Vous consultez une page technique concernant le logiciel de gestion Mercator. Celle-ci contient des informations spécifiques destinées aux professionnels de Mercator. Souhaitez-vous être redirigés vers des informations plus générales ?


   Ne plus poser cette question

Sécuriser les accès à Mercator virtualisé

0000002669     -      24/10/2016

Lorsque Mercator peut devenir disponible et ouvert comme un simple site web, se pose immanquablement la question de la sécurité et de la restriction de l'accès aux seuls utilisateurs autorisés. L'équipe Mercator ne formule pas un conseil général et universel à ce propos, mais propose des outils de sécurisation. En général, la sécurité est inversement proportionnelle au confort des utilisateurs et à la facilité d'utilisation. Il incombe donc à chaque responsable de son infrastructure de déterminer l'endroit où il place le curseur.

1. Rendre le serveur de virtualisation accessible uniquement à des internautes bien déterminés.

Cet aspect peut être géré dans le firewall. Les utilisateurs qui se trouvent toujours derrière la même IP fixe peuvent être autorisés à communiquer via le port de Thinfinity® VirtualUI™ (TCP 6580 par défaut).

Pour les utilisateurs qui disposent d'une IP dynamique, un VPN peut être mis en place.

Ces solutions sont radicales puisqu'elles assurent que seuls des internautes autorisés peuvent solliciter le serveur.

2. Utiliser les possibilités de sécurisation de connexion de Thinfinity® VirtualUI™

Thinfinity® VirtualUI™ permet de réserver l'accès à une application à des utilisateurs ou des groupes définis dans le domaine (Active Directory) ou parmi les utilisateurs locaux.Pour cela, on désactive "Allow anonymous access".

Les autres méthodes d'authentification de Thinfinity® VirtualUI™ n'ont pas été testées.

3. Dans Mercator, authentifier les utilisateurs via un domaine (Active Directory)

Si l'accès anonyme est accordé au point ci-dessus, il est impératif de mettre dans Mercator un mode d'authentification plus fort qu'un simple mot de passe. Pour cela, on peut activer l'authentification des utilisateurs via un domaine (Active Directory). Raisonnablement, il nous paraît inutile d'activer ce point en même temps que le précédent.