La solution VPN SSL NETASQ ne permet pas la gestion des droits d’accès aux serveurs configurés. En effet lorsque le service est configuré toutes les ressources mises à disposition par les administrateurs sont accessibles à tous les utilisateurs authentifiés utilisant le service VPN SSL des IPS-Firewalls NETASQ.
Ce document vise à proposer une solution, malheureusement incomplète et donc non optimale, pour permettre l’autorisation ou le rejet silencieux des tentatives d’accès des utilisateurs aux ressources partagées par le service VPN SSL. La solution est incomplète car le rejet est silencieux et parce qu’elle ne concerne que les ressources HTTP.
Cette solution est permise uniquement parce que le module VPN SSL est intégré à l’appliance. Elle combine l’authentification et le filtrage des IPS-Firewalls.
Gestion des droits et VPN SSL
1. Activation du module VPN SSL
La gestion des droits d’accès du service VPN SSL est effectuée grâce au filtrage. La configuration du service VPN SSL reste identique (Voir documentation de configuration des IPS-Firewalls) :
1. Configuration des ressources partagées : serveurs HTTP,
2. Activation du module VPN SSL.
2. Création des utilisateurs
Chaque utilisateur autorisé à utiliser le service VPN SSL doit posséder l’attribut « NetasqAllowed-access=xvpn » dans sa fiche. Dans le Firewall Manager cela se traduit par la sélection de l’option « Par VPN SSL » de l’onglet « Accès » de la fiche utilisateur.
3. Filtrage des accès aux ressources partagées
Afin d’autoriser l’accès au service VPN SSL, il faut configurer les règles de filtrage. Des règles implicites permettent cette configuration, toutefois, ici, il s’agira de créer les règles de filtrage de façon explicite. Pour configurer les règles de filtrage, dirigez-vous dans le menu « Politique > Filtrage » du Firewall Manager.
Page 2 sur 3 Référence: na_tn_droitsVPNSSL_001_fr Droits et VPN SSL
La vue précédente montre un exemple d’une politique de filtrage dans laquelle : deux groupes d’utilisateurs (« Acces_Intranet » et « Acces Webmail ») peuvent accéder, suite à une authentification réussie, aux ressources partagées (respectivement l’Intranet pour le premier groupe et le Webmail pour le second). Dans le cas contraire l’accès est interdit. L’action « réinitialisation » permet de s’affranchir du délai d’expiration de la connexion.
