Fiche Alcasar.docx

Thomas.G
TS2 SIO - 2012/2013
Solution Wifi Visiteurs
Lycée Bahuet - Sodecaf
Brive la Gaillarde
5/12/2012
Lycée Bahuet
Présentation PPE - Avancement
Sommaire
I.
Le
a)
b)
c)
d)
portail captif…………………………………………………………………………………………………. 3
Présentation d’Alcasar…………………………………………………………………………………… 3
Les composants logiciels……………………………………………………………………………….. 4
Schéma de principe………………………………………………………………………………………. 7
Fonctionnement du système d’authentification………………………………………………… 8
II.
Configuration matérielle du serveur…………………………….………………………………………. 9
a) Processeur, mémoire, disque............................................................................ 9
b) Les cartes réseaux……………………………………………………………………………………….. 9
III.
Intégration d’Alcasar sur le réseau Sodecaf…………………………………………………………..10
a) Schéma du réseau……………………………………………….………………………………………. 10
b) Le plan IP……………………………………….……………………………………….………………….. 10
c) Configurer Alcasar……………………………………………………………………………………….. 11
d) Configuration carte réseau……………………………………………………………………………. 12
IV.
Configuration du point d’accès WIFI……………………………………………………………………. 13
V.
Test des configurations……………………………………………………………………………………… 14
a) Serveur……………………………………………………………………………………………………….. 14
b) Client………………………………………………………………………………………………………….. 15
VI.
Annexe…………………………………………………………………………….……………………………… 16
a) Informations……………………………………………………………………………………………….. 16
b) Sources………………………………………………………………………………………………………. 17
Thomas.G
TS2 SIO - 2012/2013
Page | 2
Lycée Bahuet
Présentation PPE - Avancement
1) Le portail captif
a) Alcasar
ALCASAR est un portail libre et gratuit de contrôle d'accès à Internet.
Il authentifie et protège les accès des usagers indépendamment des autres
équipements du réseau.
Ses nombreuses fonctions permettent de répondre au besoin de exprimé dans le cahier
des charges.
ALCASAR est constitué d’un ordinateur intégrant toutes les fonctions d'un portail captif
authentifiant.
Les équipements situés sur le réseau de consultation peuvent être de tout type (PC,
Smartphones, tablettes, etc.). Ils n'ont besoin d'aucune modification spécifique.
Thomas.G
TS2 SIO - 2012/2013
Page | 3
Lycée Bahuet
Présentation PPE - Avancement
b)Les composants logiciels d’Alcasar :
Alcasar est composé de nombreux composants(ou modules) connectés entre eux.
Système d’exploitation :
Alcasar a été conçu pour fonctionner sur Mandriva Linux.
Il ne peut être installé de façon simple sur un autre environnement car les
fichiers ne sont pas situés aux mêmes endroits.
Passerelle d’interception :
CoovaChilli permet de rediriger les clients vers une page web qui
demande une authentification.
Serveur DNS/DHCP :
Dnsmasq permet de faire correspondre une adresse IP a un nom de
domaine.
C’est lui qui gére le nom de domaine local ‘alcasar’.
Il fait aussi office de serveur dhcp qui permet d’attribuer des adresses IP à tous les
clients qui se connectent à Alcasar.
Serveur Web :
Apache permet d’afficher les pages spécifique à Alcasar(Page
d’interception, panneau administrateur…)
Chiffrement du flux :
La page d’interception d’alcasar utilise le protocole https afin de chiffrer les
informations (notamment de connexion) qui circulent entre le serveur
Web et les clients.
C’est OpenSSL qui s’en occupe.
A noter que par défaut il utilise un certificat auto signé.
Serveur d’authentification:
Free Radius donne la possibilité d’utiliser un annuaire externe (Comme
LDAP ou encore A.D).
Il n’est en aucun cas obligé d’utiliser un annuaire externe.
Thomas.G
TS2 SIO - 2012/2013
Page | 4
Lycée Bahuet
Présentation PPE - Avancement
Serveur de base de données usagers:
Mysql permet de stocker les informations concernant les utilisateurs
d’Alcasar(Nom d’utilisateur, mot de passe….)
Proxy (Mode cache web) :
Alcasar utilise Squid (Proxy) en mode cache web afin d’accélérer l’exécution
des requêtes fréquemment demandées.
Serveur de temps :
Il est primordial qu’un serveur soit toujours à l’heure ! C’est pour cela
qu’il intègre Ntpdate .
Journalisation :
Ulogd permet de journaliser les événements qui se produisent sur le système.
Filtrage web :
Dansguardian permet de filtrer les sites demandés par les clients. Il repose
sur une base de données fournis par « Toulouse ».
Il y a la possibilité de la compléter.
Statistiques de consultation :
Awstat permet d’avoir des statistiques sur les clients, leurs consultations,
nombre de connexion, la durée ect.
Journaux du parefeu :
FirewallEyes permet d’avoir de consulter de façon simple et efficace les
journaux du pare feu. (Sites bloqués…)
Information du système :
Phpsysinfo est une interface web, écrite avec le langage PHP, qui permet
d'afficher des informations concernant le système et le matériel sur lequel
elle est installée.
Thomas.G
TS2 SIO - 2012/2013
Page | 5
Lycée Bahuet
Présentation PPE - Avancement
Connexion distante sécurisé :
Openssh-serveur permet à un administrateur de se connecter et
administrer le serveur Alcasar à distance en utilisant un logiciel tel que Putty.
Note : L’option est désactivé par défaut, il faut l’activer au préalable dans la
configuration des services du portail afin de pouvoir sa connecter.
Passerelle antivirus Web :
HAVP permet de faire analyser à un anti-virus toutes les pages web
consultés par les clients afin de les protéger des dangers extérieurs.
Antivirus :
(Lib)Clamav est un anti-virus qui analyse le trafic consulté par les clients.
Thomas.G
TS2 SIO - 2012/2013
Page | 6
Lycée Bahuet
Présentation PPE - Avancement
Thomas.G
TS2 SIO - 2012/2013
Page | 7
Lycée Bahuet
Présentation PPE - Avancement
d)Fonctionnement du système d’authentification :
Thomas.G
TS2 SIO - 2012/2013
Page | 8
Lycée Bahuet
Présentation PPE - Avancement
II/Configuration matérielle du serveur :
a) Composants de base



CPU : Intel, AMD en x86 ou x64.
RAM : 2Go recommandés.
Disque dur : 160 Go Minimum pour assurer un confort de travail.
b) Les cartes réseaux
Nous utilisons 2 cartes réseaux pour la liaison Alcasar - PFSENCE et Alcasar - Point
d’accès Wifi.
L’OS utilisé est Mandriva One Linux 2010 en version 32 bit disponible sur le site officiel
de Mandriva.
www.mandriva.com/fr/downloads/
Thomas.G
TS2 SIO - 2012/2013
Page | 9
Lycée Bahuet
Présentation PPE - Avancement
III/Intégration d’Alcasar sur le réseau Sodecaf :
a) Schéma du réseau
b) Plan d’adressage IP :
 Par DHCP: 172.20.21.10 a 172.20.21.255 (255.255.255.0)
 IP statiques: 172.20.21.1 à 172.20.21.6 (255.255.255.248)
 Borne Wifi : 172.20.21.2
 Serveur ALCASAR : eth0 : 172.20.20.1 // eth1: 172.20.21.1
 PFSENSE : ethx : 172.20.20.254
Thomas.G
TS2 SIO - 2012/2013
Page | 10
Lycée Bahuet
Présentation PPE - Avancement
c) Configurer Alcasar
Pour reconfigurer la plage IP d’alcasar il faut faire une désinstallation / réinstallation
complète d’Alcasar.
Pour cela:
alcasar-Bahuet:~# cd alcasar.x.x.x
alcasar-Bahuet:~ /alcasar.x.x.x# sh alcasar.sh --uninstall
Vous pourrez si vous le désirer réaliser une sauvegarde de la configuration.
Quand Alcasar est complètement désinstallé, taper:
alcasar-Bahuet:~# cd alcasar.x.x.x
alcasar-Bahuet:~ /alcasar.x.x.x# sh alcasar.sh --install



Rentrer le nom de l’organisme (Sodecaf)
Rentrer le plan d’adressage IP (Choisir configuration manuelle) :
172.20.21.1/24
Rentrer le nom d’utilisateur et mot de passe (alcasar / alcasar)
Quand l’installation est terminé, il faut configurer de façon plus précise le DHCP afin
d’attribuer une plage d’adresse d’ip fixes.
alcasar-Bahuet:~# vi /etc/chilli.conf
Il se peut que le fichier soit en cour d’utilisation (message l’indiquant) dans ce cas taper
“e” pour continuer et modifier quand même.
 Rentrer en mode insertion avec la touche “i”
 Dé-commenter la ligne “statip” rajouter 172.20.21.1/29 (soit 6 ips fixes)
 Modifier la ligne dynip pour 172.20.21.10/24
 Quitter le mode insertion avec un “echap”.
 Enregistrer en tapant “:w”
 Pour quitter, effectuer un CTRL+Z
 Pour que toutes les modifications soit prisent en compte redémarrer
complètement la machine (reboot)
Thomas.G
TS2 SIO - 2012/2013
Page | 11
Lycée Bahuet
Présentation PPE - Avancement
d) Configuration de la carte réseau eth0 connecté au routeur:
alcasar-Bahuet:~# vi /etc/sysconfig/network-scripts/ifcfg-eth0
Rappel des commandes de base Vi:
 Taper “i” pour passer en mode insertion.
 “Echap” pour quitter le mode insertion.
 “:w” pour enregistrer.
Liste





des paramètres à modifier si besoin:
DEVICE=eth0 (interface - Il n’y a normalement rien à modifier)
IPADDR=172.20.20.1
NETMASK=255.255.0.0
GATEWAY=172.20.20.254
DNS1=127.0.0.1
Thomas.G
TS2 SIO - 2012/2013
Page | 12
Lycée Bahuet
Présentation PPE - Avancement
IV) Configuration du point d’accès WIFI :
Le point d’accès wifi a son DHCP de désactivé.
Elle a pour IP fixe l’adresse 172.20.21.2 et pour masque 255.255.255.0 (/24).
La passerelle utilisée et le serveur DNS ont pour adresse 172.20.21.1.
La borne Wifi est connectée sur le port eth1 du serveur ALCASAR.
Note :
Il s’agit d’une borne WIFI D-link DWL-G700AP.
Pour remettre la configuration a zero, elle dispose d’un bouton à l’arrière.
Afin de pouvoir accéder à la configuration il faut s’y connecter dessus directement en
filaire.
L’ip par défaut de la borne est: 192.168.0.50
Il faut configurer sa carte réseau afin d’être sur le même réseau de la borne:
IP Fixe: 192.168.0.1
Masque: 255.255.255.0
Nom d’utilisateur: admin(Par défaut – Le changer)
Mot de passe: Aucun (Par défaut – Le changer)
Une fois connectée dessus, allez dans les configurations réseau “Lan”:
Thomas.G
TS2 SIO - 2012/2013
Page | 13
Lycée Bahuet
Présentation PPE - Avancement
V) Test des configurations.
a)Tests serveur :
On peut s’assurer que tous les paramètres sont corrects de deux façons :
- Lors du démarrage du serveur – et donc des services – tous doivent êtres
« ok ».
-
Note : Exception pour la connexion mysql de httpd qui échoue.
Vous pouvez effectuer un « ifconfig » pour contrôler les paramètres réseaux.
Coté réseau
IPCOP
Coté réseau
clients
Thomas.G
TS2 SIO - 2012/2013
Page | 14
Lycée Bahuet
Présentation PPE - Avancement
b) Test clients :
Connectez un poste test client au réseau Alcasar, le serveur DHCP doit pouvoir attribuer
une adresse sur la plage que vous avez définie.
Un simple ipconfig permet de vérifier.
Puis il suffit d’ouvrir le navigateur :
Thomas.G
TS2 SIO - 2012/2013
Page | 15
Lycée Bahuet
Présentation PPE - Avancement
VI) Annexes
a) Fichiers configurations utilisés par Alcasar :
Il s’agit des fichiers de configurations, toutes modifications non maitrisé aura pour
conséquence immédiate le disfonctionnement du système.
Configuration du DHCP :
 /etc/chilli.conf
FreeRadius :
 /etc/raddb/radiusd.conf (Principal)
 /etc/raddb/sql.conf (Connexion bdd)
 /etc/raddb/sites-available/alcasar (Fichier dédié)
Dnsmasq :
 /etc/dnsmasq.conf (Principal)
Parefeu :
 /etc/alcasardnsfilter-available (Fichier contenant la liste complète des domaines
par classe issue de la liste noire de Toulouse)
 /bin/alcasar-bl.sh (Activer/désactiver le filtrage web)
 /bin/alcasar-iptables.sh (Fichier principal du parefeu d'Acasar)
 /etc/alcasar-iptables-local.sh (Règles personnalisées du parefeu)
Dansguardian :
 /etc/dansguardian/dansguardian.conf (Principal)
Le répertoire « list » contient tous les fichiers de filtrage – seul « blacklist » est utile.
Il contient la liste noire de Toulouse et de OSSI.
Squid :
 /etc/squid/squid.conf (Paramétré en mode proxy transparent)
Dépôts mandriva:
 /etc/urpmi/urpmi.cfg (Sources des mirroirs)
 urpmi –auto-update –auto (Permet de mettre à jour rapidement)
 urpme –auto-orphans –auto (Permet de faire le ménage…)
Thomas.G
TS2 SIO - 2012/2013
Page | 16
Lycée Bahuet
Présentation PPE - Avancement
Web Alcasar :
 /var/www/html/ (repertoire)
Note : De bonnes connaissances en PHP/Css/Html sont nécessaires pour modifier les
fichiers !
IPCOP Login page :
 https://cerbere.sodecaf.local:8443/cgi-bin/index.cgi
User : Admin
Password : Manager1 (base)
b) Sources
http://www.alcasar.net/fr/telechargement?func=fileinfo&id=40
http://www.alcasar.net/fr/telechargement?func=fileinfo&id=39
http://www.alcasar.net/fr/telechargement?func=fileinfo&id=38
http://www.alcasar.net/fr/telechargement?func=fileinfo&id=41
Thomas.G
TS2 SIO - 2012/2013
Page | 17