  Groupes d'Administration
  Introduction


  11..  IInnttrroodduuccttiioonn

  Un groupe d'administration est un ensemble de machines qui partagent
  tout ou partie de certains fichiers de configuration. Dans le jargon
  de  Linuxconf, ces machines partagent un sous-système. Le concept de
  sous-système est le même que celui utilisé dans les fonctionnalités de
  "version des profils système".


  11..11..  DDééffiinniittiioonn dd''uunn ssoouuss--ssyyssttèèmmee

  Un sous-système est un ensemble de fichiers de configuration
  logiquement reliés. Dans certains cas c'est seulement constitué de
  plusieurs parties d'un fichier de configuration.

  D'un certain point de vue, chaque fichier de configuration de
  Linuxconf appartient à au moins un sous-système. Dans certains cas il
  est divisé entre plusieurs sous-systèmes. C'est le cas de _/_e_t_c_/_f_s_t_a_b
  qui appartient aux deux sous sous-systèmes _h_a_r_d_w_a_r_e et _n_e_t_c_l_i_e_n_t.

  La possibilité de diviser un fichier de configuration en parties
  logiques relevant de plusieurs sous-systèmes est la clé du partage.
  Ainsi, beaucoup de machines d'un même réseau peuvent partager la
  partie client NFS de _/_e_t_c_/_f_s_t_a_b mais sans partager ce qui dépend du
  matériel de chaque machine (partitionnement du disque, partition de
  swap, etc.)


  22..  DDééffiinniirr uunn ggrroouuppee

  Voici la procédure pour créer un groupe d'administration.


  22..11..  LLuuii ddoonnnneerr uunn nnoomm

  Chaque groupe doit avoir un nom unique. Ce nom ne doit pas comporter
  d'espaces. Chaque groupe correspond à un sous-répertoire de :


               /etc/linuxconf/admgroups


  Le nom du sous-répertoire est tout simplement celui du groupe.


  22..22..  AAssssoocciieerr uunnee ddeessccrriippttiioonn àà ccee nnoomm

  Cela sert uniquement pour s'y retrouver entre plusieurs groupes. La
  description peut apparaître dans l'interface des programmes de
  configuration, mais elle n'a aucun usage fonctionnel.


  22..33..  LLuuii aassssoocciieerr uunnee aarrbboorreesscceennccee dd''aaddmmiinniissttrraattiioonn

  Un arbre d'administration est un poste de travail virtuel. Il a ou
  pourrait avoir tous les fichiers de configuration d'une station Linux
  ordinaire. En reliant un nom à une arborescence d'administration, vous
  déclarez que les machines de ce groupe iront chercher leurs fichiers
  de configuration (ou des parties ces fichiers) dans cette arborescence
  d'administration.

  On sépare l'arborescence d'administration du groupe d'administration
  parce que dans beaucoup de situations, on aura une arborescence
  d'administration et un parc de machines telles que :


  ·  La plupart de machines partagent une grande partie de cette
     arborescence

  ·  Certaines machines partagent seulement certains services
     spécifiques.

  ·  Enfin, certaines machines seront complètement indépendantes de tout
     groupe d'administration.

  Souvent, toutes les machines d'un même réseau physique vont partager
  au moins certaines parties de l'arborescence d'administration.

  Il y a dans l'aide une liste des arborescences d'administration
  disponibles. Vous pouvez entrer un nom qui n'est pas dans la liste.
  Simplement, n'oubliez pas de le créer après-coup.


  22..33..11..  LL''aarrbboorreesscceennccee dd''aaddmmiinniissttrraattiioonn //


  Il est possible de partager la configuration du poste de travail lui-
  même. L'arborescence en question s'appelle /. Elle fait partie de la
  liste de l'aide.


  22..44..  MMeemmbbrreess dd''uunn ggrroouuppee

  Vous n'avez qu'à énumérer les noms de machines et de domaine des
  membres d'un groupe. Actuellement c'est limité car il faut rentrer les
  noms un par un. On pourrait étendre cette procédure de plusieurs
  façons:


  ·  Autoriser la définition de pseudo-membres qui eux-mêmes
     redonneraient les fichiers de configuration à d'autres membres. Un
     répéteur peut même faire cela pour plusieurs groupes
     d'administration.

  ·  Autoriser l'usage des caractères spéciaux comme dans:*.domain.com.

  ·  Autoriser l'usage des paires network/netmask.

  ·  Autoriser le chargement à la demande des fichiers de configuration.
     De cette façon un groupe d'administration peut très bien ne pas
     avoir de membres officiellement !


  22..55..  ssoouuss--ssyyssttèèmmeess àà ppaarrttaaggeerr

  Une liste de tous les sous-systèmes disponibles est présentée. A
  gauche, le nom (ID) et à droite, la description du sous-système. Pour
  chaque sous-système, il y a un bouton qui permet de sélectionner les
  sous-systèmes qui sont partagés.


  33..  SSiiggnniiffiiccaattiioonn ddeess bboouuttoonnss

  Voici les fonctions associées aux boutons de l'interface.


  33..11..  AAjjoouutteerr

  Pour élargir le dialogue et autoriser d'autres membres (pas encore
  complet).


  33..22..  EEffffaacceerr

  Pour effacer le groupe d'administration sélectionné. L'information est
  effacée dans Linuxconf, mais les fichiers de


               /etc/linuxconf/admgroups/group-id


  Où group-id désigne le nom du groupe ne sont pas effacés.


  33..33..  PPuubblliieerr

  Pour faire une copie du sous-système sélectionné dans l'arborescence
  d'administration. Les fichiers sont installés dans :


               /etc/linuxconf/admgroups/group-id


  Une fois le sous-système publié, il peut être partagé par les membres
  d'un groupe d'administration, via la fonction _E_x_p_o_r_t ou de n'importe
  quelle autre manière. L'arborescence d'administration d'un groupe peut
  être installée sur n'importe quel poste Linuxconf ayant le module
  netadm, ce qui la rend aussitôt opérationelle.


  33..44..  EExxppoorrtteerr

  Utilise un protocole ``maison'' pour atteindre un autre site
  Linuxconf. Il envoie ensuite le contenu du groupe d'administration et
  active la procédure d'_i_m_p_o_r_t_a_t_i_o_n et la procédure d'_a_c_t_i_v_a_t_i_o_n
  (netconf --update).

  Actuellement, cette procédure est manuelle. Linuxconf vous demande le
  mot de passe de root de chaque membre du groupe d'administration, et
  met à jour cette machine.

  Ce n'est là qu'une des façons de partager une arborescence
  d'administration. On peut choisir de l'exporter par NFS (selon le
  niveau de confidentialité désiré) ou par n'importe quel autre
  protocole réseau.

  Nous croyons que beaucoup reste à faire pour que cette forme de
  partage s'adapte à tous les résaux pouvant exister. Les commentaires à
  ce sujet sont bienvenus.  welcome.

  33..44..11..  ddeess cclluusstteerrss..  CCoommppttee ssppéécciiaauuxx ppoouurr ll''aaddmmiinniissttrraattiioonn àà ddiiss­­
  ttaannccee eett llaa ggeessttiioonn

  Linuxconf utilise des protocoles spéciaux pour l'administration à
  distance et la gestion des clusters. Ces protocoles peuvent être
  encapsulés facilement pour améliorer ou la disponibilité ou la
  sécurité.

  Un bon outil d'encapsulation est ssh (_s_e_c_u_r_e _s_h_e_l_l). ssh remplace
  avantageusement des commandes comme rlogin, rsh, rcp et telnet. Il
  fait la même chose (et plus) que ces programmes en y ajoutant du
  cryptage et de la compression.

  ssh est aussi très utile pour interconnecter deux processus distancts
  par un canal sécurisé, car encrypté. C'est la manière dont Linuxconf
  se sert de ssh.

  En installant des comptes spéciaux sur des postes de travail et des
  serveurs, vous serez en mesure de l'utiliser sans même le savoir à
  travers Linuxconf. Cette partie est expérimentale et là encore, les
  commentaires sont bienvenus.


  33..44..22..  CCoommmmeenntt oorrggaanniisseerr uunnee aaddrreessssee ppoouurr llaa ggeessttiioonn ddeess cclluusstteerrss..

  Linuxconf utilise ssh pour établir la connection. Il attend qu'un
  compte spécial "netadm" existe sur la machine distante. Cet
  utilisateur "netadm" doit avoir sa variable d'environnement $SHELL
  positionnée sur


               /usr/lib/linuxconf/lib/netadmshell


  Ce compte n'a pas besoin de mot de passe. L'idée est que Linuxconf est
  lancé tout de suite après la création de ce compte, qui demandera le
  mot de passe de root pour son protocole de gestion à distance.

  Avec le système de contrôle d'accès de ssh, vous pouvez limiter les
  personnes qui peuvent accéder à la machine de cette manière. Mais de
  toutes façons il faut le mot de passe de root pour y accéder.