Installation et mise en œuvre du module Eclair

Transcription

1 Installation et mise en œuvre du module Eclair EOLE 2.3 révisé : Septembre 2014 Documentation sous licence Creative Commons by-nc-sa - EOLE (

2 Version du document révisé : Septembre 2014 Date de création : Septembre 2012 Editeur Pôle de compétence EOLE Rédacteurs Équipe EOLE Licence Cette documentation, rédigée par le pôle de compétence EOLE, est mise à disposition selon les termes de la licence : Creative Commons by-nc-sa (Paternité - Pas d'utilisation Commerciale - Partage des Conditions Initiales à l'identique) 2.0 France : Vous êtes libres : de reproduire, distribuer et communiquer cette création au public ; de modifier cette création Selon les conditions suivantes : paternité : vous devez citer le nom de l'auteur original de la manière indiquée par l'auteur de l'œuvre ou le titulaire des droits qui vous confère cette autorisation (mais pas d'une manière qui suggèrerait qu'ils vous soutiennent ou approuvent votre utilisation de l'œuvre) ; pas d'utilisation Commerciale : vous n'avez pas le droit d'utiliser cette création à des fins commerciales, y compris comme support de formation ; partage des Conditions Initiales à l'identique : si vous modifiez, transformez ou adaptez cette création, vous n'avez le droit de distribuer la création qui en résulte que sous un contrat identique à celui-ci. À chaque réutilisation ou distribution de cette création, vous devez faire apparaître clairement au public les conditions contractuelles de sa mise à disposition. La meilleure manière de les indiquer est un lien vers cette page web. Chacune de ces conditions peut être levée si vous obtenez l'autorisation du titulaire des droits sur cette œuvre. Rien dans ce contrat ne diminue ou ne restreint le droit moral de l'auteur ou des auteurs. Cette documentation est basée sur une réalisation du pôle de compétences EOLE. Les documents d'origines sont disponibles sur le site. EOLE est un projet libre (Licence GPL). Il est développé par le pôle de compétences EOLE du ministère de l'éducation nationale, rattaché à la Direction des Systèmes d'information et des Infrastructures de L'académie de Dijon (DS2i). Pour toute information concernant ce projet vous pouvez nous joindre : 2

3 Par courrier électronique : eole@ac-dijon.fr Par FAX : Par courrier : EOLE-DS2i - 2G, rue du Général Delaborde DIJON Le site du pôle de compétences EOLE : 3

4 Sommaire Sommaire I Introduction au module Eclair Qu'est ce que le module Eclair? À qui s'adresse ce module Les services Eclair Structure des conteneurs Pré-requis Pré-requis pour le serveur Pré-requis pour les clients Les différences entre les versions 2.2 et II Fonctionnement du module Eclair Le mode une carte Le mode deux cartes Fonctionnement des clients légers III Installation du module Eclair...19 IV Configuration commune aux modules...21 V Configuration du module Eclair Onglet General Onglet Services Onglet Interface Onglet Interface Onglet Dhcp Onglet Ltsp Onglet Tftp VI Configuration avancée du module Eclair...33 VII Configuration du module Eclair avec un module Scribe Authentification, annuaire et montage des répertoires personnels Gaspacho

5 Sommaire VIII Ajouts d'applications Applications non embarquées Applications embarquées IX Lancement de l'instanciation Les mots de passe L'enregistrement sur la base matériel Activation automatique des mises à jour hebdomadaire Le redémarrage X Administration commune aux modules...46 XI Préparation des clients légers...47 XII Utilisateurs locaux...48 XIII Configuration des clients légers...49 XIV Les sauvegardes Généralités sur la sauvegarde Sauvegarde totale Sauvegarde incrémentale Sauvegarde différentielle Des outils de sauvegarde La sauvegarde EOLE Le vocabulaire Bacula Architecture de Bacula Configuration des sauvegardes Activation et configuration de Bacula Configuration depuis l'ead Configuration depuis la ligne de commande Programmation des sauvegardes La première sauvegarde La restauration des sauvegardes EOLE Restauration complète

6 Sommaire 3.2. Restauration partielle Diagnostic et rapport Ajouter des données à sauvegarder Annexes Autres outils d'administration pour Bacula Quelques références Création d'un partage Windows XP...89 XV Fonctionnalités de l'ead propres au module Eclair Fixer les adresses IP XVI Gestion des clients légers Ajouts d'applications Ajouts de dépôts Gestion des session graphiques XVII Compléments techniques Les services utilisés sur le module Eclair eole-dhcp eole-ltsp-fichier eole-ltsp-server eole-ltsp-lb Ports utilisés sur le module Eclair XVIII Questions fréquentes Questions fréquentes communes aux modules Questions fréquentes propres au module Eclair Glossaire Annexe Indications pour la programmation Instancier un template avec CreoleCat L'éditeur de texte Vim Le mode conteneur Mise à jour depuis l'ead

7 Sommaire 6 Personnalisation du serveur à l'aide de Creole Répertoires utilisés Création de patch Les dictionnaires Creole En-tête XML Fichiers templates, paquets et services Familles, variables et séparateurs Contraintes Aide Le langage de template Creole Déclarations du langage Creole Fonctions prédéfinies Utilisation avancée Exemple CreoleLint et CreoleCat Vérifier les dictionnaires et templates avec CreoleLint Instancier un template avec CreoleCat Ajout de scripts à l'instance ou au reconfigure Ajouter un test diagnose Indications pour la programmation Gestion des noyaux Linux Gestion des tâches planifiées eole-schedule Gestion du pare-feu eole-firewall

8 Introduction au module Eclair I Introduction au module Eclair Le module Eclair est un serveur de clients légers GNU/Linux. Il permet de faire fonctionner, depuis le réseau, un grand nombre de machines clientes avec ou sans système d'exploitation installé. Que se soit sur des machines obsolètes pour accueillir un système d'exploitation et/ou sans disque dur ou que se soit sur des machines basse consommation, les clients légers exécutent leur système d'exploitation ainsi que toutes leurs applications directement sur le serveur. Le module Eclair s'appuie sur la technologie LTSP*, sur le projet LTSP et intègre LTSP-Cluster. 1 Qu'est ce que le module Eclair? Le module Eclair est un serveur de clients légers GNU/Linux qui s'appuie sur la technologie LTSP * et le projet LTSP. Grâce à LXC tous les services seront installés sur une seule machine mais séparés grâce à l'usage de conteneurs. Un conteneur est une zone isolée à l'intérieur du système et qui a un espace spécifique du système de fichier, un réseau, des processus, des allocations mémoires et processeurs. Cette technique permet de faire fonctionner de multiples environnements GNU/Linux isolés les uns des autres sur un seul et même système hôte. Contrairement à d'autres techniques de virtualisation, il n'y qu'une seule instance du noyau présente pour l'ensemble des conteneurs et du maître. LXC limite le nombre de serveurs nécessaires, tout en continuant à séparer les environnements et en conservant un haut degré de sécurité. 8

9 Introduction au module Eclair En pratique le serveur Eclair est la seule machine ayant un système d'exploitation installé, il exporte son système vers les clients légers. Le système et toutes les applications disponibles sur les clients légers (les terminaux) sont en fait installés sur le serveur, il n'y a donc qu'une seule machine à administrer. Si vous installez une application sur le serveur, elle sera immédiatement disponible pour tous les clients légers. Tout ceci est complètement transparent pour l'utilisateur qui utilise le client léger (le terminal) exactement comme s'il utilisait un poste de travail ordinaire. Les avantages sont multiples : économie de maintenance, seul le serveur est à maintenir ; économie d'administration, seul le serveur est à administrer ; pas besoin de passer derrière chaque machine pour propager une modification ; possibilité de contrôler n'importe lequel des terminaux ; possibilité d'exécuter la même application sur chacun d'eux ; les clients sont faciles à changer quand ils deviennent défectueux. Principales fonctionnalités démarrer des machines à travers le réseau ; fournir des applications embarquées ; gérer les sessions graphiques (bloquer une application, bloquer la session, envoi de messages, ) ; diffusion de la session graphique de l'enseignant ; prise en main à distance ; partager son poste de travail. Attention Les modules AmonEcole, AmonEcole+, AmonHorus et Eclair sont fournis exclusivement en mode conteneur. 9

10 Introduction au module Eclair 2 À qui s'adresse ce module Le module Eclair intègre LTSP-Cluster. C'est une extension de LTSP qui ajoute les composants nécessaires pour des déploiements à grande échelle. Il rend possible et facile le déploiement et la gestion de milliers de clients légers se connectant à un cluster de serveurs d'applications GNU/Linux et/ou Windows. Cette extension rend le module évolutif en lui permettant d'augmenter sa capacité, notamment sa montée en charge, tout en conservant ses fonctionnalités et ses performances. Le serveur de clients légers Eclair s'adresse donc : aux structures gérant un grand nombre de postes, qui souhaitent mettre à disposition des stations en libre service (mode kiosque), qui ne veulent ou ne peuvent pas administrer un parc de machines entier, ou qui ont beaucoup de machines obsolètes qu'elles souhaitent réutiliser etc... aux structures gérant un petit nombre de postes comme une école par exemple. La solution serveur de clients légers Eclair permet de mettre à disposition des machines hétérogènes, tous les ordinateurs de l'école ont un même système d'exploitation et ce à partir d'une machine unique. Le module Eclair répond aussi bien aux besoins de ceux qui souhaiteraient réduire leur budget d'achat d'ordinateurs qu'à ceux qui souhaiteraient s'affranchir d'une grosse partie de la tâche d'administration en limitant celle-ci au serveur. 3 Les services Eclair Chaque module EOLE est constitué d'un ensemble de services. Chacun de ces services peut évoluer indépendamment des autres et fait l'objet d'une actualisation ou d'une intégration par l'intermédiaire des procédures de mise à jour. Ce qui permet d'ajouter de nouvelles fonctionnalités ou d'améliorer la sécurité. Services communs à tous les modules Noyau Linux 2.6 : Noyau Linux Ubuntu ; OpenSSH (équivalent à la commande telnet* chiffrée et sécurisée) : cet outil permet une prise en main à distance moyennant une demande d'authentification sur la machine cible ; Rsyslog : service de journalisation et de centralisation des logs ; Pam : gestion des authentifications ; EAD : outil EOLE pour l'administration du serveur ; EoleSSO : gestion de l'authentification centralisée ; 10

11 NUT : gestion des onduleurs ; NTP : synchronisation avec les serveurs de temps. Introduction au module Eclair Services spécifiques au module Eclair PXE/TFTP : serveur de démarrage réseau ; tftpd-hpa : serveur TFTP ; ltsp-cluster : service de Load Balancing ; Apache : serveur web ; PostgreSQL : système de gestion de bases de données Alsa : serveur son ; Epoptes : gestion des clients légers ; NDB : montage d'une image d'un système de fichiers et des applications embarquées. 4 Structure des conteneurs Cette partie n'est pas encore documentée #fixme 5 Pré-requis Les pré-requis pour le serveur et pour les clients sont principalement dépendants du nombre de postes et de l'utilisation qui va être faite des clients : bureautique, vidéo, etc Pré-requis pour le serveur Avant de commencer, voici quelques précisions importantes. Le serveur (cf Description) doit être assez performant pour exécuter rapidement pratiquement toutes les applications lancées depuis les clients légers (excepté les applications embarquées). Les capacités du serveur doit donc correspondre au nombre de clients légers à servir simultanément et du type d'utilisation. Il n'y a donc pas de règle universelle mais quelques remarques s'imposent : prévoir une machine multi-processeurs (multi-cœurs) pour éviter d'avoir tous les clients bloqués à 11

12 Introduction au module Eclair cause d'un processus ou d'un client particulier ; ne pas descendre en dessous de 4Go de mémoire RAM sur le serveur (sauf à avoir peu de clients légers simultanés), (~256 Mo de RAM par client léger) ; prévoir un espace disque assez grand puisque le serveur va contenir un bureau GNU/Linux complet ainsi que les applications nécessaires ; ne pas descendre en dessous de 100Mb/s pour la carte réseau. La solution avec 2 cartes réseau est prévue pour fonctionner en coupure, c'est-à-dire que le réseau dédié aux clients légers est séparé de votre réseau existant (ces deux réseaux peuvent communiquer ou non entre eux, cela dépend de la solution retenue. Par défaut, les deux réseaux communiquent). Il est possible d'installer un serveur Eclair sur une machine avec une seule carte réseau mais cela implique que vous n'ayez pas de serveur DHCP sur votre réseau existant afin de pouvoir utiliser celui d'eclair. Pour le reste de la configuration, cela dépend beaucoup de l'usage que vous souhaitez faire du serveur Eclair. Les différents aspects à prendre en compte sont les suivants : Combien de clients légers comptez-vous avoir sur votre réseau? Quel sera le type d'usage des clients légers (bureautique, accès internet, édition photo/vidéo)? Combien d'utilisateurs comptez-vous avoir, au total et en simultané? Les réponses que vous apporterez à ces questions vous permettront d'ajuster le choix d'un serveur physique pour héberger Eclair. Voici quelques éléments importants : le serveur doit avoir à peu près 256 Mo de RAM pour chacun des clients connectés dans le cadre d'une utilisation bureautique classique ; une ou deux cartes réseaux de bonne qualité ; un disque dur suffisant pour héberger les programmes nécessaires (LibreOffice, The Gimp, suites éducatives...) ainsi que les dossiers personnels des usagers ; un serveur multi-processeur ou un processeur multi-cœur pour servir les clients légers dans de bonnes conditions. Il faut cependant garder à l'esprit que cela dépend énormément du nombre de clients qui seront connectés simultanément sur le serveur et de l'utilisation qui sera faite des clients légers Pré-requis pour les clients Les clients légers n'ont finalement que peu de tâches à réaliser : faire transiter les informations entre le client et le serveur ; réaliser l'affichage. 12

13 Introduction au module Eclair Par défaut, les informations circulent de manière sécurisée entre le client et le serveur et cela demande des ressources. Nous recommandons au minimum un P2 300mhz avec 256 Mo de RAM dans cette configuration. Il est possible de faire circuler les informations de manière non sécurisée. Cette solution demande moins de ressources mais vous perdrez la confidentialité des données. Attention Les pré-requis des clients ne sont définis qu'en fonction d'une utilisation particulière. Du fait que quelques applications soient embarquées, il n'est pas vraiment possible (en tous cas pas souhaitable) d'avoir des clients légers avec moins de 256 Mo de RAM (ou alors il faut se passer des applications embarquées). Une carte réseau 100 Mo/s ou plus est vivement recommandée même si cela doit fonctionner avec une carte 10 Mo/s. Si vous voulez tirer parti au maximum des applications embarquées, du type vidéo par exemple, il vous faudra des clients légers bien dotés en RAM (prévoir au moins 1 Go). Exemple Un poste bureautique Intel Core I3 avec 4 Go de RAM permet de lire de la vidéo HD sur dix clients simultanément. Les clients sont des Atom avec 1Go de RAM avec un chipset graphique NM10. 6 Les différences entre les versions 2.2 et 2.3 La nouvelle version du module Eclair apporte un certain lot de changements, loin d'être exhaustive voici une liste des points les plus importants : l'utilisateur eclair n'existe plus ; utilisation de l'extension ltsp cluster du projet LTSP ; implémentation du mode conteneur ; il n'est plus possible d'installer une interface graphique sur le serveur maître. 13

14 Fonctionnement du module Eclair II Fonctionnement du module Eclair Le module Eclair repose sur une extension du projet LTSP* : ltsp-cluster. Ce mode permet de séparer facilement tous les services nécessaires au fonctionnement d'un réseau de client légers offrant ainsi la possibilité d'étendre très facilement le réseau. Typiquement, un réseau ltsp-cluster minimal devrait comprendre au moins deux machines : le serveur de démarrage (DHCP*, PXE*, NBD* et la répartition de charge) et le serveur d'applications. Le module Eclair est composé de trois serveurs dont 2 en conteneurs : le serveur maître ; le serveur ltspserver qui est le serveur LTSP (conteneur) ; 14

15 Fonctionnement du module Eclair le serveur ltspapps qui est le serveur d'applications (conteneur). Chacun de ces serveurs devra avoir sa propre adresse IP. Le choix de celles-ci dépend de la configuration retenue pour l'implantation du module Eclair. Il y a deux modes réseau pour le module Eclair : Le mode une carte Dans ce mode, le serveur Eclair ne comporte qu'une seule carte. Les clients légers sont donc sur le même réseau que les autres postes clients. Le mode deux cartes Dans ce mode, le serveur Eclair est installé "en coupure". Les clients légers sont sur un réseau différent et séparé du réseau local. 1 Le mode une carte 15

16 Fonctionnement du module Eclair Dans ce mode, le serveur Eclair ne comporte qu'une seule carte. Les clients légers sont donc sur le même réseau que les postes clients. Si le réseau du module Eclair une carte est alors les clients légers auront une adresse IP dans ce réseau réduit à la plage servie par le DHCP. Bien que dans ce mode, le module Eclair ne contienne qu'une seule carte physique, il va occuper 3 adresses IP valides sur le réseau où il est installé. En effet, le module Eclair repose sur la technologie LXC * et de ce fait, un serveur physique Eclair contient trois serveurs distincts possédant chacun son propre adressage. Exemple de choix des adresses IP Le module Eclair est placé sur le réseau /24. Les 3 adresses IP doivent se trouver sur ce réseau, comprises entre et Dans l'interface de configuration du module : L'adresse IP du serveur maître est celle que l'on saisie dans l'onglet Interface 0 Adresse IP de la carte ; L'adresse IP du serveur ltspapps est celle qui se configure dans l'onglet Ltsp Adresse IP du serveur d'applications ; L'adresse du serveur ltspserver est celle qui se configure dans l'onglet Ltsp Adresse IP du serveur ltsp. Truc & astuce Les différentes adresses n'ont pas besoin d'être contiguës mais il peut être utile d'utiliser une adresse n pour le serveur ltspserver et une adresse n+1 pour le serveur ltspapps afin de mémoriser leur ordre d'importance et de lancement. 2 Le mode deux cartes 16

17 Fonctionnement du module Eclair Dans ce mode, le serveur Eclair est installé "en coupure". Les clients légers sont sur un réseau différent et séparé du réseau courant. Toutes les transactions entre les clients et l'extérieur se font au travers du module Eclair. On peut par exemple insérer un serveur Eclair 2 cartes dans un réseau en lui donnant une seule adresse IP sur ce réseau et en attribuant une adresse IP à la deuxième carte physique sur un autre réseau. Ce réseau, par exemple sera celui des clients légers. Choix des adresses IP Le module Eclair est placé sur le réseau /24 alors il lui faut une adresse IP comprise entre et Le module Eclair a ensuite besoin de 3 adresses IP sur le réseau des clients légers comprises entre et , une pour l'interface physique du maître, une pour le serveur ltspapps et une pour le serveur ltspserver. L'adresse IP du serveur maître est celle que l'on saisie dans l'onglet Interface 0 Adresse IP de la carte ; L'adresse IP du serveur maître côté clients légers est celle que l'on saisie dans l'onglet Interface 1 Adresse IP de la carte ; L'adresse IP du serveur ltspapps est celle qui se configure dans l'onglet Ltsp Adresse IP du 17

18 Fonctionnement du module Eclair serveur d'applications ; L'adresse du serveur ltspserver est celle qui se configure dans l'onglet Ltsp Adresse IP du serveur ltsp. Truc & astuce Les différentes adresses n'ont pas besoin d'être contiguës mais il peut être utile d'utiliser une adresse n pour le serveur ltspserver et une adresse n+1 pour le serveur ltspapps afin de mémoriser leur ordre d'importance et de lancement. 3 Fonctionnement des clients légers Les clients légers ont besoin d'un certain nombre de services pour démarrer : Démarrage du client en PXE* (méthode recommandée) ; Requête DHCP* pour que le client léger récupère une adresse IP et les fichiers nécessaires à son démarrage ; Requête TFTP* pour télécharger le noyau, des scripts de démarrage initrd ; Le client léger démarre sur l'initrd et reconfigure sa carte réseau ; Montage par NBD* d'une image du système de fichiers et des applications embarquées, l'image correspond au fichier i386.img dans le conteneur ltspserver ; Le client léger s'approprie le nouveau système de fichiers (chroot * du nouveau système de fichiers) ; Le client léger lance un gestionnaire de connexion ; L'utilisateur se connecte au serveur de sessions. 18

19 Installation du module Eclair III Installation du module Eclair L'installation du module n'est pas détaillée dans cette documentation, veuillez vous reporter à la documentation EOLE 2.3, commune aux différents modules, à la documentation sur la mise en œuvre d'un module ou à la documentation complète du module. Après l'installation du module Eclair, il est nécessaire de procéder à la mise à jour du module et à l'installation des conteneurs. Mise à jour du module Pour effectuer la mise à jour du module sans prendre en compte le fichier de configuration config.eol, utiliser la commande : [Maj-Auto -i] Installation des conteneurs La génération des conteneurs se fait à l'aide de la commande suivante : [gen_conteneurs] Des logs sont disponibles durant la génération des conteneurs dans le fichier /var/log/isolation.log Remarque Le fichier /var/log/isolation.log est supprimé après que la commande [gen_conteneurs] se soit correctement terminée. Il ne reste en place que si la procédure ne s'est pas déroulée correctement. 19

20 Installation du module Eclair Par défaut, les conteneurs seront installés sur le réseau " /24". Si ce réseau est déjà utilisé dans votre architecture, il est possible de le changer. Pour installer les conteneurs sur un réseau différent, il est impératif d'ajouter l'option n à la commande [gen_conteneurs]. Par exemple : [gen_conteneurs -n ] Le nouveau réseau défini ne doit pas être utilisé dans votre architecture (et surtout pas sur les adresses physiques du serveur). Par contre, le masque sera obligatoirement Attention Attention, si vous utilisez cette fonctionnalité, les configurations générées sur le serveur Zéphir ne seront pas correctes (sur le serveur Zéphir, les adresses des différents conteneurs sont précalculées avec le réseau par défaut et ne sont pas modifiables dans l'interface). Par conséquent : n'utilisez pas cette option si vous comptez récupérer la configuration depuis un serveur Zéphir. 20

21 Configuration commune aux modules IV Configuration commune aux modules Les généralités sur la configuration et la configuration commune aux différents modules ne sont pas traités dans cette documentation, veuillez vous reporter à la documentation de mise en œuvre d'un module EOLE ou à la documentation complète du module. 21

22 Configuration du module Eclair V Configuration du module Eclair Dans l'interface de configuration du module voici les onglets spécifiques à la configuration du module Eclair : General (choix du mode) Services (activation/désactivation DHCP et PXE) Interface 0 (configuration de l'interface réseau eth0) Interface 1 (configuration d'une deuxième interface réseau dans le cas du choix du mode 2 cartes) Dhcp (configuration du serveur DHCP) Ltsp (configuration du serveur LTSP et du serveur d'applications) Tftp (configuration du serveur PXE/TFTP) 22

23 Configuration du module Eclair 1 Onglet General Le nombre d'interfaces à activer détermine le mode 1 carte ou le mode 2 cartes du module Eclair. Si une seule carte est activée, l'onglet Interface 1 disparaît. 23

24 Configuration du module Eclair 2 Onglet Services Pour un fonctionnement sans le module Scribe il faut passer Activer le client LDAP à la valeur non et laisser Activer DHCP à oui pour activer le serveur DHCP* sur le module Eclair. Activer l'agent Gaspacho est à non par défaut. Gaspacho* peut s'appliquer aux clients légers Eclair, son activation se fait de préférence sur le module Scribe. 3 Onglet Interface-0 Configuration de l'interface Cette interface correspond à l'interface eth0 de la machine, l'adresse IP choisie doit correspondre à l'adressage du réseau existant sur lequel sera installé le module Eclair. L'adresse IP de cette carte ne peut être que statique. Des valeurs par défaut vous sont proposées pour le Masque de sous réseau de la carte, l'adresse réseau de la carte et l'adresse broadcast de sous réseau de la carte. Ces valeurs sont calculées par rapport au choix initial de l'adresse IP de la carte réseau et s'affiche lorsque le focus est donné sur le champs à remplir. 24

25 Configuration du module Eclair Attention Si vous changez la valeur du champ Adresse IP de la carte par la suite, les valeurs du Masque de sous réseau de la carte, de l'adresse réseau de la carte et de l'adresse broadcast de sous réseau de la carte ne s'adaptent pas automatiquement. Il faut donc les adapter, à la main, en conséquence ou les faire re-cacluler à l'aide du bouton Def. Exemple Si le module Eclair est placé sur le réseau /24, il faut choisir une adresse IP libre comprise entre et Vérifiez les valeurs du Masque de sous réseau de la carte, de l'adresse réseau de la carte et de l'adresse broadcast de sous réseau de la carte. Exemple de valeurs Adresse IP de la carte : Masque de sous réseau de la carte : Adresse réseau de la carte : Adresse broadcast de sous réseau de la carte : Configuration de la passerelle Dans le champ Adresse IP de la passerelle par défaut saisissez l'adresse IP de la passerelle utilisée pour le réseau existant. Exemple de valeur Adresse IP de la passerelle par défaut :

26 Configuration du module Eclair 4 Onglet Interface-1 Cet onglet n'est disponible que si vous avez choisi le mode 2 cartes. L'interface Interface-1 correspond à l'interface eth1 de la machine, l'adresse IP choisie correspond à l'adressage du réseau entre le serveur et les clients Eclair. L'adresse IP de cette carte ne peut être que statique. Sur le réseau que vous allez déterminer pour le réseau "Eclair", il faut réserver 3 adresses IP, une pour l'interface physique eth1 et les 2 autres pour les serveurs ltspapps et ltspserver. Des valeurs par défaut vous sont proposées pour le Masque de sous réseau de la carte, l'adresse réseau de la carte et l'adresse broadcast de sous réseau de la carte. Ces valeurs sont calculées par rapport au choix initial de l'adresse IP de la carte réseau et s'affiche lorsque le focus est donné sur le champs à remplir. Attention Si vous changez la valeur du champ Adresse IP de la carte par la suite, les valeurs du Masque de sous réseau de la carte, de l'adresse réseau de la carte et de l'adresse broadcast de sous réseau de la carte ne s'adaptent pas automatiquement. Il faut donc les adapter, à la main, en conséquence ou les faire re-cacluler à l'aide du bouton Def. 26

27 Configuration du module Eclair Exemple Si le module Eclair est placé sur le réseau /24, il faut choisir une adresse IP libre comprise entre et Vérifiez les valeurs du Masque de sous réseau de la carte, de l'adresse réseau de la carte et de l'adresse broadcast de sous réseau de la carte. Exemple de valeurs Adresse IP de la carte : Masque de sous réseau de la carte : Adresse réseau de la carte : Adresse broadcast de sous réseau de la carte : Onglet Dhcp Choix des adresses en fonction du mode choisi : Si le mode 1 carte est activé sur le module Eclair, les paramètres du DHCP doivent être dans le même réseau que celui pour l'interface-0 (eth0). Si le mode 2 cartes est activé sur le module Eclair, les paramètres du DHCP doivent être dans le même réseau que celui pour l'interface-1 (eth1). 27

28 Configuration du module Eclair La plage DHCP doit contenir au moins autant d'adresses que le nombre de clients légers que vous souhaitez connecter à votre serveur Eclair. Le champ IP basse de la plage DHCP correspond, dans un réseau de classe C, à l'adresse IP dont le dernier octet a la valeur la plus petite. Le champ IP haute de la plage DHCP correspond, dans un réseau de classe C, à l'adresse IP dont le dernier octet a la valeur la plus grande. Le plage IP est déterminée par la différence entre la valeur la plus grande et la valeur la plus petite. Par exemple, les plages d'adresse IP choisie dans les deux exemples permet au serveur DHCP d'attribuer dynamiquement 20 adresses IP distinctes. Exemple de valeurs pour le mode 1 carte, le module Eclair étant placé sur le réseau /24 Adresse réseau de la plage DHCP : Adresse netmask de la plage DHCP : IP basse de la plage DHCP : IP haute de la plage DHCP : Exemple de valeurs pour le mode 2 carte, le module Eclair étant placé sur le réseau /24 Adresse réseau de la plage DHCP : Adresse netmask de la plage DHCP : IP basse de la plage DHCP : IP haute de la plage DHCP : Pour la configuration de l'adresse IP du routeur à renvoyer aux clients DHCP : dans le mode 1 carte l'adresse sera l'adresse IP de la passerelle saisie dans l'onglet Interface 0 ; dans le cas du mode 2 cartes l'adresse IP du routeur sera l'adresse IP de l'interface 1 (eth1). L'Adresse IP du DNS à renvoyer aux clients DHCP peut être l'adresse de votre FAI * pour une utilisation sans le module Amon. Si vous disposez d'un module Amon ou d'un module AmonEcole il est préférable de l'utiliser comme relais DNS*. Il est également possible d'utiliser des serveurs DNS disponibles sur Internet. 28

29 Configuration du module Eclair 6 Onglet Ltsp L'onglet Ltsp permet la configuration du serveur d'applications et la configuration du serveur LTSP. La configuration du serveur d'applications consiste au choix d'un nom d'hôte que l'on peut laisser par défaut et à la configuration de ses paramètres réseaux : Adresse IP du serveur d'applications : dans le cas du choix du mode 1 carte il faut choisir une adresse IP disponible sur le même réseau que le réseau de l'interface-0 (eth0) ; dans le cas du choix du mode 2 cartes il faut choisir une adresse IP disponible sur le même réseau que le réseau de l'interface-1 (eth1). Masque de sous réseau du serveur d'applications : une valeur par défaut est calculée par rapport au choix initial de l'adresse IP du serveur d'applications ; Broadcast du serveur d'applications : une valeur par défaut est également calculée par rapport au choix initial de l'adresse IP du serveur d'applications. Activation du montage NFS* : Activer le montage NFS pour /home : sans l'usage d'un module Scribe il faut laisser cette valeur à non. Exemple de valeurs pour le mode 1 carte, le module Eclair étant placé sur le réseau /24 Adresse IP du serveur d'applications : Masque de sous réseau du serveur d'applications : Broadcast du serveur d'applications :

30 Configuration du module Eclair Exemple de valeurs pour le mode 2 carte, le module Eclair étant placé sur le réseau /24 Adresse IP du serveur d'applications : Masque de sous réseau du serveur d'applications : Broadcast du serveur d'applications :

31 Configuration du module Eclair Attention Si vous changez la valeur du champ Adresse IP du serveur d'applications par la suite, les valeurs du Masque de sous réseau du serveur d'applications et de l'adresse de Broadcast du serveur d'applications ne s'adaptent pas automatiquement. Il faut donc les adapter, à la main, en conséquence. La configuration du serveur LTSP consiste au choix d'un nom d'hôte que l'on peut laisser par défaut et à la configuration de ses paramètres réseaux : Adresse IP du serveur ltsp : dans le cas du choix du mode 1 carte il faut choisir une adresse IP disponible sur le même réseau que le réseau de l'interface-0 (eth0) ; dans le cas du choix du mode 2 cartes il faut choisir une adresse IP disponible sur le même réseau que le réseau de l'interface-1 (eth1). Masque de sous réseau du serveur ltsp : une valeur par défaut est calculée par rapport au choix initial de l'adresse IP du serveur LTSP ; Broadcast du serveur ltsp : une valeur par défaut est également calculée par rapport au choix initial de l'adresse IP du serveur LTSP ; Exemple de valeurs pour le mode 1 carte, le module Eclair étant placé sur le réseau /24 Adresse IP du serveur ltsp : Masque de sous réseau du serveur ltsp : Broadcast du serveur ltsp : Exemple de valeurs pour le mode 2 carte, le module Eclair étant placé sur le réseau /24 Adresse IP du serveur ltsp : Masque de sous réseau du serveur ltsp : Broadcast du serveur ltsp :

32 Configuration du module Eclair Attention Si vous changez la valeur du champ Adresse IP du serveur ltsp par la suite, les valeurs du Masque de sous réseau du serveur ltsp et de l'adresse de Broadcast du serveur ltsp ne s'adaptent pas automatiquement. Il faut donc les adapter, à la main, en conséquence. 7 Onglet Tftp L'adresse IP du serveur PXE/TFTP doit normalement être la même que celle du serveur LTSP précédemment configurée. Celle-ci est calculée lorsqu'on donne le focus au champ Adresse IP du serveur PXE/TFTP. Les autres variables Répertoire sur le serveur PXE/TFTP et Chemin vers le fichier de boot PXE initial peuvent être laissées par défaut. 32

33 Configuration avancée du module Eclair VI Configuration avancée du module Eclair Cette partie n'est pas encore documentée #fixme 33

34 Configuration du module Eclair avec un module Scribe VII Configuration du module Eclair avec un module Scribe Utiliser le module Eclair conjointement avec le module Scribe permet : d'utiliser l'annuaire utilisateurs présent sur le module Scribe pour authentifier les utilisateurs sur le module Eclair ; d'utiliser les répertoires utilisateur présents sur le module Scribe (protocole NFS *) ; d'utiliser le service DHCP du module Scribe si le mode une carte a été choisi ; utiliser Gaspacho* présent sur le module Scribe. 1 Authentification, annuaire et montage des répertoires personnels Configuration Scribe-2.3 Sur le module Scribe il faut installer le paquet eole nfs : # apt eole install eole nfs Puis il faut autoriser le module Eclair à monter les export NFS du module Scribe. Pour cela il faut se rendre dans l'interface de configuration du module Scribe, dans l'onglet Nfs et saisir l'adresse IP (Interface-0) du module Eclair dans le champ Adresse IP autorisée à monter les exports NFS. Il faut ensuite procéder à la reconfiguration du module Scribe avec la commande [reconfigure]. Configuration Scribe

35 Configuration du module Eclair avec un module Scribe Sur le module Scribe il faut installer les paquets nfs : # apt get install nfs kernel server nfs common Puis il faut ajouter une ligne au fichier /etc/exports grâce à la commande suivante (en remplaçant ADRESSE_IP_DU_SERVEUR_ECLAIR par l'adresse IP du serveur Eclair (ATTENTION, c'est l'ip du maître pas celle de l'un des conteneurs) : # echo "/home ADRESSE_IP_DU_SERVEUR_ECLAIR(rw,fsid=0,insecure,no_subtree_check,async,root_squ ash)" >> /etc/exports Et redémarrer le service : # invoke rc.d nfs kernel server restart Configuration Eclair Sur le module Eclair il faut renseigner l'adresse du serveur NFS. Pour cela il faut se rendre dans l'interface de configuration du module Eclair, dans l'onglet Ltsp il faut passer la variable Activer le montage NFS pour /home à oui et saisir l'adresse IP du serveur NFS (module Scribe) dans le champ Adresse du serveur NFS pour monter /home. Il faut également activer le LDAP distant dans l'onglet Services passer Activer le client LDAP à la valeur distant. Il faut ensuite procéder à la reconfiguration du module Eclair à l'aide de la commande [reconfigure]. 35

36 Configuration du module Eclair avec un module Scribe 2 Gaspacho Pour installer le service Gaspacho sur le module Scribe il faut installer le paquet eole-gaspacho : # apt eole install eole gaspacho L'installation du paquet ajoute un nouveau service dans l'onglet Services de l'interface de configuration du module. Activer Gaspacho est par défaut à oui et un nouvel onglet nommé Gaspacho est disponible. Celui-ci vous permet de choisir qui détermine les entrées DNS via la variable Utiliser des entrées DNS des clients plutôt que le nom fourni par l'agent qui par défaut est à non, les entrées DNS sont donc imposées par l'agent Gaspacho. Gaspacho est une application qui permet de configurer automatiquement le poste de travail de l'utilisateur selon son profil. Pour activer l'agent Gaspacho sur les clients légers il faut activer le service dans l'onglet Services de l'interface de configuration du module Eclair en passant la variable Activer l'agent Gaspacho à oui. Il faut ensuite se rendre dans l'onglet Gaspacho agent et spécifier l'adresse IP du serveur Gaspacho dans le champ Adresse IP du serveur Gaspacho. Truc & astuce La variable Rendre impossible la connexion si l'agent Gaspacho fait une erreur permet d'empêcher le démarrage de la session graphique si Gaspacho ne démarre pas correctement. Cette option offre une sécurité si les règles Gaspacho ne s'applique pas sur le client. Les changement des paramètres de configuration nécessite la reconfiguration du module à l'aide de la commande [reconfigure]. Gaspacho est accessible sur le module à l'adresse Le compte à utiliser est le compte admin du module Scribe. 36

37 Configuration du module Eclair avec un module Scribe Plus d'informations sur Gaspacho sont disponibles dans la documentation dédiée et sur le site du projet : 37

38 Ajouts d'applications VIII Ajouts d'applications Il est possible de rendre disponibles de nouvelles applications sur les clients légers. Les applications peuvent être : non embarquées installées dans le conteneur ltspapps ; embarquées installées dans l'image embarquées. 1 Applications non embarquées Pour rendre disponible de nouvelles applications sur les clients légers il faut les installer dans le conteneur ltspapps. L'interface de configuration du module Eclair offre une facilité pour gérer les applications à ajouter, pour cela il faut passer en mode expert et se rendre dans l'onglet Ltsp. 38

39 Ajouts d'applications Dans l'onglet Valeur 1 saisir le nom du paquet de l'application à ajouter dans le champ Application à installer dans ltspapps. Pour ajouter une autre application il faut ouvrir un deuxième onglet. En cliquant sur + un onglet Valeur 2 apparaît. 2 Applications embarquées Certaines applications peuvent être installées de manière à être lancées depuis le client plutôt que sur le serveur. Cette fonctionnalité est très intéressante pour les applications nécessitant un accès physique au client comme par exemple Cheese (webcam) ou pour répartir la charge comme par exemple Firefox (plugin-flash). Des applications sont embarquées par défaut dans l'image fournie par le serveur : Firefox (paquets firefox, firefox-locale-fr, language-pack-fr et flashplugin-nonfree) VLC SMPlayer 39

40 Ajouts d'applications Mplayer Il est possible de désactiver cette fonctionnalité dans l'onglet Ltsp en mode expert dans l'interface de configuration du module. Pour cela il faut passer la valeur Activer les applications embarquées à non. En mode expert, il est également possible d'ajouter des applications embarquées de préférence avant l'instanciation. Dans l'onglet Valeur 1 saisir le nom du paquet de l'application à ajouter dans le champ Application à installer dans l'image embarquée. Pour ajouter une autre application il faut ouvrir un deuxième onglet. En cliquant sur + un onglet Valeur 2 apparaît. Le champ Dépôt supplémentaire pour l'image embarquée permet d'ajouter des dépôts comme par exemple des PPA*. Cela peut s'avérer pratique, par exemple pour récupérer des pilotes de TBI *. Pour se faire il suffit de saisir l'url du nouveau dépôt à ajouter. Pour ajouter un autre dépôt il faut ouvrir un deuxième onglet. En cliquant sur + un onglet Valeur 2 apparaît. 40

41 Ajouts d'applications Attention C'est le champ Distribution pour l'image embarquée qui détermine la version de la distribution utilisée pour les dépôts ajoutés. S'il est possible de changer la distribution il est préférable de privilégier Lucid ( sélectionné par défaut). Le changement de version nécessite de relancer l'instanciation si celle-ci a déjà été réalisée. 41

42 Lancement de l'instanciation IX Lancement de l'instanciation Pour lancer l'instanciation, faire : [instance /root/zephir.eol] Le compte rendu d'exécution est dans le fichier /var/log/creole.log En complément du traitement ci-dessus, l'instanciation : arrête et redémarre des services ; lance des commandes ; effectue certaines tâches en fonction des réponses aux dialogues proposés. 1 Les mots de passe Au premier lancement de l'instanciation, il est nécessaire de modifier les mots de passe : de l'utilisateur root ; du ou des utilisateurs à droits restreints (eole, eole2,...) ; de l'utilisateur admin sur Scribe, Horus et AmonEcole ; de l'utilisateur admin_zephir sur Zéphir. Remarque Sur un module Amon, en cas d'utilisation d'un réseau pédagogique et d'un réseau administratif, le second administrateur (eole2) permet d'administrer le réseau pédagogique. Par défaut, le système vérifie la pertinence des mots de passe. Pour cela, il utilise un système de "classe de caractères" : les lettres en minuscule [a-z] ; les lettres en majuscule [A-Z] ; les chiffres [0-9] ; les caractères spéciaux (exemple : $*ùµ%, ; :! /.?) ; 42

43 Lancement de l'instanciation Il faut utiliser différentes classes de caractères pour que le mot de passe soit considéré comme valide. Il n'est pas possible de réutiliser le mot de passe par défaut fournit à l'installation. Par défaut, voici les restrictions : une seule classe de caractères : impossible ; deux classes de caractères : 9 caractères ; trois et quatre classes : 8 caractères. Cette configuration est modifiable durant l'étape de configuration, en mode expert (onglet Systeme). Attention Il s'agit de comptes d'administration donc sensibles sur le plan de la sécurité. Il est important de renseigner des mots de passe forts. Cet article du CERTA donne une explication détaillée sur la stratégie des mots de passe. 2 L'enregistrement sur la base matériel Une base matériel a été mise en ligne afin de permettre aux utilisateurs de vérifier, avant achat, si le matériel est utilisé par d'autres. Dans cette action, le serveur fait une liste exhaustive du matériel détecté. Cette liste générée est ensuite envoyée au serveur matériel EOLE. L'exécution de la sonde dépend de votre réponse à la question : Pour enrichir cette base, acceptez vous l'envoi de la description matérielle de ce serveur? [oui/non] 43

44 Lancement de l'instanciation Remarque Les informations collectées sont anonymes. 3 Activation automatique des mises à jour hebdomadaire A la fin de la phase d'instanciation, la mise à jour automatique hebdomadaire est activée. Cette mise à jour sera effectuée selon le niveau défini durant la phase de configuration. La mise à jour permet de maintenir votre serveur avec le niveau de fonctionnalité le plus récent et surtout de bénéficier des dernières corrections. Certaines corrections peuvent combler des failles de sécurité importantes, il est donc important de les appliquer aussitôt qu'elles sont publiées. Il est conseillé d'effectuer la mise à jour immédiatement, comme proposé à la fin de l'instance. Une mise à jour est recommandée Faut il l'effectuer maintenant? [oui/non] 44

45 Lancement de l'instanciation L'heure est définie aléatoirement entre 01h00 et 05h59 un des sept jours de la semaine. 4 Le redémarrage Il est possible qu'un redémarrage soit proposé à la fin de l'instance. Si le noyau (Kernel) a été mis à jour, le serveur doit redémarrer pour pouvoir l'utiliser. Dans ce cas, la question suivante apparaîtra : Un redémarrage est nécessaire Faut il l'effectuer maintenant? [oui/non] ou la remarque suivante si vous avez mis à jour : Reconfiguration OK Reboot nécessaire 45

46 Administration commune aux modules X Administration commune aux modules Les généralités sur l'administration et l'administration commune aux différents modules ne sont pas traités dans cette documentation, veuillez vous reporter à la documentation de mise en œuvre d'un module EOLE ou à la documentation complète du module. 46

47 Préparation des clients légers XI Préparation des clients légers Les clients Eclair doivent pouvoir démarrer à travers le réseau. Il existe plusieurs méthodes : PXE*, disquette, CDROM, MBR*. Chaque méthode présente des avantages et des inconvénients et une complexité de mise en œuvre très différente. Démarrer le client avec la méthode PXE Cette méthode est efficace et simple à mettre en place. La plupart des cartes réseau offre maintenant la possibilité de démarrer directement à travers le réseau grâce au démarrage PXE. Il faut, si la carte le permet, activer cette fonctionnalité dans le paramétrage du BIOS* de la machine cliente. Aucun autre réglage n'est nécessaire. Pour certaines cartes réseau plus anciennes, il faut ajouter une ROM * sur la carte. 47

48 Utilisateurs locaux XII Utilisateurs locaux Eclair 2.3 est optimisé pour être utilisé avec un serveur de fichiers distant (en général le module Scribe ou le module Horus), mais il reste possible de créer des comptes utilisateurs directement sur le module Eclair. Les utilisateurs locaux sont à créer dans le conteneur ltspapps : Ils doivent être membres des groupes : fuse (Filesystem in Userspace) : accès aux périphériques amovibles (clé USB, disque externe) ; audio : accès aux périphériques audio (micro, enceintes, casque,...) ; video : accès aux périphériques vidéo (webcam). Pour que l'utilisateur est accès à l'outil de gestion des sessions graphiques Epoptes, il doit être membre du groupe epoptes. Exemple de l'ajout de l'utilisateur enseignant Depuis le serveur maître il faut se connecter en SSH* sur le conteneur ltspapps : # ssh ltspapps # adduser enseignant # adduser enseignant fuse # adduser enseignant audio # adduser enseignant video # adduser enseignant epoptes # exit Complément Pour connaître toutes les options de la commande adduser : # man adduser 48

49 Configuration des clients légers XIII Configuration des clients légers Pour configurer les clients légers il existe une interface web nommée Centre de contrôle LTSP-Cluster (LTSP-Cluster Control Center en anglais). Elle permet entre autres de créer des groupes de clients légers et consulter le journal des activités. L'interface web Centre de contrôle LTSP-Cluster est accessible depuis l'écran d'accueil des clients légers en cliquant sur l'url affichée : cluster control/admin/ 49

50 Configuration des clients légers Le Centre de contrôle LTSP-Cluster est également disponible depuis un navigateur une fois une session lancée sur le client : soit en consultant l'url cluster control/admin/ dans un navigateur ; soit en cliquant par le menu Outils système Information sur le client léger. 50

51 Configuration des clients légers Si vous n'utilisez pas le module Eclair conjointement avec le module Scribe, aucun mot de passe n'est demandé pour entrer dans LTSP-Cluster Control Center. Dans le cas d'une utilisation avec le module Scribe le compte à utiliser est le compte admin défini sur le module Scribe. Présentation des différents onglets : Terminaux : cet onglet permet de voir les différents paramètres assignés à un client léger ou un groupe de clients légers. Une partie des informations a été pré-remplie durant l'instanciation du serveur. Arborescence : cet onglet permet de créer/gérer des groupes de clients légers. Une fois que le groupe a été créé, vous pouvez lui ajouter des terminaux et des paramètres spécifiques dans l'onglet vu précédemment. Attributs et Imprimantes : ces deux onglets ne servent pas pour le moment. Journal des activités : cet onglet propose un log de l'activité du serveur et des clients (heure de démarrage, connexion/déconnexion ). Paramètres : c'est dans cet onglet que la configuration de l'interface elle-même peut être modifiée. Il est déconseillé de changer les paramètres de cet onglet car une partie des informations est réécrite à chaque reconfiguration du module. 51

52 Configuration des clients légers Maintenant dans l'onglet "Terminaux", vos clients légers sont associés au groupe que vous venez de créer et vous pouvez leur donner des options de configuration particulières par exemple. Pour gérer les clients par groupe, il faut se rendre dans l'onglet Arborescence : cliquer sur le bouton Créer un fils, entrer un nom pour le groupe dans le champ Entrez le nouveau nom de l'arborescence et cliquer sur Créer ; cliquer de-nouveau sur l'onglet Arborescence pour rafraîchir les informations ; en bas de page dans la zone intitulée Sélection de l'arborescence, il faut choisir dans la liste déroulante le groupe que vous venez de créer et cliquer sur Atteindre ; dans la zone Gérer les enfants de cet arborescence, sélectionner les adresses MAC* (la sélection multiple est possible en maintenant la touche [CTRL] enfoncée) correspondant aux clients légers ; cliquer sur le bouton Déplacer vers À partir du moment où les clients légers sont affectés à un groupe : l'écran d'accueil n'apparaît plus ; les réglages liés au groupe se font dans l'onglet Terminaux de l'interface du Centre de contrôle LTSP-Cluster. 52

53 Les sauvegardes XIV Les sauvegardes 1 Généralités sur la sauvegarde La sauvegarde (Backup, en anglais) consiste à dupliquer des données stockées dans le Système Informatique (SI) de l'entité, dans le but de les mettre en sécurité. Cette mise en sécurité a pour but de répondre à deux éventualités de restauration (l'opération inverse de la sauvegarde) : la restauration de tout ou partie du SI, suite à une dégradation importante du SI, voire une destruction (disaster recovery) ; la restauration de quelques fichiers, suite à une corruption ou une destruction limitée de données. On distingue trois types de sauvegardes : la sauvegarde totale (T) ; la sauvegarde différentielle (D) ; la sauvegarde incrémentale (I). La sauvegarde peut être réalisée localement, sur un média (serveur, disque, bande, CD-ROM) hébergé dans le SI, à des fins de restauration rapide, ou elle peut être archivée, voire externalisée. 53

54 Les sauvegardes 1.1. Sauvegarde totale Une sauvegarde totale ou complète, correspond à la copie intégrale d'un contenu à un instant T, sans prendre en compte l'historique. Coûteuse en temps et en espace, cette sauvegarde reste malgré tout la plus fiable, puisqu'elle assure à elle seule l'intégrité de l'ensemble des données sauvegardées. Il n'est pas judicieux de ne pratiquer que ce type de sauvegarde, car l'ensemble des données n'est jamais totalement modifié entre deux sauvegardes. Il existe deux autres méthodes qui procèdent à la sauvegarde des seules données modifiées et/ou ajoutées entre deux sauvegardes totales : la sauvegarde incrémentale ; la sauvegarde différentielle Sauvegarde incrémentale Une sauvegarde incrémentale réalise une copie des fichiers créés ou modifiés depuis la dernière sauvegarde quel que soit son type (complète, différentielle ou incrémentale). Une sauvegarde totale est réalisée le jour T. Le jour T+1, la sauvegarde incrémentale est réalisée par référence à la sauvegarde précédente, donc la sauvegarde T. Le jour T+2, la sauvegarde incrémentale est réalisée par référence à la sauvegarde précédente, à savoir T+1. Et ainsi de suite. La restauration d'un système complet à un jour donné (par ex : au jour T+3) se fait en appliquant la dernière sauvegarde complète (jour T), ainsi que toutes les sauvegardes incrémentales jusqu'au jour cible, à savoir T+1, T+2 et T+3. Lorsqu'il s'agit de la restauration d'un fichier ou d'un répertoire qui a été sauvegardé à la date T+3 (T étant le jour de la sauvegarde totale de référence), seule la sauvegarde incrémentale du jour T+3 est nécessaire Sauvegarde différentielle Une sauvegarde différentielle réalise une copie des fichiers crées ou modifiés, en se basant sur les différences constatées avec la dernière sauvegarde totale (quelles que soient les sauvegardes intermédiaires). 54

55 Les sauvegardes Attention La notion de sauvegarde différentielle peut varier suivant la solution de sauvegarde utilisée. Cette présentation est fidèle à l'outil de sauvegarde choisi par EOLE Des outils de sauvegarde Les systèmes GNU/Linux embarquent depuis toujours des outils unitaires d'archivage qui permettent de réaliser des embryons de stratégie de sauvegarde. Ainsi des outils tels que la commande tar permettent de créer des archives sur des médias locaux (disques, ou lecteurs de bandes). Via des scripts se basant sur les dates de modifications, il est possible d'implémenter les méthodes de sauvegarde détaillées dans les paragraphes précédents. Des outils plus complexes, et souvent propriétaires, ont été développés depuis, pour faciliter la création de ces sauvegardes (gestion du contenu à sauvegarder), mais aussi pour faciliter la gestion du calendrier de sauvegarde (programmation des tâches et des successions de sauvegardes). Enfin, la plupart de ces outils intègrent la gestion de la restauration, avec la possibilité de choisir la date cible à restaurer. Les solutions logicielles les plus connus sont : Tivoli Storage Manager (TSM) - IBM Time Navigator - Atempo Arkeia Network Backup - Arkeia ARCserve Backup - Computer Associate Networker - EMC/Legato Bacula - Bacula 55

56 Les sauvegardes 2 La sauvegarde EOLE EOLE utilise l'outil de sauvegarde libre Bacula. Bacula permet de sauvegarder : des fichiers / dossiers ; des exports : MySQL / OpenLDAP / quotas ; les permissions UNIX (droits POSIX*) ; les ACLs*. Bacula permet de sauvegarder des données (indifféremment sur des disques locaux ou distants, des bandes magnétiques), de gérer un nombre important et non limité de clients, et évidemment de restaurer facilement les sauvegardes. Bacula supporte, entre autres, la possibilité de faire des sauvegardes sur plusieurs unités de stockage, si la capacité est insuffisante Le vocabulaire Bacula Bacula utilise un nombre important de ressources pour définir une sauvegarde. Quelques définitions Job L'objet le plus élevé est la définition d'un Job, représentant une "sauvegarde" au sens Bacula du terme. Un Job Bacula est une ressource de configuration qui définit le travail que Bacula doit effectuer pour sauvegarder ou restaurer un client particulier. Un Job consiste en l'association d'un type d'opération à effectuer (Type : backup, restore, verify, etc.), d'un niveau de sauvegarde (Level : Full, Incremental,...), de la définition d'un ensemble de fichiers et répertoires à sauvegarder (FileSet), et d'un lieu de stockage où écrire les fichiers (Storage, Pool). 56

57 Les sauvegardes Schedule Un Job peut être immédiat, mais dans une stratégie de sauvegarde, il est généralement planifié via la ressource Schedule. Le schedule détermine la date et l'instant où le job doit être lancé automatiquement, et le niveau (total, différentiel, incrémental...) du job en question. Cette directive est optionnelle. Si elle est omise, le job ne pourra être exécuté que manuellement via la Console. Volume Un Volume est une unité d'archivage, usuellement une cartouche ou un fichier nommé sur disque où Bacula stocke les données pour un ou plusieurs jobs de sauvegarde. Tous les volumes Bacula ont un label unique (logiciel) écrit sur le volume par Bacula afin qu'il puisse être assuré de lire le bon volume. En principe, il ne devrait pas y avoir de confusion avec des fichiers disques, mais avec des cartouches, le risque d'erreur est plus important. Les volumes ont certaines propriétés comme la durée de rétention des données et la possibilité d'être recyclés une fois cette durée de rétention expirée; ceci afin d'éviter de voir grossir indéfiniment l'espace disque occupé par les sauvegardes. Pool La ressource Pool définit l'ensemble des Volumes de stockage (cartouches ou fichiers) à la disposition de Bacula pour écrire les données. En configurant différents Pools, vous pouvez déterminer quel ensemble de volumes (ou média) reçoit les données sauvegardées. Ceci permet, par exemple, de stocker les sauvegardes totales sur un ensemble de volumes, et les sauvegardes différentielles et incrémentales sur un autre. De même, vous pouvez assigner un ensemble de volumes à chaque machine sauvegardée. FileSet Un FileSet est une ressource qui définit les fichiers à inclure dans une sauvegarde. Il consiste en une liste de fichiers ou répertoires inclus, une liste de fichiers ou répertoires exclus et la façon dont les fichiers seront stockés (compression, chiffrement, signatures). 57

58 Les sauvegardes Storage Cette ressource définit les services de stockage que peut contacter le directeur. On y retrouve les répertoires de travail du processus, le nombre de Jobs concurrents qu'il est capable de traiter, et éventuellement, la définition des adresses IP des clients dont il accepte les connexions. Chaque Job est associé à une ressource Storage. Une ressource Storage peut être associée à plusieurs Jobs. Device Véritable destination physique de la sauvegarde, la ressource Device fait le lien entre le matériel de sauvegarde (lecteur de bandes, robots de sauvegarde, mais aussi disques locaux - internes comme externes) et la ressource Storage. Catalog La ressource Catalog précise quel catalogue utiliser pour le job courant. Actuellement, Bacula ne peut utiliser qu'un type de serveur de bases de données défini lors de sa configuration : SQLite, MySQL, PostgreSQL. En revanche, vous pouvez utiliser autant de catalogues que vous le souhaitez. Par exemple, vous pouvez avoir un catalogue par client, ou encore un catalogue pour les sauvegardes, un autre pour les jobs de type Verify et un troisième pour les restaurations. Le catalogue (ressource Catalog) est une base de données utilisée pour stocker : des informations sur les fichiers: la liste, les permissions, l'emplacement sur les volumes de sauvegarde, etc. la définition de la configuration de Bacula. Actuellement, trois formats de bases de données sont supportés : SQLite, MySQL et PostgreSQL. SQLite est conseillé pour de petites installations, alors que MySQL est préférable pour les installations d'entreprise (à partir d'une dizaine de clients). Attention, l'interface web ne fonctionne qu'avec les versions MySQL et PostgreSQL. Le catalogue est une pièce majeure de Bacula, et doit également faire partie du plan de sauvegarde. Ce catalogue peut rapidement devenir volumineux, il faut veiller au taux d'occupation et à la performance de la base de données. Point important, la configuration de Bacula se fait à deux niveaux: les fichiers de configuration ; la base de données. 58

59 Les sauvegardes Bacula lit les fichiers de configuration au démarrage, et inscrit les valeurs dans la base de données du Catalogue. C'est le Catalogue qui définit la configuration utilisée par Bacula, donc il faut préférer le résultat des commandes console aux valeurs des fichiers Architecture de Bacula Bacula est construit suivant une architecture distribuée : 59

60 Les sauvegardes le serveur directeur (backup server) est l'élément central, qui supervise et archive les opérations de sauvegarde et de restauration, le nom du service sur un module EOLE est bacula-director ; le serveur base de données (database server) gère le catalogue dans lequel le directeur archive les opérations et l'emplacement des fichiers dans les différents volumes de sauvegarde, au format SQLite et sur le même serveur que le directeur sur un module EOLE ; le serveur de stockage (storage server) est le serveur qui prend en charge l'écriture et la lecture des 60

61 Les sauvegardes volumes de sauvegarde, le nom du service sur un module EOLE est bacula-sd ; le serveur de lecture/écriture de fichiers (file server) exécute les commandes de lecture/écriture des fichiers gérés par la sauvegarde sur chaque poste où il est installé, le nom du service sur un module EOLE est bacula-fd ; La communication entre chaque serveur est associée à un mot de passe. Ces différents serveurs peuvent être : installés sur la même machine sans problème ; présents en plusieurs exemplaires (on peut dupliquer les destinations de sauvegardes, avoir plusieurs directeur, etc.). La configuration Bacula sur un module EOLE ne permet pas la séparation du serveur directeur, du serveur base de données et du serveur de fichiers. Cette partie de la configuration est appelée directeur dans la suite de la documentation. Par contre, il est possible de déporter le serveur de stockage sur un serveur disposant d'un disque de sauvegarde. Pour résumer, 3 services liés aux sauvegardes se retrouvent sur un module EOLE : bacula-director bacula-sd bacula-fd Truc & astuce Plusieurs directeurs peuvent envoyer les données sur un unique serveur de stockage en établissement. Il est également possible de copier les sauvegardes au travers d'autres protocoles réseau : rsync, samba, ssh, etc. Attention Certaines infrastructures nécessitent une dégradation des fonctionnalités des modules EOLE comme la désactivation des mises à jour automatiques pour que la sauvegarde distante fonctionne correctement. Le déport du service bacula sd sur un autre serveur que bacula dir ne permet pas de gérer correctement les verrous des tâches d'administration sur ce serveur : bacula dir ne permet pas de signaler efficacement à bacula sd qu'une sauvegarde est lancée et qu'il doit poser un verrou empêchant les autres tâches d'administration. 61

62 Les sauvegardes 2.3. Configuration des sauvegardes La configuration des sauvegardes consiste en une activation sur le module et en une configuration qui peut se faire soit par l'ead soit en ligne de commande. Certaines infrastructures de sauvegarde sont permises par l'éditeur de configuration des modules EOLE (sauvegarde distante) mais posent des problèmes opérationnels étant donnée la gestion automatique des sauvegardes et des mises à jour. L'infrastructure compatible avec le fonctionnement des modules EOLE est l'utilisation des différents services bacula sur une même machine Activation et configuration de Bacula Avant tout, vérifier que Bacula est bien activé dans l'onglet Services de l'interface de configuration du module. Suite à l'activation, un onglet Bacula apparaît dans l'interface de configuration du module. Dans cet onglet il faut activer localement le directeur, définir si le serveur de stockage est distant ou local et configurer les périodes de rétention. Configuration du directeur Si le directeur n'est pas activé localement sur le module, aucune sauvegarde ne sera effectuée. Le nom du directeur est une information importante. Ce nom est utilisé en interne dans le logiciel mais, surtout, il est nécessaire pour configurer un client Bacula ou pour joindre un serveur de stockage externe. 62

63 Les sauvegardes Attention Ne changez jamais le nom du directeur après l'instanciation du serveur. Cette variable est utilisée dans les noms des fichiers de sauvegarde. Ensuite, il est nécessaire de définir les durées de rétention * des différents espaces de stockage (totale, différentielle et incrémentale). La durée de rétention des fichiers détermine le temps de conservation avant l'écrasement. Plus les durées de rétention sont importantes, plus l'historique sera important et plus l'espace de stockage nécessaire sera important. Exemple Il peut être intéressant de conserver un historique long mais avec peu d'états intermédiaires. Pour cela, voici un exemple de configuration : 6 mois de sauvegardes totales ; 5 semaines de sauvegardes différentielles ; 10 jours de sauvegardes incrémentales. Avec la politique de sauvegarde suivante : une sauvegarde totale par mois ; une sauvegarde différentielle par semaine ; une sauvegarde incrémentale du lundi au vendredi. Dans l'historique, il y aura donc une sauvegarde par jour de conservée pendant 10 jours, une sauvegarde par semaine pendant 5 semaines et une sauvegarde mensuelle pendant 6 mois. 63

64 Les sauvegardes Attention Une modification de la durée de rétention en cours de production n'aura aucun effet sur les sauvegardes déjà effectuées, elles seront conservées et recyclées mais sur la base de l'ancienne valeur. Afin de prendre en compte la nouvelle valeur, il faut vider le support de sauvegarde ou prendre un support de sauvegarde ne contenant aucun volume et ré-initialiser la base de données Bacula avec la commande : # /usr/share/eole/posttemplate/00 bacula instance Le catalogue Bacula a déjà été initialisé, voulez vous le réinitialiser? [oui/non] oui La commande doit être impérativement suivie d'un reconfigure : # reconfigure Truc & astuce En mode expert, il est possible de définir l'algorithme de compression utilisé pour le stockage. Il est possible de choisir de aucune compression à une compression maximum GZIP9. Le taux de compression est exprimé par un chiffre de 1 à 9, proportionnel à l'efficacité. Plus l'algorithme est efficace, moins il nécessite d'espace mais plus il alourdit la charge système et allonge la durée du processus de sauvegarde. Au delà de 6, valeur proposée par défaut, le gain de place est faible par rapport à l'allongement de la durée de traitement. 64

65 Les sauvegardes Configuration du stockage Le stockage peut être local ou distant. Dans le cas d'un serveur distant (Activer le serveur de stockage localement à non), il faut configurer l'adresse IP et le mot de passe du serveur de stockage distant. Dans le cas d'un serveur local aucun paramètre n'est à configurer. Par contre de nouveaux paramètres apparaissent vous permettant éventuellement d'autoriser des directeurs à se connecter au présent stockage. Attention Certaines infrastructures nécessitent une dégradation des fonctionnalités des modules EOLE comme la désactivation des mises à jour automatiques pour que la sauvegarde distante fonctionne correctement. Le déport du service bacula sd sur un autre serveur que bacula dir ne permet pas de gérer correctement les verrous des tâches d'administration sur ce serveur : bacula dir ne permet pas de signaler efficacement à bacula sd qu'une sauvegarde est lancée et qu'il doit poser un verrou empêchant les autres tâches d'administration. Autoriser des directeurs à se connecter au stockage Il peut être intéressant de connecter un directeur Bacula distant au serveur de stockage local. Pour ce faire il faut autoriser une ou plusieurs adresses IP à se connecter sur le serveur. Le mot de passe est par défaut régénéré à chaque reconfiguration, il est donc nécessaire de le fixer si l' on veut pouvoir connecter un client. 65

66 Les sauvegardes Attention Les sauvegardes sont des informations sensibles. Il ne faut pas utiliser de mot de passe facilement déductible. Pour que les modifications soient prises en compte, une reconfiguration du serveur est nécessaire avec la commande : [reconfigure] Configuration depuis l'ead Une fois le stockage Bacula activé dans l'interface de configuration du module, il faut configurer le support de sauvegarde. Le menu Sauvegardes de l'ead propose une interface simplifiée pour la configuration du support de sauvegarde et le paramétrage facultatif de l'envoi des rapports. Configuration du support Trois supports de sauvegarde sont proposés : SMB Disque USB local Configuration manuelle du support Le point de montage du support est dans les trois cas de figure : /mnt/sauvegardes SMB : la sauvegarde se fait à travers un partage SMB *. Il est préférable de déporter le serveur de stockage Bacula plutôt que d'utiliser le protocole SMB *. Ce type de sauvegarde sera utilisé, par exemple, pour les NAS *. Les informations suivantes sont demandées : Nom de machine de la machine distante ; IP de la machine distante ; le nom du Partage ; optionnellement le Login, le Mot de passe. Attention Les informations stockées dans les sauvegardes sont sensibles, il donc préférable de toujours authentifier l'accès aux partages contenant les données. Disque USB local : la sauvegarde se fait sur un support nécessitant un montage (disque USB, 66

67 Les sauvegardes disque interne, etc.), contrôlé avant chaque sauvegarde. Le chemin d'accès à saisir correspond au nœud du périphérique (par exemple /dev/hda1). Attention Méthode purement locale à la machine, cette méthode est donc sensible aux corruptions éventuelles du serveur. configuration manuelle du support : comme son nom l'indique elle permet à l'utilisateur de définir sa propre destination de sauvegarde via les outils Bacula. Ce choix correspond généralement à l'utilisation de lecteurs de bandes et s'intègre dans une stratégie de sauvegarde à plus grande échelle. Le point de montage par défaut est toujours /mnt/sauvegardes. Le montage n'est pas contrôlé. 67

68 Les sauvegardes Le pilote est dépendant du matériel, le lecteur de bande doit être configuré manuellement. Pour information, le fichier template concerné baculasupport.conf est dans /usr/share/eole/creole/distrib/ Pour que la solution soit pérenne il est nécessaire de créer un patch EOLE *. Consulter la documentation sur la personnalisation d'un serveur à l'aide de Creole Voir la documentation officielle de Bacula pour le paramétrage : Attention Le support doit être monté sur /mnt/sauvegardes et l'utilisateur bacula doit avoir les droits en écriture : Pour connaître les périphériques qui sont montés # mount Pour monter le périphérique # /usr/share/eole/bacula/baculamount.py mount Lire les droits du répertoire sauvegardes : # ls l /mnt # rwxr xr x 2 bacula root 4096 févr :08 sauvegardes Si les droits ne sont pas bons, utiliser la commande suivante : # chown R bacula:root /mnt/sauvegardes Paramètres pour l'envoi de rapports L'envoi de courriels est proposé si le directeur Bacula est activé sur le serveur. EOLE offre la possibilité d'envoyer deux types de courriel : les rapports d'erreurs de Bacula ; les rapports de sauvegarde réussie. 68

69 Les sauvegardes Il est recommandé de définir les deux types d'envoi. Le premier type de rapport informe que la sauvegarde s'est mal déroulée, alors que le second informe qu'une sauvegarde s'est bien déroulée. Penser à configurer correctement votre relai SMTP*. Truc & astuce Il est possible de déclarer plusieurs destinataires en séparant les adresses par des virgules. Exemple : admin@ac dijon.fr,technicien@ac dijon.fr Configuration depuis la ligne de commande Il n'est pas nécessaire de passer par l'ead pour configurer le support de sauvegarde. L'ensemble des paramétrages peut être réalisé avec le script [baculaconfig.py]. Les informations définies dans l'ead sont modifiables en ligne de commande et inversement. Configuration du support Si le support est un partage SMB : # /usr/share/eole/bacula/baculaconfig.py s smb smb_machine=nom_machine smb_ip=adresse_ip smb_partage=nom_du_partage smb_login=login smb_password=mot_de_passe Si le support est un disque USB local : # /usr/share/eole/bacula/baculaconfig.py s usb usb_path=/dev/device_usb Si le support est à configurer manuellement : # /usr/share/eole/bacula/baculaconfig.py s manual Vous devez ensuite configurer le support dans le fichier template /usr/share/eole/creole/distrib/baculasupport.conf Pour que la solution soit pérenne il est nécessaire de créer un patch EOLE. Truc & astuce Pour tester le support de sauvegarde (USB local ou SMB), il est possible d'utiliser le script [baculamount.py] : # /usr/share/eole/bacula/baculamount.py t Test de montage OK En cas d'échec du montage, la commande donne un indice sur la cause : permissions : bacula n'a pas le droit d'écrire sur le support de sauvegarde monté ; 69

70 Les sauvegardes point de montage : le périphérique monté sur /mnt/sauvegardes ne correspond pas à la configuration de bacula ; montage : aucun montage ne correspond à /mnt/sauvegardes Paramètres pour l'envoi de rapports La configuration de l'adresse courriel se fait de la façon suivante : # /usr/share/eole/bacula/baculaconfig.py m mail_ok=adresse_courriel mail_error=adresse_courriel Les paramètres --mail_ok et --mail_error ne sont pas obligatoires. Attention A chaque fois que vous configurez les adresses courriels, vous supprimez la configuration précédente. Il n'est pas possible de modifier une seule des deux adresses mail_ok ou mail_error. Si l'un des deux paramètres n'est pas spécifié, les adresses associées seront supprimées de la configuration de Bacula. Afficher la configuration Il est possible de lister l'ensemble des paramètres depuis la ligne de commande avec la commande [baculaconfig.py] : # /usr/share/eole/bacula/baculaconfig.py d Support : {'usb_path': '/dev/sdb1', 'support': 'usb'} Mail : {} Programmation : non configuré 2.4. Programmation des sauvegardes Une fois le support de sauvegarde défini, il est possible de programmer un type de sauvegarde par périodicité. Cette programmation se fait soit par l'ead soit depuis la ligne de commande. EOLE propose trois périodicités et trois types de sauvegarde pour la programmation des sauvegardes : Périodicité Type de sauvegarde sauvegardes mensuelles totale 70

71 totale, différentielle, incrémentale sauvegardes quotidiennes totale, différentielle, incrémentale Les sauvegardes sauvegardes hebdomadaires En plus des périodicités proposées, il est possible de lancer une sauvegarde immédiate ou différée de type totale, différentielle ou incrémentale. Seules les sauvegardes totales sont possibles dans le cas de la périodicité mensuelle. Les sauvegardes mensuelles se font la première semaine du mois. Si une autre sauvegarde est programmée la même nuit, celle-ci sera automatiquement reportée à la semaine d'après. Les sauvegardes se programment pour une nuit de la semaine. Une nuit va de 12h à 11h59. Pour les sauvegardes quotidiennes, il est possible de choisir une plage de jours. Programmation depuis l'ead Le menu Sauvegardes de l'ead propose une interface simplifiée pour programmer des sauvegardes périodiques ou pour lancer une sauvegarde unique immédiate ou différée. 71

72 Les sauvegardes Programmation depuis la ligne de commande Pour ajouter une nouvelle programmation, il faut connaître les paramètres suivants : choix de la périodicité : quotidienne daily, hebdomadaire weekly ou mensuelle monthly ; le type : totale Full, différentielle Differential ou incrémentale Incremental ; le jour de la semaine : de 1 (pour la nuit de dimanche à lundi) à 7 (pour la nuit du samedi à dimanche) ; en cas de sauvegarde quotidienne, éventuellement le jour de fin : de 1 à 7 ; l'heure de la sauvegarde : de 0 à 23, sachant que la nuit commence à 12h et fini à 11h le lendemain Exemple pour ajouter une programmation de sauvegarde depuis la ligne de commande : /usr/share/eole/bacula/baculaconfig.py j daily job_level=incremental job_day=2 job_end_day=5 job_hour=22 Les programmations ajoutées depuis la ligne de commande sont également visibles dans l'ead. Il est également possible de lancer une sauvegarde immédiate. Il est nécessaire de choisir le type de sauvegarde totale (Full), différentielle (Differential) ou incrémentale (Incremental). Si aucune sauvegarde n'a été effectuée préalablement sur le serveur, la première sauvegarde sera automatiquement une sauvegarde totale. Pour effectuer une sauvegarde immédiate, il faut exécuter la commande suivante : /usr/share/eole/bacula/baculaconfig.py n level=full Il est possible de suivre l'évolution de la sauvegarde dans le fichier /var/log/rsyslog/local/bacula dir/bacula dir.err.log 72

73 Les sauvegardes Truc & astuce /usr/share/eole/bacula/baculaconfig.py help donne la liste des options de baculaconfig.py Il existe également des pages de manuel : man bacula, man bacula dir,... Afficher la configuration Il est possible de lister l'ensemble de la configuration depuis la ligne de commande avec la commande [baculaconfig.py] : # /usr/share/eole/bacula/baculaconfig.py d Support : {'usb_path': '/dev/sdb1', 'support': 'usb'} Mail : {} Programmation : 1 : Sauvegarde totale dans la première nuit du mois du mercredi au jeudi à 02:00 2 : Sauvegarde incrémentale de la nuit du lundi au mardi à la nuit au vendredi à 22:00 3 : Sauvegarde totale dans la première nuit du mois du lundi au mardi à 21:00 Supprimer un job Il est possible de supprimer un job depuis la ligne de commande grâce à la commande [baculaconfig.py]. Elle s'utilise comme suit : # /usr/share/eole/bacula/baculaconfig.py x <numéro_job> ou encore : # /usr/share/eole/bacula/baculaconfig.py job_to_delete=<numéro_job> 2.5. La première sauvegarde Le menu Sauvegardes de l'ead propose une interface simplifiée pour lancer une première sauvegarde total, il faut choisir la sauvegarde immédiate dans le menu. 73

74 Les sauvegardes messages ERR dans les journaux systèmes Les journaux systèmes sont disponibles dans : /var/log/rsyslog/local/bacula-director/ /var/log/rsyslog/local/bacula-sd/ /var/log/rsyslog/local/bacula-fd/ Des avertissements considérés comme normaux (ERR=) apparaissent dans les journaux systèmes à la première sauvegarde. Feb 20 11:48:45 scribe bacula dir: scribe dir JobId 3: Max Volume jobs=1 exceeded. Marking Volume "scribe dir catalog 0003" as Used. Feb 20 11:48:45 scribe bacula dir: scribe fd JobId 3: Could not stat "/etc/eole/bacula.conf": ERR=No such file or directory Feb 20 11:48:45 scribe bacula dir: scribe fd JobId 3: Could not stat "/var/lib/bacula/scribe dir JobDefsCatalog.bsr": ERR=No such file or directory Feb 20 11:48:45 scribe bacula dir: scribe fd JobId 3: shell command: run ClientAfterJob "/usr/share/eole/sbin/baculaconfig.py unlock backup_ok jobtype=catalogue" Le fichier /etc/eole/bacula.conf est un fichier optionnel pour spécifier des options de montage différentes des options par défaut (NFS par exemple). Le fichier /etc/bacula/baculafichiers.d/bacula.conf contient la liste des fichiers à sauvegarder pour tous les modules EOLE (templates, dicos locaux, patchs, etc.). Le fichier.bsr (/var/lib/bacula/scribe-dir-jobdefscatalog.bsr dans l'exemple) lui n'existe pas car il est créé à la première sauvegarde du catalogue Bacula. 74

75 Les sauvegardes D'autres avertissements peuvent apparaître dans les journaux systèmes lors des sauvegardes en fonction des services qui sont activés sur le module. Ils correspondent à des fichiers listés dans /etc/bacula/baculafichiers.d/. Feb 20 11:48:38 scribe bacula dir: scribe fd JobId 2: Could not stat "/etc/cups/printers.conf": ERR=No such file or directory Feb 20 11:48:38 scribe bacula dir: scribe fd JobId 2: Could not stat "/etc/cups/ppds.dat": ERR=No such file or directory Feb 20 11:48:38 scribe bacula dir: scribe fd JobId 2: Could not stat "/var/lib/samba/ntdrivers.tdb": ERR=No such file or directory Feb 20 11:48:38 scribe bacula dir: scribe fd JobId 2: Could not stat "/var/lib/samba/ntforms.tdb": ERR=No such file or directory Feb 20 11:48:38 scribe bacula dir: scribe fd JobId 2: Could not stat "/var/lib/samba/ntprinters.tdb": ERR=No such file or directory 3 La restauration des sauvegardes EOLE La restauration peut être : complète, elle va restaurer l'ensemble des bases de données, l'annuaire, les quotas,... ainsi que l'ensemble des fichiers sauvegardés. partielle, elle peut restaurer l'ensemble ou une partie des fichiers sauvegardés Restauration complète La restauration d'un serveur se fait sur un serveur instancié. Préparation du serveur 75

76 Les sauvegardes Mise à jour Idéalement, le niveau de mise à jour du serveur avant restauration doit être identique au niveau du serveur sauvegardé. Mettre à jour les paquets : [Maj-Auto -i] Choix du mode conteneur ou non Si le serveur sauvegardé était en mode conteneur, il faut re-créer les conteneurs, avec la commande [gen_conteneurs]. Configurer Bacula si le serveur est enregistré dans Zéphir, il faudra redescendre la configuration en ré-enregistrant le serveur avec la commande [enregistrement_zephir] ; si le serveur n'est pas enregistré dans Zéphir, il sera nécessaire de récupérer la sauvegarde de la configuration sur le support de sauvegarde. Configuration de Bacula pour un serveur non enregistré dans Zéphir # /usr/share/eole/bacula/baculaconfig.py s usb usb_path=/dev/device_usb Il est normal d'avoir le message suivant lors de l'utilisation de [baculaconfig.py] : Fichier template /var/lib/creole/baculasupport.conf inexistant Il peut être utile de configurer l'envoi des courriels en même temps que le support de sauvegarde. # /usr/share/eole/bacula/baculaconfig.py m mail_ok=mailok@ac dijon.fr mail_error=mailerror@ac dijon.fr Montage du support Une fois que le serveur est enregistré dans Zéphir ou que le support est configuré, il faut monter le support de sauvegarde : # /usr/share/eole/bacula/baculamount.py mount Montage OK 76

77 Les sauvegardes Récupération du catalogue Pour récupérer le catalogue de sauvegarde il est nécessaire de connaître le nom du directeur. Le nom du directeur est, par défaut, de la forme : nom_du_module-dir (par exemple : scribe-dir). Si vous ne vous souvenez plus du nom du directeur de votre serveur, il suffit de regarder le contenu du support de sauvegarde : # ls /mnt/sauvegardes/* catalog 0003 /mnt/sauvegardes/amonecole dir catalog 0003 Le directeur est dans ce cas amonecole-dir Lancer la récupération du catalogue : # /usr/share/eole/bacula/bacularestore.py catalog nom_du_directeur Restauration du catalog Pas de fichier /var/lib/eole/config/baculajobs.conf dans le volume nom_du_directeur catalog 0003 Pas de fichier /etc/eole/bacula.conf dans le volume nom_du_directeur catalog 0003 Les messages concernant l'absence de certains fichiers sont normaux. Démontage du support Pour démonter le support de sauvegarde : # /usr/share/eole/bacula/baculamount.py umount Instanciation Instancier maintenant votre serveur avec la commande : [instance zephir-restore.eol] Si vous avez enregistré votre serveur sur Zéphir, il est possible d'utiliser directement le fichier de configuration zephir.eol À l'étape de Postconfiguration, sauf besoin exceptionnel il ne faut pas réinitialiser le catalogue : Le catalogue Bacula a déjà été initialisé, voulez vous le réinitialiser? [oui/non] Ne pas tenir compte du message d'erreur suivant : ERREUR : /var/lib/eole/config/shedule.conf not exist Restauration 77

78 Les sauvegardes Avant de lancer la restauration il est préférable de vérifier que le chemin du nœud du périphérique est toujours bon. Il peut changer en fonction du nombre de périphériques connectés : # /usr/share/eole/bacula/baculamount.py t Si le périphérique n'a plus le même nœud la commande [baculamount.py] renvoie : ERREUR : le périphérique /dev/sdb1 n'existe pas Il faut alors changer la configuration du support : # /usr/share/eole/bacula/baculaconfig.py s usb usb_path=/dev/device_usb Le test de montage doit renvoyer OK : # /usr/share/eole/bacula/baculamount.py t Test de montage OK Lister l'ensemble de la configuration : # /usr/share/eole/bacula/baculaconfig.py d La restauration complète du serveur va restaurer l'ensemble des bases de données, l'annuaire, les quotas,... ainsi que l'ensemble des fichiers sauvegardés. Pour ce faire il faut utiliser la commande [bacularestore.py] : # /usr/share/eole/bacula/bacularestore.py all Il est possible de suivre l'évolution des restaurations dans le fichier de log : /var/log/bacula/restore.txt Les informations peuvent mettre un peu de temps avant d'apparaître car Bacula ne les "flush" pas tout de suite dans son fichier de log. Si rien n'apparaît dans un délai raisonnable il faut vérifier le chemin du nœud du périphérique. Lorsque la restauration complète est terminée, re-configurez votre serveur avec la commande [reconfigure] Restauration partielle Rechercher un fichier à restaurer 78

79 Les sauvegardes Pour rechercher un fichier ou un répertoire dans le support de sauvegarde (sur la dernière sauvegarde uniquement), on utilise l'option search : # /usr/share/eole/bacula/bacularestore.py search nom_du_fichier Il est possible d'utiliser les caractères? ou * pour remplacer respectivement un ou plusieurs caractères en l'échappant de la façon suivante : # /usr/share/eole/bacula/bacularestore.py search nom_du_\* Il est également possible de lister le contenu d'un répertoire sauvegardé avec l'option ls_folder : # /usr/share/eole/bacula/bacularestore.py ls_folder /etc/eole liste du contenu de /etc/eole config.eol Restauration d'un fichier ou d'un répertoire Pour restaurer un fichier de la dernière sauvegarde, on peut utiliser la commande : # /usr/share/eole/bacula/bacularestore.py file /chemin_absolu/nom_du_fichier Exemple : # /usr/share/eole/bacula/bacularestore.py file /etc/eole/config.eol Pour restaurer un répertoire et l'intégralité de son contenu, on peut utiliser la commande : # /usr/share/eole/bacula/bacularestore.py folder folder /chemin_absolu/nom_du_répertoire Exemple : # /usr/share/eole/bacula/bacularestore.py /usr/share/ead2/backend/config Restauration de l'ensemble des fichiers sauvegardés Pour restaurer l'ensemble des fichiers sauvegardés, il est possible d'utiliser la commande : # /usr/share/eole/bacula/bacularestore.py all_files Restauration spécifique Les bases de données, les quotas, l'annuaire,... ne sont pas sauvegardés sous forme de fichiers binaires. Ils sont extraits avant la sauvegarde. Pour restaurer, il existe une procédure particulière, différente suivant l'application. Pour connaître les possibilités, faire : # /usr/share/eole/bacula/bacularestore.py help 79

80 Les sauvegardes Exemple Pour restaurer l'annuaire : # /usr/share/eole/bacula/bacularestore.py ldap Restauration manuelle Avant de lancer la restauration il est préférable de vérifier que le chemin du nœud du périphérique est toujours bon. Il peut changer en fonction du nombre de périphériques connectés : # /usr/share/eole/bacula/baculamount.py t Si le périphérique n'a plus le même nœud la commande [baculamount.py] renvoie : ERREUR : le périphérique /dev/sdb1 n'existe pas Il faut alors changer la configuration du support : # /usr/share/eole/bacula/baculaconfig.py s usb usb_path=/dev/device_usb Le test de montage doit renvoyer OK : # /usr/share/eole/bacula/baculamount.py t Test de montage OK Lister l'ensemble de la configuration : # /usr/share/eole/bacula/baculaconfig.py d 80

81 Les sauvegardes La restauration manuelle s'effectue au moyen d'un programme en ligne de commande bconsole : # bconsole c /etc/bacula/bconsole.conf Dans cet exemple nous verrons comment restaurer le fichier /home/a/admin/perso/icones.url Une fois bconsole démarré, il est possible d'abandonner la procédure à tout moment en quittant la console avec la commande [quit], [done] ou avec les touches [ctrl + c] Taper la commande suivante (attention aux majuscules/minuscules et à la saisie sans accents) : restore fileset=complete Il est possible de choisir directement le support de sauvegarde des fichiers en utilisant à la place la commande suivante : restore fileset=filesetsauvegarde Cette commande indique à bconsole d'initialiser une restauration. Vous avez alors plusieurs choix, les plus pertinents sont : To select the JobIds, you have the following choices: [...] Depuis que l'utilisateur a supprimé le fichier le système n'a effectué que des sauvegardes incrémentales alors le fichier est toujours présent dans la sauvegarde, choisissez la sauvegarde la plus récente pour un client. 5: Select the most recent backup for a client (sélectionner la sauvegarde réussie la plus récente) Depuis que l'utilisateur a supprimé le fichier le système a effectué une sauvegarde complète (Full) alors le fichier n'est présent que dans les sauvegardes précédant la sauvegarde complète, sélectionner la dernière sauvegarde pour un client avant une certaine date et entrez une date antérieure à la dernière sauvegarde complète. 6: Select backup for a client before a specified time (sélectionner la dernière sauvegarde réussie avant une date spécifiée) La console propose trois options : The defined FileSet ressources are : 1 : FileSetCatalog 2 : FileSetDefault 3 : FileSetSauvegarde Il faut ensuite choisir le support de sauvegarde des fichiers (et non celui du catalogue) : 3 : FileSetSauvegarde Un prompt apparaît et permet de naviguer dans l'arborescence des sauvegardes : cwd is : / $ ls 81

82 Les sauvegardes etc/ home/ root/ usr/ var/ $ cd /home/a/admin/perso Il faut marquer les fichiers/dossiers à restaurer avec la commande mark (attention, la commande mark est récursive) : $ mark icones.url 1 file marked. Pour "dé-marquer" un fichier marqué par erreur : $ unmark icones.url 1 file unmarked. Lorsque les fichiers et les dossiers à restaurer sont sélectionnés, passer à l'étape suivante avec la commande : $ done bconsole propose plusieurs options, il faut choisir le job de restauration, ici l'option numéro 3 : 3: Restore_file On obtient alors le message suivant : Bootstrap records written to /var/lib/bacula/xxxxxxxxx.restore.2.bsr [...] Ok to run? (yes/mod/no) : La restauration peut maintenant être lancée en répondant yes à la question. Il ne sera plus possible d'abandonner après cette étape. OK to run? (yes/mod/no): yes La restauration est alors placée dans une file d'attente. Le numéro JobId est affiché à l'écran. Il est possible de changer les paramètres de restauration en répondant mod à la question : OK to run? (oui/mod/non): mod Parameters to modify : 1 : Level 2 : Storage [...] 82

83 Les sauvegardes Par exemple pour restaurer dans un autre répertoire, il faut choisir Where (9 dans le cas présent) et saisir le chemin de la restauration : 9 : Where Please enter path prefix for restore (/ for none) : /home/restauration Ok to run? (yes/mod/no) : yes La restauration est alors placée dans une file d'attente. Le numéro JobId est affiché à l'écran. Pour quitter la console : * quit Il est possible de suivre l'évolution des restaurations dans le fichier de log : /var/log/bacula/restore.txt Les informations peuvent mettre un peu de temps avant d'apparaître car Bacula ne les "flush" pas tout de suite dans son fichier de log. Si rien n'apparaît dans un délai raisonnable il faut vérifier le chemin du nœud du périphérique. Attention Pour conserver les droits étendus associés à un fichier (ACL), il faut restaurer un fichier issu d'une partition avec ACL (par exemple le répertoire /home sur le module Scribe) dans une partition supportant les ACL. 4 Diagnostic et rapport Parallèlement à l'envoi de courrier électronique, il est possible de connaître l'état de la dernière sauvegarde par l'utilisation la commande [diagnose]. Celle-ci liste également l'état des différents services de Bacula. L'EAD permet également de connaître l'état de la dernière sauvegarde dès l'arrivé sur la page d'accueil. Le détail de la sauvegarde est disponible en cliquant sur [Afficher le rapport]. 83

84 Les sauvegardes Par contre pour voir l'état des différents services Bacula il faut sélectionner [ DETAILS] dans SERVICES, ETAT DES SERVICES de la page d'accueil, puis sélectionner [État des démons bacula]. Si l'un des services Bacula est arrêté, il est possible de le relancer avec la commande [service] : root@eole:~# service bacula director restart * Stopping Bacula Director... [ OK ] * Starting Bacula Director... [ OK ] 84

85 Les sauvegardes L'administration de Bacula peut se faire au travers d'une console, en mode texte elle se lance par la commande [bconsole] : root@eole:~# bconsole Connexion au Director : OK: scribe dir Version: (24 February 2010) Tapez un point (.) pour annuler une commande. * Le prompt est une étoile (*), la console accepte la complétion, voici les commandes de base : * help pour avoir de l'aide * quit pour quitter * messages les messages en attente * status affiche les rapports, un menu propose plusieurs options qu'il est possible d'atteindre directement * status dir affiche les rapports du Director * status all affiche tous les anciens rapports, permet d'afficher les anciens messages Les journaux systèmes sont disponibles pour les trois services : /var/log/rsyslog/local/bacula-director/ /var/log/rsyslog/local/bacula-sd/ /var/log/rsyslog/local/bacula-fd/ 85

86 Les sauvegardes 5 Ajouter des données à sauvegarder Il est tout à fait possible d'ajouter des fichiers et/ou des répertoires à sauvegarder à ceux déjà configurés par défaut sur un module. Pour cela il faut ajouter un fichier de configuration portant l'extension.conf dans le répertoire /etc/bacula/baculafichiers.d/ Celui-ci ne doit comporter que les directives Include et Exclude, il ne faut pas, par exemple, spécifier le Name du FileSet car il est déjà défini dans le reste de la configuration. Exemple d'un fichier de configuration pour la prise en charge de nouvelles données à sauvegarder : Include { Options { # Sauvegarde des ACL aclsupport = yes # Tous les fichiers seront chiffrés en SHA1 signature = SHA1 # Compression des fichiers (niveau de com pression croissant de 0 à 9) compression = GZIP6 # Permet de sauvegarder plusieurs systèmes de fichiers onefs = yes } File = /chemin/du/repertoire/ou/du/fichier/a/sauvegarder File = /chemin/du/repertoire/ou/du/fichier/a/sauvegarder } Exclude { File = /chemin/du/repertoire/ou/du/fichier/a/ignorer File = /chemin/du/repertoire/ou/du/fichier/a/ignorer } Pour sauvegarder les fichiers d'un conteneur il faut préciser le chemin complet du fichier, par exemple : File = /var/lib/lxc/reseau/rootfs/var/www/html/fichier Les autres options pour la ressource FileSet sont consultables dans la documentation officielle du projet Bacula : 86

87 Les sauvegardes Attention Pour que l'ajout d'un fichier de configuration soit pris en compte par Bacula il faut procéder à la reconfiguration du module avec la commande [reconfigure]. 6 Annexes Voici un complément d'information pour aller plus loin avec Bacula Autres outils d'administration pour Bacula L'administration de Bacula se fait au travers d'une console (texte ou graphique), qui pourra être installée sur le même serveur que le directeur (Director), mais aussi sur d'autres postes pour permettre de commander Bacula à distance. Différentes versions existent : bconsole est la console en mode texte ; Bacula Administration Tool (BAT) est l'interface graphique standard qui permet d'exploiter bconsole, installable (25Mo) sur les modules EOLE avec la commande : [ apt-eole install bacula-console-qt]. BAT se lance avec la commande suivante : [bat -c /etc/bacula/bat.conf] Il est possible de lancer l'interface BAT à travers SSH avec l'option -X pour activer le déport de l'affichage et l'option -C pour éventuellement compresser les données (pratique pour les lignes à faible débit) : ssh C X <adresse_serveur> 87

88 Les sauvegardes bgnome-console est une console graphique (notamment pour les opérations de restauration), mais nécessite l'installation des librairies GNOME 2.x ; bwx-console est une version graphique utilisant wxwidgets L'installation de bwx-console est décrite pour Mandriva et pour Ubuntu à l'adresse suivante : bacula-win ( permet notamment d'installer : un client Windows (File Daemon) ; des consoles : BAT, bconsole et TrayMonitor. Il existe aussi des versions Web comme bacula-web écrit en PHP ou bweb écrit en perl. Pour avoir plus d'informations sur les outils mentionnés : Quelques références Définition de la sauvegarde : Le site officiel de Bacula : L'accès à la documentation : 88

89 Tutoriel : Manuel utilisateur : Les sauvegardes Il existe des versions française et anglaise de ces documentations, en HTML mais aussi en PDF. Le wiki : Des présentations : Définition des éléments de sauvegarde Bacula : Création d'un partage Windows XP Introduction EOLE permet d'utiliser plusieurs supports pour effectuer les sauvegardes, dont un répertoire partagé. Nous allons voir ici comment créer un partage avec les droits d'accès adéquats sur un poste équipé de Windows XP : création d'un "compte local" sur la station Windows ; partage du dossier et réglage des droits d'accès. Le dossier partagé peut se trouver sur le disque dur de la station Windows. Il peut aussi se trouver sur un disque dur externe connecté à la station par exemple (ou sur une clé USB pour faire des tests). Remarque Il n'est pas impossible de donner des droits d'accès au partage à un compte du domaine mais cela pose problème pour les sauvegardes. Pour avoir accès au partage, la station va vérifier la validité de l'utilisateur et de son mot de passe auprès du contrôleur de domaine. Or, pour éviter qu'un fichier/dossier ne soit modifié pendant la sauvegarde, Bacula arrête le service Samba. L'arrêt de Samba implique la non réponse du contrôleur de domaine. L'accès au partage n'est pas validé et la sauvegarde ne peut donc pas se faire. Pour la sauvegarde, les accès au partage doivent donc impérativement se faire en utilisant un compte local du poste sur lequel se trouve le dossier partagé. Création d'un compte sur le poste Windows Ouvrez une session en administrateur local de la station sur laquelle vous voulez créer le partage. Puis ouvrez la console de Gestion de l'ordinateur. 89

90 Les sauvegardes Ensuite, créez un nouvel utilisateur (Menu "Action" ou clic droit dans l'espace vide de la colonne de droite)...avec les options configurées comme ceci : 90

91 Les sauvegardes Partage du dossier et réglage des droits d'accès Après avoir créé un dossier "sauvegarde" à l'emplacement de votre choix, partagez-le (clic droit sur le dossier) : 91

92 Les sauvegardes Puis cliquez sur Autorisations. Supprimez les autorisations par défaut ("Tout le monde") puis ajoutez "usersauv" avec "Contrôle total" : 92

93 Les sauvegardes Fermez la fenêtre des autorisations puis allez dans l'onglet "Sécurité" et cliquez sur "Paramètres avancés" : Décochez "Hérite de l'objet parent...", une fenêtre s'ouvre alors, sélectionnez "Supprimer" : 93

94 Les sauvegardes Ajoutez ensuite l'utilisateur "usersauv" toujours avec le "Contrôle total" : Enfin, affectez le "Contrôle total" : 94

95 Les sauvegardes 95

96 Fonctionnalités de l'ead propres au module Eclair XV Fonctionnalités de l'ead propres au module Eclair 1 Fixer les adresses IP Si le service DHCP est activé sur le module EOLE, il est possible de fixer les adresses de certaines machines via l'ead. 96

97 Fonctionnalités de l'ead propres au module Eclair L'action dhcp apparaît dans le menu Outils/DHCP statique de l'ead. Pour associer un nom et une adresse IP à une machine, il faut connaître son adresse MAC. Pour faciliter les enregistrements, les informations sur les stations déjà connues du serveur DHCP sont directement réutilisables. Pour cela, il suffit de sélectionner la machine souhaitée au niveau de la liste déroulante Baux en cours. 97

98 Gestion des clients légers XVI Gestion des clients légers Personnalisation des applications installées et gestion des sessions graphiques. 1 Ajouts d'applications Pour rendre disponible de nouvelles applications sur les clients légers il faut les installer dans le conteneur ltspapps : # apt eole install conteneur ltspapps nom_du_paquet ou # ssh ltspapps # apt eole install nom_du_paquet # exit Attention Les conteneurs n'ont généralement pas les autorisations nécessaires pour télécharger eux-mêmes leurs paquets. Le conteneur ltspapps fait figure d'exception grâce à des règles de pare-feu définies dans le fichier : /usr/share/eole/firewall/00_ltspapps.fw. 2 Ajouts de dépôts Pour ajouter une application qui n'est pas dans les dépôts standards, il faut ajouter les dépôts sur le maître, alors que l'installation de l'application se fait dans le conteneur ltspapps. 98

99 Gestion des clients légers Geogebra # wget Release.key O apt key add # Maj Auto # apt eole install conteneur ltspapps geogebra LibreOffice Ajout du dépôt depuis le serveur maître : # echo 'deb lucid main' >> /etc/apt/sources.list.local Mise à jour des dépôts : # Maj Auto On passe dans le conteneur des applications : # ssh ltspapps On installe LibreOffice et son paquet de francisation : # apt get install libreoffice libreoffice l10n fr 3 Gestion des session graphiques Epoptes est un outil de gestion et de monitoring des sessions graphiques lancées par les clients légers, il remplace Eclair Client Manager. 99

100 Gestion des clients légers Il permet : la diffusion du bureau de l'enseignant ; la prise en main graphique et à distance des clients légers ; le blocage du bureau ; l'ouverture d'applications sur les clients légers ; l'envoi de messages ; Son lancement s'effectue depuis un poste client dans le menu Applications / Internet / Epoptes 100

101 Gestion des clients légers Attention Pour que l'utilisateur ait accès à l'outil de gestion des sessions graphiques Epoptes, il doit être membre du groupe epoptes, si les comptes sont locaux : # ssh ltspapps # adduser enseignant epoptes # exit Pour que les nouveaux droits soient pris en compte il faut bien sûr relancer la session graphique. 101

102 Compléments techniques XVII Compléments techniques Cette partie de la documentation regroupe différentes informations complémentaires : des schémas, des informations sur les services, les ports utilisés sur chacun des modules... 1 Les services utilisés sur le module Eclair Les services disponibles sur les modules EOLE 2.3 ont été répartis dans des paquets distincts, ce qui rend leur installation complétement indépendante. Un module EOLE 2.3 peut donc être considéré comme un ensemble de services choisis et adaptés à des usages précis. Des services peuvent être ajoutés sur les modules existants (exemple : installation du paquet eole dhcp sur le module Amon) et il est également possible de fabriquer un module entièrement personnalisé en installant les services souhaités sur un module EoleBase eole-dhcp Le paquet eole dhcp permet la mise en place d'un serveur DHCP local et/ou d'un serveur PXE. Logiciels et services Le paquet eole dhcp s'appuie sur les services dhcp3-server et tftpd-hpa. Historique 102

103 Compléments techniques A la base, les services DHCP et TFTP étaient pré-installés uniquement sur les serveurs de fichiers (module Scribe et module Horus) ainsi que sur le serveur de clients légers Eclair, ceci avec des configurations hétérogènes et très limitées. La mise en commun des configurations permet de bénéficier de toutes les options sur chaque module. Ce paquet peut désormais être installé sur n'importe quel module EOLE. Conteneurs Le service est configuré pour s'installer dans le conteneur : dhcp (id=17). Sur les modules AmonEcole et AmonHorus, il est installé dans le groupe de conteneurs : partage (id=52). Sur le module Eclair et AmonEcole+, il est installé dans le groupe de conteneurs : ltspserver (id=54). Remarques Ne pas confondre ce paquet avec le paquet eole dhcrelay qui est pré-installé sur le module Amon eole-ltsp-fichier Le paquet eole ltsp fichier permet la mise en place d'un serveur d'applications. Logiciels et services Le paquet eole ltsp fichier s'appuie sur les services ltsp-cluster-lbagent et ltsp-cluster- accountmanager. Historique Ce paquet a été conçu pour Eclair-2.3 et est également utilisé sur AmonEcole+. Conteneurs Le service est configuré pour s'installer dans le conteneur : application (id=21). Sur le module Eclair et AmonEcole+, il est installé dans le groupe de conteneurs : ltspapps (id=55). 103

104 Compléments techniques 1.3. eole-ltsp-server Le paquet eole ltsp server permet la mise en place d'un serveur de clients légers LTSP *. Logiciels et services Le paquet eole ltsp server s'appuie sur le service NBD qui est lancé par openbsd-inetd. Historique Ce paquet a été conçu pour Eclair 2.3 et est également utilisé sur AmonEcole+. Conteneurs Le service est configuré pour s'installer dans le conteneur : ltsp (id=22). Sur le module Eclair et AmonEcole+, il est installé dans le groupe de conteneurs : ltspserver (id=54) eole-ltsp-lb Le paquet eole ltsp lb permet la mise en place d'une répartition de charge entre les serveurs d'application. Logiciels et services Le paquet eole ltsp lb s'appuie sur le service ltsp-cluster-lbserver. Historique Ce paquet a été conçu pour Eclair-2.3 et est également utilisé sur AmonEcole+. Conteneurs Le service est configuré pour s'installer dans le conteneur : ltsp (id=22). Sur le module Eclair et AmonEcole+, il est installé dans le groupe de conteneurs : ltspserver (id=54). 104

105 Compléments techniques 2 Ports utilisés sur le module Eclair Le module Eclair propose de nombreux services. Ce document donne la liste exhaustive des ports utilisés sur un module Eclair standard. Les ports utilisés sont, dans la mesure du possible, les ports standards préconisés pour les applications utilisées. Il est possible de lister les ports ouverts sur le serveur par la commande : [ netstat -ntulp] Attention En mode conteneur, la commande [netstat] listera uniquement les services installés sur le maître. Ports communs à tous les modules 22/tcp : ssh (sshd) 68/udp : dhclient 123/udp : ntpd 3493/tcp : nut (gestion des onduleurs) 4200/tcp : ead-web 4201/tcp : ead-server 4202/tcp : ead-server (transfert de fichiers) 4333/tcp : creole_serv 8090/tcp : z_stats (consultation des statistiques Zéphir locales) 8443/tcp : EoleSSO Ports spécifiques au module Eclair Conteneur ltspserver 67/udp : dhcp 69/udp : tftp 80/tcp : http (interface web du centre de contrôle LTSP-Cluster ) 2000/tcp : inetd (nbdrootd) 5432/tcp : postgres 8008/tcp : ltsp-cluster-lbserver 105

106 Compléments techniques 9572/tcp : inetd (nbdswapd) Conteneur ltspapps 789/tcp : Epotes 8001/tcp : ltsp-cluster-accountmanager 8005/tcp : ltsp-cluster-lbagent 9571/tcp : inetd (ldm) Services et numéro de ports La correspondance entre un service un numéro de port standard peut être trouvée dans le fichier /etc/services. 106

107 Questions fréquentes XVIII Questions fréquentes Certaines interrogations reviennent souvent et ont déjà trouvées une réponse ou des réponses. 1 Questions fréquentes communes aux modules Une erreur se produit lors de l'instanciation ou d'un reconfigure : "starting firewall : [...] Erreur à la génération des règles eole-firewall!! non appliquées!" Le message suivant apparaît à l'instance ou au reconfigure après changement de valeurs dans l'interface de configuration du module : * starting firewall : bastion (modèle XXX) Erreur à la génération des règles eole firewall!! non appliquées! 107

108 Questions fréquentes Vérifier la configuration des autorisations d'accès à SSH et à l'ead sur les interfaces réseaux Cette erreur provient certainement du masque des variables d'autorisation d'accès à SSH sur l'une des interfaces réseaux. Pour autoriser une seule IP, par exemple , le masque doit être pour autoriser une IP particulière et non Vérifier l'ensemble des autorisations pour l'accès SSH et pour l'accès à l'ead. Pour appliquer les changements il faut reconfigurer le module : # reconfigure La connexion SSH renvoie Permission denied (publickey) Si les connexions par mots de passe sont interdites, une tentative de connexion sans clé valide entraînera l'affichage du message suivant : Permission denied (publickey). Gestion des mises à jour Pour connaître la date et l'heure des mises à jour du système il est possible de passer par l'ead ou par un terminal. Via l'ead Pour l'afficher il faut se rendre dans la section Système / Mise à jour de l'ead. Dans un terminal [python -c "from creole import maj; print maj.get_maj_day()"] Pour activer/désactiver la mise à jour hebdomadaire il est possible de passer par l'ead ou par un terminal. Via l'ead Pour l'afficher il faut se rendre dans la section Système / Mise à jour de l'ead. 108

109 Questions fréquentes Dans un terminal Activation de la mise à jour hebdomadaire : [/usr/share/eole/schedule/manage_schedule post majauto weekly add] ou : [python -c "from creole import maj; maj.enable_maj_auto(); print maj.maj_enabled()"] Désactivation de la mise à jour hebdomadaire : [/usr/share/eole/schedule/manage_schedule post majauto weekly del] ou : [python -c "from creole import maj; maj.disable_maj_auto(); print maj.maj_enabled()"] Le mot de passe par défaut ne fonctionne pas Suite à une nouvelle installation le mot de passe par défaut ne fonctionne pas. Truc & astuce Le mot de passe à saisir comprend les dollars devant et derrière : $eole&123456$ Échec de la connexion sécurisée Le navigateur affiche : Échec de la connexion sécurisée Une erreur est survenue pendant une connexion à IP:Port. Vous avez reçu un certificat invalide. Veuillez contacter l'administrateur du serveur ou votre correspondant de messagerie et fournissez lui les informations suivantes : Votre certificat contient le même numéro de série qu'un autre certificat émis par l'autorité de certification. Veuillez vous procurer un nouveau certificat avec un numéro de série unique. (Code d'erreur : sec_error_reused_issuer_and_serial) Les paramètres constituant un certificat ont été modifiés récemment La modification, dans l'interface de configuration du module, de l'un des paramètres constituant un certificat (nom de établissement, numéro RNE, etc...) suivie d'une régénération des certificats a eu lieu. Il faut supprimer le certificat du gestionnaire de certificats du navigateur et recharger la page. 109

110 Questions fréquentes Partition saturée Une partition saturée apparaît en rouge dans l'ead, la cause peut être : le manque de place disponible ; le manque d'inode disponible. La cause de la saturation apparaît dans la page Occupation des disques, soit les inodes soit l'utilisation sont à un pourcentage élevé. La résolution du problème est différente selon le cas. Partition / saturée 110

111 Questions fréquentes Si la partition racine est saturée sans raison apparente et que le taux d'inodes est correcte, le montage d'un répertoire avant copie à peut être échoué. La conséquence est que la copie c'est faite sur la partition racine et non sur le montage. Ça peut être le cas de la sauvegarde bacula par exemple. Truc & astuce Il faut donc vérifier le contenu et la place occupée par les répertoires (points de montage) /mnt, /mnt/sauvegardes et /media : Si le répertoire /mnt/sauvegardes n'est pas monté il doit être vide : root@scribe:/mnt/sauvegardes# ls la total 8drwxr xr x 2 root root 4096 mai 25 11:29./drwxr xr x 26 root root 4096 sept. 9 21:07../ root@scribe:/mnt/sauvegardes# Normalement le répertoire /media ne contient que des sous-dossiers pour le montage des partitions et ou des périphériques. Pour vérifier l'espace occupé par ces différents répertoires : root@scribe:/# du h max depth=1 /media /mnt/ 4,0K /media4,0k /mnt/ 111

112 Questions fréquentes Truc & astuce Dans certains cas particuliers, la taille allouée à la partition / peut être trop juste. Il est possible de revoir la taille des partitions avec l'outil de gestion des volumes logiques (LVM). Partition /var saturée Cette partition contient entre autres les journaux systèmes du serveur. Truc & astuce La commande suivante affiche l'espace occupé par chaque répertoire et les classe par taille, le plus gros en dernier : # du smh /var/* sort n Truc & astuce Un service mal configuré génère une quantité importante de journaux. Si le problème n'est pas résolu la partition va de-nouveau saturer. Truc & astuce Dans certains cas particuliers, la taille allouée à la partition /var peut être trop juste. Il est possible de revoir la taille des partitions avec l'outil de gestion des volumes logiques (LVM). Partition /var saturé en inode La commande suivante affiche le nombre de fichier par répertoire et les classe par taille, le plus grand nombre en dernier : # for i in $(find /var -type d); do f=$(ls -1 $i wc -l); echo "$f : $i"; done sort -n Liste d'arguments trop longue La commande # rm rf /var/<rep>/* renvoie Liste d'arguments trop longue. Truc & astuce Préférez l'utilisation d'une autre commande : # find /var/<rep>/* type f name "*" print0 xargs 0 rm 112

113 Questions fréquentes 1.1. Questions fréquentes propres au module Eclair Impossible de se connecter sur le client léger Vérifier la validité du compte utilisé Depuis le maître il faut tester la validité du compte utilisé, exemple avec un compte toto : # ssh toto@ltspapps Vérifier les adresses IP affichées sur l'écran d'accueil Les adresses IP affichées sur l'écran d'accueil (splash screen) à la ligne Application server et dans l'url de Web Interface doivent être différentes. Elles correspondent respectivement à l'adresse du serveur d'applications et à l'adresse du serveur LTSP choisies dans l'interface de configuration du module. Si les adresses IP sont identiques, la connexion des clients légers est impossible car le load balancer* est injoignable. 113

114 Questions fréquentes Vérifier l'état des services Il faut vérifier le statut des services avec la commande diagnose et relancer les services qui ne répondent pas à l'aide de la commande CreoleService : # CreoleService apache2 restart Vérifier les paramètres réseaux L'erreur peut venir de votre paramétrage réseau : adresse du service DHCP, adresses des conteneurs Dysfonctionnement suite à un changement Un changement d'adresse IP sur les conteneurs, alors que l'instance a déjà été réalisée, peut être responsable du dysfonctionnement. Pour y remédier il faut se connecter au conteneur ltspserver : # ssh ltspserver et régénérer l'image réseau à l'aide de la commande ltsp update image : # ltsp update image a i386 La mire d'authentification est en anglais Sur le client léger, si la mire de connexion (LDM *) affiche login au lieu de nom d'utilisateur, c'est que le load balancer* est injoignable. En effet c'est lui qui spécifie à la la mire d'authentification d'être en français. 114

115 Questions fréquentes Vérifier les adresses IP affichées sur l'écran d'accueil Les adresses IP affichées sur l'écran d'accueil (splash screen) à la ligne Application server et dans l'url de Web Interface doivent être différentes. Elles correspondent respectivement à l'adresse du serveur d'applications et à l'adresse du serveur LTSP choisies dans l'interface de configuration du module. 115

116 Questions fréquentes Si les adresses IP sont identiques, la connexion des clients légers est impossible car le load balancer* est injoignable. Vérifier l'état des services Il faut vérifier le statut des services avec la commande diagnose. Relancer les services qui ne répondent pas à l'aide de la commande CreoleService : # CreoleService apache2 restart Vérifier les paramètres réseaux L'erreur peut venir de votre paramétrage réseau : adresse du service DHCP, adresses des conteneurs 116

117 Questions fréquentes Dysfonctionnement suite à un changement Un changement d'adresse IP sur les conteneurs, alors que l'instance a déjà été réalisée, peut être responsable du dysfonctionnement. Pour y remédier il faut se connecter au conteneur ltspserver : # ssh ltspserver et régénérer l'image réseau à l'aide de la commande ltsp update image : # ltsp update image a i386 La console sur le client léger Eclair est en QWERTY Passer le clavier en AZERTY Pour passer le clavier en AZERTY, il faut saisir dans la console du client la commande : $ loadkeys fr Ajouter un raccourci dans le menu des clients 117

118 Questions fréquentes Ajout d'un fichier par applications Il faut se rendre dans le conteneur ltspapps : # ssh ltspapps Avec un éditeur, il faut créer un fichier qui sera le raccourci. Voici un exemple pour l'application MathEnPoche : # vim /usr/share/applications/sesamath.desktop Ajouter le contenu suivant : [Desktop Entry] Type=Application Encoding=UTF 8 Name=MathEnPoche Sésamaths GenericName=MathEnPoche Sésamaths Comment=Travailler vos Mathématiques depuis chez vous! Icon=/usr/share/pixmaps/gcalctool.xpm Exec=ltsp localapps firefox Terminal=false StartupNotify=false Categories=Application;Education;Network Le raccourci de l'application est maintenant disponible lors de la connexion d'un client. Pas d'accès Internet depuis le navigateur Vérification de la configuration du DHCP et du DNS Il faut vérifier les paramètres saisis dans l'interface de configuration du module. Vérification du pare-feu Si le navigateur ne permet pas d'accéder à Internet et que le mode 2 cartes (coupure) a été choisi, le problème peut venir du pare-feu. La mire demande le changement de mot de passe LDAP Sur le client léger, la mire de connexion (LDM) demande le changement du mot de passe LDAP. 118

119 Questions fréquentes En ligne de commande sur le serveur Eclair, les symptômes sont les mêmes : # ssh nom_de_l_utilisateur@ltspapps You are required to change your password immediately (password aged) Vérification dans l'ead Vérifier dans l'ead que la case changer le mot de passe a la première connexion ne soit pas coché pour le compte en question. Vérification de la validité du compte Le compte est peut être âgé et il faut le changer le mot de passe. Pour vérifier la validité du compte il faut utiliser la commande [chage] : # chage l [identifiant] 119

120 Questions fréquentes Changer son mot de passe L'utilisateur ne pourra pas changer seul son mot de passe LDAP depuis la mire de connexion (LDM) du client léger. Il lui faudra passer par un client Windows pour le faire. Redémarrer le service d'impression pour les clients légers Truc & astuce Pour redémarrer le service CUPS : se rendre dans le conteneur ltspapps : # ssh ltspapps relancer le service : # service cups restart TFTP Open Timeout Vous êtes sur une plateforme virtualisée Les clients ne récupèrent pas l'image et le message TFTP Open Timeout s'affiche. Truc & astuce Pour que les clients puissent communiquer avec le serveur en mode conteneur il faut faire passer les interfaces en mode promiscious. 120

121 Glossaire Glossaire ACL ACL pour Access Control List (ACL) désigne deux choses en sécurité informatique : un système permettant de faire une gestion plus fine des droits d'accès aux fichiers que ne le permet la méthode employée par les systèmes UNIX. en réseau, une liste des adresses et ports autorisés ou interdits par un parefeu. adresse MAC Une adresse MAC est un identifiant physique stocké dans une carte réseau. Une adresse MAC est constituée de 48 bits (6 octets) et est généralement représentée sous la forme hexadécimale en séparant les octets par un double point ou un tiret comme par exemple 00:1d:09:03:af:15 Bacula Bacula est un ensemble de programmes qui permet de gérer les sauvegardes, les restaurations ou la vérifications de données d'un ordinateur sur un réseau hétérogène. En termes techniques, il s'agit d'un programme de sauvegarde client/serveur. Il est relativement facile d'utilisation et efficace. Il offre de nombreuses fonctions avancées de gestion de stockage qui facilitent la recherche et la restauration de fichiers perdus ou endommagés. BIOS Le BIOS est un ensemble de fonctions contenu dans une mémoire morte (ROM) de la carte mère d'un ordinateur. Cette mémoire permet à l'ordinateur d'effectuer des opérations élémentaires lors de sa mise sous tension. Le BIOS comprend entre autres : chroot un logiciel nécessaire à l'amorçage de l'ordinateur ; le prise en charge bas niveau des communications avec les périphériques ; des outils de diagnostic. chroot (change root) est une commande des systèmes d'exploitation UNIX permettant de changer le répertoire racine d'un processus de la machine hôte. Creole Creole gère la personnalisation des options de configuration des modules, le redémarrage des services, l'installation de paquets additionnels, la mise à jour du système. 121

122 Glossaire Il a été conçu pour être facilement personnalisable pour l'utilisateur final. Un ensemble d'outils est proposé pour modifier ou étendre fonctionnalités les offerte par EOLE. DHCP Dynamic Host Configuration Protocol (DHCP) est un protocole réseau dont le rôle est d assurer la configuration automatique des paramètres IP d une station, notamment en lui affectant automatiquement une adresse IP et un masque de sous-réseau. DHCP peut aussi configurer l adresse de la passerelle par défaut et des serveurs de noms DNS. Dictionnaire Fichier, au format XML, décrivant l'ensemble de variable, des fichiers, des services et des paquets personnalisés en vue de configurer un serveur. DNS Un DNS est un service permettant de traduire un nom de domaine en informations de plusieurs types. L'usage le plus fréquent étant la traduction d'un nom de domaine en adresses IP. Durée de rétention La durée de rétention désigne le temps de conservation des sauvegardes avant leur effacement. Erlang Erlang est un langage de programmation, supportant plusieurs paradigmes : concurrent, temps réel, distribué. Son cœur séquentiel est un langage fonctionnel à évaluation stricte, affectation unique, au typage dynamique fort. Sa couche concurrente est fondée sur le modèle d'acteur. Il possède des fonctionnalités de tolérance aux pannes et de mise à jour du code à chaud, permettant le développement d'applications à très haute disponibilité. FAI Le FAI est un organisme (une entreprise ou une association) qui met à disposition une connexion au réseau informatique nommé Internet. Gaspacho Gaspacho est une application qui permet de configurer automatiquement le poste de travail de l'utilisateur selon son profil. Pour le moment il n'existe que la version GNU/Linux du client Gaspacho. 122

123 Load balancer Glossaire LDM LDM est le gestionnaire d'affichage spécialement écrit pour LTSP. En informatique la répartition de charge (anglais load balancing) est la technique pour distribuer le travail entre les différents ordinateurs d'un groupe à l'insu de l'utilisateur. Cette technique permet d'obtenir des dispositifs très puissants, et est utilisée dans les grands serveurs Internet en vue de réduire les temps de réponse, augmenter la scalabilité et la disponibilité du serveur. Le load balancer est le nom donné à ce service. LXC LXC, contraction de l'anglais Linux Containers, est un système de virtualisation au niveau système d'exploitation utilisé pour faire fonctionner de multiples environnements Linux isolés les uns des autres sur un seul et même système hôte. Le conteneur LXC n'est pas une machine virtuelle mais uniquement un environnement virtualisé qui dispose de ses propres processus et de son propre réseau (isolés du système physique hôte). MBR Le MBR ou zone d'amorce est le nom donné au premier secteur adressable d'un disque dur (cylindre 0, tête 0 et secteur 1, ou secteur 0 en adressage logique) dans le cadre d'un partitionnement Intel. Sa taille est de 512 octets. Le MBR contient la table des partitions (les 4 partitions primaires) du disque dur. Il contient également une routine d'amorçage dont le but est de charger le système d'exploitation (ou le boot loader/chargeur d'amorçage s'il existe) présent sur la partition active. NAS NAS pour Network Attached Storage est un serveur relié à un réseau dont la principale fonction est le stockage de données en un volume centralisé pour des clients réseau hétérogènes. NBD Network Block Devices (NBD) est un composant du kernel permettant de monter un fichier distant via ethernet, en TCP, comme s il s agissait d un périphérique de bloc local. NFS NFS est un protocole qui permet à un ordinateur d'accéder à des fichiers via un réseau. Patch EOLE #fixme POSIX POSIX est le nom d'une famille de standards définie depuis 1988 par l'institute of Electrical and Electronics Engineers. Ces standards ont émergé d'un projet de standardisation des API des logiciels destinés à fonctionner sur des variantes du système d'exploitation UNIX. 123

124 Glossaire PPA Les PPA sont des dépôts de paquets logiciels offerts aux individus et aux équipes de développeurs désireux de proposer facilement leurs logiciels pour les utilisateurs d'ubuntu. Projet LTSP Linux Terminal Server Project (LTSP) est un ensemble de programmes permettant à plusieurs personnes d'utiliser le même ordinateur. Cela est réalisé par la mise en place d'un réseau informatique composé d'un serveur sous GNU/Linux et de clients légers. PXE L'amorçage PXE permet à une station de travail de démarrer depuis le réseau en récupérant une image de système d'exploitation qui se trouve sur un serveur. L'amorce par PXE s'effectue en plusieurs étapes : recherche d'une adresse IP sur un serveur DHCP/BOOTP et recherche du fichier à amorcer ; téléchargement du fichier à amorcer depuis un serveur Trivial FTP ; exécution du fichier à amorcer. ROM Mémoire morte accessible uniquement en lecture. SMB Le protocole SMB permet le partage de ressources (fichiers et imprimantes) sur des réseaux locaux avec des PC équipés d'un système d'exploitation Windows. SMTP SMTP ou Simple Mail Transfer Protocol, est un protocole de communication utilisé pour transférer le courrier électronique vers les serveurs de messagerie électronique. SSH Secure Shell est à la fois un programme informatique et un protocole de communication sécurisé. Le protocole de connexion impose un échange de clés de chiffrement en début de connexion. Par la suite toutes les trames sont chiffrées. Il devient donc impossible d'utiliser un sniffer pour voir ce que fait l'utilisateur. TBI Le tableau blanc interactif (TBI), ou tableau numérique interactif (TNI), nommé aussi parfois tableau pédagogique interactif (TPI), est un système de vidéoprojection numérique qui vise à remplacer le tableau avec craie ou crayon effaçable en lui ajoutant parfois des haut-parleurs. Il existe aussi un dispositif mobile interactif (DMI), facilement transportable. TCP Wrapper TCP Wrapper est une technique, propre à Unix, permettant de contrôler les accès à un service (ou démon) suivant la source. Il se configure grâce au deux fichiers /etc/hosts.allow et /etc/hosts.deny. 124

125 Glossaire Tous les démons ne supportent technique pas la TCP Wrapper. Telnet Telnet est une commande permettant de créer une session Telnet sur une machine distante. Cette commande a d'abord été disponible sur les systèmes Unix, puis elle est apparue sur la plupart des systèmes d'exploitation. Telnet est un protocole réseau utilisé sur tout réseau prenant en charge le protocole TCP/IP. Le but du protocole Telnet est de fournir un moyen de communication très généraliste, bi-directionnel et orienté octet. Template Un template est un fichier contenant des variables Creole, qui sera instancié pour générer un fichier cible (typiquement un fichier de configuration serveur). TFTP TFTP est un protocole simplifié de transfert de fichiers. Il fonctionne en UDP, protocole «non fiable», qui implique que le client et le serveur doivent gérer euxmêmes une éventuelle perte de paquets. On réserve généralement l'usage du TFTP à un réseau local. 125

126 Annexe Annexe 1 Indications pour la programmation Se référer au document 'Indications pour la programmation' 2 Instancier un template avec CreoleCat Se référer au document 'Instancier un template avec CreoleCat' 3 L'éditeur de texte Vim Se référer au document 'L'éditeur de texte Vim' 4 Le mode conteneur Se référer au document 'Le mode conteneur' 126