http://wiki.diouxx.be/api.php?action=feedcontributions&feedformat=atom&user=DdevleeschauwerDiouxX's Wiki - Contributions de l’utilisateur [fr]2026-04-16T14:23:43ZContributions de l’utilisateurMediaWiki 1.30.2http://wiki.diouxx.be/index.php?title=Script_check_ftp&diff=280Script check ftp2019-05-03T11:34:10Z<p>Ddevleeschauwer : </p>
<hr />
<div>{{ Introduction | Ce script permet de vérifier si une connexion vers un serveur FTP est fonctionnel }}<br />
<br />
On peut l'insérer dans une tâche cron ou l'éxécuter de la manière suivante<br />
<br><br />
{{ Console | /home/diouxx/Scripts/check-ftp.sh >> /home/diouxx/Scripts/check-ftp.log 2>&1 }}<br />
<br><br />
<br />
<syntaxhighlight lang=bash><br />
#!/bin/bash<br />
<br />
#Couleur affichage<br />
VERT="\\033[1;32m"<br />
NORMAL="\\033[0;39m"<br />
ROUGE="\\033[1;31m"<br />
ROSE="\\033[1;35m"<br />
BLEU="\\033[1;34m"<br />
BLANC="\\033[0;02m"<br />
BLANCLAIR="\\033[1;08m"<br />
JAUNE="\\033[1;33m"<br />
CYAN="\\033[1;36m"<br />
<br />
HOST=ftp.domain.com<br />
LOGIN=USER<br />
PASSWORD=PASSWORD<br />
PORT=21<br />
LOG_FILE=/home/diouxx/Scripts/check-ftp.log<br />
<br />
#Fonction d'horodatage pour les log<br />
#$1 = Texte a afficher apres l'horodatage<br />
function horodate(){<br />
horodate=`date +"\n%d"/"%m"/"%Y"-"%H":"%M":"%S -- "`<br />
echo -e "$horodate$1"<br />
}<br />
<br />
exec 1>&2 >> $LOG_FILE<br />
<br />
horodate "START FTP CONNEXION"<br />
<br />
ftp -i -n $HOST $PORT << END_SCRIPT<br />
quote USER $LOGIN<br />
quote PASS $PASSWORD<br />
ls<br />
quit<br />
END_SCRIPT<br />
<br />
if [ $? != 0 ]<br />
then<br />
horodate "Connexion FTP \t\t\t$ROUGE[KO]$NORMAL"<br />
else<br />
horodate "Connexion FTP \t\t\t$VERT[OK]$NORMAL"<br />
fi<br />
<br />
horodate "END FTP CONNEXION"<br />
</syntaxhighlight><br />
[[Catégorie:Scripts System]]</div>Ddevleeschauwerhttp://wiki.diouxx.be/index.php?title=Script_check_ftp&diff=279Script check ftp2019-05-03T11:33:18Z<p>Ddevleeschauwer : Page créée avec « {{ Introduction | Ce script permet de vérifier si une connexion vers un serveur FTP est fonctionnel }} On peut l'insérer dans une tâche cron ou l'éxécuter de la mani... »</p>
<hr />
<div>{{ Introduction | Ce script permet de vérifier si une connexion vers un serveur FTP est fonctionnel }}<br />
<br />
On peut l'insérer dans une tâche cron ou l'éxécuter de la manière suivante<br />
<br><br />
{{ Console | /home/diouxx/Scripts/check-ftp.sh >> /home/diouxx/Scripts/check-ftp.log 2>&1 }}<br />
<br><br />
<br />
<syntaxhighlight lan=bash><br />
#!/bin/bash<br />
<br />
#Couleur affichage<br />
VERT="\\033[1;32m"<br />
NORMAL="\\033[0;39m"<br />
ROUGE="\\033[1;31m"<br />
ROSE="\\033[1;35m"<br />
BLEU="\\033[1;34m"<br />
BLANC="\\033[0;02m"<br />
BLANCLAIR="\\033[1;08m"<br />
JAUNE="\\033[1;33m"<br />
CYAN="\\033[1;36m"<br />
<br />
HOST=ftp.domain.com<br />
LOGIN=USER<br />
PASSWORD=PASSWORD<br />
PORT=21<br />
LOG_FILE=/home/diouxx/Scripts/check-ftp.log<br />
<br />
#Fonction d'horodatage pour les log<br />
#$1 = Texte a afficher apres l'horodatage<br />
function horodate(){<br />
horodate=`date +"\n%d"/"%m"/"%Y"-"%H":"%M":"%S -- "`<br />
echo -e "$horodate$1"<br />
}<br />
<br />
exec 1>&2 >> $LOG_FILE<br />
<br />
horodate "START FTP CONNEXION"<br />
<br />
ftp -i -n $HOST $PORT << END_SCRIPT<br />
quote USER $LOGIN<br />
quote PASS $PASSWORD<br />
ls<br />
quit<br />
END_SCRIPT<br />
<br />
if [ $? != 0 ]<br />
then<br />
horodate "Connexion FTP \t\t\t$ROUGE[KO]$NORMAL"<br />
else<br />
horodate "Connexion FTP \t\t\t$VERT[OK]$NORMAL"<br />
fi<br />
<br />
horodate "END FTP CONNEXION"<br />
</syntaxhighlight><br />
[[Catégorie:Scripts System]]</div>Ddevleeschauwerhttp://wiki.diouxx.be/index.php?title=Github&diff=278Github2019-04-23T09:08:42Z<p>Ddevleeschauwer : </p>
<hr />
<div>{{ Introduction | 1=Un billet qui me sert d’aide mémoire sur l’utilisation « git » et de mon compte sur « GitHub ». }}<br />
<br />
== Git en quelques mots ==<br />
<br />
Git est un logiciel de gestion de version qui permet de gérer une arborescence de fichiers tout en gardant un historique complet des différentes modifications effectuées. De ce point de vue, il offre les mêmes fonctionnalités que CVS ou Subversion.<br />
<br />
Git se caractérise principalement par son aspect décentralisé. En effet, git utilise à la fois un dépôt local et un dépôt distant. Pour travailler, il faut dans un premier temps « forker » un dépôt distant. Ceci permet de récupérer l’ensemble des fichiers présents sur le dépôt distant ainsi que l’historique associé.<br />
<br />
Une fois le dépôt distant « forker », on peut travailler en local tout comme on le ferait avec un gestionnaire de version classique. Il est ensuite possible de proposer sa contribution au dépôt distant (pull request).<br />
<br />
Ce mode de fonctionnement permet de profiter d’un gestionnaire de version pour effectuer son développement en local et de proposer un ensemble de modifications cohérentes et fonctionnelles sur le dépôt distant.<br />
<br />
== Préparer son espace de travail sous « GitHub » ==<br />
<br />
J’utilise « GitHub » pour héberger mes différents fichiers. La création du compte « GitHub » n’est pas détaillée dans ce billet. Cette étape ne présente aucune difficulté et n’est réalisée qu’une seule et unique fois. Seule la procédure d’échange de clefs est détaillée ici.<br />
<br />
=== Générer un couple de clefs privée/publique ===<br />
<br />
La génération des clefs privées et publiques se fait en tapant la commande suivante :<br />
<br />
<br><br />
{{ Console | ssh-keygen -t rsa }}<br />
<br><br />
Lors de la génération, il vous sera demandé une « passphrase ». Il faut bien noter cette dernière car elle sera à nouveau demandée lors de la connexion à « GitHub ».<br />
<br />
Si vous avez laissé les options par défaut, la clef se trouve dans le fichier « ~/.ssh/id_rsa.pub ».<br />
<br />
=== Exporter sa clef vers « GitHub » ===<br />
<br />
Suivre les étapes suivantes :<br />
<br />
* se connecter sur « GitHub » avec votre compte ;<br />
* aller dans « settings » (icône en forme d’engrenage en haut à droite) ;<br />
* sélectionner dans le menu de gauche « SSH keys » ;<br />
* cliquer sur « Add SSH key » ;<br />
* donner un nom à la clef et recopier le contenu du fichier contenant la clef dans la zone de texte « Key ». Si vous avez laissé les options par défaut, la clef se trouve dans le fichier « ~/.ssh/id_rsa.pub »<br />
<br />
=== Tester le bon fonctionnement de la clef ===<br />
<br />
Dans un terminal, taper les commandes suivantes (cf. doc github) :<br />
<br><br />
{{ Console | ssh -T git@github.com }}<br />
<br><br />
<br />
La sortie doit ressembler au texte ci-dessous :<br />
<pre><br />
Hi yopland! You've successfully authenticated, but GitHub does not provide shell access.<br />
</pre><br />
<br />
Si le message fait référence à votre login, c’est gagné.<br />
<br />
=== Gestion des clefs avec « ssh-agent » ===<br />
<br />
L’utilisation d’un agent, évite d’avoir à retaper la « passphrase » à chaque fois que l’on sollicite l’utilisation de la clé privée. Les clefs et les « passphrases » associées sont stockées en mémoire par l’agent et restituées selon les besoins.<br />
<br />
Taper la commande suivante et renseigner la « passphrase » :<br />
<br><br />
{{ Console | ssh-add }}<br />
<br><br />
Tester le bon fonctionnement en essayant de se connecter sur le serveur. Il ne devrait pas être nécessaire de redonner la « passphrase ».<br />
<br><br />
{{ Console | ssh -T git@github.com }}<br />
<br><br />
Pour lister les clefs chargées par l’agent :<br />
<br><br />
{{ Console | ssh-add -l }}<br />
<br><br />
Pour supprimer de l’agent la clef stockée dans « ~/.ssh/id_rsa » :<br />
<br><br />
{{ Console | ssh-add -d ~/.ssh/id_rsa }}<br />
<br><br />
<br />
== Commandes principales ==<br />
=== Dépôt local ===<br />
==== Initialiser un dépôt git en local ====<br />
<br><br />
{{ Console | git init }}<br />
<br><br />
==== Lister les fichiers gérés par git ====<br />
<br><br />
{{ Console | git status }}<br />
<br><br />
==== Ajouter un ou des fichiers au dépôt local ====<br />
<pre><br />
git add fichier<br />
git add '*.txt'<br />
git add .<br />
</pre><br />
<br />
==== Renseigner son identité ====<br />
<br />
Pour suivre les différentes modifications sur le serveur distant, il est nécessaire de renseigner son identité sur son dépôt.<br />
<br />
Pour effectuer cette déclaration de manière globale (valable pour tous les dépôt locaux), taper les lignes suivantes :<br />
<br />
<pre><br />
git config --global user.email "you@example.com"<br />
git config --global user.name "Your Name"<br />
</pre><br />
<br />
Pour effectuer cette déclaration uniquement pour le dépôt en cours, taper les lignes suivantes :<br />
<br />
<pre><br />
git config user.email "you@example.com"<br />
git config user.name "Your Name"<br />
</pre><br />
<br />
==== Pousser les modifications effectuées vers le dépôt local (commit) ====<br />
<br><br />
{{ Console | git commit -m "message" }}<br />
<br><br />
==== Suivre les différentes actions ====<br />
<br><br />
{{ Console | git log }}<br />
<br><br />
<br />
=== Création d’un dépôt sur github ===<br />
<br />
Afin de recevoir les différents fichiers de ce billet, je me suis créé un dépôt « try_git ». Cette étape se fait via l’interface d’administration de « GitHub ».<br />
<br />
Afin d’héberger différents projets, il est tout à fait possible de créer plusieurs dépôt sur un même compte.<br />
<br />
==== Déclarer un dépôt distant ====<br />
<br />
Afin d’éviter d’avoir à saisir l’URL complète du dépôt, il est possible de créer un alias.<br />
<br />
* mon dépôt distant est hébergé sur « github » ;<br />
* pour les tests le nom de mon dépôt distant est « try_git » ;<br />
* le nom de mon compte est « DiouxX » ;<br />
* la référence « locale » au dépôt distant est « origin ».<br />
<br><br />
{{ Console | git remote add origin git@github.com:DiouxX/try_git.git}}<br />
<br><br />
Il est maintenant possible d’utiliser « origin » en lieu et place de l’URL complète.<br />
<br><br />
{{ Note | le nom origin est utilis& par convention. On peut bien évidemment le remplacer par n'importe quel nom/alias }}<br />
<br><br />
<br />
==== Dépot distant avec port SSH différent ====<br />
<br />
Si le dépôt distant utilise un port SSH différent de celui par défaut, il faut créer ou modifier le fichier {{ File | .ssh/config}} en y ajoutant les paramètres suivants :<br />
<br><br />
<pre><br />
Hostname git.domaine.be<br />
Port lePortSSH<br />
</pre><br />
<br />
==== Pousser les modifications locales vers le dépôt distant ====<br />
<br />
* nom sous lequel est référencé le dépôt distant : origin<br />
* branche utilisée : master<br />
* option « -u » : permet de sauvegarder les paramètres et ainsi ne pas avoir à les saisir à nouveau lors de la prochaine commande<br />
<br><br />
{{ Console | git push -u origin master }}<br />
<br><br />
<br />
==== Récupérer les modifications effectuées ====<br />
<br />
Il est possible de récupérer les modifications effectuées sur le dépôt distant de deux manières différentes :<br />
<br />
* en effectuant une fusion directement sur l’espace de travail ;<br />
* en stockant les données sur une nouvelle branche.<br />
<br />
Récupérer les modifications effectuées sur le dépôt distant et fusionner les modifications sur notre espace de travail<br />
<br><br />
{{ Console | git pull origin master }}<br />
<br><br />
<br />
Récupérer les modifications effectuées sur le dépôt distant sans effectuer de fusion (les données seront stockées sous leur propre branche)<br />
<br><br />
{{ Console | git fetch origin }}<br />
<br><br />
<br />
==== Lister les dépôts distants ====<br />
<br />
* l’option « -v » permet de visualiser les urls associées à chaque nom court;<br />
<br><br />
{{ Console | git remote -v }}<br />
<br><br />
<br />
=== Gestion des branches ===<br />
==== Création d'une branche ====<br />
<br />
Pour créer une branche et y basculer tout de suite, vous pouvez lancer la commande git checkout avec l'option -b :<br />
<br><br />
{{ Console | git checkout -b newbranch<br>Switched to a new branch "newbranch"}}<br />
<br />
C'est un raccourci pour :<br />
<br><br />
{{ Console | $ git branch newbranch<br>$ git checkout newbranch }}<br />
<br><br />
<br />
==== Switcher de branche ====<br />
<br />
Pour l'instant, vous avez validé tous vos changements dans la branche newbranch et vous pouvez donc rebasculer vers la branche master :<br />
<br><br />
{{ Console | $ git checkout master<br>Switched to branch "master"}}<br />
<br><br />
<br />
==== Merge avec la branche master ====<br />
<br />
Vous pouvez lancer vos tests, vous assurer que la correction est efficace et la fusionner dans la branche master pour la déployer en production. Vous réalisez ceci au moyen de la commande git merge :<br />
<br><br />
{{ Console | git checkout master <br> $ git merge correctif }}<br />
<br><br />
<br />
==== Suppression d'une branche ====<br />
<br><br />
{{ Console | git branch -d newbranch }}<br />
<br><br />
<br />
<br />
<br />
=== Autres commandes ===<br />
==== Récupérer les différences entre la copie locale et le dépôt ====<br />
<br><br />
{{ Console | git diff HEAD }}<br />
<br><br />
<br />
==== Récupérer les dernières modifications que l’on vient d’effectuer ====<br />
<br><br />
{{ Console | git diff --staged }}<br />
<br><br />
<br />
==== Cloner un dépot ====<br />
<br />
Cloner un dépôt entier :<br />
<br><br />
{{ Console | git clone url }}<br />
<br><br />
<br />
Cloner une branche :<br />
<br><br />
{{ Console | git clone -b branche url }}<br />
<br><br />
<br />
== Références ==<br />
<br />
* http://carnetdevol.shost.ca/wordpress/aide-memoire-git/<br />
* documentation git : http://git-scm.com/<br />
* un livre en français : http://git-scm.com/book/fr/v1<br />
* un très bon tutoriel : https://try.github.io/levels/1/challenges/1<br />
* le site de gitub : https://github.com<br />
* utilisation de ssh : http://www.linux-france.org/prj/edu/archinet/systeme/ch13s03.html</div>Ddevleeschauwerhttp://wiki.diouxx.be/index.php?title=Commandes_PowerCLI&diff=277Commandes PowerCLI2018-01-18T13:22:06Z<p>Ddevleeschauwer : /* VM */</p>
<hr />
<div>{{ Introduction | Cette page reprend un certains nombre de commande dont j'ai eu besoin }}<br />
<br />
== Identification ==<br />
<br />
=== Création d'un fichier avec identifiant ===<br />
<br />
<syntaxhighlight lang=powershell><br />
#Cela stocke les identifiants dans un fichier xml. Vous pouvez ouvrir le fichier xml, mais le mot de passe est haché<br />
<br />
New-VICredentialStoreItem -Host ESXorvCenterHostname -User root -Password "Super$ecretPassword" -File C:\vsphere-credential.xml<br />
</syntaxhighlight><br />
<br />
=== Utilisation d'un fichier d'identification ===<br />
<syntaxhighlight lang=powershell><br />
#Création de l'objet avec les informations de connexion<br />
$credential = Get-VICredentialStoreItem -File $PathCredentialFile<br />
<br />
#Conexion au serveur<br />
$connexion = Connect-VIServer -Server $credential.Host -User $credential.User -Password $credential.Password -WarningAction SilentlyContinue<br />
</syntaxhighlight><br />
<br />
== VM ==<br />
<br />
=== Création VM ===<br />
<br />
* Création à partir d'un template<br />
<syntaxhighlight lang=powershell><br />
New-VM -Name "VMName" -Template TemplateName -ResourcePool PoolName -Datastore DatastoreName -Location location<br />
</syntaxhighlight><br />
<br />
=== Listing VM ===<br />
<br />
* Lister les évènements lié à une VM<br />
<syntaxhighlight lang=powershell><br />
Get-VM -Name "VMName" | Get-VIEvent | Select createdTime, userName, fullFormattedMessage<br />
</syntaxhighlight><br />
<br />
[[Catégorie:PowerCLI]]</div>Ddevleeschauwerhttp://wiki.diouxx.be/index.php?title=Commandes_PowerCLI&diff=276Commandes PowerCLI2018-01-18T13:21:38Z<p>Ddevleeschauwer : /* VM */</p>
<hr />
<div>{{ Introduction | Cette page reprend un certains nombre de commande dont j'ai eu besoin }}<br />
<br />
== Identification ==<br />
<br />
=== Création d'un fichier avec identifiant ===<br />
<br />
<syntaxhighlight lang=powershell><br />
#Cela stocke les identifiants dans un fichier xml. Vous pouvez ouvrir le fichier xml, mais le mot de passe est haché<br />
<br />
New-VICredentialStoreItem -Host ESXorvCenterHostname -User root -Password "Super$ecretPassword" -File C:\vsphere-credential.xml<br />
</syntaxhighlight><br />
<br />
=== Utilisation d'un fichier d'identification ===<br />
<syntaxhighlight lang=powershell><br />
#Création de l'objet avec les informations de connexion<br />
$credential = Get-VICredentialStoreItem -File $PathCredentialFile<br />
<br />
#Conexion au serveur<br />
$connexion = Connect-VIServer -Server $credential.Host -User $credential.User -Password $credential.Password -WarningAction SilentlyContinue<br />
</syntaxhighlight><br />
<br />
== VM ==<br />
<br />
=== Création VM ===<br />
<br />
* Création à partir d'un template<br />
<syntaxhighlight lang=powershell><br />
New-VM -Name "VMName" -Template TemplateName -ResourcePool PoolName -Datastore DatastoreName -Location location<br />
</syntaxhighlight><br />
<br />
* Lister les évènements lié à une VM<br />
<syntaxhighlight lang=powershell><br />
Get-VM -Name "VMName" | Get-VIEvent | Select createdTime, userName, fullFormattedMessage<br />
</syntaxhighlight><br />
<br />
[[Catégorie:PowerCLI]]</div>Ddevleeschauwerhttp://wiki.diouxx.be/index.php?title=Powershell&diff=275Powershell2018-01-12T09:21:53Z<p>Ddevleeschauwer : </p>
<hr />
<div>{{ Introduction | Cette page reprend l'ensemble des coommandes/script powershell dont j'ai eu l'utilité }}<br />
<br />
== Active Directory ==<br />
<br />
=== Manipulation Groupes ===<br />
==== Lister les membres d'un groupe et leur netlogon ====<br />
<br />
<syntaxhighlight lang=powershell><br />
Get-ADGroupMember "YOURGROUP" | foreach{Get-ADUser -Identity $_.SamAccountName -Properties scriptpath} | ft name,scriptpath<br />
</syntaxhighlight><br />
<br />
==== Groupes AD vides ====<br />
* Lister les groupes AD vides<br />
<syntaxhighlight lang=powershell><br />
Get-ADGroup -Filter * -Properties Members | where { $_.Members.Count -eq 0 } | ft Name<br />
</syntaxhighlight><br />
<br />
* Compter le nombre de groupe AD vide <br />
<syntaxhighlight lang=powershell><br />
$(Get-ADGroup -Filter * -Properties Members | where { $_.Members.Count -eq 0 } | measure).Count<br />
</syntaxhighlight><br />
[[Catégorie:Windows Server]]</div>Ddevleeschauwerhttp://wiki.diouxx.be/index.php?title=Fichier:Deploiement-paquet-partage.png&diff=274Fichier:Deploiement-paquet-partage.png2018-01-11T10:15:05Z<p>Ddevleeschauwer : Ddevleeschauwer a téléversé une nouvelle version de Fichier:Deploiement-paquet-partage.png</p>
<hr />
<div></div>Ddevleeschauwerhttp://wiki.diouxx.be/index.php?title=Powershell&diff=273Powershell2018-01-11T10:09:49Z<p>Ddevleeschauwer : Page créée avec « {{ Introduction | Cette page reprend l'ensemble des coommandes/script powershell dont j'ai eu l'utilité }} == Active Directory == === Lister les memebres d'un groupe et... »</p>
<hr />
<div>{{ Introduction | Cette page reprend l'ensemble des coommandes/script powershell dont j'ai eu l'utilité }}<br />
<br />
== Active Directory ==<br />
<br />
=== Lister les memebres d'un groupe et leur netlogon ===<br />
<br />
<syntaxhighlight lang=powershell><br />
Get-ADGroupMember "YOURGROUP" | foreach{Get-ADUser -Identity $_.SamAccountName -Properties scriptpath} | ft name,scriptpath<br />
</syntaxhighlight><br />
<br />
[[Catégorie:Windows Server]]</div>Ddevleeschauwerhttp://wiki.diouxx.be/index.php?title=Postfix&diff=272Postfix2017-11-07T07:28:48Z<p>Ddevleeschauwer : /* Configuration */</p>
<hr />
<div>{{ Introduction | Cette page permet de réaliser la mis en place ainsi que la configuration de Postfix }}<br />
<br />
Avant toute chose, il est nécessaire d'installer et configurer Cyrus-Imap<br />
<br />
== Cyrus Imap ==<br />
<br />
Pour l'installation et la configuration de Cyrus Imap, veuillez vous référencer à la [[Cyrus|page suivante]]<br />
<br />
== Postfix ==<br />
<br />
=== Installation ===<br />
<br />
=== Configuration ===<br />
<br />
La configuration de postfix est réalisé via deux fichiers<br />
<br />
* main.cf<br />
* master.cf<br />
<br><br />
Le fichier {{ File | main.cf }} qui permet de paramétrer postfix<br />
<br /><br />
<syntaxhighlight lang="bash"><br />
#########################################<br />
# REGLES GENERALES #<br />
#########################################<br />
<br />
#La règle smtpd_banner définit le message d’accueil du serveur Postfix<br />
#smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)<br />
smtpd_banner = DIOUXX<br />
<br />
#Desactivation notification terminal<br />
biff = no<br />
<br />
#La règle myhostname renseigne le nom de la machine sur laquelle s’exécute (est installé) Postfix.<br />
myhostname = your hostname<br />
<br />
#La règle mail_name définit le nom du système de messagerie du serveur<br />
mail_name = Postfix<br />
<br />
#La règle mydomain renseigne le nom de domaine auquel appartient la machine sur laquelle s’exécute Postfix.<br />
mydomain = diouxx.be<br />
<br />
#La règle mydestination énumère tous les domaines pour lesquels le serveur Postfix acceptera les mails afin de les distribuer en local.<br />
#"distribuer en local" signifie: livrer les mails à tous les utilisateurs ayant un compte UNIX ou un compte virtuel (c’est à dire simplement une BàL) sur une machine qui appartient à <br />
#l’un des domaines de la liste de la règle mydestination.<br />
#A la place de $mydomain on peut bien sûr mettre le nom de domaine en toute lettre !<br />
mydestination = $myhostname, www.$mydomain, $mydomain, localhost, localhost.$mydomain<br />
<br />
inet_interfaces = all<br />
<br />
#proxy_interfaces = 193.190.248.8<br />
<br />
#################################<br />
# VIRTUAL DOMAIN #<br />
#################################<br />
<br />
#Le paramètre virtual_mailbox_domains indique à Postfix que domain.be est un domaine de boîtes-aux-lettres virtuelles.<br />
#Si vous l'oubliez, Postfix rejetera le courrier (relais interdit) ou ne sera pas en mesure de le livrer (le courrier de exmple.com bouclera).<br />
#virtual_mailbox_domains = domain.be<br />
<br />
#Le paramètre virtual_mailbox_base indique le répertoire de base pour toutes les boîtes aux lettres virtuelles.<br />
#C'est un mécanisme évitant les erreurs : le courrier ne peut être livré n'importe où.<br />
#virtual_mailbox_base = /var/spool/cyrus/mail<br />
<br />
# Le paramètre virtual_mailbox_maps indique la table des correspondances entre les adresses virtuelles et les boîtes-aux-lettres (ou les répertoires).<br />
#virtual_mailbox_maps = hash:/etc/postfix/vmailbox<br />
<br />
#virtual_alias_domains = /etc/postfix/virtual_domains<br />
<br />
#Il est possible de mixer les alias virtuels avec des boîtes-aux-lettres virtuelles.<br />
#virtual_alias_maps = hash:/etc/postfix/virtual<br />
<br />
#virtual_minimum_uid = 100<br />
#virtual_uid_maps = static:5000<br />
#virtual_gid_maps = static:5000<br />
<br />
##########################################<br />
# MASQUAGE DES NOMS D'HOTES #<br />
##########################################<br />
<br />
#La règle myorigin renseigne la partie réseau de l’adresse d’enveloppe ou d’en-tête des mails qui seront envoyés par Postfix.<br />
myorigin = $mydomain<br />
<br />
#La règle append_at_myorigin initialise ou non (yes/no) la réécriture des adresses en ajoutant à ces adresses<br />
#append_at_myorigin = yes<br />
<br />
#La règle append_dot_mydomain initialise ou non la réécriture des adresses en ajoutant à ces adresses<br />
#append_dot_mydomain = yes<br />
<br />
#La règle masquerade_domains définit les règles de supression des noms d’hôtes et/ou de sous-domaines dans les adresses d’enveloppe et les en-têtes de message de l’expéditeur<br />
#(et non du destinataire!!!).<br />
#masquerade_domains = domain.be<br />
<br />
#La règle masquerade_exceptions définit les comptes pour lesquels ne s’appliqueront pas les règles de la directive masquerad_domains.<br />
#masquerade_exceptions =<br />
<br />
#########################################<br />
# CONTROLE D ACCES RELAYAGE #<br />
#########################################<br />
<br />
#La règle mynetworks énumère les réseaux ou adresses des machines qui peuvent utiliser le serveur postfix pour envoyer/relayer du courrier vers l’extérieur.<br />
mynetworks = 127.0.0.0/8 <br />
#mynetworks_style = class<br />
<br />
#La règle relay_domains indique les domaines et sous-domaines vers lesquels Postfix va relayer (faire suivre) le courrier.<br />
relay_domains = $mydestination <br />
<br />
#La règle relayhost définit la passerelle SMTP qui est rellement connectée à Internet.<br />
#Cette règle ne concerne que les mails SORTANT.<br />
relayhost = <br />
<br />
#################################<br />
# CONFIGURATION TLS #<br />
#################################<br />
smtp_use_tls=no<br />
smtpd_use_tls=yes<br />
#smtpd_tls_security = may<br />
smtpd_tls_CApath = /etc/postfix/tls<br />
smtpd_tls_key_file = /etc/postfix/tls/postfix.key<br />
smtpd_tls_cert_file = /etc/postfix/tls/postfix.crt<br />
smtpd_tls_CAfile = /etc/postfix/tls/cacert.pem<br />
smtpd_tls_loglevel = 1<br />
smtpd_tls_received_header = yes<br />
smtpd_tls_session_cache_timeout = 3600s<br />
tls_random_source = dev:/dev/urandom<br />
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache<br />
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache<br />
smtp_use_tls = yes<br />
smtp_tls_security_level = may<br />
smtp_tls_loglevel = 1<br />
smtp_tls_note_starttls_offer = yes <br />
<br />
#########################################<br />
# CONFIGURATION SASL #<br />
#########################################<br />
<br />
smtpd_sasl_auth_enable = yes<br />
smtpd_sasl_local_domain = <br />
smtpd_sasl_type = cyrus<br />
smtpd_sasl_path = smtpd<br />
smtpd_sasl_security_options = noanonymous<br />
smtpd_sasl_authenticated_header = yes<br />
broken_sasl_auth_clients = yes<br />
<br />
#########################################<br />
# TABLE DE RECHERCHES #<br />
#########################################<br />
<br />
#La règle default_database_type définit le type de base de données que l’on souhaite utiliser.<br />
#default_database_type = hash<br />
<br />
#########################<br />
# ALIAS #<br />
#########################<br />
<br />
#La règle alias_maps définit le type (hash, NIS, LDAP, etc...) et l’emplacement du fichier texte dont se servira la commande postalias ou newalises<br />
#pour re/construire le(s) fichier(s) de base de données (.db) d’alias utilisés par l’agent de distribution local.<br />
alias_maps = hash:/etc/aliases<br />
<br />
#La règle alias_database définit l’emplacement des fichiers texte dont se servira la commande newaliases pour construire les fichiers base de données d’alias,<br />
#c’est à dire uniquement les fichiers qui doivent être indexés par la commande newaliases.<br />
#alias_database = hash:/etc/aliases.db<br />
alias_database = hash:/etc/aliases<br />
<br />
#La règle default_privs définit les privilèges de Postfix lors de la distribution en local à un alias.<br />
#default_privs = nobody<br />
<br />
#La règle allow_mail_to_commands définit dans quel cadre Postfix doit délivrer le courrier à une commande.<br />
#allow_mail_to_commands = alias,forward, include<br />
<br />
#La règle allow_mail_to_files définit dans quel cadre Postfix doit délivrer le courrier à un fichier.<br />
#allow_mail_to_files = alias,forward, include<br />
<br />
#########################################################<br />
# REECRITURE ET/OU REDIRECTION D ADRESSES #<br />
#########################################################<br />
<br />
<br />
#########################################<br />
# GESTION FILE D ATTENTE #<br />
#########################################<br />
<br />
#La règle queue_directory définit l’emplacement du répertoire racine de la file d’attente de Postfix.<br />
queue_directory = /var/spool/postfix<br />
<br />
#################################<br />
# DISTRIBUTION LOCALE #<br />
#################################<br />
<br />
mailbox_transport = lmtp:unix:/var/run/cyrus/socket/lmtp<br />
<br />
local_recipient_maps = $alias_maps<br />
#local_recipient_maps =<br />
<br />
#########################<br />
# GESTION BAL #<br />
#########################<br />
<br />
home_mailbox = Maildir/<br />
<br />
#Limitation de la taille des BAL<br />
mailbox_size_limit = 0<br />
<br />
#Taille maximal des messages<br />
#Taille = 20 Mo<br />
message_size_limit = 20480000<br />
<br />
#########################<br />
# AMAVIS #<br />
#########################<br />
<br />
content_filter = amavis:[127.0.0.1]:10024<br />
receive_override_options = no_address_mappings<br />
<br />
smtpd_recipient_restrictions = permit_sasl_authenticated,<br />
permit_mynetworks,<br />
reject_unauth_destination,<br />
# check_policy_service inet:127.0.0.1:60000<br />
check_policy_service inet:127.0.0.1:10023<br />
<br />
#########################<br />
# SECURITE #<br />
#########################<br />
<br />
#Bloque une partie de SPAM en obligeant la requete HELO<br />
smtpd_helo_required = yes<br />
<br />
#Utilisation de postgrey <br />
#check_policy_service = inet:127.0.0.1:10023<br />
<br />
</syntaxhighlight><br />
<br /><br />
Le fichier {{ File | master.cf }} permet de définir la manière dont postfix va communiquer via les différents protocoles qu'il accepte<br />
<br /><br />
<syntaxhighlight lang="bash"><br />
#<br />
# Postfix master process configuration file. For details on the format<br />
# of the file, see the master(5) manual page (command: "man 5 master").<br />
#<br />
# Do not forget to execute "postfix reload" after editing this file.<br />
#<br />
# ==========================================================================<br />
# service type private unpriv chroot wakeup maxproc command + args<br />
# (yes) (yes) (yes) (never) (100)<br />
# ==========================================================================<br />
smtp inet n - - - - smtpd<br />
# -o content_filter=spamassassin<br />
#smtp inet n - - - 1 postscreen<br />
#smtpd pass - - - - - smtpd<br />
#dnsblog unix - - - - 0 dnsblog<br />
#tlsproxy unix - - - - 0 tlsproxy<br />
submission inet n - - - - smtpd<br />
# -o syslog_name=postfix/submission<br />
-o smtpd_tls_security_level=encrypt<br />
# -o smtpd_sasl_auth_enable=yes<br />
-o smtpd_client_restrictions=permit_sasl_authenticated,reject<br />
# -o milter_macro_daemon_name=ORIGINATING<br />
smtps inet n - - - - smtpd<br />
# -o syslog_name=postfix/smtps<br />
-o smtpd_tls_wrappermode=yes<br />
-o smtpd_sasl_auth_enable=yes<br />
# -o smtpd_client_restrictions=permit_sasl_authenticated,reject<br />
-o smtpd_client_restrictions=permit_sasl_authenticated<br />
-o milter_macro_daemon_name=ORIGINATING<br />
#628 inet n - - - - qmqpd<br />
pickup fifo n - - 60 1 pickup<br />
cleanup unix n - - - 0 cleanup<br />
qmgr fifo n - n 300 1 qmgr<br />
#qmgr fifo n - n 300 1 oqmgr<br />
tlsmgr unix - - - 1000? 1 tlsmgr<br />
rewrite unix - - - - - trivial-rewrite<br />
bounce unix - - - - 0 bounce<br />
defer unix - - - - 0 bounce<br />
trace unix - - - - 0 bounce<br />
verify unix - - - - 1 verify<br />
flush unix n - - 1000? 0 flush<br />
proxymap unix - - n - - proxymap<br />
proxywrite unix - - n - 1 proxymap<br />
smtp unix - - - - - smtp<br />
relay unix - - - - - smtp<br />
-o smtp_fallback_relay=<br />
# -o smtp_helo_timeout=5 -o smtp_connect_timeout=5<br />
showq unix n - - - - showq<br />
error unix - - - - - error<br />
retry unix - - - - - error<br />
discard unix - - - - - discard<br />
local unix - n n - - local<br />
virtual unix - n n - - virtual<br />
lmtp unix - - n - - lmtp<br />
anvil unix - - - - 1 anvil<br />
scache unix - - - - 1 scache<br />
#<br />
# ====================================================================<br />
# Interfaces to non-Postfix software. Be sure to examine the manual<br />
# pages of the non-Postfix software to find out what options it wants.<br />
#<br />
# Many of the following services use the Postfix pipe(8) delivery<br />
# agent. See the pipe(8) man page for information about ${recipient}<br />
# and other message envelope options.<br />
# ====================================================================<br />
#<br />
# maildrop. See the Postfix MAILDROP_README file for details.<br />
# Also specify in main.cf: maildrop_destination_recipient_limit=1<br />
#<br />
maildrop unix - n n - - pipe<br />
flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient}<br />
#<br />
# ====================================================================<br />
#<br />
# Recent Cyrus versions can use the existing "lmtp" master.cf entry.<br />
#<br />
# Specify in cyrus.conf:<br />
# lmtp cmd="lmtpd -a" listen="localhost:lmtp" proto=tcp4<br />
#<br />
# Specify in main.cf one or more of the following:<br />
# mailbox_transport = lmtp:inet:localhost<br />
# virtual_transport = lmtp:inet:localhost<br />
#<br />
# ====================================================================<br />
#<br />
# Cyrus 2.1.5 (Amos Gouaux)<br />
# Also specify in main.cf: cyrus_destination_recipient_limit=1<br />
#<br />
cyrus unix - n n - - pipe<br />
# user=cyrus argv=/cyrus/bin/deliver -e -r ${sender} -m ${extension} ${user}<br />
#<br />
# ====================================================================<br />
# Old example of delivery via Cyrus.<br />
#<br />
#old-cyrus unix - n n - - pipe<br />
# flags=R user=cyrus argv=/cyrus/bin/deliver -e -m ${extension} ${user}<br />
#<br />
# ====================================================================<br />
#<br />
# See the Postfix UUCP_README file for configuration details.<br />
#<br />
uucp unix - n n - - pipe<br />
flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)<br />
#<br />
# Other external delivery methods.<br />
#<br />
ifmail unix - n n - - pipe<br />
flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)<br />
bsmtp unix - n n - - pipe<br />
flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient<br />
scalemail-backend unix - n n - 2 pipe<br />
flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension}<br />
mailman unix - n n - - pipe<br />
flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py<br />
${nexthop} ${user}<br />
<br />
#Amavis<br />
amavis unix - - - - 2 smtp<br />
-o smtp_data_done_timeout=1200<br />
-o smtp_send_xforward_command=yes<br />
<br />
127.0.0.1:10025 inet n - - - - smtpd<br />
-o content_filter=<br />
-o local_recipient_maps=<br />
-o relay_recipient_maps=<br />
-o smtpd_restriction_classes=<br />
-o smtpd_client_restrictions=<br />
-o smtpd_helo_restrictions=<br />
-o smtpd_sender_restrictions=<br />
-o smtpd_recipient_restrictions=permit_mynetworks,reject<br />
-o mynetworks=127.0.0.0/8<br />
-o strict_rfc821_envelopes=yes<br />
-o receive_override_options=no_unknown_recipient_checks,no_header_body_checks<br />
# -o smtpd_bind_address=127.0.0.1<br />
<br />
#Spamassasin<br />
spamassassin unix - n n - - pipe<br />
user=spamd argv=/usr/bin/spamc -f -e<br />
/usr/sbin/sendmail -oi -f ${sender} ${recipient}<br />
<br />
</syntaxhighlight><br />
<br /><br />
<br />
== SMTPD.conf ==<br />
<br />
Avant d'aller plus loin, il est important de veiller à ce que le fichier smtpd.conf soit créé dans /etc/postfix/sasl/ avec les paramètres<br />
<syntaxhighlight><br />
<br />
pwcheck_method: saslauthd<br />
mech_list: PLAIN LOGIN<br />
<br />
<br />
</syntaxhighlight><br />
En effet : l'utilisation de la balise "smtpd_sasl_path = variable" implique d'un fichier /etc/postfix/sasl/[variable].conf soit créé et instancié.<br />
Ce fichier est utilisé directement par postfix pour configurer l'accès SASL. Sinon, des messages RCPT TO style Relay Acces Denied ou Acces Denied peuvent se produire.<br />
<br />
== [[Postfix-TLS]] ==<br />
<br />
== Disclaimer ==<br />
<br />
Le disclaimer est un service qui permet de rajouter un message (typiquement une clause de confidentialité) à la fin des mails. Dans la suite, nous verrons comment modifier le disclaimer afin qu'il n'ajoute un message que pour les mails sortants<br />
<br />
=== Installation ===<br />
Pour l'instant, l'installation est réalisé grâce à la commande ''apt''<br />
<br /><br />
{{ Console root | apt-get install altermime }}<br />
<br /><br />
=== Configuration ===<br />
<br />
Une fois installé, nous allons pouvoir configurer altermime mais avant cela, nous allons créer un utilisateur spécifique ainsi que les différents dossier dont doit disposer altermime<br />
<br />
<pre><br />
useradd -r -c "Postfix Filters" -d /var/spool/filter filter<br />
mkdir /var/spool/filter<br />
chown filter:filter /var/spool/filter<br />
chmod 750 /var/spool/filter<br />
</pre><br />
<br />
Une fois cela réalisé, il nous faut créer le script disclaimer dans {{ File | /etc/postfix/disclaimer }}<br />
<br /><br />
<syntaxhighlight lang="bash"><br />
#!/bin/sh<br />
# Localize these.<br />
INSPECT_DIR=/var/spool/filter<br />
SENDMAIL=/usr/sbin/sendmail<br />
<br />
<br />
# Exit codes from <sysexits.h><br />
EX_TEMPFAIL=75<br />
EX_UNAVAILABLE=69<br />
<br />
# Clean up when done or when aborting.<br />
trap "rm -f in.$$" 0 1 2 3 15<br />
<br />
# Start processing.<br />
cd $INSPECT_DIR || { echo $INSPECT_DIR does not exist; exit<br />
$EX_TEMPFAIL; }<br />
<br />
cat >in.$$ || { echo Cannot save mail to file; exit $EX_TEMPFAIL; }<br />
<br />
#Modification pour uniquement mails sortant<br />
# obtain From address<br />
#from_address=`grep -m 1 "From:" in.$$ | cut -d "<" -f 2 | cut -d ">" -f 1`<br />
to_address=`grep -m 1 "To:" in.$$ | cut -d : -f 2 | cut -d @ -f 2`<br />
<br />
#echo $from_address > /tmp/from.txt<br />
#echo $to_address > /tmp/to.txt<br />
<br />
if [ $to_address != "admin.diouxx.be" ] <br />
then<br />
/usr/bin/altermime --input=in.$$ \<br />
--disclaimer=/etc/postfix/disclaimer.txt \<br />
--disclaimer-html=/etc/postfix/disclaimer.html \<br />
--xheader="X-Copyrighted-Material: Please visit http://www.company.com/privacy.htm" || \<br />
{ echo Message content rejected; exit $EX_UNAVAILABLE; }<br />
fi<br />
<br />
$SENDMAIL -oi "$@" <in.$$<br />
<br />
exit $?<br />
</syntaxhighlight><br />
<br /><br />
{{ Note | La modification par rapport au script d'origine se situe au niveau du '''IF'''. En effet, le script va récupérer le champ du destinataire et vérifier si son adresse mail correspond au domaine du serveur postfix ou non. Si ce n'est pas le cas, il s'agit d'un mail sortant }}<br />
<br /><br />
Il faut également modifier le propriétaire du script ainsi que les droits<br />
<br /><br />
{{ Console root | chgrp filter /etc/postfix/disclaimer<br>[root@ordi ~]# chmod 750 /etc/postfix/disclaimer }}<br />
<br /><br />
Il est nécessaire maintenant de créer le fichier {{ File | /etc/postfix/disclaimer.txt }} qui va contenir le message à rajouter aux mails sortant.<br />
<br />
Il ne reste plus qu'a modifier le fichier {{ File | /etc/postfix/master.cf }} afin de lui indiquer qu'il doit utiliser le service disclaimer pour envoyer les mails. Pour cela, il faut rajouter ces deux lignes si au début du fichier<br />
<pre><br />
#<br />
# Postfix master process configuration file. For details on the format<br />
# of the file, see the master(5) manual page (command: "man 5 master").<br />
#<br />
# Do not forget to execute "postfix reload" after editing this file.<br />
#<br />
# ==========================================================================<br />
# service type private unpriv chroot wakeup maxproc command + args<br />
# (yes) (yes) (yes) (never) (100)<br />
# ==========================================================================<br />
smtp inet n - - - - smtpd<br />
-o content_filter=dfilt:<br />
dfilt unix - n n - - pipe<br />
flags=Rq user=filter argv=/etc/postfix/disclaimer -f ${sender} -- ${recipient}<br />
<br />
</pre><br />
<br />
Redemmarez postfix pour qu'il prenne en compte les modifications que l'on a apportés<br />
<br /><br />
{{ Console root | /etc/init.d/postfix restart }}<br />
<br /><br />
<br />
== Amavis ==<br />
<br />
Amavis est le logiciel qui va permettre de réaliser le transport des mails de postfix jusqu'aux filtres anti-spam et antivirus. Il repassera le mail à postfix pour sa destination final seulement si ce mail est considéré comme "propre"<br />
<br />
=== Installation ===<br />
<br />
Pour l'instant, l'installation se réalise avec la commande '''apt'''<br />
<br /><br />
{{ Console root | apt-get install amavis }}<br />
<br /><br />
<br />
=== Configuration ===<br />
<br />
Nous allons devoir en premier lieux, configurer postfix pour qu'il accepte de travailler avec amavis. Pour ce faire nous éditions les deux fichier suivants :<br />
<br />
* /etc/postfix/master.cf<br />
* /etc/postfix/main.cf<br />
<br><br />
Pour le fichier {{ File | /etc/postfix/master.cf }}, nous allons rajouter les lignes suivantes :<br />
<br><br />
<pre><br />
amavis unix - - - - 2 smtp<br />
-o smtp_data_done_timeout=1200<br />
-o smtp_send_xforward_command=yes<br />
<br />
127.0.0.1:10025 inet n - - - - smtpd<br />
-o content_filter=<br />
-o local_recipient_maps=<br />
-o relay_recipient_maps=<br />
-o smtpd_restriction_classes=<br />
-o smtpd_client_restrictions=<br />
-o smtpd_helo_restrictions=<br />
-o smtpd_sender_restrictions=<br />
-o smtpd_recipient_restrictions=permit_mynetworks,reject<br />
-o mynetworks=127.0.0.0/8<br />
-o strict_rfc821_envelopes=yes<br />
-o receive_override_options=no_unknown_recipient_checks,no_header_body_checks<br />
-o smtpd_bind_address=127.0.0.1<br />
</pre><br />
<br><br />
Pour le fichier {{ File | /etc/postfix/main.cf }}, ajoutons également les lignes suivantes à la fin du fichier :<br />
<br><br />
<pre><br />
content_filter = amavis:[127.0.0.1]:10024<br />
receive_override_options = no_address_mappings<br />
<br />
smtpd_recipient_restrictions = permit_sasl_authenticated,<br />
permit_mynetworks,<br />
reject_unauth_destination,<br />
check_policy_service inet:127.0.0.1:60000<br />
<br />
</pre><br />
<br /><br />
Nous devons activer les filtres, normalement il suffit de décommenter les lignes suivantes du fichier {{ File | /etc/amavis/conf.d/15-cintent_filter_mode }}<br />
<br><br />
<pre><br />
use strict;<br />
<br />
# You can modify this file to re-enable SPAM checking through spamassassin<br />
# and to re-enable antivirus checking.<br />
<br />
#<br />
# Default antivirus checking mode<br />
# Please note, that anti-virus checking is DISABLED by<br />
# default.<br />
# If You wish to enable it, please uncomment the following lines:<br />
<br />
<br />
@bypass_virus_checks_maps = (<br />
\%bypass_virus_checks, \@bypass_virus_checks_acl, \$bypass_virus_checks_re);<br />
<br />
<br />
#<br />
# Default SPAM checking mode<br />
# Please note, that anti-spam checking is DISABLED by<br />
# default.<br />
# If You wish to enable it, please uncomment the following lines:<br />
<br />
<br />
@bypass_spam_checks_maps = (<br />
\%bypass_spam_checks, \@bypass_spam_checks_acl, \$bypass_spam_checks_re);<br />
<br />
1; # ensure a defined return<br />
</pre><br />
<br><br />
Il ne nous reste qu'a configurer la mise en quarantaine en éditant le fichier {{ File | /etc/amavis/conf.d/50-user }}<br />
<br><br />
<pre><br />
use strict;<br />
<br />
#<br />
# Place your configuration directives here. They will override those in<br />
# earlier files.<br />
#<br />
# See /usr/share/doc/amavisd-new/ for documentation and examples of<br />
# the directives you can use in this file<br />
#<br />
<br />
$QUARANTINEDIR = '/var/spool/virusmails'; # Quarantine Directory<br />
$spam_quarantine_method = 'local:spam-%b-%i-%n'; # Filename in $QUARANTINEDIR<br />
$spam_quarantine_to = 'spam-quarantine'; # Put Spam in Quarantine Directory<br />
# $spam_quarantine_to = "admin\@$mydomain"; # Send Spam to Adminstrator<br />
# $spam_quarantine_to = undef; # Do nothing with Spam<br />
$final_spam_destiny = D_DISCARD;<br />
#$spam_admin = "admin\@$mydomain"; # Where to send Notification<br />
<br />
#------------ Do not modify anything below this line -------------<br />
1; # ensure a defined return<br />
<br />
</pre><br />
<br><br />
<br />
Il nous faut pas '''oublier''' de créer le répertoire qui va accueillir les mails infectés ou considéré comme spam<br />
<br><br />
{{ Console root | mkdir /var/spool/virusmails<br>[root@ordi ~]# chown amavis:amavis /var/spool/virusmails }}<br />
<br><br />
{{ Note | L'emplacement du dossier qui contiendra les mails infectés ou considéré comme spam est renseigné via la variable '''$QUARANTINEDIR''' }}<br />
<br><br />
Il reste encore l'installation et la configuration de spamassasin et clamav<br />
<br /><br />
<br />
== Spamassassin ==<br />
<br />
Spamassassin est le logiciel qui comme son nom l'indique va permettre de détecter si les mails que l'ont reçoit sont des spams ou non<br />
<br />
=== Installation ===<br />
<br />
Pour l'instant, l'installation se réalise avec la commande '''apt'''<br />
<br><br />
{{ Console root | apt-get install spamassassin }}<br />
<br><br />
=== Configuration ===<br />
<br />
La configuration de spamassassin se réalise avec le fichier {{ File | /etc/default/spamassassin}} et {{ File | /etc/spamassassin/local.cf}}. Normalement, le fichier devrait ressembler à ceci. Tandis que le fichier {{ File | /etc/postfix/master.cf }} doit être modififié afin d'indiquer à postfix qu'il doit utiliser spamassasin<br />
<br><br />
==== /etc/postfix/master.cf ====<br />
Au début du fichier la section consacré à smtp doit ressembler à ceci :<br />
<br />
<pre><br />
#<br />
# Postfix master process configuration file. For details on the format<br />
# of the file, see the master(5) manual page (command: "man 5 master").<br />
#<br />
# Do not forget to execute "postfix reload" after editing this file.<br />
#<br />
# ==========================================================================<br />
# service type private unpriv chroot wakeup maxproc command + args<br />
# (yes) (yes) (yes) (never) (100)<br />
# ==========================================================================<br />
<br />
smtp inet n - - - - smtpd<br />
-o content_filter=spamassassin<br />
-o content_filter=dfilt:<br />
dfilt unix - n n - - pipe<br />
flags=Rq user=filter argv=/etc/postfix/disclaimer -f ${sender} -- ${recipient}<br />
</pre><br />
<br><br />
{{ Avertissement | il est impératif que la ligne spamassassin soit avant la ligne dfit. Sans cela, le disclaimer ne sera pas mis pour les mails sortant }}<br />
<br><br />
<br />
==== /etc/default/spamassassin ====<br />
<pre><br />
# /etc/default/spamassassin<br />
# Duncan Findlay<br />
<br />
# WARNING: please read README.spamd before using.<br />
# There may be security risks.<br />
<br />
# Change to one to enable spamd<br />
ENABLED=1<br />
<br />
# Options<br />
# See man spamd for possible options. The -d option is automatically added.<br />
SAHOME="/var/lib/spamassassin/"<br />
<br />
# SpamAssassin uses a preforking model, so be careful! You need to<br />
# make sure --max-children is not set to anything higher than 5,<br />
# unless you know what you're doing.<br />
<br />
OPTIONS="--create-prefs --max-children 5 --username spamd --helper-home-dir ${SAHOME} -s ${SAHOME}spamd.log"<br />
<br />
# Pid file<br />
# Where should spamd write its PID to file? If you use the -u or<br />
# --username option above, this needs to be writable by that user.<br />
# Otherwise, the init script will not be able to shut spamd down.<br />
PIDFILE="${SAHOME}spamd.pid"<br />
<br />
# Set nice level of spamd<br />
#NICE="--nicelevel 15"<br />
<br />
# Cronjob<br />
# Set to anything but 0 to enable the cron job to automatically update<br />
# spamassassin's rules on a nightly basis<br />
CRON=0<br />
</pre><br />
<br />
==== /etc/spamassassin/local.cf ====<br />
<br><br />
<pre><br />
# This is the right place to customize your installation of SpamAssassin.<br />
#<br />
# See 'perldoc Mail::SpamAssassin::Conf' for details of what can be<br />
# tweaked.<br />
#<br />
# Only a small subset of options are listed below<br />
#<br />
###########################################################################<br />
<br />
# Add *****SPAM***** to the Subject header of spam e-mails<br />
#<br />
rewrite_header Subject *****SPAM - SPAM_SCORE_*****<br />
<br />
<br />
# Save spam messages as a message/rfc822 MIME attachment instead of<br />
# modifying the original message (0: off, 2: use text/plain instead)<br />
#<br />
report_safe 0<br />
<br />
<br />
# Set which networks or hosts are considered 'trusted' by your mail<br />
# server (i.e. not spammers)<br />
#<br />
# trusted_networks 212.17.35.<br />
<br />
<br />
# Set file-locking method (flock is not safe over NFS, but is faster)<br />
#<br />
# lock_method flock<br />
<br />
<br />
# Set the threshold at which a message is considered spam (default: 5.0)<br />
#<br />
required_score 2.0<br />
<br />
<br />
# Use Bayesian classifier (default: 1)<br />
#<br />
use_bayes 1<br />
use_bayes_rules 1<br />
<br />
# Bayesian classifier auto-learning (default: 1)<br />
#<br />
bayes_auto_learn 1<br />
<br />
<br />
# Set headers which may provide inappropriate cues to the Bayesian<br />
# classifier<br />
#<br />
# bayes_ignore_header X-Bogosity<br />
# bayes_ignore_header X-Spam-Flag<br />
# bayes_ignore_header X-Spam-Status<br />
<br />
<br />
# Some shortcircuiting, if the plugin is enabled<br />
# <br />
ifplugin Mail::SpamAssassin::Plugin::Shortcircuit<br />
#<br />
# default: strongly-whitelisted mails are *really* whitelisted now, if the<br />
# shortcircuiting plugin is active, causing early exit to save CPU load.<br />
# Uncomment to turn this on<br />
#<br />
# shortcircuit USER_IN_WHITELIST on<br />
# shortcircuit USER_IN_DEF_WHITELIST on<br />
# shortcircuit USER_IN_ALL_SPAM_TO on<br />
# shortcircuit SUBJECT_IN_WHITELIST on<br />
<br />
# the opposite; blacklisted mails can also save CPU<br />
#<br />
# shortcircuit USER_IN_BLACKLIST on<br />
# shortcircuit USER_IN_BLACKLIST_TO on<br />
# shortcircuit SUBJECT_IN_BLACKLIST on<br />
<br />
# if you have taken the time to correctly specify your "trusted_networks",<br />
# this is another good way to save CPU<br />
#<br />
# shortcircuit ALL_TRUSTED on<br />
<br />
# and a well-trained bayes DB can save running rules, too<br />
#<br />
# shortcircuit BAYES_99 spam<br />
# shortcircuit BAYES_00 ham<br />
<br />
# Enable or disable network checks<br />
skip_rbl_checks 0<br />
use_razor2 0<br />
use_dcc 0<br />
use_pyzor 0<br />
<br />
endif # Mail::SpamAssassin::Plugin::Shortcircuit<br />
</pre><br />
<br><br />
<br />
Par acquis de conscience, vérifier que le dossier renseigner par la variable SAHOME existe bien et qu'il appartienne bien à l'utilisateur spamd.<br />
Si ce n'est pas le cas, exécutez les commandes suivantes :<br />
<br><br />
{{ Console root | groupadd -g 5001 spamd<br>[root@ordi ~]# useradd -u 5001 -g spamd -s /sbin/nologin -d /var/lib/spamassassin spamd<br>[root@ordi ~]# mkdir /var/lib/spamassassin<br>[root@ordi ~]# chown spamd:spamd /var/lib/spamassassin<br>[root@ordi ~]# chmod 755 /var/lib/spamassassin }}<br />
<br><br />
<br />
=== Mise a jour de la base SPAM ===<br />
<br />
Pour mettre a jour la base anti-spam, il suffit d’exécuter la commande suivante : <br />
<br><br />
{{ Console root | sa-update -D }}<br />
<br><br />
{{ Note | On peux exécuter cette commande dans une tache cron afin de mettre à jour la bas tous les soirs }}<br />
<br><br />
Le service spamassassin est maintenant configurer.<br />
<br><br />
<br />
== ClamAV ==<br />
<br />
ClamAV est le logiciel anti-virus qui va scanner tous les mails que l'on reçoit<br />
<br />
=== Installation ===<br />
<br />
Pour l'instant, l'installation se réalise avec la commande '''apt'''<br />
<br><br />
{{ Console root | apt-get install clamav clamav-daemon }}<br />
<br><br />
<br />
=== Configuration ===<br />
<br />
La seule configuration à réalisé est de rajouter l'utilisateur clamav, qui a été crée lors de l'installation du paquet, au groupe amavis : <br />
<br><br />
{{ Console root | adduser clamav amavis<br>Ajout de l'utilisateur « clamav » au groupe « amavis »...<br>Ajout de l'utilisateur clamav au groupe amavis<br>Fait. }}<br />
<br><br />
== Test de Spamassassin et Clamav ==<br />
<br />
Avant de pouvoir tester le bon fonctionnement de Spamassassin et Clamv, il est nécessaire de démarrer/redémarrer les services dans l'ordre suivant :<br />
<br><br />
{{ Console root | /etc/init.d/spamassassin restart<br>Starting SpamAssassin Mail Filter Daemon: spamd. }}<br />
<br><br />
{{ Console root | /etc/init.d/amavis restart<br>Stopping amavisd: amavisd-new.<br>Starting amavisd: amavisd-new. }}<br />
<br><br />
{{ Console root | /etc/init.d/clamav-daemon restart<br>Stopping ClamAV daemon: clamd.<br>Starting ClamAV daemon: clamd.}}<br />
<br><br />
{{ Console root | /etc/init.d/postfix restart<br>Stopping Postfix Mail Transport Agent: postfix.<br>Starting Postfix Mail Transport Agent: postfix.}}<br />
<br><br />
<br />
=== Test de Spamassassin ===<br />
<br />
Vous trouverez dans la doc un exemple de Spam: /usr/share/doc/spamassassin/examples/sample-spam.txt<br />
Il suffit de coller cette ligne dans un mail et de l'envoyer :<br />
<br><br />
<pre><br />
XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X<br />
</pre><br />
Il sera détecté comme Spam si tout va bien<br />
<br />
=== Test de Clamav ===<br />
<br />
Vous procèderez de la même manière, avec le code suivant, récupéré sur [http://www.eicar.org/anti_virus_test_file.htm www.eicar.org] :<br />
<br><br />
<pre><br />
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*<br />
</pre><br />
Si tout se passe correctement, le mail sera placé en quarantaine.<br />
<br><br />
{{ Note | Pour vérifier le bon fonctionnement de l'anti-spam et l'anti-virus, consulter le fichier log {{ File | /var/log/mail.log }}. On peux utiliser la commande ''tail -f /var/log/mail.log'' pour plus de faciliter }}<br />
<br><br />
<br />
== Submission ==<br />
<br />
Les manipulations décrites ci-dessus permettent d'activer une authentification sécurisée sur le port 25/tcp. Or, dans le cadre de la lutte ant-virus et anti-spam, ce port est de plus en plus souvent filtré dans les réseaux, surtout les réseaux publics. Si nous proposons un service sur le port 25/tcp, il risque donc de ne pas être accessible depuis n'importe où...<br />
<br />
Pour ce faire, on va configurer Postfix pour qu'il sache recevoir des connexions sur le port 587/tcp (submission). On imposera que ces connexions soient chiffrées en TLS et on imposera également une authentification SASL. Nous proposerons ainsi à nos utilisateurs un service leur permettant d'envoyer des mails depuis n'importe quel client de messagerie connecté à Internet (le port 587/tcp n'est pas filtré puisqu'il est censé toujours proposer des services avec authentification, donc pas (trop) de spam ni virus).<br />
<br />
Cette technique est décrite dans la RFC 2476.<br />
<br />
Pour activer le service, il suffit de le rajouter/décommenter dans le fichier /etc/postfix/master.cf :<br />
<br />
# lignes à ajouter dans /etc/postfix/master.cf :<br />
# submission : on ouvre le port 587/tcp sur lequel on impose TLS<br />
# et on n'accepte que les clients authentifiés. Cela impose d'avoir<br />
# déjà configuré TLS et SASL, bien entendu.<br />
# service type private unpriv chroot wakeup maxproc command + args<br />
submission inet n - - - - smtpd<br />
-o smtpd_tls_security_level=encrypt<br />
-o smtpd_client_restrictions=permit_sasl_authenticated,reject<br />
<br />
Notes :<br />
<br />
sur les anciennes versions de Postfix (< 2.3), on indique smtpd_enforce_tls=yes au lieu de smtpd_tls_security_level=encrypt)<br />
ne pas oublier d'ouvrir le port 587/tcp vers le serveur au niveau du parefeu : c'est un service à ouvrir à tout Internet <br />
<br />
Ce service est notamment activé sur la messagerie de Montréal, vous trouverez le mode d'emploi côté client ici : MessagerieAufOrg/EnvoiSmtpSortant<br />
<br />
== Syslog-ng ==<br />
<br />
=== Installation ===<br />
<br />
Pour installer Syslog, référencez vous à la page consacré à [[Syslog-ng]]<br />
<br />
=== Configuration ===<br />
<br />
Le fichier {{ File | /etc/syslog-ng/syslog-ng.conf }} sur le '''serveur Postfix''' doit ressembler à ceci :<br />
<br><br />
<pre><br />
@version: 3.0<br />
<br />
######<br />
# options<br />
<br />
options {<br />
# disable the chained hostname format in logs<br />
# (default is enabled)<br />
chain_hostnames(0);<br />
<br />
# the time to wait before a died connection is re-established<br />
# (default is 60)<br />
time_reopen(10);<br />
<br />
# the time to wait before an idle destination file is closed<br />
# (default is 60)<br />
time_reap(360);<br />
<br />
# the number of lines buffered before written to file<br />
# you might want to increase this if your disk isn't catching with<br />
# all the log messages you get or if you want less disk activity<br />
# (say on a laptop)<br />
# (default is 0)<br />
#sync(0);<br />
<br />
# the number of lines fitting in the output queue<br />
log_fifo_size(2048);<br />
<br />
# enable or disable directory creation for destination files<br />
create_dirs(yes);<br />
<br />
# default owner, group, and permissions for log files<br />
# (defaults are 0, 0, 0600)<br />
owner(root);<br />
#group(adm);<br />
perm(0640);<br />
<br />
# default owner, group, and permissions for created directories<br />
# (defaults are 0, 0, 0700)<br />
dir_owner(root);<br />
#dir_group(root);<br />
dir_perm(0755);<br />
<br />
# enable or disable DNS usage<br />
# syslog-ng blocks on DNS queries, so enabling DNS may lead to<br />
# a Denial of Service attack<br />
# (default is yes)<br />
use_dns(no);<br />
<br />
# maximum length of message in bytes<br />
# this is only limited by the program listening on the /dev/log Unix<br />
# socket, glibc can handle arbitrary length log messages, but -- for<br />
# example -- syslogd accepts only 1024 bytes<br />
# (default is 2048)<br />
#log_msg_size(2048);<br />
<br />
#Disable statistic log messages.<br />
stats_freq(0);<br />
<br />
# Some program send log messages through a private implementation.<br />
# and sometimes that implementation is bad. If this happen syslog-ng<br />
# may recognise the program name as hostname. Whit this option<br />
# we tell the syslog-ng that if a hostname match this regexp than that<br />
# is not a real hostname.<br />
bad_hostname("^gconfd$");<br />
<br />
flush_lines (0);<br />
};<br />
<br />
<br />
############################<br />
# Sources<br />
############################<br />
# all known message sources<br />
source s_all {<br />
# message generated by Syslog-NG<br />
#internal();<br />
# standard Linux log source (this is the default place for the syslog()<br />
# function to send logs to)<br />
unix-stream("/dev/log");<br />
# messages from the kernel<br />
#file("/proc/kmsg" log_prefix("kernel: "));<br />
# use the following line if you want to receive remote UDP logging messages<br />
# (this is equivalent to the "-r" syslogd flag)<br />
# udp();<br />
};<br />
<br />
source postfix {<br />
#file("/var/log/mail.err" follow_freq(1) flags(no-parse));<br />
#file("/var/log/mail.info" follow_freq(1) flags(no-parse));<br />
file("/var/log/mail.log" follow_freq(1) flags(no-parse));<br />
#file("/var/log/mail.warn" follow_freq(1) flags(no-parse));<br />
};<br />
<br />
<br />
###########################<br />
# Destinations<br />
###########################<br />
#Serveur distant<br />
destination srv_dist {<br />
udp ("192.168.100.20" port(514));<br />
};<br />
<br />
#Local<br />
destination local_messages {<br />
file("/var/log/syslog-ng/messages");<br />
};<br />
<br />
destination postfix {<br />
file("/var/log/syslog-ng/$HOST/postfix.log");<br />
};<br />
<br />
<br />
<br />
################################<br />
# Filters<br />
################################<br />
# all messages from the auth and authpriv facilities<br />
filter f_auth { facility(auth, authpriv); };<br />
<br />
# all messages except from the auth and authpriv facilities<br />
filter f_syslog { not facility(auth, authpriv); };<br />
<br />
# respectively: messages from the cron, daemon, kern, lpr, mail, news, user,<br />
# and uucp facilities<br />
filter f_cron { facility(cron); };<br />
filter f_daemon { facility(daemon); };<br />
filter f_kern { facility(kern); };<br />
filter f_lpr { facility(lpr); };<br />
filter f_mail { facility(mail); };<br />
filter f_news { facility(news); };<br />
filter f_user { facility(user); };<br />
filter f_uucp { facility(uucp); };<br />
<br />
# some filters to select messages of priority greater or equal to info, warn,<br />
# and err<br />
# (equivalents of syslogd's *.info, *.warn, and *.err)<br />
filter f_at_least_info { level(info..emerg); };<br />
filter f_at_least_notice { level(notice..emerg); };<br />
filter f_at_least_warn { level(warn..emerg); };<br />
filter f_at_least_err { level(err..emerg); };<br />
filter f_at_least_crit { level(crit..emerg); };<br />
<br />
# all messages of priority debug not coming from the auth, authpriv, news, and<br />
# mail facilities<br />
filter f_debug { level(debug) and not facility(auth, authpriv, news, mail); };<br />
<br />
# all messages of info, notice, or warn priority not coming form the auth,<br />
# authpriv, cron, daemon, mail, and news facilities<br />
filter f_messages {<br />
level(info,notice,warn)<br />
and not facility(auth,authpriv,cron,daemon,mail,news);<br />
};<br />
<br />
# messages with priority emerg<br />
filter f_emerg { level(emerg); };<br />
<br />
# complex filter for messages usually sent to the xconsole<br />
filter f_xconsole {<br />
facility(daemon,mail)<br />
or level(debug,info,notice,warn)<br />
or (facility(news)<br />
and level(crit,err,notice));<br />
};<br />
<br />
###################################################<br />
# Filtre "perso"<br />
##################################################<br />
<br />
filter postfix { program("postfix") or program("cyrus"); };<br />
<br />
######<br />
# logs<br />
# order matters if you use "flags(final);" to mark the end of processing in a<br />
# "log" statement<br />
<br />
# these rules provide the same behavior as the commented original syslogd rules<br />
<br />
#log {<br />
# source(s_all);<br />
# destination(srv_dist);<br />
# filter(f_auth);<br />
#};<br />
<br />
log {<br />
source(s_all);<br />
filter(postfix);<br />
destination(postfix);<br />
};<br />
<br />
<br />
log {<br />
source(s_all);<br />
destination(srv_dist);<br />
};<br />
<br />
#log {<br />
# source(s_all);<br />
# destination(local_messages);<br />
#};<br />
</pre><br />
<br><br />
Concernant la machine ayant le rôle de serveur log, Il faut modifier le fichier {{ File | /etc/syslog-ng/syslog-ng.conf }} en rajoutant les parties suivantes : <br />
<br><br />
<pre><br />
...<br />
#Partie Destination<br />
destination postfix {<br />
file("/var/log/syslog-ng/$HOST/$DAY.$MONTH.$YEAR-postfix.log");<br />
};<br />
...<br />
<br />
#Partie Filtre<br />
filter postfix { program("postfix"); };<br />
...<br />
<br />
#Partie Log paths<br />
log {<br />
source(local);<br />
filter(postfix);<br />
destination(postfix);<br />
<br />
};<br />
...<br />
</pre><br />
<br><br />
== Migration ==<br />
<br />
Pour la migration voir [[Imapsync|ICI]]<br />
<br />
== Troubleshooting ==<br />
<br />
=== setaclmailbox: cyrus: lrswipcda: System I/O error ===<br />
<br />
Si on rencontre l'erreur suivante sur un utilisateur mail, il faut reconstruire sa boite mail.<br />
Pour ce faire, il faut se connecter en tant qu'utilisateur cyrus :<br />
<br><br />
{{ Console root | su cyrus }}<br />
<br><br />
Reconstruire la boite mail :<br />
<pre><br />
/usr/sbin/cyrreconstruct -rxf user.nomUtilisateur<br />
</pre><br />
<br />
=== testsaslauthd : "connect() : No such file or directory 0" ===<br />
<br />
Si lors d'un redémarrage du serveur mail ou d'un autre service et que vous tentez de réaliser un '''testsaslauthd''', il se peut que l'erreur '''connect() : No such file or directory 0'''<br />
<br />
Il faut refaire un lien symbolique :<br />
<pre><br />
rm -rf /var/run/saslauthd<br />
ln -s /var/spool/postfix/var/run/saslauthd /var/run/saslauthd<br />
</pre><br />
<br />
Pour automatiser le tout, on peux rajouter cette commande au fichier {{ File | /etc/rc.local }}<br />
<pre><br />
#Commande pour Postfix<br />
ln -s /var/spool/postfix/var/run/saslauthd /var/run/saslauthd<br />
exit 0<br />
</pre><br />
<br />
== Procédures ==<br />
<br />
=== Manipulation Queue ===<br />
*Vider la queue : postsuper -d ALL<br />
*Lister les messages : postqueue -p<br />
*Supprimer message : postsuper -d ID ( L'ID est donné via la commande du dessus)<br />
*Mettre un messages en attente (hold) : postsuper -h ID<br />
*Remettre un messages en mode normale (actif) : postsuper -H ID<br />
*Remettre en Queue un message : postsuper -r ID<br />
*Pour tous les messages : postsuper -r ID<br />
*Afficher le contenu d'un message : postcat -q ID<br />
*Forcer l'envoie des messages en Queue (flush) : postqueue -f<br />
<br><br />
<br />
=== Créer nouvelle boite mail ===<br />
{{ Avertissement | L'utilisateur doit d'abord être créée dans le LDAP }}<br />
<br><br />
Pour créer une nouvelle boite mail, il faut se connecter sur l'interface administration de cyrus : <br />
<br><br />
{{ Console | cyradm --user cyrus localhost<br>Password: }}<br />
<br><br />
* --user: cyrus est l'administrateur du service cyrus<br />
* localhost: Parce qu’on est connecté sur la machine où est installé cyrus<br />
<br />
Une fois connecter, on peux créer la nouvelle boite mail :<br />
<pre><br />
cm user.nomUtilisateur<br />
</pre><br />
<br><br />
{{ Avertissement | Toujours mettre user. avant le nom d'utilisateur sinon cela crée une boite mail partagée }}<br />
<br><br />
On peux vérifier qu'elle a bien été créée en rentrant la commande ''lm'' (listmailbox)<br />
<br />
Il faut maintenant donner tous les droits à l'utilisateur cyrus sur la boite mail crée. Sans cela, cyrus ne pourra pas la supprimer, lui assigner des quotas ...<br />
<br><br />
<pre><br />
setacl user.nomutilisateur cyrus all<br />
</pre><br />
<br><br />
Dans ce cas-ci, on assigne tous les droits à l'utilisateur cyrus sur la boite. C'est une question de faciliter pour la manipulation dans le futur des boites mails<br />
<br />
<br />
Pour maintenant vérifier l'authentification, on utilise la commande testsaslauthd<br />
<br><br />
{{ Console | testsaslauthd -u user -p password<br>0: OK "Success." }}<br />
<br><br />
La partie authentification est réalisé. La dernière étape est de créer l'alias. On édite le fichier {{ File | /etc/aliases }} et on rajoute une ligne au format suivant :<br />
<pre><br />
nomUtilisateur: nomUtilisateur@domaine<br />
...<br />
denis: denis@diouxx.be<br />
devleeschauwer: ddevleeschauwer@diouxx.be<br />
</pre><br />
<br />
Il faut recharger la base d'alias :<br />
<br><br />
{{ Console | postalias /etc/aliases }}<br />
<br><br />
<br />
=== Supprimer boite mail ===<br />
<br />
Pour supprimer une boite mail, on doit, premièrement, se connecter à l'outil cyradm :<br />
<br><br />
{{ Console | cyradm --user cyrus localhsot<br>Password: }}<br />
<br><br />
Pour supprimer la boite mail, entrez la commande dm :<br />
<br><br />
<pre><br />
dm user.nomUtilisateur<br />
</pre><br />
<br />
Si une erreur ''"deletemailbox: Permission denied"'' apparait, c'est un problème de droits sur la boite. Pour régler cela, rentrez les commandes suivantes :<br />
<pre><br />
localhost> setacl user.test cyrus all<br />
localhost> dm user.test<br />
</pre><br />
<br />
Vérifier la suppression de la boite mail via la commande ''lm''<br />
<br />
Les démarches ci-dessus, expliquent comment supprimer une boite mail mais on peut aussi supprimer l’utilisateur. Quittez l'outil cyradm.<br />
Pour supprimer l'utilisateur, on utilise la commande saslpasswd<br />
<br><br />
{{ Console | saslpasswd -d nomUtilisateur }}<br />
<br><br />
On peux vérifier la suppression effective via :<br />
<br><br />
{{ Console | sasldblistusers2 }}<br />
<br><br />
Il reste plus qu'a supprimer l'alias de l’utilisateur et recréer la base d'alias.<br />
<br />
* Éditez le fichier {{ File | /etc/aliases }} et supprimer la ligne correspondant au nom d'utilisateur<br />
* Pour reconstruire la base d'alias, entrez la commande ''postalias /etc/aliases''<br />
<br />
=== Assigner/Modifier quotas ===<br />
<br />
Pour assigner ou modifier les quotas d'un utilisateur, tout se passe dans l'outil cyradm<br />
<br><br />
{{ Console | cyradm --user cyrus loclahost<br>Password: }}<br />
<br><br />
{{ Note | La taille des quotas s'exprime en Ko. Donc si on spécifie 1024, cela veux dire qu'on assigne 1Mo de quotas à l'utilisateur. }}<br />
<br><br />
<pre><br />
localhost> setquota user.nomUtilisateur 1024<br />
</pre><br />
<br />
Pour vérifier le quota d'un utilisateur :<br />
<pre><br />
localhost> listquota user.nomUtilisateur<br />
</pre><br />
<br><br />
=== Whitelist/Blacklist ===<br />
Pour ajouter une adresse mail à la whitelist, il suffit de la rajouter dans le fichier {{ File | /etc/spamassassin/local.cf }}<br />
<pre><br />
#<br />
#WhiteList<br />
#<br />
whitelist_from utilisateur@domaine<br />
whitelist_from *@domaine<br />
<br />
#<br />
#Blacklist<br />
#<br />
blacklist_from utilisateur@domaine<br />
blacklist_from *@domaine<br />
</pre><br />
=== Restaurer Boit mail ===<br />
Après avoir restauré la boite mail ( ou une partie de celle-ci ), il faut reconstituer l'indexation.<br />
Pour ce faire, il faut se connecter en tant qu'utilisateur cyrus :<br />
<br><br />
{{ Console root | su cyrus }}<br />
<br><br />
Reconstruire la boite mail :<br />
<br><br />
{{ Console | /usr/sbin/cyrreconstruct -rxf user.nomUtilisateur }}<br />
<br><br />
<br />
=== Envoi d'un email lors d'une connexion SSH ===<br />
Il est possible d'envoyer un mail lorsqu'une personne se connecte à un serveur.<br />
<br />
On installe d'abord le paquet '''mailutils''' qui permettra d'envoyer un mail.<br />
<br><br />
{{ Console root | sudo apt-get install mailutils }}<br />
<br><br />
<br />
A l'installation, on nous demandera de configurer postfix. On choisira une configuration '''Système satellite'''<br />
* Nom de courrier : domain.be<br />
* Serveur relais SMTP : smtp.domain.be<br />
<br />
Une fois la configuration faite, on peux tester l'envoi de mail via cette commande :<br />
<pre><br />
echo 'NOTIFICATION - Acces SSH en '` id | cut -d "(" -f2 | cut -d ")" -f1`' sur '`hostname`' le: ' `date` `who` | mail -s "NOTIFICATION - Connexion en "`id | cut -d '(' -f2 | cut -d ')' -f1`" via SSH depuis: `who | cut -d"(" -f2 | cut -d")" -f1`" mail@domain.be<br />
</pre><br />
Pour que l'on reçoive un mail lors d'une connexion en tant que root, il suffit de rajouter cette ligne au fichier {{ File | /root/.bashrc }}<br />
<pre><br />
echo 'NOTIFICATION - Acces SSH en '` id | cut -d "(" -f2 | cut -d ")" -f1`' sur '`hostname`' le: ' `date` `who` | mail -s "NOTIFICATION - Connexion en "`id | cut -d '(' -f2 | cut -d ')' -f1`" via SSH depuis: `who | cut -d"(" -f2 | cut -d")" -f1`" mail@domain.be<br />
</pre><br />
<br />
Maintenant, des qu'on se connecte en root directement via '''ssh''' ou via la commande '''sudo su''', un mail est envoyé.<br />
<br />
[[Catégorie:Système]]</div>Ddevleeschauwerhttp://wiki.diouxx.be/index.php?title=Postfix&diff=271Postfix2017-11-07T07:24:59Z<p>Ddevleeschauwer : /* Procédures */</p>
<hr />
<div>{{ Introduction | Cette page permet de réaliser la mis en place ainsi que la configuration de Postfix }}<br />
<br />
Avant toute chose, il est nécessaire d'installer et configurer Cyrus-Imap<br />
<br />
== Cyrus Imap ==<br />
<br />
Pour l'installation et la configuration de Cyrus Imap, veuillez vous référencer à la [[Cyrus|page suivante]]<br />
<br />
== Postfix ==<br />
<br />
=== Installation ===<br />
<br />
=== Configuration ===<br />
<br />
La configuration de postfix est réalisé via deux fichiers<br />
<br />
* main.cf<br />
* master.cf<br />
<br><br />
Le fichier {{ File | main.cf }} qui permet de paramétrer postfix<br />
<br /><br />
<syntaxhighlight lang="bash"><br />
#########################################<br />
# REGLES GENERALES #<br />
#########################################<br />
<br />
#La règle smtpd_banner définit le message d’accueil du serveur Postfix<br />
#smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)<br />
smtpd_banner = DIOUXX<br />
<br />
#Desactivation notification terminal<br />
biff = no<br />
<br />
#La règle myhostname renseigne le nom de la machine sur laquelle s’exécute (est installé) Postfix.<br />
myhostname = your hostname<br />
<br />
#La règle mail_name définit le nom du système de messagerie du serveur<br />
mail_name = Postfix<br />
<br />
#La règle mydomain renseigne le nom de domaine auquel appartient la machine sur laquelle s’exécute Postfix.<br />
mydomain = diouxx.be<br />
<br />
#La règle mydestination énumère tous les domaines pour lesquels le serveur Postfix acceptera les mails afin de les distribuer en local.<br />
#"distribuer en local" signifie: livrer les mails à tous les utilisateurs ayant un compte UNIX ou un compte virtuel (c’est à dire simplement une BàL) sur une machine qui appartient à <br />
#l’un des domaines de la liste de la règle mydestination.<br />
#A la place de $mydomain on peut bien sûr mettre le nom de domaine en toute lettre !<br />
mydestination = $myhostname, www.$mydomain, $mydomain, localhost, localhost.$mydomain<br />
<br />
inet_interfaces = all<br />
<br />
#proxy_interfaces = 193.190.248.8<br />
<br />
#################################<br />
# VIRTUAL DOMAIN #<br />
#################################<br />
<br />
#Le paramètre virtual_mailbox_domains indique à Postfix que test.pass.be est un domaine de boîtes-aux-lettres virtuelles.<br />
#Si vous l'oubliez, Postfix rejetera le courrier (relais interdit) ou ne sera pas en mesure de le livrer (le courrier de exmple.com bouclera).<br />
#virtual_mailbox_domains = test.pass.be<br />
<br />
#Le paramètre virtual_mailbox_base indique le répertoire de base pour toutes les boîtes aux lettres virtuelles.<br />
#C'est un mécanisme évitant les erreurs : le courrier ne peut être livré n'importe où.<br />
#virtual_mailbox_base = /var/spool/cyrus/mail<br />
<br />
# Le paramètre virtual_mailbox_maps indique la table des correspondances entre les adresses virtuelles et les boîtes-aux-lettres (ou les répertoires).<br />
#virtual_mailbox_maps = hash:/etc/postfix/vmailbox<br />
<br />
#virtual_alias_domains = /etc/postfix/virtual_domains<br />
<br />
#Il est possible de mixer les alias virtuels avec des boîtes-aux-lettres virtuelles.<br />
#virtual_alias_maps = hash:/etc/postfix/virtual<br />
<br />
#virtual_minimum_uid = 100<br />
#virtual_uid_maps = static:5000<br />
#virtual_gid_maps = static:5000<br />
<br />
##########################################<br />
# MASQUAGE DES NOMS D'HOTES #<br />
##########################################<br />
<br />
#La règle myorigin renseigne la partie réseau de l’adresse d’enveloppe ou d’en-tête des mails qui seront envoyés par Postfix.<br />
myorigin = $mydomain<br />
<br />
#La règle append_at_myorigin initialise ou non (yes/no) la réécriture des adresses en ajoutant à ces adresses<br />
#append_at_myorigin = yes<br />
<br />
#La règle append_dot_mydomain initialise ou non la réécriture des adresses en ajoutant à ces adresses<br />
#append_dot_mydomain = yes<br />
<br />
#La règle masquerade_domains définit les règles de supression des noms d’hôtes et/ou de sous-domaines dans les adresses d’enveloppe et les en-têtes de message de l’expéditeur<br />
#(et non du destinataire!!!).<br />
#masquerade_domains = admin.pass.be<br />
<br />
#La règle masquerade_exceptions définit les comptes pour lesquels ne s’appliqueront pas les règles de la directive masquerad_domains.<br />
#masquerade_exceptions =<br />
<br />
#########################################<br />
# CONTROLE D ACCES RELAYAGE #<br />
#########################################<br />
<br />
#La règle mynetworks énumère les réseaux ou adresses des machines qui peuvent utiliser le serveur postfix pour envoyer/relayer du courrier vers l’extérieur.<br />
mynetworks = 127.0.0.0/8 <br />
#mynetworks_style = class<br />
<br />
#La règle relay_domains indique les domaines et sous-domaines vers lesquels Postfix va relayer (faire suivre) le courrier.<br />
relay_domains = $mydestination <br />
<br />
#La règle relayhost définit la passerelle SMTP qui est rellement connectée à Internet.<br />
#Cette règle ne concerne que les mails SORTANT.<br />
relayhost = <br />
<br />
#################################<br />
# CONFIGURATION TLS #<br />
#################################<br />
smtp_use_tls=no<br />
smtpd_use_tls=yes<br />
#smtpd_tls_security = may<br />
smtpd_tls_CApath = /etc/postfix/tls<br />
smtpd_tls_key_file = /etc/postfix/tls/postfix.key<br />
smtpd_tls_cert_file = /etc/postfix/tls/postfix.crt<br />
smtpd_tls_CAfile = /etc/postfix/tls/cacert.pem<br />
smtpd_tls_loglevel = 1<br />
smtpd_tls_received_header = yes<br />
smtpd_tls_session_cache_timeout = 3600s<br />
tls_random_source = dev:/dev/urandom<br />
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache<br />
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache<br />
smtp_use_tls = yes<br />
smtp_tls_security_level = may<br />
smtp_tls_loglevel = 1<br />
smtp_tls_note_starttls_offer = yes <br />
<br />
#########################################<br />
# CONFIGURATION SASL #<br />
#########################################<br />
<br />
smtpd_sasl_auth_enable = yes<br />
smtpd_sasl_local_domain = <br />
smtpd_sasl_type = cyrus<br />
smtpd_sasl_path = smtpd<br />
smtpd_sasl_security_options = noanonymous<br />
smtpd_sasl_authenticated_header = yes<br />
broken_sasl_auth_clients = yes<br />
<br />
#########################################<br />
# TABLE DE RECHERCHES #<br />
#########################################<br />
<br />
#La règle default_database_type définit le type de base de données que l’on souhaite utiliser.<br />
#default_database_type = hash<br />
<br />
#########################<br />
# ALIAS #<br />
#########################<br />
<br />
#La règle alias_maps définit le type (hash, NIS, LDAP, etc...) et l’emplacement du fichier texte dont se servira la commande postalias ou newalises<br />
#pour re/construire le(s) fichier(s) de base de données (.db) d’alias utilisés par l’agent de distribution local.<br />
alias_maps = hash:/etc/aliases<br />
<br />
#La règle alias_database définit l’emplacement des fichiers texte dont se servira la commande newaliases pour construire les fichiers base de données d’alias,<br />
#c’est à dire uniquement les fichiers qui doivent être indexés par la commande newaliases.<br />
#alias_database = hash:/etc/aliases.db<br />
alias_database = hash:/etc/aliases<br />
<br />
#La règle default_privs définit les privilèges de Postfix lors de la distribution en local à un alias.<br />
#default_privs = nobody<br />
<br />
#La règle allow_mail_to_commands définit dans quel cadre Postfix doit délivrer le courrier à une commande.<br />
#allow_mail_to_commands = alias,forward, include<br />
<br />
#La règle allow_mail_to_files définit dans quel cadre Postfix doit délivrer le courrier à un fichier.<br />
#allow_mail_to_files = alias,forward, include<br />
<br />
#########################################################<br />
# REECRITURE ET/OU REDIRECTION D ADRESSES #<br />
#########################################################<br />
<br />
<br />
#########################################<br />
# GESTION FILE D ATTENTE #<br />
#########################################<br />
<br />
#La règle queue_directory définit l’emplacement du répertoire racine de la file d’attente de Postfix.<br />
queue_directory = /var/spool/postfix<br />
<br />
#################################<br />
# DISTRIBUTION LOCALE #<br />
#################################<br />
<br />
mailbox_transport = lmtp:unix:/var/run/cyrus/socket/lmtp<br />
<br />
local_recipient_maps = $alias_maps<br />
#local_recipient_maps =<br />
<br />
#########################<br />
# GESTION BAL #<br />
#########################<br />
<br />
home_mailbox = Maildir/<br />
<br />
#Limitation de la taille des BAL<br />
mailbox_size_limit = 0<br />
<br />
#Taille maximal des messages<br />
#Taille = 20 Mo<br />
message_size_limit = 20480000<br />
<br />
#########################<br />
# AMAVIS #<br />
#########################<br />
<br />
content_filter = amavis:[127.0.0.1]:10024<br />
receive_override_options = no_address_mappings<br />
<br />
smtpd_recipient_restrictions = permit_sasl_authenticated,<br />
permit_mynetworks,<br />
reject_unauth_destination,<br />
# check_policy_service inet:127.0.0.1:60000<br />
check_policy_service inet:127.0.0.1:10023<br />
<br />
#########################<br />
# SECURITE #<br />
#########################<br />
<br />
#Bloque une partie de SPAM en obligeant la requete HELO<br />
smtpd_helo_required = yes<br />
<br />
#Utilisation de postgrey <br />
#check_policy_service = inet:127.0.0.1:10023<br />
<br />
</syntaxhighlight><br />
<br /><br />
Le fichier {{ File | master.cf }} permet de définir la manière dont postfix va communiquer via les différents protocoles qu'il accepte<br />
<br /><br />
<syntaxhighlight lang="bash"><br />
#<br />
# Postfix master process configuration file. For details on the format<br />
# of the file, see the master(5) manual page (command: "man 5 master").<br />
#<br />
# Do not forget to execute "postfix reload" after editing this file.<br />
#<br />
# ==========================================================================<br />
# service type private unpriv chroot wakeup maxproc command + args<br />
# (yes) (yes) (yes) (never) (100)<br />
# ==========================================================================<br />
smtp inet n - - - - smtpd<br />
# -o content_filter=spamassassin<br />
#smtp inet n - - - 1 postscreen<br />
#smtpd pass - - - - - smtpd<br />
#dnsblog unix - - - - 0 dnsblog<br />
#tlsproxy unix - - - - 0 tlsproxy<br />
submission inet n - - - - smtpd<br />
# -o syslog_name=postfix/submission<br />
-o smtpd_tls_security_level=encrypt<br />
# -o smtpd_sasl_auth_enable=yes<br />
-o smtpd_client_restrictions=permit_sasl_authenticated,reject<br />
# -o milter_macro_daemon_name=ORIGINATING<br />
smtps inet n - - - - smtpd<br />
# -o syslog_name=postfix/smtps<br />
-o smtpd_tls_wrappermode=yes<br />
-o smtpd_sasl_auth_enable=yes<br />
# -o smtpd_client_restrictions=permit_sasl_authenticated,reject<br />
-o smtpd_client_restrictions=permit_sasl_authenticated<br />
-o milter_macro_daemon_name=ORIGINATING<br />
#628 inet n - - - - qmqpd<br />
pickup fifo n - - 60 1 pickup<br />
cleanup unix n - - - 0 cleanup<br />
qmgr fifo n - n 300 1 qmgr<br />
#qmgr fifo n - n 300 1 oqmgr<br />
tlsmgr unix - - - 1000? 1 tlsmgr<br />
rewrite unix - - - - - trivial-rewrite<br />
bounce unix - - - - 0 bounce<br />
defer unix - - - - 0 bounce<br />
trace unix - - - - 0 bounce<br />
verify unix - - - - 1 verify<br />
flush unix n - - 1000? 0 flush<br />
proxymap unix - - n - - proxymap<br />
proxywrite unix - - n - 1 proxymap<br />
smtp unix - - - - - smtp<br />
relay unix - - - - - smtp<br />
-o smtp_fallback_relay=<br />
# -o smtp_helo_timeout=5 -o smtp_connect_timeout=5<br />
showq unix n - - - - showq<br />
error unix - - - - - error<br />
retry unix - - - - - error<br />
discard unix - - - - - discard<br />
local unix - n n - - local<br />
virtual unix - n n - - virtual<br />
lmtp unix - - n - - lmtp<br />
anvil unix - - - - 1 anvil<br />
scache unix - - - - 1 scache<br />
#<br />
# ====================================================================<br />
# Interfaces to non-Postfix software. Be sure to examine the manual<br />
# pages of the non-Postfix software to find out what options it wants.<br />
#<br />
# Many of the following services use the Postfix pipe(8) delivery<br />
# agent. See the pipe(8) man page for information about ${recipient}<br />
# and other message envelope options.<br />
# ====================================================================<br />
#<br />
# maildrop. See the Postfix MAILDROP_README file for details.<br />
# Also specify in main.cf: maildrop_destination_recipient_limit=1<br />
#<br />
maildrop unix - n n - - pipe<br />
flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient}<br />
#<br />
# ====================================================================<br />
#<br />
# Recent Cyrus versions can use the existing "lmtp" master.cf entry.<br />
#<br />
# Specify in cyrus.conf:<br />
# lmtp cmd="lmtpd -a" listen="localhost:lmtp" proto=tcp4<br />
#<br />
# Specify in main.cf one or more of the following:<br />
# mailbox_transport = lmtp:inet:localhost<br />
# virtual_transport = lmtp:inet:localhost<br />
#<br />
# ====================================================================<br />
#<br />
# Cyrus 2.1.5 (Amos Gouaux)<br />
# Also specify in main.cf: cyrus_destination_recipient_limit=1<br />
#<br />
cyrus unix - n n - - pipe<br />
# user=cyrus argv=/cyrus/bin/deliver -e -r ${sender} -m ${extension} ${user}<br />
#<br />
# ====================================================================<br />
# Old example of delivery via Cyrus.<br />
#<br />
#old-cyrus unix - n n - - pipe<br />
# flags=R user=cyrus argv=/cyrus/bin/deliver -e -m ${extension} ${user}<br />
#<br />
# ====================================================================<br />
#<br />
# See the Postfix UUCP_README file for configuration details.<br />
#<br />
uucp unix - n n - - pipe<br />
flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)<br />
#<br />
# Other external delivery methods.<br />
#<br />
ifmail unix - n n - - pipe<br />
flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)<br />
bsmtp unix - n n - - pipe<br />
flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient<br />
scalemail-backend unix - n n - 2 pipe<br />
flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension}<br />
mailman unix - n n - - pipe<br />
flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py<br />
${nexthop} ${user}<br />
<br />
#Amavis<br />
amavis unix - - - - 2 smtp<br />
-o smtp_data_done_timeout=1200<br />
-o smtp_send_xforward_command=yes<br />
<br />
127.0.0.1:10025 inet n - - - - smtpd<br />
-o content_filter=<br />
-o local_recipient_maps=<br />
-o relay_recipient_maps=<br />
-o smtpd_restriction_classes=<br />
-o smtpd_client_restrictions=<br />
-o smtpd_helo_restrictions=<br />
-o smtpd_sender_restrictions=<br />
-o smtpd_recipient_restrictions=permit_mynetworks,reject<br />
-o mynetworks=127.0.0.0/8<br />
-o strict_rfc821_envelopes=yes<br />
-o receive_override_options=no_unknown_recipient_checks,no_header_body_checks<br />
# -o smtpd_bind_address=127.0.0.1<br />
<br />
#Spamassasin<br />
spamassassin unix - n n - - pipe<br />
user=spamd argv=/usr/bin/spamc -f -e<br />
/usr/sbin/sendmail -oi -f ${sender} ${recipient}<br />
<br />
</syntaxhighlight><br />
<br /><br />
<br />
== SMTPD.conf ==<br />
<br />
Avant d'aller plus loin, il est important de veiller à ce que le fichier smtpd.conf soit créé dans /etc/postfix/sasl/ avec les paramètres<br />
<syntaxhighlight><br />
<br />
pwcheck_method: saslauthd<br />
mech_list: PLAIN LOGIN<br />
<br />
<br />
</syntaxhighlight><br />
En effet : l'utilisation de la balise "smtpd_sasl_path = variable" implique d'un fichier /etc/postfix/sasl/[variable].conf soit créé et instancié.<br />
Ce fichier est utilisé directement par postfix pour configurer l'accès SASL. Sinon, des messages RCPT TO style Relay Acces Denied ou Acces Denied peuvent se produire.<br />
<br />
== [[Postfix-TLS]] ==<br />
<br />
== Disclaimer ==<br />
<br />
Le disclaimer est un service qui permet de rajouter un message (typiquement une clause de confidentialité) à la fin des mails. Dans la suite, nous verrons comment modifier le disclaimer afin qu'il n'ajoute un message que pour les mails sortants<br />
<br />
=== Installation ===<br />
Pour l'instant, l'installation est réalisé grâce à la commande ''apt''<br />
<br /><br />
{{ Console root | apt-get install altermime }}<br />
<br /><br />
=== Configuration ===<br />
<br />
Une fois installé, nous allons pouvoir configurer altermime mais avant cela, nous allons créer un utilisateur spécifique ainsi que les différents dossier dont doit disposer altermime<br />
<br />
<pre><br />
useradd -r -c "Postfix Filters" -d /var/spool/filter filter<br />
mkdir /var/spool/filter<br />
chown filter:filter /var/spool/filter<br />
chmod 750 /var/spool/filter<br />
</pre><br />
<br />
Une fois cela réalisé, il nous faut créer le script disclaimer dans {{ File | /etc/postfix/disclaimer }}<br />
<br /><br />
<syntaxhighlight lang="bash"><br />
#!/bin/sh<br />
# Localize these.<br />
INSPECT_DIR=/var/spool/filter<br />
SENDMAIL=/usr/sbin/sendmail<br />
<br />
<br />
# Exit codes from <sysexits.h><br />
EX_TEMPFAIL=75<br />
EX_UNAVAILABLE=69<br />
<br />
# Clean up when done or when aborting.<br />
trap "rm -f in.$$" 0 1 2 3 15<br />
<br />
# Start processing.<br />
cd $INSPECT_DIR || { echo $INSPECT_DIR does not exist; exit<br />
$EX_TEMPFAIL; }<br />
<br />
cat >in.$$ || { echo Cannot save mail to file; exit $EX_TEMPFAIL; }<br />
<br />
#Modification pour uniquement mails sortant<br />
# obtain From address<br />
#from_address=`grep -m 1 "From:" in.$$ | cut -d "<" -f 2 | cut -d ">" -f 1`<br />
to_address=`grep -m 1 "To:" in.$$ | cut -d : -f 2 | cut -d @ -f 2`<br />
<br />
#echo $from_address > /tmp/from.txt<br />
#echo $to_address > /tmp/to.txt<br />
<br />
if [ $to_address != "admin.diouxx.be" ] <br />
then<br />
/usr/bin/altermime --input=in.$$ \<br />
--disclaimer=/etc/postfix/disclaimer.txt \<br />
--disclaimer-html=/etc/postfix/disclaimer.html \<br />
--xheader="X-Copyrighted-Material: Please visit http://www.company.com/privacy.htm" || \<br />
{ echo Message content rejected; exit $EX_UNAVAILABLE; }<br />
fi<br />
<br />
$SENDMAIL -oi "$@" <in.$$<br />
<br />
exit $?<br />
</syntaxhighlight><br />
<br /><br />
{{ Note | La modification par rapport au script d'origine se situe au niveau du '''IF'''. En effet, le script va récupérer le champ du destinataire et vérifier si son adresse mail correspond au domaine du serveur postfix ou non. Si ce n'est pas le cas, il s'agit d'un mail sortant }}<br />
<br /><br />
Il faut également modifier le propriétaire du script ainsi que les droits<br />
<br /><br />
{{ Console root | chgrp filter /etc/postfix/disclaimer<br>[root@ordi ~]# chmod 750 /etc/postfix/disclaimer }}<br />
<br /><br />
Il est nécessaire maintenant de créer le fichier {{ File | /etc/postfix/disclaimer.txt }} qui va contenir le message à rajouter aux mails sortant.<br />
<br />
Il ne reste plus qu'a modifier le fichier {{ File | /etc/postfix/master.cf }} afin de lui indiquer qu'il doit utiliser le service disclaimer pour envoyer les mails. Pour cela, il faut rajouter ces deux lignes si au début du fichier<br />
<pre><br />
#<br />
# Postfix master process configuration file. For details on the format<br />
# of the file, see the master(5) manual page (command: "man 5 master").<br />
#<br />
# Do not forget to execute "postfix reload" after editing this file.<br />
#<br />
# ==========================================================================<br />
# service type private unpriv chroot wakeup maxproc command + args<br />
# (yes) (yes) (yes) (never) (100)<br />
# ==========================================================================<br />
smtp inet n - - - - smtpd<br />
-o content_filter=dfilt:<br />
dfilt unix - n n - - pipe<br />
flags=Rq user=filter argv=/etc/postfix/disclaimer -f ${sender} -- ${recipient}<br />
<br />
</pre><br />
<br />
Redemmarez postfix pour qu'il prenne en compte les modifications que l'on a apportés<br />
<br /><br />
{{ Console root | /etc/init.d/postfix restart }}<br />
<br /><br />
<br />
== Amavis ==<br />
<br />
Amavis est le logiciel qui va permettre de réaliser le transport des mails de postfix jusqu'aux filtres anti-spam et antivirus. Il repassera le mail à postfix pour sa destination final seulement si ce mail est considéré comme "propre"<br />
<br />
=== Installation ===<br />
<br />
Pour l'instant, l'installation se réalise avec la commande '''apt'''<br />
<br /><br />
{{ Console root | apt-get install amavis }}<br />
<br /><br />
<br />
=== Configuration ===<br />
<br />
Nous allons devoir en premier lieux, configurer postfix pour qu'il accepte de travailler avec amavis. Pour ce faire nous éditions les deux fichier suivants :<br />
<br />
* /etc/postfix/master.cf<br />
* /etc/postfix/main.cf<br />
<br><br />
Pour le fichier {{ File | /etc/postfix/master.cf }}, nous allons rajouter les lignes suivantes :<br />
<br><br />
<pre><br />
amavis unix - - - - 2 smtp<br />
-o smtp_data_done_timeout=1200<br />
-o smtp_send_xforward_command=yes<br />
<br />
127.0.0.1:10025 inet n - - - - smtpd<br />
-o content_filter=<br />
-o local_recipient_maps=<br />
-o relay_recipient_maps=<br />
-o smtpd_restriction_classes=<br />
-o smtpd_client_restrictions=<br />
-o smtpd_helo_restrictions=<br />
-o smtpd_sender_restrictions=<br />
-o smtpd_recipient_restrictions=permit_mynetworks,reject<br />
-o mynetworks=127.0.0.0/8<br />
-o strict_rfc821_envelopes=yes<br />
-o receive_override_options=no_unknown_recipient_checks,no_header_body_checks<br />
-o smtpd_bind_address=127.0.0.1<br />
</pre><br />
<br><br />
Pour le fichier {{ File | /etc/postfix/main.cf }}, ajoutons également les lignes suivantes à la fin du fichier :<br />
<br><br />
<pre><br />
content_filter = amavis:[127.0.0.1]:10024<br />
receive_override_options = no_address_mappings<br />
<br />
smtpd_recipient_restrictions = permit_sasl_authenticated,<br />
permit_mynetworks,<br />
reject_unauth_destination,<br />
check_policy_service inet:127.0.0.1:60000<br />
<br />
</pre><br />
<br /><br />
Nous devons activer les filtres, normalement il suffit de décommenter les lignes suivantes du fichier {{ File | /etc/amavis/conf.d/15-cintent_filter_mode }}<br />
<br><br />
<pre><br />
use strict;<br />
<br />
# You can modify this file to re-enable SPAM checking through spamassassin<br />
# and to re-enable antivirus checking.<br />
<br />
#<br />
# Default antivirus checking mode<br />
# Please note, that anti-virus checking is DISABLED by<br />
# default.<br />
# If You wish to enable it, please uncomment the following lines:<br />
<br />
<br />
@bypass_virus_checks_maps = (<br />
\%bypass_virus_checks, \@bypass_virus_checks_acl, \$bypass_virus_checks_re);<br />
<br />
<br />
#<br />
# Default SPAM checking mode<br />
# Please note, that anti-spam checking is DISABLED by<br />
# default.<br />
# If You wish to enable it, please uncomment the following lines:<br />
<br />
<br />
@bypass_spam_checks_maps = (<br />
\%bypass_spam_checks, \@bypass_spam_checks_acl, \$bypass_spam_checks_re);<br />
<br />
1; # ensure a defined return<br />
</pre><br />
<br><br />
Il ne nous reste qu'a configurer la mise en quarantaine en éditant le fichier {{ File | /etc/amavis/conf.d/50-user }}<br />
<br><br />
<pre><br />
use strict;<br />
<br />
#<br />
# Place your configuration directives here. They will override those in<br />
# earlier files.<br />
#<br />
# See /usr/share/doc/amavisd-new/ for documentation and examples of<br />
# the directives you can use in this file<br />
#<br />
<br />
$QUARANTINEDIR = '/var/spool/virusmails'; # Quarantine Directory<br />
$spam_quarantine_method = 'local:spam-%b-%i-%n'; # Filename in $QUARANTINEDIR<br />
$spam_quarantine_to = 'spam-quarantine'; # Put Spam in Quarantine Directory<br />
# $spam_quarantine_to = "admin\@$mydomain"; # Send Spam to Adminstrator<br />
# $spam_quarantine_to = undef; # Do nothing with Spam<br />
$final_spam_destiny = D_DISCARD;<br />
#$spam_admin = "admin\@$mydomain"; # Where to send Notification<br />
<br />
#------------ Do not modify anything below this line -------------<br />
1; # ensure a defined return<br />
<br />
</pre><br />
<br><br />
<br />
Il nous faut pas '''oublier''' de créer le répertoire qui va accueillir les mails infectés ou considéré comme spam<br />
<br><br />
{{ Console root | mkdir /var/spool/virusmails<br>[root@ordi ~]# chown amavis:amavis /var/spool/virusmails }}<br />
<br><br />
{{ Note | L'emplacement du dossier qui contiendra les mails infectés ou considéré comme spam est renseigné via la variable '''$QUARANTINEDIR''' }}<br />
<br><br />
Il reste encore l'installation et la configuration de spamassasin et clamav<br />
<br /><br />
<br />
== Spamassassin ==<br />
<br />
Spamassassin est le logiciel qui comme son nom l'indique va permettre de détecter si les mails que l'ont reçoit sont des spams ou non<br />
<br />
=== Installation ===<br />
<br />
Pour l'instant, l'installation se réalise avec la commande '''apt'''<br />
<br><br />
{{ Console root | apt-get install spamassassin }}<br />
<br><br />
=== Configuration ===<br />
<br />
La configuration de spamassassin se réalise avec le fichier {{ File | /etc/default/spamassassin}} et {{ File | /etc/spamassassin/local.cf}}. Normalement, le fichier devrait ressembler à ceci. Tandis que le fichier {{ File | /etc/postfix/master.cf }} doit être modififié afin d'indiquer à postfix qu'il doit utiliser spamassasin<br />
<br><br />
==== /etc/postfix/master.cf ====<br />
Au début du fichier la section consacré à smtp doit ressembler à ceci :<br />
<br />
<pre><br />
#<br />
# Postfix master process configuration file. For details on the format<br />
# of the file, see the master(5) manual page (command: "man 5 master").<br />
#<br />
# Do not forget to execute "postfix reload" after editing this file.<br />
#<br />
# ==========================================================================<br />
# service type private unpriv chroot wakeup maxproc command + args<br />
# (yes) (yes) (yes) (never) (100)<br />
# ==========================================================================<br />
<br />
smtp inet n - - - - smtpd<br />
-o content_filter=spamassassin<br />
-o content_filter=dfilt:<br />
dfilt unix - n n - - pipe<br />
flags=Rq user=filter argv=/etc/postfix/disclaimer -f ${sender} -- ${recipient}<br />
</pre><br />
<br><br />
{{ Avertissement | il est impératif que la ligne spamassassin soit avant la ligne dfit. Sans cela, le disclaimer ne sera pas mis pour les mails sortant }}<br />
<br><br />
<br />
==== /etc/default/spamassassin ====<br />
<pre><br />
# /etc/default/spamassassin<br />
# Duncan Findlay<br />
<br />
# WARNING: please read README.spamd before using.<br />
# There may be security risks.<br />
<br />
# Change to one to enable spamd<br />
ENABLED=1<br />
<br />
# Options<br />
# See man spamd for possible options. The -d option is automatically added.<br />
SAHOME="/var/lib/spamassassin/"<br />
<br />
# SpamAssassin uses a preforking model, so be careful! You need to<br />
# make sure --max-children is not set to anything higher than 5,<br />
# unless you know what you're doing.<br />
<br />
OPTIONS="--create-prefs --max-children 5 --username spamd --helper-home-dir ${SAHOME} -s ${SAHOME}spamd.log"<br />
<br />
# Pid file<br />
# Where should spamd write its PID to file? If you use the -u or<br />
# --username option above, this needs to be writable by that user.<br />
# Otherwise, the init script will not be able to shut spamd down.<br />
PIDFILE="${SAHOME}spamd.pid"<br />
<br />
# Set nice level of spamd<br />
#NICE="--nicelevel 15"<br />
<br />
# Cronjob<br />
# Set to anything but 0 to enable the cron job to automatically update<br />
# spamassassin's rules on a nightly basis<br />
CRON=0<br />
</pre><br />
<br />
==== /etc/spamassassin/local.cf ====<br />
<br><br />
<pre><br />
# This is the right place to customize your installation of SpamAssassin.<br />
#<br />
# See 'perldoc Mail::SpamAssassin::Conf' for details of what can be<br />
# tweaked.<br />
#<br />
# Only a small subset of options are listed below<br />
#<br />
###########################################################################<br />
<br />
# Add *****SPAM***** to the Subject header of spam e-mails<br />
#<br />
rewrite_header Subject *****SPAM - SPAM_SCORE_*****<br />
<br />
<br />
# Save spam messages as a message/rfc822 MIME attachment instead of<br />
# modifying the original message (0: off, 2: use text/plain instead)<br />
#<br />
report_safe 0<br />
<br />
<br />
# Set which networks or hosts are considered 'trusted' by your mail<br />
# server (i.e. not spammers)<br />
#<br />
# trusted_networks 212.17.35.<br />
<br />
<br />
# Set file-locking method (flock is not safe over NFS, but is faster)<br />
#<br />
# lock_method flock<br />
<br />
<br />
# Set the threshold at which a message is considered spam (default: 5.0)<br />
#<br />
required_score 2.0<br />
<br />
<br />
# Use Bayesian classifier (default: 1)<br />
#<br />
use_bayes 1<br />
use_bayes_rules 1<br />
<br />
# Bayesian classifier auto-learning (default: 1)<br />
#<br />
bayes_auto_learn 1<br />
<br />
<br />
# Set headers which may provide inappropriate cues to the Bayesian<br />
# classifier<br />
#<br />
# bayes_ignore_header X-Bogosity<br />
# bayes_ignore_header X-Spam-Flag<br />
# bayes_ignore_header X-Spam-Status<br />
<br />
<br />
# Some shortcircuiting, if the plugin is enabled<br />
# <br />
ifplugin Mail::SpamAssassin::Plugin::Shortcircuit<br />
#<br />
# default: strongly-whitelisted mails are *really* whitelisted now, if the<br />
# shortcircuiting plugin is active, causing early exit to save CPU load.<br />
# Uncomment to turn this on<br />
#<br />
# shortcircuit USER_IN_WHITELIST on<br />
# shortcircuit USER_IN_DEF_WHITELIST on<br />
# shortcircuit USER_IN_ALL_SPAM_TO on<br />
# shortcircuit SUBJECT_IN_WHITELIST on<br />
<br />
# the opposite; blacklisted mails can also save CPU<br />
#<br />
# shortcircuit USER_IN_BLACKLIST on<br />
# shortcircuit USER_IN_BLACKLIST_TO on<br />
# shortcircuit SUBJECT_IN_BLACKLIST on<br />
<br />
# if you have taken the time to correctly specify your "trusted_networks",<br />
# this is another good way to save CPU<br />
#<br />
# shortcircuit ALL_TRUSTED on<br />
<br />
# and a well-trained bayes DB can save running rules, too<br />
#<br />
# shortcircuit BAYES_99 spam<br />
# shortcircuit BAYES_00 ham<br />
<br />
# Enable or disable network checks<br />
skip_rbl_checks 0<br />
use_razor2 0<br />
use_dcc 0<br />
use_pyzor 0<br />
<br />
endif # Mail::SpamAssassin::Plugin::Shortcircuit<br />
</pre><br />
<br><br />
<br />
Par acquis de conscience, vérifier que le dossier renseigner par la variable SAHOME existe bien et qu'il appartienne bien à l'utilisateur spamd.<br />
Si ce n'est pas le cas, exécutez les commandes suivantes :<br />
<br><br />
{{ Console root | groupadd -g 5001 spamd<br>[root@ordi ~]# useradd -u 5001 -g spamd -s /sbin/nologin -d /var/lib/spamassassin spamd<br>[root@ordi ~]# mkdir /var/lib/spamassassin<br>[root@ordi ~]# chown spamd:spamd /var/lib/spamassassin<br>[root@ordi ~]# chmod 755 /var/lib/spamassassin }}<br />
<br><br />
<br />
=== Mise a jour de la base SPAM ===<br />
<br />
Pour mettre a jour la base anti-spam, il suffit d’exécuter la commande suivante : <br />
<br><br />
{{ Console root | sa-update -D }}<br />
<br><br />
{{ Note | On peux exécuter cette commande dans une tache cron afin de mettre à jour la bas tous les soirs }}<br />
<br><br />
Le service spamassassin est maintenant configurer.<br />
<br><br />
<br />
== ClamAV ==<br />
<br />
ClamAV est le logiciel anti-virus qui va scanner tous les mails que l'on reçoit<br />
<br />
=== Installation ===<br />
<br />
Pour l'instant, l'installation se réalise avec la commande '''apt'''<br />
<br><br />
{{ Console root | apt-get install clamav clamav-daemon }}<br />
<br><br />
<br />
=== Configuration ===<br />
<br />
La seule configuration à réalisé est de rajouter l'utilisateur clamav, qui a été crée lors de l'installation du paquet, au groupe amavis : <br />
<br><br />
{{ Console root | adduser clamav amavis<br>Ajout de l'utilisateur « clamav » au groupe « amavis »...<br>Ajout de l'utilisateur clamav au groupe amavis<br>Fait. }}<br />
<br><br />
== Test de Spamassassin et Clamav ==<br />
<br />
Avant de pouvoir tester le bon fonctionnement de Spamassassin et Clamv, il est nécessaire de démarrer/redémarrer les services dans l'ordre suivant :<br />
<br><br />
{{ Console root | /etc/init.d/spamassassin restart<br>Starting SpamAssassin Mail Filter Daemon: spamd. }}<br />
<br><br />
{{ Console root | /etc/init.d/amavis restart<br>Stopping amavisd: amavisd-new.<br>Starting amavisd: amavisd-new. }}<br />
<br><br />
{{ Console root | /etc/init.d/clamav-daemon restart<br>Stopping ClamAV daemon: clamd.<br>Starting ClamAV daemon: clamd.}}<br />
<br><br />
{{ Console root | /etc/init.d/postfix restart<br>Stopping Postfix Mail Transport Agent: postfix.<br>Starting Postfix Mail Transport Agent: postfix.}}<br />
<br><br />
<br />
=== Test de Spamassassin ===<br />
<br />
Vous trouverez dans la doc un exemple de Spam: /usr/share/doc/spamassassin/examples/sample-spam.txt<br />
Il suffit de coller cette ligne dans un mail et de l'envoyer :<br />
<br><br />
<pre><br />
XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X<br />
</pre><br />
Il sera détecté comme Spam si tout va bien<br />
<br />
=== Test de Clamav ===<br />
<br />
Vous procèderez de la même manière, avec le code suivant, récupéré sur [http://www.eicar.org/anti_virus_test_file.htm www.eicar.org] :<br />
<br><br />
<pre><br />
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*<br />
</pre><br />
Si tout se passe correctement, le mail sera placé en quarantaine.<br />
<br><br />
{{ Note | Pour vérifier le bon fonctionnement de l'anti-spam et l'anti-virus, consulter le fichier log {{ File | /var/log/mail.log }}. On peux utiliser la commande ''tail -f /var/log/mail.log'' pour plus de faciliter }}<br />
<br><br />
<br />
== Submission ==<br />
<br />
Les manipulations décrites ci-dessus permettent d'activer une authentification sécurisée sur le port 25/tcp. Or, dans le cadre de la lutte ant-virus et anti-spam, ce port est de plus en plus souvent filtré dans les réseaux, surtout les réseaux publics. Si nous proposons un service sur le port 25/tcp, il risque donc de ne pas être accessible depuis n'importe où...<br />
<br />
Pour ce faire, on va configurer Postfix pour qu'il sache recevoir des connexions sur le port 587/tcp (submission). On imposera que ces connexions soient chiffrées en TLS et on imposera également une authentification SASL. Nous proposerons ainsi à nos utilisateurs un service leur permettant d'envoyer des mails depuis n'importe quel client de messagerie connecté à Internet (le port 587/tcp n'est pas filtré puisqu'il est censé toujours proposer des services avec authentification, donc pas (trop) de spam ni virus).<br />
<br />
Cette technique est décrite dans la RFC 2476.<br />
<br />
Pour activer le service, il suffit de le rajouter/décommenter dans le fichier /etc/postfix/master.cf :<br />
<br />
# lignes à ajouter dans /etc/postfix/master.cf :<br />
# submission : on ouvre le port 587/tcp sur lequel on impose TLS<br />
# et on n'accepte que les clients authentifiés. Cela impose d'avoir<br />
# déjà configuré TLS et SASL, bien entendu.<br />
# service type private unpriv chroot wakeup maxproc command + args<br />
submission inet n - - - - smtpd<br />
-o smtpd_tls_security_level=encrypt<br />
-o smtpd_client_restrictions=permit_sasl_authenticated,reject<br />
<br />
Notes :<br />
<br />
sur les anciennes versions de Postfix (< 2.3), on indique smtpd_enforce_tls=yes au lieu de smtpd_tls_security_level=encrypt)<br />
ne pas oublier d'ouvrir le port 587/tcp vers le serveur au niveau du parefeu : c'est un service à ouvrir à tout Internet <br />
<br />
Ce service est notamment activé sur la messagerie de Montréal, vous trouverez le mode d'emploi côté client ici : MessagerieAufOrg/EnvoiSmtpSortant<br />
<br />
== Syslog-ng ==<br />
<br />
=== Installation ===<br />
<br />
Pour installer Syslog, référencez vous à la page consacré à [[Syslog-ng]]<br />
<br />
=== Configuration ===<br />
<br />
Le fichier {{ File | /etc/syslog-ng/syslog-ng.conf }} sur le '''serveur Postfix''' doit ressembler à ceci :<br />
<br><br />
<pre><br />
@version: 3.0<br />
<br />
######<br />
# options<br />
<br />
options {<br />
# disable the chained hostname format in logs<br />
# (default is enabled)<br />
chain_hostnames(0);<br />
<br />
# the time to wait before a died connection is re-established<br />
# (default is 60)<br />
time_reopen(10);<br />
<br />
# the time to wait before an idle destination file is closed<br />
# (default is 60)<br />
time_reap(360);<br />
<br />
# the number of lines buffered before written to file<br />
# you might want to increase this if your disk isn't catching with<br />
# all the log messages you get or if you want less disk activity<br />
# (say on a laptop)<br />
# (default is 0)<br />
#sync(0);<br />
<br />
# the number of lines fitting in the output queue<br />
log_fifo_size(2048);<br />
<br />
# enable or disable directory creation for destination files<br />
create_dirs(yes);<br />
<br />
# default owner, group, and permissions for log files<br />
# (defaults are 0, 0, 0600)<br />
owner(root);<br />
#group(adm);<br />
perm(0640);<br />
<br />
# default owner, group, and permissions for created directories<br />
# (defaults are 0, 0, 0700)<br />
dir_owner(root);<br />
#dir_group(root);<br />
dir_perm(0755);<br />
<br />
# enable or disable DNS usage<br />
# syslog-ng blocks on DNS queries, so enabling DNS may lead to<br />
# a Denial of Service attack<br />
# (default is yes)<br />
use_dns(no);<br />
<br />
# maximum length of message in bytes<br />
# this is only limited by the program listening on the /dev/log Unix<br />
# socket, glibc can handle arbitrary length log messages, but -- for<br />
# example -- syslogd accepts only 1024 bytes<br />
# (default is 2048)<br />
#log_msg_size(2048);<br />
<br />
#Disable statistic log messages.<br />
stats_freq(0);<br />
<br />
# Some program send log messages through a private implementation.<br />
# and sometimes that implementation is bad. If this happen syslog-ng<br />
# may recognise the program name as hostname. Whit this option<br />
# we tell the syslog-ng that if a hostname match this regexp than that<br />
# is not a real hostname.<br />
bad_hostname("^gconfd$");<br />
<br />
flush_lines (0);<br />
};<br />
<br />
<br />
############################<br />
# Sources<br />
############################<br />
# all known message sources<br />
source s_all {<br />
# message generated by Syslog-NG<br />
#internal();<br />
# standard Linux log source (this is the default place for the syslog()<br />
# function to send logs to)<br />
unix-stream("/dev/log");<br />
# messages from the kernel<br />
#file("/proc/kmsg" log_prefix("kernel: "));<br />
# use the following line if you want to receive remote UDP logging messages<br />
# (this is equivalent to the "-r" syslogd flag)<br />
# udp();<br />
};<br />
<br />
source postfix {<br />
#file("/var/log/mail.err" follow_freq(1) flags(no-parse));<br />
#file("/var/log/mail.info" follow_freq(1) flags(no-parse));<br />
file("/var/log/mail.log" follow_freq(1) flags(no-parse));<br />
#file("/var/log/mail.warn" follow_freq(1) flags(no-parse));<br />
};<br />
<br />
<br />
###########################<br />
# Destinations<br />
###########################<br />
#Serveur distant<br />
destination srv_dist {<br />
udp ("192.168.100.20" port(514));<br />
};<br />
<br />
#Local<br />
destination local_messages {<br />
file("/var/log/syslog-ng/messages");<br />
};<br />
<br />
destination postfix {<br />
file("/var/log/syslog-ng/$HOST/postfix.log");<br />
};<br />
<br />
<br />
<br />
################################<br />
# Filters<br />
################################<br />
# all messages from the auth and authpriv facilities<br />
filter f_auth { facility(auth, authpriv); };<br />
<br />
# all messages except from the auth and authpriv facilities<br />
filter f_syslog { not facility(auth, authpriv); };<br />
<br />
# respectively: messages from the cron, daemon, kern, lpr, mail, news, user,<br />
# and uucp facilities<br />
filter f_cron { facility(cron); };<br />
filter f_daemon { facility(daemon); };<br />
filter f_kern { facility(kern); };<br />
filter f_lpr { facility(lpr); };<br />
filter f_mail { facility(mail); };<br />
filter f_news { facility(news); };<br />
filter f_user { facility(user); };<br />
filter f_uucp { facility(uucp); };<br />
<br />
# some filters to select messages of priority greater or equal to info, warn,<br />
# and err<br />
# (equivalents of syslogd's *.info, *.warn, and *.err)<br />
filter f_at_least_info { level(info..emerg); };<br />
filter f_at_least_notice { level(notice..emerg); };<br />
filter f_at_least_warn { level(warn..emerg); };<br />
filter f_at_least_err { level(err..emerg); };<br />
filter f_at_least_crit { level(crit..emerg); };<br />
<br />
# all messages of priority debug not coming from the auth, authpriv, news, and<br />
# mail facilities<br />
filter f_debug { level(debug) and not facility(auth, authpriv, news, mail); };<br />
<br />
# all messages of info, notice, or warn priority not coming form the auth,<br />
# authpriv, cron, daemon, mail, and news facilities<br />
filter f_messages {<br />
level(info,notice,warn)<br />
and not facility(auth,authpriv,cron,daemon,mail,news);<br />
};<br />
<br />
# messages with priority emerg<br />
filter f_emerg { level(emerg); };<br />
<br />
# complex filter for messages usually sent to the xconsole<br />
filter f_xconsole {<br />
facility(daemon,mail)<br />
or level(debug,info,notice,warn)<br />
or (facility(news)<br />
and level(crit,err,notice));<br />
};<br />
<br />
###################################################<br />
# Filtre "perso"<br />
##################################################<br />
<br />
filter postfix { program("postfix") or program("cyrus"); };<br />
<br />
######<br />
# logs<br />
# order matters if you use "flags(final);" to mark the end of processing in a<br />
# "log" statement<br />
<br />
# these rules provide the same behavior as the commented original syslogd rules<br />
<br />
#log {<br />
# source(s_all);<br />
# destination(srv_dist);<br />
# filter(f_auth);<br />
#};<br />
<br />
log {<br />
source(s_all);<br />
filter(postfix);<br />
destination(postfix);<br />
};<br />
<br />
<br />
log {<br />
source(s_all);<br />
destination(srv_dist);<br />
};<br />
<br />
#log {<br />
# source(s_all);<br />
# destination(local_messages);<br />
#};<br />
</pre><br />
<br><br />
Concernant la machine ayant le rôle de serveur log, Il faut modifier le fichier {{ File | /etc/syslog-ng/syslog-ng.conf }} en rajoutant les parties suivantes : <br />
<br><br />
<pre><br />
...<br />
#Partie Destination<br />
destination postfix {<br />
file("/var/log/syslog-ng/$HOST/$DAY.$MONTH.$YEAR-postfix.log");<br />
};<br />
...<br />
<br />
#Partie Filtre<br />
filter postfix { program("postfix"); };<br />
...<br />
<br />
#Partie Log paths<br />
log {<br />
source(local);<br />
filter(postfix);<br />
destination(postfix);<br />
<br />
};<br />
...<br />
</pre><br />
<br><br />
== Migration ==<br />
<br />
Pour la migration voir [[Imapsync|ICI]]<br />
<br />
== Troubleshooting ==<br />
<br />
=== setaclmailbox: cyrus: lrswipcda: System I/O error ===<br />
<br />
Si on rencontre l'erreur suivante sur un utilisateur mail, il faut reconstruire sa boite mail.<br />
Pour ce faire, il faut se connecter en tant qu'utilisateur cyrus :<br />
<br><br />
{{ Console root | su cyrus }}<br />
<br><br />
Reconstruire la boite mail :<br />
<pre><br />
/usr/sbin/cyrreconstruct -rxf user.nomUtilisateur<br />
</pre><br />
<br />
=== testsaslauthd : "connect() : No such file or directory 0" ===<br />
<br />
Si lors d'un redémarrage du serveur mail ou d'un autre service et que vous tentez de réaliser un '''testsaslauthd''', il se peut que l'erreur '''connect() : No such file or directory 0'''<br />
<br />
Il faut refaire un lien symbolique :<br />
<pre><br />
rm -rf /var/run/saslauthd<br />
ln -s /var/spool/postfix/var/run/saslauthd /var/run/saslauthd<br />
</pre><br />
<br />
Pour automatiser le tout, on peux rajouter cette commande au fichier {{ File | /etc/rc.local }}<br />
<pre><br />
#Commande pour Postfix<br />
ln -s /var/spool/postfix/var/run/saslauthd /var/run/saslauthd<br />
exit 0<br />
</pre><br />
<br />
== Procédures ==<br />
<br />
=== Manipulation Queue ===<br />
*Vider la queue : postsuper -d ALL<br />
*Lister les messages : postqueue -p<br />
*Supprimer message : postsuper -d ID ( L'ID est donné via la commande du dessus)<br />
*Mettre un messages en attente (hold) : postsuper -h ID<br />
*Remettre un messages en mode normale (actif) : postsuper -H ID<br />
*Remettre en Queue un message : postsuper -r ID<br />
*Pour tous les messages : postsuper -r ID<br />
*Afficher le contenu d'un message : postcat -q ID<br />
*Forcer l'envoie des messages en Queue (flush) : postqueue -f<br />
<br><br />
<br />
=== Créer nouvelle boite mail ===<br />
{{ Avertissement | L'utilisateur doit d'abord être créée dans le LDAP }}<br />
<br><br />
Pour créer une nouvelle boite mail, il faut se connecter sur l'interface administration de cyrus : <br />
<br><br />
{{ Console | cyradm --user cyrus localhost<br>Password: }}<br />
<br><br />
* --user: cyrus est l'administrateur du service cyrus<br />
* localhost: Parce qu’on est connecté sur la machine où est installé cyrus<br />
<br />
Une fois connecter, on peux créer la nouvelle boite mail :<br />
<pre><br />
cm user.nomUtilisateur<br />
</pre><br />
<br><br />
{{ Avertissement | Toujours mettre user. avant le nom d'utilisateur sinon cela crée une boite mail partagée }}<br />
<br><br />
On peux vérifier qu'elle a bien été créée en rentrant la commande ''lm'' (listmailbox)<br />
<br />
Il faut maintenant donner tous les droits à l'utilisateur cyrus sur la boite mail crée. Sans cela, cyrus ne pourra pas la supprimer, lui assigner des quotas ...<br />
<br><br />
<pre><br />
setacl user.nomutilisateur cyrus all<br />
</pre><br />
<br><br />
Dans ce cas-ci, on assigne tous les droits à l'utilisateur cyrus sur la boite. C'est une question de faciliter pour la manipulation dans le futur des boites mails<br />
<br />
<br />
Pour maintenant vérifier l'authentification, on utilise la commande testsaslauthd<br />
<br><br />
{{ Console | testsaslauthd -u user -p password<br>0: OK "Success." }}<br />
<br><br />
La partie authentification est réalisé. La dernière étape est de créer l'alias. On édite le fichier {{ File | /etc/aliases }} et on rajoute une ligne au format suivant :<br />
<pre><br />
nomUtilisateur: nomUtilisateur@domaine<br />
...<br />
denis: denis@diouxx.be<br />
devleeschauwer: ddevleeschauwer@diouxx.be<br />
</pre><br />
<br />
Il faut recharger la base d'alias :<br />
<br><br />
{{ Console | postalias /etc/aliases }}<br />
<br><br />
<br />
=== Supprimer boite mail ===<br />
<br />
Pour supprimer une boite mail, on doit, premièrement, se connecter à l'outil cyradm :<br />
<br><br />
{{ Console | cyradm --user cyrus localhsot<br>Password: }}<br />
<br><br />
Pour supprimer la boite mail, entrez la commande dm :<br />
<br><br />
<pre><br />
dm user.nomUtilisateur<br />
</pre><br />
<br />
Si une erreur ''"deletemailbox: Permission denied"'' apparait, c'est un problème de droits sur la boite. Pour régler cela, rentrez les commandes suivantes :<br />
<pre><br />
localhost> setacl user.test cyrus all<br />
localhost> dm user.test<br />
</pre><br />
<br />
Vérifier la suppression de la boite mail via la commande ''lm''<br />
<br />
Les démarches ci-dessus, expliquent comment supprimer une boite mail mais on peut aussi supprimer l’utilisateur. Quittez l'outil cyradm.<br />
Pour supprimer l'utilisateur, on utilise la commande saslpasswd<br />
<br><br />
{{ Console | saslpasswd -d nomUtilisateur }}<br />
<br><br />
On peux vérifier la suppression effective via :<br />
<br><br />
{{ Console | sasldblistusers2 }}<br />
<br><br />
Il reste plus qu'a supprimer l'alias de l’utilisateur et recréer la base d'alias.<br />
<br />
* Éditez le fichier {{ File | /etc/aliases }} et supprimer la ligne correspondant au nom d'utilisateur<br />
* Pour reconstruire la base d'alias, entrez la commande ''postalias /etc/aliases''<br />
<br />
=== Assigner/Modifier quotas ===<br />
<br />
Pour assigner ou modifier les quotas d'un utilisateur, tout se passe dans l'outil cyradm<br />
<br><br />
{{ Console | cyradm --user cyrus loclahost<br>Password: }}<br />
<br><br />
{{ Note | La taille des quotas s'exprime en Ko. Donc si on spécifie 1024, cela veux dire qu'on assigne 1Mo de quotas à l'utilisateur. }}<br />
<br><br />
<pre><br />
localhost> setquota user.nomUtilisateur 1024<br />
</pre><br />
<br />
Pour vérifier le quota d'un utilisateur :<br />
<pre><br />
localhost> listquota user.nomUtilisateur<br />
</pre><br />
<br><br />
=== Whitelist/Blacklist ===<br />
Pour ajouter une adresse mail à la whitelist, il suffit de la rajouter dans le fichier {{ File | /etc/spamassassin/local.cf }}<br />
<pre><br />
#<br />
#WhiteList<br />
#<br />
whitelist_from utilisateur@domaine<br />
whitelist_from *@domaine<br />
<br />
#<br />
#Blacklist<br />
#<br />
blacklist_from utilisateur@domaine<br />
blacklist_from *@domaine<br />
</pre><br />
=== Restaurer Boit mail ===<br />
Après avoir restauré la boite mail ( ou une partie de celle-ci ), il faut reconstituer l'indexation.<br />
Pour ce faire, il faut se connecter en tant qu'utilisateur cyrus :<br />
<br><br />
{{ Console root | su cyrus }}<br />
<br><br />
Reconstruire la boite mail :<br />
<br><br />
{{ Console | /usr/sbin/cyrreconstruct -rxf user.nomUtilisateur }}<br />
<br><br />
<br />
=== Envoi d'un email lors d'une connexion SSH ===<br />
Il est possible d'envoyer un mail lorsqu'une personne se connecte à un serveur.<br />
<br />
On installe d'abord le paquet '''mailutils''' qui permettra d'envoyer un mail.<br />
<br><br />
{{ Console root | sudo apt-get install mailutils }}<br />
<br><br />
<br />
A l'installation, on nous demandera de configurer postfix. On choisira une configuration '''Système satellite'''<br />
* Nom de courrier : domain.be<br />
* Serveur relais SMTP : smtp.domain.be<br />
<br />
Une fois la configuration faite, on peux tester l'envoi de mail via cette commande :<br />
<pre><br />
echo 'NOTIFICATION - Acces SSH en '` id | cut -d "(" -f2 | cut -d ")" -f1`' sur '`hostname`' le: ' `date` `who` | mail -s "NOTIFICATION - Connexion en "`id | cut -d '(' -f2 | cut -d ')' -f1`" via SSH depuis: `who | cut -d"(" -f2 | cut -d")" -f1`" mail@domain.be<br />
</pre><br />
Pour que l'on reçoive un mail lors d'une connexion en tant que root, il suffit de rajouter cette ligne au fichier {{ File | /root/.bashrc }}<br />
<pre><br />
echo 'NOTIFICATION - Acces SSH en '` id | cut -d "(" -f2 | cut -d ")" -f1`' sur '`hostname`' le: ' `date` `who` | mail -s "NOTIFICATION - Connexion en "`id | cut -d '(' -f2 | cut -d ')' -f1`" via SSH depuis: `who | cut -d"(" -f2 | cut -d")" -f1`" mail@domain.be<br />
</pre><br />
<br />
Maintenant, des qu'on se connecte en root directement via '''ssh''' ou via la commande '''sudo su''', un mail est envoyé.<br />
<br />
[[Catégorie:Système]]</div>Ddevleeschauwerhttp://wiki.diouxx.be/index.php?title=Active_Directory&diff=270Active Directory2017-10-12T05:44:19Z<p>Ddevleeschauwer : </p>
<hr />
<div>{{ Introduction | Cette page regroupe un ensemble 'information sur l'installation,configuration, interaction avec l'Active Directory Windows }}<br />
= Interaction =<br />
== Intégration d'un serveur Linux à l'AD ==<br />
<br><br />
<big>'''Configuration du système avant intégration'''</big><br />
<br><br />
<br><br />
On va d'abord mettre à jour le système<br />
<br><br />
{{ Console root | apt update && apt upgrade -y }}<br />
<br><br />
{{ Note | S'assurer d'avoir une connexion SSH en '''root''' car nous allons désactiver les autres sources d'authentifications s'il y en a déjà configurées. }}<br />
<br><br />
* Modifier le fichier {{ File | /etc/hosts }} pour que le nom de la machine correspondent au nom du domaine à rejoindre.<br />
<br><br />
{{ Console root | nano /etc/hosts }} <br />
<br><br />
<pre><br />
127.0.1.1 yourmachine.domain.be yourmachine<br />
</pre><br />
<br><br />
{{ Note | Modifier les informations pour qu'elles correspondent à votre nom de machine et de domaine }}<br />
<br><br />
<br />
* Au besoin, modifier le fichier {{ File | /etc/nsswitch.conf}} pour retirer toutes occurrences de connexion ldap<br />
<br><br />
<br />
* S'assurer que le dns pointe sur le serveur AD en modifiant au besoin le fichier {{ File | /etc/resolv.conf}}<br />
<pre><br />
domain domain.be<br />
search domain.be<br />
nameserver IP-AD<br />
</pre><br />
<br />
<br><br />
<big>'''Installation des paquets nécessaire à l'intégration'''</big><br />
<br><br />
<br><br />
<br />
Pour installer et configurer les différents paquets nécessaire à l'authentification des utilisateurs avec notre AD, nous allons nous aider du script suivant :<br />
<br />
<syntaxhighlight lang=bash><br />
#!/bin/bash<br />
<br />
# This script should join Debian Jessie (8) to an Active Directory domain.<br />
echo "Please authenticate with your sudo password"<br />
sudo -v<br />
<br />
if ! $(sudo which realmd 2>/dev/null); then<br />
sudo apt install krb5-user adcli packagekit realmd -y<br />
fi<br />
<br />
if ! $(sudo which ntpd 2>/dev/null); then<br />
sudo apt install ntp -y<br />
fi<br />
<br />
sudo mkdir -p /var/lib/samba/private<br />
<br />
echo "Please enter the domain you wish to join: "<br />
read DOMAIN<br />
<br />
echo "Please enter a domain admin login to use: "<br />
read ADMIN<br />
<br />
sudo realm join --user=$ADMIN $DOMAIN<br />
<br />
if [ $? -ne 0 ]; then<br />
echo "AD join failed. Please run 'journalctl -xn' to determine why."<br />
exit 1<br />
fi<br />
<br />
sudo systemctl enable sssd<br />
sudo systemctl start sssd<br />
<br />
echo "session required pam_mkhomedir.so skel=/etc/skel/ umask=0022" | sudo tee -a /etc/pam.d/common-session<br />
<br />
# configure sudo<br />
sudo apt install libsss-sudo -y<br />
<br />
echo "%domain\ admins@$DOMAIN ALL=(ALL) ALL" | sudo tee -a /etc/sudoers.d/domain_admins<br />
<br />
echo "The computer is joined to the domain. Please reboot, ensure that you are connected to the network, and you should be able to login with domain credentials."<br />
</syntaxhighlight><br />
<br />
Lors de l’exécution du script, en plus de l'installation des paquets, il sera demandé de renseigné les informations suivantes :<br />
* Le nom de domaine (ex: yourdomain.be)<br />
* Le login de l'administrateur du domaine (ex: Administrator)<br />
* Le mot de passe de l'administrateur du domaine<br />
<br />
Une fois le script terminé, nous allons pouvoir passer à la configuration.<br />
<br />
<br><br />
<big>'''Configuration'''</big><br />
<br><br />
<br><br />
<br />
Pour autoriser l'authentification des utilisateurs via notre AD, nous allons devoir modifier différents fichiers<br />
<br />
* Le fichier {{ File | /etc/sssd/sssd.conf}} avec la ligne suivants :<br />
<pre><br />
use_fully_qualified_names = False<br />
</pre><br />
<br />
'''Un redémarrage est nécessaire après cette modification.'''<br />
<br />
* Modifier la configuration du serveur SSH dans avec le fichier {{ File | /etc/ssh/sshd_config }} en activant les 3 variable suivante:<br />
<br />
<pre><br />
# Kerberos options<br />
KerberosAuthentication yes<br />
<br />
# GSSAPI options<br />
GSSAPIAuthentication yes<br />
GSSAPICleanupCredentials yes<br />
</pre><br />
<br><br />
{{ Note | Cette modification permet d'activer l' authentification kerberos pour le service SSH.}}<br />
<br><br />
Redémarrer le service SSH et SSSD<br />
<br><br />
{{ Console root | service ssh restart && service sssd restart }}<br />
<br><br />
<br />
<big>'''Vérification'''</big><br />
<br><br />
<br><br />
<br />
Pour vérifier le bon fonctionnement, nous allons pouvoir réaliser différents test<br />
<br />
* Vérifier que le serveur linux arrive à retrouver les informations d'un utilisateur dans l'AD<br />
<br><br />
{{ Console root | getent passwd user }}<br />
<br><br />
<pre><br />
user:*:47401107:47400513:FirstName Name:/home/domain.be/user:/bin/bash<br />
</pre><br />
<br><br />
{{ Note | Dans la commande ''getent'' changer '''user''' par le nom d'un utilisateur dans l'AD }}<br />
<br><br />
<br />
* Vérifier la création de la home directory <br />
<br><br />
{{ Console root | su - user }}<br />
<br> <br />
<pre><br />
Création du répertoire « /home/domain.be/user »<br />
</pre><br />
<br><br />
<br />
* Pour terminer, vérifier si vous arrivez à vous connecter en SSH avec l'utilisateur AD<br />
<br><br />
{{ Console | ssh user@IP-serveur-linux }}<br />
<br><br />
<br />
[[Catégorie:Windows Server]]</div>Ddevleeschauwerhttp://wiki.diouxx.be/index.php?title=Active_Directory&diff=269Active Directory2017-10-12T05:41:38Z<p>Ddevleeschauwer : </p>
<hr />
<div>{{ Introduction | Cette page regroupe un ensemble 'information sur l'installation,configuration, interaction avec l'Active Directory Windows }}<br />
= Interaction =<br />
== Intégration d'un serveur Linux à l'AD ==<br />
<br><br />
<big>'''Configuration du système avant intégration'''</big><br />
<br><br />
<br><br />
On va d'abord mettre à jour le système<br />
<br><br />
{{ Console root | apt update && apt upgrade -y }}<br />
<br><br />
{{ Note | S'assurer d'avoir une connexion SSH en '''root''' car nous allons désactiver les autres sources d'authentifications s'il y en a déjà configurées. }}<br />
<br><br />
* Modifier le fichier {{ File | /etc/hosts }} pour que le nom de la machine correspondent au nom du domaine à rejoindre.<br />
<br><br />
{{ Console root | nano /etc/hosts }} <br />
<br><br />
<pre><br />
127.0.1.1 yourmachine.domain.be yourmachine<br />
</pre><br />
<br><br />
{{ Note | Modifier les informations pour qu'elles correspondent à votre nom de machine et de domaine }}<br />
<br><br />
<br />
* Au besoin, modifier le fichier {{ File | /etc/nsswitch.conf}} pour retirer toutes occurrences de connexion ldap<br />
<br><br />
<br />
* S'assurer que le dns pointe sur le serveur AD en modifiant au besoin le fichier {{ File | /etc/resolv.conf}}<br />
<pre><br />
domain domain.be<br />
search domain.be<br />
nameserver IP-AD<br />
</pre><br />
<br />
<br><br />
<big>'''Installation des paquets nécessaire à l'intégration'''</big><br />
<br><br />
<br><br />
<br />
Pour installer et configurer les différents paquets nécessaire à l'authentification des utilisateurs avec notre AD, nous allons nous aider du script suivant :<br />
<br />
<syntaxhighlight lang=bash><br />
#!/bin/bash<br />
<br />
# This script should join Debian Jessie (8) to an Active Directory domain.<br />
echo "Please authenticate with your sudo password"<br />
sudo -v<br />
<br />
if ! $(sudo which realmd 2>/dev/null); then<br />
sudo apt install krb5-user adcli packagekit realmd -y<br />
fi<br />
<br />
if ! $(sudo which ntpd 2>/dev/null); then<br />
sudo apt install ntp -y<br />
fi<br />
<br />
sudo mkdir -p /var/lib/samba/private<br />
<br />
echo "Please enter the domain you wish to join: "<br />
read DOMAIN<br />
<br />
echo "Please enter a domain admin login to use: "<br />
read ADMIN<br />
<br />
sudo realm join --user=$ADMIN $DOMAIN<br />
<br />
if [ $? -ne 0 ]; then<br />
echo "AD join failed. Please run 'journalctl -xn' to determine why."<br />
exit 1<br />
fi<br />
<br />
sudo systemctl enable sssd<br />
sudo systemctl start sssd<br />
<br />
echo "session required pam_mkhomedir.so skel=/etc/skel/ umask=0022" | sudo tee -a /etc/pam.d/common-session<br />
<br />
# configure sudo<br />
sudo apt install libsss-sudo -y<br />
<br />
echo "%domain\ admins@$DOMAIN ALL=(ALL) ALL" | sudo tee -a /etc/sudoers.d/domain_admins<br />
<br />
echo "The computer is joined to the domain. Please reboot, ensure that you are connected to the network, and you should be able to login with domain credentials."<br />
</syntaxhighlight><br />
<br />
Lors de l’exécution du script, en plus de l'installation des paquets, il sera demandé de renseigné les informations suivantes :<br />
* Le nom de domaine (ex: yourdomain.be)<br />
* Le login de l'administrateur du domaine (ex: Administrator)<br />
* Le mot de passe de l'administrateur du domaine<br />
<br />
Une fois le script terminé, nous allons pouvoir passer à la configuration.<br />
<br />
<br><br />
<big>'''Configuration'''</big><br />
<br><br />
<br><br />
<br />
Pour autoriser l'authentification des utilisateurs via notre AD, nous allons devoir modifier différents fichiers<br />
<br />
* Le fichier {{ File | /etc/sssd/sssd.conf}} avec la ligne suivants :<br />
<pre><br />
use_fully_qualified_names = False<br />
</pre><br />
<br />
'''Un redémarrage est nécessaire après cette modification.'''<br />
<br />
* Modifier la configuration du serveur SSH dans avec le fichier {{ File | /etc/ssh/sshd_config }} en activant les 3 variable suivante:<br />
<br />
<pre><br />
# Kerberos options<br />
KerberosAuthentication yes<br />
<br />
# GSSAPI options<br />
GSSAPIAuthentication yes<br />
GSSAPICleanupCredentials yes<br />
</pre><br />
<br><br />
{{ Note | Cette modification permet d'activer l' authentification kerberos pour le service SSH.}}<br />
<br><br />
Redémarrer le service SSH et SSSF<br />
<br><br />
{{ Console root | service ssh restart && service sssd restart }}<br />
<br><br />
<br />
<big>'''Vérification'''</big><br />
<br><br />
<br><br />
<br />
Pour vérifier le bon fonctionnement, nous allons pouvoir réaliser différents test<br />
<br />
* Vérifier que le serveur linux arrive à retrouver les informations d'un utilisateur dans l'AD<br />
<br><br />
{{ Console root | getent passwd user }}<br />
<br><br />
<pre><br />
user:*:47401107:47400513:FirstName Name:/home/domain.be/user:/bin/bash<br />
</pre><br />
<br><br />
{{ Note | Dans la commande ''getent'' changer '''user''' par le nom d'un utilisateur dans l'AD }}<br />
<br><br />
<br />
* Vérifier la création de la home directory <br />
<br><br />
{{ Console root | su - user }}<br />
<br> <br />
<pre><br />
Création du répertoire « /home/domain.be/user »<br />
</pre><br />
<br><br />
<br />
* Pour terminer, vérifier si vous arrivez à vous connecter en SSH avec l'utilisateur AD<br />
<br><br />
{{ Console | ssh user@IP-serveur-linux }}<br />
<br><br />
<br />
[[Catégorie:Windows Server]]</div>Ddevleeschauwerhttp://wiki.diouxx.be/index.php?title=Active_Directory&diff=268Active Directory2017-06-27T10:14:17Z<p>Ddevleeschauwer : /* Intégration d'un serveur Linux à l'AD */</p>
<hr />
<div>{{ Introduction | Cette page regroupe un ensemble 'information sur l'installation,configuration, interaction avec l'Active Directory Windows }}<br />
= Interaction =<br />
== Intégration d'un serveur Linux à l'AD ==<br />
<br><br />
<big>'''Configuration du système avant intégration'''</big><br />
<br><br />
<br><br />
On va d'abord mettre à jour le système<br />
<br><br />
{{ Console root | apt update && apt upgrade -y }}<br />
<br><br />
{{ Note | S'assurer d'avoir une connexion SSH en '''root''' car nous allons désactiver les autres sources d'authentifications s'il y en a déjà configurées. }}<br />
<br><br />
* Modifier le fichier {{ File | /etc/hosts }} pour que le nom de la machine correspondent au nom du domaine à rejoindre.<br />
<br><br />
{{ Console root | nano /etc/hosts }} <br />
<br><br />
<pre><br />
127.0.1.1 yourmachine.domain.be yourmachine<br />
</pre><br />
<br><br />
{{ Note | Modifier les informations pour qu'elles correspondent à votre nom de machine et de domaine }}<br />
<br><br />
<br />
* Au besoin, modifier le fichier {{ File | /etc/nsswitch.conf}} pour retirer toutes occurrences de connexion ldap<br />
<br><br />
<br />
* S'assurer que le dns pointe sur le serveur AD en modifiant au besoin le fichier {{ File | /etc/resolv.conf}}<br />
<pre><br />
domain domain.be<br />
search domain.be<br />
nameserver IP-AD<br />
</pre><br />
<br />
<br><br />
<big>'''Installation des paquets nécessaire à l'intégration'''</big><br />
<br><br />
<br><br />
<br />
Pour installer et configurer les différents paquets nécessaire à l'authentification des utilisateurs avec notre AD, nous allons nous aider du script suivant :<br />
<br />
<syntaxhighlight lang=bash><br />
#!/bin/bash<br />
<br />
# This script should join Debian Jessie (8) to an Active Directory domain.<br />
echo "Please authenticate with your sudo password"<br />
sudo -v<br />
<br />
if ! $(sudo which realmd 2>/dev/null); then<br />
sudo apt install krb5-user adcli packagekit realmd -y<br />
fi<br />
<br />
if ! $(sudo which ntpd 2>/dev/null); then<br />
sudo apt install ntp -y<br />
fi<br />
<br />
sudo mkdir -p /var/lib/samba/private<br />
<br />
echo "Please enter the domain you wish to join: "<br />
read DOMAIN<br />
<br />
echo "Please enter a domain admin login to use: "<br />
read ADMIN<br />
<br />
sudo realm join --user=$ADMIN $DOMAIN<br />
<br />
if [ $? -ne 0 ]; then<br />
echo "AD join failed. Please run 'journalctl -xn' to determine why."<br />
exit 1<br />
fi<br />
<br />
sudo systemctl enable sssd<br />
sudo systemctl start sssd<br />
<br />
echo "session required pam_mkhomedir.so skel=/etc/skel/ umask=0022" | sudo tee -a /etc/pam.d/common-session<br />
<br />
# configure sudo<br />
sudo apt install libsss-sudo -y<br />
<br />
echo "%domain\ admins@$DOMAIN ALL=(ALL) ALL" | sudo tee -a /etc/sudoers.d/domain_admins<br />
<br />
echo "The computer is joined to the domain. Please reboot, ensure that you are connected to the network, and you should be able to login with domain credentials."<br />
</syntaxhighlight><br />
<br />
Lors de l’exécution du script, en plus de l'installation des paquets, il sera demandé de renseigné les informations suivantes :<br />
* Le nom de domaine (ex: yourdomain.be)<br />
* Le login de l'administrateur du domaine (ex: Administrator)<br />
* Le mot de passe de l'administrateur du domaine<br />
<br />
Une fois le script terminé, nous allons pouvoir passer à la configuration.<br />
<br />
<br><br />
<big>'''Configuration'''</big><br />
<br><br />
<br><br />
<br />
Pour autoriser l'authentification des utilisateurs via notre AD, nous allons devoir modifier différents fichiers<br />
<br />
* Le fichier {{ File | /etc/sssd/sssd.conf}} avec la ligne suivants :<br />
<pre><br />
use_fully_qualified_names = False<br />
</pre><br />
<br />
'''Un redémarrage est nécessaire après cette modification.'''<br />
<br />
* Modifier la configuration du serveur SSH dans avec le fichier {{ File | /etc/ssh/sshd_config }} en activant les 3 variable suivante:<br />
<br />
<pre><br />
# Kerberos options<br />
KerberosAuthentication yes<br />
<br />
# GSSAPI options<br />
GSSAPIAuthentication yes<br />
GSSAPICleanupCredentials yes<br />
</pre><br />
<br><br />
{{ Note | Cette modification permet d'activer l' authentification kerberos pour le service SSH.}}<br />
<br><br />
Redémarrer le service SSH<br />
<br><br />
{{ Console root | service ssh restart }}<br />
<br><br />
<br />
<big>'''Vérification'''</big><br />
<br><br />
<br><br />
<br />
Pour vérifier le bon fonctionnement, nous allons pouvoir réaliser différents test<br />
<br />
* Vérifier que le serveur linux arrive à retrouver les informations d'un utilisateur dans l'AD<br />
<br><br />
{{ Console root | getent passwd user }}<br />
<br><br />
<pre><br />
user:*:47401107:47400513:FirstName Name:/home/domain.be/user:/bin/bash<br />
</pre><br />
<br><br />
{{ Note | Dans la commande ''getent'' changer '''user''' par le nom d'un utilisateur dans l'AD }}<br />
<br><br />
<br />
* Vérifier la création de la home directory <br />
<br><br />
{{ Console root | su - user }}<br />
<br> <br />
<pre><br />
Création du répertoire « /home/domain.be/user »<br />
</pre><br />
<br><br />
<br />
* Pour terminer, vérifier si vous arrivez à vous connecter en SSH avec l'utilisateur AD<br />
<br><br />
{{ Console | ssh user@IP-serveur-linux }}<br />
<br><br />
<br />
[[Catégorie:Windows Server]]</div>Ddevleeschauwerhttp://wiki.diouxx.be/index.php?title=Active_Directory&diff=267Active Directory2017-06-27T09:39:43Z<p>Ddevleeschauwer : </p>
<hr />
<div>{{ Introduction | Cette page regroupe un ensemble 'information sur l'installation,configuration, interaction avec l'Active Directory Windows }}<br />
= Interaction =<br />
== Intégration d'un serveur Linux à l'AD ==<br />
<br><br />
<big>'''Configuration du système avant intégration'''</big><br />
<br><br />
<br><br />
On va d'abord mettre à jour le système<br />
<br><br />
{{ Console root | apt update && apt upgrade -y }}<br />
<br><br />
{{ Note | S'assurer d'avoir une connexion SSH en '''root''' car nous allons désactiver les autres sources d'authentifications s'il y en a déjà configurées. }}<br />
<br><br />
* Modifier le fichier {{ File | /etc/hosts }} pour que le nom de la machine correspondent au nom du domaine à rejoindre.<br />
<br><br />
{{ Console root | nano /etc/hosts }} <br />
<br><br />
<pre><br />
127.0.1.1 yourmachine.domain.be yourmachine<br />
</pre><br />
<br><br />
{{ Note | Modifier les informations pour qu'elles correspondent à votre nom de machine et de domaine }}<br />
<br><br />
<br />
* Au besoin, modifier le fichier {{ File | /etc/nsswitch.conf}} pour retirer toutes occurrences de connexion ldap<br />
<br><br />
<br />
* S'assurer que le dns pointe sur le serveur AD en modifiant au besoin le fichier {{ File | /etc/resolv.conf}}<br />
<pre><br />
domain domain.be<br />
search domain.be<br />
nameserver IP-AD<br />
</pre><br />
<br />
<br><br />
<big>'''Installation des paquets nécessaire à l'intégration'''</big><br />
<br><br />
<br><br />
<br />
Pour installer et configurer les différents paquets nécessaire à l'authentification des utilisateurs avec notre AD, nous allons nous aider du script suivant :<br />
<br />
<syntaxhighlight lang=bash><br />
#!/bin/bash<br />
<br />
# This script should join Debian Jessie (8) to an Active Directory domain.<br />
echo "Please authenticate with your sudo password"<br />
sudo -v<br />
<br />
if ! $(sudo which realmd 2>/dev/null); then<br />
sudo apt install krb5-user adcli packagekit realmd -y<br />
fi<br />
<br />
if ! $(sudo which ntpd 2>/dev/null); then<br />
sudo apt install ntp -y<br />
fi<br />
<br />
sudo mkdir -p /var/lib/samba/private<br />
<br />
echo "Please enter the domain you wish to join: "<br />
read DOMAIN<br />
<br />
echo "Please enter a domain admin login to use: "<br />
read ADMIN<br />
<br />
sudo realm join --user=$ADMIN $DOMAIN<br />
<br />
if [ $? -ne 0 ]; then<br />
echo "AD join failed. Please run 'journalctl -xn' to determine why."<br />
exit 1<br />
fi<br />
<br />
sudo systemctl enable sssd<br />
sudo systemctl start sssd<br />
<br />
echo "session required pam_mkhomedir.so skel=/etc/skel/ umask=0022" | sudo tee -a /etc/pam.d/common-session<br />
<br />
# configure sudo<br />
sudo apt install libsss-sudo -y<br />
<br />
echo "%domain\ admins@$DOMAIN ALL=(ALL) ALL" | sudo tee -a /etc/sudoers.d/domain_admins<br />
<br />
echo "The computer is joined to the domain. Please reboot, ensure that you are connected to the network, and you should be able to login with domain credentials."<br />
</syntaxhighlight><br />
<br />
Lors de l’exécution du script, en plus de l'installation des paquets, il sera demandé de renseigné les informations suivantes :<br />
* Le nom de domaine (ex: yourdomain.be)<br />
* Le login de l'administrateur du domaine (ex: Administrator)<br />
* Le mot de passe de l'administrateur du domaine<br />
<br />
Une fois le script terminé, nous allons pouvoir passer à la configuration.<br />
<br />
<br><br />
<big>'''Configuration'''</big><br />
<br><br />
<br><br />
<br />
Pour autoriser l'authentification des utilisateurs via notre AD, nous allons devoir modifier différents fichiers<br />
<br />
* Le fichier {{ File | /etc/sssd/sssd.conf}} avec la ligne suivants :<br />
<pre><br />
use_fully_qualified_names = False<br />
</pre><br />
<br />
Un redémarrage est nécessaire après cette mmodification.<br />
<br />
* Modifier la configuration du serveur SSH dans avec le fichier {{ File | /etc/ssh/sshd_config }} en activant les 3 variable suivante:<br />
<br />
<pre><br />
# Kerberos options<br />
KerberosAuthentication yes<br />
<br />
# GSSAPI options<br />
GSSAPIAuthentication yes<br />
GSSAPICleanupCredentials yes<br />
</pre><br />
<br><br />
{{ Note | Cette modification permet d'activer l' authentification kerberos pour le service SSH.}}<br />
<br><br />
Redémarrer le service SSH<br />
<br><br />
{{ Console root | service ssh restart }}<br />
<br><br />
<br />
<big>'''Vérification'''</big><br />
<br><br />
<br><br />
<br />
Pour vérifier le bon fonctionnement, nous allons pouvoir réaliser différents test<br />
<br />
* Vérifier que le serveur linux arrive à retrouver les informations d'un utilisateur dans l'AD<br />
<br><br />
{{ Console root | getent passwd user }}<br />
<br><br />
<pre><br />
user:*:47401107:47400513:FirstName Name:/home/domain.be/user:/bin/bash<br />
</pre><br />
<br><br />
{{ Note | Dans la commande ''getent'' changer '''user''' par le nom d'un utilisateur dans l'AD }}<br />
<br><br />
<br />
* Vérifier la création de la home directory <br />
<br><br />
{{ Console root | su - user }}<br />
<br> <br />
<pre><br />
Création du répertoire « /home/domain.be/user »<br />
</pre><br />
<br><br />
<br />
* Pour terminer, vérifier si vous arrivez à vous connecter en SSH avec l'utilisateur AD<br />
<br><br />
{{ Console | ssh user@IP-serveur-linux }}<br />
<br><br />
<br />
[[Catégorie:Windows Server]]</div>Ddevleeschauwerhttp://wiki.diouxx.be/index.php?title=Active_Directory&diff=266Active Directory2017-06-23T06:55:22Z<p>Ddevleeschauwer : </p>
<hr />
<div>{{ Introduction | Cette page regroupe un ensemble 'information sur l'installation,configuration, interaction avec l'Active Directory Windows }}<br />
= Interaction =<br />
== Intégration d'un serveur Linux à l'AD ==<br />
<br><br />
<big>'''Configuration du système avant intégration'''</big><br />
<br><br />
<br><br />
On va d'abord mettre à jour le système<br />
<br><br />
{{ Console root | apt update && apt upgrade -y }}<br />
<br><br />
{{ Note | S'assurer d'avoir une connexion SSH en '''root''' car nous allons désactiver les autres sources d'authentifications s'il y en a déjà configurées. }}<br />
<br><br />
* Modifier le fichier {{ File | /etc/hosts }} pour que le nom de la machine correspondent au nom du domaine à rejoindre.<br />
<br><br />
{{ Console root | nano /etc/hosts }} <br />
<br><br />
<pre><br />
127.0.1.1 yourmachine.domain.be yourmachine<br />
</pre><br />
<br><br />
{{ Note | Modifier les informations pour qu'elles correspondent à votre nom de machine et de domaine }}<br />
<br><br />
<br />
* Au besoin, modifier le fichier {{ File | /etc/nsswitch.conf}} pour retirer toutes occurrences de connexion ldap<br />
<br><br />
<br />
* S'assurer que le dns pointe sur le serveur AD en modifiant au besoin le fichier {{ File | /etc/resolv.conf}}<br />
<pre><br />
domain domain.be<br />
search domain.be<br />
nameserver IP-AD<br />
</pre><br />
<br />
<br><br />
<big>'''Installation des paquets nécessaire à l'intégration'''</big><br />
<br><br />
<br><br />
<br />
Pour installer et configurer les différents paquets nécessaire à l'authentification des utilisateurs avec notre AD, nous allons nous aider du script suivant :<br />
<br />
<syntaxhighlight lang=bash><br />
#!/bin/bash<br />
<br />
# This script should join Debian Jessie (8) to an Active Directory domain.<br />
echo "Please authenticate with your sudo password"<br />
sudo -v<br />
<br />
if ! $(sudo which realmd 2>/dev/null); then<br />
sudo aptitude install krb5-user adcli packagekit realmd -y<br />
fi<br />
<br />
if ! $(sudo which ntpd 2>/dev/null); then<br />
sudo aptitude install ntp -y<br />
fi<br />
<br />
sudo mkdir -p /var/lib/samba/private<br />
<br />
echo "Please enter the domain you wish to join: "<br />
read DOMAIN<br />
<br />
echo "Please enter a domain admin login to use: "<br />
read ADMIN<br />
<br />
sudo realm join --user=$ADMIN $DOMAIN<br />
<br />
if [ $? -ne 0 ]; then<br />
echo "AD join failed. Please run 'journalctl -xn' to determine why."<br />
exit 1<br />
fi<br />
<br />
sudo systemctl enable sssd<br />
sudo systemctl start sssd<br />
<br />
echo "session required pam_mkhomedir.so skel=/etc/skel/ umask=0022" | sudo tee -a /etc/pam.d/common-session<br />
<br />
# configure sudo<br />
sudo aptitude install libsss-sudo -y<br />
<br />
echo "%domain\ admins@$DOMAIN ALL=(ALL) ALL" | sudo tee -a /etc/sudoers.d/domain_admins<br />
<br />
echo "The computer is joined to the domain. Please reboot, ensure that you are connected to the network, and you should be able to login with domain credentials."<br />
</syntaxhighlight><br />
<br />
Lors de l’exécution du script, en plus de l'installation des paquets, il sera demandé de renseigné les informations suivantes :<br />
* Le nom de domaine (ex: yourdomain.be)<br />
* Le login de l'administrateur du domaine (ex: Administrator)<br />
* Le mot de passe de l'administrateur du domaine<br />
<br />
Une fois le script terminé, nous allons pouvoir passer à la configuration.<br />
<br />
<br><br />
<big>'''Configuration'''</big><br />
<br><br />
<br><br />
<br />
Pour autoriser l'authentification des utilisateurs via notre AD, nous allons devoir modifier différents fichiers<br />
<br />
* Le fichier {{ File | /etc/sssd/sssd.conf}} avec la ligne suivants :<br />
<pre><br />
use_fully_qualified_names = False<br />
</pre><br />
<br />
Un redémarrage est nécessaire après cette mmodification.<br />
<br />
* Modifier la configuration du serveur SSH dans avec le fichier {{ File | /etc/ssh/sshd_config }} en activant les 3 variable suivante:<br />
<br />
<pre><br />
# Kerberos options<br />
KerberosAuthentication yes<br />
<br />
# GSSAPI options<br />
GSSAPIAuthentication yes<br />
GSSAPICleanupCredentials yes<br />
</pre><br />
<br><br />
{{ Note | Cette modification permet d'activer l' authentification kerberos pour le service SSH.}}<br />
<br><br />
Redémarrer le service SSH<br />
<br><br />
{{ Console root | service ssh restart }}<br />
<br><br />
<br />
<big>'''Vérification'''</big><br />
<br><br />
<br><br />
<br />
Pour vérifier le bon fonctionnement, nous allons pouvoir réaliser différents test<br />
<br />
* Vérifier que le serveur linux arrive à retrouver les informations d'un utilisateur dans l'AD<br />
<br><br />
{{ Console root | getent passwd user }}<br />
<br><br />
<pre><br />
user:*:47401107:47400513:FirstName Name:/home/domain.be/user:/bin/bash<br />
</pre><br />
<br><br />
{{ Note | Dans la commande ''getent'' changer '''user''' par le nom d'un utilisateur dans l'AD }}<br />
<br><br />
<br />
* Vérifier la création de la home directory <br />
<br><br />
{{ Console root | su - user }}<br />
<br> <br />
<pre><br />
Création du répertoire « /home/domain.be/user »<br />
</pre><br />
<br><br />
<br />
* Pour terminer, vérifier si vous arrivez à vous connecter en SSH avec l'utilisateur AD<br />
<br><br />
{{ Console | ssh user@IP-serveur-linux }}<br />
<br><br />
<br />
[[Catégorie:Windows Server]]</div>Ddevleeschauwerhttp://wiki.diouxx.be/index.php?title=Active_Directory&diff=265Active Directory2017-06-23T05:33:58Z<p>Ddevleeschauwer : /* Intégration d'un serveur Linux à l'AD */</p>
<hr />
<div>{{ Introduction | Cette page regroupe un ensemble 'information sur l'installation,configuration, interaction avec l'Active Directory Windows }}<br />
= Interaction =<br />
== Intégration d'un serveur Linux à l'AD ==<br />
<br><br />
<big>'''Configuration du système avant intégration'''</big><br />
<br><br />
<br><br />
On va d'abord mettre à jour le système<br />
<br><br />
{{ Console root | apt update && apt upgrade -y }}<br />
<br><br />
{{ Note | S'assurer d'avoir une connexion SSH en '''root''' car nous allons désactiver les autres sources d'authentifications s'il y en a déjà configurées. }}<br />
<br><br />
* Modifier le fichier {{ File | /etc/hosts }} pour que le nom de la machine correspondent au nom du domaine à rejoindre.<br />
<br><br />
{{ Console root | nano /etc/hosts }} <br />
<br><br />
<pre><br />
127.0.1.1 yourmachine.domain.be yourmachine<br />
</pre><br />
<br><br />
{{ Note | Modifier les informations pour qu'elles correspondent à votre nom de machine et de domaine }}<br />
<br><br />
<br />
* S'assurer que le dns pointe sur le serveur AD en modifiant au besoin le fichier {{ File | /etc/resolv.conf}}<br />
<pre><br />
domain domain.be<br />
search domain.be<br />
nameserver IP-AD<br />
</pre><br />
<br />
<br><br />
<big>'''Installation des paquets nécessaire à l'intégration'''</big><br />
<br><br />
<br><br />
<br />
Pour installer et configurer les différents paquets nécessaire à l'authentification des utilisateurs avec notre AD, nous allons nous aider du script suivant :<br />
<br />
<syntaxhighlight lang=bash><br />
#!/bin/bash<br />
<br />
# This script should join Debian Jessie (8) to an Active Directory domain.<br />
echo "Please authenticate with your sudo password"<br />
sudo -v<br />
<br />
if ! $(sudo which realmd 2>/dev/null); then<br />
sudo aptitude install krb5-user adcli packagekit realmd -y<br />
fi<br />
<br />
if ! $(sudo which ntpd 2>/dev/null); then<br />
sudo aptitude install ntp -y<br />
fi<br />
<br />
sudo mkdir -p /var/lib/samba/private<br />
<br />
echo "Please enter the domain you wish to join: "<br />
read DOMAIN<br />
<br />
echo "Please enter a domain admin login to use: "<br />
read ADMIN<br />
<br />
sudo realm join --user=$ADMIN $DOMAIN<br />
<br />
if [ $? -ne 0 ]; then<br />
echo "AD join failed. Please run 'journalctl -xn' to determine why."<br />
exit 1<br />
fi<br />
<br />
sudo systemctl enable sssd<br />
sudo systemctl start sssd<br />
<br />
echo "session required pam_mkhomedir.so skel=/etc/skel/ umask=0022" | sudo tee -a /etc/pam.d/common-session<br />
<br />
# configure sudo<br />
sudo aptitude install libsss-sudo -y<br />
<br />
echo "%domain\ admins@$DOMAIN ALL=(ALL) ALL" | sudo tee -a /etc/sudoers.d/domain_admins<br />
<br />
echo "The computer is joined to the domain. Please reboot, ensure that you are connected to the network, and you should be able to login with domain credentials."<br />
</syntaxhighlight><br />
<br />
Lors de l’exécution du script, en plus de l'installation des paquets, il sera demandé de renseigné les informations suivantes :<br />
* Le nom de domaine (ex: yourdomain.be)<br />
* Le login de l'administrateur du domaine (ex: Administrator)<br />
* Le mot de passe de l'administrateur du domaine<br />
<br />
Une fois le script terminé, nous allons pouvoir passer à la configuration.<br />
<br />
<br><br />
<big>'''Configuration'''</big><br />
<br><br />
<br><br />
<br />
Pour autoriser l'authentification des utilisateurs via notre AD, nous allons devoir modifier différents fichiers<br />
<br />
* Le fichier {{ File | /etc/sssd/sssd.conf}} avec la ligne suivants :<br />
<pre><br />
use_fully_qualified_names = False<br />
</pre><br />
<br />
Un redémarrage est nécessaire après cette mmodification.<br />
<br />
* Modifier la configuration du serveur SSH dans avec le fichier {{ File | /etc/ssh/sshd_config }} en activant les 3 variable suivante:<br />
<br />
<pre><br />
# Kerberos options<br />
KerberosAuthentication yes<br />
<br />
# GSSAPI options<br />
GSSAPIAuthentication yes<br />
GSSAPICleanupCredentials yes<br />
</pre><br />
<br><br />
{{ Note | Cette modification permet d'activer l' authentification kerberos pour le service SSH.}}<br />
<br><br />
Redémarrer le service SSH<br />
<br><br />
{{ Console root | service ssh restart }}<br />
<br><br />
<br />
<big>'''Vérification'''</big><br />
<br><br />
<br><br />
<br />
Pour vérifier le bon fonctionnement, nous allons pouvoir réaliser différents test<br />
<br />
* Vérifier que le serveur linux arrive à retrouver les informations d'un utilisateur dans l'AD<br />
<br><br />
{{ Console root | getent passwd user }}<br />
<br><br />
<pre><br />
user:*:47401107:47400513:FirstName Name:/home/domain.be/user:/bin/bash<br />
</pre><br />
<br><br />
{{ Note | Dans la commande ''getent'' changer '''user''' par le nom d'un utilisateur dans l'AD }}<br />
<br><br />
<br />
* Vérifier la création de la home directory <br />
<br><br />
{{ Console root | su - user }}<br />
<br> <br />
<pre><br />
Création du répertoire « /home/domain.be/user »<br />
</pre><br />
<br><br />
<br />
* Pour terminer, vérifier si vous arrivez à vous connecter en SSH avec l'utilisateur AD<br />
<br><br />
{{ Console | ssh user@IP-serveur-linux }}<br />
<br><br />
<br />
[[Catégorie:Windows Server]]</div>Ddevleeschauwerhttp://wiki.diouxx.be/index.php?title=Active_Directory&diff=264Active Directory2017-06-21T12:42:49Z<p>Ddevleeschauwer : </p>
<hr />
<div>{{ Introduction | Cette page regroupe un ensemble 'information sur l'installation,configuration, interaction avec l'Active Directory Windows }}<br />
= Interaction =<br />
== Intégration d'un serveur Linux à l'AD ==<br />
<br><br />
<big>'''Configuration du système avant intégration'''</big><br />
<br><br />
<br><br />
On va d'abord mettre à jour le système<br />
<br><br />
{{ Console root | apt update && apt upgrade -y }}<br />
<br><br />
{{ Note | S'assurer d'avoir une connexion SSH en '''root''' car nous allons désactiver les autres sources d'authentifications s'il y en a déjà configurées. }}<br />
<br><br />
* Modifier le fichier {{ File | /etc/hosts }} pour qu'il coïncide avec le serveur d'authentification.<br />
<br><br />
{{ Console root | nano /etc/hosts }} <br />
<br><br />
<pre><br />
127.0.1.1 yourmachine.domain.be yourmachine<br />
</pre><br />
<br><br />
{{ Note | Modifier les informations pour qu'elles correspondent à votre nom de machine et de domaine }}<br />
<br><br />
<br />
* S'assurer que le dns pointe sur le serveur AD en modifiant au besoin le fichier {{ File | /etc/resolv.conf}}<br />
<pre><br />
domain domain.be<br />
search domain.be<br />
nameserver IP-AD<br />
</pre><br />
<br />
<br><br />
<big>'''Installation des paquets nécessaire à l'intégration'''</big><br />
<br><br />
<br><br />
<br />
Pour installer et configurer les différents paquets nécessaire à l'authentification des utilisateurs avec notre AD, nous allons nous aider du script suivant :<br />
<br />
<syntaxhighlight lang=bash><br />
#!/bin/bash<br />
<br />
# This script should join Debian Jessie (8) to an Active Directory domain.<br />
echo "Please authenticate with your sudo password"<br />
sudo -v<br />
<br />
if ! $(sudo which realmd 2>/dev/null); then<br />
sudo aptitude install krb5-user adcli packagekit realmd -y<br />
fi<br />
<br />
if ! $(sudo which ntpd 2>/dev/null); then<br />
sudo aptitude install ntp -y<br />
fi<br />
<br />
sudo mkdir -p /var/lib/samba/private<br />
<br />
echo "Please enter the domain you wish to join: "<br />
read DOMAIN<br />
<br />
echo "Please enter a domain admin login to use: "<br />
read ADMIN<br />
<br />
sudo realm join --user=$ADMIN $DOMAIN<br />
<br />
if [ $? -ne 0 ]; then<br />
echo "AD join failed. Please run 'journalctl -xn' to determine why."<br />
exit 1<br />
fi<br />
<br />
sudo systemctl enable sssd<br />
sudo systemctl start sssd<br />
<br />
echo "session required pam_mkhomedir.so skel=/etc/skel/ umask=0022" | sudo tee -a /etc/pam.d/common-session<br />
<br />
# configure sudo<br />
sudo aptitude install libsss-sudo -y<br />
<br />
echo "%domain\ admins@$DOMAIN ALL=(ALL) ALL" | sudo tee -a /etc/sudoers.d/domain_admins<br />
<br />
echo "The computer is joined to the domain. Please reboot, ensure that you are connected to the network, and you should be able to login with domain credentials."<br />
</syntaxhighlight><br />
<br />
Lors de l’exécution du script, en plus de l'installation des paquets, il sera demandé de renseigné les informations suivantes :<br />
* Le nom de domaine (ex: yourdomain.be)<br />
* Le login de l'administrateur du domaine (ex: Administrator)<br />
* Le mot de passe de l'administrateur du domaine<br />
<br />
Une fois le script terminé, nous allons pouvoir passer à la configuration.<br />
<br />
<br><br />
<big>'''Configuration'''</big><br />
<br><br />
<br><br />
<br />
Pour autoriser l'authentification des utilisateurs via notre AD, nous allons devoir modifier différents fichiers<br />
<br />
* Le fichier {{ File | /etc/sssd/sssd.conf}} avec la ligne suivants :<br />
<pre><br />
use_fully_qualified_names = False<br />
</pre><br />
<br />
Un redémarrage est nécessaire après cette mmodification.<br />
<br />
* Modifier la configuration du serveur SSH dans avec le fichier {{ File | /etc/ssh/sshd_config }} en activant les 3 variable suivante:<br />
<br />
<pre><br />
# Kerberos options<br />
KerberosAuthentication yes<br />
<br />
# GSSAPI options<br />
GSSAPIAuthentication yes<br />
GSSAPICleanupCredentials yes<br />
</pre><br />
<br><br />
{{ Note | Cette modification permet d'activer l' authentification kerberos pour le service SSH.}}<br />
<br><br />
Redémarrer le service SSH<br />
<br><br />
{{ Console root | service ssh restart }}<br />
<br><br />
<br />
<big>'''Vérification'''</big><br />
<br><br />
<br><br />
<br />
Pour vérifier le bon fonctionnement, nous allons pouvoir réaliser différents test<br />
<br />
* Vérifier que le serveur linux arrive à retrouver les informations d'un utilisateur dans l'AD<br />
<br><br />
{{ Console root | getent passwd user }}<br />
<br><br />
<pre><br />
user:*:47401107:47400513:FirstName Name:/home/domain.be/user:/bin/bash<br />
</pre><br />
<br><br />
{{ Note | Dans la commande ''getent'' changer '''user''' par le nom d'un utilisateur dans l'AD }}<br />
<br><br />
<br />
* Vérifier la création de la home directory <br />
<br><br />
{{ Console root | su - user }}<br />
<br> <br />
<pre><br />
Création du répertoire « /home/domain.be/user »<br />
</pre><br />
<br><br />
<br />
* Pour terminer, vérifier si vous arrivez à vous connecter en SSH avec l'utilisateur AD<br />
<br><br />
{{ Console | ssh user@IP-serveur-linux }}<br />
<br><br />
<br />
[[Catégorie:Windows Server]]</div>Ddevleeschauwerhttp://wiki.diouxx.be/index.php?title=Active_Directory&diff=263Active Directory2017-06-21T12:38:27Z<p>Ddevleeschauwer : /* Vérification du fonctionnement */</p>
<hr />
<div>{{ Introduction | Cette page regroupe un ensemble 'information sur l'installation,configuration, interaction avec l'Active Directory Windows }}<br />
= Interaction =<br />
== Intégration d'un serveur Linux à l'AD ==<br />
<br />
=== Configuration du système avant intégration ===<br />
On va d'abord mettre à jour le système<br />
<br><br />
{{ Console root | apt update && apt upgrade -y }}<br />
<br><br />
{{ Note | S'assurer d'avoir une connexion SSH en '''root''' car nous allons désactiver les autres sources d'authentifications s'il y en a déjà configurées. }}<br />
<br><br />
* Modifier le fichier {{ File | /etc/hosts }} pour qu'il coïncide avec le serveur d'authentification.<br />
<br><br />
{{ Console root | nano /etc/hosts }} <br />
<br><br />
<pre><br />
127.0.1.1 yourmachine.domain.be yourmachine<br />
</pre><br />
<br><br />
{{ Note | Modifier les informations pour qu'elles correspondent à votre nom de machine et de domaine }}<br />
<br><br />
<br />
* S'assurer que le dns pointe sur le serveur AD en modifiant au besoin le fichier {{ File | /etc/resolv.conf}}<br />
<pre><br />
domain domain.be<br />
search domain.be<br />
nameserver IP-AD<br />
</pre><br />
<br />
=== Installation des paquets nécessaire à l'intégration ===<br />
<br />
Pour installer et configurer les différents paquets nécessaire à l'authentification des utilisateurs avec notre AD, nous allons nous aider du script suivant :<br />
<br />
<syntaxhighlight lang=bash><br />
#!/bin/bash<br />
<br />
# This script should join Debian Jessie (8) to an Active Directory domain.<br />
echo "Please authenticate with your sudo password"<br />
sudo -v<br />
<br />
if ! $(sudo which realmd 2>/dev/null); then<br />
sudo aptitude install krb5-user adcli packagekit realmd -y<br />
fi<br />
<br />
if ! $(sudo which ntpd 2>/dev/null); then<br />
sudo aptitude install ntp -y<br />
fi<br />
<br />
sudo mkdir -p /var/lib/samba/private<br />
<br />
echo "Please enter the domain you wish to join: "<br />
read DOMAIN<br />
<br />
echo "Please enter a domain admin login to use: "<br />
read ADMIN<br />
<br />
sudo realm join --user=$ADMIN $DOMAIN<br />
<br />
if [ $? -ne 0 ]; then<br />
echo "AD join failed. Please run 'journalctl -xn' to determine why."<br />
exit 1<br />
fi<br />
<br />
sudo systemctl enable sssd<br />
sudo systemctl start sssd<br />
<br />
echo "session required pam_mkhomedir.so skel=/etc/skel/ umask=0022" | sudo tee -a /etc/pam.d/common-session<br />
<br />
# configure sudo<br />
sudo aptitude install libsss-sudo -y<br />
<br />
echo "%domain\ admins@$DOMAIN ALL=(ALL) ALL" | sudo tee -a /etc/sudoers.d/domain_admins<br />
<br />
echo "The computer is joined to the domain. Please reboot, ensure that you are connected to the network, and you should be able to login with domain credentials."<br />
</syntaxhighlight><br />
<br />
Lors de l’exécution du script, en plus de l'installation des paquets, il sera demandé de renseigné les informations suivantes :<br />
* Le nom de domaine (ex: yourdomain.be)<br />
* Le login de l'administrateur du domaine (ex: Administrator)<br />
* Le mot de passe de l'administrateur du domaine<br />
<br />
Une fois le script terminé, nous allons pouvoir passer à la configuration.<br />
<br />
=== Configuration ===<br />
Pour autoriser l'authentification des utilisateurs via notre AD, nous allons devoir modifier différents fichiers<br />
<br />
* Le fichier {{ File | /etc/sssd/sssd.conf}} avec la ligne suivants :<br />
<pre><br />
use_fully_qualified_names = False<br />
</pre><br />
<br />
Un redémarrage est nécessaire après cette mmodification.<br />
<br />
* Modifier la configuration du serveur SSH dans avec le fichier {{ File | /etc/ssh/sshd_config }} en activant les 3 variable suivante:<br />
<br />
<pre><br />
# Kerberos options<br />
KerberosAuthentication yes<br />
<br />
# GSSAPI options<br />
GSSAPIAuthentication yes<br />
GSSAPICleanupCredentials yes<br />
</pre><br />
<br><br />
{{ Note | Cette modification permet d'activer l' authentification kerberos pour le service SSH.}}<br />
<br><br />
Redémarrer le service SSH<br />
<br><br />
{{ Console root | service ssh restart }}<br />
<br><br />
<br />
=== Vérification ===<br />
Pour vérifier le bon fonctionnement, nous allons pouvoir réaliser différents test<br />
<br />
* Vérifier que le serveur linux arrive à retrouver les informations d'un utilisateur dans l'AD<br />
<br><br />
{{ Console root | getent passwd user }}<br />
<br><br />
<pre><br />
user:*:47401107:47400513:FirstName Name:/home/domain.be/user:/bin/bash<br />
</pre><br />
<br><br />
{{ Note | Dans la commande ''getent'' changer '''user''' par le nom d'un utilisateur dans l'AD }}<br />
<br><br />
<br />
* Vérifier la création de la home directory <br />
<br><br />
{{ Console root | su - user }}<br />
<br> <br />
<pre><br />
Création du répertoire « /home/domain.be/user »<br />
</pre><br />
<br><br />
<br />
* Pour terminer, vérifier si vous arrivez à vous connecter en SSH avec l'utilisateur AD<br />
<br><br />
{{ Console | ssh user@IP-serveur-linux }}<br />
<br><br />
<br />
[[Catégorie:Windows Server]]</div>Ddevleeschauwerhttp://wiki.diouxx.be/index.php?title=Active_Directory&diff=262Active Directory2017-06-21T12:32:15Z<p>Ddevleeschauwer : /* modification des fichiers de configuration */</p>
<hr />
<div>{{ Introduction | Cette page regroupe un ensemble 'information sur l'installation,configuration, interaction avec l'Active Directory Windows }}<br />
= Interaction =<br />
== Intégration d'un serveur Linux à l'AD ==<br />
<br />
=== Configuration du système avant intégration ===<br />
On va d'abord mettre à jour le système<br />
<br><br />
{{ Console root | apt update && apt upgrade -y }}<br />
<br><br />
{{ Note | S'assurer d'avoir une connexion SSH en '''root''' car nous allons désactiver les autres sources d'authentifications s'il y en a déjà configurées. }}<br />
<br><br />
* Modifier le fichier {{ File | /etc/hosts }} pour qu'il coïncide avec le serveur d'authentification.<br />
<br><br />
{{ Console root | nano /etc/hosts }} <br />
<br><br />
<pre><br />
127.0.1.1 yourmachine.domain.be yourmachine<br />
</pre><br />
<br><br />
{{ Note | Modifier les informations pour qu'elles correspondent à votre nom de machine et de domaine }}<br />
<br><br />
<br />
* S'assurer que le dns pointe sur le serveur AD en modifiant au besoin le fichier {{ File | /etc/resolv.conf}}<br />
<pre><br />
domain domain.be<br />
search domain.be<br />
nameserver IP-AD<br />
</pre><br />
<br />
=== Installation des paquets nécessaire à l'intégration ===<br />
<br />
Pour installer et configurer les différents paquets nécessaire à l'authentification des utilisateurs avec notre AD, nous allons nous aider du script suivant :<br />
<br />
<syntaxhighlight lang=bash><br />
#!/bin/bash<br />
<br />
# This script should join Debian Jessie (8) to an Active Directory domain.<br />
echo "Please authenticate with your sudo password"<br />
sudo -v<br />
<br />
if ! $(sudo which realmd 2>/dev/null); then<br />
sudo aptitude install krb5-user adcli packagekit realmd -y<br />
fi<br />
<br />
if ! $(sudo which ntpd 2>/dev/null); then<br />
sudo aptitude install ntp -y<br />
fi<br />
<br />
sudo mkdir -p /var/lib/samba/private<br />
<br />
echo "Please enter the domain you wish to join: "<br />
read DOMAIN<br />
<br />
echo "Please enter a domain admin login to use: "<br />
read ADMIN<br />
<br />
sudo realm join --user=$ADMIN $DOMAIN<br />
<br />
if [ $? -ne 0 ]; then<br />
echo "AD join failed. Please run 'journalctl -xn' to determine why."<br />
exit 1<br />
fi<br />
<br />
sudo systemctl enable sssd<br />
sudo systemctl start sssd<br />
<br />
echo "session required pam_mkhomedir.so skel=/etc/skel/ umask=0022" | sudo tee -a /etc/pam.d/common-session<br />
<br />
# configure sudo<br />
sudo aptitude install libsss-sudo -y<br />
<br />
echo "%domain\ admins@$DOMAIN ALL=(ALL) ALL" | sudo tee -a /etc/sudoers.d/domain_admins<br />
<br />
echo "The computer is joined to the domain. Please reboot, ensure that you are connected to the network, and you should be able to login with domain credentials."<br />
</syntaxhighlight><br />
<br />
Lors de l’exécution du script, en plus de l'installation des paquets, il sera demandé de renseigné les informations suivantes :<br />
* Le nom de domaine (ex: yourdomain.be)<br />
* Le login de l'administrateur du domaine (ex: Administrator)<br />
* Le mot de passe de l'administrateur du domaine<br />
<br />
Une fois le script terminé, nous allons pouvoir passer à la configuration.<br />
<br />
=== Configuration ===<br />
Pour autoriser l'authentification des utilisateurs via notre AD, nous allons devoir modifier différents fichiers<br />
<br />
* Le fichier {{ File | /etc/sssd/sssd.conf}} avec la ligne suivants :<br />
<pre><br />
use_fully_qualified_names = False<br />
</pre><br />
<br />
Un redémarrage est nécessaire après cette mmodification.<br />
<br />
* Modifier la configuration du serveur SSH dans avec le fichier {{ File | /etc/ssh/sshd_config }} en activant les 3 variable suivante:<br />
<br />
<pre><br />
# Kerberos options<br />
KerberosAuthentication yes<br />
<br />
# GSSAPI options<br />
GSSAPIAuthentication yes<br />
GSSAPICleanupCredentials yes<br />
</pre><br />
<br><br />
{{ Note | Cette modification permet d'activer l' authentification kerberos pour le service SSH.}}<br />
<br><br />
Redémarrer le service SSH<br />
<br><br />
{{ Console root | service ssh restart }}<br />
<br><br />
<br />
=== Vérification du fonctionnement ===<br />
Pour verrifier le bon fonctionnement <br />
<br />
taper getent passwd nom_du_user<br />
{{ Console root | getent passwd mdaniel }}<br />
<pre><br />
mdaniel:*:47401107:47400513:Maxime Daniel:/home/test.pass.be/mdaniel:/bin/bash<br />
</pre><br />
<br />
autres commandes <br />
<br />
{{ Console root | su - mdaniel }} <br />
<pre><br />
Création du répertoire « /home/test.pass.be/mdaniel »<br />
</pre><br />
<br />
Test d'un connexion ssh avec le user AD<br />
{{ Console | ssh mdaniel@192.168.100.6 }}<br />
<br />
<pre>mdaniel@192.168.100.6's password: <br />
mdaniel@test-debprox:~$ </pre><br />
<br />
{{ Console | pwd }}<br />
<br />
<pre>/home/test.pass.be/mdaniel </pre><br />
<br />
[[Catégorie:Windows Server]]</div>Ddevleeschauwerhttp://wiki.diouxx.be/index.php?title=Active_Directory&diff=261Active Directory2017-06-21T12:26:51Z<p>Ddevleeschauwer : /* installation des package nécessaire à l'intégration */</p>
<hr />
<div>{{ Introduction | Cette page regroupe un ensemble 'information sur l'installation,configuration, interaction avec l'Active Directory Windows }}<br />
= Interaction =<br />
== Intégration d'un serveur Linux à l'AD ==<br />
<br />
=== Configuration du système avant intégration ===<br />
On va d'abord mettre à jour le système<br />
<br><br />
{{ Console root | apt update && apt upgrade -y }}<br />
<br><br />
{{ Note | S'assurer d'avoir une connexion SSH en '''root''' car nous allons désactiver les autres sources d'authentifications s'il y en a déjà configurées. }}<br />
<br><br />
* Modifier le fichier {{ File | /etc/hosts }} pour qu'il coïncide avec le serveur d'authentification.<br />
<br><br />
{{ Console root | nano /etc/hosts }} <br />
<br><br />
<pre><br />
127.0.1.1 yourmachine.domain.be yourmachine<br />
</pre><br />
<br><br />
{{ Note | Modifier les informations pour qu'elles correspondent à votre nom de machine et de domaine }}<br />
<br><br />
<br />
* S'assurer que le dns pointe sur le serveur AD en modifiant au besoin le fichier {{ File | /etc/resolv.conf}}<br />
<pre><br />
domain domain.be<br />
search domain.be<br />
nameserver IP-AD<br />
</pre><br />
<br />
=== Installation des paquets nécessaire à l'intégration ===<br />
<br />
Pour installer et configurer les différents paquets nécessaire à l'authentification des utilisateurs avec notre AD, nous allons nous aider du script suivant :<br />
<br />
<syntaxhighlight lang=bash><br />
#!/bin/bash<br />
<br />
# This script should join Debian Jessie (8) to an Active Directory domain.<br />
echo "Please authenticate with your sudo password"<br />
sudo -v<br />
<br />
if ! $(sudo which realmd 2>/dev/null); then<br />
sudo aptitude install krb5-user adcli packagekit realmd -y<br />
fi<br />
<br />
if ! $(sudo which ntpd 2>/dev/null); then<br />
sudo aptitude install ntp -y<br />
fi<br />
<br />
sudo mkdir -p /var/lib/samba/private<br />
<br />
echo "Please enter the domain you wish to join: "<br />
read DOMAIN<br />
<br />
echo "Please enter a domain admin login to use: "<br />
read ADMIN<br />
<br />
sudo realm join --user=$ADMIN $DOMAIN<br />
<br />
if [ $? -ne 0 ]; then<br />
echo "AD join failed. Please run 'journalctl -xn' to determine why."<br />
exit 1<br />
fi<br />
<br />
sudo systemctl enable sssd<br />
sudo systemctl start sssd<br />
<br />
echo "session required pam_mkhomedir.so skel=/etc/skel/ umask=0022" | sudo tee -a /etc/pam.d/common-session<br />
<br />
# configure sudo<br />
sudo aptitude install libsss-sudo -y<br />
<br />
echo "%domain\ admins@$DOMAIN ALL=(ALL) ALL" | sudo tee -a /etc/sudoers.d/domain_admins<br />
<br />
echo "The computer is joined to the domain. Please reboot, ensure that you are connected to the network, and you should be able to login with domain credentials."<br />
</syntaxhighlight><br />
<br />
Lors de l’exécution du script, en plus de l'installation des paquets, il sera demandé de renseigné les informations suivantes :<br />
* Le nom de domaine (ex: yourdomain.be)<br />
* Le login de l'administrateur du domaine (ex: Administrator)<br />
* Le mot de passe de l'administrateur du domaine<br />
<br />
Une fois le script terminé, nous allons pouvoir passer à la configuration.<br />
<br />
=== modification des fichiers de configuration ===<br />
allez dans le fichier /etc/sssd/sssd.conf modifier la ligne suivant :<br />
<pre><br />
use_fully_qualified_names = False<br />
</pre><br />
<br />
Faire un reboot system.<br />
<br />
Afin de pour voir se connecter en ssh à la machine, activer le autehntifcation kerberos.<br />
<br />
Modifier la configuration du serveur ssh dans /etc/ssh/sshd_config en activant les 3 variable suivante:<br />
<br />
<pre><br />
# Kerberos options<br />
KerberosAuthentication yes<br />
<br />
# GSSAPI options<br />
GSSAPIAuthentication yes<br />
GSSAPICleanupCredentials yes<br />
</pre><br />
<br />
redémarrer les service SSH<br />
<br />
{{ Console root | service ssh restart }}<br />
<br />
=== Vérification du fonctionnement ===<br />
Pour verrifier le bon fonctionnement <br />
<br />
taper getent passwd nom_du_user<br />
{{ Console root | getent passwd mdaniel }}<br />
<pre><br />
mdaniel:*:47401107:47400513:Maxime Daniel:/home/test.pass.be/mdaniel:/bin/bash<br />
</pre><br />
<br />
autres commandes <br />
<br />
{{ Console root | su - mdaniel }} <br />
<pre><br />
Création du répertoire « /home/test.pass.be/mdaniel »<br />
</pre><br />
<br />
Test d'un connexion ssh avec le user AD<br />
{{ Console | ssh mdaniel@192.168.100.6 }}<br />
<br />
<pre>mdaniel@192.168.100.6's password: <br />
mdaniel@test-debprox:~$ </pre><br />
<br />
{{ Console | pwd }}<br />
<br />
<pre>/home/test.pass.be/mdaniel </pre><br />
<br />
[[Catégorie:Windows Server]]</div>Ddevleeschauwerhttp://wiki.diouxx.be/index.php?title=Active_Directory&diff=260Active Directory2017-06-21T12:21:46Z<p>Ddevleeschauwer : </p>
<hr />
<div>{{ Introduction | Cette page regroupe un ensemble 'information sur l'installation,configuration, interaction avec l'Active Directory Windows }}<br />
= Interaction =<br />
== Intégration d'un serveur Linux à l'AD ==<br />
<br />
=== Configuration du système avant intégration ===<br />
On va d'abord mettre à jour le système<br />
<br><br />
{{ Console root | apt update && apt upgrade -y }}<br />
<br><br />
{{ Note | S'assurer d'avoir une connexion SSH en '''root''' car nous allons désactiver les autres sources d'authentifications s'il y en a déjà configurées. }}<br />
<br><br />
* Modifier le fichier {{ File | /etc/hosts }} pour qu'il coïncide avec le serveur d'authentification.<br />
<br><br />
{{ Console root | nano /etc/hosts }} <br />
<br><br />
<pre><br />
127.0.1.1 yourmachine.domain.be yourmachine<br />
</pre><br />
<br><br />
{{ Note | Modifier les informations pour qu'elles correspondent à votre nom de machine et de domaine }}<br />
<br><br />
<br />
* S'assurer que le dns pointe sur le serveur AD en modifiant au besoin le fichier {{ File | /etc/resolv.conf}}<br />
<pre><br />
domain domain.be<br />
search domain.be<br />
nameserver IP-AD<br />
</pre><br />
<br />
=== installation des package nécessaire à l'intégration ===<br />
<br />
Executer le script suivant.<br />
<br />
<pre><br />
#!/bin/bash<br />
<br />
# This script should join Debian Jessie (8) to an Active Directory domain.<br />
echo "Please authenticate with your sudo password"<br />
sudo -v<br />
<br />
if ! $(sudo which realmd 2>/dev/null); then<br />
sudo aptitude install krb5-user adcli packagekit realmd -y<br />
fi<br />
<br />
if ! $(sudo which ntpd 2>/dev/null); then<br />
sudo aptitude install ntp -y<br />
fi<br />
<br />
sudo mkdir -p /var/lib/samba/private<br />
<br />
echo "Please enter the domain you wish to join: "<br />
read DOMAIN<br />
<br />
echo "Please enter a domain admin login to use: "<br />
read ADMIN<br />
<br />
sudo realm join --user=$ADMIN $DOMAIN<br />
<br />
if [ $? -ne 0 ]; then<br />
echo "AD join failed. Please run 'journalctl -xn' to determine why."<br />
exit 1<br />
fi<br />
<br />
sudo systemctl enable sssd<br />
sudo systemctl start sssd<br />
<br />
echo "session required pam_mkhomedir.so skel=/etc/skel/ umask=0022" | sudo tee -a /etc/pam.d/common-session<br />
<br />
# configure sudo<br />
sudo aptitude install libsss-sudo -y<br />
<br />
echo "%domain\ admins@$DOMAIN ALL=(ALL) ALL" | sudo tee -a /etc/sudoers.d/domain_admins<br />
<br />
echo "The computer is joined to the domain. Please reboot, ensure that you are connected to the network, and you should be able to login with domain credentials."<br />
</pre><br />
<br />
Entrer le Domaine le user admins pour le domaine.<br />
<br />
Une fois le scripte terminé passer à la configuration.<br />
<br />
=== modification des fichiers de configuration ===<br />
allez dans le fichier /etc/sssd/sssd.conf modifier la ligne suivant :<br />
<pre><br />
use_fully_qualified_names = False<br />
</pre><br />
<br />
Faire un reboot system.<br />
<br />
Afin de pour voir se connecter en ssh à la machine, activer le autehntifcation kerberos.<br />
<br />
Modifier la configuration du serveur ssh dans /etc/ssh/sshd_config en activant les 3 variable suivante:<br />
<br />
<pre><br />
# Kerberos options<br />
KerberosAuthentication yes<br />
<br />
# GSSAPI options<br />
GSSAPIAuthentication yes<br />
GSSAPICleanupCredentials yes<br />
</pre><br />
<br />
redémarrer les service SSH<br />
<br />
{{ Console root | service ssh restart }}<br />
<br />
=== Vérification du fonctionnement ===<br />
Pour verrifier le bon fonctionnement <br />
<br />
taper getent passwd nom_du_user<br />
{{ Console root | getent passwd mdaniel }}<br />
<pre><br />
mdaniel:*:47401107:47400513:Maxime Daniel:/home/test.pass.be/mdaniel:/bin/bash<br />
</pre><br />
<br />
autres commandes <br />
<br />
{{ Console root | su - mdaniel }} <br />
<pre><br />
Création du répertoire « /home/test.pass.be/mdaniel »<br />
</pre><br />
<br />
Test d'un connexion ssh avec le user AD<br />
{{ Console | ssh mdaniel@192.168.100.6 }}<br />
<br />
<pre>mdaniel@192.168.100.6's password: <br />
mdaniel@test-debprox:~$ </pre><br />
<br />
{{ Console | pwd }}<br />
<br />
<pre>/home/test.pass.be/mdaniel </pre><br />
<br />
[[Catégorie:Windows Server]]</div>Ddevleeschauwerhttp://wiki.diouxx.be/index.php?title=Active_Directory&diff=259Active Directory2017-06-21T12:16:16Z<p>Ddevleeschauwer : Page créée avec « {{ Introduction | Cette page regroupe un ensemble 'information sur l'installation,configuration, interaction avec l'Active Directory Windows }} = Interaction = == Intégra... »</p>
<hr />
<div>{{ Introduction | Cette page regroupe un ensemble 'information sur l'installation,configuration, interaction avec l'Active Directory Windows }}<br />
= Interaction =<br />
== Intégration d'un serveur Linux à l'AD ==<br />
<br />
=== Configuration du système avant intégration ===<br />
Mettre à jour le système <br />
{{ Console root | apt update & apt upgrade -y }}<br /><br />
<br />
S'assurer d'une connexion SSH en root car nous allons désactiver le autre source d'authentification au besoin.<br />
<br />
Modifier le fichier hosts pour qu'il coïncide avec le serveur d'authentification.<br />
{{ Console root | nano /etc/hosts }} <br />
<br />
<pre><br />
127.0.1.1 test-debprox.test.pass.be test-debprox<br />
</pre><br />
<br />
Modififier les /etc/nsswitch.conf au besoin.<br />
<br />
S'assurer que le dns pointe bien sur le serveur AD <br />
Au besoin modifier le fichier /etc/resolv.conf <br />
<pre><br />
domain test.pass.be<br />
search test.pass.be<br />
nameserver 192.168.100.2<br />
</pre><br />
<br />
=== installation des package nécessaire à l'intégration ===<br />
<br />
Executer le script suivant.<br />
<br />
<pre><br />
#!/bin/bash<br />
<br />
# This script should join Debian Jessie (8) to an Active Directory domain.<br />
echo "Please authenticate with your sudo password"<br />
sudo -v<br />
<br />
if ! $(sudo which realmd 2>/dev/null); then<br />
sudo aptitude install krb5-user adcli packagekit realmd -y<br />
fi<br />
<br />
if ! $(sudo which ntpd 2>/dev/null); then<br />
sudo aptitude install ntp -y<br />
fi<br />
<br />
sudo mkdir -p /var/lib/samba/private<br />
<br />
echo "Please enter the domain you wish to join: "<br />
read DOMAIN<br />
<br />
echo "Please enter a domain admin login to use: "<br />
read ADMIN<br />
<br />
sudo realm join --user=$ADMIN $DOMAIN<br />
<br />
if [ $? -ne 0 ]; then<br />
echo "AD join failed. Please run 'journalctl -xn' to determine why."<br />
exit 1<br />
fi<br />
<br />
sudo systemctl enable sssd<br />
sudo systemctl start sssd<br />
<br />
echo "session required pam_mkhomedir.so skel=/etc/skel/ umask=0022" | sudo tee -a /etc/pam.d/common-session<br />
<br />
# configure sudo<br />
sudo aptitude install libsss-sudo -y<br />
<br />
echo "%domain\ admins@$DOMAIN ALL=(ALL) ALL" | sudo tee -a /etc/sudoers.d/domain_admins<br />
<br />
echo "The computer is joined to the domain. Please reboot, ensure that you are connected to the network, and you should be able to login with domain credentials."<br />
</pre><br />
<br />
Entrer le Domaine le user admins pour le domaine.<br />
<br />
Une fois le scripte terminé passer à la configuration.<br />
<br />
=== modification des fichiers de configuration ===<br />
allez dans le fichier /etc/sssd/sssd.conf modifier la ligne suivant :<br />
<pre><br />
use_fully_qualified_names = False<br />
</pre><br />
<br />
Faire un reboot system.<br />
<br />
Afin de pour voir se connecter en ssh à la machine, activer le autehntifcation kerberos.<br />
<br />
Modifier la configuration du serveur ssh dans /etc/ssh/sshd_config en activant les 3 variable suivante:<br />
<br />
<pre><br />
# Kerberos options<br />
KerberosAuthentication yes<br />
<br />
# GSSAPI options<br />
GSSAPIAuthentication yes<br />
GSSAPICleanupCredentials yes<br />
</pre><br />
<br />
redémarrer les service SSH<br />
<br />
{{ Console root | service ssh restart }}<br />
<br />
=== Vérification du fonctionnement ===<br />
Pour verrifier le bon fonctionnement <br />
<br />
taper getent passwd nom_du_user<br />
{{ Console root | getent passwd mdaniel }}<br />
<pre><br />
mdaniel:*:47401107:47400513:Maxime Daniel:/home/test.pass.be/mdaniel:/bin/bash<br />
</pre><br />
<br />
autres commandes <br />
<br />
{{ Console root | su - mdaniel }} <br />
<pre><br />
Création du répertoire « /home/test.pass.be/mdaniel »<br />
</pre><br />
<br />
Test d'un connexion ssh avec le user AD<br />
{{ Console | ssh mdaniel@192.168.100.6 }}<br />
<br />
<pre>mdaniel@192.168.100.6's password: <br />
mdaniel@test-debprox:~$ </pre><br />
<br />
{{ Console | pwd }}<br />
<br />
<pre>/home/test.pass.be/mdaniel </pre><br />
<br />
[[Catégorie:Windows Server]]</div>Ddevleeschauwerhttp://wiki.diouxx.be/index.php?title=Postfix&diff=258Postfix2016-12-30T15:19:11Z<p>Ddevleeschauwer : /* Configuration */</p>
<hr />
<div>{{ Introduction | Cette page permet de réaliser la mis en place ainsi que la configuration de Postfix }}<br />
<br />
Avant toute chose, il est nécessaire d'installer et configurer Cyrus-Imap<br />
<br />
== Cyrus Imap ==<br />
<br />
Pour l'installation et la configuration de Cyrus Imap, veuillez vous référencer à la [[Cyrus|page suivante]]<br />
<br />
== Postfix ==<br />
<br />
=== Installation ===<br />
<br />
=== Configuration ===<br />
<br />
La configuration de postfix est réalisé via deux fichiers<br />
<br />
* main.cf<br />
* master.cf<br />
<br><br />
Le fichier {{ File | main.cf }} qui permet de paramétrer postfix<br />
<br /><br />
<syntaxhighlight lang="bash"><br />
#########################################<br />
# REGLES GENERALES #<br />
#########################################<br />
<br />
#La règle smtpd_banner définit le message d’accueil du serveur Postfix<br />
#smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)<br />
smtpd_banner = DIOUXX<br />
<br />
#Desactivation notification terminal<br />
biff = no<br />
<br />
#La règle myhostname renseigne le nom de la machine sur laquelle s’exécute (est installé) Postfix.<br />
myhostname = your hostname<br />
<br />
#La règle mail_name définit le nom du système de messagerie du serveur<br />
mail_name = Postfix<br />
<br />
#La règle mydomain renseigne le nom de domaine auquel appartient la machine sur laquelle s’exécute Postfix.<br />
mydomain = diouxx.be<br />
<br />
#La règle mydestination énumère tous les domaines pour lesquels le serveur Postfix acceptera les mails afin de les distribuer en local.<br />
#"distribuer en local" signifie: livrer les mails à tous les utilisateurs ayant un compte UNIX ou un compte virtuel (c’est à dire simplement une BàL) sur une machine qui appartient à <br />
#l’un des domaines de la liste de la règle mydestination.<br />
#A la place de $mydomain on peut bien sûr mettre le nom de domaine en toute lettre !<br />
mydestination = $myhostname, www.$mydomain, $mydomain, localhost, localhost.$mydomain<br />
<br />
inet_interfaces = all<br />
<br />
#proxy_interfaces = 193.190.248.8<br />
<br />
#################################<br />
# VIRTUAL DOMAIN #<br />
#################################<br />
<br />
#Le paramètre virtual_mailbox_domains indique à Postfix que test.pass.be est un domaine de boîtes-aux-lettres virtuelles.<br />
#Si vous l'oubliez, Postfix rejetera le courrier (relais interdit) ou ne sera pas en mesure de le livrer (le courrier de exmple.com bouclera).<br />
#virtual_mailbox_domains = test.pass.be<br />
<br />
#Le paramètre virtual_mailbox_base indique le répertoire de base pour toutes les boîtes aux lettres virtuelles.<br />
#C'est un mécanisme évitant les erreurs : le courrier ne peut être livré n'importe où.<br />
#virtual_mailbox_base = /var/spool/cyrus/mail<br />
<br />
# Le paramètre virtual_mailbox_maps indique la table des correspondances entre les adresses virtuelles et les boîtes-aux-lettres (ou les répertoires).<br />
#virtual_mailbox_maps = hash:/etc/postfix/vmailbox<br />
<br />
#virtual_alias_domains = /etc/postfix/virtual_domains<br />
<br />
#Il est possible de mixer les alias virtuels avec des boîtes-aux-lettres virtuelles.<br />
#virtual_alias_maps = hash:/etc/postfix/virtual<br />
<br />
#virtual_minimum_uid = 100<br />
#virtual_uid_maps = static:5000<br />
#virtual_gid_maps = static:5000<br />
<br />
##########################################<br />
# MASQUAGE DES NOMS D'HOTES #<br />
##########################################<br />
<br />
#La règle myorigin renseigne la partie réseau de l’adresse d’enveloppe ou d’en-tête des mails qui seront envoyés par Postfix.<br />
myorigin = $mydomain<br />
<br />
#La règle append_at_myorigin initialise ou non (yes/no) la réécriture des adresses en ajoutant à ces adresses<br />
#append_at_myorigin = yes<br />
<br />
#La règle append_dot_mydomain initialise ou non la réécriture des adresses en ajoutant à ces adresses<br />
#append_dot_mydomain = yes<br />
<br />
#La règle masquerade_domains définit les règles de supression des noms d’hôtes et/ou de sous-domaines dans les adresses d’enveloppe et les en-têtes de message de l’expéditeur<br />
#(et non du destinataire!!!).<br />
#masquerade_domains = admin.pass.be<br />
<br />
#La règle masquerade_exceptions définit les comptes pour lesquels ne s’appliqueront pas les règles de la directive masquerad_domains.<br />
#masquerade_exceptions =<br />
<br />
#########################################<br />
# CONTROLE D ACCES RELAYAGE #<br />
#########################################<br />
<br />
#La règle mynetworks énumère les réseaux ou adresses des machines qui peuvent utiliser le serveur postfix pour envoyer/relayer du courrier vers l’extérieur.<br />
mynetworks = 127.0.0.0/8 <br />
#mynetworks_style = class<br />
<br />
#La règle relay_domains indique les domaines et sous-domaines vers lesquels Postfix va relayer (faire suivre) le courrier.<br />
relay_domains = $mydestination <br />
<br />
#La règle relayhost définit la passerelle SMTP qui est rellement connectée à Internet.<br />
#Cette règle ne concerne que les mails SORTANT.<br />
relayhost = <br />
<br />
#################################<br />
# CONFIGURATION TLS #<br />
#################################<br />
smtp_use_tls=no<br />
smtpd_use_tls=yes<br />
#smtpd_tls_security = may<br />
smtpd_tls_CApath = /etc/postfix/tls<br />
smtpd_tls_key_file = /etc/postfix/tls/postfix.key<br />
smtpd_tls_cert_file = /etc/postfix/tls/postfix.crt<br />
smtpd_tls_CAfile = /etc/postfix/tls/cacert.pem<br />
smtpd_tls_loglevel = 1<br />
smtpd_tls_received_header = yes<br />
smtpd_tls_session_cache_timeout = 3600s<br />
tls_random_source = dev:/dev/urandom<br />
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache<br />
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache<br />
smtp_use_tls = yes<br />
smtp_tls_security_level = may<br />
smtp_tls_loglevel = 1<br />
smtp_tls_note_starttls_offer = yes <br />
<br />
#########################################<br />
# CONFIGURATION SASL #<br />
#########################################<br />
<br />
smtpd_sasl_auth_enable = yes<br />
smtpd_sasl_local_domain = <br />
smtpd_sasl_type = cyrus<br />
smtpd_sasl_path = smtpd<br />
smtpd_sasl_security_options = noanonymous<br />
smtpd_sasl_authenticated_header = yes<br />
broken_sasl_auth_clients = yes<br />
<br />
#########################################<br />
# TABLE DE RECHERCHES #<br />
#########################################<br />
<br />
#La règle default_database_type définit le type de base de données que l’on souhaite utiliser.<br />
#default_database_type = hash<br />
<br />
#########################<br />
# ALIAS #<br />
#########################<br />
<br />
#La règle alias_maps définit le type (hash, NIS, LDAP, etc...) et l’emplacement du fichier texte dont se servira la commande postalias ou newalises<br />
#pour re/construire le(s) fichier(s) de base de données (.db) d’alias utilisés par l’agent de distribution local.<br />
alias_maps = hash:/etc/aliases<br />
<br />
#La règle alias_database définit l’emplacement des fichiers texte dont se servira la commande newaliases pour construire les fichiers base de données d’alias,<br />
#c’est à dire uniquement les fichiers qui doivent être indexés par la commande newaliases.<br />
#alias_database = hash:/etc/aliases.db<br />
alias_database = hash:/etc/aliases<br />
<br />
#La règle default_privs définit les privilèges de Postfix lors de la distribution en local à un alias.<br />
#default_privs = nobody<br />
<br />
#La règle allow_mail_to_commands définit dans quel cadre Postfix doit délivrer le courrier à une commande.<br />
#allow_mail_to_commands = alias,forward, include<br />
<br />
#La règle allow_mail_to_files définit dans quel cadre Postfix doit délivrer le courrier à un fichier.<br />
#allow_mail_to_files = alias,forward, include<br />
<br />
#########################################################<br />
# REECRITURE ET/OU REDIRECTION D ADRESSES #<br />
#########################################################<br />
<br />
<br />
#########################################<br />
# GESTION FILE D ATTENTE #<br />
#########################################<br />
<br />
#La règle queue_directory définit l’emplacement du répertoire racine de la file d’attente de Postfix.<br />
queue_directory = /var/spool/postfix<br />
<br />
#################################<br />
# DISTRIBUTION LOCALE #<br />
#################################<br />
<br />
mailbox_transport = lmtp:unix:/var/run/cyrus/socket/lmtp<br />
<br />
local_recipient_maps = $alias_maps<br />
#local_recipient_maps =<br />
<br />
#########################<br />
# GESTION BAL #<br />
#########################<br />
<br />
home_mailbox = Maildir/<br />
<br />
#Limitation de la taille des BAL<br />
mailbox_size_limit = 0<br />
<br />
#Taille maximal des messages<br />
#Taille = 20 Mo<br />
message_size_limit = 20480000<br />
<br />
#########################<br />
# AMAVIS #<br />
#########################<br />
<br />
content_filter = amavis:[127.0.0.1]:10024<br />
receive_override_options = no_address_mappings<br />
<br />
smtpd_recipient_restrictions = permit_sasl_authenticated,<br />
permit_mynetworks,<br />
reject_unauth_destination,<br />
# check_policy_service inet:127.0.0.1:60000<br />
check_policy_service inet:127.0.0.1:10023<br />
<br />
#########################<br />
# SECURITE #<br />
#########################<br />
<br />
#Bloque une partie de SPAM en obligeant la requete HELO<br />
smtpd_helo_required = yes<br />
<br />
#Utilisation de postgrey <br />
#check_policy_service = inet:127.0.0.1:10023<br />
<br />
</syntaxhighlight><br />
<br /><br />
Le fichier {{ File | master.cf }} permet de définir la manière dont postfix va communiquer via les différents protocoles qu'il accepte<br />
<br /><br />
<syntaxhighlight lang="bash"><br />
#<br />
# Postfix master process configuration file. For details on the format<br />
# of the file, see the master(5) manual page (command: "man 5 master").<br />
#<br />
# Do not forget to execute "postfix reload" after editing this file.<br />
#<br />
# ==========================================================================<br />
# service type private unpriv chroot wakeup maxproc command + args<br />
# (yes) (yes) (yes) (never) (100)<br />
# ==========================================================================<br />
smtp inet n - - - - smtpd<br />
# -o content_filter=spamassassin<br />
#smtp inet n - - - 1 postscreen<br />
#smtpd pass - - - - - smtpd<br />
#dnsblog unix - - - - 0 dnsblog<br />
#tlsproxy unix - - - - 0 tlsproxy<br />
submission inet n - - - - smtpd<br />
# -o syslog_name=postfix/submission<br />
-o smtpd_tls_security_level=encrypt<br />
# -o smtpd_sasl_auth_enable=yes<br />
-o smtpd_client_restrictions=permit_sasl_authenticated,reject<br />
# -o milter_macro_daemon_name=ORIGINATING<br />
smtps inet n - - - - smtpd<br />
# -o syslog_name=postfix/smtps<br />
-o smtpd_tls_wrappermode=yes<br />
-o smtpd_sasl_auth_enable=yes<br />
# -o smtpd_client_restrictions=permit_sasl_authenticated,reject<br />
-o smtpd_client_restrictions=permit_sasl_authenticated<br />
-o milter_macro_daemon_name=ORIGINATING<br />
#628 inet n - - - - qmqpd<br />
pickup fifo n - - 60 1 pickup<br />
cleanup unix n - - - 0 cleanup<br />
qmgr fifo n - n 300 1 qmgr<br />
#qmgr fifo n - n 300 1 oqmgr<br />
tlsmgr unix - - - 1000? 1 tlsmgr<br />
rewrite unix - - - - - trivial-rewrite<br />
bounce unix - - - - 0 bounce<br />
defer unix - - - - 0 bounce<br />
trace unix - - - - 0 bounce<br />
verify unix - - - - 1 verify<br />
flush unix n - - 1000? 0 flush<br />
proxymap unix - - n - - proxymap<br />
proxywrite unix - - n - 1 proxymap<br />
smtp unix - - - - - smtp<br />
relay unix - - - - - smtp<br />
-o smtp_fallback_relay=<br />
# -o smtp_helo_timeout=5 -o smtp_connect_timeout=5<br />
showq unix n - - - - showq<br />
error unix - - - - - error<br />
retry unix - - - - - error<br />
discard unix - - - - - discard<br />
local unix - n n - - local<br />
virtual unix - n n - - virtual<br />
lmtp unix - - n - - lmtp<br />
anvil unix - - - - 1 anvil<br />
scache unix - - - - 1 scache<br />
#<br />
# ====================================================================<br />
# Interfaces to non-Postfix software. Be sure to examine the manual<br />
# pages of the non-Postfix software to find out what options it wants.<br />
#<br />
# Many of the following services use the Postfix pipe(8) delivery<br />
# agent. See the pipe(8) man page for information about ${recipient}<br />
# and other message envelope options.<br />
# ====================================================================<br />
#<br />
# maildrop. See the Postfix MAILDROP_README file for details.<br />
# Also specify in main.cf: maildrop_destination_recipient_limit=1<br />
#<br />
maildrop unix - n n - - pipe<br />
flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient}<br />
#<br />
# ====================================================================<br />
#<br />
# Recent Cyrus versions can use the existing "lmtp" master.cf entry.<br />
#<br />
# Specify in cyrus.conf:<br />
# lmtp cmd="lmtpd -a" listen="localhost:lmtp" proto=tcp4<br />
#<br />
# Specify in main.cf one or more of the following:<br />
# mailbox_transport = lmtp:inet:localhost<br />
# virtual_transport = lmtp:inet:localhost<br />
#<br />
# ====================================================================<br />
#<br />
# Cyrus 2.1.5 (Amos Gouaux)<br />
# Also specify in main.cf: cyrus_destination_recipient_limit=1<br />
#<br />
cyrus unix - n n - - pipe<br />
# user=cyrus argv=/cyrus/bin/deliver -e -r ${sender} -m ${extension} ${user}<br />
#<br />
# ====================================================================<br />
# Old example of delivery via Cyrus.<br />
#<br />
#old-cyrus unix - n n - - pipe<br />
# flags=R user=cyrus argv=/cyrus/bin/deliver -e -m ${extension} ${user}<br />
#<br />
# ====================================================================<br />
#<br />
# See the Postfix UUCP_README file for configuration details.<br />
#<br />
uucp unix - n n - - pipe<br />
flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)<br />
#<br />
# Other external delivery methods.<br />
#<br />
ifmail unix - n n - - pipe<br />
flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)<br />
bsmtp unix - n n - - pipe<br />
flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient<br />
scalemail-backend unix - n n - 2 pipe<br />
flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension}<br />
mailman unix - n n - - pipe<br />
flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py<br />
${nexthop} ${user}<br />
<br />
#Amavis<br />
amavis unix - - - - 2 smtp<br />
-o smtp_data_done_timeout=1200<br />
-o smtp_send_xforward_command=yes<br />
<br />
127.0.0.1:10025 inet n - - - - smtpd<br />
-o content_filter=<br />
-o local_recipient_maps=<br />
-o relay_recipient_maps=<br />
-o smtpd_restriction_classes=<br />
-o smtpd_client_restrictions=<br />
-o smtpd_helo_restrictions=<br />
-o smtpd_sender_restrictions=<br />
-o smtpd_recipient_restrictions=permit_mynetworks,reject<br />
-o mynetworks=127.0.0.0/8<br />
-o strict_rfc821_envelopes=yes<br />
-o receive_override_options=no_unknown_recipient_checks,no_header_body_checks<br />
# -o smtpd_bind_address=127.0.0.1<br />
<br />
#Spamassasin<br />
spamassassin unix - n n - - pipe<br />
user=spamd argv=/usr/bin/spamc -f -e<br />
/usr/sbin/sendmail -oi -f ${sender} ${recipient}<br />
<br />
</syntaxhighlight><br />
<br /><br />
<br />
== SMTPD.conf ==<br />
<br />
Avant d'aller plus loin, il est important de veiller à ce que le fichier smtpd.conf soit créé dans /etc/postfix/sasl/ avec les paramètres<br />
<syntaxhighlight><br />
<br />
pwcheck_method: saslauthd<br />
mech_list: PLAIN LOGIN<br />
<br />
<br />
</syntaxhighlight><br />
En effet : l'utilisation de la balise "smtpd_sasl_path = variable" implique d'un fichier /etc/postfix/sasl/[variable].conf soit créé et instancié.<br />
Ce fichier est utilisé directement par postfix pour configurer l'accès SASL. Sinon, des messages RCPT TO style Relay Acces Denied ou Acces Denied peuvent se produire.<br />
<br />
== [[Postfix-TLS]] ==<br />
<br />
== Disclaimer ==<br />
<br />
Le disclaimer est un service qui permet de rajouter un message (typiquement une clause de confidentialité) à la fin des mails. Dans la suite, nous verrons comment modifier le disclaimer afin qu'il n'ajoute un message que pour les mails sortants<br />
<br />
=== Installation ===<br />
Pour l'instant, l'installation est réalisé grâce à la commande ''apt''<br />
<br /><br />
{{ Console root | apt-get install altermime }}<br />
<br /><br />
=== Configuration ===<br />
<br />
Une fois installé, nous allons pouvoir configurer altermime mais avant cela, nous allons créer un utilisateur spécifique ainsi que les différents dossier dont doit disposer altermime<br />
<br />
<pre><br />
useradd -r -c "Postfix Filters" -d /var/spool/filter filter<br />
mkdir /var/spool/filter<br />
chown filter:filter /var/spool/filter<br />
chmod 750 /var/spool/filter<br />
</pre><br />
<br />
Une fois cela réalisé, il nous faut créer le script disclaimer dans {{ File | /etc/postfix/disclaimer }}<br />
<br /><br />
<syntaxhighlight lang="bash"><br />
#!/bin/sh<br />
# Localize these.<br />
INSPECT_DIR=/var/spool/filter<br />
SENDMAIL=/usr/sbin/sendmail<br />
<br />
<br />
# Exit codes from <sysexits.h><br />
EX_TEMPFAIL=75<br />
EX_UNAVAILABLE=69<br />
<br />
# Clean up when done or when aborting.<br />
trap "rm -f in.$$" 0 1 2 3 15<br />
<br />
# Start processing.<br />
cd $INSPECT_DIR || { echo $INSPECT_DIR does not exist; exit<br />
$EX_TEMPFAIL; }<br />
<br />
cat >in.$$ || { echo Cannot save mail to file; exit $EX_TEMPFAIL; }<br />
<br />
#Modification pour uniquement mails sortant<br />
# obtain From address<br />
#from_address=`grep -m 1 "From:" in.$$ | cut -d "<" -f 2 | cut -d ">" -f 1`<br />
to_address=`grep -m 1 "To:" in.$$ | cut -d : -f 2 | cut -d @ -f 2`<br />
<br />
#echo $from_address > /tmp/from.txt<br />
#echo $to_address > /tmp/to.txt<br />
<br />
if [ $to_address != "admin.diouxx.be" ] <br />
then<br />
/usr/bin/altermime --input=in.$$ \<br />
--disclaimer=/etc/postfix/disclaimer.txt \<br />
--disclaimer-html=/etc/postfix/disclaimer.html \<br />
--xheader="X-Copyrighted-Material: Please visit http://www.company.com/privacy.htm" || \<br />
{ echo Message content rejected; exit $EX_UNAVAILABLE; }<br />
fi<br />
<br />
$SENDMAIL -oi "$@" <in.$$<br />
<br />
exit $?<br />
</syntaxhighlight><br />
<br /><br />
{{ Note | La modification par rapport au script d'origine se situe au niveau du '''IF'''. En effet, le script va récupérer le champ du destinataire et vérifier si son adresse mail correspond au domaine du serveur postfix ou non. Si ce n'est pas le cas, il s'agit d'un mail sortant }}<br />
<br /><br />
Il faut également modifier le propriétaire du script ainsi que les droits<br />
<br /><br />
{{ Console root | chgrp filter /etc/postfix/disclaimer<br>[root@ordi ~]# chmod 750 /etc/postfix/disclaimer }}<br />
<br /><br />
Il est nécessaire maintenant de créer le fichier {{ File | /etc/postfix/disclaimer.txt }} qui va contenir le message à rajouter aux mails sortant.<br />
<br />
Il ne reste plus qu'a modifier le fichier {{ File | /etc/postfix/master.cf }} afin de lui indiquer qu'il doit utiliser le service disclaimer pour envoyer les mails. Pour cela, il faut rajouter ces deux lignes si au début du fichier<br />
<pre><br />
#<br />
# Postfix master process configuration file. For details on the format<br />
# of the file, see the master(5) manual page (command: "man 5 master").<br />
#<br />
# Do not forget to execute "postfix reload" after editing this file.<br />
#<br />
# ==========================================================================<br />
# service type private unpriv chroot wakeup maxproc command + args<br />
# (yes) (yes) (yes) (never) (100)<br />
# ==========================================================================<br />
smtp inet n - - - - smtpd<br />
-o content_filter=dfilt:<br />
dfilt unix - n n - - pipe<br />
flags=Rq user=filter argv=/etc/postfix/disclaimer -f ${sender} -- ${recipient}<br />
<br />
</pre><br />
<br />
Redemmarez postfix pour qu'il prenne en compte les modifications que l'on a apportés<br />
<br /><br />
{{ Console root | /etc/init.d/postfix restart }}<br />
<br /><br />
<br />
== Amavis ==<br />
<br />
Amavis est le logiciel qui va permettre de réaliser le transport des mails de postfix jusqu'aux filtres anti-spam et antivirus. Il repassera le mail à postfix pour sa destination final seulement si ce mail est considéré comme "propre"<br />
<br />
=== Installation ===<br />
<br />
Pour l'instant, l'installation se réalise avec la commande '''apt'''<br />
<br /><br />
{{ Console root | apt-get install amavis }}<br />
<br /><br />
<br />
=== Configuration ===<br />
<br />
Nous allons devoir en premier lieux, configurer postfix pour qu'il accepte de travailler avec amavis. Pour ce faire nous éditions les deux fichier suivants :<br />
<br />
* /etc/postfix/master.cf<br />
* /etc/postfix/main.cf<br />
<br><br />
Pour le fichier {{ File | /etc/postfix/master.cf }}, nous allons rajouter les lignes suivantes :<br />
<br><br />
<pre><br />
amavis unix - - - - 2 smtp<br />
-o smtp_data_done_timeout=1200<br />
-o smtp_send_xforward_command=yes<br />
<br />
127.0.0.1:10025 inet n - - - - smtpd<br />
-o content_filter=<br />
-o local_recipient_maps=<br />
-o relay_recipient_maps=<br />
-o smtpd_restriction_classes=<br />
-o smtpd_client_restrictions=<br />
-o smtpd_helo_restrictions=<br />
-o smtpd_sender_restrictions=<br />
-o smtpd_recipient_restrictions=permit_mynetworks,reject<br />
-o mynetworks=127.0.0.0/8<br />
-o strict_rfc821_envelopes=yes<br />
-o receive_override_options=no_unknown_recipient_checks,no_header_body_checks<br />
-o smtpd_bind_address=127.0.0.1<br />
</pre><br />
<br><br />
Pour le fichier {{ File | /etc/postfix/main.cf }}, ajoutons également les lignes suivantes à la fin du fichier :<br />
<br><br />
<pre><br />
content_filter = amavis:[127.0.0.1]:10024<br />
receive_override_options = no_address_mappings<br />
<br />
smtpd_recipient_restrictions = permit_sasl_authenticated,<br />
permit_mynetworks,<br />
reject_unauth_destination,<br />
check_policy_service inet:127.0.0.1:60000<br />
<br />
</pre><br />
<br /><br />
Nous devons activer les filtres, normalement il suffit de décommenter les lignes suivantes du fichier {{ File | /etc/amavis/conf.d/15-cintent_filter_mode }}<br />
<br><br />
<pre><br />
use strict;<br />
<br />
# You can modify this file to re-enable SPAM checking through spamassassin<br />
# and to re-enable antivirus checking.<br />
<br />
#<br />
# Default antivirus checking mode<br />
# Please note, that anti-virus checking is DISABLED by<br />
# default.<br />
# If You wish to enable it, please uncomment the following lines:<br />
<br />
<br />
@bypass_virus_checks_maps = (<br />
\%bypass_virus_checks, \@bypass_virus_checks_acl, \$bypass_virus_checks_re);<br />
<br />
<br />
#<br />
# Default SPAM checking mode<br />
# Please note, that anti-spam checking is DISABLED by<br />
# default.<br />
# If You wish to enable it, please uncomment the following lines:<br />
<br />
<br />
@bypass_spam_checks_maps = (<br />
\%bypass_spam_checks, \@bypass_spam_checks_acl, \$bypass_spam_checks_re);<br />
<br />
1; # ensure a defined return<br />
</pre><br />
<br><br />
Il ne nous reste qu'a configurer la mise en quarantaine en éditant le fichier {{ File | /etc/amavis/conf.d/50-user }}<br />
<br><br />
<pre><br />
use strict;<br />
<br />
#<br />
# Place your configuration directives here. They will override those in<br />
# earlier files.<br />
#<br />
# See /usr/share/doc/amavisd-new/ for documentation and examples of<br />
# the directives you can use in this file<br />
#<br />
<br />
$QUARANTINEDIR = '/var/spool/virusmails'; # Quarantine Directory<br />
$spam_quarantine_method = 'local:spam-%b-%i-%n'; # Filename in $QUARANTINEDIR<br />
$spam_quarantine_to = 'spam-quarantine'; # Put Spam in Quarantine Directory<br />
# $spam_quarantine_to = "admin\@$mydomain"; # Send Spam to Adminstrator<br />
# $spam_quarantine_to = undef; # Do nothing with Spam<br />
$final_spam_destiny = D_DISCARD;<br />
#$spam_admin = "admin\@$mydomain"; # Where to send Notification<br />
<br />
#------------ Do not modify anything below this line -------------<br />
1; # ensure a defined return<br />
<br />
</pre><br />
<br><br />
<br />
Il nous faut pas '''oublier''' de créer le répertoire qui va accueillir les mails infectés ou considéré comme spam<br />
<br><br />
{{ Console root | mkdir /var/spool/virusmails<br>[root@ordi ~]# chown amavis:amavis /var/spool/virusmails }}<br />
<br><br />
{{ Note | L'emplacement du dossier qui contiendra les mails infectés ou considéré comme spam est renseigné via la variable '''$QUARANTINEDIR''' }}<br />
<br><br />
Il reste encore l'installation et la configuration de spamassasin et clamav<br />
<br /><br />
<br />
== Spamassassin ==<br />
<br />
Spamassassin est le logiciel qui comme son nom l'indique va permettre de détecter si les mails que l'ont reçoit sont des spams ou non<br />
<br />
=== Installation ===<br />
<br />
Pour l'instant, l'installation se réalise avec la commande '''apt'''<br />
<br><br />
{{ Console root | apt-get install spamassassin }}<br />
<br><br />
=== Configuration ===<br />
<br />
La configuration de spamassassin se réalise avec le fichier {{ File | /etc/default/spamassassin}} et {{ File | /etc/spamassassin/local.cf}}. Normalement, le fichier devrait ressembler à ceci. Tandis que le fichier {{ File | /etc/postfix/master.cf }} doit être modififié afin d'indiquer à postfix qu'il doit utiliser spamassasin<br />
<br><br />
==== /etc/postfix/master.cf ====<br />
Au début du fichier la section consacré à smtp doit ressembler à ceci :<br />
<br />
<pre><br />
#<br />
# Postfix master process configuration file. For details on the format<br />
# of the file, see the master(5) manual page (command: "man 5 master").<br />
#<br />
# Do not forget to execute "postfix reload" after editing this file.<br />
#<br />
# ==========================================================================<br />
# service type private unpriv chroot wakeup maxproc command + args<br />
# (yes) (yes) (yes) (never) (100)<br />
# ==========================================================================<br />
<br />
smtp inet n - - - - smtpd<br />
-o content_filter=spamassassin<br />
-o content_filter=dfilt:<br />
dfilt unix - n n - - pipe<br />
flags=Rq user=filter argv=/etc/postfix/disclaimer -f ${sender} -- ${recipient}<br />
</pre><br />
<br><br />
{{ Avertissement | il est impératif que la ligne spamassassin soit avant la ligne dfit. Sans cela, le disclaimer ne sera pas mis pour les mails sortant }}<br />
<br><br />
<br />
==== /etc/default/spamassassin ====<br />
<pre><br />
# /etc/default/spamassassin<br />
# Duncan Findlay<br />
<br />
# WARNING: please read README.spamd before using.<br />
# There may be security risks.<br />
<br />
# Change to one to enable spamd<br />
ENABLED=1<br />
<br />
# Options<br />
# See man spamd for possible options. The -d option is automatically added.<br />
SAHOME="/var/lib/spamassassin/"<br />
<br />
# SpamAssassin uses a preforking model, so be careful! You need to<br />
# make sure --max-children is not set to anything higher than 5,<br />
# unless you know what you're doing.<br />
<br />
OPTIONS="--create-prefs --max-children 5 --username spamd --helper-home-dir ${SAHOME} -s ${SAHOME}spamd.log"<br />
<br />
# Pid file<br />
# Where should spamd write its PID to file? If you use the -u or<br />
# --username option above, this needs to be writable by that user.<br />
# Otherwise, the init script will not be able to shut spamd down.<br />
PIDFILE="${SAHOME}spamd.pid"<br />
<br />
# Set nice level of spamd<br />
#NICE="--nicelevel 15"<br />
<br />
# Cronjob<br />
# Set to anything but 0 to enable the cron job to automatically update<br />
# spamassassin's rules on a nightly basis<br />
CRON=0<br />
</pre><br />
<br />
==== /etc/spamassassin/local.cf ====<br />
<br><br />
<pre><br />
# This is the right place to customize your installation of SpamAssassin.<br />
#<br />
# See 'perldoc Mail::SpamAssassin::Conf' for details of what can be<br />
# tweaked.<br />
#<br />
# Only a small subset of options are listed below<br />
#<br />
###########################################################################<br />
<br />
# Add *****SPAM***** to the Subject header of spam e-mails<br />
#<br />
rewrite_header Subject *****SPAM - SPAM_SCORE_*****<br />
<br />
<br />
# Save spam messages as a message/rfc822 MIME attachment instead of<br />
# modifying the original message (0: off, 2: use text/plain instead)<br />
#<br />
report_safe 0<br />
<br />
<br />
# Set which networks or hosts are considered 'trusted' by your mail<br />
# server (i.e. not spammers)<br />
#<br />
# trusted_networks 212.17.35.<br />
<br />
<br />
# Set file-locking method (flock is not safe over NFS, but is faster)<br />
#<br />
# lock_method flock<br />
<br />
<br />
# Set the threshold at which a message is considered spam (default: 5.0)<br />
#<br />
required_score 2.0<br />
<br />
<br />
# Use Bayesian classifier (default: 1)<br />
#<br />
use_bayes 1<br />
use_bayes_rules 1<br />
<br />
# Bayesian classifier auto-learning (default: 1)<br />
#<br />
bayes_auto_learn 1<br />
<br />
<br />
# Set headers which may provide inappropriate cues to the Bayesian<br />
# classifier<br />
#<br />
# bayes_ignore_header X-Bogosity<br />
# bayes_ignore_header X-Spam-Flag<br />
# bayes_ignore_header X-Spam-Status<br />
<br />
<br />
# Some shortcircuiting, if the plugin is enabled<br />
# <br />
ifplugin Mail::SpamAssassin::Plugin::Shortcircuit<br />
#<br />
# default: strongly-whitelisted mails are *really* whitelisted now, if the<br />
# shortcircuiting plugin is active, causing early exit to save CPU load.<br />
# Uncomment to turn this on<br />
#<br />
# shortcircuit USER_IN_WHITELIST on<br />
# shortcircuit USER_IN_DEF_WHITELIST on<br />
# shortcircuit USER_IN_ALL_SPAM_TO on<br />
# shortcircuit SUBJECT_IN_WHITELIST on<br />
<br />
# the opposite; blacklisted mails can also save CPU<br />
#<br />
# shortcircuit USER_IN_BLACKLIST on<br />
# shortcircuit USER_IN_BLACKLIST_TO on<br />
# shortcircuit SUBJECT_IN_BLACKLIST on<br />
<br />
# if you have taken the time to correctly specify your "trusted_networks",<br />
# this is another good way to save CPU<br />
#<br />
# shortcircuit ALL_TRUSTED on<br />
<br />
# and a well-trained bayes DB can save running rules, too<br />
#<br />
# shortcircuit BAYES_99 spam<br />
# shortcircuit BAYES_00 ham<br />
<br />
# Enable or disable network checks<br />
skip_rbl_checks 0<br />
use_razor2 0<br />
use_dcc 0<br />
use_pyzor 0<br />
<br />
endif # Mail::SpamAssassin::Plugin::Shortcircuit<br />
</pre><br />
<br><br />
<br />
Par acquis de conscience, vérifier que le dossier renseigner par la variable SAHOME existe bien et qu'il appartienne bien à l'utilisateur spamd.<br />
Si ce n'est pas le cas, exécutez les commandes suivantes :<br />
<br><br />
{{ Console root | groupadd -g 5001 spamd<br>[root@ordi ~]# useradd -u 5001 -g spamd -s /sbin/nologin -d /var/lib/spamassassin spamd<br>[root@ordi ~]# mkdir /var/lib/spamassassin<br>[root@ordi ~]# chown spamd:spamd /var/lib/spamassassin<br>[root@ordi ~]# chmod 755 /var/lib/spamassassin }}<br />
<br><br />
<br />
=== Mise a jour de la base SPAM ===<br />
<br />
Pour mettre a jour la base anti-spam, il suffit d’exécuter la commande suivante : <br />
<br><br />
{{ Console root | sa-update -D }}<br />
<br><br />
{{ Note | On peux exécuter cette commande dans une tache cron afin de mettre à jour la bas tous les soirs }}<br />
<br><br />
Le service spamassassin est maintenant configurer.<br />
<br><br />
<br />
== ClamAV ==<br />
<br />
ClamAV est le logiciel anti-virus qui va scanner tous les mails que l'on reçoit<br />
<br />
=== Installation ===<br />
<br />
Pour l'instant, l'installation se réalise avec la commande '''apt'''<br />
<br><br />
{{ Console root | apt-get install clamav clamav-daemon }}<br />
<br><br />
<br />
=== Configuration ===<br />
<br />
La seule configuration à réalisé est de rajouter l'utilisateur clamav, qui a été crée lors de l'installation du paquet, au groupe amavis : <br />
<br><br />
{{ Console root | adduser clamav amavis<br>Ajout de l'utilisateur « clamav » au groupe « amavis »...<br>Ajout de l'utilisateur clamav au groupe amavis<br>Fait. }}<br />
<br><br />
== Test de Spamassassin et Clamav ==<br />
<br />
Avant de pouvoir tester le bon fonctionnement de Spamassassin et Clamv, il est nécessaire de démarrer/redémarrer les services dans l'ordre suivant :<br />
<br><br />
{{ Console root | /etc/init.d/spamassassin restart<br>Starting SpamAssassin Mail Filter Daemon: spamd. }}<br />
<br><br />
{{ Console root | /etc/init.d/amavis restart<br>Stopping amavisd: amavisd-new.<br>Starting amavisd: amavisd-new. }}<br />
<br><br />
{{ Console root | /etc/init.d/clamav-daemon restart<br>Stopping ClamAV daemon: clamd.<br>Starting ClamAV daemon: clamd.}}<br />
<br><br />
{{ Console root | /etc/init.d/postfix restart<br>Stopping Postfix Mail Transport Agent: postfix.<br>Starting Postfix Mail Transport Agent: postfix.}}<br />
<br><br />
<br />
=== Test de Spamassassin ===<br />
<br />
Vous trouverez dans la doc un exemple de Spam: /usr/share/doc/spamassassin/examples/sample-spam.txt<br />
Il suffit de coller cette ligne dans un mail et de l'envoyer :<br />
<br><br />
<pre><br />
XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X<br />
</pre><br />
Il sera détecté comme Spam si tout va bien<br />
<br />
=== Test de Clamav ===<br />
<br />
Vous procèderez de la même manière, avec le code suivant, récupéré sur [http://www.eicar.org/anti_virus_test_file.htm www.eicar.org] :<br />
<br><br />
<pre><br />
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*<br />
</pre><br />
Si tout se passe correctement, le mail sera placé en quarantaine.<br />
<br><br />
{{ Note | Pour vérifier le bon fonctionnement de l'anti-spam et l'anti-virus, consulter le fichier log {{ File | /var/log/mail.log }}. On peux utiliser la commande ''tail -f /var/log/mail.log'' pour plus de faciliter }}<br />
<br><br />
<br />
== Submission ==<br />
<br />
Les manipulations décrites ci-dessus permettent d'activer une authentification sécurisée sur le port 25/tcp. Or, dans le cadre de la lutte ant-virus et anti-spam, ce port est de plus en plus souvent filtré dans les réseaux, surtout les réseaux publics. Si nous proposons un service sur le port 25/tcp, il risque donc de ne pas être accessible depuis n'importe où...<br />
<br />
Pour ce faire, on va configurer Postfix pour qu'il sache recevoir des connexions sur le port 587/tcp (submission). On imposera que ces connexions soient chiffrées en TLS et on imposera également une authentification SASL. Nous proposerons ainsi à nos utilisateurs un service leur permettant d'envoyer des mails depuis n'importe quel client de messagerie connecté à Internet (le port 587/tcp n'est pas filtré puisqu'il est censé toujours proposer des services avec authentification, donc pas (trop) de spam ni virus).<br />
<br />
Cette technique est décrite dans la RFC 2476.<br />
<br />
Pour activer le service, il suffit de le rajouter/décommenter dans le fichier /etc/postfix/master.cf :<br />
<br />
# lignes à ajouter dans /etc/postfix/master.cf :<br />
# submission : on ouvre le port 587/tcp sur lequel on impose TLS<br />
# et on n'accepte que les clients authentifiés. Cela impose d'avoir<br />
# déjà configuré TLS et SASL, bien entendu.<br />
# service type private unpriv chroot wakeup maxproc command + args<br />
submission inet n - - - - smtpd<br />
-o smtpd_tls_security_level=encrypt<br />
-o smtpd_client_restrictions=permit_sasl_authenticated,reject<br />
<br />
Notes :<br />
<br />
sur les anciennes versions de Postfix (< 2.3), on indique smtpd_enforce_tls=yes au lieu de smtpd_tls_security_level=encrypt)<br />
ne pas oublier d'ouvrir le port 587/tcp vers le serveur au niveau du parefeu : c'est un service à ouvrir à tout Internet <br />
<br />
Ce service est notamment activé sur la messagerie de Montréal, vous trouverez le mode d'emploi côté client ici : MessagerieAufOrg/EnvoiSmtpSortant<br />
<br />
== Syslog-ng ==<br />
<br />
=== Installation ===<br />
<br />
Pour installer Syslog, référencez vous à la page consacré à [[Syslog-ng]]<br />
<br />
=== Configuration ===<br />
<br />
Le fichier {{ File | /etc/syslog-ng/syslog-ng.conf }} sur le '''serveur Postfix''' doit ressembler à ceci :<br />
<br><br />
<pre><br />
@version: 3.0<br />
<br />
######<br />
# options<br />
<br />
options {<br />
# disable the chained hostname format in logs<br />
# (default is enabled)<br />
chain_hostnames(0);<br />
<br />
# the time to wait before a died connection is re-established<br />
# (default is 60)<br />
time_reopen(10);<br />
<br />
# the time to wait before an idle destination file is closed<br />
# (default is 60)<br />
time_reap(360);<br />
<br />
# the number of lines buffered before written to file<br />
# you might want to increase this if your disk isn't catching with<br />
# all the log messages you get or if you want less disk activity<br />
# (say on a laptop)<br />
# (default is 0)<br />
#sync(0);<br />
<br />
# the number of lines fitting in the output queue<br />
log_fifo_size(2048);<br />
<br />
# enable or disable directory creation for destination files<br />
create_dirs(yes);<br />
<br />
# default owner, group, and permissions for log files<br />
# (defaults are 0, 0, 0600)<br />
owner(root);<br />
#group(adm);<br />
perm(0640);<br />
<br />
# default owner, group, and permissions for created directories<br />
# (defaults are 0, 0, 0700)<br />
dir_owner(root);<br />
#dir_group(root);<br />
dir_perm(0755);<br />
<br />
# enable or disable DNS usage<br />
# syslog-ng blocks on DNS queries, so enabling DNS may lead to<br />
# a Denial of Service attack<br />
# (default is yes)<br />
use_dns(no);<br />
<br />
# maximum length of message in bytes<br />
# this is only limited by the program listening on the /dev/log Unix<br />
# socket, glibc can handle arbitrary length log messages, but -- for<br />
# example -- syslogd accepts only 1024 bytes<br />
# (default is 2048)<br />
#log_msg_size(2048);<br />
<br />
#Disable statistic log messages.<br />
stats_freq(0);<br />
<br />
# Some program send log messages through a private implementation.<br />
# and sometimes that implementation is bad. If this happen syslog-ng<br />
# may recognise the program name as hostname. Whit this option<br />
# we tell the syslog-ng that if a hostname match this regexp than that<br />
# is not a real hostname.<br />
bad_hostname("^gconfd$");<br />
<br />
flush_lines (0);<br />
};<br />
<br />
<br />
############################<br />
# Sources<br />
############################<br />
# all known message sources<br />
source s_all {<br />
# message generated by Syslog-NG<br />
#internal();<br />
# standard Linux log source (this is the default place for the syslog()<br />
# function to send logs to)<br />
unix-stream("/dev/log");<br />
# messages from the kernel<br />
#file("/proc/kmsg" log_prefix("kernel: "));<br />
# use the following line if you want to receive remote UDP logging messages<br />
# (this is equivalent to the "-r" syslogd flag)<br />
# udp();<br />
};<br />
<br />
source postfix {<br />
#file("/var/log/mail.err" follow_freq(1) flags(no-parse));<br />
#file("/var/log/mail.info" follow_freq(1) flags(no-parse));<br />
file("/var/log/mail.log" follow_freq(1) flags(no-parse));<br />
#file("/var/log/mail.warn" follow_freq(1) flags(no-parse));<br />
};<br />
<br />
<br />
###########################<br />
# Destinations<br />
###########################<br />
#Serveur distant<br />
destination srv_dist {<br />
udp ("192.168.100.20" port(514));<br />
};<br />
<br />
#Local<br />
destination local_messages {<br />
file("/var/log/syslog-ng/messages");<br />
};<br />
<br />
destination postfix {<br />
file("/var/log/syslog-ng/$HOST/postfix.log");<br />
};<br />
<br />
<br />
<br />
################################<br />
# Filters<br />
################################<br />
# all messages from the auth and authpriv facilities<br />
filter f_auth { facility(auth, authpriv); };<br />
<br />
# all messages except from the auth and authpriv facilities<br />
filter f_syslog { not facility(auth, authpriv); };<br />
<br />
# respectively: messages from the cron, daemon, kern, lpr, mail, news, user,<br />
# and uucp facilities<br />
filter f_cron { facility(cron); };<br />
filter f_daemon { facility(daemon); };<br />
filter f_kern { facility(kern); };<br />
filter f_lpr { facility(lpr); };<br />
filter f_mail { facility(mail); };<br />
filter f_news { facility(news); };<br />
filter f_user { facility(user); };<br />
filter f_uucp { facility(uucp); };<br />
<br />
# some filters to select messages of priority greater or equal to info, warn,<br />
# and err<br />
# (equivalents of syslogd's *.info, *.warn, and *.err)<br />
filter f_at_least_info { level(info..emerg); };<br />
filter f_at_least_notice { level(notice..emerg); };<br />
filter f_at_least_warn { level(warn..emerg); };<br />
filter f_at_least_err { level(err..emerg); };<br />
filter f_at_least_crit { level(crit..emerg); };<br />
<br />
# all messages of priority debug not coming from the auth, authpriv, news, and<br />
# mail facilities<br />
filter f_debug { level(debug) and not facility(auth, authpriv, news, mail); };<br />
<br />
# all messages of info, notice, or warn priority not coming form the auth,<br />
# authpriv, cron, daemon, mail, and news facilities<br />
filter f_messages {<br />
level(info,notice,warn)<br />
and not facility(auth,authpriv,cron,daemon,mail,news);<br />
};<br />
<br />
# messages with priority emerg<br />
filter f_emerg { level(emerg); };<br />
<br />
# complex filter for messages usually sent to the xconsole<br />
filter f_xconsole {<br />
facility(daemon,mail)<br />
or level(debug,info,notice,warn)<br />
or (facility(news)<br />
and level(crit,err,notice));<br />
};<br />
<br />
###################################################<br />
# Filtre "perso"<br />
##################################################<br />
<br />
filter postfix { program("postfix") or program("cyrus"); };<br />
<br />
######<br />
# logs<br />
# order matters if you use "flags(final);" to mark the end of processing in a<br />
# "log" statement<br />
<br />
# these rules provide the same behavior as the commented original syslogd rules<br />
<br />
#log {<br />
# source(s_all);<br />
# destination(srv_dist);<br />
# filter(f_auth);<br />
#};<br />
<br />
log {<br />
source(s_all);<br />
filter(postfix);<br />
destination(postfix);<br />
};<br />
<br />
<br />
log {<br />
source(s_all);<br />
destination(srv_dist);<br />
};<br />
<br />
#log {<br />
# source(s_all);<br />
# destination(local_messages);<br />
#};<br />
</pre><br />
<br><br />
Concernant la machine ayant le rôle de serveur log, Il faut modifier le fichier {{ File | /etc/syslog-ng/syslog-ng.conf }} en rajoutant les parties suivantes : <br />
<br><br />
<pre><br />
...<br />
#Partie Destination<br />
destination postfix {<br />
file("/var/log/syslog-ng/$HOST/$DAY.$MONTH.$YEAR-postfix.log");<br />
};<br />
...<br />
<br />
#Partie Filtre<br />
filter postfix { program("postfix"); };<br />
...<br />
<br />
#Partie Log paths<br />
log {<br />
source(local);<br />
filter(postfix);<br />
destination(postfix);<br />
<br />
};<br />
...<br />
</pre><br />
<br><br />
== Migration ==<br />
<br />
Pour la migration voir [[Imapsync|ICI]]<br />
<br />
== Troubleshooting ==<br />
<br />
=== setaclmailbox: cyrus: lrswipcda: System I/O error ===<br />
<br />
Si on rencontre l'erreur suivante sur un utilisateur mail, il faut reconstruire sa boite mail.<br />
Pour ce faire, il faut se connecter en tant qu'utilisateur cyrus :<br />
<br><br />
{{ Console root | su cyrus }}<br />
<br><br />
Reconstruire la boite mail :<br />
<pre><br />
/usr/sbin/cyrreconstruct -rxf user.nomUtilisateur<br />
</pre><br />
<br />
=== testsaslauthd : "connect() : No such file or directory 0" ===<br />
<br />
Si lors d'un redémarrage du serveur mail ou d'un autre service et que vous tentez de réaliser un '''testsaslauthd''', il se peut que l'erreur '''connect() : No such file or directory 0'''<br />
<br />
Il faut refaire un lien symbolique :<br />
<pre><br />
rm -rf /var/run/saslauthd<br />
ln -s /var/spool/postfix/var/run/saslauthd /var/run/saslauthd<br />
</pre><br />
<br />
Pour automatiser le tout, on peux rajouter cette commande au fichier {{ File | /etc/rc.local }}<br />
<pre><br />
#Commande pour Postfix<br />
ln -s /var/spool/postfix/var/run/saslauthd /var/run/saslauthd<br />
exit 0<br />
</pre><br />
<br />
== Procédures ==<br />
<br />
=== Manipulation Queue ===<br />
*Vider la queue : postsuper -d ALL<br />
*Lister les messages : postqueue -p<br />
*Supprimer message : postsuper -d ID ( L'ID est donné via la commande du dessus)<br />
*Mettre un messages en attente (hold) : postsuper -h ID<br />
*Remettre un messages en mode normale (actif) : postsuper -H ID<br />
*Remettre en Queue un message : postsuper -r ID<br />
*Pour tous les messages : postsuper -r ID<br />
*Afficher le contenu d'un message : postcat -q ID<br />
*Forcer l'envoie des messages en Queue (flush) : postqueue -f<br />
<br><br />
<br />
=== Créer nouvelle boite mail ===<br />
{{ Avertissement | L'utilisateur doit d'abord être créée dans le LDAP }}<br />
<br><br />
Pour créer une nouvelle boite mail, il faut se connecter sur l'interface administration de cyrus : <br />
<br><br />
{{ Console | cyradm --user cyrus localhost<br>Password: }}<br />
<br><br />
* --user: cyrus est l'administrateur du service cyrus<br />
* localhost: Parce qu’on est connecté sur la machine où est installé cyrus<br />
<br />
Une fois connecter, on peux créer la nouvelle boite mail :<br />
<pre><br />
cm user.nomUtilisateur<br />
</pre><br />
<br><br />
{{ Avertissement | Toujours mettre user. avant le nom d'utilisateur sinon cela crée une boite mail partagée }}<br />
<br><br />
On peux vérifier qu'elle a bien été créée en rentrant la commande ''lm'' (listmailbox)<br />
<br />
Il faut maintenant donner tous les droits à l'utilisateur cyrus sur la boite mail crée. Sans cela, cyrus ne pourra pas la supprimer, lui assigner des quotas ...<br />
<br><br />
<pre><br />
setacl user.nomutilisateur cyrus all<br />
</pre><br />
<br><br />
Dans ce cas-ci, on assigne tous les droits à l'utilisateur cyrus sur la boite. C'est une question de faciliter pour la manipulation dans le futur des boites mails<br />
<br />
<br />
Pour maintenant vérifier l'authentification, on utilise la commande testsaslauthd<br />
<br><br />
{{ Console | testsaslauthd -u user -p password<br>0: OK "Success." }}<br />
<br><br />
La partie authentification est réalisé. La dernière étape est de créer l'alias. On édite le fichier {{ File | /etc/aliases }} et on rajoute une ligne au format suivant :<br />
<pre><br />
nomUtilisateur: nomUtilisateur@domaine<br />
...<br />
denis: denis@diouxx.be<br />
devleeschauwer: ddevleeschauwer@diouxx.be<br />
</pre><br />
<br />
Il faut recharger la base d'alias :<br />
<br><br />
{{ Console | postalias /etc/aliases }}<br />
<br><br />
<br />
=== Supprimer boite mail ===<br />
<br />
Pour supprimer une boite mail, on doit, premièrement, se connecter à l'outil cyradm :<br />
<br><br />
{{ Console | cyradm --user cyrus localhsot<br>Password: }}<br />
<br><br />
Pour supprimer la boite mail, entrez la commande dm :<br />
<br><br />
<pre><br />
dm user.nomUtilisateur<br />
</pre><br />
<br />
Si une erreur ''"deletemailbox: Permission denied"'' apparait, c'est un problème de droits sur la boite. Pour régler cela, rentrez les commandes suivantes :<br />
<pre><br />
localhost> setacl user.test cyrus all<br />
localhost> dm user.test<br />
</pre><br />
<br />
Vérifier la suppression de la boite mail via la commande ''lm''<br />
<br />
Les démarches ci-dessus, expliquent comment supprimer une boite mail mais on peut aussi supprimer l’utilisateur. Quittez l'outil cyradm.<br />
Pour supprimer l'utilisateur, on utilise la commande saslpasswd<br />
<br><br />
{{ Console | saslpasswd -d nomUtilisateur }}<br />
<br><br />
On peux vérifier la suppression effective via :<br />
<br><br />
{{ Console | sasldblistusers2 }}<br />
<br><br />
Il reste plus qu'a supprimer l'alias de l’utilisateur et recréer la base d'alias.<br />
<br />
* Éditez le fichier {{ File | /etc/aliases }} et supprimer la ligne correspondant au nom d'utilisateur<br />
* Pour reconstruire la base d'alias, entrez la commande ''postalias /etc/aliases''<br />
<br />
=== Assigner/Modifier quotas ===<br />
<br />
Pour assigner ou modifier les quotas d'un utilisateur, tout se passe dans l'outil cyradm<br />
<br><br />
{{ Console | cyradm --user cyrus loclahost<br>Password: }}<br />
<br><br />
{{ Note | La taille des quotas s'exprime en Ko. Donc si on spécifie 1024, cela veux dire qu'on assigne 1Mo de quotas à l'utilisateur. }}<br />
<br><br />
<pre><br />
localhost> setquota user.nomUtilisateur 1024<br />
</pre><br />
<br />
Pour vérifier le quota d'un utilisateur :<br />
<pre><br />
localhost> listquota user.nomUtilisateur<br />
</pre><br />
<br><br />
=== Whitelist/Blacklist ===<br />
Pour ajouter une adresse mail à la whitelist, il suffit de la rajouter dans le fichier {{ File | /etc/spamassassin/local.cf }}<br />
<pre><br />
#<br />
#WhiteList<br />
#<br />
whitelist_from utilisateur@domaine<br />
whitelist_from *@domaine<br />
<br />
#<br />
#Blacklist<br />
#<br />
blacklist_from utilisateur@domaine<br />
blacklist_from *@domaine<br />
</pre><br />
=== Restaurer Boit mail ===<br />
Après avoir restauré la boite mail ( ou une partie de celle-ci ), il faut reconstituer l'indexation.<br />
Pour ce faire, il faut se connecter en tant qu'utilisateur cyrus :<br />
<br><br />
{{ Console root | su cyrus }}<br />
<br><br />
Reconstruire la boite mail :<br />
<br><br />
{{ Console | /usr/sbin/cyrreconstruct -rxf user.nomUtilisateur }}<br />
<br><br />
<br />
[[Catégorie:Système]]</div>Ddevleeschauwerhttp://wiki.diouxx.be/index.php?title=Raspberry:Astuces&diff=257Raspberry:Astuces2016-09-23T07:28:06Z<p>Ddevleeschauwer : </p>
<hr />
<div>== Script au démarrage ==<br />
<br />
Pour lancer un script au démarrage du Raspberry, il faut l'ajouter au fichier {{ File | 1=.config/lxsession/LXDE-pi/autostart }}<br />
<pre><br />
@lxpanel --profile LXDE-pi<br />
@pcmanfm --desktop --profile LXDE-pi<br />
@xscreensaver -no-splash<br />
@sh ${HOME}/.config/lxsession/LXDE-pi/autokey.sh<br />
@xset s noblank<br />
@xset s off<br />
@xset -dpms<br />
@/home/pi/script-at-boot.sh<br />
</pre><br />
<br />
== Script python au démarrage ==<br />
<br />
Pour lancer un script python au démarrage, j'ai trouvé l'astuce suivante :<br />
<br />
On crée un fichier ''.desktop'' dans le dossier {{ File | /home/pi/.config/autostart/ }} qui portera le nom de l'application.<br />
Dans mon cas, ca sera {{ File | button-refresh.py }}. Voici le contenu :<br />
<pre><br />
[Desktop Entry]<br />
Encoding=UTF-8<br />
Type=Application<br />
Name=button-refresh<br />
Comment=<br />
Exec= sudo python /home/pi/button-refresh.py<br />
StartupNotify=false<br />
Terminal=true<br />
Hidden=false<br />
</pre><br />
''<br />
Sources''<br />
* http://raspberrypi.stackexchange.com/questions/4123/running-a-python-script-at-startup<br />
<br />
== Exemple d'action au démarrage ==<br />
<syntaxhighlight lang=bash><br />
#!/bin/bash<br />
<br />
#VNC<br />
x11vnc -forever -display :0 > /dev/null 2>&1 &<br />
<br />
sleep 5<br />
<br />
#Lecture video<br />
#omxplayer --loop Tomorrowland_2012_official_aftermovie.mp4<br />
<br />
#Lecture video sur ecran raspberry 7<br />
#omxplayer --win "0 0 840 480 " --loop Tomorrowland_2012_official_aftermovie.mp4<br />
<br />
#Script refresh<br />
#sudo python /home/pi/button-refresh.py &<br />
<br />
#Navigateur Web<br />
#iceweasel http://192.168.1.1/Piano/piano/index.html<br />
<br />
</syntaxhighlight><br />
<br />
== Désactiver la mise en veille de l'écran ==<br />
<br />
Pour désactiver la mise en veille de l'écran, il faut éditer le fichier {{ File | /etc/lightdm/lightdm.conf}} et ajouter ou modifier la ligne suivante dans la section ''SeatDefaults''<br />
<br />
<pre><br />
[SeatDefaults]<br />
xserver-command=X -s 0 -dpms<br />
</pre><br />
<br />
''Sources''<br />
* http://www.raspberry-projects.com/pi/pi-operating-systems/raspbian/gui/disable-screen-sleep<br />
* http://www.geeks3d.com/hacklab/20160108/how-to-disable-the-blank-screen-on-raspberry-pi-raspbian/<br />
<br />
== Rotation de l'écran ==<br />
<br />
Pour changer l'orientation de l'affichage, il faut ajouter au fichier {{ File | /boot/config.txt}} la ligne suivante :<br />
<br />
<pre><br />
display_rotate=x<br />
</pre><br />
<br />
Où x peut prendre les valeurs suivantes :<br />
<br />
{| class="wikitable"<br />
|-<br />
! Valeur !! Orientation<br />
|-<br />
| 0 || Normal<br />
|-<br />
| 1 || 90°<br />
|-<br />
| 2 || 180°<br />
|-<br />
| 3 || 270°<br />
|-<br />
| 0x10000 || Horizontal Flip<br />
|-<br />
| 0x20000 || Vertical Flip<br />
|}<br />
<br />
''Sources''<br />
* http://elinux.org/RPiconfig<br />
<br />
== Connaitre température ==<br />
<br />
Il est possible de connaitre la température de son Raspberry via la ligne de commande :<br />
<br><br />
<pre><br />
/opt/vc/bin/vcgencmd measure_temp<br />
</pre><br />
<br />
<br><br />
<pre><br />
pi@raspberrypi ~ $ /opt/vc/bin/vcgencmd measure_temp<br />
temp=58.4'C<br />
</pre><br />
<br />
Il est possible de réaliser un alias dans le fichier {{ File | .bashrc }}<br />
<pre><br />
...<br />
alias temp='/opt/vc/bin/vcgencmd measure_temp'<br />
...<br />
</pre><br />
<br><br />
{{ Console | source .bashrc }}<br />
<br><br />
Maintenant on peut utiliser la commande ''temp'' pour afficher la température<br />
<br />
<pre><br />
pi@raspberrypi ~ $ temp<br />
temp=58.4'C<br />
</pre><br />
[[Catégorie:Raspberry]]</div>Ddevleeschauwerhttp://wiki.diouxx.be/index.php?title=Script_rsync_distant&diff=256Script rsync distant2016-09-20T08:43:04Z<p>Ddevleeschauwer : </p>
<hr />
<div>{{ Introduction | Ce script permet de réaliser un rsync d'un dossier local vers un dossier distant via SSH }}<br />
<br><br />
<syntaxhighlight lang=bash><br />
#!/bin/bash<br />
<br />
#Auteur : DiouxX<br />
#Date : 28/07/2016<br />
<br />
#Description<br />
#-----------<br />
#Script permettant de réaliser un rsync des fichiers de la graphiste<br />
<br />
#Historique modification<br />
#<br />
<br />
#Couleur affichage<br />
VERT="\\033[1;32m"<br />
NORMAL="\\033[0;39m"<br />
ROUGE="\\033[1;31m"<br />
ROSE="\\033[1;35m"<br />
BLEU="\\033[1;34m"<br />
BLANC="\\033[0;02m"<br />
BLANCLAIR="\\033[1;08m"<br />
JAUNE="\\033[1;33m"<br />
CYAN="\\033[1;36m"<br />
<br />
#Variables globales<br />
#Hote de stcokage<br />
HOST_DESTINATION=192.168.1.1<br />
HOST_ALIVE=0<br />
<br />
#Dossier source local a sauvegarder<br />
SOURCE_FOLDER_PRODUCTION=/mnt/backup-production/<br />
#Emplacement du dossier distant<br />
DESTINATION_FOLDER_PRODUCTION=root@$HOST_DESTINATION:/mnt/stockage/backup-production/<br />
<br />
<br />
#Fichiers LOGS<br />
DATE=`date +"%Y"-"%m"-"%d"`<br />
LOG_FILE_PRODUCTION=/tmp/rsync-production-$DATE.log<br />
#Emplacement du fichier de log distant<br />
LOG_FILE_PRODUCTION_REMOTE=/var/log/rsync-production/rsync-production-$DATE.log<br />
REMOTE_LOG=root@$HOST_DESTINATION<br />
<br />
#On redirige toutes les sorties du script dans le fichier de LOG<br />
exec 1>&2 >> $LOG_FILE_PRODUCTION<br />
<br />
#Fonction d'horodatage pour les log<br />
#$1 = Texte a afficher apres l'horodatage<br />
function horodate(){<br />
horodate=`date +"\n%d"/"%m"/"%Y"-"%H":"%M":"%S -- "`<br />
echo -e "$horodate$1"<br />
}<br />
<br />
#Fonction testant le ping d'un hôte<br />
#$1 = Adresse IP/Nom DNS a tester<br />
function check_host_alive(){<br />
echo -e "Check Host Alive $1"<br />
ping $1 -c5 -q > /dev/null 2>&1<br />
if [ $? != 1 ]<br />
then<br />
echo -e "PING \t$VERT[OK]$NORMAL"<br />
else<br />
echo -e "PING \t$ROUGE[KO]$NORMAL"<br />
HOST_ALIVE=1<br />
fi<br />
}<br />
<br />
#Debut du script<br />
horodate "Start RSYNC"<br />
<br />
#Test si le serveur de stockage est joignable<br />
#Indirectement, ca verifie si la machine a du reseaux<br />
check_host_alive $HOST_DESTINATION<br />
<br />
if [ $HOST_ALIVE != 1 ]<br />
then<br />
#Check si un rsync est déja lancé<br />
#Version Linux<br />
# case "$(pidof rsync | wc -w)" in<br />
# 0) echo -e "$VERT\tOn fait le rsync$NORMAL"<br />
#<br />
# /usr/bin/rsync -e ssh -avz --delete-after $SOURCE_FOLDER_PRODUCTION $DESTINATION_FOLDER_PRODUCTION >> $LOG_FILE_PRODUCTION<br />
#<br />
# #Fin du script<br />
# horodate "END RSYNC"<br />
#<br />
# #Ecriture fichier log distant<br />
# cat $LOG_FILE_PRODUCTION | ssh $REMOTE_LOG "cat >> $LOG_FILE_PRODUCTION_REMOTE"<br />
# #Suppression fichier log local<br />
# rm $LOG_FILE_PRODUCTION<br />
# ;;<br />
#<br />
# *) echo -e "$ROUGE\tUn rsync est déja en train de tourner$NORMAL"<br />
# ;;<br />
# esac<br />
<br />
#Version MacOS<br />
#pgrep exits with 0 if there is a process matching $PROCESS_NAME running, otherwise it exist with 1.<br />
if pgrep rsync;<br />
then<br />
echo -e "$ROUGE\tUn rsync est déja en train de tourner$NORMAL"<br />
<br />
else<br />
echo -e "$VERT\tOn fait le rsync$NORMAL"<br />
<br />
/usr/bin/rsync -e ssh -avz --no-perms --no-owner --no-group $SOURCE_FOLDER_PRODUCTION $DESTINATION_FOLDER_PRODUCTION >> $LOG_FILE_PRODU CTION<br />
<br />
#Fin du script<br />
horodate "END RSYNC"<br />
<br />
#Ecriture fichier log distant<br />
cat $LOG_FILE_PRODUCTION | ssh $REMOTE_LOG "cat >> $LOG_FILE_PRODUCTION_REMOTE"<br />
#Suppression fichier log local<br />
rm $LOG_FILE_PRODUCTION<br />
<br />
<br />
fi<br />
<br />
else<br />
echo -e "$ROUGE\tPas de réseaux => Pas de RSYNC$NORMAL"<br />
#Fin du script<br />
horodate "END RSYNC"<br />
<br />
fi<br />
</syntaxhighlight><br />
[[Catégorie:Scripts System]]</div>Ddevleeschauwerhttp://wiki.diouxx.be/index.php?title=Owncloud&diff=255Owncloud2016-09-09T12:13:47Z<p>Ddevleeschauwer : /* Mise à jour */</p>
<hr />
<div>{{ Introduction | Cette page permet d'installer et configurer le service Owncloud }}<br />
<br />
== Installation ==<br />
<br />
=== Prérequis ===<br />
<br />
==== Database ====<br />
<br />
Owncloud se connecte à une base de donnée ( MySQL, PostgreSQL, SQLite). Dans notre exemple, nous allons utilisé MySQL.<br />
Vous pouvez créer la base de donnée soit avec un outil graphique ou en ligne de commande :<br />
<br><br />
<pre><br />
CREATE SCHEMA `ownclouddb` DEFAULT CHARACTER SET utf8 COLLATE utf8_general_ci ;<br />
</pre><br />
<br><br />
* ownclouddb : est le nom de la DB<br />
* utf8 : est le type d'encodage de la DB<br />
<br />
On crée également un utilisateur spécifique pour la connexion à la base de données.<br />
<br />
==== Serveur Web ====<br />
<br />
Pour installé Owncloud, le serveur qui va l'accueillir à besoin de plusieurs paquets installé '''apache2''' et '''php5'''<br />
<br><br />
{{ Console root | sudo apt-get install apache2 php5 php5-cli php5-commin php5-curl php5-gd php5-imagick php5-ldap php5-mysql php5-odbc php5-pgsql php5-xlmrpc libapache2-mod-php5 }}<br />
<br><br />
<br />
==Owncloud==<br />
<br />
=== Installation ===<br />
<br />
On récupère la dernière version de owncloud que l'on va placer dans le répertoire du serveur web<br />
<br><br />
{{ Console root | cd /var/www && sudo wget http://download.owncloud.org/community/owncloud-latest.tar.bz2 && sudo tar -xjf owncloud-latest.tar.bz2<br>[root@ordi ~]# sudo chown -R www-data:www-data owncloud }}<br />
<br><br />
Une fois désarchivé, vous devriez avoir accès à owncloud soit via l'adresse IP du serveur http://IP/owncloud ou via le nom DNS que vous aurez configuré comme décrit [[Owncloud#Apache|ici]]<br />
<br />
=== Configuration ===<br />
<br />
==== Apache ====<br />
<br />
Nous allons configurer 2 virtual hosts au point de vue apache afin de rediriger toutes les requêtes '''http''' vers la version '''https''' d'owncloud<br />
<br />
===== cloud.conf =====<br />
<br><br />
{{ Console root | sudo nano /etc/apache2/sites-enables/cloud.conf}}<br />
<br><br />
<pre><br />
<VirtualHost *:80><br />
ServerName cloud.domain.be<br />
RedirectMatch ^/$ https://cloud.domain.be/<br />
</VirtualHost><br />
</pre><br />
<br><br />
On active le vhosts :<br />
<br><br />
{{ Console root | sudo a2ensite cloud.conf }}<br />
<br><br />
{{ Note | Il est possible qu'il soit nécessaire d'activer le mode rewrite d'apache '''sudo a2enmod rewrite''' }}<br />
<br><br />
<br />
===== cloud_ssl.conf =====<br />
<br><br />
{{ Console root | sudo nano /etc/apache2/sites-enables/cloud_ssl.conf}}<br />
<br><br />
<pre><br />
<VirtualHost *:443><br />
ServerName cloud.domain.be<br />
DocumentRoot /var/www/owncloud<br />
#RedirectMatch ^/$ https://cloud.domain.be/owncloud<br />
<br />
SSLEngine On<br />
SSLCertificateFile /etc/apache2/ssl/cloud.domain.be.crt<br />
SSLCertificateKeyFile /etc/apache2/ssl/cloud.domain.be.key<br />
SSLCACertificateFile /etc/apache2/ssl/cacert.pem<br />
<br />
<Directory /var/www/owncloud><br />
Options Indexes FollowSymLinks MultiViews<br />
AllowOverride All<br />
Order allow,deny<br />
Allow from all<br />
# add any possibly required additional directives here<br />
# e.g. the Satisfy directive (see below for details):<br />
Satisfy Any<br />
</Directory><br />
<br />
ErrorLog /var/log/apache2/error-cloud.log<br />
<br />
# Possible values include: debug, info, notice, warn, error, crit,<br />
# alert, emerg.<br />
LogLevel warn<br />
<br />
CustomLog /var/log/apache2/access-cloud.log combined<br />
</VirtualHost><br />
</pre><br />
<br><br />
{{ Note | La partie concernant la création des certificats ssl n'est pas vue dans cette documentation.<br>Reportez-vous à la documentation sur [[Postfix-tls]] }}<br />
<br><br />
On active le vhosts :<br />
<br><br />
{{ Console root | sudo a2ensite cloud_ssl.conf }}<br />
<br><br />
<br />
==== PHP ====<br />
<br />
On peut modifier certaines valeurs du fichier {{ File | /etc/php5/apache2/php.ini }} afin d'accélerer la vitesse d'affichage de l'interface web :<br />
<br />
* Le paramètre '''realpath_cache_size'''<br />
<pre><br />
; Determines the size of the realpath cache to be used by PHP. This value should<br />
; be increased on systems where PHP opens many files to reflect the quantity of<br />
; the file operations performed.<br />
; http://php.net/realpath-cache-size<br />
;realpath_cache_size = 16k<br />
realpath_cache_size = 512k<br />
</pre><br />
<br />
* Paramètre relatif aux téléchargement de fichiers<br />
<pre><br />
; Whether to allow HTTP file uploads.<br />
; http://php.net/file-uploads<br />
file_uploads = On<br />
<br />
; Temporary directory for HTTP uploaded files (will use system default if not<br />
; specified).<br />
; http://php.net/upload-tmp-dir<br />
;upload_tmp_dir =<br />
<br />
; Maximum allowed size for uploaded files.<br />
; http://php.net/upload-max-filesize<br />
upload_max_filesize = 1024 M<br />
<br />
; Maximum number of files that can be uploaded via a single request<br />
max_file_uploads = 20<br />
</pre><br />
<br />
=== Administrateur et base de donnée ===<br />
<br />
Une fois arrivé sur la page pour la première fois, vous devez compléter les informations concernant l'utilisateur administrateur et les informations de connexion pour la base de données.<br />
[[Fichier:Owncloud-config-startup.png|centré]]<br />
<br />
=== Authentification OpenLDAP ===<br />
<br />
Pour mettre en place l'authentification LDAP, il faut ajouter une application. Pour ce faire, on se rend dans le panneau d'administration<br />
[[Fichier:Owncloud-panel-admin.png|centré]]<br />
<br><br />
Et on clique sur la croix permettant d’accéder aux applications disponibles.<br />
[[Fichier:Owncloud-add-applications.png|centré]]<br />
<br><br />
On choisis '''LDAP user and group backend''' et on active l'application<br />
[[Fichier:Owncloud-app-ldap.png|centré]]<br />
[[Fichier:Owncloud-ldap-enable.png|centré]]<br />
<br><br />
Maintenant, si on retourne dans la panneau d'administration, on retrouve différents champs qui vont nous permettre de configurer l'authentification via LDAP.<br />
On remplit d'abord les infos de connexion au serveur LDAP :<br />
[[Fichier:Owncloud-ldap-server.png|centré]]<br />
On sélectionne dans la fenêtre suivante, les classes d'objets pour les utilisateurs pouvant se connecter à Owncloud.<br />
Cela permet de restreindre éventuellement l'accès à Owncloud aux utilisateurs ne possédant pas ces différentes classes d'objets.<br />
[[Fichier:Owncloud-ldap-classe-user.png|centré]]<br />
Dans la fenêtre suivante, on spécifie via quel attribut les utilisateurs vont pouvoir se connecter : nom d'utilisateur et/ou adresse email et les champs correspondant dans le LDAP<br />
[[Fichier:Owncloud-ldap-login-attributs.png|centré]]<br />
<br />
=== fail2ban ===<br />
<br />
Pour mettre en place fail2ban pour owncloud, nous allons devoir modifier un peu le code source de Owncloud. Pas de panique, cela n'engendre aucun dysfonctionnement à Owncloud.<br />
<br />
Tout d'abord, on va créé un fichier de log spécifique :<br />
<br><br />
{{ Console root | sudo touch /var/log/owncloud-fail.log && sudo chown www-data:www-data /var/log/owncloud-fail.log }}<br />
<br><br />
<br />
On va insérer un code dans la fonction '''checkPassword''' du fichier {{ File | /var/www/owncloud/lib/private/user/database.php}}, juste avant le “return false”.<br />
Ce qui donne ceci :<br />
<syntaxhighlight lang=php><br />
else {<br />
$today = new DateTime();<br />
date_timezone_set($today, timezone_open('Europe/Paris'));<br />
$IPClient= $_SERVER['REMOTE_ADDR']; <br />
$logAuth = fopen('/var/log/owncloud-fail.log', 'a+');<br />
fputs($logAuth, date_format($today, 'Y/m/d H:i:s') . " Password check failed for: \t" . $<br />
fclose($logAuth);<br />
return false;<br />
}<br />
</syntaxhighlight><br />
<br />
On passe à présent à la création de la prison Fail2ban dans {{ File | /etc/fail2ban/filter.d/owncloud.conf }}<br />
<pre> <br />
#Owncloud jail<br />
[Definition]<br />
failregex = <HOST>$<br />
</pre><br />
<br />
On test que la regex match bien. (Effectuez une erreur de login sur l’interface avant)<br />
<br><br />
{{ Console | fail2ban-regex /var/log/owncloud-fail.log /etc/fail2ban/filter.d/owncloud.conf }}<br />
<br><br />
On ajoute cette prison à la configuration dans {{ File | /etc/fail2ban/jail.conf }}<br />
<pre><br />
[owncloud]<br />
enabled = true<br />
port = http,https<br />
filter = owncloud<br />
logpath = /var/log/owncloud-fail.log<br />
maxretry = 3<br />
</pre><br />
<br />
On redémarre fail2ban pour prendre en compte les nouveaux changements<br />
<br><br />
{{ Console root | sudo service fail2ban restart }}<br />
<br><br />
{{ Avertissement | Il faut quand même garder en tête que les lignes dans le php seront à réécrire à chaque mise à jour de Owncloud. }}<br />
<br><br />
<br />
===Envoi de mail===<br />
<br />
S'il n'y a pas de serveur mail installé sur le même serveur que l'instance OwnCloud, il est nécessaire de préciser un serveur SMTP pour qu'OwnCloud puisse envoyer des emails.<br />
<br />
Il nous faut éditer le fichier {{ File | /var/www/owncloud/config/config.php}} et rajouter les paramètres suivants :<br />
<pre><br />
'mail_smtpmode' => 'smtp',<br />
'mail_smtphost' => 'IP_server',<br />
'mail_smtpport' => 25,<br />
'mail_smtptimeout' => 30,<br />
</pre><br />
<br />
* mail_smtphost : l'IP ou le nom DNS du serveur SMTP<br />
* mail_smtpport : le numéro de port du serveur SMTP<br />
* mail_smtptimeout : si un scanner de malware ou SPAM tourne sur le serveur SMTP, il est nécessaire d'augmenter le timeout SMTP ( 30s ou 60s ont l'air d’être des valeurs corrects)<br />
<br />
== Troubleshooting ==<br />
<br />
=== An unhandled exception has been thrown ===<br />
<br />
Si après une tentative de mise à jour d'Owncloud, vous trouvez le message d'erreur suivant lors du processus : '''An unhandled exception has been thrown'''<br />
<br />
<pre><br />
exception 'PDOException' with message 'SQLSTATE[HY000]: General error: 1598 Binary logging not possible.<br />
Message: Transaction level 'READ-COMMITTED' in InnoDB is not safe for binlog <br />
mode 'STATEMENT'' in /srv/www/owncloud/3rdparty/doctrine/dbal/lib/Doctrine/DBAL/Driver/PDOStatement.php:91<br />
</pre><br />
<br />
la procédure suivante pourrait résoudre le problème.<br />
<br />
Il s'agirait d'une variable global de MySQL a modifié.<br />
On se connecte à son serveur MySQL et on rentre la command suivante :<br />
<pre><br />
mysql> SET GLOBAL binlog_format = 'MIXED';<br />
</pre><br />
<br />
Ensuite, sur le serveur Owncloud, dans le dossier owncloud, on rentre les commandes suivantes :<br />
<br />
Cette commande, retire le mode maintenance du serveur<br />
<br><br />
{{ Console root | sudo -u www-data php occ maintenance:mode --off }}<br />
<br><br />
<br />
Cette commande réalise la mise à jour du serveur<br />
<br><br />
{{ Console root | sudo -u www-data php occ upgrade }}<br />
<br><br />
Si tout se passe correctement, vous deviez avoir une sortie console comme ceci :<br />
<pre><br />
Turned on maintenance mode<br />
Checked database schema update<br />
Checked database schema update for apps<br />
Updated database<br />
Turned off maintenance mode<br />
Update successful<br />
</pre><br />
<br />
Sources :<br />
* https://github.com/owncloud/core/issues/16008<br />
* https://dev.mysql.com/doc/refman/5.5/en/binary-log-setting.html<br />
* https://dev.mysql.com/doc/refman/5.6/en/binary-log-setting.html<br />
* https://doc.owncloud.org/server/8.0/admin_manual/maintenance/upgrade.html#troubleshooting<br />
<br />
=== After update to 8.1 an error message appears, that not internet access is available. ===<br />
<br />
# copy "config/ca-bundle.crt" in the zip of the owncloud server download file<br />
# put it in the "config/" directory of my owncloud instance (for me "/var/www/config" as absolute path)<br />
<br />
that's all, afterwards the warning was gone.<br />
<br />
Source : <br />
* https://github.com/owncloud/core/issues/17448<br />
<br />
=== General error: 1598 Binary logging not possible. ===<br />
Se connecter à Mysql ou PHPMyAdmin et exécuter la requête SQL suivante :<br />
<pre><br />
SET GLOBAL binlog_format = 'ROW';<br />
</pre><br />
<br />
Source :<br />
* https://forum.owncloud.org/viewtopic.php?t=29456&p=92408<br />
<br />
== Procédures ==<br />
<br />
=== Mise à jour ===<br />
On se rend dans le dossier du répertoire web<br />
<br><br />
{{ Console | cd /var/www/html }}<br />
<br><br />
On réalise un backup du dossier<br />
<br><br />
{{ Console root | sudo rsync -a owncloud/ owncloud_bkp`date +"%Y%m%d"`/ }}<br />
<br><br />
On réalise un backup de la base de donnée<br />
<br><br />
{{ Console root | 1=mysqldump --lock-tables -h [server] -u [username] -p[password] ownclouddb > owncloud-sqlbkp_`date +"%Y%m%d"`.bak }}<br />
<br><br />
<pre><br />
Pour SQLite<br />
sqlite3 data/owncloud.db .dump > owncloud-sqlbkp_`date +"%Y%m%d"`.bak<br />
Pour PostgreSQL<br />
PGPASSWORD="password" pg_dump owncloud -h [server] -U [username] -f owncloud-sqlbkp_`date +"%Y%m%d"`.bak<br />
</pre><br />
On supprime tous les dossier sauf le dossier config et data<br />
<br><br />
{{ Console root | 1=cd owncloud<br>[root@ordi ~]# ll<br>[root@ordi ~]# sudo find . -mindepth 1 -maxdepth 1 ! -path ./data ! -path ./config -exec rm -rf {} \;<br>[root@ordi ~]# ll }}<br />
<br><br />
On télécharge et désarchive la derniere version<br />
<br><br />
{{ Console root | 1=cd ..<br>[root@ordi ~]# sudo wget http://download.owncloud.org/community/owncloud-latest.tar.bz2<br>[root@ordi ~]# sudo tar -xjf owncloud-latest.tar.bz2<br>[root@ordi ~]# ls owncloud }}<br />
<br><br />
On remet les droits correct<br />
<br><br />
{{ Console root | sudo chown -R www-data:www-data owncloud }}<br />
<br><br />
<br />
Il se peut, si votre instance owncloud possède une taille importante, que le message suivant apparaisse quand vous essayer de vous reconnecter à l'interface web<br />
<br><br />
[[Fichier:Owncloud-update-grande-instance.png|centré]]<br />
<br><br />
Dans ce cas comme indiqué, il est nécessaire de passer en ligne de commande pour réaliser l'update.<br />
On se rend dans le dossier {{ File | owncloud}} et on exécute la commande suivante :<br />
<br><br />
{{ Console | sudo -u www-data php occ upgrade }}<br />
<br><br />
La mise à jour se réalisera en mode console.<br />
<br />
<br />
[[Catégorie:Applicatifs]]</div>Ddevleeschauwerhttp://wiki.diouxx.be/index.php?title=Fichier:Owncloud-update-grande-instance.png&diff=254Fichier:Owncloud-update-grande-instance.png2016-09-09T12:10:13Z<p>Ddevleeschauwer : </p>
<hr />
<div></div>Ddevleeschauwerhttp://wiki.diouxx.be/index.php?title=Script_rsync_distant&diff=253Script rsync distant2016-09-09T06:21:13Z<p>Ddevleeschauwer : </p>
<hr />
<div>{{ Introduction | Ce script permet de réaliser un rsync d'un dossier local vers un dossier distant via SSH }}<br />
<br><br />
<syntaxhighlight lang=bash><br />
#!/bin/bash<br />
<br />
#Auteur : DiouxX<br />
#Date : 28/07/2016<br />
<br />
#Description<br />
#-----------<br />
#Script permettant de réaliser un rsync des fichiers de la graphiste<br />
<br />
#Historique modification<br />
#<br />
<br />
#Couleur affichage<br />
VERT="\\033[1;32m"<br />
NORMAL="\\033[0;39m"<br />
ROUGE="\\033[1;31m"<br />
ROSE="\\033[1;35m"<br />
BLEU="\\033[1;34m"<br />
BLANC="\\033[0;02m"<br />
BLANCLAIR="\\033[1;08m"<br />
JAUNE="\\033[1;33m"<br />
CYAN="\\033[1;36m"<br />
<br />
#Variables globales<br />
#Hote de stcokage<br />
HOST_DESTINATION=192.168.1.1<br />
HOST_ALIVE=0<br />
<br />
#Dossier source local a sauvegarder<br />
SOURCE_FOLDER_PRODUCTION=/mnt/backup-production/<br />
#Emplacement du dossier distant<br />
DESTINATION_FOLDER_PRODUCTION=root@$HOST_DESTINATION:/mnt/stockage/backup-production/<br />
<br />
<br />
#Fichiers LOGS<br />
DATE=`date +"%Y"-"%m"-"%d"`<br />
LOG_FILE_PRODUCTION=/tmp/rsync-production-$DATE.log<br />
#Emplacement du fichier de log distant<br />
LOG_FILE_PRODUCTION_REMOTE=/var/log/rsync-production/rsync-production-$DATE.log<br />
REMOTE_LOG=root@$HOST_DESTINATION<br />
<br />
#On redirige toutes les sorties du script dans le fichier de LOG<br />
exec 1>&2 >> $LOG_FILE_PRODUCTION<br />
<br />
#Fonction d'horodatage pour les log<br />
#$1 = Texte a afficher apres l'horodatage<br />
function horodate(){<br />
horodate=`date +"\n%d"/"%m"/"%Y"-"%H":"%M":"%S -- "`<br />
echo -e "$horodate$1"<br />
}<br />
<br />
#Fonction testant le ping d'un hôte<br />
#$1 = Adresse IP/Nom DNS a tester<br />
function check_host_alive(){<br />
echo -e "Check Host Alive $1"<br />
ping $1 -c5 -q > /dev/null 2>&1<br />
if [ $? != 1 ]<br />
then<br />
echo -e "PING \t$VERT[OK]$NORMAL"<br />
else<br />
echo -e "PING \t$ROUGE[KO]$NORMAL"<br />
HOST_ALIVE=1<br />
fi<br />
}<br />
<br />
#Debut du script<br />
horodate "Start RSYNC"<br />
<br />
#Test si le serveur de stockage est joignable<br />
#Indirectement, ca verifie si la machine a du reseaux<br />
check_host_alive $HOST_DESTINATION<br />
<br />
if [ $HOST_ALIVE != 1 ]<br />
then<br />
#Check si un rsync est déja lancé<br />
case "$(pidof rsync | wc -w)" in<br />
0) echo -e "$VERT\tOn fait le rsync$NORMAL"<br />
<br />
/usr/bin/rsync -e ssh -avz --delete-after $SOURCE_FOLDER_PRODUCTION $DESTINATION_FOLDER_PRODUCTION >> $LOG_FILE_PRODUCTION<br />
<br />
#Fin du script<br />
horodate "END RSYNC"<br />
<br />
#Ecriture fichier log distant<br />
cat $LOG_FILE_PRODUCTION | ssh $REMOTE_LOG "cat >> $LOG_FILE_PRODUCTION_REMOTE"<br />
#Suppression fichier log local<br />
rm $LOG_FILE_PRODUCTION<br />
;;<br />
<br />
*) echo -e "$ROUGE\tUn rsync est déja en train de tourner$NORMAL"<br />
;;<br />
esac<br />
<br />
else<br />
echo -e "$ROUGE\tPas de réseaux => Pas de RSYNC$NORMAL"<br />
#Fin du script<br />
horodate "END RSYNC"<br />
<br />
fi<br />
</syntaxhighlight><br />
[[Catégorie:Scripts System]]</div>Ddevleeschauwerhttp://wiki.diouxx.be/index.php?title=Script_rsync_distant&diff=252Script rsync distant2016-08-30T07:39:18Z<p>Ddevleeschauwer : </p>
<hr />
<div>{{ Introduction | Ce script permet de réaliser un rsync d'un dossier local vers un dossier distant via SSH }}<br />
<br><br />
<syntaxhighlight lang=bash><br />
#!/bin/bash<br />
<br />
#Auteur : DiouxX<br />
#Date : 28/07/2016<br />
<br />
#Description<br />
#-----------<br />
#Script permettant de réaliser un rsync des fichiers de la graphiste<br />
<br />
#Historique modification<br />
#<br />
<br />
#Couleur affichage<br />
VERT="\\033[1;32m"<br />
NORMAL="\\033[0;39m"<br />
ROUGE="\\033[1;31m"<br />
ROSE="\\033[1;35m"<br />
BLEU="\\033[1;34m"<br />
BLANC="\\033[0;02m"<br />
BLANCLAIR="\\033[1;08m"<br />
JAUNE="\\033[1;33m"<br />
CYAN="\\033[1;36m"<br />
<br />
#Variables globales<br />
#Hote de stcokage<br />
HOST_DESTINATION=192.168.1.1<br />
HOST_ALIVE=0<br />
<br />
#Dossier source local a sauvegarder<br />
SOURCE_FOLDER_PRODUCTION=/mnt/backup-production/<br />
#Emplacement du dossier distant<br />
DESTINATION_FOLDER_PRODUCTION=root@$HOST_DESTINATION:/mnt/stockage/backup-production/<br />
<br />
<br />
#Fichiers LOGS<br />
DATE=`date +"%Y"-"%m"-"%d"`<br />
LOG_FILE_PRODUCTION=/tmp/rsync-production-$DATE.log<br />
#Emplacement du fichier de log distant<br />
LOG_FILE_PRODUCTION_REMOTE=/var/log/rsync-production/rsync-production-$DATE.log<br />
REMOTE_LOG=root@$HOST_DESTINATION<br />
<br />
#On redirige toutes les sorties du script dans le fichier de LOG<br />
exec 1>&2 >> $LOG_FILE_PRODUCTION<br />
<br />
#Fonction d'horodatage pour les log<br />
#$1 = Texte a afficher apres l'horodatage<br />
function horodate(){<br />
horodate=`date +"\n%d"/"%m"/"%Y"-"%H":"%M":"%S -- "`<br />
echo -e "$horodate$1"<br />
}<br />
<br />
#Fonction testant le ping d'un hôte<br />
#$1 = Adresse IP/Nom DNS a tester<br />
function check_host_alive(){<br />
echo -e "Check Host Alive $1"<br />
ping $1 -c5 -q > /dev/null 2>&1<br />
if [ $? != 1 ]<br />
then<br />
echo -e "PING \t$VERT[OK]$NORMAL"<br />
else<br />
echo -e "PING \t$ROUGE[KO]$NORMAL"<br />
HOST_ALIVE=1<br />
fi<br />
}<br />
<br />
#Debut du script<br />
horodate "Start RSYNC"<br />
<br />
#Test si le serveur de stockage est joignable<br />
#Indirectement, ca verifie si la machine a du reseaux<br />
check_host_alive $HOST_DESTINATION<br />
<br />
if [ $HOST_ALIVE != 1 ]<br />
then<br />
#Check si un rsync est déja lancé<br />
case "$(pidof mongod | wc -w)" in<br />
0) echo -e "$VERT\tOn fait le rsync$NORMAL"<br />
<br />
/usr/bin/rsync -e ssh -avz --delete-after $SOURCE_FOLDER_PRODUCTION $DESTINATION_FOLDER_PRODUCTION >> $LOG_FILE_PRODUCTION<br />
<br />
#Fin du script<br />
horodate "END RSYNC"<br />
<br />
#Ecriture fichier log distant<br />
cat $LOG_FILE_PRODUCTION | ssh $REMOTE_LOG "cat >> $LOG_FILE_PRODUCTION_REMOTE"<br />
#Suppression fichier log local<br />
rm $LOG_FILE_PRODUCTION<br />
;;<br />
<br />
*) echo -e "$ROUGE\tUn rsync est déja en train de tourner$NORMAL"<br />
;;<br />
esac<br />
<br />
else<br />
echo -e "$ROUGE\tPas de réseaux => Pas de RSYNC$NORMAL"<br />
#Fin du script<br />
horodate "END RSYNC"<br />
<br />
fi<br />
</syntaxhighlight><br />
[[Catégorie:Scripts System]]</div>Ddevleeschauwerhttp://wiki.diouxx.be/index.php?title=Script_rsync_distant&diff=251Script rsync distant2016-07-28T15:59:46Z<p>Ddevleeschauwer : </p>
<hr />
<div>{{ Introduction | Ce script permet de réaliser un rsync d'un dossier local vers un dossier distant via SSH }}<br />
<br><br />
<syntaxhighlight lang=bash><br />
#!/bin/bash<br />
<br />
#Auteur : DiouxX<br />
#Date : 28/07/2016<br />
<br />
#Description<br />
#-----------<br />
#Script permettant de réaliser un rsync des fichiers de la graphiste<br />
<br />
#Historique modification<br />
#<br />
<br />
#Couleur affichage<br />
VERT="\\033[1;32m"<br />
NORMAL="\\033[0;39m"<br />
ROUGE="\\033[1;31m"<br />
ROSE="\\033[1;35m"<br />
BLEU="\\033[1;34m"<br />
BLANC="\\033[0;02m"<br />
BLANCLAIR="\\033[1;08m"<br />
JAUNE="\\033[1;33m"<br />
CYAN="\\033[1;36m"<br />
<br />
#Variables globales<br />
#Hote de stcokage<br />
HOST_DESTINATION=192.168.1.1<br />
HOST_ALIVE=0<br />
<br />
#Dossier source local a sauvegarder<br />
SOURCE_FOLDER_PRODUCTION=/mnt/backup-production/<br />
#Emplacement du dossier distant<br />
DESTINATION_FOLDER_PRODUCTION=root@$HOST_DESTINATION:/mnt/stockage/backup-production/<br />
<br />
<br />
#Fichiers LOGS<br />
DATE=`date +"%Y"-"%m"-"%d"`<br />
LOG_FILE_PRODUCTION=/tmp/rsync-production-$DATE.log<br />
#Emplacement du fichier de log distant<br />
LOG_FILE_PRODUCTION_REMOTE=/var/log/rsync-production/rsync-production-$DATE.log<br />
REMOTE_LOG=root@$HOST_DESTINATION<br />
<br />
#On redirige toutes les sorties du script dans le fichier de LOG<br />
exec 1>&2 >> $LOG_FILE_PRODUCTION<br />
<br />
#Fonction d'horodatage pour les log<br />
#$1 = Texte a afficher apres l'horodatage<br />
function horodate(){<br />
horodate=`date +"\n%d"/"%m"/"%Y"-"%H":"%M":"%S -- "`<br />
echo -e "$horodate$1"<br />
}<br />
<br />
#Fonction testant le ping d'un hôte<br />
#$1 = Adresse IP/Nom DNS a tester<br />
function check_host_alive(){<br />
echo -e "Check Host Alive $1"<br />
ping $1 -c5 -q > /dev/null 2>&1<br />
if [ $? != 1 ]<br />
then<br />
echo -e "PING \t$VERT[OK]$NORMAL"<br />
else<br />
echo -e "PING \t$ROUGE[KO]$NORMAL"<br />
HOST_ALIVE=1<br />
fi<br />
}<br />
<br />
#Debut du script<br />
horodate "Start RSYNC"<br />
<br />
#Test si le serveur de stockage est joignable<br />
#Indirectement, ca verifie si la machine a du reseaux<br />
check_host_alive $HOST_DESTINATION<br />
<br />
if [ $HOST_ALIVE != 1 ]<br />
then<br />
echo -e "$VERT\tOn fait le rsync$NORMAL"<br />
<br />
/usr/bin/rsync -e ssh -avz --delete-after $SOURCE_FOLDER_PRODUCTION $DESTINATION_FOLDER_PRODUCTION >> $LOG_FILE_PRODUCTION<br />
<br />
#Fin du script<br />
horodate "END RSYNC"<br />
<br />
#Ecriture fichier log distant<br />
cat $LOG_FILE_PRODUCTION | ssh $REMOTE_LOG "cat >> $LOG_FILE_PRODUCTION_REMOTE"<br />
#Suppression fichier log local<br />
rm $LOG_FILE_PRODUCTION<br />
<br />
else<br />
echo -e "$ROUGE\tPas de réseaux => Pas de RSYNC$NORMAL"<br />
#Fin du script<br />
horodate "END RSYNC"<br />
<br />
fi<br />
</syntaxhighlight><br />
[[Catégorie:Scripts System]]</div>Ddevleeschauwerhttp://wiki.diouxx.be/index.php?title=Script_rsync_distant&diff=250Script rsync distant2016-07-28T15:57:24Z<p>Ddevleeschauwer : Page créée avec « {{ Introduction | Ce script permet de réaliser un rsync d'un dossier local vers un dossier distant via SSH }} <br> <syntaxhighlight lang=bash> #!/bin/bash #Auteur : Diou... »</p>
<hr />
<div>{{ Introduction | Ce script permet de réaliser un rsync d'un dossier local vers un dossier distant via SSH }}<br />
<br><br />
<syntaxhighlight lang=bash><br />
#!/bin/bash<br />
<br />
#Auteur : DiouxX<br />
#Date : 28/07/2016<br />
<br />
#Description<br />
#-----------<br />
#Script permettant de réaliser un rsync des fichiers de la graphiste<br />
<br />
#Historique modification<br />
#<br />
<br />
#Couleur affichage<br />
VERT="\\033[1;32m"<br />
NORMAL="\\033[0;39m"<br />
ROUGE="\\033[1;31m"<br />
ROSE="\\033[1;35m"<br />
BLEU="\\033[1;34m"<br />
BLANC="\\033[0;02m"<br />
BLANCLAIR="\\033[1;08m"<br />
JAUNE="\\033[1;33m"<br />
CYAN="\\033[1;36m"<br />
<br />
#Variables globales<br />
#Hote de stcokage<br />
HOST_DESTINATION=192.168.1.39<br />
HOST_ALIVE=0<br />
<br />
#Dossier source local a sauvegarder<br />
SOURCE_FOLDER_PRODUCTION=/mnt/backup-production/<br />
#Emplacement du dossier distant<br />
DESTINATION_FOLDER_PRODUCTION=root@$HOST_DESTINATION:/srv/share/pass/stockage/informatique/test-backup-cmonnoye/<br />
<br />
<br />
#Fichiers LOGS<br />
DATE=`date +"%Y"-"%m"-"%d"`<br />
LOG_FILE_PRODUCTION=/tmp/rsync-graphiste-production-$DATE.log<br />
#Emplacement du fichier de log distant<br />
LOG_FILE_PRODUCTION_REMOTE=/var/log/rsync-graphiste/rsync-graphiste-production-$DATE.log<br />
REMOTE_LOG=root@$HOST_DESTINATION<br />
<br />
#On redirige toutes les sorties du script dans le fichier de LOG<br />
exec 1>&2 >> $LOG_FILE_PRODUCTION<br />
<br />
#Fonction d'horodatage pour les log<br />
#$1 = Texte a afficher apres m'horodatage<br />
function horodate(){<br />
horodate=`date +"\n%d"/"%m"/"%Y"-"%H":"%M":"%S -- "`<br />
echo -e "$horodate$1"<br />
}<br />
<br />
#Fonction testant le ping d'un hôte<br />
#$1 = Adresse IP/Nom DNS a tester<br />
function check_host_alive(){<br />
echo -e "Check Host Alive $1"<br />
ping $1 -c5 -q > /dev/null 2>&1<br />
if [ $? != 1 ]<br />
then<br />
echo -e "PING \t$VERT[OK]$NORMAL"<br />
else<br />
echo -e "PING \t$ROUGE[KO]$NORMAL"<br />
HOST_ALIVE=1<br />
fi<br />
}<br />
<br />
#Debut du script<br />
horodate "Start RSYNC"<br />
<br />
#Test si le serveur de stockage est joignable<br />
#Indirectement, ca verifie si la machine a du reseaux<br />
check_host_alive $HOST_DESTINATION<br />
<br />
if [ $HOST_ALIVE != 1 ]<br />
then<br />
echo -e "$VERT\tOn fait le rsync$NORMAL"<br />
<br />
/usr/bin/rsync -e ssh -avz --delete-after $SOURCE_FOLDER_PRODUCTION $DESTINATION_FOLDER_PRODUCTION >> $LOG_FILE_PRODUCTION<br />
<br />
#Fin du script<br />
horodate "END RSYNC"<br />
<br />
#Ecriture fichier log distant<br />
cat $LOG_FILE_PRODUCTION | ssh $REMOTE_LOG "cat >> $LOG_FILE_PRODUCTION_REMOTE"<br />
#Suppression fichier log local<br />
rm $LOG_FILE_PRODUCTION<br />
<br />
else<br />
echo -e "$ROUGE\tPas de réseaux => Pas de RSYNC$NORMAL"<br />
#Fin du script<br />
horodate "END RSYNC"<br />
<br />
fi<br />
</syntaxhighlight><br />
[[Catégorie:Scripts System]]</div>Ddevleeschauwerhttp://wiki.diouxx.be/index.php?title=Mount-partage&diff=249Mount-partage2016-07-28T15:56:52Z<p>Ddevleeschauwer : </p>
<hr />
<div>{{ Introduction | Ce script permet de monter des partages réseaux en vérifiant d'abord si l'hôte distant est démarré }}<br />
<br />
<syntaxhighlight lang="bash"><br />
#!/bin/bash<br />
<br />
#Auteur : DiouxX<br />
#Date : 13/08/2015<br />
<br />
#Description<br />
#-----------<br />
#Script lancé au demarrage du serveur pour e?monter les différenets parages<br />
#N'est pas mis dans /etc/fstab pour ne pas empêcher le serveur de demarrer si<br />
#les bornes ne sont pas allumées<br />
<br />
#Historique modification<br />
# 15/09/2015 : Ajout de variables pour les dossier a monter<br />
<br />
#Couleur affichage<br />
VERT="\\033[1;32m" <br />
NORMAL="\\033[0;39m" <br />
ROUGE="\\033[1;31m" <br />
ROSE="\\033[1;35m" <br />
BLEU="\\033[1;34m" <br />
BLANC="\\033[0;02m" <br />
BLANCLAIR="\\033[1;08m" <br />
JAUNE="\\033[1;33m" <br />
CYAN="\\033[1;36m"<br />
<br />
#Variables globales<br />
COUPLE0_IP=192.168.7.34<br />
COUPLE0_MOUNT_DISTANT="/var/tmp/k8055_c1"<br />
COUPLE0_MOUNT_LOCAL="/var/tmp/laver-eau/k8055_c1"<br />
<br />
COUPLE1_IP=192.168.7.35<br />
COUPLE1_MOUNT_DISTANT="/var/tmp/k8055_c1"<br />
COUPLE1_MOUNT_LOCAL="/var/tmp/conso-eau/k8055_c2"<br />
<br />
HOST_ALIVE=0<br />
<br />
#Fonction testant le ping d'un hôte<br />
#$1 = Adresse IP/Nom DNS a tester<br />
<br />
function check_host_alive(){<br />
echo -e "Check Host Alive $1"<br />
ping $1 -c5 -q > /dev/null 2>&1<br />
if [ $? != 1 ]<br />
then<br />
echo -e "PING \t$VERT[OK]$NORMAL"<br />
else<br />
echo -e "PING \t$ROUGE[KO]$NORMAL"<br />
HOST_ALIVE=1<br />
fi<br />
}<br />
<br />
#Fonction pour monter les partages<br />
#Elle appelle la fonction check_host_alive avant de faire le montage<br />
#$1 = Adresse IP/Nom DNS a tester<br />
#$2 = Premier parametre pour la commande mount<br />
#$3 = Second parametre pour la commande mount<br />
<br />
function mount_shared_folder {<br />
check_host_alive $1<br />
if [ $HOST_ALIVE != 1 ]<br />
then<br />
echo -e "$VERT\tOn fait le montage mount $2 $3 $NORMAL"<br />
mount $2 $3<br />
else<br />
echo -e "$ROUGE\tOn ne fait pas le montage mount $2 $3 $NORMAL"<br />
fi<br />
}<br />
<br />
mount_shared_folder $COUPLE0_IP $COUPLE0_IP:$COUPLE0_MOUNT_DISTANT $COUPLE0_MOUNT_LOCAL<br />
mount_shared_folder $COUPLE1_IP $COUPLE1_IP:$COUPLE1_MOUNT_DISTANT $COUPLE1_MOUNT_LOCAL<br />
</syntaxhighlight><br />
[[Catégorie:Scripts System]]</div>Ddevleeschauwerhttp://wiki.diouxx.be/index.php?title=Openldap_ajouter_attribut&diff=248Openldap ajouter attribut2016-06-15T09:27:47Z<p>Ddevleeschauwer : </p>
<hr />
<div>{{ Introduction | Ce script permet de modifier une liste d'utilisateur LDAP }} <br />
<br><br />
{{ Note | Dans ce cas-ci, nous ajoutons un attribut "quotaCloud" aux users }}<br />
<br><br />
<br />
<syntaxhighlight lang=bash><br />
#!/bin/bash<br />
#Script pour modifier une liste d'utilisateur compris dans un fichier texte<br />
<br />
#Construction du fichier contenant la liste des users avec seulement leur dn<br />
#vers le fichier listUsersDn.txt<br />
ldapsearch -LLL -xvD "cn=admin,dc=be" -w PASSWORD -b "ou=Users,dc=domain,dc=be" -H ldap://ldap.domain.be "(objectClass=VotreObkectClassPourTrier)" uid=* uid | grep dn > /tmp/listUsersDn.txt<br />
<br />
<br />
#Lecture ligne par ligne du fichier listUsersDn.txt & rajout des arguments necessaire<br />
#Fichier termine : modifyFinal.txt<br />
while read line<br />
do<br />
echo -e "$line\nchangetype: modify\nadd: quotaCloud\nquotaCloud: 5368709121\n" >> /tmp/modifyFinal.txt<br />
done < /tmp/listUsersDn.txt<br />
<br />
echo -e "Construction fichier modifyFinal\t[OK]"<br />
<br />
rm -vf /tmp/listUsersDn.txt<br />
<br />
#Modification des entrees dans le serveur<br />
#ldapmodify -xvD "cn=admin,dc=be" -w PASSWORD -H ldap://ldap.domain.be -f /tmp/modifyFinal.txt<br />
<br />
</syntaxhighlight><br />
<br />
[[Catégorie:Scripts System]]</div>Ddevleeschauwerhttp://wiki.diouxx.be/index.php?title=Openldap_ajouter_attribut&diff=247Openldap ajouter attribut2016-06-15T09:24:22Z<p>Ddevleeschauwer : Page créée avec « {{ Introduction | Ce script permet de modifier une liste d'utilisateur LDAP }} <br> {{ Note | Dans ce cas-ci, nous ajoutons un attribut "quotaCloud" aux users }} <br> <s... »</p>
<hr />
<div>{{ Introduction | Ce script permet de modifier une liste d'utilisateur LDAP }} <br />
<br><br />
{{ Note | Dans ce cas-ci, nous ajoutons un attribut "quotaCloud" aux users }}<br />
<br><br />
<br />
<syntaxhighlight lang=bash><br />
#!/bin/bash<br />
#Script pour modifier une liste d'utilisateur compris dans un fichier texte<br />
<br />
#Construction du fichier contenant la liste des users avec seulement leur dn<br />
#vers le fichier listUsersDn.txt<br />
ldapsearch -LLL -xvD "cn=admin,dc=be" -w multi/2004 -b "ou=Users,dc=admin,dc=pass,dc=be" -H ldap://192.168.100.34 "(objectClass=PASS)" uid=* uid | grep dn > /tmp/listUsersDn.txt<br />
<br />
<br />
#Lecture ligne par ligne du fichier listUsersDn.txt & rajout des arguments necessaire<br />
#Fichier termine : modifyFinal.txt<br />
while read line<br />
do<br />
echo -e "$line\nchangetype: modify\nadd: quotaCloud\nquotaCloud: 5368709121\n" >> /tmp/modifyFinal.txt<br />
done < /tmp/listUsersDn.txt<br />
<br />
echo -e "Construction fichier modifyFinal\t[OK]"<br />
<br />
rm -vf /tmp/listUsersDn.txt<br />
<br />
#Modification des entrees dans le serveur<br />
#ldapmodify -xvD "cn=admin,dc=be" -w multi/2004 -H ldap://192.168.100.34 -f /tmp/modifyFinal.txt<br />
<br />
</syntaxhighlight><br />
<br />
[[Catégorie:Scripts System]]</div>Ddevleeschauwerhttp://wiki.diouxx.be/index.php?title=Scripts_PowerCLI&diff=246Scripts PowerCLI2016-05-24T10:23:34Z<p>Ddevleeschauwer : /* Rapport violation */</p>
<hr />
<div>{{ Introduction | Cette page regroupe un ensemble de scripts PowerCLI/Powershell }}<br />
<br />
==VM==<br />
<br />
=== Listing VM et taille ===<br />
<br />
* Script pour lister les VMs et leur taille de disque dur<br />
<syntaxhighlight lang=powershell><br />
Param (<br />
[Alias("Host")]<br />
[string]$VIServer = "",<br />
[string]$User = "",<br />
[string]$Password="",<br />
[string]$PathToReport,<br />
[string]$CredentialFile="credential-vsphere.xml",<br />
<br />
[string]$To = "mail@domain.be",<br />
[string]$From = "report-vmware@domain.be",<br />
[string]$SMTPServer = "mail.domain.be"<br />
)<br />
<br />
#Récupération du fichier avec les identifiants<br />
$PathCredentialFile = Split-Path $Script:MyInvocation.MyCommand.Path -Parent<br />
$PathCredentialFile += "\" + $CredentialFile<br />
$PathCredentialFile<br />
<br />
$credential = Get-VICredentialStoreItem -File $PathCredentialFile<br />
<br />
#Conexion au serveur<br />
$connexion = Connect-VIServer -Server $credential.Host -User $credential.User -Password $credential.Password -WarningAction SilentlyContinue<br />
<br />
$date = Get-Date -Format yyyy.MM.dd<br />
$file = "C:\Rapport-VMware\"+$date+"-report-vm-size.csv"<br />
<br />
#Recupération de toutes les VM<br />
$listVm = Get-VM "*test*"<br />
$report=@()<br />
<br />
foreach ($vm in $listVm)<br />
{<br />
$report += $vm | Select-Object Name,@{n="Provisionedspace(GB)"; E={[math]::round($_.ProvisionedSpaceGB)}}<br />
}<br />
<br />
$report<br />
$report | Export-Csv -Path $file<br />
<br />
Disconnect-VIServer $connexion -Force -Confirm:$false<br />
</syntaxhighlight><br />
<br />
==Snapshot==<br />
<br />
=== Liste VM et leurs snapshots ===<br />
<br />
* Script pour lister les VMs ayant un snapshot<br />
<br />
<syntaxhighlight lang=powershell><br />
#Server VSphere<br />
$server = "adresse-VCenter"<br />
<br />
#Connexion au vsphere<br />
$connexion = Connect-VIServer -Server $server -WarningAction SilentlyContinue<br />
<br />
#Liste des VM avec le nom du snapshot et la description<br />
Get-VM | Get-Snapshot | Select VM,Name,Description<br />
<br />
pause<br />
<br />
Disconnect-VIServer -Server $connexion -Force -Confirm:$false<br />
</syntaxhighlight><br />
<br />
<br />
* Script pour réaliser un rapport des snapshot et l'envoyer par mai<br />
<syntaxhighlight lang=powershell><br />
Param (<br />
[Alias("Host")]<br />
[string]$VIServer = "",<br />
[string]$User = "",<br />
[string]$Password="",<br />
[string]$PathToReport,<br />
[string]$CredentialFile="credential-vsphere.xml",<br />
<br />
[string]$To = "nagios@pass.be",<br />
[string]$From = "report-vmware@pass.be",<br />
[string]$SMTPServer = "mail.pass.be"<br />
)<br />
<br />
$Header = @"<br />
<style><br />
TABLE {border-width: 1px;border-style: solid;border-color: black;border-collapse: collapse;}<br />
TR:Hover TD {Background-Color: #C1D5F8;}<br />
TH {border-width: 1px;padding: 3px;border-style: solid;border-color: black;background-color: #6495ED;}<br />
TD {border-width: 1px;padding: 3px;border-style: solid;border-color: black;}<br />
.odd { background-color:#ffffff; }<br />
.even { background-color:#dddddd; }<br />
</style><br />
<title><br />
Snapshot Report - $VIServer<br />
</title><br />
"@<br />
<br />
Function Set-AlternatingRows {<br />
[CmdletBinding()]<br />
Param(<br />
[Parameter(Mandatory=$True,ValueFromPipeline=$True)]<br />
[object[]]$HTMLDocument,<br />
<br />
[Parameter(Mandatory=$True)]<br />
[string]$CSSEvenClass,<br />
<br />
[Parameter(Mandatory=$True)]<br />
[string]$CSSOddClass<br />
)<br />
Begin {<br />
$ClassName = $CSSEvenClass<br />
}<br />
Process {<br />
[string]$Line = $HTMLDocument<br />
$Line = $Line.Replace("<tr>","<tr class=""$ClassName"">")<br />
If ($ClassName -eq $CSSEvenClass)<br />
{ $ClassName = $CSSOddClass<br />
}<br />
Else<br />
{ $ClassName = $CSSEvenClass<br />
}<br />
$Line = $Line.Replace("<table>","<table width=""50%"">")<br />
Return $Line<br />
}<br />
}<br />
<br />
#Desactiver la securité <br />
#Set-ExecutionPolicy RemoteSigned<br />
<br />
#Chargement du module Vmware<br />
If (-not (Get-PSSnapin VMware.VimAutomation.Core -ErrorAction SilentlyContinue))<br />
{ Try { Add-PSSnapin VMware.VimAutomation.Core -ErrorAction Stop }<br />
Catch { Throw "Problem loading VMware.VimAutomation.Core snapin because ""$($Error[1])""" }<br />
}<br />
<br />
#Récupération du fichier avec les identifiants<br />
$PathCredentialFile = Split-Path $Script:MyInvocation.MyCommand.Path -Parent<br />
$PathCredentialFile += "\" + $CredentialFile<br />
$PathCredentialFile <br />
<br />
$credential = Get-VICredentialStoreItem -File $PathCredentialFile<br />
<br />
#Affectation de la variable VIServer<br />
$VIServer = $credential.Host<br />
<br />
#Connexion au vsphere<br />
$connection = Connect-VIServer -Server $credential.Host -User $credential.User -Password $credential.Password -WarningAction SilentlyContinue<br />
<br />
$Report = Get-VM | Get-Snapshot | Select VM,Name,Description,@{Label="Size";Expression={"{0:N2} GB" -f ($_.SizeGB)}},Created<br />
If (-not $Report)<br />
{ $Report = New-Object PSObject -Property @{<br />
VM = "No snapshots found on any VM's controlled by $VIServer"<br />
Name = ""<br />
Description = ""<br />
Size = ""<br />
Created = ""<br />
}<br />
}<br />
<br />
<br />
<br />
$Report = $Report | Select VM,Name,Description,Size,Created | ConvertTo-Html -Head $Header -PreContent "<p><h2>Snapshot Report - $VIServer</h2></p><br>" | Set-AlternatingRows -CSSEvenClass even -CSSOddClass odd<br />
<br />
#Si on veut enregistrer le rapport à un endroit<br />
#$Report | Out-File $PathToReport\SnapShotReport.html<br />
<br />
#Fonction d'envoi de mail<br />
$MailSplat = @{<br />
To = $To<br />
From = $From<br />
Subject = "$VIServer Snapshot Report"<br />
Body = ($Report | Out-String)<br />
BodyAsHTML = $true<br />
SMTPServer = $SMTPServer<br />
}<br />
<br />
Send-MailMessage @MailSplat<br />
<br />
#Deconnexion du VIServer sans prompt<br />
Disconnect-VIServer -Server $connection -Force -Confirm:$false<br />
</syntaxhighlight><br />
<br />
== Datastore==<br />
<br />
=== Liste des VM par datastore ===<br />
<br />
<syntaxhighlight lang=powershell><br />
Param (<br />
[Alias("Host")]<br />
[string]$VIServer = "",<br />
[string]$User = "",<br />
[string]$Password="",<br />
[string]$PathToReport,<br />
[string]$CredentialFile="credential-vsphere.xml",<br />
<br />
[string]$To = "",<br />
[string]$From = "",<br />
[string]$SMTPServer = "",<br />
<br />
[boolean]$ExportCsv = $false,<br />
[string]$DirecteoryCsv = ""<br />
<br />
)<br />
<br />
#Variables static<br />
$date = Get-Date -Format yyyy.MM.dd<br />
$fileNameCSV = ""+$date+"-report-datastore-vm.csv"<br />
#Tableau récupérant le contenu a exporter<br />
$content=@()<br />
<br />
#Récupération du fichier avec les identifiants<br />
$PathCredentialFile = Split-Path $Script:MyInvocation.MyCommand.Path -Parent<br />
$PathCredentialFile += "\" + $CredentialFile<br />
#Affichage de debug pour le fichier credential<br />
#$PathCredentialFile<br />
<br />
#Création de l'objet avec les informations de connexion<br />
$credential = Get-VICredentialStoreItem -File $PathCredentialFile<br />
<br />
#Conexion au serveur<br />
$connexion = Connect-VIServer -Server $credential.Host -User $credential.User -Password $credential.Password -WarningAction SilentlyContinue<br />
<br />
#Récupération des datastore et des VMs associées.<br />
Get-Datacenter | Get-Datastore | Foreach-Object {<br />
$datastore= $_.Name<br />
$content += $_ | Get-VM | Select-Object @{n='DataStore';e={$datastore}},Name<br />
}<br />
<br />
if($ExportCsv)<br />
{<br />
write-Host "Export en CSV"<br />
<br />
#Ficher CSV de sortie<br />
if ( $DirecteoryCsv -eq "" )<br />
{<br />
$FileCsv = ".\"+$fileNameCSV<br />
}<br />
else<br />
{<br />
$FileCsv = $DirecteoryCsv+"\"+$fileNameCSV<br />
}<br />
<br />
#Export du contenu en CSV<br />
$content | Export-Csv -Path $FileCsv -NoTypeInformation<br />
}<br />
<br />
$content<br />
<br />
Disconnect-VIServer -Server $connexion -Force -Confirm:$false<br />
</syntaxhighlight><br />
<br />
== Replication ==<br />
=== Rapport réplication complet ===<br />
<syntaxhighlight lang=powershell><br />
Param (<br />
[Alias("Host")]<br />
[string]$VIServer = "",<br />
[string]$User = "",<br />
[string]$Password="",<br />
[string]$PathToReport,<br />
[string]$CredentialFile="credential-vsphere.xml",<br />
<br />
[string]$To = "",<br />
[string]$From = "",<br />
[string]$SMTPServer = ""<br />
)<br />
<br />
#Récupération du fichier avec les identifiants<br />
#$credential = Get-VICredentialStoreItem -File $CredentialFile<br />
#Récupération du fichier avec les identifiants<br />
$PathCredentialFile = Split-Path $Script:MyInvocation.MyCommand.Path -Parent<br />
$PathCredentialFile += "\" + $CredentialFile<br />
$PathCredentialFile <br />
<br />
$credential = Get-VICredentialStoreItem -File $PathCredentialFile<br />
<br />
#Affectation de la variable VIServer<br />
$VIServer = $credential.Host<br />
<br />
#Connexion au vsphere<br />
$connection = Connect-VIServer -Server $credential.Host -User $credential.User -Password $credential.Password -WarningAction SilentlyContinue<br />
<br />
#Récupérer tous les events lié à la réplication<br />
Get-VIEvent -MaxSamples ([int]::MaxValue) | Where { $_.EventTypeId -match "hbr|rpo" } | Select CreatedTime, FullFormattedMessage, @{Name="VMName";Expression={$_.Vm.Name}} | export-csv -NoTypeInformation -Path ([Environment]::GetFolderPath("Desktop") + "\HBR-RPOEvents.csv")<br />
<br />
#Deconnexion du VIServer sans prompt<br />
Disconnect-VIServer -Server $connection -Force -Confirm:$false<br />
</syntaxhighlight><br />
<br />
=== Rapport violation ===<br />
<syntaxhighlight lang=powershell><br />
Param (<br />
[Alias("Host")]<br />
[string]$VIServer = "",<br />
[string]$User = "",<br />
[string]$Password="",<br />
[string]$PathToReport,<br />
[string]$CredentialFile="credential-vsphere.xml",<br />
<br />
[string]$To = "",<br />
[string]$From = "",<br />
[string]$SMTPServer = ""<br />
)<br />
<br />
#Récupération du fichier avec les identifiants<br />
#$credential = Get-VICredentialStoreItem -File $CredentialFile<br />
#Récupération du fichier avec les identifiants<br />
$PathCredentialFile = Split-Path $Script:MyInvocation.MyCommand.Path -Parent<br />
$PathCredentialFile += "\" + $CredentialFile<br />
$PathCredentialFile <br />
<br />
$credential = Get-VICredentialStoreItem -File $PathCredentialFile<br />
<br />
#Affectation de la variable VIServer<br />
$VIServer = $credential.Host<br />
<br />
#Connexion au vsphere<br />
$connection = Connect-VIServer -Server $credential.Host -User $credential.User -Password $credential.Password -WarningAction SilentlyContinue<br />
<br />
Write-Host "[$(Get-Date)] Retrieving VMs"<br />
$VMs = Get-VM<br />
<br />
$Results = @()<br />
Foreach ($VM in $VMs) {<br />
Write-Host "[$(Get-Date)] Retrieving events for $($VM.name)"<br />
$Events = Get-VIEvent -MaxSamples ([int]::MaxValue) -Entity $VM<br />
Write-Host "[$(Get-Date)] Filtering RPO events for $($VM.name)"<br />
$RPOEvents = $Events | where { $_.EventTypeID -match "rpo" } | Where { $_.Vm.Name -eq $VM.Name } | Select EventTypeId, CreatedTime, FullFormattedMessage, @{Name="VMName";Expression={$_.Vm.Name}} | Sort CreatedTime<br />
if ($RPOEvents) {<br />
$Count = 0<br />
Write-Host "[$(Get-Date)] Finding replication results for $($VM.Name)"<br />
do {<br />
$details = "" | Select VMName, ViolationStart, ViolationEnd, Mins<br />
if ($RPOEvents[$count].EventTypeID -match "Violated") {<br />
If (-not $details.Start) {<br />
$Details.VMName = $RPOEvents[$Count].VMName<br />
$Details.ViolationStart = $RPOEvents[$Count].CreatedTime<br />
Do {<br />
$Count++<br />
} until (($RPOEvents[$Count].EventTypeID -match "Restored") -or ($Count -gt $RPOEvents.Count))<br />
if ($RPOEvents[$count].EventTypeID -match "Restored") {<br />
$details.ViolationEnd = $RPOEvents[$Count].CreatedTime<br />
$Time = $details.ViolationEnd - $details.ViolationStart<br />
$details.Mins = "{0:N2}" -f $Time.TotalMinutes<br />
} Else {<br />
$details.ViolationEnd = "No End Date"<br />
$details.Mins = "N/A"<br />
}<br />
}<br />
}<br />
$Results += $details<br />
$Count++<br />
} until ($count -gt $RPOEvents.Count)<br />
}<br />
}<br />
$Results | export-csv -NoTypeInformation -Path ([Environment]::GetFolderPath("Desktop") + "\ViolationReport.csv")<br />
<br />
#Deconnexion du VIServer sans prompt<br />
Disconnect-VIServer -Server $connection -Force -Confirm:$false<br />
</syntaxhighlight><br />
<br />
[[Catégorie:PowerCLI]]</div>Ddevleeschauwerhttp://wiki.diouxx.be/index.php?title=Scripts_PowerCLI&diff=245Scripts PowerCLI2016-05-24T10:23:18Z<p>Ddevleeschauwer : /* Rapport réplication complet */</p>
<hr />
<div>{{ Introduction | Cette page regroupe un ensemble de scripts PowerCLI/Powershell }}<br />
<br />
==VM==<br />
<br />
=== Listing VM et taille ===<br />
<br />
* Script pour lister les VMs et leur taille de disque dur<br />
<syntaxhighlight lang=powershell><br />
Param (<br />
[Alias("Host")]<br />
[string]$VIServer = "",<br />
[string]$User = "",<br />
[string]$Password="",<br />
[string]$PathToReport,<br />
[string]$CredentialFile="credential-vsphere.xml",<br />
<br />
[string]$To = "mail@domain.be",<br />
[string]$From = "report-vmware@domain.be",<br />
[string]$SMTPServer = "mail.domain.be"<br />
)<br />
<br />
#Récupération du fichier avec les identifiants<br />
$PathCredentialFile = Split-Path $Script:MyInvocation.MyCommand.Path -Parent<br />
$PathCredentialFile += "\" + $CredentialFile<br />
$PathCredentialFile<br />
<br />
$credential = Get-VICredentialStoreItem -File $PathCredentialFile<br />
<br />
#Conexion au serveur<br />
$connexion = Connect-VIServer -Server $credential.Host -User $credential.User -Password $credential.Password -WarningAction SilentlyContinue<br />
<br />
$date = Get-Date -Format yyyy.MM.dd<br />
$file = "C:\Rapport-VMware\"+$date+"-report-vm-size.csv"<br />
<br />
#Recupération de toutes les VM<br />
$listVm = Get-VM "*test*"<br />
$report=@()<br />
<br />
foreach ($vm in $listVm)<br />
{<br />
$report += $vm | Select-Object Name,@{n="Provisionedspace(GB)"; E={[math]::round($_.ProvisionedSpaceGB)}}<br />
}<br />
<br />
$report<br />
$report | Export-Csv -Path $file<br />
<br />
Disconnect-VIServer $connexion -Force -Confirm:$false<br />
</syntaxhighlight><br />
<br />
==Snapshot==<br />
<br />
=== Liste VM et leurs snapshots ===<br />
<br />
* Script pour lister les VMs ayant un snapshot<br />
<br />
<syntaxhighlight lang=powershell><br />
#Server VSphere<br />
$server = "adresse-VCenter"<br />
<br />
#Connexion au vsphere<br />
$connexion = Connect-VIServer -Server $server -WarningAction SilentlyContinue<br />
<br />
#Liste des VM avec le nom du snapshot et la description<br />
Get-VM | Get-Snapshot | Select VM,Name,Description<br />
<br />
pause<br />
<br />
Disconnect-VIServer -Server $connexion -Force -Confirm:$false<br />
</syntaxhighlight><br />
<br />
<br />
* Script pour réaliser un rapport des snapshot et l'envoyer par mai<br />
<syntaxhighlight lang=powershell><br />
Param (<br />
[Alias("Host")]<br />
[string]$VIServer = "",<br />
[string]$User = "",<br />
[string]$Password="",<br />
[string]$PathToReport,<br />
[string]$CredentialFile="credential-vsphere.xml",<br />
<br />
[string]$To = "nagios@pass.be",<br />
[string]$From = "report-vmware@pass.be",<br />
[string]$SMTPServer = "mail.pass.be"<br />
)<br />
<br />
$Header = @"<br />
<style><br />
TABLE {border-width: 1px;border-style: solid;border-color: black;border-collapse: collapse;}<br />
TR:Hover TD {Background-Color: #C1D5F8;}<br />
TH {border-width: 1px;padding: 3px;border-style: solid;border-color: black;background-color: #6495ED;}<br />
TD {border-width: 1px;padding: 3px;border-style: solid;border-color: black;}<br />
.odd { background-color:#ffffff; }<br />
.even { background-color:#dddddd; }<br />
</style><br />
<title><br />
Snapshot Report - $VIServer<br />
</title><br />
"@<br />
<br />
Function Set-AlternatingRows {<br />
[CmdletBinding()]<br />
Param(<br />
[Parameter(Mandatory=$True,ValueFromPipeline=$True)]<br />
[object[]]$HTMLDocument,<br />
<br />
[Parameter(Mandatory=$True)]<br />
[string]$CSSEvenClass,<br />
<br />
[Parameter(Mandatory=$True)]<br />
[string]$CSSOddClass<br />
)<br />
Begin {<br />
$ClassName = $CSSEvenClass<br />
}<br />
Process {<br />
[string]$Line = $HTMLDocument<br />
$Line = $Line.Replace("<tr>","<tr class=""$ClassName"">")<br />
If ($ClassName -eq $CSSEvenClass)<br />
{ $ClassName = $CSSOddClass<br />
}<br />
Else<br />
{ $ClassName = $CSSEvenClass<br />
}<br />
$Line = $Line.Replace("<table>","<table width=""50%"">")<br />
Return $Line<br />
}<br />
}<br />
<br />
#Desactiver la securité <br />
#Set-ExecutionPolicy RemoteSigned<br />
<br />
#Chargement du module Vmware<br />
If (-not (Get-PSSnapin VMware.VimAutomation.Core -ErrorAction SilentlyContinue))<br />
{ Try { Add-PSSnapin VMware.VimAutomation.Core -ErrorAction Stop }<br />
Catch { Throw "Problem loading VMware.VimAutomation.Core snapin because ""$($Error[1])""" }<br />
}<br />
<br />
#Récupération du fichier avec les identifiants<br />
$PathCredentialFile = Split-Path $Script:MyInvocation.MyCommand.Path -Parent<br />
$PathCredentialFile += "\" + $CredentialFile<br />
$PathCredentialFile <br />
<br />
$credential = Get-VICredentialStoreItem -File $PathCredentialFile<br />
<br />
#Affectation de la variable VIServer<br />
$VIServer = $credential.Host<br />
<br />
#Connexion au vsphere<br />
$connection = Connect-VIServer -Server $credential.Host -User $credential.User -Password $credential.Password -WarningAction SilentlyContinue<br />
<br />
$Report = Get-VM | Get-Snapshot | Select VM,Name,Description,@{Label="Size";Expression={"{0:N2} GB" -f ($_.SizeGB)}},Created<br />
If (-not $Report)<br />
{ $Report = New-Object PSObject -Property @{<br />
VM = "No snapshots found on any VM's controlled by $VIServer"<br />
Name = ""<br />
Description = ""<br />
Size = ""<br />
Created = ""<br />
}<br />
}<br />
<br />
<br />
<br />
$Report = $Report | Select VM,Name,Description,Size,Created | ConvertTo-Html -Head $Header -PreContent "<p><h2>Snapshot Report - $VIServer</h2></p><br>" | Set-AlternatingRows -CSSEvenClass even -CSSOddClass odd<br />
<br />
#Si on veut enregistrer le rapport à un endroit<br />
#$Report | Out-File $PathToReport\SnapShotReport.html<br />
<br />
#Fonction d'envoi de mail<br />
$MailSplat = @{<br />
To = $To<br />
From = $From<br />
Subject = "$VIServer Snapshot Report"<br />
Body = ($Report | Out-String)<br />
BodyAsHTML = $true<br />
SMTPServer = $SMTPServer<br />
}<br />
<br />
Send-MailMessage @MailSplat<br />
<br />
#Deconnexion du VIServer sans prompt<br />
Disconnect-VIServer -Server $connection -Force -Confirm:$false<br />
</syntaxhighlight><br />
<br />
== Datastore==<br />
<br />
=== Liste des VM par datastore ===<br />
<br />
<syntaxhighlight lang=powershell><br />
Param (<br />
[Alias("Host")]<br />
[string]$VIServer = "",<br />
[string]$User = "",<br />
[string]$Password="",<br />
[string]$PathToReport,<br />
[string]$CredentialFile="credential-vsphere.xml",<br />
<br />
[string]$To = "",<br />
[string]$From = "",<br />
[string]$SMTPServer = "",<br />
<br />
[boolean]$ExportCsv = $false,<br />
[string]$DirecteoryCsv = ""<br />
<br />
)<br />
<br />
#Variables static<br />
$date = Get-Date -Format yyyy.MM.dd<br />
$fileNameCSV = ""+$date+"-report-datastore-vm.csv"<br />
#Tableau récupérant le contenu a exporter<br />
$content=@()<br />
<br />
#Récupération du fichier avec les identifiants<br />
$PathCredentialFile = Split-Path $Script:MyInvocation.MyCommand.Path -Parent<br />
$PathCredentialFile += "\" + $CredentialFile<br />
#Affichage de debug pour le fichier credential<br />
#$PathCredentialFile<br />
<br />
#Création de l'objet avec les informations de connexion<br />
$credential = Get-VICredentialStoreItem -File $PathCredentialFile<br />
<br />
#Conexion au serveur<br />
$connexion = Connect-VIServer -Server $credential.Host -User $credential.User -Password $credential.Password -WarningAction SilentlyContinue<br />
<br />
#Récupération des datastore et des VMs associées.<br />
Get-Datacenter | Get-Datastore | Foreach-Object {<br />
$datastore= $_.Name<br />
$content += $_ | Get-VM | Select-Object @{n='DataStore';e={$datastore}},Name<br />
}<br />
<br />
if($ExportCsv)<br />
{<br />
write-Host "Export en CSV"<br />
<br />
#Ficher CSV de sortie<br />
if ( $DirecteoryCsv -eq "" )<br />
{<br />
$FileCsv = ".\"+$fileNameCSV<br />
}<br />
else<br />
{<br />
$FileCsv = $DirecteoryCsv+"\"+$fileNameCSV<br />
}<br />
<br />
#Export du contenu en CSV<br />
$content | Export-Csv -Path $FileCsv -NoTypeInformation<br />
}<br />
<br />
$content<br />
<br />
Disconnect-VIServer -Server $connexion -Force -Confirm:$false<br />
</syntaxhighlight><br />
<br />
== Replication ==<br />
=== Rapport réplication complet ===<br />
<syntaxhighlight lang=powershell><br />
Param (<br />
[Alias("Host")]<br />
[string]$VIServer = "",<br />
[string]$User = "",<br />
[string]$Password="",<br />
[string]$PathToReport,<br />
[string]$CredentialFile="credential-vsphere.xml",<br />
<br />
[string]$To = "",<br />
[string]$From = "",<br />
[string]$SMTPServer = ""<br />
)<br />
<br />
#Récupération du fichier avec les identifiants<br />
#$credential = Get-VICredentialStoreItem -File $CredentialFile<br />
#Récupération du fichier avec les identifiants<br />
$PathCredentialFile = Split-Path $Script:MyInvocation.MyCommand.Path -Parent<br />
$PathCredentialFile += "\" + $CredentialFile<br />
$PathCredentialFile <br />
<br />
$credential = Get-VICredentialStoreItem -File $PathCredentialFile<br />
<br />
#Affectation de la variable VIServer<br />
$VIServer = $credential.Host<br />
<br />
#Connexion au vsphere<br />
$connection = Connect-VIServer -Server $credential.Host -User $credential.User -Password $credential.Password -WarningAction SilentlyContinue<br />
<br />
#Récupérer tous les events lié à la réplication<br />
Get-VIEvent -MaxSamples ([int]::MaxValue) | Where { $_.EventTypeId -match "hbr|rpo" } | Select CreatedTime, FullFormattedMessage, @{Name="VMName";Expression={$_.Vm.Name}} | export-csv -NoTypeInformation -Path ([Environment]::GetFolderPath("Desktop") + "\HBR-RPOEvents.csv")<br />
<br />
#Deconnexion du VIServer sans prompt<br />
Disconnect-VIServer -Server $connection -Force -Confirm:$false<br />
</syntaxhighlight><br />
<br />
=== Rapport violation ===<br />
<syntaxhighlight lang=powershell><br />
Param (<br />
[Alias("Host")]<br />
[string]$VIServer = "",<br />
[string]$User = "",<br />
[string]$Password="",<br />
[string]$PathToReport,<br />
[string]$CredentialFile="credential-vsphere.xml",<br />
<br />
[string]$To = "devleeschauwer@pass.be",<br />
[string]$From = "report-vmware@pass.be",<br />
[string]$SMTPServer = "mail.pass.be"<br />
)<br />
<br />
#Récupération du fichier avec les identifiants<br />
#$credential = Get-VICredentialStoreItem -File $CredentialFile<br />
#Récupération du fichier avec les identifiants<br />
$PathCredentialFile = Split-Path $Script:MyInvocation.MyCommand.Path -Parent<br />
$PathCredentialFile += "\" + $CredentialFile<br />
$PathCredentialFile <br />
<br />
$credential = Get-VICredentialStoreItem -File $PathCredentialFile<br />
<br />
#Affectation de la variable VIServer<br />
$VIServer = $credential.Host<br />
<br />
#Connexion au vsphere<br />
$connection = Connect-VIServer -Server $credential.Host -User $credential.User -Password $credential.Password -WarningAction SilentlyContinue<br />
<br />
Write-Host "[$(Get-Date)] Retrieving VMs"<br />
$VMs = Get-VM<br />
<br />
$Results = @()<br />
Foreach ($VM in $VMs) {<br />
Write-Host "[$(Get-Date)] Retrieving events for $($VM.name)"<br />
$Events = Get-VIEvent -MaxSamples ([int]::MaxValue) -Entity $VM<br />
Write-Host "[$(Get-Date)] Filtering RPO events for $($VM.name)"<br />
$RPOEvents = $Events | where { $_.EventTypeID -match "rpo" } | Where { $_.Vm.Name -eq $VM.Name } | Select EventTypeId, CreatedTime, FullFormattedMessage, @{Name="VMName";Expression={$_.Vm.Name}} | Sort CreatedTime<br />
if ($RPOEvents) {<br />
$Count = 0<br />
Write-Host "[$(Get-Date)] Finding replication results for $($VM.Name)"<br />
do {<br />
$details = "" | Select VMName, ViolationStart, ViolationEnd, Mins<br />
if ($RPOEvents[$count].EventTypeID -match "Violated") {<br />
If (-not $details.Start) {<br />
$Details.VMName = $RPOEvents[$Count].VMName<br />
$Details.ViolationStart = $RPOEvents[$Count].CreatedTime<br />
Do {<br />
$Count++<br />
} until (($RPOEvents[$Count].EventTypeID -match "Restored") -or ($Count -gt $RPOEvents.Count))<br />
if ($RPOEvents[$count].EventTypeID -match "Restored") {<br />
$details.ViolationEnd = $RPOEvents[$Count].CreatedTime<br />
$Time = $details.ViolationEnd - $details.ViolationStart<br />
$details.Mins = "{0:N2}" -f $Time.TotalMinutes<br />
} Else {<br />
$details.ViolationEnd = "No End Date"<br />
$details.Mins = "N/A"<br />
}<br />
}<br />
}<br />
$Results += $details<br />
$Count++<br />
} until ($count -gt $RPOEvents.Count)<br />
}<br />
}<br />
$Results | export-csv -NoTypeInformation -Path ([Environment]::GetFolderPath("Desktop") + "\ViolationReport.csv")<br />
<br />
#Deconnexion du VIServer sans prompt<br />
Disconnect-VIServer -Server $connection -Force -Confirm:$false<br />
</syntaxhighlight><br />
<br />
[[Catégorie:PowerCLI]]</div>Ddevleeschauwerhttp://wiki.diouxx.be/index.php?title=Scripts_PowerCLI&diff=244Scripts PowerCLI2016-05-24T10:22:22Z<p>Ddevleeschauwer : /* Datastore */</p>
<hr />
<div>{{ Introduction | Cette page regroupe un ensemble de scripts PowerCLI/Powershell }}<br />
<br />
==VM==<br />
<br />
=== Listing VM et taille ===<br />
<br />
* Script pour lister les VMs et leur taille de disque dur<br />
<syntaxhighlight lang=powershell><br />
Param (<br />
[Alias("Host")]<br />
[string]$VIServer = "",<br />
[string]$User = "",<br />
[string]$Password="",<br />
[string]$PathToReport,<br />
[string]$CredentialFile="credential-vsphere.xml",<br />
<br />
[string]$To = "mail@domain.be",<br />
[string]$From = "report-vmware@domain.be",<br />
[string]$SMTPServer = "mail.domain.be"<br />
)<br />
<br />
#Récupération du fichier avec les identifiants<br />
$PathCredentialFile = Split-Path $Script:MyInvocation.MyCommand.Path -Parent<br />
$PathCredentialFile += "\" + $CredentialFile<br />
$PathCredentialFile<br />
<br />
$credential = Get-VICredentialStoreItem -File $PathCredentialFile<br />
<br />
#Conexion au serveur<br />
$connexion = Connect-VIServer -Server $credential.Host -User $credential.User -Password $credential.Password -WarningAction SilentlyContinue<br />
<br />
$date = Get-Date -Format yyyy.MM.dd<br />
$file = "C:\Rapport-VMware\"+$date+"-report-vm-size.csv"<br />
<br />
#Recupération de toutes les VM<br />
$listVm = Get-VM "*test*"<br />
$report=@()<br />
<br />
foreach ($vm in $listVm)<br />
{<br />
$report += $vm | Select-Object Name,@{n="Provisionedspace(GB)"; E={[math]::round($_.ProvisionedSpaceGB)}}<br />
}<br />
<br />
$report<br />
$report | Export-Csv -Path $file<br />
<br />
Disconnect-VIServer $connexion -Force -Confirm:$false<br />
</syntaxhighlight><br />
<br />
==Snapshot==<br />
<br />
=== Liste VM et leurs snapshots ===<br />
<br />
* Script pour lister les VMs ayant un snapshot<br />
<br />
<syntaxhighlight lang=powershell><br />
#Server VSphere<br />
$server = "adresse-VCenter"<br />
<br />
#Connexion au vsphere<br />
$connexion = Connect-VIServer -Server $server -WarningAction SilentlyContinue<br />
<br />
#Liste des VM avec le nom du snapshot et la description<br />
Get-VM | Get-Snapshot | Select VM,Name,Description<br />
<br />
pause<br />
<br />
Disconnect-VIServer -Server $connexion -Force -Confirm:$false<br />
</syntaxhighlight><br />
<br />
<br />
* Script pour réaliser un rapport des snapshot et l'envoyer par mai<br />
<syntaxhighlight lang=powershell><br />
Param (<br />
[Alias("Host")]<br />
[string]$VIServer = "",<br />
[string]$User = "",<br />
[string]$Password="",<br />
[string]$PathToReport,<br />
[string]$CredentialFile="credential-vsphere.xml",<br />
<br />
[string]$To = "nagios@pass.be",<br />
[string]$From = "report-vmware@pass.be",<br />
[string]$SMTPServer = "mail.pass.be"<br />
)<br />
<br />
$Header = @"<br />
<style><br />
TABLE {border-width: 1px;border-style: solid;border-color: black;border-collapse: collapse;}<br />
TR:Hover TD {Background-Color: #C1D5F8;}<br />
TH {border-width: 1px;padding: 3px;border-style: solid;border-color: black;background-color: #6495ED;}<br />
TD {border-width: 1px;padding: 3px;border-style: solid;border-color: black;}<br />
.odd { background-color:#ffffff; }<br />
.even { background-color:#dddddd; }<br />
</style><br />
<title><br />
Snapshot Report - $VIServer<br />
</title><br />
"@<br />
<br />
Function Set-AlternatingRows {<br />
[CmdletBinding()]<br />
Param(<br />
[Parameter(Mandatory=$True,ValueFromPipeline=$True)]<br />
[object[]]$HTMLDocument,<br />
<br />
[Parameter(Mandatory=$True)]<br />
[string]$CSSEvenClass,<br />
<br />
[Parameter(Mandatory=$True)]<br />
[string]$CSSOddClass<br />
)<br />
Begin {<br />
$ClassName = $CSSEvenClass<br />
}<br />
Process {<br />
[string]$Line = $HTMLDocument<br />
$Line = $Line.Replace("<tr>","<tr class=""$ClassName"">")<br />
If ($ClassName -eq $CSSEvenClass)<br />
{ $ClassName = $CSSOddClass<br />
}<br />
Else<br />
{ $ClassName = $CSSEvenClass<br />
}<br />
$Line = $Line.Replace("<table>","<table width=""50%"">")<br />
Return $Line<br />
}<br />
}<br />
<br />
#Desactiver la securité <br />
#Set-ExecutionPolicy RemoteSigned<br />
<br />
#Chargement du module Vmware<br />
If (-not (Get-PSSnapin VMware.VimAutomation.Core -ErrorAction SilentlyContinue))<br />
{ Try { Add-PSSnapin VMware.VimAutomation.Core -ErrorAction Stop }<br />
Catch { Throw "Problem loading VMware.VimAutomation.Core snapin because ""$($Error[1])""" }<br />
}<br />
<br />
#Récupération du fichier avec les identifiants<br />
$PathCredentialFile = Split-Path $Script:MyInvocation.MyCommand.Path -Parent<br />
$PathCredentialFile += "\" + $CredentialFile<br />
$PathCredentialFile <br />
<br />
$credential = Get-VICredentialStoreItem -File $PathCredentialFile<br />
<br />
#Affectation de la variable VIServer<br />
$VIServer = $credential.Host<br />
<br />
#Connexion au vsphere<br />
$connection = Connect-VIServer -Server $credential.Host -User $credential.User -Password $credential.Password -WarningAction SilentlyContinue<br />
<br />
$Report = Get-VM | Get-Snapshot | Select VM,Name,Description,@{Label="Size";Expression={"{0:N2} GB" -f ($_.SizeGB)}},Created<br />
If (-not $Report)<br />
{ $Report = New-Object PSObject -Property @{<br />
VM = "No snapshots found on any VM's controlled by $VIServer"<br />
Name = ""<br />
Description = ""<br />
Size = ""<br />
Created = ""<br />
}<br />
}<br />
<br />
<br />
<br />
$Report = $Report | Select VM,Name,Description,Size,Created | ConvertTo-Html -Head $Header -PreContent "<p><h2>Snapshot Report - $VIServer</h2></p><br>" | Set-AlternatingRows -CSSEvenClass even -CSSOddClass odd<br />
<br />
#Si on veut enregistrer le rapport à un endroit<br />
#$Report | Out-File $PathToReport\SnapShotReport.html<br />
<br />
#Fonction d'envoi de mail<br />
$MailSplat = @{<br />
To = $To<br />
From = $From<br />
Subject = "$VIServer Snapshot Report"<br />
Body = ($Report | Out-String)<br />
BodyAsHTML = $true<br />
SMTPServer = $SMTPServer<br />
}<br />
<br />
Send-MailMessage @MailSplat<br />
<br />
#Deconnexion du VIServer sans prompt<br />
Disconnect-VIServer -Server $connection -Force -Confirm:$false<br />
</syntaxhighlight><br />
<br />
== Datastore==<br />
<br />
=== Liste des VM par datastore ===<br />
<br />
<syntaxhighlight lang=powershell><br />
Param (<br />
[Alias("Host")]<br />
[string]$VIServer = "",<br />
[string]$User = "",<br />
[string]$Password="",<br />
[string]$PathToReport,<br />
[string]$CredentialFile="credential-vsphere.xml",<br />
<br />
[string]$To = "",<br />
[string]$From = "",<br />
[string]$SMTPServer = "",<br />
<br />
[boolean]$ExportCsv = $false,<br />
[string]$DirecteoryCsv = ""<br />
<br />
)<br />
<br />
#Variables static<br />
$date = Get-Date -Format yyyy.MM.dd<br />
$fileNameCSV = ""+$date+"-report-datastore-vm.csv"<br />
#Tableau récupérant le contenu a exporter<br />
$content=@()<br />
<br />
#Récupération du fichier avec les identifiants<br />
$PathCredentialFile = Split-Path $Script:MyInvocation.MyCommand.Path -Parent<br />
$PathCredentialFile += "\" + $CredentialFile<br />
#Affichage de debug pour le fichier credential<br />
#$PathCredentialFile<br />
<br />
#Création de l'objet avec les informations de connexion<br />
$credential = Get-VICredentialStoreItem -File $PathCredentialFile<br />
<br />
#Conexion au serveur<br />
$connexion = Connect-VIServer -Server $credential.Host -User $credential.User -Password $credential.Password -WarningAction SilentlyContinue<br />
<br />
#Récupération des datastore et des VMs associées.<br />
Get-Datacenter | Get-Datastore | Foreach-Object {<br />
$datastore= $_.Name<br />
$content += $_ | Get-VM | Select-Object @{n='DataStore';e={$datastore}},Name<br />
}<br />
<br />
if($ExportCsv)<br />
{<br />
write-Host "Export en CSV"<br />
<br />
#Ficher CSV de sortie<br />
if ( $DirecteoryCsv -eq "" )<br />
{<br />
$FileCsv = ".\"+$fileNameCSV<br />
}<br />
else<br />
{<br />
$FileCsv = $DirecteoryCsv+"\"+$fileNameCSV<br />
}<br />
<br />
#Export du contenu en CSV<br />
$content | Export-Csv -Path $FileCsv -NoTypeInformation<br />
}<br />
<br />
$content<br />
<br />
Disconnect-VIServer -Server $connexion -Force -Confirm:$false<br />
</syntaxhighlight><br />
<br />
== Replication ==<br />
=== Rapport réplication complet ===<br />
<syntaxhighlight lang=powershell><br />
Param (<br />
[Alias("Host")]<br />
[string]$VIServer = "",<br />
[string]$User = "",<br />
[string]$Password="",<br />
[string]$PathToReport,<br />
[string]$CredentialFile="credential-vsphere.xml",<br />
<br />
[string]$To = "devleeschauwer@pass.be",<br />
[string]$From = "report-vmware@pass.be",<br />
[string]$SMTPServer = "mail.pass.be"<br />
)<br />
<br />
#Récupération du fichier avec les identifiants<br />
#$credential = Get-VICredentialStoreItem -File $CredentialFile<br />
#Récupération du fichier avec les identifiants<br />
$PathCredentialFile = Split-Path $Script:MyInvocation.MyCommand.Path -Parent<br />
$PathCredentialFile += "\" + $CredentialFile<br />
$PathCredentialFile <br />
<br />
$credential = Get-VICredentialStoreItem -File $PathCredentialFile<br />
<br />
#Affectation de la variable VIServer<br />
$VIServer = $credential.Host<br />
<br />
#Connexion au vsphere<br />
$connection = Connect-VIServer -Server $credential.Host -User $credential.User -Password $credential.Password -WarningAction SilentlyContinue<br />
<br />
#Récupérer tous les events lié à la réplication<br />
Get-VIEvent -MaxSamples ([int]::MaxValue) | Where { $_.EventTypeId -match "hbr|rpo" } | Select CreatedTime, FullFormattedMessage, @{Name="VMName";Expression={$_.Vm.Name}} | export-csv -NoTypeInformation -Path ([Environment]::GetFolderPath("Desktop") + "\HBR-RPOEvents.csv")<br />
<br />
#Deconnexion du VIServer sans prompt<br />
Disconnect-VIServer -Server $connection -Force -Confirm:$false<br />
</syntaxhighlight><br />
<br />
=== Rapport violation ===<br />
<syntaxhighlight lang=powershell><br />
Param (<br />
[Alias("Host")]<br />
[string]$VIServer = "",<br />
[string]$User = "",<br />
[string]$Password="",<br />
[string]$PathToReport,<br />
[string]$CredentialFile="credential-vsphere.xml",<br />
<br />
[string]$To = "devleeschauwer@pass.be",<br />
[string]$From = "report-vmware@pass.be",<br />
[string]$SMTPServer = "mail.pass.be"<br />
)<br />
<br />
#Récupération du fichier avec les identifiants<br />
#$credential = Get-VICredentialStoreItem -File $CredentialFile<br />
#Récupération du fichier avec les identifiants<br />
$PathCredentialFile = Split-Path $Script:MyInvocation.MyCommand.Path -Parent<br />
$PathCredentialFile += "\" + $CredentialFile<br />
$PathCredentialFile <br />
<br />
$credential = Get-VICredentialStoreItem -File $PathCredentialFile<br />
<br />
#Affectation de la variable VIServer<br />
$VIServer = $credential.Host<br />
<br />
#Connexion au vsphere<br />
$connection = Connect-VIServer -Server $credential.Host -User $credential.User -Password $credential.Password -WarningAction SilentlyContinue<br />
<br />
Write-Host "[$(Get-Date)] Retrieving VMs"<br />
$VMs = Get-VM<br />
<br />
$Results = @()<br />
Foreach ($VM in $VMs) {<br />
Write-Host "[$(Get-Date)] Retrieving events for $($VM.name)"<br />
$Events = Get-VIEvent -MaxSamples ([int]::MaxValue) -Entity $VM<br />
Write-Host "[$(Get-Date)] Filtering RPO events for $($VM.name)"<br />
$RPOEvents = $Events | where { $_.EventTypeID -match "rpo" } | Where { $_.Vm.Name -eq $VM.Name } | Select EventTypeId, CreatedTime, FullFormattedMessage, @{Name="VMName";Expression={$_.Vm.Name}} | Sort CreatedTime<br />
if ($RPOEvents) {<br />
$Count = 0<br />
Write-Host "[$(Get-Date)] Finding replication results for $($VM.Name)"<br />
do {<br />
$details = "" | Select VMName, ViolationStart, ViolationEnd, Mins<br />
if ($RPOEvents[$count].EventTypeID -match "Violated") {<br />
If (-not $details.Start) {<br />
$Details.VMName = $RPOEvents[$Count].VMName<br />
$Details.ViolationStart = $RPOEvents[$Count].CreatedTime<br />
Do {<br />
$Count++<br />
} until (($RPOEvents[$Count].EventTypeID -match "Restored") -or ($Count -gt $RPOEvents.Count))<br />
if ($RPOEvents[$count].EventTypeID -match "Restored") {<br />
$details.ViolationEnd = $RPOEvents[$Count].CreatedTime<br />
$Time = $details.ViolationEnd - $details.ViolationStart<br />
$details.Mins = "{0:N2}" -f $Time.TotalMinutes<br />
} Else {<br />
$details.ViolationEnd = "No End Date"<br />
$details.Mins = "N/A"<br />
}<br />
}<br />
}<br />
$Results += $details<br />
$Count++<br />
} until ($count -gt $RPOEvents.Count)<br />
}<br />
}<br />
$Results | export-csv -NoTypeInformation -Path ([Environment]::GetFolderPath("Desktop") + "\ViolationReport.csv")<br />
<br />
#Deconnexion du VIServer sans prompt<br />
Disconnect-VIServer -Server $connection -Force -Confirm:$false<br />
</syntaxhighlight><br />
<br />
[[Catégorie:PowerCLI]]</div>Ddevleeschauwerhttp://wiki.diouxx.be/index.php?title=Github&diff=238Github2016-04-14T18:59:11Z<p>Ddevleeschauwer : /* Déport distant avec port SSH différent */</p>
<hr />
<div>{{ Introduction | 1=Un billet qui me sert d’aide mémoire sur l’utilisation « git » et de mon compte sur « GitHub ». }}<br />
<br />
== Git en quelques mots ==<br />
<br />
Git est un logiciel de gestion de version qui permet de gérer une arborescence de fichiers tout en gardant un historique complet des différentes modifications effectuées. De ce point de vue, il offre les mêmes fonctionnalités que CVS ou Subversion.<br />
<br />
Git se caractérise principalement par son aspect décentralisé. En effet, git utilise à la fois un dépôt local et un dépôt distant. Pour travailler, il faut dans un premier temps « forker » un dépôt distant. Ceci permet de récupérer l’ensemble des fichiers présents sur le dépôt distant ainsi que l’historique associé.<br />
<br />
Une fois le dépôt distant « forker », on peut travailler en local tout comme on le ferait avec un gestionnaire de version classique. Il est ensuite possible de proposer sa contribution au dépôt distant (pull request).<br />
<br />
Ce mode de fonctionnement permet de profiter d’un gestionnaire de version pour effectuer son développement en local et de proposer un ensemble de modifications cohérentes et fonctionnelles sur le dépôt distant.<br />
<br />
== Préparer son espace de travail sous « GitHub » ==<br />
<br />
J’utilise « GitHub » pour héberger mes différents fichiers. La création du compte « GitHub » n’est pas détaillée dans ce billet. Cette étape ne présente aucune difficulté et n’est réalisée qu’une seule et unique fois. Seule la procédure d’échange de clefs est détaillée ici.<br />
<br />
=== Générer un couple de clefs privée/publique ===<br />
<br />
La génération des clefs privées et publiques se fait en tapant la commande suivante :<br />
<br />
<br><br />
{{ Console | ssh-keygen -t rsa }}<br />
<br><br />
Lors de la génération, il vous sera demandé une « passphrase ». Il faut bien noter cette dernière car elle sera à nouveau demandée lors de la connexion à « GitHub ».<br />
<br />
Si vous avez laissé les options par défaut, la clef se trouve dans le fichier « ~/.ssh/id_rsa.pub ».<br />
<br />
=== Exporter sa clef vers « GitHub » ===<br />
<br />
Suivre les étapes suivantes :<br />
<br />
* se connecter sur « GitHub » avec votre compte ;<br />
* aller dans « settings » (icône en forme d’engrenage en haut à droite) ;<br />
* sélectionner dans le menu de gauche « SSH keys » ;<br />
* cliquer sur « Add SSH key » ;<br />
* donner un nom à la clef et recopier le contenu du fichier contenant la clef dans la zone de texte « Key ». Si vous avez laissé les options par défaut, la clef se trouve dans le fichier « ~/.ssh/id_rsa.pub »<br />
<br />
=== Tester le bon fonctionnement de la clef ===<br />
<br />
Dans un terminal, taper les commandes suivantes (cf. doc github) :<br />
<br><br />
{{ Console | ssh -T git@github.com }}<br />
<br><br />
<br />
La sortie doit ressembler au texte ci-dessous :<br />
<pre><br />
Hi yopland! You've successfully authenticated, but GitHub does not provide shell access.<br />
</pre><br />
<br />
Si le message fait référence à votre login, c’est gagné.<br />
<br />
=== Gestion des clefs avec « ssh-agent » ===<br />
<br />
L’utilisation d’un agent, évite d’avoir à retaper la « passphrase » à chaque fois que l’on sollicite l’utilisation de la clé privée. Les clefs et les « passphrases » associées sont stockées en mémoire par l’agent et restituées selon les besoins.<br />
<br />
Taper la commande suivante et renseigner la « passphrase » :<br />
<br><br />
{{ Console | ssh-add }}<br />
<br><br />
Tester le bon fonctionnement en essayant de se connecter sur le serveur. Il ne devrait pas être nécessaire de redonner la « passphrase ».<br />
<br><br />
{{ Console | ssh -T git@github.com }}<br />
<br><br />
Pour lister les clefs chargées par l’agent :<br />
<br><br />
{{ Console | ssh-add -l }}<br />
<br><br />
Pour supprimer de l’agent la clef stockée dans « ~/.ssh/id_rsa » :<br />
<br><br />
{{ Console | ssh-add -d ~/.ssh/id_rsa }}<br />
<br><br />
<br />
== Commandes principales ==<br />
=== Dépôt local ===<br />
==== Initialiser un dépôt git en local ====<br />
<br><br />
{{ Console | git init }}<br />
<br><br />
==== Lister les fichiers gérés par git ====<br />
<br><br />
{{ Console | git status }}<br />
<br><br />
==== Ajouter un ou des fichiers au dépôt local ====<br />
<pre><br />
git add fichier<br />
git add '*.txt'<br />
git add .<br />
</pre><br />
<br />
==== Renseigner son identité ====<br />
<br />
Pour suivre les différentes modifications sur le serveur distant, il est nécessaire de renseigner son identité sur son dépôt.<br />
<br />
Pour effectuer cette déclaration de manière globale (valable pour tous les dépôt locaux), taper les lignes suivantes :<br />
<br />
<pre><br />
git config --global user.email "you@example.com"<br />
git config --global user.name "Your Name"<br />
</pre><br />
<br />
Pour effectuer cette déclaration uniquement pour le dépôt en cours, taper les lignes suivantes :<br />
<br />
<pre><br />
git config user.email "you@example.com"<br />
git config user.name "Your Name"<br />
</pre><br />
<br />
==== Pousser les modifications effectuées vers le dépôt local (commit) ====<br />
<br><br />
{{ Console | git commit -m "message" }}<br />
<br><br />
==== Suivre les différentes actions ====<br />
<br><br />
{{ Console | git log }}<br />
<br><br />
<br />
=== Création d’un dépôt sur github ===<br />
<br />
Afin de recevoir les différents fichiers de ce billet, je me suis créé un dépôt « try_git ». Cette étape se fait via l’interface d’administration de « GitHub ».<br />
<br />
Afin d’héberger différents projets, il est tout à fait possible de créer plusieurs dépôt sur un même compte.<br />
<br />
==== Déclarer un dépôt distant ====<br />
<br />
Afin d’éviter d’avoir à saisir l’URL complète du dépôt, il est possible de créer un alias.<br />
<br />
* mon dépôt distant est hébergé sur « github » ;<br />
* pour les tests le nom de mon dépôt distant est « try_git » ;<br />
* le nom de mon compte est « DiouxX » ;<br />
* la référence « locale » au dépôt distant est « origin ».<br />
<br><br />
{{ Console | git remote add origin git@github.com:DiouxX/try_git.git}}<br />
<br><br />
Il est maintenant possible d’utiliser « origin » en lieu et place de l’URL complète.<br />
<br><br />
{{ Note | le nom origin est utilis& par convention. On peut bien évidemment le remplacer par n'importe quel nom/alias }}<br />
<br><br />
<br />
==== Dépot distant avec port SSH différent ====<br />
<br />
Si le dépôt distant utilise un port SSH différent de celui par défaut, il faut créer ou modifier le fichier {{ File | .ssh/config}} en y ajoutant les paramètres suivants :<br />
<br><br />
<pre><br />
Hostname git.domaine.be<br />
Port lePortSSH<br />
</pre><br />
<br />
==== Pousser les modifications locales vers le dépôt distant ====<br />
<br />
* nom sous lequel est référencé le dépôt distant : origin<br />
* branche utilisée : master<br />
* option « -u » : permet de sauvegarder les paramètres et ainsi ne pas avoir à les saisir à nouveau lors de la prochaine commande<br />
<br><br />
{{ Console | git push -u origin master }}<br />
<br><br />
<br />
==== Récupérer les modifications effectuées ====<br />
<br />
Il est possible de récupérer les modifications effectuées sur le dépôt distant de deux manières différentes :<br />
<br />
* en effectuant une fusion directement sur l’espace de travail ;<br />
* en stockant les données sur une nouvelle branche.<br />
<br />
Récupérer les modifications effectuées sur le dépôt distant et fusionner les modifications sur notre espace de travail<br />
<br><br />
{{ Console | git pull origin master }}<br />
<br><br />
<br />
Récupérer les modifications effectuées sur le dépôt distant sans effectuer de fusion (les données seront stockées sous leur propre branche)<br />
<br><br />
{{ Console | git fetch origin }}<br />
<br><br />
<br />
==== Lister les dépôts distants ====<br />
<br />
* l’option « -v » permet de visualiser les urls associées à chaque nom court;<br />
<br><br />
{{ Console | git remote -v }}<br />
<br><br />
<br />
=== Autres commandes ===<br />
==== Récupérer les différences entre la copie locale et le dépôt ====<br />
<br><br />
{{ Console | git diff HEAD }}<br />
<br><br />
<br />
==== Récupérer les dernières modifications que l’on vient d’effectuer ====<br />
<br><br />
{{ Console | git diff --staged }}<br />
<br><br />
<br />
==== Cloner un dépot ====<br />
<br />
Cloner un dépôt entier :<br />
<br><br />
{{ Console | git clone url }}<br />
<br><br />
<br />
Cloner une branche :<br />
<br><br />
{{ Console | git clone -b branche url }}<br />
<br><br />
<br />
== Références ==<br />
<br />
* http://carnetdevol.shost.ca/wordpress/aide-memoire-git/<br />
* documentation git : http://git-scm.com/<br />
* un livre en français : http://git-scm.com/book/fr/v1<br />
* un très bon tutoriel : https://try.github.io/levels/1/challenges/1<br />
* le site de gitub : https://github.com<br />
* utilisation de ssh : http://www.linux-france.org/prj/edu/archinet/systeme/ch13s03.html</div>Ddevleeschauwerhttp://wiki.diouxx.be/index.php?title=Github&diff=237Github2016-04-14T18:58:46Z<p>Ddevleeschauwer : /* Création d’un dépôt sur github */</p>
<hr />
<div>{{ Introduction | 1=Un billet qui me sert d’aide mémoire sur l’utilisation « git » et de mon compte sur « GitHub ». }}<br />
<br />
== Git en quelques mots ==<br />
<br />
Git est un logiciel de gestion de version qui permet de gérer une arborescence de fichiers tout en gardant un historique complet des différentes modifications effectuées. De ce point de vue, il offre les mêmes fonctionnalités que CVS ou Subversion.<br />
<br />
Git se caractérise principalement par son aspect décentralisé. En effet, git utilise à la fois un dépôt local et un dépôt distant. Pour travailler, il faut dans un premier temps « forker » un dépôt distant. Ceci permet de récupérer l’ensemble des fichiers présents sur le dépôt distant ainsi que l’historique associé.<br />
<br />
Une fois le dépôt distant « forker », on peut travailler en local tout comme on le ferait avec un gestionnaire de version classique. Il est ensuite possible de proposer sa contribution au dépôt distant (pull request).<br />
<br />
Ce mode de fonctionnement permet de profiter d’un gestionnaire de version pour effectuer son développement en local et de proposer un ensemble de modifications cohérentes et fonctionnelles sur le dépôt distant.<br />
<br />
== Préparer son espace de travail sous « GitHub » ==<br />
<br />
J’utilise « GitHub » pour héberger mes différents fichiers. La création du compte « GitHub » n’est pas détaillée dans ce billet. Cette étape ne présente aucune difficulté et n’est réalisée qu’une seule et unique fois. Seule la procédure d’échange de clefs est détaillée ici.<br />
<br />
=== Générer un couple de clefs privée/publique ===<br />
<br />
La génération des clefs privées et publiques se fait en tapant la commande suivante :<br />
<br />
<br><br />
{{ Console | ssh-keygen -t rsa }}<br />
<br><br />
Lors de la génération, il vous sera demandé une « passphrase ». Il faut bien noter cette dernière car elle sera à nouveau demandée lors de la connexion à « GitHub ».<br />
<br />
Si vous avez laissé les options par défaut, la clef se trouve dans le fichier « ~/.ssh/id_rsa.pub ».<br />
<br />
=== Exporter sa clef vers « GitHub » ===<br />
<br />
Suivre les étapes suivantes :<br />
<br />
* se connecter sur « GitHub » avec votre compte ;<br />
* aller dans « settings » (icône en forme d’engrenage en haut à droite) ;<br />
* sélectionner dans le menu de gauche « SSH keys » ;<br />
* cliquer sur « Add SSH key » ;<br />
* donner un nom à la clef et recopier le contenu du fichier contenant la clef dans la zone de texte « Key ». Si vous avez laissé les options par défaut, la clef se trouve dans le fichier « ~/.ssh/id_rsa.pub »<br />
<br />
=== Tester le bon fonctionnement de la clef ===<br />
<br />
Dans un terminal, taper les commandes suivantes (cf. doc github) :<br />
<br><br />
{{ Console | ssh -T git@github.com }}<br />
<br><br />
<br />
La sortie doit ressembler au texte ci-dessous :<br />
<pre><br />
Hi yopland! You've successfully authenticated, but GitHub does not provide shell access.<br />
</pre><br />
<br />
Si le message fait référence à votre login, c’est gagné.<br />
<br />
=== Gestion des clefs avec « ssh-agent » ===<br />
<br />
L’utilisation d’un agent, évite d’avoir à retaper la « passphrase » à chaque fois que l’on sollicite l’utilisation de la clé privée. Les clefs et les « passphrases » associées sont stockées en mémoire par l’agent et restituées selon les besoins.<br />
<br />
Taper la commande suivante et renseigner la « passphrase » :<br />
<br><br />
{{ Console | ssh-add }}<br />
<br><br />
Tester le bon fonctionnement en essayant de se connecter sur le serveur. Il ne devrait pas être nécessaire de redonner la « passphrase ».<br />
<br><br />
{{ Console | ssh -T git@github.com }}<br />
<br><br />
Pour lister les clefs chargées par l’agent :<br />
<br><br />
{{ Console | ssh-add -l }}<br />
<br><br />
Pour supprimer de l’agent la clef stockée dans « ~/.ssh/id_rsa » :<br />
<br><br />
{{ Console | ssh-add -d ~/.ssh/id_rsa }}<br />
<br><br />
<br />
== Commandes principales ==<br />
=== Dépôt local ===<br />
==== Initialiser un dépôt git en local ====<br />
<br><br />
{{ Console | git init }}<br />
<br><br />
==== Lister les fichiers gérés par git ====<br />
<br><br />
{{ Console | git status }}<br />
<br><br />
==== Ajouter un ou des fichiers au dépôt local ====<br />
<pre><br />
git add fichier<br />
git add '*.txt'<br />
git add .<br />
</pre><br />
<br />
==== Renseigner son identité ====<br />
<br />
Pour suivre les différentes modifications sur le serveur distant, il est nécessaire de renseigner son identité sur son dépôt.<br />
<br />
Pour effectuer cette déclaration de manière globale (valable pour tous les dépôt locaux), taper les lignes suivantes :<br />
<br />
<pre><br />
git config --global user.email "you@example.com"<br />
git config --global user.name "Your Name"<br />
</pre><br />
<br />
Pour effectuer cette déclaration uniquement pour le dépôt en cours, taper les lignes suivantes :<br />
<br />
<pre><br />
git config user.email "you@example.com"<br />
git config user.name "Your Name"<br />
</pre><br />
<br />
==== Pousser les modifications effectuées vers le dépôt local (commit) ====<br />
<br><br />
{{ Console | git commit -m "message" }}<br />
<br><br />
==== Suivre les différentes actions ====<br />
<br><br />
{{ Console | git log }}<br />
<br><br />
<br />
=== Création d’un dépôt sur github ===<br />
<br />
Afin de recevoir les différents fichiers de ce billet, je me suis créé un dépôt « try_git ». Cette étape se fait via l’interface d’administration de « GitHub ».<br />
<br />
Afin d’héberger différents projets, il est tout à fait possible de créer plusieurs dépôt sur un même compte.<br />
<br />
==== Déclarer un dépôt distant ====<br />
<br />
Afin d’éviter d’avoir à saisir l’URL complète du dépôt, il est possible de créer un alias.<br />
<br />
* mon dépôt distant est hébergé sur « github » ;<br />
* pour les tests le nom de mon dépôt distant est « try_git » ;<br />
* le nom de mon compte est « DiouxX » ;<br />
* la référence « locale » au dépôt distant est « origin ».<br />
<br><br />
{{ Console | git remote add origin git@github.com:DiouxX/try_git.git}}<br />
<br><br />
Il est maintenant possible d’utiliser « origin » en lieu et place de l’URL complète.<br />
<br><br />
{{ Note | le nom origin est utilis& par convention. On peut bien évidemment le remplacer par n'importe quel nom/alias }}<br />
<br><br />
<br />
==== Déport distant avec port SSH différent ====<br />
<br />
Si le dépot distant utilise un port SSH différent de celui par défaut, il faut créer ou modifier le fichier {{ File | .ssh/config}} en y ajoutant les paramètres suivants :<br />
<br><br />
<pre><br />
Hostname git.domaine.be<br />
Port lePortSSH<br />
</pre><br />
<br />
==== Pousser les modifications locales vers le dépôt distant ====<br />
<br />
* nom sous lequel est référencé le dépôt distant : origin<br />
* branche utilisée : master<br />
* option « -u » : permet de sauvegarder les paramètres et ainsi ne pas avoir à les saisir à nouveau lors de la prochaine commande<br />
<br><br />
{{ Console | git push -u origin master }}<br />
<br><br />
<br />
==== Récupérer les modifications effectuées ====<br />
<br />
Il est possible de récupérer les modifications effectuées sur le dépôt distant de deux manières différentes :<br />
<br />
* en effectuant une fusion directement sur l’espace de travail ;<br />
* en stockant les données sur une nouvelle branche.<br />
<br />
Récupérer les modifications effectuées sur le dépôt distant et fusionner les modifications sur notre espace de travail<br />
<br><br />
{{ Console | git pull origin master }}<br />
<br><br />
<br />
Récupérer les modifications effectuées sur le dépôt distant sans effectuer de fusion (les données seront stockées sous leur propre branche)<br />
<br><br />
{{ Console | git fetch origin }}<br />
<br><br />
<br />
==== Lister les dépôts distants ====<br />
<br />
* l’option « -v » permet de visualiser les urls associées à chaque nom court;<br />
<br><br />
{{ Console | git remote -v }}<br />
<br><br />
<br />
=== Autres commandes ===<br />
==== Récupérer les différences entre la copie locale et le dépôt ====<br />
<br><br />
{{ Console | git diff HEAD }}<br />
<br><br />
<br />
==== Récupérer les dernières modifications que l’on vient d’effectuer ====<br />
<br><br />
{{ Console | git diff --staged }}<br />
<br><br />
<br />
==== Cloner un dépot ====<br />
<br />
Cloner un dépôt entier :<br />
<br><br />
{{ Console | git clone url }}<br />
<br><br />
<br />
Cloner une branche :<br />
<br><br />
{{ Console | git clone -b branche url }}<br />
<br><br />
<br />
== Références ==<br />
<br />
* http://carnetdevol.shost.ca/wordpress/aide-memoire-git/<br />
* documentation git : http://git-scm.com/<br />
* un livre en français : http://git-scm.com/book/fr/v1<br />
* un très bon tutoriel : https://try.github.io/levels/1/challenges/1<br />
* le site de gitub : https://github.com<br />
* utilisation de ssh : http://www.linux-france.org/prj/edu/archinet/systeme/ch13s03.html</div>Ddevleeschauwerhttp://wiki.diouxx.be/index.php?title=Raspberry:Astuces&diff=236Raspberry:Astuces2016-03-22T15:01:33Z<p>Ddevleeschauwer : /* Exemple d'action au démarrage */</p>
<hr />
<div>== Script au démarrage ==<br />
<br />
Pour lancer un script au démarrage du Raspberry, il faut l'ajouter au fichier {{ File | 1=.config/lxsession/LXDE-pi/autostart }}<br />
<pre><br />
@lxpanel --profile LXDE-pi<br />
@pcmanfm --desktop --profile LXDE-pi<br />
@xscreensaver -no-splash<br />
@sh ${HOME}/.config/lxsession/LXDE-pi/autokey.sh<br />
@xset s noblank<br />
@xset s off<br />
@xset -dpms<br />
@/home/pi/script-at-boot.sh<br />
</pre><br />
<br />
== Script python au démarrage ==<br />
<br />
Pour lancer un script python au démarrage, j'ai trouvé l'astuce suivante :<br />
<br />
On crée un fichier ''.desktop'' dans le dossier {{ File | /home/pi/.config/autostart/ }} qui portera le nom de l'application.<br />
Dans mon cas, ca sera {{ File | button-refresh.py }}. Voici le contenu :<br />
<pre><br />
[Desktop Entry]<br />
Encoding=UTF-8<br />
Type=Application<br />
Name=button-refresh<br />
Comment=<br />
Exec= sudo python /home/pi/button-refresh.py<br />
StartupNotify=false<br />
Terminal=true<br />
Hidden=false<br />
</pre><br />
''<br />
Sources''<br />
* http://raspberrypi.stackexchange.com/questions/4123/running-a-python-script-at-startup<br />
<br />
== Exemple d'action au démarrage ==<br />
<syntaxhighlight lang=bash><br />
#!/bin/bash<br />
<br />
#VNC<br />
x11vnc -forever -display :0 > /dev/null 2>&1 &<br />
<br />
sleep 5<br />
<br />
#Lecture video<br />
#omxplayer --loop Tomorrowland_2012_official_aftermovie.mp4<br />
<br />
#Lecture video sur ecran raspberry 7<br />
#omxplayer --win "0 0 840 480 " --loop Tomorrowland_2012_official_aftermovie.mp4<br />
<br />
#Script refresh<br />
#sudo python /home/pi/button-refresh.py &<br />
<br />
#Navigateur Web<br />
#iceweasel http://192.168.1.1/Piano/piano/index.html<br />
<br />
</syntaxhighlight><br />
<br />
== Désactiver la mise en veille de l'écran ==<br />
<br />
Pour désactiver la mise en veille de l'écran, il faut éditer le fichier {{ File | /etc/lightdm/lightdm.conf}} et ajouter ou modifier la ligne suivante<br />
<br />
<pre><br />
xserver-command=X -s 0 dpms<br />
</pre><br />
<br />
''Sources''<br />
* http://www.raspberry-projects.com/pi/pi-operating-systems/raspbian/gui/disable-screen-sleep<br />
<br />
== Rotation de l'écran ==<br />
<br />
Pour changer l'orientation de l'affichage, il faut ajouter au fichier {{ File | /boot/config.txt}} la ligne suivante :<br />
<br />
<pre><br />
display_rotate=x<br />
</pre><br />
<br />
Où x peut prendre les valeurs suivantes :<br />
<br />
{| class="wikitable"<br />
|-<br />
! Valeur !! Orientation<br />
|-<br />
| 0 || Normal<br />
|-<br />
| 1 || 90°<br />
|-<br />
| 2 || 180°<br />
|-<br />
| 3 || 270°<br />
|-<br />
| 0x10000 || Horizontal Flip<br />
|-<br />
| 0x20000 || Vertical Flip<br />
|}<br />
<br />
''Sources''<br />
* http://elinux.org/RPiconfig<br />
<br />
== Connaitre température ==<br />
<br />
Il est possible de connaitre la température de son Raspberry via la ligne de commande :<br />
<br><br />
<pre><br />
/opt/vc/bin/vcgencmd measure_temp<br />
</pre><br />
<br />
<br><br />
<pre><br />
pi@raspberrypi ~ $ /opt/vc/bin/vcgencmd measure_temp<br />
temp=58.4'C<br />
</pre><br />
<br />
Il est possible de réaliser un alias dans le fichier {{ File | .bashrc }}<br />
<pre><br />
...<br />
alias temp='/opt/vc/bin/vcgencmd measure_temp'<br />
...<br />
</pre><br />
<br><br />
{{ Console | source .bashrc }}<br />
<br><br />
Maintenant on peut utiliser la commande ''temp'' pour afficher la température<br />
<br />
<pre><br />
pi@raspberrypi ~ $ temp<br />
temp=58.4'C<br />
</pre><br />
[[Catégorie:Raspberry]]</div>Ddevleeschauwerhttp://wiki.diouxx.be/index.php?title=Raspberry:Astuces&diff=235Raspberry:Astuces2016-03-22T15:00:45Z<p>Ddevleeschauwer : </p>
<hr />
<div>== Script au démarrage ==<br />
<br />
Pour lancer un script au démarrage du Raspberry, il faut l'ajouter au fichier {{ File | 1=.config/lxsession/LXDE-pi/autostart }}<br />
<pre><br />
@lxpanel --profile LXDE-pi<br />
@pcmanfm --desktop --profile LXDE-pi<br />
@xscreensaver -no-splash<br />
@sh ${HOME}/.config/lxsession/LXDE-pi/autokey.sh<br />
@xset s noblank<br />
@xset s off<br />
@xset -dpms<br />
@/home/pi/script-at-boot.sh<br />
</pre><br />
<br />
== Script python au démarrage ==<br />
<br />
Pour lancer un script python au démarrage, j'ai trouvé l'astuce suivante :<br />
<br />
On crée un fichier ''.desktop'' dans le dossier {{ File | /home/pi/.config/autostart/ }} qui portera le nom de l'application.<br />
Dans mon cas, ca sera {{ File | button-refresh.py }}. Voici le contenu :<br />
<pre><br />
[Desktop Entry]<br />
Encoding=UTF-8<br />
Type=Application<br />
Name=button-refresh<br />
Comment=<br />
Exec= sudo python /home/pi/button-refresh.py<br />
StartupNotify=false<br />
Terminal=true<br />
Hidden=false<br />
</pre><br />
''<br />
Sources''<br />
* http://raspberrypi.stackexchange.com/questions/4123/running-a-python-script-at-startup<br />
<br />
== Exemple d'action au démarrage ==<br />
<syntaxhighlight lang=bash><br />
#!/bin/bash<br />
<br />
#VNC<br />
x11vnc -forever -display :0 > /dev/null 2>&1 &<br />
<br />
sleep 5<br />
<br />
#Lecture video<br />
#omxplayer --loop Tomorrowland_2012_official_aftermovie.mp4<br />
<br />
#Lecture video sur ecran raspberry 7<br />
#omxplayer --win "0 0 840 480 " --loop Tomorrowland_2012_official_aftermovie.mp4<br />
<br />
#Script refresh<br />
#sudo python /home/pi/button-refresh.py &<br />
<br />
#Navigateur Web<br />
#iceweasel http://192.168.100.7/Piano/piano/index.html<br />
<br />
</syntaxhighlight><br />
<br />
== Désactiver la mise en veille de l'écran ==<br />
<br />
Pour désactiver la mise en veille de l'écran, il faut éditer le fichier {{ File | /etc/lightdm/lightdm.conf}} et ajouter ou modifier la ligne suivante<br />
<br />
<pre><br />
xserver-command=X -s 0 dpms<br />
</pre><br />
<br />
''Sources''<br />
* http://www.raspberry-projects.com/pi/pi-operating-systems/raspbian/gui/disable-screen-sleep<br />
<br />
== Rotation de l'écran ==<br />
<br />
Pour changer l'orientation de l'affichage, il faut ajouter au fichier {{ File | /boot/config.txt}} la ligne suivante :<br />
<br />
<pre><br />
display_rotate=x<br />
</pre><br />
<br />
Où x peut prendre les valeurs suivantes :<br />
<br />
{| class="wikitable"<br />
|-<br />
! Valeur !! Orientation<br />
|-<br />
| 0 || Normal<br />
|-<br />
| 1 || 90°<br />
|-<br />
| 2 || 180°<br />
|-<br />
| 3 || 270°<br />
|-<br />
| 0x10000 || Horizontal Flip<br />
|-<br />
| 0x20000 || Vertical Flip<br />
|}<br />
<br />
''Sources''<br />
* http://elinux.org/RPiconfig<br />
<br />
== Connaitre température ==<br />
<br />
Il est possible de connaitre la température de son Raspberry via la ligne de commande :<br />
<br><br />
<pre><br />
/opt/vc/bin/vcgencmd measure_temp<br />
</pre><br />
<br />
<br><br />
<pre><br />
pi@raspberrypi ~ $ /opt/vc/bin/vcgencmd measure_temp<br />
temp=58.4'C<br />
</pre><br />
<br />
Il est possible de réaliser un alias dans le fichier {{ File | .bashrc }}<br />
<pre><br />
...<br />
alias temp='/opt/vc/bin/vcgencmd measure_temp'<br />
...<br />
</pre><br />
<br><br />
{{ Console | source .bashrc }}<br />
<br><br />
Maintenant on peut utiliser la commande ''temp'' pour afficher la température<br />
<br />
<pre><br />
pi@raspberrypi ~ $ temp<br />
temp=58.4'C<br />
</pre><br />
[[Catégorie:Raspberry]]</div>Ddevleeschauwerhttp://wiki.diouxx.be/index.php?title=Raspberry:Astuces&diff=234Raspberry:Astuces2016-03-22T14:59:48Z<p>Ddevleeschauwer : /* Rotation de l'écran */</p>
<hr />
<div>== Script au démarrage ==<br />
<br />
Pour lancer un script au démarrage du Raspberry, il faut l'ajouter au fichier {{ File | 1=.config/lxsession/LXDE-pi/autostart }}<br />
<pre><br />
@lxpanel --profile LXDE-pi<br />
@pcmanfm --desktop --profile LXDE-pi<br />
@xscreensaver -no-splash<br />
@sh ${HOME}/.config/lxsession/LXDE-pi/autokey.sh<br />
@xset s noblank<br />
@xset s off<br />
@xset -dpms<br />
@/home/pi/script-at-boot.sh<br />
</pre><br />
<br />
== Script python au démarrage ==<br />
<br />
Pour lancer un script python au démarrage, j'ai trouvé l'astuce suivante :<br />
<br />
On crée un fichier ''.desktop'' dans le dossier {{ File | /home/pi/.config/autostart/ }} qui portera le nom de l'application.<br />
Dans mon cas, ca sera {{ File | button-refresh.py }}. Voici le contenu :<br />
<pre><br />
[Desktop Entry]<br />
Encoding=UTF-8<br />
Type=Application<br />
Name=button-refresh<br />
Comment=<br />
Exec= sudo python /home/pi/button-refresh.py<br />
StartupNotify=false<br />
Terminal=true<br />
Hidden=false<br />
</pre><br />
''<br />
Sources''<br />
* http://raspberrypi.stackexchange.com/questions/4123/running-a-python-script-at-startup<br />
<br />
== Exemple d'action au démarrage ==<br />
<syntaxhighlight lang=bash><br />
#!/bin/bash<br />
<br />
#VNC<br />
x11vnc -forever -display :0 > /dev/null 2>&1 &<br />
<br />
sleep 5<br />
<br />
#Lecture video<br />
#omxplayer --loop Tomorrowland_2012_official_aftermovie.mp4<br />
<br />
#Lecture video sur ecran raspberry 7<br />
#omxplayer --win "0 0 840 480 " --loop Tomorrowland_2012_official_aftermovie.mp4<br />
<br />
#Script refresh<br />
#sudo python /home/pi/button-refresh.py &<br />
<br />
#Navigateur Web<br />
#iceweasel http://192.168.100.7/Piano/piano/index.html<br />
<br />
</syntaxhighlight><br />
<br />
== Désactiver la mise en veille de l'écran ==<br />
<br />
Pour désactiver la mise en veille de l'écran, il faut éditer le fichier {{ File | /etc/lightdm/lightdm.conf}} et ajouter ou modifier la ligne suivante<br />
<br />
<pre><br />
xserver-command=X -s 0 dpms<br />
</pre><br />
<br />
== Rotation de l'écran ==<br />
<br />
Pour changer l'orientation de l'affichage, il faut ajouter au fichier {{ File | /boot/config.txt}} la ligne suivante :<br />
<br />
<pre><br />
display_rotate=x<br />
</pre><br />
<br />
Où x peut prendre les valeurs suivantes :<br />
<br />
{| class="wikitable"<br />
|-<br />
! Valeur !! Orientation<br />
|-<br />
| 0 || Normal<br />
|-<br />
| 1 || 90°<br />
|-<br />
| 2 || 180°<br />
|-<br />
| 3 || 270°<br />
|-<br />
| 0x10000 || Horizontal Flip<br />
|-<br />
| 0x20000 || Vertical Flip<br />
|}<br />
<br />
''Sources''<br />
* http://elinux.org/RPiconfig<br />
<br />
== Connaitre température ==<br />
<br />
Il est possible de connaitre la température de son Raspberry via la ligne de commande :<br />
<br><br />
<pre><br />
/opt/vc/bin/vcgencmd measure_temp<br />
</pre><br />
<br />
<br><br />
<pre><br />
pi@raspberrypi ~ $ /opt/vc/bin/vcgencmd measure_temp<br />
temp=58.4'C<br />
</pre><br />
<br />
Il est possible de réaliser un alias dans le fichier {{ File | .bashrc }}<br />
<pre><br />
...<br />
alias temp='/opt/vc/bin/vcgencmd measure_temp'<br />
...<br />
</pre><br />
<br><br />
{{ Console | source .bashrc }}<br />
<br><br />
Maintenant on peut utiliser la commande ''temp'' pour afficher la température<br />
<br />
<pre><br />
pi@raspberrypi ~ $ temp<br />
temp=58.4'C<br />
</pre><br />
[[Catégorie:Raspberry]]</div>Ddevleeschauwerhttp://wiki.diouxx.be/index.php?title=Gitlab&diff=233Gitlab2016-03-10T13:21:36Z<p>Ddevleeschauwer : </p>
<hr />
<div>{{ Introduction | Cette page reprend l'installation et la configuration de GitLab}}<br />
<br />
== Installation ==<br />
== Configuration ==<br />
== Mise à jour ==<br />
<br />
=== Backup ===<br />
<br />
Avant de réaliser la mise à jour, on va réaliser une sauvegarde de Gitlab.<br />
<br />
On peut soit utilisé l'outil fournit avec <br />
<br><br />
<pre><br />
cd /home/git/gitlab<br />
sudo -u git -H bundle exec rake gitlab:backup:create RAILS_ENV=production<br />
</pre><br />
<br />
Si cela ne fonctionne pas, on peut le réaliser de manière manuel.<br />
<br><br />
{{ Note | Je vais utiliser 2 scripts que j'ai réalisé pour sauvegarder [https://github.com/DiouxX/script_backup_applicatif l'applicatif] et [https://github.com/DiouxX/script_backup_postgresql la base de donnée] }}<br />
<br><br />
<br />
<pre><br />
#Gitlab<br />
script_backup_applicatif -s /srv/git -f /opt/backup/Gitlab -v<br />
<br />
#Postgresql<br />
script_backup_postgresql -u git -h localhost -p 5434 -d gitlabhq_production -f /opt/backup/Gitlab/ -v<br />
</pre><br />
<br><br />
=== Stop serveur ===<br />
{{Console root | sudo service gitlab stop }}<br />
<br><br />
<br />
=== Récupération des sources ===<br />
<br />
*On récupère le code de la dernière branche stable de Gitlab<br />
<br />
Dans la commande suivante, on remplace LATEST_TAG avec la dernière version de Gitlab. Pour exemple, v8.5.4<br />
<br />
<pre><br />
cd /home/git/gitlab<br />
sudo -u git -H git fetch --all<br />
sudo -u git -H git checkout -- Gemfile.lock db/schema.rb<br />
sudo -u git -H git checkout LATEST_TAG -b LATEST_TAG<br />
</pre><br />
<br />
* On met à jour la version de gitlab-shell correspondante<br />
<br />
<pre><br />
cd /home/git/gitlab-shell<br />
sudo -u git -H git fetch<br />
sudo -u git -H git checkout v`cat /home/git/gitlab/GITLAB_SHELL_VERSION` -b v`cat /home/git/gitlab/GITLAB_SHELL_VERSION`<br />
</pre><br />
<br />
<br />
* On met à jour la version gitlab-workhorse correspondante<br />
{{ Note | Personnellement, je n'ai pas gitlab-worhorse d'installé }}<br />
<br><br />
<br />
<pre><br />
cd /home/git/gitlab-workhorse<br />
sudo -u git -H git fetch<br />
sudo -u git -H git checkout `cat /home/git/gitlab/GITLAB_WORKHORSE_VERSION` -b `cat /home/git/gitlab/GITLAB_WORKHORSE_VERSION`<br />
sudo -u git -H make<br />
</pre><br />
<br />
=== Installation des librairies, dependances, migraton ect ===<br />
<br />
<pre><br />
cd /home/git/gitlab<br />
<br />
# PostgreSQL<br />
sudo -u git -H bundle install --without development test mysql --deployment<br />
<br />
# MySQL<br />
sudo -u git -H bundle install --without development test postgres --deployment<br />
<br />
# Optional: clean up old gems<br />
sudo -u git -H bundle clean<br />
<br />
# Run database migrations<br />
sudo -u git -H bundle exec rake db:migrate RAILS_ENV=production<br />
<br />
# Clean up assets and cache<br />
sudo -u git -H bundle exec rake assets:clean assets:precompile cache:clear RAILS_ENV=production<br />
</pre><br />
<br />
=== Démarrage de l'application ===<br />
<pre><br />
sudo service gitlab start<br />
sudo service apache2 restart<br />
</pre><br />
<br />
=== Vérification ===<br />
<br />
On vérifie si GitLab et son environnement sont configuré correctement :<br />
<br><br />
{{ Console root | 1=sudo -u git -H bundle exec rake gitlab:env:info RAILS_ENV=production }}<br />
<br><br />
<br />
Pour être sur qu'il ne manque rien, on lance la vérification suivante :<br />
<br><br />
{{ Console root | 1=sudo -u git -H bundle exec rake gitlab:check RAILS_ENV=production }}<br />
<br><br />
<br />
Si tout est vert, alors la mise à jour s'est correctement déroulée.<br />
<br />
=== Sources ===<br />
* https://gitlab.com/gitlab-org/gitlab-ce/blob/master/doc/update/patch_versions.md<br />
<br />
[[Catégorie:Applicatifs]]</div>Ddevleeschauwerhttp://wiki.diouxx.be/index.php?title=Gitlab&diff=232Gitlab2016-03-10T13:20:51Z<p>Ddevleeschauwer : /* Démarrage de l'application */</p>
<hr />
<div>{{ Introduction | Cette page reprend l'installation et la configuration de GitLab}}<br />
<br />
== Installation ==<br />
== Configuration ==<br />
== Mise à jour ==<br />
<br />
=== Backup ===<br />
<br />
Avant de réaliser la mise à jour, on va réaliser une sauvegarde de Gitlab.<br />
<br />
On peut soit utilisé l'outil fournit avec <br />
<br><br />
<pre><br />
cd /home/git/gitlab<br />
sudo -u git -H bundle exec rake gitlab:backup:create RAILS_ENV=production<br />
</pre><br />
<br />
Si cela ne fonctionne pas, on peut le réaliser de manière manuel.<br />
<br><br />
{{ Note | Je vais utiliser 2 scripts que j'ai réalisé pour sauvegarder [https://github.com/DiouxX/script_backup_applicatif l'applicatif] et [https://github.com/DiouxX/script_backup_postgresql la base de donnée] }}<br />
<br><br />
<br />
<pre><br />
#Gitlab<br />
script_backup_applicatif -s /srv/git -f /opt/backup/Gitlab -v<br />
<br />
#Postgresql<br />
script_backup_postgresql -u git -h localhost -p 5434 -d gitlabhq_production -f /opt/backup/Gitlab/ -v<br />
</pre><br />
<br><br />
=== Stop serveur ===<br />
{{Console root | sudo service gitlab stop }}<br />
<br><br />
<br />
=== Récupération des sources ===<br />
<br />
*On récupère le code de la dernière branche stable de Gitlab<br />
<br />
Dans la commande suivante, on remplace LATEST_TAG avec la dernière version de Gitlab. Pour exemple, v8.5.4<br />
<br />
<pre><br />
cd /home/git/gitlab<br />
sudo -u git -H git fetch --all<br />
sudo -u git -H git checkout -- Gemfile.lock db/schema.rb<br />
sudo -u git -H git checkout LATEST_TAG -b LATEST_TAG<br />
</pre><br />
<br />
* On met à jour la version de gitlab-shell correspondante<br />
<br />
<pre><br />
cd /home/git/gitlab-shell<br />
sudo -u git -H git fetch<br />
sudo -u git -H git checkout v`cat /home/git/gitlab/GITLAB_SHELL_VERSION` -b v`cat /home/git/gitlab/GITLAB_SHELL_VERSION`<br />
</pre><br />
<br />
<br />
* On met à jour la version gitlab-workhorse correspondante<br />
{{ Note | Personnellement, je n'ai pas gitlab-worhorse d'installé }}<br />
<br><br />
<br />
<pre><br />
cd /home/git/gitlab-workhorse<br />
sudo -u git -H git fetch<br />
sudo -u git -H git checkout `cat /home/git/gitlab/GITLAB_WORKHORSE_VERSION` -b `cat /home/git/gitlab/GITLAB_WORKHORSE_VERSION`<br />
sudo -u git -H make<br />
</pre><br />
<br />
=== Installation des librairies, dependances, migraton ect ===<br />
<br />
<pre><br />
cd /home/git/gitlab<br />
<br />
# PostgreSQL<br />
sudo -u git -H bundle install --without development test mysql --deployment<br />
<br />
# MySQL<br />
sudo -u git -H bundle install --without development test postgres --deployment<br />
<br />
# Optional: clean up old gems<br />
sudo -u git -H bundle clean<br />
<br />
# Run database migrations<br />
sudo -u git -H bundle exec rake db:migrate RAILS_ENV=production<br />
<br />
# Clean up assets and cache<br />
sudo -u git -H bundle exec rake assets:clean assets:precompile cache:clear RAILS_ENV=production<br />
</pre><br />
<br />
=== Démarrage de l'application ===<br />
<pre><br />
sudo service gitlab start<br />
sudo service apache2 restart<br />
</pre><br />
<br />
=== Vérification ===<br />
<br />
On vérifie si GitLab et son environnement sont configuré correctement :<br />
<br><br />
{{ Console root | 1=sudo -u git -H bundle exec rake gitlab:env:info RAILS_ENV=production }}<br />
<br><br />
<br />
Pour être sur qu'il ne manque rien, on lance la vérification suivante :<br />
<br><br />
{{ Console root | 1=sudo -u git -H bundle exec rake gitlab:check RAILS_ENV=production }}<br />
<br><br />
<br />
Si tout est vert, alors la mise à jour s'est correctement déroulée.<br />
<br />
[[Catégorie:Applicatifs]]</div>Ddevleeschauwerhttp://wiki.diouxx.be/index.php?title=Gitlab&diff=231Gitlab2016-03-10T13:19:59Z<p>Ddevleeschauwer : /* Mise à jour */</p>
<hr />
<div>{{ Introduction | Cette page reprend l'installation et la configuration de GitLab}}<br />
<br />
== Installation ==<br />
== Configuration ==<br />
== Mise à jour ==<br />
<br />
=== Backup ===<br />
<br />
Avant de réaliser la mise à jour, on va réaliser une sauvegarde de Gitlab.<br />
<br />
On peut soit utilisé l'outil fournit avec <br />
<br><br />
<pre><br />
cd /home/git/gitlab<br />
sudo -u git -H bundle exec rake gitlab:backup:create RAILS_ENV=production<br />
</pre><br />
<br />
Si cela ne fonctionne pas, on peut le réaliser de manière manuel.<br />
<br><br />
{{ Note | Je vais utiliser 2 scripts que j'ai réalisé pour sauvegarder [https://github.com/DiouxX/script_backup_applicatif l'applicatif] et [https://github.com/DiouxX/script_backup_postgresql la base de donnée] }}<br />
<br><br />
<br />
<pre><br />
#Gitlab<br />
script_backup_applicatif -s /srv/git -f /opt/backup/Gitlab -v<br />
<br />
#Postgresql<br />
script_backup_postgresql -u git -h localhost -p 5434 -d gitlabhq_production -f /opt/backup/Gitlab/ -v<br />
</pre><br />
<br><br />
=== Stop serveur ===<br />
{{Console root | sudo service gitlab stop }}<br />
<br><br />
<br />
=== Récupération des sources ===<br />
<br />
*On récupère le code de la dernière branche stable de Gitlab<br />
<br />
Dans la commande suivante, on remplace LATEST_TAG avec la dernière version de Gitlab. Pour exemple, v8.5.4<br />
<br />
<pre><br />
cd /home/git/gitlab<br />
sudo -u git -H git fetch --all<br />
sudo -u git -H git checkout -- Gemfile.lock db/schema.rb<br />
sudo -u git -H git checkout LATEST_TAG -b LATEST_TAG<br />
</pre><br />
<br />
* On met à jour la version de gitlab-shell correspondante<br />
<br />
<pre><br />
cd /home/git/gitlab-shell<br />
sudo -u git -H git fetch<br />
sudo -u git -H git checkout v`cat /home/git/gitlab/GITLAB_SHELL_VERSION` -b v`cat /home/git/gitlab/GITLAB_SHELL_VERSION`<br />
</pre><br />
<br />
<br />
* On met à jour la version gitlab-workhorse correspondante<br />
{{ Note | Personnellement, je n'ai pas gitlab-worhorse d'installé }}<br />
<br><br />
<br />
<pre><br />
cd /home/git/gitlab-workhorse<br />
sudo -u git -H git fetch<br />
sudo -u git -H git checkout `cat /home/git/gitlab/GITLAB_WORKHORSE_VERSION` -b `cat /home/git/gitlab/GITLAB_WORKHORSE_VERSION`<br />
sudo -u git -H make<br />
</pre><br />
<br />
=== Installation des librairies, dependances, migraton ect ===<br />
<br />
<pre><br />
cd /home/git/gitlab<br />
<br />
# PostgreSQL<br />
sudo -u git -H bundle install --without development test mysql --deployment<br />
<br />
# MySQL<br />
sudo -u git -H bundle install --without development test postgres --deployment<br />
<br />
# Optional: clean up old gems<br />
sudo -u git -H bundle clean<br />
<br />
# Run database migrations<br />
sudo -u git -H bundle exec rake db:migrate RAILS_ENV=production<br />
<br />
# Clean up assets and cache<br />
sudo -u git -H bundle exec rake assets:clean assets:precompile cache:clear RAILS_ENV=production<br />
</pre><br />
<br />
=== Démarrage de l'application ===<br />
<pre><br />
sudo service gitlab start<br />
sudo service nginx restart<br />
</pre><br />
<br />
=== Vérification ===<br />
<br />
On vérifie si GitLab et son environnement sont configuré correctement :<br />
<br><br />
{{ Console root | 1=sudo -u git -H bundle exec rake gitlab:env:info RAILS_ENV=production }}<br />
<br><br />
<br />
Pour être sur qu'il ne manque rien, on lance la vérification suivante :<br />
<br><br />
{{ Console root | 1=sudo -u git -H bundle exec rake gitlab:check RAILS_ENV=production }}<br />
<br><br />
<br />
Si tout est vert, alors la mise à jour s'est correctement déroulée.<br />
<br />
[[Catégorie:Applicatifs]]</div>Ddevleeschauwerhttp://wiki.diouxx.be/index.php?title=Gitlab&diff=230Gitlab2016-03-10T13:18:18Z<p>Ddevleeschauwer : /* Mise à jour */</p>
<hr />
<div>{{ Introduction | Cette page reprend l'installation et la configuration de GitLab}}<br />
<br />
== Installation ==<br />
== Configuration ==<br />
== Mise à jour ==<br />
<br />
* Backup<br />
<br />
Avant de réaliser la mise à jour, on va réaliser une sauvegarde de Gitlab.<br />
<br />
On peut soit utilisé l'outil fournit avec <br />
<br><br />
<pre><br />
cd /home/git/gitlab<br />
sudo -u git -H bundle exec rake gitlab:backup:create RAILS_ENV=production<br />
</pre><br />
<br />
Si cela ne fonctionne pas, on peut le réaliser de manière manuel.<br />
<br><br />
{{ Note | Je vais utiliser 2 scripts que j'ai réalisé pour sauvegarder [https://github.com/DiouxX/script_backup_applicatif l'applicatif] et [https://github.com/DiouxX/script_backup_postgresql la base de donnée] }}<br />
<br><br />
<br />
<pre><br />
#Gitlab<br />
script_backup_applicatif -s /srv/git -f /opt/backup/Gitlab -v<br />
<br />
#Postgresql<br />
script_backup_postgresql -u git -h localhost -p 5434 -d gitlabhq_production -f /opt/backup/Gitlab/ -v<br />
</pre><br />
<br><br />
* Stop server<br />
{{Console root | sudo service gitlab stop }}<br />
<br><br />
<br />
* On récupère le code de la dernière branche stable de Gitlab<br />
<br />
Dans la commande suivante, on remplace LATEST_TAG avec la dernière version de Gitlab. Pour exemple, v8.5.4<br />
<br />
<pre><br />
cd /home/git/gitlab<br />
sudo -u git -H git fetch --all<br />
sudo -u git -H git checkout -- Gemfile.lock db/schema.rb<br />
sudo -u git -H git checkout LATEST_TAG -b LATEST_TAG<br />
</pre><br />
<br />
* On met à jour la version de gitlab-shell correspondante<br />
<br />
<pre><br />
cd /home/git/gitlab-shell<br />
sudo -u git -H git fetch<br />
sudo -u git -H git checkout v`cat /home/git/gitlab/GITLAB_SHELL_VERSION` -b v`cat /home/git/gitlab/GITLAB_SHELL_VERSION`<br />
</pre><br />
<br />
<br />
* On met à jour la version gitlab-workhorse correspondante<br />
{{ Note | Personnellement, je n'ai pas gitlab-worhorse d'installé }}<br />
<br><br />
<br />
<pre><br />
cd /home/git/gitlab-workhorse<br />
sudo -u git -H git fetch<br />
sudo -u git -H git checkout `cat /home/git/gitlab/GITLAB_WORKHORSE_VERSION` -b `cat /home/git/gitlab/GITLAB_WORKHORSE_VERSION`<br />
sudo -u git -H make<br />
</pre><br />
<br />
* Installation des librairies, dependances, migraton ect<br />
<br />
<pre><br />
cd /home/git/gitlab<br />
<br />
# PostgreSQL<br />
sudo -u git -H bundle install --without development test mysql --deployment<br />
<br />
# MySQL<br />
sudo -u git -H bundle install --without development test postgres --deployment<br />
<br />
# Optional: clean up old gems<br />
sudo -u git -H bundle clean<br />
<br />
# Run database migrations<br />
sudo -u git -H bundle exec rake db:migrate RAILS_ENV=production<br />
<br />
# Clean up assets and cache<br />
sudo -u git -H bundle exec rake assets:clean assets:precompile cache:clear RAILS_ENV=production<br />
</pre><br />
<br />
* Démarrage de l'application<br />
<pre><br />
sudo service gitlab start<br />
sudo service nginx restart<br />
</pre><br />
<br />
* On vérifie le statut de l'application<br />
<br />
On vérifie si GitLab et son environnement sont configuré correctement :<br />
<br><br />
{{ Console root | 1=sudo -u git -H bundle exec rake gitlab:env:info RAILS_ENV=production }}<br />
<br><br />
<br />
Pour être sur qu'il ne manque rien, on lance la vérification suivante :<br />
<br><br />
{{ Console root | 1=sudo -u git -H bundle exec rake gitlab:check RAILS_ENV=production }}<br />
<br><br />
<br />
Si tout est vert, alors la mise à jour s'est correctement déroulée.<br />
<br />
[[Catégorie:Applicatifs]]</div>Ddevleeschauwerhttp://wiki.diouxx.be/index.php?title=Gitlab&diff=229Gitlab2016-03-10T13:17:18Z<p>Ddevleeschauwer : /* Mise à jour */</p>
<hr />
<div>{{ Introduction | Cette page reprend l'installation et la configuration de GitLab}}<br />
<br />
== Installation ==<br />
== Configuration ==<br />
== Mise à jour ==<br />
<br />
* Backup<br />
<br />
Avant de réaliser la mise à jour, on va réaliser une sauvegarde de Gitlab.<br />
<br />
On peut soit utilisé l'outil fournit avec <br />
<br><br />
<pre><br />
cd /home/git/gitlab<br />
sudo -u git -H bundle exec rake gitlab:backup:create RAILS_ENV=production<br />
</pre><br />
<br />
Si cela ne fonctionne pas, on peut le réaliser de manière manuel.<br />
<br><br />
{{ Note | Je vais utiliser 2 scripts que j'ai réalisé pour sauvegarder [https://github.com/DiouxX/script_backup_applicatif l'applicatif] et [https://github.com/DiouxX/script_backup_postgresql la base de donnée] }}<br />
<br><br />
<br />
<pre><br />
#Gitlab<br />
script_backup_applicatif -s /srv/git -f /opt/backup/Gitlab -v<br />
<br />
#Postgresql<br />
script_backup_postgresql -u git -h localhost -p 5434 -d gitlabhq_production -f /opt/backup/Gitlab/ -v<br />
</pre><br />
<br><br />
* Stop server<br />
<br><br />
{{Console root | sudo service gitlab stop }}<br />
<br><br />
<br />
* On récupère le code de la dernière branche stable de Gitlab<br />
<br />
Dans la commande suivante, on remplace LATEST_TAG avec la dernière version de Gitlab. Pour exemple, v8.5.4<br />
<br />
<pre><br />
cd /home/git/gitlab<br />
sudo -u git -H git fetch --all<br />
sudo -u git -H git checkout -- Gemfile.lock db/schema.rb<br />
sudo -u git -H git checkout LATEST_TAG -b LATEST_TAG<br />
</pre><br />
<br />
* On met à jour la version de gitlab-shell correspondante<br />
<br />
<pre><br />
cd /home/git/gitlab-shell<br />
sudo -u git -H git fetch<br />
sudo -u git -H git checkout v`cat /home/git/gitlab/GITLAB_SHELL_VERSION` -b v`cat /home/git/gitlab/GITLAB_SHELL_VERSION`<br />
</pre><br />
<br />
<br />
* On met à jour la version gitlab-workhorse correspondante<br />
<br><br />
{{ Note | Personnellement, je n'ai pas gitlab-worhorse d'installé }}<br />
<br><br />
<br />
<pre><br />
cd /home/git/gitlab-workhorse<br />
sudo -u git -H git fetch<br />
sudo -u git -H git checkout `cat /home/git/gitlab/GITLAB_WORKHORSE_VERSION` -b `cat /home/git/gitlab/GITLAB_WORKHORSE_VERSION`<br />
sudo -u git -H make<br />
</pre><br />
<br />
* Installation des librairies, dependances, migraton ect<br />
<br />
<pre><br />
cd /home/git/gitlab<br />
<br />
# PostgreSQL<br />
sudo -u git -H bundle install --without development test mysql --deployment<br />
<br />
# MySQL<br />
sudo -u git -H bundle install --without development test postgres --deployment<br />
<br />
# Optional: clean up old gems<br />
sudo -u git -H bundle clean<br />
<br />
# Run database migrations<br />
sudo -u git -H bundle exec rake db:migrate RAILS_ENV=production<br />
<br />
# Clean up assets and cache<br />
sudo -u git -H bundle exec rake assets:clean assets:precompile cache:clear RAILS_ENV=production<br />
</pre><br />
<br />
* Démarrage de l'application<br />
<pre><br />
sudo service gitlab start<br />
sudo service nginx restart<br />
</pre><br />
<br />
* On vérifie le statut de l'application<br />
<br />
On vérifie si GitLab et son environnement sont configuré correctement :<br />
<br><br />
{{ Console root | 1=sudo -u git -H bundle exec rake gitlab:env:info RAILS_ENV=production }}<br />
<br><br />
<br />
Pour être sur qu'il ne manque rien, on lance la vérification suivante :<br />
<br><br />
{{ Console root | 1=sudo -u git -H bundle exec rake gitlab:check RAILS_ENV=production }}<br />
<br><br />
<br />
Si tout est vert, alors la mise à jour s'est correctement déroulée.<br />
<br />
[[Catégorie:Applicatifs]]</div>Ddevleeschauwerhttp://wiki.diouxx.be/index.php?title=Gitlab&diff=228Gitlab2016-03-10T13:17:04Z<p>Ddevleeschauwer : /* Mise à jour */</p>
<hr />
<div>{{ Introduction | Cette page reprend l'installation et la configuration de GitLab}}<br />
<br />
== Installation ==<br />
== Configuration ==<br />
== Mise à jour ==<br />
<br />
* Backup<br />
<br />
Avant de réaliser la mise à jour, on va réaliser une sauvegarde de Gitlab.<br />
<br />
On peut soit utilisé l'outil fournit avec <br />
<br><br />
<pre><br />
cd /home/git/gitlab<br />
sudo -u git -H bundle exec rake gitlab:backup:create RAILS_ENV=production<br />
</pre><br />
<br />
Si cela ne fonctionne pas, on peut le réaliser de manière manuel.<br />
<br><br />
{{ Note | Je vais utiliser 2 scripts que j'ai réalisé pour sauvegarder [https://github.com/DiouxX/script_backup_applicatif l'applicatif] et [https://github.com/DiouxX/script_backup_postgresql la base de donnée] }}<br />
<br><br />
<br />
<pre><br />
#Gitlab<br />
script_backup_applicatif -s /srv/git -f /opt/backup/Gitlab -v<br />
<br />
#Postgresql<br />
script_backup_postgresql -u git -h localhost -p 5434 -d gitlabhq_production -f /opt/backup/Gitlab/ -v<br />
</pre><br />
<br><br />
* Stop server<br />
<br />
<br><br />
{{Console root | sudo service gitlab stop }}<br />
<br><br />
<br />
* On récupère le code de la dernière branche stable de Gitlab<br />
<br />
Dans la commande suivante, on remplace LATEST_TAG avec la dernière version de Gitlab. Pour exemple, v8.5.4<br />
<br />
<pre><br />
cd /home/git/gitlab<br />
sudo -u git -H git fetch --all<br />
sudo -u git -H git checkout -- Gemfile.lock db/schema.rb<br />
sudo -u git -H git checkout LATEST_TAG -b LATEST_TAG<br />
</pre><br />
<br />
* On met à jour la version de gitlab-shell correspondante<br />
<br />
<pre><br />
cd /home/git/gitlab-shell<br />
sudo -u git -H git fetch<br />
sudo -u git -H git checkout v`cat /home/git/gitlab/GITLAB_SHELL_VERSION` -b v`cat /home/git/gitlab/GITLAB_SHELL_VERSION`<br />
</pre><br />
<br />
<br />
* On met à jour la version gitlab-workhorse correspondante<br />
<br><br />
{{ Note | Personnellement, je n'ai pas gitlab-worhorse d'installé }}<br />
<br><br />
<br />
<pre><br />
cd /home/git/gitlab-workhorse<br />
sudo -u git -H git fetch<br />
sudo -u git -H git checkout `cat /home/git/gitlab/GITLAB_WORKHORSE_VERSION` -b `cat /home/git/gitlab/GITLAB_WORKHORSE_VERSION`<br />
sudo -u git -H make<br />
</pre><br />
<br />
* Installation des librairies, dependances, migraton ect<br />
<br />
<pre><br />
cd /home/git/gitlab<br />
<br />
# PostgreSQL<br />
sudo -u git -H bundle install --without development test mysql --deployment<br />
<br />
# MySQL<br />
sudo -u git -H bundle install --without development test postgres --deployment<br />
<br />
# Optional: clean up old gems<br />
sudo -u git -H bundle clean<br />
<br />
# Run database migrations<br />
sudo -u git -H bundle exec rake db:migrate RAILS_ENV=production<br />
<br />
# Clean up assets and cache<br />
sudo -u git -H bundle exec rake assets:clean assets:precompile cache:clear RAILS_ENV=production<br />
</pre><br />
<br />
* Démarrage de l'application<br />
<pre><br />
sudo service gitlab start<br />
sudo service nginx restart<br />
</pre><br />
<br />
* On vérifie le statut de l'application<br />
<br />
On vérifie si GitLab et son environnement sont configuré correctement :<br />
<br><br />
{{ Console root | 1=sudo -u git -H bundle exec rake gitlab:env:info RAILS_ENV=production }}<br />
<br><br />
<br />
Pour être sur qu'il ne manque rien, on lance la vérification suivante :<br />
<br><br />
{{ Console root | 1=sudo -u git -H bundle exec rake gitlab:check RAILS_ENV=production }}<br />
<br><br />
<br />
Si tout est vert, alors la mise à jour s'est correctement déroulée.<br />
<br />
[[Catégorie:Applicatifs]]</div>Ddevleeschauwerhttp://wiki.diouxx.be/index.php?title=Gitlab&diff=227Gitlab2016-03-10T13:15:26Z<p>Ddevleeschauwer : /* Mise à jour */</p>
<hr />
<div>{{ Introduction | Cette page reprend l'installation et la configuration de GitLab}}<br />
<br />
== Installation ==<br />
== Configuration ==<br />
== Mise à jour ==<br />
<br />
* Backup<br />
<br />
Avant de réaliser la mise à jour, on va réaliser une sauvegarde de Gitlab.<br />
<br />
On peut soit utilisé l'outil fournit avec <br />
<br><br />
<pre><br />
cd /home/git/gitlab<br />
sudo -u git -H bundle exec rake gitlab:backup:create RAILS_ENV=production<br />
</pre><br />
<br />
Si cela ne fonctionne pas, on peut le réaliser de manière manuel.<br />
<br><br />
{{ Note | Je vais utiliser 2 scripts que j'ai réalisé pour sauvegarder [https://github.com/DiouxX/script_backup_applicatif l'applicatif] et [https://github.com/DiouxX/script_backup_postgresql la base de donnée] }}<br />
<br><br />
<br />
<pre><br />
#Gitlab<br />
script_backup_applicatif -s /srv/git -f /opt/backup/Gitlab -v<br />
<br />
#Postgresql<br />
script_backup_postgresql -u git -h localhost -p 5434 -d gitlabhq_production -f /opt/backup/Gitlab/ -v<br />
</pre><br />
<br />
* Stop server<br />
<br />
<br><br />
{{Console root | sudo service gitlab stop }}<br />
<br><br />
<br />
* On récupère le code de la dernière branche stable de Gitlab<br />
<br />
Dans la commande suivante, on remplace LATEST_TAG avec la dernière version de Gitlab. Pour exemple, v8.5.4<br />
<br />
<pre><br />
cd /home/git/gitlab<br />
sudo -u git -H git fetch --all<br />
sudo -u git -H git checkout -- Gemfile.lock db/schema.rb<br />
sudo -u git -H git checkout LATEST_TAG -b LATEST_TAG<br />
</pre><br />
<br />
* On met à jour la version de gitlab-shell correspondante<br />
<br />
<pre><br />
cd /home/git/gitlab-shell<br />
sudo -u git -H git fetch<br />
sudo -u git -H git checkout v`cat /home/git/gitlab/GITLAB_SHELL_VERSION` -b v`cat /home/git/gitlab/GITLAB_SHELL_VERSION`<br />
</pre><br />
<br />
<br />
* On met à jour la version gitlab-workhorse correspondante<br />
<br><br />
{{ Note | Personnellement, je n'ai pas gitlab-worhorse d'installé }}<br />
<br><br />
<br />
<pre><br />
cd /home/git/gitlab-workhorse<br />
sudo -u git -H git fetch<br />
sudo -u git -H git checkout `cat /home/git/gitlab/GITLAB_WORKHORSE_VERSION` -b `cat /home/git/gitlab/GITLAB_WORKHORSE_VERSION`<br />
sudo -u git -H make<br />
</pre><br />
<br />
* Installation des librairies, dependances, migraton ect<br />
<br />
</pre><br />
cd /home/git/gitlab<br />
<br />
# PostgreSQL<br />
sudo -u git -H bundle install --without development test mysql --deployment<br />
<br />
# MySQL<br />
sudo -u git -H bundle install --without development test postgres --deployment<br />
<br />
# Optional: clean up old gems<br />
sudo -u git -H bundle clean<br />
<br />
# Run database migrations<br />
sudo -u git -H bundle exec rake db:migrate RAILS_ENV=production<br />
<br />
# Clean up assets and cache<br />
sudo -u git -H bundle exec rake assets:clean assets:precompile cache:clear RAILS_ENV=production<br />
</pre><br />
<br />
* Démarrage de l'application<br />
<pre><br />
sudo service gitlab start<br />
sudo service nginx restart<br />
</pre><br />
<br />
* On vérifie le statut de l'application<br />
<br />
On vérifie si GitLab et son environnement sont configuré correctement :<br />
<br><br />
{{ Console root | sudo -u git -H bundle exec rake gitlab:env:info RAILS_ENV=production }}<br />
<br><br />
<br />
Pour être sur qu'il ne manque rien, on lance la vérification suivante :<br />
<br><br />
{{ Console root | sudo -u git -H bundle exec rake gitlab:check RAILS_ENV=production }}<br />
<br><br />
<br />
Si tout est vert, alors la mise à jour s'est correctement déroulée.<br />
<br />
[[Catégorie:Applicatifs]]</div>Ddevleeschauwerhttp://wiki.diouxx.be/index.php?title=Gitlab&diff=226Gitlab2016-03-10T13:01:11Z<p>Ddevleeschauwer : Page créée avec « {{ Introduction | Cette page reprend l'installation et la configuration de GitLab}} == Installation == == Configuration == == Mise à jour == * Backup Avant de réalise... »</p>
<hr />
<div>{{ Introduction | Cette page reprend l'installation et la configuration de GitLab}}<br />
<br />
== Installation ==<br />
== Configuration ==<br />
== Mise à jour ==<br />
<br />
* Backup<br />
<br />
Avant de réaliser la mise à jour, on va réaliser une sauvegarde de Gitlab.<br />
<br />
On peut soit utilisé l'outil fournit avec <br />
<br><br />
<pre><br />
cd /home/git/gitlab<br />
sudo -u git -H bundle exec rake gitlab:backup:create RAILS_ENV=production<br />
</pre><br />
<br />
Si cela ne fonctionne pas, on peut le réaliser de manière manuel.<br />
<br><br />
{{ Note | Je vais utiliser 2 scripts que j'ai réalisé pour sauvegarder [https://github.com/DiouxX/script_backup_applicatif l'applicatif] et [https://github.com/DiouxX/script_backup_postgresql la base de donnée] }}<br />
<br><br />
<br />
<pre><br />
#Gitlab<br />
script_backup_applicatif -s /srv/git -f /opt/backup/Gitlab -v<br />
<br />
#Postgresql<br />
script_backup_postgresql -u git -h localhost -p 5434 -d gitlabhq_production -f /opt/backup/Gitlab/ -v<br />
</pre><br />
<br />
1. Stop server<br />
<br />
sudo service gitlab stop<br />
<br />
2. Get latest code for the stable branch<br />
<br />
In the commands below, replace LATEST_TAG with the latest GitLab tag you want to update to, for example v8.0.3. Use git tag -l 'v*.[0-9]' --sort='v:refname' to see a list of all tags. Make sure to update patch versions only (check your current version with cat VERSION).<br />
<br />
cd /home/git/gitlab<br />
sudo -u git -H git fetch --all<br />
sudo -u git -H git checkout -- Gemfile.lock db/schema.rb<br />
sudo -u git -H git checkout LATEST_TAG -b LATEST_TAG<br />
<br />
3. Update gitlab-shell to the corresponding version<br />
<br />
cd /home/git/gitlab-shell<br />
sudo -u git -H git fetch<br />
sudo -u git -H git checkout v`cat /home/git/gitlab/GITLAB_SHELL_VERSION` -b v`cat /home/git/gitlab/GITLAB_SHELL_VERSION`<br />
<br />
4. Update gitlab-workhorse to the corresponding version<br />
<br />
cd /home/git/gitlab-workhorse<br />
sudo -u git -H git fetch<br />
sudo -u git -H git checkout `cat /home/git/gitlab/GITLAB_WORKHORSE_VERSION` -b `cat /home/git/gitlab/GITLAB_WORKHORSE_VERSION`<br />
sudo -u git -H make<br />
<br />
5. Install libs, migrations, etc.<br />
<br />
cd /home/git/gitlab<br />
<br />
# PostgreSQL<br />
sudo -u git -H bundle install --without development test mysql --deployment<br />
<br />
# MySQL<br />
sudo -u git -H bundle install --without development test postgres --deployment<br />
<br />
# Optional: clean up old gems<br />
sudo -u git -H bundle clean<br />
<br />
# Run database migrations<br />
sudo -u git -H bundle exec rake db:migrate RAILS_ENV=production<br />
<br />
# Clean up assets and cache<br />
sudo -u git -H bundle exec rake assets:clean assets:precompile cache:clear RAILS_ENV=production<br />
<br />
6. Start application<br />
<br />
sudo service gitlab start<br />
sudo service nginx restart<br />
<br />
7. Check application status<br />
<br />
Check if GitLab and its environment are configured correctly:<br />
<br />
sudo -u git -H bundle exec rake gitlab:env:info RAILS_ENV=production<br />
<br />
To make sure you didn't miss anything run a more thorough check with:<br />
<br />
sudo -u git -H bundle exec rake gitlab:check RAILS_ENV=production<br />
<br />
If all items are green, then congratulations upgrade complete!<br />
<br />
[[Catégorie:Applicatifs]]</div>Ddevleeschauwer