Titre | FAQ Administration Serveur FR |
---|---|
Retour | Documentation |
Langue | English |
Certaines informations ou liens peuvent être obsolètes. La mise à jour se fera progressivement, tout ceci étant tiré d'informations compilées des versions antérieures du SME server ( e-smith.org ) et SME-FR.
- Quelles mises à jour dois-je appliquer à SME ?
- Y a t'il un moyen d'administrer SME à distance ?
- Comment ouvrir une session dans un terminal quand on est sur la console d'administration ?
- Comment ajouter des logiciels supplémentaires à SME ?
- Comment installer et mettre à jour des RPMs ?
- Je dois compiler des applications sous SME. De quoi ai-je besoin ?
- Comment envoyer des mails (avec le serveur SMTP de SME) en étant en dehors de mon réseau local ?
- Comment autoriser les connexions entrantes de 'NetMeeting' ou H323 ?
- Comment paramétrer la chaine d'initialisation de mon modem ?
- Est-il possible d'outrepasser la limite à douze caractères des noms de compte, de groupe ou d'i-bay ?
- Les postes clients du réseau local peuvent-il se synchroniser (NTP) sur SME Server?
- Puis-je utiliser d'autres outils de configuration Linux sur SME, tels que 'WebMin', 'SWAT'... ?
- Où puis-je trouver le code source du noyau de SME ?
- Où puis-je trouver le le fichier .config utilisé pour configurer le noyau de SME ?
- Pourquoi chmod n'est pas autorisé via FTP ?
- Comment configurer SME pour utiliser une connexion permanente par modem ?
- Comment modifier la configuration pour utiliser le protocole SSH 2.0 ?
- Pourquoi SME recommande de ne pas utiliser un serveur DNS primaire ou secondaire externe ?
- Que fait la fonction backup de SME ?
- Comment déterminer l'espace disponible sur mon disque dur ?
- Est-il possible de définir quels utilisateurs peuvent avoir un accès par VPN ?
- Puis-je installer SME sur une machine et utiliser son disque dur sur une autre ?
- J'ai créé un domaine virtuel. Y aura-t'il une distinction entre toto@primary.com et toto@virtual.com ?
- Si j'installe SME sur une machine avec deux disques durs, va-t'il reconnaitre et utiliser les deux ?
SME doit de préférence être mis à jour régulièrement s'il est connecté à Internet. Il est important d'installer toutes les mises à jour supportées par Contribs.org : la fiabilité et la sécurité de votre serveur peut en dépendre.
Nota : A ce jour, une politique d'updates automatique n'est pas encore définie. Au fur et à mesure de l'évolution, cette FAQ sera mise à jour.
Si vous envisagez d'administrer votre serveur SME à distance, il est recommandé d'utiliser une méthode d'autentification et de cryptographie. L'un des moyens les plus simples est d'utiliser SSH (Secure SHell) qui offre un moyen sécurisé et encrypté de se loguer à une machine distante ou de copier des fichiers entre machines.
Par défaut, l'accès par SSH est interdit ; une fois autorisé, il reste possible d'autoriser ou d'interdire l'accès à root.
SME inclus un client et un serveur SSH et supporte les protocoles SSH1 et SSH2. Vous pourrez facilement trouver de nombreux logiciels clients pour Windows ou Macintosh, gratuits ou payants. Putty en est un bon exemple. La version Windows est disponible ici
Il existe une autre possibilité : utiliser un VPN PPTP pour vous connecter à voter serveur. Une connexion PPTP à un serveur SME peut aisément être établie sur une connexion Internet existante. Un fois la connexion PPTP établie depuis un client distant, ce client apparait comme étant sur le réseau local géré par le serveur. Vous pouvez alors accéder aux noms d'hôtes locaux, comme http://www/server-manager à distance et de façon sécurisée.
Il reste possible d'accéder à distance au serveur en utilisant Telnet, mais c'est largement déconseillé. Autoriser l'accès publique via Telnet réduit de façon significative la sécurité de votre serveur (les logins et mots de passent transitent en clair sur les trames réseau). Pour cette raison, il est recommandé d'interdire l'accès par Telnet, à moins d'une absolue nécessité, et alors, juste pour le temps nécessaire.
- Comment ouvrir une session dans un terminal quand on est sur la console d'administration ?d'administration ?
Il suffit de passer à un autre terminal virtuel (par exemple tty2) en appuyant sur la combinaison de touches ALT-F2, ALT-F3 pour tty3, etc.
Vous pouvez alors vous loguer avec le nom root et le mot de passe admin. Par défaut, seul root a accès au shell, mais si un utilisateur doit y avoir accès, cela peut être modifié par root en utilisant la commande chsh. L'accès au shell ne devrait autorisé qu'aux utilisateurs locaux habilités.
La meilleur méthode consiste à installer des packages RPM binaires (.ix86.rpm) ou noarch (.noarch.rpm). Les packages standards RedHat devraient pouvoir s'installer directement sur votre serveur SME. Il se peut qu'ils nécessitent un package additionnel pour s'intégrer parfaitement à SME.
Vous pourrez trouver sur ce site de nombeuses contributions qui ont été développées spécifiquement pour SME Server. La liste de diffusion et les forums contiennent également de nombreuses informations sur la façon d'installer et de configuer certains de ces packages. Il y a également des options de recherche qui permettent de savoir si quelqu'un a déjà la donné la réponse à la question que vous vous posez.
Il peut également être intéressant de consulter les archives 'CPAN' (Perl), 'Freshmeat' ou d'autres sites apparentés pour trouver des RPMs précompilés du logiciel que vous souhaitez installer.
Afin d'installer des packages RPM sur des systèmes basés sur RedHat, vous devrez vous familiariser avec la commande rpm.Voici une liste des options les plus utilisées :
man rpm va afficher la page de manuel en ligne pour la commande rpm
Note : pour avoir les pages de manuel, vous devrez télécharger le RPM man-1.5i2-6.i386.rpm et l'installer avec la commande suivante :
rpm -ivh fichier.rpm va (i)nstaller fichier.rpm avec une sortie (v)erbose (détaillée) en affichant des (h)ashes pendant l'installation.
rpm -Uvh fichier.rpm va (U)pgrader (mettre à jour) le package, avec les mêmes options que précédemment.
rpm -e fichier.rpm va (e)raser (désinstaller) le package
Dans certains cas , l'option --nodeps permettra également d'installer un RPM en outrepassant d'éventuelles dépendances non présente sur le serveur.
Si vous êtes absolument certain de vouloir compiler et créer des packages sur SME, Je vous conseille de vous référer à Development. Cette section est ( et restera probablement ) exclusivement en anglais.
L'idéal serait d'utiliser le serveur SMTP de votre FAI pour envoyer vos mails quand vous êtes en dehors de votre réseau. Cela nécessite généralement de modifier le nom du serveur SMTP de SME par celui du FAI. C'est un problème, donc il y a des solutions :
Utiliser un nom d'hôte commun. Le nom d'hôte "mail" correspond-il à un serveur SMTP valide quand vous êtes connecté à distance ? Si oui, alors vous pouvez associer le nom du serveur SMTP à l'utilisateur "mail" et vous pourrez envoyer des mails depuis l'extérieur de la même façon que si vous étiez sur le réseau local, sans rien changer. Se connecter au serveur SME via PPTP et envoyer les messages. Certains clients de messagerie tels qu'Outlook Express permettent la configuration de plusieurs comptes. Il est alors possible de définir un compte utilisé sur le réseau local et un autre depuis l'extérieur. Autoriser Webmail via HTTPS et envoyer les messages depuis cette interface.
Les appels entrants Netmeeting ne sont pas supportés et ne fonctionneront pas avec une installation standard de SME. Pour recevoir des appels H323, vous avez besoin d'un gatekeeper. Un gatekeeper est inclus dans 'NetMeeting', et c'est donc le plus connu. Il existe un gatekeeper pour Linux, distribué sous licence MPL (Mozilla Public Licence) : http://www.opengatekeeper.org
Il est également possible d'utiliser un proxy H323 tel que : Phonepatch
La meilleure solution consiste à stocker cette chaine directement dans la mémoire du modem, plutôt que de la spécifier à la connexion. Pour stocker la chaine d'initialisation dans le modem avec les commandes AT, il suffit d'utiliser un programme tel que minicom et de taper par exemple :
AT&F
AT&C1&D2&Q0%C0
AT&W
Cela remet les paramètres usine, rentre les paramètes voulus (AT&C1&D2&Q0%C0) et enregistre les modifications (vous pouvez avoir besoin des commandes AT&F0 et AT&W0 ; voir le manuel du modem pour les commandes AT spécifiques). La commande de remise à zéro ATZ retaurera ces paramètres sans qu'aucune modification n'ait été à faire dans la configuration de SME.
Vous pourrez trouver des instructions sur l'utilisation de minicom et les commandes de modems sur la page :
http://www.linuxdoc.org/HOWTO/Modem-HOWTO.html
Si vous devez absolument utiliser une chaine d'initialisation lors de la connexion, il faut définir la variable 'ModemInit' avec la commande :
/sbin/e-smith/db configuration set ModemInit "M1L1&C1&D2"
et activer les changements par la commande :
/sbin/e-smith/signal-event console-save
Oui ; en fait, cette limite à douze caractères a délibérément été fixée pour assurer une compatibilité avec les machines fonctionnant sous Windows 9x. Vous pouvez modifier la longueur maximale en associant la valeur voulue aux variables maxIbayNameLength, maxAcctNameLength et maxGroupNameLength.Quand aucune valeur n'est spécifiée, douze est utilisé par défaut.
Pour autoriser par exemple un nom de quinze caractères maximums pour les i-bays, il suffit de taper les commandes :
/sbin/e-smith/db configuration set maxAcctNameLength 15
/sbin/e-smith/signal-event console-save
Oui, un serveur SME peut servir de serveur de temps pour des machines clientes sous Windows, Macintosh et (*)NIX ainsi que tout client supportant ntp ou ntpdate. Le serveur de temps de SME Server est installé par défaut, donc aucune configuration particulière n'est à faire.
Non. Ces outils ou d'autres à interface graphique (ainsi que l'édition directe de fichiers de configuration "à la main") ne sont pas supportés car ils sont fondamentalement incompatibles avec la configuration système de SME.
Un système de gestion intelligente des fichiers de configurations basé sur des templates est implémenté dans SME. La plupart des fichiers de configuration système ne sont pas modifiés directement par le manager de SME ; ce sont les templates qui sont modifiées et qui régénèrent alors les fichiers de configuration.
Si le manager de SME ne vous permet pas de faire les changements que vous souhaitez, vous pouvez en faire part à Contribs.org en adressant un message sur le forum de "souhaits" (wish list) : Suggestions
Le noyau utilisé par SME est exactement le même que celui fournit par RedHat. Vous pouvez donc obtenir ses sources sur n'importe que site mirroir de RedHat.
C'est le RPM du noyau de 'RedHat' qui est utilisé. Vous pourrez donc trouver le fichier .config dans le RPM des sources du noyau, disponible sur tout site mirroir de 'RedHat'.
'chmod' est interdit par FTP car c'est à l'administrateur qu'incombe la responsabilité de définir les droits d'exécution des scripts pouvant tourner sur le serveur.
Autoriser le chmod via FTP reviendrait à autoriser les utilisateurs à faire de telles modifications et c'est un risque pour la sécurité du système.
Quand vous sélectionnez le mode de fonctionnement "Server and Gateway - Dialup", vous avez également la possibilité de définir la stratégie de connexion. Pour une connexion permanente par modem, il suffit de sélectionner la stratégie "continuous". Cette option est valable aussi bien pour une connexion avec IP fixe ou dynamique.
Si votre FAI vous a fournit une adresse IP statique, le serveur doit vous assigner la bonne adresse quand il se connecte, en utilisant le composant IPCP (Internet Protocol Control Protocol) défini dans la RFC de PPP. Si le serveur ne vous alloue pas la bonne adresse, vous devrez contacter votre FAI pour régler le problème.
Au cas où votre FAI serait incapable de configurer son RAS (Remote Access Server) qui permet d'allouer la bonne adresse IP, vous devrez suivre les instructions ci-dessous pour créer un template personnalisé. Une fois ce template créé, vous n'aurez plus besoin de définir l'adresse IP externe ni son masque de sous-réseau. Il est recommandé de ne pas définir de serveur DNS primaire et secondaire externes.
Copie des templates dont vous avez besoin dans le répertoire de templates personnalisés :
mkdir -p /etc/e-smith/templates-custom/etc/diald.conf
cp /etc/e-smith/templates/etc/diald.conf/pppd-options /etc/e-smith/templates-custom/etc/diald.conf/pppd-options
Modification du nouveau template :
perl -pi -e "s/noipdefault/x.x.x.x:y.y.y.y/" /etc/e-smith/templates-custom/etc/diald.conf/pppd-options
Avec x.x.x.x correspondant à votre adresse IP et y.y.y.y à l'adresse IP du RAS de votre FAI. Vous ne devriez pas être obligé de spécifier y.y.y.y
Développer le fichier de configuration correspondant (/etc/diald.conf) et redémarrage du service diald :
/sbin/e-smith/signal-event console-save
Afin d'utiliser le protocole SSH 2.0, vous devez créer un template personnalisé comme décrit ci-dessous :
Copie des templates originaux dans le répertoire de templates personnalisés :
mkdir -p /etc/e-smith/templates-custom/etc/ssh/sshd_config
cp /etc/e-smith/templates/etc/ssh/sshd_config/20HostKey /etc/e-smith/templates-custom/etc/ssh/sshd_config
Editer /etc/e-smith/templates-custom/etc/ssh/sshd_config/20HostKey et ajouter les deux lignes :
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_rsa_key
Exécuter les deux commandes commandes :
/sbin/e-smith/expand-template /etc/ssh/sshd_config
/sbin/e-smith/signal-event remoteaccess-update
Vous devriez à présent pouvoir vous connecter au serveur SME en utilisant le protocole SSH 2.0
Le fait de spécifier les serveurs de nom primaire et secondaire peut accroitre les performances en utilisant le cache du FAI, mais cet accroissement, par l'utilisation d'un "forwarder" extérieur est minime et présente des risques au niveau de la fiabilité.
Des FAI de grande taille ont scindé leur serveur de nom en deux parties : une récursive et une non-récursive. Si le "forwarder" utilisé est un serveur non-récursif, toutes vos requettes à des domaines non hébergés par le FAI vont échouer. Certains FAI moins compétents ont également utilisé des caches de DNS qui sont moins fiables qu'une recherche directe.
En indiquant statiquement le "forwarder", vous prenez le risque que le FAI change son nom et que vos requêtes échouent. De même, si des personnes changent de FAI sans changer de nom de serveur, de nombreuses requettes vont échouer puisque le FAI va les bloquer, compte-tenu qu'elles ne proviennent pas de leur réseau.
Pour résumer, le gain de performance est minime face à la fiabilité et à la facilité de configuration accrue si l'on ne définit pas de serveur DNS.
La fonction "backup to desktop" va créer et transférer un fichier compressé smeserver.tgz qui contient les fichiers et répertoires suivants :
/home/e-smith
/etc/e-smith/templates-custom
/etc/e-smith/templates-user-custom
/etc/ssh
/root/.ssh
/etc/passwd
/etc/shadow
/etc/group
/etc/gshadow
/etc/smbpasswd
La fonction "backup to tape" va faire une sauvegarde niveau 0(*) de tout le système de fichier, grace au programme flexbackup (flexible backup script).
(*)Une sauvegarde niveau 0 de "tout" impose l'utilisation d'une nouvelle cassette. Elle sera retendue et effacée.
La commande "df" renvoie le niveau de remplissage d'un système de fichier. Utilisé avec les options "-h" et "/", il affichera la taille de la partition racine, l'espace utilisé et ce qu'il reste de disponible. Par exemple :
e-smith-server]# df -h / filesystem Size Used Avail Use% Mounted on dev/hda6 1.2G 310M 838M 27%
Tapez df --help pour obtenir une liste d'options utilisables avec df.
Oui, mais attention : par défaut, aucun utilisateur (dont le compte est activé) ne peut établir une connexion PPTP au serveur. Par le ' server-manager ', l'accès peut être activé, dans la section ' utilisateurs '.
Attention au nombre maximum de connexion PPTP autorisées.
Vous ne devriez faire ceci que si les deux machines sont physiquement identiques. De nombreux éléments importants, comme le type de processeur, sont détectés lors de l'installation. Le programme d'installation va installer de nombreux packages importants dépendants du type de processeur, dont le noyau. De tels packages risquent de ne pas fonctionner avec d'autres processeurs.
Si vous déplacez le disque sur une machine moins performante (ex: d'un PIII à un Pentium), la machine va planter juste après avoir affiché "freeing cpu memory".
Si vous déplacez le disque sur une machine plus performante (ex: d'un Pentium à un PIII), vous ne bénéficierez pas du gain de performance.
Dans un tel cas, il est recommandé de faire une mise à jour (en utilisant la même version) afin de vous assurer que les packages installés correspondent au type de processeur de votre serveur. Cela permettra également de détecter et d'installer le noyau SMP si cela correspond à la configuration matérielle de votre nouvelle machine.
SME ne crée qu'une seule "communauté d'utilisateurs". Donc, jond@primary.com et jond@virtual.com représentent le même utilisateur et donc le même compte de messagerie.
- Si j'installe SME sur une machine avec deux disques durs, va-t'il reconnaitre et utiliser les deux ?
Lors de l'installation ou de la mise à jour de SME, il ne devrait y avoir qu'un disque, ou deux disques identiques qui seront utilisé en mirroring (RAID-1 logiciel). Tous les autres disque doivent êtres débranchés.
Si vous avez deux disques et que vous ne sélectionnez l'utilisation du RAID logiciel, la table de partitions du second disque ser ré-écrite. Ce que le programme d'installation fera au deuxième disque n'est pas défini.
Il reste possible d'ajouter des disques après l'installation ou la mise à jour, mais vous devez posséder des connaissances sur Linux. Vous pourrez surement trouver de l'aide dans le forum Utilisateurs expérimentés de ce site. Vous pouvez donc y faire une recherche, étant donné que le sujet a déjà été abordé.
Retour | Documentation FR |
---|