Journal Quelle politique de partage réseau pour un parc sous Linux ?

Posté par .
Tags : aucun
0
23
avr.
2004
Bon les gars, je vous remercie pour les infos que vous m'avez données dans le journal précédent (http://linuxfr.org/~bobert/11886.html(...)) mais j'ai du mal à suivre. Je poste pas de journaux très souvent, mais là j'aimerais repartir de zéro, avec mes excuses mais je pense que c'est un sujet important.

Imaginons que je sois admin et que j'aie carte blanche.

- j'ai un parc de machines sous linux
- je veux assurer un backup automatisé des données personnelles de mes utilisateurs
- je veux que mes utilisateurs puissent avoir accès à leurs données depuis n'importe quel bureau (c'est-à-dire: je trimballe un portable pour faire une présentation ou montrer des infos à d'autres personnes, ou bien j'emprunte temporairement le bureau de quelqu'un d'autre pour bosser)
- je veux laisser mes utilisateurs libres du choix de leurs outils de travail (pour moi ça veut dire qu'ils doivent être libres d'utiliser la distribution de leur choix et d'installer les programmes de leur choix)

Voilà les besoins ; ça me paraît raisonnable, banal, quotidien, quoi.
Donc la question à 100 balles est en gros: quelle est la configuration recommandée pour répondre à ces besoins courants ?

J'imagine que ça soulève au moins les points suivants:
- La centralisation des données personnelles des utilisateurs est-elle nécessaire, ou bien on peut imaginer que chaque poste de bureau ait son propre disque dur sur lequel réside des données personnelles ?
- L'attribution des IP doit être fixe ou pas ? Les adresses MAC des machines sont-elles à prendre en compte ou pas ? Quid de IPV6 et wifi ?
- L'authentification des utilisateurs doit-elle âtre centralisée ou pas ? Via LDAP, NIS ?
- Quelle politique de partage des données utilisateurs mettre en place ? NFS (a priori non), Samba, système de fichier crypté ?
  • # Re: Quelle politique de partage réseau pour un parc sous Linux ?

    Posté par (page perso) . Évalué à 1.

    > je veux laisser mes utilisateurs libres du choix de leurs outils de travail (pour moi ça veut dire qu'ils doivent être libres d'utiliser la distribution de leur choix et d'installer les programmes de leur choix)

    Donc tu veux qu'ils soient root sur leur machine ? Donc t'es obligé de leur faire confiance, tu pourras pas totalement tout sécurisé, ils pourront toujours sniffer le réseau pour chopper les pass root des collègues.
    Ou alors passe ton réseau en IPSEC.

    > Quelle politique de partage des données utilisateurs mettre en place ? NFS (a priori non), Samba, système de fichier crypté ?

    La version 4 de NFS permet une authentification, avec Kerberos5 notamment. Mais c'est encore en plein développement, pas de version réellement utilisable avant une bonne année.
    • [^] # Re: Quelle politique de partage réseau pour un parc sous Linux ?

      Posté par . Évalué à 1.

      Donc tu veux qu'ils soient root sur leur machine ?

      A priori, je ne sais pas. Je sais juste que ce besoin, fonctionnel, de laisser les gens libres du choix de leurs outils me semble fondamental. Maintenant, dans la pratique

      - la plupart du temps je m'entends dire "ben c'est facile, compile ton truc en local". Evidemment je n'appelle pas ça une solution viable, quand il s'agit de vouloir faire tourner, allez au hasard un kdevelop dans sa version 3 sur une debian stable qui date de mathusalem...
      - laisser les gens root sur leur machine, pourquoi pas, du moment que les conséquences soient prévues à l'avance
      - laisser les gens faire un sudo {urpmi, urpme, apt-get, ...} ça devrait pouvoir suffire la ppart du temps, non ?
      - mais on pourrait imaginer un serveur d'applications linux, ça doit bien exister, il me semble ? ou bien des applications centralisées sur un serveur, et dont l'accès soir partagé

      En fait peu importe le moyen d'y arriver pour l'utilisateur final ; je voudrais juste savoir ce que les personnes confrontées à cette problématique ent mis en place
  • # Re: Quelle politique de partage réseau pour un parc sous Linux ?

    Posté par . Évalué à 1.

    > - La centralisation des données personnelles des utilisateurs est-elle nécessaire, ou bien on peut imaginer que chaque poste de bureau ait son propre disque dur sur lequel réside des données personnelles ?

    Rien que pour les backup, autant centraliser.

    > - L'attribution des IP doit être fixe ou pas ? Les adresses MAC des machines sont-elles à prendre en compte ou pas ?

    un p'tit serveur DHCP c'est pas mal, dans ce cas ce sont les adresses Mac qui seront prisent en compte, mais en tout cas l'attribution sera transparente ...

    > - L'authentification des utilisateurs doit-elle âtre centralisée ou pas ? Via LDAP, NIS ?

    NIS fonctionne plutot bien pour ce genre de choses, je trouve.

    > - Quelle politique de partage des données utilisateurs mettre en place ? NFS (a priori non), Samba, système de fichier crypté ?

    Pitie non pas NFS, ce FS est vraiment lamentable, une crasse immonde, en cas de probleme reseau ... Moi j'utiliserai du Samba et pas de fichiers cryptes: c'est fort peu utile et puis si tu veux acceder a la Home de qq1 d'autre (pour partager des docs ...), je ne penses pas que le chiffrement soit possible...
    • [^] # Re: Quelle politique de partage réseau pour un parc sous Linux ?

      Posté par (page perso) . Évalué à 1.

      Oui, enfin eu niveau perf, il n'y a pas photo non plus : un NFS ecrase de loin un Samba au niveau debit.
      • [^] # Re: Quelle politique de partage réseau pour un parc sous Linux ?

        Posté par . Évalué à 1.

        Tu es sûr de ça ? J'entends dire tout et son contraire à ce sujet, alors je sais pas vraiment qui croire ...
        • [^] # Re: Quelle politique de partage réseau pour un parc sous Linux ?

          Posté par (page perso) . Évalué à 1.

          Ben en tout cas, dans la boite ou je bossais il y a deux ans, on avait un serveur Linux qui faisait controlleur de domaine windows + serveur de fichier via Samba (machine sous Windows oblige) et NFS ...

          J'etais plus ou moins admin du reseau (5 personnes, 1 DMZ contenant 1 serveur web+sql+mail+cvs, 1 firewall, 1 serveur de fichier dans le reseau local + 6 postes clients).
          Ma machine etait du Linux. Au debut, comme tout le monde etait sous Windows, je m'etais mis moi aussi en Samba. Et puis par curiosite, j'ai installe NFS pour faire des tests : ca n'avait strictement rien a voir du point de vue performance. (*2, *3, *5 ? aucune idee : c'etait beaucoup plus rapide)
          Maintenant il faut voir que j'etais tout seul, que c'etait une petite boite avec pas beaucoup d'utilisateurs ...
        • [^] # Re: Quelle politique de partage réseau pour un parc sous Linux ?

          Posté par . Évalué à 1.

          Pour du haut débit de données via un réseau, y'a pas photo, c'est directement NFS et ce n'est pas pour rien que des solutions de NAS (Network Area Storage) comme NetApps l'utilisent en natif. Par contre, effectivement ce n'est absolument pas le top niveau sécurité donc il faut impérativement établir un réseau secondaire séparé ou eventuellement un autre vlan sur lequel seront connecté les serveurs NFS, à moins de disposer d'un network sûr, ce qui exclu totalement bien évidemment le réseau local d'une entreprise.

          Pour transférer des documents OOo, pour un home hébergé sur un serveur distant, samba s'impose totalement, je suis curieux de connaitre la secretaire ou le comptable qui arrivera à plafonner une carte 100mb en transferts bureautiques... Et encore même là, pour avoir vu un serveur samba supportant de lourds traffics, il tient très très bien la charge et supporte beaucoup.
    • [^] # Re: Quelle politique de partage réseau pour un parc sous Linux ?

      Posté par (page perso) . Évalué à 2.

      > Rien que pour les backup, autant centraliser.

      Pas forcément.
      Et c'est toujours pénible de travailler avec son home sur le réseau, parce que ça rame.

      > Pitie non pas NFS, ce FS est vraiment lamentable, une crasse immonde, en cas de probleme reseau ...

      Monte les filesystems NFS en hard, intr

      Et la version 4 va roxer sa maman, tant au niveau des perfs : meilleur débit, mise en cache des fichiers sur le client, ...
      qu'au niveau facilité d'utilisation : authentification (cryptage, utilisation des ACL, ...), load balancing des serveurs NFS de façon totalement transparente pour les clients, ...
    • [^] # Re: Quelle politique de partage réseau pour un parc sous Linux ?

      Posté par . Évalué à 2.

      NIS c'est bien ce truc immonde qui permet de faire un ypcat shadow ?

      C'est pas le truc basé sur les RPC reconnues mondialement pour son grand niveau de sécurité ?

      NIS+ à la limite, LDAP oui mais pitié pas de NIS pour faire de la sécurité.
  • # Re: Quelle politique de partage réseau pour un parc sous Linux ?

    Posté par (page perso) . Évalué à 2.

    Terminaux X et sudo apt-get
    • [^] # Re: Quelle politique de partage réseau pour un parc sous Linux ?

      Posté par . Évalué à 1.

      sudo apt-get => root sur la machine.

      Avec apt-get tu as l'option -c qui te permet de specifier un fichier de config. Dans ce fichier de config tu peux specifier un fichier source.list. Et dans ce fichier source.list tu peux specifier un serveur contenant un package installant un shell suid root.
  • # Re: Quelle politique de partage réseau pour un parc sous Linux ?

    Posté par . Évalué à 1.

    - La centralisation des données personnelles des utilisateurs est-elle nécessaire, ou bien on peut imaginer que chaque poste de bureau ait son propre disque dur sur lequel réside des données personnelles ?
    - L'authentification des utilisateurs doit-elle âtre centralisée ou pas ? Via LDAP, NIS ?


    Pour des postes fixes oui (c'est plus simple et permet de changer de machine simplement), mais pour des portables cela oblige à avoir deux utilisateurs (un local et un NIS par exemple).

    Personnellement, j'aine bien Samba en PDC car il permet aux utilisateurs de Linux (Winbind) et/ou de Windows de pouvoir s'authentifier sur n'importe quelle machine et d'avoir accès à leur données (montage samba ou pour Linux NFS ou shfs).

    Donc
    Samba seul ou Samba+NIS/NFS
  • # Re: Quelle politique de partage réseau pour un parc sous Linux ?

    Posté par . Évalué à 1.

    Il me semble que AFS pourrait convenir.
    http://www.openafs.org/(...)

    To access AFS files, users must both log into the local machine's UNIX file system and authenticate with the AFS authentication service. (Logging into the local UNIX file system is necessary because the AFS filespace is accessed through the Cache Manager, which resides in the local machine's kernel.)

    AFS provides a modified login utility for each system type that accomplishes both local login and AFS authentication in one step, based on a single password. If you choose not to use the AFS-modified login utility, your users must login and authenticate in separate steps, as detailed in the IBM AFS User Guide.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.