6.31. Options de déploiement IDERI note Gateway

Figure 6.97 montre un schéma simplifié d’un environnement classique IDERI note au sein d’un Active Directory® un peu comme dans une multitude d’environnements de production : le domaine fictif Active Directory® ideri.local comprend l’ordinateur serveur Windows dc01.ideri.local, agissant en tant que contrôleur de domaine, l’ordinateur serveur Windows inotesrv.ideri.local, où le serveur IDERI note est installé et remet les messages à une installations client IDERI note sur les postes de travail du domaine (client01.ideri.local, client02.ideri.local, ...). Le périmètre de réseau sécurisé du réseau de domaine est séparé d’Internet par un pare-feu. Sur la base de cette infrastructure, le texte suivant dans ce paragraphe présentera différentes options de déploiement IDERI note Gateway avec complexité et propriétés différentes.

A classic IDERI note environment without any mobile devices

Figure 6.97: Un environnement IDERI note classique sans aucun appareil mobile

6.31.1. Accès à IDERI note Gateway du réseau d’entreprise/Wifi exclusivement

L’extension la plus simple au classique de l’environnement IDERI note de la figure 6.97 est composé de IDERI note Gateway en cours d’installation sur un serveur membre Active Directory® comme illustré dans la figure 6.98. Les appareils mobiles n’ont généralement qu’une interface Wifi installée pour se connecter à un réseau local d’entreprise. Grâce à cette interface Wifi, les appareils mobiles peuvent se connecter à IDERI note Gateway et recevoir des messages.

Cette méthode de déploiement est la plus simple et aussi la variante la plus sécurisée, mais son inconvénient est sa limitation de l’accessibilité du réseau aux points d’accès Wifi de l’entreprise. Cependant, pour de nombreux cas d’utilisation, cela peut être entièrement suffisant.

Une variante de cette méthode de déploiement utilise un client VPN installé en plus sur les appareils mobiles, connectant l’appareil mobile au LAN de l’entreprise. L’utilisation de cette variante permet d’étendre l’applicabilité aux appareils mobiles connectés à Internet uniquement, en utilisant le tunnel VPN sur la connexion Wifi de l’appareil ou sa connexion de données mobiles.

Deployment variant 1: Mobile devices only connect over the corporate WLAN or a VPN

Figure 6.98: Variante de déploiement 1: les appareils mobiles se connectent uniquement via le Wifi d’entreprise ou un VPN

6.31.2. Accès à IDERI note Gateway à partir d’Internet

Figure 6.99 montre la deuxième variante de déploiement avec des clients mobiles qui se connectent en plus via Internet au IDERI note Gateway. En utilisant cette variante, le IDERI note Gateway est accessible à partir de clients connectés à Internet, mais pas simplement en redirigeant un port depuis un routeur de pare-feu d’entreprise vers une interface réseau de l’ordinateur exécutant IDERI note Gateway. Pour un serveur joint à un domaine exposant des services à Internet, les mesures de sécurité suivantes doivent être prises, conformément aux meilleures pratiques de Microsoft:

  • Le serveur doit être situé dans une zone démilitarisée.
  • Le serveur ne doit pas avoir de connexion en écriture au contrôleur de domaine, il doit uniquement se connecter à un contrôleur de domaine en lecture seule (RODC).
Deployment variant 2: Mobile devices connect over the internet, the |INOTEGW| is located in a DMZ with an RODC

Figure 6.99: Variante de déploiement 2: les appareils mobiles se connectent via Internet, le IDERI note Gateway est situé dans une DMZ avec un RODC