mardi 26 avril 2005, par Benoît Thébaud

Problématique

Les applications présentes dans l’Intranet de Comedu (messagerie, gestion du B2i, albums photos ...) sont théoriquement visibles seulement dans le réseau local de l’établissement.

Cependant, de nombreux établissements souhaitent pouvoir ouvrir ces services sur Internet et permettre par exemple aux enseignants de consulter leur messagerie professionnelle de chez eux.

Cette possibilité n’est pas techniquement difficile (ouverture et transfert du port 80 - celui du serveur web - sur le routeur) mais pose de nombreux problèmes de sécurité. Une des réponses est peut-être l’utilisation du protocole SSL. Développé à l’origine par la société Netscape Communications pour son navigateur, le protocole SSL est destiné au cryptage des données. Il permet de vérifier l’authentification, la confidentialité et l’intégrité des données échangées.

Vous trouverez dans les lignes suivantes la démarche pour sécuriser le protocole http (utilisé pour l’Intranet) sur le serveur Comedu.

Démarche à suivre

Première étape :

Editer avec mc (par exemple) /etc/httpd/conf/httpd.conf :

  ligne 56, ajouter :
Loadmodule ssl_module extramodules/libssl.so
  ligne 99, ajouter :
AddModule mod_ssl.c
  ligne 241, ajouter :
Include conf/ssl/mod_ssl.conf

ou

  copier le fichier ci-après (http.tgz) sous /etc/httpd/conf/
  sauvegarder le fichier httpd.conf (cp httpd.conf httpd.conf.sauv)
  décompresser le fichier http.tgz (tar xzvf http.tgz)
  éditer httpd.conf et remplacer 192.168.1.165 par l’adresse IP de votre serveur

httpd.conf

Deuxième étape :

Editer avec mc (par exemple) /etc/httpd/conf/ssl/mod_ssl.conf

  ajouter à la dernière ligne :
Include conf/ssl/ssl.default-vhost.conf

ou

  copier le fichier ci-après (mod_ssl.tgz) sous /etc/httpd/conf/ssl
  sauvegarder le fichier mod_ssl.conf (cp mod_ssl.conf mod_ssl.conf.sauv)
  décompresser le fichier mod_ssl.tgz (tar xzvf mod_ssl.tgz)

mod_ssl.conf

Troisième étape :

Redémarrer apache (le serveur web) : service httpd restart

Ainsi, l’Intranet sera dorénavant accessible à l’adresse suivante :
https://adresseIP_serveur_comedu
Confirmer les demandes de validation et remarquer le cadenas figurant en bas de votre navigateur indiquant le cryptage de la communication.

Quatrième étape :

  ouvrir sur votre routeur le port 443 et le rediriger sur l’adresse IP de votre serveur.

Il est fortement recommandé de modifier le fichier /etc/httpd/conf/ssl/ssl.default-vhost.conf qui est paramétré pour ouvrir tout l’Intranet.

Ainsi, pour n’autoriser que la messagerie IMP :

  remplacer ainsi la ligne 10 :
DocumentRoot /var/www/html/horde/imp
  créer ce lien symbolique :
ln -s /var/www/html/horde /var/www/html/horde/imp/

La messagerie IMP sera donc accessible de l’extérieur à partir de l’adresse suivante :

  https://adresse_IP_fixe/horde/imp/

Si l’établissement ne dispose pas d’adresse IP fixe, il est possible d’utiliser les services de DNS dynamiques gratuits comme dyndns.org.

Pour renforcer la sécurité, d’autres manipulations sont envisageables :

  créer un certificat pour ne pas utiliser le certificat de démonstration qui a de fortes chances d’être expiré et de ne pas correspondre à votre nom de domaine (fait générateur de multiples alertes en particulier sous Mozilla). Toutes les informations sur :
http://guides.ovh.net/InstallsiteSSL/
  mettre à jour la version d’open-ssl présente dans Comédu
  acheter un certificat "officiel".
  ... etc.