maj formation amon
This commit is contained in:
parent
603bbf6bf1
commit
9f706ad27b
|
@ -49,9 +49,9 @@
|
|||
\setbeamertemplate{background}{\includegraphics[width=128mm]{beamer-skel/img/bg-cadoles-2.png}}
|
||||
|
||||
\title[]{Formation Amon Sphynx}
|
||||
\subtitle{Vice-rectorat de la Nouvelle-Calédonie}
|
||||
\subtitle{Formation Cadoles}
|
||||
|
||||
\author[Equipe Auteur]{Philippe Caseiro}
|
||||
\author[Equipe Auteur]{Emmanuel Garette}
|
||||
|
||||
\institute[Cadoles]{\includegraphics[width=1cm]{beamer-skel/img/logo-cadoles-01.png}}
|
||||
|
||||
|
@ -117,7 +117,6 @@
|
|||
\include{modules_EOLE_envole/commun/02-quatre_phases}
|
||||
|
||||
\include{modules_EOLE_envole/amon/00-virtualbox}
|
||||
\include{modules_EOLE_envole/tronc-commun-1/05-conteneurs-pratique}
|
||||
\include{modules_EOLE_envole/commun/02-gen_config}
|
||||
\include{modules_EOLE_envole/commun/02-quatre_phases-pratique}
|
||||
|
||||
|
@ -137,6 +136,7 @@
|
|||
\include{modules_EOLE_envole/commun/04-diagnose}
|
||||
\include{modules_EOLE_envole/commun/04-diagnose-pratique}
|
||||
\include{modules_EOLE_envole/tronc-commun-1/05-conteneurs}
|
||||
\include{modules_EOLE_envole/tronc-commun-1/05-conteneurs-pratique}
|
||||
|
||||
\section{Fonctions de base d'Amon}
|
||||
\begin{frame}{Plan}
|
||||
|
@ -150,6 +150,8 @@
|
|||
\end{columns}
|
||||
\end{frame}
|
||||
\include{modules_EOLE_envole/amon/01-base}
|
||||
\include{modules_EOLE_envole/amon/06-relaidhcp}
|
||||
\include{modules_EOLE_envole/amon/08-radius}
|
||||
|
||||
\section{Les commandes à distances}
|
||||
\begin{frame}{Plan}
|
||||
|
@ -204,6 +206,21 @@
|
|||
\end{frame}
|
||||
\include{modules_EOLE_envole/amon/03-filtrage}
|
||||
|
||||
\section{Complément proxy}
|
||||
\begin{frame}{Plan}
|
||||
\begin{columns}[t]
|
||||
\begin{column}{5cm}
|
||||
\tableofcontents[sections={1-6},currentsection, hideothersubsections]
|
||||
\end{column}
|
||||
\begin{column}{5cm}
|
||||
\tableofcontents[sections={7-12},currentsection,hideothersubsections]
|
||||
\end{column}
|
||||
\end{columns}
|
||||
\end{frame}
|
||||
\include{modules_EOLE_envole/amon/06-deuxiemesquid}
|
||||
\include{modules_EOLE_envole/amon/06-exception}
|
||||
\include{modules_EOLE_envole/amon/06-log}
|
||||
|
||||
\section{Reverse proxy}
|
||||
\begin{frame}{Plan}
|
||||
\begin{columns}[t]
|
||||
|
|
|
@ -35,8 +35,8 @@
|
|||
\item ajouter une extrémité seven avec IP ;
|
||||
\item ajouter un groupe de services avec le service samba3, smtp et pop ;
|
||||
\item ajouter une plage horaire : du lundi au vendredi de 12h à 14h ;
|
||||
\item ajouter interdire le groupe + plage horaire de pedago vers l'extrémité Scribe ;
|
||||
\item ajouter une directive DNAT de Scribe vers 8500 ;
|
||||
\item ajouter interdire le groupe + plage horaire de pedago vers l'extrémité Seven;
|
||||
\item ajouter une directive DNAT de Seven vers 8500 ;
|
||||
\item enregistrer le fichier dans un nouveau modèle ;
|
||||
\item dans gen\_config modifier le modèle utilisé ;
|
||||
\item vérifier l'application des règles avec iptables-save.
|
||||
|
@ -59,6 +59,15 @@
|
|||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Pratique}
|
||||
\begin{itemize}
|
||||
\item Transformer la règle de DNAT en directive optionnelle activé par défaut ;
|
||||
\item reconfigure ;
|
||||
\item vérifier la présence de la règle dans l'EAD.
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Les directives optionnelles cachées}
|
||||
\begin{itemize}
|
||||
|
|
|
@ -63,13 +63,6 @@
|
|||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Pratique}
|
||||
\begin{itemize}
|
||||
\item Tester les différents types de filtrage ;
|
||||
\item voir l'action de signalement.
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
\begin{frame}
|
||||
\frametitle{Filtre des types MIME}
|
||||
\begin{itemize}
|
||||
|
@ -78,7 +71,15 @@
|
|||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Filtre par machine}{FIXME}
|
||||
\frametitle{Pratique}
|
||||
\begin{itemize}
|
||||
\item Tester les différents types de filtrage ;
|
||||
\item voir l'action de signalement.
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Filtre par machine}
|
||||
\begin{itemize}
|
||||
\item Filtrage par groupe de machine (IP) ;
|
||||
\item possibilités :
|
||||
|
@ -169,7 +170,7 @@
|
|||
\frametitle{Gérer au mieux les ressources}
|
||||
\begin{itemize}
|
||||
\item Ne pas activer trop de politiques de filtrage par défaut (0 à 3 politiques) ;
|
||||
\item ne pas démarrer trop d'instances Dansguardian (voir la configuration) ... ;
|
||||
\item ne pas démarrer trop d'instances e2guardian (voir la configuration) ... ;
|
||||
\item filtrage syntaxique (surtout sur la page entière) ;
|
||||
\item antivirus.
|
||||
\end{itemize}
|
||||
|
|
|
@ -5,11 +5,19 @@
|
|||
\item permet de rediriger :
|
||||
\begin{itemize}
|
||||
\item SSO,
|
||||
\item administration Envole 2.0,
|
||||
\item EAD du Scribe (port 4203),
|
||||
\item HTTP,
|
||||
\item HTTPS ;
|
||||
\end{itemize}
|
||||
\item si on redirige le SSO, il ne faut pas l'activer sur l'Amon.
|
||||
\item si on redirige le SSO, il ne faut pas l'activer sur l'Amon ;
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Reverse proxy : avancé}
|
||||
\begin{itemize}
|
||||
\item gestion d'un nom de domaine par défaut ;
|
||||
\item les certificats signés par une autorité reconnus doivent être placé sur l'Amon.
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
|
|
|
@ -0,0 +1,15 @@
|
|||
\begin{frame}
|
||||
\frametitle{Double authentification}
|
||||
\begin{itemize}
|
||||
\item deuxième instance de Squid permet une double authentification ;
|
||||
\item port 3128 authentification NTLM ;
|
||||
\item port 3129 authentification LDAP.
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Pratique}
|
||||
\begin{itemize}
|
||||
\item Activer la deuxième instance de Squid et la mettre en LDAP.
|
||||
\end{itemize}
|
||||
\end{frame}
|
|
@ -0,0 +1,32 @@
|
|||
\begin{frame}
|
||||
\frametitle{Exceptions Proxy}
|
||||
\begin{itemize}
|
||||
\item Exception sur une destination :
|
||||
\begin{itemize}
|
||||
\item une adresse IP ou une plage d'adresses IP de destination (Era + WPAD),
|
||||
\item domaine de destination (Era + WPAD) ;
|
||||
\end{itemize}
|
||||
\item conséquence :
|
||||
\begin{itemize}
|
||||
\item pour les sites non compatibles proxy,
|
||||
\item pas de filtrage et pas de journaux,
|
||||
\item pour les noms de domaine => résolution du nom à la création de la règle ;
|
||||
\end{itemize}
|
||||
\item exception d'authentification des domaines :
|
||||
\begin{itemize}
|
||||
\item si WPAD + cNTLM => direct 3128,
|
||||
\item domaines commençants par un . : le domaine et les sous-domaines pas authentifiés ;
|
||||
\end{itemize}
|
||||
\item sur un nom d'hôte WPAD.
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Pratique}
|
||||
\begin{itemize}
|
||||
\item Ajouter une exception au proxy sur une IP ;
|
||||
\item ajouter une exception sur le domaine pcll.ac-dijon.fr ;
|
||||
\item regarder les logs ;
|
||||
\item ajouter une exception d'authentification pour le domaine .free.fr.
|
||||
\end{itemize}
|
||||
\end{frame}
|
|
@ -0,0 +1,19 @@
|
|||
\begin{frame}
|
||||
\frametitle{Consultation des journaux}
|
||||
\begin{itemize}
|
||||
\item Les journaux sont conservés un an ;
|
||||
\item deux journaux sont importants (informations différentes) :
|
||||
\begin{itemize}
|
||||
\item dans le répertoire : /var/log/rsyslog/local/e2guardian/ pour le filtrage,
|
||||
\item dans le répertoire : /var/log/rsyslog/local/squid/ pour le cache / authentification ;
|
||||
\end{itemize}
|
||||
\item .
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Pratique}
|
||||
\begin{itemize}
|
||||
\item Regarder les journaux.
|
||||
\end{itemize}
|
||||
\end{frame}
|
|
@ -32,7 +32,8 @@
|
|||
\frametitle{Observation}
|
||||
\begin{itemize}
|
||||
\item Action EAD désactivé par défaut ;
|
||||
\item activable dans l'onglet "Dansguardian" "Autoriser la consultation des logs de Dansguardian dans l'EAD" ;
|
||||
\item activable en mode expert dans l'onglet "Filtrage web" / "Autoriser la consultation des logs liés au filtrage web dans l'EAD" ;
|
||||
\item action EAD : "Filtre Web 1" / "Visite de site" ;
|
||||
\item il est possible de visualiser des logs par :
|
||||
\begin{itemize}
|
||||
\item date (obligatoire)
|
||||
|
|
|
@ -0,0 +1,15 @@
|
|||
\begin{frame}
|
||||
\frametitle{Relai DHCP}
|
||||
\begin{itemize}
|
||||
\item Le protocole DHCP fonctionne en utilisant un mécanisme de broadcast (pas routables) ;
|
||||
\item nécessaire si serveur et station ne sont pas sur le même réseau ;
|
||||
\item relai DHCP non disponible sur AmonEcole.
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Pratique}
|
||||
\begin{itemize}
|
||||
\item Voir les configurations possible pour DHCP relai.
|
||||
\end{itemize}
|
||||
\end{frame}
|
|
@ -0,0 +1,18 @@
|
|||
\begin{frame}
|
||||
\frametitle{RADIUS}
|
||||
\begin{itemize}
|
||||
\item choisir entre 2 modes d'utilisation de RADIUS :
|
||||
\item 802.1X :
|
||||
\begin{itemize}
|
||||
\item 802.1X : permet de taguer dynamiquement des ports d'un switch (NAS) sur lesquels sont brassées des stations en fonction du compte LDAP de connexion,
|
||||
\item accounting : permet de créer un réseau Wi-Fi WPA enterprise sur une borne Wi-Fi (NAS).
|
||||
\end{itemize}
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Pratique}
|
||||
\begin{itemize}
|
||||
\item Voir les configurations possible de RADIUS.
|
||||
\end{itemize}
|
||||
\end{frame}
|
|
@ -3,7 +3,7 @@
|
|||
\begin{itemize}
|
||||
\item Présentation de l'interface :
|
||||
\begin{itemize}
|
||||
\item accessible après instanciation sur le port 7000 (si autorisé),
|
||||
\item accessible après instanciation sur le port https://ip\_server:7000/genconfig/ (si autorisé),
|
||||
\item nécessite une authentification,
|
||||
\item barre de menu,
|
||||
\item les familles,
|
||||
|
|
|
@ -5,7 +5,7 @@
|
|||
\begin{enumerate}
|
||||
\item démarrer sur l'iso téléchargée sur le site d'EOLE (gravée sur CD-ROM ou copiée sur clé USB),
|
||||
\item sélectionner le module à installer parmi ceux proposés et valider,
|
||||
\item possibilité de partitionner le serveur (obligatoire sur eolebase et avec serveur ayant plus d'un disque),
|
||||
\item possibilité de partitionner le serveur maintenant sur tous les modules,
|
||||
% \item installer manuellement des modules noyaux DKMS si nécessaire,
|
||||
\item valider le bouton \emph{continuer} à la fin de l'installation,
|
||||
\item ouvrir une session avec l'utilisateur \emph{root} et le mot de passe par défaut présenté à l'écran,
|
||||
|
|
Loading…
Reference in New Issue