Académique Documents
Professionnel Documents
Culture Documents
1
ISTAG SM – ID OSR 201
Administration des réseaux
informatiques sous Linux 1/7
Services de base :
paramètres réseau, routage, DHCP, Agent de relais
DHCP, DNS et gestion des processus et services
2
ISTAG SM – ID OSR 201
I-Définitions
• Service informatique : Est un programme en
cours d’exécution (processus) qui fournit une
fonctionnalité au système d’exploitation.
• Service réseau : Est un service informatique
qui fournit une fonctionnalité aux clients à
travers un réseau (=serveur logique).
• Serveur physique : Est un ordinateur qui
héberge un service réseau.
Hyperviseur sur OS
• Méthode 1 : graphiquement
• Méthode 2 : Par la commande route
– #route add default gw 192.168.1.254
• Méthode 3 : Par le fichier de configuration du réseau global
– Modifier le fichier comme suit :
#vim /etc/sysconfig/network
|GATEWAY=192.168.1.254
– Redémarrer le service réseau
• Méthode 4: Par un fichier de configuration d’une carte réseau :
– Créer ou modifier le fichier comme suit :
#vim /etc/sysconfig/network-scripts/ifcfg-ethX
| GATEWAY=192.168.1.254
– Redémarrer le service réseau
Formateur DRAOUI Hassan 13
5- Procédure d’enregistrement du travail sous CentOS:
Exemples :
#cp nom_de_script_à_enregistrer /home/hassan/Bureau
#cp /etc/sysconfig/network-scripts/ifcfg-eth2 /home/hassan/Bureau
#cp /etc/sysconfig/network /home/hassan/Bureau
#cp /etc/resolv.conf /home/hassan/Bureau
• Copier tous ces fichiers dans un dossier portant le nom complet
et la variante Formateur DRAOUI Hassan 14
Travail à rendre: TP réseau et récupération de fichiers:
Configurer la machine Admin en se basant sur les paramètres sur la maquette ci-dessus
en testant chaque configuration
Méthode 2:
#dhclient ethx
Méthode 3 :
#vim /etc/sysconfig/network-scripts/ifcfg-ethx
DEVICE=ethx
BOOTPROTO=dhcp
ONBOOT=YES
#service network restart (ou #service NetworkManager restart)
Remarques importantes:
Pour libérer (retourner) une adresse IP déjà obtenu dynamiquement :
-Sous Linux : $dhclient -r ethx
-Sous Windows: />ipconfig /release
Pour renouvelez l’adresse IP pour la machine
-Sous Linux : $dhclient -r ethx puis $dhclient ethx
-Sous Windows : />ipconfig /renew Formateur DRAOUI Hassan 21
Exercice TP :
Soit le réseau suivant :
# c’est un commentaire
subnet 172.18.0.0 netmask 255.255.0.0 {
range 172.18.0.20 172.18.0.30;
option domain-name-servers 8.8.8.8;
option domain-name "reseau.lan";
option routers 172.18.0.1;
option broadcast-address 172.18.255.255;
option subnet-mask 255.255.255.0;
default-lease-time 600;
max-lease-time 7200;
}
Les explications :
• La première ligne, c’est un commentaire (non pris en considération par le service DHCP).
• La seconde ligne, on indique le réseau ainsi que le masque de réseau.
• La troisième ligne, on indique la plage d’adresses IP à donner aux clients DHCP.
• La quatrième ligne, on indique le DNS (ici DNS publique de Google).
• La cinquième ligne, on indique le nom de notre domaine.
• La sixième ligne, on indique l’adresse de la passerelle.
• La septième ligne, on indique l’adresse diffusion du réseau.
• La huitième ligne, on indique l’adresse réseau du réseau.
• Et enfin les 2 dernières lignes, sont pour le bail. On indique le bail par défaut et le bail
maximum. Ce bail est exprimé en seconFdoermsa.teur DRAOUI Hassan 23
VI-Agent de relai DHCP
1- Pourquoi utiliser un agent de relai DHCP
Par construction le service DHCP utilise des requêtes de diffusions(broadcast) alors que les
routeurs bloquent les diffusions par défaut.
La solution consiste donc à utiliser un petit service appelé agent de relai DHCP (dans le réseau
local des clients) qui transforme les diffusions en monodiffusions (voir CCNA2).
2- Configuration d’agent de relai DHCP
1. Installer le package dhcp-devel
2. Adapter le fichier de configuration :
#vim /etc/sysconfig/dhcrelay
DHCPSERVERS=« Adresse_Serveur_DHCP »
3. Démarrer le service dhcrelay
NB: Si vous voulez indiquer l'interface d‘écoute il faut indiquer au moins les deux interfaces
qui recevront les requêtes des clients et les réponses du serveur (INTERFACES="eth0 eth1")
Remarque importante:
Il faut configurer la carte qui va recevoir les requêtes de l’agent de relai DHCP en tant que
carte d’écoute des requêtes DHCP sur le serveur DHCP :
#vim /etc/dhcp/dhcpd.conf
subnet 10.0.0.0 netmask 255.255.255.0 {}
#service dhcpd restart
NB : 10.0.0.1/24 est l’adresse IP de carte réseau du coté de l’agent de relai DHCP (qui reçoit
Formateur DRAOUI Hassan 24
les requêtes DHCP monodiffusions provenant de l’agent de relai DHCP)
Exemple :
#vim /etc/dhcp/dhcpd.conf
subnet 172.16.1.0 netmask 255.255.255.0 {}
#service dhcpd restart
Exemples :
#route add -net 10.0.0.0/8 gw 192.168.1.1
#route add -net 172.16.0.0 netmask 255.255.0.0 gw 10.1.1.1
Remarques :
-Pour ajouter une route vers une machine unique : remplacer –net par –host
-Pour supprimer une route : remplacer add par del
-Pour ajouter une route par défaut : remplacer "-net 0.0.0.0/0" par default
-Pour configurer une autre adresse IP pour la carte réseau eth0 par exemple ;
#ifconfig eth0:N Réseau/Masque up
Avec N entier positif
Formateur DRAOUI Hassan 27
-Pour afficher les routes :#route (ou #route -n)
Exercice TP
Soit le réseau suivant :
1- Réaliser la maquette sous Vmware (Ajouter les cartes réseaux et les connecter aux
switchs virtuels Vmnet2, Vmnet3, Vmnet4 et Vmnet5)
2- Configurer les adresses IP sur R1, R2 et R3 et tester la connectivité entre chaque
deux machines du même réseau (interchanger les cartes en cas de problème)
3- Configurer l’adresse et la passerelle pour PC1 et PC2
4- Configurer le routage sur R1, R2 et R3
5- Tester la connectivité entre PC1 et PC2
1- Réaliser la maquette sous Vmware (Ajouter les cartes réseaux et les connecter aux
switchs virtuels Vmnet2, Vmnet3 et Vmnet4)
2- Configurer les noms, les adresses IP sur Routeur1 et Routeur2 et tester la
connectivité entre ces deux machines (interchanger les cartes en cas de problème)
3- Configurer le service DHCP sur Routeur1 pour les deux réseaux locaux (Vmnet2 et
Vmnet4)
4- Configurer l’agent de relai DHCP sur Routeur2
5- Configurer le routage sur Routeur1 et Routeur2
6- Tester l’obtention des adresses IPFodrmyanteaum
r DRiq
AOuUe
I Hm
asseannt par les deux client M1 et M2
30
Solution Vidéo :
DHCP_Relai_Routage
Définition
DNS (Domain Name System) est une base de données distribuée hiérarchisée qui contient
les mappages de noms d’hôtes DNS à des adresses IP.
Il permet de repérer des ordinateurs et des services en utilisant des noms alphanumériques
faciles à retenir.
DNS permet également de découvrir des services réseau comme des serveurs de
messagerie et des contrôleurs de domaine dans le service d’annuaire Active Directory.
Un espace de noms DNS
Déf 1 : L’espace de noms de domaine est une arborescence hiérarchisée de noms utilisée
par DNS pour identifier et trouver un hôte donné dans un domaine donné, par rapport à
la racine de l’arborescence.
Déf 2 : Un espace de noms DNS comprend le domaine racine, des domaines de niveau
supérieur, des domaines de niveau secondaire et (éventuellement) des sous domaines.
FQDN :
Def 1 : La combinaison de l’espace de noms DNS et du nom d’hôte constitue le nom de
domaine pleinement qualifié (FQDN, fully qualified domain name).
Def 2 : Un nom de domaine pleinement qualifié (FQDN, fully qualified domain name) est
un nom de domaine DNS qui a été défini de façon non ambiguë pour indiquer avec
certitude son emplacement dans l’arborescence de l’espace de noms de domaine
Formateur DRAOUI Hassan 33
Domaine racine
Domaine de
niveau supérieur net com org
Domaine de
second niveau contoso
Sous-domaine
ouest sud est
Racine « . »
Enregistrement
de ressource
.com
.edu
Enregistrement
de ressource
Serveur DNS
Microsoft.com
Serveur
DNS .com
Quelle est l'adresse IP de
Serveur
www.microsoft.com ? DNS racine
Serveur
DNS local
207.46.230.219
Station
de travail
• Un serveur DNS qui ne fait pas autorité pour l'espace de noms peut :
• Vérifier son cache
• Utiliser des redirecteurs
• Utiliser des indications de racine
Serveurs DNS
Indications
de racine
com
Serveur DNS
Client microsoft
SeOrvùeeusrtA est à
13S1e.1
r v0e7u.0rA
.44
?
ServeurA
Client1
SeOrvùeeusrtA est à
Client2 13S1e.r1v0e7u.0
rA
.44
?
Requête itérative
Redirecteur Indication de
Interroger .com racine (.)
.com
contoso.com
Internet
.com
Domaine
microsoft.com
microsoft.com
www.microsoft.com
Zone microsoft.com
ftp.microsoft.com
example.microsoft.com
Fichier de zone
zone
exemple.microsoft.com
example.microsoft.com
www.example.microsoft.com
Fichier de zone ftp.example.microsoft.com
Formateur DRAOUI Hassan 47
Types de zones DNS
•Zone principale
Une zone principale est l’exemplaire faisant autorité de la zone DNS. Les
enregistrements de ressources y sont créés et gérés.
•Zone secondaire
Une zone secondaire est une copie en lecture seule de la zone DNS. Les
enregistrements contenus dans la zone secondaire ne peuvent pas être modifiés ;
les administrateurs peuvent modifier uniquement les enregistrements de la zone
DNS principale.
•Zone de stub
-Une zone de stub est en quelque sorte un signet (SOA, NS et A) qui pointe
simplement vers le serveur DNS qui fait autorité pour la zone DNS concernée.
-Copie d'une zone contenant uniquement des enregistrements utilisés
pour localiser des serveurs de noms
Serveur DNS
Serveur DNS
Contoso.com
(domaine
racine)
fabrikam.com
Serveur DNS Serveur DNS
Serveur DNS
na.contoso.com sa.contoso.com
na.fabrikam.com
Serveur DNS Serveur DNS
ny.na.contoso.com rio.sa.contoso.com
Zone
DNS
Sous-
domaine DNS Zone
Ventes
DNS
Serveur DNS
Marketing
FQDN : 10 192.168.1.10/24
10.1.168.192.in-addr.arpa.
Client1DNS 192.168.2.45
Serveur DNS autorisé Zone
pour la formation Formation Client2DNS 192.168.2.46
directe
Client3DNS 192.168.2.47
192.168.2.45 Client1DNS
Zone
2.168.192.in-addr.arpa 192.168.2.46 Client2DNS
inversée
192.168.2.47 Client3DNS
Client2DNS = ?
192.168.2.46 = ?
Client3DNS
Client1DNS
Client2DNS
Délégation de zone :
Est le processus par lequel
B. Configurer les zones principales directe et inverse pour accepter les mises à jour
dynamique des clients (windows !!!) et indiquer le nouvel emplacement des fichiers de
zone :
#vim /etc/named.conf
zone "ofppt.org" {
………
file "dynamic/db.ofppt.org";
allow-update { any; };
};
zone "1.168.192.in-addr.arpa" {
…………
file "dynamic/db.192.168.1";
allow-update { any; };
};
Formateur DRAOUI Hassan 67
#service named restart
C. Configurer les machines clientes (Windows) pour envoyer la MAJ dynamique :
- indiquer au moins un serveur DNS de la zone (dans paramètres TCP/IP)
- indiquer votre nom du suffixe DNS principal (propriétés sur ordinateur --- Modifier
les paramètres ---- nom de l’ordinateur …..)
- Pour forcer l’opération taper la commande />ipconfig /registerdns
$ORIGIN ofppt.org.
$TTL 86400
ofppt.org. IN SOA serveurDNS1.ofppt.org. root.ofppt.org. (
2018101300 ;
14400 ;
3600 ;
3600000 ;
14400 ;
)
IN NS serveurDNS1.ofppt.org.
drps.ofppt.org. IN NS serveurDelegue.drps.ofppt.org.
;
serveurDNS1 IN A 192.168.1.1
serveurDelegue.drps IN A 192.168.1.250
Pour tester
$nslookup -query=ns drps.ofppt.org. Adresse_serveurDNS1(ici 192.168.1.1)
Syntaxe générale :
_service._protocole.domaine. ttl IN SRV priorité poids? port fqdn
Exemple :
_ldap._tcp.tri.isgi. IN SRV 1 2 389 dc1.tri.isgi.
_ldap._tcp.tri.isgi. IN 60 SRV 10 20 389 dc2.tri.isgi.
dc1.tri.isgi. IN A 192.168.1.1
dc2.tri.isgi. IN A 192.168.1.2
Les trois premiers enregistrements ont tous une priorité de 10. Les clients vont donc
devoir utiliser le champ poids afin de déterminer quel serveur contacter. Pour ce
champ, la somme des trois valeurs est 100, donc gros-serveur.example.com sera utilisé
60 % du temps, et chacun des deux autres (petit-serveur1 et petit-serveur2) sera
utilisé 20 % du temps.
Si, d'aventure, gros-serveur devenait indisponible, les deux "petits serveurs", seuls en
piste, se partageraient alors la charge, ayant un poids identique.
Par ailleurs, si ces serveurs de priorité 10 deviennent tous trois indisponibles,
l'enregistrement de priorité immédiatement supérieure sera choisi, en
l'occurrence serveur-secours.example.com. Il peut s'agir d'une machine
géographiquement éloignée des trois autres, donc a priori non touchée par la cause de
l'indisponibilité de celles-ci.
La répartition de charge fournie par les enregistrements SRV est forcément limitée,
étant donné que l'information est essentiellement statique. La charge réelle des
serveurs n'est pas prise en compte.
Formateur DRAOUI Hassan 79
Remarques importantes :
- Pour afficher le cache DNS sous Microsoft Windows : /> ipconfig /displaydns
- Pour vider le cache DNS sous Microsoft Windows: />ipconfig /flushdns
- Pour configurer un serveur pour utiliser des redirecteurs il faut ajouter au fichier de
configuration (named.conf) les lignes suivantes ;
forwarders {
11.22.33.44;
55.66.77.88 port 53;
};
-Vous pouvez vérifier la syntaxe du fichier de zone par la commande :
#named-checkzone Nom_de_la_zone Chemin_du_fichier_de_ zone
Exemple :
#named-checkzone 1.168.192.in-addr.arpa. /var/named/db.192.168.1
-Vous pouvez vérifier la syntaxe du fichier de configuration « named.conf » par la commande :
#named-checkconf
-Il vaut mieux désactivez les pare feu au niveau des serveurs DNS (pour le moment).
#service iptables stop && chkconfig iptables off
NB : il vaut mieux utiliser la commande « #chkconfig iptables off » pour empêcher l’activation
du pare-feu au prochain démarrage de l’ordinateur.
-Il faut activer le service DNS au démarrage des niveaux utilisés par le serveur physique ! :
#chkconfig named on
#chkconfig --level 35 named on (activer DNS dans les niveaux 3 et 5)
Formateur DRAOUI Hassan 80
Champs de l’enregistrement SOA :
86
Formateur : DRAOUI Hassan
CHAPITRE VI:
service NFS
NB: droits_d_accès = ro ou rw
3. Recharger le les patages présents dans /etc/exports :
#exportfs -a (if vaut mieux utiliser #service nfs restart)
Exemple :
#rpm -q nfs-utils
#mkdir /partage_avec_le_reseau /partage_avec_tout_le_monde /differents_droits
#vim /etc/exports
/home 192.168.1.1(ro)
/partage_avec_le_reseau 192.168.1.0/25(rw) 192.168.1.128/25(ro)
/partage_avec_tout_le_monde *(ro)
/differents_droits * (rw=192.168.1.0/24)
#service nfs restart (ou #exportfs -a) Formateur DRAOUI Hassan 89
II- Configuration du client NFS sous CentOS :
A-Méthode 1 :
L’accès aux données distantes par le client se fait en deux temps : montage (grâce à mount)
du « file system » distant dans l’arborescence du client, puis accès aux fichiers. Le mount suit
la syntaxe #mount hostname:directory directory_d_accrochage
NB: Pour démonter #umount directory_d_accrochage
0. $ping Adresse_ou_nom_serveur_NFS
1. $mkdir dossier_d_accrochage
2. $mount Adresse_ou_nom_serveur_NFS:chemin_du_dossier dossier_d_accrochage
Exemple :
0. $ping Adresse_ou_nom_serveur_NFS
1. $mkdir /mnt/home_du_serveur
2. $mount Adresse_ou_nom_serveur_NFS:/home /mnt/home_du_serveur
3. $ls /mnt/home_du_serveur ………..
B-Méthode 2 :
1. $mkdir /mnt/home_du_serveur
2. on peut automatiser le montage au démarrage de l’ordinateur en ajoutant dans le fichier
/etc/fstab la ligne suivante :
#vim /etc/fstab
…………
Adresse_ou_nom_serveur_NFS :/home /mnt/home_du_serveur nfs defaults 0 0
3. #reboot (OU #mount -a) Formateur DRAOUI Hassan 90
Exercice TP : NFS Simple
Soit le réseau suivant :
1. Configurer l’adresse IP sur toutes les machines (par fichier) en testant leur connectivité
2. Créer le répertoire /mon-partage en le partageant par NFS comme suit :
1. Ecriture pour la machine clientNFS1
2. Lecture seule pour les autres machines du réseau local
3. Configurer clientNFS1 pour accéder au dossier partagé à partir d’un dossier monté par la
commande mount et tester le partage en (lecture/écriture) y créer un fichier (non vide)
4. Configurer clientNFS2 pour accéder au dossier partagé à partir d’un dossier monté en
permanence (/etc/fstab) et tester le partage en (lecture/écriture) Formateur DRAOUI Hassan 91
Solution Vidéo :
NFS Simple
# vim /etc/exports
/home/hassan 192.168.1.0/24
# exportfs -r
# exportfs -f
Client NFS
# showmount -e 127.0.0.1
# showmount --exports 127.0.0.1
#mount!!!!!!!!!!!!!
#df -hT
NB : pour voir tous les montages sur le système : #mount
Formateur DRAOUI Hassan 95
CHAPITRE VII:
services SAMBA
Méthode 3 : /etc/fstab
#vim /etc/fstab
//serveurSMB/nom-de-partage1 montage cifs defaults 0 0
#mount -a
1. Configurer l’adresse IP sur toutes les machines (par fichier) en testant leur connectivité
2. Créer le répertoire /mon-partage2 en le partageant par SAMBA avec le minimum de
configuration (les autres options par défaut)
3. Configurer clientSAMBA1 (Windows) pour accéder au dossier partagé et tester le partage
en (lecture/écriture)
4. Configurer clientSAMBA2 (Linux) par l’outil smbclient pour accéder au dossier partagé
5. Configurer clientSAMBA2 (Linux) par l’outil mount pour accéder au dossier partagé
6. Configurer clientSAMBA2 (Linux) par le fichier /etc/fstab pour accéder au dossier partagé
Formateur DRAOUI Hassan 100
Solution : Vidéo
SAMBA Simple sans
authentification
1. Configurer l’adresse IP sur toutes les machines (par fichier) en testant leur connectivité
2. Créer l’utilisateur système isgi en lui donnant un mot de passe SAMBA (azerty)
3. Créer le répertoire /mon-partage3 en le partageant par SAMBA en donnant le droit de
modification sur le partage
4. Configurer clientSAMBA1 (Windows) pour accéder au dossier partagé et tester le partage en
(lecture/écriture)
5. Configurer clientSAMBA2 (Linux) par l’outil smbclient pour accéder au dossier partagé
6. Configurer clientSAMBA2 (Linux) par l’outil mount pour accéder au dossier partagé
7. Configurer clientSAMBA2 (Linux) FporamralteeurfDicRhAOieUrI H/aestscan/fstab pour accéder au dossier p1a0r4tagé
Solution : Vidéo
SAMBA Simple avec
authentification
writable = yes/no :
browseable = yes/no :
valid users = hassan, med, @admins, @utilisateurs : les utilisateurs et les groupes autorisés à
accéder au partage
write list = hassan, @admins : les utilisateurs et les groupes qui ont le droit d’écriture sur le
partage
force user = nouser : nouser sera l’utilisateur propriétaire des fichiers/dossiers crées dans le
partage
force group = nogroup : nogroup sera le groupe propriétaire des fichiers/dossiers crées dans le
partage
create mask = 0766 : les droits appliqués aux nouveaux fichiers crées dans le partage
directory mask=755 : les droits appliqués aux nouveaux dossiers crées dans le partage
Méthode 2 :
#ftp serveurFTP
à l’invite taper le nom d’utilisateur : anonymous
à l’invite taper n’importe quel mot de passe
Méthode 2 :
$ftp serveurFTP
à l’invite taper le nom d’utilisateur : utilisateur du système (hassan par exemple)
à l’invite taper son mot de passe (par exemple 123456)
1. Configurer l’adresse IP sur toutes les machines (par fichier) en testant leur connectivité
2. Configurer le service FTP anonyme sur serveurFTP.
3. Créer des fichiers et des dossiers dans le dossier /var/ftp (#cat /etc/passwd | grep ftp)
4. Sur clientFTP1 (Windows) accéder au serveur FTP en utilisant un navigateur et ensuite la
ligne de commande . Afficher le répertoire courant et tester (téléchargement/chargement)
5. Créer l’utilisateur système test-ftp en lui donnant le mot de passe : passftp
6. Modifier la configuration du serveur FTP pour n’accepter pas les connexions anonymes
7. Sur clientFTP2 (Linux) accéder au serveur FTP en utilisant un navigateur et ensuite le Shell.
114
Afficher le répertoire courant et tester (téléchargement/chargement) Formateur DRAOUI Hassan
Solution Vidéo :
FTP Simple sans et
avec authentification
117
Formateur : DRAOUI Hassan
CHAPITRE IX:
service Telnet
$telnet serveurTELNET
NB: à l’invite donner le nom d’un utilisateur (présent sur le serveur Telnet) et son mot de passe
3. Pour Vérifiez que rien dans TCP-Wrapper n'interdit l'accès au service (telnet … ):
- Commentez toutes les lignes dans /etc/hosts.deny
- Mettre dans /etc/hosts.allow
ALL:ALL
1. Configurer l’adresse IP sur toutes les machines (par fichier) en testant leur connectivité
2. Activer le service TELNET sur serveurTelnet et désactiver les pare-feux
3. Sur clientTelnet1 , Ouvrir une session Telnet sur serveurTelnet en utilisant le compte d’un
utilisateur système non root (interdit sur serveur Telnet) puis basculer vers root
4. Configurer le service TELNET sur serveurTelnet pour n’accepter que les connexions depuis
clientTelnet2 sur le port 2018
5. Tester sur les clients clientTelnet1 et clientTelnet2
Formateur DRAOUI Hassan 123
Solution Vidéo :
TELNET
NB: Dans ce cas l’utilisateur ayant la clé ~/.ssh/id_rsa.pub (par exemple utilisateur3) aura
l’accès en tant que root sur le serveur SSH
NB: utilisateur3 doit rentrer directement sans demande ni de login ni de mot de passe
1. Configurer l’adresse IP sur toutes les machines (par fichier) en testant leur connectivité
2. Vérifier que openssh-server est installé sur serveurSSH et démarrer le service sshd et y
créer l’utilisateur util-serv1 (avec le mot de passe passserv1)
3. Sur clientSSH1(Windows) utiliser Putty et essayer d’accéder en SSH sur serveurSSH
4. Sur clientSSH2(Linux) créer l’utilisateur util-client2 (avec le mot de passe passclient2)
5. Ouvrir une session pour util-client2 et créer des clés RSA et copier la clé publique sur
serveurSSH en l’autorisant pour l’utilisateur util-serv1
6. Sur serveurSSH refuser les accès SSH par mot de passe (/etc/ssh/sshd_config )
Formateur DRAOUI Hassan 127
7. Sur clientSSH2(util-client2), accéder en SSH sur serveurSSH (util-serv1) sans mot de passe
Solution Vidéo :
SSH
NB :
Utilisez l'option -D pour supprimer toutes les clés de l'agent.
Utilisez l'option -l pour savoir quelles clés sont chargées par l'agent.
Formateur DRAOUI Hassan 129
EFF Pratique 2010 - V4
SSH
# vim /home/ban.txt
################################################################
# HELLO #
################################################################
...User root from localhost not allowed because a group is listed in DenyGroups
...input_userauth_request: invalid user root
...password check failed for user (root)
...pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser=
rhost=localhost user=root
...Failed password for invalid user root from 127.0.0.1 port 60874 ssh2
...Connection closed by 127.0.0.1
...Accepted password for hassan from 127.0.0.1 port 60875 ssh2
...pam_unix(sshd:session): session opened for user hassan by (uid=0)
136
Formateur : DRAOUI Hassan
CHAPITRE XI:
service LDAP
#slappasswd
…………..
resultat_slappasswd
#vim /etc/openldap/slapd.conf
by dn.exact="cn=Manager,dc=tri,dc=isgi" read (ligne 107)
suffix "dc=tri,dc=isgi" (ligne 115)
rootdn "cn=Manager,dc=tri,dc=isgi" (ligne 117)
rootpw resultat_slappasswd
#vim /etc/openldap/ldap.conf
BASE dc=tri,dc=isgi
URI ldap://Adresse_Du_Serveur_LDAP
Exemple de recherche :
Affichage de la base de données LDAP complète :
#ldapsearch -x -W -D "cn=Manager,dc=tri,dc=isgi"
-x :
-W :
-D :
dn: ou=utilisateurs,dc=tri,dc=isgi
objectClass: organizationalUnit
dn: cn=admin2,ou=utilisateurs,dc=tri,dc=isgi
objectClass: organizationalRole
dn: cn=user1,ou=utilisateurs,dc=tri,dc=isgi
objectClass: person
sn: user1
-f :
Suppression :
#ldapdelete -W -v -D cn=Manager,dc=tri,dc=isgi -x cn=user1,ou=utilisateurs,dc=tri,dc=isgi
Exemples de recherche :
$ldapsearch -x -b “dc=tri,dc=isgi”
$ldapsearch -x -b “ou=utilisateurs,dc=tri,dc=isgi”
$ldapsearch -x -b “dc=tri,dc=isgi” “objectClass=person”
$ldapsearch -x -b “dc=tri,dc=isgi” “cn=admin2”
1. Configurer l’adresse IP sur toutes les machines (par fichier) en testant leur connectivité
2. Vérifier que les packages de « openldap » sont installés et désactiver les pare-feux
3. Configurer le service LDAP pour le domaine « drps.ofppt »
4. Créer les objets suivants : Unité organisationnel :ISGI, les utilisateurs :TRI1 et TRI2 dans
l’OU ISGI
5. Configurer le client LDAP sur la machine clientLDAP et tester en affichant la base de
données LDAP complète
dn: cn=admin3,ou=utilisateurs,dc=tri,dc=isgi
objectClass: posixGroup
gidNumber: 1111
#posixGroup exige seulement gidNumber
cn: admin3
Formateur DRAOUI Hassan 147
memberUid: admin3
Clients LDAP : authentification par LDAP
Configuration du client d’authentification:
#rpm -q sssd
#rpm -q krb5-workstation
#rpm -qa | grep authconfig
#vim /etc/sssd/sssd.conf
[domain/default]
ldap_tls_reqcert = never
#service sssd restart && chkconfig sssd on
Tests depuis un client :
$id admin3
$su -l admin3 : ne se connecte pas pour des raison de sécurité (exige LDAPS)
#su -l admin3 : se connecte sans demander de MdP ( -l : se connecter au répertoire personnel)
$getent passwd
$getent passwd admin3
NB: Vous pouvez ajouter des paramètres de authconfig sans affécrer les autres paramètres :
#authconfig --enablemkhomedir --update
#authconfig --disableldaptls --update Formateur DRAOUI Hassan 148
Exercice TP : LDAP pour authentifier les utilisateurs
Soit le réseau suivant :
1. Configurer l’adresse IP sur toutes les machines (par fichier) en testant leur connectivité
dn: cn=admin4,ou=utilisateurs,dc=tri,dc=isgi
objectClass: simpleSecurityObject
objectClass: organizationalRole
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
cn: admin4
sn: admin44
uid: admin4
userPassword: secret4
loginShell: /bin/bash
uidNumber: 1111
gidNumber: 1111
homeDirectory: /home/admin4
Formateur DRAOUI Hassan 152
dn: cn=group1,ou=utilisateurs,dc=tri,dc=isgi
objectClass: posixGroup
gidNumber: 1111
memberuid: cn=admin4,ou=utilisateurs,dc=tri,dc=isgi
<VirtualHost 192.168.1.12:80>
DocumentRoot /var/www/html/isgi
ServerName www.isgi.drps
</VirtualHost>
<VirtualHost 192.168.1.13:80>
DocumentRoot /var/www/html/ista
ServerName www.ista.drps
</VirtualHost>
<VirtualHost 192.168.1.15:8080>
DocumentRoot /var/www/html/isgi
ServerName www.isgi.drps
</VirtualHost>
<VirtualHost 192.168.1.15:80>
DocumentRoot /var/www/html/ista
ServerName www.ista.drps
</VirtualHost>
#gedit /var/www/html/ista/inedex.html
{hello tri}
<VirtualHost 192.168.1.17>
DocumentRoot /var/www/html/isgi
ServerName www.isgi.drps
</VirtualHost>
<VirtualHost 192.168.1.17>
DocumentRoot /var/www/html/ista
ServerName www.ista.drps
</VirtualHost>
1. Configurer l’adresse IP sur toutes les machines (par fichier) en testant leur connectivité
2. Vérifier si le package httpd est installé
3. Créer deux dossiers /var/www/html/tri et /var/www/html/tmsir et y créer des fichiers
index.html contenants des lignes différentes
4. Publier les deux sites WEB ci-dessus (pour www.tri.isgi et www.tmsir.isgi )
5. Configurer le fichier /etc/hosts du la machine clientWEB pour résoudre les noms
www.tri.isgi et www.tmsir.isgi en 172.16.0.1 (Si pas de service DNS)
6. Tester les deux sites sur la machine clientWEB
165
Formateur : DRAOUI Hassan
CHAPITRE XIII:
service postfix
#vim /etc/postfix/main.cf
77 myhostname = serveurSMTP
85 mydomain = tri.isgi
NB:
pour choisir les deux protocoles IPv4 et IPv6
#vim /etc/postfix/main.cf
inet_protocols = all
Vérification :
#cat /home/user2/Maildir/new/*
III-TROUBLESHOOTING
#tail /var/log/maillog
1. Configurer l’adresse IP sur toutes les machines (par fichier) en testant leur connectivité
2. Vérifier que le package « postfix » est installé et désactiver les pare-feux
3. Configurer le service SMTP pour le domaine « drps.ofppt »
4. Créer les utilisateurs :isgi1 et ista1
5. En utilisant l’outil telnet envoyer un mail de isgi1 à ista1 depuis le client
vim /etc/postfix/main.cf
V- Autoriser le relayage (routage) des mails (en utilisant les enregistrements MX)
vim /etc/postfix/main.cf
mynetworks = …… , reseau1/masque1