VMWARE Access Point 2.0 User Manual [fr]
Déploiement et configuration d'Access
Point
Access Point 2.0
VMware Horizon 6
Ce document prend en charge la version de chacun des produits
répertoriés, ainsi que toutes les versions publiées par la suite
jusqu'au remplacement dudit document par une nouvelle
édition. Pour rechercher des éditions plus récentes de ce
document, rendez-vous sur :
http://www.vmware.com/fr/support/pubs.
FR-001879-01
Déploiement et configuration d'Access Point
Vous trouverez la documentation technique la plus récente sur le site Web de VMware à l'adresse :
http://www.vmware.com/fr/support/
Le site Web de VMware propose également les dernières mises à jour des produits.
N’hésitez pas à nous transmettre tous vos commentaires concernant cette documentation à l’adresse suivante :
docfeedback@vmware.com
Copyright © 2015 VMware, Inc. Tous droits réservés. Copyright et informations sur les marques.
VMware, Inc.
3401 Hillview Ave.
Palo Alto, CA 94304
www.vmware.com
2 VMware, Inc.
VMware, Inc.
100-101 Quartier Boieldieu
92042 Paris La Défense
France
www.vmware.com/fr
Table des matières
Déploiement et configuration d' Access Point 5
Présentation de Access Point 7
1
Règles de pare-feu pour les dispositifs Access Point basés sur une zone DMZ 8
Topologies d' Access Point 13
Configuration système requise et déploiement 17
2
Configuration système pour Access Point 17
Préparation du Serveur de connexion View pour l'utiliser avec Access Point 18
Déployer le dispositif Access Point 19
Utilisation de VMware OVF Tool pour déployer le dispositif Access Point 21
Propriétés du déploiement d'Access Point 23
Configuration d' Access Point 27
3
Utilisation de l'API REST Access Point 27
Configuration de certificats TLS/SSL pour les dispositifs Access Point 32
Configuration des passerelles sécurisées 36
Collecte de journaux depuis le dispositif Access Point 39
4
Configuration de l'authentification par carte à puce 41
5
Copier des métadonnées SAML Access Point sur le Serveur de connexion View 41
Modifier la période d’expiration des métadonnées du fournisseur de service 43
Copier des métadonnées SAML du Serveur de connexion View sur Access Point 44
Obtenir des certificats d'autorités de certification 46
Configurer des paramètres de carte à puce sur le dispositif Access Point 47
Index 53
VMware, Inc. 3
Déploiement et configuration d'Access Point
4 VMware, Inc.
Déploiement et configuration d' Access Point
Déploiement et configuration d'un point d'accès fournit des informations sur la conception d'un déploiement
View qui utilise Access Point pour un accès externe sécurisé à des serveurs et des postes de travail
Horizon 6. Ce guide contient également des instructions sur le déploiement de dispositifs virtuels
Access Point et sur la modification des paramètres de configuration après le déploiement, si nécessaire.
Public visé
Ces informations sont conçues pour toute personne souhaitant déployer et utiliser des dispositifs
Access Point dans un environnement Horizon 6. Les informations sont rédigées pour des administrateurs
système Linux expérimentés qui connaissent parfaitement la technologie des machines virtuelles et les
opérations de datacenter.
Glossaire VMware Technical Publications
Les publications techniques VMware fournissent un glossaire de termes que vous ne connaissez peut-être
pas. Pour obtenir la définition des termes tels qu'ils sont utilisés dans la documentation technique de
VMware, visitez la page http://www.vmware.com/support/pubs.
VMware, Inc.
5
Déploiement et configuration d'Access Point
6 VMware, Inc.
Présentation de Access Point 1
Access Point fonctionne comme une passerelle sécurisée pour les utilisateurs qui veulent accéder à des
postes de travail et des applications Horizon 6 depuis l'extérieur du pare-feu d'entreprise.
En général, les dispositifs Access Point résident dans une zone DMZ et agissent comme un hôte proxy pour
les connexions à l'intérieur du réseau approuvé de votre entreprise. Cette conception offre une couche
supplémentaire de sécurité en protégeant les postes de travail virtuels View, les hôtes d'application et les
instances du Serveur de connexion View contre les sites Internet destinés au public.
Access Point dirige les demandes d'authentification au serveur approprié et ignore les demandes non
authentifiées. Le seul trafic d'application et de poste de travail à distance qui peut entrer dans le centre de
données de l'entreprise est le trafic au nom d'un utilisateur dont l'authentification est renforcée. Les
utilisateurs ne peuvent accéder qu'aux ressources dont l'accès leur est autorisé.
Les dispositifs Access Point ont le même rôle que celui joué précédemment par les serveurs de sécurité
View, mais Access Point apporte des avantages supplémentaires :
Un dispositif Access Point peut être configuré pour pointer vers une instance du Serveur de connexion
n
View ou vers un équilibrage de charge qui fait face à un groupe d'instances du Serveur de connexion
View. Cette conception signifie que vous pouvez combiner le trafic distant et le trafic local.
La configuration d'Access Point est indépendante des instances du Serveur de connexion View.
n
Contrairement aux serveurs de sécurité, aucun mot de passe de couplage n'est requis pour coupler
chaque serveur de sécurité avec une instance du Serveur de connexion View.
VMware, Inc.
Les dispositifs Access Point sont déployés en tant que dispositifs virtuels renforcés, qui sont basés sur
n
un dispositif Linux qui a été personnalisé pour fournir un accès sécurisé. Les modules étrangers ont été
supprimés pour réduire les accès dangereux potentiels.
Access Point utilise un protocole HTTP(S) standard pour les communications avec le Serveur de
n
connexion View. JMS, IPsec et AJP13 ne sont pas utilisés.
Les mécanismes d'authentification suivants sont disponibles et, pour tous ces mécanismes sauf
l'authentification par carte à puce, l'authentification se fait en proxy sur le Serveur de connexion View :
Informations d'identification Active Directory
n
RSA SecurID
n
RADIUS
n
Cartes à puce (Notez que pour cette version, l'authentification par carte à puce est une fonctionnalité de
n
la version d'évaluation technique.)
SAML (Security Assertion Markup Language)
n
7
Déploiement et configuration d'Access Point
Ce chapitre aborde les rubriques suivantes :
« Règles de pare-feu pour les dispositifs Access Point basés sur une zone DMZ », page 8
n
« Topologies d'Access Point », page 13
n
Règles de pare-feu pour les dispositifs Access Point basés sur une zone DMZ
Les dispositifs Access Point basés sur une zone DMZ requièrent certaines règles de pare-feu sur les pare-feu
frontaux et principaux. Lors de l'installation, les services Access Point sont configurés pour écouter sur
certains ports réseau par défaut.
En général, un déploiement de dispositif Access Point basé sur une zone DMZ inclut deux pare-feu.
Un pare-feu frontal externe en réseau est nécessaire pour protéger la zone DMZ et le réseau interne.
n
Vous configurez ce pare-feu pour permettre au trafic réseau externe d'atteindre la zone DMZ.
Un pare-feu principal, entre la zone DMZ et le réseau interne, est requis pour fournir un deuxième
n
niveau de sécurité. Vous configurez ce pare-feu pour accepter uniquement le trafic qui provient des
services dans la zone DMZ.
La figure suivante indique les protocoles que chaque composant View utilise pour les communications.
Cette configuration peut être utilisée dans un déploiment WAN classique.
8 VMware, Inc.
Figure 1‑1. Composants View et protocoles avec Access Point
Périphériques clients
Client
RDP
Dispositif Access Point
Gestionnaires de
protocoles sécurisés View
Serveur de connexion View
View
Agent
Machine virtuelle de poste de travail View ou hôte RDS
HTTP(S)HTTP(S)PColP
Horizon
Client
Blast
HTTP(S)
View
Administrator
HTTP(S)
vCenter
Server
SOAP
View Secure GW Server &
PColP Secure GW
View
Messaging
View Broker et
serveur admin
View
LDAP
Blast
RDP, Framework, MMR, CDR...
PColP
Chapitre 1 Présentation de Access Point
VMware, Inc. 9
Déploiement et configuration d'Access Point
La règle de pare-feu contrôle exclusivement les communications entrantes provenant des services de la zone
DMZ, ce qui réduit considérablement le risque que le réseau interne soit compromis.
La figure suivante montre un exemple de configuration qui comporte des pare-feu frontal et principal.
10 VMware, Inc.
Figure 1‑2. Topologie de double pare-feu
DMZ
réseau
interne
trafic
HTTPS
trafic
HTTPS
mécanisme
d'équilibrage de charge
tolérant aux pannes
périphérique client périphérique client
dispositif
Access
Point
dispositif
Access
Point
Serveur de
connexion
View
Serveur de
connexion
View
VMware
vCenter
Active
Directory
serveurs VMware
ESXi
pare-feu
frontal
pare-feu
principal
KEMP
KEMP
Chapitre 1 Présentation de Access Point
VMware, Inc. 11
Déploiement et configuration d'Access Point
Règles de pare-feu frontal
Pour autoriser des périphériques client externes à se connecter à un dispositif Access Point dans la zone
DMZ, le pare-feu frontal doit autoriser le trafic sur certains ports TCP et UDP.
Tableau 1‑1. Règles de pare-feu frontal
Port par
Source
Horizon
Client
Horizon
Client
Horizon
Client
Dispositif
Access
Point
Navigateur
Web client
défaut Protocole Destination
Tout port
TCP
Tout port
TCP
Tout port
TCP
Tout port
UDP
UDP 4172 PCoIP Horizon Client Tout port
Tout port
TCP
HTTP Dispositif
Access Point
HTTPS Dispositif
Access Point
PCoIP Dispositif
Access Point
HTTPS ou
Blast
Dispositif
Access Point
Port de
destination Remarques
TCP 80 (Facultatif) Des périphériques client externes se
connectent à un dispositif Access Point dans la zone
DMZ sur le port TCP 80 et sont automatiquement
dirigés vers HTTPS. Pour plus d'informations sur les
aspects de la sécurité liés au fait de laisser les
utilisateurs se connecter avec HTTP plutôt qu'avec
HTTPS, reportez-vous au guide Sécurité de View.
TCP 443 Des périphériques client externes se connectent à un
dispositif Access Point dans la zone DMZ sur le port
TCP 443.
TCP 4172
UDP 4172
UDP
TCP 8443 Si vous utilisez HTML Access, le Web Client externe se
Des périphériques client externes se connectent à un
dispositif Access Point dans la zone DMZ sur le port
TCP 4172 et sur le port UDP 4172 pour communiquer
avec une application ou un poste de travail distant sur
PCoIP.
Des dispositifs Access Point renvoient des données
PCoIP à un périphérique client externe à partir du port
UDP 4172. Le port UDP de destination est le port
source des paquets UDP reçus. Comme ces paquets
contiennent des données de réponse, il est
normalement inutile d'ajouter une règle de pare-feu
explicite pour ce trafic.
connecte à un dispositif Access Point dans la zone
DMZ sur le port HTTPS 8443 pour communiquer avec
les postes de travail distants.
Règles de pare-feu principal
Pour autoriser un dispositif Access Point à communiquer avec une instance du Serveur de connexion View
ou un équilibrage de charge qui réside sur le réseau interne, le pare-feu principal doit autoriser le trafic
entrant sur certains ports TCP. Derrière le pare-feu principal, les pare-feu internes doivent être configurés de
la même manière pour autoriser les applications et postes de travail distants et les instances du Serveur de
connexion View à communiquer entre eux.
Tableau 1‑2. Règles de pare-feu principal
Port par
Port source
Dispositif
Access Point
Dispositif
Access Point
12 VMware, Inc.
défaut Protocole Destination
Tout port
TCP
Tout port
TCP
HTTPS Serveur de
connexion
View ou
équilibrage de
charge
RDP Poste de travail
distant
Port de
destination Remarques
TCP 443 Des dispositifs Access Point se connectent sur le
port TCP 443 pour communiquer avec une instance
du Serveur de connexion View ou un équilibrage de
charge devant plusieurs instances du Serveur de
connexion View.
TCP 3389 Des dispositifs Access Point se connectent à des
postes de travail distants sur le port TCP 3389 pour
échanger du trafic RDP.
Tableau 1‑2. Règles de pare-feu principal (suite)
Chapitre 1 Présentation de Access Point
Port source
Dispositif
Access Point
Dispositif
Access Point
Application
ou poste de
travail distant
Dispositif
Access Point
Dispositif
Access Point
Port par
défaut Protocole Destination
Tout port
TCP
Tout port
TCP
Tout port
UDP
UDP 4172 PCoIP Dispositif
Tout port
TCP
Tout port
TCP
MMR ou
CDR
PCoIP Application ou
USB-R Poste de travail
HTTPS Poste de travail
Poste de travail
distant
poste de travail
distant
Access Point
distant
distant
Port de
destination Remarques
TCP 9427 Des dispositifs Access Point se connectent à des
postes de travail distants sur le port TCP 9427 pour
recevoir le trafic MMR (redirection multimédia) ou
CDR (redirection de lecteur client).
TCP 4172
UDP 4172
Tout port
UDP
TCP 32111 Des dispositifs Access Point se connectent à des
TCP 22443 Si vous utilisez HTML Access, des dispositifs
Des dispositifs Access Point se connectent aux
applications et postes de travail distants sur le port
TCP 4172 et le port UDP 4172 pour échanger du
trafic PCoIP.
Des applications et des postes de travail distants
renvoient des données PCoIP à un dispositif
Access Point à partir du port UDP 4172.
Le port UDP de destination sera le port source des
paquets UDP reçus. Comme ces paquets sont des
données de réponse, il est normalement inutile
d'ajouter une règle de pare-feu explicite pour cela.
postes de travail distants sur le port TCP 32111 pour
échanger le trafic de redirection USB entre un
périphérique client externe et le poste de travail
distant.
Access Point se connectent à des postes de travail
distants sur le port HTTPS 22443 pour
communiquer avec l'agent Blast.
REMARQUE Access Point peut éventuellement écouter sur le port TCP 9443 le trafic de l'API REST
d'administrateur et envoyer les événements Syslog sur le port UDP 514 par défaut. Si un pare-feu est en
place pour cette communication, ces ports ne doivent pas être bloqués.
Topologies d' Access Point
Vous pouvez implémenter plusieurs topologies différentes.
Un dispositif Access Point dans la DMZ peut être configuré pour pointer vers une instance du Serveur de
connexion View ou vers un équilibrage de charge qui fait face à un groupe d'instances du Serveur de
connexion View. Les dispositifs Access Point fonctionnent avec des solutions d'équilibrage de charge tierces
standard qui sont configurées pour HTTPS.
Si le dispositif Access Point pointe vers un équilibrage de charge devant les instances du Serveur de
connexion View, la sélection de l'instance du Serveur de connexion View est dynamique. Par exemple,
l’équilibrage de charge peut faire une sélection en fonction de la disponibilité et de sa connaissance du
nombre de sessions actuelles sur chaque instance du Serveur de connexion View. En général, les instances
du Serveur de connexion View dans le pare-feu d'entreprise contiennent déjà un équilibrage de charge pour
prendre en charge l'accès interne. Avec Access Point, vous pouvez pointer le dispositif Access Point vers ce
même équilibrage de charge qui est souvent déjà en cours d'utilisation.
VMware, Inc. 13
DMZ
périphérique client
Dispositif
Access
Point
Serveur de
connexion
View
Microsoft
Active Directory
Hôtes ESXi exécutant
des machines virtuelles
de poste de travail virtuel
réseau externe
équilibrage
de charge
vCenter
Management Server
équilibrage
de charge
KEMP
KEMP
Déploiement et configuration d'Access Point
Figure 1‑3. Dispositif Access Point pointant vers un équilibrage de charge
14 VMware, Inc.
Chapitre 1 Présentation de Access Point
Vous pouvez également régler un ou plusieurs dispositifs Access Point pour qu'ils pointent vers une
instance du Serveur de connexion View individuelle, comme c'était le cas avec les serveurs de sécurité View.
Avec les deux approches, utilisez un équilibrage de charge devant deux dispositifs Access Point ou plus
dans la zone DMZ.
VMware, Inc. 15
DMZ
périphérique client
dispositif
Access
Point
Serveur de
connexion
View
Microsoft
Active Directory
Hôtes ESXi exécutant
des machines virtuelles
de poste de travail virtuel
réseau externe
équilibrage
de charge
vCenter
Management Server
KEMP
Déploiement et configuration d'Access Point
Figure 1‑4. Dispositif Access Point pointant vers une instance du Serveur de connexion View
16 VMware, Inc.
Configuration système requise et
déploiement 2
Vous déployez un dispositif Access Point à peu près comme vous déployez d'autres dispositifs virtuels
VMware.
Ce chapitre aborde les rubriques suivantes :
« Configuration système pour Access Point », page 17
n
« Préparation du Serveur de connexion View pour l'utiliser avec Access Point », page 18
n
« Déployer le dispositif Access Point », page 19
n
« Utilisation de VMware OVF Tool pour déployer le dispositif Access Point », page 21
n
« Propriétés du déploiement d'Access Point », page 23
n
Configuration système pour Access Point
Pour déployer le dispositif Access Point, assurez-vous que votre système répond à la configuration
matérielle et logicielle requise.
Exigences logicielles
Access Point 2.0 est conçu pour s'intégrer à Horizon 6 version 6.2.
Serveurs Horizon 6 : lors d'une mise à niveau de ces composants, assurez-vous que les instances du
n
Serveur de connexion View sont mises à niveau vers la version 6.2 avant d'utiliser des dispositifs
Access Point. Access Point n'est pas conçu pour interagir avec des versions antérieures du Serveur de
connexion.
Hôtes ESX/ESXi vSphere et vCenter Server : les dispositifs Access Point doivent être déployés sur une
n
version de vSphere qui est la même qu'une version prise en charge pour Horizon 6.2.
Pour plus d'informations sur les versions d'View compatibles avec les versions de vCenter Server et
d'ESXi, consultez la matrice d'interopérabilité des produits VMware à l'adresse
http://www.vmware.com/resources/compatibility/sim/interop_matrix.php.
Horizon Client : même si VMware vous recommande d'effectuer la mise à niveau vers la dernière
n
version des clients pour obtenir de nouvelles fonctionnalités et améliorer les performances,
Access Point 2.0 est conçu pour fonctionner avec toutes les versions de client prises en charge avec
Serveur de connexion View 6.2 et View Agent 6.2.
VMware, Inc.
17
Loading...