Alcatel-Lucent OmniVista 4760 Network Management System Guide de Sécurité Alcatel-Lucent OmniVista 4760 Network Management System All Rights Reserved © Alcatel-Lucent 2010
Alcatel-Lucent OmniVista 4760Network Management System
Guide de Scurit
Alcatel-Lucent OmniVista 4760 Network Management SystemAll Rights Reserved Alcatel-Lucent 2010
Informations lgales :
Alcatel, Lucent, Alcatel-Lucent et le logo Alcatel-Lucent sont des marquesdAlcatel-Lucent. Toutes les autres marques appartiennent leurspropritaires respectifs.
Les informations prsentes sont sujettes modification sans pravis.Alcatel-Lucent ne peut tre tenu pour responsable de linexactitude de cesinformations.
Copyright 2010 Alcatel-Lucent. Tous droits rservs.
Le marquage CE indique que ce produit est conforme aux directivescommunautaires suivantes :- 2004/108/EC (Compatibilit lectromagntique)- 2006/95/EC (Scurit Basse Tension)- 1999/5/EC (R&TTE)
Chapitre 1Introduction
Chapitre 2Procdure recommande pour le dploiement dune solution
OmniVista 4760 en environnement scuris
??? Choix et configuration du systme dexploitation ..................... 2.1??? Dfinition de lenvironnement rseau ............................................. 2.1??? Scurisation des donnes PCX ......................................................... 2.3??? Scurisation des donnes de l'OmniVista 4760 .......................... 2.3??? Bonnes pratiques en cas de dtection dune faille de scurit
........................................................................................................................ 2.3
Chapitre 3Dploiement d'OmniVista 4760 dans un environnement Windows scuris
??? Gnralits ............................................................................................... 3.1??? Compatibilit avec le systme dexploitation .............................. 3.1????? Gnralits .................................................................................................... 3.1
????????????? ?? ????????
???????????? ? ????? ? ???????? ???? ? ????? ?? ???????? 0-1
????? Type de matriel ............................................................................................ 3.1????? Systme dexploitation et Service Pack ......................................................... 3.2????? Personnalisation de Windows (suppression de services et de fichiers) ........ 3.2????? mulation Windows : VM-Ware, MS Virtual Server 2005 .............................. 3.3????? Services constructeur .................................................................................... 3.3????? Carte mre ..................................................................................................... 3.3??? Compatibilit et utilisation des services Windows .................... 3.4????? Au cours de linstallation / mise jour ........................................................... 3.4????? En cours de fonctionnement .......................................................................... 3.5??? Outils de scurit ................................................................................... 3.9????? Compatibilit avec les logiciels antivirus ....................................................... 3.9????? Compatibilit avec le pare-Feu Windows .....................................................3.10????? Compatibilit avec un proxy .........................................................................3.13????? Renforcement de la scurit avec SynAttackProtect ...................................3.13????? Renforcement de la scurit avec DEP ........................................................3.14??? Compatibilit avec les applications externes .............................3.14????? tude de compatibilit ..................................................................................3.14????? Compatibilit en termes de performances ....................................................3.15????? Fichiers dll ....................................................................................................3.15????? Java Run Time .............................................................................................3.15????? Ports et Services IP ......................................................................................3.16????? Compatibilit avec les outils de sauvegarde PC ..........................................3.16????? Compatibilit avec les outils de connexion distance .................................3.16????? Compatibilits avec d'autres applications AlcatelLucent ..........................3.17??? Gestion de comptes Windows utiliss par le serveur
OmniVista 4760 ......................................................................................3.18????? Compte pour installation ...............................................................................3.18????? Compte utiliser pour le lancement dun client OmniVista 4760 .................3.18????? Oprations de maintenance avec ressources rseau ..................................3.18????? Planification de lexportation ou de limpression de rapports ........................3.23????? Archivage et restauration des fichiers de taxation ........................................3.24????? Collecteur de fichiers de taxation .................................................................3.25????? Rception dalarmes urgentes de lOmniPCX Office ....................................3.26??? Gestion du partage de rpertoires ..................................................3.26????? Gestion de lOmniPCX Office .......................................................................3.26????? Partage de OmniVista 4760_ARC ................................................................3.27
????? ?? ????????
0-2 ???????????? ? ????? ? ???????? ???? ? ????? ?? ????????
????? Autres partages ............................................................................................3.28??? Envoi de message lectronique (e-mails) ....................................3.28
Chapitre 4Dploiement dOmniVista 4760 dans une configuration rseau scurise
??? Trafic IP sur serveur OmniVista 4760 ............................................. 4.1??? Trafic IP sur client OmniVista 4760 .................................................. 4.6??? Trafic IP sur OmniPCX Enterprise pour la gestion de
l'OmniVista 4760 ..................................................................................... 4.6??? Trafic IP sur l'OmniPCX Office pour la gestion de l'OmniVista
4760 ............................................................................................................. 4.7??? Trafic IP sur un hyperviseur ............................................................... 4.8??? Trafic IP sur un 4059 ............................................................................. 4.9??? Fonctionnement de l'OmniVista 4760 sur un rseau VPN/NAT
........................................................................................................................ 4.9
????? PRSENTATION ........................................................................................... 4.9????? Protocole VPN/NAT ....................................................................................... 4.9????? Accs du client OmniVista 4760 au serveur via NAT ...................................4.10????? Accs du serveur OmniVista 4760 l'Alcatel-Lucent OmniPCX Enterprise
Communication Server via NAT ...................................................................4.12????? Accs du serveur OmniVista 4760 l'OmniPCX Office via NAT .................4.12????? Accs du serveur OmniVista 4760 au client d'annuaire Web 4059 via NAT 4.12????? Dpannage du transfert FTP ........................................................................4.12
Chapitre 5Scurisation des donnes PCX en cas de gestion par un serveur
OmniVista 4760
??? Alcatel-Lucent OmniPCX Enterprise CS ........................................ 5.1????? Mise en uvre de Connexion SSH ............................................................... 5.1
????? ?? ????????
???????????? ? ????? ? ???????? ???? ? ????? ?? ???????? 0-3
????? Scurisation de l'accs l'Alcatel-Lucent OmniPCX Enterprise CS ............. 5.4??? OmniPCX Office ...................................................................................... 5.5????? Configuration ................................................................................................ 5.5????? Synchronisation des donnes OmniPCX Office ............................................ 5.5????? Accs Internet ................................................................................................ 5.5
Chapitre 6Scurisation des donnes OmniVista 4760
??? Configuration autonome ...................................................................... 6.1??? Dploiement du protocole IPSec dans une configuration
serveur-clients distants ....................................................................... 6.1????? Configuration requise .................................................................................... 6.1????? Implmentation .............................................................................................. 6.1????? Restriction ...................................................................................................... 6.2????? Configuration ................................................................................................ 6.2??? Scurit daccs aux applications OmniVista 4760 ................... 6.7????? Application Scurit ....................................................................................... 6.7????? Confidentialit des donnes dannuaire ........................................................ 6.9????? Confidentialit des donnes de taxation et dobservation de trafic ..............6.12??? Procdure de changement des mots de passe ..........................6.12??? Scurisation des notifications dalarmes urgentes OmniPCX
Office .........................................................................................................6.14??? Scuriser laccs lannuaire LDAP par des applications
externes. ...................................................................................................6.14??? Autres Recommandations .................................................................6.14
????? ?? ????????
0-4 ???????????? ? ????? ? ???????? ???? ? ????? ?? ????????
Ce guide de scurit a pour objectif de fournir aux administrateurs de l'Alcatel-LucentOmniVista 4760 Network Management System (dsign par OmniVista 4760 dans cedocument) les informations ncessaires la prise en compte des lments de scurit lors dudploiement ainsi que les mthodes appliquer pour scuriser ce systme de gestion desOmniPCX Alcatel-Lucent.La section 2 prsente la procdure suivre pour dployer l'OmniVista 4760 dans unenvironnement contenant des lments de scurit et pour renforcer la scurit de la gestiond'OmniPCX par lintermdiaire de l'OmniVista 4760.Les informations et procdures requises pour chacune de ces tapes sont dtailles dans lessections suivantes :- Les sections 3 et 4 fournissent les recommandations et informations prendre en compte
avant d'intgrer l'OmniVista 4760 dans un environnement scuris (au niveau du systmed'exploitation ou du rseau), ainsi que les procdures appliquer pour que certainesapplications de l'OmniVista 4760 fonctionnent avec les ressources rseau.
- Les sections 5 et 6 indiquent les moyens mettre en uvre pour renforcer la scurit desdonnes collectes ou gres par l'OmniVista 4760.
La section 7 indique l'URL de l'quipe de rsolution des incidents de scurit pour les produitsAlcatel-Lucent et comment rapporter une vulnrabilit de scurit.
????????
? ????????????
???????????? ? ????? ? ???????? ???? ? ????? ?? ???????? 1-1
Chapitre 1 ????????????
1-2 ???????????? ? ????? ? ???????? ???? ? ????? ?? ????????
2.1 Choix et configuration du systme dexploitationRecommandations :- Serveur OmniVista 4760 :
Windows 2003 SP2 recommand Profil de scurit recommand : serveur membre. Pare-feu : activ, accepter les exceptions concernant les programmes utiliss par le
serveur OmniVista 4760.- Client OmniVista 4760 :
Windows XP SP3 recommand Pare-feu : activ, accepter les exceptions concernant les programmes utiliss par le
client OmniVista 4760.- Mise jour avec Windows Update :
Uniquement pour patch de scurit.Installer les hotfixes de scurit de Windows. Lors de linstallation, il est ncessaire deslectionner les options permettant ensuite de dsinstaller tout hotfix ou service pack deWindows. Antivirus : activer et assurer la mise jour dun systme antivirus sur les ordinateurs
hbergeant les applications OmniVista 4760 (client ou serveur).- Mise en oeuvre:
Voir module Scurit - Deploying the OmniVista 4760 in a Secure WindowsEnvironment pour le dploiement de lapplication OmniVista 4760 dans unenvironnement Windows scuris.
La mise en place de profils de scurit Windows a pour effet darrter certains servicessystme ; il faut donc sassurer que les services ncessaires linstallation et aufonctionnement du serveur OmniVista 4760 sont dmarrs.
2.2 Dfinition de lenvironnement rseauNote :Ce guide de scurit prsente les solutions mettre en uvre en cas de connectivit ethernet entre lesquipements OmniPCX et OmniVista 4760.
Dans le cas dune autre connectivit (PPP), les mmes recommandations et procdurespourront tre appliques mais des protocoles et services supplmentaires devront treactivs. Il est par ailleurs possible dajouter un niveau dauthentification supplmentaire en casdactivation du protocole PPP.Recommandations :
????????
? ????????? ??????????? ???? ????????????? ????? ???????? ???
???????????? ? ????? ? ???????? ???? ? ????? ?? ???????? 2-1
Figure 2.1 : Exemple de dploiement sur un rseau priv client (intranet)Les clients OmniVista 4760 distants sont facultatifs. Ninstaller que les clients utiles.La configuration autonome (client local au serveur) rduit le risque dattaque contre le serveurOmniVista 4760.Pour renforcer la scurit du serveur OmniVista 4760 :- Installer le serveur dans le mme sous-rseau que les PCX.- Lancer les applications OmniVista 4760 partir de clients OmniVista 4760 connects au
serveur via un tunnel Ipsec.Choix de limplmentation dans des domaines Windows :Le serveur OmniVista 4760 et ses clients distants peuvent tre configurs dans un groupe detravail (les clients doivent tre dans le mme groupe de travail que le serveur) et non dans desdomaines Windows.Ceci facilite la configuration du serveur (et de ses services) et permet dviter les impacts desmodifications de droits de scurit des domaines du rseau. Mais, dans ce contexte, leserveur ne pourra pas utiliser les ressources situes hors de ce Workgroup (imprimante,disques de sauvegardes ...etc).Lorsque le serveur OmniVista 4760 et ses clients distants sont configurs dans un domaineWindows, suivre les recommandations des sections 3.5 et 3.6 pour ouvrir laccs auxressources rseau tout en conservant un bon niveau de scurit.Mise en oeuvre:Se reporter la section module Scurit - Deploying the OmniVista 4760 in a Secure NetworkConfiguration pour le dploiement de lapplication OmniVista 4760 dans un environnementrseau contenant des lments de scurit.
Chapitre 2 ????????? ??????????? ???? ?? ??????????? ????????????? ????????? ???? ?? ????????????? ????????
2-2 ???????????? ? ????? ? ???????? ???? ? ????? ?? ????????
2.3 Scurisation des donnes PCX- Recommandations :
OmniPCX Enterprise : dployer la scurit SSH (disponible uniquement pour lesOXE>= 6.0) et le controle daccs
OmniPCX Office : suivre les recommandations de scurit fournies par le supporttechnique dOmniPCX Office.
- Mise en oeuvre: Voir module Scurit - How to Secure the OmniVista 4760 Data? pour renforcer la
scurit des donnes dun OmniPCX Alcatel-Lucent en cas de gestion distance parun serveur OmniVista 4760.
Se reporter aux notices de scurit respectives des systmes OmniPCX.
2.4 Scurisation des donnes de l'OmniVista 4760- Recommandations :
Mettre en uvre les outils de scurit des applications OmniVista 4760 (voir section 6) : Dployer Ipsec dans une configuration serveur- clients distants Mettre en uvre la scurit daccs aux applications OmniVista 4760 Procder de faon rgulire aux changements de mots de passe Scuriser laccs lannuaire LDAP par des applications externes Suivre les recommandations de scurit de Microsoft lorsquelles sont compatibles
avec le fonctionnement des applications OmniVista 4760.- Mise en oeuvre:
Voir module Scurit - How to Secure the OmniVista 4760 Data? pour renforcer la scuritdes donnes dun OmniVista 4760.
2.5 Bonnes pratiques en cas de dtection dune faille de scurit- La faille concerne un composant Microsoft :
Installer les hotfixes de scurit de Windows correspondant la faille.- La faille de scurit concerne un composant utilis par l'OmniVista 4760 :
Programmer une sauvegarde rgulire du serveur OmniVista 4760. Contacter le service Support Technique d'Alcatel-Lucent pour signaler cette faille de
scurit. Installer, ds sa sortie, la version de l'OmniVista 4760 implmentant le correctif de
scurit.- La faille de scurit concerne une application externe l'OmniVista 4760 :
Programmer une sauvegarde rgulire du serveur OmniVista 4760.Contacter le fournisseur de lapplication externe concerne et suivre ses recommandationsde scurit. Si ces dernires savrent incompatibles avec les recommandations descurit dcrites dans ce guide, contacter le service Support Technique d'Alcatel-Lucent.
????????? ??????????? ???? ?? ??????????? ????? ???????? ????????? ???? ??????????????? ????????
???????????? ? ????? ? ???????? ???? ? ????? ?? ???????? 2-3
Chapitre 2 ????????? ??????????? ???? ?? ??????????? ????????????? ????????? ???? ?? ????????????? ????????
2-4 ???????????? ? ????? ? ???????? ???? ? ????? ?? ????????
Objectif de ce chapitre : fournir les procdures et paramtrages appliquer pour dployer etutiliser l'OmniVista 4760 dans un environnement Windows scuris (systme dexploitationscuris par des lments et mthodes de scurit).
3.1 GnralitsLe dploiement de l'OmniVista 4760 dans un environnement Windows requiert les conditionssuivantes :- Compatibilit entre l'OmniVista 4760 et le systme d'exploitation.- Activation des services Windows requis pour linstallation et le fonctionnement de
l'OmniVista 4760, et dsactivation des services gnant linstallation ou le fonctionnementde l'OmniVista 4760.
- Compatibilit entre l'OmniVista 4760 et les outils de scurit installs danslenvironnement Windows.
- Compatibilit entre l'OmniVista 4760 et les autres applications externes installes dans lemme environnement.
- Configuration de comptes Windows et de ressources rseau pour un fonctionnementscuris.
3.2 Compatibilit avec le systme dexploitation
3.2.1 GnralitsLa compatibilit entre l'OmniVista 4760 et un systme dexploitation inclut les conditionssuivantes :- Compatibilit avec le matriel- Compatibilit avec le Systme dexploitation- Compatibilit avec les services packs installs- Compatibilit avec le type dinstallation du systme dexploitation- Compatibilit avec la personnalisation (ou le paramtrage spcifique) du systme
dexploitation installIl importe donc de se conformer aux prrequis du manuel dinstallation de l'OmniVista 4760,ainsi quaux procdures dinstallation et de dsinstallation de l'OmniVista 4760.
3.2.2 Type de matrielCertains fabricants de PC peuvent spcifier le type de systme dexploitation. Par consquent,avant mme denvisager la compatibilit de l'OmniVista 4760, s'assurer que le matriel peutprendre en charge le systme dexploitation choisi.- ExempleLe serveur HP/Compaq ML370 ne prend pas en charge les systmes d'exploitation de postede travail ou professionnels. Seul un systme d'exploitation serveur peut tre utilis (Windows
????????
? ??????????? ??????????? ???????? ?? ????????????? ????
???????????? ? ????? ? ???????? ???? ? ????? ?? ???????? 3-1
XP Professionnel, Windows 2003, Vista, etc.). Sur certains PC, en particulier le HP ML370G4,l'installation du Service Pack 1 pour Windows 2003 Server ncessite la mise jour du Bios etde certains pilotes.
3.2.3 Systme dexploitation et Service Pack- Compatibilit
Le tableau ci-aprs indique les versions de Windows et les Service Packs pris en chargepar la version R5.1.1 de lapplication OmniVista 4760.
tableau 3.1 : Configuration requisePetite capacit Moyenne capacit Grande capacit
Capacit d'abonns 5 000 abonns
Systme d'exploitation Windows XP Professionnel (Service Pack 3)Windows 2003 Serveur Standard Edition(Service Pack 2 minimum obligatoire)Windows Vista
Windows 2003 Ser-veur Standard Edition(Service Pack 2 mini-mum obligatoire)
Navigateur Internet Mozilla FireFox 2.0Internet Explorer version 7.0
- Incompatibilits connues :Les fonctions de contrleur de domaine, de serveur Web et de serveur FTP livres avec lesystme dexploitation ne doivent pas tre installes.
3.2.4 Personnalisation de Windows (suppression de services et de fichiers) compter de la version R5.1.1, les services Telephony et Remote Access Connectionmanager ne sont requis que pour la connexion PPP.Pour des raisons de scurit, il faut dsactiver le service Remote Access Connection managerlorsque la connexion PPP n'est pas utilise.La dsactivation du service Remote Access Connection manager arrte le serviceNMC Comserver.
Pour vous assurer que le service NMC Comserver est arrt, modifiez le fichierNMComserver.log. L'indication No modem indique que le service NMC Comserver estarrt.Pendant l'accs la configuration PCX, le message suivant s'affiche : No URL Schemespecified.
La dsactivation du service Server interdit lutilisation des partages Windows. En particulier,ceux situs sous 4760_arc ne seront plus visibles, ce qui empchera l'installation del'OmniVista 4760 pendant la phase : Launch svShareName.La solution dans ce cas consiste relancer le service Server.Par dfaut, sous Windows, chaque fichier possde un nom long et un nom court (exemple :C:\program file et C:\program~1). Ce comportement de Windows ne doit pas tremodifi. En effet, la suppression des noms de fichier courts empcherait laccs la base dedonnes Sybase pendant linstallation et donc empcherait linstallation du serveur OmniVista4760.
Exemple :
Chapitre 3 ??????????? ??????????? ???? ???? ?? ???????????????????? ????????
3-2 ???????????? ? ????? ? ???????? ???? ? ????? ?? ????????
Sybase est install sous C:\program files\Sybase\SQL Anywhere 9.
- Si les noms courts sont autoriss, l'OmniVista 4760 peut accder C:\progra~1\SQLany~1\win32\dbisql.
- Dans le cas contraire, l'OmniVista 4760 tente d'utiliser C:\programfiles\Sybase\SQL Anywhere 9\win32\dbisql, ce qui gnre une erreur dans lefichier _4760_log_Setup\batch\dbsiql.log.
Procdure pour activer la cration des noms courts :1. Cliquer sur Dmarrer puis Excuter, puis saisir regedit et valider.2. Dans le registre Windows, localisez la cl suivante
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem.3. Modifiez la valeur DWORD de la faon suivante : NtfsDisable8dot3NameCreation =
0.
3.2.5 mulation Windows : VM-Ware, MS Virtual Server 2005VM-Ware et MS Virtual Server permettent de dmarrer des machines virtuelles. Ainsi,plusieurs systmes d'exploitation peuvent s'excuter simultanment sur un seul serveurphysique.Le serveur OmniVista 4760 est compatible avec la plate-forme Vmware partir de la versionR5.1.1. Cependant, MS Virtual Server n'est toujours pas pris en charge, en particulier dans unenvironnement de production : il n'existe pas de tests de performance, ni de validation.Dans le cadre de l'OmniVista 4760, de tels outils ne pourront tre mis en uvre que pour destests d'interface ou pour des captures dcran destines la documentation.
3.2.6 Services constructeurLes fabricants de PC fournissent des outils permettant d'administrer une base de PC installe.Ces outils peuvent utiliser des services ou des fichiers dll incompatibles dj prsents dansl'application OmniVista 4760.- Exemple de problmes connus :
Les serveurs de la gamme Compaq/HP sont livrs avec les services Compaq/AgentFoundation. Ces services sappuient sur le service Windows SNMP. Si ce service SNMPest dmarr, linstallation choue.Les serveurs DELL sont livrs avec le service DELL open management qui sappuie surune ancienne version du fichier dll de notification, JTC1012.dll. Lorsque cette DLL estcharge avant celle de l'OmniVista 4760, les notifications ne sont plus prises en compte :dsinstallez l'utilitaire et vrifiez le chemin de Windows.
3.2.7 Carte mreLe serveur OmniVista 4760 doit pouvoir arrter, dsinstaller et rinstaller ses propres servicesNMC. Sur certains PC, le mode darrt et de redmarrage des services peut tre modifi.Cette modification empche le redmarrage du serveur OmniVista 4760.- Exemple de dysfonctionnement : arrt du PC - correction :
Un arrt Windows envoie un signal vers les services pour leur demander de s'arrter. Si cesignal ne peut pas tre mis/intercept temps, le PC risque de redmarrer avec un tattransitoire: service en cours de suppression. Il faudra un second arrt du PC pour
??????????? ??????????? ???? ???? ?? ????????????? ??????? ????????
???????????? ? ????? ? ???????? ???? ? ????? ?? ???????? 3-3
rellement supprimer ces services.Le problme apparat sur un PC Intel (fourni par PERTEC) lorsqu'il est quip de cartemre S815EBM1. Cette carte mre quipe les PC avec la rfrence : NEXPCS815E,NEX1120C.Arrter le service NMC service manager avant l'arrt du PC : Ecrire un script Stop.bat contenant la ligne net stop NMC Service Manager Forcer Windows excuter le script l'arrt du PC :
Ouvrir le composant Stratgie de groupe en lanantC:\WINNT\SYSTEM32\gpedit.msc
Slectionner Configuration ordinateur -> Paramtre Windows ->Scripts (dmarrage/arrt) -> Arrter le systme.
Ajouter le fichier Stop.bat.
3.3 Compatibilit et utilisation des services Windows
3.3.1 Au cours de linstallation / mise jour- Installation du serveur OmniVista 4760 :
Le tableau ci-aprs rpertorie les services Windows devant tre dmarrs pendantlinstallation du serveur OmniVista 4760.
tableau 3.2 : Services Windows requis pour l'installation de l'OmniVista 4760Nom affich Nom Image CommentairesProtected Storage ProtectedStorage Lsass.exeRemote procedurecall
RPCSS SvcHost.exe
Security account ma-nager
sasms Lsass.exe
Network Connections Network Connections SvcHost.exeWindows Firewall/In-ternet ConnectionSharing (ICS)
SharedAccess SvcHost.exe
NetBIOS over TCP/IPdriver (Direct hostedSMB traffic mode)
Netbt.sys Ncessaire en casdutilisation de par-tages rseau.
NetBIOS over TCP/IPdriver (NBT mode)
Netbt.sys Ncessaire en casdutilisation de par-tages rseau.
TCP/IP NetBIOS hel-per
LmHosts SvcHost.exe Ncessaire en casdutilisation de Net-BIOS over TCP/IP
DNS client DnsCache SvcHost.exe Obligatoire pendantlinstallation du ser-veur OmniVista 4760,ce service pourra tredsactiv aprslinstallation.
Chapitre 3 ??????????? ??????????? ???? ???? ?? ???????????????????? ????????
3-4 ???????????? ? ????? ? ???????? ???? ? ????? ?? ????????
Serveur LanmanServer SvcHost.exe
Le tableau ci-aprs rpertorie les services Windows devant tre arrts pendantlinstallation du serveur OmniVista 4760.tableau 3.3 : Services Windows arrter pour l'installation du serveur OmniVista 4760
Nom affich Nom Image CommentairesApplication Layer Ga-teway Service
Agl Agl.exe Il faut dsactiver leservice AGL pendantlinstallation de l'Omni-Vista 4760.
- Installation du client v :Le tableau ci-aprs rpertorie les services Windows devant tre arrts pendantlinstallation du client OmniVista 4760.
tableau 3.4 : Services Windows arrter pour l'installation du client OmniVista 4760Nom affich Nom Image CommentairesApplication Layer Ga-teway Service
Agl Agl.exe Il faut dsactiver leservice AGL pendantlinstallation de l'Omni-Vista 4760.
3.3.2 En cours de fonctionnement
- Serveur Alcatel-LucentLe tableau ci-aprs rpertorie les services devant tre dmarrs pour un fonctionnementnormal du serveur v.
Nom affich Nom Nom de limage CommentairesProtected Sto-rage
ProtectedStorage Lsass.exe
Remote proce-dure call
RPCSS SvcHost.exe
Security accountmanager
sasms Lsass.exe
Network Connec-tions
Network Connec-tions
SvcHost.exe
Windows Fire-wall/InternetConnection Sha-ring (ICS)
SharedAccess SvcHost.exe
Remote AccessConnection Ma-nager
RasMan SvcHosts.exe
Remote Adminis-tration Service
srvcsurg srvcsurg.exe
Telephony TapiSrv SvcHosts.exe
??????????? ??????????? ???? ???? ?? ????????????? ??????? ????????
???????????? ? ????? ? ???????? ???? ? ????? ?? ???????? 3-5
Nom affich Nom Nom de limage CommentairesPlug And Play PlugPlay Services.exeIPSec Services PolicyAgent Lsass.exe Ncessaire lorsque le protocole IP-
Sec est utilis pour: Accder au serveur OmniVista
4760 depuis un client distantOmniVista 4760.
Utilisez le logiciel OMC sur unclient distant OmniVista 4760pour accder au rpertoire LDAP partir d'une application ex-terne : 4059, duplication LDAP,OXE-Phonebook, etc.
Routing and Re-mote Access
RemoteAccess SvcHosts.exe Englobe des fonctionnalits de pare-feu et nest pas compatible avec lepare-feu de Windows. Dans ce cas,vous devez arrter le pare-feu deWindows et le service ICS de par-tage de connexion Internet.Service ncessaire pour la remontedalarmes urgentes dOmniPCX Of-fice en connectivit PPP unique-ment.
NetBIOS overTCP/IP driver(Direct hostedSMB trafficmode)
Netbt.sys Ncessaire pour lutilisation de res-sources rseau partages.
TCP/IP NetBIOShelper
LmHosts SvcHost.exe
Net Logon NetLogon Lsass.exe Ncessaire en cas de partages r-seau pour : Accder des ressources r-
seau depuis le serveur OmniVis-ta 4760
Accder aux annuaires du ser-veur 4760
Configurer OmniPCX Office(utilisation du logiciel OMC sur leserveur OmniVista 4760 ou surdes clients distants)
Serveur LanmanServer SvcHost.exe Ncessaire en cas dutilisation departages rseau pour : Accder aux annuaires du ser-
veur 4760 Configurer OmniPCX Office
(utilisation du logiciel OMC sur leserveur OmniVista 4760 ou surdes clients distants)
Chapitre 3 ??????????? ??????????? ???? ???? ?? ???????????????????? ????????
3-6 ???????????? ? ????? ? ???????? ???? ? ????? ?? ????????
Nom affich Nom Nom de limage CommentairesWorkstation ser-vice
LanmanWorsta-tion
SvcHost.exe Ncessaire en cas dutilisation departages rseau pour : Accder des ressources r-
seau depuis le serveur OmniVis-ta 4760
Accder aux annuaires du ser-veur 4760
Configurer OmniPCX Office(utilisation du logiciel OMC sur leserveur OmniVista 4760 ou surdes clients distants)
Print Spooler Spooler Spoolsv.exe Ncessaire pour imprimer dans lescas suivants : Utilisation de limprimante r-
seau depuis le serveur OmniVis-ta 4760
Impression de rapportsApache Apache httpd.exeNMC Alarm Ser-ver
NMC Alarm Ser-ver
FaultMana-ger.exe
Serveur d'auditNMC
Serveur d'auditNMC
AuditServer.exe
NMC Communi-cation Server
NMC Communi-cation Server
ComServer.exe
NMC CMISE Ser-ver
NMC CMISE Ser-ver
cmisd.exe
NMC Execu-tables Launcher
NMC Execu-tables Launcher
execdEx.exe
NMC Extractor NMC Extractor extractor.exeNMC GCS NMC GCS GCSAdmin.exeAdministrationServer
AdministrationServer
NMC GCS ConfigServer
NMC GCS ConfigServer
GCSConfig.exe
NMC LicenseServer
NMC LicenseServer
LicenseSer-ver.exe
NMC Loader NMC Loader loader.exeNMC Save Res-tore
NMC Save Res-tore
save_restore.exe
NMC Scheduler NMC Scheduler scheduler.exeNMC SecurityServer
NMC SecurityServer
securityser-ver.exe
NMC PBX/LdapSynchronization
NMC PBX/LdapSynchronization
SyncL-dapPbx.exe
??????????? ??????????? ???? ???? ?? ????????????? ??????? ????????
???????????? ? ????? ? ???????? ???? ? ????? ?? ???????? 3-7
Nom affich Nom Nom de limage CommentairesNMC Service Ma-nager
NMC Service Ma-nager
svc_mgr.exe
NMC50 Data-Base
NMC50 Data-Base
dbsrv9.exe
Orbacus NotifyService
Orbacus NotifyService
ns_service.exe
SunOne Adminis-tration Server 5.2
SunOne Adminis-tration Server 5.2
ns-httpd.exe
SunOne DirectoryServer 5.2
SunOne DirectoryServer 5.2
ns-slapd.exe
ACAPI alarm ser-ver
AcapiAlarmsSer-ver
Plugger.exe
Serveur ACAPICMISE
AcapiCmisd Cmisd.exe Serveur ACAPI CMISE
Acapi communi-cation server
AcapiComServer ComServer.exe
Acapi GCS admi-nistration server
AcapiGCSAdmin GCSAdmin.exe Acapi GCS administration server
Acapi GCS confserver
AcapiGCSConfig GCSAdmin.exe
Acapi GCS LDAPserver
AcapiLDAPsSer-ver
slapd.exe Acapi OpenLDAP Server
ACAPI notifica-tion proxy
AcapiNotification-Proxy
Notification-Proxy.exe
ACAPI rescue AcapiRescue rescue.exeACAPI ServiceManager
AcapiSvcMgr svc_mgr.exe ACAPI Service Manager
Alcatel BackupService
Alcatel BackupService
backup.exe Sauvegarde
Alcatel DataAc-cess Service
Alcatel DataAc-cess Service
da-ta_access_service.exe
fournit des donnes sur les utilisa-teurs et les applications
Alcatel DatabaseServer
Alcatel DatabaseServer
dbsrv10.exe
Alcatel DeviceManagementCore
Alcatel DeviceManagementCore
de-vice_management_core.exe
Alcatel EventsServer
Alcatel EventsServer
events_server.exe
Permet aux services d'envoyer desvnements et aux applications ouservices d'ouvrir des abonnementspour recevoir ces vnements.
Alcatel FLEXlmService
Alcatel FLEXlmService
Lmgrd.exe
Chapitre 3 ??????????? ??????????? ???? ???? ?? ???????????????????? ????????
3-8 ???????????? ? ????? ? ???????? ???? ? ????? ?? ????????
Nom affich Nom Nom de limage CommentairesAlcatel Logs Ro-tate Service
Alcatel Logs Ro-tate Service
alc_logs_rotate.exe
Fournit la rotation de journaux
Alcatel OpenL-DAP-DB-Recover
Alcatel OpenL-DAP-DB-Recover
DBRecoverNT-Service.exe
Alcatel OpenL-DAP-slapd
Alcatel OpenL-DAP-slapd
slapd.exe
Alcatel PBX Ma-nagement Ser-vice
Alcatel PBX Ma-nagement Ser-vice
pcx_management_service.exe
gre la configuration des abonnsd'un rseau pbx
Alcatel Supervi-sion Agent
Alcatel Supervi-sion Agent
supervi-sion_agent.exe
Fournit un agent de supervision
Alcatel Supervi-sion Client
Alcatel Supervi-sion Client
supervi-sion_client.exe
Fournit un client de supervision
Alcatel UnifiedManagement Fra-mework Core
Alcatel UnifiedManagement Fra-mework Core
uni-fied_management_framework_core.exe
Fournit un noyau d'infrastructure degestion unifie
Alcatel UniversalDirectory AccessService
Alcatel UniversalDirectory AccessService
univer-sal_directory_access_service.exe
Fournit un accs unifi aux rper-toires d'entreprise
Apache 2.2.11 Apache 2.2.11 httpd.exe Apache/2.2.11 (Win32)mod_jk/1.2.25 mod_ssl/2.2.6OpenSSL/0.9.7l
Le tableau ci-aprs rpertorie les services devant tre arrts pendant le fonctionnementdu serveur OmniVista 4760.
tableau 3.6 : Services Windows arrter pour le fonctionnement du serveur OmniVista 4760Nom affich Nom Nom de limage CommentairesApplication Layer Ga-teway Service
Agl Agl.exe Il faut dsactiver AGL.Cependant en cas dedysfonctionnementavec le pare-feu Win-dows, ICS (InternetConnection Sharing)ou un logiciel externe(tel quun logiciel antivirus ou tout logicielincorporant des trans-ferts automatiques viaFTP), il peut tre n-cessaire de dmarrerALG.
3.4 Outils de scurit
3.4.1 Compatibilit avec les logiciels antivirus
??????????? ??????????? ???? ???? ?? ????????????? ??????? ????????
???????????? ? ????? ? ???????? ???? ? ????? ?? ???????? 3-9
- Compatibilits :Les applications OmniVista 4760 (serveur et client) fonctionnent correctement en prsencedun systme antivirus MacAfee et Norton.
- Autres logiciels antivirus :Tout autre systme antivirus peut tre dploy sur un PC hbergeant un serveur ou unclient OmniVista 4760. En cas dincompatibilit dtecte, il est recommand de contacterle support OmniVista 4760.a. Cas de ralentissement du lancement client :
Lantivirus est configur pour analyser les fichiers compresss et/ou dextension .jar.Dans ce cas, le premier lancement du client OmniVista 4760 est ralenti de 2 3 minutes. Sous McAfee, l'option d'extension de fichiers *.jar ou l'analyse interne des fichiers
archive est active.Fonction Wormstopper:Lorsque lantivirus intgre la fonction Wormstopper, les e-mails de notification desalarmes sont bloqus. En effet, la plupart des nouveaux virus se propageant parcourrier lectronique. WormStopper arrte les nouveaux virus diffuss parpublipostage en dtectant l'activit.La fonction WormStopper : Dtecte l'envoi d'e-mails plus de 40 destinataires Dtecte l'envoi de plus de 5 e-mails en moins de 30 secondes Vrifie le contenu des e-mails rptitifs Vrifie les noms des binaires qui tentent d'envoyer des e-mailsLantivirus doit tre reconfigur pour permettre l'OmniVista 4760 d'mettre une alertee-mail. L'OmniVista 4760 attend au minimum 3 secondes entre l'envoi de 2 e-mails. Sid'autres alertes surviennent, ce dlai est augment.La version 8 de MacAfee intgre cette fonction Wormstopper (Menu AdvanceActiveShield setting). Il est recommand de dfinir sur 15 secondes le dlaid'autorisation d'envoi de 5 e-mails successifs.Si les binaires sont contrls pour ajouter le programme responsable de l'envoid'e-mails : Sur le serveur, au niveau de l'option antivirus, ajoutez Javaw.exe,
Extractor.exe, Faultmanager.exe. Sur le client, au niveau de l'option antivirus, ajoutez Javaw.exe.Configurer l'antivirus, l'option antispam et l'option wormstopper pour : activer le protocole de messagerie (smtp port 25) ; permettre aux binaires OmniVista 4760 (javaw.exe) d'utiliser le protocole de
messagerie ; augmenter le nombre d'e-mails autoriss (par exemple, la fonction wormstopper
peut limiter le nombre d'e-mails provenant d'un PC six par minute).
3.4.2 Compatibilit avec le pare-Feu Windows- Compatibilits et configuration :
Le serveur et le client OmniVista 4760 sont compatibles avec le pare-feu deWindows XP SP3, Windows 2003 SP2 et Vista.Pendant linstallation ou la mise jour du serveur et du client OmniVista 4760, il estrecommand daccepter la configuration du pare-feu de Windows dans le programmedinstallation. Cette configuration automatique sapplique uniquement au pare-feu Windows(sous Windows XP SP3 , Windows 2003 SP2 ou Vista).
Chapitre 3 ??????????? ??????????? ???? ???? ?? ???????????????????? ????????
3-10 ???????????? ? ????? ? ???????? ???? ? ????? ?? ????????
- Autres pare-feu :Pour tous les autres pare-feux, vous devez procder une configuration manuelle. Lepare-feu doit vous laisser pntrer par les ports IP ncessaires l'OmniVista 4760 sansdlai. Dans le cas de pare-feu mmoire dtat (statefull), il doit pouvoir grer unemulti-connexion dun client vers un port prcis du serveur.
Ct serveur OmniVista 4760 :Le tableau ci-aprs rpertorie les programmes dont il faut autoriser lexcution :
tableau 3.7 : Programmes autoriser sur le serveur OmniVista 4760Programme autoriser Emplacement par dfaut du
programmeCommentaires
dbeng10.exe Sybase\SQL Anywhere10\win32
dbisqlg.exe Sybase\SQL Anywhere9\win32
scjview.exe Program-Files\SQLAnywhere10\SybaseCentral5.0.0\win32
slapd.exe Netscape\server5\bin\slapd\server\
httpd.exe 4760\Apache2\bin\omc.exe Program
Files\PCXTools\OMC\Uniquement en cas de gestiondOmniPCX Office
dbisql.exe Sybase\SQL Anywhere9\win32\
iexplore.exe Internet Explorer\ Pour lutilisation dInternet Ex-plorer sinon autoriser le pro-gramme Firefox
javaw.exe ProgramFiles\Java\jre1.6.0.11\bin\
FaultManager.exe 4760\bin\ComServer.exe 4760\bin\cmisd.exe 4760\bin\execdEx.exe 4760\bin\extractor.exe 4760\bin\GCSAdmin.exe 4760\bin\GCSConfig.exe 4760\bin\LicenseServer.exe 4760\bin\loader.exe 4760\bin\save_restore.exe 4760\bin\scheduler.exe 4760\bin\securityserver.exe 4760\bin\SyncLdapPbx.exe 4760\bin\
??????????? ??????????? ???? ???? ?? ????????????? ??????? ????????
???????????? ? ????? ? ???????? ???? ? ????? ?? ???????? 3-11
svc_mgr.exe 4760\bin\dbsrv9.exe Sybase\SQL Anywhere
9\Win32ns_service.exe 4760\bin\javaw.exe Alcatel-Lucent\Java_Develop-
ment_Kit\binPlugger.exe Alcatel-Lucent\Acapi\bin\Cmisd.exe Alcatel-Lucent\Acapi\bin\ComServer.exe Alcatel-Lucent\Acapi\bin\GCSAdmin.exe Alcatel-Lucent\Acapi\bin\GCSConfig.exe Alcatel-Lucent\Acapi\bin\slapd.exe Alcatel-Lucent\Acapi\bin\NotificationProxy.exe Alcatel-Lucent\Acapi\bin\rescue.exe Alcatel-Lucent\Acapi\bin\svc_mgr.exe Alcatel-Lucent\Acapi\bin\backup.exe Alcatel-Lucent\Backup\data_access_service.exe Alcatel-Lucent\DataAccess\dbsrv10.exe Programmes\SQL Anywhere
10\win32\de-vice_management_core.exe
Alcatel-Lucent\ De-vice_Management_Core\
events_server.exe Alcatel-Lucent\Events_Server\Lmgrd.exe Alcatel-Lucent\FlexLM\alc_logs_rotate.exe Alcatel-
Lucent\alc_logs_rotate\DBRecoverNTService.exe Alcatel-Lucent\Ldap\ DBReco-
verNTService\slapd.exe Alcatel-Lucent\Ldap\pcx_management_service.exe
Alcatel-Lucent\Pms\
supervision_agent.exe Alcatel-Lucent\Supervision_Agent\
supervision_client.exe Alcatel-Lucent\Supervision_Client\
unified_management_ frame-work_core.exe
Alcatel-Lucent\Unified_ Mana-gement_Framework_ Core\
universal_directory_ ac-cess_service.exe
Alcatel-Lucent\Udas\
httpd.exe Alcatel-Lucent\Apache\bin\AuditServer.exe 4760\bin\
Le tableau ci-aprs rpertorie les ports devant tre ouverts pour un fonctionnement correct duserveur OmniVista 4760.
Chapitre 3 ??????????? ??????????? ???? ???? ?? ???????????????????? ????????
3-12 ???????????? ? ????? ? ???????? ???? ? ????? ?? ????????
tableau 3.8 : Liste des ports ouvrir sur le serveur OmniVista 4760Usage Port : ProtocoleIPSec 500 UDPClient OmniVista 4760 30500 30509 TCP
Ct client OmniVista 4760 :Le tableau ci-aprs rpertorie les programmes dont il faut autoriser lexcution :
tableau 3.9 : Programmes autoriser sur le client OmniVista 4760Programme autoriser Emplacement par dfaut du
programmeCommentaires
omc.exe ProgramFiles\PCXTools\OMC\
Uniquement en cas de gestiondOmniPCX Office
iexplore.exe Internet Explorer\ Pour lutilisation dInternet Ex-plorer sinon autoriser le pro-gramme Firefox
javaw.exe Program Files\Java\jre1.6.0.11\bin\
Le tableau ci-aprs rpertorie les ports devant tre ouverts pour un fonctionnement correct duclient OmniVista 4760.
tableau 3.10 : Liste des ports ouvrir sur le client OmniVista 4760Usage Protocole Port :Client OmniVista 4760 30500 30509 TCP
3.4.3 Compatibilit avec un proxyLe proxy web peut tre utilis quand le client :- ouvre la page Web daccueil du serveur OmniVista 4760 ;- consulte lannuaire via linterface Web.Dans ces deux cas, le port 80 est utilis par le client.En revanche, si le client OmniVista 4760 est lanc via un navigateur Web :- lensemble des ports IP du serveur client sera utilis ;- lutilisation du proxy par lapplet OmniVista 4760 doit tre dsactive.Sur le PC client :- Ouvrir le Panneau de configuration (sous XP, prciser l'affichage classique).- Slectionner licne Java Plug-in et, sous longlet Proxies, dcocher l'option Utiliser les
paramtres du navigateur.
3.4.4 Renforcement de la scurit avec SynAttackProtectWindows inclut une protection contre les saturations de requtes SYN lorsquune attaque estdtecte. Cette protection est paramtrable laide de la valeur SynAttackProtect situ sous la
??????????? ??????????? ???? ???? ?? ????????????? ??????? ????????
???????????? ? ????? ? ???????? ???? ? ????? ?? ???????? 3-13
clef de registreHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters.Par dfaut, sous Windows 2003 SP1, cette protection est active (SynAttackProtect=1) . Il estpossible de renforcer le niveau de scurit en passant cette valeur 2 ; cependant, il estrecommand de conserver la valeur par dfaut pour une meilleure stabilit du systme.
3.4.5 Renforcement de la scurit avec DEPLa prvention de lexcution des donnes ou DEP (Data Execution Prevention) vise empcher lexcution de code inject dans une zone mmoire (stack ou heap). Cettetechnologie est base sur les rcentes volutions des processeurs Intel et AMD ; elle peutcependant fournir un certain niveau de protection sur les processeurs plus anciens. Cettetechnologie est active par dfaut sur Windows 2003 SP2 et Windows XP SP3.DEP arrte les applications qui tentent dexcuter du code localis dans une page mmoire.L'OmniVista 4760 fonctionne lorsque la technologie DEP est active. Si un composant intgrou utilis par le serveur OmniVista 4760 est bloqu par le systme DEP, contacter le supporttechnique d'Alcatel-Lucent.
3.5 Compatibilit avec les applications externes
3.5.1 tude de compatibilitAlcatel-Lucent ne prend pas en charge l'excution d'applications externes installes sur lesystme hbergeant l'OmniVista 4760.- Avant de dployer un serveur OmniVista 4760 et dautres applications sur un mme PC ou
serveur, il est fortement recommand deffectuer une tude de compatibilit pour vrifier,en particulier :
- le serveur OmniVista 4760 et les services utiliss par les applications externes ;- la compatibilit en termes de performances ;- la compatibilit en termes dutilisation de lespace disque ;- la compatibilit des fichiers dll ;- la compatibilit de la version active de Java Run Time pour les applications Java ;- la compatibilit des ports et des services IP utiliss.En cas dincompatibilit de l'OmniVista 4760 avec une application externe, appelerl'assistance tlphonique. Les remarques dincompatibilit mises, seront prises en comptepour renseigner ce document, et tudier une possibilit de contournement ou de compatibilitdans une version future.Pour une question particulire sur la compatibilit, contactez les services professionnelsd'Alcatel-Lucent l'adresse [email protected] Recommandations :
Il est recommand dinstaller lapplication du serveur OmniVista 4760 aprs toute autreapplication.En cas de dsinstallation dune application, il ne faut surtout pas confirmer la suppressiondes fichiers dll, car ceux-ci sont peut-tre ncessaires au serveur OmniVista 4760.
Chapitre 3 ??????????? ??????????? ???? ???? ?? ???????????????????? ????????
3-14 ???????????? ? ????? ? ???????? ???? ? ????? ?? ????????
3.5.2 Compatibilit en termes de performancesLes applications externes qui cohabitent avec le serveur OmniVista 4760 :- ne doivent pas tre du type application serveur (serveur de messagerie) ;- ne doivent pas tre installes en tant que service.- Une fois lances, s'assurer que les applications externes nutiliseront pas toute la mmoire
virtuelle du systme et quune fois fermes, elles libreront bien la mmoire utilise.
3.5.3 Fichiers dll
Les fichiers dll utiliss par le serveur OmniVista 4760 ne doivent pas tre mis jour, ni treremplacs par des versions diffrentes.Incompatibilits connues :- JTC1012.dll fourni sur un serveur DELL.- Fichier dll incompatible avec la version du systme d'exploitation. Lapplication Windows
Office Edition pour Windows XP installe sur un PC Windows NT remplace les dll systmepar des dll spcifiques Windows XP. Dans ce cas, linstallation du JRE peut chouer.
- Erreur grave lors de linstallation du JRE 1.3.1_08: RPC Stub Error 0x80070725.Le site http ://java.com/fr/download/help/rpcstub.jsp propose dutiliserloutil Mcrepair de Microsoft pour restaurer les dll compatibles avec le systmedexploitation Windows.
3.5.4 Java Run Time
Tout d'abord, dsactiver la mise jour automatique Java Run time. Dans le Panneau deconfiguration avec affichage classique, cliquer sur l'icne JRE et dsactiver l'option de mise jour.Si dautres applications java sont utilises sur ce PC :- Elles ne doivent pas rendre inutilisable la variable denvironnement Classpath. En effet,
si celle-ci devient trop longue, linstallation choue. Pour vrifier si cette variable est djinitialise, entrer C :\classpath dans une fentre DOS.
- Surveiller la version active de Java Run Time (JRE).Exemple de problme connu :Jusqu' la version OmniVista 4760 R2.1, l'application recherchait l'application JRE active livreavec cette version v. Cest pourquoi la version OmniVista 4760 R2.1 ne fonctionne pas sil'application JRE 1.4 est prsente.Pour vrifier la version par dfaut (celle prsente dans le rpertoire WinNT\System32), entrerla commande c:\java version dans une fentre DOS. partir de la version OmniVista 4760 R3.0, lapplication OmniVista 4760 ne prend plus le JREpar dfaut, mais recherche le JRE compatible dans la base de registres et renseigne lechemin d'accs du JRE :- directement dans la base de donnes LDAP pour les services et tches planifis ;- dans le batch de lancement du client OmniVista 4760 : RunNMC.bat..
??????????? ??????????? ???? ???? ?? ????????????? ??????? ????????
???????????? ? ????? ? ???????? ???? ? ????? ?? ???????? 3-15
3.5.5 Ports et Services IP- Ports :
Lapplication externe ne doit pas utiliser l'un des ports IP ddis au serveur OmniVista4760. Reportez-vous module Scurit - Deploying the OmniVista 4760 in a SecureNetwork Configuration pour connatre la liste des ports IP utiliss par l'applicationOmniVista 4760.Avant linstallation du serveur OmniVista 4760, vrifier la disponibilit des ports 80 (httpWEB), 389 (LDAP) et 636 (LDAPS) : Dans une fentre DOS, entrer la commande c :\netstat n Si ladresse locale propose le port 80, 389 ou 636 en coute/connect
(listening/established), cela signifie que le port est utilis. Il faudra alors, lors delinstallation du serveur OmniVista 4760, choisir un port http, LDAP ou LDAPS diffrentdes ports dj utiliss.
- Services :Le serveur OmniVista 4760 ne doit pas tre install si le service SNMP est dmarr.Arrtez le service SNMP avant la phase d'installation.Le serveur OmniVista 4760 possde un serveur LDAP. N'installez pas un autre serveurLDAP sur le mme port (389 par dfaut).Le serveur OmniVista 4760 hberge les fonctions de serveur WEB (Apache). Neconservez pas ou n'installez pas un autre serveur WEB sur le mme port (80 par dfaut).Incompatibilits connues :Le systme Windows 2000 Server est livr en standard avec un serveur Web prt l'emploi. Par consquent, avant dinstaller lapplication OmniVista 4760, slectionner : Ajout ou suppression de programmes Ajouter ou supprimer des composant Windows Dsinstaller le composant Internet Information Server (I.I.S.)Windows 2000 / 2003 Server install en tant que contrleur de domaine comporte unserveur LDAP : Active Directory. Sur ce type de serveur, il nest pas autoris dinstaller leserveur OmniVista 4760.Linstallation du serveur OmniVista 4760 peut chouer avec le message Sun.log :port dj utilis . Dans ce cas, reprendre linstallation et entrer LDAP port=390.
3.5.6 Compatibilit avec les outils de sauvegarde PCLapplication du serveur OmniVista 4760 est toujours en tat actif. Par consquent, lutilisationdun outil de sauvegarde de disques pour sauvegarder lintgralit du disque peut chouer. Enrevanche, ce type doutil peut tre utilis pour rcuprer les sauvegardes effectues par leserveur OmniVista 4760.Incompatibilits connues :Lapplication de sauvegarde de PC distance, OpenSave, nest pas compatible aveclapplication Sun One Directory Server (utilise par le serveur OmniVista 4760).
3.5.7 Compatibilit avec les outils de connexion distance
3.5.7.1 Outil VPN
Chapitre 3 ??????????? ??????????? ???? ???? ?? ???????????????????? ????????
3-16 ???????????? ? ????? ? ???????? ???? ? ????? ?? ????????
Incompatibilits connues :Certains clients VPN utilisent des outils tels que le service SafeNet dans le programmeNetScreenRemote. Ce programme empche linstallation dun serveur Sun One DirectoryServer et donc du serveur OmniVista 4760.
3.5.7.2 Terminal server, connexion de bureaux distants
Les services Terminal Server, ou services de connexion de bureaux distants, (outil Microsoft)permettent de crer une session Windows sur un serveur ou un PC distant en ne ramenantsur son propre PC que linterface clavier-souris-affichage cran. La session Windows nes'affiche pas sur l'ordinateur distant.Ces programmes peuvent tre utiliss des fins de maintenance, cependant :- Ils ne sont pas compatibles avec laccs la base de donnes Sybase.- Ils centralisent les ressources ncessaires au client sur la mme machine serveur.Incompatibilits connues :Linstallation du serveur OmniVista 4760 via les services Terminal Server, ou la connexion debureaux distants choue.*LOG* ERROR: C:\PROGRA~1\Sybase\SQL Anywhere 9\win32\dbisqlc.exeFailed!
For details, see log file dbisqlc.log
*LOG* AskYesNo question : Error occurred! Souhaitez-vous tout de mmecontinuer ?
Ne pas dpasser 1 client terminal serveur ou Connexion bureau distance.3.5.7.3 PC Anywhere, IRC de Peregrine , NetOP de DanWare
- Ces programmes permettent de prendre le contrle dune session Windows en cours surun serveur ou un PC distant. Sur le PC local et la machine distante, la mme sessionWindows est visualise. Ces programmes doivent prendre en charge la prsentation java.
- Incompatibilits connues :Avec PC Anywhere, laffichage java peut tre mal interprt, il peut tre ncessaire derafrachir lcran pour chaque clic de souris.Avec PC Anywhere version 10.5 et suprieure, lorsque le service PCAnywhere-Host estlanc, le client OmniVista 4760 ne dmarre plus. Le problme est rsolu partir de laversion 11.0 de PC Anywhere.
3.5.8 Compatibilits avec d'autres applications AlcatelLucent
3.5.8.1 Alcatel 47xx
Les applications Alcatel 4715, 4730 et 4740 ne sont pas compatibles avec lapplication duserveur OmniVista 4760.
3.5.8.2 OmniVista 4760i (e-config)La version du Run Time Java, JRE, peut tre incompatible. Si les applications client OmniVista4760 et client OmniVista 4760-i doivent cohabiter, installer les clients en tant quapplications etnon en tant qu'applets Web.
??????????? ??????????? ???? ???? ?? ????????????? ??????? ????????
???????????? ? ????? ? ???????? ???? ? ????? ?? ???????? 3-17
Incompatibilit connue :La version OmniVista 4760-i pour OmniPCX Enterprise R5.1.2 utilise le JRE 1.3.1_08.Lorsque le JRE 1.4 est prsent, lapplication se lance, mais lutilisation des listes droulantesne fonctionne pas.Pour rsoudre ce problme :Modifier les fichiers .bat prsents dans le rpertoire 4760i\lib\ext et remplacerjavaw.exe par son chemin daccs au format DOS :C:\progra~1\javasoft\JRE138DB~1.1_0\bin\javaw.exe ()
3.5.8.3 Consoles AlcatelLucent 4059 et 4980Les tests nont pas t effectus. Cependant, les besoins des 2 applications sont trsdiffrents. Il nest toutefois pas recommand de faire cohabiter une application client tempsrel et serveur de base de donnes.
3.5.8.4 CCD, CCS, CCAgentLe centre d'appels possde ses propres critres de compatibilit. La version java, enparticulier, peut tre diffrente entre le client/serveur OmniVista 4760 et CCA.Dans leur fonctionnement actuel, les applications CCx sont incompatibles. Pour certainsprojets, une tude de compatibilit peut tre faite auprs de nos services professionnels, sousrserve de certaines conditions d'utilisation, l'[email protected].
3.6 Gestion de comptes Windows utiliss par le serveurOmniVista 4760
3.6.1 Compte pour installation
3.6.1.1 Installation/dsinstallation du serveur OmniVista 4760Le serveur OmniVista 4760 doit tre install et dsinstall l'aide d'un compted'administrateur local Windows.
3.6.1.2 Installation dun client OmniVista 4760 distantLe client OmniVista 4760 doit tre install et dsinstall l'aide d'un compte d'administrateurlocal Windows.
3.6.2 Compte utiliser pour le lancement dun client OmniVista 4760Louverture dun client OmniVista 4760 distant doit seffectuer partir dun compte Windowsbnficiant de droits dcriture dans le rpertoire Client4760\Lib\ext.
3.6.3 Oprations de maintenance avec ressources rseauLe serveur OmniVista 4760 peut utiliser des ressources rseau pour les oprations demaintenance :
Chapitre 3 ??????????? ??????????? ???? ???? ?? ???????????????????? ????????
3-18 ???????????? ? ????? ? ???????? ???? ? ????? ?? ????????
- Sauvegarde/restauration des donnes OmniVista 4760- Sauvegarde/ restauration des PCXs- Mise jour logiciel PCX- Copie temporaire des donnes (au cours des oprations de dfragmentation de bases de
donnes, par exemple).Il est notamment recommand deffectuer les sauvegardes des donnes OmniVista 4760 surun disque rseau pour disposer dune sauvegarde en cas d'arrt du PC hbergeant le serveurOmniVista 4760.Procdure :Ce mode de sauvegarde requiert lutilisation de comptes Windows :- Un compte bnficiant de droits d' administrateur local pour le service NMC
SaveRestore, valide sur le serveur OmniVista 4760 et ayant le droit de placer desfichiers sur la machine distante.
- Un compte pour le service NMC Executables Launcher, valide sur le serveurOmniVista 4760, avec accs aux rpertoires de la machine distante utiliss pour lesoprations de maintenance.
Attention :Veiller ne pas utiliser pour la sauvegarde sur machine distante, un rpertoire susceptible decontenir dautres donnes de sauvegarde. Ces donnes risqueraient dtre dtruites par le pro-cessus de purge automatique des sauvegardes qui supprime les fichiers antrieurs une datedonne.
3.6.3.1 Cration de comptes et attribution des droits- Cration dun compte disposant de droits d'administrateur local sur l'ordinateur serveur
(pour le service NMC SaveRestore) : Ouvrir loutil de gestion de l'ordinateur (Panneau de configuration/Outil
dadministration). Dans la rubrique Utilisateurs et groupes locaux , slectionner le
rpertoire Utilisateurs et crer un nouvel utilisateur : Nom : ADM4760 (par exemple) Mot de passe Lutilisateur ne peut pas changer de mot de passe Le mot de passe nexpire jamais.
Modifiez les proprits de l'utilisateur ADM4760 : ajoutez-le dans la liste des membresdu groupe Administrateurs et retirez-le de la liste des membres du groupe Utilisateurs .
- Cration dun compte local sur l'ordinateur serveur OmniVista 4760 (pour le service NMCExecutables Launcher) : Ouvrir loutil de gestion de l'ordinateur (Panneau de configuration/Outil
dadministration). Dans la rubrique Utilisateurs et groupes locaux , slectionner le
rpertoire Utilisateurs et crer un nouvel utilisateur : Nom : UTIL4760 (par exemple) Mot de passe
??????????? ??????????? ???? ???? ?? ????????????? ??????? ????????
???????????? ? ????? ? ???????? ???? ? ????? ?? ???????? 3-19
Lutilisateur ne peut pas changer de mot de passeLe mot de passe nexpire jamais.
Modifiez les proprits de l'utilisateur UTIL4760 : retirez-le de la liste desmembres du groupe Utilisateurs .
- Attribution des droits d'utilisateur Ouvrir loutil Stratgie de scurit locale (Panneau de
Configuration/Outil dadministration). Dans la rubrique Stratgies locales , slectionner Attribution des
droits utilisateur . Ajouter les droits suivants aux utilisateurs crs prcdemment (ADM4760 et
UTIL4760) : "Accder cet ordinateur depuis le rseau" "Ouvrir une session en tant que service "Interdire l'ouverture d'une session locale
3.6.3.2 Configuration des services OmniVista 4760 pour l'utilisation des ressourcesrseau
3.6.3.2.1 Procdure avec utilisation de comptes locaux
Cest la procdure recommande pour scuriser au mieux laccs des ressources rseau.Cette procdure peut tre applique quel que soit le domaine Windows ou le groupe de travaildu serveur OmniVista 4760 et de la machine distante. Pour des raisons de scurit, il estcependant recommand dutiliser une machine distante situe dans le mme domaine ougroupe de travail que le serveur OmniVista 4760.On suppose que deux comptes (ADM4760 et UTIL4760) ont t crs sur le serveurOmniVista 4760 (en suivant la procdure de cration et dattribution des droits de la sectionCration de comptes et attribution des droits ).1. Crer les deux comptes (ADM4760 et UTIL4760) sur la machine distante :
Ouvrir loutil de gestion de l'ordinateur (Panneau de configuration/Outildadministration).
Dans la rubrique Utilisateurs et groupes locaux , slectionner lerpertoire Utilisateurs et crer un nouvel utilisateur : Nom : ADM4760 Mot de passe : identique celui saisi pour lutilisateur ADM4760 sur le serveur
OmniVista 4760. Lutilisateur ne peut pas changer de mot de passe Le mot de passe nexpire jamais.
Modifiez les proprits de l'utilisateur ADM4760 : retirez-le de la liste des membres dugroupe Utilisateurs .
Refaire la mme opration pour lutilisateur UTIL4760.2. Partager un rpertoire sur la machine distante pour les utilisateurs ADM4760 et
UTIL4760 : Sur la machine distante, slectionner le rpertoire partager et le partager. Au besoin, modifier le nom de partage. Modifier les proprits de partage et de scurit.
Chapitre 3 ??????????? ??????????? ???? ???? ?? ???????????????????? ????????
3-20 ???????????? ? ????? ? ???????? ???? ? ????? ?? ????????
Nombre dutilisateurs autoriss : # 3 Dans la rubrique Autorisations , slectionner retirer tout le monde et
ajouter les utilisateurs ADM4760 et UTIL760 avec des droits Contrle total. Dans la rubrique Mise en cache , slectionner l'option stipulant de ne pas
autoriser la mise en cache des fichiers de ce dossier partag. Slectionnez l'onglet Scurit, puis ajoutez les utilisateurs ADM4760 et
UTIL4760. Vrifiez les droits suivants : Modification , Affichage ducontenu du dossier , Lecture , criture.
3. Sur le PC serveur, lancer une session Windows en tant que ADM4760.4. Accorder au service NMC SaveRestore le droit dutiliser lutilisateur ADM4760. Pour ce
faire : lancer lapplication Annuaire, puis cliquer sur longlet Systme, Au niveau de larborescence, accder au rpertoire
NMC/Nom_du_serveur/servers/Nom_du_serveur/SaveRestore. Cliquer sur longlet Compte NT dans le volet de droite. Renseigner les attributs :
Utilisateur = .\ADM4760 Mot de passe : mot de passe associ l'utilisateur ADM7460.
5. Accorder au service NMC Executables Launcher le droit dutiliser lutilisateurUTIL4760. Pour ce faire : lancer lapplication Annuaire, puis cliquer sur longlet Systme, Au niveau de larborescence, accder au rpertoire
NMC/Nom_du_serveur/servers/Nom_du_serveur/Execdex. Cliquer sur longlet Compte NT dans le volet de droite. Renseigner les attributs :
Utilisateur = .\UTIL4760 Mot de passe : mot de passe associ l'utilisateur UTIL4760
6. Lorsque le module Maintenance est lanc, il est alors possible de slectionner un disquerseau pour la sauvegarde.
3.6.3.2.2 Procdure valide dans un domaine
Cette procdure pourra tre applique lorsque le client souhaite utiliser des comptes rseaupour les accs rseau du serveur OmniVista 4760.Cette solution prsente des failles de scurit : les comptes rseau (nom dutilisateur et motde passe) peuvent tre intercepts puis utiliss sur lensemble des machines du rseau. Pourles besoins de cette procdure, nous supposerons que les machines sont installes dans lemme domaine DOMMACHINE et que les utilisateurs sont reconnus dans le domaine DOMUSER.On suppose que deux comptes (ADM4760 et UTIL4760) ont t crs sur le serveurOmniVista 4760 (en suivant la procdure de cration et dattribution des droits de la sectionCration de comptes et attribution des droits ).1. Partager un rpertoire sur la machine distante pour les utilisateurs DOMUSERADM4760 et
DOMUSERUTIL4760 : Sur la machine distante, slectionner le rpertoire partager et le partager. Au besoin, modifier le nom de partage. Modifier les proprits de partage et de scurit :
??????????? ??????????? ???? ???? ?? ????????????? ??????? ????????
???????????? ? ????? ? ???????? ???? ? ????? ?? ???????? 3-21
Nombre dutilisateurs autoriss : # 3 Dans la rubrique Autorisations , slectionner retirer tout le monde et
ajouter les utilisateurs DOMUSERADM4760 et DOMUSERUTIL4760 avec les droitsContrle total.
Dans la rubrique Mise en cache , slectionner l'option stipulant de ne pasautoriser la mise en cache des fichiers de ce dossier partag.
Slectionnez l'onglet Scurit, puis ajoutez les utilisateurs DOMUSER\ADM4760et DOMUSER\UTIL4760. Vrifiez les droits suivants : Modification , Affichage du contenu du dossier , Lecture , criture.
2. Sur le PC serveur, lancer une session Windows en tant que DOMUSER\ ADM4760.3. Accorder au service NMC SaveRestore le droit dutiliser lutilisateur ADM4760. Pour ce
faire : Lancer lapplication Annuaire, puis cliquer sur longlet Systme. Au niveau de larborescence, accder au rpertoire
NMC/Nom_du_serveur/servers/Nom_du_serveur/SaveRestore. Cliquer sur longlet Compte NT dans le volet de droite. Renseigner les attributs :
Utilisateur = DOMUSER\ADM4760 Mot de passe : mot de passe associ l'utilisateur ADM4760
4. Accorder au service NMC Executables Launcher le droit dutiliser lutilisateurUTIL4760. Pour ce faire : lancer lapplication Annuaire, puis cliquer sur longlet Systme, Au niveau de larborescence, accder au rpertoire
NMC/Nom_du_serveur/servers/Nom_du_serveur/Execdex. Cliquer sur longlet Compte NT dans le volet de droite Renseigner les attributs :
Utilisateur = DOMUSER\UTIL4760 Mot de passe : mot de passe associ l'utilisateur UTIL4760
5. Lorsque le module Maintenance est lanc, il est alors possible de slectionner un disquerseau pour la sauvegarde.
3.6.3.2.3 Procdure valide dans un groupe de travailPour les besoins de cette procdure, nous supposerons que les machines sont installes dansle mme groupe de travail, WORKGROUP1, et que le PC serveur porte le nom PCSERVEUR.On suppose que deux comptes (ADM4760 et UTIL4760) ont t crs sur le serveurOmniVista 4760 (en suivant la procdure de cration et dattribution des droits de la sectionCration de comptes et attribution des droits ).Sur la machine distante, crer les mmes comptes ADM4760 et UTIL4760 avec les mmesmots de passe.1. Partager un rpertoire sur la machine distante pour les utilisateurs ADM4760 et
UTIL4760 : Sur la machine distante, slectionner le rpertoire partager et le partager. Au besoin, modifier le nom de partage. Modifier les proprits de partage et de scurit :
Nombre dutilisateurs autoriss : # 3
Chapitre 3 ??????????? ??????????? ???? ???? ?? ???????????????????? ????????
3-22 ???????????? ? ????? ? ???????? ???? ? ????? ?? ????????
Dans la rubrique Autorisations , slectionner retirer tout le monde etajouter les utilisateurs ADM4760 et UTIL4760 avec les droits Contrle total.
Dans la rubrique Mise en cache , slectionner l'option stipulant de ne pasautoriser la mise en cache des fichiers de ce dossier partag.
Slectionnez l'onglet Scurit, puis ajoutez les utilisateurs ADM4760 etUTIL4760. Vrifiez les droits suivants : Modification , Affichage ducontenu du dossier , Lecture , criture.
2. Sur le PC serveur, lancer une session Windows en tant que ADM4760.3. Accorder au service NMC SaveRestore le droit dutiliser cet utilisateur. Pour ce faire :
lancer lapplication Annuaire, puis cliquer sur longlet Systme, Au niveau de larborescence, accder au rpertoire
NMC/Nom_du_serveur/servers/Nom_du_serveur/SaveRestore. Cliquer sur longlet Compte NT dans le volet de droite. Renseigner les attributs :
Utilisateur = PCSERVEUR \ADM4760 Mot de passe : votre mot de passe
4. Accorder au service NMC Executables Launcher le droit dutiliser lutilisateurUTIL4760. Pour ce faire : lancer lapplication Annuaire, puis cliquer sur longlet Systme, Au niveau de larborescence, accder au rpertoire
NMC/Nom_du_serveur/servers/Nom_du_serveur/Execdex. Cliquer sur longlet Compte NT dans le volet de droite. Renseigner les attributs :
Utilisateur = PCSERVEUR\UTIL4760 Mot de passe : votre mot de passe
5. Lorsque le module Maintenance est lanc, il est alors possible de slectionner un disquerseau pour la sauvegarde.
3.6.4 Planification de lexportation ou de limpression de rapportsLe serveur OmniVista 4760 peut utiliser des ressources rseau pour l'exportation etl'impression de rapports planifies. Ces oprations requirent lutilisation dun compteWindows :Un compte pour le service NMC Executables Launcher, valide sur le serveur OmniVista4760, avec accs aux rpertoires de la machine distante utiliss pour les oprationsd'exportation.Procdure1. Lancer une session Windows en tant qu'administrateur local du PC serveur2. Cration dun compte local sur l'ordinateur serveur OmniVista 4760 pour le service NMC
Executables Launcher :Voir Cration de comptes et attribution des droits
3. Dclaration dune imprimante pour le compte UTIL4760 : Fermer la session administrateur et ouvrir une session avec le compte cr
prcdemment (UTIL4760). Dans le menu Dmarrer , slectionner Imprimantes et tlcopieurs
??????????? ??????????? ???? ???? ?? ????????????? ??????? ????????
???????????? ? ????? ? ???????? ???? ? ????? ?? ???????? 3-23
Ajouter une imprimante en suivant les instructions de loutil de cration dimprimantes Fermer la session Windows Relancer une session Windows en tant quadministrateur local du PC serveur
4. Attribuer les droits des utilisateurs : Ouvrir loutil de Stratgie de scurit locale (Panneau de
Configuration/Outil dadministration). Dans la rubrique Stratgies locales , slectionner Attribution des
droits utilisateur . Ajouter les droits suivants lutilisateur cr prcdemment (UTIL4760) :
Accder cet ordinateur depuis le rseau Ouvrir une session en tant que service Agir en tant que partie du systme d'exploitation Augmenter les quotas/ajuster les quotas mmoire Remplacer un jeton de niveau processus Interdire l'ouverture d'une session locale
5. Configuration des services OmniVista 4760 pour l'utilisation des ressources rseau : Suivre la procdure dcrite la section Configuration des services OmniVista 4760
pour l'utilisation des ressources rseau pour : Partager un rpertoire sur la machine distante pour le compte UTIL4760 (le
compte ADM4760 nest pas utilis pour lexportation et limpression de rapportplanifies).
Accorder au service NMC Executables Launcher le droit dutiliser lutilisateurUTIL4760.
Remarque : trois possibilits de configuration sont prsentes la sectionConfiguration des services OmniVista 4760 pour l'utilisation des ressources rseau .Pour une meilleure scurit, suivre la procdure avec utilisation de comptes locaux.
Note :La procdure dcrite ci-dessus ne doit tre applique quen cas de planification dexportations etdimpressions de rapports. En effet, les exportations et impressions directes de rapports dj gnrs (ettoute autre impression non planifie) sont ralises en utilisant le contexte de scurit de lutilisateur duclient OmniVista 4760 (compte Windows sur lequel a t lanc le client OmniVista 4760). Le serviceNMC Executables Launcher nintervient pas.
3.6.5 Archivage et restauration des fichiers de taxationLe serveur OmniVista 4760 peut utiliser des ressources rseau pour l'archivage et larestauration des fichiers de taxation.Ces oprations requirent lutilisation dun compte Windows :Un compte pour le service NMC Executables Launcher, valide sur le serveur OmniVista4760, avec accs aux rpertoires de la machine distante utiliss pour les oprationsd'archivage et de restauration.ProcdurePour crer ce compte, suivre la procdure dcrite la section 3.6.4.Remarques :
Chapitre 3 ??????????? ??????????? ???? ???? ?? ???????????????????? ????????
3-24 ???????????? ? ????? ? ???????? ???? ? ????? ?? ????????
- Pour les oprations darchivage et de restauration de fichiers, il nest pas ncessairedattribuer une imprimante au compte utilis pour accder aux ressources rseau(UTIL4760).
- Pour les oprations darchivage et de restauration de fichiers, les droits suivants sontfacultatifs pour le compte UTIL4760. Agir en tant que partie du systme d'exploitation Augmenter les quotas/ajuster les quotas mmoire Remplacer un jeton de niveau processus
3.6.6 Collecteur de fichiers de taxationLe serveur OmniVista 4760 pourra utiliser des ressources rseau pour stocker les fichiers detaxation dun OmniPCX Entreprise (fonction de collecte de tickets).Cette opration requiert lutilisation de comptes Windows :- Un compte avec les droits d' administrateur local pour le service NMCSyncLdapPbx,
valide sur le serveur OmniVista 4760 et ayant le droit de placer des fichiers sur la machinedistante.
- Un compte pour le service NMC Executables Launcher, valide sur le serveurOmniVista 4760, avec accs aux rpertoires de la machine distante utiliss pour lesoprations de maintenance.
Procdure :1. Lancer une session Windows en tant qu'administrateur local du PC serveur2. Cration dun compte ayant des droits administrateur local sur le PC serveur OmniVista
4760 (pour le service SyncLdapPbx). Voir Cration de comptes et attribution des droits3. Cration dun compte local sur le PC serveur OmniVista 4760 pour le service NMC
Executables Launcher. Voir Cration de comptes et attribution des droits4. Attribuer les droits des utilisateurs :
Ouvrir loutil Stratgie de scurit locale (Panneau deConfiguration/Outil dadministration).
Dans la rubrique Stratgies locales , slectionner Attribution desdroits utilisateurs .
Ajouter les droits suivants aux utilisateurs crs prcdemment (ADM4760 etUTIL4760) : Accder cet ordinateur depuis le rseau Ouvrir une session en tant que service Interdire l'ouverture d'une session locale
5. Configuration des services OmniVista 4760 pour l'utilisation des ressources rseau : Suivre la procdure dcrite la section Configuration des services OmniVista 4760
pour l'utilisation des ressources rseau pour : Partager un rpertoire sur la machine distante pour les comptes ADM4760 et
UTIL4760 : Accorder au service SyncLdapPbx le droit dutiliser lutilisateur ADM4760. Accorder au service NMC Executables Launcher le droit dutiliser lutilisateur
UTIL4760.
??????????? ??????????? ???? ???? ?? ????????????? ??????? ????????
???????????? ? ????? ? ???????? ???? ? ????? ?? ???????? 3-25
Remarque : trois possibilits de configuration sont prsentes la sectionConfiguration des services OmniVista 4760 pour l'utilisation des ressources rseau .Pour une meilleure scurit, suivre la procdure avec utilisation de comptes locaux(paragraphe a.)
6. Configuration du rpertoire de collecte sur le serveur OmniVista 4760 : Dans cette procdure, nous supposerons que la machine distante sur laquelle sera
effectue la collecte des fichiers de taxation a pour nom PCdistant et que lerpertoire utilis pour la collecte a pour nom de partage Rpertoire_collecte.
Sur l'OmniVista 4760, lancer l'application Annuaire, puis cliquer sur l'ongletSystme.
Au niveau de larborescence, accder au rpertoireNMC/Nom_du_serveur/servers/Nom_du_serveur/Collector.
Dans le volet de droite, indiquer le chemin du rpertoire de collecte dans lattributChemin : //RemotePC/Directory_Collection.
3.6.7 Rception dalarmes urgentes de lOmniPCX OfficeOmniPCX Office peut tre configur pour envoyer ses alarmes urgentes au serveur OmniVista4760. Ceci requiert lutilisation dun compte Windows local sur le serveur OmniVista 4760.Procdure- Suivre la procdure dcrite dans le manuel dinstallation de l'OmniVista 4760
(section 13.3.4).- Lancer une session Windows en tant qu'administrateur local du PC serveur- Renforcement de la scurit en cas dutilisation du compte URGALARM :
Ouvrir loutil Stratgie de scurit locale (Panneau deConfiguration/Outil dadministration).
Dans la rubrique Stratgies locales , slectionner Attribution desdroits utilisateurs .
Ajouter les droits suivants lutilisateur URGALARM : Accder cet ordinateur depuis le rseau Interdire l'ouverture d'une session locale
3.7 Gestion du partage de rpertoires
3.7.1 Gestion de lOmniPCX OfficeLa gestion dcrite ci-dessous est ncessaire pour les oprations de sauvegarde, restauration,tlchargement et galement pour la configuration dOmniPCX Office.Les donnes OmniPCX Office sont sauvegardes par dfaut sur le PC serveur OmniVista4760, dans le rpertoire 4760_ARC/OXO/data. Lors de linstallation de l'OmniVista 4760, cerpertoire est partag sous le nom 4760-databases (ou 4760-pm5 en cas de mise jourdepuis l'OmniVista 4760 version R3.x), en lecture seule pour tous.Attention :Lorsque le rpertoire 4760 server existe dj (par exemple, aprs la dsinstallation d'unserveur OmniVista 4760) et que son nom est partag, ce nom n'est pas modifi par le programme
Chapitre 3 ??????????? ??????????? ???? ???? ?? ???????????????????? ????????
3-26 ???????????? ? ????? ? ???????? ???? ? ????? ?? ????????
d'installation du serveur OmniVista 4760. Pour configurer OmniPCX Office partir du serveurOmniVista 4760, le nom Windows de partage de ce rpertoire doit tre identique au nom dfinidans le rpertoire systme OmniVista 4760 (ce nom est configur dans NmcConfiguration/GlobalPreferences/Config/OXOAccess).Procdure1. Lancer une session Windows en tant qu'administrateur local du PC serveur2. Utilisation dun compte local sur le PC serveur OmniVista 4760
Vous pouvez utiliser le compte URGALARM cr au cours de l'installation du serveurOmniVista 4760. Par dfaut, le mot de passe de ce compte est URGALARM. Modifier cemot de passe avant lutilisation du compte.
On pourra utiliser un autre compte local. Pour la cration de ce type de compte, voirCration de comptes et attribution des droits . Dans la suite de cette procdure, noussupposerons que le compte URGALARM a t choisi.
3. Configuration du serveur OmniVista 4760 pour l'utilisation du compte local Sur le serveur OmniVista 4760, lancer l'application Annuaire, puis cliquer sur l'onglet
Systme. Au niveau de larborescence, accder au rpertoire
NMC/NmcConfiguration/GlobalPreferences/Config/OXOAccess Dans le volet de droite, renseigner les attributs :
Nom utilisateur pour l'accs au rpertoire partag = URGALARM Mot de passe pour laccs au rpertoire partag = mot de passe
associ URGALARM.4. Grer le partage du rpertoire 4760_ARC/OXO/data.
Slectionner le rpertoire 4760_ARC/OXO/data. Vrifier le nom de partage.
Ce nom de partage doit correspondre au nom renseign dans lattribut Nom departage de lentreNmcConfiguration/GlobalPreferences/Config/OXOAccess de lannuairesystme de l'OmniVista 4760.
Modifier les proprits de partage et de scurit : Nombre dutilisateurs autoriss : # 3 Dans la rubrique Autorisations , slectionner retirer tout le monde et
ajouter l'utilisateur URGALARM avec les droits Contrle total . Dans la rubrique Mise en cache , slectionner l'option stipulant de ne pas
autoriser la mise en cache des fichiers de ce dossier partag. Slectionnez l'onglet Scurit, puis ajoutez l'utilisateur URGALARM. Vrifiez les
droits suivants : Modification , Affichage du contenu dudossier , Lecture , criture.
Remarque : les versions logicielles susceptibles dtre tlcharges dans les PABXdoivent se trouver dans le rpertoire OmniVista 4760_ARC/OXO/sw. Pour desraisons de scurit, il nest pas ncessaire de partager ce rpertoire.
3.7.2 Partage de OmniVista 4760_ARCJusqu' la version OmniVista 4760 R4.0, le rpertoire 4760_ARC\accounting est partagpour les besoins des oprations de restauration de tickets de taxation. Le partage est ralis
??????????? ??????????? ???? ???? ?? ????????????? ??????? ????????
???????????? ? ????? ? ???????? ???? ? ????? ?? ???????? 3-27
par le programme dinstallation du serveur OmniVista 4760 avec le nom de partage Accounting et le droit lecture pour tous les utilisateurs . partir de la version OmniVista 4760 R4.1, ce partage ntant plus ncessaire pour lesoprations de restauration de tickets, il nest plus effectu par le programme dinstallation.
3.7.3 Autres partagesPour toutes les oprations de maintenance (sauvegarde/restauration de l'OmniVista 4760,sauvegarde/restauration et mise jour logicielle du PCX), darchivage, de restauration et decollecte de fichiers de taxation, et dexportation de rapports, le serveur OmniVista 4760 pourrautiliser des ressources rseau. La configuration des partages rseau et de lutilisation decomptes donnant accs ces partages doit tre ralise aprs linstallation du serveurOmniVista 4760 en suivant les procdures dcrites la section Gestion de comptes Windowsutiliss par le serveur OmniVista 4760 .
3.8 Envoi de message lectronique (e-mails)L'OmniVista 4760 peut envoyer des alarmes, des rapports ou une notification de surveillancedes fichiers taxation vers un serveur de messagerie lectronique. Pour cela, il faut indiquer lenom (ou ladresse IP) du serveur de messagerie utiliser pour ces envois. Il nest pasncessaire pour lenvoi de messages lectroniques daccorder aux services OmniVista 4760des droits pour lutilisation de comptes spcifiques.
Chapitre 3 ??????????? ??????????? ???? ???? ?? ???????????????????? ????????
3-28 ???????????? ? ????? ? ???????? ???? ? ????? ?? ????????
Objectif : ce chapitre rpertorie les ports et protocoles utiliss en cas de gestion dunAlcatel-Lucent OmniPCX Enterprise Communication Server par un serveur OmniVista 4760.Ceci doit tre pris en compte lors du dploiement de l'OmniVista 4760 dans un environnementrseau scuris, cest--dire contenant des lments de scurisation (pare-feu, DMZ, etc.).
4.1 Trafic IP sur serveur OmniVista 4760Note 1 :Par dfaut, la scurit IPsec nest pas active entre le serveur OmniVista 4760 et un client OmniVista4760. En cas d'utilisation de clients OmniVista 4760 distants, il est recommand d'activer la scuritIPsec.
La liste des services et ports utiliss par le serveur OmniVista 4760 figure dans le tableauci-aprs.
tableau 4.1 : Services sur le serveur OmniVista 4760Nom Type Protocole Numro de
portScurit Clients dis-
tantsHTTP Server HTTP TCP 80 Non Client 4760,
Client an-nuaire 4760,4059 (2)
LDAP Server LDAP TCP 389 IPSec Client 4760,4059, Dbor-dement an-nuaire PCX(1), Rplica-tion LDAP,Autres clientsLDAP
Serveur LDAP LDAP (surSSL)
TCP 636 SSL Client 4760,4059, Dbor-dement an-nuaire PCX,Autres clientsLDAP
LDAP admi-nistration Ser-ver
HTTP TCP 30010 IPSec Consoledadministration SUN ONE
DatabaseASA(SYBASE)
ASA TCP 2638ASA TCP 30011 IPSec Client 4760
Alarms Server GIIOP TCP 30012 IPSec Client 4760CMISD Server CMISE TCP 30001
GIIOP TCP 30013 IPSec
????????
? ??????????? ??????????? ???????? ??? ????????????? ??????
???????????? ? ????? ? ???????? ???? ? ????? ?? ???????? 4-1
Nom Type Protocole Numro deport
Scurit Clients dis-tants
Serveur decommunica-tion
GIIOP TCP 30014 IPSec Client 4760
Serveur decommunica-tion
GIIOP TCP 30014 IPSec Client 4760
ExecdEx Ser-ver
GIIOP TCP 30015 IPSec Client 4760
Extractor Ser-ver
GIIOP TCP 30016 IPSec Client 4760
GCS AdminServer
GIIOP TCP 30017 IPSec Client 4760
GCS Config GIIOP TCP 30018 IPSec Client 4760Server Li-cense Server
GIIOP TCP 30019 IPSec Client 4760
Loader Server GIIOP TCP 30020 IPSecNotificationServer
GIIOP TCP 30022 IPSec Client 4760
Save / Res-tore Server
GIIOP TCP 30023 IPSec Client 4760
SchedulerServer
GIIOP TCP 30024 IPSec Client 4760
Security Ser-ver
GIIOP TCP 30025 IPSec Client 4760
LDAP/PBXSynchroniza-tion server
GIIOP TCP 30026 IPSec
Audit Server GIIOP 30030 IP secTelnet Proxy TELNET TCP 30100
30149IPSec Client 4760
Chapitre 4 ??????????? ??????????? ???? ???? ??? ??????????????????? ?????????
4-2 ???????????? ? ????? ? ???????? ???? ? ????? ?? ????????
Nom Type Protocole Numro deport
Scurit Clients dis-tants
FTP Proxy Control TCP 30021 IPSec Client 4760 /OMC- OmniPCX
Office = R5.0)
Client4760/Navigateur Internet Ac-cess Client4760
SNMP Agent SNMP UDP 161 Non HyperviseurIPec ISAK UDP 500ACD Configu-ration
FTP ACTIVE TCP 32000 Non Serveur 4760 /OMC(OmniPCX Of-fice < R5.0)
HTTPS TCO 30028 SSL et IPSec Client 4760 /OMC(OmniPCX Of-fice > = R5.0)
ACD Statistics HTTP / SOAP TCP 30028 IPSec Serveur 4760 /OMC(OmniPCX Of-fice < R5.0)
HTTPS/SOAP TCP 30028 SSL et IPSec Client 4760 /OMC(OmniPCX Of-fice > = R5.0)
OTS HTTP / SOAP TCP 30028 IPSec Serveur 4760 /OMC
Notificationdes alarmesurgentes Om-niPCX Office
HTTP TCP 30029 Non Serveur 4760 /OmniPCX Of-fice > = R5.0en connectivi-t IP
Apache HTTP / SOAP TCP 8080 Non quipementsSIP
Apache HTTPS/SOAP TCP 8443 SSL Client 4760 -Sip Manager,WBM Client
(1) : non compatible avec IP sec (systme dexploitation LINUX sur PCX).(2) : le client d'annuaire Web 4059 prend en compte seulement le numro de port 80 (nonmodifiable).Note 2 :
- CORBA sappuie sur le protocole GIIOP- Les numros de port en gras (30020, par exemple) peuvent tre modifis dans le rpertoire
systme, aprs l'installation du serveur OmniVista 4760. Conserver la taille des plages de numrosde port, ne pas utiliser de ports connus. Si la connexion IP sec est active, la configuration IP sec ne
Chapitre 4 ??????????? ??????????? ???? ???? ??? ??????????????????? ?????????
4-4 ???????????? ? ????? ? ???????? ???? ? ????? ?? ????????
tient pas compte des ports modifis. En cas de modification du numro de port par dfaut, excuter4760>bin>IpsecUpdate.exe. Pour plus dinformations, contacter les services professionnelsdAlcatel-Lucent.
La liste ci-dessous rpertorie les services et ports utiliss par le serveur OmniVista 4760 eninterne. Ces services ne doivent pas tre accessibles depuis l'extrieur du serveur OmniVista4760.
tableau 4.2 : Services internes sur le serveur OmniVista 4760Nom Type Protocole Numro de
portScurit Clients dis-
tantsPMS RMI TCP 9757 Non API de PMS et
notification degestion
FlexLM Propritaire TCP 27000 Cod LicencesFlexLM-Dea-mon
Propritaire TCP Ngociationdynamiquesur 27000 cnxou fixe dans lefichier de li-cence (ligneVENDEUR)
Cod Licences(dmon Alca-tel)
UDAS RMI TCP 9758 Non API de UDASet notificationde gestion
FWK RMI TCP 9754 Non Liaison auxapplications
EVS RMI TCP 9760 Non NotificationSybase TCP 2638 Accs la
base de don-nes
LDAP Server LDAP TCP 8389 Non Accs labase de don-nes
ACAPI CORBA TCP 8389 Non Accs lagestion OXE
DTA RMI TCP 5009 Non Accs lagestion
DTA RMI TCP 4445 Non Alarmes - RMITomcat TCP 10005 Non Port de main-
tenance (arrt)Tomcat AJPv13 TCP 10009 Non Connexion
Apache pourrequted'application
UMF JNDI TCP 16400 Non Port JNDIUMF JMS TCP 16010 Non JMSUMF Propritaire TCP 55002 Non Dbogage
??????????? ??????????? ???? ???? ??? ????????????? ?????? ?????????
???????????? ? ????? ? ???????? ???? ? ????? ?? ???????? 4-5
UMF Propritaire TCP 44323 - 44552 Ports de notifi-cation
4.2 Trafic IP sur client OmniVista 4760La liste des services et ports utiliss par le client OmniVista 4760 figure dans le tableauci-aprs.
tableau 4.3 : Services sur le nom de client OmniVista 4760Type Protocole Numro de
portScurit Note
CORBA R-ceptions desnotificationsalarmes
GIIOP TCP 30500 30509
IPSec
OMC- Statusof communi-cation socket
HTTP TCP 30510 30529
IPSec
OMC - FTPdata sockets
Donnes TCP 1024 5000
IPSec ISAKMP UDP 500 IPSec Client 4760
Note :
- Par dfaut, la scurit IPsec n'est pas active entre le serveur OmniVista 4760 et un client OmniV-ista 4760.
- Les numros de port en caractres gras sont modifiables dans le fichier runnmc.bat, aprs installa-tion du client OmniVista 4760.
- Sur le poste client, vous devez autoriser les connexions entrantes via le port Corba 30500 - 30509.Si cela nest pas fait, lapplication dalarmes sera vide et il ny aura pas de notification dalarme. Laconfiguration du PCX choue aprs le chargement du MIB local : impossible de configurer la notifica-tion au client.
4.3 T