From c350a0585ec738156852abcd0e13ec8a31b5c77e Mon Sep 17 00:00:00 2001 From: Marc Fonvieille Date: Sun, 9 Jan 2005 16:47:50 +0000 Subject: [PATCH] MFen 1.23 --> 1.54 --- .../handbook/network-servers/chapter.sgml | 434 ++++++++++++++---- 1 file changed, 333 insertions(+), 101 deletions(-) diff --git a/fr_FR.ISO8859-1/books/handbook/network-servers/chapter.sgml b/fr_FR.ISO8859-1/books/handbook/network-servers/chapter.sgml index 616b1ec817..ae8768081b 100644 --- a/fr_FR.ISO8859-1/books/handbook/network-servers/chapter.sgml +++ b/fr_FR.ISO8859-1/books/handbook/network-servers/chapter.sgml @@ -3,7 +3,7 @@ The FreeBSD French Documentation Project $FreeBSD$ - Original revision: 1.23 + Original revision: 1.54 --> @@ -123,16 +123,14 @@ On fait souvent référence à &man.inetd.8; comme étant le “super-serveur Internet” parce qu'il gére les connexions pour - plusieurs “daemons”. Les programmes assurant des - services réseau sont généralement connus - sous le nom de “daemon”. - inetd joue le rôle de serveur - de régulateur pour les autres “daemon”s. + plusieurs services. Quand une connexion est reçue par inetd, ce dernier détermine - à quel “daemon” la connexion est - destinée, invoque le “daemon” en question - et lui délègue la “socket”. + à quel programme la connexion est + destinée, invoque le processus en question + et lui délègue la “socket” (le + programme est invoqué avec la “socket” service + comme entrée standard, sortie et descripteurs d'erreur). Exécuter une instance d'inetd réduit la charge système globale par rapport à l'exécution @@ -398,7 +396,7 @@ arguments-du-programme-serveur Un des suivants: - + @@ -676,7 +674,7 @@ arguments-du-programme-serveur Les périphériques de stockage comme les - lecteurs de disquettes, de CDROM, de disquettes ZIP peuvent + lecteurs de disquettes, de CDROM, de disquettes &iomegazip; peuvent être utilisés par d'autres machines sur le réseau. Cela pourra réduire le nombre de lecteurs de medias amovibles sur le réseau. @@ -694,12 +692,12 @@ arguments-du-programme-serveur doivent être configurés et en fonctionnement. - Avec &os; 5.X, l'utilitaire - portmap a été - remplacé par rpcbind. Aussi - sous &os; 5.X l'utilisateur doit remplacer chaque - instance de portmap avec - rpcbind dans les exemples qui + Sous &os; 4.X, l'utilitaire + portmap est utilisé + à la place de rpcbind. Aussi + sous &os; 4.X l'utilisateur doit remplacer chaque + instance de rpcbind avec + portmap dans les exemples qui suivent. Sur le serveur, les “daemons” suivants @@ -708,6 +706,9 @@ arguments-du-programme-serveur NFS serveur + + rpcbind + portmap @@ -718,7 +719,7 @@ arguments-du-programme-serveur nfsd - + @@ -743,8 +744,8 @@ arguments-du-programme-serveur lui passe &man.nfsd.8;. - portmap - Le “daemon portmapper” permet aux + rpcbind + Ce daemon permet aux clients NFS de trouver le port que le serveur NFS utilise. @@ -780,7 +781,7 @@ arguments-du-programme-serveur les options suivantes sont configurées dans le fichier /etc/rc.conf: - portmap_enable="YES" + rpcbind_enable="YES" nfs_server_enable="YES" mountd_flags="-r" @@ -821,7 +822,7 @@ mountd_flags="-r" paramètres peuvent être différents en fonction de votre environnement et votre configuration réseau. Par exemple, pour exporter le - répertoire /cdrom + répertoire /cdrom pour les trois machines d'exemple qui appartiennent au même domaine que le serveur (d'où l'absence du nom de domaine pour chacune d'entre elles) ou qui ont une @@ -836,7 +837,7 @@ mountd_flags="-r" /cdrom -ro host1 host2 host3 La ligne suivante exporte /home pour les trois machines en + class="directory">/home pour les trois machines en utilisant les adresses IP. C'est une configuration utile si vous disposez d'un réseau privé sans serveur DNS configuré. Le fichier @@ -853,7 +854,7 @@ mountd_flags="-r" /home -alldirs 10.0.0.2 10.0.0.3 10.0.0.4 La ligne suivante exporte /a pour que deux clients d'un + class="directory">/a pour que deux clients d'un domaine différent puissent y accéder. Le paramètre autorise l'utilisateur root du système @@ -880,16 +881,17 @@ mountd_flags="-r" distante ne peut être spécifiée qu'une fois par système de fichiers, et ne devrait avoir qu'une seule entrée par défaut. Par exemple, - supposons que /usr soit + supposons que /usr soit un seul système de fichiers. Le fichier /etc/exports suivant serait invalide: - /usr/src client + # Invalide quand /usr est un système de fichiers +/usr/src client /usr/ports client Un système de fichiers, - /usr, a deux lignes + /usr, a deux lignes précisant des exportations vers la même machine, client. Le format correct pour une telle situation est: @@ -906,8 +908,8 @@ mountd_flags="-r" Ce qui suit est un exemple de liste d'exportation valide, où les répertoires /usr et /exports sont des systèmes + class="directory">/usr et /exports sont des systèmes de fichiers locaux: # Exporte src et ports vers client01 et client02, mais seul @@ -937,7 +939,7 @@ mountd_flags="-r" Sur le serveur NFS: - &prompt.root; portmap + &prompt.root; rpcbind &prompt.root; nfsd -u -t -n 4 &prompt.root; mountd -r @@ -961,11 +963,11 @@ mountd_flags="-r" &prompt.root; mount serveur:/home /mnt Cela montera le répertoire /home situé sur le serveur - au point /mnt sur le + class="directory">/home situé sur le serveur + au point /mnt sur le client. Si tout est correctement configuré vous devriez être en mesure d'entrer dans le - répertoire /mnt + répertoire /mnt sur le client et de voir tous les fichiers qui sont sur le serveur. @@ -1015,7 +1017,7 @@ mountd_flags="-r" Plusieurs machines pourront avoir un répertoire - /usr/ports/distfiles + /usr/ports/distfiles commun. De cette manière, quand vous avez besoin d'installer un logiciel porté sur plusieurs machines, vous pouvez accéder rapidement aux sources sans les @@ -1063,22 +1065,22 @@ mountd_flags="-r" amd opère en s'attachant comme un serveur NFS aux répertoires /host et /net. Quand on accède + class="directory">/host et /net. Quand on accède à un fichier à l'intérieur de ces répertoires, amd recherche le montage distant correspondant et le monte automatiquement. - /net est utilisé + /net est utilisé pour monter un système de fichiers exporté à partir d'une adresse IP, alors que /host est utilisé pour + class="directory">/host est utilisé pour monter un système de fichiers exporté à partir d'un nom de machine distant. Un accès à un fichier dans /host/foobar/usr demandera + class="directory">/host/foobar/usr demandera à amd de tenter de monter - l'export /usr sur la + l'export /usr sur la machine foobar. @@ -1101,7 +1103,7 @@ Exports list on foobar: Comme on le voit dans l'exemple, showmount liste /usr comme une exportation. Quand + class="directory">/usr comme une exportation. Quand on change de répertoire pour /host/foobar/usr, amd tente de résoudre le nom @@ -1201,10 +1203,10 @@ Exports list on foobar: nom de la station de travail (interface) performante, et freebox celui d'une machine (interface) &os; avec une carte Ethernet moins performante. /sharedfs est le système de + class="directory">/sharedfs est le système de fichiers NFS qui sera exporté (consulter la page de manuel &man.exports.5;), et /project sera le point de montage + class="directory">/project sera le point de montage sur le client pour le système de fichiers exporté. Dans tous les cas, des options supplémentaires, telles que @@ -1359,11 +1361,14 @@ Exports list on foobar: que vous vouliez mettre en place un serveur NIS ou un client NIS: + + rpcbind + portmap - + @@ -1384,13 +1389,16 @@ Exports list on foobar: système DNS. - portmap + rpcbind Doit tourner afin d'activer les RPC (Remote Procedure Call, appel de procédures distantes, un protocole réseau utilisé par NIS). Si - portmap ne tourne pas, il + rpcbind ne tourne pas, il sera impossible de faire fonctionner un serveur NIS, ou - jouer le rôle d'un client NIS. + jouer le rôle d'un client NIS (sous + &os; 4.X portmap est + utilisé à la place de + rpcbind). ypbind @@ -1553,7 +1561,7 @@ Exports list on foobar: La configuration du laboratoire ressemble à quelque chose comme: - + @@ -1754,10 +1762,10 @@ Exports list on foobar: Les tables NIS sont des fichiers de base de données, qui sont conservés dans le répertoire /var/yp. Elles sont + class="directory">/var/yp. Elles sont générées à partir des fichiers de configuration du répertoire /etc du serveur NIS + class="directory">/etc du serveur NIS maître, avec une exception: le fichier /etc/master.passwd. Et cela pour une bonne raison, vous ne voulez pas divulguer les mots de passe @@ -2269,7 +2277,7 @@ basie&prompt.root; les noms des nouveaux utilisateurs et des nouvelles machines ainsi qu'une courte description de chacuns. - + @@ -2307,7 +2315,7 @@ basie&prompt.root; - + @@ -2984,9 +2992,9 @@ nis_client_flags="-S NIS domain,serverDHCP est supporté par sysinstall. Quand on configure une interface réseau sous - sysinstall, la première + sysinstall, la deuxième question posée est: “Voulez-vous tenter la - configuration DHCP de cette interface?”. + configuration DHCP de l'interface?”. Répondre par l'affirmative à cette question lancera dhclient, et en cas de succès, complètera automatiquement les @@ -3089,7 +3097,7 @@ dhcp_flags="" /sbin/dhclient dhclient est lié statiquement et réside dans le répertoire - /sbin. La page de + /sbin. La page de manuel &man.dhclient.8; donne beaucoup plus d'informations au sujet de dhclient. @@ -3119,7 +3127,7 @@ dhcp_flags="" dans la RFC 2131. Des informations sont également disponibles à l'adresse dhcp.org. + url="http://www.dhcp.org/">. @@ -3137,7 +3145,7 @@ dhcp_flags="" La partie serveur n'est pas fournie dans le système de base de &os;, et vous devrez installer le logiciel porté net/isc-dhcp3-server pour + role="package">net/isc-dhcp3-relay pour bénéficier de ce service. Lisez le pour plus d'information sur l'utilisation du catalogue des logiciels portés. @@ -3329,7 +3337,7 @@ host mailhost { /usr/local/sbin/dhcpd dhcpd est lié statiquement et réside dans le répertoire - /usr/local/sbin. + /usr/local/sbin. La page de manuel &man.dhcpd.8; installée avec le logiciel porté donne beaucoup plus d'informations au sujet de dhcpd. @@ -3424,9 +3432,8 @@ host mailhost { Les RFC1034 et RFC1035 régissent le protocole DNS. - Actuellement, BIND est maintenu par l'Internet Software Consortium - (www.isc.org). + Actuellement, BIND est maintenu par l'Internet Software + Consortium . @@ -3435,6 +3442,9 @@ host mailhost { Pour comprendre ce document, certains termes relatifs au DNS doivent être maîtrisés. + résolveur + DNS inverse + zone racine @@ -3467,7 +3477,6 @@ host mailhost { &os; - resolveur Resolveur Un processus système par @@ -3476,7 +3485,6 @@ host mailhost { zone. - DNS inverse DNS inverse C'est l'inverse du DNS “classique” @@ -3484,7 +3492,6 @@ host mailhost { adresses IP vers noms de machine. - zone racine Zone racine @@ -3521,7 +3528,7 @@ host mailhost { zone racine - example.org est une + example.org. est une zone sous la zone org. @@ -3546,7 +3553,7 @@ host mailhost { spécifique que la zone racine. La constitution de chaque partie d'un nom de machine est proche de celle d'un système de fichiers: le répertoire /dev se trouve sous la racine, et + class="directory">/dev se trouve sous la racine, et ainsi de suite. @@ -3622,7 +3629,7 @@ host mailhost { named pour des raisons évidentes. - + @@ -3645,7 +3652,7 @@ host mailhost { /etc/namedb + class="directory">/etc/namedb répertoire où se trouvent les informations sur les zones de BIND @@ -3661,7 +3668,7 @@ host mailhost { Les fichiers de zone sont généralement stockés dans le répertoire /etc/namedb, et contiennent les + class="directory">/etc/namedb, et contiennent les informations concernant les zones DNS gérées par le serveur de noms. @@ -4227,7 +4234,7 @@ www IN CNAME @ à named un fonctionnement correct. Dans la liste d'opérations qui suit, on suppose que l'emplacement du “sandbox” est - /etc/namedb et que vous + /etc/namedb et que vous n'avez pas précédemment modifié le contenu de ce répertoire. Effectuez les étapes suivantes en tant que root: @@ -4323,7 +4330,7 @@ $TTL 6h &prompt.root; cd /usr/src && make cleandir && make cleandir et effacez votre arborescence - /usr/obj: + /usr/obj: &prompt.root; rm -fr /usr/obj && mkdir /usr/obj @@ -4339,7 +4346,7 @@ $TTL 6h suivante, alors la version de named-xfer se trouvant dans le répertoire /usr/libexec est liée + class="directory">/usr/libexec est liée en statique par défaut, et vous pouvez tout simplement utiliser la commande &man.cp.1; pour la copier dans l'environnement “sandbox”. @@ -4347,7 +4354,7 @@ $TTL 6h Créer un fichier spécial de - périphérique dev/null + périphérique dev/null dans lequel named peut lire et écrire: @@ -4367,14 +4374,12 @@ $TTL 6h spécifier l'option à &man.ndc.8; à chaque fois que vous l'exécutez. Comme le contenu du répertoire - /var/run est - effacé au démarrage, si vous trouvez cela - utile vous pouvez vouloir ajouter cette commande dans le - fichier crontab de l'utilisateur - root, en utilisant l'option - . Consultez la page de manuel - &man.crontab.5; pour plus d'informations à ce - sujet. + /var/run est + effacé au démarrage, il peut être + utile d'ajouter cette commande dans le fichier + &man.crontab.5; de l'utilisateur + root en utilisant l'option + . @@ -4474,7 +4479,7 @@ zone "10.168.192.in-addr.arpa" in { L'option directory est - définie par /, + définie par /, puisque tous les fichiers dont named a besoin sont dans ce répertoire (ceci est équivalent au fichier @@ -4491,7 +4496,7 @@ zone "10.168.192.in-addr.arpa" in { est compilé pour chercher named-xfer par défaut dans le répertoire /usr/libexec. + class="directory">/usr/libexec. Indique le nom de fichier (relatif à la valeur @@ -4508,7 +4513,7 @@ zone "10.168.192.in-addr.arpa" in { du serveur maître. C'est pourquoi nous avons eu besoin de changer le propriétaire du répertoire slave pour + class="directory">slave pour bind dans les étapes de configuration précédentes. @@ -4589,6 +4594,221 @@ zone "10.168.192.in-addr.arpa" in { + + + + + Tom + Rhodes + Ecrit par + + + + <acronym>BIND</acronym>9 et &os; + + + + bind9 + configuration + + L'arrivée de &os; 5.3 a apporté le + serveur DNS BIND9 dans la + distribution. De nouvelles fonctionnalités concernant la + sécurité, une nouvelle organisation des fichiers, + une configuration &man.chroot.8; automatisée, font partie + des nouveautés. Cette section est divisée en deux + parties, la première abordera les nouvelles + fonctionnalités et leur configuration, la seconde + traitera des mises à jours en vue d'aider la migration + vers &os; 5.3. A partir de cet instant, il sera fait + référence au serveur à l'aide du nom + &man.named.8; à la place de BIND. + Cette section fait l'impasse sur la terminologie + présentée dans la section précédente + tout comme sur une partie de la théorie, par + conséquent il est recommandé de consulter la + section précédente avant d'aller plus loin. + + Les fichiers de configuration pour + named se trouvent dans le + répertoire /var/named/etc/namedb/ et devront + être adaptés avant toute utilisation. C'est + là où la majeure partie de la configuration se + fera. + + + Configuration d'une zone maître + + Pour configurer une zone maître, il faut se rendre + dans le répertoire /var/named/etc/namedb/ et + exécuter la commande suivante: + + &prompt.root; sh make-localhost + + Si tout s'est bien passé, un nouveau fichier + devrait apparaître dans le répertoire master. Le nom du fichier + devrait être localhost.rev pour le + nom de domaine local et localhost-v6.rev + pour les configurations IPv6. Tout comme + le fichier de configuration par défaut, une + configuration pour son utilisation sera déjà + présente dans le fichier + named.conf. + + + + Configuration d'une zone esclave + + La configuration de domaines supplémentaires ou de + sous-domaines peut être faite sous la forme d'une zone + esclave. Dans la plupart des cas, le fichier + master/localhost.rev peut être + directement copié dans le répertoire slave et y être + modifié. Une fois complétés, les + fichiers doivent être ajoutés dans le fichier + named.conf comme dans la configuration + suivante pour example.com: + + zone "example.com" { + type slave; + file "slave/example.com"; + masters { + 10.0.0.1; + }; +}; + +zone "0.168.192.in-addr.arpa" { + type slave; + file "slave/0.168.192.in-addr.arpa"; + masters { + 10.0.0.1; + }; +}; + + Notez que dans cet exemple, l'adresse + IP du maître est celle du serveur + primaire du domaine à partir duquel les zones sont + transférées; il ne joue pas + nécessairement le rôle de serveur + DNS en tant que tel. + + + + Configuration de l'initialisation du + système + + Afin de lancer le daemon + named au démarrage du + système, l'option suivante doit être + présente dans le fichier + rc.conf: + + named_enable="YES" + + Alors que d'autres options existent, cela + représente le minimum nécessaire. Consultez la + page de manuel de &man.rc.conf.5; pour une liste des autres + options disponibles. Si rien n'est présent dans le + fichier rc.conf alors + named peut être + exécuté à partir de la ligne de commande + en invoquant: + + &prompt.root; /etc/rc.d/named start + + + + La sécurité et + <acronym>BIND</acronym>9 + + Bien que &os; enferme automatique + named dans un environnement + &man.chroot.8;, il exite plusieurs autres mécanismes de + sécurité présents qui pourraient aider + à se prémunir contre de possibles attaques + DNS. + + + Listes de contrôle d'accès des + requêtes + + Une liste de contrôle d'accès des + requêtes peut être employée pour + restreindre les requêtes sur certaines zones. La + configuration de cette liste fonctionne en + définissant le réseau concerné à + l'intérieur d'une directive acl + puis en listant les adresses IP dans la + configuration de zone. Pour autoriser des domaines à + envoyer des requêtes à la machine + utilisée en exemple, effectuez la définition + suivante: + + acl "example.com" { + 192.168.0.0/24; +}; + +zone "example.com" { + type slave; + file "slave/example.com"; + masters { + 10.0.0.1; + }; + allow-query { example.com; }; +}; + +zone "0.168.192.in-addr.arpa" { + type slave; + file "slave/0.168.192.in-addr.arpa"; + masters { + 10.0.0.1; + }; + allow-query { example.com; }; +}; + + + + Restreindre l'accès au numéro de + version + + Autoriser les requêtes sur le numéro de + version du serveur DNS peut ouvrir les + portes à un agresseur. Un utilisateur malveillant + peut utiliser cette information pour rechercher les exploits + connus ou les bogues à utiliser contre la machine. + Une fausse chaîne de caractères de version peut + être placée dans la section + options du fichier + named.conf: + + options { + directory "/etc/namedb"; + pid-file "/var/run/named/pid"; + dump-file "/var/dump/named_dump.db"; + statistics-file "/var/stats/named.stats"; + version "None of your business"; + + + + + @@ -4666,10 +4886,10 @@ zone "10.168.192.in-addr.arpa" in { défaut pour l'arborescence Apache. Les binaires sont stockés dans les sous-répertoires bin et sbin de la racine du serveur, + class="directory">bin et sbin de la racine du serveur, et les fichiers de configuration dans etc/apache. + class="directory">etc/apache. @@ -4762,6 +4982,15 @@ Log file format --> &prompt.root; /usr/local/sbin/apachectl restart + Pour redémarrer Apache + sans faire échouer les connexions en cours, + exécutez: + + &prompt.root; /usr/local/sbin/apachectl graceful + + Des informations supplémentaires sont disponibles + dans la page de manuel d'&man.apachectl.8;. + Pour lancer Apache au démarrage du système, ajoutez la ligne suivante au fichier /etc/rc.conf: @@ -4863,11 +5092,16 @@ DocumentRoot /www/someotherdomain.tld Si vous n'avez pas déjà installé Apache, alors une version - d'Apache comprenant + d'Apache 1.3.X comprenant mod_ssl peut être installée à l'aide du logiciel porté www/apache13-modssl. + role="package">www/apache13-modssl. Le support + SSL est également disponible pour + Apache 2.X avec le logiciel + porté www/apache2, où il est + activé par défaut. @@ -5287,7 +5521,7 @@ DocumentRoot /www/someotherdomain.tld comptes utilisateur &unix; à partir de clients &windows;, utilisez la commande suivante: - &prompt.root; cat /etc/passwd | grep -v "^#" | make_smbpasswd > /usr/local/private/smbpasswd + &prompt.root; grep -v "^#" /etc/passwd | make_smbpasswd > /usr/local/private/smbpasswd &prompt.root; chmod 600 /usr/local/private/smbpasswd Veuillez consulter la documentation de @@ -5404,7 +5638,7 @@ Starting smbd. ou votre FAI peuvent avoir mis en place un serveur NTP dans cet objectif—consultez leur documentation pour voir si c'est le cas. Il existe une liste + url="http://ntp.isc.org/bin/view/Servers/WebHome">liste en ligne de serveurs NTP accessibles par le public que vous pouvez utiliser pour trouver un serveur NTP proche de vous. Assurez-vous d'avoir pris connaissance de la politique @@ -5539,7 +5773,7 @@ driftfile /var/db/ntp.drift être utilisées comme point de de synchronisation, ajoutez: - restrict 192.168.1.0 mask 255.255.255.0 notrust nomodify notrap + restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap à la place, où 192.168.1.0 est une adresse IP de @@ -5560,27 +5794,25 @@ driftfile /var/db/ntp.drift Pour s'assurer que le serveur NTP est lancé au démarrage, ajoutez la ligne - xntpd_enable="YES" dans le fichier + ntpd_enable="YES" dans le fichier /etc/rc.conf. Si vous désirez passer des indicateurs supplémentaires à &man.ntpd.8;, éditez les paramètres de l'option - xntpd_flags dans + ntpd_flags dans /etc/rc.conf. Pour lancer le serveur sans redémarrer votre machine, exécutez ntpd en étant sûr de préciser tout paramètre supplémentaire de - xntpd_flags dans + ntpd_flags dans /etc/rc.conf. Par exemple: &prompt.root; ntpd -p /var/run/ntpd.pid - Sous &os; 5.X, diverses options du fichier - /etc/rc.conf ont été - renommées. Ainsi, vous devez remplacer chaque - xntpd par ntpd dans les + Sous &os; 4.X, vous devez remplacer chaque + ntpd par xntpd dans les options ci-dessus. @@ -5612,7 +5844,7 @@ driftfile /var/db/ntp.drift Pour plus de détails lisez la section PACKET FILTERING de la page de manuel &man.ppp.8; et les exemples du répertoire /usr/share/examples/ppp/. + class="directory">/usr/share/examples/ppp/. Certains fournisseurs d'accès Internet bloquent @@ -5627,7 +5859,7 @@ driftfile /var/db/ntp.drift La documentation pour le serveur NTP peut être trouvé dans le répertoire /usr/share/doc/ntp/ sous le format + class="directory">/usr/share/doc/ntp/ sous le format HTML.