Vous êtes sur la page 1sur 8

Scurit des Systmes d'Information et de Communication

INSTALLATION
Table des matires
1.Introduction.........................................................................................................................................................2
2.Installation...........................................................................................................................................................3
2.1.Pralable matriel........................................................................................................................................3
2.2.Installation du systme................................................................................................................................3
2.3.Installation d'ALCASAR.............................................................................................................................6
3.Dsinstallation, rinstallation et mise jour d'ALCASAR.................................................................................8
4.Prparer une installation hors ligne ...............................................................................................................8
5.Fiche rcapitulative des paramtres d'ALCASAR..............................................................................................8

Projet : ALCASAR

Auteur : Rexy with support of Alcasar team

Objet : Installation

Version : 2.6

Mots cls : portail captif, contrle d'accs, imputabilit, traabilit, authentification

Date : Aut 2012

Document d'installation

ALCASAR 2.6.1

1 /8

1. Introduction
Ce document dcrit la procdure d'installation du portail ALCASAR. Il est complt par trois autres
documents : le document de prsentation, le document d'exploitation et la documentation technique.
Si vous possdez dj une version d'ALCASAR fonctionnelle et que vous dsirez effectuer une mise jour,
reportez-vous la documentation d'exploitation (chapitre mise jour ).
ALCASAR peut tre install sur un ordinateur standard quip de deux cartes rseau Ethernet. La premire
(eth0) est connecte l'quipement du Fournisseur d'Accs Internet (FAI). La deuxime (eth1) est connecte au
commutateur utilis pour desservir le rseau des stations de consultation.
Par dfaut, l'adresse IP de cette deuxime carte rseau est : 192.168.182.1/24. Cela permet de disposer d'un plan
d'adressage de classe C (254 quipements). Ce plan d'adressage est modifiable lors de l'installation. Pour tous
les quipements situs sur le rseau de consultation, ALCASAR est le serveur DNS, le serveur de temps et le
routeur par dfaut (default gateway) . Ainsi, sur ce rseau, il ne doit y avoir aucun autre routeur.
ALCASAR peut aussi servir de serveur DHCP. Assurez-vous, dans ce cas, qu'il soit le seul.
Rseau de consultation
(@IP : 192.168.182.0/24)

Commutateur

Point d'accs CPL

eth1 (@IP : 192.168.182.1)

Point d'accs WIFI

ALCASAR
eth0 (@IP dans le mme plan d'adressage que l'quipement du FAI)
quipement/box du FAI
(routeur/modem DSL)

Internet
Exemple du plan d'adressage de classe C propos par dfaut (254 quipements)

Adresse IP d'ALCASAR : 192.168.182.1/24


Nombre maximum d'quipements sur le rseau de consultation : 253
Paramtres rseau des quipements de consultation :
adresses IP disponibles : de 192.168.182.2 192.168.182.254 (statiques ou dynamiques)
masque de rseau : 255.255.255.0
adresses des serveurs DNS et du routeur par dfaut (default gateway) : 192.168.182.1 (adresse IP d'ALCASAR)
suffixe DNS pour les quipements en adressage fixe : localdomain

Adresse IP d'ALCASAR : 172.16.0.1/16


Nombre maximum d'quipements sur le rseau de consultation : 65531
Paramtre des quipements de consultation :
adresses IP disponibles : de 172.16.0.2 172.16.255.254 (statiques ou dynamiques)
masque de rseau : 255.255.0.0
adresses des serveurs DNS et du routeur par dfaut (default gateway) : 172.16.0.1 (adresse IP d'ALCASAR)
suffixe DNS pour les quipements en adressage fixe : localdomain

Exemple d'un plan d'adressage de classe B (65534 quipements)

Bien que cela soit possible, il est dconseill de dfinir un rseau de consultation en classe A (ex : 15.0.0.0/8). En effet, le serveur
DHCP interne d'ALCASAR devra alors rserver et grer plus de 16 millions d'adresses IP. La gestion d'un tel volume d'adresses est
trs gourmande en ressource systme et mmoire.

Document d'installation

ALCASAR 2.6.1

2 /8

2. Installation
L'installation du portail s'effectue en deux tapes. La premire tape est l'installation d'un systme Linux
minimaliste bas sur Linux-Mandriva. La deuxime tape permet d'installer et de configurer les diffrentes
briques logicielles constituant ALCASAR.

2.1. Pralable matriel


ALCASAR n'exige qu'un PC bureautique standard possdant 2 cartes rseau et un disque dur d'une capacit de
50 Go au minimum afin d'tre en mesure de stocker les fichiers journaux lis la traabilit des connexions.
Les architectures 32 bits et 64 bits sont supportes et automatiquement prises en compte. ALCASAR intgre
plusieurs systmes optionnels de filtrage (protocoles rseau, adresses IP, URL, noms de domaines et antivirus
de flux WEB). Si vous dcidez d'activer ces systmes de filtrage, il est recommand d'installer au moins 1 GO
de mmoire vive afin d'assurer une rapidit de traitement acceptable. titre d'exemple, un organisme a dploy
ALCASAR avec plus de 1000 comptes sur un PC dont les caractristiques sont : Intel P4 3.2Ghz, 2Go de
mmoire vive et un disque dur de 80 Go.

2.2. Installation du systme


La procdure d'installation de ce systme est la suivante (dure estime : 6') :

rcuprez l'image ISO de Linux Mandriva 2010.1 en version free double architecture (32 et 64 bits) :
fichier mandriva-linux-free-2010-spring-dual.iso (700MB). Cette image ISO est disponible sur le
site d'ALCASAR ainsi que sur de multiples sites miroirs de Mandriva. Par exemple :

ftp://ftp.free.fr/mirrors/Distributions_Linux/MandrivaLinux/official/iso/2010.1/

ftp://ftp.lip6.fr/pub/linux/distributions/Mandrakelinux/official/iso/2010.1/

ftp://ftp.cru.fr/pub/linux/Mandrakelinux/official/iso/2010.1/

gravez cette image sur un CDROM ou crez une cl USB amorable1

modifiez les paramtres BIOS du PC afin de rgler la date, l'heure et afin de permettre l'amorage du PC
partir d'un CD-ROM ou d'une cl USB. Supprimez la gestion des lecteurs de disquettes si votre
systme n'en possde pas. la fin de l'installation, modifiez une nouvelle fois les paramtres BIOS pour
limiter les possibilits d'amorage du PC au seul disque dur ;

insrez le CD-ROM ou la cl USB, redmarrez le PC et suivez les instructions suivantes :

Messages affichs l'cran

Commentaires

Actions raliser

Aprs dmarrage du PC, cette page


d'accueil est prsente.
Slectionnez Install Mandriva .
* si le mode graphique n'apparat pas, vous devez
configurer le BIOS du PC afin d'allouer plus de 2Mo
de la mmoire partage pour la carte graphique.

1 Deux solutions permettent de crer une cl USB amorable (1 Go minimum formate en FAT ou VFAT) :

en mode graphique vous pouvez utiliser le logiciel unetbootin . Installez-le sous Linux via urpmi ou apt-get . Sous
windows, rcuprez-le ici : http://unetbootin.sourceforge.net/ .

en mode console sous Linux, insrez la cl et rcuprez le nom du priphrique associ via la commande fdisk -l (une cl
USB est souvent associe au priphrique /dev/sdb ou /dev/sdc ). Lancez la commande : dd
if=<nom_de_l'image_iso> of=<nom_du_priphrique_usb> bs=8M .

Document d'installation

ALCASAR 2.6.1

3 /8

Messages affichs l'cran

Commentaires

Actions raliser

Slectionnez votre langue.

Acceptez le contrat de licence.

Info : ce contrat explique que la plupart des logiciels


installs sont des logiciels libres.

Slectionnez votre type de clavier.

Le partitionnement du disque dur sera


adapt au besoin d'ALCASAR (cf. tape
suivante).

Les 5 partitions suivantes doivent tre


cres :

/ : 2 Go
swap : gardez la taille propose (ou 2 fois la
taille de la mmoire vive)
/tmp : 2 Go
/home : 2 Go
/var : le reste du disque dur

Slectionnez Partitionnement de disque


personnalis .

Cliquez sur Supprimer toutes les


partitions .
Cliquez ensuite l'intrieur de la zone
grise du disque (sda) pour crer chaque
nouvelle partition.
Info : part le swap , tous les Systmes de Fichiers
(SF) sont du type Journalized FS : ext4 (ext4 est
un systme de fichiers journalis pour Linux).

la fin de cette opration, et en fonction


- Crez la partition racine (/). Choisissez sa
de la taille de votre disque dur, le
taille (2 Go) ainsi que son systme de
partitionnement devrait ressembler cela : fichier (ext4). Recommencez cette tape
pour toutes les autres partitions.
- Une fois le partitionnement effectu,
cliquez sur Terminer .

Pour ALCASAR, l'installation ne ncessite


Slectionnez Aucun
pas d'autre mdia.

Document d'installation

ALCASAR 2.6.1

4 /8

Messages affichs l'cran

Commentaires

Choix des groupes de paquetages


installer : ALCASAR ne ncessite
qu'une installation minimale du systme
Linux-Mandriva.

Actions raliser
Choisissez uniquement le groupe de
paquetages LSB (Linux Standard
Base). Dslectionnez tous les autres
groupes puis cliquez sur Suivant .
La copie des paquetages sur le disque dur
est alors lance. Dure estime : 4'
Info : sous Linux, un paquetage est un fichier archive
contenant tout les constituants d'un logiciel (binaires,
fichiers d'aide, fichiers de configuration, etc.).

Affectez le mot de passe au compte


root puis crez le compte sysadmin
et affectez-lui un mot de passe.

Configuration de l'accs Internet

Cliquez sur Configurer de la rubrique


Rseau-ethernet du groupe Rseau et
Internet .

Slectionnez le type de connexion


Internet.
Dans le cas d'une box , choisissez
Filaire (Ethernet) .
Info : Aucun test n'a encore t effectu sur
ALCASAR concernant les accs Internet par
d'autres types de connexion.

On ne configure pour l'instant que


l'interface connecte la box du FAI. Slectionnez l'interface identifie eth0 .
La deuxime interface qui est connecte au
rseau de consultation sera paramtre plus
Info : si les interfaces ne sont pas identifies (eth0,
tard, lors de l'installation d'ALCASAR.
eth1, etc.), slectionnez la premire interface.
Slectionnez configuration manuelle .
Info : bien que cela soit possible, il est dconseill de
configurer cette interface en mode dynamique
(bootp/DHCP) car l'quipement n'a pas vocation
tre nomade.

Entrez les paramtres de cette interface.

Exemple :

Document d'installation

Adresse IP : cette adresse doit tre dans le


mme sous-rseau que l'adresse du routeur DSL
du FAI (box).
Masque : 255.255.255.0
Passerelle : c'est l'adresse de la box (en gnral
192.168.1.1 pour une livebox et
192.168.0.254 pour une freebox )
DNS 1 et DNS 2 :*
nom d'hte : laissez ce champ vide

ALCASAR 2.6.1

* Inscrivez les adresses des serveurs de DNS fournies


par votre FAI. Vous pouvez aussi utiliser les serveurs
DNS du projet OpenDNS
(DNS1=208.67.222.222, DNS2=208.67.220.220) ou
les serveurs DNS publics de google (DNS1=8.8.8.8,
DNS2=8.8.4.4).

5 /8

Messages affichs l'cran

Commentaires

Actions raliser

Slectionnez uniquement Lancer la


connexion au dmarrage .

Il n'est pas ncessaire de lancer cette


connexion ce stade

Slectionnez Non

Cliquez sur Terminer .

Cliquez sur Suivant .

Les mises jour de scurit seront gres


pendant l'installation d'ALCASAR.

Slectionnez Non et cliquez sur


Suivant .

L'installation est termine

Cliquez sur Redmarrage .


Retirez le CDROM ou la cl USB.
Reconfigurez le BIOS afin :

de limiter les possibilits


d'amorage au seul disque dur ;

d'en verrouiller l'accs par mot de


passe.

2.3. Installation d'ALCASAR


ALCASAR est constitu d'une archive compresse (alcasar-x.y.tar.gz) et de paquetages additionnels qui seront
automatiquement tlchargs sur Internet.
Rcuprez la dernire version de l'archive compresse sur le site Internet d'ALCASAR et copiez-la sur une cl
USB. Suivez la procdure suivante (dure estime :5').

Messages affichs l'cran

Commentaires

Actions raliser
Connectez-vous en tant que root .

- Dconnectez les cbles des deux cartes


rseau et affichez l'tat de la premire
carte (eth0).

Document d'installation

ALCASAR 2.6.1

watch ethtool eth0


Info : la dernire ligne affiche prsente l'tat du lien
sur la carte (Link detected <yes/no>)

6 /8

Messages affichs l'cran

Commentaires
- connectez le cble allant l'quipement
du FAI sur la premire carte.

- Effectuez la mme opration avec la


deuxime carte (eth1) et le cble
provenant du rseau de consultation.
- Insrez la cl USB
- Affichez les informations relatives aux
supports de masse afin de rcuprer le
nom du priphrique associ votre cl.
Dans l'exemple joint, /dev/sdb1
correspond une cl de 1Go.
- Crez un rpertoire permettant
d'accueillir la cl USB.
- Montez le priphrique reprsentant
la cl USB sur ce rpertoire.
- Copiez l'archive d'ALCASAR dans le
rpertoire /root.
- Dmontez la cl USB.
- Retirez-la.
- Calculez l'empreinte numrique 'MD5'
de cette archive et comparez-la avec celle
du site WEB.

Actions raliser
Attendez quelques secondes que le lien
soit mont. Dans le cas contraire,
connectez le cble sur l'autre carte. Ds
que le lien est mont, stoppez la
commande l'aide de la squence de
touches : <Ctrl> + c
watch ethtool eth1
Info : ct rseau de consultation, connectez un
quipement actif de rseau (commutateur Ethernet,
CPL, AP WIFI, etc.) afin d'tre assur de la
permanence du lien mme si les stations sont teintes.

fdisk -l
Info1 : pour les PC la norme PATA (ancienne
gnration) la cl sera nomme hd(a-b-c-...)(1-2-3-...).
Pour les PC la norme SATA, elle prendra le nom
sd(a-b-c-...)(1-2-3-...).
Info2 : vous pouvez aussi afficher le journal systme
avant d'insrer la cl pour rcuprer ce nom (tailf
/var/log/messages)

mkdir -p /media/usb
mount /dev/sdb1 /media/usb/
cp /media/usb/alcasar-* /root/
umount /media/usb
md5sum alcasar-x.y.tar.gz
Info : remplacez sdb1 par le nom du priphrique
rcupr l'tape prcdente (sdc1, hda1, etc.).
Info2 : si l'empreinte numrique ne correspond pas,
tlchargez nouveau l'archive sur le site WEB. En
cas de nouveau problme, prvenez l'quipe de
dveloppement via le forum.

- Dcompressez et extrayez cette archive.


tar -xvf alcasar-x.y.tar.gz
- Positionnez-vous dans le rpertoire
cd alcasar-x.y
d'ALCASAR et lancez le script
sh alcasar.sh -i
d'installation.
- Les tests de paramtres rseau sont
raliss.

Info : dans certains cas, le script modifie la


configuration des cartes rseau. Il est alors ncessaire
de relancer ce script.

L'installation d'une centaine de logiciels


(paquetages) est effectue partir
d'Internet. Dure :2'
- Entrez le nom de votre organisme (sans
espace)
Vous pouvez changer l'adresse IP
d'ALCASAR et le plan d'adressage par
dfaut du rseau de consultation
- Entrez l'identifiant et le mot de passe
d'un premier compte d'administration
d'ALCASAR.

Document d'installation

ALCASAR 2.6.1

Exemple : rasacla
Info : ce nom est obligatoire. les seuls caractres
accepts sont : [a-z][A-Z][0-9][-]

Tapez O ou N
Info : si vous tapez n , le script vous demandera
l'adresse IP d'ALCASAR et le masque de rseau au
format CIDR (ex : 172.16.0.1/16).
Info : Ce compte sert administrer ALCASAR au
moyen de l'interface graphique situe l'URL
http://alcasar. Ce n'est pas un compte usager
permettant de se connecter Internet.

7 /8

Messages affichs l'cran

Commentaires

Actions raliser

L'installation est termine.


Le systme va tre relanc afin de
synchroniser l'ensemble des constituants
d'ALCASAR.

Une fois le systme relanc, dmarrez un


quipement de consultation et connectezvous sur l'interface de gestion du portail
afin de crer vos premiers usagers
( http://alcasar ). Lisez attentivement la
documentation d'exploitation ( alcasarexploitation.pdf ).

3. Dsinstallation, rinstallation et mise jour d'ALCASAR


Vous pouvez dsinstaller le portail avec la commande sh alcasar.sh --uninstall . Vous vous retrouvez alors
comme si vous veniez d'installer uniquement le systme d'exploitation.
Vous pouvez rinstaller ou mettre jour le ALCASAR avec la mme commande que prcdemment ( sh
alcasar.sh --install ). Le script vous demandera si vous voulez garder les paramtres de la version dj en place.

4. Prparer une installation hors ligne


La procdure suivante permet d'installer ALCASAR en mode hors ligne . Cela peut tre utile quand on
prvoit d'installer des machines ALCASAR dans une zone o l'accs Internet n'est pas encore disponible (clin
d'oeil MINDEF/BTAC) ou que cet accs sera de dbit trs faible (clin d'oeil MINDEF/OPEX). Dans ce cas, il faut pouvoir
gnrer l'avance un fichier archive contenant la totalit des paquetages (RPMS). Ce fichier sera exploit en
lieu et place du tlchargement Internet. La procdure est la suivante :
prparation de l'archive des RPM : sur une machine vierge connecte Internet, installez le systme Linux
Mandriva comme indiqu au 2.2 puis rcuprez et dcompressez l'archive d'ALCASAR. Dplacez-vous
dans le rpertoire des scripts cd alcasar-x.y/scripts/sbin et lancez le script ./alcasar-rpm-download.sh . Ce
script va gnrer l'archive des RPM correspondant l'architecture de la machine (32 ou 64 bits). Rcuprez
cette archive sur cl USB.
Installation hors ligne : aprs avoir install le systme, rcuprez votre archive de RPM. Dcompressez-la et
positionnez-vous dedans. Installez la totalit des RPM (urpmi no-verify-rpm *). Procdez ensuite
l'installation d'ALCASAR comme indiqu au 2.3.

5. Fiche rcapitulative des paramtres d'ALCASAR


Le fichier /root/ALCASAR-passwords.txt contient les mots de passe exploits en interne par les diffrents
modules d'ALCASAR. Il contient notamment le mot de passe de protection du chargeur systme (bootloader
GRUB ). Il peut tre consult via la commande (cat /root/ALCASAR-passwords.txt).

Nom d'organisme :
Page d'authentification des usagers

Cette page est prsente quand un navigateur tente de joindre un


site Internet.

Page d'accueil du portail permettant :


- l'accs au centre de gestion graphique ;
- la dconnexion d'un usager authentifi ;
- le changement du mot de passe usager ;
- l'installation du certificat de l'Autorit de
Certification (A.C.) dans les navigateurs.

http://alcasar

Comptes Linux

root
sysadmin

mot de passe : .......................


mot de passe : .......................

1er compte d'administration graphique d'ALCASAR

....................

mot de passe : ...................

Info : les possibilits du centre de gestion sont dcrites dans le document alcasarexploitation .

Paramtres rseau
@IP de l'quipement FAI (routeur)
@IP des serveurs DNS
@IP d'ALCASAR (ct WAN/Internet) :
@IP d'ALCASAR (ct rseau de consultation) :

Document d'installation

____.____.____.____
DNS1 :____.____.____.____ DNS2 :____.____.____.____
____.____.____.____/___
____.____.____.____/___

ALCASAR 2.6.1

8 /8