Cette page donne les principes à suivre pour la connexion au RPV d'un personnel AuF hors implantation. == Cas de la documentaliste au CNF de Port Vila == Reprise des éléments essentiels des courriels échangés à ce sujet : * La documentaliste au CNF de Port Vila va bientôt être détachée sur le campus partenaire de Luganville. === Connexion RPV === * Seuls les employés AuF (liés sous contrat) ont accès au RPV (et donc à l'Intranet). * L'accès RPV est possible dans les conditions suivantes : * l'accès ne peut se faire que depuis un poste sous GNU/Linux (Ubuntu ou Debian), via une connexion Internet non filtrée (il faut au moins ouvrir 1194/tcp et 1194/udp) ; * l'accès est nominatif et les connexions sont surveillées (un minimum, pas d'espionage de l'utilisation détaillée, mais on surveille les heures de connexions et les erreurs) ; * l'autorisation d'accès se fait via un certificat SSL personnel installé dans le profil personnel de l'utilisateur, il n'est pas donc lié à la machine mais à l'utilisateur ; l'accès à la machine peut donc être partagé mais __obligatoirement__ en utilisant des comptes utilisateurs différents ; * l'accès est strictement personnel et ne doit pas être transmis ou même prêté à quelqu'un d'autre, en d'autres termes : il faut quitter ou verrouiller sa session quand on s'éloigne de son poste et interdiction de prêter sa session, même 5 minutes... * La technique de mise en place de ce type de connexion ([[OpenVPN]]) a été présentée lors du [[ZAP/RéFormaTAP812|séminaire RéFormaTAP812 à HCMV]] ; notre collègue Đoàn Mạnh Hà au BAP avait fait un petit guide pratique sur [[DoanManhHa|sa page personnelle]] (section « CA »). === Machine partagée === * Il faut éviter autant que possible le partage d'une machine entre personnel AuF et personnes externes, d'autant plus si la machine doit être utilisée sans surveillance. Car, avec un accès physique à une machine, il est toujours possible d'en retirer n'importe quel fichier du disque dur local (plus ou moins difficilement, mais on peut toujours y arriver). * En même temps, les dernières versions de Ubuntu permettent de chiffrer le répertoire personnel de l'utilisateur. Ce serait une assez bonne solution, à condition que le personnel AuF fasse bien attention à ne pas communiquer son mot de passe de session, bien sûr. === Accès aux courriels === * Quand on dispose d'un compte personnel (sur un poste personnel ou non) on peut utiliser Thunderbird plutôt qu'un webmail. Il s'agira dans ce cas de configurer Thunderbird comme sur un poste portable, de façon à ce qu'il supporte le mode déconnecté (offline) pour prévoir une éventuelle coupure réseau au CNF de Port-Vila. Ce n'est pas compliqué, juste quelques cases à cocher dans les préférences. === Intervention à distance === Selon [[ProgFou|mon]] expérience, il vaut mieux en faire le maximum sur place car à distance la durée des interventions est toujours augmentée, souvent multipliée par 2, voir par 10, suivant la nature du problème et l'expérience de la personne en face (sur place). Dans tous les cas, il serait effectivement bon de configurer le réseau pour permettre ce type d'intervention. Cela veut dire : * configurer le modem (ou un serveur local) pour donner des adresses IP fixes aux machines (toujours via DHCP) ; * configurer le modem pour re-transmettre un port choisit (= DNAT ou PAT), par exemple 1022/TCP (éviter le port 22 lui-même, trop souvent attaqué), vers le port 22/TCP (SSH) du serveur local ; * configurer le modem pour re-transmettre certains ports (= DNAT ou PAT), par exemple 5901/TCP, 5902/TCP, ... vers le port 5900/TCP (VNC) de chaque adresse de machine derrière, par exemple 192.168.1.51, 192.168.1.52, ... => cela permettra d'intervenir à distance via VNC sur chaque machine locale (ce qui présuppose une liaison Internet suffisamment rapide) ; * autant que possible, configurer le modem pour n'autoriser ces accès que depuis le réseau du CNF de Port Vila (=> filtrage sur une source de connexion en 202.80.47.120/29) ; * penser bien sûr à mettre un mot de passe sur l'accès VNC (ce n'est pas le cas par défaut).