Modifications entre les versions 3 et 8 (s'étendant sur 5 versions)
Version 3 à la date du 2006-11-17 12:31:45
Taille: 5809
Commentaire: Titres
Version 8 à la date du 2006-11-23 16:27:18
Taille: 4493
Commentaire:
Texte supprimé. Texte ajouté.
Ligne 1: Ligne 1:
= Installation poste client Cotonou = = Création d'un tunnel VPN =
Ligne 3: Ligne 3:
[[TableOfContents(2)]] [[TableOfContents(3)]]
Ligne 5: Ligne 5:
Voici la procédure d'installation d'un poste client au CNFC.
Les étudiants FOAD démarrent tous sous Ubuntu (Linux), où un certain nombre d'applications sont pré-installées. L'outil gratuit ''VmWare Player'' permettra aux étudiants autorisés (reconnus par leur groupe d'utilisateur) de démarrer une session Windows XP ou Linux en tant qu'administrateur. Les images sont créées par l'administrateur système, qui est le seul à détenir la licence permettant de les créer.
Voici un petit guide pour installer un serveur et un client OpenVPN, qui correspond à ce que j'ai (CédricProtière) mis en oeuvre à Cotonou, en utilisant http://openvpn.net/howto.html et la patience de JérômeSantini.
Ligne 8: Ligne 7:
Note : librement adapté de [[http://tech.auf/wiki/ModeleClientFOAD]] = Sur le serveur =
== Initialisation ==
 * Installer openvpn ({{{aptitude install openvpn}}})
 * Copier le contenu du répertoire {{{/usr/share/doc/openvpn/examples/easy-rsa}}} dans un nouveau répertoire {{{/etc/openvpn}}} afin de ne rien perdre lors d'une maj d'openvpn (et puis c'est mieux rangé)
 * Modifier {{{/etc/openvpn/vars}}} (pour Cotonou : {{{export KEY_COUNTRY=BJ
export KEY_PROVINCE=Atlantique
export KEY_CITY=Cotonou
export KEY_ORG="AUF"
export KEY_EMAIL="root+openvpn@bj.refer.org"}}})
== Création des certificats et des clés ===
 * Initialiser la PKI (Public Key Infrastructure) ; créer le certificat et la clé du CA (Certificate Authority) maître : cf http://openvpn.net/howto.html#pki {{{. ./vars
./clean-all
./build-ca}}}
 * Créer la paire certificat/clé du serveur : {{{sudo grep "SET_DNS" /etc/dhcp3/dhclient*}}} (/!\ A la question '''Common Name''', répondre {{{server}}} ; '''"Sign the certificate? [y/n]"''' y ; '''"1 out of 1 certificate requests certified, commit? [y/n]"''' y)
 * Générer une paire par client : {{{./build-key sysadmin}}} par exemple (bien choisir {{{sysadmin}}} comme '''Common Name''')
 * Générer les paramètres Diffie Hellman : {{{./build-dh}}}
== Initialisation du fichier de configuration ==
 * Copier {{{/usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz}}} dans {{{/etc/openvpn}}} et le décompresser ({{{gunzip /etc/openvpn/server.conf.gz}}})
 * Modifier les paramètres ca, cert, key, dh : {{{ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem
server 10.25.2.0 255.255.255.0 #Je choisis ici d'avoir comme RPV 10.25.2.0/24
push "route 10.0.0.0 255.0.0.0" #pour ajouter la route 10.0.0.0/8
== Mettre à jour le filtrage ==
 * Ajouter les lignes suivantes dans le fichier de configuration du filtrage (par exemple {{{/etc/network/firewall-install}}}) : {{{#openvpn : on accepte openvpn (depuis poste de l'admin)
# nfs-cotonou a cause de snat, sinon ca devrait etre l'ip du poste :
$IPT -A INPUT -p udp --dport 1194 -s 81.91.236.4 -j ACCEPT
$IPT -A OUTPUT -p udp --dport 1194 -d 81.91.236.4 -j ACCEPT
Ligne 10: Ligne 37:
= Installer Ubuntu = # Allow TUN interface connections to OpenVPN server
${IPT} -A INPUT -i tun+ -j ACCEPT
Ligne 12: Ligne 40:
== Installation via UdpCast ==
Si on souhaite dupliquer une machine déjà installée dans un parc de machines homogènes à l'intérieur d'un même sous-réseau, il suffit de booter sur le CD UDP-CAST ''ou'' en PXE sur l'image UDP-CAST sur chaque machine. On choisira "rcv" (receive) sur chaque machine cliente (en choisissant éventuellement le module supplémentaire automatiquement détecté pour la prise en charge des disques SCSI) puis on choisit "snd" (send) sur la machine à dupliquer.

<!> Dans le cas d'un parc pas exactement homogène (ex: ENF), un {{{dpkg-reconfigure xserver-xorg}}} peut être nécessaire. Le fichier de configuration produit par debconf remplacera le {{{/etc/X11/xorg.conf}}} existant et sauvegardera l'ancien comme indiqué dans le dernier écran de configuration.

== Installation via le CD ==
On peut commencer par installer Ubuntu grâce au CD d'installation.
=== Initialisation ===
Choisir la langue française, le clavier fr-latin9 et le fuseau horaire (au Bénin : ''Afrique/Porto-Novo'')
=== Partitionnement ===
Sur une machine équipée d'un disque dur de 80Go et de 256 à 512Mo de RAM, nous proposons le partitionnement suivant :
||'''Type'''||'''Taille'''||'''Point de montage'''||'''Commentaire'''||
|| ext3 || 5 Go || {{{/}}} || Système Linux ||
|| swap || 1 Go || (aucun) || Mémoire virtuelle ||
|| LVM || espace restant || (aucun) || Espace dynamique ||

=== Fin de l'installation ===
Lorsqu'on vous le demande, choisir la configuration de réseau automatique par DHCP
Laisser le processus d'installation se finaliser, en n'oubliant pas d'ôter le CD du lecteur avant le 1er redémarrage. Attention, pour la 2è phase, une connection à Internet est nécessaire pour récupérer certains paquets.

=== Activation du compte root ===
 * Activer le compte root en changeant son mot de passe root{{{$ sudo passwd root}}}
 * Supprimer l'accès à sudo de l'utilisateur par défaut en commentant la dernière ligne {{{$ sudo visudo}}} (Utilisez {{{User_Alias ADMIN=root,djakoni}}} pour créer l'alias ADMIN contenant les utilisateurs root et djakoni)

=== Installation des paquets FOAD ===
cf http://wiki.auf.org/wikiteki/Etude/PaquetAufDesktop
 * Modifier le fichier des sources ''/etc/apt/sources.list'' : {{{
deb http://cnfc.bj.refer.org/miroir/ubuntu dapper main restricted universe multiverse
deb http://cnfc.bj.refer.org/miroir/ubuntu dapper-security main restricted universe multiverse
deb http://cnfc.bj.refer.org/miroir/ubuntu dapper-updates main restricted universe multiverse
deb http://fr.archive.ubuntu.com/ubuntu dapper-backports main restricted universe multiverse
deb http://security.ubuntu.com/ubuntu dapper-security main restricted
deb http://archive.canonical.com dapper-commercial main
deb http://packages.freecontrib.org/ubuntu/plf/ dapper free non-free
deb http://wine.budgetdedicated.com/apt dapper main
deb http://apt.sn.auf.org/ubuntu binary/
}}}
  * Mettre la liste des paquets à jour{{{# aptitude update}}}
  * Mettre la distribution à jour{{{# aptitude dist-upgrade}}}
  * Vérifier que la machine ''configuration'' est trouvable ({{{ping configuration}}}) : il faut sans doutes que {{{/etc/resolv.conf}}} contienne la ligne {{{search refer.bj}}}
  * Installer les paquets recommandés{{{# aptitude install auf-desktop #(choisir d'installer flashplugin)
# aptitude install mozilla-firefox-locale-fr-fr mozilla-thunderbird-fr openoffice.org2-l10n-fr #(pour franciser)
# Allow TUN interface connections to be forwarded through other interfaces
${IPT} -A FORWARD -i tun+ -j ACCEPT
Ligne 56: Ligne 44:
=== Installation des paquets spécifiques à certaines FOAD ===
  * Installer R : https://wiki.auf.org/wikiteki/FOAD/EISIS
== Tester ==
 * {{{sudo openvpn /etc/openvpn/server.conf}}} devrait donner qqch comme : {{{Thu Nov 23 17:20:37 2006 OpenVPN 2.0 i386-pc-linux [SSL] [LZO] [EPOLL] built on Apr 6 2006
Thu Nov 23 17:20:37 2006 Diffie-Hellman initialized with 1024 bit key
Thu Nov 23 17:20:37 2006 TLS-Auth MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu Nov 23 17:20:37 2006 TUN/TAP device tun0 opened
Thu Nov 23 17:20:37 2006 /sbin/ifconfig tun0 10.25.2.1 pointopoint 10.25.2.2 mtu 1500
Thu Nov 23 17:20:37 2006 /sbin/route add -net 10.25.2.0 netmask 255.255.255.0 gw 10.25.2.2
Thu Nov 23 17:20:37 2006 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:23 ET:0 EL:0 AF:3/1 ]
Thu Nov 23 17:20:37 2006 GID set to openvpn
Thu Nov 23 17:20:37 2006 UID set to nobody
Thu Nov 23 17:20:37 2006 UDPv4 link local (bound): [undef]:1194
Thu Nov 23 17:20:37 2006 UDPv4 link remote: [undef]
Thu Nov 23 17:20:37 2006 MULTI: multi_init called, r=256 v=256
Thu Nov 23 17:20:37 2006 IFCONFIG POOL: base=10.25.2.4 size=62
Thu Nov 23 17:20:37 2006 IFCONFIG POOL LIST
Thu Nov 23 17:20:37 2006 Initialization Sequence Completed}}}
Ligne 59: Ligne 61:
=== Droits d'accès aux divers périphériques ===
Ligne 61: Ligne 62:
<!> Il semblerait que le package auf-desktop prenne ces lignes en compte = Sur le client =
Ligne 63: Ligne 64:
 * Activer l'ajout automatique aux groupes requis lors de l'authentification :
  * Dans /etc/pam.d/login : décommenter la ligne : {{{auth optional pam_group.so}}}
  * Dans /etc/pam.d/gdm ajouter la ligne suivante en tête des parametres {{{auth optional pam_group.so}}}
  * Dans /etc/security/group.conf ajouter les deux lignes
 * Installer le paquet openvpn
 * Récupérer la pair clé/certificat du client ainsi que le CA maître générés sur le serveur (/!\ ce n'est pas optimal : il serait mieux de créer les pairs de chaque client directement sur le client et pas sur le serveur)
 * Récupérer {{{client.conf}}} dans /usr/share/... et configurer les paramètres ca, cert, key
 * Tester : {{{sudo openvpn /etc/openvpn/client.conf}}}
Ligne 68: Ligne 69:
{{{
login;tty*;*;Al0000-2400;floppy,audio,video,cdrom,scanner,plugdev,camera
gdm;*;*;Al0000-2400;floppy,audio,video,cdrom,scanner,plugdev,camera
}}}

=== Ajout d'une imprimante réseau===

 * Editer le fichier {{{/etc/cups/client.conf}}}
  * Ajouter la ligne : {{{ServerName impression1.bj.refer.org}}}
  * Redémarrer le serveur avec la commande : {{{/etc/init.d/cupsys restart}}}
  * L'imprimante est maintenant disponible....

N.B : La Dapper installe un serveur d'impression cups. Pour l'instant (à la date du 29/06/06) toutes les requêtes faites sur une imprimante réseau installée via ce serveur sont régirigées vers lui et non vers l'imprimante. Prendre la précaution de désinstaller le serveur cups en cas pb.

<!> Logiquement, le fichier {{{/etc/cups/client.conf}}} ci-dessus devrait se trouver dans racine.tar.gz et être ainsi être automatiquement créé sur la machine lors de l'installation du paquet {{{auf-base-conf}}} dont dépend {{{auf-desktop}}}
== Finalisation ==
 * Installer le paquet {{{resolvconf}}}
  * Ajouter les lignes suivantes dans /etc/network/interfaces : {{{dns-nameservers 10.25.1.1
dns-search refer.bj}}}
  * Redémarrer les interfaces : {{{sudo invoke-rc.d networking restart}}}

Création d'un tunnel VPN

TableOfContents(3)

Voici un petit guide pour installer un serveur et un client OpenVPN, qui correspond à ce que j'ai (CédricProtière) mis en oeuvre à Cotonou, en utilisant http://openvpn.net/howto.html et la patience de JérômeSantini.

Sur le serveur

Initialisation

  • Installer openvpn (aptitude install openvpn)

  • Copier le contenu du répertoire /usr/share/doc/openvpn/examples/easy-rsa dans un nouveau répertoire /etc/openvpn afin de ne rien perdre lors d'une maj d'openvpn (et puis c'est mieux rangé)

  • Modifier /etc/openvpn/vars (pour Cotonou : {{{export KEY_COUNTRY=BJ

export KEY_PROVINCE=Atlantique export KEY_CITY=Cotonou export KEY_ORG="AUF" export KEY_EMAIL="root+openvpn@bj.refer.org"}}}) == Création des certificats et des clés ===

  • Initialiser la PKI (Public Key Infrastructure) ; créer le certificat et la clé du CA (Certificate Authority) maître : cf http://openvpn.net/howto.html#pki {{{. ./vars

./clean-all ./build-ca}}}

  • Créer la paire certificat/clé du serveur : sudo grep "SET_DNS" /etc/dhcp3/dhclient* (/!\ A la question Common Name, répondre server ; "Sign the certificate? [y/n]" y ; "1 out of 1 certificate requests certified, commit? [y/n]" y)

  • Générer une paire par client : ./build-key sysadmin par exemple (bien choisir sysadmin comme Common Name)

  • Générer les paramètres Diffie Hellman : ./build-dh

Initialisation du fichier de configuration

  • Copier /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz dans /etc/openvpn et le décompresser (gunzip /etc/openvpn/server.conf.gz)

  • Modifier les paramètres ca, cert, key, dh : {{{ca /etc/openvpn/keys/ca.crt

cert /etc/openvpn/keys/server.crt key /etc/openvpn/keys/server.key dh /etc/openvpn/keys/dh1024.pem server 10.25.2.0 255.255.255.0 #Je choisis ici d'avoir comme RPV 10.25.2.0/24 push "route 10.0.0.0 255.0.0.0" #pour ajouter la route 10.0.0.0/8

Mettre à jour le filtrage

  • Ajouter les lignes suivantes dans le fichier de configuration du filtrage (par exemple /etc/network/firewall-install) : {{{#openvpn : on accepte openvpn (depuis poste de l'admin)

# nfs-cotonou a cause de snat, sinon ca devrait etre l'ip du poste : $IPT -A INPUT -p udp --dport 1194 -s 81.91.236.4 -j ACCEPT $IPT -A OUTPUT -p udp --dport 1194 -d 81.91.236.4 -j ACCEPT

# Allow TUN interface connections to OpenVPN server ${IPT} -A INPUT -i tun+ -j ACCEPT

# Allow TUN interface connections to be forwarded through other interfaces ${IPT} -A FORWARD -i tun+ -j ACCEPT }}}

Tester

  • sudo openvpn /etc/openvpn/server.conf devrait donner qqch comme : {{{Thu Nov 23 17:20:37 2006 OpenVPN 2.0 i386-pc-linux [SSL] [LZO] [EPOLL] built on Apr 6 2006

Thu Nov 23 17:20:37 2006 Diffie-Hellman initialized with 1024 bit key Thu Nov 23 17:20:37 2006 TLS-Auth MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ] Thu Nov 23 17:20:37 2006 TUN/TAP device tun0 opened Thu Nov 23 17:20:37 2006 /sbin/ifconfig tun0 10.25.2.1 pointopoint 10.25.2.2 mtu 1500 Thu Nov 23 17:20:37 2006 /sbin/route add -net 10.25.2.0 netmask 255.255.255.0 gw 10.25.2.2 Thu Nov 23 17:20:37 2006 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:23 ET:0 EL:0 AF:3/1 ] Thu Nov 23 17:20:37 2006 GID set to openvpn Thu Nov 23 17:20:37 2006 UID set to nobody Thu Nov 23 17:20:37 2006 UDPv4 link local (bound): [undef]:1194 Thu Nov 23 17:20:37 2006 UDPv4 link remote: [undef] Thu Nov 23 17:20:37 2006 MULTI: multi_init called, r=256 v=256 Thu Nov 23 17:20:37 2006 IFCONFIG POOL: base=10.25.2.4 size=62 Thu Nov 23 17:20:37 2006 IFCONFIG POOL LIST Thu Nov 23 17:20:37 2006 Initialization Sequence Completed}}}

Sur le client

  • Installer le paquet openvpn
  • Récupérer la pair clé/certificat du client ainsi que le CA maître générés sur le serveur (/!\ ce n'est pas optimal : il serait mieux de créer les pairs de chaque client directement sur le client et pas sur le serveur)
  • Récupérer client.conf dans /usr/share/... et configurer les paramètres ca, cert, key

  • Tester : sudo openvpn /etc/openvpn/client.conf

Finalisation

  • Installer le paquet resolvconf

    • Ajouter les lignes suivantes dans /etc/network/interfaces : {{{dns-nameservers 10.25.1.1

dns-search refer.bj}}}

  • Redémarrer les interfaces : sudo invoke-rc.d networking restart

ZAO/Cotonou/Modèles/PosteFOAD (dernière édition le 2008-02-21 22:09:35 par localhost)