Alphorm.com formation Red Hat (RH134)

24/12/2015
1
Formation Red Hat, Administration Système II (RH134) alphorm.com™©
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Ludovic Quenec'hdu
Formateur et Consultant indépendant
OpenSource et virtualisation
Formation
Red Hat Entreprise Linux
Administration Système II
(RH134)

24/12/2015
2
Plan
• Présentation du formateur
• Les certifications Red Hat
• Le plan de la formation
• Publics concernés
• Connaissances requises
• Liens utiles

24/12/2015
5
Les certifications Red Hat

24/12/2015
6
Le plan de formation
• Un peu de Shell
• Utilisation d'expressions régulières avec GREP
• Utilisation d'expressions régulières avec SED
• Déploiement de serveur
• Mise en œuvre d'un serveur PXE
• Installation automatique d'un serveur avec
PXE/Kickstart
• Les listes de contrôle d'accès
• Comprendre et mettre en œuvre les ACLs
• Gestion du stockage
• Comprendre la gestion des volumes logiques
• Gérer les volumes logiques à partir de la ligne de
commande
• Introduction à BTRFS
• Gérer les volumes btrfs à partir de la ligne de
commande
• Planification de tâches Linux
• Le cron
• La commande AT
• Connexion à des groupes et utilisateurs définis par le
réseau
• Introduction aux services d'identification
centralisés
• Introduction à PAM – SSSD
• Introduction à LDAP
• Mise en oeuvre et authentification sur un
serveur LDAP
• Mise en oeuvre et authentification avec
kerberos/LDAP
• S'authentifier sur un serveur AD
• Stockage distant
• NFS Server
• Accéder aux partages NFS sécurisé
• Partage SMB- CIFS
• Autofs

24/12/2015
7
Le plan de formation
• Gestion de la sécurité
• Introduction au contrôle d’accès sous Linux
• Comprendre et mettre en oeuvre SELinux
• Le Pare feu
• Introduction au firewall
• Firewalld
• Contrôle et résolution des problèmes du processus de
démarrage
• Modifier les paramètres de démarrage
• Utilisation de rd.break

24/12/2015
8
Connaissances requises
Les participants doivent avoir de bonnes connaissances en
informatique et avoir suivi la formation RH124

24/12/2015
9
Publics concernés
Toute personne souhaitant préparer aux certifications RHEL 7
Professionnels de l'Informatique ayant besoin d'utiliser Linux dans un
contexte professionnel.
Futur administrateur Linux ayant besoin d'acquérir de bonnes bases
sur Linux.
Passionné d’informatique
Administrateur Microsoft Windows
Technicien avec une connaissance de MS Windows
Débutant Linux ayant suivi la formation RH124

24/12/2015
10
Liens utiles
• http://www.redhat.com
• https://access.redhat.com/documentation
• http://doc.fedora-fr.org/wiki/Accueil

24/12/2015
11
Are you ready ? ☺
Êtes vous prêt à porter
la casquette rouge?

24/12/2015
12
Utilisation d'expressions
régulières avec GREP
Utilisation d'expressions régulières
Ludovic Quenec'hdu

24/12/2015
13
Plan
• Introduction aux expressions régulières
• Recherche de motif avec Grep

24/12/2015
14
Introduction aux expressions régulières
• Une expression régulière appelée expression rationnelle en français est
une chaîne de caractères ou motif qui représente un ensemble de
chaînes de caractères
Bonjour | Salut
• Utilisées en shell et autres langages pour le traitement
(recherche/remplacement) de chaines de caractères.
• Vérifier si l’utilisateur a bien spécifié une adresse de messagerie de type
ludo@alphorm.com
• Rechercher une adresse IP : ([0-9]{1,3}.){3}[0-9]{1,3}
• Supprimer ou remplacer des caractères dans une phrase

24/12/2015
15
Introduction aux expressions régulières
^ représente le début (d'une ligne, d'une chaîne de caractères)
$ représente la fin (d'une ligne, d'une chaîne de caractères)
. représente n'importe quel caractère
* représente 0 ou plus occurrences d'un élément. Donc e* représente soit "" ou "e" ou "ee" ou "eee"
+ représente 1 ou plus occurrences de e. Donc e+ représente soit "e","ee","eee", etc
? représente 0 ou 1 occurrences, comme s? dans villes? qui représente l'ensemble { "ville" , "villes" }
| représente un choix entre chaînes de caractères, comme la|le qui représente l'ensemble { "la" , "le" }
( ) groupage d'expressions, qui permet par ex. d'écrire (e|f)g au lieu de eg|fg. Utile pour les extractions de sous
chaines.
[xyz] classes de caractères - un de caractères dans la liste doit être dans la cible représentée, [A-Za-
z] représente toutes les lettres.
{m}, {m,}, ou {m,n} représente le nombre d’occurrences

24/12/2015
16
Recherche de motif avec Grep
• Grep (g/RE/p) permet de rechercher des chaînes de caractères
• Associé avec des expressions régulières, grep permet de rechercher des
motifs.
• Recherche la chaine ‘téléphone’ dans le fichier annuaire
#grep téléphone /tmp/annuaire.txt
• Recherche avec expressions régulières
#grep –E ‘tél|tel’ /tmp/annuaire.txt
#grep -E 'e{1}.*o{1}' error.msg
#ifconfig | egrep '([0-9]{1,3}.){3}'

24/12/2015
17
Ce qu’on a couvert
• Introduction aux expressions régulières
• Recherche de motif avec Grep

24/12/2015
18
Ludovic Quenec'hdu
Utilisation d'expressions
régulières avec SED
Utilisation d'expressions régulières

24/12/2015
19
Plan
•Sed : Stream Editor

24/12/2015
20
Sed : Stream Editor
• Sed est un éditeur de flux textuel
• Sed permet d’opérer de multiple manipulations sur un flux textuel
• Sed n’est pas un éditeur de texte. Il travaille ligne par ligne.
• Recherche la chaine ‘téléphone’ et la remplacer par ‘tel’
#sed –e ‘s/téléphone/tel/g’ fichier
#cat ville
75000 Paris
29200 Brest
1000 Bruxelles
#sed 's/([0-9]*) (.*)/2t >t1/' ville
Bruxelles > 1000
Paris > 75000
Brest > 29200

24/12/2015
21
•Sed : Stream Editor

24/12/2015
22
Mise en œuvre
d'un serveur PXE
Déploiement de serveur
Ludovic Quenec'hdu

24/12/2015
23
Plan
• Introduction au serveur PXE
• Configuration du serveur Red hat :
dnsmasq
Syslinux
Tftp-server
Pxelinux
Mirroir FTP
Activation des services
Installation du client PXE

24/12/2015
24
Introduction au serveur PXE
• PXE - Preboot Execution Environment fournit un environnement de
démarrage de stations de travail par le réseau
• PXE permet d’installer des machines de différents OS
• PXE effectue l’amorçage en plusieurs étapes :
La machine recherche une adresse IP DHCP
La machine recherche le fichier a amorcer pxelinux.0
La machine peut alors télécharger le fichier “menu” pxelinux/defaut
Le fichier contient l’information pour installer l’OS

24/12/2015
25
dnsmasq
• dnsmasq est un petit outil qui offre des fonctionnalités de serveur dhcp
et cache dns
• dnsmasq va permettre d’attribuer des adresse IP et l’accès au serveur
pxe
• Installation de dnsmasq
#yum install dnsmasq

24/12/2015
26
dnsmasq
• Configuration du serveur
#vi /etc/dnsmasq.conf
#Interfaces en écoute
interface=enp0s3
#Nom de domaine
domain=alphorm.local
# Étendue DHCP
dhcp-range= enp0s3,192.168.1.110,192.168.1.253,255.255.255.0,1h
# Passerelle
dhcp-option=3,192.168.1.1
# Serveur DNS
dhcp-option=6,192.168.1.1, 8.8.8.8
server=8.8.4.4
# Configuration PXE
dhcp-boot=pxelinux.0,pxeserver,192.168.1.100
pxe-prompt="Press F8 for menu.", 30
pxe-service=x86PC, "Install Red hat 7 a partir du serveur r 192.168.1.2", pxelinux
#activation de trivail ftp
enable-tftp
#emplacement des fichiers
tftp-root=/var/lib/tftpboot/

24/12/2015
27
SysLinux
• Syslinux est un chargeur d’amorçage pour Linux
• Utilisé pour les installations Linux via :
PXE
DVD, USB
Le réseau
• Installation de syslinux
#yum install syslinux
#ls /usr/share/syslinux

24/12/2015
28
Tftp-server
• Trivial File Transfer Protocol ou Protocole simplifié de transfert de
fichiers est un protocole de transfert de fichiers pas très évolué
• Tftp est utilisé pour les mises à jour d’équipements réseau, démarrage
d’ordinateurs via le réseau.
• Tftp fonctionne sur UDP port 69
• Tftp server utilise xinetd, il faut donc activer tftp-server dans xinetd
• Installation du serveur tftp
#yum install tftp-server
#cp -r /usr/share/syslinux/* /var/lib/tftpboot

24/12/2015
29
Tftp-server
• Activation de tfp server
#vi /etc/xinetd.d/tftp
• Configuration de tfpt pour PXE
#mkdir /var/lib/tftpboot/pxelinux.cfg
#vi /var/lib/tftpboot/pxelinux.cfg/default
default menu.c32
prompt 0
timeout 300
ONTIMEOUT local
menu title ########## PXE Boot Menu ##########
label 1 menu label ^1) Install Red Hat Enterprise Linux 7 x64 with Local Repo
kernel RHEL7/vmlinuz
append initrd=RHEL7/initrd.img method=ftp://192.168.1.20/pub
devfs=nomount

24/12/2015
30
PXE
• Montage des sources
#mount -o loop /dev/cdrom /mnt
• Configuration de tfpt pour PXE
#mkdir /var/lib/tftpboot/RHEL7
#cp /mnt/images/pxeboot/vmlinuz /var/lib/tftpboot/RHEL7
# cp /mnt/images/pxeboot/initrd.img /var/lib/tftpboot/RHEL7

24/12/2015
31
Mirroir FTP
• Création d’un dépôt local
#mount -o loop /dev/cdrom /mnt
• Configuration du serveur ftp
#yum install vsftpd
#cp -r /mnt/* /var/ftp/pub/
#chmod -R 644/var/ftp/pub

24/12/2015
32
• Création d’un dépôt local
# systemctl start dnsmasq
# systemctl status dnsmasq
# systemctl start vsftpd
# systemctl status vsftpd
# systemctl enable dnsmasq
# systemctl enable vsftpd

24/12/2015
3
Présentation du formateur
• Ludovic QUENEC’HDU
• lquenec@alphorm.com
• Consultant et expert en Open source, logiciel libre et virtualisation
• Mission de conseil, d’architecture, d’administration, de migration et de
formation
• Mes références :
Mon profil LinkedIn : https://fr.linkedin.com/pub/ludovic-quenec-hdu/47/6bb/550
Mon profil Alphorm : http://www.alphorm.com/formateur/ludovic-quenechdu

24/12/2015
34

24/12/2015
35
• Introduction au serveur PXE
• Configuration du serveur Red hat
dnsmasq
Syslinux
Tftp-server
Pxelinux
Mirroir FTP

24/12/2015
36
Installation automatique
d'un serveur avec
PXE/Kickstart
Déploiement de serveur
Ludovic Quenec'hdu

24/12/2015
37
Plan
• Introduction à Kickstart
• Le fichier kickstart
• Installation automatique avec kickstart

24/12/2015
38
Introduction a Kickstart
• Kickstart est une méthode d’installation automatique des systèmes
d’exploitation Linux, développée par Red Hat.
• La méthode Kickstart consiste en un fichier de réponse qui permet
d’automatiser l’installation
• Ce fichier est un simple fichier texte contenant les informations
d’installation :
Partitionnement
Média d’installation
Paquet logiciel
Configuration réseau
….

24/12/2015
39
Le fichier kickstart
#version=RHEL7
# Use network installation
url --url="ftp://192.168.1.100/pub/"
# Use graphical install
graphical
# Run the Setup Agent on first boot
firstboot --enable
ignoredisk --only-use=sda
# System language
lang fr_FR.UTF-8
# Network information
network --bootproto=static --device=enp0s3 --gateway=192.168.0.1 --ip=192.168.0.100 --nameserver=8.8.8.8 --
netmask=255.255.255.0 --ipv6=auto --activate
network --hostname=rhel7.alphorm.local
# Root password
rootpw --iscrypted
$6$j42/o3y9QasOYi/s$4NdAoyfEmoUuoe9Q/QSIc337ktoc4gfzngzhN6Zk36xN5fVPINi4zBbM.ZdGVrLrtAbu4YmfUC8iZD6Uztnka/
%packages
@base
@core
%end

24/12/2015
40
Installation automatique avec kickstart
• Création du fichier kickstart
• Copie du fichier dans le dépôt
• Ajout de l’entrée dans le ficher pxe defaut
#vi anaconda-ks.cfg
#ksvalidator anaconda-ks.cfg
#cp anaconda-ks.cfg /var/ftp/pub/
label 2
menu label ^2) Install RHEL 7 x64 with Local Repo using Kickstart
kernel rhel7/vmlinuz
append initrd=rhel7/initrd.img inst.ks=ftp://192.168.1.10/pub/anaconda-ks.cfg

24/12/2015
41

24/12/2015
42

24/12/2015
43

24/12/2015
44

24/12/2015
45
• Introduction à Kickstart
• Le fichier kickstart
• Installation automatique avec kickstart

24/12/2015
46
Comprendre et mettre
en œuvre les ACLs
Les listes de contrôle d'accès
Ludovic Quenec'hdu

24/12/2015
47
Plan
• Introduction aux listes de contrôle d’accès
• Mise en oeuvre des ACLs
• Héritage des ACLs
• Sauvegarde et restaurer les ACLs

24/12/2015
48
Introduction aux listes de contrôle d’accès
• La norme Posix définit des droits d’accès sur les fichiers et répertoires à
3 et seulement 3 entités
• Les droits de lecture, d’écriture et d’exécution
• Au propriétaire, au groupe propriétaire et tous les autres comptes.
• Ces droits d’accès sont donc limités :
Un seul utilisateur, un seul groupe d’utilisateurs
• Les listes de contrôle d’accès permettent d’étendre les entités,
utilisateurs et groupes d’utilisateurs sur les fichiers.

24/12/2015
49
Mise en oeuvre des ACLs
• Installation
#yum install –y acl
• Vérifier la configuration
#grep ACL /boot/config-3.10.0-229.14.1.el7.x86_64
CONFIG_EXT4_FS_POSIX_ACL=y
CONFIG_XFS_POSIX_ACL=y
CONFIG_BTRFS_FS_POSIX_ACL=y
CONFIG_FS_POSIX_ACL=y
CONFIG_GENERIC_ACL=y
CONFIG_TMPFS_POSIX_ACL=y
CONFIG_NFS_V3_ACL=y
CONFIG_NFSD_V2_ACL=y
CONFIG_NFSD_V3_ACL=y
CONFIG_NFS_ACL_SUPPORT=m

24/12/2015
50
• Afficher les acls
# getfacl fichier.1
# file: fichier.1
# owner: root
# group: root
user::rw-
group::r--
other::r--
• Positionner des acls
#setfacl –m u:ludo:rw fichier1
#setfacl –m g:users:rw fichier1
#setfacl –m u:ludo:rw,g:users:rw fichier1
#setfacl –m u:ludo:6,g:users:6,o:0 fichier1

24/12/2015
51
• Retirer toutes les acls
#setfacl –b fichier1
• Supprime des acls
#setfacl –x g:users fichier1
#setfacl –x u:ludo,g:users fichier1

24/12/2015
52
Héritage des ACLs
• Ajout d’acl par défaut , acl hériter sur les fichiers et répertoires crées dans le répertoire
parent
# setfacl -m d:u:ludo:rw,d:g:ludo:rw rep_acl_d/
getfacl rep_acl_d/
# file: rep_acl_d/
# owner: root
# group: root
user::rwx
user:ludo:rw-
group::r-x
group:ludo:rw-
mask::rwx
other::r-x
default:user::rwx
default:user:ludo:rw-
default:group::r-x
default:group:ludo:rw-
default:mask::rwx
default:other::r-x

24/12/2015
53
Sauvegarder et restaurer les ACLs
• Conserver les acls lors d’une copie du fichier ou répertoire
#cp –a file_acl /home/ludo/
• Sauvegarde des acls dans un fichier
#getfacl -R rep_acl_d/ >acl.save
• Restauration des acls
#setfacl --restore /root/acl.save

24/12/2015
54
• Introduction aux listes de contrôle d’accès
• Mise en oeuvre des ACLs
• Héritage des ACLs
• Sauvegarder et restaurer les ACLs

24/12/2015
55
Comprendre la gestion
des volumes logiques
Gestion du stockage
Ludovic Quenec'hdu

24/12/2015
56
Plan
• Introduction aux Volumes logiques
• Pourquoi utiliser le LVM?
• Structure du LVM

24/12/2015
57
Introduction aux Volumes logiques
• La gestion par volumes logiques : une méthode de gestion du stockage
• La gestion par volumes logiques : des outils de gestion destinés au
stockage sur des disque dur.
• Le LVM ou Logical Volume Manager offre bien plus de flexibilité que le
traditionel partitionnement
• Le LVM représente l'une des nombreuses formes de virtualisation du
stockage, mais pas la seule.
• On parle de Volume de stockage disponible et non plus de partition

24/12/2015
58
Pourquoi utiliser le LVM?
Plus de flexibilité
• Agrandissement et réduction
Il est possible d'agrandir ou réduire des volumes, mais les filesystems installés dessus
doivent prendre en charge cette opération.

24/12/2015
59
Pourquoi utiliser le LVM
• Agrandissement et réduction
Il est possible d'agrandir ou réduire des volumes, mais les filesystems installés dessus
doivent prendre en charge cette opération.
• Clichés (snapshots)
La création d'un snapshot consiste à prendre une « photo », un instantané du volume
logique cible (ce qui est quasi-immédiat) et on commence alors à enregistrer les
modifications apportées au volume logique cible.
Avantage des snapshots, ils peuvent être utilisés comme une méthode de sauvegarde.
Ils permettent de stocker une image statique d'un volume logique à un instant précis. Il
faut comprendre une sauvegarde incrémentale

24/12/2015
60
• Volumes agrégés par bandes (striping)
Les volumes logiques peuvent être « stripés » sur un ensemble de volumes physiques,
à l'instar du RAID 0.
Cette technique est utilisée pour améliorer les performances, mais rends plus
vulnérable le volume à une panne de disque.

24/12/2015
61
• Volumes agrégés par bandes (striping)
Les volumes logiques peuvent être « stripés » sur un ensemble de volumes physiques,
à l'instar du RAID 0.
Cette technique est utilisée pour améliorer les performances, mais rends plus
vulnérable le volume à une panne de disque.
• Miroir (mirroring)
Les volumes logiques peuvent être également mirrorés, à l'instar du RAID 1.
Cette technique permet de se protéger contre une panne sur un disque dur.

24/12/2015
62
Structure LVM
Partitions
sda1 sdb1 sdc1 sdd1

24/12/2015
63
Structure LVM
Partitions
Groupe de Volumes
sda1 sdb1 sdc1 sdd1

24/12/2015
64
Structure LVM
Partitions
Groupe de Volumes
Volume logique Volume logique Volume logique
sda1 sdb1 sdc1 sdd1

24/12/2015
65
Structure LVM
LV0 LV2LV1
/home /var /usr
Volumes logiques

24/12/2015
66
• Introduction aux Volumes logiques
• Pourquoi utiliser le LVM?
• Structure LVM

24/12/2015
67
Gérer les volumes
logiques à partir de
la ligne de commande
Gestion du stockage
Ludovic Quenec'hdu

24/12/2015
68
Plan
• Les commandes LVM
• Création du LVM
• Visualiser le LVM
• Étendre les volumes
• Travailler avec les snapshots

24/12/2015
69
Les commandes LVM
Partitions
Groupe de Volumes
Volume logique Volume logique Volume logique
sda1 sdb1 sdc1 sdd1 pvcreate
vgcreate
lvcreate

24/12/2015
70
Création du LVM
• Installation du LVM
#yum install lvm2
• Création des partitions de type LVM
#fdisk /dev/sdc
• Création des volume physiques
#pvcreate /dev/sdb{1,2,3}
• Création du groupe de volumes
#vgcreate mon_vgroupe /dev/sdb{1,2,3}
• Création des volume logiques
#lvcreate –L 5G –n mon_lvolume mon_vgroupe

24/12/2015
71
Création du LVM
• Création des volume logiques
#lvcreate –L 5G –n mon_lvolume mon_vgroupe
• Création du FS sur le volume logique
#mkfs.xfs –L volume _var /dev/ mon_vgroupe /mon_lvolume

24/12/2015
4
Mes formations sur Alphorm

24/12/2015
91
Mise en oeuvre
• Création du sous volume btrfs
#btrfs subvolume create btrfs_vol/subvol
• Afficher les sous volume btrfs
#btrfs subvolume list btrfs_vol/
ID 258 gen 19 top level 5 path subvol
• Monter le sous volume
#mount -o subvolume=258 /dev/sdc /root/btrfs_sous_vol/

24/12/2015
92
Étendre et réduire
• Ajouter un périphérique
#btrfs device add /dev/sdc btrfs_sous_vol/
• Afficher les sous volume btrfs
#btrfs filesystem show
Label: 'btrfs_vol' uuid: be71f5f1-a6dd-4685-ae68-df4695638c19
Total devices 5 FS bytes used 736.00KiB
devid 2 size 8.00GiB used 1.16GiB path /dev/sdd
devid 3 size 8.00GiB used 1.16GiB path /dev/sde
devid 4 size 8.00GiB used 1.16GiB path /dev/sdf
devid 5 size 8.00GiB used 1.16GiB path /dev/sdg
devid 6 size 8.00GiB used 0.00 path /dev/sdc
• Supprimer un périphérique
# btrfs device del /dev/sdc btrfs_vol/subvol/

24/12/2015
93
• Installation de BTRFS
• Mise en oeuvre
• Étendre et réduire

24/12/2015
94
Le cron
Planification de tâches Linux
Ludovic Quenec'hdu

24/12/2015
95
Plan
• Introduction
• Le cron

24/12/2015
96
Introduction
• Un administrateur système doit pouvoir mettre en place un
certain nombre de tâches
• L’exécution des tâches a besoin d’être automatisée
• Le cron va permettre de lancer ces tâches à des fréquences
spécifiées par l’administrateur

24/12/2015
97
Le cron
• Cron est un diminutif de crontab qui signifie chrono table ou table de
planification en français
• Cron comprend un “démon” (dragon) crond et une commande
d’édition
• Chaque utilisateur peut mettre en œuvre l’exécution automatique des
tâches.
• On programme le lancement de commande avec la commande crontab
en :
Minutes, heures, jour du mois, mois et jour de la semaine

24/12/2015
98
Le cron
• Une ligne correspond à une tâche à exécuter en mm hh jj MMM JJJ
• mm représente les minutes (de 0 à 59)
• hh représente l'heure (de 0 à 23)
• jj représente le numéro du jour du mois (de 1 à 31)
• MMM représente l'abréviation du nom du mois (jan, feb, ...) ou bien le
numéro du mois (de 1 à 12)
JJJ représente l'abréviation du nom du jour ou bien le numéro du jour dans la
semaine :
• 0 = Dimanche, 1 = Lundi, 2 = Mardi, ..., 6 = Samedi , 7 = Dimanche

24/12/2015
99
Le cron
• Pour chaque valeur numérique (mm, hh, jj, MMM, JJJ) les notations
possibles sont :
* : à chaque unité (0, 1, 2, 3, 4...)
5,8 : les unités 5 et 8
2-5 : les unités de 2 à 5 (2, 3, 4, 5)
*/3 : toutes les 3 unités (0, 3, 6, 9...)
10-20/3 : toutes les 3 unités (10, 13, 16, 19)
• Toutes les 5 minutes
*/5 * * * * df >> /tmp/df.log

24/12/2015
100
Le cron

24/12/2015
101
Le cron
• Lister les cron
#crontab –l
• Éditer la liste de cron
#crontab -e
• Supprimer les cron
#crontab -r
• Changer d’éditeur
#export EDITOR=VIM

24/12/2015
102
• Introduction
• Le cron

24/12/2015
103
AT
Ludovic Quenec'hdu
Planification de tâches Linux

24/12/2015
104
Plan
• Introduction à AT
• Utilisation de la commande AT

24/12/2015
105
Introduction à AT
• Le cron permet d’exécuter des tâches de façon récurrente,
tous les jours à 2 heures du matin par exemple
• Parfois, le besoin de lancer une tâche à une heure précise,
mais une seule fois
• Pour ce faire la commande at permet de lancer un job une
seule fois

24/12/2015
106
Introduction à AT
• at permet d'indiquer l'heure du lancement de manière assez complexe
• at accepte des spécifications de la forme HH:MM pour exécuter un travail à une
heure donnée de la journée en cours (ou du lendemain si l'heure mentionnée
est déjà dépassée).
• On peut aussi lui fournir l'un des arguments suivants : midnight (minuit), noon
(midi), ou teatime (l'heure du thé, soit 16 heures).
• On peut indiquer le jour du lancement, en précisant une date du type nom-du-
mois, jour année (en anglais).
• On peut indiquer une heure de la forme now (maintenant) + nombre d'unités,
où les unités peuvent être minutes, hours (heures), days (jours), ou weeks
(semaines)
• On peut également demander à at de déclencher le travail le jour même en
ajoutant le suffixe today ou le lendemain en ajoutant tomorrow

24/12/2015
107
Introduction à AT
• Le super-utilisateur peut toujours employer at.
• Les permissions des utilisateurs sont déterminées par les fichiers
/etc/at.allow et /etc/at.deny
• Si le fichier /etc/at.allow existe, seuls les utilisateurs dont les noms sont
mentionnés dans ce fichier peuvent utiliser at.
• Si /etc/at.allow n'existe pas, at vérifie si /etc/at.deny existe, et tous les
utilisateurs non-mentionnés dans ce fichier ont le droit d'invoquer at.
• Si aucun de ces deux fichiers n'existe, seul le super-utilisateur a le droit
d'appeler at.
• Un fichier /etc/at.deny vide signifie que tous les utilisateurs ont le droit
d’exécuter at

24/12/2015
108
AT
• at et batch lisent, depuis l'entrée standard, ou depuis un fichier, des
commandes qu‘elles exécuteront ultérieurement, en utilisant /bin/sh.
• at lance les commandes indiquées à une heure précise.
• atq affiche la liste des commandes en attente d'exécution, sauf si
l'appelant est le Super-utilisateur.
• atrm supprime les travaux en attente.
• batch exécute les commandes indiquées lorsque la charge système le
permet, c'est à dire lorsque la charge du processeur, obtenue depuis le
fichier /proc/loadavg descend en dessous de 1,5 par défaut, ou en
dessous d'une valeur mentionnée explicitement durant l'invocation de
atrun

24/12/2015
109
Utilisation de la commande AT
• Lancer une commande a une midi
#at 12:00
at> echo "j ecris dans un fichier" >/tmp/at.test
at> <EOT>
job 1 at Fri Nov 13 12:00:00 2015
• Lancer une commande demain à 11h54
#at 11:54 tomorrow
at> echo "j ecris dans un fichier" >/tmp/at.test
at> <EOT>
job 2 at Sat Nov 14 11:54:00 2015
• Lancer une commande dans 5 minutes
#at now +5 minutes

24/12/2015
110
Utilisation de la commande AT
• Lister les travaux a exécuter
## atq
2 Sat Nov 14 11:54:00 2015 a root
3 Fri Nov 13 12:03:00 2015 a root
4 Tue Nov 17 11:59:00 2015 a root
5 Fri Nov 27 11:59:00 2015 a root
• Supprimer un job
# atrm 3
#atq
2 Sat Nov 14 11:54:00 2015 a root
4 Tue Nov 17 11:59:00 2015 a root
5 Fri Nov 27 11:59:00 2015 a root

24/12/2015
111
• Introduction à AT
• Utilisation de la commande AT

24/12/2015
112
Ludovic Quenec'hdu
Introduction aux services
d'identification centralisés
Connexion à des groupes et
utilisateurs définis par le réseau

24/12/2015
113
Plan
• Introduction
• Ldap - Microsoft Active Directory
• Identity Management
• Comprendre le SSO
• Kerberos

24/12/2015
114
Introduction
NFS Serveur Service Web Applications Applications Service messagerie Base de données

24/12/2015
115
Ldap - Microsoft Active Directory – Samba4
Applications Service messagerie Base de données
LDAP
Active Directory
NFS Serveur Service Web Applications

24/12/2015
116
Identity Management - IdM
Replica
IdM
IdM

24/12/2015
117
Comprendre le SSO
Utilisateur/mot de passe
Applications Service messagerie Base de données
SSO - Single Sign On

24/12/2015
120
• Introduction
• Ldap - Microsoft Active Directory – Samba4
• Identity Management - IdM
• Comprendre le SSO
• Kerberos

24/12/2015
121
Ludovic Quenec'hdu
Introduction à
PAM - SSSD

24/12/2015
122
Plan
• PAM – Plugabble Authentification Module
• NSS – Name Service Switch
• SSSD - System Security Services Daemon

24/12/2015
123
PAM – Plugabble Authentification Module
• Avant PAM :
Les programmes login, telnet, rlogin, gdm, devaient être modifiés pour
assurer de nouvelles fonctionnalités, modifier la méthode d’authentification,
modifier les règles de sécurité.
• Avec PAM :
Un ensemble de bibliothèques fournissent aux programmes une API pour
modifier les méthodes d’authentification et règles de sécurité
Les programmes login, gdm peuvent maintenant utiliser différentes
méthodes (clé USB, biométrie, smartcard, ldap, kerberos, etc)

24/12/2015
124
• PAM est une solution développée par SUN en 1995
Offre un ensemble de bibliothèques, offre diverses stratégies pour l’authentification, vérification
des mots de passe, plage horaires, etc. …
• PAM définit des services :
Login, ssh, ftp, etc..
• PAM définit un type de tâche pour chaque service :
Auth, account, password et session
• PAM définit une liste de règles pour chaque tâche :
required , requisite, sufficient
• PAM définit un module pour chaque règle ou stratégie :
Pam_unix, pam_ldap, pam_krb, pam_sss, pam_security, etc.

24/12/2015
125
• Chaque application qui utilise PAM dispose de son propre service
• Les fichiers de configuration des services se trouvent dans /etc/pam.d
• Le fichier de configuration du service system-auth
• Les services
#ls /etc/pam.d/
atd smtp system-auth login sshd sudo
• Le services system-auth
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth required pam_env.so
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 1000 quiet_success
auth sufficient pam_sss.so use_first_pass

24/12/2015
126
• PAM est donc une solution qui va permettre d’ajouter simplement et
sans devoir modifier les programmes
des règles d’authentification
des fournisseurs d’authentification supplémentaires ldap, Kerberos, usb, …
• PAM n’indique pas aux programmes (login, ssh, etc.) quel service
d’authentification utiliser.
• Il fournit des bibliothèques pour y accéder
• Ce rôle est dédié à NSS

24/12/2015
127
NSS – Name Service Switch
• Name Service Switch est un mécanisme de service de noms
• Il permet aux programmes de savoir à quel service s’adresser pour
obtenir de base de données d’authentification, d’alias pour le courrier
électronique, des noms d’hôtes, etc...
• NSS spécifie les sources des bases de données et leur ordre de
recherche dans le fichier configuration /etc/nsswitch.conf
• Nsswitch.conf
passwd: files sss ldap
shadow: files sss ldap
group: files sss ldap
#hosts: db files nisplus nis dns
hosts: files dns ldap

24/12/2015
128
SSSD - System Security Services Daemon
• Depuis la version 6.4 de Red hat Linux, l’authentification externe des
utilisateurs repose sur SSSD.
• Avant SSSD, Red Hat linux utilisait NSS_LDAP et NSCD pour
l’authentification sur les serveurs d’annuaire LDAP (cache avec NSCD)
• WinBind/Samba/Kerberos pour l’authentification Microsoft Active
Directory (pas de cache, nombreuses requêtes client/serveur)
• SSSD - System Security Services Daemon fournit une interface
commune aux mécanismes d’authentification qui permet de se
connecter à de multiples sources de base de données d’identification.
LDAP, Active Directory, IdM,…
• SSSD fournit un système de cache, l’accès à des dossiers distants

24/12/2015
129
SSSD - System Security Services Daemon
• SSSD repose sur un fichier de configuration /etc/sssd.conf
• Il faut configurer SSSD avec NSS et PAM
• Extrait du fichier sssd.conf
[domain/default]
autofs_provider = ldap
ldap_schema = rfc2307bis
krb5_realm = #
ldap_search_base = dc=alphorm,dc=local
id_provider = ldap
auth_provider = ldap
chpass_provider = ldap
ldap_uri = ldap://192.168.1.39
ldap_id_use_start_tls = True

24/12/2015
130
• PAM – Plugabble Authentification Module
• NSS – Name Service Switch
• SSSD - System Security Services Daemon

24/12/2015
131
Ludovic Quenec'hdu
Introduction à LDAP

24/12/2015
132
Plan
• Les annuaires
• Les annuaires électroniques
• Le protocole LDAP – Lightweight Directory Access Protocole
• Le modèle de nommage
• Le Directory Information Tree DIT
• Structure de l'annuaire
• Pour aller plus loin avec LDAP
http://www.alphorm.com/formation/formation-en-ligne-linux-lpic-3-
environnement-mixte-examen-300

24/12/2015
133
Les annuaires
• Le petit Larousse nous dit :
ANNUAIRE n.m. (du lat. annuus, annuel). Ouvrage publié chaque année, donnant la liste des
membres d'une profession, des abonnés à un service, etc. : Annuaire du téléphone, Bottin.
• L'exemple classique d'un répertoire est l’annuaire téléphonique, où les personnes sont
classées par ordre alphabétique et en regards leurs numéros de téléphone et adresses.
• Chaque personne (ou famille) représente alors un objet, le numéro de téléphone et
l’adresse sont les attributs de cet objet.
• Certains objets peuvent être aussi des entreprises, et leurs attributs peuvent alors inclurent
les numéros de fax ou les heures d'ouverture et diverses informations (Logo, adresse de
messagerie,…).
Famille de Ludo 11 rue du paradis Tel : 0033 6 78 45 24 67
Entreprise a Ludo 11 rue du paradis Tel : 0033 6 78 45 24 67 Fax : 784930202

24/12/2015
134
Les annuaires électroniques
• Contrairement à son homologue imprimé, un annuaire électronique a une nature
hiérarchique.
• Ce qui permet aux objets d'être placés sous d'autres objets pour indiquer une relation
parent-enfant.
• Par exemple, le répertoire téléphonique pourrait être étendu et avoir des objets
représentant des zones de la ville, chacune avec des objets personnes et entreprises se
trouvant sous les objets de zone.
• Les objets arrondissement se trouveraient alors sous un objet ville, et qui pourrait encore
se trouver sous un objet état ou province, et ainsi de suite.
• Une copie imprimée serait beaucoup plus difficile à utiliser car vous auriez besoin de
connaître le nom et localisation géographique, alors qu’il serait peut-être plus simple de
rechercher par type d’entreprise. Je recherche un plombier
• En revanche, les ordinateurs sont capables de trier et rechercher des informations dans
des fichiers, répertoires et bases de données, cela permet donc une structure plus évoluée.

24/12/2015
135
France
Ile de France Provence
Paris Marseille
11e arrondissement 8e arrondissements
Famille de Ludo
Adresse : 7 rue du paradis
Tel : 0033 6 78 45 24 67

24/12/2015
136
• L'utilisation d'annuaire ne se limite pas à la recherche de personnes ou
de ressources. Un annuaire permet de :
constituer un carnet d'adresse
authentifier des utilisateurs
définir les droits de chaque utilisateur
recenser des informations sur un parc matériel (ordinateurs, serveurs,
adresses IP et adresses MAC, ...)
contenir les informations configuration des services DHCP, DNS, Kerberos …
décrire les applications disponibles

24/12/2015
137
• Ils sont dynamiques : la mise à jour d'un annuaire électronique est beaucoup
plus simple à réaliser que celle d'un annuaire papier. Ainsi un annuaire en ligne
sera à jour beaucoup plus rapidement, d'autant plus que les personnes
recensées dans l'annuaire peuvent elles-mêmes modifier les informations les
concernant.
• Ils sont sûrs : les annuaires en ligne disposent de mécanismes d'authentification
des utilisateurs grâce à un mot de passe et un nom d'utilisateur ainsi que des
règles d'accès permettant de définir les branches de l'annuaire auxquelles
l'utilisateur peut accéder
• Ils sont souples : ils permettent ainsi de classer l'information selon des critères
multiples contrairement aux annuaires papiers, imprimés une fois pour toute
pour permettre de rechercher selon un critère figé (en général l'ordre
alphabétique selon le nom)

24/12/2015
138
• On trouve beaucoup d’implémentations d’annuaires électroniques. Tous
ces serveurs implémentent le protocole LDAP ou sont compatibles :
Apache Directory Server,
OpenLDAP,
389 Directory Server (Red hat)
Oracle Directory Server Enterprise Edition, Oracle Internet Directory,
Microsoft Active Directory
Open Directory d'Apple,

24/12/2015
139
Lightweight Directory Access Protocol
• Un protocole d'accès aux données dans un annuaire. Il définit comment ajouter,
modifier, supprimer, rechercher des données dans une base de données, quels
protocoles de chiffrement utilisés (kerberos, ssl...), et quels mécanismes
d'authentification sont utilisés.
• Ce protocole est utilisé dans la relation client/serveur, mais également entre
serveurs (serveur/serveur). Les BDs LDAP peuvent être dupliquées et réparties
• LDAP Lightweight Directory Access Protocol, issu de X.500 Directory Access
Protocol (DAP)
• Le protocole fut créé par Tim Howes de l'Université du Michigan, Steve Kille du
ISODE et Wengyik Yeong de Performance Systems International en 1993

24/12/2015
140
• Initialement LDAP était un protocole d'accès à un annuaire X.500 avant que
l'université du Michigan n'en fasse un annuaire Standalone
• L'annuaire LDAP est une base de données organisée hiérarchiquement qui
recense des données sur des objets qui peuvent être des personnes, des
serveurs, des imprimantes, …
• Il existe deux versions de LDAP : LDAPv2 et LDAPv3
LDAP v3 devient un standard pour l'Internet (RFC 2251)
LDAP v3 permet d’étendre les fonctionnalités

24/12/2015
141
• Usage d'un service d'annuaire LDAP
un service d'annuaire
un service d'authentification
pour la messagerie, carnet d’adresses
pour les applications internet/intranet, certificats, configuration des
applis…

24/12/2015
142
• Un protocole de communication.
• Un modèle de données
• Un modèle de nommage
• Un modèle fonctionnel
• un modèle de sécurité
• Un format d'échange de données, le format LDIF.
• Un modèle de réplication

24/12/2015
143
Le modèle de nommage
• Le modèle de nommage définit l'organisation des données et la façon d'y
accéder.
• Il spécifie une structure arborescente appelée le Directory Information Tree (DIT)
dans laquelle on trouve des entrées.
• L'arbre est composé d'entrées simples et d'alias.
• Depuis LDAP v3, les entrées d'un annuaire peuvent être réparties entre plusieurs
serveurs (referall ) et peuvent être désignées de deux façons, les DN et le RDN.

24/12/2015
144
Le modèle de nommage
• Il y a plusieurs approches afin d’organiser le nommage des entrées :
Par pays : C=FR, C=UK
Par organisation : O=ALPHORM
Par nom de domaine : ALPHORM.COM DC=ALPHORM,DC=COM

24/12/2015
145
Le Directory Tree, structure de l’arbre
• On peut trouver pour une grande organisation :

24/12/2015
146
Structure de l'annuaire, Exemples d'arbres
• Dans ce cadre, le modèle LDAP peut être plat :

24/12/2015
147
Structure de l'annuaire, Exemples d'arbres
• Découpage par type d'objet :

24/12/2015
148
Structure de l'annuaire
• Au sommet de l’arbre se trouve la racine ou suffixe appelé Directory Infomation Tree (DIT)
• Chaque entrée a un identifiant unique, le Distinguished Name (DN).
• Il est constitué à partir de son Relative Distinguished Name (RDN) suivi du DN de son
parent. C'est une définition récursive.
• On peut faire l'analogie avec une autre structure arborescente, les systèmes de fichiers; le
DN étant le chemin absolu et le RDN le chemin relatif à un répertoire. En règle générale le
RDN d'une entrée représentant une personne est l'attribut cn (common name) :
dc=com
dc=alphorm
ou=people ou=groupe
cn=ludo
• Le RDN est rdn:cn=ludo, son DN est dn: cn=ludo, ou=people, dc=alphorm,dc=com

24/12/2015
149
• Au sommet de l’arbre on trouve donc des attributs de différents types qui constituent
donc le DIT.
• dc est l’abréviation de domain component (composante du domaine).
• Dans notre exemple com est le top-level du domaine et alphorm est un sous domaine de
com.
• Ils sont alors séparés dans deux entités différentes et sont donc séparés par des virgules
dans la norme X500
dc=alphorm, dc=com

24/12/2015
150
• On trouvera donc un espace de nom de type :
• On trouve également ObjectClasss

24/12/2015
151
Formation complète et avancées sur LDAP
http://www.alphorm.com/formation/formation-en-
ligne-linux-lpic-3-environnement-mixte-examen-300

24/12/2015
152
• Les annuaires
• Les annuaires électroniques
• Le protocole LDAP – Lightweight Directory Access Protocole
• Le modèle de nommage
• Le Directory Information Tree DIT
• Structure de l'annuaire
• Pour aller plus loin avec LDAP
http://www.alphorm.com/formation/formation-en-ligne-linux-lpic-3-
environnement-mixte-examen-300

24/12/2015
153
Ludovic Quenec'hdu
S'authentifier sur
un serveur LDAP

24/12/2015
154
Plan
• Mise en œuvre serveur Openldap
• Authentification client ldap
Méthode nss-pam-ldap nscd
Méthode SSSD

24/12/2015
155
Mise en œuvre serveur Openldap
• Installation des pasquets openldap server et client
#yum-y install openldap-servers openldap-clients
• Installation de la base de données
# cp /usr/share/openldap-servers/DB_CONFIG.example
/var/lib/ldap/DB_CONFIG
# chown ldap. /var/lib/ldap/DB_CONFIG
#systemctl enable slapd
#systemctl start slapd

24/12/2015
158
• Création du domaine ldap alphorm.local
#vi domain_alphorm.ldif
dn: olcDatabase={1}monitor,cn=config
changetype: modify
replace: olcAccess olcAccess: {0}to * by
dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read by
dn.base="cn=Manager,dc=alphorm,dc=local" read by * none
dn: olcDatabase={2}hdb,cn=config
changetype: modify
….
dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootDN
olcRootDN: cn=Manager, dc=alphorm,dc=local
• Insertion de domain_alphorm.ldif
# ldapadd -Y EXTERNAL -H ldapi:/// -f domain_alphorm.ldif

24/12/2015
159
• Création de l’arborscence pour le domaine alphorm.local
# vi domain.ldif
dn: dc=alphorm,dc=local
objectClass: top
objectClass: dcObject
objectclass: organization
o: alphorm formation
dc: alphorm
dn: cn=Manager,dc=alphorm,dc=local
objectClass: organizationalRole
cn: Manager
description: Directory Manager
dn: ou=People,dc=alphorm,dc=local
objectClass: organizationalUnit
ou: People
• Création de l’arborscence pour le domaine alphorm.local
#ldapadd -x -D cn=Manager,dc=alphorm,dc=local -W -f domain.ldif

24/12/2015
160
• Ajout des utlisateurs ldap
#vi ldapuser.ldif
dn: uid=ludovic,ou=People,dc=server,dc=world
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
cn: ludovic
sn: formateur
userPassword: {SSHA}xxxxxxxxxxxxxxxxx
loginShell: /bin/bash
uidNumber: 10000
gidNumber: 10000
homeDirectory: /home/ludovic
dn: cn=formateur,ou=Group,dc=server,dc=world
objectClass: posixGroup
cn: ludovic
gidNumber: 10000
memberUid: formateur
#ldapadd -x -D cn=Manager,dc=salphorm,dc=local -W -f ldapuser.ldif

24/12/2015
161
Méthode nss-pam-ldap - nscd
• Installation des pasquets nss-pam-ldap et nscd
#yum-y install openldap-clients nss-pam-ldapd
• Configuration du client avec authconfig
#authconfig --enableldap
--enableldapauth
--ldapserver=ldap.alphorm.local
--ldapbasedn="dc=alphorm,dc=local"
--enablemkhomedir
--update

24/12/2015
162
Méthode SSSD
• Installation des pasquets sssd sssd-ldap
#yum-y install sssd sssd-ldap
• Configuration du client avec authconfig
#authconfig --enablesssd --enablesssdauth
--enablelocauthorize --enableldap --enableldapauth
--ldapserver=ldap://ldap.alphorm.local
--ldapbasedn=dc=alphorm,dc=local --enablerfc2307bis
--enablemkhomedir --enablecachecreds --enableldaptls --update

24/12/2015
163
• Mise en œuvre serveur Openldap
• Méthode nss-pam-ldap nscd
• Méthode SSSD

24/12/2015
164
Ludovic Quenec'hdu
S'authentifier
avec kerberos

24/12/2015
165
Plan
• Introduction Kerberos
• Principes de fonctionnement
• Royaume Kerberos
• Architecture Kerberos
• Mise en œuvre du serveur de temps
• Mise en œuvre d’un serveur Kerberos
• Intégration Red Hat Linux

24/12/2015
166
Introduction Kerberos
• Protocole développé au MIT dans le cadre du projet Athena au début
des années 1980
• Permet l’authentification forte a des services dit “kerbérisé”
• Standardisé par 2 RFC : RFC 1510 et RFC 1964
• Kerberos est aujourd’hui en version 5.
• A la base de l’authentification MS Windows 200X
• Kerberos permet l’authentification des utilisateurs et gère ensuite
l’accès aux différents services.

24/12/2015
167
Principe de fonctionnement

24/12/2015
168
Royaume Kerberos
• L’architecture Kerberos est constituée de serveurs Kerberos,
d’utilisateurs, de postes de travail et de serveurs hébergeant des
services, le tout rassemblés dans un ROYAUME kerberos (REALM)
• Les “principals”
• Le KDC – Key Distribution Center – Centre de
Distributions des Clés

24/12/2015
169
Architecture Kerberos
Les principals : Un utilisateur, un client, un serveur
• nom/instance@KRB-REALM
• ldap/master.alphorm.com@ALPHORM.COM
• ludo/admin@ALPHORM.COM
• host/client.alphorm.com@ALPHORM.COM
Chaque principal dispose de clés secrètes
• Mot de passe pour les utilisateurs
• Fichier keytab pour les serveurs et hôtes

24/12/2015
170
• Le service Kerberos est constitué de plusieurs entités regroupé dans un
KDC – Key Distribution Center
Un serveur d’authentification AS
Contient une base de données avec les utilisateurs, les services et leurs clés
associées
• Module kadmin d’administration, utilisateurs, services, hôtes, ACL,
méthode de chiffrement, ...
Un service de délivrèrent de Ticket TGS
Fournit l’accès aux services “kerbérisé”

24/12/2015
171
Principes de fonctionnement
• Afin d’accéder aux services “Kerbérises” un utilisateur obtient un ticket
d’accès aupres du KDC (TGT –Ticket Granting Ticket)
Commande kinit ludo/admin@ALPHORM.LOCAL
• Avec le TGT le client envoie une demande de ticket auprès du TGS
Klist pour visualiser les tickets
Le client inclue l’identifiant du service demandé et le TGT obtenue du KDC
• Le TGS vérifie la validité du TGT et envoie alors les informations
d’accès au service
• Le TGT permet donc à l’utilisateur authentifié de récupérer des tickets
d’accès aux services auprès du TGS

24/12/2015
172
Mise en œuvre du serveur de temps
• Sélection de la « timezone »
#timedatectl
#timedatectl list-timezone
#timedatectl set-timezone Europe/Paris
• Synchronisation avec chrony
#yum install -y chrony
#systemctl enable chronyd
#systemctl start chronyd
#chronyc tracking
#chronyc sources –v
#ntpdate pool.ntp.org

24/12/2015
173
Mise en œuvre d’un serveur Kerberos
• Installation des paquets kerberos server et client
#yum install -y krb5-server krb5-workstation pam_krb5
• Configuration du server
Remplacer EXAMPLE.COM et example.com par le royaume
#vi /etc/krb5.conf
# vi /var/kerberos/krb5kdc/kadm5.acl
# vi /var/kerberos/krb5kdc/kdc.conf
• Création de la base de données Kerberos
# kdb5_util create -s –r ALPHORM.LOCAL

24/12/2015
174
Mise en œuvre d’un serveur Kerberos
• Activation des services kerberos
#systemctl enable krb5kdc kadmin
#systemctl start krb5kdc kadmin
#systemctl enable krb5kdc.service
#systemctl start krb5kdc.service

24/12/2015
178
• Mise en œuvre du serveur de temps
• Mise en œuvre d’un serveur Kerberos
• Intégration Red Hat Linux

24/12/2015
179
Ludovic Quenec'hdu
S'authentifier sur un
serveur AD

24/12/2015
180
Plan
• Introduction à Microsoft Active Directory
• Intégration Red Hat Linux dans AD

24/12/2015
181
Introduction Microsoft Active Directory
• Microsoft Active Directory (AD) est le service d'annuaire compatible
LDAP pour les systèmes d'exploitation Microsoft Windows
• AD fournit des services d'identification et d’authentification, d’application
de stratégies, de distribution de logiciels
• AD permet d’administrer les comptes utilisateurs, les serveurs, les postes
de travail, les dossiers partagés, les imprimantes, etc.
• Active Directory utilise comme Openldap, la notion de hiérarchie de type
X500
• Un utilisateur disposera donc d’un DN (distinguishedName) :
CN=Ludovic Quenec, OU=UTILISATEURS, DC=ALPHORM, DC=LOCAL

24/12/2015
182
Formations AD sur Alphorm

24/12/2015
183
Introduction Kerberos
• Protocole développé au MIT dans le cadre du projet Athena au début
des années 1980
• Permet l’authentification forte à des services dites “kerbérisé”
• Standardisé par 2 RFC : RFC 1510 et RFC 1964
• Kerberos est aujourd’hui en version 5
• A la base de l’authentification MS Windows 200X
• Kerberos permet l’authentification des utilisateurs et gère ensuite
l’accès aux différents services.

24/12/2015
184
Royaume Kerberos
• L’architecture Kerberos est constituée de serveurs Kerberos,
d’utilisateurs, de postes de travail et de serveurs hébergeant des
services, le tout rassemblés dans un ROYAUME kerberos (REALM)
• Les “principals”
• Le KDC – Key Distribution Center – Centre de Distribution des
Clés

24/12/2015
185
• Les principals : Un utilisateur, un client, un serveur
nom/instance@KRB-REALM
ldap/master.alphorm.com@ALPHORM.COM
ludo/admin@ALPHORM.COM
host/client.alphorm.com@ALPHORM.COM
• Chaque principal dispose de clés secrètes
Mot de passe pour les utilisateurs
Fichier keytab pour les serveurs et hôtes

24/12/2015
186
• Le service Kerberos est constitué de plusieurs entités regroupées dans
un KDC – Key Distribution Center
Un serveur d’authentification AS
Contient une base de données avec les utilisateurs, les services et leurs clés
associées
• Module kadmin d’administration, utilisateurs, services, hôtes, ACL,
méthode de chiffrement, ...
Un service de mise à disposition de Ticket TGS
Fournit l’accès aux services “kerbérisé”

24/12/2015
187
Principes de fonctionnement
• Afin d’accéder aux services “Kerbérisés” un utilisateur obtient un ticket
d’accès auprès du KDC (TGT –Ticket Granting Ticket)
Commande kinit ludo/admin@ALPHORM.LOCAL
• Avec le TGT le client envoie une demande de ticket auprès du TGS
Klist pour visualiser les tickets
Le client inclut l’identifiant du service demandé et le TGT obtenu du KDC
• Le TGS vérifie la validité du TGT et envoie alors les informations
d’accès au service
• Le TGT permet donc à l’utilisateur authentifié de récupérer des tickets
d’accès aux services auprès du TGS

24/12/2015
188
Principe de fonctionnement

24/12/2015
189
Intégration Red Hat Linux dans AD
• Installation des pasquets sssd sssd-ad
#yum-y install sssd sssd-ad
• Découverte et jonction au realm (royaume kerberos AD )
#realm discover rh134.alphorm.local
rh134.alphorm.local
type: kerberos
realm-name: RH134.ALPHORM.LOCAL
domain-name: rh134.alphorm.local
configured: kerberos-member
server-software: active-directory
client-software: sssd
…
#realm join rh134.alphorm.local –U RH134.ALPHORM.LOCALadministrateur

24/12/2015
190
• Extrait du fichier sssd.conf
#cat /etc/sssd/sssd.conf
[domain/rh134.alphorm.local]
ad_domain = rh134.alphorm.local
krb5_realm = RH134.ALPHORM.LOCAL
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = False
• Se loguer avec l’administrateur
#su - administrateur@rh134.alphorm.local
#su 'RH134.ALPHORM.LOCALadministrateur'

24/12/2015
191
• Afficher le ticket kerberos
# klist
Ticket cache:
KEYRING:persistent:1828200500:krb_ccache_9QuDDC0
Default principal: Administrateur@RH134.ALPHORM.LOCAL
Valid starting Expires Service principal
11/19/2015 07:36:11 11/19/2015 17:36:11
krbtgt/RH134.ALPHORM.LOCAL@RH134.ALPHORM.LOCAL
renew until 11/26/2015 07:36:10

24/12/2015
192
• Introduction Microsoft Active Directory
• Intégration Red Hat Linux dans AD

24/12/2015
193
NFS Server
Stockage distant
Ludovic Quenec'hdu

24/12/2015
194
Plan
• Introduction au NFS
• Mise en oeuvre simple d’un serveur NFS
• Accéder à un serveur NFS

24/12/2015
195
Introduction a NFS
• NFS – Network File System est un système de fichiers réseau
• Développé par SUN Microsystem dans les années 1980
• NFS offre l’export de répertoires pour des machines distantes
• NFS V1,2 et 3 s’appuie sur les RPC - appels de procédure distante
• Plusieurs versions :
NFS version 1 et 2 utilise le protocole UDP, n’est pas sécurisé
NFS V3 supporte le transport sur TCP, mais n’est pas toujours sécurisé
NFS V4.x est une réecriture totale du protocole NFS
• Support de Kerberos, chiffrement des communications, reprise sur incident,
parallélisation des transferts (stripping).

24/12/2015
196
Mise en oeuvre simple d’un serveur NFS
• Installation des paquets nfs pour le server et le client
#yum install nfs-utils
#rpm –ql nfs-utils
#vi /etc/exports
/nfs *(rw,no_root_squash,anonuid=2000,anongid=2000)
#exportfs -avr
exporting *:/nfs
• Montage de l’export nfs du client
#mount.nfs4 nfs-server:/nfs /mnt/

24/12/2015
197
Les options nfs
• Droits sur les exports
rw : Read = Lecture, Write = Écriture
ro : Read Only = Lecture seulement (option par défaut)
• Gestion des performances :
Async : ne synchronise pas les écritures immédiatement
• Améliore grandement les performances, incohérences des données lors
de “crash” serveur
Sync : le contraire de async, synchronise les requêtes
Rsize, wsize : taille des blocs de données en lecture et écriture

24/12/2015
198
Les options nfs
• Mapping utilisateurs :
root_squash : mappe l’utilisateur vers un utilisateur anonyme (option par
défaut)
No_root_squash : n'effectue pas de mapping pour l'utilisateur root
anonuid : indique au serveur NFS l'UID de l'utilisateur anonyme
anongid : indique au serveur NFS le GID de l'utilisateur anonyme
• Autres options :
subtree_check: vérifie l’existence des sous répertoires de l’export
no_subtree_check: Ne vérifie pas l’existence des sous répertoires de l’export

24/12/2015
199
• Introduction au NFS
• Mise en oeuvre simple d’un serveur NFS
• Accéder a un serveur NFS

24/12/2015
200
Accéder aux partages
NFS sécurisé
Stockage distant
Ludovic Quenec'hdu

24/12/2015
201
Plan
• Introduction
• Mise en œuvre du serveur NFS secure
• Mise en oeuvre du serveur Kerberos
• Ajout du serveur NFS au royaume kerberos
• Ajout du client NFS au realm kerberos
• Test du client nfs avec kerberos authentification

24/12/2015
202
Introduction
serveur Kerberos
Client NFS
serveur NFS secure
1 Demande NFS mount
2 demande authentification dans le royaume
3 krb5.keytab
4 krb5.keytab
5 autorisation du montage nfs

24/12/2015
203
Mise en œuvre du serveur NFS secure
• Installation des paquets nfs pour le server et le client
nfs-server#yum groupinstall –y file-server
• Configuration du server avec kerberos
nfs-server#/etc/exports
/nfs *(rw,no_root_squash, sec=krb5)
nfs-server#exportfs -avr
exporting *:/nfs
nfs-server#showmount -e localhost
• Démarrage des services
nfs-server#systemctl enable nfs-server && systemctl start nfs-secure-server

24/12/2015
204
Mise en oeuvre du serveur Kerberos
• Installation des paquets kerberos serveur et client
kbserver#yum install -y krb5-server krb5-workstation pam_krb5
Remplacer EXAMPLE.COM et example.com par le royaume
kbserver#vi /etc/krb5.conf
kbserver# vi /var/kerberos/krb5kdc/kadm5.acl
kbserver# vi /var/kerberos/krb5kdc/kdc.conf
• Création de la base de données Kerberos
kbserver# kdb5_util create -s –r ALPHORM.LOCAL

24/12/2015
205
Mise en oeuvre du serveur Kerberos
• Activation des services kerberos
kbserver# systemctl start krb5kdc kadmin
kbserver# systemctl enable krb5kdc kadmin
• Ajout des principals
kbserver#kadmin.local
kadmin.local : addprinc root/admin
kadmin.local : addprinc -randkey host/kbserver.alphorm.local
kadmin.local : ktadd host/kbserver.alphorm.local

24/12/2015
206
Ajout du serveur NFS au royaume kerberos
• Installation des paquets kerberos client pour nfs-server
nfs-server#yum install -y krb5-workstation pam_krb5
• Configuration du nfs-server dans kerberos
nfs-server# scp kbserver:/etc/krb5.conf /etc/
• Ajout du principals nfs server
nfs-server#kadmin
Authenticating as principal root/admin@ALPHORM.LOCAL with password.
Password for root/admin@ALPHORM.LOCAL : xxxxxx
kadmin: addprinc -randkey nfs/nfs-server.alphorm.local
kadmin : ktadd nfs/nfs-server.alphorm.local
kadmin: addprinc –randkey host/nfs-server.alphorm.local

24/12/2015
207
Ajout du client NFS au royaume kerberos
• Installation des paquets kerberos client
nfs-client#yum install -y krb5-workstation pam_krb5
• Configuration du nfs-server dans kerberos
nfs-client# scp kbserver:/etc/krb5.conf /etc/
• Ajout du principals nfs server
nfs-client#kadmin
Authenticating as principal root/admin@ALPHORM.LOCAL with password.
Password for root/admin@ALPHORM.LOCAL : xxxxxx
kadmin: addprinc -randkey nfs/nfs-client.alphorm.local
kadmin : ktadd nfs/nfs-client.alphorm.local
kadmin: addprinc -randkey host/nfs-client.alphorm.local

24/12/2015
208
Ajout du client NFS au royaume kerberos
• Démarrage des services secure nfs
nfs-client#systemctl start nfs-secure
• “Montage” de l’export sécurisé Kerberos
nfs-client# mount -t nfs4 -o sec=krb5 nfs-server.alphorm.local:/nfs /mnt
• Vérification ☺
nfs-client#mount | grep krb5
nfs-client#su – user
nfs-client$ kinit
nfs-client $ cd /mnt
nfs-client $ echo “Ca marche !!" >testFile

24/12/2015
209
• Introduction
• Mise en œuvre du serveur NFS secure
• Mise en oeuvre du serveur Kerberos
• Ajout du serveur NFS au royaume kerberos
• Ajout du client NFS au realm kerberos
• Test du client nfs avec kerberos authentification

24/12/2015
210
Partage SMB/CIFS
Stockage distant
Ludovic Quenec'hdu

24/12/2015
211
Plan
• Introduction
• Partage méthode MS Windows
• Partage méthode Samba 4
• “Montage” des partages

24/12/2015
212
Introduction
• SMB – Server Message Block est le protocole utilisé par Microsoft pour
partager des ressources sur les réseaux
• Créé en 1985 par IBM sous le nom de LAN Manager pour OS/2
• Microsoft a considérablement modifié le protocole pour ses réseaux
• SMB utilisait l’architecture NetBios (service de nom, de message, ..)
• SMB utilise maintenant TCP/IP, port TCP 445. TCP/UDP 137, 138
• SMB était appelé CIFS (Common Internet File System) jusque Windows
2000
• Il existe une implémentation pour Unix/Linux de SMB : SAMBA

24/12/2015
213
Introduction

24/12/2015
214
Partage méthode MS Windows

24/12/2015
215

24/12/2015
216

24/12/2015
217
Partage Méthode Samba 4
• Créer un partage dans le fichier smb.conf
# vi /etc/samba/smb.conf
[public]
comment = Public Stuff
path = /home/public
public = yes
writable = yes
write list = root
• Démarrer les service samba
#systemctl restart smb.service
#systemctl restart nmb.service
#systemctl enable smb.service
#systemctl enable smb.service

24/12/2015
218
• Ajout d’un utilisateur SAMBA
#smbpasswd –a root
New SMB password:
Retype new SMB password:
Added user root.
• Affciher les partages du serveur
#smbclient –L samba.alphorm.local –U root
Enter root's password:
Domain=[SMB-SERVER] OS=[Unix] Server=[Samba 4.1.12]
Sharename Type Comment
--------- ---- -------
public Disk Dossier Public

24/12/2015
219
• Montage des partages SMB
#mount -t cifs //192.168.1.20/public /mnt/ -o username=root
password:
#vi /root/.pwd
username=root
password=Mot de passe
#mount -t cifs //192.168.1.20/public /mnt/ -o
credentials=/root/.pwd

24/12/2015
220
• Introduction
• Partage méthode MS Windows
• Partage méthode Samba 4
• “Montage” des partages

24/12/2015
221
Autofs
Stockage distant
Ludovic Quenec'hdu

24/12/2015
222
Plan
• autoFS - montage automatique de systèmes de fichiers
• Mise en oeuvre de autofs

24/12/2015
223
AutoFS - montage automatique de systèmes de fichiers
• Lors d’un montage manuel ou via /etc/fstab d’un système de fichiers
réseau, nfs, smb ou autres
Les FS restent montés et consomment donc des ressources
Lors d’un arrêt brutale de la machine, les ressources peuvent se retrouvées
bloquées pour les autres utilisateurs
• autofs va permettre de monter et démonter les FS réseau, lors de
l’accès à ces derniers.
• autofs s’appuie sur des fichiers de configuration et un démon
automountd qui se charge de monter lors d’une requête et de
démonter lors d’inactivité

24/12/2015
224
Mise en oeuvre autofs
• Installation autofs
#yum install –y autofs
• Configuration autofs
#vi /etc/auto.master
…
/dir_autofs /etc/auto.test --timeout=60
/home /etc/auto.home --timeout=60
#vi /etc/auto.test
test nfsserver:/autofs/
#vi /etc/auto.home
* nfsserver:/home/&

24/12/2015
225
Mise en oeuvre autofs
• Accès au montage via autofs
#]# ls /dir_autofs/test
dir1 dir2 dir3
• Accès au repertoire home sur le serveur nfs via autofs
#su – ludo
Df –hT
/dev/sda1 204580 9992 194588 5% /boot/efi
nfsserver:/home/ludo 6817792 2393024 4424768 36% /home/ludo

24/12/2015
226
• autoFS - montage automatique de systèmes de fichiers
• Mise en oeuvre de autofs

24/12/2015
227
Introduction aux contrôles
d'accès sous Linux
Gestion de la sécurité
Ludovic Quenec'hdu

24/12/2015
228
Plan
• Le contrôle d’accès sous linux
• Les modèles de sécurité sous linux
DAC - Discretional Access Control
MAC - Mandatory Access Control
RBAC - Role-Based Access Control
DTE – Type Enforcement
• Les implémentations sous Linux

24/12/2015
229
Le contrôle d’accès sous linux
• Le système doit fournir :
La disponibilité : continuité de services, fournir l’accès aux services
L’intégrité : Les données ne doivent pas être altérées
La confidentialité : utilisable que par des personnes identifiées

24/12/2015
230
Les modèles de sécurité sous linux - DAC
• Le modèle DAC - Discretional Access Control est le mode de sécurité
classique sous Unix/Linux
• Les utilisateurs et les groupes d’utilisateur sont propriétaires des fichiers
et répertoires sur le système
Les propriétaires et root peuvent modifier la politique d’accès aux données.
Confiance en l’utilisateur, pas de type de données (secret d’états, secret, confidentiel,
public, ..), pas de rôle utilisateur (admin, DSI, chef, …)
• Les processus ou programmes sont exécutés par un propriétaire ou un
groupe propriétaire :
Accès à toutes les données du propriétaire
• Les listes de contrôle d’accès, ACL permettent une gestion plus fine des
autorisations sur les fichiers, pas les processus

24/12/2015
231
Les modèles de sécurité sous linux - MAC
• Le modèle MAC - Mandatory Access Control - Contrôle d’accès
obligatoire
• Dans ce modèle on labélise (on pose une étiquète sur) les données
(fichiers, socket, ..) et les processus :
Top secret
• Un utilisateur accrédité public ne pourra donc pas avoir accès aux données top
secret
Confidentiel
Départements (marketing, direction, …)
public
• La politique interdit tous sauf si on autorise

24/12/2015
232
Les modèles de sécurité sous linux - RBAC
• Le modèle RBAC - Role-Based Access Control - Contrôle d’accès par
rôle
• Définit des rôles pour les utilisateurs, processus :
Administrateur internet
Administrateur de base de données
Voir la commande sudo (RH124)
• Définit des contrôles d’accès à ces rôles

24/12/2015
233
Les modèles de sécurité sous linux - DTE
• Le TE – Domain and Type Enforcement utilisé par Selinux
• Sur le même principe que le MAC.
• Le DTE labélise des objets
Contrôles d'accès entre les sujets (processus, domaines) et les objets (fichiers,
répertoires, sockets, ..)
les confine dans un domaine qui limite les actions
• Un serveur Web qui s’exécute en root n’aura accès qu’aux domaines
HTTPD (libraires, pages web, fichier de configuration du serveur)

24/12/2015
234
Les implémantations sous Linux
• Linux security modules
Intégré au noyau depuis la version 2.6, LSM est une API qui vérifie la
conformité des règles de sécurité
Introduit initialement pour SELinux, il est utilisé également par AppArmor
• Security-Enhanced Linux :
SELinux permet de définir des politiques de sécurité de type DTE
• AppArmor
Permet de définir des politiques de sécurité de types MAC (concurrent de
SELinux)

24/12/2015
235
• Le contrôle d’accès sous linux
• Les modèles de sécurité sous linux
DAC - Discretional Access Control
MAC - Mandatory Access Control
RBAC - Role-Based Access Control
DTE – Type Enforcement
• Les implémentations sous Linux

24/12/2015
236
Comprendre SeLinux
Gestion de la sécurité
Ludovic Quenec'hdu

24/12/2015
237
Plan
• Comprendre SELinux
• Les modes Selinux
• Comprendre les stratégies (policy)
• Comprendre les labels et les booléens
• Comprendre semanage, fcontext
• Analiser les log SELinux
• Mise en oeuvre de SELinux avec SSH et apache

24/12/2015
238
Comprendre SELinix
• Security-Enhanced Linux (ou SELinux) est une architecture de sécurité :
De type MAC
Intégrée dans le noyau 2.6.x à l'aide des modules LSM
Projet de la NSA (National Security Agency)
Activement développée par Red Hat
Disponible sur Red hat, Debian, Gentoo, Ubuntu …

24/12/2015
239
Comprendre SELinix
SELinux
Policy Auditd
Enforcing
Permissive
/var/log/auditd/audit.log

24/12/2015
240
Comprendre SELinix
Context http
Httpd process
/var/www
Httpd.conf
/home/ludo/www
Context home

24/12/2015
241
Les modes Selinux
• Enforcing : Application des règles SeLinux
• Permissive : mode de déboguage. Les règles sont logguées. Mais ne
bloquent pas les accès
• Disabled : SELinux Désactivé
• Modification des modes
#getenforce
#setenforce 1
#setenforce 0
#vi /etc/selinux/config

24/12/2015
242
Les modes Selinux
• Les context SELinux avec l’option –Z
Utilisateurs
Roles
Labels
#ls- Z
-rw-------. 1 system_u:object_r:admin_home_t:s0 root root 1558 23 nov. 09:56 anaconda-ks.cfg
#ps -auxZ
system_u:system_r:sshd_t:s0-s0:c0.c1023 root Ss 11:19 0:00 /usr/sbin/sshd -D
#netstat –Zatunp
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1356/sshd system_u:system_r:sshd_t

24/12/2015
243
Comprendre Les stratégies (policy)
# cat /etc/selinux/config
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=enforcing
# SELINUXTYPE= can take one of three two values:
# targeted - Targeted processes are protected,
# minimum - Modification of targeted policy. Only selected processes are protected.
# mls - Multi Level Security protection.
SELINUXTYPE=targeted

24/12/2015
244
Comprendre les labels et les booléens
#Ps auxZ | grep httpd
system_u:system_r:httpd_t:s0 root 2984 5.0 1.4 213224 4864 ? Ss 11:39 0:00
/usr/sbin/httpd
# ls -Zl /var/www/
total 0
drwxr-xr-x. 2 system_u:object_r:httpd_sys_script_exec_t:s0 root root 6 24 août 20:12 cgi-
bin
drwxr-xr-x. 2 system_u:object_r:httpd_sys_content_t:s0 root root 6 24 août 20:12 html
# ls -lZ /tmp/
drwx------. root root system_u:object_r:tmp_t:s0 systemd-private-3TwuKG
# touch file_selinux
[root@client ~]# ls -Zl file_selinux
-rw-r--r--. 1 unconfined_u:object_r:admin_home_t:s0 root root 0 8 déc. 11:41 file_selinux

24/12/2015
246
#getsebool -a | grep ftp
ftp_home_dir --> off
ftpd_anon_write --> off
ftpd_connect_all_unreserved --> off
ftpd_connect_db --> off
ftpd_full_access --> off
ftpd_use_cifs --> off
ftpd_use_fusefs --> off
ftpd_use_nfs --> off
ftpd_use_passive_mode --> off
#ftp localhost
Using binary mode to transfer files.
ftp> mkdir test.selinux
550 Create directory operation failed.
type=AVC msg=audit(1449571653.944:433): avc: denied { create } for pid=3308
comm="vsftpd" name="test.selinux" scontext=system_u:system_r:ftpd_t:

24/12/2015
247
#setsebool ftp_home_dir on
# ftp localhost
Trying ::1...
Password:
ftp> mkdir est.selinux
257 "/home/ludo/est.selinux" created
ftp>

Alphorm.com formation Red Hat (RH134)

Alphorm.com formation Red Hat (RH134)

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

En vedette

En vedette (20)

Similaire à Alphorm.com formation Red Hat (RH134)

Similaire à Alphorm.com formation Red Hat (RH134) (20)

Plus de Alphorm

Plus de Alphorm (20)

Alphorm.com formation Red Hat (RH134)