ALCASAR : Portail Captif et Filtrage Web URL sur Serveur Hyper-V

Mise a jour le 07/04/2021

ALCASAR est un contrôleur sécurisé d’accès à Internet pour les réseaux publics ou domestiques. Il authentifie et protège les connexions des utilisateurs indépendamment de leurs équipements (PC, tablette, smartphone, console de jeux, TV, etc.). Il intègre plusieurs mécanismes de filtrage adaptés aux besoins privés (contrôle parental et filtrage des objets connectés) ou aux chartes et règlements internes (entreprises, associations, centres de loisirs et d’hébergement, écoles, bibliothèques, mairies, etc.).

Installé sur un réseau public, il protège le responsable du réseau en journalisant et en attribuant (imputation) toutes les connexions afin de répondre aux exigences légales et réglementaires.


Télécharger, à partir du site www.alcasar.net, ou FTP, l’image ISO de MAGEIA contenant ALCASAR.

Schéma de L’installation

Configuration de la VM Hyper-V

Note : Tuto Hyper-V : https://www.pc2s.fr/category/informatique/hyper-v/

Il s’agit d’une machine virtuelle sous Hyper-V. La configuration est la suivante :

  • 2 Cartes réseaux (Externe et Interne (ou Privé))
  • Disque dur de 60 Go (minimum)
  • Mémoire vive de 4 Go (minimum)

Alacasar0

Informations réseau pour ALCASAR

Récupérez les informations liées à votre propre réseau. Dans ce mode opératoire, nous utiliserons les éléments suivants :

  • IP LAN : 192.168.182.1 (Réseau Interne de consultation)
  • IP WAN : 192.168.1.2 (Réseau Externe de la passerelle d’accès a internet)
  • IP PASSERELLE Internet : 192.168.1.1 (Adresse de votre Routeur / Box Internet)
  • IP DNS1 : 192.168.1.1 (Passerelle d’accès a internet / Routeur, Box)
  • IP DNS2 : 8.8.8.8 (DNS Google)

Installation de MAGEIA – Démarrer la VM

Sélectionner « Install Mageia« .

Sélectionner la langue : « Français »

« Accepter la licence »

Sélectionner le type de clavier « Français »

Sélectionner « Utiliser l’espace disponible »

Groupes de Paquetages > Sélectionner « Aucun »

L’installation démarre…

Gestion des utilisateurs

Renseigner un mot de passe pour le compte « root » et créer le compte « sysadmin » et donnez-lui un mot de passe.

Vérifier la configuration du « Fuseau horaire » et du « Pays »

Sélectionner > « Configurer » > « Interface graphique »

Sélectionner > « vesa »

Décocher > « Activer la transparence »

Sélectionner > « Plug’n Play »

Laisser sur > « Automatique »

Vérifier la configuration du « Clavier – Français » et « Interface graphique – Automatique »

Configuration Réseau et Internet

Réseau – ethernet > Cliquer sur « Configurer« .

Sélectionner « Filaire (Ethernet) »

Sélectionner l’interface réseau WAN connectée à Internet (Ici : eth0).

Note : choisissez l’interface avec le plus petit index.

Cocher l’option « Configuration manuelle »

Paramètres IP

  • L’adresse IP : 192.168.1.2 (cette adresse doit être dans le même sous-réseau que l’adresse de votre Routeur, Box Internet)
  • Le masque sous-réseau : 255.255.255.0
  • La passerelle : 192.168.1.1 (c’est l’adresse de votre routeur, box)
  • Les DNS : 192.168.1.1 et 8.8.8.8 (DNS Google)
  • Nom d’Hôte : laissez la valeur par défaut

  • Cocher l’option « Lancer la connexion au démarrage ».
  • Laisser « Automatique » pour le contrôle de l’interface par Network Manager.

Cocher l’option « Non« . Cliquer sur « Suivant » et « Terminer »

Le réseau est configuré > Cliquer « Suivant »

L’installation se termine et Mageia redémarre …


Installation et Configuration de ALCASAR

Identifiez-vous avec le compte : « root » et son mot de passe.

Facultatif : Télécharger et décompresser la dernière version de l'archive ALCASAR

Télécharger l’archive d’Alcasar :

curl -O http://ftp.alcasar.net/stable/alcasar-latest.tar.gz

Décompresser l’archive

tar -xvf alcasar-latest.tar.gz

Accéder au répertoire et installer Alcasar

dir > cd alcasar-3.5.2 > sh alcasar.sh –i

Accepter la licence.

Des tests d’accès à Internet sont réalisés. L’installation d’une centaine de logiciels (paquetages) est effectuée a partir d’Internet.

Entrer le Nom de votre Organisation : LABO

Tapez « o » pour utiliser la configuration par défaut.

Note : Si vous intégrez ALCASAR dans un réseau avec un Contrôleur de Domaine AD > Modifier l’adresse IP d’ALCASAR en tapant « n« 

Entrer le Nom du compte pour l’administration Web du portail : « admin » et son mot de passe.

Attendre la fin de la configuration… L’installation est terminée. Appuyez sur la touche « Entrée« . Le système redémarre.


Accès a l’interface d’Administration de ALCASAR

Connectez vous a l’URL WEB > « http://alcasar.localdomain » en utilisant « Firefox » ou « Internet Explorer » (de préférence) et ajouter une exception sur le certificat de sécurité d’ALCASAR

  • Cliquer sur la « roue crantée » en bas à droite pour accéder à l’interface d’administration d’ALCASAR
  • Se connecter an Administrateur : « admin » et son mot de passe


Configuration du Filtrage de ALCASAR

FILTRAGE > Liste Noire > Mettre à jour la liste de filtrage Web > « Télécharger la dernière version »

Sélectionner les Catégories souhaitées dans les onglets « Liste Noire » et « Liste Blanche » et valider > « Enregistrer les modifications »

Activer le contrôle scolaire / parental des moteurs de recherche et valider « Enregistrer les modifications »


Création des Utilisateurs pour s’identifier sur le Portail Captif ALCASAR

  • Soit vous exploitez une liste blanche (Antivirus web + Whitelist). Les utilisateurs filtrés de cette manière ne peuvent accéder qu’aux sites et adresses IP spécifiés dans cette liste blanche.
  • Soit vous exploitez une liste noire (Antivirus web + Blacklist). Les utilisateurs filtrés de cette manière peuvent accéder à tous les sites et adresses IP à l’exception de ceux spécifiés dans cette liste noire.


Configuration des Exceptions a l’Authentification de ALCASAR

Par défaut, ALCASAR bloque tous les flux réseau sans utilisateur authentifié. Vous pouvez définir des exceptions afin de permettre :

  1. Aux logiciels antivirus et aux systèmes d’exploitation de se mettre à jour automatiquement sur les sites des éditeurs.
  2. De joindre sans authentification un Serveur ou une zone de sécurité (DMZ) située derrière ALCASAR.
  3. A certains équipements de ne pas être interceptés.

1 – Noms de Domaine Internet de confiance

Vous pouvez gérer des Noms de sites ou de Domaines de confiance.

  • Dans le cas d’un Nom de Domaine, tous les sous-domaines sont autorisés (exemple : « .pc2s.fr » autorise « ftp.pc2s.fr », « www.pc2s.fr », « intranet.pc2s.fr », etc.).
  • Vous pouvez insérer le lien d’un site de confiance dans la page d’interception d’ALCASAR présentée aux utilisateurs.

2 – Adresse IP de confiance

Dans cette fenêtre, vous pouvez déclarer des adresses IP d’équipements ou de réseaux situées derrière ALCASAR. Le filtrage de protocoles n’a pas d’action sur les adresses déclarées ici.

3 – Equipements de consultation de confiance

Il est possible d’autoriser certains équipements situés sur le réseau de consultation à traverser ALCASAR sans être interceptés.

  • Pour cela, il faut créer un utilisateur dont l’Identifiant est l’adresse MAC de l’équipement (écrite sous ce format : 08-00-27-F3-DF-68) et le mot de passe est : « password« .
  • Dans ce cas les traces de connexion vers Internet seront imputées à cet équipement (et non à un utilisateur). Renseignez les informations « Nom et prénom » du compte pour enrichir l’affichage de l’adresse MAC dans les différentes fenêtres d’activité.


Personnaliser le Logo

Il est possible de mettre en place le logo de votre organisme en cliquant sur le logo situé en haut et à droite de l’interface de gestion.

  • Votre logo sera inséré dans la page d’authentification ainsi que dans le bandeau de l’interface de gestion.
  • Votre logo doit être au format « png » et il ne doit pas dépasser la taille de 100Ko.


Arrêter ou Redémarrer la VM ALCASAR

Deux possibilités permettent d’arrêter ou de redémarrer « proprement » le système :

  • En se connectant sur la console en tant que « root » et en lançant la commande « poweroff » ou « reboot« 
  • Via l’interface de gestion graphique (ACC) : « SYSTEME » > « Services« 

Note : Lors du redémarrage d’ALCASAR, une procédure supprime toutes les connexions qui n’auraient pas été fermées suite à un arrêt non désiré (panne matérielle, coupure électrique, etc.).


Interception du Portail Captif sur un poste client du réseau local LAN

Lancez votre navigateur internet (Chrome, Edge, Firefox …)

Note : La redirection HTTPS vers HTTP peut ne pas fonctionner correctement. Dans ce cas, 2 solutions :

    • Entrer une adresse valide en HTTP et non HTTPS. (Exemple : http://neverssl.com)
    • Utiliser le lien d’accès au Portail : http://alcasar.localdomain

Renseigner l’identifiant et mot de passe d’un utilisateur pour se connecter au Portail Captif Alcasar

Authentification réussie


Se déconnecter de ALCASAR

  • Revenir a : « http://alcasar.localdomain » et sélectionner : « Se déconnecter d’internet« 
  • Se connecter a l’URL : « http://alcasar.localdomain/status.php » et sélectionner : « Fermeture de la session« 
  • Taper : « logout » dans la barre d’adresse


Vérification du filtrage Web sur le poste client

Le filtrage Web est actif et SafeSearch est activé automatiquement.

Blocage des sites indésirables en HTTP !

Blocage des sites indésirables en HTTPS !


Configurer ALCASAR dans un Domaine Windows Serveur Active Directory avec Services DHCP / DNS / Annuaire LDAP externe

Informations réseau pour ALCASAR couplé a un Serveur de Domaine AD

L’objectif est d’utiliser le serveur DHCP et DNS de Windows Serveur.

Récupérez les informations liées à votre propre réseau. Dans ce mode opératoire, nous utiliserons les éléments suivants :

  • Nom de DOMAINE : LABO.local
  • IP LAN Windows Serveur AD : 192.168.182.10
  • IP LAN Alcasar : 192.168.182.1

Gestionnaire DNS du Serveur de Domaine AD > Zone DNS directe du Domaine « LABO.local » > Clic droit : Nouvel Hote (A ou AAAA)

  • Renseigner le Nom d’hôte : alcasar
  • Tape l’adresse IP de Alcasar : 192.168.182.1
  • Cocher l’option « Créer un pointeur d’enregistrement PTR associé« 
  • Cliquez sur « Ajouter un hôte« 

Propriétés du Serveur DNS > Onglet « Redirecteurs » > Ajouter l’adresse IP du serveur alcasar.labo.local > 192.168.182.1

Paramétrer le DHCP du Serveur de Domaine AD > Configurer les options de l’étendue

  • 003 Routeur : « IP LAN ALCASAR » > 192.168.182.1
  • 006 Serveurs DNS : « IP SERVEUR AD + IP LAN ALCASAR » > 192.168.182.10, 192.168.182.1
  • 015 Nom de domaine DNS : « DOMAINE AD + DOMAINE ALCASAR » > LABO.local,localdomain


Retour sur la Console ALCASAR

Connexion avec le compte « root » et modifier le fichier « /usr/local/etc/alcasar.conf » de la manière suivante :

vi /usr/local/etc/alcasar.conf

Note : Il se peut que le fichier soit en cour d’utilisation (message l’indiquant) > Taper “e” pour continuer et modifier quand même

Rentrer en mode insertion en tapant “i” et modifier les lignes :

  • DHCP=off
  • EXT_DHCP_IP=192.168.182.10 (IP Serveur Windows)
  • RELAY_DHCP_IP=192.168.182.1 (IP Alcasar)
  • RELAY_DHCP_PORT=67
  • INT_DNS_DOMAIN=LABO.local (Domaine Windows)
  • INT_DNS_IP=192.168.182.10 (IP Serveur Windows)
  • INT_DNS_ACTIVE=on

Quitter le mode insertion en tapant “Echap” et enregistrer en tapant “:wq” puis valider par « Entrée« . (« w » pour enregistrer et « q » pour quitter)

Appliquer la configuration :

alcasar-conf.sh –apply

Les différentes instances de ALCASAR seront redémarrées à l’issue. Patienter… L’application de la configuration peut être assez longue !

Pour que toutes les modifications soit prisent en compte, redémarrer ALCASAR > « reboot« 


Gestion des utilisateurs Windows et configuration d’ALCASAR pour se connecter au Serveur d’annuaire Active Directory

Afin qu’ALCASAR puisse authentifier les utilisateurs du serveur Active Directory, il est nécessaire qu’il puisse consulter l’annuaire des utilisateurs.

Créer l’utilisateur « Alcasar » sur le contrôleur Active Directory. Ce compte servira exclusivement à ALCASAR pour lire les informations de l’annuaire.

L’utilisateur est bien présent dans l’Unité d’Organisation (OU) « Utilisateurs« 

Donner une « Délégation de contrôle » au compte utilisateur « Alcasar » > clic droit sur le Domaine

Rechercher et sélectionner l’utilisateur « Alcasar« 

Cocher « Créer une tâche personnalisée à déléguer« 

Cocher « Seulement des objets suivants dans le dossier » et « Objets Utilisateur« 

Cocher « Générales » et « Lire toutes les propriétés« 


Retour sur l’interface d’Administration de ALCASAR

Activer l’authentification LDAP :

  • Activer l’authentification LDAP > sélectionner « OUI« 
  • Serveur LDAP > Adresse IP du serveur Windows : 192.168.182.10
  • Connexion chiffré > « NON« 
  • CN de l’utilisateur exploité par ALCASAR > « cn=Alcasar,ou=Utilisateurs,dc=LABO,dc=local« 
  • Mot de passe > Taper le « Mot de passe » du compte utilisateur « Alcasar« 
  • DN de la base LDAP / AD > « ou=Utilisateurs,dc=LABO,dc=local« 
  • Identifiant d’utilisateur (UID) LDAP / AD > « sAMAccountName« 
  • Nom de domaine interne > « LABO.local« 
  • Cliquer sur « Enregistrer« 

Les utilisateurs de l’annuaire peuvent désormais utiliser le Portail Captif ALCASAR


Configuration du Filtrage de ALCASAR pour les Membres de l’Annuaire AD

Il est possible d’affecter des attributs propres à ALCASAR (sessions simultanées, durée d’une session, filtrage, etc.) à l’ensemble des utilisateurs déclarés dans un annuaire externe.

  • Pour cela, créez sur ALCASAR un groupe nommé « ldap » (en minuscule) pour lequel vous réglez les attributs souhaités.

Il est aussi possible d’affecter des attributs propres à ALCASAR à un compte particulier déclaré dans un annuaire externe.

  • Pour cela, créez sur ALCASAR un utilisateur portant le même nom/identifiant que celui de l’annuaire et affectez-lui les attributs souhaités.

Configurer une Exception d’Authentification pour le Serveur AD dans ALCASAR

Créer un utilisateur dont l’Identifiant est l’adresse MAC du Serveur AD (écrite sous ce format : 08-00-27-F3-DF-68) et le mot de passe est : “password“.


Redémarrer ALCASAR