réseau local (aucun mot de passe requis): l'accès web ne sera autorisé que depuis le réseau local. Aucun mot de passe ne sera demandé.
    • Réseau local (mot de passe requis): l'accès web ne sera autorisé que depuis le réseau local. Un mot de passe sera demandé pour y accéder. Seuls les utilisateurs ayant au minimum accès en lecture seule pourront y accéder.
  • Support WebDav: Ce paramètre permet d'activer le support du protocole WebDav pour accéder à ce dossier par le web. Une fois activé, ce dossier sera accessible par WebDav (qui est une extension d'HTTP), et pourra donc être utilisé comme un FTP. Ce paramètre ne sera pris en compte que si l'accès au dossier nécessite un mot de passe (Tout Internet (mot de passe requis) ou Réseau local (mot de passe requis)).
  • Forcer l'utilisation de connexions sécurisées: l'activation de ce paramètre permet de vous assurer que les connexions HTTP vers ce dossier utiliseront la couche de sécurité SSL. Toutes les requêtes HTTP seront redirigées de façon transparente en HTTPS. Ainsi, ni les mots de passe, ni les données ne pourront être interceptés
  • Indexes: Si cette option est activée, et qu'aucun fichier index.html n'est présent, alors le serveur web listera tout les fichiers présents dans ce partage. Si cette option est désactivé, il faudra connaître le nom exacte (ou plutôt l'URI exacte) d'un fichier pour pouvoir le télécharger.
  • Exécution de contenu dynamique (PHP, CGI, SSI): Si cette option est activée, le serveur web exécutera les scripts PHP présents dans le dossier. Les CGI seront également accessible s'ils son't placés dans un sous répertoire nommé cgi-bin (à créer)

Ce menu permet aux administrateurs de définir un message d'absence pour tout les autres utilisateurs. Il suffit ici de définir un message dans la zone de texte, et de sélectionner oui pour l'activer. Les variables $SUBJECT sera remplacée par le sujet du message. Il est recommandé de ne pas modifier la structure du message (les <br>), et de ne modifier que les parties textes.

Ce menu permet de relever les mails d'une boite externe (@wanadoo.fr par exemple), et de les injecter dans la boite mail principal des utilisateurs. Ainsi, l'iPasserelle permet de centraliser plusieurs boites en une seule (où tout sera sauvegardé régulièrement). La première chose à faire est d'activer le module, en cliquant sur le bouton Activer la récupération de messages (comme indiqué sur la capture d'écran).

Pour configurer la récupération de messages pour un utilisateur, il suffit de cliquer sur le lien créer correspondant à l'utilisateur (ce lien devient Modifier pour les utilisateurs ayant déjà au moins une boite mails récupérées). Sur cette première page, le paramètre le plus important est le mode de récupération. L'iPasserelle peut être configurée pour:

• Récupérer tout les messages (mode par défaut)
• Copier les messages mais les laisser sur le serveur d'origine
• Récupérer uniquement les nouveaux messages

Les autres paramètres de cette page sont principalement pour des modes de fonctionnement avancé, et peuvent donc être laissés par défaut. Il faut maintenant cliquer sur Suivant

La page suivante permet de configurer la relève. Il suffit d'entrer:

• Le nom ou l'adresse du serveur de messagerie distant (par exemple pop.orange.fr
• Le protocole utilisé (POP, IMAP ou leurs variantes sécurisées)
• Le nom d'utilisateur
• Le mot de passe

Puis il faut cliquer sur Valider ce compte. Il est possible d'ajouter plusieurs comptes différents par utilisateur. Une fois tout les comptes configurés, il suffit de cliquer sur le bouton Valider les changements ! en bas à droite de la page.

Par défaut, l'iPasserelle relèvera les mails toutes les 15 minutes.

Ce menu permet de configurer des renvois de ports, ou de plage de port (UDP ou TCP) vers une machine du réseau local. Lors de l'ajout d'une règle, voici les paramètres disponibles:

• Protocole: Choisir entre TCP ou UDP
• Ports source: le numéro du port à renvoyer. Pour entrez une plage de ports, séparez les valeurs par un - ex: 5650-5680
• Adresse IP de l'hôte de destination: l'adresse de la machine interne vers laquelle renvoyer le ou les port(s)
• Port(s) de destination: permet de sélectionner un port différents de la source. Par exemple, le port 8888 peut être renvoyer vers le port 80 d'une machine sur le réseau local. Laissez ce champ vide si vous désirez utilisez les mêmes numéros de ports.
• Commentaire sur la règle: un commentaire pour vous aider à identifier la règle
• Hôtes autorisés: une liste d'adresses IP, séparées par des virgules. Si ce champ est rempli, le renvoi de port ne sera effectif que pour ces adresses sources. Laissez ce champs vide pour autoriser tout le monde.

QoS signifie Quality Of Service. Ce module permet de régler la priorité des flux sortants de votre iPasserelle. Bien régler la QoS est une étape importante pour fluidifier les connexions, éviter qu'un utilisateur ralentisse tout le réseau en téléchargeant massivement, et surtout, donner la plus haute priorité aux flux temps réels comme la VoIP.

En règle générale, seules les valeurs Uplink et Downlink (respectivement bande passante montante et bande passante descendante) doivent être configurées. Pour le reste, l'iPasserelle ajustera au mieux les différents flux. Les valeurs de Uplink et Downlink sont en kilo bits par seconde (et non pas en kilo octets). Pour un fonctionnement optimal, il faut mesurer les valeurs maximales de votre connexion Internet, et réduire légèrement ces valeurs (entre 80 et 90% des valeurs mesurées).

Ce menu permet de configurer des noms DNS pour votre réseau local. Il permet également de réserver des adresses IP fixes pour certaines machines en fonction de l'adresse MAC.

BackupPC est un logiciel de sauvegarde réseau. Ce dernier peut sauvegarder n'importe quelle machine du réseau, ou éventuellement des machines distantes selon plusieurs méthodes (smb, tar+ssh, rsync+ssh, rsyncd). Par défaut ce service sauvegarde de manière quotidienne votre iPasserelle (configuration, données, répertoires personnels utilisateurs, dossiers partagés, mails, bases de données etc…).

La configuration par défaut effectue une sauvegarde complète par mois, et une sauvegarde incrémentielle par jour. Les sauvegardes incrémentielles permettent d'économiser des ressources en ne sauvegardant que les fichiers modifiés ou ajoutés depuis la dernière sauvegarde complète. Les sauvegarde quotidiennes sont conservées sur une période d'un mois (les 30 dernières sauvegardes incrémentielles), alors que les sauvegardes complètes sont conservées sur une période d'un an (les 12 dernières sauvegardes complètes). Cette configuration pourra être ajustée en fonction de l'espace disponible et des besoins.

Le schéma de stockage de BackupPC permet d'économiser beaucoup d'espace disque en mutualisant (par des hardlinks) les fichiers identiques à travers les différents hôtes et les différents jeux de sauvegardes. De plus, les fichiers sont compressés avant le stockage. Ce fonctionnement permet en général d'atteindre des taux d'utilisation de 10:1 (1To de données sauvegardées n'occupe que 100Go réel sur l'espace de stockage).

Il est également possible (et conseillé) de configurer une exportation de ces sauvegardes hors site. Plusieurs méthodes sont disponibles, la plus simple étant une rotation de disques dur externes (USB ou eSATA)

L'interface d'administration de BackupPC est https://sas.[DOMAIN]/BackupPC

L'interface de BackupPC permet de gérer entièrement les sauvegardes, de la configuration:

à l'exploration des sauvegardes, et la restauration:

Cette interface permet également de vérifier l'état globale des sauvegardes:

Un des atouts majeur de ce logiciel est ça capacité à pouvoir explorer et restaurer les différentes versions des fichiers sauvegardés. En effet, à chaque nouvelle sauvegarde, si un fichier à été modifié, une nouvelle copie sera faite, sans écraser la/les versions précédentes. Un mode d'exploration spécial permet de visualiser rapidement le nombre de versions disponibles, les dates de créations, suppressions, modifications des fichiers etc…

La documentation complète est disponible sur le site officiel du projet: http://backuppc.sourceforge.net/

Ce module est basé sur les composants suivants: BackupPC

Ce menu permet de configurer le serveur OpenVPN.

OpenVPN est un serveur de connexion distantes sécurisées (VPN). Ce serveur permet de se connecter au réseau interne depuis l'extérieur, en créant un tunnel chiffré et authentifié.

OpenVPN utilise la couche SSL/TLS pour le chiffrement et l'authentification. Cette technique lui apporte des avantages par rapport à d'autres solutions comme Ipsec ou PPTP, par exemple, OpenVPN fonctionne très bien à travers une communication NATé, car il n'utilise qu'un seul port (UDP 1194 par défaut).

La configuration par défaut assure une sécurité maximale:

• Triple authentification (certificat bi-directionnel, mot de passe et clé statique)
• Possibilité de révoquer un certificat compromis en un clique
• Vérification des certificats par CRL
• Négociation du chiffrement (par défaut, utilise le blowfish CBC 128 bits)
• Re-négociation de la clé de chiffrement toute les heures
• Contrôle du nombre maximum de clients connectés simultanément
• Isolation des clients (les clients ne peuvent pas communiquer directement entre eux)
• Visualisation des clients connectés
• Possibilité de rediriger tout le trafic dans le VPN (protège les clients sur les zones publiques comme les hotspots)

Le serveur VPN est pré-configuré, vous pouvez cependant modifier certains paramètres si vous le désirez

La page d'accueil vous permet d'accéder aux différents menus de configuration

• Gestion des règles de configuration: Cette page vous permet de modifier la configuration pour un client spécifique

Voici les champs à saisir lors de la création d'une règle de configuration:

• Nom Commun: Le nom exacte du certificat du client
• Commentaire: un commentaire, par exemple, le nom de la machine sur laquelle se trouve le certificat, ou le nom de l'utilisateur
• Adresse IP réservée: vous pouvez entrer une adresse IP de votre réseau si vous désirez que ce client obtienne toujours la même adresse IP. Si ce champ reste vide, une adresse sera allouée automatiquement
• Redirection de passerelle: SI cette option est activée, alors dèq que le client sera connecté, toutes les communications seront redirigées à travers le VPN.
• Accès: Permet de bloquer temporairement l'accès. Si le certificat ne doit plus être utilisé, il est conseillé de le révoquer.

• Afficher un fichier de configuration fonctionnel pour les clients: Cette page permet d'afficher un exemple de fichier de configuration pour les postes clients.

• Afficher les clients connectés: Cette page liste tout les clients actuellement connecté, les adresses IP (réelles et virtuelles), ainsi que les volumes de données transférés depuis le début de la connexion.

• Configuration du service: Cette page vous permet de configurer certains aspects du serveur VPN, notamment:
  • État du service: vous permet d'activer ou de désactiver le service VPN
  • Mode d'authentification: Vous permet de choisir comment les clients s'authentifient. Par défaut, l'authentification fonctionne par certificat et nom d'utilisateur/mot de passe. Vous pouvez modifier ce paramètre pour ne pas demander de nom d'utilisateur/mot de passe (utile si vous désirez configurer le client VPN en mode service sur les clients)
  • Adresse de début et Adresse de fin: permet de définir la plage d'adresses IP pour les clients qui n'ont pas d'adresses réservée par une règle de configuration

Le site officiel du projet: http://openvpn.net/

Pour qu'un poste puisse se connecter à distance au réseau de l'entreprise, il faut tout d'abord créer un certificat. Pour cela, vous pouvez utiliser l'interface de gestion des certificats disponible dans le server-manager:

Sur cette page, cliquez sur le bouton Create a New Certificate

Dans le formulaire suivant, vous devrait remplir les champs suivants:

• Common Name: Un nom unique pour ce certificat. Nous recommandons d'utiliser un nom qui puisse facilement être associé à la machine qui utilisera le certificat. Il est également conseillé de n'utiliser que des caractères alphanumériques (évitez les espaces, majuscules et les caractères exotiques)
• E-mail Address: Ce champs ne sera pas utilisé, mais doit être remplis. Vous pouvez mettre une adresse mail générique (celle du responsable informatique par exemple), ou l'adresse mail de l'utilisateur.
• Organization: Le nom de votre société
• Departement/Unit: Le département concerné (vous pouvez par exemple mettre VPN pour tout les certificats utilisés pour le VPN)
• Locality (City/Country): Votre ville
• State/Province: votre région
• Country: Le code à deux lettres de votre pays (FR)
• Certificate Password: Vous pouvez laisser ce champ vide. Si vous entrez un mot de passe, il devra être tapé à chaque connexion VPN (en plus du mot de passe utilisateur). L'aventage est qu'il fournit une protection supplémentaire en cas de perte ou de vol du certificat.
• Certificate Life: Durée de validité du certificat. Au dela de cette période, le serveur refusera les connexions.
• Key Size: Nous recommandons d'utiliser une clef de 2048 bits
• Certificate Usage: Vous devez sélectionner ici VPN Client Only

Après avoir valider, vous obtiendrez une page de confirmation. Vous n'avez qu'à valider une nouvelle fois pour que le certificat soit généré. Après la génération du certificat, vous reviendrez sur le formulaire de création (utile si vous devez créer plusieurs certificats d'un coup)

Vous devez maintenant télécharger le certificat nouvellement créé. Pour cela, cliquez à nouveau sur le menu Gestion des certificats dans le server-manager, puis allez sur le menu Manage Certificates

Cliquer sur le lien de téléchargement pour aller vers le formulaire de téléchargement (le lien de téléchargement est entouré en rouge sur la capture d'écran ci-dessus)

Dans le menu déroulant de cette page, sélectionnez le format PKCS#12 Bundle puis cliquez sur Download

Vous devez également télécharger la clef partagée, qui est accessible sur la page d'accueil du gestionnaire de certificats, en cliquant sur l'option Download the static pre-shared key

Client sous Microsoft Windows

Maintenant que vous avez les fichiers d'authentification, il ne reste plus qu'à préparer le fichier de configuration. Créez un fichier nommé config.ovpn, et coller l'exemple de fichier de configuration disponible dans le menu de configuration du serveur VPN

Dans ce fichier de configuration, modifiez simplement le nom du certificat (dans l'exemple, le certificat se nomme user.p12, remplacez simplement user par le nom du fichier .p12 que vous avez téléchargez tout à l'heure.

Maintenant, il faut installer le client OpenVPN. Ce client est accessible en téléchargement sur le site officiel: http://openvpn.net/index.php/open-source/downloads.html

L'installation doit être faite en tant qu'administrateur.

L'installation crée un dossier C:\Pogram Files\OpenVPN\config dans lequel vous devrait placer:

• Le certificat utilisateur (le fichier .p12)
• La clef partagée (takey.pem)
• Le fichier de configuration (config.ovpn)

Une fois ces 3 fichiers placés dans le répertoire, vous pouvez lancer le client OpenVPN et initier la connexion.

Linux (avec Network-Manager)

Le logiciel de gestion des connexions réseaux par défaut sous linux s'appel NetworkManager. Il supporte plusieurs technologies de VPN, dont OpenVPN.

• Installer les logiciels

La première étape est de vérifier si le support d'OpenVPN est déjà présent, sinon, il faut l'installer. Sous debian et ses dérivés (comme ubuntu), le paquet s'appelle network-manager-openvpn-gnome ou network-manager-openvpn-kde (selon votre environnement de bureau). S'il n'est pas déjà installé, c'est le moment de le faire:

sudo apt-get install network-manager-openvpn-gnome

Pour les distribution Fedora et dérivées (RHEL, CentOS, Scientific Linux, ClearOS):

su -c 'yum install NetworkManager-openvpn'

• Créer un répertoire qui contiendra les certificats

Il faut créer un répertoire qui contiendra les certificats. Par exemple, le répertoire ~/vpn. On peut ensuite créer un sous répertoire par VPN configuré (il est possible d'avoir plusieurs connexions VPN):

• Obtenir les certificats

Il faut maintenant récupérer les certificats au format PEM (PCKS12 est aussi supporté avec une version récente de NetworkManager, mais seulement si le certificat est protégé par un mot de passe)

Il vous faudra récupérer:

• le certificat autoritaire (cacert.pem)

On peut afficher ce certificat depuis le lien “Display the root certificate (PEM encoded)” dans PHPki (Gestion des certificats). Il suffit ensuite de copier le contenu dans un fichier texte que l'on sauvegarde en tant que cacert.pem

• le certificat de la machine

Après avoir généré un certificat pour notre machine (de type “VPN Client Only” de préférence), on peut le télécharger depuis le lien de téléchargement correspondant, puis dans le menu déroulant, choisir “PEM certificate”

• La clef secrète associée au certificat, même procédure que le certificat, mais en sélectionnant “PEM Key”
• La clef partagée, peut se télécharger dans le menu principal de PHPki, sur le lien “Download the static pre-shared key”

Une fois que tout ces fichiers sont placés dans le répertoire créé plus haut (~/vpn/bureau), on peut commencer la configuration de NetworkManager

• Création d'un nouveau profil VPN

Cliquer sur l'icône de NetworkManager, puis, sous menu VPN, et Configurer le VPN.

Dans le fenêtre ouverte, choisir “ajouter”

Dans le menu déroulant, sélectionner OpenVPN

• Paramètres de base

Dans le nouvelle fenêtre, il faut entrer les paramètres de base:

• Nom de la connexion (il ne s'agit que d'un nom de profil, aussi, on peut mettre ce que l'on veut)
• Passerelle: Adresse IP ou nom du serveur VPN
• Type: choisir le type d'authentification, doit correspondre à la configuration du serveur, à savoir Mots de passe avec Certificat (TLS) ou Certificat (TLS)
• Le nom d'utilisateur (login) (uniquement si un login et mot de passe est nécessaire)
• Mot de passe: nous recommandons de ne pas remplir ce champs, ainsi, le mot de passe devra être tapé à chaque connexion au VPN
• Certificat de l'utilisateur: sélectionner le certificat récupéré précédemment
• Certificat du CA: sélectionner le fichier cacert.pem
• Clé privée: Sélectionner la clef privée récupérée précédemment
• Mot de passe de la clef privée (uiquement si la clef privée du certificat est protégée par un mot de passe)

Ensuite, cliquer sur le bouton “Avancé…” Dans l'onglet Général, cocher les cases “Utilisez la compression de données LZO” ainsi que “Utiliser un périphérique TAP”

Ensuite, sur l'onglet “Authentification TLS”, cocher la case utiliser une authentification TLS supplémentaire“, sélectionner le fichier takey.pem récupéré précédemment, et choisir 1 comme direction.

Il ne reste plus qu'à sauvegarder, et se connecter.

Ce menu vous permet de configurer le service de messagerie instantanée de votre iPasserelle.

• Accès aux services de messagierie instantanée: Permet de configurer l'état du service, et si le service doit être accessibles depuis l'extérieur
• Passerelles: Permet d'activer les passerelles vers d'autres protocoles de messagerie instantanée (comme le réseau MSN). Lorsque'elles sont activée, les passerelles seront disponibles dans la liste des services (par les clients XMPP). Chaque utilisateur pourra alors s'inscrire sur la passerelle avec ses identifiants du réseau
• Mode de filtrage: Il est possible de filtrer les échanges avec des contacts extérieurs. Par défaut, toutes les communications sont autorisées. Pour activer le filtrage, sélectionnez d'abord le mode “Liste blanche” ou “Liste noire”, puis entrez une liste d'esception dans la zone de saisie en dessous.

Firewall-Services conseil l'utilisation du client gajim (http://gajim.org) sur les postes. Il possède de nombreux avantages:

• Licence GNU GPL
• Support de nombreuses XEP
• Bonne implémentation du transfert de fichier
• Support de la découverte de services
• Support de l'inscription aux passerelles
• Multi-plateforme (Windows, MAC OSX et Linux)

Le module de messagerie instantanée est basé sur les composant suivants:

• Ejabberd, serveur XMPP développé par la société Process One: Site commercial site communautaire
• smeserver-ejabberd, intégration à la distribution SME Server, développé par Jean-Paul Leclère, modifiée pour l'iPasserelle

Ce module permet d'inventorier tout un parc de machine, et de remonter les information sur votre iPasserelle. Les inventaires de chaque machine contiendront:

• L'adresse et le nom du poste
• Le login de l'utilisateur
• Les différents éléments matériels
• Les différents logiciels installés
• Etc…

Ce module permet également de déployer des logiciels sur tout le parc de machines.

La documentation complète est disponible sur le site du projet OCS Inventory

Ce module est basé sur les composants suivants:

• OCS Inventory

Ce module vous permet de gérer tout votre parc (matériel, garanties, licences, stocks, les incidents etc…) Couplé au module d'inventaire, la majorité des éléments pourront être importés automatiquement.

La documentation complète est disponible sur le site du projet GLPI

Ce module est basé sur les composants suivants:

• GLPI

Ce module vous permet d'analyser tout le trafic réseau traversant l'iPasserelle. Vous pourrez classer les flux par protocole, source, destination, volumes de données etc…

La documentation est accessible sur le site officiel du projet Ntop

Ce module est basé sur les composants suivants:

• Ntop

Ce module transforme votre iPasserelle en un véritable commutateur téléphonique privé.

Il offre toutes les fonctions que l'on attends d'un PBX moderne, et bien plus encore…. L'interfaceIl permet de mettre en place rapidement et simplement un « dialplan » complet, attribuer plusieurs téléphones à une personne, configurer un répondeur, créer un groupe d'appel ou une file d'attente, ou bien encore un IVR.

La page d'accueil donne un aperçus rapide de l'état du système:

Voici une liste non exhaustive des modules disponibles:

• FreePBX System Status: Ce module est la page d'accueil de FreePBX, il permet d'avoir un aperçu rapide de l'état du système (mémoire utilisée, espace disque disponible, charge CPU, uptime, vitesse de transmission sur les différentes interfaces réseau, nombre de trunk* actifs, nombre de téléphones connectés etc…)

• Extension: Ce module permet de gérer (ajout/modifications/suppression) les téléphones clients du système. on les appels des extensions. Plusieurs technologies sont supportées: SIP*, IAX2*, ZAP* et custom.

• Feature Code Admin: Ce module permet de configurer des fonctions en numérotation rapide. (Activation/Désactivation du DND, Renvoi d'appel etc…). La liste de ces fonctions est disponible à l'administrateur dans la section « Feature Codes » de FreePBX et aux utilisateurs dans la section Aide de l'application « recording » (cf section recording).

• Global Settings: Ce module permet de configurer certains paramètres globaux comme:
  • Durée de la sonnerie avant la bascule vers la boite vocal
  • Détection de fax
  • Email de l'administrateur pour les annonces de mise à jour
  • Etc…

• Outbound Routes: Ce module permet de déterminer la ligne à utiliser en fonction du numéro appelé. C'est ici que l'on peut optimiser les coûts (sélection du trunk IP pour les portables ou les numéro nationaux, avec débordement possible sur les lignes France Télécom, sélection des lignes France Télécom pour les numéros surtaxés etc…)

• Trunks: Ce module permet de définir les moyens d'interconnexion avec d'autres réseaux. On les appels également des faisceaux. Les trunks peuvent utiliser plusieurs technologies différentes:
  • IP (SIP, IAX, H323)
  • RTC (si une carte matérielle est présente, par exemple, une TDP400P)
  • RNIS (si une carte matérielle est présente, par exemple, une B410P)
  • GSM (en utilisant une passerelle SIP→GSM)

• Inbound Routes: Ce module permet de router les appels entrants. Chaque téléphone disposant d'un SDA sera directement contacté si sont numéro est demandé, pour les numéros non attribués ou pour le numéro d'accueil, les appels peuvent êtres envoyés vers un groupe de sonnerie, un poste, une file d'attente, un menu interactif (IVR) etc…

• BlackList: Ce module permet d'interdire certains numéros entrants.

• CallerID lookup source: Ce module permet d'utiliser des sources de données externes pour la récupération du nom de l'appelant. Il permettra donc de récupérer les noms depuis une base de donnée (CRM par exemple)

• Day/Night control: Ce module permet de router les appels différemment en fonction du mode activé (« day » ou « night »). Le mode Day/Night ne bascule pas automatiquement entre Day/Night (pour cela, il y a le module Time Condition), mais l'utilisateur effectue la bascule lui-même en tapant un numéro spécial. Ce module peut être utilisé par exemple pour l'accueil, au lieu d'utiliser une condition temporelle pour envoyer les appels vers la boite vocal, l'hôtesse d'accueil bascule manuellement en mode jour quand elle arrive, et re-bascule en mode nuit lorsqu'elle part. Ceci permet un contrôle plus souple en cas d'horaires variables.

• Follow Me: Ce module permet de faire suivre les appels vers un autre poste, ou vers le portable de la personne concernée, si celle-ci n'est pas disponible dans son bureau.

• IVR (Interactive Voice Responce): Ce module permet de créer des menus interactifs proposant plusieurs options à l'appelant (pour accéder au service comptabilité tapez 1, pour accéder au service technique tapez 2 etc…)

• Queues: Ce module permet de créer des file d'attentes. Lorsqu'un appelant est routé vers une file d'attente, il est placé en attente (éventuellement avec musique) jusqu'à ce qu'un agent soit disponible.

• Ring Group: Ce module permet de créer des groupes de sonnerie, c'est à dire un ensemble de postes qui sonneront, le premier poste décrochant prendra l'appel, les autres arrêterons de sonner.

• Time Conditions: Ce module permet de créer des conditions temporelles., et ainsi, router les appels différemment en fonction de l'heure, du jour de la semaine etc…

• Conférences: Ce module permet de créer des conférences. Ces dernières peuvent être protégées par un code d'accès.

• Music on Hold: Ce module permet de définir des catégories de musique d'attente.

• Parking Lots: Ce module permet de placer un appelant en attente, qui pourra être récupéré par un autre agent ou qui sera renvoyé vers l'agent initial après un timeout.

• System Recordings: Ce module permet d'enregistrer des messages vocaux personnalisés, qui pourront être utilisés pour l'annonce:
  • D'une conférence
  • D'une file d'attente
  • D'une redirection vers le portable d'un agent
  • Etc…

La gestion des routes sortantes basée sur des expressions régulières permet de minimiser les coûts des appels:

Votre iPasserelle dispose également une interface en flash, appelée FOP (pour Flash Operator Panel) qui permet de surveiller en temps réel l'utilisation des lignes, l'occupation des agents etc… il est également possible d'initier des communications internes, ou de transférer des appels depuis cette interface:

Le serveur peut interconnecter toutes les technologies de téléphonie, RTC, RNIS, GSM, SIP, IAX etc…

Il est possible de souscrire des abonnements pour acheminer les appels par IP (SIP ou IAX), ou encore d'ajouter des passerelles GSM pour bénéficier de coûts avantageux.

La documentation complète de l'interface de configuration est disponible sur le site officiel du projet FreePBX

Ce module est basé sur les composants suivants:

• Le serveur de téléphonie Asterisk
• L'interface de configuration FreePBX
• L'interface de visualisation en temps réel FOP
• L'interface de consultation de la boite vocal Asterisk Recording Interface

Ce module permet de transformer votre iPasserelle en un véritable serveur de fax. Il permet de recevoir et d'émettre des fax (par mail ou en utilisant une imprimante virtuelle) depuis n'importe quel poste du réseau. Il permet également d'archiver et de transmettre par email les fax reçus, en fonction du numéro sur lequel le fax est réceptionné. Intégré au module de téléphonie, il permet de recevoir les fax sur la même ligne que les appels, ou d'utiliser une ligne dédiée.

Ce module est basé sur les composants suivants:

• le serveur de fax Hylafax
• le modem logiciel IAXModem

Chaque utilisateur dispose d'une adresse de messagerie, déclinable avec plusieurs noms de domaine (si déclarés sur le serveur) et autant de pseudonymes que nécessaire. Les caractéristiques du compte pour configurer un logiciel client de messagerie sont :

Serveur IMAP: sas.[DOMAIN]
Sécurité: SSL
Port: 993 (imap)
Nom d'utilisateur: le login de l'utilisateur
Mot de passe: le mot de passe unique de l'utilisateur
Serveur sortant (smtp): sas.[DOMAIN]
Sécurité: SSL
Port 465
Authentification: identique au serveur entrant.

Voici la liste des attributs LDAP correspondants aux informations disponibles sur cette page:

Le DN (Distinguish Name) est un identifiant unique sur un annuaire LDAP. Pour tous les utilisateurs, le DN est de la forme suivante:

uid=login,ou=Users,dc=domain,dc=tld

La plupart des applications utilisant un annuaire LDAP comme source d'authentification peuvent appliquer des filtres pour restreindre la listes des utilisateurs valides. Voici quelques exemple de filtres que vous pouvez utiliser:

• Restreindre l'accès aux membres des groupes equipe et app_metier: (|(posixMemberOf=equipe)(posixMemberOf=app_metier))
• Restreindre l'accès aux personnes ayant la fonction de responsable (vous avez renseigné responsable dans un des champs fonction): (title=responsable)
• Restreindre l'accès aux personnes membre du groupe partenaires faisant partie de la société Firewall-Services: (&(posixMemberOf=partenaires)(o=Firewall-Services))

Maintenant que vous avez compris le principe, vous pouvez utiliser toutes sortes de combinaisons ;)

Il est possible de générer automatiquement une signature de mail pour chaque utilisateur, en fonction d'un modèle prédéfini.
Pour cela, il suffit de placer les modèle dans le dossier (qui est créé automatiquement) templates_signature, qui se trouve sur la partage réseau nommé tools (ce partage est masqué par défaut, on peut toutefois y accéder en tapant directement \\sas\tools (Window) ou smb://sas/tools (Linux) dans la barre de navigation

Dans ce répertoire, il faut créer 2 fichiers:

• email.txt sera utilisé pour générer une signature au format text simlpe
• email.html sera utilisé pour créer une signature au format html

Exemple:

email.txt

__PRENOM__ __NOM__
__FONCTION__
__ENTREPRISE__
__ADRESSE__
__EMAIL__
__TEL__ __MOBILE__
__FAX__
Web: http://mon-entreprise.com

email.html

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/html4/strict.dtd">
<html><head>
<meta content="text/html; charset=UTF-8" http-equiv="content-type"><title>signature mail</title></head><body>
<table style="text-align: left; width: 95%;" border="0" cellpadding="2" cellspacing="2">
  <tbody>
    <tr>
      <td style="vertical-align: bottom; width: 240px; height: 140px; text-align: center;"><img style="width: 238px; height: 130px;" alt="logo" src="http://extranet.mon-entreprise.com/images/logo.png" align="left"><br>
      </td>
      <td style="vertical-align: bottom; font-family: Helvetica,Arial,sans-serif; color: rgb(153, 153, 153); font-weight: bold; text-align: left;"><small>__PRENOM__ __NOM__ - __FONCTION__<br>
      <span style="font-weight: normal;">__ADRESSE__</span><br>
__EMAIL__<br>
__TEL__ __MOBILE__<br>
__FAX__<br>
      </small></td>
    </tr>
  </tbody>
</table>
  <br>
</body></html>

Les différents champs seront remplacés par leur valeurs indiqué dans le panel Informations Utilisateurs. À chaque modification d'un utilisateur, la signature sera régénérée et placée dans son répertoire personnel (un répertoire signature sera créé automatiquement)

• SME server: Distribution GNU/Linux basée sur Centos (http://centos.org), elle-même basée sur RedHat Entreprise Linux. La distribution SME Server est une distribution particulière, notamment au niveau de la gestion de la configuration qui est créée dynamiquement grâce à des « templates » (petits fragments de configuration ou morceau de script perl), couplés à une petite base de donnée. Cet ingénieux système permet de s'assurer que la configuration entre les différents services est cohérente. Plus d'information sur cette distribution sont disponibles sur le wiki officiel

• Proxy: Un proxy, aussi appelé serveur mandataire, est une application qui se place entre le client et le serveur final, à un niveau applicatif. L'utilisation la plus fréquente est pour le protocole http. Le proxy pourra alors jouer plusieurs rôle, comme le filtrage, ou la mise en cache pour accélérer les requêtes.

• SMB: Le protocole SMB (Server Message Block) est l'ancien nom du protocole permettant le partage de ressources (fichiers et imprimantes) sur des réseaux locaux avec des PC sous Windows. Dans les dernières versions de Windows, il est appelé CIFS. La suite logicielle samba tire son nom de ce protocole SaMBa

• Tar: Le programme tar (de l'anglais tape archiver, littéralement « archiveur pour bande ») est le logiciel d'archivage de fichiers standard d'UNIX. Un fichier d'archive créé par tar n'est pas compressé, c'est juste une concaténation de fichiers. On appelle parfois le fichier d'archivage créé un tarball.

• Ssh: Secure Shell (SSH) est à la fois un programme informatique et un protocole de communication (Couche de transport du modèle OSI) sécurisé. Le protocole de connexion impose un échange de clés de chiffrement en début de connexion. Par la suite toutes les trames sont chiffrées. Il devient donc impossible d'utiliser un sniffer pour voir ce que fait l'utilisateur. Le protocole SSH a été conçu avec l'objectif de remplacer les différents programmes rlogin, telnet et rsh.

• Rsync: rsync (remote synchronization, en français, « synchronisation distante ») est un logiciel libre de synchronisation de fichiers, distribué sous GNU GPL. La synchronisation est unidirectionnelle, c'est-à-dire qu'elle copie les fichiers de la source en direction de la destination. rsync est donc utilisé pour réaliser des sauvegardes incrémentales ou pour diffuser le contenu d'un répertoire de référence.

• LVM: La gestion par volumes logiques (en anglais, logical volume management) est une méthode et un logiciel de découpage, de concaténation et d'utilisation des espaces de stockage d'un serveur. Il permet de gérer, sécuriser et optimiser de manière souple les espaces de stockage en ligne dans les systèmes d'exploitation de type UNIX/Linux. On parle également de gestionnaire de volumes ou Volume Manager en anglais.

• hardlinks: En informatique, on nomme lien matériel (en anglais hard link) un pointeur sur des données physiques d'un volume de stockage. Il s'agit en fait de donner pusieurs noms (éventuellement dans des répertoires différents) à un seul et même fichier (qui n'est donc stocké qu'une seule fois)

• VPN: Dans les réseaux informatiques et les télécommunications, le réseau privé virtuel ou RPV (Virtual Private Network en anglais) est vu comme une extension des réseaux locaux et préserve la sécurité logique que l'on peut avoir à l'intérieur d'un réseau local. Il correspond en fait à une interconnexion de réseaux locaux via une technique de « tunnel ».

• SSL/TLS: Transport Layer Security (TLS), anciennement nommé Secure Socket Layer (SSL), est un protocole de sécurisation des échanges sur Internet, développé à l'origine par Netscape (SSL version 2 et SSL version 3). SSL fonctionne suivant un mode client-serveur. Il fournit quatre objectifs de sécurité importants:
  • l'authentification du serveur ;
  • la confidentialité des données échangées (ou session chiffrée) ;
  • l'intégrité des données échangées ;
  • de manière optionnelle, l'authentification ou l'authentification forte du client avec l'utilisation d'un certificat numérique

• Ipsec: IPsec (Internet Protocol Security) est un ensemble de protocoles (couche 3 modèle OSI) utilisant des algorithmes permettant le transport de données sécurisées sur un réseau IP.

• PPTP: PPTP (Point-to-point tunneling protocol) est un protocole d'encapsulation PPP sur IP conçu par Microsoft, permettant la mise en place de réseaux privés virtuels (VPN) au-dessus d'un réseau public. Layer 2 Tunneling Protocol (L2TP) et IPsec sont des protocoles inspirés de PPTP et chargés de le remplacer.

• NAT: En informatique, on dit qu'un routeur fait du Network Address Translation (ce que l'on peut traduire de l'anglais par « traduction d'adresse réseau ») lorsqu'il fait correspondre les adresses IP internes non-uniques et souvent non routables d'un intranet à un ensemble d'adresses externes uniques et routables. Ce mécanisme permet notamment de faire correspondre une seule adresse externe publique visible sur Internet à toutes les adresses d'un réseau privé, et pallie ainsi la carence d'adresses IPv4 d'Internet.

• CRL: La liste de certificats révoqués (certificate revocation list ou CRL) est la liste des certificats (plus exactement de ID des certificats) qui ont été révoqués ou ne sont plus valables et qui ne sont plus dignes de confiance.

• AES: Le standard de chiffrement avancé (Advanced Encryption Standard), aussi connu sous le nom de Rijndael, est un algorithme de chiffrement symétrique, choisi en octobre 2000 par le NIST pour être le nouveau standard de chiffrement pour les organisations du gouvernement des États-Unis. Cet algorithme n'a à ce jour aucune faille connue.

• XMPP: eXtensible Messaging and Presence Protocol, en français « protocole extensible de présence et de messagerie ») est le nom d'un protocole standard ouvert de l'IETF de messagerie instantanée. Il est également connu sous le nom Jabber.

• XEP: Les XEPs (XMPP Extension Proposal) sont des propositions pour ajouter des fonctionnalités au protocole XMPP. Les serveurs ou clients ne sont pas obligés d'adopter ces extensions. Cela peut bloquer certaines fonctionnalités entre deux utilisateurs. Les XEPs sont continuellement créés, révisés ou améliorés.

• LAMP: LAMP est un acronyme désignant un ensemble de logiciels libres permettant de construire des serveurs de sites Web. L'acronyme original se réfère aux logiciels suivants :
  • « Linux », le système d'exploitation
  • « Apache », le serveur Web
  • « MySQL », le serveur de base de données
  • « PHP » à l'origine, puis « Perl » ou « Python », les langages de script

• imap: Internet Message Access Protocol, est un protocole utilisé par les serveurs de messagerie électronique, fonctionnant pour la réception. Ce protocole permet de laisser les e-mails sur le serveur dans le but de pouvoir les consulter de différents clients e-mails ou webmail. Il comporte des fonctionnalités avancées, comme les boîtes aux lettres multiples, la possibilité de créer des dossiers pour trier ses e-mails… Le fait que les messages soient archivés sur le serveur fait que l'utilisateur peut accéder à tous ses messages depuis n'importe où sur le réseau et que l'administrateur peut facilement faire des copies de sauvegarde.

• GroupWare: Un groupware est un logiciel qui permet à un groupe de personnes de partager des informations (contacts, agenda, documents etc…)

• ACL: Access Control List, en français liste de contrôle d'accès

• iCal: iCalendar est un standard (RFC 2445) pour les échanges de données de calendrier.

• PBX: Un autocommutateur téléphonique privé, souvent désigné par l'anglicisme Private Automatic Branch eXchange, lequel est abrégé par le sigle PABX et parfois PBX, est un commutateur téléphonique privé.

• IVR: Un serveur vocal interactif (en anglais Interactive Voice Response) est un système informatique permettant aux utilisateurs d'extraire des données et d'exécuter des tâches spécifiques, ceci à travers un téléphone fixe, mobile ou un softphone. Les serveurs vocaux interactifs entrent plus généralement dans la catégorie des systèmes de dialogue.

• Wiki: Un wiki est un système de gestion de contenu de site web rendant ses pages web librement modifiables par tous les visiteurs y étant autorisés. Les wikis sont utilisés pour faciliter l'écriture collaborative de documents avec un minimum de contraintes.

• Webmail: Un webmail, anglicisme parfois traduit en courriel Web ou messagerie Web, est une interface web rendant possible l’émission, la consultation et la manipulation de courriers électroniques directement sur le Web depuis un navigateur, contrairement au client de messagerie qui permet ces opérations à partir d’un logiciel en local sur un ordinateur personnel.