Proposition technique pour le paramétrage d

Transcription

Paramétrage d’un serveur
IIS Microsoft pour la
gestion des licences
Envision
Révision 1.0 - Décembre 2016
Auteur : [email protected]
Tél. : 01 69 86 95 46
Révision 01 – Paramétrage d’un serveur IIS de gestion des licences Envision
1 de 14
Sommaire
1.
Objet du document ........................................................................................................................................ 3
2.
Description du contexte économique de gestion des licences Envision ........................................................ 3
3.
Résumé fonctionnel ....................................................................................................................................... 3
3.
Hébergement du site Envision sur un serveur client ...................................................................................... 4
4.
Description technique de la solution proposée ............................................................................................. 4
5.
4.1
Pré requis................................................................................................................................. 4
4.2
La solution ............................................................................................................................... 4
Le paramétrage du serveur IIS ....................................................................................................................... 5
5.1
Création du site « Envision » par défaut. Le site doit être « Démarré »................................. 5
5.2
Paramètres SSL du site « Envision » ........................................................................................ 5
5.3
Création d’un pool d’application « Envision »......................................................................... 6
5.4
Paramétrage avancé du pool d’application............................................................................. 6
5.5
Création d’un certificat auto-signé avec une liaison sécurisée « https » ................................ 7
5.6
Paramétrage des numéros de port avec l’action « Liaisons » ................................................. 8
5.7
Authentification anonyme du site « Activé ».......................................................................... 9
6.
Le paramétrage du « Firewall » du serveur .................................................................................................. 10
7.
Installation du certificat sur le(s) poste(s) de contrôle du serveur. ............................................................. 10
7.1
Comment installer un certificat auto-signé sur IE8 en 20 étapes (en anglais) ...................... 10
8.
Mise à jour d’Envision .................................................................................................................................. 11
8.
Augmentation du nombre de licences ......................................................................................................... 12
9.
Conditions contractuelles de la solution ...................................................................................................... 12
9.1
Contrat................................................................................................................................... 12
9.2
Rapports de suivi des connexions ......................................................................................... 12
Annexe 01 ............................................................................................................................................................. 14
Rapport statistiques de connexions des licences Envision - CASE France............................................................. 14
2 de 14
1.
Objet du document
Ce document décrit l’installation et le paramétrage d’un serveur IIS sur un site client, pour la gestion
dynamique des jetons des licences Envision.
2. Description du contexte économique de gestion des
licences Envision
La société CASE France propose depuis 1989 en France des solutions de gestion de l’information
d’entreprise avec l’outil Envision™. Ses revenus reposent uniquement sur la commercialisation de
ces solutions construites avec le méta outil Envision. La bonne gestion de cet actif stratégique est
obligatoire pour assurer la pérennité de CASE France.
Afin de s’assurer que les logiciels achetés par nos clients sont utilisés conformément au contrat de
licence et dans le cadre de la lutte contre le piratage informatique, un système de contrôle
automatique de l’utilisation du produit a été mise en œuvre. Ce contrôle est vital pour notre
entreprise.
3.
Résumé fonctionnel
Le système de contrôle des licences est basé sur la notion de « licence flottante » ou « fixe » et de
« jetons de licence ». L’ensemble des contrôles s’effectuent dynamiquement depuis un site Web
installé par défaut sur un de nos serveurs. Toute licence installée sur une machine cliente (un PC),
crée une instance de la licence de base sur notre serveur de licence à travers le réseau Internet www.
Ceci a l’avantage d’être transparent pour le client et de supporter les postes nomades partout dans
le monde.
Avec le type « licence flottante », une licence de base peut être installée sur autant de machines que
nécessaire. Après chaque installation et uniquement lors de la première connexion, un
enregistrement d’une instance sur le serveur est nécessaire. Cet enregistrement est réalisé par une
demande d’Envision au serveur distant de licences, physiquement situé chez notre « provider », puis
en fonction du type et du nombre de licences Envision achetées, le système autorise ou non
l’ouverture d’une session en fournissant un jeton.
Il y a autant de jetons disponibles simultanément que de licences achetées, indépendamment du
nombre de machines installées. Cette gestion dynamique des jetons permet une optimisation de
l’utilisation des licences dans un environnement collaboratif.
Lors de la fermeture d’Envision par un utilisateur, une demande de restitution du jeton est effectuée,
libérant le jeton sur le serveur pour être éventuellement utilisé par d’autres utilisateurs. D’où
l’importance de fermer correctement Envision en fin de travail afin de ne pas bloquer inutilement
des jetons.
Lorsque que le quota de licence est atteint (lorsque tous les jetons sont utilisés simultanément), un
message explicite indique à l’utilisateur que le quota de licences est atteint et qu’il ne peut plus
ouvrir Envision sur cette machine. Un ou plusieurs utilisateurs devra (devrons) alors fermer leur
session Envision afin que d’autres puissent l’utiliser en récupérant les jetons ainsi libérés.
En fonctionnement normal, toutes ces opérations sont transparentes à l’utilisateur.
3 de 14
Aucune information confidentielle ni personnelle n’est transmise durant ces transactions ni
enregistrée dans la base de données.
Dans cette solution, les rapports de suivi de l’utilisation des licences Envision sont accessibles
uniquement par le personnel CASE France.
3.
Hébergement du site Envision sur un serveur client
Pour des raisons avérées de sécurité de l’information, l’hébergement du site Web Envision sur un
serveur client est possible, mais soumis à des conditions d’éligibilités. Aujourd’hui, seules les
entreprises intervenant directement dans les domaines militaires et/ou nucléaires sont éligibles à un
hébergement client. Dans tous les autres cas, l’hébergement se fait par défaut et de façon
transparente sur un serveur CASE France.
Cet hébergement est associé à un contrat spécifique qui définit précisément les conditions
d’utilisation du système. Voir chapitre 9 ci-dessous.
La solution autorise l’hébergement du « système/site » sur un serveur Microsoft IIS client, accessible
depuis les postes clients Envision, à travers le réseau interne de l’entreprise cliente.
Le « système » consiste principalement en un site intranet. Il permet la gestion des jetons en toute
sécurité sur un site local avec éventuellement une connexion sécurisée tout en respectant nos
exigences de contrôle.
4.
Description technique de la solution proposée
4.1
Pré requis
Un serveur IIS Microsoft doit être installé et « démarré » sur la machine (serveur) hôte.
Un site Envision hébergé sur ce serveur IIS doit être créé et accessible depuis les postes clients
Envision avec le protocole http ou https (sécurisé). Dans le cas d’une connexion sécurisée https, un
certificat auto-signé doit être produit. Voir chapitre 5.5 ci-dessous.
4.2
La solution
La solution consiste uniquement à publier un site sur un serveur IIS Microsoft avec Windows Server
2008/10+ R2. Elle comprend les éléments suivants:


Un site Web « Envision » composé d’un répertoire « Envision » fourni par CASE France, à
publier (copier) sur le serveur IIS dans : c:/inetpub/wwwroot/Envision, après création du site
« Envision » avec IIS.
Ce répertoire contient des fichiers et des sous répertoires.
Une base de données Access qui se trouve dans le sous répertoire
« c:/inetpub/wwwroot/Envision/fpdb», contient l’information de connexion.
Note : Il n’est pas nécessaire d’installer le logiciel « ACCESS » sur le serveur. Le système ADO utilisé
gère l’accès à la base en langage « ASP ».
Le nom du site : « Envision », des sous-répertoires et des fichiers ne sont pas modifiables.
4 de 14
5.
Le paramétrage du serveur IIS
Utilisation du « Gestionnaire des services Internet IIS » Microsoft. Lancement de l’outil depuis le
panneau de configuration « Système et sécurité/Outils d’administration ».
5.1 Création du site « Envision » par défaut. Le site doit être
« Démarré »
Le serveur IIS doit être paramétré pour définir le répertoire « Envision » comme site par défaut
(directement sous le répertoire « Site » comme ci-dessus).
5.2
Paramètres SSL du site « Envision »
Valeur par défaut : « Ignorer »
5 de 14
5.3
Création d’un pool d’application « Envision »
5.4
Paramétrage avancé du pool d’application
Sur une machine 64 bits, ce champ doit être « True »
6 de 14
5.5 Création d’un certificat auto-signé avec une liaison sécurisée
« https »
Ce certificat est nécessaire uniquement avec une liaison sécurisée « https »
Attention : Un certificat auto-signé est obligatoirement limité pour une durée de 1 an.
Il est nécessaire de produire un nouveau certificat tous les ans.
7 de 14
5.6
Paramétrage des numéros de port avec l’action « Liaisons »
Deux liaisons peuvent être définies simultanément avec des ports différents pour des connexions
https (443) ou http (80 …).
Création d’une liaison https
Sélectionner dans la liste le nom du certificat auto-signé préalablement créé.
8 de 14
5.7
Authentification anonyme du site « Activé »
Le paramètre « Authentification anonyme » doit être : « Activé »
Note : Tous les autres paramètres IIS sont pris par défaut.
9 de 14
6.
Le paramétrage du « Firewall » du serveur
Autoriser l’accès au site « Envision » depuis les postes clients en paramétrant de façon adéquate le
« Firewall » du serveur.
Programmes et fonctionnalités autorisés :


« Service World Wide Web (http) » en « Privé » et « Public » (pour une liaison normale port
80…)
« Service World Wide Web sécurité (https) » en « Privé » et « Public » (pour une liaison
sécurisée port 443)
7. Installation du certificat sur le(s) poste(s) de contrôle
du serveur.
Dans le cas d’une connexion https sécurisée, l’accès au site depuis Internet Explorer (IE) pour, par
exemple produire les statuts et le rapport contractuel de connexion nécessite éventuellement
l’installation du certificat auto-signé afin d’éviter le message de sécurité d’IE.
7.1 Comment installer un certificat auto-signé sur IE8 en 20 étapes (en
anglais)
Après importation du certificat auto-signé depuis le serveur où il a été créé, sur la machine de
consultation du site, exécuter la procédure suivante :
1. Browse to the site whose certificate you want to trust.
2. When told “There is a problem with this website's security certificate.”, choose “Continue to
this website (not recommended).”
3. Select Tools➞Internet Options.
4. Select Security➞Trusted sites➞Sites.
5. Confirm the URL matches, and click “Add” then “Close”.
6. Close the “Internet Options” dialog box with either “OK” or “Cancel”.
7. Refresh the current page.
8. When told “There is a problem with this website's security certificate.”, choose “Continue to
this website (not recommended).”
9. Click on “Certificate Error” at the right of the address bar and select “View certificates”.
10. Click on “Install Certificate...”, then in the wizard, click “Next”.
11. On the next page select “Place all certificates in the following store”.
12. Click “Browse”, select “Trusted Root Certification Authorities”, and click “OK”.
13. Back in the wizard, click “Next”, then “Finish”.
14. If you get a “Security Warning” message box, click “Yes”.
15. Dismiss the message box with “OK”.
16. Select Tools➞Internet Options.
17. Select Security➞Trusted sites➞Sites.
10 de 14
18. Select the URL you just added, click “Remove”, then “Close”.
19. Now shut down all running instances of IE, and start up IE again.
The site’s certificate should now be trusted.
Mise à jour d’Envision
8.
Une version d’Envision 11.1-03 + est nécessaire.

Lors de la première connexion (lors de l’enregistrement de la licence) depuis un poste client,
une fenêtre de dialogue Envision s’ouvre (voir ci-dessous) et permet de renseigner le nom du
domaine (nom du serveur) où le site est hébergé et le numéro du port pour la connexion
(liaison). Cette information est enregistrée sur le PC (dans la base de registre) pour les
prochaines connexions.
Boite de dialogue pour la saisie du nom du domaine et du n° du port.


Nom du domaine (= nom du serveur – L’adresse IP n’est pas recommandée avec les
certificats)
En fonction des paramètres du serveur IIS (si Envision a été déclaré site par défaut ou non)
l’entrée sera :
- exemple : precisionm4700 (site par défaut recommandé)
ou
- exemple : precisionm4700/Envision
(Valeur par défaut : www.case-france.com, port 80 si l’utilisateur ne renseigne pas les
champs et clique sur OK). Aucune autre information n’est à ajouter.
Numéro du port
- 80 (recommandé) ou 81… ou 443
Un port 443 implique une connexion sécurisée https avec un certificat auto-signé sur le
serveur. Voir chapitre 5.5 ci-dessus pour la création d’un certificat auto-signé.
11 de 14
8.
Augmentation du nombre de licences
Lors d’un achat ultérieur de licences supplémentaires, une mise à jour de la base de données des
licences actuelles est nécessaire (une copie de fichier) et sera livrée avec les nouvelles licences.
9.
Conditions contractuelles de la solution
Cette solution implique les conditions contractuelles suivantes :
9.1
Contrat
D’une part :
1- CASE France livre au Client selon son choix : un CD ou un accès à un téléchargement
contenant l’ensemble des éléments logiciels testés et opérationnels qui constitue la solution
et fournira le support technique et la documentation pour la mise en œuvre du système.
2- CASE France garantie que les prochaines versions d’Envision seront compatibles avec cette
solution.
D’autre part :
1- Le Client accepte de fournir le(s) système(s) matériel(s) et logiciel(s) ainsi que les moyens
techniques et humains nécessaires à l’installation et au bon fonctionnement de la solution
sur le serveur du Client.
Le personnel technique devra maitriser les technologies suivantes :
a. le paramétrage d’un serveur IIS en mode https
b. la création d’un certificat auto-signé (sur une base annuelle)
c. l’installation du certificat sur les postes utilisés pour le contrôle des accès et le
rapport contractuel de connexions avec Internet Explorer (IE).
Compte tenu du contexte sécuritaire du Client et par conséquence de notre incapacité
d’intervenir directement sur les systèmes, il est de la responsabilité du Client de faire en
sorte que la solution fonctionne sur son site. Eventuellement nous pourrons apporter la
preuve que le système fonctionne dans un environnement standard.
2- Le Client devra mettre en place une procédure adaptée pour fournir à CASE France une copie
mensuelle du rapport d’utilisation des licences dénommé : « Statistiques de connexions des
licences Envision – CASE France ». Celle-ci nous sera envoyée par courrier électronique le
premier jour ouvrable de chaque mois, à l’adresse : [email protected]. La requête
nécessaire à la production de ce rapport fait partie de la livraison. Voir chapitre 9.2 cidessous.
Le rapport devra contenir au minimum la liste de toutes les connexions du mois précédent.
Tout retard dans l’exécution de cette exigence pourra entrainer la suspension immédiate de
la licence d’utilisation d’Envision.
Voir Annexe 01 ci-dessous pour un exemple du rapport à fournir.
9.2
Rapports de suivi des connexions
Cinq (5) rapports de type pages HTML/ASP seront proposés pour permettre le suivi périodique et
précis de l’utilisation des licences. Ces rapports sont des requêtes sur la base de données, lancées
depuis un navigateur Internet Explorer (IE) à partir d’un poste client (administrateur métier Envision
ou administrateur SI). Ces rapports permettent de connaitre en temps réel :
12 de 14





la liste des machines connectées – n° d’instance, nom machine, adresse IP, version
la liste et le nombre de machines où Envision a été enregistré (installé)
la liste des dates et heures de connexions et de déconnexions pour chaque machine
le nombre de licences connectées à un instant « T » (rapport contractuel)
De supprimer des connexions dans la base de données pour une période précisée (voir cidessous) afin de maitriser dans le temps la taille du fichier « Licences.mdb » (base de
données) et la longueur des rapports.
Un formulaire spécifique permet de contrôler l’augmentation de la taille de la base de données en
supprimant des connexions sur une période sélectionnée. Il sera toutefois obligatoire de garder au
minimum les 30 derniers jours d’activité afin de répondre à notre exigence de rapport mensuel. Voir
détail dans l’Annexe 01.
***
*
13 de 14
Annexe 01
Exemple de rapport contractuel et mensuel, généré automatiquement et à envoyer régulièrement à CASE France le premier jour ouvré de chaque mois. Ce rapport doit
contenir au minimum les 30 derniers jours.
Rapport statistiques de connexions des licences Envision - CASE France
Le : 13/10/2016 12:08:37
La base de donnée a bien été ouverte
Numéro licence
Date de
connexion
Heure de
Date de
Heure de
connexion déconnexion déconnexion
Nom ordinateur
distant
IP machine
Validité Version
Connexions
simultanées
CF26091601P03F01 10/10/2016 17:52:44
10/10/2016
17:52:50
PRECISIONM4700 fe80::19c8:c5a1:2a89:9532%11 Actif
11.1-02 0
CF26091601P03F02 10/10/2016 17:53:08
10/10/2016
17:53:54
CASEFRANCE
Actif
11.1-02 0
CF26091601P03F01 10/10/2016 17:53:30
10/10/2016
17:53:35
11.1-02 1
CF26091601P03F01 10/10/2016 17:56:16
10/10/2016
17:56:24
11.1-02 1
CF26091601P03F02 10/10/2016 17:56:40
10/10/2016
17:57:43
CASEFRANCE
Actif
11.1-02 1
CF26091601P03F01 10/10/2016 17:57:14
10/10/2016
17:57:26
11.1-02 2
CF26091601P03F01 10/10/2016 18:31:53
10/10/2016
18:32:36
11.1-02 1
CF26091601P03F03 10/10/2016 18:35:11
10/10/2016
18:36:49
11.1-02 1
192.168.1.12
192.168.1.12
14 de 14

Proposition technique pour le paramétrage d

Transcription

Documents pareils

Notes sur la diffusion

Politique de vie privée

Solutions de prise de rendez-vous en ligne pour pharmacie TRIMOZ

acte de transfert de titre par renonciation

IIS - SKAP CONSULTING

BORDEREAU D`ENVOI DE LICENCES : LOISIRS CLUB

Conditons d`utilisation

subvention sur licence sportive ou culturelle

formulaire d`ouverture de compte

SPA Drummond - Contrôle et protection des animaux