Modifications entre les versions 1 et 2
Version 1 à la date du 2010-01-19 04:19:16
Taille: 3983
Éditeur: JeanChristopheAndré
Commentaire:
Version 2 à la date du 2010-01-19 04:29:33
Taille: 4262
Éditeur: JeanChristopheAndré
Commentaire: + chiffrement du dossier personnel
Texte supprimé. Texte ajouté.
Ligne 13: Ligne 13:
  * l'autorisation d'accès se fait via un certificat SSL personnel installé dans le profil personnel de l'utilisateur, il n'est pas donc lié à la machine mais à l'utilisateur ; l'accès à la machine peut donc être partagé mais _obligatoirement_ en utilisant des comptes utilisateurs différents ;   * l'autorisation d'accès se fait via un certificat SSL personnel installé dans le profil personnel de l'utilisateur, il n'est pas donc lié à la machine mais à l'utilisateur ; l'accès à la machine peut donc être partagé mais __obligatoirement__ en utilisant des comptes utilisateurs différents ;
Ligne 15: Ligne 15:
 * La technique de mise en place de ce type de connexion (OpenVPN) a été présentée lors du [[ZAP/RéFormaTAP812|séminaire RéFormaTAP812 à HCMV]] ; notre collègue Đoàn Mạnh Hà au BAP avait fait un petit guide pratique sur [[DoanManhHa|sa page personnelle]] (section « CA »).  * La technique de mise en place de ce type de connexion ([[OpenVPN]]) a été présentée lors du [[ZAP/RéFormaTAP812|séminaire RéFormaTAP812 à HCMV]] ; notre collègue Đoàn Mạnh Hà au BAP avait fait un petit guide pratique sur [[DoanManhHa|sa page personnelle]] (section « CA »).
Ligne 19: Ligne 19:
 * En même temps, les dernières versions de Ubuntu permettent de chiffrer le répertoire personnel de l'utilisateur. Ce serait une assez bonne solution, à condition que le personnel AuF fasse bien attention à ne pas communiquer son mot de passe de session, bien sûr.

Cette page donne les principes à suivre pour la connexion au RPV d'un personnel AuF hors implantation.

Cas de la documentaliste au CNF de Port Vila

Reprise des éléments essentiels des courriels échangés à ce sujet :

  • La documentaliste au CNF de Port Vila va bientôt être détachée sur le campus partenaire de Luganville.

Connexion RPV

  • Seuls les employés AuF (liés sous contrat) ont accès au RPV (et donc à l'Intranet).
  • L'accès RPV est possible dans les conditions suivantes :
    • l'accès ne peut se faire que depuis un poste sous GNU/Linux (Ubuntu ou Debian), via une connexion Internet non filtrée (il faut au moins ouvrir 1194/tcp et 1194/udp) ;
    • l'accès est nominatif et les connexions sont surveillées (un minimum, pas d'espionage de l'utilisation détaillée, mais on surveille les heures de connexions et les erreurs) ;

    • l'autorisation d'accès se fait via un certificat SSL personnel installé dans le profil personnel de l'utilisateur, il n'est pas donc lié à la machine mais à l'utilisateur ; l'accès à la machine peut donc être partagé mais obligatoirement en utilisant des comptes utilisateurs différents ;

    • l'accès est strictement personnel et ne doit pas être transmis ou même prêté à quelqu'un d'autre, en d'autres termes : il faut quitter ou verrouiller sa session quand on s'éloigne de son poste et interdiction de prêter sa session, même 5 minutes...

  • La technique de mise en place de ce type de connexion (OpenVPN) a été présentée lors du séminaire RéFormaTAP812 à HCMV ; notre collègue Đoàn Mạnh Hà au BAP avait fait un petit guide pratique sur sa page personnelle (section « CA »).

Machine partagée

  • Il faut éviter autant que possible le partage d'une machine entre personnel AuF et personnes externes, d'autant plus si la machine doit être utilisée sans surveillance. Car, avec un accès physique à une machine, il est toujours possible d'en retirer n'importe quel fichier du disque dur local (plus ou moins difficilement, mais on peut toujours y arriver).
  • En même temps, les dernières versions de Ubuntu permettent de chiffrer le répertoire personnel de l'utilisateur. Ce serait une assez bonne solution, à condition que le personnel AuF fasse bien attention à ne pas communiquer son mot de passe de session, bien sûr.

Accès aux courriels

  • Quand on dispose d'un compte personnel (sur un poste personnel ou non) on peut utiliser Thunderbird plutôt qu'un webmail. Il s'agira dans ce cas de configurer Thunderbird comme sur un poste portable, de façon à ce qu'il supporte le mode déconnecté (offline) pour prévoir une éventuelle coupure réseau au CNF de Port-Vila. Ce n'est pas compliqué, juste quelques cases à cocher dans les préférences.

Intervention à distance

Selon mon expérience, il vaut mieux en faire le maximum sur place car à distance la durée des interventions est toujours augmentée, souvent multipliée par 2, voir par 10, suivant la nature du problème et l'expérience de la personne en face (sur place).

Dans tous les cas, il serait effectivement bon de configurer le réseau pour permettre ce type d'intervention.

Cela veut dire :

  • configurer le modem (ou un serveur local) pour donner des adresses IP fixes aux machines (toujours via DHCP) ;
  • configurer le modem pour re-transmettre un port choisit (= DNAT ou PAT), par exemple 1022/TCP (éviter le port 22 lui-même, trop souvent attaqué), vers le port 22/TCP (SSH) du serveur local ;

  • configurer le modem pour re-transmettre certains ports (= DNAT ou PAT), par exemple 5901/TCP, 5902/TCP, ... vers le port 5900/TCP (VNC) de chaque adresse de machine derrière, par exemple 192.168.1.51, 192.168.1.52, ... => cela permettra d'intervenir à distance via VNC sur chaque machine locale (ce qui présuppose une liaison Internet suffisamment rapide) ;

  • autant que possible, configurer le modem pour n'autoriser ces accès que depuis le réseau du CNF de Port Vila (=> filtrage sur une source de connexion en 202.80.47.120/29) ;

  • penser bien sûr à mettre un mot de passe sur l'accès VNC (ce n'est pas le cas par défaut).

ZAP/ConnexionPersonnelHorsImplanation (dernière édition le 2010-01-19 04:29:33 par JeanChristopheAndré)