maj formation amon-sphynx

This commit is contained in:
Emmanuel Garette 2014-06-02 17:18:36 +02:00
parent f791199192
commit 836129a85a
17 changed files with 162 additions and 131 deletions

View File

@ -92,12 +92,13 @@
\end{columns} \end{columns}
\end{frame} \end{frame}
\include{modules_EOLE_envole/commun/00-intro} \include{modules_EOLE_envole/commun/00-intro}
\include{modules_EOLE_envole/commun/01-nouveaute23}
\include{modules_EOLE_envole/commun/01-nouveaute24}
\include{modules_EOLE_envole/amon/00-nouveautes}
\include{modules_EOLE_envole/sphynx/00-nouveautes}
\include{modules_EOLE_envole/amon/00-description} \include{modules_EOLE_envole/amon/00-description}
\include{modules_EOLE_envole/sphynx/00-description} \include{modules_EOLE_envole/sphynx/00-description}
\include{modules_EOLE_envole/amonecole/00-description}
\include{modules_EOLE_envole/commun/01-nouveaute23}
\include{modules_EOLE_envole/amon/00-nouveautes}
\include{modules_EOLE_envole/sphynx/00-nouveautes}
\include{modules_EOLE_envole/commun/01-nouveaute24}
\section{Les quatre phases} \section{Les quatre phases}
\begin{frame}{Plan} \begin{frame}{Plan}
@ -111,6 +112,8 @@
\end{columns} \end{columns}
\end{frame} \end{frame}
\include{modules_EOLE_envole/commun/02-quatre_phases} \include{modules_EOLE_envole/commun/02-quatre_phases}
\include{modules_EOLE_envole/tronc-commun-1/05-conteneurs}
\include{modules_EOLE_envole/tronc-commun-1/05-conteneurs-pratique}
\include{modules_EOLE_envole/amon/00-virtualbox} \include{modules_EOLE_envole/amon/00-virtualbox}
\include{modules_EOLE_envole/commun/02-quatre_phases-pratique} \include{modules_EOLE_envole/commun/02-quatre_phases-pratique}
@ -153,6 +156,20 @@
\end{frame} \end{frame}
\include{modules_EOLE_envole/amon/02-era} \include{modules_EOLE_envole/amon/02-era}
\section{Proxy}
\begin{frame}{Plan}
\begin{columns}[t]
\begin{column}{5cm}
\tableofcontents[sections={1-6},currentsection, hideothersubsections]
\end{column}
\begin{column}{5cm}
\tableofcontents[sections={7-12},currentsection,hideothersubsections]
\end{column}
\end{columns}
\end{frame}
\include{modules_EOLE_envole/amon/06-proxy}
\include{modules_EOLE_envole/amon/04-cntlm}
\section{Filtrage web} \section{Filtrage web}
\begin{frame}{Plan} \begin{frame}{Plan}
\begin{columns}[t] \begin{columns}[t]
@ -165,8 +182,6 @@
\end{columns} \end{columns}
\end{frame} \end{frame}
\include{modules_EOLE_envole/amon/03-filtrage} \include{modules_EOLE_envole/amon/03-filtrage}
%FIXME a revoir et completer
\include{modules_EOLE_envole/amon/04-cntlm}
\section{Reverse Proxy} \section{Reverse Proxy}
\begin{frame}{Plan} \begin{frame}{Plan}

View File

@ -1,12 +1,12 @@
\begin{frame} \begin{frame}
\frametitle{Nouveautés Amon} \frametitle{Nouveautés Amon 2.3}
\begin{itemize} \begin{itemize}
\item amélioration nginx (notamment "domaine par défaut") ; \item amélioration nginx (notamment "domaine par défaut") ;
\item suppression de NuFW ; \item suppression de NuFW ;
\item possibilité de désactiver le filtrage web ; \item possibilité de désactiver le filtrage web ;
\item proxy sur une carte ; \item proxy sur une carte ;
\item second squid pour authentification différente ; \item second squid pour authentification différente ;
\item outil de consultation des log : sarg => ligthsquid ; \item outil de consultation des log : SARG => ligthsquid ;
\item wpad/CNTLM ; \item wpad/CNTLM ;
\item Era ajout de la possibilité de mettre des exceptions. \item Era ajout de la possibilité de mettre des exceptions.
\end{itemize} \end{itemize}

View File

@ -1,12 +1,17 @@
\begin{frame} \begin{frame}
\frametitle{Utilisation de VirtualBox} \frametitle{Utilisation de VirtualBox}
\begin{itemize} \begin{itemize}
\item Activer PAE/NX dans Préférences/Système/Processeur ; \item Amon :
\item choisir "Accès par pont" dans le "Mode d'accès réseau" dans Préférence/Réseau/Carte 1 ; \begin{itemize}
\item choisir "Réseau interne" "intadmin" dans le "Mode d'accès réseau" dans Préférence/Réseau/Carte 2 ; \item Choisir "Accès par pont" dans le "Mode d'accès réseau" dans Préférence/Réseau/Carte 1 ;
\item choisir "Réseau interne" "intpeda" dans le "Mode d'accès réseau" dans Préférence/Réseau/Carte 3 ; \item choisir "Réseau interne" "int" dans le "Mode d'accès réseau" dans Préférence/Réseau/Carte 2.
\item faire un instantané. \item faire un instantané.
\end{itemize} \end{itemize}
\item Seven :
\begin{itemize}
\item choisir "Réseau interne" "int" dans le "Mode d'accès réseau" dans Préférence/Réseau/Carte 1.
\end{itemize}
\end{itemize}
\end{frame} \end{frame}

View File

@ -2,7 +2,18 @@
\frametitle{Serveur DNS} \frametitle{Serveur DNS}
\begin{itemize} \begin{itemize}
\item Amon propose un serveur DNS ; \item Amon propose un serveur DNS ;
\item il est possible de configurer un ou plusieurs DNS père. \item il est possible de configurer un ou plusieurs DNS père ;
\item DNS master de zone supplémentaire ;
\item forward de zone DNS ;
\item ajout d'hôte dans la résolution de domaine.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique : serveur DNS}
\begin{itemize}
\item ajouter seven.monreseau.lan avec l'adresse IP du poste seven ;
\item ajouter seven.nouveaureseau.lan avec l'adresse IP du poste seven.
\end{itemize} \end{itemize}
\end{frame} \end{frame}
@ -20,10 +31,14 @@
\begin{frame} \begin{frame}
\frametitle{Réseau} \frametitle{Réseau}
\begin{itemize} \begin{itemize}
\item alias :
\begin{itemize}
\item plusieurs IP pour une adresse réseau physique.
\end{itemize}
\item VLAN : \item VLAN :
\begin{itemize} \begin{itemize}
\item Segmentation des réseaux ; \item segmentation des réseaux ;
\item se fait au niveau des équipements réseaux \item se fait au niveau des équipements réseaux.
\end{itemize} \end{itemize}
\item RADIUS : \item RADIUS :
\begin{itemize} \begin{itemize}

View File

@ -32,11 +32,12 @@
\begin{itemize} \begin{itemize}
\item Lancer Era et ouvrir le fichier 3zones-amonecole ; \item Lancer Era et ouvrir le fichier 3zones-amonecole ;
\item identifier les zones, les flux et les directives ; \item identifier les zones, les flux et les directives ;
\item ajouter une extrémité ClientScribe en DMZ avec IP ; \item ajouter une extrémité seven avec IP ;
\item ajouter un groupe de services avec le service samba3, smtp et pop ; \item ajouter un groupe de services avec le service samba3, smtp et pop ;
\item ajouter une plage horaire : du lundi au vendredi de 12h à 14h ; \item ajouter une plage horaire : du lundi au vendredi de 12h à 14h ;
\item ajouter interdire le groupe + plage horaire de pedago vers l'extrémité Scribe ; \item ajouter interdire le groupe + plage horaire de pedago vers l'extrémité Scribe ;
\item ajouter une directive DNAT de Scribe vers 8500. \item ajouter une directive DNAT de Scribe vers 8500 ;
\item vérifier l'application des règles avec iptable-save.
\end{itemize} \end{itemize}
\end{frame} \end{frame}
@ -47,15 +48,21 @@
\item il suffit de spécifier un libellé dans "directive optionnelle EAD" ; \item il suffit de spécifier un libellé dans "directive optionnelle EAD" ;
\item alphanumérique + "\_" et " " (pas d'accent !) ; \item alphanumérique + "\_" et " " (pas d'accent !) ;
\item notion de groupe de directives optionnelles ; \item notion de groupe de directives optionnelles ;
\item possibilité de directive optionnelle active ; \item possibilité de directive optionnelle active.
\item directives optionnelles cachées : /etc/eole/distrib/active\_tags.
\end{itemize} \end{itemize}
\end{frame} \end{frame}
\begin{frame}
\frametitle{Les directives optionnelles cachées}
\begin{itemize}
\item Directive optionnelle nom présente dans l'EAD ;
\item s'active/désactive via un patch du template : /usr/share/eole/creole/distrib/active\_tags.
\end{itemize}
\end{frame}
\begin{frame} \begin{frame}
\frametitle{Pratique} \frametitle{Pratique}
\begin{itemize} \begin{itemize}
\item Rendre la directive optionnelle et l'activer et désactiver dans l'EAD. \item Rendre la directive optionnelle et l'activer/désactiver dans l'EAD.
\end{itemize} \end{itemize}
\end{frame} \end{frame}
@ -85,29 +92,6 @@
\end{itemize} \end{itemize}
\end{frame} \end{frame}
\begin{frame}
\frametitle{NuFW}
\includegraphics[width=8cm]{modules_EOLE_envole/amon/nufw.png}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Activer NuFW sur l'Amon ;
\item se connecter sur NuFW depuis Clientscribe1 ;
\item inverser la politique par défaut sur flux pedago-DMZ ;
\item autoriser la pédago à aller sur scribe-pedago en DMZ ;
\item ajouter l'application /bin/nc-traditional et le groupe d'application "navigateur web" ;
\item autoriser le groupe "professeur" avec application "navigateur web" vers le Scribe en pédago sur le port 8500 ;
\item tester :
\begin{itemize}
\item serveur de destination : netcat -l -p \$numport -c "/bin/echo 'message'"
\item machine source : netcat \$destip \$destport
\item machine source : telnet \$destip \$destport
\end{itemize}
\end{itemize}
\end{frame}
\begin{frame} \begin{frame}
\frametitle{Options avancées} \frametitle{Options avancées}
\begin{itemize} \begin{itemize}

View File

@ -0,0 +1,22 @@
\begin{frame}
\frametitle{NuFW}
\includegraphics[width=8cm]{modules_EOLE_envole/amon/nufw.png}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Activer NuFW sur l'Amon ;
\item se connecter sur NuFW depuis Clientscribe1 ;
\item inverser la politique par défaut sur flux pedago-DMZ ;
\item autoriser la pédago à aller sur scribe-pedago en DMZ ;
\item ajouter l'application /bin/nc-traditional et le groupe d'application "navigateur web" ;
\item autoriser le groupe "professeur" avec application "navigateur web" vers le Scribe en pédago sur le port 8500 ;
\item tester :
\begin{itemize}
\item serveur de destination : netcat -l -p \$numport -c "/bin/echo 'message'"
\item machine source : netcat \$destip \$destport
\item machine source : telnet \$destip \$destport
\end{itemize}
\end{itemize}
\end{frame}

View File

@ -8,7 +8,8 @@
\item associer des filtrages à des machines ; \item associer des filtrages à des machines ;
\item configurer par zone de configuration ; \item configurer par zone de configuration ;
\item configurer par politique de filtrage ; \item configurer par politique de filtrage ;
\item plusieurs configurations (1 et 2). \item plusieurs configurations (1 et 2) ;
\item désactivable dans gen\_config.
\end{itemize} \end{itemize}
\end{itemize} \end{itemize}
\end{frame} \end{frame}
@ -72,7 +73,7 @@
\begin{frame} \begin{frame}
\frametitle{Filtre par machine} \frametitle{Filtre par machine}
\begin{itemize} \begin{itemize}
\item Filtrage par IP ; \item Filtrage par groupe de machine (IP) ;
\item possibilités : \item possibilités :
\begin{itemize} \begin{itemize}
\item interdire l'accès au réseau ; \item interdire l'accès au réseau ;
@ -89,6 +90,7 @@
\begin{itemize} \begin{itemize}
\item Pré-requis : il doit y avoir une authentification utilisateur ; \item Pré-requis : il doit y avoir une authentification utilisateur ;
\item permet d'ajouter un filtrage spécial à un utilisateur ; \item permet d'ajouter un filtrage spécial à un utilisateur ;
\item si filtrage par utilisateur, le filtrage par machine n'est plus fonctionnel (pour https).
\end{itemize} \end{itemize}
\end{frame} \end{frame}
@ -156,21 +158,6 @@
\end{itemize} \end{itemize}
\end{frame} \end{frame}
\begin{frame}
\frametitle{Observation}
\begin{itemize}
\item Il est possible de visualiser des logs par :
\begin{itemize}
\item date (obligatoire)
\item heure de visite ;
\item IP du visiteur ;
\item login du visiteur ;
\item seulement les accès refusés.
\end{itemize}
\item possibilité d'utiliser SARG.
\end{itemize}
\end{frame}
\begin{frame} \begin{frame}
\frametitle{Gérer au mieux les ressources} \frametitle{Gérer au mieux les ressources}
\begin{itemize} \begin{itemize}

View File

@ -3,7 +3,12 @@
\begin{itemize} \begin{itemize}
\item WPAD permet la configuration automatique des postes clients ; \item WPAD permet la configuration automatique des postes clients ;
\item le navigateur doit être configuré en conséquence ; \item le navigateur doit être configuré en conséquence ;
\item possibilité de définir un proxy et des exceptions différents suivant des critères. \item possibilité d'exceptions :
\begin{itemize}
\item d'un nom de domaine,
\item d'un nom de domaine local (donc aussi les sous-domaines),
\item d'un IP.
\end{itemize}
\end{itemize} \end{itemize}
\end{frame} \end{frame}
@ -26,3 +31,10 @@
\end{itemize} \end{itemize}
\end{frame} \end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Forcer l'authentification sur le poste de travail.
\end{itemize}
\end{frame}

View File

@ -16,7 +16,7 @@
\begin{frame} \begin{frame}
\frametitle{Pratique} \frametitle{Pratique}
\begin{itemize} \begin{itemize}
\item Rendre disponible envole de Scribe depuis l'extérieur. \item Rendre disponible un site via le reverse proxy.
\end{itemize} \end{itemize}
\end{frame} \end{frame}

View File

@ -0,0 +1,45 @@
\begin{frame}
\frametitle{Proxy père}
\begin{itemize}
\item Proxy père académique ;
\item proxy père pour une zone ;
\item coopération des caches.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Authentification sur le proxy}
\begin{itemize}
\item Obligation légale ;
\item plusieurs types :
\begin{itemize}
\item NTLM/SMB
\item LDAP/Active directory
\item NTLM/Kerberos
\item fichier local
\end{itemize}
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Activer l'authentification du proxy en NTLM/SMB.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Observation}
\begin{itemize}
\item Il est possible de visualiser des logs par :
\begin{itemize}
\item date (obligatoire)
\item heure de visite ;
\item IP du visiteur ;
\item login du visiteur ;
\item seulement les accès refusés.
\end{itemize}
\item possibilité d'utiliser lightsquid.
\end{itemize}
\end{frame}

View File

View File

@ -1,54 +0,0 @@
\section{AmonEcole}
\begin{frame}{Plan}
\begin{columns}[t]
\begin{column}{5cm}
\tableofcontents[sections={1-6},currentsection, hideothersubsections]
\end{column}
\begin{column}{5cm}
\tableofcontents[sections={7-11},currentsection,hideothersubsections]
\end{column}
\end{columns}
\end{frame}
\begin{frame}
\frametitle{Les commandes}
\begin{itemize}
\item virtualisation avec OpenVZ ;
\item un serveur maître Amon ;
\item des serveurs virtuels (Scribe, Eclair, ...) ;
\item des commandes spécifiques pour les modules virtualisés :
\begin{itemize}
\item configuration : virt\_gen\_config <module>
\item instanciation : virt\_instance <module> zephir.eol
\item reconfiguration : virt\_reconfigure <module>
\item mise à jour : virt\_Maj-Auto [<module>|-a]
\item diagnostic : virt\_diagnose <module>
\item liste des modules : virt\_ctrl list
\item arrêt d'un module : virt\_ctrl <module> stop
\item démmarage d'un module : virt\_ctrl <module> start
\item entrer dans un module : virt\_ctrl <module> enter
\end{itemize}
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Les montages}
\begin{itemize}
\item montage d'une partition dans un module :
\begin{itemize}
\item virt\_mount <module> /device /repertoire\_du\_module
\item virt\_mount <module> /repertoire /repertoire\_du\_module
\item virt\_mount <module> //IP/partage /repertoire\_du\_module IP utilisateur mot\_de\_passe
\item automatisation : /etc/vz/eole/module.start et /etc/vz/eole/module.stop
\end{itemize}
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{EAD AmonEcole}
\begin{itemize}
\item Possibilité d'arrêter/démarrer/redémarrer un serveur
\end{itemize}
\end{frame}

View File

@ -0,0 +1,11 @@
\begin{frame}
\frametitle{AmonEcole}
\begin{itemize}
\item AmonEcole, solution de conteneur avec différents modules :
\begin{itemize}
\item AmonEcole mélange des fonctionnalités Amon et Scribe ;
\item AmonEcole+ avec les fonctionnalités Eclair.
\item AmonHorus mélange des fonctionnalités Amon et Horus.
\end{itemize}
\end{itemize}
\end{frame}

View File

@ -1,5 +1,5 @@
\begin{frame} \begin{frame}
\frametitle{Nouveautés Sphynx} \frametitle{Nouveautés Sphynx 2.3}
\begin{itemize} \begin{itemize}
\item réécriture complète de l'interface et des mécanismes Sphynx. \item réécriture complète de l'interface et des mécanismes Sphynx.
\end{itemize} \end{itemize}

View File

@ -23,7 +23,7 @@
\end{itemize} \end{itemize}
\end{itemize} \end{itemize}
\item https://<IP\_Sphynx>:8088 \item https://<IP\_Sphynx>:8088
\item tester principalement sur Firefox ; \item testé principalement sur Firefox ;
\item déconnexion en bas à droite de l'application. \item déconnexion en bas à droite de l'application.
\end{itemize} \end{itemize}
\end{frame} \end{frame}

View File

@ -107,6 +107,7 @@
\include{modules_EOLE_envole/sphynx/00-description} \include{modules_EOLE_envole/sphynx/00-description}
\include{modules_EOLE_envole/scribe/00-description} \include{modules_EOLE_envole/scribe/00-description}
\include{modules_EOLE_envole/horus/00-description} \include{modules_EOLE_envole/horus/00-description}
\include{modules_EOLE_envole/amonecole/00-description}
\include{modules_EOLE_envole/tronc-commun-1/00-panorama-module} \include{modules_EOLE_envole/tronc-commun-1/00-panorama-module}
\section{Les quatre phases} \section{Les quatre phases}

View File

@ -10,18 +10,6 @@
\end{itemize} \end{itemize}
\end{frame} \end{frame}
\begin{frame}
\frametitle{AmonEcole}
\begin{itemize}
\item AmonEcole, solution de conteneur avec différents modules :
\begin{itemize}
\item AmonEcole mélange des fonctionnalités Amon et Scribe ;
\item AmonEcole+ avec les fonctionnalités Eclair.
\item AmonHorus mélange des fonctionnalités Amon et Horus.
\end{itemize}
\end{itemize}
\end{frame}
\begin{frame} \begin{frame}
\frametitle{Zéphir/Sentinelle} \frametitle{Zéphir/Sentinelle}
\begin{itemize} \begin{itemize}