import du contenu de la branche amon-sphynx

This commit is contained in:
Benjamin Bohard 2013-01-08 10:16:31 +01:00
parent 6b8e3556e1
commit 7a78c06429
15 changed files with 1176 additions and 0 deletions

50
amon-sphynx.tex Normal file
View File

@ -0,0 +1,50 @@
%%presentation
\documentclass{beamer}
\usepackage{beamerthemetree}
%%impression
%\documentclass[a4paper,9pt]{extarticle}
%\usepackage{beamerarticle}
%%
% class FR
\usepackage[T1]{fontenc}
\usepackage[utf8]{inputenc}
\usepackage[frenchb]{babel}
% image
\usepackage{graphicx}
\usecolortheme{crane}
\beamertemplatetransparentcovered
% le logo
%\logo{\includegraphics[height=1cm]{ban.png}}
\title{Formation EOLE}
\subtitle{Amon/Sphynx}
\author{GARETTE Emmanuel}
\institute{Cadoles}
\date{\today}
\begin{document}
\frame{\titlepage}
\include{commun/00-intro}
\include{amon/00-description}
\include{commun/01-quatre_phases}
\include{amon/00-commun}
\include{commun/03-configuration}
\include{commun/02-administration}
\include{commun/20-ead}
\include{amon/01-base}
\include{amon/02-distance}
\include{amon/03-era}
\include{amon/04-filtrage}
\include{amon/05-sphynx}
\include{amon/06-amonecole}
\end{document}

12
amon/00-commun.tex Normal file
View File

@ -0,0 +1,12 @@
\begin{frame}
\frametitle{Utilisation de VirtualBox}
\begin{itemize}
\item Activer PAE/NX dans Préférences/Système/Processeur ;
\item choisir "Accès par pont" dans le "Mode d'accès réseau" dans Préférence/Réseau/Carte 1 ;
\item choisir "Réseau interne" "intadmin" dans le "Mode d'accès réseau" dans Préférence/Réseau/Carte 2 ;
\item choisir "Réseau interne" "intpeda" dans le "Mode d'accès réseau" dans Préférence/Réseau/Carte 3 ;
\item faire un instantané.
\end{itemize}
\end{frame}

19
amon/00-description.tex Normal file
View File

@ -0,0 +1,19 @@
\begin{frame}
\frametitle {Description}
\begin{itemize}
\item Amon, la passerelle pare-feu :
\begin{itemize}
\item partage des sous-réseaux et connexion à internet (pare-feu),
\item authentifications des utilisateurs,
\item réseau virtuel privé,
\item cache web,
\item reverse proxy web ;
\end{itemize}
\item Sphynx, concentrateur pour réseau privé virtuel :
\begin{itemize}
\item relier en réseau vos serveurs (RVP),
\item possibilité de haute disponibilité ;
\end{itemize}
\end{itemize}
\end{frame}

48
amon/01-base.tex Normal file
View File

@ -0,0 +1,48 @@
\section{Fonctions de base d'Amon}
\begin{frame}{Plan}
\begin{columns}[t]
\begin{column}{5cm}
\tableofcontents[sections={1-6},currentsection, hideothersubsections]
\end{column}
\begin{column}{5cm}
\tableofcontents[sections={7-11},currentsection,hideothersubsections]
\end{column}
\end{columns}
\end{frame}
\begin{frame}
\frametitle{Serveur DNS}
\begin{itemize}
\item Amon propose un serveur DNS ;
\item il est possible de configurer un ou plusieurs DNS père.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Agrégation de liens}
\begin{itemize}
\item Utiliser deux abonnements Internet sur un même Amon ;
\item garantir une meilleure qualité de service ;
\item poids de chaque abonnement pour répartir la charge ;
\item la configuration se fait durant l'étape de configuration ;
\item limite : le RVP passe par un seul lien.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Réseau}
\begin{itemize}
\item VLAN :
\begin{itemize}
\item Segmentation des réseaux ;
\item se fait au niveau des équipements réseaux
\end{itemize}
\item RADIUS :
\begin{itemize}
\item RADIUS : protocole client-serveur permettant de centraliser des données d'authentification ;
\item permet de faire des sous-réseaux dynamique ;
\item nécessite des équipements réseaux compatible.
\end{itemize}
\end{itemize}
\end{frame}

54
amon/02-distance.tex Normal file
View File

@ -0,0 +1,54 @@
\section{Les commandes à distances}
\begin{frame}{Plan}
\begin{columns}[t]
\begin{column}{5cm}
\tableofcontents[sections={1-6},currentsection, hideothersubsections]
\end{column}
\begin{column}{5cm}
\tableofcontents[sections={7-11},currentsection,hideothersubsections]
\end{column}
\end{columns}
\end{frame}
\begin{frame}
\frametitle{Activer la connexion ssh sur Amon}
\begin{itemize}
\item Possibilité d'interdire la connexion ssh à root ;
\item possibilité d'interdire la connexion sans clef rsa ;
\item choix des adresses autorisés.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Le protocole ssh}
\begin{itemize}
\item protocole de communication sécurisé ;
\item ouvrir une connexion : ssh utilisateur@ip\_serveur ;
\item ouvrir une connexion pour commande graphique : ssh -X utilisateur@ip\_serveur ;
\item transfert de fichier : scp fichier.txt utilisateur@ip\_serveur:.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Screen}
\begin{itemize}
\item si la connexion se coupe, impossible de récupérer la session ;
\item screen permet de détacher un shell et le récupérer ;
\item pour le lancer : screen ;
\item pour détacher : ctrl a d ;
\item attention déconnexion automatique : unset TMOUT ;
\item pour reprendre un screen : screen -rd
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Activer la connexion sur amonecole1 juste pour votre IP ;
\item se connecter sur le serveur amonecole1 en ssh ;
\item copier un fichier ;
\item lancer gen\_config à travers ssh ;
\item utiliser screen.
\end{itemize}
\end{frame}

131
amon/03-era.tex Normal file
View File

@ -0,0 +1,131 @@
\section{Era}
\begin{frame}{Plan}
\begin{columns}[t]
\begin{column}{5cm}
\tableofcontents[sections={1-6},currentsection, hideothersubsections]
\end{column}
\begin{column}{5cm}
\tableofcontents[sections={7-11},currentsection,hideothersubsections]
\end{column}
\end{columns}
\end{frame}
\begin{frame}
\frametitle{Présentation}
\begin{itemize}
\item Outil de génération de règle pour pare-feu ;
\item enregistre la description de la politique de sécurité dans un fichier XML ;
\item génération de commande iptables par compilation ;
\item il est possible de mettre des variables Creole ;
\item zone de sécurité : correspond a une interface réseau ;
\item matrice de flux : classé par origine et destination ;
\item flux orienté (interdit pour les flux montant, autorisé pour les flux descendant, interdit pour les flux égaux) ;
\item politique par défaut ;
\item extrémité : machine ou réseau d'une zone ;
\item directive : règle.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Directive}
\begin{itemize}
\item Les extrémités
\item Les services et groupes de services
\item Les plages horaires
\item Les groupes d'utilisateurs (NuFW) : tous-identifiés, non-identifiés, ...
\item Les groupes d'applications (NuFW)
\item Les types de directive : autorisation/interdiction, redirection, NAT, ...
\item La journalisation
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Lancer Era et ouvrir le fichier 3zones-amonecole ;
\item identifier les zones, les flux et les directives ;
\item ajouter une extrémité ClientScribe en DMZ avec IP ;
\item ajouter un groupe de service avec le service samba3, smtp et pop ;
\item ajouter une plage horaire : du lundi à vendredi de 12h à 14h ;
\item ajouter interdire le groupe + plage horaire de pedago vers l'extrémité Scribe ;
\item ajouter une directive DNAT de Scribe vers 8500.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Les directives optionnelles}
\begin{itemize}
\item Directive activable et désactivable depuis l'EAD ;
\item il suffit de spécifier un libellé dans "directive optionnelle EAD" ;
\item alphanumérique + "\_" et " " (pas accent !) ;
\item notion de groupe de directives optionnelles ;
\item possibilité de directive optionnelle active ;
\item directive optionnelles cachées : /etc/eole/distrib/active\_tags.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Rendre la directive optionnelle et l'activer et désactiver dans l'EAD.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{La qualité de service}
\begin{itemize}
\item Zone interne vers extérieur ;
\item il faut fixé une valeur d'upload et de download en méga bits par secondes ;
\item spécifie un pourcentage d'utilisation ;
\item penser à activer la QOS dans les options.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Les règles netbios}
\begin{itemize}
\item Dans les options du modèle, possibilité d'activé les règles netbios ;
\item permet de bloquer les requêtes du réseau Microsoft vers l'extérieur.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Activer la qualité de service ;
\item configurer la QOS.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{NuFW}
\includegraphics[width=8cm]{nufw.png}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Activer NuFW sur l'Amon ;
\item se connecter sur NuFW depuis Clientscribe1 ;
\item inverser la politique par défaut sur flux pedago-DMZ ;
\item autoriser la pedago a aller sur scribe-pedago en DMZ ;
\item ajouter l'application /bin/nc-traditional et le groupe d'application "navigateur web" ;
\item autoriser le groupe "professeur" avec application "navigateur web" vers le Scribe en pédago sur le port 8500 ;
\item tester :
\begin{itemize}
\item serveur de destination : netcat -l -p \$numport -c "/bin/echo 'message'"
\item machine source : netcat \$destip \$destport
\item machine source : telnet \$destip \$destport
\end{itemize}
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Options avancées}
\begin{itemize}
\item Peut se connecter à Zéphir ;
\item héritage de modèle ;
\item l'inclusion statique.
\end{itemize}
\end{frame}

220
amon/04-filtrage.tex Normal file
View File

@ -0,0 +1,220 @@
\section{Filtrage web}
\begin{frame}{Plan}
\begin{columns}[t]
\begin{column}{5cm}
\tableofcontents[sections={1-6},currentsection, hideothersubsections]
\end{column}
\begin{column}{5cm}
\tableofcontents[sections={7-11},currentsection,hideothersubsections]
\end{column}
\end{columns}
\end{frame}
\begin{frame}
\frametitle{Présentation}
\begin{itemize}
\item Possibilité :
\begin{itemize}
\item configurer la manière dont le filtrage s'effectue ;
\item associés des filtrages à des utilisateurs ;
\item associés des filtrages à des machines ;
\item configuration par zone de configuration ;
\item configuration par politique de filtrage ;
\item plusieurs configuration (1 et 2).
\end{itemize}
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Interdire ou autoriser des sites web}
\begin{itemize}
\item Interdire des sites : complèter la liste noir ;
\item autoriser des sites : forcer l'autorisation d'un site ;
\item applicable : zone entière ou a des politiques de filtrage ;
\item les listes sont mises à jour régulièrement ;
\item signaler pour améliorer les performances et la qualité des listes.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Politique de liste blanche}
\begin{itemize}
\item restreindre la navigation à un ensemble de site ;
\item ne pas confondre avec les site autorisé.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Filtre optionnel}
\begin{itemize}
\item la liste de site interdit comprend des catégories ;
\item par défaut seule les catégories "adult" et "redirector" sont activés ;
\item activation par configuration ou politique de filtrage ;
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Filtre syntaxique}
\begin{itemize}
\item Filtrage dynamique des pages ;
\item possibilité :
\begin{itemize}
\item sur les balises méta (par défaut) ;
\item sur la page entière ;
\item désactivé.
\end{itemize}
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Filtre des extensions}
\begin{itemize}
\item Interdire le téléchargement portant certaines extensions ;
\item applicable : zone entière ou a des politiques de filtrage.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Filtre des types MIME}
\begin{itemize}
\item Un type MIME est une information donner par le serveur permettant de connaitre le format d'un document sans se baser sur l'extension.
\item
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Filtre par machine}
\begin{itemize}
\item filtrage par IP ;
\item possibilité :
\begin{itemize}
\item interdire l'accès au réseau ;
\item interdire la navigation web uniquement ;
\item autoriser la navigation web selon des horaires ;
\item associer une politique de filtrage.
\end{itemize}
\item attention, ancienne methode par "postes" n'est plus d'actualité.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Filtre par utilisateur}
\begin{itemize}
\item Pre-requis : il doit y avoir une authentification utilisateur ;
\item premet d'ajouter un filtrage spécial à un utilisateur ;
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Créer un groupe de machine : configuration1/Groupe de machine ;
\item tester ;
\item créer un utilisateur : Configuration1/Utilisateurs ;
\item tester.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Filtre par destination}
\begin{itemize}
\item Possible d'interdire l'accès à un sous-réseau depuis une interface.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Ne pas authentifier / mettre en cache}
\begin{itemize}
\item La destination : Sites de mise à jour ;
\item la source : Sources à ne pas authentifier.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Filtre antivirus web}
\begin{itemize}
\item Possible d'activer l'antivirus sur le filtrage web ;
\item utilise ClamAV.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Activer le filtrage antivirus dans gen\_config ;
\item télécharger différents fichiers.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Filtre P2P}
\begin{itemize}
\item Permet de bloquer les échanges de fichiers en P2P ;
\item 2 filtres au choix : l7filter ou ipp2p.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Horaire}
\begin{itemize}
\item Les horaires du pare-feu : ferme la totalité du pare-feu ;
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Numéro de filtrage web}
\begin{itemize}
\item il est possible de différencier les politiques de filtrage suivant l'interface ;
\item amon2 : administrateur de la 2eme configuration.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Observation}
\begin{itemize}
\item Il est possible de visualiser des logs par :
\begin{itemize}
\item date (obligatoire)
\item heure de visite ;
\item IP du visiteur ;
\item login du visiteur ;
\item seulement les accès refusés.
\end{itemize}
\item possibilité d'utiliser SARG.
\end{itemize}
\end{frame}
%---------------------------------------------------------------
\begin{frame}
\frametitle{Gérer au mieux les ressources}
\begin{itemize}
\item Ne pas activer trop de politique de filtrage par défaut (0 à 3 politiques) ;
\item ne pas démarrer trop d'instance Dansguardian (voir la configuration) ... ;
\item filtrage syntaxique (surtout sur la page entière) ;
\item antivirus.
\end{itemize}
\end{frame}
%---------------------------------------------------------------
\begin{frame}
\frametitle{Reverse proxy}
\begin{itemize}
\item permet relayer des requêtes Web provenant de l'extérieur vers les serveurs internes ;
\item permet de rediriger :
\begin{itemize}
\item SSO,
\item administration Envole 2.0,
\item HTTP,
\item HTTPS ;
\end{itemize}
\item si on redirige le SSO, il ne faut pas l'activer sur l'Amon.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Rendre disponible envole de Scribe depuis l'extérieur.
\end{itemize}
\end{frame}

137
amon/05-sphynx.tex Normal file
View File

@ -0,0 +1,137 @@
\section{Sphynx}
\begin{frame}{Plan}
\begin{columns}[t]
\begin{column}{5cm}
\tableofcontents[sections={1-6},currentsection, hideothersubsections]
\end{column}
\begin{column}{5cm}
\tableofcontents[sections={7-11},currentsection,hideothersubsections]
\end{column}
\end{columns}
\end{frame}
\begin{frame}
\frametitle{Présentation}
\begin{itemize}
\item Réseau Privé Virtuel en étoile (pas en maillage) ;
\item application centralisée ;
\item possibilité d'inter-établissement.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Différence PKI et clef-rsa}
\begin{itemize}
\item PKI : nécessite une autorité de certification (AGRIATES) ;
\item clef-rsa : fonctionne en mode autonome.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Monter un tunnel Amon-Sphynx}
\begin{itemize}
\item Sphynx et Amon doivent être sur le même plan d'adressage (généralement internet) ;
\item la configuration doit être préparé sur le Sphynx ;
\item la configuration est transféré sur l'Amon (disquette, clef, ...) ;
\item activation du RVP sur Amon.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Instanciation de Sphynx1 ;
\begin{itemize}
\item adresse IP fixe,
\item mode d'authentification clef-rsa ;
\end{itemize}
\item instanciation ;
\item logout (pour obtenir les variables d'environnements) ;
\item manage-sphynx.sh : Demande\_Certificat dans le "disque local" ;
\item mode pki :
\begin{itemize}
\item envoyer le fichier .p10,
\item copier le certificat dans ce répertoire ;
\end{itemize}
\item init-sphynx.sh ;
\item remarque : on ne peut plus changer la configuration réseau maintenant ;
\item voir la base dans /usr/share/eole/sphynx-vpn/xml/sphynx.xml.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Ajout d'un Amon amon1 sur le Sphynx :
\begin{itemize}
\item copier le fichier config.eol dans /home/data/amon1/config.eol du Sphynx ;
\item lancer manage-sphynx.sh ;
\item Gerer\_Amon\_Etablissement ;
\item Ajouter\_Amon.
\end{itemize}
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item configure l'Amon amon1 :
\begin{itemize}
\item copie du répertoire Sphynx /home/data/amon1 sur l'Amon,
\item onglet service : Activation du RVP,
\item à l'instanciation ou après avec la commande active\_rvp.sh choisir le répertoire,
\item en mode PKI, demande de mot de passe ;
\end{itemize}
\item test avec "test-rvp".
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Revoir la base dans /usr/share/eole/sphynx-vpn/xml/sphynx.xml.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Demarrage de RVP}
\begin{itemize}
\item Pour redemarrer l'ensemble des tunnels : redemarrer bastion
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Validité et révocation}
\begin{itemize}
\item Valide 5 ans (pour AGRIATES) ;
\item liste des certificats révoqués par Toulouse (rechargé toutes les 7 heures) ;
\item agent Zéphir (EAD ou Zéphir) :
\begin{itemize}
\item 45 jours avant : orange,
\item 30 jours avant : rouge,
\end{itemize}
\item Demander\_Certificat dans manage-sphynx.sh ;
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Sphynx et Zéphir}
\begin{itemize}
\item Gestion des configurations RVP :
\begin{itemize}
\item listing des configurations RVP (avec voyant suivant les étapes),
\item mise en place de la configuration RVP,
\end{itemize}
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Sphynx en haute disponibilité}
\begin{itemize}
\item Les règles sont synchronisés du maître vers l'esclave ;
\item Heartbeat surveille ;
\item une interface graphique (hb\_gui) permet de configure, d'administrer et de monitorer la haute disponibilité.
\end{itemize}
\end{frame}

54
amon/06-amonecole.tex Normal file
View File

@ -0,0 +1,54 @@
\section{Virtualisation AmonEcole}
\begin{frame}{Plan}
\begin{columns}[t]
\begin{column}{5cm}
\tableofcontents[sections={1-6},currentsection, hideothersubsections]
\end{column}
\begin{column}{5cm}
\tableofcontents[sections={7-11},currentsection,hideothersubsections]
\end{column}
\end{columns}
\end{frame}
\begin{frame}
\frametitle{Les commandes}
\begin{itemize}
\item virtualisation avec OpenVZ ;
\item un serveur maître Amon ;
\item des serveurs virtuels (Scribe, Eclair, ...) ;
\item des commandes spécifiques pour les modules virtualisés :
\begin{itemize}
\item configuration : virt\_gen\_config <module>
\item instanciation : virt\_instance <module> zephir.eol
\item reconfiguration : virt\_reconfigure <module>
\item mise à jour : virt\_Maj-Auto [<module>|-a]
\item diagnostic : virt\_diagnose <module>
\item liste des modules : virt\_ctrl list
\item arrêt d'un module : virt\_ctrl <module> stop
\item démmarage d'un module : virt\_ctrl <module> start
\item entrer dans un module : virt\_ctrl <module> enter
\end{itemize}
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Les montages}
\begin{itemize}
\item montage d'une partition dans un module :
\begin{itemize}
\item virt\_mount <module> /device /repertoire\_du\_module
\item virt\_mount <module> /repertoire /repertoire\_du\_module
\item virt\_mount <module> //IP/partage /repertoire\_du\_module IP utilisateur mot\_de\_passe
\item automatisation : /etc/vz/eole/module.start et /etc/vz/eole/module.stop
\end{itemize}
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{EAD AmonEcole}
\begin{itemize}
\item Possibilité d'arrêter/démarrer/redémarrer un serveur
\end{itemize}
\end{frame}

49
commun/00-intro.tex Normal file
View File

@ -0,0 +1,49 @@
\section{Introduction}
\begin{frame}{Plan}
\begin{columns}[t]
\begin{column}{5cm}
\tableofcontents[sections={1-6},currentsection, hideothersubsections]
\end{column}
\begin{column}{5cm}
\tableofcontents[sections={7-12},currentsection,hideothersubsections]
\end{column}
\end{columns}
\end{frame}
\begin{frame}
\frametitle{EOLE}
\begin{itemize}
\item EOLE : Ensemble Ouvert Libre et Evolutif ;
\item projet national de serveur d'établissement scolaires et académiques ;
\item depuis 2000 ;
\item basé sur Ubuntu depuis 2007 sous forme de module ;
\item objectifs :
\begin{itemize}
\item utilisation de logiciels libres,
\item modulaire (évolutif, ouvert, adaptable),
\item facile a mettre en oeuvre et a déployer,
\item administrable à distance ;
\end{itemize}
\item mode de distribution :
\begin{itemize}
\item versionning,
\item rolling realise.
\end{itemize}
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Nouveautés 2.3}
\begin{itemize}
\item Les conteneurs :
\begin{itemize}
\item séparation des services,
\item sécurité par isolation,
\item plusieurs conteneurs sur un serveur,
\item compatible les deux modes ;
\end{itemize}
\item mise en commun
\item séparation des services
\end{itemize}
\end{frame}

110
commun/01-quatre_phases.tex Normal file
View File

@ -0,0 +1,110 @@
\section{Les quatre phases}
\begin{frame}{Plan}
\begin{columns}[t]
\begin{column}{5cm}
\tableofcontents[sections={1-6},currentsection, hideothersubsections]
\end{column}
\begin{column}{5cm}
\tableofcontents[sections={7-12},currentsection,hideothersubsections]
\end{column}
\end{columns}
\end{frame}
\begin{frame}
\frametitle{La phase d'installation}
\begin{itemize}
\item Pour installer un module, il suffit de :
\begin{itemize}
\item démarrer sur le CD-ROM téléchargé sur le site d'EOLE ;
\item sélectionner le module à installer parmi ceux proposés ;
\item valider.
\end{itemize}
\item Cas particuliers : Eolebase ou la présence de deux disques ;
\item à la fin de l'installation, cliquer sur "continuer", le système redémarre automatiquement ;
\item vous pourrez ouvrir une session avec l'utilisateur "root" et le mot de passe par défaut "\$eole\&123456\$" ;
\item en mode conteneur généré les conteneurs : "gen\_conteneur".
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{La phase de configuration}
\begin{itemize}
\item Il faut une bonne connaissance du réseau ;
\item en mode autonome :
\begin{itemize}
\item lancer la commande gen\_config,
\item configurer le serveur,
\item sauvegarder le fichier zephir.eol ;
\end{itemize}
\item En mode Zéphir :
\begin{itemize}
\item configuration dans l'application Zéphir : https://<nom\_du\_serveur>:8070/ ou via gen\_config,
\item enregistrement au Zéphir,
\item descente ou monté de la configuration.
\end{itemize}
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{La phase d'instanciation}
\begin{itemize}
\item Lancer la commande "instance <fichier>.eol" ;
\item renseigner les mots de passe ;
\item enregistrement de la base matériel ;
\item mise à jour ;
\item éventuellement redémarrage.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Les mots de passe}
\begin{itemize}
\item Au premier lancement de l'instanciation, il est nécessaire de modifier les mots de passe :
\begin{itemize}
\item root ;
\item administrateur à droits restreints eole ;
\item possibilité d'ajouter plusieurs administrateurs à droits restreints ;
\item sur amon, en cas d'utilisation d'un réseau pédagogique et au réseau administratif, un second administrateur (eole2) permet d'administrer le réseau pédagogique ;
\item admin sur Scribe et Horus ;
\item admin\_zephir sur Zéphir.
\end{itemize}
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Les mots de passe}
\begin{itemize}
\item Par défaut, le système regarde la pertinence des mots de passe. Pour cela, il utilise un système de "classe de caractères" :
\begin{itemize}
\item les lettres en minuscule ;
\item les lettres en majuscule ;
\item les chiffres ;
\item les caractères spéciaux (Ex : \$*ù\%£, ; : !§/. ?).
\end{itemize}
\item Il faut utiliser différentes classes de caractères.
\item Par défaut, voici les restrictions :
\begin{itemize}
\item une seule classe de caractères : impossible ;
\item deux classes de caractères : 9 caractères ;
\item trois et quatre classes : 8 caractères.
\end{itemize}
\item Cette configuration est, bien évidement, modifiable dans gen\_config en mode expert.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{La phase d'administration}
\begin{itemize}
\item Correspond à l'exploitation du serveur ;
\item Chaque module possède des fonctionnalités propres, souvent complémentaires.
\item Diverses interfaces permettent la mise en œuvre de ces fonctionnalités et en facilite l'usage :
\begin{itemize}
\item l'interface d'administration EOLE : EAD ;
\item l'interface semi-graphique ;
\item divers interfaces d'administration (Zéphir-web, CUPS, Sympa, ...);
\item différents outils (Era, ...).
\end{itemize}
\item Gestion des mises à jour.
\end{itemize}
\end{frame}

View File

@ -0,0 +1,134 @@
\section{Administration commune}
\begin{frame}{Plan}
\begin{columns}[t]
\begin{column}{5cm}
\tableofcontents[sections={1-6},currentsection, hideothersubsections]
\end{column}
\begin{column}{5cm}
\tableofcontents[sections={7-12},currentsection,hideothersubsections]
\end{column}
\end{columns}
\end{frame}
\begin{frame}
\frametitle{Les mises à jour}
\begin{itemize}
\item Les différents dépôts :
\begin{itemize}
\item la version stable minimum,
\item la version stable complète,
\item la version candidate,
\item la version dev ;
\end{itemize}
\item procédure :
\begin{itemize}
\item par l'EAD,
\item par l'interface semi-graphique,
\item par Zéphir,
\item à la ligne de commande :
\begin{itemize}
\item Query-Auto : liste les mises à jour,
\item Maj-Auto : lance la mise à jour sans question,
\item Maj-CD : mise à jour grâce à un CD,
\item Upgrade-Auto : mise à jour version une version supérieur,
\end{itemize}
\item mise à jour automatique : de 01h à 6h un jour par semaine.
\end{itemize}
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Instance ou Reconfigure}
\begin{itemize}
\item L'instance doit être lancé qu'une seule fois sur les modules ;
\item En cas de mise à jour, d'installation de paquet ou de changement de paramétrage : reconfigure.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique : mise à jour}
\begin{itemize}
\item Mettre à jour le serveur Scribe ;
\item faire un reconfigure.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Diagnostic}
\begin{itemize}
\item La commande "diagnose" permet de tester différent point du serveur ;
\item La commande "diagnose -L" propose un diagnostic étendu.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique : diagnostic}
\begin{itemize}
\item Lancer un diagnostic et un diagnostic étendu sur les serveurs.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Firewall}
\begin{itemize}
\item Sur tous les modules ;
\item firewall + tcpwrapper ;
\item géré par bastion ;
\item pour ouvrir le firewall ouvre.firewall ;
\item pour connaître la liste des règles : iptables-save.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Schedule}
\begin{itemize}
\item Gestion des tâches planifiées avec ou sans sauvegarde ;
\item tâche "pré" sauvegarde ;
\item tâche "post" sauvegarde ;
\item pour lister : /usr/share/eole/schedule/manage\_schedule.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Onduleur}
\begin{itemize}
\item Gestion des onduleurs (NUT) ;
\item maître esclave ;
\item visible dans les agents.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Regarder la configuration de l'onduleur dans gen\_config.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Trouver de l'information sur le serveur}
\begin{itemize}
\item Lecture des journaux d'activité :
\begin{itemize}
\item /var/log/messages : contient tous les messages d'ordre général concernant la plupart des services et démons ;
\item /var/log/syslog : est plus complet que /var/log/messages, il contient tous les messages, hormis les connexions des utilisateurs ;
\item /var/log/auth : contient les connexions des utilisateurs ;
\item /var/log/mail.log : contient les envois et réception de mails ;
\item /var/log/cron : fichier log du service cron (planificateur système).
\end{itemize}
\item diagnose ;
\item gen\_rpt.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Trouver des informations sur Internet}
\begin{itemize}
\item la documentation ;
\item les FAQ ;
\item les archives des listes de diffusion ;
\item le Wiki EOLE ;
\item recherche sur Internet ;
\item équipes d'assistance académiques.
\end{itemize}
\end{frame}

View File

@ -0,0 +1,46 @@
\begin{frame}
\frametitle{Pratique : configuration autonome}
\begin{itemize}
\item Lancer gen\_config ;
\item informations utiles :
\begin{itemize}
\item Adresse ip de la carte eth0,
\item passerelle,
\item DNS : DNS de la machine hôte ;
\end{itemize}
\item interface :
\begin{itemize}
\item barre de menu,
\item les onglets,
\item la partie centrale,
\item validation ;
\end{itemize}
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique : gen\_config en mode texte}
\begin{itemize}
\item taper gen\_config txt ;
\item avoir l'aide help ;
\item open zephir.eol ;
\item choosegroup ;
\begin{itemize}
\item 0,
\item niveau de mise à jour : passer en "complete" ;
\end{itemize}
\item save
\item entrer le nom zephir.eol
\item exit
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item instancier.
\end{itemize}
\end{frame}

95
commun/20-ead.tex Normal file
View File

@ -0,0 +1,95 @@
\section{L'interface d'administration EAD}
\begin{frame}{Plan}
\begin{columns}[t]
\begin{column}{5cm}
\tableofcontents[sections={1-6},currentsection, hideothersubsections]
\end{column}
\begin{column}{5cm}
\tableofcontents[sections={7-11},currentsection,hideothersubsections]
\end{column}
\end{columns}
\end{frame}
\begin{frame}
\frametitle{Présentation général}
\begin{itemize}
\item serveur de commande ead-server (activé et non désactivable) :
\item interface ead-web : https://<adresse\_module>:4200/ (activé et désactivable) :
\begin{itemize}
\item gondole d'administration,
\item menu action,
\item les onglets,
\item la partie centrale.
\end{itemize}
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Se connecter}
\begin{itemize}
\item Ajouter ou supprimer des onglets pour communiquer avec d'autres serveurs de commande ;
\item authentification locale ;
\item authentification SSO.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{SSO}
\begin{itemize}
\item EAD, deux systèmes d'authentification :
\begin{itemize}
\item authentification locale (PAM),
\item authentification SSO ;
\end{itemize}
\item permet de centraliser l'authentification ;
\item authentification unique ;
\item rôle plus fin.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Fonctions de base}
\begin{itemize}
\item Redémarrer, arrêter et reconfigurer ;
\item mise à jour ;
\item arrêt et redémarrage de service :
\begin{itemize}
\item mode expert,
\item mode normal ;
\end{itemize}
\item listing matériel ;
\item bande passante.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Gestion des rôles EAD}
\begin{itemize}
\item Rôle par défaut :
\begin{itemize}
\item admin : accès à toutes les actions,
\item professeur : modification des préférences personnelles, distribution de devoirs et CUPS,
\item responsable de classe : professeur + reinitialisation des mots de passe des élèves de sa classe ;
\end{itemize}
\item création de rôle personnalisé ;
\item association de rôle :
\begin{itemize}
\item pour l'authentification locale : sur le login,
\item pour l'authentification SSO :
\begin{itemize}
\item login de l'utilisateur ;
\item groupe d'utilisateur ;
\item classe associée à l'utilisateur ;
\item valeur de la clef typeadmin (professeur principal) ;
\end{itemize}
\end{itemize}
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{L'interface semi-graphique}
\begin{itemize}
\item L'interface semi-graphique est disponible sur différent module ;
\item permet d'exécuter quelques tâches simple d'administration du serveur.
\end{itemize}
\end{frame}

17
documents/preparation.txt Normal file
View File

@ -0,0 +1,17 @@
Installation d'AmonEcole
- 2 cartes réseau : NAT + intped
- instancier l'Amon avec un Scribe et le Scribe
- smbldap-usermod -s /bin/bash admin
Installation de ClientScribe1
- installation d'un eolebase
- Maj-Auto -i
- apt-eole install client-scribe
- instanciation
- apt-eole install eole-education-base
- apt-get clean
- suppression du fichier udev
Installation de Sphynx
- faire une mise à jour
- suppression du fichier udev