Etab1 » Historique » Version 72
Klaas TJEBBES, 30/10/2015 16:15
1 | 71 | Klaas TJEBBES | |
---|---|---|---|
2 | 71 | Klaas TJEBBES | {{toc}} |
3 | 71 | Klaas TJEBBES | |
4 | 1 | Emmanuel GARETTE | h1. Etab1 |
5 | 1 | Emmanuel GARETTE | |
6 | 1 | Emmanuel GARETTE | Ce que doit faire l'établissement 1 : |
7 | 1 | Emmanuel GARETTE | |
8 | 17 | Gérald Schwartzmann | propositions : |
9 | 17 | Gérald Schwartzmann | |
10 | 17 | Gérald Schwartzmann | * journaux système |
11 | 17 | Gérald Schwartzmann | |
12 | 1 | Emmanuel GARETTE | h2. Schéma réseau |
13 | 1 | Emmanuel GARETTE | |
14 | 39 | Fabrice Barconnière | * Amon 4 zones *-> acté* |
15 | 39 | Fabrice Barconnière | * la gateway et les routes du poste de travail sont "réalistes" (exemple : il ne vaut pas avoir de route défini sur son poste pour atteindre le Scribe, un prof chez lui n'a pas ce genre de route et amon ne laisse pas passer par défaut) *-> acté* |
16 | 20 | Klaas TJEBBES | |
17 | 20 | Klaas TJEBBES | -* la gateway est de type "livebox"/"freebox" avec configuration de l'Amon en DMZ- |
18 | 20 | Klaas TJEBBES | Attention : |
19 | 20 | Klaas TJEBBES | * freebox = mode pont , Amon-eth0 IP publique |
20 | 20 | Klaas TJEBBES | * Livebox = Amon-eth0 IP privée |
21 | 20 | Klaas TJEBBES | En établissement scolaire, Amon-eth0 possède une IP publique, ce ne sont pas des modems mais des routeurs qui sont installés (ex. Montchapet). |
22 | 20 | Klaas TJEBBES | |
23 | 1 | Emmanuel GARETTE | |
24 | 39 | Fabrice Barconnière | * agrégation de lien est configuré en mode répartition de charge *-> refusé* |
25 | 39 | Fabrice Barconnière | * le Scribe est en DMZ *-> acté* |
26 | 5 | Emmanuel GARETTE | * le Scribe n'a pas d'accès Internet (hors proxy) |
27 | 39 | Fabrice Barconnière | * internet restreint dans la zone pédagogique *-> acté* |
28 | 39 | Fabrice Barconnière | * l'Horus est dans la zone admin *-> acté* |
29 | 39 | Fabrice Barconnière | * Tous les flux de la zone admin passent par le tunnel |
30 | 1 | Emmanuel GARETTE | |
31 | 5 | Emmanuel GARETTE | h2. Proxy |
32 | 1 | Emmanuel GARETTE | |
33 | 27 | Fabrice Barconnière | * le Scribe et l'Horus doivent passer par le proxy authentifié *-> acté* |
34 | 27 | Fabrice Barconnière | * CNTLM est activé *-> acté* |
35 | 27 | Fabrice Barconnière | * tous les postes doivent être authentifiés (2 serveurs déclarés dans NTLM/SMB) *-> acté* |
36 | 27 | Fabrice Barconnière | ** les postes pédago/DMZ doivent être authentifiés sur le Scribe |
37 | 27 | Fabrice Barconnière | ** les postes admin doivent être authentifiés sur l'Horus |
38 | 27 | Fabrice Barconnière | * l'anti-virus doit être activé sur le proxy *-> acté* |
39 | 28 | Fabrice Barconnière | * un enseignant doit être modérateur (login à ajouter dans l'EAD) *-> refusé* |
40 | 1 | Emmanuel GARETTE | |
41 | 5 | Emmanuel GARETTE | h2. EAD/EOP |
42 | 1 | Emmanuel GARETTE | |
43 | 6 | Emmanuel GARETTE | * l'EAD de l'Amon : |
44 | 29 | Fabrice Barconnière | ** doit être accessible sur une sélection d'IP *-> acté* |
45 | 29 | Fabrice Barconnière | ** authentification SSO avec l'annuaire du Scribe *-> repoussé; annuaire sur réseau AGRIATES* |
46 | 29 | Fabrice Barconnière | *** remplacé par : authentification PAM locale sur Amon *-> acté* |
47 | 1 | Emmanuel GARETTE | * l'EAD du Scribe : |
48 | 29 | Fabrice Barconnière | ** doit être accessible depuis la pédago *-> acté* |
49 | 43 | Fabrice Barconnière | ** doit être accessible depuis l'extérieur *-> reporté; choisir un autre port que 4200* #12207 |
50 | 29 | Fabrice Barconnière | ** authentification SSO local *-> acté* |
51 | 6 | Emmanuel GARETTE | * l'EAD de l'Horus : |
52 | 29 | Fabrice Barconnière | ** doit être accessible sur une sélection d'IP *-> acté* |
53 | 29 | Fabrice Barconnière | ** authentification SSO local *-> repoussé; annuaire sur réseau AGRIATES* |
54 | 29 | Fabrice Barconnière | *** remplacé par : authentification PAM local *-> acté* |
55 | 29 | Fabrice Barconnière | * EOP/EOE : |
56 | 29 | Fabrice Barconnière | ** installé/activé sur Scribe *-> acté* |
57 | 29 | Fabrice Barconnière | ** accessible depuis la pédago et l'extérieur *-> acté* |
58 | 1 | Emmanuel GARETTE | |
59 | 5 | Emmanuel GARETTE | h2. Onduleur |
60 | 5 | Emmanuel GARETTE | |
61 | 7 | Emmanuel GARETTE | (bonne idée comme cela ?) |
62 | 7 | Emmanuel GARETTE | |
63 | 42 | Fabrice Barconnière | * Activé sur Scribe *-> acté* |
64 | 41 | Fabrice Barconnière | * Amon est configuré sur l'onduleur de Scribe *-> acté* |
65 | 41 | Fabrice Barconnière | * Horus est configuré sur l'onduleur de Scribe *-> acté* |
66 | 7 | Emmanuel GARETTE | |
67 | 19 | Emmanuel GARETTE | DaD: je ne connais pas d’onduleur virtuel |
68 | 19 | Emmanuel GARETTE | Ega : http://www.networkupstools.org/docs/man/dummy-ups.html |
69 | 16 | Daniel Dehennin | |
70 | 5 | Emmanuel GARETTE | h2. Sauvegarde |
71 | 5 | Emmanuel GARETTE | |
72 | 31 | Fabrice Barconnière | * l'Horus sauvegarde ses données sur un disque externe *-> acté* |
73 | 31 | Fabrice Barconnière | * le Scribe sauvegarde ses données sur un poste de travail en SMB *-> acté* |
74 | 31 | Fabrice Barconnière | * l'Amon sauvegarde ses données dans l'espace de stockage du Scribe *-> acté* |
75 | 1 | Emmanuel GARETTE | |
76 | 21 | Emmanuel GARETTE | h2. Configuration commune |
77 | 21 | Emmanuel GARETTE | |
78 | 32 | Fabrice Barconnière | * le serveur de mise à jour doit être test-eole.ac-dijon.fr *-> acté* |
79 | 21 | Emmanuel GARETTE | |
80 | 1 | Emmanuel GARETTE | h2. Spécifique Scribe |
81 | 1 | Emmanuel GARETTE | |
82 | 8 | Emmanuel GARETTE | * partage : |
83 | 33 | Fabrice Barconnière | ** antivirus *-> acté* |
84 | 33 | Fabrice Barconnière | ** corbeille réseau *-> acté* |
85 | 33 | Fabrice Barconnière | ** il est possible d'accéder aux partages par un service web (pydio) *-> acté* |
86 | 8 | Emmanuel GARETTE | * mail : |
87 | 33 | Fabrice Barconnière | ** antivirus *-> acté* |
88 | 33 | Fabrice Barconnière | ** élève en restreint *-> acté* |
89 | 33 | Fabrice Barconnière | ** professeur avec mail local (devrait être mail académique) *-> acté* |
90 | 33 | Fabrice Barconnière | ** passerelle SMTP fonctionnelle *-> acté* |
91 | 33 | Fabrice Barconnière | ** possibilité d'envoyer des mails depuis l'extérieur *-> repoussé; seshat sur réseau academie* |
92 | 33 | Fabrice Barconnière | ** possibilité de lire les mails via un webmail *-> acté* |
93 | 33 | Fabrice Barconnière | ** possibilité de lire un mail dans la zone pédago *-> acté* |
94 | 33 | Fabrice Barconnière | ** possibilité de lire un mail depuis l'extérieur *-> repoussé* |
95 | 8 | Emmanuel GARETTE | * droit sur les comptes : |
96 | 33 | Fabrice Barconnière | ** un enseignant doit être print_operators *-> acté* |
97 | 11 | Emmanuel GARETTE | * service web : |
98 | 33 | Fabrice Barconnière | ** le service web sont accessible depuis la zone pedago *-> acté* |
99 | 33 | Fabrice Barconnière | ** le service web sont accessible depuis la zone admin *-> acté* |
100 | 33 | Fabrice Barconnière | ** le service web sont accessible depuis la zone extérieur *-> acté* |
101 | 33 | Fabrice Barconnière | ** les IP sources sont correctes dans les journaux *-> acté* |
102 | 33 | Fabrice Barconnière | * activer jabber *-> acté* |
103 | 33 | Fabrice Barconnière | ** le service fonctionne depuis la zone pedago *-> acté* |
104 | 33 | Fabrice Barconnière | ** le service fonctionne depuis l'extérieur *-> repoussé* |
105 | 33 | Fabrice Barconnière | ** le service fonctionne depuis une interface web *-> acté* |
106 | 33 | Fabrice Barconnière | * activer OCS/GPLI *-> acté* |
107 | 33 | Fabrice Barconnière | ** le service fonctionne *-> acté* |
108 | 33 | Fabrice Barconnière | ** la connexion se fait en SSO *-> acté* |
109 | 33 | Fabrice Barconnière | ** le poste de travail est intégré dans OCS/GLPI *-> acté* |
110 | 33 | Fabrice Barconnière | * activer Infoquota et ecostation *-> acté* |
111 | 33 | Fabrice Barconnière | ** le service est accessible *-> acté* |
112 | 33 | Fabrice Barconnière | ** les quotas sont gérés *-> acté* |
113 | 33 | Fabrice Barconnière | ** les extinctions de poste fonctionne. *-> acté* |
114 | 44 | Joël Cuissinat | * activer phpMyAdmin -> *TODO* |
115 | 5 | Emmanuel GARETTE | |
116 | 5 | Emmanuel GARETTE | h2. Poste de travail pédago |
117 | 5 | Emmanuel GARETTE | |
118 | 5 | Emmanuel GARETTE | * un poste Windows : |
119 | 34 | Fabrice Barconnière | ** en DHCP *-> acté* |
120 | 34 | Fabrice Barconnière | ** dans le domaine Scribe (donc prepawin/integrdom) *-> acté* |
121 | 5 | Emmanuel GARETTE | * un poste Windows : |
122 | 34 | Fabrice Barconnière | ** en DHCP *-> acté* |
123 | 34 | Fabrice Barconnière | ** hors domaine *-> acté* |
124 | 34 | Fabrice Barconnière | ** configuration automatique du proxy *-> acté* |
125 | 5 | Emmanuel GARETTE | * un poste GNU/Linux : |
126 | 34 | Fabrice Barconnière | ** en DHCP *-> acté* |
127 | 34 | Fabrice Barconnière | ** les utilisateurs du domaine sont utilisables *-> acté* |
128 | 34 | Fabrice Barconnière | ** montage NFS des partages *-> refusé* |
129 | 34 | Fabrice Barconnière | ** configuration automatique du proxy *-> acté* |
130 | 5 | Emmanuel GARETTE | |
131 | 1 | Emmanuel GARETTE | h2. Spécifique Amon |
132 | 11 | Emmanuel GARETTE | |
133 | 35 | Fabrice Barconnière | * le DNS doit être fonctionnel et doit résoudre le serveur Scribe et Horus *-> acté* |
134 | 25 | Fabrice Barconnière | * Dans *Services* |
135 | 35 | Fabrice Barconnière | ** *Activer le réseau privé virtuel RVP* positionné à *oui* *-> acté* |
136 | 25 | Fabrice Barconnière | * Dans *Rvp* |
137 | 35 | Fabrice Barconnière | ** *Serveur membre du réseau AGRIATES* : *oui* *-> repoussé* |
138 | 5 | Emmanuel GARETTE | |
139 | 5 | Emmanuel GARETTE | h2. Spécifique Horus |
140 | 5 | Emmanuel GARETTE | |
141 | 45 | Joël Cuissinat | * Interbase est activé par défaut |
142 | 46 | Joël Cuissinat | * ESU (Eole-Client) est désactivé par défaut _(valeur par défaut du module)_ |
143 | 45 | Joël Cuissinat | |
144 | 37 | Fabrice Barconnière | h3. Poste de travail admin |
145 | 5 | Emmanuel GARETTE | |
146 | 5 | Emmanuel GARETTE | * un poste windows : |
147 | 36 | Fabrice Barconnière | ** en DHCP *-> acté* |
148 | 36 | Fabrice Barconnière | ** intégré au domaine Horus *-> acté* |
149 | 36 | Fabrice Barconnière | ** configuration manuelle du proxy *-> acté* |
150 | 5 | Emmanuel GARETTE | * un poste GNU/Linux |
151 | 36 | Fabrice Barconnière | ** en DHCP *-> acté* |
152 | 1 | Emmanuel GARETTE | ** configuration automatique du proxy *-> acté* |
153 | 37 | Fabrice Barconnière | |
154 | 38 | Fabrice Barconnière | h2. Construire un réseau AGRIATES (repoussé) |
155 | 37 | Fabrice Barconnière | |
156 | 37 | Fabrice Barconnière | * un réseau interco sur eth1 de Sphynx |
157 | 37 | Fabrice Barconnière | * un réseau raip |
158 | 37 | Fabrice Barconnière | * un réseau agriates |
159 | 37 | Fabrice Barconnière | * un routeur à trois interfaces sur interco, raip et agriates |
160 | 37 | Fabrice Barconnière | * un serveur dns sur agriates résolvant une zone in.ac-test.fr |
161 | 37 | Fabrice Barconnière | * un poste Linux sur raip |
162 | 40 | Emmanuel GARETTE | * proxy père |
163 | 47 | Klaas TJEBBES | |
164 | 47 | Klaas TJEBBES | |
165 | 69 | Klaas TJEBBES | h1. Etb1 Pilote (ETAB 00000001) |
166 | 48 | Klaas TJEBBES | |
167 | 48 | Klaas TJEBBES | h2. Amon |
168 | 48 | Klaas TJEBBES | |
169 | 48 | Klaas TJEBBES | * serveur MAJ => eole.ac-dijon.fr |
170 | 48 | Klaas TJEBBES | * Interface-2, Filtre web à appliquer sur cette interface => 2 |
171 | 48 | Klaas TJEBBES | * Interface-3, Autoriser les connexions SSH => non |
172 | 50 | Klaas TJEBBES | * Messagerie, Adresse électronique recevant les courriers électroniques à destination du compte root => eole@ac-dijon.fr |
173 | 61 | Klaas TJEBBES | * Adresse électronique d'envoi pour le compte root => fromuseramon@ac-test.fr |
174 | 49 | Klaas TJEBBES | |
175 | 49 | Klaas TJEBBES | h2. Scribe |
176 | 49 | Klaas TJEBBES | |
177 | 49 | Klaas TJEBBES | * serveur MAJ => eole.ac-dijon.fr |
178 | 49 | Klaas TJEBBES | * Wpkg, logLevel => 31 |
179 | 50 | Klaas TJEBBES | * Messagerie, Adresse électronique recevant les courriers électroniques à destination du compte root => eole@ac-dijon.fr |
180 | 61 | Klaas TJEBBES | * Adresse électronique d'envoi pour le compte root => fromuserscribe@ac-test.fr |
181 | 50 | Klaas TJEBBES | |
182 | 56 | Klaas TJEBBES | h3. Configuration sauvegarde |
183 | 1 | Emmanuel GARETTE | |
184 | 1 | Emmanuel GARETTE | * Nom machine distante: _backup_ |
185 | 61 | Klaas TJEBBES | * IP machine distante: _10.1.3.10_ |
186 | 61 | Klaas TJEBBES | * Partage: _sauvegardes_ |
187 | 61 | Klaas TJEBBES | * Login (facultatif): _eole_ |
188 | 61 | Klaas TJEBBES | * Mot de passe (facultatif): _eole_ |
189 | 61 | Klaas TJEBBES | * Mail admin sauvegarde pour les erreurs: _eole@ac-dijon.fr_ |
190 | 61 | Klaas TJEBBES | * Adresse électronique d'envoi pour le compte root => fromuserbackup@ac-test.fr |
191 | 1 | Emmanuel GARETTE | |
192 | 56 | Klaas TJEBBES | h2. Horus |
193 | 50 | Klaas TJEBBES | |
194 | 50 | Klaas TJEBBES | * serveur MAJ => eole.ac-dijon.fr |
195 | 50 | Klaas TJEBBES | * Messagerie, Adresse électronique recevant les courriers électroniques à destination du compte root => eole@ac-dijon.fr |
196 | 61 | Klaas TJEBBES | * Adresse électronique d'envoi pour le compte root => fromuserhorus@ac-test.fr |
197 | 51 | Klaas TJEBBES | * Dhcp, IP haute de la plage DHCP => 10.1.1.100 (au lieu de 10.1.1.10) |
198 | 71 | Klaas TJEBBES | |
199 | 71 | Klaas TJEBBES | h3. Configuration sauvegarde |
200 | 71 | Klaas TJEBBES | |
201 | 71 | Klaas TJEBBES | * Nom machine distante: _backup_ |
202 | 71 | Klaas TJEBBES | * IP machine distante: _10.1.3.10_ |
203 | 71 | Klaas TJEBBES | * Partage: _sauvegardes_ |
204 | 71 | Klaas TJEBBES | * Login (facultatif): _eole_ |
205 | 71 | Klaas TJEBBES | * Mot de passe (facultatif): _eole_ |
206 | 71 | Klaas TJEBBES | * Mail admin sauvegarde pour les erreurs: _eole@ac-dijon.fr_ |
207 | 71 | Klaas TJEBBES | * Adresse électronique d'envoi pour le compte root => fromuserbackup@ac-test.fr |
208 | 1 | Emmanuel GARETTE | |
209 | 53 | Klaas TJEBBES | h2. Backup |
210 | 53 | Klaas TJEBBES | |
211 | 59 | Klaas TJEBBES | LE DISQUE PAR DÉFAUT EST TROP PETIT !!! |
212 | 59 | Klaas TJEBBES | <pre> |
213 | 59 | Klaas TJEBBES | root@backup:~# df /home/sauvegardes/ |
214 | 59 | Klaas TJEBBES | Sys. de fichiers Taille Utilisé Dispo Uti% Monté sur |
215 | 59 | Klaas TJEBBES | /dev/mapper/eolebase--vg-root 3,7G 1,9G 1,6G 54% / |
216 | 59 | Klaas TJEBBES | |
217 | 59 | Klaas TJEBBES | </pre> |
218 | 59 | Klaas TJEBBES | |
219 | 53 | Klaas TJEBBES | * IP = 10.1.3.10/24 |
220 | 55 | Klaas TJEBBES | * Passerelle 10.1.3.1 |
221 | 55 | Klaas TJEBBES | * DNS 10.1.3.1 |
222 | 53 | Klaas TJEBBES | * Installation _eole-fichier-common-pkg eole-fichier-common_ |
223 | 54 | Klaas TJEBBES | ** E Contrôleur de domaine principal : _No_ |
224 | 55 | Klaas TJEBBES | ** E Activer le mode invité sur le partage : _Non_ |
225 | 54 | Klaas TJEBBES | ** E Activer des partages supplémentaires : _Oui_ |
226 | 54 | Klaas TJEBBES | *** Nom du partage : _sauvegardes_ |
227 | 54 | Klaas TJEBBES | *** Nom absolu du répertoire à partager : _/home/sauvegardes/_ |
228 | 55 | Klaas TJEBBES | *** Partage en lecture/écriture : _Oui_ |
229 | 55 | Klaas TJEBBES | |
230 | 55 | Klaas TJEBBES | Ajouter un utilisateur Samba : |
231 | 55 | Klaas TJEBBES | <pre><code class="ruby"> |
232 | 1 | Emmanuel GARETTE | smbpasswd -a eole |
233 | 55 | Klaas TJEBBES | New SMB password: _eole_ |
234 | 55 | Klaas TJEBBES | Retype new SMB password: _eole_ |
235 | 55 | Klaas TJEBBES | </code |
236 | 1 | Emmanuel GARETTE | </pre> |
237 | 1 | Emmanuel GARETTE | |
238 | 68 | Klaas TJEBBES | h2. Zephir |
239 | 1 | Emmanuel GARETTE | |
240 | 1 | Emmanuel GARETTE | * serveur MAJ => eole.ac-dijon.fr |
241 | 55 | Klaas TJEBBES | * Messagerie, Adresse électronique recevant les courriers électroniques à destination du compte root => eole@ac-dijon.fr |
242 | 68 | Klaas TJEBBES | * Adresse électronique d'envoi pour le compte root => fromuserzephir@ac-test.fr |
243 | 68 | Klaas TJEBBES | |
244 | 68 | Klaas TJEBBES | h2. Sphynx (ETAB 0000000A) |
245 | 68 | Klaas TJEBBES | |
246 | 68 | Klaas TJEBBES | * serveur MAJ => eole.ac-dijon.fr |
247 | 68 | Klaas TJEBBES | * Messagerie, Adresse électronique recevant les courriers électroniques à destination du compte root => eole@ac-dijon.fr |
248 | 60 | Klaas TJEBBES | * Adresse électronique d'envoi pour le compte root => fromusersphynx@ac-test.fr |
249 | 60 | Klaas TJEBBES | |
250 | 68 | Klaas TJEBBES | h2. Seshat (ETAB 0000000A) |
251 | 63 | Klaas TJEBBES | |
252 | 63 | Klaas TJEBBES | * serveur MAJ => eole.ac-dijon.fr |
253 | 63 | Klaas TJEBBES | * Messagerie, Adresse électronique recevant les courriers électroniques à destination du compte root => eole@ac-dijon.fr |
254 | 63 | Klaas TJEBBES | * Adresse électronique d'envoi pour le compte root => fromuserseshat@ac-test.fr |
255 | 63 | Klaas TJEBBES | |
256 | 56 | Klaas TJEBBES | h2. Problèmes rencontrés |
257 | 56 | Klaas TJEBBES | |
258 | 56 | Klaas TJEBBES | * Impossibilité pour les serveurs en DMZ de se mettre à l'heure (NTP) avec pool.ntp.org (valeur par défaut gen_config) |
259 | 57 | Klaas TJEBBES | * Amon : les règles de parefeu ne permettent pas aux serveurs en DMZ d'utiliser le serveur NTP local (sur Amon) |
260 | 64 | Klaas TJEBBES | * En dehors du Scribe qui est NATé, les serveurs en DMZ ne peuvent pas accéder au Zéphir et au serveur de MAJ (exemple "backup") |
261 | 64 | Klaas TJEBBES | * Sphynx ne NAT pas le réseau AGRIATES, donc Seshat ne peut pas accéder à Zéphir et au serveur de MAJ |
262 | 65 | Klaas TJEBBES | |
263 | 1 | Emmanuel GARETTE | h2. TODO |
264 | 66 | Klaas TJEBBES | |
265 | 65 | Klaas TJEBBES | * activer OCS/GLPI sur Scribe (ré-activer "ocsinventory-agent" désactivé dans _/etc/cron.daily/ocsinventory-agent_) |
266 | 70 | Klaas TJEBBES | * monter un tunnel Amon <=> Sphynx |
267 | 70 | Klaas TJEBBES | * faire en sorte que Seshat puisse : |
268 | 70 | Klaas TJEBBES | ** communiquer avec Zéphir |
269 | 70 | Klaas TJEBBES | ** se mettre à jour |
270 | 70 | Klaas TJEBBES | ** contacter un serveur NTP |
271 | 72 | Klaas TJEBBES | * Ajouter de l'espace disque sur *_backup_* (/home trop petit) |