From 7a78c0642903113e5e71a49a6fa3cfafded1cfd8 Mon Sep 17 00:00:00 2001 From: Benjamin Bohard Date: Tue, 8 Jan 2013 10:16:31 +0100 Subject: [PATCH] import du contenu de la branche amon-sphynx --- amon-sphynx.tex | 50 ++++++++ amon/00-commun.tex | 12 ++ amon/00-description.tex | 19 +++ amon/01-base.tex | 48 ++++++++ amon/02-distance.tex | 54 +++++++++ amon/03-era.tex | 131 +++++++++++++++++++++ amon/04-filtrage.tex | 220 +++++++++++++++++++++++++++++++++++ amon/05-sphynx.tex | 137 ++++++++++++++++++++++ amon/06-amonecole.tex | 54 +++++++++ commun/00-intro.tex | 49 ++++++++ commun/01-quatre_phases.tex | 110 ++++++++++++++++++ commun/02-administration.tex | 134 +++++++++++++++++++++ commun/03-configuration.tex | 46 ++++++++ commun/20-ead.tex | 95 +++++++++++++++ documents/preparation.txt | 17 +++ 15 files changed, 1176 insertions(+) create mode 100644 amon-sphynx.tex create mode 100644 amon/00-commun.tex create mode 100644 amon/00-description.tex create mode 100644 amon/01-base.tex create mode 100644 amon/02-distance.tex create mode 100644 amon/03-era.tex create mode 100644 amon/04-filtrage.tex create mode 100644 amon/05-sphynx.tex create mode 100644 amon/06-amonecole.tex create mode 100644 commun/00-intro.tex create mode 100644 commun/01-quatre_phases.tex create mode 100644 commun/02-administration.tex create mode 100644 commun/03-configuration.tex create mode 100644 commun/20-ead.tex create mode 100644 documents/preparation.txt diff --git a/amon-sphynx.tex b/amon-sphynx.tex new file mode 100644 index 0000000..b01ee7d --- /dev/null +++ b/amon-sphynx.tex @@ -0,0 +1,50 @@ +%%presentation +\documentclass{beamer} +\usepackage{beamerthemetree} +%%impression +%\documentclass[a4paper,9pt]{extarticle} +%\usepackage{beamerarticle} +%% + +% class FR +\usepackage[T1]{fontenc} +\usepackage[utf8]{inputenc} +\usepackage[frenchb]{babel} + +% image +\usepackage{graphicx} + +\usecolortheme{crane} +\beamertemplatetransparentcovered + +% le logo +%\logo{\includegraphics[height=1cm]{ban.png}} + +\title{Formation EOLE} +\subtitle{Amon/Sphynx} + +\author{GARETTE Emmanuel} +\institute{Cadoles} +\date{\today} + +\begin{document} +\frame{\titlepage} + +\include{commun/00-intro} +\include{amon/00-description} +\include{commun/01-quatre_phases} +\include{amon/00-commun} +\include{commun/03-configuration} +\include{commun/02-administration} + +\include{commun/20-ead} + +\include{amon/01-base} +\include{amon/02-distance} +\include{amon/03-era} +\include{amon/04-filtrage} +\include{amon/05-sphynx} +\include{amon/06-amonecole} + +\end{document} + diff --git a/amon/00-commun.tex b/amon/00-commun.tex new file mode 100644 index 0000000..d809904 --- /dev/null +++ b/amon/00-commun.tex @@ -0,0 +1,12 @@ +\begin{frame} + \frametitle{Utilisation de VirtualBox} + \begin{itemize} + \item Activer PAE/NX dans Préférences/Système/Processeur ; + \item choisir "Accès par pont" dans le "Mode d'accès réseau" dans Préférence/Réseau/Carte 1 ; + \item choisir "Réseau interne" "intadmin" dans le "Mode d'accès réseau" dans Préférence/Réseau/Carte 2 ; + \item choisir "Réseau interne" "intpeda" dans le "Mode d'accès réseau" dans Préférence/Réseau/Carte 3 ; + \item faire un instantané. + \end{itemize} +\end{frame} + + diff --git a/amon/00-description.tex b/amon/00-description.tex new file mode 100644 index 0000000..93ae13a --- /dev/null +++ b/amon/00-description.tex @@ -0,0 +1,19 @@ +\begin{frame} + \frametitle {Description} + \begin{itemize} + \item Amon, la passerelle pare-feu : + \begin{itemize} + \item partage des sous-réseaux et connexion à internet (pare-feu), + \item authentifications des utilisateurs, + \item réseau virtuel privé, + \item cache web, + \item reverse proxy web ; + \end{itemize} + \item Sphynx, concentrateur pour réseau privé virtuel : + \begin{itemize} + \item relier en réseau vos serveurs (RVP), + \item possibilité de haute disponibilité ; + \end{itemize} + \end{itemize} +\end{frame} + diff --git a/amon/01-base.tex b/amon/01-base.tex new file mode 100644 index 0000000..c9ae864 --- /dev/null +++ b/amon/01-base.tex @@ -0,0 +1,48 @@ +\section{Fonctions de base d'Amon} +\begin{frame}{Plan} + \begin{columns}[t] + \begin{column}{5cm} + \tableofcontents[sections={1-6},currentsection, hideothersubsections] + \end{column} + \begin{column}{5cm} + \tableofcontents[sections={7-11},currentsection,hideothersubsections] + \end{column} + \end{columns} +\end{frame} + +\begin{frame} + \frametitle{Serveur DNS} + \begin{itemize} + \item Amon propose un serveur DNS ; + \item il est possible de configurer un ou plusieurs DNS père. + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Agrégation de liens} + \begin{itemize} + \item Utiliser deux abonnements Internet sur un même Amon ; + \item garantir une meilleure qualité de service ; + \item poids de chaque abonnement pour répartir la charge ; + \item la configuration se fait durant l'étape de configuration ; + \item limite : le RVP passe par un seul lien. + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Réseau} + \begin{itemize} + \item VLAN : + \begin{itemize} + \item Segmentation des réseaux ; + \item se fait au niveau des équipements réseaux + \end{itemize} + \item RADIUS : + \begin{itemize} + \item RADIUS : protocole client-serveur permettant de centraliser des données d'authentification ; + \item permet de faire des sous-réseaux dynamique ; + \item nécessite des équipements réseaux compatible. + \end{itemize} + \end{itemize} +\end{frame} + diff --git a/amon/02-distance.tex b/amon/02-distance.tex new file mode 100644 index 0000000..65ccfe6 --- /dev/null +++ b/amon/02-distance.tex @@ -0,0 +1,54 @@ +\section{Les commandes à distances} +\begin{frame}{Plan} + \begin{columns}[t] + \begin{column}{5cm} + \tableofcontents[sections={1-6},currentsection, hideothersubsections] + \end{column} + \begin{column}{5cm} + \tableofcontents[sections={7-11},currentsection,hideothersubsections] + \end{column} + \end{columns} +\end{frame} + +\begin{frame} + \frametitle{Activer la connexion ssh sur Amon} + \begin{itemize} + \item Possibilité d'interdire la connexion ssh à root ; + \item possibilité d'interdire la connexion sans clef rsa ; + \item choix des adresses autorisés. + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Le protocole ssh} + \begin{itemize} + \item protocole de communication sécurisé ; + \item ouvrir une connexion : ssh utilisateur@ip\_serveur ; + \item ouvrir une connexion pour commande graphique : ssh -X utilisateur@ip\_serveur ; + \item transfert de fichier : scp fichier.txt utilisateur@ip\_serveur:. + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Screen} + \begin{itemize} + \item si la connexion se coupe, impossible de récupérer la session ; + \item screen permet de détacher un shell et le récupérer ; + \item pour le lancer : screen ; + \item pour détacher : ctrl a d ; + \item attention déconnexion automatique : unset TMOUT ; + \item pour reprendre un screen : screen -rd + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Pratique} + \begin{itemize} + \item Activer la connexion sur amonecole1 juste pour votre IP ; + \item se connecter sur le serveur amonecole1 en ssh ; + \item copier un fichier ; + \item lancer gen\_config à travers ssh ; + \item utiliser screen. + \end{itemize} +\end{frame} + diff --git a/amon/03-era.tex b/amon/03-era.tex new file mode 100644 index 0000000..14cff7a --- /dev/null +++ b/amon/03-era.tex @@ -0,0 +1,131 @@ +\section{Era} +\begin{frame}{Plan} + \begin{columns}[t] + \begin{column}{5cm} + \tableofcontents[sections={1-6},currentsection, hideothersubsections] + \end{column} + \begin{column}{5cm} + \tableofcontents[sections={7-11},currentsection,hideothersubsections] + \end{column} + \end{columns} +\end{frame} + +\begin{frame} + \frametitle{Présentation} + \begin{itemize} + \item Outil de génération de règle pour pare-feu ; + \item enregistre la description de la politique de sécurité dans un fichier XML ; + \item génération de commande iptables par compilation ; + \item il est possible de mettre des variables Creole ; + \item zone de sécurité : correspond a une interface réseau ; + \item matrice de flux : classé par origine et destination ; + \item flux orienté (interdit pour les flux montant, autorisé pour les flux descendant, interdit pour les flux égaux) ; + \item politique par défaut ; + \item extrémité : machine ou réseau d'une zone ; + \item directive : règle. + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Directive} + \begin{itemize} + \item Les extrémités + \item Les services et groupes de services + \item Les plages horaires + \item Les groupes d'utilisateurs (NuFW) : tous-identifiés, non-identifiés, ... + \item Les groupes d'applications (NuFW) + \item Les types de directive : autorisation/interdiction, redirection, NAT, ... + \item La journalisation + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Pratique} + \begin{itemize} + \item Lancer Era et ouvrir le fichier 3zones-amonecole ; + \item identifier les zones, les flux et les directives ; + \item ajouter une extrémité ClientScribe en DMZ avec IP ; + \item ajouter un groupe de service avec le service samba3, smtp et pop ; + \item ajouter une plage horaire : du lundi à vendredi de 12h à 14h ; + \item ajouter interdire le groupe + plage horaire de pedago vers l'extrémité Scribe ; + \item ajouter une directive DNAT de Scribe vers 8500. + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Les directives optionnelles} + \begin{itemize} + \item Directive activable et désactivable depuis l'EAD ; + \item il suffit de spécifier un libellé dans "directive optionnelle EAD" ; + \item alphanumérique + "\_" et " " (pas accent !) ; + \item notion de groupe de directives optionnelles ; + \item possibilité de directive optionnelle active ; + \item directive optionnelles cachées : /etc/eole/distrib/active\_tags. + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Pratique} + \begin{itemize} + \item Rendre la directive optionnelle et l'activer et désactiver dans l'EAD. + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{La qualité de service} + \begin{itemize} + \item Zone interne vers extérieur ; + \item il faut fixé une valeur d'upload et de download en méga bits par secondes ; + \item spécifie un pourcentage d'utilisation ; + \item penser à activer la QOS dans les options. + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Les règles netbios} + \begin{itemize} + \item Dans les options du modèle, possibilité d'activé les règles netbios ; + \item permet de bloquer les requêtes du réseau Microsoft vers l'extérieur. + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Pratique} + \begin{itemize} + \item Activer la qualité de service ; + \item configurer la QOS. + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{NuFW} + \includegraphics[width=8cm]{nufw.png} +\end{frame} + +\begin{frame} + \frametitle{Pratique} + \begin{itemize} + \item Activer NuFW sur l'Amon ; + \item se connecter sur NuFW depuis Clientscribe1 ; + \item inverser la politique par défaut sur flux pedago-DMZ ; + \item autoriser la pedago a aller sur scribe-pedago en DMZ ; + \item ajouter l'application /bin/nc-traditional et le groupe d'application "navigateur web" ; + \item autoriser le groupe "professeur" avec application "navigateur web" vers le Scribe en pédago sur le port 8500 ; + \item tester : + \begin{itemize} + \item serveur de destination : netcat -l -p \$numport -c "/bin/echo 'message'" + \item machine source : netcat \$destip \$destport + \item machine source : telnet \$destip \$destport + \end{itemize} + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Options avancées} + \begin{itemize} + \item Peut se connecter à Zéphir ; + \item héritage de modèle ; + \item l'inclusion statique. + \end{itemize} +\end{frame} + diff --git a/amon/04-filtrage.tex b/amon/04-filtrage.tex new file mode 100644 index 0000000..b2179ae --- /dev/null +++ b/amon/04-filtrage.tex @@ -0,0 +1,220 @@ +\section{Filtrage web} +\begin{frame}{Plan} + \begin{columns}[t] + \begin{column}{5cm} + \tableofcontents[sections={1-6},currentsection, hideothersubsections] + \end{column} + \begin{column}{5cm} + \tableofcontents[sections={7-11},currentsection,hideothersubsections] + \end{column} + \end{columns} +\end{frame} + +\begin{frame} + \frametitle{Présentation} + \begin{itemize} + \item Possibilité : + \begin{itemize} + \item configurer la manière dont le filtrage s'effectue ; + \item associés des filtrages à des utilisateurs ; + \item associés des filtrages à des machines ; + \item configuration par zone de configuration ; + \item configuration par politique de filtrage ; + \item plusieurs configuration (1 et 2). + \end{itemize} + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Interdire ou autoriser des sites web} + \begin{itemize} + \item Interdire des sites : complèter la liste noir ; + \item autoriser des sites : forcer l'autorisation d'un site ; + \item applicable : zone entière ou a des politiques de filtrage ; + \item les listes sont mises à jour régulièrement ; + \item signaler pour améliorer les performances et la qualité des listes. + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Politique de liste blanche} + \begin{itemize} + \item restreindre la navigation à un ensemble de site ; + \item ne pas confondre avec les site autorisé. + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Filtre optionnel} + \begin{itemize} + \item la liste de site interdit comprend des catégories ; + \item par défaut seule les catégories "adult" et "redirector" sont activés ; + \item activation par configuration ou politique de filtrage ; + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Filtre syntaxique} + \begin{itemize} + \item Filtrage dynamique des pages ; + \item possibilité : + \begin{itemize} + \item sur les balises méta (par défaut) ; + \item sur la page entière ; + \item désactivé. + \end{itemize} + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Filtre des extensions} + \begin{itemize} + \item Interdire le téléchargement portant certaines extensions ; + \item applicable : zone entière ou a des politiques de filtrage. + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Filtre des types MIME} + \begin{itemize} + \item Un type MIME est une information donner par le serveur permettant de connaitre le format d'un document sans se baser sur l'extension. + \item + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Filtre par machine} + \begin{itemize} + \item filtrage par IP ; + \item possibilité : + \begin{itemize} + \item interdire l'accès au réseau ; + \item interdire la navigation web uniquement ; + \item autoriser la navigation web selon des horaires ; + \item associer une politique de filtrage. + \end{itemize} + \item attention, ancienne methode par "postes" n'est plus d'actualité. + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Filtre par utilisateur} + \begin{itemize} + \item Pre-requis : il doit y avoir une authentification utilisateur ; + \item premet d'ajouter un filtrage spécial à un utilisateur ; + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Pratique} + \begin{itemize} + \item Créer un groupe de machine : configuration1/Groupe de machine ; + \item tester ; + \item créer un utilisateur : Configuration1/Utilisateurs ; + \item tester. + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Filtre par destination} + \begin{itemize} + \item Possible d'interdire l'accès à un sous-réseau depuis une interface. + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Ne pas authentifier / mettre en cache} + \begin{itemize} + \item La destination : Sites de mise à jour ; + \item la source : Sources à ne pas authentifier. + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Filtre antivirus web} + \begin{itemize} + \item Possible d'activer l'antivirus sur le filtrage web ; + \item utilise ClamAV. + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Pratique} + \begin{itemize} + \item Activer le filtrage antivirus dans gen\_config ; + \item télécharger différents fichiers. + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Filtre P2P} + \begin{itemize} + \item Permet de bloquer les échanges de fichiers en P2P ; + \item 2 filtres au choix : l7filter ou ipp2p. + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Horaire} + \begin{itemize} + \item Les horaires du pare-feu : ferme la totalité du pare-feu ; + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Numéro de filtrage web} + \begin{itemize} + \item il est possible de différencier les politiques de filtrage suivant l'interface ; + \item amon2 : administrateur de la 2eme configuration. + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Observation} + \begin{itemize} + \item Il est possible de visualiser des logs par : + \begin{itemize} + \item date (obligatoire) + \item heure de visite ; + \item IP du visiteur ; + \item login du visiteur ; + \item seulement les accès refusés. + \end{itemize} + \item possibilité d'utiliser SARG. + \end{itemize} +\end{frame} + +%--------------------------------------------------------------- +\begin{frame} + \frametitle{Gérer au mieux les ressources} + \begin{itemize} + \item Ne pas activer trop de politique de filtrage par défaut (0 à 3 politiques) ; + \item ne pas démarrer trop d'instance Dansguardian (voir la configuration) ... ; + \item filtrage syntaxique (surtout sur la page entière) ; + \item antivirus. + \end{itemize} +\end{frame} + +%--------------------------------------------------------------- +\begin{frame} + \frametitle{Reverse proxy} + \begin{itemize} + \item permet relayer des requêtes Web provenant de l'extérieur vers les serveurs internes ; + \item permet de rediriger : + \begin{itemize} + \item SSO, + \item administration Envole 2.0, + \item HTTP, + \item HTTPS ; + \end{itemize} + \item si on redirige le SSO, il ne faut pas l'activer sur l'Amon. + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Pratique} + \begin{itemize} + \item Rendre disponible envole de Scribe depuis l'extérieur. + \end{itemize} +\end{frame} + diff --git a/amon/05-sphynx.tex b/amon/05-sphynx.tex new file mode 100644 index 0000000..10bb1ae --- /dev/null +++ b/amon/05-sphynx.tex @@ -0,0 +1,137 @@ +\section{Sphynx} +\begin{frame}{Plan} + \begin{columns}[t] + \begin{column}{5cm} + \tableofcontents[sections={1-6},currentsection, hideothersubsections] + \end{column} + \begin{column}{5cm} + \tableofcontents[sections={7-11},currentsection,hideothersubsections] + \end{column} + \end{columns} +\end{frame} + +\begin{frame} + \frametitle{Présentation} + \begin{itemize} + \item Réseau Privé Virtuel en étoile (pas en maillage) ; + \item application centralisée ; + \item possibilité d'inter-établissement. + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Différence PKI et clef-rsa} + \begin{itemize} + \item PKI : nécessite une autorité de certification (AGRIATES) ; + \item clef-rsa : fonctionne en mode autonome. + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Monter un tunnel Amon-Sphynx} + \begin{itemize} + \item Sphynx et Amon doivent être sur le même plan d'adressage (généralement internet) ; + \item la configuration doit être préparé sur le Sphynx ; + \item la configuration est transféré sur l'Amon (disquette, clef, ...) ; + \item activation du RVP sur Amon. + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Pratique} + \begin{itemize} + \item Instanciation de Sphynx1 ; + \begin{itemize} + \item adresse IP fixe, + \item mode d'authentification clef-rsa ; + \end{itemize} + \item instanciation ; + \item logout (pour obtenir les variables d'environnements) ; + \item manage-sphynx.sh : Demande\_Certificat dans le "disque local" ; + \item mode pki : + \begin{itemize} + \item envoyer le fichier .p10, + \item copier le certificat dans ce répertoire ; + \end{itemize} + \item init-sphynx.sh ; + \item remarque : on ne peut plus changer la configuration réseau maintenant ; + \item voir la base dans /usr/share/eole/sphynx-vpn/xml/sphynx.xml. + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Pratique} + \begin{itemize} + \item Ajout d'un Amon amon1 sur le Sphynx : + \begin{itemize} + \item copier le fichier config.eol dans /home/data/amon1/config.eol du Sphynx ; + \item lancer manage-sphynx.sh ; + \item Gerer\_Amon\_Etablissement ; + \item Ajouter\_Amon. + \end{itemize} + \end{itemize} +\end{frame} + + +\begin{frame} + \frametitle{Pratique} + \begin{itemize} + \item configure l'Amon amon1 : + \begin{itemize} + \item copie du répertoire Sphynx /home/data/amon1 sur l'Amon, + \item onglet service : Activation du RVP, + \item à l'instanciation ou après avec la commande active\_rvp.sh choisir le répertoire, + \item en mode PKI, demande de mot de passe ; + \end{itemize} + \item test avec "test-rvp". + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Pratique} + \begin{itemize} + \item Revoir la base dans /usr/share/eole/sphynx-vpn/xml/sphynx.xml. + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Demarrage de RVP} + \begin{itemize} + \item Pour redemarrer l'ensemble des tunnels : redemarrer bastion + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Validité et révocation} + \begin{itemize} + \item Valide 5 ans (pour AGRIATES) ; + \item liste des certificats révoqués par Toulouse (rechargé toutes les 7 heures) ; + \item agent Zéphir (EAD ou Zéphir) : + \begin{itemize} + \item 45 jours avant : orange, + \item 30 jours avant : rouge, + \end{itemize} + \item Demander\_Certificat dans manage-sphynx.sh ; + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Sphynx et Zéphir} + \begin{itemize} + \item Gestion des configurations RVP : + \begin{itemize} + \item listing des configurations RVP (avec voyant suivant les étapes), + \item mise en place de la configuration RVP, + \end{itemize} + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Sphynx en haute disponibilité} + \begin{itemize} + \item Les règles sont synchronisés du maître vers l'esclave ; + \item Heartbeat surveille ; + \item une interface graphique (hb\_gui) permet de configure, d'administrer et de monitorer la haute disponibilité. + \end{itemize} +\end{frame} + diff --git a/amon/06-amonecole.tex b/amon/06-amonecole.tex new file mode 100644 index 0000000..00bfa90 --- /dev/null +++ b/amon/06-amonecole.tex @@ -0,0 +1,54 @@ +\section{Virtualisation AmonEcole} +\begin{frame}{Plan} + \begin{columns}[t] + \begin{column}{5cm} + \tableofcontents[sections={1-6},currentsection, hideothersubsections] + \end{column} + \begin{column}{5cm} + \tableofcontents[sections={7-11},currentsection,hideothersubsections] + \end{column} + \end{columns} +\end{frame} + +\begin{frame} + \frametitle{Les commandes} + \begin{itemize} + \item virtualisation avec OpenVZ ; + \item un serveur maître Amon ; + \item des serveurs virtuels (Scribe, Eclair, ...) ; + \item des commandes spécifiques pour les modules virtualisés : + \begin{itemize} + \item configuration : virt\_gen\_config + \item instanciation : virt\_instance zephir.eol + \item reconfiguration : virt\_reconfigure + \item mise à jour : virt\_Maj-Auto [|-a] + \item diagnostic : virt\_diagnose + \item liste des modules : virt\_ctrl list + \item arrêt d'un module : virt\_ctrl stop + \item démmarage d'un module : virt\_ctrl start + \item entrer dans un module : virt\_ctrl enter + \end{itemize} + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Les montages} + \begin{itemize} + \item montage d'une partition dans un module : + \begin{itemize} + \item virt\_mount /device /repertoire\_du\_module + \item virt\_mount /repertoire /repertoire\_du\_module + \item virt\_mount //IP/partage /repertoire\_du\_module IP utilisateur mot\_de\_passe + \item automatisation : /etc/vz/eole/module.start et /etc/vz/eole/module.stop + \end{itemize} + \end{itemize} +\end{frame} + + +\begin{frame} + \frametitle{EAD AmonEcole} + \begin{itemize} + \item Possibilité d'arrêter/démarrer/redémarrer un serveur + \end{itemize} +\end{frame} + diff --git a/commun/00-intro.tex b/commun/00-intro.tex new file mode 100644 index 0000000..0197ff8 --- /dev/null +++ b/commun/00-intro.tex @@ -0,0 +1,49 @@ +\section{Introduction} +\begin{frame}{Plan} + \begin{columns}[t] + \begin{column}{5cm} + \tableofcontents[sections={1-6},currentsection, hideothersubsections] + \end{column} + \begin{column}{5cm} + \tableofcontents[sections={7-12},currentsection,hideothersubsections] + \end{column} + \end{columns} +\end{frame} + +\begin{frame} + \frametitle{EOLE} + \begin{itemize} + \item EOLE : Ensemble Ouvert Libre et Evolutif ; + \item projet national de serveur d'établissement scolaires et académiques ; + \item depuis 2000 ; + \item basé sur Ubuntu depuis 2007 sous forme de module ; + \item objectifs : + \begin{itemize} + \item utilisation de logiciels libres, + \item modulaire (évolutif, ouvert, adaptable), + \item facile a mettre en oeuvre et a déployer, + \item administrable à distance ; + \end{itemize} + \item mode de distribution : + \begin{itemize} + \item versionning, + \item rolling realise. + \end{itemize} + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Nouveautés 2.3} + \begin{itemize} + \item Les conteneurs : + \begin{itemize} + \item séparation des services, + \item sécurité par isolation, + \item plusieurs conteneurs sur un serveur, + \item compatible les deux modes ; + \end{itemize} + \item mise en commun + \item séparation des services + \end{itemize} +\end{frame} + diff --git a/commun/01-quatre_phases.tex b/commun/01-quatre_phases.tex new file mode 100644 index 0000000..8d06a8a --- /dev/null +++ b/commun/01-quatre_phases.tex @@ -0,0 +1,110 @@ +\section{Les quatre phases} +\begin{frame}{Plan} + \begin{columns}[t] + \begin{column}{5cm} + \tableofcontents[sections={1-6},currentsection, hideothersubsections] + \end{column} + \begin{column}{5cm} + \tableofcontents[sections={7-12},currentsection,hideothersubsections] + \end{column} + \end{columns} +\end{frame} + +\begin{frame} + \frametitle{La phase d'installation} + \begin{itemize} + \item Pour installer un module, il suffit de : + \begin{itemize} + \item démarrer sur le CD-ROM téléchargé sur le site d'EOLE ; + \item sélectionner le module à installer parmi ceux proposés ; + \item valider. + \end{itemize} + \item Cas particuliers : Eolebase ou la présence de deux disques ; + \item à la fin de l'installation, cliquer sur "continuer", le système redémarre automatiquement ; + \item vous pourrez ouvrir une session avec l'utilisateur "root" et le mot de passe par défaut "\$eole\&123456\$" ; + \item en mode conteneur généré les conteneurs : "gen\_conteneur". + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{La phase de configuration} + \begin{itemize} + \item Il faut une bonne connaissance du réseau ; + \item en mode autonome : + \begin{itemize} + \item lancer la commande gen\_config, + \item configurer le serveur, + \item sauvegarder le fichier zephir.eol ; + \end{itemize} + \item En mode Zéphir : + \begin{itemize} + \item configuration dans l'application Zéphir : https://:8070/ ou via gen\_config, + \item enregistrement au Zéphir, + \item descente ou monté de la configuration. + \end{itemize} + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{La phase d'instanciation} + \begin{itemize} + \item Lancer la commande "instance .eol" ; + \item renseigner les mots de passe ; + \item enregistrement de la base matériel ; + \item mise à jour ; + \item éventuellement redémarrage. + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Les mots de passe} + \begin{itemize} + \item Au premier lancement de l'instanciation, il est nécessaire de modifier les mots de passe : + \begin{itemize} + \item root ; + \item administrateur à droits restreints eole ; + \item possibilité d'ajouter plusieurs administrateurs à droits restreints ; + \item sur amon, en cas d'utilisation d'un réseau pédagogique et au réseau administratif, un second administrateur (eole2) permet d'administrer le réseau pédagogique ; + \item admin sur Scribe et Horus ; + \item admin\_zephir sur Zéphir. + \end{itemize} + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Les mots de passe} + \begin{itemize} + \item Par défaut, le système regarde la pertinence des mots de passe. Pour cela, il utilise un système de "classe de caractères" : + \begin{itemize} + \item les lettres en minuscule ; + \item les lettres en majuscule ; + \item les chiffres ; + \item les caractères spéciaux (Ex : \$*ù\%£, ; : !§/. ?). + \end{itemize} + \item Il faut utiliser différentes classes de caractères. + \item Par défaut, voici les restrictions : + \begin{itemize} + \item une seule classe de caractères : impossible ; + \item deux classes de caractères : 9 caractères ; + \item trois et quatre classes : 8 caractères. + \end{itemize} + \item Cette configuration est, bien évidement, modifiable dans gen\_config en mode expert. + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{La phase d'administration} + \begin{itemize} + \item Correspond à l'exploitation du serveur ; + \item Chaque module possède des fonctionnalités propres, souvent complémentaires. + \item Diverses interfaces permettent la mise en œuvre de ces fonctionnalités et en facilite l'usage : + \begin{itemize} + \item l'interface d'administration EOLE : EAD ; + \item l'interface semi-graphique ; + \item divers interfaces d'administration (Zéphir-web, CUPS, Sympa, ...); + \item différents outils (Era, ...). + \end{itemize} + \item Gestion des mises à jour. + \end{itemize} +\end{frame} + diff --git a/commun/02-administration.tex b/commun/02-administration.tex new file mode 100644 index 0000000..f4ec1ac --- /dev/null +++ b/commun/02-administration.tex @@ -0,0 +1,134 @@ +\section{Administration commune} +\begin{frame}{Plan} + \begin{columns}[t] + \begin{column}{5cm} + \tableofcontents[sections={1-6},currentsection, hideothersubsections] + \end{column} + \begin{column}{5cm} + \tableofcontents[sections={7-12},currentsection,hideothersubsections] + \end{column} + \end{columns} +\end{frame} + +\begin{frame} + \frametitle{Les mises à jour} + \begin{itemize} + \item Les différents dépôts : + \begin{itemize} + \item la version stable minimum, + \item la version stable complète, + \item la version candidate, + \item la version dev ; + \end{itemize} + \item procédure : + \begin{itemize} + \item par l'EAD, + \item par l'interface semi-graphique, + \item par Zéphir, + \item à la ligne de commande : + \begin{itemize} + \item Query-Auto : liste les mises à jour, + \item Maj-Auto : lance la mise à jour sans question, + \item Maj-CD : mise à jour grâce à un CD, + \item Upgrade-Auto : mise à jour version une version supérieur, + \end{itemize} + \item mise à jour automatique : de 01h à 6h un jour par semaine. + \end{itemize} + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Instance ou Reconfigure} + \begin{itemize} + \item L'instance doit être lancé qu'une seule fois sur les modules ; + \item En cas de mise à jour, d'installation de paquet ou de changement de paramétrage : reconfigure. + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Pratique : mise à jour} + \begin{itemize} + \item Mettre à jour le serveur Scribe ; + \item faire un reconfigure. + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Diagnostic} + \begin{itemize} + \item La commande "diagnose" permet de tester différent point du serveur ; + \item La commande "diagnose -L" propose un diagnostic étendu. + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Pratique : diagnostic} + \begin{itemize} + \item Lancer un diagnostic et un diagnostic étendu sur les serveurs. + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Firewall} + \begin{itemize} + \item Sur tous les modules ; + \item firewall + tcpwrapper ; + \item géré par bastion ; + \item pour ouvrir le firewall ouvre.firewall ; + \item pour connaître la liste des règles : iptables-save. + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Schedule} + \begin{itemize} + \item Gestion des tâches planifiées avec ou sans sauvegarde ; + \item tâche "pré" sauvegarde ; + \item tâche "post" sauvegarde ; + \item pour lister : /usr/share/eole/schedule/manage\_schedule. + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Onduleur} + \begin{itemize} + \item Gestion des onduleurs (NUT) ; + \item maître esclave ; + \item visible dans les agents. + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Pratique} + \begin{itemize} + \item Regarder la configuration de l'onduleur dans gen\_config. + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Trouver de l'information sur le serveur} + \begin{itemize} + \item Lecture des journaux d'activité : + \begin{itemize} + \item /var/log/messages : contient tous les messages d'ordre général concernant la plupart des services et démons ; + \item /var/log/syslog : est plus complet que /var/log/messages, il contient tous les messages, hormis les connexions des utilisateurs ; + \item /var/log/auth : contient les connexions des utilisateurs ; + \item /var/log/mail.log : contient les envois et réception de mails ; + \item /var/log/cron : fichier log du service cron (planificateur système). + \end{itemize} + \item diagnose ; + \item gen\_rpt. + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Trouver des informations sur Internet} + \begin{itemize} + \item la documentation ; + \item les FAQ ; + \item les archives des listes de diffusion ; + \item le Wiki EOLE ; + \item recherche sur Internet ; + \item équipes d'assistance académiques. + \end{itemize} +\end{frame} diff --git a/commun/03-configuration.tex b/commun/03-configuration.tex new file mode 100644 index 0000000..f182e8f --- /dev/null +++ b/commun/03-configuration.tex @@ -0,0 +1,46 @@ +\begin{frame} + \frametitle{Pratique : configuration autonome} + \begin{itemize} + \item Lancer gen\_config ; + \item informations utiles : + \begin{itemize} + \item Adresse ip de la carte eth0, + \item passerelle, + \item DNS : DNS de la machine hôte ; + \end{itemize} + \item interface : + \begin{itemize} + \item barre de menu, + \item les onglets, + \item la partie centrale, + \item validation ; + \end{itemize} + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Pratique : gen\_config en mode texte} + \begin{itemize} + \item taper gen\_config txt ; + \item avoir l'aide help ; + \item open zephir.eol ; + \item choosegroup ; + \begin{itemize} + \item 0, + \item niveau de mise à jour : passer en "complete" ; + \end{itemize} + \item save + \item entrer le nom zephir.eol + \item exit + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Pratique} + \begin{itemize} + \item instancier. + \end{itemize} +\end{frame} + + + diff --git a/commun/20-ead.tex b/commun/20-ead.tex new file mode 100644 index 0000000..c3fb2dc --- /dev/null +++ b/commun/20-ead.tex @@ -0,0 +1,95 @@ +\section{L'interface d'administration EAD} +\begin{frame}{Plan} + \begin{columns}[t] + \begin{column}{5cm} + \tableofcontents[sections={1-6},currentsection, hideothersubsections] + \end{column} + \begin{column}{5cm} + \tableofcontents[sections={7-11},currentsection,hideothersubsections] + \end{column} + \end{columns} +\end{frame} + +\begin{frame} + \frametitle{Présentation général} + \begin{itemize} + \item serveur de commande ead-server (activé et non désactivable) : + \item interface ead-web : https://:4200/ (activé et désactivable) : + \begin{itemize} + \item gondole d'administration, + \item menu action, + \item les onglets, + \item la partie centrale. + \end{itemize} + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Se connecter} + \begin{itemize} + \item Ajouter ou supprimer des onglets pour communiquer avec d'autres serveurs de commande ; + \item authentification locale ; + \item authentification SSO. + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{SSO} + \begin{itemize} + \item EAD, deux systèmes d'authentification : + \begin{itemize} + \item authentification locale (PAM), + \item authentification SSO ; + \end{itemize} + \item permet de centraliser l'authentification ; + \item authentification unique ; + \item rôle plus fin. + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Fonctions de base} + \begin{itemize} + \item Redémarrer, arrêter et reconfigurer ; + \item mise à jour ; + \item arrêt et redémarrage de service : + \begin{itemize} + \item mode expert, + \item mode normal ; + \end{itemize} + \item listing matériel ; + \item bande passante. + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Gestion des rôles EAD} + \begin{itemize} + \item Rôle par défaut : + \begin{itemize} + \item admin : accès à toutes les actions, + \item professeur : modification des préférences personnelles, distribution de devoirs et CUPS, + \item responsable de classe : professeur + reinitialisation des mots de passe des élèves de sa classe ; + \end{itemize} + \item création de rôle personnalisé ; + \item association de rôle : + \begin{itemize} + \item pour l'authentification locale : sur le login, + \item pour l'authentification SSO : + \begin{itemize} + \item login de l'utilisateur ; + \item groupe d'utilisateur ; + \item classe associée à l'utilisateur ; + \item valeur de la clef typeadmin (professeur principal) ; + \end{itemize} + \end{itemize} + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{L'interface semi-graphique} + \begin{itemize} + \item L'interface semi-graphique est disponible sur différent module ; + \item permet d'exécuter quelques tâches simple d'administration du serveur. + \end{itemize} +\end{frame} diff --git a/documents/preparation.txt b/documents/preparation.txt new file mode 100644 index 0000000..0daf40e --- /dev/null +++ b/documents/preparation.txt @@ -0,0 +1,17 @@ +Installation d'AmonEcole + - 2 cartes réseau : NAT + intped + - instancier l'Amon avec un Scribe et le Scribe + - smbldap-usermod -s /bin/bash admin + +Installation de ClientScribe1 + - installation d'un eolebase + - Maj-Auto -i + - apt-eole install client-scribe + - instanciation + - apt-eole install eole-education-base + - apt-get clean + - suppression du fichier udev + +Installation de Sphynx + - faire une mise à jour + - suppression du fichier udev