Grand-Pa
2012-12-31 23:00:02 UTC
FAQ alt.e-smith.fr v.20070904
Auteur: Franck PIERRE (grand-***@grand-pa.dyndns.org)
Période: tous les 1er et 15 du mois
Origine: http://smeserver.fr/faqs/faq_smeserver.txt
Changelog: http://smeserver.fr/faqs/CHANGELOG
_______________________________________________________________________
| Réponses aux questions fréquemment posées et charte du forum Usenet |
| alt.e-smith.fr |
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Cette FAQ ne demande qu'à évoluer. N'hésitez pas à me soumettre vos
contributions (ajouts, suppressions, corrections, commentaires, etc.)
Sommaire :
¯¯¯¯¯¯¯¯¯¯
1 - Présentation de SME Server
1.1 - Particularités
1.2 - Public visé
1.3 - Obtenir le CD-ROM d'installation
2 - Documentation relative à SME Server
3 - Configuration de SME Server
3.1 - Console du serveur
3.2 - Gestionnaire du serveur
3.3 - MySQL
4 - Accès à SME Server
4.1 - En local
4.2 - Depuis le réseau local
4.3 - Depuis Internet
5 - Annexes
5.1 - Mini-charte du newsgroup
5.2 - Accès au newsgroup
=========================================================================
1 - Présentation de SME Server
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
SME Server, anciennement appelé e-smith (ce nom n'est plus utilisé pour
la désigner) est une distribution Linux dont l'utilisation est orientée
serveur et passerelle.
Si vous ignorez ce qu'est Linux ou une distribution, je vous conseille de
lire cette page :
http://www.aful.org/presentations/linux.html
Cette distribution repose sur une base de Linux CentOS 4.3, clone GPL de
la distribution de référence RedHat Enterprise Linux (RHEL) version 4.
Pour plus d'information sur ces deux distributions, voir leurs sites :
http://www.centos.org/
http://www.fr.redhat.com/software/rhel/
SME est elle-même sous licence GPL et est donc librement téléchargeable
et utilisable par quiconque possède un micro-ordinateur de type PC
(compatible Intel i386). Plus d'informations sur cette licence :
http://www.gnu.org/copyleft/gpl.html
Elle est développée par une équipe de développeurs bénévoles et le projet
est hébergé sur le site contribs.org :
http://contribs.org/
1.1 - Particularités
--------------------
SME Server offre des capacités de routage permettant de partager une
connexion Internet sur l'ensemble d'un réseau local. Elle dispose en outre
de nombreux service permettant d'en faire un serveur type Internet ou
Intranet très complet.
Elle propose, entre autres, des services HTTP (Web) avec PERL, Python,
PHP et MySQL pour dynamiser les sites, FTP (transfert de fichiers), SMTP
(envoi de courrier), POP3 et IMAP (réception de courrier) avec WebMail
(accès à la messagerie par une interface Web), Samba (serveur de fichiers
local), DHCP (configuration réseau automatique des ordinateurs reliés au
réseau local), proxy, etc.
L'aspect sécurité est pris en compte à tous les niveaux et la plupart des
services sus-mentionnés sont également accessibles en version sécurisée
(SSH2). En outre, SME offre une fonction de pare-feu (firewall) avec des
règles prédéfinies de haute qualité.
Son administration se fait à partir de deux interfaces distinctes :
*) la console du serveur qui permet de configurer les paramètres réseau
à l'issue de l'installation (nom, domaine racine, interfaces réseau,
type de connexion, mode de fonctionnement, etc.)
*) le gestionnaire du serveur, interface "Web" qui permet d'administrer
les différents services offerts par le serveur
Au niveau de son fonctionnement interne, SME dispose d'un mécanisme de
configuration automatique assez complexe et extrêmement ingénieux qui
permet d'intégrer de façon très homogène une interface de configuration
Web, l'ensemble des fichiers de configuration et la gestion de tous les
services. Ces trois éléments interagissent ensemble en fonction de
certains événements définis (tâche programmée, action dans le
gestionnaire du serveur, etc.) ou aléatoires (déconnexion/reconnexion au
FAI, par exemple).
Autre particularité : à l'inverse des distributions "généralistes", SME
Server ne dispose pas d'interface graphique de type X-Window ni de
compilateur. Ceci est volontaire et ne doit pas être remis en cause sur un
serveur de production puisque ces deux éléments ne sont pas utiles au
fonctionnement d'un serveur et qu'ils sont les principaux vecteurs de
dysfonctionnements des systèmes *NIX.
Cela peut sembler déroutant, voir gênant, mais on s'y fait très vite et on
en voit l'intérêt encore plus vite. En contrepartie, il faut disposer
d'une machine tierce ou d'un logiciel d'exploitation de machines
virtuelles pour pouvoir compiler et tester de nouveaux programmes que l'on
pourra ensuite déployer sur le serveur SME.
Enfin, pour ceux qui souhaitent exploiter SME pour héberger des sites, il
faut savoir qu'il est possible d'avoir plusieurs emplacements de stockage,
appelées i-bays, vers lesquelles il est possible de faire pointer un nom
de domaine.
D'un point de vue technique, ces i-bays peuvent être constituées de trois
répertoires distincts permettant de stocker des applications CGI, des
fichiers accessibles en FTP (si le service est configuré) et enfin la zone
de stockage des pages "web".
Toutefois, il existe plusieurs configurations possibles pour ces i-bays
(accès restreint, utilisation de scripts, hébergement de site ou seulement
de fichiers, etc.) ; à vous de gérer ces espaces de stockage en fonction
de vos besoins.
1.2 - Public visé
-----------------
Il existe, à mon avis, deux grandes familles de personnes intéressées par
SME-Server :
*) particuliers disposant d'une connexion "haut débit" et souhaitant la
partager entre leurs différents ordinateurs et/ou souhaitant créer
un serveur "Web" chez eux, avec tous les avantages que cela comprend
en terme de flexibilité et de possibilités
*) professionnels ayant besoin de gérer directement leurs ressources
Internet (sites, messageries, etc.) à moindre frais et avec une
réactivité difficile à obtenir chez un fournisseur de services Internet
A cela viennent s'ajouter ceux qui souhaitent avoir rapidement un serveur
LAMP/FTP/mail fonctionnel sur un réseau local ou une DMZ.
1.3 - Obtenir le CD-ROM d'installation
--------------------------------------
On peut très facilement obtenir l'image ISO du CD-ROM d'installation en
la téléchargeant sur un site miroir de téléchargement. Depuis la France
métropolitaine, je vous conseille de la récupérer sur :
http://ftp.nluug.nl/os/Linux/distr/smeserver/releases/7/iso/
http://ftp.surfnet.nl/ftp/pub/os/Linux/distr/smeserver/releases/7/iso/
Une fois téléchargée, et après en avoir éventuellement vérifié la somme de
contrôle, il suffit de la graver et de suivre les instructions de cette
page pour l'installer :
http://smeserver.fr/phase1.php
2 - Documentation relative à SME Server
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
J'ai fait une page assez complète à ce sujet sur mon site. Pour éviter
d'avoir à mettre à jour cette FAQ à chaque modification de ma page de
liens (avec tous les risques de non correspondance que cela peut
impliquer), je vous invite simplement à consulter cette page :
http://smeserver.fr/liens.php
D'une manière générale, je vous recommande de lire mon site afin de voir
comment installer et configurer facilement votre serveur. Il ne remplace
pas la documentation officielle bien plus complète, mais offre une
approche complète du processus d'installation. Au cas où, je rappelle son
adresse :
http://smeserver.fr/
La documentation officielle se trouve sur le site fédérateur du projet
(contribs.org). On y trouve notamment le manuel, une FAQ et des forums :
http://contribs.org/documentation/manual/
http://contribs.org/documentation/FAQ/
http://contribs.org/modules/pbboard/
3 - Configuration de SME Server
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
3.1 - Console du serveur
------------------------
Cette console permet de configurer le fonctionnement de base du serveur.
Peu d'éléments sont définis ici, mais ce sont eux qui vont pouvoir
modifier radicalement le fonctionnement du serveur.
Pour accéder à cette console, je vous renvoie au chapitre §3.1, l'accès
étant possible depuis le serveur en local ou à distance (depuis le réseau
local ou Internet, suivant la configuration) via SSH.
Il serait trop long de détailler ici toutes les options de cette console.
Je vous renvoie donc vers mon site pour de plus amples détails :
http://smeserver.fr/console.php
3.2 - Gestionnaire du serveur
-----------------------------
Le gestionnaire du serveur, également appelé server-manager ou tout
simplement manager permet la configuration des différents services
disponibles sous SME, la gestion des sites, des groupes, des
utilisateurs, la visualisation des fichiers de log, etc.
Ce gestionnaire du serveur est accessible depuis la console du serveur,
mais cette utilisation est très peu pratique. Il vaut mieux l'exploiter
depuis le réseau local, tel que décrit dans le chapitre §3.2 ou via
Internet dans le chapitre §3.3
Tout comme pour la console du serveur, je préfère vous renvoyer vers mon
site pour avoir les détails concernant ce gestionnaire du serveur :
http://smeserver.fr/manager.php
3.3 - MySQL
-----------
En fonction de l'utilisation que vous avez de votre serveur, vous pouvez
avoir besoin d'exploiter des bases de données. Or, par défaut, seul le
compte root a accès au service MySQL. Comme celui-ci ne doit être utilisé
QUE pour faire de l'administration du service MySQL, je vous recommande
très vivement de créer des utilisateurs MySQL en suivant les explications
données dans mon site :
http://smeserver.fr/astuces.php?astuce=mysql_users_create
4 - Accès à SME Server
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
4.1 - En local
--------------
Par défaut, seuls les comptes admin et root peuvent ouvrir une session
sur le serveur, que ce soit en local ou à distance. Ils sont tous deux
configurés avec le même mot de passe, défini lors de l'installation.
Le compte admin ouvre directement la console du serveur (cf. §3.1).
Pour qu'un utilisateur "standard" puisse se connecter, il faut lui
assigner un nouveau shell. Par exemple, pour un utilisateur toto déjà
créé, il faudrait ouvrir une session en root et taper :
db accounts setprop toto Shell /bin/bash
signal-event user-modify toto
4.2 - Depuis le réseau local
----------------------------
Il existe de nombreuses façons de se connecter au serveur depuis le
réseau local. Je vais donc essayer de ne pas en oublier...
*) Gestionnaire du serveur (server-manager) : l'accès se fait avec un
navigateur Internet en allant à l'une de ces adresses :
https://ADRESSE_IP_DU_SERVEUR/server-manager
https://NOM_DU_SERVEUR/server-manager
Pour pouvoir y accéder, il faut s'authentifier avec le compte admin et
son mot de passe défini lors de l'installation du serveur.
*) Gestionnaire de mots de passe (user-password) : là encore, il s'agit
d'une interface Web permettant aux utilisateurs reconnus de changer
leur mot de passe de connexion. On y accède avec un navigateur
Internet par l'une de ces adresses :
https://ADRESSE_IP_DU_SERVEUR/user-password
https://NOM_DU_SERVEUR/user-password
*) SSH (Secured SHell) : Cela permet d'ouvrir un terminal sur le serveur,
un peu comme nous l'avons vu au chapitre précédent (§3.1), sauf que
là, c'est à distance et que le transfert d'information entre les deux
machines est sécurisé (crypté en temps réel). Pour pouvoir utiliser
cette fonctionnalité, vous devrez autoriser l'accès SSH depuis le
gestionnaire du serveur, dans la page "Accès à distance" et utiliser un
client SSH pour vous connecter. Sous Windows, il existe un très bon
client SSH nommé PuTTY (gratuit, très léger et sans installation) :
http://www.chiark.greenend.org.uk/~sgtatham/putty/
Il suffit de l'exécuter, de lui indiquer le nom ou l'adresse IP du
serveur et le protocole utilisé (SSH ou port 22). Ensuite, il vous
demandera un nom d'utilisateur et son mot de passe pour pouvoir ouvrir
une session.
Pour accroître le niveau de sécurité, il est recommandé d'utiliser des
paires de clé SSH, tel qu'indiqué dans cette page :
http://smeserver.fr/astuces.php?astuce=net_ssh_keys
*) HTTP : toutes les machines peuvent accéder au site primaire de SME.
En revanche, il est possible de définir des restrictions sur les
i-bays du serveur afin d'obliger les utilisateurs à s'authentifier
pour avoir accès à leur contenu (un peu à la manière de
l'authentification pour l'accès au gestionnaire de serveur).
*) FTP : ce protocole vous permet de faire des transferts de fichiers
entre un ordinateur et le serveur. Vous devrez configurer l'accès FTP
depuis le gestionnaire de serveur, dans la page "Accès à distance" et
utiliser un client FTP pour accéder à vos données et les transférer.
Pour pouvoir envoyer des fichiers vers le serveur, vous devrez vous
authentifier avec un nom d'utilisateur et son mot de passe reconnu du
système. Seul admin a un accès en écriture à l'ensemble des partages
FTP : les utilisateurs "standard" et les i-bays sont cantonnés à leurs
répertoires respectifs.
*) SMTP : pour l'envoi de tous vos couriels vers Internet, je vous
recommande d'utiliser le serveur SMTP de votre serveur SME plutôt que
celui de votre FAI. Cette procédure peut même s'avérer indispensable
puisque les machines situées derrière le serveur SME ont des adresses
privées (non délivrables et non reconnues par votre fournisseur
d'accès). Les messages envoyés depuis ces machines sont donc vus comme
n'étant pas originaires d'un client du FAI et sont alors refusés
(relaying not allowed). Pour utiliser le SMTP de SME, dans votre
client de messagerie, il suffit d'indiquer l'adresse IP ou le nom
canonique de votre serveur dans le champ SMTP de chacun de vos
comptes. Vous n'avez même pas à indiquer de compte d'utilisateur pour
exploiter cette fonctionnalité.
*) POP3/IMAP : tous les utilisateurs créés sous SME disposent par défaut
d'une boite de messagerie sur laquelle il est possible de leur envoyer
du courrier. En fait, chaque utilisateur dispose de trois adresses de
messagerie pointant vers la même boite : ***@VOTRE_DOMAINE.TRUC,
***@VOTRE_DOMAINE.TRUC et ***@VOTRE_DOMAINE.TRUC
Tous vos utilisateurs peuvent donc utiliser ces adresses à leur
convenance pour recevoir du courrier depuis n'importe où. Il suffit
pour cela de configurer les clients de messagerie pour accéder aux
boites aux lettres en POP3 ou en IMAP, selon vos préférences.
A noter que admin dispose également d'une boite de messagerie sur
laquelle le système peut envoyer des messages en cas, par exemple, de
dysfonctionnement d'un programme. Je vous recommande donc de vérifier
régulièrement sa boite de messagerie.
*) WebMail : il s'agit d'une interface Web que vous pouvez activer depuis
le gestionnaire de serveur dans la page "Messagerie électronique".
Pour accéder à leur compte de messagerie, vos utilisateurs auront
juste à utiliser un navigateur Web et à aller à l'une de ces adresses :
https://ADRESSE_IP_DU_SERVEUR/webmail
https://NOM_DU_SERVEUR/webmail
Il suffit alors d'indiquer le nom de compte de l'utilisateur et son mot
de passe. Ensuite, je vous laisse découvrir l'interface et étudier la
documentation propre à IMP si vous rencontrez des problèmes.
*) Samba : SME permet de fonctionner comme un serveur de fichier type
Windows NT en offrant même la possibilité de fonctionner en serveur de
domaine (l'authentification sur le réseau est centralisée sur le
serveur). A partir du moment où vous êtes authentifié sur le domaine
"Windows" avec un nom d'utilisateur et un mot de passe reconnu par SME,
vous aurez accès aux ressources partagées par Samba (fichiers et
imprimantes). Cette authentification se fait généralement à l'ouverture
de Windows, si vous l'avez configuré, de façon à spécifier vos nom
d'utilisateur et mot de passe pour ouvrir une session sur la machine ou
sur le domaine.
*) Netatalk : si vous avez sur votre réseau des Macintosh fonctionnant
sous Mac OS versions 7, 8 ou 9, ils peuvent avoir accès aux données
partagées du serveur via ce protocole. A noter qu'avec Mac OS X il est
préférable d'utiliser Samba.
*) Proxy : il ne s'agit pas vraiment d'un accès au même sens que ce que
nous venons de voir, mais je pense nécessaire d'en parler un peu. Par
défaut, les service proxy HTTP et SMTP de SME sont actifs et
transparents, c'est à dire, qu'on le veuille ou non, on passe forcément
par eux. Il est possible de modifier cette caractéristique en allant
dans le gestionnaire du serveur, à la rubrique "Services Proxy".
4.3 - Depuis Internet
---------------------
Ces connexions sont bien sûr possible uniquement dans le cas où le
serveur est accessible, au moins en partie (dans le cas où il serait
situé en DMZ), depuis Internet.
*) Gestionnaire de serveur et gestionnaire de mot de passe : ils sont
inaccessibles directement, pour d'évidentes raisons de sécurité. Il est
néanmoins possible d'ouvrir ces pages si l'on crée un VPN (réseau privé
virtuel) en PPTP ou IPSec ou si l'on crée un tunnel SSH.
Pour le tunnel SSH, l'accès SSH doit être préalablement autorisé dans le
gestionnaire de serveur. Sous Windows, nous pouvons utiliser PuTTY pour
ouvrir le tunnel. On lui indique le nom ou l'adresse IP du serveur, le
protocole SSH (ou le numéro du port dédié au service SSH) et ensuite,
dans le menu de gauche, on va dans 'Connection' - 'SSH' - 'Tunnels'.
Dans 'Source port', il faut indiquer "443" (sans les guillemets), dans
'Destination', indiquer "localhost:443" (toujours sans les guillemets)
et cliquer ensuite sur Add. Dans 'Forwarded ports', vous pouvez voir
une nouvelle entrée du genre :
L443 localhost:443
Vous devez alors vous identifier avec le compte admin ou root. Dès que la
session est ouverte, le tunnel l'est aussi.
Sous Linux ou MacOS X, il faut ouvrir le tunnel en ligne de commande :
ssh -L 443:localhost:443 ***@ADRESSE_IP_DU_SERVEUR
Vous pouvez alors exploiter le gestionnaire avec votre navigateur
Internet en allant sur la page :
https://localhost/server-manager
Authentifiez-vous admin et vous aurez l'agréable surprise de découvrir
votre gestionnaire sur votre machine locale !
N'oubliez pas de fermer le tunnel SSH, en vous déconnectant, dès que
vous aurez fini d'utiliser le gestionnaire.
Une autre solution consiste à ajouter une ou plusieurs classe(s)
d'adresse(s) IP autorisée(s) à accéder au gestionnaire de serveur de
SME. Cette option se trouve dans le chapitre "Gestion à distance" de
la page "Accès à distance" dans le gestionnaire de serveur. Ainsi,
si vous disposez d'une adresse IP fixe et que vous souhaitez accéder
simplement au gestionnaire de serveur d'un serveur SME distant, il
vous suffit d'ajouter votre adresse IP fixe avec un masque de sous-
réseau égal à 255.255.255.255
Enfin, si vous êtes connecté à votre réseau local via un VPN, vous
pouvez accéder au gestionnaire de la même façon que si vous étiez
connecté localement à votre réseau.
*) SSH, FTP et POP3/IMAP/SMTP sont accessibles de la même façon que si
vous étiez sur le réseau local, si vous en avez autorisé l'accès
depuis l'extérieur (accès public). A noter que ceci n'est vrai pour
les services de messagerie que s'ils sont configurés avec les
protocoles sécurisés (POP3S, IMAPS, SSMTP).
*) HTTP et WebMail sont accessible de la même façon que depuis le réseau
local (sauf configurations particulières des i-bays).
*) Samba n'est pas accessible depuis Internet, sauf dans le cas où l'on
crée un accès VPN (en PPTP ou IPSec) avec le serveur SME. Ce type de
configuration dépassant le cadre de cette FAQ, je ne le traite pas ici.
5 - Annexes
¯¯¯¯¯¯¯¯¯¯¯
Avant toute chose, et surtout avant d'écrire le moindre message sur le
newsgroup, vous êtes très vivement encouragé à lire et à appliquer les
très bons conseils formulés dans ces excellents documents :
http://www.usenet-fr.net/fur/usenet/repondre-sur-usenet.html
http://www.usenet-fr.net/fur/linux/debutants.html
Cette FAQ concerne essentiellement le newsgroup Usenet alt.e-smith.fr,
c'est à dire le forum francophone consacré à la distribution Linux SME
Server (cf. chapitre §1). N'écrivez donc dans ce forum que si votre
message a un rapport quelconque avec SME Server.
5.1 - Mini-charte du newsgroup
------------------------------
Le newsgroup alt.e-smith.fr est libre d'accès et non modéré. Le ton y est
généralement très cordial et vous êtes invité à respecter et à participer
à cette ambiance à laquelle nous tenons.
Vous êtes invité à écrire dans un français le plus clair possible, en
évitant notamment l'utilisation excessive d'abréviation et d'écriture
phonétique.
Ce newsgroup n'est en aucun cas maintenu ni même soutenu par une
quelconque société. Seuls quelques bénévoles passionnés le font vivre en
apportant leurs connaissances et expériences personnelles.
Par conséquent, ne vous attendez pas à obtenir systématiquement une
réponse à une question que vous pourriez y poser : nous y répondrons
volontier dans la mesure de notre disponibilité et de nos connaissances.
Mais nous n'avons absolument aucun devoir de réponse et seule notre
volonté de partager nos connaissances nous pousse à la participation.
Faites-en alors autant à chaque fois que vous le pourrez.
Ce newsgroup existant depuis plusieurs années, et les sources
d'information étant nombreuses (cf. chapitre §2), je vous recommande
vivement de faire une recherche sur les différents moyens mis à votre
disposition avant de poser une question : il y a de fortes chances que la
réponse existe déjà quelque part. Donc, ne posez de question qu'après
avoir fait plusieurs recherches sans obtenir de réponse satisfaisante.
En particulier, s'agissant d'une distribution Linux, toute documentation
générique peut être un bon point de départ, et en particulier la FAQ
fr.comp.os.linux.* :
http://www.linux-france.org/article/fcol-faq/
Attention tout de même, SME ayant un fonctionnement interne très
particulier, il vaut mieux, en cas de doute, poser une question même si
elle ne parait pas franchement indispensable : il serait vraiment
dommage de mettre en péril votre serveur pour n'avoir pas osé interroger
la communauté.
5.2 - Accès au newsgroup
------------------------
Ce newsgroup étant public, il est disponible chez pratiquement tous les
Fournisseurs d'Accès Internet (FAI, FSI ou ISP). Si votre FAI n'en propose
pas l'accès, il vous est généralement possible de lui demander de
l'ajouter à sa liste. Cela vous évite ainsi de multiplier le nombre de
serveurs NNTP à configurer sur votre logiciel client.
Au cas où vous n'auriez aucun moyen d'accéder à un serveur NNTP, il vous
reste la possibilité d'y accéder par l'intermédiaire d'interfaces Web via
les pages :
http://groups.google.fr/group/alt.e-smith.fr
http://smeserver.fr/forums/index.php
Enfin, et même si c'est un peu hors sujet ici, sachez qu'il existe un
canal de discussion IRC où vous pouvez trouver de l'aide en ligne. Voici
les paramètres d'accès à ce canal (à indiquer dans votre client IRC) :
Serveur: chat.freenode.net, port 6667
Channel: #sme-fr
Vous pouvez obtenir plus d'informations à ce sujet sur la page :
http://smeserver.fr/irc.php
Auteur: Franck PIERRE (grand-***@grand-pa.dyndns.org)
Période: tous les 1er et 15 du mois
Origine: http://smeserver.fr/faqs/faq_smeserver.txt
Changelog: http://smeserver.fr/faqs/CHANGELOG
_______________________________________________________________________
| Réponses aux questions fréquemment posées et charte du forum Usenet |
| alt.e-smith.fr |
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Cette FAQ ne demande qu'à évoluer. N'hésitez pas à me soumettre vos
contributions (ajouts, suppressions, corrections, commentaires, etc.)
Sommaire :
¯¯¯¯¯¯¯¯¯¯
1 - Présentation de SME Server
1.1 - Particularités
1.2 - Public visé
1.3 - Obtenir le CD-ROM d'installation
2 - Documentation relative à SME Server
3 - Configuration de SME Server
3.1 - Console du serveur
3.2 - Gestionnaire du serveur
3.3 - MySQL
4 - Accès à SME Server
4.1 - En local
4.2 - Depuis le réseau local
4.3 - Depuis Internet
5 - Annexes
5.1 - Mini-charte du newsgroup
5.2 - Accès au newsgroup
=========================================================================
1 - Présentation de SME Server
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
SME Server, anciennement appelé e-smith (ce nom n'est plus utilisé pour
la désigner) est une distribution Linux dont l'utilisation est orientée
serveur et passerelle.
Si vous ignorez ce qu'est Linux ou une distribution, je vous conseille de
lire cette page :
http://www.aful.org/presentations/linux.html
Cette distribution repose sur une base de Linux CentOS 4.3, clone GPL de
la distribution de référence RedHat Enterprise Linux (RHEL) version 4.
Pour plus d'information sur ces deux distributions, voir leurs sites :
http://www.centos.org/
http://www.fr.redhat.com/software/rhel/
SME est elle-même sous licence GPL et est donc librement téléchargeable
et utilisable par quiconque possède un micro-ordinateur de type PC
(compatible Intel i386). Plus d'informations sur cette licence :
http://www.gnu.org/copyleft/gpl.html
Elle est développée par une équipe de développeurs bénévoles et le projet
est hébergé sur le site contribs.org :
http://contribs.org/
1.1 - Particularités
--------------------
SME Server offre des capacités de routage permettant de partager une
connexion Internet sur l'ensemble d'un réseau local. Elle dispose en outre
de nombreux service permettant d'en faire un serveur type Internet ou
Intranet très complet.
Elle propose, entre autres, des services HTTP (Web) avec PERL, Python,
PHP et MySQL pour dynamiser les sites, FTP (transfert de fichiers), SMTP
(envoi de courrier), POP3 et IMAP (réception de courrier) avec WebMail
(accès à la messagerie par une interface Web), Samba (serveur de fichiers
local), DHCP (configuration réseau automatique des ordinateurs reliés au
réseau local), proxy, etc.
L'aspect sécurité est pris en compte à tous les niveaux et la plupart des
services sus-mentionnés sont également accessibles en version sécurisée
(SSH2). En outre, SME offre une fonction de pare-feu (firewall) avec des
règles prédéfinies de haute qualité.
Son administration se fait à partir de deux interfaces distinctes :
*) la console du serveur qui permet de configurer les paramètres réseau
à l'issue de l'installation (nom, domaine racine, interfaces réseau,
type de connexion, mode de fonctionnement, etc.)
*) le gestionnaire du serveur, interface "Web" qui permet d'administrer
les différents services offerts par le serveur
Au niveau de son fonctionnement interne, SME dispose d'un mécanisme de
configuration automatique assez complexe et extrêmement ingénieux qui
permet d'intégrer de façon très homogène une interface de configuration
Web, l'ensemble des fichiers de configuration et la gestion de tous les
services. Ces trois éléments interagissent ensemble en fonction de
certains événements définis (tâche programmée, action dans le
gestionnaire du serveur, etc.) ou aléatoires (déconnexion/reconnexion au
FAI, par exemple).
Autre particularité : à l'inverse des distributions "généralistes", SME
Server ne dispose pas d'interface graphique de type X-Window ni de
compilateur. Ceci est volontaire et ne doit pas être remis en cause sur un
serveur de production puisque ces deux éléments ne sont pas utiles au
fonctionnement d'un serveur et qu'ils sont les principaux vecteurs de
dysfonctionnements des systèmes *NIX.
Cela peut sembler déroutant, voir gênant, mais on s'y fait très vite et on
en voit l'intérêt encore plus vite. En contrepartie, il faut disposer
d'une machine tierce ou d'un logiciel d'exploitation de machines
virtuelles pour pouvoir compiler et tester de nouveaux programmes que l'on
pourra ensuite déployer sur le serveur SME.
Enfin, pour ceux qui souhaitent exploiter SME pour héberger des sites, il
faut savoir qu'il est possible d'avoir plusieurs emplacements de stockage,
appelées i-bays, vers lesquelles il est possible de faire pointer un nom
de domaine.
D'un point de vue technique, ces i-bays peuvent être constituées de trois
répertoires distincts permettant de stocker des applications CGI, des
fichiers accessibles en FTP (si le service est configuré) et enfin la zone
de stockage des pages "web".
Toutefois, il existe plusieurs configurations possibles pour ces i-bays
(accès restreint, utilisation de scripts, hébergement de site ou seulement
de fichiers, etc.) ; à vous de gérer ces espaces de stockage en fonction
de vos besoins.
1.2 - Public visé
-----------------
Il existe, à mon avis, deux grandes familles de personnes intéressées par
SME-Server :
*) particuliers disposant d'une connexion "haut débit" et souhaitant la
partager entre leurs différents ordinateurs et/ou souhaitant créer
un serveur "Web" chez eux, avec tous les avantages que cela comprend
en terme de flexibilité et de possibilités
*) professionnels ayant besoin de gérer directement leurs ressources
Internet (sites, messageries, etc.) à moindre frais et avec une
réactivité difficile à obtenir chez un fournisseur de services Internet
A cela viennent s'ajouter ceux qui souhaitent avoir rapidement un serveur
LAMP/FTP/mail fonctionnel sur un réseau local ou une DMZ.
1.3 - Obtenir le CD-ROM d'installation
--------------------------------------
On peut très facilement obtenir l'image ISO du CD-ROM d'installation en
la téléchargeant sur un site miroir de téléchargement. Depuis la France
métropolitaine, je vous conseille de la récupérer sur :
http://ftp.nluug.nl/os/Linux/distr/smeserver/releases/7/iso/
http://ftp.surfnet.nl/ftp/pub/os/Linux/distr/smeserver/releases/7/iso/
Une fois téléchargée, et après en avoir éventuellement vérifié la somme de
contrôle, il suffit de la graver et de suivre les instructions de cette
page pour l'installer :
http://smeserver.fr/phase1.php
2 - Documentation relative à SME Server
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
J'ai fait une page assez complète à ce sujet sur mon site. Pour éviter
d'avoir à mettre à jour cette FAQ à chaque modification de ma page de
liens (avec tous les risques de non correspondance que cela peut
impliquer), je vous invite simplement à consulter cette page :
http://smeserver.fr/liens.php
D'une manière générale, je vous recommande de lire mon site afin de voir
comment installer et configurer facilement votre serveur. Il ne remplace
pas la documentation officielle bien plus complète, mais offre une
approche complète du processus d'installation. Au cas où, je rappelle son
adresse :
http://smeserver.fr/
La documentation officielle se trouve sur le site fédérateur du projet
(contribs.org). On y trouve notamment le manuel, une FAQ et des forums :
http://contribs.org/documentation/manual/
http://contribs.org/documentation/FAQ/
http://contribs.org/modules/pbboard/
3 - Configuration de SME Server
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
3.1 - Console du serveur
------------------------
Cette console permet de configurer le fonctionnement de base du serveur.
Peu d'éléments sont définis ici, mais ce sont eux qui vont pouvoir
modifier radicalement le fonctionnement du serveur.
Pour accéder à cette console, je vous renvoie au chapitre §3.1, l'accès
étant possible depuis le serveur en local ou à distance (depuis le réseau
local ou Internet, suivant la configuration) via SSH.
Il serait trop long de détailler ici toutes les options de cette console.
Je vous renvoie donc vers mon site pour de plus amples détails :
http://smeserver.fr/console.php
3.2 - Gestionnaire du serveur
-----------------------------
Le gestionnaire du serveur, également appelé server-manager ou tout
simplement manager permet la configuration des différents services
disponibles sous SME, la gestion des sites, des groupes, des
utilisateurs, la visualisation des fichiers de log, etc.
Ce gestionnaire du serveur est accessible depuis la console du serveur,
mais cette utilisation est très peu pratique. Il vaut mieux l'exploiter
depuis le réseau local, tel que décrit dans le chapitre §3.2 ou via
Internet dans le chapitre §3.3
Tout comme pour la console du serveur, je préfère vous renvoyer vers mon
site pour avoir les détails concernant ce gestionnaire du serveur :
http://smeserver.fr/manager.php
3.3 - MySQL
-----------
En fonction de l'utilisation que vous avez de votre serveur, vous pouvez
avoir besoin d'exploiter des bases de données. Or, par défaut, seul le
compte root a accès au service MySQL. Comme celui-ci ne doit être utilisé
QUE pour faire de l'administration du service MySQL, je vous recommande
très vivement de créer des utilisateurs MySQL en suivant les explications
données dans mon site :
http://smeserver.fr/astuces.php?astuce=mysql_users_create
4 - Accès à SME Server
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
4.1 - En local
--------------
Par défaut, seuls les comptes admin et root peuvent ouvrir une session
sur le serveur, que ce soit en local ou à distance. Ils sont tous deux
configurés avec le même mot de passe, défini lors de l'installation.
Le compte admin ouvre directement la console du serveur (cf. §3.1).
Pour qu'un utilisateur "standard" puisse se connecter, il faut lui
assigner un nouveau shell. Par exemple, pour un utilisateur toto déjà
créé, il faudrait ouvrir une session en root et taper :
db accounts setprop toto Shell /bin/bash
signal-event user-modify toto
4.2 - Depuis le réseau local
----------------------------
Il existe de nombreuses façons de se connecter au serveur depuis le
réseau local. Je vais donc essayer de ne pas en oublier...
*) Gestionnaire du serveur (server-manager) : l'accès se fait avec un
navigateur Internet en allant à l'une de ces adresses :
https://ADRESSE_IP_DU_SERVEUR/server-manager
https://NOM_DU_SERVEUR/server-manager
Pour pouvoir y accéder, il faut s'authentifier avec le compte admin et
son mot de passe défini lors de l'installation du serveur.
*) Gestionnaire de mots de passe (user-password) : là encore, il s'agit
d'une interface Web permettant aux utilisateurs reconnus de changer
leur mot de passe de connexion. On y accède avec un navigateur
Internet par l'une de ces adresses :
https://ADRESSE_IP_DU_SERVEUR/user-password
https://NOM_DU_SERVEUR/user-password
*) SSH (Secured SHell) : Cela permet d'ouvrir un terminal sur le serveur,
un peu comme nous l'avons vu au chapitre précédent (§3.1), sauf que
là, c'est à distance et que le transfert d'information entre les deux
machines est sécurisé (crypté en temps réel). Pour pouvoir utiliser
cette fonctionnalité, vous devrez autoriser l'accès SSH depuis le
gestionnaire du serveur, dans la page "Accès à distance" et utiliser un
client SSH pour vous connecter. Sous Windows, il existe un très bon
client SSH nommé PuTTY (gratuit, très léger et sans installation) :
http://www.chiark.greenend.org.uk/~sgtatham/putty/
Il suffit de l'exécuter, de lui indiquer le nom ou l'adresse IP du
serveur et le protocole utilisé (SSH ou port 22). Ensuite, il vous
demandera un nom d'utilisateur et son mot de passe pour pouvoir ouvrir
une session.
Pour accroître le niveau de sécurité, il est recommandé d'utiliser des
paires de clé SSH, tel qu'indiqué dans cette page :
http://smeserver.fr/astuces.php?astuce=net_ssh_keys
*) HTTP : toutes les machines peuvent accéder au site primaire de SME.
En revanche, il est possible de définir des restrictions sur les
i-bays du serveur afin d'obliger les utilisateurs à s'authentifier
pour avoir accès à leur contenu (un peu à la manière de
l'authentification pour l'accès au gestionnaire de serveur).
*) FTP : ce protocole vous permet de faire des transferts de fichiers
entre un ordinateur et le serveur. Vous devrez configurer l'accès FTP
depuis le gestionnaire de serveur, dans la page "Accès à distance" et
utiliser un client FTP pour accéder à vos données et les transférer.
Pour pouvoir envoyer des fichiers vers le serveur, vous devrez vous
authentifier avec un nom d'utilisateur et son mot de passe reconnu du
système. Seul admin a un accès en écriture à l'ensemble des partages
FTP : les utilisateurs "standard" et les i-bays sont cantonnés à leurs
répertoires respectifs.
*) SMTP : pour l'envoi de tous vos couriels vers Internet, je vous
recommande d'utiliser le serveur SMTP de votre serveur SME plutôt que
celui de votre FAI. Cette procédure peut même s'avérer indispensable
puisque les machines situées derrière le serveur SME ont des adresses
privées (non délivrables et non reconnues par votre fournisseur
d'accès). Les messages envoyés depuis ces machines sont donc vus comme
n'étant pas originaires d'un client du FAI et sont alors refusés
(relaying not allowed). Pour utiliser le SMTP de SME, dans votre
client de messagerie, il suffit d'indiquer l'adresse IP ou le nom
canonique de votre serveur dans le champ SMTP de chacun de vos
comptes. Vous n'avez même pas à indiquer de compte d'utilisateur pour
exploiter cette fonctionnalité.
*) POP3/IMAP : tous les utilisateurs créés sous SME disposent par défaut
d'une boite de messagerie sur laquelle il est possible de leur envoyer
du courrier. En fait, chaque utilisateur dispose de trois adresses de
messagerie pointant vers la même boite : ***@VOTRE_DOMAINE.TRUC,
***@VOTRE_DOMAINE.TRUC et ***@VOTRE_DOMAINE.TRUC
Tous vos utilisateurs peuvent donc utiliser ces adresses à leur
convenance pour recevoir du courrier depuis n'importe où. Il suffit
pour cela de configurer les clients de messagerie pour accéder aux
boites aux lettres en POP3 ou en IMAP, selon vos préférences.
A noter que admin dispose également d'une boite de messagerie sur
laquelle le système peut envoyer des messages en cas, par exemple, de
dysfonctionnement d'un programme. Je vous recommande donc de vérifier
régulièrement sa boite de messagerie.
*) WebMail : il s'agit d'une interface Web que vous pouvez activer depuis
le gestionnaire de serveur dans la page "Messagerie électronique".
Pour accéder à leur compte de messagerie, vos utilisateurs auront
juste à utiliser un navigateur Web et à aller à l'une de ces adresses :
https://ADRESSE_IP_DU_SERVEUR/webmail
https://NOM_DU_SERVEUR/webmail
Il suffit alors d'indiquer le nom de compte de l'utilisateur et son mot
de passe. Ensuite, je vous laisse découvrir l'interface et étudier la
documentation propre à IMP si vous rencontrez des problèmes.
*) Samba : SME permet de fonctionner comme un serveur de fichier type
Windows NT en offrant même la possibilité de fonctionner en serveur de
domaine (l'authentification sur le réseau est centralisée sur le
serveur). A partir du moment où vous êtes authentifié sur le domaine
"Windows" avec un nom d'utilisateur et un mot de passe reconnu par SME,
vous aurez accès aux ressources partagées par Samba (fichiers et
imprimantes). Cette authentification se fait généralement à l'ouverture
de Windows, si vous l'avez configuré, de façon à spécifier vos nom
d'utilisateur et mot de passe pour ouvrir une session sur la machine ou
sur le domaine.
*) Netatalk : si vous avez sur votre réseau des Macintosh fonctionnant
sous Mac OS versions 7, 8 ou 9, ils peuvent avoir accès aux données
partagées du serveur via ce protocole. A noter qu'avec Mac OS X il est
préférable d'utiliser Samba.
*) Proxy : il ne s'agit pas vraiment d'un accès au même sens que ce que
nous venons de voir, mais je pense nécessaire d'en parler un peu. Par
défaut, les service proxy HTTP et SMTP de SME sont actifs et
transparents, c'est à dire, qu'on le veuille ou non, on passe forcément
par eux. Il est possible de modifier cette caractéristique en allant
dans le gestionnaire du serveur, à la rubrique "Services Proxy".
4.3 - Depuis Internet
---------------------
Ces connexions sont bien sûr possible uniquement dans le cas où le
serveur est accessible, au moins en partie (dans le cas où il serait
situé en DMZ), depuis Internet.
*) Gestionnaire de serveur et gestionnaire de mot de passe : ils sont
inaccessibles directement, pour d'évidentes raisons de sécurité. Il est
néanmoins possible d'ouvrir ces pages si l'on crée un VPN (réseau privé
virtuel) en PPTP ou IPSec ou si l'on crée un tunnel SSH.
Pour le tunnel SSH, l'accès SSH doit être préalablement autorisé dans le
gestionnaire de serveur. Sous Windows, nous pouvons utiliser PuTTY pour
ouvrir le tunnel. On lui indique le nom ou l'adresse IP du serveur, le
protocole SSH (ou le numéro du port dédié au service SSH) et ensuite,
dans le menu de gauche, on va dans 'Connection' - 'SSH' - 'Tunnels'.
Dans 'Source port', il faut indiquer "443" (sans les guillemets), dans
'Destination', indiquer "localhost:443" (toujours sans les guillemets)
et cliquer ensuite sur Add. Dans 'Forwarded ports', vous pouvez voir
une nouvelle entrée du genre :
L443 localhost:443
Vous devez alors vous identifier avec le compte admin ou root. Dès que la
session est ouverte, le tunnel l'est aussi.
Sous Linux ou MacOS X, il faut ouvrir le tunnel en ligne de commande :
ssh -L 443:localhost:443 ***@ADRESSE_IP_DU_SERVEUR
Vous pouvez alors exploiter le gestionnaire avec votre navigateur
Internet en allant sur la page :
https://localhost/server-manager
Authentifiez-vous admin et vous aurez l'agréable surprise de découvrir
votre gestionnaire sur votre machine locale !
N'oubliez pas de fermer le tunnel SSH, en vous déconnectant, dès que
vous aurez fini d'utiliser le gestionnaire.
Une autre solution consiste à ajouter une ou plusieurs classe(s)
d'adresse(s) IP autorisée(s) à accéder au gestionnaire de serveur de
SME. Cette option se trouve dans le chapitre "Gestion à distance" de
la page "Accès à distance" dans le gestionnaire de serveur. Ainsi,
si vous disposez d'une adresse IP fixe et que vous souhaitez accéder
simplement au gestionnaire de serveur d'un serveur SME distant, il
vous suffit d'ajouter votre adresse IP fixe avec un masque de sous-
réseau égal à 255.255.255.255
Enfin, si vous êtes connecté à votre réseau local via un VPN, vous
pouvez accéder au gestionnaire de la même façon que si vous étiez
connecté localement à votre réseau.
*) SSH, FTP et POP3/IMAP/SMTP sont accessibles de la même façon que si
vous étiez sur le réseau local, si vous en avez autorisé l'accès
depuis l'extérieur (accès public). A noter que ceci n'est vrai pour
les services de messagerie que s'ils sont configurés avec les
protocoles sécurisés (POP3S, IMAPS, SSMTP).
*) HTTP et WebMail sont accessible de la même façon que depuis le réseau
local (sauf configurations particulières des i-bays).
*) Samba n'est pas accessible depuis Internet, sauf dans le cas où l'on
crée un accès VPN (en PPTP ou IPSec) avec le serveur SME. Ce type de
configuration dépassant le cadre de cette FAQ, je ne le traite pas ici.
5 - Annexes
¯¯¯¯¯¯¯¯¯¯¯
Avant toute chose, et surtout avant d'écrire le moindre message sur le
newsgroup, vous êtes très vivement encouragé à lire et à appliquer les
très bons conseils formulés dans ces excellents documents :
http://www.usenet-fr.net/fur/usenet/repondre-sur-usenet.html
http://www.usenet-fr.net/fur/linux/debutants.html
Cette FAQ concerne essentiellement le newsgroup Usenet alt.e-smith.fr,
c'est à dire le forum francophone consacré à la distribution Linux SME
Server (cf. chapitre §1). N'écrivez donc dans ce forum que si votre
message a un rapport quelconque avec SME Server.
5.1 - Mini-charte du newsgroup
------------------------------
Le newsgroup alt.e-smith.fr est libre d'accès et non modéré. Le ton y est
généralement très cordial et vous êtes invité à respecter et à participer
à cette ambiance à laquelle nous tenons.
Vous êtes invité à écrire dans un français le plus clair possible, en
évitant notamment l'utilisation excessive d'abréviation et d'écriture
phonétique.
Ce newsgroup n'est en aucun cas maintenu ni même soutenu par une
quelconque société. Seuls quelques bénévoles passionnés le font vivre en
apportant leurs connaissances et expériences personnelles.
Par conséquent, ne vous attendez pas à obtenir systématiquement une
réponse à une question que vous pourriez y poser : nous y répondrons
volontier dans la mesure de notre disponibilité et de nos connaissances.
Mais nous n'avons absolument aucun devoir de réponse et seule notre
volonté de partager nos connaissances nous pousse à la participation.
Faites-en alors autant à chaque fois que vous le pourrez.
Ce newsgroup existant depuis plusieurs années, et les sources
d'information étant nombreuses (cf. chapitre §2), je vous recommande
vivement de faire une recherche sur les différents moyens mis à votre
disposition avant de poser une question : il y a de fortes chances que la
réponse existe déjà quelque part. Donc, ne posez de question qu'après
avoir fait plusieurs recherches sans obtenir de réponse satisfaisante.
En particulier, s'agissant d'une distribution Linux, toute documentation
générique peut être un bon point de départ, et en particulier la FAQ
fr.comp.os.linux.* :
http://www.linux-france.org/article/fcol-faq/
Attention tout de même, SME ayant un fonctionnement interne très
particulier, il vaut mieux, en cas de doute, poser une question même si
elle ne parait pas franchement indispensable : il serait vraiment
dommage de mettre en péril votre serveur pour n'avoir pas osé interroger
la communauté.
5.2 - Accès au newsgroup
------------------------
Ce newsgroup étant public, il est disponible chez pratiquement tous les
Fournisseurs d'Accès Internet (FAI, FSI ou ISP). Si votre FAI n'en propose
pas l'accès, il vous est généralement possible de lui demander de
l'ajouter à sa liste. Cela vous évite ainsi de multiplier le nombre de
serveurs NNTP à configurer sur votre logiciel client.
Au cas où vous n'auriez aucun moyen d'accéder à un serveur NNTP, il vous
reste la possibilité d'y accéder par l'intermédiaire d'interfaces Web via
les pages :
http://groups.google.fr/group/alt.e-smith.fr
http://smeserver.fr/forums/index.php
Enfin, et même si c'est un peu hors sujet ici, sachez qu'il existe un
canal de discussion IRC où vous pouvez trouver de l'aide en ligne. Voici
les paramètres d'accès à ce canal (à indiquer dans votre client IRC) :
Serveur: chat.freenode.net, port 6667
Channel: #sme-fr
Vous pouvez obtenir plus d'informations à ce sujet sur la page :
http://smeserver.fr/irc.php