
HOWTO Passerelle d'Authentification

Nathan Zorn

              <zornnh@musc.edu>

   _Guillaume Lelarge - _Traduction franaise

   _Guillaume Hatt - _Relecture de la version franaise
   _Historique des versions_
   Version 0.06 2002-11-05 Revu par : nhz
   Version 0.05 2002-05-10 Revu par : nhz
   Version 0.04 2002-02-28 Revu par : nhz
   Version 0.03 2001-09-28 Revu par : nhz
   Version 0.02 2001-09-28 Revu par : KET
   Version 0.01 2001-09-06 Revu par : nhz

   Beaucoup se sentent concerns par la scurit des rseaux sans-fil et
   des aires d'accs public telles que les bibliothques et les dortoirs.
   Les implmentations actuelles de scurit ne rpondent pas  ces
   interrogations. Une rponse est propose par l'utilisation d'une
   passerelle d'authentification. Cette passerelle rponds aux problmes
   de scurit en forant l'utilisateur  s'authentifier pour pouvoir
   utiliser le rseau.
     _________________________________________________________________

   _Table des matires_
   1. Introduction

        1.1. Informations de Copyright
        1.2. Disclaimer
        1.3. Nouvelles Versions
        1.4. Crdits
        1.5. Retour d'informations

   2. Ce qui est ncessaire

        2.1. Netfilter
        2.2. Logiciel pour les rgles dynamiques de Netfilter
        2.3. Serveur DHCP
        2.4. Mcanisme d'authentification
        2.5. Serveur DNS

   3. Configuration des services de la passerelle

        3.1. Configuration de Netfilter
        3.2. Rgles dynamiques de Netfilter.
        3.3. Configuration du serveur DHCP
        3.4. Configuration de la mthode d'authentification
        3.5. Configuration du DNS

   4. Utiliser la passerelle d'authentification
   5. Remarques de conclusion
   6. Ressources supplmentaires
   7. Questions et rponses
   8. Adaptation franaise

        8.1. Traduction
        8.2. Relecture

1. Introduction

   Avec les rseaux sans-fil et les aires d'accs publics, il est trs
   facile pour un utilisateur non autoris d'accder au rseau. Les
   utilisateurs non autoriss peuvent chercher un signal et rcuprer des
   informations de connexion  partir de ce signal. Ils peuvent brancher
   leur machine sur un terminal public et obtenir l'accs au rseau. Des
   lments de scurit ont t mis en place, comme WEP, mais cette
   scurit peut tre franchie avec des outils comme AirSnort. Une
   approche pour rsoudre ces problmes est de ne pas se reposer sur les
   fonctionnalits de scurit des sans-fil, et d'installer  la place
   une passerelle d'authentification devant le rseau sans-fil ou les
   aires d'accs public, ce qui permet de forcer les utilisateurs 
   s'authentifier avant d'utiliser le rseau. Ce HOWTO dcrit comment
   mettre en place cette passerelle avec Linux.
     _________________________________________________________________

1.1. Informations de Copyright

   Ce document dispose d'un copyright  2001 Nathan Zorn. Il vous est
   autoris de copier, distribuer et/ou modifier ce document sous les
   termes de la licence GNU Free Documentation License, Version 1.1 ou
   toute version ultrieure publie par la Free Software Foundation  avec
   les sections inaltrables suivantes : texte de premire page de
   couverture, texte de dernire page de couverture. Une copie de la
   licence est disponible sur http://www.gnu.org/copyleft/fdl.html

   Si vous avez des questions, merci de contacter <zornnh@musc.edu>
     _________________________________________________________________

1.2. Disclaimer

   Aucune responsabilit pour le contenu de ce document ne sera accepte.
   Utilisez les concepts, exemples et autre contenu  vos risques et
   prils. Comme il s'agit d'une nouvelle dition de ce document, il peut
   y avoir des erreurs et des inexactitudes, qui peuvent endommager votre
   systme. Procdez avec prudence et bien que les dgats soient trs
   improbables, les auteurs n'en prennent aucune responsabilit.

   Tous les droits sont dtenus par leurs propritaires respectifs, sauf
   cas spcifique indiqu. L'utilisation d'un terme dans ce document ne
   doit pas tre vu comme affectant la validit d'une marque ou d'un
   service.

   Nommer un produit particulier ou une marque ne doit pas tre vu comme
   une illgalit.

   Il est fortement conseill de faire une sauvegarde de votre systme
   avant toute installation majeure, et d'en faire  intervalles
   rguliers.
     _________________________________________________________________

1.3. Nouvelles Versions

   La version la plus rcente de ce document peut tre trouve sur . Les
   HOWTOs en rapport peuvent tre trouvs sur le site Linux Documentation
   Project .
     _________________________________________________________________

1.4. Crdits

   Jamin W. Collins

   Kristin E Thomas

   Logu (visolve.com)
     _________________________________________________________________

1.5. Retour d'informations

   Le retour d'informations est vraiment bienvenu pour ce document. Sans
   vos soumissions, ce document n'existerait pas. Merci d'envoyer vos
   ajouts, commentaires et critiques  l'adresse mail suivante :
   <zornnh@musc.edu>.
     _________________________________________________________________

2. Ce qui est ncessaire

   Cette section dcrit ce qui est ncessaire pour installer la
   passerelle d'authentification.
     _________________________________________________________________

2.1. Netfilter

   La passerelle d'authentification utilise Netfilter et iptables pour
   grer le pare-feu. Consultez le HOWTO Netfilter .
     _________________________________________________________________

2.2. Logiciel pour les rgles dynamiques de Netfilter

   Un moyen pour insrer et supprimer des rgles Netfilter est d'utiliser
   pam_iptables. Il s'agit d'un module d'authentification insrable (PAM
   ou  pluggable authentication module ) crit par Nathan Zorn
   disponible sur . Ce module PAM permet aux utilisateurs d'utiliser ssh
   et telnet pour s'authentifier sur la passerelle.

   Un autre moyen pour supprimer et crer dynamiquement des rgles
   Netfilter est d'utiliser NocatAuth. Il peut tre trouv sur .
   NocatAuth fournit un client web pour s'authentifier sur la passerelle.
     _________________________________________________________________

2.3. Serveur DHCP

   La passerelle d'authentification agira comme un serveur DHCP
   ( Dynamic Host Configuration Protocol ) pour le rseau public. Elle
   sert seulement ceux qui rclament des services DHCP sur le rseau
   public. J'ai utilis le serveur DHCP ISC.
     _________________________________________________________________

2.4. Mcanisme d'authentification

   La passerelle peut utiliser tous les moyens d'authentification de PAM.
   L'universit de mdecine de Caroline du Sud utilise LDAP comme
   mcanisme d'authentification. Comme LDAP a t utilis pour
   l'authentification, les modules pam sur la machine passerelle ont t
   configurs pour utiliser LDAP. D'autres informations sont disponibles
   sur . PAM vous permet d'utiliser beaucoup de moyens
   d'authentification. Merci de regarder la documentation pour le module
   PAM que vous souhaitez utiliser. Pour plus d'informations sur les
   autres mthodes, voir les modules pam correspondants.

   Si NocatAuth est utilis, un service d'authentification a besoin
   d'tre configur. Le service d'authentification NocatAuth supporte
   l'authentification avec LDAP, RADIUS, MySQL et un fichier de mots de
   passe. Plus d'informations sur la page .
     _________________________________________________________________

2.5. Serveur DNS

   La machine passerelle sert aussi de serveur DNS pour le rseau public.
   J'ai install Bind, et je l'ai configur comme un serveur de noms
   cache. Le paquetage rpm caching-nameserver a aussi t utilis. Ce
   paquetage provient de RedHat.
     _________________________________________________________________

3. Configuration des services de la passerelle

   Cette section dcrit comment configurer chaque pice de la passerelle
   d'authentification. Les exemples utiliss concernent un rseau public
   compris dans le sous-rseau 10.0.1.0. eth0 est l'interface connecte
   au rseau interne. eth1 est l'interface connect au rseau public.
   L'adresse IP utilise pour cette interface est 10.0.1.1. Ces valeurs
   peuvent tre changes pour s'intgrer au rseau que vous utilisez.
   RedHat 7.1 a t utilis pour la machine passerelle, donc un grand
   nombre d'exemples sont spcifiques  RedHat.
     _________________________________________________________________

3.1. Configuration de Netfilter

   Pour configurer netfilter, le noyau doit tre recompil pour inclure
   le support de netfilter. Merci de consulter le HOWTO Noyau pour plus
   d'informations sur la configuration et la compilation de votre noyau.

   Voici  quoi ressemble la configuration de mon noyau.
   #
   # Networking options
   #
   CONFIG_PACKET=y
   # CONFIG_PACKET_MMAP is not set
   # CONFIG_NETLINK is not set
   CONFIG_NETFILTER=y
   CONFIG_NETFILTER_DEBUG=y
   CONFIG_FILTER=y
   CONFIG_UNIX=y
   CONFIG_INET=y
   CONFIG_IP_MULTICAST=y
   # CONFIG_IP_ADVANCED_ROUTER is not set
   # CONFIG_IP_PNP is not set
   # CONFIG_NET_IPIP is not set
   # CONFIG_NET_IPGRE is not set
   # CONFIG_IP_MROUTE is not set
   # CONFIG_INET_ECN is not set
   # CONFIG_SYN_COOKIES is not set


   #   IP: Netfilter Configuration
   #
   CONFIG_IP_NF_CONNTRACK=y
   CONFIG_IP_NF_FTP=y
   CONFIG_IP_NF_IPTABLES=y
   CONFIG_IP_NF_MATCH_LIMIT=y
   CONFIG_IP_NF_MATCH_MAC=y
   CONFIG_IP_NF_MATCH_MARK=y
   CONFIG_IP_NF_MATCH_MULTIPORT=y
   CONFIG_IP_NF_MATCH_TOS=y
   CONFIG_IP_NF_MATCH_TCPMSS=y
   CONFIG_IP_NF_MATCH_STATE=y
   CONFIG_IP_NF_MATCH_UNCLEAN=y
   CONFIG_IP_NF_MATCH_OWNER=y
   CONFIG_IP_NF_FILTER=y
   CONFIG_IP_NF_TARGET_REJECT=y
   CONFIG_IP_NF_TARGET_MIRROR=y
   CONFIG_IP_NF_NAT=y
   CONFIG_IP_NF_NAT_NEEDED=y
   CONFIG_IP_NF_TARGET_MASQUERADE=y
   CONFIG_IP_NF_TARGET_REDIRECT=y
   CONFIG_IP_NF_NAT_FTP=y
   CONFIG_IP_NF_MANGLE=y
   CONFIG_IP_NF_TARGET_TOS=y
   CONFIG_IP_NF_TARGET_MARK=y
   CONFIG_IP_NF_TARGET_LOG=y
   CONFIG_IP_NF_TARGET_TCPMSS=y

   Une fois que netfilter a t configur, mettez en place la
   transmission IP (IP forwarding) en excutant cette commande :
      echo 1 > /proc/sys/net/ipv4/ip_forward

   Pour s'assurer que la transmission ip est active lors du redmarrage
   de la machine, ajoutez la ligne suivante dans /etc/sysctl.conf :
      net.ipv4.ip_forward = 1

   Si vous allez utilis NocatAuth, vous pouvez passer  la section
   Configuration de la passerelle NoCatAuth.

   Iptables a besoin d'tre install. Pour cela, soit vous utilisez le
   paquetage provenant de votre distribution, soit vous l'installez 
   partir des sources. Une fois que les options ci-dessus ont t
   compiles dans le nouveau noyau et qu'iptables a t install, je mets
   en place les rgles par dfaut du pare-feu.
   iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
   iptables -A INPUT -i eth0 -m state --state NEW, INVALID -j DROP
   iptables -A FORWARD -i eth0 -m state --state NEW, INVALID -j DROP
   iptables -I FORWARD -o eth0 -j DROP
   iptables -I FORWARD -s 10.0.1.0/24 -d 10.0.1.1 -j ACCEPT

   Les commandes ci-dessus peuvent aussi tre places dans un script
   d'initialisation utilis lorsque le serveur redmarre. Pour s'assurer
   que les rgles ont t ajoutes, tapez les commandes suivantes :
   iptables -v -t nat -L
   iptables -v -t filter -L

   Pour sauvegarder ces rgles, j'ai utilis les scripts d'initialisation
   de RedHat.
   /etc/init.d/iptables save
   /etc/init.d/iptables restart

   Maintenant, la machine passerelle est capable de faire de la
   traduction d'adresses rseau (NAT ou Network Address Translation),
   mais elle laissera passer tous les paquets sauf ceux provenant de
   l'intrieur du rseau public et  destination de la passerelle.
     _________________________________________________________________

3.2. Rgles dynamiques de Netfilter.

   Cette section dcrit comment configurer le logiciel ncessaire 
   l'insertion et  la suppression dynamique de rgles Netfilter sur la
   passerelle.
     _________________________________________________________________

3.2.1. Module iptables pour PAM

   Le module de session PAM, qui insre les rgles pour le pare-feu, est
   ncessaire pour permettre la transmission pour le client authentifi.
   Pour le configurer, rcuprez simplement le fichier source et
   compilez-le en lanant les commandes suivantes :
     gcc -fPIC -c pam_iptables.c
     ld -x --shared -o pam_iptables.so pam_iptables.o

   Vous devez maintenant avoir deux binaires appels pam_iptables.so et
   pam_iptables.o. Copiez pam_iptables.so dans
   /lib/security/pam_iptables.so :
        cp pam_iptables.so /lib/security/pam_iptables.so

   Maintenant, installez le script pare-feu dans le rpertoire
   /usr/local/auth-gw :
     mkdir /usr/local/auth-gw
     cp insFwall /usr/local/auth-gw

   Le client d'authentification choisi pour la passerelle tant ici ssh,
   nous avons ajout la ligne suivante dans /etc/pam.d/sshd :
        session    required     /lib/security/pam_iptables.so

   Maintenant, lorsqu'un utilisateur se connectera avec ssh, la rgle du
   pare-feu sera ajoute.

   Pour savoir si le module pam_iptables fonctionne, ralisez les tapes
   suivantes :

    1. Connectez-vous sur la machine avec ssh.
    2. Vrifiez si la rgle a t ajoute avec la commande _iptables -L
       -v_.
    3. Dconnectez-vous de la machine pour vous assurer que la rgle est
       bien supprime.
     _________________________________________________________________

3.2.2. Passerelle NoCatAuth

   Cette section dcrit le processus de configuration de la passerelle
   NocatAuth. Pour la configurer, rcuprez le source et installez-le
   avec les tapes suivantes.

   Assurez-vous que gpgv est install. gpgv est un vrificateur de
   signatures PGP. Il fait partie de gnupg et peut tre trouv sur la
   page http://www.gnupg.org/download.html.

   Extrayez les fichiers de l'archive tar NocatAuth :
        tar xvzf NocatAuth-x.xx.tar.gz

   Si vous ne voulez pas que NocatAuth soit install dans le rpertoire
   /usr/local/nocat, ditez le Makefile et remplacez INST_PATH par le
   rpertoire o vous souhaitez que NoCatAuth soit install.

   Puis, construisez la passerelle :
     cd NoCatAuth-x.xx
     make gateway

   Editez le fichier /usr/local/nocat.conf. Merci de consulter le fichier
   de documentation INSTALL pour les dtails sur ce qui est requis dans
   le fichier de configuration. Un fichier de configuration d'exemple
   ressemble  ceci :
     ###### gateway.conf -- NoCatAuth Gateway Configuration.
     #
     # Format of this file is: Directive Value, one per
     # line. Trailing and leading whitespace is ignored. Any
     # line beginning with a punctuation character is assumed to
     # be a comment.

     Verbosity       10
     #we are behind a NAT so put the gateway in passive mode
     GatewayMode     Passive
     GatewayLog      /usr/local/nocat/nocat.log
     LoginTimeout    300

     ######Open Portal settings.
     HomePage        http://www.itlab.musc.edu/
     DocumentRoot    /usr/local/nocat/htdocs
     SplashForm      splash.html
     ###### Active/Passive Portal settings.
     TrustedGroups Any
     AuthServiceAddr egon.itlab.musc.edu
     AuthServiceURL  https://$AuthServiceAddr/cgi-bin/login
     LogoutURL       https://$AuthServiceAddr/forms/logout.html
     ###### Other Common Gateway Options.
     AllowedWebHosts egon.itlab.musc.edu
     ResetCmd        initialize.fw
     PermitCmd       access.fw permit $MAC $IP $Class
     DenyCmd         access.fw deny $MAC $IP $Class

   Maintenant, vous devez tre capable de lancer la passerelle. Si un
   problme survient, merci de consulter la documentation INSTALL dans le
   rpertoire NoCatAuth. La commande suivante lance la passerelle :
        /usr/local/nocat/bin/gateway
     _________________________________________________________________

3.3. Configuration du serveur DHCP

   J'ai install DHCP en utilisant le fichier dhcpd.conf suivant :
   subnet 10.0.1.0 netmask 255.255.255.0 {
   # --- default gateway
        option routers                  10.0.1.1;
        option subnet-mask              255.255.255.0;
        option broadcast-address        10.0.1.255;

        option domain-name-servers       10.0.1.1;
        range   10.0.1.3 10.0.1.254;
        option time-offset              -5;     # Eastern Standard Time

        default-lease-time 21600;
        max-lease-time 43200;

    }

   Le serveur a ensuite t lanc en utilisant eth1, l'interface
   connecte au rseau public :
       /usr/sbin/dhcpd eth1
     _________________________________________________________________

3.4. Configuration de la mthode d'authentification

   L'authentification avec PAM et un service d'authentification NoCatAuth
   ont t dcrits. Les deux exemples utilisent LDAP. D'autres moyens
   d'authentification en dehors de LDAP peuvent tre utiliss. Merci de
   lire la documentation sur PAM et NoCatAuth pour trouver les tapes
   ncessaires pour utiliser d'autres sources d'authentification.
     _________________________________________________________________

3.4.1. PAM LDAP

   Comme indiqu dans les sections prcdentes, j'ai configur cette
   passerelle pour utiliser LDAP comme moyen d'authentification.
   Nanmoins, vous pouvez utiliser tout autre moyen autoris par PAM pour
   l'authentification. Voir Section 2.4 pour plus d'informations.

   Pour obtenir l'authentification par PAM LDAP, j'ai install OpenLDAP
   et je l'ai configur avec les lignes suivantes dans /etc/ldap.conf :
     # Your LDAP server. Must be resolvable without using LDAP.
     host itc.musc.edu

     # The distinguished name of the search base.
     base dc=musc,dc=edu
     ssl no

   Les fichiers suivants ont t utiliss pour configurer PAM pour qu'il
   assure l'authentification LDAP. Ces fichiers ont t gnrs par
   l'utilitaire de configuration de RedHat.

   /etc/pam.d/system-auth a t cr et ressemble  ceci :
      #%PAM-1.0
      # This file is auto-generated.
      # User changes will be destroyed the next time authconfig is run.
      auth        required      /lib/security/pam_env.so
      auth        sufficient    /lib/security/pam_unix.so likeauth nullok
      auth        sufficient    /lib/security/pam_ldap.so use_first_pass
      auth        required      /lib/security/pam_deny.so

      account     required      /lib/security/pam_unix.so
      account     [default=ok user_unknown=ignore service_err=ignore \
                   system_err=ignore] /lib/security/pam_ldap.so

      password    required      /lib/security/pam_cracklib.so retry=3
      password    sufficient    /lib/security/pam_unix.so nullok use_authtok
      password    sufficient    /lib/security/pam_ldap.so use_authtok
      password    required      /lib/security/pam_deny.so

      session     required      /lib/security/pam_limits.so
      session     required      /lib/security/pam_unix.so
      session     optional      /lib/security/pam_ldap.so

   Ensuite, le fichier /etc/pam.d/sshd a t cr :
       #%PAM-1.0
       auth       required     /lib/security/pam_stack.so service=system-auth
       auth       required     /lib/security/pam_nologin.so
       account    required     /lib/security/pam_stack.so service=system-auth
       password   required     /lib/security/pam_stack.so service=system-auth
       session    required     /lib/security/pam_stack.so service=system-auth
       #this line is added for firewall rule insertion upon login
       session    required     /lib/security/pam_iptables.so debug
       session    optional     /lib/security/pam_console.so
     _________________________________________________________________

3.4.2. Le service NoCatAuth

   Il est recommand d'installer le service NoCatAuth sur un autre
   serveur,  ct de la passerelle. Un serveur spar a t utilis dans
   mes exemples. Pour configurer un service NoCatAuth, vous aurez besoin
   des logiciels suivants :

    1. Un serveur web avec SSL activ, de prfrence avec un certificat
       SSL enregistr. J'ai utilis Apache avec mod_ssl.
    2. Perl 5 (5.6 ou ultrieur recommand)
    3. Les modules perl Net::LDAP, Digest::MD5, DBI et DBD::MySQL
       (rcuprez-les  partir de CPAN). Le module dont vous avez besoin
       dpend de la source d'authentification que vous comptez utiliser.
       Dans mon exemple, Net::LDAP a t utilis comme moyen
       d'authentification.
    4. Gnu Privacy Guard (gnupg 1.0.6 ou ultrieur), disponible sur
       http://www.gnupg.org/download.html

   Pour l'installer, dcompressez le fichier tar :
       $ tar zvxf NoCatAuth-x.xx.tar.gz

   Si vous souhaitez changer le chemin o rside NoCatAuth, ditez le
   Makefile et remplacez INST_PATH par le rpertoire souhait.

   Ensuite, lancez la commande : _make authserv _. Cela installe tout
   dans /usr/local/nocat ou le rpertoire que dsigne INST_PATH.

   Ensuite, lancez _make pgpkey _. Les valeurs par dfaut conviennent
   pour la plupart des usages. IMPORTANT : n'entrez PAS de phrase
   (passphrase) ! Sinon, vous obtiendrez des messages tranges lorsque le
   service auth essaiera de crypter les messages et essaiera de lire
   votre phrase  partir d'un terminal tty inexistant.

   Editez /usr/local/nocat/nocat.conf pour l'adapter  votre situation.
   Voici un exemple :
    ###### authserv.conf -- NoCatAuth Authentication Service Configuration.
    #
    # Format of this file is: Directive Value, one per
    #   line. Trailing and leading whitespace is ignored. Any
    #   line beginning with a punctuation character is assumed to
    #   be a comment.

    Verbosity       10
    HomePage        http://www.itlab.musc.edu/
    DocumentRoot    /usr/local/nocat/htdocs
    # LDAP source
    DataSource LDAP
    LDAPHost authldap.musc.edu
    LDAPBase dc=musc,dc=edu

    UserTable       Member
    UserIDField     User
    UserPasswdField Pass
    UserAuthField   Status
    UserStampField  Created

    GroupTable      Network
    GroupIDField    Network
    GroupAdminField Admin
    MinPasswdLength 8

    # LocalGateway -- If you run auth service on the same subnet
    #   (or host) as the gateway you need to specify the hostname
    #   of the gateway. Otherwise omit it.  (Requires Net::Netmask)
    #
    # LocalGateway    192.168.1.7

    LoginForm       login.html
    LoginOKForm     login_ok.html
    FatalForm       fatal.html
    ExpiredForm     expired.html
    RenewForm       renew.html
    PassiveRenewForm renew_pasv.html
    RegisterForm    register.html
    RegisterOKForm  register_ok.html
    RegisterFields  Name URL Description

    UpdateForm      update.html
    UpdateFields    URL Description

    ###### Auth service user messages. Should be self-explanatory.
    #
    LoginGreeting   Greetings! Welcome to the Medical University of SC's Networ
k.
    LoginMissing    Please fill in all fields!
    LoginBadUser    That e-mail address is unknown. Please try again.
    LoginBadPass    That e-mail and password do not match. Please try again.
    LoginBadStatus  Sorry, you are not a registered co-op member.

    RegisterGreeting    Welcome! Please enter the following information to regi
ster.
    RegisterMissing     Name, E-mail, and password fields must be filled in.
    RegisterUserExists  Sorry, that e-mail address is already taken. Are you al
ready registered?
    RegisterBadUser     The e-mail address provided appears to be invalid. Did
you spell it correctly?
    RegisterInvalidPass All passwords must be at least six characters long.
    RegisterPassNoMatch The passwords you provided do not match. Please try aga
in.
    RegisterSuccess     Congratulations, you have successfully registered.

    UpdateGreeting      Enter your E-mail and password to update your info.
    UpdateBadUser       That e-mail address is unknown. Please try again.
    UpdateBadPass       That e-mail and password do not match. Please try again
.
    UpdateInvalidPass   New passwords must be at least eight characters long.
    UpdatePassNoMatch   The new passwords you provided do not match. Please try
 again.
    UpdateSuccess       Congratulations, you have successfully updated your acc
ount.

   Assurez-vous que le rpertoire /usr/local/nocat/pgp appartient 
   l'utilisateur du serveur web (c'est--dire nobody ou www-data).

   Ajoutez etc/authserv.conf  votre fichier apache httpd.conf.
    Include /usr/local/nocat/etc/authserv.conf

   Copiez votre /usr/local/nocat/trustedkeys.pgp sur la passerelle.
   Relancez Apache et essayez. Merci de vous reporter  la documentation
   de NoCatAuth pour plus d'informations. Elle est disponible dans le
   rpertoire docs/ de l'archive NoCatAuth dcompresse.
     _________________________________________________________________

3.5. Configuration du DNS

   J'ai install la version par dfaut de Bind fournie avec RedHat 7.1 et
   le paquetage RPM du serveur de noms cache. Le serveur DHCP indique aux
   machines du rseau public d'utiliser la machine passerelle comme
   serveur de noms.
     _________________________________________________________________

4. Utiliser la passerelle d'authentification

   Pour utiliser la passerelle d'authentification, configurez votre
   machine client pour l'usage du DHCP. Installez un client ssh sur la
   machine et connectez-vous avec ssh sur la passerelle. Une fois
   connect, vous aurez accs au rseau interne. Ce qui suit est une
   session exemple  partir d'un client unix :
 bash>ssh zornnh@10.0.1.1
 zornnh's Password:

 gateway>

   Aussi longtemps que vous restez connect, vous y aurez accs. Une fois
   dconnect, l'accs sera ferm.

   Pour utiliser la passerelle d'authentification avec NoCatAuth,
   configurez votre machine client pour l'usage du DHCP. Installez un
   navigateur web tel que Mozilla. Lancez le navigateur web qui devra
   tre redirig sur l'cran d'authentification.

   [nocat_auth.jpg]

   Connexion  partir de Nocat
   Indiquez votre nom d'utilisateur et votre mot de passe. Une fentre
   s'ouvrira pour vous expliquer que vous tes authentifi sur le rseau
   et que vous devez conserver la fentre ouverte pour le rester. Cliquez
   sur logout ou fermez la fentre pour terminer la session.

   [nocat_auth_in.jpg]

   Fentre d'authentification
     _________________________________________________________________

5. Remarques de conclusion

     * Cette mthode de scurisation ne dpend pas de la scurit
       apporte par la communaut du rseau sans-fil. Elle part du
       principe que le rseau sans-fil dans son intgralit est non
       scuris et situ en dehors de votre rseau.
     * La passerelle ne crypte pas le trafic. Elle vous permet seulement
       d'accder au rseau situ derrire elle. Si vous dsirez le
       cryptage et l'authentification, vous devriez utiliser un VPN.
     _________________________________________________________________

6. Ressources supplmentaires

     * Un document dcrivant l'implmentation d'une passerelle
       d'authentification  la NASA.
     * Un livre blanc dcrivant comment l'Universit d'Alberta a cr une
       passerelle d'authentification.
     * Nocat.net a une passerelle d'authentification pour les rseaux
       sans-fil. Ce logiciel dispose d'un client web.
     * Horatio : Authenticated Network Access est un outil pare-feu
       d'authentification. Leur ide : les utilisateurs lgitimes veulent
       attacher des portables et autres htes mobiles au rseau, mais la
       scurit demande que les utilisateurs illgitimes n'aient ni la
       possibilit d'accder au rseau interne et scuris, ni celle
       d'abuser d'Internet.
     _________________________________________________________________

7. Questions et rponses

   C'est juste un rassemblement de toutes les questions les plus
   courantes  ma connaissance. Apportez-moi un retour d'informations
   pour que je puisse transformer cette section en une vrai FAQ.

    1. Pourquoi les rgles d'iptables ne sont-elles pas supprimes quand
       un client quitte une fentre telnet ? Cela fonctionne si le client
       se dconnecte de la session telnet. Dans le cas de ssh, les rgles
       sont mme supprimes si la fentre ssh est ferme.
       Je ne suis pas encore arriv  une bonne rponse ou  une solution
       correcte  ce problme. Logu a apport quelques modifications 
       pam_iptables et a cr un ensemble d'autres outils pour rsoudre
       ce problme. Ces outils peuvent tre trouvs dans le rpertoire
       contrib avec pam_iptables.
    2. Pourquoi NoCat ne fonctionne-t'il pas avec IE6 ? Il semble faire
       l'authentification mais n'crit pas la rgle du pare-feu.
       Assurez-vous que votre html nocat contient ce qui suit : <meta
       http-equiv="Refresh" content="$redirect"/>
       Les fichiers html qui contiennent ce metatag sont login_ok.html,
       renew.html, et renew_pasv.html.
     _________________________________________________________________

8. Adaptation franaise

8.1. Traduction

   La traduction franaise de ce document a t ralise par Guillaume
   Lelarge <gleu@wanadoo.fr>.
     _________________________________________________________________

8.2. Relecture

   La relecture de ce document a t ralise par Guillaume Hatt
   <ghatt@netcourrier.com>.
