Installer PDF Stampa E-mail

KATTIVE 4.4

Installazione su Debian 6.x

Sistema Operativo

Ci procuriamo un hardware adatto, anche virtuale, che ci permetta però di avere una separazione almeno tra la rete locale e Internet e che abbia, quindi, almeno 2-3 schede di rete.

Scaricare il file iso che ci permette di eseguire l'installazione di Debian (questa è squeeze): debian-6.0.3-i386-netinst.iso

Se utilizzate solo KATTIVE senza aggiungere Dansguardian e squid potrete usare tranquillamente anche la versione a 64bit: debian-6.0.3-amd64-netinst.iso

Si raccomanda di NON utilizzare la versione a 64bit se sulla stessa installerete anche Squid e Dansguardian: qualora usaste le autenticazioni interne di Squid ci saranno grossi problemi di performance a causa di un baco nella versione a 64bit dell'autenticatore di rete (il presente howto però non si occupa dell'installazione dei due programmi).

In caso di utilizzo di macchine a 64bit si dovrebbe installare dansguardian e squid in una chroot a 32bit con il programma schroot.

Preparazione del sistema

Se installeremo anche squid sullo stesso hardware dovremo fare in modo di allocare una partizione di 20Gb circa che sarà assegnata a /var/spool/squid.

Quindi in fase di scelta avremo

  • partizione di root da 20Gb
  • partizione di swap doppia della ram fisica
  • partizione per squid da 20Gb montata in /var/spool/squid

Installiamo una versione minimale di Debian togliendo la spunta a tutto e scegliendo solamente SERVER SSH e MINIMALE.

Riavviamo la maccina

Scaricare il pacchetto kattive4.4 dal sito di KATTIVE.

Scompattare il pacchetto .tgz nella directory /opt/, verrà creata una cartella /opt/kattive/.

Installare shorewall (apt-get install shorewall-perl), configurarlo al minimo copiando i file di esempio esattamente come sono da /opt/kattive/doc/examples/shorewall  in /etc/shorewall per procedere con calma al resto dell'installazione.

Verificare solamente che le reti corrispondano a quelle desiderate.

Nella configurazione di shorewall proposta abbiamo in /etc/shorewall/interfaces

eth0     inet (internet)
eth1     lan (rete locale)
eth2     point (wireless o quello che volete)

Nelle regole /etc/shorewall/rules fare attenzione alla regola

REDIRECT    lan    80    tcp    80    -    !192.168.10.253
REDIRECT    point    80    tcp    80    -    !192.168.20.253

I due ip proposti sono gli ip assegnati al firewall alle rispettive ethernet. Si raccomanda di metterli corretti.
Questa regola impone, a tutti quelli che vogliono accedere ad internet, la redirezione di  qualsiasi richiesta di pagina web attraverso il browser sull'interfaccia di KATTIVE4.4 per imporre l'autenticazione dell'utente prima di navigare.

Modificare /etc/default/shorewall e mettere startup=1 e poi shorewall restart.
Questa operazione fa si che al boot shorewall parta.

Le regole che riguardano il firewall stesso sono nel file /etc/shorewall/policy

fw    all    ACCEPT

Colleghiamo il cavo di rete e procediamo con l'installazione del resto.

Componenti da installare

- Server WEB Apache 1.3x (htpp://www.apache.org) (in debian apache e apache-ssl);

  • mysql (in debian mysql-server);
  • libreria perl DBD::mysql; (in debian libdbd-mysql-perl);

Se si utilizza autenticazione esterna tramite LDAP:

a) LDAP con AD:
- libreria perl Net::LDAP (in debian libnet-ldap-perl);
- libreria perl Unicode::String (in debian libunicode-string-perl);

deb http://debian.fastweb.it/debian/ stable main

deb http://security.debian.org/ stable/updates main

deb http://debian.fastweb.it/debian/ stable-updates main

deb http://archive.debian.org/debian-archive/debian etch main contrib non-free

Poi eseguiremo

apt-get update
apt-get upgrade

Lanciare lo script  /opt/kattive/doc/utility/debian-preinstall.sh

Eseguire il programma di installazione /opt/kattive/doc/utility/kattivesetup.pl e seguire la procedura.

Installazione

Ora eseguiremo il programma di installazione /opt/kattive/doc/utility/kattivesetup.pl e seguiremo la procedura rispondendo alle varie domande.
Una volta installato il tutto dovremo includere il file di configurazione di apache-ssl che si trova in /opt/kattive/doc/examples/apache/apache-ssl.conf
in fondo al file /etc/apache-ssl/httpd.conf

Include /opt/kattive/doc/examples/apache/apache-ssl.conf

e dopo
Listen 443
aggiungiamo  anche
Listen 80

In questo modo usiamo un solo server per entrambi i protocolli. Dovremo ovviamente creare il file apache.pem con il nome giusto per la nostra rete

cd /etc/apache-ssl

ATTENZIONE: IL NOME (CN) DEVE CORRISPONDERE A QUELLO CHE SI CHIAMA VIA WEB


openssl req \
-x509 -nodes -days 3650 -newkey rsa:1024 \
-subj '/C=IT/ST=TrentinoAltoAdige/L=Pergine/CN=kattive.tuosito.it'\
-keyout apache.pem -out apache.pem

Ovviamente il comando precedente va eseguito tutto su una riga. E' allungato a 3650 giorni rispetto a quello standard di apache-ssl nel quale la validità del certificato è di 30 giorni.

hHttps://kattive.tuosito.it/

utente kattive
password kattive (ti sarà chiesto di modificare immediatamente)

QUANDO UN UTENTE E' LOGGATO IN KATTIVE PERDE TUTTE LE REGOLE DI DEFAULT E GLI VENGONO CARICATE SOLO ED ESCLUSIVAMENTE LE REGOLE ASSEGNATEGLI DA KATTIVE STESSO QUINDI QUALSIASI REGOLA DI DEFAULT CHE DEBBA ESSERE ASSOCIATA ALL'UTENTE VERRA CARICATA SOLO SE REINSERITA ANCHE NELL'UTENTE KATTIVE O NEL GRUPPO DELL'UTENTE KATTIVE.