Administration système & réseau
-
Upload
trinhkhanh -
Category
Documents
-
view
220 -
download
2
Transcript of Administration système & réseau
1
Administration système & réseauSNMP, Gestion des comptes, NIS, NFS, DHCP, impression
Christian [email protected]
www.gipsa-lab.fr/~christian.bulfone/IC2A-DCISS
Master IC2A/DCISSAnnée 2015/2016
Ad
min
istr
atio
n sy
stè
me
& r
ése
au –
Ma
ste
r IC
2A
/DC
ISS
–C
hris
tian
Bu
lfone
Plan du cours
• Administration et supervision de réseaux• Comptes utilisateurs sous Unix• Arrêt et lancement des services• Gestion des adresses IP avec DHCP• Gestion centralisée avec NIS ou YP• Système de fichiers partagés avec NFS• Service d’impression
2
Ad
min
istr
atio
n sy
stè
me
& r
ése
au –
Ma
ste
r IC
2A
/DC
ISS
–C
hris
tian
Bu
lfone
Administration réseaux
• Ensemble des moyens mis en œuvre • pour garantir l’efficacité du système et sa
disponibilité, • pour assurer la surveillance des coûts et la
planification des évolutions
• L’administration d’un réseau suppose l’existence d’une base d’information décrivant l’ensemble des objets administrés• Grand nombres d’objets concernés• Nécessite un dialogue entre les composants
Ad
min
istr
atio
n sy
stè
me
& r
ése
au –
Ma
ste
r IC
2A
/DC
ISS
–C
hris
tian
Bu
lfone
Administration réseaux
• L’ISO définit 5 domaines d’administration• Gestion des configurations
• Paramétrage des équipements et de la topologie
• Gestion des performances• Mesures, statistiques de la charge, des flux et des erreurs
• Gestion des pannes• Détection et localisation des défaillances et contournement
• Gestion de la comptabilité• Recensement, facturation, rentabilisation, contrat de
maintenance
• Gestion de la sécurité• Protection du réseau et des utilisateurs contre les intrusions
et malveillances
3
Ad
min
istr
atio
n sy
stè
me
& r
ése
au –
Ma
ste
r IC
2A
/DC
ISS
–C
hris
tian
Bu
lfone
Gestion des configurations
• Consiste à maintenir un inventaire précis des ressources matérielles (type, équipement,. . .) et logicielles (version, fonction,. . .)
• Connaître la répartition géographique des équipements gérés
Ad
min
istr
atio
n sy
stè
me
& r
ése
au –
Ma
ste
r IC
2A
/DC
ISS
–C
hris
tian
Bu
lfone
Gestion des performances
• Mettre en œuvre des moyens permettant d’évaluer le comportement des objets gérés
• Déterminer si la qualité de service (QoS) est rendue aux utilisateurs
• On retrouve aussi :• La collecte d’information (audit)
• Mesure de trafic• Temps de réponse• Taux d’erreurs
• Le stockage (archivage)• L’interprétation des mesures (calcul de charge)
4
Ad
min
istr
atio
n sy
stè
me
& r
ése
au –
Ma
ste
r IC
2A
/DC
ISS
–C
hris
tian
Bu
lfone
Gestion des pannes
• Optimisation des ressources et des moyens• Diagnostic rapide de toute défaillance (externe,
coupure d’un lien public, ou interne, panne d’un routeur)
• On retrouve aussi :• Surveillance et traitement des alarmes• Localisation et diagnostic des incidents• Mémorisation des anomalies (journalisation)• Définition des opérations curatives
Ad
min
istr
atio
n sy
stè
me
& r
ése
au –
Ma
ste
r IC
2A
/DC
ISS
–C
hris
tian
Bu
lfone
Gestion de la comptabilité
• Cette fonction permet essentiellement d’imputer les coûts du réseau à ses utilisateurs selon l’usage réel des moyens (comptabilité analytique)
• On retrouve :• Définition des centres de coût• Mesure des dépenses (structure) et répartition• Mesure des consommations par service• Imputation des coûts
5
Ad
min
istr
atio
n sy
stè
me
& r
ése
au –
Ma
ste
r IC
2A
/DC
ISS
–C
hris
tian
Bu
lfone
Gestion de la sécurité
• Regroupe tous les domaines de la sécurité afin d’assurer l’intégrité des informations traitées et des objets administrés• Contrôle d’accès au réseau• Confidentialité des données• Intégrité des données• Authentification• Non désaveu
Ad
min
istr
atio
n sy
stè
me
& r
ése
au –
Ma
ste
r IC
2A
/DC
ISS
–C
hris
tian
Bu
lfone
Supervision de réseaux : le protocole SNMP
• SNMP (Simple Network Management Protocol)• Protocole créé en 1988 par l’IETF (Internet
Engineering Task Force) pour répondre aux besoins d’administration du réseau Internet
• Objectifs de SNMP• Fédérer en un standard unique des protocoles
multiples liés aux équipementiers• Déploiement rapide et à moindre coût
6
Ad
min
istr
atio
n sy
stè
me
& r
ése
au –
Ma
ste
r IC
2A
/DC
ISS
–C
hris
tian
Bu
lfone
Supervision de réseaux : le protocole SNMP
• Permet aux administrateurs réseau • de gérer les équipements du réseau• de surveiller leur comportement
• Chaque élément potentiellement administrable est doté d’un agent• Programme fonctionnant sur un élément réseau
(commutateurs, routeurs) et/ou stations de travail et serveurs
• Tous les agents sont contrôlés par une (ou des) station(s) d’administration ou station(s) maîtresse(s) (NMS : Network Management System)
• Les informations d’administration d’un élément du réseau sont stockées dans une structure arborescente appelée MIB (Management Information Base)
Ad
min
istr
atio
n sy
stè
me
& r
ése
au –
Ma
ste
r IC
2A
/DC
ISS
–C
hris
tian
Bu
lfone
Le protocole SNMP
• SNMP est défini par 3 principaux RFC (1157, 1213 et 1155)
• Le protocole est basé sur l’échange de messages (requêtes et réponses) entre l’élément réseau à surveiller et la station d’administration
• Les messages SNMP sont encapsulés dans des paquets UDP (numéros de port 161 et 162)• Avantage : simplicité et peu de puissance nécessaire pour
faire fonctionner l’agent• Inconvénient : protocole non fiable
• Une écriture sera suivie d’une lecture de la valeur pour vérification
• En cas de non réponse, la requête est réitérée
7
Ad
min
istr
atio
n sy
stè
me
& r
ése
au –
Ma
ste
r IC
2A
/DC
ISS
–C
hris
tian
Bu
lfone
Format des données en SNMP
en-têtes MAC & LLC
en-tête UDP
post-fixe MAC
message SNMP
numéro de version
nom de communauté
PDU SNMP
type de PDU
champs fonction du type de PDU
liaison de variable
En-tête IP
Ad
min
istr
atio
n sy
stè
me
& r
ése
au –
Ma
ste
r IC
2A
/DC
ISS
–C
hris
tian
Bu
lfone
Le protocole SNMP
• La station maîtresse (manager)• Est chargée d’interroger régulièrement les agents• Est aussi la destinataire des alertes (traps) qui sont
générés spontanément par les agents• Plus la fréquence d’interrogation est élevée, plus
les informations remontées seront détaillées, mais plus le trafic sera important
8
Ad
min
istr
atio
n sy
stè
me
& r
ése
au –
Ma
ste
r IC
2A
/DC
ISS
–C
hris
tian
Bu
lfone
Le protocole SNMP
• Les agents• Répondent aux requêtes de la station maîtresse en
renvoyant la valeur du paramètre recherché• Positionnent des variables aux valeurs qui lui leur
sont envoyées• Emettent spontanément une alarme lors d’un
événement critique• Ne peuvent fonctionner que sur un CPU ou avec des
extensions dédiées• Possèdent des noms de communauté (« public » par
défaut) pour se protéger des requêtes de lecture ou d’écriture indésirables
Ad
min
istr
atio
n sy
stè
me
& r
ése
au –
Ma
ste
r IC
2A
/DC
ISS
–C
hris
tian
Bu
lfone
Le protocole SNMP
• 5 types de messages ou requêtes SNMP peuvent être échangés (SNMPv1) entre agent et manager• Get Request
• demande de la valeur courante de la variable indiquée• Get Next Request
• demande de la valeur « suivante » dans l’arborescence• Get Response
• envoi de la valeur demandée• Set Request
• configuration d’une variable à la valeur indiquée• Trap
• indication autonome de l’agent
9
Ad
min
istr
atio
n sy
stè
me
& r
ése
au –
Ma
ste
r IC
2A
/DC
ISS
–C
hris
tian
Bu
lfone
Le protocole SNMP
Manager SNMP Agent SNMP
Port UDP 162
get-request
get-response
get-next-request
get-response
set-request
get-response
trap
Port UDP 161
Port UDP 161
Port UDP 161
Ad
min
istr
atio
n sy
stè
me
& r
ése
au –
Ma
ste
r IC
2A
/DC
ISS
–C
hris
tian
Bu
lfone
Le protocole SNMP
• MIBs• Stockent les informations d’administration d’un élément du réseau
sous forme arborescente• Chaque objet de la MIB
• possède un identificateur unique ou OID (Object ID)• se conforme au codage ASN.1 (Abstract Syntax Notation) de l’ISO
et peut être de différents formats (numérique entier, suite de bits, suite d’octets, nul, identificateur d’objet, séquence de)
• Une partie de la MIB, la MIB-II, doit toujours être présente• De multiples MIB ont été définies en complément
• Par technologies : Ethernet, Token-Ring, FDDI, 100VG-AnyLan, X.25 …
• Par équipements : répéteur Ethernet, Bridge, Source-Route bridge, sonde
• Par protocole : BGP-4, PPP, RIP-2, OSPF, DNS, AppleTalk, DECnet …
10
Ad
min
istr
atio
n sy
stè
me
& r
ése
au –
Ma
ste
r IC
2A
/DC
ISS
–C
hris
tian
Bu
lfone
Le protocole SNMP
• Structure de la MIB• Se compose d’une racine non nommée à
partir de laquelle sont référencés de façon absolue les objets (nœuds de l’arbre)
• Chaque nœud de l’arbre possède un nom symbolique
• Chaque objet peut être identifié de façon symbolique ou en utilisant son OID
Ad
min
istr
atio
n sy
stè
me
& r
ése
au –
Ma
ste
r IC
2A
/DC
ISS
–C
hris
tian
Bu
lfone
Structure de la MIB
0 ccitt 1 2iso joint-iso-ccitt
0 standard 1 2registration-authority
member 3 org
6 dod
1 internet
1 directory 2 3mgmt experimental 4 private 5 security 6 snmpV2
iso.org.dod.internet.mgmt.mib.system.sysDescr.01.3.6.1.2.1.1.1.0
11
Ad
min
istr
atio
n sy
stè
me
& r
ése
au –
Ma
ste
r IC
2A
/DC
ISS
–C
hris
tian
Bu
lfone
Logiciels de supervision
• Ont pour tâche de mettre en œuvre tous les mécanismes génériques autour de SNMP• enregistrement (log) avec filtrage divers et
déclenchement d’actions sur événement (trap reçu)• découverte du réseau (IP) et maintient d’une base
de données des éléments découverts (adresses MAC, adresses IP, type d’équipements …)
• surveillance minimale de la présence de ces éléments (polling périodique)
• aide à la construction de graphes par interrogation de variables spécifiques
• mise en œuvre de script combinant polling, conditions et actions
Ad
min
istr
atio
n sy
stè
me
& r
ése
au –
Ma
ste
r IC
2A
/DC
ISS
–C
hris
tian
Bu
lfone
Logiciels de supervision
• Auto-découverte• Ne consiste pas à localiser physiquement les
machines, mais à connaître leur existence par• écoute des adresses réseau qui communiquent• interrogation des adresses potentielles à l’aide de ping• interrogation SNMP
• requête Get sur une valeur élémentaire de la MIB II (par exemple sysObjetctID dans System)
• Processus tournant sans arrêt en tâche de fond• Prise en compte dynamique de
• l’apparition des nouveaux nœuds dans le réseau• la disparition (temporaire ou non) de certains autres
(signalée par une alarme)
12
Ad
min
istr
atio
n sy
stè
me
& r
ése
au –
Ma
ste
r IC
2A
/DC
ISS
–C
hris
tian
Bu
lfone
Logiciels de supervision
• Plusieurs logiciels d’administration disponibles• Commerciaux
• OpenView d’HP • NetView/6000 d’IBM• Solstice de SunSoft• ISM de Bull • Spectrum de Cabletron• WhatsUpGold de Ipswitch
• Open Source• Zenoss• OpenNMS
Ad
min
istr
atio
n sy
stè
me
& r
ése
au –
Ma
ste
r IC
2A
/DC
ISS
–C
hris
tian
Bu
lfone
Métrologie
• Par définition, désigne la science des mesures• Dans le cadre des réseaux informatiques, son
objectif est de « connaître et comprendre le réseau » afin de pouvoir • intervenir dans l'urgence en cas de problème,• anticiper l'évolution du réseau,• planifier l'introduction de nouvelle applications,• améliorer les performances pour les utilisateurs
13
Ad
min
istr
atio
n sy
stè
me
& r
ése
au –
Ma
ste
r IC
2A
/DC
ISS
–C
hris
tian
Bu
lfone
Métrologie
• Protocoles utilisés• SNMP
• Récupération à intervalles réguliers des valeurs des compteurs sur les équipements actifs
• Mise à jour d’histogrammes à partir des données collectées
• NetFlow• Protocole développé par Cisco permettant la
comptabilisation de flux réseaux• Supporté par la majorité des vendeurs
d’équipements réseaux • Il existe des protocoles similaires (sFlow chez
InMon, LFAP chez Riverstone notamment)
Ad
min
istr
atio
n sy
stè
me
& r
ése
au –
Ma
ste
r IC
2A
/DC
ISS
–C
hris
tian
Bu
lfone
Métrologie
• Programme MRTGtrafic sortant (out)
trafic entrant (in)
14
Ad
min
istr
atio
n sy
stè
me
& r
ése
au –
Ma
ste
r IC
2A
/DC
ISS
–C
hris
tian
Bu
lfone
Autres outils
• Protocole HTTP• Utilisation d’un navigateur Web comme outil
d’interrogation• L’agent est plus autonome (mini-serveur Web) mais
doit prendre en charge une partie des fonctions de mises en forme des informations
• Un protocole légèrement mieux adapté que HTTP doit être adopté pour gérer plus complètement les aspects liés à la sécurité (HTTPS par exemple)
• Téléchargement• Mise à jour des OS et des fichiers de configuration
par TFTP (Trivial File Transfert Protocol)
Ad
min
istr
atio
n sy
stè
me
& r
ése
au –
Ma
ste
r IC
2A
/DC
ISS
–C
hris
tian
Bu
lfone
Autres outils
• Telnet/SSH• Permet d’accéder à l’interface de configuration des
matériels réseau (switch, routeur …)
• Analyseurs de protocoles• Logiciel permettant d’intercepter et de décoder le
trafic réseau• La connexion réseau est placée dans un mode
d’opération « libéral » (promiscuous)• tous les paquets transitant par le segment du réseau sont
acceptés, y compris ceux à destination des autres nœuds
• Utile pour comprendre les protocoles de réseau et en corriger les dysfonctionnements, mais pose des problèmes de sécurité
15
Ad
min
istr
atio
n sy
stè
me
& r
ése
au –
Ma
ste
r IC
2A
/DC
ISS
–C
hris
tian
Bu
lfone
Qu’est-ce qu’un administrateur système ?
• Un administrateur système n'est qu'un utilisateur ayant des privilèges spéciaux et des devoirs (c’est le « super-utilisateur » ou superuser) :• « administrateur » sous Windows NT• « root » sous Unix
• Son rôle :• maintenir le bon fonctionnement du parc• configurer au mieux les machines • résoudre tout type d'incidents• installer et mettre à jour le système et les nouveaux logiciels • administrer les disques (partitions, systèmes de fichiers) • gérer les utilisateurs (création, expiration, limitations)• guider et conseiller les utilisateurs • surveiller la sécurité du système• administrer le réseau local et l'accès au réseau public• organiser la sauvegarde des données• plannifier l'évolution de son parc informatique
Ad
min
istr
atio
n sy
stè
me
& r
ése
au –
Ma
ste
r IC
2A
/DC
ISS
–C
hris
tian
Bu
lfone
Mises en garde
• L'utilisateur root a tous les privilèges il est trèsfacile de détériorer le système sous le compte root
• Quelques conseils utiles :• bien vérifier les commandes tapées avant de presser
sur la touche ENTREE. Pour l'effacement de fichiers,utiliser rm -i plutôt que rm
• ne pas prendre l'habitude d'utiliser le compte roottout le temps ; le réserver pour les opérationsd'administration
• utiliser une invite différente pour l'utilisateur root (la"#" par exemple)
16
Ad
min
istr
atio
n sy
stè
me
& r
ése
au –
Ma
ste
r IC
2A
/DC
ISS
–C
hris
tian
Bu
lfone
Notions de logins et de groupes
• Pour ouvrir une session, chaque utilisateur doit posséder un identifiant unique - un login name ou login -protégé par un mot de passe (password)
• Un utilisateur appartient au moins à un groupe, dit groupe primaire, défini par l’administrateur à la création du compte utilisateur
• Il peut appartenir à des groupes supplémentaires auxquels il peut accéder en cours de session
• Les informations qui caractérisent tous les utilisateurs (y compris l’administrateur) sont regroupées dans le fichier /etc/passwd et celles des groupes dans le fichier /etc/group
• Les comptes d’utilisateurs et les groupes sont également utilisés pour identifier les fichiers appartenant à une application
Ad
min
istr
atio
n sy
stè
me
& r
ése
au –
Ma
ste
r IC
2A
/DC
ISS
–C
hris
tian
Bu
lfone
Les utilisateurs sous Unix
• Liste des utilisateurs dans le fichier /etc/passwd• Utilisateur identifié par :
• nom de login• mot de passe• UID : numéro unique identifiant l’utilisateur• GID : numéro unique du groupe auquel appartient
l’utilisateur• nom complet• répertoire de travail (home directory)• shell à utiliser
17
Ad
min
istr
atio
n sy
stè
me
& r
ése
au –
Ma
ste
r IC
2A
/DC
ISS
–C
hris
tian
Bu
lfone
Les utilisateurs sous Unix
• Un super utilisateur• nom de login : root, UID : 0, GID : 0• peut outrepasser tous les droits sur tous les fichiers• peut effectuer tous les appels systèmes
• Utilisateur sans droit : nobody.nobody• Utilisateurs spécifiques à certains services
• ftp : service de ftp anonyme• lp : service d’impression• comptes étoilés (mot de passe chiffré = *) donc
impossible de se logger avec ces comptes
Ad
min
istr
atio
n sy
stè
me
& r
ése
au –
Ma
ste
r IC
2A
/DC
ISS
–C
hris
tian
Bu
lfone
Les groupes sous Unix
• Liste des groupes dans le fichier /etc/group• Groupe identifié par :
• nom de groupe• mot de passe• GID : numéro unique du groupe • liste des utilisateurs (logins séparés par des virgules)
• Possibilité d’appartenir à plusieurs groupesbulfone@cristal:~>id bulfoneuid=10145(bulfone) gid=10105(icp) groups=10105(icp),10011(synthese),10037(www),10038(staff)
• Sélection du groupe principal avec la commande newgrp
18
Ad
min
istr
atio
n sy
stè
me
& r
ése
au –
Ma
ste
r IC
2A
/DC
ISS
–C
hris
tian
Bu
lfone
Authentification
• Processus qui vérifie le login et le mot de passe• clé de perturbation + mot de passe chiffrement
DES 25 fois mot de passe chiffré• comparaison avec le mot de passe chiffré stocké
dans /etc/passwd
• Autres chiffrements possibles : MD5, …• Shadow passwords :
• déporte les mots de passes chiffrés dans un fichier seulement accessible par root : /etc/shadow
• empêche la récupération des mot de passes chiffrés pour tenter de les cracker
Ad
min
istr
atio
n sy
stè
me
& r
ése
au –
Ma
ste
r IC
2A
/DC
ISS
–C
hris
tian
Bu
lfone
Lancement des services
• Le système dispose de plusieurs modes de fonction-nement, appelés niveaux d’exécution (runlevels) : 0, 1, 2 … 6
• Chaque runlevel définit un groupe de services à démarrer
• L’administrateur peut sélectionner les services à lancer par runlevel pour répondre à des besoins spécifiques
• Le fichier /etc/inittab décrit les différents runlevels• la ligne contenant « id:5:initdefault » définit le runlevel par
défaut, c’est-à-dire celui dans lequel se trouvera automatiquement le système au démarrage
• on appelle « démons », les services sous Unix
19
Ad
min
istr
atio
n sy
stè
me
& r
ése
au –
Ma
ste
r IC
2A
/DC
ISS
–C
hris
tian
Bu
lfone
Lancement des services
• Les fichiers contenus dans /etc/rc.d• le répertoire init.d : contient les scripts qui
permettent de lancer les actions (montage des partitions …) et processus nécessaires au fonctionnement du système, ou de les stopper
• les actions à réaliser (démarrage ou arrêt) sont définies dans les répertoires rc0.d, rc1.d, …• un répertoire par runlevel• Sxxservice : démarre un service (start) ; xx numéro
d’ordre dans lequel les services sont lancés• Kxxservice : stoppe un service (kill)
Ad
min
istr
atio
n sy
stè
me
& r
ése
au –
Ma
ste
r IC
2A
/DC
ISS
–C
hris
tian
Bu
lfone
Lancement des services
• Lorsque l’on passe d’un runlevel à l’autre, les services qui avaient été démarrés pour le runlevel précédent sont stoppés
• Exemple sur une machine au runlevel 3 (dans le répertoire rc3.d) on trouve les fichiers qui réalisent les actions suivantes dans l’ordre:• K35dhcpd stoppe le service DHCP (s’il fonctionnait) • K50snmpd stoppe le service SNMP (s’il fonctionnait)• S10network initialise les paramètres réseaux (interface,
adresse IP, table de routage …)• S12syslog active le service d’enregistrement• S55named démarre le service DNS (la machine est
serveur de noms)• S60nfs démarre le service NFS (la machine est
serveur NFS)• S80sendmail démarre le service de messagerie (la machine
est serveur SMTP)• S85httpd démarre le service HTTP (la machine est
serveur Web)
20
Ad
min
istr
atio
n sy
stè
me
& r
ése
au –
Ma
ste
r IC
2A
/DC
ISS
–C
hris
tian
Bu
lfone
Lancement des services
• Pour définir les services à lancer au démarrage :• utiliser l’utilitaire ntsysv• sélectionner les services à démarrer
• Pour démarrer/arrêter/redémarrer un service à la main• /etc/init.d/service [start|stop|status|restart]• exemple : /etc/init.d/ypserv start
• Ajouter des services spécifiques à la machine dans le fichier /etc/rc.d/rc.local qui est exécuté après tous les autres scripts d’initialisation
Ad
min
istr
atio
n sy
stè
me
& r
ése
au –
Ma
ste
r IC
2A
/DC
ISS
–C
hris
tian
Bu
lfone
Gestion des adresses IP
• DHCP • Dynamic Host Configuration Protocol (RFC 2131)• Conçu comme une extension du protocole BOOTP
(Bootstrap Protocol)• Protocole fonctionnant en client/serveur • S’appuie sur UDP (ports 67 et 68)• Permet la configuration automatique des paramètres TCP/IP
(adresse IP, masque, gateway …) des différents hôtes du réseau• 3 méthodes d’allocation des adresses IP
• Allocation manuelle : attribution par le serveur DHCP d’une adresse IP définie par l’administrateur
• Allocation automatique : attribution automatique par le serveur DHCP d’une adresse IP
• Allocation dynamique : attribution par le serveur DHCP d’une adresse IP pour une certaine durée (bail)
21
Ad
min
istr
atio
n sy
stè
me
& r
ése
au –
Ma
ste
r IC
2A
/DC
ISS
–C
hris
tian
Bu
lfone
Configuration d’un client DHCP
Serveur DHCP
Client DHCP
DHCPDISCOVER
DHCPOFFER
DHCPREQUEST
DHCPPACK
Ad
min
istr
atio
n sy
stè
me
& r
ése
au –
Ma
ste
r IC
2A
/DC
ISS
–C
hris
tian
Bu
lfone
Configuration d’un client DHCP
Le client (d’adresse IP inconnue 0.0.0.0) envoie une requête DHCPDISCOVER en broadcast (255.255.255.255) dans laquelle il insère son adresse MAC
Les serveurs DHCP répondent en proposant une adresse IP avec une durée de bail et leur adresse IP de serveur (DHCOFFER)
Le client sélectionne la première adresse IP (s'il y a plusieurs serveurs DHCP) reçue et envoie en broadcast une demande d'utilisation de cette adresse au serveur DHCP (DHCPREQUEST)• Le message comporte l'identification du serveur sélectionné qui est
informé que son offre a été retenue• Tous les autres serveurs DHCP retirent leur offre et les adresses
proposées redeviennent disponibles (allocation dynamique)
Le serveur DHCP accuse réception de la demande et accorde l'adresse en bail (DHCPACK), les autres serveurs retirent leurs propositions
22
Ad
min
istr
atio
n sy
stè
me
& r
ése
au –
Ma
ste
r IC
2A
/DC
ISS
–C
hris
tian
Bu
lfone
Le Network Information System
• NIS ou YP (Yellow Pages) développé par Sun• Gestion centralisée de fichiers communs à plusieurs machines
(système de bases de données réparties) :• /etc/passwd, /etc/group, /etc/shadow, /etc/hosts,
/etc/services, /etc/protocols, …• les bases de données gérées par NIS s’appellent des « NIS
maps »
• Un serveur maître (master)• programme ypserv
• Eventuellement des serveurs esclaves (slaves) en cas de panne
• Des clients interrogeant les serveurs• programme ypbind• les serveurs sont aussi clients
Ad
min
istr
atio
n sy
stè
me
& r
ése
au –
Ma
ste
r IC
2A
/DC
ISS
–C
hris
tian
Bu
lfone
Architecture de NIS
Requêtes NIS
ClientClientClientClient
Domaine NIS
Serveur NIS maître
Serveur NIS esclave
23
Ad
min
istr
atio
n sy
stè
me
& r
ése
au –
Ma
ste
r IC
2A
/DC
ISS
–C
hris
tian
Bu
lfone
Configuration des YP
• Configuration dans le fichier /etc/yp.conf• Côté serveur :
ypserver localhostdomain nis.mondomain broadcast
• Côté client :ypserver brassens.upmf-grenoble.frdomain nis.mondomain broadcast
• Configuration des services utilisant le NIS dans /etc/nsswitch.conf
• Compilation des YP :• à chaque fois qu’un fichier /etc/... est modifié sur le serveur• root doit faire : cd /var/yp ; make
Ad
min
istr
atio
n sy
stè
me
& r
ése
au –
Ma
ste
r IC
2A
/DC
ISS
–C
hris
tian
Bu
lfone
Commandes principales des YP
• ypinit : création de la base• ypcat : visualisation des fichiers de la base• ypwhich : nom du serveur NIS• domainname : configuration du nom de domaine NIS• ypserv : démon serveur de NIS• ypbind : démon client de NIS• yppasswd : changement de mot de passe NIS• yppasswdd : démon pour le changement de mot de passe
NIS
24
Ad
min
istr
atio
n sy
stè
me
& r
ése
au –
Ma
ste
r IC
2A
/DC
ISS
–C
hris
tian
Bu
lfone
Résolution des noms de machines
• Liste des noms/adresses IP dans le fichier /etc/hosts
• Résolution par les pages jaunes (YP ou NIS)• diffusion du fichier /etc/hosts du serveur NIS
• Résolution par le DNS• configuration dans le fichier /etc/resolv.conf
domain upmf-grenoble.frsearch upmf-grenoble.frnameserver 195.221.40.253
• possibilité de définir plusieurs serveurs
• Configuration de l’ordre des résolutions (fichier, NIS ou DNS) dans /etc/nsswitch.conf
Ad
min
istr
atio
n sy
stè
me
& r
ése
au –
Ma
ste
r IC
2A
/DC
ISS
–C
hris
tian
Bu
lfone
LDAP
• LDAP (Lightweight Directory Access Protocol) • Issu de DAP, protocole d’accès à l’annuaire X500• Annuaire à part entière, spécifié par la version 3 du
protocole (version actuelle)• Nombreuses implémentations
• Active Directory de Microsoft• OpenLDAP• …
• Utilisé aussi bien par les systèmes d’exploitation que par les applications
• Est devenu le standard des annuaires électroniques dans les systèmes d’information des entreprises
25
Ad
min
istr
atio
n sy
stè
me
& r
ése
au –
Ma
ste
r IC
2A
/DC
ISS
–C
hris
tian
Bu
lfone
LDAP
• Un annuaire est un arbre d'entrées• l’arbre reflète le modèle organisationnel, politique ou
géographique de la structure représentée
• Une entrée est constituée d'un ensemble d'attributs• Un attribut possède un nom, un type et une ou
plusieurs valeurs
attribut
attribut attribut
Type
valeur valeur
valeur
attribut
EntréeAttribut
Ad
min
istr
atio
n sy
stè
me
& r
ése
au –
Ma
ste
r IC
2A
/DC
ISS
–C
hris
tian
Bu
lfone
LDAP
• Les attributs sont définis dans des schémas• Caractère multivalué = différence majeure avec les
SGBD• Un attribut qui n'a pas de valeur est absent de
l'entrée
• Chaque entrée a un identifiant unique, le Distinguished Name (DN)
26
Ad
min
istr
atio
n sy
stè
me
& r
ése
au –
Ma
ste
r IC
2A
/DC
ISS
–C
hris
tian
Bu
lfone
LDAP
dc=exemple
dc=org
ou=utilisateurs ou=groupes ou=machines
uid=jbon
uid=ptron
cn=gestion
cn=technique
cn=poste1
cn=poste2
dn: uid=ptron,ou=utilisateurs,dc=exemple,dc=orgcn: Paul TrongivenName: Paul sn: Tronuid: ptrontelephoneNumber: +33 1 23 45 67 89mail: [email protected]: inetOrgPersonobjectClass: organizationalPersonobjectClass: personobjectClass: top
Ad
min
istr
atio
n sy
stè
me
& r
ése
au –
Ma
ste
r IC
2A
/DC
ISS
–C
hris
tian
Bu
lfone
Montage et démontage des systèmes de fichiers
• Un système de fichiers doit être monté pour pouvoir être utilisé
• Le montage : consiste à « raccrocher » à l ’arborescence sur un point de montage (un répertoire) un système de fichiers • La commande mount réalise l’opération de montage• Le répertoire de montage n’a pas besoin d’être vide, mais il doit
exister• Le système de fichiers à monter peut être local à la machine
(situé dans une des partitions du disque dur) ou distant (situé sur une autre machine et accessible à travers le réseau)
• Un système de fichiers peut être monté en lecture seule ou lecture-écriture
• La commande umount réalise le démontage
• Le montage et le démontage requiert les privilèges du super-utilisateur
27
Ad
min
istr
atio
n sy
stè
me
& r
ése
au –
Ma
ste
r IC
2A
/DC
ISS
–C
hris
tian
Bu
lfone
montage NFS
Le système de fichiers NFS
• Network File System développé par Sun• But : partager un espace utilisateur entre toutes les stations• NFS permet le montage d’arborescences appartenant à d’autres
systèmes connectés au réseau
Système de fichiers exporté
• le serveur NFS exporte (ou publie) un système de fichiers auquel un ou plusieurs clients peuvent accéder
• le client NFS monte un répertoire NFS exporté par le client
paul pierrejean
Client NFS Serveur NFS
tmp usr users
/ /
home usr tmp
paul pierrejean
Point de montage
Ad
min
istr
atio
n sy
stè
me
& r
ése
au –
Ma
ste
r IC
2A
/DC
ISS
–C
hris
tian
Bu
lfone
Le système de fichiers NFS
• Le client accède de façon transparente aux arborescences montées par NFS (cd, ls, cp, rm, …)
• Exemple de montage :• mount -t nfs brassens:/home /users
• Monte le répertoire /home de brassens sur le répertoire /usersde la machine locale
• Le contenu de /users sur le disque local est masqué par celui de /home sur brassens
• ls /users sur la machine locale revient à exécuter ls /homesur brassens
• Possibilité de définir les montages à faire au démarrage dans le fichier /etc/fstab
28
Ad
min
istr
atio
n sy
stè
me
& r
ése
au –
Ma
ste
r IC
2A
/DC
ISS
–C
hris
tian
Bu
lfone
Configuration de NFS
• Liste des répertoires à exporter sur le serveur dans le fichier /etc/exports
• /users verlaine.upmf-grenoble.fr(rw,no_root_squash) 195.221.43.0/255.255.255.0(rw) shs-lse38.upmf-grenoble.fr(ro) 195.221.42.118(rw)
• nécessité de réexporter après chaque modification du fichier/etc/exports
• utiliser la commande exportfs
• redémarrer le serveur NFS : /etc/rc.d/init.d/nfsrestart
• Depuis le noyaux Linux 2.2.16, le serveur NFS n’est plus un démon en mode utilisateur mais est intégré au noyaudu système (performance)
Ad
min
istr
atio
n sy
stè
me
& r
ése
au –
Ma
ste
r IC
2A
/DC
ISS
–C
hris
tian
Bu
lfone
Pourquoi utiliser NIS et NFS ?
• Les données du problème • 1 réseau local• 200 postes de travail• 150 utilisateurs• 1 seul administrateur : VOUS !
29
Ad
min
istr
atio
n sy
stè
me
& r
ése
au –
Ma
ste
r IC
2A
/DC
ISS
–C
hris
tian
Bu
lfone
Solution sans NIS ni NFS
group
shadow
passwd
hosts
login1
login2
login3
login4
login150
home
...
...
login1
login2
login3
login4
login150
home
...
login1
login2
login3
login4
login150
home
...
@IP1
hôte1
@IP2
hôte2
@IP200
hôte200
group
shadow
passwd
hosts
group
shadow
passwd
hosts
Ad
min
istr
atio
n sy
stè
me
& r
ése
au –
Ma
ste
r IC
2A
/DC
ISS
–C
hris
tian
Bu
lfone
Solution avec NIS + NFS
...
home home home
@IP200
hôte200
@IP199
hôte199
@IP1
hôte1
@IP2
hôte2
login1
login2
login3
login4
login150
home
...
group
shadow
passwd
hosts
group
shadow
passwd
hosts
group
shadow
passwd
hosts
group
shadow
passwd
hosts
30
Ad
min
istr
atio
n sy
stè
me
& r
ése
au –
Ma
ste
r IC
2A
/DC
ISS
–C
hris
tian
Bu
lfone
Le système d’impression
• L'impression sous UNIX • Dominé par le protocole LPD dans les années 70
• Autres essais : LPRng, Palladin, PLP...• Mais aucun standard réel• 2 solutions ont été apportées
• IEEE : Posix Printing Standard• IETF : Internet Printing Protocol (IPP)
• IPP s'est imposé comme le nouveau standard• Première version de CUPS basé sur ce
protocole d'impression en 1999
Ad
min
istr
atio
n sy
stè
me
& r
ése
au –
Ma
ste
r IC
2A
/DC
ISS
–C
hris
tian
Bu
lfone
Pour en savoir plus ...
• Sous Linux• documentation gratuites (en anglais)
disponibles sur http://tldp.org• sag : The Linux System Administrator’s Guide• nag : The Linux Network Administrator’s Guide• lasg : Linux Administrator’s Security Guide
• Le System Administration Cookbook• un peu vieux mais traite de tous les
systèmes Unix• plus de 400 pages, une vrai mine
d’informations