[ Accueil ] [ Retour
à l'article ]
Comedu 4 Filtrage Internet (version Debian Lenny)
http://www.profetice.org/comedu/article.php3?id_article=135
samedi 12 mars 2011, par Benoît Thébaud
Mars 2014, nouvelle image virtuelle (en fin d’article) ...
Pourquoi Comedu 4 Filtrage Internet (version Debian Lenny) ?
 Pouvoir répondre aux obligations légales de Filtrage Internet et de Traçabilité
Interfacer un système de Filtrage Internet avec un Serveur de Fichiers Microsoft (Windows 2000/2003/2008) sans obliger les utilisateurs à s’authentifier plusieurs fois
Bénéficier d’un espace de stockage partagé à la manière d’un NAS
Réutiliser un PC ancien (ou une image virtuelle) pour assurer le Filtrage Internet de l’établissement.
Briques logicielles utilisées
Remarque : Le projet Comedu n’a jamais été, n’est pas et ne sera sans doute jamais une solution 100 % clés en main. Les interfaces de gestion sont toujours minimales car la philosophie du projet n’est pas de réaliser un "cliquodrome" répondant à tous les cas de figures mais de construire un serveur de base qui demande quelques connaissances réseaux et Linux pour s’adapter à une utilisation personnalisée des briques logicielles installées ou installables. Ces connaissances sont partagées pendant les formations, les regroupements d’utilisateurs ou la liste de diffusion.
Filtrage Internet : Squid + Squidguard/DansGuardian + Webmin - Authentification sans demande de login/mdp à travers l’utilisation du protocole Ident (installé en service sur les stations intégrées au domaine Microsoft)
- Filtrage sur utilisateurs avec statut élève
- Pas de filtrage sur utilisateurs avec statut enseignant (configurable)
- Traçabilité individuelle des connexions Internet
Le proxy Squid fait appel au service ident sur la station cliente pour identifier d’où vient la requête. Cette méthode ne devrait être utilisée que dans le cadre de stations clientes protégées qui ne permettent pas de contourner cette authentification (pas de possibilité de gérer les services lancés ...etc).
Il est aussi possible d’interfacer le proxy Squid avec l’Active Directory d’un serveur MS mais cette méthode est difficilement automatisable (en fonction des versions respectives de Squid et de Windows).
Installation de la distribution linux Debian Lenny
Cette version s’installe comme la version 3 sur une Debian Lenny minimale. Pour ceci :
télécharger l’image iso (150 Mo) de la version Netinst (installation du système de base puis récupération du reste des programmes sur Internet) :
installer seulement le système standard
vous pouvez suivre les consignes illustrées de ce site sauf pour l’étape Sélection de logiciels (choisir Système Standard)
la version Debian Lenny est maintenant classée dans la catégorie Archive, ce qui oblige à modifier manuellement la source des paquets (logiciels) à utiliser. Ainsi, lors de l’étape "Configurer l’outil de gestion des paquets", suivre ces consignes : 
paquet 1
- remplacer ftp.fr.debian.org par archive.debian.org
Paquet 2
- laisser /debian/ dans l’écran suivant
Paquet 3
- ignorer l’alerte concernant le site security.debian.org et continuer.
Paquet 4
ne pas choisir comme utilisateur les logins admin, prof ou eleve qui seront créés par la suite
Récupération du programme d’installation de Comedu 4 (40 Mo)
en local sur le serveur (connecté comme root) avec le programme wget :
wget http://www.profetice.org/comedu/comedu4/comedu4lenny.tgz
Installation de Comedu 4 Filtrage Internet
décompresser le fichier
tar xzvf comedu4lenny.tgz
se placer dans le dossier comedu4lenny
cd comedu4lenny
imposer une adresse IP fixe au serveur :
sh reseau.sh
lancer le script d’installation
sh install.sh
Post-Installation
Sur une station du réseau, saisir dans un navigateur l’adresse de l’outil Webmin et se connecter comme root :
https://Adresse_IP_Serveur_Comedu:10000
Webmin - Configuration de Webmin - Modules Webmin - Install from - À partir d’un fichier local (dossier webmin à la racine du serveur)
Installer les modules Dans Guardian (dgwebmin-0.7.1.wbm) puis SquidGuard (squidguard.wbm.gz)
Pour imposer le filtrage aux stations clientes (quel que soit le mode filtrage utilisé), paramétrer l’utilisation d’un proxy dans tous les navigateurs (Exemple pour Mozilla Firefox : Outils - Options - Avancé - Réseau - Paramètres - Configuration manuelle du proxy - Proxy http: Adresse_IP_Serveur_Comedu - Port : 3128 - Tous les protocoles - Pas de proxy pour Adresse_IP_Serveur_Comedu)
Utilisation comme serveur de filtrage anonyme
Par défaut, cette version de Comedu est paramétrée pour offrir un filtrage internet (basé sur les listes de Toulouse) anonyme, c’est à dire offrant simplement une traçabilité par adresse IP.
Utilisation comme serveur de filtrage secondaire d’un serveur Scribe
Certains établissements ne souhaitent pas héberger le filtrage Internet sur le serveur de fichiers Scribe comme le propose la version complète de Comedu 4. Cette version "légère" peut être installée "à côté" d’un serveur Scribe et peut utiliser la base (ldap) des utilisateurs de ce dernier.
Pour ce faire,
En console sur le serveur, connecté comme root : On vous demandera l’adresse IP su serveur Scribe.
Utilisation comme serveur de filtrage avec une base locale d’utilisateurs
Pour ce faire,
En console sur le serveur, connecté comme root : Pour créer les utilisateurs, utiliser Webmin, Système, Utilisateurs et groupes, Créer un nouvel utilisateur, Mot de passe normal. Une authentification est alors demandée lors de l’utilisation des navigateurs avec une traçabilité par identifiant.
Pour créer des utilisateurs en lot, s’inspirer des deux fichiers suivants : utilisateurs_webmin.xls (fichier excel à compléter), utilisateurs_webmin.csv (le fichier à injecter, attention le séparateur est le symbole :)
Fichier d’aide à la création utilisateurs webmin
Fichier utilisateurs Webmin
Webmin, Système, Utilisateurs et groupes, Créer, modifier et supprimer des utilisateurs d’un fichier de traitement par lots
Utilisation comme serveur de filtrage en complément d’un serveur de fichiers (Windows ou Linux) sans ré-authentification et traçabilité individuelle
Pour ce faire,
En console sur le serveur, connecté comme root : Le principe est de créer une liste avec les identifiants utilisés sur le serveur de fichiers.
Création des utilisateurs
Le filtrage Internet utilise deux fichiers texte qui sont à éditer en local sur le serveur ou à partir d’une station Windows avec le logiciel Winscp (Host Name : Adresse_IP_Serveur_Comedu, User Name : root). Il est préférable d’utiliser comme éditeur de texte Notepad++ pour respecter le format linux de ces fichiers. On trouvera ces différents logiciels en version portable dans le partage du serveur (\\Adresse_IP_Serveur_Scribe\public\comedu).
On peut exporter ces utilisateurs de l’Active Directory d’un serveur Windows (cf capture d’écran suivante)
Utilisateurs AD
/root/filtrage/users.txt
Identifiants (login) des utilisateurs autorisés à utiliser Internet
/root/filtrage/profs.txt
Identifiants (login)des enseignants qui ne sont pas filtrés
Après chaque modification, il faut demander au programme Squid de relire sa configuration : - en mode console sur le serveur connecté comme root :
squid -k reconfigure - à travers Webmin dans un navigateur :
https://Adresse_IP_Serveur_Scribe:10000
Menu Comedu Commandes - Commandes personnalisées
Cliquer sur Mise a jour Filtrage après synchronisation de comptes ou de modification de filtrage.
par défaut, le fichier users.txt contient les identifiants admin, prof et eleve et le fichier profs.tx contient admin et prof. Contenus à adapter.
Il est bien sur possible de discriminer beaucoup plus finement le filtrage en modifiant le fichier de configuration de SquidGuard et/ou en utilisant son module dans Webmin.
Conseils d’utilisations du Filtrage Internet
Modes de Filtrage :
En mode graphique à travers webmin :
https://Adresse_IP_Serveur_Scribe:10000
Menu Comedu Commandes - Commandes personnalisées
Cliquer sur Mise a jour Filtrage après synchronisation de comptes ou de modification de filtrage.
En console sur le serveur, connecté comme root : - Filtrage avec Authentification Ident et Filtrage DansGuardian
sh internet-ident-dg.sh
- Filtrage avec Authentification Ident et Filtrage SquidGuard
sh internet-ident-sg.sh
Sur les stations clientes : - Imposer l’utilisation d’un proxy dans tous les navigateurs (Exemple pour Mozilla Firefox : Outils - Options - Avancé - Réseau - Paramètres - Configuration manuelle du proxy - Proxy http: Adresse_IP_Serveur_Comedu - Port : 3128 - Tous les protocoles - Pas de proxy pour Adresse_IP_Serveur_Comedu)
- Installer un serveur Ident comme celui de la société Rndware (produit gratuit). Vous trouverez ci-après un package MSI qui installe ce logiciel et le lance automatiquement au démarrage de l’ordinateur.
Package installation IdentServer
Documentation sur l’utilisation du protocole Ident : - wiki de DansGuardian
- utilitaire Windows qui permet de simuler une authentification ident (lancer identd -u login) :
Utilitaire Ident
- utilitaire Windows qui permet de tester le nom de l’utilisateur renvoyé par ident (lancer identc.exe localhost)
Test utilisateur Ident
Utilisation du Serveur de Fichiers
Rechercher à travers le réseau le partage \\Adresse_IP_Serveur_Scribe\public
le partage est public (sans authentification) et limité par la taille du disque dur
il est situé physiquement dans /home/public
pour le désactiver, en mode console sur le serveur connecté comme root :
/etc/init.d/samba stop
Remarques techniques
Le filtrage utilise la liste noire de Toulouse. Utiliser le groupe Interdit pour ajouter un domaine non souhaité et le groupe Autorisé pour imposer un domaine interdit initialement par la liste noire.
Les modules SguidGuard (Filtrage Internet) et Squid Report Generator (Sarg, journaux de connexion Internet) sont accessibles dans Webmin dans le menu Comedu
Un petit bug dans le module SquidGuard de Webmin oblige à recourir aux manipulations suivantes : Après la suppression de domaines dans les groupes Autorisé ou Interdit (toujours laisser au moins un domaine), utiliser dans Webmin le module Autres - Commandes Personnalisées.
Image Virtuelle de Comedu 4 Filtrage Internet
Dans cet article ...
[ Accueil ]
[ Retour à l'article ]
[ Haut ]
|
Site développé avec 