Il me fallait une plage d’adresses « propre » d’aucune pollution – sans contrôleur de domaine (faire cohabiter plusieurs domaines « windows » c’est pas top) avec des accès au LAN de l’entreprise.

- On télécharge Ipcop (distribution linux d’une 50aine de Méga)
- On l’installe sur une machine avec 2 interfaces réseaux (je ne sais pas si l’on peut y configurer des interfaces réseaux virtuels sur la même carte) : le réseau ROUGE est le LAN de l’entreprise et le réseau VERT est notre sous-réseau (192.168.0.0/24)
- Depuis le réseau VERT on se connecte à l’interface web de l’Ipcop (https://monipcop:445) pour :
* activer le ssh depuis le VERT
* activer le DHCP sur le réseau VERT
* rediriger les ports pour pouvoir accéder aux machines du réseau VERT (ssh ou accès distants de type vnc..) depuis le réseau ROUGE (cad mon poste de travail sur le LAN de l’entreprise)
* on permet l’accès à l’interface web depuis quelques machines du réseau ROUGE (mon poste de travail surtout..)
* on peut peaufiner l’icop (via l’interface web) pour activer le proxy/cache on peut faire du proxy transparent..

En quelques minutes tout est ok…..

Après on peut utiliser Ipcop plus finement avec l’intégration d’un tas de plugins……….

Le DNS (la machine est « mondns » 192.168.1.3) n’est pas sur la même machine que le DHCP (la machine est « mondhcp » 192.168.1.4)

Sur la machine DNS, on configure la clé rndc avec le script adapté :

# rndc-confgen

On obtient de quoi concevoir le fichier /etc/bind/rndc.conf c’est à dire :

1
2
3
4
5
6
7
8
9
10
11
12

# Start of rndc.conf
key "rndc-key" {
        algorithm hmac-md5;
        secret "monsecret";
};
 
options {
        default-key "rndc-key";
        default-server 127.0.0.1;
        default-port 953;
};
# End of rndc.conf

On rajoute dans le named.conf :

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62

key "rndc-key" {
        algorithm hmac-md5;
        secret "monsecret";
};
 
controls {
      inet 127.0.0.1 port 953
              allow { 127.0.0.1;192.168.1.4; } keys { rndc-key; };
};
 
# De quoi journaliser car cela ne fait pas de mal :
logging {
           channel update_debug {
                file "/var/log/update_debug.log" versions 3 size 100k;
                severity  debug 3;
                print-category yes;
                print-severity yes;
                print-time     yes;
           };
           channel security_info    {
                file "/var/log/securite_debug.log" versions 3 size 100k;
                severity  info;
                print-category yes;
                print-severity yes;
                print-time     yes;
           };
 
           channel queries_info        {
                file "/var/log/queries_debug.log" versions 3 size 1m;
                severity  debug 1;
                print-category yes;
                print-severity yes;
                print-time     yes;
           };
 
            channel lame_info        {
                file "/var/log/lame_debug.log" versions 3 size 100k;
                severity  info;
                print-category yes;
                print-severity yes;
                print-time     yes;
           };
 
           category update { update_debug; };
           category security { security_info; };
           category queries { queries_info; };
           category lame-servers { lame_info; };
};
 
zone "domaine1.univ-orleans.fr" in {
   type master;
   file "/etc/namedb/db.domaine1.univ-orleans.fr";
   allow-update{key rndc-key;};
   notify yes;
};
 
zone "1.168.192.in-addr.arpa" in {
   type master;
   file "/etc/namedb/db.1.168.192";
   allow-update{key rndc-key;};
   notify yes;
   };

Sur le serveur DHCP (dans dhcpd.conf) on rajoute :

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

ddns-domainname "domaine1.univ-orleans.fr.";
ddns-rev-domainname "in-addr.arpa.";
ddns-updates on;
ddns-update-style interim;
ignore client-updates;
update-static-leases on;
option domain-name-servers 192.168.1.3;
 
key "rndc-key" {
        algorithm hmac-md5;
        secret "monsecret";
};
zone 1.168.192.in-addr.arpa {
        primary 192.168.1.3;
        key rndc-key;
        }
zone domaine1.univ-orleans.fr {
        primary 192.168.1.3;
        key rndc-key;
        }

Création de db.domaine1.univ-orleans.fr (on y met quelques machines…) :

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

$ORIGIN .
$TTL 3600       ; 1 hour
domaine1.univ-orleans.fr IN SOA  mondns.domaine1.univ-orleans.fr. administrateur.mondns.univ-orleans.fr. (
                                2731       ; serial
                                900        ; refresh (15 minutes)
                                600        ; retry (10 minutes)
                                86400      ; expire (1 day)
                                3600       ; minimum (1 hour)
                                )
                        NS      mondns.domaine1.univ-orleans.fr.
$ORIGIN domaine1.univ-orleans.fr.
$TTL 21600      ; 6 hours
 
$TTL 3600       ; 1 hour
mondns                    A       192.168.1.3
$TTL 1200       ; 20 minutes
machine1                   A       192.168.1.100
machine2                   A       192.168.1.101

Création de db.1.168.192 :

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

$ORIGIN .
$TTL 3600       ; 1 hour
1.168.192.in-addr.arpa IN SOA  mondns.domaine1.univ-orleans.fr. administrateur.domaine1.univ-orleans.fr. (
                                47         ; serial
                                900        ; refresh (15 minutes)
                                600        ; retry (10 minutes)
                                86400      ; expire (1 day)
                                3600       ; minimum (1 hour)
                                )
                        NS      mondns.domaine1.univ-orleans.fr.
$ORIGIN 1.168.192.in-addr.arpa.
$TTL 21600      ; 6 hours
3                        PTR     mondns.domaine1.univ-orleans.fr.
100                     PTR     machine1.domaine1.univ-orleans.fr.
101                     PTR     machine2.domaine1.univ-orleans.fr.

On lance (ou relance) le démon :

# invoke-rc.d bind9 restart

Après quelques minutes (et si tout est OK dans /var/log/syslog et /chroot/named/var/log/) des fichiers .jnl doivent automatiquement se créer : db.1.168.192.jnl et db.domaine1.univ-orleans.fr.jnl !!

On peut aussi regarder dans les logs du DHCP (/var/log/syslog) sur la machine 192.168.1.4 :

1
2
3
4

May 19 12:08:20 mondhcp dhcpd: DHCPDISCOVER from 00:15:d5:59:02:ba via eth0
May 19 12:08:20 mondhcp dhcpd: DHCPOFFER on 192.168.1.102 to 00:15:d5:59:02:ba via eth0
May 19 12:08:20 mondhcp dhcpd: Added new forward map from machine3.domaine1.univ-orleans.fr. to 192.168.1.102
May 19 12:08:20 mondhcp dhcpd: added reverse map from 102.1.168.192.in-addr.arpa. to machine3.domaine1.univ-orleans.fr.

On peut constater que ça marche plutôt pas mal!

Un petit nslookup sur une machine ayant le resolv.conf configuré comme il faut avec le DNS que l’on vient de créer :

1
2
3
4
5

# nslookup 192.168.1.102
Server:         192.168.1.3
Address:        192.168.1.3#53
 
102.1.168.192.in-addr.arpa     name = machine3.domaine1.univ-orleans.fr.

Tout est ok !

Installation de bind9 :

maya:~# aptitude install bind9
Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances
Lecture des informations d'état... Fait
Lecture de l'information d'état étendu
Initialisation de l'état des paquets... Fait
Lecture des descriptions de tâches... Fait
Les NOUVEAUX paquets suivants vont être installés :
bind9 bind9utils{a}
0 paquets mis à jour, 2 nouvellement installés, 0 à enlever et 2 non mis à jour.
Il est nécessaire de télécharger 336ko d'archives. Après dépaquetage, 1028ko seront utilisés.
Voulez-vous continuer ? [Y/n/?] Y
Ãcriture de l'information d'état étendu... Fait
Prendre : 1 http://debian.univ-reims.fr lenny/main bind9utils 1:9.5.1.dfsg.P3-1+lenny1 [93,0kB]
Prendre : 2 http://debian.univ-reims.fr lenny/main bind9 1:9.5.1.dfsg.P3-1+lenny1 [243kB]
336ko téléchargés en 0s (1237ko/s)
Préconfiguration des paquets...
Sélection du paquet bind9utils précédemment désélectionné.
(Lecture de la base de données... 86592 fichiers et répertoires déjà installés.)
Dépaquetage de bind9utils (à partir de .../bind9utils_1%3a9.5.1.dfsg.P3-1+lenny1_i386.deb) ...
Sélection du paquet bind9 précédemment désélectionné.
Dépaquetage de bind9 (à partir de .../bind9_1%3a9.5.1.dfsg.P3-1+lenny1_i386.deb) ...
Traitement des actions différées (« triggers ») pour « man-db »...
Paramétrage de bind9utils (1:9.5.1.dfsg.P3-1+lenny1) ...
Paramétrage de bind9 (1:9.5.1.dfsg.P3-1+lenny1) ...
Ajout du groupe « bind » (identifiant 116)...
Terminé.
Ajout de l'utilisateur système « bind » (identifiant : 109)...
Ajout du nouvel utilisateur « bind » (identifiant : 109) avec le
groupe « bind »...
Répertoire personnel « /var/cache/bind » non créé.
wrote key file "/etc/bind/rndc.key"
#
Starting domain name service...: bind9.
Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances
Lecture des informations d'état... Fait
Lecture de l'information d'état étendu
Initialisation de l'état des paquets... Fait
Ãcriture de l'information d'état étendu... Fait
Lecture des descriptions de tâches... Fait

Chrootons bind9

On créé les répertoires de la prison :

# mkdir -p /chroot/named
# cd /chroot/named
# mkdir -p dev etc/namedb/ var/run etc/bind/

On associe les droits qu’il faut :

# chown root:root /chroot
# chmod 700 /chroot
# chown bind:bind /chroot/named
# chmod 700 /chroot/named
# chown bind:bind /chroot/named/var/run

On copie les fichiers de configuration au bon endroit :

# cp /etc/bind/named.conf /chroot/named/etc/
# cp /etc/bind/db.local /chroot/named/etc/namedb/db.local
# cp /etc/bind/db.root /chroot/named/etc/namedb/db.root

On termine l’isolation :

# mknod /chroot/named/dev/null c 1 3
# mknod /chroot/named/dev/random c 1 8

Editons le fichier /etc/default/bind9, la variable OPTIONS doit avoir la valeur suivante :

1

OPTIONS="-u bind -t /chroot/named -c /etc/named.conf"

On met à jour le fichier de configuration (/chroot/named/etc/named.conf) :

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48

acl reseauLocal {
192.168.1.0/24;
192.168.2.0/24;
};
options {
forward first;
forwarders {
// serveurs DNS vers lesquels on souhaite faire un transfert :
192.168.2.1;
192.168.2.2;
};
allow-query {reseauLocal;};
allow-recursion {reseauLocal;};
};
logging{
  channel simple_log {
    file "/var/log/named/bind.log" versions 3 size 5m;
    severity warning;
    print-time yes;
    print-severity yes;
    print-category yes;
  };
  category default{
    simple_log;
  };
};
 
zone "." {
        type hint;
        file "/etc/namedb/db.root";
};
 
zone "0.0.127.in-addr.arpa" in {
   type master;
   file "/etc/namedb/db.0.0.127";
};
 
zone "mondomaineAD.univ-orleans.fr" in {
   type slave;
   file "/etc/namedb/db.mondomaineAD.univ-orleans.fr";
   masters { 192.168.1.2; };
};
 
zone "1.168.192.in-addr.arpa" in {
   type slave;
   file "/etc/namedb/db.1.168.192";
   masters { 192.168.1.2; };
   };

Je n’utilise pas les fichiers named.conf.options et named.conf.local : tout est dans le named.conf pour plus de simplicité.

On relance BIND

# invoke-rc.d bind9 restart

machine-locale:$ ssh-keygen -t dsa
Generating public/private dsa key pair.
Enter file in which to save the key (/home/login/.ssh/id_dsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/login/.ssh/id_dsa.
Your public key has been saved in /home/login/.ssh/id_dsa.pub.
The key fingerprint is:
11:ee:bc:47:b0:c8:40:03:4f:a0:09:a4:71:39:93:93 login@machine-locale
The key's randomart image is:
+--[ DSA 1024]----+
|+.+*+   .        |
|o=E+ . . .       |
|+  +o   +        |
|     o + +       |
|      o o .      |
|         +       |
|        . .      |
|         .       |
|                 |
+-----------------+

Transfert du fichier contenant la clé publique sur la machine distante

machine-locale : cat ~/.ssh/id_dsa.pub | ssh login@machine-distante "cat - >> ~/.ssh/authorized_keys"

Aucun souci… la migration s’est très bien déroulée, voici donc les commandes utilisées…

Voici juste un aperçu de la version initiale de Samba sur le PDC (RedHat) :

smbd -V
Version 2.2.7-security-rollup-fix
rpm -qa | grep samba
samba-swat-2.2.7-5.8.0
samba-common-2.2.7-5.8.0
samba-client-2.2.7-5.8.0
samba-2.2.7-5.8.0

1) Sauvegarde du serveur avec Partimage (sauvegarde de toutes les partitions / /home /usr /var /tmp…)
2) Reconstitution de ce serveur sur une vielle becane pour tester la migration (On restaure les partitions sauf /home qui est énorme…)
-> pour restaurer une partition avec partimage il faut avoir une partition aussi grande (c’est à dire identique ou +) que l’originale… donc impossible de restaurer /home sur la vieille becane : il suffit de se bricoler un /home en recopiant quelques comptes pour les tests…)
on finalise à coup de chroot + grub-install…. voilà le serveur reconstitué!

Maintenant tout se passe sur le serveur de test!!!!

Il est conseillé de changer, dans smb.conf (sur la machine de test), la valeur de « WORKGROUP » afin qu’il n’y a pas de conflit avec le PDC qui est toujours en prod. De plus, il est bon d’intégrer au moins 2 machines à ce nouveau domaine… afin de ce rendre compte, après la migration, s’il n’y a pas d’incidence sur les PC du domaine…

3) Migration de Samba :

Installation de samba 3.0.28a:

cd /usr/local/install
export http_proxy=http://monsquid.mondomaine:3128
wget http://us3.samba.org/samba/ftp/stable/samba-3.0.28a.tar.gz
tar zxvf samba-3.0.28a.tar.gz
cd samba-3.0.28a/source
./configure --prefix=/usr/local/samba
make
/etc/init.d/smb stop
make install

On met les fichiers de conf à la bonne place :

cp /etc/samba/smbpasswd /usr/local/samba/lib/
cp /etc/samba/smb.conf /usr/local/samba/lib/
cp /etc/samba/secrets.tdb /usr/local/samba/private/
mkdir /usr/local/samba/lib/conf
cp /etc/samba/lib/* /usr/local/samba/lib/conf
mkdir /usr/local/samba/var/locks
cp /var/cache/samba/* /usr/local/samba/var/locks
cp /etc/samba/lib/users.map /usr/local/samba/lib

On ne supprime pas les anciens fichiers de configuration :

mv /etc/samba /etc/sambaold

Modification/adaptation du fichier smb.conf :

• changement des chemins de smbpasswd et de users.map…
• add user script devient add machine script
• rajout de l’attribut (si on veut intégrer des Vista sans changer le mode d’authentification par défaut) :
  client NTLMv2 auth = Yes

On teste smb.conf :

/usr/local/samba/bin/testparm

On configure la variable d’environnement $PATH :

echo "export PATH=$PATH:/usr/local/samba/bin:/usr/local/samba/sbin" >> /etc/profile
export PATH=$PATH:/usr/local/samba/bin:/usr/local/samba/sbin

Copie du script de démarrage /etc/init.d/smb :

#!/bin/sh
 
# Check that the Samba configuration file exists
[ -f /usr/local/samba/lib/smb.conf ] || exit 0
 
start(  )
{
       echo -n "Starting SMB services: "
       /usr/local/samba/sbin/smbd -D
       ERROR=$?
       echo
 
       echo -n "Starting NMB services: "
       /usr/local/samba/sbin/nmbd -D
       ERROR2=$?
       if [ $ERROR2 -ne 0 ]
       then
               ERROR=1
       fi
       echo
 
       return $ERROR
}
 
stop(  )
{
       echo -n "Shutting down SMB services: "
       /bin/kill -TERM -a smbd
       ERROR=$?
       echo
 
       echo -n "Shutting down NMB services: "
       /bin/kill -TERM -a nmbd
       ERROR2=$?
       if [ $ERROR2 -ne 0 ]
       then
               ERROR=1
       fi
       echo
 
       return $ERROR
}
 
case "$1" in
 start)
       start
       ;;
 stop)
       stop
       ;;
 *)
       echo "Usage: $0 {start|stop}"
       exit 1
esac
 
exit $?

On rend le script exécutable :

chmod +x /etc/init.d/smb

Dans /etc/rc.local on met :

1

/etc/init.d/smb start

Lancement :

/etc/init.d/smb start

Pour finir (on supprime les rpms) :

rpm -e samba-swat-2.2.7-5.8.0 samba-common-2.2.7-5.8.0 samba-client-2.2.7-5.8.0 samba-2.2.7-5.8.0

TADAAAA !!! C’est aussi simple que cela
L’authentification depuis les PC du domaine fonctionne comme avant… c’est tout bon ^^

La migration s’est donc bien passée sur le serveur de test… on peut donc le faire sur le serveur de prod !

On a 4 salles informatiques avec entre 15 et 20 postes clients Windows XP Pro SP2. L’idée est d’avoir un compte utilisateur unique pour tout le monde avec un profil obligatoire : non modifiable (les profils sont effacés du poste client lors de la déconnexion… donc il est re-téléchargé à l’ouverture de la session)

Sur le serveur :

aptitude install samba

groupadd machines

# comptes étudiants :
useradd --home "/dev/null" --shell "/bin/false" utilisateur
# comptes enseignants :
useradd --home "/dev/null" --shell "/bin/false" enseignant
# L'enseignant est dans le groupe utilisateur :
adduser enseignant utilisateur

mkdir /etc/samba/netlogon
mkdir /etc/samba/profile

…

Sur le client

Les postes clients seront clonés après avoir installé convenablement un poste qui nous servira de modèle.

- Installation de XP Pro
- Installation d’un antivirus
- Windows Update
- Installation des logiciels de base : OpenOffice, Archiveur…
- Base de registre :

Afin d’éviter que les profils restent enregistrés –>
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
« DeleteRoamingCache »=dword:00000001

- Intégration du poste au domaine
- Mise en place d’un utilisateur du domaine comme administrateur local.

…

#!/bin/sh
if [ $# = 0 ]; then
        echo "Usage : $0 nombre-de-secondes-avant-arret"
        exit 1
fi
echo "Ce programme eteind toutes les machines comprises entre 192.168.0.2 et 192.168.0.150.
echo "Vous avez 10 secondes pour faire CTRL-C."
sleep 10
for IP in $(nmap -sP 192.168.0.2-150 | grep "appears to be up" | cut
-d" " -f2);do
/usr/bin/net rpc SHUTDOWN -f -I $IP -U utilisateur_du_domaine%mot_de_passe -t $1
done

PS: Les postes Windows XP Pro (sp2) ont leur firewall Windows d’activé, et, l’exception « Partage de fichiers et d’imprimante » est cochée. De plus, dans les stratégies de sécurité locale des postes XP, j’autorise l’utilisateur « RESEAU » à « Forcer l’arrêt à partir d’un système distant ».

Les utilisateurs des postes XP sont de simples utilisateurs (groupe « utilisateurs »), ils n’ont donc pas la possibilité d’exécuter la commande shutdown de Windows afin d’éteindre un ordinateur distant (ils ont un message d’erreur…).

shell# lspci | grep -i wireless
02:03.0 Network controller: Intel Corporation PRO/Wireless 2200BG Network Connection (rev 05)

Téléchargement du firmware (non libre) ici :http://ipw2200.sourceforge.net/firmware.php (la version 3.0)
Et installation des fichiers dans /lib/firmware

Quelques outils indispensables :

shell# aptitude install wireless-tools
shell# aptitude install wpa_supplicant

Tout est chargé?

shell# lsmod | grep ipw2200
ipw2200               126084  0
ieee80211              29416  1 ipw2200
firmware_class          9600  2 pcmcia,ipw2200

Dans /etc/network/interfaces :

# The loopback network interface
auto lo
iface lo inet loopback

iface eth2 inet dhcp
pre-up /sbin/wpa_supplicant -i eth2 -c "/etc/wpa_supplicant.conf" -Dwext -B -w
post-down /sbin/wpa_cli -i eth2 terminate
auto eth2

Dans /etc/wpa_supplicant.conf :

# WPA-PSK/TKIP
ap_scan=1
dot11RSNAConfigSATimeout=10
update_config=1
ctrl_interface=/var/run/wpa_supplicant
network={
    ssid="canard"
    mode=managed
    priority=1
    scan_ssid=1
    key_mgmt=WPA-PSK
    proto=WPA2
    pairwise=TKIP
    group=TKIP
    key_mgmt=WPA-PSK
    psk="ma clef WPA2"
}

deb http://www.virtualbox.org/debian etch non-free

Importer et ajouter la clé :

# wget -q http://www.virtualbox.org/debian/innotek.asc -O- | apt-key add -

Mettre à jour et installer :

# aptitude update
# aptitude install virtualbox

Pour finir :

# adduser arnaud vboxusers
# chmod 666 /dev/vboxdrv

# aptitude install apache2 php5 libapache2-mod-php5 mysql-server php5-mysql

Pour sécuriser (un minimum) le serveur mysql, on s’y connecte (en chosissant la base de données préexsitante s’appelant « mysql ») :

# mysql mysql

On supprime les utilisateurs qui ne servent pas…Je garde seulement root@localhost et debian-sys-maint@localhost…

mysql> DELETE FROM user WHERE user='root' AND host<>'localhost';

Ensuite on met un mot de passe pour root!!!
1) Soit :

mysql> UPDATE user SET password=PASSWORD("mon_mot_de_passe") WHERE user='root';

2) ou bien :

mysql> SET PASSWORD FOR 'root'@'localhost' = PASSWORD('mon_mot_de_passe');
mysql> FLUSH PRIVILEGES;

Afin de gérer les bases de données mysql, on peut installer phpmyadmin afin de le faire via une interface web…

Installation de phpmyadmin :

Pré-requis :

# aptitude install mcrypt php5-mcrypt

On continue :
1) soit avec aptitude :

# aptitude install phpmyadmin

Et voilà !!! Pour vérifier que « phpmyadmin » fonctionne, il suffit de saisir l’url suivante dans un navigateur :

http://localhost/phpmyadmin

2) soit en téléchargeant l’archive .zip sur le site officiel de phpmyadmin. Ensuite, on peut l’extraire, au plus simple, à la racine du serveur web /var/www/, et, l’on renomme le répertoire extrait avec un nom plus court.. par exemple « phpmyadmin » (au lieu de PhpMyAdmin-versionX.Y.Z). Puis on édite le fichier /var/www/phpmyadmin/config.sample.inc.php et on donne une valeur à l’attribut « blowfish_secret ».

Par exemple :

$cfg['blowfish_secret'] = 'tourterellemagique'; /* YOU MUST FILL IN THIS FOR COOKIE AUTH! */

Enfin on renomme ce fichier en config.inc.php.. et voilà.. on peut tester phpmyadmin dans un navigateur..