[OS X Server] – Dans quel cas se servir du service Mobile Access ?

Vous l’aurez certainement lu sur le site d’Apple, OS X Snow Leopard Server embarque un service dédié à l’accès mobile pour sécuriser l’accès à vos ressources interne sans avoir à mettre en place un système VPN lourd pour l’utilisateur. Voyons voir sur quel principe repose ce système est en quoi il est plus pratique qu’un VPN.

Comme dit sur le site d’Apple, le service Mobile Access s’appuie sur la technologie Transport Layer Security (TLS), anciennement nommé Secure Socket Layer (SSL), qui offre une méthode de chiffrement des données applicable à tout type de service, elle nécessite cependant un certificat X.509 pour fonctionner, de préférence signé par une autorité de certification. Pour simplifier l’histoire retenons simplement que via un système de certificat signé votre ordinateur peut attester de l’authenticité du serveur avec qui vous communiquez et bloque ainsi les attaques de type Man In the Middle. Dans le cas d’utilisation de certificats non signé par une autorité de certification il vous faudra fournir la clef publique du serveur de manière sécurisé à vos clients.

Ces rappels théoriques étant fait, regardons comment agit le service Mobile Access. Le principe est très simple, il est question de sécurisé l’accès aux sites web internes de la société ainsi qu’aux mails. L’accès standard à un site web se fait via le protocole HTTP et pour le mail on utilisera le SMTP et l’IMAP. Ces protocoles dispose justement d’une version sécurisé par TLS, l’HTTPS, le SMTP à travers SSL et l’IMAP à travers SSL. L’idée est donc de mettre en place un Reverse Proxy qui s’occupera de prendre tous les accès distants à travers SSL et de les renvoyer à des serveurs interne inaccessible depuis Internet.

De manière schématisé :

Schéma de Mobile Access

L’intérêt de ce système est multiple, entre autre la charge processeur nécessaire à déchiffrer les connexions SSL/TLS sera ici assuré par un serveur dédié à cette tâche, ce qui ne perturbera donc pas les autres services hébergé par votre serveur web, de plus vous allez pouvoir avoir plusieurs serveurs web accessible depuis le net.

D’autre part, ce service est conçu pour une intégration transparente pour les utilisateurs. Lorsque vous êtes dans une société il est courent de placer vos sites web d’intranet dans vos favoris Safari pour une utilisation plus aisé, dans ce cas vos favoris sont enregistrés en HTTP et non HTTPS. Ce que fera le serveur Mobile Access c’est qu’automatiquement, pour les accès externe, l’URL HTTP sera redirigée vers sa version HTTPS, sans que l’utilisateur n’ai quoi que ce soit à faire.

Les possibilités de ce service ne s’arrête pas là, il permet également de choisir quel utilisateur a le droit d’accéder à distance à vos services. Ainsi dans le cadre d’un site de suivi de production, un commercial doit avoir accès au site a distance, par contre ce n’est pas nécessaire pour le chef d’atelier, le choix se fera par la restriction d’utilisation de service. Pour que cela soit valable il faudra donc qu’il y ait une authentification au niveau du serveur Mobile Access, lorsque l’utilisateur se connectera depuis l’extérieur il sera donc accueillit par une page d’authentification.

Authentification Mobile Access

Une fois authentifié, le site voulu est affiché. À noter que lorsqu’un utilisateur choisi de rester identifié, c’est pour une durée pré-déterminée par l’administrateur et choisi dans la configuration du service. Aussi si un utilisateur perd ses droits d’accès distant durant cette période le service le rejettera quand même.

3 réflexions au sujet de « [OS X Server] – Dans quel cas se servir du service Mobile Access ? »

  1. Ping : Twitted by inigservices

  2. Bonjour,

    un grand merci pour cet article qui me permet enfin de comprendre plus clairement l’intérêt du service mobile access!
    Enfin, je comprends bien pour l’accès à un site intranet. Mais pour ce qui est des autres services, l’intérêt n’est finalement que de reporter la charge de l’encodage sur un autre serveur que celui qui héberge les services en question?
    Du coup pour que ça ait un sens il faut 2 serveurs et donc pas mal d’utilisateurs pour que la charge soit trop importante pour une seule machine. Sinon autant directement configurer le ssl pour les services.
    Il ne semble pas possible de profiter du mobile access pour limiter à l’accès par l’intranet à certains utilisateurs pour les services en dehors du http puisque les autres protocoles ne gèrent pas les redirections, ce qui force à passer par le portail même depuis l’intranet…

    Du coup je suis pas si sur d’avoir tout bien saisi :-)

    • Le MAS est fait uniquement pour déporter la charge de la gestion d’accès à distance dans un par serveur conséquent. Ce n’est pas fait pour une config à un serveur mais une config à plusieurs serveurs hébergeants des services différents.

      Le MAS s’occupera de gérer toutes les connexions externe en prenant en charge le SSL (qui coute en temps processeur vu que les Mac n’ont pas de carte dédié) ainsi que l’authentification et la gestion des droits d’accès des utilisateurs.

      C’est généralement le même serveur qui va faire office de tête VPN si vous utilisez le service du Mac. Ce peut être également ce serveur qui s’occupe du NAT si tout est géré sur OS X.

Laisser un commentaire