Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 55 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
55
Dung lượng
2,74 MB
Nội dung
Rapport de Stage Migration d’un serveur de production de Windows vers Linux et mise en place d’outils de collaboration Jules DAGNAUD 17 juillet 2009 Encadrants NKB Archi : Nicolas Berry, Nguyen Dang Kiem Encadrant UCBL : Thierry Excoffier Remerciements ´ eral ´ Je tiens en premier lieu a` remercier Monsieur Nicolas Berry, directeur gen de l’entreprise NKB ´ au sein de sa Archi, pour m’avoir accueilli et fait confiance en me donnant de grandes responsabilites ´ e ´ societ ´ Je voudrais remercier egalement l’administrateur informatique de l’entreprise, Monsieur Nguyen Dang Kiem, pour m’avoir accompagne´ dans ma mission Je remercie ensuite mes enseignants de l’IFI, Messieurs Victor Moraru et Nguyen Hong Quang, ainsi ´ que Monsieur Thierry Excoffier, mon tuteur pedagogique de l’UCBL, pour leur disponibilite´ et le partage de leurs connaissances ´ ` ` Merci egalement a` mes collegues, et plus particulierement les membres de ma salle : Tu, Duong, Nhung, Kim Anh, Thoa, Huyen, ainsi qu’a` la communaute´ francophone de lentreprise : Guillaume, Thoă a` leur accueil chaleureux et leur bonne humeur, ont mas, Sophie, Guilhem, Andrew et Gaelle, qui, grace grandement facilite´ mon insertion dans l’entreprise ´ Enfin, je remercie mes amis, mes colocataires et ma famille qui m’ont soutenu pendant cette annee ´ au Vietnam passee ´ Resum e´ ´ ´ ´ en temps qu’administrateur systeme ` Ce memoire est le resultat de cinq mois de stage passes et ´ ´ ´ concernent reseau au sein de l’agence d’architecture NKB Archi Les travaux qui y sont present es ´ ´ l’amelioration d’un reseau existant a` l’aide de solutions issues du monde du logiciel libre ´ ´ dans ce document les principales modifications apportees ´ au systeme ` Sont developp ees d’informa´ tion de l’agence, a` savoir : les etapes de la migration du serveur de production de Windows 2003 Server vers Debian Lenny, et la mise en place d’outils de collaboration au sein de l’entreprise ´ ´ information, communication, DNS, DHCP, intranet, proxy ´ : Libre, Linux, securit Mots-cles e, Abstract This report is the result of a five-month training period spent as an Information Technology Manager The work presented here concern the improvement of an existing network using solutions from the world of free softwares In this document, the different stages of the network change, including the migration of the production server, from Windows 2003 Server to Linux Debian Lenny, and the implementation of collaboration tools within the company, are addressed and developed ´ Keywords : Free, Linux, security, information, communication, DNS, DHCP, intranet, proxy ` Table des matieres Introduction L’entreprise d’accueil ´ 2.1 Presentation de l’entreprise ˆ occupe´ au sein de l’agence 2.2 Role 2.2.1 Description de la mission ´ 2.2.2 Calendrier Previsionnel 7 8 10 10 10 10 10 12 12 12 12 12 13 13 14 14 14 14 14 14 15 15 15 15 16 16 17 17 18 18 18 18 19 19 21 21 23 Description de l’existant, des besoins, et envisagement des solutions 3.1 Audit ´ 3.1.1 Audit materiel ` 3.1.2 Audit systemes ´ 3.1.3 Audit des services reseaux 3.2 Exigences pour la nouvelle architecture 3.3 Analyse et choix 3.3.1 Topologie ` 3.3.2 Systemes 3.3.2.a Serveurs 3.3.2.b Postes clients ´ 3.3.3 Services reseau 3.3.3.a OpenLdap 3.3.3.b Dhcpd 3.3.3.c Bind 3.3.3.d Netfilter/Iptables 3.3.3.e Samba 3.3.3.f Squid 3.3.3.g SSH 3.3.3.h Backup Manager 3.3.3.i Openfire 3.3.3.j Plone Migration du serveur 4.1 Installation de Debian Lenny 4.2 Dhcpd 4.2.1 Fonctionnement 4.2.2 Installation 4.2.3 Configuration 4.3 DNS 4.3.1 Fonctionnement 4.3.2 Installation 4.3.3 Configuration 4.4 Netfilter 4.4.1 Fonctionnement 4.4.2 Configuration de la passerelle ` ´ Master Systemes Informatiques et Reseaux – UCBL – IFI 4.5 Annuaire de centralisation 4.5.1 Fonctionnement 4.5.2 Installation 4.5.3 Configuration 4.6 Partage de ressources 4.6.1 Fonctionnement 4.6.2 Installation 4.6.3 Configuration 4.7 Serveur mandataire / Proxy 4.7.1 Fonctionnement 4.7.2 Installation 4.7.3 Configuration ´ 4.8 Sauvegarde des donnees ´ 4.8.1 Strategie de sauvegarde 4.8.2 Sauvegarde sur le serveur de production 4.8.3 Sauvegarde sur nkbbackup ´ ´ 4.9 Schema recapitulatif Mise en place d’outils de communication 5.1 Messagerie interne 5.1.1 Utilite´ 5.1.2 Le protocole Jabber 5.1.3 Le serveur Jabber OpenFire 5.2 Plate-forme de travail collaboratif 5.2.1 Utilite´ 5.2.2 Plone ´ 5.2.3 Travail realis e´ Bilan du travail accompli ´ rencontrees ´ 6.1 Difficultes ´ techniques 6.1.1 Difficultes ´ 6.1.2 Autres difficultes 6.2 Ma contribution au sein de l’agence ´ 6.3 Ameliorations possibles 2008–2009 24 24 25 25 26 26 26 27 27 27 28 28 29 29 29 29 30 31 31 31 31 31 33 33 33 33 37 37 37 37 38 38 Conclusion 39 ´ erences ´ Ref 40 A Annexe : extrait de configuration du serveur DHCP 41 B Annexe : extrait configuration DNS 43 ` C Annexe : Regles pare-feu Netfilter 45 D Annexe : Fichier de configuration de Samba 47 Rapport de stage de Jules DAGNAUD ` ´ Master Systemes Informatiques et Reseaux – UCBL – IFI 2008–2009 E Annexe : Script d’ajout d’utilisateur Samba/LDAP 50 F Annexe : Fichier de configuration de OpenLdap 51 G Annexe : Fichier de configuration du proxy Squid 54 Rapport de stage de Jules DAGNAUD ` ´ Master Systemes Informatiques et Reseaux – UCBL – IFI 2008–2009 Introduction ` avoir suivi ma deuxieme ` ´ de Master a` l’Institut de la Francophonie pour l’Informatique, j’ai Apres annee ´ e´ de prolonger mon experience ´ ´ ´ decid a` l’etranger en effectuant mon stage de fin d’etudes en entreprise au Vietnam L’entreprise d’architecture NKB Archi m’en a donne´ la possibilite´ en m’accueillant en tant qu’administrateur informatique ´ Le Vietnam, a` l’image des entreprises qui y sont implantees, est actuellement dans une phase de ´ ´ es ´ se sont massivement equip ´ ´ de l’outil informadeveloppement et de modernisation Aussi, les societ ees ´ ´ ´ ` ´ tique, veritable moteur de developpement economique et social, ces dernieres annees L’utilisation de tout logiciel est soumise a` l’acceptation d’un contrat d’utilisation, aussi appele´ licence ´ ´ ce qui satisfait gen ´ eralement ´ Pour la plupart des logiciels, dits ”proprietaires”, seule l’utilisation est autorisee, ´ le client Leurs equivalents libres sont soumis a` des contrats plus permissifs Ils permettent a` toute per` ´ sonne qui possede une copie du logiciel non seulement de l’utiliser, mais aussi de l’etudier, le modifier et le redistribuer Il est important pour les utilisatrices que sont les entreprises de connaˆıtre objectivement l’offre logicielle existante Or, la position dominante et les moyens marketing des grands acteurs en place biaisent ´ eficient ´ ` l’information dont elles ben C’est particulierement vrai au Vietnam, ou` on peut ajouter d’autres raisons pour expliquer la faible utilisation des logiciels libres, notamment le fait que les logiciels commerciaux ´ et proprietaires sont trop faciles a` trouver pour une faible somme ´ par le Cependant, les inspections au sein des entreprises se multiplient suite a` la campagne lancee ´ ´ De plus, le ministre vietnamien gouvernement vietnamien pour eliminer l’utilisation des logiciels pirates ´ ´ de l’Information et des Communications, Le Doan Hop, a annonce un plan national prevoyant le passage vers des logiciels libres et Linux au sein des administrations nationales et locales d’ici 2010 ´ ´ a` de decrire ´ ´ a` NKB Archi, se donne pour ambition Ce memoire, au del mes cinq mois de stage passes ´ ´ ´ de presenter comment ameliorer significativement le reseau et la communication au sein d’une entreprise ´ ´ de logiciels proprietaires, ´ equip ee en appliquant des solutions libres et gratuites ` une presentation ´ ´ ´ ´ Apres de l’entreprise d’accueil, nous decrirons la situation du reseau a` mon arrivee ´ en analysant ses forces et ses faiblesses Nous proposerons ensuite des solutions et ameliorations, dont nous aborderons la mise en place, avant de faire un bilan du travail accompli Rapport de stage de Jules DAGNAUD ` ´ Master Systemes Informatiques et Reseaux – UCBL – IFI 2.1 2008–2009 L’entreprise d’accueil ´ Presentation de l’entreprise ` de M Nicolas Berry, lance sa propre agence d’architecture En janvier 1969, M Jacques Berry, le pere ´ eral ´ a` Paris Il est rejoint par son fils, en janvier 2003 En janvier 2005, Nicolas devient Directeur Gen de ´ ˆ ´ NKB Archi Vietnam l’agence qui se renomme alors NKB Archi France En decembre de la meme annee, Ltd est lance´ a` Hanoi ´ ´ ´ Depuis sa creation, l’entreprise n’a cesse´ de se developper, tant du point de vue de ses differentes ´ ´ qui depasse ´ realisations, qu’au niveau de ses locaux et du nombre de ses employes aujourd’hui la cin´ ´ quantaine Entre temps, NKB Archi Vietnam Limited a monte un bureau de representation a` Ho Chi Minh ´ ´ dans l’urbanisme, et est sur le point de creer ´ Space by NKB, City, a lance´ NKB Planning, filiale specialis ee a` Hong-Kong et au Vietnam, dans le but d’investir le marche´ du meuble ˆ L’agence d’architecture NKB Archi se compose de deux poles ; le premier, NKB Archi France dont le ´ bureau est situe´ a` Paris, travaille sur une architecture a` echelle locale, tout en participant ponctuellement ˆ et le plus important, NKB Archi Vietnam Limia` des projets de plus grande envergure Le second pole ´ ´ ted, prend en charge des realisations d’ensembles a` echelles nationales ou internationales comme des ˆ ´ ´ complexes touristiques, des batiments publics ou encore des residences privees L’agence de Hanoi qui m’a employe´ durant ce stage est celle qui compte le plus grand nombre d’em´ Elle est implantee ´ au 159 Lo Duc, dans le quartier Hai Ba Trung de Hanoi, depuis plus d’un an ployes ˆ ´ Les locaux se divisent en deux batiments L’un abrite la reception et les bureaux des architectes ´ ´ ` ´ conception et technique, l’autre est reserve a l’administration et aux bureaux des ingenieurs Mon poste ´ e´ installe´ dans la salle des architectes techniques, la plus proche de la salle des serveurs a et ˆ hanoien emploie majoritairement des vietnamiens, bien que les postes de conception archiLe pole ´ par des occidentaux expatries ´ Cette atmosphere ` multiculturelle tecturale soient en grande partie occupes ` enrichissante au jour le jour De plus, le contexte de travail est exclusivement anglophone est tres ´ ´ Le champ d’intervention de l’agence s’etend sur de nombreux types de realisations qui peuvent avoir ˆ ˆ fonction de logements, bureaux, commerces, hotels, batiments publics ou industriels, allant de l’architec´ ´ ture d’interieur jusqu’a` l’amenagement urbain ´ de l’agence de Hanoi F IG – Les employes Rapport de stage de Jules DAGNAUD ` ´ Master Systemes Informatiques et Reseaux – UCBL – IFI 2.2 2008–2009 ˆ occupe´ au sein de l’agence Role ` ´ Le poste occupe´ pendant mois fut celui d’administrateur systeme et reseau du parc informatique de l’agence 2.2.1 Description de la mission ´ ´ consistait a` proposer et mettre en place des outils gratuits et libres, dans La mission qui m’etait confiee ´ ´ l’objectif d’ameliorer le reseau interne de l’agence Mon travail s’est articule´ autour de trois axes fortement ´ : l’etude ´ ´ ` lies du reseau existant, la migration du systeme d’exploitation des serveurs de production et la mise en place d’outils de communication et de travail collaboratif ˆ de support informatique et d’assistance aux utilisaA` ces missions s’est ajoute´ naturellement un role ` ´ teurs (installation de logiciels, correction de problemes, maintenance materielle) ´ ˆ ´ Enfin, j’avais egalement comme tache de former M Nguyen Dang Kiem, pour qui le monde Linux etait inconnu jusqu’alors, aux outils que je mettais en place 2.2.2 ´ Calendrier Previsionnel ˆ Tache ´ Audit du reseau existant Recherche et proposition des outils de remplacement / a` ajouter ´ Preparation de la migration Migration ´ a` l’utilisation du nouveau reseau ´ Formation des employes Mise en place d’outils de collaboration et formation de l’administrateur en place ´ Periode semaines semaines semaines jours (week-end) semaine semaines ´ F IG – Calendrier Previsionnel Rapport de stage de Jules DAGNAUD ` ´ Master Systemes Informatiques et Reseaux – UCBL – IFI 2008–2009 F IG – Organigramme de l’entreprise Rapport de stage de Jules DAGNAUD ` ´ Master Systemes Informatiques et Reseaux – UCBL – IFI 2008–2009 ´ erences ´ Ref [1] Christian Caleca, L’Internet Rapide et Permanent, http://irp.nain-t.net/ [2] Olivier Gluck, Applications de lInternet de type Client/Serveur ă [3] Thomas Lotze, Jan Ulrich Hasecke, A User’s guide to Plone ´ ´ [4] Olivier Allard-Jacquin, Firewall et securit e´ d’un reseau personnel sous Linux [5] http://www.debian.org [6] http://www.linux-france.org [7] http://www.isc.org [8] http://www.plone.org [9] http://www.igniterealtime.org Table des figures 10 11 12 13 14 15 16 17 ´ de l’agence de Hanoi Les employes ´ Calendrier Previsionnel Organigramme de l’entreprise ´ Reseau de l’entreprise Le protocole DHCP Nouvel adressage et nouveau nommage avec Dhcp et Bind9 ´ Notre serveur DNS recursif Trajet des paquets dans la pile IP Les tables de Netfilter et leurs chaines Fonctionnement du Firewall ´ ´ Arborescence d’informations hierarchiques simplifiee Serveur Mandataire ´ ´ ´ Schema recapitulatif du fonctionnement du reseau Client Jabber : Spark Page d’identification de l’intranet Interface d’administration de Zope Page d’accueil de l’intranet pour un utilisateur Rapport de stage de Jules DAGNAUD 11 18 20 21 22 22 24 26 28 30 32 34 35 36 40 ` ´ Master Systemes Informatiques et Reseaux – UCBL – IFI A 2008–2009 Annexe : extrait de configuration du serveur DHCP # # Sample configuration file for ISC dhcpd for Debian # # $Id: dhcpd.conf,v 1.1.1.1 2002/05/21 00:07:44 peloy Exp $ # # # # # The ddns-updates-style parameter controls whether or not the server will attempt to a DNS update when a lease is confirmed We default to the behavior of the version packages (’none’, since DHCP v2 didn’t have support for DDNS.) ddns-update-style interim; #ddns-update on; ignore client-updates; update-static-leases on; allow-unknown-clients; # option definitions common to all supported networks option option option option option time-servers 192.168.1.254; domain-name "nkb.com"; domain-name-servers 192.168.1.254; subnet-mask 255.255.255.0; routers 192.168.1.254; max-lease-time 3600; default-lease-time 600; # If this DHCP server is the official DHCP server for the local # network, the authoritative directive should be uncommented authoritative; # Use this to send dhcp log messages to a different log file (you also # have to hack syslog.conf to complete the redirection) log-facility local7; Rapport de stage de Jules DAGNAUD 41 ` ´ Master Systemes Informatiques et Reseaux – UCBL – IFI 2008–2009 # No service will be given on this subnet, but declaring it helps the # DHCP server to understand the network topology subnet 192.168.1.0 netmask 255.255.255.0 { range dynamic-bootp 192.168.1.90 192.168.1.99 ; } # DNS to update zone nkb.com { primary 127.0.0.1; } zone 1.168.192.in-addr-arpa { primary 127.0.0.1;} # Reservations host nkbbackup { hardware ethernet 00:08:**:**:**:**; fixed-address 192.168.1.20; } host nkbbackup { hardware ethernet 00:11:**:**:**:**; fixed-address 192.168.1.253; } host jdagnaud { hardware ethernet 00:1f:**:**:**:**; fixed-address 192.168.1.49; } Rapport de stage de Jules DAGNAUD 42 ` ´ Master Systemes Informatiques et Reseaux – UCBL – IFI B 2008–2009 Annexe : extrait configuration DNS ; ;BIND data file for nkb.com ;/etc/bind/db.nkb.com ; $TTL 604800 @ IN SOA nkbserver.nkb.com root.nkbserver.nkb.com ( 2009051401 ; Serial 604800 ; Refresh 86400 ; Retry 2419200 ; Expire 604800 ) ; Negative Cache TTL ; @ IN NS nkbserver.nkb.com @ IN A 192.168.1.254 nkbserver IN A 192.168.1.254 server IN CNAME nkbserver nkbbackup IN A 192.168.1.253 nberry IN A 192.168.1.15 jdagnaud IN A 192.168.1.62 gmetadier IN A 192.168.1.20 svaidie IN A 192.168.1.21 tmontreau IN A 192.168.1.22 ltphuong IN A 192.168.1.23 tqthang IN A 192.168.1.24 ntnam IN A 192.168.1.25 nkb26 IN A 192.168.1.26 ptphuong IN A 192.168.1.27 ntthuong IN A 192.168.1.28 btnhung IN A 192.168.1.29 pthuyen IN A 192.168.1.30 ndkiem IN A 192.168.1.31 nkb32 IN A 192.168.1.32 ptphuc IN A 192.168.1.33 cdquy IN A 192.168.1.35 vthieu IN A 192.168.1.36 nktan IN A 192.168.1.37 nkb38 IN A 192.168.1.38 nvduong IN A 192.168.1.39 nkb40 IN A 192.168.1.40 vkimanh IN A 192.168.1.41 nkb42 IN A 192.168.1.42 Rapport de stage de Jules DAGNAUD 43 ` ´ Master Systemes Informatiques et Reseaux – UCBL – IFI 2008–2009 ltttu IN A 192.168.1.43 datuan IN A 192.168.1.44 nkb45 IN A 192.168.1.45 nkthoa IN A 192.168.1.46 npha IN A 192.168.1.47 vtha IN A 192.168.1.49 nmthuy IN A 192.168.1.50 nkb51 IN A 192.168.1.51 ntthop IN A 192.168.1.52 lgiang IN A 192.168.1.53 nkb54 IN A 192.168.1.54 gdesormeaux IN A 192.168.1.55 dmquy IN A 192.168.1.56 nkb57 IN A 192.168.1.57 nthvan IN A 192.168.1.59 mqanh IN A 192.168.1.71 tttha IN A 192.168.1.61 ttduong IN A 192.168.1.201 Rapport de stage de Jules DAGNAUD 44 ` ´ Master Systemes Informatiques et Reseaux – UCBL – IFI C 2008–2009 ` Annexe : Regles pare-feu Netfilter #!/bin/bash # Erase chain rules iptables -F #FILTER iptables -t nat -F #NAT iptables -t mangle -F #MANGLE # Erase user chains iptables -X #FILTER iptables -t nat -X #NAT iptables -t mangle -X #MANGLE # DROP everything by default for table FILTER iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP # ACCEPT iptables iptables iptables iptables iptables iptables iptables iptables everything for NAT and MANGLE -t nat -P PREROUTING ACCEPT -t nat -P POSTROUTING ACCEPT -t nat -P OUTPUT ACCEPT -t mangle -P PREROUTING ACCEPT -t mangle -P INPUT ACCEPT -t mangle -P OUTPUT ACCEPT -t mangle -P FORWARD ACCEPT -t mangle -P POSTROUTING ACCEPT # ACCEPT iptables iptables iptables iptables FOR LAN AND LOCAL PROCESSUS -A INPUT -i eth1 -j ACCEPT -A OUTPUT -o eth1 -j ACCEPT -A INPUT -i lo -j ACCEPT -A OUTPUT -o lo -j ACCEPT # NAT : IP MASQUERADE AND FORWARD ACCEPT FROM LAN TO INTERNET modprobe ip_conntrack modprobe ip_conntrack_ftp iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE #iptables -A FORWARD -i eth1 -o eth0 -m state state NEW,ESTABLISHED,RELATED -j ACCEPT #iptables -A FORWARD -i eth0 -o eth1 -m state state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -p tcp dport ! 80 -i eth1 -o eth0 -m state state NEW,ESTABLISHED,RELATE iptables -A FORWARD -p tcp dport ! 80 -i eth0 -o eth1 -m state state ESTABLISHED,RELATED -j #iptables -A FORWARD -p tcp dport ! 443 -i eth1 -o eth0 -m state state NEW,ESTABLISHED,RELA Rapport de stage de Jules DAGNAUD 45 ` ´ Master Systemes Informatiques et Reseaux – UCBL – IFI 2008–2009 #iptables -A FORWARD -p tcp dport ! 443 -i eth0 -o eth1 -m state state ESTABLISHED,RELATED # DNS ACCEPT iptables -A OUTPUT -o eth0 -p udp sport 1024: dport 53 -m state state ! INVALID -j ACCEPT iptables -A INPUT -i eth0 -p udp sport 53 dport 1024: -m state state RELATED,ESTABLISHED # SSH ACCEPT iptables -A INPUT -p tcp dport 22 -i eth0 -j ACCEPT iptables -A OUTPUT -p tcp sport 22 -o eth0 -j ACCEPT # JABBER ACCEPT iptables -A INPUT -p tcp dport 5222 -i eth0 -j ACCEPT iptables -A OUTPUT -p tcp sport 5222 -o eth0 -j ACCEPT # PROXY iptables iptables iptables iptables -A -A -A -A OUTPUT -p tcp dport 80 -o eth0 -m state state NEW,ESTABLISHED,RELATED -j ACCEPT INPUT -p tcp sport 80 -i eth0 -m state state ESTABLISHED,RELATED -j ACCEPT OUTPUT -p tcp dport 443 -o eth0 -m state state NEW,ESTABLISHED,RELATED -j ACCEP INPUT -p tcp sport 443 -i eth0 -m state state ESTABLISHED,RELATED -j ACCEPT #iptables -A OUTPUT -o eth0 -m state state NEW,ESTABLISHED,RELATED -j ACCEPT #iptables -A INPUT -i eth0 -m state state ESTABLISHED,RELATED -j ACCEPT Rapport de stage de Jules DAGNAUD 46 ` ´ Master Systemes Informatiques et Reseaux – UCBL – IFI D 2008–2009 Annexe : Fichier de configuration de Samba [global] workgroup = NKB netbios name = nkbserver server string = nkbserver domain master = Yes local master = Yes domain logons = Yes os level = 40 ldap passwd sync = Yes passdb backend = ldapsam:ldap://127.0.0.1/ ldap admin dn = cn=nkbadmin,dc=nkb,dc=com ldap suffix = dc=nkb,dc=com ldap group suffix = ou=groups ldap user suffix = ou=users #ldap machine suffix = ou=Machines add user script = /usr/sbin/smbldap-useradd -m "%u" ldap delete dn = no delete user script = /usr/sbin/smbldap-userdel "%u" add machine script = /usr/sbin/smbldap-useradd -w "%u" add group script = /usr/sbin/smbldap-groupadd -p "%g" #delete group script = /usr/sbin/smbldap-groupdel "%g" add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g" delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g" set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u" logon path = \\%L\profile\%U logon drive = P: logon home = \\%L\%U socket options = TCP_NODELAY SO_RCVBUF=8576 SO_SNDBUF=8576 case sensitive = No default case = lower preserve case = yes short preserve case = Yes #character set = iso8859-1 #domain admin group = @admin dns proxy = no wins support = no hosts allow = 192.168.1 127 winbind use default domain = Yes nt acl support = Yes msdfs root = Yes hide files = /desktop.ini/ntuser.ini/NTUSER.*/ #### SHARING ##### [netlogon] Rapport de stage de Jules DAGNAUD 47 ` ´ Master Systemes Informatiques et Reseaux – UCBL – IFI 2008–2009 path = /home/netlogon writable = No browseable = No write list = nkbadmin # [profile] path = /home/export/profile browseable = No writeable = Yes profile acls = yes create mask = 0700 directory mask = 0700 # #[homes] #comment = Personal Folder #browseable = No #writeable = Yes # [NKB Library] comment = NKBLibrary browseable = Yes writeable = Yes public = No path = /media/DiskE/NKBLibrary # [Network Admin] comment = NetworkAdmin browseable = Yes writeable = Yes public = No #valid users = @it @dg path = /media/DiskE/NetworkAdmin # [Business Development] comment = Business Development browseable = Yes writeable = Yes valid users = @dg @secretaries @accountants @marketing public = No path = /media/DiskE/Jean_Verly/ # [Projects] comment = Projects browseable = Yes writeable = Yes public = No Rapport de stage de Jules DAGNAUD 48 ` ´ Master Systemes Informatiques et Reseaux – UCBL – IFI 2008–2009 path = /media/DiskF/Projects # [Scans] comment = Scans browseable = Yes writeable = Yes public = No path = /media/DiskE/Scan Rapport de stage de Jules DAGNAUD 49 ` ´ Master Systemes Informatiques et Reseaux – UCBL – IFI E 2008–2009 Annexe : Script d’ajout d’utilisateur Samba/LDAP #! /bin/sh echo echo echo echo -n -n -n -n "User name ? "; read name ; "User login ? "; read log ; "Machine name($) ?"; read machine1 ; "Machine name ?"; read machine ; useradd -g machines -d /dev/null -s /bin/false "$machine1"; smbpasswd -a -m "$machine"; adduser "$log" ingroup users; smbldap-useradd -a -c "$name" -m -P "$log"; #$ Rapport de stage de Jules DAGNAUD 50 ` ´ Master Systemes Informatiques et Reseaux – UCBL – IFI F 2008–2009 Annexe : Fichier de configuration de OpenLdap # This is the main slapd configuration file See slapd.conf(5) for more # info on the configuration options ####################################################################### # Global Directives: # Features to permit allow bind_v2 # Schema and objectClass definitions include /etc/ldap/schema/core.schema include /etc/ldap/schema/cosine.schema include /etc/ldap/schema/nis.schema include /etc/ldap/schema/inetorgperson.schema include /etc/ldap/schema/openldap.schema include /etc/ldap/schema/samba.schema # Where the pid file is put The init.d script # will not stop the server if you change this pidfile /var/run/slapd/slapd.pid # List of arguments that were passed to the server argsfile /var/run/slapd/slapd.args # Read slapd.conf(5) for possible values loglevel none # Where the dynamically loaded modules are stored modulepath /usr/lib/ldap moduleload back_bdb # The maximum number of entries that is returned for a search operation sizelimit 500 # The tool-threads parameter sets the actual amount of cpu’s that is used # for indexing tool-threads ####################################################################### # Specific Backend Directives for hdb: # Backend specific directives apply to this backend until another # ’backend’ directive occurs Rapport de stage de Jules DAGNAUD 51 ` ´ Master Systemes Informatiques et Reseaux – UCBL – IFI 2008–2009 backend bdb ####################################################################### # Specific Backend Directives for ’other’: # Backend specific directives apply to this backend until another # ’backend’ directive occurs #backend ####################################################################### # Specific Directives for database #1, of type hdb: # Database specific directives apply to this databasse until another # ’database’ directive occurs database bdb # The base of your directory in database #1 suffix dc=nkb,dc=com rootdn cn=nkbadmin,dc=nkb,dc=com # for syncrepl # rootdn "cn=nkbadmin,dc=nkb,dc=com" # Where the database file are physically stored for database #1 directory "/var/lib/ldap" # # # # The dbconfig settings are used to generate a DB_CONFIG file the first time slapd starts They NOT override existing an existing DB_CONFIG file You should therefore change these settings in DB_CONFIG directly or remove DB_CONFIG and restart slapd for changes to take effect # For the Debian package we use 2MB as default but be sure to update this # value if you have plenty of RAM dbconfig set_cachesize 2097152 # Sven Hartge reported that he had to set this value incredibly high # to get slapd running at all See http://bugs.debian.org/303057 for more # information # Number dbconfig # Number dbconfig # Number dbconfig of objects that can be locked at the same time set_lk_max_objects 1500 of locks (both requested and granted) set_lk_max_locks 1500 of lockers set_lk_max_lockers 1500 # Indexing options for database #1 Rapport de stage de Jules DAGNAUD 52 ` ´ Master Systemes Informatiques et Reseaux – UCBL – IFI index 2008–2009 objectClass eq # Save the time that the entry gets modified, for database #1 lastmod on # Checkpoint the BerkeleyDB database periodically in case of system # failure and to speed slapd shutdown checkpoint 512 30 # Where to store the replica logs for database #1 # replogfile /var/lib/ldap/replog # # # # # The userPassword by default can be changed by the entry owning it if they are authenticated Others should not be able to see it, except the admin entry below These access lines apply to database #1 only # # # # # # # # # Ensure read access to the base for things like supportedSASLMechanisms Without this you may have problems with SASL not knowing what mechanisms are available and the like Note that this is covered by the ’access to *’ ACL below too but if you change that as people are wont to you’ll still need this if you want SASL (and possible other things) to work happily # The admin dn has full write access, everyone else # can read everything # For Netscape Roaming support, each user gets a roaming # profile for which they have write access to #access to dn=".*,ou=Roaming,o=morsnet" # by dn="cn=nkbadmin,dc=nkb,dc=com" write # by dnattr=owner write ####################################################################### # Specific Directives for database #2, of type ’other’ (can be hdb too): # Database specific directives apply to this databasse until another # ’database’ directive occurs #database # The base of your directory for database #2 #suffix "dc=debian,dc=org" rootpw ******** Rapport de stage de Jules DAGNAUD 53 ` ´ Master Systemes Informatiques et Reseaux – UCBL – IFI G 2008–2009 Annexe : Fichier de configuration du proxy Squid auth_param basic program /usr/lib/squid3/squid_ldap_auth -b ou=users,dc=nkb,dc=com -u uid local auth_param basic children auth_param basic realm Identification proxy auth_param basic credentialsttl hours acl ldapauth proxy_auth REQUIRED acl authenticated proxy_auth REQUIRED acl manager proto cache_object acl localhost src 127.0.0.1/32 acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT acl no_internet proxy_auth user1 user2 user3 http_access deny no_internet http_access allow authenticated http_access allow ldapauth http_access allow localhost http_access deny all #http_access allow manager localhost #http_access deny manager #http_access deny !Safe_ports #http_access deny CONNECT !SSL_ports icp_access deny all http_port 3128 hierarchy_stoplist cgi-bin ? access_log /var/log/squid3/access.log squid refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern (cgi-bin|\?) 0% refresh_pattern 20% 4320 icp_port 3130 coredump_dir /var/spool/squid3 Rapport de stage de Jules DAGNAUD 54