UserLock Documentation
UserLock Documentation
Vous êtes ici: Cas d'utilisation > Cas d'utilisation avancés > Installation et configuration de UserLock AnyWhere

Installation et configuration de UserLock AnyWhere

Dans de nombreux cas de travail à distance, les utilisateurs ne sont pas toujours connectés au VPN, et dans ce cas, l'agent de bureau ne peut pas communiquer assez souvent avec le service UserLock pour enregistrer les événements et appliquer l'authentification multifacteur et les restrictions contextuelles.

L'implémentation de l'agent AnyWhere fournit une méthode alternative en permettant à l'agent de contacter le service via Internet lorsque la connexion réseau n'est pas établie. En faisant cela, l'agent de bureau communiquera avec le serveur UserLock au moment de la connexion sans avoir besoin de se connecter au VPN.

Cela permet à UserLock de refuser les connexions non autorisées au moment de la connexion. Pour forcer une fermeture de session à distance en raison d'une restriction, par exemple en imposant des heures d'ouverture de session sur les ordinateurs des utilisateurs distants, vous devrez utiliser un paramètre avancé. Ceci est expliqué à la fin de cette page.

Procédure

Prérequis

  • La fonctionnalité UserLock AnyWhere doit être installée sur un serveur exécutant le serveur IIS. Voir la section spécifique ci-dessous.
  • Une adresse IP publique enregistrée dans un DNS pour le serveur IIS qui héberge UserLock AnyWhere
  • Les rôles du Gestionnaire de Serveur suivants:
    • Serveur Web (IIS) / Sécurité / Authentification Windows
    • Serveur Web (IIS) / Développement d'applications / .ASP.NET 4.5
  1. Installer la fonction UserLock Anywhere
  2. Ajouter l'application UserLock Anywhere dans IIS
  3. Tester la connexion UserLock Anywhere

Installer la fonction UserLock Anywhere

La fonctionnalité UserLock Anywhere doit être installée sur le serveur IIS pour permettre à l'agent de contacter le service via Internet lorsque la connexion réseau n'est pas établie. Notez que cette fonctionnalité n'est pas installée si vous avez choisi «Standard» lorsque vous installez UserLock.

  1. Connectez-vous au serveur IIS sur lequel vous souhaitez installer UserLock Anywhere.
    • Si UserLock est déjà installé, ouvrez le Panneau de configuration Windows, cliquez sur "Désinstaller un programme", sélectionnez UserLock et cliquez sur modifier

    • Si UserLock n'est pas déja installé, lancez l'exécutable d'installation de UserLock et choisissez le mode "Personnalisé".

  2. Déployez l'option «Applications Web», cliquez sur «UserLock AnyWhere» puis «La fonctionnalité sera installée….»

  3. Si aucune application IIS n'est protégée par UserLock sur ce serveur et que vous souhaitez configurer uniquement UserLock AnyWhere:

    • Exécutez la console UserLock. Dans la vue "Distribution de l'agent", sélectionnez la ligne "IIS" du serveur IIS sur lequel vous souhaitez installer UserLock Anywhere. Cliquez avec le bouton droit et sélectionnez "Installer", cela déploiera le(s) nom(s) de serveur UserLock dans le registre de ce serveur.
    • Connectez-vous au serveur IIS cible et exécutez Regedit. Supprimez la valeur de Registre suivante :

      HKEY_LOCAL_MACHINE \ SOFTWARE \ ISDecisions \ UserLock \ IIS \ Volatile \ UlStatus

    REMARQUE: si l'agent IIS est déjà installé sur le serveur pour protéger une application IIS, cette étape peut être ignorée.

2. Ajoutez l'application UserLock Anywhere dans IIS

  1. Dans IIS Manager, créez un nouveau pool d'applications avec les paramètres suivants:
    • Nom: "UserLockProxyAppPool"
    • Version .NET CLR: Intégrée
    • Mode pipeline géré: CLR v4.0.30319

  2. Accédez à Paramètres avancés / Modèle de processus / Définissez la valeur «Load User Profile » à True

  3. Au niveau du site Web par défaut, créez une nouvelle application qui utilise le pool d'applications précédemment créé:

  4. Configurez cette application avec le dossier Userlock Anywhere sous le dossier d'installation UserLock. Par défaut: "% ProgramFiles (x86)% \ ISDecisions \ UserLock \ Webproxy". Cliquez sur OK pour continuer

  5. Sélectionnez Paramètres de l'application / Authentification:
    • Désactivez "Authentification anonyme"
    • Activez "Authentification Windows"

  6. Exécutez la console UserLock. Appuyez sur F7 dans la console UserLock et modifiez le paramètre «UrlToContactOverInternet» avec le chemin d'accès à l'URL externe.

Mode délégué

Si le serveur IIS n'est pas hébergé sur le même serveur UserLock, la délégation doit être activée.

  1. Dans «Utilisateurs et ordinateurs Active Directory», ouvrez les propriétés de la machine sur laquelle se trouve le serveur IIS.
  2. Ouvrez l'onglet Délégation.
  3. Sélectionnez «Faire confiance à cet ordinateur pour la délégation aux services spécifiés uniquement» et «Utilisez n'importe quel protocole d'authentification". Cliquez sur "Ajouter ...".

  4. Cliquez sur "Utilisateurs ou ordinateurs ..." et recherchez la machine sur laquelle se trouve le serveur UserLock.
  5. Sélectionnez le type de service "cifs" et cliquez sur "Ok".

En option

Si vous souhaitez accélérer le processus de contact vers UseLock AnyWhere lorsque l'agent n'a pas de connexion directe avec le serveur UserLock, nous vous conseillons de déployer le nom FQDN du serveur UserLock à l'aide d'une stratégie de groupe, comme expliqué ici.

Cela permettra à l'agent de supprimer la connexion au serveur UserLock plus rapidement et de changer l'alternative via Internet vers UserLock AnyWhere.

3. Testez la connexion UserLock Anywhere

Un test simple peut être effectué pour confirmer que UserLock Anywhere fonctionne; entrez simplement dans un navigateur l'URL saisie à l'étape 6. ci-dessus (définie dans les paramètres avancés comme "UrlToContactOverInternet").

Vous devriez recevoir une confirmation que le service est accessible:

Déconnecter et verrouiller les sessions utilisateur via Internet

Cette fonctionnalité, disponible depuis UserLock 11.0.1 et basée sur UserLock AnyWhere, peut être activée en configurant le nouveau paramètre avancé "SessionsWithoutNetworkLogoffAgentInternet" (depuis la console UserLock, appuyez sur la touche du clavier F7 pour afficher la boîte de dialogue des paramètres avancés). Cela permet de respecter les restrictions horaires ou les quotas de temps, même si un ordinateur n'est pas connecté au réseau de l'entreprise.

Configurez "SessionsWithoutNetworkLogoffAgentInternet" avec le nombre de minutes que l'agent Station attendra entre chaque demande de la liste des sessions avec lesquelles interagir. Nous vous recommandons de ne pas configurer avec moins de 10 minutes afin de ne pas augmenter la charge de travail de UserLock. Par défaut, cette fonctionnalité est désactivée (-1). Si nécessaire, ce paramètre peut être configuré via des stratégies de groupe (voir ici pour plus de détails).