4.1.3 - Présentation des composants E-Sentry :

4.1.3.A - Le serveur de sécurité E-Sentry (installé sur Eridan) :

• Il prend en charge l’authentification des utilisateurs accédant par leur browser (identifiant/ mot de passe ou certificats) ;
• Il communique l’accréditation des utilisateurs aux WebAgents ;
• Il dispose des outils interactifs et batch d’administration de sa base de sécurité ;
• Il assure la synchronisation automatique des données de sécurité avec les serveurs de sécurité distants ;
•  Fonctionnant en miroirs, l’indisponibilité d’un serveur de sécurité est compensée par un de ses miroirs sans dégradation de service (modèle multi-maîtres de distribution des données de sécurité).

4.1.3.B - Le WebAgent (installés sur les serveurs Colombe et Fleche) :

• Il est normalement intégré au serveur HTTP de l’application (module exit) ;
• Il assure le contrôle d’accès aux applications Web en filtrant les requêtes (URL) vers les applications ;
• Il est placé en amont de l’application et agit sur le protocole HTTP ;
• Il est capable d’enrichir les requêtes (URL) entrantes par des paramètres reçus dans les accréditations (paramètres de sécurité, attributs utilisateur, profils d’accès, ...) ;
• Il met en œuvre un ‘cache’ local pour mémoriser les accréditations déjà reçues ;
• Il est capable de re-router l’utilisateur vers le serveur d’authentification si nécessaire ;
• Il est piloté par un fichier de configuration local et par les serveurs de sécurité e-Sentry avec qui il dialogue (réception des accréditations) ;
• Cette configuration locale permet de choisir les serveurs d’authentification et d’accréditation ;
• Le WebAgent permet un back up de l’authentification via le navigateur de l’utilisateur et assure un back up automatique direct des serveurs d’accréditation ;
• Il peut être associé, via des fonctions EXIT, à des serveurs HTTP de technologie Apache, Netscape, IIS4 et IIS5, Lotus Domino.

4.1.3.C - Le FrontServer (installé sur Fleche) :

• Le serveur d’application est dans l’Intranet que l’on souhaite isoler de l’accès Internet. En plaçant le Front Server dans une ‘Zone démilitarisée’, les adresses effectives des serveurs internes sont cachées de l’Internet ;
• Le serveur HTTP de l’application ne permet pas l’adjonction d’un WebAgent ;
• On souhaite établir une connexion sécurisée SSL entre les utilisateurs et l’application mais l’application ne supporte pas ce protocole. Ceci étant, le FrontServeur est capable d’assurer une liaison SSL sur le tronçon FrontServer – applicationWeb.

• Le masquage des serveurs applicatifs réels ;
• Les fonctions de filtrage, reroutage et ajout de paramètres grâce au WebAgent intègré ;
• La Frontalisation de une ou plusieurs applications situées sur des serveurs physiques différents ;
• La simplification des protections des sous-réseaux par les FireWall ;
• Le déploiement d’autant de FrontServers que nécessaire.

• Sur un serveur et/ou un réseau distinct lorsqu’il s’agit d’isoler le serveur d’application ;
• Sur le serveur applicatif lui-même lorsque l’objectif est de compléter le serveur HTTP local.