Logiciel HIN Complément du manuel concernant le Terminal Server Version: Date: Statut: 1.8 20.03.2017 Final Health Info Net AG (HIN) Grand-Rue 38 2034 Peseux [email protected] www.hin.ch Tél. 0848 830 741 Table des matières 1 2 3 4 Introduction 3 1.1 Environnements Terminal Server ..................................................................... 3 1.2 Restrictions en matière de sécurité................................................................... 3 1.3 Objet du document............................................................................................ 4 1.4 Public cible du document .................................................................................. 4 1.5 Bibliographie / documents de référence ........................................................... 4 Installation, mise à niveau, désinstallation 5 2.1 Installation ......................................................................................................... 5 2.2 Mise à niveau .................................................................................................... 5 2.3 Désinstallation................................................................................................... 6 2.4 Vérifier les droits d'accès .................................................................................. 7 2.5 Activation du mode Terminal Server ................................................................. 7 Gérer les données utilisateur 8 3.1 Utilisation du programme «porttool.exe“ ........................................................... 8 3.2 Choix automatique des numéros de port .......................................................... 9 3.3 Format du fichier de configuration des ports..................................................... 9 3.4 Communiquer le numéro de port à l'utilisateur ............................................... 10 3.5 Message lorsque l'utilisateur est absent du fichier de configuration des ports 10 Annexe 11 4.1 Contact et assistance...................................................................................... 11 4.2 Historique des modifications ........................................................................... 11 Logiciel HIN Utilisation dans les environnements Terminal Server Page 2/11 1 Introduction HIN est la plus importante plate-forme d'eHealth de Suisse. Cette plate-forme, dont la sécurité est assurée par une infrastructure à clé publique (PKI), permet d'échanger des données et d'accéder aux applications de manière sûre tout en respectant la protection des données. Vous pouvez trouver de plus amples informations sur notre site Web www.hin.ch. Plusieurs méthodes d'accès sont actuellement proposées aux clients de HIN. La solution mettant en œuvre le logiciel HIN en constitue la principale pour l'utilisation quotidienne. Le manuel du logiciel HIN [HIN-1] décrit en détail les fonctionnalités et l'utilisation du logiciel HIN. Il décrit également la possibilité d'utiliser le logiciel HIN dans des environnements Terminal Server. HIN recommande que seuls des administrateurs système qualifiés installent et exploitent des environnements Terminal Server. 1.1 Environnements Terminal Server Les environnements Terminal Server permettent à plusieurs utilisateurs de partager un ordinateur et les applications qui y sont installées. Les avantages peuvent être les suivants: • administration centralisée • économies en frais de licence • échange de données simplifié entre les utilisateurs • sécurité grâce des données moins dispersées Ces raisons expliquent pourquoi les environnements Terminal Server sont souvent utilisés au sein de réseaux d'entreprise afin de permettre un accès à distance à l'environnement de l'entreprise, par exemple, ou par les éditeurs de logiciels destinés aux cabinets médicaux afin de pouvoir offrir une offre complète de services informatiques sans avoir à fournir une assistance sur site coûteuse. Il est possible d'installer le logiciel HIN de manière centralisée sur un Terminal Server. Pour cela, il faut que le Terminal Server soit un système Windows. Dans la suite du document, les termes Terminal Server ou environnement Terminal Server désignent uniquement des systèmes Windows. 1.2 Restrictions en matière de sécurité Dans les environnements Terminal Server, plusieurs utilisateurs se partagent les mêmes ressources physiques (CPU, carte réseau, …). Il faut donc prêter une attention particulière à la sécurité des données et des communications. La principale différence entre une installation normale du logiciel HIN et une installation Terminal Server réside en ce que l'administrateur du Terminal Server doit attribuer des numéros de port différents à chaque utilisateur et protocole d'accès (http, smtp, pop3, imap) pour cette dernière. Il dispose d'un outil de ligne de commande pour cela. Veuillez noter qu'il est alors théoriquement possible qu'un utilisateur animé d'une volonté criminelle puisse modifier les ports du navigateur / du logiciel de messagerie afin d'accéder à des applications Web d'autres utilisateurs connectés, d'envoyer des e-mails en leur nom ou de consulter leurs e-mails. HIN recommande donc d'installer un logiciel de sécurité local sur le Terminal Server de sorte à ce que seules les instances de l'utilisateur en cours puissent accéder aux processus du logiciel HIN. Logiciel HIN Utilisation dans les environnements Terminal Server Page 3/11 1.3 Objet du document Ce document décrit la configuration particulière et les modifications nécessaires afin que le logiciel HIN puisse fonctionner en mode Terminal Server, ainsi que les procédures importantes, comme l'ajout d'un nouvel utilisateur à l'environnement Terminal Server. 1.4 Public cible du document Ce document s'adresse uniquement aux administrateurs systèmes qui souhaitent exploiter le logiciel HIN dans un environnement Terminal Server. 1.5 Bibliographie / documents de référence Référence Adresse internet / URL Document Version [HIN-1] https://download.hin.ch/HIN_Client_H andbuch_fr.pdf «Logiciel HIN: manuel“ 2.2 [HIN-2] pour Windows: https://download.hin.ch/documentatio n/HIN_Client_QuickGuideMigrationW indows_fr.pdf pour Mac https://download.hin.ch/documentatio n/HIN_Client_QuickGuideMigrationM ac_fr.pdf Guide pour la migration vers le nouveau client HIN 1.0 [HIN-3] https://download.hin.ch/documentatio n/HIN_Client_Export_Import_fr.pdf Une identité pour plusieurs postes de travai 1.0 Vous pouvez obtenir de plus amples informations sur le logiciel HIN en vous adressant aux services d'assistance HIN. Logiciel HIN Utilisation dans les environnements Terminal Server Page 4/11 2 Installation, mise à niveau, désinstallation 2.1 Installation L'administration du Terminal Server installe le logiciel HIN en utilisant le programme d'installation de ce dernier. Le mode Terminal Server est uniquement activé après l'installation. 2.1.1 Versions obsolètes Dans le cas où la version installée du Client HIN n’est plus à jour, il vous sera automatiquement demandé en tant qu’utilisation de le signaler à l’administrateur du serveur du terminal de telle sorte que l’administrateur puisse procéder à l’actualisation du Client HIN. 2.2 Mise à niveau A noter SVP: on ne peut effectuer de mise à jour du Client HIN en mode Terminal Server. A la différence du fonctionnement normal, les utilisateurs ne peuvent pas mettre le logiciel HIN à niveau eux-mêmes. L'administrateur du Terminal Server doit télécharger les mises à niveau importantes à partir du site Web de HIN, puis les installer sur le Terminal Server (il faut d'abord désinstaller l'ancienne version et installer ensuite la nouvelle). Le logiciel HIN de tous les utilisateurs doit être arrêté au préalable. Nous recommandons d'installer les mises à jour pendant une fenêtre de maintenance définie à l'avance et d'informer tous les utilisateurs au préalable. Cette procédure garantit que tous les utilisateurs du Terminal Server utilisent la même version du logiciel HIN. Veuillez-vous reporter au chapitre 7 du manuel du logiciel HIN [HIN-1]. Logiciel HIN Utilisation dans les environnements Terminal Server Page 5/11 Si la version installée du logiciel HIN est obsolète, les utilisateurs sont automatiquement invités à le signaler à l'administrateur du Terminal Server (voir copie d'écran ci-dessous). 2.2.1 Sauvegarde des identités HIN Il est recommandé de sauvegarder l’ensemble des identités HIN engeirstrées en préalable à l’installation de nouvelles versions. Il s’agit des fichiers avec le nom de fichier <HIN Loginname>.hin, qui, en général, sont placés dans les dossiers correspondants Utilisateurs sous: C:\Users\<Username>\AppData\Roaming\HIN\HIN Client L’utilisateur final peut de lui-même sauvegarder l’identité avec le guide [HIN-3]. 2.3 Désinstallation La désinstallation du Client HIN peut être effectuée via le pilotage du système ou avec le programme de désinstallation (via le menu de démarrage Windows ou dans le dossier „ Client HIN “). Lors de la désinstallation, l’ensemble des identités de l’utilisateur exécutant sont également effacées. On peut toutefois éviter cette opération en marquant les identités à sauvegarder et en les effaçant de la liste avec le bouton „-“-. Une fois le programme de désinstallation achevé, les fichiers identités qui n’ont pas été effacés comme le fichier de configuration de port sont encore disponibles. Lors d’une mise à jour, le fichier de configuration de port devrait être conservé. Logiciel HIN Utilisation dans les environnements Terminal Server Page 6/11 2.4 Vérifier les droits d'accès Les utilisateurs Windows normaux doivent uniquement disposer de droits de lecture, mais pas de droits d'écriture, sur le répertoire HIN Client. Veuillez vérifier que c'est bien le cas sur votre Terminal Server. 2.5 Activation du mode Terminal Server Terminer le Client HIN. Le mode Terminal Server est activé par une saisie – dans le fichier "hinclient.admin.properties" Ce fichier se trouve dans le répertoire Client HIN, par exemple "C:\Programme\HIN Client\". Les lignes suivantes figurent dans le fichier: # the client starts in Terminalserver mode when a ports file is set # terminalserver.portsfile= Pour activer le mode Terminal Server, saissisez un nom de fichier: # the client starts in Terminalserver mode when a ports file is set terminalserver.portsfile=ports.txt Ce fichier ("ports.txt") est le fichier de configuration de port qui contient pour chaque utilisateur le numéro de port attribué. Il s’agit d’un fichier texte normal qui peut être modifié avec un éditeur de texte. Lorsque le fichier se trouve dans un partage de fichiers (Terminalserver Farmen), il convient d’utiliser un "Escaping" pour symboles particuliers. Surtout, taper un double \ (Backslash: # the client starts in Terminalserver mode when a ports file is set terminalserver.portsfile=\\\\192.168.10.1\\cdrive\\temp\\ports.txt Le fichier ports.txt doit être protégé d’une manière particulière et le contenu devrait être utilisé avec confidentialité. Logiciel HIN Utilisation dans les environnements Terminal Server Page 7/11 3 Gérer les données utilisateur Tout utilisateur a besoin de 5 numéros de port pour pouvoir démarrer le logiciel HIN. Ces numéros de port sont utilisés aux fins suivantes: • HTTP (navigateur Web) • SMTP (envoi d'e-mails) • POP3 (réception d'e-mails) • API client (communication avec d'autres programmes) • IMAP (recevoir/synchroniser les messages électroniques) Le programme de ligne de commande «porttool.exe“ peut aider l'administrateur à trouver des numéros de port pour un nouvel utilisateur et à les écrire dans le fichier de configuration des ports («ports.txt“). Vous trouverez ce programme dans le répertoire du logiciel HIN. 3.1 Utilisation du programme «porttool.exe“ Ce programme a besoin de deux paramètres: le nom du fichier de configuration des ports et le nom du nouvel utilisateur (nom de connexion Windows). Cette commande vous permet de déclarer un nouvel utilisateur dans le fichier «ports.txt“: porttool.exe "<Port-Konfigurationsdatei>" <Benutzername> Important: le chemin du fichier de configuration doit se trouver entre guillemets. Exemple: porttool.exe "ports.txt" mmuster ou, pour les fermes de Terminal Server porttool.exe "\\192.168.10.1\cdrive\tmp\ports.txt" mmuster Le programme affiche alors automatiquement les ports choisis: Le fichier «ports.txt“ n'existe pas encore, il va être créé. Les numéros de port pour l'utilisateur "mmuster": HTTP: 5101 SMTP: 5102 POP3: 5103 API client: 5104 IMAP: 5105 La configuration pour l'utilisateur "mmuster" a été déclarée dans le fichier "ports.txt". Important: si le nom d'utilisateur contient des majuscules, elles sont automatiquement transformées en majuscules et il est déclaré ainsi dans le fichier ports.txt: c'est important afin que les noms de connexion non sensibles à la casse soient pris en charge dans Windows. Si le fichier de ports est édité ou complété manuellement, il faut veiller à écrire tous les noms d'utilisateurs en minuscules! Le fichier "ports.txt" pourrait se présenter sous la forme suivante, par exemple: #Fri Oct 01 13:19:08 CEST 2010 mmuster.hinclient.httpproxy.port=5101 mmuster.hinclient.smtpproxy.port=5102 mmuster.hinclient.pop3proxy.port=5103 mmuster.hinclient.clientapi.port=5104 Logiciel HIN Utilisation dans les environnements Terminal Server Page 8/11 mmuster.hinclient.imapproxy.port=5105 Pour ajouter un autre utilisateur, vous pouvez de nouveau lancer le programme: porttool.exe "ports.txt" ameier Informations affichées par le programme: Les numéros de port pour l'utilisateur "ameier": HTTP: 5105 SMTP: 5106 POP3: 5107 API client: 5108 IMAP: 5110 La configuration pour l'utilisateur "ameier" a été déclarée dans le fichier «ports.txt“. Le fichier "ports.txt" pourrait s’afficher comme suit: #Fri Oct 01 13:21:37 CEST 2010 mmuster.hinclient.httpproxy.port=5101 mmuster.hinclient.smtpproxy.port=5102 mmuster.hinclient.pop3proxy.port=5103 mmuster.hinclient.clientapi.port=5104 mmuster.hinclient.imapproxy.port=5105 ameier.hinclient.httpproxy.port=5106 ameier.hinclient.smtpproxy.port=5107 ameier.hinclient.pop3proxy.port=5108 ameier.hinclient.clientapi.port=5109 ameier.hinclient.imapproxy.port=5110 Si vous essayez d'ajouter un utilisateur qui figure déjà dans le fichier, le message suivant s'affiche: Erreur: la configuration pour l'utilisateur "mmuster" existe déjà dans le fichier "ports.txt". 3.2 Choix automatique des numéros de port Le programme «porttool.exe» choisit automatiquement des numéros de port libres entre 5101 et 32767. Les nouveaux numéros de port choisis sont toujours supérieurs à ceux que contient déjà le fichier. Si le programme a choisi un numéro de port utilisé par un autre programme, vous pouvez modifier le fichier à la main. Si vous modifiez le fichier manuellement, veillez à ce que les utilisateurs n'aient pas d'accès aux ports compris entre 0 et 1024. Il existe également des plages qui sont souvent utilisées par d'autres programmes. Vous trouverez de plus amples informations dans l'article de Wikipedia «Ephemeral port“ (http://en.wikipedia.org/wiki/Ephemeral_port). 3.3 Format du fichier de configuration des ports Ce fichier est un fichier texte. Important: si vous n'utilisez pas le programme «porttool.exe“, il faut absolument utiliser le codage ANSI. A noter: les lignes de commentaires commencent par le caractère «#“ et sont ignorées. Toutes les lignes ont la structure suivante: <nom d'utilisateur>.hinclient.<type de port>.port=<Port> Logiciel HIN Utilisation dans les environnements Terminal Server Page 9/11 Le nom d'utilisateur est le nom de connexion Windows sans le domaine Veuillez prêter attention à la casse. Cinq lignes doivent exister par utilisateur, une par type de port: "httpproxy", "smtpproxy", "pop3proxy", "clientapi", "imapproxy". L'ordre des lignes n'est pas important au niveau technique. Le programme «porttool.exe“ classe cependant les lignes en fonction du numéro de port afin que le fichier soit plus lisible. 3.4 Communiquer le numéro de port à l'utilisateur Afin que l'utilisateur puisse configurer son navigateur Web et son logiciel de messagerie, il doit connaître les numéros de port qui lui ont été attribués. L'administrateur du Terminal Server doit donc communiquer les numéros de port à tout nouvel utilisateur. Les utilisateurs peuvent également consulter les numéros de port qui leur ont été attribués dans les paramètres du logiciel HIN. Comme l'administrateur du Terminal Server définit les numéros de port du logiciel HIN, les utilisateurs ne peuvent plus les modifier eux-mêmes. Les champs affichent les numéros de port de l'utilisateur mais ils sont désactivés. 3.5 Message lorsque l'utilisateur est absent du fichier de configuration des ports Si la configuration du logiciel HIN sur le Terminal Server n'a pas encore été modifiée pour un nouvel utilisateur et que ce dernier démarre quand même le logiciel HIN, le message suivant s'affiche. Le logiciel HIN peut automatiquement envoyer une notification par e-mail à l'administrateur si un utilisateur non activé démarre le logiciel HIN. Pour cela, il faut définir la configuration selon les indications du chapitre 11.5 du manuel du logiciel HIN [HIN-1]. Logiciel HIN Utilisation dans les environnements Terminal Server Page 10/11 4 Annexe 4.1 Contact et assistance En cas de questions sur le logiciel HIN et sur l'utilisation de l'API associée, veuillez vous adresser aux services d'assistance HIN: 4.1.1 Forum aux questions (FAQ) Utilisez notre page avec le forum aux questions (FAQ) afin de trouver les réponses à vos questions de manière rapide et pratique. 4.1.2 Services d'assistance HIN par e-mail [email protected] 4.1.3 Services d'assistance HIN par téléphone Notre équipe du Call Desk est à votre disposition du lundi au vendredi entre 8h00 et 18h00. Téléphone 0848 830 741 Nos collaborateurs se feront un plaisir de vous informer et de vous mettre en contact avec les spécialistes compétents. 4.1.4 Internet http://www.hin.ch 4.2 Historique des modifications Date Version Modification Chapitre 11.03.2011 1.1 Validation du document final: peut être communiqué à des tiers toutes 31.03.2011 1.2 Corrections toutes 23.08.2012 1.3 Complément – versions obsolètes 2.1.1 09.08.2013 1.4 Corrections et nouveaux constats toutes 30.09.2014 1.5 Adapatations sur base IMAP toutes 02.10.2014 1.6 Fonction outil de port –recréer Fehler! Verweisquell e konnte nicht gefunden werden. 28.10.2014 1.7 Corrections toutes Logiciel HIN Utilisation dans les environnements Terminal Server Page 11/11 20.03.2017 Logiciel HIN 1.8 Corrections «mise à niveau» et «Activation du mode» Utilisation dans les environnements Terminal Server 2.4 / 2.5 Page 12/12