formations/modules_EOLE_envole/amon/05-sphynx.tex

138 lines
3.8 KiB
TeX
Raw Normal View History

\section{Sphynx}
\begin{frame}{Plan}
\begin{columns}[t]
\begin{column}{5cm}
\tableofcontents[sections={1-6},currentsection, hideothersubsections]
\end{column}
\begin{column}{5cm}
\tableofcontents[sections={7-11},currentsection,hideothersubsections]
\end{column}
\end{columns}
\end{frame}
\begin{frame}
\frametitle{Présentation}
\begin{itemize}
\item Réseau Privé Virtuel en étoile (pas en maillage) ;
\item application centralisée ;
\item possibilité d'inter-établissement.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Différence PKI et clef-rsa}
\begin{itemize}
\item PKI : nécessite une autorité de certification (AGRIATES) ;
\item clef-rsa : fonctionne en mode autonome.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Monter un tunnel Amon-Sphynx}
\begin{itemize}
\item Sphynx et Amon doivent être sur le même plan d'adressage (généralement internet) ;
\item la configuration doit être préparé sur le Sphynx ;
\item la configuration est transféré sur l'Amon (disquette, clef, ...) ;
\item activation du RVP sur Amon.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Instanciation de Sphynx1 ;
\begin{itemize}
\item adresse IP fixe,
\item mode d'authentification clef-rsa ;
\end{itemize}
\item instanciation ;
\item logout (pour obtenir les variables d'environnements) ;
\item manage-sphynx.sh : Demande\_Certificat dans le "disque local" ;
\item mode pki :
\begin{itemize}
\item envoyer le fichier .p10,
\item copier le certificat dans ce répertoire ;
\end{itemize}
\item init-sphynx.sh ;
\item remarque : on ne peut plus changer la configuration réseau maintenant ;
\item voir la base dans /usr/share/eole/sphynx-vpn/xml/sphynx.xml.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Ajout d'un Amon amon1 sur le Sphynx :
\begin{itemize}
\item copier le fichier config.eol dans /home/data/amon1/config.eol du Sphynx ;
\item lancer manage-sphynx.sh ;
\item Gerer\_Amon\_Etablissement ;
\item Ajouter\_Amon.
\end{itemize}
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item configure l'Amon amon1 :
\begin{itemize}
\item copie du répertoire Sphynx /home/data/amon1 sur l'Amon,
\item onglet service : Activation du RVP,
\item à l'instanciation ou après avec la commande active\_rvp.sh choisir le répertoire,
\item en mode PKI, demande de mot de passe ;
\end{itemize}
\item test avec "test-rvp".
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Revoir la base dans /usr/share/eole/sphynx-vpn/xml/sphynx.xml.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Demarrage de RVP}
\begin{itemize}
\item Pour redemarrer l'ensemble des tunnels : redemarrer bastion
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Validité et révocation}
\begin{itemize}
\item Valide 5 ans (pour AGRIATES) ;
\item liste des certificats révoqués par Toulouse (rechargé toutes les 7 heures) ;
\item agent Zéphir (EAD ou Zéphir) :
\begin{itemize}
\item 45 jours avant : orange,
\item 30 jours avant : rouge,
\end{itemize}
\item Demander\_Certificat dans manage-sphynx.sh ;
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Sphynx et Zéphir}
\begin{itemize}
\item Gestion des configurations RVP :
\begin{itemize}
\item listing des configurations RVP (avec voyant suivant les étapes),
\item mise en place de la configuration RVP,
\end{itemize}
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Sphynx en haute disponibilité}
\begin{itemize}
\item Les règles sont synchronisés du maître vers l'esclave ;
\item Heartbeat surveille ;
\item une interface graphique (hb\_gui) permet de configure, d'administrer et de monitorer la haute disponibilité.
\end{itemize}
\end{frame}