II- ALCASAR
ALCASAR (Application
Libre pour le Contrôle
d'Accès Sécurisé et
Authentifier au Réseau) est
positionné en coupure entre l'accès Internet et le réseau
de consultation. Il permet d'authentifier les usagers, de contrôler les
accès, de tracer les connexions effectuées, de protéger le
réseau de consultation. Le coeur d'ALCASAR est constitué des
éléments traditionnels d'un contrôleur d'accès au
réseau (NAC : une passerelle d'interception (portail captif), un serveur
d'authentification, une base de données usagers, un pare feu dynamique
et un ensemble de proxy filtrant.
Rédigé par Carle Fabien HOUECANDE &
Franck E. NOUDEGBESSI 27
«Déploiement de FreeRadius, un serveur
d'authentification forte pour ALCASAR»
1- Les constituants
v La passerelle d'interception : Coova -
Chilli
La passerelle Coova - Chilli a pour rôle de rediriger
tous les clients vers une page web HTTPS pour leur permettre de s'authentifier
auprès du portail captif. Il faut noter que la nature du protocole HTTPS
que Coova - Chilli ne pourra pas intercepter les trames HTTPS. Cependant une
fois intercepté, la direction du client se fait en HTTPS afin d'assurer
la confidentialité des informations d'authentification
échangées entre le navigateur Web et Coova - Chilli.
v Le serveur d'authentification : FreeRadius
FreeRadius est une version open source du serveur radius qui
permet en dehors d'une authentification forte, l'intégration de
critères d'autorisation comme la gestion du temps de connexion, la
gestion d'une date d'expiration, la limite de bande passante, etc.
v La base de données utilisateur :
MariaDB
La base de données des usagers est gérée
par le SGBD « MariaDB ». Le schéma de cette base est
entièrement compatible avec le service d'authentification Radius. La
structure de cette base est mise en place lors de l'installation d'ALCASAR.
Elle permet de stocker les informations (login ; Password, durée de
connexion ; les données de connexion en temps réel ; etc.). Elle
est directement interrogée par le serveur FreeRadius, lorsque celui-ci
est sollicité par la passerelle d'interception. Par ailleurs il est
possible d'interfacer le serveur d'authentification avec un annuaire LDAP ou
A.D extérieur, parfois en place avant l'intégration de
ALCASAR.
Rédigé par Carle Fabien HOUECANDE &
Franck E. NOUDEGBESSI 28
«Déploiement de FreeRadius, un serveur
d'authentification forte pour ALCASAR»
v Le serveur web : Apache
Le serveur web Apache est présent dans ALCASAR afin de
fournir aux machines de consultation les différentes pages web
nécessaires.
Figure 7 : Schéma des échanges
interception et authentification (source : ouvrage « authentification
freeradius » de Bordères)
Rédigé par Carle Fabien HOUECANDE &
Franck E. NOUDEGBESSI 29
«Déploiement de FreeRadius, un serveur
d'authentification forte pour ALCASAR»
|