Prise en charge proxy pour les agents

La prise en charge proxy pour les agents Linux et Windows est désormais disponible avec la plateforme Ivanti Neurons.

Proxy pour les agents Linux

Ajout d'un proxy

Pour ajouter un nouveau serveur proxy, entrez
stagentctl proxy --add http://host:port

Seuls les proxies HTTP sans références d'authentification sont pris en charge.

Liste des proxies configurés

Pour afficher tous les proxies et exclusions configurés, entrez
stagentctl proxy --list

Suppression d'un proxy

  • Pour supprimer un proxy spécifique de la configuration, entrez
    stagentctl proxy --remove http://host:port

  • Pour supprimer tous les proxies configurés, entrez
    stagentctl proxy --remove all

  • Cette commande renvoie un état de configuration après exécution

    Si le résultat est « Aucun proxy configuré », cela signifie qu'il ne reste aucun proxy après l'exécution de la commande.

Gestion de l'exclusion de proxy

  • Pour gérer les hôtes qui doivent être accessibles directement, utilisez la commande suivante pour exclure un nom d'hôte spécifique, comme « host.com », entrez
    stagentctl proxy --addexclusion host.com

  • Pour les exclusions de correspondances de suffixe, utilisez la commande suivante pour exclure tous les hôtes finissant par « .org ».
    Par exemple, l'ajout de « .com » exclut tous les hôtes se terminant par « .com ».
    stagentctl proxy --addexclusion .org

  • Le point initial de la commande d'exclusion, par exemple « .org », sert de caractère générique, indiquant que tous les hôtes finissant par le suffixe spécifié doivent être exclus.

  • Pour désactiver complètement le proxy pour tous les hôtes, utilisez la commande suivante :
    stagentctl proxy --addexclusion "*"

  • Pour supprimer une exclusion d'hôte spécifique, utilisez la commande suivante :
    stagentctl proxy --removeexclusion host.com

  • Pour effacer toutes les exclusions, utilisez la commande suivante :
    stagentctl proxy --removeexclusion all

Inscription auprès de la configuration de proxy

  • Lors de l'inscription de l'agent, ajoutez un paramètre --addproxy comme
    stagentctl register --addproxy http://host:port.
    Ce proxy est utilisé pour l'inscription et est enregistré pour servir dans les communications futures.

  • De plus, au moment de l'inscription, la configuration est collectée à partir des variables d'environnement httpproxy ou HTTPPROXY, et enregistrée.

  • Il est également possible d'ajouter des proxies et des exclusions avec les commandes proxy --add et proxy --addexclusion, avant toute tentative d'inscription.

Serveurs proxy avec autorisation

  • Vous pouvez autoriser des serveurs proxy avec des références d'authentification, à l'aide de l'option --proxyauth lorsque vous ajoutez ou exécutez une inscription d'agent avec --addproxy.

  • Prend en charge les méthodes Digest, Négocier et NTLM pour l'autorisation.

  • Par exemple, utilisez la commande suivante lorsque vous utilisez un proxy avec autorisation :
    stagentctl proxy --add http://user:pass@host:port --proxyauth ntlm
    stagentctl register --addproxy http://user:pass@host:port --proxyauth ntlm

Vérifiez que le paramètre --authtype est fourni si vous disposez de références d'authentification pour authentifier le serveur proxy. L'ajout d'un proxy avec un nom d'hôte qui existe déjà écrase l'existant et applique les paramètres fournis (type d'authentification, port ou références d'authentification). Les variables d'environnement http_proxy et HTTP_PROXY sont ignorées, comme toutes les variables d'environnement liées au proxy.

Remarques importantes

  • Une liste de proxies est prise en charge. En cas d'échec de la connexion, le système tente d'utiliser le proxy suivant dans la liste, et finit par tenter une connexion sans proxy. Le cycle d'application revient au premier proxy une fois toutes les options épuisées ou si le détail est écoulé, en donnant la priorité aux entrées initiales.

  • La commande register --addproxy ajoute un proxy en début de liste, ce qui lui donne la priorité.

Sécurité et communication

L'application garantit que toutes les communications par proxy passent par un tunnel sécurisé avec la méthode CONNECT, ce qui convient aux communications cryptées où le proxy agit uniquement en tant que fournisseur de tunnel. Toutes les configurations de proxy sont validées pour garantir l'utilisation du schéma HTTP sans références d'authentification, et peuvent inclure un numéro de port.

Proxy pour les agents Windows

Le proxy Web pour les agents Windows peut être défini de plusieurs manières. Toutes les méthodes disposent des mêmes propriétés de proxy. La différence tient au point d'entrée. Sélectionnez la méthode voulue.

  • Méthode 1 : Définir des paramètres de proxy dans le cadre d'une installation d'agent.

  • Méthode 2 : Définir des paramètres de proxy pour un agent installé en cours d'inscription ou de réinscription.

  • Méthode 3 : Définir des paramètres de proxy pour un agent déjà installé et inscrit.

La configuration proxy existante d'un agent est écrasée lorsque vous utilisez l'une de ces méthodes.
Par exemple, pour un agent dont les paramètres de proxy explicites sont définis via proxyConfig, ces paramètres sont écrasés par toute inscription ultérieure.

Méthode 1 : Pendant l'installation initiale et l'inscription

Utilisez cette méthode lorsque la configuration de proxy est bien connue au moment de la configuration de l'agent, comme lors du déploiement en masse de nouveaux agents. Les propriétés de proxy peuvent être définies via la commande silencieuse en cas de déploiement en masse, ou bien dans l'interface d'inscription ou le fichier d'options qui l'accompagne pour les installations ponctuelles.

  • Une installation silencieuse (sans surveillance) lancée dans Neurons exige l'ajout de propriétés de proxy à la commande.

Par exemple : IvantiCloudAgent.exe --tenantid 11111… --activationkey BLtwU… --cloudhost https://xxx.ivanticloud.com --mode unattended --proxyMode Custom --proxyServerList ProxyServer.localdomain.com:8080 --proxyBypassList contoso.org;acme.com --proxyAuthType Basic --proxyUsername admin1 --proxyPassword password1

  • Une installation interactive lancée dans Neurons exige l'ajout de propriétés de proxy dans le fichier d'options qui l'accompagne.

Par exemple :

tenantid=1111….

activationkey=BLtwU….

cloudhost=https://xxx.ivanticloud.com

proxyMode=Personnalisé

proxyServerList=ProxyServer.localdomain.com:8080

proxyBypassList=contoso.org;acme.com

proxyAuthType=De base

proxyUsername=admin1

proxyPassword=password1

  • En alternative à une installation interactive, spécifiez les paramètres dans l'interface d'inscription, sous Configurer le proxy.

Méthode 2 : Configuration d'inscription explicite

Utilisez cette méthode lorsque l'inscription (ou la réinscription) est requise mais que la réinstallation n'est pas requise. Autrement dit, l'agent est déjà installé mais l'inscription nécessite des modifications. Cette approche nécessite également de disposer d'informations d'inscription, en plus des informations de proxy.

L'outil STAgentManagement est disponible avec les agents installés dans C:\Program Files\Ivanti\Ivanti Cloud Agent.

Exécutez ./STAgentManagement.exe directement pour obtenir la documentation d'aide.

  • Utilisez l'indicateur silencieux pour utiliser uniquement la ligne de commande

STAgentManagement.exe -register -p silent=true -p proxyMode=Custom -p proxyServerList=ProxyServer.localdomain.com:8080 -p proxyAuthType=Basic proxyUsername=admin1

proxyPassword=password1 <and additional arguments for registration>

  • Exécutez la commande register pour afficher les interfaces d'inscription et de configuration de proxy.

STAgentManagement.exe -register

Méthode 3 : Configuration explicite du proxy

Utilisez cette méthode lorsque des mises à jour du proxy Web sont requises sans modifications de l'inscription ou de l'installation.
Par exemple, les références d'authentification du proxy ou le serveur proxy ont changé.

L'outil STAgentManagement est disponible pour les agents installés, dans C:\Program Files\Ivanti\Ivanti Cloud Agent.

Exécutez ./STAgentManagement.exe directement pour obtenir la documentation d'aide.

  • Utilisez l'indicateur silencieux pour utiliser uniquement la ligne de commande.

STAgentManagement.exe -proxyConfig -p silent=true -p proxyMode=Custom -p proxyServerList=ProxyServer.localdomain.com:8080 -p proxyAuthType=Basic proxyUsername=admin1 proxyPassword=password1

  • Exécutez la commande proxyConfig pour afficher l'interface Configuration de proxy.

STAgentManagement.exe -proxyConfig

Propriétés de proxy pour les clients Windows :

  1. Mode Proxy
    Description : Définit le mode Proxy.

    • « Aucun » signifie qu'aucun proxy n'est utilisé.

    • « Auto » fait référence au mode Proxy détecté dans les paramètres d'OS actuels. Il s'agit du mode par défaut.

    • « Personnalisé » fait référence aux autres propriétés de proxy utilisées.

  2. Liste de serveurs
    Description : Nom du serveur proxy et port correspondant ; plusieurs serveurs peuvent être spécifiés.

  3. Liste de contournement
    Description : Adresses que le proxy est autorisé à contourner.

  4. Type d'auth.
    Description : Définit le type d'authentification pour le proxy.

    • Pour l'option « De base », vous devez définir un nom d'utilisateur et un mot de passe, que le système utilisera.

    • Les autres options sont « Digest », « NTLM », « Négocier » et « Aucun », qui signifie qu'aucune référence d'authentification n'est utilisée.

    • Aucun est la valeur par défaut.

  5. Nom d'utilisateur et Mot de passe
    Description : Les références d'authentification sont stockées en mode sécurisé pour être utilisées avec l'authentification de type De base.

  6. Mettre à jour le proxy WinHttp
    Description : Option disponible uniquement via la ligne de commande, pas dans une interface graphique. Seuls les clients qui veulent éviter que l'agent n'interfère avec les paramètres de proxy WinHTTP doivent définir cette option. Pour en savoir plus, reportez-vous à « Désactivation des paramètres de proxy WinHTTP ».