Majorxtrem's Blogs

Petit « How-to » pour l’installation de certificats SSL Let’s Encprypt pour Apache.
On install Git pour pouvoir récupérer l’environnement Let’S Encrypt

git clone https://github.com/letsencrypt/letsencrypt

On install ensuite l’environement

git clone https://github.com/letsencrypt/letsencrypt

On coupe temporairement Apache

service apache stop

On lance ensuite la commande

cd letsencrypt
./letsencrypt-auto certonly --standalone -d www.mondomaine.be --email moi@mondomaine.be --agree-tos

Il faut ensuite reconfigurer le vhost en ajoutant/remplaçant les lignes suivante

SSLEngine on
SSLProtocol -all -SSLv3 +TLSv1.2
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM

SSLCertificateFile /etc/letsencrypt/live/www.mondomaine.be/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/www.mondomaine.be/privkey.pem

On relance finalement apache

service apache2 restart && service apache2 status

Utiliser l’authentification via LDAP/Active Directory c’est bien, mais il faut retaper son login/mot de passe à chaque fois.

Une solution est d’utiliser l’authentification NTLM au niveau d’Apache

La suite de ce tuto/mémo par du principe que votre installation de GLPI fonctionne déjà

Version:

• Apache : 2.2.22
• Debian 7.1

Installation des paquets nécessaire :

aptitude install libapache2-authenntlm-perl

Et ensuite on active le module apache

a2enmod authnz_ldap

Configuration:

La configuration d’apache est assez simple

vi /etc/apache2/conf.d/glpi

Ensuite on l’édite comme ceci:

Alias /glpi /usr/share/glpi
Alias /helpdesk /usr/share/glpi

PerlModule Apache2::AuthenNTLM


  DirectoryIndex index.php
  Options FollowSymLinks
  PerlAuthenHandler Apache2::AuthenNTLM
  AuthType ntlm,basic
  AuthName paipartners
  require valid-user
  PerlAddVar ntdomain "mondomaine.com dc1 dc2"
  PerlSetVar defaultdomain mondomaine.com
  PerlSetVar splitdomainprefix 1
  PerlSetVar ntlmdebug 0
  PerlSetVar ntlmauthoritative off

Dans un premier temps, il est utile de mettre ntlmdebug à 1 voir 2 pour avec des logs

Configuration du client

Sur Windows 7 il faut modifier ou créer une clé registre

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
 "LmCompatibilityLevel"=dword:00000001

Si le GLPI ne se trouve pas dans l’intranet, il faut également l’ajouter aux sites de confiances de IE

Configuration de GLPI

Il faut se rendre en super-admin dans :

Accueil >Configuration >Authentification >Autre méthode d’authentification

Et ajouter dans « Champs de stockage de l’identifiant dans la requête HTTP »

REMOTE_USER

Ensuite on termine par un reload d’Apache

apache2ctl restart

Voici une procédure pour installer NRPE 2.13 sur NexentaStor afin de monitorer les Zpools avec nagios/centreon.

Connexion au serveur Nexenta en SSH et ensuite passage sur le shell complet

option expert_mode = 1
!bash

On met à jour les depôts

aptitude update

Ensuite on installe les paquets suivant

aptitude install make gcc openssl libssl-dev nagios-plugins nagios-nrpe-server openssl-tools

Le paquet NRPE n’est pas à jour dans les dépôts, on va donc le compiler et remplacer le daemon

cd /tmp
wget http://freefr.dl.sourceforge.net/project/nagios/nrpe-2.x/nrpe-2.13/nrpe-2.13.tar.gz
tar xvf nrpe-2.13.tar.gz
cd nrpe-2.13

On lance la config

./configure

Et on compile

make all
make install

On remplace maintenant le deamon par le nouveau

cp /tmp/nrpe-2.13/src/nrpe /usr/sbin/nrpe

Ne pas oublier de configurer NRPE, notamment au niveau des serveurs autorisés

allowed_hosts=

Il ne vous reste plus cas installer et configurer les scripts nagios

Récemment j’ai eu un petit bug sur un de nos serveurs de fichier NexentaStor, une des tâches de snapshot a bugué. Elle créait un snapshot toutes les 5 minutes.

Voici donc un petit script à exécuter pour supprimer l’ensemble des snapshots

#!/bin/bash
for snapshot in $(zfs list -H -t snapshot | cut -f 1)
do
zfs destroy $snapshot
done

Pour pouvoir utiliser l’entièreté des disques de plus de 2TB, il convient d’utiliser GPT à la place de MBR, exit donc la commande FDISK.

Préparation des disques

Pour se faire, il faut installer parted

aptitude update && aptitude safe-upgrade
aptitude install gptsync parted mdadm

On crée ensuite la table de partition GPT et la partition de 3TB sur les deux disques

parted /dev/sdb
	mklabel gpt
	mkpart primary 0 3001G
	quit

parted /dev/sdc
	mklabel gpt
	mkpart primary 0 3001G
	quit

On vérifie avec la commande :

parted -l

Model: ATA WDC WD30EZRX-00M (scsi)
Disk /dev/sdb: 3001GB
Sector size (logical/physical): 512B/4096B
Partition Table: gpt

Number  Start   End     Size    File system  Name     Flags
 1      17,4kB  3001GB  3001GB               primary

Model: ATA WDC WD30EZRX-00M (scsi)
Disk /dev/sdc: 3001GB
Sector size (logical/physical): 512B/4096B
Partition Table: gpt

Number  Start   End     Size    File system  Name     Flags
 1      17,4kB  3001GB  3001GB               primary

Mdadm

On crée maintenant le raid, dans notre cas on crée un RAID 1 avec les partitions sdb1 et sdc1

mdadm --create --verbose /dev/md0 --level=1 --raid-devices=2 /dev/sdb1 /dev/sdc1

On format le la partition raid1 en ext4

mkfs.ext4 /dev/md0

Et on vérifie l’état du RAID1

mdadm --detail /dev/md0

/dev/md0:
        Version : 1.2
  Creation Time : Mon May 30 16:33:52 2011
     Raid Level : raid1
     Array Size : 2930265390 (2794.52 GiB 3000.59 GB)
  Used Dev Size : 2930265390 (2794.52 GiB 3000.59 GB)
   Raid Devices : 2
  Total Devices : 2
    Persistence : Superblock is persistent

    Update Time : Mon May 30 16:34:53 2011
          State : active, resyncing
 Active Devices : 2
Working Devices : 2
 Failed Devices : 0
  Spare Devices : 0

 Rebuild Status : 3% complete

           Name : srv-backup:0  (local to host srv-backup)
           UUID : b146a57a:fc7a409e:0627b7be:56ba0476
         Events : 1

    Number   Major   Minor   RaidDevice State
       0       8       17        0      active sync   /dev/sdb1
       1       8       33        1      active sync   /dev/sdc1

Pour voir l’avancement du resync de la grappe

watch cat /proc/mdstat

Every 2,0s: cat /proc/mdstat                                 Mon May 30 17:17:46 2011

Personalities : [linear] [multipath] [raid0] [raid1] [raid6] [raid5] [raid4] [raid10]

md0 : active raid1 sdc1[1] sdb1[0]
      2930265390 blocks super 1.2 [2/2] [UU]
      [>....................]  resync =  3.9% (115722880/2930265390) finish=781.2min
speed=60042K/sec

unused devices: 

Avec ce mémo, vous allez mettre en place un partage SMB à l’aide de Samba tout en utilisant authentification et les permissions de votre domaine Active Directory
Le serveur Samba tourne sur Debian 6.0 et le DC sur Windows Server 2008 R2

Installation des paquets

Avant d’installer assurez-vous d’avoir un serveur à jour

aptitude update && aptitude safe-upgrade

Ensuite installez les paquets suivant

aptitude install samba winbind krb5-user libkrb53 ntpd ntpdate

Heure du serveur

Avant de commencer il est primordial de synchroniser l’heure du serveur sur le DC notament pour l’authentification kerberos

/etc/.init.d/ntp stop

vi /etc/ntp.conf

Configurez la ligne server avec l’ip de votre DC

ntpdate 

/etc/.init.d/ntp start

Configuration de Kerberos

vi /etc/krb5.conf

Attention respectez scrupuleusement les majuscules ( à adapter : DOMAINE.COM, server_dc1, domaine, DOMAINE)

[libdefaults]
	default_realm = DOMAINE.COM
	clock_skew = 300
	ticket_lifetime = 24000
	default_tkt_enctypes = des3-cbc-sha1 rc4-hmac des-cbc-md5 des-cbc-crc
	default_tgs_enctypes = des3-cbc-sha1 rc4-hmac des-cbc-md5 des-cbc-crc
	dns_lookup_realm = false
	dns_lookup_kdc = true
[realms]
	DOMAINE.COM = {
		kdc = server_dc1
		admin_server = server_dc1
		default_domain = DOMAINE.COM
	}
[domain_realm]
	.domaine = DOMAINE
	domaine = DOMAINE

Configuration de Samba

vi /etc/samba/smb.conf

[global]
	netbios name = srv-shares
	workgroup = DOMAINE
	server string = Backup Server
	realm = DOMAINE.COM
	security = ADS
	encrypt passwords = true
	password server = server_dc1.domaine.com
	idmap uid = 10000-20000
	idmap gid = 10000-20000
	winbind enum groups = yes
	winbind enum users = yes
	winbind use default domain = yes

[shares]
	path = /home/shares
	comment = shares
	writable = yes
	browseable=yes
	read only = no
	inherit acls = yes
	inherit permissions = yes
	create mask = 700
	directory mask = 700
	valid users = @"DOMAINE+Domain Users"
	admin users = @"DOMAINE+Domain Admins"

Configuration de nsswitch

Pour que Samba puisse utiliser les utilisateurs et groupes de l’AD, il faut configurer nsswitch afin de lui ajouter Winbind comme possibilité d’authentification

vi /etc/nsswitch.conf

# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.

passwd:         compat winbind
group:          compat winbind
shadow:         compat

hosts:          files dns
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis

Redémarrage des services

/etc/init.d/winbind stop && /etc/init.d/samba restart && /etc/init.d/winbind start

Jonction à l’Active Directory

net join -U Administrator

Ensuite pour tester

kinit administrator
klist
wbinfo -u
wbinfo -g

Vous pouvez à présent configurer les permissions avec les commandes habituelles.

chown DOMAINE\user1 repdeuser1
chgrp DOMAINE\groupe1 repdegrp1

Le tuto précédent étant dépassé, je ai refait l’installation à partir d’une debian squeeze et cacti 0.8.7g. Pour les détails et/ou explication référez vous à l’ancien tuto

Installation du serveur LAMP

aptitude update && aptitude full-upgrade
aptitude install apache2 mysql-server php5 php5-cli snmp rrdtool phpmyadmin php-pear unzip patch

Installation de cacti

aptitude install cacti cacti-spine

Installation du Plugin Architecture

cd /tmp
wget  http://mirror.cactiusers.org/downloads/plugins/cacti-plugin-0.8.7g-PA-v2.8.tar.gz
tar xvf cacti-plugin-0.8.7g-PA-v2.8.tar.gz

cd cacti-plugin-arch
cp cacti-plugin-0.8.7g-PA-v2.8.diff /usr/share/cacti/site/
cd /usr/share/cacti/site/

patch -p1 -N < cacti-plugin-0.8.7g-PA-v2.8.diff
mysql -u root -p cacti < /tmp/cacti-plugin-arch/pa.sql

vi include/config.php

Remplacer

$url_path = "/";

par

$url_path = "/cacti/";

Installation du Plugin Network Weathermap

cd  /usr/share/cacti/site/plugins
wget http://www.network-weathermap.com/files/php-weathermap-0.97a.zip
unzip php-weathermap-0.97a.zip

vi weathermap/editor.php

Remplacer

$ENABLED=false;

par

$ENABLED=true;

chown www-data weathermap/configs -R
chown www-data /usr/share/cacti/site/plugins/weathermap/output -R

Activation du plugin

-> User Management -> admin -> cocher [Plugin Management]

-> Plugin Management

Pour configurer la synchronisation de l’heure de vos serveurs Windows sur un serveur NTP de votre choix, voici les commandes à exécuter :

net stop w32time
w32tm /config /syncfromflags:manual /manualpeerlist:"ntp.oma.be"
w32tm /config /reliable:yes
net start w32time

Vous pouvez vérifier le status via la commande

w32tm /query /status

Voici le résultats

Indicateur de dérive : 0(Aucun avertissement)
Couche : 2 (Référence secondaire, synchronisée par (S)NTP)
Précision : -6 (15.625ms par battement)
Délai de racine : 0.0312500s
Dispersion de racine : 0.0283446s
ID de référence : 0xC1BEE642 (IP de la source :  193.190.230.66)
Heure de la dernière synchronisation réussie : 16/02/2011 13:44:05
Source : ntp.oma.be
Intervalle d'interrogation : 10 (1024s)

Si pour une raison ou l’autre vous avez besoin de supprimer la licence de votre serveur ESXi afin de le remettre en période d’évaluation, voici la procédure.

Activer la console

Loguez-vous sur le serveur ensuite tapez

Alt-F1
unsupported => ENTER

Entrez le mot de passe root.

Supprimer la licence

mv /etc/vmware/vmware.lic /etc/vmware/vmware.lic.old
mv /etc/vmware/license.cfg /etc/vmware/license.cfg.old
sync
/sbin/services.sh restart

Ensuite reconnectez vous avec Vsphere et vous constaterez que le serveur est en période d’évaluation.

Après deux ans de développement, Debian publie la version 6.0 du projet de la distribution Linux au non de code Squeeze.

Quelques petits changements dans la configuration des dépôts.
Le dépôt « volatile » n’existe plus, il est remplacé par une branche squeeze-updates, il contient les mises à jour des paquets ne pouvant pas attendre une nouvelle version Debian tous les 2 ou 3 ans.

vi /etc/apt/sources.list

deb ftp://ftp.fr.debian.org/debian/ squeeze main contrib  non-free
deb http://security.debian.org/ squeeze/updates main contrib non-free
deb ftp://ftp.fr.debian.org/debian/ squeeze-updates main contrib  non-free
# facultatif
deb http://backports.debian.org/debian-backports squeeze-backports main contrib non-free