-
Scurit des Systmes d'Information et de Communication
INSTALLATION
Table des matires
1.Introduction.........................................................................................................................................................2
2.Installation...........................................................................................................................................................3
2.1.Pralable
matriel........................................................................................................................................3
2.2.Installation du
systme................................................................................................................................3
2.3.Installation
d'ALCASAR.............................................................................................................................6
3.Dsinstallation, rinstallation et mise jour
d'ALCASAR.................................................................................8
4.Prparer une installation hors ligne
...............................................................................................................8
5.Fiche rcapitulative des paramtres
d'ALCASAR..............................................................................................8
Projet : ALCASAR Auteur : Rexy with support of Alcasar team
Objet : Installation Version : 2.6
Mots cls : portail captif, contrle d'accs, imputabilit,
traabilit, authentification Date : Aut 2012
Document d'installation ALCASAR 2.6.1 1 /8
-
1. Introduction Ce document dcrit la procdure d'installation du
portail ALCASAR. Il est complt par trois autres documents : le
document de prsentation, le document d'exploitation et la
documentation technique.Si vous possdez dj une version d'ALCASAR
fonctionnelle et que vous dsirez effectuer une mise jour,
reportez-vous la documentation d'exploitation (chapitre mise jour
).ALCASAR peut tre install sur un ordinateur standard quip de deux
cartes rseau Ethernet. La premire (eth0) est connecte l'quipement
du Fournisseur d'Accs Internet (FAI). La deuxime (eth1) est
connecte au commutateur utilis pour desservir le rseau des stations
de consultation.Par dfaut, l'adresse IP de cette deuxime carte
rseau est : 192.168.182.1/24. Cela permet de disposer d'un plan
d'adressage de classe C (254 quipements). Ce plan d'adressage est
modifiable lors de l'installation. Pour tous les quipements situs
sur le rseau de consultation, ALCASAR est le serveur DNS, le
serveur de temps et le routeur par dfaut (default gateway) . Ainsi,
sur ce rseau, il ne doit y avoir aucun autre routeur. ALCASAR peut
aussi servir de serveur DHCP. Assurez-vous, dans ce cas, qu'il soit
le seul.
Exemple du plan d'adressage de classe C propos par dfaut (254
quipements) Adresse IP d'ALCASAR : 192.168.182.1/24 Nombre maximum
d'quipements sur le rseau de consultation : 253 Paramtres rseau des
quipements de consultation :
adresses IP disponibles : de 192.168.182.2 192.168.182.254
(statiques ou dynamiques) masque de rseau : 255.255.255.0 adresses
des serveurs DNS et du routeur par dfaut (default gateway) :
192.168.182.1 (adresse IP d'ALCASAR) suffixe DNS pour les
quipements en adressage fixe : localdomain
Exemple d'un plan d'adressage de classe B (65534 quipements)
Adresse IP d'ALCASAR : 172.16.0.1/16 Nombre maximum d'quipements
sur le rseau de consultation : 65531 Paramtre des quipements de
consultation :
adresses IP disponibles : de 172.16.0.2 172.16.255.254
(statiques ou dynamiques) masque de rseau : 255.255.0.0 adresses
des serveurs DNS et du routeur par dfaut (default gateway) :
172.16.0.1 (adresse IP d'ALCASAR) suffixe DNS pour les quipements
en adressage fixe : localdomain
Bien que cela soit possible, il est dconseill de dfinir un rseau
de consultation en classe A (ex : 15.0.0.0/8). En effet, le serveur
DHCP interne d'ALCASAR devra alors rserver et grer plus de 16
millions d'adresses IP. La gestion d'un tel volume d'adresses est
trs gourmande en ressource systme et mmoire.
Document d'installation ALCASAR 2.6.1 2 /8
Point d'accs WIFI
Internet
Rseau de consultation(@IP : 192.168.182.0/24)
quipement/box du FAI(routeur/modem DSL)
Commutateur
ALCASAR
eth1 (@IP : 192.168.182.1)
eth0 (@IP dans le mme plan d'adressage que l'quipement du
FAI)
Point d'accs CPL
-
2. Installation L'installation du portail s'effectue en deux
tapes. La premire tape est l'installation d'un systme Linux
minimaliste bas sur Linux-Mandriva. La deuxime tape permet
d'installer et de configurer les diffrentes briques logicielles
constituant ALCASAR.
2.1. Pralable matriel ALCASAR n'exige qu'un PC bureautique
standard possdant 2 cartes rseau et un disque dur d'une capacit de
50 Go au minimum afin d'tre en mesure de stocker les fichiers
journaux lis la traabilit des connexions. Les architectures 32 bits
et 64 bits sont supportes et automatiquement prises en compte.
ALCASAR intgre plusieurs systmes optionnels de filtrage (protocoles
rseau, adresses IP, URL, noms de domaines et antivirus de flux
WEB). Si vous dcidez d'activer ces systmes de filtrage, il est
recommand d'installer au moins 1 GO de mmoire vive afin d'assurer
une rapidit de traitement acceptable. titre d'exemple, un organisme
a dploy ALCASAR avec plus de 1000 comptes sur un PC dont les
caractristiques sont : Intel P4 3.2Ghz, 2Go de mmoire vive et un
disque dur de 80 Go.
2.2. Installation du systme La procdure d'installation de ce
systme est la suivante (dure estime : 6') :
rcuprez l'image ISO de Linux Mandriva 2010.1 en version free
double architecture (32 et 64 bits) : fichier
mandriva-linux-free-2010-spring-dual.iso (700MB). Cette image ISO
est disponible sur le site d'ALCASAR ainsi que sur de multiples
sites miroirs de Mandriva. Par exemple :
ftp://ftp.free.fr/mirrors/Distributions_Linux/MandrivaLinux/official/iso/2010.1/
ftp://ftp.lip6.fr/pub/linux/distributions/Mandrakelinux/official/iso/2010.1/
ftp://ftp.cru.fr/pub/linux/Mandrakelinux/official/iso/2010.1/
gravez cette image sur un CDROM ou crez une cl USB amorable1
modifiez les paramtres BIOS du PC afin de rgler la date, l'heure et
afin de permettre l'amorage du PC
partir d'un CD-ROM ou d'une cl USB. Supprimez la gestion des
lecteurs de disquettes si votre systme n'en possde pas. la fin de
l'installation, modifiez une nouvelle fois les paramtres BIOS pour
limiter les possibilits d'amorage du PC au seul disque dur ;
insrez le CD-ROM ou la cl USB, redmarrez le PC et suivez les
instructions suivantes :
Messages affichs l'cran Commentaires Actions raliser
Aprs dmarrage du PC, cette page d'accueil est prsente.
* si le mode graphique n'apparat pas, vous devez configurer le
BIOS du PC afin d'allouer plus de 2Mo de la mmoire partage pour la
carte graphique.
Slectionnez Install Mandriva .
1 Deux solutions permettent de crer une cl USB amorable (1 Go
minimum formate en FAT ou VFAT) : en mode graphique vous pouvez
utiliser le logiciel unetbootin . Installez-le sous Linux via urpmi
ou apt-get . Sous
windows, rcuprez-le ici : http://unetbootin.sourceforge.net/ .
en mode console sous Linux, insrez la cl et rcuprez le nom du
priphrique associ via la commande fdisk -l (une cl
USB est souvent associe au priphrique /dev/sdb ou /dev/sdc ).
Lancez la commande : dd if=
-
Messages affichs l'cran Commentaires Actions raliser
Slectionnez votre langue.
Acceptez le contrat de licence.
Info : ce contrat explique que la plupart des logiciels installs
sont des logiciels libres.
Slectionnez votre type de clavier.
Le partitionnement du disque dur sera adapt au besoin d'ALCASAR
(cf. tape suivante).
Slectionnez Partitionnement de disque personnalis .
Les 5 partitions suivantes doivent tre cres : / : 2 Go swap :
gardez la taille propose (ou 2 fois la
taille de la mmoire vive) /tmp : 2 Go /home : 2 Go /var : le
reste du disque dur
Cliquez sur Supprimer toutes les partitions .Cliquez ensuite
l'intrieur de la zone grise du disque (sda) pour crer chaque
nouvelle partition.
Info : part le swap , tous les Systmes de Fichiers (SF) sont du
type Journalized FS : ext4 (ext4 est un systme de fichiers
journalis pour Linux).
la fin de cette opration, et en fonction de la taille de votre
disque dur, le partitionnement devrait ressembler cela :
- Crez la partition racine (/). Choisissez sa taille (2 Go)
ainsi que son systme de fichier (ext4). Recommencez cette tape pour
toutes les autres partitions.- Une fois le partitionnement effectu,
cliquez sur Terminer .
Pour ALCASAR, l'installation ne ncessite pas d'autre mdia.
Slectionnez Aucun
Document d'installation ALCASAR 2.6.1 4 /8
-
Messages affichs l'cran Commentaires Actions raliser
Choix des groupes de paquetages installer : ALCASAR ne ncessite
qu'une installation minimale du systme Linux-Mandriva.
Choisissez uniquement le groupe de paquetages LSB (Linux
Standard Base). Dslectionnez tous les autres groupes puis cliquez
sur Suivant .La copie des paquetages sur le disque dur est alors
lance. Dure estime : 4'
Info : sous Linux, un paquetage est un fichier archive contenant
tout les constituants d'un logiciel (binaires, fichiers d'aide,
fichiers de configuration, etc.).
Affectez le mot de passe au compte root puis crez le compte
sysadmin et affectez-lui un mot de passe.
Configuration de l'accs InternetCliquez sur Configurer de la
rubrique Rseau-ethernet du groupe Rseau et Internet .
Slectionnez le type de connexion Internet.Dans le cas d'une box
, choisissez Filaire (Ethernet) .
Info : Aucun test n'a encore t effectu sur ALCASAR concernant
les accs Internet par d'autres types de connexion.
On ne configure pour l'instant que l'interface connecte la box
du FAI.La deuxime interface qui est connecte au rseau de
consultation sera paramtre plus tard, lors de l'installation
d'ALCASAR.
Slectionnez l'interface identifie eth0 .
Info : si les interfaces ne sont pas identifies (eth0, eth1,
etc.), slectionnez la premire interface.
Slectionnez configuration manuelle .
Info : bien que cela soit possible, il est dconseill de
configurer cette interface en mode dynamique (bootp/DHCP) car
l'quipement n'a pas vocation tre nomade.
Exemple : Adresse IP : cette adresse doit tre dans le
mme sous-rseau que l'adresse du routeur DSL du FAI (box).
Masque : 255.255.255.0 Passerelle : c'est l'adresse de la box
(en gnral
192.168.1.1 pour une livebox et 192.168.0.254 pour une freebox
)
DNS 1 et DNS 2 :* nom d'hte : laissez ce champ vide
Entrez les paramtres de cette interface.
* Inscrivez les adresses des serveurs de DNS fournies par votre
FAI. Vous pouvez aussi utiliser les serveurs DNS du projet OpenDNS
(DNS1=208.67.222.222, DNS2=208.67.220.220) ou les serveurs DNS
publics de google (DNS1=8.8.8.8, DNS2=8.8.4.4).
Document d'installation ALCASAR 2.6.1 5 /8
-
Messages affichs l'cran Commentaires Actions raliser
Slectionnez uniquement Lancer la connexion au dmarrage .
Il n'est pas ncessaire de lancer cette connexion ce stade
Slectionnez Non
Cliquez sur Terminer .
Cliquez sur Suivant .
Les mises jour de scurit seront gres pendant l'installation
d'ALCASAR.
Slectionnez Non et cliquez sur Suivant .
L'installation est termine
Cliquez sur Redmarrage .Retirez le CDROM ou la cl
USB.Reconfigurez le BIOS afin :
de limiter les possibilits d'amorage au seul disque dur ;
d'en verrouiller l'accs par mot de passe.
2.3. Installation d'ALCASAR ALCASAR est constitu d'une archive
compresse (alcasar-x.y.tar.gz) et de paquetages additionnels qui
seront automatiquement tlchargs sur Internet.Rcuprez la dernire
version de l'archive compresse sur le site Internet d'ALCASAR et
copiez-la sur une cl USB. Suivez la procdure suivante (dure estime
:5').
Messages affichs l'cran Commentaires Actions raliser
Connectez-vous en tant que root .
- Dconnectez les cbles des deux cartes rseau et affichez l'tat
de la premire carte (eth0).
watch ethtool eth0Info : la dernire ligne affiche prsente l'tat
du lien sur la carte (Link detected )
Document d'installation ALCASAR 2.6.1 6 /8
-
Messages affichs l'cran Commentaires Actions raliser
- connectez le cble allant l'quipement du FAI sur la premire
carte.
Attendez quelques secondes que le lien soit mont. Dans le cas
contraire, connectez le cble sur l'autre carte. Ds que le lien est
mont, stoppez la commande l'aide de la squence de touches : + c
- Effectuez la mme opration avec la deuxime carte (eth1) et le
cble provenant du rseau de consultation.
watch ethtool eth1Info : ct rseau de consultation, connectez un
quipement actif de rseau (commutateur Ethernet, CPL, AP WIFI, etc.)
afin d'tre assur de la permanence du lien mme si les stations sont
teintes.
- Insrez la cl USB
- Affichez les informations relatives aux supports de masse afin
de rcuprer le nom du priphrique associ votre cl. Dans l'exemple
joint, /dev/sdb1 correspond une cl de 1Go.
fdisk -l
Info1 : pour les PC la norme PATA (ancienne gnration) la cl sera
nomme hd(a-b-c-...)(1-2-3-...). Pour les PC la norme SATA, elle
prendra le nom sd(a-b-c-...)(1-2-3-...).
Info2 : vous pouvez aussi afficher le journal systme avant
d'insrer la cl pour rcuprer ce nom (tailf /var/log/messages)
- Crez un rpertoire permettant d'accueillir la cl USB.- Montez
le priphrique reprsentant la cl USB sur ce rpertoire.- Copiez
l'archive d'ALCASAR dans le rpertoire /root.- Dmontez la cl USB.-
Retirez-la.- Calculez l'empreinte numrique 'MD5' de cette archive
et comparez-la avec celle du site WEB.
mkdir -p /media/usbmount /dev/sdb1 /media/usb/cp
/media/usb/alcasar-* /root/umount /media/usbmd5sum
alcasar-x.y.tar.gz
Info : remplacez sdb1 par le nom du priphrique rcupr l'tape
prcdente (sdc1, hda1, etc.).
Info2 : si l'empreinte numrique ne correspond pas, tlchargez
nouveau l'archive sur le site WEB. En cas de nouveau problme,
prvenez l'quipe de dveloppement via le forum.
- Dcompressez et extrayez cette archive. - Positionnez-vous dans
le rpertoire d'ALCASAR et lancez le script d'installation.
tar -xvf alcasar-x.y.tar.gzcd alcasar-x.ysh alcasar.sh -i
- Les tests de paramtres rseau sont raliss.
Info : dans certains cas, le script modifie la configuration des
cartes rseau. Il est alors ncessaire de relancer ce script.
L'installation d'une centaine de logiciels (paquetages) est
effectue partir d'Internet. Dure :2'
- Entrez le nom de votre organisme (sans espace)
Exemple : rasaclaInfo : ce nom est obligatoire. les seuls
caractres accepts sont : [a-z][A-Z][0-9][-]
Vous pouvez changer l'adresse IP d'ALCASAR et le plan
d'adressage par dfaut du rseau de consultation
Tapez O ou N
Info : si vous tapez n , le script vous demandera l'adresse IP
d'ALCASAR et le masque de rseau au format CIDR (ex :
172.16.0.1/16).
- Entrez l'identifiant et le mot de passe d'un premier compte
d'administration d'ALCASAR.
Info : Ce compte sert administrer ALCASAR au moyen de
l'interface graphique situe l'URL http://alcasar. Ce n'est pas un
compte usager permettant de se connecter Internet.
Document d'installation ALCASAR 2.6.1 7 /8
-
Messages affichs l'cran Commentaires Actions raliser
L'installation est termine.Le systme va tre relanc afin de
synchroniser l'ensemble des constituants d'ALCASAR.
Une fois le systme relanc, dmarrez un quipement de consultation
et connectez-vous sur l'interface de gestion du portail afin de
crer vos premiers usagers ( http://alcasar ). Lisez attentivement
la documentation d'exploitation ( alcasar-exploitation.pdf ).
3. Dsinstallation, rinstallation et mise jour d'ALCASAR Vous
pouvez dsinstaller le portail avec la commande sh alcasar.sh
--uninstall . Vous vous retrouvez alors comme si vous veniez
d'installer uniquement le systme d'exploitation.Vous pouvez
rinstaller ou mettre jour le ALCASAR avec la mme commande que
prcdemment ( sh alcasar.sh --install ). Le script vous demandera si
vous voulez garder les paramtres de la version dj en place.
4. Prparer une installation hors ligne La procdure suivante
permet d'installer ALCASAR en mode hors ligne . Cela peut tre utile
quand on prvoit d'installer des machines ALCASAR dans une zone o
l'accs Internet n'est pas encore disponible (clin d'oeil
MINDEF/BTAC) ou que cet accs sera de dbit trs faible (clin d'oeil
MINDEF/OPEX). Dans ce cas, il faut pouvoir gnrer l'avance un
fichier archive contenant la totalit des paquetages (RPMS). Ce
fichier sera exploit en lieu et place du tlchargement Internet. La
procdure est la suivante : prparation de l'archive des RPM : sur
une machine vierge connecte Internet, installez le systme Linux
Mandriva comme indiqu au 2.2 puis rcuprez et dcompressez
l'archive d'ALCASAR. Dplacez-vous dans le rpertoire des scripts cd
alcasar-x.y/scripts/sbin et lancez le script
./alcasar-rpm-download.sh . Ce script va gnrer l'archive des RPM
correspondant l'architecture de la machine (32 ou 64 bits). Rcuprez
cette archive sur cl USB.
Installation hors ligne : aprs avoir install le systme, rcuprez
votre archive de RPM. Dcompressez-la et positionnez-vous dedans.
Installez la totalit des RPM (urpmi no-verify-rpm *). Procdez
ensuite l'installation d'ALCASAR comme indiqu au 2.3.
5. Fiche rcapitulative des paramtres d'ALCASAR Le fichier
/root/ALCASAR-passwords.txt contient les mots de passe exploits en
interne par les diffrents modules d'ALCASAR. Il contient notamment
le mot de passe de protection du chargeur systme (bootloader GRUB
). Il peut tre consult via la commande (cat
/root/ALCASAR-passwords.txt).
Nom d'organisme : Page d'authentification des usagers Cette page
est prsente quand un navigateur tente de joindre un
site Internet.
Page d'accueil du portail permettant :- l'accs au centre de
gestion graphique ;- la dconnexion d'un usager authentifi ;- le
changement du mot de passe usager ;- l'installation du certificat
de l'Autorit de Certification (A.C.) dans les navigateurs.
http://alcasar
Info : les possibilits du centre de gestion sont dcrites dans le
document alcasar-exploitation .
Comptes Linux root mot de passe :
.......................sysadmin mot de passe :
.......................
1er compte d'administration graphique d'ALCASAR
.................... mot de passe : ...................
Paramtres rseau @IP de l'quipement FAI (routeur) @IP des
serveurs DNS @IP d'ALCASAR (ct WAN/Internet) : @IP d'ALCASAR (ct
rseau de consultation) :
____.____.____.____ DNS1 :____.____.____.____ DNS2
:____.____.____.____ ____.____.____.____/___
____.____.____.____/___
Document d'installation ALCASAR 2.6.1 8 /8