Newbie Kit SME 5.6 à 6.5 (RPM, HowTo, ... )

[MasterSleepy]

Salut à tous,

Je viens de trouver un lien très interressant.
http://packages.nass.com.au/e-smith/postfix/2.1-for-6.0b3/

Cela concerne l'installation de postfix sur une SME.

A+

[sibsib]

A la demande générale de Muzo je mets ici une explication du 'setuid bit', du 'setgid bit' et du 'sticky bit'

Problème :
Quand on fait un 'ls -l' on voit parfois apparaitre quelque chose sous cette forme :

Code: Tout sélectionner

ls -l /bin/su
-rwsr-xr-x    1 root     root        19116 avr  8  2002 /bin/su


Que signifie ce petit s

Explication

Bon, les droits 'normaux', c'est lire, écrire, exécuter (ou traverser pour une directory) respectivement pour le propriétaire du fichier, le groupe du fichier, et les autres.
exemple : -rwxr-xr-- pierre famille :
pierre peut lire, écrire et exécuter le fichier
les membres du groupe 'famille' peuvent lire et exécuter, mais pas modifier
les autres peuvent lire mais pas exécuter

Maintenant, parfois, dans la vie (et presque tout le temps pour le compte admin) on voudrait qu'un user puisse faire un truc (et un seul truc !) en tant que quelqu'un d'autre.
Typiquement, on voudrait qu'un user non root puisse faire une action limitée à root.

Exemple concret :
Quand je me loggue sur une machine Unix, quelque part, j'accède au fichier /etc/shadow (qui contient le hash des passwords). Et pourtant, voici ce que donne un 'ls -l /etc/shadow'

Code: Tout sélectionner

-r--------    1 root     root         2530 jui  2 21:04 /etc/shadow


Donc, seul root a le droit de lire ce fichier. comment c'est-y donc qu'un user normal peut utiliser la commande su (qui permet de changer d'identité) ?
voici ce que donne un 'ls -l /bin/su'

Code: Tout sélectionner

-rwsr-xr-x    1 root     root        19116 avr  8  2002 /bin/su


le fichier appartient à root, mais on voit qu'au lieu de -rwxr-xr-x on a -rwsr-xr-x

ce petit s est nommé le setuid bit

Ceci veut dire (comme tout à l'heure que le fichier peut être lu et exécuté par tout le monde et modifié par root. Mais en plus, celui qui lance la commande exécute cette commande avec les privilèges de root (en fait avec les privilèges du propriétaire du fichier)

En résumé :
si le 'setuid bit' est positionné, alors celui qui exécute le fichier le fait au nom du propriétaire du fichier (en gros, c'est surtout rigolo si le fichier appartient à root, parce que s'il appartient à un quidam qui n'a aucun droit... à la limite, tu peux exécuter une commande avec moins de droits que ce que tu avais au démarrage)
Si le c'est le deuxième x qui est transformé en s (dans la partie 'group' - on parle du setgid bit) est positionné, tu exécutes la commande en tant que membre du groupe d'appartenance.
Cà, c'est beaucoup utilisé par SME au niveau des I-Bays : ainsi, comme le sticky bit de groupe est positionné dans les répertoires, tous les fichiers créés dans un I-Bay appartiennent au même groupe (quel que soit le groupe primaire de la personne qui crée le fichier) . Ceci évite de gros problèmes de droits.
Enfin, pour la petite histoire, on peut également changer le troisème bit ( Celui de la partie other - on parle du sticky bit) existe aussi, mais a une signification complètement différente (et s'affiche d'ailleurs t et non pas s) :
Positionné sur un répertoire (généralement un répertoire temporaire) il indique que seul le créateur d'un fichier a le droit de le supprimer . Exemple

Code: Tout sélectionner

ls -ld /tmp
drwxrwxrwt    4 root     root         8192 jui  9 20:30 /tmp

Tout le monde peut lire et écrire dans /tmp, mais seul le créateur d'un fichier peut le supprimer.


Enfin : commant positionne-t-on un de ces trois 'magics bits' ?
Par la commande chmod, en ajoutant un chiffre devant le triplet classique :
si tu souhaites positionner le premier setuid bit, et créer un fichier lisible par tous et que root peut écrire :

Code: Tout sélectionner

chown root /ton/fichier
chmod 4755 /ton/fichier


Si tu souhaite qu'un script puisse seulement être lu par les membres du groupe admin, et soit exécuté en tant que root, alors :

Code: Tout sélectionner

chown root:admin /ton/script
chmod 4750         /ton/script


Si tu souhaites positionner le 'sticky bit' sur un répertoire temporaire en autorisant tout le monde à lire/écrire/explorer, alors la comande est

Code: Tout sélectionner

chmod 1777 tmp

Ouf !

<Edité le 8 Septembre 2005 : la terminologie n'était pas vraiment ( vraiment pas ) académique>

A+,
Pascal

[Muzo]

Question : Comment faire pour que ma SME devienne contrôleur de domaine NT?
Mots clefs : contrôleur dedomaine

Réponse :

Les exigences d'XP vont au-delà de ce que peut fournir SME. Pour y remédier, il faut simplement dire à XP d'être plus cool, en modifiant une clef de la base de registre :

Code: Tout sélectionner

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netlogon\parameters]
"RequireSignOrSeal"=dword:00000000

Cette clef peut aussi être modifiée automatiquement grâce au ".reg" qui se trouve sur le HD de ton serveur à cet endroit :

Code: Tout sélectionner

/home/e-smith/files/server-resources/regedit/winxplogon.reg

ce qui est très pratique car le PC peut alors, sans être authentifié sur le domaine, accéder en réseau à l'url :

Code: Tout sélectionner

http://<domaine ou adresse ip>/server-resources/regedit/

où se trouve le fameux ".reg".

source : contribs.org

[jeanjan]

établir une connexion vpn entre le SME et un poste Windows XP

sur le SME par le server-manager :
. dans sécurité --> Accès à distance : à nombre de client PPTP mettre au moins 1
. dans collaboration --> usagers : s'assurer que dans le compte utilisateur, que vous allez utiliser pour vous logguer, l'option Accès de client de réseau privé virtuel est à OUI.


Sur le poste Windows XP :
suivez la doc très bien faite suivante : http://www.domain-logic.com/support/sec ... nel_XP.htm

[guytou]

Question : Probleme d'envoi de mail vers entre autre : tiscali club-internet aol etc (message de retour : Relaying not allowed ).



Cause :

en general :
sme 6.x ou 5.6.
provider wanadoo.
adresse dns en dyndns.org.
les micros derriere ces serveurs envoient leurs mails en utilisant le smtp de la sme.

Resultat les mail a destination par ex de aol tiscali ect reviennent avec un 550 Relaying not allowed
(car les providers des destinataires des mail (aol etc) refusent le courrier des serveurs smtp perso.


Remede :

pour une sme 6.x
aller dans le server-manager ( http://111.222.333.444/server-manager)
aller dans courrier electronique puis dans Adresse du serveur de courrier du fournisseur de services Internet mettre smtp.wanadoo.fr pour wanadoo.


au niveau de la console du serveur :

Dans la rubrique 'configurer ce serveur' -> 'selectionner l'adresse du serveur dns maitre':
mettre l'adresse dns de wanadoo (si on ne met pas l'adresse dns de wanadoo, ce coups ci , c'est wanadoo qui refusera de relayer le courrier (apparament un dispositif interne de protection)).

A la demande (justifiée) de gaston (merci a toi)

remede pour la sme 5.6


1) créer un fichier "15 forwarders" dans le répertoire des templates avec le contenu suivant :
[root]# cd /etc/e-smith/templates-custom/etc/named.conf/
[root]# cat 15forwarders
# for Wanadoo DNS
forwarders \{ 193.252.19.3; 193.252.19.4; \};

2) regénérer le named.conf :
[root]# /sbin/e-smith/expand-template /etc/named.conf

3) Dans le server manager
Configuration
Other e-mail Settings
Internet provider's SMTP server
smtp.wanadoo.fr





au niveau des clients courrier

on peut garder les parametres suivant :
pop : adresse du sme
smtp : adresse du sme

voila apres toutes ces modifs ca marche sur tous mes serveurs sme.

[Muzo]

Question : Comment se connecter en mode console sur ma SME?
Mots clefs : putty console admin configurer

Réponse :

Pour cela il faut se connecter avec un client ssh (putty).

Dans le client ssh à adresse ip mettez celle de votre SME.
Au prompt mettez le login et password.

Pour vous connectez pour reconfigurer : connectez-vous en tant que "admin" (login admin) et là vous aurez l'interface bleu que vous avez eu lors de l'installation.

Pour vous connectez pour explorer le disque/modifier les templates : connectez-vous en tant que "root" (login root), et là vous aurez un écran noir, et il vous faut connaitre les commandes idoines.

P.S.: dans les 2 cas c'est le même mot de passe.

PRE REQUIS (Merci Pabze) : Il va de soit qu'avant de pouvoir vous connecter en ssh, il faut avoir autoriser la connection ssh dans l'interface d'administration, dans la rubrique "remote access" ou "accés distant".

Pour plus d'information voici un petit Guide d'utilisation (merci Yoda pour avoir dénicher ces docs): http://www.giref.ulaval.ca/ressources/putty.html
http://www.megarezo.org/perso/eole/doc_putty/howto/howto-c_01.html

[Naeh]

On peut aussi installer la contrib : smeserver-shell-0-1.noarch.rpm

ca marche tres bien

[HzK]

Question : Comment créer des fichiers PDF gràce à des logiciels Open source sans qu'il soit nécessaire d'installer un seul programme sur les postes clients

mots clefs: Samba, pdf

réponse :

http://lea-linux.org/admin/ps2pdf.html

ou

http://www.adullact.org/article.php3?id_article=52

[Muzo]

Question: Comment rendre accessible depuis le net une machine (B) de mon reseau local (derriere une machine (A) SME 6.01) disposant d'une application web based, c'est a dire que j'ai besoin d'attaquer cette machine (B) sur le port 80 depuis le net? Tout ceci en laissant intact mon site web principal hebergé sur ma SME (A).
Mots clefs: Serveur derrière une SME

Réponse :

1) Une redirection en changeant le n° de port.
dans le server manager, tu renvoies les requêtes du port 8080 sur l'IP de ton serveur interne sur le port 80

ainsi
http://www.domaine.fr -> SME
http://www.domaine.fr:8080 -> mène à appli interne

2) Utilsation des fonction reverse proxy de apache pour rester sur le port 80
Dans ce cas, il te faut un alias dns pour ton deuxième site.

Exemple : ton domaine est domaine.fr
OVH fait pointer www.domaine.fr sur ton IP, fais ajouter BBB.domaine.fr comme alias de www.domaine.fr

Pascal a tout expliqué là

Sujet source

[Muzo]

Question : Je fais une mise à jour de mon matériel, mais je ne veux pas changer le disque où est installé ma SME. Comment faire?
Mots clefs : modification matériel hardware

Réponse :

Solution 1:

Si le matériel est supporté par la distribution, alors il n'y a aucun problème. Après avoir booté, connectez-vous en root sur la machine et éxécuté la commande :

Code: Tout sélectionner

kudzu

Cela va relancer la détection du matériel et mettre à jour la SME niveau matériel.

Solution 2:

Mettre le CD d'installation de SME dans le lecteur CD, et faire une installation en mode upgrade (une des options de l'installation)

http://forums.fr.ixus.net/viewtopic.php?t=21614

[poisseux]

AHA je pense avoir tout regarder et il manque le plus important LE TELECHARGEMENT
Personnellement dés que j'aurais mis en place mon nouveau serveur je le mettrais sur mon FTP... mais en attendant le telechargement est lent .... trés lent . De plus ( d'aprés mes recherches ( qui ne sont peut être pas exhaustives)) il n'existe qu'un seul site (le site de contrib) où l'on puisse le telecharger ?! : http://www.ibiblio.org/pub/linux/distributions/smeserver/index.php?subdir=releases%2F6.0.1%2Fiso&sortby=name

donc si quelqu'un connais un site un peu plus rapide ( je ne critique pas, j'essai juste de lancer un HELP a travers les utilisateurs d'SME) eh bien c'est avec plaisir que je voudrais qu'il me le communique éhéhéh

voila

j'espère que les distribs de SME se feront plus répandu

[shwing]

Question: Lire mes MP3 depuis ma SME, en streaming.

Mots clés: streaming , mp3 , audio , musique , multimedia , kplaylist , winamp , php

Réponse:

Très simple.

Créer une ibays "mp3" lui donner les droits que l'on souhaite (local ou internet / mot de passe ou pas)
Uploader le fichier kplaylist.php --> www.kplaylist.net (dans /home/e-smith/files/ibays/mp3/html)
Créer un dossier (dans /home/e-smith/files/ibays/mp3/html) qui va contenir tous les mp3, peux importe le nombres de sous-dossiers.
Se loguer http://IP-SME/mp3/kplaylist.php et voilà ! Le username est admin et le mot de passe aussi, par défaut

Lorsque vous séléctionnez un fichier à lire, kplaylist va simplement ouvir le lecteur de musique par défault. Et vive le streaming facile !




...

je vous l'accorde, il etait facile celui-ci, mais tellement sympa.

[Muzo]

Question: Comment envoyer/recevoir des mails avec une connexion Wanadoo?

Mots clés: mail, smtp, wanadoo

Réponse:

Lisez ce sujet

[Muzo]

Question: Quel est la matériel compatible avec SME?

Mots clés: compatibilité, matériel, hardware

Réponse:

Lien valable pour les SME 5.6, 6.0, 6.1, et 6.5: http://hardware.redhat.com/hcl/

[psykoben]

Question: Comment lancer une divx box sans disque dur depuis la sme

Mots clef: Geexbox, PXE, tftpboot

Prérequis: une SME (6.0.1) , un pc equipé d'un adaptateur pouvant booter en PXE sur le réseau (la plupart des adaptateur ethernet intégré sur la carte mère font ca), ceux qui n'ont pas ce genre de carte pourront tout de meme jeter un coup d'oeil la

Ce HOW TO est une copie (un peu modifiée) de ce post en réponse a

Salut,

Merci pour ta contribution.
Si elle est stable et bien testée, tu peux l'ajouter dans le newbie Kit .
Comme ca ta contribution ne se perdra pas au fin fond du forum.

/Muzo

J'utilise la distribution Geexbox pour ma divxbox car elle supporte également les cartes tv analogique et les télécommandes (un cd RW est un bon moyen de tester avant de se lancer dans l'installation ).
Je décris l'installation depuis un poste linux (pour ceux qui l'ont pas c'est le bon moment pour lancer une knoppix )

Installation des services nécessaires

D'abord installer le service tftp et le panel thin client

Code: Tout sélectionner

#cd plus (j'utilise le script smeplus et j'aime bien classer mes rpm )
#mkdir thinclients
# cd thinclients
#wget http://distro.ibiblio.org/pub/linux/distributions/smeserver/contribs/trevorb/beta/Thinclient/smeserver-tftpd-0.36-1.i386.rpm
#wget   http://distro.ibiblio.org/pub/linux/distributions/smeserver/contribs/trevorb/beta/Thinclient/smeserver-thinclient-1.2.0-5.noarch.rpm
# rpm -Uvh smeserver*.rpm

Ensuite installer et parametrer le service nfs

Code: Tout sélectionner

# cd ..
# mkdir nfs
# cd nfs
# wget http://sme.swerts-knudsen.com/downloads/NFS/nfs-utils-0.3.3-5.i386.rpm
# wget http://sme.swerts-knudsen.com/downloads/NFS/portmap-4.0-41.i386.rpm
# rpm -Uvh nfs*.rpm portmap*.rpm

Activer le lancement des services au boot de SME

Code: Tout sélectionner

# cd /etc/rc.d/rc7.d
# ln -s /etc/init.d/portmap S92portmap
# ln -s /etc/init.d/nfs S93nfs

Autoriser le réseau local à acceder au services

Code: Tout sélectionner

# mkdir -p /etc/e-smith/templates-custom/etc/hosts.allow
# echo "nfs: 192.168.1.0/255.255.255.0" > /etc/e-smith/templates-custom/etc/hosts.allow/nfs
# echo "portmap: 192.168.1.0/255.255.255.0" > /etc/e-smith/templates-custom/etc/hosts.allow/portmap
# /sbin/e-smith/expand-template /etc/hosts.allow


Il faut adapter la plage d'ip en fonction de votre réseau local (chez moi 192.168.1.0/255.255.255.0 c'est à dire toutes les machines sur le lan)

Création et exportation de l'arborescence de la geexbox

Dans une console linux (pas sur la sme on est d'accord )

Télécharger les sources de geexbox et décompresser l'archive

Code: Tout sélectionner

$ cd ~
$ wget http://www.geexbox.org/releases/0.98.6/geexbox-0.98.6-full.tar
$ tar -xvf geexbox-0.98.6-full.tar
$ vi ~/geexbox-0.98.6/config/options


Modifier le fichier options pour qu'il corresponde à vos besoins (architecture, cpu,télécommande , thème, langue du menu, codecs supplementaires,etc...
Et surtout renseigner DEFAULT_NFS_SERVER= avec l'ip de votre sme
puis

Code: Tout sélectionner

# cd ~/geexbox-0.98.6
# make pxe


Copier le contenu du répertoire geexbox-pxe nouvellement créer (le répertoire GEEXBOX.i386) dans le répertoire /tftpboot de votre sme

Retour dans la console de la sme et exportation de tout ca

Code: Tout sélectionner

# mkdir -p /etc/e-smith/templates-custom/etc/exports
# echo "/tftpboot/GEEXBOX.i386 192.168.1.0/255.255.255.0(ro,sync,no_root_squash)" > /etc/e-smith/templates-custom/etc/exports/GEEXBOX
# /sbin/e-smith/expand-template /etc/exports


Il faut de nouveau adapter la plage d'ip a votre réseau
Démarrage des services

Code: Tout sélectionner

# service portmap start
# service nfs start


Paramètrage des chemins d'accès

Ouvrir le server manager et aller dans thinclient

Dans distributions: ajouter une nouvelle distribution

Name: geexbox
Directory (/tftpboot/): GEEXBOX.i386/boot
Executable: pxelinux.0

ensuite

Your PXE Boot Server is: enabled
Your TFTP Server is: self
The default Distribution is: geexbox

plus qu'a booter en pxe sur le lan et à croiser les doigts
Si vous souhaiter que seule la machine du salon puisse booter sur geexbox le panel thinclient permet de choisir qui doit démarrer quoi !

Merci à ceux qui testeront de bien vouloir poster leur questions et/ou retour d'expérience sur ce post

A noter que cette configuration permet de booter également toute autre distrib prévue pour ca ( debian fourni par exemple un installateur pouvant démarrer sur le réseau) il suffit alors de se référer à la documentation fournie avec chaque distrib ( schématiquement pour l'installateur debian il suffit de creer un repertoire debian dans /tftpboot, d'y decompresser le tar.gz de l'installateur puis d'utiliser le panel thin client pour renseigner les chemins d'accès), certaines autres distrib nécessitent également d'ajouter des partages nfs supplémentaires.

Bon film a tous