Intranet Rappels Infra Mail NFS... Linux Intranet. Guillaume Allègre Guillaume.Allegre@silecs.info. Grenoble INP Formation Continue INP-FC 2009

Intranet Rappels Infra Mail NFS... Linux Intranet Guillaume Allègre Guillaume.Allegre@silecs.info Grenoble INP Formation Continue INP-FC 2009

Intranet Rappels Infra Mail NFS... Plan 1. Rappels : conguration et diagnostic réseau 2. Infrastructure : DHCP, DNS, NTP 3. Partages Unix : NFS, NIS, CUPS 4. Serveurs de mail : Postx, Dovecot... 5. L'annuaire LDAP (J-L Parouty) 6. Samba : réseaux hétérogènes (J-L Parouty) 7. LAMP : Linux + Apache + MySQL + PHP 8. Sauvegardes et supervision réseau 9. Panorama des outils de virtualisation (J. Bobbio)

Intranet Rappels Infra Mail NFS... Recul Un peu de recul...

Intranet Rappels Infra Mail NFS... Recul Le réseau : un peu de recul... 1. Le réseau pour les ingénieurs réseau conguration de l'infrastructure prise de contrôle à distance (ssh) sauvegardes, réplication supervision et sécurité 2. Le réseau pour les utilisateurs serveur d'applications (X11, ssh -X) des ressources partagées : stockage, périphériques le web / intranet : des applications client léger le Web / Internet

Intranet Rappels Infra Mail NFS... Recul Partages de ressources 1. d'unix à Unix Network File System : système de chiers distribué adossé à NIS : gestion centralisée de l'authentication imprimantes : CUPS / IPP 2. Samba : interconnexion Unix-Windows 3. Et encore... partage de chiers partage d'imprimantes (et autres ressources) authentication LAMP et applications web WebDAV (sur http) Subversion : gestion des révisions...

Intranet Rappels Infra Mail NFS... Conguration Diagnostic Conguration et administration du réseau

Intranet Rappels Infra Mail NFS... Conguration Diagnostic Architecture TCP/IP Un modèle par couches Ethernet réseau local Ethernet-MAC IP l'adressage Internet TCP le transport HTTP TCP IP (ex : 192.168.1.1) MAC (ex: 00:90:F5:28:99:1C)

Intranet Rappels Infra Mail NFS... Conguration Diagnostic TCP / UDP TCP (Transport Control Protocol) orienté connexion paquets ordonnés, type conversation (stream) abilisé : contrôle & correction d'erreur plutôt lent le plus utilisé par les services usuels UDP (User Datagram Protocol) paquets indépendants plus réactif et rapide utilisé par NFS et Netbios (SMB)

Intranet Rappels Infra Mail NFS... Conguration Diagnostic Premières commandes ifcong lo (interface virtuelle boucle locale) eth0 (première interface ethernet) l'adresse MAC : 6 octets HWaddr : 00 :90 :F5 :28 :99 :1C Propre à la carte réseau l'adresse IP : 4 octets, 32 bits inet addr : 192.168.1.1 IPv4 & IPv6 IPv6 n'est pas compatible IPv4, donc ici IP=IPv4.

Intranet Rappels Infra Mail NFS... Conguration Diagnostic Routage, réseau et sous-réseaux Cheminement d'un message Un paquet IP est une partie de message TCP (ou UDP, etc.) Dans chaque paquet, 2 adresses IP : source et destination Anatomie d'une adresse IP 192.168.0 } {{ } réseau 172.116. 1 }{{} hôte } {{ }. }{{} 0.10 (classe B) réseau hôte Adresse, masque de réseau, broadcast. (classe C) réseau local Notation CIDR (Classless Inter Domain Routing) 192.168.0.1/24 24 bits réseau + 8 bits hôte ipcalc : la calculatrice réseaux

Intranet Rappels Infra Mail NFS... Conguration Diagnostic Routage : en pratique Table de routage Décrit les chemins possibles. route -n réseau local adresse par défaut (destination 0.0.0.0) La passerelle (Gateway, Gw) Pour sortir du réseau local, la passerelle interconnecte des réseaux. Souvent X.Y.Z.254

Intranet Rappels Infra Mail NFS... Conguration Diagnostic Modier le routage route del default Quel impact? route add default gw <ip> où <ip> est l'ip de la passerelle Revient à la situation initiale Les routeurs : Machines spécialisées avec tables de routage complexes Suivre une route /usr/sbin/traceroute (-I -T ) 91.121.14.67 mtr (-t -g) 91.121.14.67

Intranet Rappels Infra Mail NFS... Conguration Diagnostic Cong réseau - Debian Cong manuelle ifconfig eth0 172.16.0.111 netmask 255.255.255.0 broadcast 172.16.0.255 route add default gateway 172.16.0.1 Cong Debian Dans /etc/network/interfaces : iface eth0 inet static address 192.168.0.11 netmask 255.255.255.0 broadcast 192.168.0.255 gateway 192.168.0.254 ifdown eth0 ifup eth0

Intranet Rappels Infra Mail NFS... Conguration Diagnostic Cong réseau - RedHat Cong manuelle ifconfig eth0 172.16.0.111 netmask 255.255.255.0 broadcast 172.16.0.255 route add default gateway 172.16.0.1 Cong RedHat Dans /etc/sysconfig/network-scripts/ifcfg-eth0 : DEVICE=eth0 ONBOOT=yes BOOTPROTO=none NETMASK=255.255.255.0 GATEWAY=172.16.0.1 TYPE=Ethernet IPADDR=172.16.0.111 ifdown eth0 ifup eth0

Intranet Rappels Infra Mail NFS... Conguration Diagnostic Résolution de noms (DNS) /etc/hosts Établit des correspondances nom d'hôte adresse IP Domaine Name Server (DNS) Permet une équivalence entre nom et adresse IP. Ex : coriolan.silecs.info 82.233.121.16 Fonctionnement par arborescence de serveurs Dans chaque serveur : cache pour minimiser les requêtes Un authoritative serveur fait autorité pour un TLD Exemples de TLD.com.org.edu....fr.uk.tv....info.name.museum...

Intranet Rappels Infra Mail NFS... Conguration Diagnostic Fonctionnement du DNS Modèle client-serveur Côté serveur BIND9 très majoritaire Côté client Bibliothèque partagée resolver dans la glibc Conguration via /etc/resolv.conf serveurs à interroger (nameserver) domaine de recherche par défaut (search) /etc/hosts est prioritaire sur DNS. Pour aner les priorités : /etc/nsswitch.conf

Intranet Rappels Infra Mail NFS... Conguration Diagnostic Clients DNS Client léger : nslookup Clients complets : dig (dnsutils) host (host) Sans oublier... ping (/etc/hosts puis DNS)

Intranet Rappels Infra Mail NFS... Conguration Diagnostic DHCP Obtenir automatiquement les paramètres réseau DHCP : client/serveur pour adresse IP routage (passerelle) DNS (facultatif) Côté client dhclient [interface] ou pump -i eth0 Côté serveur Le parc d'adresses est limité = notion de lease (bail) Contrôle des attributions lier une certaine IP à une adresse MAC autoriser uniquement certaines adresses MAC

Intranet Rappels Infra Mail NFS... Conguration Diagnostic Pérenniser la conguration réseau - RedHat Sous RedHat Conguration dans /etc/sysconfig/network-scripts/ifcfg-ethn Au démarrage Dans /etc/rc?.d/ lien vers /etc/init.d/network Autres outils RedHat ifup et ifdown s'appuient sur /etc/sysconfig/network-scripts/* Active ou désactive une interface réseau

Intranet Rappels Infra Mail NFS... Conguration Diagnostic Pérenniser la conguration réseau - Debian Sous Debian Conguration dans /etc/network/interfaces Au démarrage Dans /etc/rc?.d/ lien vers /etc/init.d/networking Autres outils ifup et ifdown s'appuient sur /etc/network/interfaces Active ou désactive une interface réseau

Intranet Rappels Infra Mail NFS... Conguration Diagnostic Services et ports Service Programme côté serveur dans une relation client/serveur Attaché à un couple port/protocole Illustration : /etc/services Liste informative des services communs Ports désigné par un numéro < 65536 attaché à un protocole TCP ou UDP 43/TCP!= 43/UDP les ports inférieurs à 1024 sont d'accès restreint

Intranet Rappels Infra Mail NFS... Conguration Diagnostic inetd : le super-démon Mode d'exécution d'un service démon : lancé indépendamment (/etc/init.d/... ) inetd : lancé à la demande par le super-démon inetd Exemple : telnet Installer telnet et telnetd netstat -a -tu -ep avec et sans connexion telnet conguration dans /etc/inetd.conf Désinstaller telnetd! Alternative : xinetd xinetd remplace fréquemment inetd.

Intranet Rappels Infra Mail NFS... Conguration Diagnostic tcpwrapper Auxiliaire de inetd Les services inetd sont lancés via tcpwrapper Partiellement redondant avec xinetd Son rôle : sécurisation Contrôle des autorisations Conguration : /etc/hosts.allow /etc/hosts.deny in.telnetd :ALL Pour aller plus loin man hosts_access et man tcpd Souvent inutilisé, mais cause de bloquages imprévus

Intranet Rappels Infra Mail NFS... Conguration Diagnostic Sécurité et diagnostic

Intranet Rappels Infra Mail NFS... Conguration Diagnostic Diagnostic des protocoles texte Texte clair : telnet <hote> <port> $ telnet cressida 80 Connected to cressida.localnet. Escape character is '^]'. GET / <html><body><h1>it works!</h1></body></html> Connection closed by foreign host. Texte sur SSL/TLS : openssl s_client $ openssl s_client -connect cressida:443 CONNECTED(00000003) depth=0 /CN=cressida.localnet [...] GET / <html><body><h1>it works!</h1></body></html> closed

Intranet Rappels Infra Mail NFS... Conguration Diagnostic tcpdump & wireshark Outils pour examiner les données en transit tcpdump Interception simple en mode texte wireshark Interception avancée en mode graphique Filtrage à l'acquisition Filtrage à l'achage tshark : équivalents en mode texte Exemples Requêtes DNS, connexion web, etc.des dangers de la promiscuité... Une carte ethernet peut passer en mode promiscuous elle examine alors tous les paquets de son réseau physique Exemple : tcpdump dst net 192.168.0.123 espionne cette IP

Intranet Rappels Infra Mail NFS... Conguration Diagnostic nmap : un scanner de ports Utilisation local : idem netstat + unhide-tcp diagnostic nmap -sp <network> : émule un ping Broadcast attaque réseau nmap -st <host> : trouver les ports TCP ouverts sur host attaque réseau nmap -ss <host> : idem, mais plus discret Remarques Certaines options (-ss) nécessitent d'être root Attention, pas de geste déplacé!

Intranet Rappels Infra Mail NFS... DHCP DNS NTP DHCP : conguration réseau automatique

Intranet Rappels Infra Mail NFS... DHCP DNS NTP Dynamic Host Conguration Protocol Idée : permettre la conguration automatique du réseau Adresse IP et masque (au minimum) Route et passerelle Serveurs DNS Serveur WINS (Windows) Proxy web... Trois méthodes d'allocation IP (compatibles) dynamique : adresse tirée d'un réservoir indiérencié automatique : idem + table des aectations (pérennité) statique : IP liée à l'adresse MAC Bail DHCP (lease) : 1 heure à 7 jours...

Intranet Rappels Infra Mail NFS... DHCP DNS NTP Négociation DHCP Technique RFC 1531 (1993) puis 2131-2132 (1997) + extensions protocole client/serveur ; UDP ports 67-68 successeur de BOOTP Phase initiale 1. DHCP Discovery : client -> serveur (broadcast IP/eth) 2. DHCP Oer : serveurs -> client (unicast) ore l'ip et le masque 3. DHCP Request : client -> serveur (broadcast IP/eth) 4. DHCP Acknowledgment : serveur -> client conrme l'ip, le masque et le complément (bail, DNS...) Compléments (unicast) DCHP Information : client -> serveur (bail initial) DHCP Releasing : optionnel...

Intranet Rappels Infra Mail NFS... DHCP DNS NTP En pratique Implémentation de référence : ISC (Internet Software Consortium) Client : dhclient (dhcp3-client) Serveur : dhcpd (dhcp3-server) Utilitaires complémentaires dhcping -s serveur : diagnostic dhcp-probe : surveillance (démon)

Intranet Rappels Infra Mail NFS... DHCP DNS NTP DNS : serveur de noms

Intranet Rappels Infra Mail NFS... DHCP DNS NTP DNS : les serveurs de noms de domaine Un besoin global transformer 64.233.183.147 en www.google.com RFC : depuis 1983... passage à l'échelle Les principes 13 serveurs root dans le monde Principaux TLD (Top Level Domains) : historiques :.edu,.com,.org,.net,.gov,.mil +.arpa nationaux :.us,.uk,.fr,....to,.tv puis :.int,.eu,.asia,.aero,.museum,.info,.name... un système pyramidal (ou arborescent) un système de cache global

Intranet Rappels Infra Mail NFS... DHCP DNS NTP DNS : les implémentations un standard de longue date RFC 881-883 (1983) : les prémisses RFC 1033-1035 (1987) : le standard de base... 114 RFC concernant le DNS : http://www.dns.net/dnsrd/rfc/ RFC 5155 (fév. 2008) DNS Security (DNSSEC) Hashed Authenticated Denial of Existence Les implémentations Le serveur dominant ISC : bind (paquets bind et bind9) Alternatives : dnsmasq (DHCP+DNS), djbdns Côté client : libc6 + /etc/nsswitch.conf

Intranet Rappels Infra Mail NFS... DHCP DNS NTP Bind : conguration des logs 1. Paquets bind9, bind9-doc, dnsutils conguration : /etc/bind/* démon : named (port 53...) 2. congurer le chier de log et observer... dans /etc/bind/named.conf http://www.zytrax.com/books/dns/ch7/logging.html Vérication : named-checkconf Mise en pratique...

Intranet Rappels Infra Mail NFS... DHCP DNS NTP Bind : conguration des logs - avec SYSLOG logging{ channel mes_logs { syslog local2; severity warning; print-time no; print-severity yes; print-category yes; }; category default{ mes_logs; }; };

Intranet Rappels Infra Mail NFS... DHCP DNS NTP Bind : serveur cache (proxy) 1. installer un forwarder dans named.conf.options 2. Examiner le cache... rndc dumpdb = /var/cache/bind/named.dump.db

Intranet Rappels Infra Mail NFS... DHCP DNS NTP Bind : serveur de zone locale Résolution directe www.debian.org/doc/manuals/network-administrator/ ch-bind.html Principaux enregistrements à renseigner (RR = Resource Records) SOA : début de zone (Start Of Authority) A : adresse IPv4 (résolution directe) AAAA : adresse IPv6 CNAME : nom canonique (pour un alias) NS : serveur de nom primaire (pour une zone) MX : serveur de mail (Mail exchanger) HINFO, SPF,... (cf RFC 1035) Vérication : named-checkzone Résolution inverse PTR : nom canonique (pour une adresse IPv4)

Intranet Rappels Infra Mail NFS... DHCP DNS NTP DNS : pour aller plus loin allow-update (synchronisation DHCP) délégation de zone des RR nouveaux ou exotiques : LOC, SRV... DNSSEC : DNS Security Extension (RFC 2535) alternatives à BIND dnsmasq : serveur léger DHCP + DNS dual-dhcp-dns : serveur très léger djbdns : un démon et une suite d'outils

Intranet Rappels Infra Mail NFS... DHCP DNS NTP NTP : serveur de temps

Intranet Rappels Infra Mail NFS... DHCP DNS NTP Network Time Protocol Idée : une référence de temps distribuée horloge précise (p/r temps universel) : 10 ms horloge uniforme sur le réseau local : 0.2 ms Implémentation Protocole UDP, port 123 Démon en espace utilisateur (ntpd) + Fonctionnalité noyau : PLL

Intranet Rappels Infra Mail NFS... DHCP DNS NTP NTP en pratique 3 paquets : ntpdate, ntp, ntp-doc ntpdate <serveur> : synchronisation isolée ntp client : synchronisation continue sur un serveur de temps /etc/ntp.conf (+ /etc/default/ntp) ntp serveur : 2 modes push : broadcast des mises à jour pull : autorisation d'accès

Intranet Rappels Infra Mail NFS... Gestion du mail Postx IMAP Dovecot Serveur de mail

Intranet Rappels Infra Mail NFS... Gestion du mail Postx IMAP Dovecot Routage du mail À l'origine d'internet MUA (Mail User Agent) : client mail ex. Mutt, Thunderbird, Evolution... MTA (Mail Transfer Agent) : serveur de mail ex. Sendmail, Postx, Exim... SMTP (Simple Mail Transfer Protocol), RFC 821 (1982) = livraison locale (local delivery), mode push Apparition des connexions intermittentes MSA (Message Submission Agent, RFC 4409) ltre entre les MUA et le MTA MDA (Mail Delivery Agent) : procmail, postx-local... protocoles dédiés : POP3 (pull), IMAP (push/pull) MRA (Mail Retrieval Agent) : fetchmail, getmail...

Intranet Rappels Infra Mail NFS... Gestion du mail Postx IMAP Dovecot Envoi d'un message - 1 Composition d'un message Enveloppe (RFC 2821, SMTP) Contenu (RFC 2822, Internet Message Format) en-tête (header) ++ corps (body) optionnel Le protocole SMTP - très simplié (RFC 2821) 1. HELO <identication de l'hôte local> (ou EHLO) 2. MAIL FROM : <adresse expéditeur> 3. RCPT TO : <adresse destinataire> 4. DATA 5. QUIT

Intranet Rappels Infra Mail NFS... Gestion du mail Postx IMAP Dovecot Envoi d'un message - 2 Principaux champs d'en-tête (RFC 2822) Date <Wed, 23 Apr 2008 12 :34 :56 +0200> Origine : From, Sender, Reply-to Destination : To, Cc, Bcc Identication : Message-ID, In-Reply-To, References Information : Subject, Comments, Keywords Resent-... : Date, From, Sender, To, Cc, Bcc, Message-ID Trace : Return-Path, Received ; contenu déni dans RFC 2821 Extensions : X-Cequejeveux Mise en pratique avec telnet telnet <smtp-server> 25

Intranet Rappels Infra Mail NFS... Gestion du mail Postx IMAP Dovecot Envoi par telnet - exemple 1/2 $ telnet smtp.free.fr 25 Trying 212.27.48.4... Connected to smtp.free.fr. Escape character is '^]'. 220 smtp5-g21.free.fr ESMTP Postfix HELO maison.chezmoi 250 smtp5-g21.free.fr MAIL FROM: <allegre.guillaume@free.fr> 250 2.1.0 Ok RCPT TO: <guillaume.allegre@silecs.info> 250 2.1.5 Ok

Intranet Rappels Infra Mail NFS... Gestion du mail Postx IMAP Dovecot Envoi par telnet - exemple 2/2 DATA 354 End data with <CR><LF>.<CR><LF> From: <mickey@mickeyville.us> To: <donald@donaldville.fr> Subject: essai de mail Adresses fantaisistes dans l'entete. Pour tester.. 250 2.0.0 Ok: queued as 5D3EED480BD quit 221 2.0.0 Bye Connection closed by foreign host.

Intranet Rappels Infra Mail NFS... Gestion du mail Postx IMAP Dovecot Note - authentication Une lacune : pas d'authentication dans SMTP de base Solutions apportées : Restrictions sur les IP sources SMTP sur IPsec ou autre tunnel sécurisé/authentié authentication POP/IMAP récente (20 min) pour la même IP SMTP-AUTH : RFC 2554 (1999), RFC 4954 (2007)

Intranet Rappels Infra Mail NFS... Gestion du mail Postx IMAP Dovecot Routage d'un message Adresse : boite@domaine-mail boîte : nom d'utilisateur ou de boîte à lettres domaine-mail : domaine ou éventuellement nom de machine adresse postmaster@domaine-mail obligatoire Dans le DNS : RR Mail exchanger (MX) ex. cuefa.inpg.fr MX cuefa-mx-1.ampere.inpg.fr. host -t MX <domaine-mail> indique serveur et priorité

Intranet Rappels Infra Mail NFS... Gestion du mail Postx IMAP Dovecot Les principaux MTA Principaux MTA libres (fournis par Debian) sendmail : historique, complexe (1 paquet source, 10 paquets binaires) exim4-daemon-light : par défaut (1 paquet source exim4, 12 paquets binaires) postfix : serveur sécurisé, référence (1 paquet source, 8 paquets binaires) qmail-src : recompilation nécessaire (licence) ssmtp : MTA extrêmement simple, utilisation bureau Liste complète : apt-cache search mail-transport-agent

Intranet Rappels Infra Mail NFS... Gestion du mail Postx IMAP Dovecot Postx - Généralités Développé par Wietse Venema, IBM Thomas J. Watson Research Center Licence IBM Public License 1.0, libre mais incompatible GPL Développement continu et suivi 1.0 diusée en juin 1999 2.0 en janvier 2003 2.5.0 23/01 2008, v.2.5.1 16/02, 2.5.2-RC2 11/04 2.6 experimental release Principes généraux architecture très modulaire sécurité : permissions minimales

Intranet Rappels Infra Mail NFS... Gestion du mail Postx IMAP Dovecot Postx - architecture générale Architecture modulaire des services (démons, agents) : sendmail, smtpd, qmgr... des les : maildrop, incoming, active... des bases : access, alias...

Intranet Rappels Infra Mail NFS... Gestion du mail Postx IMAP Dovecot TP - conguration de Postx Conguration de la soumission via un relai (smarthost) par envoi direct (MX...) authentié (SASL) Conguration de la livraison mailbox système mailbox utilisateur déléguée à procmail déléguée à Dovecot-IMAP

Intranet Rappels Infra Mail NFS... Gestion du mail Postx IMAP Dovecot POP et IMAP POP3 (Post Oce Protocol v.3) conçu pour des connexions temporaires (modem RTC) récupération locale + eacement sur le serveur TCP port 110 (port 995 pour POP3S) IMAP (Internet Message Access Protocol) TCP port 143 (port 993 pour IMAPS) IMAP 4 rev.1 : RFC 2060, 3501 (1996, 2003) deux modes d'accès : connecté, déconnecté connexions concurrentes à une même boîte récupération partielle d'un message MIME Multipart gestion des états sur les messages via des ags ags (standard) : Deleted, Answered, Seen... keywords (non standard) : $Junk, $NonJunk, $Spam... boîtes multiples dynamiques recherche multicritères côté serveur protocole extensible (nombreuses RFC)

Intranet Rappels Infra Mail NFS... Gestion du mail Postx IMAP Dovecot Principaux serveurs IMAP Cyrus-IMAP Dovecot le plus riche en fonctionnalités (SASL...) relativement complexe à déployer plus simple, sécurisé concurrent sérieux pour Cyrus-IMAP Courier-IMAP UW-IMAP Courier : un logiciel complet MTA + POP-IMAP Courier-IMAP utilisé souvent seul implémentation historique (RFC) Mark Crispin, (Université Washington) développement très ralenti

Intranet Rappels Infra Mail NFS... Gestion du mail Postx IMAP Dovecot Formats de stockage (boîtes) Un besoin transverse : stockage dans le système de chiers MTA : gestion du spool serveurs POP, IMAP MUA : stockage local logiciels tiers : ltres antispam, antivirus... mbox : un dossier (folder) = un chier nécessites des verrous sur le chier (R/W) variantes mboxo (Eudora), mboxrd (Mozilla Thunderbird...) Maildir : un dossier = un répertoire introduit par qmail, largement adopté variante Maildir++ (intr. Courier) : sous-dossiers, quotas variante dbox (intr. Dovecot) : index séparés

Intranet Rappels Infra Mail NFS... Gestion du mail Postx IMAP Dovecot Telnet IMAP - 1/2 Connexion telnet <hote> 143 ou openssl s_client -connect hote :993 une marque (tag) préxant chaque commande LOGIN <compte@adresse> <mdp> LOGOUT Commandes IMAP LIST "" "*" : structure arborescente STATUS <INBOX> (messages recent unseen) EXAMINE SELECT INBOX.<truc> (RO/RW) CREATE DELETE RENAME INBOX.<truc>

Intranet Rappels Infra Mail NFS... Gestion du mail Postx IMAP Dovecot Telnet IMAP - 2/2 Manipulation des messages FETCH <msg1 :msg2> <flags fast all full> FETCH <msg> rfc822.<header text> STORE <msg> <flags +flags -flags>... : changer les ags EXPUNGE, CLOSE : supprimer réellement les messages marqués COPY <msg> INBOX.<dest> Notication IDLE, DONE SUBSCRIBE, UNSUBSCRIBE, LSUB

Intranet Rappels Infra Mail NFS... Gestion du mail Postx IMAP Dovecot Dovecot Projet Dovecot Historique : 2002- Développeur initial et principal : Timo Sirainen (1979) Début 2009 : engagé par Mailtrust (Rackspace Email division depuis mai 2009) Licence MIT + LGPL Intégré à Mac OS X 10.6 Versions 1.0 : 1.0.0 (2007-04) à 1.0.15 (2008-06) 1.1 : 1.1.0 (2008-06) à 1.1.20 (2009-11) 1.2 : 1.2.0 (2009-07) à 1.2.7 (2009-11) 2.0 : 2.0-alpha3 (2009-11-10) Caractéristiques principales Grande attention à la sécurité du code Relativement simple à administrer

Intranet Rappels Infra Mail NFS... Gestion du mail Postx IMAP Dovecot Dovecot - installation

Intranet Rappels Infra Mail NFS... Gestion du mail Postx IMAP Dovecot Pour aller plus loin... Antivirus et antispam : Amavisd-new : interface avec le MTA ltre antispam : SpamAssassin ltre antivirus : ClamAV SMTP-AUTH bases alternatives pour les utilisateurs LDAP (Postx et IMAP) MySQL (Postx et IMAP)

Intranet Rappels Infra Mail NFS... NFS NIS Impression NFS et réseaux Unix

Intranet Rappels Infra Mail NFS... NFS NIS Impression NFS : un système de chiers distribué 1. Les origines NFS : Network FileSystem protocole initié par Sun Microsystems en 1984, puis IBM repris par tous les constructeurs Unix devenu un standard Unix 2. Les principes architecture client-serveur utilisation du principe de montage des systèmes de chiers Unix serveur : service nfs-kernel-server noyau + esp. util. client : noyau Linux (un des systèmes de chiers) 3. Alternative nfs-user-server : plus lent, considéré obsolète

Intranet Rappels Infra Mail NFS... NFS NIS Impression NFS : évolution du protocole 1. v1. expérimentale, interne à Sun 2. v2. RFC 1094, 1989 (UDP seulement) 3. v3. RFC 1813, 1995 support des gros chiers (+2 Go) support des écritures asynchrones support de TCP... 4. v4. RFC 3530, 2003 normalisation reprise par l'ietf sécurité : intégration Kerberos support de l'internationalisation v4.1 (2006-) : pnfs (parallel NFS) pour le NAS/SAN

Intranet Rappels Infra Mail NFS... NFS NIS Impression NFS : l'architecture serveur Modules noyau nfs : le module principal nfsd = plusieurs threads noyau lockd + modules annexes Trois démons à l'écoute en espace utilisateur 1. portmapper : base de tous les services RPC (Remote Procedure Call) port 111 (TCP et UDP) économise les ports <1024 2. rpc.mountd : gestion des montages 3. rpc.statd : surveillance NSM (Network Status Monitor) Des démons optionnels rpc.gssd (client) + rpc.svcgssd (serveur) : gestion uniée de sécurité (Kerberos, Radius...) rpc.idmapd(client) : gestion des correspondances utilisateurs...

Intranet Rappels Infra Mail NFS... NFS NIS Impression NFS : installation et conguration 1. Installation Debian Paquets nfs-kernel-server et nfs-common. 2. Conguration Côté serveur : chier /etc/exports : man exports Côté client : chier /etc/fstab : man mount, nfs, fstab Exo 1. Créer un répertoire partagé public sur chaque machine et y copier quelques chiers 2. Monter sur chaque machine son propre partage 3. Monter des partages croisés par paire de machines.

Intranet Rappels Infra Mail NFS... NFS NIS Impression NFS : Exploitation 1. Côté client /sbin/showmount --all <hote> : acher les montages NFS en cours pour un serveur /sbin/showmount --exports <hote> : acher les exports oerts 2. Côté serveur /usr/sbin/exportfs <...> : lister ou régler les partages ouverts dmesg : les messages du noyau au chargement des modules /var/log/daemon.log : les messages de mountd /proc/fs/nfsd/ : interface noyau

Intranet Rappels Infra Mail NFS... NFS NIS Impression NFS : le modèle de sécurité Modèle initial rudimentaire : basé sur les UID numériques, supposés identiques sur tout le réseau Applique les permissions standard (ugo, rwx...) de la machine serveur Plusieurs alternatives pour traiter la question 1. Utiliser uniquement des accès anonymes (all_squash) 2. Gérer à la main les utilisateurs pour garantir des UID identiques 3. Maintenir des tables de correspondance des utilisateurs sur le serveur (map_static) 4. Utiliser le service centralisé NIS

Intranet Rappels Infra Mail NFS... NFS NIS Impression NFS : mise en pratique d'un modèle plus sécurisé Exo 1. reprendre la conguration précédente pour des accès réservés en écriture (permissions) 2. utiliser une table de correspondance pour renvoyer l'utilisateur 1000 sur le 501 man exports ; map_static 3. de même : les utilisateurs distants 1001-1050 provenant d'une machine précise sont transformés en nobody.

Intranet Rappels Infra Mail NFS... NFS NIS Impression NIS Network Information System

Intranet Rappels Infra Mail NFS... NFS NIS Impression NIS : l'authentication Unix centralisée Principe un serveur central pour les chiers de base (/etc/passwd, /etc/shadow, /etc/hosts...) un domaine NIS rassemblant plusieurs machines (ypdomainname) concaténation de la base locale et de la base réseau + ordre de résolution Des démons : ypserv : le serveur (principal) de domaine NIS éventuellement, des serveurs secondaires (esclaves) ypbind : un démon sur chaque machine cliente Le paquet Debian : nis La documentation The Linux NIS/NYS/NIS+ HOWTO Debian NIS HOWTO

Intranet Rappels Infra Mail NFS... NFS NIS Impression NIS - conguration serveur Deux alternatives : partager les chiers de conguration du serveur gérer des bases séparées : plus rigoureux Fichiers de conguration /etc/default/nis : commun aux 4 démons /etc/defaultdomain : domaine NIS Création de la base de données chiers de base dans /var/yp/ypfiles conguration de /var/yp/makefile Service : /etc/init.d/nis start = ypserv yppasswdd ypxfrd ypbind

Intranet Rappels Infra Mail NFS... NFS NIS Impression NIS - conguration client Fichiers de conguration /etc/nsswitch.conf : shadow : compat nis files /etc/passwd : + : : : : : : (ou réglages +/-) Commandes de test ypcat passwd group shadow.byname

Intranet Rappels Infra Mail NFS... NFS NIS Impression La solution LDAP? Problème récurrent de l'authentication LDAP : une base neutre par rapport aux plate-formes Des structures de données très normalisées (schema) Un annuaire ; pas un système d'authentication Linux : module pam-ldap Samba : samba-ldap...

Intranet Rappels Infra Mail NFS... NFS NIS Impression Impression réseau sous Unix

Intranet Rappels Infra Mail NFS... NFS NIS Impression L'impression sous Unix Matériel : 3 types de connexions imprimantes locales (// ou USB) imprimantes réseau (interface ethernet) imprimantes locales sur un serveur d'impression (réseau) Services et protocoles applicatif : prépondérance de PostScript puis PDF (Adobe) lpd/lpr : historique, RFC1179, 1990 lpd BSD : implémentation historique LPRng : réécriture du précédent (RH) CUPS : Common Unix Printing System RFC 2565-2569, 1999 (Novell - Xerox) Easy Software Products ( 1997-2007), rachat par Apple protocole IPP, surcouche à HTTP conguration complète, inspirée d'apache adopté par Mac OS X (exception à la GPL)

Intranet Rappels Infra Mail NFS... NFS NIS Impression Conguration de l'impression LPD / LPRng un démon : lpd (TCP port 515) un chier de conguration : /etc/printcap des commandes : (BSD) lpr, lpq, lprm, lpc ou (SystemV) lp, lpstat, cancel, lpadmin CUPS un démon : cupsd (TCP ports 515 et 631) interface web : http://localhost:631 un répertoire de conguration : /etc/cups/* paquets Debian : cupsys, cupsys-bsd... surcouches graphiques : GNOME : gnome-cups-manager KDE : kdeprint (uniformise l'accès aux 3 systèmes)

Intranet Rappels Infra Mail NFS... NFS NIS Impression En pratique : CUPS Installation (paquets) Fichiers Références (deb) cups, cups-common, cups-client, cups-bsd (RH) cups Conguration /etc/cups/... cupsd.conf cong du service printers.conf conguration des imprimantes ppd/* Postscript Printer Description Travaux /var/spool/cups, /var/cache/cups/* Logs /var/log/cups (cupsd) Linux Foundation - OpenPrinting Wikipedia, article CUPS