Vous êtes sur la page 1sur 41

IUT de Bziers

Licence Pro. R&T option ASUR

Mise en production dun serveur mail et monitoring

Jean Labarussiat

Stage ralis du 10 dcembre 2007 au 25 avril 2008 sous la tutelle de M. Luc Bgault

Table des matires


Introduction 1 Etude de lexistant et contexte professionnel 1.1 Lentreprise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2 Le stage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.3 Organisation du temps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 Serveur mail 2.1 Prsentation de composition logicielle . 2.2 Intrt(s) et apport(s) pour lentreprise 2.3 Ralisation de la solution . . . . . . . . 2.4 Migration . . . . . . . . . . . . . . . . 2.5 Problme(s) rencontr(s) . . . . . . . . 3 Monitoring 3.1 Prsentation des logiciels . . . . . . . . 3.2 Mise jour de la plateforme de Bziers 3.3 Intrt et apport pour lentreprise . . . 3.4 Problme(s) rencontr(s) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 4 5 5 6 8 9 13 14 25 25 27 28 31 33 33

4 valuation des rsultats et possibilits dvolution 34 4.1 valuation des rsultats . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 4.2 Possibilit dvolution . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 Conclusion Glossaire Bibliographie Rsum 37 38 39 40

Introduction
An de valider lanne de licence professionnelle rseau et tlcom option administration et scurit des rseaux, un stage de 20 semaines est prvu. Le but de celui-ci tant de nous professionnaliser pour faciliter notre entre dans la vie active. Je ralise donc mon projet au sein du service ISR (Infrastructure Systme et Rseau) de la socit do|you|softTM base sur Bziers. Celle-ci propose une solution de commerce lectronique ainsi que lhbergement du site web. Aujourdhui, cette socit oriente vers le e-business communique de direntes faons : tlphonie, mail et messagerie instantane entre autres. Par ailleurs, dote de nombreux serveurs de production sur Paris, Montpellier et Bziers, do|you|softTM utilise des logiciels de supervision mais avec les volutions du parc et le travail quotidien prioritaire, ceux-ci sont devenus obsoltes. Cest pourquoi ma mission est compose de deux parties : naliser la mise en place dun serveur mail pop/imap scuris puis mettre jour les logiciels de monitoring actuels et les schmas correspondants au rseau de manire avoir un meilleur suivi. Ce projet sinscrit donc parfaitement dans le cursus choisi. Jaborderai lintrt de mettre en place de tels moyens et ce quils apportent une socit telle que do|you|softTM , les problmes que jai pu rencontrer tout au long de lavancement du projet et enn les possibilits dvolution quils pourraient en rsulter.

Chapitre 1 Etude de lexistant et contexte professionnel

Etude de lexistant et contexte professionnel

Lentreprise

1.1

Lentreprise

La socit do|you|softTM est une SA au capital de 411 390 euros compose dune quipe de 30 personnes exclusivement ddie ses ores locatives PowerBoutique R . Plus de 200 000 euros par an sont consacrs la recherche et au dveloppement, sa politique dinnovation a ainsi pu recevoir le soutien de lANVAR (Agence Nationale de VAlorisation de la Recherche).

1.1.1

Situation gographique

Elle bncie dune double implantation gographique en le-de-France et en LanguedocRoussillon. Lantenne parisienne commercialise la solution e-business PowerBoutique R . Une partie des serveurs de production sont hbergs chez IFR Paris, les autres se trouvent Montpellier. Enn, le centre de recherche et dadministration rseau se situe dans le centre ville de Bziers, cest aussi le sige social.

1.1.2

Activit

Avec la solution de vente en ligne PowerBoutique R , do|you|softTM propose divers acteurs de la scne conomique franaise dhberger leurs sites web o ils pourront dvelopper une activit lucrative, non-ngligeable aujourdhui, par le biais dinternet.

1.2
1.2.1

Le stage
Objectifs

Lors du premier contact avec lentreprise, nous avons discut de divers projets pouvant tre mis en place durant le stage. Le projet qui en est ressorti a donc t dans un premier temps la nalisation et la mise en production dun serveur de mail pop/imap scuris, reposant sur le systme didentication Kerberos. Puis, dans un second temps, la mise jour du serveur de monitoring de Bziers, qui est en ralit utilis an de raliser des tests. Ceci, avant dappliquer dventuels changements sur la plateforme supervisant les serveurs de production.

1.2.2

Intgration

Sous la tutelle de M. Luc Bgault, jai intgr le service infrastructure systme et rseau . Il a t mis ma disposition un poste de travail, sur lequel jai install le systme dexploitation GNU/Linux Debian, et galement un serveur (sous Debian) et deux machines virtuelles gres par une Debian-Xen. Debian a lavantage davoir une politique stricte du libre et un service de mise jour simpli. Enn, suivi par une grande communaut, il permet davoir des correctifs de scurit rapidement.

Etude de lexistant et contexte professionnel

Organisation du temps

1.3
1.3.1

Organisation du temps
Prvu

Etude de lexistant et contexte professionnel

Organisation du temps

1.3.2

Rel

Chapitre 2 Serveur mail

Serveur mail

Prsentation de composition logicielle

Avant toute chose et an de bien comprendre un projet, tablir son cahier des charges est lune des priorits. Cest ce qui avait t fait par un prcdent stagiaire. Toutefois, le systme ntant pas optimal, le cahier des charges a t redni. Ainsi, il a fallu rediscuter des contraintes mettre en place. Il en est ressorti trois catgories principales : 1. Contraintes techniques paquets Debian maintenus et suivis ; gestion des donnes LDAP ; scurisation (antispam, antivirus, Kerberos5) ; gestion des absences.

2. Contraintes nancires pas de budget. 3. Contraintes spciques les utilisateurs remplissent eux-mmes les donnes relatives leurs absences ; les utilisateurs doivent pouvoir crer eux-mmes des dossiers partags pour leurs services ; utilisation obligatoire des logiciels libres ; tout le travail se fait en double pour que chaque socit (g2msTM et doyousoftTM ) ait son systme de mail physiquement spar. Nous avons ainsi ressorti les solutions qui seraient mis en place par la suite.

2.1
2.1.1

Prsentation de composition logicielle


MTA : Postx

Description rapide : Postx est un serveur de messagerie lectronique sorti en 1999. Cest un logiciel libre sous licence IBM dvelopp par Wietse Venema et plusieurs contributeurs. Il se charge de la livraison de messages lectroniques et a t conu comme une alternative plus rapide, plus facile administrer et plus scurise que lhistorique Sendmail. Fonctionnement : Le plus grand avantage de Postx est quil dlgue chaque tape du traitement dun mail comme le montre son schma de fonctionnement. La gure 2.1 reprsente larchitecture de Postx. La dlivrance dun mail se compose de deux tapes : la rception en entre et sa dlivrance.

Serveur mail

Prsentation de composition logicielle

Fig. 2.1 Schma de traitement dun mail par Postx

Rception : Dans le cas o le message est post localement, cest le processus pickup qui le traitera. Celui-ci procde une phase danalyse des courriers (headers) an de protger le reste du systme. Sil provient dun rseau, le message est trait par un serveur SMTP. Les messages peuvent tre gnrs par Postx lui-mme ou par un robot an de prvenir ladministrateur des erreurs, adresses introuvables, tentatives de violations des rgles, problmes de protocoles. . . Cest ensuite au tour du processus cleanup qui reprsente la priode nale du traitement initial dun message, notamment la vrication de len-tte du message, la rcriture dadresse, le dpt du message dans la le incoming et avertit le gestionnaire de liste (qmgr = queue manager) de larrive dun nouveau mail. Dlivrance : Qmgr se charge donc de contacter un agent (local, smtp, lmtp, pipe) charg de dlivrer les messages en lui communiquant des paramtres (localisation du message, nom/adresse de lmetteur, nom/adresse du destinataire, machine hte de destination. . . Le gestionnaire de liste maintien une liste spare des courriers qui ne peuvent tre dlivrs immdiatement (deferred). Les messages ne pouvant tre dnitivement dlivrs (bounce) gnrent une trace dinformation dans les logs. Pour le projet, cest Maildrop qui soccupera du traitement local. Il utilise le protocole SMTP (port 25) pour lacheminement distant des messages.

2.1.2

MDA : Dovecot (IMAP)

Description rapide : Dovecot est un serveur IMAP et POP3, pour les systmes dexploitation Unix et drivs, conu avec comme but premier la scurit. Dovecot est distribu en double-licence MIT (Massachusetts Institute of Technology) et GPL version 2.

10

Serveur mail

Prsentation de composition logicielle

Dovecot gre les formats de bote de messagerie mailbox (un seul chier) et maildir (un chier par mail, tri dans des dossiers). Fonctionnement : Dans ce projet, pour vrier que Dovecot fonctionne, le mieux est de paramtrer un client thunderbird. Il faut pour cela crer une nouvelle boite mail qui se connectera lune des machines virtuelles IMAP. On doit ensuite paramtrer sur le poste client un logiciel pour demander un ticket Kerberos indispensable lauthentication. Cest pourquoi il faut spcier thunderbird dutiliser le protocole GSSAPI1 . Une fois ces paramtrages eectus, il sut de relever son courrier dans sa bote IMAP. Lors de la premire connexion, on peut observer la cration des dossiers par dfaut : new, current et temp.

2.1.3

Annuaire : OpenLDAP

Description rapide : OpenLDAP est une implmentation libre du protocole LDAP dveloppe par The OpenLDAP Project. Elle est publie sous sa propre licence : OpenLDAP Public License. Bien quociellement distribue uniquement sous forme de code source, on trouve des versions compiles pour GNU/Linux, BSD, AIX, HP-UX, Mac OS X, Solaris, et Microsoft Windows. Les serveurs LDAP sont conus pour stocker une grande quantit de donnes mais de faibles volumes et pour accder en lecture trs rapidement celles-ci grce au modle hirarchique. Cest donc une base de donnes o lon retrouve des informations sur les utilisateurs telles que, par exemple, leur UID, GID2 , numro de tlphone interne, adresse(s) mail(s). . . LDAP Data Interchange Format (LDIF) permet de reprsenter les donnes LDAP sous format texte standardis, il est utilis pour acher ou modier les donnes de la base. Il a vocation permettre une lisibilit des donnes par le commun des mortels. Fonctionnement : Lannuaire LDAP de lentreprise est, quant lui, bas sur lorganisation (cf. gure 2.2).

2.1.4

Webmail : Horde et modules

Horde Le framework Horde est crit en PHP et fournit les outils ncessaires une application web tels que les classes pour dnir les prfrences, la dtection de navigateur, le suivi de connexion. . .
1 2

Voir Glossaire Voir Glossaire

11

Serveur mail

Prsentation de composition logicielle

Fig. 2.2 Schma LDAP bas sur lorganisation

Lapplication par elle-mme ne fournit aucune fonctionnalit pour lutilisateur nal. Cest une base pour dautres applications. Cest pourquoi il est ncessaire dinstaller des modules supplmentaires qui viendront se greer la structure. IMP Le module IMP (Internet Messaging Program) de Horde est en fait le plugin qui permet la gestion des mails. Il sagit du webmail, lui aussi bas sur PHP, qui ore la plupart des fonctionnalits quun utilisateur attend de son client mail (ltre, gestion de dossiers. . .). Vacation Le module Vacation de Horde permet aux utilisateurs de modier les valeurs de lannuaire LDAP concernant les donnes dabsence dun usager (le message renvoyer, les dates de dbut et de n dabsence).

2.1.5

Mailing-list : Sympa

Description rapide : Sympa est lacronyme de Systme de Multi-Postage Automatique. Cest un gestionnaire de mailing-list crit en perl dot dune interface web. Les donnes sont stockes dans une base de donnes (MySQL, Oracle, PostgreSQL). Fonctionnement : Dans le cas du projet, comme il y a deux machines virtuelles qui se partagent les noms de domaines, il y a deux interfaces de gestion pour ne pas avoir de redondance avec les noms de liste de g2msTM et doyousoftTM . En pratique, Sympa intervient quand postx ne reconnat pas lutilisateur. Sympa rcupre alors la liste, cherche dans sa base les adresses mails lies et renvoit Postx un mail par adresse prsente.

12

Serveur mail

Intrt(s) et apport(s) pour lentreprise

2.1.6

Gnarwl

Cest un logiciel bas sur un annuaire LDAP permettant lenvoi de rponses automatiques. Ainsi, les utilisateurs nont pas besoin davoir un compte Unix sur le serveur.

2.1.7

Maildrop

Nous avons choisi de remplacer le processus de livraison de Postx procmail par maildrop. Postx peut tre congur pour livrer le courrier maildrop via lagent local de livraison. Ceci prsente lintrt des substitutions dalias locaux et de lexploitation des chiers $HOME/.forward. On peut lutiliser pour les domaines lists dans mydestination (paramtre de Postx [2.3.1]) qui nont pas de compte systme UNIX.

2.1.8

Scurisation

Kerberos est un protocole didentication rseau cr au MIT. Kerberos utilise un systme de ticket au lieu de mot de passe en clair. Ce principe renforce la scurit du systme et empche que des personnes non autorises interceptent les mots de passe des utilisateurs. Lensemble repose sur des cls secrtes (chirement symtrique3 ).

2.2

Intrt(s) et apport(s) pour lentreprise

Un tel systme possde des avantages dirents niveaux. Dans un premier temps, le fait de changer de protocole, en passant du POP lIMAP, entranera une souplesse pour ladministration rseau. Le service ISR pourra dsormais faire des sauvegardes plus simplement sans avoir besoin daller, au pralable, allumer le poste client puis copier les botes mails. Cela pourra donc seectuer de manire totalement transparente pour lutilisateur. Dautant plus que le dossier /home est un montage NFS. Ainsi, chaque membre de la socit dispose dun seul rpertoire pour stocker ses documents. Il sura de monter le /home sur les divers PC quils utilisent pour que chacun puisse retrouver toute son arborescence de stockage. Par ailleurs, lors de la cration dun nouvel utilisateur dans lannuaire LDAP, il y aura un eet boule de neige entranant la cration du dossier Maildir et son paramtrage. Malgr tout, ce systme possde galement des inconvnients. Sa force est galement sa faiblesse : en souhaitant direncier la gestion des listes (cf. Sympa) pour les deux domaines (doyousoft.com et g2ms.com), celle-ci sen trouve alourdie. En clair, ce systme apporte une souplesse indniable au service ISR mais comme tout systme, celui-ci possde quelques inconvnients de par sa structure actuelle.
3

Voir Glossaire

13

Serveur mail

Ralisation de la solution

2.3

Ralisation de la solution

Fig. 2.3 Schma architectural de distribution de mail Nous dcouvrons dans la gure 2.3 larchitecture que va avoir le systme de mail. Le serveur de mail en tte dlivre les messages aux deux machines virtuelles (ou VM pour virtual machine). Voici deux exemples de fonctionnement : Exemple 1 : Un mail arrive pour lutilisateur jlabarussiat@doyousoft.com, le serveur principal lexamine (antispam, antivirus,. . .). Cest un domaine gr par la VM DYS (= DoYouSoftTM ), le mail est relay. La VM tablit une connexion avec lannuaire LDAP, vrie ladresse et par lutilisation dune autre requte LDAP remplace jlabarussiat par jean qui possde un /home mont en NFS. Le mail est crit dans son /home/<user>\ /Maildir/new/ Exemple 2 : Un mail arrive pour lutilisateur admin@viagra.com, le serveur principal lexamine. Lutilisateur nest pas reconnu, il est dtruit. Exemple 3 : Un mail arrive pour lutilisateur dys@doyousoft.com, le serveur principal lexamine. Le mail passe par les modules antispam, antivirus,. . . Ce mail est reconnu comme spam, il est dtruit.

14

Serveur mail

Ralisation de la solution

2.3.1

Conguration

Aprs avoir compris la thorie, passons la pratique. Jadopte une dmarche organisationnelle dans un premier temps. analyse de lexistant, ce qui a t fait par lancien stagiaire (pour ne pas reproduire les mmes erreurs) ; analyse des besoins (cf. cahier des charges [ 2]) ; descriptif des attributs LDAP ncessaires ; mise en place basique ; scurisation du serveur ; test de fonctionnement ; rglage(s) dnitif(s). Par la suite, il faut se plonger dans les chiers de conguration. Cest lunique faon de le faire de manire prcise. Pour la scurit des connexions, on utilise le protocole ssh ainsi que lauthentication par Kerberos. Pour une mise en place basique, cest--dire lenvoi et la rception des mails, seuls Postx, Maildrop et Dovecot doivent tre congurs.

Conguration de Postx Je vais en premier lieu installer le logiciel et les paquets qui lui sont ncessaires : # aptitude install postfix postfix-ldap maildrop courier-authlib Une interface pour la pr-installation apparat. Choisir site internet et valider car les serveurs possdent une adresse IP publique et envoient les mails directement. Donner le nom de la machine (imap.doyousoft.com ou imap.g2ms.com) et valider. Puis laisser le smtp relayhost vide pour linstant, je reviendrai sur sa conguration plus tard. postfix-ldap permet dintgrer la connexion un annuaire LDAP ; maildrop permet dutiliser maildroprc pour la dlivrance du courrier plutt que procmail (par dfaut) ; courier-authlib est une librairie ncessaire au bon fonctionnement de maildrop. Postx se congure trs simplement grce deux chiers : main.cf et master.cf. Le premier sert pour la conguration gnrale et le dernier pour paramtrer les processus qui interviennent lors de chaque tape de livraison dun mail. Je commence par le chier principal (main.cf ). Il faut savoir quil existe un trs grand nombre doptions pour la conguration de Postx. Je vais dcrire celles que jai utilis pour son fonctionnement regroupes en catgories. Conf. gnrale : append_dot_mydomain = autorise/refuse lajout du nom de domaine dni tout utilisateur qui loublie lors dun envoi ; 15

Serveur mail

Ralisation de la solution

maximal_queue_lifetime = priode pendant laquelle Postx ressaye de dlivrer un mail ; program_directory = chemin du programme qui gre les mails ; queue_directory = chemin du programme qui gre la queue. Conf. unique : mydomain = sert dterminer le domaine de la machine pour avoir le FQDN4 ; myhostname = sert dterminer le nom de la machine pour avoir le FQDN ; myorigin = utilis pour dterminer le domaine ajouter ; mydestination = Pour quels domaines les mails sont accepts et distribus.

Conf. recherche LDAP : local_transport = spcie de quelle faon vont tre distribus les mails en local ; ldaplocal_server_host = adresse FQDN du serveur ; ldaplocal_server_port = son port ; ldaplocal_search_base = la base LDAP (dc=exemple,dc=com) ; ldaplocal_scope = mode de recherche dans lannuaire ; ldaplocal_query_filter = ltre les rsultats par rapport ce qui est entr ; ldaplocal_result_attribute = rsultat de la recherche.

Conf. des botes aux lettres : home_mailbox = type de bote mail ; mailbox_size_limit = taille limite de la bote aux lettres (0 = pas de limite) ; recipient_delimiter = Le sparateur par dfaut entre noms dutilisateurs et extensions dadresse. Conf. rseau : relayhost = vers quelle machine doivent tre relays les mails pour lenvoi ; mynetworks = rseau autoris pour lenvoi de mails ; inet_interfaces = les adresses rseau par lesquelles le systme de messagerie reoit les messages ; mailbox_command = commande qui va dlivrer le mail ; maildrop_destination_recipient_limit = appelle lagent de livraison pour chaque X destinataire(s) ; default_transport = programme qui va sous-traiter lenvoi de mails. Conf. utilisateur : alias_database = base des utilisateurs utiliser et faon de le faire ; local_recipient_maps = tables de correspondances contenant tous les noms ou adresses des destinataires locaux ; recipient_canonical_maps = base des utilisateurs utiliser pour faire la conversion duid ;
4

Voir Glossaire

16

Serveur mail

Ralisation de la solution

unknown_local_recipient_reject_code = code derreur renvoy pour un utilisateur inconnu qui essaye de se servir du Postx. Enn, comme dit prcdemment, nous utiliserons le processus maildrop. Ce chier est le plus simple congurer puisquil sagit de dcommenter la commande inscrite et dajouter un / en n de ligne an dobtenir ceci : DEFAULT="$HOME/Maildir/" Pour pouvoir utiliser le processus maildrop dans Postx, il faut le dnir dans le chier master.cf : maildrop unix - n n - - pipe ags=DRhu user=vmail argv=/usr/local/courier/bin/maildrop -w 90 -d ${user}@${nexthop} ${extension} ${recipient} ${user} ${nexthop} ${sender} Avec ceci, la conguration de Postx est complte, nous pouvons passer celle du MDA : Dovecot.

Conguration de Dovecot Aprs avoir fait quelques recherches sur dovecot, il apparat quun problme avec la gestion de donnes LDAP lempche de fonctionner de faon stable en production. Cest pourquoi il est conseill dutiliser la version backport . Nous allons pralablement installer le paquet debian-keyring comme prcdemment avec la commande aptitude. Puis, il est ncessaire daller modier le chier /etc/apt/sources.list et dajouter ces lignes : # Etch Backports deb http ://www.backports.org/debian etch-backports main Pour pouvoir utiliser les dpts5 backport, mettre jour la conguration des dpts est une priorit avec la commande aptitude update puis installer le paquet dovecot en tapant aptitude install -t etch-backport dovecot-imapd. Penser commenter la ligne de dpts backport (ajoute au chier sources.list) pour la suite sous peine dutiliser ceux-ci lors des prochaines mises jour et installations. Dovecot se congure laide de deux chiers galement : dovecot.conf pour la conguration gnrale et dovecot-ldap.conf pour la connexion lannuaire LDAP. Linconvnient de dovecot est la lourdeur de son chier de conguration qui inclut la totalit des variables et la dnition de chacunes. Seule une dizaine doptions sont ncessaire une mise en place basique de ce systme. Ainsi, on peut retrouver dans lordre dapparition : base_dir = chemin o sont stockes les processus excuter ; protocols = sert dnir les protocoles daccs aux botes mail ;
5

Voir Glossaire

17

Serveur mail

Ralisation de la solution

listen = dnit sur quelle interface rseau couter ; disable_plaintext_auth = autorise le transfert de mot de passe en clair ; ssl_cert_le = chemin absolu vers le certicat ; ssl_key_le = chemin absolu vers la cl ; login_greeting = message ach lors dune connexion imap (telnet par exemple) ; mail_location = sert dnir le format de la bote mail (mailbox ou maildir) ; mmap_disable = requis si les donnes sont stockes dans un montage NFS ; auth_gssapi_hostname = hostname utiliser pour le GSSAPI ; auth_krb5_keytab = chier .keytab utiliser pour le mcanisme GSSAPI ; mechanism = sert dnir les protocoles dauthentication ; passdb ldap = spcie lutilisation dun annuaire LDAP pour les mots de passe, sa valeur : chemin vers le chier o trouver la conguration de connexion ; userdb ldap = spcie lutilisation dun annuaire LDAP pour les utilisateurs, sa valeur : chemin vers le chier o trouver la conguration de connexion.

Aprs cette premire partie, les donnes utiles ltablissement de la connexion avec lannuaire LDAP se font dans le chier /etc/dovecot/dovecot-ldap.conf hosts = dnit ladresse de lannuaire LDAP ; ldap_version = dnit la version LDAP utiliser ; base = base de lannuaire ; scope = dnit comment est fait une recherche dans lannuaire ; user_attrs = mapping de variables concernant lutilisateur ; user_filter = requte LDAP concernant lutilisateur ; pass_attrs = mapping de variables concernant le mot de passe ; pass_filter = requte LDAP concernant le mot de passe.

Concernant Dovecot, il est prfrable de stocker tous les chiers de conguration inutiles dans un autre sous-dossier car ceux-ci peuvent perturber le bon fonctionnement du systme.

Ralisation des premiers tests Une fois ces paramtrages eectus, nous pouvons passer au test de fonctionnement. Utilisation de la commande telnet : telnet <hostname> <port>, et des commandes SMTP. $ telnet imap.doyousoft.com 25 Trying <adresse IP>... Connected to imap.doyousoft.com (<adresse IP>). Escape character is ^]. 220 imap.doyousoft.com ESMTP Postx DYS/PW (Debian/GNU) $ mail from : jlabarussiat@doyousoft.com 250 2.1.0 Ok $rcpt to : jlabarussiat@doyousoft.com 250 2.1.5 Ok 18

Serveur mail

Ralisation de la solution

$ data 354 End data with <CR><LF>.<CR><LF> $ Subject : test $ cest un test ! $ . 250 2.0.0 Ok : queued as <ID du message> $ quit 221 2.0.0 Bye Connection closed by foreign host. Pour vrier que le mail a bien t dlivr, il est primordial daller voir les chiers de logs o sont reports tous les problmes ou changements que le systme reoit. Ceux qui sont intressants pour nous sont /var/log/syslog et /var/log/mail.log. Nous remarquons que les messages transmis ont le status sent (envoy). Maintenant que les tests de fonctionnement sont faits, nous pouvons passer ltape suivante en ajoutant un webmail.

Conguration de Horde Horde est une base de travail en PHP pour lajout de fonctionnalits aussi appeles modules. A do|you|softTM , nous avons besoin dun webmail et dune interface de paramtrage pour les absences. Par ailleurs, un webmail ncessite linstallation et la conguration dun serveur web et des direntes librairies PHP indispensables au bon fonctionnement de celui-ci et de ses fonctionnalits.

Pr-requis # aptitude install apache2 php5 php5-cgi php5-mcrypt php5-mysql php5-ldap\ php5-imap libapache2-mod-php5 php-pear php5-dev php5-gd libmagic-dev make\ libgeoip-dev mysql-client Lors de linstallation du paquet libapache2-mod-php5, une interface apparat pour la conguration du paquet li libc-client o sache la question : libc-client doit-il tre install sans la gestion de Maildir ? Il faut bien entendu rpondre non puisque lon utilise ce format. Ensuite, des modules supplmentaires recommands pour horde sont ncessaires : Mise jour de pear et installation dextension : # pear upgrade all # pear install Mail_Mime Auth_SASL # pecl install fileinfo lzf json fileinfo permet damliorer la gestion des pices jointes. # echo "extension=fileinfo.so" | /usr/bin/tee /etc/php5/conf.d/fileinfo.ini

19

Serveur mail

Ralisation de la solution

lzf permet de rduire la taille des sessions et donc loccupation mmoire du serveur. # echo "extension=lzf.so" | /usr/bin/tee /etc/php5/conf.d/lzf.ini Aprs avoir install tous les paquets ncessaires au bon fonctionnement du webmail, nous devons crer et paramtrer la base de donnes qui lui sera attribue. Les dveloppeurs de horde ont bien fait les choses et il existe des scripts pour divers systmes de base de donnes relationnelles (SQL, MySQL, PostgreSQL, Oracle). Nous utilisons le script create.sql que nous pouvons trouver dans la documentation de horde : /usr/share/doc/horde3/examples/scripts/sql/. Il est possible dexcuter cette cration en une seule commande : /usr/share/doc/horde3/examples/scripts/sql\ /create.sql < < mysql -h <serveur hote> -u <nom dutilisateur> -p puis valider, le mot de passe sera demand, le taper et valider. Il est important de ne pas crire le mot de passe en clair, sinon il se trouvera dans lhistorique des dernires commandes excutes.

Horde Linstallation se fait avec la commande habituelle aptitude install horde3 La conguration de Horde est ralise partir dune interface web. Pour chaque option, une explication est donne. Mais avant de les faire, il y a quelques permissions accorder et des modications faire. Nous commenons donc par autoriser les requtes HTTP vers ladresse du webmail dans le chier /etc/apache2/sites-available/default pour ajouter ces lignes avant la fermeture de la dernire balise virtualHost : Alias /horde3 "/usr/share/horde3" <Directory "/usr/share/horde3"> Options FollowSymLinks AllowOverride Limit deny from all allow from <adresse IP du poste qui va congurer le webmail> </Directory> Ensuite, nous pouvons entrer ladresse http://imap.doyousoft.com/horde3 et nous obtenons un message derreur prvu par dfaut : Horde3 conguration disabled by default because the administration/install wizard gives the whole world too much access to the system. Read /usr/share/doc/horde3/README.Debian.gz on how to allow access. . Nous devons commenter ou supprimer les deux premires lignes du chier de conguration de Horde /etc/horde/horde3/conf.php laide dun double / (signe de commentaire en PHP). Il faut savoir quil existe une autre erreur qui apparat lorsque lon fait une rinstallation de horde (mme aprs un aptitude purge). Par chance, il sut avec lexpression rgulire sed -i s#\\##g /etc/horde/horde3/conf.php denlever les caractres dchappement prsents dans ce chier car ils sont mal interprts. Pour pouvoir nir la conguration de horde, nous devons donner des permissions dcriture avec la commande chown 750 /etc/horde puis modier le groupe propritaire 20

Serveur mail

Ralisation de la solution

de ces chiers avec la commande chgrp www-data /etc/horde. Notons que cest le groupe www-data, celui par dfaut des utilisateurs internet. Par ailleurs, nous allons dans un premier temps accorder tous les droits (lecture, criture, excution) aux utilisateurs se trouvant dans la plage IP dnie dans le chier dapache2 et ce, pour le chier de conguration principal avec la commande chmod 777 /etc/horde/horde3/conf.php. Horde stocke par dfaut son ancienne conguration dans un chier portant lextension .bak, il nexiste pas par dfaut. Pour le crer, la commande touch /etc/horde/horde3/conf.php.bak mais il faut galement lui attribuer des droits chmod 777 /etc/horde/horde3/conf.php.bak. Nous pouvons ractualiser la page internet qui mne vers linterface de Horde et passer la conguration interne. Celle-ci est intuitive, il sut daller dans Administration/conguration et choisir Horde (horde) gauche pour entrer dans les options de conguration. Nous obtenons un menu de conguration sous forme donglets. Onglet general : Un chemin qui a son importance sous peine de dysfonctionnement. what path should we set cookies to ? = chemin o se trouve les chiers de conguration (/horde3). Le chire 3 peut tre manquant. Onglet database : Il sagit ici de congurer la base de donnes pour Horde dnie plus haut. choisir SQL database ; mysql -> custom parameters ; database = <adresse FQDN du serveur MySQL> ; user = <utilisateur pour la base de donnes> ; passwd = <mot de passe de cet utilisateur> ; connect = TCP/IP (3306) ; db_name = <nom de la base de donnes>.

Onglet authentication : Cet onglet est trs important car il faut obligatoirement dnir au moins un utilisateuradministrateur (grce son UID de lannuaire LDAP) sous peine de ne pouvoir congurer quoi que ce soit dautre dans horde. Il existe bien sr le recours la modication en dur du chier de conguration mais autant le prvoir ds le dbut. admin_user = administrator, jean ; backend = IMAP authentication ; choisir separate values ; serveur de connexion : localhost ; le port : 143 ; type de connexion : imap/notls.

21

Serveur mail

Ralisation de la solution

Onglet logging : Nous allons activer le mode DEBUG qui nous facilite le travail en cas de problme en reportant dans un chier de log /var/log/horde/horde3.log tout ce qui fonctionne et qui ne fonctionne pas. level = PEAR_LOG_DEBUG. Onglet preference systems Nous dnissons lendroit o seront stockes les prfrences de chaque utilisateur. choisir SQL database ; mysql -> custom parameters ; database = <adresse FQDN du serveur MySQL> ; user = <utilisateur pour la base de donnes> ; passwd = <mot de passe de cet utilisateur> ; connect = TCP/IP (3306) ; db_name = <nom de la base de donne>s ; table_name = horde_prefs.

Onglet datatree systems : choisir SQL database ; mysql -> custom parameters ; database = <adresse FQDN du serveur MySQL> ; user = <utilisateur pour la base de donnes> ; passwd = <mot de passe de cet utilisateur> ; connect = TCP/IP (3306) ; db_name = <nom de la base de donnes> ; table_data = horde_datatree ; table_attributes = horde_datatree_attributes.

La conguration est prte, il ne nous reste plus qu valider en cliquant une fois sur Gnrer la configuration de Horde (bouton disponible en bas de chaque onglet). Cela aura pour eet de nous dconnecter de linterface. Le framework Horde est maintenant disponible, pour en faire un webmail, installons IMP (Internet Messaging Program) dvelopp pour Horde.

IMP Linstallation du paquet : aptitude install imp4. Quelques permissions doivent tre donnes galement : chmod 777 /etc/horde/imp4\ /conf.php. La cration du chier qui stocke par dfaut lancienne conguration dans un chier portant lextension .bak : touch /etc/horde/imp4/conf.php.bak avec les droits chmod 777 /etc/horde/imp4/conf.php.bak. Pour le congurer, il faudra se connecter avec lUID dun utilisateur qui est administrateur et son mot de passe kerberos. Puis se rendre dans Administration/conguration et choisir dans la partie de droite Courrier (imp). Nous retrouvons le style de conguration 22

Serveur mail

Ralisation de la solution

en onglet. Onglet external utilities : Dans "Select any applications that should be linked in IMPs menu" => slectionner horde Onglet mailbox and fetchmail Ce sont des options de prsentation, on peut cocher les 4 radiobox si lon veut. Valider la conguration avec le bouton Gnrer la configuration de Horde (bouton disponible en bas de chaque onglet). Par ailleurs, deux autres chiers doivent tre modis pour quIMP fonctionne parfaitement : /etc/horde/imp4/servers.php et /etc/horde/imp4/trailer.txt qui rajoute la n des mails un texte annonant lenvoi de ceux-ci par le module IMP, il sut deffacer son contenu. Nous aurions pu y crire le nom de la socit et ses coordonnes mais le chef de service na pas retenu cette ide.

Vacation Linstallation du paquet : aptitude install sork-vacation-h3. Puis les commandes habituelles pour tout nouveau module : chmod 777 /etc/horde/vacation3/conf.php, puis touch /etc/horde/vacation3/conf.php.bak avec les droits chmod 777 /etc/horde\ /vacation3/conf.php.bak. Nous accdons l aussi ladministration du module par Administration/conguration puis dans le menu de gauche Absences (vacation) pour avoir accs au paramtrage. Dcocher "Does your vacation setup support congurable email senders (from : headers) ?" ; Dans "the driver to use", choisir "Exim mailer based LDAP driver" ; "Hostname where the LDAP server is running on" : <adresse du serveur LDAP> ; "Port that the LDAP server is using " : 389 ; "LDAP Protocol Version" : LDAPv3 ; "Basedn" : <base du domaine> ; "Userdn" : <laisser vide> ; "The attribute to search for. If it exists it denes the vacation message" : vacationInfo ; "The attribute which contains the vacation status" : vacationActive ; "The value of the status attribute if the vacation is enabled" : TRUE ; "The value of the status attribute if the vacation is disabled" : FALSE ; "The name of the attribute which acts as the RDN for the ldap entry" : uid ; "Should we log the user automatically in with the username and password he uses to login to Horde ?" : Yes but with everything after the @ stripped from the username ; Dcocher "Give the user the ability to change which aliases to use ?" ; "Method to retrieve aliases" : none.

23

Serveur mail

Ralisation de la solution

Valider la conguration avec le bouton Gnrer la configuration de Horde comme pour horde et imp.

Scurisation Par dfaut, apache transmet les donnes des sites via le protocole HTTP (port 80) laissant passer en clair celles-ci entre linterface du site et lutilisateur. Pour cela, il existe une alternative : du HTTP scuris ou HTTPS (port 443), encrypt par le protocole SSL. Pour une meilleure gestion, il est conseill de crer un chier par site. Dans le cadre du projet, seule la conguration pour horde nous intresse. Nous la stockerons dans le chier /etc/apache2/sites-available/horde. Activer le site avec la commande # a2ensite /etc/apache2/sites-available/horde. Spcier au serveur dcouter les requtes vers le port 443 avec la commande echo Listen 443 > > /etc/apache2/ports.conf. Une fois mis en place, penser faire un /etc/init.d/apache2 reload qui aura pour eet de recharger la conguration dapache. Par ailleurs, nous devons activer des modules propres apache pour le fonctionnement SSL et la rcriture dadresse : # a2enmod ssl puis # a2enmod rewrite Conguration de Sympa Comme tous les autres logiciels, linstaller est prioritaire avec aptitude install sympa. Sympa dispose dune multitude de chiers de conguration mais un seul servira notre niveau : /etc/sympa/sympa.conf. log_level = dnit un niveau de DEBUG ; domain = domaine des adresses ; listmaster = adresse mail des administrateurs ; lang = dnition de la langue de linterface web ; create_list = dnit qui a le droit de crer des listes (listmaster, public, abonns. . .) ; db_type = type de base de donnes (mysql, oracle, postgresql. . .) ; db_name = nom de la base de donnes ; db_host = FQDN du serveur qui hberge la base de donnes ; db_user = lutilisateur qui accs la base de donnes ; db_passwd = son mot de passe ; wwsympa_url = URL de linterface de sympa (par dfaut : URL du serveur/wws

Un bug report cette adresse http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=208203 nous oblige taper quelques commandes pour faire fonctionner le gestionnaire : cd /etc/sympa chgrp www-data cookie sympa.conf wwsympa.conf chmod 6755 /usr/lib/cgi-bin/sympa/wwsympa.fcgi chown sympa.sympa /usr/lib/cgi-bin/sympa/wwsympa.fcgi Suite cela, un autre problme survient. Lors de la cration dune liste, celle-ci nest pas active car sympa na pas les droits de lancer la commande newaliases. La solution est de lui donner les droits ponctuellement lorsquil en a besoin avec la commande qui suit : 24

Serveur mail

Migration

chmod +s /usr/lib/sympa/bin/aliaswrapper.

2.4

Migration

Avant ltape proprement dite de la migration des MX6 , je dois passer sur chaque poste client et congurer le client mail choisi par le service technique (thunderbird). Il y a peu de chose modier mais elles sont obligatoires pour que le client gre le GSSAPI. Pour cela, dans linterface de thunderbird, faire : dans le champ de recherche, taper : network.auth.use-gssapi, slectionner false ; une nouvelle recherche pour : network.negotiate.trusted-uris, double-cliquer sur la variable et y inscrire dys1.net,doyousoft.net. La migration totale na pas pu seectuer avant la n du stage pour diverses raisons. La premire tant que le serveur ne possde pas encore la gestion des mailing-list existantes et que les clients de la socit les utilisent. Je nai pas eu le temps de rsoudre tous les problmes lis la gestion des listes. La seconde est que je nai pas ni de congurer tous les clients mails de chaque poste. Toutes les personnes nayant pas besoin daccder aux serveurs ne possdent pas de mot de passe Kerberos. Elles sont donc dans limpossibilit de relever leurs mails puisque Dovecot ncessite la connexion grce un ticket Kerberos. Pour cela, ladministrateur rseau doit passer sur les postes pour leur installer un paquetage compos dune pr-conguration du logiciel kerberos for windows coupl avec leash (utilitaire de gestion des tickets).

2.5

Problme(s) rencontr(s)

Comme dans tout projet, des obstacles sopposent au bon droulement de celui-ci. Avant tout, il faut avoir une comprhension thorique et globale du systme. Savoir prendre du recul savre galement utile pour avancer. Il est ncessaire dlaborer un plan dattaque tape par tape, en ajoutant de la dicult progressivement pour ne pas se laisser submerger par les tches accomplir. De nouveaux problmes auxquels on ne pense pas, avant darriver un certain stade, peuvent apparatre lors de lavance du projet. Cest le cas notamment du systme de rponse automatique : le service technique a congur les serveurs quil gre pour recevoir des mails lors de problme, mais ces adresses denvoi ne ncessite pas de rponse, cest uniquement un mail dinformation. Ainsi, la seule parade que lon ait trouv est que les ingnieurs et techniciens ne paramtrent jamais leur systme dabsence lorsquils sont en cong ou autres.

Voir Glossaire

25

Serveur mail

Problme(s) rencontr(s)

Un autre problme que jai soulev vient de larchitecture quils souhaitent avoir. En eet, en souhaitant bien direncier les serveurs imap, il faut doubler la conguration, linconvnient vient surtout du fait davoir deux interfaces de gestion des mailing-list. La personne qui va soccuper de les crer va devoir grer deux identits. Ce systme aurait gagn en souplesse sil avait t possible dinstaller Sympa sur le serveur de tte. Il reste cela dit un problme aprs mon dpart, comme expliqu dans les exemples de fonctionnement de larchitecture actuelle, le premier serveur rejette tous les mails dont les utilisateurs ne sont pas reconnus dans lannuaire LDAP. Les listes ny gurent pas en tant quutilisateur. Mon tuteur a donc cr des entres dans lannuaire pour que le serveur de tte accepte de dlivrer les listes de diusions la machine virtuelle correspondante. Le problme restant, cest le traitement de ces envois lors de la rception par les VMs, un script en perl existe mais il na pas lair de fonctionner comme on le souhaite.

26

Chapitre 3 Monitoring

27

Monitoring

Prsentation des logiciels

3.1

Prsentation des logiciels

Tout dabord, il faut savoir quun administrateur utilise le protocole SNMP (Simple Network Management Protocol), protocole simple de gestion de rseau en franais, pour grer les quipements du rseau, superviser et diagnostiquer des problmes rseaux. Principe de fonctionnement du protocole SNMP Ce systme de gestion de rseau est bas sur 3 lments principaux : un superviseur (plus couramment appel manager), des nuds (swith, routeur, composants internes. . .) et des agents. Le manager va permettre ladministrateur de superviser/grer son rseau en excutant des requtes de management via une console. Tous les quipements administrer doivent tre quips dun agent SNMP. Ce dernier est en fait un serveur qui reste lcoute des ventuelles requtes qui pourraient tre envoyes par ladministrateur, et ce, sur le port UDP 161 seulement. Lagent est donc prsent pour couter les requtes et y rpondre, mais il peut galement tre congur pour mettre des alertes. Cela permet dinformer ladministrateur rseau quil y a un problme sur le dbit dune interface ou bien au niveau de la temprature dun CPU, etc. Cest la raison pour laquelle le manager dispose galement dun serveur qui lui, reste lcoute sur le port UDP 162 pour les ventuels signaux dalarme. Lagent permet la rcupration de toutes sortes dinformations concernant les quipements rseau. Switchs, hubs, routeurs et serveurs sont des exemples dquipements contenant des objets manageables. Ceux-ci peuvent tre des informations matrielles, des paramtres de conguration, des statistiques de performance et autres objets qui sont directement lis au comportement en cours de lquipement en question. Ces objets sont classs dans une sorte de base de donnes arborescente appele MIB1 . Le protocole SNMP assure le dialogue entre le superviseur et les agents an de recueillir les objets souhaits dans la MIB. Larchitecture de gestion du rseau propose par le protocole SNMP peut donc tre divise en trois parties : les quipements manags (managed devices) sont des lments du rseau (pont, switch, hub, routeur ou serveur), contenant des objets de gestion (managed objects) pouvant tre des informations sur le matriel, des lments de conguration ou des informations statiques ; les agents, cest--dire une application installe sur chaque quipement rseau, qui transmettent au manager les donnes locales au format SNMP ;
1

Voir Glossaire

28

Monitoring

Prsentation des logiciels

les systmes de management de rseau (network management systems nots NMS2 qui reprsentent la console depuis laquelle ladministrateur peut grer. SNMP en pratique Concrtement, dans le cadre dun rseau, SNMP est utilis : pour administrer les quipements ; pour surveiller le comportement des quipements. Une requte SNMP est un datagramme UDP habituellement destination du port 161. Les schmas de scurit dpendent des versions de SNMP (v1, v2 ou v3). Dans les versions 1 et 2, une requte SNMP contient un nom appel communaut , utilis comme un mot de passe. Il y a un nom de communaut dirent pour obtenir les droits en lecture et pour obtenir les droits en criture. Un grand nombre de logiciels libres et propritaires utilisent SNMP pour interroger rgulirement les quipements et produire des graphes rendant compte de lvolution des rseaux ou des systmes informatiques (MRTG, Cacti, Nagios,...).

Fig. 3.1 Schma de fonctionnement du protocole SNMP


2

NMS (Network Management Station) : cest une machine de management dun rseau.

29

Monitoring

Prsentation des logiciels

Comme on peut le voir sur la gure 3.1, le protocole SNMP dnit aussi un concept de trap. Une fois dni, si un certain vnement se produit, comme par exemple le dpassement dun seuil, lagent envoie un paquet UDP un serveur. Ce processus dalerte est utilis dans les cas o il est possible de dnir simplement un seuil dalerte. Les traps SNMP sont envoys en UDP/162.

3.1.1

Nagios

NagiosTM (anciennement appel Netsaint) est une application assurant la surveillance systme et rseau. Elle supervise les htes et services pralablement, mettant des alertes lorsque les systmes ont un problme et lorsquils vont mieux. Il sagit dun logiciel libre sous licence GPL. NagiosTM est un programme qui ncessite des modules, ceux-ci peuvent tre dtaills en trois parties : 1. Le moteur de lapplication qui organise les tches raliser au niveau de la supervision ; 2. Linterface web, qui permet davoir une vue densemble du systme dinformation et des ventuelles anomalies ; 3. Les plugins, une centaine de petits programmes que lon va pouvoir rajouter au besoin pour superviser les ressources et les services disponibles sur lensemble des ordinateurs ou des lments rseaux du parc. Voici ci-dessous une liste des direntes possibilits qui nous sont proposes par NagiosTM : Superviser des services rseaux : SMTP, POP3, HTTP, NNTP, ICMP, SNMP, LDAP, etc ; Superviser les ressources des serveurs (charge du processeur, occupation du disque dur, utilisation de la mmoire) et ceci sur les systmes dexploitation les plus rpandus ; Interface avec le protocole SNMP ; La supervision distance peut utiliser SSH ou un tunnel SSL ; Les plugins sont crits dans les langages de programmation les plus adapts leur tche : scripts shell (Bash, ksh, etc), C++, Perl, Python, Ruby, PHP, C#, etc ; La vrication des services se fait en parallle ; Possibilit de dnir une hirarchie dans le rseau pour pouvoir faire la dirence entre un serveur en panne et un serveur injoignable ; La remonte des alertes est entirement paramtrable grce lutilisation de plugins (alerte par email, SMS, etc) ; Acquittement des alertes par les administrateurs ; Gestion des escalades pour les alertes (une alerte non acquitte est envoye un groupe dirent) ; Limitation de la visibilit, les utilisateurs peuvent avoir un accs limit quelques lments ; Capacit de gestion des oscillations (nombreux passages dun tat normal un tat derreur dans un temps court) ; 30

Monitoring

Mise jour de la plateforme de Bziers

Chaque test renvoie un tat particulier : 1. OK (tout va bien) 2. WARNING (le seuil dalerte est dpass) 3. CRITICAL (le service a un problme) 4. UNKNOWN (impossible de connatre ltat du service)

3.1.2

Cacti

Cacti est un logiciel de supervision rseau, il est bas sur RRDTool3 . Son principe de fonctionnement repose sur un serveur web quip dune base de donnes et du langage PHP. Cacti peut-tre peru comme le successeur de MRTG4 mais galement comme linterface dinterprtation et dutilisation de RRDTool. Il permet de reprsenter graphiquement divers statuts de priphriques rseau utilisant SNMP ou encore grce des scripts (Bash, PHP, Perl, VBs...) pour avoir par exemple lespace disque restant ou bien la mmoire utilise, la charge processeur ou le ping dun lment actif. Les donnes sont rcoltes auprs des dirents agents SNMP (ou auprs des scripts locaux) grce un script php. Pour de meilleures performances un excutable, nomm Cactid, peut galement eectuer les interrogations. Lintrt de ce logiciel rside principalement dans son principe de modles (Templates) qui permet de crer de manire gnrique les graphiques an de pouvoir les rutiliser. De faon gnrale, tout est modle sous Cacti. Cela est avantageux lorsque de nombreuses donnes identiques doivent tre observes, mais cela peut se rvler fastidieux congurer lorsque les donnes sont htrognes. Cacti gnre les images dynamiquement lachage partir des chiers de donnes RRDTool. Il est galement possible deectuer des oprations simples (et des combinaisons doprations) avec les direntes donnes grce une interface graphique.

3.2
3.2.1

Mise jour de la plateforme de Bziers


Nagios

La mise jour dun paquet nest peut-tre pas aussi simple que lon pense, il ne sut pas de faire un aptitude upgrade. Il faut ici vrier les donnes lies nagios, serontelles toujours compatibles aprs la mise--jour ? Si non, faire en sorte quelles le soient. Lobjectif est de passer de la version 2.09 la version 2.10 sans encombre. Aprs quelques heures de recherches dans les dirents chiers de conguration pour comprendre le fonctionnement de NagiosTM jai eectu la mise--jour avec lutilitaire aptitude, ce nest pas simplement une commande, cest un gestionnaire trs complet des paquets et
3 4

Voir Glossaire Voir Glossaire

31

Monitoring

Mise jour de la plateforme de Bziers

de leurs dpendances. Jai donc slectionn les paquets mettre jour. Cest essentiellement dans la conguration dapache quil faut veiller au maintien des options paramtres.

3.2.2

Cacti et ses plugins

La mise jour de Cacti sest plus ou moins passe comme celle de NagiosTM la dirence que Cacti possdait des modules supplmentaires. Jai fait des recherches sur la disponibilit de ces derniers, il savre que deux ont la mme fonctionnalit : avoir une vue rapide de ltat des machines (active, inactive). Aprs en avoir discut avec mon tuteur et lui avoir fourni une comparaison de ces modules, nous avons dcid de nen garder quun des deux, savoir le plugin Treschold . Jai galement rinstall le plugin NPC (nagios pour Cacti) qui reprend des donnes nagios, il est donc possible de se servir dune seule interface pour superviser le rseau. Puis le plugin Weathermap qui fournit un graphique actualis toutes les cinq minutes de la charge rseau. Il faut noter que pour faire fonctionner tous ces plugins, Cacti a besoin quon lui installe un patch Cacti-plugin-architecture laide dun chier Cacti-plugin-architecture.di quil faut appliquer avec la commande patch -p1 -N < Cacti-plugin-architecture.diff. Nous devons ensuite diter le chier config.php qui se trouve dans /usr/share/Cacti\ /site/include/ et ajouter ces lignes (attention, en langage php, le ; dtermine la n dune commande) : $plugins = array() ; $plugins[] = <nom du plugin> ; Nous avons dcid de bloquer le paquet Cacti pour ne pas avoir a faire ces manipulations lors dune mise jour du logiciel. Cest essentiellement de Weathermap dont je me suis occup par la suite. Jai donc fait un schma rseau lisible qui permet en un coup doeil, davoir une vue globale de la charge rseau. Pour le raliser, il est indispensable de connatre larchitecture rseau du parc an de ne pas se tromper dans le sens des connexions. En eet, on peut observer sur le schma un trac dupload et un trac de download.

32

Monitoring

Intrt et apport pour lentreprise

3.3

Intrt et apport pour lentreprise

Ce type doutils apporte une socit qui possde un parc machine important, lassurance dun suivi en temps rel de chaque serveur et une ractivit suprieure la moyenne grce la mise en place dun service dastreinte et plusieurs bippers. Les techniciens peuvent ainsi intervenir tout moment quils soient sur le lieu de travail, ou chez eux, au moyen de login et de connexion scuris (Kerberos, cl ssh) vers la plateforme en dicult. Ils permettens de surveiller, rapporter et alerter les fonctionnements normaux et anormaux des systmes informatiques rpondant aux proccupations suivantes : Technique : surveillance du rseau, de linfrastructure et des machines ; Applicative : surveillance des applications ; Contrat de service : surveillance respect des indicateurs. Le service technique de do|you|softTM se concentre sur deux aspects techniques. La supervision systme qui porte principalement sur les trois types de ressources systme (processeur, mmoire et stockage) ainsi que la supervision rseau qui porte sur la surveillance de manire continue de la disponibilit des services en ligne, du fonctionnement, des dbits, de la scurit mais galement du contrle des ux. Les solutions les plus connues dans ce milieu sont : Nagios : logiciel de supervision en temps rel ; Oreon : logiciel de supervision bas sur Nagios ; MRTG : logiciel de supervision en utilisant des graphes ; Cacti : logiciel de supervision permettant de raliser des statistiques.

3.4

Problme(s) rencontr(s)

La premire chose faire lorsquon souhaite utiliser ce genre doutil spcique est de se former aux logiciels par dirents moyens car ils ont une interface trs riche. Internet est lun deux, on y trouve documentations et tutoriaux en grand nombre, lire les chiers de conguration savre galement utile pour comprendre en dtail leur fonctionnement. En ce qui concerne les mises jour, je nai pas eu de problme en particulier. Lutilitaire aptitude est trs bien conu mme si linterface peut paratre droutante au premier abord.

33

Chapitre 4 valuation des rsultats et possibilits dvolution

34

valuation des rsultats et possibilits dvolution

valuation des rsultats

4.1
4.1.1

valuation des rsultats


A - serveur mail mis en place

Jai mis un certain temps pour faire les recherches ncessaires la ralisation de la conguration du serveur et la comprhension globale du fonctionnement. Ainsi, d mon manque de mthodologie, il reste quelques points particuliers que je nai pas eu le temps de traiter. Cest notamment le cas de la gestion des listes. Le logiciel fonctionne parfaitement dans la conguration actuelle tant que les adresses de liste arrivent directement sur les VMs mais ce nest pas le cas quand elles passent par le serveur de tte. Il existe un recours cette situation mais je ne lai pas mis en place. Cest ce dont je devais moccuper le dernier jour. Ce qui ma empch de le faire est une mauvaise manipulation de ma part. Jai fait plusieurs scripts pour faciliter mes tches lors du paramtrage du serveur. Jai prvu un script de sauvegarde qui rcupre tous les chiers de conguration de chaque logiciel mis en place. Dsireux de faire de mon mieux, jai eac les anciennes sauvegardes pour laisser une base propre mais un peu trop propre car jai mal tap ma commande et cela a eu pour consquence deacer le /etc. Impossible de faire marche arrire, mon tuteur a recr la VM. Heureusement javais transfr les anciennes sauvegardes sur mon poste de travail. Il ma fallu deux heures pour remettre en tat le serveur de mail avec le tutoriel que javais prpar pour la personne qui devrait maintenir le systme aprs mon dpart. Jai donc pu constater que celui-ci tait complet mais pouvait tre amlior.

4.1.2

B - monitoring en production

La carte de la charge rseau fonctionne bien, le problme vient du fait de devoir rinstaller le plugin architecture et recongurer le chier dapparition des modules chaque mise jour de Cacti. Cest pourquoi le paquet Cacti a t bloqu pour ne pas se mettre jour automatiquement mais uniquement lorsquon lui demande. Linconvnient de cette mthode rside dans une mise jour critique laquelle nous ne nous attendons pas. Une veille de ce genre dalerte peut vite devenir encombrante dans le travail quotidien mais cela fait partie intgrante de notre spcialisation en scurit.

35

valuation des rsultats et possibilits dvolution

Possibilit dvolution

4.2
4.2.1

Possibilit dvolution
A - Serveur mail

Je pense quil est possible de faire encore voluer le systme de mail mis en place. Dans un premier temps, pour le faire gagner en souplesse, il serait bon de repenser le systme de gestion de listes actuel. Il serait envisageable de rednir le fontionnement du serveur frontal pour que les mails destination dune liste soit intercepts et traits en amont. Par ailleurs, la personne en charge des listes naurait plus deux interfaces grer mais bien une seule. Le problme qui apparatra sera celui des noms de liste qui peuvent tre en double pour les domaines doyousoft.com et g2ms.com. Dans un deuxime temps et selon les besoins des utilisateurs, envisager lvolution du webmail vers un groupware plus abouti, ce que horde permet de faire grce lajout de modules dj prvus cet usage. Et pourquoi pas terme, se passer de clients de messagerie tels Microsoft Outlook, Thunderbird ou autre.

4.2.2

B - Monitoring

Au niveau de weathermap, je pense quil pourrait tre intressant de possder deux cartes direntes. Le plan actuel resterait essentiel pour une vue rapide de la situation du rseau. Une deuxime carte avec un ajustement des valeurs de charge pour les liaisons entre le LAN et les serveurs internes an davoir une vue dtaille du trac rseau ne serait pas de trop.

36

Conclusion

En conclusion, le projet que ma con la socit DoYouSoftTM est globalement une russite. Mon projet tait en corrlation avec celui dun autre stagiaire et le travail de ladministrateur rseau. Le service de mail a t mis en production un mois avant la n du stage en ce qui concerne la transmission des fax par mail. Le systme est stable, pas ou peu de problme apparent. A not cependant quil ma fallu plusieurs semaines de recherche avant de fournir un travail correct mais maintenant et en cas de dfaillance matrielle, celui-ci peut tre rinstall dans lheure. Par ailleurs, ce stage ma t trs bnque plusieurs niveaux : Sur le plan professionnel, jai pu avoir une vision de notre mtier plus ancre dans la ralit. Jai dcouvert plus en dtail dirents protocoles tels que LDAP, SMTP, IMAP. Jai pu voir aussi que lemployeur attend de nous une certaine autonomie et savoir rendre compte du travail eectu est un plus pour le fonctionnement du service. Sur le plan personnel, jai pris conscience de mes dicults : manque dorganisation, mauvaise approche des problmes. Je sais donc maintenant quels sont les points quil faut que jamliore.

37

Glossaire
UID/GID : des identiants que lon retrouve dans tous les systmes informatiques permettant aux utilisateurs daccder telle ou telle ressource du systme. Chiffrement symtrique : la cryptographie symtrique galement dite cl secrte (par opposition la cryptographie cl publique), est la plus ancienne forme de chirement. Lun des concepts fondamentaux de la cryptographie symtrique est la cl, qui est une information devant permettre de chirer et de dchirer un message et sur laquelle peut reposer toute la scurit de la communication. Dpts : un dpt ou rfrentiel (de langlais repository), est un stockage centralis et organis de donnes. Ce peut tre une ou plusieurs bases de donnes o les chiers sont localiss en vue de leur distribution sur le rseau, ou bien un endroit directement accessible aux utilisateurs. La plupart des distributions Linux utilisent des dpts accessibles sur Internet, ociels et non-ociels, permettant aux utilisateurs de tlcharger et de mettre jour des logiciels compatibles. MX (Mail eXchange) : dans la conguration dun serveur DNS, cette entre correspond au serveur de gestion du courrier. Lorsquun utilisateur envoie un courrier lectronique une adresse (utilisateur@domaine), le serveur de courrier sortant interroge le serveur de nom ayant autorit sur le domaine an dobtenir lenregistrement MX. Il peut exister plusieurs MX par domaine, an de fournir une redondance en cas de panne du serveur de messagerie principal. Ainsi lenregistrement MX permet de dnir une priorit avec une valeur pouvant aller de 0 65 535. GSSAPI : est lacronyme de Generic Security Services Application Program Interface (ou GSS-API), il sagit dune application pour autoriser des logiciels accder des services de scurit. MIB (Management Information Base) : est un ensemble dinformations structures sur une entit rseau, par exemple un routeur ou un commutateur. Ces informations peuvent tre rcupres, ou parfois modies, par un protocole comme SNMP. RRDTool : cest un outil de gestion de base de donnes RRD (Round-Robin Database) cr par Tobi Oetiker. Cest le standard de lindustrie OpenSource permettant la sauvegarde et le trac de graphiques, de donnes chronologiques. Cet outil a t cr pour superviser des donnes serveur, telles que la bande passante, la temprature dun processeur... Le principal avantage dune base RRD est sa taille xe.

38

Bibliographie
[1] do|you|soft : http://www.doyousoft.com [2] powerboutique : http://www.powerboutique.com [3] Postfix : http://www.postfix.org [4] Dovecot : http://www.dovecot.org [5] OpenLDAP : http://www.openldap.org [6] Sympa : http://www.sympa.org [7] Horde : http://www.horde.org [8] Wikipdia : http://www.wikipdia.com [9] CommentCaMarche : http://www.commentcamarche.net [10] Forum R&T bziers [11] Dent Kyle, Postx, La rfrence. Paris, OReilly c , 2004, 244 p. [12] Carter Gerald, LDAP, administration systme. Paris, OReilly c , 2003, 296 p. [13] GNU Linux France magazine [14] MISC

39

Rsum
An de valider lanne de licence professionnele R&T, un stage de vingt semaines est prvu. Cest pourquoi je me suis adress la socit do|you|softTM qui commercialise la solution e-business powerboutique R , leader du march dans son domaine. Celle-ci utilise divers moyens de communication tels que la tlphonie, la messagerie instantane ou encore les e-mails. Ainsi, le projet principal quil ma t demand de raliser par do|you|softTM est linternalisation dune architecture de mail scuris. Celle-ci est un peu spciale, savoir quil y a un serveur frontal reli deux machines virtuelles (VM) qui elles-mmes grent trois domaines dirents (doyousoft.com, powerboutique.com et g2ms.com). Le premier serveur va servir analyser les mails entrants (spam, virus) et les rediriger vers la VM qui soccupera de les distribuer via Postx et Maildrop dans les botes mails et sont accessibles via IMAP grce Dovecot. Les webmails Horde qui sont installs sur les machines virtuelles permettent aux personnes qui le souhaitent de consulter leur mail de nimporte o. En parrallle, je dois mettre jour le systme de supervision de la plateforme de Bziers. Les logiciels utiliss sont Nagios et Cacti. Jai install un patch spcial pour ce dernier de manire pouvoir intgrer des plugins (treshold, npc et weathermap). Jai surtout travaill sur le plugin weathermap qui permet davoir une vue ractualise toutes les cinq minutes de la charge du rseau via les donnes collectes par SNMP et Rrdtools. Au nal, le projet de mail fonctionne bien mis part la gestion des mailing-list o il y a encore des problmes. Je nai donc pas termin le projet que lon ma con.

40

Abstract To valid my three years course on network and telecom, I have to do a training period of twenty weeks. So, that is the reason why I solicited the do|you|softTM society which sold the powerboutique R e-business solution, leader on her domain. Employees use many method to communicate with the world : telephony, instant messenger, fax or e-mails. Then, my rst project for do|you|softTM is to mount a secured mail server. It has a special architecture with a front server relied to two virtual machines (VM) which distrib three dierents domains (doyousoft.com, powerboutique.com and g2ms.com). The front server is used to analyse incoming mails (spam, virus) and redirect to VMs which distrib it to the mailboxes by IMAP protocol. Horde webmail which are installed on the VMs is used by the users who want consult mail everywhere they are. In second time, I must update supervision system of the Beziers platform. Softwares which are used are Nagios and Cacti. Ive installed a special patch to integrate plugins (treschold, npc and weathermap). Ive only worked on the weathermap plugin which permit to have a view refresh all the ve minutes of the trac load with the datas collected by SNMP protocol and rrdtools. In conclusion, I havent nish my project but what I do runs well except the mailing-list management.