Accueil > Linux & Logiciels Libres > Déploiement de socle système avec DRBL-Clonezilla > III) Configuration générale de DRBL-Clonezilla
3758 visites

III) Configuration générale de DRBL-Clonezilla

lundi 26 janvier 2015 (), par Vader[FR]

Après avoir installé le serveur, il faut le configurer :

  • créer le système Linux qui sera utilisé par les postes lorsqu’ils démarreront en mode diskless afin d’exécuter une tâche clonezilla.
  • créer la liste des postes dans le DHCP + les fichiers de configuration de DRBL (par IP et par MAC)

A partir de la version 2, les fichiers de DRBL ne sont plus dans /opt, mais répartis dans /bin, /sbin, /usr/bin, /usr/sbin, /usr/share/drbl et /etc/drbl.
Les commandes de DRBL peuvent donc être lancées directement car situées dans les répertoires listés dans la variable PATH.

C’est pourquoi les anciens chemins sont barrés.

- indiquer dans /etc/drbl/drbl.conf (anciennement dans /opt/drbl/conf/) de ne pas copier dans /tftpboot lors du drblpush le répertoire libvirt de /var/lib (entre autre), celui-ci pouvant contenir les images des machines virtuelles.

D’autres répertoires de /var/lib pourront bien sûr être ajoutés à la liste.

varlib_NOT_2_be_copied_2_common_root="tftpboot mysql vmware-server boinc-client/projects hadoop backuppc ntp/proc libvirt"

varlib_NOT_2_be_copied_2_each_client="dhcp nfs rpm dpkg apt synaptic yum urpmi libvirt"

/opt/drbl/sbin/drblpush -i pour une configuration interactive (en première installation)

  • choisir aucun mode drbl et clonezilla en mode box

Lors de la configuration, il sera demandé :

  • l’interface réseau côté internet, et celle côté postes.
  • la plage réseau, masque obligatoirement en 24
  • la première adresse
  • le nombre de machines

Cela peut poser quelques soucis pour les postes dans un réseau privé "exotique" avec des masques en 22, des adresses qui ne se suivent pas forcément...et un serveur qui n’a pas de carte réseau sur internet, voire même qui n’a qu’une seule carte.

Comment résoudre ces quelques soucis ?

  • 1 seule carte réseau : créer une interface virtuelle...ou pas. Il est possible de forcer au drblpush avec une seule carte réseau.
  • plage "exotique" : n’indiquer que pour un seul poste, éditer la configuration réelle plus tard (voir ici).

Attention : le drblpush est susceptible d’écraser certains paramètres, qu’il faudra impérativement sauvegarder :

  • pare-feu (/etc/sysconfig/iptables)
  • fichier de configuration des partages NFS : /etc/exports
  • fichiers de configuration serveur dhcp : /etc/dhcp/dhcpd.conf et /etc/sysconfig/dhcpd, la liste des interfaces sur lesquelles le serveur dhcp peut écouter, dans un ordre précis (voir ici).

le script drblpush écrase les règles de pare-feu, il faut les restaurer et en créer d’autres :

  • Ouvrir les ports 68 et 69 du pare-feu en udp/tcp pour tftp et dhcp
  • autoriser toutes les connexions entrantes sur l’interface réseau côté postes, sans quoi les postes ne pourront pas monter les ressources partagées nécessaires et le clonage échouera.

on peut également autoriser les connexions entrantes depuis les adresses IP des postes formation répertoriés, et pas les autres, et/ou seulement depuis les ports utilisés par les clients tftp et nfs des postes.

Vu que cette règle de pare-feu très permissive, bien que nécessaire, est susceptible de générer une brèche de sécurité, il serait souhaitable de ne l’activer qu’au moment d’une tâche drbl-clonezilla (sauvegarde/restauration).

/opt/drbl/sbin/drblpush -c /etc/drbl/drblpush.conf en cas de mise à jour, pour garder la configuration actuelle

  • effacer dans /tftpboot/nodes/ tous les répertoires (avec la commande rm -rf) à l’exception du répertoire *
  • effacer dans /tftpboot/node_root/ les sous-répertoires non utiles aux postes (partages bureautiques, machines virtuelles...)
  • indiquer dans /etc/exports ou via Webmin (onglet réseau) les adresses autorisées à accéder au répertoire tftpboot et les partages NFS en général
    exemple :
    /tftpboot/node_root *(ro,async,insecure,no_subtree_check,no_root_squash)
    /usr *(ro,async,no_root_squash,no_subtree_check)
    /opt *(ro,async,no_root_squash,no_subtree_check)
    /home *(rw,sync,no_root_squash,no_subtree_check)
    /var/spool/mail *(rw,sync,root_squash,no_subtree_check)
    /var/images *(sync,insecure,no_subtree_check,no_root_squash,rw)

A noter, sur ce serveur, le répertoire contenant les images système clonées a été défini à /var/images.
le répertoire par défaut est /home/partimag

  • redémarrer les partages NFS service nfs restart
  • Indiquer le contexte SELinux de /tftpboot et de ses sous répertoires :
    chcon -R -u system_u -r object_r -t tftpdir_rw_t /tftpboot/

Pour que les postes puissent démarrer en mode clonezilla, il faut :

  • réponse du DHCP. attribution d’adresse IP, directive next-server et fichier de boot.
  • passer le pare-feu
  • présence des bonnes ressources partagées
    • TFTP dans /tftpboot
    • NFS avec tous les partages cités plus haut déclarés sans restriction d’adresse IP, ou chaque partage déclaré pour chaque adresse IP de poste.
  • accès aux fichiers du système du serveur autorisé par SELinux

Répondre à cet article

Total 394098 visites depuis 4441 jours | | SPIP | | Plan du site | Suivre la vie du site RSS 2.0
()