Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédente | |||
stift [05/10/2007 14:07] – Paragraphe d'introduction afranke | stift [05/10/2007 14:07] (Version actuelle) – afranke | ||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
+ | ===== Installation au Stift ===== | ||
+ | Le //Stift// est un foyer d' | ||
+ | |||
+ | ==== Déjà fait ==== | ||
+ | |||
+ | === Système d' | ||
+ | |||
+ | Système en Debian 3.1 (Sarge). Comme on n' | ||
+ | |||
+ | Tous les fichiers de configuration (pour le moment, dans /boot et /etc) ont été mis sous le contrôle de CVS. //Si quelqu' | ||
+ | |||
+ | |||
+ | === Mode graphique === | ||
+ | |||
+ | / | ||
+ | |||
+ | |||
+ | === Partitionnement du serveur === | ||
+ | |||
+ | On a monté deux disques durs IDE de 120 Go. Chacun d'eux dispose de deux partitions primaires : | ||
+ | * une petite partition d' | ||
+ | * une énorme partition déclarée en volume physique LVM. | ||
+ | |||
+ | Ces partitions primaires sont répliquées sur les deux disques en RAID 1 sous les noms md0 et md1. Le secteur d' | ||
+ | |||
+ | Le groupe de volumes LVM se nomme grstift. Il est à son tour partitionné ainsi : | ||
+ | * une parttion / | ||
+ | * une partition /usr | ||
+ | * une partition /tmp | ||
+ | * une partition /var | ||
+ | * une très grosse partition /home | ||
+ | |||
+ | |||
+ | === Données des utilisateurs === | ||
+ | |||
+ | Sur le serveur, /home a la structure suivante : | ||
+ | * / | ||
+ | * / | ||
+ | * / | ||
+ | |||
+ | Il est prévu de supprimer les vieux fichiers de /home/recup et de / | ||
+ | |||
+ | Les noms de fichiers de /home qui comportent des caractères accentués sont encodés en UTF-8, par compatibilité avec les clients sous SUSE et aussi à cause du nombre d' | ||
+ | |||
+ | |||
+ | === DHCP === | ||
+ | |||
+ | Le serveur est connecté aux postes clients au moyen de l' | ||
+ | |||
+ | Le serveur attribue des adresses IP aux postes client dans deux plages d' | ||
+ | * 10.0.0.10 à 10.0.0.30 : adresses fixes attribuées en fonction de l' | ||
+ | * 10.0.0.100 à 10.0.0.200 : adresses également fixes attribuées aux ordinateur portables branchés en salle info, puis pour les ordinateurs des étudiant dans le foyer quand celui-ci sera câblé. | ||
+ | |||
+ | On demande à tous les portables des étudiants d' | ||
+ | |||
+ | Les journaux de DHCP sont stockés à part dans / | ||
+ | |||
+ | |||
+ | === Accès à Internet === | ||
+ | |||
+ | Le modem-routeur ADSL CBOX est connecté directement à l' | ||
+ | |||
+ | On accède à l' | ||
+ | |||
+ | Le serveur fait de la mascarade (tout comme le modem-routeur, | ||
+ | |||
+ | Le modem-routeur filtre pratiquement tout : chaque fois qu'on veut mettre en place un service ouvert vers l' | ||
+ | * SSH | ||
+ | * Web | ||
+ | * DNS | ||
+ | * SMTP | ||
+ | |||
+ | |||
+ | === Mandataire filtrant === | ||
+ | |||
+ | On a accéléré l' | ||
+ | |||
+ | On a coupé l' | ||
+ | |||
+ | |||
+ | === Courrier électronique === | ||
+ | |||
+ | Les étudiants n'ont pas de compte de courrier en réception. Ils sont censés travailler pour le moment en webmail. Les administrateurs peuvent recevoir du courrier au moyen d' | ||
+ | |||
+ | En émission, on intercepte au moyen d'une règle iptables les courriers émis depuis des portables. Ainsi, même s'ils sont configurés pour le serveur SMTP de leur fournisseur d' | ||
+ | |||
+ | |||
+ | === CUPS === | ||
+ | |||
+ | L' | ||
+ | |||
+ | Le serveur envoie ses données à l' | ||
+ | |||
+ | Les postes clients impriment via la file d' | ||
+ | |||
+ | |||
+ | === SSH === | ||
+ | |||
+ | On a interdit l' | ||
+ | |||
+ | |||
+ | === NFS === | ||
+ | |||
+ | Le répertoire /home du serveur est monté en /home2 sur les postes clients. | ||
+ | |||
+ | Sur chaque poste client, on dispose d'un compte administrateur nommé " | ||
+ | |||
+ | Les pensionnaires se connectent sous leur nom d' | ||
+ | |||
+ | |||
+ | === NIS === | ||
+ | |||
+ | Tous les utilisateurs ont un compte et un mot de passe. Ils doivent s' | ||
+ | |||
+ | Le domaine NIS s' | ||
+ | |||
+ | Tous les utilisateurs sont dans un seul groupe (" | ||
+ | |||
+ | L' | ||
+ | |||
+ | Webmin est installé sur le serveur pour permettre d' | ||
+ | |||
+ | |||
+ | === HTTP === | ||
+ | |||
+ | Le serveur web du Stift, sous Apache 2, ne comporte pour le moment qu'une seule [[http:// | ||
+ | |||
+ | |||
+ | === DNS === | ||
+ | |||
+ | On utilise bind. Le domaine le-stift.org a été acquis auprès de Gandi. Ce domaine, dédié aux étudiants, est disjoint du domaine lestift.org (sans tiret) qui sert pour le moment à l' | ||
+ | |||
+ | On a créé les alias " | ||
+ | |||
+ | |||
+ | === NTP === | ||
+ | |||
+ | On utilise openntpd sur le serveur. Le serveur récupère l' | ||
+ | |||
+ | |||
+ | === Onduleur === | ||
+ | |||
+ | Un onduleur de marque Belkin est connecté au port série /dev/ttyS1 (COM2:) du serveur. Il bipe, puis éteint le serveur proprement au bout d'un certain délai en cas de panne de courant. En principe il prévient aussi "admin chez le tiret stift point org" en cas de panne de courant (pas encore testé). | ||
+ | |||
+ | Pour gérer l' | ||
+ | |||
+ | |||
+ | === Configuration logicielle des clients === | ||
+ | |||
+ | SuSE 10.1 (téléchargé) sur tous les postes clients (en version 64 bits sur la machine blanche). | ||
+ | |||
+ | OpenOffice.org 2.0 et Firefox ont été installés partout. Kopete et Gaim servent de client de messagerie instantanée multi-protocole. Il y a beaucoup d' | ||
+ | |||
+ | FlashPlayer a aussi été installé partout (nécessaire pour le site de la CTS !). | ||
+ | |||
+ | Les clients sont installés en français, allemand, italien, espagnol et coréen. Chaque utilisateur choisit dans le centre de contrôle de KDE sa langue de travail. | ||
+ | |||
+ | ---- | ||
+ | |||
+ | ==== Pas encore fait ou à améliorer ==== | ||
+ | |||
+ | === Très important === | ||
+ | |||
+ | - Un des postes clients ne fonctionne plus (une réinstallation qui a raté). | ||
+ | - Journaliser toutes les connexions avec une règle iptables du genre : | ||
+ | -A FORWARD -i eth1 -o eth0 -m state --state NEW \ | ||
+ | -j LOG --log-prefix "NEW: " --log-level 6 | ||
+ | - Raccorder par VPN à l' | ||
+ | |||
+ | |||
+ | === Important === | ||
+ | |||
+ | - Définir quels équipements exactement sont protégés par l' | ||
+ | - Bloquer par pare-feu les ports P2P. | ||
+ | - Régler le son sur la nouvelle machine cliente (blanche). | ||
+ | - Java ne fonctionne pas correctement sur certaines machines. | ||
+ | - Comptes de courrier locaux en reception ? | ||
+ | Sujet encore en discussion. | ||
+ | - Mettre en place une solution de sauvegarde simple sur DVD. | ||
+ | |||
+ | |||
+ | === Secondaire === | ||
+ | |||
+ | - Installer le module Webmin consacré au filtrage (SquidGuard) sur le serveur. | ||
+ | - Remonter /usr en Read Only sur le serveur une fois que l'on a fini d'y installer des logiciels. | ||
+ | - Lancer la commande vgcfgbackup pour avoir une trace dans un fichier de la configuration LVM. | ||
+ | - Installer RealPlayer partout. | ||
+ | - Installer compiz sur la nouvelle machine (blanche). | ||
+ | - À la prochaine rentrée, passer tous les postes clients sous KUbuntu. Penser aussi à mettre les listes de SquidGuard à jour. | ||
+ | |||
+ | |||
+ | === Achats restants === | ||
+ | |||
+ | - Rallonges USB - entre 2 et 8 - pour amener le connecteur devant la machine. Affiner la technique pour savoir comment fixer tout en évitant le vol. | ||
+ | - Boîtier pour isoler le serveur des doigts des étudiants distraits. |