Manuel d’installation UCOPIA Advance · 5.34. Configuration des paramètres de connexion à un annuaire externe Active Directory ..... 46 5.35

Version 4.3

Manuel d’installation UCOPIAAdvance

La mobilité à la hauteur des exigencesprofessionnelles

Manuel d’installation UCOPIA Advance

© 2012 Ucopia 2Manuel d’installation UCOPIA Advance

Table des matières

1. Introduction ............................................................................................................................. 8

2. Installation .............................................................................................................................. 9

3. Connexion à l’outil d’administration UCOPIA ........................................................................... 11

4. Installation de la licence UCOPIA .......................................................................................... 154.1. Installation automatique .............................................................................................. 154.2. Installation manuelle ................................................................................................... 16

5. Configuration du contrôleur UCOPIA ...................................................................................... 195.1. Configuration réseau .................................................................................................. 20

5.1.1. Configuration des paramètres de base du contrôleur ......................................... 215.1.2. Configuration des VLAN d’entrée ...................................................................... 235.1.3. Configuration des VLAN de sortie ..................................................................... 275.1.4. Configuration des routes statiques de sortie ...................................................... 325.1.5. Configuration du serveur de temps ................................................................... 345.1.6. Configuration du serveur DNS .......................................................................... 355.1.7. Configuration des options de filtrage ................................................................. 40

5.2. Configuration de l’authentification ................................................................................ 435.2.1. Configuration des annuaires d’authentification ................................................... 435.2.2. Configuration des certificats ............................................................................. 515.2.3. Configuration RADIUS ..................................................................................... 535.2.4. Configuration Windows .................................................................................... 575.2.5. Configuration Shibboleth .................................................................................. 58

5.3. Configuration du « Zéro configuration » ....................................................................... 625.3.1. Configuration du mécanisme « IP fixe » ............................................................ 625.3.2. Configuration du service Web ........................................................................... 635.3.3. Configuration du service de redirection vers un serveur de messagerie ................ 655.3.4. Configuration du serveur d’impression .............................................................. 68

5.4. Personnalisation ......................................................................................................... 755.4.1. Personnalisation des portails UCOPIA .............................................................. 755.4.2. Configuration des chartes ............................................................................... 1085.4.3. Configuration des champs additionnels ........................................................... 1105.4.4. Personnalisation des tickets de connexion ....................................................... 1135.4.5. Configuration d’URL en accès libre ................................................................. 118

5.5. Configuration du mécanisme de journalisation ............................................................ 1205.5.1. Critères d’activation de la journalisation ........................................................... 1215.5.2. Purge de la base de données des journaux ..................................................... 121

5.6. Configuration de la haute disponibilité ........................................................................ 1245.6.1. Redondance .................................................................................................. 1255.6.2. Répartition de charge ..................................................................................... 1255.6.3. Configuration de la redondance et de la répartition de charge ........................... 125

5.7. Configuration multi-contrôleurs .................................................................................. 1315.8. Configuration des services externes de communication ............................................... 135

5.8.1. Configuration du service de SMS .................................................................... 1365.8.2. Configuration du service de messagerie (email) ............................................... 1385.8.3. Configuration du service PayPal ..................................................................... 1415.8.4. Configuration du service PMS ........................................................................ 1435.8.5. Configuration du service PPS ......................................................................... 147



5.9. Configuration des interfaces avec le contrôleur UCOPIA ............................................. 1485.9.1. Interface SNMP ............................................................................................. 1485.9.2. Interface Syslog ............................................................................................. 150

6. Configuration des éléments actifs ......................................................................................... 1526.1. Configuration des points d’accès Wi-Fi ...................................................................... 1526.2. Configuration des commutateurs ............................................................................... 152

7. Mise en service ................................................................................................................... 154

A. Protocole PMS/FIAS ........................................................................................................... 155



Liste des illustrations2.1. Schéma d’installation d’UCOPIA Advance ............................................................................. 93.1. Découverte UPnP sous Windows XP .................................................................................. 113.2. Page d’authentification à l’outil d’administration UCOPIA Advance ......................................... 123.3. Page d’accueil d’UCOPIA Advance sans licence .................................................................. 133.4. Téléchargement de la documentation .................................................................................. 134.1. Installation de la licence UCOPIA ........................................................................................ 154.2. Enregistrement automatique de licence ............................................................................... 164.3. Installation manuelle de licence ........................................................................................... 164.4. Génération du fichier de licence .......................................................................................... 174.5. Enregistrement manuel de la licence ................................................................................... 174.6. Restauration de licence ...................................................................................................... 185.1. Page d’accueil de la configuration UCOPIA Advance ............................................................ 195.2. Items du menu Réseau ...................................................................................................... 215.3. Configuration des paramètres de base du contrôleur ............................................................ 225.4. Configuration des VLAN d’entrée ........................................................................................ 245.5. Ajout d’un VLAN d’entrée ................................................................................................... 255.6. Exemple de configuration d’un VLAN d’entrée ..................................................................... 265.7. Exemple de configuration des paramètres DHCP pour un VLAN d’entrée ............................... 265.8. Ajout d’une plage d'adresses DHCP .................................................................................... 275.9. Ajout d’un bail fixe ............................................................................................................. 275.10. Configuration des VLAN de sortie ..................................................................................... 285.11. Ajout d’un VLAN de sortie ................................................................................................ 295.12. Exemple de création d’un VLAN de sortie .......................................................................... 305.13. Politique de sortie par défaut pour le VLAN natif ................................................................ 315.14. Ajout d’une politique de sortie ........................................................................................... 315.15. Exemple de configuration de VLANs de sortie supplémentaires ........................................... 325.16. Exemple de politiques de sortie ........................................................................................ 325.17. Configuration des routes statiques de sortie ....................................................................... 335.18. Ajout d’une route statique ................................................................................................. 345.19. Exemple de configuration d’une route statique ................................................................... 345.20. Configuration du serveur de temps .................................................................................... 355.21. Configuration du serveur DNS ........................................................................................... 365.22. Test d’un serveur DNS ..................................................................................................... 375.23. Configuration d’une politique DNS ..................................................................................... 385.24. Ajout d’un nouvel enregistrement DNS .............................................................................. 395.25. Exemple de configuration d’un enregistrement DNS ........................................................... 395.26. Configuration des options de filtrage UCOPIA .................................................................... 405.27. Définition d'un nouvel accès .............................................................................................. 415.28. Ajout d'une ouverture de port ............................................................................................ 425.29. Ajout d'une redirection de port .......................................................................................... 425.30. Items du menu Authentification ......................................................................................... 435.31. Configuration des annuaires d’authentification .................................................................... 445.32. Configuration d’un annuaire d’authentification ..................................................................... 455.33. Configuration des paramètres généraux d’un annuaire externe ............................................ 455.34. Configuration des paramètres de connexion à un annuaire externe Active Directory .............. 465.35. Configuration des paramètres de connexion à un annuaire externe LDAP ............................ 465.36. Configuration des paramètres de recherche de profil (Active Directory) ................................ 485.37. Configuration des paramètres de recherche de profil (LDAP) .............................................. 48



5.38. Configuration des comptes de délégation associés à un annuaire ........................................ 485.39. Configuration des cascades d’annuaires ............................................................................ 505.40. Exemple de configuration de cascades d’annuaires ............................................................ 515.41. Chargement des certificats ................................................................................................ 525.42. Visualisation du contenu d’un certificat .............................................................................. 525.43. Configuration du RADIUS UCOPIA ................................................................................... 535.44. Exemple de configuration des NAS ................................................................................... 545.45. Configuration par défaut des realms .................................................................................. 555.46. Configuration du RADIUS UCOPIA en mode proxy ............................................................ 555.47. Exemple de configuration d’un realm ................................................................................. 565.48. Options avancées d’authentification RADIUS ..................................................................... 575.49. Configuration de l’authentification transparente Windows .................................................... 585.50. Exemple d’enregistrement dans un domaine Windows ........................................................ 585.51. Écran d'accueil de la configuration Shibboleth .................................................................... 595.52. Création d'une nouvelle configuration Shibboleth ................................................................ 605.53. Enregistrement sur le réseau RENATER ........................................................................... 625.54. Items du menu Zéro configuration ..................................................................................... 625.55. Configuration du mode « IP fixe » ..................................................................................... 635.56. Configuration du service Web ........................................................................................... 645.57. Configuration de la redirection vers un proxy parent ........................................................... 655.58. Configuration du service de redirection vers un serveur de messagerie ................................ 665.59. Choix des modes de configuration de redirection SMTP ..................................................... 675.60. Exemple de configuration de redirection SMTP .................................................................. 675.61. Exemple de configuration du relai SMTP ........................................................................... 685.62. Configuration des imprimantes .......................................................................................... 695.63. Choix du protocole de l'imprimante locale, ou réseau ......................................................... 705.64. Saisie de l'adresse de l'imprimante .................................................................................... 705.65. Description de l 'imprimante .............................................................................................. 705.66. Choix du fabricant de l'imprimante ..................................................................................... 715.67. Choix du modèle de l'imprimante ...................................................................................... 725.68. Définition des options de l'imprimante ................................................................................ 735.69. Visualisation d’une imprimante configurée .......................................................................... 745.70. Affichage d’information détaillée pour une imprimante ......................................................... 745.71. Items du menu Personnalisation ....................................................................................... 755.72. Configuration des portails UCOPIA .................................................................................... 765.73. Tableau des associations .................................................................................................. 765.74. Tableau des configurations ............................................................................................... 775.75. Tableau des modèles visuels ............................................................................................ 785.76. Ajout d'une association ..................................................................................................... 795.77. Configuration d'une association ......................................................................................... 795.78. Activation/désactivation d'une association .......................................................................... 805.79. Association ajoutée ........................................................................................................... 805.80. Modification d'une association ........................................................................................... 815.81. Ajout d’une configuration de portail captif ........................................................................... 825.82. Exemple de configuration d’un portail hébérgé (avec redirection) ......................................... 835.83. Exemple de configuration d’un portail externe .................................................................... 845.84. Exemple de configuration des langues du portail captif ....................................................... 865.85. Exemple de portail captif UCOPIA ..................................................................................... 875.86. Portail captif "welcome" avec enregistrement libre .............................................................. 885.87. Auto-enregistrement libre d’un utilisateur depuis le portail captif .......................................... 895.88. Configuration du portail captif avec enregistrement libre ...................................................... 89



5.89. Portail captif « welcome » avec enregistrement par SMS .................................................... 905.90. Auto-enregistrement par SMS d’un utilisateur depuis le portail captif .................................... 915.91. Configuration du portail captif avec enregistrement par SMS ............................................... 925.92. Portail captif avec enregistrement par email ....................................................................... 925.93. Auto-enregistrement par email d’un utilisateur depuis le portail captif ................................... 935.94. Exemple de configuration du portail captif avec enregistrement par Mail ............................... 945.95. Portail captif avec paiement en ligne ................................................................................. 945.96. Enregistrement lors d’un paiement en ligne ........................................................................ 955.97. Choix d’un forfait avant paiement en ligne ......................................................................... 965.98. Configuration du portail captif avec paiement en ligne ........................................................ 975.99. Exemple de portail captif avec utilisation de forfaits (PMS) .................................................. 985.100. Exemple de feedback utilisateur après un choix de forfait ................................................. 995.101. Exemple de configuration du portail captif avec utilisation d’un PMS .................................. 995.102. Portail captif avec utilisation d’un PPS ........................................................................... 1005.103. Exemple de configuration du portail captif avec utilisation de cartes prépayées (PPS) ........ 1015.104. Portail captif avec authentification Shibboleth ................................................................. 1015.105. Exemple de feedback utilisateur après authentification .................................................... 1025.106. Exemple de configuration du portail captif avec authentification Shibboleth ....................... 1025.107. Modification d'une configuration de portail captif ............................................................. 1035.108. Ajout d'une configuration de portail de délégation ........................................................... 1035.109. Exemple de champs d'enregistrement des utilisateurs pour le portail de délégation ............ 1045.110. Exemple de configuration des langues du portail de délégation ........................................ 1045.111. Modification d'une configuration de portail de délégation ................................................. 1055.112. Ajout d'un modèle visuel ............................................................................................... 1055.113. Exemple de configuration d'un nouveau modèle visuel .................................................... 1065.114. Exemple d'ajout d'un modèle visuel ............................................................................... 1065.115. Edition d'un modèle visuel ............................................................................................. 1065.116. Choix du type de modèle visuel à éditer ........................................................................ 1065.117. Éditeur de modèle visuel de portail ................................................................................ 1075.118. Modification d'un modèle visuel ..................................................................................... 1075.119. Exportation du modèle visuel ......................................................................................... 1085.120. Importation d'un modèle externe .................................................................................... 1085.121. Configuration des chartes .............................................................................................. 1095.122. Ajout d'une charte ......................................................................................................... 1095.123. Charte de type Texte .................................................................................................... 1105.124. Charte de type Fichier .................................................................................................. 1105.125. Charte de type URL ...................................................................................................... 1105.126. Personnalisation des champs additionnels ...................................................................... 1115.127. Ajout de champs additionnels ........................................................................................ 1125.128. Portail de délégation avec champs additionnels .............................................................. 1135.129. Personnalisation des tickets de connexion ..................................................................... 1145.130. Exemple de configuration d’un ticket de connexion au format A4 ..................................... 1155.131. Exemple de ticket de connexion au format A4 ................................................................ 1165.132. Exemple de configuration d’un ticket de connexion au format badge ................................ 1175.133. Exemple de ticket de connexion au format badge ........................................................... 1175.134. Configuration des URL en accès libre ............................................................................ 1185.135. Ajout d’une URL HTTP en accès libre ............................................................................ 1195.136. Exemple d’URL en accès libre ...................................................................................... 1195.137. URL HTTP en accès libre ............................................................................................. 1195.138. Ajout d'une URL HTTPS en accès libre ......................................................................... 1205.139. Configuration de la journalisation ................................................................................... 121



5.140. Exemple de configuration de critères pour la purge des journaux ..................................... 1225.141. Génération des fichiers de sauvegarde .......................................................................... 1225.142. Activation de la compression des sauvegardes de journaux ............................................. 1225.143. Suppression automatique des fichiers de sauvegarde ..................................................... 1235.144. Exemple de configuration d’export FTP des journaux ...................................................... 1245.145. Configuration du mécanisme de répartition de charge : étape 1 ....................................... 1265.146. Configuration du mécanisme de répartition de charge : étape 2 ....................................... 1275.147. Configuration du mécanisme de répartition de charge : étape 3 ....................................... 1285.148. Exemple de configuration pour 3 contrôleurs dont 2 en répartition de charge et 1 redon-dant ........................................................................................................................................ 1295.149. Configuration du mécanisme de répartition de charge : étape 4 ....................................... 1305.150. Exemple de 3 contrôleurs dont 2 actifs et un passif ........................................................ 1305.151. Administration centralisée depuis un contrôleur principal ................................................. 1315.152. Items du menu Multi-contrôleurs sur le contrôleur principal .............................................. 1325.153. Configuration d’un contrôleur principal ............................................................................ 1325.154. Exemple de configuration des ports de communication en environnement multi contrô-leurs ....................................................................................................................................... 1335.155. Configuration des contrôleurs secondaires ..................................................................... 1335.156. Ajout d’un contrôleur secondaire .................................................................................... 1345.157. Item du menu Multi-contrôleurs sur un contrôleur secondaire ........................................... 1345.158. Information d’association principal/secondaire ................................................................. 1355.159. Items du menu Services externes .................................................................................. 1355.160. Configuration des comptes SMS .................................................................................... 1365.161. Ajout d’un compte SMS ................................................................................................ 1375.162. Exemple de configuration d’un compte SMS ................................................................... 1385.163. Configuration des comptes de messagerie ..................................................................... 1395.164. Ajout d’un compte de messagerie .................................................................................. 1405.165. Exemple de configuration d’un compte mail .................................................................... 1415.166. Configuration PayPal .................................................................................................... 1425.167. Configuration du portail UCOPIA avec paiement en ligne ................................................ 1435.168. Configuration de l’interface PMS .................................................................................... 1445.169. Configuration des paramètres de connexion au PMS ...................................................... 1455.170. Configuration du système PPS ...................................................................................... 1475.171. Configuration des paramètres de connexion au PPS ....................................................... 1485.172. Items du menu Interfaces UCOPIA ................................................................................ 1485.173. Configuration de l’interface SNMP ................................................................................. 1495.174. Exportation Syslog ........................................................................................................ 1515.175. Configuration de l'exportation Syslog ............................................................................. 151

Introduction


1 Introduction

Ce manuel s’adresse aux administrateurs système et/ou réseaux ayant en charge l’installation et laconfiguration d’UCOPIA Advance.

UCOPIA Advance est constitué d’un boîtier (ou Appliance) se positionnant entre l’infrastructure d’accueildes utilisateurs (Wifi et/ou filaire) et le réseau local de l’entreprise.

UCOPIA Advance assure les grandes fonctions suivantes :

Authentification des utilisateurs

Gestion des droits d’accès par profil utilisateur en fonction du lieu et de l’heure

Confidentialité des données

Accès « Zéro Configuration » pour les utilisateurs

Provisionnement des comptes par délégation et/ou auto-enregistrement

Supervision et journalisation

Intégration avec le réseau existant

Déploiement multi-sites

Haute disponibilité

Nous présenterons dans ce manuel la façon d’installer et de configurer UCOPIA Advance. Pour sonadministration, consultez le manuel « Manuel d’Administration UCOPIA Advance ».

Note

Pour désigner UCOPIA Advance dans ce manuel, nous utiliserons indifféremment le terme de « boî-tier » ou de « contrôleur ». Le terme de contrôleur est en particulier utilisé par les interfaces gra-phiques des outils d’administration UCOPIA.

Installation


2 InstallationUCOPIA Advance s’installe en coupure logique (ou physique) entre le LAN d’entreprise et le réseaud’accueil des utilisateurs (Wifi et/ou filaire). Tous les flux en provenance ou à destination des utilisateursdoivent traverser le boîtier UCOPIA. Pour cela, le boîtier UCOPIA est équipé de deux cartes Ethernet,l’une étant reliée au LAN, l’autre sur le réseau d’accueil.

L’installation s’effectue comme suit :

Branchement d’un câble Ethernet reliant l’interface eth0 (OUT) du boîtier UCOPIA vers le LAN.

Branchement d’un câble Ethernet reliant l’interface eth1 (IN) du boîtier UCOPIA vers l’infrastructured’accueil Wifi et/ou filaire (exemple : commutateur sur lequel sont branchés les points d’accès).

Branchement secteur 220 V ou 110 V.

Voici le schéma d’installation d’UCOPIA Advance :

Figure 2.1. Schéma d’installation d’UCOPIA Advance

Note

Il est possible de brancher sur le boîtier UCOPIA, côté eth1, des postes utilisateurs connectés enfilaire.

Avertissement

Si UCOPIA est directement relié à un modem ADSL côté eth0, celui-ci doit assurer la fonction derouteur.

Installation


Avertissement

Effectuez tous les branchements avant de démarrer le boîtier UCOPIA.

Connexion à l’outil d’administration UCOPIA


3 Connexion à l’outil d’administration UCOPIA

Se connecter à l’outil d’administration nécessite d’accéder au contrôleur UCOPIA. Le contrôleur peutêtre découvert grâce aux annonces UPnP qu’il émet sur le réseau à intervalles réguliers sur toutes sesinterfaces réseau.

Note

Le service UPnP peut être désactivé (aucune annonce n’est émise). L’intervalle d’émission des an-nonces peut être modifié. Voir Section 5.1.1, « Configuration des paramètres de base du contrôleur ».

Avertissement

Pour bénéficier de cette découverte, il est nécessaire de disposer sur le poste administrateur d’unclient UPnP installé et activé.

Un poste administrateur pourra alors facilement avoir accès au contrôleur en parcourant les périphé-riques découverts par UPnP, comme le montre la capture d’écran ci-dessous :

Figure 3.1. Découverte UPnP sous Windows XP

L’accès au contrôleur pourra se faire grâce à l’adresse de périphérique fournie dans l’annonce UPnP.Cette adresse étant basée sur l’adresse IP du contrôleur, celui-ci devra toujours disposer d’une adressevalide. Dans le cas où aucun serveur DHCP n’est présent sur le réseau pour lui en fournir une, lecontrôleur utilisera le mécanisme auto-IP pour effectuer cette tâche.



Dans l’exemple ci-dessus, l’adresse du contrôleur sera 10.0.0.113. L’outil d’administration sera acces-sible à l’adresse https://10.0.0.113/admin.

Note

Si toutefois, le poste administrateur ne dispose pas de client UPnP, l’accès à l’outil d’administrationse fait en ouvrant depuis votre ordinateur un navigateur Internet à l’adresse suivante : https://controller.mobile.lan/admin

Vous devez au préalable connecter votre ordinateur au boîtier UCOPIA, en suivant une des méthodesprésentées ci-dessous :

1. Reliez votre ordinateur à l’interface eth1 (IN) du boîtier UCOPIA à l’aide d’un câble réseau.

2. Reliez votre ordinateur au commutateur sur lequel sont branchés les points d’accès à l’aide d’un câbleréseau droit, ce commutateur étant lui-même relié au boîtier UCOPIA.

3. Associez-vous à un point d’accès relié au boîtier UCOPIA, en utilisant le SSID qui a été configuréà cet effet.

La page d’authentification s’affiche :

Figure 3.2. Page d’authentification à l’outil d’administration UCOPIA Advance

Entrez votre login et mot de passe afin de vous authentifier. Une fois authentifié, la page de bienvenues’affiche. Par défaut, le login est admin et le mot de passe est ucopia.

Avertissement

Le contrôleur UCOPIA impose de changer le mot de passe administrateur. Pour cela, consultez ladocumentation « Manuel d’Administration UCOPIA Advance », Section « Exploitation »).

https://10.0.0.113/admin

https://controller.mobile.lan/admin

https://controller.mobile.lan/admin



Figure 3.3. Page d’accueil d’UCOPIA Advance sans licence

Avertissement

La page d’accueil indique que la licence doit être préalablement installée (voir Section suivante).

Note

À tout moment, il est possible de redémarrer ou d’arrêter le boîtier UCOPIA en cliquant respective-ment sur « Redémarrer » ou « Arrêter ».

La documentation est disponible en ligne en cliquant sur « Documentation » dans la barre de menus.Les documentations proposées sont téléchargeables au format PDF en français et en anglais commele montre la copie d’écran ci-dessous.

Figure 3.4. Téléchargement de la documentation



Note

Si la licence n’est pas encore installée, l’ensemble de la documentation est proposée (gamme Ex-press et Advance).

Installation de la licence UCOPIA


4 Installation de la licence UCOPIA

L’installation de la licence UCOPIA est indispensable pour assurer le fonctionnement du boîtier UCOPIA.La licence définit la gamme et le modèle du boîtier UCOPIA (Advance 100, Advance 200, etc.).

Note

À ce stade, la plupart des fonctions de l’outil d’administration sont interdites. Seules sont autoriséesles fonctions permettant d’associer le boîtier UCOPIA au réseau, ainsi que les fonctions d’ouverturedu tunnel de maintenance et d’installation de la licence.

Cliquez sur l’item « Exploitation » de la barre de menu, puis sur l’item « Licence » dans le menu àgauche de la fenêtre.

La page de mise à jour de la licence s’affiche :

Figure 4.1. Installation de la licence UCOPIA

4.1. Installation automatique

Renseignez les champs correspondant aux coordonnées de la société installatrice et du client final.Cliquez sur « Installer la licence »

Avertissement

Le contrôleur UCOPIA doit être configuré de telle sorte qu’il puisse accéder à Internet et donc à laplate-forme qui délivre les licences.

En cas de succès, un message s’affiche indiquant que la licence s’est correctement installée.



Figure 4.2. Enregistrement automatique de licence

Dans le cas contraire, effectuez une installation manuelle.

4.2. Installation manuelle

Pour réaliser une installation manuelle de licence, suivez les étapes ci-dessous.

1. Ouvrez le cadre de mise à jour manuelle de la licence en cliquant sur l’icône « + ». La page suivantes’affiche :

Figure 4.3. Installation manuelle de licence

2. Cliquez sur le lien :

https://services-management-platform.com/gestion/license.php [https://services-manage-ment-paltform.com/gestion/licence.php]

La page suivante s’affiche :

https://services-management-paltform.com/gestion/licence.php





Figure 4.4. Génération du fichier de licence

3. Recopiez l’expression affichée dans le captcha code. Entrez le numéro de série du contrôleurUCOPIA ainsi que les coordonnées de la société installatrice et celles de la société cliente. Cliquezsur « Valider ».

4. Un fichier « license.tgz » est proposé en téléchargement. Enregistrez ce fichier sur votre poste.

5. Importez ce fichier sur le contrôleur à l’aide du bouton « Parcourir… ».

6. Enregistrez la licence en cliquant sur « Enregistrer ».

Une fois la licence enregistrée, un message de confirmation s’affiche, par exemple :

Figure 4.5. Enregistrement manuel de la licence

L’ensemble des menus est maintenant opérationnel.

Si toutefois, la licence n’est pas valide, il est possible de restaurer la précédente licence en cliquant surle bouton « Restaurer l’ancienne licence » comme indiqué dans la copie d’écran ci-dessous.



Figure 4.6. Restauration de licence

Note

En cas de problèmes, envoyez un mail à [email protected] [mailto:[email protected]] en indi-quant le numéro de série du contrôleur UCOPIA, les coordonnées des sociétés installatrice et cliente,ainsi que la nature des problèmes rencontrés.

mailto:[email protected]


Configuration du contrôleur UCOPIA


5 Configuration du contrôleur UCOPIAUCOPIA Advance est préconfiguré pour une mise en service rapide.

L’interface eth0 côté LAN est préconfigurée en mode client DHCP.

Trois interfaces réseaux virtuelles (VLAN) sont préconfigurées sur eth1 :

VLAN natif 192.168.100.0/24 : ce VLAN est utilisé pour l’administration des éléments actifs (pointsd’accès Wi-Fi par exemple) ;

VLAN 2 192.168.200.0/24 : ce VLAN peut être associé à l’authentification de type portail web ;

VLAN 3 192.168.250.0/24 : ce VLAN peut être associé à l’authentification de type 802.1x/EAP.

Un ensemble de services est également préconfiguré. De plus, vous trouverez deux profils (« mana-gers » et « guest ») déjà créés avec un utilisateur pour chacun d’entre eux (« manager » et « guest1 »).Les mots de passe associés à ces utilisateurs sont respectivement xdr22nbv et ucopia.

Avertissement

Les mots de passe des comptes utilisateurs préconfigurés sont bien sûr à modifier le plus rapidementpossible.

Pour effectuer l’ensemble des configurations du boîtier UCOPIA Advance, cliquez sur l’item « Configu-ration » de la barre de menu. La page suivante s’affiche :

Figure 5.1. Page d’accueil de la configuration UCOPIA Advance

Les options de configuration sont classées par catégorie.

Réseau

Cette catégorie va permettre de configurer l’ensemble des paramètres réseau du boîtier UCOPIA :le nom du contrôleur, les VLAN d’entrée et de sortie, les routes statiques de sortie, le serveur detemps, etc.



Authentification

Cette catégorie est consacrée à la configuration des mécanismes d’authentification, les an-nuaires intervenant dans l’authentification, le serveur RADIUS embarqué dans le boîtier UCOPIA,l’authentification transparente Windows, etc.

Zéro configuration

Il s’agit ici de configurer les mécanismes permettant à un utilisateur d’utiliser son poste et ses ap-plications sans configuration préalable : utilisation d’un poste en IP fixe, redirection Web et email,service d’imprimante virtuelle.

Personnalisation

Cette catégorie va permettre de configurer les portails captifs et de délégation (formats, modes defonctionnement, aspects visuels, etc.), d’ajouter des champs additionnels pour la description descomptes utilisateurs, de personnaliser les tickets de connexion délivrés par l’outil d’administrationdéléguée, ainsi que de définir des URL accessibles avant authentification.

Journalisation

Il s’agit ici de choisir les informations qui seront journalisées (sessions, trafic, URL) ainsi que lescritères de purge de la base de données (critères temporels ou de taille). Il est également possiblede configurer l’export automatique des sauvegardes de journaux via le protocole FTP.

Haute disponibilité (optionnel)

La redondance et la répartition de charge sont configurables dans cette section.

Multi-contrôleurs

Dans le cas de l’utilisation du contrôleur UCOPIA dans un contexte multi-contrôleurs (environne-ment multi-sites et/ou redondance/répartition de charge), il sera possible de configurer un contrô-leur principal et des contrôleurs secondaires.

Services externes

UCOPIA utilise des services tels que SMS ou email pour, par exemple, transmettre des identifiantsde connexion à l’utilisateur. Il s’agit de définir dans cette catégorie les différents comptes SMS,email ou PayPal qui pourront être utilisés dans le produit UCOPIA.

Interfaces avec le contrôleur

Cette catégorie permet de configurer les interfaces de communication avec le contrôleur UCOPIA.Nous trouvons une interface SNMP permettant de superviser UCOPIA depuis un outil de supervi-sion du marché. Nous trouvons également des interfaces permettant d’interopérer avec des outilsde type PMS et PPS (cartes prépayées) pour des besoins de facturation de services. Et enfin lapossibilité d’exporter des informations vers un serveur Syslog.

5.1. Configuration réseau

Cliquez sur l’item « Réseau » proposé en partie gauche de la fenêtre. Le sous-menu s’affiche et proposeles items suivants :



Figure 5.2. Items du menu Réseau

5.1.1. Configuration des paramètres de base du contrôleur

Cliquez sur l’item « Contrôleur » du sous-menu. La page suivante s’affiche :



Figure 5.3. Configuration des paramètres de base du contrôleur

Le premier bloc permet de définir le nom du contrôleur et son nom de domaine sur les VLAN d’entréeet les VLAN de sortie. Le nom du contrôleur UCOPIA est par défaut : controller, et son domaine :ucopia.mobile.

Si vous souhaitez enregistrer le contrôleur UCOPIA dans un domaine Windows, vous devez ren-seigner le champ « Groupe de travail Netbios ». Par défaut, celui-ci est UCOPIA.

Le bloc « Service d’annonce du contrôleur par UpnP » permet d’activer ou de désactiver leservice UpnP qui permet de découvrir le contrôleur sur le réseau. Ce service est activé par défaut.

Le bloc « Sécurité » met en œuvre un mécanisme permettant de détecter les attaques de type ARPpoisoning et d’y remédier. Ces attaques peuvent provenir d’utilisateurs se trouvant sur les VLANd’entrée du contrôleur UCOPIA.



Le bloc « Nature du réseau » permet de configurer le contrôleur UCOPIA pour qu’il puisse s’adapterà différents types d’architecture réseau et plus particulièrement au cas d’une architecture multi sitesavec UCOPIA centralisé.

Dans le cas d’une architecture multi sites centralisée, trois cas de figure peuvent se présenter :

Les sites distants sont reliés en niveau 2 au site principal (« Réseau commuté »). Dans cecas, l’ensemble des fonctionnalités UCOPIA sont opérationnelles, notamment toutes cellesassociées aux VLAN (zones, multi portails, etc.). Il s’agit de la configuration par défaut.

Les sites distants sont reliés en niveau 3 au site principal (« Réseau routé »). Dans ce cas,UCOPIA fonctionne en faisant abstraction des informations niveau 2 avec toutefois quelquesrestrictions : (1) seul le mode d’authentification par portail Web est possible, (2) les postesclients sur le site distant doivent être configurés en DHCP, (3) le portail d’authentification doitêtre en mode « réauthentification automatique ».

Certains sites sont reliés en niveau 2, d’autres en niveau 3 (« Réseau commuté et routé »).

Le bloc « Configuration des interfaces » permet, pour chaque interface :

de modifier la taille des paquets (en octets) pouvant être transmis en une seule fois (sansfragmentation) en sortie du contrôleur,

de choisir le mode « autonégociation » ou pas (sélectionné par défaut),

la vitesse de transmission. Le statut actuel du contrôleur est affiché concernant la vitesse réelledu lien.

Le bloc « Interface de sortie » permet de visualiser pour eth0 la configuration en termes de MTUet de vitesse de lien.

Le bloc « Interface d’entrée » permet de visualiser pour eth1 la configuration en termes de MTUet de vitesse de lien.

5.1.2. Configuration des VLAN d’entrée

Cliquez sur l’item « VLAN d’entrée » du sous-menu. La page ci-dessous s’affiche. Par défaut, 3 VLANsont préconfigurés.



Figure 5.4. Configuration des VLAN d’entrée

VLAN 1 (natif) (192.168.100.0/24) : ce VLAN est utilisé pour l’administration des équipementsactifs.

VLAN 2 (192.168.200.0/24) : ce VLAN peut être associé à une authentification de type portail Web.

VLAN 3 (192.168.250.0/24) : ce VLAN peut être associé à une authentification de type 802.1x/EAP.

Sur chaque VLAN, le serveur DHCP peut être activé ou pas, ainsi que les outils d’administration. Unepastille verte indique la disponibilité, une pastille rouge la non disponibilité.

Note

Si dans les colonnes « Accès administration » » ou « Accès délégation » le lien « Filtrage avan-cé » apparaît, cela indique que l’accès aux outils d’administration a été personnalisé via l’éditeur defiltrage (voir Section 5.1.7, « Configuration des options de filtrage »). Cliquez sur le lien pour accéderà l’éditeur de filtrage.

Pour ajouter un nouveau VLAN d’entrée, cliquez sur le bouton « Ajouter ». La page suivante s’affiche :



Figure 5.5. Ajout d’un VLAN d’entrée

Bloc « Paramètres réseau »

Il s’agit tout d’abord de renseigner les paramètres réseau : l’ID du VLAN (« Numéro de VLAN »),l’adresse IP du boîtier UCOPIA (« Adresse IP du contrôleur »), le masque de sous-réseau(« Masque de sous-réseau ») et la zone d’entrée (« Zone d’entrée »).

Concernant l’utilisation des zones d’entrée, reportez-vous à la documentation « Manueld’Administration UCOPIA Advance », Section « Administration des zones ».

Bloc « Accès aux outils d’administration »

Il est ensuite possible de permettre à un utilisateur connecté sur ce VLAN d’accéder aux outilsd’administration (outil d’administration et/ou outil d’administration déléguée). Par défaut, l’accès estautorisé sur les VLAN préconfigurés.

Pour donner accès à un outil d’administration, il suffit de cocher la case correspondante.



Figure 5.6. Exemple de configuration d’un VLAN d’entrée

Astuce

Pour contrôler de manière fine les accès aux ressources du contrôleur, y compris à l'outild'administration, à partir des VLAN ou d'autres entités réseau, voir Section 5.1.7.1, « Accès au contrô-leur ».

Bloc « Paramètres DHCP »

Si vous souhaitez que le serveur DHCP soit activé sur ce VLAN, il faut cocher la case « Activer leserveur DHCP pour ce VLAN » et renseigner les paramètres DHCP correspondants.

Figure 5.7. Exemple de configuration des paramètres DHCP pour un VLAN d’entrée



Le bouton « Calculer les paramètres DHCP » permet de calculer automatiquement les champsobligatoires.

Plages d'adresses. Vous pouvez définir la ou les plages d'adresses IP qui seront attribuées auxclients DHCP. Pour cela cliquez sur le lien « Ajouter une plage ». Le formulaire suivant s’affiche :

Figure 5.8. Ajout d’une plage d'adresses DHCP

Renseignez l'adresse de début puis celle de fin de la nouvelle plage.

Baux fixes. Si vous souhaitez qu'une machine dont on connaît l’adresse MAC obtienne toujoursla même adresse IP, il faut définir un bail fixe. Pour cela cliquez sur le bouton « Ajouter un bailfixe ». Le formulaire suivant s’affiche :

Figure 5.9. Ajout d’un bail fixe

Renseigner l’adresse MAC et l’adresse IP de la machine pour chaque machine concernée.

Cliquez sur « Valider » pour confirmer la création du VLAN.

Les VLAN peuvent être supprimés ou modifiés après leur création (ainsi que les VLAN préconfigurés).Pour cela, dans le tableau des VLAN, sélectionnez le VLAN à supprimer ou à modifier, à l’aide de lacase à cocher correspondante, et cliquez sur « Supprimer » ou « Modifier ».

5.1.3. Configuration des VLAN de sortie

UCOPIA Advance offre la possibilité d’aiguiller le flux d’un utilisateur en sortie du boîtier UCOPIA surun VLAN particulier. La redirection s’effectue en fonction du profil de l’utilisateur (voir documentation« Manuel d’Administration UCOPIA Advance », pour associer un VLAN à un profil utilisateur).

Cliquez sur l’item « VLAN de sortie » du sous-menu proposé en partie gauche de la fenêtre. La pagesuivante s’affiche :



Figure 5.10. Configuration des VLAN de sortie

Le VLAN 1 est préconfiguré. Il correspond au VLAN natif. Le champ « Adresse IP du contrôleur »correspond soit à l’adresse IP octroyée par le service DHCP du réseau d’entreprise, soit à l’adresse IPfixe spécifiée dans la configuration du VLAN. Si le boîtier n’est pas connecté au réseau, son adressesera choisie dans la plage 169.254.0.0./16. Le champ « Mode d’adressage » précise si le mode DHCPpour ce VLAN est actif ou pas (il affiche « DHCP » si le mode est activé ; il affiche « Fixe » sinon).

Avertissement

La prise en compte d’une adresse IP attribuée par DHCP est activée sur un seul des VLAN de sortie.Par défaut, DHCP est activé sur le VLAN natif.

Les champs « Accès administration » et « Accès délégation » indiquent si l’accès aux outilsd’administration est autorisé depuis le VLAN (vert : autorisé, rouge : interdit). L’accès aux outilsd’administration depuis le VLAN natif est par défaut autorisé.

Note

Si dans les colonnes « Accès administration » ou « Accès délégation » le lien « Filtrage avancé» apparaît, cela indique que l’accès aux outils d’administration a été personnalisé via l’éditeur defiltrage (voir Section 5.1.7, « Configuration des options de filtrage »). Cliquez sur le lien pour accéderà l’éditeur de filtrage.



Le champ « Sortie par défaut » indique si ce VLAN correspond à la sortie par défaut du boîtier UCOPIA.

Pour ajouter un nouveau VLAN de sortie, cliquez sur le bouton « Ajouter ». La page suivante s’affiche :

Figure 5.11. Ajout d’un VLAN de sortie

Vous devez renseigner tout d’abord les informations réseau : l’ID du VLAN (« Numéro de VLAN »),l’adresse IP du boîtier UCOPIA (« Adresse IP du contrôleur »), le masque de sous-réseau (« Masquede sous-réseau ») et la passerelle (« Passerelle »).

Le VLAN peut être configuré pour être la sortie par défaut. Pour cela, il faut cocher la case « Activercomme sortie par défaut ».

Avertissement

Pour pouvoir activer l’option « Sortie par défaut », il faut qu’aucun serveur DHCP ne soit activé surles interfaces de sortie, sinon c’est l’interface sur laquelle est activé DHCP qui sera sortie. Par défaut,c’est l’interface eth0 qui est configurée en DHCP.



Vous pouvez ensuite permettre à un utilisateur connecté sur ce VLAN d’accéder aux outilsd’administration (outil d’administration et/ou outil d’administration déléguée).

Figure 5.12. Exemple de création d’un VLAN de sortie

Astuce

Pour contrôler de manière fine les accès aux ressources du contrôleur, y compris à l'outild'administration, à partir des VLAN ou d'autres entités réseau, voir Section 5.1.7.1, « Accès au contrô-leur ».

Les VLAN peuvent être supprimés ou modifiés après leur création. Pour cela, dans le tableau des VLAN,sélectionnez le VLAN à supprimer ou à modifier, à l’aide de la case à cocher correspondante, et cliquezsur « Supprimer » ou « Modifier ».

Avertissement

Le VLAN natif ne peut être supprimé.

5.1.3.1. Configuration des politiques de sortie locales

À chaque VLAN de sortie, il est possible de définir et d’associer une politique de sortie permettant despécifier à quelle zone de sortie est associé le VLAN ainsi que son mode d’adressage réseau (NAT ouroutage). Par ailleurs, nous rappelons qu’une zone de sortie peut être associée à un profil utilisateurafin que les flux des utilisateurs appartenant à ce profil soient redirigés dans la zone appropriée (voirdocumentation « Manuel d’Administration UCOPIA Advance », Section « Administration des profilsutilisateur »).

Les politiques de sortie sont locales car elles s’appliquent à un et un seul contrôleur : celui sur lequelelles sont configurées.

Par défaut, une seule politique de sortie est définie. Elle est associée au VLAN 1 natif. Cette politiqueindique que le VLAN 1 est associé à la zone Défaut, et que tous les utilisateurs de tous les profils (lesdeux profils préconfigurés) sont NATtés en utilisant l’adresse IP de l’interface eth0. La copie d’écran ci-dessous décrit la configuration de cette politique par défaut.



Figure 5.13. Politique de sortie par défaut pour le VLAN natif

Pour créer une politique de sortie, cliquez sur le bouton « Ajouter » du tableau de politiques. La pagesuivante s’affiche :

Figure 5.14. Ajout d’une politique de sortie

Il faut tout d’abord spécifier la zone associée à la politique. Si aucune zone n’existe, il est possible de lacréer directement depuis ce formulaire. Il faut ensuite renseigner le numéro de VLAN qui sera associéà la politique, ainsi que le mode d’adressage réseau (Routage ou NAT).

Dans le cas du choix du mode NAT, il est possible soit d’utiliser l’adressage de l’interface correspon-dante, soit de spécifier l’adresse IP de NAT choisie.

Il faut ensuite sélectionner les profils utilisateurs qui appliqueront cette politique de sortie. Choisissez lesprofils en les sélectionnant dans la liste des profils disponibles, les ajouter à l’aide du bouton « <<<Ajou-ter » dans le liste des profils concernés.

Enfin, il est possible d’ajouter des VLAN additionnels dans la politique de sortie. Pour certains besoinsspécifiques, il peut être nécessaire d’accéder à plusieurs VLAN distincts. Par exemple, un utilisateurredirigé par défaut vers un VLAN d’accès Internet mais qui voudrait accéder à un serveur isolé sur unautre VLAN.

Pour ajouter un VLAN supplémentaire, cliquez sur le lien « VLAN supplémentaires accessibles parpolitique » afin de faire apparaître l’écran de configuration.

La liste de gauche affiche les VLAN disponibles pouvant être ajoutés. Il est possible de restreindrel’accès à une adresse IP particulière.

Exemple :



Figure 5.15. Exemple de configuration de VLANs de sortie supplémentaires

Ci-dessous, nous trouvons un exemple pour lequel deux politiques de sortie sont définies pour deuxpopulations d’utilisateurs : les Étudiants et les Professeurs. La politique pour les Étudiants est associée àla zone Pédagogique, et la politique pour les Professeurs à la zone Laboratoires. Le trafic des Étudiantsest NATté et redirigé dans le VLAN 1 en sortie d’UCOPIA. Le trafic des Professeurs est routé et redirigédans le VLAN 5 en sortie d’UCOPIA.

Figure 5.16. Exemple de politiques de sortie

5.1.4. Configuration des routes statiques de sortie

Les routes statiques servent en général à contacter une ressource réseau située sur un réseau routédifférent du LAN sur lequel se situe le contrôleur UCOPIA.



On rencontre par exemple cette configuration dans les cas suivants :

Si le contrôleur UCOPIA est interfacé avec un annuaire LDAP sur un LAN différent, il faut alorsparamétrer une route statique afin d’indiquer la passerelle (équipement du LAN sur lequel se situele contrôleur) qui sera utilisée pour contacter le réseau distant.

Si le poste d’administration (ou administration déléguée) se trouve sur un réseau distant différentdu LAN sur lequel se situe le contrôleur UCOPIA, il faut alors paramétrer une route statique afind’indiquer la passerelle qui sera utilisée par le contrôleur pour atteindre le poste de l’administrateur.

Pour configurer les routes statiques, cliquez sur l’item « Routes statiques » du sous-menu en partiegauche de la fenêtre. La page suivante s’affiche :

Figure 5.17. Configuration des routes statiques de sortie

Pour ajouter une nouvelle route statique, cliquez sur le bouton « Ajouter ». La page suivante s’affiche :



Figure 5.18. Ajout d’une route statique

Configurez les paramètres réseau, par exemple :

Figure 5.19. Exemple de configuration d’une route statique

5.1.5. Configuration du serveur de temps

Pour configurer le serveur de temps, cliquez sur l’item « Serveur de temps » du sous-menu en partiegauche de la fenêtre. La page suivante s’affiche :



Figure 5.20. Configuration du serveur de temps

Vous pouvez choisir le fuseau horaire approprié (Europe/Paris par défaut), puis configurer la date etl’heure. La configuration de la date et de l’heure peut être réalisée soit automatiquement via un serveurNTP, soit manuellement.

5.1.6. Configuration du serveur DNS

UCOPIA embarque un serveur DNS (Domain Name System) qui se comporte comme un relai DNS versses propres serveurs DNS. Le relai DNS peut être personnalisé en fonction du profil de l’utilisateur oude l’interface d’entrée d’UCOPIA. La table d’enregistrements DNS peut être enrichie afin de résoudredes adresses additionnelles.

Pour configurer le serveur DNS, cliquez sur l’item « Serveur DNS » du sous-menu en partie gauche dela fenêtre. La page suivante s’affiche :



Figure 5.21. Configuration du serveur DNS

La première étape de configuration consiste à définir l’adresse du DNS principal et éventuellement celledu DNS secondaire.

La taille maximale des paquets est personnalisable afin de pouvoir communiquer avec tout serveur DNS.Cela permet notamment de facilite le transfert de paquets dont la taille est supérieure à 512 octets. Pardéfaut, la taille maximale est fixée à 1280 octets. Elle peut être relevée jusqu’à 4096 octets.

Pour chacun des DNS (principal et secondaire), il est possible d’effectuer un test afin de s’assurer quele DNS est correctement configuré. Pour cela, utilisez les boutons « Tester » associés aux DNS.

Le test affiche la fenêtre suivante.



Figure 5.22. Test d’un serveur DNS

Renseignez le nom de domaine et le type de requête. Les requêtes pouvant être testées sont décritesdans le tableau ci-dessous. Le nombre d’envois pour chaque requête peut être spécifié.

Type de requête DNS Signification

A fait correspondre un nom d’hôte à une adresse IPv4 de 32 bits distribuéssur quatre octets, ex. : 123.234.1.2

AAAA fait correspondre un nom d’hôte à une adresse IPv6 de 128 bits distri-bués sur seize octets

MX définit les serveurs de messagerie pour le domaine

NS définit les serveurs DNS du domaine

SOA donne les informations générales de la zone : serveur principal, emailde contact, différentes durées dont celle d’expiration, numéro de sériede la zone

SRV propose des fonctionnalités avancées comme le taux de répartition decharge pour un service donné, standardisé dans la RFC 2782 [http://tools.ietf.org/html/rfc2782]

5.1.6.1. Configuration du relai DNS par politique

Le relai DNS peut être configuré par politique, soit en fonction du profil de l’utilisateur, soit en fonctionde l’interface d’entrée du contrôleur UCOPIA. Si aucune politique n’est définie, seuls les DNS primaireset secondaires seront utilisés.

Pour configurer une politique, cliquez sur le bouton « Ajouter » du tableau des politiques DNS. La pagesuivante s’affiche :

http://tools.ietf.org/html/rfc2782





Figure 5.23. Configuration d’une politique DNS

Nommer la politique et renseignez le type de politique (profil ou VLAN d’entrée).

Politique par VLAN d’entrée

La politique par VLAN d’entrée ne s’applique qu’avant authentification de l’utilisateur sur le portailcaptif. Si les serveurs DNS du contrôleur UCOPIA sont des serveurs internes (ex. : un contrôleurde domaine pour la résolution des machines internes), il est alors intéressant d’appliquer des poli-tiques DNS différentes aux utilisateurs en fonction du VLAN d’entrée. Pour un VLAN d’entrée visi-teur, il sera conseillé d’adresser des serveurs DNS publics afin que les utilisateurs ne puissent pasrésoudre de nom de machines internes.

Politique par profil

La politique par profil ne s’appliquera qu’une fois l’utilisateur authentifié. Sur un VLAN d’entrée nonsécurisé, UCOPIA peut adresser des serveurs DNS publics avant l’authentification de l’utilisateur.Une fois l’utilisateur appartenant à un profil « employé », le contrôleur pourra adresser les serveursDNS du domaine interne.

5.1.6.2. Ajout d’enregistrements DNS

Il est possible d’enrichir le serveur DNS avec de nouveaux Enregistrements DNS.



Pour ajouter un enregistrement DNS, cliquez sur le bouton « Ajouter » du tableau de DNS. La pagesuivante s’affiche :

Figure 5.24. Ajout d’un nouvel enregistrement DNS

Pour chaque entrée DNS, il est possible de spécifier le nom DNS (ex. : fr.ucopia.org) et l’adresse IPd’une machine. Il est également possible de compléter automatiquement le nom du domaine lors del’envoi de la réponse DNS, et ce aussi bien en entrée qu’en sortie.

Par exemple, pour un domaine ayant pour nom « mobile.lan » et une imprimante Wi-Fi se trouvant cotéeth1 ayant comme adresse IP 192.168.100.1 et pour nom « Printer », il sera possible d’effectuer unecomplétion automatique avec le nom du domaine lors de l’envoi de la réponse DNS. La réponse serapar conséquent « Printer.mobile.lan ».

Exemple :

Figure 5.25. Exemple de configuration d’un enregistrement DNS



5.1.6.3. Recommandations d’usage des DNS

Les utilisateurs se connectant via le portail UCOPIA ont la possibilité d’effectuer des requêtes DNS avantauthentification. Ceci permet d’éviter le problème de pollution de cache DNS, nuisible aux applications(et notamment à la plupart des navigateurs) mettant en œuvre un cache DNS et ne respectant pas lesindications de durée de validité des réponses DNS.

Il est de ce fait possible dans certaines conditions de faire transiter des informations avant authentifica-tion, et ce à très faible débit.

Il est donc recommandé à des fins de sécurité de mettre en œuvre les dispositions suivantes :

Configurer le serveur DNS utilisé par UCOPIA vers un serveur DNS sans accès Internet, ce quiévite les problèmes de requêtes DNS récursives. L’utilisation d’un proxy Web ayant accès à Internetest alors recommandée par l’usage du service Web.

Configurer le serveur DNS utilisé par UCOPIA vers un serveur DNS ne supportant pas les requêtesDNS récursives et/ou possédant des fonctionnalités de détection de trafic DNS suspect.

5.1.7. Configuration des options de filtrage

UCOPIA propose plusieurs options ayant trait au mécanisme de filtrage UCOPIA.

Pour utiliser ces options, cliquez sur l’item « Filtrage » du sous-menu en partie gauche de la fenêtre.La page suivante s’affiche :

Figure 5.26. Configuration des options de filtrage UCOPIA

5.1.7.1. Accès au contrôleur

L'onglet « Accès au contrôleur » permet de gérer les ouvertures de flux à destination des servicesdu contrôleur.



Pour ajouter un nouvel accès, cliquez sur le bouton « Ajouter » :

Figure 5.27. Définition d'un nouvel accès

Chaque entrée du tableau correspond à la combinaison d'un service et d'une ou plusieurs sources :

Service

Outils d'administration : donner accès à l'outil d'administration UCOPIA.

Portails de délégation : donner accès aux portails de délégation.

Annuaire LDAP : donner accès à l’annuaire LDAP interne du contrôleur UCOPIA. Ceci permetà des outils tiers de récupérer des informations sur les utilisateurs et leur profil.

Agent SNMP : donner accès aux informations SNMP interne du contrôleur UCOPIA. Voir aussiSection 5.9.1, « Interface SNMP ».

CLI : accès à distance directement en ligne de commande

CLI Web : accès à la ligne de commande à travers l'interface Web.

Base SQL des journaux : donne un accès direct à la base de données SQL des journaux,par exemple pour automatiser la production de rapports spécifiques ou réaliser un couplageavec un outil tiers.

Important

Contactez UCOPIA Communications pour connaître les identifiants qui vous permettront de vousconnecter à la base de données. La documentation du schéma SQL vous sera également commu-niquée.

Tous les accès : tous les accès ci-dessus.

Sources

Vous pouvez définir pour le service choisi, une ou plusieurs sources depuis lesquelles l'accès à ceservice sera autorisé : zone, VLAN sous-réseau ou hôte.

Pour ajouter une nouvelle source, cliquez sur le bouton « Ajouter une source » :

5.1.7.2. Ouverture de port

L’onglet « Ouverture de port » permet de « traverser » le contrôleur avec ouverture du filtrage.

Pour réaliser une ouverture de port, cliquez sur le bouton « Ajouter » :

Exemple : le port 2000 depuis la zone d'entrée par défaut vers la zone de sortie par défaut, sans au-torisation.



Figure 5.28. Ajout d'une ouverture de port

Source : la source depuis laquelle l'ouverture est permise (VLAN d’entrée ou de sortie, zoned’entrée ou de sortie, sous-réseau ou @IP unique (« Hôte »).

Logguer le trafic de cette ouverture : choisir Oui pour enregistrer tout le trafic dans les journauxde connexion.

Ouverture d'un accès prédéfini : Cette option permet de choisir un accès spécifique au lieu de dé-finir manuellement destination protocoles et ports. Par exemple « Service Unik » permet d’assurerune compatibilité avec les téléphones Unik. Une fois l’option cochée, le contrôleur UCOPIA laissepasser les flux en provenance de ces téléphones.

Destination : destination autorisée.

Protocoles : protocoles autorisés (TCP/UDP, UDP, etc.).

Ports source : ports sources à autoriser.

Ports destination : ports de destination à autoriser.

5.1.7.3. Redirection de port

L’onglet « Redirection de port » permet de « rebondir » sur le contrôleur, de l’interface d’entrée versla sortie ou inversement.

Pour réaliser une redirection de port, cliquez sur le bouton « Ajouter » :

Figure 5.29. Ajout d'une redirection de port

Source : la source par laquelle est émise la demande de rebond (VLAN d’entrée ou de sortie, zoned’entrée ou de sortie, sous-réseau ou @IP unique (« Hôte »).[p6]



Destination initiale : destination à atteindre avant rebond.

Hôte de destination modifiée : @IP de destination après rebond.

Protocoles : protocoles utilisés pour la redirection (TCP/UDP, UDP, etc.).

Ports initiaux : ports avant rebond.

Ports modifiés : ports après rebond.

Important

Les ports ne peuvent être renseignés que si et seulement si les protocoles utilisés sont TCP/UCP,TCP ou UDP.

Exemple : atteindre un point d’accès Wi-Fi à partir du LAN.

5.2. Configuration de l’authentification

Cliquez sur l’item « Authentification » proposé en partie gauche de la fenêtre. Le sous-menu s’affiche,proposant les items suivants :

Figure 5.30. Items du menu Authentification

5.2.1. Configuration des annuaires d’authentification

UCOPIA Advance a la capacité d’utiliser un ou plusieurs annuaires pour réaliser l’authentification desutilisateurs. Les annuaires impliqués dans l’authentification doivent être conformes au standard LDAP(type OpenLDAP, ActiveDirectory). Des mécanismes de cascade peuvent être mis en place afin deséquencer la recherche d’un utilisateur sur plusieurs annuaires.

L’annuaire interne UCOPIA, qui est utilisé pour le stockage des profils utilisateurs, peut également êtreutilisé dans le processus d’authentification. En effet, les utilisateurs créés depuis l’outil d’administrationdéléguée (généralement des utilisateurs de type visiteur), sont stockés dans l’annuaire interne UCOPIA.Il est donc possible de mettre en cascade l’annuaire d’entreprise et l’annuaire UCOPIA.

Le mécanisme de cascade d’annuaires met en œuvre plusieurs annuaires et peut être associé à unmode d’authentification en particulier. Lors de la spécification d’une cascade d’annuaires, il faut préciserquels sont les annuaires impliqués, l’ordre dans lequel les annuaires seront interrogés, et enfin le moded’authentification (portail ou 802.1x/EAP) pour lequel la cascade s’applique.

Cliquez sur l’item « Annuaires » du sous-menu proposé en partie gauche de la fenêtre. La page suivantes’affiche :



Figure 5.31. Configuration des annuaires d’authentification

Le tableau résume les annuaires configurés et disponibles pour intervenir dans les processusd’authentification. Par défaut, seul l’annuaire UCOPIA est proposé (noté local).

Le bloc « Séquence de recherche dans les annuaires » permet de définir d’une part les cascadesd’annuaires pour les modes d’authentification par portail et 802.1x/EAP (voir Section 5.2.1.1, « Confi-guration d’une cascade d’annuaires ») et d’autre part la cascade d’annuaires pour l’authentification desadministrateurs délégués.

Pour définir un nouvel annuaire, cliquez sur le bouton « Ajouter » du tableau des annuairesd’authentification. La page suivante s’affiche :



Figure 5.32. Configuration d’un annuaire d’authentification

La configuration de l’annuaire s’effectue en suivant les étapes présentées ci-dessous :

1. Bloc « Paramètres généraux ». Configurer les paramètres généraux de l’annuaire.

Nom de l’annuaire : nom de l’annuaire. Ce nom sera utilisé pour désigner l’annuaire dans laspécification des mécanismes de cascade.

Type d’annuaire : l’annuaire peut être l’annuaire UCOPIA interne, un annuaire de type ActiveDirectory ou tout autre annuaire standard LDAP (OpenLDAP, Apple OpenDirectory, etc.).

Exemple :

Figure 5.33. Configuration des paramètres généraux d’un annuaire externe



Note

L’annuaire UCOPIA est configuré par défaut. Il correspond à l’annuaire interne embarqué dans leboîtier UCOPIA.

Avertissement

Si l’annuaire est de type Active Directory et que vous souhaitez mettre en œuvre une authentificationPEAP, vous devez enregistrer le contrôleur UCOPIA dans le domaine Windows. Pour cela, cliquezsur le lien en début de page (voir Section 5.2.4, « Configuration Windows »).

2. Bloc « Paramètres de connexion ». Configurer les paramètres de connexions à l’annuaire :

Adresse IP : adresse IP de l’annuaire ;

Port : numéro de port de l’annuaire en fonction du protocole choisi (LDAP : 389, LDAPS : 636en standard) ;

Bind DN : ce champ représente le « Distinguished Name » de l’administrateur de l’annuaire.L’authentification peut être anonyme. Pour cela, cochez la case « Anonyme » ;

Mot de passe : mot de passe de l’administrateur de l’annuaire.

Exemple 1 :

Figure 5.34. Configuration des paramètres de connexion à un annuaire externe Active Directory

Exemple 2 :

Figure 5.35. Configuration des paramètres de connexion à un annuaire externe LDAP

Avertissement

La nomenclature LDAP doit être respectée afin de désigner le « Bind DN ».

Note

Vous pouvez utiliser le bouton « Tester les paramètres » pour vérifier que la connexion avecl’annuaire s’établit correctement.

3. Bloc « Paramètres de recherche ». Configurer les paramètres de recherche de profil



Les champs suivants sont utilisés pour déterminer le profil de l’utilisateur (ou groupe) en fonctiond’informations présentes dans l’annuaire externe.

Base DN : le « Distinguished Name » correspondant à l’entrée dans l’annuaire à partir de laquellela recherche s’effectue.

Filtre de recherche : filtre LDAP permettant de rechercher l’utilisateur.

Attribut du profil / Profil par défaut : le premier champ « Attribut de profil » permet de spécifierle nom de l’attribut LDAP spécifiant le profil de l’utilisateur. Si cet attribut n’est pas spécifié ou s’iln’est pas renseigné dans l’annuaire, le champ « Profil par défaut » sera utilisé.

Attribut du mot de passe de l’utilisateur / Encodage : le nom de l’attribut LDAP spécifiant lemot de passe de l’utilisateur et son type d’encodage. Cette option est utilisée dans le cas où unattribut différent de l’attribut standard est utilisé pour le mot de passe. En particulier, l’utilisationd’un autre attribut est indispensable si l’on souhaite utiliser un annuaire LDAP qui n’est pas ActiveDirectory avec une authentification de type PEAP. Le mot de passe peut être en clair (Encodage= User-Password) ou chiffré (Encodage = NT-Password).

Attribut de contrôle / Valeur attendue : un attribut de l’annuaire externe qui peut être utilisédans le processus d’authentification. Il faut spécifier, d’une part, le nom de l’attribut et, d’autrepart, la valeur attendue de cet attribut. Par exemple, un attribut qui indique si un utilisateur aaccepté une charte ou s’il a payé son forfait.

Attribut du nom : attribut permettant de récupérer le nom de l’utilisateur afin de le stocker dansles journaux UCOPIA.

Attribut du prénom : attribut permettant de récupérer le prénom de l’utilisateur afin de le stockerdans les journaux UCOPIA.

Avertissement

La nomenclature LDAP doit être respectée afin de désigner le « Base DN ».

Avertissement

L’utilisation de l’attribut de contrôle est nécessairement liée à un profil utilisateur. En effet, l’attributne sera impliqué dans le processus d’authentification que si l’option « Utiliser les attributs decontrôle » est configurée dans le profil utilisateur (voir documentation « Manuel d’AdministrationUCOPIA Advance », Section « Administration des profils utilisateur »).

Exemple 1 :



Figure 5.36. Configuration des paramètres de recherche de profil (Active Directory)

Exemple 2 :

Figure 5.37. Configuration des paramètres de recherche de profil (LDAP)

Note

Vous pouvez utiliser le bouton « Tester les paramètres » pour vérifier que les paramètres sontcorrects.

4. Si l’annuaire a vocation à être utilisé pour l’authentification des administrateurs délégués, cochez lacase « Activer l’accès ».

Figure 5.38. Configuration des comptes de délégation associés à un annuaire

Choisissez le compte de délégation qui sera utilisé pour les administrateurs délégués quis’authentifieront depuis cet annuaire.

5. Cliquez sur « Valider ».



5.2.1.1. Configuration d’une cascade d’annuaires

Le second bloc de la page intitulé « Séquence de recherche dans les annuaires » permet de décriretrois cascades d’annuaires associées respectivement au mode d’authentification par portail Web, aumode 802.1x/EAP et à l’authentification des administrateurs délégués. Pour les deux premières cas-cades (portail et EAP), par défaut, seul l’annuaire interne UCOPIA est défini (local). Ces cascades fonc-tionnent donc par défaut avec ce seul annuaire. Pour la cascade associée à l’authentification des admi-nistrateurs délégués, aucun annuaire n’est défini par défaut.

Note

Les administrateurs délégués définis localement ont automatiquement accès à l’outil d’administration.

Pour modifier les cascades d’annuaires, cliquez sur le bouton « Modifier » du bloc « Séquence derecherche dans les annuaires ».

Pour chacune des trois cascades, il est possible de choisir quels seront les annuaires impliqués dansla cascade, et l’ordre d’interrogation des annuaires.

Exemple : 3 annuaires sont définis (Employés, Partenaires et local). La cascade pour l’authentificationPortail fait intervenir les trois annuaires alors que la cascade EAP seulement deux. La cascade pour lesadministrateurs délégués fait intervenir le seul annuaire Employés.

L’ordre de priorité est spécifié en utilisant les boutons « Monter » ou « Descendre », comme indiquédans la copie d’écran ci-dessous :



Figure 5.39. Configuration des cascades d’annuaires

Une fois les cascades spécifiées, la page de configuration des annuaires s’affiche comme suit :



Figure 5.40. Exemple de configuration de cascades d’annuaires

Note

Plusieurs annuaires UCOPIA peuvent intervenir dans une cascade d’annuaires. Par exemple, dans lecas d’une architecture multi-contrôleurs UCOPIA, il est possible d’interroger en premier lieu l’annuaireUCOPIA du contrôleur Principal puis l’annuaire local du contrôleur Secondaire. Pour cela, il faudraajouter l’annuaire UCOPIA du contrôleur Principal dans la liste des annuaires configurés. Cette ar-chitecture peut s’avérer nécessaire pour garantir le fonctionnement du contrôleur Secondaire en casde coupure réseau entre le contrôleur Principal et le Secondaire.

5.2.2. Configuration des certificats

Le contrôleur UCOPIA utilise ses propres certificats pour, d’une part, l’authentification HTTPS par portailWeb et, d’autre part, la mise en œuvre du protocole EAP/PEAP ou EAP/TTLS par le serveur RADIUSembarqué dans le contrôleur.

Pour charger d’autres certificats dans le contrôleur UCOPIA, cliquez sur l’item « Certificats » du sous-menu proposé en partie gauche de la fenêtre. La page suivante s’affiche :



Figure 5.41. Chargement des certificats

Pour chaque type de certificat, chargez les certificats en utilisant les boutons « Parcourir… », puiscliquez sur « Valider ».

Un clic sur un lien (exemple : « Certificat du contrôleur UCOPIA ») permet de visualiser le contenu ducertificat dans l’encadré « Contenu du certificat ». Le certificat peut également être téléchargé.

Exemple :

Figure 5.42. Visualisation du contenu d’un certificat

Note

Par défaut, UCOPIA utilise des certificats signés GlobalSign.



5.2.3. Configuration RADIUS

UCOPIA embarque son propre serveur RADIUS. Celui-ci peut être utilisé directement en tant que ser-veur d’authentification ou en mode proxy vers un ou plusieurs serveurs RADIUS externes.

Note

Nous rappelons que le protocole RADIUS repose principalement sur un serveur (le serveur RADIUS),relié à une base d’identification (base de données, annuaire LDAP, etc.) et un client RADIUS, appeléNAS (Network Access Server), faisant office d’intermédiaire entre l’utilisateur final (appelé supplicant)et le serveur. L’ensemble des transactions entre le client RADIUS et le serveur RADIUS est chiffréet authentifié grâce à un secret partagé.

Pour configurer le serveur RADIUS UCOPIA, cliquez sur l’item « Radius » du sous-menu proposé enpartie gauche de la fenêtre. La page suivante s’affiche :

Figure 5.43. Configuration du RADIUS UCOPIA

Le bloc « Paramètres EAP » permet de configurer les paramètres pour une authentification 802.1x/EAP. Les certificats pour RADIUS peuvent être téléchargés en cliquant sur le lien « Certificats duserveur RADIUS ». Concernant le mécanisme de réauthentification EAP, il est possible de choi-sir entre 3 cas : (1) pas de réauthentification, (2) une réauthentification qui sera contrôlée par leNAS (point d’accès, par exemple), (3) une réauthentification gérée par le RADIUS UCOPIA avec un



temps de réauthentification configurable en secondes (par défaut, le temps est configuré à 40 se-condes).

Le bloc « Configuration des NAS » permet de configurer, d’une part, le secret partagé néces-saire au chiffrement et, d’autre part, le VLAN d’administration des NAS (les NAS seront les pointsd’accès dans le cas d’une architecture Wi-Fi). Le secret partagé est par défaut testing123 ; le VLANd’administration est par défaut le VLAN 1.

Pour configurer un NAS, cliquez sur le bouton « Ajouter ».

Exemple :

Figure 5.44. Exemple de configuration des NAS

Le cadre « Options avancées pour l’authentification RADIUS » permet de définir certaines op-tions concernant la configuration RADIUS.

Cliquez sur « Valider ».

5.2.3.1. Configuration du RADIUS UCOPIA en mode proxy

Le RADIUS UCOPIA peut se configurer en mode proxy pour interroger un ou plusieurs RADIUS ex-ternes.

L’aiguillage vers le RADIUS externe s’opère grâce à un « realm ». Le « realm » va donc servir à déter-miner vers quel serveur RADIUS le serveur RADIUS UCOPIA doit envoyer sa requête.

Il existe trois catégories de realm :

Le realm nommé ou distant

Il s’agit de la partie de l’identifiant utilisateur qui se trouve après le « @ ». Par exemple, si l’identifiantest « [email protected] [mailto:[email protected]] », le realm sera « truc.com ». La requête seradonc envoyée au serveur RADIUS du domaine truc.com. Il faut néanmoins que ce serveur soitcorrectement configuré dans le mécanisme de proxy.

Le realm vide (NULL)

Le realm n’est pas explicitement mentionné dans l’identifiant utilisateur (exemple : identifiant « jdu-pond »). Dans ce cas, la requête sera envoyée à un serveur qui sera précisé lors de la configurationproxy.

Le realm par défaut (DEFAULT)

Le realm existe mais n’est pas connu de la configuration. Dans ce cas, la requête sera envoyée àun serveur qui sera précisé lors de la configuration proxy.





Par défaut, le RADIUS UCOPIA sera utilisé pour à la fois le realm NULL et le realm DEFAULT, commele montre la configuration par défaut ci-dessous :

Figure 5.45. Configuration par défaut des realms

Note

Le serveur RADIUS UCOPIA est noté « LOCAL » dans la configuration proxy.

Pour utiliser le serveur RADIUS UCOPIA comme proxy, cliquez sur le bouton « Ajouter » du tableau« Configuration des realms et des serveurs proxy RADIUS ». La page suivante s’affiche :

Figure 5.46. Configuration du RADIUS UCOPIA en mode proxy

Il faut tout d’abord définir le nom du realm puis le RADIUS sur lequel le realm sera opérant.

Pour utiliser le RADIUS UCOPIA, cliquez sur le bouton « RADIUS LOCAL ».



Pour utiliser un RADIUS distant, cliquez sur le bouton « RADIUS DISTANT », puis renseignezles informations permettant d’identifier le serveur RADIUS d’autorité associé au realm, à savoirl’adresse IP du serveur RADIUS, le numéro de port sur lequel il est accessible, et son secret. Il fautégalement choisir le profil utilisateur qui sera utilisé par défaut. En effet, le mécanisme de proxyRADIUS ne permet pas de rechercher le profil de l’utilisateur dans l’annuaire distant.

Afin de faire de la facturation (ou accounting), il faut définir le port d’accounting. Dans ce cas, lesmessages standard RADIUS Accounting seront envoyés au RADIUS distant. Les messages sontpar exemple Acc-start (pour une authentification réussie et un démarrage de session), Acc-Stop(pour une déconnexion et fin de session) ou alors un message de type Session-Timeout pour lecas d’utilisation de crédit temps. Le port standard d’accounting est le port 1813.

Certains RADIUS serveurs ont besoin de connaître le realm (par exemple, si l’utilisateur est déclaré entant que [email protected] [mailto:[email protected]] sur le RADIUS distant). Dans ce cas, il faudra cocherla case « Transmettre le realm au RADIUS distant ».

Exemple :

Figure 5.47. Exemple de configuration d’un realm

5.2.3.2. Configuration des options avancées de configuration RADIUS

Pour configurer les options avancées, ouvrir le cadre « Options avancées pour l’authentificationRADIUS ». Les options s’affichent comme suit.





Figure 5.48. Options avancées d’authentification RADIUS

La première option permet de coupler l’authentification RADIUS avec le portail Web. En effet, leserveur RADIUS est généralement utilisé dans le cas d’une architecture d’authentification basée surle protocole 802.1x. Avec UCOPIA, il est possible d’utiliser RADIUS couplé à une authentificationde type portail Web. La résultante de ce couplage permet, d’une part, de bénéficier de la simplicitéde l’authentification par portail (aucun prérequis sur le poste de l’utilisateur) et, d’autre part, debénéficier de la puissance de RADIUS et, en particulier, des mécanismes de proxy.

Pour mettre en œuvre ce couplage, il suffit de cocher la case « Activer ».

Si un poste utilisateur est configuré en 802.1x PEAP/MsCHAPv2 et est rattaché à un domaineWindows, la machine envoie plusieurs types d’authentification. La première authentification est« l’authentification machine » où l’identifiant envoyé est un identifiant propre à la machine. Unefois l’authentification machine envoyée, l’utilisateur s’identifie (ouverture de session Windows). Àce moment, une deuxième authentification est envoyée par la machine avec, comme identifiant,celui de la session utilisateur du domaine.

La deuxième option permet alors de configurer UCOPIA afin de décider quelle authentification seraprise en charge par notre serveur RADIUS :

utilisateurs seuls (défaut),

machines seules,

utilisateurs et machines,

machines du domaine uniquement (une fois l’authentification machine réussie, on mémorisel’adresse MAC) ainsi que les utilisateurs.

Cochez la case correspondante.

Il est également possible de désactiver l’authentification.

5.2.4. Configuration Windows

Pour enregistrer le contrôleur UCOPIA dans un domaine Windows, cliquez sur l’item « Windows » dusous-menu en partie gauche de la fenêtre. La page suivante s’affiche :



Figure 5.49. Configuration de l’authentification transparente Windows

Nous rappelons que cet enregistrement est nécessaire si l’on souhaite s’interfacer avec un annuaireActive Directory et utiliser le protocole d’authentification 802.1x/PEAP.

Il faut renseigner les champs du bloc « Enregistrement dans un domaine Windows ».

Exemple :

Figure 5.50. Exemple d’enregistrement dans un domaine Windows

Si d’autres serveurs Windows doivent être déclarés, pour assurer une redondance par exemple, utilisezle bloc « Déclaration des serveurs Windows miroirs » en spécifiant leurs adresses IP.

5.2.5. Configuration Shibboleth

Shibboleth est un mécanisme de propagation d'identités, développé par le consortium Internet2, quiregroupe un grand nombre d'universités et centres de recherches. L'authentification « Shibboleth » per-met de partager des informations d'identité entre établissements scolaires, universitaires, etc. Ce mé-canisme permet à un établissement de demander à un autre établissement s'il connaît un utilisateur enparticulier, et quel est son profil.

Un peu de vocabulaire

IdP : Identity provider Fournisseur d'identité



SP : Service provider Fournisseur de service

DS : Discovery Service Service de découverte

Procédure 5.1. Déroulement de l'authentification Shibboleth côté portail

1. Lorsqu'un utilisateur veut s'authentifier, il est redirigé vers une page listant l'ensemble des univer-sités de la communauté (le DS). Une fois qu'il a choisi son institution, il est redirigé vers l'IdP deson institution.

En général c'est une page dans laquelle il y a un formulaire identifiant/mot de passe et le logo del'établissement.

2. Si l'authentification est réussie, l'utilisateur est redirigé sur le portail. l'IdP fournit au contrôleur unensemble d'attributs dont l'attribut affiliation (ou rôle). Cet attribut va être utilisé pour tenter de fairecorrespondre cet utilisateur à un profil UCOPIA. Le contrôleur va tenter de donner à l'utilisateur leprofil le plus élevé possible compte tenu des différentes affiliations retournées par l'IdP, en essayantde les faire correspondre, sans tenir compte de la casse. Par exemple, si l'attribut d'affiliation re-tourné est affiliation: member;student;manager, et que le contrôleur propose les profilsStudent et Manager, l'utilisateur aura les privilèges du profil manager.

Pour configurer l’authentification Shibboleth, cliquez sur l’item « Shibboleth » du sous-menu en partiegauche de la fenêtre.

Figure 5.51. Écran d'accueil de la configuration Shibboleth

Procédure 5.2. Ajout d'une configuration Shibboleth

1. Pour ajouter une nouvelle configuration, cliquez sur le bouton « Ajouter »

2. Remplissez les champs requis, et fournissez les fichiers de certificat.



Figure 5.52. Création d'une nouvelle configuration Shibboleth

Configuration active : Permet de définir la configuration actuelle en tant que configurationactive pour être utilisée dans les portails captifs. Une seule configuration peut être active à unmoment donné. Par conséquent, activer cette configuration désactivera toutes les autres.

Nom de la configuration : Le nom interne au boîtier UCOPIA, permettant de faire référenceà cette configuration, notamment dans la configuration du portail.

Fédération : Permet de définir la fédération à laquelle appartiendra le contrôleur. Afin de fa-ciliter la configuration du contrôleur, les métadonnées et les certificats des fédérations RENA-TER sont pré-remplis. Si vous choisissez une autre fédération, vous devrez fournir son URLde métadonnées ainsi que son certificat.

Méta données de la fédération : Permet de définir l'URL des métadonnées de la fédération. Lecontrôleur consulte cette URL toutes les heures afin de vérifier si d'autres IdP se sont rajoutés.Si tel est le cas, des règles de filtrages sont rajoutées afin de permettre l'accès vers ces IdPavant authentification. Dans le cas des fédérations RENATER, cette URL est prédéfinie.

Service de découverte : Permet de définir l'URL du service de découverte Shibboleth (Disco-very Service). Dans le cas des fédérations RENATER, des valeurs par défaut sont proposées.Cependant, le service n'est pas garanti. Les utilisateurs sont invités à déclarer leur propre ser-vice de découverte.

Certificat de la fédération : Ce certificat est fourni par la fédération. Il servira à chiffrer lesmessages émanant du contrôleur. Dans le cas des fédérations RENATER, ce certificat estprédéfini.

Identifiant de l'entité : URL permettant d'identifier de manière unique le contrôleur au sein dela fédération. L'URL n'a pas besoin de pointer vers un serveur. Il est cependant recommandéd'utiliser une URL dont le nom de domaine vous appartient. Cette même URL devra, par lasuite, être spécifiée dans le formulaire d'adhésion à fédération dans le champ 'Entity ID'. Il fautcompter un délai d'une à 3 heures pour que les IdP prennent en compte votre adhésion (ouvos modifications). Exemple : https://www.mondomaine.com/controleur1.

Profil par défaut : Quand un utilisateur shibboleth est authentifié, le fournisseur d'identité(IdP) fournit au contrôleur ses 'affiliations' dans les attributs eduPersonPrimaryAffiliation eteduPersonAffiliation. Renater se base les recommandations SupAnn pour définir les affilia-tions: student, faculty, staff, employee, member, affiliate, alum, researcher, retired, emeritus,etc. Se référer à la documentation CRU [http://www.cru.fr/documentation/supann] pour plusd'information sur les affiliations. Le contrôleur essaie de trouver une correspondance entre cesaffiliations et les profils définis sur le contrôleur. Si une correspondance est trouvée, le profil

http://www.cru.fr/documentation/supann

http://www.cru.fr/documentation/supann



sera affecté à l'utilisateur pour la durée de la session. Par contre, si aucune correspondancen'est trouvée, l'utilisateur se voit affecté au profil par défaut défini par le champ ci-contre. Si voussouhaitez différencier le service en fonction de l'affiliation, vous devez définir sur le contrôleurdes profils portant le même nom.

Exemple 5.1. Exemple 1

eduPersonPrimaryAffiliation : ResearchereduPersonAffiliation : Member, Student, ResearcherProfils du contrôleur : guest, managers, researcher, studentProfil qui sera utilisé : researcher


eduPersonPrimaryAffiliation : ResearchereduPersonAffiliation : Member, Student, ResearcherProfils du contrôleur : guest, managers, studentProfil qui sera utilisé : student


eduPersonPrimaryAffiliation : ResearchereduPersonAffiliation : Member, Student, ResearcherProfils du contrôleur : guest, managersProfil qui sera utilisé : profil par défaut

Certificat du service (x.509) : Ce certificat est utilisé pour chiffrer tous les messages émis parles IdP et à destination du contrôleur. Il doit donc être renseigné dans le formulaire d'adhésionà la fédération. Il sera inclus dans les méta données et diffusé à tous les IdP de la fédération.Si vous laissez ce champ vide, le contrôleur auto-générera un certificat auto signé.

Clé privée du certificat de service : Cette clé privée ne doit être connue que par le contrô-leur. Elle servira à déchiffrer les messages qui lui sont destinés. Elle peut éventuellement êtreprotégée par un mot de passe (ci-dessous)

Mot de passe de la clé privée du certificat de service : (Optionnel) Mot de passe de chif-frement de la clé privée.

URL du service shibboleth : À renseigner dans le champ correspondant dans le formulaired'adhésion à la fédération

URL du service AssertionConsumerService SAML 1.0 : À renseigner dans le champ cor-respondant dans le formulaire d'adhésion à la fédération

URL du service AssertionConsumerService SAML 2.0 : À renseigner dans le champ cor-respondant dans le formulaire d'adhésion à la fédération

3. Enregistrez vous en tant que nouveau fournisseur de service (Service Provider : SP) sur le ré-seau RENATER [https://services-federation.renater.fr/gestion?federation=test], en reprenant les in-formations fournies dans le formulaire à l'étape précédente.

https://services-federation.renater.fr/gestion?federation=test





Figure 5.53. Enregistrement sur le réseau RENATER

5.3. Configuration du « Zéro configuration »

Le « zéro configuration » va permettre à un utilisateur du réseau contrôlé par UCOPIA d’accéder auxressources autorisées par son profil sans configuration préalable de son poste ou de ses applications.

Cliquez sur l’item « Zéro configuration » proposé en partie gauche de la fenêtre. Le sous-menu s’afficheet propose les items suivants :

Figure 5.54. Items du menu Zéro configuration

5.3.1. Configuration du mécanisme « IP fixe »

Le mode « IP fixe » permet d’activer le mécanisme permettant à un utilisateur de se connecter avecune adresse IP fixe quelconque. Si ce mécanisme est désactivé, l’utilisateur devra absolument être enmode DHCP pour pouvoir se connecter. Ce mode est configurable sur chaque VLAN d’entrée.



Pour activer le mode « IP fixe », cliquez sur l’item « IP fixe » du sous-menu en partie gauche de lafenêtre. La page suivante s’affiche :

Figure 5.55. Configuration du mode « IP fixe »

Sélectionnez le VLAN sur lequel le mode « IP fixe » sera activé (case à cocher), puis cliquez sur lebouton « Activer ».

Le statut est affiché en vert quand le mode est activé, en rouge sinon. Par défaut, le mode n’est activésur aucun VLAN.

5.3.2. Configuration du service Web

Ce mode va permettre à un utilisateur d’utiliser son navigateur Internet, quelle que soit la configurationproxy de celui-ci.

Cliquez sur l’item « Web » du sous-menu proposé en partie gauche de la fenêtre. La page suivantes’affiche :



Figure 5.56. Configuration du service Web

Le premier bloc va permettre de spécifier les ports proxy du navigateur Web client pris en chargepar le contrôleur UCOPIA. On distingue deux cas : les ports pris en charge pour la redirection versle portail d’authentification (avant authentification) et les ports pris en charge après authentification.

Les ports doivent être séparés par des « ; ». Par défaut, seuls les ports 8080 et 3128 sont prisen compte.

Avertissement

les ports HTTPS (443) et FTP (21) ne sont pas pris en charge par le module « zéro configuration »du contrôleur.

Le deuxième bloc va être utilisé dans le cas où l’on souhaite que les flux HTTP des utilisateurssoient redirigés vers un proxy Web d’entreprise. Par défaut, aucune redirection n’est configurée.Si vous souhaitez activer le service de redirection vers un proxy Web parent, il faut cocher la case« Activer la redirection vers le proxy web pour les ports », et renseigner les champs relatifs auproxy Web à utiliser, l’adresse IP du proxy, ainsi que son port d’écoute.

Si le proxy d’entreprise requiert une authentification, il faut cocher la case « Activerl’authentification vers le proxy parent ». Deux choix sont alors possibles : une authentificationpour un compte unique ou une authentification pour chaque compte utilisateur.

Dans le cas d’un compte unique, il faut sélectionner l’option et renseigner les identifiants du compte,à savoir les champs « Login » et « Mot de passe ».

Dans le cas des comptes utilisateurs, il est fortement recommandé de renseigner également lesidentifiants du compte qui sera utilisé pour authentifier le contrôleur.



Note

L’authentification par compte utilisateur permet d’envoyer au proxy parent des informations relativesà l’utilisateur (login et mot de passe). Le proxy pourra alors utiliser ces informations pour appliquerdes politiques de sécurité par utilisateur ou profil utilisateur (filtrage d’URL par exemple).

Figure 5.57. Configuration de la redirection vers un proxy parent

Le troisième bloc permet d’activer le filtrage d’URL dans le cas d’une utilisation conjointe du contrô-leur UCOPIA avec le produit de filtrage d’URL Olféo. Pour cela, cochez la case « Activer le filtragedes URLs ».

Le dernier bloc permet à travers le protocole WPAD (Web Proxy Autodiscovery Protocol) de confi-gurer automatiquement les navigateurs Web des utilisateurs (clients du proxy Web). Pour cela, ilfaut télécharger un fichier wpad.dat sur le contrôleur UCOPIA. En cas de téléchargement erroné,vous pouvez restaurer le fichier précédent à l’aide du bouton « Restaurer ».

Cliquez sur le bouton « Valider » à chaque étape.

5.3.3. Configuration du service de redirection vers un serveur de messagerie

Si vous souhaitez que les flux SMTP des utilisateurs soient redirigés vers un serveur de messageried’entreprise, il faut activer le service de redirection vers un serveur de messagerie. Par défaut, aucuneredirection n’est configurée.

Cliquez sur l’item « Messagerie » du sous-menu proposé en partie gauche de la fenêtre. La pagesuivante s’affiche :



Figure 5.58. Configuration du service de redirection vers un serveur de messagerie

Cochez la case « Activer ». Deux modes sont proposés, comme le montre la page suivante :



Figure 5.59. Choix des modes de configuration de redirection SMTP

Mode Redirection

Il permet que l’ensemble des flux SMTP soit redirigé vers un serveur de messagerie. Sélectionnez lemode redirection en cochant la case « Rediriger le trafic SMTP vers un serveur de messagerie »,et renseignez le champ « Adresse IP ».

Exemple :

Figure 5.60. Exemple de configuration de redirection SMTP

Cliquez sur le bouton « Valider ».

Mode Relai SMTP



Il permet l’activation du relai SMTP UCOPIA afin de relayer les emails vers un compte de messa-gerie. Pour cela, sélectionnez le mode en cochant la case « Utiliser le relai SMTP du contrôleur »,et renseignez les champs suivants :

Adresse IP ou DNS : à défaut de fournir l’adresse IP du serveur de messagerie, un nom DNSpeut être spécifié ;

Identifiant du compte : par exemple [email protected] ;

Mot de passe du compte : le mot de passe associé au compte.

Exemple :

Figure 5.61. Exemple de configuration du relai SMTP


Avertissement

Attention : le mode Relai SMTP ne fonctionnera pas si :

le serveur de messagerie bloque les messages dont l’adresse email de l’expéditeur n’est pasidentique à celle spécifiée pour le compte ;

le serveur de messagerie masque l’adresse email des expéditeurs.

Le bouton « Tester les paramètres » permet de vérifier, avant validation, que les paramètres sontcorrects.

5.3.4. Configuration du serveur d’impression

UCOPIA Advance propose un mécanisme permettant aux utilisateurs d’imprimer sur une imprimantesans avoir à installer le pilote correspondant. En effet, UCOPIA Advance, grâce à son serveurd’impression, mettra le pilote de l’imprimante à disposition de l’utilisateur de façon transparente. Pourmettre en œuvre ce service, il faut indiquer à UCOPIA Advance quelles sont les imprimantes qui pour-ront être proposées à l’utilisateur dans ce mode transparent.



Pour configurer les imprimantes, cliquez sur l’item « Imprimantes » du sous-menu proposé en partiegauche de la fenêtre. La page suivante s’affiche :

Figure 5.62. Configuration des imprimantes

Par défaut, aucune imprimante n’est configurée

5.3.4.1. Ajouter une imprimante

Selon la configuration de l'imprimante, le contrôleur pourra la détecter automatiquement en cliquant sur« Découvrir des imprimantes réseau ». Sinon, vous devrez effectuer tout l'installation manuellement.

Procédure 5.3. Découverte automatique

1. Cliquez sur « Découvrir des imprimantes réseau »

2. Suivez la procédure suivante.

Procédure 5.4. Installation manuelle

1. Cliquez sur le bouton « Ajouter une imprimante ».

2. Choisissez l'imprimante souhaitée si celle-ci a été découverte automatiquement, ou sinon la ma-nière dont elle est connectée.



Figure 5.63. Choix du protocole de l'imprimante locale, ou réseau

3. Entrez l'adresse permettant de référencer cette imprimante s'il s'agit d'une imprimante réseau.

Figure 5.64. Saisie de l'adresse de l'imprimante

4. Décrivez cette imprimante afin que les utilisateurs sachent de quelle imprimante il s'agit.

Figure 5.65. Description de l 'imprimante



Partager cette imprimante

Cochez cette case pour partager l'imprimante via le réseau Samba (SMB/CIFS).

5. Sélectionnez le fabriquant de l’imprimante, ou choisissez directement un fichier PPD s'il vous a étéfourni par le fournisseur de l'imprimante.

Figure 5.66. Choix du fabricant de l'imprimante

6. Sélectionnez le modèle de l’imprimante



Figure 5.67. Choix du modèle de l'imprimante

7. Choisissez les options de configuration par défaut de cette nouvelle imprimante.



Figure 5.68. Définition des options de l'imprimante

Note

Il s'agit là des options par défaut, que l'utilisateur pourra redéfinir pour chaque tâche d'impression.

Une fois l’imprimante ajoutée, elle apparaît dans la page des imprimantes.



Figure 5.69. Visualisation d’une imprimante configurée

5.3.4.2. Administrer les imprimantes

Pour afficher davantage de détails sur une imprimante, cliquez sur son nom dans le tableau.

Figure 5.70. Affichage d’information détaillée pour une imprimante

Sur cette page, plusieurs actions sont possibles pour administrer l’imprimante :

Maintenance : commandes de maintenance de l'imprimante (pages de test, nettoyage, arrêt/dé-marrage) et des tâches soumises (rejet, déplacement, purge)

Administration

Modifier l'imprimante : permet de relancer l'assistant de configuration : Section 5.3.4.1, « Ajou-ter une imprimante ».



Supprimer l'imprimante : définitivement du contrôleur.

Définir les options de l'imprimante : permet d'accéder à l'interface de définition des optionspar défaut de l'imprimante : Figure 5.68, « Définition des options de l'imprimante ».

Définir par défaut : cette imprimante sera proposée par défaut à l'utilisateur.

Tâches : affiche la liste des tâches soumises à cette imprimante : les boutons permettent de bas-culer entre tâches actives ou terminées. Le champ de recherche permet de filtrer les tâches enaffichant uniquement les tâches dont le nom contient la chaîne recherchée.

5.4. Personnalisation

Cliquez sur l’item « Personnalisation » proposé en partie gauche de la fenêtre. Le sous-menu s’afficheet propose les items suivants :

Figure 5.71. Items du menu Personnalisation

5.4.1. Personnalisation des portails UCOPIA

Cette section concerne d’une part les portails captifs utilisés pour l’authentification des utilisateurs etd’autre part les portails de délégation utilisés pour la création de comptes utilisateur.

Il est possible de créer autant de portails que souhaité. Une fois un portail créé, il pourra être associéà une ou plusieurs zones.

Chaque portail peut être personnalisé dans son mode de fonctionnement et dans son apparence.

Cliquez sur l’item « Portails » du sous-menu proposé en partie gauche de la fenêtre. La page suivantes’affiche :



Figure 5.72. Configuration des portails UCOPIA

Un portail se configure en créant une « association ». Une association met en relation une zone, unmode de fonctionnement de portail (appelé « Configuration ») et un modèle visuel de portail (aspectgraphique).

Une association peut être active ou inactive.

Par défaut, trois associations actives sont préconfigurées décrivant chacune un portail.

Sur la zone d’entrée « Default » sont définis un portail captif et un portail de délégation.

Sur la zone de sortie « Default » est défini un portail de délégation.

Le tableau de configuration des portails propose 3 onglets permettant de visualiser respectivement lesassociations, les configurations et les modèles visuels.

1. Onglet Associations

Pour visualiser le tableau des associations, cliquez sur l’onglet « Associations ».

Figure 5.73. Tableau des associations

Le tableau des associations présente les colonnes suivantes :

Nom de la zone : le nom de la zone d’entrée ou de sortie sur laquelle s’applique l’association.

Nom de la configuration : nom de la configuration en relation avec l’association.

Type de portail : Portail captif ou Portail de délégation.



Nom du modèle visuel : nom du modèle visuel de portail en relation avec l’association.

Statut : vert indique que l’association est active, rouge inactive.

Actions : icônes permettant de modifier ou de supprimer l’association.

Note

: modification de l’association

Note

: suppression de l’association

2. Onglet Configurations

Pour visualiser le tableau des configurations, cliquez sur l’onglet « Configurations ».

Figure 5.74. Tableau des configurations

Une configuration par défaut (« default-portal ») est proposée pour le portail captif, une autre pour leportail de délégation (« default-deleg »).

Le tableau des configurations présente les colonnes suivantes :

Nom de la configuration : le nom de la configuration classé par type de portail.

Formats: les différents formats pour lesquels le portail est défini. Les formats possibles sont :PC, Tablette, Smartphone.

Modes de fonctionnement : les différents modes de fonctionnement du portail. Les modespossibles sont : Standard, Auto, Libre, SMS, Mail, PayPal, PMS et PPS.

Hébergé : pastille verte si le portail est hébergé par le contrôleur UCOPIA, pastille grise sinon.

Zones : le nombre de zones auxquelles s’applique la configuration.

Modèles : le nombre de modèles visuels auxquels s’applique la configuration.

Actions : icônes permettant de modifier ou de supprimer la configuration.

: modification de la configuration

: suppression de la configuration

3. Onglet Modèles visuels

Pour visualiser le tableau des modèles visuels, cliquez sur l’onglet « Modèles visuels ».



Figure 5.75. Tableau des modèles visuels

Il existe deux catégories de modèles, les modèles d’usine qui ne sont pas modifiables directementet les modèles créés par l’administrateur.

Les modèles d’usine sont les suivants :

welcome :un modèle aux couleurs et design UCOPIA.

neutral : le même aspect visuel que welcome mais en utilisant des couleurs neutres. Il peut ainsis’adapter plus facilement aux contraintes d’une charte graphique.

classic : un portail sobre pour complète personnalisation.

Un modèle par défaut est prédéfini pouvant être utilisé pour les portails captif et de délégation, il senomme « default » et est basé sur le modèle d’usine « welcome ».

Le tableau des modèles visuels présente les colonnes suivantes :

Nom du modèle : le nom du modèle visuel.

Zones : le nombre de zones auxquelles s’applique le modèle visuel.

Configurations : le nombre de configurations auxquelles s’applique le modèle visuel.

Edition : icônes permettant de visualiser le modèle ou bien de lancer l’éditeur graphique demodèles.

: visualisation du modèle

: édition du modèle

Actions : icônes permettant d’exporter, de modifier ou de supprimer le modèle visuel.

: exportation du code HTML pour personnalisation avancée

: modification du modèle

: suppression du modèle

5.4.1.1. Ajout d’une association

Pour ajouter une nouvelle association, cliquez sur l’onglet « Associations » du tableau des portails, puiscliquez sur le lien « Ajouter une association ». Utilisez le lien se trouvant sur la ligne « Zones d’entrée »pour créer une association sur une zone d’entrée. Utilisez le lien se trouvant sur la ligne « Zones desortie » pour créer une association sur une zone de sortie.

Par exemple, pour une configuration d’une association sur une zone d’entrée, la page suivante s’affiche.



Figure 5.76. Ajout d'une association

Vous devez choisir la zone correspondant à l’association, puis les configurations des portails captif etdélégation et enfin le modèle visuel.

L’association peut être activée en cochant la case « Active ».

Figure 5.77. Configuration d'une association

Dans le cas où vous souhaitez activer l’association et qu’une association active sur la même zone existe,une popup demande confirmation de l’action à exécuter. Il est donc possible de désactiver l’associationexistante au profit de la nouvelle.



Figure 5.78. Activation/désactivation d'une association

La nouvelle association apparaît dans le tableau des associations.

Figure 5.79. Association ajoutée

5.4.1.2. Modification d’une association

Pour modifier une association, cliquez sur l’icône de modification correspondante.

Par exemple, dans le cas d’une association mettant en œuvre une zone d’entrée et un portail captif, lapage de modification suivante s’affiche.



Figure 5.80. Modification d'une association

Il est alors possible de modifier la configuration et le modèle visuel. L’association peut être activée oudésactivée.

5.4.1.3. Ajout d’une configuration de portail captif

Pour ajouter une nouvelle configuration, cliquez sur l’onglet « Configurations » du tableau des portails,puis cliquez sur le lien « Ajouter une configuration ». Utilisez le lien se trouvant sur la ligne « Portailcaptif ».




Figure 5.81. Ajout d’une configuration de portail captif

Dans un premier temps, il faut nommer la configuration dans le champ « Nom de la configuration ».

Optionnellement, il est possible de renforcer la sécurité du portail en ajoutant un mot de passe permettantde déverrouiller le portail lors de son utilisation (champ « Mot de passe de sécurisation du portail »).Cette fonction peut être utilisée en conjonction avec un mode de fonctionnement de type auto-enregis-trement de l’utilisateur (voir ci-dessous les modes Libre, SMS ou Mail) afin d’éviter qu’une personne nonautorisée puisse s’enregistrer sur le portail et obtenir des identifiants de connexion.

Note

Le mot de passe de sécurisation du portail sera le même pour tous les utilisateurs du portail.

Suivre les étapes ci-dessous pour configurer le portail.



Hébergement du portail

IL faut spécifier s’il s’agit d’un portail hébergé par le boîtier UCOPIA, ou d’un portail externe, c’est-à-dire hébergé par un autre serveur (portail d’entreprise par exemple).

Portail hébergé par le contrôleur : le portail est hébergé par le contrôleur UCOPIA et sonmode de fonctionnement doit être spécifié (voir Section 5.4.1.4, « Fonctionnement du portailcaptif en fonction des différents modes »).

Il est également possible de rediriger l’utilisateur vers un portail externe à UCOPIA avant qu’ilne revienne sur le portail hebergé par UCOPIA. Ce fonctionnement peut être utile pour de-mander à l’utilisateur des informations particulières, etc. Pour activer ce mode, cochez la case« Redirection vers un portail externe avant le portail du contrôleur », et renseignez l’URLde redirection vers le portail externe. Ce mode est compatible avec les différents modes defonctionnement du portail UCOPIA.

Exemple :

Figure 5.82. Exemple de configuration d’un portail hébérgé (avec redirection)

Avertissement

L’URL définissant le chemin d’accès au portail externe doit être déclarée comme URL en accès libre,c’est-à-dire accessible avant authentification (voir Section 5.4.5, « Configuration d’URL en accèslibre »).

Sur le portail externe, vous devez créer un lien hypertexte et utiliser le code PHP suivant pourrevenir vers le portail UCOPIA.

Pour revenir sur le portail UCOPIA :

<a href=<?= $_GET['redirect']; ?>>Cliquez ici pour vous authentifier</a>

Pour revenir sur la page d’enregistrement du portail UCOPIA (mode SMS, email ou PayPal) :

<a href='<?= redirectsub ?>'>Cliquez ici pour vous inscrire</a>

Portail externe : dans ce cas, le portail UCOPIA est inhibé, et on utilise uniquement un portailexterne. L’utilisateur est automatiquement redirigé vers le portail dont l’adresse est indiquéedans le champ « URL de redirection ».

Avertissement

L’URL définissant le chemin d’accès au portail externe doit être déclarée comme URL en accès libre,c’est-à-dire accessible avant authentification (voir Section 5.4.5, « Configuration d’URL en accèslibre »).

Exemple :



Figure 5.83. Exemple de configuration d’un portail externe

Avertissement

En cas d’utilisation unique d’un portail externe, il faudra que celui-ci soit enrichi avec les fonctionsd’authentification UCOPIA. Pour cela, UCOPIA fournit une API permettant de réaliser les fonctionsd’authentification dans tous les modes de fonctionnement (standard, SMS, email, etc.).

Choix du format du portail

Le format du portail va permettre de définir un portail adapté à un type de matériel utilisateur. Quatretypes de formats sont proposés :

PC : les matériels de type PC utiliseront ce portail.

Tablette : les matériels de type tablette se verront attribuer ce portail. Il sera nécessaire dedéfinir un graphisme approprié lors de la personnalisation de celui-ci (voir Section 5.4.1.4.8,« Mode avec utilisation de cartes prépayées (PPS) »).

Smartphone : les matériels de type PDA, smart phone, etc., se verront attribuer ce portail. Ilsera nécessaire de définir un graphisme approprié lors de la personnalisation de celui-ci (voirSection 5.4.1.8, « Personnalisation graphique et création de modèles visuels »).

Dégradé : le matériel n'est pas reconnu, un portail minimal est proposé.

Le contrôleur UCOPIA reconnaît automatiquement le type de matériel, et applique le portail corres-pondant.

Modes de fonctionnement

Le portail UCOPIA propose différents modes de fonctionnement :

Portail standard : l’utilisateur s’authentifie avec un couple login/mot de passe. Son comptedoit avoir été préalablement créé.

Portail avec enregistrement libre : l’utilisateur s’auto-enregistre sur le portail et reçoit sesidentifiants directement sur le portail.

Connexion automatique : dans ce mode il n’y a pas de portail, l’utilisateur est redirigé versune page Web que l’on peut spécifier. Dès lors que la redirection est effectuée, l’utilisateur estauthentifié.

Portail avec enregistrement par SMS : l’utilisateur s’auto-enregistre sur le portail UCOPIA,et reçoit son mot de passe par SMS.

Portail avec enregistrement par mail : l’utilisateur s’auto-enregistre sur le portail UCOPIA,et reçoit ses identifiants par mail.

Portail avec paiement en ligne via PayPal : l’utilisateur peut acheter un temps de connexionou crédit temps en réalisant un paiement en ligne.

Portail avec utilisation d’un logiciel de facturation (PMS) : ce mode s’utilise dans le casd’une interaction avec un système de facturation (PMS). L’utilisateur choisit son forfait sur leportail UCOPIA.

Portail avec utilisation de cartes prépayées (PPS) : ce mode s’utilise dans le cas d’uneinteraction avec un système de cartes prépayées.



Portail avec authentification Shibboleth : ce mode permet de déléguer l'authentification desutilisateurs à un fournisseur d'identité d'une communauté d'établissements.

Sélectionnez le mode souhaité. Voir les sections suivantes pour configurer chacun de ces modes.

Note

Certains modes peuvent s’utiliser conjointement. Il est par exemple possible de définir un portailfonctionnant avec enregistrement par SMS ou enregistrement par Mail. Il faut dans ce cas cocherles deux cases associées aux deux modes de portail.

Options d’enregistrement

Auto-génération de l’identifiant utilisateur à l’enregistrement

Cette option donne la possibilité à l’utilisateur de choisir son propre identifiant. Elle ne s’appliquepas aux portails SMS ou Mail

Auto-génération du mot de passe utilisateur à l’enregistrement

Cette option donne la possibilité à l’utilisateur de choisir son mot de passe. Elle ne s’appliquepas aux portails SMS ou Mail.

Définir une charte régissant l’utilisation des informations personnelles

Cette option affiche une charte à accepter ou refuser (case à cocher) dans le cas où desinformations personnelles seraient demandées à l’utilisateur.

Saisie du numéro de téléphone à l’enregistrement

Si cette option est sélectionnée, il sera demandé à l’utilisateur de renseigner son numéro detéléphone sur le portail. Ne s’applique pas au portail SMS.

Saisie de l’adresse e-mail à l’enregistrement

Si cette option est sélectionnée, il sera demandé à l’utilisateur de renseigner son numéro detéléphone sur le portail. Ne s’applique pas au portail Mail.

Options générales

Définir une charte régissant l’utilisation des services.

Dans le cas où une charte doit être acceptée par l’utilisateur, il est possible d’ajouter sur leportail une case à cocher qui devra impérativement être cochée pour que l’utilisateur puisses’authentifier (voir Section 5.4.2, « Configuration des chartes »).

Définir une URL vers laquelle sera redirigé l’utilisateur une fois connecté

En mode standard, une fois l’utilisateur authentifié, un lien apparaît sur le portail captif « Cli-quez ici pour atteindre la page initialement demandée ». Cette option permet de forcer laredirection vers une autre page spécifiée dans le champ « URL de redirection ».

Options utilisateur

Permettre à l’utilisateur de modifier son mot de passe

Après une première authentification, un lien apparaîtra sur le portail donnant la possibilité àl’utilisateur de modifier le mot de passe initial.



Avertissement

Le lien permettant de changer de mot de passe n’apparaîtra qu’une fois la première authentificationde l’utilisateur réussie.

Forcer l’utilisateur à modifier son mot de passe à la première connexion

Cette option oblige l’utilisateur à modifier son mot de passe à la première connexion.

Définition des langues

Il est possible de choisir, d’une part, la langue par défaut du portail et, d’autre part, les langues quiseront laissées au choix de l’utilisateur sur le portail.

Dans l’exemple ci-dessous, le français est utilisé par défaut, et le choix est laissé à l’utilisateurd’afficher le portail dans toutes les langues disponibles.

Figure 5.84. Exemple de configuration des langues du portail captif

L’exemple suivant montre un portail en mode visuel « welcome », en format PC, avec un mode defonctionnement par défaut. Les différentes langues sont laissées au choix de l’utilisateur.



Figure 5.85. Exemple de portail captif UCOPIA

5.4.1.4. Fonctionnement du portail captif en fonction des différents modes

5.4.1.4.1. Mode standard

L’utilisateur s’authentifie avec un couple login/mot de passe. Son compte doit préalablement avoir étécréé. Il s’agit du mode par défaut.

5.4.1.4.2. Mode connexion automatique

Dans ce mode, l’utilisateur est redirigé vers une page spécifiée dans le champ « URL de redirectionautomatique ». Dès lors que la redirection est effectuée, l’utilisateur est authentifié.

Note

Si le champ « URL de redirection automatique » n’est pas renseigné, l’utilisateur sera redirigé versla page Web qu’il avait initialement demandée.

Avertissement

Ce mode crée un profil et un utilisateur générique qui seront utilisés pour l'authentification des utili-sateurs.

5.4.1.4.3. Mode avec enregistrement libre

L’utilisateur s’auto-enregistre sur le portail captif UCOPIA en cliquant sur le bouton intitulé «Recevezvos identifiants sur ce portail » (voir copie d’écran ci-dessous).



Figure 5.86. Portail captif "welcome" avec enregistrement libre

L’utilisateur renseigne les champs « Identifiant », « Mot de passe », « Nom » et « Prénom » (voircopie d’écran ci-dessous). L’utilisateur peut ensuite s’authentifier de façon standard sur le portail avecses identifiants. Le compte de l’utilisateur est automatiquement créé dans l’annuaire UCOPIA. Son profilutilisateur sera celui qui est spécifié lors de la configuration du mode.



Figure 5.87. Auto-enregistrement libre d’un utilisateur depuis le portail captif

Pour effectuer la configuration de ce mode, sélectionnez le mode « Portail avec enregistrement libre»,puis :

Choisissez, parmi les profils disponibles, le profil que l’utilisateur obtiendra dans ce mode.

Exemple :

Figure 5.88. Configuration du portail captif avec enregistrement libre

5.4.1.4.4. Mode avec enregistrement par SMS

L’utilisateur s’auto-enregistre sur le portail captif UCOPIA en cliquant sur le bouton « SMS » (voir copied’écran ci-dessous).



Figure 5.89. Portail captif « welcome » avec enregistrement par SMS

L’utilisateur renseigne les champs « Nom », « Prénom » et « Numéro de téléphone » (voir copie d’écranci-dessous). Le mot de passe est envoyé par SMS sur le téléphone portable de l’utilisateur. L’utilisateurpeut ensuite s’authentifier de façon standard sur le portail, son login sera son numéro de téléphone.Le compte de l’utilisateur est automatiquement créé dans l’annuaire UCOPIA. Son profil utilisateur seracelui qui est spécifié lors de la configuration du mode.



Figure 5.90. Auto-enregistrement par SMS d’un utilisateur depuis le portail captif

Avertissement

Ce mode suppose un abonnement auprès d’un fournisseur de SMS. Se renseigner auprès d’UCOPIACommunications.

Il faut, avant de pouvoir configurer ce type de portail, créer un compte qui sera associé à une plate-forme de SMS proposée par le contrôleur UCOPIA. Pour cela, il faut se rendre dans le menu « Servicesexternes », item « SMS » (voir Section 5.8.1, « Configuration du service de SMS » pour davantagede détails).

Une fois le compte créé, sélectionnez le mode « Portail avec enregistrement par SMS », puis :

Sélectionnez le compte associé à une plate-forme d’envoi de SMS parmi ceux proposés.


Exemple :



Figure 5.91. Configuration du portail captif avec enregistrement par SMS

5.4.1.4.5. Mode avec enregistrement par Mail

L’utilisateur s’auto-enregistre sur le portail captif UCOPIA en cliquant soit sur le bouton email (voir copied’écran ci-dessous).

Figure 5.92. Portail captif avec enregistrement par email

L’utilisateur renseigne les champs « Nom », « Prénom » et « Adresse e-mail » (voir copie d’écranci-dessous). Les identifiants de connexion sont envoyés par mail à l’adresse spécifiée, et l’utilisateurdispose d’un temps limité pour consulter sa messagerie, et ainsi prendre connaissance de son mot depasse. L’utilisateur peut ensuite s’authentifier de façon standard sur le portail. Le compte de l’utilisateurest automatiquement créé dans l’annuaire UCOPIA. Son profil utilisateur sera celui qui est spécifié lorsde la configuration du mode. Les temps dont dispose l’utilisateur pour consulter son mail ainsi que lesprotocoles ouverts permettant la lecture du message sont configurables.



Figure 5.93. Auto-enregistrement par email d’un utilisateur depuis le portail captif

Il faut, avant de pouvoir configurer ce type de portail, créer un compte qui sera associé à un serveur demessagerie proposé par le contrôleur UCOPIA. Pour cela, il faut se rendre dans le menu « Servicesexternes », item « Mail » (voir Section 5.8.2, « Configuration du service de messagerie (email) » pourdavantage de détails).

Une fois le compte créé, sélectionnez le mode « Portail avec enregistrement par Mail », puis :

Sélectionnez le compte associé à un serveur de messagerie parmi ceux proposés.


Configurez l'ouverture temporaire de l'accès réseau.

En effet, l’utilisateur devant consulter sa messagerie pour prendre connaissance de son mot depasse, le réseau doit être ouvert pendant le temps nécessaire et suffisant à la consultation de lamessagerie. Le temps d’ouverture s’exprime en minutes dans le champ « Durée d’ouverture ».

L’ouverture du réseau peut être restreinte à certains protocoles que l’on peut sélectionner dans lechamp « Service ouvert ». Un service « Watch_Mail » est prédéfini pour cet usage (HTTPS, HTTPS,POP, IMAP, …).

Optionnellement, imposez que les adresses de messagerie appartiennent à certains domaines.Pour cela cliquez sur « Ajouter un nom de domaine » et renseignez le nom de domaine.



Figure 5.94. Exemple de configuration du portail captif avec enregistrement par Mail

5.4.1.4.6. Mode avec paiement en ligne via PayPal

L’utilisateur s’auto-enregistre sur le portail captif UCOPIA en effectuant un paiement en ligne. Ce paie-ment en ligne est associé à l’achat d’un forfait à choisir sur le portail.

Pour s’enregistrer, l’utilisateur clique sur le portail soit le bouton de paiement en ligne (voir copie d’écranci-dessous).

Figure 5.95. Portail captif avec paiement en ligne

L’utilisateur renseigne les champs « Identifiant », « Mot de passe », « Nom » et « Prénom » (voircopie d’écran ci-dessous).



Une fois le forfait choisi, l’utilisateur est redirigé vers le site PayPal sur lequel il peut payer son forfait,soit en utilisant son compte PayPal, soit en utilisant sa carte de crédit. Si la transaction s’est effectuéeavec succès, l’utilisateur peut se connecter sur le portail en utilisant les identifiants qu’il a choisis.

Les identifiants peuvent être envoyés à l’utilisateur par SMS si la configuration du contrôleur l’autorise.

Figure 5.96. Enregistrement lors d’un paiement en ligne



Figure 5.97. Choix d’un forfait avant paiement en ligne

Note

Afin d’assurer la traçabilité de la connexion, les informations nominatives (Nom, Prénom) del’utilisateur sont dans tous les cas récupérées depuis PayPal et enregistrées dans les journauxUCOPIA.

Il faut, avant de pouvoir configurer ce type de portail, créer un compte PayPal et configurer UCOPIA avecles informations relatives à ce compte. Pour cela, il faut se rendre dans le menu « Services externes »,item « PayPal » (voir Section 5.8.3, « Configuration du service PayPal » pour davantage de détails).

Le portail PayPal fonctionne avec la notion de forfait. Le forfait est défini par l’administrateur UCOPIA.Cela peut être un forfait 1h, 3h, ou forfait « emails », ou forfait « Tous les jours ouvrés de 16h à 18h », etc.Les forfaits sont proposés au choix de l’utilisateur sur le portail captif avant paiement (voir documentation« Manuel d’Administration UCOPIA Advance », Section « Administration des forfaits »).

Sélectionnez le mode « Portail avec paiement en ligne via PayPal », puis :

Sélectionnez le ou les forfaits à présenter sur le portail.

Choisissez si les identifiants de l’utilisateur lui seront envoyés par SMS. Les options possibles sont« Jamais », « Sur demande de l’utilisateur » ou « Toujours ». Pour l’envoi par SMS, il faut préala-blement interfacer le contrôleur UCOPIA avec une plate-forme de SMS (voir Section 5.8.1, « Confi-guration du service de SMS »).

Exemple :



Figure 5.98. Configuration du portail captif avec paiement en ligne

Avertissement

Ce mode suppose que l’administrateur ait définie au préalable des forfaits (voir la documentation« Manuel d’administration UCOPIA Advance », Section « Administration des forfaits ».

Avertissement

Ce mode suppose que l’administrateur de la solution UCOPIA (ou son représentant) ait créé aupréalable un compte PayPal. Ce compte doit avoir le statut « Premier » ou « Business ».

5.4.1.4.7. Mode avec utilisation d’un logiciel de facturation (PMS)

Le couplage UCOPIA/PMS (Property Management System) fonctionne avec une notion de forfait. Leforfait est défini par l’administrateur UCOPIA. Cela peut être un forfait 1h, 3h, ou forfait « emails », ouforfait « Tous les jours ouvrés de 16h à 18h », etc. Les forfaits sont proposés au choix de l’utilisateursur le portail UCOPIA après authentification.

Les deux copies d’écran suivantes montrent un exemple de portail captif avec choix de 2 forfaits, ainsique le feedback affiché une fois le choix effectué.



Figure 5.99. Exemple de portail captif avec utilisation de forfaits (PMS)



Figure 5.100. Exemple de feedback utilisateur après un choix de forfait

Pour la configuration de ce mode, il faut sélectionner le mode « Portail avec utilisation d’un logicielde facturation (PMS) » et choisir le ou les forfaits qui seront présentés à l’utilisateur sur le portail.

Figure 5.101. Exemple de configuration du portail captif avec utilisation d’un PMS

Avertissement

Ce mode suppose que l’administrateur ait défini au préalable des forfaits (voir la documentation« Manuel d’administration UCOPIA Advance », Section « Administration des forfaits ».



Avertissement

Ce mode suppose que l’administrateur ait configuré au préalable la connexion avec le logiciel defacturation PMS, voir Section 5.8.4, « Configuration du service PMS ».

5.4.1.4.8. Mode avec utilisation de cartes prépayées (PPS)

Le couplage UCOPIA/PPS (Pre-Paid System) fonctionne avec des cartes prépayées. À chaque carteest associé un temps de connexion. L’utilisateur s’authentifie sur le portail avec l’identifiant de sa carteet un captcha code. Le temps octroyé par la carte et le temps consommé s’affichent sur le portail aprèsauthentification.

La copie d’écran suivante montre un exemple de portail UCOPIA PPS.

Figure 5.102. Portail captif avec utilisation d’un PPS

Pour la configuration de ce mode, il faut sélectionner le mode « Portail avec utilisation de cartesprépayées (PPS) », puis définir le profil qui sera associé à tous les utilisateurs utilisant le mode PPS.



Figure 5.103. Exemple de configuration du portail captif avec utilisation de cartes prépayées (PPS)

Avertissement

Ce mode suppose que l’administrateur ait configuré au préalable la connexion avec le logiciel decartes prépayées PPS, voir Section 5.8.5, « Configuration du service PPS ».

5.4.1.4.9. Mode par authentification Shibboleth

Ce mode permet d'authentifier des utilisateurs référencés par un tiers fournisseur d'identité.

Figure 5.104. Portail captif avec authentification Shibboleth

L'utilisateur indique son établissement d'origine et ses identifiants, puis est authentifié par le service tiers.



Figure 5.105. Exemple de feedback utilisateur après authentification

Figure 5.106. Exemple de configuration du portail captif avec authentification Shibboleth

Avertissement

Ce mode suppose que l’administrateur ait configuré au préalable l'authentification Shibboleth, voirSection 5.2.5, « Configuration Shibboleth ».

5.4.1.5. Modification d’une configuration de portail captif

Pour modifier une configuration de portail captif, cliquez dans le tableau des configurations sur l’icônede modification correspondant à la configuration à modifier.

Exemple :



Figure 5.107. Modification d'une configuration de portail captif

La page de modification est identique à la page de création.

5.4.1.6. Ajout d’une configuration de portail de délégation

Pour ajouter une nouvelle configuration, cliquez sur l’onglet « Configurations » du tableau des portails,puis cliquez sur le lien « Ajouter une configuration ». Utilisez le lien se trouvant sur la ligne « Portailde délégation ».


Figure 5.108. Ajout d'une configuration de portail de délégation

Dans un premier temps, il faut nommer la configuration dans le champ « Nom de la configuration ».

Suivre les étapes ci-dessous pour configurer le portail de délégation.

Options administrateur délégué

Permettre à l’administrateur délégué de modifier son mot de passe

Après une première authentification, un lien apparaîtra sur le portail donnant la possibilité àl’administrateur délégué de modifier le mot de passe initial.



Avertissement

Le lien permettant de changer de mot de passe n’apparaîtra qu’une fois la première authentificationde l’administrateur délégué réussie.

Forcer l’administrateur délégué à modifier son mot de passe à la première connexion

Cette option oblige l’administrateur délégué à modifier son mot de passe à la premièreconnexion.

Options d’enregistrement des utilisateurs

En plus des champs additionnels pouvant être ajoutés lors de la création d’un compte utilisateur(depuis le portail de délégation et/ou l’outil d’administration), il est possible d’ajouter sur le portailde délégation 3 champs supplémentaires.

L’avantage de ces champs est qu’ils sont typés, ils seront donc stockés dans les journaux utilisa-teurs sous leur nom respectif. Les 3 champs sont « Numéro de téléphone », « Adresse email » et« Adresse MAC ».

Exemple :

Figure 5.109. Exemple de champs d'enregistrement des utilisateurs pour le portail de délégation

Définition des langues

Il est possible de choisir, d’une part, la langue par défaut du portail et, d’autre part, les langues quiseront laissées au choix de l’administrateur délégué sur le portail.

Exemple :

Figure 5.110. Exemple de configuration des langues du portail de délégation

5.4.1.7. Modification d’une configuration de portail de délégation

Pour modifier une configuration de portail de délégation, cliquez dans le tableau des configurations surl’icône de modification correspondant à la configuration à modifier.

Exemple :



Figure 5.111. Modification d'une configuration de portail de délégation

La page de modification est identique à la page de création.

5.4.1.8. Personnalisation graphique et création de modèles visuels

Les portails peuvent être personnalisés aux couleurs de l’entreprise à travers un éditeur graphique (ex-cepté dans le cas du choix de fonctionnement en mode « Connexion automatique » qui est sans portail).

Avant de pouvoir effectuer une personnalisation, il faut ajouter (ou modifier) un modèle visuel. Pourajouter un modèle visuel cliquez sur l’onglet « Modèles visuels » du tableau des portails et cliquez surle lien « Ajouter un modèle visuel ». La page suivante s’affiche.

Figure 5.112. Ajout d'un modèle visuel

Définissez le nom du nouveau modèle visuel puis la source de modèle (usine, personnel, externe).Suivant la nature du modèle, les modèles disponibles seront proposés.

Avertissement

Le modèle d’usine « welcome » n’est pas modifiable. Il faut utiliser les modèles « classic » ou « neu-tral ».

Par exemple, pour créer un nouveau modèle basé sur le modèle d’usine « neutral », la configurationsera la suivante :



Figure 5.113. Exemple de configuration d'un nouveau modèle visuel

Le nouveau modèle apparaît alors dans le tableau des modèles.

Figure 5.114. Exemple d'ajout d'un modèle visuel

Le nouveau modèle « mon-modèle » est maintenant éditable à travers l’éditeur graphique.

Pour éditer un modèle à travers l’éditeur graphique, cliquez sur l’icône d’édition se trouvant sur la lignedu modèle visuel à modifier.

Figure 5.115. Edition d'un modèle visuel

Une fenêtre propose de personnaliser soit le portail captif soit le portail de délégation.

Dans le cas d’un portail captif, les différents formats (PC, tablette, smartphone) sont proposés.

Figure 5.116. Choix du type de modèle visuel à éditer



Le choix effectué, cliquez sur « Editer ».

L’éditeur de modèle visuel s’affiche alors comme ci-dessous.

Figure 5.117. Éditeur de modèle visuel de portail

Note

Consultez la documentation « Manuel d’utilisation de l’éditeur de portail UCOPIA » pourl’utilisation de l’éditeur de portail UCOPIA.

5.4.1.9. Modification de modèles visuels

Pour modifier un modèle visuel de portail, cliquez dans le tableau des configurations sur l’icône demodification correspondant au modèle visuel à modifier.

Exemple :

Figure 5.118. Modification d'un modèle visuel

La page de modification est identique à celle de création

5.4.1.10. Personnalisation graphique avancée

Pour des besoins de personnalisation avancée, il est possible de modifier le source HTML du modèlevisuel.



Pour cela, cliquez sur l’onglet « Modèles visuels » du tableau des portails et cliquez sur l’icôned’exportation se trouvant sur la ligne du modèle visuel à modifier.

Figure 5.119. Exportation du modèle visuel

Le code du modèle visuel du portail se présente sous la forme d’une archive à télécharger. Une fois lecode modifié et personnalisé, il sera possible de le réimporter dans le contrôleur à utilisant l’icône demodification du modèle visuel.

Lors de la modification du modèle visuel, il faudra sélectionner « externe » comme source de modèleset importer le fichier décrivant le modèle modifié en utilisant le bouton « Parcourir ».

Figure 5.120. Importation d'un modèle externe

Avertissement

Une fois le code HTML du portail modifié et réimporté dans le contrôleur, il n’est plus éditable àtravers l’éditeur graphique.

Note

Consultez la documentation « Personnalisation avancée du portail captif UCOPIA » pour réaliserune personnalisation avancée d’un portail UCOPIA.

5.4.2. Configuration des chartes

Les chartes peuvent être utilisées sur le portail captif pour deux usages.

1. Demander à l’utilisateur d’accepter une charte avant de pouvoir s’authentifier. Cette charte peut parexemple indiquer à l’utilisateur que l’ensemble de son trafic sera tracé.

2. Demander à l’utilisateur d’accepter une charte quand on lui demande des informations personnellestelles que adresse mail ou numéro de téléphone. Cette charte peut par exemple demander si cesinformations peuvent être utilisées à des fins marketing.

Cliquez sur l’item « Chartes » du sous-menu proposé en partie gauche de la fenêtre. La page suivantes’affiche :



Figure 5.121. Configuration des chartes

Pour ajouter une charte, cliquez sur le bouton « Ajouter » du tableau des chartes. La page suivantes’affiche.

Figure 5.122. Ajout d'une charte



Il faut nommer la charte dans le champ « Nom de la charte», puis choisir le type de la charte et leslangues dans lesquelles la charte sera affichée.

Sélectionnez le type de charte. Les différents types sont les suivants :

Texte : le texte de la charte est directement affiché sur le portail

Il faut renseigner le texte qui apparaitra sur le portail.

Figure 5.123. Charte de type Texte

Fichier : la charte se trouve dans un fichier hébergé par le contrôleur.

IL faut renseigner le texte du lien qui permettra de visualiser la charte, ce lien s’affichera sur leportail. Puis charger le fichier contenant la charte.

Figure 5.124. Charte de type Fichier

URL : la charte est accessible à partir d’une URL

Il faut renseigner le texte du lien qui permettra de visualiser la charte, ce lien s’affichera sur le portail.Puis choisir l’URL dans la liste des URLs déclarées en libre accès.

Figure 5.125. Charte de type URL

Avertissement

L’URL permettant d’accéder à la charte devra être définie sous forme d’URL en accès libre.

Les informations relatives à la charte devront être renseignées pour chacune des langues souhaitées.

Si ce n’est pas le cas, la langue définie dans le champ « Langue par défaut » sera utilisée.

Une nouvelle langue peut être ajoutée en cliquant sur le bouton « Ajouter » du champ « Ajouter unelangue ». Une langue peut-être supprimée en cliquant sur l’icône « croix » correspondant à la langueà supprimer.

5.4.3. Configuration des champs additionnels

Lors de la création d’un compte utilisateur soit à travers l’outil d’administration, soit à travers le portailde délégation, il est possible de définir des champs additionnels permettant de décrire l’utilisateur (nomde société, numéro de carte d’identité, etc.)

Les champs additionnels s’ajouteront aux trois champs obligatoires, à savoir l’identifiant, le nom et leprénom de l’utilisateur. Pour chaque champ ajouté, il faudra indiquer si ce champ est obligatoire ou non,ainsi que son intitulé dans chacune des langues disponibles.



Pour ajouter des champs additionnels, cliquez sur l’item « Champs additionnels» du sous-menu pro-posé en partie gauche de la fenêtre. La page suivante s’affiche :

Figure 5.126. Personnalisation des champs additionnels

Choisissez le nombre de champs additionnels, 3 maximum et renseignez le nom des champs.

Exemple : Ajout d’un champ optionnel « Numéro de chambre » et d’un champ obligatoire « Carted’identité ».



Figure 5.127. Ajout de champs additionnels

Note

La langue peut être choisie par défaut. Il n’est donc pas nécessaire de renseigner le libellé du champdans toutes les langues. Les champs non renseignés prendront la valeur du champ correspondantà la langue par défaut.


Dans le cadre de cet exemple, la page de l’outil d’administration déléguée permettant de renseigner lesinformations nominatives de l’utilisateur s’affichera comme suit :



Figure 5.128. Portail de délégation avec champs additionnels

5.4.4. Personnalisation des tickets de connexion

Vous pouvez personnaliser les tickets de connexion générés par l’outil d’administration déléguéeUCOPIA. Vous pouvez en particulier remplacer le logo UCOPIA par celui de l’organisation, ajouter dutexte en dessous de ce logo, choisir les langues et, dans le cas d’un ticket au format badge, choisir lesinformations affichées.

Cliquez sur l’item « Tickets de connexion » du sous-menu proposé en partie gauche de la fenêtre.La page suivante s’affiche :



Figure 5.129. Personnalisation des tickets de connexion

Le bloc « Configuration du logo » permet de modifier le logo qui apparaît en entête des ticketsde connexion (format A4 et badge).

Le logo actuellement utilisé est affiché dans le bloc. Pour le remplacer, cliquez sur « Parcourir... »pour sélectionner le nouveau logo.


Avertissement

Seuls les formats JPEG et PNG sont acceptés pour les logos. La taille du logo ne doit pas êtresupérieure à 2 Mo.

Le bloc « Paramètres du format A4 » permet d’ajouter du texte sur le ticket et d’en choisir la langue.

Entrez votre texte dans le champ prévu à cet effet. Ce texte apparaîtra en dessous du logo. Il fautau préalable sélectionner la langue dans laquelle le texte est rédigé. Si vous souhaitez rédiger untexte en plusieurs langues, il faut pour chaque langue sélectionner la langue, et entrer le texte dansle champ de texte.



Si l’on ne souhaite pas renseigner un texte pour chacune des langues, sélectionner la langue pardéfaut qui sera utilisée pour l’affichage du texte qui n’est pas traduit.

Le bloc « Paramètre du format badge » permet de choisir les informations qui seront affichées surle ticket en format badge. En effet, le format badge étant par définition réduit, il n’est pas possibled’afficher l’ensemble des informations du ticket. Les nom, prénom, login, mot de passe et profil del’utilisateur pourront être affichés. Si l’administrateur a défini des champs additionnels, ils serontégalement proposés à l’affichage. Le bouton « Visualiser le badge » permet d’avoir un aperçu del’impression du badge.

Exemple :

Figure 5.130. Exemple de configuration d’un ticket de connexion au format A4

L’affichage de ce ticket au format A4 sera le suivant :



Figure 5.131. Exemple de ticket de connexion au format A4

Exemple :



Figure 5.132. Exemple de configuration d’un ticket de connexion au format badge

Pour obtenir un aperçu de l’affichage en format badge, cliquez sur le bouton « Visualiser le badge ».Avec l’exemple ci-dessus, la page suivante s’affiche :

Figure 5.133. Exemple de ticket de connexion au format badge

Pour valider, cliquez sur le bouton « Valider ».

Note

Le logo apparaît toujours en haut et à gauche en format badge.

Avertissement

Le texte libre n’apparaît pas dans les tickets de connexion au format badge.



5.4.5. Configuration d’URL en accès libre

Si vous souhaitez que les utilisateurs puissent accéder à certaines URLs avant authentification, il fautles spécifier dans cette section.

Cliquez sur l’item « URLs en accès libre » du sous-menu proposé en partie gauche de la fenêtre. Lapage suivante s’affiche :

Figure 5.134. Configuration des URL en accès libre

Pour ajouter une URL HTTP, cliquez sur le bouton « Ajouter » du premier tableau. La page suivantes’affiche :



Figure 5.135. Ajout d’une URL HTTP en accès libre

Il existe deux façons de décrire des URL en accès libre.

1. En spécifiant l’URL complète (ex. : www.ucopia.com). Dans ce cas, toute l’arborescence est acces-sible.

2. En spécifiant des motifs (ex. : www.ucopia.*; *.ucopia.*), ce qui permet de filtrer des arborescencesd’un domaine soit en spécifiant le nom du domaine (dans ce cas, on a toute l’arborescence), soit enspécifiant des motifs permettant de filtrer des arborescences du domaine.

La case à cocher « Toujours accessible » permet de rendre utilisable l’URL même si celle-ci n’estutilisée par aucun portail d’authentification.

Exemple :

Figure 5.136. Exemple d’URL en accès libre


Une fois l’URL spécifiée, un statut indique si l’URL est utilisée par un des services UCOPIA (portailUCOPIA par exemple).

Figure 5.137. URL HTTP en accès libre



Pour ajouter une URL HTTPS, cliquez sur le bouton « Ajouter » du second tableau. La page suivantes’affiche :

Figure 5.138. Ajout d'une URL HTTPS en accès libre

Contrairement aux URLs HTTP, seule les URLs complètes peuvent être spécifiées.


5.5. Configuration du mécanisme de journalisation

Il est possible d’une part, de contrôler quel type d’information sera journalisée (sessions, URL, etc.) et,d’autre part, de décider quels sont les critères sur lesquels la base de données sera « nettoyée » (par-tiellement ou totalement).

Pour accéder à la gestion de la base de données, cliquez sur l’item « Journalisation » du menu enpartie gauche de la fenêtre, puis sur l’item « Configuration » du sous-menu.




Figure 5.139. Configuration de la journalisation

5.5.1. Critères d’activation de la journalisation

Le bloc « Journalisation activée pour » permet d’activer partiellement la journalisation, en activantpar exemple la journalisation des sessions et en désactivant la journalisation des URL. Par défaut, lajournalisation des sessions, des URL et du trafic licite (paquets TCP et UDP) est activée. Les paquetsrejetés ne sont pas journalisés.

Avertissement

Si la journalisation des sessions est désactivée, il ne sera pas possible de visualiser en temps réelles utilisateurs connectés. Cette option est également obligatoire pour la journalisation des URL etdes paquets TCP et UDP.

5.5.2. Purge de la base de données des journaux

Le bloc « Purge des journaux » propose de définir les critères à partir desquels sera déclenchée l’actionde purge de la base de données.

Les choix suivants sont proposés :

Tous les n Mo : la base de données est vidée tous les n mégaoctets.

Toutes les n sessions : la base de données est vidée toutes les n sessions.



Fréquence personnalisée : la base de données est vidée périodiquement, tous les jours, semainesou mois. Il est possible de préciser, suivant les cas, l’heure ou le jour.

Exemple :

Figure 5.140. Exemple de configuration de critères pour la purge des journaux

Avertissement

Quelles que soient les valeurs configurées dans le formulaire, la purge de la base de données desjournaux sera forcée si la taille excède 1 Go.

5.5.2.1. Génération des fichiers de sauvegarde

UCOPIA peut gérer automatiquement les sauvegardes des journaux. Chaque fois que la base est vidée,un fichier est alors créé. Il faut, pour cela, s’assurer que la case « Réaliser une sauvegarde des jour-naux lors de la purge » est cochée.

Figure 5.141. Génération des fichiers de sauvegarde

Les fichiers de sauvegarde sont au format « tar », et sont générés avec le nom suivant :

<date de début sauvegarde>-<heure>_<date de fin sauvegarde>-<heure>.tar.bz2

avec <date> = aaaammjj et <heure> = hhmm

5.5.2.2. Compression des fichiers de sauvegarde

Afin d’optimiser la place occupée par les sauvegardes de journaux sur le disque dur de l’applianceUCOPIA, il est proposé de les compresser. Par défaut, la compression est activée pour les sauvegardesdatant de plus de 7 jours. Ce nombre de jours est configurable.

Figure 5.142. Activation de la compression des sauvegardes de journaux



Pour désactiver le mécanisme de compression, décochez la case « Activer la compression automa-tique des sauvegardes ».

Note

La compression/décompression des fichiers de sauvegarde de journaux peut s’effectuer manuelle-ment pour chacun d’eux. Voir documentation « Manuel d’Administration UCOPIA Advance », Sec-tion « Gestion des journaux ».

5.5.2.3. Suppression des fichiers de sauvegarde

Les fichiers de sauvegarde peuvent être supprimés automatiquement après une période de temps don-née. Par défaut, la période de conservation est de 1 an. Pour désactiver la suppression automatique,décochez sur la case « Activer la suppression automatique des sauvegardes ».

Figure 5.143. Suppression automatique des fichiers de sauvegarde

5.5.2.4. Exportation automatique des fichiers de sauvegarde

Afin d’automatiser l’exportation des fichiers de sauvegarde des journaux, il est possible de les transférervia FTP sur une machine tierce.

Note

Il est fortement recommandé de configurer ce mécanisme pour (1) assurer une sauvegarde desjournaux sur une plate-forme autre que le boîtier UCOPIA, et (2) éviter de saturer le disque durUCOPIA. En effet, si le disque dur arrive à saturation, un mécanisme de rotation circulaire s’active,et les journaux les plus anciens seront remplacés par les plus récents.

Avertissement

Les fichiers de sauvegarde seront transférés à chaque fois que la base de données est purgée.

Pour activer l’export, cochez la case « Activer l’exportation des sauvegardes » puis renseignez leschamps relatifs au serveur FTP (Nom du serveur et Port).

Le champ « URI » correspond au répertoire dans lequel les fichiers de sauvegardes seront transférés(répertoire à prendre en compte depuis la racine du serveur FTP).

Deux modes d’authentification au serveur FTP sont proposés : le mode anonyme qui ne nécessitepas d’identifiants, et le mode qui nécessite un login et un mot de passe. Décochez la case « Activezl’authentification anonyme » pour le mode avec authentification, et renseignez le login et mot de passe.



Exemple :

Figure 5.144. Exemple de configuration d’export FTP des journaux

Le bouton « Tester les paramètres FTP » permet de vérifier, avant validation, que les paramètres sontcorrects.

Si, pour des raisons d’optimisation de l’espace disque, vous ne souhaitez pas conserver les sauvegardessur le contrôleur UCOPIA une fois celles-ci transférées, cochez la case « Supprimer les sauvegardesdu contrôleur après un export réussi ».

Note

L’exportation/importation des fichiers de sauvegarde des journaux peut être réalisée manuellementpour chacun d’eux. Voir documentation « Manuel d’Administration UCOPIA Advance », Section« Gestion des journaux ».

5.6. Configuration de la haute disponibilité

UCOPIA Advance permet de mettre en place une architecture de redondance afin de ne pas interromprele service du contrôleur UCOPIA en cas de défaillance de la machine. Pour ce faire, il faudra déployerau moins deux contrôleurs ayant la capacité de se suppléer l’un l’autre.

UCOPIA propose également un mécanisme de répartition de charge qui peut permettre à plusieursboîtiers UCOPIA de se répartir les connexions des utilisateurs.



Le basculement d’un boîtier UCOPIA à l’autre s’effectue grâce à une adresse IP virtuelle. En effet, à uninstant donné, seul un boîtier dispose de l’adresse virtuelle. En cas de panne d’un boîtier actif, le boîtierde redondance prend connaissance de la panne grâce au protocole VRRP (Virtual Router RedundancyProtocol), et récupère l’adresse IP virtuelle. Il devient ainsi le nouveau boîtier actif, tout en assurant unetotale transparence pour les utilisateurs. Ce mécanisme s’applique également entre boîtiers actifs encas de défaillance de l’un deux.

Avertissement

La redondance et la répartition de charge sont disponibles en option. Une licence appropriée doitêtre installée sur les contrôleurs.

Avertissement

La redondance et la répartition de charge doivent être configurés AVANT toute configuration multicontrôleurs.

5.6.1. Redondance

Le modèle de redondance UCOPIA est un modèle Actif/Passif mettant en œuvre au moins deux boîtiersUCOPIA, un seul étant actif à un instant donné. Les boîtiers UCOPIA intervenant dans une architecturede redondance dialoguent entre eux et peuvent par conséquent s’apercevoir de la défaillance de leurconfrère.

5.6.2. Répartition de charge

La répartition de charge est un modèle Actif/Actif. Elle répartit de façon automatique les utilisateurs entreles différents boîtiers UCOPIA.

Ce mode inclut également une redondance entre les boîtiers, qui peut s’opérer de deux façons.

Si tous les boîtiers sont actifs : lors d’une panne, les utilisateurs connectés sur le boîtier défaillantseront pris en charge par les autres boîtiers actifs. Il s’agit alors d’une redondance « dégradée ».En effet, si deux boîtiers, par exemple Advance 100, sont configurés en répartition de charge, 200connexions simultanées se répartissent sur les deux boîtiers. Si l’un des deux boîtiers tombe enpanne, seules 100 connexions simultanées seront possibles sur le boîtier restant opérationnel.

Il est possible d’avoir un boîtier de redondance passif qui assure la redondance des boîtiers actifs.

5.6.3. Configuration de la redondance et de la répartition de charge

Pour configurer la redondance et la répartition de charge, cliquez sur l’item « Haute disponibilité » dansle menu à gauche de la fenêtre, puis sur l’item « Redondance et répartition de charge » du sous-menu.




Figure 5.145. Configuration du mécanisme de répartition de charge : étape 1

Pour activer la redondance et répartition de charge, cochez la case « Activer ».





L’adresse IP ainsi que le type de licence sur lequel s’opère la configuration s’affichent. Le type de licenceprécise si la redondance ou la répartition de charge est disponible, et le modèle de boîtier en termes deconnexions simultanées (exemple : Répartition de charge – 1000 connexions, ou Redondance – 500connexions).

L’étape suivante consiste à préciser l’interface de communications entre les contrôleurs. Cette interfacepeut s’établir sur un des VLAN d’entrée ou de sortie. Les communications inter-contrôleurs incluent lesmessages du protocole VRRP.

Entrez le nombre de contrôleurs UCOPIA devant être configurés en redondance et/ou répartition decharge. Renseignez ensuite les adresses IP des contrôleurs.

Cliquez sur « Valider ». La page suivante s’affiche :




L’étape suivante consiste à renseigner le VRID initial. Un VRID (Virtual Router Identifier) permet dedéfinir l’adresse MAC virtuelle associée à une interface réseau physique. Les adresses MAC virtuellessont alors de la forme 00-00-5E-00-01-<i>XX</i> où <i>XX</i> est le VRID. Chaque contrôleuractif nécessite 2 adresses MAC virtuelles (une pour l’interface d’entrée, une pour l’interface de sortie)donc 2 VRID. Pour N contrôleurs, il faut alors 2xN VRID. Le champ VRID initial permet de spécifier ledébut de cette plage de VRID.

Entrez le nombre de contrôleurs actifs.

Avertissement

Le nombre de contrôleurs actifs doit être cohérent avec les licences des contrôleurs impliqués. Eneffet, pour qu’un contrôleur soit actif, il faudra qu’il dispose d’une licence « Répartition de charge ».



Par exemple, pour un groupe de 3 contrôleurs dont 2 actifs, la page de configuration serait la suivante :

Figure 5.148. Exemple de configuration pour 3 contrôleurs dont 2 en répartition de charge et 1 redondant

Renseignez les adresses IP virtuelles pour chacun des VLAN d’entrée et de sortie. Plusieurs contrôleurspouvant être actifs, il faudra renseigner les IP virtuelles pour autant de nœuds que de contrôleurs actifs.Les adresses IP virtuelles doivent être uniques.



Note

Un nœud représente un ensemble d’IP virtuelles s’appliquant à un contrôleur actif à un momentdonné.

Dans l’exemple ci-dessus, nous avons 2 contrôleurs actifs, 5 VLAN d’entrée et 1 VLAN de sortie. Deuxcontrôleurs étant potentiellement actifs, il faudra renseigner les IP virtuelles pour deux nœuds.



L’état des contrôleurs (Actif ou Passif) s’affiche dans la colonne « État » du tableau des contrôleurs. Ilest également mentionné, pour chaque contrôleur actif, les nœuds pris en charge.

Exemple :

Figure 5.150. Exemple de 3 contrôleurs dont 2 actifs et un passif



5.7. Configuration multi-contrôleurs

Une architecture multi-contrôleurs UCOPIA peut être déployée dans le cadre d’une architecture mul-ti-sites. Dans une architecture multi-contrôleurs, il existe un contrôleur « principal » et des contrôleurs« secondaires ».

Le contrôleur principal permettra d’administrer de façon centralisée tous les contrôleurs secondaires.Dès lors qu’une configuration principal/secondaires est mise en place, des onglets apparaissent surchaque écran de configuration et de supervision du contrôleur principal. Chaque onglet correspond àun contrôleur secondaire.

La copie d’écran suivante montre un boîtier principal ayant en charge l’administration de 2 contrôleurs se-condaires. L’accès aux boîtiers secondaires s’opère très simplement en sélectionnant l’onglet du contrô-leur à administrer. Dans cet exemple, on administre les VLAN d’entrée sur le contrôleur secondaire dePoitiers à partir du contrôleur principal de Châtillon.

Figure 5.151. Administration centralisée depuis un contrôleur principal

De plus, toute opération d’administration concernant les utilisateurs, profils et services (c’est-à-dire toutce qui est stocké dans l’annuaire UCOPIA) peut être réalisée depuis n’importe quel contrôleur (principalou secondaire). Toute modification est automatiquement répercutée sur les autres contrôleurs par unemécanique de réplication d’annuaire « à chaud ».



Avertissement

Si les mécanismes de redondance et de répartition de charge doivent être mis en œuvre, ils doiventêtre configurés AVANT toute configuration multi contrôleurs.

Pour définir un contrôleur comme principal, cliquez sur l’item « Multi-contrôleurs » proposé en partiegauche de la fenêtre. Le sous-menu s’affiche et propose les items suivants :

Figure 5.152. Items du menu Multi-contrôleurs sur le contrôleur principal

Il faut, en premier lieu, définir un contrôleur principal. Cliquez sur l’item « Contrôleur principal » dusous-menu. La page suivante s’affiche :

Figure 5.153. Configuration d’un contrôleur principal

Il faut renseigner le nom du site et le nom du contrôleur qui seront utilisés pour identifier le contrôleurprincipal dans l’architecture multi sites. Les noms par défaut sont respectivement local et local.

Il faut ensuite renseigner l’interface réseau qui permettra au contrôleur principal d’interagir avec lescontrôleurs secondaires.

Si toutefois l’interaction du principal avec les secondaires s’effectue à travers d’un NAT, il faut renseignerles ports à utiliser. Pour cela, ouvrez le cadre « Options avancées », et renseignez les champs suivants :



Port d’accès HTTPS : port sur lequel le serveur Web du contrôleur principal est joignable par lessecondaires.

Port d’accès LDAPS : port sur lequel l’annuaire LDAP du contrôleur principal est joignable parles secondaires.

Exemple :

Figure 5.154. Exemple de configuration des ports de communication en environnement multi contrôleurs

Il s’agit ensuite de configurer les contrôleurs secondaires. Cliquez sur l’item « Contrôleurs secon-daires » du sous-menu. La page suivante s’affiche :

Figure 5.155. Configuration des contrôleurs secondaires

Pour ajouter un contrôleur secondaire, cliquez sur le bouton « Ajouter ». La page suivante s’affiche :



Figure 5.156. Ajout d’un contrôleur secondaire

Il faut renseigner le nom du site et du contrôleur secondaire, puis les paramètres qui vont permettre aucontrôleur principal d’atteindre le secondaire, à savoir l’adresse IP du secondaire.

Le cadre « Options avancées » permet, comme pour la configuration du principal, de configurer lesports à utiliser en cas de NAT.

Avertissement

Dans le cas d’une architecture multi-contrôleurs, le réseau séparant le contrôleur principal du contrô-leur secondaire est généralement routé (niveau 3). Il est donc nécessaire de configurer les « forwardde ports » adéquats sur chacun des ports utilisés.

Une fois l’association principal/secondaires réalisée, un contrôleur secondaire permettra de visualiserl’information d’association.

Sur un contrôleur secondaire, cliquez sur l’item « Multi-contrôleurs » proposé en partie gauche de lafenêtre. Le sous-menu s’affiche et propose les items suivants :

Figure 5.157. Item du menu Multi-contrôleurs sur un contrôleur secondaire

Cliquez sur l’item « Informations globales » du sous-menu. La page suivante s’affiche :



Figure 5.158. Information d’association principal/secondaire

Cette page résume les informations de l’association entre le contrôleur principal et son secondaire.

5.8. Configuration des services externes de communication

Le contrôleur UCOPIA peut être amené à utiliser des services de messagerie ou de SMS pour commu-niquer avec les utilisateurs, par exemple pour communiquer des identifiants de connexion (login, mot depasse, etc.). Il peut également être en relation avec des outils tiers tels que PMS ou serveurs de cartesprépayés (PPS) ou PayPal afin de facturer les connexions.

Les services de messagerie et de SMS pourront être utilisés soit depuis le portail Web UCOPIA pourenvoi du mot de passe de l’utilisateur (voir Section 5.4.1.4.3, « Mode avec enregistrement libre » etSection 5.4.1.4.5, « Mode avec enregistrement par Mail »), soit depuis l’outil d’administration déléguépour envoi des informations de connexion à l’utilisateur (identifiants, plages horaires autorisées, etc.).

Les services de facturation donneront lieu à des portails dédiés (voir Section 5.4.1.4.7, « Mode avecutilisation d’un logiciel de facturation (PMS) »)

Cliquez sur l’item « Services externes » proposé en partie gauche de la fenêtre. Le sous-menu s’afficheet propose les items suivants :

Figure 5.159. Items du menu Services externes



5.8.1. Configuration du service de SMS

Avertissement

Ce mode suppose un abonnement auprès d’un fournisseur de SMS. Se renseigner auprès d’UCOPIACommunications.

Pour configurer un compte de SMS, cliquez sur l’item « SMS » du sous-menu. La page suivante s’affiche :

Figure 5.160. Configuration des comptes SMS

Pour chaque compte SMS créé, le tableau indique l’opérateur choisi, le type d’envoi (HTTP ou SMTP),le nombre de portails, ainsi que le nombre de profils de type administrateur délégué utilisant ce compte.

Pour ajouter un nouveau compte de SMS, cliquez sur le bouton « Ajouter ». La page suivante s’affiche :



Figure 5.161. Ajout d’un compte SMS

Il faut en premier lieu choisir la plate-forme de SMS parmi celles proposées. Il faut en conséquencerenseigner les champs suivants :

Nom du compte : identifiant libre permettant de nommer le compte.

Opérateur d’envoi des SMS : il s’agit de sélectionner la plate-forme d’envoi de SMS parmi cellesproposées. Nous rappelons qu’une inscription auprès de la plate-forme choisie est nécessaire afind’obtenir les identifiants de connexion.

Identifiant du compte : login du compte associé à la plate-forme de SMS.

Mot de passe du compte : mot de passe du compte associé à la plate-forme de SMS.

Identifiant client : identifiant client (donné par la plate-forme de SMS).

Il est ensuite possible de personnaliser le contenu du SMS suivant l’usage qui en est fait. Le SMS seracomposé d’un message d’accueil pouvant se décliner en fonction des langues disponibles. Le messaged’accueil sera construit à l’aide d’un template. Un template sera composé de texte et de variables dy-namiques. Les variables seront encadrées par le caractère « % ».

Les variables dynamiques pourront être le login (%login%), le mot de passe (%password%), le nom(%lastname%), le prénom (%firstname%) et le profil (%profile%) de l’utilisateur. Le login et le motde passe sont obligatoires.

Exemple :



Figure 5.162. Exemple de configuration d’un compte SMS

Le bouton « Ré-initialiser les templates » permet de remettre tous les templates dans leur format pardéfaut.

Utilisez le Bouton « Tester les paramètres » pour vous assurer de la véracité des informations rensei-gnées.

Cliquez sur le bouton « Valider » pour valider le compte SMS.

Note

La langue peut être choisie par défaut. Il n’est donc pas nécessaire de renseigner le messaged’accueil dans toutes les langues. Les champs non renseignés prendront la valeur du champ corres-pondant à la langue par défaut.

5.8.2. Configuration du service de messagerie (email)

Pour configurer un compte de messagerie, cliquez sur l’item « Services externes » proposé en partiegauche de la fenêtre, puis sur l’item « Mail » du sous-menu. La page suivante s’affiche :



Figure 5.163. Configuration des comptes de messagerie

Le tableau indique, pour chaque compte créé, le serveur de messagerie, le nombre de portails ainsi quele nombre de profils de type administrateur délégué utilisant ce compte.

Pour ajouter un nouveau compte de messagerie, cliquez sur le bouton « Ajouter ». La page suivantes’affiche :



Figure 5.164. Ajout d’un compte de messagerie

Il faut renseigner les champs suivants :

Nom du compte : identifiant libre permettant de nommer le compte.

Adresse IP ou DNS du serveur de messagerie : il s’agit de préciser soit l’adresse IP du serveurde messagerie, soit le nom DNS du serveur.

Port : numéro de port sur lequel la communication avec le serveur de messagerie s’établit.

Utiliser une connexion sécurisée : cochez la case si vous souhaitez une connexion sécuriséesur les ports 587 (TLS) ou 465 (SSL).

Identifiant du compte : login du compte de messagerie.

Mot de passe du compte : mot de passe du compte de messagerie.

Adresse mail du compte : adresse mail qui sera utilisée pour envoyer le message.

Adresse de réponse au mail : adresse mail utilisée en cas de nécessité de réponse.

Message présent en début de mail : message qui sera inclus systématiquement au début dechaque mail envoyé.

Exemple :



Figure 5.165. Exemple de configuration d’un compte mail

Utilisez le Bouton « Tester les paramètres » pour vous assurer de la véracité des informations rensei-gnées.


5.8.3. Configuration du service PayPal

UCOPIA s’interface avec PayPal afin qu’un utilisateur puisse acheter depuis le portail UCOPIA un tempsde connexion. L’utilisateur pourra utiliser son compte PayPal ou sa carte de crédit.

Le couplage PayPal/UCOPIA fonctionne avec une notion de forfait. Le forfait est défini parl’administrateur UCOPIA. Cela peut être un forfait 1h, 3h, ou forfait « emails », ou forfait « Tous les joursouvrés de 16h à 18h », etc. Les forfaits sont proposés au choix de l’utilisateur sur le portail UCOPIA.

Avertissement

Cette configuration suppose que l’administrateur de la solution UCOPIA (ou son représentant) aitcréé au préalable un compte PayPal. Ce compte doit avoir le statut « Premier » ou « Business »et « vérifié ».

Pour mettre en œuvre l’interface PayPal, cliquez sur l’item « PayPal » du sous-menu. La page suivantes’affiche :



Figure 5.166. Configuration PayPal

Il faut renseigner les informations relatives au compte PayPal :

Adresse email utilisée comme identifiant du compte PayPal.

Identifiant du certificat PayPal. Il faut, pour récupérer cet identifiant, (1) exporter le certificat encliquant sur le lien « Export du certificat », (2) uploader le certificat sur le site de PayPal, (3) noterl’identifiant remis par PayPal.

Cliquez sur le premier bouton « Tester les paramètres » pour vérifier que les informations entrées sontcorrectes.

Ensuite, il faut renseigner les informations relatives à l’API PayPal.

Renseignez les informations permettant d’utiliser l’API PayPal (identifiant, mot de passe et signa-ture). Cette API est destinée à récupérer les informations de paiement.

Cliquez sur le deuxième bouton « Tester les paramètres » pour tester la connexion à PayPal.

Exemple :



Figure 5.167. Configuration du portail UCOPIA avec paiement en ligne

5.8.4. Configuration du service PMS

Le contrôleur UCOPIA s’interface avec des produits de type PMS (Property Management System). LesPMS sont des produits de gestion clients, et se rencontrent plus particulièrement dans les environne-ments hôteliers ou hospitaliers. Ils permettent l’enregistrement des clients, la facturation, etc.

Il existe un mode de portail UCOPIA dédié à ce fonctionnement (voir Section Section 5.4.1.4.7, « Modeavec utilisation d’un logiciel de facturation (PMS) »).

Avertissement

L’interface avec ces produits s’appuie sur le protocole FIAS. En conséquence, seuls les PMS com-patibles FIAS pourront dialoguer avec UCOPIA. Pour utiliser tout autre PMS ne respectant pas ceprotocole, contactez UCOPIA Communications.

Le couplage PMS/UCOPIA fonctionne avec une notion de forfait. Le forfait est défini par l’administrateurUCOPIA. Cela peut être un forfait 1h, 3h, ou forfait « emails », ou forfait « Tous les jours ouvrés de 16hà 18h », etc. Les forfaits sont proposés au choix de l’utilisateur sur le portail UCOPIA.

Le dialogue PMS/UCOPIA se déroule comme suit :

1. Tout d’abord, une synchronisation entre les deux produits afin de créer les comptes dans UCOPIApour les clients déjà présents (dans l’hôtel par exemple).

2. PMS -> UCOPIA : envoi de l’ordre de création de compte utilisateur quand un nouveau client arrive. Lecompte est créé dans UCOPIA avec des identifiants générés automatiquement à partir d’informationtelles que le nom et le prénom de l’utilisateur, son numéro de chambre, etc. (configurable).

3. L’utilisateur pourra modifier son mot de passe depuis le portail UCOPIA après sa première authen-tification.

4. Portail UCOPIA : authentification de l’utilisateur et choix du forfait.

5. UCOPIA -> PMS : envoi du type de forfait choisi par l’utilisateur.

6. PMS ->UCOPIA : envoi de l’ordre de fermeture du compte utilisateur quand le client s’en va.

Pour mettre en œuvre l’interface PMS, cliquez sur l’item « PMS » du sous-menu. La page suivantes’affiche :



Figure 5.168. Configuration de l’interface PMS

Avant de pouvoir activer la connexion avec un PMS, vous devez au préalable créer au moins un forfait.La configuration d’un forfait est décrite dans le manuel « Manuel d’administration UCOPIA Advance »,Section « Configuration des forfaits ».

Une fois un ou plusieurs forfait créés, cochez la case « Activer le système PMS ». Le formulaire suivants’affiche :



Figure 5.169. Configuration des paramètres de connexion au PMS



Il faut renseigner les champs suivant :

Accès au serveur PMS

Adresse du serveur : l’adresse IP du serveur sur lequel se trouve le PMS.

Port du serveur : le port sur lequel l’échange avec le PMS sera réalisé.

Identifiant de l’émetteur : un identifiant à définir en accord avec le PMS.

L’indicateur « Statut » indique si la connexion avec le PMS est active ou non.

Validité des comptes

À la réception d’un message de type ‘check-out’, deux actions sont possibles. Le compte utilisateurn’est plus valide immédiatement (défaut) ou le compte n’est plus valide à partir de 12h et N jours,le nombre de jours étant configurable.

Template de création des comptes

Un mécanisme de template permet de définir le format des identifiants de l’utilisateur.

Les templates sont construits à partir de clés. Les clés disponibles sont les suivantes :

%title% : la civilité ou le titre de l’utilisateur

%lastname% : le nom de l’utilisateur

%firstname% : le prénom de l’utilisateur

%roomnumber% : le numéro de chambre

%guestnumber% : le numéro de client

Exemple :

login = dupond123 (%lastname%%roomnunber)mot de passe = jean (%firstname%)

Du texte peut être positionné entre chaque clé.

login = Chambre123 (Chambre%roomnunber)

Codage du mot de passe

Le mot de passe peut être chiffré ou pas. Un mot de passe chiffré correspond aux 8 premierscaractères de l’empreinte SHA1 du mot de passe (prénom ou nom). Pas de chiffrement par défaut.

Communication

Il est possible de préciser le type d’encodage utilisé par le serveur PMS : ISO-8859-1 (défaut),UTF-8 ou CP850.

Facturation des services

L’information de facturation (POST CHARGE) sera envoyée toutes les N secondes au PMS. Letemps entre chaque vérification est configurable.

Utilisateurs sans choix de forfaits

Les utilisateurs identifiés par le PMS comme n’ayant pas à choisir de forfaits seront créés en utilisantle profil sélectionné.




5.8.5. Configuration du service PPS

Le contrôleur UCOPIA s’interface avec des produits de type PPS (Pre Paid System). Ce type de produitfonctionne avec des cartes que l’utilisateur achète (cartes prépayées). À chaque carte est associé untemps de connexion.

Il existe un mode de portail UCOPIA dédié à ce fonctionnement (voir Section 5.4.1.8, « Personnalisationgraphique et création de modèles visuels »).

Avertissement

L’interface PPS fonctionne avec les serveurs StreamWIDE. Pour utiliser tout autre PPS, contactezUCOPIA Communications.

Le dialogue PPS/UCOPIA se déroule comme suit :

1. L’utilisateur s’authentifie sur le portail UCOPIA en renseignant le numéro de carte et le captcha code(image affichant un mot de 8 caractères).

2. UCOPIA -> PPS : le numéro de carte permet de faire une demande de crédit temps auprès du serveurPPS. Le PPS alloue du temps par tranche de N minutes renouvelable. Le compte de l’utilisateur estautomatiquement créé dans UCOPIA. Le login de l’utilisateur sera le numéro GUID fourni par le PPSassocié au numéro de carte. Son mot de passe sera le captcha code. Son groupe sera celui par défautdéfini lors de la configuration du portail. L’utilisateur visualise sur le portail le temps de connexionassocié à la carte et le temps de connexion consommé.

3. UCOPIA -> PPS : lors de la déconnexion de l’utilisateur, UCOPIA envoie au PPS le temps deconnexion consommé par l’utilisateur. Le compte de l’utilisateur est automatiquement supprimé dela base de comptes UCOPIA.

Pour mettre en œuvre l’interface PPS, cliquez sur l’item « PPS » du sous-menu. La page suivantes’affiche :

Figure 5.170. Configuration du système PPS



Il faut configurer les paramètres permettant d’établir la connexion avec le PPS. Pour cela, cochez lacase « Activer le système PPS ». Le formulaire suivant s’affiche :

Figure 5.171. Configuration des paramètres de connexion au PPS

Il faut renseigner les champs suivant :

Version du PPS : 1.3.6 ou 1.5

URL de l’interface XMLRPC : l’URL pointe sur le fichier PHP qui contient le serveur XMLRPCqui traite les demandes (début de session, demande de crédit temps, fin de session, validité d’unecarte, etc.).

Exemple : http://@IP/ppsxml/prepaid.xml_rpc.server.php

Adresse APN : nom du serveur Internet qui fournit le service, ex: gprs.streamwide.com.

Label du sous-trafic : Sous-trafic du trafic DATA. Prend la valeur DATA.

IP : l’adresse IP trunk utilisée pour initier la connexion avec le PPS, par défaut 10.10.10.10.

Mode de facturation : champ non modifiable correspondant au mode de facturation. Il s’agit d’unefacturation au temps (TIME).

5.9. Configuration des interfaces avec le contrôleur UCOPIA

UCOPIA propose à des fins de supervision des interfaces de communication standards telles que SNMPou Syslog.

Cliquez sur l’item « Interfaces avec le contrôleur » proposé en partie gauche de la fenêtre. Le sous-menu s’affiche et propose les items suivants :

Figure 5.172. Items du menu Interfaces UCOPIA

5.9.1. Interface SNMP

Les contrôleurs UCOPIA intègrent un agent SNMP, ce qui leur permet d’être supervisés depuis un outilde supervision compatible SNMP (appelé Manager SNMP).

Une MIB (Management Information Base) standard MIB-2 est proposée afin de permettre le dialogueentre l’outil de supervision et l’agent UCOPIA.



Pour mettre en œuvre l’interface SNMP, cliquez sur l’item « SNMP » du sous-menu. La page suivantes’affiche :

Figure 5.173. Configuration de l’interface SNMP

Note

Pour autoriser un accès sur l'interface SNMP, consultez Section 5.1.7.1, « Accès au contrôleur ».

Astuce

La MIB UCOPIA est téléchargeable en cliquant sur le lien « Télécharger la MIB du contrôleur ».

5.9.1.1. Configuration de l'agent SNMP

Ce bloc permet de configurer l'accès aux ressources SNMP, selon la version SNMP du client.

Vous pouvez choisir d'activer l'une ou l'autre des versions (V2 ou V3), et pour chacune d'elle les para-mètres d'accès en lecture ou lecture et écriture.

Paramètres SNMP version 2

Nom de la communauté : il s'agit de l'identifiant/mot de passe utilisé pour accéder aux res-sources.



Limiter l'accès aux OIDs : cliquez sur « Ajouter une exclusion » pour spécifier un ou plu-sieurs OIDs auxquels l'accès sera interdit.

Paramètres SNMP version 3

Identifiant : l'identifiant à utiliser pour ce mode d'accès

Niveau de sécurité : choisissez un niveau de sécurité et les algorithmes et mot de passe àutiliser pour chacun d'entre eux.

Limiter l'accès aux OIDs : cliquez sur « Ajouter une exclusion » pour spécifier un ou plu-sieurs OIDs auxquels l'accès sera interdit.

5.9.1.2. Configuration des alertes SNMP

Les alertes (“traps”) UCOPIA permettent de surveiller l'état du contrôleur, ainsi que l’ensemble des ser-vices actifs (serveur Web, annuaire LDAP, serveur RADIUS, etc.).

1. Vous devez commencer par définir les récepteurs SNMP de ces alertes : cliquez sur « Ajouter unrécepteur » et définissez son protocole, adresse IP et protocole.

2. Choisissez ensuite les évènements survenant sur les caractéristiques du contrôleur lui-même quidéclencheront une alerte :

Interfaces réseau : une interface réseau change d'état.

Espace disque : l'espace disponible devient inférieur à la valeur spécifiée.

Charge système : la charge système dépasse un seuil sur l'une des périodes de références :1 minute, 5 minutes, 15 minutes.

Les valeurs indiquées représentent les facteurs multiplicateurs qui seront appliqués en fonctiondu nombre de CPU présents sur le contrôleur. Ainsi si le contrôleur possède 4 CPUs les valeursseront multipliées par 4 pour avoir les valeurs réelles des seuils.

Espace d'échange (SWAP) : la taille de l'espace d'échange dépasse un certain volume. Cettevaleur devrait rester minime en toutes circonstances sur le contrôleur.

3. Vous pouvez enfin cocher les cases correspondant aux services du contrôleur à surveiller.

5.9.2. Interface Syslog

Certains événements système contenus dans le fichier Syslog UCOPIA peuvent être exportés vers unserveur Syslog externe.

Pour exporter les événements Syslog, cliquez sur l’item « Syslog » du sous-menu en partie gauche dela fenêtre. La page suivante s’affiche.



Figure 5.174. Exportation Syslog

Cochez la case « Activer l’externalisation des journaux Syslog » et renseignez les champs suivants :

Adresse IP : adresse IP du serveur Syslog.

Port : numéro de port utilisé pour la communication avec le serveur Syslog.

Puis, sélectionner le type d’événements à exporter :

Serveur d’adresses (DHCP)

Serveur RADIUS

Serveur de déconnexion automatique

Serveur d’authentification

Exemple :

Figure 5.175. Configuration de l'exportation Syslog


Configuration des éléments actifs


6 Configuration des éléments actifsLes éléments actifs mentionnés dans ce chapitre correspondent soit au point d’accès Wi-Fi soit auxcommutateurs sur lesquels les postes utilisateurs s’associent ou se connectent.

6.1. Configuration des points d’accès Wi-Fi

Les points d’accès doivent être configurés en fonction de l’infrastructure réseau dans laquelle ils doivents’intégrer.

Par ailleurs, leur configuration dépend des modes d’authentification choisis et des options de chiffrement.

Voici, suivant les cas, les configurations à effectuer :

Dans le cas d’un point d’accès « lourd », attribution d’une adresse IP fixe au point d’accès (ex. :192.168.100.200).

Définition d’un ou plusieurs SSID

Plusieurs SSID seront définis si l’on veut mettre en œuvre plusieurs modes d’authentification sur lemême point d’accès, un par SSID.

Par exemple, il sera possible de définir un SSID en libre accès avec une authentification de type portail,et un autre SSID avec une authentification 802.1x/EAP.

Il faudra associer un VLAN à chaque SSID.

Avertissement

Le point d’accès doit supporter la fonction multi SSID/VLAN.

Configuration pour une authentification 802.1x/EAP.

Il faut configurer l’adresse IP du serveur d’authentification RADIUS (ex. : 192.168.100.254) et lesecret partagé avec ce serveur.

Configuration du chiffrement radio standard

Activer WEP ou WPA/WPA2 PSK (TKIP ou AES) ou 802.11i.

6.2. Configuration des commutateurs

Lors de la création de nouveaux réseaux Wi-Fi, il est nécessaire d’isoler dans de nouveaux VLAN letrafic utilisateur, afin de mettre le contrôleur UCOPIA en coupure entre les WLAN et le réseau LAN/WAN. Nous avons vu qu’à chaque SSID créé sur les points d’accès correspond un nouveau VLAN quidoit être transporté sur chacun des éléments actifs reliant le point d’accès à l’interface eth1 (IN) ducontrôleur UCOPIA.

Le transport des VLAN se fait par la déclaration des VID sur chacun des commutateurs de chaîne.Ces VID sont ceux qui ont été créés sur les points d’accès (ex. : VID 2 : invite/portail, VID 3 :administratifs/802.1X et VID 4 : administration des bornes).

Avertissement

Le VID de l’interface eth0 (OUT) du contrôleur UCOPIA doit être différent du VID de l’interface eth1(IN).

Configuration des éléments actifs


Sur ces commutateurs, plusieurs types de ports doivent être configurés. Si plusieurs commutateurs fontpartie de la chaîne, les VID doivent être affectés aux ports de STACK.

Sur le commutateur où est branché le contrôleur UCOPIA, les ports à configurer sont ceux où sontconnectés :

L’interface eth1 (IN) d’UCOPIA ;

Les points d’accès « lourds » ou l’interface OUT du contrôleur Wireless (AP légers).

L’encapsulation 802.1q ou le mode TRUNK doit être activé pour chacun de ces ports physiques, ainsique l’affectation des VLAN Wi-Fi et le VLAN d’administration des bornes.

Exemple :

UCOPIA est branché sur le LAN existant en sortie de contrôleur sur le VLAN 1. Les VLAN d’entrée2 et 3 ont été déclarés sur le contrôleur, chacun correspondant à un SSID créé sur le point d’accès.Nous voulons également isoler le trafic d’authentification RADIUS sur le VLAN d’administration desbornes. Pour cela, nous allons déclarer les VLAN 2, 3 et 4 dans les bases de chacun des commutateurs,puis déclarer nos TRUNK de la manière suivante sur chaque port physique qui relie points d’accès,contrôleurs Wi-Fi, eth1 du contrôleur UCOPIA et port de STACK.

Ports UCOPIA et points d’accès : VLAN 2 : TAG, VLAN 3 : TAG, VLAN 4 : UNTAG

Ports de STACK des commutateurs : VLAN 2 : TAG, VLAN 3 : TAG, VLAN 4 : TAG

Mise en service


7 Mise en service

Une fois UCOPIA Advance et les éléments actifs installés et configurés, il faut créer des profils utilisa-teurs et des utilisateurs. Pour cela, consultez la documentation « Manuel d’Administration UCOPIAAdvance ». Pour réaliser des connexions Wi-Fi (ou filaires) à travers UCOPIA, consultez la documen-tation « Manuel d’utilisation du portail UCOPIA ».

Protocole PMS/FIAS


Annexe A. Protocole PMS/FIAS

Les primitives du protocole FIAS mises en œuvre par UCOPIA sont les suivantes :

Synchronisation

LS, LA, LE, LD, DS, DE

Mouvements Client

GI (Check-in) avec les champs :

– RN : numéro de chambre

– G# : identifiant unique du client

– GT : civilité

– GF : prénom

– GN : nom

GO (Check-Out) avec les champs :



– GT : civilité

– GF : prénom

– GN : nom

– GV : si la valeur est 1, l'utilisateur est créé avec le profil par défaut et ne choisira pas deforfait.

GC (Guest-Change) avec les champs :

– RN : nouveau numéro de chambre

– RO : ancien numéro de chambre


– GT : civilité

– GF : prénom

– GN : nom

XL (Message texte pour le client) avec les champs :


– MI : id du message

– MT : le message texte


Facturation

PS (Post-Charge) avec les champs :


– PTC : charge directe

– SO : identifiant de l’émetteur

– TA : montant du forfait

– P# : numéro de la requête

– CT : description

PA (Post-Answer) avec les champs :

Protocole PMS/FIAS


– AS : statut de la réponse

– CT : description


Documents

Manuel d’installation UCOPIA Advance · 5.34. Configuration des paramètres de connexion à un annuaire externe Active Directory ..... 46 5.35