Ceci est une ancienne révision du document !
Table des matières
Installation du client lourd Pulse Secure
Guide des bonnes pratiques du VPN
Le client VPN va ajouter une carte réseau virtuelle et faire y transiter le trafic vers les réseaux dee l'université. Cependant, cette carte virtuelle reste sousmise au bon fonctionnement des cartes réseaux physiques (Wifi ou filaire).
Les problèmes Wifi sont fréquents en milieu urbain et particulièrement en immeuble d'habitation. La proximité d'un nombre important de box internet propageant des réseaux Wifi provoque une saturation des fréquences Wifi.
Aussi, nous préconisons :
- l'utilisation d'une connexion filaire à l'aide d'un câble RJ45 entre l'ordinateur et la box et la désactivation du Wifi
- Si cela n'est pas possible, il faudrait à mimima utiliser le réseau Wifi de la box en mode 5Ghz (où les conflits de fréquence peuvent être moins importantes qu'en 2,4Ghz).
- la suppression ou la désactivation de logiciel VPN tiers qui pourraient entrer en conflit avec le client Pulse Secure
Par ailleurs, nous avons constaté que les docks USB pouvaient proser problème. Il convient alors de ne pas brancher le cable RJ45 au dock mais au port réseau de l'ordinateur.
Telechargement des logiciels d'installation
Les binaires d'installation hors-ligne de l'outil Pulse Secure (mode “client lourd”) sont proposés ci-dessous. Ils sont utiles à la première utilisation de ce mode d'accès
Plate-forme | Binaire |
---|---|
Microsoft Windows | ps-pulse-win-9.1r11.5-b9451-64bitinstaller.msi |
Apple MacOS X | ps-pulse-mac-9.1r11.5-b9451-installer.dmg |
Linux RPM (64 bits) | ps-pulse-linux-9.1r11.5-b9451-64-bit-installer.rpm |
Linux DEB (64 bits) | ps-pulse-linux-9.1r11.5-b9451-64-bit-installer.deb |
Procédures d'installation
Installation sous Microsoft Windows
installation manuelle
Nous décrivons ci-dessous la procédure d'installation et d'utilisation du service nomade sur les systèmes Windows 7 et 10.
- Après avoir téléchargé l'executable ci dessus, lancez la procédure d'instalation.
- Une fois installé, lancez le client pulse secure
- Cliquez sur le bouton “+” pour ajouter une connexion et rentrez les informations de connexion.
- Nom : univ-nantes
- URL du serveur :
- Personnels de l'Université : https://nomade.univ-nantes.fr
- Étudiants de l'Université : https://nomade.etu.univ-nantes.fr
- Prestataires de tièrce maintenance applicative : https://nomade.univ-nantes.fr/tma
- Cliquez sur Ajouter
- Cliquez sur Connexion
- Entrez votre nom d'utilisateur et mot de passe Université
- Si cela vous est proposé, entrez le profil que vous souhaitez utiliser
- Vous etes maintenant connecté au réseau de l'université.
installation automatique
Cette procédure permet aux gestionnaire de parcs informatique de déployer ou configurer le client Pulse Secure à l'aide d'un script de configuration automatique.
après avoir téléchargé le script de configuration automatique vous pouvez installer ou configurer le client :
- installation avec le script de configuration automatique
msiexec.exe /i <path du package pulse.msi> CONFIGFILE=<path du fichier de configuration.pulsepreconfig> /qb
- configuration avec le script de configuration automatique
"c:\Program Files (x86)\Common Files\Pulse Secure\JamUI\jamCommand.exe" -importfile <path du fichier de configuration.pulsepreconfig>
Réinstallation complète du client Pulse Secure en cas de dysfonctionnement
- Désinstallez le client Pulse Secure via le Panneau de Configuration de Windows
- Supprimez les dossiers suivants :
C:\ProgramData\Pulse Secure
C:\Program Files (x86)\Common Files\Pulse Secure
C:\Users\<NOM-UTILISATEUR>\AppData\Local\Pulse Secure
C:\Users\<NOM-UTILISATEUR>\AppData\Roaming\Pulse Secure
C:\Users\public\Pulse Secure
- Redémarrez votre ordinateur puis installez la dernière version du client Pulse Secure disponible
Installation via Windows Store pour Windows 10
Pas de possibilité de connexions en mode ESP. Connexions SSL seulement (avec impact sur les performances).
Cette procédure utilise la gestion des VPN intégrée à Windows 10 via un client de Pulse Secure installé depuis le Windows Store. Ce client présente l'avantage d'être mieux intégré à Windows 10 de déconnecter proprement le VPN à la fermeture de Windows même si l'utilisateur oublie de le faire lui-même. De plus ce client se met à jour tout seul via Windows Update ou Windows Store.
Si le client lourd officiel de Pulse Secure est déjà installé, il est préférable de le désinstaller au préalable.
Installation
- Lancer
Windows Store
et chercherPulse Secure
Configuration
- Ouvrir les
Paramètres de Windows
>Internet et réseaux
>VPN
-
Fournisseur VPN
→Pulse SecureNom de connexion
→Nomade Univ-NantesAdresse du serveur
:- Personnels de l'Université→https://nomade.univ-nantes.fr
- Étudiants de l'Université→https://nomade.etu.univ-nantes.fr
- Prestataires de tièrce maintenance applicative→https://nomade.univ-nantes.fr/tma
Nom d'utilisateur
etMot de passe
habituels (facultatif)Mémoriser mes informations de connexion
→ne cocher que si nécessaire
- Ce client VPN reprend les paramètres proxy du système Windows
Paramètres de Windows
>Internet et réseaux
>Proxy
. Si ces paramètres ne sont pas configurés, vous pouvez les spécifier pour cette connexion VPN avec le boutonOptions avancées
Paramètres du proxy VPN
→Utiliser un script de connexion
ouAutomatique
Adresse de script
→http://www.dsi.univ-nantes.fr/cache.pac
Utilisation
Connexion
Déconnexion
- Ouvrir les
Paramètres de Windows
>Internet et réseaux
>VPN
>Nomade Univ-Nantes
etDéconnecter
Installation sous Apple MacOS X
Nous décrivons ci-dessous la procédure d'installation du service nomade sur des systèmes MacOS X 10.11 et versions ultérieures.
- Après avoir téléchargé l'executable ci dessus, lancez la procédure d'instalation.
- Une fois installé, lancez le client pulse secure
- Cliquez sur le bouton “+” pour ajouter une connexion et rentrez les informations de connexion.
- Nom : univ-nantes
- URL du serveur :
- Personnels de l'Université : https://nomade.univ-nantes.fr
- Étudiants de l'Université : https://nomade.etu.univ-nantes.fr
- Prestataires de tièrce maintenance applicative : https://nomade.univ-nantes.fr/tma
- Cliquez sur Ajouter
- Cliquez sur Connexion
- Entrez votre nom d'utilisateur et mot de passe Université
- Si cela vous est proposé, entrez le profil que vous souhaitez utiliser
- Vous etes maintenant connecté au réseau de l'université.
Installation sous Linux (client Network-Manager)
Sous Linux, il existe une alternative au client Pulse Connect. Elle consiste à utiliser le plugin Openconnect pour Network-Manager.
Sous debian et dérivées :
apt install network-manager-openconnect-gnome
Sous archlinux et dérivées :
pacman -S networkmanager-openconnect
Une fois installé, aller dans les propriétés réseau :
Cliquer sur le bouton “+” dans la zone VPN
Ensuite cliquer sur la zone “VPN compatible Cisco AnyConnect (openconnect), cela va ouvrir directement la fenêtre de configuration.
Dans la zone nom on peut indiquer “univ-nantes” ou “nomade Pers/Etu” etc. C'est juste indiquatif. Dans la zone VPN Protocol, il faut selectionner Juniper/Pulse Network Connect Dans la zone passerelle : “nomade.univ-nantes.fr” A l'instar du client Pulse Secure, on peut ajouter un certificat X509, mais ce n'est pas obligatoire. Cliquer maintenant sur “Ajouter”.
On peut à présent tester la connexion en glissant le curseur de la connexion VPN sur la droite
Cela a pour effet d'ouvrir la fenêtre d'authentification
Dans la zone username, saisir votre login (de la forme nom-p), dans la zone password votre mot de passe et enfin cliquer sur Login.
Installation sous Linux (Client officiel) version 9.1r11
La version 99.1.r11 du client pour Linux semble régler les problèmes de dépendances de librairies dynamiques. La méthode pour l'installer (avec la résolution de dépendances de paquets) est : Les fichiers du programme ne seront plus installer dans /usr/local/pulse mais dans /opt/pulsesecure.
Exemple sur un système récent (ubuntu 20.04 ou supérieur) :
sudo apt install ./ps-pulse-linux-9.1r11.4-b8575-64-bit-installer.deb
Le raccourcis Gnome pour PulseSecure s'appelle PulseUI. On peut aussi lancer PulseSecure en ligne de ocmmande :
/opt/pulsesecure/bin/pulseUI &
Installation sous Linux (Client officiel) avant la version 9.1r11
Nous décrivons ci-dessous la procédure d'installation du service nomade sur des systèmes Linux. Seules les distributions Ubuntu, Debian, Cent OS, Red Hat et Fedora sont officiellement supportées.
Principe général
- Après avoir téléchargé ci dessus le paquet correspondant à votre système (deb ou rpm), lancez la procédure d'instalation (apt ou yum)
- Certaines dépendances sont requises et seront prises en charge lors de l'installation du paquet.
Exemple d'installation pour Debian 9 64bits Gnome
dpkg -i CLIENT.deb
- si nécessaire, ajout de l'architecture i386 :
dpkg --add-architecture i386
apt install libx32stdc++6:i386
apt install libwebkitgtk-1.0:i386
- Le client pulse fait appel à ifconfig :
apt install net-tools
/usr/local/pulse/PulseClient_x86_64.sh install_dependency_packages
Installation sous Ubuntu 20.04 client Pulse avant la version 9.1r11
Les dépendances ne sont pas résolues par la méthode décrite ci-dessus. Voici une solution (inspérée de https://gist.github.com/eugenetriguba/beb90e0bca7e5299436693d9b74a9853).
$ dpkg -i ps-pulse-linux-9.1r9.0-b255-ubuntu-debian-64-bit-installer.deb $ cd /usr/local/pulse $ sudo sed -i "s/UBUNTU_VER\ \=\ 18\ \]/& \|\|\ [\ \$UBUNTU_VER\ \=\ 20 \]/" PulseClient_x86_64.sh $ ./PulseClient_x86_64.sh install_dependency_packages $ sudo apt-get install libenchant1c2a
A partir d'ici, au lieu d'installer des paquets qui peuvent être en conflits avec ceux du système, on va extraire les fichiers nécessaires à PulseSecure depuis des paquets .deb plus anciens.
$ sudo mkdir /usr/local/pulse/extra $ sudo mkdir /usr/local/pulse/debs $ cd /usr/local/pulse/debs $ sudo wget http://archive.ubuntu.com/ubuntu/pool/main/i/icu/libicu60_60.2-3ubuntu3_amd64.deb $ sudo wget http://archive.ubuntu.com/ubuntu/pool/universe/w/webkitgtk/libjavascriptcoregtk-1.0-0_2.4.11-3ubuntu3_amd64.deb $ sudo wget http://archive.ubuntu.com/ubuntu/pool/universe/w/webkitgtk/libwebkitgtk-1.0-0_2.4.11-3ubuntu3_amd64.deb $ cd /usr/local/pulse/extra $ sudo dpkg -x /usr/local/pulse/debs/libicu60_60.2-3ubuntu3_amd64.deb . $ sudo dpkg -x /usr/local/pulse/debs/libjavascriptcoregtk-1.0-0_2.4.11-3ubuntu3_amd64.deb . $ sudo dpkg -x /usr/local/pulse/debs/libwebkitgtk-1.0-0_2.4.11-3ubuntu3_amd64.deb .
Il va falloir indiquer à l'exécutable pulseUI où trouver les librairies dont il a besoin.
Pour lancer PulsSecure depuis le raccourcis Gnome :
sudo sed -i 's#/usr/local/pulse:#/usr/local/pulse:/usr/local/pulse/extra/usr/lib/x86_64-linux-gnu:#' /usr/share/applications/pulseUi.desktop
Si on lance PulseSecure depuis un terminal, mettre dans ~/.bashrc
LD_LIBRARY_PATH+=/usr/local/pulse:/usr/local/pulse/extra/usr/lib/x86_64-linux-gnu export LD_LIBRARY_PATH
Installation de Pulse sous Linux Mint
L'exécution de dpkg -i CLIENT.deb provoque une erreur :
/var/lib/dpkg/info/pulse.prerm: line 213: [: =: unary operator expected /var/lib/dpkg/info/pulse.prerm: line 215: [: =: unary operator expected
Celà est dû au fait que Mint ne fait pas partie des distributions prévues.
Pour que l'installation s'achève normalement, la ruse consiste à faire croire à l'installeur qu'on est sous une distribution prévue.
Pour ce faire, il suffit d'éditer le fichier /etc/lsb-release
Il faut alors commenter toutes les lignes stipulant qu'on est sous Linux Mint telles les lignes ci-dessous :
DISTRIB_ID=LinuxMint DISTRIB_RELEASE=17 DISTRIB_CODENAME=qiana DISTRIB_DESCRIPTION="Linux Mint 17 Qiana"
et ajouter les lignes subterfuges ci-dessous :
DISTRIB_ID=Ubuntu DISTRIB_RELEASE=18.04 DISTRIB_CODENAME=bionic DISTRIB_DESCRIPTION="Ubuntu 18.04.1 LTS"
Ainsi, le temps de l'installation, le fichier /etc/lsb-release ressemblera à ça :
# version originale, à décommenter après installation de pulse # DISTRIB_ID=LinuxMint # DISTRIB_RELEASE=17 # DISTRIB_CODENAME=qiana # DISTRIB_DESCRIPTION="Linux Mint 17 Qiana" # version pour installeur nécessitant Ubuntu, à commenter après installation de pulse DISTRIB_ID=Ubuntu DISTRIB_RELEASE=18.04 DISTRIB_CODENAME=bionic DISTRIB_DESCRIPTION="Ubuntu 18.04.1 LTS"
et l'installation de pulse se passe alors normalement.
Configuration sous Linux (Client officiel, toute version)
Configuration
- Une fois installé, lancez le client pulse secure
- par le menu de démarrage de votre systeme “application Pulse Secure”
- en ligne de commande :
LD_LIBRARY_PATH=/usr/local/pulse:/usr/local/pulse/extra/usr/lib/x86_64-linux-gnu /usr/local/pulse/pulseUi
ou pour la dernière version (9.1r11) : <code>/opt/pulsessecure/bin/pulseUI</code> {{ :nomade:screnshots:pulse-linux1.png?250 |}} * Cliquez sur le bouton "+" pour ajouter une connexion et rentrez les informations de connexion. * Nom : univ-nantes * URL du serveur : * Personnels de l'Université : https://nomade.univ-nantes.fr * Étudiants de l'Université : https://nomade.etu.univ-nantes.fr * Prestataires de tièrce maintenance applicative : https://nomade.univ-nantes.fr/tma
- Cliquez sur Ajouter
- Cliquez sur Connect
- Entrez votre nom d'utilisateur et mot de passe Université
- Si cela vous est proposé, entrez le profil que vous souhaitez utiliser
- Vous etes maintenant connecté au réseau de l'université.
Problèmes rencontrés
Dans certain cas, le client peut refuser le certificat présenté par le service nomade. Ce qui se traduit par l'affichage du message suivant :
Unable to load page Problem occurred while loading the URL https://nomade.etu.univ-nantes.fr/ Certificat TLS inacceptable
Il faut dans ce cas ajouter manuellement le certificat du serveur sur le client.
Pour telecharger le certificat X509 de la plateforme :
- nomade personnels :
openssl s_client -showcerts -connect nomade.univ-nantes.fr:443 </dev/null 2>/dev/null|openssl x509 -outform PEM > nomade.univ-nantes.fr.crt
- nomade etudiants :
openssl s_client -showcerts -connect nomade.etu.univ-nantes.fr:443 </dev/null 2>/dev/null|openssl x509 -outform PEM > nomade.etu.univ-nantes.fr.crt
installez le sur votre systeme avec les commandes :
sudo cp <fichier cerfificat>.crt /usr/local/share/ca-certificates/ sudo update-ca-certificates --fresh
alternativement en utilisant trust (système arch et dérivés):
sudo cp <fichier cerfificat>.crt /etc/ca-certificates/trust-source/anchors/ sudo trust extract-compat
Vous pouvez ensuite vous connecter.
Méthodes dépréciées
Vous retrouverez sur cette page les differentes méthodes d'installation sous linux dépréciée. Nous déconseillons leur utilisation et ne sont proposées qu'a titre indicatif