Vous êtes sur la page 1sur 76

Alcatel-Lucent OmniVista 4760

Network Management System


Guide de Scurit
Alcatel-Lucent OmniVista 4760 Network Management System
All Rights Reserved Alcatel-Lucent 2010
Informations lgales :
Alcatel, Lucent, Alcatel-Lucent et le logo Alcatel-Lucent sont des marques
dAlcatel-Lucent. Toutes les autres marques appartiennent leurs
propritaires respectifs.
Les informations prsentes sont sujettes modification sans pravis.
Alcatel-Lucent ne peut tre tenu pour responsable de linexactitude de ces
informations.
Copyright 2010 Alcatel-Lucent. Tous droits rservs.
Le marquage CE indique que ce produit est conforme aux directives
communautaires suivantes :
- 2004/108/EC (Compatibilit lectromagntique)
- 2006/95/EC (Scurit Basse Tension)
- 1999/5/EC (R&TTE)
Chapitre 1
Introduction
Chapitre 2
Procdure recommande pour le dploiement dune solution
OmniVista 4760 en environnement scuris
2.1 Choix et configuration du systme dexploitation ..................... 2.1
2.2 Dfinition de lenvironnement rseau ............................................. 2.1
2.3 Scurisation des donnes PCX ......................................................... 2.3
2.4 Scurisation des donnes de l'OmniVista 4760 .......................... 2.3
2.5 Bonnes pratiques en cas de dtection dune faille de scurit
........................................................................................................................ 2.3
Chapitre 3
Dploiement d'OmniVista 4760 dans un environnement Windows scuris
3.1 Gnralits ............................................................................................... 3.1
3.2 Compatibilit avec le systme dexploitation .............................. 3.1
3.2.1 Gnralits .................................................................................................... 3.1
Sommaire
Gui!c !c Sccuriic
8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 0-1
3.2.2 Type de matriel ............................................................................................ 3.1
3.2.3 Systme dexploitation et Service Pack ......................................................... 3.2
3.2.4 Personnalisation de Windows (suppression de services et de fichiers) ........ 3.2
3.2.5 mulation Windows : VM-Ware, MS Virtual Server 2005 .............................. 3.3
3.2.6 Services constructeur .................................................................................... 3.3
3.2.7 Carte mre ..................................................................................................... 3.3
3.3 Compatibilit et utilisation des services Windows .................... 3.4
3.3.1 Au cours de linstallation / mise jour ........................................................... 3.4
3.3.2 En cours de fonctionnement .......................................................................... 3.5
3.4 Outils de scurit ................................................................................... 3.9
3.4.1 Compatibilit avec les logiciels antivirus ....................................................... 3.9
3.4.2 Compatibilit avec le pare-Feu Windows .....................................................3.10
3.4.3 Compatibilit avec un proxy .........................................................................3.13
3.4.4 Renforcement de la scurit avec SynAttackProtect ...................................3.13
3.4.5 Renforcement de la scurit avec DEP ........................................................3.14
3.5 Compatibilit avec les applications externes .............................3.14
3.5.1 tude de compatibilit ..................................................................................3.14
3.5.2 Compatibilit en termes de performances ....................................................3.15
3.5.3 Fichiers dll ....................................................................................................3.15
3.5.4 Java Run Time .............................................................................................3.15
3.5.5 Ports et Services IP ......................................................................................3.16
3.5.6 Compatibilit avec les outils de sauvegarde PC ..........................................3.16
3.5.7 Compatibilit avec les outils de connexion distance .................................3.16
3.5.8 Compatibilits avec d'autres applications AlcatelLucent ..........................3.17
3.6 Gestion de comptes Windows utiliss par le serveur
OmniVista 4760 ......................................................................................3.18
3.6.1 Compte pour installation ...............................................................................3.18
3.6.2 Compte utiliser pour le lancement dun client OmniVista 4760 .................3.18
3.6.3 Oprations de maintenance avec ressources rseau ..................................3.18
3.6.4 Planification de lexportation ou de limpression de rapports ........................3.23
3.6.5 Archivage et restauration des fichiers de taxation ........................................3.24
3.6.6 Collecteur de fichiers de taxation .................................................................3.25
3.6.7 Rception dalarmes urgentes de lOmniPCX Office ....................................3.26
3.7 Gestion du partage de rpertoires ..................................................3.26
3.7.1 Gestion de lOmniPCX Office .......................................................................3.26
3.7.2 Partage de OmniVista 4760_ARC ................................................................3.27
Gui!c !c Sccuriic
0-2 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic
3.7.3 Autres partages ............................................................................................3.28
3.8 Envoi de message lectronique (e-mails) ....................................3.28
Chapitre 4
Dploiement dOmniVista 4760 dans une configuration rseau scurise
4.1 Trafic IP sur serveur OmniVista 4760 ............................................. 4.1
4.2 Trafic IP sur client OmniVista 4760 .................................................. 4.6
4.3 Trafic IP sur OmniPCX Enterprise pour la gestion de
l'OmniVista 4760 ..................................................................................... 4.6
4.4 Trafic IP sur l'OmniPCX Office pour la gestion de l'OmniVista
4760 ............................................................................................................. 4.7
4.5 Trafic IP sur un hyperviseur ............................................................... 4.8
4.6 Trafic IP sur un 4059 ............................................................................. 4.9
4.7 Fonctionnement de l'OmniVista 4760 sur un rseau VPN/NAT
........................................................................................................................ 4.9
4.7.1 PRSENTATION ........................................................................................... 4.9
4.7.2 Protocole VPN/NAT ....................................................................................... 4.9
4.7.3 Accs du client OmniVista 4760 au serveur via NAT ...................................4.10
4.7.4 Accs du serveur OmniVista 4760 l'Alcatel-Lucent OmniPCX Enterprise
Communication Server via NAT ...................................................................4.12
4.7.5 Accs du serveur OmniVista 4760 l'OmniPCX Office via NAT .................4.12
4.7.6 Accs du serveur OmniVista 4760 au client d'annuaire Web 4059 via NAT 4.12
4.7.7 Dpannage du transfert FTP ........................................................................4.12
Chapitre 5
Scurisation des donnes PCX en cas de gestion par un serveur
OmniVista 4760
5.1 Alcatel-Lucent OmniPCX Enterprise CS ........................................ 5.1
5.1.1 Mise en uvre de Connexion SSH ............................................................... 5.1
Gui!c !c Sccuriic
8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 0-3
5.1.2 Scurisation de l'accs l'Alcatel-Lucent OmniPCX Enterprise CS ............. 5.4
5.2 OmniPCX Office ...................................................................................... 5.5
5.2.1 Configuration ................................................................................................ 5.5
5.2.2 Synchronisation des donnes OmniPCX Office ............................................ 5.5
5.2.3 Accs Internet ................................................................................................ 5.5
Chapitre 6
Scurisation des donnes OmniVista 4760
6.1 Configuration autonome ...................................................................... 6.1
6.2 Dploiement du protocole IPSec dans une configuration
serveur-clients distants ....................................................................... 6.1
6.2.1 Configuration requise .................................................................................... 6.1
6.2.2 Implmentation .............................................................................................. 6.1
6.2.3 Restriction ...................................................................................................... 6.2
6.2.4 Configuration ................................................................................................ 6.2
6.3 Scurit daccs aux applications OmniVista 4760 ................... 6.7
6.3.1 Application Scurit ....................................................................................... 6.7
6.3.2 Confidentialit des donnes dannuaire ........................................................ 6.9
6.3.3 Confidentialit des donnes de taxation et dobservation de trafic ..............6.12
6.4 Procdure de changement des mots de passe ..........................6.12
6.5 Scurisation des notifications dalarmes urgentes OmniPCX
Office .........................................................................................................6.14
6.6 Scuriser laccs lannuaire LDAP par des applications
externes. ...................................................................................................6.14
6.7 Autres Recommandations .................................................................6.14
Gui!c !c Sccuriic
0-4 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic
Ce guide de scurit a pour objectif de fournir aux administrateurs de l'Alcatel-Lucent
OmniVista 4760 Network Management System (dsign par OmniVista 4760 dans ce
document) les informations ncessaires la prise en compte des lments de scurit lors du
dploiement ainsi que les mthodes appliquer pour scuriser ce systme de gestion des
OmniPCX Alcatel-Lucent.
La section 2 prsente la procdure suivre pour dployer l'OmniVista 4760 dans un
environnement contenant des lments de scurit et pour renforcer la scurit de la gestion
d'OmniPCX par lintermdiaire de l'OmniVista 4760.
Les informations et procdures requises pour chacune de ces tapes sont dtailles dans les
sections suivantes :
- Les sections 3 et 4 fournissent les recommandations et informations prendre en compte
avant d'intgrer l'OmniVista 4760 dans un environnement scuris (au niveau du systme
d'exploitation ou du rseau), ainsi que les procdures appliquer pour que certaines
applications de l'OmniVista 4760 fonctionnent avec les ressources rseau.
- Les sections 5 et 6 indiquent les moyens mettre en uvre pour renforcer la scurit des
donnes collectes ou gres par l'OmniVista 4760.
La section 7 indique l'URL de l'quipe de rsolution des incidents de scurit pour les produits
Alcatel-Lucent et comment rapporter une vulnrabilit de scurit.
Chapitre
1
lntroductlon
8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 1-1
Chapitre 1 |nirc!uciicn
1-2 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic
2.1 Choix et configuration du systme dexploitation
Recommandations :
- Serveur OmniVista 4760 :
Windows 2003 SP2 recommand
Profil de scurit recommand : serveur membre.
Pare-feu : activ, accepter les exceptions concernant les programmes utiliss par le
serveur OmniVista 4760.
- Client OmniVista 4760 :
Windows XP SP3 recommand
Pare-feu : activ, accepter les exceptions concernant les programmes utiliss par le
client OmniVista 4760.
- Mise jour avec Windows Update :
Uniquement pour patch de scurit.
Installer les hotfixes de scurit de Windows. Lors de linstallation, il est ncessaire de
slectionner les options permettant ensuite de dsinstaller tout hotfix ou service pack de
Windows.
Antivirus : activer et assurer la mise jour dun systme antivirus sur les ordinateurs
hbergeant les applications OmniVista 4760 (client ou serveur).
- Mise en oeuvre:
Voir module Scurit - Deploying the OmniVista 4760 in a Secure Windows
Environment pour le dploiement de lapplication OmniVista 4760 dans un
environnement Windows scuris.
La mise en place de profils de scurit Windows a pour effet darrter certains services
systme ; il faut donc sassurer que les services ncessaires linstallation et au
fonctionnement du serveur OmniVista 4760 sont dmarrs.
2.2 Dfinition de lenvironnement rseau
Note :
Ce guide de scurit prsente les solutions mettre en uvre en cas de connectivit ethernet entre les
quipements OmniPCX et OmniVista 4760.
Dans le cas dune autre connectivit (PPP), les mmes recommandations et procdures
pourront tre appliques mais des protocoles et services supplmentaires devront tre
activs. Il est par ailleurs possible dajouter un niveau dauthentification supplmentaire en cas
dactivation du protocole PPP.
Recommandations :
Chapitre
2
Procedure recommundee pour Ie
depIolement dune soIutlon Om-
8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 2-1
Figure 2.1 : Exemple de dploiement sur un rseau priv client (intranet)
Les clients OmniVista 4760 distants sont facultatifs. Ninstaller que les clients utiles.
La configuration autonome (client local au serveur) rduit le risque dattaque contre le serveur
OmniVista 4760.
Pour renforcer la scurit du serveur OmniVista 4760 :
- Installer le serveur dans le mme sous-rseau que les PCX.
- Lancer les applications OmniVista 4760 partir de clients OmniVista 4760 connects au
serveur via un tunnel Ipsec.
Choix de limplmentation dans des domaines Windows :
Le serveur OmniVista 4760 et ses clients distants peuvent tre configurs dans un groupe de
travail (les clients doivent tre dans le mme groupe de travail que le serveur) et non dans des
domaines Windows.
Ceci facilite la configuration du serveur (et de ses services) et permet dviter les impacts des
modifications de droits de scurit des domaines du rseau. Mais, dans ce contexte, le
serveur ne pourra pas utiliser les ressources situes hors de ce Workgroup (imprimante,
disques de sauvegardes ...etc).
Lorsque le serveur OmniVista 4760 et ses clients distants sont configurs dans un domaine
Windows, suivre les recommandations des sections 3.5 et 3.6 pour ouvrir laccs aux
ressources rseau tout en conservant un bon niveau de scurit.
Mise en oeuvre:
Se reporter la section module Scurit - Deploying the OmniVista 4760 in a Secure Network
Configuration pour le dploiement de lapplication OmniVista 4760 dans un environnement
rseau contenant des lments de scurit.
Chapitre 2 Prccc!urc rcccnnan!cc pcur |c !cp|cicncni !unc
sc|uiicn OnniVisia 4760 cn cntircnncncni sccurisc
2-2 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic
2.3 Scurisation des donnes PCX
- Recommandations :
OmniPCX Enterprise : dployer la scurit SSH (disponible uniquement pour les
OXE>= 6.0) et le controle daccs
OmniPCX Office : suivre les recommandations de scurit fournies par le support
technique dOmniPCX Office.
- Mise en oeuvre:
Voir module Scurit - How to Secure the OmniVista 4760 Data? pour renforcer la
scurit des donnes dun OmniPCX Alcatel-Lucent en cas de gestion distance par
un serveur OmniVista 4760.
Se reporter aux notices de scurit respectives des systmes OmniPCX.
2.4 Scurisation des donnes de l'OmniVista 4760
- Recommandations :
Mettre en uvre les outils de scurit des applications OmniVista 4760 (voir section 6) :
Dployer Ipsec dans une configuration serveur- clients distants
Mettre en uvre la scurit daccs aux applications OmniVista 4760
Procder de faon rgulire aux changements de mots de passe
Scuriser laccs lannuaire LDAP par des applications externes
Suivre les recommandations de scurit de Microsoft lorsquelles sont compatibles
avec le fonctionnement des applications OmniVista 4760.
- Mise en oeuvre:
Voir module Scurit - How to Secure the OmniVista 4760 Data? pour renforcer la scurit
des donnes dun OmniVista 4760.
2.5 Bonnes pratiques en cas de dtection dune faille de scurit
- La faille concerne un composant Microsoft :
Installer les hotfixes de scurit de Windows correspondant la faille.
- La faille de scurit concerne un composant utilis par l'OmniVista 4760 :
Programmer une sauvegarde rgulire du serveur OmniVista 4760.
Contacter le service Support Technique d'Alcatel-Lucent pour signaler cette faille de
scurit.
Installer, ds sa sortie, la version de l'OmniVista 4760 implmentant le correctif de
scurit.
- La faille de scurit concerne une application externe l'OmniVista 4760 :
Programmer une sauvegarde rgulire du serveur OmniVista 4760.
Contacter le fournisseur de lapplication externe concerne et suivre ses recommandations
de scurit. Si ces dernires savrent incompatibles avec les recommandations de
scurit dcrites dans ce guide, contacter le service Support Technique d'Alcatel-Lucent.
Prccc!urc rcccnnan!cc pcur |c !cp|cicncni !unc sc|uiicn OnniVisia 4760 cn
cntircnncncni sccurisc
8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 2-3
Chapitre 2 Prccc!urc rcccnnan!cc pcur |c !cp|cicncni !unc
sc|uiicn OnniVisia 4760 cn cntircnncncni sccurisc
2-4 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic
Objectif de ce chapitre : fournir les procdures et paramtrages appliquer pour dployer et
utiliser l'OmniVista 4760 dans un environnement Windows scuris (systme dexploitation
scuris par des lments et mthodes de scurit).
3.1 Gnralits
Le dploiement de l'OmniVista 4760 dans un environnement Windows requiert les conditions
suivantes :
- Compatibilit entre l'OmniVista 4760 et le systme d'exploitation.
- Activation des services Windows requis pour linstallation et le fonctionnement de
l'OmniVista 4760, et dsactivation des services gnant linstallation ou le fonctionnement
de l'OmniVista 4760.
- Compatibilit entre l'OmniVista 4760 et les outils de scurit installs dans
lenvironnement Windows.
- Compatibilit entre l'OmniVista 4760 et les autres applications externes installes dans le
mme environnement.
- Configuration de comptes Windows et de ressources rseau pour un fonctionnement
scuris.
3.2 Compatibilit avec le systme dexploitation
3.2.1 Gnralits
La compatibilit entre l'OmniVista 4760 et un systme dexploitation inclut les conditions
suivantes :
- Compatibilit avec le matriel
- Compatibilit avec le Systme dexploitation
- Compatibilit avec les services packs installs
- Compatibilit avec le type dinstallation du systme dexploitation
- Compatibilit avec la personnalisation (ou le paramtrage spcifique) du systme
dexploitation install
Il importe donc de se conformer aux prrequis du manuel dinstallation de l'OmniVista 4760,
ainsi quaux procdures dinstallation et de dsinstallation de l'OmniVista 4760.
3.2.2 Type de matriel
Certains fabricants de PC peuvent spcifier le type de systme dexploitation. Par consquent,
avant mme denvisager la compatibilit de l'OmniVista 4760, s'assurer que le matriel peut
prendre en charge le systme dexploitation choisi.
- Exemple
Le serveur HP/Compaq ML370 ne prend pas en charge les systmes d'exploitation de poste
de travail ou professionnels. Seul un systme d'exploitation serveur peut tre utilis (Windows
Chapitre
3
DepIolement dOmnlVlstu 4760
duns un entlronnement Wln-
8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 3-1
XP Professionnel, Windows 2003, Vista, etc.). Sur certains PC, en particulier le HP ML370G4,
l'installation du Service Pack 1 pour Windows 2003 Server ncessite la mise jour du Bios et
de certains pilotes.
3.2.3 Systme dexploitation et Service Pack
- Compatibilit
Le tableau ci-aprs indique les versions de Windows et les Service Packs pris en charge
par la version R5.1.1 de lapplication OmniVista 4760.
tableau 3.1 : Configuration requise
Petite capacit Moyenne capacit Grande capacit
Capacit d'abonns <250 abonns 250
5 000 utilisateurs
> 5 000 abonns
Systme d'exploitation Windows XP Professionnel (Service Pack 3)
Windows 2003 Serveur Standard Edition
(Service Pack 2 minimum obligatoire)
Windows Vista
Windows 2003 Ser-
veur Standard Edition
(Service Pack 2 mini-
mum obligatoire)
Navigateur Internet Mozilla FireFox 2.0
Internet Explorer version 7.0
- Incompatibilits connues :
Les fonctions de contrleur de domaine, de serveur Web et de serveur FTP livres avec le
systme dexploitation ne doivent pas tre installes.
3.2.4 Personnalisation de Windows (suppression de services et de fichiers)
compter de la version R5.1.1, les services Telephony et Remote Access Connection
manager ne sont requis que pour la connexion PPP.
Pour des raisons de scurit, il faut dsactiver le service Remote Access Connection manager
lorsque la connexion PPP n'est pas utilise.
La dsactivation du service Remote Access Connection manager arrte le service
NMC Comserver.
Pour vous assurer que le service NMC Comserver est arrt, modifiez le fichier
NMComserver.log. L'indication No modem indique que le service NMC Comserver est
arrt.
Pendant l'accs la configuration PCX, le message suivant s'affiche : No URL Scheme
specified.
La dsactivation du service Server interdit lutilisation des partages Windows. En particulier,
ceux situs sous 4760_arc ne seront plus visibles, ce qui empchera l'installation de
l'OmniVista 4760 pendant la phase : Launch svShareName.
La solution dans ce cas consiste relancer le service Server.
Par dfaut, sous Windows, chaque fichier possde un nom long et un nom court (exemple :
C:\program file et C:\program~1). Ce comportement de Windows ne doit pas tre
modifi. En effet, la suppression des noms de fichier courts empcherait laccs la base de
donnes Sybase pendant linstallation et donc empcherait linstallation du serveur OmniVista
4760.
Exemple :
Chapitre 3 Ocp|cicncni !OnniVisia 4760 !ans un cntircnncncni
Win!cus sccurisc
3-2 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic
Sybase est install sous C:\program files\Sybase\SQL Anywhere 9.
- Si les noms courts sont autoriss, l'OmniVista 4760 peut accder
C:\progra~1\SQLany~1\win32\dbisql.
- Dans le cas contraire, l'OmniVista 4760 tente d'utiliser C:\program
files\Sybase\SQL Anywhere 9\win32\dbisql, ce qui gnre une erreur dans le
fichier _4760_log_Setup\batch\dbsiql.log.
Procdure pour activer la cration des noms courts :
1. Cliquer sur Dmarrer puis Excuter, puis saisir regedit et valider.
2. Dans le registre Windows, localisez la cl suivante
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem.
3. Modifiez la valeur DWORD de la faon suivante : NtfsDisable8dot3NameCreation =
0.
3.2.5 mulation Windows : VM-Ware, MS Virtual Server 2005
VM-Ware et MS Virtual Server permettent de dmarrer des machines virtuelles. Ainsi,
plusieurs systmes d'exploitation peuvent s'excuter simultanment sur un seul serveur
physique.
Le serveur OmniVista 4760 est compatible avec la plate-forme Vmware partir de la version
R5.1.1. Cependant, MS Virtual Server n'est toujours pas pris en charge, en particulier dans un
environnement de production : il n'existe pas de tests de performance, ni de validation.
Dans le cadre de l'OmniVista 4760, de tels outils ne pourront tre mis en uvre que pour des
tests d'interface ou pour des captures dcran destines la documentation.
3.2.6 Services constructeur
Les fabricants de PC fournissent des outils permettant d'administrer une base de PC installe.
Ces outils peuvent utiliser des services ou des fichiers dll incompatibles dj prsents dans
l'application OmniVista 4760.
- Exemple de problmes connus :
Les serveurs de la gamme Compaq/HP sont livrs avec les services Compaq/Agent
Foundation. Ces services sappuient sur le service Windows SNMP. Si ce service SNMP
est dmarr, linstallation choue.
Les serveurs DELL sont livrs avec le service DELL open management qui sappuie sur
une ancienne version du fichier dll de notification, JTC1012.dll. Lorsque cette DLL est
charge avant celle de l'OmniVista 4760, les notifications ne sont plus prises en compte :
dsinstallez l'utilitaire et vrifiez le chemin de Windows.
3.2.7 Carte mre
Le serveur OmniVista 4760 doit pouvoir arrter, dsinstaller et rinstaller ses propres services
NMC. Sur certains PC, le mode darrt et de redmarrage des services peut tre modifi.
Cette modification empche le redmarrage du serveur OmniVista 4760.
- Exemple de dysfonctionnement : arrt du PC - correction :
Un arrt Windows envoie un signal vers les services pour leur demander de s'arrter. Si ce
signal ne peut pas tre mis/intercept temps, le PC risque de redmarrer avec un tat
transitoire: service en cours de suppression. Il faudra un second arrt du PC pour
Ocp|cicncni !OnniVisia 4760 !ans un cntircnncncni Win!cus sccurisc
8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 3-3
rellement supprimer ces services.
Le problme apparat sur un PC Intel (fourni par PERTEC) lorsqu'il est quip de carte
mre S815EBM1. Cette carte mre quipe les PC avec la rfrence : NEXPCS815E,
NEX1120C.
Arrter le service NMC service manager avant l'arrt du PC :
Ecrire un script Stop.bat contenant la ligne net stop NMC Service Manager
Forcer Windows excuter le script l'arrt du PC :
Ouvrir le composant Stratgie de groupe en lanant
C:\WINNT\SYSTEM32\gpedit.msc
Slectionner Configuration ordinateur -> Paramtre Windows ->
Scripts (dmarrage/arrt) -> Arrter le systme.
Ajouter le fichier Stop.bat.
3.3 Compatibilit et utilisation des services Windows
3.3.1 Au cours de linstallation / mise jour
- Installation du serveur OmniVista 4760 :
Le tableau ci-aprs rpertorie les services Windows devant tre dmarrs pendant
linstallation du serveur OmniVista 4760.
tableau 3.2 : Services Windows requis pour l'installation de l'OmniVista 4760
Nom affich Nom Image Commentaires
Protected Storage ProtectedStorage Lsass.exe
Remote procedure
call
RPCSS SvcHost.exe
Security account ma-
nager
sasms Lsass.exe
Network Connections Network Connections SvcHost.exe
Windows Firewall/In-
ternet Connection
Sharing (ICS)
SharedAccess SvcHost.exe
NetBIOS over TCP/IP
driver (Direct hosted
SMB traffic mode)
Netbt.sys Ncessaire en cas
dutilisation de par-
tages rseau.
NetBIOS over TCP/IP
driver (NBT mode)
Netbt.sys Ncessaire en cas
dutilisation de par-
tages rseau.
TCP/IP NetBIOS hel-
per
LmHosts SvcHost.exe Ncessaire en cas
dutilisation de Net-
BIOS over TCP/IP
DNS client DnsCache SvcHost.exe Obligatoire pendant
linstallation du ser-
veur OmniVista 4760,
ce service pourra tre
dsactiv aprs
linstallation.
Chapitre 3 Ocp|cicncni !OnniVisia 4760 !ans un cntircnncncni
Win!cus sccurisc
3-4 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic
Serveur LanmanServer SvcHost.exe
Le tableau ci-aprs rpertorie les services Windows devant tre arrts pendant
linstallation du serveur OmniVista 4760.
tableau 3.3 : Services Windows arrter pour l'installation du serveur OmniVista 4760
Nom affich Nom Image Commentaires
Application Layer Ga-
teway Service
Agl Agl.exe Il faut dsactiver le
service AGL pendant
linstallation de l'Omni-
Vista 4760.
- Installation du client v :
Le tableau ci-aprs rpertorie les services Windows devant tre arrts pendant
linstallation du client OmniVista 4760.
tableau 3.4 : Services Windows arrter pour l'installation du client OmniVista 4760
Nom affich Nom Image Commentaires
Application Layer Ga-
teway Service
Agl Agl.exe Il faut dsactiver le
service AGL pendant
linstallation de l'Omni-
Vista 4760.
3.3.2 En cours de fonctionnement
- Serveur Alcatel-Lucent
Le tableau ci-aprs rpertorie les services devant tre dmarrs pour un fonctionnement
normal du serveur v.
Nom affich Nom Nom de limage Commentaires
Protected Sto-
rage
ProtectedStorage Lsass.exe
Remote proce-
dure call
RPCSS SvcHost.exe
Security account
manager
sasms Lsass.exe
Network Connec-
tions
Network Connec-
tions
SvcHost.exe
Windows Fire-
wall/Internet
Connection Sha-
ring (ICS)
SharedAccess SvcHost.exe
Remote Access
Connection Ma-
nager
RasMan SvcHosts.exe
Remote Adminis-
tration Service
srvcsurg srvcsurg.exe
Telephony TapiSrv SvcHosts.exe
Ocp|cicncni !OnniVisia 4760 !ans un cntircnncncni Win!cus sccurisc
8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 3-5
Nom affich Nom Nom de limage Commentaires
Plug And Play PlugPlay Services.exe
IPSec Services PolicyAgent Lsass.exe Ncessaire lorsque le protocole IP-
Sec est utilis pour:
Accder au serveur OmniVista
4760 depuis un client distant
OmniVista 4760.
Utilisez le logiciel OMC sur un
client distant OmniVista 4760
pour accder au rpertoire LDAP
partir d'une application ex-
terne : 4059, duplication LDAP,
OXE-Phonebook, etc.
Routing and Re-
mote Access
RemoteAccess SvcHosts.exe Englobe des fonctionnalits de pare-
feu et nest pas compatible avec le
pare-feu de Windows. Dans ce cas,
vous devez arrter le pare-feu de
Windows et le service ICS de par-
tage de connexion Internet.
Service ncessaire pour la remonte
dalarmes urgentes dOmniPCX Of-
fice en connectivit PPP unique-
ment.
NetBIOS over
TCP/IP driver
(Direct hosted
SMB traffic
mode)
Netbt.sys Ncessaire pour lutilisation de res-
sources rseau partages.
TCP/IP NetBIOS
helper
LmHosts SvcHost.exe
Net Logon NetLogon Lsass.exe Ncessaire en cas de partages r-
seau pour :
Accder des ressources r-
seau depuis le serveur OmniVis-
ta 4760
Accder aux annuaires du ser-
veur 4760
Configurer OmniPCX Office
(utilisation du logiciel OMC sur le
serveur OmniVista 4760 ou sur
des clients distants)
Serveur LanmanServer SvcHost.exe Ncessaire en cas dutilisation de
partages rseau pour :
Accder aux annuaires du ser-
veur 4760
Configurer OmniPCX Office
(utilisation du logiciel OMC sur le
serveur OmniVista 4760 ou sur
des clients distants)
Chapitre 3 Ocp|cicncni !OnniVisia 4760 !ans un cntircnncncni
Win!cus sccurisc
3-6 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic
Nom affich Nom Nom de limage Commentaires
Workstation ser-
vice
LanmanWorsta-
tion
SvcHost.exe Ncessaire en cas dutilisation de
partages rseau pour :
Accder des ressources r-
seau depuis le serveur OmniVis-
ta 4760
Accder aux annuaires du ser-
veur 4760
Configurer OmniPCX Office
(utilisation du logiciel OMC sur le
serveur OmniVista 4760 ou sur
des clients distants)
Print Spooler Spooler Spoolsv.exe Ncessaire pour imprimer dans les
cas suivants :
Utilisation de limprimante r-
seau depuis le serveur OmniVis-
ta 4760
Impression de rapports
Apache Apache httpd.exe
NMC Alarm Ser-
ver
NMC Alarm Ser-
ver
FaultMana-
ger.exe
Serveur d'audit
NMC
Serveur d'audit
NMC
AuditServer.exe
NMC Communi-
cation Server
NMC Communi-
cation Server
ComServer.exe
NMC CMISE Ser-
ver
NMC CMISE Ser-
ver
cmisd.exe
NMC Execu-
tables Launcher
NMC Execu-
tables Launcher
execdEx.exe
NMC Extractor NMC Extractor extractor.exe
NMC GCS NMC GCS GCSAdmin.exe
Administration
Server
Administration
Server
NMC GCS Config
Server
NMC GCS Config
Server
GCSConfig.exe
NMC License
Server
NMC License
Server
LicenseSer-
ver.exe
NMC Loader NMC Loader loader.exe
NMC Save Res-
tore
NMC Save Res-
tore
save_restore.exe
NMC Scheduler NMC Scheduler scheduler.exe
NMC Security
Server
NMC Security
Server
securityser-
ver.exe
NMC PBX/Ldap
Synchronization
NMC PBX/Ldap
Synchronization
SyncL-
dapPbx.exe
Ocp|cicncni !OnniVisia 4760 !ans un cntircnncncni Win!cus sccurisc
8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 3-7
Nom affich Nom Nom de limage Commentaires
NMC Service Ma-
nager
NMC Service Ma-
nager
svc_mgr.exe
NMC50 Data-
Base
NMC50 Data-
Base
dbsrv9.exe
Orbacus Notify
Service
Orbacus Notify
Service
ns_service.exe
SunOne Adminis-
tration Server 5.2
SunOne Adminis-
tration Server 5.2
ns-httpd.exe
SunOne Directory
Server 5.2
SunOne Directory
Server 5.2
ns-slapd.exe
ACAPI alarm ser-
ver
AcapiAlarmsSer-
ver
Plugger.exe
Serveur ACAPI
CMISE
AcapiCmisd Cmisd.exe Serveur ACAPI CMISE
Acapi communi-
cation server
AcapiComServer ComServer.exe
Acapi GCS admi-
nistration server
AcapiGCSAdmin GCSAdmin.exe Acapi GCS administration server
Acapi GCS conf
server
AcapiGCSConfig GCSAdmin.exe
Acapi GCS LDAP
server
AcapiLDAPsSer-
ver
slapd.exe Acapi OpenLDAP Server
ACAPI notifica-
tion proxy
AcapiNotification-
Proxy
Notification-
Proxy.exe
ACAPI rescue AcapiRescue rescue.exe
ACAPI Service
Manager
AcapiSvcMgr svc_mgr.exe ACAPI Service Manager
Alcatel Backup
Service
Alcatel Backup
Service
backup.exe Sauvegarde
Alcatel DataAc-
cess Service
Alcatel DataAc-
cess Service
da-
ta_access_servic
e.exe
fournit des donnes sur les utilisa-
teurs et les applications
Alcatel Database
Server
Alcatel Database
Server
dbsrv10.exe
Alcatel Device
Management
Core
Alcatel Device
Management
Core
de-
vice_managemen
t_core.exe
Alcatel Events
Server
Alcatel Events
Server
events_server.ex
e
Permet aux services d'envoyer des
vnements et aux applications ou
services d'ouvrir des abonnements
pour recevoir ces vnements.
Alcatel FLEXlm
Service
Alcatel FLEXlm
Service
Lmgrd.exe
Chapitre 3 Ocp|cicncni !OnniVisia 4760 !ans un cntircnncncni
Win!cus sccurisc
3-8 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic
Nom affich Nom Nom de limage Commentaires
Alcatel Logs Ro-
tate Service
Alcatel Logs Ro-
tate Service
alc_logs_rotate.e
xe
Fournit la rotation de journaux
Alcatel OpenL-
DAP-DB-Recover
Alcatel OpenL-
DAP-DB-Recover
DBRecoverNT-
Service.exe
Alcatel OpenL-
DAP-slapd
Alcatel OpenL-
DAP-slapd
slapd.exe
Alcatel PBX Ma-
nagement Ser-
vice
Alcatel PBX Ma-
nagement Ser-
vice
pcx_management
_service.exe
gre la configuration des abonns
d'un rseau pbx
Alcatel Supervi-
sion Agent
Alcatel Supervi-
sion Agent
supervi-
sion_agent.exe
Fournit un agent de supervision
Alcatel Supervi-
sion Client
Alcatel Supervi-
sion Client
supervi-
sion_client.exe
Fournit un client de supervision
Alcatel Unified
Management Fra-
mework Core
Alcatel Unified
Management Fra-
mework Core
uni-
fied_managemen
t_framework_cor
e.exe
Fournit un noyau d'infrastructure de
gestion unifie
Alcatel Universal
Directory Access
Service
Alcatel Universal
Directory Access
Service
univer-
sal_directory_acc
ess_service.exe
Fournit un accs unifi aux rper-
toires d'entreprise
Apache 2.2.11 Apache 2.2.11 httpd.exe Apache/2.2.11 (Win32)
mod_jk/1.2.25 mod_ssl/2.2.6
OpenSSL/0.9.7l
Le tableau ci-aprs rpertorie les services devant tre arrts pendant le fonctionnement
du serveur OmniVista 4760.
tableau 3.6 : Services Windows arrter pour le fonctionnement du serveur OmniVista 4760
Nom affich Nom Nom de limage Commentaires
Application Layer Ga-
teway Service
Agl Agl.exe Il faut dsactiver AGL.
Cependant en cas de
dysfonctionnement
avec le pare-feu Win-
dows, ICS (Internet
Connection Sharing)
ou un logiciel externe
(tel quun logiciel anti
virus ou tout logiciel
incorporant des trans-
ferts automatiques via
FTP), il peut tre n-
cessaire de dmarrer
ALG.
3.4 Outils de scurit
3.4.1 Compatibilit avec les logiciels antivirus
Ocp|cicncni !OnniVisia 4760 !ans un cntircnncncni Win!cus sccurisc
8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 3-9
- Compatibilits :
Les applications OmniVista 4760 (serveur et client) fonctionnent correctement en prsence
dun systme antivirus MacAfee et Norton.
- Autres logiciels antivirus :
Tout autre systme antivirus peut tre dploy sur un PC hbergeant un serveur ou un
client OmniVista 4760. En cas dincompatibilit dtecte, il est recommand de contacter
le support OmniVista 4760.
a. Cas de ralentissement du lancement client :
Lantivirus est configur pour analyser les fichiers compresss et/ou dextension .jar.
Dans ce cas, le premier lancement du client OmniVista 4760 est ralenti de 2
3 minutes.
Sous McAfee, l'option d'extension de fichiers *.jar ou l'analyse interne des fichiers
archive est active.
Fonction Wormstopper:
Lorsque lantivirus intgre la fonction Wormstopper, les e-mails de notification des
alarmes sont bloqus. En effet, la plupart des nouveaux virus se propageant par
courrier lectronique. WormStopper arrte les nouveaux virus diffuss par
publipostage en dtectant l'activit.
La fonction WormStopper :
Dtecte l'envoi d'e-mails plus de 40 destinataires
Dtecte l'envoi de plus de 5 e-mails en moins de 30 secondes
Vrifie le contenu des e-mails rptitifs
Vrifie les noms des binaires qui tentent d'envoyer des e-mails
Lantivirus doit tre reconfigur pour permettre l'OmniVista 4760 d'mettre une alerte
e-mail. L'OmniVista 4760 attend au minimum 3 secondes entre l'envoi de 2 e-mails. Si
d'autres alertes surviennent, ce dlai est augment.
La version 8 de MacAfee intgre cette fonction Wormstopper (Menu Advance
ActiveShield setting). Il est recommand de dfinir sur 15 secondes le dlai
d'autorisation d'envoi de 5 e-mails successifs.
Si les binaires sont contrls pour ajouter le programme responsable de l'envoi
d'e-mails :
Sur le serveur, au niveau de l'option antivirus, ajoutez Javaw.exe,
Extractor.exe, Faultmanager.exe.
Sur le client, au niveau de l'option antivirus, ajoutez Javaw.exe.
Configurer l'antivirus, l'option antispam et l'option wormstopper pour :
activer le protocole de messagerie (smtp port 25) ;
permettre aux binaires OmniVista 4760 (javaw.exe) d'utiliser le protocole de
messagerie ;
augmenter le nombre d'e-mails autoriss (par exemple, la fonction wormstopper
peut limiter le nombre d'e-mails provenant d'un PC six par minute).
3.4.2 Compatibilit avec le pare-Feu Windows
- Compatibilits et configuration :
Le serveur et le client OmniVista 4760 sont compatibles avec le pare-feu de
Windows XP SP3, Windows 2003 SP2 et Vista.
Pendant linstallation ou la mise jour du serveur et du client OmniVista 4760, il est
recommand daccepter la configuration du pare-feu de Windows dans le programme
dinstallation. Cette configuration automatique sapplique uniquement au pare-feu Windows
(sous Windows XP SP3 , Windows 2003 SP2 ou Vista).
Chapitre 3 Ocp|cicncni !OnniVisia 4760 !ans un cntircnncncni
Win!cus sccurisc
3-10 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic
- Autres pare-feu :
Pour tous les autres pare-feux, vous devez procder une configuration manuelle. Le
pare-feu doit vous laisser pntrer par les ports IP ncessaires l'OmniVista 4760 sans
dlai. Dans le cas de pare-feu mmoire dtat (statefull), il doit pouvoir grer une
multi-connexion dun client vers un port prcis du serveur.
Ct serveur OmniVista 4760 :
Le tableau ci-aprs rpertorie les programmes dont il faut autoriser lexcution :
tableau 3.7 : Programmes autoriser sur le serveur OmniVista 4760
Programme autoriser Emplacement par dfaut du
programme
Commentaires
dbeng10.exe Sybase\SQL Anywhere
10\win32
dbisqlg.exe Sybase\SQL Anywhere
9\win32
scjview.exe Program-
Files\SQLAnywhere10
\SybaseCentral5.0.0\win32
slapd.exe Netscape\server5\bin\slapd\
server\
httpd.exe 4760\Apache2\bin\
omc.exe Program
Files\PCXTools\OMC\
Uniquement en cas de gestion
dOmniPCX Office
dbisql.exe Sybase\SQL Anywhere
9\win32\
iexplore.exe Internet Explorer\ Pour lutilisation dInternet Ex-
plorer sinon autoriser le pro-
gramme Firefox
javaw.exe Program
Files\Java\jre1.6.0.11\bin\
FaultManager.exe 4760\bin\
ComServer.exe 4760\bin\
cmisd.exe 4760\bin\
execdEx.exe 4760\bin\
extractor.exe 4760\bin\
GCSAdmin.exe 4760\bin\
GCSConfig.exe 4760\bin\
LicenseServer.exe 4760\bin\
loader.exe 4760\bin\
save_restore.exe 4760\bin\
scheduler.exe 4760\bin\
securityserver.exe 4760\bin\
SyncLdapPbx.exe 4760\bin\
Ocp|cicncni !OnniVisia 4760 !ans un cntircnncncni Win!cus sccurisc
8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 3-11
svc_mgr.exe 4760\bin\
dbsrv9.exe Sybase\SQL Anywhere
9\Win32
ns_service.exe 4760\bin\
javaw.exe Alcatel-Lucent\Java_Develop-
ment_Kit\bin
Plugger.exe Alcatel-Lucent\Acapi\bin\
Cmisd.exe Alcatel-Lucent\Acapi\bin\
ComServer.exe Alcatel-Lucent\Acapi\bin\
GCSAdmin.exe Alcatel-Lucent\Acapi\bin\
GCSConfig.exe Alcatel-Lucent\Acapi\bin\
slapd.exe Alcatel-Lucent\Acapi\bin\
NotificationProxy.exe Alcatel-Lucent\Acapi\bin\
rescue.exe Alcatel-Lucent\Acapi\bin\
svc_mgr.exe Alcatel-Lucent\Acapi\bin\
backup.exe Alcatel-Lucent\Backup\
data_access_service.exe Alcatel-Lucent\DataAccess\
dbsrv10.exe Programmes\SQL Anywhere
10\win32\
de-
vice_management_core.exe
Alcatel-Lucent\ De-
vice_Management_Core\
events_server.exe Alcatel-Lucent\Events_Server\
Lmgrd.exe Alcatel-Lucent\FlexLM\
alc_logs_rotate.exe Alcatel-
Lucent\alc_logs_rotate\
DBRecoverNTService.exe Alcatel-Lucent\Ldap\ DBReco-
verNTService\
slapd.exe Alcatel-Lucent\Ldap\
pcx_management_service.ex
e
Alcatel-Lucent\Pms\
supervision_agent.exe Alcatel-Lucent\Supervision_
Agent\
supervision_client.exe Alcatel-Lucent\Supervision_
Client\
unified_management_ frame-
work_core.exe
Alcatel-Lucent\Unified_ Mana-
gement_Framework_ Core\
universal_directory_ ac-
cess_service.exe
Alcatel-Lucent\Udas\
httpd.exe Alcatel-Lucent\Apache\bin\
AuditServer.exe 4760\bin\
Le tableau ci-aprs rpertorie les ports devant tre ouverts pour un fonctionnement correct du
serveur OmniVista 4760.
Chapitre 3 Ocp|cicncni !OnniVisia 4760 !ans un cntircnncncni
Win!cus sccurisc
3-12 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic
tableau 3.8 : Liste des ports ouvrir sur le serveur OmniVista 4760
Usage Port : Protocole
IPSec 500 UDP
Client OmniVista 4760 30500 30509 TCP
Ct client OmniVista 4760 :
Le tableau ci-aprs rpertorie les programmes dont il faut autoriser lexcution :
tableau 3.9 : Programmes autoriser sur le client OmniVista 4760
Programme autoriser Emplacement par dfaut du
programme
Commentaires
omc.exe Program
Files\PCXTools\OMC\
Uniquement en cas de gestion
dOmniPCX Office
iexplore.exe Internet Explorer\ Pour lutilisation dInternet Ex-
plorer sinon autoriser le pro-
gramme Firefox
javaw.exe Program Files\Java\
jre1.6.0.11\bin\
Le tableau ci-aprs rpertorie les ports devant tre ouverts pour un fonctionnement correct du
client OmniVista 4760.
tableau 3.10 : Liste des ports ouvrir sur le client OmniVista 4760
Usage Protocole Port :
Client OmniVista 4760 30500 30509 TCP
3.4.3 Compatibilit avec un proxy
Le proxy web peut tre utilis quand le client :
- ouvre la page Web daccueil du serveur OmniVista 4760 ;
- consulte lannuaire via linterface Web.
Dans ces deux cas, le port 80 est utilis par le client.
En revanche, si le client OmniVista 4760 est lanc via un navigateur Web :
- lensemble des ports IP du serveur client sera utilis ;
- lutilisation du proxy par lapplet OmniVista 4760 doit tre dsactive.
Sur le PC client :
- Ouvrir le Panneau de configuration (sous XP, prciser l'affichage classique).
- Slectionner licne Java Plug-in et, sous longlet Proxies, dcocher l'option Utiliser les
paramtres du navigateur.
3.4.4 Renforcement de la scurit avec SynAttackProtect
Windows inclut une protection contre les saturations de requtes SYN lorsquune attaque est
dtecte. Cette protection est paramtrable laide de la valeur SynAttackProtect situ sous la
Ocp|cicncni !OnniVisia 4760 !ans un cntircnncncni Win!cus sccurisc
8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 3-13
clef de registre
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters.
Par dfaut, sous Windows 2003 SP1, cette protection est active (SynAttackProtect=1) . Il est
possible de renforcer le niveau de scurit en passant cette valeur 2 ; cependant, il est
recommand de conserver la valeur par dfaut pour une meilleure stabilit du systme.
3.4.5 Renforcement de la scurit avec DEP
La prvention de lexcution des donnes ou DEP (Data Execution Prevention) vise
empcher lexcution de code inject dans une zone mmoire (stack ou heap). Cette
technologie est base sur les rcentes volutions des processeurs Intel et AMD ; elle peut
cependant fournir un certain niveau de protection sur les processeurs plus anciens. Cette
technologie est active par dfaut sur Windows 2003 SP2 et Windows XP SP3.
DEP arrte les applications qui tentent dexcuter du code localis dans une page mmoire.
L'OmniVista 4760 fonctionne lorsque la technologie DEP est active. Si un composant intgr
ou utilis par le serveur OmniVista 4760 est bloqu par le systme DEP, contacter le support
technique d'Alcatel-Lucent.
3.5 Compatibilit avec les applications externes
3.5.1 tude de compatibilit
Alcatel-Lucent ne prend pas en charge l'excution d'applications externes installes sur le
systme hbergeant l'OmniVista 4760.
- Avant de dployer un serveur OmniVista 4760 et dautres applications sur un mme PC ou
serveur, il est fortement recommand deffectuer une tude de compatibilit pour vrifier,
en particulier :
- le serveur OmniVista 4760 et les services utiliss par les applications externes ;
- la compatibilit en termes de performances ;
- la compatibilit en termes dutilisation de lespace disque ;
- la compatibilit des fichiers dll ;
- la compatibilit de la version active de Java Run Time pour les applications Java ;
- la compatibilit des ports et des services IP utiliss.
En cas dincompatibilit de l'OmniVista 4760 avec une application externe, appeler
l'assistance tlphonique. Les remarques dincompatibilit mises, seront prises en compte
pour renseigner ce document, et tudier une possibilit de contournement ou de compatibilit
dans une version future.
Pour une question particulire sur la compatibilit, contactez les services professionnels
d'Alcatel-Lucent l'adresse professional.services@alcatel-lucent.fr.
- Recommandations :
Il est recommand dinstaller lapplication du serveur OmniVista 4760 aprs toute autre
application.
En cas de dsinstallation dune application, il ne faut surtout pas confirmer la suppression
des fichiers dll, car ceux-ci sont peut-tre ncessaires au serveur OmniVista 4760.
Chapitre 3 Ocp|cicncni !OnniVisia 4760 !ans un cntircnncncni
Win!cus sccurisc
3-14 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic
3.5.2 Compatibilit en termes de performances
Les applications externes qui cohabitent avec le serveur OmniVista 4760 :
- ne doivent pas tre du type application serveur (serveur de messagerie) ;
- ne doivent pas tre installes en tant que service.
- Une fois lances, s'assurer que les applications externes nutiliseront pas toute la mmoire
virtuelle du systme et quune fois fermes, elles libreront bien la mmoire utilise.
3.5.3 Fichiers dll
Les fichiers dll utiliss par le serveur OmniVista 4760 ne doivent pas tre mis jour, ni tre
remplacs par des versions diffrentes.
Incompatibilits connues :
- JTC1012.dll fourni sur un serveur DELL.
- Fichier dll incompatible avec la version du systme d'exploitation. Lapplication Windows
Office Edition pour Windows XP installe sur un PC Windows NT remplace les dll systme
par des dll spcifiques Windows XP. Dans ce cas, linstallation du JRE peut chouer.
- Erreur grave lors de linstallation du JRE 1.3.1_08: RPC Stub Error 0x80070725.
Le site http ://java.com/fr/download/help/rpcstub.jsp propose dutiliser
loutil Mcrepair de Microsoft pour restaurer les dll compatibles avec le systme
dexploitation Windows.
3.5.4 Java Run Time
Tout d'abord, dsactiver la mise jour automatique Java Run time. Dans le Panneau de
configuration avec affichage classique, cliquer sur l'icne JRE et dsactiver l'option de mise
jour.
Si dautres applications java sont utilises sur ce PC :
- Elles ne doivent pas rendre inutilisable la variable denvironnement Classpath. En effet,
si celle-ci devient trop longue, linstallation choue. Pour vrifier si cette variable est dj
initialise, entrer C :\classpath dans une fentre DOS.
- Surveiller la version active de Java Run Time (JRE).
Exemple de problme connu :
Jusqu' la version OmniVista 4760 R2.1, l'application recherchait l'application JRE active livre
avec cette version v. Cest pourquoi la version OmniVista 4760 R2.1 ne fonctionne pas si
l'application JRE 1.4 est prsente.
Pour vrifier la version par dfaut (celle prsente dans le rpertoire WinNT\System32), entrer
la commande c:\java version dans une fentre DOS.
partir de la version OmniVista 4760 R3.0, lapplication OmniVista 4760 ne prend plus le JRE
par dfaut, mais recherche le JRE compatible dans la base de registres et renseigne le
chemin d'accs du JRE :
- directement dans la base de donnes LDAP pour les services et tches planifis ;
- dans le batch de lancement du client OmniVista 4760 : RunNMC.bat..
Ocp|cicncni !OnniVisia 4760 !ans un cntircnncncni Win!cus sccurisc
8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 3-15
3.5.5 Ports et Services IP
- Ports :
Lapplication externe ne doit pas utiliser l'un des ports IP ddis au serveur OmniVista
4760. Reportez-vous module Scurit - Deploying the OmniVista 4760 in a Secure
Network Configuration pour connatre la liste des ports IP utiliss par l'application
OmniVista 4760.
Avant linstallation du serveur OmniVista 4760, vrifier la disponibilit des ports 80 (http
WEB), 389 (LDAP) et 636 (LDAPS) :
Dans une fentre DOS, entrer la commande c :\netstat n
Si ladresse locale propose le port 80, 389 ou 636 en coute/connect
(listening/established), cela signifie que le port est utilis. Il faudra alors, lors de
linstallation du serveur OmniVista 4760, choisir un port http, LDAP ou LDAPS diffrent
des ports dj utiliss.
- Services :
Le serveur OmniVista 4760 ne doit pas tre install si le service SNMP est dmarr.
Arrtez le service SNMP avant la phase d'installation.
Le serveur OmniVista 4760 possde un serveur LDAP. N'installez pas un autre serveur
LDAP sur le mme port (389 par dfaut).
Le serveur OmniVista 4760 hberge les fonctions de serveur WEB (Apache). Ne
conservez pas ou n'installez pas un autre serveur WEB sur le mme port (80 par dfaut).
Incompatibilits connues :
Le systme Windows 2000 Server est livr en standard avec un serveur Web prt
l'emploi. Par consquent, avant dinstaller lapplication OmniVista 4760, slectionner :
Ajout ou suppression de programmes
Ajouter ou supprimer des composant Windows
Dsinstaller le composant Internet Information Server (I.I.S.)
Windows 2000 / 2003 Server install en tant que contrleur de domaine comporte un
serveur LDAP : Active Directory. Sur ce type de serveur, il nest pas autoris dinstaller le
serveur OmniVista 4760.
Linstallation du serveur OmniVista 4760 peut chouer avec le message Sun.log :
port dj utilis . Dans ce cas, reprendre linstallation et entrer LDAP port=
390.
3.5.6 Compatibilit avec les outils de sauvegarde PC
Lapplication du serveur OmniVista 4760 est toujours en tat actif. Par consquent, lutilisation
dun outil de sauvegarde de disques pour sauvegarder lintgralit du disque peut chouer. En
revanche, ce type doutil peut tre utilis pour rcuprer les sauvegardes effectues par le
serveur OmniVista 4760.
Incompatibilits connues :
Lapplication de sauvegarde de PC distance, OpenSave, nest pas compatible avec
lapplication Sun One Directory Server (utilise par le serveur OmniVista 4760).
3.5.7 Compatibilit avec les outils de connexion distance
3.5.7.1 Outil VPN
Chapitre 3 Ocp|cicncni !OnniVisia 4760 !ans un cntircnncncni
Win!cus sccurisc
3-16 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic
Incompatibilits connues :
Certains clients VPN utilisent des outils tels que le service SafeNet dans le programme
NetScreenRemote. Ce programme empche linstallation dun serveur Sun One Directory
Server et donc du serveur OmniVista 4760.
3.5.7.2 Terminal server, connexion de bureaux distants
Les services Terminal Server, ou services de connexion de bureaux distants, (outil Microsoft)
permettent de crer une session Windows sur un serveur ou un PC distant en ne ramenant
sur son propre PC que linterface clavier-souris-affichage cran. La session Windows ne
s'affiche pas sur l'ordinateur distant.
Ces programmes peuvent tre utiliss des fins de maintenance, cependant :
- Ils ne sont pas compatibles avec laccs la base de donnes Sybase.
- Ils centralisent les ressources ncessaires au client sur la mme machine serveur.
Incompatibilits connues :
Linstallation du serveur OmniVista 4760 via les services Terminal Server, ou la connexion de
bureaux distants choue.
*LOG* ERROR: C:\PROGRA~1\Sybase\SQL Anywhere 9\win32\dbisqlc.exe
Failed!
For details, see log file dbisqlc.log
*LOG* AskYesNo question : Error occurred! Souhaitez-vous tout de mme
continuer ?
Ne pas dpasser 1 client terminal serveur ou Connexion bureau distance.
3.5.7.3 PC Anywhere, IRC de Peregrine , NetOP de DanWare
- Ces programmes permettent de prendre le contrle dune session Windows en cours sur
un serveur ou un PC distant. Sur le PC local et la machine distante, la mme session
Windows est visualise. Ces programmes doivent prendre en charge la prsentation java.
- Incompatibilits connues :
Avec PC Anywhere, laffichage java peut tre mal interprt, il peut tre ncessaire de
rafrachir lcran pour chaque clic de souris.
Avec PC Anywhere version 10.5 et suprieure, lorsque le service PCAnywhere-Host est
lanc, le client OmniVista 4760 ne dmarre plus. Le problme est rsolu partir de la
version 11.0 de PC Anywhere.
3.5.8 Compatibilits avec d'autres applications AlcatelLucent
3.5.8.1 Alcatel 47xx
Les applications Alcatel 4715, 4730 et 4740 ne sont pas compatibles avec lapplication du
serveur OmniVista 4760.
3.5.8.2 OmniVista 4760i (e-config)
La version du Run Time Java, JRE, peut tre incompatible. Si les applications client OmniVista
4760 et client OmniVista 4760-i doivent cohabiter, installer les clients en tant quapplications et
non en tant qu'applets Web.
Ocp|cicncni !OnniVisia 4760 !ans un cntircnncncni Win!cus sccurisc
8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 3-17
Incompatibilit connue :
La version OmniVista 4760-i pour OmniPCX Enterprise R5.1.2 utilise le JRE 1.3.1_08.
Lorsque le JRE 1.4 est prsent, lapplication se lance, mais lutilisation des listes droulantes
ne fonctionne pas.
Pour rsoudre ce problme :
Modifier les fichiers .bat prsents dans le rpertoire 4760i\lib\ext et remplacer
javaw.exe par son chemin daccs au format DOS :
C:\progra~1\javasoft\JRE138DB~1.1_0\bin\javaw.exe ()
3.5.8.3 Consoles AlcatelLucent 4059 et 4980
Les tests nont pas t effectus. Cependant, les besoins des 2 applications sont trs
diffrents. Il nest toutefois pas recommand de faire cohabiter une application client temps
rel et serveur de base de donnes.
3.5.8.4 CCD, CCS, CCAgent
Le centre d'appels possde ses propres critres de compatibilit. La version java, en
particulier, peut tre diffrente entre le client/serveur OmniVista 4760 et CCA.
Dans leur fonctionnement actuel, les applications CCx sont incompatibles. Pour certains
projets, une tude de compatibilit peut tre faite auprs de nos services professionnels, sous
rserve de certaines conditions d'utilisation, l'adresse
professional.services@alcatel-lucent.fr.
3.6 Gestion de comptes Windows utiliss par le serveur
OmniVista 4760
3.6.1 Compte pour installation
3.6.1.1 Installation/dsinstallation du serveur OmniVista 4760
Le serveur OmniVista 4760 doit tre install et dsinstall l'aide d'un compte
d'administrateur local Windows.
3.6.1.2 Installation dun client OmniVista 4760 distant
Le client OmniVista 4760 doit tre install et dsinstall l'aide d'un compte d'administrateur
local Windows.
3.6.2 Compte utiliser pour le lancement dun client OmniVista 4760
Louverture dun client OmniVista 4760 distant doit seffectuer partir dun compte Windows
bnficiant de droits dcriture dans le rpertoire Client4760\Lib\ext.
3.6.3 Oprations de maintenance avec ressources rseau
Le serveur OmniVista 4760 peut utiliser des ressources rseau pour les oprations de
maintenance :
Chapitre 3 Ocp|cicncni !OnniVisia 4760 !ans un cntircnncncni
Win!cus sccurisc
3-18 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic
- Sauvegarde/restauration des donnes OmniVista 4760
- Sauvegarde/ restauration des PCXs
- Mise jour logiciel PCX
- Copie temporaire des donnes (au cours des oprations de dfragmentation de bases de
donnes, par exemple).
Il est notamment recommand deffectuer les sauvegardes des donnes OmniVista 4760 sur
un disque rseau pour disposer dune sauvegarde en cas d'arrt du PC hbergeant le serveur
OmniVista 4760.
Procdure :
Ce mode de sauvegarde requiert lutilisation de comptes Windows :
- Un compte bnficiant de droits d' administrateur local pour le service NMC
SaveRestore, valide sur le serveur OmniVista 4760 et ayant le droit de placer des
fichiers sur la machine distante.
- Un compte pour le service NMC Executables Launcher, valide sur le serveur
OmniVista 4760, avec accs aux rpertoires de la machine distante utiliss pour les
oprations de maintenance.
Attention :
Veiller ne pas utiliser pour la sauvegarde sur machine distante, un rpertoire susceptible de
contenir dautres donnes de sauvegarde. Ces donnes risqueraient dtre dtruites par le pro-
cessus de purge automatique des sauvegardes qui supprime les fichiers antrieurs une date
donne.
3.6.3.1 Cration de comptes et attribution des droits
- Cration dun compte disposant de droits d'administrateur local sur l'ordinateur serveur
(pour le service NMC SaveRestore) :
Ouvrir loutil de gestion de l'ordinateur (Panneau de configuration/Outil
dadministration).
Dans la rubrique Utilisateurs et groupes locaux , slectionner le
rpertoire Utilisateurs et crer un nouvel utilisateur :
Nom : ADM4760 (par exemple)
Mot de passe
Lutilisateur ne peut pas changer de mot de passe
Le mot de passe nexpire jamais.
Modifiez les proprits de l'utilisateur ADM4760 : ajoutez-le dans la liste des membres
du groupe Administrateurs et retirez-le de la liste des membres du groupe
Utilisateurs .
- Cration dun compte local sur l'ordinateur serveur OmniVista 4760 (pour le service NMC
Executables Launcher) :
Ouvrir loutil de gestion de l'ordinateur (Panneau de configuration/Outil
dadministration).
Dans la rubrique Utilisateurs et groupes locaux , slectionner le
rpertoire Utilisateurs et crer un nouvel utilisateur :
Nom : UTIL4760 (par exemple)
Mot de passe
Ocp|cicncni !OnniVisia 4760 !ans un cntircnncncni Win!cus sccurisc
8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 3-19
Lutilisateur ne peut pas changer de mot de passe
Le mot de passe nexpire jamais.
Modifiez les proprits de l'utilisateur UTIL4760 : retirez-le de la liste des
membres du groupe Utilisateurs .
- Attribution des droits d'utilisateur
Ouvrir loutil Stratgie de scurit locale (Panneau de
Configuration/Outil dadministration).
Dans la rubrique Stratgies locales , slectionner Attribution des
droits utilisateur .
Ajouter les droits suivants aux utilisateurs crs prcdemment (ADM4760 et
UTIL4760) :
"Accder cet ordinateur depuis le rseau"
"Ouvrir une session en tant que service
"Interdire l'ouverture d'une session locale
3.6.3.2 Configuration des services OmniVista 4760 pour l'utilisation des ressources
rseau
3.6.3.2.1 Procdure avec utilisation de comptes locaux
Cest la procdure recommande pour scuriser au mieux laccs des ressources rseau.
Cette procdure peut tre applique quel que soit le domaine Windows ou le groupe de travail
du serveur OmniVista 4760 et de la machine distante. Pour des raisons de scurit, il est
cependant recommand dutiliser une machine distante situe dans le mme domaine ou
groupe de travail que le serveur OmniVista 4760.
On suppose que deux comptes (ADM4760 et UTIL4760) ont t crs sur le serveur
OmniVista 4760 (en suivant la procdure de cration et dattribution des droits de la section
Cration de comptes et attribution des droits ).
1. Crer les deux comptes (ADM4760 et UTIL4760) sur la machine distante :
Ouvrir loutil de gestion de l'ordinateur (Panneau de configuration/Outil
dadministration).
Dans la rubrique Utilisateurs et groupes locaux , slectionner le
rpertoire Utilisateurs et crer un nouvel utilisateur :
Nom : ADM4760
Mot de passe : identique celui saisi pour lutilisateur ADM4760 sur le serveur
OmniVista 4760.
Lutilisateur ne peut pas changer de mot de passe
Le mot de passe nexpire jamais.
Modifiez les proprits de l'utilisateur ADM4760 : retirez-le de la liste des membres du
groupe Utilisateurs .
Refaire la mme opration pour lutilisateur UTIL4760.
2. Partager un rpertoire sur la machine distante pour les utilisateurs ADM4760 et
UTIL4760 :
Sur la machine distante, slectionner le rpertoire partager et le partager.
Au besoin, modifier le nom de partage.
Modifier les proprits de partage et de scurit.
Chapitre 3 Ocp|cicncni !OnniVisia 4760 !ans un cntircnncncni
Win!cus sccurisc
3-20 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic
Nombre dutilisateurs autoriss : # 3
Dans la rubrique Autorisations , slectionner retirer tout le monde et
ajouter les utilisateurs ADM4760 et UTIL760 avec des droits Contrle total.
Dans la rubrique Mise en cache , slectionner l'option stipulant de ne pas
autoriser la mise en cache des fichiers de ce dossier partag.
Slectionnez l'onglet Scurit, puis ajoutez les utilisateurs ADM4760 et
UTIL4760. Vrifiez les droits suivants : Modification , Affichage du
contenu du dossier , Lecture , criture.
3. Sur le PC serveur, lancer une session Windows en tant que ADM4760.
4. Accorder au service NMC SaveRestore le droit dutiliser lutilisateur ADM4760. Pour ce
faire :
lancer lapplication Annuaire, puis cliquer sur longlet Systme,
Au niveau de larborescence, accder au rpertoire
NMC/Nom_du_serveur/servers/Nom_du_serveur/SaveRestore.
Cliquer sur longlet Compte NT dans le volet de droite.
Renseigner les attributs :
Utilisateur = .\ADM4760
Mot de passe : mot de passe associ l'utilisateur ADM7460.
5. Accorder au service NMC Executables Launcher le droit dutiliser lutilisateur
UTIL4760. Pour ce faire :
lancer lapplication Annuaire, puis cliquer sur longlet Systme,
Au niveau de larborescence, accder au rpertoire
NMC/Nom_du_serveur/servers/Nom_du_serveur/Execdex.
Cliquer sur longlet Compte NT dans le volet de droite.
Renseigner les attributs :
Utilisateur = .\UTIL4760
Mot de passe : mot de passe associ l'utilisateur UTIL4760
6. Lorsque le module Maintenance est lanc, il est alors possible de slectionner un disque
rseau pour la sauvegarde.
3.6.3.2.2 Procdure valide dans un domaine
Cette procdure pourra tre applique lorsque le client souhaite utiliser des comptes rseau
pour les accs rseau du serveur OmniVista 4760.
Cette solution prsente des failles de scurit : les comptes rseau (nom dutilisateur et mot
de passe) peuvent tre intercepts puis utiliss sur lensemble des machines du rseau. Pour
les besoins de cette procdure, nous supposerons que les machines sont installes dans le
mme domaine DOMMACHINE et que les utilisateurs sont reconnus dans le domaine DOMUSER.
On suppose que deux comptes (ADM4760 et UTIL4760) ont t crs sur le serveur
OmniVista 4760 (en suivant la procdure de cration et dattribution des droits de la section
Cration de comptes et attribution des droits ).
1. Partager un rpertoire sur la machine distante pour les utilisateurs DOMUSERADM4760 et
DOMUSERUTIL4760 :
Sur la machine distante, slectionner le rpertoire partager et le partager.
Au besoin, modifier le nom de partage.
Modifier les proprits de partage et de scurit :
Ocp|cicncni !OnniVisia 4760 !ans un cntircnncncni Win!cus sccurisc
8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 3-21
Nombre dutilisateurs autoriss : # 3
Dans la rubrique Autorisations , slectionner retirer tout le monde et
ajouter les utilisateurs DOMUSERADM4760 et DOMUSERUTIL4760 avec les droits
Contrle total.
Dans la rubrique Mise en cache , slectionner l'option stipulant de ne pas
autoriser la mise en cache des fichiers de ce dossier partag.
Slectionnez l'onglet Scurit, puis ajoutez les utilisateurs DOMUSER\ADM4760
et DOMUSER\UTIL4760. Vrifiez les droits suivants : Modification ,
Affichage du contenu du dossier , Lecture , criture.
2. Sur le PC serveur, lancer une session Windows en tant que DOMUSER\ ADM4760.
3. Accorder au service NMC SaveRestore le droit dutiliser lutilisateur ADM4760. Pour ce
faire :
Lancer lapplication Annuaire, puis cliquer sur longlet Systme.
Au niveau de larborescence, accder au rpertoire
NMC/Nom_du_serveur/servers/Nom_du_serveur/SaveRestore.
Cliquer sur longlet Compte NT dans le volet de droite.
Renseigner les attributs :
Utilisateur = DOMUSER\ADM4760
Mot de passe : mot de passe associ l'utilisateur ADM4760
4. Accorder au service NMC Executables Launcher le droit dutiliser lutilisateur
UTIL4760. Pour ce faire :
lancer lapplication Annuaire, puis cliquer sur longlet Systme,
Au niveau de larborescence, accder au rpertoire
NMC/Nom_du_serveur/servers/Nom_du_serveur/Execdex.
Cliquer sur longlet Compte NT dans le volet de droite
Renseigner les attributs :
Utilisateur = DOMUSER\UTIL4760
Mot de passe : mot de passe associ l'utilisateur UTIL4760
5. Lorsque le module Maintenance est lanc, il est alors possible de slectionner un disque
rseau pour la sauvegarde.
3.6.3.2.3 Procdure valide dans un groupe de travail
Pour les besoins de cette procdure, nous supposerons que les machines sont installes dans
le mme groupe de travail, WORKGROUP1, et que le PC serveur porte le nom PCSERVEUR.
On suppose que deux comptes (ADM4760 et UTIL4760) ont t crs sur le serveur
OmniVista 4760 (en suivant la procdure de cration et dattribution des droits de la section
Cration de comptes et attribution des droits ).
Sur la machine distante, crer les mmes comptes ADM4760 et UTIL4760 avec les mmes
mots de passe.
1. Partager un rpertoire sur la machine distante pour les utilisateurs ADM4760 et
UTIL4760 :
Sur la machine distante, slectionner le rpertoire partager et le partager.
Au besoin, modifier le nom de partage.
Modifier les proprits de partage et de scurit :
Nombre dutilisateurs autoriss : # 3
Chapitre 3 Ocp|cicncni !OnniVisia 4760 !ans un cntircnncncni
Win!cus sccurisc
3-22 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic
Dans la rubrique Autorisations , slectionner retirer tout le monde et
ajouter les utilisateurs ADM4760 et UTIL4760 avec les droits Contrle total.
Dans la rubrique Mise en cache , slectionner l'option stipulant de ne pas
autoriser la mise en cache des fichiers de ce dossier partag.
Slectionnez l'onglet Scurit, puis ajoutez les utilisateurs ADM4760 et
UTIL4760. Vrifiez les droits suivants : Modification , Affichage du
contenu du dossier , Lecture , criture.
2. Sur le PC serveur, lancer une session Windows en tant que ADM4760.
3. Accorder au service NMC SaveRestore le droit dutiliser cet utilisateur. Pour ce faire :
lancer lapplication Annuaire, puis cliquer sur longlet Systme,
Au niveau de larborescence, accder au rpertoire
NMC/Nom_du_serveur/servers/Nom_du_serveur/SaveRestore.
Cliquer sur longlet Compte NT dans le volet de droite.
Renseigner les attributs :
Utilisateur = PCSERVEUR \ADM4760
Mot de passe : votre mot de passe
4. Accorder au service NMC Executables Launcher le droit dutiliser lutilisateur
UTIL4760. Pour ce faire :
lancer lapplication Annuaire, puis cliquer sur longlet Systme,
Au niveau de larborescence, accder au rpertoire
NMC/Nom_du_serveur/servers/Nom_du_serveur/Execdex.
Cliquer sur longlet Compte NT dans le volet de droite.
Renseigner les attributs :
Utilisateur = PCSERVEUR\UTIL4760
Mot de passe : votre mot de passe
5. Lorsque le module Maintenance est lanc, il est alors possible de slectionner un disque
rseau pour la sauvegarde.
3.6.4 Planification de lexportation ou de limpression de rapports
Le serveur OmniVista 4760 peut utiliser des ressources rseau pour l'exportation et
l'impression de rapports planifies. Ces oprations requirent lutilisation dun compte
Windows :
Un compte pour le service NMC Executables Launcher, valide sur le serveur OmniVista
4760, avec accs aux rpertoires de la machine distante utiliss pour les oprations
d'exportation.
Procdure
1. Lancer une session Windows en tant qu'administrateur local du PC serveur
2. Cration dun compte local sur l'ordinateur serveur OmniVista 4760 pour le service NMC
Executables Launcher :
Voir Cration de comptes et attribution des droits
3. Dclaration dune imprimante pour le compte UTIL4760 :
Fermer la session administrateur et ouvrir une session avec le compte cr
prcdemment (UTIL4760).
Dans le menu Dmarrer , slectionner Imprimantes et tlcopieurs
Ocp|cicncni !OnniVisia 4760 !ans un cntircnncncni Win!cus sccurisc
8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 3-23
Ajouter une imprimante en suivant les instructions de loutil de cration dimprimantes
Fermer la session Windows
Relancer une session Windows en tant quadministrateur local du PC serveur
4. Attribuer les droits des utilisateurs :
Ouvrir loutil de Stratgie de scurit locale (Panneau de
Configuration/Outil dadministration).
Dans la rubrique Stratgies locales , slectionner Attribution des
droits utilisateur .
Ajouter les droits suivants lutilisateur cr prcdemment (UTIL4760) :
Accder cet ordinateur depuis le rseau
Ouvrir une session en tant que service
Agir en tant que partie du systme d'exploitation
Augmenter les quotas/ajuster les quotas mmoire
Remplacer un jeton de niveau processus
Interdire l'ouverture d'une session locale
5. Configuration des services OmniVista 4760 pour l'utilisation des ressources rseau :
Suivre la procdure dcrite la section Configuration des services OmniVista 4760
pour l'utilisation des ressources rseau pour :
Partager un rpertoire sur la machine distante pour le compte UTIL4760 (le
compte ADM4760 nest pas utilis pour lexportation et limpression de rapport
planifies).
Accorder au service NMC Executables Launcher le droit dutiliser lutilisateur
UTIL4760.
Remarque : trois possibilits de configuration sont prsentes la section
Configuration des services OmniVista 4760 pour l'utilisation des ressources rseau .
Pour une meilleure scurit, suivre la procdure avec utilisation de comptes locaux.
Note :
La procdure dcrite ci-dessus ne doit tre applique quen cas de planification dexportations et
dimpressions de rapports. En effet, les exportations et impressions directes de rapports dj gnrs (et
toute autre impression non planifie) sont ralises en utilisant le contexte de scurit de lutilisateur du
client OmniVista 4760 (compte Windows sur lequel a t lanc le client OmniVista 4760). Le service
NMC Executables Launcher nintervient pas.
3.6.5 Archivage et restauration des fichiers de taxation
Le serveur OmniVista 4760 peut utiliser des ressources rseau pour l'archivage et la
restauration des fichiers de taxation.
Ces oprations requirent lutilisation dun compte Windows :
Un compte pour le service NMC Executables Launcher, valide sur le serveur OmniVista
4760, avec accs aux rpertoires de la machine distante utiliss pour les oprations
d'archivage et de restauration.
Procdure
Pour crer ce compte, suivre la procdure dcrite la section 3.6.4.
Remarques :
Chapitre 3 Ocp|cicncni !OnniVisia 4760 !ans un cntircnncncni
Win!cus sccurisc
3-24 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic
- Pour les oprations darchivage et de restauration de fichiers, il nest pas ncessaire
dattribuer une imprimante au compte utilis pour accder aux ressources rseau
(UTIL4760).
- Pour les oprations darchivage et de restauration de fichiers, les droits suivants sont
facultatifs pour le compte UTIL4760.
Agir en tant que partie du systme d'exploitation
Augmenter les quotas/ajuster les quotas mmoire
Remplacer un jeton de niveau processus
3.6.6 Collecteur de fichiers de taxation
Le serveur OmniVista 4760 pourra utiliser des ressources rseau pour stocker les fichiers de
taxation dun OmniPCX Entreprise (fonction de collecte de tickets).
Cette opration requiert lutilisation de comptes Windows :
- Un compte avec les droits d' administrateur local pour le service NMCSyncLdapPbx,
valide sur le serveur OmniVista 4760 et ayant le droit de placer des fichiers sur la machine
distante.
- Un compte pour le service NMC Executables Launcher, valide sur le serveur
OmniVista 4760, avec accs aux rpertoires de la machine distante utiliss pour les
oprations de maintenance.
Procdure :
1. Lancer une session Windows en tant qu'administrateur local du PC serveur
2. Cration dun compte ayant des droits administrateur local sur le PC serveur OmniVista
4760 (pour le service SyncLdapPbx). Voir Cration de comptes et attribution des droits
3. Cration dun compte local sur le PC serveur OmniVista 4760 pour le service NMC
Executables Launcher. Voir Cration de comptes et attribution des droits
4. Attribuer les droits des utilisateurs :
Ouvrir loutil Stratgie de scurit locale (Panneau de
Configuration/Outil dadministration).
Dans la rubrique Stratgies locales , slectionner Attribution des
droits utilisateurs .
Ajouter les droits suivants aux utilisateurs crs prcdemment (ADM4760 et
UTIL4760) :
Accder cet ordinateur depuis le rseau
Ouvrir une session en tant que service
Interdire l'ouverture d'une session locale
5. Configuration des services OmniVista 4760 pour l'utilisation des ressources rseau :
Suivre la procdure dcrite la section Configuration des services OmniVista 4760
pour l'utilisation des ressources rseau pour :
Partager un rpertoire sur la machine distante pour les comptes ADM4760 et
UTIL4760 :
Accorder au service SyncLdapPbx le droit dutiliser lutilisateur ADM4760.
Accorder au service NMC Executables Launcher le droit dutiliser lutilisateur
UTIL4760.
Ocp|cicncni !OnniVisia 4760 !ans un cntircnncncni Win!cus sccurisc
8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 3-25
Remarque : trois possibilits de configuration sont prsentes la section
Configuration des services OmniVista 4760 pour l'utilisation des ressources rseau .
Pour une meilleure scurit, suivre la procdure avec utilisation de comptes locaux
(paragraphe a.)
6. Configuration du rpertoire de collecte sur le serveur OmniVista 4760 :
Dans cette procdure, nous supposerons que la machine distante sur laquelle sera
effectue la collecte des fichiers de taxation a pour nom PCdistant et que le
rpertoire utilis pour la collecte a pour nom de partage Rpertoire_collecte.
Sur l'OmniVista 4760, lancer l'application Annuaire, puis cliquer sur l'onglet
Systme.
Au niveau de larborescence, accder au rpertoire
NMC/Nom_du_serveur/servers/Nom_du_serveur/Collector.
Dans le volet de droite, indiquer le chemin du rpertoire de collecte dans lattribut
Chemin : //RemotePC/Directory_Collection.
3.6.7 Rception dalarmes urgentes de lOmniPCX Office
OmniPCX Office peut tre configur pour envoyer ses alarmes urgentes au serveur OmniVista
4760. Ceci requiert lutilisation dun compte Windows local sur le serveur OmniVista 4760.
Procdure
- Suivre la procdure dcrite dans le manuel dinstallation de l'OmniVista 4760
(section 13.3.4).
- Lancer une session Windows en tant qu'administrateur local du PC serveur
- Renforcement de la scurit en cas dutilisation du compte URGALARM :
Ouvrir loutil Stratgie de scurit locale (Panneau de
Configuration/Outil dadministration).
Dans la rubrique Stratgies locales , slectionner Attribution des
droits utilisateurs .
Ajouter les droits suivants lutilisateur URGALARM :
Accder cet ordinateur depuis le rseau
Interdire l'ouverture d'une session locale
3.7 Gestion du partage de rpertoires
3.7.1 Gestion de lOmniPCX Office
La gestion dcrite ci-dessous est ncessaire pour les oprations de sauvegarde, restauration,
tlchargement et galement pour la configuration dOmniPCX Office.
Les donnes OmniPCX Office sont sauvegardes par dfaut sur le PC serveur OmniVista
4760, dans le rpertoire 4760_ARC/OXO/data. Lors de linstallation de l'OmniVista 4760, ce
rpertoire est partag sous le nom 4760-databases (ou 4760-pm5 en cas de mise jour
depuis l'OmniVista 4760 version R3.x), en lecture seule pour tous.
Attention :
Lorsque le rpertoire 4760 server existe dj (par exemple, aprs la dsinstallation d'un
serveur OmniVista 4760) et que son nom est partag, ce nom n'est pas modifi par le programme
Chapitre 3 Ocp|cicncni !OnniVisia 4760 !ans un cntircnncncni
Win!cus sccurisc
3-26 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic
d'installation du serveur OmniVista 4760. Pour configurer OmniPCX Office partir du serveur
OmniVista 4760, le nom Windows de partage de ce rpertoire doit tre identique au nom dfini
dans le rpertoire systme OmniVista 4760 (ce nom est configur dans NmcConfiguration/
GlobalPreferences/Config/OXOAccess).
Procdure
1. Lancer une session Windows en tant qu'administrateur local du PC serveur
2. Utilisation dun compte local sur le PC serveur OmniVista 4760
Vous pouvez utiliser le compte URGALARM cr au cours de l'installation du serveur
OmniVista 4760. Par dfaut, le mot de passe de ce compte est URGALARM. Modifier ce
mot de passe avant lutilisation du compte.
On pourra utiliser un autre compte local. Pour la cration de ce type de compte, voir
Cration de comptes et attribution des droits . Dans la suite de cette procdure, nous
supposerons que le compte URGALARM a t choisi.
3. Configuration du serveur OmniVista 4760 pour l'utilisation du compte local
Sur le serveur OmniVista 4760, lancer l'application Annuaire, puis cliquer sur l'onglet
Systme.
Au niveau de larborescence, accder au rpertoire
NMC/NmcConfiguration/GlobalPreferences/Config/OXOAccess
Dans le volet de droite, renseigner les attributs :
Nom utilisateur pour l'accs au rpertoire partag = URGALARM
Mot de passe pour laccs au rpertoire partag = mot de passe
associ URGALARM.
4. Grer le partage du rpertoire 4760_ARC/OXO/data.
Slectionner le rpertoire 4760_ARC/OXO/data.
Vrifier le nom de partage.
Ce nom de partage doit correspondre au nom renseign dans lattribut Nom de
partage de lentre
NmcConfiguration/GlobalPreferences/Config/OXOAccess de lannuaire
systme de l'OmniVista 4760.
Modifier les proprits de partage et de scurit :
Nombre dutilisateurs autoriss : # 3
Dans la rubrique Autorisations , slectionner retirer tout le monde et
ajouter l'utilisateur URGALARM avec les droits Contrle total .
Dans la rubrique Mise en cache , slectionner l'option stipulant de ne pas
autoriser la mise en cache des fichiers de ce dossier partag.
Slectionnez l'onglet Scurit, puis ajoutez l'utilisateur URGALARM. Vrifiez les
droits suivants : Modification , Affichage du contenu du
dossier , Lecture , criture.
Remarque : les versions logicielles susceptibles dtre tlcharges dans les PABX
doivent se trouver dans le rpertoire OmniVista 4760_ARC/OXO/sw. Pour des
raisons de scurit, il nest pas ncessaire de partager ce rpertoire.
3.7.2 Partage de OmniVista 4760_ARC
Jusqu' la version OmniVista 4760 R4.0, le rpertoire 4760_ARC\accounting est partag
pour les besoins des oprations de restauration de tickets de taxation. Le partage est ralis
Ocp|cicncni !OnniVisia 4760 !ans un cntircnncncni Win!cus sccurisc
8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 3-27
par le programme dinstallation du serveur OmniVista 4760 avec le nom de partage
Accounting et le droit lecture pour tous les utilisateurs .
partir de la version OmniVista 4760 R4.1, ce partage ntant plus ncessaire pour les
oprations de restauration de tickets, il nest plus effectu par le programme dinstallation.
3.7.3 Autres partages
Pour toutes les oprations de maintenance (sauvegarde/restauration de l'OmniVista 4760,
sauvegarde/restauration et mise jour logicielle du PCX), darchivage, de restauration et de
collecte de fichiers de taxation, et dexportation de rapports, le serveur OmniVista 4760 pourra
utiliser des ressources rseau. La configuration des partages rseau et de lutilisation de
comptes donnant accs ces partages doit tre ralise aprs linstallation du serveur
OmniVista 4760 en suivant les procdures dcrites la section Gestion de comptes Windows
utiliss par le serveur OmniVista 4760 .
3.8 Envoi de message lectronique (e-mails)
L'OmniVista 4760 peut envoyer des alarmes, des rapports ou une notification de surveillance
des fichiers taxation vers un serveur de messagerie lectronique. Pour cela, il faut indiquer le
nom (ou ladresse IP) du serveur de messagerie utiliser pour ces envois. Il nest pas
ncessaire pour lenvoi de messages lectroniques daccorder aux services OmniVista 4760
des droits pour lutilisation de comptes spcifiques.
Chapitre 3 Ocp|cicncni !OnniVisia 4760 !ans un cntircnncncni
Win!cus sccurisc
3-28 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic
Objectif : ce chapitre rpertorie les ports et protocoles utiliss en cas de gestion dun
Alcatel-Lucent OmniPCX Enterprise Communication Server par un serveur OmniVista 4760.
Ceci doit tre pris en compte lors du dploiement de l'OmniVista 4760 dans un environnement
rseau scuris, cest--dire contenant des lments de scurisation (pare-feu, DMZ, etc.).
4.1 Trafic IP sur serveur OmniVista 4760
Note 1 :
Par dfaut, la scurit IPsec nest pas active entre le serveur OmniVista 4760 et un client OmniVista
4760. En cas d'utilisation de clients OmniVista 4760 distants, il est recommand d'activer la scurit
IPsec.
La liste des services et ports utiliss par le serveur OmniVista 4760 figure dans le tableau
ci-aprs.
tableau 4.1 : Services sur le serveur OmniVista 4760
Nom Type Protocole Numro de
port
Scurit Clients dis-
tants
HTTP Server HTTP TCP 80 Non Client 4760,
Client an-
nuaire 4760,
4059 (2)
LDAP Server LDAP TCP 389 IPSec Client 4760,
4059, Dbor-
dement an-
nuaire PCX
(1), Rplica-
tion LDAP,
Autres clients
LDAP
Serveur LDAP LDAP (sur
SSL)
TCP 636 SSL Client 4760,
4059, Dbor-
dement an-
nuaire PCX,
Autres clients
LDAP
LDAP admi-
nistration Ser-
ver
HTTP TCP 30010 IPSec Console
dadministratio
n SUN ONE
Database
ASA
(SYBASE)
ASA TCP 2638
ASA TCP 30011 IPSec Client 4760
Alarms Server GIIOP TCP 30012 IPSec Client 4760
CMISD Server CMISE TCP 30001
GIIOP TCP 30013 IPSec
Chapitre
4
DepIolement dOmnlVlstu 4760
duns une conflgurutlon reseuu
8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 4-1
Nom Type Protocole Numro de
port
Scurit Clients dis-
tants
Serveur de
communica-
tion
GIIOP TCP 30014 IPSec Client 4760
Serveur de
communica-
tion
GIIOP TCP 30014 IPSec Client 4760
ExecdEx Ser-
ver
GIIOP TCP 30015 IPSec Client 4760
Extractor Ser-
ver
GIIOP TCP 30016 IPSec Client 4760
GCS Admin
Server
GIIOP TCP 30017 IPSec Client 4760
GCS Config GIIOP TCP 30018 IPSec Client 4760
Server Li-
cense Server
GIIOP TCP 30019 IPSec Client 4760
Loader Server GIIOP TCP 30020 IPSec
Notification
Server
GIIOP TCP 30022 IPSec Client 4760
Save / Res-
tore Server
GIIOP TCP 30023 IPSec Client 4760
Scheduler
Server
GIIOP TCP 30024 IPSec Client 4760
Security Ser-
ver
GIIOP TCP 30025 IPSec Client 4760
LDAP/PBX
Synchroniza-
tion server
GIIOP TCP 30026 IPSec
Audit Server GIIOP 30030 IP sec
Telnet Proxy TELNET TCP 30100
30149
IPSec Client 4760
Chapitre 4 Ocp|cicncni !OnniVisia 4760 !ans unc ccnjiguraiicn
rcscau sccuriscc
4-2 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic
Nom Type Protocole Numro de
port
Scurit Clients dis-
tants
FTP Proxy Control TCP 30021 IPSec Client 4760 /
OMC
- OmniPCX
Office <
R3.0 FTP
mode actif
- R3.0 < =
OmniPCX
Office <
R5.0 FTP
mode pas-
sif
DATA TCP 30150
30299
IPSec 4760 Client/
OMC Seule-
ment si FTP
mode passif
(R3.0 < = Om-
niPCX Office
< R5.0)
DATA TCP 1024 5000 IPSec 4760 Client/
OMC Seule-
ment si FTP
mode actif
(OmniPCX Of-
fice < R3.0)
OMC Configu-
ration socket
TCP 31000 IPSec Client 4760 /
OMC
(OmniPCX Of-
fice < R5.0)
OMC Down-
loading socket
TCP 31001 IPSec Client 4760 /
OMC
(OmniPCX Of-
fice < R5.0)
OMC debug
socket
TCP 6005 IPSec Client 4760 /
OMC
(OmniPCX Of-
fice < R5.0)
OMC configu-
ration, down-
loading, de-
bug
TCP 30028 SSL et IPSec Client 4760 /
OMC
(OmniPCX Of-
fice > = R5.0)
OMC Com
Server on/off
line
TCP 30300
30349
IPSec Client 4760 /
OMC
Ocp|cicncni !OnniVisia 4760 !ans unc ccnjiguraiicn rcscau sccuriscc
8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 4-3
Nom Type Protocole Numro de
port
Scurit Clients dis-
tants
Proxy HTTP HTTP,
HTTPS, SSH
30028 IPSec
(OmniPCX Of-
fice R5.0)
SSL et IPSec
(OmniPCX Of-
fice > = R5.0)
Client
4760/Navigate
ur Internet Ac-
cess Client
4760
SNMP Agent SNMP UDP 161 Non Hyperviseur
IPec ISAK UDP 500
ACD Configu-
ration
FTP ACTIVE TCP 32000 Non Serveur 4760 /
OMC
(OmniPCX Of-
fice < R5.0)
HTTPS TCO 30028 SSL et IPSec Client 4760 /
OMC
(OmniPCX Of-
fice > = R5.0)
ACD Statistics HTTP / SOAP TCP 30028 IPSec Serveur 4760 /
OMC
(OmniPCX Of-
fice < R5.0)
HTTPS/SOAP TCP 30028 SSL et IPSec Client 4760 /
OMC
(OmniPCX Of-
fice > = R5.0)
OTS HTTP / SOAP TCP 30028 IPSec Serveur 4760 /
OMC
Notification
des alarmes
urgentes Om-
niPCX Office
HTTP TCP 30029 Non Serveur 4760 /
OmniPCX Of-
fice > = R5.0
en connectivi-
t IP
Apache HTTP / SOAP TCP 8080 Non quipements
SIP
Apache HTTPS/SOAP TCP 8443 SSL Client 4760 -
Sip Manager,
WBM Client
(1) : non compatible avec IP sec (systme dexploitation LINUX sur PCX).
(2) : le client d'annuaire Web 4059 prend en compte seulement le numro de port 80 (non
modifiable).
Note 2 :
- CORBA sappuie sur le protocole GIIOP
- Les numros de port en gras (30020, par exemple) peuvent tre modifis dans le rpertoire
systme, aprs l'installation du serveur OmniVista 4760. Conserver la taille des plages de numros
de port, ne pas utiliser de ports connus. Si la connexion IP sec est active, la configuration IP sec ne
Chapitre 4 Ocp|cicncni !OnniVisia 4760 !ans unc ccnjiguraiicn
rcscau sccuriscc
4-4 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic
tient pas compte des ports modifis. En cas de modification du numro de port par dfaut, excuter
4760>bin>IpsecUpdate.exe. Pour plus dinformations, contacter les services professionnels
dAlcatel-Lucent.
La liste ci-dessous rpertorie les services et ports utiliss par le serveur OmniVista 4760 en
interne. Ces services ne doivent pas tre accessibles depuis l'extrieur du serveur OmniVista
4760.
tableau 4.2 : Services internes sur le serveur OmniVista 4760
Nom Type Protocole Numro de
port
Scurit Clients dis-
tants
PMS RMI TCP 9757 Non API de PMS et
notification de
gestion
FlexLM Propritaire TCP 27000 Cod Licences
FlexLM-Dea-
mon
Propritaire TCP Ngociation
dynamique
sur 27000 cnx
ou fixe dans le
fichier de li-
cence (ligne
VENDEUR)
Cod Licences
(dmon Alca-
tel)
UDAS RMI TCP 9758 Non API de UDAS
et notification
de gestion
FWK RMI TCP 9754 Non Liaison aux
applications
EVS RMI TCP 9760 Non Notification
Sybase TCP 2638 Accs la
base de don-
nes
LDAP Server LDAP TCP 8389 Non Accs la
base de don-
nes
ACAPI CORBA TCP 8389 Non Accs la
gestion OXE
DTA RMI TCP 5009 Non Accs la
gestion
DTA RMI TCP 4445 Non Alarmes - RMI
Tomcat TCP 10005 Non Port de main-
tenance (arrt)
Tomcat AJPv13 TCP 10009 Non Connexion
Apache pour
requte
d'application
UMF JNDI TCP 16400 Non Port JNDI
UMF JMS TCP 16010 Non JMS
UMF Propritaire TCP 55002 Non Dbogage
Ocp|cicncni !OnniVisia 4760 !ans unc ccnjiguraiicn rcscau sccuriscc
8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 4-5
UMF Propritaire TCP 44323 - 44552 Ports de notifi-
cation
4.2 Trafic IP sur client OmniVista 4760
La liste des services et ports utiliss par le client OmniVista 4760 figure dans le tableau
ci-aprs.
tableau 4.3 : Services sur le nom de client OmniVista 4760
Type Protocole Numro de
port
Scurit Note
CORBA R-
ceptions des
notifications
alarmes
GIIOP TCP 30500
30509
IPSec
OMC- Status
of communi-
cation socket
HTTP TCP 30510
30529
IPSec
OMC - FTP
data sockets
Donnes TCP 1024 5000
IPSec ISAKMP UDP 500 IPSec Client 4760
Note :
- Par dfaut, la scurit IPsec n'est pas active entre le serveur OmniVista 4760 et un client OmniV-
ista 4760.
- Les numros de port en caractres gras sont modifiables dans le fichier runnmc.bat, aprs installa-
tion du client OmniVista 4760.
- Sur le poste client, vous devez autoriser les connexions entrantes via le port Corba 30500 - 30509.
Si cela nest pas fait, lapplication dalarmes sera vide et il ny aura pas de notification dalarme. La
configuration du PCX choue aprs le chargement du MIB local : impossible de configurer la notifica-
tion au client.
4.3 Trafic IP sur OmniPCX Enterprise pour la gestion de
l'OmniVista 4760
La liste des services et ports utiliss par OmniPCX Entreprise figure dans le tableau ci-aprs.
tableau 4.4 : Services sur un OmniPCX Enterprise Lx ou Ux
Nom Type Protocole Numro de
port
Scurit Note
CMISD TCP 2535 Non
STAP UDP 2556 Non
Chapitre 4 Ocp|cicncni !OnniVisia 4760 !ans unc ccnjiguraiicn
rcscau sccuriscc
4-6 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic
FTP server Control TCP 21 Non Mode PASV
command
par 4760
DATA TCP 1024 5000 Non OmniPCX En-
terprise Ux
10000
20000
Non OmniPCX En-
terprise Lx <
6.0
10000
20000
Non OmniPCX En-
terprise Lx >=
6.0 Grable
dans lOXE
SSH TCP 22 oui OmniPCXEn-
terprise
Telnet TCP 23 Non
4.4 Trafic IP sur l'OmniPCX Office pour la gestion de l'OmniVista
4760
La liste des services et ports utiliss par le client OmniPCX Office figure dans le tableau
ci-aprs.
tableau 4.5 : Services sur un OmniPCX Office
Nom Type Protocole Numro de
port
Scurit Note
Configuration
socket
TCP 31000 Non OmniPCX Of-
fice < R5.0
Downloading
socket
TCP 31001 Non OmniPCX Of-
fice < R5.0
Debug socket TCP 6005 Non OmniPCX Of-
fice < R5.0
Management
socket
TCP 31002 Non
Ocp|cicncni !OnniVisia 4760 !ans unc ccnjiguraiicn rcscau sccuriscc
8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 4-7
FTP server Control TCP 30021 Non - OmniPCX
Office <
R3.0 FTP
mode actif
- R3.0 < =
OmniPCX
Office <
R5.0
mode pas-
sif
Donnes TCP Dfini par le
systme
(30020 par
dfaut)
Non Seulement si
FTP mode
passif
(OmniPCX Of-
fice < R5.0)
OmniPCX Of-
fice configura-
tion
(configuration,
downloading,
debug so-
ckets)
HTTPS TCP 443 SSL Client 4760 /
OMC
(OmniPCX Of-
fice > = R5.0)
Serveur HTTP
pour accs In-
ternet
HTTP TCP 80 Non OmniPCX Of-
fice R1.x
HTTPS TCP 443 Oui OmniPCX Of-
fice > = R2.0
Services ACD TCP 32000 Non R4.0 < = Om-
niPCX Office
< R5.0
HTTPS/SOAP TCP 443 SSL OmniPCX Of-
fice > = R5,0
ACD Statistics HTTP / SOAP TCP 8892 Non R4.0 < = Om-
niPCX Office
< R5.0
HTTPS/SOAP TCP 443 SSL OmniPCX Of-
fice > = R5,0
Serveur HTTP
pour la col-
lecte des don-
nes Om-
niPCX Office
HTTP / SOAP TCP 8892 Non R4.0 < = Om-
niPCX Office
< R5.0
HTTPS/SOAP TCP 443 SSL OmniPCX Of-
fice > = R5,0
4.5 Trafic IP sur un hyperviseur
La liste des services et ports utiliss par un hyperviseur figure dans le tableau ci-aprs.
tableau 4.6 : Services sur un hyperviseur
Chapitre 4 Ocp|cicncni !OnniVisia 4760 !ans unc ccnjiguraiicn
rcscau sccuriscc
4-8 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic
Nom Type Protocole Numro de
port
Scurit Note
SNMP Mana-
ger
SNMP Trap UDP 162 Non
4.6 Trafic IP sur un 4059
La liste des services et ports utiliss par lapplication 4059 figure dans le tableau ci-aprs.
tableau 4.7 : Services sur lapplication 4059
Nom Type Protocole Numro de
port
Scurit Clients dis-
tants
4059 TCP 7777 Non Serveur Omni-
Vista 4760
4.7 Fonctionnement de l'OmniVista 4760 sur un rseau VPN/NAT
4.7.1 PRSENTATION
Nous recommandons le dploiement de l'OmniVista 4760 sur un rseau local unique et dans
l'intranet de lentreprise. Il sagit dun moyen simple de grer la connectivit et la scurit du
serveur, du client et du PCX OmniVista 4760. Cependant, certains clients ont demand
pouvoir dployer ce type de solution sur un rseau VPN/NAT, ceci ayant divers impacts,
notamment sur les points suivants :
- Connaissances et restrictions du protocole VPN/NAT
- Matriel et logiciels requis pour la prise en charge du protocole VPN/NAT
- Topologie du site client
- Paramtres de l'OmniVista 4760
Pour plus dinformations ou en cas de problme avec le protocole NAT, nous vous
recommandons de contacter les services professionnels dAlcatel-Lucent pour vous aider
analyser votre rseau afin de trouver une solution.
4.7.2 Protocole VPN/NAT
Un rseau VPN/NAT implique deux types dadresses IP :
- ladresse PRIVE, disponible uniquement sur le rseau local ;
- ladresse PUBLIQUE, disponible sur le rseau local externe.
Le routeur NAT traduit les adresses IP prive et publique.
Vous devez utiliser :
- la traduction dadresses IP uniquement, pas la traduction de ports ;
- la traduction dadresses IP statique uniquement, pas la traduction dynamique.
Par dfaut, la traduction NAT nest pas conforme aux applications qui transportent les
adresses IP.
Ocp|cicncni !OnniVisia 4760 !ans unc ccnjiguraiicn rcscau sccuriscc
8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 4-9
Ce type de protocole implique une requte de rappel incluant ladresse prive dorigine, non
disponible sur le rseau local distant.
Dans le cadre de la solution OmniVista 4760, cela concerne :
- Le protocole FTP (utilis pour connecter les PCX) :
Au cours dune session FTP, le client FTP connecte ladresse prive au serveur FTP.
En mode passif (mode par dfaut), le transfert de donnes fait appel ladresse IP
prive du serveur FTP.
En mode actif, le transfert de donnes fait appel ladresse IP prive du client FTP.
Puisque les adresses prives ne peuvent pas tre utilises directement, vous devez :
activer un proxy FTP sur le routeur NAT ;
supprimer la solution NAT.
- Le protocole Corba (utilis pour connecter le client au serveur) :
Lors dune session Corba, ladresse IP du client est envoye au serveur en cas de requte
de rappel et en cas de ncessit de connexion directe entre le serveur et le client.
Le routeur NAT nimplique pas de solution IP, car le routeur ne lit pas les messages Corba,
et aucun proxy Corba nest disponible.
Vous devez modifier linitialisation Corba ct client afin de transporter le nom dhte du
client au lieu de ladresse IP.
4.7.3 Accs du client OmniVista 4760 au serveur via NAT
Parmi les protocoles utiliss par le client OmniVista 4760 et le serveur OmniVista 4760, seul
Corba est compatible avec NAT. Une solution ce problme est propose dans ce chapitre.
4.7.3.1 Topologie client
Figure 4.1 : Exemple de topologie client relle
Chapitre 4 Ocp|cicncni !OnniVisia 4760 !ans unc ccnjiguraiicn
rcscau sccuriscc
4-10 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic
4.7.3.2 Flux IP
4.7.3.3 Gestion spcifique
Configuration du fichier Hosts
Procdure :
Nous supposerons quil ny a aucun service DNS pour cette connexion VPN. Modifier le fichier
hosts local pour les deux systmes client et serveur (WinNT\Sytem32\driver\
etc\hosts) :
- Sur le PC serveur, entrer ladresse IP correspondant au nom dhte du client visible sur
LAN2.
@Lan2_Client CLIENT CLIENT.LABO.FR
- Sur le PC client, entrer ladresse IP correspondant au nom dhte du serveur visible sur
LAN1.
@VPN_Server SRV4760 SRV4760.ALCATEL.FR
Modification Client
Aprs la configuration du fichier hosts , le client et le serveur OmniVista 4760 peuvent
communiquer en utilisant un protocole simple : http, ldap, etc. Mais les protocoles comme
CORBA qui encapsulent lidentification ne sont pas compatibles avec NAT.
Sur le serveur OmniVista 4760, CORBA est initialis en utilisant le nom dhte du serveur.
Comme le fichier hte du client a pu tre modifi correctement, il n'y a pas de problme : le
client OmniVista 4760 est capable d'tablir la connexion avec le serveur.
Sur le client OmniVista 4760, CORBA est initialis en utilisant ladresse IP locale. Cette
opration restreint l'utilisation de l'OmniVista 4760 : le serveur OmniVista 4760 ne parvient pas
envoyer la notification sur le port 30500 30509 du client CORBA.
- Il ny a pas dalarme sur le client
Ocp|cicncni !OnniVisia 4760 !ans unc ccnjiguraiicn rcscau sccuriscc
8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 4-11
- Le module configuration ne peut tre lanc
Il est possible de modifier le paramtre client en suivant la procdure ci-dessous:
- Localisez le programme du client : \Client4760\bin\runnmc.bat
- Modifier ce fichier
- Remplacer "IpNumeric=yes" par "IpNumeric=no".
De cette faon, le nom dhte du client sera envoy au serveur OmniVista 4760. Lenvoi de la
notification par le serveur peut alors seffectuer.
Configuration du pare-feu
Pour faire fonctionner les applications OmniVista 4760, il est ncessaire de mettre jour les
rgles du pare-feu et dautoriser tout le trafic IP entre le client et le serveur.
Procdure
- Sassurer que les ports utiliss par le serveur OmniVista 4760 sont ouverts (sections 4.1 et
4.2).
- Vrifiez l'adresse IP contrler : @LAN1, @LAN2 or @VPN.
- Sur le serveur v, autoriser la connexion tous les services v
- Sur le client v, autoriser la connexion sur le port de notification CORBA 30500 30509.
Exemple
Sur le pare-feu FW1, autoriser la connexion entrante pour le client OmniVista 4760 :
IP=@LAN1_Client Port = 30500 30509
4.7.4 Accs du serveur OmniVista 4760 l'Alcatel-Lucent OmniPCX Enterprise
Communication Server via NAT
Parmi les protocoles utiliss par l'OmniVista 4760 et l'Alcatel-Lucent OmniPCX Enterprise CS,
seul le protocole FTP nest pas compatible avec NAT. Vous devez donc activer le proxy FTP
sur le routeur NAT.
4.7.5 Accs du serveur OmniVista 4760 l'OmniPCX Office via NAT
Cette solution a t teste avec l'OmniVista 4760 sans NAT et PCX avec NAT. Dans cette
solution, le PCX a pu accder l'adresse prive du serveur v
Seul le protocole FTP est concern par le problme li au NAT. Il est tout de mme
ncessaire dactiver le proxy FTP sur le routeur NAT.
4.7.6 Accs du serveur OmniVista 4760 au client d'annuaire Web 4059 via NAT
La fonction d'appel en un clic du client d'annuaire Web ne prend pas en charge l'accs au
serveur OmniVista 4760 via Nat.
4.7.7 Dpannage du transfert FTP
- Pour lancer un transfert FTP sur OmniPCX Office en mode passif, procder comme suit :
Lancer une console DOS
Chapitre 4 Ocp|cicncni !OnniVisia 4760 !ans unc ccnjiguraiicn
rcscau sccuriscc
4-12 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic
Entrer c:>ftp <@IP_oxo> 30021
Entrer ftp>literal PASV
Tenter dobtenir un fichier
- Pour lancer un transfert FTP sur OmniPCX Enterprise en mode passif, procder comme
suit :
Lancer une console DOS
Entrer c:>ftp <@ip_oxe> 21
Entrer ftp>literal PASV
Tenter dobtenir un fichier
Ocp|cicncni !OnniVisia 4760 !ans unc ccnjiguraiicn rcscau sccuriscc
8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 4-13
Chapitre 4 Ocp|cicncni !OnniVisia 4760 !ans unc ccnjiguraiicn
rcscau sccuriscc
4-14 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic
Objectif : ce chapitre dcrit les moyens dployer (et leur mise en uvre) pour assurer la
scurit des donnes dun OmniPCX en cas de gestion par un serveur OmniVista 4760.
5.1 Alcatel-Lucent OmniPCX Enterprise CS
5.1.1 Mise en uvre de Connexion SSH
La connexion client vers l'Alcatel-Lucent OmniPCX Enterprise CS peut tre scurise par
SSH.
Dans ce cas, les clients de type console utilisent lapplication MindTerm. Cette application est
excute sur le PC client. Elle se connecte en premier lieu au serveur OmniVista 4760 par le
port 30028, puis tablit un tunnel SSH vers le PCX.
La connexion est dcrite sous la forme : <LoginPCX> @ <nom_d'alias_de_l'hte>
Note :
Le rapatriement SFTP de fichiers est accessible par un menu de lapplication MindTerm.
5.1.1.1 Vrification de la prsence de la licence Scurit ct OmniVista 4760
La licence Scurit de l'OmniVista 4760 est obligatoire pour lutilisation du protocole SSH.
Pour vrifier la prsence de la licence Scurit :
1. Lancer lapplication client OmniVista 4760
2. Dans la barre des menus, slectionner Aide, puis propos.
Le tableau Licences vrifies saffiche.
Si Scurit apparat, le verrou scurit est bien prsent.
5.1.1.2 Gestion de l'Alcatel-Lucent OmniPCX Enterprise CS
Note 1 :
La version minimum requise pour l'Alcatel-Lucent OmniPCX Enterprise CS est 6.0.
1. Ajout dun hte scuris
Pour ajouter un hte scuris , suivre la procdure dcrite dans le tableau ci-aprs.
Application Alcatel OmniPCX Enterprise > HyperTerminal
Action Login : root
Mot de passe
Action netadmin m
Chemin Security > Isolate Ethernet Interface and
TCP accesses
Avertissement : seules les machines dclares comme htes scuriss
auront accs au PCX
Souhaitez-vous scuriser vos accs Internet (o/n, o par dfaut) ? O
Chemin Security > Restricted Ethernet Access
Chapitre
5
Securlsutlon des donnees PCX
en cus de gestlon pur un serteur
8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 5-1
Enter the type of the trusted host(s) :
0. Routeur
1. CPU
2. 47XX (machines de gestion)
3. quipement IP (tlphone IP, INTIPA/INTIPB, GD, LIOE, etc. )
4. PC Installer
Quel est votre choix ? 2
Trusted host's IP name ? Entrer un nom qui correspond au serveur OmniVista
4760. Par exemple : serveur4760
Vous devez donner un nom contenant uniquement des
lettres, chiffres et (.,-,_) et commenant par une lettre.
La longueur maximum est de 64 caractres.
Le nom indiqu ne figure pas dans la base de donnes d'htes.
Lajouter et indiquer ladresse correspondante (o/n, n par dfaut) ?
o
Adresse IP de lhte scu-
ris ?
Entrer ladresse IP du serveur OmniVista
4760 (exemple : 10.2.6.10)
Note 2 :
Si le serveur OmniVista 4760 est dans un autre sous-rseau IP :
Nom IP de la passerelle : saisir le nom de la passerelle (exemple : Routeur_passerelle)
Le nom de passerelle indiqu ne figure pas dans la liste d'htes scuriss.
Dabord ajouter la passerelle en tant qu'hte scuris, puis ajouter cet hte.
Vous devez grer galement tous les quipements IP (cartes GD, INTIP, IP phones). Il est possible
de dfinir des tranches de trusted hosts (pour les IP phones par exemple).
2. Configuration dune connexion SSH scurise
Pour configurer une connexion SSH scurise, suivre la procdure dcrite dans le tableau
ci-aprs.
tableau 5.2 : Configuration dune connexion SSH scurise
Action netadmin m
Chemin Security > SSH Configuration
Avertissement : vous devez disposer d'un systme homogne pour pou-
voir amliorer la scurit avec SSH !
Amliorer la scurit avec SSH (o/n, o par dfaut) ? o
3. Vrification de la configuration SSH
Pour vrifier la configuration SSH, suivre la procdure dcrite dans le tableau ci-aprs.
tableau 5.3 : Vrification de la configuration SSH
Action netadmin m
Chemin Show curent configuration
Accs Internet restreints Oui
Scurit avec SSH Oui
5.1.1.3 Gestion de l'OmniVista 4760 (annuaire systme)
Pour dclarer une connexion scurise au PCX via le protocole SSH/SFTP:
Chapitre 5 Sccurisaiicn !cs !cnnccs PCX cn cas !c gcsiicn par un
scrtcur OnniVisia 4760
5-2 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic
1. Lancer lapplication Annuaire, puis cliquer sur longlet Systme.
2. Slectionner nmc > Rseau > Sous-rseau.
3. Slectionner le PCX dont la connexion doit tre scurise.
4. Cliquez sur longlet Connectivit.
5. Renseignez les attributs suivants :
Connexion SSH : cocher la case pour autoriser une connexion SSH/SFTP.
Nom d'hte : entrer un identifiant unique pour chaque PCX scuris (exemple :
Nud3) Vous devez donner un nom contenant uniquement des lettres, chiffres et
(.,-,_) et commenant par une lettre. Vous ne pouvez pas utiliser de caractres
spcifiques (@,','' ...), ni de caractre espace.
Note :
Le nom dhte est utilis par lapplication MindTerm pour rechercher sur le serveur OmniVista
4760 les informations de connexion du PCX connecter.
5.1.1.4 Utilisation de la connexion scurise
5.1.1.5 Connexion SSH
Pour tablir une connexion SSH :
1. Lancer lapplication Configuration, puis cliquer sur longlet Rseaux.
2. Slectionner nmc > Rseau > Sous-rseau.
3. Slectionner le PCX.
4. Via le menu contextuel, cliquer sur Connecter.
5. Renseignez les attributs suivants :
Nom d'utilisateur : compte pour se connecter au PCX (exemple : mtcl)
Mot de passe : mot de passe associ au nom dutilisateur
6. Lapplication MindTerm est utilise pour se connecter au PCX
La connexion stablit via le proxy http et le port TCP 30028.
Le serveur SSH de l'Alcatel-Lucent OmniPCX Enterprise CS est OpenSSH_22.3.Opl
(SSH2).
Le cypher est 3des
5.1.1.6 Connexion SFTP
Pour rapatrier les fichiers via SFTP, suivre la procdure dcrite dans le tableau ci-aprs.
tableau 5.4 : Connexion SFTP
Application MindTerm Menu Plugins
Objet Transfert de fichiers SFTP
Action Slectionner les rpertoires sur la machine locale (PC client OmniVis-
ta 4760) et sur la machine distante (OmniVista 4760).
Transfrer les fichiers laide des flches
Action Fermer
Sccurisaiicn !cs !cnnccs PCX cn cas !c gcsiicn par un scrtcur OnniVisia 4760
8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 5-3
5.1.2 Scurisation de l'accs l'Alcatel-Lucent OmniPCX Enterprise CS
5.1.2.1 Principe de fonctionnement
La scurisation daccs permet de filtrer laccs la configuration OmniPCX
4400/Alcatel-Lucent OmniPCX Enterprise CS. Le filtrage peut se faire par le nom des serveurs
OmniVista 4760 (les stations) et par les logins utiliss pour lancer le client OmniVista 4760 (les
utilisateurs).
La scurisation sapplique la connexion CMISE entre le serveur OmniVista 4760 et le PCX.
5.1.2.2 Configuration
Afin dviter des erreurs et pour bien cerner un problme ventuel, il est conseill de suivre
dans lordre les tapes de gestion dcrites ci-aprs. La gestion PCX se fait dans l'objet
Scurit et Contrle d'accs.
Procdure
1. Dans PCX, grer les stations sans mot de passe.
Supprimer la station * . Ce caractre autorise la connexion de toutes les stations
Attention 1 :
Il nest pas possible de recrer ce caractre par les outils de gestion client. Pour plus
d'informations, contacter le Support Technique dAlcatel-Lucent.
Crer les stations (serveurs OmniVista 4760). Le nom correspond au nom du PC sur
lequel est install le serveur OmniVista 4760. Le nom doit obligatoirement tre saisi en
MAJUSCULES
Ne pas indiquer de mot de passe pour linstant
Garder pour linstant la relation avec la liste N1 des utilisateurs.
2. Dans l'OmniVista 4760, valider la scurit sans mot de passe :
Dans lannuaire systme, onglet Connexion, cocher Accs scuris (pour configuration)
3. Tester la connexion en configuration au PCX
4. Dans PCX, grer une liste N2 des utilisateurs
Crer une liste N2 des utilisateurs
5. Dans PCX, crer les utilisateurs dans la liste N2 des utilisateurs
Le nom des utilisateurs correspond au login utilis pour lancer le client OmniVista
4760.
Le nom doit obligatoirement tre saisi en MAJUSCULES.
6. Dans lobjet Station, affecter cette liste N2 aux stations.
7. Tester la connexion en configuration au PCX
8. Option de scurit : cration dun mot de passe CMISD
Pour renforcer la scurit, il est possible de contrler la connexion par mot de passe :
Ct OmniVista 4760, indiquer le mot de passe dans longlet Connectivit du PCX
concern (mot de passe Cmisd)
Ct PCX, indiquer ce mme mot de passe sur les stations correspondantes. Il faut
respecter la casse (Majuscules/minuscules)
En cas de modification du mot de passe ct OmniVista 4760, il peut tre ncessaire
de relancer le client, et/ou de relancer le serveur CMISE du service NMC.
Chapitre 5 Sccurisaiicn !cs !cnnccs PCX cn cas !c gcsiicn par un
scrtcur OnniVisia 4760
5-4 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic
9. Tester la connexion en configuration au PCX
Attention 2 :
L'utilisateur * est retir de la liste N1 ds qu'un autre utilisateur est cr dans cette liste.
Il nest pas possible de recrer ce caractre par les outils de gestion client. Pour plus
d'informations, contacter le Support Technique dAlcatel-Lucent.
5.1.2.3 Maintenance
Pendant la configuration PCX (via mgr ou l'OmniVista 4760), il est impossible de rtablir les
paramtres de scurit par dfaut :
- station = *
- utilisateur = *
Pour rtablir les valeurs :
- Ouvrir une session telnet sur PCX
- Dsactiver MAO (mao off)
- Lancer le multioutil SECURITY_ACCESS
- Slectionner l'option 10 : Security access reinitialization
- Activer MAO (mao on)
5.2 OmniPCX Office
5.2.1 Configuration
Le serveur OmniVista 4760 prend en charge lexcution de lapplication OMC en mode HTTPS
( partir de la version R5.0 de l'OmniPCX Office).
5.2.2 Synchronisation des donnes OmniPCX Office
Pour renforcer la confidentialit des donnes transfres depuis l'OmniPCX Office vers
l'OmniVista 4760 (taxation, alarmes, licence), il est recommand de scuriser le rseau et de
suivre les recommandations de scurit de l'OmniPCX Office.
5.2.3 Accs Internet
Le serveur OmniVista 4760 prend en charge lexcution de lapplication Internet Access en
mode HTTPS ( partir de la version R2.0 de l'OmniPCX Office).
Sccurisaiicn !cs !cnnccs PCX cn cas !c gcsiicn par un scrtcur OnniVisia 4760
8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 5-5
Chapitre 5 Sccurisaiicn !cs !cnnccs PCX cn cas !c gcsiicn par un
scrtcur OnniVisia 4760
5-6 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic
Objectif de ce chapitre : dcrire les moyens dployer (et leur mise en uvre) pour assurer la
scurit des donnes dun serveur OmniVista 4760.
6.1 Configuration autonome
L'OmniVista 4760 fonctionne en configuration autonome lorsquil ne communique quavec les
PCX. Dans ce contexte :
- Aucun client OmniVista 4760 distant nest install.
- Aucun rpertoire ou disque rseau nest utilis.
- Aucune imprimante rseau nest utilise.
- Aucune application externe ne peut se connecter lannuaire LDAP du serveur OmniVista
4760.
Il sagit de la configuration la plus scurise.
Pour renforcer la scurit, il est recommand de :
- Dsactiver les services Windows inutiles dans une configuration autonome (voir le
descriptif des services dans , section 4.1 ).
- Activer le pare-feu Windows. Aucune exception nest requise dans la configuration du
pare-feu Windows pour le fonctionnement du serveur OmniVista 4760.
6.2 Dploiement du protocole IPSec dans une configuration
serveur-clients distants
Afin de renforcer la scurit des donnes changes entre le serveur OmniVista 4760 et ses
clients distants, il est recommand dactiver lutilisation du protocole IPSec en suivant la
procdure dcrite dans cette section.
IPSec est une fonctionnalit propre Windows permettant de crypter la communication IP
entre deux machines Windows. Pour le serveur et client OmniVista 4760, le mode IPsec est
transparent. Seules les trames IP entrantes et sortantes des deux machines scurises sont
modifies.
6.2.1 Configuration requise
- Le service dexploitation de la machine client doit prendre en charge le protocole IPSec.
- Les versions minimum requises sont Windows XP et 2003.
- Un client LDAP comme OmniPCX Enterprise ou Linux ne peut donc pas rentrer dans ce
mode IPSec.
6.2.2 Implmentation
Limplmentation IPSec sous Windows est prsente comme une stratgie de scurit.
Les points considrer avant limplmentation dIP-sec sont :
Dfinition de lauthentification avec Kerberos :
Chapitre
6
Securlsutlon des donnees Omnl-
Vlstu 4760
8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 6-1
- Utiliser un certificat dauthentification Windows.
- Pour les PC dun groupe de travail, en labsence de Kerberos, lactivation du protocole
IPsec avec lauthentification Kerberos bloque totalement la communication IP. Vous devez
crire une authentification de cl partage sur chaque PC : client et serveur.
- Pour les PC intgrs dans un domaine Windows, on peut utiliser le serveur Kerberos
intgr dans le contrleur de domaine.
- Sur chaque machine o lon trouve un client ou serveur OmniVista 4760, on doit pouvoir
accder lordinateur depuis le rseau.
Procdure :
1. Slectionnez Dmarrer > Paramtres > Panneau de configuration > Outils
d'administration > Stratgie de scurit locale > Stratgies
locales > Attribution des droits utilisateurs.
2. Slectionner le paramtre Accder cet ordinateur depuis le rseau.
3. Ajouter le groupe Rseau ou les utilisateurs rseau dans les droits daccs.
Couverture de la stratgie
Le mode IPSec peut concerner tout ou partie des ports IP. Alcatel-Lucent fournit deux types
de stratgies qui permettent de scuriser uniquement les communications IP entre
lapplication client et lapplication serveur. Remarque : pour utiliser des certificats, contactez
les services professionnels d'Alcatel-Lucent.
6.2.3 Restriction
- La stratgie propre au serveur OmniVista 4760 ne lui permet pas daccder en tant que
client dautres serveurs OmniVista 4760.
- Si les ports IP des services OmniVista 4760 sont modifis, la stratgie IPSec nest plus
jour.
- Si le client dispose dj d'une scurisation IPsec pour d'autres applications de serveur, la
stratgie Alcatel-Lucent n'est pas complte. Dans ce cas, il faut intgrer le client IPsec la
configuration existante.
- Par dfaut, la stratgie IPSec d'Alcatel-Lucent pour le serveur OmniVista 4760 impose que
tous les clients se connectent par IPSec. Ce choix peut tre modifi pour permettre des
clients non scuriss daccder au serveur.
Attention :
Pour ces clients, les donnes et mot de passe passent en clair sur le rseau IP.
Pour grer ces cas, il est conseill de faire appel aux services professionnels dAlcatel-Lucent
(professional.services@alcatel-lucent.fr), afin de modifier la gestion par dfaut
IPSec. Remarque : en cas de modification de lattribution des numros de port par dfaut,
utilisez outil IpsecUpdate.exe (situ dans le rpertoire 4760\bin).
6.2.4 Configuration
Procdure :
1. Import de la stratgie IP sec
Sur les machines scuriser (clients et serveurs 4760, 4059, 4980, etc.), ouvrez la
console MMC : Stratgie de scurit IP.
Chapitre 6 Sccurisaiicn !cs !cnnccs OnniVisia 4760
6-2 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic
Slectionner et ouvrir loutil Stratgie de scurit locale (Panneau de
configuration/Outils dadministration/Paramtres de scurit).
Figure 6.1 : Fentre Panneau de configuration
A laide du menu contextuel, importer la stratgie IPSec.
Sccurisaiicn !cs !cnnccs OnniVisia 4760
8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 6-3
Figure 6.2 : Fentre Stratgie de scurit locale
Sous Windows XP, slectionner le fichier
4760\data\ipsec\4760serverXP.ipsec .
Pour un serveur Windows 2003, slectionnez le fichier
4760\data\ipsec\4760server.ipsec.
Pour les clients Windows 2003 ou Windows XP, slectionner le fichier
4760client\lib\data\4760client.ipsec .
2. Configurer la mthode dauthentification
Slectionner la stratgie de scurit IPsec du client ou du serveur OmniVista 4760.
Dans le menu contextuel, cliquer sur Proprits.
Chapitre 6 Sccurisaiicn !cs !cnnccs OnniVisia 4760
6-4 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic
Figure 6.3 : Fentre Alcatel Proprits du serveur OmniVista 4760
Cliquer sur Modifier.
Deux listes de filtres sont dfinies pour les communications IP entrantes et sortantes.
Pour modifier le champ Authentification, cliquer sur longlet Mthodes
dauthentification pour chacune des listes, puis sur Modifier.
Sccurisaiicn !cs !cnnccs OnniVisia 4760
8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 6-5
Figure 6.4 : Fentre Modifier les proprits de la mthode dauthentification
Valider les modifications.
3. Affecter la stratgie de scurit :
Slectionner la stratgie de scurit IPsec du client ou du serveur OmniVista 4760.
Dans le menu contextuel, cliquer sur Attribuer.
Activer le mode IPsec en affectant la stratgie
Chapitre 6 Sccurisaiicn !cs !cnnccs OnniVisia 4760
6-6 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic
Figure 6.5 : Fentre Stratgie de scurit locale
6.3 Scurit daccs aux applications OmniVista 4760
6.3.1 Application Scurit
Le module de scurit implment dans le serveur OmniVista 4760 garantit et centralise la
scurit daccs toutes les applications prsentes dans le serveur et accessibles via un
client OmniVista 4760.
Lapplication de scurit permet de restreindre ou dautoriser :
- Le lancement et la gestion de la scurit pour chaque application
- La lecture, la modification et la suppression des donnes prsentes par chaque
application.
- Ladministrateur peut exploiter ces droits de deux faons :
Directement pour un utilisateur : dans ce cas, il gre, successivement pour chaque
application, le mode daccs de lutilisateur,
Via des groupes d'annuaires entreprise pralablement dfinis : dans ce cas, il octroie
lutilisateur un profil global daccs un ensemble dapplications.
Le manuel dadministration 3BH 19260 Section 10 Scurit prsente les groupes et
utilisateurs prdfinis, leurs droits associs, ainsi que la gestion de nouveaux comptes
dutilisateurs et de groupes.
6.3.1.1 Interface utilisateur
Lors de louverture du client dadministration, seules les applications rpondant aux licences
prsentes et pour lesquelles lutilisateur dispose dun droit daccs, seront accessibles.
Dans le cas o lutilisateur ne dispose pas de tous les droits daccs :
- Il ne verra pas les icnes des applications qui lui sont interdites.
- Lors des oprations de gestion, une partie des donnes lui sera masque.
Sccurisaiicn !cs !cnnccs OnniVisia 4760
8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 6-7
- Les oprations dcriture/suppression pourront lui tre refuses. Dans ce cas, la fentre du
journal de lapplication indique quil ne dispose pas de droits suffisants.
6.3.1.2 Administration par le serveur OmniVista 4760
Laccs aux applications et leurs donnes est soumis des rgles de scurit dfinies au
niveau de la branche nmc\NmcApplications de lannuaire systme. Ces rgles sont
appeles niveaux daccs.
La gestion du serveur OmniVista 4760 permet :
- daffecter par application, un niveau daccs chaque utilisateur ;
- dexploiter un groupe prdfini qui accde un ensemble dapplications.
Par dfaut, seul lutilisateur AdminNMC dispose de droits dans lapplication OmniVista 4760.
Les groupes prdfinis utiliss pour accder aux applications sont vides.
6.3.1.3 Niveaux daccs
- Globalement, chaque application offre les niveaux d'accs suivants : Lancement,
Lecture, Modification, Gestion, Tout.
- Des droits supplmentaires ont t ajouts pour sadapter aux besoins spcifiques des
applications.
Applications Droit spcifique
Annuaire Prise en compte du champ Confidentialit des entres dannuaire. Pour
les connexions directes au serveur annuaire (par 4059, 4980, OmniPCX En-
treprise, la recherche de personnes de Windows, ...), le serveur utilise uni-
quement les listes de contrles daccs dfinies dans la console du serveur
LDAP. Pour plus dinformations, se reporter la section Confidentialit des
donnes dannuaire .
Alarme Action de correction prise en compte.
Maintenance Restriction aux objets PCX par rapport PCX + 4760.
Configuration Prise en compte du profil de configuration qui limite laccs aux objets du
PCX. Ce droit est stock directement sous lattribut ACL de lentre NmcAp-
plications\Configuration.
Exemple d'attribution du profil 0 l'utilisateur AdminNMC : AL-
LOW(0)USER("uid=AdminNmc, or=Administrators, or=Administration,
y=Alcatel, y=Directoryroot").
Les objets soumis un profil particulier sont stocks sous la branche NmcAp-
plications\Configuration.
Comptabilit En plus du niveau daccs, les branches de lorganisation peuvent tre scu-
rises en grant un domaine de visibilit.
Procdure de gestion des niveaux daccs
1. Crer un login utilisateur :
Lancer la gestion de l'OmniVista 4760 en tant quadministrateur AdminNmc.
Ouvrir le module Annuaire (onglet Entreprise).
Crer une nouvelle entre pour servir de login, de prfrence sous la branche
Annuaire <Racine Entreprise>\Administration\Administrateur.
Attribuer un mot de passe cette entre.
Chapitre 6 Sccurisaiicn !cs !cnnccs OnniVisia 4760
6-8 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic
2. Attribuer un droit daccs.
Slectionner le menu Scurit \ Rapport. Note : il existe dj un utilisateur
AdminNMC et divers groupes qui disposent de droits cette application.
Ajouter le login dfini ci-dessus.
Modifier le niveau daccs pour Modification.
Tester une connexion avec ce login.
Procdure de gestion des groupes prdfinis
1. Crer un login utilisateur.
Lancer la gestion de l'OmniVista 4760 en tant quadministrateur AdminNmc.
Ouvrir le module Annuaire, onglet Entreprise.
Crer une nouvelle entre pour servir de login, de prfrence sous la branche
Annuaire <Racine Entreprise>\Administration\Administrateur.
Attribuer un mot de passe cette entre.
2. Attribuer un droit daccs (par exemple sur lapplication Rapport) :
Slectionner le groupe Expert taxation sous la branche
Annuaire <Racine Entreprise>\Administration\Groupes\.
Modifier lattribut membre.
Ajouter le login dfini ci-dessus.
6.3.2 Confidentialit des donnes dannuaire
Le serveur OmniVista 4760 permet laccs des donnes de type annuaire via son interface
Web.
Pour accder au mode modification ou visualiser des donnes prives, il faut sauthentifier au
moyen de licne Authentification. Lauthentification est valable jusqu ce que les fentres du
navigateur Web soient toutes fermes.
Afin de garantir la confidentialit des donnes de l'annuaire de l'OmniVista 4760, il est donc
recommand :
- De personnaliser la prsentation graphique de lannuaire Web afin de slectionner les
donnes affiches et ditables dans lannuaire Web.
- D'attribuer aux utilisateurs potentiels des droits d'accs aux entres d'annuaire et leurs
attributs : pour cela, il existe des groupes et des niveaux d'accs prdfinis dans l'annuaire
de l'OmniVista 4760.
- De grer les instructions de contrle d'accs (ACI) du serveur LDAP de
l'OmniVista 4760 : laccs aux entres dannuaire et leurs attributs est soumis des
rgles de confidentialit dfinies au niveau du serveur LDAP. Ces rgles, appeles
Instruction de Contrle dAccs (ACI), prdfinies dans lannuaire de
l'OmniVista 4760, peuvent tre modifies.
6.3.2.1 Personnalisation de linterface utilisateur
Cette personnalisation est dcrite dans la documentation utilisateur 3BH19260 Section 3
Annuaire Chapitre 8 Annuaire HTML Configuration.
La personnalisation de linterface concerne :
- Les images utilises dans la page HTML.
Sccurisaiicn !cs !cnnccs OnniVisia 4760
8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 6-9
- Les champs :
affichs dans la prsentation des entres dannuaire sous forme de grille ;
imprims aprs la slection dune grille ;
affichs dans la prsentation des entres dannuaire sous forme de fiche ;
affichs dans la prsentation dune entre dannuaire modifiable.
- Le nombre dentres :
prsent dans une grille ;
renvoy suite une recherche dannuaire.
La prsentation graphique de linterface annuaire Web est unique et sapplique tous les
utilisateurs. Si lutilisateur na pas accs un champ, le label du champ sera visible mais la
valeur du champ sera masque.
Le choix des paramtres affichs napporte pas de confidentialit sur les champs non
prsents. Au niveau de chaque entre, licne en forme de Loupe permet daccder tous
les attributs.
Pour personnaliser linterface :
- Lancer la gestion de l'OmniVista 4760.
- Ouvrir le module Annuaire.
- Dans longlet Systme, accder
nmc\NmcConfiguration\GlobalPreferences\DirectoryClient\DetailAttributes.
- Modifier les paramtres.
- Rafrachir la page Web de consultation de lannuaire.
Note :
Cette personnalisation est mise en cache dans le rpertoire 4760\WebClient\Preference\. En cas
de restauration dune version ou de mise jour, effacer le contenu de ce rpertoire pour rinitialiser le
cache. La prochaine connexion par un client annuaire recre ce cache automatiquement.
6.3.2.2 Attribution des droits daccs aux donnes dannuaire
Laccs aux entres annuaires est contrl pour chaque entre par :
- son attribut de confidentialit (Vert, Orange, Rouge et Administration 4760) ;
- ses attributs privs/publics ;
- son mode d'accs : lecture seule ou lecture + modification.
Un accs anonyme permet de lancer lannuaire Web et de lire les attributs publics de toutes
les entres de confidentialit dfinies sur Non renseign et Vert.
Pour accder aux autres types dentres annuaires, aux attributs privs et la modification
des entres, il faut une authentification (login et mot de passe) et lattribution dun droit dans
lannuaire 4760.
Procdure: pour attribuer un droit de consultation un utilisateur de lannuaire 4760, suivez la
procdure ci-dessous :
1. Ouvrir le client OmniVista 4760 et utiliser un compte administrateur OmniVista 4760 pour
vous connecter.
2. Ouvrir le module Annuaire.
Chapitre 6 Sccurisaiicn !cs !cnnccs OnniVisia 4760
6-10 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic
3. Crer une nouvelle entre pour servir de login, de prfrence sous la branche
<Nom de lentreprise>\Administration\Administrateur, ou slectionner une
entre existante (de type personne).
4. Attribuer un mot de passe cette entre.
5. Slectionner un groupe de consultation, par exemple Consultation partielle liste orange,
sous la branche <Nom de lentreprise>\Administration\Groupes\.
Modifier lattribut membre.
Ajouter le login dfini ou slectionn prcdemment et valider.
La documentation utilisateur 3BH 19260 Section10 Scurit prsente les groupes prdfinis et
leurs droits associs.
Une gestion quivalente au groupe prdfini de lannuaire entreprise consiste utiliser les
niveaux daccs prdfinis de lannuaire.
Lancer le menu Scurit Annuaire de l'OmniVista 4760 :
Note 1 :
Le groupe Consultation partielle liste orange possde dj le niveau daccs Consult. partielle liste or-
ange.
- Ajouter le login dfini ci-dessus.
- Modifier le niveau daccs pour Consult. partielle liste orange.
Note 2 :
Quelle que soit la mthode, lattribution dun droit annuaire permet galement de lancer le client
dadministration Annuaire.
6.3.2.3 Administration des ACI du serveur LDAP
- Description des ACI
Les instructions de contrle daccs (ACI) du serveur LDAP sont dfinies au niveau dune
branche de lannuaire. Elle comporte les lments suivants :
Elments Champ ACI Explication
ACI Name ACI Nom de la rgle
Utilisateur/
Groupes
Userdn Liste des logins et groupe pouvant exploiter la rgle
droite Autoriser Droits octroys par la rgle : lecture, criture, etc.
Cible targetattr Attributs qui seront visibles
Cible targetfilter Critre pour rechercher les entres annuaires qui se-
ront visibles
Syntaxe != Diffrent de ...
Syntaxe || Ou logique...
Par exemple, la rgle Anonymous1 , dcrite ci-dessous, dfinit la consultation
anonyme, cest--dire la lecture seule pour les champs publics des entres dannuaire non
confidentielles.
Sccurisaiicn !cs !cnnccs OnniVisia 4760
8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 6-11
(targetattr != "homePhone || homePostalAddress || carLicense || employeeNumber || costcen-
terName || userPassword")
(targetfilter != (|(cl=CL_O)(cl=CL_R)(cl=CL_A)))
(version 3.0; ACI "Anonymous 1"; allow (read,compare,search)
(userdn = "ldap :///anyone") ;)
- Gestion des ACI
Une gestion personnalise des ACI peut tre ralise pour :
limiter les champs visibles lors dune connexion anonyme ;
modifier le mode daccs (lecture, criture) des attributs, etc.
Lexemple ci-dessous dcrit la procdure suivre pour modifier la rgle Anonymous1 .
Objectif de la modification : interdire laccs au champ Mobile en consultation anonyme.
Procdure :
1. Lancer la console dadministration du serveur LDAP.
Login : cn=directory manager
Mot de passe : celui saisi linstallation de l'OmniVista 4760.
2. Ouvrir larborescence jusqu Directory server 4760 et cliquer sur Open.
3. Au niveau de longlet Directory dans larbre, accder lentre o=Nom de la racine
Annuaire entreprise.
Les rgles daccs sont indiques (exemple 13 acis).
4. Afficher lditeur des rgles daccs pour la rgle Anonyme.
Par le menu Objet \ Set Access Permission :
Slectionner la rgle Anonymous1.
Cliquer sur Modifier.
5. En dition manuelle, pour rendre Mobile non visible
Insrer Mobile || aprs TargetAttr != pour obtenir TargetAttr != Mobile
|| HomePhone ....
Valider la modification en slectionnant OK.
6. Tester votre modification en login anonyme (cest--dire non logu) :
Via le Web, effectuer une recherche dentre dannuaire.
Sur la fiche, la valeur du champ Mobile ne saffiche plus.
6.3.3 Confidentialit des donnes de taxation et dobservation de trafic
Outre la dfinition de niveaux daccs, il est recommand de grer des domaines de visibilit
de lorganisation de la taxation et de dfinir des profils de masquage. Ceci permet de renforcer
la confidentialit des donnes de taxation et dobservation de trafic, accessibles depuis les
interfaces des applications Taxation/Trafic/VoIP et Rapports.
La mise en oeuvre des domaines de visibilit de lorganisation de la taxation est dcrite dans
le manuel dadministration 3BH 19260 Section 10 Scurit.
La gestion des profils de masquage et leur utilisation est dcrite dans le manuel
dadministration 3BH 19260 Section 10 Taxation.
6.4 Procdure de changement des mots de passe
Chapitre 6 Sccurisaiicn !cs !cnnccs OnniVisia 4760
6-12 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic
Au cours de linstallation de l'OmniVista 4760, quatre mots de passe sont configurs :
- Admin pour ladministrateur de lannuaire Netscape ;
- Directory Manager pour le gestionnaire de lannuaire Netscape ;
- AdminNmc pour ladministrateur OmniVista 4760 ;
- DBA pour le compte daccs la base de donnes Sybase.
- Gestionnaire de duplication utilis par LDAP pour les oprations de duplication
Afin de renforcer la scurit daccs aux donnes du serveur OmniVista 4760 et la
confidentialit de ces donnes, il est recommand de :
- Ne pas utiliser AdminNmc aprs la gestion gnrale de l'OmniVista 4760. Crer dautres
comptes administrateur ou gestionnaire afin de conserver les prfrences des diffrents
utilisateurs, et conserver toujours un compte superviseur en cas de perte du mot de passe.
- Compte tenu de lutilit des comptes dadministration, changer rgulirement leurs mots de
passe respectifs et les conserver en mmoire.
Procdure de mise jour des mots de passe des comptes dadministration des bases de
donnes (Netscape et Sybase), AdminNMc et du gestionnaire de duplication.
1. Dans le rpertoire 4760\bin, cliquer deux fois sur licne ToolsOmnivista.exe et
entrer le mot de passe de Directory Manager. La fentre suivante apparat :
2. Slectionner le choix 1 Password Update .
Figure 6.6 : Fentre E:\4760\bin\ToolsOmnivista.exe
3. Slectionner le mot de passe mettre jour (choix 1 3).
4. Saisir le nouveau mot de passe deux fois.
Sccurisaiicn !cs !cnnccs OnniVisia 4760
8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 6-13
5. Slectionner 0 pour quitter.
Attention :
Dans le cas de sauvegardes programmes avec danciens mots de passe, celles-ci ne seront pas
effectues. Re-programmez les sauvegardes en utilisant le nouveau mot de passe.
Note :
Aprs que le mot de passe du gestionnaire de duplication de l'esclave a t modifi, tous les contrats de
duplication de l'OmniVista 4760 doivent tre mis jour.
6.5 Scurisation des notifications dalarmes urgentes OmniPCX
Office
Depuis la version R5.0 de l'OmniPCX Office, il est recommand de recevoir les alarmes
urgentes sur le serveur OmniVista 4760 par notification HTTP afin dviter ltablissement
dune connexion permanente entre le PCX et le serveur OmniVista 4760.
En outre, lors de la configuration dOmniPCX Office dans lannuaire systme :
- Choisir le mode HTTP avec authentification.
- Choisir lutilisation dun proxy avec authentification
6.6 Scuriser laccs lannuaire LDAP par des applications
externes.
Des applications externes telles que lapplication Alcatel 4059, le dbordement LDAP pour
lannuaire de l'Alcatel-Lucent OmniPCX Enterprise CS ou des outils de duplication LDAP
peuvent se connecter lannuaire LDAP de l'OmniVista 4760.
Afin de scuriser ces accs externes, il est fortement recommand de :
- Activer IPsec sur le serveur OmniVista 4760 (voir module Scurit - How to Secure the
OmniVista 4760 Data? - Deploying IPsec in a Remote Client-Server Configuration ).
- Activer IPsec sur les machines hbergeant les applications externes.
6.7 Autres Recommandations
Afin de renforcer la scurit du systme hbergeant le serveur OmniVista 4760, il est
recommand de :
- dsactiver les comptes Windows inutiliss ;
- dsactiver les services Windows inutiles (voir le descriptif des services dans la section
module Scurit - Deploying the OmniVista 4760 in a Secure Network Configuration - IP
Traffic on Server ) ;
- dsactiver la mise jour automatique de Windows (AutomaticUpdates) ;
- utiliser un serveur ddi pour tlcharger les patches de scurit de Windows (fournis par
Microsoft), puis les dployer sur le systme hbergeant le serveur OmniVista 4760 ;
- protger l'accs au rpertoire 4760\bin : ce rpertoire contient les outils de connexion
aux bases du serveur OmniVista 4760 ;
Chapitre 6 Sccurisaiicn !cs !cnnccs OnniVisia 4760
6-14 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic
- protger l'accs au rpertoire du serveur OmniVista 4760 4760\log : ce rpertoire peut
contenir les donnes de connexion du serveur (login et mot de passe) ;
- activer le pare-feu Windows, et ne slectionner que les exceptions utiles au
fonctionnement en rseau du serveur OmniVista 4760 (suivant les fonctionnalits
exploites sur le site client).
- Alarmes urgentes de l'OmniPCX Office : HTTP/ login et authentification
Sccurisaiicn !cs !cnnccs OnniVisia 4760
8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic 6-15
Chapitre 6 Sccurisaiicn !cs !cnnccs OnniVisia 4760
6-16 8AI90700||A| - |!.01 - Nctcn|rc 2010 - Gui!c !c Sccuriic