Guide utilisateur OpenNAS

Transcription

1 Page 1/72

2 1.Sommaire 1 Introduction Avertissements Caractéristiques et histoire d'opennas Apparence globale d'opennas Préconisations liées au paramétrage d'opennas Changement global d'une configuration Changement de configuration réseau Configuration globale du système Configuration de l'utilisateur administrateur et de l'interface web Changement du mot de passe de l'utilisateur administrateur Configuration de l'heure Configuration du nom d'hôte et des DNS Options avancées Général Proxy Swap Command scripts Cron (Tâches planifiées UNIX) Aperçu Configuration d'un cron rc.conf sysctl.conf Opérations de maintenance Sauvegarde et restauration de la configuration Reconfiguration usine Redémarrage du serveur Redémarrage Redémarrage planifié Extinction du serveur Configuration du réseau Configuration de l'interface Configuration IPv Configuration IPv Configuration VLAN 802.1Q Aperçu de l'interface Création d'une interface VLAN Agrégation de liens Aperçu de l'interface Création d'une interface agrégée Connexion de pont Aperçu de l'interface Création d'une interface bridge Connexion via IP flottante (CARP) À propos de CARP (Common Address Redudancy Protocol) Aperçu de l'interface...26 Page 2/72

3 5.7.3 Création d'un interface CARP Configuration du stockage Initialisation du stockage Gestion des disques Formatage des disques Montage des disques (non-zfs) Utilisation de ZFS Virtual Device Pools (création et usages) Datasets Volumes Snapshots Configuration Configuration du partage de fichiers sur le réseau Partages AFP (Max OS X, Apple Filing Protocol) Configuration globale Liste des partages AFP (Shares) Création d'un partage AFP Partages NFS (UNIX) Configuration globale Liste des exports (Shares) Création d'un export (partage NFS) Partages CIFS (Windows) Configuration globale Configuration d'un partage Configuration de l'authentification Authentification locale (BSD) Liste d'utilisateurs Création d'un utilisateur Liste des groupes Création d'un groupe Active Directory LDAP / Kerberos LDAP / NT Configuration de divers services FTP SSH Unison SNMP UPS Bacula Bacula FD Bacula SD Options additionnelles Monitoring Système Processus Contrôle des services...63 Page 3/72

4 Interfaces réseau Contrôle des disques Rapports par s Utilisation de la console Installation via le CD Usages courants de la console Outils de gestion courante File Editor File Manager Authentification Général Command scripts Outils UNIX basiques Support Support commercial Support communautaire Terminologie Références et crédits Copyrights Licence BSD simplifiée (anglais) Licence GNU GPL Auteurs / Collaborateurs projet OpenNAS...73 Page 4/72

5 Introduction 1 Introduction 1.1 Avertissements Les captures et descriptions d'interfaces web sont volontairement en anglais afin de faire aisément le lien sur des technologies UNIX BSD et particulièrement sur la sémantique de ZFS. Les mots noté de la forme : mot(4), spécifie une page de man présente dans OpenNAS, lié à son héritage de l'unix BSD. «mot» spécifie le nom de la commande, outil, etc. dont on cherche le fichier de man. «4» spécifie la section de man à utiliser. 1.2 Caractéristiques et histoire d'opennas OpenNAS est un système d'exploitation libre basé sur FreeBSD 9.1. Ce système se base sur Nas4Free, évolution du FreeNAS original d'olivier Cochard-Labbé. La philosophie de ce système est l'idée d'appliance logicielle pour des besoins de stockage. FreeBSD est un système créé en décembre 1993, suite à la disparition de 386BSD et des contentieux liés aux licences UNIX dans 4.4BSD (la naissance du système NetBSD, un peu antérieur, est issu des mêmes causes). Ce système rivalise avec Linux en terme de performances et a l'avantage d'avoir le système de fichier ZFS depuis deux versions majeures au moment ou ces lignes sont écrites. ZFS est par ailleurs inclu de façon étroite dans le noyau. ZFS est un système de fichier créé par Sun Microsystems au milieu des années 2000 sur Solaris 10. Après libération du code source de Solaris, sous le projet OpenSolaris, ZFS s'est vu publié aux yeux des développeurs du monde libre. Après rachat de Sun Microsystems par Oracle, OpenSolaris ayant disparu, le projet Illumos s'est créé en reprenant les sources d'opensolaris, pour donner naissance à plusieurs projets comme OpenIndiana, Nexenta, SmartOS. La partie open source de ZFS a eu quelques développement minimes de façon non centralisée depuis la fermeture de Solaris. Le but en 2013 pour les systèmes utilisant la brique ouverte de ZFS est d'unifier les développements afin de faire évoluer ZFS dans le monde libre. Open-ZFS.org voit le jour... Page 5/72

6 Introduction 1.3 Apparence globale d'opennas Cette interface est disponible via le menu Status -> System. Elle regroupe plusieurs informations globales sur le système. - Versions - CPU, charge - Mémoire - Espace disque - Température de différentes sondes Page 6/72

7 Introduction 1.4 Préconisations liées au paramétrage d'opennas Changement global d'une configuration Lors du changement d'une configuration un bouton commun à la plupart des pages existent. Exemple de ces boutons : Sauvegarder la configuration Sauvegarder et redémarrer Enable Apply changes Plus Modify Delete Add Cancel Changement de configuration réseau Une demande de redémarrage est mise en place lors d'un changement réseau important. Page 7/72

8 Configuration globale du système 2 Configuration globale du système 2.1 Configuration de l'utilisateur administrateur et de l'interface web Menu System / General Paramètres principaux Username : Nom de l'utilisateur lié à l'interface web Protocol : Protocole HTTP à utiliser [HTTP HTTPS] Port : Port à utiliser en liaison avec le protocole utilisé, sans port donnée, les ports par défauts sont utilisés à savoir 80 ou 443 Language : Langue de l'interface, l'anglais étant la langue conseillée, notamment pour les sémantiques de ZFS Page 8/72

9 Configuration globale du système Dans le cas de l'utilisation de HTTPS, deux champs apparaissent : Certificate : Certificat SSL à utiliser pour l'interface. Private Key : Clé privée SSL, à ne pas divulguer qu'à un tiers de confiance Changement du mot de passe de l'utilisateur administrateur Via onglet Password Current password : mot de passe actuel New password : deux champs pour entrer le nouveau mot de passe désiré Page 9/72

10 Configuration globale du système 2.2 Configuration de l'heure Time zone : Zone utilisée suivant localisation géographique System time : Temps à déterminer manuellement Enable NTP : Utilisation de NTP, utilisation vivement conseillée, notamment pour les fonctionnalités Kerberos et Active Directory. NTP time server : On utilisera soit le serveur NTP local, soit le maître Active Directory local, ou un NTP public comme fr.pool.ntp.org NTP update interval : Intervalle de mise à jour de l'heure système via NTP 2.3 Configuration du nom d'hôte et des DNS Hostname : nom d'hôte de la machine Domain : nom de domaine de la machine IPv4 DNS servers : Serveurs (maître et esclave) DNS IPv4 utilisés pour le serveur IPv6 DNS servers : Serveurs (maître et esclave) DNS IPv6 utilisés pour le serveur Page 10/72

11 Options avancées 3 Options avancées 3.1 Général Console menu - Disable Console Menu : Désactiver l'accès au menu de la console, utile si la machine physique ou virtuelle est susceptible d'être facilement accédée par une tierce personne Serial console - Enable serial console : Activer la connexion via port série Console screensaver : Activation de l'écran de veille sur la console. Un daemon BSD s'affiche de façon dynamique sur l'écran File Manager : Désactivation du gestionnaire de fichier dans l'interface web System Beep : Désactivation du beep système au démarrage et à l'extinction Tuning : Modification de plusieurs variables kernel Power Daemon : Activation du démon de gestion d'énergie Zeroconf / Bonjour : Activation du démon de découverte réseau Multicast DNS / Bonjour / Zeroconf. Ce service est utile pour le service de fichier AFP et utilise le port UDP 5353 en multicast IP. MOTD : Message du jour. Affiché lors de la connexion au shell. Pour afficher des textes sortants de l'ordinaire, l'équipe de documentation vous conseille le logiciel figlet Page 11/72

12 Options avancées 3.2 From Adresse de l'envoyeur Outgoing mail server : Serveur de messagerie sortant Port : port à utiliser, 25 pour SMTP, 465 pour SMTP sur SSL, 587 pour Submission Security : Définit le niveau de sécurité, avec SSL, TLS ou sans (en clair sur le réseau) TLS mode : Activation du chiffrement STARTTLS. Authentication : Activation ou non de l'authentification Username : Nom de l'utilisateur à authentifier Password : Mot de passe de l'utilisateur Authentication method : Méthode d'authentification, en clair ou avec une phase d'authentification via HASH NTLM, MD5, etc. Boutons Save : sauvegarder la configuration, nécessaire pour l'utilisation des rapports par mail. Send test Tester l'envoi de mail. Ici, ce sera l'adresse du champ from qui sera utilisée. Page 12/72

13 Options avancées 3.3 Proxy Section HTTP Proxy : Proxy sur le protocole HTTP FTP Proxy : Proxy sur le protocole FTP Paramètres Address proxy : Nom d'hôte ou IP du proxy Port : Port du proxy à utiliser Authentication : activation de l'authentification du proxy 3.4 Swap Type : Device, périphérique physique tel qu'un disque ou partition, File, fichier existant sur un sysètme de fichiers monté Device / File : Lien vers lequel pointer (fichier ou disque) Page 13/72

14 Options avancées 3.5 Command scripts Permet de lancer un script à plusieurs moment de la période d'initialisation du système ou à son arrêt. Preinit : Lancer au tout début du démarrage Postinit : Lancer à la fin du démarrage Shutdown : Lancer à l'extinction du serveur 3.6 Cron (Tâches planifiées UNIX) Aperçu Colonnes Command : commande à exécuter à intervalle régulier Who : l'utilisateur lançant la commande Description : description liée à la tâche planifiée Page 14/72

15 Options avancées Configuration d'un cron crontab(1) est le man décrivant la création d'une table de tâches planifiées Les trois premiers paramètres à entrer sont ceux décrits dans le point précédent. Schedule Time Minute : Sélection d'une ou plusieurs minutes ou toutes les minutes Hours : Sélection d'une ou plusieurs heures ou toutes les heures Days : Sélection d'une ou plusieurs jours ou tous les jours Months : Sélection d'une ou plusieurs mois ou tous les mois Weekdays : Jours de la semaine à utiliser 3.7 rc.conf rc.conf(5) est la configuration du système d'initialisation de type BSD. Ce fichier est présent sous une forme variable dans les systèmes BSD modernes. Chaque valeur doit être doté d'une variable. Cela peut correspondre au démarrage ou non d'un service tiers, autant qu'un flag à déposer sur le lancement d'un service. Page 15/72

16 Options avancées 3.8 sysctl.conf Le fichier sysctl.conf(5) permet d'établir des variables de noyau au démarrage du système. Le paramètre «Tuning» citée précédemment permet d'indiquer des valeurs suite à des calculs et de réécrir des variables dont les valeurs ne sont pas suffisantes dans le système FreeBSD. Page 16/72

17 Opérations de maintenance 4 Opérations de maintenance 4.1 Sauvegarde et restauration de la configuration Boutons Download configuration : Télécharger la configuration au format XML Parcourir / Browse : Sélection du fichier à sauvegarder Restore configuration : restaure la configuration donnée. Nécessite un redémarrage immédiat du système. 4.2 Reconfiguration usine Réinitialise le système à ses valeurs usine. Redémarre le système après confirmation 4.3 Redémarrage du serveur Redémarrage Redémarre le système immédiatement Page 17/72

18 Opérations de maintenance Redémarrage planifié Redémarre le système à intervalle régulier ou à une date donnée. 4.4 Extinction du serveur Extinction immédiate ou programmée du système. Page 18/72

19 Configuration du réseau 5 Configuration du réseau 5.1 Configuration de l'interface Cette interface permet de lister les interfaces créées dans OpenNAS. Cela comprend les interfaces physiques, VLAN, LAGG, Bridge et CARP. Lors de la création d'une interface de type pseudo-device comme VLAN, LAGG, Bridge ou CARP, elle sera disponible dans la colonne Network port. La colonne interface contient donc les la totalité des interfaces, y compris les interfaces virtuelles. Un changement tel recommande un redémarrage de la machine. 5.2 Configuration IPv4 Type : Permet de spécifier [DHCP Static] IP address : Adresse IPv4 et masque de l'interface principale «LAN» Gateway : Route par défaut de l'interface principale «LAN» Page 19/72

20 Configuration du réseau 5.3 Configuration IPv6 Type : Détermine la configuration IP, automatique via Router Sollicitation ou manuelle [Auto Static] IP address : Adresse IPv6 à utiliser ainsi que son préfixe (64 le plus souvent) Gateway : Route par défaut IPv6 à utiliser pour l'interface La sollicitation de routeur implique un routeur avec un démon rtadvd fonctionnant sur le serveur. Page 20/72

21 Configuration du réseau 5.4 Configuration VLAN 802.1Q Aperçu de l'interface Colonnes Virtual interface : pseudo-device VLAN utilisé et nommé suivant BSD. Physical interface : interface physique (trunk) où les tags VLAN circuleront VLAN tag : Tag 802.1q à utiliser Création d'une interface VLAN VLAN tag : Tag 802.1q à utiliser Physical interface : interface physique (trunk) où les tags VLAN circuleront. Dans ce menu, l'interface physique à utiliser sera décrite. On retrouve son nom BSD ainsi que son adresse MAC. Description : Description à utiliser. ex: VLAN_PRODUCTION, VLAN_ADMIN Page 21/72

22 Configuration du réseau 5.5 Agrégation de liens Aperçu de l'interface Colonnes Virtual interface : Interface virtuelle LAGG (nom BSD) Ports : Ports physiques agrégés dans l'interface LAGG Description : description utilisée pour l'interface agrégée Création d'une interface agrégée Interface : Nom BSD de l'interface agrégée lagg(4) Aggregation protocol : - Failover : Mode actif-passif entre plusieurs ports physiques. Si le port maître n'est plus actif, les flux circuleront sur un des ports esclaves. - FEC (Fast EtherChannel) : Protocole Cisco EtherChannel. C'est un alias du protocole loadbalance. - LACP (Link Aggregation Control Protocol) : Protocole de négociation 802.3ad (Link Aggregation Control Protocol). Permet d'équilibrer la charge sur plusieurs ports physiques à condition que le commutateur distant supporte ce protocole. - Loadbalance : Équilibrage des trames sortantes du lagg. Les trames entrantes sont acceptées sur tous les ports. Un algorithme de contrôle d'intégrité des trames est utilisé - Roundrobin : Fait circuler le trafic selon l'algorithme du tourniquet. Accepte le trafic entrant de n'importe quel port physique. - None : Aucun protocole utilisé. L'interface ne fait circuler aucun trafic tant que l'interface n'est pas désactivée. Page 22/72

23 Configuration du réseau 5.6 Connexion de pont Une connexion de pont permet d'effectuer une liaison (niveau 2, ethernet) entre deux interfaces. Au même titre qu'un commutateur Ethernet (switch), les trames entrantes sur une interface seront suivis sur une ou plusieurs autres interfaces Aperçu de l'interface Colonnes Virtual interface : Interface virtuelle bridge (nom BSD) Member interface : Interfaces membres du bridge Description : Indications liées à l'utilisation de l'interface Page 23/72

24 Configuration du réseau Création d'une interface bridge Interface : nom de l'interface physiques Member interface : liste des interfaces à utiliser MTU : Maximum Transmission Unit (par défaut 1500 octets). Utile lors de l'utilisation de jumbo frames (9000) Extra options : options supplémentaires à passer à l'interface Description : description de l'interface Page 24/72

25 Configuration du réseau 5.7 Connexion via IP flottante (CARP) À propos de CARP (Common Address Redudancy Protocol) vhid (Virtual Host ID) : Groupe virtuel d'interfaces entre plusieurs machines redondées. advbase : advskew : correspond à l'intervalle de temps entre les différents avertissements CARP. Cette valeur servira pour l'élection des maîtres. pass : correspond au mot de passe permettant à un hôte de rejoindre un groupe virtuel. Ce mot de passe est hashé en HMAC SHA1. carp(4) Aperçu de l'interface Colonnes Virtual interface : Interface CARP (nom BSD) VHID : Virtual Host Identifier, groupe CARP utilisé Virtual IP address : adresse IP virtuelle utilisée pour le groupe Skew : correspond au paramètre advskew cité dans le point précédent. Description : description utilisée pour l'interface CARP Page 25/72

26 Configuration du réseau Création d'un interface CARP Interface : Interface virtuelle CARP (nom BSD) Virtual Host ID : Virtual Host Identifier, groupe CARP utilisé, valeur de 1 à 255. Doit être identique sur tous les hôtes membres du groupe Virtual IP address : Adresse IP commune utilisée, VIP Advertisement skew : Correspond au skew définit précédemment, valeur de 1 à 255 Password : mot de passe utilisé pour adhérer au groupe VHID. Doit être identique sur tous les hôtes membres du groupe. Link up action : Commande à utiliser lorsque l'interface devient maître Link down action : Commande à utiliser lorsque l'interface devient esclave Extra options : options supplémentaires à utiliser sur l'interface CARP (options ifconfig) Description : Indication d'une description à utiliser sur l'interface CARP. Page 26/72

27 Configuration du stockage 6 Configuration du stockage Dans ce point sera décrit l'utilisation du stockage dans OpenNAS. L'utilisation de du RAID Software, noté Software RAID dans l'interface ne sera pas décrit dans cette version de documentation, au profit d'une description de l'utilisation de ZFS. La création de RAID software non-zfs permet d'utiliser des disques système en RAID. Le stockage de donnée ne sera supporté que sur ZFS. 6.1 Initialisation du stockage Gestion des disques Boutons Import disks : Importer les disques présents dans le système Clear config and import disks : Supprimer les disques existants et importer les disques Rescan disks : Rescanner les disques. Permet d'actualiser les informations que voir le système Page 27/72

28 Configuration du stockage Formatage des disques Boutons et champs Disk : Sélection du disque File system : sélection du système de fichier à utiliser Don't erase MBR : Ne pas écraser le Master boot record Page 28/72

29 Configuration du stockage Montage des disques (non-zfs) Il est possible dans OpenNAS de mettre en place des points de montage Type : Sélection du type de périphérique, Disque / HAST / ISO Disk : Périphérique / Filename pour ISO Partition Type : MBR, GPT, CD/DVD. Permet de sélectionner le schéma de partition à utiliser. Préférer GPT pour les disques de plus de 2,2To par rapport à MBR Partition Number : Numéro de partition à utiliser sur le disque File system : Sélection du système de fichiers à utiliser (UFX/FAT/ISO/UDF/NTFS/EXT Linux) Mount point name : Nom du point de montage, relatif à /mnt Read only : montage du système en lecture seule File system check : Activation du contrôle des systèmes de fichiers au démarrage Page 29/72

30 Configuration du stockage 6.2 Utilisation de ZFS Une description plus précise de ZFS ainsi que des fonctionnalités qu'il fournit sont donnés à la fin de ce document. Ce point présent ne sera qu'un exemple de création de Pool ZFS Virtual Device Utilisation : Création d'un device virtuel RAID-Z (équivalent RAID-5) avec 3 disques (/dev/ada1, /dev/ada2, /dev/ada3) Cette interface ne produit rien au niveau ZFS. Cela permet juste de construire la commande qui va créer le pool ZFS dans le prochain point Name : Nom du VDEV Type : Type de VDEV, Stripe pour RAID-0, Mirror pour RAID-1, RAID-Zn avec n pour les différents niveau de parité, Hot Spare pour disque de secours, Log pour cache d'écriture, Cache pour cache de lecture Devices : Sélection des disques et devices Advanced Format : Sélectionner si utilisation du format avancé en 4k Description : Description du VDEV Page 30/72

31 Configuration du stockage Pools (création et usages) Name : Nom du pool ZFS et du dataset racine Virtual devices : sélection du vdev Root : Sélection du répertoire de montage temporaire du dataset racine. Utile si un autre pool du même nom est déjà créé, permet de le «chrooter» temporairement à l'importation Mount point : Sélection du répertoire de montage du dataset racine. N'est pas obligatoire, car changeable après création Liste du ou des pools après création Name : Nom du pool ZFS Size : Taille (calculée en fonction de la somme des capacités de tous les disques pour RAID-Z) Used : Espace utilisé (idem ci-dessus concernant calcul) Free : Espace libre (idem ci-dessus concernant calcul) Capacity : Capacité (idem ci-dessus concernant calcul) Dedup : Ratio de déduplication Health : Santé du pool Altroot : Point de montage temporaire Page 31/72

32 Configuration du stockage Datasets Un dataset est une partie du pool directement utilisable comme système de fichier. Un dataset est aussi un ensemble fermé de propriétés. Chaque dataset a ses propriétés définies. Colonnes Pool : Nom du pool ZFS contenant le dataset Name : Nom du dataset Description : Description du dataset Création d'un dataset Name : Nom du dataset Pool : Pool dans lequel évolue ce dataset Compression : Niveau de compression, désactivé avec off. LZJB, ZLE, et plusieurs niveau GZIP existent Dedup : Niveau de calcul d intégrité pour la déduplication. verify et SHA256. Sync : Système de fichier synchrone par rapport aux requêtes Access Time : Activation de la date d'accès des données Page 32/72

33 Configuration du stockage Canmount : Propriété indiquant si le système de fichiers et montable Readonly : Propriété indiquant si le système de fichiers est en lecture seule ou en lecture/écriture Extended attributes : Activation des attributs étendus Snapshot visibilty : Définition de la visibilté des dossiers «.zfs» dans le dataset, afin d'accéder aux snapshots Reservation : Définition d'une taille d'»au moins». En multiple d'octets (M, K, G, T) Quota : Définition d'une taille d'»au plus». En multiple d'octets (M, K, G, T). Le dataset sera limité en taille. Description : Description du dataset Création des droits du dataset à la racine en mode POSIX Page 33/72

34 Configuration du stockage Volumes Un volume ZFS est à l'image d'un volume logique LVM. Ce volume est vu comme un disque. et peut être formaté avec un système de fichiers traditionnel ou partagé comme un disque réseau (ISCSI). Liste des volumes Pool : Nom du pool ZFS Name : Nom du volume Size : Taille du volume Sparse : Indique si la taille est pré-allouée, réservée au niveau du pool Description : Description du volume Page 34/72

35 Configuration du stockage Création d'un volume Name : Nom du volume Pool : Pool ZFS Size : Taille du volume Compression : Niveau de compression Dedup : Mode de déduplication des données Sync : Volume synchrone par rapport aux requêtes Sparse volume : Indique si la taille est pré-allouée, réservée au niveau du pool. ATTENTION, si ce volume est indiqué comme sparse, des pertes de données peuvent apparaître car la taille n'est pas réservée au niveau du pool ZFS. Le pool peut arriver à saturation est empiéter les données du volume, car n'étant pas réservées. Déconseillé par Oracle/Sun dans la documentation de ZFS. Description : Description du volume Page 35/72

36 Configuration du stockage Snapshots Listes des snapshots et colonnes Filter : Permet d'appliquer un filtre sur la recherche de snapshots Path : Chemin du dataset lié au snapshot Name : Nom du snapshot Used : Différentiel de données appliqué après mise en place du snapshot Creation : Date de création du snapshot Ajout d'un snapshot sur un dataset ou un volume Path : Chemin du dataset concernant le snapshot Name : Nom du snapshot Recursive : Créer un snapshot du même nom sur les datasets enfants, petits-enfants, etc. Page 36/72

37 Configuration du stockage Automatisation des snapshots Path : Chemin du dataset où appliquer la tâche Name : Nom du snapshot, laisser pour donner un versioning Windows ayant les bonnes dates Recursive : Récursivité sur les snapshots Type : type de schedule Schedule time : Heure d'application Life time : Durée de vie du snapshot Utilisation d'un clone Un clone est un snapshot spécifique «mis de côté». Le clone est toujours lié à un snapshot tant qu'il n'y a pas eu de promote. Snapshot : Nom du snapshot Action : Clone / Delete => cloner ou supprimer un snapshot Path : Chemin du clone Page 37/72

38 Configuration du stockage Configuration Synchronisation : C'est la différence entre la configuration stockée dans OpenNAS (current) et la configuration réellement existant (detected). Elle permet de rendre propre la configuration via l'interface pour des configurations créées à la main avec des commandes zfs. Leave auto snapshot configuration : Garder la configuration d'auto-snapshot actuelle Import disks : Importer les disques du système Overwrite disks configuration : Écraser la configuration des disques. Page 38/72

39 Configuration du partage de fichiers sur le réseau 7 Configuration du partage de fichiers sur le réseau 7.1 Partages AFP (Max OS X, Apple Filing Protocol) Le système de partage AFP sur OpenNAS utilise le logiciel open source Netatalk, disponible sur la page : Configuration globale Colonnes Server Name : Nom du serveur, équivalent du hostname de la machine si non spécifié Authentication - Guest : Accès invité autorisé - Local : Authtification locale Liste des partages AFP (Shares) Colonnes Name : Nom du partage Path : Chemin UNIX du partage Comment : Commentaire sur le partage Page 39/72

40 Configuration du partage de fichiers sur le réseau Création d'un partage AFP Name : Nom du partage Comment : Commentaire à afficher au niveau de celui-ci Path : Chemin dans l'arborescence Unix pour ce partage Share password : Mise en place d'un mot de passe pour l'accès à ce partage Share character set : Jeu de caractère à utiliser dans ce partage, par défaut UTF-8 Allow : Liste des utilisateurs et groupes pouvant accéder au partage Deny : Liste des utilisateurs et groupes ayant un accès refuser au partage Read only access : Accès en lecture seule au partage Read / Write access : Accès en lecture/écriture au partage Automatic disk discovery : Découverte automatique du disque réseau Automatic disk discovery mode : Changer si l'on veut que le volume soit vu comme un disque TimeMachine Page 40/72

41 Configuration du partage de fichiers sur le réseau Options avancées Case folding : Paramètrage de la sensibilité à la casse dbpath : chemin vers le fichier de base de donnée. Cette base stocke des métadonnées sur les différents partages cnidscheme : Méthode de stockage des métadonnées cachecnid : Stockage d'informations d'identifiants utilisateurs ou groupes dans d'autres fichiers pour alléger les accès à la base crlf : Permet de convertir les sauts de ligne Macintosh vers UNIX. mswindows : Rend le partage compatible avec les conventions de Windows en terme de nommage des éléments. Ne pas utiliser si le partage n'est utilisé que par des machines avec Mac OS X. noabouble : Création des répertoires AppleDouble nodev : Utilisation de 0 pour le numéro de périphérique nofileid : Ne pas communiquer les messages de création, résolution et suppression des identifiants de fichiers. nohex : Interdit l'utilisation du '/' prodos : Compatibilité Apple II nostat : Ne pas énumérer les chemins des partages. Utile pour les montages automatiques upriv : Établit les privilèges UNIX d'afp 3 Page 41/72

42 Configuration du partage de fichiers sur le réseau 7.2 Partages NFS (UNIX) Le serveur NFS d'opennas est une brique du système FreeBSD. Ce serveur NFS est hérité des travaux de Sun Microsystems, ainsi que des projets de systèmes BSD qui ont suivi Configuration globale Champ Number of servers : Nombre d'instances utilisés pour le système NFS, permet d'avoir une meilleure gestion des connexions concurrentes. (valeur de 4 à 6 le plus souvent) Liste des exports (Shares) Colonnes Path : Chemin à utiliser pour le partage, à savoir d'un point de montage NFS est toujours donné de façon absolue du côté du client. Network : Réseaux, ou hôtes autorisés. Notation en simple IP ou CIDR pour les réseaux Comment : Description de l'export Page 42/72

43 Configuration du partage de fichiers sur le réseau Création d'un export (partage NFS) Path : Chemin à utiliser pour l'export NFS Map all users to root : Tous les utilisateurs côté client seront vus comme utilisateur root côté du serveur. Authorized network : Réseau autorisé à accéder à l'export Comment : Description du partage All dirs : Les sous-répertoires de l'export en question peuvent être montés et spécifiquement utilisé du côté du client. Read Only : Exporter en lecture seule Quiet : évite l'écriture dans les fichiers de log syslog, pour chacune des opérations effectuées sur l'export Page 43/72

44 Configuration du partage de fichiers sur le réseau 7.3 Partages CIFS (Windows) Configuration globale Authentication : Mode d'authentification - Local User : authentification locale ou via LDAP / Kerberos / Active Directory - Anonymous : Authentification invitée, sans login ni mot de passe Max Protocol : NT1 / SMB2. laisser SMB2 pour une prise en charge plus large des clients NetBIOS name : Nom NetBIOS du serveur (Résolu en broadcast sur le même réseau IP par les autres machines) Workgroup : Groupe de travail. Peut aussi donner le domaine dans le cas d'une authentification centralisée Interface : Définit sur quelle interface écouter Description : Description de la machine, visible dans un explorateur Windows (mis entre parenthèses) Dos Charset : Codepage DOS à utiliser, préférer CP850 Latin 1 pour les accents Français UNIX Charset : Encodage côté Unix. Laisser UTF-8 pour une compatibilité large Log Level : Niveau de log pour effectuer des debugs du service CIFS Local Master Browser : Définir si le serveur peut être maître local de découverte Time server : Définir si le serveur peut fournir la date sur le réseau Page 44/72

45 Configuration du partage de fichiers sur le réseau Guest account : Compte Unix utilisé comme invité Map to guest : Définit la politique d'accès en utilisateur invité Send Buffer Size : Tampon d'envoi de données, laisser inchangé Receive Buffer Size : Tampon de réception de données Large read/write : Activer la fonctionnalité de requêtes larges avec SMB Use sendfile : Utiliser la fonction sendfile de la librairie standard C. Permet des performances plus importantes EA Support : Autorise les attributs étendus DOS Store DOS Attributes : Support des attributs étendus DOS (Caché / Archive / etc.) Null passwords : Autorise la non-existence de mot de passe à l'authentification Asynchronous I/O (AIO) : Autorise les lectures / écritures asynchrones Auxiliary parameters : Permet d'ajouter des informations supplémentaires à la clause [global] dans smb.conf Page 45/72

46 Configuration du partage de fichiers sur le réseau Configuration d'un partage Name : Nom du partage Comment : Commentaire sur le partage Path : Chemin Unix vers le partage Read only : Lecture seule sur le partage Browseable : Le partage est visible dans l'explorateur Windows Guest : Autorise l'accès en invité au partage Inherit permissions : Permet d'hériter les permissions des utilisateurs. Inutile lors de la gestion des droits avec les ACL NFSv4 Page 46/72

47 Configuration du partage de fichiers sur le réseau Recycle bin : Activation de la corbeille Windows dans le partage Hide dot files : Afficher ou non les fichiers ayant un Shadow copy : Active le module Shadow Copy. Permet l'accès aux version précédentes ou clichés instantanés dans Windows. Les utilisateurs peuvent avoir accès à plusieurs versions de leurs fichiers depuis leur explorateur Windows. Shadow copy format : permet, via une expression, de récupérer les snapshots ZFS pour en faire des ZFS ACL : Activation des ACL NFSv4. Ces ACL ont la particularité de ressembler fortement aux ACL NTFS, ce qui donne un accès complet aux attributs NTFS depuis une machine Windows. Hosts allow : listes d'hôtes ou de réseaux autorisés à accéder au partage Hosts deny : listes d'hôtes ou de réseaux non-autorisés à accéder au partage Auxiliary parameters : Paramètres supplémentaires au niveau du partage Page 47/72

48 Configuration de l'authentification 8 Configuration de l'authentification 8.1 Authentification locale (BSD) Liste d'utilisateurs Colonnes User : Utilisateur (nom) Full Name : Nom complet de d'utilisateur, ou GECOS UID : Identifiant UNIX de l'utilisateur Group : Groupe primaire de l'utilisateur Page 48/72

49 Configuration de l'authentification Création d'un utilisateur Name : Nom de l'utilisateur Full Name : Nom complet de l'utilisateur (GECOS) Password : Mot de passe de l'utilisateur User ID (UID) : Identifiant utilisateur UNIX Shell : Interpéteur de commande de l'utilisateur Primary Group : Groupe primaire de l'utilisateur Additional groups : Groupes secondaires de l'utilisateur Home directory : Répertoire personnel de l'utilisateur User portal : Permet à l'utilisateur l'accès à l'interface web d'opennas Page 49/72

50 Configuration de l'authentification Liste des groupes Colonnes Name : Nom du groupe Group ID (GID) : Identifiant UNIX du groupe Description : Description du groupe (ex : Commerciaux, Direction) Création d'un groupe Name : Nom du groupe Group ID (GID) : Identifiant UNIX du groupe Description : Description du groupe (ex : Commerciaux, Direction) Page 50/72

51 Configuration de l'authentification 8.2 Active Directory Active Directory de Microsoft est un annuaire permettant la gestion d'utilisateurs, de groupes, et de machine de façon centralisée. OpenNAS peut se joindre, au même titre qu'une machine cliente Windows, à un domaine Active Directory. Domain controller name : Nom netbios du contrôleur de domaine Active Directory Domain name (DNS) : Nom DNS du domaine Active Directory (en minuscule). Attention, le Royaume Kerberos est toujours noté en majuscule. Il faut donc bien mettre le domain DNS dans ce champ. Domain name (NetBIOS) : En majuscule, nom du domaine NetBIOS. Sur Active Directory, constitut souvent le premier mot du Royaume Kerberos. Administrator name : Nom de l'administrateur Active Directory habilité à joindre des machine dans l'annuaire. Administrator password : Mot de passe de cet administrateur Page 51/72

52 Configuration de l'authentification 8.3 LDAP / Kerberos L'utilisation de Kerberos avec LDAP est une fonctionnalité très particulière. C'est une utilisation qui répond à de rares besoins. L'utilisation la plus courante et ressemblante est Active Directory. KDC : Serveur d'authentification Kerberos : krb.domain.org Realms : Royaume Kerberos à utiliser. Correspond au domaine DNS en lettres capitales : DOMAIN.ORG krb5.keytab : Fichier keytab. Est une preuve de l'appartenance au domaine. Doit être générer sur une plateforme de gestion de clés Kerberos. URL : URL correspondant au serveur LDAP à utiliser Base DN : Base DN LDAP à utiliser, du type : dc=domain,dc=org Auxiliary Parameters : Paramètres supplémentaires à utiliser dans le fichier de configuration de NSS-LDAP Page 52/72

53 Configuration de l'authentification 8.4 LDAP / NT4 L'authentification LDAP / NT4 est encore utilisée dans certains S.I., bien que désormais dépréciée. L'intégration native aux domaines NT4 dévrait être présente dans les futures versions d'opennas. URI : adresse à utiliser pour atteindre le serveur LDAP Base DN : Base LDAP à utiliser, par exemple dc=factorfx,dc=com Anonymous Bind : Utilisation d'un bind si le LDAP n'a pas d'accès anonyme. S'il n'est pas anonyme, un login des droits de lecture sur toute la base sera requis. Root bind DN : DN de l'utilisateur administrateur du LDAP, ex : dn: cn=admin,dc=factorfx,dc=com Root bind password : mot de passe de l'administrateur du LDAP Password encryption : L'authentification claire ou via hash sont proposées. À choisir suivant le niveau de sécurité du S.I. User suffix ; base de recherche des utilisateurs Group suffix : base de recherche des groupes Password suffix : base de recherche des mots de passe, le plus souvent la même que celle des utilisateurs Machine suffix : base de recherche des comptes machines de l'annuaire Auxiliary parameters : Utile lorsque que l'on veut surcharger la configuration de NSS-LDAP Page 53/72

54 Configuration de divers services 9 Configuration de divers services 9.1 FTP FTP est un protocole très ancien, créé aux débuts d'internet. Bien que très limité en terme de sécurité et de simplicité au niveau réseau, il est très rapide. Préférer son utilisation dans des cas ou la sécuité n'est pas une priorité car l'intégrité des données n'est pas garantie. Page 54/72

55 Configuration de divers services 9.2 SSH SSH, pour Secure Shell, est présent dans OpenNAS comme la plus connue des implémentations de ce protocole, OpenSSH. Ce dernier permet l'accès à distance à une machine via un terminal. D'autres fonctions permettent la tunnelisation et le transfert de fichier sur le réseau. TCP Port : Port TCP à utiliser. Utile pour tromper les scripts de connexion par force brute. Défaut 22 Permit root login : Permet de désactiver le login en root sur la machine. Utile pour éviter une attaque par force brute sur l'utilisateur root, car présent dans la plupart des systèmes apparentés UNIX Password authentication : Authentification par mot de passe. Si désactivé, l'authentification sans mot de passe comme avec Kerberos ou des jeux de clés SSH sera utilisée TCP Forwarding : Activation de la redirection de port avec SSH. Le désactiver n'est pas une mesure de sécurité, car une fois en root sur la machine, ce paramètre peut être désactivé, ou une redirection inverse peut être utilisée Compression : Compression des données de transit. Utile sur des réseaux longue distance avec une forte latence Private Key : Indication de la clé privée de l'hôte. Ne pas divulguer. Utile de la conserver si utilisation sur une machine remplaçante, pour éviter l'avertissement du client SSH (usurpation d'identité) Subsystem : Lien vers l'outil de transfert de fichier SSH. Laisser ce champ vide est suffisant Extra options : Options supplémentaires pour la configuration. Page 55/72

56 Configuration de divers services 9.3 Unison Unison permet de synchroniser des fichiers et des répertoires de façon bi-directionnelle. Working directory : Répertoire de travail d'unison Create work directory if it doesn't exist : Création du répertoire de travail à l'initialisation Page 56/72

57 Configuration de divers services 9.4 SNMP SNMP est un protocole de supervision. Dans OpenNAS, on pourra notamment récupérer des valeurs comme l'usage des volumes, l'utilisation des disques, les débits réseaux, etc. Location : Indication de la localisation de la machine Contact : adresse mail de contact, à indiquer pour SNMP Community : Communauté SNMPv2 à utiliser Traps : Les traps permettent aux agents d'envoyer des données au serveur centrale. Fonctionnement inverse du SNMP traditionnel Auxiliary Parameters : Paramètres auxiliaires de la configuration de net-snmp SNMP Modules : modules SNMP à ajouter dans net-snmp Page 57/72

58 Configuration de divers services 9.5 UPS UPS permet la gestion des onduleurs au niveau de l'os. Cela permet, sous un signal donné de l'onduleur d'éteindre proprement plusieurs une ou plusieurs machines. Identifier : Nom unique identifiant l'ups Driver : Pilote à utilisé pour accéder à l'infrastructure d'onduleurs Port : Port console à utiliser pour l accès à l'onduleur Auxiliary Parameters : Paramètres supplémentaires à utiliser dans UPS Description : Description à utiliser Shutdown mode : Mode d'extinction, lorsque l'onduleur devient sur batterie, ou quand le niveau de charge de la batterie devient faible Shutdown timer : Timeout avant lequel la machine s'éteint Remote monitoring : Monitoring externe du service UPS Page 58/72

59 Configuration de divers services 9.6 Bacula Bacula est une suite libre d'outils de sauvegarde orientés réseau. Deux éléments sont présents dans OpenNAS : - bacula-fd : démon qui constitue la machine que l'on sauvegarde - bacula-sd : démon qui a pour tâche principale de stocker les sauvegardes Bacula FD Director - Name : nom du director - Password : mot de passe utilisé permettant au director de joindre le file daemon File daemon - Name : nom du director - Port : par défaut 9102 sur bacula-fd - Maximum concurrent jobs : nombre maximal de jobs concurrents Page 59/72

60 Configuration de divers services Bacula SD Director - Name : nom du director - Password : mot de passe utilisé permettant au director de joindre le storage daemon Storage daemon - Name : nom du director - Port : par défaut 9103 sur bacula-sd - Maximum concurrent jobs : nombre maximal de jobs concurrents Device - Name : nom du périphérique de stocakge - Media type : File pur fichier, les autres pour des supports telles que des bandes ou médias optiques - Archive device : Dans le cas d'un fichier, chemin vers celui-ci, sinon chemin vers device - Label Media : Labelise le média avant d'écrire sur celui-ci - Random access : montage du device avant d'écrire sur celui-ci - Removable media : Indique si le média est éjectable - Always open : Le média est toujours ouvert, prêt à être utilisé Page 60/72

61 Options additionnelles 10 Options additionnelles Monitoring Système L'aperçu de cette interface permet d'avoir un œil sur la santé globale du système. Ne supplante pas un outil de supervision Processus Permet de connaitre les processus présents sur le système. Page 61/72

62 Options additionnelles Contrôle des services Cette page permet de connaitre quels services sont activés, et au quel cas, sont effectivement démarrés Interfaces réseau Sortie simplifiée de la commande ifconfig sur FreeBSD Contrôle des disques Cette page montre la totalité des disques présents et attachés dans le système. L'état, les IO, et la température sont indiqués suivants les sondes utilisées. Page 62/72

63 Options additionnelles 10.2 Rapports par s Les rapports par mail permettent une supervision régulière de ce qui est fait sur le système, l'état des services, etc. To Destinataire du mail Subject : Sujet du mail Reports : Types de rapports par mail (System info, logs, messages, FTP, RSYNC, SSHD, SMART, messages de démons, scripts supplémentaires) Polling time : configuration du rapport par comme tâche planifiée Page 63/72

64 Utilisation de la console Utilisation de la console Installation via le CD Au démarrage du système, il est indispensable de démarrer sur un CD. Vérifier les options de BIOS. - Démarrage du système FreeBSD - Menu - Installation (menu 3) - Choix du média d'installation - Choix du disque de destination - Volume de la partition racine - Volume de la partition d'échange (swap) - Installation - Redémarrage Page 64/72

65 Utilisation de la console 11.2 Usages courants de la console 1) Configure network Interfaces 2) Configure network IP address 3) Reset WebGUI password 4) Reset to factory defaults 5) Ping host 6) Shell 7) Reboot server 8) Shutdown server Descriptions 1) Permet d'assigner des interface réseau physiques à des interfaces LAN, OPT, visibles et configurables dans le WebGUI 2) Permet de déterminer les adresses IPv4 et/ou IPv6 des différentes interfaces réseau 3) Permet de réinitialiser le mot de passe de l'interface web 4) Permet de réinitialiser le serveur à sa configuration d'usine 5) Envoi de requêtes ICMP echo à un hôte. Préférer utiliser un shell pour avoir ping et ping6 6) Permet d'ouvrir un shell dans la console 7) Redémarre le serveur 8) Extinction du serveur Page 65/72

66 Outils de gestion courante 12 Outils de gestion courante Même si les auteurs de cette documentation recommande d'utiliser un shell en ligne de commande via SSH, il est possible d'utiliser des outils via l'interface graphique pour la gestion courante du système (déplacement de fichiers, édition, lancement de scripts, gestion des droits, etc.) Il est souvent plus aisé de connaitre quelques commandes UNIX simples que d'utiliser des interfaces décrites dans les points suivants File Editor 12.2 File Manager Authentification Page 66/72

67 Outils de gestion courante Général Command scripts Cette fonctionnalité permet de lancer des commandes via l'interface web. Il est déconseillé d'utiliser cette fonctionnalité. Il est préférable d'utiliser un shell SSH. Page 67/72