Comedu, Serveur Linux de Communication

  [ Accueil ] [ Retour à l'article ]

Comedu 4 Filtrage Internet (version Debian Lenny)
http://www.profetice.org/comedu/article.php3?id_article=135

samedi 12 mars 2011, par Benoît Thébaud

Mars 2014, nouvelle image virtuelle (en fin d’article) ...

Pourquoi Comedu 4 Filtrage Internet (version Debian Lenny) ?

-  Pouvoir répondre aux obligations légales de Filtrage Internet et de Traçabilité
-  Interfacer un système de Filtrage Internet avec un Serveur de Fichiers Microsoft (Windows 2000/2003/2008) sans obliger les utilisateurs à s’authentifier plusieurs fois
-  Bénéficier d’un espace de stockage partagé à la manière d’un NAS
-  Réutiliser un PC ancien (ou une image virtuelle) pour assurer le Filtrage Internet de l’établissement.

Briques logicielles utilisées

Remarque : Le projet Comedu n’a jamais été, n’est pas et ne sera sans doute jamais une solution 100 % clés en main. Les interfaces de gestion sont toujours minimales car la philosophie du projet n’est pas de réaliser un "cliquodrome" répondant à tous les cas de figures mais de construire un serveur de base qui demande quelques connaissances réseaux et Linux pour s’adapter à une utilisation personnalisée des briques logicielles installées ou installables. Ces connaissances sont partagées pendant les formations, les regroupements d’utilisateurs ou la liste de diffusion.

-  Filtrage Internet : Squid + Squidguard/DansGuardian + Webmin

  • Authentification sans demande de login/mdp à travers l’utilisation du protocole Ident (installé en service sur les stations intégrées au domaine Microsoft)
  • Filtrage sur utilisateurs avec statut élève
  • Pas de filtrage sur utilisateurs avec statut enseignant (configurable)
  • Traçabilité individuelle des connexions Internet

-  Le proxy Squid fait appel au service ident sur la station cliente pour identifier d’où vient la requête. Cette méthode ne devrait être utilisée que dans le cadre de stations clientes protégées qui ne permettent pas de contourner cette authentification (pas de possibilité de gérer les services lancés ...etc).

-  Il est aussi possible d’interfacer le proxy Squid avec l’Active Directory d’un serveur MS mais cette méthode est difficilement automatisable (en fonction des versions respectives de Squid et de Windows).

Installation de la distribution linux Debian Lenny

Cette version s’installe comme la version 3 sur une Debian Lenny minimale. Pour ceci :

-  télécharger l’image iso (150 Mo) de la version Netinst (installation du système de base puis récupération du reste des programmes sur Internet) :

-  installer seulement le système standard
-  vous pouvez suivre les consignes illustrées de ce site sauf pour l’étape Sélection de logiciels (choisir Système Standard)
-  la version Debian Lenny est maintenant classée dans la catégorie Archive, ce qui oblige à modifier manuellement la source des paquets (logiciels) à utiliser. Ainsi, lors de l’étape "Configurer l’outil de gestion des paquets", suivre ces consignes :

  • choisir Saisie Manuelle
JPG - 61.4 ko
paquet 1
  • remplacer ftp.fr.debian.org par archive.debian.org
JPG - 48.7 ko
Paquet 2
  • laisser /debian/ dans l’écran suivant
JPG - 35.7 ko
Paquet 3
  • ignorer l’alerte concernant le site security.debian.org et continuer.
JPG - 56.4 ko
Paquet 4

-  ne pas choisir comme utilisateur les logins admin, prof ou eleve qui seront créés par la suite

Récupération du programme d’installation de Comedu 4 (40 Mo)

-  en local sur le serveur (connecté comme root) avec le programme wget :

wget http://www.profetice.org/comedu/comedu4/comedu4lenny.tgz

Installation de Comedu 4 Filtrage Internet

-  décompresser le fichier

tar xzvf comedu4lenny.tgz

-  se placer dans le dossier comedu4lenny

cd comedu4lenny

-  imposer une adresse IP fixe au serveur :

sh reseau.sh

-  lancer le script d’installation

sh install.sh

Post-Installation

-  Sur une station du réseau, saisir dans un navigateur l’adresse de l’outil Webmin et se connecter comme root :
https://Adresse_IP_Serveur_Comedu:10000

-  Webmin - Configuration de Webmin - Modules Webmin - Install from - À partir d’un fichier local (dossier webmin à la racine du serveur)
-  Installer les modules Dans Guardian (dgwebmin-0.7.1.wbm) puis SquidGuard (squidguard.wbm.gz)

-  Pour imposer le filtrage aux stations clientes (quel que soit le mode filtrage utilisé), paramétrer l’utilisation d’un proxy dans tous les navigateurs (Exemple pour Mozilla Firefox : Outils - Options - Avancé - Réseau - Paramètres - Configuration manuelle du proxy - Proxy http: Adresse_IP_Serveur_Comedu - Port : 3128 - Tous les protocoles - Pas de proxy pour Adresse_IP_Serveur_Comedu)

Utilisation comme serveur de filtrage anonyme

Par défaut, cette version de Comedu est paramétrée pour offrir un filtrage internet (basé sur les listes de Toulouse) anonyme, c’est à dire offrant simplement une traçabilité par adresse IP.

Utilisation comme serveur de filtrage secondaire d’un serveur Scribe

Certains établissements ne souhaitent pas héberger le filtrage Internet sur le serveur de fichiers Scribe comme le propose la version complète de Comedu 4. Cette version "légère" peut être installée "à côté" d’un serveur Scribe et peut utiliser la base (ldap) des utilisateurs de ce dernier. Pour ce faire,

-  En console sur le serveur, connecté comme root :

  • sh internet-ldap-sg.sh

On vous demandera l’adresse IP su serveur Scribe.

Utilisation comme serveur de filtrage avec une base locale d’utilisateurs

Pour ce faire,

-  En console sur le serveur, connecté comme root :

  • sh internet-pam.sh

-  Pour créer les utilisateurs, utiliser Webmin, Système, Utilisateurs et groupes, Créer un nouvel utilisateur, Mot de passe normal. Une authentification est alors demandée lors de l’utilisation des navigateurs avec une traçabilité par identifiant.

-  Pour créer des utilisateurs en lot, s’inspirer des deux fichiers suivants : utilisateurs_webmin.xls (fichier excel à compléter), utilisateurs_webmin.csv (le fichier à injecter, attention le séparateur est le symbole :)

Excel - 19 ko
Fichier d’aide à la création utilisateurs webmin
Zip - 200 octets
Fichier utilisateurs Webmin

-  Webmin, Système, Utilisateurs et groupes, Créer, modifier et supprimer des utilisateurs d’un fichier de traitement par lots

Utilisation comme serveur de filtrage en complément d’un serveur de fichiers (Windows ou Linux) sans ré-authentification et traçabilité individuelle

Pour ce faire,

-  En console sur le serveur, connecté comme root :

  • sh internet-ident-sg.sh

Le principe est de créer une liste avec les identifiants utilisés sur le serveur de fichiers.

-  Création des utilisateurs

Le filtrage Internet utilise deux fichiers texte qui sont à éditer en local sur le serveur ou à partir d’une station Windows avec le logiciel Winscp (Host Name : Adresse_IP_Serveur_Comedu, User Name : root). Il est préférable d’utiliser comme éditeur de texte Notepad++ pour respecter le format linux de ces fichiers. On trouvera ces différents logiciels en version portable dans le partage du serveur (\\Adresse_IP_Serveur_Scribe\public\comedu). On peut exporter ces utilisateurs de l’Active Directory d’un serveur Windows (cf capture d’écran suivante)

JPG - 145.3 ko
Utilisateurs AD

-  /root/filtrage/users.txt

Identifiants (login) des utilisateurs autorisés à utiliser Internet

-  /root/filtrage/profs.txt

Identifiants (login)des enseignants qui ne sont pas filtrés

Après chaque modification, il faut demander au programme Squid de relire sa configuration :

  • en mode console sur le serveur connecté comme root :
    squid -k reconfigure
  • à travers Webmin dans un navigateur : https://Adresse_IP_Serveur_Scribe:10000
    Menu Comedu Commandes - Commandes personnalisées
JPG - 114.7 ko

Cliquer sur Mise a jour Filtrage après synchronisation de comptes ou de modification de filtrage.

-  par défaut, le fichier users.txt contient les identifiants admin, prof et eleve et le fichier profs.tx contient admin et prof. Contenus à adapter.

Il est bien sur possible de discriminer beaucoup plus finement le filtrage en modifiant le fichier de configuration de SquidGuard et/ou en utilisant son module dans Webmin.

-  Conseils d’utilisations du Filtrage Internet

Modes de Filtrage :

-  En mode graphique à travers webmin : https://Adresse_IP_Serveur_Scribe:10000
Menu Comedu Commandes - Commandes personnalisées

JPG - 114.7 ko

Cliquer sur Mise a jour Filtrage après synchronisation de comptes ou de modification de filtrage.

-  En console sur le serveur, connecté comme root :

  • Filtrage avec Authentification Ident et Filtrage DansGuardian
    sh internet-ident-dg.sh
  • Filtrage avec Authentification Ident et Filtrage SquidGuard
    sh internet-ident-sg.sh

-  Sur les stations clientes :

  • Imposer l’utilisation d’un proxy dans tous les navigateurs (Exemple pour Mozilla Firefox : Outils - Options - Avancé - Réseau - Paramètres - Configuration manuelle du proxy - Proxy http: Adresse_IP_Serveur_Comedu - Port : 3128 - Tous les protocoles - Pas de proxy pour Adresse_IP_Serveur_Comedu)
  • Installer un serveur Ident comme celui de la société Rndware (produit gratuit). Vous trouverez ci-après un package MSI qui installe ce logiciel et le lance automatiquement au démarrage de l’ordinateur.
Zip - 427 ko
Package installation IdentServer

-  Documentation sur l’utilisation du protocole Ident :

  • wiki de DansGuardian
  • utilitaire Windows qui permet de simuler une authentification ident (lancer identd -u login) :
Zip - 31.7 ko
Utilitaire Ident
  • utilitaire Windows qui permet de tester le nom de l’utilisateur renvoyé par ident (lancer identc.exe localhost)
Zip - 34.9 ko
Test utilisateur Ident

Utilisation du Serveur de Fichiers

-  Rechercher à travers le réseau le partage \\Adresse_IP_Serveur_Scribe\public
-  le partage est public (sans authentification) et limité par la taille du disque dur
-  il est situé physiquement dans /home/public
-  pour le désactiver, en mode console sur le serveur connecté comme root :
/etc/init.d/samba stop

Remarques techniques

-  Le filtrage utilise la liste noire de Toulouse. Utiliser le groupe Interdit pour ajouter un domaine non souhaité et le groupe Autorisé pour imposer un domaine interdit initialement par la liste noire.
-  Les modules SguidGuard (Filtrage Internet) et Squid Report Generator (Sarg, journaux de connexion Internet) sont accessibles dans Webmin dans le menu Comedu
-  Un petit bug dans le module SquidGuard de Webmin oblige à recourir aux manipulations suivantes : Après la suppression de domaines dans les groupes Autorisé ou Interdit (toujours laisser au moins un domaine), utiliser dans Webmin le module Autres - Commandes Personnalisées.

Image Virtuelle de Comedu 4 Filtrage Internet

Dans cet article ...


[ Accueil ] [ Retour à l'article ] [ Haut ]