new alcasar documentation documentation · 2019. 4. 2. · alcasar_documentation documentation,...

alcasar_documentation DocumentationVersion 0.1

Bettyna Bourcier

29 March 2016

Table des matières

1 Installation 11.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.2 Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

2 Exploitation 132.1 Intro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

i

CHAPITRE 1

Installation

1.1 Introduction

Ce document décrit la procédure d’installation du portail ALCASAR. Il est complété par trois autres documents : ledocument de présentation, le document d’exploitation et la documentation technique.

Si vous possédez déjà une version d’ALCASAR fonctionnelle et que vous désirez effectuer une mise à jour, reportez-vous à la documentation d’exploitation (chapitre « mise à jour »).

ALCASAR peut être installé sur un ordinateur standard équipé de deux cartes réseau Ethernet. La première est connec-tée à l’équipement du Fournisseur d’Accès Internet (FAI). La deuxième est connectée au commutateur utilisé pourdesservir le réseau des stations de consultation.

Par défaut, l’adresse IP de cette deuxième carte réseau est : 192.168.182.1/24. Cela permet de disposer d’un pland’adressage de classe C (254 équipements). Ce plan d’adressage est modifiable lors de l’installation. Pour tous leséquipements situés sur le réseau de consultation, ALCASAR est le serveur DHCP, le serveur DNS, le serveur detemps et le « routeur par défaut (default gateway) ». Ainsi, sur ce réseau, il ne doit y avoir aucun autre routeur ouserveur DHCP (vérifiez bien vos points d’accès WIFI).

1

alcasar_documentation Documentation, Version 0.1

Exemple d’un plan d’adressage de classe C (254 équipements)— adresses IP disponibles : de 192.168.182.2 à 192.168.182.254 (statiques ou dynamiques)— masque de réseau : 255.255.255.0— adresses des serveurs DNS et du routeur par défaut (default gateway) : 192.168.182.1 (adresse IP d’ALCASAR)— suffixe DNS pour les équipements en adressage fixe : « localdomain »

Exemple d’un plan d’adressage de classe B (65534 équipements)— Adresse IP d’ALCASAR : 172.16.0.1/16— Nombre maximum d’équipements sur le réseau de consultation : 65531— Paramètre des équipements de consultation :

— adresses IP disponibles : de 172.16.0.2 à 172.16.255.254 (statiques ou dynamiques)— masque de réseau : 255.255.0.0— adresses des serveurs DNS et du routeur par défaut (default gateway) : 172.16.0.1 (adresse IP d’ALCASAR)— suffixe DNS pour les équipements en adressage fixe : « localdomain »

Bien que cela soit possible, il est déconseillé de définir un réseau de consultation en classe A (ex : 15.0.0.0/8). En effet,le serveur DHCP interne d’ALCASAR devra alors réserver et gérer plus de 16 millions d’adresses IP. La gestion d’untel volume d’adresses est très gourmande en ressource système et mémoire.

1.2 Installation

L’installation du portail s’effectue en deux étapes. La première étape est l’installation d’un système Linux minima-liste basé sur Mageia 4.1. La deuxième étape permet d’installer et de configurer les différentes briques logiciellesconstituant ALCASAR.

2 Chapitre 1. Installation


1.2.1 Besoins matériels

ALCASAR n’exige qu’un PC bureautique standard possédant 2 cartes réseau et un disque dur d’une capacité de100Go au minimum afin d’être en mesure de stocker les fichiers journaux liés à la traçabilité des connexions. Lesarchitectures 32 bits et 64 bits sont supportées et automatiquement prises en compte. ALCASAR intègre plusieurssystèmes optionnels de filtrage (protocoles réseau, adresses IP, URL, noms de domaines et antimalware). Si vousdécidez d’activer ces systèmes de filtrage, il est recommandé d’installer au moins 8 GO de mémoire vive afin d’assurerune rapidité de traitement acceptable (ALCASAR aime la RAM ;-) ).

Note : Cas d’une Machine Virtuelle : la taille du disque dur virtuel ne doit pas être inférieure à 25G.

1.2.2 Installation du système

La procédure d’installation de ce système est la suivante (durée estimée : 6’) :— récupérez l’image ISO du DVD de Mageia4.1 double architecture (32 et 64 bits) : fichier « mageia4.1-dual-

DVD.iso » (1GB). Cette image ISO est disponible sur le site d’ALCASAR ainsi que sur les sites miroirsMageia. Par exemple :— http://www.mirrorservice.org/sites/mageia.org/pub/mageia/iso/4.1/— http://distrib-coffee.ipsl.jussieu.fr/pub/linux/Mageia/iso/4.1/

— gravez cette image sur un DVD-ROM ou créez une clé USB amorçable1. Vous pouvez aussi utiliser un disquedur externe simulant un périphérique amorçable (ex : zalman zm-ve300 ou 400).

— modifiez les paramètres BIOS du PC afin de supprimer l’option « Secure Boot », de régler la date, l’heureet afin de permettre l’amorçage du PC à partir d’un DVD-ROM ou d’une clé USB. À la fin de l’installation,modifiez une nouvelle fois les paramètres BIOS pour limiter les possibilités d’amorçage du PC au seul disquedur ;

— insérez le DVD-ROM ou la clé USB, redémarrez le PC et suivez les instructions suivantes :

1.2. Installation 3

http://mirrors.mageia.org/http://mirrors.mageia.org/http://www.mirrorservice.org/sites/mageia.org/pub/mageia/iso/4.1/http://distrib-coffee.ipsl.jussieu.fr/pub/linux/Mageia/iso/4.1/


Messages affichés à l’écran Commentaires Actions à réaliser

Après démarrage du PC, cette paged’accueil est présentée.

* si le mode graphiquen’apparaît pas, vous devezconfigurerle BIOS du PC afin d’allouerplus de 2Mo de la mémoirepartagée pour la cartegraphique.

Sélectionnez « Install Mageia 4 ».

Séletionnez votre langue.

Ce contrat explique que les logicielsinstallés sont deslogiciels libres.

Acceptez le contrat de licence.

Sélectionnez votre type declavier.

Le partitionnement du disque dursera adapté au besoind’ALCASAR (cf. étape suivante).

Sélectionnez« Partitionnement dedisque personnalisé ».

Après avoir supprimé toutes lespartitions, créez les 5partitions suivantes :

- / : 4 Go- swap : gardez la taille proposée- /tmp : 4 Go- /home : 4 Go- /var : le reste du disque dur (taillesupérieure à 10G,

même sur unemachinevirtuelle).

Cliquez sur « Supprimer toutes lespartitions ».

Cliquez ensuite à l’intérieur de lazonegrise du disque (sda) pourcréer chaque nouvelle partition.

Info : mise à part la partition de« swap », tous les Systèmes deFichiers (SF) sont du type .« Journalized FS : ext4 »

À la fin de cette opération, et enfonction de la taille devotre disque dur, le partitionnementdevrait ressembler àl’image ci-dessus.

Créez la partition racine (/).Choisissez sa taille (4 Go) ainsi

que son système de fichier(ext4).

Recommencez cette étape pourtoutes les autres partitions.

Une fois le partitionnementeffectué, cliquez sur « Terminer ».

Pour ALCASAR, l’installation ne né-cessaite pas d’autre média.

Sélectionnez “Aucun” puiscliquer sur “Suivant”

Laissez le média« Nonfree release » activépuis cliquez sur « Suivant ».

Sélection des groupes de paquetagesà installer :ALCASAR ne nécessite qu’uneinstallation très minimaliste dusystème.

Choisissez « Désélectionner tous »puis cliquez sur « Suivant ».

Info : sous Linux, unpaquetage

est un fichier archive contenanttous les constituants d’un logiciel(binaires, fichiers d’aide,fichiers de configuration, etc.).

Sélectionnez « Installer lespaquetages suggérés » ainsi quela documentation, puis cliquez sur« suivant »La copie des paquetages sur ledisque dur est alors lancée.Durée estimée : 2’

Affectez le mot de passe au compte« root » puis créez le compte« sysadmin » et affectez-luiun mot de passe.

Configuration de l’accès à Internet. Cliquez sur « Configurer » dela rubrique « Réseau-ethernet »du groupe « Réseau et Internet ».

Sélectionnez le type de connexion àInternet. Dans le cas d’une « box »de FAI, choisissez« Filaire (Ethernet) ».

Info : ALCASAR n’a pas été testéavec les autres méthodes deconnexion à Internet.

On ne configure pour l’instant quel’interface connectéeà la « box » du FAI.La deuxième interface qui estconnectée au réseau deconsultation sera paramétrée plustard, lors de l’installationd’ALCASAR.

Sélectionnez l’interface à configurer.

Conseil : choisissez l’interface avecle plus petit index. Notez le nom decette interface.

Info : Les noms des interfaces sontliés à l’architecture physique des PC.Ils peuvent donc être différents de lacopie d’écran.

Sélectionnez « configurationmanuelle ».

Info : Bien qu’Alcasar soitcompatible avec le protocole« bootp/DHCP » nous conseillons laconfiguration manuelle d’unadressagefixe.

Exemple :- Adresse IP : cette adresse doit êtredans le même sous-réseauque l’adresse de la passerelle d’accèsà Internet (box).- Masque : 255.255.255.0- Passerelle : c’est l’adresse de la box(en général

192.168.1.1 pour une« livebox » et192.168.0.254 pour une« freebox »)

- DNS 1 et DNS 2 :*- « nom d’hôte » : laissez ce champvide

Entrez les paramètres de cetteinterface.

* Inscrivez les adresses des serveursdeDNS fournies par votre FAI. Vouspouvezbien sûr utiliser d’autres serveursDNS.Exemple :- projet libre « OpenNIC » (voir leur

site WEB pour les adresses lesplusproches de chez vous)

- projet « OpenDNS »(DNS1=208.67.222.222,

DNS2=208.67.220.220)- google (DNS1=8.8.8.8,DNS2=8.8.4.4).

Sélectionnez uniquement « Lancer laconnexion au démarrage ».

Il n’est pas nécessaire de lancer cetteconnexion à ce stade

Sélectionnez « Non »

Cliquez sur « Terminer ».

Cliquez sur « Suivant ».

Les mises à jour de sécurité serontgérées pendantl’installation d’ALCASAR.

Sélectionnez « Non » et cliquez sur« Suivant ».

L’installation est terminée Cliquez sur « Redémarrage ».Retirez le CDROM ou la clé USB.Reconfigurez le BIOS afin de limiterlespossibilités d’amorçage au seuldisque dur.



1.2. Installation 5


1.2.3 Installation d’ALCASAR

Configuration des cartes réseau


Déconnectez les câbles des deuxcartes réseau.Connectez-vous en tant que « root ».

Lancez le clignotement des LEDs de’interface réseau configuréeprécédemment (« enp0s3 » dansnotre exemple)

ethtool -p enp0s3

Connectez le câble provenant de laboxsur l’interface réseau dont les LEDclognotent.

+ c

Info : remplacez « enp0s3 » par lenomde l’interface réseau configurezprécédemment. Les ommandes« ifconfig »ou « ip link » affiche le nom desinterfaces réseau présentes sur votremachine.

Vérifiez que la lien est bien actif surl’interface configurée

watch ethtool enp0s3

Info : a dernière ligne affichéeprésente l’état du lien sur la carte(Link detected )Si le lien n’est pas actif, connectez lecâble sur l’autre carte. Dès que lelienest activé, stoppez la commande àl’aidede la séquence de touches :+ c

Effectuez la même vérification avecla deuxième carte et lecâble provenant du venant du réseaude consultation.

watch ethtool xxxxxxx

Info : côté réseau de consultation,connectez un quipement actif deréseau(commutateur Ethernet, CPL, APWIFI,etc.)afin d’être assuré de la permanencedulien même si les stations sontéteintes.machine.

Testez la connectivité Internet ping -c3 www.google.fr



Récupération du fichier d’installation

Ce fichier est une archive compressée nommée : alcasar-x.y.tar.gz (’x.y’ correspond au numéro de version désiré).Vous pouvez le télécharger de deux manières (clé USB ou FTP) :

Via une clé USB

Récupérez la dernière version de ce fichier sur le site Internet d’ALCASAR et copiez-le sur une clé USB.

Suivez la procédure suivante pour le copier sur le PC ALCASAR :


Insérez la clé USB

Affichez les informations relativesaux supports de masse afinde récupérer le om du périphériqueassocié à votre clé.Dans l’exemple joint, « /dev/sdb1 »correspond à une cléde 1Go.

fdisk -l

Info : vous pouvez aussi afficher lejournal système avant d’insérer la clépour récupérer ce nom(journalctrl -f))

1. Créez un répertoire et ’mon-tez’ la clé sur celui-ci.

2. Copiez l’archive d’ALCA-SAR dans le répertoire /root.

3. Démontez la clé USB.

4. Retirez-la.

mkdir -p /media/usbmount /dev/sdb1 /media/usb/cp /media/usb/alcasar-* /root/umount /media/usb

info : emplacez « sdb1 » par le nomdupériphérique récupéré à l’étape .précédente

Par FTP

Depuis le PC ALCASAR, récupérez la dernière version de ce fichier situé sur le serveur FTP :

1.2. Installation 7



1. Connectez-vous au serveurFTP avec la commande« lftp »

2. déplacez-vous dans le réper-toire stable » et listez soncontenu

3. Récupérez le fichier

4. Quittez

lftp ftp.alcasar.net/pubcd stablelsget alcasar-x.y.tar.gzbye



1.2. Installation 9


Installation


Calculez l’empreinte numériqueSHA256’ de cette archive etcomparez-la avec celle du site WEB.

sha256sumalcasar-x.y.tar.gz

Info : si l’empreinte numérique necorrespond pas, éléchargez ànouveaul’archive sur le site WEB. En cas denouveau problème, prévenezl’équipe dedéveloppement via le forum.

1. Décompressez et extrayezcett archive

2. Positionnez-vous dans le ré-pertoire d’ALCASAR

3. lancez le script d’installation.

tar -xvf alcasar-x.y.tar.gzcd alcasar-x.ysh alcasar.sh -i

Acceptation de la licencecomparez-la avec celle du site WEB.

ALCASAR est un logiciel libredéveloppésous licence GPLV3.

Les tests d’accès à Internet sontréalisés.

L’installation d’une centaine delogiciels (paquetages) esteffectuée à partir d’Internet. Durée :3’

Entrez le nom de votre organisme(sans espace)

Exemple : rasacla

Info : ce nom est obligatoire.les seuls caractères acceptés sont :[a-z][A-Z][0-9][-]

Vous pouvez changer l’adresse IPd’ALCASAR et le pland’adressage par défaut du réseau deconsultation.

Tapez « O » ou « N »

Info : si vous tapez « n », le scriptvous demandera l’adresse IPd’ALCASAR etle masque de réseau au format CIDR(ex : 172.16.0.1/16).

Entrez l’identifiant et le mot de passed’un premier compted’administration d’ALCASAR.

Info : Ce compte sert à administrerALCASAR au moyen de l’interfacegraphique située à l’URLhttp://alcasar.Ce n’est pas un compte usagerpermettantde se connecter à Internet.(ex : 172.16.0.1/16).

L’installation est terminée.Le système va être relancé afin desynchroniser l’ensembledes constituants d’ALCASAR.

Une fois le système relancé,démarrez unéquipement de consultation etconnectez-vous sur l’interface de gestion duportail afin de créer vos premiersusagers (« http://alcasar »). Lisezattentivement ladocumentation d’exploitation.

Une fois le système relancé, vouspouvez vérifier que tousles composants d’ALCASAR sontbien lancés en vous connectantet en lançant le script« alcasar-daemon.sh ».

Si un ou plusieurs services n’ont puêtrelancés, le script va tenter de le faire.


http://alcasarhttp://alcasar


1.2.4 Arrêt, désinstallation, réinstallation ou mise à jour d’ALCASAR

Vous pouvez arrêter la machine ALCASAR soit en appuyant sur le bouton d’alimentation, soit en tapant la com-mande poweroff, soit en utilisant de l’interface WEB d’administration. Vous pouvez désinstaller le portail avec lacommande sh alcasar.sh --uninstall. Vous vous retrouvez alors comme si vous veniez d’installer unique-ment le système d’exploitation. En relançant l’installation ou en lançant l’installation d’une nouvelle version sur unALCASAR actif (cf .§2), le script vous demandera si vous voulez effectuer une mise à jour.

1.2.5 Préparer une installation « hors ligne »

La procédure suivante permet d’installer ALCASAR en mode « hors ligne ». Cela peut être utile quand on prévoitd’installer des machines ALCASAR dans une zone où l’accès Internet n’est pas encore disponible ou que cet accèssera de débit très faible. Dans ce cas, il faut pouvoir générer à l’avance un fichier archive contenant la totalité despaquetages (RPMS). Ce fichier sera exploité en lieu et place du téléchargement Internet.

La procédure est la suivante :— préparation de l’archive des RPM : sur une machine vierge connectée à Internet, installez le sys-

tème Linux Mageia comme indiqué au §2.2 puis récupérez et décompressez l’archive d’ALCASAR.Déplacez-vous dans le répertoire des scripts cd alcasar-x.y/scripts/sbin et lancez le script./alcasar-rpm-download.sh. Ce script va générer l’archive des RPM correspondant à l’architecturede la machine (32 ou 64 bits). Récupérez cette archive sur clé USB.

— Installation hors ligne : après avoir installé le système, récupérez votre archive de RPM. Décompressez-la etpositionnez-vous dedans. Installez la totalité des RPM (urpmi -no-verify-rpm *). Procédez ensuite àl’installation d’ALCASAR comme indiqué au §2.3.

1.2. Installation 11

CHAPITRE 2

Exploitation

2.1 Intro

ALCASAR est un contrôleur d’accès au réseau (NAC : Network Access Controler) libre et gratuit. Ce document apour objectif d’expliquer ses différentes possibilités d’exploitation et d’administration.

Concernant les utilisateurs du réseau de consultation, la page d’interception suivante est affichée dès que leur navi-gateur tente de joindre un site Internet en HTTP. Cette page est présentée en 6 langues (anglais, espagnol,allemand,hollandais, français et portugais) en fonction de la configuration de leur navigateur. Tans qu’ils n’ont pas satisfait auprocessus d’authentification, aucune trame réseau ne peut traverser ALCASAR.

La page d’accueil du portail est consultable à partir de n’importe quel équipement situé sur le réseau de consultation.Elle est située à l’URL [http://alcasar.fr](http://alcasar.fr) (ou [http://alcasar.localdomain](http://alcasar.localdomain)).Elle permet aux usagers de se connecter, de se déconnecter, de changer leur mot de passe et d’intégrer le certificatde sécurité dans leur navigateur. Cette page permet aux administrateurs d’accéder au centre de gestion graphique «ACC » (ALCASAR Control Center) en cliquant sur la roue crantée située en bas à droite de la page (ou via le lien :[https://alcasar.localdomain/acc](https://alcasar.localdomain/acc)).

Ce centre de gestion est exploitable en deux langues (anglais et français) via une connexion chiffrées (HTTPS). Uneauthentification est requise au moyen d’un compte d’administration lié à l’un des trois profils suivants (cf.§7.1) :

— profil « admin » permettant d’accéder à toutes les fonctions d’administration du portail ;— profil « manager » limité aux tâches de gestion des usagers du réseau de consultation ;— profil « backup » limité aux tâches de sauvegarde et d’archivage des fichiers journaux.

13

http://alcasar.fr{]}(http://alcasar.frhttp://alcasar.localdomain{]}(http://alcasar.localdomainhttps://alcasar.localdomain/acc{]}(https://alcasar.localdomain/acc


Note : Le détecteur d’intrusion intégré à ALCASAR interdira toute tentatives de nouvelle connexion pendant 3’, s’ila détecté 3 échecs consécutifs de connexion au centre de gestion.

14 Chapitre 2. Exploitation

InstallationIntroductionInstallation

ExploitationIntro

new alcasar documentation documentation · 2019. 4. 2. · alcasar_documentation documentation,...

Documents