entrouvert
/
univnautes-old
Archived
17
0
Fork 0
Code Issues Pull Requests Releases Activity
This repository has been archived on 2023-02-21. You can view files and clone it, but cannot push or open issues or pull requests.
univnautes-old/help/fr/config-passage-production.page

134 lines
7.1 KiB
Plaintext
Raw Blame History

This file contains invisible Unicode characters

This file contains invisible Unicode characters that are indistinguishable to humans but may be processed differently by a computer. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

<page xmlns="http://projectmallard.org/1.0/"
type="topic" style="task"
id="config-passage-production" xml:lang="fr">
<info>
<link type="guide" xref="configuration" group="config-passage-production"/>
<link type="seealso" xref="configuration-avancee"/>
<desc>Nom du serveur, certificats HTTPS et SAML.</desc>
<revision pkgversion="20120605" version="1.0" date="10-06-2012" status="final"/>
<credit type="author">
<name>Thomas Noël</name>
<email>tnoël@entrouvert.com</email>
</credit>
<credit type="maintainer">
<name>Pierre Cros</name>
<email>pcros@entrouvert.com</email>
</credit>
</info>
<title>Passage en production</title>
<note style="warning">
<p>
Rappel: l'image ISO d'installation du portail est livré avec des paramètres et certificats de test. Elle fonctionne dans la fédération de test du CRU/Renater car elle y a été déclarée. <em>Pour passer en production il faut modifier ces paramètres et certificats puis déclarer le service dans la fédération choisie.</em>
</p>
</note>
<p>Par défaut, le portail est livré avec des paramètres de tests. Son nom est univnautes.entrouvert.lan, le serveur HTTPS associé possède un certificat auto-signé (donc invalide par défaut sur les navigateurs), le certificat SAML est un certificat associé au nom univnautes.entrouvert.lan dans la fédération de test de Renater.</p>
<p>En production, il faut donc modifier tout cela, idéalement dans cet ordre :</p>
<steps>
<item><p>donner un nom dans le domaine DNS de l'établissement (par exemple eduspot.univ-paris42.fr)</p></item>
<item><p>placer un certificat valide sur le serveur HTTPS correspondant, obtenu auprès du CRU/Renater via le RSSI, valide pour le nom choisi précédemment</p></item>
<item><p>créer un nouveau certificat SAML</p></item>
<item><p>déclarer les métadonnées SAML finale (associant le nom choisi et le certificat SAML) auprès de la fédération CRU/Renater</p></item>
</steps>
<p>Vous trouverez ci-dessous les détais pour chaque étape.</p>
<section id="choix-nom">
<title>Choix du nom du portail (DNS forwarder)</title>
<p>Par défaut, le portail s'appelle univnautes.entrouvert.lan, il est associé à l'adresse IP 10.42.0.1 par le forwarder DNS local (10.42.0.1 étant l'adresse IP de l'interface LAN). En production, il faut changer ce nom dans la DNS.</p>
<p>Pour cela, se rendre dans Services/DNS Forwarder et ajouter le nom dans les overrides, en lui associant l'IP 10.42.0.1 (ou l'IP de l'interface LAN, si vous l'avez changée).</p>
</section>
<section id="certificat-https">
<title>Certificat et clé HTTPS</title>
<p>Par défaut, le portail est accessible en HTTPS et utilise un certificat et une clé de test. Cela donne des messages d'alerte voire d'erreur sur les navigateurs.</p>
<p>Pour modifier le certificat HTTPS du portail, il faut se rendre sur la page Services/Captive Portal et y indiquer :</p>
<list>
<item><p>HTTPS server name : le nom du serveur (celui qui est déclaré dans le certificat)</p></item>
<item><p>HTTPS certificate : le certificat au format PEM ;</p></item>
<item><p>HTTPS private key : la clé privée associée, au format PEM ;</p></item>
<item><p>HTTPS intermediate certificate : le certificat de l'AC émettrice (en cas de certificat auto-signé de test, recopier le certificat), au format PEM.</p></item>
</list>
<note>
<p>Lorsque ces paramètres sont modifiés, le service cp_univnautes est automatiquement relancé pour prendre en compte les modifications.</p>
</note>
<note>
<p>pfSense ne comprend pas les certificats des nouvelles versions d'OpenSSL.
Pour obtenir une clé dans un format utilisable dans pfSense, il faut utiliser
la commande suivante :
<code>
$ openssl rsa -in cle-eduspot.key > cle-eduspot-pour-pfsense.key
</code>
</p>
</note>
</section>
<section id="certificat-saml">
<title>Certificat et clé SAML 2.0</title>
<p>Sur l'onglet Univnautes dans la page Services/Captive portal, on indique :</p>
<list>
<item><p><em>SAML Private Key</em> : clé privée</p></item>
<item><p><em>SAML Signing Key (Certificate)</em> : certificat (clé publique)</p></item>
</list>
<note>
<p>
l'outil <em>System/Cert Manager</em> peut être utilisé pour générer la clé et le certificat SAML. Ils n'ont pas besoin d'être signés par une autorité reconnue.
</p>
</note>
<note>
<p>Lorsque ces paramètres sont modifiés, le service <em>cp_univnautes</em> est automatiquement relancé pour prendre en compte les modifications.
</p>
</note>
</section>
<section id="declaration">
<title>Déclaration des métadonnées dans la fédération</title>
<p>Une fois le service relancé avec les nouvelles données SAML, les métadonnées XML du portail sont accessibles sur la page https://nom_du_portail/authsaml2/metadata</p>
<note style="warning">
<p><em>nom_du_portail</em> doit être le nom choisi pour le serveur HTTPS). Il s'agit d'un fichier XML, qui peut être téléchargé et lu avec un éditeur de texte.</p>
</note>
<p>Ces données du service doivent être enregistrées dans la fédération.</p>
<p>Pour les tests, chacun peut utiliser la fédération de test https://federation.renater.fr/test/enregistrement. Sur l'interface d'enregistrement d'un fournisseur de service (SP), il faut entrer les données une à une :</p>
<list>
<item><p>Intitulé du service : Portail Captif Univnautes - Université xyz</p></item>
<item><p>URL du service : https://nom_du_portail</p></item>
<item><p>URL de vos méta données : <em>n'indiquez rien ici !</em> En effet l'URL du portail n'est pas joignable sur Internet ; il faut donc renseigner les paramètres ci-dessous un par un :</p></item>
<item><p>entityID : https://nom_du_portail/authsaml2/metadata</p></item>
<item><p>URL du service AssertionConsumerService SAML 1.0 : vide (notre fournisseur ne travaille qu'en SAML 2.0)</p></item>
<item><p>URL du service AssertionConsumerService SAML 2.0 : https://nom_du_portail/authsaml2/singleSignOnPost</p></item>
<item><p>Certificat X.509 : copié-collé du champ SAML Signing Key (Certificate) de la page Services/Captive Portal/Univnautes, en <em>retirant les première et dernière lignes</em> contenant les <code>-----BEGIN CERTIFICATE-----</code> et <code>-----END CERTIFICATE-----</code></p></item>
</list>
</section>
<section id="forcer-rechargement">
<title>Forcer le rechargement des metadonnées et whitelist</title>
<p>Les métadonnées et la whitelist sont téléchargées chaque heure. Cependant, il peut être utile de les actualiser immédiatement ces données. Pour cela, deux techniques :</p>
<list>
<item><p>soit depuis la console (en direct ou en ssh), taper : <cmd># univnautes-update-metadata.sh</cmd></p></item>
<item><p>soit depuis l'interface web d'administration, se rendre sur la page Services / Captive portal, sur l'onglet Univnautes et cliquer sur le bouton <code>Save</code> en bas de page, sans modifier de paramètre. Cela recharge whitelist IP et metadonnées.</p></item>
</list>
<p>Dans les deux cas, pour vérifier, se rendre dans Status / System Logs sur l'onglet Portal Auth : vous devez voir une ligne du genre <cmd>update-metadata: Loaded 117 providers</cmd>.</p>
</section>
</page>
View Git Blame Copy Permalink