ISTA HAY RIAD FORMATRICE BENSAJJAY FATIHA

Transcription

1 Administration sous Linux ISTA HAY RIAD FORMATRICE BENSAJJAY FATIHA ANNEE 2014

2 Table des matières I. Service de résolution de noms de domaine Présentation des concepts Installation de BIND Configuration de BIND b. Description des différents fichiers de zone... 8 II. Présentation de LDAP Le langage de commande Créer une base de données Installer, configurer et Administrer LDAP Authentification système LDAP sur un système GNU/Linux III. Serveur DHCP Présentation du protocole DHCP Principales fonctions DHCP Fonctionnement du protocole DHCP Installation du serveur DHCP IV. TCP/IP LINUX Les outils de base ping ifconfig arp route netstat traceroute telnet ftp nslookup V. Configurer l accès réseau distant Utilisation de Telnet Utilisation de rlogin, rsh et rcp Configuration de ssh Configuration d une connexion VPN sous Linux VI. Serveur SAMBA Services réseau sous Linux Page 2

3 1. Rôle et fonctionnement Configuration de SAMBA VII. Le système d'impression Services réseau sous Linux Page 3

4 I. Service de résolution de noms de domaine Le service de résolution de noms d'hôtes DNS (Domain Name Services), permet d'adresser un hôte par un nom, plutôt que de l'adresser par une adresse IP. Quelle est la structure d'un nom d'hôte? Nom_d_hôte ou bien Nom_d_hôte.NomDomaine Exemple : ns1 ou bien ns1.foo.org Le nom de domaine identifie une organisation dans l'internet, comme, par exemple, yahoo.com, wanadoo.fr, eu.org. Dans les exemples, nous utiliserons un domaine que l'on considère fictif : «foo.org». Chaque organisation dispose d'un ou plusieurs réseaux. Ces réseaux sont composés de noeuds, ces noeuds (postes, serveurs, routeurs, imprimantes) pouvant être adressés. 1. Présentation des concepts Services réseau sous Linux Page 4

5 Services réseau sous Linux Page 5

6 2. Installation de BIND Tout d abord il faut installer bind sur la machine car c est le logiciel utilisé pour le serveur DNS. Le fichier téléchargé était une archive (exemple : bind tar.gz). On le copie dans un fichier appelé temp par exemple que l on a crée dans /etc Pour le décompresser : tar xvzf bind tar.gz On rentre ensuite dans la racine du fichier ainsi crée : cd /temp/bind afin de pouvoir compiler en utilisant la commande./configure suivi de make pour la compilation en elle-même et pour finir make install afin d installer les différents fichiers compilés. Pour configurer Bind, il faut éditer les différents fichiers de configuration. 3. Configuration de BIND Fichier de configuration principal Le fichier de configuration principal named.conf permet de configurer les options de fonctionnement, autorisations, redirections et les différentes zones utilisées par le serveur DNS. Services réseau sous Linux Page 6

7 Exemple de fichier /etc/named.conf Services réseau sous Linux Page 7

8 Signification des différents champs - Le bloc "options" contient les options qui affectent le fonctionnement général du logiciel. - L'option "directory" indique à named où il doit trouver tous ses fichiers de configurations (ici dans le dossier /var/named). Tous les autres fichiers auront donc un chemin relatif à celui-ci. - Chaque bloc zone"..." contient la description d'une zone. - La directive " type master" signifie que le serveur est maître pour cette zone et qu il contient tous les renseignements utiles. - Le bloc zone"." permet à BIND d'interroger les domaines racines (com, fr, org, etc.) sur les serveurs racines Internet. Le fichier named.ca contient les adresses de ces serveurs racines. - La zone"clad.org" contient la description du domaine clad.org. Il contient la liste des adresses IP et des machines du serveur, ainsi que la correspondance machine-adresse IP. On peut aussi y préciser les serveurs de courriers, serveurs d'impression ou d'autres informations du même genre. - La zone " IN-ADDR.ARPA" est la zone de recherche inverse pour notre réseau interne. A partir de l'adresse IP, une résolution inverse est effectuée afin de trouver le nom de machine. - La zone " IN-ADDR.ARPA" est une zone de recherche inverse pour les adresses de type Ces adresses sont utilisées en interne et correspondent à l'hôte "localhost". Elle est donc utile pour la résolution locale de la machine en elle-même. 4. b. Description des différents fichiers de zone Signification des différents mots-clé - IN signifie qu'il s'agit s'une zone Internet. signifie qu'il fait référence au serveur lui-même. - La directive SOA signifie "Start of Authority" et sert à donner des informations sur la gestion de la zone. C est le premier enregistrement du fichier de configuration Suivent ensuite le numéro de série et 4 lignes indiquant respectivement le temps de rafraîchissement, nouvel essai, expiration, et temps de vie minimum (H=Hour, D=Day, W=Week) - Le champ NS fait référence à la machine servant de serveur de noms, il faut lui attribuer une adresse IP grâce au champ A, il faut aussi attribuer les adresses IP aux autres machines. - La ligne localhost permet de déclarer le serveur de nom Services réseau sous Linux Page 8

9 Exemple de fichiers de zone a- Le fichier named.ca est présent par défaut et contient les adresses des serveurs racine Internet. b- Fichier clad.org Le serveur de noms dans cet exemple est testdns c- Le fichier in-addr.arpa : Le champ PTR sert pour l enregistrement de résolution inverse. On déclare les machines utilisant le serveur DNS. Le champ NS est présent pour la machine servant de serveur. Services réseau sous Linux Page 9

10 - Le fichier named.local correspondant à la zone " IN-ADDR.ARPA" pour la résolution locale de la machine. - Le fichier resolv.conf présent dans /etc La ligne search précise dans quel domaine effectuer les requêtes DNS. La ligne nameserver précise l adresse IP du serveur DNS. - Le fichier host.conf qu il faut éditer pour qu il soit comme suit. Cela précise au résolveur de regarder d abord les entrées du fichier /etc/hosts et ensuite d utiliser le serveur précisé dans resolv.conf. Pour tester que tout est bien configuré. Dans l invite de commande cmd je tape nslookup. Les lignes retournées sont le nom du serveur DNS ainsi que son adresse IP. Le serveur est opérationnel et prêt à répondre aux requêtes DNS. Services réseau sous Linux Page 10

11 Commandes utiles commande Ifconfig -a dmesg grep eth0 lspci grep Ethernet description Affiche la liste des interfaces réseau qui ont été détectées rechercher les messages contenant "eth0" pour avoir plus d'informations sur la première carte réseau détectée permet d'afficher les cartes réseaux reliées au bus PCI ifconfig <interface> <adresse ip> ifconfig eth netmask ifconfig eth0 attribuer une adresse IP à une interface réseau Le masque de sous-réseau est déterminé automatiquement en fonction de la classe de l'adresse IP. S'il est différent on peut le spécifier avec l'option netmask : Pour voir si la carte réseau est bien configurée route add default gw <adresse ip> Pour ajouter une passerelle route -n afficher les routes vers les différents réseaux netstat -a /etc/init.d/hostname.sh hostname <nom d'hôte> vérifier le statuts de toutes les interfaces Le fichier /etc/hostname contient le nom de la machine. Il suffit de l'éditer pour changer le nom d'hôte de la machine. Cette modification n'est pas prise en compte immédiatement par le système. Elle le sera au prochain démarrage de la machine ou après avoir lancé On peut changer le nom d'hôte avec la commande suivante, mais il ne sera pas conservé au prochain démarrage auto lo iface lo inet loopback Le fichier /etc/network/interfaces permet de configurer les cartes réseau de manière permanente. Services réseau sous Linux Page 11

12 auto eth0 iface eth0 inet static address netmask gateway auto eth0 iface eth0 inet dhcp l'interface eth0 doit être configurée automatiquement par un serveur DHCP nameserver nameserver search foo Le fichier /etc/resolv.conf contient les adresses IP des serveurs DNS serverrh Le fichier /etc/hosts contient une liste de résolutions de noms (adresses IP et noms de machine). II. Présentation de LDAP LDAP (Light Directory Access Protocol) est un service d'annuaire dérivé de la norme X.500. Un serveur LDAP permet de centraliser des informations très diverses. Il offre de nombreux avantages : un serveur d'annuaire (recensement de tous les objets d'un système) ; Information sur les utilisateurs (nom, prénom...), et données d'authentification pour les utilisateurs ; Information pour les applications clientes et fonctions de serveur d'accès itinérant; bien d'autres choses... LDAP supporte le chiffrement SSL et cohabite parfaitement avec les applications Samba, DNS, NFS... LDAP fournit un ensemble d'outils. un protocole permettant d'accéder à l'information contenue dans l'annuaire, un modèle d'information définissant l'organisation et le type des données contenues dans l'annuaire, un modèle de nommage définissant comment l'information est organisée et référencée un modèle fonctionnel qui définit comment accéder à l'information, un modèle de sécurité qui définit comment accéder aux données et comment celles-ci sont protégées. OpenLDAP est souvent configuré avec SASL (Simple Authentication and Security Layer), qui permet les transactions cryptées avec les protocoles fonctionnant en mode connecté. un modèle de duplication qui définit comment la base est répartie entre serveurs, Services réseau sous Linux Page 12

13 des APIs pour développer des applications clientes, LDIF, (Ldap Data Interchange Format) un format d'échange de données. Un protocole d'accès aux données, qui décrit comment ajouter, modifier, supprimer des données dans la base de donnée, quels protocoles de chiffrement (kerberos, ssl...), et quels mécanismes d'authentification sont utilisés. Ce protocole est utilisé dans la relation client/serveur, mais également entre serveurs (serveur/serveur) car une base de données LDAP peut être répartie. LDAP fournit un modèle d'organisation des données. Ces données sont organisées sous forme hiérarchique. L'arbre est nommé Directory Information Tree (DIT). Le sommet (racine), contient le "suffixe". Chaque noeud représente une "entrée" ou "Directory Entry Service" (DSE). Les données sont stockées sur un format de base de données hiérarchique de type "dbm". Ce format est différent des bases de données relationnelles. DBM est conçu pour supporter peu de mises à jour, mais de nombreuses consultations. Services réseau sous Linux Page 13

14 Le scope (Profondeur de recherche) Le scope définit la profondeur de la recherche dans l'arbre des données. La figure montre la portée d'une recherche ou d'une comparaison en fonction du paramètre scope. 1. Le langage de commande - slapadd, slapcat, slapindex, slappasswd, fournis avec les serveurs LDAP (utilisables sous le compte root). - ldapadd, ldapdelete, ldapmodify, ldapmodrdn, ldappasswd, ldapsearch, fournis avec les utilitaires ldap (utilisable par les utilisateurs et les applications). Ils sont fournis par le paquet (ldap-utils) Exemple : ldapsearch -x -h localhost -b "dc=mydomain,dc=fr" "objectclass=*" Recherche de tous les objets sur l'annuaire de la machine locale, à partir de la racine. (-b indique à partir de quel niveau la recherche doit être exécutée). L'option «-x» indique de ne pas utiliser la méthode d'authentification SASL si elle n'est pas activée. ldapdelete 'cn=jean Colombani,cn=mydomain,cn=fr' Suppression d'une entrée dans l'annuaire ldapadd -f /tmp/unfichierauformatldif Ajout dans l'annuaire à partir d'un fichier contenant des données au format LDIF. Services réseau sous Linux Page 14

15 Note: Pour éviter d'avoir à préciser à chaque fois certains paramètres (machine, port, annuaire...) il est possible de configurer le fichier de configuration «ldap.conf» qui sera utilisé par les applications clientes 2. Créer une base de données Créer une base de données LDAP, va consister donc d'abord à créer une country (c) une ou plusieurs organisations (o) à 1 ou plusieurs niveaux définir les objets (feuilles de l'arbre) Il est possible d'importer les informations à partir d'un fichier texte dans la base de données grâce à un format d'échange de données, le format LDIF (Lightweight Data Interchange Format). 3. Installer, configurer et Administrer LDAP 1. Installer les packages nécessaires 2. configurer les fichiers de configuration 3. initialiser la base de données 4. configurer un client et tester le ou les services à partir d'un client 5. passer à l'administration Installer les packages sur le serveur tar xzvf openldap-x.y.z.tgz cd openldap.x.y.z./configure make make depend make test make install Installez également les packages perl, php et "dévelop" pour l'administration. ii slapd OpenLDAP server (slapd) ii ldap-utils OpenLDAP utilities ii libldap OpenLDAP libraries ii php4-ldap LDAP module for php4 Les fichiers de configuration du serveur Il faut identifier les objets à référencer et les objectifs de l'annuaire. Les fichiers sont dans "/etc/openldap". Le premier fichier est "sldapd.conf" qui décrit les principaux paramètres de votre annuaire : Services réseau sous Linux Page 15

16 # $OpenLDAP: pkg/ldap/servers/slapd/slapd.conf,v /04/20 23:32:43 kurt Exp $ # # See slapd.conf(5) for details on configuration options. # This file should NOT be world readable. # # Inclusion des schémas nécessaires include /etc/openldap/schema/core.schema include /etc/openldap/schema/cosine.schema include /etc/openldap/schema/inetorgperson.schema include /etc/openldap/schema/nis.schema # Options que vous pouvez modifier #pidfile //var/run/slapd.pid #argsfile //var/run/slapd.args ####################################################################### # ldbm database definitions ####################################################################### # Choix du format de base de données pour le stockage des informations. database ldbm # Configurer le suffixe (racine) de l'annuaire # en fonction du domaine DNS suffix "dc=my-domain,dc=com" # ou d'une autre organisation #suffix "o=my Organization Name,c=US" # L'administrateur de l'annuaire rootdn "cn=manager,dc=my-domain,dc=com" # Le mot de passe de l'administrateur, préférer une option cryptée # La commande htpasswd peut très bien faire l'affaire pour encrypter # rootpw secret # rootpw {crypt}ijfyncsnctbyg # Emplacement de la base de données directory /var/lib/ldap # Création des index. # Comme pour une base de données, indexer les rubriques # les plus utilisées. index objectclass,uid,uidnumber,gidnumber,memberuid eq index cn,mail,surname,givenname eq,subinitial # La réplication ne sera pas utilisée ici # Vous pouvez répliquer tout ou partie d'un arbre Services réseau sous Linux Page 16

17 # activée par le daemon slurpd # Directives de replication # sinon les mettre dans un fichier à part et utiliser # replogfile /chemincomplet/du/fichier # Indiquer quels sont les serveurs réplicats # et la méthode d'authentification # Ici le serveur local, se répliquera sur ldap1 #replica host:ldap-1.example.com:389 # bindmethod=simple # binddn="cn=replicat_slave1, dc=mydomain, dc=fr" # credential=unmotdepasse # Accés par défaut sur la base defaultaccess read Protéger ensuite le fichier avec un "chmod 600 /etc/openldap/slapd.conf". Les autorisations d'accès nécessitent une remarque. Ici l'accès par défaut est "read", mais il est possible d'affiner. Par exemple avec des règles d'écriture comme: access to <what> [ by <who> <none compare search read write>] # Donne un accés en écriture pour le manager du domaine access to * by dn="cn=manager,dc=mydomain,dc=fr" write # Donne un accés en lecture à tout le monde sur la base access to * by * read # Donne un accés en écriture sur un attribut pour le manager # en lecture pour les autres. access to attr=uid by dn="manager,dc=mydomain,dc=fr" write by * none Le nombre d'options est très important, utilisez la commande "man slapd.conf". 4. Authentification système LDAP sur un système GNU/Linux Faites une sauvegarde de vos fichiers de configuration. root@uranus:/etc/ldap# cp ldap.conf ldap.conf.orig root@uranus:/etc/ldap# cp slapd.conf slapd.conf.orig root@uranus:/etc# cp nsswitch.conf nsswitch.conf.orig root@uranus:/etc# cp libnss-ldap.conf libnss-ldap.conf.orig Services réseau sous Linux Page 17

18 Vérifier que votre serveur LDAP fonctionne. Vérifier que votre serveur Annuaire est opérationnel. 4.1 Configuration de l'environnement pour l'authentification système Les fichiers /etc/libnss-ldap.conf et /etc/pam_ldap.conf sont normalement configurés. Sinon vous pouvez utiliser les commandes : dpkg-reconfigure libnss-ldap dpkg-reconfigure libpam-ldap Prenez les options par défaut en prenant soin de tenir compte de la structure de votre annuaire. Pour nous : dc=point-libre,dc=org Vous devez également modifier le fichier /etc/nssiwtch.conf afin que les applications utilisent aussi bien les fichiers standards (passwd, shadow) que l'annuaire ldap. : passwd: group: shadow: files ldap files ldap files ldap 4.2 Premiers tests de l'annuaire La commande getent passwd doit vous permettre de récupérer à la fois les comptes du fichier /etc/passwd, mais également les compte de l'annuaire ldap qui n'existent pas dans la base passwd. # getent passwd [...] mlx:2/yajbmqc3tyw:1005:1005:bourg Jean:/home/mlx:/bin/bash mly:2/yajbmqc3tyw:1006:1006:bourg Marine:/home/mly:/bin/bash Ces deux comptes proviennent bien de l'annuaire ldap. Vérification du fonctionnement de l'annuaire. L'utilisateur mly n'a pas de compte système. Il n'existe que dans l'annuaire ldap. Créez un répertoire et affectez-le au compte. # mkdir /home/mly # chown 1006:100 /home/mly # ls -al /home/mly drwxr-sr-x 2 mly users :50. # Ici le serveur fonctionne car il substitue bien l'uid à l'uidnumber # ls -al /home/mly Services réseau sous Linux Page 18

19 # Ici le serveur LDAP n'a pas été trouvé ou il ne fonctionne pas. drwxr-sr-x users : Mise en place de l'authentification Mmodifier les fichiers de configuration afin d assurer l'authentification. Mettez en début de fichier : #/etc/pam.d/login auth sufficient pam_ldap.so account sufficient pam_ldap.so password required pam_ldap.so #/etc/pam.d/passwd auth sufficient pam_ldap.so account sufficient pam_ldap.so password sufficient pam_ldap.so Vérification de l'authentification : mlx@uranus:~$ su mly Password: #ici taper toto mly@uranus:~$ cd mly@uranus:~$ pwd /home/mly III. Serveur DHCP 1. Présentation du protocole DHCP Le protocole DHCP permet aux clients DHCP d un réseau IP d obtenir leurs configurations à partir d un serveur DHCP. Le protocole DHCP est décrit dans la RFC Un client DHCP est fourni avec la plupart des systèmes d exploitation récents, notamment les divers systèmes Windows, Novell Netware, Sun Solaris, Linux et MAC OS. Le protocole DHCP n est pas destiné à configurer les routeurs, les commutateurs et les serveurs. Ces types d hôtes nécessitent des adresses IP statiques. Le protocole DHCP s appuie sur le protocole de transport UDP (User Datagram Protocol). Le client envoie des messages au serveur sur le port 67. Le serveur envoie des messages au client sur le port 68. Différences entre les protocoles BOOTP et DHCP Services réseau sous Linux Page 19

20 La communauté Internet a tout d abord développé le protocole BOOTP pour assurer la configuration des stations de travail sans disque. Le protocole BOOTP a été défini à l origine dans la RFC 951 de Les deux protocoles sont de type client/serveur et utilisent les ports UDP 67 et 68. Ces ports continuent à s appeler les ports BOOTP. Les quatre paramètres IP de base sont: - L adresse IP - L adresse de passerelle - Le masque de sous-réseau - L adresse du serveur DNS 2. Principales fonctions DHCP Trois mécanismes permettent d attribuer une adresse IP au client : - L allocation automatique : DHCP attribue une adresse IP permanente à un client. - L allocation manuelle : C est l administrateur qui attribue l adresse IP au client. DHCP transfère l adresse au client. - L allocation dynamique : DHCP attribue une adresse IP au client pendant une durée limitée. Certains des paramètres de configuration disponibles sont énumérés dans l IETF RFC 1533: - Le masque de sous-réseau - Le routeur (la passerelle par défaut) - Le nom de domaine - Le(s) serveur(s) de noms de domaine - Le(s) serveur(s) WINS 3. Fonctionnement du protocole DHCP Le processus de configuration du client DHCP se déroule comme suit : Services réseau sous Linux Page 20

21 1. Lorsque le client DHCP démarre, il n'a aucune connaissance du réseau, du moins, en principe. Il envoie donc une trame "DHCPDISCOVER", destinée à trouver un serveur DHCP. Cette trame est un "broadcast", donc envoyé à l'adresse N'ayant pas encore d'adresse IP, il adopte provisoirement l'adresse Comme ce n'est pas avec cette adresse que le DHCP va l'identifier, il fournit aussi sa "MAC Address". 2. Le, ou les serveurs DHCP du réseau qui vont recevoir cette trame vont se sentir concernés et répondre par un "DHCPOFFER". Cette trame contient une proposition de bail et la "MAC Address" du client, avec également l'adresse IP du serveur. Tous les DHCP répondent et le client normalement accepte la première réponse venue. Le "DHCPOFFER" sera un broadcast (Ethernet) ou non, suivant le serveur DHCP utilisé. 3. Le client répond alors par un DHCPREQUEST à tous les serveurs (donc toujours en "Broadcast") pour indiquer quelle offre il accepte. 4. Le serveur DHCP Concerné répond définitivement par un DHCPACK qui constitue une confirmation du bail. L'adresse du client est alors marquée comme utilisée et ne sera plus proposée à un autre client pour toute la durée du bail. 4. Installation du serveur DHCP Au cours de ce TP on va installer et configurer un serveur DHCP sur une machine Linux fedora et en réalisant la configuration suivante : L'adresse IP du serveur DHCP : Plage d'adresses à offrir : Passerelle par défaut: Nom de domaine DNS: ofppt.ma Adresse du serveur de noms DNS: Préparation du serveur: Configurer l'interface réseau du serveur pour avoir l'adresse IP ifconfig eth netmask Installation du service DHCP Vérifiez si le 'daemon' dhcp-server est installé sur le serveur en tapant la commande: /etc/rc.d/init.d/dhcpd status Sinon pour installer le service dhcp-server, on utilise la commande suivante : rpm -ivh /mnt/cdrom/fedora/rpms/dhcp-server Services réseau sous Linux Page 21

22 Interfaces d'écoute du serveur dhcp Le serveur DHCP ne peut démarrer que s'il est configurer pour être lancer sur une ou plusieurs interfaces, le fichier /etc/default/dhcp sert pour indiquer la ou les interfaces d'écoute. INTERFACES="eth0 eth1" Lancement du serveur dhcp On lance le serveur DHCP avec la commande suivante : /etc/rc.d/init.d/dhcp-server start Configuration du Serveur DHCP La configuration consiste à créer deux fichiers : - /etc/dhcpd.conf : ce fichier sert à la configuration même du serveur (plages d'adresses, options) - /var/lib/dhcp/dhcpd.leases : ce fichier va servir à l'inscription des clients. Remarque : Tous les paramètres du fichier dhcpd.conf sont expliqués dans la page : man dhcpd.conf Le fichier /etc/dhcp/dhcpd.conf sert pour la configuration du serveur DHCP (plages d'adresses, options), si le fichier n'est pas créé, faites-le et y mettes les instructions suivantes : # Fichier créé par NomEtudiant le jj/mm/aa un petit commentaire ddns-update-style none; ne met pas en place le DNS dynamique max-lease-time 3600; durée du bail default-lease-time 3600; pour découvrir la différence entre les deux subnet netmask { définition de l'étendue range ; plage d'adresse option routers ; passerelle par défaut option domain-name "ofppt.ma"; nom du domaine DNS option domain-name-servers ; serveur de nom DNS } Enregistrer /etc/dhcpd.conf Remarque : Les options entre { } sont spécifiques à l'étendue, pour être globale, elles doivent être définies en dehors. A chaque modification du fichier de configuration, on doit relancer le serveur DHCP : /etc/rc.d/init.d/dhcpd restart Vérifier la présence du fichier /var/lib/dhcp/dhcpd.leases, sinon, avec vi, créer ce fichier vide. Les clients qui obtiennent des adresses IP automatiquement via le serveur dhcp vont être enregistrés dans le fichier /var/lib/dhcp/dhcpd.leases Configuration d'une station cliente pour l'utilisation de DHCP Sur une station client (windows,..) et les paramètres du carte réseau, configurer la machine pour obtenir une adresse IP automatiquement. Services réseau sous Linux Page 22

23 Lancer la commande Ipconfig/renew et vérifier le résultat avec la commande Ipconfig/all Sur le serveur DHCP, regarder le contenu du fichier /var/lib/dhcp/dhcpd.leases - Quelles sont les informations qui permettent d'identifier le poste client? - Quelle est l'adresse MAC du poste client? Durée du bail Modifier le fichier /etc/dhcpd.conf pour que la durée du bail passe à 24h : max-lease-time Relancer le serveur DHCP avec la commande suivante : /etc/rc.d/init.d/dhcpd restart Tester le résultat sur le client avec la commande Ipconfig /renew Réservation d'une adresse spécifique à un client Il est possible d'attribuer toujours la même adresse particulière à un client (serveur web, etc..), modifier le fichier /etc/dhcpd.conf pour attribuer une adresse ip fixe au poste client en utilisant son adresse MAC. subnet netmask {... host NomPoste { hardware ethernet xx:xx:xx:xx:xx:xx; mac du poste client fixed-address ; ip du poste client } } Relancer le serveur dhcp et tester le résultat sur le client avec ipconfig/renew Remarque: Il est possible de spécifier des options spéciales pour le poste client on les indiquant entre les accolades { } dans la zone : Host NomPoste {... option... }. IV. TCP/IP LINUX Les outils de base 1. ping Cette commande existe dans tous les systèmes. Elle permet de vérifier si une machine distante répond. La syntaxe ping -c permet d envoyer 5 pings à la machine dont l'adresse IP est On peut aussi utiliser le nom de la machine, si celle-ci est renseignée dans votre fichier Hosts ou dans un serveur DNS. On peut par exemple utiliser ping pour vérifier si la connexion est toujours active ou pour la monter. Si vous ne placez pas l'option -c 5 pour n'envoyer que 5 pings, la commande ne s'arrête pas. Utilisez alors Ctrl C. Services réseau sous Linux Page 23

24 2. ifconfig ifconfig permet de connaître la configuration de vos cartes réseau, mais aussi de changer celle-ci. Pour changer la configuration de votre carte réseau, vous devez taper : ifconfig eth netmask broadcast Ou alors taper : ifconfig ETH (le netmask et broadcast proposés sont ceux correspondant à une adresse de classe C). Attention au redémarrage de la machine ce changement sera perdu. Il vous faut donc modifier en même temps le fichier /etc/sysconfig/network-script/ifcfg-eth0. Vous pouvez utiliser linuxconf pour faire plus simplement le même travail. On peut aussi désactiver une carte réseau ifconfig eth0 down et la réactiver ifconfig eth0 up 3. arp La commande arp permet de mettre en correspondance des adresses IP et les adresses MAC. Les options possibles importantes sont arp -a pour avoir toutes les entrées ARP de la table arp -d nom_de_la_machine pour supprimer une entrée de la table arp -s nom_de_la_machine adresses_mac pour ajouter une nouvelle entrée dans la table. 4. route Cette commande permet de voir, d'ajouter ou d'enlever les routes se trouvant déclarées sur votre machine. Ainsi pour indiquer à votre machine où aller trouver les adresses qui ne sont pas les adresses de votre réseau local, vous devez lui indiquer la passerelle (ou gateway) vers laquelle elle doit envoyer tous les paquets. Pour voir les routes indiquer route -n (on peut aussi utiliser netstat -nr) L'option -n permet de ne pas avoir la résolution des noms. Pour ajouter une route par défaut : route add default gateway (La passerelle vers qui j'envoie tous les paquets qui ne sont pas pour le réseau local). Pour détruire cette route route del default Pour ajouter une route vers une machine indiquée : route add -host gateway (Indiquer le netmask si celui-ci n'est pas un mask correspondant à la classe de votre adresse). Pour ajouter une route vers un réseau indiqué : route add -net netmask gateway Enfin pour supprimer une de ces routes remplacer add par del. Services réseau sous Linux Page 24

25 La gateway ou passerelle correspond la plupart du temps à votre routeur. Pour avoir la route que vous venez d'ajouter à chaque démarrage placer la commande dans le fichier /etc/rc.d/rc.local par exemple. On peut aussi utiliser linuxconf pour faire la même chose. 5. netstat Cette commande permet en effet de connaître les ports en écoute sur votre machine, sur quelles interfaces, avec quels protocoles de transport (TCP ou UDP), les connexions actives et de connaître les routes. Pour voir les connexions actives netstat -nt, pour les ports ouverts netstat -ntl. On peut aussi vérifier s'il existe une route par défaut, par exemple existe-t-il une route par défaut vers la machine utilisez alors netstat -nr grep L'option -a énumère les ports en cours d'utilisation ou ceux qui sont écoutés par le serveur. L'option -i donne des informations sur les interfaces réseau. 6. traceroute Traceroute permet de déterminer la route prise par un paquet pour atteindre la cible sur internet. On peut utiliser soit l'adresse IP, soit le nom d'hôte. Attention certains FireWall ou routeurs ne se laissent pas voir avec la commande traceroute. La commande traceroute est très utile pour savoir ou peut se trouver un blocage (plutôt ralentissement). Il existe un grand nombre d'options, entre autre il est possible de choisir les gateway (jusqu'à 8) pour atteindre une machine. Je vous conseille donc encore une fois de lire le man traceroute. 7. telnet Telnet est l'outil indispensable à connaître. Il existe en tant que client sur tous les systèmes. Par contre Linux dispose en plus d'un serveur telnet permettant d'administrer à distance une machine (quoiqu'il existe maintenant un serveur telnet sur windows 2000). On peut ainsi administrer une machine linux depuis un Microsoft quelconque et, mais cela va de soi, depuis une autre machine linux. En tant que client, Telnet vous permet d'envoyer et de lire vos messages. Pour pouvoir administrer à distance, il faut que le serveur telnet soit installé sur la machine que vous souhaitez administrer. Pensez aussi à vérifier que cela est autorisé dans le fichier Services réseau sous Linux Page 25

26 etc/inetd.conf et dans /etc/hosts.allow et /etc/hosts.deny (voir tcp wrappers). Si vous devez vous en servir sur un réseau local ou sur internet, préférez lui SSH (ou la version autorisée en France SSF), car alors les mots de passe ne se promènent pas en clair sur le réseau. Par défaut il n'est pas possible de se connecter en root avec une connexion telnet. Vous devez utiliser un autre compte et utiliser la commande su. 8. ftp ftp est un outil qui permet de télécharger des fichiers entre machines. Vous connaissez les clients ftp comme ws_ftp. Sous Linux il existe un serveur ftp, que vous activez dans /etc/inetd.conf. Il est installé par défaut dans toutes les distributions. Ce serveur ftp n'est pas lié à l'installation d'apache, comme pour les systèmes Microsoft où vous devez installer IIS pour bénéficier de ce service. Attention toutefois le serveur ftp pose un problème de sécurité important, utilisez plutôt SFTP, qui est disponible avec SSH. Vous disposez aussi d'un client ftp en ligne de commande sous Linux comme sous Microsoft. La syntaxe étant pratiquement la même. /]$ ftp localhost Connected to localhost. 220 lycee1.ac-creteil.fr FTP server (Version wu-2.6.0(1) Mon Feb 28 10:30:36 EST 2000) ready. Name (localhost:philippe): philippe 331 Password required for philippe. Password: 230 User philippe logged in. Remote system type is UNIX. Using binary mode to transfer files. ftp> binary 200 Type set to I. ftp> mget * Voici les commandes que vous allez utiliser le plus : Services réseau sous Linux Page 26

27 Il existe un grand nombre d'autres commandes. Mais vous avez là les principales, pour copier des fichiers entre machines. La commande ftp vous rendra un grand nombre de services, car elle permet assez simplement d'échanger des fichiers entre linux et windows, sans avoir à installer un client ftp ou à configurer samba. 9. nslookup L'utilitaire nslookup permet d'interroger un serveur de nom (serveur dns) afin d'avoir des informations sur un domaine ou sur une machine. Par défaut nslookup utilise le serveur de nom configuré sur votre machine, vous pouvez toutefois interroger un autre serveur de nom. /]#nslookup Default Serveur: localhost Car j'ai un serveur dns sur ma machine Address: >help Pour avoir de l'aide >set type = MX Pour lister les entrées de type MX (à savoir les serveurs SMTP du domaine). >ac-creteil.fr Le nom du domaine dont vous voulez avoir des MX Remplacer MX par le type d'enregistrement que vous souhaitez avoir. Par exemple NS pour les serveurs de nom d'un domaine, SOA pour start of authority, PTR pour le reverse, A pour une machine. Pour avoir toutes les informations : set type=any puis le nom du domaine. On peut aussi utiliser la commande ls -t CNAME nom_du_domaine pour avoir tous les enregistrements de type cname (les alias). Pour interroger un autre serveur DNS que votre serveur par défaut server NAME who Cette commande permet de connaître les personnes qui sont loguées sur votre machine. Services réseau sous Linux Page 27

28 V. Configurer l accès réseau distant 1. Utilisation de Telnet Vérifier la présence du paquetage «telnet-server» sur votre machine : # rpm qa grep telnet Au cas où il n est pas installé, procéder à son installation : # rpm ivh telnet-server Tester votre serveur Telnet en essayant de réaliser une connexion sur la boucle locale de la machine : # telnet localhost Pourquoi votre connexion est refusée? Vérifiez si votre service Telnet est activé : # chkconfig list grep telnet Activer le service Telnet : # chkconfig telnet on Depuis une autre machine sur le réseau effectuez une connexion Telnet sur votre poste «Poste1» et connectez-vous en tant qu un utilisateur de la machine «Poste1» # telnet Poste1 2. Utilisation de rlogin, rsh et rcp - Vérifier l existence du paquetage «rsh-server» sur votre poste «Poste1e» : $ rpm qa grep rsh - Une fois votre paquetage installé, activer le service rsh et rlogin : $ chkconfig rsh on - Depuis une autre machine «Poste2» connectez vous en rlogin à votre serveur «Poste1» en étant l utilisateur «Stagiaire1» $ rlogin l Stagiaire1 Poste1 - Après saisie du mot de passe de «Stagiaire1» sur Poste1 vous pouvez maintenant travailler à distance sur la machine Poste1. - Devenez «root» sur Poste1 à distance : Stagiaire1@Poste1> su Services réseau sous Linux Page 28

29 - Depuis la machine «Poste2» consulter le contenu du répertoire «/data» du serveur «Poste1» en utilisant une connexion rsh sur le compte «Stagiaire1» du serveur rsh l Stagiaire1 Poste1 ls /data - Pour permettre au «root» de la machine cliente «Poste2» de se connecter au compte «Stagiaire1» du serveur «Poste1» sans demande de mot de passe. Sur le serveur «Poste1», l utilisateur «Stagiaire1» crée un fichier «/home/stagiaire1/.rhosts» dans lequel il rajoute la ligne suivante : Poste2 root - Ressaisir la même commande de la question 6, quelle est votre remarque? - Depuis le compte «root» de la machine «Poste2» copier le Fichier «/etc/passwd» du serveur «Poste1» en utilisant le compte «Stagiaire1» du serveur root@poste2> rcp bengali@poste2:/etc/passwd. 3. Configuration de ssh - Vérifier l existence du paquetage «openssh-server» sur votre poste «Poste1» $ rpm qa grep openssh - Une fois votre paquetage installé, éditez le fichier /etc/ssh/sshd_config pour configurer votre serveur sur l un des deux modes disponibles : a) Authentification par mot de passe b) Authentification par clé publique Pour le cas a) : Ajuster votre fichier de configuration de façon à contenir les lignes suivantes : Port 22 Protocol 2 ListenAddress votre_ip ServerKeyBits 1024 PermitRootLogin no PubkeyAuthentication no IgnoreRhosts yes PasswordAuthentication yes UsePAM yes Compression yes Pour le cas b) ajuster votre fichier de façon à contenir les lignes suivantes : Port 22 Protocol 2 ListenAddress votre_ip ServerKeyBits 1024 PermitRootLogin no Services réseau sous Linux Page 29

30 PubkeyAuthentication yes AuthorizedKeysFile.ssh/authorized_keys IgnoreRhosts yes - Lancer votre serveur ssh $ /etc/init.d/ssh start Configuration du client Deux cas de figure se présentent dépendamment de la configuration du serveur. a) Authentification par mot de passe. 1) Créer la paire de clé publique/privée abdi@client > ssh-keygen t rsa 2) Connectez vous sur le compte Stagiaire1 du serveur ssh abdi@client > ssh Stagiaire1@serveur The authenticity of host 'serveur ( )' can't be established. RSA key fingerprint is 33:93:84:34:59:8f:2a:d6:4a:fb:51:27:12:36:53:ac. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added 'serveur, ' (RSA) to the list of known hosts. Stagiaire1@serveur's password: votre mot de passe Last login: Thu May 6 15:41: from Linux serveur #1 Wed Feb 11 01:01:56 CET 2004 i686 GNU/Linux Remarque: C'est seulement lors de la première connexion que l'on nous demande de répondre par yes ou par no de façon à ajouter la clé publique du serveur dans notre fichier ~/.ssh/known_hosts. b) Authentification par clé publique Générer la paire de clé publique/privée abdi@client > ssh-keygen t rsa Votre paire de clé sur le serveur Sur la machine cliente rajoutez votre clé publique au fichier «authorized_keys» abdi@client > cat id_rsa.pub >> authorized_keys Exécutez la commande hostname sur le serveur abdi@client > ssh serveur hostname Vous remarquez que le système ne vous demande pas votre mot de passe. Services réseau sous Linux Page 30

31 4. Configuration d une connexion VPN sous Linux Configuration IPSec LAN-to-LAN - Munissez-vous de 2 machines Linux qui vont jouer le rôle de passerelle IPSec entre 2 LAN Machine1 : Poste2.ofppt.ma avec IP protégeant le réseau /24 Machine 2 : Poste3.ofppt.ma avec IP protégeant le réseau /24 - Télécharger le paquetage «openswan» - Installer le paquetage «openswan» sur les 2 passerelles - Sur la machine «Poste2» récupérer la clé rsa root@poste2> ipsec showhostkey --left - Connectez-vous en ssh sur «Poste3» root@poste2> ssh Poste3.ofppt.ma - Récupérer la clé rsa de Poste3 root@poste3 > ipsec showhostkey right - Sur la machine «Poste2» éditer le fichier «/etc/ipsec.conf» et remplissez tel ci-dessous conn net-to-net left= # Local vitals leftsubnet= /24 # leftid=@poste2.ofppt.ma # leftrsasigkey=0s1lgr7/oum... # leftnexthop=%defaultroute # correct in many situations right= # Remote vitals rightsubnet= /24 # rightid=@poste3.ofppt.ma # rightrsasigkey=0saqoqh55o... # rightnexthop=%defaultroute # correct in many situations auto=add # authorizes but doesn't start this # connection at startup - Copier le bloc «conn net-to-net» sur le fichier «/etc/ipsec.conf» de la machine Poste3 - Initier la connection VPN sur la machine «Poste2» root@poste2> ipsec auto - - up net-to-net Vous verrez sur votre écran 104 "net-net" #223: STATE_MAIN_I1: initiate 106 "net-net" #223: STATE_MAIN_I2: sent MI2, expecting MR2 Services réseau sous Linux Page 31

32 108 "net-net" #223: STATE_MAIN_I3: sent MI3, expecting MR3 004 "net-net" #223: STATE_MAIN_I4: ISAKMP SA established 112 "net-net" #224: STATE_QUICK_I1: initiate 004 "net-net" #224: STATE_QUICK_I2: sent QI2, IPsec SA established Vous remarquez l établissement de la connexion IPSec - Testez votre connexion VPN en réalisant un ping entre 2 machines des reseaux protégés par les passerelles - Lancez «tcpdump» depuis la machine «Poste2» pour voir les packets encapsulés VI. Serveur SAMBA 1. Rôle et fonctionnement Samba est un ensemble de programmes qui permettent de connecter à un serveur LINUX, des stations fonctionnant sous des systèmes divers : Windows, Mac... Le serveur Linux est en mesure de se conduire comme un serveur de fichiers capables d'offrir les services habituels sur un réseau : l partage de fichiers et de répertoires, l partage d'imprimantes, l respect des comptes utilisateurs l gestion des permissions d'accès l exécution de scripts de connexion personnalisés Le protocole de communication sous-jacent qui permet cette communication Linux-Dos/Win s'appuie sur NetBios et s'appelle smb (Server Message Block). Son fonctionnement est conforme au schéma client-serveur Du côté client, le protocole SMB fonctionne au-dessus de plusieurs protocoles. Il nécessite NetBIOS au dessus de TCP/IP (par contre NetBEUI n'est pas utile) Chaque demande de connexion par Samba, d'une station au serveur Linux, laisse une trace stockée dans un fichier log.%m situé dans le répertoire /var/log/samba (%m désigne le nom de la station). Services réseau sous Linux Page 32

33 Toute connexion pourra donc être identifiée de manière précise puis examinée sur une ligne de ce fichier : nom d'utilisateur, nom de la machine, date, heure de début, heure de fin, services utilisés... Samba peut implémenter la sécurité au niveau de l'utilisateur, (ce qui est recommandé) et non au niveau des ressources comme c'est le cas dans les réseaux de type WorkGroup. 2. Configuration de SAMBA Sur les stations Windows Il faut affecter une adresse IP à chaque station dans le même sous-réseau que le serveur Samba- Linux. Après redémarrage et si l'utilisateur stagiaire s'est connecté sur le réseau Windows sous un compte (login: stagiaire/ password: stg) créé sur le serveur Linux, alors il pourra immédiatement avoir accès à son répertoire personnel /home/stagiaire, qui apparait sous l'aspect d'un dossier qui porte son nom de connexion. Si le mot de passe du compte Linux n'a pas été donné à la connexion proposée par le client réseau Microsoft, il sera alors exigé, comme le montre l'écran ci-dessous : Installer l'imprimante Linux sur les stations On suppose l'imprimante déjà installé sur le serveur Linux et déclarée sur le serveur Samba (voir configuration dans /etc/smb.conf). Lancer l'assistant d'ajout d'imprimante (Paramètres /imprimantes) Choisir imprimante réseau Parcourir le voisinage réseau pour détecter l'imprimante : par exemple, choix de lp sur p00, le serveur Linux Le nom de la file d'attente serait alors \\p00\lp Choisir le modèle d'imprimante et le nom sous lequel elle apparaîtra sur la station cliente (par ex Olivetti sur PC1-Linux). Pour vérifier faire imprimer une page de test. Désormais, l'imprimante partagée sera visible dans le voisinage réseau au même titre que le répertoire personnel de l'utilisateur connecté et des divers dossiers et périphériques partagés. Remarque : ainsi, une même station peut imprimer sur une imprimante Linux, et une imprimante Windows. Services réseau sous Linux Page 33

34 Sur le serveur Linux Installation Il est recommandé de demander sa mise en place lors de l'installation. Sinon il faut monter le cdrom : mount /dev/cdrom, chercher le package samba et l'installer par : rpm -ivh samba-* Tous les paramétrages sont ensuite effectués dans un seul fichier : /etc/smb.conf Paramétrage de smb.conf Faire une sauvegarde de ce fichier par prudence (cp smb.conf smb.old) puis l'éditer Les 2 principales sections, prédéfinies sont [global] et [homes]. L'administrateur root peut éditer, modifier et ajouter des sections, pour définir de nouvelles ressources à partager (imprimante, etc) De façon générale les permissions de partage définies dans ces sections ne peuvent pas outrepasser les permissions des fichiers du serveur hôte. La documentation la plus complète se trouve dans le manuel man smb.conf Vérifier et activer les changements Important : lancer l'utilitaire testparm permet de tester la syntaxe du fichier de configuration et de déceler les erreurs. Il est recommandé de le lancer systématiquement lors de la mise au point de smb.conf. Il diagnostique des erreurs de syntaxe et des incohérences dans les choix des clauses. Ne pas oublier à chaque changement effectué dans smb.conf à relancer les processus! Si les processus "démons" sont actifs, il faut les arrêter puis les relancer par : conseillé plutôt que la commande globale smb restart /etc/rc.d/init.d/smb stop /etc/rc.d/init.d/smb start Vous pouvez écrire un petit script shell et le placer dans un répertoire inclus dans le PATH. Par exemple : Services réseau sous Linux Page 34