Vous êtes sur la page 1sur 11

Scurit des Systmes dInformation et de Communication

INSTALLATION

Table des matires


1. Introduction........................................................................................................................................................2
2. Installation..........................................................................................................................................................3
2.1. Besoins matriels........................................................................................................................................3
2.2. Installation du systme...............................................................................................................................3
2.3. Installation dALCASAR...........................................................................................................................7
2.4. Accs linterface dadministration.........................................................................................................10
3. Arrt, dsinstallation ou mise jour dALCASAR..........................................................................................11
4. Prparer une installation hors ligne ............................................................................................................11
5. Fiche rcapitulative des paramtres de votre ALCASAR................................................................................11

Projet : ALCASAR Auteur : Rexy avec le support de l' Alcasar team


Objet : Installation Version : 3.1.4
Mots cls : contrleur daccs au rseau (Network Access Control - NAC), imputabilit, Date : juillet 2017
traabilit, authentification, portail captif, contrle parental

Document dinstallation ALCASAR 3.1.4 1 /11


1. Introduction
Ce document dcrit la procdure dinstallation dALCASAR. Il est complt par trois autres documents : le
document de prsentation, le document dexploitation et la documentation technique.
Si vous possdez dj une version dALCASAR fonctionnelle et que vous dsirez effectuer une mise jour,
reportez-vous la documentation dexploitation (chapitre mise jour ).
ALCASAR peut tre install sur un ordinateur standard quip de deux cartes rseau Ethernet. La premire est
connecte lquipement du Fournisseur dAccs Internet (FAI). La deuxime est connecte au commutateur
utilis pour desservir le rseau des quipements de consultation.
Par dfaut, ladresse IP de cette deuxime carte rseau est : 192.168.182.1/24. Cela permet de disposer dun
plan dadressage de classe C (254 quipements). Ce plan dadressage est modifiable lors de linstallation. Pour
tous les quipements situs sur le rseau de consultation, ALCASAR est le serveur DHCP, le serveur DNS, le
serveur de temps et le routeur par dfaut ( default gateway ). Ainsi, sur ce rseau, il ne doit y avoir aucun
autre routeur ou serveur DHCP (vrifiez bien vos points daccs WIFI).

Rseau de consultation
(@IP : 192.168.182.0/24)

Commutateur
CPL
Adaptateur CPL
Point daccs WIFI
Carte rseau interne

Carte rseau externe

quipement/box du FAI
(routeur/modem DSL)

Internet

Exemple de plans dadressage


Paramtres @IP du rseau Nombre masque du @IP dALCASAR Suffixe DNS
dquipements rseau (cette adresse est ladresse IP DNS et
Classe du rseau de consultation du routeur par dfaut du rseau)
Plan dadressage propos 192.168.182.0/24 253 255.255.255.0 192.168.182.1/24 localdomain
par dfaut (classe C)
Plan dadressage de 172.16.x.0/16 65533 255.255.0.0 172.16.x.1/16 localdomain
classe B 1 x 255

Bien que cela soit possible, il est dconseill de dfinir un rseau de consultation en classe A (ex : 15.x.y.z/8). En effet, le serveur
DHCP interne dALCASAR devra alors rserver et grer plus de 16 millions dadresses IP. La gestion dun tel volume dadresses est
trs gourmande en ressource systme et mmoire.

Document dinstallation ALCASAR 3.1.4 2 /11


2. Installation
Linstallation du portail seffectue en deux tapes. La premire tape est linstallation dun systme
dexploitation Linux minimaliste bas sur Linux Mageia 5.0. La deuxime tape consiste lancer un
programme (script) qui installera et configurera les diffrentes briques logicielles constituant ALCASAR.

2.1. Besoins matriels


ALCASAR nexige quun PC bureautique standard possdant 2 cartes rseau et un disque dur dune capacit de
100Go au minimum afin dtre en mesure de stocker les fichiers journaux lis la traabilit des connexions.
Seules les architectures 64 bits sont supportes. ALCASAR intgre plusieurs systmes optionnels de filtrage
(protocoles rseau, adresses IP, URL, noms de domaines et antimalware). Si vous dcidez dactiver ces
systmes de filtrage, il est recommand dinstaller au moins 8 GO de mmoire vive afin dassurer une rapidit
de traitement acceptable (ALCASAR aime la RAM ;-) ).
Cas dune Machine Virtuelle : la taille du disque dur virtuel ne doit pas tre infrieure 30G.

2.2. Installation du systme


La procdure dinstallation de ce systme est la suivante (dure estime : 6) :
rcuprez limage ISO du DVD de Mageia-5.1 pour votre architecture (exemple : fichier mageia-5.1-
x86_64-DVD.iso pour larchitecture 64b). Cette image ISO est disponible sur le site de Mageia ou sur
les nombreux sites miroirs. Par exemple :
http://www.mirrorservice.org/sites/mageia.org/pub/mageia/iso/5.1/
http://distrib-coffee.ipsl.jussieu.fr/pub/linux/Mageia/iso/5.1/
gravez cette image sur un DVD-ROM ou crez une cl USB amorable 1. Vous pouvez aussi utiliser un
disque dur externe simulant un priphrique amorable (ex : zalman zm-ve300 ou 400).
modifiez les paramtres BIOS du PC afin de supprimer loption Secure Boot , de rgler la date,
lheure et afin de permettre lamorage du PC partir dun DVD-ROM ou dune cl USB. la fin de
linstallation, modifiez une nouvelle fois les paramtres BIOS pour limiter les possibilits damorage
du PC au seul disque dur ;
insrez le DVD-ROM ou la cl USB, redmarrez le PC et suivez les instructions suivantes :

Messages affichs lcran Commentaires Actions raliser

Aprs dmarrage du PC, cette page


daccueil est prsente.

Slectionnez Install Mageia 5 .


* si le mode graphique napparat pas, vous devez
configurer le BIOS du PC afin dallouer plus de 2Mo
de la mmoire partage pour la carte graphique.

Slectionnez votre langue.

1 Deux solutions permettent de crer une cl USB amorcable :


graphiquement via le logiciel rufus ou win32 disk image (Windows) ou isodumper (Linux) ;
en mode console sous Linux : insrez la cl et rcuprez le nom du priphrique associ via la commande fdisk -l (une cl
USB est souvent associe au priphrique /dev/sdb ou /dev/sdc ). Lancez la commande : dd if=<nom_de_limage_iso>
of=<nom_du_priphrique_usb> bs=1M .

Document dinstallation ALCASAR 3.1.4 3 /11


Messages affichs lcran Commentaires Actions raliser

Acceptez le contrat de licence.

Info : ce contrat explique que les logiciels installs


sont des logiciels libres.

Slectionnez votre type de clavier.

Le partitionnement du disque dur sera Slectionnez Partitionnement de disque


adapt au besoin dALCASAR (cf. tape personnalis .
suivante).

Cliquez sur Supprimer toutes les


Aprs avoir supprim toutes les partitions, partitions .
crez les 5 partitions suivantes : Cliquez ensuite lintrieur de la zone
/ : 5 Go
swap : gardez la taille propose grise du disque (sda) pour crer chaque
/tmp : 5 Go nouvelle partition.
/home : 5 Go
/var : le reste du disque dur (taille suprieure Info : mise part la partition de swap , tous les
10G, mme sur une machine virtuelle). Systmes de Fichiers (FS) sont du type Journalized
FS : ext4 .

la fin de cette opration, et en fonction


de la taille de votre disque dur, le
partitionnement devrait ressembler cela :
Crez la partition racine (/). Choisissez
sa taille (5 Go) ainsi que son systme de
fichier (ext4). Recommencez cette tape
pour toutes les autres partitions.
Une fois le partitionnement effectu,
cliquez sur Termin .

Pour ALCASAR, linstallation ne ncessite Slectionnez Aucun puis cliquer sur


pas dautre mdia. Suivant .

Document dinstallation ALCASAR 3.1.4 4 /11


Messages affichs lcran Commentaires Actions raliser

Laissez le mdia Nonfree Release


activ puis cliquez sur Suivant .

ALCASAR na pas besoin Choisissez Personnalis puis cliquez


denvironnement graphique (il
sadministre partir dun navigateur WEB) sur Suivant .

Choisissez Dslectionner tous puis


cliquez sur Suivant .
Slection des groupes de paquetages
installer : ALCASAR ne ncessite quune
installation trs minimaliste du systme. Info : sous Linux, un paquetage est un fichier archive
contenant tous les constituants dun logiciel (fichiers
binaires, fichiers daide, fichiers de configuration,
etc.).

Slectionnez Installer les paquetages


recommands ainsi que la
documentation, puis cliquez sur
suivant .
La copie des paquetages sur le disque dur
est alors lance. Dure estime : 2

Affectez le mot de passe au compte


root puis crez le compte sysadmin
et affectez-lui un mot de passe.

Dans le groupe Systme , cliquez sur


Configuration de votre fuseau horaire et de horaire
Configurer des rubriques Fuseau
et Pays/Rgion .
votre pays. Slectionnez votre fuseau horaire et votre
Pays.

Document dinstallation ALCASAR 3.1.4 5 /11


Messages affichs lcran Commentaires Actions raliser

Cliquez sur Configurer de la rubrique


Configuration de laccs Internet Rseau-ethernet du groupe Rseau et
Internet .

Slectionnez le type de connexion


Internet. Dans le cas dune box de FAI,
choisissez Filaire (Ethernet) .
Info : ALCASAR na pas t test avec les autres
mthodes de connexion Internet.

Slectionnez linterface configurer.


On ne configure pour linstant que
linterface connecte la box du FAI. Conseil : choisissez linterface avec le plus petit
La deuxime interface qui est connecte au index. Notez le nom de cette interface.
rseau de consultation sera paramtre plus Info : Les noms des interfaces sont lis
tard, lors de linstallation dALCASAR. larchitecture physique des PC. Ils peuvent donc tre
diffrents de la copie dcran.

Slectionnez configuration manuelle .

Info : Bien quALCASAR soit compatible avec le


protocole bootp/DHCP , nous conseillons la
configuration manuelle dun adressage fixe.

Exemple : Entrez les paramtres de cette interface.


Adresse IP : cette adresse doit tre dans le
mme sous-rseau que ladresse de votre * Inscrivez les adresses des serveurs de DNS fournies
passerelle daccs Internet (box). par votre FAI. Vous pouvez bien sr utiliser dautres
Masque : 255.255.255.0 serveurs DNS. Exemple :
Passerelle : cest ladresse de la box (en gnral projet libre OpenNIC (voir leur site WEB
192.168.1.1 pour une livebox et pour les adresses les plus proches de chez vous)
192.168.0.254 pour une freebox ) projet OpenDNS (DNS1=208.67.222.222,
DNS 1 et DNS 2 :* DNS2=208.67.220.220)
nom dhte : laissez la valeur par dfaut google (DNS1=8.8.8.8, DNS2=8.8.4.4).

Slectionnez uniquement Lancer la


connexion au dmarrage .

Il nest pas ncessaire de lancer cette Slectionnez Non


connexion ce stade

Cliquez sur Terminer .

Document dinstallation ALCASAR 3.1.4 6 /11


Messages affichs lcran Commentaires Actions raliser

Cliquez sur Suivant .

Les mises jour de scurit seront gres Slectionnez Non et cliquez sur
pendant linstallation dALCASAR. Suivant .

Cliquez sur Redmarrage .


Linstallation est termine Retirez le CDROM ou la cl USB.
Reconfigurez le BIOS afin de limiter les
possibilits damorage au seul disque dur.

2.3. Installation dALCASAR


Configuration des cartes rseau
Messages affichs lcran Commentaires Actions raliser
Dconnectez les cbles des deux cartes
rseau.
Connectez-vous en tant que root .
Lancez le clignotement des LEDs de ethtool -p enp0s3
linterface rseau configure
prcdemment ( enp0s3 dans notre Connectez le cble provenant de la box sur
exemple). linterface rseau dont les LED clignotent.
Arrtez le clignotement des LEDs <Ctrl> + c
Info : remplacez enp0s3 par le nom de linterface
rseau configurez prcdemment (cf. Page 5). Les
commandes ifconfig ou ip link affiche le nom
des interfaces rseau prsentes sur votre machine.
watch ethtool enp0s3
Info : la dernire ligne affiche prsente ltat du lien
sur la carte (Link detected <yes/no>)
Vrifiez que le lien est bien actif sur Si le lien nest pas actif, connectez le cble
linterface configure sur lautre carte. Ds que le lien est activ,
stoppez la commande laide de la
squence de touches : <Ctrl> + c

watch ethtool xxxxxxx


Effectuez la mme vrification avec la Info : ct rseau de consultation, connectez un
deuxime carte et le cble provenant du quipement actif de rseau (commutateur Ethernet,
rseau de consultation. CPL, AP WIFI, etc.) afin dtre assur de la
permanence du lien mme si les stations sont teintes.

Testez la connectivit Internet ping -c3 www.google.fr

Rcupration du fichier dinstallation


Ce fichier est une archive compresse nomme : alcasar-x.y.tar.gz (x.y correspond au numro de version
dsir). Vous pouvez le tlcharger de deux manires (cl USB ou FTP) :

Document dinstallation ALCASAR 3.1.4 7 /11


via une cl USB : Rcuprez la dernire version de ce fichier sur le site Internet dALCASAR et copiez-le
sur une cl USB. Suivez la procdure suivante pour le copier sur le PC ALCASAR :

Messages affichs lcran Commentaires Actions raliser

Insrez la cl USB
fdisk -l
Affichez les informations relatives aux
supports de masse afin de rcuprer le Info : vous pouvez aussi afficher le journal systme
nom du priphrique associ votre cl. avant dinsrer la cl pour rcuprer ce nom
Dans lexemple joint, /dev/sdb1 (journalctrl -f)
correspond une cl de 1Go.

mkdir -p /media/usb
Crez un rpertoire et montez la cl mount /dev/sdb1 /media/usb/
sur celui-ci. cp /media/usb/alcasar-* /root/
Copiez larchive dALCASAR dans umount /media/usb
le rpertoire /root.
Dmontez la cl USB.
Retirez-la. Info : remplacez sdb1 par le nom du priphrique
rcupr ltape prcdente.

par FTP : depuis le PC ALCASAR, rcuprez la dernire version de ce fichier situ sur le serveur FTP :

Messages affichs lcran Commentaires Actions raliser


Connectez-vous au serveur FTP avec lftp ftp.alcasar.net/pub
la commande lftp cd stable
dplacez-vous dans le rpertoire ls
stable et listez son contenu get alcasar-x.y.tar.gz
Rcuprez le fichier bye
Quittez

Document dinstallation ALCASAR 3.1.4 8 /11


Installation

Messages affichs lcran Commentaires Actions raliser


sha256sum alcasar-x.y.tar.gz
Calculez lempreinte numrique
'SHA256' de cette archive et Info : si lempreinte numrique ne correspond pas,
comparez-la avec celle du site WEB. tlchargez nouveau larchive sur le site WEB. En
cas de nouveau problme, prvenez lquipe de
dveloppement via le forum.

Dcompressez et extrayez cette


archive. tar -xvf alcasar-x.y.tar.gz
Positionnez-vous dans le rpertoire cd alcasar-x.y
dALCASAR et lancez le script sh alcasar.sh -i
dinstallation.

Acceptation de la licence ALCASAR est un logiciel libre dvelopp


sous licence GPLV3.

Les tests daccs Internet sont raliss.

Linstallation dune centaine de logiciels


(paquetages) est effectue partir
dInternet. Dure : 3'

Entrez le nom de votre organisme (sans Exemple : rasacla


Info : ce nom est obligatoire. les seuls caractres
espace) accepts sont : [a-z][A-Z][0-9][-]
Tapez O ou N
Vous pouvez changer ladresse IP
dALCASAR et le plan dadressage par Info : si vous tapez n , le script vous demandera
dfaut du rseau de consultation ladresse IP dALCASAR et le masque de rseau au
format CIDR (ex : 172.16.0.1/16).

- Entrez lidentifiant et le mot de passe Info : Ce compte sert administrer ALCASAR au


moyen de linterface graphique situe lURL
dun premier compte dadministration http://alcasar.localdomain. Ce nest pas un compte
dALCASAR. utilisateur permettant de se connecter Internet.

Linstallation est termine.


Le systme peut tre relanc. Appuyez sur Entre

Une fois le systme relanc, connectez- Si un ou plusieurs services nont pu tre


vous en tant que root . Vous pouvez lancs, le script va tenter de le faire.
vrifier que tous les composants
dALCASAR sont bien lancs en tapant
la commande alcasar-daemon.sh .
Dconnectez-vous. Tapez exit ou <CTRL> + d

Document dinstallation ALCASAR 3.1.4 9 /11


2.4. Accs linterface dadministration

Sur le rseau de consultation, allumez un quipement de consultation et connectez un navigateur WEB lURL
http://alcasar.localdomain pour accder la page suivante :

Cliquez sur la petite roue crante en bas droite pour accder linterface dadministration dALCASAR
(ALCASAR Control Center ACC). Vous devez vous authentifier avec le compte dadministration cr lors de
linstallation (2.3 p9 de ce document).
Lisez maintenant la documentation dexploitation ( alcasar-exploitation-fr.pdf ) pour crer vos premiers
comptes utilisateur .

Document dinstallation ALCASAR 3.1.4 10 /11


3. Arrt, dsinstallation ou mise jour dALCASAR
Arrt : Vous pouvez arrter la machine ALCASAR soit en appuyant brivement sur le bouton
dalimentation du boitier, soit en tapant la commande poweroff , soit en utilisant de linterface WEB
dadministration (ACC rubrique Systme + Services ).
Dsinstallation : Vous pouvez dsinstaller ALCASAR avec la commande sh alcasar.sh --uninstall . Vous
vous retrouvez alors comme si vous veniez dinstaller uniquement le systme dexploitation.
Mise jour : En lanant une installation sur un systme dj actif, le script vous demandera si vous voulez
effectuer une mise jour. Vous pouvez lancer cette mise jour distance via une connexion SSH (cf. doc
d'exploitation).

4. Prparer une installation hors ligne


Ce paragraphe prsente une procdure permettant dinstaller ALCASAR en mode hors ligne . Cela peut tre
utile quand on prvoit dinstaller des machines ALCASAR dans une zone o laccs Internet nest pas encore
disponible ou que cet accs sera de dbit trs faible. Dans ce cas, il faut pouvoir gnrer lavance un fichier
archive contenant la totalit des paquetages (RPMS). Ce fichier sera exploit en lieu et place du tlchargement
Internet. La procdure est la suivante :
prparation de larchive des RPM : sur une machine vierge connecte Internet, installez le systme Linux
Mageia comme indiqu au 2.2 puis rcuprez et dcompressez larchive dALCASAR. Dplacez-vous
dans le rpertoire des scripts cd alcasar-x.y/scripts/sbin et lancez le script ./alcasar-rpm-download.sh . Ce
script va gnrer larchive des RPM correspondant larchitecture de la machine (32 ou 64 bits). Rcuprez
cette archive sur cl USB.
Installation hors ligne : aprs avoir install le systme, rcuprez votre archive de RPM. Dcompressez-la et
positionnez-vous dedans. Installez la totalit des RPM (urpmi no-verify-rpm *). Procdez ensuite
linstallation dALCASAR comme indiqu au 2.3.

5. Fiche rcapitulative des paramtres de votre ALCASAR


Le fichier /root/ALCASAR-passwords.txt contient les mots de passe exploits en interne par les diffrents
modules dALCASAR. Il contient notamment le mot de passe de protection du chargeur systme (bootloader
GRUB ). Il peut tre consult via la commande (cat /root/ALCASAR-passwords.txt). Attention : si vous devez
entrer ce mot de passe pour modifier les paramtres du chargeur, votre clavier sera en mode qwerty .
Nom dorganisme :
Page dauthentification des utilisateurs Cette page est prsente quand leur navigateur tente de joindre un
site Internet en HTTP.
Page daccueil du portail permettant : http://alcasar.localdomain
laccs au centre de gestion graphique (ACC) ;
la dconnexion dun utilisateur authentifi ;
le changement du mot de passe utilisateur ; Info : les possibilits du centre de gestion sont dcrites dans le document alcasar-
exploitation-fr.pdf .
linstallation du certificat de lAutorit de
Certification (A.C.) dans les navigateurs.
Comptes Linux root mot de passe : .......................
sysadmin mot de passe : .......................
1er compte dadministration graphique dALCASAR .................... mot de passe : ...................
Paramtres rseau
@IP de lquipement FAI (routeur) ____.____.____.____
@IP des serveurs DNS DNS1 :____.____.____.____ DNS2 :____.____.____.____
@IP dALCASAR (ct WAN/Internet) : ____.____.____.____/___
@IP dALCASAR (ct rseau de consultation) : ____.____.____.____/___

Document dinstallation ALCASAR 3.1.4 11 /11