Publicité
Configuration avancée
Activer la liste
blanche d'URL
Ne jamais afficher ce
serveur sur le portail
utilisateur (accès via
un autre serveur
uniquement)
Désactiver la
méthode
d'authentification
NTLM
Réécrire le champ
« User-Agent » (force
le mode compatibilité
d'OWA)
Réécrire le code
spécifique au mode
Premium d'OWA
Page 490/524
Seuls les liens réécrits par le module VPN SSL sont accessibles au travers du VPN
SSL. S'il existe sur un site autorisé un lien vers un site Web extérieur (dont le serveur
n'est pas défini dans la configuration VPN SSL), celui-ci sera inaccessible par le VPN
SSL.
Lorsque la liste blanche est activée, elle permet l'accès à des URL qui ne seraient
pas réécrites via le champ Ne pas réécrire les URL de la catégorie. Par exemple, pour
un accès vpnssl webmail, si l'on souhaite autoriser les utilisateurs à quitter le vpnssl
en cliquant sur les liens contenus dans leurs mails, dans ce cas il faut ajouter une
liste blanche contenant « * ».
AVERTISSEMENT
Lorsqu'un lien de cette liste blanche est cliqué par un utilisateur, celui-ci n'est
plus protégé par le module de VPN SSL Stormshield Network.
Tous les serveurs configurés dans la configuration du VPN SSL sont par défaut
indiqués sur le portail d'authentification Stormshield Network. Toutefois il pourrait
être nécessaire qu'un de ces serveurs ne soit accessible que par l'intermédiaire d'un
autre serveur, alors, dans ce cas, il faudrait cocher l'option « Ne pas afficher ce
serveur sur le portail ». En effet lorsque cette option est cochée dans la configuration
d'un serveur, ce serveur est accessible par le VPN SSL mais n'est pas présent dans la
liste d'accès direct. Il faut un lien sur un serveur vers ce serveur pour y accéder. Une
application peut utiliser plusieurs serveurs mais n'avoir qu'un seul point d'entrée,
donc un seul lien dans le menu du portail.
Certains serveurs Web peuvent demander une authentification préalable au transfert
de flux entre le serveur et l'utilisateur. Ne supportant pas cette méthode
d'authentification pour les trafics traversant le firewall, celle-ci peut être désactivée.
Le champ "User-Agent" de l'entête d'une requête HTTP contient l'identifiant de
navigateur Web utilisé par l'utilisateur. Pour Internet Explorer par exemple :
Mozilla/4.0 (compatible; MSIE 6.0 ...). La réécriture du "User-Agent" permet donc de
modifier la requête HTTP de telle façon que l'on pense qu'elle provient d'un autre
type de navigateur qu'en réalité.
Cette option est notamment utile dans une utilisation dégradée d'Outlook Web
Access (OWA). En effet, Outlook Web Access (OWA) en mode premium, mode très
évolué d'Outlook Web Access fait appel au Webdav, une extension du protocole HTTP.
Ces extensions n'étant pas supportées par tous les équipements réseau (le mode
premium d'OWA est supporté par le module VPN SSL des Firewalls Stormshield
Network), le transit de ces trafics pourrait poser des problèmes de compatibilité en
particulier sur Internet. Plutôt que de devoir dégrader l'utilisation d'OWA pour tous les
utilisateurs (interne et externe), l'option Réécriture du User-Agent permet une
utilisation "premium" de OWA en interne (compatibilité avec le mode premium facile
à obtenir) et une utilisation "dégradée" en passant par le VPN SSL (utilisé par les
utilisateurs nomades, via Internet). En effet les "vieux" navigateurs Web ne
supportent pas ces extensions, OWA fonctionne donc automatiquement en mode
dégradé lorsqu'il rencontre le "User-Agent" de ces navigateurs.
En cochant cette option, vous activez les règles spécifiques de réécriture permettant
de supporter Outlook Web Access en mode premium.
SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4
sns-fr-manuel_d'utilisation_et_de_configuration-v4.6.4 - 11/04/2023
58. VPN SSL PORTAIL
Publicité
