- Créé par Arnaud d'Alayer, dernière modification le juil. 30, 2019
Vous regardez une version antérieure (v. /pages/viewpage.action?pageId=132192415) de cette page.
afficher les différences afficher l'historique de la page
« Afficher la version précédente Vous regardez la version actuelle de cette page. (v. 5) afficher la version suivante »
Jusqu'à maintenant, le réseau filaire dans lequel résident les prises réseau de l’UdeM était majoritairement ouvert et public. Par conséquent, les serveurs, les postes de travail et autres équipements branchés aux prises réseau étaient exposés à des risques de sécurité.
Les Technologies de l’information (TI) ont entrepris un projet de sécurisation du réseau et l’EBSI a été sélectionnée pour participer à un pilote pour la mise en œuvre de cette solution.
Pour plus de renseignements : TI - Projet de sécurisation des prises réseau - Utilisateurs UdeM.
Le réseau sécurisé vise à contrôler l’accès aux appareils et services connectés au réseau de l'UdeM, notamment en accordant des droits d'accès en fonction de la communauté à laquelle appartient un utilisateur donné.
Il existe trois communautés d'utilisateurs :
- employé (qui inclut les professeurs)
- étudiant
- invité
Ainsi, même si un appareil non institutionnel (exemple, un poste personnel) est branché dans une prise réseau sécurisée du bureau d'un membre du personnel, les droits et accès sur le réseau seront uniquement accordés en fonction de la communauté à laquelle appartient l’utilisateur de l’appareil en question lors de son authentification (via la page d'authentification qui apparaitra dans le fureteur, ou via le « supplicant 802.1x » si celui-ci est actif).
Toutes les prises réseau accessibles dans les divers locaux de l’EBSI (bureaux, laboratoires, etc.) sont désormais migrées dans le réseau sécurisé.
Cependant, pour diverses raisons, notamment de sécurité, mais aussi de gestion (uniformisation de la configuration du parc), certains appareils ont été systématiquement compartimentés dans une communauté, quel que soit le statut de l’usager qui l’utilise. Par exemple, les postes des laboratoires d’informatiques de l’EBSI (C-2003, C-2027, C-2035 et C-2043) appartiennent à communauté « étudiant ».
En effet, l’équipe des laboratoires travaille de manière concertée avec les TI pour que les besoins et activités des différents utilisateurs soient pris en compte. Néanmoins, il est possible que de nouvelles approches dans l’utilisation de vos équipements ou environnements vous soient proposées pour que celles-ci soient conformes avec les mécanismes de sécurité mis en place.
L’implantation du réseau sécurisé n’a aucun impact sur vos activités académiques réalisées à l’EBSI (accès au Portail UdeM, StudiUM, impression libre-service du SIUM, etc.).
Comme pour les autres étudiants, l’implantation du réseau sécurisé n’a aucun impact sur vos activités académiques réalisées à l’EBSI (accès au Portail UdeM, StudiUM, impression libre-service du SIUM, etc.).
Cependant, puisque les postes des laboratoires ont été systématiquement compartimentés dans la communauté « étudiant » du réseau sécurisé, vous pourriez ne pas être en mesure d’accéder à des appareils ou services auxquels vous disposez de droits d'accès en tant qu'employé. Ainsi, vous ne pourrez pas être en mesure d’utiliser les postes des laboratoires de l’EBSI pour des activités professionnelles, comme initialiser une session « Bureau à distance » vers un poste qui serait dans la communauté « employé ».
La migration dans le réseau sécurisé aura un impact sur vos habitudes de télétravail si un poste de travail dans le C-2003 vous a été attitré, et que vous y accédez en « Bureau à distance ».
Voici les deux changements que vous devez retenir :
- Adresse de votre poste de travail : l’adresse que vous entrez pour vous connecter en « Bureau à distance » . doit désormais être sous la forme « ebsidXX-l-ebsi.fil.umontreal.ca ».
- Vous devez désormais initialiser une connexion VPN Pulse « Udem SAM » si votre poste personnel est sous Windows, ou JSAM (Java Secure Application Manager) si votre poste personnel est un Mac.
Pour plus de renseignements, veuillez consulter la section Configuration et utilisation du « Bureau à distance » de la page Télétravail à l'EBSI.
La migration dans le réseau sécurisé aura essentiellement un impact sur vos habitudes de télétravail si vous accédez à votre poste de travail en « Bureau à distance ».
En effet, une permission doit vous avoir été accordée par les TI et l’adresse pour vous connecter en « Bureau à distance » doit être entrée sous la forme « i123456-ebsi.fil.umontreal.ca ».
Pour plus de renseignements, veuillez consulter la section Configuration et utilisation du « bureau à distance » de la page Télétravail à l'EBSI.
Télétravail
Habituellement la pratique du télétravail consiste à apporter votre ordinateur portable à l’extérieur du campus, et à initialiser une connexion VPN pour l’accès à certains services, la migration dans le réseau sécurisé n'a donc pas d'impact sur cet aspect.
Utilisation d'un poste « non géré par les TI » sur le réseau filaire
La migration dans le réseau sécurisé aura essentiellement un impact dans le cas où vous utilisez la prise réseau de votre bureau (le réseau sans-fil « UdeM avec Cryptage » est déjà dans le réseau sécurisé), et que votre poste de travail n’est pas inscrit dans le domaine SIM (et n’a donc pas été automatiquement configuré).
Si vous êtes dans un tel cas, nous vous invitons à suivre la procédure « Configuration pour les postes Windows en vue de l’authentification via un supplicant 802.1x » : https://ti.umontreal.ca/documents/Configuration_postes%20Windows_authentification_supplicant%20802_1x_v2.pdf
Inscription d'un poste sur le réseau
Il ne sera plus requis de procéder à l’inscription DHCP de votre poste de travail sur le réseau pour utiliser le réseau filaire.
N’hésitez pas à consulter l’équipe des laboratoires pour plus de renseignements.
Non. Le réseau sécurisé a pour objectif de sécuriser l’accès par le réseau aux appareils et services connecté au réseau de l’UdeM.
Ainsi, la gestion des privilèges sur les postes de travail (par exemple : utilisateur ou administrateur local) ou les droits d’accès aux partages de fichiers et aux documents (les « droits NTFS ») s’appliquent toujours.
En réalité, ces différents mécanismes se combinent : par exemple, pour être en mesure d’accéder à un service activé sur un appareil ou serveur (« Bureau à distance » ., imprimante locale partagée, partage de fichiers Windows, etc.), l’utilisateur doit être dans la communauté du réseau desservie, et avoir des droits d’accès au service en question.
En raison de ce niveau de complexité supplémentaire, n’hésitez pas à contacter l’équipe des laboratoires pour obtenir de l’aide sur la mise en œuvre de vos solutions technologiques.
Le « supplicant 802.1x » est un composant du système d’exploitation permettant d’authentifier un utilisateur sur le réseau sécurisé, et donc de placer son appareil dans la bonne communauté.
Par défaut, le supplicant est activé automatiquement sur les postes « gérés par les TI », c’est-à-dire inscrits dans le domaine SIM.
Puisque le réseau sans fil « UdeM avec cryptage » est déjà dans le réseau sécurisé, l’activation du supplicant 802.1x sur un poste personnel n’est utile que lors d’une utilisation fréquente d’une prise réseau (évitant ainsi d’avoir à s’authentifier manuellement lors de la première ouverture de votre fureteur et d’établir une connexion VPN).
Si vous êtes dans un tel cas, nous vous invitons à suivre la procédure « Configuration pour les postes Windows en vue de l’authentification via un supplicant 802.1x » : https://ti.umontreal.ca/documents/Configuration_postes%20Windows_authentification_supplicant%20802_1x_v2.pdf
Ce sont les droits de plus haut niveau qui vous seront accordés, c’est-à-dire que vous appartiendrez à la communauté « employé », sauf :
- À partir des postes des laboratoires de l’EBSI, qui sont compartimentés dans la communauté « étudiant ».
Néanmoins, vous pouvez avoir accès aux ressources de la communauté « employé » à partir de ces postes en exécutant une connexion VPN Pulse « UdeM Campus » à partir du site https://vpn.umontreal.ca/. - À partir d’un poste personnel branché à une prise réseau et sans supplicant 802.1x ou sans connexion VPN Pulse « UdeM Campus » , qui est alors placé dans la communauté « invité ».
Veuillez consultez la section Configuration et utilisation du « Bureau à distance » de la page Télétravail à l'EBSI.
- Une connexion VPN Pulse « UdeM Campus » accorde à l’utilisateur les droits d’accès selon sa communauté.
Par exemple, un étudiant qui initialise une connexion VPN depuis son poste personnel disposera sur l’intranet de l’UdeM des droits et accès associés à cette communauté. - Une connexion VPN Pulse « UdeM SAM » sous Windows ou JSAM (Java Secure Application Manager) pour les utilisateurs Mac, permet à un utilisateur d’accéder à des appareils ou services qui ne sont initialement pas accessibles depuis sa communauté, mais pour lesquels des droits lui ont été expressément accordés.
- Aucune étiquette