Vader[FR] : ce n'est pas un blog, c'est un Sith

VI) Clonage d'un poste à distance

Vader[FR] — 2015-01-29T09:09:00Z

Sauvegarde du socle d'un poste, à distance

le principe même de drbl-clonezilla est de préparer sur le serveur une tâche à exécuter au prochain démarrage du poste, puis éventuellement provoquer aussitôt ce démarrage par wake-on-lan.

Il faut faire un socle par modèle/série de PC pour éviter les problèmes de drivers en cas de matériels différents.

A partir de la version 2, les fichiers de DRBL ne sont plus dans /opt, mais répartis dans /bin, /sbin, /usr/bin, /usr/sbin, /etc/drb et /usr/share/drbl.
Les commandes de DRBL peuvent donc être lancées directement car situées dans les répertoires listés dans la variable PATH.

C'est pourquoi les anciens chemins sont ~~barrés~~.

Se connecter en root au serveur en ssh (via l'émulateur putty depuis un poste Windows), ou ouvrir un terminal en connexion graphique vnc, ou encore ouvrir une session ssh depuis webmin.
~~/opt/drbl/sbin/~~dcs pour lancer le serveur Clonezilla (ou l'alias clone en session root, s'il a été défini)
choisir tout ou partie des postes.
Il y a 2 listes disponibles : par adresse IP (/etc/drbl/IP_HOST_TABLE) et par adresse Mac (/etc/drbl/HOST_MAC_TABLE)
pour sélectionner un poste, appuyer sur la touche ESPACE. Pour valider, appuyer sur entrée
choisir de démarrer le mode clonezilla (clonezilla-start)
choisir mode expert
choisir la tâche : sauvegarder partition ou disque entier
choisir de spécifier le nom de l'image et du périphérique dès maintenant (now in server)
choisir un nom pour l'image
choisir les partitions ou disques à sauvegarder : sda pour le disque sata n°1, hda pour de l'ide
Si le disque/la partition est formaté en NTFS, choisir la priorité incluant ntfsclone, afin de ne copier que les données utiles, et non l'intégralité du disque avec les secteurs vides. (d'où la nécessité d'avoir choisi le mode expert)

en effet, partclone et partimage ne supportant pas le ntfs, on finit par tomber sur dd, qui copie le disque octet par octet, ce qui est très long, prend beaucoup de place, et est inefficace, dd copiant aussi bien les secteurs utilisés que les secteurs vides.

choisir de « supprimer les fichiers de pagination et d'hibernation de Windows » afin de gagner là encore de la place. Appuyer sur espace pour sélectionner.

Choisir d' « Arrêter le client en fin de clonage ». Sinon, si le mode clonezilla n'est pas arrêté, le pc risque de redémarrer et de recommencer. Et si le PC ne s'arrête pas de lui-même, rien ne dit que l'on pourra l'arrêter à distance.
choisir le niveau de compression. Le plus efficace et compatible est gzip (rapide et image compacte)
Laisser la taille maximale de l'image par défaut afin qu'il ne la scinde pas.
Relancer ~~/opt/drbl/sbin/~~dcs ou l'alias clone (s'il a été défini)
Re-sélectionner le poste.
Choisir « wake-on-lan » pour le démarrer à distance.
Attendre que le poste notifie le serveur qu'il a fini. Un poste devrait se cloner en moins d'une demi-heure.
Relancer ~~/opt/drbl/sbin/~~dcs ou l'alias clone (s'il a été défini)
Re-sélectionner le poste. Pour aller plus vite choisir « all ».
choisir d'arrêter le mode clonezilla (clonezilla-stop).

Si le mode clonezilla n'est pas arrêté pour ce poste, il cherchera à refaire sans cesse la même chose (sauvegarde du socle) à chaque démarrage.

Les postes notifient le serveur lorsqu'ils ont fini.

VII) Déploiement du socle en réseau

Vader[FR] — 2015-01-29T09:08:00Z

Déploiement d'un socle système sur plusieurs postes en même temps

le principe même de drbl-clonezilla est de préparer sur le serveur une tâche à exécuter au prochain démarrage d'un ou plusieurs postes, puis éventuellement provoquer aussitôt ce démarrage par wake-on-lan.

Choisir de restaurer un socle correspondant au modèle/série de poste, pour éviter les problèmes de drivers en cas de matériels différents.

C'est pourquoi les anciens chemins sont ~~barrés~~.

Se connecter en root au serveur en ssh (via l'émulateur putty depuis un poste Windows), ou ouvrir un terminal en connexion graphique vnc, ou encore ouvrir une session ssh depuis webmin.
~~/opt/drbl/sbin/~~dcs pour lancer le serveur Clonezilla (ou l'alias clone en session root, s'il a été défini)
choisir tout ou partie des postes.
Il y a 2 listes disponibles : par adresse IP (/etc/drbl/IP_HOST_TABLE) et par adresse Mac (/etc/drbl/HOST_MAC_TABLE)
pour sélectionner un poste, appuyer sur la touche ESPACE. Pour valider, appuyer sur entrée
choisir de démarrer le mode clonezilla (clonezilla-start)
choisir mode débutant (beginner)
choisir la tâche : restaurer un disque entier ou une partition
choisir d' « arrêter le client en fin de clonage »
choisir l'image a restaurer
choisir le disque/la partition à restaurer
choisir le type de diffusion : unicast pour 1 seul poste, multicast pour plusieurs, afin de travailler en parallèle. Il est préférable d'éviter le broadcast.
Pour le multicast, choisir la méthode de synchronisation : attendre que n postes aient contacté le serveur avant d'envoyer l'image (au risque qu'un absent bloque les autres), attendre un certain temps (au risque qu'un retardataire ne récupère pas l'image correctement), ou les 2 (un absent ne bloquera pas, mais tant pis pour les retardataires). Cette dernière option (clients+time-to-wait) est fortement recommandée.
en cas de choix d'option « client-to-wait » ou "clients+time-to-wait", laisser le nombre par défaut. Plus ou moins de postes cela ne change rien en multicast, surtout sur un même VLAN.
choisir un temps d'attente pas trop grand ni trop petit. 10 minutes semblent un bon compromis. De toute façon, si l'ensemble des postes a contacté le serveur avant ce délai, le serveur enverra aussitôt l'image.
Vérifier que le serveur se prépare bien à envoyer les paquets sur la bonne interface (la première de /etc/sysconfig/dhcpd)
Relancer ~~/opt/drbl/sbin/~~dcs ou l'alias clone (s'il a été défini)
Re-sélectionner les postes.
Choisir « wake-on-lan » pour les démarrer à distance.
Attendre que tous les postes notifient le serveur qu'ils ont fini. En général cela prend moins de 20 minutes (quel que soit le nombre de postes) pour un socle Windows.
Relancer ~~/opt/drbl/sbin/~~dcs ou l'alias clone (s'il a été défini)
Re-sélectionner les postes. Pour aller plus vite choisir « all ».
choisir d'arrêter le mode clonezilla (clonezilla-stop).
Relancer ~~/opt/drbl/sbin/~~dcs ou l'alias clone (s'il a été défini)
Re-sélectionner les postes.
choisir « wake-on-lan » afin qu'ils démarrent sur leur nouveau socle et exécutent le script de personnalisation
attendre 10/15 minutes le temps qu'ils le fassent.
Relancer ~~/opt/drbl/sbin/~~dcs ou l'alias clone (s'il a été défini)
Re-sélectionner les postes.
Choisir « shutdown » pour les éteindre

Si le mode clonezilla n'est pas arrêté pour ces postes, il chercheront à refaire sans cesse la même chose (restauration du socle).

Le ou les postes notifient le serveur lorsqu'ils auront fini.

II) Installation de DRBL-Clonezilla

Vader[FR] — 2015-01-26T14:16:00Z

installer le paquet rpm (ou apt ou deb selon la distribution choisie)

C'est pourquoi les anciens chemins sont ~~barrés~~.

Si accès internet

il suffit de lancer ~~/opt/drbl/sbin/~~drbl4imp et il devrait se débrouiller tout seul.

Dans un intranet sans accès à l'internet

installer les modules requis pour le serveur listés par ~~/opt/drbl/sbin/~~drblsrv-offline -r

Ces paquetages sont nécessaires à votre distribution GNU/Linux (vérifiez les dépôts de votre distribution pour plus de détails) :
dhcp tftp-server nfs-utils ypserv ypbind yp-tools firstboot iptables wget dialog initscripts rsync parted tcpdump bc dos2unix curl lftp openssh-server openssh-clients coreutils gzip bzip2 nc file ethtool net-tools syslinux zip unzip iproute binutils expect lzop ntfsprogs partimage pigz pbzip2 udpcast memtest86+ yum yum-utils
*****************************************************.
Ces paquetages du projet DRBL sont nécessaires [vérifiez http://drbl.sourceforge.net (anglais) or http://drbl.nchc.org.tw/ (chinois) pour plus de détails]. Les paquetages rpm ou deb se trouvent sur http://free.nchc.org.tw/drbl-core/ ou sur http://drbl.sourceforge.net :
clonezilla mkswap-uuid partclone drbl-chntpw mkpxeinitrd-net ipxe freedos
*****************************************************.
Il est recommandé d'installer ces paquetages lorsqu'ils existent dans les dépôts de la distribution :
mkinitrd lvm2 ntfs-3g genisoimage mkisofs lshw hwinfo aoetools vblade dmidecode lzop lzma xz xz-utils pxz pixz lzip pigz pbzip2 lbzip2 plzip lrzip pv hfsutils hfsprogs dmsetup dmraid kpartx device-mapper tofrodos dos2unix unix2dos dhcp3-server isc-dhcp-server gdisk btrfs-tools ufsutils disktype efibootmgr syslinux-utils

Paquets requis pour l'ancienne version

Ces paquetages sont nécessaires à votre distribution GNU/Linux (vérifiez les dépôts de votre distribution pour plus de détails) :
dhcp, tftp-server, nfs-utils, ypserv, ypbind, yp-tools, mkinitrd, firstboot, iptables, wget, dialog, initscripts, rsync, parted, tcpdump, bc, dos2unix, curl, lftp, openssh-server, openssh-clients, coreutils, gzip, bzip2, zip, unzip,
nc, file, ethtool, net-tools, syslinux, iproute, binutils, expect

Ces paquetages du projet DRBL sont nécessaires [vérifiez http://drbl.sourceforge.net (anglais) pour plus de détails].
Les paquetages rpm ou deb se trouvent sur http://drbl.sourceforge.net :
clonezilla, mkswap-uuid, drbl-partimage, partclone, drbl-chntpw, drbl-lzop, pigz, pbzip2, mkpxeinitrd-net, udpcast, gpxe, freedos, drbl-ntfsprogs

Il est recommandé d'installer ces paquetages lorsqu'ils existent dans les dépôts de la distribution :
lvm2, ntfs-3g, genisoimage, mkisofs, lshw, hwinfo, aoetools, vblade, dmidecode, lzma, xz, xz-utils, pxz, lzip, plzip, hfsutils, hfsprogs, dmsetup, dmraid, kpartx, device-mapper, tofrodos, dos2unix, unix2dos, dhcp3-server, isc-dhcp-server

Ces paquets sont disponibles sur les dépôts de la distribution. Il suffira de les télécharger et de les installer un par un avec la commande rpm -i ou de créer un dépôt local à partir des paquets téléchargés (cela sera expliqué dans un autre article).

Dans le pire des cas, il faudra chercher les paquets qui ne sont pas dans les dépôts de la distribution sur rpm.pbone.net (cela sera expliqué dans un autre article)

installer le serveur par ~~/opt/drbl/sbin/~~drblsrv-offline -s uname -r sauf si les PC n'ont pas un processeur compatible avec l'architecture du système, par exemple un processeur 32 bits sur les PC pour architecture 64 bits pour le système du serveur.

De fait, un système 64 bits devrait convenir aux PC récents.

Une fois le serveur installé, il faudra le configurer pour créer le système Linux de démarrage des postes, la liste des postes concernés dans le DHCP, etc.

IV) Configuration serveur et clients pour le clonage

Vader[FR] — 2015-01-26T10:50:00Z

serveur

Sur le serveur

configurer le serveur DHCP :

/etc/dhcp/dhcpd.conf : la liste des clients pour le dhcp, indique le fichier de démarrage ("next-server")

cela peut se faire par webmin ou autre gestionnaire de table dhcp.

Section générale du fichier de configuration.
Ces paramètres globaux peuvent en fait être indiqués dans les sections réseaux.

# la durée du bail dhcp par défaut, en secondes
default-lease-time 360000;
# la durée maximale du bail dhcp, en secondes
max-lease-time 360000;
# le masque de sous réseau, détermine le nombre d'adresses IP possible
option subnet-mask 255.255.252.0;
# les serveurs de résolution de nom (DNS)
option domain-name-servers 192.168.1.1,192.168.0.1;
# le nom de domaine. si le serveur est situé sur plusieurs domaines, ne pas le déclarer ici
#option domain-name "monreseau.fr";
ddns-update-style none;
# optionnel : le nom du serveur
# pour drbl-clonezilla, il doit être à drbl
server-name drbl;

s'il y a plusieurs réseaux pour ce serveur dhcp, il faudra déplacer la directive next-server dans une section réseau.

on laisse ensuite le code généré par DRBL, notamment :
filename = "pxelinux.0";
qui indique quel fichier de démarrage demander au serveur

Sous-sections réseaux.
Ici, on déclare 2 réseaux différents, "administration" de 192.168.8.1 à 192.168.11.254 et "formation" de 192.168.0.1 à 192.168.3.254.

# ====== Administration ======
subnet 192.168.8.0 netmask 255.255.252.0 { option subnet-mask 255.255.252.0; option routers 192.168.8.1; option domain-name "reseau_administratif.fr"; # ici, comme le serveur donne des adresses a 2 réseaux, il le fait selon l'adresse MAC du poste demandeur. # si un poste n'a pas son adresse MAC référencée dans ce fichier, ce serveur ne lui donnera pas d'adresse. deny unknown-clients; # déclaration d'un poste # Poste 1 host Poste1 { # l'adresse MAC du poste hardware ethernet XX:XX:XX:XX:XX:XX; # l'adresse IP donnée fixed-address 192.168.10.20; } } # ====== Formation ====== subnet 192.168.0.0 netmask 255.255.252.0 { option subnet-mask 255.255.252.0; option routers 192.168.1.1; option domain-name "reseau_formation.fr"; # le paramètre indiquant quel serveur donnera le fichier de démarrage next-server 192.168.1.5; # ici, comme le serveur donne des adresses a 2 réseaux, il le fait selon l'adresse MAC du poste demandeur. # si un poste n'a pas son adresse MAC référencée dans ce fichier, ce serveur ne lui donnera pas d'adresse. deny unknown-clients; # Formation1 host Formation1 { # l'adresse MAC du poste hardware ethernet YY:YY:YY:YY:YY:YY; # l'adresse IP donnée fixed-address 192.168.0.20; }
}

S'il y a plusieurs serveurs dhcp dans le même réseau, afin que celui qui réponde aux postes à cloner soit le serveur drbl, il faudra configurer le dhcp en "statique" en associant obligatoirement une adresse IP à une adresse MAC, et en refusant les postes inconnus ("deny unknown-clients"), comme configuré ci-dessus.

Le cas échéant, si le serveur le plus rapide à répondre n'est pas le serveur drbl, le poste ne pourra pas télécharger l'image de démarrage et exécuter des tâches clonezilla.

redémarrer le serveur DHCP afin de prendre en compte les nouveaux paramètres : service dhcpd restart

Pilote de la carte réseau des postes clients

Au cas où le module réseau du serveur ne correspond pas au matériel des postes clients, il faudra modifier leur image de démarrage drbl :
Par exemple, le module pour les cartes Marvell Yukon (PC ACER et Gateway) est sky2.
Cela peut être déterminé avec un Linux Live.

Si le module est présent sur le serveur et donc dans l'image drbl, mais pas chargé au démarrage des postes clients, il suffira de lancer la commande :
mknic-nbi -k 3.17.7-200.fc20.x86_64 -m sky2

A adapter selon le noyau (ici le 3.17.7-200 pour une Fedora 20) et le module à charger.

Cela permet de redéfinir le fichier de configuration de démarrage et dire aux clients drbl de charger ce module comme module réseau
On peut bien sûr lister plusieurs modules

Adresse du serveur NFS

En cas de plusieurs clients avec plage IP exotique, alors étant donné que les clients devront être listés après la configuration de DRBL, il faudra les ajouter manuellement dans la liste des clients NFS du serveur DHCP (drbl).

En effet, il y à un appel dans /tftpboot/node_root/sbin/init à une fonction do_nfs_mount, avec pour paramètre $nfsserver:$nfshostsdir/$IP/.

Ce fichier est téléchargé car faisant partie de l'image de démarrage dans /tftpboot, puis exécuté par le client.

Ce paramètre $nfsserver est sensé avoir été précédemment trouvé par une boucle for/if cherchant une lecture de $IP-PC dans le fichier clients-of-$IP-DHCP, si l'adresse du poste n'y est pas listée il prend l'adresse de la passerelle, sinon une adresse par défaut.

# Find NFS server
for i in $NFSSERVER_LIST; do # Use the clients-of-$nfsserver.txt in the common root. if [ -n "$(grep -Ew "$IP" /etc/drbl/clients-of-${i}.txt 2>/dev/null)" ]; then nfsserver="$i" break fi
done

Il faudra donc ajouter dans /tftpboot/node_root/etc/drbl/clients-of-......txt les adresses IP depuis le fichier dhcpd.conf.
Une adresse IP par ligne.

10.158.58.145
10.158.58.142
10.158.58.144
10.158.58.143
10.158.58.124
10.158.58.125
...

fichiers et répertoires importants de DRBL

/etc/drbl/HOST_MAC_TABLE et IP_HOST_TABLE : liste des clients pour pouvoir les sélectionner ensuite.
IP_HOST_TABLE est généré par le drblpush et sera donc à éditer
alors que HOST_MAC_TABLE est modifié par le script "parse_dhcpd_conf" qui est lancé en même temps que DRBL-Clonezilla. Il ne faudra donc pas l'éditer, car 1) ce n'est pas nécessaire puisqu'il récupère les infos à partir du fichier dhcpd.conf et 2) les informations saisies manuellement seront par conséquent écrasées au lancement de DRBL-Clonezilla.

exemple HOST_MAC_TABLE :

# Generated by DRBL script parse_dhcpd_conf
# HOSTNAME IP MAC_ADDRESS
Formation0 192.168.0.19 XX:XX:XX:XX:XX:XX
Formation1 192.168.0.20 XX:XX:XX:XX:XX:XX
Formation2 192.168.0.21 XX:XX:XX:XX:XX:XX
Formation3 192.168.0.22 XX:XX:XX:XX:XX:XX
Formation4 192.168.0.23 XX:XX:XX:XX:XX:XX
Formation5 192.168.0.24 XX:XX:XX:XX:XX:XX

exemple IP_HOST_TABLE :

# Created by DRBL (drblpush), begin
192.168.0.19 Formation0
192.168.0.20 Formation1
192.168.0.21 Formation2
192.168.0.22 Formation3
192.168.0.23 Formation4
192.168.0.24 Formation5

/tftpboot : le répertoire contenant l'image de démarrage (rappel : enlever les répertoires en trop dans nodes, et les sous répertoires inutiles dans node_root)
/tftpboot/nbi_img/pxelinux.cfg/default : configuration du menu de démarrage
/usr/bin/drbl-doit (anciennement /opt/drbl/bin/drbl-doit) : script pour le wake on lan (entre autre) à corriger si le masque est en 22 et non en 24.

dans ce cas :

après :

IP_grp_1_3="$(LC_ALL=C echo $ihost | sed -e "s/\.[[:digit:]]*$//g")"
iport="$(LC_ALL=C route -n | grep -E "^$IP_grp_1_3\." | awk -F" " '{print $NF}')"

mettre :

if [ "$IP_grp_1_3" = "AA.BB.CC" ]; then iport="ethX";
fi

en remplaçant AA.BB.CC par les 3 premiers nombres de vos adresses IP, et ethX par l'interface côté postes (eth0, eth1...)

cette structure conditionnelle est bien sûr à répéter pour chaque AA.BB.CC différents. Par exemple, pour un masque en 22, correspondant à 4 plages de 256 (4*DD) il faudra mettre 4 boucles conditionnelles, une pour chaque "sous-plage".

/etc/drbl/drbl.conf (anciennement /opt/drbl/conf/drbl.conf) : fichier de configuration général de DRBL, notamment pour le compte d'administration W$ ainsi que les répertoires de /var/lib à ne pas copier au drblpush.

Compte d'administration pour les commandes SSH envoyées aux postes clients sous Windows (DRBL-Clonezilla)

# Administrator account ID in M$ windows
# This is for drbl-doit to send command to cloned M$ windows via ssh. Different language M$ windows use different ID. Ex:
# English: Administrator
# Traditional Chinese: Administrator
# France: Administrateur
# Dutch: Administrator
# Default value: Administrator
MSWIN_ADMIN_ID="Administrateur"

Indiquer le mot de passe de l'administrateur Windows dans 2 fichiers :
/usr/bin/drbl-doit (anciennement /opt/drbl/bin/drbl-doit)
remplacer specified_passwd=$1
```
# if [ -n "$specified_passwd" ]; then
# specified_passwd='mot_de_passe';
# fi
```

/usr/sbin/dcs (anciennement /opt/drbl/sbin/dcs) qui est en fait un lien sur /usr/sbin/drbl-client-switch (anciennement /opt/drbl/sbin/drbl-client-switch)
ajouter -p "mot_de_passe" aux commandes drbl-doit

if [ "$LIST_HOST" = "on" ]; then drbl-doit -b -u $MSWIN_ADMIN_ID -p "mot_de_passe" -h "$IP_LIST" /usr/bin/shutdown -f -r now &
else drbl-doit -b -u $MSWIN_ADMIN_ID -p "mot_de_passe" /usr/bin/shutdown -f -r now &
fi

if [ "$LIST_HOST" = "on" ]; then drbl-doit -b -u $MSWIN_ADMIN_ID -p "mot_de_passe" -h "$IP_LIST" /usr/bin/shutdown -f -s -x now &
else drbl-doit -b -u $MSWIN_ADMIN_ID -p "mot_de_passe" /usr/bin/shutdown -f -s -x now &
fi

/etc/sysconfig/dhcpd : la liste des interfaces surs lesquelles le serveur dhcp écoute : mettre celle où l'on veut faire du multicast en premier.
DHCPDARGS="eth2 eth0 eth1 virbr0"

relancer le serveur DHCP si le fichier a du être modifié. service dhcpd restart

La fonction qui lit ce fichier afin de déterminer l'interface sur laquelle faire le multicast est dans /opt/drbl/sbin/ocs-functions
Il suffit de la corriger pour figer l'interface ou au contraire faire une boucle conditionnelle pour la choisir.

Par exemple, après

find_multicast_ethernet_port() { echo -n "Finding the $multi_broad_cast_prompt seed ethernet port... "

on pourra enlever
for eth in get_dhcpd_interface; do
et après
# keep the port for multicast to be echoed in screen
ajouter
eth="bond0.10"
et après

	eth_for_multicast="$eth" echo "On multicast sur $eth"

enlever

 break done

et laisser la fin de la fonction

 echo "done." echo "Will use ethernet port $eth_for_multicast for $multi_broad_cast_prompt seed in this clonezilla server."
} # end of find_multicast_ethernet_port

La commande pour lancer le menu drbl ensuite sera ~~/opt/drbl/sbin/~~dcs, qui est en fait un raccourci pour ~~/opt/drbl/sbin/~~drbl-client-switch

Pour aller plus vite, il est (était) possible dans le fichier /root/.bashrc de créer un alias :

# User specific aliases and functions
alias clone='/opt/drbl/sbin/dcs'

ensuite, il suffira de lancer la commande "clone" pour lancer le menu.

L'alias sera utilisable dès la prochaine connexion console au serveur (nouveau terminal ou nouvelle connexion ssh).

clients

Sur les postes clients

1) Wake On Lan

Sous Windows, gestionnaire de périphérique, propriétés de la carte réseau

onglet « avancé »

capacité de réveil = « paquet magique », et seulement « paquet magique », afin d'éviter les réveils inopinés de la machine.
réveil après arrêt = « actif »

onglet « gestion de l'alimentation »

décocher "autoriser l'ordinateur à éteindre ce périphérique pour économiser l'énergie"

dans le BIOS, selon les modèles

menu Advanced BIOS Features

Intel EIST = enabled

menu « Power Management Setup »

ACPI Aware OS = enabled
ACPI Suspend Mode = [S3 (STR)]
Power on PCIE devices = enabled
Power on PCI = enabled
Deep Power Off mode = disabled

2) Boot on LAN

dans le BIOS, selon les modèles

menu « Integrated Peripherals »

Onboard Lan Option Rom = enabled

menu « Advanced BIOS Features »

mettre LAN en 1er dans la liste des médias de Boot

III) Configuration générale de DRBL-Clonezilla

Vader[FR] — 2015-01-26T10:33:00Z

Après avoir installé le serveur, il faut le configurer :

créer le système Linux qui sera utilisé par les postes lorsqu'ils démarreront en mode diskless afin d'exécuter une tâche clonezilla.
créer la liste des postes dans le DHCP + les fichiers de configuration de DRBL (par IP et par MAC)

A partir de la version 2, les fichiers de DRBL ne sont plus dans /opt, mais répartis dans /bin, /sbin, /usr/bin, /usr/sbin, /usr/share/drbl et /etc/drbl.
Les commandes de DRBL peuvent donc être lancées directement car situées dans les répertoires listés dans la variable PATH.

C'est pourquoi les anciens chemins sont ~~barrés~~.

- indiquer dans /etc/drbl/drbl.conf (anciennement dans /opt/drbl/conf/) de ne pas copier dans /tftpboot lors du drblpush le répertoire libvirt de /var/lib (entre autre), celui-ci pouvant contenir les images des machines virtuelles.

D'autres répertoires de /var/lib pourront bien sûr être ajoutés à la liste.

varlib_NOT_2_be_copied_2_common_root="tftpboot mysql vmware-server boinc-client/projects hadoop backuppc ntp/proc libvirt" varlib_NOT_2_be_copied_2_each_client="dhcp nfs rpm dpkg apt synaptic yum urpmi libvirt"

~~/opt/drbl/sbin/~~drblpush -i pour une configuration interactive (en première installation)

choisir aucun mode drbl et clonezilla en mode box

Lors de la configuration, il sera demandé :

l'interface réseau côté internet, et celle côté postes.
la plage réseau, masque obligatoirement en 24
la première adresse
le nombre de machines

Cela peut poser quelques soucis pour les postes dans un réseau privé "exotique" avec des masques en 22, des adresses qui ne se suivent pas forcément...et un serveur qui n'a pas de carte réseau sur internet, voire même qui n'a qu'une seule carte.

Comment résoudre ces quelques soucis ?

1 seule carte réseau : créer une interface virtuelle...ou pas. Il est possible de forcer au drblpush avec une seule carte réseau.
plage "exotique" : n'indiquer que pour un seul poste, éditer la configuration réelle plus tard (voir ici).

Attention : le drblpush est susceptible d'écraser certains paramètres, qu'il faudra impérativement sauvegarder :

pare-feu (/etc/sysconfig/iptables)
fichier de configuration des partages NFS : /etc/exports
fichiers de configuration serveur dhcp : /etc/dhcp/dhcpd.conf et /etc/sysconfig/dhcpd, la liste des interfaces sur lesquelles le serveur dhcp peut écouter, dans un ordre précis (voir ici).

le script drblpush écrase les règles de pare-feu, il faut les restaurer et en créer d'autres :

Ouvrir les ports 68 et 69 du pare-feu en udp/tcp pour tftp et dhcp
autoriser toutes les connexions entrantes sur l'interface réseau côté postes, sans quoi les postes ne pourront pas monter les ressources partagées nécessaires et le clonage échouera.

on peut également autoriser les connexions entrantes depuis les adresses IP des postes formation répertoriés, et pas les autres, et/ou seulement depuis les ports utilisés par les clients tftp et nfs des postes.

Vu que cette règle de pare-feu très permissive, bien que nécessaire, est susceptible de générer une brèche de sécurité, il serait souhaitable de ne l'activer qu'au moment d'une tâche drbl-clonezilla (sauvegarde/restauration).

~~/opt/drbl/sbin/~~drblpush -c /etc/drbl/drblpush.conf en cas de mise à jour, pour garder la configuration actuelle

effacer dans /tftpboot/nodes/ tous les répertoires (avec la commande rm -rf) à l'exception du répertoire *
effacer dans /tftpboot/node_root/ les sous-répertoires non utiles aux postes (partages bureautiques, machines virtuelles...)

indiquer dans /etc/exports ou via Webmin (onglet réseau) les adresses autorisées à accéder au répertoire tftpboot et les partages NFS en général
exemple :

/tftpboot/node_root *(ro,async,insecure,no_subtree_check,no_root_squash) /usr *(ro,async,no_root_squash,no_subtree_check) /opt *(ro,async,no_root_squash,no_subtree_check) /home *(rw,sync,no_root_squash,no_subtree_check) /var/spool/mail *(rw,sync,root_squash,no_subtree_check) /var/images *(sync,insecure,no_subtree_check,no_root_squash,rw)

A noter, sur ce serveur, le répertoire contenant les images système clonées a été défini à /var/images.
le répertoire par défaut est /home/partimag

redémarrer les partages NFS service nfs restart

Indiquer le contexte SELinux de /tftpboot et de ses sous répertoires :
chcon -R -u system_u -r object_r -t tftpdir_rw_t /tftpboot/

Pour que les postes puissent démarrer en mode clonezilla, il faut :

réponse du DHCP. attribution d'adresse IP, directive next-server et fichier de boot.
passer le pare-feu
présence des bonnes ressources partagées
- TFTP dans /tftpboot
- NFS avec tous les partages cités plus haut déclarés sans restriction d'adresse IP, ou chaque partage déclaré pour chaque adresse IP de poste.
accès aux fichiers du système du serveur autorisé par SELinux

VIII) Multicast, trunks, bonding et switchs managés

Vader[FR] — 2012-07-26T17:16:16Z

Pour que le multicast par switch managé se passe bien, il faut configurer les switchs (et parfois aussi le serveur) en conséquence.

Il y a des paramètres indispensables quels que soient les cas :

activer l'igmp-snooping globalement sur le switch
activer l'igmp-snooping pour le ou les VLANs qui en auront besoin sur le switch
déclarer le switch le plus proche du serveur en igmp-snooping querier

éventuellement et selon les cas (architecture réseau, type de switche, type de poste..), certains paramètres devront être activés :

activer le flow-control sur toutes les interfaces de la chaîne de liaison, notamment si les postes sont des Acer/Gateway
passer la (ou les, s'il y a agrégat) carte(s) du serveur en flow-control avec une commande de type ethtool -A eth0 autoneg off rx on tx on ou mii-tool

Si le serveur qui diffuse l'image dispose de VLANs, l'interface servant pour le multicast doit être celle du VLAN déclaré sur les switchs.
Ainsi, si le serveur a une interface en bonding (agrégat de liens) sur plusieurs cartes réseau, cet agrégat étant noté bond0, sur lequel circulent plusieurs VLANs, et que le vlan des postes à déployer est le 10, l'interface de multicast (la première listée dans /etc/sysconfig/dhcpd) sera bond0.10

V) Personnalisation des postes post-clonage

Vader[FR] — 2012-03-16T14:16:13Z

Lorsque n postes issus du déploiement d'un socle commun vont redémarrer, ils auront tous les mêmes paramètres, ceux du poste ayant servi à faire le socle.

Il y aura alors un nom en double sur le réseau, ce qui est un peu gênant. De plus, si les postes sont configurés en IP fixe et non en DHCP, il y aura également une adresse IP en double, ce qui l'est encore bien plus.

De même pour les partages, liens, groupe de travail...

Il faudra donc au redémarrage du poste un "script" de personnalisation, qui va terminer l'installation (du socle commun) en l'adaptant au poste.

Il existe pour cela drbl-winroll (en anglais) pour personnaliser le poste (nom de groupe, nom de machine...).

Ce logiciel inclut cygwin, un serveur ssh, permettant d'envoyer au poste des commandes à distance (reboot, shutdown...)

Info : lors de l'installation de winroll, il ne sera pas utile de sélectionner newsid.

drbl-winroll se chargera de la configuration "réseau" du poste : nom de station et groupe de travail, en fonction de l'adresse MAC indiquée dans C :\cygwin\drbl-winroll-config\hosts.

exemple fichier winroll.conf :
ici, le nom "par défaut" du groupe de travail est "SalleB".
le nom de la station sera changé par winroll, et le nom du groupe en utilisant un fichier de configuration winroll.conf différent par groupe.

# on indique le fichier de référence pour le nom à personnaliser et la manière de le faire : en se basant sur l'adresse MAC
HN_WSNAME_PARAM = /RDF:C:\cygwin\drbl_winroll-config\hosts.conf /DFK:$MAC
# le nom du groupe pour ce poste. en réalité, il y a plusieurs fichiers winroll.conf, un par salle. un script de personnalisation permet de les changer selon le nom du poste, lui-même changé par un premier fichier de configuration d'hôtes winroll.
WG_WSNAME_PARAM = SalleB # faut il renommer le poste ou non
IF_AUTOHOSTNAME_SERVICE = y
# comment l'adresse ip est elle configurée. ici, en dhcp, et non par winroll
CONFIG_NETWORK_MODE = dhcp

le fichier hosts.conf, est lui "générique" :
ici, les adresses MAC sont indiquées sans séparateur

# Salle B RDC
XXXXXXXXXXXX = Formation0
XXXXXXXXXXXX = Formation1
XXXXXXXXXXXX = Formation2
XXXXXXXXXXXX = Formation3
# Salle A 1er
XXXXXXXXXXXX = Formation4
XXXXXXXXXXXX = Formation5

Il sera possible d'écrire ensuite un script bat pour, par exemple, en fonction du début du nom de la station, définir un groupe de travail différent, mettre des liens aux partages en fonction des salles et le reste de la configuration (clé Italc pour gestion des postes stagiaires par le formateur, etc).

Exemple de déroulement de personnalisation :

les postes démarrent, tous même nom et même groupe de travail. Les adresses ip, en dhcp, sont différentes
winroll se lance, et selon l'indication de winroll.conf, met le groupe à "SalleB", puis va chercher le nom de la station en fonction de son adresse MAC dans le fichier hosts.conf
si le nom de la station ne correspond pas à ce qu'il devrait y avoir dans le fichier hosts.conf, winroll le change et redémarre la station.
le script batch de personnalisation voit le nom de la station, et en fonction du début du nom, efface le fichier winroll.conf d'origine (avec un groupe de travail unique "par défaut") pour mettre à la place un fichier winroll.conf correspondant à la salle, avec un groupe de travail adapté. D'autres tâches peuvent par ailleurs être exécutées.
au redémarrage, winroll se lance (encore), change (si besoin) le nom du groupe de travail d'après son nouveau fichier winroll.conf personnalisé, puis voit que le nom de la station correspond à ce qu'il devrait être.

Exemple de script batch de personnalisation, lancé au démarrage :

@echo off
cls
rem on récupère le nom de la machine, via un fichier temporaire
hostname > hn.txt
set /P nom=< hn.txt
rem effacement du fichier temporaire ensuite
del /F /Q hn.txt
rem echo Le nom d'hote est %HOSTNAME%
rem echo Nom = %nom%
rem on récupère la base du nom de la station, sans son numéro. exemple, "SalleB" au lieu de "SalleB01"
set nombase=%nom:~0,-2%
rem echo Groupe = %nombase%
rem en fonction du nom récupéré, on en déduit la salle et on va au bloc de personnalisation correspondant
rem ici, on met le nom en minuscules pour faire le test
if /I %nombase%==salleb (goto salleb)
if /I %nombase%==sallea (goto sallea)
if /I %nombase%==sallec (goto sallec)
pause
rem si le nom ne correspond à aucune salle, on ne fait rien et on va directement à la fin
goto fin
rem =============================================================================
rem Salle B
rem =============================================================================
:salleb
echo Salle B
rem si un des fichiers post-personnalisation existe déjà, la personnalisation a déjà été faite, et donc on ne la refait pas à chaque démarrage.
if exist "C:\Documents and Settings\All Users\Bureau\Partage_Salle_B.lnk" goto fin
rem ------------------- Nom de groupe ------------------------------
rem echo on copie le fichier de configuration de winroll "salleb" qui contient le bon nom de groupe
del /F /Q "C:\cygwin\drbl_winroll-config\winroll.conf"
copy /Y "C:\cygwin\salleb\winroll.conf" "C:\cygwin\drbl_winroll-config"
rem ------------------- Partage (lecteur) ---------------------------------
rem montage du partage r‚seau
rem net use \\AA.BB.CC.DD\partage_salleb
rem ------------------- Partage (lien) --------------------------------
rem ou copie du lien
rem effacement anciens liens si socle générique créé à partir d'un poste d'une autre salle
del /F /Q "C:\Documents and settings\All Users\Bureau\Partage_salleA.lnk"
del /F /Q "C:\Documents and settings\All Users\Bureau\Partage_salleC.lnk"
del /F /Q "C:\Documents and Settings\All Users\Menu D‚marrer\Partage_salleA.lnk"
del /F /Q "C:\Documents and Settings\All Users\Menu D‚marrer\Partage_salleC.lnk"
rem echo "copie du lien"
copy /Y "C:\cygwin\salleb\Partage_Salle_B.lnk" "C:\Documents and Settings\All Users\Bureau\"
rem ###########################################################################
rem /!\ l'accent pose problème ici
rem Editer avec la commande dos edit ou mettre C:\DOCUME~1\ADMINI~1\MENUDM~1
copy /Y "C:\cygwin\salleb\Partage_Salle_B.lnk" "C:\Documents and Settings\All Users\Menu D‚marrer\"
rem ###########################################################################
rem -------------------- Italc (clé) --------------------------------
rem copie de la clé pour ITALC
echo "effacement clé"
del /F /Q "C:\Program Files\iTALC\keys\public\teacher\key"
echo copie cle
copy /Y "C:\cygwin\salleb\key" "C:\Program Files\iTALC\keys\public\teacher"
break
goto fin
rem =============================================================================
rem Salle A
rem =============================================================================
:sallea
echo Salle A
rem si un des fichiers post-personnalisation existe déjà, la personnalisation a déjà été faite, et donc on ne la refait pas à chaque démarrage.
if exist "C:\Documents and Settings\All Users\Bureau\Partage_sallea.lnk" goto fin
rem ------------------- Nom de groupe ------------------------------
rem echo on copie le fichier de configuration de winroll "sallea" qui contient le bon nom de groupe
del /F /Q "C:\cygwin\drbl_winroll-config\winroll.conf"
copy /Y "C:\cygwin\sallea\winroll.conf" "C:\cygwin\drbl_winroll-config"
rem ------------------- Partage (lecteur) ---------------------------------
rem montage du partage r‚seau
rem net use \\AA.BB.CC.DD\partage_salleA
rem ------------------- Partage (lien) --------------------------------
rem ou copie du lien
rem effacement anciens liens si socle générique créé à partir d'un poste d'une autre salle
del /F /Q "C:\Documents and settings\All Users\Bureau\Partage_Salle_B.lnk"
del /F /Q "C:\Documents and settings\All Users\Bureau\Partage_salleC.lnk"
del /F /Q "C:\Documents and Settings\All Users\Menu D‚marrer\Partage_Salle_B.lnk"
del /F /Q "C:\Documents and Settings\All Users\Menu D‚marrer\Partage_salleC.lnk"
rem echo "copie du lien"
copy /Y "C:\cygwin\sallea\Partage_salleA.lnk" "C:\Documents and Settings\All Users\Bureau\"
rem ###########################################################################
rem /!\ l'accent pose problème ici
rem Editer avec la commande dos edit ou mettre C:\DOCUME~1\ADMINI~1\MENUDM~1
copy /Y "C:\cygwin\sallea\Partage_salleA.lnk" "C:\Documents and Settings\All Users\Menu D‚marrer\"
rem ###########################################################################
rem -------------------- Italc (clé) --------------------------------
rem copie de la cl‚ pour ITALC
echo "effacement clé"
del /F /Q "C:\Program Files\iTALC\keys\public\teacher\key"
echo copie cle
copy /Y "C:\cygwin\sallea\key" "C:\Program Files\iTALC\keys\public\teacher"
break
goto fin
rem =============================================================================
rem Salle C
rem =============================================================================
:sallec
...
...
...
:fin

Ce script batch pourra être transformé en exécutable avec bat2exe, puis l'exécutable créé comme service démarrant avec le PC, au lieu du démarrage de la session.
Ainsi, la personnalisation du poste pourra être entièrement automatisée.

Important : pour que les postes Windows puissent accepter des commandes ssh venant du serveur drbl - et donc automatiques - il faudra mettre la clé publique ssh du serveur dans la liste des clés ssh autorisées sur les postes.

Dans le fichier C :\cygwin\home\Administrateur\.ssh\authorized_keys du poste, il faudra mettre le contenu du fichier /root/.ssh/id_rsa.pub du serveur

Les comptes Administrateur (pour Windows) et root (pour le serveur drbl) peuvent bien sûr être changés.
toutefois, il est conseillé de lancer l'outil drbl du serveur avec le compte root, notamment pour le wake-on-lan.

Ainsi, le serveur enverra des commandes, sans besoin de passer par une authentification login/mot de passe, ce qui est fastidieux et risque de plantage si l'on veut envoyer des commandes à plusieurs postes en même temps.

L'authentification se fera par échange de clés.

Mise à jour du socle

En cas de changement d'un poste (ajout/retrait/échange), il faudra indiquer la nouvelle adresse MAC et/ou retirer l'ancienne :

sur le serveur, éditer les fichier

/etc/dhcp/dhcpd.conf
~~/etc/drbl/HOST_MAC_TABLE~~
/etc/drbl/IP_HOST_TABLE sauf si une machine en remplace une autre en gardant l'adresse IP et le nom.

sur le socle des postes, éditer le fichier C :\cygwin\drbl-winroll-config\hosts, puis sauvegarder le nouveau socle.

I) Introduction et principes de DRBL-Clonezilla

Vader[FR] — 2012-03-16T14:16:05Z

Qu'est-ce que DRBl-Clonezilla ?

DRBl-Clonezilla est l'association de plusieurs logiciels, afin de permettre :

wake-on-lan d'un ou plusieurs PC
démarrage sans disque à distance, en téléchargeant une image d'un système (Diskless Remote Boot on Linux)
clonage d'un poste avec envoi sur le serveur de l'image compressée
restauration de l'image sur un ou plusieurs postes, si besoin est en parallèle sur n postes
personnalisation des postes après installation (nom de la machine, groupe réseau...)
prise en main à distance via SSH des postes pour lancer des commandes d'administration (par exemple shutdown pour les éteindre)

DRBL-Clonezilla associe :

serveur dhcp, pour que les postes puissent communiquer avec le serveur
serveur tftp, pour le téléchargement du système à utiliser pour le clonage
DRBL pour démarrer le poste à distance, sans utiliser le disque
Clonezilla, pour cloner le poste une fois démarré

Principe de fonctionnement

Au démarrage, le poste va chercher à récupérer un fichier de boot via le réseau, avant de regarder sur un CD ou le disque dur local.

Cela doit faire partie du paramétrage du BIOS (voir ici dans la même rubrique).

Pour ce faire, il commence par envoyer une requête DHCP.

Après tout, s'il doit télécharger une image système pour démarrer sans disque dur (pour pouvoir le cloner ensuite, par exemple), il est préférable d'avoir une adresse IP.

De plus, s'il doit télécharger une image système...encore faut il savoir quel serveur interroger.

La requête DHCP étant à destination de "n'importe quelle machine voulant bien répondre dans le réseau" (plus familièrement nommé broadcast ou adresse de diffusion), la machine qui répondra à sa requête, outre sa configuration IP (IP, masque, passerelle, DNS..) pourra indiquer quel serveur interroger pour avoir une image de démarrage.

Un serveur DHCP va alors lui répondre.
Le poste attendra de celui-ci une indication pour savoir quel fichier demander, et sur quel serveur (voir ici dans la même rubrique).

Il est impératif que le ou les serveurs DHCP présents soient donc bien configurés afin qu'un serveur dhcp non drbl ne puisse donner une ip sans indication de fichier ensuite (voir ici dans la même rubrique).

Le poste va alors télécharger le fichier, qui consiste en un menu de boot, puis exécuter l'action choisie, ou l'action prévue par défaut selon le type de menu prévu : démarrer à partir du disque local, se mettre en mode clonezilla pour sauvegarder/restaurer un socle, etc...

En cas de mode clonezilla, le poste va se connecter au serveur tftp et charger en mémoire RAM le noyau système Linux, copié du serveur, contenu dans /tftpboot/node_root

Il faut donc que le répertoire en question ne contienne que les fichiers indispensables, afin de ne pas surcharger la RAM (voir ici dans la même rubrique).

Puis le poste lancera la commande restaurer ou sauvegarder en téléchargeant ou envoyant le socle au serveur.

la sauvegarde/restauration de socle ne sont pas les seules tâches possibles au démarrage, bien que seules ces 2 tâches seront abordées ici.