Subversion Repositories ALCASAR

#!/bin/sh

# alcasar.sh

# by Franck BOUIJOUX, Pascal LEVANT and Richard REY

# This script is distributed under the Gnu General Public License (GPL)

# Install script for ALCASAR (a secured and authenticated Internet access control captive portal)

# Script d'installation d'ALCASAR (Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au Réseau)

# ALCASAR is based on a stripped Mandriva (LSB) with the following open source softwares :

# ALCASAR est architecturé autour d'une distribution Linux Mandriva minimaliste et les logiciels libres suivants :

# Coovachilli (a fork of chillispot), freeradius, mysql, apache, netfilter, squid, dansguardian, mondo, mindi, dialupadmin, awstat, ntpd, dhcpd, openssl and firewalleyes

# Options :

#       -install    complete install - installation complète

#       -uninstall  uninstall the portal - désinstallation du portail

#       -update     update - mise à jour

# Funtions :

#       init            : Installation des RPM et des scripts

#       network         : Paramètrage du réseau

#       gestion         : Installation de l'interface de gestion

#       AC              : Initialisation de l'autorité de certification. Création des certificats

#       init_db         : Création de la base 'radius' sur le serveur MySql

#       param_radius    : Configuration du serveur d'authentification FreeRadius

#       param_web_radius: Configuration de l'interface de gestion de FreeRadius (dialupadmin)

#       param_chilli    : Configuration du daemon 'coova-chilli' et de la page d'authentification

#       param_squid     : Configuration du proxy squid en mode 'cache'

#       param_dansguardian : Configuration de l'analyseur de contenu DansGuardian

#       firewall        : Mise en place des règles du parefeu et de l'interface WEB FirewallEyes

#       param_awstats   : Configuration de l'interface des statistiques de consultation WEB

#       bind            : Configuration du serveur de noms

#       cron            : Mise en place des exports de logs (+ chiffrement)

VERSION="1.9a"

DATE=`date '+%d %B %Y - %Hh%M'`

DATE_SHORT=`date '+%d/%m/%Y'`

# ******* Files parameters - paramètres fichiers *********

DIR_INSTALL=`pwd`                               # répertoire d'installation

DIR_GESTION="$DIR_INSTALL/gestion"              # répertoire d'installation contenant l'interface de gestion

DIR_CONF="$DIR_INSTALL/conf"                    # répertoire d'installation contenant les fichiers de configuration

DIR_SCRIPTS="$DIR_INSTALL/scripts"              # répertoire d'installation contenant les scripts

DIR_SAVE="/var/Save"                            # répertoire de sauvegarde (ISO, backup, etc.)

DIR_WEB="/var/www/html"                         # répertoire du centre de gestion

DIR_DEST_BIN="/usr/local/bin"                   # répertoire des scripts

DIR_DEST_SBIN="/usr/local/sbin"                 # répertoire des scripts d'admin

DIR_DEST_ETC="/usr/local/etc"                   # répertoire des fichiers de conf

FIC_PARAM="/root/ALCASAR-parameters.txt"        # fichier texte résumant les paramètres d'installation

FIC_PASSWD="/root/ALCASAR-passwords.txt"        # fichier texte contenant les mots de passe et secrets partagés 

# ******* DBMS parameters - paramètres SGBD ********

DB_RADIUS="radius"                              # nom de la base de données utilisée par le serveur FreeRadius

DB_USER="radius"                                # nom de l'utilisateur de la base de données

# ******* Network parameters - paramètres réseau *******

DOMAIN="localdomain"                            # domaine local

EXTIF="eth0"                                    # ETH0 est l'interface connectée à Internet (Box FAI)

INTIF="eth1"                                    # ETH1 est l'interface connectée au réseau local de consultation

CUSTOM_PRIVATE_NETWORK_MASK="192.168.182.0/24"  # adresse du réseau de consultation proposée par défaut

SQUID_PORT="3128"                               # Port d'écoute du proxy Squid

UAMPORT="3990"

# ****** Paths - chemin des commandes *******

SED="/bin/sed -i"

# ****** Alcasar needed RPMS - paquetages nécessaires au fonctionnement d'Alcasar ******

PACKAGES="freeradius freeradius-mysql freeradius-ldap freeradius-web apache-mpm-prefork apache-mod_ssl apache-mod_php squid dansguardian postfix MySQL logwatch ntp awstats mondo cdrecord buffer vim-enhanced bind-utils wget arpscan ulogd dhcp-server openssh-server php-xml coova-chilli pam_ccreds rng-utils lsb-release bind"

# ****************** End of global parameters *********************

header_install ()

{

        clear

        echo "-----------------------------------------------------------------------------"

        echo "                     Installation d'ALCASAR V$VERSION"

        echo "Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au Réseau"

        echo "-----------------------------------------------------------------------------"

} # End of header_install ()

header_update ()

{

        clear

        echo "-----------------------------------------------------------------------------"

        echo "                     Procédure de mise à jour d'ALCASAR"

        echo "-----------------------------------------------------------------------------"

} # End of header_update ()

##################################################################

##                      Fonction INIT                           ##

## - Test de la connectivité Internet                          ##

## - Création du fichier "/root/ALCASAR_parametres.txt"                ##

## - Installation et modification des scripts du portail        ##

## - Installation des paquetages complémentaires               ##

##################################################################

init ()

{

        if [ "$mode" = "install" ]

        then

                header_install

                if [ -e $DIR_WEB/VERSION ]

                then

                        echo -n "La version "; echo -n `cat $DIR_WEB/VERSION`; echo " d'ALCASAR est déjà installée"; echo "Utilisez l'option '-update' si vous voulez la mettre à jour.";

                        exit 0

                fi

        echo -n "Tests des paramètres réseau : "

# On teste l'état du lien des interfaces réseau

                for i in $EXTIF $INTIF

                do

                        /sbin/ifconfig $i up

                        sleep 2

                        if [ "`/usr/sbin/ethtool $i|grep Link|cut -d' ' -f3`" != "yes" ]

                                then

                                echo "Échec"

                                echo "Le lien réseau de la carte $i n'est pas actif."

                                echo "Réglez ce problème avant de poursuivre l'installation d'ALCASAR."

                                exit 0

                        fi

                done

# On teste la présence d'un routeur par défaut (Box FAI)

                if [ `/sbin/route -n|grep -c ^0.0.0.0` -ne "1" ] ; then

                        echo "Échec"

                        echo "Vous n'avez pas configuré l'accès à Internet ou le câble réseau n'est pas sur la bonne carte."

                        echo "Réglez ce problème avant de poursuivre."

                        exit 0

                fi

# On traite le cas où l'interface configurée lors de l'installation est "eth1" au lieu de "eth0" (mystère sur certains BIOS et sur VirtualBox)

                if [ `/sbin/route -n|grep ^0.0.0.0|grep -c eth1` -eq "1" ] ; then

                        echo "Échec. La configuration des cartes réseau va être corrigée."

                        /etc/init.d/network stop

                        mv -f /etc/sysconfig/network-scripts/ifcfg-eth1 /etc/sysconfig/network-scripts/ifcfg-eth0

                        $SED "s?eth1?eth0?g" /etc/sysconfig/network-scripts/ifcfg-eth0

                        /etc/init.d/network start

                        echo 0 > /proc/sys/net/ipv4/conf/all/log_martians

                        sleep 2

                        echo "Configuration corrigée"

                        sleep 2

                        echo "Vous pouvez relancer ce script (sh alcasar.sh -install)."

                        exit 0

                fi

# On teste la connectivité Internet

                rm -rf /tmp/con_ok.html

                `/usr/bin/curl www.google.fr -# -o /tmp/con_ok.html`

                if [ ! -e /tmp/con_ok.html ]

                then

                        echo "La tentative de connexion vers Internet a échoué (google.fr)."

                        echo "Vérifiez que la carte $EXTIF est bien connectée au routeur du FAI."

                        echo "Vérifiez la validité des adresses DNS."

                        exit 0

                fi

                echo "Tests de connectivité Internet corrects"

                rm -rf /tmp/con_ok.html

# On installe les paquetage complémentaires

                echo "Installation des paquetages complémentaires"

                chmod u+x $DIR_SCRIPTS/alcasar-urpmi.sh

                $DIR_SCRIPTS/alcasar-urpmi.sh

                urpmi --auto $PACKAGES

# On teste l'installation d'au moins un paquetage complémentaire (fichier "/usr/sbin/htdigest" du rpm "apache-base") 

                if [ ! -e /usr/sbin/htdigest ]

                then

                        echo "L'installation des paquetages complémentaires a échouée"

                        echo "Vérifiez la connectivité vers le dépot (ftp://ftp.free.fr)"

                        exit 0

                fi

# On supprime les paquetages et le services inutiles

                for rm_rpm in avahi mandi shorewall-common shorewall

                        do

                        /usr/sbin/urpme --auto $rm_rpm

                        done

                for svc in alsa sound dm atd memcached dc_server

                do

                        /sbin/chkconfig --del $svc

                done

# On affecte le nom système

                header_install

                ORGANISME=!

                PTN='^[a-zA-Z1-9-]*$'

                until [[ $(expr $ORGANISME : $PTN) -gt 0 ]]

                do

                        echo -n "Entrez le nom de votre organisme : "

                        read ORGANISME

                        if [ "$ORGANISME" = "" ]

                                then

                                ORGANISME=!

                        fi

                done

else # mode update

        echo "Mise à jour du système"

        chmod u+x $DIR_SCRIPTS/alcasar-urpmi.sh

        $DIR_SCRIPTS/alcasar-urpmi.sh

# on installe les mises à jour spécifiques

        urpmi --no-verify --auto $DIR_CONF/rpms-update/*.rpm

fi

# On met à jour le système

        urpmi --auto --auto-update

# On supprime les paquetages orphelins

        /usr/sbin/urpme --auto-orphans --auto

# On crée aléatoirement les mots de passe et les secrets partagés

        rm -f $FIC_PASSWD

        mysqlpwd=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`       # mot de passe de l'administrateur Mysqld

        echo -n "compte et mot de passe de l'administrateur Mysqld : " > $FIC_PASSWD

        echo "root / $mysqlpwd" >> $FIC_PASSWD

        radiuspwd=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`      # mot de passe de l'utilisateur Mysqld (utilisé par freeradius)

        echo -n "compte et mot de passe de l'utilisateur Mysqld : " >> $FIC_PASSWD

        echo "$DB_USER / $radiuspwd" >> $FIC_PASSWD

        secretuam=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`      # secret partagé entre intercept.php et coova-chilli

        echo -n "secret partagé entre le script 'intercept.php' et coova-chilli : " >> $FIC_PASSWD

        echo "$secretuam" >> $FIC_PASSWD

        secretradius=`cat /dev/urandom | tr -dc [:alnum:] | head -c8`   # secret partagé entre coova-chilli et FreeRadius

        echo -n "secret partagé entre coova-chilli et FreeRadius : " >> $FIC_PASSWD

        echo "$secretradius" >> $FIC_PASSWD

        chmod 640 $FIC_PASSWD

# On installe et on modifie les scripts d'Alcasar

        cp -f $DIR_SCRIPTS/alcasar* $DIR_DEST_BIN/. ; chown root.root $DIR_DEST_BIN/alcasar* ; chmod 740 $DIR_DEST_BIN/alcasar*

        cp -f $DIR_SCRIPTS/sbin/alcasar* $DIR_DEST_SBIN/. ; chown root.root $DIR_DEST_SBIN/alcasar* ; chmod 740 $DIR_DEST_SBIN/alcasar*

        cp -f $DIR_SCRIPTS/etc/alcasar* $DIR_DEST_ETC/. ; chown root.apache $DIR_DEST_ETC/alcasar* ; chmod 660 $DIR_DEST_ETC/alcasar*

        $SED "s?^radiussecret.*?radiussecret=\"$secretradius\"?g" $DIR_DEST_SBIN/alcasar-logout.sh

        $SED "s?^DB_RADIUS=.*?DB_RADIUS=\"$DB_RADIUS\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh

        $SED "s?^DB_USER=.*?DB_USER=\"$DB_USER\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh

        $SED "s?^radiuspwd=.*?radiuspwd=\"$radiuspwd\"?g" $DIR_DEST_SBIN/alcasar-mysql.sh

# On génère le début du fichier récapitulatif

        cat <<EOF > $FIC_PARAM

########################################################

##                                                    ##

##   Fichier récapitulatif des paramètres d'ALCASAR   ##

##                                                    ##

########################################################

- Date d'installation : $DATE

- Version istallée : $VERSION

- Organisme : $ORGANISME

EOF

        chmod o-rwx $FIC_PARAM

} # End of init ()

##################################################################

##                      Fonction network                        ##

## - Définition du plan d'adressage du réseau de consultation ##

##  (merci à Alexandre Trias pour le calcul de masque et RegEx) ##

## - Nommage DNS du système (portail + nom d'organisme)                ##

## - Configuration de l'interface eth1 (réseau de consultation)        ##

## - Modification du fichier /etc/hosts                         ##

## - Configuration du serveur de temps (NTP)                    ##

## - Renseignement des fichiers hosts.allow et hosts.deny       ##

##################################################################

network ()

{

        header_install

        echo "Par défaut, le plan d'adressage du réseau de consultation est : $CUSTOM_PRIVATE_NETWORK_MASK"

        response=0

        PTN='^[oOnN]$'

        until [[ $(expr $response : $PTN) -gt 0 ]]

                do

                        echo -n "Voulez-vous utiliser ce plan d'adressage (recommandé) (O/n)? : "

                        read response

                done

        if [ "$response" = "n" ] || [ "$response" = "N" ]

        then

                CUSTOM_PRIVATE_NETWORK_MASK="0"

                PTN='^\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\).\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\).\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\).\([01]\?[[:digit:]][[:digit:]]\?\|2[0-4][[:digit:]]\|25[0-5]\)/[012]\?[[:digit:]]$'

                until [[ $(expr $CUSTOM_PRIVATE_NETWORK_MASK : $PTN) -gt 0 ]]

                        do

                                echo -n "Entrez un plan d'adressage au format CIDR (a.b.c.d/xx) : "

                                read CUSTOM_PRIVATE_NETWORK_MASK

                        done

        fi

        HOSTNAME=alcasar-$ORGANISME

        hostname $HOSTNAME

        echo "- Nom du système : $HOSTNAME" >> $FIC_PARAM

        PRIVATE_NETWORK=`/bin/ipcalc -n $CUSTOM_PRIVATE_NETWORK_MASK | cut -d"=" -f2`           # @ réseau de consultation (ex.: 192.168.182.0)

        private_prefix=`/bin/ipcalc -p $CUSTOM_PRIVATE_NETWORK_MASK |cut -d"=" -f2`             # prefixe du réseau (ex. /24)

        PRIVATE_NETWORK_MASK=$PRIVATE_NETWORK/$private_prefix                                   # @ réseau + masque (x.0.0.0/8 ou x.y.0.0/16 ou x.y.z.0/24)

        classe=$((private_prefix/8));                                                           # classe de réseau (ex.: 2=classe B, 3=classe C)

        PRIVATE_NETWORK_SHORT=`echo $PRIVATE_NETWORK | cut -d"." -f1-$classe`.                  # @ compatible hosts.allow et hosts.deny (ex.: 192.168.182.)

        PRIVATE_MASK=`/bin/ipcalc -m $PRIVATE_NETWORK_MASK | cut -d"=" -f2`                     # masque réseau de consultation (ex.: 255.255.255.0)

        PRIVATE_BROADCAST=`/bin/ipcalc -b $PRIVATE_NETWORK_MASK | cut -d"=" -f2`                # @ broadcast réseau de consultation (ex.: 192.168.182.255)

        TMP_MASK=`echo $PRIVATE_NETWORK_MASK|cut -d"/" -f2`; HALF_MASK=`expr $TMP_MASK + 1`     # masque du 1/2 réseau de consultation (ex.: 25)

        PRIVATE_STAT_IP=$PRIVATE_NETWORK/$HALF_MASK                                             # plage des adresses statiques (ex.: 192.168.182.0/25)

        PRIVATE_STAT_MASK=`/bin/ipcalc -m $PRIVATE_STAT_IP/$HALF_MASK | cut -d"=" -f2`          # masque des adresses statiques (ex.: 255.255.255.128)

        classe_sup=`expr $classe + 1`

        classe_sup_sup=`expr $classe + 2`

        private_network_ending=`echo $PRIVATE_NETWORK | cut -d"." -f$classe_sup`

        private_broadcast_ending=`echo $PRIVATE_BROADCAST | cut -d"." -f$classe_sup`

        private_plage=`expr $private_broadcast_ending - $private_network_ending + 1`

        private_half_plage=`expr $private_plage / 2`

        private_dyn=`expr $private_half_plage + $private_network_ending`

        private_dyn_ip_network=`echo $PRIVATE_NETWORK | cut -d"." -f1-$classe`"."$private_dyn"."`echo $PRIVATE_NETWORK | cut -d"." -f$classe_sup_sup-5`

        PRIVATE_DYN_IP=`echo $private_dyn_ip_network | cut -d"." -f1-4`/$HALF_MASK              # plage des adresses dynamiques (ex.: 192.168.182.128/25)

        PRIVATE_DYN_MASK=`/bin/ipcalc -m $PRIVATE_DYN_IP/$HALF_MASK | cut -d"=" -f2`            # masque des adresses dynamiques (ex.: 255.255.255.128)

        private_dyn_ip_network=`echo $PRIVATE_DYN_IP | cut -d"/" -f1`                           # plage des adresses dynamiques sans le masque (ex.: 192.168.182.0)

        private_dyn_ip_end=`echo $private_dyn_ip_network | cut -d"." -f4`                       # dernier octet de la plage des adresses dynamiques (ex.: 128)

        PRIVATE_DYN_FIRST_IP=`echo $private_dyn_ip_network | cut -d"." -f1-3`"."`expr $private_dyn_ip_end + 1`  # 1ère adresse de la plage dynamique (ex.: 192.168.182.129)

        private_broadcast_end=`echo $PRIVATE_BROADCAST | cut -d"." -f4`

        PRIVATE_DYN_LAST_IP=`echo $PRIVATE_BROADCAST | cut -d"." -f1-3`"."`expr $private_broadcast_end - 1`     # dernière adresse de la plage dynamique (ex.: 192.168.182.254)

        PRIVATE_IP=`echo $PRIVATE_NETWORK | cut -d"." -f1-3`"."`expr $private_network_end + 1`  # @ip privée du portail (côté réseau de consultation)

        DNS1=`grep DNS1 /etc/sysconfig/network-scripts/ifcfg-$EXTIF|cut -d"=" -f2`              # @ip 1er DNS

        DNS2=`grep DNS2 /etc/sysconfig/network-scripts/ifcfg-$EXTIF|cut -d"=" -f2`              # @ip 2ème DNS

        extip=`grep IPADDR /etc/sysconfig/network-scripts/ifcfg-$EXTIF|cut -d"=" -f2`           # @ip publique du portail (côté Internet)

        echo "- Adresse de l'interface connectée à Internet ($EXTIF) : $extip" >> $FIC_PARAM

        echo "- Serveurs de DNS renseignés : $DNS1 et $DNS2" >> $FIC_PARAM

        [ -e /etc/sysconfig/network.default ] || cp /etc/sysconfig/network /etc/sysconfig/network.default

        cat <<EOF > /etc/sysconfig/network

NETWORKING=yes

HOSTNAME="$HOSTNAME"

FORWARD_IPV4=true

EOF

# On supprime les log_martians

        $SED "s?^ENABLE_LOG_STRANGE_PACKETS=.*?ENABLE_LOG_STRANGE_PACKETS=no?g" /etc/security/msec/security.conf

# Modif /etc/hosts

        [ -e /etc/hosts.default ] || cp /etc/hosts /etc/hosts.default

        cat <<EOF > /etc/hosts

127.0.0.1       $HOSTNAME localhost.localdomain localhost

$PRIVATE_IP     $HOSTNAME alcasar portail

EOF

        echo "- Adresse de l'interface connectée au réseau de consultation ($INTIF) : $PRIVATE_IP" >> $FIC_PARAM

        echo "- Adresse du réseau de consultation : $PRIVATE_NETWORK_MASK" >> $FIC_PARAM

        echo "    - plage statique : $PRIVATE_STAT_IP" >> $FIC_PARAM

        echo "    - plage dynamique (via DHCP) : $PRIVATE_DYN_IP" >> $FIC_PARAM

# Modification de la configuration de l'interface eth0 (côté Internet)

        $SED "s?^NOZEROCONF=.*?NOZEROCONF=yes?g" /etc/sysconfig/network-scripts/ifcfg-$EXTIF

        $SED "s?^MII_NOT_SUPPORTED=.*?MII_NOT_SUPPORTED=yes?g" /etc/sysconfig/network-scripts/ifcfg-$EXTIF

# Configuration de l'interface eth1 (réseau de consultation)

        cat <<EOF > /etc/sysconfig/network-scripts/ifcfg-$INTIF

DEVICE=$INTIF

BOOTPROTO=static

IPADDR=$PRIVATE_IP

NETWORK=$PRIVATE_NETWORK

NETMASK=$PRIVATE_MASK

ONBOOT=yes

METRIC=10

NOZEROCONF=yes

MII_NOT_SUPPORTED=yes

EOF

# Configuration du serveur de temps

        echo "synchronisation horaire ..."

        [ -e /etc/ntp.conf.default ] || cp /etc/ntp.conf /etc/ntp.conf.default

        cat <<EOF > /etc/ntp.conf

server 0.fr.pool.ntp.org

server 1.fr.pool.ntp.org

server 2.fr.pool.ntp.org

restrict default nomodify notrap noquery

restrict $PRIVATE_NETWORK mask $PRIVATE_MASK

restrict 127.0.0.1

driftfile /etc/ntp/drift

logfile /var/log/ntp.log

EOF

        chown -R ntp:ntp /etc/ntp

ntpd -q -g

# Configuration du serveur dhcpd de secours (mode bypass)

        [ -e /etc/dhcpd.conf.default ] || cp /etc/dhcpd.conf /etc/dhcpd.conf.default 2> /dev/null

        cat <<EOF > /etc/dhcpd.conf

ddns-update-style interim;

subnet $PRIVATE_NETWORK netmask $PRIVATE_MASK {

option routers $PRIVATE_IP;

option subnet-mask $PRIVATE_MASK;

option domain-name-servers $DNS1;

range dynamic-bootp $PRIVATE_DYN_LAST_IP $PRIVATE_DYN_FIRST_IP;

default-lease-time 21600;

max-lease-time 43200;

}

EOF

# écoute côté LAN seulement

        [ -e /etc/sysconfig/dhcpd.default ] || cp /etc/sysconfig/dhcpd /etc/sysconfig/dhcpd.default 2> /dev/null

        $SED "s?^#INTERFACES=.*?INTERFACES=\"$INTIF\"?g" /etc/sysconfig/dhcpd

        /sbin/chkconfig --level 345 dhcpd off

# Renseignement des fichiers hosts.allow et hosts.deny

        [ -e /etc/hosts.allow.default ]  || cp /etc/hosts.allow /etc/hosts.allow.default

        cat <<EOF > /etc/hosts.allow

ALL: LOCAL, 127.0.0.1, localhost, $PRIVATE_IP

sshd: $PRIVATE_NETWORK_SHORT

ntpd: $PRIVATE_NETWORK_SHORT

EOF

        [ -e /etc/host.deny.default ]  || cp /etc/hosts.deny /etc/hosts.deny.default

        cat <<EOF > /etc/hosts.deny

ALL: ALL: spawn ( /bin/echo "service %d demandé par %c" | /bin/mail -s "Tentative d'accès au service %d par %c REFUSE !!!" security ) &

EOF

} # End of network ()

##################################################################

##                      Fonction gestion                        ##

## - installation du centre de gestion                          ##

## - configuration du serveur web (Apache)                      ##

## - définition du 1er comptes de gestion                      ##

## - sécurisation des accès                                   ##

##################################################################

gestion()

{

# Suppression des CGI et des pages WEB installés par défaut

        rm -rf /var/www/cgi-bin/*

        [ -d $DIR_WEB ] && rm -rf $DIR_WEB

        mkdir $DIR_WEB

# Copie et configuration des fichiers du centre de gestion

        cp -rf $DIR_GESTION/* $DIR_WEB/

        echo "$VERSION du $DATE" > $DIR_WEB/VERSION

        $SED "s?99/99/9999?$DATE_SHORT?g" $DIR_WEB/menu.php

        $SED "s?\$DB_RADIUS = .*?\$DB_RADIUS = \"$DB_RADIUS\"\;?g" $DIR_WEB/phpsysinfo/includes/xml/portail.php

        $SED "s?\$DB_USER = .*?\$DB_USER = \"$DB_USER\"\;?g" $DIR_WEB/phpsysinfo/includes/xml/portail.php

        $SED "s?\$radiuspwd = .*?\$radiuspwd = \"$radiuspwd\"\;?g" $DIR_WEB/phpsysinfo/includes/xml/portail.php

        chmod 640 $DIR_WEB/phpsysinfo/includes/xml/portail.php

        chown -R apache.apache $DIR_WEB/*

        for i in ISO base logs/firewall logs/httpd logs/squid ;

        do

                [ -d $DIR_SAVE/$i ] || mkdir -p $DIR_SAVE/$i

        done

        chown -R root.apache $DIR_SAVE

# Configuration php

        $SED "s?^upload_max_filesize.*?upload_max_filesize = 20M?g" /etc/php.ini

        $SED "s?^post_max_size.*?post_max_size = 20M?g" /etc/php.ini

# Configuration Apache

        [ -e /etc/httpd/conf/httpd.conf.default ] || cp /etc/httpd/conf/httpd.conf /etc/httpd/conf/httpd.conf.default

        $SED "s?^#ServerName.*?ServerName $PRIVATE_IP?g" /etc/httpd/conf/httpd.conf

        $SED "s?^Listen.*?#Listen 127.0.0.1:80?g" /etc/httpd/conf/httpd.conf

        $SED "s?^ServerTokens.*?ServerTokens Prod?g" /etc/httpd/conf/httpd.conf

        $SED "s?^ServerSignature.*?ServerSignature Off?g" /etc/httpd/conf/httpd.conf

        $SED "s?^#ErrorDocument 404 /missing.html.*?ErrorDocument 404 /index.html?g" /etc/httpd/conf/httpd.conf

        FIC_MOD_SSL=`find /etc/httpd/modules.d/ -type f -name *mod_ssl.conf`

        $SED "s?^Listen.*?Listen $PRIVATE_IP:443?g" $FIC_MOD_SSL # On écoute en SSL que sur INTIF

        $SED "s?background-color.*?background-color: #EFEFEF; }?g" /var/www/error/include/top.html

        [ -e /var/www/error/include/bottom.html.default ] || mv /var/www/error/include/bottom.html /var/www/error/include/bottom.html.default

        cat <<EOF > /var/www/error/include/bottom.html

</body>

</html>

EOF

        echo "- URL d'accès au centre de gestion : https://$PRIVATE_IP" >> $FIC_PARAM

# Définition du premier compte lié au profil 'admin'

        if [ "$mode" = "install" ]

        then

                header_install

                echo "Pour administrer Alcasar via le centre de gestion WEB, trois profils de comptes ont été définis :"

                echo " - le profil 'admin' capable de réaliser toutes les opérations"

                echo " - le profil 'backup' lié uniquement aux fonctions d'archivage"

                echo " - le profil 'manager' lié uniquement aux fonctions de gestion des usagers"

                echo ""

                echo "Définissez le premier compte du profil 'admin' :"

                echo

                echo -n "Nom : "

                read admin_portail

                echo "- Nom du premier compte lié au profil 'admin' : $admin_portail" >> $FIC_PARAM

# Création du fichier de clés de ce compte dans le profil "admin"

                [ -d $DIR_WEB/digest ] && rm -rf $DIR_WEB/digest

                mkdir -p $DIR_WEB/digest

                chmod 755 $DIR_WEB/digest

                until [ -s $DIR_WEB/digest/key_admin ]

                        do

                                /usr/sbin/htdigest -c $DIR_WEB/digest/key_admin $HOSTNAME $admin_portail

                        done

# Création des fichiers de clés des deux autres profils (backup + manager) contenant ce compte

                $DIR_DEST_SBIN/alcasar-profil.sh -list

        fi

# Sécurisation du centre

        rm -f /etc/httpd/conf/webapps.d/*

        cat <<EOF > /etc/httpd/conf/webapps.d/alcasar.conf

<Directory $DIR_WEB/digest>

        AllowOverride none

        Order deny,allow

        Deny from all

</Directory>

<Directory $DIR_WEB/admin>

        SSLRequireSSL

        AllowOverride None

        Order deny,allow

        Deny from all

        Allow from 127.0.0.1

        Allow from $PRIVATE_NETWORK_MASK

        require valid-user

        AuthType digest

        AuthName $HOSTNAME

        BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On

        AuthUserFile $DIR_WEB/digest/key_admin

        ErrorDocument 404 https://$PRIVATE_IP/

</Directory>

<Directory $DIR_WEB/manager/htdocs>

        SSLRequireSSL

        AllowOverride None

        Order deny,allow

        Deny from all

        Allow from 127.0.0.1

        Allow from $PRIVATE_NETWORK_MASK

        require valid-user

        AuthType digest

        AuthName $HOSTNAME

        BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On

        AuthUserFile $DIR_WEB/digest/key_manager

        ErrorDocument 404 https://$PRIVATE_IP/

</Directory>

<Directory $DIR_WEB/manager/html>

        SSLRequireSSL

        AllowOverride None

        Order deny,allow

        Deny from all

        Allow from 127.0.0.1

        Allow from $PRIVATE_NETWORK_MASK

        require valid-user

        AuthType digest

        AuthName $HOSTNAME

        BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On

        AuthUserFile $DIR_WEB/digest/key_manager

        ErrorDocument 404 https://$PRIVATE_IP/

</Directory>

<Directory $DIR_WEB/backup>

        SSLRequireSSL

        AllowOverride None

        Order deny,allow

        Deny from all

        Allow from 127.0.0.1

        Allow from $PRIVATE_NETWORK_MASK

        require valid-user

        AuthType digest

        AuthName $HOSTNAME

        BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On

        AuthUserFile $DIR_WEB/digest/key_backup

        ErrorDocument 404 https://$PRIVATE_IP/

</Directory>

Alias /save/ "$DIR_SAVE/"

<Directory $DIR_SAVE>

        SSLRequireSSL

        Options Indexes

        Order deny,allow

        Deny from all

        Allow from 127.0.0.1

        Allow from $PRIVATE_NETWORK_MASK

        require valid-user

        AuthType digest

        AuthName $HOSTNAME

        AuthUserFile $DIR_WEB/digest/key_backup

        ErrorDocument 404 https://$PRIVATE_IP/

        ReadmeName      /readmeSave.html

</Directory>

EOF

} # End of gestion ()

##########################################################################################

##                              Fonction AC()                                           ##

## - Création d'une Autorité de Certification et du certificat serveur pour apache    ##

##########################################################################################

AC ()

{

        $SED "s?ifcfg-eth.?ifcfg-$INTIF?g" $DIR_DEST_BIN/alcasar-CA.sh

        $DIR_DEST_BIN/alcasar-CA.sh $mode

        MOD_SSL=`find /etc/httpd/conf -type f -name *default_ssl*`

        $SED "s?localhost.crt?alcasar.crt?g" $MOD_SSL

        $SED "s?localhost.key?alcasar.key?g" $MOD_SSL

        chown -R root.apache /etc/pki

        chmod -R 750 /etc/pki

} # End AC ()

##########################################################################################

##                      Fonction init_db()                                              ##

## - Initialisation de la base Mysql                                                    ##

## - Affectation du mot de passe de l'administrateur (root)                             ##

## - Suppression des bases et des utilisateurs superflus                                ##

## - Création de la base 'radius'                                                      ##

## - Installation du schéma de cette base                                              ##

## - Import des tables de comptabilité (mtotacct, totacct) et info_usagers (userinfo)  ##

##       ces table proviennent de 'dialupadmin' (paquetage freeradius-web)              ##

##########################################################################################

init_db ()

{

        mkdir -p /var/lib/mysql/.tmp

        chown mysql:mysql /var/lib/mysql/.tmp

        [ -e /etc/my.cnf.default ] || cp /etc/my.cnf /etc/my.cnf.default

        $SED "s?^#bind-address.*?bind-address=127.0.0.1?g" /etc/my.cnf

        /etc/init.d/mysqld start

        sleep 4

        mysqladmin -u root password $mysqlpwd

        MYSQL="/usr/bin/mysql -uroot -p$mysqlpwd --exec"

# On supprime les tables d'exemple

        $MYSQL="DROP DATABASE IF EXISTS test;DROP DATABASE IF EXISTS tmp;CONNECT mysql;DELETE from user where user='';FLUSH PRIVILEGES;"

        # On crée la base 'radius'

        $MYSQL="CREATE DATABASE IF NOT EXISTS $DB_RADIUS;GRANT ALL ON $DB_RADIUS.* TO $DB_USER@localhost IDENTIFIED BY '$radiuspwd';FLUSH PRIVILEGES"

        FICSQL_LIBFREERADIUS=`find /etc/raddb/sql/mysql -type f -name schema.sql`

        mysql -u$DB_USER -p$radiuspwd $DB_RADIUS < $FICSQL_LIBFREERADIUS

        $MYSQL="connect $DB_RADIUS;ALTER table radpostauth DROP column pass;"

# Ajout des tables de comptabilité journalière et mensuelle (accounting)

        DIRSQL_FREERADIUS=`find /usr/share/doc/freeradius-web* -type d -name mysql`

        mysql -u$DB_USER -p$radiuspwd $DB_RADIUS < $DIRSQL_FREERADIUS/mtotacct.sql

        mysql -u$DB_USER -p$radiuspwd $DB_RADIUS < $DIRSQL_FREERADIUS/totacct.sql

# correction d'un bug sur la table 'userinfo' avant import

        $SED "s?^  id int(10).*?  id int(10) NOT NULL auto_increment,?g" $DIRSQL_FREERADIUS/userinfo.sql

        mysql -u$DB_USER -p$radiuspwd $DB_RADIUS < $DIRSQL_FREERADIUS/userinfo.sql

# correction d'un bug sur la table 'badusers' avant import (elle reste inutilisée par Alcasar pour l'instant)

        #$SED "s?^  id int(10).*?  id int(10) NOT NULL auto_increment,?g" $DIRSQL_FREERADIUS/badusers.sql

        #mysql -u$DB_USER -p$radiuspwd $DB_RADIUS < $DIRSQL_FREERADIUS/badusers.sql

} # End init_db ()

##########################################################################

##                      Fonction param_radius                           ##

## - Paramètrage des fichiers de configuration FreeRadius              ##

## - Affectation du secret partagé entre coova-chilli et freeradius    ##

## - Modification de fichier de conf pour l'accès à Mysql             ##

##########################################################################

param_radius ()

{

        cp -f $DIR_CONF/radiusd-db-vierge.sql /etc/raddb/

        chown -R radius:radius /etc/raddb

        [ -e /etc/raddb/radiusd.conf.default ] || cp /etc/raddb/radiusd.conf /etc/raddb/radiusd.conf.default

# paramètrage radius.conf

        $SED "s?^[\t ]*#[\t ]*user =.*?user = radius?g" /etc/raddb/radiusd.conf

        $SED "s?^[\t ]*#[\t ]*group =.*?group = radius?g" /etc/raddb/radiusd.conf

        $SED "s?^[\t ]*status_server =.*?status_server = no?g" /etc/raddb/radiusd.conf

# suppression de la fonction proxy

        $SED "s?^[\t ]*proxy_requests.*?proxy_requests = no?g" /etc/raddb/radiusd.conf

        $SED "s?^[\t ]*\$INCLUDE proxy.conf.*?#\$INCLUDE proxy.conf?g" /etc/raddb/radiusd.conf

# écoute sur loopback uniquement (à modifier plus tard pour l'EAP)

        $SED "s?^[\t ]*ipaddr =.*?ipaddr = 127.0.0.1?g" /etc/raddb/radiusd.conf

# prise en compte du module SQL et des compteurs SQL

        $SED "s?^[\t ]*#[\t ]*\$INCLUDE sql.conf.*?\$INCLUDE sql.conf?g" /etc/raddb/radiusd.conf

        $SED "s?^[\t ]*#[\t ]*\$INCLUDE sql/mysql/counter.conf?\$INCLUDE sql/mysql/counter.conf?g" /etc/raddb/radiusd.conf

        $SED "s?^[\t ]*\$INCLUDE policy.conf?#\$INCLUDE policy.conf?g" /etc/raddb/radiusd.conf

# purge du répertoire des serveurs virtuels et copie du fichier de configuration d'Alcasar

        rm -f /etc/raddb/sites-enabled/*

        cp $DIR_CONF/alcasar-radius /etc/raddb/sites-available/alcasar

        chown radius:apache /etc/raddb/sites-available/alcasar /etc/raddb/modules/ldap # droits rw pour apache (module ldap)

        chmod 660 /etc/raddb/sites-available/alcasar /etc/raddb/modules/ldap

        chgrp apache /etc/raddb /etc/raddb/sites-available /etc/raddb/modules

        ln -s /etc/raddb/sites-available/alcasar /etc/raddb/sites-enabled/alcasar

        # Inutile dans notre fonctionnement mais les liens sont recrés par un update de radius ... donc là forcé en tant que fichier

        touch /etc/raddb/sites-enabled/{inner-tunnel,control-socket,default}

# configuration du fichier client.conf (127.0.0.1 suffit mais on laisse le deuxième client pour la future gestion de l'EAP)

        [ -e /etc/raddb/clients.conf.default ] || cp -f /etc/raddb/clients.conf /etc/raddb/clients.conf.default

        cat << EOF > /etc/raddb/clients.conf

client 127.0.0.1 {

        secret = $secretradius

        shortname = localhost

}

client $PRIVATE_NETWORK_MASK {

        secret = $secretradius

        shortname = localhost

}

EOF

# modif sql.conf

        [ -e /etc/raddb/sql.conf.default ] || cp /etc/raddb/sql.conf /etc/raddb/sql.conf.default

        $SED "s?^[\t ]*login =.*?login = \"$DB_USER\"?g" /etc/raddb/sql.conf

        $SED "s?^[\t ]*password =.*?password = \"$radiuspwd\"?g" /etc/raddb/sql.conf

        $SED "s?^[\t ]*radius_db =.*?radius_db = \"$DB_RADIUS\"?g" /etc/raddb/sql.conf

        $SED "s?^[\t ]*sqltrace =.*?sqltrace = no?g" /etc/raddb/sql.conf

# modif dialup.conf

        [ -e /etc/raddb/sql/mysql/dialup.conf.default ] || cp /etc/raddb/sql/mysql/dialup.conf /etc/raddb/sql/mysql/dialup.conf.default

        cp -f $DIR_CONF/dialup.conf /etc/raddb/sql/mysql/dialup.conf

} # End param_radius ()

##########################################################################

##                      Fonction param_web_radius                       ##

## - Import, modification et paramètrage de l'interface "dialupadmin"  ##

## - Création du lien vers la page de changement de mot de passe        ##

##########################################################################

param_web_radius ()

{

# copie de l'interface d'origine dans la structure Alcasar

        # mdv 2009.0 et 2009.1

        if [ -d /var/www/freeradius-web ]

                then

                cp -rf /var/www/freeradius-web/* $DIR_WEB/manager/

                chmod a-x /var/www/freeradius-web

        else # mdv 2010.0

        [ -d /usr/share/freeradius-web ] && cp -rf /usr/share/freeradius-web/* $DIR_WEB/manager/

        fi

# copie des fichiers modifiés et suppression des fichiers inutiles

        cp -rf $DIR_GESTION/manager/* $DIR_WEB/manager/

        rm -f $DIR_WEB/manager/index.html $DIR_WEB/manager/readme

        rm -f $DIR_WEB/manager/htdocs/about.html $DIR_WEB/manager/htdocs/index.html $DIR_WEB/manager/htdocs/content.html

        chown -R apache.apache $DIR_WEB/manager/

# Modification du fichier de configuration

        [ -e /etc/freeradius-web/admin.conf.default ] || cp /etc/freeradius-web/admin.conf /etc/freeradius-web/admin.conf.default

        $SED "s?^general_domain:.*?general_domain: $ORGANISME.org?g" /etc/freeradius-web/admin.conf

        $SED "s?^sql_username:.*?sql_username: $DB_USER?g" /etc/freeradius-web/admin.conf

        $SED "s?^sql_password:.*?sql_password: $radiuspwd?g" /etc/freeradius-web/admin.conf

        $SED "s?^sql_debug:.*?sql_debug: false?g" /etc/freeradius-web/admin.conf

        $SED "s?^sql_usergroup_table: .*?sql_usergroup_table: radusergroup?g" /etc/freeradius-web/admin.conf

        $SED "s?^sql_password_attribute:.*?sql_password_attribute: Crypt-Password?g" /etc/freeradius-web/admin.conf

        $SED "s?^general_finger_type.*?# general_finger_type: snmp?g" /etc/freeradius-web/admin.conf

        $SED "s?^general_stats_use_totacct.*?general_stats_use_totacct: yes?g" /etc/freeradius-web/admin.conf

        cat <<EOF > /etc/freeradius-web/naslist.conf

nas1_name: alcasar.%{general_domain}

nas1_model: Portail captif

nas1_ip: $PRIVATE_IP

nas1_port_num: 0

nas1_community: public

EOF

# Modification des attributs visibles lors de la création d'un usager ou d'un groupe

        [ -e /etc/freeradius-web/user_edit.attrs.default ] || mv /etc/freeradius-web/user_edit.attrs /etc/freeradius-web/user_edit.attrs.default

        cp -f $DIR_CONF/user_edit.attrs /etc/freeradius-web/user_edit.attrs

# Modification des attributs visibles sur les pages des statistiques (suppression NAS_IP et NAS_port)

        [ -e /etc/freeradius-web/sql.attrs.default ] || cp /etc/freeradius-web/sql.attrs /etc/freeradius-web/user_edit.attrs.default

        $SED "s?^NASIPAddress.*?NASIPAddress\tNas IP Address\tno?g" /etc/freeradius-web/sql.attrs

        $SED "s?^NASPortId.*?NASPortId\tNas Port\tno?g" /etc/freeradius-web/sql.attrs

        chown -R apache.apache /etc/freeradius-web

# Ajout de l'alias vers la page de "changement de mot de passe usager"

        cat <<EOF >> /etc/httpd/conf/webapps.d/alcasar.conf

Alias /pass/ "$DIR_WEB/manager/pass/"

<Directory $DIR_WEB/manager/pass>

        SSLRequireSSL

        AllowOverride None

        Order deny,allow

        Deny from all

        Allow from 127.0.0.1

        Allow from $PRIVATE_NETWORK_MASK

        ErrorDocument 404 https://$PRIVATE_IP

</Directory>

EOF

        echo "- URL pour le changement du mot de passe usager : https://$PRIVATE_IP/pass/" >> $FIC_PARAM

} # End of param_web_radius ()

##########################################################################

##                      Fonction param_chilli                           ##

## - Paramètrage du fichier de configuration de coova-chilli           ##

## - Paramètrage de la page d'authentification (intercept.php)         ##

##########################################################################

param_chilli ()

{

# modification du générateur du fichier de conf 

        [ -e /etc/chilli/functions.default ] || cp /etc/chilli/functions /etc/chilli/functions.default

# suppression du domaine "coova.org" dans la primitive uamallowed

        $SED "s?coova.org,??g" /etc/chilli/functions

# suppression de la primitive "WISPR" (inutilisée par Alcasar)

        $SED "s?^HS_WISPRLOGIN=.*??g" /etc/chilli/functions

# suppression de la primitive "uamanydns" (les clients ne peuvent utiliser que les serveurs DNS d'Alcasar)

        $SED "s?uamanydns??g" /etc/chilli/functions

# modification du fichier d'initialisation (suppression du cron et correction de la procédure d'arret)

        [ -e /etc/init.d/chilli.default ] || cp /etc/init.d/chilli /etc/init.d/chilli.default

        cp -f $DIR_CONF/chilli-init /etc/init.d/chilli

# création du fichier de conf

        cp /etc/chilli/defaults /etc/chilli/config

        $SED "s?^# HS_WANIF=.*?HF_WANIF=$EXTIF?g" /etc/chilli/config

        $SED "s?^HS_LANIF=.*?HS_LANIF=$INTIF?g" /etc/chilli/config

        $SED "s?^HS_NETWORK=.*?HS_NETWORK=$PRIVATE_NETWORK?g" /etc/chilli/config

        $SED "s?^HS_NETMASK=.*?HS_NETMASK=$PRIVATE_MASK?g" /etc/chilli/config

        $SED "s?^HS_UAMLISTEN=.*?HS_UAMLISTEN=$PRIVATE_IP?g" /etc/chilli/config

        $SED "s?^HS_UAMPORT=.*?HS_UAMPORT=$UAMPORT?g" /etc/chilli/config

        $SED "s?^# HS_DYNIP=.*?HS_DYNIP=$PRIVATE_DYN_IP?g" /etc/chilli/config

        $SED "s?^# HS_DYNIP_MASK=.*?HS_DYNIP_MASK=$PRIVATE_DYN_MASK?g" /etc/chilli/config

        $SED "s?^# HS_STATIP=.*?HS_STATIP=$PRIVATE_STAT_IP?g" /etc/chilli/config

        $SED "s?^# HS_STATIP_MASK.*?HS_STATIP_MASK=$PRIVATE_STAT_MASK?g" /etc/chilli/config

        $SED "s?^# HS_DNS_DOMAIN=.*?HS_DNS_DOMAIN=$DOMAIN?g" /etc/chilli/config

        $SED "s?^# HS_DNS1=.*?HS_DNS1=$PRIVATE_IP?g" /etc/chilli/config

#       $SED "s?^# HS_DNS2=.*?HS_DNS2=208.67.222.222?g" /etc/chilli/config

        $SED "s?^HS_UAMSECRET=.*?HS_UAMSECRET=$secretuam?g" /etc/chilli/config

        $SED "s?^HS_RADIUS=.*?HS_RADIUS=127.0.0.1?g" /etc/chilli/config

        $SED "s?^HS_RADIUS2=.*?HS_RADIUS2=127.0.0.1?g" /etc/chilli/config

        $SED "s?^HS_RADSECRET=.*?HS_RADSECRET=$secretradius?g" /etc/chilli/config

        $SED "s?^HS_UAMALLOW=.*?# HS_UAMALLOW?g" /etc/chilli/config

        $SED "s?^HS_UAMSERVER=.*?HS_UAMSERVER=$PRIVATE_IP?g" /etc/chilli/config

        $SED "s?^HS_UAMFORMAT=.*?HS_UAMFORMAT=https://\$HS_UAMSERVER/intercept.php?g" /etc/chilli/config

        $SED "s?^HS_UAMHOMEPAGE=.*?HS_UAMHOMEPAGE=?g" /etc/chilli/config

        $SED "s?^HS_UAMSERVICE=.*?# HS_UAMSERVICE?g" /etc/chilli/config

        $SED "s?^# HS_ANYIP=.*?HS_ANYIP=on?g" /etc/chilli/config

        $SED "s?^# HS_DNSPARANOIA=.*?HS_DNSPARANOIA=on?g" /etc/chilli/config

        $SED "s?^HS_LOC_NAME=.*?HS_LOC_NAME=\"$HOSTNAME\"?g" /etc/chilli/config

        $SED "s?^HS_WWWDIR.*?# HS_WWWDIR?g" /etc/chilli/config

        $SED "s?^HS_WWWBIN.*?# HS_WWWBIN?g" /etc/chilli/config

        $SED "s?^HS_PROVIDER_LINK.*?HS_PROVIDER_LINK=https://\$HS_UAMSERVER/?g" /etc/chilli/config

        echo "HS_COAPORT=3799" >> /etc/chilli/config

# création des fichiers de sites, d'urls et d'adresses MAC de confiance

        echo -e "HS_UAMALLOW=\"\"" > /etc/chilli/alcasar-uamallowed

        echo -e "HS_UAMDOMAINS=\"\"" > /etc/chilli/alcasar-uamdomain