Configuration d'un Firewall pour Adélia Studio

Le firewall doit permettre l'utilisation de RPC pour Adélia. On distingue deux cas d'utilisation :

 

A) Configuration du pare-feu Windows

Si le pare-feu Windows est activé sur la machine qui fait tourner le serveur de licence Adélia, vous devez créer des exceptions pour le serveur de licences dans le pare-feu de Windows.


Vous devez autoriser les connexions aux programmes suivants (Adélia est ici installé dans C:\ADELIWS) :

 

ProgrammeExécutable
 Gestionnaire de licences Adélia/IWS 8.0C:\ADELIWS\RPCADEL.EXE
Gestionnaire de licences Adélia/IWS 8.2 / 8.3C:\ADELIWS\ADELREG.EXE
 Gestionnaire de licences Adélia Studio 9 C:\ADELIWS\LICSRV.EXE
Gestionnaire de licences Adélia Studio 10 et >C:\ADELIWS\LICMGR.EXE
Démon middleware Adélia (toutes versions)C:\ADELIWS\MWDAEMON.EXE

 

Notes :

l'autorisation au gestionnaire de licences n'est nécessaire que si le poste porte une clé de licence Adélia.
l'autorisation du middleware n'est nécessaire que si le poste exécute des programmes serveur (parties serveur de programmes générées ou serveur de compilation)

 

1) Windows XP SP2

Vous accédez aux paramètres du pare-feu par l'onglet "Avancé" de la boite de propriétés de votre carte réseau (dans le panneau de configuration, sélectionnez "Connexions réseau", puis votre interface réseau, et choisissez l'option "Propriétés" dans le menu contextuel.

Pour désactiver le pare-feu, sélectionnez l'option "Désactivé" dans l'onglet "Général".

Pour créer des exceptions, sélectionnez l'onglet "Exceptions", et l'option "Ajouter un programme" (laissez le pare-feu activé)

 

2) Windows 7 et Windows Server 2008

Vous devez créer des règles de trafic entrant pour le serveur de licence et le démon Adélia. L'exemple ci-dessous est pour le serveur de licence.

Accédez aux paramètres avancés du pare-feu via le panneau de configuration, et sélectionnez le noeud "Règles de trafic entrant".

Sélectionnez l'option "Nouvelle règle..." dans le volet "Actions" :

Créez une règle de type "Programme", et cliquez sur "Suivant".

 

Sélectionnez le programme à autoriser et cliquez sur "Suivant".

Sélectionnez "Autoriser la connexion" et cliquez sur "Suivant".

Définissez les profils d'utilisation et cliquez "Suivant". Vous devez au moins sélectionner le profil "Domaine".

Saisissez un nom et éventuellement une description pour la règle, et cliquez "Terminer" pour activer la règle.

 


B) Configuration d'un pare-feu dans le cas général


Cette section explique comment ouvrir les ports nécessaires dans le cas général. Pour le démon Adélia, il suffit d'ouvrir le port du démon (910 par défaut pour le démon Windows ou AS/400, 3500 par défaut pour un démon Java), en entrée et en sortie.

Pour le serveur de licence, il faut ouvrir les ports RPC. Les exemples ci dessous explicitent la configuration du serveur de licences, et sont fournis avec des captures d'écran de la définition des rêgles pour le firewall AtGuard.


3 méthodes sont envisageables :

1) Ouverture globale

Avantage: simplicité

Inconvénients: tous les ports > 1024 sont ouverts, le système d'appel RPC est ouvert (faille de sécurité potentielle).

a) Configuration du firewall

Le port 135 (epmap) doit être ouvert en entrée et en sortie.

     

Tous les ports > 1024 doivent être ouverts en entrée et en sortie.

     

 

2) Ouverture d'une plage de port spécifique

Avantage: simplicité relative

Inconvénients: le système d'appel RPC est ouvert (faille de sécurité potentielle).

Dans cet exemple, nous réserverons la plage 5000-5050 pour l'allocation dynamique de port.


a) Configuration du serveur

Le serveur doit être reconfiguré pour définir une plage de port au niveau du protocole RPC. Cela se fait en ajoutant certaines clés dans la base de registre.

Utilisez l'éditeur 32bits (regedt32.exe) pour modifier la base - l'éditeur normal (regedit.exe) ne permet pas de créer de clé de type REG_MULTI_SZ...

ATTENTION : toute modification de la base de registre doit être faite avec précautions (risque d'endommagement du système) - notamment faites une sauvegarde.

Vous devez créer la clé suivante dans la base de registre: HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\Internet.

Dans cette clé, vous devez créer les valeurs suivantes :

Ports type REG_MULTI_SZ valeur 5000-5050
PortsInternetAvailable type REG_SZ valeur Y
UseInternetPorts type REG_SZ valeur Y

Note : la valeur Ports permet de spécifier différentes plages de ports sur plusieurs lignes.

ATTENTION:

Microsoft recommande de réserver au moins 20 ports à l'usage de RPC, de préférence au dela du port 5000.

 

b) Configuration du firewall

Le port 135 (epmap) doit être ouvert en entrée et en sortie.

     

Tous les ports de la plage définie doivent être ouverts en entrée et en sortie.

     

 

3) Configuration d'Adélia/IWS pour l'utilisation d'un port unique

Avantages: sécurité (le portmapper RPC n'est pas ouvert)

Inconvénients: nécessite une configuration sur le poste serveur et sur chaque poste client situé derrière le firewall.

Un poste client configuré ainsi ne peut accéder qu'à un serveur ayant cette configuration.

Un poste client non configuré peut accéder à tout poste serveur, à condition de ne pas passer par le firewall (il n'est pas nécessaire de configurer les postes clients situés du même coté que le serveur).

Vous devez réserver un port au niveau de la machine serveur et de chaque poste client, s'il est situé derière le firewall. Dans l'exemple, nous utiliserons le port 55000.

Cette méthode nécessite la version 8.3 d'Adélia/IWS, ou un patch spécifique de la 8.2 disponible sur demande.


a) Réservation au niveau du fichier de service

Sur le serveur et sur les clients vous devez ajouter une ligne au fichier "services" de la machine (c:\winnt\system32\drivers\etc\services sur Windows NT, c:\windows\services sur Windows 9x, Me) :

Extrait du fichier services :
...
radacct 1813/udp #Protocole de gestion de comptes RADIUS
nfsd 2049/udp nfs #Serveur NFS
knetd 2053/tcp #D‚multiplexeur Kerberos
man 9535/tcp #Serveur MAN distant

adelreg 55000/tcp #connection port for the adelia registration service

Attention : dans le cas où c'est la dernière ligne du fichier "services", penser à bien faire un retour chariot à la fin.
Après la modification du fichier "services" sur le serveur de licence vous devez arrêter et redémarrer le service de licence d'Adélia (en V10 : le service "Adelia - Licence manager")

 

b) Ouverture du port en entrée et en sortie sur le firewall

De façon générale, le port 135 (epmap) doit être ouvert en entrée et en sortie.

     

Le port choisi (55000 ici) doit être ouvert en entrée et en sortie sur le firewall.

     

 

C) Tester la connexion aux services

Pour tester la connexion au démon Adélia, faites un telnet sur le port du démon depuis une machine distante. Si tout vas bien, vous devriez obtenir l'invite de commandes du démon :

C:\> telnet ps747 910

Tapez "quit" pour fermer la connexion.

Note : telnet n'est pas installé par défaut sur Windows 7. Vous pouvez l'installer par l'option "Activer ou désactiver des fonctionnalités Windows" du panneau de configuration, cocher la case "Client telnet".


Pour tester la connexion au serveur de licence, connectez vous via le gestionnaire de licence depuis une machine distante.