Authentification unifiée entre le monde Windows NT2000 et le

Document Sample
Authentification unifiée entre le monde Windows NT2000 et le Powered By Docstoc
					                    Authentification unifiée entre le monde
                      Windows NT/2000 et le monde Unix
TD Réseau DESSISA



                       Généralités
                       Authentification unifiée ?
                       Annuaires utilisateurs
                       Briques de base Unix
                       Briques de base Windows
     Généralités

                                    • Quelques rappels…
TD Réseau DESSISA



                                         – NIS (Network Information Service)
                                              • L’ancêtre de l’administration centralisée sous Unix
                                                  – Point faible souvent décrié : la sécurité 
                                                  – NIS+ était censé corriger cela (ainsi que l’absence de nommage
                                                    hiérarchique)… au prix d’une administration délicate
                                              • Serveur NIS
                                                  – Domaine NIS => un serveur maître… et éventuellement un ou
                                                    plusieurs esclave(s)
                                                  – Maps NIS (au format dbm), sous /var/yp/<nom_de_domaine> :
                                                    passwd, group, netgroup, hosts, rpc, services, networks,...etc.
                                                  – Vous savez déjà tout ça donc pas besoin de vous en dire plus…
                                                    d’autant que NIS est en passe d’être remplacé dans les années
                                                    qui viennent par LDAP
                    01/05/2010




                                 M. Le Tohic - ENSTB                                                                  2
     Généralités

                                         – LDAP (Lightweight Directory Access Protocol)
TD Réseau DESSISA


                                              • Protocole d’annuaire standard sur TCP/IP
                                                  –    Connexion, interrogation, mise à jour, …etc.
                                                  –    Version actuelle = LDAPv3
                                                  –    Client-serveur et serveur-serveur (referral & replication services)
                                                  –    URLs LDAP (e.g. ldap://ldap.worldcompany.com/…)
                                                  –    Support de SASL (Simple Authentication and Security Layer)
                                                  –    Support de SSL/TLS (i.e. LDAPs)
                                              • Un annuaire modèle 
                                                  – Structure hiérarchique, orienté objet, extensible
                                                  – Modèle d’information (schéma), modèle de nommage (DIT),
                                                    modèle fonctionnel, modèle de sécurité, modèle de duplication
                                                  – LDIF (LDAP Data Interchange Format) : format textuel pour les
                                                    imports et/ou exports de données
                    01/05/2010




                                 M. Le Tohic - ENSTB                                                                         3
     Généralités

                                              • Serveurs LDAP
TD Réseau DESSISA


                                                  –    OpenLDAP (GNU)
                                                  –    Sun ONE Directory Server (Sun)
                                                  –    Active Directory (Microsoft)
                                                  –    NDS eDirectory (Novell)
                                                  –    CP Directory Server (Critical Path)
                                                  –    … etc.
                                              • Clients LDAP
                                                  –    Tout navigateur Web via les URLs LDAP
                                                  –    Communicator (Netscape)
                                                  –    Outlook (Microsoft)
                                                  –    LDAP Browser/Editor (Java)
                                                  –    GQ (GTK)
                                                  –    … etc.
                    01/05/2010




                                 M. Le Tohic - ENSTB                                           4
     Authentification unifiée ?

                                    • SSO (Single Sign On ?)
TD Réseau DESSISA



                                         – Le rêve 
                                              • Solutions qui connaissent un regain d’intérêt...
                                                  – … avec la multiplication des services Internet et donc des
                                                    besoins d’authentification
                                                  – E.g. : Liberty Alliance (consortium), Passport (Microsoft), …etc.
                                              • « Profil bas » (Same Sign On)
                                                  – Un seul couple login/password par individu quel que soit le
                                                    système et/ou l’application concernés
                                                  – Comparable aux solutions de synchronisation de mots de passe
                                              • « Profil haut » (Single Sign On)
                                                  – Une seule authentification quel que soit les systèmes et/ou
                                                    applications concernés
                    01/05/2010




                                                  – Généralement couplées avec des solutions de type méta-
                                                    annuaire et serveur d’accès unifié
                                 M. Le Tohic - ENSTB                                                                    5
     Annuaires utilisateurs

                                    • Authentification système-réseau dans un
TD Réseau DESSISA


                                      contexte hétérogène
                                         – Le cauchemar 
                                              • Casse-tête des administrateurs système…
                                                  – Authentification des utilisateurs : par système ? Par
                                                    service/application ?
                                                  – Complexité du changement de mot de passe : souvent masquée
                                                    à l’utilisateur par un habillage Web (servant de frontal)
                                              • …décomposable (artificiellement) en deux problèmes
                                                distincts : authentification et autorisation
                                                  – Bien que les deux aspects soient souvent fusionnés (avec une
                                                    exception notable : Kerberos)
                    01/05/2010




                                 M. Le Tohic - ENSTB                                                               6
     Annuaires utilisateurs

                                              • Technologies plus ouvertes et plus versatiles côté Unix
TD Réseau DESSISA


                                                  – Cf. plus avant : PAM, NSS
                                                  – Implémentation d’annuaire Windows sur Unix (typiquement
                                                    Samba)
                                              • LDAP
                                                  – Type d’annuaire devenu incontournable
                                              • Méta-annuaires ou base de données ?
                                                  – Bases de données plus performantes dans l’absolue ?
                                                  – Fédération d’annuaires existant ou référentiel servant à alimenter
                                                    des annuaires (systèmes) ?
                                                  – Exemples : Novell DirXML, CriticalPath (idem), Sun ONE Meta
                                                    Directory Server, Microsoft Metadirectory Services, etc
                    01/05/2010




                                 M. Le Tohic - ENSTB                                                                     7
     Méta-annuaire
                                                         HR/Payroll      HR/Payroll    HR/Payroll
                                 Infrastructure            Asia          Americas       Europe        Application
                                                                                                        Métier
TD Réseau DESSISA



                                           E-mail/
                                          Calendar                                                  Base de données


                                    Annuaire / Réseaux                                              Web Application


                                                                      Novell eDirectory              E-Commerce
                                      Unix / Windows                      DirXML                    E-procurement

                                                                                                      Facturation


                                                 Sécurité                        Certificats
                                                               Acces distant
                                                                                    SSO
                    01/05/2010




                                                                                                      Source Novell
                                 M. Le Tohic - ENSTB                                                                  8
     Annuaires utilisateurs

                                         – Annuaires utilisateurs « standards »
TD Réseau DESSISA


                                              • Monde Windows NT : base SAM
                                                  – Encore très utilisé car la migration vers Active Directory est une
                                                    opération très lourde
                                              • Monde Windows 2000/2003 : Active Directory
                                                  – Rappel : Active Directory = annuaire LDAP + authentification
                                                    Kerberos (voire NTLM, pour compatibilité avec Windows NT)
                                              • Monde Unix : bases NIS
                                                  – Encore très utilisé car NIS+ n’a jamais vraiment pris
                                              • Monde Unix : annuaires LDAP
                                                  – Solution qui a le vent en poupe et qui pourrait remplacer NIS
                                              • Monde Unix (repris par Windows) : Kerberos
                                                  – Solution d’authentification sophistiquée et peu employée…
                                                    jusqu’à ce jour
                    01/05/2010




                                 M. Le Tohic - ENSTB                                                                     9
     Annuaires utilisateurs

                                         – Annuaire unique ?
TD Réseau DESSISA


                                              • Un compte unique par utilisateur
                                                  – NB : unicité toute relative… car vu du côté client ces solutions se
                                                    traduisent (le plus souvent) par la création de comptes locaux « à
                                                    la volée »
                                              • Implique l’installation d’un module d’authentification
                                                non-standard sur une partie des clients
                                                  – Appui sur serveur NIS Unix => NISGina sur client Windows
                                                    (solution datée) ; pGina/NIS sur client Windows (solution récente)
                                                  – Appui sur contrôleur de domaine Windows NT => pam_winbind
                                                    sur client Unix
                                                  – Appui sur machine Windows NT => pam_smb sur client Unix
                                                  – Appui sur serveur LDAP Unix : pGina/LDAP sur client Windows
                    01/05/2010




                                 M. Le Tohic - ENSTB                                                                      10
     Annuaire unique ? (ex. : pGina)
                                    Serveur Unix                        Serveur Windows
TD Réseau DESSISA


                                                       LDAP




                                            pam_ldap                       pGina



                                          Station Unix                  PC Windows
                    01/05/2010




                                      Authentification LDAP   Authentification NTLM
                                 M. Le Tohic - ENSTB                                      11
     Annuaire unique ? (ex. : winbind/Samba)
                                    Serveur Samba                            Serveur Windows
                                    /Unix                                         (PDC)
TD Réseau DESSISA


                                                       Bases             Base
                                                        NIS              SAM




                                          pam_winbind



                                          Station Unix                    PC Windows
                    01/05/2010




                                         Authentification NIS   Authentification NTLM
                                 M. Le Tohic - ENSTB                                      12
     Annuaires utilisateurs

                                         – Annuaire commun ?
TD Réseau DESSISA


                                              • Un compte par utilisateur mais avec des attributs
                                                Windows et des attributs Unix
                                                  – Appui sur un serveur Unix : Samba en PDC/OpenLDAP
                                                  – Appui sur un serveur Windows : Active Directory avec Serveur NIS
                                                    (SFU)

                                         – Multiple enregistrement ?
                                              • Synchronisation (de compte et/ou) de mot de passe
                                                  – Appui sur un serveur Unix : Samba en PDC + NIS
                                                  – Appui sur un serveur NIS/Unix et un (P)DC NT ou 2000/Windows
                                                    avec le module de synchronisation de mot de passe (SFU)
                                                  – Appui sur un serveur OpenLDAP/Unix et un serveur AD/Windows :
                                                    toutes sortes de solutions envisageables (e.g. LDAP Account
                                                    Synchronization Project… qui nécessite également un serveur
                    01/05/2010




                                                    OpenLDAP sur Windows 8-)

                                 M. Le Tohic - ENSTB                                                                   13
     Annuaire commun ? (ex. : PDC Samba/OpenLDAP)
                                    Serveur Unix                          Serveur Windows

                                                       Samba/
TD Réseau DESSISA


                                                       LDAP




                                            pam_ldap



                                          Station Unix                    PC Windows
                    01/05/2010




                                      Authentification LDAP     Authentification NTLM
                                 M. Le Tohic - ENSTB                                        14
     Multiple enregistrement ? (synchro AD-LDAP)
                                    Serveur Unix                                  Serveur Windows
                                                                                        200x (DC)
                                                              Synchronisation ?
TD Réseau DESSISA


                                                       LDAP                        AD




                                            pam_ldap
                                             pam_krb


                                          Station Unix                            PC Windows
                    01/05/2010




                                    Authentification LDAP              Authentification Kerberos
                                 M. Le Tohic - ENSTB                                                15
     Annuaires utilisateurs

                                         – Zoom : solutions pour synchroniser un domaine
TD Réseau DESSISA


                                           Windows NT et un domaine NIS
                                              • Solutions nécessitant un PDC
                                                  – Solutions du Domaine public : Passwd ou Gina
                                                  – Solutions commerciales : Services for Unix ou SFU (Microsoft),
                                                    P-Synch (M-Tech), InSync (Passgo), SecurPass-Sync (Proginet)
                                                  – Solutions « maisons » (e.g. celle de l’IFSIC)
                                              • Solutions ne nécessitant pas de PDC
                                                  – NisGina, pGina
                                              • Solutions implémentant les services d’authentification
                                                NT sur Unix
                                                  – AS/U (AT&T), TAS (Syntax), Samba (GNU)
                    01/05/2010




                                 M. Le Tohic - ENSTB                                                                 16
     Appui sur les NIS ?
                                       Authentification                               Authentification
                                            Unix                                         Windows
TD Réseau DESSISA



                                                                                oui                      non
                                       Domaine NIS ?                                  Domaine NT ?


                                                oui                                            oui

                                           Serveur
                                                          PDC/Unix                       PDC/NT
                                          NIS/Unix



                                                                     Synchro.             Gina
                                                                     Unix/NT           non-standard
                    01/05/2010




                                 M. Le Tohic - ENSTB                                                           17
     Briques de base Unix

                                    • NSS (Name Service Switch)
TD Réseau DESSISA



                                         – Pour une résolution « commutée »
                                              • Capacité à s’appuyer sur des sources multiples pour
                                                l’obtention d’informations diverses
                                                  – Informations recherchées : noms d ’hôtes, mots de passe
                                                    utilisateur, alias de messagerie, etc
                                                  – Résolution par fichiers plats, service dédié (NIS, etc)
                                                  – Apporte beaucoup de souplesse puisque les recherches se font
                                                    « séquentiellement » (eg. hosts: files nis dns)
                                              • Implémenté en standard sous Solaris et Linux
                    01/05/2010




                                 M. Le Tohic - ENSTB                                                               18
     Briques de base Unix

                                    • PAM (Pluggable Authentification Module)
TD Réseau DESSISA



                                         – Vers une authentification modulaire
                                              • Séparation entre application(s) et mécanismes
                                                d’authentification
                                                  – Applications nécessitant une authentification : login, ftp, telnet,
                                                    xdm, etc
                                                  – Mécanismes d’authentification : Unix standard, S/Key, OTP,
                                                    Kerberos, etc
                                                  – Apporte beaucoup de souplesse puisque les changements se
                                                    font « à la volée » (ie. sans recompilation)
                                              • Implémenté en standard sous Solaris et Linux
                                                  – Evolution d ’une configuration basée sur un fichier global
                                                    (pam.conf) à un ensemble de fichiers (situés dans pam.d)
                    01/05/2010




                                                  – Des portages existent orientés Windows : NI_PAM, PAM-SMB


                                 M. Le Tohic - ENSTB                                                                      19
     Briques de base Windows

                                    • GINA (Graphical Identification and
TD Réseau DESSISA


                                      Authentication)
                                         – Microsoft GINA
                                              • Module standard dédié à l’authentification sur les
                                                systèmes Windows
                                                  – Conçu comme un élément pouvant être « remplacé »

                                         – pGINA
                                              • Un module GINA tierce-partie (le plus abouti à ce jour)
                                                  – S’insère entre le Winlogon et MS GINA (possiblité de chaînage)
                                                  – Modulaire car implémenté sous forme de plugin permettant de
                                                    choisir entre différents modes d’authentification (NIS, LDAP, etc)
                    01/05/2010




                                 M. Le Tohic - ENSTB                                                                     20
     Briques de base Windows

                                    • SFU (Services For Unix)
TD Réseau DESSISA



                                         – Un « add-on » signé Microsoft
                                              • En fait, une concaténation de produits provenant
                                                d’autres éditeurs ;-)
                                                  – MKS, Intergraph, ActiveState, TPI
                                              • Version actuelle : 3.0
                                              • Ensemble de composants pour l’interopérabilité Unix-
                                                Windows NT-2000
                                                  –    Serveur NIS
                                                  –    Outil de migration NIS vers Active Directory
                                                  –    Serveur NFS, Client NFS et Passerelle NFS
                                                  –    Serveur PCNFSD
                    01/05/2010




                                                  –    Utilitaires Unix
                                                  –    …etc.

                                 M. Le Tohic - ENSTB                                                   21
     Briques de base Windows

                                         – Synchronisation des mots de passe
TD Réseau DESSISA


                                              • Un des éléments fournis par SFU
                                                  – Synchronisation de Windows vers Unix (par défaut) et de Unix
                                                    vers Windows
                                              • Nécessite un double enregistrement stricte
                                                  – Le changement de mot de passe est intercepté et « répliqué »
                    01/05/2010




                                 M. Le Tohic - ENSTB                                                               22
     Synchronisation via SFU ?
                                    Serveur Unix                Synchronisation        Serveur Windows
                                                               Windows vers Unix             (DC)
                                       ssod
TD Réseau DESSISA


                                                       Bases                       SAM
                                                        NIS                        ou AD    PW Sync
                                     pam_sso                                                 service
                                                                Synchronisation
                                                               Unix vers Windows




                                          Station Unix                              PC Windows
                    01/05/2010




                                         Authentification NIS             Authentification NTLM
                                 M. Le Tohic - ENSTB                                                   23
                        Installation automatique de
                             système via le réseau
TD Réseau DESSISA



                    Généralités
                    PXE
                    Installation robotisée vs. Clonage
                    Installation et protocoles réseaux
                    Annexe
     Généralités

                                    • Quelques rappels…
TD Réseau DESSISA



                                         – DHCP
                                              • Une évolution de BOOTP
                                                  – Sous Unix : fichier de configuration dhcpd.conf pour DHCP v. 2
                                                    ou v. 3 (ISC)
                                                  – Sous Windows 2000 : gestionnaire DHCP (utilitaire graphique)
                                              • Attribution dynamique d’adresse IP… entre autre
                                                  – Notion de bail et d’acquittement
                                                  – Permet une configuration automatique des paramètres TCP/IP
                                                    (masque de sous-réseau, adresse IP de serveur DNS, etc)
                                              • Options transmissibles… ou non
                                                  – Cf. ProxyDHCP
                    01/05/2010




                                 M. Le Tohic - ENSTB                                                                 25
     Généralités

                                         – TFTP
TD Réseau DESSISA


                                              • Un FTP « trivial »
                                                  – Protocole orienté transfert de fichiers de démarrage et/ou de
                                                    configuration… sans authentification (!)
                                                  – Ports utilisés : UDP 69 + port « éphémère »
                                                  – Support de NBP (Network Bootstrap Program) avec la révision 2
                                              • MTFTP
                                                  – Multicast TFTP (cf. RFC 2090)
                                                  – Pas encore largement supporté

                                         – NFS
                                              • Système de fichiers distribués
                                                  – Standard en environnement Unix, appui sur les RPC, etc
                                                  – Là encore, pas besoin de vous en dire plus, j’imagine ?-)
                    01/05/2010




                                 M. Le Tohic - ENSTB                                                                26
     PXE

                                    • PXE (Preboot eXecution Environnement)
TD Réseau DESSISA



                                         – Standard d’origine Intel
                                              • Initialisation réseau pour PC
                                                  – Spécifications  Intel PXE Specification (version actuelle 2.1)
                                                  – Fait partie des recommandations PC99 (et suivantes) & Wired for
                                                    Management (WfM v2.0)
                                                  – ROM optionnelle « monolithique » au départ puis (pour partie)
                                                    dans le BIOS des PC récents et/ou pour partie sur l’adaptateur
                                                    réseau (PXE Split ROM Architecture)

                                         – NBP (Network Boot Program)
                                              • Programme capable d’utiliser les API PXE pour
                                                localiser, télécharger et exécuter un système donné
                                                  – Basiquement => équivalent à un boot loader (e.g. pxelinux)
                    01/05/2010




                                 M. Le Tohic - ENSTB                                                                  27
     Ensemble d’API PXE
TD Réseau DESSISA


                                                               Network Bootstrap Programs



                                                              Pre-Boot     TFTP   UDP
                                                                                         UNDI
                                                       PXE       API        API   API
                                                                                          API


                                                       BIOS              Network Interface HW
                    01/05/2010




                                                                                            (Source Intel)

                                 M. Le Tohic - ENSTB                                                         28
     PXE

                                         – ROM PXE
TD Réseau DESSISA


                                              • Fournie un ensemble d’API
                                                  – Plusieurs versions courantes : 0.99 (datée), 2.0, 2.2
                                              • Implémentation « hard »
                                                  – Disponible (en option) sur beaucoup de cartes réseaux modernes
                                                    voire directement intégrée sur carte-mère (e.g. touche F12)
                                                  – Produits : cartes réseaux Intel, 3Com, …etc.
                                                  – Autres produits : emBoot, Bootix, Nilo (GPL)
                                              • Implémentation « soft »
                                                  – Programme émulant une ROM PXE chargeable depuis une
                                                    disquette (typiquement)
                                                  – Produits : Etherboot (GPL), …etc.
                                              • MBA (Managed PC Boot Agent)
                    01/05/2010




                                                  – Implémentation très répandue de boot-rom supportant PXE
                                                    (entre autre)

                                 M. Le Tohic - ENSTB                                                                 29
     MBA
TD Réseau DESSISA   01/05/2010




                                                       (Source 3Com)

                                 M. Le Tohic - ENSTB                   30
     PXE

                                         – Logiciel PXE serveur
TD Réseau DESSISA


                                              • Extension au protocole DHCP
                                                  – Facultatif… mais offre des avantages par rapport à une simple
                                                    solution DHCP + TFTP (en particulier : évite d’avoir à intervenir
                                                    sur le serveur DHCP, fournit un menu à choix multiples, …etc.
                                                  – Produits : PDK (Intel), Boot Services (3Com), …etc.
                                              • Service ProxyDHCP
                                                  – Service fournissant des informations non transmissibles ou non
                                                    transmises par un serveur DHCP standard (fichier bootptab ?)
                                                  – Présent sur le même serveur que le service DHCP… ou hébergé
                                                    sur un autre serveur
                                              • Service BootServer
                                                  – Service fournissant au client « son » fichier de démarrage pour
                                                    une configuration donnée (via TFTP ou MTFTP)
                    01/05/2010




                                                  – Présent sur le même serveur que le service ProxyDHCP… ou
                                                    hébergé sur un autre serveur (pour équilibrage de charge)
                                 M. Le Tohic - ENSTB                                                                    31
     PDK Intel

                                     (M)TFTP
                                      Service
TD Réseau DESSISA


                                                                       Version  0.99
                                                                          Proxy +
                                                         Service    miniBootServer (file.0)
                                                       ProxyDHCP
                                                                         Version 2.0
                                                                           Proxy
                                        PXE
                                       Service
                                                        Service
                                                                            (file.1)
                                                       BootServer
                    01/05/2010




                                 M. Le Tohic - ENSTB                                          32
     PXE

                                         – Mise en œuvre
TD Réseau DESSISA


                                              • Utilisations typiques du « boot réseau »
                                                  – (re-)Génération de machines en libre-service (salles de TP,
                                                    cyber-café, …etc.)
                                                  – Installation de cluster de PC
                                                  – Réparation d’urgence (disque endommagé, virus, …etc.)
                                                  – Transformation de PC en clients légers
                                              • Avec ou sans serveur « de boot » (i.e. PXE) ?
                                                  – La plupart des implémentations (y compris celles signées Intel)
                                                    peuvent s’accommoder d’une simple configuration basée sur
                                                    « un » serveur DHCP + TFTP ; dans ce cas le fonctionnement
                                                    s’apparente au mode TCP/IP
                    01/05/2010




                                 M. Le Tohic - ENSTB                                                                  33
     Mode TCP/IP versus WfM (PXE)
TD Réseau DESSISA   01/05/2010




                                 M. Le Tohic - ENSTB   34
     Installation robotisée vs. Clonage

                                    • Gestion de parc micro-informatique
TD Réseau DESSISA



                                         – Un sujet souvent négligé… à tort !
                                              • Clients « lourds » vs. clients « légers »
                                         – Client lourd  exécution locale
                                              • Les applications s’exécutent localement
                                                  – … ce qui ne veut pas forcément dire qu’elles sont stockées en
                                                    local (ie. téléchargement ou autre)
                                                  – … ce qui ne veut pas forcément dire qu’elles sont natives (ie.
                                                    émulation ou autre)

                                         – Client léger  accès aux applications
                                              • Les applications s’exécutent sur un (des) serveur(s) et
                                                seul l’affichage est pris en charge par le client
                    01/05/2010




                                                  – … ce qui ne veut pas forcément dire qu’elles ne sont pas natives

                                 M. Le Tohic - ENSTB                                                                   35
     Installation robotisée vs. Clonage

                                    • Déploiement des clients lourds par…
TD Réseau DESSISA



                                         – Installation manuelle du système d’exploitation
                                              • Sans commentaire :-(
                                         – Installation robotisée
                                              • Installation du système et de certaines applications à
                                                l’aide de script (i.e. sans interaction)
                                                  – Produits : Kickstart (pour Linux), JumpStart (pour Solaris),
                                                    Unattended Installation (pour Windows NT-2000), etc
                                              • Chargement à partir d’une distribution serveur (en
                                                général) ou d’un cdrom
                                                  – Peu souhaitable… sauf en cas de parc de PC hétérogènes
                    01/05/2010




                                 M. Le Tohic - ENSTB                                                               36
     Installation robotisée vs. Clonage

                                         – Clonage
TD Réseau DESSISA


                                              • « Image » d’une machine de référence
                                                  – Contenu intégral de disque/de partition (système d’exploitation et
                                                    applications éventuelles) stocké dans un fichier image
                                                  – Produits : Ghost (Symantec), eXpress (Altiris), ImageCast
                                                    (StorageSoft), DriveImage Pro (PowerQuest), etc
                                              • Outils plutôt orientés Windows
                                                  – Application serveur (de diffusion) tournant sous Windows
                                                  – Support de FAT et NTFS (pour le moins)… mais également de
                                                    ext2 (voire de ext3)
                                              • Outils performants… sur un réseau performant
                                                  – Fonctionnement en multicast
                                                  – Solution adaptée à un parc homogène
                    01/05/2010




                                 M. Le Tohic - ENSTB                                                                     37
     Installation et protocoles réseaux

                                    • Du clients lourd au client mi-lourd ?
TD Réseau DESSISA



                                         – Appui sur la technologie PXE
                                              • Boot réseau
                                         – Approches diverses dans ce qui suit…
                                              • NB : frontières floues
                                         – PC sans disque dur (diskless)
                                              • Montage complet du système de fichier (via NFS)
                                                  – Sollicite énormément le réseau
                                                  – Exemple : NFSRoot (Linux), LTSP (Linux)
                                              • Système de fichier en mémoire (ramdisk)
                                                  – Approche type Terminal (typiquement : utilisation de mini-
                    01/05/2010




                                                    distribution Linux)
                                                  – Exemples : ThinStation, DietPC, PXES

                                 M. Le Tohic - ENSTB                                                             38
     Installation et protocoles réseaux

                                         – PC avec disque dur (remote-boot)
TD Réseau DESSISA


                                              • Téléchargement du système (voire des applications)
                                                sur disque via le réseau puis boot local
                                                  – Attention à la taille du système ;-)
                                                  – Les solutions les plus sophistiquées gèrent la mise en cache d’
                                                    « image(s) disque(s) »… sur le disque dur pour minimiser les
                                                    transferts réseaux volumineux
                                                  – Exemple : BpBatch/Rembo (Rembo Technology)

                                         – PC avec disque dur (remote-install)
                                              • Installation initiale ou non avec (au besoin) l’appui d’un
                                                serveur de fichiers (SMB ou NFS, suivant le cas)
                                                  – Equivalent à du remote-boot lorsque couplé à un outil de clonage
                                                  – Exemples : RIS pour Windows NT/2000 (Microsoft), NAIS pour
                    01/05/2010




                                                    Linux (GPL), …etc.


                                 M. Le Tohic - ENSTB                                                                   39
     Installation et protocoles réseaux

                                         – Zoom : solution pour installer Linux via le réseau
TD Réseau DESSISA


                                              • Solution de type « installation robotisée »
                                                  – Utilisation de PXElinux comme bootloader (i.e. fichier pxelinux.0
                                                    qui fait partie de SysLinux)
                                                  – Utilisation du serveur DHCP de l’ISC
                                                  – Utilisation d’un serveur TFTP compatible avec PXElinux (e.g.
                                                    tftpd-hpa, atftpd, …etc.)
                                                  – Utilisation des fichiers de démarrage réseaux fournis par RedHat
                                                    (Kernel et initial RAM disk)
                                                  – Utilisation de Kickstart pour scripter l’installation
                                              • Solution de type « clonage »
                                                  – Je vous montrerai cela… en TP 
                    01/05/2010




                                 M. Le Tohic - ENSTB                                                                    40
     PC « remote-install » (Linux via PXE et Kickstart)
                                    Serveur DHCP                               Serveur TFTP (/
                                                                                 ProxyDHCP)
TD Réseau DESSISA




                                 Serveur NFS

                                                                         Bootstrap
                                                                          Install


                                                             PC
                    01/05/2010




                                                       NFS        DHCP           TFTP
                                 M. Le Tohic - ENSTB                                         41
     Annexe

                                    • KickStart
TD Réseau DESSISA



                                         – Installation (ou mise à jour) scriptée de Linux
                                              • 3 sections principales dans le fichier de configuration
                                                  – Informations systèmes (langue/clavier, configuration réseau,
                                                    partitionnement, etc)
                                                  – « Packages » à installer : individuellement ou par groupe (et dans
                                                    ce cas ils commencent par @)
                                                  – Commandes (ou script) de post-configuration
                                              • Emplacement du fichier
                                                  – Sur disquette, disque dur, cdrom, montage NFS, etc
                                                  – En cas d’appui sur DHCP (et sans autre précision) un fichier de
                                                    nom w.x.y.z-Kickstart (où w.x.y.z est l’adresse IP du client) sera
                                                    recherché dans le répertoire /Kickstart
                    01/05/2010




                                 M. Le Tohic - ENSTB                                                                     42

				
DOCUMENT INFO
Shared By:
Stats:
views:82
posted:5/1/2010
language:French
pages:42