Le blog de Jean David TECHER, un Réunionnais à Saint-Priest/Lyon

Aller au contenu | Aller au menu | Aller à la recherche


< 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 218 219 220 221 222 223 224 225 226 227 228 229 230 231 232 233 234 235 236 237 238 239 240 241 242 243 244 245 246 247 248 249 250 251 252 253 254 255 256 257 258 259 260 261 262 263 264 265 266 267 268 269 270 271 272 273 274 275 276 277 278 279 280 281 282 283 284 285 286 287 288 289 290 291 292 293 294 295 296 297 298 299 300 301 302 303 304 305 306 307 308 309 310 311 312 313 314 315 316 317 318 319 320 321 322 323 324 325 326 327 328 329 330 331 332 333 >

mercredi 10 février 2010

Xen - Migration du Squid sous Debian Lenny 5.0.3 (Authentification: Squid +OpenLdap)

Par david techer, mercredi 10 février 2010 à 20:08 :: Xen

Objectifs

Le but ici est de déplacer le service squid présent sur monroe (voir schémas ci-dessous) sur une nouvelle machine xenifiée. Mon Squis actuel est sous Ubuntu 8.0.4. J'ai décidé de basculer mon squid sur une Lenny.

Les étapes sont donc successivement

  1. Création du domaine invité
  2. Installation du squid3;
  3. Modification de la règles de firewall pour le réseau 192.168.1.0/24

Rappel de l'ancienne configuration

Voici la configuration actuelle. Actuellement pour le réseau 192.168.1.0, les requêtes http sont dirigés vers monroe. La machine étant déjà  assez chargée, on va donc migrer le squid ailleurs sur une machine Xen hébergé sur melina.

Concernant la base MySQL sur melina-xen01, le travail a déjà  fait (consulter ce billet).

Future configuration (si possible)

On va essayer de migrer vers ça sur melina-xen02.

1. Le domaine invité qui accueillera Squid

1.1 Création du domaine invité

Depuis melina, on crée donc la nouvelle machine

melina:~# xen-create-image --hostname=melina-xen02 --ip=192.168.2.250 --role=udev

General Information
--------------------
Hostname       :  melina-xen02
Distribution   :  lenny
Partitions     :  swap            128Mb (swap)
                  /               20Gb  (ext3)
Image type     :  full
Memory size    :  512Mb
Kernel path    :  /boot/vmlinuz-2.6.26-2-xen-686
Initrd path    :  /boot/initrd.img-2.6.26-2-xen-686

Networking Information
----------------------
IP Address 1   : 192.168.2.250 [MAC: 00:16:3E:12:D3:BD]
Netmask        : 255.255.255.0
Broadcast      : 192.168.2.255
Gateway        : 192.168.2.253


Creating swap on /dev/xen-vm/melina-xen02-swap
Done

Creating ext3 filesystem on /dev/xen-vm/melina-xen02-disk
Done
Installation method: debootstrap
Done

Running hooks
Done

Role: udev
	File: /etc/xen-tools/role.d/udev
Role script completed.

Creating Xen configuration file
Done
Setting up root password
Enter new UNIX password: 
Retype new UNIX password: 
passwd: password updated successfully
All done


Logfile produced at:
	 /var/log/xen-tools/melina-xen02.log

1.2 Démarrage du domaine invité

On démarre et on se connecte ensuite au domaine 
melina:~# xm create -c /etc/xen/machines/melina-xen02.cfg -c
Il est dès lors possible de se connecter en SSH

2. SQUID

2.1 Installation de Squid

Rien de plus simple que 
apt-get update
apt-get install squid3
Avant de passer à  la configuration de Squid avec OpenLDAP, pour la suite il faut effectuer quelques tests avec l'utilitaire squid_ldap_auth, afin de s'assurer d'avoir fournis les bons paramètres à  l'utilitaire. Cette commande figurera par la suite dans la configuration de squid

Donc pour la suite, une petite lecture s'impose

man squid_ldap_auth
On lit un peu tout ça et on y go pour la suite.

2.2 Test de squid_ldap_auth

Un test pour interroger l'annuaire grà¢ce à  la commande 

/usr/lib/squid3/squid_ldap_auth -b dc=chezdavid,dc=local -f "uid=%s" -h 192.168.2.1 -p 389
[LOGIN] [PASSWORD]
Il faut donc saisir la commande "/usr/lib/squid3/squid_ldap_auth -b dc=chezdavid,dc=local -f "uid=%s" -h 192.168.2.1 -p 389" puis sur la nouvelle ligne son login et son mot de passe, tous deux espacé d'un blanc. La commande renverra donc "OK" en cas de succès.

J'ai respectivement reproduit un mauvais (respectivement bon) test sur la figure ci-dessous


Test pour squid_ldap_auth

2.3 Authentification pour Squid + OpenLDAP

Je n'ai pas trop trifouillé la configuration. J'ai juste mis ce dont j'ai besoin 
melina-xen02:~# grep -vE '^(#|$)' /etc/squid3/squid.conf
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 80		# http
acl Safe_ports port 21		# ftp
acl Safe_ports port 443		# https
acl Safe_ports port 70		# gopher
acl Safe_ports port 210		# wais
acl Safe_ports port 1025-65535	# unregistered ports
acl Safe_ports port 280		# http-mgmt
acl Safe_ports port 488		# gss-http
acl Safe_ports port 591		# filemaker
acl Safe_ports port 777		# multiling http
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
auth_param basic program /usr/lib/squid3/squid_ldap_auth -b dc=chezdavid,dc=local -f "uid=%s" -h 192.168.2.1 -p 389
auth_param basic children 5
auth_param basic realm Web-Proxy sur DavidGIS
auth_param basic credentialsttl 2 hours
acl ldapauth proxy_auth REQUIRED
acl authenticated proxy_auth REQUIRED
http_access allow authenticated
http_access allow ldapauth
http_access deny all
icp_access deny all
htcp_access deny all
http_port 3128
hierarchy_stoplist cgi-bin ?
access_log /var/log/squid3/access.log squid
refresh_pattern ^ftp:		1440	20%	10080
refresh_pattern ^gopher:	1440	0%	1440
refresh_pattern (cgi-bin|\?)	0	0%	0
refresh_pattern .		0	20%	4320
icp_port 3130
coredump_dir /var/spool/squid3

3. Règles pour le firewall

iptables -t nat -A PREROUTING -i eth0 -s 192.168.1.2/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.2.250:3128
iptables -A FORWARD -p tcp -i eth0 --dport 3128 -j ACCEPT

un commentaire :: aucun trackback

Migration de la base MySQL du blog

Par david techer, mercredi 10 février 2010 à 19:27 :: Xen

Avant hier, j'ai donc migré la base MySQL du blog sur ma petite machine xenifée. Je me retrouve donc dans la configuration actuelle

Rien de compliqué en soit sauf que les petites subtilités à  la MySQL n'étant pas mon fort, je préfère rédiger un billet au cas o๠l'expérience serait à  renouveler (au pire si celà  peut servir à  quelqu'un). Et oui j'ai fait et j'héberges du MySQL, je l'avoues. Je sens que j'ai déjà  perdu des amis en route. Tant pis!

So let's go...

J'ai donc commencé par effectué un dump

mysqldump BD -u??? -p??? > BD.dump

o๠il faut remplace ??? successivement par login et mot de passe. Puis un petit coup de scp sur la nouvelle machine

On se connecte ensuite sur la nouvelle machine qui est sous Lenny:

  1. On installe MySQL 
     apt-get update
 apt-cache search mysql
 apt-cache search mysql server
 apt-get install mysql-server-5.
    Lors de l'installation,il faudra définir le mot de passe de l'utilisateur root.
  2. Une fois le serveur installé, on crée une nouvelle base que j'ai nommé dotclear et on accorde les droits attendus 
    mysql -h localhost  -u??? -p???
    puis 
    create database dotclear;
grant all on dotclear.* to root@192.168.2.1 identified by '???';
    Ici 192.168.2.1 correspond à  l'IP de la machine o๠est installé le blog (IP locale).
  3. On sort du moniteur de mysql et on importe les données issues du dump: 
    mysq -u??? -p???r dotclear < BD.dump
  4. Puis il faut modifier le fichier /etc/mysql/my.cnf notamment remplacer la ligne 
    bind-address		= 127.0.0.1
    par l'IP de la machine 
    bind-address		= 192.168.2.252
    Il faut ensuite penser à  redémarrer MySQL pour prendre en compte ces modifications.
  5. On modifie ensuite le fichier de configuration de dotclear sur le blog pour pointer sur la nouvelle base. Une fois les vérifications de base passées avec succès (pas de souci apparent), on arrête définitivement MySQL sur 192.168.2.1.

un commentaire :: aucun trackback

Xen et SSH: "stdin is not a tty" (Résolu)

Par david techer, mercredi 10 février 2010 à 11:55 :: Xen

J'avais procédé à  la migration de ma base MySQL sur une machine xenifée (melina-xen01) ce lundi. Pour la création,vu que j'avais mon fichier xen-tools.conf déjà  renseigné (voir ce billet), j'ai donc procédé à  la création du domaine invité

xen-create-image --hostname=melina-xen01 --ip=192.168.2.252
Cependant j'ai omis de renseigné l'option --role=udev. Du coup toute connection en SSH, se solde par l'erreur 
"stdin is not a tty"
Un petit coup de google me fournit ce lien comme explications sur le symptome http://www.chicoree.fr/w/Stdin_is_not_a_tty_(xen-create-image) et ce lien comme réponse http://www.rottenbytes.info/?p=49 La solution comme indiquée depuis le 
 apt-get install udev
 echo "none            /dev/pts      devpts    defaults        0   0" >> /etc/fstab
Et on reboot la machine.

un commentaire :: aucun trackback

[Xen] Fichier de conf xen-tools avec LVM

Par david techer, mercredi 10 février 2010 à 02:06 :: Xen

Bon je profite de ma semaine de repos pour faire mes papiers administratifs mais aussi sur le temps libre pour tester Xen et LVM pour mes futures machines afin de déplacer certaines services de mon petit serveur sur d'autres machines.

J'ai la configuration actuelle. Je me la mets sous forme de billet car je sais qu'elle me sera utile. J'ai bien mon petit dépot SVN pour le réseau aussi mais copier depuis le Web, elle sera plus facile d'accès comme base pour autre chose.

Elle est très utile cette configuration quand on doit créerdes machines basées sur le même socle. Elle évite de se taper des commandes xen-create-image à  rallonge avec les diverses options à  écrire.

Bon je sais je débute sous Xen, mais j'apprends et c'est ça qui me plaà®t.

melina:~# grep -vE '^(#|$)' /etc/xen-tools/xen-tools.conf
lvm = xen-vm
install-method = debootstrap
size   = 20Gb      # Disk image size.
memory = 512Mb    # Memory size
swap   = 128Mb    # Swap size
fs     = ext3     # use the EXT3 filesystem for the disk image.
dist   = lenny     # Default distribution to install.
image  = sparse   # Specify sparse vs. full disk images.
gateway   = 192.168.2.253
netmask   = 255.255.255.0
broadcast = 192.168.2.255
passwd = 1
accounts = 1
kernel      = /boot/vmlinuz-`uname -r`
initrd      = /boot/initrd.img-`uname -r`
arch = i386
mirror = http://ftp.us.debian.org/debian/
ext3_options   = noatime,nodiratime,errors=remount-ro
ext2_options   = noatime,nodiratime,errors=remount-ro
xfs_options    = defaults
reiser_options = defaults
serial_device = hvc0
disk_device = xvda
output    = /etc/xen/machines
extension = .cfg

un commentaire :: aucun trackback