10.2. Accès à distance

Si vous êtes un utilisateur expérimenté, le serveur Free-EOS v1.3 offre plusieurs moyens d'accéder au système d'exploitation sous-jacent, soit depuis un ordinateur de votre réseau interne, soit depuis un ordinateur externe à votre site via Internet. De plus, vous avez la possibilité d'accéder en toute sécurité au réseau informatique depuis un ordinateur distant. Toutes ces opérations sont configurées depuis l'écran montré ci-dessous dans le gestionnaire de serveur.

Panneau Web Accès distant

Chacune des méthodes d'accès distant est décrite ci-dessous.

10.2.1. ssh (Secure shell)

Si vous avez besoin de vous connecter directement à votre serveur et d'ouvrir une session depuis un système distant qui vous appartient, nous vous encourageons fortement à utiliser ssh plutôt que telnet. Déjà disponible pour les systèmes UNIX et Linux, le logiciel client ssh l'est maintenant pour les systèmes Windows et Macintosh. (Voir la section ci-dessous.)

Si vous n'avez aucune raison de permettre l'accès distant, nous vous suggérons de le régler à Aucun accès.

Après avoir activé ssh, vous devriez pouvoir vous connecter à votre serveur en lançant tout simplement le client ssh sur votre système distant et en vous assurant qu'il est pointé vers le nom de domaine externe ou l'adresse IP de votre serveur. Dans la configuration par défaut, un message-guide devrait ensuite vous inviter à taper votre nom d'utilisateur. Après avoir entré admin et votre mot de passe d'administrateur, vous vous trouverez dans la console de serveur. De là, vous pouvez changer la configuration du serveur, accéder au gestionnaire de serveur à l'aide d'un explorateur de texte, ou bien exécuter d'autres tâches de console de serveur.

Si vous activez l'accès ssh, vous avez alors le choix entre deux options de configuration supplémentaires :

  • Permettre l'accès à la ligne de commande administrative par le biais de ssh - Cela permet à quelqu'un de se connecter à votre serveur et d'ouvrir une session en tant que « racine » à l'aide du mot de passe administratif. L'utilisateur aurait alors pleinement accès au système d'exploitation sous-jacent. Cela peut se révéler utile si quelqu'un offre un soutien distant à votre système, mais, dans la plupart des cas, nous recommandons de régler cette option à Non.

  • Permettre ssh à l'aide de mots de passe standard - Si vous choisissez Oui (la valeur par défaut), les utilisateurs pourront se connecter au serveur à l'aide d'un nom d'utilisateur et d'un mot de passe standard. Cela peut représenter un risque du point de vue de la sécurité, car une personne qui voudrait entrer dans votre système par effraction pourrait se connecter à votre serveur ssh et y entrer à plusieurs reprises différentes combinaisons de nom d'utilisateur et de mot de passe dans le but de trouver la bonne. Un moyen plus sécuritaire de permettre l'accès ssh s'appelle Authentification RSA et consiste à copier une clé ssh, du client au serveur. Cette méthode est prise en charge par votre serveur, mais elle est exclue du présent guide de l'utilisateur. Il en sera question dans une documentation complémentaire que vous pourrez consulter sur le site e-smith.org.

Note

Par défaut, seuls deux noms d'utilisateur peuvent être employés pour se connecter à distance au serveur : admin (pour accéder à la console de serveur) et root (pour utiliser l'interpréteur de commandes Linux). Les utilisateurs habituels ne sont pas autorisés à se connecter au serveur même. Si vous donnez à un autre utilisateur la possibilité de se connecter à distance au serveur, il vous faudra accéder au système d'exploitation Linux sous-jacent et changer manuellement l'interpréteur de commandes de l'utilisateur dans /etc/passwd.

10.2.1.2. Clients ssh pour les systèmes Windows et Macintosh

Un certain nombre de programmes gratuits offrent des clients ssh utilisables dans un environnement Windows ou Macintosh. Plusieurs d'entre eux sont des extensions de programmes telnet déjà existants qui intègrent la fonctionnalité ssh. Deux différentes listes de clients connus peuvent être consultées en ligne à l'adresse http://www.openssh.com/windows.html et à l'adresse http://www.freessh.org/.

Nous vous recommandons d''utiliser sous Windows le client libre ssh Putty disponible sur le cd Free-EOS Winstation ou à télécharger sur le site de Putty.

10.2.2. PPTP

Le protocole de tunnellisation ou protocole PPTP est utilisé comme un des protocoles pour créer des réseaux privés virtuels (RPV ou VPN) client-serveur. Il a été développé par le groupe industriel PPTP Forum auquel participent Microsoft et plusieurs autres entreprises. Un RPV (VPN) est un réseau privé d'ordinateurs interconnectés à travers un réseau public non sécurisé comme Internet. Free-EOS incoprore un mécanisme de RPV (VPN) non basé sur PPTP, mais le protocole PPTP permet aussi à un utilisateur de se connecter à distance par Internet au réseau Free-EOS.

Le monde des utilisateurs de Windows utilise largement l'application PPTP de Microsoft pour obtenir un accès distant par Internet. Si vous avez un système Windows distant (par exemple, un ordinateur portatif ou un ordinateur individuel) qui a accès à Internet, vous pouvez aussi accéder à l'information stockée sur votre serveur Free-EOS.

Si vous souhaitez activer l'accès distant par PPTP, vous devez décider du nombre de clients PPTP individuels à qui vous permettrez de se connecter simultanément à votre serveur. Vous devez entrer ce nombre ici. La méthode la plus simple consiste à entrer le nombre total des clients PPTP distants de votre organisation. Ou bien, si vous avez une connexion lente à Internet et si vous ne voulez pas que tous ces clients PPTP se connectent en même temps, vous pouvez y entrer un nombre moins élevé. Par exemple, si vous avez cinq utilisateurs qui se connectent occasionnellement à distance à l'aide du protocole PPTP, le fait d'entrer le nombre 5 ici leur donnerait à tous la possibilité de se connecter en tout temps. Si vous entrez le nombre 2, seuls deux d'entre eux pourraient se connecter en tout temps. Si un troisième utilisateur essayait de se connecter, il recevrait un message d'erreur et ne pourrait donc pas se connecter avant que l'un des autres utilisateurs se soit déconnecté. Par contre, si vous aviez entré 0, aucune connexion PPTP ne serait permise. Par défaut, il n'y a pas de connexion permise, un case vide au nombre de connexion PPTP signifie 0 connexion.

Une fois que vous avez entré un nombre et cliqué sur Enregistrer, le serveur devrait être prêt à accepter les connexions PPTP.

Pour se connecter à l'aide du protocole PPTP, il faut l'avoir installé sur chaque client Windows distant. Cela nécessite le rajout de cette fonction sur les systèmes Windows 95, 98 et 98SE. Les systèmes Windows Me, NT, 2000 et XP possèdent un client PPTP incorporé. Normalement, cela se fait par le Panneau de configuration Réseau. (Il se peut que vous deviez utiliser le CD d'installation original de Windows.) Après l'avoir installé (il sera peut-être nécessaire de redémarrer votre système Windows), vous pouvez créer très simplement de nouvelles connexions à l'aide du panneau Accès réseau à distance en entrant l'adresse IP externe du serveur auquel vous voulez vous connecter. Après avoir terminé, vous devriez pouvoir établir une connexion PPTP en cliquant deux fois sur l'icône appropriée dans la fenêtre Accès réseau à distance. Lorsque vous ouvrez votre fenêtre Voisinage réseau, le groupe de travail de votre serveur devrait y être affiché.

Note

Votre connexion à Internet doit être établie en premier avant de lancer la connexion PPTP. Pour ce faire, vous devrez probablement cliquer deux fois sur l'icône Accès réseau à distance pour lancer votre connexion Internet, puis cliquer deux fois sur une deuxième icône pour lancer la connexion PPTP. Pour interrompre la connexion, déconnectez d'abord votre connexion PPTP, puis déconnectez-vous du FAI.

Attention

Pour protéger votre réseau, le serveur Free-EOS v1.3 impose le cryptage 128 bits pour les connexions PPTP, plutôt que le cryptage 40 bits qui était auparavant fourni par les versions précédentes du logiciel PPTP de Microsoft. Si vous n'arrivez pas à établir une connexion PPTP avec votre serveur, visitez le site http://windowsupdate.microsoft.com/ et téléchargez la mise à jour appropriée. En raison du caractère dynamique du site Web de Microsoft, il se peut que la page s'affiche différemment selon la version Windows que vous utilisez. Dans la plupart des cas, vous y chercherez la toute dernière version de Réseau Privé Virtuel ou de Accès réseau à distance avec le cryptage 128 bits. Il se peut que vous deviez installer la mise à jour du cryptage 40 bits en premier, puis celle du cryptage 128 bits. Notez qu'avec le processus ActiveUpdate de Microsoft, si le site ne vous propose pas de choisir cette mise à jour, cela signifie qu'elle est probablement déjà installée dans votre système, ou (ce qui semble plus volontier être le cas) tout simplement non proposée ! Les mises à jour en question se trouvent sur http://support.microsoft.com/default.aspx?scid=kb;fr-fr;285189.

10.2.3. FTP

Une autre façon de télécharger en amont ou de télécharger en aval les fichiers à destination ou en provenance de votre serveur consiste à activer le protocole de transfert de fichiers FTP. Cet écran vous permet de définir votre politique pour ce protocole. Notez que le fait de permettre l'accès à votre serveur à l'aide du protocole FTP pose un risque de sécurité certain. Ici, vous pouvez définir deux options.

Politique d'accès FTP : Vous pouver définir ici les options d'accès génétal au servive FTP du serveur Free-EOS. Le choix Confidentiel permet uniquement l'accès FTP à partir de votre réseau interne. Le choix Usage normal permet l'accès au service FTP aussi bien du réseau local que de l'externe via votre connexion Internet.. Si, par exemple, vous voulez être en mesure de mettre à jour votre site Web depuis votre résidence à l'aide du protocole FTP, vous choisirez le paramètre « Usage normal ». Nous vous recommandons de laisser ce paramètre réglé à Confidentiel, si vous ne souhaitez pas laisser d'accès externe.Vous pouvez totalement désactiver le service FTP avec l'option « Désactiver FTP ». Le paramètre que vous choisissez ici aura priorité sur tous les autres paramètres FTP de votre serveur. Si, par exemple, vous choisissez « Désactiver l'accès FTP public » ici et si, ultérieurement, vous configurez un @telier en vue de permettre l'accès FTP public depuis le réseau Internet, un tel accès sera interdit.

Accès FTP Authentifié : L'accès FTP authentifié, c'est à dire en utilisant un login et un mot de passe d'utilisateur du serveur Free-EOS, est indispensable pour accéder en FTP en écriture ou même en lecture sur les zones privées (comme par exemple le répertoire privé - ou cartable électronique - de chaque utilisateur). Cette option vous permet de définir, en matière d'accès FTP authentifié, une politique qui s'appliquera à l'ensemble de votre site. L'option Confidentiel interdit l'accès FTP authentifié à partir de l'externe via Internet et limite son usage au réseau local.

Type de l'échange FTP : Le protocole FTP est naturellement un protocole peu sur car il ne crypte ni les données échangées, ni le mot de passe de l'utilisateur lors d'un accès authentifié. C'est pour cela qu'une évolution de ce protocole, s'appuyant sur le chiffrage des échanges avec SSL, est apparue pour sécuriser ces échanges. Votre serveur Free-EOS (contrairement aux serveurs e-smith/SME) supporte les échanges FTP sécurisés.
Vous pouvez tout d'abord renoncer à cette option en choisissant Standard (non sécurisé).Nous ne vous le conseillons pas si vous pouvez faire autrement.
Vous pouvez aussi choisir de ne crypter que la phase d'authentification, protégeant ainsi les échanges relatifs à votre login et votre mot de passe. Vos données sont elles échangées en clair après la phase d'authetification. Pour cela choisissez l'option Authentification sécurisée.
Si vous désirez sécurisée la totalité de vos échanges, données d'authentification comme fichiers échangés, choisissez l'option Echange totalement sécurisé.
Vous pouvez aussi laisser le choix à l'utilisateur du type d'échange utilisé. Pour cela choisissez l'option Fixé par le client (sécurisé ou non).
L'utilisation des options de sécurisation suppose que le client distant sache lui aussi sécuriser les échanges, ce qui n'est pas le cas de tous les clients FTP. Nous vous conseillons, si vos postes cliens sont sous Windows, d'utiliser le client FTP Filezilla (http://sf.net/projects/filezilla/).

Voici en exemple l'écran obtenu pourune connexion sécurisée avec le client Filezilla :


10.2.4. telnet

Telnet figure depuis longtemps parmi les outils utilisés pour se connecter à distance à d'autres systèmes à l'intérieur d'un réseau ou sur Internet. Cet écran propose les options de contrôle relatives à l'utilisation de telnet comme moyen de vous connecter à votre serveur. Telnet peut se révéler utile, car il permet de se connecter à distance et de diagnostiquer des problèmes ou de configurer des paramètres. Toutefois, lorsque vous utilisez telnet, les noms et les mots de passe de tous les utilisateurs sont transmis sans aucune sorte de cryptage, ce qui pose un risque de sécurité considérablement plus grand pour votre serveur. Pour cette raison, nous vous recommandons fortement d'utiliser ssh, tel que décrit ci-dessus.

Note

Comme l'utilisation de telnet continue d'être très répandue, nous vous donnons la possibilité de l'utiliser pour l'accès distant. Cependant, compte tenu de l'utilisation croissante de ssh, nous prévoyons supprimer l'accès telnet dans nos versions ultérieures du serveur.

 

Accès Telnet : Vous pouvez le régler à : « Aucun accès », « Privé » ou « Public ». Compte tenu de la faiblesse inhérente mentionnée ci-dessus en termes de sécurité, nous vous recommandons fortement de laisser cette option réglée à Aucun accès (la valeur par défaut) et d'utiliser plutôt ssh tel que décrit ci-dessus. Si vous avez besoin d'activer l'accès telnet, nous vous suggérons d'activer l'accès telnet « public » ou « privé » uniquement en cas de nécessité absolue et de désactiver un tel accès lorsque vous n'en avez plus besoin. Si l'accès « public » est activé, un avertissement s'affichera en rouge en haut de chaque écran du gestionnaire de serveur.

Note

En raison de ces questions de sécurité, nous ne permettons pas l'accès à l'interpréteur de commandes (la connexion en tant que « root ») à l'aide de telnet. Veuillez plutôt utiliser ssh.

10.2.5. Accès distant en utilisant le protocole SSL

Il est également possible de définir des hôtes spécifiques ou des sous-réseaux entiers depuis lesquels l'accès sera permis. Au bas de cet écran Accès distant, il est possible d'ajouter des entrées dans un tableau qui donne la liste des sous-réseaux auxquels l'accès a été accordé. Il suffit alors à l'utilisateur d'indiquer l'adresse IP du réseau ainsi que le masque approprié du sous-réseau pour accorder cet accès supplémentaire. Vous remarquerez que ces nouvelles informations ne sont enregistrées que lorsque l'utilisateur clique sur le bouton « Enregistrer ».

Vous pouvez désormais simplement vous connecter au gestionnaire du serveur en utilisant l’URL régulier de https://www.mydomain.xxx/server-manager/. Le système vous demandera votre nom d’utilisateur « admin » et votre mot de passe tout comme lorsque vous établissez une connexion à partir du réseau interne.