Agr2 slides 2x2

ESIlogo

AGRAdministration et Gestion des Réseaux

Pierre BETTENSpbettens(à)heb.be

ESI - École Supérieure d’Informatique

26/03/2006

Pierre BETTENS AGR Administration et Gestion des Réseaux

ESIlogo

Organisation

Cours - laboratoires (37.5h)Exposé oralManipulation

EvaluationExamen oral au terme du coursEvaluation du savoir par le biais d’une question théorique ouverteEvaluation du savoir-faire par le biais d’une manipulation


ESIlogo

Organisation - Supports

Slides

Notes de cours

Supports diversInternet

http://esi.namok.behttp://del.icio.us/pit/gar BookmarksIRC (irc.freenode.net / #esi)Les news (via Google - http://groups.google.com)


ESIlogo


LivresAdministration réseaux sous LinuxOlaf KIRSH et Terry DAWSONed. O’REILLYLe système LinuxWelsh, Dalheimer et Kaufmanned. O’REILLYTCP/IP Administration de réseauCraig Hunted. O’REILLYAutres ...

Samba, installation et mise en oeuvreRobert Eckstein, Davis Collier-Brawn, Peter Kellyed. O’REILLYLDAP,installation et mise en oeuvreed. O’REILLY


ESIlogo

Organisation du laboratoire

Plage d’adresse : 192.168.208.0/24 - 192.168.223.0/24

Distribution debian

Aide localepour savoir où chercherapropos ’keyword’

le manuelman ’topic’les How Toll /usr/share/doc/HOWTOles pages infos (parfois)info ’topic’


ESIlogo

Organisation du travail

Exposé oral(cours ex cathedra)

Approfondissement via la documentation(voir livres, docs papiers, man , ...)

Manipulation au laboratoire(pas tous les sujets)


ESIlogo

Au menu

Organisation


Organisation du laboratoire

Organisation du travail

Introduction à Linux (deuxième partie)

Rappels réseaux


ESIlogo

Au menu

DNS - Domain Name Server(avec manipulations)

NIS - Network Information System

NFS - Network File System

SAMBA(avec manipulations)

PAM - Plugeable Authentification Modules(avec manipulations)

LDAP - Lightweight Directory Access Protocol(avec manipulations)


ESIlogo

Au menu

ACL - Access Control List

Serveur d’impressionCUPS - Common Unix Printing System

Serveur webApache(avec manipulations)


ESIlogo

Introduction à Linux (II)

Rappel du cours SYS1Système de fichiersDroits d’accèsNotions de processusShell, bash

Gestion des utilisateurs

Scripts de démarrage

Shutdown

Sauvegarde de fichiers

Exécution de tâches périodiques cron

Manipulations


ESIlogo


Gestion des utilisateursUser - Group - Other (u-g-o)User, le fichier /etc/passwdGroup, le fichier /etc/groupsGérer un utilisateur (ajout/suppresion)Gérer les groupesDiverses commandes


ESIlogo


Gestion des utilisateursAjout d’un utilisateuradduser ...

Modification de /etc/passwdModification de /etc/groupCopie des fichiers "skelettes"Positionnement du mask (umask)Création (éventuelle) d’un répertoire home


ESIlogo


Gestion des utilisateursLe fichier /etc/shadow

Notions plus pointues(durée de validité, ...)Commande chage

Désactivation (temporaire) d’un compteChgt du passwdChgt du shell (/bin/false)

Suppression d’un utilisateuruserdel


ESIlogo


Scripts de démarrageDémarrage du système(première partie en très bref)

BIOSChargeur de démarrage- lilo- grubNoyau- initrd.img éventuel- vmlinuz ou autre


ESIlogo


Scripts de démarrageSystème SysV

Exécution de /etc/inittabExécution des scripts /etc/rc ?.dCes scripts sont en fait des liens vers un script- S pour start- K pour kill- Chaque répertoire comprend un sensemble de liens


ESIlogo


ShutdownL’arrêt du système est une prérogative du root ... sauf mention ducontraire !Arrêt du système

Prévenir les utilisateurs !Arrêt de chacun des scripts (rc*.d)Arrêt du processus init (id=1)


ESIlogo


ShutdownDiverses manières de faire

Commande shutdownCommande haltCommande rebootCommande init ’x’Ctrl-Alt-Del ... pq et qd ça marche ?La série à éviter ...- bouton ON/OFF- Tirer la fiche ou couper le cable- Bouton reset


ESIlogo


Sauvegarde des fichiersL’importance d’un backup n’apparait jamais aussi cruciale que lejour de la perte des données.Définition d’une politique de sauvegardeQue sauvegarder ?Sur quel(s) support(s) ?MoyensRemarques


ESIlogo


Sauvegarde des fichiersDéfinition d’une politique de sauvegarde

Que sauvegarder ?A quelle fréquence ?Sur quel support ?Quel peut-être la période d’indisponibilité ?Quel coût engage-t-on ?De quel type d’erreur se protège-t-on ?- Cause naturelle- Défaillance matérielle- Défaillance humain


ESIlogo


Sauvegarde des fichiers - Que sauvegarder ?Fichiers personnels

Par exempleSauvegarde quotidienne. (sur disque dur - rapide)Sauvegarde hebdomadaire (sur bande dans le local/batiment -accessible)Sauvegarde mensuelle (sur bande dans un autre local/batiment -gros désastre)

Fichiers systèmesAutres ..


ESIlogo


Sauvegarde des fichiers - Sur quel support ?DisquetteZIPCD

CD réinscriptible encore cherCapacité 700Mb

DVDSe démocratiseCapacité 4Gb (à vérifier)

BandesCapacité jusqu’à 40Gb


ESIlogo


Sauvegarde des fichiers - MoyensCommande rsyncCommandes dump, restore

Sauvegarde incrémentaleSur bandes

Commande tar


ESIlogo


Sauvegarde des fichiers - RemarquesLes fichiers sur support externes sont vulnérablesProtéger les supports externes

VolDestruction...

Préparer les scénarios de restauration(la restauration se fait tjs ds l’urgence)


ESIlogo


Exécution de tâches périodiquesDeamon associé cronFormat d’un fichier cron

#commentaire#minute heure jour mois jour_semaine commande0,15,30,45 12-13 * * 1-5 /home/login/allermanger

Fichiers de configuration/etc/crontab (lance les fichiers cron)/etc/cron.allow/etc/cron.deny


ESIlogo


Exécution de tâches périodiquesCommande crontab

-e Edite le fichier crontab de l’utilisateurUtilise l’éditeur /usr/bin/editorLe fichier se trouve là (ss debian) et ne peut être édité./var/spool/cron/crontabs/’login’-l liste, -r remove


ESIlogo

Rappels réseaux

En théorieProtocole TCPAdresse IPAdresse ethernethostname, nom d’hotenetmask, masque de réseau

192.168.208.0/18192.168.208.0, 255.255.192.0


ESIlogo

Rappels réseaux

En théorie (II)gateway, passerellebroadcast

Adresse dont tous les bits de la partie hôte sont à 1

Routageroutage statiqueroutage dynamique

Les commandesifconfignetstatroutepingdig


ESIlogo

Rappels réseaux

Configuration de l’interface.Trouver l’interface

Appelation usuelleethi sous Linuxdneti sous Solaris

Recherchedmesg | grep eth pour trouver les interfaces ethernet

netstat -inCommande ifconfigCommande netstatCommande dig


ESIlogo

Rappels réseaux

Configuration de l’interface (ifconfig, netstat)Infos

Flag- R - running- B -broadcast- U - up- L -loopbackMTU - Maximum Transfert Unit(taille des paquets)RX-info (paquets reçus)TX - info (paquets envoyés)info : OK - reçu, ERR - erreur, DRP - drop, OVR - overruns

netstat -inifconfig eth0


ESIlogo

Rappels réseaux

Configuration de l’interface (ifconfig, netstat)Configuration de l’interface

ifconfig eth0 192.168.208.i netmask 255.255.192.0voir /etc/network/interfaces

Activer / désactiverifconfig eth0 upifconfig eth0 down

Mode promiscuous (indiscret)Par défaut l’interface ethernet ne passe aux protocoles descouches supérieures que les trames adressées au système local ...sauf en mode indiscret.


ESIlogo

Rappels réseaux

RoutageRoutage minimal

Réseau isoléPas de sous-réseauUne route par interface

Routage statiqueNombre limité de routeursPas / peu d’évolutionTable de routage construite et maintenue manuellement via route

Routage dynamiquePlusieurs route menant à la même destinationLes protocoles de routage mettent à jour les table en fct del’évolution du réseauRecherche d’une "meilleure" route


ESIlogo

Rappels réseaux

Routage minimalTests du réseau via pingAjout d’une route :route add default gw monGateway

Routage statiqueMessage ICMP RedirectDans les scripts de démarrage

Exécution de routeSupression des "protocoles de routage"


ESIlogo

Rappels réseaux


ESIlogo

Rappels réseaux

Routage dynamiqueProtocoles de routage intérieurs

RIP - Routing Information Protocol- Compte le nombre de sauts (hop)- daemon routedHelloTres peu utiliséIS-IS - Intermediate to Intermediate SystemPlus court chemin d’abordOSPF - Open Shortest Path FirstAdapté aux gros réseaux

Protocoles de routage extérieursEGPBGPvia gated


ESIlogo

DNS - Domain Name Server

Lien entre les adresses IP et les nomsTable d’hôtes/etc/hostsDNS

Avantages du DNS par rapport à la table d’hôtesLe DNS permet de gérer un plus grand nombre d’hôtesLe DNS assure la dissémination de l’info

FonctionnementSi le DNS reçoit une requête sur un hôte pour lequel il ne possèdeaucune donnéeIl fait suivre la requête à un serveur ayant autoritéLorsque le serveur lui répond, il maintient l’information dans uncache.La prochaine fois, il y répondra seul.


ESIlogo


Hiérarchie des domainesDomaine racineDomaine de premier niveau

Géographiquebe, fr, us, ...Administratifcom, edu, gov, mil, net, int, org, (depuis le début)aero, biz, coop, museum, pro, info, name (depuis 2000)

Serveurs racinesa.root-servers.net...m.root-servers.net

dig @a.root-servers.net.


ESIlogo


Implémenté grace à BINDBerkeley Internet Name Domain

Client : le résolveur

Serveur : daemon named

Quatre niveaux de servicesRésolveur uniquementServeur à cache seulServeur maîtreServeur esclave


ESIlogo

DNS - Domain Name Server - Configuration du résolveur

/etc/resolv.conf

nameserver ’adresse’Adresse représente l’adresse d’un serveur de nomsJusqu’à 3 serveurs de nom autorisésLes serveurs de noms sont intérrogés dans l’ordreSi aucune entrée nameserver .. alors intérrogation locale.

domain ’nom’Nom de domaine par défautLes noms SANS points sont concaténés au nom de domaine pardéfautSi la variable d’envirronement LOCALDOMAIN est définie elleprend le dessus

search ’domaine’Idem que domain mais avec plusieurs domaines


ESIlogo

DNS - Domain Name Server - Configuration du résolveur

options ’option ...’debug (si compilé avec l’option)ndots :ndéfaut 1, nombre de point (+1) rencontré dans le nom pour lequelle nom de domaine est concaténé

timeout :nDélai initialDéfaut 5

attempts :nNombre de fois que le résolveur retente une requêteDéfaut 2

rotateRépartit la charge entre les différents serveurs de noms


ESIlogo

DNS - Domain Name Server - named

Fichier de configuration - named.conf

Fichier d’accès à la racine - named.root (par exemple)

Fichier d’hôte local - named.local

Fichier de zone - ’mazone.org’.hosts (par exemple)

Fichier de zone inverse - 192.168.208.rev (par exemple)


ESIlogo

DNS - Domain Name Server - named.conf

Syntaxe proche de CCommentaires /* */ ou // ou encore #Déclaration se termine par ;String entre " "Groupe entre accolades { }

Commande de configurationacl - Définit une liste de contrôle d’accès d’adresses IPinclude - Inclu un autre fichierkey - Définit les clés de sécurité pour l’authentificationlogging - Définit ce qui doit être loggéoptions - Définit les options de configuration globale et desvaleurs par défautserver - Définit les caractéristiques d’un serveur distantzone - Définit une zoneUne zone est une partie de l’espace de nom de domaine pourlaquelle le serveur de noms a autorité


ESIlogo

DNS - Domain Name Server - Fichier de zone

Format de fichier de zone[nom] [ttlx] IN type donnée

nomNom de l’objet du domaineLe nom est relatif au domaine courant sauf si il se termine par un’.’ S’il est blanc, il se rapporte au dernier objet du domaine nommé

ttlTime-to-liveGénéralement vide, la valeur de la directive $TTL est utilisée

INenregistrement de ressource internet

typeIdentifie la nature de l’enregistrementSOA, NS, A, PTR, MX, CNAME, TXT

donnéeInformation spécifique au type d’enregistrement.Exemple : pour un champ de type A, la donnée est l’adresse IP


ESIlogo


Enregistrement SOANuméro de série en 10 chiffres - aaaammjjxxTemps de raffraichissementTemps de réémissionTemps d’expirationTTL


ESIlogo


Directives$TTL

Valeur par défaut du TTL pour les enregistrement.Soit un nombre de secondes (valeur chiffrée)Soit une combinaison de chiffres et de lettres w, d, h, m, s

$ORIGINDéfinit le nom de domaine par défautEcrase la valeur du domaine définie par la déclaration de zone

$INCLUDEInclu un fichier externe (à l’endroit de la directive)

$GENERATEGénère une série d’enregistrementsCes enregistrement ne diffèrent que par une valeur numérique$GENERATE 1-4 $ CNAME $.1to4Génère- 1 CNAME 1.1to4 - 2 CNAME 2.1to4 - 3 CNAME 3.1to4 - 4CNAME 4.1to4


ESIlogo

DNS - Domain Name Server - Serveur à cache seul

cat /etc/named.conf

options {directory "/var/named";

};

logging {category "unmatched" { "null"; };category "default" { "default_syslog"; "default_debug"; };

};

zone "." {type hint;file "named.root";

};

zone "0.0.127.in-addr.arpa {type master;file "named.local";

};


ESIlogo


cat /var/named/named.root

Récupéré tel quel, il contient les adresses des serveurs racines

// extrait

. 3600000 IN NS A.root -servers.netA.root -servers.net 3600000 IN A 198.41.0.4

...


ESIlogo


cat /var/named/named.local

Permet de convertir l’adresse de rebouclage en localhost

Excepté le nom de machine, fichier identique sur ttes lesmachines

$TTL 86400@ IN SOA gouyasse.esi.be. unresponsable.gouyasse.esi.be. (

1 ; serial360000 ; refresh (100h)3600 ; retry (1h)3600000 ; expire (1000h)3600 ; ttl du cahce 1h)

IN NS gouyasse.esi.be.0 IN PTR loopback1 IN PTR localhost


ESIlogo

DNS - Domain Name Server - Serveur maître

cat /etc/named.conf

Ajout au fichier named.conf de la (des) zone(s) à traiter

...

zone "esi.be" {type master;file "esi.be.hosts";

};

zone "208.168.192.in-addre.arpa" {type master;file "192.168.208.rev";

};


ESIlogo


cat /var/named/esi.be.hosts

Principalement des enregistrement A et CNAME

$TTL 86400@ IN SOA .......; Serveurs de noms et de mail

IN NS gouyasse.esi.be.IN MX 10 monisp.be.

; Definition de localhostlocalhost IN A 127.0.0.1; Hotes de la zonegouyasse IN A 192.168.208.1ns1 IN CNAME gouyasse.esi.bequintine IN A 192.168.208.2...........


ESIlogo


cat /var/named/192.168.208.rev

Principalement des enregistrements PTR

$TTL 86400@ IN SOA gouyasse.esi.be ......

IN NS gouyasse.esi.be1 IN PTR gouyasse.esi.be2 IN PTR quintine.esi.be


ESIlogo

DNS - Domain Name Server - Serveur esclave

La différence avec un serveur maître réside dans les fichiers dezone. Ceux-ci sont écrit (par le daemon) sur base d’un requêteau serveur maître et ne contiennent pas a priori les informationssur la zone.


ESIlogo

DNS - Domain Name Server - Serveur esclave

cat /etc/named.conf

...

zone "esi.be" {type slave;file "esi.be.hosts";masters { ’adresse ip du maitre’ ; };

};

zone "208.168.192.in-addre.arpa" {type slave;file "192.168.208.rev;masters { ’adresse ip du maitre’ ; };

};


ESIlogo


Contrôle du processusUtilisation du script named

/etc/init.d/named start|stop

Commande rndc de gestion du processusstatusstopstart /restartreloadstatstrace / notracequerylog


ESIlogo

DNS - Domain Name Server - Contrôle via rndc

cat /etc/rndc.conf

key rndc_key {algorithm "hmac -md5";secret "...";

};

options {default -server localhost;default -key rndc_key;

};

Permet le contrôle du processus named à distance et sécurisé

Default serveur représente la machine à contrôler


ESIlogo

DNS - Domain Name Server - Contrôle via rndc

/etc/named.conf ajout

controls {inet 127.0.0.1 allow {localhost; } keys {rndc_key; };

};

key "rndc_key" {algorithm hmac -md5;secret " ... idem que l’autre ...";

};

Named autorise certaines adresses IP à le contrôler


ESIlogo

DNS - Domain Name Server - nsloockup / dig

Test de la configuration

nsloockup google.beServer: 152.158.16.48Address: 152.158.16.48#53

Non-authoritative answer:Name: google.beAddress: 216.239.39.104...

nsloockup est deprecated ... tester la commande digoption -t ’type’


ESIlogo



Permet le partage de fichiers en réseau

Idéalement transparent pour l’utilisateur

AvantagesRéduit l’espace disque total puisque partageSimplifie la gestion centraliséeUtilise le set de commandes habituel

Approche client / serveurLe serveur

Système qui rend les répertoires disponiblesexport

Le clientSystème qui attache des répertoires distants à son filesystemmount

Initialement développé par Sun MicroSystem


ESIlogo

NFS - Ses daemons

nfsd [nservers]prend en charge les requêtes des clientspartie serveurnservers spécifie le nombre de daemon qui tournent

mountdtraite les demandes de montage des clientslancés par les serveurs

nfslogdresponsable du journal de NFS

rquotadrelatif aux quotas des utilisateurstourne sur les clients et les serveurs

lockdgère les verrous sur les fichierstourne sur les clients et les serveurs

statdtourne sur les clients et les serveurssurveillance de l’état du réseau (pour la gestion des locks)


ESIlogo

NFS - Partage de fichiers

Pourquoi ?fournir de l’espace à des clients sans disqueéviter la duplication des donnéesoffrir des données et programmes centraliséspartager des données

Fichier /etc/exportsExemple

/usr/man gouyasse(rw) quintine(ro)/usr/local (ro)

Format : répertoire [machine(options)] ...Wildcard et/ou adresses IP autorisés

Particularités de Solariscommande sharefichier dfstab


ESIlogo

NFS - Droits d’acces

Fichier autorise l’acces de machines

Les droits d’acces Unix sont de rigueur

Droits d’acces basés sur les uid et gid ... c’est donc mieux s’ilscorrespondent d’une machine à l’autre.

L’utilisateur rootdirective root_squash

uid root -> uid nobody

directives squash_uids, suash_gids et all_squash


ESIlogo

NFS - Commande exportfs

Commande exportfs-a lors de l’init-r pour une relecture

Construit le fichier /var/lib/nfs/xtabContient les infos sur les fichiers exportésLu pas mountd

Possibilité d’export "temporaire"exportfs hercule :/usr/local -o rw - pour l’ajoutexportfs -u hercule :/usr/local - pour la suppression


ESIlogo

NFS - Commandes showmount / mount

Commande showmountPermet de voir les répertoire exporté pas une machine

showmount -e gouyasse

export list for gouyasse/usr/man gouyasse ,quintine/local (everyone)

Commande mountmount machine :répertoire-distant répertoire-localmachine est un serveur NFSrépertoire-distant un répertoire exportérépertoire-local doit existerAjout eventuel du type de filesystem

-t nfs

Commande umount


ESIlogo

NFS - Fichier /etc/fstab

Fichier /etc/fstab

Les répertoires exportés peuvent apparaitre dans le fichier

gouyasse:/usr/man /usr/man nfs rw 0 0

Propose des options supplémentaires aux options habituelles dufichier


ESIlogo

NIS - Network Information Serviceyellow pages

Base de données administrative (comparable au DNS maisdifférent )

SimilitudesContrôle centraliséPropagation automatique des fichiers de configuration importants

DifférencesGère des petits réseaux privés (pas Internet)NIS partage des infos plus variées (dans ses tables NIS)La table d’hôte de NIS contient moins d’informations que celle deDNS

DéfinitionNIS convertit plusieurs fichiers standard en base de données quipeut être interrogée via le réseau, ces bd sont appelées tablesNIS


ESIlogo

NIS - Network Information Serviceyellow pages

Quels fichiers ?/etc/passwd/etc/group/etc/ethers (utilisé par le protocole RARP/etc/hosts/etc/networks/etc/protocols/etc/services/etc/aliases

Ces fichiers sont transformés en table/etc/networks -> networks.byname networks.byaddr

Les tables NIS sont stockées dans /var/yp/<nom dudomaine>


ESIlogo

NIS - les daemons

ypservDaemon responsable de la partie serveur de NIS

ypbindDaemon permettant la lisaion au serveur et à ses tables NIS


ESIlogo

NIS - les commandes (serveur)

ypcat - fournit la liste des tables NIS

domainname <nom du domaine> - vérifie en met en place lenom du domaine NIS(défini pour le boot dans /etc/sysconfig/network,NISDOMAIN=..)

cd /var/yp ; make - contruction des tables NIS

ypserv - lancement du serveur NIS

ypbind - processus de liaison

ypwich - renseigne le serveur NIS


ESIlogo

NIS - les commandes (client)

domainname <nom du domaine> - idem serveur

ypbind


ESIlogo

Samba

Permet la communication entre machines hétérogènes

Mets en oeuvre le protocole SMB(natif sous MS Windows)

Administration centralisée sur le serveur

Site associé : http ://samba.org

Installationsambasamba-commonsmbfssmbclient


ESIlogo

Samba - daemon

smbddaemon responsable du partage des ressources

File sharingPrinting services

nmbddaemon NetBiosComprend et répond aux requêtes NetBios sur TCP/IP produitespar SMBPermet la participation au "Network Neighborhood"

Activationlancement des daemons, nmbd, smbdutilisation du script /etc/init.d/samba (start/stop/..)via inetd


ESIlogo

Samba - smb.conf

Configuration centralisée dans le fichier /etc/samba/smb.conf(vérifier la situation)

Fichier divisé en sectionsDébute par [nom du partage]Une section se termine par le début de la suivante (ou fin defichier)Chaque section correspond à un partage, (excepté pour la sectionglobal)Sections particulières

global - Configuration générale de Sambahomes - Correspond au répertoire HOME de l’utilisateurprinters - Définit le partage des imprimantes.


ESIlogo

Samba - smb.conf

Format de fichier

parametre = valeur

Les commentaires commencent pas # ou ;

Exemple

# A sample share for sharing your CD-ROM with others.[cdrom]

comment = Samba server’s CD-ROM; valid users = user1 , user2

writable = nolocking = nopath = /cdrompublic = yes


ESIlogo

Samba - variables

Samba comprend une série de variables ...

%I - adresse IP du client

%m - nom netbios du client

Ces variables permettent l’écriture de scripts personnalisésOn ajoutera, par exemple,

[monJoliPartage]...include /etc/samba/smb.conf.%m...

Si le fichier existe il est inclut ... sinon non.


ESIlogo

Samba - configuration du browser

browser ou explorateur réseau permet d’examiner les partages

l’option browseable yes|no permet de montrer / cacher unpartabge sur le réseau ($ sous MS Windows)

une liste de browsing est maintenue sur le réseau

le master browser la détient

ce master browser est élules élections dépendent de

os levelrolelocal masternetbios namepreffered master yes|no


ESIlogo

Samba - authentification

Types d’authentificationshare - authentification ’à la ressource’user - authentification lors de la connexionserver - comme pour user mais le serveur s’adresse à un autreserveur pour l’authentificationdomain - contrôle via un ’contrôleur de domain’ (responsable del’authentification)


ESIlogo

Samba - utilitaires

testparm /etc/samba/smb.confPermet de vérifier la validité syntaxique du fichier de conf

/etc/init.d/samba [start|stop|restart]Relance le daemon sambaLe script s’appelle smb ou samba suivant les distributions

smbmountpackage debian smbfssyntaxe smbmount //<netbios name>/<share name> <mountpoint>

smbclientcommande à tout faire ....FTPimpressionenvoi de messages...

smbpasswdajoute un utilisateur "samba"


ESIlogo

Samba - SWAT

Disponibilité du service (/etc/services)

Permet la configuration de samba via un interface web (plutôt quel’édition du fichier smb.conf)

Gestion par initd

Le serveur écoute sur le port 901http ://localhost :901


ESIlogo

PAM - Plugable Authentification Module

PrincipeCertaines applications nécéssitent une authentification

loginsudosu...

Systèmes d’authentification évoluent/etc/passwd/etc/shadowAnnuaire LDAP...

Cette évolution impose la réécriture d’une partie de code dechaque application nécéssitant une authentificationL’idée ; on délègue l’authentification à des modules dynamiques

DéfinitionPlugable Authentification Module sont des bibliothèquesresponsables d’une partie de l’authentification.


ESIlogo


Bibliothèque/lib/securityUne application est développée pour se lier avec ces bibliothèques

AvantageL’administrateur system configure le comportement de cesapplications (ssh, ftp, login, ...) via PAM

La configuration se fait dans /etc/pam.d/ (un fichier parapplication)Anciennement la configuration se faisait dans un fichier/etc/pam.conf unique

Configuration fineRefus simple de connectionConnection "limitée" ; plage horaire, ressources, ...

ConditionIl faut que l’application soit PAM enabled


ESIlogo


Format des fichiersmodule-type control-flag module-path args

module-typeauth entification

Identifie le user comme étant qui il prétendVérifie l’appartenance à un groupe

accountPas d’authentification mais des permissions/restrictions en fonctiondes ressources- temps (moment de la journée)- resources système (nombre d’utilisateurs connectés)- lieu (root se logge d’une console pas d’un terminal)

sessionDestiné aux actions a exécuter avant/après la mise à disposition duservice

passwordUtiliser pour renouveler le jeton d’authentification


ESIlogo



control-flagGère la manière de réagir au "résultat" du module.

Rem : Les modules sont empilés , et excécutés dans l’ordre .. lerésultat de l’un influence le suivantrequired

Exigé pour la réussite du module-typeUn echec n’est renseigné qu’à la fin de la pile d’appel

requisiteIdem que requiredMais s’interromp dès l’échec ... n’attend pas l’exécution de toute lapile

sufficientLa réussite de ce module est suffisante .. on ne continue pas la piled’appel en cas de réussite

optionalOptionel .. n’influence pas la suite


ESIlogo



module-pathNom du moduleS’il commence par c’est un nom complet sinon /lib/security

argsArguments pour le module, dépend de celui-cidebug, no-warn, use-first-pass, ...


ESIlogo


Exemple

auth required /lib/security/pam_securetty.soauth required /lib/security/pam_env.soauth sufficient /lib/security/pam_ldap.soauth required /lib/security/pam_unix.so try_first_pass

DéroulementVérification dans /etc/securetty que la connection peut sefaire sinon echec ... à la finPositionnement des variables d’environnementAuthentification via LDAP (/etc/ldap.conf)

Si réussite, fin

En cas d’échec de pam_ldap, authentification Unix .. avec lepasswd précédent


ESIlogo

PAM - Plugable Authentification ModulePAM enabled

Tester si l’application pampgm supporte PAM

Ajouter le fichier pampgm dans /etc/pam.d

$ cat /etc/pam.d/pampgmauth required pam_permit.soauth required pam_warn.so

Lancer le programme pampgmModule pam_permit autorise tout le mondeModule parm_warm logge dans syslog


ESIlogo

PAM - Plugable Authentification ModuleLinux-PAM API

Ecrire un programme PAM enabled

#include <security/pam_appl.h>#include <security/pam_misc.h>...pam_authenticate() ;...

cc -o application .... -lpam -lpam_misc -ldl


ESIlogo

LDAP - Lightweight Directory Access Protocol

DéfinitionLDAP est un protocole d’accès à un annuaire.Un annuaire est une base de données spécialisée,

stocke des données légèrement typéesles données sont structurées en arbreun annuaire est très performant en lecture mais pas en écriture

Exemplesannuaire de personnes, type "pages blanches"comptes Unixcarnet d’adresses + photosdonnées d’identificationparc matériel... tout ce qui peut-être nommé et attaché à de l’information


ESIlogo

LDAP - Lightweight Directory Access ProtocolAnnuaire versus SGBD

AnnuaireLectures rapidesStocke des objets et leurs attributs (typés)Organisation en arbreRéplication simple ( chaque modification est reportée dans lesannuaires secondaires, ...)Stocke gde quantité de données mais de faible volume

SGBDRapidité d’accès en lecture et écritureTypage fort


ESIlogo

LDAP - Lightweight Directory Access ProtocolLes concepts

LDAP fournitUn protocole permettant l’accès à l’informationUn modèle d’information, définit le type d’informationsDes conventions de nommage, définissent comment l’informationest organiséeUn modèle fonctionnel, définit comment on accède à l’informationUn modèle de sécuritéUn modèle de duplication, définit la répartition entre différentsserveursDes APIs pour développer des applicationsLDIF, un format d’échange de données


ESIlogo

LDAP - Lightweight Directory Access ProtocolLe protocole

Le protocole définitcomment s’établit la communication client-serveurpermet à l’utilisateur de se connecter , rechercher , comparer , ...des mécanismes de chiffrementdes règles d’accèsun protocole serveur-serveur, pour la synchronisation, réplication,..

Pour info ...LDAP est initialement une passerelle d’accès à des annuairesX500


ESIlogo

LDAP - Lightweight Directory Access ProtocolLe protocole


ESIlogo

LDAP - Lightweight Directory Access ProtocolModèle des données

Modèle de données hiérarchique

Chaque noeud de l’arbre correspond à une entrée de l’annuaire

Les entrées correspondent à des objets, ayant des attributs

Chaque serveur contient une entrée spéciale, rootDSE (rootdirectory specific entry) qui contient la description de l’arbre

objetClass top : permettra de définir la "véritable" racine de l’arbre

L’arbre est appelé Directory Information Tree, DIT

L’ensemble des définitions relatives aux données, s’appelle unschéma


ESIlogo

LDAP - Lightweight Directory Access ProtocolClasse d’objet

Les classes d’objet (objectClass) modélisent les objets et leursattributsUne classe est définie par

un nomun OID (object ID)des attributs obligatoiresdes attributs optionnelsun type (structurel, abstrait ou auxiliaire)

structurel - description d’un objet basique, personne, groupe,entité organisationnelle de la société, ...abstrait - propre à LDAP, top, aliasauxiliaire - permettent d’ajouter de l’info complémentaire à un objetstructurel, mailRecipient, ...

Un attribut est défini parun nomun oidsyntaxe et règles de comparaisonformat de valeur


ESIlogo

LDAP - Lightweight Directory Access ProtocolClasse d’objet II

OIDLes objets et leur oid sont normalisés (RFC2256)oid est une séquence de nombres entiers

2.5 - fait reference au service X5001.3.6.1.4.1.4203 - openLDAP

On ne modifie pas les schémas existants (pas propre, risqued’incompatibilité)Notion d’héritage entre objetsPour l’ESI, (1.3.6.1.4.1.23162)

Les classes d’objet forment une hierarchie

La racine est l’objet top

Chaque objet hérite de son parent

On précise la classe d’un objet à l’aide de objectClass


ESIlogo

LDAP - Lightweight Directory Access ProtocolClasse d’objet III

objectClass: topobjectClass: personobjectClass: organizationalPersonobjectClass: inetPerson

classe persona comme attributs :commonName, surname, description, seeAlso, telephoneNumber,userPassword

classe organizationalPersonajoute les attributs :organizationUnitName, title, ...

classe inetPersonajoute les attributs :mail, uid, photo, ...


ESIlogo

LDAP - Lightweight Directory Access ProtocolDéfinition d’un Schéma

Lorsqu’une entrée est crée, le serveur vérifie si la syntaxe estconforme sur base du schéma associé, c’est le Schemachecking

/etc/lpdap/schema/local.schema

objectClass esiPersonsuperior inetOrgPersonrequires

sn,cn

allowsuidNumber ,gidNumber ,homeDirectory ,dateArrivee ,dateDepart


ESIlogo

LDAP - Lightweight Directory Access ProtocolConfiguration du serveur

Formats différents suivants l’implémentationslapd.conf, U-M slapd, OpenLDAP, NEtscape Directory...

Il existe deux objets abstraits particuliers qui permettent de fairedes liens entre les noeuds ou entre des annuaires

aliasesreferrals

Un annuaire LDAP peut être constitué d’un seul serveur ou deplusieurs

Serveur seulService referalService duplication


ESIlogo

LDAP - Lightweight Directory Access ProtocolIdentifiant d’un objet

L’identifiant unique (clé dans un SGBD) est le DN

DN, Distinguished name est le nom unique dans l’annuaire, ilreprésente le chemin absolu depuis top

Exemple : uid=pbt, ou=prof, dc=esi, dc=be

Il se composedes attributs obligatoiresde la liste des ou organisationnal unitdes organisations o


ESIlogo

LDAP - Lightweight Directory Access ProtocolLDIF - LDAP Data Interchange Format

LDIF permet de représenter les données

Utilisé pourimporter / exporter des bdsfaire des modifications sur des entrées

dn : cn=PbT, ou=prof , o=esi, c=BeobjectClass: personobjectClass: organizationalPersonobjectClass: inetOrgPersoncn: PbTmail : [email protected]...


ESIlogo

LDAP - Lightweight Directory Access ProtocolLDIF - LDAP Data Interchange Format II

Permet de faire des modifications, ajouts , suppression , ...

Exemple d’ajout

dn: cn=Juste Leblanc , ou=sales , o=Ed Oreilly , c=frchangetype: modifyadd: telephonenumbertelephonenumber: (408) 123 - 456

Exemple de suppression

dn: cn=Juste Leblanc , ou=sales , o=Ed Oreilly , c=frchangetype: delete


ESIlogo

LDAP - Lightweight Directory Access ProtocolModèle fonctionnel

Le modèle fonctionnel définit les opérations de bases pouvantêtre exécutées sur le serveur

search, compare, add, modify, delete, rename, bind ...(voir webographie pour les détails)

Pour une recherche, on devra définir le scope de celle-cisearch scop = basepermet de rechercher un élementsearch scope = onlevel searchpermet de rechercher sur le niveau enfantsearch scope = subtreepermet la recherche dans tout l’arbre "enfant"


ESIlogo

LDAP - Lightweight Directory Access ProtocolDéployer un service LDAP

Déployer un annuaire nécessite une réflexion au sein de lasociété. Ces aspects sortent du cadre de cette présentation ...mais en brefAspects organisationnels

Nature des données stockéesQue doit servir l’annuaire ?Maintient des données à jour, sources des données, pérennitéConfidentialité, authentification, contrôle d’accès, ...

Choix du schémaChoix du modèle de nommage

Nombre d’entrées actuelles et évolutionType des entréesNombre de serveurs et répartition des données sur ceux-cichoix du DN Distinghished namechoix du suffixe, exemple DC=esi, DC=be

Duplication ? Réplication ?...


ESIlogo

LDAP - Lightweight Directory Access ProtocolCas particulier de OpenLDAP

OpenLDAP est une implémentation libre de LDAP

http ://openldap.org

Related softwareTransport, OpenSSL ( http ://openssl.org)Authentification, KerberosThreads, OpenLDAP supporte POSIX pthreads


ESIlogo


InstallationVia les packages

slapdldap-utils

Méthode "traditionnelle"configure ; make ; make install ...

daemonsslapd, pour la gestion de l’annuaireslurpd, pour la réplication


ESIlogo


Configurationvia le fichier /etc/ldap/slapd.confAdaptation du fichier de configuration

Adresse IP du serveur LDAPPosition du DN de l’annuaireSSL yes/noSchema(s) supplémentaire(s) éventuel(s)

ScriptGestion du serveur via/etc/init.d/slapd start|stoprestart|force-reload


ESIlogo


Organisation de l’annuaireVérification des schemas(probablement), création d’un schema particulier/etc/ldap/schema/local.schema

Gestion du contenu(fichier(s) LDIF )

Ajout d’utilisateur, ldapadd


ESIlogo

LDAP - Lightweight Directory Access ProtocolLogiciels LDAP

ServeursOpenLDAPNetscape Directory ServerInnosoft’s Distributed Directory Server...D’autres supportent les requêtes

Novell’NetWare Directory ServicesMicrosoft Active DirectoryLotus Domino

Type de clientsLogiciels avec accès natif, Netscape Communicator, MS Outlook,BrowsersAcces via passerelleUtilisation des API, Java ; Perl, C,Natif ds l’OS, MS Windows NT5, PAM LDAP, NIS versus LDAP


ESIlogo

Serveur webApache

Un serveur web permet la propagation de l’information sur unréseau IP

Apache est un logiciel fournissant le "service" serveru web

Installationapt-get install apache2 apache2-doclibapache2-mod-php

Fichier de configurationhttpd.conf (obsolète dans la version apache2)apache2.confconf.d/mod-enabled/ (versusmod-available/)ports.conf... bref ls /etc/apache2


ESIlogo

Serveur webApache

Script de gestion du(des) daemon(s)/etc/init.d/apache2 [start|stop...]Nombre de daemons (essaim )

StartServers 5MinSpareServers 5MinSpareServers 5MaxSpareServers 10

Les pages web ... emplacementDirective DocumentRoot#cat sites-enabled000-default

Chargement des modulesApache propose des modules logiciels offrant diversesfonctionnalitésvoir /etc/apache2/mods_enabled qui contient des liens verscertains fichiers dans mods_available


ESIlogo

Serveur webApache

JournalisationPréciser l’emplacement des fichiers log - ErrorLogQuantitié d’infos - LogLevelFormat des logs - Logformat

Contrôle d’accèsOrder deny, allowDeny from allAllow from esi.be <br / >Possibilité d’authoriser l’accès sur base de login/password ... voirdirective Auth*


ESIlogo

Serveur webApache

Points NON abordésServeurs mandataires (proxy )Sécurité / encryptage (certificat)Hôtes virtuels


ESIlogo

Credits

freemind - http ://freemind.sourceforge.netGénération d’un Mind Map

Génération des slides sur base du Map freemindScripts Perl- freemind2s5.pl de Vincent Oberle- freemind2beamer.pl modification incomplète du scriptFormat PDF

LATEXpackage beamer


Technology

Agr2 slides 2x2