Documente Academic
Documente Profesional
Documente Cultură
o
o
I. Prsentation
II. Configuration
A. Routage inter-vlan et relais DHCP
B. Attribuer ladresse du serveur DHCP de rfrence
I. Prsentation
Nous allons voir comment configurer un relais DHCP sur un switch HP ProCurve. Pour rappel et
pour faire simple, un serveur DHCP fournit une adresse IP des clients (PC, tablette,
smartphone). Lagent relais, lui, est charg dintercepter les messages de diffusion contenant
les demandes dadresses DHCP client et les transmet un serveur DHCP dun autre sous
rseau.
II. Configuration
Dans un premier temps, il faut activer les services. Ensuite, il faut indiquer chaque vlan (=
rseau local virtuel) ladresse IP du serveur DHCP.
Saisir cette commande pour activer lagent relais DHCP sur le switch HP
NOM_SWITCH(config)# dhcp-relay
Enregistrer la configuration :
NOM_SWITCH(config)# wr m
Cette commande permet de dfinir ladresse IP du serveur DHCP. Pour mon rseau, le serveur
DHCP a comme adresse 192.168.30.5 .
NOM_SWITCH(vlan-10)# ip helper-address 192.168.30.5
Enregistrer la configuration :
NOM_SWITCH(config)# wr m
Il faut renouveler les commandes de ltape B sur tous les vlans o les clients ont besoin
dune adresse IP.
o
o
o
o
o
o
o
I. Prsentation
II. Installation du serveur DHCP
A. Configuration du serveur DHCP
B. Test du DHCP
III. Adressage fixe avec les adresses mac
A. Configuration
B. Test de ladressage fixe
IV. DHCP Relais
A. Installation du DHCP relais
B. Configuration du relais DHCP
C. Test du DHCP Relais
I. Prsentation
Un serveur DHCP permet de fournir automatiquement une configuration IP une machine,
par exemple des ordinateurs, des smartphones, des imprimantes rseau, en gros tous ceux qui
peut tre connect un rseau. Cette configuration IP est compose :
dune adresse IP
dun masque de rseau
dune passerelle
dune adresse de DNS
On va indiquer quelle interface rseau nous utiliserons, si votre serveur DHCP nest pas sur un
routeur, il y a alors normalement quune seule carte rseau qui est eth0 :
INTERFACES="eth0"
On enregistre et on ferme ce fichier. Nous avons maintenant un dernier fichier configurer, cest
dans celui-l que nous indiquerons les configurations IP fournir :
nano /etc/dhcp/dhcpd.conf
Dans ce fichier on peut trouver beaucoup dexplications et des exemples en anglais. On copie le
texte ci-dessous tout la fin du fichier :
# Notre configuration pour le rseau 172.18.0.0
subnet 172.18.0.0 netmask 255.255.0.0 {
range 172.18.0.20 172.18.0.30;
option domain-name-servers 8.8.8.8;
option domain-name "reseau.lan";
option routers 172.18.0.1;
option broadcast-address 172.18.255.255;
default-lease-time 600;
max-lease-time 7200;
}
La quatrime ligne, on indique le DNS. Ici nayant pas de DNS, jai mis ladresse dun
DNS de Google.
Et enfin les 2 dernires lignes, sont pour le bail. On indique le bail par dfaut et le bail
maximum. Ce bail est exprim en secondes.
On sauvegarde ce fichier et on le quitte puis on redmarre le service serveur DHCP :
B. Test du DHCP
Pour le test, on va simplement dmarrer une machine Debian. On va ensuite dire la machine de
se
mettre
en
DHCP
plutt
que
dutiliser
une
IP
fixe.
Pour cela on va dans le fichier de configuration des cartes rseaux :
nano /etc/network/interfaces
On fait un ifconfig afin davoir les informations sur les cartes. On voit maintenant quon a bien
dans eth0 :
Une adresse IP dans le rang quon a dfini (logiquement la premire adresse, donc dans
mon cas : 172.18.0.20).
Une adresse de broadcast en 172.18.255.255.
Un masque en 255.255.0.0.
On peut pinger la passerelle qui est en 172.18.0.1.Et pour finir, on peut galement pinger le site
www.it-connect.fr.
A. Configuration
Pour raliser cela, il suffit juste daller dans le fichier de configuration du serveur DHCP :
nano /etc/dhcp/dhcpd.conf
Les explications:
ne adresse IP dans le rang quon a dfini (logiquement la premire adresse, donc dans
mon cas : 10.0.0.40).
Une adresse de broadcast en 10.255.255.255.
Un masque en 255.0.0.0.
On peut pinger la passerelle qui est en 10.0.0.1. Et pour finir, on peut galement pinger le
site www.it-connect.fr .
Quun serveur DHCP peut fournir toujours la mme adresse IP une machine grce
son adresse mac.
Quun serveur DHCP peut fournir des configurations IP des machines qui sont dans des
rseaux diffrents du serveur.
Pour apprendre comment mettre en redondance deux serveurs DHCP sur Linux, cest
ici : redondance de serveurs DHCP sous Linux
I. Prsentation
II. Activer cette option
III. Activation sur plusieurs machines
I. Prsentation
Avant de commencer, je tiens prciser que cette option est disponible depuis Windows
Server 2012.
Le service DHCP est omniprsent dans les rseaux dentreprises afin de distribuer une
configuration rseau aux postes clients et mme aux serveurs. Gnralement, plusieurs serveurs
sont prsents dans le but dassurer la disponibilit et la stabilit du service. Ces serveurs
greront des tendues communes et se synchroniseront pour viter tout doublon.
Imaginez maintenant quun serveur DHCP autre que les vtres vient se connecter votre rseau,
il pourra distribuer des mauvaises configurations IP et cela perturbera fortement votre rseau
Dautant plus que selon le fonctionnement du protocole DHCP, un client ngocie avec le premier
serveur DHCP qui lui rpondra donc il suffit que le serveur DHCP malicieux rponde avant le
vtre et le tour est jou.
Par ailleurs, on peut imaginer un environnement hors production o se situe une machine
virtuelle de test excutant un serveur DHCP, si celle-ci se retrouve malencontreusement
connecte au rseau, les perturbations auront lieu galement.
Pour cela, Hyper-V intgre une fonctionnalit nomme DHCP Guard , en franais
Protection DHCP , qui lorsquelle est active sur une machine virtuelle lempche denvoyer
des trames de type DHCP Offer , et donc de faire une proposition de configuration IP un
client potentiel.
Comment activer cette option ? Peut-on lactiver par dfaut ? Peut-on la configurer
rapidement sur plusieurs machines virtuelles ? Ce tutoriel rpondra ces questions, allez
on commence !
Il ne reste plus qu recommencer lopration sur les autres machines virtuelles sur lesquelles
vous souhaitez activer cette protection.
Note : Pour activer par dfaut le DHCP Guard, vous devez spcifier ce paramtre dans un
template lorsque vous utilisez System Center Virtual Machine Manager.
Ensuite, on va commencer par lister lensemble des machines virtuelles rfrences dans
linventaire de notre serveur Hyper-V, en ajoutant une colonne qui permet de savoir ltat du
paramtre DHCP Guard.
Get-VMNetworkAdapter * | ft VMName,Name,DhcpGuard
On remarque sur la copie dcran ci-dessous, que, parmi mes 3 VMs une seule dispose dune
protection DHCP active (SRV-01).
Pour activer le DHCP Guard sur lensemble des machines virtuelles on utilisera (cela peut tre
plus intressant de lactiver partout et de dsactiver loption sur les quelques serveurs DHCP de
votre entreprise) :
Set-VMNetworkAdapter * -DhcpGuard On
Si vous souhaitez viser uniquement une ou plusieurs machines virtuelles, remplacez le signe
* par le nom de la VM. Dans le cas o il y a plusieurs noms prciser, sparez-les par une
virgule.
I. Prsentation
II. Les commandlets
III. Procdure
I. Prsentation
Pour faire suite mon tutoriel sur linstallation du rle DHCP via PowerShell, continuons avec cet
article qui explique comme configurer une tendue DHCP en ligne de commande.
On appelle galement une tendue un scope .
III. Procdure
Commenons
par
crer
une
tendue
nomme
Scope1
plage 192.168.1.50 192.168.1.100, sur un masque 255.255.255.0.
ayant
pour
Par contre, je souhaite exclure 5 adresses de cette tendue : 192.168.1.70 192.168.1.75, ce qui
donnera :
Add-DHCPServerV4ExclusionRange -ScopeId 192.168.1.0 -StartRange 192.168.1.70 -EndRange
192.168.1.75
On fait la mme chose avec le DNS correspondant loption n6. Pour ma part, je prend comme
adresse de DNS192.168.1.253.
Set-DhcpServerv4OptionDefinition -OptionId 6 -DefaultValue 192.168.1.253
Note : Si vous avez besoin de dfinir des options supplmentaires, vous pouvez lister les options
disponibles grce cette commande : Get-DhcpServerv4OptionDefinition
Enfin, pour finir, on active ltendue que nous venons de configurer :
Set-DhcpServerv4Scope -ScopeId 172.16.0 -Name "Scope1" -State Active
Note : Pour les adaptes de netsh, il est toujours possible de passer par son intermdiaire pour la
configuration. Vous obtiendrez de laide grce cette commande : netsh dhcp /?
Afin de vrifier que la configuration est bien prise en compte, on peut lister les scopes DHCP du
serveur :
Get-DhcpServerv4Scope
Si vous avez besoin de plus dinformations, aidez-vous des commandes obtenu via :
Get-Command *dhcp*
I. Prsentation
II. ADM : Configurer la synchronisation NTP
III. ADM : Configurer la double authentification
I. Prsentation
Depuis la version 2.6.3 de lADM sortie il y a quelques jours, Asustor propose lauthentification
en 2 tapes pour se connecter linterface dadministration de lADM. Le principe cest
quen plus du mot de passe habituel, vous devrez saisir un code phmre 6 chiffres fournis
par le service Google Authenticator et faisant office de deuxime phase dauthentification.
Ce code phmre est gnr par rapport la cl utilisateur qui vous est attribue, et il
change toutes les 30 secondes ! Do lutilit ce que le NAS et le smartphone soient bien
lheure, pour que le code fourni par le smartphone soit accept par le NAS.
Dans ce tutoriel, nous allons voir comment configurer cette fonctionnalit sur un compte
utilisateur.
Puisque nous sommes en France et quil y a lheure dt, il va falloir effectuer la configuration
galement. Pour cela, dans longlet Fuseau Horaire activez la fonction heure dt avec un
ajustement automatique, ce qui permettra au NAS de se mettre jour tout seul comme un grand.
Dsormais, il va falloir passer sur le smartphone, Android dans mon cas et installer lapplication
Google Authenticator . Ensuite, vous devez soit scanner le code QR affich dans lassistant,
soit fonctionner par code, cest dailleurs ce que jai choisi.
Depuis votre smartphone, dans lapplication Google Authenticator, accdez au menu en haut
droite puis appuyez sur Configurer un compte .
Choisissez Saisir la cl fournie (ou Scanner un code-barres , mais il faudra installer une
application pour lire les codes QR). Vous devrez alors saisir les informations fournies dans
lassistant sur lADM.
Si vous saisissez les bonnes informations, ce dont je ne doute pas, le compte doit se valider et
votre NAS apparatra dans lapplication. Le compte rebours sur la droite vous indique le temps
de validit restant du code actuellement affich sur lcran du smartphone. Sans plus attendre,
testons notre configuration
Alors quau niveau du NAS, vous tes normalement la fin du processus de configuration,
cliquez sur Finir .
Tiens tiens, le mot de passe est pass, mais on me demande un code (Asustor corrigera
probablement le Undefined par un mot plus explicite dans une mise jour future). Rendezvous sur lapplication pour obtenir le code est saisissez-le pour finaliser lauthentification
Note : Pour le moment, il nest pas possible de dfinir un ordinateur dans une liste de clients de
confiance pour viter de saisir un code chaque fois.
Voil, la configuration est oprationnelle ! Sachez que vous pouvez tout moment dsactiver la
fonctionnalit dans les paramtres de votre compte utilisateur. Pour finir, voici une note
importante :
Note : Si vous navez pas votre smartphone avec vous, vous naurez pas de code et donc vous
ne pourrez pas vous connecter votre NAS ! Je prconise de garder, par scurit, un compte
administrateur sans double authentification avec un mot de passe trs scuris, vous savez la
fameuse ceinture bretelles , elle est l.
o
o
o
o
o
I. Prsentation
II. Les droits sous Linux
A.Visualisation
B. Signification des droits
III Modifier les droits
A. La commande Change Mod (chmod)
B. Utilisations des valeurs octales
C. Exemples
IV. Conclusion
I. Prsentation
Pour les systmes dexploitation multi-utilisateurs tel que Linux il est primordial de mettre en place
une politique de permissions contrlant les actions autorises sur les fichiers, rpertoires et sur
lensemble des ressources du systme.
Sous Linux les droits sappliquent sur les fichiers en fonction de 3 identits : le propritaire du
fichier, le groupe (qui contient un ou plusieurs utilisateurs) et les autres utilisateurs qui ne sont
ni propritaires, ni prsents dans le groupe.
Les droits sont propres chaque fichier et sont reprsents par 3 sries de 3 lettres. Ces
lettres peuvent prendre comme valeurs r, w, x ainsi que s et t qui peuvent parfois tre en
majuscule S, T.
Ici nous avons le dossier /local appartenant root qui possde les droits rwx. Le groupe
propritaire de ce dossier est staff et possde quant lui les droits rws. Tous
les autres utilisateurs ont seulement les droits r-x, ici le tiret indique labsence du droit w.
Le but est que le fichier puisse tre stock en mmoire pour pouvoir tre relanc plus
rapidement.
2 Pour les dossiers
s : SetGID Tout fichier cre dans ce dossier hritera du groupe du dossier parent. Les
sous-dossiers cres hriteront quant eux du droit setGID
Exemples : /usr/local, /usr/local/bin, /usr/local/lib
drwxrwsr-x 13 root staf 4096 sept. 1 13:04 local
Les options u, g, o et a spcifient lattribution des droits pour le propritaire (u : user), le groupe
(g : group), les autres utilisateurs (o : other). Loption a : all permet dappliquer les droits
tous les utilisateurs. Les symboles +, , =indiquent lajout dun droit, le retrait et enfin lgalit.
chmod ugo=rwx fichier
est quivalent :
chmod a=rwx fichier
Le X majuscule permet, dans le cas dune attribution rcursive des droits (option -R), de
spcifier uniquement le droit dexcution sur les dossiers contenus dans un rpertoire sans
toucher aux autres fichiers.
chmod -R g=rwX dossier/
Lorsque les droits s et t sont activs ils viennent se positionner sur les droits dexcutions :
Important : Lorsque les droits s ou t sont appliqus le droit x nest plus visible.
Si le droit x est absent alors les droits setUID, setGID, stickyBit seront en majuscule
Si le droit x est prsent alors les droits setUID, setGID, stickyBit seront en minuscule
Vrification :
chmod
2744
fichier1
&
ls
-l
-rwxr-Sr-1
aline
aline
0
-rwxr-sr-- 1 aline aline 0 sept. 23 16:58 fichier2
chmod
sept.
2754
23
16:58
fichier2
fichier
fichier1
C. Exemples
Les commandes suivantes sont quivalentes :
chmod
777
chmod
ugo=rwx
//rsultat
de
ls
-rwxrwxrwx 1 user group 0 sept. 8 09:54 fichier
chmod
600
chmod
u=rw
fichier
&
chmod
//rsultat
de
ls
-rw------- 1 user group 0 sept. 8 09:56 fichier
chmod
42
chmod
u=fichier
&
chmod
g=r
fichier
&
//rsultat
de
ls
----r---w- 1 user group 0 sept. 8 09:59 fichier
chmod
1337
chmod
ug=wx
fichier
&
chmod
//rsultat
de
ls
--wx-wxrwt 1 user group 0 sept. 8 10:01 fichier
chmod
2016
chmod
g=xs
fichier
&
chmod
//rsultat
de
ls
------srw- 1 user group 0 sept. 8 10:03 fichier
chmod
7000
chmod
//rsultat
de
ls
---S--S--T 1 user group 0 sept. 8 10:05 fichier
fichier
fichier
:
-l
fichier
fichier
:
go=-l
chmod
-l
o=rwxt
-l
o=w
fichier
fichier
:
fichier
fichier
:
-l
fichier
fichier
:
-l
fichier
ugo=st
:
o=rw
Il est parfois bien plus rapide dutiliser les valeurs octales mais elles restent nanmoins plus
difficiles apprhender.
IV. Conclusion
La gestion des droits sur Linux est simple et permet davoir une bonne matrise du systme.
Cependant cette simplicit ne permet pas toujours de couvrir lensemble des besoins en
entreprise. Chaque fichier appartient en effet un utilisateur et un groupe unique, ce qui peut tre
problmatique et restrictif.
Pour permettre une gestion plus fine des permissions daccs il existe les ACL (Acess Control
List) qui accordent des privilges plusieurs utilisateurs ou plusieurs groupes pour un mme
fichier.