[ Accueil ] [ Retour
à l'article ] Sécuriser les accès à l’Intranet de Comedu avec le protocole SSL
http://www.profetice.org/comedu/article.php3?id_article=35 mardi 26 avril 2005, par Benoît Thébaud
ProblématiqueLes applications présentes dans l’Intranet de Comedu (messagerie, gestion du B2i, albums photos ...) sont théoriquement visibles seulement dans le réseau local de l’établissement. Cependant, de nombreux établissements souhaitent pouvoir ouvrir ces services sur Internet et permettre par exemple aux enseignants de consulter leur messagerie professionnelle de chez eux. Cette possibilité n’est pas techniquement difficile (ouverture et transfert du port 80 - celui du serveur web - sur le routeur) mais pose de nombreux problèmes de sécurité. Une des réponses est peut-être l’utilisation du protocole SSL. Développé à l’origine par la société Netscape Communications pour son navigateur, le protocole SSL est destiné au cryptage des données. Il permet de vérifier l’authentification, la confidentialité et l’intégrité des données échangées. Vous trouverez dans les lignes suivantes la démarche pour sécuriser le protocole http (utilisé pour l’Intranet) sur le serveur Comedu. Démarche à suivrePremière étape : Editer avec mc (par exemple) /etc/httpd/conf/httpd.conf : ligne 56, ajouter : ou copier le fichier ci-après (http.tgz) sous /etc/httpd/conf/
Deuxième étape : Editer avec mc (par exemple) /etc/httpd/conf/ssl/mod_ssl.conf ajouter à la dernière ligne : ou copier le fichier ci-après (mod_ssl.tgz) sous /etc/httpd/conf/ssl
Troisième étape : Redémarrer apache (le serveur web) : service httpd restart Ainsi, l’Intranet sera dorénavant accessible à l’adresse suivante : Quatrième étape : ouvrir sur votre routeur le port 443 et le rediriger sur l’adresse IP de votre serveur. Il est fortement recommandé de modifier le fichier /etc/httpd/conf/ssl/ssl.default-vhost.conf qui est paramétré pour ouvrir tout l’Intranet. Ainsi, pour n’autoriser que la messagerie IMP : remplacer ainsi la ligne 10 : La messagerie IMP sera donc accessible de l’extérieur à partir de l’adresse suivante : https://adresse_IP_fixe/horde/imp/ Si l’établissement ne dispose pas d’adresse IP fixe, il est possible d’utiliser les services de DNS dynamiques gratuits comme dyndns.org. Pour renforcer la sécurité, d’autres manipulations sont envisageables : créer un certificat pour ne pas utiliser le certificat de démonstration qui a de fortes chances d’être expiré et de ne pas correspondre à votre nom de domaine (fait générateur de multiples alertes en particulier sous Mozilla). Toutes les informations sur : [ Accueil ] [ Retour à l'article ] [ Haut ] |
||