Scurit des Systmes d'Information et de Communication

INSTALLATION

Table des matires

1.Introduction.........................................................................................................................................................2
2.Installation...........................................................................................................................................................3
2.1.Besoins matriels.........................................................................................................................................3
2.2.Installation du systme................................................................................................................................3
2.3.Installation d'ALCASAR.............................................................................................................................6
3.Dsinstallation, rinstallation ou mise jour d'ALCASAR................................................................................8
4.Prparer une installation hors ligne ...............................................................................................................9
5.Fiche rcapitulative des paramtres d'ALCASAR..............................................................................................9

Projet : ALCASAR Auteur : Rexy avec le support de l' Alcasar team

Objet : Installation Version : 2.9
Mots cls : portail captif, contrle d'accs au rseau (Network Acces Control - NAC), Date : Mars 2015
imputabilit, traabilit, authentification

Document d'installation ALCASAR 2.9 1 /9

 1. Introduction
Ce document dcrit la procdure d'installation du portail ALCASAR. Il est complt par trois autres
documents : le document de prsentation, le document d'exploitation et la documentation technique.
Si vous possdez dj une version d'ALCASAR fonctionnelle et que vous dsirez effectuer une mise jour,
reportez-vous la documentation d'exploitation (chapitre mise jour ).
ALCASAR peut tre install sur un ordinateur standard quip de deux cartes rseau Ethernet. La premire est
connecte l'quipement du Fournisseur d'Accs Internet (FAI). La deuxime est connecte au commutateur
utilis pour desservir le rseau des stations de consultation.
Par dfaut, l'adresse IP de cette deuxime carte rseau est : 192.168.182.1/24. Cela permet de disposer d'un plan
d'adressage de classe C (254 quipements). Ce plan d'adressage est modifiable lors de l'installation. Pour tous
les quipements situs sur le rseau de consultation, ALCASAR est le serveur DHCP, le serveur DNS, le
serveur de temps et le routeur par dfaut (default gateway) . Ainsi, sur ce rseau, il ne doit y avoir aucun
autre routeur ou serveur DHCP (vrifiez bien vos points d'accs WIFI).

Exemple d'un plan d'adressage de classe C (254 quipements)

adresses IP disponibles : de 192.168.182.2 192.168.182.254 (statiques ou dynamiques)
masque de rseau : 255.255.255.0
adresses des serveurs DNS et du routeur par dfaut (default gateway) : 192.168.182.1 (adresse IP d'ALCASAR)
suffixe DNS pour les quipements en adressage fixe : localdomain

Exemple d'un plan d'adressage de classe B (65534 quipements)

Adresse IP d'ALCASAR : 172.16.0.1/16
Nombre maximum d'quipements sur le rseau de consultation : 65531
Paramtre des quipements de consultation :
adresses IP disponibles : de 172.16.0.2 172.16.255.254 (statiques ou dynamiques)
masque de rseau : 255.255.0.0
adresses des serveurs DNS et du routeur par dfaut (default gateway) : 172.16.0.1 (adresse IP d'ALCASAR)
suffixe DNS pour les quipements en adressage fixe : localdomain

Bien que cela soit possible, il est dconseill de dfinir un rseau de consultation en classe A (ex : 15.0.0.0/8). En effet, le serveur
DHCP interne d'ALCASAR devra alors rserver et grer plus de 16 millions d'adresses IP. La gestion d'un tel volume d'adresses est
trs gourmande en ressource systme et mmoire.

Document d'installation ALCASAR 2.9 2 /9

 2. Installation
L'installation du portail s'effectue en deux tapes. La premire tape est l'installation d'un systme Linux
minimaliste bas sur Mageia 4.1. La deuxime tape permet d'installer et de configurer les diffrentes briques
logicielles constituant ALCASAR.

2.1. Besoins matriels

ALCASAR n'exige qu'un PC bureautique standard possdant 2 cartes rseau et un disque dur d'une capacit de
100Go au minimum afin d'tre en mesure de stocker les fichiers journaux lis la traabilit des connexions.
Les architectures 32 bits et 64 bits sont supportes et automatiquement prises en compte. ALCASAR intgre
plusieurs systmes optionnels de filtrage (protocoles rseau, adresses IP, URL, noms de domaines et
antimalware). Si vous dcidez d'activer ces systmes de filtrage, il est recommand d'installer au moins 8 GO
de mmoire vive afin d'assurer une rapidit de traitement acceptable (ALCASAR aime la RAM ;-) ).
Cas d'une Machine Virtuelle : la taille du disque dur virtuel ne doit pas tre infrieure 25G.

2.2. Installation du systme

La procdure d'installation de ce systme est la suivante (dure estime : 6') :
rcuprez l'image ISO du DVD de Mageia4.1 double architecture (32 et 64 bits) : fichier mageia4.1-
dual-DVD.iso (1GB). Cette image ISO est disponible sur le site d'ALCASAR ainsi que sur les sites
miroirs Mageia. Par exemple :
http://www.mirrorservice.org/sites/mageia.org/pub/mageia/iso/4.1/
http://distrib-coffee.ipsl.jussieu.fr/pub/linux/Mageia/iso/4.1/
gravez cette image sur un DVD-ROM ou crez une cl USB amorable 1. Vous pouvez aussi utiliser un
disque dur externe simulant un DVD-ROM amorable (ex : zalman zm-ve300 ou 400).
modifiez les paramtres BIOS du PC afin de rgler la date, l'heure et afin de permettre l'amorage du PC
partir d'un DVD-ROM ou d'une cl USB. la fin de l'installation, modifiez une nouvelle fois les
paramtres BIOS pour limiter les possibilits d'amorage du PC au seul disque dur ;
insrez le DVD-ROM ou la cl USB, redmarrez le PC et suivez les instructions suivantes :

Messages affichs l'cran Commentaires Actions raliser

Aprs dmarrage du PC, cette page

d'accueil est prsente.

Slectionnez Install Mageia 4 .

* si le mode graphique n'apparat pas, vous devez

configurer le BIOS du PC afin d'allouer plus de 2Mo
de la mmoire partage pour la carte graphique.

Slectionnez votre langue.

1 Deux solutions permettent de crer une cl USB amorcable :

graphiquement via le logiciel unetbootin (Windows/Linux) ou isodumper (Linux) ;
en mode console sous Linux : insrez la cl et rcuprez le nom du priphrique associ via la commande fdisk -l (une cl
USB est souvent associe au priphrique /dev/sdb ou /dev/sdc ). Lancez la commande : dd if=<nom_de_l'image_iso>
of=<nom_du_priphrique_usb> bs=1M .

Document d'installation ALCASAR 2.9 3 /9

 Messages affichs l'cran Commentaires
Le partitionnement du disque dur sera
adapt au besoin d'ALCASAR (cf. tape
suivante).
Aprs avoir supprim toutes les partitions,
crez les 5 partitions suivantes :
/ : 4 Go
swap : gardez la taille propose
/tmp : 4 Go
/home : 4 Go
/var : le reste du disque dur (taille suprieure
10G, mme sur une machine virtuelle).
la fin de cette opration, et en fonction
de la taille de votre disque dur, le
partitionnement devrait ressembler cela : taille (4 Go) ainsi que son systme de
Pour ALCASAR, l'installation ne ncessite Slectionnez Aucun puis cliquer sur
pas d'autre mdia.
Document d'installation ALCASAR 2.9
Actions raliser
Acceptez le contrat de licence.
Info : ce contrat explique que les logiciels installs
sont des logiciels libres.
Slectionnez votre type de clavier.
Slectionnez Partitionnement de disque
personnalis .
Cliquez sur Supprimer toutes les
partitions .
Cliquez ensuite l'intrieur de la zone
grise du disque (sda) pour crer chaque
nouvelle partition.
Info : mise part la partition de swap , tous les
Systmes de Fichiers (SF) sont du type Journalized
FS : ext4 .
- Crez la partition racine (/). Choisissez sa
fichier (ext4). Recommencez cette tape
pour toutes les autres partitions.
- Une fois le partitionnement effectu,
cliquez sur Terminer .
Suivant .
Laissez le mdia Nonfree release activ
puis cliquez sur Suivant .
4 /9
 Messages affichs l'cran Commentaires
Slection des groupes de paquetages
installer : ALCASAR ne ncessite qu'une
installation trs minimaliste du systme.
Configuration de l'accs Internet
On ne configure pour l'instant que
l'interface connecte la box du FAI.
La deuxime interface qui est connecte au
rseau de consultation sera paramtre plus
tard, lors de l'installation d'ALCASAR.
Exemple :
Adresse IP : cette adresse doit tre dans le
mme sous-rseau que l'adresse de la passerelle
d'accs Internet (box).
Masque : 255.255.255.0
Passerelle : c'est l'adresse de la box (en gnral
192.168.1.1 pour une livebox et
192.168.0.254 pour une freebox )
DNS 1 et DNS 2 :*
Document d'installation ALCASAR 2.9
Actions raliser
Choisissez Dslectionner tous puis
cliquez sur Suivant .
Info : sous Linux, un paquetage est un fichier archive
contenant tout les constituants d'un logiciel (binaires,
fichiers d'aide, fichiers de configuration, etc.).
Slectionnez Installer les paquetages
suggrs ainsi que la documentation,
puis cliquez sur suivant .
La copie des paquetages sur le disque dur
est alors lance. Dure estime : 2'
Affectez le mot de passe au compte
root puis crez le compte sysadmin
et affectez-lui un mot de passe.
Cliquez sur Configurer de la rubrique
Rseau-ethernet du groupe Rseau et
Internet .
Slectionnez le type de connexion
Internet. Dans le cas d'une box de FAI,
choisissez Filaire (Ethernet) .
Info : ALCASAR n'a pas t test avec les autres
mthodes de connexion Internet.
Slectionnez l'interface configurer.
Conseil : choisissez l'interface avec le plus petit
index. Notez le nom de cette interface.
Info : Les noms des interfaces sont lis l'architecture
physique des PC. Ils peuvent donc tre diffrents de
la copie d'cran.
Slectionnez configuration manuelle .
Info : Bien qu'Alcasar soit compatible avec le
protocole bootp/DHCP , nous conseillons la
configuration manuelle d'un adressage fixe.
Entrez les paramtres de cette interface.
* Inscrivez les adresses des serveurs de DNS fournies
par votre FAI. Vous pouvez bien sr utiliser d'autres
serveurs DNS. Exemple :
projet libre OpenNIC (voir leur site WEB
pour les adresses les plus proches de chez vous)
projet OpenDNS (DNS1=208.67.222.222,
DNS2=208.67.220.220)
5 /9
 Messages affichs l'cran Commentaires Actions raliser
nom d'hte : laissez ce champ vide google (DNS1=8.8.8.8, DNS2=8.8.4.4).

Slectionnez uniquement Lancer la

connexion au dmarrage .

Il n'est pas ncessaire de lancer cette

Slectionnez Non
connexion ce stade

Cliquez sur Terminer .

Cliquez sur Suivant .

Les mises jour de scurit seront gres Slectionnez Non et cliquez sur
pendant l'installation d'ALCASAR. Suivant .

Cliquez sur Redmarrage .

Retirez le CDROM ou la cl USB.
L'installation est termine
Reconfigurez le BIOS afin de limiter les
possibilits d'amorage au seul disque dur.

2.3. Installation d'ALCASAR

Configuration des cartes rseau
Messages affichs l'cran Commentaires Actions raliser
Dconnectez les cbles des deux cartes
rseau.
Connectez-vous en tant que root .
Lancez le clignotement des LEDs de ethtool -p enp0s3
l'interface rseau configure
prcdemment ( enp0s3 dans notre Connectez le cble provenant de la box sur
exemple). l'interface rseau dont les LED clignotent.

Arrtez le clignotement des LEDs <Ctrl> + c

Info : remplacez enp0s3 par le nom de l'interface
rseau configurez prcdemment (cf. Page 5). Les

Document d'installation ALCASAR 2.9 6 /9

 Messages affichs l'cran Commentaires
Vrifiez que la lien est bien actif sur
l'interface configure
Effectuez la mme vrification avec la
deuxime carte et le cble provenant du
rseau de consultation.
Test de connectivit Internet
Rcupration du fichier d'installation
Ce fichier est une archive compresse nomme : alcasar-x.y.tar.gz ('x.y' correspond au numro de version
dsir). Vous pouvez le tlcharger de deux manires (cl USB ou FTP) :
via une cl USB : Rcuprez la dernire version sur le site Internet d'ALCASAR et copiez-le sur une cl
USB. Suivez la procdure suivante pour le copier sur le PC ALCASAR :
Messages affichs l'cran Commentaires
Insrez la cl USB
Affichez les informations relatives aux
supports de masse afin de rcuprer le
nom du priphrique associ votre cl.
Dans l'exemple joint, /dev/sdb1
correspond une cl de 1Go.
Crez un rpertoire et 'montez' la cl
sur celui-ci.
Copiez l'archive d'ALCASAR dans
le rpertoire /root.
Dmontez la cl USB.
Retirez-la.
par FTP : depuis le PC ALCASAR, rcuprez le fichier archive situ sur le serveur FTP :
Messages affichs l'cran Commentaires
Connectez-vous au serveur FTP avec
la commande lftp
Rcuprez le fichier
Quittez
Document d'installation ALCASAR 2.9
Actions raliser
commandes ifconfig ou ip link affiche le nom
des interfaces rseau prsentes sur votre machine.
watch ethtool enp0s3
Info : la dernire ligne affiche prsente l'tat du lien
sur la carte (Link detected <yes/no>)
Si le lien n'est pas actif, connectez le cble
sur l'autre carte. Ds que le lien est activ,
stoppez la commande l'aide de la
squence de touches : <Ctrl> + c
watch ethtool xxxxxxx
Info : ct rseau de consultation, connectez un
quipement actif de rseau (commutateur Ethernet,
CPL, AP WIFI, etc.) afin d'tre assur de la
permanence du lien mme si les stations sont teintes.
ping www.google.fr
Actions raliser
fdisk -l
Info : vous pouvez aussi afficher le journal systme
avant d'insrer la cl pour rcuprer ce nom
(journalctrl -f)
mkdir -p /media/usb
mount /dev/sdb1 /media/usb/
cp /media/usb/alcasar-* /root/
umount /media/usb
Info : remplacez sdb1 par le nom du priphrique
rcupr l'tape prcdente.
Actions raliser
lftp ftp.alcasar.net/pub
cd stable
ls
get alcasar-x.y.tar.gz
bye
7 /9
 Installation
Messages affichs l'cran Commentaires
Calculez l'empreinte numrique
'SHA256' de cette archive et
comparez-la avec celle du site WEB.
Dcompressez et extrayez cette
archive.
Positionnez-vous dans le rpertoire
d'ALCASAR et lancez le script
d'installation.
Utilisez la barre d'espace pour faire
dfiler le texte de la licence.
la fin, tapez Entre
Les tests d'accs Internet sont raliss.
L'installation d'une centaine de logiciels
(paquetages) est effectue partir
d'Internet. Dure : 3'
Entrez le nom de votre organisme (sans
espace)
Vous pouvez changer l'adresse IP
d'ALCASAR et le plan d'adressage par
dfaut du rseau de consultation
- Entrez l'identifiant et le mot de passe
d'un premier compte d'administration
d'ALCASAR.
L'installation est termine.
Le systme va tre relanc afin de
synchroniser l'ensemble des constituants
d'ALCASAR.
3. Dsinstallation, rinstallation ou mise jour d'ALCASAR
Vous pouvez dsinstaller le portail avec la commande sh alcasar.sh --uninstall . Vous vous retrouvez alors
comme si vous veniez d'installer uniquement le systme d'exploitation.
En relanant l'installation ou en lanant l'installation d'une nouvelle version sur un ALCASAR actif (cf .2), le
script vous demandera si vous voulez effectuer une mise jour.
Document d'installation ALCASAR 2.9
Actions raliser
sha256sum alcasar-x.y.tar.gz
Info : si l'empreinte numrique ne correspond pas,
tlchargez nouveau l'archive sur le site WEB. En
cas de nouveau problme, prvenez l'quipe de
dveloppement via le forum.
tar -xvf alcasar-x.y.tar.gz
cd alcasar-x.y
sh alcasar.sh -i
ALCASAR est un logiciel libre dvelopp
sous licence GPLV3.
Exemple : rasacla
Info : ce nom est obligatoire. les seuls caractres
accepts sont : [a-z][A-Z][0-9][-]
Tapez O ou N
Info : si vous tapez n , le script vous demandera
l'adresse IP d'ALCASAR et le masque de rseau au
format CIDR (ex : 172.16.0.1/16).
Info : Ce compte sert administrer ALCASAR au
moyen de l'interface graphique situe l'URL
http://alcasar. Ce n'est pas un compte usager
permettant de se connecter Internet.
Une fois le systme relanc, dmarrez un
quipement de consultation et connectez-
vous sur l'interface de gestion du portail
afin de crer vos premiers usagers
( http://alcasar ). Lisez attentivement la
documentation d'exploitation ( alcasar-
exploitation-fr.pdf ).
8 /9
 4. Prparer une installation hors ligne
La procdure suivante permet d'installer ALCASAR en mode hors ligne . Cela peut tre utile quand on
prvoit d'installer des machines ALCASAR dans une zone o l'accs Internet n'est pas encore disponible ou que
cet accs sera de dbit trs faible. Dans ce cas, il faut pouvoir gnrer l'avance un fichier archive contenant la
totalit des paquetages (RPMS). Ce fichier sera exploit en lieu et place du tlchargement Internet. La
procdure est la suivante :
prparation de l'archive des RPM : sur une machine vierge connecte Internet, installez le systme Linux
Mageia comme indiqu au 2.2 puis rcuprez et dcompressez l'archive d'ALCASAR. Dplacez-vous dans
le rpertoire des scripts cd alcasar-x.y/scripts/sbin et lancez le script ./alcasar-rpm-download.sh . Ce script va
gnrer l'archive des RPM correspondant l'architecture de la machine (32 ou 64 bits). Rcuprez cette
archive sur cl USB.
Installation hors ligne : aprs avoir install le systme, rcuprez votre archive de RPM. Dcompressez-la et
positionnez-vous dedans. Installez la totalit des RPM (urpmi no-verify-rpm *). Procdez ensuite
l'installation d'ALCASAR comme indiqu au 2.3.

5. Fiche rcapitulative des paramtres d'ALCASAR

Le fichier /root/ALCASAR-passwords.txt contient les mots de passe exploits en interne par les diffrents
modules d'ALCASAR. Il contient notamment le mot de passe de protection du chargeur systme (bootloader
GRUB ). Il peut tre consult via la commande (cat /root/ALCASAR-passwords.txt). Attention : si vous devez
entrer ce mot de passe pour modifier les paramtres du chargeur, votre clavier sera en mode qwerty .
Nom d'organisme :
Page d'authentification des usagers Cette page est prsente quand un navigateur tente de joindre un
site Internet.
Page d'accueil du portail permettant : http://alcasar
- l'accs au centre de gestion graphique ;
- la dconnexion d'un usager authentifi ;
- le changement du mot de passe usager ; Info : les possibilits du centre de gestion sont dcrites dans le document alcasar-
exploitation .
- l'installation du certificat de l'Autorit de
Certification (A.C.) dans les navigateurs.
Comptes Linux root mot de passe : .......................
sysadmin mot de passe : .......................
1er compte d'administration graphique d'ALCASAR .................... mot de passe : ...................
Paramtres rseau
@IP de l'quipement FAI (routeur) ____.____.____.____
@IP des serveurs DNS DNS1 :____.____.____.____ DNS2 :____.____.____.____
@IP d'ALCASAR (ct WAN/Internet) : ____.____.____.____/___
@IP d'ALCASAR (ct rseau de consultation) : ____.____.____.____/___

Document d'installation ALCASAR 2.9 9 /9