Configuration d'Ivanti Cloud Services Appliance

Ivanti Cloud Services Appliance (CSA) est un dispositif Internet qui offre des fonctions et une communication sécurisées via Internet. Il fait office de point de rencontre où la console et les périphériques gérés sont connectés via leurs connexions Internet, même s'ils se trouvent derrière des pare-feux ou s'ils utilisent un proxy pour accéder à Internet.

Cette rubrique traite des sujets suivants :

• Configuration du serveur principal pour utiliser un Cloud Services Appliance
• Gestion des certificats client
• Création d'un paquet d'agent de contrôle à distance à la demande

Visitez l'espace CSA sur le site de la communauté Ivanti pour en savoir plus sur CSA :

• Best Known Method for Installing and Configuring LANDesk Cloud Service Appliance (Meilleure méthode connue pour installer et configurer le CSA)
• How to Add a Third Party Certificate to a Cloud Service Appliance (Comment ajouter un certificat tiers à un CSA)
• Ivanti Cloud Services Appliance information (Informations sur Ivanti CSA)

Utilisation de plusieurs Cloud Services Appliances

Vous pouvez ajouter plusieurs CSA. Par exemple, cela peut vous permettre d'équilibrer les charges de traitement CSA. Lorsque vous configurez le serveur principal afin d'utiliser plusieurs CSA, les périphériques gérés peuvent utiliser n'importe lequel des CSA configurés pour se connecter au serveur principal. Le CSA qu'un périphérique géré utilise dépend du CSA spécifié dans la configuration d'agent de ce périphérique. Il n'y a aucun équilibrage de charge ni basculement automatique. Pour équilibrer les charges CSA, créez une configuration d'agent personnalisée pour chaque CSA et déployez sélectivement ces configurations d'agent.

Configuration du serveur principal pour utiliser un Cloud Services Appliance

Cloud Services Appliance (CSA) est disponible pour achat séparé, sous forme d'image de machine virtuelle VMWare. Après avoir installé un CSA, vous devez configurer le serveur principal pour l'utiliser.

L'option Configuration > Gérer les Cloud Services Appliances est disponible uniquement depuis la console de gestion du serveur principal. Les autres consoles ne comportent pas cette option. Seuls les utilisateurs dotés du droit Administrateur Ivanti peuvent modifier une configuration CSA.

Pour connecter un Cloud Service Appliance au serveur principal

1. Dans la console de gestion du serveur principal, cliquez sur Configuration > Gérer les Cloud Services Appliances.
2. Dans l'onglet Cloud Services Appliances, spécifiez les informations du CSA.
3. Si le CSA utilise une adresse interne différente de son adresse publique (par exemple, s'il est situé dans un environnement DMZ), remplissez les champs Nom interne CSA et Adresse IP interne CSA.
4. Si le serveur principal doit se connecter au CSA via un proxy, sélectionnez l'option Utiliser un proxy et spécifiez les paramètres du proxy.
5. Cliquez sur Appliquer. Si les paramètres CSA sont corrects, le nouveau CSA s'affiche dans la liste.

Vous pouvez également sélectionner n'importe quel CSA dans la liste et changer ses paramètres dans la zone de droite. Cliquez sur Appliquer lorsque vous avez terminé vos changements. Le serveur principal se connecte ensuite au CSA et s'inscrit auprès de lui en installant le certificat de sécurité de serveur principal sur le CSA.

Gestion des certificats client

Chaque périphérique géré doit disposer d'un certificat numérique valide pour se connecter via le CSA. Si la sécurité basée sur un certificat client est activée sur votre serveur principal, les agents Ivanti des périphériques gérés ont également besoin d'un certificat valide pour décrypter les données sécurisées du serveur principal. Ces certificats sont générés automatiquement pendant l'installation de l'agent, mais leur valeur par défaut est l'état Non approuvé. Cela interdit la communication via le CSA et le décryptage des données sécurisées du serveur principal.

Vous pouvez gérer la liste des périphériques ayant reçu des certificats, en bloquant ou supprimant ces certificats de périphérique. Utilisez la zone de recherche pour filtrer facilement la liste.

Approuvez les certificats de périphérique pour permettre l'accès au CSA et le décryptage des données principales sécurisées. Par défaut, le serveur principal vous avertit lorsque le nombre de certificats non approuvés est supérieur ou égal à 10. Vous pouvez personnaliser ou désactiver cette notification au bas de la boîte de dialogue.

Bloquez un certificat de périphérique pour l'empêcher temporairement d'utiliser le CSA pour communiquer avec le serveur principal ou décrypter les données sécurisées. Vous pouvez ensuite le débloquer pour restaurer l'accès.

Si vous supprimez un certificat de périphérique, il disparaît de la liste. Le certificat reste cependant sur le périphérique. Si ce périphérique tente ultérieurement de se reconnecter ou bien lorsqu'il exécute une analyse de sécurité (qui déclenche une tentative de reconnexion), il réapparaît dans la liste.

Les périphériques bloqués ou supprimés peuvent toujours communiquer avec le serveur principal s'ils se trouvent sur le même réseau que ce serveur principal et si l'option Déterminer de manière dynamique la route de connexion a été sélectionnée dans l'outil Paramètres d'agent, sous Paramètres de connectivité client.

Il existe également une option Approuver automatiquement les nouveaux certificats. Cette option est déconseillée car elle permet à tous les nouveaux périphériques d'accéder au serveur principal. Cependant, dans certains cas, les administrateurs peuvent souhaiter activer brièvement cette option, par exemple pour l'inscription d'un grand nombre de périphériques.

Pour approuver, bloquer ou supprimer des certificats de périphérique

1. Dans la console de gestion du serveur principal, cliquez sur Configuration > Gérer les Cloud Services Appliances.
2. Dans l'onglet Gérer le certificat client, sélectionnez les périphériques à approuver, à bloquer ou à supprimer. Vous pouvez utiliser Maj+clic ou Ctrl+clic pour sélectionner plusieurs périphériques.
3. Cliquez sur Approuver la sélection pour approuver les certificats de périphérique sélectionnés.
4. Cliquez sur Bloquer la sélection pour bloquer les certificats de périphérique sélectionnés.
5. Cliquez sur Supprimer la sélection pour supprimer les certificats de périphérique sélectionnés depuis le serveur principal.
6. Une fois l'opération terminée, cliquez sur Appliquer.

Création d'un paquet d'agent de contrôle à distance à la demande

Vous pouvez créer un paquet d'exécutable d'agent de contrôle à distance à la demande, qui peut être téléchargé par les périphériques non configurés pour la connexion via le CSA. Cela permet de les contrôler à distance via le CSA.

L'agent de contrôle à distance téléchargeable comporte deux parties :

• CSA à utiliser.
• Fichier de paramètres de contrôle à distance qui spécifie les fonctions de contrôle à distance à autoriser.

Lorsque vous créez un paquet de contrôle à distance, assurez-vous que vous avez sélectionné (dans la zone Paramètres de sécurité) l'option Modèle local ou Sécurité Windows NT. CSA ne prend pas en charge l'option Sécurité intégrée.

Pour créer un agent de contrôle à distance à la demande

1. Cliquez sur Configuration > Gérer les Cloud Services Appliances.
2. Dans l'onglet Agent de contrôle à distance, sélectionnez le CSA et le profil de paramètres de contrôle à distance à utiliser.
3. Cliquez sur Créer.
4. Spécifiez l'emplacement dans lequel enregistrer l'agent de contrôle à distance.
5. Cliquez sur Enregistrer.

Une fois l'agent de contrôle à distance créé, vous pouvez le distribuer sur un lecteur USB ou le publier dans un emplacement accessible depuis lequel les périphériques gérés peuvent le télécharger.