Nouveau client VPN du ministère de l'agriculture.

L'accès se fait depuis un poste nomade du MAAP pour les agents et un poste non contrôlé pour les partenaires. L'utilisation de ce service nécessite l'installation préalable, avec les droits administrateurs, d'un client VPN OpenVPN personnalisé pour l'accès au MAAP. Une fois installé, les droits administrateurs ne sont plus requis.

Ce client VPN établi une connexion SSL au serveur VPN. L'authentification de l'utilisateur nécessite se fait sur EAP, à travers le navigateur de l'utilisateur et nécessite un certificat personnel issu d'une autorité de certification du MAAP : AC Agents pour les Agents du MAAP, AC Partenaires pour les partenaires.

La listes des ressources internes accessibles aux utilisateurs est définie selon des profils auxquels sont rattachés les utilisateurs.

Le service Mercure VPN nécessite :

• poste client sous Windows XP SP3 ou supérieur,
• un certificat d'authentification du MAAP intégré à un navigateur supportant l'authentification par certificat (IE6+ et FF2+),
• des droits d'administration pour l'installation du client Mercure VPN.

• Installation client mercurepdf 847 Ko

La version Mercure-VPN sous Linux n’est pas supportée par l’assistance du MAAPRAT.

Néanmoins, il est tout à fait possible de la faire fonctionner.

Il faut installer Openvpn, générer un certificat Mercure, lancer openvpn, s’authentifier sur EAP avec un certificat MAAPRAT, puis exploiter la connexion VPN.

Pour cela, suivre les étapes suivantes :

• ETAPE 1 : Installation d’OpenVPN

Installer le paquet openvpn correspondant à votre distribution Linux.

Ex :

$ sudo apt-get install openvpn

ou

$ sudo yum install openvpn

• ETAPE 2 : Génération du certificat utilisateur

Télécharger le .tar.gz et extraire les fichiers.

$ cd ac-mercure/

$ sudo ./user.sh jean.dupont@ministere.gouv.fr Le bi-clé est généré, la demande générée et validée automatiquement. La clé privée user.key et le certificat user.pem ont été copiés dans le repertoire ../config

• ETAPE 3 : Configuration d’OpenVPN

Copier l’ensemble des fichiers de configuration dans le repertoire de configuration OpenVPN

$ sudo cp ./config/.* /etc/openvpn/

Dans le répertoire /etc/openvpn, il faut trouver les 7 fichiers suivants : $ ls /etc/openvpn/

ca.crt # Certificat de l’AC Mercure

hmac.key # Fichier secret pour établir la connection TLS

MAAPRAT.conf # Fichier de configuration du Tunnel (doc : $ man openvpn ;-) )

MAAPRAT_up.sh # Script lancé à l’établissement du tunnel (voir étape 5)

MAAPRAT_down.sh # Script lancé à l’arrêt du tunnel (voir étape 5)

user.key # Clé privée de l’utilisateur

user.pem # Certificat de l’utilisateur

• ETAPE 4 : Lancement du VPN

Démarrer le service OpenVPN :

$ sudo service openvpn start

• Starting virtual private network daemon(s)…

• Autostarting VPN ’MAAPRAT’

On peut vérifier que l’interface tun0 est montée

$ ifconfig tun0

Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00

inet adr:10.219.192.6 P-t-P:10.219.192.5 Masque:255.255.255.255 [..]

• ETAPE 5 : Script de personnalisation

2 scripts vous permettent de personnaliser le comportement au démarrage et à l’arrêt du tunnel Openvpn.

Le script /etc/openvpn/MAAPRAT_up.sh est lancé directement lors de l’établissement du tunnel.

Il permet de lancer firefox pour s’authentifier sur le portail Mercure.

Le script /etc/openvpn/MAAPRAT_down est lancé après l’arrêt du tunnel.

Attention au *DNS* : les DNS du MAAPRAT doivent être présents dans votre resolv.conf

• ETAPE 6 : Authentification sur le portail

Aller sur : http://portail.mercure.agriculture.gouv.fr/ ?version=linux-1.0

Et s’authentifier avec un certificat sur EAP.

Le tunnel est monté, l’authentification réussie.

Bonne chance !

• Client Windows 1.51 Mo
• Client Linux 16,8 Ko

Le logiciel Mercure VPN est aussi téléchargeable depuis internet sur:

ftp://ftp.agriculture.gouv.fr/rmap_secu/mercure/

La documentation, le logiciel mercure VPN ainsi que la FAQ sont visible et téléchargeable sur le site suivant: http://securite.rmap.auzeville.agri/spip.php?rubrique41

Attention, il faut un client vpn

La FAQ du service Mercure VPN 1er février 2011

Voici quelques questions fréquemment posées sur le service Mercure VPN

- Plusieurs utilisateurs peuvent-ils utiliser Mercure VPN sur un même poste ? L’authentification dans MercureVPN est faite par le certificat du navigateur. Aussi, si plusieurs personnes doivent utiliser Mercure VPN sur un même poste, il convient que chaque utilisateur ait un profil Firefox dans lequel est installé son certificat. C’est ce certificat qui devra être présenté lors de l’authentification sur le portail.

- Quels sont les pré-requis au service Mercure VPN ? Tout utilisateur disposant d’un Certificat de l’AC Agent du MAAPRAT peut accéder au service Mercure VPN depuis son poste de travail nomade. Toute utilisation sur un poste personnel est exclue. - Quels sont les ports à ouvrir sur un parefeu pour se connecter au serveur Mercure VPN ?

Mercure VPN utilise en priorité le port 443 UDP à destination des serveurs Mercure VPN :

vpn1.mercure.agriculture.gouv.fr - 86.66.23.11

et

vpn2.mercure.agriculture.gouv.fr - 86.66.23.12

A défaut, Mercure VPN peut utiliser le port 443 TCP vers ces serveurs.

- Peut-on utiliser Mercure VPN sans droits administrateur ?

Oui, les droits administrateur sont néanmoins nécessaires à l’installation de Mercure VPN.

- Mercure VPN est-il compatible avec Prisme3/CiscoVPN ?

Mercure VPN a été testé avec succès en cohabitation avec Cisco VPN.

Dans certains cas, Prisme3 peut poser problème pour l’accès à Mercure VPN.

En cas de problème sur un poste concerné (accès à EAP impossible après connexion par ex), il est conseillé de désinstaller Prisme3 avant d’installer Mercure VPN.

En tout état de cause, la désinstallation de Cisco VPN et de Prisme 3 est à faire sur les poste où est installé Mercure VPN.

- Peut-on utiliser Mercure VPN sur Linux/MacOS ?

Mercure VPN s’appuie sur le logiciel OpenVPN disponible sur Linux et MacOS.

Aussi, il est possible de récupérer le dossier de configuration (c :\program files\openvpn\conf) généré à l’installation de Mercure VPN sous Windows et le transférer sous Linux ou MacOS.

Une documentation spécifique à Linux est présente sur cette page.

Note : RMAP fourni une assistance sur les équipements inscrits au schéma directeur. Les postes sous Linux et MacOS ne font pas partie du schéma directeur, RMAP ne fournira donc pas d’assistance dessus.

- Est-il possible de d’installer Mercure VPN silencieusement ?

Oui, il est possible d’effectuer une installation silencieuse de Mercure VPN. Cette exécution peut éventuellement être déclenchée à distance.

Attention, il convient d’exécuter le script d’installation en tant qu’utilisateur avec des droits Administrateur

Pour effectuer une installation silencieuse, utilisez le paramètre de ligne de commande /S :

c :/> "Mercure VPN-1.0-install.exe" /S

Attention : selon votre configuration (notamment sous Windows 32bits), l’installation du driver peut afficher un avertissement à l’utilisateur. Pour désactiver cet avertissement, vous devez appliquer une stratégie de signature de pilote dans votre domaine par le biais de la Stratégie de groupe :

• Sous Outils d’administration, dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur la racine du domaine, cliquez sur Propriétés, puis sur l’onglet Stratégie de groupe.
• Cliquez sur la stratégie de domaine par défaut, puis sur Modifier.
• Développez Configuration ordinateur, Paramètres Windows, puis Paramètres de sécurité. Développez Stratégies locales, puis Options de sécurité et remplacez Périphériques : comportement d’installation d’un pilote non signé par le paramètre "Réussite Silencieuse".

Un how-to réalisé par Franck Daniel, DRTIC Aquitaine le document pdf

Merci d'utiliser Mercure pour les nouvelles installations ou le remplacement de celle en panne (Prisme ou Cisco).