maj formation amon

This commit is contained in:
Emmanuel Garette 2017-03-23 17:47:38 +01:00 committed by Benjamin Bohard
parent 603bbf6bf1
commit 9f706ad27b
13 changed files with 154 additions and 19 deletions

View File

@ -49,9 +49,9 @@
\setbeamertemplate{background}{\includegraphics[width=128mm]{beamer-skel/img/bg-cadoles-2.png}} \setbeamertemplate{background}{\includegraphics[width=128mm]{beamer-skel/img/bg-cadoles-2.png}}
\title[]{Formation Amon Sphynx} \title[]{Formation Amon Sphynx}
\subtitle{Vice-rectorat de la Nouvelle-Calédonie} \subtitle{Formation Cadoles}
\author[Equipe Auteur]{Philippe Caseiro} \author[Equipe Auteur]{Emmanuel Garette}
\institute[Cadoles]{\includegraphics[width=1cm]{beamer-skel/img/logo-cadoles-01.png}} \institute[Cadoles]{\includegraphics[width=1cm]{beamer-skel/img/logo-cadoles-01.png}}
@ -117,7 +117,6 @@
\include{modules_EOLE_envole/commun/02-quatre_phases} \include{modules_EOLE_envole/commun/02-quatre_phases}
\include{modules_EOLE_envole/amon/00-virtualbox} \include{modules_EOLE_envole/amon/00-virtualbox}
\include{modules_EOLE_envole/tronc-commun-1/05-conteneurs-pratique}
\include{modules_EOLE_envole/commun/02-gen_config} \include{modules_EOLE_envole/commun/02-gen_config}
\include{modules_EOLE_envole/commun/02-quatre_phases-pratique} \include{modules_EOLE_envole/commun/02-quatre_phases-pratique}
@ -137,6 +136,7 @@
\include{modules_EOLE_envole/commun/04-diagnose} \include{modules_EOLE_envole/commun/04-diagnose}
\include{modules_EOLE_envole/commun/04-diagnose-pratique} \include{modules_EOLE_envole/commun/04-diagnose-pratique}
\include{modules_EOLE_envole/tronc-commun-1/05-conteneurs} \include{modules_EOLE_envole/tronc-commun-1/05-conteneurs}
\include{modules_EOLE_envole/tronc-commun-1/05-conteneurs-pratique}
\section{Fonctions de base d'Amon} \section{Fonctions de base d'Amon}
\begin{frame}{Plan} \begin{frame}{Plan}
@ -150,6 +150,8 @@
\end{columns} \end{columns}
\end{frame} \end{frame}
\include{modules_EOLE_envole/amon/01-base} \include{modules_EOLE_envole/amon/01-base}
\include{modules_EOLE_envole/amon/06-relaidhcp}
\include{modules_EOLE_envole/amon/08-radius}
\section{Les commandes à distances} \section{Les commandes à distances}
\begin{frame}{Plan} \begin{frame}{Plan}
@ -204,6 +206,21 @@
\end{frame} \end{frame}
\include{modules_EOLE_envole/amon/03-filtrage} \include{modules_EOLE_envole/amon/03-filtrage}
\section{Complément proxy}
\begin{frame}{Plan}
\begin{columns}[t]
\begin{column}{5cm}
\tableofcontents[sections={1-6},currentsection, hideothersubsections]
\end{column}
\begin{column}{5cm}
\tableofcontents[sections={7-12},currentsection,hideothersubsections]
\end{column}
\end{columns}
\end{frame}
\include{modules_EOLE_envole/amon/06-deuxiemesquid}
\include{modules_EOLE_envole/amon/06-exception}
\include{modules_EOLE_envole/amon/06-log}
\section{Reverse proxy} \section{Reverse proxy}
\begin{frame}{Plan} \begin{frame}{Plan}
\begin{columns}[t] \begin{columns}[t]

View File

@ -35,8 +35,8 @@
\item ajouter une extrémité seven avec IP ; \item ajouter une extrémité seven avec IP ;
\item ajouter un groupe de services avec le service samba3, smtp et pop ; \item ajouter un groupe de services avec le service samba3, smtp et pop ;
\item ajouter une plage horaire : du lundi au vendredi de 12h à 14h ; \item ajouter une plage horaire : du lundi au vendredi de 12h à 14h ;
\item ajouter interdire le groupe + plage horaire de pedago vers l'extrémité Scribe ; \item ajouter interdire le groupe + plage horaire de pedago vers l'extrémité Seven;
\item ajouter une directive DNAT de Scribe vers 8500 ; \item ajouter une directive DNAT de Seven vers 8500 ;
\item enregistrer le fichier dans un nouveau modèle ; \item enregistrer le fichier dans un nouveau modèle ;
\item dans gen\_config modifier le modèle utilisé ; \item dans gen\_config modifier le modèle utilisé ;
\item vérifier l'application des règles avec iptables-save. \item vérifier l'application des règles avec iptables-save.
@ -59,6 +59,15 @@
\end{itemize} \end{itemize}
\end{frame} \end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Transformer la règle de DNAT en directive optionnelle activé par défaut ;
\item reconfigure ;
\item vérifier la présence de la règle dans l'EAD.
\end{itemize}
\end{frame}
\begin{frame} \begin{frame}
\frametitle{Les directives optionnelles cachées} \frametitle{Les directives optionnelles cachées}
\begin{itemize} \begin{itemize}

View File

@ -63,13 +63,6 @@
\end{itemize} \end{itemize}
\end{frame} \end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Tester les différents types de filtrage ;
\item voir l'action de signalement.
\end{itemize}
\end{frame}
\begin{frame} \begin{frame}
\frametitle{Filtre des types MIME} \frametitle{Filtre des types MIME}
\begin{itemize} \begin{itemize}
@ -78,7 +71,15 @@
\end{frame} \end{frame}
\begin{frame} \begin{frame}
\frametitle{Filtre par machine}{FIXME} \frametitle{Pratique}
\begin{itemize}
\item Tester les différents types de filtrage ;
\item voir l'action de signalement.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Filtre par machine}
\begin{itemize} \begin{itemize}
\item Filtrage par groupe de machine (IP) ; \item Filtrage par groupe de machine (IP) ;
\item possibilités : \item possibilités :
@ -169,7 +170,7 @@
\frametitle{Gérer au mieux les ressources} \frametitle{Gérer au mieux les ressources}
\begin{itemize} \begin{itemize}
\item Ne pas activer trop de politiques de filtrage par défaut (0 à 3 politiques) ; \item Ne pas activer trop de politiques de filtrage par défaut (0 à 3 politiques) ;
\item ne pas démarrer trop d'instances Dansguardian (voir la configuration) ... ; \item ne pas démarrer trop d'instances e2guardian (voir la configuration) ... ;
\item filtrage syntaxique (surtout sur la page entière) ; \item filtrage syntaxique (surtout sur la page entière) ;
\item antivirus. \item antivirus.
\end{itemize} \end{itemize}

View File

@ -5,11 +5,19 @@
\item permet de rediriger : \item permet de rediriger :
\begin{itemize} \begin{itemize}
\item SSO, \item SSO,
\item administration Envole 2.0, \item EAD du Scribe (port 4203),
\item HTTP, \item HTTP,
\item HTTPS ; \item HTTPS ;
\end{itemize} \end{itemize}
\item si on redirige le SSO, il ne faut pas l'activer sur l'Amon. \item si on redirige le SSO, il ne faut pas l'activer sur l'Amon ;
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Reverse proxy : avancé}
\begin{itemize}
\item gestion d'un nom de domaine par défaut ;
\item les certificats signés par une autorité reconnus doivent être placé sur l'Amon.
\end{itemize} \end{itemize}
\end{frame} \end{frame}

View File

@ -0,0 +1,15 @@
\begin{frame}
\frametitle{Double authentification}
\begin{itemize}
\item deuxième instance de Squid permet une double authentification ;
\item port 3128 authentification NTLM ;
\item port 3129 authentification LDAP.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Activer la deuxième instance de Squid et la mettre en LDAP.
\end{itemize}
\end{frame}

View File

@ -0,0 +1,32 @@
\begin{frame}
\frametitle{Exceptions Proxy}
\begin{itemize}
\item Exception sur une destination :
\begin{itemize}
\item une adresse IP ou une plage d'adresses IP de destination (Era + WPAD),
\item domaine de destination (Era + WPAD) ;
\end{itemize}
\item conséquence :
\begin{itemize}
\item pour les sites non compatibles proxy,
\item pas de filtrage et pas de journaux,
\item pour les noms de domaine => résolution du nom à la création de la règle ;
\end{itemize}
\item exception d'authentification des domaines :
\begin{itemize}
\item si WPAD + cNTLM => direct 3128,
\item domaines commençants par un . : le domaine et les sous-domaines pas authentifiés ;
\end{itemize}
\item sur un nom d'hôte WPAD.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Ajouter une exception au proxy sur une IP ;
\item ajouter une exception sur le domaine pcll.ac-dijon.fr ;
\item regarder les logs ;
\item ajouter une exception d'authentification pour le domaine .free.fr.
\end{itemize}
\end{frame}

View File

@ -0,0 +1,19 @@
\begin{frame}
\frametitle{Consultation des journaux}
\begin{itemize}
\item Les journaux sont conservés un an ;
\item deux journaux sont importants (informations différentes) :
\begin{itemize}
\item dans le répertoire : /var/log/rsyslog/local/e2guardian/ pour le filtrage,
\item dans le répertoire : /var/log/rsyslog/local/squid/ pour le cache / authentification ;
\end{itemize}
\item .
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Regarder les journaux.
\end{itemize}
\end{frame}

View File

@ -32,7 +32,8 @@
\frametitle{Observation} \frametitle{Observation}
\begin{itemize} \begin{itemize}
\item Action EAD désactivé par défaut ; \item Action EAD désactivé par défaut ;
\item activable dans l'onglet "Dansguardian" "Autoriser la consultation des logs de Dansguardian dans l'EAD" ; \item activable en mode expert dans l'onglet "Filtrage web" / "Autoriser la consultation des logs liés au filtrage web dans l'EAD" ;
\item action EAD : "Filtre Web 1" / "Visite de site" ;
\item il est possible de visualiser des logs par : \item il est possible de visualiser des logs par :
\begin{itemize} \begin{itemize}
\item date (obligatoire) \item date (obligatoire)

View File

@ -0,0 +1,15 @@
\begin{frame}
\frametitle{Relai DHCP}
\begin{itemize}
\item Le protocole DHCP fonctionne en utilisant un mécanisme de broadcast (pas routables) ;
\item nécessaire si serveur et station ne sont pas sur le même réseau ;
\item relai DHCP non disponible sur AmonEcole.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Voir les configurations possible pour DHCP relai.
\end{itemize}
\end{frame}

View File

@ -0,0 +1,18 @@
\begin{frame}
\frametitle{RADIUS}
\begin{itemize}
\item choisir entre 2 modes d'utilisation de RADIUS :
\item 802.1X :
\begin{itemize}
\item 802.1X : permet de taguer dynamiquement des ports d'un switch (NAS) sur lesquels sont brassées des stations en fonction du compte LDAP de connexion,
\item accounting : permet de créer un réseau Wi-Fi WPA enterprise sur une borne Wi-Fi (NAS).
\end{itemize}
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Voir les configurations possible de RADIUS.
\end{itemize}
\end{frame}

View File

@ -3,7 +3,7 @@
\begin{itemize} \begin{itemize}
\item Présentation de l'interface : \item Présentation de l'interface :
\begin{itemize} \begin{itemize}
\item accessible après instanciation sur le port 7000 (si autorisé), \item accessible après instanciation sur le port https://ip\_server:7000/genconfig/ (si autorisé),
\item nécessite une authentification, \item nécessite une authentification,
\item barre de menu, \item barre de menu,
\item les familles, \item les familles,

View File

@ -5,7 +5,7 @@
\begin{enumerate} \begin{enumerate}
\item démarrer sur l'iso téléchargée sur le site d'EOLE (gravée sur CD-ROM ou copiée sur clé USB), \item démarrer sur l'iso téléchargée sur le site d'EOLE (gravée sur CD-ROM ou copiée sur clé USB),
\item sélectionner le module à installer parmi ceux proposés et valider, \item sélectionner le module à installer parmi ceux proposés et valider,
\item possibilité de partitionner le serveur (obligatoire sur eolebase et avec serveur ayant plus d'un disque), \item possibilité de partitionner le serveur maintenant sur tous les modules,
% \item installer manuellement des modules noyaux DKMS si nécessaire, % \item installer manuellement des modules noyaux DKMS si nécessaire,
\item valider le bouton \emph{continuer} à la fin de l'installation, \item valider le bouton \emph{continuer} à la fin de l'installation,
\item ouvrir une session avec l'utilisateur \emph{root} et le mot de passe par défaut présenté à l'écran, \item ouvrir une session avec l'utilisateur \emph{root} et le mot de passe par défaut présenté à l'écran,