Administration Unix. Cas de GNU/Linux/Debian. Volume 4

Transcription

1 -1-0

2 Administration Unix Cas de GNU/Linux/Debian Volume 4 Ö Ò Ø ºÓÖ Ronan Keryell Novembre 2005 Version 1.2

3 Copyright (c) byêóò ÒºÃ ÖÝ ÐÐ Ò Ø ºÓÖ. This material may be distributed only subject to the terms and conditions set forth in the Open Publication License, v1.0 or later (the latest version is presently available at ØØÔ»»ÛÛÛºÓÔ ÒÓÒØ ÒØºÓÖ»ÓÔ ÒÔÙ»). Si vous améliorez ces cours, merci de m envoyer vos modifications! Transparents 100 % à base de logiciels libres (LaT E X,...)

4 Connexions à distance (ssh, ftp...) Système d impression (BSD, CUPS...) Systèmes de nommage Service DNS pour la résolution des noms Système de nommage NIS Partage de fichiers en réseau avec NFS Auto-montage Archivage des données tar, cpio, pax, mt... Archivage en réseau avec rsync, partimage AMANDA Introduction Plan

5 Ø ÐÒ Ø Administrer un domaine : faire des actions à distance Commande canal historique : portabilité sur tous systèmes Mode émulation IBM 3270 Pas sécurisé version avec Kerberos, TLS & certificats X.509 ÖÐÓ ÒÑ Ò permet de se connecter sur une machine Ö Ñ Ò (distant...) ÀÇÅ»ºÖ Ó Øou» Ø» Ó Ø º ÕÙ Ú distante. Aucun mot de passe demandé si autorisé par fichier queöðó Ò ÓÑÑ Ò exécute une commande à distance dans son ÀÇÅ. Autorisation par les mêmes fichiers Connexions à distance Interactions autres systèmes

6 ÖÔ ¹ÖÔ Ñ Ò ¹ Ö Ö Ñ Ò ¹ Ø Ö Ôutilise le protocoleö pour faire un Ôde fichiers. Méta-caractères acceptés mais les protéger pour action à distance Ne pas laisser des» Ø» Ó Ø º ÕÙ ÚouºÖ Ó Øtrop permissifs. Vérifier leur contenu Récupérer une copie d écran à distance (ÜÛ ¹ÖÓÓØsi Ñ Ð ÒØ X11) Interagir avec une machine Windows via SAMBA Toutes ces commandes sont peu sécurisées utiliser plutôt et Ôou utiliser Kerberos, IPsec, VPN... Connexions à distance Interactions autres systèmes

7 Ô Ò Ñ Ò teste si l aller-retour les paquets réseau font bien ÖÙ Ö ¹Ð demande et connectés aux machines du réseau affiche la liste des utilisateurs ÖÙÔdemande et affiche la charge des machines du réseau Ouvrir plein deô Ö Ñ Ø Ögraphiques Connexions à distance Interactions autres systèmes

8 File Transfer Protocol : canal historique ØÔ ¹ Ñ Ò ouvre une connexion Le nom de login ÒÓÒÝÑÓÙ signifie une connexion anonyme (on donne son adresse de mail comme mot de passe par convention) si un compte anonyme existe Commandes classiquesð,,ñ Ö Ð change de répertoire localement Ø/ÔÙØpour transférer un fichier Ñ Ø/ÑÔÙØpour transférer une liste de fichier (sans demander confirmation si ØÔ¹ ) Òdemande ) des transferts en binaire (pas de traduction de format de fin de ligne dans fichiers textuels, etc) Connexions à distance FTP

9 URL ØÔ»»Ñ Ò» ÕÙ Øou Ý pour arrêter Emballé maintenant dans les (anonymous) Protocole vieux et compliqué (ports dynamiques transfert de données différent port de commande, pas terrible pour les pare-feu, modes passif/actif...) Toutes ces commandes sont peu sécurisées utiliser ØØÔ»»ÛÛÛº ÓÖ ¹ ÙØ Ò ÓÒºÓÑ» ¹½¹Ô» ØÔ ¹ ÜØº ØÑÐ plutôt ØÔou SCP d OpenSSH Extensions FTPS au-dessus de TLS Connexions à distance FTP

10 Sert et accepte fichiers Nombreux serveurs avec différentes possibilités En fonction de charge, lancer autonome (tourne en attente de connexion) ou depuis super-démon Ò Ø ouü Ò Ø ProFTPD ØØÔ»»ÛÛÛºÔÖÓ ØÔ ºÓÖ (lancé à chaque connexion) Exemple de Modules & fichiers de configuration à la Apache Nombreuses extensions Fichiersº ØÔ àlaº Ø Chiffrement des transferts via TLS Filtrage à la TCPwrapper Connexions à distance FTP

11 Modes d authentification (fichiers, Radius, LDAP, SQL...) Limitation de débit Hôtes virtuels configuration» Ø»ÔÖÓ ØÔ ºÓÒ (VirtualHost) sur même adresse IP Exécution dans ÖÓÓØconfigurable» Ø»ÔÖÓ ØÔ ºÓÒ ¹¹Ì ÈÖÓ ÌÈ ÓÒ ÙÖ Ø ÓÒ Ð º Exemple de ÌÓÖ ÐÐÝ ÔÔÐÝ Ò Ö ÐÓ ÔÖÓ ØÔ Ø ÖÑÓ Ø ÓÒ º Ë ÖÚ ÖÆ Ñ Ò Ë ÖÚ ÖÌÝÔ Ò Ø ÖÏ ÐÓÑ Ó Connexions à distance FTP

12 ÙÐØË ÖÚ ÖÓÒ ÅÙÐØ Ð Ò Ê ¾¾¾ ÓÒ Ë ÓÛËÝÑÐ Ò ÓÒ Ì Ñ ÓÙØÆÓÌÖ Ò Ö ¼¼ Ì Ñ ÓÙØËØ ÐÐ ¼¼ Ì Ñ ÓÙØÁ Ð ½¾¼¼ ÔÐ ÝÄÓ Ò ÔÐ Ý Ö Ø Ö Û ÐÓÑ ºÑ Ä ØÇÔØ ÓÒ ¹Ð ºÑ ÒÝ ÐØ Ö º» ÍÒÓÑÑ ÒØØ ÝÓÙ Ö Ù Ò ÆÁËÓÖÄ ÈØÓÖ ØÖ Ú Ô ÛÓÖ È Ö Ø ÒØÈ Û Ó Connexions à distance FTP

13 ÍÒÓÑÑ ÒØØ ÝÓÙÛÓÙÐ Ù ÌÄËÑÓ ÙÐ ÌÄË Ò Ò ÓÒ ÍÒÓÑÑ ÒØØ ÝÓÙÛÓÙÐ Ù ÕÙÓØ ÑÓ ÙÐ ÉÙÓØ ÓÒ ÈÓÖØ¾½ Ø Ø Ò Ö ÌÈÔÓÖØº ÌÓÔÖ Ú ÒØ ÓË ØØ ØØ Ñ Ü ÑÙÑÒÙÑ ÖÓ Ð ÔÖÓ ØÓÒ ÑÔÐÝ ÒÖ Ø Ú ÐÙ º ØÓ ¼º Á ÝÓÙÒ ØÓ ÐÐÓÛÑÓÖ Ø Ò ¼ÓÒÙÖÖ ÒØÓÒÒ Ø ÓÒ Ò Ø Ò ÐÓÒ ÑÓ Ò Ò Ø ÑÓ ÝÓÙ ÓÙÐ Ù Ò Ò Ø ÖÚ Ö ÆÓØ Ø ØØ ÇÆÄ ÛÓÖ Ø Ø ÐÐÓÛ ÝÓÙØÓÐ Ñ ØÑ Ü ÑÙÑÒÙÑ ÖÓ ÔÖÓ Ô Ö ÖÚ Å ÜÁÒ Ø Ò ¼ Ù Ü Ò Ø µ Connexions à distance FTP

14 Ë ØØ Ù Ö Ò ÖÓÙÔØ ØØ ÖÚ ÖÒÓÖÑ ÐÐÝÖÙÒ Øº ÖÓÙÔÒÓ ÖÓÙÔ Í ÖÒÓ Ó Ý ÍÑ ¼¾¾ ÓÓ Ø Ò Ö ÙÑ ØÓÔÖ Ú ÒØÒ Û Ð Ò Ö ÍÑ ¼¾¾ ÓÒ Ô ÖÑµ ÖÓÑ Ò ÖÓÙÔ Ò ÛÓÖÐ ÛÖ Ø Ð º ÆÓÖÑ ÐÐÝ Û Û ÒØ Ð ØÓ ÓÚ ÖÛÖ Ø Ð º ¼¾¾ ÐÐÓÛÇÚ ÖÛÖ Ø ÓÒ Ð Ý Ò Ò Ö Ù ÑÔ ØÓ Ø Ó¹ ÐÐ Ì Ñ Ò ØØ Ö Ò ØØÔ»» ÙÖ ØÝºÐ º Ö» Ò ÜºÔ Ô Ô Ø Ð ²Á ÄËË¹¾¼¼ ¹½¼¹¼¾ Ð Ý Ò Ò ÁØ ÓÒ Ý ÙÐØº Ó ÒÓÒÝÑÓÙ ÓÒ ÙÖ Ø ÓÒ ÒÓÙÔÐÓ Ö ØÓÖ º Connexions à distance FTP

15 ÒÓÒÝÑÓÙ ØÔ ÖÓÙÔÒÓ ÖÓÙÔ Í Ö ØÔ Ï Û ÒØÐ ÒØ ØÓ Ð ØÓÐÓ ÒÛ Ø ÒÓÒÝÑÓÙ Û ÐÐ ØÔ Í Ö Ð ÒÓÒÝÑÓÙ ØÔ Ó Ñ Ø Ò ÐÐ Ð ÐÓÒ ØÓ ØÔÙ Ö Ö Í ÖÓÒ ØÔ Ö ÖÓÙÔÓÒ ØÔ Ê ÕÙ Ö Î Ð Ë ÐÐÓ Å Ü Ð ÒØ ½¼ Ä Ñ ØØ Ñ Ü ÑÙÑÒÙÑ ÖÓ ÒÓÒÝÑÓÙ ÐÓ Ò Ò Ò ÛÐÝ Ö Ö ØÓÖÝº Ï Û ÒØ³Û ÐÓÑ ºÑ ³ ÔÐ Ý ØÐÓ Ò Ò ³ºÑ ³ ÔÐ Ý ÔÐ ÝÄÓ ÒÛ ÐÓÑ ºÑ Connexions à distance FTP

16 ÔÐ Ý Ö Ø ÖºÑ Ä Ñ ØÏÊÁÌ Ú ÖÝÛ Ö ÒØ ÒÓÒÝÑÓÙ ÖÓÓØ Ö ØÓÖÝ Ä Ñ ØÏÊÁÌ»Ä Ñ Ø ÒÝ ÐÐ» Ö ØÓÖÝ ÍÒÓÑÑ ÒØØ ÝÓÙ³Ö Ö Ú º Ö ØÓÖÝ ÒÓÑ Ò ÍÑ ¼¾¾ ÓÓ Ø Ò Ö ÙÑ ØÓÔÖ Ú ÒØÒ Û Ð Ò Ö ÓÒ Ô ÖÑµ ÖÓÑ Ò ÖÓÙÔ Ò ÛÓÖÐ ÛÖ Ø Ð º ÍÑ ¼¾¾ Ä Ñ ØÊ ÏÊÁÌ ÒÝ ÐÐ»Ä Ñ Ø Connexions à distance FTP

17 Ä Ñ ØËÌÇÊ ÐÐÓÛ ÐÐ» Ö ØÓÖÝ»Ä Ñ Ø» ÒÓÒÝÑÓÙ Connexions à distance FTP

18 Problème des protocoles commeø ÐÒ ØouÖÐÓ Ò: Font confiance aux traductions IP noms ou font passer les mots de passe en clair sur le réseau... Une connexion peut être détournée en cours de route (interception/injection, changement des tables de routage,...) : l authentification sécurisée (OTP) ne suffit pas : Besoin logiciel sécurisé par chiffrement fort pour : Connexion à distance (styleöðó Ò) Exécution ØÔ: ØÔ de commande à distance (styleö ) Copie de fichier entre machines styleöô: Ôou style SSH

19 Généalogie Entreprise finlandaise : version 1. Protocole peu sécurisé (taille des paquets non chiffrée, somme de vérification non chiffrée,...). Utilisation non commerciable libre Version 2 plus sécurisée. Utilisation non commerciable libre OpenSSH sous produit libre d OpenBSD ; version 1 et 2 du protocole Authentification»º» ÙØ ÓÖ Þ Ý forte RSA ou autres. Clés publiques des autres dans son SSH

20 Serveur génère un nombre aléatoire de 256 bits Chiffré par serveur avec la clé publique du client demandant la connexion Client déchiffre le nombre aléatoire avec sa clé secrète et renvoie son hachage MD5 (pour éviter une attaque de RSA à texte connu) Serveur calcule aussi le hachage MD5 et le compare à celui reçu ºÖ Ó Ø et» Ø» Ó Ø º ÕÙ Úbasée sur adresses IP (commeöðó Ò,...) mais avec protection par clé RSA par machine (» Ø» ÒÓÛÒ Ó Øet»º» ÒÓÛÒ Ó Ø ) pour reroutage et une partie des mensonges de DNS éviter les attaques IP et SSH

21 Mélange des 2 Confidentialité : toutes communications chiffrées automatiquement Utilisation de RSA pour échanger les clés de l algorithme symétrique Algorithmes symétriques disponibles : IDEA, Blowfish,Triple-DES Authentification démarrée après le chiffrement : pas de mots de passe en clair sur le réseau même si pas d authentification forte Possibilité de protéger clé secrète par une phrase secrète hachée par MD5 pour déchiffrer la clé via SSH

22 3DES. Sinon :ÖÓÓØlocal peut voler trivialement la clé d un utilisateur local pour & ÁËÈÄ connexion à distance Encapsulation chiffrée du protocole X11 et gestion automatique Xauthority Redirection de n importe quel port TCP/IP (transaction commerciale et monétaire, accès Intranet, serveur de mail, de News,...) Pas de confiance a priori au réseau Remplace les commandesöðó Ò,Ö ( ),ÖÔ( Ô) et ØÔ( ØÔ) Éventuelle compression des données (marche mieux avant le chiffrement ) SSH

23 Couplage possible avec des calculettes d authentification et S/Key Compatibilité avec l authentification pare-feu TIS Ne pas oublier de supprimer l usage deöðó Ò,Ö,... Essaye d être facile à utiliser pour ne pas dégoûter de la sécurité! Distributions ØÔ»» ØÔº º ÙØº»ÔÙ» L original : ØØÔ»»ÛÛÛº º, ¾gratuit en utilisation non commerciale Ð aussi v2 GNU en cours de développement SSH

24 v2ûûûºóô Ò ºÓÖ Introduction : Version libre OpenSSH basée sur ½º¾ mais aussi ØØÔ»»ÛÛÛ¹ÐÒ ºÑ Øº Ù»ÓÑÔ» º ØÑÐ SSH

25 ØØÔ»»ÛÛÛº Ö º Ö Ò Ò ºÓÖ ºÙ» Ø Ø Ñ»ÔÙØØÝ PuTTY sous Windows Û Ò Ôgraphique»Ù ÖÑ Ò ØØÔ»»Û Ò Ôº ÓÙÖ ÓÖ ºÒ Ø sous Windows... sous Emacs (le mode TRAMP gère aussi SFTP ØØÔ»» Ð Þ ÐÐ º ÓÙÖ ÓÖ ºÒ Ø la gestion des versions à distance) FileZilla sous Windows accepte entre autre protocole URL sous KDE De Linux ØØÔ»»ÐÙ º ÓÙÖ ÓÖ ºÒ Ø manière généraleðù permet de faire apparaître des fichiers distants comme un système de fichiers local sous SSH

26 ... La sécurité n a plus l excuse de la complexité SSH

27 deö,öðó ÒetÖÔ, ÐÓ Ò, Ô:commandes base. Peuvent être installées de» Ø» ÒÓÛÒ Ó Ø ou»º» ÒÓÛÒ Ó Ø sous les noms Utilise les clés publiques DSA des machines distantes pour vérifier que la machine cible est bien la bonne»º» contient sa clé secrète DSA et»º» ºÔÙ la clé publique correspondante»º» ºÔÙ doit être présent dans le»º» ÙØ ÓÖ Þ Ý distant pour autorisation serveur à lancer en attente de connexion» Ø» Ó Ø Ýcontient la créée à l installation clé secrète du serveur SSH

28 » Ø» Ó Ø ÝºÔÙ contient la clé publique du serveur créée à l installation. Récupérée par» Ø» ÒÓÛÒ Ó Ø et»º» ÒÓÛÒ Ó Ø Ñ ¹ ¹ ÒÓÛÒ¹ Ó Ø pour permettre une authentification à la connexion Ö Ó Ø permettent l autorisation par machine via mécanisme»º» ÙØ ÓÖ Þ Ý contient les clés publiques RSA pour se connecter chez un utilisateur ¹ Ý Òcrée sa double clé RSA personnelle protégée (chiffrée) par phrase secrète. Stockage d un commentaire pour aider la mémoire Ñ ¹ ¹ ÒÓÛÒ¹ Ó Ø interroge le DNS d un domaine SSH

29 pour construire fichier» Ø» ÒÓÛÒ Ó Ø la liste des machines. Interroge ensuite tous les serveurs pour récupérer leur clé publique et construit le : comme la confiance est basée aussi sur les clés publiques, être sûr qu on a les bonnes clés publiques. Problème de démarrage du processus... SSH

30 Interactions avec machines distantes Administration système : connexions sans arrêt à machines distantes Développeur : connexions à serveurs CVS ou SVN via incessantes Pénible de retaper sans arrêt phrases secrètes Création entité authentification ¹ ÒØ aux Fournit clés secrètes Lancé au démarrage typiquement par gestionnaire de fenêtres ËËÀ ÍÌÀ ËÇ ÃetËËÀ ÆÌ ÈÁ S annonce via variables d environnement SSH

31 Alimentation et contrôle de l agent via ¹ Sans option : rajoute identité(s) par défaut après saisie phrase(s) secrète(s) ¹Äaffiche clés publiques servies ¹ et¹ pour gérer lecteurs de cartes d authentification Ñ Ò ¹ ¹Üverrouille agent avec mot de passe (temps du repas...) et¹ déverrouille extensions de qui utilisent PKI et X.509 SSH

32 Ñ Ò :remplaceø ÐÒ Ø,Ö etöðó Ò ÓÔØ ÓÒ ÒÓÑ Ñ Ò Typiquement Quelques options parmi nombreuses disponibles ¹ autorise téléportation protocole affichage X11 via de manière sécurisée : commande graphique lancée à distance affiche en local Si machine distante corrompue, possibilité pirate de prendre contrôle écran local... ¹ comprime les communications ¹ÔÔÓÖØutilise autre chose que le port TCP 22 (tunnels sécurisés...) SSH

33 ¹Ä Ò Ö» ÔÓÖØ» Ó Ø» Ó ØÔÓÖØtéléporte de manière sécurisée une connexion TCP sur machine localeôóöøvers Ó Øet port Ó ØÔÓÖØdepuis la machine distante Spécifier ou plus précis (ÐÓ Ð Ó Ø...) dans Ò Ö pour restreindre connexions côté local port Ó ØÔÓÖØ distanteôóöølocalement vers Ó Øet Pour raisons de sécurité, écoute que sur interface locale sur machine distante. Spécifier ou de ¹ ÒØ plus précis dans Ò Ö sinon ¹ téléporte service d authentification ¹Ê Ò Ö» ÔÓÖØ» Ó Ø» Ó ØÔÓÖØtéléporte de manière sécurisée une connexion TCP sur machine SSH

34 Pratique : permet d enchaîner des sans avoir à retaper des phrases secrètes Si machine distante sous contrôle ennemis, utilisation du service d authentification par ennemis ¹ force à utiliser IPv4 ¹ force à utiliser IPv6 Mettre Ã Ô Ð Ú ÓÑÔÖ ÓÒ Ý options préférées ÒÓ dansº»óò : ÈÖ Ø ÕÙ Ñ Ò Ö ÙÜ Ð Ñ Ò Ø ÒØ ØÔ Ö Ø ººº ÓÖÛ Ö ½½ Ý ÓÖÛ Ö ÒØ Ø Û ÝÈÓÖØ Ý Ý SSH

35 Interaction hors ligne avec système avec commandes en retour-chariot/newline + (hérité deø ÐÒ Ø) Quelques commandes º:déconnexion :passe en tâche de fond :affiche connexions téléportées ²:passe en tâche de fond et déconnecte une fois connexions téléportées terminées :rajoute/annule des téléportations de ports SSH

36 Ñ Ò Ô:remplaceÖÔpour copier fichiers entre machines/utilisateurs Ô ÓÔØ ÓÒ Ù Ö Ó Ø½ Ð ½ ººº Utilise àdistance Ù Ö Ó Ø¾ Ð ¾ Quelques options ¹Ôpréserve dates d accès, de modification, modes et utilisateurs si possible ¹Öcopie récursive des répertoires ¹ÈÔÓÖØutilise autre chose que port TCP 22 ¹Ð Ò ¹Ô ÒØ limite le débit Ñ Ò ØÔ:remplace ØÔ SSH

37 Pour nostalgiques de syntaxe ØÔinteractive... ØÔ Ó Ø Utilise qui lance un ØÔ¹ ÖÚ Öàdistance ØÔ Ù Ö Ó Ø Ð ÐÓ Ð¹ Ð ¹ Ø Ð exécute liste de commandes SSH

38 Accès intranet ENSMP et ENST Bretagne depuis monde extérieur Ë ÓÒÒ Ø Ö ÆËÌ ÖÚ Ò Ó : ÀÓ Ø Ò Ó»º»ÓÒ : ÀÓ ØÆ Ñ Ò Ø ºÓÖ ÓÒÒ Ü ÓÒÚ Ú Ö Ñ Ò Ö Ù ÆËÌ Ö Ø Ò ÄÓ Ð ÓÖÛ Ö ½¼¼¾¾ ÚÓØØ º Ò Ø¹ Ö Ø Ò º Ö ¾¾ Ë ÓÒÒ Ø Ö Ò Ö Ø Ñ ÒØÖ Ù ÒØ ÖÒ Ú ÒØ Ö ÀÓ Ø ÒØ ÖÒ ÀÓ ØÆ Ñ ÐÓ Ð Ó Ø ÈÓÖØ½¼¼¾¾ ÐÐÔÓÖØ ¾ÜÝÞØ SSH

39 ÙÜÆ Û Ð³ ÆËÌ Ö Ø Ò ÄÓ Ð ÓÖÛ Ö ¾¼½½ Ò Û º Ò Ø¹ Ö Ø Ò º Ö»½½ Ñ Ò Ï Ò ÓÛ Ú Ö ØÓÔÐÓ Ð Ó Ø ÄÓ Ð ÓÖÛ Ö Ø ÙÖ Ù¹Ø º Ò Ø¹ Ö Ø Ò º Ö» ÈÓÙÖ ÒÚÓÝ Ö Ñ Ð Ö Ø Ñ ÒØ Ð³ ÒØ Ö ÙÖ ÄÓ Ð ÓÖÛ Ö ¾¼¼¾ ÐÓ Ð Ó Ø»¾ ÈÖÓÜÝÏÏÏÔÓÙÖ Ö ÒØÖ Ò Ø ÆËÌ Ö Ø Ò ÄÓ Ð ÓÖÛ Ö ¾ ¼ ¼ÔÖÓÜÝº Ò Ø¹ Ö Ø Ò º Ö» ¼ ¼ Ë ÓÒÒ Ø Ö ÙÜÅ Ò Ú Ö ÀÓ ØÖ ÀÓ ØÆ Ñ ¹Ö º Ò ÑÔº Ö ÁÒØÖ Ò Ø Å Ò ÐÐÔÓÖØ ÜÝÞØ SSH

40 ÄÓ Ð ÓÖÛ Ö ¼½½ Ò Û º Ò ÑÔº Ö ½½ ÙÜÆ Û Å Ò ÈÓÙÖ ÒÚÓÝ Ö Ñ Ð Ö Ø Ñ ÒØ Ð³ ÒØ Ö ÙÖ ÄÓ Ð ÓÖÛ Ö ¼¼¾ ÐÓ Ð Ó Ø»¾ ÈÖÓÜÝÏÏÏÔÓÙÖ Ö ÒØÖ Ò Ø ÆËÌ Ö Ø Ò ÄÓ Ð ÓÖÛ Ö ¼ ¼ ÛÛÛº º Ò ÑÔº Ö ¼ ÄÓ Ð ÓÖÛ Ö ¼ Ð ÔºØÖ º Ö»º ÒÙ º Ð ÙÒÑ Ð¹Ñ Ø Ó ¹ Ò Ø¹ Ö Ø Ò µ ÈÓ Ø Ò Ø¹ Ö Ø Ò º Ö ÒØ Ö Ø Ú µ ÙÑ ØÙÒÒ Ð ÖÓÑÐÓ Ð Ó Ø ¾¼¼¾ ØÓ ÚÓØØ º Ò Ø¹ Ö Ø Ò º Ö ØÕÑ ¹ Ò ¹Ñ Ð¹ ÙÒØ ÓÒ³ ÑØÔÑ Ð¹ Ò ¹ Ø ÑØÔÑ Ð¹ ÑØÔ¹ ÖÚ ¾¼¼¾ ÄÓ Ð ÓÖÛ Ö ¾ Ð Ô¾ºØÖ º Ö Accéder aux News, Mail et Forum sous Emacs/GNUS : SSH

41 ÓÖØ ÒÚ ÐÓÔÔ ÖÓÑ Ù Ö¹Ñ Ð¹ Ö ÊÓÒ ÒºÃ ÖÝ ÐÐ Ò Ø¹ Ö Ø Ò º Ö µµ ÙÒÑ Ð¹Ñ Ø Ó ¹ Ò ÑÔ µ ÈÓ Ø Ö º Ò ÑÔº Ö ÒØ Ö Ø Ú µ ÙÑ ØÙÒÒ Ð ÖÓÑÐÓ Ð Ó Ø ¼¼¾ ØÓ ¹Ö º Ò ÑÔº Ö ¾ ØÕÑ ¹ Ò ¹Ñ Ð¹ ÙÒØ ÓÒ³ ÑØÔÑ Ð¹ Ò ¹ Ø ÑØÔÑ Ð¹ ÑØÔ¹ ÖÚ ¼¼¾ ÓÖØ ÒÚ ÐÓÔÔ ÖÓÑ Ù Ö¹Ñ Ð¹ Ö ÊÓÒ ÒºÃ ÖÝ ÐÐÖ º Ò ÑÔº Ö µµ ØÕ Ö ØØ ÙÐØËÅÌÈ Ó Ø ÑØÔÑ Ð¹ ÙÐØ¹ ÑØÔ¹ ÖÚ Ö ÐÓ Ð Ó Ø ÈÐÙ ÓÒÒ Ü ÓÒ Ö Ø ÙÜÅ Ò ÒÙ ¹ÒÒØÔ¹ ÖÚ ÖÒ Ð SSH

42 Å ÖÚ ÙÖ Ö ¹ ÖÚ ÙÖ¹Ò Û ¹ Ò Ø Ö³ ÒÒØÔ Ò Û º Ò Ø¹ Ö Ø Ò º Ö ÙÑ ØÙÒÒ Ð ÖÓÑÐÓ Ð Ó Ø ¾¼½½ ØÓÒ Û º Ò Ø¹ Ö Ø Ò º Ö ÒÒØÔ¹ Ö ÐÓ Ð Ó Ø µ Ö ¹ ÖÚ ÙÖ¹Ò Û ¹Ñ Ò ³ ÒÒØÔ ÒÒØÔ¹ÔÓÖØ¹ÒÙÑ Ö¾¼½½ µµ Å Ò ÙÑ ØÙÒÒ Ð ÖÓÑÐÓ Ð Ó Ø ¼½½ ØÓÒ Û º Ò ÑÔº Ö ½½ ÒÒØÔ¹ Ö ÐÓ Ð Ó Ø µ ÒÒØÔ¹Ñ Ð¹Ñ Ø Ó ¹ Ò Ø ÔÓÖØ¹ÒÙÑ Ö ¼½½ µ µö ¹ ÖÚ ÙÖ¹ ÓÖÙÑ¹ Ò Ø ³ ÒÒØÔ ÓÖÙÑ ÆËÌ Ö Ø Ò ÒÒØÔ¹ Ö Ñ Ð Ñ ÐÓº Ò Ø¹ Ö Ø Ò º Ö µ ÒÒØÔ¹ÔÓÖØ¹ÒÙÑ Ö µ µ SSH

43 ÒÙ ¹ Ð Ø¹Ñ Ø Ó Ç Ð ¹ ÒÙ ¹ ÓÒ ÖÝ¹ Ð Ø¹Ñ Ø Ó Ð Ø Ö ¹ ÖÚ ÙÖ¹Ò Û ¹ Ò Ø Ö Ö ¹ ÖÚ ÙÖ¹Ò Û ¹Ñ Ò Ö ÒØ ÖÚ ÙÖ ÔÓÙÖÔÓ Ø ÖÐ Æ Û Ö ¹ ÖÚ ÙÖ¹ ÓÖÙÑ¹ Ò Ø µ ÒÙ ¹ÔÓ Ø¹Ñ Ø Ó Ð Ø Ö ¹ ÖÚ ÙÖ¹Ò Û ¹ Ò Ø Ö Ö ¹ ÖÚ ÙÖ¹Ò Û ¹Ñ Ò Ö ¹ ÖÚ ÙÖ¹ ÓÖÙÑ¹ Ò Ø µ µ SSH

44 Connexions à distance (ssh, ftp...) Système d impression (BSD, CUPS...) Systèmes de nommage Service DNS pour la résolution des noms Système de nommage NIS Partage de fichiers en réseau avec NFS Auto-montage Archivage des données tar, cpio, pax, mt... Archivage en réseau avec rsync, partimage AMANDA SSH

45 spool : Simultaneous Peripheral Operation On Line : empile requêtes d impression pour faire autre chose impressions en différé Nombreux systèmes de gestion imprimante BSD (ÐÔÖ,ÐÔÕ,...) System V (ÐÔ,ÐÔ Ø Ø,...) Windows & SMB CUPS... Imprimantes locales : impressions sont mises en attente de libération de l imprimante dans une zone de spool»ú Ö» ÔÓÓÐ»ÐÔ,»Ú Ö» ÔÓÓÐ»ÐÔ,»Ú Ö» ÔÓÓÐ»ÙÔ... Système d impression

46 Imprimantes distantes : mise en attente dans»ú Ö» ÔÓÓÐ»ºººet envoi par protocole BSD, TCP pass-through, IPP... sur le serveur de l imprimante distante, voire l imprimante elle-même (mais implémentation parfois fantaisiste des protocoles réseau...) Penser à avoir de gros»ú Ö» ÔÓÓÐ»... Installation par outils graphiques ou textuels (ÐÔ Ñ Ò) Alternative plus moderne libre : CUPS Système d impression

47 ÀÇÅ»ºÔÖ ÒØ Ö Base de donnée dans» Ø»ÔÖ ÒØ Ö ºÓÒ Ì ÙÐØÔÖ ÒØ Ö Système «canal historique» inspiré desø ÖÑ Ôet ÙÐØ Ø ÖÑ Ò Ó... Ù ÐÛ¹ ¹ Ø autres ÐÐØ ÔÖ ÒØ Ö ÐÐ ÐÐ ÓÔ ÙÖ¹ ¹Ö ÐÛ¹ ½¼ ÐÛ¹ ¹ Ø ÐÛ¹Ö ÐÛ¹Ö ¹ ÐÐ Â½ ÐÛ¹ ¹ Ø Système d impression

48 Ö ÐÛ¹ ¹ Ø ºÔÖ Úº Ò Ø¹ Ö Ø Ò º Ö ÐÔ Ö ÔØ ÓÒ ÁÑÔÖ Ñ ÒØ ÀÈ ÓÙ Ð Ð³ Ø modifiable aussi par outils graphiques etðô Ñ Ò) Ressource NISÔÖ ÒØ Ö ºÓÒ º ÝÒ Ñ pour distribuer liste imprimante Ressource ÐÔÖ¹È ÖÚ ÙÖ ÑÔÖ Ñ ÒØ NIS+ et FNS Ö Accès direct via Choix de l imprimante par défaut Variables environnementèêáæì ÊetÄÈ ËÌ Recherche d une imprimante ÙÐØdans les fichiers précédents Système d impression

49 l ÑÔÖ Ñ ÒØ ÐÔ Ø Ø¹Ô ÑÔÖ Ñ ÒØ donne des informations sur Ö Ø¹ÖÙÒ ¹Ö ÓÒ ÔØ ÑÔÖ Ñ ÒØ accepte les ÑÔÖ Ñ ÒØ n accepte plus Ð ¹ÖÙÒ ¹Ö ÓÒ Ò Ð ÑÔÖ Ñ ÒØ permet Ò Ð¹ÙÙ Ö Ö ÕÙ Ø¹ ¹Ð Ø l impression ÑÔÖ Ñ ÒØ ÑÔÖ Ñ ÒØ arrête l impression annule des travaux d impression Ö Ø ÑÔÖ¹ Ö demandes d impression demandes d impression les ÐÔÑÓÚ ÑÔÖ¹ Ö ÑÔÖ¹ Øtransfère les impressions depuis une imprimante vers une autre en faisant un Système d impression

50 ÐÔ Ñ Ò¹ contrôle la marche à suivre en cas d alerte ÐÔ Ñ Ò¹Ù ÐÐÓÛ Ù Ö¹Ð Øautorise des utilisateurs ÐÔ Ñ Ò¹Ù ÒÝ Ù Ö¹Ð Øinterdit à des utilisateurs ÐÔ ÙØarrête le système d impression ÐÔ démarre le système d impression Méthodes «canal historique»... Système d impression

51 Puis arriva CUPS... Base produit commercial d Easy Software Products (ESP Print Pro) Gestion de files d attente Utilise Internet Printing Protocol (IPP) TCP port 631 Multiprotocole : IPP, LPD, LP, SMB, HP JetDirect... Gère imprimantes PostScript Exploite description fine imprimante PostScript au format PPD (PostScript Printer Description) choix des paramètres imprimante (couleur, définition, double face, agrafage...) et menus Gère classes d imprimantes (tolérance aux pannes, répartition de charge...) Système d impression CUPS

52 Gère quotas, droits, statistiques Mode commande à la System V Repris ÙÔ Ý ¹Ð ÒØ, ÒÓÑ ¹ÙÔ ¹Ñ Ò Ö, ÔÖ ÒØ dans MacOS X Paquets Debian utiles :ÔÖ ÒØÓÒ,ÙÔ Ý,ÙÔ Ý ¹, ØØÔ»»ÛÛÛºÙÔ ºÓÖ ( ÔÖ ÒØ Ö),ÙÔ ¹Ô... Système d impression CUPS

53 ÔÖ ÒØ Öavec KDE ÒÓÑ ¹ÙÔ ¹Ñ Ò Ö, ÒÓÑ ¹ÙÔ ¹ avec GNOME ÜÔÔavec X11 de base Système d impression CUPS

54 Permet d utiliser protocole BSD Paquet DebianÙÔ Ý ¹ pour avoir canal historique commandes BSD ÐÔÖ ¹È ÑÔÖ Ñ ÒØ :imprime ¹ÓÓÔØ ÓÒpermet ¹ÓÈÖ ÒØÓÙØÅÓ È ÓØÓ¹Ó de ÙÔÐ Ü ÙÔÐ ÜÆÓÌÙÑ Ð imprimante ÐÔÕ: affiche travaux en attente ÐÔÖÑ: supprime travaux ÐÔ: contrôle files d impression changer comportement Système d impression CUPS

55 ØØÔ»»ÐÓ Ð Ó Ø ½ Gestion IPP protocole basé sur HTTP mais port TCP 631 Utilisation aussi comme interface de configuration! Travaux Files d attentes Imprimantes (installation, contrôle...)... Documentation! Système d impression CUPS

56 Le plus d expressivité! ÐÔ ¹ Ø Ò Ø ÓÒ ¹ÓÓÔØ ÓÒ :imprime Ò Ðannule impression ÐÔ Ø Øaffiche états imprimantes, travaux & classes ¹Øaffiche informations sur tout ¹ indique quelle est imprimante par défaut ¹Ô ÑÔÖ Ñ ÒØ affiche état imprimante ÐÔÓÔØ ÓÒ affiche et définit options et paramètres par défaut ¹ Ø Ò Ø ÓÒ imprimante pour soi ¹Ðaffiche options ¹ÓÓÔØ ÓÒ Ú Ð ÙÖ en tant qu imprimante par défaut Système d impression CUPS

57 ¹Ô Ø Ò Ø ÓÒ ¹ÓÓÔØ ÓÒ Ú Ð ÙÖ rajoute options par défaut ¹ÖÓÔØ ÓÒsupprime options dans»ºðôóôø ÓÒ ¹Üsupprime toutes options Stocké» Ø»ÙÔ»ÐÔÓÔØ ÓÒ pour toute une machine ÐÔ Ñ Òadministre imprimantes et classes ¹ Ø Ò Ø ÓÒchoisi imprimante par défaut (si pas deðôóôø ÓÒ ) ¹Ô ÑÔÖ Ñ ÒØ configure imprimante ¹Ð dans une classe Système d impression CUPS

58 ¹ÑÑÓ Ð modèle ¹È Ö¹ÈÈ PPD d imprimante (fichier déjà disponible dans»ù Ö» Ö»ÙÔ»ÑÓ Ð) ¹ÓÓÔØ ÓÒchoisit une option globale» Ø»ÙÔ»ÔÔ ¹Ü Ø Ò Ø ÓÒsupprime des Mise à jour fichier» Ø»ÙÔ»ÔÖ ÒØ Ö ºÓÒ et répertoire ÐÔÔ Û gère mots classes... de passe associés à imprimantes, Système d impression CUPS

59 Besoin dans ØØÔ»»ÛÛÛºÐ ÒÙÜÔÖ ÒØ Ò ºÓÖ pour imprimante donnée du bon PPD (PPD précis contrôle fin imprimante) Base Si pas imprimante PostScript, utilise GhostScript pour faire rasterisation Exemple Ô» ÖÓÑ» Ò Ð» Ö Ú Ö»Ï Ò¾¼¼¼ È»ÈË»ÀÈ ¼¼ ºÔÔ»Ù Ö» Ö»ÙÔ»ÑÓ Ð»ÀÈ» d installation Laser PostScript couleur Recherche»Ù Ö» Ò»ÐÔ Ñ Ò¹ÔÓÙÐ ÙÖ¹Ä ¹½¾ ½ Ö Ø Ù ÓÙÐ ÙÖ deºôô dans CD-ROM installation... Windows ¹ ¹Ú Ó Ø»»ÐÛ¹ ¹½¾ ¹ÓÙÐ ÙÖºÔÖ Úº Ò Ø¹ Ö Ø Ò º Ö¹ÑÀÈ»ÀÈ ¼¼ ºÔÔ ¹ ÁÑÔÖ Ñ ÒØ ÀÈÄ ÖÂ Ø ¼¼ ÒÓÙÐ ÙÖ ÓÙ Ð Ð³ Ø! ÐÔÓÔØ ÓÒ ¹ÔÓÙÐ ÙÖ¹Ó ÙÔÐ Ü ÙÔÐ ÜÆÓÌÙÑ Ð ¹Ó ÙÔÐ Ü Ö ÌÖÙ ÐÔÓÔØ ÓÒ ¹ÔÓÙÐ ÙÖ» ÑÔÐ Ü¹Ó ÙÔÐ Ü ÆÓÒ ¹Ó ÙÔÐ Ü Ö ÌÖÙ ÐÔÓÔØ ÓÒ ¹ÔÓÙÐ ÙÖ» ÙÔÐ Ü Ð Ò Ô ¹Ó ÙÔÐ Ü ÙÔÐ ÜÌÙÑ Ð ¹Ó ÙÔÐ Ü Ö ÌÖÙ ÐÔÓÔØ ÓÒ ¹ÔÓÙÐ ÙÖ» ÙÔÐ Ü¹Ó ÙÔÐ Ü ÙÔÐ ÜÆÓÌÙÑ Ð ¹Ó ÙÔÐ Ü Ö ÌÖÙ Système d impression CUPS

60 Exemple d installation imprimante jet d encre non PostScript couleur ØØÔ»»ÛÛÛºÐ ÒÙÜÔÖ ÒØ Ò ºÓÖ» ÓÛ ÔÖ ÒØ Öº Ö ÒÙÑ ÀÈ¹Ç et mis dans Récupération du PPD de»ù Ö» Ö»ÙÔ»ÑÓ Ð»ÀÈ¹Ç Â Ø ½ ¼¹ Ô ºÔÔ»Ù Ö» Ò»ÐÔ Ñ Ò¹ÔÑ ÓÒ¹Ä ÙÖ ÙÃ ÖÓÔ Ö ¹ ¹ÚÙ» Ú»Ù»ÐÔ¼¹ÑÀÈ¹Ç Â Ø ½ ¼¹ Ô ºÔÔ ¹ ÀÈÇ Â Ø ½¼ Ö Ð Å Å ½Î ¼ ¼ ÓÙ Ð Installation ØØÔ»»ÐÓ Ð Ó Ø ½» Ñ Ò» ÓÔ ÓÒ ¹ÔÖ ÒØ Ö²ÔÖ ÒØ Ö Ò Ñ Ñ Via passage en mode double face par défaut pour tout le monde (modification du fichier» Ø»ÙÔ»ÔÔ»Ñ ÓÒºÔÔ ) Système d impression CUPS

61 Par ÖÓÛ Ö ÄÇ Ä ÖÓÛ ÈÖÓØÓÓÐ ÐÐ défaut chaque serveur fait broadcast IPP ÖÓÛ ÐÐÓÛº Ò Ø ºÓÖ ÖÓÛ ÐÐÓÛ ÖÝ ÐÐºÔ ºÒ Ö ÑºÒ Ø Clients ÄÓ Ø ÓÒ» écoutent ÇÖ Ö ÒÝ ÐÐÓÛ Possibilité de restreindre accès ÒÝ ÖÓÑ ÐÐ ÐÐÓÛ ÖÓÑº Ò Ø ºÓÖ ÐÐÓÛ ÖÓÑ½¾ º¼º¼º½ ÐÐÓÛ ÖÓÑº Ò Ø¹ Ö Ø Ò º Ö Système d impression CUPS

62 ÐÐÓÛ ÖÝ ÐÐºÔ ºÒ Ö ÑºÒ Ø»ÄÓ Ø ÓÒ ÄÓ Ø ÓÒ» Ñ Ò ÇÖ Ö ÒÝ ÐÐÓÛ ÒÝ ÖÓÑ ÐÐ ÐÐÓÛ ÖÓÑ½¾ º¼º¼º½ ÖÓÛ ÈÓÐÐ ÔÔº Ò Ø ºÓÖ»ÄÓ Ø ÓÒ Contacter en plus serveurs spécifiques Chaque serveur peut faire proxy (cas routeur du dans» Ø»ÙÔ»ÙÔ ºÓÒ RIRE/enstb.org) Configuration globale Système d impression CUPS

63 Connexions à distance (ssh, ftp...) Système d impression (BSD, CUPS...) Systèmes de nommage Service DNS pour la résolution des noms Système de nommage NIS Partage de fichiers en réseau avec NFS Auto-montage Archivage des données tar, cpio, pax, mt... Archivage en réseau avec rsync, partimage AMANDA Système d impression CUPS

64 Trop d informations spécifiques à 1 site pour être dupliquées sur chaque machine Besoin de pouvoir remettre à jour les informations instantanément sur toutes les machines Paramétrage de la source des information pour les Ø Ý µ( Ø Ó Ø ÝÒ Ñ µ, ØÔÛÒ Ñ µ,...) Différents systèmes possibles sélectionnés par type de ressources selon» Ø»Ò Û Ø ºÓÒ Fichiers NIS NIS+ DNS : système de nommage des machines sur Internet. Plutôt réservé à la ressource Ó Ø Systèmes de nommage

65 LDAP (sur TLS de préférence pour raisons de sécurité) : annuaire hiérarchique, version allégée de X.500 Federated Naming Service (FNS) les Ø Ý µ : méthode de nommage fédérant NIS+, NIS, fichiers, DNS, et Ñ ÒÒ Û Ø ºÓÒ X.500/LDAP. API XFN dépassant Systèmes de nommage

66 Pas un système de nommage réseau À dupliquer sur toutes les machines... mais robuste Nommage en réseau «à la main» : mettre en place un système de synchronisation des fichiers depuis une base centrale» Ø»Ò Û Ø ºÓÒ typique Ô Û : ÖÓÙÔ Ó Ø Ò Ð ÔÖÓØÓÓÐ ÖÔ ÔÒÓ Ò ØÛÓÖ Ø Ö Ð Ò ØÑ ÓÓØÔ Ö Ñ Ð Systèmes de nommage

67 ÔÙ Ð Ý Ò Ø ÖÓÙÔ ÙØÓÑÓÙÒØ Ð ÖÚ Ð Ò Ñ ÐÚ Ö ÔÖ ÒØ Ö ÙØ ØØÖ Ù Ö Ð ÔÖÓ ØØÖ ÔÖÓ Ø Ð Systèmes de nommage

68 Distribue des tableaux associatifs Pas très sécurisé en local car les mots de passe chiffrés sont accessibles pour essais de craquage Système très répandu Choisir un nom de domaine NIS unique sur son réseau. Par exemple nom de domaine Internet Vérifier que» Ø»ÒÓ Ò Ñ contient bien le nom de la machine Mettre ÓÑ ÒÒ Ñ dans» Ø» ÙÐØ ÓÑ Òle nom du domaine Est utilisé par le système pour la commande ÓÑ ÒÒ Ñ permet de domaine NIS connaître ou modifier le nom de Systèmes de nommage NIS

69 Choisir le serveur NIS maître et les serveurs esclaves Faire»Ù Ö»Ð»ÝÔ»ÝÔ Ò Ø¹Ñsur le serveur maître qui demande la liste de tous les serveurs Si» Ø»Ö ÓÐÚºÓÒ existe sur le serveur les NIS font suivre les requêtes Ó Ø au DNS Faire»Ù Ö»Ð»ÝÔ»ÝÔ Ò Ø¹ Ñ ØÖ sur serveur esclave Sur les clients, installation paquet DebianÒ fait le travail Ô Û Remplacer les» Ø»Ò Û Ø ºÓÒ avec contenu plus ÖÓÙÔ spécifique ÓÛ Ò Ø ÖÓÙÔ Ò ÓÑÔ Ø Systèmes de nommage NIS

70 Ñ ÕÙ Ð ÓÑÔ Øpermet astuces du style Ø Ð Ó ¹ Ð Ú» Ø»ÆÓË ÐÐ desò Ø ÖÓÙÔ oùºººsont»ú Ö»ÝÔ»Å Ð contrôle les tables NIS exportées. Éditer pour rajouter ses propres ressources. FaireÑ dans»ú Ö»ÝÔpour propager les ressources lorsque les fichiers de référence sont modifiés» Ø»ÝÔ ÖÚº ÙÖ Ò Ø restreint l accès des NIS Systèmes de nommage NIS

71 ÝÔ Ø ¹ Ø Ð permet d afficher table NIS le contenu d une ÝÔ Ø¹ ÝÔ ÖÚ Ö affiche liste des serveurs NIS ÝÔÛ donne le serveur actuellement utilisé ÝÔÛ ¹ÑØ Ð indique le serveur maître d une table ÝÔÛ ¹Üdonne la liste des alias Systèmes de nommage NIS

72 Organisation hiérarchique de l espace de nommage Distribue tout type d information (binaires...) Serveurs secondaires pour répartition de la charge et secours Mécanisme d authentification et d autorisation tables par tables Mots de passes chiffrés pas lisibles par les utilisateurs Système plutôt Sun Supplanté par LDAP Systèmes de nommage NIS

73 Adresses IP de 32 bits pour numéroter les machines sur Internet 10 chiffres décimaux Utilisation intensive pour le courrier, WWW, news,ø ÐÒ Ø, ØÔ,... IPv6 sur 128 bits 39 chiffres décimaux à retenir... Nécessité de noms mnémotechniques et plus commerciaux Conversion entre numéros IP et noms de machines et autres Nécessite un visibilité mondiale Offrir une distribution spatiale Gérer la cohérence temporelle Systèmes de nommage DNS

74 Besoin d une bonne tolérance aux pannes Domain Name System (DNS) Systèmes de nommage DNS

75 Importance stratégique DNS en panne : perte de services importants DNS corrompu : système délirant DNS piraté : pages WWW pointant vers la concurrence Bien choisir ses noms (marques, lisibilité...) Bien payer à temps ses enregistrements (si payants) Monde où la carte banquaire est reine... Attention aux retards administratifs! Sinon boîtes internationales de cyber-racket qui rachètent un domaine dès qu il devient libre (si on a oublié le loyer), font pointer vers des sites pornographiques et veulent le revendre cher Systèmes de nommage DNS

76 ARPAnet : quelques machines au début Toutes les informations sur les nœuds du réseau étaient Ì Ï ¾ º½¼º¼º½ ½ º º½ º½ ÈÁÊÅ Ë ÆË¹ Ï½º ÊÅ ºÅÁÄ ÁË Æ Ì ½ º º¾ º¼ È ÆË ÇÄ Æ Ì¾ dans LE fichieràçëìºì Ì, RFC 952 ÀÇËÌ ½ º½¾ º ¼º ÏÀ Ä ÆËºÍÅËÄº Í Á Ì È»Ì ÄÆ Ì Ì È» ÀÇËÌ ½ º¾¾ º¾º¾ È ÆË¹ ÅÀ½ºÆ Î ºÅÁÄ ÌÌ¹ ¾ ÍÆÁ º¾ ÀÇËÌ ½ º½ º½ ¼º½ ÍÄ ËË º ÆËÌº Ê ËÍÆ ÍÆÁ Maintenu par leæ ØÛÓÖ ÁÒ ÓÖÑ Ø ÓÒ ÒØ Öau SRI Récupéré périodiquement par les nœuds du réseau Problème avec ր nombre machines Chaque modification/ajout de machine mail au SRI Systèmes de nommage DNS

77 Mise à jour transfert du fichier vers nombreuses machines ց performance du réseau Conflits de noms globaux Problèmes de cohérence entre les copies existantes Toujours dans UNIX! ØØ Ð :récupèreàçëìºì Ì Ø Ð :ÀÇËÌºÌ Ì» Ø» Ó Ø et autres Trouver autre chose... Systèmes de nommage DNS

78 Trouver un nouveau système Extensible Sans goulet d étranglement Distribué Administration locale décentralisée RFC 882 et RFC 883 en 1984 Réalisation de JEEVES Réalisation de BIND sur UNIX 4.3BSD Systèmes de nommage DNS

79 Hiérarchiser les espaces de nommage Contrôle local sur son propre morceau Robustesse par réplication Performances par cache des données Communication par mécanisme client/serveur : resolver/serveur de nom Systèmes de nommage DNS

80 Système de fichiers UNIX / Hiérarchie du DNS. dev homeetc usr bin users com fr edu net org de chailly deauville ens ensmp barrique3 bassine2 bassine3 vasque1 dmi cri cig cc keryell deauville etc RMAIL TeX Nommage unique du chemin même si un sous-chemin ou une feuille sont identiques Mécanisme similaire aux liens : les alias (liens symboliques) ou les réplications (liens hard) Systèmes de nommage DNS

81 Montage d un disque ou d un système de fichier sur un serveur distant : reléguer un sous-domaine à un autre serveur DNS Montage possible d un disque depuis plusieurs machines pour résister aux pannes : plusieurs serveurs DNS peuvent servir un sous-domaine Systèmes de nommage DNS

82 Système de fichiers UNIX dev chailly / homeetc usr bin users deauville NFS chailly Hiérarchie du DNS. com fr edu net org de ens ensmp ensmp.fr barrique3 bassine2 bassine3 vasque1 keryell NFS chailly etc RMAIL TeX NFS deauville dmi ens.fr DNS dmi.ens.fr cri deauville cig cc DNS fontainebleau.ensmp.fr Chaque feuille contient l information de traduction telles que Numéro IP Systèmes de nommage DNS

83 Type de matériel Comment envoyer le mail... Un nœud non feuille représente un domaine mais peut aussi être un nom de domaine de machine Hiérarchie logique : pas de relation physique (géographique...) a priori Systèmes de nommage DNS

84 «º»: top-level domain, domaine racine Domaine de premier niveau ÓÑcommerciaux Ùorganismes d éducation américains (universités) ÓÚorganismes gouvernementaux USA Ñ Ðorganismes militaires USA Ò Øorganismes de gestion de réseaux ÓÖ organismes non-commerciaux ÒØorganismes internationaux ÖÔ transition ARPAnet Internet + traduction inverse Tendance au flou et au débordement dans les domainesóñ,ò ØetÓÖ... Systèmes de nommage DNS

85 Cf. ØØÔ»»ÛÛÛº ÒÒºÓÖ Très américain : historiquement ARPAnet... Nouveau Ö :º Þ,º Ò Ó,... : Domaines par pays quasi-iso 3166 Ù (et non ) Domaine de second niveau ÓÑº Ù, Ùº Ùcomme «º» dansº Ö Ò ÑÔº Ö:àplat Hiérarchisé dansº Ö: ÓÙÚº Ögouvernement français Systèmes de nommage DNS

86 ØÑº Ömarques déposées en France Óº Öassociations loi ème niveau, etc. Systèmes de nommage DNS

87 RFC 1035 Noms séparés par des «º». Taille du tout 255 Taille de chaque nom 63 caractères ASCII (lettres, chiffres et «¹»(pas en première ni dernière position), premier caractère forcément une lettre) Égalité entre minuscule et majuscule Concaténation d au plus 127 noms Nom absolu (non ambigu...) si terminé par «º»:FQDN Fully Qualified Domain Name Supposons l existence de º Ò ÑÔº Ö(Computer Science) Qui est? Systèmes de nommage DNS

88 º(Tchécoslovaquie)? º Ò ÑÔº Öº(si on est dans le domaine Ò ÑÔº Ö)? Dernier par défaut º Ò ÑÔº Ö Domaine sous-arbre de l espace de nommage ºÓÖ º Ò Ø ºÓÖ ºÖ Ö º Ò Ø ºÓÖ Systèmes de nommage DNS

89 Réalise la hiérarchisation administrative Sous-domaines gérés par d autres organismes responsables de leur propres données et de leurs propres délégations Le domaine parent n a que des pointeurs vers les DNS gérant les sous-domaines Öºaun pointeur Ò ÑÔvers les DNS de l École des Mines de Paris Limite implicite dans le nombre (127) mais pas dans l enchaînement des délégations Systèmes de nommage DNS

90 Point de délégation dans la hiérarchie DNS Zone portion du domaine gérée effectivement par un serveur Un serveur contient les données de son/ses domaine(s) : la/les zone(s) : il fait autorité en la matière (authoritative) Un domaine est divisé en plusieurs zone s il y a délégation Un serveur maître primaire charge les données depuis un fichier local («base de données») Un serveur (esclave ou maître secondaire) transfère au démarrage la zone depuis un serveur de référence (serveur maître) qui fait autorité Un serveur peut faire autorité sur plusieurs zones Systèmes de nommage DNS

91 Programme client ou bibliothèque de résolution (resolver) Interroge un (son) serveur de nom Interprète les réponses (numéro IP, erreur,...) Renvoie l information au client (, navigateur, ØÔ,...) Un serveur de nom est aussi capable de résoudre les noms en se promenant dans la hiérarchie de serveur pour les domaines dont il n a pas autorité Problème : où commencer la recherche? Dans une liste de serveurs racine (hint)! Systèmes de nommage DNS

92 Demande de résoudre récursivementûûûº Ñ Ò ºÓÖ qui demande au serveur de nom local deóö Question du serveur de nom local Serveur de Répon canonique Ô ÖÑ Òº Ñ Ò ºÓÖ de Ñ Ò ºÓÖ ÛÛÛº Ñ Ò ºÓÖ? «º» Aller voir serveur voir serveur ¾¼ º¾½ º ÛÛÛº Ñ Ò ºÓÖ? «ÓÖ º» Aller ÛÛÛº Ñ Ò ºÓÖ? «Ñ Ò ºÓÖ º» nom Ô ÖÑ Òº Ñ Ò ºÓÖ? «Ñ Ò ºÓÖ º» Si le système de résolution ne demandait pas la récursion, il devrait itérer lui-même... Économie : le serveur contacte le serveur connu le plus proche Systèmes de nommage DNS

93 dans la hiérarchie au lieu d un serveur estûûûº Ò Øº Ö racine exemple ÙÚ ÐÐ º Ò ÑÔº Ödemande qui Demande au serveur de Öºplutôt qu à un serveur racine (dénis de service ) Seul le serveur de nom local (ou celui attaché au resolver) fait de la récursion Les serveurs racines ne font plus de récursion pour des raisons de performances... En plus cela permet de ne pas cacher de l information et donc d économiser de la mémoire! Si plusieurs serveurs de noms possibles : choix par BIND en fonction du temps d aller-retour des paquets DNS Systèmes de nommage DNS

94 Besoins sonºö Ó Ø Autorisation d une connexionöðó Òàpartir d un nom dans Messages de debug plus humains... Comment avoir la traduction inverse des mécanismes précédents? Traduction nom vers adresse implémentée et efficace dans le DNS Comment adapter le système existant? Systèmes de nommage DNS

95 Idée : découper une adresse IP de 32 bits 4 paquets de 8 bits codés en décimal xºyºzºt Créer un domaine spécifique Ò¹ Öº ÖÔ ºpour la traduction inverse Faire une recherche xºyºzºtº Ò¹ Öº ÖÔ º? ÙÚ ÐÐ º Ò ÑÔº Ö ½ ¾º º½ ¾º¾ ¾ :½ ¾º º½ ¾º (sous-réseaux...) : 1 réseau des Mines ½ ¾º º½ ¾º¾ ¾º Ò¹ Öº ÖÔ º? Réseaux : hiérarchisé par le poids fort Tous les noms de machines seraient dans ½ ¾º º½ ¾º º Ò¹ Öº ÖÔ º? Mauvais! Il faudrait être responsable du haut de la hiérarchie... Systèmes de nommage DNS

96 Idée : inverser les nombres de l adresse tºzºyºxº Ò¹ Öº ÖÔ º Recherche de de º½ ¾º º½ ¾º Ò¹ Öº ÖÔ º ¾ ¾º½ ¾º º½ ¾º Ò¹ Öº ÖÔ º? ØØÔ»»ÛÛÛº Ô Ò ÜºÒ Ø» Mines responsable ØØÔ»» ÐÙ º ÙÖÓÚ º»Ñ ÖÖÓÖ»ÛÛÛº Ô Ò ÜºÒ Ødonne une idée de l usage des adresses IP bas de la hiérarchie : ØØÔ»»ÛÛÛºÑ ÜÑ Ò ºÓÑ Services de géoréférence Comment faire du CIDR alors que tout est fait pour des classes A, B ou C? Cf. plus loin... Systèmes de nommage DNS

97 Problème : goulet d étranglement aux serveurs racines à chaque requête Idée : mécanisme de cache Retenir dans une mémoire les traductions les plus souvent demandées Retenir aussi le fait que certaines traductions n existent pas (erreurs répétitives...) : cachage négatif Retenir toutes les informations aperçues lors des recherches récursives : cela peut servir plus tard (liste de serveurs faisant autorité, leurs numéros IP,...) Attaques par pollution si on accepte toute information sans vérification si serveur fait autorité Systèmes de nommage DNS

98 Permet de survivre un peu mieux à une coupure réseau ou à des pannes de DNS distants... Comment propager les mises à jour des données aux caches des serveurs? Trop de caches de serveurs et pas de mécanisme hiérarchique de diffusion Rajout d une durée de vie (TTL Time To Live) associé à une zone choisie par l administrateur Si la durée de vie d une donnée est dépassée, la donnée est effacée du cache Compromis à trouver sur le TTL Bonnes performances TTL ր Propagation des mises à jour rapides TTL ց Systèmes de nommage DNS

99 TTL pour les réponses négatives fixé à 10 minutes par défaut Même avec les caches les serveurs racines reçoivent des milliers de requêtes par seconde... mais on y survit! Systèmes de nommage DNS

100 RFC 1035 Définit une représentation textuelle aux paquets binaires du protocole (requête dans outils, réponses, fichiers de données,...) Ä ËËdéfinit la classe d utilisation de l enregistrement (DNS plus large qu Internet) ÁÆInternet ËCSNET (obsolète) ÀCHAOS (MIT) ÀËHesiod ÊÊ(Ê ÓÙÖ Ê ÓÖ ) contient un enregistrement d information de différents types avec une durée de vie optionnelle en seconde (32 bits) : Systèmes de nommage DNS

101 adresse de machine ÛÛÛÁÆ ½ ¾º º½ ¾º¾ ½Une machine avec plusieurs adresse a plusieurs ÊÊ ÆËnom ØÖ ÁÆÆË ÐÐÝº Ò ÑÔº Öº d un serveur de nom faisant autorité pour délégation ÛÛÛº Þ ÑÓ Ð Æ Å Þ ÑÓ Ð Æ Å définit un alias qui a pour nom canonique... Un alias ne doit pas être utilisé en partie droite d un RR afin de limiter les récursions ËÇ start of a zone of authority ÅÆ Å nom du serveur de référence (maître) Systèmes de nommage DNS

102 ÊÆ Å nom de domaine encodant l adresse mail en Ø Ò Ø Ö ºÙÒº ÓÑ Ò interprété en Ø Ò Ø Ö ÙÒº ÓÑ Ò pour Internet Ë ÊÁ Änuméro de série sur 32 bits monotone croissant modulo 32 bits utilisé pour avertir des mises à jour. Ne pas oublier d augmenter ce nombre sur un maître après chaque modification si on veut que les modifications soient propagées... Valeur 0 spéciale de resynchronisation : propage systématiquement aux serveurs secondaires Ê Ê ËÀtemps en seconde (32 bits) avant un rafraîchissement de zone Ê ÌÊ temps en seconde (32 bits) avant un autre Systèmes de nommage DNS

103 essai de rafraîchissement de zone qui a échoué ÈÁÊ temps en seconde (32 bits) avant que la zone ne soit plus considérée comme faisant autorité ÅÁÆÁÅÍÅdurée ÁÆËÇ ÐÐÝº Ò ÑÔº Öº ÖÝ ÐÐº ÐÐÝº Ò ÑÔº Öº de vie (TTL) (32 bits) en seconde des données ½¾¼¾¼¼ cachées négativement ¾½ ¼¼ Ê Ö ÓÙÖ Ò º Ö ºººµ Ë Ö Ð ¼¼¼¼¼ ÜÔ Ö Ê ØÖÝ ½ ÓÙÖ µ Ò Ø ½¼Ñ ÒÙØ ½¼¼¼ ÓÙÖ ÏÃËdéclare les well known service fournis Systèmes de nommage DNS

104 ÈÌÊpointeur ½ÁÆÈÌÊÖÓÙØ ÙÖ¹½¼º º¼º Ò ÑÔº Öº dans Ò¹ Öº ÖÔ dans nom de domaine, typiquement pour la traduction adresse vers nom ÀÁÆ Çinformations sur le CPU et l OS de la machine Å définit la machine vers qui doit être envoyé le courrier avec un ordre de priorité décroissant (0 en premier) Ì Ìde l information textuelle quelconque Extensions expérimentales dans RFC 1183 : DCE, nom du responsable, X25, ISDN (Numéris) RFC 1664 : X400 Systèmes de nommage DNS

105 RFC 1035 section 5 Utile pour lire le contenu des caches Sert à définir une zone dans BIND Orienté ligne mais µpermet d écrire un enregistrement sur plusieurs lignes commentaire représente l origine courante de la zone. Utilisée dans ÇÊÁ ÁÆ ÓÑ Ò¹Ò Ñ les noms relatifs (ne terminant pas par «º») répertoire courant («º») dans un système de fichiers ÓÑÑ ÒØ change l origine courante de la zone sous Unix Systèmes de nommage DNS

106 ÁÆ ÄÍ Ð ¹Ò Ñ ÓÑ Ò¹Ò Ñ ÓÑÑ ÒØ inclut un fichier et définit son (et seulement son) origine courante Systèmes de nommage DNS

107 ÓÑ Ò¹Ò Ñ Un Ð Ò ÖÖ ÖÖ ÓÑÑ ÒØ enregistrement a la forme ÓÑÑ ÒØ pour ajouter l enregistrement au ÌÌÄ Ð ØÝÔ nom de domaine précédent Ê Ì ÖÖont la forme Ð ÌÌÄ ØÝÔ Ê Ì LesÌÌÄetÐ manquants prennent les mêmes valeurs que celles des enregistrements précédents Certains enregistrements peuvent avoir plusieurs valeurs Systèmes de nommage DNS

108 Exemple de routeurs ou de répartition de charge : plusieurs RR A paramétrable en : Réponse tourniquet (répartit la charge sur plusieurs serveurs) Réponse la plus proche en terme de réseau (diminue la pression réseau) ÌÌÄÌÌÄfixe le TTL par défaut pour les enregistrements suivants Pour le cache (accessible paröò ÙÑÔ ) il faut aussi ÙØ ÙØ ÓÖ ØÝ ËÈÇÇÄºÅÍº Íº ¾ ¹ Æ ÊÊË Ì noter la non existence ¾ ¹ Æ ÊÊË Ì Systèmes de nommage DNS

109 ÙØ Ò Û Ö Systèmes de nommage DNS

110 Fichier de configuration du resolver : ouñ Ò¹ explique à sa machine comment faire les traductions Ñ ÒÖ ÓÐÚºÓÒ (resolver de Sun) Ö ÓÐÚ Ö(resolver BIND) Options Ò Ñ ÖÚ Ö Ö précise le utiliser serveur de nom à ÓÑ ÒÒ Ñ définit le aux noms relatifs nom de domaine local rajouté Ö Ö Ð Ødéfinit une (séparés par des espaces) essayés lors d une résolution de nom relatifs liste de domaines Systèmes de nommage DNS

111 ÓÖØÐ Ø Ö Ð Øtrie les réponses dans l ordre de préférence des numéros de réseaux donnés ÓÔØ ÓÒ ÓÔØ ÓÒÐ Øprécise certaines options fines ÓÔØ ÓÒ Ò ÓØ ¾:recherche des noms sans les considérer comme locaux s ils ont 2 «º»ou plus Si» Ø»Ö ÓÐÚºÓÒ un nom complet local est défini avec la commande Ó ØÒ Ñ, le domaine peut ne pas être précisé dans Ò Ñ ÖÚ Ö½ ¾º º º½¼ Ø ÐÐdansÒ ÐÓÓ ÙÔ Vérifier que la syntaxe est correctement comprise avec un Ò Ñ ÖÚ Ö½ ¾º½¼ º½½ º¾ Ò Ñ ÖÚ Ö½ ¾º º º½ Systèmes de nommage DNS

112 ÓÑ Ò Ò Ø¹ Ö Ø Ò º Ö Ö Ò Ø¹ Ö Ø Ò º Ö Ò Ø ºÓÖ Ò ÑÔº ÖØÖ ºÓÖ On peut prendre en compte un fichier d alias de noms en initialisant la variable d environnementàçëì ÄÁ Ë Ëàce nom de fichier Systèmes de nommage DNS

113 Précise l utilisation des systèmes de nommage par ressource ÓÑÔ Ø,Ü Ò Ñ ÒÒ Û Ø ºÓÒ Exemple Ressources Ð, ÙØÓÑÓÙÒØ,..., Ó Ø,... Systèmes de nommages : Ð,Ò,Ò ÔÐÙ, Ò, Ó Ø Ü Ò Ò Ò ÆÇÌ ÇÍÆ Ö ØÙÖÒ Ð Systèmes de nommage DNS

114 Resolver standard : Bibliothèque lié avec processus utilisateur Nouveaux protocoles (chaînes de bits et DNAME IPv6, DNSSEC,...) Devient trop complexe et trop lourd Idée avoir un processus indépendant qui factorise le travail de résolution Accessible par bibliothèque simplifiée (light-weight resolver) par UDP port 921 surðó Ð Ó Ø(résout problèmes d insécurité) Travail effectué par processus démonðûö configuré via» Ø»ÐÛÖ ºÓÒ ou BIND avec directiveðûö Systèmes de nommage DNS

115 Nécessité d avoir des outils de mise au point Besoin d interroger directement un DNS Court-circuite la résolution classique par le système d exploitation (NIS,» Ø» Ó Ø,» Ø»Ö ÓÐÚºÓÒ ) Possibilité de demander toute une zone Permet de simuler des requêtes inter-dns Peut passer outre les dépassements de temps de réponse Systèmes de nommage DNS

116 Ñ Ò Programme maintenu par l équipe de BIND... donc à préférer ÖÚ Ö ¹ ÕÙ ÖÝ¹ Ð ¹ Ý¹ Ð ¹Ý ignore Ö ou ÓÑ Ò Interroge par défaut les serveurs de nom de Ò Ñ» Ø»Ö ÓÐÚºÓÒ mais ÕÙ ÖÝ¹ÓÔØ ÓÒ ¹ ¹ÓÔØ ÓÒ Ý ¹ ¹Ü ÓÑ Ò ÕÙ ÖÝ¹ØÝÔ ÕÙ ÖÝ¹ØÝÔ : ÒÝ,,,ÑÜ, Ü Ö(transfert par¹øõù ÖÝ¹ØÝÔ de zone), Ü Ö Æ(transfert de zone incrémentale depuis le n de sérieæ),... Peut aussi être précisé ¹Üdevant une adresse demande automatiquement la requête inverse dans Ò¹ Öº ÖÔ et PTR ou Systèmes de nommage DNS

117 Ô º ÒØ Ô º ÖÔ > Rajouter¹ pour vieilles requêtes IPv6 dans Plein d options ÒÓ ØÔ:utilise TCP au lieu d UDP ÓÑ Ò ÓÑ Ò Ñ : Ö ÓÐÚºÓÒ utilise ÒÓ Ö :utilise la un domaine par défaut liste de domaines de ÒÓ Ð :positionne le bit CD (checking disabled) pour éviter les vérifications DNSSEC ÒÓ Ö ÙÖ : positionne le bit RD (recursion desired) demandant au serveur la recherche récursive Systèmes de nommage DNS

118 ÒÓ Ò Ö :affiche le SOA du domaine selon tous les serveurs DNS du domaine ÒÓ ØÖ :trace récursivement la requête depuis les serveurs racines ÒÓ ÓÖØ:moins verbeux ÒÓ Ò :demande à utiliser DNSSEC key-file contient une clé pour DNSSEC name :key idem en ligne de commande carô peut Ò ºÔÖ Ò ØÓÒº ÙÖ º Ò ÑÔº Ö ÒÝ ÒÓÖ ÙÖ l afficher... Plein d autres options... ¾º¼º º½¾ º Ò¹ Öº ÖÔ Notation¹Ü½¾ º º¼º ¾àla place de Systèmes de nommage DNS

119 Ò ¹Ö º Ò ÑÔº Ö Ò Ø ºÓÖ Ü Ö...si autorisé! ¹¹ ÐÔet ¹ plus complet Pour avoir le contenu d une zone : Possible de mettre des options dans son ßÀÇÅ Ð»º Ö Systèmes de nommage DNS

120 BIND est le gestionnaire de DNS le plus connu et probablement un des plus complets Fonctionne sur Unix et Windows 2000 DNS Dynamic Updates RFC 2136 DNS Change Notification RFC 1996 Nouvelle syntaxe des fichiers de configuration avec la version 8/9 par rapport à la version 4 et : Système de log flexible par catégories Listes d accès par adresse IP sur les requêtes, transferts de zones et mises à jours pour chaque zone Transferts de zones plus efficaces Systèmes de nommage DNS

121 Meilleures performances pour les serveurs gérant des milliers de zones Sécurité Parallélisé pour multi-processeurs Plein de bugs corrigés... Systèmes de nommage DNS

122 Possibilité ÓÒØÖ»Ò Ñ ¹ ÓÓØÓÒ»Ò Ñ ¹ ÓÓØÓÒ º de convertir un fichier de configuration version 4.9.x en version 8/9 via Nombreux outils d aide à génération de fichiers de zone Systèmes de nommage DNS

123 Connexions à distance (ssh, ftp...) Système d impression (BSD, CUPS...) Systèmes de nommage Service DNS pour la résolution des noms Système de nommage NIS Partage de fichiers en réseau avec NFS Auto-montage Archivage des données tar, cpio, pax, mt... Archivage en réseau avec rsync, partimage AMANDA Systèmes de nommage DNS

124 Si pas déjà installé... Un Ò ¹ÁÒØ ÖÒ Ø ÓÑ ÒÆ Ñ Ë ÖÚ Ö ÙØÓ Ò ¹ Ô¹ ÙØÓÑ Ø ÆËÙÔ Ø ÓÖ À È extrait de ce qui est en rapport avec Ò : ÔØ¹ Ö Ò donne Ò ¹ Ó¹ ÓÙÑ ÒØ Ø ÓÒ ÓÖ ÁÆ entre autres : Ò ¹ Ó Ø¹Î Ö ÓÒÓ ³ Ó Ø³ ÙÒ Ð Û Ø ÁÆ º Ð ÒØ¹ Ò ÞÓÒ Ò ÓÖÑ Ø ÓÒÙ Ò Ò Ñ ÖÚ ÖÐÓÓ ÙÔ Ô¹ Ò ¹ ÝÒ Ñ ÆËÙÔ Ø ÓÖ À È Ò Ñ Õ¹ Ò ÆË ÓÖÛ Ö Öº Ò ÙØ Ð ¹ Ð ÒØ ÔÖÓÚ Û Ø ÁÆ Ð Ô¾ Ò ¹Ä È ÆËÑ Ò Ñ ÒØ Ý Ø Ñº Ó Ø¹ÍØ Ð ØÝ ÓÖÉÙ ÖÝ Ò ÆËË ÖÚ Ö Ð Ò ¹ÓÒ Ô Ö Ö¹Ô ÖÐ¹È Ö ÖÐ ÓÖ ÁÆ ÓÒ ÙÖ Ø ÓÒ Ð Ò ¹ Ú¹ËØ Ø Ä Ö Ö Ò À Ö Ù Ý ÁÆ Systèmes de nommage DNS

125 ÐÛÖ ¹Ä ØÛ ØÊ ÓÐÚ Ö ÑÓÒ Ð ÐÛÖ ½¹Ä ØÛ ØÊ ÓÐÚ ÖÄ Ö ÖÝÙ Ý ÁÆ Ò Ð ÒØ¹Ä ÒØ ÓÖ ÆË Ð ÒØ Ö ØÝ Ê Ò È Ä Ø ººº ÓÒ Ñ ½» ÔØ¹ Ø Ò Ø ÐÐ Ò Ò ¹ Ó Ò ¹ Ó Ø Ò ÙØ Ð Une installation : ËÓÖÖÝ Ò ¹ Ó Ø ÐÖ ÝØ Ò Û ØÚ Ö ÓÒº Ù Ð Ò Ô Ò ÒÝÌÖ ººº ÓÒ Ì ÓÐÐÓÛ Ò Æ ÏÔ Û ÐÐ Ò Ø ÐÐ ËÓÖÖÝ Ò ÙØ Ð ÐÖ ÝØ Ò Û ØÚ Ö ÓÒº ¼Ô ÙÔ Ö ¾Ò ÛÐÝ Ò Ø ÐÐ ¼ØÓÖ ÑÓÚ Ò ½¼ Ò Ò ¹ Ó Æ ØÓ Ø¼» Ó Ö Ú º Ø ÖÙÒÔ Ò Û ÐÐ ÒÓØ Ê Ò Ø ººº ¼ ¾ Ð Ò Ö ØÓÖ ÙÖÖ ÒØÐÝ Ò Ø Ë Ð Ø Ò ÔÖ Ú ÓÙ ÐÝ Ð Ø Ô Ò º Systèmes de nommage DNS

126 Ë Ð Ø Ò ÔÖ Ú ÓÙ ÐÝ Ð Ø Ô Ò ¹ Óº ÍÒÔ Ò Ò ÖÓÑººº»» Ò» Ò º¾º½¹ º µººº Ë ØØ Ò ÙÔ Ò º¾º½¹ µººº ÍÒÔ Ò Ò ¹ Ó ÖÓÑººº» Ò ¹ Ó º¾º½¹ ÐÐº µººº ËØ ÖØ Ò ÓÑ ÒÒ Ñ ÖÚ Ò Ñ º Ñ ½» Ô Ù ÜÛÛ Ö ÔÒ Ñ Ë ØØ Ò ÙÔ Ò ¹ Ó º¾º½¹ µººº ½ ½ ¾ ½ ½ ½ ½ ½ ½ ½ ½ ¼º ½¼½ ¾½ ¾ Ë ÖÓÓØ ½ ¾¼¾ ¼º¼ ¼º¼ ½ ¾ ¾ ÔØ»¼ Ê ½ ¼ ¼ ¼¼» ¼ ¼¼ Une trace dans les messages systèmes Systèmes de nommage DNS

127 ½ ¼ ½ Ñ ½Ò Ñ ½ ½ ¾ Ø ÖØ Ò ÁÆ º¾º½ ½ ¼ ½ Ñ ½Ò Ñ ½ ½ ¾ Ù Ò ½ ÈÍ»Ú Ö»ÐÓ» Ý ÐÓ : ½ ¼ ½ Ñ ½Ò Ñ ½ ½ ÐÓ Ò ÓÒ ÙÖ Ø ÓÒ ÖÓÑ³» ½ ¼ ½ Ñ ½Ò Ñ ½ ½ Ð Ø Ò Ò ÓÒÁÈÚ ÒØ Ö Ð ½ ¼ ½ Ñ ½Ò Ñ ½ ½ Ð Ø Ò Ò ÓÒÁÈÚ ÒØ Ö ½ ¼ ½ Ñ ½Ò Ñ ½ ½ ÓÑÑ Ò ÒÒ ÐÐ Ø Ò Ò ÓÒ ½ ¼ ½ Ñ ½Ò Ñ ½ ½ ÞÓÒ ¼º Ò¹ Öº ÖÔ»ÁÆ ÐÓ ½ ¼ ½ Ñ ½Ò Ñ ½ ½ ÞÓÒ ½¾ º Ò¹ Öº ÖÔ»ÁÆ ÐÓ ½ ¼ ½ Ñ ½Ò Ñ ½ ½ ÞÓÒ ¾ º Ò¹ Öº ÖÔ»ÁÆ ÐÓ ½ ¼ ½ Ñ ½Ò Ñ ½ ½ ÞÓÒ ÐÓ Ð Ó Ø»ÁÆ ÐÓ Ö ½ ¼ ½ Ñ ½Ò Ñ ½ ½ ÖÙÒÒ Ò Ça marche! Systèmes de nommage DNS

128 » ÑÔÐ ÁÆ ÓÒ ÙÖ Ø ÓÒ»» ÓÑÑ ÒØ Ö» ÓÑÑ ÒØ ÖÖ»» ÓÑÑ ÒØØ Ö ÓÔØ ÓÒ ß Ö ØÓÖÝ»Ú Ö»Ò Ñ Ð ÐÓ Ò ß Ø ÓÖÝÐ Ñ ¹ ÖÚ Ö ßÒÙÐÐ Ð Ð Ø ÓÖÝÒ Ñ ßÒÙÐÐ Ð ÞÓÒ ºÓÖ Òß Systèmes de nommage DNS

129 ØÝÔ Ñ Ø Ö»»Ä Ö Ö Ö Ò Ð Ð Ñ Ø Ö» ºÓÖ ÞÓÒ Ú ÜºÓÑ Òß ØÝÔ Ð Ú Ð Ð Ú»Ú ÜºÓÑ»»Ä Ö ÙÚ Ö Ð Ñ Ø Ö ß½¼º¼º¼º Ð ÞÓÒ º Òß ØÝÔ ÒØ»»Ä Ö Ò ÒØÐ Ö Ò Ð Ð Ò Ñ º Systèmes de nommage DNS

130 ÞÓÒ ¼º¼º½¾ º Ò¹ Öº ÖÔ Òß ØÝÔ Ñ Ø Ö Ð Ð Ñ Ø Ö»½¾ º¼º¼ Systèmes de nommage DNS

131 Partage de fichiers en réseau par machines hétérogènes de fichiers ou de hiérarchies Aide à rendre les machines uniformes par centralisation de l information Protocole portable (Unix, Windows, VMS,...) Devices non partageables Exportation contrôlée des ressources sur la base d une hiérarchie et d un groupe de machine Les hiérarchies exportées ne peuvent pas se recouvrir Sous Unix exportation d un système de fichier ou d une partie Version Partage de fichiers avec NFS

132 2 : Version la plus commune 3 : À partir de Solaris 2.5, nécessite clients et serveurs V3 Autorise les écritures asynchrones sur disque (ne bloque pas le client) Macro-requêtes pour diminuer le traffic Vérification des droits améliorés Dépasse 8 Ko/paquets Support des ACL NFS au dessus de TCP en plus d UDP (pas spécifique version 3) Gestion des gros fichiers (plus de 2 Go) Partage de fichiers avec NFS

133 Utilisation dynamique de plusieurs serveurs en cas de panne sur des systèmes de fichier en lecture seule (»Ù Ö»ÐÓ Ð,...) WebNFS RFC RFC 2225 : meilleur débit que HTTP, pas de sur-coût à la FTP Sécurité Kerberos V5 et RPCSEC_GSS (API) Arrivé dans Linux récents NFS v4 Tolérance aux pannes Modèle de sécurité orienté utilisateur et pas que machine Partage de fichiers avec NFS

134 ÜÔÓÖØ ¹ÓÓÔØ ÓÒ Ñ Ò À la main avec QuelquesÓÔØ ÓÒ Ø ÒÓ Ù Empêche la création de programme ØÙ et ÖÓExporte en lecture seulement à une liste de machine ou à ÖÓÓØ tout l univers ÒÓ ÖÓÓØ ÕÙ Les machines spécifiées ont les droits de ÖÓÓØ ÕÙ Les machines spécifiées auront les fichiers àöóóøcomme appartenant à utilisateur anonyme Partage de fichiers avec NFS

135 ÐÐ ÕÙ Tout les fichiers sont vu comme appartenant à 1 utilisateur ÖÛExporte en lecture et écriture à une liste de machine ou à tout l univers Ð Ø ¹Ñ Ò consiste en des noms de machine, desò Ø ÖÓÙÔ, des suffixe DNS (à condition d avoir Ò en tête de Ó Ø dans» Ø»Ò Û Ø ºÓÒ, des (sous-)réseaux. «¹» est utilisé comme privatif dans les accès fichier» Ø» ÜÔÓÖØ Automatiquement au démarrage en mettant les lignes précédentes»ôöó Ø dans le ÔÖÓ ºÐÓ Ðº ÓÑ Ò ÖÛµ» Ñ Ø Ö ÖÛµØÖÙ ØÝ ÖÛ ÒÓ ÖÓÓØ ÕÙ µ Partage de fichiers avec NFS

136 » ÓÑ» Ó»Ù Ö Ô¼¼½ ÖÛ ÐÐ ÕÙ ÒÓÒÙ ½ ¼ ÒÓÒ ½¼¼µ ºÐÓ Ðº ÓÑ Ò ÖÓµØÖÙ Ø ÖÛµ»ÔÙ ÖÓ ÐÐ ÕÙ µ avec ÜÔÓÖØ ¹ Prise» Ø» Ò Øº»Ò º ÖÚ Ö Ø ÖØ en compte des modifications Vérifier que le serveur NFS est lancé avec» Ø» ÜÔÓÖØ Normalement lancé au démarrage si existence de Partage de fichiers avec NFS

137 SyntaxeÑÓÙÒØ ¹ØÒ ÓÔØ ÓÒ Ò Ö ÕÙ ¹Ó AvecÑÓÙÒØ¹ØÒ,» Ø» Ø ou ÓÔØ ÓÒ Ô ÕÙ ¹Ç Ö ÓÙÖ l auto-monteur ÑÓÙÒØ ÔÓ ÒØ Ö ÓÙÖ à monter Ó Ø Ô Ø Ò Ñ Une liste de ressources séparées par des virgules : système de tolérance aux pannes (mais en lecture seulement) Quelques options Bloque jusqu à ce que le montage soit fait (défaut) Réessaye en tâche de fond si le montage échoue Partage de fichiers avec NFS

138 Ö Réessaye l entrée-sortie jusqu à ce que le serveur réponde Ó ØRenvoie un code d erreur si le serveur ne répond pas. Si un programme ne teste pas les retours d erreurs... ÒØÖAccepte d interrompre les un accès Ö bloquant en tapant au clavier ÒÓ ÒØÖLe contraire ÖÓMonte en lecture seule ÖÛMonte en lecture/écriture Ù Autorise l exécution de programmes en ØÙ. Comportement par défaut... Partage de fichiers avec NFS

139 ÖÚ Ö»Ù Ö»ÐÓ Ð»ÔÙ dans» Ø» Ø ÒÓ Ù L inverse»ôù Ò Ù ØÔ ÖÛ Ö ÒØÖ Montage automatique si Ò Ø Øpermet d avoir diverses statistiques sur le fonctionnement de NFS en fonction des options ÓÛÑÓÙÒØpermet d avoir à distance informations sur les clients ou les partitions exportées d un serveur donné Partage de fichiers avec NFS

140 Connexions à distance (ssh, ftp...) Système d impression (BSD, CUPS...) Systèmes de nommage Service DNS pour la résolution des noms Système de nommage NIS Partage de fichiers en réseau avec NFS Auto-montage Archivage des données tar, cpio, pax, mt... Archivage en réseau avec rsync, partimage AMANDA Partage de fichiers avec NFS

141 Trop de montages saturent le système Montage et démontage à la demande à partir de tables centralisées Tout ne peut pas être connu dès le départ Uniformisation des machines Éviter de devoir êtreöóóøpour monter des répertoires»ò Ø»Ñ Ò» Ö (distants) Généralisation de l espace de nommage Permet facilement stockage distribué au plus près des utilisateurs en utilisant les To de disque sur chaque machine au lieu de SAN/NAS goulets d étranglement et hors de prix Auto-montage

142 Changement de tous les montages de toutes les machines de manière centralisée AutoFS de Solaris : probablement l automonteur d Unix le plus avancé Sous Linux, Ñ de BSD et ÙØÓ imitation AutoFS Solaris Auto-montage

Montrer encore