Rubrique précédente: Scénarios de déploiement ENCRubrique suivante: Scénario de déploiement ENC - La succursale

Connectivité du réseau étendu (ENC)Scénarios de déploiement ENCScénario de déploiement ENC - Le schéma pilote

Scénario de déploiement ENC - Le schéma pilote

Ce scénario est censé être le premier qu'une organisation déploie et est destiné à fournir une expérience de la manière dont le système fonctionne. Il sert également d'exemple unique pour faciliter la compréhension de la passerelle ENC.

Ce scénario se base simplement sur trois ordinateurs, les deux premiers étant des ordinateurs d'agent placés derrière des pare-feux personnels Windows et le troisième étant un serveur de passerelle ENC qui fournit la connectivité.

L'illustration suivante présente la configuration du scénario du schéma pilote :

Illustration présentant la configuration réseau dans un scénario de déploiement ENC très simple

Dans ce scénario, l'ordinateur A exécute un hôte Remote Control, l'ordinateur B exécute une visionneuse Remote Control et l'ordinateur C exécute un serveur de passerelle ENC. L'ordinateur B ne peut pas se connecter à l'ordinateur A car il se trouve derrière un pare-feu. Tous les ordinateurs exécutent des clients ENC connectés au serveur de passerelle ENC sur l'ordinateur C. C'est ce dernier qui fournit la connectivité à partir des ordinateurs B et A. La configuration n'est pas gérée par un gestionnaire de domaine car nous voulons un scénario aussi simple que possible.

Pour configurer un petit réseau de passerelle ENC, suivez les étapes ci-dessous :

Sur l'ordinateur A :

  1. Activez le pare-feu Windows.
  2. Lancez une installation personnalisée de Client Automation. Sélectionnez "Remote Control" et "Agent".
  3. Lorsque le programme d'installation vous demande l'adresse du serveur de modularité, acceptez la valeur par défaut prédéfinie. Lorsque le programme d'installation vous demande de confirmer (du fait qu'il n'y a pas de serveur), cliquez sur Oui. Une installation non gérée peut ainsi fonctionner.
  4. Cliquez sur "Client ENC" pour commencer à configurer le client. Entrez l'adresse de l'ordinateur C pour l'adresse du serveur du client.
  5. Cliquez sur Remote Control et sélectionnez uniquement "Installer la fonctionnalité Hôte".
  6. Une fois l'installation terminée, ne démarrez pas Client Automation, mais exécutez les commandes suivantes : 
    ccnfcmda -cmd setparametervalue -ps itrm/rc/host/managed -pn centralizedsecurity -v 0

    ccnfcmda -cmd setparametervalue -ps itrm/rc/host/managed -pn standalone -v 1
  7. Démarrez Client Automation à l'aide de la commande "caf start".

Sur l'ordinateur B :

  1. Activez le pare-feu Windows.
  2. Lancez une installation personnalisée. Sélectionnez "Remote Control" et "Visionneuse".
  3. Aucune spécification de serveur de modularité (procédez comme sur l'ordinateur A).
  4. Configurez un client ENC de la même manière que sur l'ordinateur A.
  5. Cliquez sur Remote Control et sélectionnez uniquement "Installer la fonctionnalité Visionneuse".
  6. Une fois l'installation terminée, ne démarrez pas Client Automation, mais exécutez les commandes suivantes : 
    ccnfcmda -cmd setparametervalue -ps itrm/rc/viewer/managed -pn managedmode -v 0
  7. Démarrez Client Automation à l'aide de la commande "caf start".

Sur l'ordinateur C :

  1. Vérifiez que le pare-feu Windows est désactivé.
  2. Lancez une installation personnalisée. Effacez tous les produits. Dans la boîte de dialogue d'installation personnalisée, décochez tous les éléments sauf "Passerelle ENC" et "Agent".
  3. Aucune spécification de serveur de modularité (procédez comme sur les ordinateurs A et C).
  4. Sur la boîte de dialogue de configuration de la passerelle ENC, sélectionnez les trois rôles : gestionnaire, serveur et routeur.
  5. Ne démarrez pas encore Client Automation sur cet ordinateur. La sécurité pour le serveur de passerelle n'est pas encore configurée et rejettera toutes les connexions des clients. Pour configurer la sécurité ENC, nous pouvons créer un fichier texte contenant une règle qui permet à tout le monde de se connecter. Le fichier est ensuite importé dans le magasin commun pour que le serveur y effectue sa sélection.

    Important : Notez que ceci n'est qu'un exemple. Dans un environnement de production réel, vous n'utiliseriez jamais des règles qui autorisent un accès ouvert !

  6. Créez un fichier texte appelé defrules.txt et contenant le texte suivant : 
    [authz]
RulesVersion=5

    DOMAINE
{Name "ENC" Notes "Le domaine par défaut auquel tout le monde appartient"}
end

    TimeRange
{Name "all-days" enabled "1" Hours "00:00 - 00:00" Type "normal" Weekdays "sunday - saturday"}
end

    TimeACL
{Name "policy1" enabled "1" RuleType "allow" Events "AuthenticatedConnection ManagerRegisterServer ServerRegisterRouter ManagerRegisterRouter ServerRegisterAgent ManagerRegisterAgent ManagerNameLookup AgentConnect RouterAgentConnect ManagementAccess" TimeRange "all-days" SecPrincType "realm" SecPrinc "ENC" SecObj "ENC" SecObjType "realm"}
end

    URIMapping
{URI ".+" enabled "1" Type "pattern" Realm "ENC"}
end

    IPAddWhiteList
{IPAddress ".+" enabled "1" Type "pattern"}
end
  7. Importez ce fichier de règle à l'aide de la commande encUtilCmd, comme suit : 
    encUtilCmd import -i defrules.txt -fl

    Le serveur de passerelle ENC possède à présent une règle qui autorise toutes les connexions.

  8. Enfin, installez les certificats ENC sur tous les ordinateurs. Pour plus d'informations, consultez Configuration des services de certificats pour une utilisation par la passerelle ENC.

Pour tester le scénario, suivez les étapes ci-après :

  1. Sur les ordinateurs A et B, démarrez Client Automation à l'aide de la commande "caf start". Ne démarrez pas encore l'ordinateur C car nous voulons effectuer le test sans la fonctionnalité Passerelle ENC.
  2. Démarrez la boîte de dialogue de configuration de l'hôte en la sélectionnant dans la barre d'état système sur l'ordinateur A. Sélectionnez l'onglet Utilisateurs et assurez-vous que l'administrateur local est un utilisateur de Remote Control sur cet ordinateur.
  3. Sur l'ordinateur B, démarrez la visionneuse et essayez de vous connecter. Cela doit être bloqué par le pare-feu sur l'ordinateur A.
  4. Démarrez Client Automation sur l'ordinateur C. Au bout de quelques minutes, vérifiez que les clients ENC se sont enregistrés auprès du serveur de passerelle ENC à l'aide de la commande encclient status. Cette commande doit indiquer que le client s'est enregistré avec succès et est prêt.
  5. Répétez la tentative de connexion ; cela devrait à présent fonctionner. Toutes les données sont acheminées via l'ordinateur C. La commande "encclient status" doit indiquer qu'une connexion est en cours via l'ordinateur C.
  6. Vous pouvez adapter les règles en modifiant le fichier defrules.txt et en le réimportant, mais à l'aide de la commande encUtilCmd avec l'option -o afin de remplacer les règles existantes. Cela vous permet d'expérimenter les différentes règles d'autorisation afin de vous familiariser avec le système.

    Pour une description détaillée de la commande encUtilCmd et de toutes ses options, consultez le document Référence de la commande encUtilCmd que vous trouverez dans la bibliothèque CA, dans la catégorie Manuels de référence.