- Créé par Arnaud d'Alayer, dernière modification le juil. 29, 2018
Vous regardez une version antérieure (v. /pages/viewpage.action?pageId=132192415) de cette page.
afficher les différences afficher l'historique de la page
« Afficher la version précédente Vous regardez la version actuelle de cette page. (v. 2) afficher la version suivante »
Jusqu'à maintenant, le réseau filaire dans lequel résident les prises réseau de l’UdeM était majoritairement ouvert et public. Par conséquent, les serveurs, les postes de travail et autres équipements branchés aux prises réseau étaient exposés à des risques de sécurité.
Les Technologies de l’information (TI) ont entrepris un projet de sécurisation du réseau et l’EBSI a été sélectionnée pour participer à un pilote pour la mise en œuvre de cette solution.
Pour plus de renseignements : http://ti.umontreal.ca/reseau/reseau_securise.html
Le réseau sécurisé vise à contrôler l’accès aux appareils et services connectés au réseau de l'UdeM, notamment en accordant des droits d'accès en fonction de la communauté à laquelle appartient un utilisateur donné.
Il existe trois communautés d'utilisateurs :
- employé (qui inclut les professeurs)
- étudiant
- invité
Ainsi, même si un appareil non institutionnel (exemple, un poste personnel) est branché dans une prise réseau sécurisée du bureau d'un membre du personnel, les droits et accès sur le réseau seront uniquement accordés en fonction de la communauté à laquelle appartient l’utilisateur de l’appareil en question lors de son authentification (via la page d'authentification qui apparaitra dans le fureteur, ou via le « supplicant 802.1x » si celui-ci est actif).
Pour plus de renseignements : http://ti.umontreal.ca/reseau/802_utilisation.html
Toutes les prises réseau accessibles dans les divers locaux de l’EBSI (bureaux, laboratoires, etc.) sont désormais migrées dans le réseau sécurisé.
Cependant, pour diverses raisons, notamment de sécurité, mais aussi de gestion (uniformisation de la configuration du parc), certains appareils ont été systématiquement compartimentés dans une communauté, quel que soit le statut de l’usager qui l’utilise. Par exemple, les postes des laboratoires d’informatiques de l’EBSI (C-2003, C-2027, C-2035 et C-2043) appartiennent à communauté « étudiant ».
En effet, l’équipe des laboratoires travaille de manière concertée avec les TI pour que les besoins et activités des différents utilisateurs soient pris en compte. Néanmoins, il est possible que de nouvelles approches dans l’utilisation de vos équipements ou environnements vous soient proposées pour que celles-ci soient conformes avec les mécanismes de sécurité mis en place.
L’implantation du réseau sécurisé n’a aucun impact sur vos activités académiques réalisées à l’EBSI (accès au Portail UdeM, StudiUM, impression libre-service du SIUM, etc.).
Comme pour les autres étudiants, l’implantation du réseau sécurisé n’a aucun impact sur vos activités académiques réalisées à l’EBSI (accès au Portail UdeM, StudiUM, impression libre-service du SIUM, etc.).
Cependant, puisque les postes des laboratoires ont été systématiquement compartimentés dans la communauté « étudiant » du réseau sécurisé, vous pourriez ne pas être en mesure d’accéder à des appareils ou services auxquels vous disposez de droits d'accès en tant qu'employé. Ainsi, vous ne pourrez pas être en mesure d’utiliser les postes des laboratoires de l’EBSI pour des activités professionnelles, comme initialiser une session « Bureau à distance » vers un poste qui serait dans la communauté « employé ».
La migration dans le réseau sécurisé aura un impact sur vos habitudes de télétravail si un poste de travail dans le C-2003 vous a été attitré, et que vous y accédez en « Bureau à distance ».
Voici les deux changements que vous devez retenir :
- Adresse de votre poste de travail : l’adresse que vous entrez pour vous connecter en « Bureau à distance » . doit désormais être sous la forme « ebsidXX-l-ebsi.fil.umontreal.ca ».
- Vous devez désormais initialiser une connexion VPN avec les clients VPN WSAM (Windows Secure Application Manager) si votre poste personnel est sous Windows), ou JSAM (Java Secure Application Manager) si votre poste personnel est un Mac.
Pour plus de renseignements, veuillez consulter la section Configuration et utilisation du « Bureau à distance » de la page Télétravail à l'EBSI .
La migration dans le réseau sécurisé aura essentiellement un impact sur vos habitudes de télétravail si vous accéder à votre poste de travail en « Bureau à distance » ..
En effet, l’adresse pour vous entrez pour vous connecter en « Bureau à distance » doit désormais être sous la forme « i123456-ebsi.fil.umontreal.ca » .
Pour plus de renseignements, veuillez consulter l a section Configuration et utilisation du « bureau à distance » de la page Télétravail à l'EBSI .
Télétravail
Habituellement la pratique du télétravail consiste à apporter votre ordinateur portable à l’extérieur du campus, et à initialiser une connexion VPN via Network Connect pour l’accès à certains services, la migration dans le réseau sécurisé n'a donc pas d'impact sur cet aspect.
Utilisation d'un poste « non géré par les TI » sur le réseau filaire
La migration dans le réseau sécurisé aura essentiellement un impact dans le cas où vous utilisez la prise réseau de votre bureau (le réseau sans-fil « UdeM avec Cryptage » est déjà dans le réseau sécurisé), et que votre poste de travail n’est pas inscrit dans le domaine SIM (et n’a donc pas été automatiquement configuré).
Si vous êtes dans un tel cas, nous vous invitons à suivre la procédure de configuration pour un poste « non géré par les TI » de la page suivante pour l’activation du « supplicant 802.1x » : http://ti.umontreal.ca/reseau/802_configuration.html
Inscription d'un poste sur le réseau
Il ne sera plus requis de procéder à l’inscription DHCP de votre poste de travail sur le réseau pour utiliser le réseau filaire.
N’hésitez pas à consulter l’équipe des laboratoires pour plus de renseignements.
Non. Le réseau sécurisé a pour objectif de sécuriser l’accès par le réseau aux appareils et services connecté au réseau de l’UdeM.
Ainsi, la gestion des privilèges sur les postes de travail (par exemple : utilisateur ou administrateur local) ou les droits d’accès aux partages de fichiers et aux documents (les « droits NTFS ») s’appliquent toujours.
En réalité, ces différents mécanismes se combinent : par exemple, pour être en mesure d’accéder à un service activé sur un appareil ou serveur (« Bureau à distance » ., imprimante locale partagée, partage de fichiers Windows, etc.), l’utilisateur doit être dans la communauté du réseau desservie, et avoir des droits d’accès au service en question.
En raison de ce niveau de complexité supplémentaire, n’hésitez pas à contacter l’équipe des laboratoires pour obtenir de l’aide sur la mise en œuvre de vos solutions technologiques.
Le « supplicant 802.1x » est un composant du système d’exploitation permettant d’authentifier un utilisateur sur le réseau sécurisé, et donc de placer son appareil dans la bonne communauté.
Par défaut, le supplicant est activé automatiquement sur les postes « gérés par les TI », c’est-à-dire inscrits dans le domaine SIM.
Puisque le réseau sans fil « UdeM avec cryptage » est déjà dans le réseau sécurisé, l’activation du supplicant 802.1x sur un poste personnel n’est utile que lors d’une utilisation fréquente d’une prise réseau (évitant ainsi d’avoir à s’authentifier manuellement lors de la première ouverture de votre fureteur et d’établir une connexion VPN).
Si vous êtes dans un tel cas, nous vous invitons à suivre la procédure de configuration pour un poste « non géré par les TI » de la page suivante pour l’activation du « supplicant 802.1x » : http://ti.umontreal.ca/reseau/802_configuration.html
Ce sont les droits de plus haut niveau qui vous seront accordés, c’est-à-dire que vous appartiendrez à la communauté « employé », sauf :
- à partir des postes des laboratoires de l’EBSI, qui sont compartimentés dans la communauté « étudiant »;
- ou d’un poste personnel branché à une prise réseau et sans supplicant 802.1x ou connexion VPN actifs; sans supplicant 802.1x ou connexion VPN active, un poste branché à une prise réseau est placé dans la communauté « invité ».
Veuillez consultez la section Configuration et utilisation du « Bureau à distance » de la page Télétravail à l'EBSI.
Lorsque vous accédez au site https://vpn.umontreal.ca/, deux méthodes de connexion VPN vous sont proposées : une connexion via Network Connect, ou via WSAM (Windows Secure Application Manager) pour les utilisateurs Windows ou JSAM (Java Secure Application Manager) pour les utilisateurs Mac.
- Une connexion VPN via Network Connect accorde à l’utilisateur les droits d’accès selon sa communauté.
Par exemple, un étudiant qui initialise une connexion VPN depuis son poste personnel disposera sur l’intranet de l’UdeM des droits et accès associés à cette communauté. - Une connexion VPN via WSAM ou JSAM permet à un utilisateur d’accéder à des appareils ou services qui ne sont initialement pas accessibles depuis sa communauté, mais pour lesquels des droits lui ont été expressément accordés.
- Aucune étiquette