Projets Administration Système UNIX (L3 SR)

1. Mise en place NIS (Network Information Center)

1.1. Présentation
C’est un protocole qui Constitue une base de données répartie pour les fichiers de
configuration Unix. Il permet de centraliser les fichiers de configuration sur un
serveur NIS pour éviter de dupliquer des fichiers en autant d'exemplaires que
d'ordinateurs à gérer sur un réseau
1.2. Services/démons
- portmap : mise en correspondance numéro de ports TCP/IP <-> numéro de
processus RPC (voir /etc/rpc pour les numéros réservés).
- côté serveur : ypserv : implémente le serveur NIS ; yppasswd : permet de
changer un mot de passe sur le serveur NIS depuis un client NIS (démon
[Link]) ; ypxfrd : accélère les transferts entre serveur maître et esclave
(démon [Link])
- côté client : ypbind : implémente le client NIS
1.3. Principe

1.4. Installation-serveur
- Installation : portmap et réseau prérequis, serveur urpmi ypserv
 $ rpm –ql ypserv
- Installation : portmap et réseau prérequis, client -> urpmi ypbind tp-tools
$ rpm –ql ypbind
$ rpm –ql yp-tools

1.5. Configuration commune client & serveur : config-réseau

/etc/[Link] : ordre dans lequel utiliser les différents mode d’accès possibles
(fichier, nis, dns) pour accéder au contenu des fichiers de configuration
/etc/[Link] : ordre dans lequel utiliser les différents mode d'accès possibles
(fichier, nis, dns) pour résoudre les correspondances adresse IP <=> FQDN

1.6. Configuration serveur : config réseau

Un serveur a une adresse IP fixe => on doit préciser le nom du domaine NIS dans un
fichier de configuration /etc/sysconfig/network
HOSTNAME=[Link]
NETWORKING=yes
GATEWAY=[Link]
NISDOMAIN=tp
Fichier de configuration réseau : /etc/network/interfaces
Fichier de configuration domaine NIS : /etc/defaultdomaine
tp
1.7. Configuration serveur
/etc/[Link]
Il y a deux types de lignes :
- options pour démon ypserv (yes|no) : dns yes où le serveur interrogera le DNS
pour trouver ses clients qui n'apparaissent pas dans les maps hosts.
xfr_check_port yes : pour faire tourner le serveur sur un port inférieur à 1024
(yes par défaut)
- règle d’accès au serveur NIS au format host:domain:map:security
- Exemple :
- /var/yp/Makefile : contient les options importantes comme le choix des cartes
du serveur qui seront exportés par NIS.À personnaliser après toutes installation
d'un paquet ypserv.
1.8. Initialisation, lancement de NIS sur un serveur
Après l'installation du paquet serveur NIS : Serveur maître
- Configurer le nom de domaine NIS
- Éditer si besoin le fichier /etc/hosts pour déclarer tous les serveurs (maître ou
esclaves) utilisés par NIS
- Éditer si besoin le fichier /var/yp/Makefile
- Éditer si besoin le fichier /etc/[Link] : choix de l'ordre des méthodes de
résolution FQDN<->adresse IP (local, dns, nis ?)
- Éditer si besoin le fichier /etc/[Link] : choix de l'ordre des méthodes
d'accès aux fichiers sélectionnée en 2-
- Éditer le fichier /etc/[Link]
- Vérifier la présence des scripts de démarrage /etc/rc.d/init.d/yppasswdd,
ypserv, ypxfrd
- Lancer les services ypserv,ypserv et yppasswdd
- initialiser le serveur maître :/usr/lib/yp/ypinit -m
Serveur esclave
- Installer la machine comme un client NIS
- Installer la machine comme un serveur maître (étapes 1- à 8- )
- initialiser le serveur esclave :/usr/lib/yp/ypinit -s server_maitre
- sur le serveur maître :
 mettre la liste des serveurs secondaires dans le fichier /var/yp/ypserv
 éditer le fichier /var/yp/Makefile, mettre la variable NOPUSH à false
 aller dans le répertoire /var/yp et taper make
 1.9. Configuration client : réseau
Client fixe => on doit préciser le nom du domaine NIS

Client nomade (portable)

- on peut préciser le nom du domaine NIS dans le fichier network, mais PB quand
on change de réseau
- Il est plus intéressant d'utiliser la configuration dynamique DHCP pour récupérer
les informations « nom de domaine NIS » et « serveur NIS »

1.10. NIS : Lancement du service NIS côté client

Après l'installation du paquet client NIS :
- Configurer le nom de domaine NIS
- Éditer si besoin le fichier /etc/[Link] : choix de l'ordre des méthodes de
résolution FQDN<->adresse IP (local, dns, nis ?)
- Éditer si besoin le fichier /etc/[Link] : choix de l'ordre des méthodes
d'accès aux fichiers sélectionnée en 2 eme tiret
- Éditer le fichier /etc/[Link] pour désigner le(s) serveur(s) NIS (utiliser des
adresses IP plutôt que des FQDN ...)
- Relancer le service network (prise en compte du nom de domaine NIS)
- Lancer le service ypbind.
1.11. Sécurité
NIS n'est pas un protocole très sécurisé
- Préférer l'utilisation de NIS en réseau local (192.168.x.y) accédant à internet par
une passerelle sécurisé (firewall)
- Utiliser les fichiers /etc/[Link] et /var/yp/securenet pour limiter les accès
non autorisés à NIS

2. Mise en place NFS (Network File System)

2.1. Présentation
NFS est un système de fichiers réseau quifournit un accès réseau transparent aux
fichiers d'un serveur (système de fichier réseau). Protocole ouvert introduit par SUN
en 1984, portable sur de nombreux environnements plateformes/ réseaux, utilise les
RPC (Remote Procedure Calls) de SUN. Il possède un architectureServeur/Client qui
est présent sur tous les Unix.
Services/démons utilisés par le service NFS :
- Portmap : mise en correspondance numéro de ports TCP/IP <-> numéro de
processus RPC (voir /etc/rpc pour les numéros réservés)
- côté serveur :
 [Link] : implémente la partie utilisateur du protocole
 [Link] : prise en compte du redémarrage des serveurs, pour une
gestion correcte des vérrous(implémente le protocole RPC NSM (Network
Status Monitor))
 [Link] : gestion du vérouillage des fichiers(implémente le protocole
NLM (Network Lock Manager))
 [Link] : implémente la partie serveur du protocole, à l'écoute des
demandes de montage
- côté client : [Link], [Link]
2.2. Principe

2.3. Installation-serveur
Installation : portmap et réseau pré-requis, serveur -> urpmi nfs-utils
- Paquet serveur : nfs-utils
$ rpm –ql nfs-utils
- Paquet client : nfs-utils-client
$ rpm –ql nfs-utils-clients
2.4. Configuration serveur
Tous les fichiers de configuration des services spécifiques aux distributions dérivées
de RedHat (Fedora, Mandriva, ...) sont dans le répertoire : /etc/sysconfig.
/etc/sysconfig/nfs
Options de lancement du serveur NFS
/etc/exports : liste des répertoires exportés par le serveur, et des options (droits
d'accès, ...)
Syntaxe: directory1 host1(option,...) host2(option,...) ....
Ex :
/opt [Link]/[Link](rw,no_root_squash)
/home [Link]/[Link](rw)
/mnt/disk [Link](rw) pc1(ro)
/usr/local *(ro)
2.5. NFS : Configuration serveur
Principales options du fichier exports (serveur) :
- ro read-only (accès en lecture seule au répertoire exporté)
- rw read-write : le client accède au répertoire en lecture/écriture
 - root_squash transforme les accès UID root en UID nobody
- no_root_squash les accès root sur le client restent root sur le serveur
- all_squash Convertit tous les UID/GID en utilisateurs anonymes.
Utile pour exporter avec NFS des répertoires publics.
Principales options du fichier fstab (client) :
- hard : montage avec écriture bloquante (-> attente)
- fg, bg : montage en forground, backgound
- intr : montage interruptible (utile avec hard en cas de blocage)
- soft : montage sans écriture bloquante (-> pas d'attente)
2.6. Lancement de NFS sur le serveur
Le lancement des services se fait classiquement :
- Vérifier la présence des scripts de démarrage : $/etc/init.d/nfs et
$/etc/init.d/nfslock
- lancement automatique par lien symbolique (préfixé par Sxx) dans $/etc/rc3.d
ou $/etc/rc5.d
- lancement manuel : /etc/init.d/nfs start, ou service nfs start (Mandriva)
- On peut vérifier le fonctionnement en interrogeant portmaperOn peut visualiser
« quelle machine cliente monte quelle ressource » : $ showmount -aET
$ cat /proc/fs/nfs/exports
2.7. Lancement de NFS sur un client
Coté client, il suffit d'effectuer le montage de la ressource exportée par un serveur
NFS : le lancement des services se fait classiquement :
- À la main : $ mount -t nfs serveur:path_distant point_de_montage
 path_distant : est le nom du répertoire exporté par le serveur
 point_de_montage : est le nom du répertoire local à partir duquel seront
utilisable les fichiers du serveur NFS
- Pour automatiser le montage des ressources NFS sur un poste client, on utiliser
fichier /etc/fstab.
2.8. Sécurité
NFS n'est pas un protocole très sécurisé («No File Security») :
- Par défaut l'UID root d'une machine cliente est mappée en l'UID nobody pour
tous les accès NFS
- L'authentification des clients repose uniquement sur le nom de domaine ou
l'adresse IP => spoofing possible
- L'identification des utilisateurs repose sur le « user id » sur le poste clients =>
usurpation possible
- Transactions non cryptées
- Utilisation recommandée en intranet isolé protégé de l'InterNet par un Firewall (-
> on fait confiance aux utilisateurs locaux !!!)
- NFS peut utiliser les mécanismes de contrôle d'accès offert par tcpd, basé sur les
fichiers /etc/[Link] et /etc/[Link]

3. Mise en place DNS (Domain Name System)

Système de Nommage par base de données répartie
- gère les correspondances entre les noms d'hôtes et les adresse IP :Par exple :
[Link] correspond à l'adresse IP [Link]
- À l'origine (années 70) la table des correspondances « nom d'hôte <-> adresse IP
» était écrite dans un fichier unique [Link], géré par le Network Information
Center (NIC) sur une machine située au Standford Research Institute (SRI) en
Californie.
- les problèmes de taille du fichier [Link], de conflit de noms, de charge du
réseau et du processeur lors de la diffusion du fichier ... ont montré que le
mécanisme basé sur [Link] ne pouvait pas suivre l'expansion du réseau
- En 1984 les premières RFC décrivant le « Système de noms de domaine » (DNS)
sont publiées.
3.1. Principe
- les données de chaque noeud sont accessibles de partout (mécanisme de client-
serveur)
- duplication (serveurs secondaires) et cache mémoire règlent les aspect de
robustesse et performance
- à chaque noeud sont associés des serveurs de noms
- les clients sont des resolvers (librairie C)
- le principe arborescent des noms de domaine garantit l'unicité des noms
- nom absolu : [Link]. équivalent à [Link](on parle aussi de FQDN :
Fully Qualified Domain Name)
- un domaine est un sous-arbre de l'espace de nommage
- un mécanisme de délégation permet à un domaine de créer autant de sous-
domaines qu'il veut ... et ainsi de suite ....
- il ya « délégation d'autorité » d'un domaine vers chacun de ses sous- domaines ...
et ainsi de suite ...
- la résolution inverse (obtenir un nom d'hôte d'après une adresse IP) met en
oeuvre une branche particulière de l'espace de nommage construite selon :
[Link] pour une machine d'adresse IP a.b.c.d
Par exemple la consultation de l'hôte correspondant à [Link].in- [Link]
donne « [Link] »
- l'implémentation Linux est dérivée de BIND (Berkeley Internet Name Domain),
écrit à l'origine pour Unix BSD 4.3
- BIND est aujourd'hui maintenu par ISC (Internet Software Consortium)
[Link]
Services/démons utilisés par le service DNS :
named implémentation du serveur DNS

3.2. Installation-serveur
Installation : réseau pré-requis, urpmi bind
Paquet serveur : bind-9.3.1
Installation : réseau pré-requis, urpmi bind-utils
Paquet client : bind-utils-9.3.1
3.3. Configuration commune client & serveur : config réseau
/etc/[Link] : Network service switch
Ordre dans lequel utiliser les différents modes d'accès possibles (fichier, nis, dns ...)
pour accéder au contenu des fichiers de configuration

/etc/[Link]
Ordre dans lequel utiliser les différents mode d'accès possibles (fichier, nis, dns ...)
pour résoudre les correspondances adresse IP <=> FQDNIl est préférable d'utiliser le
DNS plutôt que NIS :
…
order hosts, bind
…

3.4. Configuration serveur : config réseau

On peut préciser le nom du domaine DNS dans un fichier de configuration.
Tous les fichiers de configuration des services spécifiques aux distributions dérivées
de RedHat (Fedora, Mandriva, ...) sont dans le répertoire : /etc/sysconfig
/etc/sysconfig/network
HOSTNAME=[Link]
NETWORKING=yes
GATEWAY=[Link]
Le fait d'utiliser un nom FQDN pour HOSTNAME permet de fixer le domaine DNS
de la machine.
/etc/[Link]
/etc/[Link]
3.5. Configuration serveur maître : le fichier [Link]
/etc/[Link] : fixe les options principales du serveur DNS et les domaines sur
lesquels le serveur a autorité.
Exemple de fichier d'un serveur DNS primaire ayant autorité sur le domaine
[Link] :
3.6. Configuration serveur : structure d'un fichier de zone
Principaux types d'enregistrement d'un fichier zone DNS
SOA start of authority : définit le serveur DNS fournissant l'information faisant
autorité sur un domaine Internet
NS name server : définit les serveurs DNS de ce domaine
MX mail exchange : définit les serveurs mail pour ce domaine
A address : associe une adresse IPv4 à un nom d'hôte
AAAA IPv6 address : associe une adresse IPv6 à un nom d'hôte
PTR pointer : associe un nom de domaine à une adresse IP
CNAME canonical name : déclare un nom alias d'un autre
SRV généralise la notion de MX record, standardisé dans la RFC 2782.
 - le symbole @ indique le domaine auquel s'applique le fichier (ici [Link]).
=> les noms partiellement qualifiés sont relatifs à ce domaine
- Structure du début d'autorité SOA :
 rappel du nom du serveur-maître ([Link])
 adresse mail responsable du serveur (caractère « @ » remplacé par « . »
exple : jl@[Link] -> [Link])
 parenthèse ouvrante « («
 numéro de série
 intervalle entre 2 tentatives des serveurs secondaires de se
resynchroniser sur le serveur primaire
 attente avant une nouvelle tentative lorsque la resynchronisation d'un
serveur secondaire a échoué
 délai au bout duquel les données expires sur les serveurs secondaires
 durée de vie sur les serveurs autres que les serveurs secondaires
- parenthèse fermante « ) »
La zone inverse [Link] décrit les machines du réseau [Link]:
La zone inverse [Link] décrit les machines du réseau [Link]:

3.7. fichier de zone racine

On créé ce fichier par la commande : dig @[Link] > [Link]
3.8. Le fichier [Link]
/etc/[Link]

3.9. DNS : Initialisation, lancement du serveur

Après l'installation du paquet serveur DNS :
1- Configurer le nom de domaine DNS
2- Éditer si besoin le fichier /etc/[Link] : choix de l'ordre des méthodes de
résolution FQDN<->adresse IP (local, dns, nis ?)
3- Éditer si besoin le fichier /etc/[Link] : choix de l'ordre des méthodes
d'accès aux fichiers
4- Éditer le fichier /etc/[Link] : configurer au besoin
5- Créer le fichier de zone racine
6- Éditer les fichiers de zone
7- Lancer le serveur.
8- Tester avec les commandes host ou dig
3.10. Configuration client : réseau
Client fixe => on peut préciser le nom du domaine DNS
/etc/sysconfig/network

Client nomade (portable)

- On peut préciser le nom du domaine DNS dans le fichier network, mais PB quand
on change de réseau !
- Il est plus intéressant d'utiliser la configuration dynamique DHCP pour récupérer
les informations « nom de domaine DNS» et « serveur DNS »
Mandriva : /etc/[Link]
Debian : /etc/[Link]

3.11. Configuration client (resolver)

/etc/[Link]
Contient les informations lues par les routines de la bibliothèque resolver :
- namesever adresse IP d'un serveur DNS accessible
- search nom du domaine qui sera rajouté par défaut aux noms de domaine
partiellement qualifiés
Exemple /etc/[Link]
search [Link]
nameserver [Link]

/etc/[Link]
/etc/[Link]

3.12. Configuration serveur esclave : le fichier [Link]

Il est « plus que conseillé » de configurer un ou plusieurs serveur DNS esclave par
zone.
Le serveur DNS esclave reçoit la copie des fichiers zones envoyés par le serveur DNS
maître.

4. Mise en place de LDAP (Lightweight Directory Access Protocole ;

[Link] un annuaire centralisé
- Protocole ouvert d'accès à un Annuaire (1993), résultant de l'adaptation de
la norme X.500 à TCP/IP
- Les Annuaires sont des Bases de Données particulières spécialisées dans la
recherche de l'information, pas dans le traitement
 - L'organisation d'un annuaire LDAP est hiérachique et dynamique (structure
et contenu)
- Évolutivité : on peut facilement ajouter des informations à un objet d'un
annuaire (structure et contenu)
- La dernière version LDAPv3 propose chiffrement (SSL, ...) et authentification
(SASL) pour sécuriser l'accès aux informations
- OpenLDAP est un annuaire dérivé de LDAP de l'Université du Michigan
4.1. Présentation
- Un annuaire permet de stocker des données typées,
 organisées selon des classes particulières
 présentées dans un arbre.
- L'exemple le plus commun est l'annuaire de personnes Mais on peut stocker
bien d'autres choses :
 comptes Unix,
 données personnelles (carnet d'adresses, photos, etc.),
 données d'identification,
 certificats ...
- ... plus généralement tout ce qui peut être nommé et à qui on peut attacher
des informations.
4.2. Présentation-Principe d’une session
- Un client ouvre une session LDAP sur le port TCP 389 du serveur.
- Le client envoie des requêtes au serveur qui envoie des réponses en retour.
- Une fois la connexion au serveur établie, les opérations classiques sont :
 Bind : indique la version du protocole utilisée, et authentifie
l'utilisateur.
 Start TLS : utilisation Transport Layer Security pour sécuriser la
connexion
o Search : recherche dans l'annuaire et rapatriement des
données ;
o Compare : test si une entrée contient un attribut avec une
valeur donnée
o Add : ajout d'une nouvelle entrée ;
o Delete : suppression d'une entrée ;
 o Modify : modification d'une entrée ;
o Modify DN : déplacement ou renommage d'une entrée ;
o Abandon : annulation d'une requête précédente ;
o Extended : permet de définir d'autres opérations ;
- Unbind : clôture la connexion.
Exemples de serveurs LDAP :
- Serveurs LDAP
- Apache Directory Server
- Fedora Directory Server
- Red Hat Directory Server
- OpenLDAP
- Novell eDirectory
- Sun Directory Server Enterprise Edition
- IBM SecureWay Directory
- IBM Tivoli Directory Server (formerly IBM Directory Server)
- IBM Lotus Domino
- Windows Server 2003 Active Directory
- Oracle Internet Directory
- ...

4.3. Présentation - L'arborescence d'informations (DIT)

- Les informations d'un annuaire sont organisées selon une arborescence
hiérarchique (le DIT : Directory Information Tree)
- les informations sont des entrées (DSE : Directory Service Entry)
- Au sein du DIT, l’identification d’une entrée se fait à l’aide d’un nom,le
Distinguish Name (DN).
 Relative Distinguished Name (RDN)
Exemple : mail=[Link]@[Link], uid=tautoua, etc.
 Distinguished Name (DN)
o RDN + chemin dans l'arborescence en remontant
o attribut du RDN à choisir pour que tout DN soit unique
Exemple : uid=tautoua,ou=people,ou=inpg,dc=agalan,dc=org
 4.4. Présentation - L'arborescence d'informations (DIT)
- Les entrées de l'annuaire
 sont des objets (correspond à un objet abstrait ou réel ),
 appartiennent à des classes, définissant des attributs
- les attributs, les syntaxes et les classes d’objets sont identifiés à l’aide d’un
numéro unique, OID (Object Identifier).
- L’ensemble des attributs, de leur syntaxe, des règles de comparaison et des
classes d’objets, constitue le schéma de l’annuaire.
4.5. Présentation –Les classes
Une classe
- est constituées d'attributs obligatoires (MUST) ou optionnels (MAY)
- est de type structurelle, auxiliaire ou abstraite
- s'inscrit dans un arbre d'héritage de classes (SUP : classe mère)
- LDAP définit des classes d'après X.500
- On peut en fabriquer de nouvelles !
inetorgPerson ( [Link].113730.3.2.2
NAME 'inetOrgPerson'
SUP organizationalPerson
STRUCTURAL
MAY ( audio $businessCategory $carLicense $departmentNumber $
displayName $employeeNumber $employeeType $givenName $
homePhone $homePostalAddress $initials $jpegPhoto $...
x500uniqueIdentifier $preferredLanguage
$ userSMIMECertificate $ userPKCS12

)
)

4.6. Installation –serveur

Installation : réseau pré-requis, serveur -> urpmi openldap-servers-2.3.6
Autres paquets à installer :
- openldap-clients fournit les commandes : ldapadd, ldapdelete, ldapmodify,
ldapsearch, ...
 - nss_ldapfournit l'interfaçage entre LDAP et le Name Service Switch
(fichier /etc/nsswitch)
- pam_ldapfournit l'interfaçage entre LDAP et le Linux-PAM - (Module
d'authentification pour Linux)

4.7. Configuration -serveur

Configuration du serveur ldap stand-alone
/etc/openldap/[Link]
Fichier ASCII contenant différents types de ligne :
- des include de schémas pré-établies :
include /usr/share/openldap/schema/[Link]
- des définitions d'ACL (Access Control List) complémentaires
include /etc/openldap/[Link]
- des définitions de base :
database bdb
suffix "dc=world-company,dc=com"
Préconisations de l'IETF :
-> du nom de domaine DNS comme suffixe de son annuaire
-> l'utilisation de l’attribut Domain Component (dc) :
dc=world-company, dc=com
- le répertoire ou seront stockés les fichiers de données ldpap :
directory /var/lib/ldap
- Le nom du super-utilisateur pour cette base :
rootdn "cn=admin,dc=example,dc=com"
- et son mot de passe :
rootpw {SSHA}/egZlrlv21XhkwRsU2cjzZ6F0Upd31ar
Le mot de passe crypté peut être généré par la commande slappasswd :
[root@mars ~]# slappasswd -h '{SSHA}' -s secret -v
[root@mars ~]# {SSHA}/egZlrlv21XhkwRsU2cjzZ6F0Upd31ar

4.8. le langage textuel LDIF

- LDAP Data Interchange Format (LDIF) est le standard de représentation
des entrées sous forme texte.
 - Utilisé pour afficher/modifier les données de la base suivant deux modes :
 faire des imports/exports de base,
 faire des modifications sur des entrées.
- Le format utilisé est l’ASCII.
- Toute valeur d’attribut ou tout DN qui n’est pas ASCII, est codé en base 64.
Des exemples de fichiers LDIF seront vus en TP.

5. Mise en place d’un serveur SAMBA

6. Mise en place d’un serveur SMTP

7. Syslog
- lister le syslog d’un système existant
- lister un journal de /var/log, montrer les entrées ‘MARK’ insérées par syslogd
- tester son comportement avec la commande logger
 logger –p [Link] « boite au lettre en feu.
 Logger –p [Link] « pas de nouvelles, bonne nouvelle »
 Comparer l’effet avec le contenu de [Link] et notamment que le
message est stocké si son niveau est supérieur ou égal à celui de la
règle
- le modifier en y insérant une entrée.
- Tester l’entrée insérée avec logger

8. Réseau et connectivite
- tester la connectivité entre deux postes sépares par un routeur
- tester entre les machines directement connectées
- tester entre les deux machines extrêmes
- le second poste aura un routeur par défaut incorrect :
 les paquets ne reviennent pas
 mettre en évidence
o que le paquet part (analyse de trame)
o que le paquet arrive
 o que le paquet retour ne part pas
9. Mise en place d’un pare-feu
[Link] en place d’une technique de sauvegarde et de restauration d’un
serveur selon votre choix
11. Mise en place d’une technique de chiffrement selon votre choix
[Link] les services communs –client et serveur : cron
13. Configurer les services communs –client et serveur : CUPS
[Link] les services communs –client et serveur : DHCP
[Link] les services communs –client et serveur : Email (SMTP, POP,
IMAP)
[Link] les services communs –client et serveur : NTP
[Link] les services communs –client et serveur : SSH
[Link]éer un système de sécurisation de données selon votre choix