Prérequis matériel BeyondTrust

Ce guide vous expose la mise en place et la configuration initiale de votre serveur d’accès à distance sécurisé. Si vous avez besoin d’aide, veuillez contacter l’assistance technique de BeyondTrust : beyondtrust.com/docs/index.htm#support.

Conditions

Avant de commencer, il est important de savoir que tant que les conditions requises par le serveur d’accès à distance sécurisé n’ont pas été satisfaites, vous ne pourrez pas atteindre votre serveur directement par son adresse IP ou son nom d’hôte, et vous ne pourrez pas rechercher de mises à jour . Le serveur d’accès à distance sécurisé requiert au minimum ce qui suit :

  • Une ou deux prises de courant en fonction de votre serveur (une pour le B200, deux pour le B300 ou B400)
  • Une connexion réseau haut débit
  • Un routeur ou switch réseau.
  • Une adresse IP statique unique pour le serveur d’accès à distance sécurisé
  • Un enregistrement de DNS privé de type A effectuant une résolution vers l’IP statique de votre serveur. Un enregistrement public de type A et une IP publique seront également requis si des clients externes ont besoin d’un accès au serveur.
  • Un certificat SSL de serveur Web + un ou des certificats SSL intermédiaires, et une racine SSL. OU un certificat auto-signé.
  • Le package de licence logicielle BeyondTrust

Bien que ceci répond aux exigences minimum, des configurations plus avancées peuvent nécessiter des éléments supplémentaires. Par exemple :

  • La fonction cliquer-pour-messagerie instantanée et les clients mobiles BeyondTrust nécessitent une racine SSL et un ou plusieurs certificats SSL intermédiaires.
  • L’accès depuis des réseaux publics externes nécessite un enregistrement de DNS public de type A.
  • L’accès depuis plusieurs enregistrements de DNS de type A nécessite plusieurs certificats de serveur Web et/ou un ou plusieurs certificats SAN ou à caractère générique.
  • L’isolation du trafic client de plusieurs réseaux nécessite plusieurs adresses IP statiques.
  • Les mises à jour automatiques et l’assistance technique BeyondTrust avancée nécessitent un accès sortant à l’internet public depuis le serveur d’accès à distance sécurisé sur le port TCP 443.

 

Aucun logiciel client (comme les consoles du technicien d’assistance, d’utilisateur, Jump Clients, Jumpoints, etc.) ne peut être téléchargé, installé ou utilisé tant que l’assistance technique BeyondTrust n’a pas créé un package de licence logicielle pour votre serveur et que vous ne l’avez pas installé selon les instructions fournies par l’assistance technique. Comme ce package de licence est encodé avec l’enregistrement DNS de type A du serveur ainsi que son certificat SSL, ceux-ci doivent être en place avant que le package de licence puisse être terminé.

Démarrage

Plusieurs actions doivent être effectuées avant que le matériel BeyondTrust soit livré et installé :

  1. Allouez l’espace de rack nécessaire au serveur. Assurez-vous que cet espace dispose de suffisamment d’alimentation électrique et d’accès réseau.
  2. Réservez une adresse IP statique pour le serveur sur le réseau. Reportez-vous aux guides suivants pour réserver la ou les bonnes adresses IP :
  3. Configurez un enregistrement de DNS de type A pour le nom de domaine complet (FDQN) de votre nouveau site (par ex. support.example.com).

    un enregistrement de DNS de type A privé effectuant une résolution vers l’IP statique du serveur sera toujours nécessaire. Un enregistrement public de type A et une IP publique seront également requis si les clients sur des réseaux externes publics auront besoin d'un accès au serveur.

Configuration réseau typique

Bien que votre serveur peut fonctionner n’importe où dans votre réseau tant que les utilisateurs et les machines appropriés peuvent le joindre, vous devez décider où vous souhaitez installer le serveur dans le réseau avant cette étape. Si vous allez accéder à des systèmes en dehors de votre réseau, BeyondTrust vous recommande de placer votre serveur dans une DMZ ou en dehors de votre pare-feu interne. Consultez le tableau ci-dessous pour plus de détails. Pour obtenir une assistance au niveau de la configuration de votre pare-feu, veuillez contacter le fabricant du logiciel du pare-feu.

 

si vous déplacez le serveur vers un autre lieu pour le connecter à Internet, vous devrez l’éteindre avant de le débrancher de sa prise d’alimentation électrique. Si vous pouvez vous connecter à l’interface d’administration /appliance, allez sur la page État > Bases et cliquez sur Éteindre ce serveur. L’extinction manuelle est possible si vous appuyez une fois sur le bouton d’alimentation. Attendez 60 secondes pour que le serveur d’accès à distance sécurisé s’éteigne avant de le débrancher de sa source d’alimentation électrique. Lorsque vous reconnectez le serveur au nouveau lieu, vous devrez le rallumer.

Considérations pour l’emplacement réseau des serveurs d’accès à distance sécurisé
Emplacement réseau Avantages/Inconvénients

Hors de votre pare-feu

Ne requiert pas que les ports 80 et 443 soient ouverts pour le trafic TCP entrant sur votre pare-feu. Simplifie grandement le processus d’installation, car et des clients sont construits pour renvoyer vers un DNS spécifique ; si votre DNS enregistré renvoie vers une adresse IP publique directement attribuée à votre serveur, aucune configuration additionnelle n’est nécessaire de votre part pour lancer une session.

DMZ

Peut nécessiter une configuration supplémentaire en fonction de votre (vos) routeur(s).

À l’intérieur de votre pare-feu

Nécessite une redirection de ports sur votre pare-feu et potentiellement une configuration supplémentaire de votre routage NAT et de votre DNS interne.