From 836129a85a0ebdc95337a14b827f6f2613e1747d Mon Sep 17 00:00:00 2001 From: Emmanuel Garette Date: Mon, 2 Jun 2014 17:18:36 +0200 Subject: [PATCH] maj formation amon-sphynx --- modules_EOLE_envole/amon-sphynx.tex | 27 +++++++--- modules_EOLE_envole/amon/00-nouveautes.tex | 4 +- modules_EOLE_envole/amon/00-virtualbox.tex | 15 ++++-- modules_EOLE_envole/amon/01-base.tex | 21 ++++++-- modules_EOLE_envole/amon/02-era.tex | 40 +++++--------- modules_EOLE_envole/amon/02-nufw.tex | 22 ++++++++ modules_EOLE_envole/amon/03-filtrage.tex | 21 ++------ modules_EOLE_envole/amon/04-cntlm.tex | 14 ++++- modules_EOLE_envole/amon/05-reverseproxy.tex | 2 +- modules_EOLE_envole/amon/06-proxy.tex | 45 ++++++++++++++++ modules_EOLE_envole/amon/07-dns.tex | 0 modules_EOLE_envole/amon/old-06-amonecole.tex | 54 ------------------- .../amonecole/00-description.tex | 11 ++++ modules_EOLE_envole/sphynx/00-nouveautes.tex | 2 +- modules_EOLE_envole/sphynx/01-arv.tex | 2 +- modules_EOLE_envole/tronc-commun-1.tex | 1 + .../tronc-commun-1/00-panorama-module.tex | 12 ----- 17 files changed, 162 insertions(+), 131 deletions(-) create mode 100644 modules_EOLE_envole/amon/02-nufw.tex create mode 100644 modules_EOLE_envole/amon/06-proxy.tex create mode 100644 modules_EOLE_envole/amon/07-dns.tex delete mode 100644 modules_EOLE_envole/amon/old-06-amonecole.tex create mode 100644 modules_EOLE_envole/amonecole/00-description.tex diff --git a/modules_EOLE_envole/amon-sphynx.tex b/modules_EOLE_envole/amon-sphynx.tex index 80d3e1b..3544540 100644 --- a/modules_EOLE_envole/amon-sphynx.tex +++ b/modules_EOLE_envole/amon-sphynx.tex @@ -92,12 +92,13 @@ \end{columns} \end{frame} \include{modules_EOLE_envole/commun/00-intro} -\include{modules_EOLE_envole/commun/01-nouveaute23} -\include{modules_EOLE_envole/commun/01-nouveaute24} -\include{modules_EOLE_envole/amon/00-nouveautes} -\include{modules_EOLE_envole/sphynx/00-nouveautes} \include{modules_EOLE_envole/amon/00-description} \include{modules_EOLE_envole/sphynx/00-description} +\include{modules_EOLE_envole/amonecole/00-description} +\include{modules_EOLE_envole/commun/01-nouveaute23} +\include{modules_EOLE_envole/amon/00-nouveautes} +\include{modules_EOLE_envole/sphynx/00-nouveautes} +\include{modules_EOLE_envole/commun/01-nouveaute24} \section{Les quatre phases} \begin{frame}{Plan} @@ -111,6 +112,8 @@ \end{columns} \end{frame} \include{modules_EOLE_envole/commun/02-quatre_phases} +\include{modules_EOLE_envole/tronc-commun-1/05-conteneurs} +\include{modules_EOLE_envole/tronc-commun-1/05-conteneurs-pratique} \include{modules_EOLE_envole/amon/00-virtualbox} \include{modules_EOLE_envole/commun/02-quatre_phases-pratique} @@ -153,6 +156,20 @@ \end{frame} \include{modules_EOLE_envole/amon/02-era} +\section{Proxy} +\begin{frame}{Plan} + \begin{columns}[t] + \begin{column}{5cm} + \tableofcontents[sections={1-6},currentsection, hideothersubsections] + \end{column} + \begin{column}{5cm} + \tableofcontents[sections={7-12},currentsection,hideothersubsections] + \end{column} + \end{columns} +\end{frame} +\include{modules_EOLE_envole/amon/06-proxy} +\include{modules_EOLE_envole/amon/04-cntlm} + \section{Filtrage web} \begin{frame}{Plan} \begin{columns}[t] @@ -165,8 +182,6 @@ \end{columns} \end{frame} \include{modules_EOLE_envole/amon/03-filtrage} -%FIXME a revoir et completer -\include{modules_EOLE_envole/amon/04-cntlm} \section{Reverse Proxy} \begin{frame}{Plan} diff --git a/modules_EOLE_envole/amon/00-nouveautes.tex b/modules_EOLE_envole/amon/00-nouveautes.tex index 39ec05f..ee55ec8 100644 --- a/modules_EOLE_envole/amon/00-nouveautes.tex +++ b/modules_EOLE_envole/amon/00-nouveautes.tex @@ -1,12 +1,12 @@ \begin{frame} - \frametitle{Nouveautés Amon} + \frametitle{Nouveautés Amon 2.3} \begin{itemize} \item amélioration nginx (notamment "domaine par défaut") ; \item suppression de NuFW ; \item possibilité de désactiver le filtrage web ; \item proxy sur une carte ; \item second squid pour authentification différente ; - \item outil de consultation des log : sarg => ligthsquid ; + \item outil de consultation des log : SARG => ligthsquid ; \item wpad/CNTLM ; \item Era ajout de la possibilité de mettre des exceptions. \end{itemize} diff --git a/modules_EOLE_envole/amon/00-virtualbox.tex b/modules_EOLE_envole/amon/00-virtualbox.tex index d809904..ed10b97 100644 --- a/modules_EOLE_envole/amon/00-virtualbox.tex +++ b/modules_EOLE_envole/amon/00-virtualbox.tex @@ -1,11 +1,16 @@ \begin{frame} \frametitle{Utilisation de VirtualBox} \begin{itemize} - \item Activer PAE/NX dans Préférences/Système/Processeur ; - \item choisir "Accès par pont" dans le "Mode d'accès réseau" dans Préférence/Réseau/Carte 1 ; - \item choisir "Réseau interne" "intadmin" dans le "Mode d'accès réseau" dans Préférence/Réseau/Carte 2 ; - \item choisir "Réseau interne" "intpeda" dans le "Mode d'accès réseau" dans Préférence/Réseau/Carte 3 ; - \item faire un instantané. + \item Amon : + \begin{itemize} + \item Choisir "Accès par pont" dans le "Mode d'accès réseau" dans Préférence/Réseau/Carte 1 ; + \item choisir "Réseau interne" "int" dans le "Mode d'accès réseau" dans Préférence/Réseau/Carte 2. + \item faire un instantané. + \end{itemize} + \item Seven : + \begin{itemize} + \item choisir "Réseau interne" "int" dans le "Mode d'accès réseau" dans Préférence/Réseau/Carte 1. + \end{itemize} \end{itemize} \end{frame} diff --git a/modules_EOLE_envole/amon/01-base.tex b/modules_EOLE_envole/amon/01-base.tex index 5f383cf..f9a8584 100644 --- a/modules_EOLE_envole/amon/01-base.tex +++ b/modules_EOLE_envole/amon/01-base.tex @@ -2,7 +2,18 @@ \frametitle{Serveur DNS} \begin{itemize} \item Amon propose un serveur DNS ; - \item il est possible de configurer un ou plusieurs DNS père. + \item il est possible de configurer un ou plusieurs DNS père ; + \item DNS master de zone supplémentaire ; + \item forward de zone DNS ; + \item ajout d'hôte dans la résolution de domaine. + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Pratique : serveur DNS} + \begin{itemize} + \item ajouter seven.monreseau.lan avec l'adresse IP du poste seven ; + \item ajouter seven.nouveaureseau.lan avec l'adresse IP du poste seven. \end{itemize} \end{frame} @@ -20,10 +31,14 @@ \begin{frame} \frametitle{Réseau} \begin{itemize} + \item alias : + \begin{itemize} + \item plusieurs IP pour une adresse réseau physique. + \end{itemize} \item VLAN : \begin{itemize} - \item Segmentation des réseaux ; - \item se fait au niveau des équipements réseaux + \item segmentation des réseaux ; + \item se fait au niveau des équipements réseaux. \end{itemize} \item RADIUS : \begin{itemize} diff --git a/modules_EOLE_envole/amon/02-era.tex b/modules_EOLE_envole/amon/02-era.tex index 7563c49..26b4564 100644 --- a/modules_EOLE_envole/amon/02-era.tex +++ b/modules_EOLE_envole/amon/02-era.tex @@ -32,11 +32,12 @@ \begin{itemize} \item Lancer Era et ouvrir le fichier 3zones-amonecole ; \item identifier les zones, les flux et les directives ; - \item ajouter une extrémité ClientScribe en DMZ avec IP ; + \item ajouter une extrémité seven avec IP ; \item ajouter un groupe de services avec le service samba3, smtp et pop ; \item ajouter une plage horaire : du lundi au vendredi de 12h à 14h ; \item ajouter interdire le groupe + plage horaire de pedago vers l'extrémité Scribe ; - \item ajouter une directive DNAT de Scribe vers 8500. + \item ajouter une directive DNAT de Scribe vers 8500 ; + \item vérifier l'application des règles avec iptable-save. \end{itemize} \end{frame} @@ -47,15 +48,21 @@ \item il suffit de spécifier un libellé dans "directive optionnelle EAD" ; \item alphanumérique + "\_" et " " (pas d'accent !) ; \item notion de groupe de directives optionnelles ; - \item possibilité de directive optionnelle active ; - \item directives optionnelles cachées : /etc/eole/distrib/active\_tags. + \item possibilité de directive optionnelle active. \end{itemize} \end{frame} +\begin{frame} + \frametitle{Les directives optionnelles cachées} + \begin{itemize} + \item Directive optionnelle nom présente dans l'EAD ; + \item s'active/désactive via un patch du template : /usr/share/eole/creole/distrib/active\_tags. + \end{itemize} +\end{frame} \begin{frame} \frametitle{Pratique} \begin{itemize} - \item Rendre la directive optionnelle et l'activer et désactiver dans l'EAD. + \item Rendre la directive optionnelle et l'activer/désactiver dans l'EAD. \end{itemize} \end{frame} @@ -85,29 +92,6 @@ \end{itemize} \end{frame} -\begin{frame} - \frametitle{NuFW} - \includegraphics[width=8cm]{modules_EOLE_envole/amon/nufw.png} -\end{frame} - -\begin{frame} - \frametitle{Pratique} - \begin{itemize} - \item Activer NuFW sur l'Amon ; - \item se connecter sur NuFW depuis Clientscribe1 ; - \item inverser la politique par défaut sur flux pedago-DMZ ; - \item autoriser la pédago à aller sur scribe-pedago en DMZ ; - \item ajouter l'application /bin/nc-traditional et le groupe d'application "navigateur web" ; - \item autoriser le groupe "professeur" avec application "navigateur web" vers le Scribe en pédago sur le port 8500 ; - \item tester : - \begin{itemize} - \item serveur de destination : netcat -l -p \$numport -c "/bin/echo 'message'" - \item machine source : netcat \$destip \$destport - \item machine source : telnet \$destip \$destport - \end{itemize} - \end{itemize} -\end{frame} - \begin{frame} \frametitle{Options avancées} \begin{itemize} diff --git a/modules_EOLE_envole/amon/02-nufw.tex b/modules_EOLE_envole/amon/02-nufw.tex new file mode 100644 index 0000000..c2c4053 --- /dev/null +++ b/modules_EOLE_envole/amon/02-nufw.tex @@ -0,0 +1,22 @@ +\begin{frame} + \frametitle{NuFW} + \includegraphics[width=8cm]{modules_EOLE_envole/amon/nufw.png} +\end{frame} + +\begin{frame} + \frametitle{Pratique} + \begin{itemize} + \item Activer NuFW sur l'Amon ; + \item se connecter sur NuFW depuis Clientscribe1 ; + \item inverser la politique par défaut sur flux pedago-DMZ ; + \item autoriser la pédago à aller sur scribe-pedago en DMZ ; + \item ajouter l'application /bin/nc-traditional et le groupe d'application "navigateur web" ; + \item autoriser le groupe "professeur" avec application "navigateur web" vers le Scribe en pédago sur le port 8500 ; + \item tester : + \begin{itemize} + \item serveur de destination : netcat -l -p \$numport -c "/bin/echo 'message'" + \item machine source : netcat \$destip \$destport + \item machine source : telnet \$destip \$destport + \end{itemize} + \end{itemize} +\end{frame} diff --git a/modules_EOLE_envole/amon/03-filtrage.tex b/modules_EOLE_envole/amon/03-filtrage.tex index 9be38f4..cbc6f77 100644 --- a/modules_EOLE_envole/amon/03-filtrage.tex +++ b/modules_EOLE_envole/amon/03-filtrage.tex @@ -8,7 +8,8 @@ \item associer des filtrages à des machines ; \item configurer par zone de configuration ; \item configurer par politique de filtrage ; - \item plusieurs configurations (1 et 2). + \item plusieurs configurations (1 et 2) ; + \item désactivable dans gen\_config. \end{itemize} \end{itemize} \end{frame} @@ -72,7 +73,7 @@ \begin{frame} \frametitle{Filtre par machine} \begin{itemize} - \item Filtrage par IP ; + \item Filtrage par groupe de machine (IP) ; \item possibilités : \begin{itemize} \item interdire l'accès au réseau ; @@ -89,6 +90,7 @@ \begin{itemize} \item Pré-requis : il doit y avoir une authentification utilisateur ; \item permet d'ajouter un filtrage spécial à un utilisateur ; + \item si filtrage par utilisateur, le filtrage par machine n'est plus fonctionnel (pour https). \end{itemize} \end{frame} @@ -156,21 +158,6 @@ \end{itemize} \end{frame} -\begin{frame} - \frametitle{Observation} - \begin{itemize} - \item Il est possible de visualiser des logs par : - \begin{itemize} - \item date (obligatoire) - \item heure de visite ; - \item IP du visiteur ; - \item login du visiteur ; - \item seulement les accès refusés. - \end{itemize} - \item possibilité d'utiliser SARG. - \end{itemize} -\end{frame} - \begin{frame} \frametitle{Gérer au mieux les ressources} \begin{itemize} diff --git a/modules_EOLE_envole/amon/04-cntlm.tex b/modules_EOLE_envole/amon/04-cntlm.tex index 443b1ae..b5c60ea 100644 --- a/modules_EOLE_envole/amon/04-cntlm.tex +++ b/modules_EOLE_envole/amon/04-cntlm.tex @@ -3,7 +3,12 @@ \begin{itemize} \item WPAD permet la configuration automatique des postes clients ; \item le navigateur doit être configuré en conséquence ; - \item possibilité de définir un proxy et des exceptions différents suivant des critères. + \item possibilité d'exceptions : + \begin{itemize} + \item d'un nom de domaine, + \item d'un nom de domaine local (donc aussi les sous-domaines), + \item d'un IP. + \end{itemize} \end{itemize} \end{frame} @@ -26,3 +31,10 @@ \end{itemize} \end{frame} +\begin{frame} + \frametitle{Pratique} + \begin{itemize} + \item Forcer l'authentification sur le poste de travail. + \end{itemize} +\end{frame} + diff --git a/modules_EOLE_envole/amon/05-reverseproxy.tex b/modules_EOLE_envole/amon/05-reverseproxy.tex index 6b79520..fc633bf 100644 --- a/modules_EOLE_envole/amon/05-reverseproxy.tex +++ b/modules_EOLE_envole/amon/05-reverseproxy.tex @@ -16,7 +16,7 @@ \begin{frame} \frametitle{Pratique} \begin{itemize} - \item Rendre disponible envole de Scribe depuis l'extérieur. + \item Rendre disponible un site via le reverse proxy. \end{itemize} \end{frame} diff --git a/modules_EOLE_envole/amon/06-proxy.tex b/modules_EOLE_envole/amon/06-proxy.tex new file mode 100644 index 0000000..a08e1dc --- /dev/null +++ b/modules_EOLE_envole/amon/06-proxy.tex @@ -0,0 +1,45 @@ +\begin{frame} + \frametitle{Proxy père} + \begin{itemize} + \item Proxy père académique ; + \item proxy père pour une zone ; + \item coopération des caches. + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Authentification sur le proxy} + \begin{itemize} + \item Obligation légale ; + \item plusieurs types : + \begin{itemize} + \item NTLM/SMB + \item LDAP/Active directory + \item NTLM/Kerberos + \item fichier local + \end{itemize} + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Pratique} + \begin{itemize} + \item Activer l'authentification du proxy en NTLM/SMB. + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Observation} + \begin{itemize} + \item Il est possible de visualiser des logs par : + \begin{itemize} + \item date (obligatoire) + \item heure de visite ; + \item IP du visiteur ; + \item login du visiteur ; + \item seulement les accès refusés. + \end{itemize} + \item possibilité d'utiliser lightsquid. + \end{itemize} +\end{frame} + diff --git a/modules_EOLE_envole/amon/07-dns.tex b/modules_EOLE_envole/amon/07-dns.tex new file mode 100644 index 0000000..e69de29 diff --git a/modules_EOLE_envole/amon/old-06-amonecole.tex b/modules_EOLE_envole/amon/old-06-amonecole.tex deleted file mode 100644 index d6ca245..0000000 --- a/modules_EOLE_envole/amon/old-06-amonecole.tex +++ /dev/null @@ -1,54 +0,0 @@ -\section{AmonEcole} -\begin{frame}{Plan} - \begin{columns}[t] - \begin{column}{5cm} - \tableofcontents[sections={1-6},currentsection, hideothersubsections] - \end{column} - \begin{column}{5cm} - \tableofcontents[sections={7-11},currentsection,hideothersubsections] - \end{column} - \end{columns} -\end{frame} - -\begin{frame} - \frametitle{Les commandes} - \begin{itemize} - \item virtualisation avec OpenVZ ; - \item un serveur maître Amon ; - \item des serveurs virtuels (Scribe, Eclair, ...) ; - \item des commandes spécifiques pour les modules virtualisés : - \begin{itemize} - \item configuration : virt\_gen\_config - \item instanciation : virt\_instance zephir.eol - \item reconfiguration : virt\_reconfigure - \item mise à jour : virt\_Maj-Auto [|-a] - \item diagnostic : virt\_diagnose - \item liste des modules : virt\_ctrl list - \item arrêt d'un module : virt\_ctrl stop - \item démmarage d'un module : virt\_ctrl start - \item entrer dans un module : virt\_ctrl enter - \end{itemize} - \end{itemize} -\end{frame} - -\begin{frame} - \frametitle{Les montages} - \begin{itemize} - \item montage d'une partition dans un module : - \begin{itemize} - \item virt\_mount /device /repertoire\_du\_module - \item virt\_mount /repertoire /repertoire\_du\_module - \item virt\_mount //IP/partage /repertoire\_du\_module IP utilisateur mot\_de\_passe - \item automatisation : /etc/vz/eole/module.start et /etc/vz/eole/module.stop - \end{itemize} - \end{itemize} -\end{frame} - - -\begin{frame} - \frametitle{EAD AmonEcole} - \begin{itemize} - \item Possibilité d'arrêter/démarrer/redémarrer un serveur - \end{itemize} -\end{frame} - diff --git a/modules_EOLE_envole/amonecole/00-description.tex b/modules_EOLE_envole/amonecole/00-description.tex new file mode 100644 index 0000000..53dfa02 --- /dev/null +++ b/modules_EOLE_envole/amonecole/00-description.tex @@ -0,0 +1,11 @@ +\begin{frame} + \frametitle{AmonEcole} + \begin{itemize} + \item AmonEcole, solution de conteneur avec différents modules : + \begin{itemize} + \item AmonEcole mélange des fonctionnalités Amon et Scribe ; + \item AmonEcole+ avec les fonctionnalités Eclair. + \item AmonHorus mélange des fonctionnalités Amon et Horus. + \end{itemize} + \end{itemize} +\end{frame} diff --git a/modules_EOLE_envole/sphynx/00-nouveautes.tex b/modules_EOLE_envole/sphynx/00-nouveautes.tex index d3c9c62..3470458 100644 --- a/modules_EOLE_envole/sphynx/00-nouveautes.tex +++ b/modules_EOLE_envole/sphynx/00-nouveautes.tex @@ -1,5 +1,5 @@ \begin{frame} - \frametitle{Nouveautés Sphynx} + \frametitle{Nouveautés Sphynx 2.3} \begin{itemize} \item réécriture complète de l'interface et des mécanismes Sphynx. \end{itemize} diff --git a/modules_EOLE_envole/sphynx/01-arv.tex b/modules_EOLE_envole/sphynx/01-arv.tex index cebcaa1..4735ddd 100644 --- a/modules_EOLE_envole/sphynx/01-arv.tex +++ b/modules_EOLE_envole/sphynx/01-arv.tex @@ -23,7 +23,7 @@ \end{itemize} \end{itemize} \item https://:8088 - \item tester principalement sur Firefox ; + \item testé principalement sur Firefox ; \item déconnexion en bas à droite de l'application. \end{itemize} \end{frame} diff --git a/modules_EOLE_envole/tronc-commun-1.tex b/modules_EOLE_envole/tronc-commun-1.tex index 3aa5f91..f0c0124 100644 --- a/modules_EOLE_envole/tronc-commun-1.tex +++ b/modules_EOLE_envole/tronc-commun-1.tex @@ -107,6 +107,7 @@ \include{modules_EOLE_envole/sphynx/00-description} \include{modules_EOLE_envole/scribe/00-description} \include{modules_EOLE_envole/horus/00-description} +\include{modules_EOLE_envole/amonecole/00-description} \include{modules_EOLE_envole/tronc-commun-1/00-panorama-module} \section{Les quatre phases} diff --git a/modules_EOLE_envole/tronc-commun-1/00-panorama-module.tex b/modules_EOLE_envole/tronc-commun-1/00-panorama-module.tex index 7396a6c..8ffe1b6 100644 --- a/modules_EOLE_envole/tronc-commun-1/00-panorama-module.tex +++ b/modules_EOLE_envole/tronc-commun-1/00-panorama-module.tex @@ -10,18 +10,6 @@ \end{itemize} \end{frame} -\begin{frame} - \frametitle{AmonEcole} - \begin{itemize} - \item AmonEcole, solution de conteneur avec différents modules : - \begin{itemize} - \item AmonEcole mélange des fonctionnalités Amon et Scribe ; - \item AmonEcole+ avec les fonctionnalités Eclair. - \item AmonHorus mélange des fonctionnalités Amon et Horus. - \end{itemize} - \end{itemize} -\end{frame} - \begin{frame} \frametitle{Zéphir/Sentinelle} \begin{itemize}