Proxy SSH - Direction Informatique - Université Paris-Sud

Proxy SSH – proxy.acces.u-psud.fr
Notice d’utilisation
Direction Informatique
Notice d’utilisation du proxy SSH de l’Université Paris-Sud
___________________________________________________________________________
PROXY SSH
L’Université Paris-Sud met à disposition des services VPN (Virtual Private Network)
pour les personnes qui sont fréquemment en déplacement professionnel ou les
télétravailleurs (elles sont désignés sous le terme de nomade) qui ont besoin depuis leur
connexion internet nomade d’accéder aux données/applications présentes sur le réseau
de l’Université.
L’utilisation d’un accès distant sécurisé « Proxy SSH transparent » permet de palier
certains problèmes de compatibilité liés au VPN IPSEC (ouverture de flux IPSEC sur le
réseau distant, installation d’un logiciel lourd sur le poste distant) ou au VPN SSL
(compatibilité suivant système d’exploitation, navigateur du poste client).
Ci-dessous, une documentation réalisée par la Direction Informatique pour aider à
l’utilisation de Proxy SSH.
Sommaire :
1) Schéma de principe
2
2) Configuration du poste client
3
a. Windows
b. *Nix
c. FreeBSD
Direction Informatique
3
5
6
UPS-DI-SSI-2012-DOC-001
1
Proxy SSH – proxy.acces.u-psud.fr
Notice d’utilisation
1) Schéma de principe
L’accès distant vers un serveur SSH hébergé sur le réseau informatique de l’Université
Paris-Sud se fait par l’intermédiaire du serveur proxy SSH transparent proxy.acces.upsud.fr.

Transparent : l’utilisateur distant se connecte en SSH uniquement sur le serveur
SSH se situant sur le réseau de l’Université. Pas de connexion SSH nécessaire sur
proxy.acces.u-psud.fr qui ne sert que de relais pour la connexion SSH à travers un
tunnel socks.

Amélioration de la sécurité : le serveur SSH sur le réseau de l’Université n’est plus
accessible depuis tout l’Internet mais uniquement depuis le proxy socks SS5 qui
sert de relai à la connexion SSH. Autorisation attribué à un utilisateur de se
connecter en SSH sur un serveur de l’Université s’appuyant sur le référentiel
actuel de l’Université Adonis. L’authentification de l’utilisateur est toujours
effectuée sur le serveur SSH.
Direction Informatique
UPS-DI-SSI-2012-DOC-001
2
Proxy SSH – proxy.acces.u-psud.fr
Notice d’utilisation
2) Configuration du poste client
2-a) Windows
Sous le système d’exploitation Windows, la connexion SSH par l’intermédiaire du proxy
transparent SSH peut se faire à partir du logiciel Putty .
(http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html)
Lancer le logiciel putty
Dans Host Name (or IP address) , entrer l’adresse IP ou le nom DNS du serveur sur
lequel on souhaite se connecter sur le réseau de l’Université.
Sélectionner Connexion – Proxy dans la frame Category
Dans Proxy type : , sélectionner SOCKS 5
Dans Proxy Hostname , entrer proxy.acces.u-psud.fr
Dans Port , entrer 8888
Direction Informatique
UPS-DI-SSI-2012-DOC-001
3
Proxy SSH – proxy.acces.u-psud.fr
Notice d’utilisation
Dans Do DNS name lookup at proxy end , sélectionner NO
Dans Username , entrer le login Adonis de la forme prenom.nom
Dans Password , entrer le mot de passe Adonis associé à Username
Cliquer sur Open
La connexion SSH vers le serveur sur le réseau de l’Université se fait alors de manière
transparente.
Le login/password demandé est alors celui de l’utilisateur sur le serveur SSH.
Direction Informatique
UPS-DI-SSI-2012-DOC-001
4
Proxy SSH – proxy.acces.u-psud.fr
Notice d’utilisation
2-b) *Nix
Sous le système d’exploitation FreeBSD, la connexion SSH par l’intermédiaire du proxy
transparent SSH peut se faire à partir du logiciel csocks.
(http://csocks.altervista.org/)
Installation / Configuration du logiciel csocks
Récupérer le fichier csocks_1.6.tar.gz
tar xzf csocks_1.6.tar.gz
install_linux.sh
Modifier le fichier /etc/csocks.conf
CSOCKS_USER prenom.nom
CSOCKS_PASSWD motdepasse-Adonis
socks5 129.175.0.0 255.255.0.0 22 129.175.207.15 8888 TCP OUT
Connexion SSH sur serveur distant:
csocks ssh user@serveur-ssh
user = login utilisateur sur le serveur SSH
serveur-ssh = adresse IP ou nom DNS du serveur SSH
Le mot de passe demandé est alors le mot de passe associé au login user sur le serveur
SSH.
Attention : dans cette utilisation, le mot de passe Adonis associé au compte prenom.nom
apparaît en clair dans le fichier csocks.conf.
Pour pallier ce problème, il est donc fortement conseillé d’utiliser le script csocks-pwd suivant
qui demandera à chaque connexion le login Adonis associé au compte prenom.nom.
Création du fichier /usr/bin/csocks-pwd
#!/bin/sh
export CSOCKS_USER="prenom.nom"
echo -n "Mot de passe Adonis : "
OLDSTTY=$(stty -g)
stty -echo
read CSOCKS_PASSWD
stty $OLDSTTY
export CSOCKS_PASSWD
echo " "
echo "Connexion serveur distant"
csocks ssh user@serveur-ssh
export CSOCKS_USER=""
export CSOCKS_PASSWD=""
Direction Informatique
UPS-DI-SSI-2012-DOC-001
5
Proxy SSH – proxy.acces.u-psud.fr
Notice d’utilisation
Remplacer prenom.nom par le login Adonis
Pour la ligne « csocks ssh user@serveur-ssh », remplacer user par le login utilisateur sur le
serveur, et serveur-ssh par l’adresse IP ou le nom DNS du serveur SSH.
Rendre le fichier csocks-pwd exécutable pour l’utilisateur
Dans le fichier /etc/socks.conf, supprimer la ligne CSOCKS_PASSWD motdepasse-Adonis
Connexion SSH sur serveur distant:
csocks-pwd
2-c) FreeBSD
Sous le système d’exploitation FreeBSD, la connexion SSH par l’intermédiaire du proxy
transparent SSH peut se faire à partir du logiciel csocks .
(http://csocks.altervista.org/)
Installation / Configuration du logiciel csocks
cd /usr/ports/net/csocks
make install clean
Création d’un fichier /usr/local/etc/csocks.conf :
CSOCKS_USER prenom.nom
CSOCKS_PASSWD motdepasse-Adonis
socks5 129.175.0.0 255.255.0.0 22 129.175.207.15 8888 TCP OUT
Connexion SSH sur serveur distant:
csocks ssh user@serveur-ssh
user = login utilisateur sur le serveur SSH
serveur-ssh = adresse IP ou nom DNS du serveur SSH
Le mot de passe demandé est alors le mot de passe associé au login user sur le serveur
SSH.
Attention : dans cette utilisation, le mot de passe Adonis associé au compte prenom.nom
apparaît en clair dans le fichier csocks.conf.
Pour pallier ce problème, il est donc fortement conseillé d’utiliser le script csocks-pwd suivant
qui demandera à chaque connexion le login Adonis associé au compte prenom.nom.
Direction Informatique
UPS-DI-SSI-2012-DOC-001
6
Proxy SSH – proxy.acces.u-psud.fr
Notice d’utilisation
Création du fichier /usr/local/bin/csocks-pwd
#!/bin/sh
export CSOCKS_USER="prenom.nom"
echo -n "Mot de passe Adonis : "
OLDSTTY=$(stty -g)
stty -echo
read CSOCKS_PASSWD
stty $OLDSTTY
export CSOCKS_PASSWD
echo " "
echo "Connexion serveur distant"
csocks ssh user@serveur-ssh
export CSOCKS_USER=""
export CSOCKS_PASSWD=""
Remplacer prenom.nom par le login Adonis
Pour la ligne « csocks ssh user@serveur-ssh », remplacer user par le login utilisateur sur le
serveur, et serveur-ssh par l’adresse IP ou le nom DNS du serveur SSH.
Rendre le fichier csocks-pwd exécutable pour l’utilisateur
Dans le fichier /usr/local/etc/socks.conf, supprimer la ligne CSOCKS_PASSWD motdepasseAdonis
Connexion SSH sur serveur distant:
csocks-pwd
Direction Informatique
UPS-DI-SSI-2012-DOC-001
7