Il s'agit ici de copier les certificats par défaut. Vous ne devriez vraiment pas procéder de la sorte sauf en cas de tests; dans le cas contraire, vous voudrez sûrement utiliser vos propres certificats : consultez pour cela la section suivante.
Pour nufw
cp conf/certs/nufw-*.pem /etc/nufw/Pour nuauth :
cp conf/certs/nuauth*.pem /etc/nufw/ cp conf/certs/NuFW*.pem /etc/nufw/
Générez votre propre Authorité de Certification:
mkdir private chmod 700 private openssl req -new -x509 -keyout private/CAkey.pem -out private/CAcert.pemVous devriez utiliser ici un mot de passe particulièrement robuste, et, bien entendu, le garder secret.
Générer les clefs privées pour nufw et nuauth:
openssl genrsa -out private/nufw-key.pem
openssl genrsa -out private/nuauth-key.pem
Générer les demandes de certificats pour nufw et nuauth:
openssl req -new -key private/nufw-key.pem -out nufw.csr
openssl req -new -key private/nuauth-key.pem -out nuauth.csr
Signer les demandes de certificats grâce à l'AC:
openssl x509 -req -days 365 -in nufw.csr -CA private/CAcert.pem \
-CAkey private/CAkey.pem -CAcreateserial -out nufw-cert.pem
openssl x509 -req -days 365 -in nuauth.csr -CA private/CAcert.pem \
-CAkey private/CAkey.pem -CAcreateserial -out nuauth-cert.pem
Enfin, comme dans la section précédente, copier les fichiers comme demandé: Pour nufw:
cp private/nufw-key.pem /etc/nufw/
cp nufw-cert.pem /etc/nufw/Pour nuauth:
cp private/nuauth-key.pem /etc/nufw/
cp nuauth-cert.pem /etc/nufw/Avertissement: N'oubliez pas que les fichiers contenant les clefs privées (ici, nufw-key.pem et nuauth-key.pem) doivent rester secrètes.
NuFW fourni un exemple de fichier de configuration pour nuauth, nuauth.conf, qui est disponible dans le répertoire conf.
Les deux plus importantes directives de configuration sont :
nuauth_client_listen_addr : définit l'adresse à laquelle nuauth va attendre les requètes des clients
nuauth_nufw_listen_addr : définit l'adresse à laquelle nuauth va attendre les requètes de nufw.
La liste des machines nufw autorisées à se connecter au serveur nuauth constitue la variable nufw_gw_addr.
Ensuite, vous devez choisir votre module d'authentification et de vérification des ACL. Les modules suivants sont disponibles :
plaintext : les informations utilisateur sont stockées dans un fichier texte
system : l'authentification s'adosse à PAM et utilise les groupes existants dans le système. Ceci procure un moyen pratique d'utiliser nss et/ou pam-modules
nuauth_user_check_module
dont la valeur par défaut est libsystem (si non défini dans le fichier de configuration).
D'autre paramètres concernant la vérification des ACL doivent être précisés si vous choisissez l'authentification parmi :
libldap
plaintext
nuauth_acl_check_module.
Afin d'être capable de procéder rapidement aux tests, nous utiliserons le module system pour l'authentification et le module plaintext pour les ACL. Un fichier d'exemple, acls.nufw, pour le module ACL plaintext est disponible dans le répertoire conf. Copiez le dans /etc/nufw et modifiez au besoin le groupe pour l'ACL ssh afin d'utiliser le groupe d'appartenance de l'utilisateur que vous allez utiliser pour les connexions de test.