security guide 4760

76
Alcatel-Lucent OmniVista 4760 Network Management System Guide de Sécurité Alcatel-Lucent OmniVista 4760 Network Management System All Rights Reserved © Alcatel-Lucent 2010

Upload: tithom95

Post on 24-Nov-2015

100 views

Category:

Documents


22 download

TRANSCRIPT

  • Alcatel-Lucent OmniVista 4760Network Management System

    Guide de Scurit

    Alcatel-Lucent OmniVista 4760 Network Management SystemAll Rights Reserved Alcatel-Lucent 2010

  • Informations lgales :

    Alcatel, Lucent, Alcatel-Lucent et le logo Alcatel-Lucent sont des marquesdAlcatel-Lucent. Toutes les autres marques appartiennent leurspropritaires respectifs.

    Les informations prsentes sont sujettes modification sans pravis.Alcatel-Lucent ne peut tre tenu pour responsable de linexactitude de cesinformations.

    Copyright 2010 Alcatel-Lucent. Tous droits rservs.

    Le marquage CE indique que ce produit est conforme aux directivescommunautaires suivantes :- 2004/108/EC (Compatibilit lectromagntique)- 2006/95/EC (Scurit Basse Tension)- 1999/5/EC (R&TTE)

  • Chapitre 1Introduction

    Chapitre 2Procdure recommande pour le dploiement dune solution

    OmniVista 4760 en environnement scuris

    ??? Choix et configuration du systme dexploitation ..................... 2.1??? Dfinition de lenvironnement rseau ............................................. 2.1??? Scurisation des donnes PCX ......................................................... 2.3??? Scurisation des donnes de l'OmniVista 4760 .......................... 2.3??? Bonnes pratiques en cas de dtection dune faille de scurit

    ........................................................................................................................ 2.3

    Chapitre 3Dploiement d'OmniVista 4760 dans un environnement Windows scuris

    ??? Gnralits ............................................................................................... 3.1??? Compatibilit avec le systme dexploitation .............................. 3.1????? Gnralits .................................................................................................... 3.1

    ????????????? ?? ????????

    ???????????? ? ????? ? ???????? ???? ? ????? ?? ???????? 0-1

  • ????? Type de matriel ............................................................................................ 3.1????? Systme dexploitation et Service Pack ......................................................... 3.2????? Personnalisation de Windows (suppression de services et de fichiers) ........ 3.2????? mulation Windows : VM-Ware, MS Virtual Server 2005 .............................. 3.3????? Services constructeur .................................................................................... 3.3????? Carte mre ..................................................................................................... 3.3??? Compatibilit et utilisation des services Windows .................... 3.4????? Au cours de linstallation / mise jour ........................................................... 3.4????? En cours de fonctionnement .......................................................................... 3.5??? Outils de scurit ................................................................................... 3.9????? Compatibilit avec les logiciels antivirus ....................................................... 3.9????? Compatibilit avec le pare-Feu Windows .....................................................3.10????? Compatibilit avec un proxy .........................................................................3.13????? Renforcement de la scurit avec SynAttackProtect ...................................3.13????? Renforcement de la scurit avec DEP ........................................................3.14??? Compatibilit avec les applications externes .............................3.14????? tude de compatibilit ..................................................................................3.14????? Compatibilit en termes de performances ....................................................3.15????? Fichiers dll ....................................................................................................3.15????? Java Run Time .............................................................................................3.15????? Ports et Services IP ......................................................................................3.16????? Compatibilit avec les outils de sauvegarde PC ..........................................3.16????? Compatibilit avec les outils de connexion distance .................................3.16????? Compatibilits avec d'autres applications AlcatelLucent ..........................3.17??? Gestion de comptes Windows utiliss par le serveur

    OmniVista 4760 ......................................................................................3.18????? Compte pour installation ...............................................................................3.18????? Compte utiliser pour le lancement dun client OmniVista 4760 .................3.18????? Oprations de maintenance avec ressources rseau ..................................3.18????? Planification de lexportation ou de limpression de rapports ........................3.23????? Archivage et restauration des fichiers de taxation ........................................3.24????? Collecteur de fichiers de taxation .................................................................3.25????? Rception dalarmes urgentes de lOmniPCX Office ....................................3.26??? Gestion du partage de rpertoires ..................................................3.26????? Gestion de lOmniPCX Office .......................................................................3.26????? Partage de OmniVista 4760_ARC ................................................................3.27

    ????? ?? ????????

    0-2 ???????????? ? ????? ? ???????? ???? ? ????? ?? ????????

  • ????? Autres partages ............................................................................................3.28??? Envoi de message lectronique (e-mails) ....................................3.28

    Chapitre 4Dploiement dOmniVista 4760 dans une configuration rseau scurise

    ??? Trafic IP sur serveur OmniVista 4760 ............................................. 4.1??? Trafic IP sur client OmniVista 4760 .................................................. 4.6??? Trafic IP sur OmniPCX Enterprise pour la gestion de

    l'OmniVista 4760 ..................................................................................... 4.6??? Trafic IP sur l'OmniPCX Office pour la gestion de l'OmniVista

    4760 ............................................................................................................. 4.7??? Trafic IP sur un hyperviseur ............................................................... 4.8??? Trafic IP sur un 4059 ............................................................................. 4.9??? Fonctionnement de l'OmniVista 4760 sur un rseau VPN/NAT

    ........................................................................................................................ 4.9

    ????? PRSENTATION ........................................................................................... 4.9????? Protocole VPN/NAT ....................................................................................... 4.9????? Accs du client OmniVista 4760 au serveur via NAT ...................................4.10????? Accs du serveur OmniVista 4760 l'Alcatel-Lucent OmniPCX Enterprise

    Communication Server via NAT ...................................................................4.12????? Accs du serveur OmniVista 4760 l'OmniPCX Office via NAT .................4.12????? Accs du serveur OmniVista 4760 au client d'annuaire Web 4059 via NAT 4.12????? Dpannage du transfert FTP ........................................................................4.12

    Chapitre 5Scurisation des donnes PCX en cas de gestion par un serveur

    OmniVista 4760

    ??? Alcatel-Lucent OmniPCX Enterprise CS ........................................ 5.1????? Mise en uvre de Connexion SSH ............................................................... 5.1

    ????? ?? ????????

    ???????????? ? ????? ? ???????? ???? ? ????? ?? ???????? 0-3

  • ????? Scurisation de l'accs l'Alcatel-Lucent OmniPCX Enterprise CS ............. 5.4??? OmniPCX Office ...................................................................................... 5.5????? Configuration ................................................................................................ 5.5????? Synchronisation des donnes OmniPCX Office ............................................ 5.5????? Accs Internet ................................................................................................ 5.5

    Chapitre 6Scurisation des donnes OmniVista 4760

    ??? Configuration autonome ...................................................................... 6.1??? Dploiement du protocole IPSec dans une configuration

    serveur-clients distants ....................................................................... 6.1????? Configuration requise .................................................................................... 6.1????? Implmentation .............................................................................................. 6.1????? Restriction ...................................................................................................... 6.2????? Configuration ................................................................................................ 6.2??? Scurit daccs aux applications OmniVista 4760 ................... 6.7????? Application Scurit ....................................................................................... 6.7????? Confidentialit des donnes dannuaire ........................................................ 6.9????? Confidentialit des donnes de taxation et dobservation de trafic ..............6.12??? Procdure de changement des mots de passe ..........................6.12??? Scurisation des notifications dalarmes urgentes OmniPCX

    Office .........................................................................................................6.14??? Scuriser laccs lannuaire LDAP par des applications

    externes. ...................................................................................................6.14??? Autres Recommandations .................................................................6.14

    ????? ?? ????????

    0-4 ???????????? ? ????? ? ???????? ???? ? ????? ?? ????????

  • Ce guide de scurit a pour objectif de fournir aux administrateurs de l'Alcatel-LucentOmniVista 4760 Network Management System (dsign par OmniVista 4760 dans cedocument) les informations ncessaires la prise en compte des lments de scurit lors dudploiement ainsi que les mthodes appliquer pour scuriser ce systme de gestion desOmniPCX Alcatel-Lucent.La section 2 prsente la procdure suivre pour dployer l'OmniVista 4760 dans unenvironnement contenant des lments de scurit et pour renforcer la scurit de la gestiond'OmniPCX par lintermdiaire de l'OmniVista 4760.Les informations et procdures requises pour chacune de ces tapes sont dtailles dans lessections suivantes :- Les sections 3 et 4 fournissent les recommandations et informations prendre en compte

    avant d'intgrer l'OmniVista 4760 dans un environnement scuris (au niveau du systmed'exploitation ou du rseau), ainsi que les procdures appliquer pour que certainesapplications de l'OmniVista 4760 fonctionnent avec les ressources rseau.

    - Les sections 5 et 6 indiquent les moyens mettre en uvre pour renforcer la scurit desdonnes collectes ou gres par l'OmniVista 4760.

    La section 7 indique l'URL de l'quipe de rsolution des incidents de scurit pour les produitsAlcatel-Lucent et comment rapporter une vulnrabilit de scurit.

    ????????

    ? ????????????

    ???????????? ? ????? ? ???????? ???? ? ????? ?? ???????? 1-1

  • Chapitre 1 ????????????

    1-2 ???????????? ? ????? ? ???????? ???? ? ????? ?? ????????

  • 2.1 Choix et configuration du systme dexploitationRecommandations :- Serveur OmniVista 4760 :

    Windows 2003 SP2 recommand Profil de scurit recommand : serveur membre. Pare-feu : activ, accepter les exceptions concernant les programmes utiliss par le

    serveur OmniVista 4760.- Client OmniVista 4760 :

    Windows XP SP3 recommand Pare-feu : activ, accepter les exceptions concernant les programmes utiliss par le

    client OmniVista 4760.- Mise jour avec Windows Update :

    Uniquement pour patch de scurit.Installer les hotfixes de scurit de Windows. Lors de linstallation, il est ncessaire deslectionner les options permettant ensuite de dsinstaller tout hotfix ou service pack deWindows. Antivirus : activer et assurer la mise jour dun systme antivirus sur les ordinateurs

    hbergeant les applications OmniVista 4760 (client ou serveur).- Mise en oeuvre:

    Voir module Scurit - Deploying the OmniVista 4760 in a Secure WindowsEnvironment pour le dploiement de lapplication OmniVista 4760 dans unenvironnement Windows scuris.

    La mise en place de profils de scurit Windows a pour effet darrter certains servicessystme ; il faut donc sassurer que les services ncessaires linstallation et aufonctionnement du serveur OmniVista 4760 sont dmarrs.

    2.2 Dfinition de lenvironnement rseauNote :Ce guide de scurit prsente les solutions mettre en uvre en cas de connectivit ethernet entre lesquipements OmniPCX et OmniVista 4760.

    Dans le cas dune autre connectivit (PPP), les mmes recommandations et procdurespourront tre appliques mais des protocoles et services supplmentaires devront treactivs. Il est par ailleurs possible dajouter un niveau dauthentification supplmentaire en casdactivation du protocole PPP.Recommandations :

    ????????

    ? ????????? ??????????? ???? ????????????? ????? ???????? ???

    ???????????? ? ????? ? ???????? ???? ? ????? ?? ???????? 2-1

  • Figure 2.1 : Exemple de dploiement sur un rseau priv client (intranet)Les clients OmniVista 4760 distants sont facultatifs. Ninstaller que les clients utiles.La configuration autonome (client local au serveur) rduit le risque dattaque contre le serveurOmniVista 4760.Pour renforcer la scurit du serveur OmniVista 4760 :- Installer le serveur dans le mme sous-rseau que les PCX.- Lancer les applications OmniVista 4760 partir de clients OmniVista 4760 connects au

    serveur via un tunnel Ipsec.Choix de limplmentation dans des domaines Windows :Le serveur OmniVista 4760 et ses clients distants peuvent tre configurs dans un groupe detravail (les clients doivent tre dans le mme groupe de travail que le serveur) et non dans desdomaines Windows.Ceci facilite la configuration du serveur (et de ses services) et permet dviter les impacts desmodifications de droits de scurit des domaines du rseau. Mais, dans ce contexte, leserveur ne pourra pas utiliser les ressources situes hors de ce Workgroup (imprimante,disques de sauvegardes ...etc).Lorsque le serveur OmniVista 4760 et ses clients distants sont configurs dans un domaineWindows, suivre les recommandations des sections 3.5 et 3.6 pour ouvrir laccs auxressources rseau tout en conservant un bon niveau de scurit.Mise en oeuvre:Se reporter la section module Scurit - Deploying the OmniVista 4760 in a Secure NetworkConfiguration pour le dploiement de lapplication OmniVista 4760 dans un environnementrseau contenant des lments de scurit.

    Chapitre 2 ????????? ??????????? ???? ?? ??????????? ????????????? ????????? ???? ?? ????????????? ????????

    2-2 ???????????? ? ????? ? ???????? ???? ? ????? ?? ????????

  • 2.3 Scurisation des donnes PCX- Recommandations :

    OmniPCX Enterprise : dployer la scurit SSH (disponible uniquement pour lesOXE>= 6.0) et le controle daccs

    OmniPCX Office : suivre les recommandations de scurit fournies par le supporttechnique dOmniPCX Office.

    - Mise en oeuvre: Voir module Scurit - How to Secure the OmniVista 4760 Data? pour renforcer la

    scurit des donnes dun OmniPCX Alcatel-Lucent en cas de gestion distance parun serveur OmniVista 4760.

    Se reporter aux notices de scurit respectives des systmes OmniPCX.

    2.4 Scurisation des donnes de l'OmniVista 4760- Recommandations :

    Mettre en uvre les outils de scurit des applications OmniVista 4760 (voir section 6) : Dployer Ipsec dans une configuration serveur- clients distants Mettre en uvre la scurit daccs aux applications OmniVista 4760 Procder de faon rgulire aux changements de mots de passe Scuriser laccs lannuaire LDAP par des applications externes Suivre les recommandations de scurit de Microsoft lorsquelles sont compatibles

    avec le fonctionnement des applications OmniVista 4760.- Mise en oeuvre:

    Voir module Scurit - How to Secure the OmniVista 4760 Data? pour renforcer la scuritdes donnes dun OmniVista 4760.

    2.5 Bonnes pratiques en cas de dtection dune faille de scurit- La faille concerne un composant Microsoft :

    Installer les hotfixes de scurit de Windows correspondant la faille.- La faille de scurit concerne un composant utilis par l'OmniVista 4760 :

    Programmer une sauvegarde rgulire du serveur OmniVista 4760. Contacter le service Support Technique d'Alcatel-Lucent pour signaler cette faille de

    scurit. Installer, ds sa sortie, la version de l'OmniVista 4760 implmentant le correctif de

    scurit.- La faille de scurit concerne une application externe l'OmniVista 4760 :

    Programmer une sauvegarde rgulire du serveur OmniVista 4760.Contacter le fournisseur de lapplication externe concerne et suivre ses recommandationsde scurit. Si ces dernires savrent incompatibles avec les recommandations descurit dcrites dans ce guide, contacter le service Support Technique d'Alcatel-Lucent.

    ????????? ??????????? ???? ?? ??????????? ????? ???????? ????????? ???? ??????????????? ????????

    ???????????? ? ????? ? ???????? ???? ? ????? ?? ???????? 2-3

  • Chapitre 2 ????????? ??????????? ???? ?? ??????????? ????????????? ????????? ???? ?? ????????????? ????????

    2-4 ???????????? ? ????? ? ???????? ???? ? ????? ?? ????????

  • Objectif de ce chapitre : fournir les procdures et paramtrages appliquer pour dployer etutiliser l'OmniVista 4760 dans un environnement Windows scuris (systme dexploitationscuris par des lments et mthodes de scurit).

    3.1 GnralitsLe dploiement de l'OmniVista 4760 dans un environnement Windows requiert les conditionssuivantes :- Compatibilit entre l'OmniVista 4760 et le systme d'exploitation.- Activation des services Windows requis pour linstallation et le fonctionnement de

    l'OmniVista 4760, et dsactivation des services gnant linstallation ou le fonctionnementde l'OmniVista 4760.

    - Compatibilit entre l'OmniVista 4760 et les outils de scurit installs danslenvironnement Windows.

    - Compatibilit entre l'OmniVista 4760 et les autres applications externes installes dans lemme environnement.

    - Configuration de comptes Windows et de ressources rseau pour un fonctionnementscuris.

    3.2 Compatibilit avec le systme dexploitation

    3.2.1 GnralitsLa compatibilit entre l'OmniVista 4760 et un systme dexploitation inclut les conditionssuivantes :- Compatibilit avec le matriel- Compatibilit avec le Systme dexploitation- Compatibilit avec les services packs installs- Compatibilit avec le type dinstallation du systme dexploitation- Compatibilit avec la personnalisation (ou le paramtrage spcifique) du systme

    dexploitation installIl importe donc de se conformer aux prrequis du manuel dinstallation de l'OmniVista 4760,ainsi quaux procdures dinstallation et de dsinstallation de l'OmniVista 4760.

    3.2.2 Type de matrielCertains fabricants de PC peuvent spcifier le type de systme dexploitation. Par consquent,avant mme denvisager la compatibilit de l'OmniVista 4760, s'assurer que le matriel peutprendre en charge le systme dexploitation choisi.- ExempleLe serveur HP/Compaq ML370 ne prend pas en charge les systmes d'exploitation de postede travail ou professionnels. Seul un systme d'exploitation serveur peut tre utilis (Windows

    ????????

    ? ??????????? ??????????? ???????? ?? ????????????? ????

    ???????????? ? ????? ? ???????? ???? ? ????? ?? ???????? 3-1

  • XP Professionnel, Windows 2003, Vista, etc.). Sur certains PC, en particulier le HP ML370G4,l'installation du Service Pack 1 pour Windows 2003 Server ncessite la mise jour du Bios etde certains pilotes.

    3.2.3 Systme dexploitation et Service Pack- Compatibilit

    Le tableau ci-aprs indique les versions de Windows et les Service Packs pris en chargepar la version R5.1.1 de lapplication OmniVista 4760.

    tableau 3.1 : Configuration requisePetite capacit Moyenne capacit Grande capacit

    Capacit d'abonns 5 000 abonns

    Systme d'exploitation Windows XP Professionnel (Service Pack 3)Windows 2003 Serveur Standard Edition(Service Pack 2 minimum obligatoire)Windows Vista

    Windows 2003 Ser-veur Standard Edition(Service Pack 2 mini-mum obligatoire)

    Navigateur Internet Mozilla FireFox 2.0Internet Explorer version 7.0

    - Incompatibilits connues :Les fonctions de contrleur de domaine, de serveur Web et de serveur FTP livres avec lesystme dexploitation ne doivent pas tre installes.

    3.2.4 Personnalisation de Windows (suppression de services et de fichiers) compter de la version R5.1.1, les services Telephony et Remote Access Connectionmanager ne sont requis que pour la connexion PPP.Pour des raisons de scurit, il faut dsactiver le service Remote Access Connection managerlorsque la connexion PPP n'est pas utilise.La dsactivation du service Remote Access Connection manager arrte le serviceNMC Comserver.

    Pour vous assurer que le service NMC Comserver est arrt, modifiez le fichierNMComserver.log. L'indication No modem indique que le service NMC Comserver estarrt.Pendant l'accs la configuration PCX, le message suivant s'affiche : No URL Schemespecified.

    La dsactivation du service Server interdit lutilisation des partages Windows. En particulier,ceux situs sous 4760_arc ne seront plus visibles, ce qui empchera l'installation del'OmniVista 4760 pendant la phase : Launch svShareName.La solution dans ce cas consiste relancer le service Server.Par dfaut, sous Windows, chaque fichier possde un nom long et un nom court (exemple :C:\program file et C:\program~1). Ce comportement de Windows ne doit pas tremodifi. En effet, la suppression des noms de fichier courts empcherait laccs la base dedonnes Sybase pendant linstallation et donc empcherait linstallation du serveur OmniVista4760.

    Exemple :

    Chapitre 3 ??????????? ??????????? ???? ???? ?? ???????????????????? ????????

    3-2 ???????????? ? ????? ? ???????? ???? ? ????? ?? ????????

  • Sybase est install sous C:\program files\Sybase\SQL Anywhere 9.

    - Si les noms courts sont autoriss, l'OmniVista 4760 peut accder C:\progra~1\SQLany~1\win32\dbisql.

    - Dans le cas contraire, l'OmniVista 4760 tente d'utiliser C:\programfiles\Sybase\SQL Anywhere 9\win32\dbisql, ce qui gnre une erreur dans lefichier _4760_log_Setup\batch\dbsiql.log.

    Procdure pour activer la cration des noms courts :1. Cliquer sur Dmarrer puis Excuter, puis saisir regedit et valider.2. Dans le registre Windows, localisez la cl suivante

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem.3. Modifiez la valeur DWORD de la faon suivante : NtfsDisable8dot3NameCreation =

    0.

    3.2.5 mulation Windows : VM-Ware, MS Virtual Server 2005VM-Ware et MS Virtual Server permettent de dmarrer des machines virtuelles. Ainsi,plusieurs systmes d'exploitation peuvent s'excuter simultanment sur un seul serveurphysique.Le serveur OmniVista 4760 est compatible avec la plate-forme Vmware partir de la versionR5.1.1. Cependant, MS Virtual Server n'est toujours pas pris en charge, en particulier dans unenvironnement de production : il n'existe pas de tests de performance, ni de validation.Dans le cadre de l'OmniVista 4760, de tels outils ne pourront tre mis en uvre que pour destests d'interface ou pour des captures dcran destines la documentation.

    3.2.6 Services constructeurLes fabricants de PC fournissent des outils permettant d'administrer une base de PC installe.Ces outils peuvent utiliser des services ou des fichiers dll incompatibles dj prsents dansl'application OmniVista 4760.- Exemple de problmes connus :

    Les serveurs de la gamme Compaq/HP sont livrs avec les services Compaq/AgentFoundation. Ces services sappuient sur le service Windows SNMP. Si ce service SNMPest dmarr, linstallation choue.Les serveurs DELL sont livrs avec le service DELL open management qui sappuie surune ancienne version du fichier dll de notification, JTC1012.dll. Lorsque cette DLL estcharge avant celle de l'OmniVista 4760, les notifications ne sont plus prises en compte :dsinstallez l'utilitaire et vrifiez le chemin de Windows.

    3.2.7 Carte mreLe serveur OmniVista 4760 doit pouvoir arrter, dsinstaller et rinstaller ses propres servicesNMC. Sur certains PC, le mode darrt et de redmarrage des services peut tre modifi.Cette modification empche le redmarrage du serveur OmniVista 4760.- Exemple de dysfonctionnement : arrt du PC - correction :

    Un arrt Windows envoie un signal vers les services pour leur demander de s'arrter. Si cesignal ne peut pas tre mis/intercept temps, le PC risque de redmarrer avec un tattransitoire: service en cours de suppression. Il faudra un second arrt du PC pour

    ??????????? ??????????? ???? ???? ?? ????????????? ??????? ????????

    ???????????? ? ????? ? ???????? ???? ? ????? ?? ???????? 3-3

  • rellement supprimer ces services.Le problme apparat sur un PC Intel (fourni par PERTEC) lorsqu'il est quip de cartemre S815EBM1. Cette carte mre quipe les PC avec la rfrence : NEXPCS815E,NEX1120C.Arrter le service NMC service manager avant l'arrt du PC : Ecrire un script Stop.bat contenant la ligne net stop NMC Service Manager Forcer Windows excuter le script l'arrt du PC :

    Ouvrir le composant Stratgie de groupe en lanantC:\WINNT\SYSTEM32\gpedit.msc

    Slectionner Configuration ordinateur -> Paramtre Windows ->Scripts (dmarrage/arrt) -> Arrter le systme.

    Ajouter le fichier Stop.bat.

    3.3 Compatibilit et utilisation des services Windows

    3.3.1 Au cours de linstallation / mise jour- Installation du serveur OmniVista 4760 :

    Le tableau ci-aprs rpertorie les services Windows devant tre dmarrs pendantlinstallation du serveur OmniVista 4760.

    tableau 3.2 : Services Windows requis pour l'installation de l'OmniVista 4760Nom affich Nom Image CommentairesProtected Storage ProtectedStorage Lsass.exeRemote procedurecall

    RPCSS SvcHost.exe

    Security account ma-nager

    sasms Lsass.exe

    Network Connections Network Connections SvcHost.exeWindows Firewall/In-ternet ConnectionSharing (ICS)

    SharedAccess SvcHost.exe

    NetBIOS over TCP/IPdriver (Direct hostedSMB traffic mode)

    Netbt.sys Ncessaire en casdutilisation de par-tages rseau.

    NetBIOS over TCP/IPdriver (NBT mode)

    Netbt.sys Ncessaire en casdutilisation de par-tages rseau.

    TCP/IP NetBIOS hel-per

    LmHosts SvcHost.exe Ncessaire en casdutilisation de Net-BIOS over TCP/IP

    DNS client DnsCache SvcHost.exe Obligatoire pendantlinstallation du ser-veur OmniVista 4760,ce service pourra tredsactiv aprslinstallation.

    Chapitre 3 ??????????? ??????????? ???? ???? ?? ???????????????????? ????????

    3-4 ???????????? ? ????? ? ???????? ???? ? ????? ?? ????????

  • Serveur LanmanServer SvcHost.exe

    Le tableau ci-aprs rpertorie les services Windows devant tre arrts pendantlinstallation du serveur OmniVista 4760.tableau 3.3 : Services Windows arrter pour l'installation du serveur OmniVista 4760

    Nom affich Nom Image CommentairesApplication Layer Ga-teway Service

    Agl Agl.exe Il faut dsactiver leservice AGL pendantlinstallation de l'Omni-Vista 4760.

    - Installation du client v :Le tableau ci-aprs rpertorie les services Windows devant tre arrts pendantlinstallation du client OmniVista 4760.

    tableau 3.4 : Services Windows arrter pour l'installation du client OmniVista 4760Nom affich Nom Image CommentairesApplication Layer Ga-teway Service

    Agl Agl.exe Il faut dsactiver leservice AGL pendantlinstallation de l'Omni-Vista 4760.

    3.3.2 En cours de fonctionnement

    - Serveur Alcatel-LucentLe tableau ci-aprs rpertorie les services devant tre dmarrs pour un fonctionnementnormal du serveur v.

    Nom affich Nom Nom de limage CommentairesProtected Sto-rage

    ProtectedStorage Lsass.exe

    Remote proce-dure call

    RPCSS SvcHost.exe

    Security accountmanager

    sasms Lsass.exe

    Network Connec-tions

    Network Connec-tions

    SvcHost.exe

    Windows Fire-wall/InternetConnection Sha-ring (ICS)

    SharedAccess SvcHost.exe

    Remote AccessConnection Ma-nager

    RasMan SvcHosts.exe

    Remote Adminis-tration Service

    srvcsurg srvcsurg.exe

    Telephony TapiSrv SvcHosts.exe

    ??????????? ??????????? ???? ???? ?? ????????????? ??????? ????????

    ???????????? ? ????? ? ???????? ???? ? ????? ?? ???????? 3-5

  • Nom affich Nom Nom de limage CommentairesPlug And Play PlugPlay Services.exeIPSec Services PolicyAgent Lsass.exe Ncessaire lorsque le protocole IP-

    Sec est utilis pour: Accder au serveur OmniVista

    4760 depuis un client distantOmniVista 4760.

    Utilisez le logiciel OMC sur unclient distant OmniVista 4760pour accder au rpertoire LDAP partir d'une application ex-terne : 4059, duplication LDAP,OXE-Phonebook, etc.

    Routing and Re-mote Access

    RemoteAccess SvcHosts.exe Englobe des fonctionnalits de pare-feu et nest pas compatible avec lepare-feu de Windows. Dans ce cas,vous devez arrter le pare-feu deWindows et le service ICS de par-tage de connexion Internet.Service ncessaire pour la remontedalarmes urgentes dOmniPCX Of-fice en connectivit PPP unique-ment.

    NetBIOS overTCP/IP driver(Direct hostedSMB trafficmode)

    Netbt.sys Ncessaire pour lutilisation de res-sources rseau partages.

    TCP/IP NetBIOShelper

    LmHosts SvcHost.exe

    Net Logon NetLogon Lsass.exe Ncessaire en cas de partages r-seau pour : Accder des ressources r-

    seau depuis le serveur OmniVis-ta 4760

    Accder aux annuaires du ser-veur 4760

    Configurer OmniPCX Office(utilisation du logiciel OMC sur leserveur OmniVista 4760 ou surdes clients distants)

    Serveur LanmanServer SvcHost.exe Ncessaire en cas dutilisation departages rseau pour : Accder aux annuaires du ser-

    veur 4760 Configurer OmniPCX Office

    (utilisation du logiciel OMC sur leserveur OmniVista 4760 ou surdes clients distants)

    Chapitre 3 ??????????? ??????????? ???? ???? ?? ???????????????????? ????????

    3-6 ???????????? ? ????? ? ???????? ???? ? ????? ?? ????????

  • Nom affich Nom Nom de limage CommentairesWorkstation ser-vice

    LanmanWorsta-tion

    SvcHost.exe Ncessaire en cas dutilisation departages rseau pour : Accder des ressources r-

    seau depuis le serveur OmniVis-ta 4760

    Accder aux annuaires du ser-veur 4760

    Configurer OmniPCX Office(utilisation du logiciel OMC sur leserveur OmniVista 4760 ou surdes clients distants)

    Print Spooler Spooler Spoolsv.exe Ncessaire pour imprimer dans lescas suivants : Utilisation de limprimante r-

    seau depuis le serveur OmniVis-ta 4760

    Impression de rapportsApache Apache httpd.exeNMC Alarm Ser-ver

    NMC Alarm Ser-ver

    FaultMana-ger.exe

    Serveur d'auditNMC

    Serveur d'auditNMC

    AuditServer.exe

    NMC Communi-cation Server

    NMC Communi-cation Server

    ComServer.exe

    NMC CMISE Ser-ver

    NMC CMISE Ser-ver

    cmisd.exe

    NMC Execu-tables Launcher

    NMC Execu-tables Launcher

    execdEx.exe

    NMC Extractor NMC Extractor extractor.exeNMC GCS NMC GCS GCSAdmin.exeAdministrationServer

    AdministrationServer

    NMC GCS ConfigServer

    NMC GCS ConfigServer

    GCSConfig.exe

    NMC LicenseServer

    NMC LicenseServer

    LicenseSer-ver.exe

    NMC Loader NMC Loader loader.exeNMC Save Res-tore

    NMC Save Res-tore

    save_restore.exe

    NMC Scheduler NMC Scheduler scheduler.exeNMC SecurityServer

    NMC SecurityServer

    securityser-ver.exe

    NMC PBX/LdapSynchronization

    NMC PBX/LdapSynchronization

    SyncL-dapPbx.exe

    ??????????? ??????????? ???? ???? ?? ????????????? ??????? ????????

    ???????????? ? ????? ? ???????? ???? ? ????? ?? ???????? 3-7

  • Nom affich Nom Nom de limage CommentairesNMC Service Ma-nager

    NMC Service Ma-nager

    svc_mgr.exe

    NMC50 Data-Base

    NMC50 Data-Base

    dbsrv9.exe

    Orbacus NotifyService

    Orbacus NotifyService

    ns_service.exe

    SunOne Adminis-tration Server 5.2

    SunOne Adminis-tration Server 5.2

    ns-httpd.exe

    SunOne DirectoryServer 5.2

    SunOne DirectoryServer 5.2

    ns-slapd.exe

    ACAPI alarm ser-ver

    AcapiAlarmsSer-ver

    Plugger.exe

    Serveur ACAPICMISE

    AcapiCmisd Cmisd.exe Serveur ACAPI CMISE

    Acapi communi-cation server

    AcapiComServer ComServer.exe

    Acapi GCS admi-nistration server

    AcapiGCSAdmin GCSAdmin.exe Acapi GCS administration server

    Acapi GCS confserver

    AcapiGCSConfig GCSAdmin.exe

    Acapi GCS LDAPserver

    AcapiLDAPsSer-ver

    slapd.exe Acapi OpenLDAP Server

    ACAPI notifica-tion proxy

    AcapiNotification-Proxy

    Notification-Proxy.exe

    ACAPI rescue AcapiRescue rescue.exeACAPI ServiceManager

    AcapiSvcMgr svc_mgr.exe ACAPI Service Manager

    Alcatel BackupService

    Alcatel BackupService

    backup.exe Sauvegarde

    Alcatel DataAc-cess Service

    Alcatel DataAc-cess Service

    da-ta_access_service.exe

    fournit des donnes sur les utilisa-teurs et les applications

    Alcatel DatabaseServer

    Alcatel DatabaseServer

    dbsrv10.exe

    Alcatel DeviceManagementCore

    Alcatel DeviceManagementCore

    de-vice_management_core.exe

    Alcatel EventsServer

    Alcatel EventsServer

    events_server.exe

    Permet aux services d'envoyer desvnements et aux applications ouservices d'ouvrir des abonnementspour recevoir ces vnements.

    Alcatel FLEXlmService

    Alcatel FLEXlmService

    Lmgrd.exe

    Chapitre 3 ??????????? ??????????? ???? ???? ?? ???????????????????? ????????

    3-8 ???????????? ? ????? ? ???????? ???? ? ????? ?? ????????

  • Nom affich Nom Nom de limage CommentairesAlcatel Logs Ro-tate Service

    Alcatel Logs Ro-tate Service

    alc_logs_rotate.exe

    Fournit la rotation de journaux

    Alcatel OpenL-DAP-DB-Recover

    Alcatel OpenL-DAP-DB-Recover

    DBRecoverNT-Service.exe

    Alcatel OpenL-DAP-slapd

    Alcatel OpenL-DAP-slapd

    slapd.exe

    Alcatel PBX Ma-nagement Ser-vice

    Alcatel PBX Ma-nagement Ser-vice

    pcx_management_service.exe

    gre la configuration des abonnsd'un rseau pbx

    Alcatel Supervi-sion Agent

    Alcatel Supervi-sion Agent

    supervi-sion_agent.exe

    Fournit un agent de supervision

    Alcatel Supervi-sion Client

    Alcatel Supervi-sion Client

    supervi-sion_client.exe

    Fournit un client de supervision

    Alcatel UnifiedManagement Fra-mework Core

    Alcatel UnifiedManagement Fra-mework Core

    uni-fied_management_framework_core.exe

    Fournit un noyau d'infrastructure degestion unifie

    Alcatel UniversalDirectory AccessService

    Alcatel UniversalDirectory AccessService

    univer-sal_directory_access_service.exe

    Fournit un accs unifi aux rper-toires d'entreprise

    Apache 2.2.11 Apache 2.2.11 httpd.exe Apache/2.2.11 (Win32)mod_jk/1.2.25 mod_ssl/2.2.6OpenSSL/0.9.7l

    Le tableau ci-aprs rpertorie les services devant tre arrts pendant le fonctionnementdu serveur OmniVista 4760.

    tableau 3.6 : Services Windows arrter pour le fonctionnement du serveur OmniVista 4760Nom affich Nom Nom de limage CommentairesApplication Layer Ga-teway Service

    Agl Agl.exe Il faut dsactiver AGL.Cependant en cas dedysfonctionnementavec le pare-feu Win-dows, ICS (InternetConnection Sharing)ou un logiciel externe(tel quun logiciel antivirus ou tout logicielincorporant des trans-ferts automatiques viaFTP), il peut tre n-cessaire de dmarrerALG.

    3.4 Outils de scurit

    3.4.1 Compatibilit avec les logiciels antivirus

    ??????????? ??????????? ???? ???? ?? ????????????? ??????? ????????

    ???????????? ? ????? ? ???????? ???? ? ????? ?? ???????? 3-9

  • - Compatibilits :Les applications OmniVista 4760 (serveur et client) fonctionnent correctement en prsencedun systme antivirus MacAfee et Norton.

    - Autres logiciels antivirus :Tout autre systme antivirus peut tre dploy sur un PC hbergeant un serveur ou unclient OmniVista 4760. En cas dincompatibilit dtecte, il est recommand de contacterle support OmniVista 4760.a. Cas de ralentissement du lancement client :

    Lantivirus est configur pour analyser les fichiers compresss et/ou dextension .jar.Dans ce cas, le premier lancement du client OmniVista 4760 est ralenti de 2 3 minutes. Sous McAfee, l'option d'extension de fichiers *.jar ou l'analyse interne des fichiers

    archive est active.Fonction Wormstopper:Lorsque lantivirus intgre la fonction Wormstopper, les e-mails de notification desalarmes sont bloqus. En effet, la plupart des nouveaux virus se propageant parcourrier lectronique. WormStopper arrte les nouveaux virus diffuss parpublipostage en dtectant l'activit.La fonction WormStopper : Dtecte l'envoi d'e-mails plus de 40 destinataires Dtecte l'envoi de plus de 5 e-mails en moins de 30 secondes Vrifie le contenu des e-mails rptitifs Vrifie les noms des binaires qui tentent d'envoyer des e-mailsLantivirus doit tre reconfigur pour permettre l'OmniVista 4760 d'mettre une alertee-mail. L'OmniVista 4760 attend au minimum 3 secondes entre l'envoi de 2 e-mails. Sid'autres alertes surviennent, ce dlai est augment.La version 8 de MacAfee intgre cette fonction Wormstopper (Menu AdvanceActiveShield setting). Il est recommand de dfinir sur 15 secondes le dlaid'autorisation d'envoi de 5 e-mails successifs.Si les binaires sont contrls pour ajouter le programme responsable de l'envoid'e-mails : Sur le serveur, au niveau de l'option antivirus, ajoutez Javaw.exe,

    Extractor.exe, Faultmanager.exe. Sur le client, au niveau de l'option antivirus, ajoutez Javaw.exe.Configurer l'antivirus, l'option antispam et l'option wormstopper pour : activer le protocole de messagerie (smtp port 25) ; permettre aux binaires OmniVista 4760 (javaw.exe) d'utiliser le protocole de

    messagerie ; augmenter le nombre d'e-mails autoriss (par exemple, la fonction wormstopper

    peut limiter le nombre d'e-mails provenant d'un PC six par minute).

    3.4.2 Compatibilit avec le pare-Feu Windows- Compatibilits et configuration :

    Le serveur et le client OmniVista 4760 sont compatibles avec le pare-feu deWindows XP SP3, Windows 2003 SP2 et Vista.Pendant linstallation ou la mise jour du serveur et du client OmniVista 4760, il estrecommand daccepter la configuration du pare-feu de Windows dans le programmedinstallation. Cette configuration automatique sapplique uniquement au pare-feu Windows(sous Windows XP SP3 , Windows 2003 SP2 ou Vista).

    Chapitre 3 ??????????? ??????????? ???? ???? ?? ???????????????????? ????????

    3-10 ???????????? ? ????? ? ???????? ???? ? ????? ?? ????????

  • - Autres pare-feu :Pour tous les autres pare-feux, vous devez procder une configuration manuelle. Lepare-feu doit vous laisser pntrer par les ports IP ncessaires l'OmniVista 4760 sansdlai. Dans le cas de pare-feu mmoire dtat (statefull), il doit pouvoir grer unemulti-connexion dun client vers un port prcis du serveur.

    Ct serveur OmniVista 4760 :Le tableau ci-aprs rpertorie les programmes dont il faut autoriser lexcution :

    tableau 3.7 : Programmes autoriser sur le serveur OmniVista 4760Programme autoriser Emplacement par dfaut du

    programmeCommentaires

    dbeng10.exe Sybase\SQL Anywhere10\win32

    dbisqlg.exe Sybase\SQL Anywhere9\win32

    scjview.exe Program-Files\SQLAnywhere10\SybaseCentral5.0.0\win32

    slapd.exe Netscape\server5\bin\slapd\server\

    httpd.exe 4760\Apache2\bin\omc.exe Program

    Files\PCXTools\OMC\Uniquement en cas de gestiondOmniPCX Office

    dbisql.exe Sybase\SQL Anywhere9\win32\

    iexplore.exe Internet Explorer\ Pour lutilisation dInternet Ex-plorer sinon autoriser le pro-gramme Firefox

    javaw.exe ProgramFiles\Java\jre1.6.0.11\bin\

    FaultManager.exe 4760\bin\ComServer.exe 4760\bin\cmisd.exe 4760\bin\execdEx.exe 4760\bin\extractor.exe 4760\bin\GCSAdmin.exe 4760\bin\GCSConfig.exe 4760\bin\LicenseServer.exe 4760\bin\loader.exe 4760\bin\save_restore.exe 4760\bin\scheduler.exe 4760\bin\securityserver.exe 4760\bin\SyncLdapPbx.exe 4760\bin\

    ??????????? ??????????? ???? ???? ?? ????????????? ??????? ????????

    ???????????? ? ????? ? ???????? ???? ? ????? ?? ???????? 3-11

  • svc_mgr.exe 4760\bin\dbsrv9.exe Sybase\SQL Anywhere

    9\Win32ns_service.exe 4760\bin\javaw.exe Alcatel-Lucent\Java_Develop-

    ment_Kit\binPlugger.exe Alcatel-Lucent\Acapi\bin\Cmisd.exe Alcatel-Lucent\Acapi\bin\ComServer.exe Alcatel-Lucent\Acapi\bin\GCSAdmin.exe Alcatel-Lucent\Acapi\bin\GCSConfig.exe Alcatel-Lucent\Acapi\bin\slapd.exe Alcatel-Lucent\Acapi\bin\NotificationProxy.exe Alcatel-Lucent\Acapi\bin\rescue.exe Alcatel-Lucent\Acapi\bin\svc_mgr.exe Alcatel-Lucent\Acapi\bin\backup.exe Alcatel-Lucent\Backup\data_access_service.exe Alcatel-Lucent\DataAccess\dbsrv10.exe Programmes\SQL Anywhere

    10\win32\de-vice_management_core.exe

    Alcatel-Lucent\ De-vice_Management_Core\

    events_server.exe Alcatel-Lucent\Events_Server\Lmgrd.exe Alcatel-Lucent\FlexLM\alc_logs_rotate.exe Alcatel-

    Lucent\alc_logs_rotate\DBRecoverNTService.exe Alcatel-Lucent\Ldap\ DBReco-

    verNTService\slapd.exe Alcatel-Lucent\Ldap\pcx_management_service.exe

    Alcatel-Lucent\Pms\

    supervision_agent.exe Alcatel-Lucent\Supervision_Agent\

    supervision_client.exe Alcatel-Lucent\Supervision_Client\

    unified_management_ frame-work_core.exe

    Alcatel-Lucent\Unified_ Mana-gement_Framework_ Core\

    universal_directory_ ac-cess_service.exe

    Alcatel-Lucent\Udas\

    httpd.exe Alcatel-Lucent\Apache\bin\AuditServer.exe 4760\bin\

    Le tableau ci-aprs rpertorie les ports devant tre ouverts pour un fonctionnement correct duserveur OmniVista 4760.

    Chapitre 3 ??????????? ??????????? ???? ???? ?? ???????????????????? ????????

    3-12 ???????????? ? ????? ? ???????? ???? ? ????? ?? ????????

  • tableau 3.8 : Liste des ports ouvrir sur le serveur OmniVista 4760Usage Port : ProtocoleIPSec 500 UDPClient OmniVista 4760 30500 30509 TCP

    Ct client OmniVista 4760 :Le tableau ci-aprs rpertorie les programmes dont il faut autoriser lexcution :

    tableau 3.9 : Programmes autoriser sur le client OmniVista 4760Programme autoriser Emplacement par dfaut du

    programmeCommentaires

    omc.exe ProgramFiles\PCXTools\OMC\

    Uniquement en cas de gestiondOmniPCX Office

    iexplore.exe Internet Explorer\ Pour lutilisation dInternet Ex-plorer sinon autoriser le pro-gramme Firefox

    javaw.exe Program Files\Java\jre1.6.0.11\bin\

    Le tableau ci-aprs rpertorie les ports devant tre ouverts pour un fonctionnement correct duclient OmniVista 4760.

    tableau 3.10 : Liste des ports ouvrir sur le client OmniVista 4760Usage Protocole Port :Client OmniVista 4760 30500 30509 TCP

    3.4.3 Compatibilit avec un proxyLe proxy web peut tre utilis quand le client :- ouvre la page Web daccueil du serveur OmniVista 4760 ;- consulte lannuaire via linterface Web.Dans ces deux cas, le port 80 est utilis par le client.En revanche, si le client OmniVista 4760 est lanc via un navigateur Web :- lensemble des ports IP du serveur client sera utilis ;- lutilisation du proxy par lapplet OmniVista 4760 doit tre dsactive.Sur le PC client :- Ouvrir le Panneau de configuration (sous XP, prciser l'affichage classique).- Slectionner licne Java Plug-in et, sous longlet Proxies, dcocher l'option Utiliser les

    paramtres du navigateur.

    3.4.4 Renforcement de la scurit avec SynAttackProtectWindows inclut une protection contre les saturations de requtes SYN lorsquune attaque estdtecte. Cette protection est paramtrable laide de la valeur SynAttackProtect situ sous la

    ??????????? ??????????? ???? ???? ?? ????????????? ??????? ????????

    ???????????? ? ????? ? ???????? ???? ? ????? ?? ???????? 3-13

  • clef de registreHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters.Par dfaut, sous Windows 2003 SP1, cette protection est active (SynAttackProtect=1) . Il estpossible de renforcer le niveau de scurit en passant cette valeur 2 ; cependant, il estrecommand de conserver la valeur par dfaut pour une meilleure stabilit du systme.

    3.4.5 Renforcement de la scurit avec DEPLa prvention de lexcution des donnes ou DEP (Data Execution Prevention) vise empcher lexcution de code inject dans une zone mmoire (stack ou heap). Cettetechnologie est base sur les rcentes volutions des processeurs Intel et AMD ; elle peutcependant fournir un certain niveau de protection sur les processeurs plus anciens. Cettetechnologie est active par dfaut sur Windows 2003 SP2 et Windows XP SP3.DEP arrte les applications qui tentent dexcuter du code localis dans une page mmoire.L'OmniVista 4760 fonctionne lorsque la technologie DEP est active. Si un composant intgrou utilis par le serveur OmniVista 4760 est bloqu par le systme DEP, contacter le supporttechnique d'Alcatel-Lucent.

    3.5 Compatibilit avec les applications externes

    3.5.1 tude de compatibilitAlcatel-Lucent ne prend pas en charge l'excution d'applications externes installes sur lesystme hbergeant l'OmniVista 4760.- Avant de dployer un serveur OmniVista 4760 et dautres applications sur un mme PC ou

    serveur, il est fortement recommand deffectuer une tude de compatibilit pour vrifier,en particulier :

    - le serveur OmniVista 4760 et les services utiliss par les applications externes ;- la compatibilit en termes de performances ;- la compatibilit en termes dutilisation de lespace disque ;- la compatibilit des fichiers dll ;- la compatibilit de la version active de Java Run Time pour les applications Java ;- la compatibilit des ports et des services IP utiliss.En cas dincompatibilit de l'OmniVista 4760 avec une application externe, appelerl'assistance tlphonique. Les remarques dincompatibilit mises, seront prises en comptepour renseigner ce document, et tudier une possibilit de contournement ou de compatibilitdans une version future.Pour une question particulire sur la compatibilit, contactez les services professionnelsd'Alcatel-Lucent l'adresse [email protected] Recommandations :

    Il est recommand dinstaller lapplication du serveur OmniVista 4760 aprs toute autreapplication.En cas de dsinstallation dune application, il ne faut surtout pas confirmer la suppressiondes fichiers dll, car ceux-ci sont peut-tre ncessaires au serveur OmniVista 4760.

    Chapitre 3 ??????????? ??????????? ???? ???? ?? ???????????????????? ????????

    3-14 ???????????? ? ????? ? ???????? ???? ? ????? ?? ????????

  • 3.5.2 Compatibilit en termes de performancesLes applications externes qui cohabitent avec le serveur OmniVista 4760 :- ne doivent pas tre du type application serveur (serveur de messagerie) ;- ne doivent pas tre installes en tant que service.- Une fois lances, s'assurer que les applications externes nutiliseront pas toute la mmoire

    virtuelle du systme et quune fois fermes, elles libreront bien la mmoire utilise.

    3.5.3 Fichiers dll

    Les fichiers dll utiliss par le serveur OmniVista 4760 ne doivent pas tre mis jour, ni treremplacs par des versions diffrentes.Incompatibilits connues :- JTC1012.dll fourni sur un serveur DELL.- Fichier dll incompatible avec la version du systme d'exploitation. Lapplication Windows

    Office Edition pour Windows XP installe sur un PC Windows NT remplace les dll systmepar des dll spcifiques Windows XP. Dans ce cas, linstallation du JRE peut chouer.

    - Erreur grave lors de linstallation du JRE 1.3.1_08: RPC Stub Error 0x80070725.Le site http ://java.com/fr/download/help/rpcstub.jsp propose dutiliserloutil Mcrepair de Microsoft pour restaurer les dll compatibles avec le systmedexploitation Windows.

    3.5.4 Java Run Time

    Tout d'abord, dsactiver la mise jour automatique Java Run time. Dans le Panneau deconfiguration avec affichage classique, cliquer sur l'icne JRE et dsactiver l'option de mise jour.Si dautres applications java sont utilises sur ce PC :- Elles ne doivent pas rendre inutilisable la variable denvironnement Classpath. En effet,

    si celle-ci devient trop longue, linstallation choue. Pour vrifier si cette variable est djinitialise, entrer C :\classpath dans une fentre DOS.

    - Surveiller la version active de Java Run Time (JRE).Exemple de problme connu :Jusqu' la version OmniVista 4760 R2.1, l'application recherchait l'application JRE active livreavec cette version v. Cest pourquoi la version OmniVista 4760 R2.1 ne fonctionne pas sil'application JRE 1.4 est prsente.Pour vrifier la version par dfaut (celle prsente dans le rpertoire WinNT\System32), entrerla commande c:\java version dans une fentre DOS. partir de la version OmniVista 4760 R3.0, lapplication OmniVista 4760 ne prend plus le JREpar dfaut, mais recherche le JRE compatible dans la base de registres et renseigne lechemin d'accs du JRE :- directement dans la base de donnes LDAP pour les services et tches planifis ;- dans le batch de lancement du client OmniVista 4760 : RunNMC.bat..

    ??????????? ??????????? ???? ???? ?? ????????????? ??????? ????????

    ???????????? ? ????? ? ???????? ???? ? ????? ?? ???????? 3-15

  • 3.5.5 Ports et Services IP- Ports :

    Lapplication externe ne doit pas utiliser l'un des ports IP ddis au serveur OmniVista4760. Reportez-vous module Scurit - Deploying the OmniVista 4760 in a SecureNetwork Configuration pour connatre la liste des ports IP utiliss par l'applicationOmniVista 4760.Avant linstallation du serveur OmniVista 4760, vrifier la disponibilit des ports 80 (httpWEB), 389 (LDAP) et 636 (LDAPS) : Dans une fentre DOS, entrer la commande c :\netstat n Si ladresse locale propose le port 80, 389 ou 636 en coute/connect

    (listening/established), cela signifie que le port est utilis. Il faudra alors, lors delinstallation du serveur OmniVista 4760, choisir un port http, LDAP ou LDAPS diffrentdes ports dj utiliss.

    - Services :Le serveur OmniVista 4760 ne doit pas tre install si le service SNMP est dmarr.Arrtez le service SNMP avant la phase d'installation.Le serveur OmniVista 4760 possde un serveur LDAP. N'installez pas un autre serveurLDAP sur le mme port (389 par dfaut).Le serveur OmniVista 4760 hberge les fonctions de serveur WEB (Apache). Neconservez pas ou n'installez pas un autre serveur WEB sur le mme port (80 par dfaut).Incompatibilits connues :Le systme Windows 2000 Server est livr en standard avec un serveur Web prt l'emploi. Par consquent, avant dinstaller lapplication OmniVista 4760, slectionner : Ajout ou suppression de programmes Ajouter ou supprimer des composant Windows Dsinstaller le composant Internet Information Server (I.I.S.)Windows 2000 / 2003 Server install en tant que contrleur de domaine comporte unserveur LDAP : Active Directory. Sur ce type de serveur, il nest pas autoris dinstaller leserveur OmniVista 4760.Linstallation du serveur OmniVista 4760 peut chouer avec le message Sun.log :port dj utilis . Dans ce cas, reprendre linstallation et entrer LDAP port=390.

    3.5.6 Compatibilit avec les outils de sauvegarde PCLapplication du serveur OmniVista 4760 est toujours en tat actif. Par consquent, lutilisationdun outil de sauvegarde de disques pour sauvegarder lintgralit du disque peut chouer. Enrevanche, ce type doutil peut tre utilis pour rcuprer les sauvegardes effectues par leserveur OmniVista 4760.Incompatibilits connues :Lapplication de sauvegarde de PC distance, OpenSave, nest pas compatible aveclapplication Sun One Directory Server (utilise par le serveur OmniVista 4760).

    3.5.7 Compatibilit avec les outils de connexion distance

    3.5.7.1 Outil VPN

    Chapitre 3 ??????????? ??????????? ???? ???? ?? ???????????????????? ????????

    3-16 ???????????? ? ????? ? ???????? ???? ? ????? ?? ????????

  • Incompatibilits connues :Certains clients VPN utilisent des outils tels que le service SafeNet dans le programmeNetScreenRemote. Ce programme empche linstallation dun serveur Sun One DirectoryServer et donc du serveur OmniVista 4760.

    3.5.7.2 Terminal server, connexion de bureaux distants

    Les services Terminal Server, ou services de connexion de bureaux distants, (outil Microsoft)permettent de crer une session Windows sur un serveur ou un PC distant en ne ramenantsur son propre PC que linterface clavier-souris-affichage cran. La session Windows nes'affiche pas sur l'ordinateur distant.Ces programmes peuvent tre utiliss des fins de maintenance, cependant :- Ils ne sont pas compatibles avec laccs la base de donnes Sybase.- Ils centralisent les ressources ncessaires au client sur la mme machine serveur.Incompatibilits connues :Linstallation du serveur OmniVista 4760 via les services Terminal Server, ou la connexion debureaux distants choue.*LOG* ERROR: C:\PROGRA~1\Sybase\SQL Anywhere 9\win32\dbisqlc.exeFailed!

    For details, see log file dbisqlc.log

    *LOG* AskYesNo question : Error occurred! Souhaitez-vous tout de mmecontinuer ?

    Ne pas dpasser 1 client terminal serveur ou Connexion bureau distance.3.5.7.3 PC Anywhere, IRC de Peregrine , NetOP de DanWare

    - Ces programmes permettent de prendre le contrle dune session Windows en cours surun serveur ou un PC distant. Sur le PC local et la machine distante, la mme sessionWindows est visualise. Ces programmes doivent prendre en charge la prsentation java.

    - Incompatibilits connues :Avec PC Anywhere, laffichage java peut tre mal interprt, il peut tre ncessaire derafrachir lcran pour chaque clic de souris.Avec PC Anywhere version 10.5 et suprieure, lorsque le service PCAnywhere-Host estlanc, le client OmniVista 4760 ne dmarre plus. Le problme est rsolu partir de laversion 11.0 de PC Anywhere.

    3.5.8 Compatibilits avec d'autres applications AlcatelLucent

    3.5.8.1 Alcatel 47xx

    Les applications Alcatel 4715, 4730 et 4740 ne sont pas compatibles avec lapplication duserveur OmniVista 4760.

    3.5.8.2 OmniVista 4760i (e-config)La version du Run Time Java, JRE, peut tre incompatible. Si les applications client OmniVista4760 et client OmniVista 4760-i doivent cohabiter, installer les clients en tant quapplications etnon en tant qu'applets Web.

    ??????????? ??????????? ???? ???? ?? ????????????? ??????? ????????

    ???????????? ? ????? ? ???????? ???? ? ????? ?? ???????? 3-17

  • Incompatibilit connue :La version OmniVista 4760-i pour OmniPCX Enterprise R5.1.2 utilise le JRE 1.3.1_08.Lorsque le JRE 1.4 est prsent, lapplication se lance, mais lutilisation des listes droulantesne fonctionne pas.Pour rsoudre ce problme :Modifier les fichiers .bat prsents dans le rpertoire 4760i\lib\ext et remplacerjavaw.exe par son chemin daccs au format DOS :C:\progra~1\javasoft\JRE138DB~1.1_0\bin\javaw.exe ()

    3.5.8.3 Consoles AlcatelLucent 4059 et 4980Les tests nont pas t effectus. Cependant, les besoins des 2 applications sont trsdiffrents. Il nest toutefois pas recommand de faire cohabiter une application client tempsrel et serveur de base de donnes.

    3.5.8.4 CCD, CCS, CCAgentLe centre d'appels possde ses propres critres de compatibilit. La version java, enparticulier, peut tre diffrente entre le client/serveur OmniVista 4760 et CCA.Dans leur fonctionnement actuel, les applications CCx sont incompatibles. Pour certainsprojets, une tude de compatibilit peut tre faite auprs de nos services professionnels, sousrserve de certaines conditions d'utilisation, l'[email protected].

    3.6 Gestion de comptes Windows utiliss par le serveurOmniVista 4760

    3.6.1 Compte pour installation

    3.6.1.1 Installation/dsinstallation du serveur OmniVista 4760Le serveur OmniVista 4760 doit tre install et dsinstall l'aide d'un compted'administrateur local Windows.

    3.6.1.2 Installation dun client OmniVista 4760 distantLe client OmniVista 4760 doit tre install et dsinstall l'aide d'un compte d'administrateurlocal Windows.

    3.6.2 Compte utiliser pour le lancement dun client OmniVista 4760Louverture dun client OmniVista 4760 distant doit seffectuer partir dun compte Windowsbnficiant de droits dcriture dans le rpertoire Client4760\Lib\ext.

    3.6.3 Oprations de maintenance avec ressources rseauLe serveur OmniVista 4760 peut utiliser des ressources rseau pour les oprations demaintenance :

    Chapitre 3 ??????????? ??????????? ???? ???? ?? ???????????????????? ????????

    3-18 ???????????? ? ????? ? ???????? ???? ? ????? ?? ????????

  • - Sauvegarde/restauration des donnes OmniVista 4760- Sauvegarde/ restauration des PCXs- Mise jour logiciel PCX- Copie temporaire des donnes (au cours des oprations de dfragmentation de bases de

    donnes, par exemple).Il est notamment recommand deffectuer les sauvegardes des donnes OmniVista 4760 surun disque rseau pour disposer dune sauvegarde en cas d'arrt du PC hbergeant le serveurOmniVista 4760.Procdure :Ce mode de sauvegarde requiert lutilisation de comptes Windows :- Un compte bnficiant de droits d' administrateur local pour le service NMC

    SaveRestore, valide sur le serveur OmniVista 4760 et ayant le droit de placer desfichiers sur la machine distante.

    - Un compte pour le service NMC Executables Launcher, valide sur le serveurOmniVista 4760, avec accs aux rpertoires de la machine distante utiliss pour lesoprations de maintenance.

    Attention :Veiller ne pas utiliser pour la sauvegarde sur machine distante, un rpertoire susceptible decontenir dautres donnes de sauvegarde. Ces donnes risqueraient dtre dtruites par le pro-cessus de purge automatique des sauvegardes qui supprime les fichiers antrieurs une datedonne.

    3.6.3.1 Cration de comptes et attribution des droits- Cration dun compte disposant de droits d'administrateur local sur l'ordinateur serveur

    (pour le service NMC SaveRestore) : Ouvrir loutil de gestion de l'ordinateur (Panneau de configuration/Outil

    dadministration). Dans la rubrique Utilisateurs et groupes locaux , slectionner le

    rpertoire Utilisateurs et crer un nouvel utilisateur : Nom : ADM4760 (par exemple) Mot de passe Lutilisateur ne peut pas changer de mot de passe Le mot de passe nexpire jamais.

    Modifiez les proprits de l'utilisateur ADM4760 : ajoutez-le dans la liste des membresdu groupe Administrateurs et retirez-le de la liste des membres du groupe Utilisateurs .

    - Cration dun compte local sur l'ordinateur serveur OmniVista 4760 (pour le service NMCExecutables Launcher) : Ouvrir loutil de gestion de l'ordinateur (Panneau de configuration/Outil

    dadministration). Dans la rubrique Utilisateurs et groupes locaux , slectionner le

    rpertoire Utilisateurs et crer un nouvel utilisateur : Nom : UTIL4760 (par exemple) Mot de passe

    ??????????? ??????????? ???? ???? ?? ????????????? ??????? ????????

    ???????????? ? ????? ? ???????? ???? ? ????? ?? ???????? 3-19

  • Lutilisateur ne peut pas changer de mot de passeLe mot de passe nexpire jamais.

    Modifiez les proprits de l'utilisateur UTIL4760 : retirez-le de la liste desmembres du groupe Utilisateurs .

    - Attribution des droits d'utilisateur Ouvrir loutil Stratgie de scurit locale (Panneau de

    Configuration/Outil dadministration). Dans la rubrique Stratgies locales , slectionner Attribution des

    droits utilisateur . Ajouter les droits suivants aux utilisateurs crs prcdemment (ADM4760 et

    UTIL4760) : "Accder cet ordinateur depuis le rseau" "Ouvrir une session en tant que service "Interdire l'ouverture d'une session locale

    3.6.3.2 Configuration des services OmniVista 4760 pour l'utilisation des ressourcesrseau

    3.6.3.2.1 Procdure avec utilisation de comptes locaux

    Cest la procdure recommande pour scuriser au mieux laccs des ressources rseau.Cette procdure peut tre applique quel que soit le domaine Windows ou le groupe de travaildu serveur OmniVista 4760 et de la machine distante. Pour des raisons de scurit, il estcependant recommand dutiliser une machine distante situe dans le mme domaine ougroupe de travail que le serveur OmniVista 4760.On suppose que deux comptes (ADM4760 et UTIL4760) ont t crs sur le serveurOmniVista 4760 (en suivant la procdure de cration et dattribution des droits de la sectionCration de comptes et attribution des droits ).1. Crer les deux comptes (ADM4760 et UTIL4760) sur la machine distante :

    Ouvrir loutil de gestion de l'ordinateur (Panneau de configuration/Outildadministration).

    Dans la rubrique Utilisateurs et groupes locaux , slectionner lerpertoire Utilisateurs et crer un nouvel utilisateur : Nom : ADM4760 Mot de passe : identique celui saisi pour lutilisateur ADM4760 sur le serveur

    OmniVista 4760. Lutilisateur ne peut pas changer de mot de passe Le mot de passe nexpire jamais.

    Modifiez les proprits de l'utilisateur ADM4760 : retirez-le de la liste des membres dugroupe Utilisateurs .

    Refaire la mme opration pour lutilisateur UTIL4760.2. Partager un rpertoire sur la machine distante pour les utilisateurs ADM4760 et

    UTIL4760 : Sur la machine distante, slectionner le rpertoire partager et le partager. Au besoin, modifier le nom de partage. Modifier les proprits de partage et de scurit.

    Chapitre 3 ??????????? ??????????? ???? ???? ?? ???????????????????? ????????

    3-20 ???????????? ? ????? ? ???????? ???? ? ????? ?? ????????

  • Nombre dutilisateurs autoriss : # 3 Dans la rubrique Autorisations , slectionner retirer tout le monde et

    ajouter les utilisateurs ADM4760 et UTIL760 avec des droits Contrle total. Dans la rubrique Mise en cache , slectionner l'option stipulant de ne pas

    autoriser la mise en cache des fichiers de ce dossier partag. Slectionnez l'onglet Scurit, puis ajoutez les utilisateurs ADM4760 et

    UTIL4760. Vrifiez les droits suivants : Modification , Affichage ducontenu du dossier , Lecture , criture.

    3. Sur le PC serveur, lancer une session Windows en tant que ADM4760.4. Accorder au service NMC SaveRestore le droit dutiliser lutilisateur ADM4760. Pour ce

    faire : lancer lapplication Annuaire, puis cliquer sur longlet Systme, Au niveau de larborescence, accder au rpertoire

    NMC/Nom_du_serveur/servers/Nom_du_serveur/SaveRestore. Cliquer sur longlet Compte NT dans le volet de droite. Renseigner les attributs :

    Utilisateur = .\ADM4760 Mot de passe : mot de passe associ l'utilisateur ADM7460.

    5. Accorder au service NMC Executables Launcher le droit dutiliser lutilisateurUTIL4760. Pour ce faire : lancer lapplication Annuaire, puis cliquer sur longlet Systme, Au niveau de larborescence, accder au rpertoire

    NMC/Nom_du_serveur/servers/Nom_du_serveur/Execdex. Cliquer sur longlet Compte NT dans le volet de droite. Renseigner les attributs :

    Utilisateur = .\UTIL4760 Mot de passe : mot de passe associ l'utilisateur UTIL4760

    6. Lorsque le module Maintenance est lanc, il est alors possible de slectionner un disquerseau pour la sauvegarde.

    3.6.3.2.2 Procdure valide dans un domaine

    Cette procdure pourra tre applique lorsque le client souhaite utiliser des comptes rseaupour les accs rseau du serveur OmniVista 4760.Cette solution prsente des failles de scurit : les comptes rseau (nom dutilisateur et motde passe) peuvent tre intercepts puis utiliss sur lensemble des machines du rseau. Pourles besoins de cette procdure, nous supposerons que les machines sont installes dans lemme domaine DOMMACHINE et que les utilisateurs sont reconnus dans le domaine DOMUSER.On suppose que deux comptes (ADM4760 et UTIL4760) ont t crs sur le serveurOmniVista 4760 (en suivant la procdure de cration et dattribution des droits de la sectionCration de comptes et attribution des droits ).1. Partager un rpertoire sur la machine distante pour les utilisateurs DOMUSERADM4760 et

    DOMUSERUTIL4760 : Sur la machine distante, slectionner le rpertoire partager et le partager. Au besoin, modifier le nom de partage. Modifier les proprits de partage et de scurit :

    ??????????? ??????????? ???? ???? ?? ????????????? ??????? ????????

    ???????????? ? ????? ? ???????? ???? ? ????? ?? ???????? 3-21

  • Nombre dutilisateurs autoriss : # 3 Dans la rubrique Autorisations , slectionner retirer tout le monde et

    ajouter les utilisateurs DOMUSERADM4760 et DOMUSERUTIL4760 avec les droitsContrle total.

    Dans la rubrique Mise en cache , slectionner l'option stipulant de ne pasautoriser la mise en cache des fichiers de ce dossier partag.

    Slectionnez l'onglet Scurit, puis ajoutez les utilisateurs DOMUSER\ADM4760et DOMUSER\UTIL4760. Vrifiez les droits suivants : Modification , Affichage du contenu du dossier , Lecture , criture.

    2. Sur le PC serveur, lancer une session Windows en tant que DOMUSER\ ADM4760.3. Accorder au service NMC SaveRestore le droit dutiliser lutilisateur ADM4760. Pour ce

    faire : Lancer lapplication Annuaire, puis cliquer sur longlet Systme. Au niveau de larborescence, accder au rpertoire

    NMC/Nom_du_serveur/servers/Nom_du_serveur/SaveRestore. Cliquer sur longlet Compte NT dans le volet de droite. Renseigner les attributs :

    Utilisateur = DOMUSER\ADM4760 Mot de passe : mot de passe associ l'utilisateur ADM4760

    4. Accorder au service NMC Executables Launcher le droit dutiliser lutilisateurUTIL4760. Pour ce faire : lancer lapplication Annuaire, puis cliquer sur longlet Systme, Au niveau de larborescence, accder au rpertoire

    NMC/Nom_du_serveur/servers/Nom_du_serveur/Execdex. Cliquer sur longlet Compte NT dans le volet de droite Renseigner les attributs :

    Utilisateur = DOMUSER\UTIL4760 Mot de passe : mot de passe associ l'utilisateur UTIL4760

    5. Lorsque le module Maintenance est lanc, il est alors possible de slectionner un disquerseau pour la sauvegarde.

    3.6.3.2.3 Procdure valide dans un groupe de travailPour les besoins de cette procdure, nous supposerons que les machines sont installes dansle mme groupe de travail, WORKGROUP1, et que le PC serveur porte le nom PCSERVEUR.On suppose que deux comptes (ADM4760 et UTIL4760) ont t crs sur le serveurOmniVista 4760 (en suivant la procdure de cration et dattribution des droits de la sectionCration de comptes et attribution des droits ).Sur la machine distante, crer les mmes comptes ADM4760 et UTIL4760 avec les mmesmots de passe.1. Partager un rpertoire sur la machine distante pour les utilisateurs ADM4760 et

    UTIL4760 : Sur la machine distante, slectionner le rpertoire partager et le partager. Au besoin, modifier le nom de partage. Modifier les proprits de partage et de scurit :

    Nombre dutilisateurs autoriss : # 3

    Chapitre 3 ??????????? ??????????? ???? ???? ?? ???????????????????? ????????

    3-22 ???????????? ? ????? ? ???????? ???? ? ????? ?? ????????

  • Dans la rubrique Autorisations , slectionner retirer tout le monde etajouter les utilisateurs ADM4760 et UTIL4760 avec les droits Contrle total.

    Dans la rubrique Mise en cache , slectionner l'option stipulant de ne pasautoriser la mise en cache des fichiers de ce dossier partag.

    Slectionnez l'onglet Scurit, puis ajoutez les utilisateurs ADM4760 etUTIL4760. Vrifiez les droits suivants : Modification , Affichage ducontenu du dossier , Lecture , criture.

    2. Sur le PC serveur, lancer une session Windows en tant que ADM4760.3. Accorder au service NMC SaveRestore le droit dutiliser cet utilisateur. Pour ce faire :

    lancer lapplication Annuaire, puis cliquer sur longlet Systme, Au niveau de larborescence, accder au rpertoire

    NMC/Nom_du_serveur/servers/Nom_du_serveur/SaveRestore. Cliquer sur longlet Compte NT dans le volet de droite. Renseigner les attributs :

    Utilisateur = PCSERVEUR \ADM4760 Mot de passe : votre mot de passe

    4. Accorder au service NMC Executables Launcher le droit dutiliser lutilisateurUTIL4760. Pour ce faire : lancer lapplication Annuaire, puis cliquer sur longlet Systme, Au niveau de larborescence, accder au rpertoire

    NMC/Nom_du_serveur/servers/Nom_du_serveur/Execdex. Cliquer sur longlet Compte NT dans le volet de droite. Renseigner les attributs :

    Utilisateur = PCSERVEUR\UTIL4760 Mot de passe : votre mot de passe

    5. Lorsque le module Maintenance est lanc, il est alors possible de slectionner un disquerseau pour la sauvegarde.

    3.6.4 Planification de lexportation ou de limpression de rapportsLe serveur OmniVista 4760 peut utiliser des ressources rseau pour l'exportation etl'impression de rapports planifies. Ces oprations requirent lutilisation dun compteWindows :Un compte pour le service NMC Executables Launcher, valide sur le serveur OmniVista4760, avec accs aux rpertoires de la machine distante utiliss pour les oprationsd'exportation.Procdure1. Lancer une session Windows en tant qu'administrateur local du PC serveur2. Cration dun compte local sur l'ordinateur serveur OmniVista 4760 pour le service NMC

    Executables Launcher :Voir Cration de comptes et attribution des droits

    3. Dclaration dune imprimante pour le compte UTIL4760 : Fermer la session administrateur et ouvrir une session avec le compte cr

    prcdemment (UTIL4760). Dans le menu Dmarrer , slectionner Imprimantes et tlcopieurs

    ??????????? ??????????? ???? ???? ?? ????????????? ??????? ????????

    ???????????? ? ????? ? ???????? ???? ? ????? ?? ???????? 3-23

  • Ajouter une imprimante en suivant les instructions de loutil de cration dimprimantes Fermer la session Windows Relancer une session Windows en tant quadministrateur local du PC serveur

    4. Attribuer les droits des utilisateurs : Ouvrir loutil de Stratgie de scurit locale (Panneau de

    Configuration/Outil dadministration). Dans la rubrique Stratgies locales , slectionner Attribution des

    droits utilisateur . Ajouter les droits suivants lutilisateur cr prcdemment (UTIL4760) :

    Accder cet ordinateur depuis le rseau Ouvrir une session en tant que service Agir en tant que partie du systme d'exploitation Augmenter les quotas/ajuster les quotas mmoire Remplacer un jeton de niveau processus Interdire l'ouverture d'une session locale

    5. Configuration des services OmniVista 4760 pour l'utilisation des ressources rseau : Suivre la procdure dcrite la section Configuration des services OmniVista 4760

    pour l'utilisation des ressources rseau pour : Partager un rpertoire sur la machine distante pour le compte UTIL4760 (le

    compte ADM4760 nest pas utilis pour lexportation et limpression de rapportplanifies).

    Accorder au service NMC Executables Launcher le droit dutiliser lutilisateurUTIL4760.

    Remarque : trois possibilits de configuration sont prsentes la sectionConfiguration des services OmniVista 4760 pour l'utilisation des ressources rseau .Pour une meilleure scurit, suivre la procdure avec utilisation de comptes locaux.

    Note :La procdure dcrite ci-dessus ne doit tre applique quen cas de planification dexportations etdimpressions de rapports. En effet, les exportations et impressions directes de rapports dj gnrs (ettoute autre impression non planifie) sont ralises en utilisant le contexte de scurit de lutilisateur duclient OmniVista 4760 (compte Windows sur lequel a t lanc le client OmniVista 4760). Le serviceNMC Executables Launcher nintervient pas.

    3.6.5 Archivage et restauration des fichiers de taxationLe serveur OmniVista 4760 peut utiliser des ressources rseau pour l'archivage et larestauration des fichiers de taxation.Ces oprations requirent lutilisation dun compte Windows :Un compte pour le service NMC Executables Launcher, valide sur le serveur OmniVista4760, avec accs aux rpertoires de la machine distante utiliss pour les oprationsd'archivage et de restauration.ProcdurePour crer ce compte, suivre la procdure dcrite la section 3.6.4.Remarques :

    Chapitre 3 ??????????? ??????????? ???? ???? ?? ???????????????????? ????????

    3-24 ???????????? ? ????? ? ???????? ???? ? ????? ?? ????????

  • - Pour les oprations darchivage et de restauration de fichiers, il nest pas ncessairedattribuer une imprimante au compte utilis pour accder aux ressources rseau(UTIL4760).

    - Pour les oprations darchivage et de restauration de fichiers, les droits suivants sontfacultatifs pour le compte UTIL4760. Agir en tant que partie du systme d'exploitation Augmenter les quotas/ajuster les quotas mmoire Remplacer un jeton de niveau processus

    3.6.6 Collecteur de fichiers de taxationLe serveur OmniVista 4760 pourra utiliser des ressources rseau pour stocker les fichiers detaxation dun OmniPCX Entreprise (fonction de collecte de tickets).Cette opration requiert lutilisation de comptes Windows :- Un compte avec les droits d' administrateur local pour le service NMCSyncLdapPbx,

    valide sur le serveur OmniVista 4760 et ayant le droit de placer des fichiers sur la machinedistante.

    - Un compte pour le service NMC Executables Launcher, valide sur le serveurOmniVista 4760, avec accs aux rpertoires de la machine distante utiliss pour lesoprations de maintenance.

    Procdure :1. Lancer une session Windows en tant qu'administrateur local du PC serveur2. Cration dun compte ayant des droits administrateur local sur le PC serveur OmniVista

    4760 (pour le service SyncLdapPbx). Voir Cration de comptes et attribution des droits3. Cration dun compte local sur le PC serveur OmniVista 4760 pour le service NMC

    Executables Launcher. Voir Cration de comptes et attribution des droits4. Attribuer les droits des utilisateurs :

    Ouvrir loutil Stratgie de scurit locale (Panneau deConfiguration/Outil dadministration).

    Dans la rubrique Stratgies locales , slectionner Attribution desdroits utilisateurs .

    Ajouter les droits suivants aux utilisateurs crs prcdemment (ADM4760 etUTIL4760) : Accder cet ordinateur depuis le rseau Ouvrir une session en tant que service Interdire l'ouverture d'une session locale

    5. Configuration des services OmniVista 4760 pour l'utilisation des ressources rseau : Suivre la procdure dcrite la section Configuration des services OmniVista 4760

    pour l'utilisation des ressources rseau pour : Partager un rpertoire sur la machine distante pour les comptes ADM4760 et

    UTIL4760 : Accorder au service SyncLdapPbx le droit dutiliser lutilisateur ADM4760. Accorder au service NMC Executables Launcher le droit dutiliser lutilisateur

    UTIL4760.

    ??????????? ??????????? ???? ???? ?? ????????????? ??????? ????????

    ???????????? ? ????? ? ???????? ???? ? ????? ?? ???????? 3-25

  • Remarque : trois possibilits de configuration sont prsentes la sectionConfiguration des services OmniVista 4760 pour l'utilisation des ressources rseau .Pour une meilleure scurit, suivre la procdure avec utilisation de comptes locaux(paragraphe a.)

    6. Configuration du rpertoire de collecte sur le serveur OmniVista 4760 : Dans cette procdure, nous supposerons que la machine distante sur laquelle sera

    effectue la collecte des fichiers de taxation a pour nom PCdistant et que lerpertoire utilis pour la collecte a pour nom de partage Rpertoire_collecte.

    Sur l'OmniVista 4760, lancer l'application Annuaire, puis cliquer sur l'ongletSystme.

    Au niveau de larborescence, accder au rpertoireNMC/Nom_du_serveur/servers/Nom_du_serveur/Collector.

    Dans le volet de droite, indiquer le chemin du rpertoire de collecte dans lattributChemin : //RemotePC/Directory_Collection.

    3.6.7 Rception dalarmes urgentes de lOmniPCX OfficeOmniPCX Office peut tre configur pour envoyer ses alarmes urgentes au serveur OmniVista4760. Ceci requiert lutilisation dun compte Windows local sur le serveur OmniVista 4760.Procdure- Suivre la procdure dcrite dans le manuel dinstallation de l'OmniVista 4760

    (section 13.3.4).- Lancer une session Windows en tant qu'administrateur local du PC serveur- Renforcement de la scurit en cas dutilisation du compte URGALARM :

    Ouvrir loutil Stratgie de scurit locale (Panneau deConfiguration/Outil dadministration).

    Dans la rubrique Stratgies locales , slectionner Attribution desdroits utilisateurs .

    Ajouter les droits suivants lutilisateur URGALARM : Accder cet ordinateur depuis le rseau Interdire l'ouverture d'une session locale

    3.7 Gestion du partage de rpertoires

    3.7.1 Gestion de lOmniPCX OfficeLa gestion dcrite ci-dessous est ncessaire pour les oprations de sauvegarde, restauration,tlchargement et galement pour la configuration dOmniPCX Office.Les donnes OmniPCX Office sont sauvegardes par dfaut sur le PC serveur OmniVista4760, dans le rpertoire 4760_ARC/OXO/data. Lors de linstallation de l'OmniVista 4760, cerpertoire est partag sous le nom 4760-databases (ou 4760-pm5 en cas de mise jourdepuis l'OmniVista 4760 version R3.x), en lecture seule pour tous.Attention :Lorsque le rpertoire 4760 server existe dj (par exemple, aprs la dsinstallation d'unserveur OmniVista 4760) et que son nom est partag, ce nom n'est pas modifi par le programme

    Chapitre 3 ??????????? ??????????? ???? ???? ?? ???????????????????? ????????

    3-26 ???????????? ? ????? ? ???????? ???? ? ????? ?? ????????

  • d'installation du serveur OmniVista 4760. Pour configurer OmniPCX Office partir du serveurOmniVista 4760, le nom Windows de partage de ce rpertoire doit tre identique au nom dfinidans le rpertoire systme OmniVista 4760 (ce nom est configur dans NmcConfiguration/GlobalPreferences/Config/OXOAccess).Procdure1. Lancer une session Windows en tant qu'administrateur local du PC serveur2. Utilisation dun compte local sur le PC serveur OmniVista 4760

    Vous pouvez utiliser le compte URGALARM cr au cours de l'installation du serveurOmniVista 4760. Par dfaut, le mot de passe de ce compte est URGALARM. Modifier cemot de passe avant lutilisation du compte.

    On pourra utiliser un autre compte local. Pour la cration de ce type de compte, voirCration de comptes et attribution des droits . Dans la suite de cette procdure, noussupposerons que le compte URGALARM a t choisi.

    3. Configuration du serveur OmniVista 4760 pour l'utilisation du compte local Sur le serveur OmniVista 4760, lancer l'application Annuaire, puis cliquer sur l'onglet

    Systme. Au niveau de larborescence, accder au rpertoire

    NMC/NmcConfiguration/GlobalPreferences/Config/OXOAccess Dans le volet de droite, renseigner les attributs :

    Nom utilisateur pour l'accs au rpertoire partag = URGALARM Mot de passe pour laccs au rpertoire partag = mot de passe

    associ URGALARM.4. Grer le partage du rpertoire 4760_ARC/OXO/data.

    Slectionner le rpertoire 4760_ARC/OXO/data. Vrifier le nom de partage.

    Ce nom de partage doit correspondre au nom renseign dans lattribut Nom departage de lentreNmcConfiguration/GlobalPreferences/Config/OXOAccess de lannuairesystme de l'OmniVista 4760.

    Modifier les proprits de partage et de scurit : Nombre dutilisateurs autoriss : # 3 Dans la rubrique Autorisations , slectionner retirer tout le monde et

    ajouter l'utilisateur URGALARM avec les droits Contrle total . Dans la rubrique Mise en cache , slectionner l'option stipulant de ne pas

    autoriser la mise en cache des fichiers de ce dossier partag. Slectionnez l'onglet Scurit, puis ajoutez l'utilisateur URGALARM. Vrifiez les

    droits suivants : Modification , Affichage du contenu dudossier , Lecture , criture.

    Remarque : les versions logicielles susceptibles dtre tlcharges dans les PABXdoivent se trouver dans le rpertoire OmniVista 4760_ARC/OXO/sw. Pour desraisons de scurit, il nest pas ncessaire de partager ce rpertoire.

    3.7.2 Partage de OmniVista 4760_ARCJusqu' la version OmniVista 4760 R4.0, le rpertoire 4760_ARC\accounting est partagpour les besoins des oprations de restauration de tickets de taxation. Le partage est ralis

    ??????????? ??????????? ???? ???? ?? ????????????? ??????? ????????

    ???????????? ? ????? ? ???????? ???? ? ????? ?? ???????? 3-27

  • par le programme dinstallation du serveur OmniVista 4760 avec le nom de partage Accounting et le droit lecture pour tous les utilisateurs . partir de la version OmniVista 4760 R4.1, ce partage ntant plus ncessaire pour lesoprations de restauration de tickets, il nest plus effectu par le programme dinstallation.

    3.7.3 Autres partagesPour toutes les oprations de maintenance (sauvegarde/restauration de l'OmniVista 4760,sauvegarde/restauration et mise jour logicielle du PCX), darchivage, de restauration et decollecte de fichiers de taxation, et dexportation de rapports, le serveur OmniVista 4760 pourrautiliser des ressources rseau. La configuration des partages rseau et de lutilisation decomptes donnant accs ces partages doit tre ralise aprs linstallation du serveurOmniVista 4760 en suivant les procdures dcrites la section Gestion de comptes Windowsutiliss par le serveur OmniVista 4760 .

    3.8 Envoi de message lectronique (e-mails)L'OmniVista 4760 peut envoyer des alarmes, des rapports ou une notification de surveillancedes fichiers taxation vers un serveur de messagerie lectronique. Pour cela, il faut indiquer lenom (ou ladresse IP) du serveur de messagerie utiliser pour ces envois. Il nest pasncessaire pour lenvoi de messages lectroniques daccorder aux services OmniVista 4760des droits pour lutilisation de comptes spcifiques.

    Chapitre 3 ??????????? ??????????? ???? ???? ?? ???????????????????? ????????

    3-28 ???????????? ? ????? ? ???????? ???? ? ????? ?? ????????

  • Objectif : ce chapitre rpertorie les ports et protocoles utiliss en cas de gestion dunAlcatel-Lucent OmniPCX Enterprise Communication Server par un serveur OmniVista 4760.Ceci doit tre pris en compte lors du dploiement de l'OmniVista 4760 dans un environnementrseau scuris, cest--dire contenant des lments de scurisation (pare-feu, DMZ, etc.).

    4.1 Trafic IP sur serveur OmniVista 4760Note 1 :Par dfaut, la scurit IPsec nest pas active entre le serveur OmniVista 4760 et un client OmniVista4760. En cas d'utilisation de clients OmniVista 4760 distants, il est recommand d'activer la scuritIPsec.

    La liste des services et ports utiliss par le serveur OmniVista 4760 figure dans le tableauci-aprs.

    tableau 4.1 : Services sur le serveur OmniVista 4760Nom Type Protocole Numro de

    portScurit Clients dis-

    tantsHTTP Server HTTP TCP 80 Non Client 4760,

    Client an-nuaire 4760,4059 (2)

    LDAP Server LDAP TCP 389 IPSec Client 4760,4059, Dbor-dement an-nuaire PCX(1), Rplica-tion LDAP,Autres clientsLDAP

    Serveur LDAP LDAP (surSSL)

    TCP 636 SSL Client 4760,4059, Dbor-dement an-nuaire PCX,Autres clientsLDAP

    LDAP admi-nistration Ser-ver

    HTTP TCP 30010 IPSec Consoledadministration SUN ONE

    DatabaseASA(SYBASE)

    ASA TCP 2638ASA TCP 30011 IPSec Client 4760

    Alarms Server GIIOP TCP 30012 IPSec Client 4760CMISD Server CMISE TCP 30001

    GIIOP TCP 30013 IPSec

    ????????

    ? ??????????? ??????????? ???????? ??? ????????????? ??????

    ???????????? ? ????? ? ???????? ???? ? ????? ?? ???????? 4-1

  • Nom Type Protocole Numro deport

    Scurit Clients dis-tants

    Serveur decommunica-tion

    GIIOP TCP 30014 IPSec Client 4760

    Serveur decommunica-tion

    GIIOP TCP 30014 IPSec Client 4760

    ExecdEx Ser-ver

    GIIOP TCP 30015 IPSec Client 4760

    Extractor Ser-ver

    GIIOP TCP 30016 IPSec Client 4760

    GCS AdminServer

    GIIOP TCP 30017 IPSec Client 4760

    GCS Config GIIOP TCP 30018 IPSec Client 4760Server Li-cense Server

    GIIOP TCP 30019 IPSec Client 4760

    Loader Server GIIOP TCP 30020 IPSecNotificationServer

    GIIOP TCP 30022 IPSec Client 4760

    Save / Res-tore Server

    GIIOP TCP 30023 IPSec Client 4760

    SchedulerServer

    GIIOP TCP 30024 IPSec Client 4760

    Security Ser-ver

    GIIOP TCP 30025 IPSec Client 4760

    LDAP/PBXSynchroniza-tion server

    GIIOP TCP 30026 IPSec

    Audit Server GIIOP 30030 IP secTelnet Proxy TELNET TCP 30100

    30149IPSec Client 4760

    Chapitre 4 ??????????? ??????????? ???? ???? ??? ??????????????????? ?????????

    4-2 ???????????? ? ????? ? ???????? ???? ? ????? ?? ????????

  • Nom Type Protocole Numro deport

    Scurit Clients dis-tants

    FTP Proxy Control TCP 30021 IPSec Client 4760 /OMC- OmniPCX

    Office = R5.0)

    Client4760/Navigateur Internet Ac-cess Client4760

    SNMP Agent SNMP UDP 161 Non HyperviseurIPec ISAK UDP 500ACD Configu-ration

    FTP ACTIVE TCP 32000 Non Serveur 4760 /OMC(OmniPCX Of-fice < R5.0)

    HTTPS TCO 30028 SSL et IPSec Client 4760 /OMC(OmniPCX Of-fice > = R5.0)

    ACD Statistics HTTP / SOAP TCP 30028 IPSec Serveur 4760 /OMC(OmniPCX Of-fice < R5.0)

    HTTPS/SOAP TCP 30028 SSL et IPSec Client 4760 /OMC(OmniPCX Of-fice > = R5.0)

    OTS HTTP / SOAP TCP 30028 IPSec Serveur 4760 /OMC

    Notificationdes alarmesurgentes Om-niPCX Office

    HTTP TCP 30029 Non Serveur 4760 /OmniPCX Of-fice > = R5.0en connectivi-t IP

    Apache HTTP / SOAP TCP 8080 Non quipementsSIP

    Apache HTTPS/SOAP TCP 8443 SSL Client 4760 -Sip Manager,WBM Client

    (1) : non compatible avec IP sec (systme dexploitation LINUX sur PCX).(2) : le client d'annuaire Web 4059 prend en compte seulement le numro de port 80 (nonmodifiable).Note 2 :

    - CORBA sappuie sur le protocole GIIOP- Les numros de port en gras (30020, par exemple) peuvent tre modifis dans le rpertoire

    systme, aprs l'installation du serveur OmniVista 4760. Conserver la taille des plages de numrosde port, ne pas utiliser de ports connus. Si la connexion IP sec est active, la configuration IP sec ne

    Chapitre 4 ??????????? ??????????? ???? ???? ??? ??????????????????? ?????????

    4-4 ???????????? ? ????? ? ???????? ???? ? ????? ?? ????????

  • tient pas compte des ports modifis. En cas de modification du numro de port par dfaut, excuter4760>bin>IpsecUpdate.exe. Pour plus dinformations, contacter les services professionnelsdAlcatel-Lucent.

    La liste ci-dessous rpertorie les services et ports utiliss par le serveur OmniVista 4760 eninterne. Ces services ne doivent pas tre accessibles depuis l'extrieur du serveur OmniVista4760.

    tableau 4.2 : Services internes sur le serveur OmniVista 4760Nom Type Protocole Numro de

    portScurit Clients dis-

    tantsPMS RMI TCP 9757 Non API de PMS et

    notification degestion

    FlexLM Propritaire TCP 27000 Cod LicencesFlexLM-Dea-mon

    Propritaire TCP Ngociationdynamiquesur 27000 cnxou fixe dans lefichier de li-cence (ligneVENDEUR)

    Cod Licences(dmon Alca-tel)

    UDAS RMI TCP 9758 Non API de UDASet notificationde gestion

    FWK RMI TCP 9754 Non Liaison auxapplications

    EVS RMI TCP 9760 Non NotificationSybase TCP 2638 Accs la

    base de don-nes

    LDAP Server LDAP TCP 8389 Non Accs labase de don-nes

    ACAPI CORBA TCP 8389 Non Accs lagestion OXE

    DTA RMI TCP 5009 Non Accs lagestion

    DTA RMI TCP 4445 Non Alarmes - RMITomcat TCP 10005 Non Port de main-

    tenance (arrt)Tomcat AJPv13 TCP 10009 Non Connexion

    Apache pourrequted'application

    UMF JNDI TCP 16400 Non Port JNDIUMF JMS TCP 16010 Non JMSUMF Propritaire TCP 55002 Non Dbogage

    ??????????? ??????????? ???? ???? ??? ????????????? ?????? ?????????

    ???????????? ? ????? ? ???????? ???? ? ????? ?? ???????? 4-5

  • UMF Propritaire TCP 44323 - 44552 Ports de notifi-cation

    4.2 Trafic IP sur client OmniVista 4760La liste des services et ports utiliss par le client OmniVista 4760 figure dans le tableauci-aprs.

    tableau 4.3 : Services sur le nom de client OmniVista 4760Type Protocole Numro de

    portScurit Note

    CORBA R-ceptions desnotificationsalarmes

    GIIOP TCP 30500 30509

    IPSec

    OMC- Statusof communi-cation socket

    HTTP TCP 30510 30529

    IPSec

    OMC - FTPdata sockets

    Donnes TCP 1024 5000

    IPSec ISAKMP UDP 500 IPSec Client 4760

    Note :

    - Par dfaut, la scurit IPsec n'est pas active entre le serveur OmniVista 4760 et un client OmniV-ista 4760.

    - Les numros de port en caractres gras sont modifiables dans le fichier runnmc.bat, aprs installa-tion du client OmniVista 4760.

    - Sur le poste client, vous devez autoriser les connexions entrantes via le port Corba 30500 - 30509.Si cela nest pas fait, lapplication dalarmes sera vide et il ny aura pas de notification dalarme. Laconfiguration du PCX choue aprs le chargement du MIB local : impossible de configurer la notifica-tion au client.

    4.3 T