Master 2 TIIR. Systèmes UNIX TP Administration avancée Septembre 2010

Transcription

1 Master 2 TIIR Systèmes UNIX Septembre 2010 Sommaire 1 Debian Server Edition amd64-xen Installation Debian Server amd Mise à jour du pilote réseau Installation de Xen Configuration d une machine virtuelle Xen Création du domaine invité domhttp en mode pont Configuration en réseau routé avec translation d adresses Cas concret Présentation du travail attendu Indications Configuration des serveurs Serveur DHCP Serveur LDAP Serveur DNS Serveur NIS Projets Sujets /23

2 Chapitre 1 Debian Server Edition amd64-xen Xen n étant pas maintenu officiellement par Ubuntu, nous allons utiliser la Debian Wheezy (version stable de Debian). Comme le but est d installer un serveur, nous installerons le minimum (même pas de XWindow!). Nous ferons tourner un noyau spécial Xen Installation Debian Server amd64 Manipulation : 1. Lancez l installation par réseau d une Debian amd64 ; 2. Procédez comme précédemment pour configurer l installation sauf pour les points suivants. 3. Miroir : ftp.fr.debian.org 4. pour améliorer la sécurité de votre machine, choisissez un mot de passe vide pour root, et créez un utilisateur localuser 5. Partitionnement : choisissez manuel et créez/utilisez les partitions suivantes : sda2 Primaire Réutiliser le même swap sda10 Logique 896Mo Ext2 /boot Répertoire des noyaux sda11 Logique 3G Ext3 / TP Debian Server (racine) sda12 Logique 10G Ext3 /vservers TP Debian Server (Virtual Servers) Laisser le reste libre 6. Sélection des logiciels : n installez que le serveur OpenSSH, désélectionner Utiliaires standard 7. Grub : laisser l installeur lancer Grub sur /dev/sda 8. redémarrez : ne vous inquiétez pas si le menu ne contient plus vos autres installations, elles réapparaitront ensuite (peut-être un bogue de l installeur Debian) 9. choisissez Debian... Linux amd admirez une merveilleuse console texte Faites un apt-get update et apt-get upgrade pour vérifier les mises à jour. Sans XWindow et avec le minimum de paquetages, vous disposez de vim-tiny pour éditer des fichiers et du browser en mode texte w3m. L installation prend environ 500Mo (commande df). Installez quand même vim et gpm (permet le copier-coller en mode texte). 2/23

3 1.2. Mise à jour du pilote réseau Le noyau installé par Debian ne gère pas notre carte réseau (qui est basée sur lae1000e). Il faut donc installer une version récente du module e1000e. Le problème est que sans réseau, on ne peut télécharger ce module! Manipulation : 1. Connectez-vous sous root (par un sudo -s par exemple), et placez vous dans /root 2. Montez la clé USB dans /mnt (la clé est certainement /dev/sdb1) 3. Récupérez le module compilé e1000e.ko, ainsi que l archive e1000e tar.gz sur la racine de votre compte root 4. Démontez la clé avec umount et faites là passer 5. Chargez le module réseau par la commande insmod /e1000e.ko 6. Vérifiez que la carte réseau a été détectée avec ifconfig 7. Fermez puis relancez l interface réseau (avec ifdown eth0 puis ifup eth0) 8. Testez apt-get update pour voir si tout fonctionne Vous avez maintenant le réseau, et vous allez pouvoir compiler et installer le pilote. Manipulation : 1. Décompactez l archive e1000e Allez dans le répertoire e1000e Lisez le README 4. Installez le paquetage de fichier d entêtes du noyau linux-headers amd64 5. Installez les paquetages make et gcc 6. Allez dans src, et tapez make 7. Si tout s est bien passé, tapez make install. Le pilote e1000e.ko fraichement compilé va être installé dans /lib/modules/ amd64/ Redémarrez et vérifiez que le réseau fonctionne bien Installation de Xen Noyau Xen Manipulation : 1. Installer Xen : > apt-get install xen-tools xen-utils Votre fichier /boot/grub/grub.cfg a été mis à jour et contient maintenant les autres installations de la machine 3/23

4 2. Installer maintenant un noyau modifié pour faire fonctionner Xen : apt-get install linux-image-xen-amd64 Vous disposez de nouveaux noyaux dans /boot. 3. redémarrez la machine : vous avez plusieurs noyaux disponibles. Le noyau classique, le noyau modifié pour Xen, et le noyau modifié pour Xen avec le lancement de l hyperviseur Xen 4.0. C est ce dernier qu il faut choisir. 4. un problème vous attend : comme vous avez lancé un autre noyau, le module précédemment compilé n est plus disponible. Il vous faut donc le recompiler. Pour ce faire, il faut suivre la démarche de tout la section 1.2, en ayant installé les fichiers d entêtes pour le noyau Xen 5. redémarrez la machine et vérifiez que le réseau fonctionne 6. comme Xen utilise pas mal de montages de pseudo devices, il faut paramétrer le module noyau loop dans le fichier /etc/modules en modifiant la ligne : loop max_loop=64 7. arrêtez le démon Xen avec /etc/init.d/xend stop 8. conserver une copie de /etc/xen/xend-config.sxp, et décommentez la ligne (network-script network-bridge) 9. rédemarrez (cela peut être long car Xen a été perturbé par le changement de configuration, soyez patients) 10. vérifiez que tout s est bien passé en tapant xm list qui doit vous dire que seul le dom0 fonctionne Système de fichiers générique pour domaines invités Nous allons maintenant créer un fichier contenant toute l arborescence des fichiers nécessaires à un domaine invité sous Xen. En copiant ce fichier, il nous sera ainsi facile de créer de nouvelles machines virtuelles. Sur un serveur, il faudrait utiliser une partition physique (ou un volume LVM) pour chaque machine virtuelle. Nous placerons tous les fichiers des domaines invités dans la partition /vservers. Manipulation : 1. on crée le fichier guest.root de 1Go, avec un système de fichier vide ext3 : > cd /vservers > dd if=/dev/zero of=guest.root bs=10m count=100 > mkfs.ext3 guest.root # répondre oui à la question Ce fichier sera utilisé comme une partition. 2. configurer le proxy de wget en modifiant le fichier /etc/wgetrc 3. on monte ce fichier (pseudo device) et on y crée un système minimal à l aide de la commande debootstrap. On y copie ensuite quelques fichiers de configuration du domaine hôte, ainsi que les modules du noyau que l on utilise : 4/23

5 > mount -o loop guest.root /mnt > debootstrap --arch amd64 squeeze /mnt # jetez un coup d oeil au répertoire /mnt > cp /etc/apt/sources.list /mnt/etc/apt/ > cp /etc/apt/apt.conf /mnt/etc/apt/ > cp /etc/network/interfaces /mnt/etc/network/ > cp /etc/resolv.conf /mnt/etc Pour information, l option par debootstrap. print-debs permettrait d avoir la liste des paquetages installés Certaines commandes vont nécessiter que nous nous placions à la racine du système de fichiers du domaine invité que nous préparons. La commande chroot permet d exécuter une autre commande dans un environnement où l on change le système de fichiers racine. Manipulation : 1. on lance dans un environnement "chrooté" un shell bash : > mount --bind /dev /mnt/dev > mount -t proc /proc /mnt/proc > chroot /mnt /bin/bash A ce point vous êtes dans un shell dont le système de fichier racine est /mnt, donc le système de fichier que contient le fichier guest.root. 2. Mise à jour, installation de ssh, table de montage par défaut 1, mot de passe root : > apt-get update > apt-get -s upgrade > apt-get upgrade (si ça vous semble raisonnable) > apt-get install locales > locale-gen fr_fr.utf.8 > dpkg-reconfigure locales # sélectionner la ligne : fr_fr.utf-8 UTF-8 et faites ok # sélectionner ensuite fr_fr.utf-8 par défaut > apt-get update; apt-get upgrade > apt-get install vim ssh > vi /etc/fstab /dev/xvda1 / ext3 relatime 0 1 > passwd # choisissez un mot de passe (pour le root du domaine invité) # différent de celui du domu pour éviter les confusions 3. Modification de /etc/inittab. Afin de pouvoir obtenir une console sur la machine virtuelle, il faut modifier /etc/inittab : changer tty1 en hvc0 dans la ligne 1:2345:respawn:/sbin/getty tty1 commenter les 5 lignes qui suivent la ligne précédente (i.e. les lignes 2:23:respawn... jusque 6:23:respawn...) 4. quittez le mot chroot 1. Notez le nom (xvda1) du point de montage de la racine, il sert de lien avec l hyperviseur xend. 5/23

6 > exit > umount /mnt/dev /mnt/proc /mnt Si vous voulez ajouter des modifications communes à tous vos domaines invités, vous devez le faire avant le exit. A noter qu il serait préférable de ne pas avoir le même mot de passe root sur chaque invité. A noter également que si vous avez un problème de clavier dans les invités, il faut charger la map du clavier français (loadkeys fr). 6/23

7 Chapitre 2 Configuration d une machine virtuelle Xen Pour configurer une nouvelle machine virtuelle Xen, nous allons donc utiliser le fichier guest.root créé précédemment. Il faudra en modifier certains paramètres, déterminer sa configuration réseau, pour enfin y implémenter un service. Rappelons qu un intérêt d utiliser la virtualisation est de séparer les serveurs dans des environnements clos afin d accroître la sécurité. On ne place donc qu un seul service par machine virtuelle. Nous prendrons ici l exemple le plus simple d un serveur web Création du domaine invité domhttp en mode pont Nous créons une machine virtuelle de nom domhttp (sous Xen, une machine virtuelle se nomme «domu») qui utilisera le noyau Debian Xen. Nous allouons 512Mo de Ram à cette machine virtuelle et désignons comme système de fichier racine le fichier domhttp.root. Ce fichier est lié au nom /dev/xvda1 dans la directive disk ci-dessous, nom qui doit correspondre à la table de montage que nous avons définie précédemment. Les options du noyau se placent dans la directive extra. Enfin nous configurons une interface réseau avec une adresse IP fixe (et une adresse MAC fixe également, mais ce n est pas obligatoire 1 ). Utilisez l adresse IP de la machine voisine (et arrétez momentanément le réseau de cette dernière par la commande ifdown eth0). Manipulation : 1. Copier le fichier racine et créer le fichier de configuration : > cp /vservers/guest.root /vservers/domhttp.root > vi /etc/xen/domhttp.cfg kernel = /boot/vmlinuz xen-amd64 ramdisk = /boot/initrd.img xen-amd64 memory = 512 #extra = xencons=tty1 #Disk root = /dev/xvda1 ro disk= [ file:/vservers/domhttp.root,xvda1,w ] #Network 1. Nous voulons juste éviter ici que deux machines virtuelles dans la salle TP aient la même adresse MAC, cela perturberait la résolution d adresse en mode bridge. 7/23

8 name = domhttp vif = [ ip= xx ] #Behaviour on_poweroff = destroy 2. il faut dans un deuxième temps modifier la configuration de l interface de la machine virtuelle pour qu elle corresponde à l adresse IP donnée ci-dessus (pour l instant c est celle du domaine hôte) : > mount -o loop /vservers/domhttp.root /mnt > vi /mnt/etc/network/interfaces auto lo iface lo inet loopback auto eth0 iface eth0 inet static address xx netmask gateway dns-nameservers > umount /mnt 3. vous pouvez dès lors lancer la machine virtuelle et vous logguer sur une console. > xm create domhttp.cfg # la création est parfois longue, ne pas s inquiéter. Using config file "/etc/xen/domhttp.cfg" Started domain domhttp > xm list # dans une autre console virtuelle (Ctrl+Alt+2), connectez-vous et tapez : > xm console domhttp... Debian tty1 --- login: root Password: root@---> 4. changer le nom d hôte du domaine invité par la commande root@---> echo domhttp > /etc/hostname root@domhttp> 5. puisque normalement vous disposez du réseau dans le système invité, vous pouvez installer le serveur web demandé et ajouter une page : root@domhttp > apt-get update... root@domhttp > apt-get install apache2 root@domhttp > echo "<html><body>serveur du domaine uname -n </h2> ifconfig eth0 grep inet <br/> uname -a </body></html>" > /var/www/xen-domhttp.html Utilisez une 3ème machine pour afficher le contenu de votre serveur web à l adresse 8/23

9 6. pour arrêter la machine virtuelle, si vous êtes loggué sur une console du système invité, il suffit d arrêter le système pour revenir dans le système hôte : root@domhttp > shutdown -h now pour vous détacher de la console, il faut taper Ctrl+] 8. pour arrêter la machine virtuelle, si vous êtes loggué sur une console du système hôte, vous pouvez arrêter le système invité : > xm shutdown domhttp Si le système résiste, utilisez xm destroy domhttp La configuration réseau utilisée ici est celle que Xen propose par défaut, et correspond à un mode pont (bridge) 2 : dans ce mode, Xen renomme l interface eth0 de la machine hôte en peth0, puis il crée un pont de nom eth0 auquel il adjoint peth0. Ensuite au fur et à mesure que sont créées les machines virtuelles, il adjoint au pont eth0 les interfaces correspondantes (qui sont nommées vifn.x dans le système hôte et lièes chacune par Xen à l interface ethx de la machine d id n). Pour terminer, faites la manipulation suivante : Configuration du domu par DHCP : Comment modifier la configuration du dom0 et du domu pour que le domu récupère sa configuration par dhcp, et sans que le fichier /etc/xen/domhttp.cfg ne contienne l IP du domu? Appelez nous quand ça fonctionne Configuration en réseau routé avec translation d adresses Etant donné la configuration de la salle TP, nous ne pouvons pas librement utiliser d adresses IP du réseau /24 pour les machines virtuelles. Nous devons utiliser un autre réseau local pour relier le domaine invité avec le domaine hôte : nous choisissons d utiliser le réseau d adresses (par défaut de Xen) /24. Il va s agir alors de router le réseau local vers l extérieur, i.e. que le domaine hôte va faire office de passerelle pour les machines virtuelles du réseau local. Xen propose des scripts pour différentes configurations, dont une configuration en mode routé avec translation d adresses (NAT). Les scripts de configuration de Xen se trouvent dans le répertoire /etc/xen et ceux utilisés pour configurer le réseau se trouvent dans /etc/xen/scripts. Le démon xend est configuré par le fichier /etc/xen/xend-config.sxp. Dans ce fichier, la directive (network-script nom-de-script) permet de configurer le réseau au moment du lancement du démon xend. La directive (vif-script nom-de-script) configure le réseau à chaque lancement de machine virtuelle. En positionnant ces deux valeurs à /bin/true (qui est un script qui renvoie 0), vous pouvez lancer Xen sans aucune configuration réseau. Nous allons ici configurer Xen en mode routé avec NAT en utilisant les scripts proposés, puis réaliser une redirection de port pour que notre serveur apache2 soit accessible de l extérieur. 2. On rappele qu "un pont est un équipement matériel qui permet d interconnecter 2 réseaux physiques. Le pont travaille au niveau 2 du modèle OSI. Cela veut dire que le transfert des paquets est effectué suivant l adresse Ethernet (adresse MAC)". 9/23

10 Manipulation : 1. Arrétez le démon Xen, modifier le fichier de configuration pour passer en mode NAT : > /etc/init.d/xend stop > vi /etc/xen/xend-config.sxp commenter les lignes (network-script network-bridge) et (vif-script vif-bridge) décommenter les lignes (network-script network-nat) et (vif-script vif-nat) rebooter ou relancer le service xend > /etc/init.d/xend start 2. modifier la configuration réseau du domaine domhttp (réseau local ) : > vi /etc/xen/domhttp.cfg # remplacer l adresse ip en > mount -o loop /vservers/domhttp.root /mnt > vi /mnt/etc/network/interfaces # remplacer l adresse ip en , le gateway par , # netmask par > umount /mnt Lancer la machine virtuelle domhttp, vous devriez être capable d y accéder depuis l hôte dom0 (ping ). Inspectez l affichage produit par route -n. Logguez sur le domaine invité domhttp. De la même manière, vous devez être capable d accéder à l extérieur depuis le domaine invité (ping Ceci confirme que le routage est correct sur dom0, et que le DNS fonctionne. Le dom0 a normalement toujours accès au serveur web : testez w3m Il reste quand même à rendre visible votre serveur web depuis l extérieur en redirigeant le port 80 vers le domaine domhttp. Manipulation : 1. On utilise iptables pour faire la redirection de port sur dom0 : pcmtxx > iptables -A PREROUTING -t nat -p tcp -i eth0 --dport 80 -j DNAT --to :80 2. accédez à votre serveur web depuis la deuxième machine (dont vous aurez relancé le réseau). L adresse de la page est maintenant Reportez-vous à l Url suivante pour voir d autres configurations possibles : 10/23

11 Chapitre 3 Cas concret Dans ce chapitre, nous vous fournissons un cahier des charges, avec des contraintes techniques imposées. Vous avez une certaine liberté pour suivre une solution technique différente, mais dans ce cas, vous devrez discuter et argumenter avec les enseignants, un peu comme vous le feriez avec un client Présentation du travail attendu Objectif : votre machine dom xx doit fournir au réseau xx un serveur Apache, un serveur NFS. Ces deux serveurs seront chacun sur une machine virtuelle, et leur gestion s appuiera sur deux serveurs DNS et DHCP locaux (donc invisibles depuis xx), eux-mêmes sur une machine virtuelle. Méthode : Apache tourne sur un domu appelé apache NFS tourne sur un domu appelé nfs DNS et DHCP tournent sur un domu appelé dnsdhcp chaque domu est sur un réseau local en * en mode NAT chaque domu est configuré par DHCP (le DHCP local). On impose les IP suivantes : apache= , nfs= , dnsdhcp= le réseau local * utilise le nom de domaine machine<n>.local où N est le numéro de votre machine sur le dom0 et sur chaque domu, apache, nfs et dnsdhcp désignent les noms des domu (i.e. la commande host apache depuis le dom0 et depuis les domu doit fonctionner) Intérêt : la facilité de configuration des différentes machines virtuelles, qui ne contiennent pas d IP en dur, car les domu sont configurés par DHCP on peut imaginer une meilleure tolérance aux pannes car il est «facile «de dédoubler chaque serveur pour remplacer un serveur qui plante, en changeant simplement le dns et une table de routage... 11/23

12 Remarque : dans une situation réelle, les serveurs DNS et DHCP seraient plutôt décentralisés sur une autre machine physique, ce que nous ne pouvons pas réaliser facilement ici Indications Xen Vous ferez attention à bien limiter DHCP et DNS à vos machines pour ne pas perturber les autres. La configuration du dom0 sera peut-être délicate pour la résolution des noms d hôte. A vous de trouver une solution élégante. Les sections qui suivent contiennent quelques conseils et mises en garde à lire avant de réaliser le travail. Pour fixer l IP de apache, on indiquera dans le fichier de configuration /etc/xen/apache.cfg de la machine virtuelle apache la ligne vif = [ mac=00:16:3e:00:00:xx, bridge=<nom_du_bridge> ]. C est ensuite le serveur dhcp qui fixera son IP grâce à l adresse MAC. Idem pour les autres domu. Liens utiles : site de Xen : wiki de Xen : Apache NFS DHCP DNS Pas de consignes particulières, si ce n est qu il faut absolument mettre un message d accueil personnalisé pour vérifier que cela fonctionne. Vous pouvez reprendre les informations du TP d installation. Afin de simplifier les choses, vous exporterez votre répertoire /export en y mettant un fichier texte du nom de votre nom de machine (cela permettra aux autres de vérifier facilement si votre serveur NFS fonctionne). Vous utiliserez le paquetage dhcp3-server. Liens utiles : un exemple simple de configuration : Vous utiliserez le paquetage bind9. Liens utiles : exemple d installation : 12/23

13 Chapitre 4 Configuration des serveurs Ce chapitre n est pas à réaliser. Il contient quelques explications sur l installation et la configuration de serveurs, qui peuvent vous aider pour le TP. Elles sont plus à moins à jour, certaines datant de plusieurs années Serveur DHCP La manipulation ici vous explique comment installer un serveur DHCP qui répond aux machines de *. Ce travail n est pas à réaliser, mais vous donne une première indication sur le fonctionnement du serveur DHCP. Le protocole DHCP (Dynamic Host Configuration Protocol) permet à la machine cliente de recevoir sa configuration réseau IP (et plus éventuellement) d un serveur par réseau. Ce protocole peut paraître contradictoire à priori mais en fait l échange se déroule au niveau de la couche 2 par broadcast en général. Dans cette partie, une machine va faire serveur DHCP et l autre le client. Le serveur va envoyer au client sa configuration d interface, la configuration de routage et la configuration DNS. Les clients faisant leur demande par broadcast, le serveur doit reconnaître quel est son client. Cela se fera sur l adresse MAC de celui-ci. En règle générale un serveur DHCP a un ensemble d adresses disponibles qu il distribue à ceux qui lui demande. Dans notre cas, les adresses sont déjà connues et c est celles-là qu il faudra envoyer d où la section host... dans la configuration ci-dessous. Configuration du serveur (/etc/dhcpd.conf) : 1. Récuperer l adresse MAC de la machine cliente : > arp Ou bien sur la machine cliente : > /sbin/ifconfig eth0 2. Modifier le fichier de configuration d exemple en fonction de l adresse IP et du nom de la machine cliente : # Option global... option domain-name-servers , ; option domain-name "m2fil.univ-lille1.fr"; subnet netmask { 13/23

14 }... range ip_pcmtx ip_pcmty ; option broadcast-address ; host pcmtxx { hardware ethernet MM:MM:MM:MM:MM:MM fixed-address ?? ; } Configuration du client : 1. Il existe déjà dans la salle un serveur DHCP (lafitte), exceptionnellement, pour l intérêt de la manipulation, nous allons interdire au client de tenir compte des réponses de ce serveur. Ajouter la ligne suivante à /etc/dhclient.conf : reject ; 2. Vérifier que la configuration de l interface réseau fait appel au DHCP. Editer /etc/network/interfaces allow-hotplug eth0 iface eth0 inet dhcp 3. Redémarrer l interface > ifdown eth0 > ifup eth Serveur LDAP Cette section date de l année 2009, et devrait être relativement à jour. Lightweight Directory Acces Protocol est un service de base de données arborecsentes. Au lieu d avoir à maintenir les mêmes informations (comme par exemple celles de /etc/passwd) sur n machines, une machine privilégiée (le serveur LDAP) maintient à jour cette base de données et les autres machines (clients LDAP) la consulteront pour obtenir ces données. On peut utiliser LDAP pour diffuser toutes sortes de données sous forme d annuaires. En utilisant des schémas standards, il est également possible de diffuser des informations d identification et d authentification. LDAP correspond à l Active Directory de Windows. Vous allez configurer une machine (désignée ici par pcmixx) en tant que serveur, et on pourra alors se connecter sur une machine cliente en utilisant les logins et les mots de passe stockés sur la machine serveur. Configuration du serveur : 1. Installer les paquetages slapd et ldap-utils. 2. Pour configurer slapd, utiliser les options suivantes : DNS domain name pcmixx Database backend to use BDB Allow LDAPv2 protocol no LE «DNS domain name» correspond au «domain component» dont le schéma reprend le nommage DNS : le domaine géré par le serveur LDAP aura donc comme base dc=pcmixx. 14/23

15 3. Il faut maintenant ajouter des données à la base LDAP, nous allons le faire en trois étapes. Tout d abord, créer l arborescence en créant le fichier init.ldif : # init.ldif dn: ou=people, dc=pcmixx objectclass: top objectclass: organizationalunit ou: people description: Branche People dn: ou=groupe, dc=pcmixx objectclass: top objectclass: organizationalunit ou: groupe description: Branche Goupe Unix 4. Ajouter les données de ce fichier à la base par la commande : > ldapadd -x -D "cn=admin,dc=pcmixx " -W -f init.ldif 5. On crée ensuite les groupes par l intermédiaire d un fichier gr.dif : # gr.ldif dn: cn=lmastertiir, ou=groupe, dc=pcmixx objectclass: top objectclass: posixgroup cn: lmastertiir gidnumber: description: groupe de TIIR dn: cn=lmasteriagl, ou=groupe, dc=pcmixx objectclass: top objectclass: posixgroup cn: lmasteriagl gidnumber: description: groupe de IAGL 6. Ajouter les données de ce fichier par la commande : > ldapadd -x -D "cn=admin,dc=pcmixx " -W -f gr.ldif 7. Et les quatre utilisateurs par l intermédiaire d un fichier ut.dif : # ut.ldif dn: uid=iagl1, ou=people, dc=pcmixx objectclass: top objectclass: posixaccount objectclass: person objectclass: organizationalperson objectclass: inetorgperson uid: luseriagl1 cn: nom complet uidnumber: gidnumber: homedirectory: /home/lmasteriagl/luseriagl1 loginshell: /bin/bash userpassword: {CRYPT}XXXXXXXXXXXXXXXXXXXXXX ou: lmasteriagl 15/23

16 : : dn: uid=tiir2, ou=people, dc=masterix objectclass: top objectclass: posixaccount objectclass: person objectclass: organizationalperson objectclass: inetorgperson uid: lusertiir2 cn: nom complet uidnumber: gidnumber: homedirectory: /home/lmastertiir/lusertiir2 loginshell: /bin/bash userpassword: {CRYPT}XXXXXXXXXXXXXXXXXXXXXX ou: lmastertiir 8. Ajouter ces données avec : > ldapadd -x -D "cn=admin,dc=pcmixx " -W -f ut.ldif Vérifiez les numéros d uid et de gid qui sont peut-être un peu farfelus. Configuration du client : 1. Installer les paquetages ldap-utils, libpam-ldap et libnss-ldap. 2. Configurer avec ces informations : Hôte ldap :pcmixx// Base DN dc=pcmixx Version LDAP Version 3 Connexion Anonyme (pas d authentification nécessaire) Chiffrement des mots de passe md5 3. Modifier les fichiers d authentification dans /etc/pam.d/ : # common-account account sufficient pam_ldap.so account required pam_unix.so # common-auth auth sufficient pam_ldap.so auth required pam_unix.so nullok_secure use_first_pass # common-password password sufficient pam_ldap.so use_authok password required pam_unix.so nullok obscure min=4 max=8 md5 # common-session session sufficient pam_ldap.so session required pam_unix.so 4. Supprimez les utilisateurs locaux au serveur (ceux qui n ont pas de répertoire dans/export/home/) des fichiers /etc/passwd et /etc/shadow Ou reprenez /etc/passwd.orig et /etc/shadow.orig. 16/23

17 Rq : Les configurations de libpam-ldap et de libnss-ldap peuvent être modifiées en éditant respectivement les fichiers /etc/libpam-ldap.conf et /etc/libnss-ldap.conf Il reste à préciser au système quand il doit utiliser LDAP. Ce rôle est dédié au fichier /etc/nsswitch.conf. Il contient pour chaque type d information (groups, hosts... ) la liste des «endroits» où les chercher. Il faut donc vérifier que LDAP y apparaît : > cat /etc/nsswitch.conf [...] passwd: compat ldap group: compat ldap shadow: compat ldap [...] Test : Finalement, effectuez quelques petits tests pour voir si tout fonctionne comme prévu. 1. Vérifier l accés à la base LDAP du serveur. > ldapsearch -x -h pcmixx -b dc=pcmixx 2. Parcourir l arborescence LDAP. Installer gq, ajouter le serveur et observer les branches, les schémas et les attributs de chaque objet. 3. Et bien sûr essayez de vous connecter sur les machines! 4.3. Serveur DNS Le DNS (Domain Name Service) est le service prenant en charge le nommage des machines (conversion entre adresses symboliques et adresses IP, nom des serveurs SMTP... ). Il est constitué par une hiérarchie de serveurs de noms gérant leurs sous-domaines. Lorsqu un client lui demande l adresse de machine.domain1-1.domain1, pour la résoudre (trouver son adresse IP) il va demander aux serveurs primaires (machines bien connues) les serveurs du domaine domain1. Puis il demande à ces machines les serveurs du sous-domaine domain1-1.domain1. Et enfin il demande à ces dernières l adresse de la machine machine.domain1-1.domain1. Nous allons donc créer des sous-domaines (masterix.masteri.fr) pour chaque couple de machines dont l une des deux sera le serveur. hommel sera, quand à elle, le serveur du domaine masteri.fr. Pour la partie serveur, vous avez besoin du paquetage bind version 9, bind9. Les clients auront besoin du paquetage host. Pour configurer le serveur, il faut créer les fichiers de zone c.a.d. les fichiers contenant les informations sur votre domaine. Nous allons avoir plusieurs fichiers dans /etc/bind : named.conf : Configuration principale contenant les options du serveur et désignant les fichiers qui définissent les différentes zones ; named.conf.options : Fichier inclu par named.conf pour indiquer les options du serveur. named.conf.local : Fichier inclu par named.conf pour spécifier les zones locales. db.masteri : information sur le domaine masterix.masteri.fr ; db.masteri-arpa : information inverse sur le domaine masterix.masteri.fr ; db.local : information sur le domaine local (la machine toute seule) ; db.127 : information inverse sur le domaine local ; db.root : information sur les serveurs principaux. 17/23

18 Configuration du serveur Constitution des options et des zones : 1. Modifier named.conf.options : options { directory "/var/cache/bind"; // A qui renvoyer la requete quand on ne sait pas forwarders { ; }; }; 2. Modifier named.conf.local : // la zone des 2 machines zone "masterix.masteri.fr" { type master; file "/etc/bind/db.masteri"; }; // la zone inverse des 2 machines zone " in-addr.arpa" { type master; file "/etc/bind/db.masteri-arpa"; }; Le fichier contenant les noms des serveurs primaires est déjà fait, vous n avez pas à le modifier. Les autres sont constitués de lignes du type nom interface type information qui donne une information d un certain type pour l interface et le nom donné. L interface est quasiment toujours internet (IN) et les types sont : SOA NS MX A PTR CNAME HINFO nom du domaine pour les lignes suivantes (Start Of Authority) serveur de nom agent SMTP adresse IP adresse symbolique alias type de machine... Rq : Si nom ne se finit pas par un point, le nom du domaine d autorité (SOA) lui est accolé. db.masteri : début du domain. Les arguments sont le nom du serveur, le mail de la personne responsable, le numéro de série (à incrémenter quand le fichier est modifié) et les durées de validité des données ; $TTL IN SOA pcmix.masterix.masteri.fr. root.pcmix.masterix.masteri.fr. ( ; Serial 8h ; Refresh 2h ; Retry 1w ; Expire 3h ; Minimum TTL ) 18/23

19 spécification du serveur du domaine ; masterix.masteri.fr. NS pcmix adresses des machines du domaine ; pcmix A xx pcmiy A yy db.masteri-arpa : début du domaine ; $TTL IN SOA pcmix.masterix.masteri.fr. root.pcmix.masterix.masteri.fr. ( ; Serial 8h ; Refresh 2h ; Retry 1w ; Expire 3h ; Minimum TTL ) spécification du serveur du domaine ; in-addr.arpa. NS pcmix.masterixx.masteri.fr. adresses des machines du domaine ; 1xx PTR pcmixx.masterixx.masteri.fr. 1yy PTR pcmiyy.masterixx.masteri.fr. Pour vérifier la validité syntaxique de vos fichiers de configuration, vous pouvez utiliser les outils named-checkconf et named-checkzone. Une fois les fichiers syntaxiquement corrects lancez le serveur Configuration du client Pour configurer le client il vous suffit de modifier le fichier /etc/resolv.conf en spécifiant le nouveau serveur DNS et le nouveau nom de votre domaine de recherche. Utilisez la commande host pour vérifier si la configuration de votre serveur est correcte. test du client : Modifier le fichier /etc/resolv.conf search masterix.masteri.fr nameserver xx Vérifier le résultat des commandes : > host pcmix.masterix.masteri.fr > host pcmiy.masterix.masteri.fr > host pcmix > host pcmiy > host xx > host yy 4.4. Serveur NIS NIS est un service de gestion centralisé d informations. Au lieu d avoir à maintenir une copie d un certain fichier (comme par exemple /etc/passwd) sur n machines, une machine privilégiée (dite serveur NIS) maintient à jour ce fichier et d autres 19/23

20 stations (dites clients NIS), membre d un même groupe de machines (dit domaine NIS), consultent ce fichier (dit map NIS). System Administration Cookbook Je crains que cela ressemble fortement à la description faite pour LDAP (ou plus exactement l inverse), ces deux services étant comparables quant à leurs fonctionnalités. La configuration de NIS est également semblable dans son déroulement à la configuration de LDAP. Configuration du serveur : 1. Installer le paquetage nis. 2. Fixer le nom du domaine (MASTER_PCx, où x est le numéro de votre machine) grâce à la commande domainname. Pour le faire automatiquement au reboot, ajouter votre domaine MASTER_PCx dans /etc/defaultdomain. 3. Positionner la variable NISSERVER à true dans le fichier /etc/default/nis. 4. Extraire les informations de vos comptes, des fichiers passwd, shadow, group et gshadow 2 pour les mettre dans le répertoire /etc/yp. 5. Installer le paquetage gawk pour l étape suivante. 6. Construire les maps. Pour cela modifier le fichier /var/yp/makefile pour tenir compte de ces déplacements (variable YPPWDDIR), autoriser la construction des shadows, (variables MERGE_PASSWD et MERGE_GROUP) et remplacer /usr/bin/awk par /usr/bin/gawk. Puis lancer la construction (make). Les maps doivent se trouver dans /var/yp/master_pcx. 7. Lancer le démon nis. Configuration du client : 1. Fixer le nom du domaine (MASTER_PCx, où x est le numéro de votre machine) grâce à la commande domainname. Pour le faire automatiquement au reboot, ajouter la variable MASTER_PCx dans /etc/defaultdomain 2. Positionner la variable NISCLIENT à true dans le fichier /etc/default/nis. 3. Configurer ypbind en ajoutant le fichier /etc/yp.conf # yp.conf - YP configuration for NIS # ypserver pcmix 4. Relancer nis. Il reste à préciser au système quand il doit utiliser NIS. Ce rôle est dédié au fichier /etc/nsswitch.conf. Il contient pour chaque type d information (groups, hosts... ) la liste des endroits où les chercher. Il faut donc vérifier que NIS y apparaît : > cat /etc/nsswitch.conf [...] passwd: compat nis group: compat nis shadow: compat nis hosts: files dns nis [...] 2. C est l équivalent du shadow pour les groupes. Dans notre cas, il est vide 20/23

21 Rq : On vérifie du même coup que les «hosts» sont aussi recherchés par le DNS. Finalement, effectuez quelques petits tests pour voir si tout fonctionne comme prévu. Test : 1. Vérifier le nom du serveur NIS. > ypwhich pcmix.fil.univ-lille1.fr 2. Obtenir la table des mots de passe. > ypcat passwd 3. Et bien sûr essayez de vous connecter sur les machines! 21/23

22 Chapitre 5 Projets 5.1. Sujets Migration (relocation) de machine virtuelle Vous devez transférer une machine virtuelle lancée sur une machine 1 vers la machine 2. Vous ferez une démonstration montrant bien que tout fonctionne, par exemple avec les étapes suivantes : lancement de la machine virtuelle sur la machine 1 lancement d un script (sur la machine virtuelle) affichant un entier s incrémentant de 1 en 1 dans une boucle infinie lancement de la migration de la machine virtuelle vers la machine 2 le script doit maintenant faire ses affichages sur l écran de la machine Basculement (failover) sur machine virtuelle de secours La machine 1 fait tourner en permanence deux machines virtuelles hébergeant chacune un serveur Apache. L objectif de la manipulation est qu il y ait en permanence un serveur Apache qui fonctionne. L idée est que si l un des serveurs Apaches (ou la machine virtuelle le faisant tourner) tombe en panne, on peut basculer immédiatement sur l autre serveur Apache qui était inutilisé, et ainsi de suite. Scénario à suivre : la machine 2 se connecte sur la machine 1 pour accéder à un serveur Apache la machine 1 redirige la connection vers la machine virtuelle 1 (faisant tourner le serveur Apache 1) on coupe la machine virtuelle 1 (avec un shutdown par exemple) la machine 1 doit se rendre compte que le serveur Apache 1 ne fonctionne plus et rediriger la connection vers la machine virtuelle 2 qui est censée fonctionner. De plus, la machine 1, doit relancer la machine virtuelle 1 qui remplacera la machine virtuelle 2 quand elle tombera en panne on tue le serveur Apache de la machine virtuelle 2, et la machine virtuelle 1 doit prendre le relai automatiquement Gestion de création de machines virtuelles On veut faciliter la création et le lancement de machines virtuelles. Pour cela vous devez écrire un script Shell qui : 22/23

23 demande à l utilisateur les informations suivantes : nom de la machine, quantité de RAM désirée, le service à installer (parmi Apache/NFS/Mysql) crée et configure la machine intègre votre machine dans DNS/DHCP lance la machine Gestion centralisée de machines virtuelles Le but est de configurer et de maintenir facilement un ensemble de domu qui font chacun tourner un service. Pour cela, nous allons utiliser un domu spécifique (nommé domuadmin) qui a pour rôle de maintenir les autres domu. On veut pouvoir depuis domuadmin : gérer de manière automatisée un certain nombres de fichiers de configuration qui sont identiques sur tous les domu. Ces fichiers incluent par exemple sshd_config, /etc/network/interfaces. Cela signifie que si l on veut modifier ces fichiers de configuration, on doit pouvoir le faire sur domuadmin, et les autres domu doivent être reconfigurés avec le minimum d interventions possibles. exécuter des actions paramètrables depuis domuadmin sur une liste de domu fournie par l utilisateur. Par exemple, on doit pouvoir relancer tous les serveurs Apache. 23/23