guide de mise à jourd’un contrôleur · pdf file• plates-formes de sms...
TRANSCRIPT
GUIDE DE MISE À JOUR
D’UN CONTRÔLEUR UCOPIA
De la version 3 à la version 5
GUIDE DE MISE À JOURD’UN CONTRÔLEUR UCOPIA
SOMMAIRE INTRODUCTION 3
HISTORIQUE DES VERSIONS 4
3 VERSION 3.0 5 3.1 PORTAIL CAPTIF 5 3.2 PROFILS UTILISATEURS 5 3.3 QUALITÉ DE SERVICE 5 3.4 SÉCURITÉ 5 3.5 DÉPLOIEMENT MULTI SITES 5
4 VERSION 4.0 6 4.1 NOUVELLE PLATE-FORME MATÉRIELLE 6 4.2 PORTAIL CAPTIF 6 4.3 JOURNALISATION 6 4.4 HAUTE DISPONIBILITÉ 7 4.5 PLATE-FORME DE GESTION DE PARC 7 4.6 NOUVEAU MODÈLE DE LA GAMME ADVANCE 7
5 VERSION 4.1 8 5.1 PORTAIL CAPTIF 8 5.2 QUALITÉ DE SERVICE 8 5.3 ACCOUNTING RADIUS 8 5.4 ADMINISTRATION 9 5.5 NOUVEAU MODÈLE DE LA GAMME EXPRESS 9
6 VERSION 4.2 10 6.1 PORTAIL CAPTIF 10 6.2 PORTAIL DE DÉLÉGATION 11 6.3 NOUVELLE APPLICATION MOBILE 11 6.4 ADMINISTRATION 12 6.5 PLATE-FORME DE GESTION DE PARC 12 6.6 NOUVEAU MODÈLE DE MATÉRIEL – LE SV1000 RDP 12
3
7 VERSION 4.3 13 7.1 COMPATIBILITÉ SHIBBOLETH 13 7.2 PORTAIL CAPTIF ET PORTAIL DE DÉLÉGATION 13 7.3 ARCHITECTURE CENTRALISÉE DE NIVEAU 3 14 7.4 ADMINISTRATION 14 7.5 EVOLUTIONS DES APPLICATIONS MOBILES 14 7.6 NOUVEAUX MODÈLES – LE SV150 ET LE SV2000RDP 15 7.7 APPLIANCE VIRTUELLE 15
8 VERSION 4.4 16 8.1 PORTAIL CAPTIF 16 8.2 AUTHENTIFICATION AUTOMATIQUE PAR @MAC 16 8.3 COMPATIBILITÉ IPASS 16 8.4 FILTRAGE D’URLS 17 8.5 ARCHITECTURE CENTRALISÉE DE NIVEAU 3 17 8.6 ADMINISTRATION 17 8.7 SÉCURITÉ 18 8.8 PERFORMANCE ET NOUVEAU MATÉRIEL SVBLADE 18 8.9 PLATE-FORME DE GESTION DE PARC 18
9 VERSION 5.0 19 9.1 PARCOURS CLIENT ET NOUVEAUX USAGES 19 9.2 CONNEXION ENTIÈREMENT AUTOMATIQUE 20 9.3 GÉNÉRATION DE REVENU 21 9.4 ARCHITECTURE CLOUD 21 9.5 CONTRÔLEUR MULTI CLIENTS 22 9.6 ADMINISTRATION 22 9.7 SÉCURITÉ 24 9.8 EVOLUTION DES MATÉRIELS 25 9.9 PLATE-FORME UWS 25
10 PROCESSUS DE MISES À JOUR 26
11 MISES À JOUR ÉVOLUTIVES ET CORRECTIVES 27
INTRODUCTION
Ce guide s’adresse aux administrateurs système et/ou réseaux ayant en charge l’exploitation d’un contrôleur UCOPIA.
Nous présentons dans ce document l’historique des versions logicielles UCOPIA depuis 2008 ainsi que le contenu fonctionnel de chaque version majeure.
Le processus de mise à jour d’un contrôleur UCOPIA avec une nouvelle version est ensuite détaillé.
4
5
HISTORIQUE DES VERSIONS
Nous présentons l’historique des versions depuis début 2008.Trois versions importantes dans la vie du produit UCOPIA ont vu le jour, début 2008 la version 3.0, début 2010 la version 4.0 et septembre 2014 la version 5.0.
LA VERSION 3.0Un des objectifs forts de la version UCOPIA 3.0 était de fusionner la gamme Express et Advance afin qu’elles se présentent avec la même interface utilisa-teur. Pour ce faire, les interfaces utilisateur des outils d’administration Advance ont été entièrement revues afin d’offrir un niveau de simplicité équivalent à la version Express. UCOPIA 3.0 va également plus loin dans la simplicité et l’ergonomie, en permettant un accès rapide aux informations, des vérifications de cohérence ainsi que l’automatisation de certaines configurations. D’un point de vue technique, les versions Advance et Express sont bâties sur une même souche logicielle, ce qui permet à nos clients d’évoluer de la version Express vers la version Advance par une simple clé logicielle.
LA VERSION 4.0UCOPIA 4.0 est l’aboutissement de deux ans de R&D depuis la version 3.0 début 2008. La 4.0 se présente sous la forme de nouvelles appliances aux couleurs UCOPIA, plus optimisées et plus performantes. La 4.0 donne accès aux partenaires et clients UCOPIA à la plate-forme de gestion de parc afin qu’ils puissent administrer leur propre parc de contrôleurs UCOPIA.
LA VERSION 5.0 UCOPIA 5.0 marque l’évolution de la version 4 depuis 2010. Quatre versions intermédiaires ont été produites, la 4.1, 4.2, 4.3 et la 4.4. L’ensemble de ces versions propose de nombreuses évolutions fonctionnelles (parcours client, administration, sécurité, etc.) mais aussi une architecture multi sites flexible permettant à UCOPIA d’être proposé en mode Cloud. Enfin la version 5.0 et ses hautes performances propose une nouvelle gamme de serveurs encore plus performants permettant d’adresser de nouveaux marchés tels que les stades ou les centres d’exposition.La version 5.0 continue d’évoluer au cours de l’année 2015, notamment en permettant d’exploiter les données utilisateurs collectées, soit à travers du portail captif ou des réseaux sociaux.
6
3 VERSION 3.0
3.1 PORTAIL CAPTIFLe portail Web UCOPIA peut se décliner de différentes façons (aspect et comportement) suivant le VLAN d’appartenance de l’utilisateur. Par exemple, dans le cadre d’une entreprise, les visiteurs se verront proposer un portail sur lequel ils pourront s’auto-enregistrer grâce à leur numéro de téléphone mobile, d’autres populations telle que partenaires utiliseront un portail classique nécessitant un identifiant et un mot de passe.
Une notion de zone a été introduite afin de localiser les utilisateurs et leur appliquer des politiques de nomadisme appropriées (droit de connexion, profil particulier).
3.2 PROFILS UTILISATEURSLes profils utilisateur vont accompagner le nomade dans ses déplacements et s’adapter au lieu sur lequel il se trouve et à l’instant où il se connecte. Par exemple, les étudiants qui si connectent dans la zone «Amphithéatre» pendant la période d’examens voient leurs droits d’accès modifiés (pas d’Internet et accès uniquement aux serveurs pédagogiques).
3.3 QUALITÉ DE SERVICELes mécanismes de Qualité de Service ont été revus, l’objectif étant de mieux répondre à la prise en compte de la voix ou téléphonie sur IP. En effet, la QoS est dorénavant applicable par service, la VoIP pourra être prioritaire devant d’autres services consommateurs de bande passante, ces mêmes services pourront se voir limiter leur bande passante au profit de la VoIP.
3.4 SÉCURITÉLe mécanisme de cascade d’annuaires utilisé lors du processus d’authen-tification des utilisateurs peut maintenant être différent suivant les modes d’authentification. Il est possible de choisir pour chaque mode quels sont les annuaires impliqués dans la cascade et l’ordre de la cascade.Des mécanismes de détection d’intrusion ont été intégrés afin de détecter et de contrer des attaques consistant à usurper l’identité d’un utilisateur.
3.5 DÉPLOIEMENT MULTI SITESLa version Advance est le plus souvent déployée dans les environnements multi sites, pour mieux répondre à ces déploiements, l’administration centralisée d’un ensemble de contrôleurs UCOPIA a été améliorée. Un contrôleur Principal permet d’administrer et de superviser les contrôleurs secondaires, Des rapports de statistiques d’utilisation de l’ensemble des contrôleurs UCOPIA peuvent être produits depuis le contrôleur Principal.
7
4 VERSION 4.0
4.1 NOUVELLE PLATE-FORME MATÉRIELLELa version 4.0 s’accompagne de nouveaux hardwares et se décline en quatre modèles :
• Serveur 20 : pouvant gérer jusqu’à 20 connexions simultanées,• Serveur 200 : pouvant gérer jusqu’à 200 connexions simultanées,• Serveur 500 : pouvant gérer jusqu’à 500 simultanées,• Serveur 1000 : pouvant gérer jusqu’à 1000 connexions simultanées.
Ces nouveaux matériels sont présentés aux couleurs UCOPIA. L’encombrement est réduit pour les deux premiers modèles ainsi que la consommation électrique, les performances sont améliorées. Les modèles haut de gamme (500 et 1000) sont au format rack 1U.
4.2 PORTAIL CAPTIF Le portail est entièrement personnalisable grâce à son nouvel éditeur graphique, il peut ainsi très simplement être mis aux couleurs de l’entreprise où il est déployé. Le portail est disponible en 5 langues (Français, Anglais, Italien, Allemand, Néerlandais).Le portail interopère avec de nombreuses solutions du marché.
• Facturation (PMS) : Micros Fidelio, Protel, Brillant, Topsys, …• Plates-formes de SMS : Orange ContactEveryOne, Quescom, tm4b,
SMSbox, LeSMS.com, SMSEnvoi, …• Paiement en ligne : CB, Paypal• Cartes prépayées : StreamWide
4.3 JOURNALISATIONAvec la version 4.0, la capacité de sauvegarde des journaux utilisateurs est augmentée grâce à des évolutions matérielles et logicielles.
• Disques durs de 160 à 500 Go suivant les modèles• Compression des journaux sur disque dans un rapport 4 par rapport
aux journaux initiaux• Suppression automatique des journaux de plus d’un an.
8
Des alertes se déclenchent si toutefois le disque dur arrive à saturation. En cas de disque saturé, les journaux les plus anciens seront remplacés par les plus récents.
4.4 HAUTE DISPONIBILITÉLa version 4.0 généralise le concept de cluster de machines pour garantir une haute disponibilité optimale. Dans un cluster, plusieurs machines peuvent se répartir les rôles entre redondance et répartition de charge. Par exemple, pour un cluster de 5 machines, trois machines actives se répartissent la charge et deux passives assurent la redondance. Un cluster est caractérisé par une @IP et une @MAC virtuelles.
4.5 PLATE-FORME DE GESTION DE PARCLa version 4.0 propose à nos partenaires un accès personnalisé à la plate-forme de gestion de parc UCOPIA afin qu’ils puissent superviser et exploiter leur parc de contrôleurs UCOPIA.
• Le partenaire, une fois identifié, pourra organiser son propre parc de machines UCOPIA en fonction de différents critères (client final, région, version produit, dates de maintenance, etc.)
• La plate-forme propose des fonctions de supervision des boîtiers UCOPIA :
» Statistiques globales indiquant la répartition du parc en termes de gamme produit ou de versions.
» Statistiques détaillées pour chaque boîtier (connexions simultanées, espace disque disponibles, charge CPU, …)
» Informations relatives au contrat de maintenance, date d’installation de la licence, niveau de mise à jour, etc.
• Il est possible depuis la plate-forme d’administrer les boîtiers UCOPIA en accédant par un simple clic aux outils d’administration UCOPIA.
• Les mises à jour peuvent être téléchargées depuis la plate-forme.
4.6 NOUVEAU MODÈLE DE LA GAMME ADVANCEUn nouveau modèle vient renforcer le haut de gamme UCOPIA, à savoir le modèle UCOPIA Advance 1000 assurant 1000 connexions simultanées. Ce modèle positionnée dans une architecture de haute disponibilité en cluster va permettre d’assurer une montée en charge importante (plusieurs milliers de connexions simultanées).
9
5 VERSION 4.1
5.1 PORTAIL CAPTIF• La notion de forfait qui est utilisée dans le portail PMS
(portail avec connexion à un outil de facturation type Micros Fidelio, Protel, etc.) a été généralisée afin que tous les portails proposant un mode de paiement puissent en bénéficier.Il est par conséquent possible de choisir un forfait lors d’un paiement en ligne via PayPal ou carte de crédit. Les forfaits sont définis par l’administrateur et peuvent correspondre à des temps de connexion ou à des bouquets de services.
• Le portail PMS a été enrichi. Il est possible de définir des forfaits gratuits. Les identifiants de connexion d’un utilisateur (login et mot de passe) peuvent être personnalisés par l’administrateur à l’aide d’un mécanisme de templates.
• Les URLs libres pouvant être utilisées depuis un portail peuvent s’exprimer à l’aide d’expressions régulières.
• Tous les portails sont disponibles en 7 langues : Français, Anglais, Allemand, Italien, Espagnol, Portugais et Néerlandais.
5.2 QUALITÉ DE SERVICELa version 4.1 apporte un nouveau mécanisme concernant la Qualité de Service. Il est dorénavant possible de limiter la bande passante soit par profil utilisateur, soit par utilisateur. Dans le cas d’une QoS appliquée par profil utilisateur, chaque utilisateur sera limité à la limite imposée, mais il est également possible de proposer une limitation personnalisée pour un utilisateur particulier. Les débits ascendant et descendant peuvent être contrôlés et s’expriment en kilobit/s. La Qualité de Service par service (protocole) disponible dans les versions précédentes reste toujours applicable.
5.3 ACCOUNTING RADIUSLe serveur RADIUS embarqué par UCOPIA utilisé jusqu’à présent pour ses fonctions d’authentification permet avec la 4.1 d’assurer le service d’accounting avec un serveur RADIUS externe. Ceci permet de mettre en oeuvre de nouveaux mécanismes de facturation.
10
5.4 ADMINISTRATIONConcernant l’administration d’un contrôleur UCOPIA, plusieurs évolutions et améliorations sont proposées.
• Possibilité d’avoir plusieurs comptes administrateurs ayant des prérogatives différentes, notamment certains administrateurs ne pouvant pas consulter les journaux utilisateurs et ce pour des raisons de confidentialité.
• Les administrateurs délégués peuvent être authentifiés à partir d’un annuaire d’entreprise externe à UCOPIA. Cette fonction est particu-lièrement intéressante pour les entreprises qui souhaitent que leurs collaborateurs puissent jouer le rôle d’administrateur délégué et de fait soient à même de créer des comptes à leurs visiteurs en toute autonomie. Plusieurs annuaires peuvent être impliqués dans le processus d’authentification, le mécanisme de cascades d’annuaires standard UCOPIA peut être mis en œuvre.
• L’outil d’administration délégué est disponible en 6 langues : Français, Anglais, Allemand, Italien, Espagnol et Portugais.
• L’API permettant de réaliser les fonctions d’administration déléguée a été enrichie par de nouvelles fonctionnalités. Tous les types de validité de compte utilisateur (valide à la création du compte, valide à la première connexion, etc.) sont maintenant pris en charge. Il est également possible de transmettre les champs personnalisés de délégation, de bannir un utilisateur, etc.
• Une nouvelle interface plus simple et plus intuitive de configuration DNS est proposée. Par ailleurs, le serveur DNS embarqué par UCOPIA a été optimisé.
• Le proxy Web embarqué par UCOPIA a été optimisé.
• La CLI (le langage de commande pour les administrateurs) a été étendue et propose de nouvelles commandes : reboot, halt ifconfig, dhclient, etc.
5.5 NOUVEAU MODÈLE DE LA GAMME EXPRESSLe modèle Express 5 vient se positionner en entrée de gamme pour répondre au besoin des petites organisations telles que gites ruraux, restaurants, etc.
11
6 VERSION 4.2
La version 4.2 a été conçue pour apporter encore plus de simplicité et d’ergonomie dans les fonctions d’accueil de nomades. En particulier, l’accent a été mis sur la personnalisation des outils dédiés aux utilisateurs afin que ces outils puissent parfaitement répondre aux exigences des chartes graphiques des organisations.
6.1 PORTAIL CAPTIF• Personnalisation forte : pour répondre à des besoins de personna-
lisation avancée du portail. La 4.2 donne la possibilité de modifier le source HTML du portail. Il est ainsi possible d’exporter le source HTML, de le modifier et de le réimporter dans le contrôleur UCOPIA.Ce nouveau mécanisme d’import/export va permettre de réaliser des personnalisations qui ne sont pas possibles à travers l’éditeur graphique de portail. Par exemple le bloc réservé UCOPIA dans lequel s’instaure le dialogue d’authentification peut-être ainsi personnalisé. La cinématique du portail peut aussi être modifiée à souhait.Un autre avantage est qu’il ne sera plus nécessaire d’utiliser un por-tail externe (hébergé par un serveur autre que le contrôleur UCOPIA) pour réaliser une personnalisation avancée. La personnalisation est également facilitée puisqu’il ne sera plus nécessaire d’utiliser l’API Javascript de communication portail externe/UCOPIA.
• Un nouveau type de portail est disponible. Ce portail est une alter-native au mode « portail automatique » qui ne requière pas d’au-thentification. En effet, ce nouveau portail demande à l’utilisateur de s’auto-enregistrer en renseignant son identité. Il recevra automati-quement ses identifiants sur le portail.
• Le portail avec achat de forfait en ligne (Carte de crédit, PayPal) a été amélioré permettant ainsi à l’utilisateur de recevoir ses identi-fiants par SMS. Ceci garantie que les identifiants seront conservés par l’utilisateur, important lors d’un achat en ligne.
• Les URls libres pouvant être définies sur le portail peuvent maintenant être utilisées à travers le protocole HTTPS. Ceci permet d’accéder à des sites sécurisés avant authentification.
• Deux types de charte sont proposés, une charte pour définir l’usage des informations personnelles (nouveau) et la charte d’utilisation des services (Internet, etc.). Les textes des chartes sont maintenant hébergés par le contrôleur UCOPIA, évitant ainsi l’usage d’un serveur tiers.
12
• Enfin, sur la plupart des types de portail, il est possible d’activer des configurations permettant (1) à l’utilisateur de choisir ses propres identifiants, (2) de demander à l’utilisateur de renseigner son numéro de téléphone ou son email, (3) d’imposer à l’utilisateur de changer son mot de passe avant la première utilisation.
6.2 PORTAIL DE DÉLÉGATION
• A l’instar du portail d’authentification, le portail de délégation peut être personnalisé en version 4.2. Dans un premier temps à travers un éditeur graphique (même éditeur que le portail d’authentification), et ensuite à travers le mécanisme d’import/export du source HTML pour une personnalisation avancée.
• De plus, il est possible de définir plusieurs portails de délégation et de les affecter à des zones différentes. Par exemple, dans une approche centralisée, une chaîne d’hôtels regroupant plusieurs marques pourra proposer pour chacune des marques un portail de délégation personnalisé aux couleurs de l’enseigne.
• L’ergonomie du portail de délégation a été fortement améliorée notamment dans la recherche des utilisateurs.
• Par configuration, on peut donner la possibilité à l’administrateur délégué de changer son mot de passe ou lui Imposer de le changer à la première utilisation.
6.3 NOUVELLE APPLICATION MOBILE Une application mobile pour smartphone est disponible avec la version 4.2. L’objectif de l’application est double, d’une part simplifier la connexion à un réseau UCOPIA, d’autre part permettre à un administrateur délégué de créer très simplement un compte utilisateur. L’application mobile mémorise les identifiants de l’utilisateur, ils sont rejoués automatiquement en présence d’une demande d’authentification UCOPIA.Les comptes utilisateur peuvent être crées directement à partir des contacts du répertoire du smartphone, les tickets de connexion peuvent être envoyés à l’utilisateur depuis le smartphone par SMS ou par email.L’application UCOPIA est disponible pour iPhone, BlackBerry et Androïd. Elle est gratuite, téléchargeable depuis les stores des différents équipe-mentiers et existe en français et en anglais.
13
6.4 ADMINISTRATION• Un nouveau module de statistiques propose davantage de statis-
tiques prédéfinies et donne dynamiquement accès aux données brutes.
• Les statistiques peuvent être envoyées en format CSV à des fins de création de rapport.
• La CLI est maintenant accessible en interface Web depuis l’outil d’administration. La CLI est améliorée en donnant accès aux journaux internes UCOPIA.
• Un éditeur permet de définir des règles de filtrage, par exemple ouverture de ports en sortie du contrôleur pour accéder aux éléments actifs du réseau depuis l’extérieur.
• Le fichier Syslog UCOPIA peut être exporté à destination d’outils de supervision.
6.5 PLATE-FORME DE GESTION DE PARC• Un mécanisme d’alertes permet aux administrateurs de recevoir
des alertes par email sur certains événements (nombre de sessions simultanées, validité du contrat de maintenance, espace disque, température, défaut de communication, etc.).
• De nombreuses améliorations viennent contribuer à une meilleure ergonomie, notamment les statistiques ont été revues, à la fois dans leur présentation et dans leur nombre.
6.6 NOUVEAU MODÈLE DE MATÉRIEL – LE SV1000 RDPLe modèle 1000 RDP vient se positionner en haut de gamme pour répondre aux besoins des grandes organisations en termes de débit et de disponibilité.Ce modèle rack 2U, 19’’, permet de prendre en charge 1000 utilisateurs en simultané, il comprend 6 port Ethernet 10/100/1000 (3 en entrée, 3 en sortie), deux disques en RAID de 1 Tera et une alimentation redondante.
14
7 VERSION 4.3
Une des fonctionnalités phare de la version 4.3 est la compatibilité d’UCOPIA avec le standard du monde de l’éducation, la fédération d’identité Shibboleth.La version 4.3 est maintenant disponible sous forme d’appliance virtuelle.
7.1 COMPATIBILITÉ SHIBBOLETHLa version 4.3 est compatible avec la fédération d’identité Shibboleth. Shibboleth est un mécanisme de propagation d’identité déployé plus particulièrement en environnement universitaire.
Pour assurer cette compatibilité, le contrôleur UCOPIA est enrichi d’un nouveau type de portail, le portail Shibboleth. Depuis ce portail, l’utilisa-teur peut s’authentifier avec ses identifiants Shibboleth. Pour cela, il est redirigé sur une page lui permettant tout d’abord de sélectionner son établissement d’appartenance puis d’entrer ses identifiants de connexion.
Lors de l’authentification, le contrôleur UCOPIA va établir une corres-pondance avec le profil Shibboleth de l’utilisateur et un profil défini dans UCOPIA (la correspondance s’établit au niveau du nom de profil).
7.2 PORTAIL CAPTIF ET PORTAIL DE DÉLÉGATION• Le portail avec auto-enregistrement par adresse email permet
maintenant de contrôler le nom de domaine de l’adresse afin que celle-ci ne soit acceptée que si elle appartient à un (ou plusieurs) domaine identifié.
• L’API du portail captif a été étendue afin de proposer les évolutions suivantes.
» Enregistrement automatique de l’adresse MAC du poste utilisateur. L’objectif étant de rendre transparentes les connexions ayant lieu après la première authentification. L’adresse MAC est enregistrée à la première connexion et utili-sée pour les suivantes.
» Une variante de cette approche permet d’afficher un portail pour les connexions suivantes mais sans demande d’authen-tification. Par exemple, pour afficher un contenu informatif ou publicitaire.
• Il est maintenant possible de suspendre un utilisateur depuis le Portail de délégation.
15
7.3 ARCHITECTURE CENTRALISÉE DE NIVEAU 3Pour mieux répondre aux besoins des architectures où le contrôleur UCOPIA est centralisé et les sites distants sont reliés en niveau 3 au site central, UCOPIA propose les fonctions suivantes :
• Le serveur DHCP UCOPIA peut être utilisé car il est maintenant compatible avec le « DHCP relay » des équipements actifs.
• Un nouveau mécanisme de connexion/déconnexion des utilisateurs est proposé avec possibilité de le configurer au niveau des timers de connexion/déconnexion.
7.4 ADMINISTRATION• L’Interface d’administration des utilisateurs a été entièrement revue
afin de pouvoir gérer un grand nombre d’utilisateurs inscrits dans l’annuaire UCOPIA (> 20000). Cette nouvelle interface permet d’affi-cher les utilisateurs avec un système de pagination, des fonctions de recherche avancée sont également disponibles. Les comptes utilisa-teurs peuvent être exportés en format CSV.
• L’interface de supervision SNMP est maintenant au standard MIB-II.
• L’éditeur de règles de filtrage en version 4.3 permet pour tous les outils et services UCOPIA (outils d’administration, annuaire LDAP, base SQL des journaux, CLI, etc.) de définir des règles de filtrage avancées. Les sources d’entrée et de sortie du contrôleur peuvent correspondre à une zone, un VLAN, un sous-réseau, etc.
• Il est possible de définir des plages d’@IP par VLAN d’entrée lors de la configuration du serveur DHCP UCOPIA.
• Le serveur d’impression disponible en gamme Advance permet d’ajouter dynamiquement de nouveaux pilotes d’imprimante si toutefois ils n’étaient pas présents en standard.
7.5 EVOLUTIONS DES APPLICATIONS MOBILESL’application mobile UCOPIA est enrichie de nouvelles fonctionnalités. La première d’entre elles est conçue pour faciliter le parcours client. Pour cela, un mode d’auto-enregistrement est intégré à l’application. Ce mode évite d’avoir à créer son compte depuis le portail captif. Son fonctionnement consiste à proposer à la première connexion le renseignement d’un formu-laire d’identification, les autres connexions seront alors transparentes.
16
Le formulaire peut éventuellement être supprimé pour une complète transparence d’utilisation.L’application pourra être personnalisée aux couleurs du client (hôtel, entreprises, …). Changement du logo, texte, etc.).Enfin, l’application mobile UCOPIA sera également proposée sous forme de boîte à outils afin qu’elle puisse facilement s’intégrer avec des applications mobiles tierces. L’objectif étant d’apporter à ces applications les fonctions d’authentification et de création de comptes UCOPIA.
7.6 NOUVEAUX MODÈLES DE MATÉRIEL – LE SV150 ET LE SV2000RDPLe sv150 est un nouveau modèle de la gamme Express. Il permet de prendre en charge de 5 à 150 connexions simultanées. Ce matériel a le même format que le sv20, il a une alimentation externe et une faible consommation électrique.Dans la gamme Advance, le sv2000RDP permet de prendre en charge 2000 connexions simultanées. IL comporte deux disques en RAID 1, 6 ports Ethernet (10/100/1000) et 4 alimentations redondantes.
7.7 APPLIANCE VIRTUELLELa version 4.3 est disponible sous la forme d’une appliance virtuelle en plus des appliances matérielles. UCOPIA virtualisé fonctionne sur l’hyperviseur VMware. Seule la gamme Advance est proposée sous cette forme.
17
8 VERSION 4.4
8.1 PORTAIL CAPTIFDeux nouveaux modes de portails sont disponibles:
• Portail « One Click Button »L’objectif de ce portail est de faciliter l’usage, un seul clic sur un bouton permet à l’utilisateur de se connecter. Le portail peut toutefois être enrichi d’une charte à accepter avant connexion et d’un formulaire permettant de saisir des informations.
• Portail avec auto-enregistrement et impression de ticketCe portail combine simplicité et sécurité. En effet, l’utilisateur s’auto-enregistre sur le portail et obtient ses identifiants de connexion sur un ticket qui s’imprime à l’accueil de l’organisme qui l’accueille. Cela simplifie le travail de la personne à l’accueil qui n’a pas de saisie à effectuer et sécurise la connexion car les identifiants ne sont délivrés qu’après vérification de la per-sonne à l’accueil.
8.2 AUTHENTIFICATION AUTOMATIQUE PAR @MACL’objectif est de simplifier le parcours client une fois que celui-ci est authentifié avec succès une première fois. En effet, l’activation de cette fonction permet d’enregistrer l’adresse MAC du poste utilisateur après une première authentification réussie. Lors d’une prochaine connexion, l’adresse MAC est reconnue, deux options sont alors possibles, soit l’utili-sateur se connecte de façon transparente (sans portail), soit un portail informatif lui est présenté. Le portail informatif pouvant présenter des informations ciblées dû à la reconnaissance de l’utilisateur.
Ce mécanisme se définit au niveau du profil utilisateur et est par conséquent compatible avec tous les modes de portail. Il fonctionne également avec plusieurs adresses MAC pour un même utilisateur.
8.3 COMPATIBILITÉ IPASSLa version 4.4 est compatible avec la solution iPass. Tout contrôleur UCOPIA est donc potentiellement un hotspot iPass. IPass permet aux abonnés de ce service de se connecter à tout hotspot iPass de façon complètement transparente et de rejoindre le système d’information de leur entreprise via un tunnel sécurisé.
18
8.4 FILTRAGE D’URLSUn module de filtrage d’URLs est disponible proposant différentes catégo-ries d’URLs (Adulte, Aggressif, etc.) Il s’active au niveau du profil utilisateur permettant ainsi d’appliquer des politiques différentes pour chaque groupe d’utilisateurs. La base des URLs est embarquée dans le contrôleur UCOPIA.
8.5 ARCHITECTURE CENTRALISÉE DE NIVEAU 3Dans le cadre d’une architecture centralisée ou les sites distants sont reliés en niveau 3 au site central (sur lequel se trouve le contrôleur UCOPIA), la version 4.4 permet de lever certaines limitations qui subsistaient dans ce type d’architecture.
• Les zones qui jusqu’à présent s’implémentaient en VLANs (niveau 2) peuvent maintenant s’implémenter en sous-réseaux et ainsi être utilisées dans une architecture de niveau 3.
• Des fonctionnalités UCOPIA nécessitant l’adresse MAC telle que l’authentification automatique par adresse MAC ou l’authentifica-tion 802.1x sont disponibles. Il faudra néanmoins qu’un élément en amont d’UCOPIA puisse relayer les requêtes DHCP.
8.6 ADMINISTRATION• Statistiques Un nouveau module de statistiques disponible depuis l’outil d’administration présente les statistiques de façon plus ergonomique sous forme de tableau de bord. Des nouvelles statistiques sont proposées :
» Statistiques sur les matériels des utilisateurs : constructeurs, OS, navigateurs » Statistiques de volumétrie liée à la consommation des
utilisateurs
• ReportingLes statistiques de sessions utilisateur peuvent être générées automatiquement sous forme de rapport PDF. Le rapport peut être produit tous les jours/semaines/mois/an et envoyé par email à un ou plusieurs destinataires. Le rapport peut se décliner par zone.
• Impression Le module d’impression zéro configuration est maintenant disponible dans la gamme Express. Par ailleurs, il est compatible avec la solution AirPrint d’Apple pour imprimer de façon transparente en environne-ment Wi-Fi depuis les matériels Apple.
19
• Sauvegarde de configurationLes configurations peuvent être sauvegardées automatiquement sur un serveur FTP.
8.7 SÉCURITÉUn couplage avec la fonctionnalité DPSK (Dynamic Pre Share Key) du constructeur Wi-Fi Ruckus a été réalisé. L’objectif est de renforcer la sécurité du portail UCOPIA en chiffrant les communications tout en conservant la simplicité d’usage.
8.8 PERFORMANCE ET NOUVEAU MATÉRIEL SVBLADEAfin d’assurer un grand nombre de connexions simultanées (> 10000) et une haute disponibilité, la 4.4 en gamme Advance est proposée sur un nouveau matériel de type « Blade Server ».Le SVBlade est composé de 6 lames fonctionnant en équilibrage de charge au sens UCOPIA. Tous les éléments sont redondés (14 disques en RAID 5, commutateurs réseau et alimentations).
8.9 PLATE-FORME DE GESTION DE PARCLa plate-forme de Gestion de Parc propose une fonction permettant de mettre à jour plusieurs contrôleurs UCOPIA en une seule opération. Cette fonction opère au niveau d’une vue (agrégat de contrôleurs) et permet de « pousser » un visuel de portail et/ou un profil utilisateur sur tous les contrôleurs de la vue.
20
9 VERSION 5.0
9.1 PARCOURS CLIENT ET NOUVEAUX USAGES
• Authentification par réseaux sociauxAfin de ne pas multiplier le nombre d’identifiants pour un utilisateur et ainsi de simplifier l’usage, l’utilisateur peut utiliser les identifiants d’un de ses réseaux sociaux (Facebook, Twitter, Google+ ou LinkedIn) pour s’authentifier sur le portail captif.
Les informations propres à l’utilisateur seront enregistrées dans les journaux utilisateurs à des fins de traçabilité et/ou de marketing. Les informations exploitables seront suivant les réseaux sociaux, le nom, le prénom, l’email, la date de naissance, le genre, et la langue.
L’organisation déployant UCOPIA pourra développer sa propre application réseau social afin de faire apparaître une page à ses couleurs lors de la saisie par l’utilisateur de ses identifiants.
• Nouveaux champs additionnels sur le portail captifLe portail captif met à disposition de nouveaux champs destinés à recueillir davantage d’information en provenance de l’utilisateur final. Il est ainsi possible de renseigner sa date de naissance, son genre, sa langue et ses centres d’intérêts. Ces nouveaux champs se présentent respectivement sous la forme d’un calendrier, d’un bouton « radio » et de deux listes sélectionnables pré-remplies. Ces informations sont stockées à la fois dans les journaux de sessions et dans l’annuaire des utilisateurs.
• BYODLe profil adaptable peut s’appliquer au type de matériel de l’utilisateur et ainsi permettre de mettre en œuvre des politiques de sécurité et de mobilité propres à un type de matériel. Cette fonction-nalité peut être utilisée dans les entreprises pour gérer le BYOD et ainsi appliquer un traitement particulier aux équipements personnels des employés.Par exemple, les téléphones mobiles et les tablettes ne pourront se connecter qu’aux jours et heures ouvrés avec des droits d’accès restreints.
Les conditions permettant de sélectionner les équipements peuvent faire intervenir le constructeur et le système d’exploitation (nom et version).
21
• Rechargement de compte utilisateurLe contrôleur propose une gestion de codes qui permettront à un utilisateur final, une fois entré ce code sur le portail captif, de recharger son compte. Il pourra ainsi, par exemple, obtenir davan-tage de crédit temps ou de bande passante. Ces codes peuvent être par exemple commercialisés à travers des cartes de rechargement vendues en différents points de vente.
• Nouveaux services pour les utilisateurs » Gestion de compte utilisateur
L’administrateur peut donner la possibilité à l’utilisateur de gérer son propre compte utilisateur depuis le portail captif. L’utilisateur pourra ainsi modifier ses informations person-nelles (nom, prénom, email, …) et gérer sa liste d’équipements. En effet, dans le cas où les équipements de l’utilisateur sont enregistrés par le contrôleur UCOPIA, ceux-ci seront visibles depuis la page d’administration de compte. L’utilisateur aura alors la possibilité d’intervenir, par exemple pour supprimer un équipement qui n’existe plus.
» Politique de gestion de mot de passe perduL’utilisateur ayant perdu son mot de passe pourra s’en voir attribuer un nouveau. Différentes méthodes s’offrent à lui pour recevoir le nouveau mot de passe.
 Recevoir le mot de passe sur le portail. Dans ce cas, l’utilisateur devra renseigner des questions secrètes (qu’il aura préalablement choisies)
 Recevoir le mot de passe par email ou par SMS. Dans ce cas, il faut que l’utilisateur ait renseigné préalablement son adresse email ou son numéro de téléphone
• Nouvelles langues sur le portail captifLe portail est disponible en 16 langues. Les nouvelles langues ajoutées sont la plupart des langues asiatique ainsi que l’Arabe et le Russe.
9.2 CONNEXION ENTIÈREMENT AUTOMATIQUEPour une connexion entièrement automatique sans portail et ne nécessitant pas de lancer un navigateur Web, un nouveau mode dit «automatique» est disponible. Dès que l’équipement obtient une adresse IP de la part du contrôleur UCOPIA, il sera connecté. Ce mode est parti-culièrement intéressant pour les connexions des applications mobiles ou des applications métier. Ce mode assure les fonctions de traçabilité et est compatible avec l’usage des profils utilisateur (droits d’accès, QoS, Filtrage d’URLs, etc.).
22
9.3 GÉNÉRATION DE REVENU• OGONE : nouveau système de paiementLe système OGONE peut être utilisé lors d’un paiement en ligne depuis le portail captif. Ogone présente de nombreux avantages dont une grande variété de solutions de paiement (cartes de crédit, cartes de fidélité, PayPal, etc.) et une sécurité de type « 3-D Secure ».
• Gestion d’événementPour répondre aux besoins des environnements de type centres d’exhibition, UCOPIA propose une gestion d’événement. Un événe-ment se matérialise par un forfait nommé et une date de validité, par exemple « Le salon de l’auto du 4 au 12 avril ».
Un exposant peut acheter sur le portail captif (via Ogone) une exten-sion de son forfait pour plusieurs connexions simultanées, pour par exemple offrir un accès Internet à ses visiteurs ou collaborateurs.
Un prix dégressif peut être appliqué pour les achats de connexions supplémentaires. Un récapitulatif des paiements (sous la forme d’un document PDF) peut être obtenu par l’exposant depuis le portail captif.
9.4 ARCHITECTURE CLOUDEn 5.0, dans le cas d’une architecture multi sites, Il est possible de ne centraliser que certains services, en l’occurrence les services de portail et d’authentification. Un contrôleur UCOPIA sera donc présent sur chaque site en charge du contrôle du trafic utilisateur et un contrôleur en central assurera les services de portail et d’authentification.
Dans cette architecture, les flux utilisateurs sont donc gérés localement sur chaque site et l’échappement Internet local à chaque site est utilisé.Le contrôleur UCOPIA local réalise une redirection de portail vers l’UCOPIA central, l’authentification s’effectue en RADIUS. La base des utilisateurs se trouve sur le contrôleur central.
L’avantage de cette architecture est de pouvoir partager le portail d’au-thentification et la base des utilisateurs entre tous les sites. Cela simplifie notamment l’administration en cas de mise à jour du portail.Il est à noter que cette architecture peut fonctionner avec uniquement une infrastructure Wi-Fi sur le site distant (c’est-à-dire sans contrôleur UCOPIA). Il faut néanmoins que la solution Wi-Fi soit compatible avec les protocoles de redirection portail et RADIUS.
23
9.5 CONTRÔLEUR MULTI CLIENTSDans le cas d’une architecture multi sites centralisée, il est intéressant de pouvoir dédier des opérations d’administration à chaque site. Pour cela, sur le contrôleur central, une zone d’entrée peut être associée à un site. Il sera alors possible d’administrer au niveau de la zone, par exemple en allouant une licence par zone, un portail, un compte Ogone, etc. Les rapports de statistiques peuvent également être générés par zone ainsi que les tickets de connexion délivrés par le portail de délégation.
9.6 ADMINISTRATION• Rôles d’administrationDifférents rôles d’administration peuvent être définis afin d’octroyer plus ou moins de prérogatives aux administrateurs. Par exemple, un administrateur sera habilité à effectuer des modifications de configuration réseau alors qu’un autre ne pourra que modifier les profils utilisateurs ou les portails d’authentification. Cette fonctionna-lité prend tout son sens dans le cas d’une gestion multi clients au sein d’un même contrôleur UCOPIA.
• Purge des utilisateurs par profil utilisateurLa purge des comptes utilisateur peut être configurée par profil utilisateur. Il existe donc deux niveaux de configuration, global et par profil. La priorité revient à la configuration par profil.
• Gestion du volume de donnéesAfin de contrôler l’usage qui est fait du réseau, un quota de volume de données transférées peut être défini au niveau du profil de l’utili-sateur. Ce quota peut être fixé pour le débit ascendant, descendant ou la somme des deux. En cas de dépassement du seuil, des règles peuvent s’appliquer pour soit bloquer l’utilisateur, soit limiter sa bande passante.
• Personnalisation des rapports de statistiquesLes rapports de statistiques peuvent être personnalisés par le choix des statistiques qu’ils présentent. Il est également possible d’ajouter ses propres textes descriptifs. Les rapports peuvent générés indivi-duellement pour chaque zone. La version 5.0 propose en plus de l’en-voi des rapports par email, l’envoi automatique sur un serveur FTP.
• Licence par zone et par profil utilisateurLa licence (nombre de connexions simultanées) peut être répar-tie, soit par zone, soit par profil utilisateur. La répartition par zone permet la gestion multi clients sur un même contrôleur UCOPIA. La répartition par profil permet de réserver un nombre de connexions simultanées pour une population donnée, par exemple un profil VIP.
24
• Gestion des journaux utilisateursLes journaux utilisateurs sont maintenant compressés et décompres-sés dynamiquement avec un gain substantiel du taux de compression (>10).
• Extension ShibbolethLa correspondance de profil entre UCOPIA et le fournisseur d’iden-tité a été améliorée afin qu’une fois authentifié l’utilisateur se voit attribuer un profil qui est déduit à partir de son affiliation et de son site d’appartenance. Ceci permet notamment d’appliquer des poli-tiques de droits d’accès qui diffèrent suivant le site d’appartenance.
• Export automatique des journaux de sessions utilisateur en format CSV Les journaux de sessions peuvent être exportés automatiquement et dans leur globalité sur un serveur FTP. L’envoi est journalier, l’heure de déclenchement est configurable.Gamme Advance uniquement.
• Export automatique des comptes utilisateur en format CSVLes comptes utilisateurs peuvent être exportés automatiquement vers un serveur FTP. L’envoi est journalier, l’heure de déclenchement est configurable. Les champs additionnels sont pris en compte lors de l’exportation. Gamme Advance uniquement.
• RADIUS de secoursLors de la configuration d’un serveur RADIUS externe, il est possible de définir un serveur RADIUS secondaire en plus du serveur principal. Deux mécanismes sont configurables pour le fonctionnement des deux serveurs RADIUS: bascule ou répartition de charge.
• Nouvelle langue L’outil d’administration est disponible en Allemand, en plus du Français et de l’Anglais.
• Administration déléguéeLes droits d’administration délégués peuvent maintenant permettre à un administrateur délégué d’intervenir sur l’administration des comptes utilisateur appartenant uniquement à un (ou plusieurs) profil(s) utilisateur.
• CLILa CLI est enrichie de nouvelles commandes permettant la gestion des sous-réseaux (ajout, suppression) et de gestion de l’interface d’administration.
25
9.7 SÉCURITÉ• Parrainage Afin de renforcer la sécurité pour les modes d’auto-enregistrement, il est possible de faire valider la demande d’enregistrement par un tiers, un parrain. Ainsi lors de l’auto-enregistrement sur le portail, l’utilisateur renseigne l’email de son parrain auquel sera envoyée la demande d’enregistrement. L’utilisateur est notifié de la décision sur le portail. Gamme Advance uniquement.
• Politiques de mot de passeDes politiques de mots de passe peuvent être définies par profil utilisateurs. Une politique permet de définir la longueur du mot de passe et les caractères qui entrent dans sa composition. Les politiques peuvent s’appliquer aux mots de passe générés automa-tiquement ou à ceux entrés manuellement par les utilisateurs. Le fait d’associer la politique au profil utilisateur présente l’avantage de définir la politique en fonction des usages, par exemple une politique très sécurisée pour des collaborateurs d’entreprise et une politique simplifiée pour les visiteurs s’auto-enregistrant par SMS.
• Contrôle de mot de passe erronéUn utilisateur entrant plusieurs fois consécutives un mot de passe erroné peut être mis en quarantaine. Le nombre de tentatives ainsi que le temps de quarantaine sont configurables depuis la page de configuration du portail. L’action de quarantaine consiste à suspendre l’équipement de l’utilisateur.
• Verrouillage d’adresse MACIl est possible de verrouiller une adresse MAC à un compte utilisateur afin que seul l’équipement correspondant à cette adresse MAC puisse être utilisé.
• Temporisation entre deux sessionsIl est possible de définir un temps pendant lequel un utilisateur ne peut pas se connecter entre deux sessions. Ce temps est configu-rable.
• Journal d’auditA des fins de sécurité et de traçabilité, toutes les opérations d’admi-nistration sont notées au format Syslog. Cela concerne les opérations effectuées depuis l’outil d’administration, le portail de délégation et la CLI Web. Ces informations peuvent être envoyées sur un serveur Syslog externe.
26
9.8 EVOLUTION DES MATÉRIELSLes performances augmentées de la version 5.0 permettent de proposer une nouvelle gamme de serveurs : US250, US2000, US5000, US10000 et US20000. Le chiffre mentionné dans le nom du serveur indique le nombre maximum de connexions simultanées pouvant être pris en charge.
Le serveur SV20 ainsi que le serveur blade sont en fin de vie serveur et disparaissent du catalogue.
9.9 PLATE-FORME UWSLa plate-forme de Gestion de Parc devient la plate-forme UCOPIA Web Services (UWS) et apporte trois nouveaux services.
• Wi-FI MarketingLe service « Wi-Fi Marketing » permet de mettre en œuvre des campagnes marketing à travers un mécanisme d’injection Web. L’injection Web consiste à injecter du contenu dans les pages Web visitées par l’utilisateur final (bannières, images, liens, etc.). Le contenu peut être publicitaire ou des services à valeur ajoutée.
• Wi-Fi Analytics Le service « Wi-Fi Analytics » permet d’appréhender l’usage qui est fait du Wi-Fi et d’exploiter de nombreux KPI (Key Performance Indica-tors). Il propose notamment des vues prédéfinis sur les utilisateurs, leur matériel, leur comportement et les aspects monétisation. Les associations de données sont présentées graphiquement de façon dynamique et sous forme de tableau de bord.
• Assistant de configurationL’assistant de configuration permet de créer ou modifier très facilement des configurations simples et génériques (c’est-à-dire sans spécificité réseau) appelées Smart configuration. Une Smart configuration définit des profils avec des paramètres de base (droits d’accès, validité, crédit temps, filtrage, etc.), et des configurations de portail (authentification via les réseaux sociaux, enregistrement libre, etc.) qui peuvent être associées à des visuels adaptables. Ces Smart configurations pourront être déployées sur un ou plusieurs contrôleurs.
27
10 PROCESSUS DE MISES À JOUR
Deux types de mises à jour sont proposés :• les mises à jour « correctives » qui correspondent à des correctifs ou mise à jour de certificat, etc.• les mises à jour « évolutives » correspondant à de nouvelles versions.
Seules les mises à jour évolutives comportent des évolutions fonction-nelles.
A partir de la version 5.0, des nouvelles fonctionnalités peuvent apparaître en version correctives. Ces fonctionnalités sont activables à la demande et ne sont pas activées par défaut.
ATTENTION : Un contrat de maintenance valide est nécessaire pour bénéficier des mises à jour évolutives.
La mise à jour d’un contrôleur UCOPIA peut s’effectuer manuellement ou automatiquement.
Dans le cas d’une mise à jour automatique, cela suppose (1) que le boîtier UCOPIA puisse accéder à travers Internet à la plate-forme de gestion de parc et (2) qu’il soit configuré pour accepter automatiquement les mises à jour. Les mises à jour correctives et évolutives sont téléchargées depuis la gestion de parc. Seules les mises à jour correctives seront installées automatiquement.
Dans le cas d’une mise à jour manuelle, il faudra (1) se procurer les mises à jour depuis la plate-forme de gestion de parc ou l’extranet UCOPIA et (2) les installer manuellement.
Pour davantage d’information concernant la façon d’installer les mises à jour, consultez la documentation « Manuel d’Administration UCOPIA Express ou Advance ».
Les mises à jour évolutives doivent être passées dans l’ordre des versions, par exemple pour passer de la version 4.2 à la version 5.0 il faudra appli-quer les mises à jour suivantes :
1. 4.2 vers 4.32. 4.3 vers 4.43. 4.4 vers 5.0
28
11 ACCÈS AUX MISES À JOUR ÉVOLUTIVES ET CORRECTIVES
Dans le cas d’un contrôleur configuré en téléchargement automatique, les mises à jour sont téléchargées automatiquement sur le contrôleur.
Pour une mise à jour manuelle, les mises à jour sont disponibles soit sur la plate-forme UWS (UCOPIA Web Services), soit sur l’extranet UCOPIA.
La plate-forme UWS est accessible à l’adresse :https://services-management-platform.com/admin
L’extranet UCOPIA à l’adresse :www.ucopia.com
