Table des matières

Configuration logicielle

Fonctionnalités

L'iPasserelle est basée sur la distribution GNU/Linux SME Server, enrichie par différentes contributions. Cette distribution Linux est dérivée de la distribution Centos 5, elle même dérivée de Red Hat Entreprise Linux 5.

De base, votre iPasserelle intègre les services suivants:

La plupart de ces fonctions sont accessibles au travers d'un portail web: https://auth.<fc #FF0000>[DOMAIN]</fc>/

Portail d'authentification

La page https://auth.[DOMAIN]/ vous permet d'accéder rapidement aux différentes applications installées sur votre iPasserelle. Tous les modules détaillés par la suite sont accessibles soit par le portail d'authentification, soit par le menu Paramètres Utilisateurs

Portail d'authentification

Les menus présent sur cette page dépendent

Le portail d'authentification est basé sur les composants suivants:

SOGo

L'application SOGo vous permet de:

Module Emails

Module Contacts

Module Agenda

Le server-manager 1) dispose d'un menu nommé Collecticiel vous permettant de configurer certains aspect de SOGo. Vous y trouverez notamment les options suivantes:

Configuration de SOGo

User-Manager

L'interface web User-Manager 2) permet aux utilisateurs de modifier les paramètres de remise de leur courriers électroniques. Les utilisateurs peuvent ainsi décider de renvoyer leurs mails vers un collaborateur, ou encore activer un message d'absence.

Sur cette même interface, les administrateurs disposent de plusieurs menus supplémentaires:

Utilisateurs

Ce menu permet de gérer les comptes utilisateurs de votre iPasserelle, vous pouvez créer, modifier, supprimer des comptes, mais également ré-initialiser les mots de passe, ou encore verrouiller certains utilisateurs

Gestion des utilisateurs

Création d'un nouveau compte d'utilisateur

Lorsqu'un utilisateur est créé, 3 adresses mails sont automatiquement créées:

Ces 3 adresses mails sont équivalentes (les deux dernières étant des pseudonymes de la première)

Informations Utilisateurs

Ce menu permet le réglages d'informations supplémentaires pour chaque utilisateur. Ces informations seront publiées dans l’annuaire LDAP de votre serveur.

Groupes

Ce menu permet de gérer les groupes d'utilisateurs de votre iPasserelle. Les groupes seront utilisés pour définir les droits d'accès (par exemple pour les partages de fichiers)

Gestion des groupes d'utilisateurs

Lors de la création d'un groupe d'utilisateur, une adresses mails du type nom_du_groupe@<fc #FF0000>[DOMAIN]</fc> est automatiquement créée. L'envoi d'un mail à cette adresse remettra une copie du mail à chaque membre du groupe.

Quotas

Ce menu permet de visualiser l'espace disque occupé par les différent utilisateur, et éventuellement, d'appliquer une limite. Les volumes indiqués prennent en compte:

Gestion de l'espace disque

Pseudonymes

Ce menu permet de créer des alias de mails. Il est ainsi possible de créer un pseudonyme contact, pointant vers un utilisateur ou un groupe particulier. Les pseudonymes peuvent ensuite être modifiés, ou limités uniquement au réseau local.

Dossiers Partagés

Ce menu permet de créer des répertoires accessibles selon différentes méthodes:

Création d'un dossier partagé

La page de création (ou modification) d'un dossier est composé de quatre sections différentes:

Utilisateurs absents

Ce menu permet aux administrateurs de définir un message d'absence pour tout les autres utilisateurs. Il suffit ici de définir un message dans la zone de texte, et de sélectionner oui pour l'activer. Les variables $SUBJECT sera remplacée par le sujet du message. Il est recommandé de ne pas modifier la structure du message (les <br>), et de ne modifier que les parties textes.

Message d'absence

Récupération de mails

Ce menu permet de relever les mails d'une boite externe (@wanadoo.fr par exemple), et de les injecter dans la boite mail principal des utilisateurs. Ainsi, l'iPasserelle permet de centraliser plusieurs boites en une seule (où tout sera sauvegardé régulièrement). La première chose à faire est d'activer le module, en cliquant sur le bouton Activer la récupération de messages (comme indiqué sur la capture d'écran).

Page principale de la relève de mails

Pour configurer la récupération de messages pour un utilisateur, il suffit de cliquer sur le lien créer correspondant à l'utilisateur (ce lien devient Modifier pour les utilisateurs ayant déjà au moins une boite mails récupérées). Sur cette première page, le paramètre le plus important est le mode de récupération. L'iPasserelle peut être configurée pour:

Les autres paramètres de cette page sont principalement pour des modes de fonctionnement avancé, et peuvent donc être laissés par défaut. Il faut maintenant cliquer sur Suivant

Mode de récupération

La page suivante permet de configurer la relève. Il suffit d'entrer:

Puis il faut cliquer sur Valider ce compte. Il est possible d'ajouter plusieurs comptes différents par utilisateur. Une fois tout les comptes configurés, il suffit de cliquer sur le bouton Valider les changements ! en bas à droite de la page.

Par défaut, l'iPasserelle relèvera les mails toutes les 15 minutes.

Renvoi de port

Ce menu permet de configurer des renvois de ports, ou de plage de port (UDP ou TCP) vers une machine du réseau local. Lors de l'ajout d'une règle, voici les paramètres disponibles:

Renvoi de port

QoS

QoS signifie Quality Of Service. Ce module permet de régler la priorité des flux sortants de votre iPasserelle. Bien régler la QoS est une étape importante pour fluidifier les connexions, éviter qu'un utilisateur ralentisse tout le réseau en téléchargeant massivement, et surtout, donner la plus haute priorité aux flux temps réels comme la VoIP.

QoS

En règle générale, seules les valeurs Uplink et Downlink (respectivement bande passante montante et bande passante descendante) doivent être configurées. Pour le reste, l'iPasserelle ajustera au mieux les différents flux. Les valeurs de Uplink et Downlink sont en kilo bits par seconde (et non pas en kilo octets). Pour un fonctionnement optimal, il faut mesurer les valeurs maximales de votre connexion Internet, et réduire légèrement ces valeurs (entre 80 et 90% des valeurs mesurées).

Gestion des noms d'hôtes et adresses

Ce menu permet de configurer des noms DNS pour votre réseau local. Il permet également de réserver des adresses IP fixes pour certaines machines en fonction de l'adresse MAC.

Gestion des noms d'hôtes et des adresses

BackupPC

BackupPC est un logiciel de sauvegarde réseau. Ce dernier peut sauvegarder n'importe quelle machine du réseau, ou éventuellement des machines distantes selon plusieurs méthodes (smb, tar+ssh, rsync+ssh, rsyncd). Par défaut ce service sauvegarde de manière quotidienne votre iPasserelle (configuration, données, répertoires personnels utilisateurs, dossiers partagés, mails, bases de données etc…).

La configuration par défaut effectue une sauvegarde complète par mois, et une sauvegarde incrémentielle par jour. Les sauvegardes incrémentielles permettent d'économiser des ressources en ne sauvegardant que les fichiers modifiés ou ajoutés depuis la dernière sauvegarde complète. Les sauvegarde quotidiennes sont conservées sur une période d'un mois (les 30 dernières sauvegardes incrémentielles), alors que les sauvegardes complètes sont conservées sur une période d'un an (les 12 dernières sauvegardes complètes). Cette configuration pourra être ajustée en fonction de l'espace disponible et des besoins.

Le schéma de stockage de BackupPC permet d'économiser beaucoup d'espace disque en mutualisant (par des hardlinks) les fichiers identiques à travers les différents hôtes et les différents jeux de sauvegardes. De plus, les fichiers sont compressés avant le stockage. Ce fonctionnement permet en général d'atteindre des taux d'utilisation de 10:1 (1To de données sauvegardées n'occupe que 100Go réel sur l'espace de stockage).

Il est également possible (et conseillé) de configurer une exportation de ces sauvegardes hors site. Plusieurs méthodes sont disponibles, la plus simple étant une rotation de disques dur externes (USB ou eSATA)

L'interface d'administration de BackupPC est https://sas.[DOMAIN]/BackupPC

L'interface de BackupPC permet de gérer entièrement les sauvegardes, de la configuration:

Configuration BackupPC

à l'exploration des sauvegardes, et la restauration:

Explorateur de sauvegardes

Cette interface permet également de vérifier l'état globale des sauvegardes:

Visualisation de l'état des sauvegardes

Un des atouts majeur de ce logiciel est ça capacité à pouvoir explorer et restaurer les différentes versions des fichiers sauvegardés. En effet, à chaque nouvelle sauvegarde, si un fichier à été modifié, une nouvelle copie sera faite, sans écraser la/les versions précédentes. Un mode d'exploration spécial permet de visualiser rapidement le nombre de versions disponibles, les dates de créations, suppressions, modifications des fichiers etc…

La documentation complète est disponible sur le site officiel du projet: http://backuppc.sourceforge.net/

Ce module est basé sur les composants suivants: BackupPC

OpenVPN-Bridge

Ce menu permet de configurer le serveur OpenVPN.

OpenVPN est un serveur de connexion distantes sécurisées (VPN). Ce serveur permet de se connecter au réseau interne depuis l'extérieur, en créant un tunnel chiffré et authentifié.

OpenVPN utilise la couche SSL/TLS pour le chiffrement et l'authentification. Cette technique lui apporte des avantages par rapport à d'autres solutions comme Ipsec ou PPTP, par exemple, OpenVPN fonctionne très bien à travers une communication NATé, car il n'utilise qu'un seul port (UDP 1194 par défaut).

La configuration par défaut assure une sécurité maximale:

Le serveur VPN est pré-configuré, vous pouvez cependant modifier certains paramètres si vous le désirez

Accueil VPN

La page d'accueil vous permet d'accéder aux différents menus de configuration

Création d'une règle de configuration

Voici les champs à saisir lors de la création d'une règle de configuration:

Exemple de configuration

Liste des clients connectés

Configuration du service VPN

Le site officiel du projet: http://openvpn.net/

Configuration d'un client VPN

Pour qu'un poste puisse se connecter à distance au réseau de l'entreprise, il faut tout d'abord créer un certificat. Pour cela, vous pouvez utiliser l'interface de gestion des certificats disponible dans le server-manager:

Interface de gestion des certificats

Sur cette page, cliquez sur le bouton Create a New Certificate

Dans le formulaire suivant, vous devrait remplir les champs suivants:

Après avoir valider, vous obtiendrez une page de confirmation. Vous n'avez qu'à valider une nouvelle fois pour que le certificat soit généré. Après la génération du certificat, vous reviendrez sur le formulaire de création (utile si vous devez créer plusieurs certificats d'un coup)

Vous devez maintenant télécharger le certificat nouvellement créé. Pour cela, cliquez à nouveau sur le menu Gestion des certificats dans le server-manager, puis allez sur le menu Manage Certificates

Gestion des certificats

Cliquer sur le lien de téléchargement pour aller vers le formulaire de téléchargement (le lien de téléchargement est entouré en rouge sur la capture d'écran ci-dessus)

Formulaire de téléchargement

Dans le menu déroulant de cette page, sélectionnez le format PKCS#12 Bundle puis cliquez sur Download

Vous devez également télécharger la clef partagée, qui est accessible sur la page d'accueil du gestionnaire de certificats, en cliquant sur l'option Download the static pre-shared key

Attention: ces deux fichiers (fichier de certificat et clef partagée) doivent être gardés secret. Il ne faut jamais les transmettre par mail, et les supprimer rapidement des supports USB dès qu'ils ne sont plus nécessaires. La compromission des ces fichiers peut avoir de graves conséquences sur la sécurité de votre réseau.

Client sous Microsoft Windows

Maintenant que vous avez les fichiers d'authentification, il ne reste plus qu'à préparer le fichier de configuration. Créez un fichier nommé config.ovpn, et coller l'exemple de fichier de configuration disponible dans le menu de configuration du serveur VPN

Le fichier de configuration doit porter l'extension .ovpn et non pas .txt (par défaut , l'extension des fichiers est masquée sur les postes Microsoft)

Dans ce fichier de configuration, modifiez simplement le nom du certificat (dans l'exemple, le certificat se nomme user.p12, remplacez simplement user par le nom du fichier .p12 que vous avez téléchargez tout à l'heure.

Maintenant, il faut installer le client OpenVPN. Ce client est accessible en téléchargement sur le site officiel: http://openvpn.net/index.php/open-source/downloads.html

L'installation doit être faite en tant qu'administrateur.

L'installation crée un dossier C:\Pogram Files\OpenVPN\config dans lequel vous devrait placer:

Une fois ces 3 fichiers placés dans le répertoire, vous pouvez lancer le client OpenVPN et initier la connexion.

Sous Windows XP, le client VPN peut être exécuter sans les droits d'administrateurs. Il faut tout de même être membre du groupe Opérateur de configuration réseau. Sous Windows Vista et 7, l'application doit être lancée en tant qu'administrateur

Linux (avec Network-Manager)

Le logiciel de gestion des connexions réseaux par défaut sous linux s'appel NetworkManager. Il supporte plusieurs technologies de VPN, dont OpenVPN.

La première étape est de vérifier si le support d'OpenVPN est déjà présent, sinon, il faut l'installer. Sous debian et ses dérivés (comme ubuntu), le paquet s'appelle network-manager-openvpn-gnome ou network-manager-openvpn-kde (selon votre environnement de bureau). S'il n'est pas déjà installé, c'est le moment de le faire:

sudo apt-get install network-manager-openvpn-gnome

Pour les distribution Fedora et dérivées (RHEL, CentOS, Scientific Linux, ClearOS):

su -c 'yum install NetworkManager-openvpn'

Il faut créer un répertoire qui contiendra les certificats. Par exemple, le répertoire ~/vpn. On peut ensuite créer un sous répertoire par VPN configuré (il est possible d'avoir plusieurs connexions VPN):

Il faut maintenant récupérer les certificats au format PEM (PCKS12 est aussi supporté avec une version récente de NetworkManager, mais seulement si le certificat est protégé par un mot de passe)

Il vous faudra récupérer:

On peut afficher ce certificat depuis le lien “Display the root certificate (PEM encoded)” dans PHPki (Gestion des certificats). Il suffit ensuite de copier le contenu dans un fichier texte que l'on sauvegarde en tant que cacert.pem

Après avoir généré un certificat pour notre machine (de type “VPN Client Only” de préférence), on peut le télécharger depuis le lien de téléchargement correspondant, puis dans le menu déroulant, choisir “PEM certificate”

Une fois que tout ces fichiers sont placés dans le répertoire créé plus haut (~/vpn/bureau), on peut commencer la configuration de NetworkManager

Cliquer sur l'icône de NetworkManager, puis, sous menu VPN, et Configurer le VPN.

Dans le fenêtre ouverte, choisir “ajouter”

Dans le menu déroulant, sélectionner OpenVPN

Dans le nouvelle fenêtre, il faut entrer les paramètres de base:

Ensuite, cliquer sur le bouton “Avancé…” Dans l'onglet Général, cocher les cases “Utilisez la compression de données LZO” ainsi que “Utiliser un périphérique TAP”

Ensuite, sur l'onglet “Authentification TLS”, cocher la case utiliser une authentification TLS supplémentaire“, sélectionner le fichier takey.pem récupéré précédemment, et choisir 1 comme direction.

Il ne reste plus qu'à sauvegarder, et se connecter.

Messagerie instantanée

Ce menu vous permet de configurer le service de messagerie instantanée de votre iPasserelle.

Firewall-Services conseil l'utilisation du client gajim (http://gajim.org) sur les postes. Il possède de nombreux avantages:

Le module de messagerie instantanée est basé sur les composant suivants:

Inventaire, déploiement de logiciels

Ce module permet d'inventorier tout un parc de machine, et de remonter les information sur votre iPasserelle. Les inventaires de chaque machine contiendront:

Ce module permet également de déployer des logiciels sur tout le parc de machines.

La documentation complète est disponible sur le site du projet OCS Inventory

Ce module est basé sur les composants suivants:

Gestion de parc

Ce module vous permet de gérer tout votre parc (matériel, garanties, licences, stocks, les incidents etc…) Couplé au module d'inventaire, la majorité des éléments pourront être importés automatiquement.

La documentation complète est disponible sur le site du projet GLPI

Ce module est basé sur les composants suivants:

Analyse du trafic réseau

Ce module vous permet d'analyser tout le trafic réseau traversant l'iPasserelle. Vous pourrez classer les flux par protocole, source, destination, volumes de données etc…

Visualisation du trafic par protocoles applicatifs

La documentation est accessible sur le site officiel du projet Ntop

Ce module est basé sur les composants suivants:

Téléphonie sur IP

Ce module transforme votre iPasserelle en un véritable commutateur téléphonique privé.

Il offre toutes les fonctions que l'on attends d'un PBX moderne, et bien plus encore…. L'interfaceIl permet de mettre en place rapidement et simplement un « dialplan » complet, attribuer plusieurs téléphones à une personne, configurer un répondeur, créer un groupe d'appel ou une file d'attente, ou bien encore un IVR.

La page d'accueil donne un aperçus rapide de l'état du système:

Page d'accueil de l'interface de gesiton

Voici une liste non exhaustive des modules disponibles:

La gestion des routes sortantes basée sur des expressions régulières permet de minimiser les coûts des appels:

Configuration des routes sortantes

Votre iPasserelle dispose également une interface en flash, appelée FOP (pour Flash Operator Panel) qui permet de surveiller en temps réel l'utilisation des lignes, l'occupation des agents etc… il est également possible d'initier des communications internes, ou de transférer des appels depuis cette interface:

Flash Operator Panel

Le serveur peut interconnecter toutes les technologies de téléphonie, RTC, RNIS, GSM, SIP, IAX etc…

Il est possible de souscrire des abonnements pour acheminer les appels par IP (SIP ou IAX), ou encore d'ajouter des passerelles GSM pour bénéficier de coûts avantageux.

La documentation complète de l'interface de configuration est disponible sur le site officiel du projet FreePBX

Ce module est basé sur les composants suivants:

Serveur de fax

Ce module permet de transformer votre iPasserelle en un véritable serveur de fax. Il permet de recevoir et d'émettre des fax (par mail ou en utilisant une imprimante virtuelle) depuis n'importe quel poste du réseau. Il permet également d'archiver et de transmettre par email les fax reçus, en fonction du numéro sur lequel le fax est réceptionné. Intégré au module de téléphonie, il permet de recevoir les fax sur la même ligne que les appels, ou d'utiliser une ligne dédiée.

Ce module est basé sur les composants suivants:

Messagerie

Chaque utilisateur dispose d'une adresse de messagerie, déclinable avec plusieurs noms de domaine (si déclarés sur le serveur) et autant de pseudonymes que nécessaire. Les caractéristiques du compte pour configurer un logiciel client de messagerie sont :

Serveur IMAP: sas.[DOMAIN]
Sécurité: SSL
Port: 993 (imap)
Nom d'utilisateur: le login de l'utilisateur
Mot de passe: le mot de passe unique de l'utilisateur
Serveur sortant (smtp): sas.[DOMAIN]
Sécurité: SSL
Port 465
Authentification: identique au serveur entrant.

Utilisation avancée

Annuaire LDAP

Voici la liste des attributs LDAP correspondants aux informations disponibles sur cette page:

Correspondance entre les informations utilisateurs et les attributs LDAP

Champs d'information Attribut LDAP Tag signature Remarque
login uid Attribut standard
Prénom givenName __PRENOM__ Attribut standard
Nom sn __NOM__ Attribut standard
Service ou __SERVICE__ Attribut standard
Société o __ENTREPRISE__ Attribut standard
Adresse street __ADRESSE__ Attribut standard (pour la signature, le tag __ADRESSE__ est rempalcé par la concaténation de Adresse Code postal Ville)
Code postal postalCode __ADRESSE__ Attribut standard (pour la signature, le tag __ADRESSE__est rempalcé par la concaténation de Adresse Code postal Ville)
Ville l __ADRESSE__ Attribut standard (pour la signature, le tag __ADRESSE__
est rempalcé par la concaténation de Adresse Code postal Ville)
Téléphone telephoneNumber __TEL__ Attribut standard (pour la signature, la mention Tel: est ajouté avant le numéro de téléphone)
Téléphone portable mobile __MOBILE__ Attribut standard (pour la signature, la mention Mobile: est ajouté avant le numéro de mobile)
Téléphone interne extensionNumber Cet attribut non standard permet de stocker un numéro de téléphone interne (numéro court) différent du numéro de ligne directe (utile pour un annuaire interne)
Fax facsimileTelephoneNumber __FAX__ Attribut standard (pour la signature, la mention Fax: est ajouté avant le numéro de fax)
Fonction (4 champs disponibles) title __FONCTION__, __FONCTION2__, __FONCTION3__ et __FONCTION4__ Attribut standard multi-valué
Adresse Email préférée preferredMail __EMAIL__ Attribut non standard permettant de spécifier l'adresse mail à utiliser par défaut (l'attribut standard mail étant multi-valué et contient automatiquement tout les alias valable pour l'utilisateur). L'adresse mail spécifie ici sera également la première de la liste dans l'attribut mail (qui lui est standard)
Shell de connexion au serveur loginShell Cette valeur indique quel shell sera attribué à l'utilisateur lors de la connexion à l'iPasserelle. Il est recommandé de laisser le shell /usr/bin/rssh. Il est également possible de donner un shell bash (permettant alors un accès à l'iPasserelle en ligne de commande via SSH par exemple)
Shell de connexion aux postes de travail desktopLoginShell Cet attribut non standard permet de spécifier un shell alternatif, qui pourra être utilisé sur les autres stations de votre réseau. L'utilisation typique de cet attribut est lorsque vous désirez donner un shell /usr/bin/rssh sur l'iPasserelle elle-même, mais souhaitez donner un shell /bin/bash sur une station Linux du réseau utilisant l'annuaire LDAP de votre iPasserelle comme source d'autentification


DN LDAP

Le DN (Distinguish Name) est un identifiant unique sur un annuaire LDAP. Pour tous les utilisateurs, le DN est de la forme suivante:

uid=login,ou=Users,dc=domain,dc=tld

Filtres LDAP

La plupart des applications utilisant un annuaire LDAP comme source d'authentification peuvent appliquer des filtres pour restreindre la listes des utilisateurs valides. Voici quelques exemple de filtres que vous pouvez utiliser:

Maintenant que vous avez compris le principe, vous pouvez utiliser toutes sortes de combinaisons ;)

Génération automatique de signature de mail

Il est possible de générer automatiquement une signature de mail pour chaque utilisateur, en fonction d'un modèle prédéfini.
Pour cela, il suffit de placer les modèle dans le dossier (qui est créé automatiquement) templates_signature, qui se trouve sur la partage réseau nommé tools (ce partage est masqué par défaut, on peut toutefois y accéder en tapant directement \\sas\tools (Window) ou smb://sas/tools (Linux) dans la barre de navigation

Dans ce répertoire, il faut créer 2 fichiers:

Exemple:

email.txt
__PRENOM__ __NOM__
__FONCTION__
__ENTREPRISE__
__ADRESSE__
__EMAIL__
__TEL__ __MOBILE__
__FAX__
Web: http://mon-entreprise.com
email.html
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/html4/strict.dtd">
<html><head>
<meta content="text/html; charset=UTF-8" http-equiv="content-type"><title>signature mail</title></head><body>
<table style="text-align: left; width: 95%;" border="0" cellpadding="2" cellspacing="2">
  <tbody>
    <tr>
      <td style="vertical-align: bottom; width: 240px; height: 140px; text-align: center;"><img style="width: 238px; height: 130px;" alt="logo" src="http://extranet.mon-entreprise.com/images/logo.png" align="left"><br>
      </td>
      <td style="vertical-align: bottom; font-family: Helvetica,Arial,sans-serif; color: rgb(153, 153, 153); font-weight: bold; text-align: left;"><small>__PRENOM__ __NOM__ - __FONCTION__<br>
      <span style="font-weight: normal;">__ADRESSE__</span><br>
__EMAIL__<br>
__TEL__ __MOBILE__<br>
__FAX__<br>
      </small></td>
    </tr>
  </tbody>
</table>
  <br>
</body></html>

Les différents champs seront remplacés par leur valeurs indiqué dans le panel Informations Utilisateurs. À chaque modification d'un utilisateur, la signature sera régénérée et placée dans son répertoire personnel (un répertoire signature sera créé automatiquement)

Glossaire

1)
interface web centralisant la configuration de votre iPasserelle, cette interface est accessible sur l'adresse https://sas.[DOMAIN]/server-manager
2)
Une interface similaire au server-manager, mais destinée aux utilisateurs, elle est accessible sur l'URI https://sas.[DOMAIN]/user-manager