Le blog de Jean David TECHER, un Réunionnais à Saint-Priest/Lyon

Avant de continuer, il faut s'assurer de la lecture de ces deux billets pour suivre les épisodes:

1. http://www.davidgis.fr/blog/index.php?2010/02/10/667-xen-migration-du-squid
2. http://www.davidgis.fr/blog/index.php?2010/02/10/666-migration-de-la-base-mysql-du-blog

On veut donc ici migrer notre FreeRadius...

Remarque: pour une éventuelle compilation/installation de FreeRadius 2.1.8 couplé à  OpenLDAP sous Lenny et pour disposer des diverses états nécessaires (pour ceux que la compilation n'effraie pas)...il y a ces trois billets

1. Compilation pour 2.1.7 ou 2.1.8: http://www.davidgis.fr/blog/index.php?2009/12/06/626--freeradius-217-openldap-partie-2-eap-ttls-fichiers-de-configurations
2. Configuration en tant que servicehttp://www.davidgis.fr/blog/index.php?2010/01/08/642-freeradius-218-installation-en-tant-que-service
3. Si vous disposez d'un Belkin FD7130 comme moi et que vous voulez passez à  dd-wrt: http://www.davidgis.fr/blog/index.php?2010/01/10/644-flasher-belkin-fd7130-avec-dd-wrt-et-freeradius-218

Je m'égare un peu mais revenons donc à  notre migration.

Donc le but maintenant est de migrer FreeRadius que j'avais sur monroe (Ubuntu 8.0.4) vers melina-xen03 (Debain 5.0.3). On supposera donc ici que la machine melina-xen03 a déjà  été créée.

Mon installation de FreeRadius sur monroe résidait dans /opt/freeradius.

Donc

scp -r monroe:/opt/freeradius/ /opt/

Pour les dépences des librairies et le cache des librairies, les commandes suivantes suffiront vu que tout a déjà  été compilé.

apt-get install libldap2-dev libssl-dev openssl libltdl3-dev

echo "/opt/freeradius/lib/" > /etc/ld.so.conf.d/radiusd.conf
ldconfig

Pour l'installatin du service, on récupère le fichier depuis monroe et on lance un update-rc.d

scp monroe:/etc/init.d/radiusd /etc/init.d/
 update-rc.d radiusd defaults

Et on lance enfin le service... Par rapport à  mon belkin 54 g qui est sous dd-wrt, je n'ai qu'à  pointé sur la bonne IP et le tour est joué

Faisant les courses cet après-midi, j'en ai profité pour me prendre une barrette de 2GB de RAM pour ma petite olivia. Elle en avait bien besoin. Le vendeur me disait que vu que la fréquence de la barrette qu'il me proposait était apparement légèrement supérieur à  la référence, j'aurais 80% de chance que celà  passe en fonction de l'acceptation ou non de la part de ma carte-mère.

Je suis rentré et j'ai testé...Ca a marché! J'avais la chance de ce cà´té là  avec moi.

Donc pour un ACER 180 RB7Z, une carte DDR2 2GB 800 Kingston Original CL6 (c'est la référence sur la facture) passe sans souci pour Ubuntu.

Objectifs

Le but ici est de déplacer le service squid présent sur monroe (voir schémas ci-dessous) sur une nouvelle machine xenifiée. Mon Squis actuel est sous Ubuntu 8.0.4. J'ai décidé de basculer mon squid sur une Lenny.

Les étapes sont donc successivement

1. Création du domaine invité
2. Installation du squid3;
3. Modification de la règles de firewall pour le réseau 192.168.1.0/24

Rappel de l'ancienne configuration

Voici la configuration actuelle. Actuellement pour le réseau 192.168.1.0, les requêtes http sont dirigés vers monroe. La machine étant déjà  assez chargée, on va donc migrer le squid ailleurs sur une machine Xen hébergé sur melina.

Concernant la base MySQL sur melina-xen01, le travail a déjà  fait (consulter ce billet).

Future configuration (si possible)

On va essayer de migrer vers ça sur melina-xen02.

1. Le domaine invité qui accueillera Squid

1.1 Création du domaine invité

Depuis melina, on crée donc la nouvelle machine

melina:~# xen-create-image --hostname=melina-xen02 --ip=192.168.2.250 --role=udev

General Information
--------------------
Hostname       :  melina-xen02
Distribution   :  lenny
Partitions     :  swap            128Mb (swap)
                  /               20Gb  (ext3)
Image type     :  full
Memory size    :  512Mb
Kernel path    :  /boot/vmlinuz-2.6.26-2-xen-686
Initrd path    :  /boot/initrd.img-2.6.26-2-xen-686

Networking Information
----------------------
IP Address 1   : 192.168.2.250 [MAC: 00:16:3E:12:D3:BD]
Netmask        : 255.255.255.0
Broadcast      : 192.168.2.255
Gateway        : 192.168.2.253


Creating swap on /dev/xen-vm/melina-xen02-swap
Done

Creating ext3 filesystem on /dev/xen-vm/melina-xen02-disk
Done
Installation method: debootstrap
Done

Running hooks
Done

Role: udev
	File: /etc/xen-tools/role.d/udev
Role script completed.

Creating Xen configuration file
Done
Setting up root password
Enter new UNIX password: 
Retype new UNIX password: 
passwd: password updated successfully
All done


Logfile produced at:
	 /var/log/xen-tools/melina-xen02.log

1.2 Démarrage du domaine invité

On démarre et on se connecte ensuite au domaine

melina:~# xm create -c /etc/xen/machines/melina-xen02.cfg -c

Il est dès lors possible de se connecter en SSH

2. SQUID

2.1 Installation de Squid

Rien de plus simple que

apt-get update
apt-get install squid3

Avant de passer à  la configuration de Squid avec OpenLDAP, pour la suite il faut effectuer quelques tests avec l'utilitaire squid_ldap_auth, afin de s'assurer d'avoir fournis les bons paramètres à  l'utilitaire. Cette commande figurera par la suite dans la configuration de squid

Donc pour la suite, une petite lecture s'impose

man squid_ldap_auth

On lit un peu tout ça et on y go pour la suite.

2.2 Test de squid_ldap_auth

Un test pour interroger l'annuaire grà¢ce à  la commande

/usr/lib/squid3/squid_ldap_auth -b dc=chezdavid,dc=local -f "uid=%s" -h 192.168.2.1 -p 389
[LOGIN] [PASSWORD]

Il faut donc saisir la commande "/usr/lib/squid3/squid_ldap_auth -b dc=chezdavid,dc=local -f "uid=%s" -h 192.168.2.1 -p 389" puis sur la nouvelle ligne son login et son mot de passe, tous deux espacé d'un blanc. La commande renverra donc "OK" en cas de succès.

J'ai respectivement reproduit un mauvais (respectivement bon) test sur la figure ci-dessous

Test pour squid_ldap_auth

2.3 Authentification pour Squid + OpenLDAP

Je n'ai pas trop trifouillé la configuration. J'ai juste mis ce dont j'ai besoin

melina-xen02:~# grep -vE '^(#|$)' /etc/squid3/squid.conf
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 80		# http
acl Safe_ports port 21		# ftp
acl Safe_ports port 443		# https
acl Safe_ports port 70		# gopher
acl Safe_ports port 210		# wais
acl Safe_ports port 1025-65535	# unregistered ports
acl Safe_ports port 280		# http-mgmt
acl Safe_ports port 488		# gss-http
acl Safe_ports port 591		# filemaker
acl Safe_ports port 777		# multiling http
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
auth_param basic program /usr/lib/squid3/squid_ldap_auth -b dc=chezdavid,dc=local -f "uid=%s" -h 192.168.2.1 -p 389
auth_param basic children 5
auth_param basic realm Web-Proxy sur DavidGIS
auth_param basic credentialsttl 2 hours
acl ldapauth proxy_auth REQUIRED
acl authenticated proxy_auth REQUIRED
http_access allow authenticated
http_access allow ldapauth
http_access deny all
icp_access deny all
htcp_access deny all
http_port 3128
hierarchy_stoplist cgi-bin ?
access_log /var/log/squid3/access.log squid
refresh_pattern ^ftp:		1440	20%	10080
refresh_pattern ^gopher:	1440	0%	1440
refresh_pattern (cgi-bin|\?)	0	0%	0
refresh_pattern .		0	20%	4320
icp_port 3130
coredump_dir /var/spool/squid3

3. Règles pour le firewall

iptables -t nat -A PREROUTING -i eth0 -s 192.168.1.2/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.2.250:3128
iptables -A FORWARD -p tcp -i eth0 --dport 3128 -j ACCEPT       

Avant hier, j'ai donc migré la base MySQL du blog sur ma petite machine xenifée. Je me retrouve donc dans la configuration actuelle

Rien de compliqué en soit sauf que les petites subtilités à  la MySQL n'étant pas mon fort, je préfère rédiger un billet au cas o๠l'expérience serait à  renouveler (au pire si celà  peut servir à  quelqu'un). Et oui j'ai fait et j'héberges du MySQL, je l'avoues. Je sens que j'ai déjà  perdu des amis en route. Tant pis!

So let's go...

J'ai donc commencé par effectué un dump

mysqldump BD -u??? -p??? > BD.dump

o๠il faut remplace ??? successivement par login et mot de passe. Puis un petit coup de scp sur la nouvelle machine

On se connecte ensuite sur la nouvelle machine qui est sous Lenny:

1. On installe MySQL

    apt-get update
    apt-cache search mysql
    apt-cache search mysql server
    apt-get install mysql-server-5.
   

   Lors de l'installation,il faudra définir le mot de passe de l'utilisateur root.
2. Une fois le serveur installé, on crée une nouvelle base que j'ai nommé dotclear et on accorde les droits attendus

   mysql -h localhost  -u??? -p??? 

   puis

   create database dotclear;
   grant all on dotclear.* to root@192.168.2.1 identified by '???';
   

   Ici 192.168.2.1 correspond à  l'IP de la machine o๠est installé le blog (IP locale).
3. On sort du moniteur de mysql et on importe les données issues du dump:

   mysq -u??? -p???r dotclear < BD.dump

4. Puis il faut modifier le fichier /etc/mysql/my.cnf notamment remplacer la ligne

   bind-address		= 127.0.0.1

   par l'IP de la machine

   bind-address		= 192.168.2.252

   Il faut ensuite penser à  redémarrer MySQL pour prendre en compte ces modifications.
5. On modifie ensuite le fichier de configuration de dotclear sur le blog pour pointer sur la nouvelle base. Une fois les vérifications de base passées avec succès (pas de souci apparent), on arrête définitivement MySQL sur 192.168.2.1.