DNS dynamique et export NFS

Le lundi 19 février 2007 10:33, Michel Grentzinger a écrit :

Bonjour,
Je dispose d'un serveur DHCP, DNS et NFS. La mise à jour du DNS se f ait de
façon dynamique lorsqu'un client obtient une adresse via le DHCP (ad resse
non fixe).
Or les exports NFS ne fonctionnent pas si j'indique le nom de domaine et de
machine si cette machine n'est pas encore connue du DNS...
Exemple qui fonctionne :
/var/cache/apt/archives 192.168.0.5(rw,no_root_squash,sync,subtree_check)
Exemple qui ne fonctionne pas :
/var/cache/apt/archives
boomerang.homeg.lan(rw,no_root_squash,sync,subtree_check)
Y-a-t-il une solution pour ce problème ?

AMHA reposer sur la DNS pour les autorisations est un peu faible car rien
n'assure que les renseignements soient à jour dans la DNS au moment o ù le
client accède à la ressource (nscd par exemple mets les répo nses en
cache...).

Faut-il nécessairement passer en DHCP fixe et DNS fixe ?

C'est en général plus simple, sinon il faudrait autoriser toute l a plage ip
réservée à la DHCP...

Cordialement,
--
Eric DÉCORNOD
Ingénieur d'Études
SCICS - Faculté des Sciences
Université Henri Poincaré

Le lundi 19 février 2007 15:30, Eric DECORNOD a écrit :

> Or les exports NFS ne fonctionnent pas si j'indique le nom de domaine et
> de machine si cette machine n'est pas encore connue du DNS...
> Exemple qui fonctionne :
> /var/cache/apt/archives 192.168.0.5(rw,no_root_squash,sync,subtree_chec k)
> Exemple qui ne fonctionne pas :
> /var/cache/apt/archives
> boomerang.homeg.lan(rw,no_root_squash,sync,subtree_check)
> Y-a-t-il une solution pour ce problème ?

AMHA reposer sur la DNS pour les autorisations est un peu faible car rien
n'assure que les renseignements soient à jour dans la DNS au moment où le
client accède à la ressource (nscd par exemple mets les ré ponses en
cache...).

Sans doute mais pour l'instant, je veux juste pouvoir exporter mes partages
vers un nom de domaine et pas une IP...
Et pour l'instant, l'export ne fonctionne pas puisque aucune IP n'est assoc iée
au nom de domaine lors du lancement de nfs-kernel-server...

> Faut-il nécessairement passer en DHCP fixe et DNS fixe ?

C'est en général plus simple, sinon il faudrait autoriser toute la plage ip
réservée à la DHCP...

Bon...

--
Michel Grentzinger
OpenPGP key ID : B2BAFAFA
Available on http://www.keyserver.net

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Michel Grentzinger wrote:

Bonjour,

Bonsoir,

Je dispose d'un serveur DHCP, DNS et NFS. La mise à jour du DNS se fait de
façon dynamique lorsqu'un client obtient une adresse via le DHCP (adresse non
fixe).

Or les exports NFS ne fonctionnent pas si j'indique le nom de domaine et de
machine si cette machine n'est pas encore connue du DNS...

Un nom inconnu du DNS ? Aurais tu un exemple car je ne vois pas comment
c'est possible sur un reseau prive.

Autrement, si tu veux securiser le portmapper et les services rpcs, a
l'aide des fichiers /etc/hosts.allow et /etc/hosts.deny, il faut savoir
que pour ces services il n'est pas possible de definir des noms de
domaine ou d'hote dans ces fichiers.

- --
Franck Joncourt
http://www.debian.org
http://smhteam.info/wiki/
GPG server : pgpkeys.mit.edu
Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFF2i1zxJBTTnXAif4RAq5tAJ0et565IgFiyFgWIPbo+vb0x8xa5ACcC+Zt
kdUdDZMUEMaDNoeNFgX9WwU =pZBt
-----END PGP SIGNATURE-----




___________________________________________________________
All new Yahoo! Mail "The new Interface is stunning in its simplicity and ease of use." - PC Magazine
http://uk.docs.yahoo.com/nowyoucan.html


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Le mardi 20 février 2007 00:06, Franck Joncourt a écrit :

> Or les exports NFS ne fonctionnent pas si j'indique le nom de domaine et
> de machine si cette machine n'est pas encore connue du DNS...

Un nom inconnu du DNS ? Aurais tu un exemple car je ne vois pas comment
c'est possible sur un reseau prive.

Mon portable envoie son nom d'hote (boomerang) vers le serveur DHCP lors de
l'attribution de l'IP. Le serveur DHCP met à jour les enregistrements DNS (il
rajoute boomerang.homeg.lan au DNS local). Processus inverse lorsque le
portable est débranché.

Et moi je souhaite exporter (NFS) un répertoire uniquement pour ce por table en
indiquant juste boomerang.homeg.lan. Mais au lancement de NFS, le portable
n'est pas nécessairement connecté.
Je suis obligé d'exporter vers une IP, et ça ne fonctionne pas si le serveur
lui attribue une autre IP que celle indiqués dans mon exportfs;

--
Michel Grentzinger
OpenPGP key ID : B2BAFAFA
Available on http://www.keyserver.net

Le mardi 20 février 2007 11:30, vous avez écrit :

Dans NFS, tu dois pouvoir spécifier le nom de la machine donc
boomerang.homeg.lan. Je ne pense pas que NFS vérifie la présence de la
machine cliente sur le réseau. En tout cas cela fonctionne sous Solaris.

C'est bon à savoir, il faudrait pouvoir désactiver cette vérification ...
En tout cas, sous debian, ça ne fonctionne pas ! Voici un essai, portable
éteint :

[root]:~ # cat /etc/exports
/var/cache/apt/archives 192.168.0.5(rw,no_root_squash,sync,subtree_check)
/var/cache/apt/archives
boomerang.homeg.lan(rw,no_root_squash,sync,subtree_check)

[root]:~ # invoke-rc.d nfs-kernel-server reload
Re-exporting directories for NFS kernel daemon...exportfs: boomerang.homeg. lan
has non-inet addr
exportfs: boomerang.homeg.lan has non-inet add

[root]:~ # exportfs
/var/cache/apt/archives
192.168.0.5

Avec l'IP, c'est bien exporté, mais pas l'export avec le nom FQDN.

Comment désactiver cette vérification ?

--
Michel Grentzinger
OpenPGP key ID : B2BAFAFA
Available on http://www.keyserver.net

[Avertissement : ne connaissant rien à NFS et ne l'ayant jamais utilisé,
je vais peut-être dire de grosses bêtises. Le cas échéant je prie par
avance les lecteurs de bien vouloir me pardonner et surtout me corriger.]

Salut,

Michel Grentzinger a écrit :

[root]:~ # invoke-rc.d nfs-kernel-server reload
Re-exporting directories for NFS kernel daemon...exportfs: boomerang.homeg.lan
has non-inet addr
exportfs: boomerang.homeg.lan has non-inet add

[root]:~ # exportfs
/var/cache/apt/archives
192.168.0.5

Avec l'IP, c'est bien exporté, mais pas l'export avec le nom FQDN.

Comment désactiver cette vérification ?

Est-ce une simple vérification ? Ne serait-ce pas plutôt à ce moment que
l'adresse IP correspondante est retrouvée à partir du nom, et
ultérieurement lors de la demande de montage du partage seule cette
adresse IP est utilisée ?

Ça me semble relativement facile à tester : attribuer une adresse IP
quelconque au nom de domaine, définir l'export en fonction de ce nom
puis modifier l'adresse IP et tenter de monter le partage sur la machine
ayant cette adresse. Si c'est une simple vérification que le nom existe,
ça devrait marcher.

Je remarque que tu utilises le serveur NFS en mode noyau
(nfs-kernel-server). Or s'il y a une chose que je sais, c'est que le
noyau ne connaît rien à la résolution de noms ni au DNS. Par exemple si
une règle iptables contient une source ou une destination sous la forme
d'un nom de domaine, c'est le programme iptables en useland qui fait la
résolution en adresse IP a priori avant de créer la règle dans le noyau
qui, pour sa part, ne voit que les adresses IP. Par conséquent si le nom
n'est pas défini au moment de la création de la règle, la création
échoue. Si l'adresse associée au nom change par la suite, la règle
continue de s'appliquer à l'ancienne adresse.

Peut-être le serveur NFS en mode utilisateur (nfs-user-server) fait au
contraire la résolution de nom au moment de la demande de montage. Mais
d'après sa description il a plusieurs inconvénients.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Pascal Hambourg wrote:

Est-ce une simple vérification ? Ne serait-ce pas plutôt à ce moment que
l'adresse IP correspondante est retrouvée à partir du nom, et
ultérieurement lors de la demande de montage du partage seule cette
adresse IP est utilisée ?

Ça me semble relativement facile à tester : attribuer une adresse IP
quelconque au nom de domaine, définir l'export en fonction de ce nom
puis modifier l'adresse IP et tenter de monter le partage sur la machine
ayant cette adresse. Si c'est une simple vérification que le nom existe,
ça devrait marcher.

Je remarque que tu utilises le serveur NFS en mode noyau
(nfs-kernel-server). Or s'il y a une chose que je sais, c'est que le
noyau ne connaît rien à la résolution de noms ni au DNS. Par exemple si
une règle iptables contient une source ou une destination sous la forme
d'un nom de domaine, c'est le programme iptables en useland qui fait la
résolution en adresse IP a priori avant de créer la règle dans le noyau
qui, pour sa part, ne voit que les adresses IP. Par conséquent si le nom
n'est pas défini au moment de la création de la règle, la création
échoue. Si l'adresse associée au nom change par la suite, la règle
continue de s'appliquer à l'ancienne adresse.

Je n'ai pas les moyens de tester cela avant le week end :p!
En tout cas cela me semble plus que plausible.

Par contre, j'ai un probleme avec le fait de mettre le FQDN dans le
fichier /etc/exports. Par definition, cela signifie que l'on veut
interdire l'acces a diverses ressources pour certaines machines. Cela
ressemble beaucoup a une tentative de securisation. Cependant, pour
securiser nfs, il est recommande de verrouiller l'acces aux services
rpcs et au portmapper. Ceci n'est possible que depuis les fichiers
/etc/hosts.allow et hosts.deny qui ne font pas de resolution de noms
pour ces services (du moins je ne connais pas d'autres solutions) ; on
est donc obliger de se baser sur une adresse ip ! On devient alors moins
flexible au niveau de l'adressage des ip dans un reseau. Autrement, il
faut mettre en place Kerberos avec son systeme de clefs. Si le but est
la securisation, il faudrait plutot se tourner vers la derniere
solution. (voire aussi SSH, IPSEC).

- --
Franck Joncourt
http://www.debian.org
http://smhteam.info/wiki/
GPG server : pgpkeys.mit.edu
Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFF3LYSxJBTTnXAif4RAgEtAJ0fi/BmPmNW/mX5YttQ1ka65nwShQCgmv2g
3ruOWj1vnrXpZhNr1V8eN0w =ZHVe
-----END PGP SIGNATURE-----


___________________________________________________________
Now you can scan emails quickly with a reading pane. Get the new Yahoo! Mail. http://uk.docs.yahoo.com/nowyoucan.html


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org