Vous êtes sur la page 1sur 67

OmniVista 8770

Guide de Sécurité
Version 4.2 - Février 2020
8AL90705FRAJ Ed. 01
Mentions légales
Le nom et le logo d'Alcatel-Lucent sont des marques commerciales de Nokia utilisées sous licence par
ALE. Pour en savoir plus sur les marques utilisées par les sociétés affiliées de la Holding ALE, veuillez
consulter : www.al-enterprise.com/fr-fr/documentation-juridique/marques-copyright. Toutes les autres
marques sont la propriété de leurs titulaires respectifs.
Ni la Holding ALE ni ses sociétés affiliées ne peuvent être tenues responsables de l'éventuelle
inexactitude des informations contenues dans ce document, qui sont sujettes à modification sans
préavis.
© 2020 ALE International. Tous droits réservés. www.al-enterprise.com/fr-fr

Avertissement
Bien que des efforts aient été faits pour vérifier l'exhaustivité et l'exactitude des informations contenues
dans cette documentation, ce document est fourni « tel quel ». Pour obtenir des informations plus
précises sur l'intercompatibilité, les limites du produit, la politique logicielle et la liste des fonction,
veuillez vous référer aux documents précis publiés sur le site web Business Partner.
Dans l'intérêt du développement continu des produits, ALE International se réserve le droit d'apporter
des améliorations à ce document et aux produits qu'il décrit, à tout moment et sans préavis ni
obligation.

Le marquage CE indique que ce produit est conforme aux Directives du Conseil ssuivantes :
• 2014/53/EU pour équipement radio
• 2014/35/EU et 2014/30/EU pour les équipements autres que radio (y compris les équipements de
terminaux de télécommunication câblés)
• 2014/34/EU pour équipement ATEX
• 2011/65/UE (RoHS)
• 2012/19/EU (WEEE)
Sommaire
Guide de Sécurité

Chapitre 1
Documents de référence

Chapitre 2
Introduction

Chapitre 3
Recommandations pour le déploiement dans un environnement sécurisé

3.1 Choix et configuration du système d’exploitation....................................10


3.2 Définition de l’environnement réseau................................................................... 10
3.3 Sécurisation des données du serveur de communication............... 12
3.4 Sécurisation des données de l'OmniVista 8770.......................................... 12
3.5 Bonnes pratiques en cas de détection d’une faille de sécurité...12
3.6 Mise à niveau de l'OmniVista 8770 conformément au certificat
SHA-2 SSL........................................................................................................................................ 13
3.7 Sécurisation des protocoles réseau....................................................................... 13

Chapitre 4
Déploiement de l'OmniVista 8770 dans un environnement Windows sécurisé

4.1 Présentation....................................................................................................................................14
4.2 Compatibilité avec le système d’exploitation................................................ 14
4.2.1 Présentation...........................................................................................................................................14
4.2.2 Matériel ................................................................................................................................................... 14

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 3/67


Sommaire
Guide de Sécurité

4.2.3 Système d’exploitation et Service Pack...................................................................................14


4.2.4 Personnalisation de Windows (suppression de services et de fichiers).................. 15
4.2.5 Émulation Windows : VMware, MS Hyper-V......................................................................... 15
4.2.6 Services constructeur....................................................................................................................... 15
4.2.7 Carte mère ............................................................................................................................................ 15
4.3 Compatibilité et utilisation des services Windows.................................. 16
4.3.1 Au cours de l’installation / mise à jour...................................................................................... 16
4.3.2 En cours de fonctionnement..........................................................................................................17
4.4 Outils de sécurité.......................................................................................................................21
4.4.1 Compatibilité avec les logiciels antivirus................................................................................. 21
4.4.2 Compatibilité avec le pare-Feu Windows................................................................................22
4.4.3 Compatibilité avec un proxy...........................................................................................................24
4.4.4 Renforcement de la sécurité avec SynAttackProtect........................................................ 24
4.4.5 Renforcement de la sécurité avec DEP...................................................................................25
4.5 Compatibilité avec les applications externes................................................ 25
4.5.1 Étude de compatibilité...................................................................................................................... 25
4.5.2 Compatibilité en termes de performances..............................................................................25
4.5.3 Fichiers dll...............................................................................................................................................25
4.5.4 Ports et Services IP........................................................................................................................... 26
4.5.5 Compatibilité avec les outils de sauvegarde PC................................................................. 26
4.5.6 Compatibilité avec les outils de connexion à distance..................................................... 26
4.5.7 Compatibilités avec d'autres applications Alcatel-Lucent............................................... 27
4.6 Gestion de comptes Windows utilisés par le serveur OmniVista
8770 ........................................................................................................................................................27
4.6.1 Compte pour installation..................................................................................................................27
4.6.2 Compte à utiliser pour le lancement d’un client OmniVista 8770................................28
4.6.3 Opérations de maintenance avec ressources réseau...................................................... 28
4.6.4 Planification de l’exportation ou de l’impression de rapports .......................................32
4.6.5 Archivage et restauration des fichiers de taxation..............................................................33
4.6.6 Collecteur de fichiers de taxation................................................................................................ 34
4.7 Gestion du partage de répertoires............................................................................35
4.8 Envoi de message électronique (e-mails)......................................................... 35

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 4/67


Sommaire
Guide de Sécurité

Chapitre 5
Déploiement de l’OmniVista 8770 dans une configuration réseau sécurisée

5.1 Trafic IP sur serveur OmniVista 8770.....................................................................36


5.2 Trafic IP sur client OmniVista 8770.......................................................................... 39
5.3 Trafic IP sur client OmniVista 8770 WBM...........................................................40
5.4 Trafic IP sur OpenTouch pour la gestion OmniVista 8770................ 40
5.5 Trafic IP sur OmniPCX Enterprise pour la gestion OmniVista
8770......................................................................................................................................................... 41
5.6 Trafic IP sur OXO Connect pour la gestion OmniVista 8770...........41
5.7 Trafic IP sur un hyperviseur .......................................................................................... 42
5.8 Trafic IP sur un Alcatel-Lucent 4059....................................................................... 42
5.9 Trafic IP sur un serveur d'authentification....................................................... 42
5.10 Fonctionnement d'OmniVista 8770 sur un réseau VPN/NAT.......... 43
5.10.1 Présentation...........................................................................................................................................43
5.10.2 Protocole VPN/NAT........................................................................................................................... 43
5.10.3 Accès client OmniVista 8770 au serveur via NAT.............................................................. 44
5.10.4 Accès du serveur OmniVista 8770 à l'OmniPCX Enterprise via NAT....................... 46
5.10.5 Accès du serveur OmniVista 8770 au client d'annuaire Web Alcatel-Lucent
4059 via NAT.........................................................................................................................................46
5.10.6 Dépannage du transfert FTP.........................................................................................................46

Chapitre 6
Sécurisation des données du serveur de communication

6.1 OmniPCX Enterprise.............................................................................................................. 47


6.1.1 Mise en œuvre de Connexion SSH........................................................................................... 47
6.1.2 Sécurisation de l'accès à l'OmniPCX Enterprise.................................................................50

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 5/67


Sommaire
Guide de Sécurité

6.1.3 Connexion sécurisée à un OmniPCX Enterprise configuré avec plusieurs


interfaces Ethernet.............................................................................................................................51
6.2 OpenTouch.......................................................................................................................................52
6.3 OXO Connect................................................................................................................................. 52
6.3.1 Utilisation d'un client OmniVista 8770 local........................................................................... 52
6.3.2 Utilisation d’un client OmniVista 8770 distant....................................................................... 52

Chapitre 7
Sécurisation des données OmniVista 8770

7.1 Configuration autonome.....................................................................................................54


7.2 Déploiement du protocole IPSec dans une configuration
serveur-clients distants.......................................................................................................54
7.2.1 Configuration requise........................................................................................................................54
7.2.2 Mise en œuvre......................................................................................................................................54
7.2.3 Limite.........................................................................................................................................................55
7.2.4 Configuration......................................................................................................................................... 55
7.3 Sécurité d'accès aux applications OmniVista 8770................................. 57
7.3.1 Application Sécurité........................................................................................................................... 57
7.3.2 Confidentialité des données d’annuaire...................................................................................60
7.3.3 Confidentialité des données de taxation et d’observation de trafic............................63
7.4 Procédure de changement des mots de passe............................................63
7.5 Sécuriser l’accès à l’annuaire LDAP par des applications
externes...............................................................................................................................................64
7.6 Autres recommandations.................................................................................................. 65

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 6/67


Sommaire
Guide de Sécurité

Chapitre 8
Comment rapporter une vulnérabilité ?

8.1 Site Web de l'équipe de résolution des incidents de sécurité


pour les produits Alcatel-Lucent................................................................................66
8.2 Rapporter une vulnérabilité.............................................................................................66
8.3 Rapporter une vulnérabilité (Business Partner)......................................... 66
8.4 Politique de divulgation des vulnérabilités au public........................... 66
8.5 Divulgation des vulnérabilités au public............................................................ 66

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 7/67


Chapitre

1 Documents de référence

Le tableau ci-dessous recense les documents pouvant être associés au présent document :

Titre du document Numéro de référence

[1] Manuel administrateur 8AL90703xxyy

[2] Manuel d'installation 8AL90704xxyy

[3] Guide de Sécurité 8AL90705xxyy

[4] Tickets de taxation et de statistiques VoIP 8AL90706xxyy

[5] SNMPproxy 8AL90707xxyy

[6] OpenTouch Suite - Option de taxation RTU 8AL90712xxyy

[7] API de gestion des utilisateurs 8AL90710xxyy

[8] Liste des fonctionnalités et disponibilité OmniVista 8770 8AL91400xxyy

[9] Manuel de l'administrateur OTBE/OTMS 8AL90505xxyy

[10] Guide de déploiement de serveur pour les télétravailleurs qui utilisent des 8AL90345xxyy
postes de bureau
[11] Alarmes internes OmniVista 8770 3BH290010425DTZZA
[12] Outil de planification des capacités OmniVista 8770 TBE074
[13] Manuel de l'outil d'orchestration de logiciels 8AL90559xxyy
[14] Note de version OmniVista 8770
(TCxxxxen-Ed0x_Installation_procedure_for_OmniVista8770)

Dans le présent document, les références croisées sont identifiées par le numéro figurant dans la
première colonne dans le tableau ci-dessus.
Les numéros de référence sont indiqués dans la dernière colonne, xx correspondant au code de
langue du document et yy à l'édition incrémentée du document.

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 8/67


Chapitre

2 Introduction

Ce guide de sécurité a pour objectif de fournir aux administrateurs de l'Alcatel-Lucent OmniVista 8770
Network Management System (désigné par OmniVista 8770 dans ce document) les informations
nécessaires à la prise en compte des éléments de sécurité lors du déploiement, ainsi que les
méthodes à appliquer pour sécuriser ce système de gestion Alcatel-Lucent des nœuds.
La section 2 présente la procédure à suivre pour déployer l'OmniVista 8770 dans un environnement
contenant des éléments de sécurité et pour renforcer la sécurité de la gestion des nœuds par
l’intermédiaire de l'OmniVista 8770.
Les informations et procédures requises pour chacune de ces étapes sont détaillées dans les sections
suivantes :
• Les sections 3 et 4 fournissent les recommandations et informations à prendre en compte avant
d'intégrer l'OmniVista 8770 dans un environnement sécurisé (au niveau du système d'exploitation
ou du réseau), ainsi que les procédures à appliquer pour que certaines applications de l'OmniVista
8770 fonctionnent avec les ressources réseau.
• Les sections 5 et 6 indiquent les moyens à mettre en œuvre pour renforcer la sécurité des données
collectées ou gérées par l'OmniVista 8770.
La section 7 indique l'URL de l'équipe de résolution des incidents de sécurité pour les produits Alcatel-
Lucent et comment signaler une faille de sécurité.
Note :
À des fins de lisibilité, sauf indication contraire, l'expression serveur de communication fait référence aux nœuds
OpenTouch ou aux nœuds OmniPCX Enterprise dans le reste du document. OpenTouch fait référence à
l'OpenTouch Business Edition, OpenTouch Multimedia Services ou OTMC.

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 9/67


Chapitre

3 Recommandations pour le
déploiement dans un
environnement sécurisé
Ce chapitre présente les opérations préconisées pour réussir le déploiement d'une solution OmniVista
8770 dans un environnement sécurisé.

3.1 Choix et configuration du système d’exploitation


Recommandations
• Serveur OmniVista 8770 :
• Un système d'exploitation Microsoft Windows est nécessaire. Pour obtenir des informations sur
les prérequis relatifs au système d'exploitation, reportez-vous au document [8].
• Profil de sécurité recommandé : Serveur membre
• Pare-feu : activé, accepter les exceptions concernant les programmes utilisés par le serveur
OmniVista 8770.
• Client OmniVista 8770 :
• Un système d'exploitation Microsoft Windows est nécessaire. Pour obtenir des informations sur
les prérequis relatifs au système d'exploitation, reportez-vous au document [8].
• Pare-feu : activé, accepter les exceptions concernant les programmes utilisés par le client
OmniVista 8770.
• Mise à jour avec Windows Update :
Uniquement pour patch de sécurité.
Installer les hotfixes de sécurité de Windows. Lors de l’installation, il est nécessaire de sélectionner
les options permettant ensuite de désinstaller tout hotfix ou service pack de Windows.
• Antivirus : activer et assurer la mise à jour d’un système antivirus sur les ordinateurs hébergeant
les applications OmniVista 8770 (client ou serveur).
• Mise en œuvre :
• Voir Déploiement d'OmniVista 8770 dans un environnement Windows sécurisé à la page 36
pour savoir comment déployer l'application OmniVista 8770 dans un environnement Windows
sécurisé.
• La mise en place de profils de sécurité Windows a pour effet d’arrêter certains services
système ; il faut donc s’assurer que les services nécessaires à l’installation et au fonctionnement
du serveur OmniVista 8770 sont démarrés.

3.2 Définition de l’environnement réseau


Note :
Ce guide de sécurité présente les solutions à mettre en œuvre en cas de connectivité Ethernet entre le serveur de
communication et l'équipement OmniVista 8770.

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 10/67


Chapitre 3 Recommandations pour le déploiement dans un
environnement sécurisé

Réseau du serveur de
communication
Client d'annuaire Web
OmniVista 8770

Réseau local
Intranet

Serveur + client Client de gestion Client de gestion Web


OmniVista 8770 OmniVista 8770 OmniVista 8770

Figure 3.1 : Exemple de déploiement sur un réseau privé client (intranet)

Recommandations
Les clients OmniVista 8770 distants sont facultatifs. N’installer que les clients utiles.
La configuration autonome (client local au serveur) réduit le risque d’attaque contre le serveur
OmniVista 8770.
Pour renforcer la sécurité du serveur OmniVista 8770 :
• Installer le serveur dans le même sous-réseau que les serveurs de communication.
• Lancer les applications OmniVista 8770 à partir de clients OmniVista 8770 connectés au serveur via
un tunnel Ipsec.
Choix de l’implémentation dans des domaines Windows :
Le serveur OmniVista 8770 et ses clients distants peuvent être configurés dans un groupe de travail
(les clients doivent être dans le même groupe de travail que le serveur) et non dans des domaines
Windows.
Ceci facilite la configuration du serveur (et de ses services) et permet d’éviter les impacts des
modifications de droits de sécurité des domaines du réseau. Mais, dans ce contexte, le serveur ne
pourra pas utiliser les ressources situées hors de ce Workgroup (imprimante, disques de sauvegardes,
etc).
Lorsque le serveur OmniVista 8770 et ses clients distants sont configurés dans un domaine Windows,
suivre les recommandations des sections Compatibilité avec les applications externes à la page 25 et
Gestion de comptes Windows utilisés par le serveur OmniVista 8770 à la page 27 pour ouvrir l’accès
aux ressources réseau tout en conservant un bon niveau de sécurité.
Mise en œuvre :
Voir Déploiement d’OmniVista 8770 dans une configuration réseau sécurisée à la page 36 pour savoir
comment déployer l'application OmniVista 8770 dans un environnement réseau contenant des
éléments de sécurité.

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 11/67


Chapitre 3 Recommandations pour le déploiement dans un
environnement sécurisé

3.3 Sécurisation des données du serveur de communication


• Recommandation :
OmniPCX Enterprise : déployer la sécurité SSH et le contrôle d'accès.
Note :
Pour les nœuds OpenTouch, la sécurité SSH est automatiquement déployée (aucune opération à effectuer sur
l'OmniVista 8770).
• Mise en œuvre :
• Reportez-vous à Sécurisation des données OmniVista 8770 à la page 54 pour renforcer la
sécurité des données d’un serveur de communication en cas de gestion à distance par un
serveur OmniVista 8770.
• Voir les notices de sécurité respectives des serveurs de communication.

3.4 Sécurisation des données de l'OmniVista 8770


• Recommandations
Mettre en œuvre les outils OmniVista 8770 de sécurité des applications (décrits dans Application
Sécurité à la page 57) :
• Déployer Ipsec dans une configuration serveur- clients distants
• Mettre en œuvre la sécurité d’accès aux applications OmniVista 8770
• Procéder de façon régulière aux changements de mots de passe
• Sécuriser l’accès à l’annuaire LDAP par des applications externes
• Suivre les recommandations de sécurité de Microsoft lorsqu’elles sont compatibles avec le
fonctionnement des applications OmniVista 8770
• Mise en œuvre :
reportez-vous à Sécurisation des données OmniVista 8770 à la page 54 pour renforcer la sécurité
des données d’un OmniVista 8770.

3.5 Bonnes pratiques en cas de détection d’une faille de sécurité


• La faille concerne un composant Microsoft :
Installer les hotfixes de sécurité de Windows correspondant à la faille.
• La faille de sécurité concerne un composant utilisé par l'OmniVista 8770 :
• Programmer une sauvegarde régulière du serveur OmniVista 8770.
• Contacter le service Support Technique de l'OmniVista 8770 pour signaler cette faille de
sécurité.
• Installer, dès sa sortie, la version de l'OmniVista 8770 implémentant le correctif de sécurité.
• La faille concerne une application externe à l'OmniVista 8770
Programmer une sauvegarde régulière du serveur OmniVista 8770.
Contacter le fournisseur de l’application externe concernée et suivre ses recommandations de
sécurité. Si ces dernières s’avèrent incompatibles avec les recommandations de sécurité décrites
dans ce guide, contacter le service Support Technique d'Alcatel-Lucent.

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 12/67


Chapitre 3 Recommandations pour le déploiement dans un
environnement sécurisé

3.6 Mise à niveau de l'OmniVista 8770 conformément au certificat SHA-2


SSL
La mise à niveau conforme au certificat TLS en utilisant une signature basée sur SHA-2 permet
d'assurer la conformité aux normes industrielles. Les faiblesses signalées de SHA-1 ont entraîné sa
dépréciation.
La migration vers SHA-2 permet d'éviter les mauvaises expériences des utilisateurs, telles que des
avertissements de sécurité dans des navigateurs web nécessitant des algorithmes cryptographiques à
jour.
Le support SHA-2 pour l'OmniVista 8770 est mis en place avec l'algorithme de signature basée sur
SHA256 de certificats numériques utilisés dans le protocole de transport TLS.
Note :
SHA-256 constitue l'une des instances de prétraitement possible pour la famille SHA-2.
L'OmniVista 8770 permet :
• de maintenir le certificat basé sur SHA-1 si l'écosystème (ce qui signifie que les clients et les
serveurs sont connectés à l'OmniVista 8770) prend toujours en charge SHA-1 ;
• de mettre à jour votre certificat basé sur SHA-1 à la version SHA-2 si l'écosystème prend en charge
SHA-2 :
• Dans une nouvelle installation, d'installer un certificat basé sur SHA-2 si votre écosystème prend
déjà en charge SHA-2
• d'installer un certificat client (voir chapitre 5.5 Configuration des certificats OmniVista 8770 du
manuel d'installation OmniVista 8770).
Pour assurer l'interopérabilité avec l'écosystème (clients et serveurs) qui se connecte à l'OmniVista
8770, une sélection d'algorithmes de signature est fournie par l'outil de mise à jour appelé
ToolsOmniVista. Cet outil est disponible dans le répertoire %NMC_HOME%\bin du serveur OmniVista
8770 . Pour de plus amples informations, consultez le manuel d'installation OmniVista 8770.

3.7 Sécurisation des protocoles réseau


En fonction de l'environnement réseau et des éléments connectés, il est possible de restreindre les
versions SSL/TLS à partir de l'utilitaire ToolsOmniVista.exe.
Pour plus de détails, voir la section Utilisation de ToolsOmnivista.exe du document [2].

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 13/67


Chapitre

4 Déploiement de l'OmniVista 8770


dans un environnement Windows
sécurisé
Objectif de ce chapitre : fournir les procédures et paramétrages à appliquer pour déployer et utiliser
l'OmniVista 8770 dans un environnement Windows sécurisé (système d’exploitation sécurisé par des
éléments et méthodes de sécurité).

4.1 Présentation
Le déploiement de l'OmniVista 8770 dans un environnement Windows requiert les conditions
suivantes :
• Compatibilité entre OmniVista 8770 et le système d'exploitation.
• Activation des services Windows requis pour l’installation et le fonctionnement de l’OmniVista 8770,
et désactivation des services gênant l’installation ou le fonctionnement de l'OmniVista 8770
• Compatibilité entre l'OmniVista 8770 et les outils de sécurité installés dans l’environnement
Windows.
• Compatibilité entre OmniVista 8770 et les autres applications externes installées dans le même
environnement.
• Configuration de comptes Windows et de ressources réseau pour un fonctionnement sécurisé.

4.2 Compatibilité avec le système d’exploitation


4.2.1 Présentation
La compatibilité entre l'OmniVista 8770 et un système d’exploitation inclut les conditions suivantes :
• Compatibilité avec le matériel
• Compatibilité avec le Système d’exploitation
• Compatibilité avec les services packs installés
• Compatibilité avec le type d’installation du système d’exploitation
• Compatibilité avec la personnalisation (ou le paramétrage spécifique) du système d’exploitation
installé
Il importe donc de se conformer aux prérequis du manuel d’installation de l’OmniVista 8770, ainsi
qu’aux procédures d’installation et de désinstallation de l'OmniVista 8770.

4.2.2 Matériel
Certains fabricants de PC peuvent spécifier le type de système d’exploitation. Par conséquent, avant
même d’envisager la compatibilité de l'OmniVista 8770, s'assurer que le matériel peut prendre en
charge le système d’exploitation choisi.
Exemple :
Consultez le site web des matrices de support et de certification des serveurs HPE pour connaître le système
d'exploitation Windows pris en charge par les serveurs HP.

4.2.3 Système d’exploitation et Service Pack


• Compatibilité :

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 14/67


Chapitre 4 Déploiement de l'OmniVista 8770 dans un
environnement Windows sécurisé

Le serveur OmniVista 8770 doit être exécuté sur un ordinateur dédié doté du système d'exploitation
Windows. Pour obtenir des informations sur les prérequis relatifs au système d'exploitation (matériel
et SE pris en charge), reportez-vous au document [8].
• Incompatibilités connues :
Les fonctions de contrôleur de domaine, serveur Web, livrées avec le système d'exploitation ne
doivent pas être installées.

4.2.4 Personnalisation de Windows (suppression de services et de fichiers)


Par défaut, sous Windows, chaque fichier possède un nom long et un nom court (exemple : C:
\program file and C:\program~1). Ce comportement de Windows ne doit pas être modifié.

4.2.5 Émulation Windows : VMware, MS Hyper-V


VM-Ware et MS Hyper-V permettent de démarrer des machines virtuelles. Ainsi, plusieurs systèmes
d'exploitation peuvent s'exécuter simultanément sur un seul serveur physique.
Le serveur OmniVista 8770 prend en charge les plateformes VMware et Hyper-V.
Le client (et/ou le fournisseur de services) doit s'assurer que le centre de données hébergeant le
serveur OmniVista 8770 est compatible avec les exigences minimales OmniVista 8770. Pour plus
d'informations sur les exigences minimales, reportez-vous à l'outil de planification des capacités
OmniVista 8770 publié sur le portail Entreprise (voir : https://businessportal2.alcatel-lucent.com/node/
476511).

4.2.6 Services constructeur


Les fabricants de PC fournissent des outils permettant d'administrer une base de PC installée. Ces
outils peuvent utiliser des services ou des fichiers dll incompatibles déjà présents dans l'application
OmniVista 8770.
• Exemple de problèmes connus :
Les serveurs de la gamme Compaq/HP sont livrés avec les services Compaq/Agent Foundation.
Ces services s’appuient sur le service Windows SNMP. Si ce service SNMP est démarré,
l’installation échoue.
Les serveurs DELL sont livrés avec le service DELL open management qui s’appuie sur une
ancienne version du fichier dll de notification, JTC1012.dll. Lorsque cette DLL est chargée avant
celle de l'OmniVista 8770, les notifications ne sont plus prises en compte : désinstallez l'utilitaire et
vérifiez le chemin de Windows.

4.2.7 Carte mère


Le serveur OmniVista 8770 doit pouvoir arrêter, désinstaller et réinstaller ses propres services NMC.
Sur certains PC, le mode d’arrêt et de redémarrage des services peut être modifié. Cette modification
empêche le redémarrage du serveur OmniVista 8770.
• Exemple d'anomalie : arrêt PC Correction :
Un arrêt Windows envoie un signal vers les services pour leur demander de s'arrêter. Si ce signal
ne peut pas être émis/intercepté à temps, le PC risque de redémarrer avec un état transitoire:
service en cours de suppression. Il faudra un second arrêt du PC pour réellement supprimer ces
services.
Le problème apparaît sur un PC Intel (fourni par PERTEC) lorsqu'il est équipé de carte mère
S815EBM1. Cette carte mère équipe les PC avec la référence : NEXPCS815E, NEX1120C.
Arrêtez le service NMC service manager avant d'arrêter le PC :

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 15/67


Chapitre 4 Déploiement de l'OmniVista 8770 dans un
environnement Windows sécurisé

• Ecrire un script Stop.bat contenant la ligne net stop « NMC Service Manager »
• Forcer Windows à exécuter le script à l'arrêt du PC :
• Ouvrir le composant Stratégie de groupe en lançant C:\WINNT
\SYSTEM32\gpedit.msc
• Sélectionner Configuration ordinateur -> Paramètre Windows -> Scripts
(démarrage/arrêt) -> Arrêter le système.
• Ajouter le fichier Stop.bat.

4.3 Compatibilité et utilisation des services Windows


4.3.1 Au cours de l’installation / mise à jour
• Installation du serveur OmniVista 8770 :
Le tableau ci-après répertorie les services Windows devant être démarrés pendant l’installation du
serveur OmniVista 8770.

tableau 4.1 : Services Windows requis pour l'installation de l'OmniVista 8770

Nom d'affichage Nom Image Commentaire

Protected Storage ProtectedStorage Lsass.exe

Remote procedure call RPCSS SvcHost.exe

Security account ma- sasms Lsass.exe


nager

Network Connections Network Connections SvcHost.exe

Windows Firewall/ SharedAccess SvcHost.exe


Internet Connection
Sharing (ICS)

NetBIOS over TCP/IP Netbt.sys Nécessaire en cas


driver (Direct hosted d’utilisation de parta-
SMB traffic mode) ges réseau.

NetBIOS over TCP/IP Netbt.sys Nécessaire en cas


driver (NBT mode) d’utilisation de parta-
ges réseau.

TCP/IP NetBIOS hel- LmHosts SvcHost.exe Nécessaire en cas


per d’utilisation de Net-
BIOS over TCP/IP

DNS client DnsCache SvcHost.exe Obligatoire pendant


l’installation du serveur
OmniVista 8770, ce
service pourra être
désactivé après l’ins-
tallation.

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 16/67


Chapitre 4 Déploiement de l'OmniVista 8770 dans un
environnement Windows sécurisé

Nom d'affichage Nom Image Commentaire

Serveur LanmanServer SvcHost.exe

Le tableau ci-après répertorie les services Windows devant être arrêtés pendant l’installation du
serveur OmniVista 8770.

tableau 4.2 : Services Windows à arrêter pour l'installation du serveur OmniVista 8770

Nom d'affichage Nom Image Commentaire

Application Layer Ga- Agl Agl.exe Il faut désactiver le ser-


teway Service vice AGL pendant l’ins-
tallation de l'OmniVista
8770.

Service NMC SNMP NMC SNMP snmpd.exe Le service NMC SNMP


exécute et envoie/
reçoit des traps SNMP
via le port 161.
• Installation du client OmniVista 8770 :
Le tableau ci-après répertorie les services Windows devant être arrêtés pendant l’installation du
client OmniVista 8770.

tableau 4.3 : Services Windows à arrêter pour l'installation du client OmniVista 8770

Nom d'affichage Nom Image Commentaire

Application Layer Ga- Agl Agl.exe Il faut désactiver le ser-


teway Service vice AGL pendant l’ins-
tallation de l'OmniVista
8770.

4.3.2 En cours de fonctionnement


Le tableau ci-après répertorie les services devant être démarrés pour un fonctionnement normal du
serveur OmniVista 8770.

Nom d'affichage Nom Nom de l’image Commentaire

Protected Storage ProtectedStorage Lsass.exe

Remote procedure call RPCSS SvcHost.exe

Security account mana- sasms Lsass.exe


ger

Network Connections Network Connections SvcHost.exe

Windows Firewall/Inter- SharedAccess SvcHost.exe


net Connection Sharing
(ICS)

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 17/67


Chapitre 4 Déploiement de l'OmniVista 8770 dans un
environnement Windows sécurisé

Nom d'affichage Nom Nom de l’image Commentaire

Remote Access Con- RasMan SvcHosts.exe


nection Manager

Remote Administration srvcsurg srvcsurg.exe


Service

Téléphonie TapiSrv SvcHosts.exe

Plug And Play PlugPlay Services.exe

IPSec Services PolicyAgent Lsass.exe Nécessaire lorsque le


protocole IPSec est uti-
lisé pour:
• Accéder au serveur
OmniVista 8770
depuis un client
distant OmniVista
8770.
• Accéder à l’annuaire
LDAP depuis une
application externe:
Alcatel-Lucent 4059,
duplication LDAP,
annuaire de serveur
de communication....

Routing and Remote RemoteAccess SvcHosts.exe Inclut des fonctions pa-


Access re-feu et n'est pas com-
patible avec le pare-feu
Windows : Dans ce cas,
vous devez désactiver
le pare-feu Windows et
le service ICS (Internet
Connection Sharing).

NetBIOS over TCP/IP Netbt.sys Nécessaire pour l’utili-


driver (Direct hosted sation de ressources ré-
SMB traffic mode) seau partagées.

TCP/IP NetBIOS helper LmHosts SvcHost.exe

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 18/67


Chapitre 4 Déploiement de l'OmniVista 8770 dans un
environnement Windows sécurisé

Nom d'affichage Nom Nom de l’image Commentaire

Net Logon NetLogon Lsass.exe Nécessaire en cas de


partages réseau pour :
• Accéder à des
ressources réseau
depuis le serveur
OmniVista 8770
• Accéder aux
annuaires du
serveur OmniVista
8770.

Serveur LanmanServer SvcHost.exe Nécessaire si le partage


réseau doit accéder aux
annuaires du serveur
OmniVista 8770.

Workstation service LanmanWorstation SvcHost.exe Nécessaire en cas d’uti-


lisation de partages ré-
seau pour :
• Accéder à des
ressources réseau
depuis le serveur
OmniVista 8770
• Accéder aux
annuaires du
serveur OmniVista
8770.

Print Spooler Spooler Spoolsv.exe Nécessaire pour impri-


mer dans les cas sui-
vants :
• Utilisation de
l’imprimante réseau
depuis le serveur
OmniVista 8770
• Impression de
rapports

NMC Alarm Server NMC Alarm Server FaultManager.exe

Serveur d'audit NMC Serveur d'audit NMC AuditServer.exe

NMC Communication NMC Communication ComServer.exe


Server Server

NMC CMISE Server NMC CMISE Server cmisd.exe

NMC Executables NMC Executables execdEx.exe


Launcher Launcher

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 19/67


Chapitre 4 Déploiement de l'OmniVista 8770 dans un
environnement Windows sécurisé

Nom d'affichage Nom Nom de l’image Commentaire

NMC Extractor NMC Extractor extractor.exe

NMC GCS Administra- NMC GCS Administra- GCSAdmin.exe


tion Server tion Server

NMC GCS Config Ser- NMC GCS Config Ser- GCSConfig.exe


ver ver

NMC License Server NMC License Server LicenseServer.exe

NMC Loader NMC Loader loader.exe

NMC Gérer mon NMC Gérer mon selfcare.exe


téléphone téléphone

NMC Save/Restore NMC Save/Restore save_restore.exe

NMC Scheduler NMC Scheduler scheduler.exe

NMC Security Server NMC Security Server securityserver.exe

NMC PBX/Ldap Syn- NMC PBX/Ldap Syn- SyncLdapPbx.exe


chronization chronization

NMC Service Manager NMC Service Manager svc_mgr.exe

Orbacus Notify Service Orbacus Notify Service ns_service.exe

Oracle Directory Server DirectoryServer 7-1 dsee_ntservice.exe


Enterprise Edition

Apache Apache httpd.exe

MySQL8770 MySQL8770 mysqld.exe

Wildfly Wildfly wildfly-service.exe

NMC Java Service Defi- NMC Java Service Defi- JavaServer.exe


nition nition

Le tableau ci-après répertorie les services devant être arrêtés pendant le fonctionnement du serveur
OmniVista 8770.

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 20/67


Chapitre 4 Déploiement de l'OmniVista 8770 dans un
environnement Windows sécurisé

tableau 4.4 : Services Windows à arrêter pour le fonctionnement du serveur OmniVista 8770

Nom d'affichage Nom Nom de l’image Commentaire

Application Layer Gate- Agl Agl.exe Il faut désactiver AGL.


way Service
Cependant en cas de
dysfonctionnement
avec le pare-feu Win-
dows, ICS (Internet
Connection Sharing) ou
un logiciel externe (tel
qu’un logiciel anti virus
ou tout logiciel incorpo-
rant des transferts auto-
matiques via FTP), il
peut être nécessaire de
démarrer ALG.

4.4 Outils de sécurité


4.4.1 Compatibilité avec les logiciels antivirus
• Compatibilité :
Les applications OmniVista 8770 (serveur et client) fonctionnent correctement en présence d’un
système antivirus MacAfee et Norton Antivirus.
• Autres logiciels antivirus :
Tout autre système antivirus peut être déployé sur un PC hébergeant un serveur ou un client
OmniVista 8770. En cas d’incompatibilité détectée, il est recommandé de contacter le support
OmniVista 8770.
Cas de ralentissement du lancement client :
L’antivirus est configuré pour analyser les fichiers compressés et/ou d’extension .jar. Dans ce cas, le
premier lancement du client OmniVista 8770 est ralenti de 2 à 3 minutes.
• Sous McAfee, l'option d'extension de fichier : *.jar ou Scan inside archive est activée.
Fonction Wormstopper:
Lorsque l’antivirus intègre la fonction Wormstopper, les e-mails de notification des alarmes sont
bloqués. En effet, la plupart des nouveaux virus se propageant par courrier électronique. WormStopper
arrête les nouveaux virus diffusés par publipostage en détectant l'activité.
La fonction WormStopper :
• Détecte l'envoi d'e-mails à plus de 40 destinataires
• Détecte l'envoi de plus de 5 e-mails en moins de 30 secondes
• Vérifie le contenu des e-mails répétitifs
• Vérifie les noms des binaires qui tentent d'envoyer des e-mails
L'AntiVirus doit être reconfiguré pour permettre à l'OmniVista 8770 d'envoyer une alarme par email.
L'OmniVista 8770 attend au moins 3 s entre 2 envois d'emails ; si d'autres alarmes se déclenchent, ce
délai est augmenté.

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 21/67


Chapitre 4 Déploiement de l'OmniVista 8770 dans un
environnement Windows sécurisé

La version 8 de MacAfee intègre cette fonction Wormstopper (Menu Advance ActiveShield setting). Il
est recommandé de définir sur 15 secondes le délai d'autorisation d'envoi de 5 e-mails successifs.
Si les binaires sont contrôlés pour ajouter le programme responsable de l'envoi d'e-mails :
• Sur le serveur, au niveau de l'option antivirus, ajoutez Javaw.exe, Extractor.exe,
Faultmanager.exe.
• Sur le client, au niveau de l'option antivirus, ajoutez Javaw.exe.
Configurer l'antivirus, l'option antispam et l'option wormstopper pour :
• activer le protocole de messagerie (smtp port 25) ;
• permettre aux binaires OmniVista 8770 (javaw.exe) d'utiliser le protocole de messagerie ;
• augmenter le nombre d'e-mails autorisés (par exemple, la fonction wormstopper peut limiter le
nombre d'e-mails provenant d'un PC à six par minute).
• Pour exclure les fichiers suivants :
• <8770 install path>/data/data
• C:/Program Files (x86)/MariaDB 5.5/tmp
• <8770 install path>/SunOne/slapd-8770/db
• <8770 install path>/data/notify

4.4.2 Compatibilité avec le pare-Feu Windows


• Compatibilités et configuration :
Le serveur OmniVista 8770 est compatible avec les pare-feux de Windows 8.1 (64 bits)
Professional, Windows 2012, Windows 2012 R2 (64 bits) Standard Edition, Windows 2016,
Windows 2019 Standard et Datacenter Editions.
OmniVista 8770 Le client est compatible avec le pare-feu de Windows 7, Windows 8, Windows 8.1
et Windows 10.
Pendant l’installation ou la mise à jour du serveur et du client OmniVista 8770, il est recommandé
d’accepter la configuration du pare-feu de Windows dans le programme d’installation. Cette
configuration automatique s'applique uniquement au pare-feu Windows.
• Autres pare-feu :
Pour tous les autres pare-feux, vous devez procéder à une configuration manuelle : Le pare-feu doit
autoriser l'accès par les ports IP exigés par l'OmniVista 8770 sans délai. Dans le cas de pare-feu à
mémoire d’état (statefull), il doit pouvoir gérer une multi-connexion d’un client vers un port précis du
serveur.
Côté serveur OmniVista 8770 :
Le tableau ci-après répertorie les programmes dont il faut autoriser l’exécution :

tableau 4.5 : Programmes à autoriser sur le serveur OmniVista 8770

Programme à autoriser Emplacement par défaut du Commentaire


programme

AuditServer.exe 8770\bin\

ComServer.exe 8770\bin\

cmisd.exe 8770\bin\

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 22/67


Chapitre 4 Déploiement de l'OmniVista 8770 dans un
environnement Windows sécurisé

Programme à autoriser Emplacement par défaut du Commentaire


programme

dsee_ntservice.exe 8770\SunONE\lib\bin

execdex.exe 8770\bin\

extractor.exe 8770\bin\

FaultManager.exe 8770\bin\

GCSAdmin.exe 8770\bin\

GCSConfig.exe 8770\bin\

httpd.exe 8770\Apache2\bin\

iexplore.exe Internet Explorer Pour l’utilisation d’Internet Ex-


plorer sinon autoriser le pro-
gramme Firefox

javaw.exe 8770\OpenJRE\bin

java.exe 8770\OpenJRE\bin

LicenseServer.exe 8770\bin\

loader.exe 8770\bin\

mysqld.exe Program Files (x86)\MariaDB


5.5\bin\mysqld.exe

ns_service.exe 8770\bin\

save_restore.exe 8770\bin\

scheduler.exe 8770\bin\

securityserver.exe 8770\bin\

selfcare.exe 8770\selfcare\
snmpd.exe 8770\bin\ Il fournit les binaires NMC
SNMP et les fichiers de
bibliothèque

SyncLdapPbx.exe 8770\bin\

svc_mgr.exe 8770\bin\

wildfly-service.exe 8770\Wildfly\bin\service

Le tableau ci-après répertorie les ports devant être ouverts pour un fonctionnement correct du serveur
OmniVista 8770.

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 23/67


Chapitre 4 Déploiement de l'OmniVista 8770 dans un
environnement Windows sécurisé

tableau 4.6 : Liste des ports à ouvrir sur le serveur OmniVista 8770

Utilisation Port Protocole

IPsec 500 UDP

Client OmniVista 8770 30500 à 30509 TCP

Côté client OmniVista 8770 :


Le tableau ci-après répertorie les programmes dont il faut autoriser l’exécution :

tableau 4.7 : Programmes à autoriser sur le client OmniVista 8770

Programme à autoriser Emplacement par défaut du Commentaire


programme

iexplore.exe Internet Explorer\ Pour l’utilisation d’Internet Explo-


rer sinon autoriser le programme
Firefox

javaw.exe 8770\OpenJRE\bin

Le tableau ci-après répertorie les ports devant être ouverts pour un fonctionnement correct du client
OmniVista 8770.

tableau 4.8 : Liste des ports à ouvrir sur le client OmniVista 8770

Utilisation Protocole Port

Client OmniVista 8770 30500 à 30509 TCP

4.4.3 Compatibilité avec un proxy


Le proxy web peut être utilisé quand le client :
• ouvre la page Web d’accueil du serveur OmniVista 8770 ;
• consulte l’annuaire via l’interface Web.
Dans ces deux cas, le port 80 est utilisé par le client.
En revanche, si le client OmniVista 8770 est lancé via un navigateur Web :
• l’ensemble des ports IP du serveur client sera utilisé ;
• l’utilisation du proxy par l’applet OmniVista 8770 doit être désactivée.
Sur le PC client, ouvrez le Control Panel (sous Windows, précisez l'affichage classique).

4.4.4 Renforcement de la sécurité avec SynAttackProtect


Windows inclut une protection contre les saturations de requêtes SYN lorsqu’une attaque est détectée.
Cette protection est paramétrable à l’aide de la valeur SynAttackProtect située sous la clé de registre
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters.
Par défaut, sous Windows 2008 SP1, cette protection est activée (SynAttackProtect=1). Il est possible
de renforcer le niveau de sécurité en passant cette valeur à 2 ; cependant, il est recommandé de
conserver la valeur par défaut pour une meilleure stabilité du système.

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 24/67


Chapitre 4 Déploiement de l'OmniVista 8770 dans un
environnement Windows sécurisé

4.4.5 Renforcement de la sécurité avec DEP


La prévention de l’exécution des données ou DEP (Data Execution Prevention) vise à empêcher
l’exécution de code injecté dans une zone mémoire (stack ou heap). Cette technologie est basée sur
les récentes évolutions des processeurs Intel et AMD ; elle peut cependant fournir un certain niveau de
protection sur les processeurs plus anciens.
DEP arrête les applications qui tentent d'exécuter un code situé dans une page mémoire. OmniVista
8770 fonctionne lorsque la technologie DEP est activée. Si un composant intégré ou utilisé par le
serveur OmniVista 8770 est bloqué par le système DEP, contactez le support technique d'Alcatel-
Lucent.

4.5 Compatibilité avec les applications externes


4.5.1 Étude de compatibilité
Alcatel-Lucent ne prend pas en charge l'exécution d'applications externes installées sur le système
hébergeant l'OmniVista 8770.
• Avant de déployer un serveur OmniVista 8770 et d’autres applications sur un même PC ou serveur,
il est fortement recommandé d’effectuer une étude de compatibilité pour vérifier, en particulier :
• le serveur OmniVista 8770 et les services utilisés par les applications externes ;
• la compatibilité en termes de performances ;
• la compatibilité en termes d’utilisation de l’espace disque ;
• la compatibilité des fichiers dll ;
• la compatibilité de la version active de Java Run Time pour les applications Java ;
• la compatibilité des ports et des services IP utilisés.
En cas d’incompatibilité d’OmniVista 8770 avec une application externe, appeler l'assistance
téléphonique. Les remarques d’incompatibilité émises, seront prises en compte pour renseigner ce
document, et étudier une possibilité de contournement ou de compatibilité dans une version future.
Pour une question particulière sur la compatibilité, contactez les services professionnels d'Alcatel-
Lucent à l'adresse : professional.services@alcatel-lucent.com.
• Recommandations
Il est recommandé d’installer l’application du serveur OmniVista 8770 après toute autre application.
En cas de désinstallation d’une application, il ne faut surtout pas confirmer la suppression des
fichiers dll, car ceux-ci sont peut-être nécessaires au serveur OmniVista 8770.

4.5.2 Compatibilité en termes de performances


Les applications externes qui cohabitent avec le serveur OmniVista 8770 :
• ne doivent pas être du type application serveur (serveur de messagerie) ;
• ne doivent pas être installées en tant que service.
• Une fois lancées, s'assurer que les applications externes n’utiliseront pas toute la mémoire virtuelle
du système et qu’une fois fermées, elles libèreront bien la mémoire utilisée.

4.5.3 Fichiers dll


Les fichiers dll utilisés par le serveur OmniVista 8770 ne doivent pas être mis à jour, ni être remplacés
par des versions différentes.
Incompatibilité connue : JTC1012.dll fourni sur un serveur DELL.

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 25/67


Chapitre 4 Déploiement de l'OmniVista 8770 dans un
environnement Windows sécurisé

4.5.4 Ports et Services IP


• Ports :
L’application externe ne doit pas utiliser l'un des ports IP dédiés au serveur OmniVista 8770. Se
reporter : Déploiement d’OmniVista 8770 dans une configuration réseau sécurisée , pour connaître
la liste des ports IP utilisés par l'application OmniVista 8770.
Avant l’installation du serveur OmniVista 8770, vérifiez la disponibilité des ports 80 (HTTP), 8443
(HTTPS), 389 (LDAP) et 636 (LDAPS) :
• Dans une fenêtre DOS, entrer la commande c :\netstat –n
• Si l’adresse locale propose le port 80, 389, 636 ou 8443 en écoute/connecté (listening/
established), cela signifie que le port est utilisé. Il faut alors, lors de l’installation du serveur
OmniVista 8770, choisir un port LDAP ou LDAPS différent des ports déjà utilisés.
Note :
Les ports HTTP et HTTPS ne peuvent pas être modifiés pendant l'installation du serveur OmniVista 8770.
• Services :
Le serveur OmniVista 8770 ne peut pas être installé si le service SNMP a commencé : Interrompez
le service SNMP avant la phase d'installation.
Le serveur OmniVista 8770 comporte un serveur LDAP : N'installez pas un autre serveur LDAP sur
le même port (389 par défaut).
Le serveur OmniVista 8770 héberge les fonctions de serveur WEB (Apache) : Ne gardez pas et
n'installez pas un autre serveur WEB sur le même port (80 par défaut).
Incompatibilités connues :
Le rôle de serveur Web Services (IIS) n'est pas compatible avec l'OmniVista 8770 ; par
conséquent, ce rôle de serveur ne doit pas être installé.
Le rôle de serveur Active Directory xx Services intègre un serveur LDAP : Active
Directory. Avec ce rôle de serveur, il n’est pas autorisé d’installer le serveur OmniVista 8770.
L’installation du serveur OmniVista 8770 peut échouer avec le message « Sun.log : port déjà
utilisé ». Dans ce cas, reprendre l’installation et entrer LDAP port= 390.

4.5.5 Compatibilité avec les outils de sauvegarde PC


L’application du serveur OmniVista 8770 est toujours en état actif. Par conséquent, l’utilisation d’un
outil de sauvegarde de disques pour sauvegarder l’intégralité du disque peut échouer. En revanche, ce
type d’outil peut être utilisé pour récupérer les sauvegardes effectuées par le serveur OmniVista 8770.
Incompatibilités connues :
L’application de sauvegarde de PC à distance, OpenSave, n’est pas compatible avec l’application
Oracle Directory Server (utilisée par le serveur OmniVista 8770).

4.5.6 Compatibilité avec les outils de connexion à distance


4.5.6.1 Outil VPN
Incompatibilités connues :
Certains clients VPN utilisent des outils tels que le service SafeNet dans le programme
NetScreenRemote. Ce programme empêche l’installation d’un serveur Oracle Directory Server et
donc du serveur OmniVista 8770.

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 26/67


Chapitre 4 Déploiement de l'OmniVista 8770 dans un
environnement Windows sécurisé

4.5.6.2 Terminal server, connexion de bureaux distants


Les services Terminal Server, ou services de connexion de bureaux distants, (outil Microsoft)
permettent de créer une session Windows sur un serveur ou un PC distant en ne ramenant sur son
propre PC que l’interface clavier-souris-affichage écran. La session Windows ne s'affiche pas sur
l'ordinateur distant.
Ces programmes peuvent être utilisés à des fins de maintenance. Toutefois, ils concentrent les
ressources requises par le client sur le même serveur.

4.5.6.3 PC Anywhere, IRC de Peregrine , NetOP de DanWare


• Ces programmes permettent de prendre le contrôle d’une session Windows en cours sur un serveur
ou un PC distant. Sur le PC local et la machine distante, la même session Windows est visualisée.
Ces programmes doivent prendre en charge la présentation java.
• Incompatibilités connues :
Avec PC Anywhere, l’affichage java peut être mal interprété, il peut être nécessaire de rafraîchir
l’écran pour chaque clic de souris.
Avec PC Anywhere version 10.5 et supérieure, lorsque le service PCAnywhere-Host est lancé, le
client OmniVista 8770 ne démarre plus. Le problème est résolu à partir de la version 11.0 de PC
Anywhere.

4.5.7 Compatibilités avec d'autres applications Alcatel-Lucent


4.5.7.1 Alcatel-Lucent 47xx
Les applications Alcatel-Lucent 4715, 4730, 4740 et OmniVista 4760 ne sont pas compatibles avec
l’application du serveur OmniVista 8770.
Les clients OmniVista 4760 et OmniVista 8770 peuvent être installés sur le même ordinateur.

4.5.7.2 Opérateurs Alcatel-Lucent 4059, 4980


Les tests n’ont pas été effectués. Cependant, les besoins des 2 applications sont très différents. Il n’est
toutefois pas recommandé de faire cohabiter une application client temps réel et serveur de base de
données.

4.5.7.3 CCD, CCS, CCAgent


Le centre d'appels possède ses propres critères de compatibilité. La version java, en particulier, peut
être différente entre le client/serveur OmniVista 8770 et CCA.
Dans leur fonctionnement actuel, les applications CCx sont incompatibles. Pour certains projets, une
étude de compatibilité peut être faite auprès de nos services professionnels, sous réserve de certaines
conditions d'utilisation, à l'adresse professional.services@alcatel-lucent.fr.

4.6 Gestion de comptes Windows utilisés par le serveur OmniVista 8770


4.6.1 Compte pour installation
4.6.1.1 Installation/désinstallation du serveur OmniVista 8770
Le serveur OmniVista 8770 doit être installé et désinstallé à l'aide d'un compte d'administrateur local
Windows.

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 27/67


Chapitre 4 Déploiement de l'OmniVista 8770 dans un
environnement Windows sécurisé

4.6.1.2 Installation d’un client OmniVista 8770 distant


Le client OmniVista 8770 doit être installé et désinstallé à l'aide d'un compte d'administrateur local
Windows.

4.6.2 Compte à utiliser pour le lancement d’un client OmniVista 8770


L'ouverture d’un client OmniVista 8770 distant doit s’effectuer à partir d’un compte Windows bénéficiant
de droits d’écriture dans le répertoire Client8770\Lib\ext.

4.6.3 Opérations de maintenance avec ressources réseau


Le serveur OmniVista 8770 peut utiliser des ressources réseau pour les opérations de maintenance :
• Sauvegarde/restauration des données OmniVista 8770
• Sauvegarde/restauration des données du serveur de communication
• Mise à jour logicielle OmniPCX Enterprise
• la copie temporaire des données (au cours des opérations de défragmentation de bases de
données, par exemple).
Il est notamment recommandé d’effectuer les sauvegardes des données OmniVista 8770 sur un disque
réseau pour disposer d’une sauvegarde en cas d'arrêt du PC hébergeant le serveur OmniVista 8770.
Procédure :
Ce mode de sauvegarde requiert l’utilisation de comptes Windows :
• Un compte bénéficiant de droits d'« administrateur local » pour le service NMC SaveRestore,
valide sur le serveur OmniVista 8770 et ayant le droit de placer des fichiers sur la machine distante.
• Un compte pour le service NMC Executables Launcher, valide sur le serveur OmniVista 8770,
avec accès aux répertoires de la machine distante utilisés pour les opérations de maintenance.
Attention :
Veiller à ne pas utiliser pour la sauvegarde sur machine distante, un répertoire susceptible de contenir
d’autres données de sauvegarde. Ces données risqueraient d’être détruites par le processus de purge
automatique des sauvegardes, qui supprime les fichiers antérieurs à une date donnée.

4.6.3.1 Création de comptes et attribution des droits


• Création d’un compte disposant de droits d'administrateur local sur l'ordinateur serveur (pour le
service NMC Save/Restore) :
• Ouvrir l’outil de gestion de l'ordinateur (Panneau de configuration/Outil
d’administration).
• Dans la rubrique « Utilisateurs et groupes locaux », sélectionner le répertoire
« Utilisateurs » et créer un nouvel utilisateur :
• Nom : ADM8770 (par exemple)
• Mot de passe
• L’utilisateur ne peut pas changer de mot de passe
• Le mot de passe n’expire jamais.
• Modifiez les propriétés de l'utilisateur ADM8770 : ajoutez-le dans la liste des membres du groupe
« Administrateurs » et retirez-le de la liste des membres du groupe « Utilisateurs ».
• Création d’un compte local sur l'ordinateur de serveur OmniVista 8770 (pour le service NMC
Executables Launcher) :
• Ouvrir l’outil de gestion de l'ordinateur (Panneau de configuration/Outil
d’administration).

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 28/67


Chapitre 4 Déploiement de l'OmniVista 8770 dans un
environnement Windows sécurisé

• Dans la rubrique « Utilisateurs et groupes locaux », sélectionner le répertoire


« Utilisateurs » et créer un nouvel utilisateur :
• Nom : UTIL8770 (par exemple)
• Mot de passe
• L’utilisateur ne peut pas changer de mot de passe
Le mot de passe n’expire jamais.
• Modifiez les propriétés de l'utilisateur UTIL8770 : retirez-le de la liste des membres du
groupe « Utilisateurs ».
• Attribution des droits d'utilisateur
• Ouvrir l’outil Stratégie de sécurité locale (Panneau de Configuration/Outil
d’administration).
• Dans la rubrique « Stratégies locales », sélectionner « Attribution des droits
utilisateur ».
• Ajouter les droits suivants aux utilisateurs créés précédemment (ADM8770 et UTIL8770) :
• « Accéder à cet ordinateur depuis le réseau »
• « Ouvrir une session en tant que service »
• « Interdire l'ouverture d'une session locale »

4.6.3.2 Configuration des services OmniVista 8770 pour l'utilisation des ressources réseau
4.6.3.2.1 Procédure avec utilisation de comptes locaux
C’est la procédure recommandée pour sécuriser au mieux l’accès des ressources réseau.
Cette procédure peut être appliquée quel que soit le domaine Windows ou le groupe de travail du
serveur OmniVista 8770 et de la machine distante. Pour des raisons de sécurité, il est cependant
recommandé d’utiliser une machine distante située dans le même domaine ou groupe de travail que le
serveur OmniVista 8770.
Cela suppose que deux comptes (ADM8770 et UTIL8770) ont été créés sur le serveur OmniVista 8770
(en suivant la procédure de création et d’attribution des droits de la section Création de comptes et
attribution des droits à la page 28).
1. Créer les deux comptes (ADM8770 et UTIL8770) sur la machine distante :
• Ouvrir l’outil de gestion de l'ordinateur (Panneau de configuration/Outil
d’administration).
• Dans la rubrique « Utilisateurs et groupes locaux », sélectionner le répertoire
« Utilisateurs » et créer un nouvel utilisateur :
•Nom : ADM8770
•Mot de passe : identique à celui saisi pour l’utilisateur ADM8770 sur le serveur OmniVista
8770.
• L’utilisateur ne peut pas changer de mot de passe
• Le mot de passe n’expire jamais.
• Modifiez les propriétés de l'utilisateur ADM8770 : retirez-le de la liste des membres du groupe
« Utilisateurs ».
• Refaire la même opération pour l’utilisateur UTIL8770.
2. Partager un répertoire sur la machine distante pour les utilisateurs ADM8770 et UTIL8770 :
• Sur la machine distante, sélectionner le répertoire à partager et le partager.
• Au besoin, modifier le nom de partage.
• Modifier les propriétés de partage et de sécurité.

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 29/67


Chapitre 4 Déploiement de l'OmniVista 8770 dans un
environnement Windows sécurisé

• Nombre d'utilisateurs autorisés : ≥ 3


• Dans la rubrique « Autorisations », sélectionner retirer « tout le monde » et ajouter
les utilisateurs ADM8770 et UTIL8770 avec les droits Contrôle total.
• Dans la rubrique « Mise en cache », sélectionner l'option stipulant de ne pas autoriser la
mise en cache des fichiers de ce dossier partagé.
• Sélectionner l'onglet Sécurité, puis ajoutez les utilisateurs ADM8770 et UTIL8770. Vérifier
les droits suivants : « Modification », « Affichage du contenu du dossier »,
« Lecture », « Écriture».
3. Sur le PC serveur, lancer une session Windows en tant que ADM8770.
4. Accorder au service NMC SaveRestore le droit d’utiliser l’utilisateur ADM8770. Pour ce faire :
• Lancer l’application Annuaire, puis cliquer sur l’onglet Système.
• Au niveau de l’arborescence, accéder au répertoire NMC/Nom_du_serveur/servers/
Nom_du_serveur/SaveRestore.
• Cliquer sur l’onglet de compte NT dans le volet de droite.
• Renseigner les attributs :
• "User" = .\ADM8770
• Mot de passe : mot de passe associé à l'utilisateur ADM8770
5. Accorder au service NMC Executables Launcher le droit d’utiliser l’utilisateur UTIL8770. Pour
ce faire :
• Lancer l’application Annuaire, puis cliquer sur l’onglet Système.
• Au niveau de l’arborescence, accéder au répertoire NMC/Nom_du_serveur/servers/
Nom_du_serveur/Execdex.
• Cliquer sur l’onglet de compte NT dans le volet de droite.
• Renseigner les attributs :
• "User" = .\UTIL8770
• Mot de passe : mot de passe associé à l'utilisateur UTIL8770
6. Lorsque le module Maintenance est lancé, il est alors possible de sélectionner un disque réseau
pour la sauvegarde.
4.6.3.2.2 Procédure valide dans un domaine
Cette procédure pourra être appliquée lorsque le client souhaite utiliser des comptes réseau pour les
accès réseau du serveur OmniVista 8770.
Cette solution présente des failles de sécurité : les comptes réseau (nom d’utilisateur et mot de passe)
peuvent être interceptés puis utilisés sur l’ensemble des machines du réseau. Pour les besoins de
cette procédure, nous supposerons que les machines sont installées dans le même domaine
DOMMACHINE et que les utilisateurs sont reconnus dans le domaine DOMUSER.
Cela suppose que deux comptes (ADM8770 et UTIL8770) ont été créés sur le serveur OmniVista 8770
(conformément à la procédure de création et d’attribution des droits de la section Création de comptes
et attribution des droits à la page 28).
1. Partager un répertoire sur la machine distante pour les utilisateurs DOMUSERADM8770 et
DOMUSERUTIL8770 :
• Sur la machine distante, sélectionner le répertoire à partager et le partager.
• Au besoin, modifier le nom de partage.
• Modifier les propriétés de partage et de sécurité :
• Nombre d'utilisateurs autorisés : ≥ 3

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 30/67


Chapitre 4 Déploiement de l'OmniVista 8770 dans un
environnement Windows sécurisé

• Dans la rubrique « Autorisations », sélectionner retirer « tout le monde » et ajouter


les utilisateurs DOMUSERADM8770 et DOMUSERUTIL8770 avec les droits Contrôle total.
• Dans la rubrique « Mise en cache », sélectionner l'option stipulant de ne pas autoriser la
mise en cache des fichiers de ce dossier partagé.
• Sélectionnez l'onglet « Security » et ajouter les utilisateurs DOMUSER\ADM8770 et
DOMUSER\UTIL8770 : vérifiez les droits suivants : « Modifier », « Affichage du
contenu du dossier », « Lecture », « Écriture »
2. Sur le PC serveur, lancer une session Windows en tant que DOMUSER\ADM8770.
3. Accorder au service NMC SaveRestore le droit d’utiliser l’utilisateur ADM8770. Pour ce faire :
• Lancer l’application Annuaire, puis cliquer sur l’onglet Système.
• Au niveau de l’arborescence, accéder au répertoire NMC/Name_of_the_server/servers/
Name_of_the_server/SaveRestore
• Cliquer sur l’onglet de compte NT dans le volet de droite.
• Renseigner les attributs :
• "User" = DOMUSER\ADM8770
• Mot de passe : mot de passe associé à l'utilisateur ADM8770
4. Accorder au service NMC Executables Launcher le droit d’utiliser l’utilisateur UTIL8770. Pour
ce faire :
• Lancer l’application Annuaire, puis cliquer sur l’onglet Système.
• Au niveau de l’arborescence, accéder au répertoire NMC/Name_of_the_server/servers/
Name_of_the_server/Execdex
• Cliquer sur l’onglet de compte NT dans le volet de droite.
• Renseigner les attributs :
• "User" = DOMUSER\UTIL8770
• Mot de passe : mot de passe associé à l'utilisateur UTIL8770
5. Lorsque le module Maintenance est lancé, il est alors possible de sélectionner un disque réseau
pour la sauvegarde.
4.6.3.2.3 Procédure valide dans un groupe de travail
Pour les besoins de cette procédure, nous supposerons que les machines sont installées dans le
même groupe de travail, WORKGROUP1, et que le PC serveur porte le nom PCSERVEUR.
Cela suppose que deux comptes (ADM8770 et UTIL8770) ont été créés sur le serveur OmniVista 8770
(conformément à la procédure de création et d’attribution des droits de la section Création de comptes
et attribution des droits à la page 28).
Sur la machine distante, créer les mêmes comptes ADM8770 et UTIL8770 avec les mêmes mots de
passe.
1. Partager un répertoire sur la machine distante pour les utilisateurs ADM8770 et UTIL8770 :
• Sur la machine distante, sélectionner le répertoire à partager et le partager.
• Au besoin, modifier le nom de partage.
• Modifier les propriétés de partage et de sécurité :
• Nombre d'utilisateurs autorisés : ≥ 3
• Dans la rubrique « Autorisations », sélectionner retirer « tout le monde » et ajouter
les utilisateurs ADM8770 et UTIL8770 avec les droits Contrôle total.
• Dans la rubrique « Mise en cache », sélectionner l'option stipulant de ne pas autoriser la
mise en cache des fichiers de ce dossier partagé.

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 31/67


Chapitre 4 Déploiement de l'OmniVista 8770 dans un
environnement Windows sécurisé

• Sélectionner l'onglet Sécurité, puis ajouter les utilisateurs ADM8770 et UTIL8770. Vérifier
les droits suivants : « Modification », « Affichage du contenu du dossier »,
« Lecture », « Écriture».
2. Sur le PC serveur, lancer une session Windows en tant que ADM8770.
3. Accorder au service NMC SaveRestore le droit d’utiliser cet utilisateur. Pour ce faire :
• Lancer l’application Annuaire, puis cliquer sur l’onglet Système.
• Au niveau de l’arborescence, accéder au répertoire NMC/Nom_du_serveur/servers/
Nom_du_serveur/SaveRestore.
• Cliquer sur l’onglet de compte NT dans le volet de droite.
• Renseigner les attributs :
• "User" = PCSERVER\ADM8770
• Mot de passe : votre mot de passe
4. Accorder au service NMC Executables Launcher le droit d’utiliser l’utilisateur UTIL8770. Pour
ce faire :
• Lancer l’application Annuaire, puis cliquer sur l’onglet Système.
• Au niveau de l’arborescence, accéder au répertoire NMC/Nom_du_serveur/servers/
Nom_du_serveur/Execdex.
• Cliquer sur l’onglet de compte NT dans le volet de droite.
• Renseigner les attributs :
• "User" = PCSERVER\UTIL8770
• Mot de passe : votre mot de passe
5. Lorsque le module Maintenance est lancé, il est alors possible de sélectionner un disque réseau
pour la sauvegarde.

4.6.4 Planification de l’exportation ou de l’impression de rapports


Le serveur OmniVista 8770 peut utiliser des ressources réseau pour l'exportation et l'impression de
rapports planifiées. Ces opérations requièrent l’utilisation d’un compte Windows :
Un compte pour le service NMC Executables Launcher, valide sur le serveur OmniVista 8770,
avec accès aux répertoires de la machine distante utilisés pour les opérations d'exportation.
Procédure
1. Lancer une session Windows en tant qu'administrateur local du PC serveur
2. Création d’un compte local sur l'ordinateur de serveur OmniVista 8770 pour le service NMC
Executables Launcher :
Se reporter : Création de comptes et attribution des droits à la page 28
3. Déclaration d'une imprimante pour le compte UTIL8770 :
• Fermer la session administrateur et ouvrir une session avec le compte créé précédemment
(UTIL8770).
• Dans le menu « Démarrer », sélectionner « Imprimantes et télécopieurs »
• Ajouter une imprimante en suivant les instructions de l’outil de création d’imprimantes
• Fermer la session Windows
• Relancer une session Windows en tant qu’administrateur local du PC serveur
4. Attribuer les droits des utilisateurs :
• Ouvrir l’outil Stratégie de sécurité locale (Panneau de Configuration/Outil
d’administration).

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 32/67


Chapitre 4 Déploiement de l'OmniVista 8770 dans un
environnement Windows sécurisé

• Dans la rubrique « Stratégies locales », sélectionner « Attribution des droits


utilisateur ».
• Ajouter les droits suivants à l’utilisateur créé précédemment (UTIL8770) :
• Accéder à cet ordinateur depuis le réseau
• Ouvrir une session en tant que service
• Agir en tant que partie du système d'exploitation
• Augmenter les quotas/ajuster les quotas mémoire
• Remplacer un jeton de niveau processus
• Interdire l'ouverture d'une session locale
5. Configuration des services OmniVista 8770 pour l'utilisation des ressources réseau :
• Suivre la procédure décrite à la section Configuration des services OmniVista 8770 pour
l'utilisation des ressources réseau à la page 29 pour :
• Partager un répertoire sur la machine distante pour le compte UTIL8770 (le compte
ADM8770 n’est pas utilisé pour l’exportation et l’impression de rapport planifiées).
• Accorder au service NMC Executables Launcher le droit d’utiliser l’utilisateur UTIL8770.
• Remarque : trois possibilités de configuration sont présentées à la section Configuration des
services OmniVista 8770 pour l'utilisation des ressources réseau à la page 29. Pour une
meilleure sécurité, suivre la procédure avec utilisation de comptes locaux.
Note :
La procédure décrite ci-dessus ne doit être appliquée qu’en cas de planification d’exportations et d’impressions de
rapports. En effet, les exportations et impressions directes de rapports déjà générés (et toute autre impression non
planifiée) sont réalisées en utilisant le contexte de sécurité de l’utilisateur du client OmniVista 8770 (compte
Windows sur lequel a été lancé le client OmniVista 8770). Le service NMC Executables Launcher n’intervient pas.

4.6.5 Archivage et restauration des fichiers de taxation


Le serveur OmniVista 8770 peut utiliser des ressources réseau pour l'archivage et la restauration des
fichiers de taxation.
Ces opérations requièrent l’utilisation d’un compte Windows :
Un compte pour le service NMC Executables Launcher, valide sur le serveur OmniVista 8770,
avec accès aux répertoires de la machine distante utilisés pour les opérations d'archivage et de
restauration.
Procédure
Pour la mise en oeuvre de ce compte, suivre la procédure décrite dans la section Gestion de comptes
Windows utilisés par le serveur à la page 27.
Remarques :
• Pour les opérations d’archivage et de restauration de fichiers, il n’est pas nécessaire d’attribuer une
imprimante au compte utilisé pour accéder aux ressources réseau (UTIL8770).
• Pour les opérations d’archivage et de restauration de fichiers, les droits suivants sont facultatifs
pour le compte UTIL8770.
• Agir en tant que partie du système d'exploitation
• Augmenter les quotas/ajuster les quotas mémoire
• Remplacer un jeton de niveau processus

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 33/67


Chapitre 4 Déploiement de l'OmniVista 8770 dans un
environnement Windows sécurisé

4.6.6 Collecteur de fichiers de taxation


Le serveur OmniVista 8770 pourra utiliser des ressources réseau pour stocker les fichiers de taxation
d’un OmniPCX Enterprise (fonction de collecte de tickets).
Cette opération requiert l’utilisation de comptes Windows :
• Un compte avec les droits d'« administrateur local » pour le service NMCSyncLdapPbx, valide sur le
serveur OmniVista 8770 et ayant le droit de placer des fichiers sur la machine distante.
• Un compte pour le service NMC Executables Launcher, valide sur le serveur OmniVista 8770,
avec accès aux répertoires de la machine distante utilisés pour les opérations de maintenance.
Procédure :
1. Lancer une session Windows en tant qu'administrateur local du PC serveur
2. Création d’un compte ayant des droits administrateur local sur le PC serveur OmniVista 8770 (pour
le service SyncLdapPbx). Voir : Création de comptes et attribution des droits à la page 28
3. Création d’un compte local sur l'ordinateur de serveur OmniVista 8770 pour le service NMC
Executables Launcher. Voir : Création de comptes et attribution des droits à la page 28
4. Attribuer les droits des utilisateurs :
a. Ouvrir l’outil Stratégie de sécurité locale (Panneau de Configuration/Outil
d’administration).
b. Dans la rubrique « Stratégies locales », sélectionner « Attribution des droits
utilisateurs ».
c. Ajouter les droits suivants aux utilisateurs créés précédemment (ADM8770 et UTIL8770) :
• Accéder à cet ordinateur depuis le réseau
• Ouvrir une session en tant que service
• Interdire l'ouverture d'une session locale
5. Configuration des services OmniVista 8770 pour l'utilisation des ressources réseau :
• Suivre la procédure décrite à la section Configuration des services OmniVista 8770 pour
l'utilisation des ressources réseau à la page 29 pour :
• Partager un répertoire sur la machine distante pour les comptes ADM8770 et UTIL8770.
• Accorder au service SyncLdapPbx le droit d’utiliser l’utilisateur ADM8770.
• Accorder au service NMC Executables Launcher le droit d’utiliser l’utilisateur UTIL8770.
• Remarque : trois possibilités de configuration sont présentées à la section Configuration des
services OmniVista 8770 pour l'utilisation des ressources réseau à la page 29. Pour une
meilleure sécurité, suivre la procédure avec utilisation de comptes locaux (paragraphe a.)
6. Configuration du répertoire de collecte sur le serveur OmniVista 8770 :
• Dans cette procédure, nous supposerons que la machine distante sur laquelle sera effectuée la
collecte des fichiers de taxation a pour nom PCdistant et que le répertoire utilisé pour la
collecte a pour nom de partage Répertoire_collecte.
• Sur l'OmniVista 8770, lancer l’application Annuaire, puis cliquer sur l’onglet Système.
• Au niveau de l’arborescence, accéder au répertoire NMC/Nom_du_serveur/servers/
Nom_du_serveur/Collector.
• Dans le volet de droite, renseigner l’attribut Path avec le chemin du répertoire de collecte : //
RemotePC/Directory_Collection

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 34/67


Chapitre 4 Déploiement de l'OmniVista 8770 dans un
environnement Windows sécurisé

4.7 Gestion du partage de répertoires


Pour toutes les opérations de maintenance (sauvegarde/restauration de l'OmniVista 8770, sauvegarde/
restauration et mise à jour logicielle de l'OmniPCX Enterprise), d’archivage, de restauration et de
collecte de fichiers de taxation, et d’exportation de rapports, le serveur OmniVista 8770 peut utiliser
des ressources réseau. La configuration des partages réseau et de l’utilisation de comptes donnant
accès à ces partages doit être réalisée après l’installation du serveur OmniVista 8770 en suivant les
procédures décrites à la section Gestion de comptes Windows utilisés par le serveur OmniVista 8770 à
la page 27.

4.8 Envoi de message électronique (e-mails)


L'OmniVista 8770 peut envoyer des alarmes, des rapports ou une notification de surveillance des
fichiers taxation vers un serveur de messagerie électronique. Pour cela il faut indiquer le nom (ou
l’adresse IP) du serveur de messagerie à utiliser pour ces envois. Les notifications sont envoyées au
serveur de messagerie via le protocole SMTP. L'OmniVista 8770 prend également en charge
l'authentification SMTP si le serveur de messagerie le requiert. Dans ce cas, l'option de mécanisme
d'authentification doit être validée et les champs du nom d'utilisateur et du mot de passe doivent être
renseignés.
Il n’est pas nécessaire pour l’envoi de messages électroniques d’accorder aux services de l'OmniVista
8770 des droits pour l’utilisation de comptes spécifiques. Pour plus d'informations, voir chapitre 5.8
Déclaration d'un serveur de messagerie du manuel d'installation OmniVista 8770.

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 35/67


Chapitre

5 Déploiement de l’OmniVista 8770


dans une configuration réseau
sécurisée
Objectif : ce chapitre répertorie les ports et protocoles utilisés en cas de gestion d’un OmniPCX
Enterprise par un serveur OmniVista 8770. Ces paramètres doivent être pris en compte lors du
déploiement OmniVista 8770 dans un environnement réseau sécurisé, c’est-à-dire contenant des
éléments de sécurisation (pare-feu, DMZ, etc.).

5.1 Trafic IP sur serveur OmniVista 8770


Note :
Par défaut, la sécurité IPsec n’est pas active entre le serveur OmniVista 8770 et un client OmniVista 8770. En cas
d’utilisation de clients OmniVista 8770 distants, il est recommandé d’activer la sécurité IPsec.
La liste des services et ports utilisés par le serveur OmniVista 8770 figure dans le tableau ci-après.

tableau 5.1 : Services sur le serveur OmniVista 8770

Nom Type Protocole Numéro de Sécurité Clients dis-


port tants

ACD Configu- HTTPS TCP 30028 SSL et IPSec Client OmniVis-


ration ta 8770/OMC

Serveur SNMP TCP 162 SNMPv3 OpenTouch


d'alarmes (traps)

Alarms Server GIIOP TCP 30012 IPsec Client OmniVis-


ta 8770

Alarms Server Propriétaire TCP 31888-31958 No [Non]

Audit Server GIIOP 30030 IP sec

CMISD Server CMISE TCP 30001

GIIOP TCP 30013 IPsec

Serveur de GIIOP TCP 30014 IPsec Client OmniVis-


communication ta 8770

Serveur de GIIOP TCP 30014 IPsec Client OmniVis-


communication ta 8770

Serveur DM, AJP TCP 8009 No [Non]


serveur UUM

ExecdEx Ser- GIIOP TCP 30015 IPsec Client OmniVis-


ver ta 8770

Extractor Ser- GIIOP TCP 30016 IPsec Client OmniVis-


ver ta 8770

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 36/67


Chapitre 5 Déploiement de l’OmniVista 8770 dans une
configuration réseau sécurisée

Nom Type Protocole Numéro de Sécurité Clients dis-


port tants

FTP Proxy Control TCP 30021 IPsec Client OmniVis-


ta 8770

DATA TCP 30150 à 30299 IPsec Client OmniVis-


ta 8770

DATA TCP 1024 à 5000 IPsec Client OmniVis-


ta 8770

GCS Admin GIIOP TCP 30017 IPsec Client OmniVis-


Server ta 8770

GCS Config GIIOP TCP 30018 IPsec Client OmniVis-


ta 8770

HTTP Server HTTP TCP 80 Non Client OmniVis-


ta 8770
Client d'annuai-
re OmniVista
8770
Alcatel-Lucent
4059 (2)
Périphériques
SIP

Serveur HTTP TCP 443 SSL Périphériques


HTTPS SIP

Serveur HTTPS TCP 8443 SSL Client OmniVis-


HTTPS ta 8770
Client
OmniVista
8770 WBM

IPec ISAK UDP 500

Serveur Java GIOP TCP 30031 IPsec

LDAP/PBX GIIOP TCP 30026 IPsec


Synchroniza-
tion server

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 37/67


Chapitre 5 Déploiement de l’OmniVista 8770 dans une
configuration réseau sécurisée

Nom Type Protocole Numéro de Sécurité Clients dis-


port tants

Serveur LDAP LDAP TCP 389 IPsec Client OmniVis-


ta 8770, Alca-
tel-Lucent
4059, déborde-
ment d'annuai-
re du serveur
de communica-
tion (1), dupli-
cation LDAP,
autres clients
LDAP.

Serveur LDAP LDAP (over TCP 636 SSL Client OmniVis-


SSL) ta 8770, Alca-
tel-Lucent
4059, déborde-
ment d'annuai-
re du serveur
de communica-
tion, autres cli-
ents LDAP.

LDAP adminis- HTTP TCP IPsec Console d’ad-


3998-3999
tration Server ministration
SUN ONE

Loader Server GIIOP TCP 30020 IPsec

Mail [Courrier] SMTP TCP 25 Non Client


OmniVista
8770
Gérer mon HTTP TCP 8090 Client Web
téléphone OmniVista
8770
Serveur TDS TCP 3306 IPsec Client
MariaDB OmniVista
8770

Notification GIIOP TCP 30022 IPsec Client OmniVis-


Server ta 8770

OMC configu- TCP 30028 SSL et IPSec Client OmniVis-


ration, down- ta 8770/OMC
loading, debug

OMC Com Ser- TCP 30300 à 30349 IPsec Client OmniVis-


ver on/off line ta 8770/OMC

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 38/67


Chapitre 5 Déploiement de l’OmniVista 8770 dans une
configuration réseau sécurisée

Nom Type Protocole Numéro de Sécurité Clients dis-


port tants

Notification des HTTPS TCP 30029 No [Non]


alarmes urgen-
tes OXO Con-
nect

Serveur OT AJP TCP 8009


Config

Server License GIIOP TCP 30019 IPsec Client OmniVis-


Server ta 8770

Save / Restore GIIOP TCP 30023 IPsec Client OmniVis-


Server ta 8770

Scheduler Ser- GIIOP TCP 30024 IPsec Client OmniVis-


ver ta 8770

Security Server GIIOP TCP 30025 IPsec Client OmniVis-


ta 8770

SNMP Agent SNMP UDP 161 SNMPv3 Hyperviseur


[Agent SNMP]

Telnet Proxy TELNET TCP 30100 à 30149 IPsec Client OmniVis-


ta 8770

Serveur Wildfly TCP 4712, 4713, IPsec


8009,
9990-9993

(1) : non compatible avec IPSec (système d’exploitation LINUX sur serveur de communication).
(2) : le client d'annuaire Web Alcatel-Lucent 4059 prend en compte seulement le numéro de port 80
(non modifiable).
Note :
• CORBA s’appuie sur le protocole GIIOP
• Plusieurs numéros de ports (30020, par exemple) peuvent être modifiés dans le répertoire système, après
installation du serveur OmniVista 8770. Conserver la taille des plages de numéros de port, ne pas utiliser de
ports connus. Si la connexion IP sec est activée, la configuration IP sec ne tient pas compte des ports
modifiés. En cas de modification du numéro de port par défaut, exécuter 8770 > bin >
IPsecUpdate.exe. Pour plus d’informations, contactez les services professionnels Alcatel-Lucent.

5.2 Trafic IP sur client OmniVista 8770


La liste des services et ports utilisés par le client OmniVista 8770 figure dans le tableau ci-après.

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 39/67


Chapitre 5 Déploiement de l’OmniVista 8770 dans une
configuration réseau sécurisée

tableau 5.2 : Services sur le client OmniVista 8770

Type Protocole Numéro de Sécurité Note


port

CORBA Ré- GIIOP TCP 30500 à 30509 IPsec


ceptions des
notifications
alarmes

OMC- Status of HTTP TCP 30510 à 30529 IPsec


communication
socket

OMC - FTP da- Data TCP 1024 à 5000


ta sockets

IPsec ISAKMP UDP 500 IPsec Client OmniVis-


ta 8770

Note :
• Par défaut, la sécurité IPsec n'est pas activée entre le serveur OmniVista 8770 et un client OmniVista 8770.
• Les numéros de ports en caractères gras sont modifiables dans le fichier runnmc.bat, après installation du
client OmniVista 8770.
• Sur le poste client, vous devez autoriser les connexions entrantes via le port Corba 30500 - 30509. Si cela
n’est pas fait, l’application d’alarmes sera vide et il n’y aura pas de notification d’alarme. La configuration du
serveur de communication échoue après le chargement du MIB local : impossible de configurer la notification
au client.

5.3 Trafic IP sur client OmniVista 8770 WBM


La liste des services et ports utilisés par le client OmniVista 8770 WBM figure dans le tableau ci-après.

tableau 5.3 : Services sur le client OmniVista 8770

Type Protocole Numéro de Sécurité Note


port
Navigateur HTTPS TCP 49152 à 65535 Oui Certificat

5.4 Trafic IP sur OpenTouch pour la gestion OmniVista 8770


La liste des services et ports utilisés par OpenTouch figure dans le tableau ci-après.

tableau 5.4 : Services sur un OpenTouch

Nom Protocole Numéro de port Sécurité Note

Apache HTTPS/SOAP 443 Yes [Oui]

S SH/SFTP TCP 22 Yes

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 40/67


Chapitre 5 Déploiement de l’OmniVista 8770 dans une
configuration réseau sécurisée

5.5 Trafic IP sur OmniPCX Enterprise pour la gestion OmniVista 8770


La liste des services et ports utilisés par OmniPCX Enterprise figure dans le tableau ci-après.

tableau 5.5 : Services sur un Lx ou Ux OmniPCX Enterprise

Nom Type Protocole Numéro de Sécurité Note


port

CMISD TCP 2535 Non

STAP UDP 2556 Non

FTP server Control TCP 21 Non Mode PASV


contrôlé par
OmniVista
8770

DATA TCP 1024 à 5000 Non OmniPCX En-


terprise Ux

10000 à 20000 Non OmniPCX En-


terprise Lx >=
6.0

10000 à 20000 Non OmniPCX En-


terprise Lx >=
6.0

49152 à 65535 Non

SSH TCP 22 oui OmniPCX En-


terprise

Telnet TCP 23 Non

5.6 Trafic IP sur OXO Connect pour la gestion OmniVista 8770


La liste des services et ports utilisés par OXO Connect figure dans le tableau ci-après.

tableau 5.6 : Services sur un OXO Connect

Nom Type Protocole Numéro de Sécurité Note


port

Management TCP 31002 Non


socket

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 41/67


Chapitre 5 Déploiement de l’OmniVista 8770 dans une
configuration réseau sécurisée

OXO Connect HTTPS TCP 443 SSL


configuration
(configuration,
downloading,
debug sockets)

Services ACD HTTPS/SOAP TCP 443 SSL

ACD Statistics HTTPS/SOAP TCP 443 SSL

Serveur HTTP HTTPS/SOAP TCP 443 SSL


pour la collecte
des données
OXO Connect

FTP Contrôle TCP 30021 Yes

5.7 Trafic IP sur un hyperviseur


La liste des services et ports utilisés par un hyperviseur figure dans le tableau ci-après.

tableau 5.7 : Services sur un hyperviseur

Nom Type Protocole Numéro de Sécurité Note


port

SNMP Mana- SNMP Trap UDP 162 SNMPv3


ger

5.8 Trafic IP sur un Alcatel-Lucent 4059


La liste des services et ports utilisés par l'application Alcatel-Lucent 4059 dans le tableau ci-après.

tableau 5.8 : Services sur l'application Alcatel-Lucent 4059

Nom Type Protocole Numéro de Sécurité Clients dis-


port tants

4059 TCP 7777 Non Serveur Omni-


Vista 8770

5.9 Trafic IP sur un serveur d'authentification


La liste des services et ports utilisés par un serveur d'authentification externe figure dans le tableau ci-
après.

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 42/67


Chapitre 5 Déploiement de l’OmniVista 8770 dans une
configuration réseau sécurisée

tableau 5.9 : Services sur un serveur d'authentification externe

Nom Type Protocole Numéro de Sécurité Client distant


port
Classification Classification UDP 1812 PAP server Radius
Kerberos Kerberos TCP 88 No [Non]

5.10 Fonctionnement d'OmniVista 8770 sur un réseau VPN/NAT


5.10.1 Présentation
Nous recommandons le déploiement OmniVista 8770 sur un réseau local unique et dans l'intranet de
l’entreprise. Il s’agit d’un moyen simple de gérer la connectivité et la sécurité du serveur OmniVista
8770, du client et de l'OmniPCX Enterprise. Cependant, certains clients ont demandé à pouvoir
déployer ce type de solution sur un réseau VPN/NAT, ceci ayant divers impacts, notamment sur les
points suivants :
• Connaissances et restrictions du protocole VPN/NAT
• Matériel et logiciels requis pour la prise en charge du protocole VPN/NAT
• Topologie du site client
• Paramètres OmniVista 8770
Pour plus d’informations ou en cas de problème avec le protocole NAT, nous vous recommandons de
contacter les services professionnels Alcatel-Lucent pour vous aider à analyser votre réseau et trouver
une solution.

5.10.2 Protocole VPN/NAT


Un réseau VPN/NAT implique deux types d’adresses IP :
• l’adresse PRIVÉE, disponible uniquement sur le réseau local ;
• l’adresse PUBLIQUE, disponible sur le réseau local externe.
Le routeur NAT traduit les adresses IP privée et publique.
Vous devez utiliser :
• la traduction d’adresses IP uniquement, pas la traduction de ports ;
• la traduction d’adresses IP statique uniquement, pas la traduction dynamique.
Par défaut, la traduction NAT n’est pas conforme aux applications qui transportent les adresses IP.
Ce type de protocole implique une requête de rappel incluant l’adresse privée d’origine, non disponible
sur le réseau local distant.
Dans le cadre de la solution OmniVista 8770, cela concerne :
• Le protocole FTP (utilisé pour connecter les serveurs de communication) :
Au cours d’une session FTP, le client FTP connecte l’adresse privée au serveur FTP.
• En mode passif (mode par défaut), le transfert de données fait appel à l’adresse IP privée du
serveur FTP.
• En mode actif, le transfert de données fait appel à l’adresse IP privée du client FTP.
Puisque les adresses privées ne peuvent pas être utilisées directement, vous devez :
• activer un proxy FTP sur le routeur NAT ;

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 43/67


Chapitre 5 Déploiement de l’OmniVista 8770 dans une
configuration réseau sécurisée

• supprimer la solution NAT.


• Le protocole Corba (utilisé pour connecter le client au serveur) :
Lors d’une session Corba, l’adresse IP du client est envoyée au serveur en cas de requête de
rappel et en cas de nécessité de connexion directe entre le serveur et le client.
Le routeur NAT n’implique pas de solution IP, car le routeur ne lit pas les messages Corba, et aucun
proxy Corba n’est disponible.
Vous devez modifier l’initialisation Corba côté client afin de transporter le nom d’hôte du client au
lieu de l’adresse IP.

5.10.3 Accès client OmniVista 8770 au serveur via NAT


Parmi les protocoles utilisés par le client OmniVista 8770 et le serveur OmniVista 8770, seul Corba est
compatible avec NAT. Une solution à ce problème est proposée dans ce chapitre.

5.10.3.1 Topologie client

Client OmniVista 8770 Serveur


OmniVista 8770

Équipement Équipement
FW1 IPSec 1 IPSec 2
LAN1
10.19.10.0

VPN LAN2
128.213.224.0
NAT NAT NAT

Conversion de l'adresse IP du client 8770 Conversion de l'adresse IP du serveur 8770


Réseau Adresse IP du client Réseau Adresse IP du serveur

LAN1 @Lan1_Client LAN2 @Lan2_Client


Réseau VPN @VPN_Client Réseau VPN @VPN_Server
LAN2 @Lan2_Client LAN1 @VPN_Server

Figure 5.1 : Example of a Real Client Topology

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 44/67


Chapitre 5 Déploiement de l’OmniVista 8770 dans une
configuration réseau sécurisée

5.10.3.2 Flux IP

LAN1 LAN2

RVP
Réseau

Le client se connecte aux services du serveur OmniVista 8770

IP source @Lan1_Client @VPN_Client @VPN_Client @Lan2_Client

IP de destination @VPN_Server @VPN_Server @Lan2_Server @Lan2_Server

Le serveur se connecte au port Notification du client OmniVista 8770 (30500-30509)

IP source @VPN_Server @VPN_Server @Lan2_Server @Lan2_Server

IP de destination @Lan1_Client @VPN_Client @VPN_Client @Lan2_Server

5.10.3.3 Gestion spécifique


Configuration du fichier « Hosts »
Procédure :
Nous supposerons qu’il n’y a aucun service DNS pour cette connexion VPN. Modifier le fichier
« hosts » local pour les deux systèmes client et serveur (WinNT\Sytem32\driver\ etc\hosts) :
• Sur le PC serveur, entrer l’adresse IP correspondant au nom d’hôte du client visible sur LAN2.
@Lan2_Client CLIENT CLIENT.LABO.FR
• Sur le PC client, entrer l’adresse IP correspondant au nom d’hôte du serveur visible sur LAN1.
@VPN_Server SRV8770 SRV8770.ALCATEL.FR
Modification Client
Après la configuration du fichier « hosts », le client et le serveur OmniVista 8770 peuvent communiquer
en utilisant un protocole simple : http, ldap, etc. Mais les protocoles comme CORBA qui encapsulent
l’identification ne sont pas compatibles avec NAT.
Sur le serveur OmniVista 8770, CORBA est initialisé à l'aide du nom d’hôte du serveur. Comme le fichier
hôte du client a pu être modifié correctement, il n'y a pas de problème : le client OmniVista 8770 est
capable d'établir la connexion avec le serveur.
Sur le client OmniVista 8770, CORBA est initialisé à l'aide de l’adresse IP locale. Cette opération
restreint l'utilisation de l'OmniVista 8770 : le serveur OmniVista 8770 ne parvient pas à envoyer la
notification sur le port 30500 – 30509 du client CORBA.
• Il n’y a pas d’alarme sur le client
• Le module configuration ne peut être lancé
Il est possible de modifier le paramètre client en suivant la procédure ci-dessous:
1. Localisez le programme client : \Client8770\bin\runnmc.bat
2. Modifiez ce fichier

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 45/67


Chapitre 5 Déploiement de l’OmniVista 8770 dans une
configuration réseau sécurisée

3. Remplacez "IpNumeric=yes" par "IpNumeric=no".


De cette façon, le nom d’hôte du client est envoyé au serveur OmniVista 8770. L’envoi de la notification
par le serveur peut alors s’effectuer.
Configuration du pare-feu
Pour faire fonctionner les applications OmniVista 8770, il est nécessaire de mettre à jour les règles du
pare-feu et d’autoriser tout le trafic IP OmniVista 8770 entre le client et le serveur.
Procédure :
• Vérifiez que les ports utilisés par le serveur OmniVista 8770 sont ouverts (section Trafic IP sur
serveur).
• Vérifiez l'adresse IP à contrôler : @LAN1, @LAN2 or @VPN.
• Sur le serveur OmniVista 8770, autorisez la connexion à tous les services OmniVista 8770.
• Sur le client OmniVista 8770, autorisez la connexion sur le port de notification CORBA 30500 –
30509.
Exemple :
Sur le pare-feu FW1, autorisez la connexion entrante pour le client OmniVista 8770 :
IP=@LAN1_Client Port = 30500 – 30509.

5.10.4 Accès du serveur OmniVista 8770 à l'OmniPCX Enterprise via NAT


Parmi les protocoles utilisés par OmniVista 8770 et OmniPCX Enterprise, seul le protocole FTP n’est
pas compatible avec NAT. Vous devez donc activer le proxy FTP sur le routeur NAT.

5.10.5 Accès du serveur OmniVista 8770 au client d'annuaire Web Alcatel-Lucent


4059 via NAT
La fonction Click to Call du client d'annuaire Web ne prend pas en charge l'accès au serveur
OmniVista 8770 via Nat.

5.10.6 Dépannage du transfert FTP


Pour lancer un transfert FTP sur OmniPCX Enterprise en mode passif, procédez comme suit :
• Lancez une console DOS
• Entrer c:>ftp <@ip_oxe> 21
• Type ftp>literal PASV
• Tentez d’obtenir un fichier

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 46/67


Chapitre

6 Sécurisation des données du


serveur de communication
Ce chapitre décrit les moyens à déployer (et leur mise en œuvre) pour assurer la sécurité des données
du serveur de communication en cas de gestion par un OmniVista 8770.

6.1 OmniPCX Enterprise


6.1.1 Mise en œuvre de Connexion SSH
La connexion client établie avec l'OmniPCX Enterprise peut être sécurisée par SSH, quelle que soit la
valeur de la licence Sécurité.
Dans ce cas, les clients de type console utilisent l’application MindTerm. Cette application est
exécutée sur le PC client. Elle se connecte en premier lieu au serveur OmniVista 8770 par le port
30028, puis établit un tunnel SSH vers l'OmniPCX Enterprise.
La connexion est décrite sous la forme : <Login> @ <alias_de_l'hôte>
Note :
Le rapatriement SFTP de fichiers est accessible par un menu de l'application MindTerm.

6.1.1.1 Gestion de l'OmniPCX Enterprise


Note :

• Version OmniPCX Enterprise 6.0 requise ou plus récente.


• À partir de l'OmniPCX Enterprise 11.0 (version K1.520 ou plus récente), il n'est plus obligatoire de déclarer des
hôtes sécurisés sur la configuration OmniPCX Enterprise pour permettre la connexion SSH.
1. Ajout d’un « hôte sécurisé »
Pour ajouter un « hôte sécurisé », suivre la procédure décrite dans le tableau ci-après.

Application OmniPCX Enterprise > HyperTerminal

L’action Login : root


Mot de passe

L’action netadmin –m

Chemin Security > Isolate Ethernet Interface and


TCP accesses

Avertissement : seules les machines déclarées comme hôtes sécurisés peu-


vent avoir accès à l'OmniPCX Enterprise
Voulez-vous sécuriser vos accès Internet (O/N, par défaut O) ? O

Chemin Security > Restricted Ethernet Access

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 47/67


Chapitre 6 Sécurisation des données du serveur de communication

Enter the type of the trusted host(s):


0. Routeur
1. CPU
2. 47XX (machines de gestion)
3. Équipement IP (téléphone IP, INTIPA/INTIPB, GD, LIOE, etc. )
4. Installeur PC
Quel est votre choix ? 2

Quel est le nom IP de l'hôte Entrez un nom correspondant au serveur OmniVista 8770
sécurisé ? (serveur 8770, par exemple)
Vous devez donner un nom contenant uniquement des let-
tres, chiffres et (.,-,_) et commençant par une lettre. La lon-
gueur maximum est de 64 caractères.

Le nom que vous avez donné ne figure pas dans votre base de données
d'hôtes. Souhaitez-vous l'ajouter et attribuer une adresse correspondan-
te (O/N, par défaut N) ? O

Quelle est l'adresse IP de Entrez l'adresse IP du serveur OmniVista


l'hôte sécurisé ? 8770 (ex : 10.2.6.10)

Note :
Si le serveur OmniVista 8770 est dans un autre sous-réseau IP :
• Nom IP de la passerelle : saisir le nom de la passerelle (exemple : Routeur_passerelle)
• Le nom de passerelle indiqué ne figure pas dans la liste d'hôtes sécurisés.
• D’abord ajouter la passerelle en tant qu'hôte sécurisé, puis ajouter cet hôte.
Vous devez gérer également tous les équipements IP (cartes GD, INTIP, IP phones). Il est possible de définir
des tranches de trusted hosts (pour les IP phones par exemple).
2. Configuration d’une connexion SSH sécurisée
Pour configurer une connexion SSH sécurisée, suivre la procédure décrite dans le tableau ci-après.

tableau 6.1 : Configuration d’une connexion SSH sécurisée

L’action netadmin –m

Chemin Security > SSH Configuration

Avertissement : vous devez disposer d'un système homogène pour pouvoir


améliorer la sécurité avec SSH !
Do you want to enhance security with SSH (y/n default is y) ? y

3. Vérification de la configuration SSH


Pour vérifier la configuration SSH, suivre la procédure décrite dans le tableau ci-après.

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 48/67


Chapitre 6 Sécurisation des données du serveur de communication

tableau 6.2 : Vérification de la configuration SSH

L’action netadmin –m

Chemin Show curent configuration

Accès Internet restreints Yes

Sécurité avec SSH Yes [Oui]

6.1.1.2 Gestion de l'OmniVista 8770


Pour déclarer une connexion sécurisée à l'OmniPCX Enterprise via le protocole SSH/SFTP :
1. Lancer l’application Configuration, puis cliquer sur l’onglet Network.
2. Développer l'arborescence comme suit : nmc > Network > Subnetwork
3. Sélectionnez l'OmniPCX Enterprise dont la connexion doit être sécurisée.
4. Cliquez sur l’onglet Connectivity.
5. Renseignez les attributs suivants :
• SSH connection : Cochez la case pour autoriser une connexion SSH/SFTP.
• Host Name : Entrez un identifiant unique pour chaque OmniPCX Enterprise sécurisé (exemple :
Noeud3). Vous devez donner un nom contenant uniquement des lettres, chiffres et (.,-,_) et
commençant par une lettre. Vous ne pouvez pas utiliser de caractères spécifiques (@,','' ...), ni
de caractère espace.
Note :
Le nom d’hôte est utilisé par l’application MindTerm pour rechercher sur le serveur OmniVista 8770 les
informations de connexion de l'OmniPCX Enterprise à connecter.

6.1.1.3 Utilisation de la connexion sécurisée


6.1.1.3.1 Connexion SSH
Pour établir une connexion SSH :
1. Lancer l’application Configuration, puis cliquer sur l’onglet Network.
2. Développer l'arborescence comme suit : nmc > Network > Subnetwork
3. Sélectionnez l'OmniPCX Enterprise
4. Accédez au menu contextuel et sélectionnez Connect
5. Renseignez les attributs suivants :
• User name : compte pour se connecter à l'OmniPCX Enterprise (exemple : mtcl).
• Password : mot de passe associé au nom d’utilisateur
6. L’application MindTerm est utilisée pour se connecter à l'OmniPCX Enterprise
• La connexion s’établit via le proxy http et le port TCP 30028.
• Le serveur SSH de l'OmniPCX Enterprise est OpenSSH_22.3.Opl (SSH2)
• Le cypher est 3des
6.1.1.3.2 Connexion SFTP
Pour rapatrier les fichiers via SFTP, suivre la procédure décrite dans le tableau ci-après.

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 49/67


Chapitre 6 Sécurisation des données du serveur de communication

tableau 6.3 : Connexion SFTP

Application MindTerm Menu Plugins

Objet Transfert de fichiers SFTP

L’action Sélectionner les répertoires sur la machine locale (PC client OmniVista
8770) et sur la machine distante (OmniPCX Enterprise).

Transférer les fichiers à l’aide des flèches

Action Fermer

6.1.2 Sécurisation de l'accès à l'OmniPCX Enterprise


6.1.2.1 Principe de fonctionnement
La sécurisation d’accès permet de filtrer l’accès à la configuration de l'OmniPCX Enterprise. Le filtrage
peut se faire par le nom des serveurs OmniVista 8770 (les stations) et par les logins utilisés pour
lancer le client OmniVista 8770 (les utilisateurs).
La sécurisation s’applique à la connexion CMISE entre le serveur OmniVista 8770 et l'OmniPCX
Enterprise.

6.1.2.2 l'application de configuration


Afin d’éviter des erreurs et pour bien cerner un problème éventuel, il est conseillé de suivre dans
l’ordre les étapes de gestion décrites ci-après. La gestion de l'OmniPCX Enterprise se fait dans l'objet
Sécurité et Contrôle d'accès.
Procédure
1. Dans l'OmniPCX Enterprise, gérer les stations sans mot de passe.
• Supprimer la station « * ». Ce caractère autorise la connexion de toutes les stations
Attention :
Il n’est pas possible de recréer ce caractère par les outils de gestion client. Pour plus
d'informations, contacter le support technique d'Alcatel-Lucent.
• Créer les stations (serveurs OmniVista 8770). Le nom correspond au nom du PC sur lequel est
installé le serveur OmniVista 8770. Le nom doit obligatoirement être saisi en MAJUSCULES
• Ne pas indiquer de mot de passe pour l’instant
• Garder pour l’instant la relation avec la liste N° 1 des utilisateurs.
2. Dans l'OmniVista 8770, valider la sécurité sans mot de passe :
Dans l'application Configuration, sélectionner l'OmniPCX Enterprise correspondant et cliquer sur
l'onglet Connectivity. Cochez la caseSecure Access for system management.
3. Tester la connexion en configuration à l'OmniPCX Enterprise.
4. Dans l'OmniPCX Enterprise, gérer une liste N° 2 des utilisateurs.
• Créer une liste N° 2 des utilisateurs
5. Dans l'OmniPCX Enterprise, créer les utilisateurs dans la liste N° 2 des utilisateurs.
• Le nom des utilisateurs correspond au login utilisé pour lancer le client OmniVista 8770.
• Le nom doit obligatoirement être saisi en MAJUSCULES.
6. Dans l’objet Station, affecter cette liste N°2 aux stations.
7. Tester la connexion en configuration à l'OmniPCX Enterprise.

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 50/67


Chapitre 6 Sécurisation des données du serveur de communication

8. Option de sécurité : création d’un mot de passe CMISD


Pour renforcer la sécurité, il est possible de contrôler la connexion par mot de passe :
• Côté OmniVista 8770, indiquer le mot de passe dans l’onglet Connectivity de l'OmniPCX
Enterprise concerné (mot de passe Cmisd).
• Côté OmniPCX Enterprise, indiquer ce même mot de passe sur les stations correspondantes. Il
faut respecter la casse (Majuscules/minuscules)
• En cas de modification du mot de passe côté OmniVista 8770, il peut être nécessaire de
relancer le client, et/ou de relancer le serveur CMISE du service NMC.
9. Tester la connexion en configuration à l'OmniPCX Enterprise.
Attention :
L'utilisateur « * » est retiré de la liste N°1 dès qu'un autre utilisateur est créé dans cette liste.
Il n’est pas possible de recréer ce caractère par les outils de gestion client. Pour plus d'informations,
contacter le support technique d'Alcatel-Lucent.

6.1.2.3 Maintenance
Pendant la configuration de l'OmniPCX Enterprise (via mgr ou configuration OmniVista 8770), il est
impossible de rétablir les paramètres de sécurité par défaut :
• station = *
• utilisateur = *
Pour rétablir les valeurs :
• Ouvrir une session telnet sur l'OmniPCX Enterprise.
• Désactiver MAO (mao off)
• Lancer le multioutil SECURITY_ACCESS
• Sélectionner l'option 10 : Security access reinitialization
• Activer MAO (mao on)

6.1.3 Connexion sécurisée à un OmniPCX Enterprise configuré avec plusieurs


interfaces Ethernet.
À partir de la version R12.2, l'OmniPCX Enterprise peut gérer jusqu'à trois interfaces Ethernet pour la
gestion, le service et le stockage (interfaces Ethernet multiples). Ces interfaces Ethernet sont isolées
les unes des autres afin d'éviter tout problème technique et de sécurité.
Dans cette configuration, l'OmniVista 8770 communique uniquement avec l'interface Ethernet de
gestion de l'OmniPCX Enterprise.
L'interface Ethernet de gestion de l'OmniPCX Enterprise doit être déclarée dans l'application
Configuration de l'OmniVista 8770. L'adresse IP de l'interface Ethernet de gestion doit être déclarée
dans le champ IP address de l'onglet PCX (pour plus d'informations, voir document [1]).
Les adresses IP des interfaces Ethernet de service et de stockage sont automatiquement découvertes
après une synchronisation de l'OmniPCX Enterprise et affichées dans l'onglet Connectivity de
l'application Configuration (champs Service IP address et Storage IP address).
Pour sécuriser la connexion entre l'OmniVista 8770 et l'interface Ethernet de gestion de l'OmniPCX
Enterprise :
• SSH doit être activé sur l'OmniPCX Enterprise (voir : Gestion de l'OmniPCX Enterprise à la page
47)
• SSH doit être configuré sur l'OmniVista 8770 (voir : Gestion de l'OmniVista 8770 à la page 49)

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 51/67


Chapitre 6 Sécurisation des données du serveur de communication

6.2 OpenTouch
L'OmniVista 8770 utilise le protocole SSH pour sécuriser l'accès à l'OpenTouch. Par défaut, la sécurité
est activée sur l'OpenTouch.
Il faut définir deux types de compte administrateur pour configurer et accéder à un OpenTouch à partir
de l'application OmniVista 8770 :
• Ce compte administrateur est utilisé pour contrôler la connexion à l'OpenTouch.
Ce compte administrateur doit avoir un profil d'accès configuré sans restriction : accès à tous les
domaines de gestion OpenTouch. Le compte administrateur doit être créé dans l'OpenTouch à l'aide
de l'outil WBM tool et déclaré dans l'application Configuration de l'OmniVista 8770 (paramètres
OpenTouch).
• Un compte administrateur OmniVista 8770 pour chaque utilisateur autorisé à configurer un
OpenTouch à partir de l'application OmniVista 8770.
Chaque compte administrateur OmniVista 8770 dispose de son propre profil d'accès pour limiter
l'accès à un ou plusieurs domaines de gestion OpenTouch. Ce compte administrateur doit être
déclaré dans l'OpenTouch et dans l'application Sécurité de l'OmniVista 8770.

6.3 OXO Connect


La connexion à un OXO Connect est possible avec le protocole FTP.
Les paramètres FTP, ainsi que d'autres données OXO Connect doivent être configurés à partir de
l'application Configuration, voir document [1] pour plus d'informations.
L'OMC est lancé à partir du client OmniVista 8770 et est exécuté sur le serveur OmniVista 8770. Cela
signifie que dans toutes les configurations, des droits d'accès complets doivent être accordés aux
répertoires partagés (8770_ARC\OXO\data) pour l'OMC.

6.3.1 Utilisation d'un client OmniVista 8770 local


Les communications entre l'OmniVista 8770 et l'OXO Connect doivent être sécurisées.
Localement, l'OMC ouvre un port qui déclenche a avertissement de pare-feu Windows. Pour éviter cet
avertissement, vous pouvez ouvrir des ports dans la plage comprise entre 30510 et 30529, et créer
une exception pour le fichier binaire OMC (qui ne nécessite pas d'autorisation pour les communications
entrantes).
Si la connexion entre l'OXO Connect et OmniVista 8770 passe par un pare-feu réseau, assurez-vous
que les communications entre les deux serveurs sont autorisées.

6.3.2 Utilisation d’un client OmniVista 8770 distant


Lorsqu'il accède au serveur, l'OMC connecte un lecteur réseau à l'aide de l'utilisateur déclaré dans
l'application Administration d' OmniVista 8770 :
1. Allez à Nmc / Application Configuration / Application settings / Config / OXOAccess

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 52/67


Chapitre 6 Sécurisation des données du serveur de communication

Figure 6.1 : Création d'un exemple de compte d'accès

2. Saisissez un nom d'utilisateur et un mot de passe pour ce compte


Pour une meilleure sécurité, Alcatel-Lucent recommande de créer un compte local plutôt qu'un
compte de domaine
3. Cliquez sur l'icône de validation pour enregistrer vos modifications
4. Allez à l'application Users
5. Sélectionnez l'utilisateur créé pour l'administration OMC et affectez à cet utilisateur les droits
Accéder à cet ordinateur depuis le réseau et Refuser la connexion localement
6. Configurer le pare-feu Windows
Un fichier et une exception de partage doivent être activés.
La socket entrante relative à l'état des appels 51900 nécessite une exception.
L'OmniVista 8770 offre une configuration de pare-feu Windows par défaut pour le serveur et les
ports (CORBA ou HTTP/S) du client. La modification de ces ports implique que le pare-feu doit
également être modifié.
Pour modifier la configuration du pare-feu, vous pouvez utiliser un script sur une console DOS sur
l'ordinateur à mettre à jour. Des scripts sont disponibles dans 8770\data\ipsec
7. Configurer IPSec pour sécuriser les communications entre l'OmniVista 8770 et ses clients

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 53/67


Chapitre

7 Sécurisation des données


OmniVista 8770

7.1 Configuration autonome


OmniVista 8770 fonctionne en configuration autonome lorsqu’il ne communique qu’avec les serveurs
de communication. Dans ce contexte :
• Aucun client OmniVista 8770 distant n’est installé.
• Aucun répertoire ou disque réseau n’est utilisé.
• Aucune imprimante réseau n’est utilisée.
• Aucune application externe ne peut se connecter à l’annuaire LDAP du serveur OmniVista 8770.
Il s’agit de la configuration la plus sécurisée.
Pour renforcer la sécurité, il est recommandé de :
• Désactiver les services Windows inutiles pour une configuration autonome (voir le descriptif des
services dans la section Déploiement de l’OmniVista 8770 dans une configuration réseau sécurisée
à la page 36).
• Activer le pare-feu Windows. Aucune exception n’est requise dans la configuration du pare-feu
Windows pour le fonctionnement du serveur OmniVista 8770.

7.2 Déploiement du protocole IPSec dans une configuration serveur-


clients distants
Afin de renforcer la sécurité des données échangées entre le serveur OmniVista 8770 et ses clients
distants, il est recommandé d’activer l’utilisation du protocole IPSec en suivant la procédure décrite
dans cette section.
IPSec est une fonctionnalité propre à Windows permettant de chiffrer la communication IP entre deux
machines Windows. Pour le serveur et client OmniVista 8770, le mode IPsec est transparent. Seules
les trames IP entrantes et sortantes des deux machines sécurisées sont modifiées.

7.2.1 Configuration requise


• Le système d’exploitation de la machine client doit prendre en charge le protocole IPSec
• Le système d'exploitation de la machine client doit être un système Windows (pour d'autres
informations, reportez-vous au document [8])
• Un client LDAP comme le serveur de communication ou Linux ne peut pas fonctionner en mode
IPSec.

7.2.2 Mise en œuvre


L’implémentation IPSec sous Windows est présentée comme une stratégie de sécurité.
Les points à considérer avant l’implémentation d’IP-sec sont :
Définition de l’authentification avec Kerberos :
• Utiliation d'un certificat d’authentification Windows.
• Pour les PC d’un groupe de travail, en l’absence de Kerberos, l’activation du protocole IPsec avec
l’authentification Kerberos bloque totalement la communication IP. Vous devez écrire une
authentification de clé partagée sur chaque PC : client et serveur.

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 54/67


Chapitre 7 Sécurisation des données OmniVista 8770

• Pour les PC intégrés dans un domaine Windows, on peut utiliser le serveur Kerberos intégré dans
le contrôleur de domaine.
• Sur chaque machine où l’on trouve un client ou serveur OmniVista 8770, on doit pouvoir accéder à
l’ordinateur depuis le réseau.
Procédure :
1. Sélectionnez : Démarrer > Paramètres > Panneau de configuration > Outil
d'administration > Stratégie de sécurité locale > Stratégies locales >
Attribution des droits utilisateurs.
2. Sélectionner le paramètre Accéder à cet ordinateur depuis le réseau.
3. Ajouter le groupe Réseau ou les utilisateurs réseau dans les droits d’accès.
Couverture
Le mode IPSec peut concerner tout ou partie des ports IP. Alcatel-Lucent fournit deux types de
stratégie qui permettent de sécuriser uniquement les communications IP entre l'application client et
l'application serveur. Note : pour utiliser des certificats, contactez les services professionnels d'Alcatel-
Lucent.

7.2.3 Limite
• La stratégie propre au serveur OmniVista 8770 ne lui permet pas d'accéder en tant que client à
d'autres serveurs OmniVista 8770.
• Si les ports IP des services OmniVista 8770 sont modifiés, la stratégie IPSec n’est plus à jour.
• Si le client dispose déjà d'une stratégie IPSec pour d'autres applications serveur, la stratégie
d'Alcatel-Lucent n'est pas complète. Dans ce cas, il faut intégrer le client IPsec à la configuration
existante.
• Par défaut la stratégie IPSec d'Alcatel-Lucent pour le serveur OmniVista 8770 impose que tous les
clients se connectent par IPSec. Ce choix peut être modifié pour permettre à des clients non
sécurisés d’accéder au serveur.
Attention :
Pour ces clients, les données et mot de passe passent en clair sur le réseau IP.
Pour gérer ces cas, il est conseillé de faire appel aux services professionnels d’Alcatel-Lucent
(professional.services@alcatel-lucent.com), afin de modifier la gestion par défaut IPSec.
Note : Si vous souhaitez modifier l'attribution des numéros de port par défaut, utilisez l'outil
IpsecUpdate.exe (situé dans le répertoire 8770\bin ).

7.2.4 Configuration
Procédure :
1. Import de la stratégie IP sec
• Sur les machines à sécuriser (clients et serveurs OmniVista 8770, Alcatel-Lucent 4059, 4980,
etc.) ouvrir la console MMC : Politique de sécuritéIP.
• Sélectionner et ouvrir l’outil Stratégie de sécurité locale (Panneau de
configuration/Outils d’administration/Paramètres de sécurité).

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 55/67


Chapitre 7 Sécurisation des données OmniVista 8770

Figure 7.1 : Fenêtre Panneau de configuration

• A l’aide du menu contextuel, importer la stratégie IPSec.

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 56/67


Chapitre 7 Sécurisation des données OmniVista 8770

Figure 7.2 : Fenêtre Stratégie de sécurité locale

Le chemin d'accès pour importer la politique IPsec dans Windows diffère selon la machine à
sécuriser :
• Pour le serveur OmniVista 8770, sélectionnez le fichier 8770\data\ipsec
\8770server.ipsec
• Pour le client OmniVista 8770, sélectionnez le fichier 8770client\install
\8770client.ipsec
2. Configurer la méthode d’authentification
• Sélectionner la stratégie de sécurité IPsec du client ou du serveur OmniVista 8770.
• Dans le menu contextuel, cliquez sur Properties.
La fenêtre Propriétés du serveur apparaît.
• Cliquer sur Edit.
Deux listes de filtres sont définies pour les communications IP entrantes et sortantes.
• Pour modifier le champ Authentication, cliquer sur l’onglet Authentication Method pour
chacune des listes, puis sur Edit.
La fenêtre Modifier les propriétés de la méthode d'authentification apparaît.
• Valider les modifications.
3. Affecter la stratégie de sécurité :
• Sélectionner la stratégie de sécurité IPsec du client ou du serveur OmniVista 8770.
• Dans le menu contextuel, cliquer sur Attribuer.
• Activer le mode IPsec en affectant la stratégie

7.3 Sécurité d'accès aux applications OmniVista 8770


7.3.1 Application Sécurité
Le module de sécurité implémenté dans le serveur OmniVista 8770 garantit et centralise la sécurité
d’accès à toutes les applications présentes dans le serveur et accessibles via un client OmniVista
8770.

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 57/67


Chapitre 7 Sécurisation des données OmniVista 8770

L’application de sécurité permet de restreindre ou d’autoriser :


• Le lancement et la gestion de la sécurité pour chaque application
• La lecture, la modification et la suppression des données présentées par chaque application.
• L’administrateur peut exploiter ces droits de deux façons :
• Directement pour un utilisateur : dans ce cas, il gère, successivement pour chaque application,
le mode d’accès de l’utilisateur,
• Via des groupes d'annuaires entreprise préalablement définis : dans ce cas, il octroie à
l’utilisateur un profil global d’accès à un ensemble d’applications.
Le manuel d’administration de l'OmniVista 8770, section 14 Sécurité, présente les groupes et
utilisateurs prédéfinis, leurs droits associés, la gestion de nouveaux comptes d’utilisateurs et de
groupes et les domaines de gestion permettant de restreindre la vue qu'ont les administrateurs
lorsqu'ils accèdent à l'application Users.

7.3.1.1 Interface utilisateur


Lors de l’ouverture du client d’administration, seules les applications répondant aux licences présentes
et pour lesquelles l’utilisateur dispose d’un droit d’accès, seront accessibles.
Dans le cas où l’utilisateur ne dispose pas de tous les droits d’accès :
• Il ne verra pas les icônes des applications qui lui sont interdites.
• Lors des opérations de gestion, une partie des données lui sera masquée.
• Les opérations d’écriture/suppression pourront lui être refusées. Dans ce cas, la fenêtre du journal
de l’application indique qu’il ne dispose pas de droits suffisants.

7.3.1.2 Administration par le serveur OmniVista 8770


L’accès aux applications et à leurs données est soumis à des règles de sécurité définies dans
l'application Security de l'OmniVista 8770, au niveau de la branche nmc\8770Applications. Ces
règles sont appelées niveaux d’accès.
OmniVista 8770 La gestion du serveur permet :
• d’affecter par application, un niveau d’accès à chaque utilisateur ;
• d’exploiter un groupe prédéfini qui accède à un ensemble d’applications.
Par défaut, seul l’utilisateur AdminNMC dispose de droits dans l’application OmniVista 8770. Les
groupes prédéfinis utilisés pour accéder aux applications sont vides.

7.3.1.3 Niveaux d’accès


• Globalement, chaque application propose les niveaux d’accès suivants : Pas d'accès, Posséder,
Lire, Configurer, Tout
• Des droits supplémentaires ont été ajoutés pour s’adapter aux besoins spécifiques des applications.

Applications Droit spécifique

Annuaire Prise en compte du champ Confidentialité des entrées d’annuaire. Pour


les connexions directes au serveur d'annuaire (par Alcatel-Lucent 4059, 4980,
serveur de communication, la recherche de personnes de Windows, etc.), le
serveur utilise uniquement les listes de contrôle d’accès définies dans la conso-
le du serveur LDAP. Pour plus d’informations, voir Confidentialité des données
d’annuaire à la page 60.

Alarme Action de correction prise en compte.

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 58/67


Chapitre 7 Sécurisation des données OmniVista 8770

Applications Droit spécifique

Maintenance Restriction envers les objets du serveur de communication + OmniVista 8770

Configuration Prise en compte du profil de configuration qui limite l’accès aux objets du ser-
veur de communication. Ce droit est stocké directement sous l’attribut ACL de
l’entrée 8770Applications\Configuration.
Exemple pour l’attribution du profil 0 à l’utilisateur AdminNMC : AL-
LOW(0)USER("uid=AdminNmc, or=Administrators, or=Administration, y=Alcatel,
y=Directoryroot")
Les objets soumis à un profil particulier sont stockés sous la branche 8770Ap-
plications\Configuration.

Taxation En plus du niveau d’accès, les branches de l’organisation peuvent être sécuri-
sées en gérant un domaine de visibilité.

Procédure de gestion des niveaux d’accès


1. Créez un identifiant utilisateur :
a. Démarrez l'application OmniVista 8770 à l'aide de l'administrateur AdminNmc.
b. Ouvrez l'application Sécurité.
c. Développer l'arborescence comme suit : . nmc > 8770Administration >
Administrators
d. Accédez au menu contextuel et sélectionnez Create > Administrator
e. Renseignez les attributs Last Name et Password.
2. Attribuez un droit d’accès (par exemple sur l’application Rapport) :
a. Développer l'arborescence comme suit : . nmc > 8770application > Reports
Note :
Il existe déjà un utilisateur AdminNmc et divers groupes qui disposent de droits vis-à-vis de cette
application.
b. Cliquez sur le bouton Create a new record et utilisez le navigateur pour ajouter l'identifiant
défini ci-dessus.
c. Changez le niveau d'accès.
d. Tester une connexion avec ce login.
Procédure de gestion des groupes prédéfinis
1. Créez un identifiant utilisateur :
a. Démarrez l'application OmniVista 8770 à l'aide de l'administrateur AdminNmc.
b. Ouvrez l'application Sécurité.
c. Développer l'arborescence comme suit : . nmc > 8770Administration >
Administrators
d. Accédez au menu contextuel et sélectionnez Create > Administrator
e. Renseignez les attributs Last Name et Password.
2. Attribuez un droit d’accès (par exemple au niveau de l’application Taxation) :
a. Sélectionnez le groupe Experts taxation sous nmc > 8770Administration > Groupes.
b. Modifier l’attribut membre.
c. Ajoutez le login défini ci-dessus.

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 59/67


Chapitre 7 Sécurisation des données OmniVista 8770

7.3.2 Confidentialité des données d’annuaire


Le serveur OmniVista 8770 permet l’accès à des données de type annuaire via son interface Web.
Pour accéder au mode modification ou visualiser des données privées, l'utilisateur doit s'identifier au
moyen de l’icône Authentification. L’authentification est valable jusqu’à ce que les fenêtres du
navigateur Web soient toutes fermées.
Afin de garantir la confidentialité des données de l’annuaire de l'OmniVista 8770, il est donc
recommandé :
• De personnaliser la présentation graphique de l’annuaire Web afin de sélectionner les données
affichées et éditables dans l’annuaire Web.
• D'attribuer aux utilisateurs potentiels des droits d'accès aux entrées d'annuaire et à leurs attributs :
pour cela, il existe des groupes et des niveaux d'accès prédéfinis dans l'annuaire OmniVista 8770.
• De gérer les instructions de contrôle d’accès (ACI) du serveur LDAP OmniVista 8770 :
l’accès aux entrées d’annuaire et à leurs attributs est soumis à des règles de confidentialité définies
au niveau du serveur LDAP. Ces règles, appelées « Instruction de Contrôle d’Accès »
(ACI), prédéfinies dans l’annuaire de l'OmniVista 8770, peuvent être modifiées.

7.3.2.1 Personnalisation de l’interface utilisateur


Le processus de personnalisation est décrit à la section 12, Annuaire de l'entreprise, du manuel de
l'administrateur OmniVista 8770.
La personnalisation de l’interface concerne :
• Les images utilisées dans la page HTML.
• Les champs :
• affichés dans la présentation des entrées d’annuaire sous forme de grille ;
• imprimés après la sélection d’une grille ;
• affichés dans la présentation des entrées d’annuaire sous forme de fiche ;
• affichés dans la présentation d'une entrée d'annuaire modifiable ;
• Le nombre d’entrées :
• présenté dans une grille ;
• renvoyé suite à une recherche d’annuaire.
La présentation graphique de l’interface annuaire Web est unique et s’applique à tous les utilisateurs.
Si l’utilisateur n’a pas accès à un champ, le label du champ sera visible mais la valeur du champ sera
masquée.
Le choix des paramètres affichés n’apporte pas de confidentialité sur les champs non présentés. Au
niveau de chaque entrée, l’icône en forme de Loupe permet d’accéder à tous les attributs.
Pour personnaliser l’interface :
1. Lancer la gestion de l'OmniVista 8770.
2. Ouvrir l'application 8770 Administration.
3. Développer l'arborescence comme suit : nmc > Application Configuration >
Application Settings > Directory client
4. Modifier les paramètres.
5. Rafraîchir la page Web de consultation de l’annuaire.
Note :
Cette personnalisation est mise en cache dans le répertoire 8770\WebClient\Preference\. En cas de
restauration d’une version ou de mise à jour, effacer le contenu de ce répertoire pour réinitialiser le cache. La
prochaine connexion par un client annuaire recrée ce cache automatiquement.

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 60/67


Chapitre 7 Sécurisation des données OmniVista 8770

7.3.2.2 Attribution des droits d’accès aux données d’annuaire


L’accès aux entrées annuaires est contrôlé pour chaque entrée par :
• son attribut de confidentialité (Vert, Orange, Rouge et Administration 8770) ;
• des attributs privés/publics
• le mode d'accès : lecture seule ou lecture + modification.
Un accès anonyme permet de lancer l’annuaire Web et de lire les attributs publics de toutes les
entrées de confidentialité définies sur Non renseignéet Vert.
Pour accéder aux autres types d'entrées d'annuaire, aux attributs privés et à la modification des
entrées, une authentification (login et mot de passe) est requise et l’attribution d’un droit dans
l'annuaire OmniVista 8770.
Procédure: pour attribuer un droit de consultation à un utilisateur de l’annuaire OmniVista 8770, suivez
la procédure ci-dessous :
1. Créez un identifiant utilisateur :
a. Démarrez l'application OmniVista 8770 à l'aide de l'administrateur AdminNmc.
b. Ouvrez l'application Sécurité.
c. Développer l'arborescence comme suit : nmc > 8770Administration > Administrators
d. Accédez au menu contextuel et sélectionnez Create > Administrator
e. Renseignez les attributs Last Name et Password.
f. Sélectionnez un groupe de consultation, Lecture partielle de la liste orange, par exemple,
sous nmc > 8770Administration > Groupes.
g. Modifiez l’attribut Members.
h. Ajoutez le login défini ci-dessus.
La section 14 (Sécurité) du manuel d'administration de l'OmniVista 8770 traite des groupes prédéfinis
et des droits associés.
Une gestion équivalente au groupe prédéfini de l’annuaire entreprise consiste à utiliser les niveaux
d’accès prédéfinis de l’annuaire.
1. Dans l'application Sécurité de l'OmniVista 8770, développer l'arborescence de la manière suivante :
nmc > 8770Applications > CompanyDirectory
Note :
Le groupe Lecture partielle de la liste orange possède déjà le niveau d’accès Partial read orange list.
2. Ajoutez le login défini ci-dessus.
3. Passez le niveau d’accès à Partial read orange list.
Note :
Quelle que soit la méthode, l’attribution d’un droit annuaire permet également de lancer le client d’administration
Annuaire.

7.3.2.3 Administration des ACI du serveur LDAP


• Description des ACI
Les instructions de contrôle d’accès (ACI) du serveur LDAP sont définies au niveau d’une branche
de l’annuaire. Sont compris les éléments suivants :

Eléments Champ ACI Explication

ACI Name ACI Nom de la règle

User/Groups Userdn Liste des logins et groupes pouvant exploiter la règle

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 61/67


Chapitre 7 Sécurisation des données OmniVista 8770

Right Allow Droits octroyés par la règle : lecture, écriture, etc.

Target targetattr Attributs qui seront visibles

Target targetfilter Critère pour rechercher les entrées annuaires qui seront
visibles

Syntax != Différent de ...

Syntax || logique OU...

Par exemple, la règle « Anonymous1 », décrite ci-dessous, définit la consultation anonyme, c’est-à-
dire la lecture seule pour les champs publics des entrées d’annuaire non confidentielles.

(targetattr != "homePhone || homePostalAddress || carLicense || employeeNumber || costcenter-


Name || userPassword")
(targetfilter != (|(cl=CL_O)(cl=CL_R)(cl=CL_A)))
(version 3.0; ACI "Anonymous 1"; allow (read,compare,search)
(userdn = "ldap :///anyone") ;)
• Gestion des ACI
Une gestion personnalisée des ACI peut être réalisée pour :
• limiter les champs visibles lors d’une connexion anonyme ;
• modifier le mode d’accès (lecture, écriture) des attributs, etc.
L’exemple ci-dessous décrit la procédure à suivre pour modifier la règle « Anonymous1 ».
Objectif de la modification : interdire l’accès au champ Mobile en consultation anonyme.
Procédure :
1. Lancer la console d’administration du serveur LDAP.
• Login: admin (cn=directory manager)
• Password : celui saisi à l’installation de l'OmniVista 8770.
2. Ouvrir l'arborescence jusqu’à Serveur d'annuaire OmniVista 8770et cliquer sur Ouvrir.
3. Au niveau de l’onglet Directory dans l’arbre, accéder à l’entrée o=Nom de la racine
Annuaire entreprise.
Les règles d’accès sont indiquées (exemple 13 acis).
4. Afficher l’éditeur des règles d’accès pour la règle Anonyme.
Par le menu Objet\Set Access Permission :
• Sélectionner la règle Anonymous1.
• Cliquer sur Modifier.
5. En édition manuelle, pour rendre Mobile non visible
• Insérer Mobile || après TargetAttr != pour obtenir TargetAttr != Mobile ||
HomePhone ....
• Valider la modification en sélectionnant OK.
6. Tester votre modification en login anonyme (c’est-à-dire en mode non connecté) :
• Via le Web, effectuer une recherche d’entrée d’annuaire.

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 62/67


Chapitre 7 Sécurisation des données OmniVista 8770

• Sur la fiche, la valeur du champ Mobile ne s’affiche plus.

7.3.3 Confidentialité des données de taxation et d’observation de trafic


Outre la définition de niveaux d’accès, il est recommandé de gérer des domaines de visibilité de
l’organisation de la taxation et de définir des profils de masquage. Ceci permet de renforcer la
confidentialité des données de taxation et d’observation du trafic, accessibles depuis les interfaces des
applications Taxation/Trafic et Rapports.
La mise en œuvre des domaines de visibilité de l'organisation de taxation est décrite à la section 14
(Sécurité) du manuel d'administration de l'OmniVista 8770.
La gestion des profils de masquage et leur utilisation est décrite à la section 9 (Taxation/trafic) du
manuel d'administration de l'OmniVista 8770.

7.4 Procédure de changement des mots de passe


Au cours de l’installation de l'OmniVista 8770, quatre mots de passe sont configurés :
• Admin pour le responsable DSEE
• Directory Manager pour le responsable DSEE
• AdminNmc pour l’administrateur de l'OmniVista 8770
• AdminNmc pour la console d'administrateur Wildfly
• DBA pour le compte d'accès à la base de données.
• Gestionnaire de duplication utilisé par LDAP pour les opérations de duplication
Afin de renforcer la sécurité d’accès aux données du serveur OmniVista 8770 et la confidentialité de
ces données, il est recommandé de :
• Ne pas utiliser AdminNmc après la gestion générale de l'OmniVista 8770. Créer d’autres comptes
administrateur ou gestionnaire afin de conserver les préférences des différents utilisateurs, et
conserver toujours un compte superviseur en cas de perte du mot de passe.
• Compte tenu de l’utilité des comptes d’administration, changer régulièrement leurs mots de passe
respectifs et les conserver en mémoire.
Procédure de mise à jour des mots de passe du compte d'administration des bases de données
(DSEE), AdminNMc et du gestionnaire de duplication.
1. Dans le répertoire 8770\bin, double-cliquez sur l'icône ToolsOmniVista.exe et saisissez le
mot de passe du gestionnaire de l'annuaire configuré lors de l'installation du serveur OmniVista
8770.
La fenêtre suivante apparaît.

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 63/67


Chapitre 7 Sécurisation des données OmniVista 8770

Figure 7.3 : Fenêtre ToolsOmniVista.exe

2. Sélectionnez : 1 : Mise à jour du mot de passe


3. Sélectionnez le mot de passe à mettre à jour (choix 1 à 7).
4. Saisissez le nouveau mot de passe deux fois.
5. Sélectionnez 0 pour quitter.
Attention :
Dans le cas de sauvegardes programmées avec d’anciens mots de passe, celles-ci ne seront pas
effectuées. Reprogrammer les sauvegardes en utilisant le nouveau mot de passe.
Note :
Après que le mot de passe du gestionnaire de duplication de l'esclave a été modifié, tous les contrats de
duplication de l'OmniVista 8770 doivent être mis à jour.

7.5 Sécuriser l’accès à l’annuaire LDAP par des applications externes


Des applications externes, telles que l’application Alcatel-Lucent 4059, le débordement LDAP pour
l’annuaire du serveur de communication ou des outils de duplication LDAP peuvent se connecter à
l’annuaire LDAP de l'OmniVista 8770.
Afin de sécuriser ces accès externes, il est fortement recommandé de :
• Activer IPsec sur le serveur OmniVista 8770 (voir Déploiement du protocole IPSec dans une
configuration serveur-clients distants à la page 54).

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 64/67


Chapitre 7 Sécurisation des données OmniVista 8770

• Activer IPsec sur les machines hébergeant les applications externes.

7.6 Autres recommandations


Afin de renforcer la sécurité du système hébergeant le serveur OmniVista 8770, il est recommandé de :
• désactiver les comptes Windows inutilisés ;
• désactiver les services Windows inutiles (voir le descriptif des services dans la section Trafic IP sur
serveur) ;
• désactiver la mise à jour automatique de Windows (AutomaticUpdates) ;
• utiliser un serveur dédié pour télécharger les patches de sécurité de Windows (fournis par
Microsoft), puis les déployer sur le système hébergeant le serveur OmniVista 8770 ;
• protéger l'accès au répertoire du serveur 8770\bin : ce répertoire contient les outils de connexion
aux bases du serveur OmniVista 8770 ;
• protéger l'accès au répertoire du serveur OmniVista 8770 8770\log : ce répertoire peut contenir
les données de connexion du serveur (identifiant et mot de passe) ;
• activer le pare-feu Windows, et ne sélectionner que les exceptions utiles au fonctionnement en
réseau du serveur OmniVista 8770 (suivant les fonctionnalités exploitées sur le site client).

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 65/67


Chapitre

8 Comment rapporter une


vulnérabilité ?

8.1 Site Web de l'équipe de résolution des incidents de sécurité pour les
produits Alcatel-Lucent
La page d'accueil de ce site Web se trouve à l'adresse suivante : https://www.al-enterprise.com/en/
support/security-advisories.

Figure 8.1 : Page d'accueil de l'équipe de résolution des incidents de sécurité pour les produits Alcatel-
Lucent (ALPSIRT)

8.2 Rapporter une vulnérabilité


N'importe qui peut rapporter une vulnérabilité de sécurité identifiée dans tout produit du portefeuille
Alcatel-Lucent. La page d'accueil ALPSIRT affiche la procédure à suivre.

8.3 Rapporter une vulnérabilité (Business Partner)


Les partenaires commerciaux peuvent signaler une faille de sécurité en ouvrant une demande de
service électronique par l'intermédiaire du site Web Business Partner, à l'adresse : https://
businessportal2.alcatel-lucent.com/

8.4 Politique de divulgation des vulnérabilités au public


La politique d'Alcatel-Lucent concernant la divulgation des vulnérabilités au public est publiée sur le
site ALPSIRT, à la page Politique de gestion des vulnérabilités, accessible dans le menu gauche.

8.5 Divulgation des vulnérabilités au public


Les vulnérabilités des produits sont publiées sur le site web ALPSIRT, à la page Déclarations de
sécurité accessible dans le menu gauche.
N'importe qui peut s'abonner à une liste de diffusion (voir page Liste de diffusion) pour être informé par
message électronique de la publication d'un bulletin de vulnérabilité.
Le CERT-IST peut également émettre une mise en garde à l'adresse http://www.cert-ist.com, mais ce
service nécessite de s'abonner.

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 66/67


Chapitre 8 Comment rapporter une vulnérabilité ?

Dans tous les cas, il est recommandé aux clients ALE International de passer par leur Business
Partner.

8AL90705FRAJ - Ed. 01 - Février 2020 - Guide de Sécurité 67/67

Vous aimerez peut-être aussi