maj formation amon

modules_EOLE_envole/amon-sphynx.tex

@@ -49,9 +49,9 @@
 \setbeamertemplate{background}{\includegraphics[width=128mm]{beamer-skel/img/bg-cadoles-2.png}}
 
 \title[]{Formation Amon Sphynx}
-\subtitle{Vice-rectorat de la Nouvelle-Calédonie}
+\subtitle{Formation Cadoles}
 
-\author[Equipe Auteur]{Philippe Caseiro}
+\author[Equipe Auteur]{Emmanuel Garette}
 
 \institute[Cadoles]{\includegraphics[width=1cm]{beamer-skel/img/logo-cadoles-01.png}}
 
@@ -117,7 +117,6 @@
 \include{modules_EOLE_envole/commun/02-quatre_phases}
 
 \include{modules_EOLE_envole/amon/00-virtualbox}
-\include{modules_EOLE_envole/tronc-commun-1/05-conteneurs-pratique}
 \include{modules_EOLE_envole/commun/02-gen_config}
 \include{modules_EOLE_envole/commun/02-quatre_phases-pratique}
 
@@ -137,6 +136,7 @@
 \include{modules_EOLE_envole/commun/04-diagnose}
 \include{modules_EOLE_envole/commun/04-diagnose-pratique}
 \include{modules_EOLE_envole/tronc-commun-1/05-conteneurs}
+\include{modules_EOLE_envole/tronc-commun-1/05-conteneurs-pratique}
 
 \section{Fonctions de base d'Amon}
 \begin{frame}{Plan}
@@ -150,6 +150,8 @@
  \end{columns}
 \end{frame}
 \include{modules_EOLE_envole/amon/01-base}
+\include{modules_EOLE_envole/amon/06-relaidhcp}
+\include{modules_EOLE_envole/amon/08-radius}
 
 \section{Les commandes à distances}
 \begin{frame}{Plan}
@@ -204,6 +206,21 @@
 \end{frame}
 \include{modules_EOLE_envole/amon/03-filtrage}
 
+\section{Complément proxy}
+\begin{frame}{Plan}
+ \begin{columns}[t]
+  \begin{column}{5cm}
+   \tableofcontents[sections={1-6},currentsection, hideothersubsections]
+  \end{column}
+  \begin{column}{5cm}
+   \tableofcontents[sections={7-12},currentsection,hideothersubsections]
+  \end{column}
+ \end{columns}
+\end{frame}
+\include{modules_EOLE_envole/amon/06-deuxiemesquid}
+\include{modules_EOLE_envole/amon/06-exception}
+\include{modules_EOLE_envole/amon/06-log}
+
 \section{Reverse proxy}
 \begin{frame}{Plan}
  \begin{columns}[t]

modules_EOLE_envole/amon/02-era.tex

@@ -35,8 +35,8 @@
   \item ajouter une extrémité seven avec IP ;
   \item ajouter un groupe de services avec le service samba3, smtp et pop ;
   \item ajouter une plage horaire : du lundi au vendredi de 12h à 14h ;
-  \item ajouter interdire le groupe + plage horaire de pedago vers l'extrémité Scribe ;
+  \item ajouter interdire le groupe + plage horaire de pedago vers l'extrémité Seven;
-  \item ajouter une directive DNAT de Scribe vers 8500 ;
+  \item ajouter une directive DNAT de Seven vers 8500 ;
   \item enregistrer le fichier dans un nouveau modèle ;
   \item dans gen\_config modifier le modèle utilisé ;
   \item vérifier l'application des règles avec iptables-save.
@@ -59,6 +59,15 @@
  \end{itemize}
 \end{frame}
 
+\begin{frame}
+ \frametitle{Pratique}
+ \begin{itemize}
+  \item Transformer la règle de DNAT en directive optionnelle activé par défaut ;
+  \item reconfigure ;
+  \item vérifier la présence de la règle dans l'EAD.
+ \end{itemize}
+\end{frame}
+
 \begin{frame}
  \frametitle{Les directives optionnelles cachées}
  \begin{itemize}

modules_EOLE_envole/amon/03-filtrage.tex

@@ -63,13 +63,6 @@
  \end{itemize}
 \end{frame}
 
-\begin{frame}
- \frametitle{Pratique}
- \begin{itemize}
-  \item Tester les différents types de filtrage ;
-  \item voir l'action de signalement.
- \end{itemize}
-\end{frame}
 \begin{frame}
  \frametitle{Filtre des types MIME}
  \begin{itemize}
@@ -78,7 +71,15 @@
 \end{frame}
 
 \begin{frame}
-  \frametitle{Filtre par machine}{FIXME}
+ \frametitle{Pratique}
+ \begin{itemize}
+  \item Tester les différents types de filtrage ;
+  \item voir l'action de signalement.
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+  \frametitle{Filtre par machine}
  \begin{itemize}
   \item Filtrage par groupe de machine (IP) ;
   \item possibilités :
@@ -169,7 +170,7 @@
  \frametitle{Gérer au mieux les ressources}
  \begin{itemize}
   \item Ne pas activer trop de politiques de filtrage par défaut (0 à 3 politiques) ;
-  \item ne pas démarrer trop d'instances Dansguardian (voir la configuration) ... ;
+  \item ne pas démarrer trop d'instances e2guardian (voir la configuration) ... ;
   \item filtrage syntaxique (surtout sur la page entière) ;
   \item antivirus.
  \end{itemize}

modules_EOLE_envole/amon/05-reverseproxy.tex

@@ -5,11 +5,19 @@
   \item permet de rediriger :
   \begin{itemize}
    \item SSO,
-   \item administration Envole 2.0,
+   \item EAD du Scribe (port 4203),
    \item HTTP,
    \item HTTPS ;
   \end{itemize}
-  \item si on redirige le SSO, il ne faut pas l'activer sur l'Amon.
+  \item si on redirige le SSO, il ne faut pas l'activer sur l'Amon ;
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Reverse proxy : avancé}
+ \begin{itemize}
+  \item gestion d'un nom de domaine par défaut ;
+  \item les certificats signés par une autorité reconnus doivent être placé sur l'Amon.
  \end{itemize}
 \end{frame}
 

modules_EOLE_envole/amon/06-deuxiemesquid.tex

@@ -0,0 +1,15 @@
+\begin{frame}
+ \frametitle{Double authentification}
+ \begin{itemize}
+  \item deuxième instance de Squid permet une double authentification ;
+  \item port 3128 authentification NTLM ;
+  \item port 3129 authentification LDAP.
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Pratique}
+ \begin{itemize}
+  \item Activer la deuxième instance de Squid et la mettre en LDAP.
+ \end{itemize}
+\end{frame}

modules_EOLE_envole/amon/06-exception.tex

@@ -0,0 +1,32 @@
+\begin{frame}
+ \frametitle{Exceptions Proxy}
+ \begin{itemize}
+  \item Exception sur une destination :
+  \begin{itemize}
+   \item une adresse IP ou une plage d'adresses IP de destination (Era + WPAD),
+   \item domaine de destination (Era + WPAD) ;
+  \end{itemize}
+  \item conséquence :
+  \begin{itemize}
+   \item pour les sites non compatibles proxy,
+   \item pas de filtrage et pas de journaux,
+   \item pour les noms de domaine => résolution du nom à la création de la règle ;
+  \end{itemize}
+  \item exception d'authentification des domaines :
+  \begin{itemize}
+   \item si WPAD + cNTLM => direct 3128,
+   \item domaines commençants par un . : le domaine et les sous-domaines pas authentifiés ;
+  \end{itemize}
+  \item sur un nom d'hôte WPAD.
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Pratique}
+ \begin{itemize}
+  \item Ajouter une exception au proxy sur une IP ;
+  \item ajouter une exception sur le domaine pcll.ac-dijon.fr ;
+  \item regarder les logs ;
+  \item ajouter une exception d'authentification pour le domaine .free.fr.
+ \end{itemize}
+\end{frame}

modules_EOLE_envole/amon/06-log.tex

@@ -0,0 +1,19 @@
+\begin{frame}
+ \frametitle{Consultation des journaux}
+ \begin{itemize}
+  \item Les journaux sont conservés un an ;
+  \item deux journaux sont importants (informations différentes) :
+  \begin{itemize}
+  \item dans le répertoire : /var/log/rsyslog/local/e2guardian/ pour le filtrage,
+  \item dans le répertoire : /var/log/rsyslog/local/squid/ pour le cache / authentification ;
+  \end{itemize}
+  \item .
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Pratique}
+ \begin{itemize}
+  \item Regarder les journaux.
+ \end{itemize}
+\end{frame}

modules_EOLE_envole/amon/06-proxy.tex

@@ -32,7 +32,8 @@
  \frametitle{Observation}
  \begin{itemize}
   \item Action EAD désactivé par défaut ;
-  \item activable dans l'onglet "Dansguardian" "Autoriser la consultation des logs de Dansguardian dans l'EAD" ;
+  \item activable en mode expert dans l'onglet "Filtrage web" / "Autoriser la consultation des logs liés au filtrage web dans l'EAD" ;
+  \item action EAD : "Filtre Web 1" / "Visite de site" ;
   \item il est possible de visualiser des logs par :
   \begin{itemize}
    \item date (obligatoire)

modules_EOLE_envole/amon/06-relaidhcp.tex

@@ -0,0 +1,15 @@
+\begin{frame}
+ \frametitle{Relai DHCP}
+ \begin{itemize}
+  \item Le protocole DHCP fonctionne en utilisant un mécanisme de broadcast (pas routables) ;
+  \item nécessaire si serveur et station ne sont pas sur le même réseau ;
+  \item relai DHCP non disponible sur AmonEcole.
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Pratique}
+ \begin{itemize}
+  \item Voir les configurations possible pour DHCP relai.
+ \end{itemize}
+\end{frame}

modules_EOLE_envole/amon/08-radius.tex

@@ -0,0 +1,18 @@
+\begin{frame}
+ \frametitle{RADIUS}
+ \begin{itemize}
+  \item choisir entre 2 modes d'utilisation de RADIUS :
+  \item 802.1X : 
+  \begin{itemize}
+   \item 802.1X : permet de taguer dynamiquement des ports d'un switch (NAS) sur lesquels sont brassées des stations en fonction du compte LDAP de connexion,
+   \item accounting : permet de créer un réseau Wi-Fi WPA enterprise sur une borne Wi-Fi (NAS).
+  \end{itemize}
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Pratique}
+ \begin{itemize}
+  \item Voir les configurations possible de RADIUS.
+ \end{itemize}
+\end{frame}

modules_EOLE_envole/commun/02-gen_config.tex

@@ -3,7 +3,7 @@
  \begin{itemize}
   \item Présentation de l'interface :
   \begin{itemize}
-   \item accessible après instanciation sur le port 7000 (si autorisé),
+   \item accessible après instanciation sur le port https://ip\_server:7000/genconfig/ (si autorisé),
    \item nécessite une authentification,
    \item barre de menu,
    \item les familles,

modules_EOLE_envole/commun/02-quatre_phases.tex

@@ -5,7 +5,7 @@
    \begin{enumerate}
     \item démarrer sur l'iso téléchargée sur le site d'EOLE (gravée sur CD-ROM ou copiée sur clé USB),
     \item sélectionner le module à installer parmi ceux proposés et valider,
-    \item possibilité de partitionner le serveur (obligatoire sur eolebase et avec serveur ayant plus d'un disque),
+    \item possibilité de partitionner le serveur maintenant sur tous les modules,
 %    \item installer manuellement des modules noyaux DKMS si nécessaire,
     \item valider le bouton \emph{continuer} à la fin de l'installation,
     \item ouvrir une session avec l'utilisateur \emph{root} et le mot de passe par défaut présenté à l'écran,