Vous êtes sur la page 1sur 8

Scurit des Systmes d'Information et de Communication

INSTALLATION
Table des matires
1.Introduction.........................................................................................................................................................2 2.Installation...........................................................................................................................................................3 2.1.Pralable matriel........................................................................................................................................3 2.2.Installation du systme................................................................................................................................3 2.3.Installation d'ALCASAR.............................................................................................................................6 3.Dsinstallation, rinstallation ou mise jour d'ALCASAR................................................................................8 4.Prparer une installation hors ligne ...............................................................................................................8 5.Fiche rcapitulative des paramtres d'ALCASAR..............................................................................................8

Projet : ALCASAR Objet : Installation Mots cls : portail captif, contrle d'accs, imputabilit, traabilit, authentification

Auteur : Rexy avec le support de l' Alcasar team Version : 2.7 Date : Mai 2013

Document d'installation

ALCASAR 2.7

1 /8

1. Introduction
Ce document dcrit la procdure d'installation du portail ALCASAR. Il est complt par trois autres documents : le document de prsentation, le document d'exploitation et la documentation technique. Si vous possdez dj une version d'ALCASAR fonctionnelle et que vous dsirez effectuer une mise jour, reportez-vous la documentation d'exploitation (chapitre mise jour ). ALCASAR peut tre install sur un ordinateur standard quip de deux cartes rseau Ethernet. La premire (eth0) est connecte l'quipement du Fournisseur d'Accs Internet (FAI). La deuxime (eth1) est connecte au commutateur utilis pour desservir le rseau des stations de consultation. Par dfaut, l'adresse IP de cette deuxime carte rseau est : 192.168.182.1/24. Cela permet de disposer d'un plan d'adressage de classe C (254 quipements). Ce plan d'adressage est modifiable lors de l'installation. Pour tous les quipements situs sur le rseau de consultation, ALCASAR est le serveur DNS, le serveur de temps et le routeur par dfaut (default gateway) . Ainsi, sur ce rseau, il ne doit y avoir aucun autre routeur . ALCASAR peut aussi servir de serveur DHCP. Assurez-vous, dans ce cas, qu'il soit le seul.
Rseau de consultation (@IP : 192.168.182.0/24)

Commutateur

Point d'accs CPL

eth1 (@IP : 192.168.182.1) ALCASAR

Point d'accs WIFI

eth0 (@IP dans le mme plan d'adressage que l'quipement du FAI) quipement/box du FAI (routeur/modem DSL)

Internet

Adresse IP d'ALCASAR : 192.168.182.1/24 Nombre maximum d'quipements sur le rseau de consultation : 253 Paramtres rseau des quipements de consultation : adresses IP disponibles : de 192.168.182.2 192.168.182.254 (statiques ou dynamiques) masque de rseau : 255.255.255.0 adresses des serveurs DNS et du routeur par dfaut (default gateway) : 192.168.182.1 (adresse IP d'ALCASAR) suffixe DNS pour les quipements en adressage fixe : localdomain Adresse IP d'ALCASAR : 172.16.0.1/16 Nombre maximum d'quipements sur le rseau de consultation : 65531 Paramtre des quipements de consultation : adresses IP disponibles : de 172.16.0.2 172.16.255.254 (statiques ou dynamiques) masque de rseau : 255.255.0.0 adresses des serveurs DNS et du routeur par dfaut (default gateway) : 172.16.0.1 (adresse IP d'ALCASAR) suffixe DNS pour les quipements en adressage fixe : localdomain

Exemple du plan d'adressage de classe C propos par dfaut (254 quipements)

Exemple d'un plan d'adressage de classe B (65534 quipements)

Bien que cela soit possible, il est dconseill de dfinir un rseau de consultation en classe A (ex : 15.0.0.0/8). En effet, le serveur DHCP interne d'ALCASAR devra alors rserver et grer plus de 16 millions d'adresses IP. La gestion d'un tel volume d'adresses est trs gourmande en ressource systme et mmoire.

Document d'installation

ALCASAR 2.7

2 /8

2. Installation
L'installation du portail s'effectue en deux tapes. La premire tape est l'installation d'un systme Linux minimaliste bas sur Mageia2. La deuxime tape permet d'installer et de configurer les diffrentes briques logicielles constituant ALCASAR.

2.1. Pralable matriel


ALCASAR n'exige qu'un PC bureautique standard possdant 2 cartes rseau et un disque dur d'une capacit de 50 Go au minimum afin d'tre en mesure de stocker les fichiers journaux lis la traabilit des connexions. Les architectures 32 bits et 64 bits sont supportes et automatiquement prises en compte. ALCASAR intgre plusieurs systmes optionnels de filtrage (protocoles rseau, adresses IP, URL, noms de domaines et antivirus de flux WEB). Si vous dcidez d'activer ces systmes de filtrage, il est recommand d'installer au moins 2 GO de mmoire vive afin d'assurer une rapidit de traitement acceptable. titre d'exemple, un organisme a dploy ALCASAR avec plus de 1000 comptes sur un PC dont les caractristiques sont : Intel P4 3.2Ghz, 2Go de mmoire vive et un disque dur de 80 Go.

2.2. Installation du systme


La procdure d'installation de ce systme est la suivante (dure estime : 6') : rcuprez l'image ISO de Mageia2 en version double architecture (32 et 64 bits) : fichier mageia2dual-CD.iso (700MB). Cette image ISO est disponible sur le site d'ALCASAR ainsi que sur les sites miroirs Mageia. Par exemple : http://www.mirrorservice.org/sites/mageia.org/pub/mageia/iso/2/ http://distrib-coffee.ipsl.jussieu.fr/pub/linux/Mageia/iso/2/ gravez cette image sur un CDROM ou crez une cl USB amorable1 modifiez les paramtres BIOS du PC afin de rgler la date, l'heure et afin de permettre l'amorage du PC partir d'un CD-ROM ou d'une cl USB. Supprimez la gestion des lecteurs de disquettes si votre systme n'en possde pas. la fin de l'installation, modifiez une nouvelle fois les paramtres BIOS pour limiter les possibilits d'amorage du PC au seul disque dur ; insrez le CD-ROM ou la cl USB, redmarrez le PC et suivez les instructions suivantes :

Messages affichs l'cran

Commentaires
Aprs dmarrage du PC, cette page d'accueil est prsente.

Actions raliser

Slectionnez Install Mageia 2 .


* si le mode graphique n'apparat pas, vous devez configurer le BIOS du PC afin d'allouer plus de 2Mo de la mmoire partage pour la carte graphique.

Slectionnez votre langue.

1 Deux solutions permettent de crer une cl USB amorable (1 Go minimum formate en FAT ou VFAT) : en mode graphique vous pouvez utiliser le logiciel unetbootin . Installez-le sous Linux via urpmi ou apt-get . Sous windows, rcuprez-le ici : http://unetbootin.sourceforge.net/ . en mode console sous Linux, insrez la cl et rcuprez le nom du priphrique associ via la commande fdisk -l (une cl USB est souvent associe au priphrique /dev/sdb ou /dev/sdc ). Lancez la commande : dd if=<nom_de_l'image_iso> of=<nom_du_priphrique_usb> bs=8M .

Document d'installation

ALCASAR 2.7

3 /8

Messages affichs l'cran

Commentaires

Actions raliser
Acceptez le contrat de licence.

Info : ce contrat explique que les logiciels installs sont des logiciels libres.

Slectionnez votre type de clavier.

Le partitionnement du disque dur sera adapt au besoin d'ALCASAR (cf. tape suivante).

Slectionnez Partitionnement de disque personnalis .

Les 5 partitions suivantes doivent tre cres :



/ : 2 Go swap : gardez la taille propose (ou 2 fois la taille de la mmoire vive) /tmp : 2 Go /home : 2 Go /var : le reste du disque dur

Cliquez sur Supprimer toutes les partitions . Cliquez ensuite l'intrieur de la zone grise du disque (sda) pour crer chaque nouvelle partition.
Info : part le swap , tous les Systmes de Fichiers (SF) sont du type Journalized FS : ext4 (ext4 est un systme de fichiers journalis pour Linux).

la fin de cette opration, et en fonction - Crez la partition racine (/). Choisissez sa de la taille de votre disque dur, le taille (2 Go) ainsi que son systme de partitionnement devrait ressembler cela : fichier (ext4). Recommencez cette tape pour toutes les autres partitions. - Une fois le partitionnement effectu, cliquez sur Terminer .

Pour ALCASAR, l'installation ne ncessite Slectionnez Aucun pas d'autre mdia.

Slection des groupes de paquetages installer : ALCASAR ne ncessite qu'une installation trs minimaliste du systme.

Choisissez uniquement le groupe de paquetages LSB (Linux Standard Base). Dslectionnez tous les autres groupes puis cliquez sur Suivant . La copie des paquetages sur le disque dur est alors lance. Dure estime : 4'
Info : sous Linux, un paquetage est un fichier archive contenant tout les constituants d'un logiciel (binaires, fichiers d'aide, fichiers de configuration, etc.).

Document d'installation

ALCASAR 2.7

4 /8

Messages affichs l'cran

Commentaires

Actions raliser
Affectez le mot de passe au compte root puis crez le compte sysadmin et affectez-lui un mot de passe.

Configuration de l'accs Internet

Cliquez sur Configurer de la rubrique Rseau-ethernet du groupe Rseau et Internet .

Slectionnez le type de connexion Internet. Dans le cas d'une box de FAI, choisissez Filaire (Ethernet) .
Info : Aucun test n'a t effectu concernant les accs Internet par d'autres moyens de connexion.

On ne configure pour l'instant que l'interface connecte la box du FAI. Slectionnez l'interface identifie eth0 . La deuxime interface qui est connecte au rseau de consultation sera paramtre plus Info : si les interfaces ne sont pas identifies (eth0, tard, lors de l'installation d'ALCASAR. eth1, etc.), slectionnez la premire interface. Slectionnez configuration manuelle .
Info : il est dconseill de configurer cette interface en mode dynamique (bootp/DHCP) car l'quipement n'a pas vocation tre nomade.

Exemple :

Adresse IP : cette adresse doit tre dans le mme sous-rseau que l'adresse du routeur DSL du FAI (box). Masque : 255.255.255.0 Passerelle : c'est l'adresse de la box (en gnral 192.168.1.1 pour une livebox et 192.168.0.254 pour une freebox ) DNS 1 et DNS 2 :* nom d'hte : laissez ce champ vide

Entrez les paramtres de cette interface.

* Inscrivez les adresses des serveurs de DNS fournies par votre FAI. Vous pouvez utiliser d'autres serveurs DNS. Exemple : ceux du projet OpenDNS (DNS1=208.67.222.222, DNS2=208.67.220.220) ou les serveurs DNS publics de google (DNS1=8.8.8.8, DNS2=8.8.4.4).

Slectionnez uniquement Lancer la connexion au dmarrage .

Il n'est pas ncessaire de lancer cette connexion ce stade

Slectionnez Non

Document d'installation

ALCASAR 2.7

5 /8

Messages affichs l'cran

Commentaires

Actions raliser
Cliquez sur Terminer .

Cliquez sur Suivant .

Les mises jour de scurit seront gres pendant l'installation d'ALCASAR.

Slectionnez Non et cliquez sur Suivant .

L'installation est termine

Cliquez sur Redmarrage . Retirez le CDROM ou la cl USB. Reconfigurez le BIOS afin de limiter les possibilits d'amorage au seul disque dur.

2.3. Installation d'ALCASAR


ALCASAR est constitu d'une archive compresse (alcasar-x.y.tar.gz) et de paquetages additionnels qui seront automatiquement tlchargs sur Internet. Rcuprez la dernire version de l'archive compresse sur le site Internet d'ALCASAR et copiez-la sur une cl USB. Suivez la procdure suivante (dure estime :5').

Messages affichs l'cran

Commentaires

Actions raliser
Connectez-vous en tant que root .

Dconnectez les cbles des deux cartes rseau et affichez l'tat de la premire carte (eth0).

watch ethtool eth0


Info : la dernire ligne affiche prsente l'tat du lien sur la carte (Link detected <yes/no>)

Connectez le cble allant l'quipement du FAI sur la premire carte.

Attendez quelques secondes que le lien soit mont. Dans le cas contraire, connectez le cble sur l'autre carte. Ds que le lien est mont, stoppez la commande l'aide de la squence de touches : <Ctrl> + c watch ethtool eth1
Info : ct rseau de consultation, connectez un quipement actif de rseau (commutateur Ethernet, CPL, AP WIFI, etc.) afin d'tre assur de la permanence du lien mme si les stations sont teintes.

Effectuez la mme opration avec la deuxime carte (eth1) et le cble provenant du rseau de consultation.

Document d'installation

ALCASAR 2.7

6 /8

Messages affichs l'cran

Commentaires
Insrez la cl USB Affichez les informations relatives aux supports de masse afin de rcuprer le nom du priphrique associ votre cl. Dans l'exemple joint, /dev/sdb1 correspond une cl de 1Go.

Actions raliser
fdisk -l
Info1 : pour les PC la norme PATA (ancienne gnration) la cl sera nomme hd(a-b-c-...)(1-2-3-...). Pour les PC la norme SATA, elle prendra le nom sd(a-b-c-...)(1-2-3-...). Info2 : vous pouvez aussi afficher le journal systme avant d'insrer la cl pour rcuprer ce nom (tailf /var/log/messages)

Crez un rpertoire permettant d'accueillir la cl USB. Montez le priphrique reprsentant la cl USB sur ce rpertoire. Copiez l'archive d'ALCASAR dans le rpertoire /root. Dmontez la cl USB. Retirez-la. Calculez l'empreinte numrique 'SHA256' de cette archive et comparez-la avec celle du site WEB. Dcompressez et extrayez cette archive. Positionnez-vous dans le rpertoire d'ALCASAR et lancez le script d'installation.

mkdir -p /media/usb mount /dev/sdb1 /media/usb/ cp /media/usb/alcasar-* /root/ umount /media/usb sha256sum alcasar-x.y.tar.gz
Info : remplacez sdb1 par le nom du priphrique rcupr l'tape prcdente (sdc1, hda1, etc.). Info2 : si l'empreinte numrique ne correspond pas, tlchargez nouveau l'archive sur le site WEB. En cas de nouveau problme, prvenez l'quipe de dveloppement via le forum.

tar -xvf alcasar-x.y.tar.gz cd alcasar-x.y sh alcasar.sh -i

Utilisez la barre d'espace pour faire dfiler le texte de la licence. la fin tapez Entre

ALCASAR est dvelopp sous licence GPL V3.

Les tests de paramtres rseau sont raliss. L'installation d'une centaine de logiciels (paquetages) est effectue partir d'Internet. Dure :2' Entrez le nom de votre organisme (sans espace) Vous pouvez changer l'adresse IP d'ALCASAR et le plan d'adressage par dfaut du rseau de consultation - Entrez l'identifiant et le mot de passe d'un premier compte d'administration d'ALCASAR.

Info : dans certains cas, le script modifie la configuration des cartes rseau. Il est alors ncessaire de relancer ce script.

Exemple : rasacla
Info : ce nom est obligatoire. les seuls caractres accepts sont : [a-z][A-Z][0-9][-]

Tapez O ou N
Info : si vous tapez n , le script vous demandera l'adresse IP d'ALCASAR et le masque de rseau au format CIDR (ex : 172.16.0.1/16). Info : Ce compte sert administrer ALCASAR au moyen de l'interface graphique situe l'URL http://alcasar. Ce n'est pas un compte usager permettant de se connecter Internet.

L'installation est termine. Le systme va tre relanc afin de synchroniser l'ensemble des constituants d'ALCASAR.

Une fois le systme relanc, dmarrez un quipement de consultation et connectezvous sur l'interface de gestion du portail afin de crer vos premiers usagers ( http://alcasar ). Lisez attentivement la documentation d'exploitation ( alcasarexploitation-fr.pdf ).

Document d'installation

ALCASAR 2.7

7 /8

3. Dsinstallation, rinstallation ou mise jour d'ALCASAR


Vous pouvez dsinstaller le portail avec la commande sh alcasar.sh --uninstall . Vous vous retrouvez alors comme si vous veniez d'installer uniquement le systme d'exploitation. En relanant l'installation ou en lanant l'installation d'une nouvelle version sur un ALCASAR actif (cf .2), le script vous demandera si vous voulez effectuer une mise jour.

4. Prparer une installation hors ligne


La procdure suivante permet d'installer ALCASAR en mode hors ligne . Cela peut tre utile quand on prvoit d'installer des machines ALCASAR dans une zone o l'accs Internet n'est pas encore disponible ou que cet accs sera de dbit trs faible. Dans ce cas, il faut pouvoir gnrer l'avance un fichier archive contenant la totalit des paquetages (RPMS). Ce fichier sera exploit en lieu et place du tlchargement Internet. La procdure est la suivante : prparation de l'archive des RPM : sur une machine vierge connecte Internet, installez le systme Linux Mageia comme indiqu au 2.2 puis rcuprez et dcompressez l'archive d'ALCASAR. Dplacez-vous dans le rpertoire des scripts cd alcasar-x.y/scripts/sbin et lancez le script ./alcasar-rpm-download.sh . Ce script va gnrer l'archive des RPM correspondant l'architecture de la machine (32 ou 64 bits). Rcuprez cette archive sur cl USB. Installation hors ligne : aprs avoir install le systme, rcuprez votre archive de RPM. Dcompressez-la et positionnez-vous dedans. Installez la totalit des RPM (urpmi no-verify-rpm *). Procdez ensuite l'installation d'ALCASAR comme indiqu au 2.3.

5. Fiche rcapitulative des paramtres d'ALCASAR


Le fichier /root/ALCASAR-passwords.txt contient les mots de passe exploits en interne par les diffrents modules d'ALCASAR. Il contient notamment le mot de passe de protection du chargeur systme (bootloader GRUB ). Il peut tre consult via la commande (cat /root/ALCASAR-passwords.txt).

Nom d'organisme :
Page d'authentification des usagers Page d'accueil du portail permettant : - l'accs au centre de gestion graphique ; - la dconnexion d'un usager authentifi ; - le changement du mot de passe usager ; - l'installation du certificat de l'Autorit de Certification (A.C.) dans les navigateurs. Comptes Linux 1er compte d'administration graphique d'ALCASAR Paramtres rseau @IP de l'quipement FAI (routeur) @IP des serveurs DNS @IP d'ALCASAR (ct WAN/Internet) : @IP d'ALCASAR (ct rseau de consultation) : Cette page est prsente quand un navigateur tente de joindre un site Internet. http://alcasar
Info : les possibilits du centre de gestion sont dcrites dans le document alcasarexploitation .

root sysadmin ....................

mot de passe : ....................... mot de passe : ....................... mot de passe : ...................

____.____.____.____ DNS1 :____.____.____.____ DNS2 :____.____.____.____ ____.____.____.____/___ ____.____.____.____/___

Document d'installation

ALCASAR 2.7

8 /8