Pourquoi deux cartes réseaux?
Laisses les faire ce qu'ils veulent, et en te servant de cron fais une restauration périodique du /etc/network/interfaces . Dans un cadre scolaire (et +), la restauration peut avoir lieu pendant les inter-cours.
Non?

Poste le Tuesday 29 January 2008 20:58:40

Citation
NBaH
Pourquoi deux cartes réseaux?
Laisses les faire ce qu'ils veulent, et en te
servant de cron fais une restauration périodique
du /etc/network/interfaces . Dans un cadre
scolaire (et +), la restauration peut avoir lieu
pendant les inter-cours.
Non?

Merci de ta réponse.
Et bien en fait, je pense que si je change les paramètres des deux cartes réseaux, il n'y aura plus de lien avec le serveur de fichier. Et donc les documents ne sront plus accessibles (montage par NFS) Suis-je dans le faux? (?)
J'ai bien pensé à une restauration périodique des paramètres mais je ne veux me servir de ça qu'en dernier recours en fait, si je n'ai pas le choix.
Qu'en penses-tu? Pour le NFS si je n'ai plus de connexion client/ serveur ça marche toujours ou c'est dead pour l'enregsitrement des fichiers user?

Poste le Tuesday 29 January 2008 21:23:35

Bonsoir,

En fait, le plus simple est de créer un groupe avec tes utilisateurs. De créer un script qui peut être exécuter par ce groupe, qui prend en argument la nouvelle adresse de la seconde interface.

1) Les utilisateurs n'ont pas le droit de modifier directement le fichier interfaces
2) Les modifs par un script ne touchent que la seconde interface

Cdlt,

Ludovic

Poste le Tuesday 29 January 2008 22:53:51

Pourquoi deux cartes réseaux?

et il serait trop simple d'orienter ton TP (c'est bien de cela qu'il s'agit?) vers la connexion au serveur?

Sinon virtualisation...

Poste le Wednesday 30 January 2008 03:27:22

Merci Ludovic_P & NBaH pour vos réponses.

Oui, il s'agit de TP. En fait je suis étudiant et la salle réseau de mon école est pitoyable. Donc j'ai proposé un projet au directeur et il m'a dit ok, donc la j'envisage comment rendre la salle plus optimale à l'utilisation pour toutes les sections. Car là, sur 4 heures de TP, on en passe 2 à chaque fois pour réinstaller les systèmes et cie. En plus y'a que du MS, et ça me saoule de travailler tout le temps la-dessus alors qu'en entreprise je suis que sur Linux. Donc je veux convertir mon école LOL
Donc, en gros, je souhaite que les gars s'identifient sur le serveur de NIS, qu'ils descencent leurs /home/<login> par NFS.
Je ne veux pas qu'ils soit root de la machine, pas complètement en fait. Je veux qu'ils puissent modifier les paramètres de conf dans /etc, tout sauf:
- /etc/hosts (pas de problème je le verouille)
- /etc/network/interfaces, qu'ils puissent modifier la 2ème carte réseau afin de créer des clients/ serveurs et faire les TP de cours sans problème, mais qu'ils ne touchent pas à la carte réseau qui fait le lien avec le serveur NIS/ NFS.
- /etc/nsswitch.conf (je le verouille)

@NBaH: Qu'est-ce que tu entends pas "orienter le TP vers la connexion au serveur?" STP?

@Ludovic_P: Ta solution de script peut-être sympa, mais comment faire si les gars n'ont pas le droit de toucher à /etc/network/interfaces pour que le script agisse dessus. Tu voudrais dire que le groupe peut lancer le script mais pas toucher directement /etc/network/interfaces, et que le script lui par contre peut le faire? je n'arrive pas trop à concevoir ça... (?)(?) C'est faisable, ou c'est pas comme ça qu'il faut procéder?

On me proposait sur une autre board ces solutions là:
-> tu as intéret à segmenter ton réseau.
et
-> sudo est ton ami pour leur laisser faire un ifconfig eth1.

Alors ce que je me dis c'est que je ne vois pas trop en quoi la segmentation du réseau peut m'aider mais je n'y ai pas réflechi plus que ça.
Et le coup du sudo ifconfig ethX..., pouvez-vous me confirmer: en utilisateur (non-root) cela permet bien de modifier de façon "volatile", non persistante les paramètre d'une interface, sans enregistrer dans le fichier /etc/network/interfaces les modifs. Ca pourrait marcher d'après vous?

Voilà, je vous remercie de votre aide.

Ostead

Poste le Wednesday 30 January 2008 09:15:53

orienter le TP vers la connexion au serveur : leur faire faire la configuration pour accéder au serveur NIS/NFS.

Il faut être root pour utiliser 'ifconfig', et 'sudo' leur donnera tous les droits de l'utilisateur pour qui ils se feront passer.
La configuration réseau par ifconfig (ou mieux : ip) est effectivement "volatile", et dans le cas d'une configuration matérielle avec une seule carte réseau, les modifications des paramètres leur feront perdre la connexion avec le serveur.

Tu as regardé les topos sur VirtualBox? Ça a l'air de fonctionner plutôt bien...
Même si c'est un peu lourd à mettre en place (bah oui, il faut installer deux systèmes sur chaque machine (un hôte et un ou plus "virtuel"), et les configurer chacun!), cela te permettrait aussi de les initier à d'autres distributions (Debian et RedHat n'ont pas exactement la même structure de fichiers...) et de ne pas avoir autant de machines que de distros.

=> une seule machine, une seule carte réseau
! des manipulations sur la configuration sans conséquence réelle, et plusieurs distributions, voire plusieurs OS.

Poste le Wednesday 30 January 2008 11:26:56

Citation
NBaH
orienter le TP vers la connexion au serveur : leur
faire faire la configuration pour accéder au
serveur NIS/NFS.

Non, ce n'a pas d'intérêt dans mon cas.

Citation
NBaH
Il faut être root pour utiliser 'ifconfig', et
'sudo' leur donnera tous les droits de
l'utilisateur pour qui ils se feront passer.
La configuration réseau par ifconfig (ou mieux :
ip) est effectivement "volatile", et dans le cas
d'une configuration matérielle avec une seule
carte réseau, les modifications des paramètres
leur feront perdre la connexion avec le serveur.

C'est bien ce que je craignais. C'est pour cela que j'ai prévu une seconde carte réseau.

Citation
NBaH
Tu as regardé les topos sur VirtualBox? Ça a l'air
de fonctionner plutôt bien...
Même si c'est un peu lourd à mettre en place (bah
oui, il faut installer deux systèmes sur chaque
machine (un hôte et un ou plus "virtuel"), et les
configurer chacun!), cela te permettrait aussi de
les initier à d'autres distributions (Debian et
RedHat n'ont pas exactement la même structure de
fichiers...) et de ne pas avoir autant de machines
que de distros.

En fait mon idée première était de partir sur une soluce avec Xen. Le problème c'est pas tant la difficulté de mettre ça en place, d'autant plus que l'ensemble des postes seront triples-boot (Debian/ 2k3 Server/ XP) donc le côté install multiples est prévu, avec Ghost pour s'assurer que la salle soit en état rapidement en cas de besoin.
Le plus délicat c'est qu'il n'est pas sûr que les profs soient à même de savoir administrer le truc quand on quittera l'école. En effet, c'est plutôt des externes qui nous font cours. Donc en gros les connaissances en interne sont pas terribles niveau système/ réseau. C'est aussi pour ça que j'ai décidé de lancer un projet comme ça.

Citation
NBaH
=> une seule machine, une seule carte réseau!
des manipulations sur la configuration sans conséquence réelle, et plusieurs distributions, voire plusieurs OS.

C'est certainement la solution en effet.
Bon, ben ça va m'obliger à passer un pu de temps la-dessus. C'est toujours bon mais j'ai pas énormément de temps à vrai dire...

Bon, ben si des fois quelqu'un gère ce genre de truc et/ ou que des bonnes idées surgissent, pas d'hésitations LOL, je suis preneur.

Merci pour votre aide @ tous

Ostead

Poste le Wednesday 30 January 2008 11:37:29

Bon, j'ai créé un petit script en perl. En fait je me suis inspiré de l'idée de Ludovic_P et de documentations sur comment lancer des commandes avec les droits root (http://www.lea-linux.org/cached/index/Admin-admin_env-sudo.html)

Si j'ai bien compris, je peux faire un groupe qui aurait accès aux droits root sur certaines actions bien précises du système en paramétrant bien /etc/sudoers. Je peux donc placer tous mes users dans un groupe, disons configIp, et je leur donne le droit de lancer ce script qui contient un su qui va lancer lui-même ifconfig.
Ca marcherait comme ça?

Voici le script:

#!/usr/bin/perl -w

# Description: ce script remplace le traditionnel ifconfig
# il permet de modifier l'adresse de la carte réseau eth1
# et de lui assigner comme paramètres ceux passés sur la ligne de commande

# je teste si l'adresse IP est correcte (composé de chiffres et de points uniquement)
if ($ARGV[0] && $ARGV[0] =~ /\d[\.]/){
	
	# c'est bon, l'adresse est correcte niveau format, je continue

	# si un deuxième argument est présent sur la ligne de commande,
	# il doit s'agir d'un masque de réseau
	# il faut demander une confirmation à l'utilisateur sur le masque saisi

	# on commence par vérifier si l'user a saisi un masque
	if ($ARGV[1]){

		# si oui, on vérif si le masque est composé de chiffres et points uniquements
		if ($ARGV[1] =~ /\d[\.]/){
		
			print "\n\n\tVous appliquez un masque à votre adresse IP.\n";
			print "\tCe masque est le suivant: $ARGV[1]\n";
			print "\tConfirmer ce choix SVP: OUI - NON\n";

			# le script se met en attente de la saisie de l'user
			chomp($saisieUser = <STDIN>);

			# le gars a saisie quelque chose, on test sa saisie
			if ($saisieUser ne "OUI") {

				# il a pas dit oui, on sort
				die ("\n\n\tA votre demande, la carte réseau n'a pas été paramétrée.\n\n");

			} else {

				# le gars a validé par oui
				# on lance la commande

				system("su -c ifconfig eth1 $ARGV[0] netmask $ARGV[1]");

				# on affiche une confirmation visuelle
				print "\n\n\tLa carte réseau dispose désormais des caractéristiques suivantes";
				print "\n\t -> Adresse IP: $ARGV[0]";
				print "\n\t -> Adresse masque: $ARGV[1]\n\n";
			}

		} else {

			# la saisie du masque existe mais n'est pas correcte!
			# on l'affiche
			print "\n\tVous avez saisie un masque erroné!\n";
			die ("\n\tMerci de relancer le script avec des paramètres correctes.\n\n");
		}
		
	} else {
	# l'user n'a pas saisie de masque
	# on effectue le lancement de la commande ici
	
	# DEBUG # system("su -c ifconfig eth1 $ARGV[0]");
	system("echo $ARGV[0]");	
	}

} else {
	print "\n\t L'adresse IP saisie est incorrecte.\n";
	die( "\n\t Merci de relancer le script avec des paramètres correctes.\n\n");
}

Qu'en pensez-vous?

Poste le Wednesday 30 January 2008 16:20:06

Voici, j'éspère, la solution à mon problème.
Je donne le droit aux utilisateurs de faire un su ifconfig eth1 IP.IP.IP.IP
en modifiant le fichier /etc/sudoers de la façon suivante:

groupe_users	192.168.1.* = NOPASSWD: ifconfig eth1 *

En gros, tous les users du groupe groupe_users peuvent depuis toute machine du réseau 192.168.1.* taper la commande ifconfig ... en tant que root.

Ca marcherais ou pas?

Si quelqu'un peut tester pour moi et me dire si ça marche ça serait cool. Je n'ai pas envie d'attendre ce soir pour tester chez moi ;-p

Merci d'avance

Poste le Thursday 31 January 2008 10:05:02

Salut,

Il me semble qu'il faut mettre un "%" devant groupe_users pour dire que ce n'est pas une personne, mais un groupe qui a les droits sudo.
Sinon, je pense que ça doit marcher...

A toi de nous dire le résultat ;-)

Poste le Friday 1 February 2008 22:31:17

Salut,

non pour l'instant ça ne marche pas. Je n'arrive pas à faire prendre en compte les changements du fichier sudoers... Je suis sur une Debian etch. Quelq'un sait s'il faut le recharger et par quel moyen? Rien trouvé dans le man.

Merci

Poste le Saturday 2 February 2008 09:15:04

Salut,

en fait, as-tu essayé

groupe_users 192.168.1.* = NOPASSWD: /sbin/ifconfig eth1 * ?

Poste le Wednesday 6 February 2008 21:22:10

Non, je n'ai pas essayé. Je ferais le test ce WE ou la semaine prochaine pendant les TP et je te dirais si ça marche ou pas.

Poste le Friday 8 February 2008 09:03:00