diff --git a/modules_EOLE_envole/amon-sphynx.tex b/modules_EOLE_envole/amon-sphynx.tex index dfcad61..004e5f6 100644 --- a/modules_EOLE_envole/amon-sphynx.tex +++ b/modules_EOLE_envole/amon-sphynx.tex @@ -49,9 +49,9 @@ \setbeamertemplate{background}{\includegraphics[width=128mm]{beamer-skel/img/bg-cadoles-2.png}} \title[]{Formation Amon Sphynx} -\subtitle{Vice-rectorat de la Nouvelle-Calédonie} +\subtitle{Formation Cadoles} -\author[Equipe Auteur]{Philippe Caseiro} +\author[Equipe Auteur]{Emmanuel Garette} \institute[Cadoles]{\includegraphics[width=1cm]{beamer-skel/img/logo-cadoles-01.png}} @@ -117,7 +117,6 @@ \include{modules_EOLE_envole/commun/02-quatre_phases} \include{modules_EOLE_envole/amon/00-virtualbox} -\include{modules_EOLE_envole/tronc-commun-1/05-conteneurs-pratique} \include{modules_EOLE_envole/commun/02-gen_config} \include{modules_EOLE_envole/commun/02-quatre_phases-pratique} @@ -137,6 +136,7 @@ \include{modules_EOLE_envole/commun/04-diagnose} \include{modules_EOLE_envole/commun/04-diagnose-pratique} \include{modules_EOLE_envole/tronc-commun-1/05-conteneurs} +\include{modules_EOLE_envole/tronc-commun-1/05-conteneurs-pratique} \section{Fonctions de base d'Amon} \begin{frame}{Plan} @@ -150,6 +150,8 @@ \end{columns} \end{frame} \include{modules_EOLE_envole/amon/01-base} +\include{modules_EOLE_envole/amon/06-relaidhcp} +\include{modules_EOLE_envole/amon/08-radius} \section{Les commandes à distances} \begin{frame}{Plan} @@ -204,6 +206,21 @@ \end{frame} \include{modules_EOLE_envole/amon/03-filtrage} +\section{Complément proxy} +\begin{frame}{Plan} + \begin{columns}[t] + \begin{column}{5cm} + \tableofcontents[sections={1-6},currentsection, hideothersubsections] + \end{column} + \begin{column}{5cm} + \tableofcontents[sections={7-12},currentsection,hideothersubsections] + \end{column} + \end{columns} +\end{frame} +\include{modules_EOLE_envole/amon/06-deuxiemesquid} +\include{modules_EOLE_envole/amon/06-exception} +\include{modules_EOLE_envole/amon/06-log} + \section{Reverse proxy} \begin{frame}{Plan} \begin{columns}[t] diff --git a/modules_EOLE_envole/amon/02-era.tex b/modules_EOLE_envole/amon/02-era.tex index 006db12..91b6b65 100644 --- a/modules_EOLE_envole/amon/02-era.tex +++ b/modules_EOLE_envole/amon/02-era.tex @@ -35,8 +35,8 @@ \item ajouter une extrémité seven avec IP ; \item ajouter un groupe de services avec le service samba3, smtp et pop ; \item ajouter une plage horaire : du lundi au vendredi de 12h à 14h ; - \item ajouter interdire le groupe + plage horaire de pedago vers l'extrémité Scribe ; - \item ajouter une directive DNAT de Scribe vers 8500 ; + \item ajouter interdire le groupe + plage horaire de pedago vers l'extrémité Seven; + \item ajouter une directive DNAT de Seven vers 8500 ; \item enregistrer le fichier dans un nouveau modèle ; \item dans gen\_config modifier le modèle utilisé ; \item vérifier l'application des règles avec iptables-save. @@ -59,6 +59,15 @@ \end{itemize} \end{frame} +\begin{frame} + \frametitle{Pratique} + \begin{itemize} + \item Transformer la règle de DNAT en directive optionnelle activé par défaut ; + \item reconfigure ; + \item vérifier la présence de la règle dans l'EAD. + \end{itemize} +\end{frame} + \begin{frame} \frametitle{Les directives optionnelles cachées} \begin{itemize} diff --git a/modules_EOLE_envole/amon/03-filtrage.tex b/modules_EOLE_envole/amon/03-filtrage.tex index 0febec7..8a90c92 100644 --- a/modules_EOLE_envole/amon/03-filtrage.tex +++ b/modules_EOLE_envole/amon/03-filtrage.tex @@ -63,13 +63,6 @@ \end{itemize} \end{frame} -\begin{frame} - \frametitle{Pratique} - \begin{itemize} - \item Tester les différents types de filtrage ; - \item voir l'action de signalement. - \end{itemize} -\end{frame} \begin{frame} \frametitle{Filtre des types MIME} \begin{itemize} @@ -78,7 +71,15 @@ \end{frame} \begin{frame} - \frametitle{Filtre par machine}{FIXME} + \frametitle{Pratique} + \begin{itemize} + \item Tester les différents types de filtrage ; + \item voir l'action de signalement. + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Filtre par machine} \begin{itemize} \item Filtrage par groupe de machine (IP) ; \item possibilités : @@ -169,7 +170,7 @@ \frametitle{Gérer au mieux les ressources} \begin{itemize} \item Ne pas activer trop de politiques de filtrage par défaut (0 à 3 politiques) ; - \item ne pas démarrer trop d'instances Dansguardian (voir la configuration) ... ; + \item ne pas démarrer trop d'instances e2guardian (voir la configuration) ... ; \item filtrage syntaxique (surtout sur la page entière) ; \item antivirus. \end{itemize} diff --git a/modules_EOLE_envole/amon/05-reverseproxy.tex b/modules_EOLE_envole/amon/05-reverseproxy.tex index fc633bf..1cc75eb 100644 --- a/modules_EOLE_envole/amon/05-reverseproxy.tex +++ b/modules_EOLE_envole/amon/05-reverseproxy.tex @@ -5,11 +5,19 @@ \item permet de rediriger : \begin{itemize} \item SSO, - \item administration Envole 2.0, + \item EAD du Scribe (port 4203), \item HTTP, \item HTTPS ; \end{itemize} - \item si on redirige le SSO, il ne faut pas l'activer sur l'Amon. + \item si on redirige le SSO, il ne faut pas l'activer sur l'Amon ; + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Reverse proxy : avancé} + \begin{itemize} + \item gestion d'un nom de domaine par défaut ; + \item les certificats signés par une autorité reconnus doivent être placé sur l'Amon. \end{itemize} \end{frame} diff --git a/modules_EOLE_envole/amon/06-deuxiemesquid.tex b/modules_EOLE_envole/amon/06-deuxiemesquid.tex new file mode 100644 index 0000000..9390a26 --- /dev/null +++ b/modules_EOLE_envole/amon/06-deuxiemesquid.tex @@ -0,0 +1,15 @@ +\begin{frame} + \frametitle{Double authentification} + \begin{itemize} + \item deuxième instance de Squid permet une double authentification ; + \item port 3128 authentification NTLM ; + \item port 3129 authentification LDAP. + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Pratique} + \begin{itemize} + \item Activer la deuxième instance de Squid et la mettre en LDAP. + \end{itemize} +\end{frame} diff --git a/modules_EOLE_envole/amon/06-exception.tex b/modules_EOLE_envole/amon/06-exception.tex new file mode 100644 index 0000000..95f94da --- /dev/null +++ b/modules_EOLE_envole/amon/06-exception.tex @@ -0,0 +1,32 @@ +\begin{frame} + \frametitle{Exceptions Proxy} + \begin{itemize} + \item Exception sur une destination : + \begin{itemize} + \item une adresse IP ou une plage d'adresses IP de destination (Era + WPAD), + \item domaine de destination (Era + WPAD) ; + \end{itemize} + \item conséquence : + \begin{itemize} + \item pour les sites non compatibles proxy, + \item pas de filtrage et pas de journaux, + \item pour les noms de domaine => résolution du nom à la création de la règle ; + \end{itemize} + \item exception d'authentification des domaines : + \begin{itemize} + \item si WPAD + cNTLM => direct 3128, + \item domaines commençants par un . : le domaine et les sous-domaines pas authentifiés ; + \end{itemize} + \item sur un nom d'hôte WPAD. + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Pratique} + \begin{itemize} + \item Ajouter une exception au proxy sur une IP ; + \item ajouter une exception sur le domaine pcll.ac-dijon.fr ; + \item regarder les logs ; + \item ajouter une exception d'authentification pour le domaine .free.fr. + \end{itemize} +\end{frame} diff --git a/modules_EOLE_envole/amon/06-log.tex b/modules_EOLE_envole/amon/06-log.tex new file mode 100644 index 0000000..d7a4189 --- /dev/null +++ b/modules_EOLE_envole/amon/06-log.tex @@ -0,0 +1,19 @@ +\begin{frame} + \frametitle{Consultation des journaux} + \begin{itemize} + \item Les journaux sont conservés un an ; + \item deux journaux sont importants (informations différentes) : + \begin{itemize} + \item dans le répertoire : /var/log/rsyslog/local/e2guardian/ pour le filtrage, + \item dans le répertoire : /var/log/rsyslog/local/squid/ pour le cache / authentification ; + \end{itemize} + \item . + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Pratique} + \begin{itemize} + \item Regarder les journaux. + \end{itemize} +\end{frame} diff --git a/modules_EOLE_envole/amon/06-proxy.tex b/modules_EOLE_envole/amon/06-proxy.tex index faebaa7..bfca7f8 100644 --- a/modules_EOLE_envole/amon/06-proxy.tex +++ b/modules_EOLE_envole/amon/06-proxy.tex @@ -32,7 +32,8 @@ \frametitle{Observation} \begin{itemize} \item Action EAD désactivé par défaut ; - \item activable dans l'onglet "Dansguardian" "Autoriser la consultation des logs de Dansguardian dans l'EAD" ; + \item activable en mode expert dans l'onglet "Filtrage web" / "Autoriser la consultation des logs liés au filtrage web dans l'EAD" ; + \item action EAD : "Filtre Web 1" / "Visite de site" ; \item il est possible de visualiser des logs par : \begin{itemize} \item date (obligatoire) diff --git a/modules_EOLE_envole/amon/06-relaidhcp.tex b/modules_EOLE_envole/amon/06-relaidhcp.tex new file mode 100644 index 0000000..da55a74 --- /dev/null +++ b/modules_EOLE_envole/amon/06-relaidhcp.tex @@ -0,0 +1,15 @@ +\begin{frame} + \frametitle{Relai DHCP} + \begin{itemize} + \item Le protocole DHCP fonctionne en utilisant un mécanisme de broadcast (pas routables) ; + \item nécessaire si serveur et station ne sont pas sur le même réseau ; + \item relai DHCP non disponible sur AmonEcole. + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Pratique} + \begin{itemize} + \item Voir les configurations possible pour DHCP relai. + \end{itemize} +\end{frame} diff --git a/modules_EOLE_envole/amon/07-dns.tex b/modules_EOLE_envole/amon/07-dns.tex deleted file mode 100644 index e69de29..0000000 diff --git a/modules_EOLE_envole/amon/08-radius.tex b/modules_EOLE_envole/amon/08-radius.tex new file mode 100644 index 0000000..e4c0d92 --- /dev/null +++ b/modules_EOLE_envole/amon/08-radius.tex @@ -0,0 +1,18 @@ +\begin{frame} + \frametitle{RADIUS} + \begin{itemize} + \item choisir entre 2 modes d'utilisation de RADIUS : + \item 802.1X : + \begin{itemize} + \item 802.1X : permet de taguer dynamiquement des ports d'un switch (NAS) sur lesquels sont brassées des stations en fonction du compte LDAP de connexion, + \item accounting : permet de créer un réseau Wi-Fi WPA enterprise sur une borne Wi-Fi (NAS). + \end{itemize} + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Pratique} + \begin{itemize} + \item Voir les configurations possible de RADIUS. + \end{itemize} +\end{frame} diff --git a/modules_EOLE_envole/commun/02-gen_config.tex b/modules_EOLE_envole/commun/02-gen_config.tex index fa79b01..3f8c31f 100644 --- a/modules_EOLE_envole/commun/02-gen_config.tex +++ b/modules_EOLE_envole/commun/02-gen_config.tex @@ -3,7 +3,7 @@ \begin{itemize} \item Présentation de l'interface : \begin{itemize} - \item accessible après instanciation sur le port 7000 (si autorisé), + \item accessible après instanciation sur le port https://ip\_server:7000/genconfig/ (si autorisé), \item nécessite une authentification, \item barre de menu, \item les familles, diff --git a/modules_EOLE_envole/commun/02-quatre_phases.tex b/modules_EOLE_envole/commun/02-quatre_phases.tex index 32c3a55..843347e 100644 --- a/modules_EOLE_envole/commun/02-quatre_phases.tex +++ b/modules_EOLE_envole/commun/02-quatre_phases.tex @@ -5,7 +5,7 @@ \begin{enumerate} \item démarrer sur l'iso téléchargée sur le site d'EOLE (gravée sur CD-ROM ou copiée sur clé USB), \item sélectionner le module à installer parmi ceux proposés et valider, - \item possibilité de partitionner le serveur (obligatoire sur eolebase et avec serveur ayant plus d'un disque), + \item possibilité de partitionner le serveur maintenant sur tous les modules, % \item installer manuellement des modules noyaux DKMS si nécessaire, \item valider le bouton \emph{continuer} à la fin de l'installation, \item ouvrir une session avec l'utilisateur \emph{root} et le mot de passe par défaut présenté à l'écran,