Project

General

Profile

Etab1 » History » Version 74

Fabrice Barconnière, 12/01/2015 04:42 PM

1 71 Klaas TJEBBES
{{toc}}
2 71 Klaas TJEBBES
3 1 Emmanuel GARETTE
h1. Etab1
4 1 Emmanuel GARETTE
5 1 Emmanuel GARETTE
Ce que doit faire l'établissement 1 :
6 1 Emmanuel GARETTE
7 17 Gérald Schwartzmann
propositions :
8 17 Gérald Schwartzmann
9 17 Gérald Schwartzmann
* journaux système
10 17 Gérald Schwartzmann
11 1 Emmanuel GARETTE
h2. Schéma réseau
12 1 Emmanuel GARETTE
13 39 Fabrice Barconnière
* Amon 4 zones *-> acté*
14 39 Fabrice Barconnière
* la gateway et les routes du poste de travail sont "réalistes" (exemple : il ne vaut pas avoir de route défini sur son poste pour atteindre le Scribe, un prof chez lui n'a pas ce genre de route et amon ne laisse pas passer par défaut) *-> acté*
15 20 Klaas TJEBBES
16 20 Klaas TJEBBES
-* la gateway est de type "livebox"/"freebox" avec configuration de l'Amon en DMZ-
17 20 Klaas TJEBBES
Attention :
18 20 Klaas TJEBBES
* freebox = mode pont , Amon-eth0 IP publique
19 20 Klaas TJEBBES
* Livebox = Amon-eth0 IP privée
20 20 Klaas TJEBBES
En établissement scolaire, Amon-eth0 possède une IP publique, ce ne sont pas des modems mais des routeurs qui sont installés (ex. Montchapet).
21 20 Klaas TJEBBES
22 1 Emmanuel GARETTE
23 39 Fabrice Barconnière
* agrégation de lien est configuré en mode répartition de charge *-> refusé*
24 39 Fabrice Barconnière
* le Scribe est en DMZ *-> acté*
25 5 Emmanuel GARETTE
* le Scribe n'a pas d'accès Internet (hors proxy)
26 39 Fabrice Barconnière
* internet restreint dans la zone pédagogique *-> acté*
27 39 Fabrice Barconnière
* l'Horus est dans la zone admin *-> acté*
28 39 Fabrice Barconnière
* Tous les flux de la zone admin passent par le tunnel
29 1 Emmanuel GARETTE
30 5 Emmanuel GARETTE
h2. Proxy
31 1 Emmanuel GARETTE
32 27 Fabrice Barconnière
* le Scribe et l'Horus doivent passer par le proxy authentifié *-> acté*
33 27 Fabrice Barconnière
* CNTLM est activé *-> acté*
34 27 Fabrice Barconnière
* tous les postes doivent être authentifiés (2 serveurs déclarés dans NTLM/SMB) *-> acté*
35 27 Fabrice Barconnière
** les postes pédago/DMZ doivent être authentifiés sur le Scribe
36 27 Fabrice Barconnière
** les postes admin doivent être authentifiés sur l'Horus
37 27 Fabrice Barconnière
* l'anti-virus doit être activé sur le proxy *-> acté*
38 28 Fabrice Barconnière
* un enseignant doit être modérateur (login à ajouter dans l'EAD) *-> refusé*
39 1 Emmanuel GARETTE
40 5 Emmanuel GARETTE
h2. EAD/EOP
41 1 Emmanuel GARETTE
42 6 Emmanuel GARETTE
* l'EAD de l'Amon :
43 29 Fabrice Barconnière
** doit être accessible sur une sélection d'IP *-> acté*
44 29 Fabrice Barconnière
** authentification SSO avec l'annuaire du Scribe *-> repoussé; annuaire sur réseau AGRIATES*
45 29 Fabrice Barconnière
*** remplacé par : authentification PAM locale sur Amon *-> acté*
46 1 Emmanuel GARETTE
* l'EAD du Scribe :
47 29 Fabrice Barconnière
** doit être accessible depuis la pédago *-> acté* 
48 43 Fabrice Barconnière
** doit être accessible depuis l'extérieur *-> reporté; choisir un autre port que 4200* #12207
49 29 Fabrice Barconnière
** authentification SSO local *-> acté*
50 6 Emmanuel GARETTE
* l'EAD de l'Horus :
51 29 Fabrice Barconnière
** doit être accessible sur une sélection d'IP *-> acté*
52 29 Fabrice Barconnière
** authentification SSO local *-> repoussé; annuaire sur réseau AGRIATES*
53 29 Fabrice Barconnière
*** remplacé par : authentification PAM local *-> acté*
54 29 Fabrice Barconnière
* EOP/EOE :
55 29 Fabrice Barconnière
** installé/activé sur Scribe *-> acté*
56 29 Fabrice Barconnière
** accessible depuis la pédago et l'extérieur *-> acté*
57 1 Emmanuel GARETTE
58 5 Emmanuel GARETTE
h2. Onduleur
59 5 Emmanuel GARETTE
60 7 Emmanuel GARETTE
(bonne idée comme cela ?)
61 7 Emmanuel GARETTE
62 42 Fabrice Barconnière
* Activé sur Scribe *-> acté*
63 41 Fabrice Barconnière
* Amon est configuré sur l'onduleur de Scribe *-> acté*
64 41 Fabrice Barconnière
* Horus est configuré sur l'onduleur de Scribe *-> acté*
65 7 Emmanuel GARETTE
66 19 Emmanuel GARETTE
DaD: je ne connais pas d’onduleur virtuel
67 19 Emmanuel GARETTE
Ega : http://www.networkupstools.org/docs/man/dummy-ups.html
68 16 Daniel Dehennin
69 5 Emmanuel GARETTE
h2. Sauvegarde
70 5 Emmanuel GARETTE
71 31 Fabrice Barconnière
* l'Horus sauvegarde ses données sur un disque externe *-> acté*
72 31 Fabrice Barconnière
* le Scribe sauvegarde ses données sur un poste de travail en SMB *-> acté*
73 31 Fabrice Barconnière
* l'Amon sauvegarde ses données dans l'espace de stockage du Scribe *-> acté*
74 1 Emmanuel GARETTE
75 21 Emmanuel GARETTE
h2. Configuration commune
76 21 Emmanuel GARETTE
77 32 Fabrice Barconnière
* le serveur de mise à jour doit être test-eole.ac-dijon.fr *-> acté*
78 21 Emmanuel GARETTE
79 1 Emmanuel GARETTE
h2. Spécifique Scribe
80 1 Emmanuel GARETTE
81 8 Emmanuel GARETTE
* partage :
82 33 Fabrice Barconnière
** antivirus *-> acté*
83 33 Fabrice Barconnière
** corbeille réseau *-> acté*
84 33 Fabrice Barconnière
** il est possible d'accéder aux partages par un service web (pydio) *-> acté*
85 8 Emmanuel GARETTE
* mail :
86 33 Fabrice Barconnière
** antivirus *-> acté*
87 33 Fabrice Barconnière
** élève en restreint *-> acté*
88 33 Fabrice Barconnière
** professeur avec mail local (devrait être mail académique) *-> acté*
89 33 Fabrice Barconnière
** passerelle SMTP fonctionnelle *-> acté*
90 33 Fabrice Barconnière
** possibilité d'envoyer des mails depuis l'extérieur *-> repoussé; seshat sur réseau academie*
91 33 Fabrice Barconnière
** possibilité de lire les mails via un webmail *-> acté*
92 33 Fabrice Barconnière
** possibilité de lire un mail dans la zone pédago *-> acté*
93 33 Fabrice Barconnière
** possibilité de lire un mail depuis l'extérieur *-> repoussé*
94 8 Emmanuel GARETTE
* droit sur les comptes :
95 33 Fabrice Barconnière
** un enseignant doit être print_operators *-> acté*
96 11 Emmanuel GARETTE
* service web :
97 33 Fabrice Barconnière
** le service web sont accessible depuis la zone pedago *-> acté*
98 33 Fabrice Barconnière
** le service web sont accessible depuis la zone admin *-> acté*
99 33 Fabrice Barconnière
** le service web sont accessible depuis la zone extérieur *-> acté*
100 33 Fabrice Barconnière
** les IP sources sont correctes dans les journaux *-> acté*
101 33 Fabrice Barconnière
* activer jabber *-> acté*
102 33 Fabrice Barconnière
** le service fonctionne depuis la zone pedago *-> acté*
103 33 Fabrice Barconnière
** le service fonctionne depuis l'extérieur *-> repoussé*
104 33 Fabrice Barconnière
** le service fonctionne depuis une interface web *-> acté*
105 33 Fabrice Barconnière
* activer OCS/GPLI *-> acté*
106 33 Fabrice Barconnière
** le service fonctionne *-> acté*
107 33 Fabrice Barconnière
** la connexion se fait en SSO *-> acté*
108 33 Fabrice Barconnière
** le poste de travail est intégré dans OCS/GLPI *-> acté*
109 33 Fabrice Barconnière
* activer Infoquota et ecostation *-> acté*
110 33 Fabrice Barconnière
** le service est accessible *-> acté*
111 33 Fabrice Barconnière
** les quotas sont gérés *-> acté*
112 33 Fabrice Barconnière
** les extinctions de poste fonctionne. *-> acté*
113 44 Joël Cuissinat
* activer phpMyAdmin -> *TODO*
114 5 Emmanuel GARETTE
115 5 Emmanuel GARETTE
h2. Poste de travail pédago
116 5 Emmanuel GARETTE
117 5 Emmanuel GARETTE
* un poste Windows :
118 34 Fabrice Barconnière
** en DHCP *-> acté*
119 34 Fabrice Barconnière
** dans le domaine Scribe (donc prepawin/integrdom) *-> acté*
120 5 Emmanuel GARETTE
* un poste Windows :
121 34 Fabrice Barconnière
** en DHCP *-> acté*
122 34 Fabrice Barconnière
** hors domaine *-> acté*
123 34 Fabrice Barconnière
** configuration automatique du proxy  *-> acté*
124 5 Emmanuel GARETTE
* un poste GNU/Linux :
125 34 Fabrice Barconnière
** en DHCP *-> acté*
126 34 Fabrice Barconnière
** les utilisateurs du domaine sont utilisables *-> acté*
127 34 Fabrice Barconnière
** montage NFS des partages *-> refusé*
128 34 Fabrice Barconnière
** configuration automatique du proxy *-> acté*
129 5 Emmanuel GARETTE
130 1 Emmanuel GARETTE
h2. Spécifique Amon
131 11 Emmanuel GARETTE
132 35 Fabrice Barconnière
* le DNS doit être fonctionnel et doit résoudre le serveur Scribe et Horus *-> acté*
133 25 Fabrice Barconnière
* Dans *Services*
134 35 Fabrice Barconnière
** *Activer le réseau privé virtuel RVP* positionné à *oui* *-> acté*
135 25 Fabrice Barconnière
* Dans *Rvp*
136 35 Fabrice Barconnière
** *Serveur membre du réseau AGRIATES* : *oui* *-> repoussé*
137 5 Emmanuel GARETTE
138 5 Emmanuel GARETTE
h2. Spécifique Horus
139 5 Emmanuel GARETTE
140 45 Joël Cuissinat
* Interbase est activé par défaut
141 46 Joël Cuissinat
* ESU (Eole-Client) est désactivé par défaut _(valeur par défaut du module)_
142 45 Joël Cuissinat
143 37 Fabrice Barconnière
h3. Poste de travail admin
144 5 Emmanuel GARETTE
145 5 Emmanuel GARETTE
* un poste windows :
146 36 Fabrice Barconnière
** en DHCP *-> acté*
147 36 Fabrice Barconnière
** intégré au domaine Horus *-> acté*
148 36 Fabrice Barconnière
** configuration manuelle du proxy *-> acté*
149 5 Emmanuel GARETTE
* un poste GNU/Linux
150 36 Fabrice Barconnière
** en DHCP *-> acté*
151 1 Emmanuel GARETTE
** configuration automatique du proxy *-> acté*
152 37 Fabrice Barconnière
153 38 Fabrice Barconnière
h2. Construire un réseau AGRIATES (repoussé)
154 37 Fabrice Barconnière
155 37 Fabrice Barconnière
* un réseau interco sur eth1 de Sphynx
156 37 Fabrice Barconnière
* un réseau raip
157 37 Fabrice Barconnière
* un réseau agriates
158 37 Fabrice Barconnière
* un routeur à trois interfaces sur interco, raip et agriates
159 37 Fabrice Barconnière
* un serveur dns sur agriates résolvant une zone in.ac-test.fr
160 37 Fabrice Barconnière
* un poste Linux sur raip
161 40 Emmanuel GARETTE
* proxy père
162 47 Klaas TJEBBES
163 1 Emmanuel GARETTE
h1. Etb1 Pilote (ETAB 00000001)
164 74 Fabrice Barconnière
165 74 Fabrice Barconnière
L'adressage IP de l'établissement pilote correspond à celui d'etb1
166 74 Fabrice Barconnière
167 74 Fabrice Barconnière
h2. Gateway
168 74 Fabrice Barconnière
169 74 Fabrice Barconnière
* IP gateway pour l'accès à l'établissement pilote :
170 74 Fabrice Barconnière
** 192.168.230.126 
171 48 Klaas TJEBBES
172 48 Klaas TJEBBES
h2. Amon
173 48 Klaas TJEBBES
174 48 Klaas TJEBBES
* serveur MAJ => eole.ac-dijon.fr
175 48 Klaas TJEBBES
* Interface-2, Filtre web à appliquer sur cette interface => 2
176 48 Klaas TJEBBES
* Interface-3, Autoriser les connexions SSH => non
177 50 Klaas TJEBBES
* Messagerie, Adresse électronique recevant les courriers électroniques à destination du compte root => eole@ac-dijon.fr
178 61 Klaas TJEBBES
* Adresse électronique d'envoi pour le compte root => fromuseramon@ac-test.fr
179 49 Klaas TJEBBES
180 49 Klaas TJEBBES
h2. Scribe
181 49 Klaas TJEBBES
182 49 Klaas TJEBBES
* serveur MAJ => eole.ac-dijon.fr
183 49 Klaas TJEBBES
* Wpkg, logLevel => 31
184 50 Klaas TJEBBES
* Messagerie, Adresse électronique recevant les courriers électroniques à destination du compte root => eole@ac-dijon.fr
185 61 Klaas TJEBBES
* Adresse électronique d'envoi pour le compte root => fromuserscribe@ac-test.fr
186 50 Klaas TJEBBES
187 56 Klaas TJEBBES
h3. Configuration sauvegarde
188 1 Emmanuel GARETTE
189 1 Emmanuel GARETTE
* Nom machine distante: _backup_
190 61 Klaas TJEBBES
* IP machine distante: _10.1.3.10_
191 61 Klaas TJEBBES
* Partage: _sauvegardes_
192 61 Klaas TJEBBES
* Login (facultatif): _eole_
193 61 Klaas TJEBBES
* Mot de passe (facultatif): _eole_
194 61 Klaas TJEBBES
* Mail admin sauvegarde pour les erreurs: _eole@ac-dijon.fr_
195 61 Klaas TJEBBES
* Adresse électronique d'envoi pour le compte root => fromuserbackup@ac-test.fr
196 1 Emmanuel GARETTE
197 56 Klaas TJEBBES
h2. Horus
198 50 Klaas TJEBBES
199 50 Klaas TJEBBES
* serveur MAJ => eole.ac-dijon.fr
200 50 Klaas TJEBBES
* Messagerie, Adresse électronique recevant les courriers électroniques à destination du compte root => eole@ac-dijon.fr
201 61 Klaas TJEBBES
* Adresse électronique d'envoi pour le compte root => fromuserhorus@ac-test.fr
202 51 Klaas TJEBBES
* Dhcp, IP haute de la plage DHCP => 10.1.1.100 (au lieu de 10.1.1.10)
203 71 Klaas TJEBBES
204 71 Klaas TJEBBES
h3. Configuration sauvegarde
205 71 Klaas TJEBBES
206 71 Klaas TJEBBES
* Nom machine distante: _backup_
207 71 Klaas TJEBBES
* IP machine distante: _10.1.3.10_
208 71 Klaas TJEBBES
* Partage: _sauvegardes_
209 71 Klaas TJEBBES
* Login (facultatif): _eole_
210 71 Klaas TJEBBES
* Mot de passe (facultatif): _eole_
211 71 Klaas TJEBBES
* Mail admin sauvegarde pour les erreurs: _eole@ac-dijon.fr_
212 71 Klaas TJEBBES
* Adresse électronique d'envoi pour le compte root => fromuserbackup@ac-test.fr
213 1 Emmanuel GARETTE
214 53 Klaas TJEBBES
h2. Backup
215 53 Klaas TJEBBES
216 59 Klaas TJEBBES
LE DISQUE PAR DÉFAUT EST TROP PETIT !!!
217 59 Klaas TJEBBES
<pre>
218 59 Klaas TJEBBES
root@backup:~# df /home/sauvegardes/
219 59 Klaas TJEBBES
Sys. de fichiers              Taille Utilisé Dispo Uti% Monté sur
220 59 Klaas TJEBBES
/dev/mapper/eolebase--vg-root   3,7G    1,9G  1,6G  54% /
221 59 Klaas TJEBBES
222 59 Klaas TJEBBES
</pre>
223 59 Klaas TJEBBES
224 53 Klaas TJEBBES
* IP = 10.1.3.10/24
225 55 Klaas TJEBBES
* Passerelle 10.1.3.1
226 55 Klaas TJEBBES
* DNS 10.1.3.1
227 53 Klaas TJEBBES
* Installation _eole-fichier-common-pkg eole-fichier-common_
228 54 Klaas TJEBBES
** E  Contrôleur de domaine principal : _No_
229 55 Klaas TJEBBES
** E  Activer le mode invité sur le partage : _Non_
230 54 Klaas TJEBBES
** E  Activer des partages supplémentaires : _Oui_
231 54 Klaas TJEBBES
*** Nom du partage : _sauvegardes_
232 54 Klaas TJEBBES
*** Nom absolu du répertoire à partager : _/home/sauvegardes/_
233 55 Klaas TJEBBES
*** Partage en lecture/écriture : _Oui_
234 55 Klaas TJEBBES
235 55 Klaas TJEBBES
Ajouter un utilisateur Samba :
236 55 Klaas TJEBBES
<pre><code class="ruby">
237 1 Emmanuel GARETTE
 smbpasswd -a eole
238 55 Klaas TJEBBES
 New SMB password: _eole_
239 55 Klaas TJEBBES
 Retype new SMB password: _eole_
240 55 Klaas TJEBBES
</code
241 1 Emmanuel GARETTE
</pre>
242 1 Emmanuel GARETTE
243 68 Klaas TJEBBES
h2. Zephir
244 1 Emmanuel GARETTE
245 1 Emmanuel GARETTE
* serveur MAJ => eole.ac-dijon.fr
246 55 Klaas TJEBBES
* Messagerie, Adresse électronique recevant les courriers électroniques à destination du compte root => eole@ac-dijon.fr
247 68 Klaas TJEBBES
* Adresse électronique d'envoi pour le compte root => fromuserzephir@ac-test.fr
248 68 Klaas TJEBBES
249 68 Klaas TJEBBES
h2. Sphynx (ETAB 0000000A)
250 68 Klaas TJEBBES
251 68 Klaas TJEBBES
* serveur MAJ => eole.ac-dijon.fr
252 68 Klaas TJEBBES
* Messagerie, Adresse électronique recevant les courriers électroniques à destination du compte root => eole@ac-dijon.fr
253 60 Klaas TJEBBES
* Adresse électronique d'envoi pour le compte root => fromusersphynx@ac-test.fr
254 60 Klaas TJEBBES
255 68 Klaas TJEBBES
h2. Seshat (ETAB 0000000A)
256 63 Klaas TJEBBES
257 63 Klaas TJEBBES
* serveur MAJ => eole.ac-dijon.fr
258 63 Klaas TJEBBES
* Messagerie, Adresse électronique recevant les courriers électroniques à destination du compte root => eole@ac-dijon.fr
259 63 Klaas TJEBBES
* Adresse électronique d'envoi pour le compte root => fromuserseshat@ac-test.fr
260 63 Klaas TJEBBES
261 56 Klaas TJEBBES
h2. Problèmes rencontrés
262 56 Klaas TJEBBES
263 56 Klaas TJEBBES
* Impossibilité pour les serveurs en DMZ de se mettre à l'heure (NTP) avec pool.ntp.org (valeur par défaut gen_config)
264 57 Klaas TJEBBES
* Amon : les règles de parefeu ne permettent pas aux serveurs en DMZ d'utiliser le serveur NTP local (sur Amon)
265 64 Klaas TJEBBES
* En dehors du Scribe qui est NATé, les serveurs en DMZ ne peuvent pas accéder au Zéphir et au serveur de MAJ (exemple "backup")
266 64 Klaas TJEBBES
* Sphynx ne NAT pas le réseau AGRIATES, donc Seshat ne peut pas accéder à Zéphir et au serveur de MAJ
267 65 Klaas TJEBBES
268 1 Emmanuel GARETTE
h2. TODO
269 66 Klaas TJEBBES
270 65 Klaas TJEBBES
* activer OCS/GLPI sur Scribe (ré-activer "ocsinventory-agent" désactivé dans _/etc/cron.daily/ocsinventory-agent_)
271 70 Klaas TJEBBES
* monter un tunnel Amon <=> Sphynx
272 70 Klaas TJEBBES
* faire en sorte que Seshat puisse :
273 70 Klaas TJEBBES
** communiquer avec Zéphir
274 70 Klaas TJEBBES
** se mettre à jour
275 70 Klaas TJEBBES
** contacter un serveur NTP
276 1 Emmanuel GARETTE
* Ajouter de l'espace disque sur *_backup_* (/home trop petit)
277 73 Joël Cuissinat
278 73 Joël Cuissinat
279 73 Joël Cuissinat
h2. Notes diverses
280 73 Joël Cuissinat
281 73 Joël Cuissinat
_Notes reprises de la tâche #13543 :_
282 73 Joël Cuissinat
283 73 Joël Cuissinat
Versions 2.5.1 et 2.4.2
284 73 Joël Cuissinat
285 73 Joël Cuissinat
Machines fonctionnant en continue :
286 73 Joël Cuissinat
- Etb1 amon
287 73 Joël Cuissinat
- Etb1 scribe
288 73 Joël Cuissinat
- etb1 horus
289 73 Joël Cuissinat
- etb1 eolebase en dmz + eole-fichier pour les sauvegardes
290 73 Joël Cuissinat
- pcprofs windows intégré
291 73 Joël Cuissinat
- pceleve windows intégré
292 73 Joël Cuissinat
- pcadmin windows intégré
293 73 Joël Cuissinat
294 73 Joël Cuissinat
Machines ponctuelles :
295 73 Joël Cuissinat
- pc windows
296 73 Joël Cuissinat
- pc linux
297 73 Joël Cuissinat
298 73 Joël Cuissinat
Sur les comptes :
299 73 Joël Cuissinat
- Pas de connexion root sur les machines
300 73 Joël Cuissinat
- Création de compte <dev>_root ( avec la clef SSH du dev dans autorizedkeys )
301 73 Joël Cuissinat
- Ajout pour chaque dev dans EAD/LDAP : <dev>_admin, <dev>_profs, <dev>_eleve, <dev>_zephir