Linux Administration. Université de La Rochelle

Documents pareils
INSTALLATION ET CONFIGURATION DE OPENLDAP

Domain Name System. F. Nolot

TP DHCP et DNS. Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A

OpenLDAP, un outil d administration Réseau. Une implémentation d OpenLDAP

Utiliser Améliorer Prêcher. Introduction à LDAP

DNS : Domaine Name System

B1-4 Administration de réseaux

Bind, le serveur de noms sous Linux

LDAP et carnet d'adresses mail

LDAP : pour quels besoins?

I. Adresse IP et nom DNS

Authentification des utilisateurs avec OpenLDAP

Domain Name System ot ol F. N 1

Domaine Name System. Auteur: Congduc Pham, Université Lyon 1. Figure 1: Schéma des salles TP11 et TD4

Domain Name Service (DNS)

Résolution de nom avec Bind

Couplage openldap-samba

Domain Name Service (DNS)

Administration Système & Réseau. Domain Name System Historique & Concepts Fonctionnalités & Hiérarchie Requêtes & Base de donnée DNS

1 Configuration réseau des PC de la salle TP

Installer un domaine DNS

ASR4 Réseaux Département Informatique, IUT Bordeaux 1. DHCP Prénom : Nom : Groupe :

Administration réseau Résolution de noms et attribution d adresses IP

OpenLDAP. Astuces pour en faire l'annuaire d'entreprise idéal THÈME TECHNIQUE - ADMINISTRATION SYSTÈME. Jonathan CLARKE - jcl@normation.

machine.domaine

Gérer son DNS. Matthieu Herrb. tetaneutral.net. Atelier Tetaneutral.net, 10 février

Master d'informatique 1ère année Réseaux et protocoles

RTN / EC2LT Réseaux et Techniques Numériques. Ecole Centrale des Logiciels Libres et de Télécommunications

Déploiement de (Open)LDAP

titre : CENTOS_BIND_install&config Système : CentOS 5.7 Technologie : Bind 9.3 Auteur : Charles-Alban BENEZECH

DNS. Olivier Aubert 1/27

Résolution de noms. Résolution de noms

Conférence technique sur Samba (samedi 6 avril 2006)

Annuaire LDAP, SSO-CAS, ESUP Portail...

- FICHE DE PROCEDURE - Configurer un serveur DNS avec Bind9 sur Debian

Il est possible d associer ces noms aux langages numérique grâce à un système nommé DNS(Domain Name System)

DUT. Vacataire : Alain Vidal - avidal_vac@outlook.fr


L annuaire et le Service DNS

Annuaire LDAP + Samba

Journée Josy/PLUME. Outils logiciels libres utiles à tout ASR SAMBA. Maurice Libes. Centre d'océanologie de Marseille UMS 2196 CNRS

TP HTTP. Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A

Authentification des utilisateurs avec OpenLDAP et Samba 3.0

Réseaux. DNS (Domaine Name System) Master Miage 1 Université de Nice - Sophia Antipolis. (second semestre )

Description de la maquette fonctionnelle. Nombre de pages :

L3 informatique Réseaux : Configuration d une interface réseau

TP de réseaux : Domain Name Server.

Nommage et adressage dans Internet

Internet Protocol. «La couche IP du réseau Internet»

Installation Serveur DNS Bind9 Ubuntu LTS

OpenLDAP au quotidien: trucs et astuces

Serveur DHCP et Relais DHCP (sous Linux)

DOMAIN NAME SYSTEM. CAILLET Mélanie. Tutoriel sur le DNS. Session Option SISR

LINUX Préparation à la certification LPIC-3 (examen LPI 300) - 2ième édition

OpenLDAP, un outil d administration réseau. (Implémentation d openldap à l INRA de Rennes)

TP SECU NAT ARS IRT ( CORRECTION )

Ce TP consiste à installer, configurer et tester un serveur DNS sous Linux. Serveur open source : bind9 Distribution : Mandriva

Windows 2000 Server Active Directory

Introduction...3. Objectif...3. Manipulations...3. Gestion des utilisateurs et des groupes...4. Introduction...4. Les fichiers de base...

M2-ESECURE Rezo TP3: LDAP - Mail

TP DNS Utilisation de BIND sous LINUX

Imprimantes et partage réseau sous Samba avec authentification Active Directory

Configuration réseau Basique

Le protocole ARP (Address Resolution Protocol) Résolution d adresses et autoconfiguration. Les protocoles ARP, RARP, TFTP, BOOTP, DHCP

1. Présentation du TP

Comment fonctionne le serveur cache (1) DNS Session 2: Fonctionnement du cache DNS. Historique du support de cours

Administration UNIX. Le réseau

Mise en place Active Directory / DHCP / DNS

Étude de l application DNS (Domain Name System)

Administration de Parc Informatique TP03 : Résolution de noms

Groupe Eyrolles, 2004 ISBN :

SECURIDAY 2012 Pro Edition

Active Directory. Structure et usage

Service d'authentification LDAP et SSO avec CAS

INTERNET & RESEAUX. Dino LOPEZ PACHECO lopezpac@i3s.unice.fr

DNS et Mail. LDN 15 octobre DNS et Mail. Benjamin Bayart, Fédération FDN. DNS - fichier de zone. DNS - configuration

Jeudis du libre, Samba ou comment donner le rythme aux stations Windows

Classe et groupe : 1P 3 SEN TRI. Ubuntu : serveur Contrôleur de Domaine (PDC) avec SAMBA

Ubuntu Linux Création, configuration et gestion d'un réseau local d'entreprise (3ième édition)

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

Environnements informatiques

Configuration d'un annuaire LDAP

Exposé Nouvelles Technologies et Réseaux LDAP 22/01/ Exposé Nouvelle Technologies Réseaux - LDAP. Lightweight Directory Access Protocol

Institut Universitaire de Technologie

Synchronisation d'annuaire Active Directory et de base LDAP

Outils Logiciels Libres

Télécommunications. IPv4. IPv4 classes. IPv4 réseau locaux. IV - IPv4&6, ARP, DHCP, DNS

LINUX REDHAT, SERVICES RÉSEAUX/INTERNET

Serveur DNS et DHCP couplé à LDAP Debian GNU/Linux

Déploiement d'un serveur ENT

Master 2 TIIR. Systèmes UNIX TP Administration avancée septembre 2013

Mise en place d un serveur DNS sous linux (Debian 6)

Sur un ordinateur exécutant Windows 2000 Server Ayant une adresse IP statique

LOSLIER Mathieu. Filière Informatique et Réseau 1 ère année. TP DNS. Responsable : LOHIER Stephane. Chargé de TD : QUIDELLEUR Aurélie

Spécialiste Systèmes et Réseaux

Réseaux IUP2 / 2005 DNS Système de Noms de Domaine

Une unité organisationnelle (Staff) comporte une centaine d'utilisateur dans Active Directory.

UE5A Administration Réseaux LP SIRI

Transcription:

Linux Administration Philippe Harrand 2008

Lundi Matin Accueil Les utilisateurs Création / suppression Gestion des Quotas Après midi Mise en réseau Serveur DHCP 2/70

Mardi Matin Mise en oeuvre de serveurs DNS maître et esclave Après midi Découverte LDAP Authentification centralisée Répertoires personnels distants Mise place serveur LDAP 3/70

Mercredi Matin SAMBA LDAP Construction d'un PDC avec SAMBA Après midi Questions diverses Évaluation 4/70

Les utilisateurs Création / suppression Les quotas 5/70

gestion des utilisateurs les utilisateurs sont gérés par : /usr/sbin/useradd groupadd /usr/sbin/userdel groupdel /usr/sbin/usermod goupmod /usr/bin/passwd Les fichiers concernés sont /etc/passwd /etc/group /etc/shadow 6/70

TP1 En vous aidant du fameux manuel Créez un utilisateur Robert Bidochon Login : rbidochon Password : bidoche Répertoire : /home/bd/rbidochon Groupe principal users Groupe secondaire tpuser 7/70

TP1 Modifiez votre utilisateur Maintenant on l'appelle Raymonde Login : rbidochon Password : RayCharles2; Répertoire : /home/bd/rbidochon Groupe principal utilisatrices Groupes secondaires users et tpuser 8/70

TP 2 Écrivez un script bash qui crée les utilisateurs dont la liste est contenue dans un fichier texte à définir Vous trouverez sur http://enseignant.tp.org/rpm/divers/ un outil pour générer des mots de passe et qui va nous servir à chiffrer. Syntaxe : makepasswd p <mot de passe> e shmd5 9/70

TP 2 if [ <condition> ] then for [ <condition> ] do done user= pass= login= nom= /usr/sbin/useradd -c "$nom" -p $pass $login let i=$i+1 else echo "vous n'êtes pas root" fi 10/70

Les quotas Concernent un système de fichiers (une partition) dans sa totalité Concernent des utilisateurs et/ou des groupes Définissent des limites en blocs et/ou inodes Définissent des limites «soft» et/ou «hard» 11/70

TP Quotas 10.2.10.88/Administration/TP_quotas.html 12/70

Mise en Réseau Pérenne Volatile 13/70

Mise en réseau pérenne Configuration des interfaces Red Hat : /etc/sysconfig/network scripts/ifcfg_ethx Debian : /etc/network/interfaces DNS : /etc/resolv.conf Passerelle par défaut Paramètre «GATEWAY» dans le fichier de configuration d'interface Définir plusieurs passerelles sur plusieurs interfaces =>??? 14/70

Routage Routes statiques ajouter des lignes «route add» dans /etc/rc.d/rc.local (/etc/init.d/rc.local pour debian) Forwarding : /etc/sysctl.conf net.ipv4.ip_forward=1 15/70

Routage statique Red Hat Debian /etc/sysconfig/static-routes GATEWAY0=192.168.55.0 NETMASK0=255.255.255.0 ADDRESS0=192.168.1.254 GATEWAY1=10.164.234.112 NETMASK1=255.255.255.240 ADDRESS1=192.168.1.253 /etc/network/interface auto eth0 iface eth0 inet static address 192.168.1.2 netmask 255.255.255.0 gateway 192.168.1.254 up route add -net 192.168.2.0 netmask 255.255.255.0 gw 192.168.2.1 down route del -net 192.168.2.0 netmask 255.255.255.0 gw 192.168.2.1 16/70

Mise en réseau volatile /sbin/ifconfig /sbin/dhclient /sbin/route /sbin/sysctl 17/70

Interfaces virtuelles Ajouter une adresse à une interface physique /sbin/ifconfig eth0:1... Red Hat : /etc/sysconfig/network scripts/ifcfg_eth0:1 Debian : /etc/network/interfaces 18/70

TP Routage Mise en réseau 19/70

DHCP Dynamic Host Configuration Protocol 20/70

DHCP Couche 7! Permet l'auto configuration de la pile IP Fonctionnement client/serveur Extension de BOOTP DHCP fonctionne sur UDP 21/70

Coté client Recherche de serveurs DHCP Demande de bail Renouvellement du bail 22/70

Dialogue initial Client DHCP DISCOVERY MAC em «client» MAC dest broadcast IP em 0.0.0.0 IP dest broadcast DHCP OFFER MAC em «serveur» MAC dest broacast IP em «serveur» IP dest unicast ou broadcast Serveur (s) DHCP REQUEST MAC em «client» MAC dest broadcast IP em 0.0.0.0 IP dest broadcast DHCP ACK MAC em «serveur» MAC dest broacast IP em «serveur» IP dest unicast ou broadcast 23/70

Options client Le client peut suggérer une adresse Le client peut choisir entre plusieurs serveurs Le client peut demander des paramètres spécifiques Le client peut suggérer un bail 24/70

Bail La configuration obtenue a une durée limitée A la moitié de cette durée, le client cherche à renouveler le bail auprès du serveur (unicast) Avant la fin du bail, le client cherche à renouveler le bail en broadcast A l'expiration du bail, le client relance la procédure initiale 25/70

Renouvellement de bail Client Serveur (s) DHCP REQUEST MAC em «client» MAC dest «serveur» IP em «client» IP dest «serveur» DHCP ACK MAC em «serveur» MAC dest «client» IP em «serveur» IP dest «client» 26/70

Coté serveur Affectation statique des adresses basée sur l'adresse MAC Affectation dynamique dans une plage Combinaison des deux 27/70

Coté serveur Les serveurs peuvent transmettre en plus de l'adresse IP La passerelle par défaut Les serveurs DNS Le nom d'hôte Le nom de domaine Les prévisions météo Prochain serveur / nom de fichier 28/70

Mise en oeuvre TP dhcp 29/70

DNS Domain Name System 30/70

DNS Le système DNS est un arbre mondial Chaque serveur implémente une ou plusieurs feuilles Les serveurs publics mettent en cache les informations venant d'autres serveurs (souvent) Les serveurs privés doivent être conçus comme les publics 31/70

Hiérarchie DNS. (13 serveurs) COM NET... EDU FR ORG redhat.com www.redhat.com ftp.redhat.com mandriva.com www.mandriva.com club.mandriva.com rochelug.org www.rochelug.org sql.rochelug.org 32/70

Interrogation DNS 33/70

4 configurations Maître Esclave Maître et esclaves doivent être sur des réseaux distants! Cache seulement retransmission 34/70

Fichiers /etc named.conf : configuration du serveur /var named named.ca localhost.zone localhost_inverse.zone mon_domaine.zone mon_domaine_inverse.zone 35/70

named.conf options { directory "/var/named"; } zone "." IN { type hint; file "named.ca"; }; zone "mon_domaine" IN { type master; file "mon_domaine.zone"; allow-update { none; }; }; zone "0.168.192.in-addr.arpa" IN { type master; file "mon_domaine_inverse.zone"; allow-update { none; }; }; zone "localhost" IN { type master; file "localhost.zone"; allow-update { none; }; }; zone "0.0.127.in-addr.arpa" IN { type master; file "localhost_inverse.zone"; allow-update { none; }; }; 36/70

fichiers de zone $TTL <time to live> @ IN SOA <primary name server> <hostmaster email> ( <time to retry> <time to expire> <minimum TTL> ) } esclaves <serial number> <time to refresh> 37/70

Fichiers de zone (suite) IN NS IN NS dns1.domain.com. dns2.domain.com. IN MX 10 mail.domain.com. IN MX 20 mail2.domain.com. IN A 10.0.1.5 server1 IN A 10.0.1.5 server2 IN A 10.0.1.7 dns1 IN A 10.0.1.2 dns2 IN A 10.0.1.3 ftp IN CNAME server1 38/70

Fichier de zone $TTL 86400 @ IN SOA ns.mon_domaine toto.mon_domaine.com. ( 2006061042 ; serial 3H 15M 1W 1D ) ; refresh ; retry ; expiry ; minimum IN NS ns.mon_domaine.com. ns IN A 192.168.0.1 www IN A 192.168.0.2 39/70

Chroot Service très attaqué => souvent «chrooté» Une arborescence minimale est constituée On change la racine de l'arborescence (pour notre démon uniquement) 40/70

Chroot 41/70

Exercice TP DNS 42/70

Authentification Locale Centralisée 43/70

Fichiers : Authentification /etc/passwd /etc/group /etc/shadow NIS obsolète SMB Si PDC sur le réseau LDAP... 44/70

PAM Plugable authentication module Implémente une couche d'abstraction entre les applications et les systèmes d'authentification La configuration est dans /etc/pam.d/ le login utilise login et system auth Utiliser les outils de votre distribution authconfig (fedora) drakauth (mandriva) main gauche ET main droite (debian) 45/70

Fichiers /etc/nsswitch /etc/pam_ldap.conf /etc/ldap.conf /etc/openldap/ldap.conf /etc/pam.d/system auth /etc/libnss ldap.conf Ces fichiers varient suivant la distribution... 46/70

LDAP Light-weight Directory Access Protocol Implémente un annuaire (mondial) compatible X400 Compact et protocole réseau léger Authentification des utilisateurs Gestions des droits pour la consultation ou la modification Base de données spécialisée 47/70

LDAP Annuaire : Est plus souvent lu qu écrit Les données sont présentées de manière hiérarchique Les mécanismes de recherche sont performants Les résultats sont organisés Annuaire réparti 48/70

Structure Objet Généricité de la structure Classes structurantes définissent la structure Classes auxiliaires définissent les données Les objets sont accédés par : Object identifier OID => pour les machines Nom unique DN=> pour les cyborgs 49/70

Attributs OID Nom Syntaxe et règles de comparaison Mono ou multivalués Indicateur d usage Format 50/70

Attributs courants uid : identifiant présumé unique o : organization ou : organization unit cn : common name givenname sn : surname mail photo... 51/70

Schémas LDAP Les classes et les attributs sont définis dans des schémas normalisés. En théorie il est possible de les étendre Respecter la hiérarchie Respecter la syntaxe En pratique on trouve tout ce qu'on veut dans les schémas existants 52/70

Schémas attributetype ( 2.16.840.1.113730.3.1.241 NAME 'displayname' DESC 'RFC2798: preferred name to be used when displaying entries' EQUALITY caseignorematch SUBSTR caseignoresubstringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) 53/70

Schéma (exemples) attributetype ( 2.5.4.4 NAME ( 'sn' 'surname' ) DESC 'RFC2256: last (family) name(s) for which the entity is known by' SUP name ) attributetype ( 2.5.4.35 NAME 'userpassword' DESC 'RFC2256/2307: password of user' EQUALITY octetstringmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.40{128} ) 54/70

Schéma (exemples) objectclass ( 1.3.6.1.4.1.1466.344 NAME 'dcobject' DESC 'RFC2247: domain component object' SUP top AUXILIARY MUST dc ) objectclass ( 2.5.6.6 NAME 'person' DESC 'RFC2256: a person' SUP top STRUCTURAL MUST ( sn $ cn ) MAY ( userpassword $ telephonenumber $ seealso $ description ) ) 55/70

Organisation LDAP Chaque annuaire est supposé être une partie de l'annuaire mondial Chaque feuille est identifiée par un «dn» distinguished name UNIQUE Pour éviter une recherche mondiale, on identifie l'annuaire par un «BaseDN» Le Base DN est souvent composé avec le nom de domaine (DNS) de l'organisation, lequel est unique Énoncé par «dc=domaine,dc=tld» 56/70

Exemple 57/70

Exemple dc=univ-lr,dc=fr ou=people Robert Raymonde Paul ou=groups Lettres Droit Sciences 58/70

Population de l'annuaire Graphique gq phpldapadmin Divers clients java Texte ldap tools Avec utilisation de fichiers au format LDIF 59/70

LDIF (init) dn: dc=univ lr,dc=fr dc: univ lr dc: fr o: univ lr.fr objectclass: top objectclass: dcobject objectclass: organization dn: ou=people,dc=univ lr,dc=fr dc: univ lr ou: people objectclass: top objectclass: dcobject objectclass: organizationalunit dn: ou=groups,dc=univ lr,dc=fr dc: univ lr ou: groups objectclass: top objectclass: dcobject objectclass: organizationalunit 60/70

LDIF (groupe) dn: cn=sciences,ou=groups,dc=univ lr,dc=fr objectclass: top objectclass: dcobject objectclass: posixgroup dc: univ lr cn: sciences gidnumber:1001 61/70

LDIF (user) dn: uid=toto,ou=people,dc=univ lr,dc=fr loginshell: /bin/bash objectclass: top objectclass: dcobject objectclass: person objectclass: posixaccount objectclass: shadowaccount dc: univ lr cn: Bidochon uid: rbidochon uidnumber: 1001 homedirectory: /home/rbidochon sn: Robert Bidochon gidnumber: 1001 62/70

Commandes ldapadd : ajoute une entrée dans l'annuaire ldapdelete :?? une entrée dans l'annuaire ldapmodrdn : renomme une entrée de l'annuaire ldapsearch : cherche et affiche une entrée de l'annuaire ldapmodify : modifie une entrée de l'annuaire ldappasswd : change le mot de passe d'une entrée de l'annuaire ldapadd x v D cn=manager,dc=my domain,dc=com W < init.ldif x authentification simple v verbeux D bind dn W demande le mot de passe 63/70

Exercice TP LDAP 1 64/70

Serveur openldap Porte le joli nom de slapd Configuration dans /etc/openldap/slapd.conf Les schémas sont dans /etc/openldap/schema/ ou dans /usr/share/openldap/schema ou ailleurs 65/70

Configuration 1 ère partie : général inclure les schémas qui vont bien emplacement des certificats Contrôle d'accès général... 66/70

Configuration 2 ème partie : l'annuaire type de base de données basedn appelé aussi suffixe dn et mot de passe de l'administrateur contrôle d'accès index réplicats 67/70

Exercice TP LDAP 2 68/70

Samba-Ldap Samba contrôleur de domaine Mots de passe (passdb backend) smbpasswd tdbsam ldapsam 69/70

Configuration LDAP => Schéma samba SAMBA passdb backend = ldapsam:ldap://<adresse> suffixes général, users, machines et groups commandes d'ajout suppression TP smbldap 70/70

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back