CH2

Administration Rseau
Avance sous GNU/Linux

Mohammed Madiafi
Dpartement Informatique, Rseaux et Tlcoms
Plan du chapitre2
Configuration automatique
DHCP
Centralisation de fichiers de configuration
NIS
Annuaire
LDAP
DHCP
(Dynamique Host Configuration Protocole)
DHCP
(Dynamique Host Configuration Protocole)
Assigner chaque machine du rseau

Une adresse IP unique,
Les adresses des serveurs DNS,
Les adresses des passerelles.
Dispenser l'administrateur de la tche difficile
du suivi des adresses IP,
notamment lors de l'ajout d'une nouvelle

machine.
viter la duplication d'adresses IP.
Principe de fonctionnement
Installation
Installation du serveur
isc-dhcp-server
Installation du client
isc-dhcp-client
Configuration
ATTENTION :
Tchez faire une sauvegarde de chaque

fichier de configuration dit.
Configuration ct serveur
/etc/dhcp/dhcpd.conf
Directives de fonctionnement
Options gnrales
Chaque ligne se termine par point-virgule.
/etc/defaults/isc-dhcp-server
Modification du fichier de configuration

Choix d'interfaces d'coute
8
default-lease-time 600;
Dur par dfaut en secondes attribue un
client n'ayant pas spcifi une dur de bail.
max-lease-time 7200;
Dur maximale de bail que peut demander

un client.
option domain-name-servers 192.168.9.4 ;
Adresses IP des serveurs de noms DNS.

9
#Configuration d'un segment basique
subnet 192.168.9.0 netmask 255.255.255.0 {
range 192.168.9.100 192.168.9.200;

option routers 192.168.9.1;
10
#Configuration avec plus d'options
subnet 192.168.9.0 netmask 255.255.255.0 {
range 192.168.9.100 192.168.9.200;

option domain-name-servers 192.168.9.3 ,
192.168.9.4;
Default-lease-time 600 ;
max-lease-time 7200
11
#Configuration spcifique d'une machine
host machine {
hardware ethernet 08:00:27:6f:dd:60

Fixed-address 192.168.9.157 ;
option domain-name-servers 192.168.9.3 ;
}
12
Lancement du serveur
/etc/init.d/isc-dhcp-server
status
start
stop
restart
force-reload
13
Configuration ct client
/etc/network/interfaces
iface eth0 inet static

address 192.168.9.9
netmask 255.255.255.0
network 192.168.9.0
broadcast 192.168.9.255
gateway 192.168.9.1
dns-nameservers 192.168.9.4
iface eth0 inet dhcp

14
Demande d'une configuration

automatique par un client
Mthode1 :
dhclient eth0
Mthode2 :
ifdown eth0
ifup eth0
Fichier de configuration
client :
/etc/dhclient.conf
15
Visualisation des baux DHCP

Ct serveur
/var/lib/dhcp/dhcp.leases
Adresse loue
Adresse matrielle de l'interface concerne
Dbut et fin du bail
16
Visualisation des baux DHCP

Ct client
/var/lib/dhcp/dhclient.leases
Serveur DHCP reconnu
Adresse loue
Masque du rseau
Adresse(s) serveur(s) DNS
Dbut et fin du bail
/var/lib/dhcp/dhclient.eth0.leases
Spcifique une interface (eth0 dans ce cas)

17
Visualisation des paquets changs

entre client et serveur DHCP
Tcpdump -i eth0 -n port 67 and port 68
01:25:06.163821 IP 0.0.0.0.68 > 255.255.255.255.67:

BOOTP/DHCP, Request from 08:00:27:6f:dd:60, length
300
01:25:50.080980 IP 192.168.9.9.67 > 192.168.9.101.68:
BOOTP/DHCP, Reply, length 300
01:25:50.093903 IP 0.0.0.0.68 > 255.255.255.255.67:
BOOTP/DHCP, Request from 08:00:27:6f:dd:60, length
300
01:25:50.099202 IP 192.168.9.9.67 > 192.168.9.101.68:
BOOTP/DHCP, Reply, length 300
18
Visualisation des paquets changs

entre client et serveur DHCP
Tcpdump -w cap -i eth0 -n port 67 and port 68
Wireshark
19
Agent relai DHCP
Envoyer des requtes DHCP vers un serveur

sur un rseau spar.
Pas de messages broadcast tramsmis par les
routeurs :
Solution : Dhcrelay
20
Authentification des utilisateurs
21
NIS
Objectif : Centralisation de l'administration de

systmes UNIX.
/etc/passwd
Appel au dpart Yellow Pages .
& /etc/shadow & /etc/hosts ...
Le nom tant dj enregistr pour une marque

dpose, il a t remplac par Network
information Service
Les fichiers gardent tout de mme l'abreviation
yp .
22
NIS
C'est un systme client/serveur qui permet un

groupe de machines d'un domaine NIS de
partager un ensemble de fichiers de
configuration communs.
Ce qui permet un administrateur systme de
mettre en place des clients NIS avec un

minimum de configuration
ajouter, modifier ou supprimer les informations
de configuration partir d'un unique
emplacement.
23
Domaine NIS
Un serveur matre NIS

Centralise les informations de configuration des
machines (passwd, shadow, hosts, etc.)
Un ou plusieurs serveurs esclaves NIS
Ils contiennent une copie de toutes les

informations hbrges par le serveur matre
Les clients NIS
Ils envoient des requtes vers un serveur NIS

(pour l'authentification d'un utilisateur, pour la
24
rsolution du nom d'une machine, etc.)
Processus NIS
rpcbind :
responsable de l'acitivation des RPC

Remote Procedure Call
ou appel de procdures distantes
doit tourner sur le sreveur et le client NIS.
25
Processus NIS
ypbind :
Il rcupre le nom de domaine NIS auprs

du systme, et en utilisant les RPC, il
connecte le client au serveur NIS.
Si le processus ypbind meurt sur le client,
aucune communication avec le serveur ne
sera possible.
Aprs connexion au serveur, ypbind lui
envoie de temps en temps des requtes
ping pour s'assurer qu'il marche encore.
26
Procesus NIS
ypserv :
processus serveur proprement dit.

reoit les requtes des clients NIS
traduit le nom de domaine et le nom de
table demands en chemin d'accs la
base de donnes correspondante
transmet l'information de la base de
donnes au client.
27
Procesus NIS
ypserv :
doit tourner sur les serveurs NIS.

si le processus ypserv meurt, alors le
serveur ne pourra plus rpondre aux
requtes NIS
si dans ce cas, un serveur esclave est
prsent, il prendra la relve.
28
Processus NIS
rpc.yppasswdd :
doit tourner sur les serveurs matre NIS.

permet aux clients de modifier leurs mots de
passe NIS.
si rpc.yppasswdd ne tourne pas, la
modification d'un mot de passe doit passer
par l'ouverture d'une session sur le serveur.
29
Principe de fonctionnement
La copie de rfrence de toutes les informations

NIS est stocke sur le serveur NIS matre.
Les bases de donnes utilises pour le stockage
de ces informations sont appeles tables NIS ou
cartes NIS (NIS maps).
Ces tables se trouvent sous /var/yp/[domaine]

o [domaine] est le nom du domaine NIS.
30
Initialisation des tables
Initialiser les tables NIS par ypinit
Pour gnrer les tables pour un matre NIS :

on passe l'option -m ypinit.
/usr/lib/yp/ypinit -m
(ajout des esclaves)
Pour gnrer les tables pour un esclave NIS :
on passe l'option -s ypinit.

/usr/lib/ypypinit -s ip_matre_NIS
31
Scurit NIS
Pour des raisons de scurit il est recommand:
d'ajouter l'adresse du serveur NIS dans le

fichier /etc/yp.conf
d'utiliser le fichier /var/yp/securenets pour
restreindre l'accs un ensemble donn de
machines.
32
Installation
Ct serveur :
apt-get install nis
Ct client :
apt-get install nis

Lors de l'installation, on choisit le nom du
domaine.
33
Dsignation de la machine comme serveur

NIS :
nano /etc/default/nis
NISSERVER=true
Dmarrage du service :
/etc/init.d/nis start
34
Initialisation des tables NIS

/usr/lib/yp/ypinit -m
Excut une fois pour crer les tables
cd /var/yp ; make
Excut chaque fois qu'il y a changement

au niveau des fichiers d'informations du
serveur (passwd, group, shadow, hosts,
etc.).
35
nano /etc/ypserv.securenet
255.255.255.0 192.168.9.0
Aprs chaque modification de ce fichier,
on redmarre le service NIS.
nano /var/yp/Makefile
NOPUSH=false
pour configurer un esclave
36
Choix du serveur NIS :

nano /etc/yp.conf
ypserver
192.168.9.100
Configuration du service NSS :
nano /etc/nsswitch.conf
ajout de nis partout
Configuration supplmentaire
nano /etc/passwd
+:::::/home/users:
37
Configuration ct esclave
Configiration client +
Dsignation de la machine comme esclave :

nano /etc/default/nis
NISSERVER=slave
Import des tables depuis le serveur matre :
/usr/lib/yp/ypinit -s serveur_master
38
LDAP
(Light Directory Active Protocole)
Un annuaire est un systme de stockage

d'informations qui se caractrise par :
Une consultation optimale
Un modle de stockage distribu
Mcanisme de recherche en fonction d'un critre

donn.
Possibilit de rpartir les donnes sur plusieurs
serveurs.
Une extensibilit des informations
Possibilit d'tendre la structure des donnes sans

perte des entres dj dfinies.
39
Structure et terminologie
Les donnes dans un annuaire LDAP sont

organises sous forme d'un arbre hirarchique
nomm DIT (Directory Information Tree).
Racine
DITR
GINF
Objet conteneur
GTR
Mod11
Mod12
Mod13
Mod21
Mod22
Mod23
Mod13
Res : X
Desc : Y
Objet feuille
Attributs d'objet
40
Schma
L'ensemble des types d'objets possibles dans

un annuaires, et
l'ensemble des attributs utilisables pour
chaque objet.
Le type de chaque objet est appel classe .
Une classe est dfinie par l'ensemble des
attributs qui composent l'objet correspondant.
41
Dsignation des objets
Chaque entre dans l'annuaire est dsigne

de deux faons :
Par son nom relatif RDN (Relative

Distinguished Name) : ou=personne
Par son nom complet DN (Distinguished
Name) : ou=personne,dc=societe,dc=com
42
Dsignation des objets

Domain Component
ditr.ma
Organizational Unit
ginf
gtr
Common Name
mod11
mod21
mod12
mod13
mod22
mod23
Distinguished Name
dn : cn=mod13,ou=ginf,dc=ditr,dc=ma
43
Types courants des nuds d'un DIT

dc (domain component)
Domaine
c (country)
pays
o (organization)
organisation
ou (organizational unit)
groupement
cn (common name)
nom
44
Format LDIF
(LDAP Interchange Format)
Format de fichier dfinie par le protocole

LDAP.
Un fichier LDIF peut contenir :
Des descriptions d'entres de l'annuaire ;

Des valeurs d'attributs pour les entres de
l'annuaires ;
Des instructions de traitements pour le
serveur.
45
Ficher LDIF
Exemple1 :
dfinition du groupement (ou unit

organisationnelle) ginf du domaine
ditr.ma
dn : ou=ginf,dc=ditr,dc=ma
objectClass : organizationalUnit
objectClass : top
ou : ginf
46
Ficher LDIF
Exemple2 :
dfinition d'un tudiant du groupement

ginf du domaine ditr.ma
dn : cn=etudiant1,ou=ginf,dc=ditr,dc=ma
objectClass : Person
objectClass : top
cn : etudiant1
sn : Foulane
telephoneNumber : +212 612 345 678
47
Connexion au serveur LDAP
Session : un client doit crer une session avec

un message bind et la fermer avec un
message unbind .
Pour tablir la connexion, le client doit fournir
l'adresse du serveur, le port utilis et la
version du protocole.
Les comptes de connexion sont fournis sous
la forme d'une entre laquelle est associ un
mot de passe.
Ex. d'entre: cn=admin,dc=societe,dc=com
48
Interrogation d'un serveur LDAP
Une requte LDAP a la forme :

Base ? Attributs ? Porte ? Filtre
1. Base qui dsigne le point d'entre dans
l'annuaire o commence la recherche.
2. Attributs spars par des virgules fournir
en rponse.
Si ce champs est vide ou s'il contient *,
tous les attributs sont fournis.
49

3. Porte ou scope qui spcifie l'emplacement
dans l'arbre DIT des objets fournis en rponse.
Il accpte 3 valeurs : base, one et sub.
base
Seul l'objet de
base est fourni
one
sub
Les objets du 1r
Tous les objets du
niveau sont fournis niveau infrieur sont
50
fournis

4. Filtre qui spcifie les critres sur les attributs.
La
forme est : (attribut oprateur valeur
(telephoneNumber=(212)*)
fournira les
objets dont l'attribut telephoneNumber
commence par 212.
Les
oprateurs possibles : = , ~= , <= , >=
La
combinaison de critres se fait l'aide

des oprateurs boolens : | , & , ! :
(& (sn=Flane)(telephoneNumber=*1))
51
Oprations sur les entres de

l'annuaire
Ajouter / supprimer une entre
Modifier une entre
Ajouter / supprimer un attribut
Modifier la valeur d'un attribut
52
Ajouter une entre (add)
Dans un fichier LDIF :

dn : <nom>
changeType : add
objectClass : top
objectClass : <classe>
<attribut> : <valeur>
<attribut> : <valeur>
53
Supprimer d'une entre (delete)

dn : <nom>
changeType : delete
54
Modifier une entre (modify)

dn : <nom>
changeType : modify
add : <attribut>
<attribut> : <valeur1>
55

dn : <nom>
changeType : modify
delete : <attribut>
56

dn : <nom>
changeType : modify
delete : <attribut>
57

dn : <nom>
changeType : modify
replace : <attribut>
58
Modifier le nom relatif d'une entre

(modrdn)

dn : <nom>
changeType : modrdn
newrdn : <nouveau nom relatif>
newSuperior : <nouveau parent>
deleteOldrdn : <1 ou 0>
59
Modifier le nom absolu d'une entre

(moddn)

dn : <nom>
changeType : moddn
newrdn : <nouveau nom relatif>
newSuperior : <nouveau parent>
deleteOldrdn : <1 ou 0>
60
Service LDAP
Installation ct serveur
apt-get install slapd

apt-get install ldap-utils
Installation ct client
apt-get install ldap-utils
61
Configuration du service :
dpkg-reconfigure slapd
On choisit le nom du domaine, le mot de
passe, version LDAP, etc.
62
Ajout d'une entre

dn: uid=toto,dc=ensas,dc=ma
objectClass: posixAccount
objectClass: person
uid: toto
cn: toto
sn: toto
uidNumber: 2000
gidNumber: 2000
homeDirectory: /home/users
loginShell: /bin/bash
userPassword:{SSHA}nRkpzvpuhDhZ+OFVwu
63
Ajout d'une entre
Ajout de l'entre l'aide de ldapadd :

ldapadd -x -D cn=admin,dc=ensas,dc=ma
-W -f fichier.ldif
Vrification l'aide de ldapsearch:
ldapsearch -x -b uid=toto,dc=ensas,dc=ma
64
Vrification depuis le client

ldapsearch -x -b -h 192.168.9.100
dc=ensas,dc=ma
ou bien:
nano /etc/ldap/ldap.conf
host 192.168.9.100
base dc=ensas,dc=ma
ldapsearch -x
65
Authentification l'aide de LDAP

(PAM)
login
ssh
...
ftp
...
LDAP
PAM
passwd
NIS
66
Fonctionnement du PAM
Une application demande au PAM si un

utilisateur peut se connecter.
PAM appelle des modules fonctionnels pour
exploiter une mthode d'authentification.
Si le rsultat est positif, l'utilisateur a fourni les
bons lments d'authentification ;
Dans ce cas, PAM renvoie l'autorisation de

connexion l'application.
67
Authentification l'aide de LDAP
apt-get install libnss-ldap libpam-ldap nscd

Une configuration est choisie lors de
l'installation
Modification de /etc/nsswitch.conf
Vrification de :
/etc/pam.d/common-account
/etc/pam.d/common-auth
/etc/pam.d/common-session
68

CH2

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

CH2

Diunggah oleh

Hak Cipta:

Format Tersedia

Administration Rseau

Avance sous GNU/Linux

Assigner chaque machine du rseau

notamment lors de l'ajout d'une nouvelle

Tchez faire une sauvegarde de chaque

Modification du fichier de configuration

Dur maximale de bail que peut demander

Adresses IP des serveurs de noms DNS.

subnet 192.168.9.0 netmask 255.255.255.0 {

range 192.168.9.100 192.168.9.200;

subnet 192.168.9.0 netmask 255.255.255.0 {

range 192.168.9.100 192.168.9.200;

hardware ethernet 08:00:27:6f:dd:60

iface eth0 inet static

iface eth0 inet dhcp

Demande d'une configuration

Visualisation des baux DHCP

Visualisation des baux DHCP

Spcifique une interface (eth0 dans ce cas)

Visualisation des paquets changs

01:25:06.163821 IP 0.0.0.0.68 > 255.255.255.255.67:

Visualisation des paquets changs

Agent relai DHCP

Envoyer des requtes DHCP vers un serveur

Authentification des utilisateurs

Objectif : Centralisation de l'administration de

Appel au dpart Yellow Pages .

& /etc/shadow & /etc/hosts ...

Le nom tant dj enregistr pour une marque

C'est un systme client/serveur qui permet un

mettre en place des clients NIS avec un

Un serveur matre NIS

Ils contiennent une copie de toutes les

Ils envoient des requtes vers un serveur NIS

responsable de l'acitivation des RPC

Il rcupre le nom de domaine NIS auprs

processus serveur proprement dit.

doit tourner sur les serveurs NIS.

doit tourner sur les serveurs matre NIS.

La copie de rfrence de toutes les informations

Ces tables se trouvent sous /var/yp/[domaine]

Initialisation des tables

Initialiser les tables NIS par ypinit

Pour gnrer les tables pour un matre NIS :

on passe l'option -s ypinit.

Pour des raisons de scurit il est recommand:

d'ajouter l'adresse du serveur NIS dans le

apt-get install nis

Dsignation de la machine comme serveur

Initialisation des tables NIS

Excut chaque fois qu'il y a changement

Choix du serveur NIS :

Dsignation de la machine comme esclave :

Un annuaire est un systme de stockage

Une consultation optimale

Un modle de stockage distribu

Mcanisme de recherche en fonction d'un critre

Une extensibilit des informations

Possibilit d'tendre la structure des donnes sans

Les donnes dans un annuaire LDAP sont

L'ensemble des types d'objets possibles dans

Dsignation des objets

Chaque entre dans l'annuaire est dsigne

Par son nom relatif RDN (Relative