Scénarios de déploiement ENC
4. Démarrez Client Automation sur l'ordinateur C. Au bout de quelques minutes, vérifiez que les clients ENC se sont enregistrés auprès du serveur de passerelle ENC
à l'aide de la commande encclient status. Cette commande doit indiquer que le client s'est enregistré avec succès et est prêt.
5. Répétez la tentative de connexion ; cela devrait à présent fonctionner. Toutes les données sont acheminées via l'ordinateur C. La commande "encclient status" doit indiquer qu'une connexion est en cours via l'ordinateur C.
6. Vous pouvez adapter les règles en modifiant le fichier defrules.txt et en le réimportant, mais à l'aide de la commande encUtilCmd avec l'option -o afin de remplacer les règles existantes. Cela vous permet d'expérimenter les différentes règles d'autorisation afin de vous familiariser avec le système.
Pour une description détaillée de la commande encUtilCmd et de toutes ses options, consultez le document Référence de la commande encUtilCmd que vous trouverez dans la bibliothèque CA, dans la catégorie Manuels de référence.
Scénario de déploiement ENC - La succursale
Dans ce scénario, l'entreprise parent maintient le gestionnaire de domaine et le serveur de modularité sur le réseau du siège (réseau interne). La succursale possède un LAN avec des agents DSM installés sur leurs ordinateurs (réseau client). Toutes deux sont protégées par des pare-feux et connectées à Internet.
L'illustration suivante présente la configuration réseau dans un exemple de scénario de déploiement de succursale :
Dans ce scénario, nous supposons que tous les ordinateurs du réseau, y compris les ordinateurs du serveur de passerelle ENC, ont au moins un agent DSM installé.
La DMZ (zone démilitarisée) permet la connectivité à partir du réseau interne vers la
DMZ, mais pas au-delà. Les ordinateurs de la DMZ peuvent se connecter à Internet mais pas au réseau interne.
496 Manuel d'implémentation
Scénarios de déploiement ENC
Les étapes de déploiement et de configuration requises dans ce scénario sont les
suivantes :
■
Déploiement de l'infrastructure ENC au siège (réseau interne)
■
Déploiement des agents DSM dans la succursale (réseau client)
■
Configuration des agents dans la succursale afin de rendre compte au serveur de modularité du siège
Sur le réseau du siège, les activités suivantes s'appliquent :
■
Créez une DMZ dans le réseau du siège si celle-ci n'est pas déjà présente. Cette
étape est nécessaire car les serveurs de passerelle ENC doivent être visibles par la succursale, qui est supposée se connecter sur l'Internet publique.
■
Installez un gestionnaire de domaine DSM, un serveur de modularité, des agents et les clients ENC comme requis dans le réseau parent.
■
Installez un agent DSM, un client ENC, gestionnaire, serveur et routeur sur un ordinateur dans la DMZ du réseau du siège. Configurez l'agent pour s'enregistrer auprès du serveur de modularité dans le réseau interne.
■
Installez les certificats ENC sur tous les ordinateurs connaissant la passerelle ENC,
comme décrit dans la section Gestion des certificats.
(page 508) Ceux-ci couvrent
les ordinateurs dans le réseau interne et la DMZ. Ils sont requis pour l'authentification de la passerelle ENC.
■
Installez les certificats ENC sur les ordinateurs DMZ.
■
Ne démarrez pas encore les serveurs de passerelle ENC. A ce stade, le serveur de passerelle ENC est configuré sans aucune règle d'autorisation et rejettera ainsi toutes les connexions. Cela signifie que l'infrastructure DSM dans la DMZ ne peut pas contacter le gestionnaire de domaine dans le réseau du siège et ne peut donc pas recevoir une stratégie de configuration contenant les règles d'autorisation.
■
Ouvrez l'explorateur DSM et configurez la stratégie de configuration requise pour
ENC. Configurez la passerelle ENC à l'aide d'une stratégie de sécurité. Celle-ci doit couvrir l'accès pour les ordinateurs du réseau du siège ainsi que ceux de la succursale. Toutefois, pour le moment cette stratégie ne peut pas être envoyée aux serveurs de passerelle ENC à partir du gestionnaire de domaine en raison d'un catch-22, c'est-à-dire que l'ordinateur ne peut pas recevoir une stratégie tant qu'il n'est pas enregistré auprès du gestionnaire de domaine, et il ne peut pas s'enregistrer tant qu'il n'obtient pas une stratégie qui définit les règles d'autorisation qui lui permettent de se connecter au gestionnaire de domaine.
Chapitre 12: Connectivité du réseau étendu (ENC) 497
Scénarios de déploiement ENC
■
■
Pour y remédier, le serveur de passerelle ENC doit être "amorcé" à l'aide de règles suffisantes pour autoriser une connexion au gestionnaire de domaine. Une fois celle-ci établie, le gestionnaire de domaine peut envoyer la stratégie réelle afin de remplacer la stratégie d'amorce.
La stratégie réelle doit auparavant être saisie dans la stratégie de configuration sur le gestionnaire de domaine. Pour ce faire, deux méthodes sont possibles :
1. La première méthode consiste à ouvrir l'explorateur DSM et à configurer la stratégie de sécurité requise pour ENC à l'aide de l'éditeur de stratégies de configuration. L'IUG propose une boîte de dialogue personnalisée pour vous aider à composer ces règles.
2. La méthode alternative consiste à composer une fichier texte à l'aide de vos règles par défaut puis de les importer en bloc avec l'utilitaire encUtilCmd. (Pour une description détaillée de la commande encUtilCmd et toutes ses options, consultez le document Référence de la commande EncUtilCmd, disponible dans la bibliothèque CA dans la catégorie Manuels de référence.) Notez que encUtilCmd représente également un moyen de vérifier les règles avant de les appliquer.
Ces règles doivent autoriser au minimum l'infrastructure DSM dans le réseau du siège à contacter et s'enregistrer auprès de l'infrastructure de passerelle ENC dans la DMZ.
Nous vous suggérons de composer les règles en suivant la seconde méthode, car le fichier de règles que vous créez peut ensuite être utilisé sur le gestionnaire de domaine et les ordinateurs du serveur ENC. L'IUG peut être utilisée pour apporter des modifications ultérieures à la stratégie.
Appliquez les règles au gestionnaire de domaine à l'aide de la commande
"encUtilCmd importdb". Celle-ci ajoute les règles à la base de données de configuration DSM. Une fois ajoutées, elles peuvent être transmises via le mécanisme de stratégie habituel lorsque les ordinateurs du serveur ENC se connectent.
Appliquez ces règles au serveur de passerelle ENC dans la DMZ à l'aide de la commande "encUtilCmd import". Cela amorcera le serveur avec les règles d'autorisation et autorisera l'ordinateur à contacter le gestionnaire de domaine et à s'enregistrer.
Démarrez CA Client Automation sur les serveurs de passerelle ENC afin qu'ils sélectionnent les nouvelles règles et qu'ils autorisent l'établissement des connexions ENC.
Par défaut, la stratégie de configuration dans le gestionnaire de domaine est définie pour être gérée localement afin d'éviter tout écrasement accidentel par une stratégie vide. Définissez-la sur une gestion centralisée. Lorsque l'enregistrement de
CA Client Automation réussit, la règle par défaut initiale est écrasée par la stratégie envoyée en aval par le gestionnaire de domaine.
498 Manuel d'implémentation
Scénarios de déploiement ENC
■
■
Patientez 10 minutes puis vérifiez que les ordinateurs dans la DMZ se sont enregistrés et sont visibles dans l'IUG.
Si aucun ordinateur n'est visible, il se peut que les règles par défaut soit erronées ou que la nouvelle stratégie ait interrompu l'accès. Afin d'obtenir un diagnostic, examinez le journal des événements de l'application NT sur les serveurs de passerelle ENC.
Sur le réseau de la succursale, les activités suivantes s'appliquent :
■
Installez les agents DSM requis sur chaque ordinateur du réseau de la succursale. La fonctionnalité Passerelle ENC est installée par défaut mais nécessite une configuration spécifique. Configurez les clients afin qu'ils s'enregistrent auprès du serveur de passerelle ENC dans la DMZ du réseau du siège. Du fait que la passerelle
ENC ne fonctionne pas encore entre le siège et la succursale, le déploiement DSM ne peut pas être utilisé. L'installation peut alors être exécutée à l'aide d'un certain nombre de méthodes qui dépendent du nombre d'ordinateurs impliqués, par exemple :
■
Installation manuelle à partir du DVD, si seul un petit nombre d'ordinateurs sont installés
■
Installation d'un package à l'ouverture de session de l'utilisateur à partir d'un script de connexion au domaine NT.
■
Installation d'un gestionnaire de domaine et d'un serveur de modularité temporaires au sein du réseau de la succursale. Pour cela, utilisez une machine réelle ou virtuelle envoyée vers la succursale. Utilisez la fonctionnalité de déploiement de CA Client Automation pour envoyer le package de l'agent. Une fois le déploiement terminé et tous les agents enregistrés auprès du gestionnaire de domaine du siège, le gestionnaire de domaine temporaire est supprimée dans la succursale.
■
Vérifiez que les ordinateurs de la succursale s'enregistrent en vérifiant que le groupe Tous les ordinateurs est à nouveau dans l'IUG du siège.
■
Effectuez les tests de validation habituels utilisés par votre organisation afin de garantir que <udsk> est entièrement fonctionnel.
Chapitre 12: Connectivité du réseau étendu (ENC) 499
