Configurer ISL Conference Proxy
Répondez à des exigences de sécurité strictes et bénéficiez d'une confidentialité et d'une indépendance totale en installant ISL Online sur votre ou vos serveurs. Toutes les connexions à distance sont ensuite établies via le(s) serveur(s) de votre entreprise, en conservant toutes les données telles que les informations utilisateur ou l'historique des sessions dans un environnement d'entreprise fermé.
Inscrivez-vous pour une licence serveur
Créer un compte de licence serveur
1. Inscrivez-vous pour créer un compte (ignorez cette étape si vous avez déjà un compte ISL Online).
2. Connectez-vous à votre compte via le site Web d'ISL Online. Cliquez sur "Votre nom d'utilisateur" dans le coin supérieur droit, puis cliquez sur "Licence serveur" dans le menu.
3. Cliquez sur "démarrez votre ESSAI GRATUIT DE 30 JOURS d'ISL Online - Licence serveur maintenant".
Configuration requise pour le serveur
Microsoft Windows
- Serveur Microsoft Windows 2019
- Microsoft Windows Server 2016
- Microsoft Windows 10 (32 bits et 64 bits)
- Microsoft Windows Server 2012 R2
- Microsoft Windows 8.1 (32 bits et 64 bits)
- Microsoft Windows Server 2012
- Microsoft Windows 8 (32 bits et 64 bits)
- Microsoft Windows Server 2008 R2
- Microsoft Windows 7 (32 bits et 64 bits)
Linux
Linux Kernel 2.6.32 ou plus récent et glibc 2.12 ou plus récent (équivalent RHEL/CentOS 6.0)
Exigences matérielles
CPU
- Minimum : INTEL ou AMD 1,4 GHz (processeur x86 ou processeur x64)
- Recommandé : processeurs multicœurs, processeur x64, 3 GHz ou plus rapide
Mémoire
- Minimum : 2 Go de RAM
- Recommandé : 4 Go de RAM (standard) ou 8 Go de RAM (licence serveur Corporate)
Espace disque disponible
- Minimum : 10 Go
- Recommandé : 20 Go (standard) ou 100 Go (licence serveur Corporate)
Virtualisation matérielle : Nous prenons également en charge les environnements de virtualisation (tels que Hyper-V, Xen, VMware) avec l'un des systèmes d'exploitation pris en charge installé.
Important : Évitez d'exécuter des clients antivirus sur vos serveurs Windows !
Si un programme antivirus est installé sur votre serveur Windows, envisagez de le désinstaller afin d'éviter toute interférence avec le fonctionnement ISL Conference Proxy et d'obtenir les meilleures performances.
De nombreux programmes antivirus ajoutent des crochets pour divers appels système (accès aux fichiers, envoi/réception réseau, etc.) qui peuvent avoir un impact sur les performances ou même provoquer des ralentissements/problèmes pendant les opérations.
Si vous ne parvenez pas à exécuter votre serveur Windows sans client antivirus, vous devez ajouter le répertoire ISL Conference Proxy (C :\Program Files\ISL Conference Proxy) à la liste blanche et désactiver toute analyse en temps réel pour ce répertoire et tous les sous-répertoires.
Reverse Proxy : ISL Conference Proxy 4.0.0 et versions ultérieures incluent la prise en charge du proxy inverse. Si vous envisagez de positionner le serveur derrière un périphérique de sécurité réseau d'entreprise existant tel que F5 ou un proxy inverse similaire, veuillez vous référer au Manuel du proxy inverse.
Configuration initiale
1. Définir le serveur
Vous devez d'abord ajouter un serveur. Suivez ces instructions pour savoir comment procéder.
2. Créer un paquet
Ensuite, vous devrez créer un paquet pour votre serveur. Suivez ces instructions pour savoir comment procéder.
3. Attribuer une licence
Attribuer une licence signifie lier une licence au serveur spécifié. Ce guide d'installation suppose que vous attribuerez au moins une licence ISL Online à un serveur préalablement défini.
Remarque : Cette étape peut être ignorée pour les utilisateurs de l'essai auto-hébergé
Installation
1. Téléchargez le programme d'installation ISL Conference Proxy
Windows
64 bits: https://www.islonline.com/system/installer_latest_win64
Linux:
64 bits: https://www.islonline.com/system/installer_latest_linux64
Windows
Remarque : Si votre serveur exécute Windows Server Core, veuillez passer à la rubrique suivante : Installation sur Windows Server Core
Linux:
Remarque : Si votre serveur n'a pas d'interface utilisateur graphique, suivez les étapes 1 et 2, puis exécutez la commande confproxyctl headless où vous pourrez modifier le mot de passe administrateur de ISL Conference Proxy (la valeur par défaut est asd) et spécifier des réseaux de confiance pour l'administration Web. Après cela, veuillez effectuer les étapes restantes (en commençant par l'étape 3) depuis un ordinateur avec une interface utilisateur graphique qui se trouve dans le réseau de confiance spécifié. Remplacez localhost dans l'adresse par l'adresse de serveur appropriée à votre situation. Une alternative consiste à créer un tunnel ssh vers le port local 7615 de votre serveur et à accéder à l'administration Web via le tunnel créé.
2. Exécutez le programme d'installation ISL Conference Proxy
- Windows : vous devez vous connecter en tant qu'administrateur de l'ordinateur ou vous disposer du mot de passe d'administration. Trouvez le fichier dans le dossier de téléchargement, puis l'exécutez. Suivez l'assistant d'installation.
- Linux : cd pour télécharger le dossier et d'entrer :
sh ISL_Conference_Proxy_4_4_2044_21_linux64.bin
3. Ouvrez l'administration ISL Conference Proxy
Ouvrez la page d'Administration Web, disponible à l'adresse http://localhost:7615/conf
4. Connexion à l'administration ISL Conference Proxy
Nom d'utilisateur par défaut : admin
Mot de passe par défaut : asd
5. Sélectionnez Configuration de base et saisissez tous les champs nécessaires.
Remarque : Nous vous conseillons de remplir la section Configuration de la messagerie électronique afin qu'ISL Conference Proxy puisse envoyer des informations d'état à votre messagerie électronique et vous informer des événements critiques, des invitations à des sessions, etc.
6. Sélectionnez Licences et téléchargez le fichier de licence (confproxy-4-x.license).
7. Sélectionnez Mise à jour en ligne et téléchargez tous les composants logiciels nécessaires (ISL Light, ...).
Remarque : Vous devrez peut-être effectuer la mise à jour en ligne plusieurs fois, jusqu'à ce que tous les composants d'ISL Conference Proxy soient mis à jour. Veuillez répéter l'étape 6 jusqu'à ce qu'il n'y ait plus de mises à jour disponibles.
Configurez le pare-feu
ISL Conference Proxy nécessite plusieurs ports TCP pour fonctionner correctement. Nous vous conseillons d'ouvrir les ports 80, 443 et 7615 dans votre firewall. Si vous avez un serveur Web exécuté sur les ports 80, 443 ou les deux, ISL Conference Proxy vous avertit des erreurs de liaison sur tous les ports en conflit.
Vous receviez peut-être des erreurs sur la liaison des ports comme dans l'exemple ci-dessous, en fonction des paramètres actuels de votre réseau et de votre serveur.
Le serveur (-1) signale des erreurs : - Impossible de lier le port TCP 80
Toutes ces erreurs concernant les ports de liaison (le cas échéant) doivent être résolues après la configuration de votre pare-feu.
Meilleure pratique
Chaque fois que vous déployez ISL Conference Proxy sur un serveur, qu'il s'agisse d'une machine Linux ou Windows, vous devez vous assurer qu'il est aussi sécurisé que possible.
Certaines de ces étapes sont assez générales (ni spécifiques à ICP, ni spécifiques au système d'exploitation), mais nous les répertorierons quand même pour référence :
1. Réduisez la surface d'attaque possible, c'est-à-dire désactivez (ou encore mieux, désinstallez si possible) tout ce dont vous n'avez pas besoin sur le serveur (ICP n'a pas de dépendances externes telles que serveur Web, base de données, etc. , vous n'avez donc pas besoin de ces rôles).
2. Maintenez le serveur (OS et programmes installés) à jour.
3. Autorisez l'accès uniquement aux ports dont vous avez besoin pour ICP (consultez le manuel d'utilisation pour plus d'informations) et votre accès (SSH, RDP), déposez/bloquez le reste.
4. Utilisez des mots de passe forts pour la machine elle-même et pour l'administration ICP.
5. Assurez-vous d'avoir configuré le serveur de messagerie et les paramètres associés afin de recevoir les rapports d'erreur et les e-mails de notification d'ICP :
Configuration -> Général -> Serveur de courrier sortant (SMTP)
Configuration -> Général -> port SMTP
Configuration -> Général -> Adresse e-mail par défaut de l'expéditeur
Configuration -> Général -> L'e-mail du système va à
6. Activer SSL pour les pages Web ICP - consultez le manuel d'utilisaton pour plus d'informations.
7. Vérifiez les protocoles SSL et les paramètres de la suite de chiffrement et assurez-vous qu'ils correspondent à vos exigences de sécurité et de compatibilité. Les paramètres par défaut du protocole et de la suite de chiffrement devraient être un bon point de départ et si vous n'avez pas d'exigences spécifiques, vous devez les laisser à leurs valeurs par défaut.
Important : Avant d'apporter des modifications permanentes aux paramètres du protocole ou de la suite de chiffrement, nous vous suggérons fortement de tester tous vos principaux cas d'utilisation pour vous assurer que ces modifications ne briseront pas la compatibilité descendante lorsque cela n'est pas acceptable. Lectures complémentaires suggérées :
https://en.wikipedia.org/wiki/Transport_Layer_Security#Applications_and_adoption [wikipedia.org]
https://wiki.mozilla.org/Security/Server_Side_TLS#Recommended_configurations [mozilla.org]
8. Par défaut, l'administration ICP n'est possible qu'à partir de localhost - si le plan consiste à accéder à la machine d'administration ICP via RDP ou via un tunnel SSH, vous pouvez conserver ce paramètre par défaut. Si vous souhaitez accéder directement à l'administration ICP depuis une autre machine, assurez-vous d'avoir un certificat SSL sur votre ICP et forcez SSL pour l'administration :
Configuration -> Sécurité -> Doit utiliser SSL pour l'administration : Oui
Ensuite, vous pouvez définir la ou les adresses réseau et/ou les sous-réseaux de confiance qui doivent avoir accès à l'administration ICP :
Configuration -> Sécurité -> Adresses IP autorisées pour l'administration
9. Forcer SSL pour toutes les pages Web, les websockets et les webapis des utilisateurs ICP :
- Configuration -> Sécurité -> Rediriger HTTP vers HTTPS pour toutes les pages Web utilisateur : Oui
- Configuration -> Sécurité -> Exiger HTTPS pour WebSockets lorsque la redirection HTTP vers HTTPS est activée : Oui
- Configuration -> Sécurité -> Exiger HTTPS pour WebAPI lorsque la redirection HTTP vers HTTPS est activée : Oui
- Configuration -> Sécurité -> Exiger HTTPS pour WebAPI2 lorsque la redirection HTTP vers HTTPS est activée : Oui
10. Vous souhaiterez peut-être générer des clés de chiffrement personnalisées (signatures logicielles, client à serveur, client à client), vous pouvez le faire ici :
Configuration -> Avancé -> Sécurité
11. Enfin et surtout, effectuez des sauvegardes régulières.
Questions les plus fréquentes
-
Comment accéder à l'administration ISL Conference Proxy ?
Veuillez accéder à https://localhost:7615/conf dans votre navigateur Web.
-
Quel est le mot de passe administrateur par défaut ?
Le mot de passe administrateur par défaut est asd - veuillez le modifier après l'installation pour des raisons de sécurité.
-
Comment réinitialiser mon mot de passe administrateur ?
Veuillez suivre la procédure appropriée en fonction de votre système d'exploitation :
Windows
Veuillez ouvrir le répertoire d'installation ISL Conference Proxy (par défaut : C:\Program Files\ISL Conference Proxy) et exécutez reset_adminpwd.bat en tant qu'administrateur. Cela redéfinira le mot de passe administrateur sur asd.
Linux
Veuillez exécuter la commande suivante à partir d'un terminal sur votre serveur : confproxyctl headless Il vous demandera un nouveau mot de passe administrateur ISL Conference Proxy et vous pourrez spécifier des réseaux de confiance pour l'administration Web.
-
Comment mettre à jour mon ISL Conference Proxy ?
Veuillez vous référer aux chapitres Mise à jour en ligne ou Mise à jour manuelle dans le manuel ISL Conference Proxy.
-
Quels ports doivent être ouverts, quel protocole et quelle direction ?
Serveur ISL Conference Proxy : 7615 (TCP, entrant), 443 (TCP, entrant) et 80 (TCP, entrant)
ISL Light nécessite au moins l'un des ports suivants : 7615 (TCP, sortant), 443 (TCP, sortant), 80 (TCP, sortant)
Veuillez noter que vous pouvez modifier ces ports dans l'administration ISL Conference Proxy.
Si le port 80 est déjà utilisé (par exemple, si vous exécutez IIS ou Apache sur la même IP), veuillez accéder à Configuration - Général - Ports HTTPT et supprimez le port 80 de la liste et ISL Conference Proxy n'essaiera pas de lier ce port. Si possible, veuillez avoir une adresse IP distincte pour ISL Conference Proxy et les trois ports disponibles afin de permettre à la plupart des utilisateurs de se connecter.
-
Existe-t-il un moyen de voir quel service utilise le port 80 ou 443 ?
Vous pouvez essayer l'utilitaire de ligne de commande netstat -ano. Une autre option consiste à rechercher des processus avec pid dans netstat dans le gestionnaire de tâches. Vous pouvez également vérifier tcpdump depuis sysinternals. Veuillez vous référer au manuel d'utilisation.
-
Est-il préférable d'exécuter ISL Conference Proxy sous Linux ou Windows ?
Quel que soit le système qui vous convient le mieux. Du point de vue des performances, il n'y a aucune différence entre l'exécution du proxy de conférence ISL sur Linux ou Windows. Veuillez vous référer aux exigences du serveur.
-
Est-ce-que ISL Conference Proxy peut être exécuté sur une machine virtuelle ?
Oui, ISL Conference Proxy peut être installé sur une machine virtuelle tant qu'elle exécute l'un des systèmes d'exploitation pris en charge. Veuillez vous référer à la configuration requise pour plus d'informations.
Cependant, gardez à l'esprit qu'un environnement de virtualisation nécessite une configuration appropriée et représente un autre point de défaillance possible.
-
Comment installer un certificat SSL personnalisé ?
Veuillez vous référer à ce sujet dans le manuel : Activation de SSL.
-
Comment puis-je déplacer mon installation ISL Conference Proxy existant vers un nouveau serveur ?
Nous vous conseillons d'utiliser la fonctionnalité du module de sauvegarde pour effectuer une migration de serveur. Cette approche vous permet également de migrer d'une plate-forme à l'autre, c'est-à-dire d'un serveur Windows à un serveur Linux ou vice-versa. Veuillez vous référer au manuel d'utilisation pour plus d'informations.
-
Puis-je intégrer ISL Conference Proxy avec LDAP / SAML / FreeRADIUS / Radius / Active Directory / eDirectory ?
Oui, veuillez vous référer au manuel de d'utilisation.
-
Existe-t-il un moyen d'importer en bloc les détails de l'utilisateur ?
Oui, il est possible de le faire en utilisant le protocole XMLMSG. Veuillez envoyer un e-mail à support@islonline.com et nous pourrons vous faire un petit guide.
Continuer la lecture : Conseils de sécurité