Installation et configuration de Vulture
Lundi 2 février 2009
Tables des matières
A. Informations (Page. 3/15) B. Installation (Page. 3/15)
1- Téléchargement des paquets nécessaires.
2- Installation des dépendances
3- Installation des paquets téléchargés précédemment
4- Désactivation de Selinux et attribution des droits sudo 5- Il faut commenter cette ligne dans /etc/sudoers
6- Redémarrage de Vulture
7- Cette étape indique comment faire en sorte d'avoir accès à
l'administration de vulture de n'importe où. Par défaut, Vulture n'écoute qu'en local (127.0.0.1).
8- Redémarrage de Vulture
9- Copie de fichier pour modifier l'interface.
10- Installation terminée.
C. Configuration (Page. 5/15)
D. SSL (Page. 15/15)
A. Informations
Les travaux de ce document ont été réalisés sur une Redhat Entreprise 5.2 (noyau 2.6.18-92.el5 #1 SMP). Toutefois, il ne devrait pas être difficile de suivre ces instructions pour une autre distribution.
Testé sous : – RHEL 5.2 – CentOS 5
B. Installation
1- Téléchargement des paquets nécessaires.
Information :
Pour des problèmes de mandataire (proxy) avec wget, créez un fichier .wgetrc à la racine de votre compte, puis remplissez-le comme ceci (en modifiant correctement) :
http_proxy = http://compte:motdepasse@adresse:port/
use_proxy = on wait = 15
Commandes :
# wget http://vulture.open-source.fr/download/RPMS/redhat/5/INTRINsec- common-1.7-prefork.i386.rpm
# wget http://vulture.open-source.fr/download/RPMS/noarch/vulture-1.99- 3.noarch.rpm
2- Installation des dépendances Commandes :
# yum install libtool perl-HTML-Parser
3- Installation des paquets téléchargés précédemment Commandes :
# rpm -i INTRINsec-common-1.7-prefork.i386.rpm
# rpm -i vulture-1.99-3.noarch.rpm
Résultats :
Generating a 1024 bit RSA private key ...++++++
...++++++
writing new private key to '/opt/INTRINsec/vulture/conf/server.key' ---
Starting vulture: httpd: Syntax error on line 10 of
/opt/INTRINsec/vulture/conf/httpd.conf: Cannot load /opt/INTRINsec/
httpd/modules/
libphp5.so into server: /opt/INTRINsec/httpd/modules/libphp5.so: cannot restore
segment prot after reloc: Permission denied [ OK ]
4- Désactivation de Selinux et attribution des droits sudo
# /usr/sbin/setenforce 0
# echo "apache ALL=NOPASSWD:/opt/INTRINsec/httpd/bin/httpd" >>/etc/sudoers
Vous pouvez désactiver SELinux pour de bon, car la commande ci-dessus ne désactive pas SELinux pour le prochain redémarrage.
Il suffit d'éditer le fichier /etc/selinux/config et de remplacer la ligne SELINUX=enforcing par SELINUX=disabled .
5- Il faut commenter cette ligne dans /etc/sudoers
Defaults requiretty
6- Redémarrage de Vulture Commandes :
# /etc/init.d/vulture restart
Résultats :
Stopping vulture: [ OK ]
Starting vulture: httpd: Could not reliably determine the server's fully qualified domain name, using 127.0.0.1 for ServerName [ OK ]
7- Cette étape indique comment faire en sorte d'avoir accès à
l'administration de vulture de n'importe où. Par défaut, Vulture n'écoute qu'en local (127.0.0.1).
Pour ce faire, il faut éditer le fichier:
/opt/INTRINsec/vulture/conf/httpd.conf Commandes :
# vi /opt/INTRINsec/vulture/conf/httpd.conf
Modifications :
Listen *:9090
<Virtualhost *:9090>
8- Redémarrage de Vulture Commandes :
# /etc/init.d/vulture restart
9- Copie de fichier pour modifier l'interface.
Il faut remplacer et/ou copier les fichiers suivant dans les dossiers indiqués :
ResponseHandler.pm → /opt/INTRINsec/lib/Vulture/
default.tpl → /opt/INTRINsec/vulture/conf/
sso_default.tpl → /opt/INTRINsec/vulture/conf/
unavailable.tpl → /opt/INTRINsec/vulture/conf/
bottom_m1_2_fond.png → /opt/INTRINsec/vulture/conf/static/
top_m1_2_fond.png → /opt/INTRINsec/vulture/conf/static/
Les fichiers sont livrés avec cette documentation (pièces jointes).
10- Installation terminée.
L'accès à vulture se fait via l'adresse suivante dans un navigateur :
https://votreipounomdeserveur:9090/
C. Configuration
IMPORTANT ! Il ne faut pas oublier de vérifier après chaque modifications si il faut redémarrer les interfaces. Il faut aller dans « Interfaces » et cliquer sur l'icône avec les doubles flèches vertes si elles
apparaissent.
1- Connexion. Par défaut, le compte admin avec le mot de passe admin.
2- La page « utilisateurs » s'ouvre par défaut. Cette section sert à créer/modifier/supprimer des utilisateurs dans la base SQLite de Vulture.
Ils peuvent être utilisés pour s'authentifier sur le portail Vulture.
L'icône jaune dans la colonne « attributs » indique que le compte est un compte administrateur de Vulture.
3- La première chose à faire est de configurer une interfaces. La plupart du temps, une seule interface suffit mais plusieurs sont possibles.
Une interface peut se traduire par un processus Apache qui écoute sur l'adresse et le port indiqués.
Il faut cliquer donc sur « Interfaces » puis, sur la droite, sur
« Ajouter ».
Il suffit de remplir les champs correctement en suivant ces directives :
− Description: Un nom pour cette interface.
− Adresse IP: Adresse ip sur laquelle écouter, par exemple l'adresse du serveur.
− Port: Port sur lequel écouter, par exemple 80 si aucun autre service n'écoute sur ce port, sinon tout autre port peut faire l'affaire.
− Configurations mod_log: [Défaut].
Il y a la possibilité de configurer le portail SSO, c'est à dire qu'une liste des applications auquels l'utilisateurs a le droits d'accès s'affichera (contenu dans le nom de domaine de l'url, voir plus bas l'explication du fonctionnement de Vulture) si une certaine case à cocher est cochée (voir étape 4).
Pour ce faire, il suffit de cliquer à droite sur « Activer le portail SSO ».
Un nouveau champs apparaît. Il suffit d'y mettre soit l'adresse IP indiquer dans le champs « Adresse IP », soit le nom 'vulture' d'une application 'portail' (pour afficher un site qui listera les
applications, en remplaçant du portail SSO de Vulture; Pour plus d'explications, voir plus bas).
Il faut ensuite cliquer sur « Valider ».
4- Ajout d'un annuaire LDAP. Ceci est facultatif.
Pour ajouter un annuaire LDAP, il faut allez dans « Authentification » puis « LDAP » et enfin cliquer sur « Ajouter », à droite.
Il suffit de remplir les champs correctement en suivant ces directives :
− Description: Nom de l'annuaire LDAP, par exemple: LDAP local (dans notre exemple, l'annuaire LDAP est installé sur la même machine que Vulture)
− Serveur LDAP: IP du serveur qui héberge votre annuaire LDAP
− Port: Port de l'annuaire LDAP. Par défaut: 389
− Version: Version de l'annuaire LDAP, si OpenLDAP alors version 3
− Protocole de chiffrement: [Défaut], sauf si le serveur LDAP est sécurisé
− DN de connexion: Nom complet de l'administrateur LDAP, exemple:
cn=admin,dc=exemple,dc=com
− Mot de passe associé au DN de connexion: Mot de passe de l'admin LDAP
− Suffixe de Recherche dans l'annuaire: Généralement la racine de l'annuaire, exemple: dc=exemple,dc=com
− Attribut utilisateur: L'attribut utilisé pour les comptes utilisateurs.
Par exemple 'cn' ou 'uid' si les utilisateurs sont du type 'cn=utilisateur1,ou=utilisateurs,dc=exemple,dc=com' ou 'uid=utilisateur1,ou=utilisateurs,dc=exemple,dc=com'
− Attribut groupe: L'attribut utilisé pour les groupes. Par exemple 'cn' si les groupes sont du type 'cn=groupe1,ou=groupes,dc=exemple,dc=com'
− Attribut de recherche dans les groupes: Attributs dans les groupes qui contiennent les utilisateurs, par exemple: memberUid
(memberUid='uid=utilisateur1,ou=utilisateurs,dc=exemple,dc=com')
− L'attribut de recherche est un DN: Il faut cocher dans la condition où l'attribut de recherche (par exemple memberUid) contient le 'chemin' complet de l'utilisateur (par exemple
memberUid='uid=utilisateur1,ou=utilisateurs,dc=exemple,dc=com') sinon il faut laisser décocher si il ne contient que le nom de l'utilisateur (par exemple memberUid='utilisateur1') contenu dans l'attribut
utilisateur (par exemple uid)
− Afficher le portail SSO après l'authentification: Il faut cocher pour
qu'une liste des applications auquels l'utilisateurs a le droits d'accès s'affiche, sinon il faut décocher pour accéder directement à l'application (contenu dans le nom de domaine de l'url, voir plus bas l'explication du fonctionnement de Vulture étape 7).
Il faut cliquer sur « Valider ».
5- Ensuite, il faut ajouter les applications protégées par Vulture.
Pour ce faire, cliquer sur « Applications » puis, sur la droite, sur
« Ajouter ».
Il suffit de remplir les champs correctement en suivant ces directives :
− Nom internet: Nom de l'application qui apparaitra dans l'url du navigateur. Par exemple: test.fr
− URL privée: L'url réelle de l'application. Par exemple:
http://adresseip/nomapplication (sans '/nomapplication' si le site à rejoindre est accessible directement). Il est possible d'indiquer l'adresse locale 127.0.0.1 ou localhost et configurer Apache pour écouter sur seulement cette adresse si ce dernier est installé sur la même machine que Vulture (un redémarrage d'Apache est nécessaire, un rechargement de la configuration n'est pas suffisant)
− Interface réseau: Choix de l'interface sur lequel Vulture devra s'activer pour cette application.
− Configurations mod_log: [Défaut].
− Méthodes d'authentification: La méthode d'authentification n'est pas obligatoire. Elle permet d'indiquer la base de donnée (ou annuaire) qui sera utilisée pour l'authentification des utilisateurs sur Vulture pour l'application en question. Si aucune n'est indiquée, l'accès à
l'application ne sera pas protégée par mot de passe, donc tout le monde y aura accès (Sauf si utilisation des ACLs).
Il faut cliquer sur « suivant ». Une page similaire avec plus d'options apparaît.
Il suffit de remplir les champs correctement en suivant ces directives :
− Alias: Peut rester vide. Il doit sûrement s'agir d'un second nom d'application.
− Description: Peut rester vide.
Si une méthode d'authentification a été choisi, de nouveaux champs apparaissent :
− Propagation de l'authentification (optionnel): Optionnel mais
important. Il s'agit d'indiquer la méthode de propagation des comptes pour cette application qui sont créé dans la section « Composants ->
SSO forward ». Voir l'étape 6 pour de plus amples informations.
− Nom affiché dans le portail SSO: Comme son nom l'indique, le nom qui sera affiché dans le portail SSO de Vulture, sinon le nom internet prendra sa place.
− Url du formulaire d'authentification: Url du formulaire qui sert pour la connexion de l'application sur l'application. Exemple:
http://adresseip/login.php (Il faut indiquer l'adresse locale 127.0.0.1 ou localhost si c'est fait pour l'URL privée)
− Suivre le retours du POST: Il faut cocher cette case si il y a des problèmes d'authentification. Cette case ne résout pas forcément ce problème.
La gestion des droits des applications pour indiquer qui a le droit de se connecter ou pas sur l'application se fait par le biais des ACLs.
Il faut cliquer sur « Gérer une ACL » à droite. Une nouvelle partie apparaît.
Ici, les utilisateurs et les groupes devraient s'afficher dans les colonnes de gauche par défaut. Il suffit de cliquer sur chaque
utilisateurs et/ou groupe (jouez avec les touches CTRL et MAJ pour les multisélections) puis de cliquer sur les flèches adéquates.
Il est possible d'utiliser les règles de réécriture pour régler certains problèmes. Par exemple pour les applications GLPI et JSPWiki, les règles de réécriture suivantes respectives sont obligatoire pour contrer ces
problèmes :
^/(?!glpi/).* => /glpi/front/central.php [R]
^/(?!wiki/).* => /wiki/Wiki.jsp?page=Main [R]
Voir la documentation officielle de Vulture pour de plus amples informations.
http://vulture.open-source.fr/wiki/Documentation
http://docs.open-source.fr/doku.php?id=vultureng:admin
Suite page 11.
Il faut cliquer sur « Valider ».
6- SSO Forward
Il faut cliquer sur « Composants » puis « SSO forward ».
Le 'SSO forward' permet à Vulture de propager des identifiants pour une personne donnée et une application.
En fait, il y a deux modes de fonctionnement pour la propagation des identifiants. Soit la propagation utilise les même identifiants que ceux utilisés pour l'identification sous Vulture, soit Vulture demandera à l'utilisateur, seulement la première fois, ses identifiants puis les mémorisera dans sa base SQLite (Voir « Profils » dans le menu Vulture) pour les fois suivantes.
La première façon est très pratique dans le cas où toutes les applications sont connectées sur le même annuaire LDAP et donc utilise les mêmes
utilisateurs.
Pour ajouter une application qui utilisera le 'SSO Forward', il suffit de cliquer sur « ajouter », à droite.
Dans le champs « Description », il suffit de mettre le nom de l'application par exemple.
Ensuite, il suffit de rajouter les champs de la page d'authentification de l'application en visionnant le code source.
Pour utiliser la fonction de propagation en se servant directement des mêmes identifiants que pour la connexion sur le portail de Vulture, il suffit de choisir dans « type de champs » : 'autologon user' pour le
champs du pseudo utilisateur et 'autologon password' pour le champs du mot de passe.
Après avoir ajouté et validé, il faut retourner dans « application », modifier l'application (en utilisant l'icône avec un crayon et une feuille de papier) puis choisir dans « Propagation de l'authentification » le composant 'SSO Forward' dont vous avez besoin.
7- Schémas du fonctionnement de Vulture
D. SSL
... Bientôt ...
