Accueil Contribuer Plan du site Profetice.org


 
Sécuriser les accès à l’Intranet de Comedu avec le protocole SSL


mardi 26 avril 2005, par Benoît Thébaud

Problématique

Les applications présentes dans l’Intranet de Comedu (messagerie, gestion du B2i, albums photos ...) sont théoriquement visibles seulement dans le réseau local de l’établissement.

Cependant, de nombreux établissements souhaitent pouvoir ouvrir ces services sur Internet et permettre par exemple aux enseignants de consulter leur messagerie professionnelle de chez eux.

Cette possibilité n’est pas techniquement difficile (ouverture et transfert du port 80 - celui du serveur web - sur le routeur) mais pose de nombreux problèmes de sécurité. Une des réponses est peut-être l’utilisation du protocole SSL. Développé à l’origine par la société Netscape Communications pour son navigateur, le protocole SSL est destiné au cryptage des données. Il permet de vérifier l’authentification, la confidentialité et l’intégrité des données échangées.

Vous trouverez dans les lignes suivantes la démarche pour sécuriser le protocole http (utilisé pour l’Intranet) sur le serveur Comedu.

Démarche à suivre

Première étape :

Editer avec mc (par exemple) /etc/httpd/conf/httpd.conf :

-  ligne 56, ajouter :
Loadmodule ssl_module extramodules/libssl.so
-  ligne 99, ajouter :
AddModule mod_ssl.c
-  ligne 241, ajouter :
Include conf/ssl/mod_ssl.conf

ou

-  copier le fichier ci-après (http.tgz) sous /etc/httpd/conf/
-  sauvegarder le fichier httpd.conf (cp httpd.conf httpd.conf.sauv)
-  décompresser le fichier http.tgz (tar xzvf http.tgz)
-  éditer httpd.conf et remplacer 192.168.1.165 par l’adresse IP de votre serveur

TGZ - 3 ko
httpd.conf

Deuxième étape :

Editer avec mc (par exemple) /etc/httpd/conf/ssl/mod_ssl.conf

-  ajouter à la dernière ligne :
Include conf/ssl/ssl.default-vhost.conf

ou

-  copier le fichier ci-après (mod_ssl.tgz) sous /etc/httpd/conf/ssl
-  sauvegarder le fichier mod_ssl.conf (cp mod_ssl.conf mod_ssl.conf.sauv)
-  décompresser le fichier mod_ssl.tgz (tar xzvf mod_ssl.tgz)

TGZ - 1.1 ko
mod_ssl.conf

Troisième étape :

Redémarrer apache (le serveur web) : service httpd restart

Ainsi, l’Intranet sera dorénavant accessible à l’adresse suivante :
https://adresseIP_serveur_comedu
Confirmer les demandes de validation et remarquer le cadenas figurant en bas de votre navigateur indiquant le cryptage de la communication.

Quatrième étape :

-  ouvrir sur votre routeur le port 443 et le rediriger sur l’adresse IP de votre serveur.

Il est fortement recommandé de modifier le fichier /etc/httpd/conf/ssl/ssl.default-vhost.conf qui est paramétré pour ouvrir tout l’Intranet.

Ainsi, pour n’autoriser que la messagerie IMP :

-  remplacer ainsi la ligne 10 :
DocumentRoot /var/www/html/horde/imp
-  créer ce lien symbolique :
ln -s /var/www/html/horde /var/www/html/horde/imp/

La messagerie IMP sera donc accessible de l’extérieur à partir de l’adresse suivante :

-  https://adresse_IP_fixe/horde/imp/

Si l’établissement ne dispose pas d’adresse IP fixe, il est possible d’utiliser les services de DNS dynamiques gratuits comme dyndns.org.

Pour renforcer la sécurité, d’autres manipulations sont envisageables :

-  créer un certificat pour ne pas utiliser le certificat de démonstration qui a de fortes chances d’être expiré et de ne pas correspondre à votre nom de domaine (fait générateur de multiples alertes en particulier sous Mozilla). Toutes les informations sur :
http://guides.ovh.net/InstallsiteSSL/
-  mettre à jour la version d’open-ssl présente dans Comédu
-  acheter un certificat "officiel".
-  ... etc.

Documents liés
  httpd.conf
TGZ - 3 ko
  mod_ssl.conf
TGZ - 1.1 ko
 

[ Imprimer cet article ] [ Haut ] []

 

 
  Serveur Linux Comedu Comedu AD (Active Directory)

Comedu 3

Comedu 4

Comedu Réseau

Comedu Ecole

Comedu 5 AD (Bêta)

Liste de diffusion

Documentation

Formations, Animations Informatiques

Entreprises partenaires

 

 
Dans la même rubrique

Autres articles :
Quelques briques logicielles pour transformer Comedu en ENT
Installer un logiciel de suivi du B2i (GiBii) sur ComEdu
Lire les courriers HTML à travers le Webmail de Comédu
Installer Claroline, Plate-forme de e-Learning
Installer un logiciel de suivi du B2i (B2i Scolaire) sur ComEdu
Envoyer des résultats de QCM Hot Potatoes par courriel
Installer un agenda individuel (webcalendar)
Installer une vidéothèque flash sur Comedu (2 et 3)
Installer le webmail Twig sur Comédu
Créer des alias de courrier



[ Haut ]