IACA

Version 10. Auteur A. Sayer


Documentation > Web et Webdav


Présentation

Web

Avec IACA, cochez html pour certains utilisateurs, faites une mise à jour des comptes et ces utilisateurs auront dans leur dossier personnel un dossier Web qui contiendra un dossier html.

L'utilisateur publie son site en copiant simplement les fichiers dans son dossier  html. Tous les utilisateurs du réseau peuvent voir son site à partir de leur navigateur.

A certaines conditions il est possible de rendre visible ces sites de l'extérieur de l'établissement.

Lorsque plusieurs personnes possèdent un sous-site, il est pratique de demander à IACA de créer une page récapitulative.

IIS doit être installé.

SSO

Cette partie permet de mettre en place du SSO (Single Sign-On)

Une personne ouvre une session sur une station. La personne accède à une page Web et, sans avoir à s'identifier, est reconnue par le serveur Web qui peut donc envoyer une page personnalisée. La personne s'est identifiée lors de l'ouverture de session, elle n'a pas besoin de s'identifier à nouveau auprès du serveur Web.

Vous pouvez alors créer des pages PHP ou ASP qui afficheront un contenu en rapport avec la personne ou en rapport avec les groupes auxquels elle appartient. Par exemple, la même adresse, http://serveur/emploidutemps.php pourrait donner des résultats différents suivant que la personne qui accède à cette page est un professeur ou un élève de telle classe ou de telle autre classe.

Le serveur hébergeant les pages PHP ou ASP n'est pas nécessairement un serveur avec IACA. Vous pouvez par exemple utiliser un serveur Linux et utiliser des pages PHP.

Webdav

Avec IACA cochez "Ecrit Dav" pour certains utilisateurs, faites une mise à jour des comptes et ces utilisateurs auront accès à leur dossier personnel à partir d'un navigateur à partir d'un ordinateur de l'établissement ou à certaines conditions à partir d'un ordinateur extérieur à l'établissement.

IIS doit être installé.

Ftp

Avec IACA cochez "Accès Ftp" pour certains utilisateurs, faites une mise à jour des comptes et ces utilisateurs auront accès à leur dossier personnel en FTP par exemple à partir d'un logiciel client FTP tel que Filezilla (logiciel gratuit que vous pouvez trouver ici http://filezilla.fr/ )

Le service Ftpiaca est utilisé pour cet accès.

IIS (Internet Information Serveur) 

Pour utiliser les dossiers Web avec ou sans cgi-bin ou pour utiliser Webdav, vous devez installer IIS sur votre ou vos serveurs IACA.

IIS sera installé sur le ou les contrôleurs de domaine qui hébergent les dossiers personnels.

Web (html et cgi-bin)

Principe

IIS permet d’utiliser votre serveur en serveur WEB. Par défaut, un seul site est prévu mais il est possible d’en ajouter.

Si votre serveur s’appelle serveur, le site principal est accessible à partir des navigateurs des stations à l’adresse http://serveur

IACA va créer pour les utilisateurs que vous choisissez, des répertoires virtuels qui vont permettre à ces utilisateurs de créer des sous-sites. Si l’utilisateur a bonnot comme nom d’ouverture de session, le site de bonnot sera accessible à partir des navigateurs des stations à l’adresse http://serveur/bonnot

Pour publier son site, Bonnot n'a pas besoin de logiciel FTP, il placera simplement ses fichiers dans son dossier U:\web\html

Travail de l’administrateur.

L’administrateur, avec IACA sur le serveur, coche la case html ou éventuellement cgi-bin (voir les risques avec cgi-bin plus loin) pour chaque utilisateur pour lequel il souhaite offrir la possibilité de faire un site puis il fait une mise à jour des comptes.

Remarque : Il est possible de retrouver rapidement les utilisateurs ayant une coche dans une des cases web à l'aide du menu "Rechercher", "Prochaine coche Web" ou en utilisant le raccourci clavier Ctrl+W correspondant.

Ce que fait le programme IACA

Lors de la mise à jour des comptes, pour chaque utilisateur pour lequel la case devant html est cochée IACA crée, s’ils n’existent pas encore, un dossier web et dans ce dossier web un dossier html. IACA applique les permissions de sécurité adaptées afin de permettre à tout le monde de naviguer dans les pages html de cet utilisateur mais d’interdire la suppression de ce dossier html à toute personne autre que l’administrateur.
IACA crée ensuite un alias au nom de l’utilisateur vers ce dossier html. Pour Bonnot l’alias sera bonnot

Si la case cgi-bin est cochée et que le dossier cgi-bi n’existe pas encore, il est créé dans le dossier web. De même les permissions de sécurités adaptées sont appliquées et un alias est créé. Pour Bonnot cet alias sera bonnot-cgi

Le répertoire cgi-bin et la sécurité

Ne cochez pas les cases cgi-bin sans mesurer les risques !

Ce répertoire est conçu pour y mettre des scripts (par exemple des fichiers en perl). Ces scripts sont des programmes qui sont exécutés sur le serveur. Ces programmes peuvent presque tout faire sur le serveur. Par exemple ces programmes seraient capables de modifier ou supprimer des fichiers situés dans n'importe quel répertoire du serveur (même C:\Windows).

Ne donnez un répertoire cgi-bin qu'à des personnes en qui vous avez toute confiance. Ces personnes veilleront à ne pas mettre de script capables de faire des dégâts.

Lorsqu'un script est présent dans un dossier cgi-bin, il peut être exécuté par n'importe qui. Si le script est bien fait, il ne doit pas être dangereux pour le serveur.

Imaginez un script qui accepterait un paramètre et qui considèrerait ce paramètre comme un nom de fichier à effacer. N'importe quel utilisateur, avec un navigateur, pourrait appeler ce script en ajoutant le paramètre C:\Winnt\system32\calc.exe
Le programme Calc.exe serait supprimé de votre serveur.

On pourra remarquer que seules les personnes ayant un droit d'écriture dans le répertoire cgi-bin d'un utilisateur peuvent y mettre des scripts. Normalement il s'agit seulement de l'utilisateur et de l'administrateur.

Il existe une différence importante entre un dossier partagé et un répertoire virtuel cgi-bin. Si on appelle à partir d'une station un programme placé dans un dossier partagé, ce programme est exécuté sur la station. Si on appelle à partir d'une station un script placé dans le dossier cgi-bin, ce script est exécuté sur le serveur.

Exemples de répertoires web

 

Vu sur le serveur Vu par Bonnot Accès à partir des navigateurs
D:\iaca\perso\cadres\bonnot\web\html U:\web\html http://serveur/bonnot
D:\iaca\perso\cadres\bonnot\web\cgi-bin U:\web\cgi-bin http://serveur/bonnot-cgi

Travail de l’utilisateur.

Ce que l'utilisateur place dans son dossier html peut être vu par tous les utilisateurs du réseau à l'aide des navigateurs.

Ce que l'utilisateur place dans son dossier cgi-bin peut être exécuté par tous les utilisateurs du réseau à l'aide des navigateurs.

Si vous n'avez pas changé le paramétrage d'origine de IIS, le fichier utilisé par défaut s'appelle Default.htm. Ce qui signifie que si Bonnot place un fichier nommé Default.htm dans son dossier U:\web\html il ne sera pas nécessaire de préciser de nom de fichier et l'adresse http://serveur/bonnot permettra de voir ce fichier Default.htm. Si Bonnot ne place pas de fichier Default.htm mais nomme par exemple son fichier essai.htm, il faudra préciser le nom du fichier dans l'adresse, soit http://serveur/bonnot/essai.htm

A partir de Windows serveur 2003, au moins les fichiers Default.htm et index.htm sont acceptés.

Que se passe-t-il si l'administrateur enlève la coche devant html ?

Si l'administrateur supprime la coche devant html pour Bonnot :

Si l'administrateur supprime la coche devant cgi-bin pour Bonnot :

Ces modifications ne sont effectives qu'après la mise à jour des comptes.

Page contenant la liste des sites des utilisateurs

Il est possible de créer une page html ou php ou asp qui contiendra la liste des personnes qui ont un site web créé par IACA.

Pour les personnes pressées

Allez dans "Paramètres", "Paramètres divers" et "Web". Le plus simple est de choisir "Fichier html" et de laisser la zone "Dossier utilisé..." vide.

En laissant vide la zone "Dossier utilisé..." ce sera le dossier C:\inetpub\wwwroot qui sera utilisé. Ce dossier en en général celui qui est utilisé pour la racine du site principal.

Fenêtre "Paramètres divers".

Choix du dossier

Choisissez de préférence un répertoire web. En général, IIS utilise le dossier C:\Inetpub\wwwroot comme répertoire racine pour le site principal. Donc si vous laissez cette zone vide, cela revient au même que d'y mettre C:\Inetpub\wwwroot. Ce répertoire est accessible par les navigateurs des ordinateurs du réseau avec l'adresse http://serveur (en supposant que le serveur s'appelle "serveur").

Si vous avez choisi comme dans la copie d'écran précédente "Fichier html" alors la liste des sous-sites sera accessible avec l'adresse http://serveur/listesites.htm

Quelle coche choisir

Après un changement dans cette partie, vous devez effectuer une mise à jour des comptes pour que le changement soit effectif.
Le service IACA crée le fichier ou le rafraîchit toutes les 10 minutes.

Si vous avez choisi "Pour php"

Le service IACA crée et met à jour si nécessaire le fichier listesites.ini qu'il place dans le dossier que vous avez indiqué (en général C:\inetpub\wwwroot).

Ce fichier contient les champs

LOGIN;NOM;PRENOM;GROUPE;SOUSGR;ADRSITE;DESCRIPT

Chaque ligne suivante correspond à un utilisateur qui a la case html cochée dans IACA.

Votre travail va consister à créer un fichier php qui lira le fichier Listesites.ini afin de construire la page affichant la liste des sous-sites.

Vous pouvez télécharger un exemple de fichier listesites.php ici : listesites.zip

Copiez le fichier listesites.php dans un répertoire web. Le plus simple est de le copier dans le même dossier que celui qui contient listehtml.ini. Habituellement C:\inetpub\wwwroot

Adaptez éventuellement le fichier listesites.php pour qu'il prenne en compte vos paramètres. Si vous n'avez pas d'éditeur PHP, vous pouvez utiliser le bloc-notes ou Wordpad pour effectuer cette modification, veillez cependant à enregistrer au format texte et à ce que l'extension .doc ou .txt ne soit pas ajoutée lorsque vous enregistrez votre fichier.

Pour vérifier le résultat, vous pouvez à partir d'un navigateur tapez l'adresse http://serveur/listesites.php (en remplaçant serveur par le nom réel de votre serveur).

Pour améliorer la présentation, vous pouvez conseiller au personnes possédant un sous-site de créer un fichier texte nommé description.txt et de le placer à la racine de leur sous-site (Pour cette personne le fichier sera U:\web\html\description.txt).

Seules les 10 premières lignes de ce fichier sont prises en compte. Il est inutile de mettre des balises html car elles seront automatiquement supprimées pour éviter des disfonctionnements du fichier php.

Informez également les utilisateurs que toute modification de leur fichier description.txt sera visible au plus tard 10 minutes après l'enregistrement car le service IACA recherche ces changements toutes les 10 minutes.

Si vous préférez utiliser ASP

Choisissez également "Pour php" afin d'obtenir le fichier listesites.ini.

Fabriquez le fichier ASP qui lira le fichier listesites.ini afin d'obtenir les informations nécessaires pour créer la page représentant la liste des sous-sites.

Fichier index.htm ou Default.htm

Vous pourrez conseiller à toute personne possédant un sous-site de créer rapidement au moins un fichier index.htm (ou Default.htm), ce qui permettra d'éviter les erreurs lorsqu'un utilisateur voudra accéder au sous-site de cette personne.

Fichier Description.txt

Chaque utilisateur possédant un site web créé par iaca, peut ajouter à la page de la liste des sites une description succincte de son site. Il fera cela en créant un fichier texte qu'il nommera "description.txt" et qu'il placera dans son répertoire U:\web\html.

Seules les 10 premières lignes de ce fichier seront utilisées, les balises html seront automatiquement ignorées afin de ne pas risquer de détruire la présentation de la page contenant la liste des sites.

Exemple de page obtenue

En choisissant "Fichier html" vous obtenez une page ressemblant à celle-ci :

Sur l'exemple, on constate que seuls Bonnot et Patte ont créé un fichier description.txt

Lorsque l'utilisateur crée ou modifie son fichier Description.txt, il faudra attendre au maximum 10 minutes pour que la page "Liste des sites" soit modifiée. En effet, c'est le service IACA qui recherche toutes les 10 minutes les fichiers Description.txt dans les répertoires html des utilisateurs et qui met à jour la page.

Informations technique

Dans le dossier ...\SYSVOL\Domain\IACA\nom du site :
Le programme IACA fabrique le fichier Listhtml.ini en fonction des coches html des utilisateurs. Ne modifiez pas vous même ce fichier.
Le programme IACA retient le type choisi dans la variable ListeSites du fichier Paramsiaca.dat

Le service IACA lit ces deux fichiers toutes les 10 minutes et corrige si nécessaire le fichier Listesites.htm (si choix "Fichier html") ou Listesites.ini (si choix "Fichier php").


SSO

Principe

La station, à condition que le client iaca soit installé, écoute le port 5015 en TCP.
Si la station reçoit la chaîne PHP ou la chaîne ASP sur le port 5015, alors elle envoie sur le même port une chaîne ressemblant à celle-ci (la ligne est coupée pour la présentation mais elle est en fait en un seul morceau) :

NU=NIOLE|NO=NIOLE|PR=Guy|NC=NIOLE Guy|GR=ELEVES|SG=TERMA|NS=PC1|SI=SERV|SS=SERV|
SP=CDI|MD=MODELEVES|SU=SERV|P1=Guy|ID=01234080567|DN=07/03/1990|ET=0123456E

Variables

La chaîne envoyé par le client IACA contient les informations suivantes :

Le nom d'ouverture de session : login (NU)
Le nom de l'utilisateur : nom (NO)
Le prénom de l'utilisateur : prenom (PR)
Le nom complet de l'utilisateur : nomcomplet (NC)
Le groupe : groupe (GR)
Le sous-groupe : sousgroupe (SG)
Le nom de la station : station (NS)
Le nom du serveur iaca qui héberge Parciaca : serviaca (SI)
Le nom du serveur qui a validé la session : servsession (SS)
Le nom du sous-parc : sousparc (SP)
Le
nom du modèle : modele (MD)
Le nom du serveur contenant le dossier personnel : servperso (SU)
Le premier prénom de l'utilisateur : premierprenom (P1)
L'identifiant de l'utilisateur : idutilisateur (ID)
La date de naissance de l'utilisateur : datenaiss (DN)
L'identifiant de l'établissement de l'utilisateur : idetablissement (ET) 

Il est possible que certaines variables ne contiennent pas de valeur. Par exemple si vous n'avez pas indiqué dans IACA d'identificateur d'établissement pour le site de l'utilisateur, vous n'aurez pas de valeur dans ET.

Utilisation en PHP

Lorsque la station appelle une page PHP, le serveur exécute les lignes PHP.
Si dans ces lignes on place un appel à fsockopen pour établir une connexion avec la station et que l'on envoie la chaîne PHP à cette station alors la station répond en envoyant la chaîne contenant les variables.
Le programme PHP peut alors découper la chaîne et obtenir les différentes variables.
Il est par exemple ensuite possible d'inclure le nom de l'utilisateur dans les pages HTML envoyées à la station.

Un exemple est donné dans le fichier iaca_tcp_php.php que vous pouvez télécharger ici : iaca_tcp_php.zip

iaca_tcp_php.php est un fichier auto documenté qui montre la syntaxe à utiliser et donne un exemple de récupération des variables du client iaca (nom de l'utilisateur, groupes...).

Placez iaca_tcp_php.php dans un répertoire web de votre serveur et appelez ce fichier à partir d'un navigateur sur une station.

Les stations ne doivent pas passer par un proxy pour accéder au serveur (REMOTE_ADDR donnerait l'adresse IP du proxy à la place de l'adresse IP de la station). Si vous avez besoin d'utiliser un proxy, il faut paramétrer le navigateur des stations pour qu'il n'utilise pas de proxy pour les adresses locales.

En ASP

Une DLL

Le langage ASP n'ayant pas à ma connaissance la possibilité d'établir une connexion TCP ou UDP, j'ai créé une dll que j'ai nommée tcpasp.dll.

Téléchargez tcpasp.dll que vous trouverez ici : tcpasp.zip

Placez cette dll dans le dossier System32 (Windows en 32 bits) ou SysWOW64 (Windows en 64 bits) du serveur qui héberge les pages ASP.

Afin que Windows puisse utiliser cette dll, il faut la référencer. Cela se fait avec le programme regsvr32.exe.

Si votre serveur est en 32 bits :

Si votre serveur est en 64 bits

Vous devez obtenir une fenêtre indiquant que c'est réussi.

Si plus tard, vous voulez désinstaller cette dll, vous taperez la même ligne mais en ajoutant au bout un espace et /u
puis vous pourrez supprimer le fichier tcpasp.dll.

Il est possible que la désinstallation échoue si la dll est en cours d'utilisation, dans ce cas, il suffit d'arrêter IIS et de le redémarrer avant d'effectuer la désinstallation.
Si vous avez déjà installé une version de cette dll et que vous voulez installer une nouvelle version, il n'est pas nécessaire de la désinstaller, il suffit de remplacer votre dll par la nouvelle dll. Là encore vous serez peut-être obligé d'arrêter et redémarrer IIS avant de pouvoir effectuer ce remplacement.

Fichier ASP

Lorsque la station appelle une page ASP, le serveur exécute les lignes ASP.
Si dans ces lignes on place un appel à Server.CreateObject("tcpasp.ClassTCPASP") alors la dll est contactée.
En effectuant un "interroge", la dll contacte la station en lui envoyant la chaîne ASP.
La station répond en envoyant la chaîne contenant les variables.
La dll découpe la chaîne.
Vous pouvez alors utiliser les variables dans votre page ASP. 

Un exemple est donné dans le fichier auto documenté "iaca_tcp_asp.php" que vous pouvez télécharger ici : iaca_tcp_asp.zip

Les stations ne doivent pas passer par un proxy pour accéder au serveur (REMOTE_ADDR donnerait l'adresse IP du proxy à la place de l'adresse IP de la station). Si vous avez besoin d'utiliser un proxy, il faut paramétrer le navigateur des stations pour qu'il n' utilise pas de proxy pour les adresses locales.

Informations techniques

C'est le service IACA qui tourne sur les stations qui répond. Cette fonctionnalité n'est donc pas compatible avec les clients en TSE puisque dans ce cas, il n'y a qu'une machine donc qu'une adresse IP) pour plusieurs utilisateurs.


WebDAV

WebDAV (World Wide Web Distributed Authoring and Versioning).
SSL (Secure Sockets Layer)

Avant de commencer

Accès en http ou en https ?

Si vous choisissez https, vous devez installer un certificat.

Attention, le client WebDav sur les stations XP depuis IE 7 ne semble plus accepter la connexion en https. L'accès ne permet alors que de lister le dossier personnel.

Quel type d'authentification ?

Lorsque l'utilisateur indique son nom et son mot de passe, la communication avec le serveur peut se faire avec les mots de passe en clair (déconseillé), avec l'authentification Windows (valeur par défaut) ou avec un codage en MD5.

Droit de modification ou seulement de lecture ?

Lorsque l'utilisateur accède à son dossier personnel à l'aide WebDav, il est possible de lui donner un droit de modification ou seulement un droit de lecture. Ce choix se fait simplement avec IACA.

Le serveur

Windows 2000

Avec un serveur Windows 2000, WebDAV est déjà activé.

Windows 2003

Avec un serveur Windows 2003, allez dans "Gestionnaire des services Internet (IIS)" et dans les "Extensions serveurs" activez "WebDAV".

Windows 2008

Avec un serveur Windows 2008, il faut choisir le ou les types d'authentification à installer et il faut télécharger WebDav et l'installer.
Dans "Gestionnaire de serveur", dans la partie gauche, ouvrez "Rôles", et placez-vous sur "Serveur Web (IIS)". Dans la partie droite cliquez sur "Ajouter des services de rôle" et dans la partie Sécurité cochez "Authentification Windows".
Les "Authentifications de base" (mot de passe en clair) et "Authentification Digest" (codage en MD5) peuvent également être nécessaires si vous faites les choix correspondant dans IACA.

WebDAV n'est pas installé par défaut. Téléchargez et installez WebDAV comme décrit dans le document "WebDAV pour 2008".

Windows 2008R2 ou Windows 2012 ou Windows 2016

Avec un serveur Windows 2012, il faut installer WebDav et le ou les types d'authentification souhaités.
Dans "Gestionnaire de serveur", "Gérer" et "Ajouter des rôles ou fonctionnalités". Cochez "Publication WebDav" et cochez "Authentification Windows".
Les "Authentifications de base" (mot de passe en clair) et "Authentification Digest" (codage en MD5) peuvent également être nécessaires si vous faites les choix correspondant dans IACA.

Il restera ensuite à vérifier que  WebDAV est activé :

Placez-vous sur "Default Web Site" et entrez dans "Règles de création WebDAV". Si vous voyez "Activer WebDAV", cliquez dessus afin de l'activer.

Si vous voyez "Désactiver WebDAV" c'est qu'il est activé. Vous n'avez rien à faire.

Windows 2019

Ajoutez le rôle "Publication WebDAV. Ajoutez éventuellement les Authentifications souhaitées.

Windows 2022

Ajoutez le rôle "Publication WebDAV. Ajoutez éventuellement les Authentifications souhaitées.

Paramétrage avec IACA

Avec IACA dans "Paramètres divers" et volet "Web" cochez le ou les types d'authentifications que vous voulez utiliser.

Si vous cocher "Authentification de base (mot de passe en clair), vous devez avoir installé la fonctionnalité "Authentification de base".
Si vous cocher "Authentification Windows intégrée", vous devez avoir installé la fonctionnalité "Authentification Windows".
Si vous cocher "Authentification Digest (le codage est alors MD5), vous devez avoir installé la fonctionnalité "Authentification digest".

En général on ne cochera que "Authentification Windows intégrée" et il ne sera utile que d'installer la fonctionnalité "Authentification Windows".

Si vous avez installé un certificat alors vous pouvez cocher SSL pour WebDav. Les utilisateurs devront alors utiliser une adresse commençant par https. Si vous n'avez pas de certificat vous ne devez pas cocher les cases SSL. Les utilisateurs utiliseront alors une adresse commençant par http.

Si vous souhaitez qu'un utilisateur ait accès seulement en lecture à son dossier personnel, cochez pour cet utilisateur "Lect. DAV".
Si vous souhaitez qu'un utilisateur ait accès en lecture et écriture à son dossier personnel, cochez pour cet utilisateur "Ecrit. DAV".

Ces deux coches fonctionnent ensemble. En cochant la case écriture, la coche se met automatiquement sur la case lecture. En décochant la case lecture, la coche s'enlève automatiquement de la case écriture.

Faites une mise à jour des comptes pour que ces changements soient effectifs.

Des partages web sont alors créés sur les dossiers personnels avec les bonnes autorisations IIS. Le nom de ce partage web est composé de u- suivi du nom d'ouverture de session. Par exemple pour DUPOND le partage web sera u-dupond (pensez que cela correspond au dossier U: de Dupond).

Ouvrir un port pour l'accès de l'extérieur

L'accès à partir d'un ordinateur situé dans le réseau local (donc à l'intérieur de l'établissement) ne nécessite pas d'ouverture de port.

L'accès à partir d'un ordinateur extérieur suppose que votre réseau peut être vu de l'extérieur avec un nom de domaine ou avec une adresse IP publique (fixe si possible).

Il est également nécessaire que le port 80 ou 443 puisse être redirigé vers le serveur IACA.
Si l'accès vers Internet se fait par Amon (ou autre) puis par un routeur, il faudra modifier le paramétrage du routeur pour qu'il redirige le port 80 ou 443 vers Amon et paramétrer Amon (ou autre) pour qu'il redirige le port 80 ou 443 vers le serveur IACA.

Si vous avez installé un certificat, l'accès se fera en https et utilisera le port 443 (communication sécurisée SSL).
Si vous n'avez pas installé de certificat, l'accès se fera en http et utilisera le port 80.

Exemples d'utilisation

Exemple : Vous êtes dans l'établissement, vous avez ouvert une session avec votre nom de professeur et vous souhaitez récupérer un fichier placé dans le dossier personnel de Admin1. Il n'est pas nécessaire de fermer la session et de l'ouvrir en tant qu'Admin1, vous pouvez aller chercher le fichier en http (ou https).

Exemple : Vous êtes professeur, et de chez vous vous accédez à votre dossier personnel situé sur le serveur de l'établissement. Vous pouvez alors copier modifier les fichiers presque comme si vous étiez dans l'établissement. 

Sur les stations en http

Vous pouvez conseiller aux utilisateurs qui auront accès à leur dossier personnel de regarder le document "Utilisation de WebDav sur les stations"

Vous devez également leur indiquer l'adresse du serveur. L'adresse pourra ressembler à 

http://serv-peda.dom-lycee.fr

ou

https://serv-peda.dom-lycee.fr

Si l'accès se fait à partir de l'extérieur de l'établissement, cette adresse devra être un nom de domaine (reconnu sur Internet) ou l'adresse IP côté Internet (fixe de préférence).

https et certificat sur le serveur

Si vous souhaitez utiliser les communications sécurisée SSL entre les stations et votre serveur, cela se complique un peu. Il est nécessaire d'installer un certificat. Pour cela vous pouvez consulter :

Sur les stations en https

Les stations doivent accepter ou installer le certificat.

Si votre certificat n'a pas été émis par une "autorité ce certification approuvée", la station considèrera ce certificat comme "non autorisé". On peut alors demander de l'utiliser tout de même mais il faudra l'accepter à chaque fois. Le mieux étant de l'installer à partir du fichier .cer que vous avez créé.


Accès FTP

Remarque : FTP est très souvent utilisé pour mettre à jour des serveurs Web mais est reconnu comme n'étant pas très sécurisé (mot de passe envoyé en clair par exemple). Si vous voulez utiliser une solution plus sécurisée, vous pouvez choisir WebDAV décrit avant.

Contraintes techniques

Accès de l'extérieur

L'accès à partir d'un ordinateur extérieur suppose que votre réseau peut être vu de l'extérieur avec un nom de domaine ou avec une adresse IP publique (fixe si possible).

Il est également nécessaire que deux ports puissent être redirigés vers le serveur IACA. Les numéros de ces ports proposés par IACA sont 5021 et 5022 mais vous pouvez en choisir d'autres (21 et 20 sont les ports habituellement utilisés pour FTP).
Si l'accès vers Internet se fait par Amon (ou autre) puis par un routeur, il faudra modifier le paramétrage du routeur pour qu'il redirige les ports TCP 5021 et TCP 5022 vers Amon et paramétrer Amon (ou autre) pour qu'il redirige les ports 5021 et 5022 vers le serveur IACA.

Certains routeurs considèrent que le seul le port 21 doit être traité pour le FTP. Dans ce cas, essayez 21 comme port d'écoute et essayez 0 (ou 20) comme port de communication.

Accès de l'intérieur

L'accès Ftp à partir des ordinateurs de votre réseau, est possible sans les contraintes précédentes et en particulier ne nécessite pas l'ouverture de ports. Si par exemple vous avez ouvert une session avec votre nom de professeur et que vous souhaitez récupérer un fichier placé dans le dossier personnel de Admin1, il n'est pas nécessaire de fermer la session et de l'ouvrir en tant qu'Admin1, vous pouvez aller chercher le fichier avec un accès ftp. Dans le navigateur, tapez ftp://admin1@Serv:5021 (remplacez Serv par le nom réel de votre serveur IACA), il vous sera alors demandé le mot de passe de Admin1.

Paramétrage dans IACA

Par défaut, personne ne peut accéder à son dossier personnel par FTP. Avec IACA sur le serveur, cochez "Accès ftp" pour les utilisateurs auxquels vous voulez donner le droit d'accès par le navigateur ou par un client FTP.

IACA utilise par défaut le port 5021 comme port d'écoute afin d'éviter les conflits avec le port 21 habituellement utilisé par les serveurs FTP. Les clients FTP devront donc être paramétrés avec le port 5021.
Lors de la communication entre le client FTP et le serveur FTP de IACA, un deuxième port est nécessaire mais ceci est transparent pour l'utilisateur. Ce deuxième port est par défaut le 5022.
Le nombre de clients simultanés est par défaut limité à 100.

Si ces valeurs ne vous conviennent pas, vous pouvez les modifier avec IACA sur le serveur dans "Paramètres", "Paramètres divers" et "FTP".

Le port de communication peut être remplacé par un ensemble de ports. Pour autoriser les ports de 5022 à 5030, mettrez 5022..5030. Vous devrez alors avoir ouvert tous ces ports en plus du port d'écoute.
Plus le nombre de clients simultanés est grand plus vous devrez choisir une plage grande.

Si vous n'avez pas déjà un serveur FTP sur le port 21 ou si les ports par défaut ne conviennent pas pour votre routeur, alors mettez le port 21 comme port d'écoute, 0 comme port de communication et ouvrez seulement le port 21 (c'est la solution la plus pratique).

L'adresse publique du serveur est l'adresse (avec nom de domaine ou simple IP) que les utilisateurs doivent utiliser pour accéder à votre serveur à partir de l'extérieur.

Utilisation

Indiquez aux personnes autorisées le nom complet du serveur IACA vu de l'extérieur ou encore l'adresse IP du routeur vue de l'extérieur. Précisez le numéro du port (indiquez seulement le numéro de port d'écoute, par exemples 21 ou 5021).

Conseillez à ces personnes de lire le document Accès FTP à son dossier personnel de chez soi.

Informations techniques

Le serveur FTP écoute sur le port 5021. Lorsqu'un client se connecte, celui-ci communique avec le serveur en utilisant ce port pour tout ce qui est ordre court. Dès que la lecture d'un directory est demandée au serveur, ou dès qu'un fichier doit être transféré, une deuxième connexion s'établit (connexion de communication).

Cette connexion peut se faire en mode passif ou en mode actif. C'est le client qui décide du mode à utiliser.

Mode passif

Le client demande au serveur le passage en mode passif. Le serveur propose alors au client d'établir une connexion et pour cela lui envoie son adresse IP publique et le port (5022 par exemple). Le client établit la connexion, puis le port 5022 est libéré sur le serveur et enfin le transfert s'effectue.

Dans ce mode, il est nécessaire que le port (5022 par exemple) soit accessible de l'extérieur.
Le client peut accéder à Internet par un modem ou par un routeur. Le pare-feu est normalement pas gênant.

Si une deuxième connexion est nécessaire, le serveur propose à nouveau le port 5022 s'il est libre ou le port suivant (si on a indiqué une plage de ports de communication). Dans le cas où il n'y a pas de port libre, le client reçoit "NO available PASV ports". Il pourra tenter à nouveau un peu plus tard.

Mode actif

Le client demande au serveur le passage en mode actif. Le client envoie au serveur son adresse IP et un numéro de port. Le serveur se connecte au client sur le port proposé et le transfert s'effectue.

Dans ce mode, les ports de communication du serveur ne sont pas utilisés.
Le client ne peut accéder à Internet en pratique que par un modem (l'utilisation d'un routeur ne pourrait se faire qu'en redirigeant une grande plage de ports vers le client).
Comme le client ouvre momentanément un port, le pare-feu de XP demande si l'on accepte de débloquer "iexplorer.exe". Si vous décidez de ne pas le débloquer, l'accès au dossier et le transfert de fichier ne fonctionnera pas. Si vous débloquez iexplorer.exe le fonctionnent ftp se fera normalement. Vous pourrez facilement rétablir plus tard la configuration par défaut en supprimant iexplorer.exe dans les exceptions du pare-feu.