Autoriser utilisateur à redémarrer IPCop

Présentation

IPCop est une distribution Linux qui fourni un pare-feu, à configurer sur un PC, simple à gérer et assez puissant pour une utilisation en petite ou moyenne entreprise. C’est article n’est pas là pour vous présenter cette distribution dans les moindres détails, mais plus la partie qui permet la délégation de droit à un utilisateur.

L’administration se fait principalement à l’aide d’une interface graphique et d’un compte administrateur qui possède les pleins pouvoirs, cependant certaines fois il est nécessaire d’autoriser un membre du personnel à redémarrer la machine. Par exemple, la machine se trouve sur un site distant et vos utilisateurs vous avertissent qu’il y a un problème de connectivité internet. Après divers tests, c’est visiblement IPCop qui ne fait plus la liaison avec le modem ou la box, il est alors impossible de prendre la main à distance pour redémarrer le service.

Il faut donc avoir prévu la possibilité de redémarrer IPCop sans le compte administrateur afin d’éviter un arrêt brusque (débranchement du câble d’alimentation) qui pourrait entraîner des erreurs sur le disque.

Configuration

Par défaut, seul le compte « admin » est prévu pour se connecter, mais il existe un autre compte sans aucun droit d’administration qui peut être activé. Ce compte à la capacité d’accéder à la page d’accueil (elle permet la connexion/déconnexion du profil internet) et uniquement celle-ci, il ne peut en aucun cas configurer le pare-feu ou d’autres services. Vous allez me dire, rien de bien intéressant dans notre cas ? Et pourtant on peut en quelques étapes augmenter les capacités d’administration de ce compte !

Tout d’abord, il faut activer le compte. Pour se faire, connectez-vous en tant qu’administrateur sur l’interface de gestion d’IPCop, puis rendez-vous dans l’onglet « Mots de passe » de la rubrique « Système ».

Cette page vous permet de modifier les mots de passe associés aux deux comptes disponibles. Le compte « dial » est celui que nous allons utiliser pour la délégation de droit, il vous suffit de renseigner un mot de passe et le compte sera automatiquement activé.

Si vous essayez d’accéder à l’onglet « Arrêter », une authentification est nécessaire sauf que l’utilisateur dial n’a pas encore l’autorisation d’y accéder et c’est ce que nous allons changer en modifiant un fichier de configuration.

Connectez-vous à IPCop en SSH et avec votre éditeur préféré ouvrez le fichier : /etc/httpd/conf/httpd.conf
Recherchez le bloc de ligne suivant :

      <Directory /home/httpd/cgi-bin>  
          AllowOverride None  
          Options None  
          AuthName "Restricted"  
          AuthType Basic  
          AuthUserFile /var/ipcop/auth/users  
          Require user admin  
          <Files index.cgi>  
              Satisfy Any  
              Allow from All  
          </Files>  
          <Files credits.cgi>  
              Satisfy Any  
              Allow from All  
          </Files>  
          <Files dial.cgi>  
              Require user admin dial  
          </Files>  
      </Directory>

Il vous suffit d’ajouter (avant la dernière ligne) :

<Files shutdown.cgi>  
     Require user admin dial  
</Files> 

D’enregistrer votre fichier et d’exécuter la commande suivante pour que les modifications soient prises en compte :

killall httpd && httpd -DSSL

Vous venez de donner les autorisations au compte dial d’accéder à l’onglet « Arrêter », si vous souhaitez que le compte accède à d’autres parties il vous suffit d’ajouter le nom de la page de la même manière.

Vous pouvez maintenant communiquer le compte à un membre de votre personnel afin que celui-ci puisse redémarrer IPCop en cas de problème. 🙂