Bonjour,
 
Au sein de ma structure, nous avons comme projet de mettre en place la solution alfresco pour permettre un partage collaboratif vers l'extérieur.
 
non, nous ne voulons pas de leur cloud, ni d'hébergement extérieur    
 
Je besoin de conseil au niveau de l'architecture.
 
Mon Existant : Une box Livebox pro et un contrôleur de domaine AD 2003, et un futur serveur Alfresco
 
Mes besoins :  
 
- rendre le serveur web alfresco accessible de l'extérieur avec notion d'authentification sur l'AD
- sécuriser le tout (firewall) avec archivage des logs bien sûr    
 
Tout conseil est le bienvenu    
 
Merci

- on peut configurer Alfresco pour se coupler avec l'authenfication d'un AD, pas de problème
- à minima, HTTPS sur l'extérieur.
- à prévoir d'éviter trop de tentatives, car pour le coup, si tu fais simple, tu exposes ton AD à des bruteforce de login/pass
- si tu peux faire exposer à l'extérieur via un VPN, c'est plus sûr, même si plus contraignant (ça dépend le niveau de criticité que tu accordes à tes données)
- ton upload est suffisant ?

Merci pour la réponse,
 
en effet, je sais que coupler alfresco et l'ad n'est pas un problème en soit.
 
Pour répondre, les données qui vont transiter sur la plate-forme vont être sensibles.... c'est pourquoi j'ai besoin de conseils sur l'architecture à mettre en place...
 
Je pensais investir dans un firewall matériel et ensuite de mettre le serveur alfresco en DMZ et laisser passer que les ports AD DMZ>LAN vers mon serveur d'authentification...
 
Après un vpn... oui de type IPSEC ?!!
 
 
 

C'est ton upload est pas énorme et que tu auras pas beaucoup d'utilisateurs, pas besoin de te ruiner sur l'infra
 
Ta quel débit en up ? Combien d'users à l'extérieur ?

Au risque de faire peur... cela va je pense, concerner à terme 400 users !!!
 
je viens de faire un test ADSL avec le petit utilitaire d'Orange :
Débit descendant 16002 Kbps
Débit montant 544 Kbps
 
Je ne compte pas me ruiner sur l'infra.. mais mon inquiétude se site plus au niveau de la sécurité.... c'est là que j'aurai souhaité des suggestions.
 

Ça va concerner les 400 users l'accès à distance ? Parce que si oui, ta aucune chance avec ton upload local.
 
À ce compte là, externalise une partie de ton infra dans un datacenter (housing si tu veux garder tes propres machine, sinon location de dédié). Ensuite, ta deux choix :
- accès via HTTPS standard et règles strictes de firewall pour éviter les tentatives de brute force login/pass  
- accès via VPN (ipsec ou ssl peu importe) : plus contraignant à organiser (certificats pour tes users) mais pas de risques de brute force de l'extérieur si bien configuré.

La mise en place d'un reverse proxy en DMZ peut aider à sécuriser une ressource interne à publier sur internet...
 
Un vrai firewall (i.e. pas une LB) serait à prévoir.