Le projet est techniquement réalisé par Jean-Michel Caricand, Ghislaine Foltête et Marc Hamelin.
Par techniquement on entend la configuration/debug/patch sur les applications openswan, (x)l2tpt, freeradius, gantry, apache, postgresql, openCA/tinyCA. C’est l’interaction entre ces différentes briques de base qui définit le projet VPN.
Le projet est opérationnellement maintenu sur différents niveaux :
RSSI : Bertrand Astric, Patrice Koch
Patch Centos : Ghislain Pruniaux
Patch sur les outils : Jean-Michel Caricand
Maintenance VPN (tous les outils) : Jean-Michel Caricand, Ghislaine Foltête et Marc Hamelin
Suivi des certificats : Ghislaine Foltête et Marc Hamelin sous couvert des RSSI
Realm : correspondants réseaux
Droits utilisateurs : correpondants réseaux
Documentation : Jean-Michel Caricand, Ghislaine Foltête et Marc Hamelin
Communication : Ghislaine Foltête et Marc Hamelin
Archive for the ‘informations techniques’ Category
VPN : qui s’occupe de quoi ?
jeudi, avril 10th, 2008Connexion sur un LDAP extérieur
jeudi, avril 10th, 2008Pour authentifier des utilisateurs, nous pouvons à partir du RADIUS principal passer le relais de l’authentification sur un LDAP de laboratoire et/ou d’UFR.
Pour que cela fonctionne, il faut fournir au CRI un compte de bind du style :
identity = "cn=<nom-cri>,ou=foo,dc=bar,dc=fr"
password = "mdp"
basedn = "ou=people,ou=foo1,dc=bar,dc=fr"
Gantry : problème de mise en ligne sous Apache
jeudi, avril 10th, 2008Lors de la mise en ligne de l’application de gestion VPN générée par Gantry, nous avons constaté le manque d’un module perl pour apache : undefined symbol: apreq_handle_apache2
Pour corriger cela Centos ne possède pas de paquet pré-conditionné, il faut donc le repackager.
Ghislain à reconditionné le paquet libapr2
fichier cri.repo
[CRI]
name=CRI RPM Repository for Red Hat Enterprise Linux
baseurl=http://yum.univ-fcomte.fr/el5/
enabled=1
gpgcheck=0
Authentification PPP
mercredi, avril 9th, 2008L’authentification entre le serveur PPP et le client PPP via (X)L2TP n’est pas nécessaire. Dans le fichier /etc/l2tpd/l2tpd.conf ou /etc/xl2tpd/xl2tpd.conf l’option doit être configurée comme suit :
refuse authentication = yes
ou par :
require authentication = no
Le serveur VPN est configuré ainsi.
Utilité des options rightprotoport/leftprotoport
mercredi, avril 9th, 2008Une cohérence doit exister entre la configuration du serveur VPN et celle du client : si le fichier de configuration d’IPsec du serveur VPN comporte la ligne protoport, le fichier de configuration du client doit également la comporter.
Dans le fichier ipsec.conf, au niveau du paramètrage des connexions (conn <blabla>), nous devons trouver les options :
rightprotoport=17/1701
leftprotoport=17/1701
sinon le lancement de la connexion :
ipsec auto --up blabla
ne fonctionnera pas.
A l’inverse, si cette option protoport n’est pas présente dans le fichier de configuration du serveur, elle devient inutile dans le fichier de configuration du client VPN.