docJD/NC-95/4 ABS - PABX-fr
download 
Plainte Transcription
JD/NC-95/4 ABS - PABX-fr
COMMUNICATION TECHNIQUE N° TCV042 Ed. 01 OmniVista 4760 Nb de pages : 9 Date : 02-07-2004 URGENTE NON URGENTE TEMPORAIRE DEFINITIVE OBJET : SÉCURITÉ D'ACCÈS ET AFFICHAGE ANNUAIRE OmniVista 4760 Cette communication technique concerne la confidentialité des entrées annuaires et postes et de leur attributs. 1 OmniVista 4760 SÉCURITÉ D'ACCÈS ET AFFICHAGE ANNUAIRE OmniVista 4760 SOMMAIRE 1. DESCRIPTION ..............................................................................3 2. CONFIDENTIALITÉ DES ENTRÉES ANNUAIRES .............................3 2.1. Interface utilisateur................................................................................... 3 2.2. Administration par le serveur 4760 .......................................................... 4 2.2.1. Gestion de l’interface utilisateur .......................................................................4 2.2.2. Gestion des entrées accessibles ........................................................................5 2.3. 3. Administration des ACI du serveur LDAP .................................................. 6 2.3.1. Descriptions des ACI .........................................................................................6 2.3.2. Gestion des ACI ................................................................................................6 CONFIDENTIALITÉ DES ENTRÉES POSTES ....................................7 3.1. Interface utilisateur................................................................................... 7 3.2. Gestion de l’interface utilisateur ............................................................... 7 3.3. Gestion de l’attribut "PINNumber" ............................................................ 8 Ed. 01 / 02-07-2004 1 TCV042 OmniVista 4760 SÉCURITÉ D'ACCÈS ET AFFICHAGE ANNUAIRE OmniVista 4760 TCV042 2 Ed. 01 / 02-07-2004 OmniVista 4760 SÉCURITÉ D'ACCÈS ET AFFICHAGE ANNUAIRE OmniVista 4760 1. DESCRIPTION Cette communication technique concerne la confidentialité des entrées annuaires et postes et de leur attributs. Pour la définition, la mise en œuvre et le déploiement de configuration complexe, faire appel aux services Professionnels à l’adresse [email protected] . Méthodologie Lorsqu’une personnalisation est effectuée sur le serveur, il est nécessaire de : 1 effectuer une sauvegarde préalable du serveur OmniVista 4760, 2 documenter cette personnalisation, 3 déposer une copie de cette documentation sous le répertoire 4760\Data\Scheduler\ServicePro du PC serveur. La documentation sera accessible via un navigateur Web on par l’URL http://localhost//nmcscheduler/ Lors des mises à jours de version, la personnalisation peut être écrasée. Il faudra donc reprendre le document de personnalisation et effectuer à nouveau les modifications dans le nouveau contexte de version OmniVista 4760. 2. CONFIDENTIALITÉ DES ENTRÉES ANNUAIRES 2.1. Interface utilisateur Le serveur 4760 permet l’accès à des données de type annuaire via son interface Web. − Sur votre navigateur Web lancer l’URL http://<nom du serveur 4760> . − Cliquer sur Consultation Annuaire. − Effectuer une recherche d’entrée annuaire. Si la recherche présente une grille avec plusieurs entrées, sélectionner une entrée pour visualiser le détail d’une entrée annuaire. − Dans la fenêtre de détails, une icône en forme de loupe permet de visualiser plus d’attributs. Pour accéder au mode modification ou visualiser des données privées, il faut s’authentifier au moyen de l’icône Authentification. L’authentification est valable jusqu’à ce que les fenêtres du navigateur Web soient toutes fermées. Il es possible de modifier la présentation graphique de l’annuaire Web et de gérer la confidentialité des entrées annuaires et de leur attributs. Ed. 01 / 02-07-2004 3 TCV042 OmniVista 4760 SÉCURITÉ D'ACCÈS ET AFFICHAGE ANNUAIRE OmniVista 4760 2.2. Administration par le serveur 4760 L’accès aux entrées annuaires et à leur attributs est soumis à des règles de confidentialité définis au niveau du serveur LDAP. Ces règles sont appelées "Instruction de Contrôle d’Accès" (ACI). La gestion du serveur 4760 permet : − de modifier la présentation graphique de l’interface utilisateur, − d’exploiter les ACI définies par défaut. Pour une gestion personnalisée, il faut accéder à la console du serveur LDAP pour modifier les ACI (exemple, pour rendre Privé le champ Mobile). 2.2.1. Gestion de l’interface utilisateur Cette personnalisation est décrite dans la documentation utilisateur 3BH19260 Section 2 Annuaire Chapitre 8 Annuaire HTML Configuration. La personnalisation de l’interface concerne : − Les images utilisées dans la page HTML. − Les champs : − • affichés dans la présentation des entrées annuaires sous forme de grille, • imprimés après une sélection d'une grille, • affichés dans la présentation des entrées annuaires sous forme de fiche, • éditables d’une entrée annuaire. Le nombre d’entrées : • présentées dans une grille, • retournées suite à une recherche annuaire. La présentation graphique de l’interface annuaire Web est unique et s’applique à tous les utilisateurs. Si l’utilisateur n’a pas accès à un champ, le label du champ sera visible mais la valeur du champ sera masquée. Le choix des paramètres affichés n’apporte pas de confidentialité sur les champs non présentés. Au niveau de chaque entrée, l’icône en forme de Loupe permet d’accéder à tous les attributs. Pour personnaliser l'interface : − lancer la gestion 4760, − ouvrir le module Annuaire, − au niveau de l’onglet Système , se placer sous nmc\NmcConfiguration\GlobalPreferences\DirectoryClient\DetailAttributes − modifier les paramètres, − rafraîchir la page Web de consultation annuaire. Note Cette personnalisation est mise en cache sous le répertoire 4760\WebClient\Preference\ . En cas de restauration d’une version ou de mise à jour, effacer le contenu de ce répertoire pour TCV042 4 Ed. 01 / 02-07-2004 OmniVista 4760 SÉCURITÉ D'ACCÈS ET AFFICHAGE ANNUAIRE OmniVista 4760 réinitialiser le cache. La prochaine connexion par un client annuaire recrée ce cache automatiquement. 2.2.2. Gestion des entrées accessibles L’accès aux entrées annuaires est contrôlé pour chaque entrée par : − son attribut de Confidentialité (Vert, Orange, Rouge et Administration 4760), − ses attributs privés/public, − le mode d’accès : lecture seule ou lecture + modification. Un accès anonyme permet de lancer l’annuaire Web et de lire les attributs publics de toutes les entrées de confidentialité Non renseigné et Vert. Pour accéder aux autres types d’entrées annuaires, aux attributs privés et à la modification des entrées, il faut une authentification (login et mot de passe) et l’attribution d'un droit dans l’annuaire 4760. Exemple : pour attribuer le droit de consultation partielle à la liste orange : − lancer la gestion 4760, − ouvrir le module Annuaire, − créer une nouvelle entrée pour servir de login, de préférence sous la branche annuaire <Nom de l’entreprise>\Administration\Administrateur , − attribuer un mot de passe à cette entrée, − sélectionner le groupe Consultation partielle liste orange sous la branche annuaire <Nom de l’entreprise>\Administration\Groupes\ • éditer l’attribut membre, • ajouter le login défini ci-dessus, La documentation utilisateur 3BH 19260 Section10 Sécurité présente les groupes prédéfinis et leurs droits associés. Une gestion équivalente au groupe prédéfini de l’annuaire entreprise consiste à utiliser les niveaux d’accès prédéfinis de l’annuaire. − lancer le menu Sécurité Annuaire du 4760 : • constater que le groupe Consultation partielle liste orange possède déjà le niveau d’accès Consult. partielle liste orange, • ajouter le login défini ci-dessus, • modifier le niveau d’accès pour Consult. partielle liste orange. Note Quelle que soit la méthode, l’attribution d’un droit annuaire permet également de lancer le client d’administration Annuaire. Ed. 01 / 02-07-2004 5 TCV042 OmniVista 4760 SÉCURITÉ D'ACCÈS ET AFFICHAGE ANNUAIRE OmniVista 4760 2.3. 2.3.1. Administration des ACI du serveur LDAP Descriptions des ACI Les instructions de contrôle d’accès (ACI) du serveur LDAP sont définies au niveau d’une branche de l’annuaire. Elle comporte les éléments suivants : Eléments ACI Name User/Groups Right Target Target Syntaxe Syntaxe Champ ACI ACI Userdn Allow targetattr targetfilter != || Explication Nom de la règle Liste des logins et groupe pouvant exploiter la règle Droits apportés par la règle : lecture écriture, ... Attributs qui seront visibles Critère pour rechercher les entrées annuaires qui seront visibles Différent de ... Ou logique... La règle "Anonymous1" définit la consultation anonyme c'est-à-dire lecture seule pour les champs publics des entrées annuaires non confidentielles. (targetattr != "homePhone || homePostalAddress || carLicense || employeeNumber || costcenterName || userPassword") (targetfilter != (|(cl=CL_O)(cl=CL_R)(cl=CL_A))) (version 3.0; ACI "Anonymous 1"; allow (read,compare,search) (userdn = "ldap:///anyone") ;) 2.3.2. Gestion des ACI Nous allons modifier la règle "Anonymous1" pour interdire l’accès au champ Mobile en consultation anonyme. − − Lancer la console d’administration du serveur LDAP. • login cn=directory manager • password celui saisi à l’installation du 4760 Ouvrir l’arborescence jusqu’à Directory server 4760 et cliquer sur Open. Au niveau de l'onglet Directory, dans l’arbre se placer sur l’entrée o=’Nom de la racine Annuaire entreprise’ Les règles d’accès sont indiquées (exemple 13 acis). − − Afficher l’éditeur des règles d’accès pour la règle Anonyme. Par le menu Objet \ Set Access Permission : • sélectionner la règle Anonymous1 • cliquer sur le bouton Edit. En édition manuelle, pour rendre Mobile non visible • TCV042 insérer Mobile || après TargetAttr != pour obtenir TargetAttr != Mobile || HomePhone .... 6 Ed. 01 / 02-07-2004 OmniVista 4760 SÉCURITÉ D'ACCÈS ET AFFICHAGE ANNUAIRE OmniVista 4760 • − valider la modification par OK . Tester votre modification en login anonyme (c'est-à-dire non logué). Via le Web, effectuer une recherche d’entrée annuaire. Sur la fiche, la valeur du champ Mobile ne s’affiche plus. 3. CONFIDENTIALITÉ DES ENTRÉES POSTES 3.1. Interface utilisateur Depuis la version OmniVista 4760 2.1.13, les paramètres techniques des postes téléphoniques sont accessibles (y compris le champ Numéro de PIN). − Lancer une consultation annuaire Web. − Afficher le détail d’une entrée annuaire. − Dans la fenêtre de Détails, une icône en forme de loupe permet de visualiser plus d’attributs. − Si l’entrée possède un poste principal ou secondaire, ceux ci seront affichés sous forme d’hyperlien Web avec comme libellé le nom du poste. − Un clic sur l’hyperlien donne l’ensemble des attributs de l’entrée poste situé dans l’annuaire système. Cette fonction peut être supprimée complètement. Cas particulier du champ PINNumber. • Ce champ sera géré comme privé à partir de la version OmniVista 4760 2.1.16. • Dans les versions OmniVista 4760 2.1.13 , 2.1.14 et 2.1.15, il faut modifier l’ACI ou supprimer la fonction. 3.2. Gestion de l’interface utilisateur Pour autoriser ou non cette fonction : − lancer la gestion 4760, − ouvrir le module Annuaire, − − au niveau de l’onglet Système , se placer sous nmc\NmcConfiguration\GlobalPreferences\DirectoryClient\DetailAttributes \ViewDumpArea\ListArea effacer le contenu du champ linkAttribute • double cliquer sur la valeur A4400PrimarySet, • effectuer un clic droit sur la valeur A4400PrimarySet et supprimer cette valeur, • double cliquer sur la valeur A4400SecondarySet, • effectuer un clic droit sur la valeur A4400SecondarySet et supprimer cette valeur. Ed. 01 / 02-07-2004 7 TCV042 OmniVista 4760 SÉCURITÉ D'ACCÈS ET AFFICHAGE ANNUAIRE OmniVista 4760 3.3. Gestion de l’attribut "PINNumber" ATTENTION Cette modification n’est autorisée que pour le champ PINNumber et pour les versions OmniVista 4760 2.1.13, 2.1.14 et 2.1.15. Les autres champs d’un poste téléphonique sont utilisés par les modules internes de l'OmniVista 4760 et ne doivent pas être modifiés. Pour interdire l’accès anonyme au champ PinNumber : − − lancer la console d’administration du serveur LDAP • login cn=directory manager • password celui saisi à l’installation du 4760 Ouvrir l’arborescence jusqu’à Directory server 4760 et cliquer sur Open. Au niveau de l'onglet Directory, dans l’arbre se placer sur l’entrée o=NMC Les règles d’accès sont indiquées (exemple 12 acis). − − − Afficher l’éditeur des règles d’accès pour la règle Anonyme : Par le menu Objet \ Set Access Permission : • sélectionner la règle Anonymous Read-Search Access • cliquer sur le bouton Edit En édition manuelle : • insérer || PinNumber après TargetAttr != pour obtenir TargetAttr != PinNumber || userPassword || CMISDPassWord .... • Valider la modification par OK . Tester votre modification en login anonyme (c’est-à-dire non logué). Via le Web, effectuer une recherche d’entrée annuaire. Sur la fiche, cliquer sur l’icône Loupe pour voir tous les attributs. Cliquer sur le lien correspondant au Poste Principal. Le champ Numéro de Pin ne s’affiche plus. TCV042 8 Ed. 01 / 02-07-2004
