formations/modules_EOLE_envole/sphynx/old-01-sphynx.tex

\section{Sphynx}
\begin{frame}{Plan}
  \begin{columns}[t]
  \begin{column}{5cm}
  \tableofcontents[sections={1-6},currentsection, hideothersubsections]
  \end{column}
  \begin{column}{5cm}
  \tableofcontents[sections={7-11},currentsection,hideothersubsections]
  \end{column}
  \end{columns}
\end{frame}

\begin{frame}
 \frametitle{Présentation}
 \begin{itemize}
  \item Réseau Privé Virtuel en étoile (pas en maillage) ;
  \item application centralisée ;
  \item possibilité d'inter-établissement.
 \end{itemize}
\end{frame}

\begin{frame}
 \frametitle{Différence PKI et clef-rsa}
 \begin{itemize}
  \item PKI : nécessite une autorité de certification (AGRIATES) ;
  \item clef-rsa : fonctionne en mode autonome.
 \end{itemize}
\end{frame}

\begin{frame}
 \frametitle{Monter un tunnel Amon-Sphynx}
 \begin{itemize}
  \item Sphynx et Amon doivent être sur le même plan d'adressage (généralement internet) ;
  \item la configuration doit être préparé sur le Sphynx ;
  \item la configuration est transféré sur l'Amon (disquette, clef, ...) ;
  \item activation du RVP sur Amon.
 \end{itemize}
\end{frame}

\begin{frame}
 \frametitle{Pratique}
 \begin{itemize}
  \item Instanciation de Sphynx1 ;
  \begin{itemize}
   \item adresse IP fixe,
   \item mode d'authentification clef-rsa ;
  \end{itemize}
  \item instanciation ;
  \item logout (pour obtenir les variables d'environnements) ;
  \item manage-sphynx.sh : Demande\_Certificat dans le "disque local" ;
  \item mode pki :
  \begin{itemize}
   \item envoyer le fichier .p10,
   \item copier le certificat dans ce répertoire ;
  \end{itemize}
  \item init-sphynx.sh ;
  \item remarque : on ne peut plus changer la configuration réseau maintenant ;
  \item voir la base dans /usr/share/eole/sphynx-vpn/xml/sphynx.xml.
 \end{itemize}
\end{frame}

\begin{frame}
 \frametitle{Pratique}
 \begin{itemize}
  \item Ajout d'un Amon amon1 sur le Sphynx :
  \begin{itemize}
   \item copier le fichier config.eol dans /home/data/amon1/config.eol du Sphynx ;
   \item lancer manage-sphynx.sh ;
   \item Gerer\_Amon\_Etablissement ;
   \item Ajouter\_Amon.
  \end{itemize}
 \end{itemize}
\end{frame}


\begin{frame}
 \frametitle{Pratique}
 \begin{itemize}
  \item configure l'Amon amon1 :
  \begin{itemize}
   \item copie du répertoire Sphynx /home/data/amon1 sur l'Amon,
   \item onglet service : Activation du RVP,
   \item à l'instanciation ou après avec la commande active\_rvp.sh choisir le répertoire,
   \item en mode PKI, demande de mot de passe ;
  \end{itemize}
  \item test avec "test-rvp".
 \end{itemize}
\end{frame}

\begin{frame}
 \frametitle{Pratique}
 \begin{itemize}
  \item Revoir la base dans /usr/share/eole/sphynx-vpn/xml/sphynx.xml.
 \end{itemize}
\end{frame}

\begin{frame}
 \frametitle{Demarrage de RVP}
 \begin{itemize}
  \item Pour redemarrer l'ensemble des tunnels : redemarrer bastion
 \end{itemize}
\end{frame}

\begin{frame}
 \frametitle{Validité et révocation}
 \begin{itemize}
  \item Valide 5 ans (pour AGRIATES) ;
  \item liste des certificats révoqués par Toulouse (rechargé toutes les 7 heures) ;
  \item agent Zéphir (EAD ou Zéphir) : 
  \begin{itemize}
   \item 45 jours avant : orange,
   \item 30 jours avant : rouge,
  \end{itemize}
  \item Demander\_Certificat dans manage-sphynx.sh ;
 \end{itemize}
\end{frame}

\begin{frame}
 \frametitle{Sphynx et Zéphir}
 \begin{itemize}
  \item Gestion des configurations RVP :
  \begin{itemize}
   \item listing des configurations RVP (avec voyant suivant les étapes),
   \item mise en place de la configuration RVP,
  \end{itemize}
 \end{itemize}
\end{frame}

\begin{frame}
 \frametitle{Sphynx en haute disponibilité}
 \begin{itemize}
  \item Les règles sont synchronisés du maître vers l'esclave ;
  \item Heartbeat surveille ;
  \item une interface graphique (hb\_gui) permet de configure, d'administrer et de monitorer la haute disponibilité.
 \end{itemize}
\end{frame}