8.2.11 -
Serveur
Flèche :
Le serveur Fleche héberge un serveur Apache agissant en
« reverse proxy » et doté d’un agent E-Sentry.
A la différence d’un serveur proxy en mode transparent et où
le client ne fait que « passer » à travers le proxy
pour atteindre le serveur réel, un serveur agissant en mode
« reverse proxy » est considéré par le client
comme le serveur d’extrémité et toutes les requêtes
émises par le client seront reprises et réémises par le
reverse proxy vers un serveur désigné. Ceci permet de cacher
complètement les serveurs réels derrière une
barrière logicielle et d’empêcher toute attaque directe des
serveurs de production.
Il agit en mode FrontServer pour le logiciel
E-Sentry (cf. annexe
4.1.3.C -
).
L’installation s’effectue grâce au CD-ROM
« Addon » de la suite E-Sentry et au lancement du script
« /frontserver/frontserver.inst ».
Il s’agit
d’un serveur Apache (cf. paragraphe
8.2.6.B
- ) bénéficiant au sein du fichier
« /var/frontserver/conf/httpd.conf » des paramétrages
du reverse proxy suivants :
...
Listen fleche.sga.def:80
<IfDefine SSL>
Listen fleche.sga.def:443
</IfDefine>
...
NameVirtualHost fleche.sga.def:80
<VirtualHost fleche.sga.def:80>
ServerName fleche.sga.def
ServerAdmin "webmaster@fleche.sga.def"
ErrorLog logs/fleche.sga.def/error_log
TransferLog logs/fleche.sga.def/access_log
<IfModule mod_proxy.c>
ProxyEngine on
ProxyPass /secure http://colombe.sga.def/secure/
ProxyPassReverse /secure http://colombe.sga.def/secure/
ProxyPassReverse /secure http://colombe.sga.def:80/secure/
ProxyPass /public http://pegase/public/
ProxyPassReverse /public http://pegase/public/
ProxyPassReverse /public http://pegase:80/public/
ProxyPass /ldapexplorer https://grandeourse/ldapexplorer/
ProxyPassReverse /ldapexplorer https://grandeourse/ldapexplorer/
ProxyPassReverse /ldapexplorer https://grandeourse:443/ldapexplorer/
</IfModule>
</VirtualHost>
...
NameVirtualHost fleche.sga.def:443
<VirtualHost fleche.sga.def:443>
ServerName fleche.sga.def
ServerAdmin "webmaster@fleche.sga.def"
ErrorLog logs/fleche.sga.def/error_log
TransferLog logs/fleche.sga.def/access_log
<IfModule mod_proxy.c>
ProxyEngine on
ProxyPass /secure http://colombe/secure/
ProxyPassReverse /secure http://colombe.sga.def/secure/
ProxyPassReverse /secure http://colombe.sga.def:80/secure/
ProxyPass /ldapexplorer https://grandeourse/ldapexplorer/
ProxyPassReverse /ldapexplorer https://grandeourse/ldapexplorer/
ProxyPassReverse /ldapexplorer https://grandeourse:443/ldapexplorer/
</IfModule>
SSLEngine on
CustomLog logs/fleche.sga.def/ssl_request_log \
"%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
SetEnvIf User-Agent ".*MSIE.*" \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0
</VirtualHost>
...
L’agent E-Sentry présent sur le serveur
Flèche est paramétré à l’aide du fichier
« /var/frontserver/e-sentry/WASecure.conf ». Le fichier
correspondant sur le serveur Fleche est donné ci-dessous :
Trace DEBUG
AuthenticationServer https://eridan.sga.def CGI=/cgi-bin/wway_authent?TdsName=TSEC Port=443
AccreditationServer eridan.sga.def Port=1701 Name=TSEC
AccessPolicy Open
CacheDirectory /var/frontserver/cache-esentry
#ReadFrequency 10
ProtectedResource /secure Server=http://fleche.sga.def Service=APPLI-WEB
8.2.11.A - Serveur SSH :
L’installation du serveur SSH est décrite dans le paragraphe
8.2.3.E - .
8.2.11.B - Déport des logs :
Le paramétrage du déport des logs est décrit dans le
paragraphe
8.2.3.C - .
8.2.11.C - Authentification des utilisateurs sur
l’annuaire LDAP :
Le paramétrage de l’authentification des utilisateurs sur
l’annuaire GrandeOurse est décrit au paragraphe
8.2.6.D - .
