Modifications entre les versions 8 et 15 (s'étendant sur 7 versions)
Version 8 à la date du 2006-11-23 16:27:18
Taille: 4493
Commentaire:
Version 15 à la date du 2008-01-29 16:40:29
Taille: 6374
Éditeur: FranckKouyami
Commentaire:
Texte supprimé. Texte ajouté.
Ligne 1: Ligne 1:
= Création d'un tunnel VPN = ## page was renamed from ZAO/Cotonou/Modeles/PosteFOAD
## page was renamed from Etude/PaquetAufDesktop/Cotonou
= Installation poste client Cotonou =
Ligne 5: Ligne 7:
Voici un petit guide pour installer un serveur et un client OpenVPN, qui correspond à ce que j'ai (CédricProtière) mis en oeuvre à Cotonou, en utilisant http://openvpn.net/howto.html et la patience de JérômeSantini. Voici la procédure d'installation d'un poste client au CNFC.
Les étudiants FOAD démarrent tous sous Ubuntu (Linux), où un certain nombre d'applications sont pré-installées. L'outil gratuit ''VmWare Player'' permettra aux étudiants autorisés (reconnus par leur groupe d'utilisateur) de démarrer une session Windows XP ou Linux en tant qu'administrateur. Les images sont créées par l'administrateur système, qui est le seul à détenir la licence permettant de les créer.
Ligne 7: Ligne 10:
= Sur le serveur =
== Initialisation ==
 * Installer openvpn ({{{aptitude install openvpn}}})
 * Copier le contenu du répertoire {{{/usr/share/doc/openvpn/examples/easy-rsa}}} dans un nouveau répertoire {{{/etc/openvpn}}} afin de ne rien perdre lors d'une maj d'openvpn (et puis c'est mieux rangé)
 * Modifier {{{/etc/openvpn/vars}}} (pour Cotonou : {{{export KEY_COUNTRY=BJ
export KEY_PROVINCE=Atlantique
export KEY_CITY=Cotonou
export KEY_ORG="AUF"
export KEY_EMAIL="root+openvpn@bj.refer.org"}}})
== Création des certificats et des clés ===
 * Initialiser la PKI (Public Key Infrastructure) ; créer le certificat et la clé du CA (Certificate Authority) maître : cf http://openvpn.net/howto.html#pki {{{. ./vars
./clean-all
./build-ca}}}
 * Créer la paire certificat/clé du serveur : {{{sudo grep "SET_DNS" /etc/dhcp3/dhclient*}}} (/!\ A la question '''Common Name''', répondre {{{server}}} ; '''"Sign the certificate? [y/n]"''' y ; '''"1 out of 1 certificate requests certified, commit? [y/n]"''' y)
 * Générer une paire par client : {{{./build-key sysadmin}}} par exemple (bien choisir {{{sysadmin}}} comme '''Common Name''')
 * Générer les paramètres Diffie Hellman : {{{./build-dh}}}
== Initialisation du fichier de configuration ==
 * Copier {{{/usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz}}} dans {{{/etc/openvpn}}} et le décompresser ({{{gunzip /etc/openvpn/server.conf.gz}}})
 * Modifier les paramètres ca, cert, key, dh : {{{ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem
server 10.25.2.0 255.255.255.0 #Je choisis ici d'avoir comme RPV 10.25.2.0/24
push "route 10.0.0.0 255.0.0.0" #pour ajouter la route 10.0.0.0/8
== Mettre à jour le filtrage ==
 * Ajouter les lignes suivantes dans le fichier de configuration du filtrage (par exemple {{{/etc/network/firewall-install}}}) : {{{#openvpn : on accepte openvpn (depuis poste de l'admin)
# nfs-cotonou a cause de snat, sinon ca devrait etre l'ip du poste :
$IPT -A INPUT -p udp --dport 1194 -s 81.91.236.4 -j ACCEPT
$IPT -A OUTPUT -p udp --dport 1194 -d 81.91.236.4 -j ACCEPT
Note : librement adapté de [http://tech.auf/wiki/ModeleClientFOAD]
Ligne 37: Ligne 12:
# Allow TUN interface connections to OpenVPN server
${IPT} -A INPUT -i tun+ -j ACCEPT
= Installer Ubuntu =
Ligne 40: Ligne 14:
# Allow TUN interface connections to be forwarded through other interfaces
${IPT} -A FORWARD -i tun+ -j ACCEPT
== Installation via UdpCast ==
Si on souhaite dupliquer une machine déjà installée dans un parc de machines homogènes à l'intérieur d'un même sous-réseau, il suffit de booter sur le CD UDP-CAST ''ou'' en PXE sur l'image UDP-CAST sur chaque machine. On choisira "rcv" (receive) sur chaque machine cliente (en choisissant éventuellement le module supplémentaire automatiquement détecté pour la prise en charge des disques SCSI) puis on choisit "snd" (send) sur la machine à dupliquer.

<!> Dans le cas d'un parc pas exactement homogène (ex: ENF), un {{{dpkg-reconfigure xserver-xorg}}} peut être nécessaire. Le fichier de configuration produit par debconf remplacera le {{{/etc/X11/xorg.conf}}} existant et sauvegardera l'ancien comme indiqué dans le dernier écran de configuration.

== Installation via le CD ==
On peut commencer par installer Ubuntu grâce au CD d'installation.
=== Initialisation ===
Choisir la langue française, le clavier fr-latin9 et le fuseau horaire (au Bénin : ''Afrique/Porto-Novo'')
=== Partitionnement ===
Sur une machine équipée d'un disque dur de 80Go et de 256 à 512Mo de RAM, nous proposons le partitionnement suivant :
||'''Type'''||'''Taille'''||'''Point de montage'''||'''Commentaire'''||
|| ext3 || 5 Go || {{{/}}} || Système Linux ||
|| swap || 1 Go || (aucun) || Mémoire virtuelle ||
|| LVM || espace restant || (aucun) || Espace dynamique ||

=== Fin de l'installation ===
Lorsqu'on vous le demande, choisir la configuration de réseau automatique par DHCP
Laisser le processus d'installation se finaliser, en n'oubliant pas d'ôter le CD du lecteur avant le 1er redémarrage. Attention, pour la 2è phase, une connection à Internet est nécessaire pour récupérer certains paquets.

=== Activation du compte root ===
 * Activer le compte root en changeant son mot de passe root{{{$ sudo passwd root}}}
 * Supprimer l'accès à sudo de l'utilisateur par défaut en commentant la dernière ligne {{{$ sudo visudo}}} (Utilisez {{{User_Alias ADMIN=root,djakoni}}} pour créer l'alias ADMIN contenant les utilisateurs root et djakoni)

=== Installation des paquets FOAD ===
cf ["Etude/PaquetAufDesktop"]
 * Modifier le fichier des sources ''/etc/apt/sources.list'' : {{{
deb http://ftp.bj.refer.org/miroir/ubuntu/ gutsy-updates main restricted universe multiverse
deb http://archive.canonical.com/ubuntu gutsy partner
deb http://ftp.bj.refer.org/miroir/ubuntu/ gutsy-security main restricted universe multiverse
deb http://ftp.bj.refer.org/miroir/ubuntu/ gutsy main universe restricted multiverse
deb http://archive.ubuntu.com/ubuntu/ gutsy-proposed universe main multiverse restricted
deb http://archive.ubuntu.com/ubuntu/ gutsy-backports universe main multiverse restricted
deb http://packages.medibuntu.org/ gutsy free
deb http://packages.medibuntu.org/ gutsy non-free
deb http://www.winischhofer.net/sis/debian/unstable ./
deb http://security.ubuntu.com/ubuntu gutsy-security multiverse
deb http://security.ubuntu.com/ubuntu gutsy-security universe
Ligne 44: Ligne 54:
== Tester ==
 * {{{sudo openvpn /etc/openvpn/server.conf}}} devrait donner qqch comme : {{{Thu Nov 23 17:20:37 2006 OpenVPN 2.0 i386-pc-linux [SSL] [LZO] [EPOLL] built on Apr 6 2006
Thu Nov 23 17:20:37 2006 Diffie-Hellman initialized with 1024 bit key
Thu Nov 23 17:20:37 2006 TLS-Auth MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu Nov 23 17:20:37 2006 TUN/TAP device tun0 opened
Thu Nov 23 17:20:37 2006 /sbin/ifconfig tun0 10.25.2.1 pointopoint 10.25.2.2 mtu 1500
Thu Nov 23 17:20:37 2006 /sbin/route add -net 10.25.2.0 netmask 255.255.255.0 gw 10.25.2.2
Thu Nov 23 17:20:37 2006 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:23 ET:0 EL:0 AF:3/1 ]
Thu Nov 23 17:20:37 2006 GID set to openvpn
Thu Nov 23 17:20:37 2006 UID set to nobody
Thu Nov 23 17:20:37 2006 UDPv4 link local (bound): [undef]:1194
Thu Nov 23 17:20:37 2006 UDPv4 link remote: [undef]
Thu Nov 23 17:20:37 2006 MULTI: multi_init called, r=256 v=256
Thu Nov 23 17:20:37 2006 IFCONFIG POOL: base=10.25.2.4 size=62
Thu Nov 23 17:20:37 2006 IFCONFIG POOL LIST
Thu Nov 23 17:20:37 2006 Initialization Sequence Completed}}}
 * Importer les clés des dépôts : {{{
## Dépôt AUF à DAKAR
wget -q http://apt.sn.auf.org/clef-equipe-sysadmin-dakar.asc -O- | sudo apt-key add -
## Dépôts mediubuntu
wget -q http://fr.packages.medibuntu.org/medibuntu-key.gpg -O- | sudo apt-key add -
}}}
 * Mettre la liste des paquets à jour{{{# aptitude update}}}
 * Mettre la distribution à jour{{{# aptitude dist-upgrade}}}
 * Modifier le fichier(exemple de cotonou /etc/bind/local/db.bj.refer.org) pour ajouter la machine configuration
 * Vérifier que la machine ''configuration'' est trouvable ({{{ping configuration}}}) : il faut sans doutes que {{{/etc/resolv.conf}}} contienne la ligne {{{search refer.bj}}}
 * Installer les paquets recommandés{{{# aptitude install auf-desktop #(choisir d'installer flashplugin)
# aptitude install mozilla-firefox-locale-fr-fr mozilla-thunderbird-fr openoffice.org2-l10n-fr #(pour franciser)
}}}
Ligne 61: Ligne 68:
=== Installation des paquets spécifiques à certaines FOAD ===
 * Installer R : ["FOAD/EISIS"]
Ligne 62: Ligne 71:
= Sur le client = === Droits d'accès aux divers périphériques ===
Ligne 64: Ligne 73:
 * Installer le paquet openvpn
 * Récupérer la pair clé/certificat du client ainsi que le CA maître générés sur le serveur (/!\ ce n'est pas optimal : il serait mieux de créer les pairs de chaque client directement sur le client et pas sur le serveur)
 * Récupérer {{{client.conf}}} dans /usr/share/... et configurer les paramètres ca, cert, key
 * Tester : {{{sudo openvpn /etc/openvpn/client.conf}}}
<!> Il semblerait que le package auf-desktop prenne ces lignes en compte
Ligne 69: Ligne 75:
== Finalisation ==
 * Installer le paquet {{{resolvconf}}}
  * Ajouter les lignes suivantes dans /etc/network/interfaces : {{{dns-nameservers 10.25.1.1
dns-search refer.bj}}}
  * Redémarrer les interfaces : {{{sudo invoke-rc.d networking restart}}}
 * Activer l'ajout automatique aux groupes requis lors de l'authentification :
  * Dans /etc/pam.d/login : décommenter la ligne : {{{auth optional pam_group.so}}}
  * Dans /etc/pam.d/gdm ajouter la ligne suivante en tête des parametres {{{auth optional pam_group.so}}}
  * Dans /etc/security/group.conf ajouter les deux lignes {{{
login;tty*;*;Al0000-2400;floppy,audio,video,cdrom,scanner,plugdev,camera
gdm;*;*;Al0000-2400;floppy,audio,video,cdrom,scanner,plugdev,camera
}}}

=== Ajout d'une imprimante réseau ===

 * Editer le fichier {{{/etc/cups/client.conf}}}
  * Ajouter la ligne : {{{ServerName impression1.bj.refer.org}}}
  * Redémarrer le serveur avec la commande : {{{/etc/init.d/cupsys restart}}}
  * L'imprimante est maintenant disponible....

N.B : La Dapper installe un serveur d'impression cups. Pour l'instant (à la date du 29/06/06) toutes les requêtes faites sur une imprimante réseau installée via ce serveur sont régirigées vers lui et non vers l'imprimante. Prendre la précaution de désinstaller le serveur cups en cas pb.

<!> Logiquement, le fichier {{{/etc/cups/client.conf}}} ci-dessus devrait se trouver dans racine.tar.gz et être ainsi être automatiquement créé sur la machine lors de l'installation du paquet {{{auf-base-conf}}} dont dépend {{{auf-desktop}}}

Installation poste client Cotonou

TableOfContents(3)

Voici la procédure d'installation d'un poste client au CNFC. Les étudiants FOAD démarrent tous sous Ubuntu (Linux), où un certain nombre d'applications sont pré-installées. L'outil gratuit VmWare Player permettra aux étudiants autorisés (reconnus par leur groupe d'utilisateur) de démarrer une session Windows XP ou Linux en tant qu'administrateur. Les images sont créées par l'administrateur système, qui est le seul à détenir la licence permettant de les créer.

Note : librement adapté de [http://tech.auf/wiki/ModeleClientFOAD]

Installer Ubuntu

Installation via UdpCast

Si on souhaite dupliquer une machine déjà installée dans un parc de machines homogènes à l'intérieur d'un même sous-réseau, il suffit de booter sur le CD UDP-CAST ou en PXE sur l'image UDP-CAST sur chaque machine. On choisira "rcv" (receive) sur chaque machine cliente (en choisissant éventuellement le module supplémentaire automatiquement détecté pour la prise en charge des disques SCSI) puis on choisit "snd" (send) sur la machine à dupliquer.

<!> Dans le cas d'un parc pas exactement homogène (ex: ENF), un dpkg-reconfigure xserver-xorg peut être nécessaire. Le fichier de configuration produit par debconf remplacera le /etc/X11/xorg.conf existant et sauvegardera l'ancien comme indiqué dans le dernier écran de configuration.

Installation via le CD

On peut commencer par installer Ubuntu grâce au CD d'installation.

Initialisation

Choisir la langue française, le clavier fr-latin9 et le fuseau horaire (au Bénin : Afrique/Porto-Novo)

Partitionnement

Sur une machine équipée d'un disque dur de 80Go et de 256 à 512Mo de RAM, nous proposons le partitionnement suivant :

Type

Taille

Point de montage

Commentaire

ext3

5 Go

/

Système Linux

swap

1 Go

(aucun)

Mémoire virtuelle

LVM

espace restant

(aucun)

Espace dynamique

Fin de l'installation

Lorsqu'on vous le demande, choisir la configuration de réseau automatique par DHCP Laisser le processus d'installation se finaliser, en n'oubliant pas d'ôter le CD du lecteur avant le 1er redémarrage. Attention, pour la 2è phase, une connection à Internet est nécessaire pour récupérer certains paquets.

Activation du compte root

  • Activer le compte root en changeant son mot de passe root$ sudo passwd root

  • Supprimer l'accès à sudo de l'utilisateur par défaut en commentant la dernière ligne $ sudo visudo (Utilisez User_Alias ADMIN=root,djakoni pour créer l'alias ADMIN contenant les utilisateurs root et djakoni)

Installation des paquets FOAD

cf ["Etude/PaquetAufDesktop"]

  • Modifier le fichier des sources /etc/apt/sources.list :

    deb http://ftp.bj.refer.org/miroir/ubuntu/ gutsy-updates main restricted universe multiverse
    deb http://archive.canonical.com/ubuntu gutsy partner
    deb http://ftp.bj.refer.org/miroir/ubuntu/ gutsy-security main restricted universe multiverse
    deb http://ftp.bj.refer.org/miroir/ubuntu/ gutsy main universe restricted multiverse
    deb http://archive.ubuntu.com/ubuntu/ gutsy-proposed universe main multiverse restricted
    deb http://archive.ubuntu.com/ubuntu/ gutsy-backports universe main multiverse restricted
    deb http://packages.medibuntu.org/ gutsy free
    deb http://packages.medibuntu.org/ gutsy non-free
    deb http://www.winischhofer.net/sis/debian/unstable ./
    deb http://security.ubuntu.com/ubuntu gutsy-security multiverse
    deb http://security.ubuntu.com/ubuntu gutsy-security universe
  • Importer les clés des dépôts :

    ## Dépôt AUF à DAKAR
    wget -q http://apt.sn.auf.org/clef-equipe-sysadmin-dakar.asc -O- | sudo apt-key add -
    ## Dépôts mediubuntu
    wget -q http://fr.packages.medibuntu.org/medibuntu-key.gpg -O- | sudo apt-key add -
  • Mettre la liste des paquets à jour# aptitude update

  • Mettre la distribution à jour# aptitude dist-upgrade

  • Modifier le fichier(exemple de cotonou /etc/bind/local/db.bj.refer.org) pour ajouter la machine configuration
  • Vérifier que la machine configuration est trouvable (ping configuration) : il faut sans doutes que /etc/resolv.conf contienne la ligne search refer.bj

  • Installer les paquets recommandés{{{# aptitude install auf-desktop #(choisir d'installer flashplugin)

# aptitude install mozilla-firefox-locale-fr-fr mozilla-thunderbird-fr openoffice.org2-l10n-fr #(pour franciser) }}}

Installation des paquets spécifiques à certaines FOAD

  • Installer R : ["FOAD/EISIS"]

Droits d'accès aux divers périphériques

<!> Il semblerait que le package auf-desktop prenne ces lignes en compte

  • Activer l'ajout automatique aux groupes requis lors de l'authentification :
    • Dans /etc/pam.d/login : décommenter la ligne : auth       optional   pam_group.so

    • Dans /etc/pam.d/gdm ajouter la ligne suivante en tête des parametres auth    optional        pam_group.so

    • Dans /etc/security/group.conf ajouter les deux lignes

      login;tty*;*;Al0000-2400;floppy,audio,video,cdrom,scanner,plugdev,camera
      gdm;*;*;Al0000-2400;floppy,audio,video,cdrom,scanner,plugdev,camera

Ajout d'une imprimante réseau

  • Editer le fichier /etc/cups/client.conf

    • Ajouter la ligne : ServerName   impression1.bj.refer.org

    • Redémarrer le serveur avec la commande : /etc/init.d/cupsys restart

    • L'imprimante est maintenant disponible....

N.B : La Dapper installe un serveur d'impression cups. Pour l'instant (à la date du 29/06/06) toutes les requêtes faites sur une imprimante réseau installée via ce serveur sont régirigées vers lui et non vers l'imprimante. Prendre la précaution de désinstaller le serveur cups en cas pb.

<!> Logiquement, le fichier /etc/cups/client.conf ci-dessus devrait se trouver dans racine.tar.gz et être ainsi être automatiquement créé sur la machine lors de l'installation du paquet auf-base-conf dont dépend auf-desktop

ZAO/Cotonou/Modèles/PosteFOAD (dernière édition le 2008-02-21 22:09:35 par localhost)