7.32. Le composant Gateway IDERI note en détails¶
Gateway IDERI note est un composant facultatif de la suite de produits IDERI note qui est requis les opérations de connectivité des appareils mobiles dans votre infrastructure IDERI note.
Attention
Paramètres Active Directory® pour implémentation réussie
Avec une configuration standard de l’Active Directory®, aucune mesure supplémentaire n’est requise pour une implémentation réussie de la connectivité du client mobile du serveur Gateway IDERI note. Cependant, comme mesure de durcissement, beaucoup d’entreprises aspirent à réduire le nombre de membres du groupe intégré “groupe d’accès compatible Windows 2000”. L’adhésion à ce groupe permet à ses principals de voir les adhésions de tous les autres principals dans l’Active Directory®. Dans une configuration standard de l’Active Directory®, les “utilisateurs authentifiés” sont membres de ce groupe. Si cela est le cas dans votre configuration de l’Active Directory®, aucune configuration supplémentaire n’est requise. Si cela n’est pas le cas, vous devez ajouter le compte ordinateur du serveur Gateway IDERI note au “groupe d’accès compatible Windows 2000” ou vous assurez que le compte ordinateur du serveur Gateway IDERI note à le droit de lecture sur l’adhésion aux groupes de chaque principal dans l’Active Directory® qui doit être autorisé à utiliser la connectivité mobile à votre infrastructure IDERI note.
7.32.1. Responsibilités Gateway IDERI note¶
Comme son nom l’indique, Gateway IDERI note est un composant qui sert de facilité de transition des demandes des clients mobiles vers un environnement basé Active Directory®. Outre la transition de protocole purement technique de la communication basée sur le service Web des appareils mobiles via https depuis Internet ou un intranet vers les protocoles LAN basés sur RPC d’un environnement classique IDERI note, le Gateway IDERI note utilise également une transition de protocole en ce qui concerne l’authentification des clients. Pour commencer, au cours d’une configuration de connexion de client mobile, le Gateway IDERI note sert à l’authentification utilisateur classique avec des informations d’identification utilisateur (nom d’utilisateur, nom de domaine, mot de passe), afin de présenter un certificat X.509 au client après une authentification réussie. Le nom commun de ce certificat client individuel contient le SID de l’utilisateur ayant été authentifié, de sorte que les demandes ultérieures d’un client utilisant ce certificat peuvent être vérifiées par le Gateway IDERI note et provenir de l’utilisateur représenté par le SID. À l’aide de ces informations, le Gateway IDERI note peut désormais effectuer une transition/conversion d’authentification pour toutes les demandes de synchronisation des clients avec leurs certificats respectifs authentifiés par Gateway IDERI note, en utilisant les extensions Kerberos-S4U et la délégation contrainte (toutes deux introduites avec Windows Server 2003), afin de créer une session de connexion réseau au nom de l’utilisateur mobile sur le serveur IDERI note associé à Gateway IDERI note.
Les certificats clients qui sont présentés aux utilisateurs mobiles après une authentification réussie lors de la configuration de la connexion sur le périphérique mobile, sont valides uniquement sur le Gateway IDERI note lui-même, car ils ont été délivrés par une autorité de certification locale sur le Gateway IDERI note. En outre, les sessions de connexion réseau créées par le Gateway IDERI note sur le serveur IDERI note lors de la synchronisation du client mobile à l’aide de l’authentification par certificat, ne peut être créé que par le Gateway IDERI note à son associé serveur IDERI note et aucun autre ordinateur dans Active Directory®, grâce à la délégation contrainte qui est configurée à partir de Gateway IDERI note à un service IDERI note.
Après cette introduction conceptuelle, les paragraphes suivants donneront un aperçu de processus d’installation et de configuration Gateway IDERI note.
7.32.2. Configuration Gateway IDERI note¶
Pour utiliser le composant Gateway IDERI note dans un environnement productif, Gateway IDERI note doit d’abord être installé comme décrit dans le chapitre 3.9. Ensuite, l’application nommée “Configuration Gateway IDERI note” peut être lancée via le menu Démarrer.
Lorsque vous démarrez pour la première fois la configuration Gateway IDERI note, vous verrez que toutes les étapes sont marquées comme “Statut:incomplet” comme le montre la figure 7.100.
Suivez les étapes individuelles pour configurer le Gateway IDERI note en conséquence.
7.32.2.1. Étape 1: configurer la connexion à votre serveur IDERI note¶
Configurer la connexion au serveur IDERI note à l’étape 1. Spécifiez le nom de domaine complet (FQDN) et le nom NetBIOS du serveur sur lequel le service IDERI note installé et en cours d’exécution. Pour vous connecter avec succès, vous devez également définir les ports TCP pour l’interface d’administration et client du service IDERI note comme indiqué dans la figure 7.101. Si ceux-ci ne sont pas déjà configurés, vous devez les activer et les définir sur le serveur IDERI note selon le chapitre 7.25.
Pour vérifier si le serveur peut communiquer avec succès via ces ports, vous pouvez utiliser les boutons “Test” dans la boîte de dialogue de configuration.
7.32.2.2. Étape 2: configurer une autorité de certification locale (CA) pour les certificats client¶
Comme IDERI note mobile utilise des certificats pour identifier et authentifier les utilisateurs une autorité de certification (CA) doit être configurée qui est responsable de la signature de ces certificats. S’il existe déjà une telle autorité de certification sur le système, vous pouvez la sélectionner en choisissant le deuxième choix de figure 7.102. Il utilisera toujours le magasin de certificats local sur le système. Alternativement, une nouvelle autorité de certification peut être créée en sélectionnant le premier choix.
Si l’élément “Je souhaite créer une nouvelle autorité de certification auto-signée” est sélectionné, un assistant s’ouvre, ce qui conduit à la création de la nouvelle autorité de certification.
7.32.2.3. Étape 3: configuration d’un certificat à utiliser pour la sécurité de la couche de transport¶
S’assurer que la transmission des messages de Gateway IDERI note aux utilisateurs finaux se fait de manière sécurisée et cryptée, vous devrez configurer un certificat à l’étape 3. Comme le montre la figure 7.103, il est possible de sélectionner un certificat déjà présent dans le magasin de certificats Windows® local ou d’en créer un nouveau. Un certificat existant peut être un certificat émis par une autorité de certification publique, comme par exemple GoDaddy, Strato ou LetsEncrypt.
Si vous décidez de créer un nouveau certificat, vous accédez à la page de configuration de l’assistant illustré dans la figure 7.104.
Veuillez noter que le “Nom commun du certificat de serveur” doit être égal à l’adresse avec laquelle les clients se connectent à Gateway IDERI note plus tard. Si les noms diffèrent, cela entraînera une erreur de certification.
7.32.2.4. Étape 4: configuration de la configuration du point de terminaison du service Web¶
Configurez l’adresse d’un port à l’étape 4, les clients se connecteront à Gateway IDERI note plus tard. (voir la figure 7.105) Encore une fois, veuillez noter que l’adresse doit correspondre au nom commun des certificats défini à l’étape 3.
Si toutes les étapes ont été configurées avec succès, les configurations effectuées doivent être enregistrées en cliquant sur “Appliquer”. Il en résulte un message indiquant que le service Gateway IDERI note doit être redémarré, ce qui est obligatoire pour appliquer les modifications apportées.
7.32.2.5. Étape 5 (facultative): configurer la sécurité du serveur et d’autres paramètres¶
La page de configuration de l’étape 5 (voir la figure 7.106) contient les paramètres d’un port TCP dédié pour gérer le Gateway IDERI note à distance. Ce port vous donne la possibilité de gérer les certificats utilisateur (respectivement les connexions client) émis par le Gateway IDERI note via les certificats snap-In MMC IDERI note à partir d’un ordinateur distant.
En sélectionnant l’élément “Gestion des accès”, vous pouvez définir des autorisations d’accès pour le Gateway IDERI note et le comportement par défaut des nouveaux certificats. (voir la figure 7.107)
Vous pouvez définir ici par exemple, que les certificats d’utilisateur pour les utilisateurs d’un Active Directory® spécifique sera approuvé immédiatement et ne sera pas mis en quarantaine en premier lieu, afin que ces utilisateurs puissent recevoir instantanément des messages via leur client IDERI note mobile. De plus, il est possible de définir ici quels utilisateurs peuvent gérer les certificats d’utilisateurs par exemple, pour réactiver les certificats mis en quarantaine.
La page nommée “Authentification” (figure 7.108) contient les paramètres d’authentification.
Avec les paramètres de la page à onglet intitulée “Paramètres du périphérique”, illustrés dans la figure 7.109, vous pouvez contrôler le comportement de l’application sur l’appareil de l’utilisateur final. Par exemple, vous pouvez activer le mode d’accusé de réception rapide, afin que le message soit automatiquement signalé comme lu dès que l’utilisateur ouvre le message, au lieu d’avoir à acquitter le message en appuyant sur le bouton “J’ai lu le message”. De plus, vous pouvez configurer le type de notifications à afficher sur l’appareil mobile de l’utilisateur.
7.32.3. Gestion des certificats d’utilisateur émis¶
Pour l’activer, définissez la mise en quarantaine ou supprimez les certificats utilisateur émis par le Gateway IDERI note vous pouvez utiliser les certificats snap-In MMC IDERI note. En savoir plus sur le composant logiciel enfichable dans le chapitre 2.10.
7.32.4. Configuration de la connexion client mobile en détail¶
Lors du démarrage de la configuration d’une nouvelle connexion sur un appareil mobile, le certificat requis pour les opérations de synchronisation client ultérieures n’est pas encore sur l’appareil mobile. Après tout, il est de la responsabilité de la configuration de la connexion de déployer ce certificat sur le client. Le reste de ce paragraphe décrit les opérations entre l’appareil mobile et le Gateway IDERI note pendant la configuration de la connexion.
Lors de la configuration de la connexion du client mobile, l’appareil mobile génère d’abord une demande de signature de certificat (CSR) pour le certificat à obtenir à partir de Gateway IDERI note. Un sous-produit du processus de génération de CSR est la création de la clé privée pour le certificat. La clé privée ne quittera jamais l’appareil mobile et est stockée dans l’installation de stockage sécurisé de la plateforme mobile respective utilisée. En utilisant cette clé privée, il sera plus tard possible pour l’appareil mobile de prouver à Gateway IDERI note dans le cadre du processus d’authentification du certificat client pour chaque synchronisation client, qu’il s’agit bien du client qu’il prétend être. Après la création de la CSR et de la clé privée, le client mobile envoie la CSR via une interface de service Web à Gateway IDERI note et authentifie cet appel de service Web avec son informations d’identification Active Directory® (nom d’utilisateur, mot de passe, nom de domaine). Depuis une connexion SSL/TLS au Gateway IDERI note ne peut réussir que si Gateway IDERI note présente un certificat valide au client mobile qui est considéré comme fiable car il a été créé par une autorité de certification (CA) qui fait partie de la liste des autorités de certification racine du client, le client sait qu’il présente ses informations d’identification au serveur approprié. En plus du serveur authentifié auprès du client, la connexion SSL/TLS garantit également la confidentialité des informations d’identification pendant le transit. Si les pouvoirs présentés au Gateway IDERI note sont corrects, le Gateway IDERI note génère un certificat client à partir de la CSR qu’il a reçue du client mobile à l’aide de son autorité de certification locale et le renvoie au client mobile en tant que réponse à la demande de service Web. Après cela, le client mobile dispose de toutes les informations nécessaires pour démarrer sa conversation de synchronisation client avec le Gateway IDERI note. Selon que le certificat nouvellement créé est déjà activé ou toujours en quarantaine, cette opération de synchronisation lancée par le client mobile peut déjà réussir ou peut nécessiter un effort administratif pour activer le certificat client.
7.32.5. Aspects de la sécurité des communications avec les clients mobiles¶
Toutes les communications entre les appareils mobiles et le Gateway IDERI note est protégé par SSL/TLS, la version étant actuellement TLS 1.2. Le CSR créé par le client mobile a une taille de module RSA de 2048 bits. La clé publique des certificats clients créés par le Gateway IDERI note sont également 2048 bits et utilisent l’algorithme de hachage SHA256 avec RSA pour l’échange de signatures. Le certificat racine auto-signé pour l’autorité de certification locale et le certificat de couche de transport auto-signé facultatif utilisent la taille de clé publique configurée lors de l’exécution de leurs assistants de création de certificat.