Apache2, MySQL, Php et PhpMyAdmin (pour gérer vos bases de données) doivent être impérativement installé au préalable. Vous devez donc disposer d’un serveur web complet.

# echo “create database radius;” | mysql -u root -p
# echo “grant all on radius.* to radius@’%’ identified by ‘motdepasse_sql’; flush privileges;” | mysql -u root -p
# mysql -u root -p radius < /etc/freeradius/sql/mysql/schema.sql
# mysql -u root -p radius < /etc/freeradius/sql/mysql/nas.sql

apt-get install freeradius freeradius-utils freeradius-mysql

- Modifier le fichier /etc/freeradius/sql.conf

sql {
database = “mysql”
driver = “rlm_sql_${database}”
server = “localhost”
login = “radius”
password = “motdepasse_sql”
radius_db = “radius”

acct_table1 = “radacct”
acct_table2 = “radacct”

postauth_table = “radpostauth”

authcheck_table = “radcheck”
authreply_table = “radreply”
groupcheck_table = “radgroupcheck”
groupreply_table = “radgroupreply”
usergroup_table = “radusergroup”

deletestalesessions = yes

sqltrace = no
sqltracefile = ${logdir}/sqltrace.sql
num_sql_socks = 5

connect_failure_retry_delay = 60

readclients = yes
nas_table = “nas”

$INCLUDE sql/${database}/dialup.conf
}

- Modifier le fichier /etc/freeradius/radiusd.conf : décommenter les 2 lignes suivantes :

$INCLUDE sql.conf
$INCLUDE sql/mysql/counter.conf

- Modifier le fichier /etc/freeradius/sites-available/default (les lignes “files” doivent être commentées)

authorize {
preprocess
chap
suffix
sql
expiration
logintime
pap
}

authenticate {
Auth-Type PAP {
pap
}
Auth-Type CHAP {
chap
}
eap
}

preacct {
preprocess
acct_unique
suffix
}

accounting {
detail
radutmp
sql
}

session {
radutmp
sql
}

post-auth {
sql
# sql_log
exec
Post-Auth-Type REJECT {
attr_filter.access_reject
}
}

- Lancer freeradius en mode console pour tester si tout fonctionne bien et voir les messages :

# /etc/init.d/freeradius stop
# freeradius -X
[...]
Listening on authentication address * port 1812
Listening on accounting address * port 1813
Listening on proxy address * port 1814
Ready to process requests.

- modifier dans le fichier /etc/freeradius/clients.conf le secret partagé entre le NAS (pfSense) et le serveur radius (Debian) :

client 10.10.10.10 {
ipaddr = 10.10.10.10
secret = monsecret_nasradius
nastype = other
}

10.10.10.10 correspond à l’adresse ip de votre pfsense.

- Redémarrer Freeradius

# /etc/init.d/freeradius start

Vous disposez désormais d’un annuaire freeradius installé et fonctionnel.

La bibliothèque php-db doit être installé pour que daloradius fonctionne correctement.

apt-get install php-db

Se rendre sur le site pour télécharger l’archive http://sourceforge.net/projects/daloradius/

- Extraire daloradius.tar.gz dans /var/www

tar -zxvf daloradius.tar.gz
cp daloradius/ /var/www -R

- Il nous faut maintenant changer les permissions des fichiers et dossiers correspondants :

chown www-data:www-data /var/www/daloradius -R
chmod 644 /var/www/daloradius/library/daloradius.conf.php

- Si vous disposez d’un schéma de base :

cd /var/www/daloradius/contrib/db
mysql -u root -p radius < mysql-daloradius.sql

- Si vous installez sans schéma de base (nouvelle installation):

mysqladmin create radius

Deux options s’offre à vous :

A. Si vous disposez de FreeRADIUS 1.X then:

mysql -u root -p radius < fr1-mysql-daloradius-and-freeradius.sql

B. Si vous disposez de FreeRADIUS 2.X then:

mysql -u root -p radius < fr2-mysql-daloradius-and-freeradius.sql

Nous mettons les informations de la base dans le fichier de configuration :

cd library/
vi daloradius.conf.php

Connectez-vous sur votre annuaire http://votreip/daloradius

Login:
username: administrator
password: radius

N’oubliez pas de changer immédiatement le mot de passe de connexion par défaut. Pour cela connectez-vous à votre base avec phpMyAdmin puis allez dans la section “Operators”.

On va voir comment le faire et cela sans ouvrir la Fonera (donc sans utiliser un cable série branché sur le port JTAG de la fonera).

Pour réaliser cette mise-à-jour, on va se connecter directement sur la fonera. Une fois connecté, il faut configurer sa connexion réseau avec l’IP 169.254.255.2 (la fonera ayant 169.254.255.1).

Il faut ensuite un serveur tftp. Sous debian, on peut en installer un avec un simple apt-get install tftpd-hpa. Vous trouverez plein de tuto sur internet.

Il faut aussi un serveur HTTP (apache fera très bien l’affaire).

sudo apt-get install apache2

Nous avons maintenant besoin de la dernière version du firmware de notre routeur que nous copierons à la racine du serveur TFTP (/var/lib/tftpboot dans le cas du serveur tftpd-hpa sous Debian).

Il faut ensuite télécharger les logiciels suivants :

- out.hex
- openwrt-ar531x-2.4-vmlinux-CAMICIA.lzma

On doit avoir une version qui permet d’ouvrir la connexion ssh vers la Fonera. Si ce n’est pas encore fait, suivez ce tutorial. Pour vérifier la version de votre firmware, il suffit de se connecter sur http://169.254.255.1/ en se branchant sur le port Ethernet de la fonera.

Il faut se conecter sur la fonera en ssh

ssh root@169.254.255.1

et remplacer le noyau de la fonera :

cd /tmp
wget http://169.254.255.2/Fonera/openwrt-ar531x-2.4-vmlinux-CAMICIA.lzma
mtd -e vmlinux.bin.l7 write openwrt-ar531x-2.4-vmlinux-CAMICIA.lzma vmlinux.bin.l7

(J’ai copié mes fichiers dans /var/www/fonera donc adaptez l’URL en fonction de la localisation de vos fichiers).
L’écriture du noyau va se faire :

Unlocking vmlinux.bin.l7 …
Erasing vmlinux.bin.l7 …
Writing from openwrt-ar531x-2.4-vmlinux-CAMICIA.lzma to vmlinux.bin.l7… [w]

On redémarre la petite boîte

reboot

On se reconnecte sur la fonera en ssh

cd /tmp
wget http://169.254.255.2/Fonera/out.hex
mtd -e “RedBoot config” write out.hex “RedBoot config”
reboot

A partir de cet instant, la fonera ne peut pas rebooter correctement.
Mais pas de panique, on va quand même pouvoir se connecter dessus grâce à telnet cette fois-ci et sur le port 9000. Pour cela, il faut que le PC ai une adresse dans la plage 192.168.1.0/24. On va rebooter la Fonera et dans les 10 premières secondes, on va pouvoir se connecter sur le port 9000 avec

telnet 192.168.1.254 9000

Trying 192.168.1.254…
Connected to 192.168.1.254.
Escape character is ‘^]’.

RedBoot>

(si le prompt n’apparait pas, il suffit de taper sur entrée).

On va configurer l’adresse IP de laFonera et du serveur tftp puis passer maintenant au flashage proprement dit du firmware dd-wrt (les commandes à saisir sont en gras) :

RedBoot> ip_address -l 192.168.1.254/24 -h 192.168.1.10
IP: 192.168.1.254/255.255.255.0, Gateway: 0.0.0.0
Default server: 192.168.1.10
RedBoot> fis init
About to initialize [format] FLASH image system - continue (y/n)? y
*** Initialize FLASH Image System
… Erase from 0xa87e0000-0xa87f0000: .
… Program from 0×80ff0000-0×81000000 at 0xa87e0000: .
RedBoot> load -r -b 0×80041000 linux.bin
Using default protocol (TFTP)
Raw file loaded 0×80041000-0×806a0fff, assumed entry at 0×80041000
RedBoot> fis create linux

A partir de ce moment, il vous faut être très patient. Le flashage dure entre 10 et 20 mn. C’est le moment d’aller prendre un petit café, un jus de fruit avec des gateaux….ou d’aller faire un petit bisou à la doudou.

… Erase from 0xa8030000-0xa8690000: …………………………………………………………………………………………
… Program from 0×80041000-0×806a1000 at 0xa8030000: …………………………………………………………………………………………
… Erase from 0xa87e0000-0xa87f0000: .
… Program from 0×80ff0000-0×81000000 at 0xa87e0000: .
RedBoot> fconfig
Run script at boot: true
Boot script:
.. fis load -l vmlinux.bin.l7
.. exec
Enter script, terminate with empty line
>> fis load -l linux
>> exec
>>
Boot script timeout (1000ms resolution): 10
Use BOOTP for network configuration: false
Gateway IP address:
Local IP address: 192.168.1.254
Local IP address mask: 255.255.255.0
Default server IP address:
Console baud rate: 9600
GDB connection port: 9000
Force console for special debug messages: false
Network debug at boot time: false
Update RedBoot non-volatile configuration - continue (y/n)? y
… Erase from 0xa87e0000-0xa87f0000: .
… Program from 0×80ff0000-0×81000000 at 0xa87e0000: .
RedBoot> reset

Votre fonera possède maintenant un beau firmware tournant sous dd-wrt. Pour vous y connecter et la paramétrer aux petits oignons, taper http://192.168.1.1 dans votre navigateur favoris.

L’accès SSH maintenant ouvert, il faut maintenant pouvoir modifier le bootloader afin de le rendre accessible. Pour cela il faut charger un noyau qui donnes accès en écriture a la partition contenant Redboot.

- out.hex
- openwrt-ar531x-2.4-vmlinux-CAMICIA.lzma

scp openwrt-ar531x-2.4-vmlinux-CAMICIA.lzma root@169.254.255.1:/tmp/

root@169.254.255.1

cd /tmp
wget http://169.254.255.2/Fonera/openwrt-ar531x-2.4-vmlinux-CAMICIA.lzma
mtd -e vmlinux.bin.l7 write openwrt-ar531x-2.4-vmlinux-CAMICIA.lzma vmlinux.bin.l7

Unlocking vmlinux.bin.l7 …
Erasing vmlinux.bin.l7 …
Writing from openwrt-ar531x-2.4-vmlinux-CAMICIA.lzma to vmlinux.bin.l7… [w]

puis

reboot

root@169.254.255.1

cd /tmp
wget http://169.254.255.2/Fonera/out.hex
mtd -e “RedBoot config” write out.hex “RedBoot config”
reboot

Maintenant que le Redboot est accessible, il va nous permettre de flasher directement et de repartitionner la Fonera. Cette étape est assez longue et complexe, comme vous pouvez le voir sur le wiki d’openwrt .
Pour faire plus simple, SvenOla du projet Freifunk nous a concocté un petit utilitaire qui permet de ne pas avoir à configurer l’interface réseau de votre machine puisqu’il travaille en bas niveau grâce à la libpcap qui doit être installé sur votre système.

./ap51-flash-fonera-1.0-42 eth0 atheros/openwrt-atheros-root.squashfs atheros/openwrt-atheros-vmlinux.lzma

Vous pouvez alors mettre la fonera sous tension, la procédure prend 15 min….

Voici fini mon premier reflashage complet, en un peu moins de 15 minutes. Lors d’un prochain article, je vous parlerai de la configuration de ce firmware alternatif aux possibilités insoupçonnées.

Mise en place de partages NFS v4 :

NFS v4 est la nouvelle version du protocole de partages de fichiers historique pour *NIX Cette version apporte de nombreuses améliorations telles que :

Cette version du protocole est incompatible avec les anciennes versions mais, cette incompatibilité est largement compensée par les améliorations apportées et la migration de l’une à l’autre est relativement simple à effectuer.

Mise en place sur serveur :

Le serveur NFS tourne sur une Debian Lenny à jour (5.0.4), les versions des outils utilisés sont tout simplement celles contenues dans les dépôts.

apt-get install nfs-kernel-server nfs-common portmap

NFS 4 permet de monter des partages en fonction d’une racine virtuelle. Ce partage racine est remarquable dans le fichier /etc/exports car il contient fsid=0. Par exemple pour définir la racine des répertoires NFS partagés sous /music il faut ajouter dans le fichier /etc/exports :

/music *(rw,fsid=0,insecure,no_subtree_check)

La grande différence entre NFS v3 et NFS v4 est là, pour monter sur un client la racine des partage en NFS v3 il fallait faire :

mount -t nfs server:/multimedia /mnt

alors qu’avec NFS v4 la commande devient :

mount -t nfs4 server:/ /multimedia

Chaque sous-répertoire du répertoire /music sera partagé en fonction de la racine virtuelle. Donc pour partager un répertoire à l’extérieur de cette racine virtuelle, vous pouvez utiliser l’option –bind de mount(1). Par exemple pour partager les répertoires utilisateurs, utilisez la commande suivante pour ajouter le répertoire à la racine virtuelle :

mount –bind /home /multimedia/films

un répertoire /export/home est alors présent dans /export. Pour exporter ce répertoire, vous pouvez utiliser la syntaxe habituelle des exports NFS.

Configuration du client :

On commence par installer les paquets :

apt-get install nfs-common portmap

Pour monter un partage NFS, en supposant que les partages du serveur se situent dans /multimedia, il faut utiliser la commande :

mount -t nfs4 serveur:/ /multimedia

alors qu’avec NFS v3 et inférieure la commande aurait été :

mount -t nfs server:/export /multimedia

Dans le fichier /etc/fstab le point de montage sera de cette forme :

serveur:/ /mnt nfs4 wsize=32768,rsize=32768 0 0

Voilà, vous avez un serveur NFS fonctionnel. A consommer sans modération !

BONNE ANNEE 2010

Prérequis
Pour fonctionner Openfire exige au préalable d’avoir un serveur de base de donné sur votre machine. Je conseille l’installation de MySQL qui est installable facilement via cette commande :

apt-get install mysql-server mysql-client libmysqlclient15-dev

Installation de OpenFire
En premier lieu, il nous faut installer la machine virtuelle Java de Sun :

apt-get install sun-java6-jre

Et nous la déclarons comme machine virtuelle par défaut :

update-java-alternatives –set java-6-sun

Nous renseignons la version que nous souhaitons installer:

VERSION=3.6.4

Remarque: Rendez vous sur le site officiel d’Openfire pour connaître la dernière version.

Nous téléchargeons ensuite le paquet Debian de OpenFire :

/usr/bin/wget http://www.igniterealtime.org/downloadServlet?filename=openfire/openfire_3.6.4_all.deb \
–output-document=/tmp/openfire.deb

Et nous installons OpenFire:

dpkg -i /tmp/openfire_3.6.4_all.deb

Démarrez OpenFire si nécessaire:

/etc/init.d/openfire start

Configuration de votre pare-feu
Un certain nombre de ports doivent être ouvert pour que notre serveur Jabber soit joignable de l’extérieur. Je vous donne simplement la partie de mon fichier de configuration qui concerne Openfire

# Décommentez les lignes suivantes pour que le serveur Jabber éventuel
# soit joignable de l’extérieur.
-A INPUT -p tcp –dport 3478 -j ACCEPT
-A INPUT -p tcp –dport 3479 -j ACCEPT
-A INPUT -p tcp –dport 5222 -j ACCEPT
-A INPUT -p tcp –dport 5223 -j ACCEPT
-A INPUT -p tcp –dport 5229 -j ACCEPT
-A INPUT -p tcp –dport 7070 -j ACCEPT
-A INPUT -p tcp –dport 7443 -j ACCEPT
-A INPUT -p tcp –dport 7777 -j ACCEPT
-A INPUT -p tcp –dport 9090 -j ACCEPT
-A INPUT -p tcp –dport 9091 -j ACCEPT

Configuration Openfire

Nous devons maintenant configurer OpenFire, pour ce faire, connectez vous en HTTP à votre serveur sur le port 9090. Par exemple :

* http://localhost:9090

Et lancez-vous dans les différentes étapes de configuration.

Remarque : La même URL vous permet d’accéder à votre interface d’administration.
Paramètres du serveur

* Domaine : Saisissez le domaine Jabber que vous comptez associer à votre serveur. Vos utilisateurs Jabber seront de la forme name@domaine

La mésaventure m’est arrivé deux fois, la première fois lors d’une installation à partir de deux ordis identique en changeant le disque dur de l’un à l’autre, la seconde lors d’un changement de carte mère. Ce problème qui existait déjà sous Etch demeure aussi sous Lenny. Pour pallier à la perte de temps, je note la solution.

Udev, ce petit blagueur, gère un cache des adresses mac des cartes réseaux. Pour résoudre le problème de disparition de l’interface eth0, il suffit de vider le cache des adresses Mac de Udev.

Pour ce faire, vous disposez de 2 solutions.

1. Modifier manuellement le fichier /etc/udev/rules.d/z25_persistent-net.rules, et effacer les lignes qui posent problème.
2. Écraser à la sauvage ce même fichier:

/bin/echo “” > /etc/udev/rules.d/70-persistent-net.rules

Installation
En premier lieu, installez les dépendances nécessaire à la compilation du logiciel:

apt-get install php5-dev make

Renseignez le numéro de la version de XCache que vous souhaitez installer:

VERSION=1.3.0

Une fois ceci fait, téléchargez les sources de XCache:

wget http://xcache.lighttpd.net/pub/Releases/$VERSION/xcache-$VERSION.tar.gz \
–output-document=/tmp/xcache-$VERSION.tar.gz

Décompressez l’archive obtenue:

tar –directory=/tmp -xzf /tmp/xcache-$VERSION.tar.gz

Et placez-vous dans le dossier créé:

cd /tmp/xcache-$VERSION

Lancez la compilation:

phpize –clean
/usr/bin/phpize
./configure –enable-xcache
/usr/bin/make
/usr/bin/make install

Une fois ceci fait, configurez PHP pour utiliser ce module:

cp /tmp/xcache-$VERSION/xcache.ini /etc/php5/conf.d/xcache.ini
/bin/sed -i -e ’s/^zend_extension_ts.*/; \0/’ \
-e “s|^\(zend_extension =\).*|\1 $(/usr/bin/find /usr/lib/php5 -name xcache.so | /usr/bin/head –lines=1)|” \
/etc/php5/conf.d/xcache.ini

Et configurez la quantité de mémoire que vous souhaitez utiliser pour le cache:

sed -i -e ’s/^\(xcache\.size[ ]*=\).*/\1 64M/’ \
-e ’s/^\(xcache\.var_size[ ]*=\).*/\1 64M/’ \
/etc/php5/conf.d/xcache.ini

Enfin, redémarrez votre serveur Web :

/etc/init.d/apache2 force-reload

1. NFS côté serveur

Configuration nécessaire

Il faut installer le paquet nfs-kernel-server :

# aptitude install nfs-kernel-server

Partager un répertoire

Éditez le fichier /etc/exports et rajoutez la ligne suivante pour partager le répertoire /home/test/ à la machine ordi2.exemple.org :

/home/test	ordi2.exemple.org(rw,root_squash)

L’option rw permet d’exporter en lecture-écriture (utiliser ro pour exporter en lecture seule). L’option root_squash spécifie que le root de la machine ordi2.exemple.org n’a pas les droits de root sur le répertoire partagé (l’option no_root_squash spécifie que le root de la machine sur laquelle le répertoire est monté a les droits de root sur le répertoire). L’option root_squash est l’option par défaut.

	Note
	L’option rw signifie en réalité que l’utilisateur dont l’ID est 1001 (par exemple…) sur le client NFS a les droits d’écriture sur les fichiers et les répertoires qui appartiennent à l’utilisateur dont l’ID est 1001 sur le serveur NFS. Attention, ces utilisateurs n’ont pas forcément le même nom de compte Unix et ne correspondent pas forcément aux mêmes personnes !

Enfin, demandez à nfs-kernel-server de relire sa configuration :

# /etc/init.d/nfs-kernel-server reload
* Re-exporting directories for NFS kernel daemon... [ OK ]

Pour monter le répertoire /home/ftp/ partagé par la machine dont le nom DNS est ordi1.exemple.org dans le répertoire /mnt/test déjà crée, utilisez la commande mount :

# mount -t nfs ordi1.exemple.org:/home/ftp /media/test

Une fois que vous n’avez plus besoin de ce partage, vous pouvez le démonter :

# umount /media/test

Pour que ce répertoire soit monté à chaque démarrage, rajoutez la ligne suivante dans le fichier de configuration /etc/fstab :

ordi1.exemple.org:/home/ftp  /media/test   nfs    soft,timeo=5,intr,rsize=8192,wsize=8192  0  0

Pour comprendre les options, regardez leur description dans man mount