Agr2 slides 2x2
-
Upload
mnari-dhaker -
Category
Technology
-
view
209 -
download
1
description
Transcript of Agr2 slides 2x2
ESIlogo
AGRAdministration et Gestion des Réseaux
Pierre BETTENSpbettens(à)heb.be
ESI - École Supérieure d’Informatique
26/03/2006
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
Organisation
Cours - laboratoires (37.5h)Exposé oralManipulation
EvaluationExamen oral au terme du coursEvaluation du savoir par le biais d’une question théorique ouverteEvaluation du savoir-faire par le biais d’une manipulation
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
Organisation - Supports
Slides
Notes de cours
Supports diversInternet
http://esi.namok.behttp://del.icio.us/pit/gar BookmarksIRC (irc.freenode.net / #esi)Les news (via Google - http://groups.google.com)
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
Organisation - Supports
LivresAdministration réseaux sous LinuxOlaf KIRSH et Terry DAWSONed. O’REILLYLe système LinuxWelsh, Dalheimer et Kaufmanned. O’REILLYTCP/IP Administration de réseauCraig Hunted. O’REILLYAutres ...
Samba, installation et mise en oeuvreRobert Eckstein, Davis Collier-Brawn, Peter Kellyed. O’REILLYLDAP,installation et mise en oeuvreed. O’REILLY
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
Organisation du laboratoire
Plage d’adresse : 192.168.208.0/24 - 192.168.223.0/24
Distribution debian
Aide localepour savoir où chercherapropos ’keyword’
le manuelman ’topic’les How Toll /usr/share/doc/HOWTOles pages infos (parfois)info ’topic’
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
Organisation du travail
Exposé oral(cours ex cathedra)
Approfondissement via la documentation(voir livres, docs papiers, man , ...)
Manipulation au laboratoire(pas tous les sujets)
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
Au menu
Organisation
Organisation - Supports
Organisation du laboratoire
Organisation du travail
Introduction à Linux (deuxième partie)
Rappels réseaux
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
Au menu
DNS - Domain Name Server(avec manipulations)
NIS - Network Information System
NFS - Network File System
SAMBA(avec manipulations)
PAM - Plugeable Authentification Modules(avec manipulations)
LDAP - Lightweight Directory Access Protocol(avec manipulations)
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
Au menu
ACL - Access Control List
Serveur d’impressionCUPS - Common Unix Printing System
Serveur webApache(avec manipulations)
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
Introduction à Linux (II)
Rappel du cours SYS1Système de fichiersDroits d’accèsNotions de processusShell, bash
Gestion des utilisateurs
Scripts de démarrage
Shutdown
Sauvegarde de fichiers
Exécution de tâches périodiques cron
Manipulations
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
Introduction à Linux (II)
Gestion des utilisateursUser - Group - Other (u-g-o)User, le fichier /etc/passwdGroup, le fichier /etc/groupsGérer un utilisateur (ajout/suppresion)Gérer les groupesDiverses commandes
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
Introduction à Linux (II)
Gestion des utilisateursAjout d’un utilisateuradduser ...
Modification de /etc/passwdModification de /etc/groupCopie des fichiers "skelettes"Positionnement du mask (umask)Création (éventuelle) d’un répertoire home
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
Introduction à Linux (II)
Gestion des utilisateursLe fichier /etc/shadow
Notions plus pointues(durée de validité, ...)Commande chage
Désactivation (temporaire) d’un compteChgt du passwdChgt du shell (/bin/false)
Suppression d’un utilisateuruserdel
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
Introduction à Linux (II)
Scripts de démarrageDémarrage du système(première partie en très bref)
BIOSChargeur de démarrage- lilo- grubNoyau- initrd.img éventuel- vmlinuz ou autre
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
Introduction à Linux (II)
Scripts de démarrageSystème SysV
Exécution de /etc/inittabExécution des scripts /etc/rc ?.dCes scripts sont en fait des liens vers un script- S pour start- K pour kill- Chaque répertoire comprend un sensemble de liens
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
Introduction à Linux (II)
ShutdownL’arrêt du système est une prérogative du root ... sauf mention ducontraire !Arrêt du système
Prévenir les utilisateurs !Arrêt de chacun des scripts (rc*.d)Arrêt du processus init (id=1)
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
Introduction à Linux (II)
ShutdownDiverses manières de faire
Commande shutdownCommande haltCommande rebootCommande init ’x’Ctrl-Alt-Del ... pq et qd ça marche ?La série à éviter ...- bouton ON/OFF- Tirer la fiche ou couper le cable- Bouton reset
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
Introduction à Linux (II)
Sauvegarde des fichiersL’importance d’un backup n’apparait jamais aussi cruciale que lejour de la perte des données.Définition d’une politique de sauvegardeQue sauvegarder ?Sur quel(s) support(s) ?MoyensRemarques
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
Introduction à Linux (II)
Sauvegarde des fichiersDéfinition d’une politique de sauvegarde
Que sauvegarder ?A quelle fréquence ?Sur quel support ?Quel peut-être la période d’indisponibilité ?Quel coût engage-t-on ?De quel type d’erreur se protège-t-on ?- Cause naturelle- Défaillance matérielle- Défaillance humain
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
Introduction à Linux (II)
Sauvegarde des fichiers - Que sauvegarder ?Fichiers personnels
Par exempleSauvegarde quotidienne. (sur disque dur - rapide)Sauvegarde hebdomadaire (sur bande dans le local/batiment -accessible)Sauvegarde mensuelle (sur bande dans un autre local/batiment -gros désastre)
Fichiers systèmesAutres ..
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
Introduction à Linux (II)
Sauvegarde des fichiers - Sur quel support ?DisquetteZIPCD
CD réinscriptible encore cherCapacité 700Mb
DVDSe démocratiseCapacité 4Gb (à vérifier)
BandesCapacité jusqu’à 40Gb
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
Introduction à Linux (II)
Sauvegarde des fichiers - MoyensCommande rsyncCommandes dump, restore
Sauvegarde incrémentaleSur bandes
Commande tar
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
Introduction à Linux (II)
Sauvegarde des fichiers - RemarquesLes fichiers sur support externes sont vulnérablesProtéger les supports externes
VolDestruction...
Préparer les scénarios de restauration(la restauration se fait tjs ds l’urgence)
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
Introduction à Linux (II)
Exécution de tâches périodiquesDeamon associé cronFormat d’un fichier cron
#commentaire#minute heure jour mois jour_semaine commande0,15,30,45 12-13 * * 1-5 /home/login/allermanger
Fichiers de configuration/etc/crontab (lance les fichiers cron)/etc/cron.allow/etc/cron.deny
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
Introduction à Linux (II)
Exécution de tâches périodiquesCommande crontab
-e Edite le fichier crontab de l’utilisateurUtilise l’éditeur /usr/bin/editorLe fichier se trouve là (ss debian) et ne peut être édité./var/spool/cron/crontabs/’login’-l liste, -r remove
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
Rappels réseaux
En théorieProtocole TCPAdresse IPAdresse ethernethostname, nom d’hotenetmask, masque de réseau
192.168.208.0/18192.168.208.0, 255.255.192.0
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
Rappels réseaux
En théorie (II)gateway, passerellebroadcast
Adresse dont tous les bits de la partie hôte sont à 1
Routageroutage statiqueroutage dynamique
Les commandesifconfignetstatroutepingdig
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
Rappels réseaux
Configuration de l’interface.Trouver l’interface
Appelation usuelleethi sous Linuxdneti sous Solaris
Recherchedmesg | grep eth pour trouver les interfaces ethernet
netstat -inCommande ifconfigCommande netstatCommande dig
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
Rappels réseaux
Configuration de l’interface (ifconfig, netstat)Infos
Flag- R - running- B -broadcast- U - up- L -loopbackMTU - Maximum Transfert Unit(taille des paquets)RX-info (paquets reçus)TX - info (paquets envoyés)info : OK - reçu, ERR - erreur, DRP - drop, OVR - overruns
netstat -inifconfig eth0
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
Rappels réseaux
Configuration de l’interface (ifconfig, netstat)Configuration de l’interface
ifconfig eth0 192.168.208.i netmask 255.255.192.0voir /etc/network/interfaces
Activer / désactiverifconfig eth0 upifconfig eth0 down
Mode promiscuous (indiscret)Par défaut l’interface ethernet ne passe aux protocoles descouches supérieures que les trames adressées au système local ...sauf en mode indiscret.
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
Rappels réseaux
RoutageRoutage minimal
Réseau isoléPas de sous-réseauUne route par interface
Routage statiqueNombre limité de routeursPas / peu d’évolutionTable de routage construite et maintenue manuellement via route
Routage dynamiquePlusieurs route menant à la même destinationLes protocoles de routage mettent à jour les table en fct del’évolution du réseauRecherche d’une "meilleure" route
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
Rappels réseaux
Routage minimalTests du réseau via pingAjout d’une route :route add default gw monGateway
Routage statiqueMessage ICMP RedirectDans les scripts de démarrage
Exécution de routeSupression des "protocoles de routage"
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
Rappels réseaux
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
Rappels réseaux
Routage dynamiqueProtocoles de routage intérieurs
RIP - Routing Information Protocol- Compte le nombre de sauts (hop)- daemon routedHelloTres peu utiliséIS-IS - Intermediate to Intermediate SystemPlus court chemin d’abordOSPF - Open Shortest Path FirstAdapté aux gros réseaux
Protocoles de routage extérieursEGPBGPvia gated
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
DNS - Domain Name Server
Lien entre les adresses IP et les nomsTable d’hôtes/etc/hostsDNS
Avantages du DNS par rapport à la table d’hôtesLe DNS permet de gérer un plus grand nombre d’hôtesLe DNS assure la dissémination de l’info
FonctionnementSi le DNS reçoit une requête sur un hôte pour lequel il ne possèdeaucune donnéeIl fait suivre la requête à un serveur ayant autoritéLorsque le serveur lui répond, il maintient l’information dans uncache.La prochaine fois, il y répondra seul.
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
DNS - Domain Name Server
Hiérarchie des domainesDomaine racineDomaine de premier niveau
Géographiquebe, fr, us, ...Administratifcom, edu, gov, mil, net, int, org, (depuis le début)aero, biz, coop, museum, pro, info, name (depuis 2000)
Serveurs racinesa.root-servers.net...m.root-servers.net
dig @a.root-servers.net.
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
DNS - Domain Name Server
Implémenté grace à BINDBerkeley Internet Name Domain
Client : le résolveur
Serveur : daemon named
Quatre niveaux de servicesRésolveur uniquementServeur à cache seulServeur maîtreServeur esclave
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
DNS - Domain Name Server - Configuration du résolveur
/etc/resolv.conf
nameserver ’adresse’Adresse représente l’adresse d’un serveur de nomsJusqu’à 3 serveurs de nom autorisésLes serveurs de noms sont intérrogés dans l’ordreSi aucune entrée nameserver .. alors intérrogation locale.
domain ’nom’Nom de domaine par défautLes noms SANS points sont concaténés au nom de domaine pardéfautSi la variable d’envirronement LOCALDOMAIN est définie elleprend le dessus
search ’domaine’Idem que domain mais avec plusieurs domaines
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
DNS - Domain Name Server - Configuration du résolveur
options ’option ...’debug (si compilé avec l’option)ndots :ndéfaut 1, nombre de point (+1) rencontré dans le nom pour lequelle nom de domaine est concaténé
timeout :nDélai initialDéfaut 5
attempts :nNombre de fois que le résolveur retente une requêteDéfaut 2
rotateRépartit la charge entre les différents serveurs de noms
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
DNS - Domain Name Server - named
Fichier de configuration - named.conf
Fichier d’accès à la racine - named.root (par exemple)
Fichier d’hôte local - named.local
Fichier de zone - ’mazone.org’.hosts (par exemple)
Fichier de zone inverse - 192.168.208.rev (par exemple)
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
DNS - Domain Name Server - named.conf
Syntaxe proche de CCommentaires /* */ ou // ou encore #Déclaration se termine par ;String entre " "Groupe entre accolades { }
Commande de configurationacl - Définit une liste de contrôle d’accès d’adresses IPinclude - Inclu un autre fichierkey - Définit les clés de sécurité pour l’authentificationlogging - Définit ce qui doit être loggéoptions - Définit les options de configuration globale et desvaleurs par défautserver - Définit les caractéristiques d’un serveur distantzone - Définit une zoneUne zone est une partie de l’espace de nom de domaine pourlaquelle le serveur de noms a autorité
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
DNS - Domain Name Server - Fichier de zone
Format de fichier de zone[nom] [ttlx] IN type donnée
nomNom de l’objet du domaineLe nom est relatif au domaine courant sauf si il se termine par un’.’ S’il est blanc, il se rapporte au dernier objet du domaine nommé
ttlTime-to-liveGénéralement vide, la valeur de la directive $TTL est utilisée
INenregistrement de ressource internet
typeIdentifie la nature de l’enregistrementSOA, NS, A, PTR, MX, CNAME, TXT
donnéeInformation spécifique au type d’enregistrement.Exemple : pour un champ de type A, la donnée est l’adresse IP
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
DNS - Domain Name Server - Fichier de zone
Enregistrement SOANuméro de série en 10 chiffres - aaaammjjxxTemps de raffraichissementTemps de réémissionTemps d’expirationTTL
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
DNS - Domain Name Server - Fichier de zone
Directives$TTL
Valeur par défaut du TTL pour les enregistrement.Soit un nombre de secondes (valeur chiffrée)Soit une combinaison de chiffres et de lettres w, d, h, m, s
$ORIGINDéfinit le nom de domaine par défautEcrase la valeur du domaine définie par la déclaration de zone
$INCLUDEInclu un fichier externe (à l’endroit de la directive)
$GENERATEGénère une série d’enregistrementsCes enregistrement ne diffèrent que par une valeur numérique$GENERATE 1-4 $ CNAME $.1to4Génère- 1 CNAME 1.1to4 - 2 CNAME 2.1to4 - 3 CNAME 3.1to4 - 4CNAME 4.1to4
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
DNS - Domain Name Server - Serveur à cache seul
cat /etc/named.conf
options {directory "/var/named";
};
logging {category "unmatched" { "null"; };category "default" { "default_syslog"; "default_debug"; };
};
zone "." {type hint;file "named.root";
};
zone "0.0.127.in-addr.arpa {type master;file "named.local";
};
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
DNS - Domain Name Server - Serveur à cache seul
cat /var/named/named.root
Récupéré tel quel, il contient les adresses des serveurs racines
// extrait
. 3600000 IN NS A.root -servers.netA.root -servers.net 3600000 IN A 198.41.0.4
...
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
DNS - Domain Name Server - Serveur à cache seul
cat /var/named/named.local
Permet de convertir l’adresse de rebouclage en localhost
Excepté le nom de machine, fichier identique sur ttes lesmachines
$TTL 86400@ IN SOA gouyasse.esi.be. unresponsable.gouyasse.esi.be. (
1 ; serial360000 ; refresh (100h)3600 ; retry (1h)3600000 ; expire (1000h)3600 ; ttl du cahce 1h)
IN NS gouyasse.esi.be.0 IN PTR loopback1 IN PTR localhost
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
DNS - Domain Name Server - Serveur maître
cat /etc/named.conf
Ajout au fichier named.conf de la (des) zone(s) à traiter
...
zone "esi.be" {type master;file "esi.be.hosts";
};
zone "208.168.192.in-addre.arpa" {type master;file "192.168.208.rev";
};
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
DNS - Domain Name Server - Serveur maître
cat /var/named/esi.be.hosts
Principalement des enregistrement A et CNAME
$TTL 86400@ IN SOA .......; Serveurs de noms et de mail
IN NS gouyasse.esi.be.IN MX 10 monisp.be.
; Definition de localhostlocalhost IN A 127.0.0.1; Hotes de la zonegouyasse IN A 192.168.208.1ns1 IN CNAME gouyasse.esi.bequintine IN A 192.168.208.2...........
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
DNS - Domain Name Server - Serveur maître
cat /var/named/192.168.208.rev
Principalement des enregistrements PTR
$TTL 86400@ IN SOA gouyasse.esi.be ......
IN NS gouyasse.esi.be1 IN PTR gouyasse.esi.be2 IN PTR quintine.esi.be
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
DNS - Domain Name Server - Serveur esclave
La différence avec un serveur maître réside dans les fichiers dezone. Ceux-ci sont écrit (par le daemon) sur base d’un requêteau serveur maître et ne contiennent pas a priori les informationssur la zone.
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
DNS - Domain Name Server - Serveur esclave
cat /etc/named.conf
...
zone "esi.be" {type slave;file "esi.be.hosts";masters { ’adresse ip du maitre’ ; };
};
zone "208.168.192.in-addre.arpa" {type slave;file "192.168.208.rev;masters { ’adresse ip du maitre’ ; };
};
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
DNS - Domain Name Server
Contrôle du processusUtilisation du script named
/etc/init.d/named start|stop
Commande rndc de gestion du processusstatusstopstart /restartreloadstatstrace / notracequerylog
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
DNS - Domain Name Server - Contrôle via rndc
cat /etc/rndc.conf
key rndc_key {algorithm "hmac -md5";secret "...";
};
options {default -server localhost;default -key rndc_key;
};
Permet le contrôle du processus named à distance et sécurisé
Default serveur représente la machine à contrôler
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
DNS - Domain Name Server - Contrôle via rndc
/etc/named.conf ajout
controls {inet 127.0.0.1 allow {localhost; } keys {rndc_key; };
};
key "rndc_key" {algorithm hmac -md5;secret " ... idem que l’autre ...";
};
Named autorise certaines adresses IP à le contrôler
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
DNS - Domain Name Server - nsloockup / dig
Test de la configuration
nsloockup google.beServer: 152.158.16.48Address: 152.158.16.48#53
Non-authoritative answer:Name: google.beAddress: 216.239.39.104...
nsloockup est deprecated ... tester la commande digoption -t ’type’
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
NFS - Network File System
NFS - Network File System
Permet le partage de fichiers en réseau
Idéalement transparent pour l’utilisateur
AvantagesRéduit l’espace disque total puisque partageSimplifie la gestion centraliséeUtilise le set de commandes habituel
Approche client / serveurLe serveur
Système qui rend les répertoires disponiblesexport
Le clientSystème qui attache des répertoires distants à son filesystemmount
Initialement développé par Sun MicroSystem
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
NFS - Ses daemons
nfsd [nservers]prend en charge les requêtes des clientspartie serveurnservers spécifie le nombre de daemon qui tournent
mountdtraite les demandes de montage des clientslancés par les serveurs
nfslogdresponsable du journal de NFS
rquotadrelatif aux quotas des utilisateurstourne sur les clients et les serveurs
lockdgère les verrous sur les fichierstourne sur les clients et les serveurs
statdtourne sur les clients et les serveurssurveillance de l’état du réseau (pour la gestion des locks)
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
NFS - Partage de fichiers
Pourquoi ?fournir de l’espace à des clients sans disqueéviter la duplication des donnéesoffrir des données et programmes centraliséspartager des données
Fichier /etc/exportsExemple
/usr/man gouyasse(rw) quintine(ro)/usr/local (ro)
Format : répertoire [machine(options)] ...Wildcard et/ou adresses IP autorisés
Particularités de Solariscommande sharefichier dfstab
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
NFS - Droits d’acces
Fichier autorise l’acces de machines
Les droits d’acces Unix sont de rigueur
Droits d’acces basés sur les uid et gid ... c’est donc mieux s’ilscorrespondent d’une machine à l’autre.
L’utilisateur rootdirective root_squash
uid root -> uid nobody
directives squash_uids, suash_gids et all_squash
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
NFS - Commande exportfs
Commande exportfs-a lors de l’init-r pour une relecture
Construit le fichier /var/lib/nfs/xtabContient les infos sur les fichiers exportésLu pas mountd
Possibilité d’export "temporaire"exportfs hercule :/usr/local -o rw - pour l’ajoutexportfs -u hercule :/usr/local - pour la suppression
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
NFS - Commandes showmount / mount
Commande showmountPermet de voir les répertoire exporté pas une machine
showmount -e gouyasse
export list for gouyasse/usr/man gouyasse ,quintine/local (everyone)
Commande mountmount machine :répertoire-distant répertoire-localmachine est un serveur NFSrépertoire-distant un répertoire exportérépertoire-local doit existerAjout eventuel du type de filesystem
-t nfs
Commande umount
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
NFS - Fichier /etc/fstab
Fichier /etc/fstab
Les répertoires exportés peuvent apparaitre dans le fichier
gouyasse:/usr/man /usr/man nfs rw 0 0
Propose des options supplémentaires aux options habituelles dufichier
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
NIS - Network Information Serviceyellow pages
Base de données administrative (comparable au DNS maisdifférent )
SimilitudesContrôle centraliséPropagation automatique des fichiers de configuration importants
DifférencesGère des petits réseaux privés (pas Internet)NIS partage des infos plus variées (dans ses tables NIS)La table d’hôte de NIS contient moins d’informations que celle deDNS
DéfinitionNIS convertit plusieurs fichiers standard en base de données quipeut être interrogée via le réseau, ces bd sont appelées tablesNIS
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
NIS - Network Information Serviceyellow pages
Quels fichiers ?/etc/passwd/etc/group/etc/ethers (utilisé par le protocole RARP/etc/hosts/etc/networks/etc/protocols/etc/services/etc/aliases
Ces fichiers sont transformés en table/etc/networks -> networks.byname networks.byaddr
Les tables NIS sont stockées dans /var/yp/<nom dudomaine>
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
NIS - les daemons
ypservDaemon responsable de la partie serveur de NIS
ypbindDaemon permettant la lisaion au serveur et à ses tables NIS
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
NIS - les commandes (serveur)
ypcat - fournit la liste des tables NIS
domainname <nom du domaine> - vérifie en met en place lenom du domaine NIS(défini pour le boot dans /etc/sysconfig/network,NISDOMAIN=..)
cd /var/yp ; make - contruction des tables NIS
ypserv - lancement du serveur NIS
ypbind - processus de liaison
ypwich - renseigne le serveur NIS
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
NIS - les commandes (client)
domainname <nom du domaine> - idem serveur
ypbind
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
Samba
Permet la communication entre machines hétérogènes
Mets en oeuvre le protocole SMB(natif sous MS Windows)
Administration centralisée sur le serveur
Site associé : http ://samba.org
Installationsambasamba-commonsmbfssmbclient
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
Samba - daemon
smbddaemon responsable du partage des ressources
File sharingPrinting services
nmbddaemon NetBiosComprend et répond aux requêtes NetBios sur TCP/IP produitespar SMBPermet la participation au "Network Neighborhood"
Activationlancement des daemons, nmbd, smbdutilisation du script /etc/init.d/samba (start/stop/..)via inetd
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
Samba - smb.conf
Configuration centralisée dans le fichier /etc/samba/smb.conf(vérifier la situation)
Fichier divisé en sectionsDébute par [nom du partage]Une section se termine par le début de la suivante (ou fin defichier)Chaque section correspond à un partage, (excepté pour la sectionglobal)Sections particulières
global - Configuration générale de Sambahomes - Correspond au répertoire HOME de l’utilisateurprinters - Définit le partage des imprimantes.
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
Samba - smb.conf
Format de fichier
parametre = valeur
Les commentaires commencent pas # ou ;
Exemple
# A sample share for sharing your CD-ROM with others.[cdrom]
comment = Samba server’s CD-ROM; valid users = user1 , user2
writable = nolocking = nopath = /cdrompublic = yes
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
Samba - variables
Samba comprend une série de variables ...
%I - adresse IP du client
%m - nom netbios du client
Ces variables permettent l’écriture de scripts personnalisésOn ajoutera, par exemple,
[monJoliPartage]...include /etc/samba/smb.conf.%m...
Si le fichier existe il est inclut ... sinon non.
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
Samba - configuration du browser
browser ou explorateur réseau permet d’examiner les partages
l’option browseable yes|no permet de montrer / cacher unpartabge sur le réseau ($ sous MS Windows)
une liste de browsing est maintenue sur le réseau
le master browser la détient
ce master browser est élules élections dépendent de
os levelrolelocal masternetbios namepreffered master yes|no
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
Samba - authentification
Types d’authentificationshare - authentification ’à la ressource’user - authentification lors de la connexionserver - comme pour user mais le serveur s’adresse à un autreserveur pour l’authentificationdomain - contrôle via un ’contrôleur de domain’ (responsable del’authentification)
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
Samba - utilitaires
testparm /etc/samba/smb.confPermet de vérifier la validité syntaxique du fichier de conf
/etc/init.d/samba [start|stop|restart]Relance le daemon sambaLe script s’appelle smb ou samba suivant les distributions
smbmountpackage debian smbfssyntaxe smbmount //<netbios name>/<share name> <mountpoint>
smbclientcommande à tout faire ....FTPimpressionenvoi de messages...
smbpasswdajoute un utilisateur "samba"
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
Samba - SWAT
Disponibilité du service (/etc/services)
Permet la configuration de samba via un interface web (plutôt quel’édition du fichier smb.conf)
Gestion par initd
Le serveur écoute sur le port 901http ://localhost :901
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
PAM - Plugable Authentification Module
PrincipeCertaines applications nécéssitent une authentification
loginsudosu...
Systèmes d’authentification évoluent/etc/passwd/etc/shadowAnnuaire LDAP...
Cette évolution impose la réécriture d’une partie de code dechaque application nécéssitant une authentificationL’idée ; on délègue l’authentification à des modules dynamiques
DéfinitionPlugable Authentification Module sont des bibliothèquesresponsables d’une partie de l’authentification.
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
PAM - Plugable Authentification Module
Bibliothèque/lib/securityUne application est développée pour se lier avec ces bibliothèques
AvantageL’administrateur system configure le comportement de cesapplications (ssh, ftp, login, ...) via PAM
La configuration se fait dans /etc/pam.d/ (un fichier parapplication)Anciennement la configuration se faisait dans un fichier/etc/pam.conf unique
Configuration fineRefus simple de connectionConnection "limitée" ; plage horaire, ressources, ...
ConditionIl faut que l’application soit PAM enabled
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
PAM - Plugable Authentification Module
Format des fichiersmodule-type control-flag module-path args
module-typeauth entification
Identifie le user comme étant qui il prétendVérifie l’appartenance à un groupe
accountPas d’authentification mais des permissions/restrictions en fonctiondes ressources- temps (moment de la journée)- resources système (nombre d’utilisateurs connectés)- lieu (root se logge d’une console pas d’un terminal)
sessionDestiné aux actions a exécuter avant/après la mise à disposition duservice
passwordUtiliser pour renouveler le jeton d’authentification
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
PAM - Plugable Authentification Module
Format des fichiersmodule-type control-flag module-path args
control-flagGère la manière de réagir au "résultat" du module.
Rem : Les modules sont empilés , et excécutés dans l’ordre .. lerésultat de l’un influence le suivantrequired
Exigé pour la réussite du module-typeUn echec n’est renseigné qu’à la fin de la pile d’appel
requisiteIdem que requiredMais s’interromp dès l’échec ... n’attend pas l’exécution de toute lapile
sufficientLa réussite de ce module est suffisante .. on ne continue pas la piled’appel en cas de réussite
optionalOptionel .. n’influence pas la suite
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
PAM - Plugable Authentification Module
Format des fichiersmodule-type control-flag module-path args
module-pathNom du moduleS’il commence par c’est un nom complet sinon /lib/security
argsArguments pour le module, dépend de celui-cidebug, no-warn, use-first-pass, ...
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
PAM - Plugable Authentification Module
Exemple
auth required /lib/security/pam_securetty.soauth required /lib/security/pam_env.soauth sufficient /lib/security/pam_ldap.soauth required /lib/security/pam_unix.so try_first_pass
DéroulementVérification dans /etc/securetty que la connection peut sefaire sinon echec ... à la finPositionnement des variables d’environnementAuthentification via LDAP (/etc/ldap.conf)
Si réussite, fin
En cas d’échec de pam_ldap, authentification Unix .. avec lepasswd précédent
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
PAM - Plugable Authentification ModulePAM enabled
Tester si l’application pampgm supporte PAM
Ajouter le fichier pampgm dans /etc/pam.d
$ cat /etc/pam.d/pampgmauth required pam_permit.soauth required pam_warn.so
Lancer le programme pampgmModule pam_permit autorise tout le mondeModule parm_warm logge dans syslog
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
PAM - Plugable Authentification ModuleLinux-PAM API
Ecrire un programme PAM enabled
#include <security/pam_appl.h>#include <security/pam_misc.h>...pam_authenticate() ;...
cc -o application .... -lpam -lpam_misc -ldl
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
LDAP - Lightweight Directory Access Protocol
DéfinitionLDAP est un protocole d’accès à un annuaire.Un annuaire est une base de données spécialisée,
stocke des données légèrement typéesles données sont structurées en arbreun annuaire est très performant en lecture mais pas en écriture
Exemplesannuaire de personnes, type "pages blanches"comptes Unixcarnet d’adresses + photosdonnées d’identificationparc matériel... tout ce qui peut-être nommé et attaché à de l’information
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
LDAP - Lightweight Directory Access ProtocolAnnuaire versus SGBD
AnnuaireLectures rapidesStocke des objets et leurs attributs (typés)Organisation en arbreRéplication simple ( chaque modification est reportée dans lesannuaires secondaires, ...)Stocke gde quantité de données mais de faible volume
SGBDRapidité d’accès en lecture et écritureTypage fort
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
LDAP - Lightweight Directory Access ProtocolLes concepts
LDAP fournitUn protocole permettant l’accès à l’informationUn modèle d’information, définit le type d’informationsDes conventions de nommage, définissent comment l’informationest organiséeUn modèle fonctionnel, définit comment on accède à l’informationUn modèle de sécuritéUn modèle de duplication, définit la répartition entre différentsserveursDes APIs pour développer des applicationsLDIF, un format d’échange de données
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
LDAP - Lightweight Directory Access ProtocolLe protocole
Le protocole définitcomment s’établit la communication client-serveurpermet à l’utilisateur de se connecter , rechercher , comparer , ...des mécanismes de chiffrementdes règles d’accèsun protocole serveur-serveur, pour la synchronisation, réplication,..
Pour info ...LDAP est initialement une passerelle d’accès à des annuairesX500
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
LDAP - Lightweight Directory Access ProtocolLe protocole
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
LDAP - Lightweight Directory Access ProtocolModèle des données
Modèle de données hiérarchique
Chaque noeud de l’arbre correspond à une entrée de l’annuaire
Les entrées correspondent à des objets, ayant des attributs
Chaque serveur contient une entrée spéciale, rootDSE (rootdirectory specific entry) qui contient la description de l’arbre
objetClass top : permettra de définir la "véritable" racine de l’arbre
L’arbre est appelé Directory Information Tree, DIT
L’ensemble des définitions relatives aux données, s’appelle unschéma
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
LDAP - Lightweight Directory Access ProtocolClasse d’objet
Les classes d’objet (objectClass) modélisent les objets et leursattributsUne classe est définie par
un nomun OID (object ID)des attributs obligatoiresdes attributs optionnelsun type (structurel, abstrait ou auxiliaire)
structurel - description d’un objet basique, personne, groupe,entité organisationnelle de la société, ...abstrait - propre à LDAP, top, aliasauxiliaire - permettent d’ajouter de l’info complémentaire à un objetstructurel, mailRecipient, ...
Un attribut est défini parun nomun oidsyntaxe et règles de comparaisonformat de valeur
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
LDAP - Lightweight Directory Access ProtocolClasse d’objet II
OIDLes objets et leur oid sont normalisés (RFC2256)oid est une séquence de nombres entiers
2.5 - fait reference au service X5001.3.6.1.4.1.4203 - openLDAP
On ne modifie pas les schémas existants (pas propre, risqued’incompatibilité)Notion d’héritage entre objetsPour l’ESI, (1.3.6.1.4.1.23162)
Les classes d’objet forment une hierarchie
La racine est l’objet top
Chaque objet hérite de son parent
On précise la classe d’un objet à l’aide de objectClass
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
LDAP - Lightweight Directory Access ProtocolClasse d’objet III
objectClass: topobjectClass: personobjectClass: organizationalPersonobjectClass: inetPerson
classe persona comme attributs :commonName, surname, description, seeAlso, telephoneNumber,userPassword
classe organizationalPersonajoute les attributs :organizationUnitName, title, ...
classe inetPersonajoute les attributs :mail, uid, photo, ...
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
LDAP - Lightweight Directory Access ProtocolDéfinition d’un Schéma
Lorsqu’une entrée est crée, le serveur vérifie si la syntaxe estconforme sur base du schéma associé, c’est le Schemachecking
/etc/lpdap/schema/local.schema
objectClass esiPersonsuperior inetOrgPersonrequires
sn,cn
allowsuidNumber ,gidNumber ,homeDirectory ,dateArrivee ,dateDepart
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
LDAP - Lightweight Directory Access ProtocolConfiguration du serveur
Formats différents suivants l’implémentationslapd.conf, U-M slapd, OpenLDAP, NEtscape Directory...
Il existe deux objets abstraits particuliers qui permettent de fairedes liens entre les noeuds ou entre des annuaires
aliasesreferrals
Un annuaire LDAP peut être constitué d’un seul serveur ou deplusieurs
Serveur seulService referalService duplication
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
LDAP - Lightweight Directory Access ProtocolIdentifiant d’un objet
L’identifiant unique (clé dans un SGBD) est le DN
DN, Distinguished name est le nom unique dans l’annuaire, ilreprésente le chemin absolu depuis top
Exemple : uid=pbt, ou=prof, dc=esi, dc=be
Il se composedes attributs obligatoiresde la liste des ou organisationnal unitdes organisations o
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
LDAP - Lightweight Directory Access ProtocolLDIF - LDAP Data Interchange Format
LDIF permet de représenter les données
Utilisé pourimporter / exporter des bdsfaire des modifications sur des entrées
dn : cn=PbT, ou=prof , o=esi, c=BeobjectClass: personobjectClass: organizationalPersonobjectClass: inetOrgPersoncn: PbTmail : [email protected]...
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
LDAP - Lightweight Directory Access ProtocolLDIF - LDAP Data Interchange Format II
Permet de faire des modifications, ajouts , suppression , ...
Exemple d’ajout
dn: cn=Juste Leblanc , ou=sales , o=Ed Oreilly , c=frchangetype: modifyadd: telephonenumbertelephonenumber: (408) 123 - 456
Exemple de suppression
dn: cn=Juste Leblanc , ou=sales , o=Ed Oreilly , c=frchangetype: delete
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
LDAP - Lightweight Directory Access ProtocolModèle fonctionnel
Le modèle fonctionnel définit les opérations de bases pouvantêtre exécutées sur le serveur
search, compare, add, modify, delete, rename, bind ...(voir webographie pour les détails)
Pour une recherche, on devra définir le scope de celle-cisearch scop = basepermet de rechercher un élementsearch scope = onlevel searchpermet de rechercher sur le niveau enfantsearch scope = subtreepermet la recherche dans tout l’arbre "enfant"
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
LDAP - Lightweight Directory Access ProtocolDéployer un service LDAP
Déployer un annuaire nécessite une réflexion au sein de lasociété. Ces aspects sortent du cadre de cette présentation ...mais en brefAspects organisationnels
Nature des données stockéesQue doit servir l’annuaire ?Maintient des données à jour, sources des données, pérennitéConfidentialité, authentification, contrôle d’accès, ...
Choix du schémaChoix du modèle de nommage
Nombre d’entrées actuelles et évolutionType des entréesNombre de serveurs et répartition des données sur ceux-cichoix du DN Distinghished namechoix du suffixe, exemple DC=esi, DC=be
Duplication ? Réplication ?...
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
LDAP - Lightweight Directory Access ProtocolCas particulier de OpenLDAP
OpenLDAP est une implémentation libre de LDAP
http ://openldap.org
Related softwareTransport, OpenSSL ( http ://openssl.org)Authentification, KerberosThreads, OpenLDAP supporte POSIX pthreads
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
LDAP - Lightweight Directory Access ProtocolCas particulier de OpenLDAP
InstallationVia les packages
slapdldap-utils
Méthode "traditionnelle"configure ; make ; make install ...
daemonsslapd, pour la gestion de l’annuaireslurpd, pour la réplication
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
LDAP - Lightweight Directory Access ProtocolCas particulier de OpenLDAP
Configurationvia le fichier /etc/ldap/slapd.confAdaptation du fichier de configuration
Adresse IP du serveur LDAPPosition du DN de l’annuaireSSL yes/noSchema(s) supplémentaire(s) éventuel(s)
ScriptGestion du serveur via/etc/init.d/slapd start|stoprestart|force-reload
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
LDAP - Lightweight Directory Access ProtocolCas particulier de OpenLDAP
Organisation de l’annuaireVérification des schemas(probablement), création d’un schema particulier/etc/ldap/schema/local.schema
Gestion du contenu(fichier(s) LDIF )
Ajout d’utilisateur, ldapadd
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
LDAP - Lightweight Directory Access ProtocolLogiciels LDAP
ServeursOpenLDAPNetscape Directory ServerInnosoft’s Distributed Directory Server...D’autres supportent les requêtes
Novell’NetWare Directory ServicesMicrosoft Active DirectoryLotus Domino
Type de clientsLogiciels avec accès natif, Netscape Communicator, MS Outlook,BrowsersAcces via passerelleUtilisation des API, Java ; Perl, C,Natif ds l’OS, MS Windows NT5, PAM LDAP, NIS versus LDAP
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
Serveur webApache
Un serveur web permet la propagation de l’information sur unréseau IP
Apache est un logiciel fournissant le "service" serveru web
Installationapt-get install apache2 apache2-doclibapache2-mod-php
Fichier de configurationhttpd.conf (obsolète dans la version apache2)apache2.confconf.d/mod-enabled/ (versusmod-available/)ports.conf... bref ls /etc/apache2
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
Serveur webApache
Script de gestion du(des) daemon(s)/etc/init.d/apache2 [start|stop...]Nombre de daemons (essaim )
StartServers 5MinSpareServers 5MinSpareServers 5MaxSpareServers 10
Les pages web ... emplacementDirective DocumentRoot#cat sites-enabled000-default
Chargement des modulesApache propose des modules logiciels offrant diversesfonctionnalitésvoir /etc/apache2/mods_enabled qui contient des liens verscertains fichiers dans mods_available
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
Serveur webApache
JournalisationPréciser l’emplacement des fichiers log - ErrorLogQuantitié d’infos - LogLevelFormat des logs - Logformat
Contrôle d’accèsOrder deny, allowDeny from allAllow from esi.be <br / >Possibilité d’authoriser l’accès sur base de login/password ... voirdirective Auth*
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
Serveur webApache
Points NON abordésServeurs mandataires (proxy )Sécurité / encryptage (certificat)Hôtes virtuels
Pierre BETTENS AGR Administration et Gestion des Réseaux
ESIlogo
Credits
freemind - http ://freemind.sourceforge.netGénération d’un Mind Map
Génération des slides sur base du Map freemindScripts Perl- freemind2s5.pl de Vincent Oberle- freemind2beamer.pl modification incomplète du scriptFormat PDF
LATEXpackage beamer
Pierre BETTENS AGR Administration et Gestion des Réseaux