Aller au contenu

Connecter une Edge Gateway avec le mécanisme d'appairage

Information

La méthode de connexion par appairage fonctionne de la même manière pour une Edge Gateway qu'une HTML5 Gateway.

Prérequis

L'accès SSH ou console avec l'utilisateur root à la Edge Gateway est nécessaire.

Afin que l'appairage de la Edge Gateway puisse aboutir, le paquet ipdiva-gateway-setup doit être installé sur la machine. Toutes appliances virtuelles cyberelements.io ou cyberelements Cleanroom (en version 4.6 ou ultérieur) possèdent le paquet.
Si le dépôt Systancia est correctement paramétré alors la commande suivante va vérifier la présence du paquet et tenter de l'installer le cas échéant :

1
if dpkg -s ipdiva-gateway-setup &>/dev/null 2>&1; then echo -e "\033[0;32mipdiva-gateway-setup package already installed\033[0m"; else apt update && apt install -y ipdiva-gateway-setup; fi

Connectez-vous au serveur Edge Gateway en SSH ou en mode console avec l'utilisateur root et exécutez une commande équivalente à la suivante pour commencer le processus d'appairage d'une Edge Gateway ou HTML5 Gateway :

1
/usr/local/ipdiva/scripts/gateway-setup/pair_gateway.py -s <DNS_MEDIATION_CONTROLLER> -t <PAIRING_TOKEN> -k -n <INSTANCE_NAME> --no-care -v

Voici le détail des différentes options :

  • -s : définit le nom DNS du Mediation Controller ou tenant cyberelements.io, l'usage d'une adresse IP est possible mais nécessitera très probablement l'usage du mode non sécurisé.
  • -t : définit le jeton d'appairage à utiliser (génération d'un jeton d'appairage).
  • -k : activation du mode non sécurisé, dans ce mode le contrôle de validité du certificat Web du Mediation Controller est désactivé. Ce paramètre ne doit pas être utilisé systématiquement, seulement dans les contextes le nécessitant et dont la présence d'un attaquant MITM a été écarté (la validation d'un certificat Web permettant d'assurer l'identité du serveur contacté).
  • -n : définition du suffixe du nom de l'instance d'Edge Gateway sur la machine, si non définit ce sera le nom d'instance principale, gateway ou html5gateway, qui sera utilisé. N'indiquez qu'un nom comportant des chiffres, des lettres ou les caractères spéciaux - ou _. Pour la première connexion d'un Edge Gateway ou HTML5 Gateway du serveur il est recommandé de ne pas définir le paramètre -n.
  • --no-care : l'appairage ne cherchera pas à installer le certificat du service d'enregistrement.
  • -v : activation du mode verbeux afin d'avoir plus d'informations sur le déroulement de l'appairage.

Exemples

Pour installer la première instance Edge Gateway d'une machine, la commande suivante serait suffisante :

1
/usr/local/ipdiva/scripts/gateway-setup/pair_gateway.py -s mediation-controller.domain.local -t TCGX-091U-AIBW-EWF7-T7XW-1VLK-LPS8-2DWS

Mais si l'accès au serveur Mediation Controller ne peut se faire qu'avec une adresse IP dont le certificat Web n'est pas adapté, alors l'activation du mode non sécurisé est nécessaire (à utiliser de préférence lorsque la connexion ne passe pas sur le réseau publique) :

1
/usr/local/ipdiva/scripts/gateway-setup/pair_gateway.py -s 10.0.10.10 -t TCGX-091U-AIBW-EWF7-T7XW-1VLK-LPS8-2DWS -k

Si une première instance d'Edge Gateway est déjà présente sur la machine, alors la création d'une nouvelle instance sans modifier le certificat du service d'enregistrement serait nécessaire :

1
/usr/local/ipdiva/scripts/gateway-setup/pair_gateway.py -s 10.0.10.10 -t TCGX-091U-AIBW-EWF7-T7XW-1VLK-LPS8-2DWS -k --no-care -n instance-2

La commande précédente, en créant une nouvelle instance qui est nommée gateway-instance-2 (les Edge Gateway prennent automatiquement le préfixe gateway- tandis que les HTML5 Gateways prennent le suffixe html5gateway-), créer aussi de nouveaux répertoires pour :

  • Gérer le paramétrage de l'instance, avec le répertoire /etc/ipdiva/gateway-instance-2/.
  • Démarrer, arrêter ou redémarrer l'instance avec les scripts présents dans le répertoire /usr/local/ipdiva/gateway-instance-2/bin/.