4492
Commentaire: Créée
|
6411
|
Texte supprimé. | Texte ajouté. |
Ligne 1: | Ligne 1: |
= Création d'un tunnel VPN = | ## page was renamed from ZAO/Cotonou/Modeles/PosteFOAD ## page was renamed from Etude/PaquetAufDesktop/Cotonou = Installation poste client Cotonou = |
Ligne 5: | Ligne 7: |
Voici un petit guide pour installer un serveur et un client OpenVPN, qui correspond à ce que j'ai (CédricProtière) mis en oeuvre à Cotonou, en utilisant http://openvpn.net/howto.html et la patience de JéromeSantini. | Voici la procédure d'installation d'un poste client au CNFC. Les étudiants FOAD démarrent tous sous Ubuntu (Linux), où un certain nombre d'applications sont pré-installées. L'outil gratuit ''VmWare Player'' permettra aux étudiants autorisés (reconnus par leur groupe d'utilisateur) de démarrer une session Windows XP ou Linux en tant qu'administrateur. Les images sont créées par l'administrateur système, qui est le seul à détenir la licence permettant de les créer. |
Ligne 7: | Ligne 10: |
= Sur le serveur = == Initialisation == * Installer openvpn ({{{aptitude install openvpn}}}) * Copier le contenu du répertoire {{{/usr/share/doc/openvpn/examples/easy-rsa}}} dans un nouveau répertoire {{{/etc/openvpn}}} afin de ne rien perdre lors d'une maj d'openvpn (et puis c'est mieux rangé) * Modifier {{{/etc/openvpn/vars}}} (pour Cotonou : {{{export KEY_COUNTRY=BJ export KEY_PROVINCE=Atlantique export KEY_CITY=Cotonou export KEY_ORG="AUF" export KEY_EMAIL="root+openvpn@bj.refer.org"}}}) == Création des certificats et des clés === * Initialiser la PKI (Public Key Infrastructure) ; créer le certificat et la clé du CA (Certificate Authority) maître : cf http://openvpn.net/howto.html#pki {{{. ./vars ./clean-all ./build-ca}}} * Créer la paire certificat/clé du serveur : {{{sudo grep "SET_DNS" /etc/dhcp3/dhclient*}}} (/!\ A la question '''Common Name''', répondre {{{server}}} ; '''"Sign the certificate? [y/n]"''' y ; '''"1 out of 1 certificate requests certified, commit? [y/n]"''' y) * Générer une paire par client : {{{./build-key sysadmin}}} par exemple (bien choisir {{{sysadmin}}} comme '''Common Name''') * Générer les paramètres Diffie Hellman : {{{./build-dh}}} == Initialisation du fichier de configuration == * Copier {{{/usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz}}} dans {{{/etc/openvpn}}} et le décompresser ({{{gunzip /etc/openvpn/server.conf.gz}}}) * Modifier les paramètres ca, cert, key, dh : {{{ca /etc/openvpn/keys/ca.crt cert /etc/openvpn/keys/server.crt key /etc/openvpn/keys/server.key dh /etc/openvpn/keys/dh1024.pem server 10.25.2.0 255.255.255.0 #Je choisis ici d'avoir comme RPV 10.25.2.0/24 push "route 10.0.0.0 255.0.0.0" #pour ajouter la route 10.0.0.0/8 == Mettre à jour le filtrage == * Ajouter les lignes suivantes dans le fichier de configuration du filtrage (par exemple {{{/etc/network/firewall-install}}}) : {{{#openvpn : on accepte openvpn (depuis poste de l'admin) # nfs-cotonou a cause de snat, sinon ca devrait etre l'ip du poste : $IPT -A INPUT -p udp --dport 1194 -s 81.91.236.4 -j ACCEPT $IPT -A OUTPUT -p udp --dport 1194 -d 81.91.236.4 -j ACCEPT |
Note : librement adapté de [http://tech.auf/wiki/ModeleClientFOAD] |
Ligne 37: | Ligne 12: |
# Allow TUN interface connections to OpenVPN server ${IPT} -A INPUT -i tun+ -j ACCEPT |
= Installer Ubuntu = |
Ligne 40: | Ligne 14: |
# Allow TUN interface connections to be forwarded through other interfaces ${IPT} -A FORWARD -i tun+ -j ACCEPT |
== Installation via UdpCast == Si on souhaite dupliquer une machine déjà installée dans un parc de machines homogènes à l'intérieur d'un même sous-réseau, il suffit de booter sur le CD UDP-CAST ''ou'' en PXE sur l'image UDP-CAST sur chaque machine. On choisira "rcv" (receive) sur chaque machine cliente (en choisissant éventuellement le module supplémentaire automatiquement détecté pour la prise en charge des disques SCSI) puis on choisit "snd" (send) sur la machine à dupliquer. <!> Dans le cas d'un parc pas exactement homogène (ex: ENF), un {{{dpkg-reconfigure xserver-xorg}}} peut être nécessaire. Le fichier de configuration produit par debconf remplacera le {{{/etc/X11/xorg.conf}}} existant et sauvegardera l'ancien comme indiqué dans le dernier écran de configuration. == Installation via le CD == On peut commencer par installer Ubuntu grâce au CD d'installation. === Initialisation === Choisir la langue française, le clavier fr-latin9 et le fuseau horaire (au Bénin : ''Afrique/Porto-Novo'') === Partitionnement === Sur une machine équipée d'un disque dur de 80Go et de 256 à 512Mo de RAM, nous proposons le partitionnement suivant : ||'''Type'''||'''Taille'''||'''Point de montage'''||'''Commentaire'''|| || ext3 || 5 Go || {{{/}}} || Système Linux || || swap || 1 Go || (aucun) || Mémoire virtuelle || || LVM || espace restant || (aucun) || Espace dynamique || === Fin de l'installation === Lorsqu'on vous le demande, choisir la configuration de réseau automatique par DHCP Laisser le processus d'installation se finaliser, en n'oubliant pas d'ôter le CD du lecteur avant le 1er redémarrage. Attention, pour la 2è phase, une connection à Internet est nécessaire pour récupérer certains paquets. === Activation du compte root === * Activer le compte root en changeant son mot de passe root{{{$ sudo passwd root}}} * Supprimer l'accès à sudo de l'utilisateur par défaut en commentant la dernière ligne {{{$ sudo visudo}}} (Utilisez {{{User_Alias ADMIN=root,djakoni}}} pour créer l'alias ADMIN contenant les utilisateurs root et djakoni) === Installation des paquets FOAD === cf ["Etude/PaquetAufDesktop"] * Modifier le fichier des sources ''/etc/apt/sources.list'' : {{{ deb http://cnfc.bj.refer.org/miroir/ubuntu feisty main restricted universe multiverse deb http://cnfc.bj.refer.org/miroir/ubuntu feisty-security main restricted universe multiverse deb http://cnfc.bj.refer.org/miroir/ubuntu feisty-updates main restricted universe multiverse deb http://fr.archive.ubuntu.com/ubuntu feisty-backports main restricted universe multiverse #deb http://fr.archive.ubuntu.com/ubuntu feisty-proposed main restricted universe multiverse deb http://security.ubuntu.com/ubuntu feisty-security main restricted deb http://archive.canonical.com/ feisty-commercial main deb http://apt.sn.auf.org/ubuntu binary/ }}} * Ajouter les sources supplémentaires : {{{ ## wine wget -q http://wine.budgetdedicated.com/apt/387EE263.gpg -O- | sudo apt-key add - sudo wget http://wine.budgetdedicated.com/apt/sources.list.d/feisty.list -O /etc/apt/sources.list.d/winehq.list ## MEDIBUNTU wget -q http://fr.packages.medibuntu.org/medibuntu-key.gpg -O- | sudo apt-key add - echo "deb http://fr.packages.medibuntu.org/ feisty free non-free" | sudo tee -a /etc/apt/sources.list }}} * Mettre la liste des paquets à jour{{{# aptitude update}}} * Mettre la distribution à jour{{{# aptitude dist-upgrade}}} * Modifier le fichier(exemple de cotonou /etc/bind/local/db.bj.refer.org) pour ajouter la machine configuration * Vérifier que la machine ''configuration'' est trouvable ({{{ping configuration}}}) : il faut sans doutes que {{{/etc/resolv.conf}}} contienne la ligne {{{search refer.bj}}} * Installer les paquets recommandés{{{# aptitude install auf-desktop #(choisir d'installer flashplugin) # aptitude install mozilla-firefox-locale-fr-fr mozilla-thunderbird-fr openoffice.org2-l10n-fr #(pour franciser) |
Ligne 44: | Ligne 68: |
== Tester == * {{{sudo openvpn /etc/openvpn/server.conf}}} devrait donner qqch comme : {{{Thu Nov 23 17:20:37 2006 OpenVPN 2.0 i386-pc-linux [SSL] [LZO] [EPOLL] built on Apr 6 2006 Thu Nov 23 17:20:37 2006 Diffie-Hellman initialized with 1024 bit key Thu Nov 23 17:20:37 2006 TLS-Auth MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ] Thu Nov 23 17:20:37 2006 TUN/TAP device tun0 opened Thu Nov 23 17:20:37 2006 /sbin/ifconfig tun0 10.25.2.1 pointopoint 10.25.2.2 mtu 1500 Thu Nov 23 17:20:37 2006 /sbin/route add -net 10.25.2.0 netmask 255.255.255.0 gw 10.25.2.2 Thu Nov 23 17:20:37 2006 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:23 ET:0 EL:0 AF:3/1 ] Thu Nov 23 17:20:37 2006 GID set to openvpn Thu Nov 23 17:20:37 2006 UID set to nobody Thu Nov 23 17:20:37 2006 UDPv4 link local (bound): [undef]:1194 Thu Nov 23 17:20:37 2006 UDPv4 link remote: [undef] Thu Nov 23 17:20:37 2006 MULTI: multi_init called, r=256 v=256 Thu Nov 23 17:20:37 2006 IFCONFIG POOL: base=10.25.2.4 size=62 Thu Nov 23 17:20:37 2006 IFCONFIG POOL LIST Thu Nov 23 17:20:37 2006 Initialization Sequence Completed}}} |
=== Installation des paquets spécifiques à certaines FOAD === * Installer R : ["FOAD/EISIS"] |
Ligne 61: | Ligne 71: |
=== Droits d'accès aux divers périphériques === | |
Ligne 62: | Ligne 73: |
= Sur le client = | <!> Il semblerait que le package auf-desktop prenne ces lignes en compte |
Ligne 64: | Ligne 75: |
* Installer le paquet openvpn * Récupérer la pair clé/certificat du client ainsi que le CA maître générés sur le serveur (/!\ ce n'est pas optimal : il serait mieux de créer les pairs de chaque client directement sur le client et pas sur le serveur) * Récupérer {{{client.conf}}} dans /usr/share/... et configurer les paramètres ca, cert, key * Tester : {{{sudo openvpn /etc/openvpn/client.conf}}} |
* Activer l'ajout automatique aux groupes requis lors de l'authentification : * Dans /etc/pam.d/login : décommenter la ligne : {{{auth optional pam_group.so}}} * Dans /etc/pam.d/gdm ajouter la ligne suivante en tête des parametres {{{auth optional pam_group.so}}} * Dans /etc/security/group.conf ajouter les deux lignes {{{ login;tty*;*;Al0000-2400;floppy,audio,video,cdrom,scanner,plugdev,camera gdm;*;*;Al0000-2400;floppy,audio,video,cdrom,scanner,plugdev,camera }}} |
Ligne 69: | Ligne 83: |
== Finalisation == * Installer le paquet {{{resolvconf}}} * Ajouter les lignes suivantes dans /etc/network/interfaces : {{{dns-nameservers 10.25.1.1 dns-search refer.bj}}} * Redémarrer les interfaces : {{{sudo invoke-rc.d networking restart}}} |
=== Ajout d'une imprimante réseau === * Editer le fichier {{{/etc/cups/client.conf}}} * Ajouter la ligne : {{{ServerName impression1.bj.refer.org}}} * Redémarrer le serveur avec la commande : {{{/etc/init.d/cupsys restart}}} * L'imprimante est maintenant disponible.... N.B : La Dapper installe un serveur d'impression cups. Pour l'instant (à la date du 29/06/06) toutes les requêtes faites sur une imprimante réseau installée via ce serveur sont régirigées vers lui et non vers l'imprimante. Prendre la précaution de désinstaller le serveur cups en cas pb. <!> Logiquement, le fichier {{{/etc/cups/client.conf}}} ci-dessus devrait se trouver dans racine.tar.gz et être ainsi être automatiquement créé sur la machine lors de l'installation du paquet {{{auf-base-conf}}} dont dépend {{{auf-desktop}}} |
Installation poste client Cotonou
Voici la procédure d'installation d'un poste client au CNFC. Les étudiants FOAD démarrent tous sous Ubuntu (Linux), où un certain nombre d'applications sont pré-installées. L'outil gratuit VmWare Player permettra aux étudiants autorisés (reconnus par leur groupe d'utilisateur) de démarrer une session Windows XP ou Linux en tant qu'administrateur. Les images sont créées par l'administrateur système, qui est le seul à détenir la licence permettant de les créer.
Note : librement adapté de [http://tech.auf/wiki/ModeleClientFOAD]
Installer Ubuntu
Installation via UdpCast
Si on souhaite dupliquer une machine déjà installée dans un parc de machines homogènes à l'intérieur d'un même sous-réseau, il suffit de booter sur le CD UDP-CAST ou en PXE sur l'image UDP-CAST sur chaque machine. On choisira "rcv" (receive) sur chaque machine cliente (en choisissant éventuellement le module supplémentaire automatiquement détecté pour la prise en charge des disques SCSI) puis on choisit "snd" (send) sur la machine à dupliquer.
Dans le cas d'un parc pas exactement homogène (ex: ENF), un dpkg-reconfigure xserver-xorg peut être nécessaire. Le fichier de configuration produit par debconf remplacera le /etc/X11/xorg.conf existant et sauvegardera l'ancien comme indiqué dans le dernier écran de configuration.
Installation via le CD
On peut commencer par installer Ubuntu grâce au CD d'installation.
Initialisation
Choisir la langue française, le clavier fr-latin9 et le fuseau horaire (au Bénin : Afrique/Porto-Novo)
Partitionnement
Sur une machine équipée d'un disque dur de 80Go et de 256 à 512Mo de RAM, nous proposons le partitionnement suivant :
Type |
Taille |
Point de montage |
Commentaire |
ext3 |
5 Go |
/ |
Système Linux |
swap |
1 Go |
(aucun) |
Mémoire virtuelle |
LVM |
espace restant |
(aucun) |
Espace dynamique |
Fin de l'installation
Lorsqu'on vous le demande, choisir la configuration de réseau automatique par DHCP Laisser le processus d'installation se finaliser, en n'oubliant pas d'ôter le CD du lecteur avant le 1er redémarrage. Attention, pour la 2è phase, une connection à Internet est nécessaire pour récupérer certains paquets.
Activation du compte root
Activer le compte root en changeant son mot de passe root$ sudo passwd root
Supprimer l'accès à sudo de l'utilisateur par défaut en commentant la dernière ligne $ sudo visudo (Utilisez User_Alias ADMIN=root,djakoni pour créer l'alias ADMIN contenant les utilisateurs root et djakoni)
Installation des paquets FOAD
cf ["Etude/PaquetAufDesktop"]
Modifier le fichier des sources /etc/apt/sources.list :
deb http://cnfc.bj.refer.org/miroir/ubuntu feisty main restricted universe multiverse deb http://cnfc.bj.refer.org/miroir/ubuntu feisty-security main restricted universe multiverse deb http://cnfc.bj.refer.org/miroir/ubuntu feisty-updates main restricted universe multiverse deb http://fr.archive.ubuntu.com/ubuntu feisty-backports main restricted universe multiverse #deb http://fr.archive.ubuntu.com/ubuntu feisty-proposed main restricted universe multiverse deb http://security.ubuntu.com/ubuntu feisty-security main restricted deb http://archive.canonical.com/ feisty-commercial main deb http://apt.sn.auf.org/ubuntu binary/
Ajouter les sources supplémentaires :
## wine wget -q http://wine.budgetdedicated.com/apt/387EE263.gpg -O- | sudo apt-key add - sudo wget http://wine.budgetdedicated.com/apt/sources.list.d/feisty.list -O /etc/apt/sources.list.d/winehq.list ## MEDIBUNTU wget -q http://fr.packages.medibuntu.org/medibuntu-key.gpg -O- | sudo apt-key add - echo "deb http://fr.packages.medibuntu.org/ feisty free non-free" | sudo tee -a /etc/apt/sources.list
Mettre la liste des paquets à jour# aptitude update
Mettre la distribution à jour# aptitude dist-upgrade
- Modifier le fichier(exemple de cotonou /etc/bind/local/db.bj.refer.org) pour ajouter la machine configuration
Vérifier que la machine configuration est trouvable (ping configuration) : il faut sans doutes que /etc/resolv.conf contienne la ligne search refer.bj
- Installer les paquets recommandés{{{# aptitude install auf-desktop #(choisir d'installer flashplugin)
# aptitude install mozilla-firefox-locale-fr-fr mozilla-thunderbird-fr openoffice.org2-l10n-fr #(pour franciser) }}}
Installation des paquets spécifiques à certaines FOAD
- Installer R : ["FOAD/EISIS"]
Droits d'accès aux divers périphériques
Il semblerait que le package auf-desktop prenne ces lignes en compte
- Activer l'ajout automatique aux groupes requis lors de l'authentification :
Dans /etc/pam.d/login : décommenter la ligne : auth optional pam_group.so
Dans /etc/pam.d/gdm ajouter la ligne suivante en tête des parametres auth optional pam_group.so
Dans /etc/security/group.conf ajouter les deux lignes
login;tty*;*;Al0000-2400;floppy,audio,video,cdrom,scanner,plugdev,camera gdm;*;*;Al0000-2400;floppy,audio,video,cdrom,scanner,plugdev,camera
Ajout d'une imprimante réseau
Editer le fichier /etc/cups/client.conf
Ajouter la ligne : ServerName impression1.bj.refer.org
Redémarrer le serveur avec la commande : /etc/init.d/cupsys restart
- L'imprimante est maintenant disponible....
N.B : La Dapper installe un serveur d'impression cups. Pour l'instant (à la date du 29/06/06) toutes les requêtes faites sur une imprimante réseau installée via ce serveur sont régirigées vers lui et non vers l'imprimante. Prendre la précaution de désinstaller le serveur cups en cas pb.
Logiquement, le fichier /etc/cups/client.conf ci-dessus devrait se trouver dans racine.tar.gz et être ainsi être automatiquement créé sur la machine lors de l'installation du paquet auf-base-conf dont dépend auf-desktop