Aller au contenu

Installation du serveur Mediation Controller

Note

Pour rappel, le passage en tant que root sur les machines Debian doit s'effectuer avec la commande suivante :

1
su -

Téléchargement du miroir et des outils nécessaires

Le miroir cyberelements Cleanroom 4.6 ainsi que la clé de signature du dépôt Systancia sont téléchargeables depuis ce lien (nécessite la création d'un compte client) : Systancia Marketplace

En plus du miroir et de la clé, des outils tiers seront nécessaires pour le processus de montée de version :

  • Un client SSH (sur Windows l'outil PuTTY peut être utilisé)
  • Un client SCP (sur Windows les outils WinSCP ou FileZilla peuvent être utilisés)

Utilisez le client SSH pour vous connecter à distance à votre serveur.

Utilisez le client SCP pour transférer les fichiers sur votre machine distante.

Préparation à l'installation

Configuration du réseau

Il est impératif de définir un adressage réseau statique pour le Mediation Controller. Pour cela, il est d'abord nécessaire de récupérer le nom de l'interface réseau de votre machine. Exécutez la commande suivante en tant que root :

1
ip -br a | grep -ve "^lo"

Cette commande ressort le nom de l'interface réseau, son état et les adresses IP affectées à l'interface.

Exemple

Après exécution de la commande le retour suivant est affiché :

1
ens192           UP             10.0.10.10/24

Le nom de l'interface réseau est ens192.

Le nom de l'interface réseau obtenu, il est maintenant possible d'éditer la configuration réseau de la machine.
Editez le fichier /etc/network/interfaces pour le modifier en utilisant le modèle suivant :

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto INTERFACE_NAME
iface INTERFACE_NAME inet static
    address IP_MED_WEB
    netmask NETMASK
    gateway NETWORK_GATEWAY
    dns-nameservers IP_DNS_1 IP_DNS_2
    dns-search DNS_SUFFIX

# The secondary network interface
auto INTERFACE_NAME:1
iface INTERFACE_NAME:1 inet static
    address IP_MED_SSL
    netmask NETMASK

Où :

  • INTERFACE_NAME doit être remplacé par le nom de l'interface réseau récupéré précédemment.
  • IP_MED_WEB doit être remplacé par l'adresse IP principale du serveur, il s'agira de l'adresse IP par laquelle les accès aux consoles Web seront possibles.
  • NETMASK doit être remplacé par le masque réseau associé à l'adresse IP.
  • NETWORK_GATEWAY doit être remplacé par la passerelle réseau par défaut.
  • IP_DNS doit être remplacé par l'adresse IP du serveur DNS, si plusieurs serveurs doivent être paramétrés (3 maximum), les séparer par un espace.
  • DNS_SUFFIX doit être remplacé par le suffixe DNS à utiliser, si aucun suffixe n'est à renseigner supprimer la ligne.
  • IP_MED_SSL doit être remplacé par l'adresse IP secondaire du serveur, il s'agira de l'adresse IP par laquelle le Routeur SSL sera accessible.
Exemple 
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0
iface eth0 inet static
    address 10.0.10.10
    netmask 255.255.255.0
    gateway 10.0.10.254
    dns-nameservers 10.0.10.100 10.0.10.101
    dns-search domain.local

# The secondary network interface
auto eth0:1
iface eth0:1 inet static
    address 10.0.10.11
    netmask 255.255.255.0

Avant d'appliquer la configuration, il reste encore trois actions à réaliser.

La première consiste à installer le paquet resolvconf afin que la configuration DNS inscrite dans le fichier précédent puisse être appliquée :

1
apt install -y resolvconf

La deuxième est de contrôler la configuration du fichier /etc/hosts par rapport à l'adresse IP principale de la machine (IP_MED_WEB).
Pour cela éditez le fichier /etc/hosts et contrôlez que la seconde ligne soit de la forme suivante :

2
IP_MED_WEB  FQDN    MACHINE_NAME
Exemple

Si la machine se nomme MEDIATION-CONTROLLER sans appartenir à un domaine et que son adresse IP IP_MED_WEB est 10.0.10.10, alors le fichier serait complété de cette manière :

2
10.0.10.10  MEDIATION-CONTROLLER

Si la machine appartient au domaine DOMAIN.LOCAL alors le fichier serait complété de la manière suivante :

2
10.0.10.10  MEDIATION-CONTROLLER.DOMAIN.LOCAL   MEDIATION-CONTROLLER

Attention !

Une mauvaise configuration du fichier pourra entraîner une erreur lors de l'installation du paquet collectd.

Il reste finalement plus qu'à redémarrer le service networking afin de charger la nouvelle configuration réseau : 

1
systemctl restart networking

Configuration du gestionnaire de paquet APT

Déposer sur le serveur, dans /tmp/, les fichiers récupérés sur la Marketplace Systancia avec un client SCP :

  • systancia.gpg
  • cleanroom-4.6.1-build33.1096.D12-full.tgz

Connectez-vous sur le serveur en tant que root puis exécutez les commandes suivantes pour décompresser le dépôt Systancia, paramétrer son utilisation au niveau d'APT et l'authentifier.

1
2
3
4
5
mv /tmp/systancia.gpg /etc/apt/trusted.gpg.d/
mkdir -p /opt/systancia/repository/
tar xvzf /tmp/cleanroom-4.6*.tgz -C /opt/systancia/repository/
echo "deb file:///opt/systancia/repository/ bookworm ipdiva" > /etc/apt/sources.list.d/systancia.list
apt update

Nous recommandons vivement la désactivation de l'installation de paquets superflus lors de l'exécution de commandes apt. Pour ce faire, exécuter la commande suivante :

1
echo -e 'APT::Install-Recommends false;\nAPT::Install-Suggests false;' > /etc/apt/apt.conf.d/99norecommends

Contrôle de la présence de la locale en_US.utf8

L'installation du serveur Mediation Controller nécessite obligatoirement la générations des locales en_US.utf8.
Afin de contrôler s'ils sont déjà générés sur le serveur, exécutez la commande suivante en tant que root : 

1
locale -a  | grep en_US.utf8

Si le retour de commande affiche en_US.utf8 alors passer à l'étape suivante de la configuration GRUB.
Sinon exécutez les commandes suivantes pour ajouter cette locale sur la machine :

1
2
sed -i "s/# en_US.UTF-8 UTF-8/en_US.UTF-8 UTF-8/" /etc/locale.gen
locale-gen

Configuration du programme de démarrage GRUB

Une fois ces commandes effectuées, il faut redémarrer la machine après avoir appliqué un paramétrage dans le programme de démarrage GRUB :

1
2
3
sed '9s/quiet/quiet vsyscall=emulate/' -i /etc/default/grub
update-grub
reboot

Installation du serveur Mediation Controller cyberelements Cleanroom

Installation des composants de base

Lancez l'installation des composants en utilisant la commande suivante en tant que root :

1
apt install -y ipdiva-base

Après avoir téléchargé l'ensemble des dépendances, une fenêtre s'ouvre et vous demande de sélectionner le type de serveur. Choisissez mediation:

Sélectionnez ensuite le mode d'installation standalone :

Puis il faudra entrer le port que devra écouter le Routeur SSL. Ce port d'écoute est généralement défini sur 443 mais le port 8443 peut également être utilisé si une seule IP est utilisée par le serveur de médiation :

Entrez ensuite l'adresse de l'accès web au serveur Mediation Controller (correspond à IP_MED_WEB dans la configuration réseau):

Pour finir, saisissez l'adresse IP du routeur SSL (correspond à IP_MED_SSL dans la configuration réseau) :

Que faire en cas d'erreur ?

En cas d'erreur dans les informations saisies, poursuivez l'installation du paquet ipdiva-base et utilisez ensuite la commande suivante pour reparamétrer le serveur :

1
dpkg-reconfigure ipdiva-base

Installation des composants spécifiques

Lancez l'installation des composants spécifiques au serveur Mediation Controller en utilisant la commande suivante :

1
apt install -y ipdiva-safe-server

Un redémarrage du serveur est nécessaire pour finaliser l'installation du serveur (utilisez la commande reboot).

Installation des pilotes de connexion à des bases de données Microsoft SQL Sever

Si la connexion à une base de données externe est souhaitée et qu'elle est du type Microsoft SQL Server, alors des pilotes ODBC complémentaires doivent être installés.

Deux versions sont disponibles, la version 17 et 18.

Connexion TLS obligatoire avec les pilotes en version 18

L'utilisation des pilotes ODBC 18 imposent que la connexion soit chiffrée en TLS. Pour cela il est nécessaire de paramétrer MS SQL Server pour le chiffrement de la connexion.

Avant de débuter l'installation des pilotes ODBC, il faut installer des paquets nécessaires aux préparatifs, puis préparer le dépôt Microsoft pour l'installation des paquets :

1
2
3
4
apt install -y curl apt-transport-https gpg
curl -fsSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor -o /usr/share/keyrings/microsoft-prod.gpg
curl https://packages.microsoft.com/config/debian/12/prod.list > /etc/apt/sources.list.d/mssql-release.list
apt update

Vient ensuite l'installation des pilotes en fonction de la version retenue et un paramétrage système pour l'utilisation de la commande sqlcmd :

1
2
3
ACCEPT_EULA=Y apt install -y msodbcsql17 mssql-tools python3-pip
pip install mssql-scripter --break-system-packages
ln -sfn /opt/mssql-tools/bin/sqlcmd /usr/bin/sqlcmd

1
2
3
ACCEPT_EULA=Y apt install -y msodbcsql18 mssql-tools18 python3-pip
pip install mssql-scripter --break-system-packages
ln -sfn /opt/mssql-tools18/bin/sqlcmd /usr/bin/sqlcmd

Les pilotes ODBC sont maintenant correctement installés.
Si le serveur Mediation Controller a accès à un serveur MS SQL, la commande suivante doit permettre la connexion au serveur distant : 

1
sqlcmd -S SERVER\INSTANCE_NAME,PORT -U USER

Où :

  • SERVER est à remplacer par le nom DNS ou l'adresse IP du serveur MS SQL.
  • INSTANCE_NAME est à remplacer par le nom d'instance sur laquelle se connecter, si non nécessaire retirer aussi le caractère \.
  • PORT est à remplacer par le port de connexion à l'instance de BDD MS SQL.
  • USER est à remplacer par le nom d'utilisateur pour l'établissement de la connnexion.
Exemples

Si le serveur Mediation Controller a accès à un serveur de BDD MS SQL via l'adresse IP 10.0.10.100, que l'instance à accéder est en écoute sur le port 1433 et que le compte d'accès est sql-user. Alors la commande de connexion est la suivante :

1
sqlcmd -S 10.0.10.100,1433 -U sql-user

S'il fallait préciser l'instance de connexion nommmée MSSQLINSTANCE alors la commmande serait modifiée de cette manière :

1
sqlcmd -S 10.0.10.100\MSSQLINSTANCE,1433 -U sql-user

Configuration d'un serveur de temps NTP

Il est recommandé de paramétrer un serveur de temps pour maintenir l'horloge du système à jour. Les étapes nécessaires sont décrites sur la page de configuration du NTP.

Configurations initiales sur cyberelements Cleanroom

Les composants du serveur Mediation Controller sont installés. Il faut maintenant configurer le Mediation Controller.

  • Modifier les mots de passe par défaut

    Modification des mots de passe par défaut des consoles system.

    Modifier

  • Installation des certificats et licences

    Le Mediation Controller nécessite différents certificats et une licence pour être opérationnel.

    Installer les certificats et licence

  • Configuration des autorités de certification

    Ajout de la ou des autorités de certifications (AC) n'appartenant pas à Systancia et qui seront utilisées pour les certificats des Edge Gateway et HTML5 Gateway.

    Configurer les AC de confiance

  • Configurer le certificat Web

    Configuration du certificat Web utilisé pour se connecter aux interfaces Web

    Configurer

  • Déclarer un nom DNS

    Ajout d'un nom DNS autorisé à se connecter aux interfaces Web.

    Ajouter

  • Configurer l'hôte virtuel SSL

    Configuration de l'hôte virtuel SSL cyberelements Cleanroom qui permet d'indiquer l'adresse de connexion au routeur SSL pour les clients et le mécanisme d'appairage des Edge Gateway.

    Configurer

  • Configurer l'organisation

    Configuration de l'organisation cyberelements Cleanroom.

    Configurer

  • Déclarer les Edge Gateway

    Déclarer le ou les Edge Gateways ou HTML5 Gateways qui seront à installer et générer un jeton d'appairage.

    Créer des jetons d'appairage

  • Créer un site logique

    Créer et paramétrer un site logique regroupant les Edge Gateways et HTML5 Gateways pouvant accéder aux ressources locales.

    Créer un site

  • Installer une Edge Gateway

    Installer et configurer une nouvelle Edge Gateway avec le serveur Mediation Controller nouvellement installé.
    Une instance HTML5 Gateway sera aussi paramétrée.

    Installer