alcasar-2.9-installation-fr.pdf

Scurit des Systmes d'Information et de Communication

INSTALLATION

Table des matires 1.Introduction.........................................................................................................................................................2 2.Installation...........................................................................................................................................................3

2.1.Besoins matriels.........................................................................................................................................3 2.2.Installation du systme................................................................................................................................3 2.3.Installation d'ALCASAR.............................................................................................................................6

3.Dsinstallation, rinstallation ou mise jour d'ALCASAR................................................................................8 4.Prparer une installation hors ligne ...............................................................................................................9 5.Fiche rcapitulative des paramtres d'ALCASAR..............................................................................................9

Projet : ALCASAR Auteur : Rexy avec le support de l' Alcasar team

Objet : Installation Version : 2.9

Mots cls : portail captif, contrle d'accs au rseau (Network Acces Control - NAC), imputabilit, traabilit, authentification

Date : Mars 2015

Document d'installation ALCASAR 2.9 1 /9

1. IntroductionCe document dcrit la procdure d'installation du portail ALCASAR. Il est complt par trois autres documents : le document de prsentation, le document d'exploitation et la documentation technique.Si vous possdez dj une version d'ALCASAR fonctionnelle et que vous dsirez effectuer une mise jour, reportez-vous la documentation d'exploitation (chapitre mise jour ).ALCASAR peut tre install sur un ordinateur standard quip de deux cartes rseau Ethernet. La premire est connecte l'quipement du Fournisseur d'Accs Internet (FAI). La deuxime est connecte au commutateur utilis pour desservir le rseau des stations de consultation.Par dfaut, l'adresse IP de cette deuxime carte rseau est : 192.168.182.1/24. Cela permet de disposer d'un plan d'adressage de classe C (254 quipements). Ce plan d'adressage est modifiable lors de l'installation. Pour tous les quipements situs sur le rseau de consultation, ALCASAR est le serveur DHCP, le serveur DNS, le serveur de temps et le routeur par dfaut (default gateway) . Ainsi, sur ce rseau, il ne doit y avoir aucun autre routeur ou serveur DHCP (vrifiez bien vos points d'accs WIFI).

Exemple d'un plan d'adressage de classe C (254 quipements) adresses IP disponibles : de 192.168.182.2 192.168.182.254 (statiques ou dynamiques) masque de rseau : 255.255.255.0 adresses des serveurs DNS et du routeur par dfaut (default gateway) : 192.168.182.1 (adresse IP d'ALCASAR) suffixe DNS pour les quipements en adressage fixe : localdomain

Exemple d'un plan d'adressage de classe B (65534 quipements) Adresse IP d'ALCASAR : 172.16.0.1/16 Nombre maximum d'quipements sur le rseau de consultation : 65531 Paramtre des quipements de consultation :

adresses IP disponibles : de 172.16.0.2 172.16.255.254 (statiques ou dynamiques) masque de rseau : 255.255.0.0 adresses des serveurs DNS et du routeur par dfaut (default gateway) : 172.16.0.1 (adresse IP d'ALCASAR) suffixe DNS pour les quipements en adressage fixe : localdomain

Bien que cela soit possible, il est dconseill de dfinir un rseau de consultation en classe A (ex : 15.0.0.0/8). En effet, le serveur DHCP interne d'ALCASAR devra alors rserver et grer plus de 16 millions d'adresses IP. La gestion d'un tel volume d'adresses est trs gourmande en ressource systme et mmoire.


2. InstallationL'installation du portail s'effectue en deux tapes. La premire tape est l'installation d'un systme Linux minimaliste bas sur Mageia 4.1. La deuxime tape permet d'installer et de configurer les diffrentes briques logicielles constituant ALCASAR.

2.1. Besoins matrielsALCASAR n'exige qu'un PC bureautique standard possdant 2 cartes rseau et un disque dur d'une capacit de 100Go au minimum afin d'tre en mesure de stocker les fichiers journaux lis la traabilit des connexions. Les architectures 32 bits et 64 bits sont supportes et automatiquement prises en compte. ALCASAR intgre plusieurs systmes optionnels de filtrage (protocoles rseau, adresses IP, URL, noms de domaines et antimalware). Si vous dcidez d'activer ces systmes de filtrage, il est recommand d'installer au moins 8 GO de mmoire vive afin d'assurer une rapidit de traitement acceptable (ALCASAR aime la RAM ;-) ).

Cas d'une Machine Virtuelle : la taille du disque dur virtuel ne doit pas tre infrieure 25G.

2.2. Installation du systmeLa procdure d'installation de ce systme est la suivante (dure estime : 6') :

rcuprez l'image ISO du DVD de Mageia4.1 double architecture (32 et 64 bits) : fichier mageia4.1-dual-DVD.iso (1GB). Cette image ISO est disponible sur le site d'ALCASAR ainsi que sur les sites miroirs Mageia. Par exemple : http://www.mirrorservice.org/sites/mageia.org/pub/mageia/iso/ 4.1 / http://distrib-coffee.ipsl.jussieu.fr/pub/linux/Mageia/iso/ 4.1 /

gravez cette image sur un DVD-ROM ou crez une cl USB amorable1. Vous pouvez aussi utiliser un disque dur externe simulant un DVD-ROM amorable (ex : zalman zm-ve300 ou 400).

modifiez les paramtres BIOS du PC afin de rgler la date, l'heure et afin de permettre l'amorage du PC partir d'un DVD-ROM ou d'une cl USB. la fin de l'installation, modifiez une nouvelle fois les paramtres BIOS pour limiter les possibilits d'amorage du PC au seul disque dur ;

insrez le DVD-ROM ou la cl USB, redmarrez le PC et suivez les instructions suivantes :

Messages affichs l'cran Commentaires Actions raliser

Aprs dmarrage du PC, cette page d'accueil est prsente.

* si le mode graphique n'apparat pas, vous devez configurer le BIOS du PC afin d'allouer plus de 2Mo de la mmoire partage pour la carte graphique.

Slectionnez Install Mageia 4 .

Slectionnez votre langue.

1 Deux solutions permettent de crer une cl USB amorcable : graphiquement via le logiciel unetbootin (Windows/Linux) ou isodumper (Linux) ; en mode console sous Linux : insrez la cl et rcuprez le nom du priphrique associ via la commande fdisk -l (une cl

USB est souvent associe au priphrique /dev/sdb ou /dev/sdc ). Lancez la commande : dd if=


Acceptez le contrat de licence.

Info : ce contrat explique que les logiciels installs sont des logiciels libres.

Slectionnez votre type de clavier.

Le partitionnement du disque dur sera adapt au besoin d'ALCASAR (cf. tape suivante).

Slectionnez Partitionnement de disque personnalis .

Aprs avoir supprim toutes les partitions, crez les 5 partitions suivantes : / : 4 Go swap : gardez la taille propose /tmp : 4 Go /home : 4 Go /var : le reste du disque dur (taille suprieure

10G, mme sur une machine virtuelle).

Cliquez sur Supprimer toutes les partitions .Cliquez ensuite l'intrieur de la zone grise du disque (sda) pour crer chaque nouvelle partition.

Info : mise part la partition de swap , tous les Systmes de Fichiers (SF) sont du type Journalized FS : ext4 .

la fin de cette opration, et en fonction de la taille de votre disque dur, le partitionnement devrait ressembler cela :

- Crez la partition racine (/). Choisissez sa taille (4 Go) ainsi que son systme de fichier (ext4). Recommencez cette tape pour toutes les autres partitions.- Une fois le partitionnement effectu, cliquez sur Terminer .

Pour ALCASAR, l'installation ne ncessite pas d'autre mdia.

Slectionnez Aucun puis cliquer sur Suivant .

Laissez le mdia Nonfree release activ puis cliquez sur Suivant .



Slection des groupes de paquetages installer : ALCASAR ne ncessite qu'une installation trs minimaliste du systme.

Choisissez Dslectionner tous puis cliquez sur Suivant .

Info : sous Linux, un paquetage est un fichier archive contenant tout les constituants d'un logiciel (binaires, fichiers d'aide, fichiers de configuration, etc.).

Slectionnez Installer les paquetages suggrs ainsi que la documentation, puis cliquez sur suivant .La copie des paquetages sur le disque dur est alors lance. Dure estime : 2'

Affectez le mot de passe au compte root puis crez le compte sysadmin et affectez-lui un mot de passe.

Configuration de l'accs InternetCliquez sur Configurer de la rubrique Rseau-ethernet du groupe Rseau et Internet .

Slectionnez le type de connexion Internet. Dans le cas d'une box de FAI, choisissez Filaire (Ethernet) .

Info : ALCASAR n'a pas t test avec les autres mthodes de connexion Internet.

On ne configure pour l'instant que l'interface connecte la box du FAI.La deuxime interface qui est connecte au rseau de consultation sera paramtre plus tard, lors de l'installation d'ALCASAR.

Slectionnez l'interface configurer.

Conseil : choisissez l'interface avec le plus petit index. Notez le nom de cette interface.

Info : Les noms des interfaces sont lis l'architecture physique des PC. Ils peuvent donc tre diffrents de la copie d'cran.

Slectionnez configuration manuelle .

Info : Bien qu'Alcasar soit compatible avec le protocole bootp/DHCP , nous conseillons la configuration manuelle d'un adressage fixe.

Exemple : Adresse IP : cette adresse doit tre dans le

mme sous-rseau que l'adresse de la passerelle d'accs Internet (box).

Masque : 255.255.255.0 Passerelle : c'est l'adresse de la box (en gnral

192.168.1.1 pour une livebox et 192.168.0.254 pour une freebox )

DNS 1 et DNS 2 :*

Entrez les paramtres de cette interface.

* Inscrivez les adresses des serveurs de DNS fournies par votre FAI. Vous pouvez bien sr utiliser d'autres serveurs DNS. Exemple : projet libre OpenNIC (voir leur site WEB

pour les adresses les plus proches de chez vous) projet OpenDNS (DNS1=208.67.222.222,

DNS2=208.67.220.220)


Messages affichs l'cran Commentaires Actions raliser nom d'hte : laissez ce champ vide google (DNS1=8.8.8.8, DNS2=8.8.4.4).

Slectionnez uniquement Lancer la connexion au dmarrage .

Il n'est pas ncessaire de lancer cette connexion ce stade Slectionnez Non

Cliquez sur Terminer .

Cliquez sur Suivant .

Les mises jour de scurit seront gres pendant l'installation d'ALCASAR.

Slectionnez Non et cliquez sur Suivant .

L'installation est termine

Cliquez sur Redmarrage .Retirez le CDROM ou la cl USB.Reconfigurez le BIOS afin de limiter les possibilits d'amorage au seul disque dur.

2.3. Installation d'ALCASARConfiguration des cartes rseau

Messages affichs l'cran Commentaires Actions raliserDconnectez les cbles des deux cartes rseau.Connectez-vous en tant que root .

Lancez le clignotement des LEDs de l'interface rseau configure prcdemment ( enp0s3 dans notre exemple).

Arrtez le clignotement des LEDs

ethtool -p enp0s3

Connectez le cble provenant de la box sur l'interface rseau dont les LED clignotent.

+ cInfo : remplacez enp0s3 par le nom de l'interface rseau configurez prcdemment (cf. Page 5). Les


Messages affichs l'cran Commentaires Actions ralisercommandes ifconfig ou ip link affiche le nom des interfaces rseau prsentes sur votre machine.

Vrifiez que la lien est bien actif sur l'interface configure

watch ethtool enp0s3Info : la dernire ligne affiche prsente l'tat du lien sur la carte (Link detected )Si le lien n'est pas actif, connectez le cble sur l'autre carte. Ds que le lien est activ, stoppez la commande l'aide de la squence de touches : + c

Effectuez la mme vrification avec la deuxime carte et le cble provenant du rseau de consultation.

watch ethtool xxxxxxxInfo : ct rseau de consultation, connectez un quipement actif de rseau (commutateur Ethernet, CPL, AP WIFI, etc.) afin d'tre assur de la permanence du lien mme si les stations sont teintes.

Test de connectivit Internet ping www.google.fr

Rcupration du fichier d'installationCe fichier est une archive compresse nomme : alcasar-x.y.tar.gz ('x.y' correspond au numro de version dsir). Vous pouvez le tlcharger de deux manires (cl USB ou FTP) :

via une cl USB : Rcuprez la dernire version sur le site Internet d'ALCASAR et copiez-le sur une cl USB. Suivez la procdure suivante pour le copier sur le PC ALCASAR :Messages affichs l'cran Commentaires Actions raliser

Insrez la cl USB

Affichez les informations relatives aux supports de masse afin de rcuprer le nom du priphrique associ votre cl. Dans l'exemple joint, /dev/sdb1 correspond une cl de 1Go.

fdisk -l

Info : vous pouvez aussi afficher le journal systme avant d'insrer la cl pour rcuprer ce nom (journalctrl -f)

Crez un rpertoire et 'montez' la cl sur celui-ci.

Copiez l'archive d'ALCASAR dans le rpertoire /root.

Dmontez la cl USB. Retirez-la.

mkdir -p /media/usbmount /dev/sdb1 /media/usb/cp /media/usb/alcasar-* /root/umount /media/usb

Info : remplacez sdb1 par le nom du priphrique rcupr l'tape prcdente.

par FTP : depuis le PC ALCASAR, rcuprez le fichier archive situ sur le serveur FTP :


Connectez-vous au serveur FTP avec la commande lftp

Rcuprez le fichier Quittez

lftp ftp.alcasar.net/pubcd stablelsget alcasar-x.y.tar.gzbye


Installation


Calculez l'empreinte numrique 'SHA256' de cette archive et comparez-la avec celle du site WEB.

sha256sum alcasar-x.y.tar.gz

Info : si l'empreinte numrique ne correspond pas, tlchargez nouveau l'archive sur le site WEB. En cas de nouveau problme, prvenez l'quipe de dveloppement via le forum.

Dcompressez et extrayez cette archive.

Positionnez-vous dans le rpertoire d'ALCASAR et lancez le script d'installation.

tar -xvf alcasar-x.y.tar.gzcd alcasar-x.ysh alcasar.sh -i

Utilisez la barre d'espace pour faire dfiler le texte de la licence. la fin, tapez Entre

ALCASAR est un logiciel libre dvelopp sous licence GPLV3.

Les tests d'accs Internet sont raliss.

L'installation d'une centaine de logiciels (paquetages) est effectue partir d'Internet. Dure : 3'

Entrez le nom de votre organisme (sans espace)

Exemple : rasaclaInfo : ce nom est obligatoire. les seuls caractres accepts sont : [a-z][A-Z][0-9][-]

Vous pouvez changer l'adresse IP d'ALCASAR et le plan d'adressage par dfaut du rseau de consultation

Tapez O ou N

Info : si vous tapez n , le script vous demandera l'adresse IP d'ALCASAR et le masque de rseau au format CIDR (ex : 172.16.0.1/16).

- Entrez l'identifiant et le mot de passe d'un premier compte d'administration d'ALCASAR.

Info : Ce compte sert administrer ALCASAR au moyen de l'interface graphique situe l'URL http://alcasar. Ce n'est pas un compte usager permettant de se connecter Internet.

L'installation est termine.Le systme va tre relanc afin de synchroniser l'ensemble des constituants d'ALCASAR.

Une fois le systme relanc, dmarrez un quipement de consultation et connectez-vous sur l'interface de gestion du portail afin de crer vos premiers usagers ( http://alcasar ). Lisez attentivement la documentation d'exploitation ( alcasar-exploitation-fr.pdf ).

3. Dsinstallation, rinstallation ou mise jour d'ALCASARVous pouvez dsinstaller le portail avec la commande sh alcasar.sh --uninstall . Vous vous retrouvez alors comme si vous veniez d'installer uniquement le systme d'exploitation.En relanant l'installation ou en lanant l'installation d'une nouvelle version sur un ALCASAR actif (cf .2), le script vous demandera si vous voulez effectuer une mise jour.


4. Prparer une installation hors ligne La procdure suivante permet d'installer ALCASAR en mode hors ligne . Cela peut tre utile quand on prvoit d'installer des machines ALCASAR dans une zone o l'accs Internet n'est pas encore disponible ou que cet accs sera de dbit trs faible. Dans ce cas, il faut pouvoir gnrer l'avance un fichier archive contenant la totalit des paquetages (RPMS). Ce fichier sera exploit en lieu et place du tlchargement Internet. La procdure est la suivante : prparation de l'archive des RPM : sur une machine vierge connecte Internet, installez le systme Linux

Mageia comme indiqu au 2.2 puis rcuprez et dcompressez l'archive d'ALCASAR. Dplacez-vous dans le rpertoire des scripts cd alcasar-x.y/scripts/sbin et lancez le script ./alcasar-rpm-download.sh . Ce script va gnrer l'archive des RPM correspondant l'architecture de la machine (32 ou 64 bits). Rcuprez cette archive sur cl USB.

Installation hors ligne : aprs avoir install le systme, rcuprez votre archive de RPM. Dcompressez-la et positionnez-vous dedans. Installez la totalit des RPM (urpmi no-verify-rpm *). Procdez ensuite l'installation d'ALCASAR comme indiqu au 2.3.

5. Fiche rcapitulative des paramtres d'ALCASARLe fichier /root/ALCASAR-passwords.txt contient les mots de passe exploits en interne par les diffrents modules d'ALCASAR. Il contient notamment le mot de passe de protection du chargeur systme (bootloader GRUB ). Il peut tre consult via la commande (cat /root/ALCASAR-passwords.txt). Attention : si vous devez entrer ce mot de passe pour modifier les paramtres du chargeur, votre clavier sera en mode qwerty .

Nom d'organisme : Page d'authentification des usagers Cette page est prsente quand un navigateur tente de joindre un

site Internet.

Page d'accueil du portail permettant :- l'accs au centre de gestion graphique ;- la dconnexion d'un usager authentifi ;- le changement du mot de passe usager ;- l'installation du certificat de l'Autorit de Certification (A.C.) dans les navigateurs.

http://alcasar

Info : les possibilits du centre de gestion sont dcrites dans le document alcasar-exploitation .

Comptes Linux root mot de passe : .......................sysadmin mot de passe : .......................

1er compte d'administration graphique d'ALCASAR .................... mot de passe : ...................

Paramtres rseau@IP de l'quipement FAI (routeur) @IP des serveurs DNS @IP d'ALCASAR (ct WAN/Internet) : @IP d'ALCASAR (ct rseau de consultation) :

____.____.____.____ DNS1 :____.____.____.____ DNS2 :____.____.____.____ ____.____.____.____/___ ____.____.____.____/___


1. Introduction2. Installation2.1. Besoins matriels2.2. Installation du systme2.3. Installation d'ALCASAR

3. Dsinstallation, rinstallation ou mise jour d'ALCASAR4. Prparer une installation hors ligne5. Fiche rcapitulative des paramtres d'ALCASAR

Documents

alcasar-2.9-installation-fr.pdf